JP2006236358A - Safety judging method, safety judgment system, authentication device, program and safety judging device - Google Patents

Safety judging method, safety judgment system, authentication device, program and safety judging device Download PDF

Info

Publication number
JP2006236358A
JP2006236358A JP2006060008A JP2006060008A JP2006236358A JP 2006236358 A JP2006236358 A JP 2006236358A JP 2006060008 A JP2006060008 A JP 2006060008A JP 2006060008 A JP2006060008 A JP 2006060008A JP 2006236358 A JP2006236358 A JP 2006236358A
Authority
JP
Japan
Prior art keywords
information
authentication
safety
information processing
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006060008A
Other languages
Japanese (ja)
Other versions
JP4439481B2 (en
Inventor
Masatake Kotani
誠剛 小谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006060008A priority Critical patent/JP4439481B2/en
Publication of JP2006236358A publication Critical patent/JP2006236358A/en
Application granted granted Critical
Publication of JP4439481B2 publication Critical patent/JP4439481B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Stored Programmes (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a safety judging method for increasing safety, and for smoothly transmitting and receiving information while maintaining proper safety. <P>SOLUTION: A portable telephone set 1 is provided with an environmental information collecting means for collecting environmental information including at least any of the information of the portable telephone set 1, the information of connected peripheral equipment and the information of installed software and an information transmitting means for transmitting the order information and the collected environmental information to a central server 2. The central server 2 is provided with a means for receiving the order information and the environmental information transmitted from the portable telephone set 1, an environmental information authenticating means for judging whether or not the received environmental information is proper for the received order information based on the environmental information database in which the order information and the conditions of the environmental information are stored so as to be associated with each other and a safety judging means for judging that the portable telephone set 1 is safe when authentication by the environmental information authenticating means is proper. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、情報処理装置及び認証装置が通信網を介して接続されており、前記情報処理装置の安全性を判断する安全性判断方法、安全性判断システム、認証装置、プログラム及び安全性判断装置に関し、特に、携帯電話機、家電機器、パーソナルコンピュータ等の情報処理装置に組み込んで、該情報処理装置の安全性を判断する安全性判断装置等に関する。   The present invention relates to a safety judgment method, a safety judgment system, an authentication device, a program, and a safety judgment device, in which an information processing device and an authentication device are connected via a communication network, and judges the safety of the information processing device. In particular, the present invention relates to a safety determination device or the like that is incorporated in an information processing device such as a mobile phone, a home appliance, or a personal computer and determines the safety of the information processing device.

IPv6(Internet Protocol Version 6)の導入により、インターネット等の通信網に接続される情報処理装置は、パーソナルコンピュータ、サーバコンピュータ、及び携帯電話機だけではなく、冷蔵庫、電子レンジ、エアコン、TV、DVD等の家電機器、コピー機、さらにはロボット等も通信網に接続され、情報の送受信が行われることになる。このように通信網に接続される情報処理装置が増加するにつれ、安全性(セキュリティ)が低下することになる。   With the introduction of IPv6 (Internet Protocol Version 6), information processing devices connected to communication networks such as the Internet are not only personal computers, server computers and mobile phones, but also refrigerators, microwave ovens, air conditioners, TVs, DVDs, etc. Home appliances, copiers, and robots are also connected to the communication network, and information is transmitted and received. As the number of information processing devices connected to the communication network increases, safety (security) decreases.

特に家電機器は安全性が低く、外部から機器の正常な動作に支障をきたすプログラムを送り込まれるケースや、DDoS(Distributed Denial of Service)の踏み台にされる虞がある。そこで、このような情報処理装置の安全性を高めるために、指紋等を用いたバイオメトリック認証機能を情報処理装置に搭載する試みがなされている(例えば、引用文献1)。
特開平3−58174号公報
In particular, home appliances are low in safety, and there is a risk that a program that may interfere with the normal operation of the device is sent from the outside, or a DDoS (Distributed Denial of Service) step. Therefore, in order to increase the safety of such an information processing apparatus, an attempt has been made to install a biometric authentication function using a fingerprint or the like in the information processing apparatus (for example, cited document 1).
JP-A-3-58174

しかしながら、認証用の指紋情報が流出する場合もあり、バイオメトリック認証のみでは、高度な安全性を確保することが難しいという問題があった。特にこれらの情報処理装置を用いた電子商取引を行う際には、情報処理装置が、正当な所有者が使用しているか、所有者自らの情報処理装置を用いた取引であるか、情報処理装置に安全性を損なう機器が接続、またはOS(Operating System)、ブラウザ、プラグインソフト等のソフトウェアがインストールされていないか等の安全性をまず確保した上で、商取引を行うことが好ましい。   However, there are cases in which fingerprint information for authentication leaks, and there is a problem that it is difficult to ensure a high level of security with only biometric authentication. In particular, when performing electronic commerce using these information processing devices, whether the information processing device is used by a legitimate owner or is a transaction using the owner's own information processing device, It is preferable to conduct commercial transactions after ensuring safety such as whether a device that impairs safety is connected or software such as an OS (Operating System), a browser, and plug-in software is not installed.

また、これらの情報処理装置にパッチ用のソフトウェア、ファームウェア等を提供する場合、第3者に送信中のソフトウェアを改竄される虞があることから、情報送信側の装置と情報処理装置との間での安全性を十分に確保する必要があった。その一方で、安全性のレベルを高めすぎると、円滑な情報の送受信を行うことが困難となる。   Also, when patch software, firmware, etc. are provided to these information processing devices, there is a risk that the software being transmitted to a third party may be falsified. It was necessary to ensure sufficient safety. On the other hand, if the level of safety is too high, it becomes difficult to smoothly transmit and receive information.

本発明は斯かる事情に鑑みてなされたものであり、その目的とするところは、情報処理装置の利用環境の階級を利用した環境情報を用いた認証を組み合わせて認証を行うことにより、安全性を高めることができ、また妥当な安全性を維持した上で円滑に情報の送受信を行うことが可能な安全性判断方法、安全性判断システム、認証装置、プログラム及び安全性判断装置を提供することにある。   The present invention has been made in view of such circumstances, and an object of the present invention is to perform safety by performing authentication in combination with authentication using environment information using the class of the use environment of the information processing apparatus. Providing a safety judgment method, a safety judgment system, an authentication device, a program, and a safety judgment device capable of improving the quality of information and smoothly transmitting / receiving information while maintaining reasonable safety. It is in.

本発明に係る安全性判断方法は、情報処理装置と認証装置が通信網を介して接続されており、前記情報処理装置の安全性を判断する安全性判断方法において、情報処理装置が、注文情報を認証装置に送信する注文情報送信ステップと、情報処理装置が、該情報処理装置の情報、該情報処理装置に接続された周辺機器の情報、またはインストールされたソフトウェアの情報の少なくともいずれかを含む環境情報を収集する環境情報収集ステップと、情報処理装置が、収集した環境情報を前記認証装置に送信する環境情報送信ステップと、認証装置が、注文情報と環境情報の条件とを対応づけて記憶した環境情報データベースに基づいて、前記送信された環境情報が前記送信された注文情報に対して適正であるか否かを判定する環境情報認証ステップと、認証装置が、前記環境情報認証ステップによる認証が適正である場合に、前記情報処理装置を安全と判断する安全判断ステップとを備えることを特徴とする。   In the safety determination method according to the present invention, an information processing apparatus and an authentication apparatus are connected via a communication network. In the safety determination method for determining the safety of the information processing apparatus, the information processing apparatus includes order information. Order information transmitting step for transmitting the information to the authentication device, and the information processing device includes at least one of information on the information processing device, information on peripheral devices connected to the information processing device, and information on installed software An environment information collection step for collecting environment information, an environment information transmission step for the information processing apparatus to transmit the collected environment information to the authentication apparatus, and the authentication apparatus for storing the order information and the conditions for the environment information in association with each other An environmental information authentication step for determining whether the transmitted environmental information is appropriate for the transmitted order information based on the environmental information database. And flop, authentication device, if the authentication by the environment information authentication step is correct, characterized in that it comprises a safety determining step of determining safe the information processing apparatus.

本発明に係る安全性判断方法は、前記認証装置は、前記安全判断ステップで前記情報処理装置を安全と判断した場合には、安全性を保証する情報と注文情報とを、該注文情報に係わる処理を行う情報処理装置に送出することを特徴とする。   In the safety determination method according to the present invention, when the authentication apparatus determines that the information processing apparatus is safe in the safety determination step, information for guaranteeing safety and order information are related to the order information. The information is sent to an information processing apparatus that performs processing.

本発明に係る安全性判断方法は、前記認証装置は、前記安全判断ステップで前記情報処理装置を安全ではない判断した場合には、危険性を通知する情報を、該注文情報に係わる処理を行う情報処理装置に送出することを特徴とする。   In the safety judgment method according to the present invention, when the authentication device judges that the information processing device is not safe in the safety judgment step, the information notifying the danger is processed according to the order information. The information is transmitted to the information processing apparatus.

本発明に係る安全性判断方法は、前記環境情報データベースは、注文情報に対応する複数の階級が設定され、該階級ごとに異なる環境情報の条件が設定されるものであり、前記環境情報認証ステップは、前記注文情報に対応する階級の環境情報の条件に応じて前記送信された環境情報が前記送信された注文情報に対して適正であるか否かを判定することを特徴とする。   In the safety judgment method according to the present invention, the environmental information database is configured such that a plurality of classes corresponding to order information are set, and different environmental information conditions are set for each class, and the environmental information authentication step Is characterized in that it is determined whether or not the transmitted environment information is appropriate for the transmitted order information in accordance with the condition of the class environment information corresponding to the order information.

本発明に係る安全性判断方法は、前記情報処理装置はさらに、生体情報を受付ける生体情報受付ステップを実行し、前記情報処理装置、前記認証装置または前記認証装置とは異なる認証装置のいずれかにより、受付けた生体情報が適正であるか否かを判断する生体情報認証ステップを備え、前記認証装置における安全判断ステップでは、生体情報認証ステップで受付けた生体情報が適正であると判断され、かつ前記環境情報認証ステップにて環境情報が適正と判断された場合に前記情報処理装置を安全と判断することを特徴とする。   In the safety determination method according to the present invention, the information processing apparatus further executes a biometric information receiving step for receiving biometric information, and is performed by any one of the information processing apparatus, the authentication apparatus, or an authentication apparatus different from the authentication apparatus. A biometric information authentication step for determining whether or not the received biometric information is appropriate, and in the safety determination step in the authentication device, it is determined that the biometric information received in the biometric information authentication step is appropriate, and When the environmental information is determined to be appropriate in the environmental information authentication step, the information processing apparatus is determined to be safe.

本発明に係る安全性判断方法は、前記情報処理装置における前記注文情報ステップは、予め情報処理装置に対して電子証明局から発行を受けた電子証明書と、個人鍵で暗号化した注文情報のメッセージダイジェストとを認証装置に対して送出するものであり、前記認証装置は、さらに前記電子証明書から得られる公開鍵を用いて前記注文情報のメッセージダイジェストを復号し、注文情報が適正であるか否かを判断する電子証明書認証ステップを実行するものであり、前記認証装置における安全判断ステップでは、電子証明書認証ステップで受付けた注文情報が適正であると判断され、かつ前記環境情報認証ステップにて環境情報が適正と判断された場合に前記情報処理装置を安全と判断することを特徴とする。   In the security judgment method according to the present invention, the order information step in the information processing device includes an electronic certificate issued in advance from the electronic certificate authority to the information processing device, and an order information encrypted with a personal key. A message digest is sent to the authentication device, and the authentication device further decrypts the message digest of the order information using a public key obtained from the electronic certificate, and whether the order information is appropriate. An electronic certificate authentication step for determining whether the order information received in the electronic certificate authentication step is appropriate in the safety determination step in the authentication device, and the environmental information authentication step When the environmental information is determined to be appropriate, the information processing apparatus is determined to be safe.

本発明に係る安全性判断方法は、前記環境情報は、インストールされたソフトウェアの名称またはバージョン、接続された周辺機器の機器名またはバージョン、または、前記情報処理装置の装置名またはバージョンの情報を含むことを特徴とする。   In the safety determination method according to the present invention, the environment information includes information on the name or version of installed software, the device name or version of a connected peripheral device, or the device name or version of the information processing apparatus. It is characterized by that.

本発明に係る安全性判断システムは、情報処理装置と認証装置が通信網を介して接続されており、情報処理装置の安全性を判断する安全性判断システムにおいて、前記情報処理装置は、該情報処理装置の情報、該情報処理装置に接続された周辺機器の情報、またはインストールされたソフトウェアの情報の少なくともいずれかを含む環境情報を収集する環境情報収集手段と、注文情報と、収集した環境情報とを前記認証装置へ送信する情報送信手段とを備え、前記認証装置は、前記情報処理装置から送信された、注文情報と環境情報とを受信する手段と、注文情報と環境情報の条件とを対応づけて記憶した環境情報データベースに基づいて、前記受信した環境情報が前記受信した注文情報に対して適正であるか否かを判断する環境情報認証手段と、前記環境情報認証手段による認証が適正である場合に前記情報処理装置を安全と判断する安全判断手段とを備えることを特徴とする。   In the safety determination system according to the present invention, an information processing apparatus and an authentication apparatus are connected via a communication network, and the information processing apparatus determines the safety of the information processing apparatus. Environment information collecting means for collecting environment information including at least one of processing device information, information on peripheral devices connected to the information processing device, or installed software information, order information, and collected environment information Information transmitting means for transmitting to the authentication device, the authentication device comprising: means for receiving order information and environment information transmitted from the information processing device; and conditions for order information and environment information. An environment information authenticator that determines whether or not the received environment information is appropriate for the received order information based on the stored environment information database. When, characterized in that it comprises a safety determination means authentication by the environmental information authentication means for determining safe the information processing apparatus if it is appropriate.

本発明に係る安全性判断システムは、前記情報処理装置との間で商取引に関する情報を送受信する店舗コンピュータをさらに備え、前記情報処理装置は、商品情報または金額情報を含む商取引に関する情報を受付ける手段と、該商取引に関する情報を注文情報として前記認証装置へ送信する手段とを更に備え、前記環境情報認証手段は、送信された商品情報または金額情報に対応する環境情報の条件を環境情報データベースから読み出し、該読み出した環境情報の条件に前記送信された環境情報が合致するか否かにより、適正であるか否かを判断するよう構成してあり、前記認証装置は、前記安全判断手段により前記情報処理装置が安全と判断した場合に、該情報処理装置の安全性に関する情報を前記店舗コンピュータへ送信する手段を更に備えることを特徴とする。   The safety judgment system according to the present invention further comprises a store computer that transmits and receives information relating to commercial transactions with the information processing device, wherein the information processing device accepts information relating to commercial transactions including merchandise information or amount information. , Further comprising means for transmitting information relating to the commercial transaction as order information to the authentication device, wherein the environmental information authentication means reads out environmental information conditions corresponding to the transmitted product information or amount information from the environmental information database, The authentication apparatus is configured to determine whether or not the transmitted environment information is appropriate based on whether or not the transmitted environment information matches the condition of the read environment information. Means for transmitting information relating to the safety of the information processing apparatus to the store computer when the apparatus determines that the apparatus is safe; Characterized in that it obtain.

本発明に係る認証装置は、通信網を介して接続される情報処理装置の安全性を判断する認証装置において、前記情報処理装置が送信した、該情報処理装置の情報、該情報処理装置に接続された周辺機器の情報、またはインストールされたソフトウェアの情報の少なくともいずれかを含む環境情報と、注文情報とを受信する受信手段と、注文情報と環境情報の条件とを対応づけて記憶した環境情報データベースに基づいて、前記受信した環境情報が前記送信された注文情報に対して適正であるか否かを判定する環境情報認証手段と、前記環境情報認証手段による認証が適正である場合に、前記情報処理装置を安全と判断する安全判断手段とを備えることを特徴とする。   An authentication apparatus according to the present invention is an authentication apparatus for judging the safety of an information processing apparatus connected via a communication network. Information of the information processing apparatus transmitted by the information processing apparatus, connected to the information processing apparatus Environment information including at least one of information on installed peripheral devices or information on installed software, receiving means for receiving order information, and environment information in which order information and conditions of environment information are stored in association with each other Based on the database, when the received environment information is appropriate for the transmitted order information, the environment information authenticating means, and when the authentication by the environmental information authenticating means is appropriate, It is characterized by comprising safety judging means for judging that the information processing apparatus is safe.

本発明に係るプログラムは、コンピュータを、該コンピュータと通信網を介して接続される情報処理装置の安全性を判断する認証装置として機能させるためのプログラムであって、コンピュータを、前記情報処理装置が送信した、該情報処理装置の情報、該情報処理装置に接続された周辺機器の情報、またはインストールされたソフトウェアの情報の少なくともいずれかを含む環境情報と、注文情報とを受信する受信手段と、注文情報と環境情報の条件とを対応づけて記憶した環境情報データベースに基づいて、前記受信した環境情報が前記送信された注文情報に対して適正であるか否かを判定する環境情報認証手段と、
前記環境情報認証手段による認証が適正である場合に認証装置により、前記情報処理装置を安全と判断する安全判断手段として機能させることを特徴とする。
A program according to the present invention is a program for causing a computer to function as an authentication device that determines the safety of an information processing apparatus connected to the computer via a communication network. Receiving means for receiving the transmitted environment information including at least one of information on the information processing apparatus, information on peripheral devices connected to the information processing apparatus, or information on installed software; and order information; Environmental information authentication means for determining whether or not the received environmental information is appropriate for the transmitted order information based on an environmental information database in which the order information and environmental information conditions are stored in association with each other; ,
When authentication by the environmental information authentication unit is appropriate, the authentication device causes the information processing device to function as a safety determination unit that determines that the information processing device is safe.

本発明に係る安全性判断装置は、認証装置に通信網を介して接続される情報処理装置の安全性を判断する安全性判断装置であって、前記情報処理装置の情報、前記情報処理装置に接続された周辺機器の情報、またはインストールされたソフトウェアの情報の少なくともいずれかを含む環境情報を収集する環境情報収集手段と、収集した環境情報を前記認証装置に送信する環境情報送信手段と、認証装置から、前記送信された環境情報が前記送信された注文情報に対して適正であるか否かの判定結果を受信した場合に、前記情報処理装置を安全と判断する安全判断手段とを備えることを特徴とする。   A safety determination device according to the present invention is a safety determination device that determines the safety of an information processing device connected to an authentication device via a communication network, and includes information on the information processing device and the information processing device. Environmental information collecting means for collecting environmental information including at least one of connected peripheral information and installed software information, environmental information transmitting means for sending the collected environmental information to the authentication device, and authentication A safety judging means for judging that the information processing apparatus is safe when receiving a determination result as to whether or not the transmitted environment information is appropriate for the transmitted order information. It is characterized by.

本発明に係る安全性判断装置は、生体情報が適正であるか否かを判断する生体情報認証手段を更に有し、前記安全判断手段は、前記生体情報認証手段によって前記情報処理装置に接続された生体情報受付手段が受付けた生体情報が適正であると判断され、かつ認証装置から、前記送信された環境情報が前記送信された注文情報に対して適正であるか否かの判定結果を受信した場合に、前記情報処理装置を安全と判断することを特徴とする。   The safety determination device according to the present invention further includes biometric information authentication means for determining whether or not biometric information is appropriate, and the safety determination means is connected to the information processing apparatus by the biometric information authentication means. The biometric information received by the biometric information receiving means is determined to be appropriate, and a determination result is received from the authentication device as to whether the transmitted environment information is appropriate for the transmitted order information. In this case, the information processing apparatus is determined to be safe.

本発明に係る安全性判断装置は、予め電子証明局により発行された電子証明書と個人鍵とを記録する手段と、該個人鍵により情報を暗号化する暗号化手段とを更に有し、認証装置に情報を送信する際は、送信すべき情報を暗号化するとともに、前記電子証明書を添付して暗号化された情報を送信することを特徴とする。   The security judgment device according to the present invention further includes means for recording an electronic certificate and a personal key issued in advance by an electronic certificate authority, and an encryption means for encrypting information using the personal key. When transmitting information to the apparatus, the information to be transmitted is encrypted, and the encrypted information is transmitted with the electronic certificate attached thereto.

本発明に係る安全性判断装置は、受信した暗号化情報を復号化する復号化手段を更に有し、暗号化されたソフトウェア及び電子証明書を受信した場合、前記安全判断手段により安全性の判断を実行し、安全と判断された場合に該電子証明書に基づいて取得した公開鍵で暗号化されたソフトウェアを復号し、前記情報処理装置にインストールを行うことを特徴とする。   The security judgment device according to the present invention further comprises a decryption means for decrypting the received encrypted information, and when the encrypted software and electronic certificate are received, the safety judgment means determines the safety. When the software is determined to be safe, the software encrypted with the public key acquired based on the electronic certificate is decrypted and installed in the information processing apparatus.

本発明に係る安全性判断装置は、前記情報処理装置の内部に実装されるLSI(Large Integrated Circuit)チップにより構成されることを特徴とする。   The safety judgment device according to the present invention is constituted by an LSI (Large Integrated Circuit) chip mounted inside the information processing device.

環境情報の認証が適正である場合に情報処理装置を安全と判断するので、情報処理装置の安全性を確保しつつ、円滑な情報の送受信及び商取引を実現することが可能となる等、本発明は優れた効果を奏する。   Since the information processing apparatus is determined to be safe when the authentication of the environmental information is appropriate, it is possible to realize smooth transmission / reception of information and commercial transactions while ensuring the safety of the information processing apparatus. Has an excellent effect.

以下本発明を実施の形態を示す図面に基づいて詳述する。
実施の形態1
実施の形態1では、情報処理装置を携帯電話機であるものとし、本発明に係る安全性判断システムを、携帯電話機を用いた商取引に適用した場合について説明する。なお、情報処理装置は携帯電話機に限定されるものではなく、パーソナルコンピュータ、コピー機、プリンタ、FAX、冷蔵庫、TV、DVDプレーヤ、PDA(Personal digital Assistant)、空気調和機、電子レンジ、ロボット等であっても良い。
Hereinafter, the present invention will be described in detail with reference to the drawings illustrating embodiments.
Embodiment 1
In the first embodiment, it is assumed that the information processing apparatus is a mobile phone, and the safety judgment system according to the present invention is applied to a commercial transaction using the mobile phone. Note that the information processing apparatus is not limited to a mobile phone, and may be a personal computer, a copy machine, a printer, a fax machine, a refrigerator, a TV, a DVD player, a PDA (Personal Digital Assistant), an air conditioner, a microwave oven, a robot, or the like. There may be.

図1は本発明に係る安全性判断システムの概要を示す模式図である。図において1は情報処理装置としての携帯電話機、3は電子証明書の発行を行う第3者的立場にある認証機関の第2認証装置(以下、認証機関サーバという)、2は安全性判断局であって携帯電話機1の安全性を判断する第1認証装置としての中央サーバ、4はオンラインでの商品の販売処理を行うオンラインショップの店舗コンピュータ(以下、Webサーバという)である。携帯電話機1は図示しない携帯電話網を介して、通信網(以下、インターネットという)Nに接続されており、同様に認証機関サーバ3、中央サーバ2、及びWebサーバ4もインターネットNに接続されている。携帯電話機1には生体情報受付手段として指紋取得部112が設けられており、顧客の指紋をスキャンして携帯電話機1に取り込む機能を有する。   FIG. 1 is a schematic diagram showing an outline of a safety judgment system according to the present invention. In the figure, 1 is a mobile phone as an information processing apparatus, 3 is a second authentication apparatus (hereinafter referred to as a certification authority server) of a certification authority that is in a third party position for issuing an electronic certificate, and 2 is a safety judgment station. A central server 4 serving as a first authentication device for determining the safety of the mobile phone 1 is a store computer (hereinafter referred to as a Web server) of an online shop that performs online product sales processing. The cellular phone 1 is connected to a communication network (hereinafter referred to as the Internet) N via a cellular phone network (not shown). Similarly, the certification authority server 3, the central server 2, and the Web server 4 are also connected to the Internet N. Yes. The cellular phone 1 is provided with a fingerprint acquisition unit 112 as biometric information receiving means, and has a function of scanning a customer's fingerprint and taking it into the cellular phone 1.

図2は携帯電話機1のハードウェア構成を示すブロック図である。情報処理装置としての携帯電話機1は通話、文字、画像データの送受信等、通常の機能を果たす携帯電話機エンジン部110及び本発明に係る安全性判断装置5から構成される。本実施の形態においては、安全性判断装置(以下、セキュリティチップという)5はLSI(Large Scale Integrated Circuit)チップであり、携帯電話機1の内部に実装される。   FIG. 2 is a block diagram showing a hardware configuration of the mobile phone 1. A cellular phone 1 as an information processing device includes a cellular phone engine unit 110 that performs normal functions such as transmission / reception of calls, characters, and image data, and a safety determination device 5 according to the present invention. In the present embodiment, a safety determination device (hereinafter referred to as a security chip) 5 is an LSI (Large Scale Integrated Circuit) chip and is mounted inside the mobile phone 1.

以下に、携帯電話機エンジン部110のハードウェア構成について説明する。図に示すように、CPU(Central Processing Unit)11にはバス17を介してRAM12,ROM15、アンテナ部16、電源部113、マイク・スピーカ111、AD/DA20,外部接続端子19,データ表示用の液晶ディスプレイ等の表示部14、及び数字キー、カーソルキー、選択確定キー等から構成される入力部13等が接続される。CPU11は、バス17を介して携帯電話機1の上述したようなハードウェア各部と接続されていて、それらを制御すると共に、ROM15に格納された制御プログラム15Pに従って、種々のソフトウェア的機能を実行する。   The hardware configuration of the mobile phone engine unit 110 will be described below. As shown in the figure, a CPU (Central Processing Unit) 11 includes a RAM 12, a ROM 15, an antenna unit 16, a power supply unit 113, a microphone / speaker 111, an AD / DA 20, an external connection terminal 19, and a data display via a bus 17. A display unit 14 such as a liquid crystal display and an input unit 13 composed of numeric keys, cursor keys, selection confirmation keys, and the like are connected. The CPU 11 is connected to the above-described hardware units of the mobile phone 1 via the bus 17 and controls them, and executes various software functions according to the control program 15P stored in the ROM 15.

外部接続端子19は例えば16芯からなるインターフェースであり、USBケーブル等を介して、図示しないパーソナルコンピュータ、または周辺機器と接続される。RAM12は、SRAM(Static Random Access Memory)またはフラッシュメモリ等で構成され、ソフトウェアの実行時に発生する一時的なデータを記憶する。ROM15は例えばEEPROM(Electrically Erasable and Programmable ROM)等で構成され、携帯電話機1の基本的操作環境を提供するOS(Operating System)、外部接続端子19に接続された周辺機器等を制御するBIOS(Basic Input/Output System)、及びダウンロードまたは予めインストールされているJava(登録商標)等のソフトウェアが記憶されている。   The external connection terminal 19 is an interface having 16 cores, for example, and is connected to a personal computer (not shown) or a peripheral device via a USB cable or the like. The RAM 12 is configured by an SRAM (Static Random Access Memory), a flash memory, or the like, and stores temporary data generated when the software is executed. The ROM 15 is composed of, for example, an EEPROM (Electrically Erasable and Programmable ROM), etc., and an OS (Operating System) that provides a basic operating environment of the mobile phone 1, a BIOS (Basic) that controls peripheral devices connected to the external connection terminal 19, etc. Input / Output System) and downloaded or preinstalled software such as Java (registered trademark) are stored.

携帯電話機エンジン部110の入力部13とは別に、顧客の指紋を取得する指紋取得部112が携帯電話機1の入力部13の近傍に設けられている。指紋取得部112はスキャンして読み取った指紋情報をセキュリティチップ5へ出力する。なお、本実施の形態においては生体情報として指紋を用いることとしたが、これに限るものではなく、音声、網膜、または虹彩等の情報であっても良い。例えば、音声の場合マイク・スピーカ111から音声を取得し、音声をAD/DA20を用いて電気信号に変換し、CPU11へ出力し、予め記憶してある顧客本人の音声データと比較することにより認証を行う。   Apart from the input unit 13 of the mobile phone engine unit 110, a fingerprint acquisition unit 112 that acquires a customer's fingerprint is provided in the vicinity of the input unit 13 of the mobile phone 1. The fingerprint acquisition unit 112 outputs the scanned fingerprint information to the security chip 5. In the present embodiment, fingerprints are used as biometric information. However, the present invention is not limited to this, and information such as voice, retina, or iris may be used. For example, in the case of voice, the voice is obtained from the microphone / speaker 111, the voice is converted into an electrical signal using the AD / DA 20, output to the CPU 11, and authenticated by comparing with the voice data of the customer stored in advance. I do.

次に、セキュリティチップ5のハードウェア構成について説明する。セキュリティチップ5は、マイクロプロセッサ(以下、MPUという)51、RAM52、EEPROM等のROM55を備えている。MPU51は、バス57を介して上述したRAM52及びROM55と接続されていて、それらを制御すると共に、ROM55に格納された制御プログラム55Pに従って、種々のソフトウェア的機能を実行する。ROM55には、認証機関サーバ3から受信した電子証明書を記憶する電子証明書ファイル553、携帯電話機1自身の個人鍵を記憶する個人鍵ファイル554、予め顧客の指紋情報を記憶した指紋情報ファイル552、及び、携帯電話機1の機器名・バージョン、周辺機器の機器名・バージョン、インストールされているソフトウェアのソフト名・バージョン等を記憶した環境情報ファイル551が用意されている。なお、携帯電話機1の個人鍵は認証機関サーバ3により発行され、この個人鍵と対になる携帯電話機1の公開鍵は認証機関サーバ3が管理している。   Next, the hardware configuration of the security chip 5 will be described. The security chip 5 includes a microprocessor (hereinafter referred to as MPU) 51, a RAM 52, and a ROM 55 such as an EEPROM. The MPU 51 is connected to the RAM 52 and the ROM 55 described above via the bus 57, and controls them, and executes various software functions according to a control program 55P stored in the ROM 55. The ROM 55 stores an electronic certificate file 553 that stores an electronic certificate received from the certification authority server 3, a personal key file 554 that stores the personal key of the mobile phone 1 itself, and a fingerprint information file 552 that stores customer fingerprint information in advance. And an environment information file 551 storing the device name / version of the mobile phone 1, the device name / version of the peripheral device, the software name / version of the installed software, and the like. The personal key of the mobile phone 1 is issued by the certification authority server 3, and the public key of the mobile phone 1 that is paired with this personal key is managed by the certification authority server 3.

セキュリティチップ5のMPU51は携帯電話機1の環境情報を収集して環境情報ファイル551に環境情報を記憶する。MPU51は、予め記憶されている携帯電話機1の機器名・バージョンをROM15から取得し、携帯電話機1自身の情報を取得する。例えば、情報処理装置が携帯電話機である場合、機器名・バージョン、情報処理装置が電子レンジである場合、メーカー名、機器名、型番等を取得する。また、MPU51は、ROM15のBIOSを参照して、外部接続端子19に接続された機器の情報を取得して環境情報の一つとして環境情報ファイル551に記憶する。例えば、図示しないコンピュータが外部接続端子19に接続された場合、コンピュータの機器名等が取得される。また情報処理装置がパーソナルコンピュータである場合に、外部接続端子19としてのPCカードスロットにPCカードが接続された場合は、該PCカードの機器名等を取得する。   The MPU 51 of the security chip 5 collects environment information of the mobile phone 1 and stores the environment information in the environment information file 551. The MPU 51 acquires the device name / version of the mobile phone 1 stored in advance from the ROM 15 and acquires information on the mobile phone 1 itself. For example, when the information processing device is a mobile phone, the device name / version is acquired. When the information processing device is a microwave oven, the manufacturer name, the device name, the model number, and the like are acquired. Also, the MPU 51 refers to the BIOS of the ROM 15 to acquire information on the device connected to the external connection terminal 19 and store it in the environment information file 551 as one piece of environment information. For example, when a computer (not shown) is connected to the external connection terminal 19, the device name of the computer is acquired. When the information processing apparatus is a personal computer and the PC card is connected to the PC card slot as the external connection terminal 19, the device name of the PC card is acquired.

環境情報としてはさらに、携帯電話機1にインストールされているソフトウェアの情報が該当する。MPU51はROM15のOS及びソフトウェアを参照し、インストールされているソフトウェアの名称及びバージョンを取得する。例えば、情報処理装置がパーソナルコンピュータである場合、OSの名称としてウィンドウズ(登録商標)またはLinux、バージョンとしてSecond Edition等の環境情報が取得され、インストールされているソフトウェアとしてブラウザのインターネットエクスプローラ(登録商標)、バージョンとしてSP2等の情報が取得される。その他、インターネットNを通じてダウンロードしたJava(登録商標)等で記述されたソフトウェアの名称などが該当する。このようにMPU51はROM内のBIOS、OS等を常時監視しており、新たなソフトウェアがインストールされた場合、または外部接続端子19に新たな機器が接続された場合、環境情報としてそれらの情報を収集して環境情報ファイル551に記憶する。   The environment information further includes information on software installed in the mobile phone 1. The MPU 51 refers to the OS and software in the ROM 15 and acquires the name and version of the installed software. For example, when the information processing apparatus is a personal computer, environment information such as Windows (registered trademark) or Linux as the name of the OS and second edition as the version is acquired, and Internet Explorer (registered trademark) of the browser is installed as installed software. Information such as SP2 is acquired as the version. In addition, the name of software described in Java (registered trademark) downloaded through the Internet N is applicable. In this way, the MPU 51 constantly monitors the BIOS, OS, etc. in the ROM, and when new software is installed or when a new device is connected to the external connection terminal 19, such information is stored as environmental information. Collected and stored in the environment information file 551.

指紋情報ファイル552は本人認証のために用いるものであり、例えば携帯電話機1の購入時に、店舗において顧客の指紋を取得しROM55内の指紋情報ファイル552に初期登録する。MPU51は指紋取得部112から、指紋情報が読み取られて出力された場合は、出力された指紋情報と指紋情報ファイル552に記憶した指紋情報とを比較して適正か否かを判断する。なお、本実施の形態においては認証に用いる指紋情報ファイル552を携帯電話機1に設けることとしているが、これに限るものではなく、中央サーバ2または認証機関サーバ3等に設け、中央サーバ2または認証機関サーバ3等で、認証を行うようにしても良い。この場合、個人鍵ファイル554の個人鍵で暗号化された指紋情報が電子証明書と共に中央サーバ2または認証機関サーバ3へ送信され認証が行われる。   The fingerprint information file 552 is used for personal authentication. For example, when the mobile phone 1 is purchased, a customer's fingerprint is acquired at a store and initially registered in the fingerprint information file 552 in the ROM 55. When the fingerprint information is read and output from the fingerprint acquisition unit 112, the MPU 51 compares the output fingerprint information with the fingerprint information stored in the fingerprint information file 552, and determines whether or not it is appropriate. In the present embodiment, the fingerprint information file 552 used for authentication is provided in the cellular phone 1, but the present invention is not limited to this, and the fingerprint information file 552 is provided in the central server 2 or the certification authority server 3 or the like. Authentication may be performed by the engine server 3 or the like. In this case, the fingerprint information encrypted with the personal key of the personal key file 554 is transmitted to the central server 2 or the certification authority server 3 together with the electronic certificate for authentication.

電子証明書ファイル553には認証機関サーバ3から発行を受けた電子証明書が記憶されており、また個人鍵ファイル554には同じく認証機関サーバ3から発行を受けた携帯電話機1用の個人鍵が記憶されている。なお、携帯電話機1用の公開鍵は認証機関サーバ3が記憶している。MPU51は送受信される商取引に関するデータ、また環境情報、指紋情報等については、メッセージダイジェストと共に個人鍵で暗号化し、暗号化データと電子証明書とをインターネットNを介して中央サーバ2等に送信する。   The electronic certificate file 553 stores an electronic certificate issued from the certification authority server 3, and the personal key file 554 also contains a personal key for the cellular phone 1 issued from the certification authority server 3. It is remembered. The public key for the mobile phone 1 is stored in the certification authority server 3. The MPU 51 encrypts the data relating to the commercial transaction to be transmitted / received, the environment information, the fingerprint information, etc. with the message digest together with the personal key, and transmits the encrypted data and the electronic certificate to the central server 2 etc. via the Internet N.

図3は中央サーバ2のハードウェア構成を示すブロック図である。図に示すように、CPU(Central Processing Unit)21にはバス27を介してRAM22,ハードディスク等の記憶部25、携帯電話機1、認証機関サーバ3及びWebサーバ4等と情報を送受信するためのゲートウェイ、LANカード等の通信部26,液晶ディスプレイ等の表示部24、及びキーボード、マウス等の入力部23が接続される。CPU21は、バス27を介して中央サーバ2の上述したようなハードウェア各部と接続されていて、それらを制御すると共に、記憶部25に格納された制御プログラム25Pに従って、種々のソフトウェア的機能を実行する。また、記憶部25には送受信される情報の安全性の階級に応じて環境条件が記憶された環境情報データベース(以下、環境情報DBという)251が設けられている。   FIG. 3 is a block diagram showing a hardware configuration of the central server 2. As shown in the figure, a CPU (Central Processing Unit) 21 is a gateway for transmitting and receiving information to and from a RAM 22, a storage unit 25 such as a hard disk, a mobile phone 1, a certification authority server 3 and a Web server 4 via a bus 27. A communication unit 26 such as a LAN card, a display unit 24 such as a liquid crystal display, and an input unit 23 such as a keyboard and a mouse are connected. The CPU 21 is connected to the above-described hardware units of the central server 2 via the bus 27, controls them, and executes various software functions according to the control program 25P stored in the storage unit 25. To do. The storage unit 25 is provided with an environmental information database (hereinafter referred to as an environmental information DB) 251 in which environmental conditions are stored in accordance with the safety class of information transmitted and received.

図4は環境情報DB251のレコードレイアウトを示す説明図である。図に示すように階級に応じて環境情報の条件が記憶されている。階級フィールドは送受信される情報の安全性の重要度に応じて1〜6に階級付けされており、階級1が最も安全性のレベルが高く、階級6が安全性のレベルが最も低いことを示す。金額情報フィールド及び商品情報フィールドに示すように、100円程度の少額の取引、または商品が着信メロディ(以下、着メロという)等の価格の低い商品等の場合は、安全性よりも円滑な取引を重視する必要があることから、階級が6とされている。一方、50000円以上の高額商品の取引である場合、商品が株券等の場合は、高い安全性を確保する必要があるので階級が1とされている。   FIG. 4 is an explanatory diagram showing a record layout of the environment information DB 251. As shown in the figure, environmental information conditions are stored according to the class. The class field is classified into 1 to 6 according to the importance of the safety of information transmitted and received, and class 1 indicates the highest level of safety and class 6 indicates that the level of safety is the lowest. . As shown in the amount information field and the product information field, if the transaction is a small amount of about 100 yen or the product is a low-priced product such as a ringtone (hereinafter called ringtone), a smoother transaction than safety The class is set to 6 because it needs to be emphasized. On the other hand, in the case of a transaction of a high-priced product of 50000 yen or more, if the product is a stock certificate or the like, the class is set to 1 because it is necessary to ensure high safety.

環境条件フィールド中の装置情報フィールドには顧客の携帯電話機1の機器名・バージョンが階級に対応づけられて記憶されている。例えば、階級1の場合、最新機種であるS004,F004,及びN004である携帯電話機1であることが条件とされており、環境情報としてこの条件を満たさない限り環境認証において適正と判断されない。特にS004については、携帯電話機1のバージョンが2.0以上であることも条件とされている。これに対し、階級6の場合、古い機種であるS001を含め、S001,S002,S003及びS004の他、同様にF001〜F004、並びにN001〜N004の携帯電話機1であれば、適正と判断される。   In the device information field in the environmental condition field, the device name / version of the customer's mobile phone 1 is stored in association with the class. For example, in the case of the class 1, it is a condition that the mobile phone 1 is the latest model S004, F004, and N004. Unless the condition is satisfied as environmental information, it is not determined to be appropriate in environmental authentication. In particular, for S004, the version of the mobile phone 1 is also 2.0 or more. On the other hand, in the case of class 6, in addition to S001 which is an old model, in addition to S001, S002, S003 and S004, similarly, it is determined that the cellular phone 1 of F001 to F004 and N001 to N004 is appropriate. .

周辺機器フィールドも同様に階級毎に周辺機器の機器名及びバージョンが記憶されており、環境認証に利用される。例えば、階級6の場合は、周辺機器XX,XY等が接続されている場合でも、環境認証において適正と判断される。その一方で階級1の場合は、対応する周辺機器の条件が記憶されておらず、環境情報として携帯電話機1から、周辺機器の情報が送信された場合は、適正と判断されない。すなわち階級1の場合はいかなる周辺機器が接続されていても環境認証において不適正と判断される。なお、これらの情報は各ベンダーから提供されるものを記憶している。   Similarly, in the peripheral device field, the device name and version of the peripheral device are stored for each class, and are used for environment authentication. For example, in the case of class 6, even if peripheral devices XX, XY, etc. are connected, it is determined as appropriate in environmental authentication. On the other hand, in the case of class 1, the condition of the corresponding peripheral device is not stored, and if the peripheral device information is transmitted from the mobile phone 1 as the environmental information, it is not determined to be appropriate. That is, in the case of class 1, it is determined that the environment authentication is inappropriate even if any peripheral device is connected. These pieces of information store information provided by each vendor.

同じくソフトウェアフィールドも階級に応じてソフトウェア名及びバージョンが記憶されている。階級1ではソフトウェアCであって、バージョンが3.0以上の場合に適正と判断される。その一方で、階級6の場合はソフトウェアCであってバージョンが1.0以上であれば適正と判断される。このように階級を設けて安全性を判断したのは、円滑な商取引と安全性の維持とのバランスを考慮したものである。例えば、情報処理装置がパーソナルコンピュータである場合、インストールされるブラウザは顧客によって異なる。例えば、マイクロソフト(登録商標)社のインターネットエクスプローラ(登録商標)では、複数のバージョンが存在し、バージョンが上がるに連れセキュリティホールの存在が少なくなっている。   Similarly, the software field stores the software name and version according to the class. Class 1 is software C, and it is determined to be appropriate when the version is 3.0 or higher. On the other hand, in the case of class 6, if it is software C and the version is 1.0 or more, it is determined to be appropriate. The reason why safety is determined by providing a class in this way is in consideration of the balance between smooth business transactions and maintenance of safety. For example, when the information processing apparatus is a personal computer, the installed browser differs depending on the customer. For example, in Internet Explorer (registered trademark) of Microsoft (registered trademark), there are a plurality of versions, and the number of security holes decreases as the version increases.

高度な安全性が要求される場合は、環境情報を取得して、セキュリティホールのない最新のバージョンのブラウザである場合にのみ適正であると判断し、以降の商取引を許可することも考えられるが、そうすると、最新のバージョンをインストールしていない顧客は全く商取引を行うことができず妥当性を欠くことになる。そこで、安全性がそれほど要求されない低額商品等である場合は、認証の階級を低くし、多少バージョンが古いブラウザであっても、一定条件下で適正と判断し商取引を認めることとしたものである。   If a high level of safety is required, it may be possible to obtain environmental information, determine that it is appropriate only if the browser is the latest version without security holes, and allow subsequent commercial transactions. Then, customers who don't have the latest version will not be able to do business at all and lack validity. Therefore, if it is a low-priced product that does not require much safety, the authentication class will be lowered, and even if the browser is a little older, it will be judged to be appropriate under certain conditions and allow commercial transactions. .

以上のハードウェア構成において本発明における安全性判断の処理手順を、フローチャートを用いて説明する。図5はWebサーバ4と携帯電話機1との間の商取引の手順を示すフローチャートである。まず、携帯電話機1の入力部13に商取引を行うオンラインショップのWebサーバ4のURL(Uniform Resource Locater)を入力して、商品発注ページの取得要求をWebサーバ4に対して行う(ステップS51)。HTTP(Hypertext Transfer Protocol)サーバとしてのWebサーバ4は図示しない記憶部から対応するcHTML(compact Hypertext Markup Language)ファイルを読み出し(ステップS52)、読み出したcHTMLファイルを携帯電話機1へ送信する(ステップS53)。   With the above hardware configuration, the safety judgment processing procedure according to the present invention will be described with reference to a flowchart. FIG. 5 is a flowchart showing the procedure of the commercial transaction between the Web server 4 and the mobile phone 1. First, the URL (Uniform Resource Locator) of the Web server 4 of the online shop that conducts the commercial transaction is input to the input unit 13 of the mobile phone 1, and an acquisition request for the product ordering page is made to the Web server 4 (step S51). The Web server 4 as an HTTP (Hypertext Transfer Protocol) server reads a corresponding cHTML (compact hypertext markup language) file from a storage unit (not shown) (step S52), and transmits the read cHTML file to the mobile phone 1 (step S53). .

携帯電話機1のCPU11は受信したcHTMLをROM15に記憶したブラウザソフトウェアにて解析し、図6の如く商取引のWebページを表示する(ステップS54)。図6はWebページのイメージを示す説明図である。図に示すように表示部14には発注する商品、数量、及び金額の情報が表示される。顧客は発注する商品及び数量を、入力部13を操作して選択する。商品が選択された場合は、CPU11はcHTMLファイルと同時に送信されたJavaスクリプトを実行し合計金額を算出して表示する。本実施の形態におけるオンラインショップは、パーソナルコンピュータ、プリンタ、ディスクドライブ等のコンピュータ関連機器を販売しており、顧客は29800円のインクジェットプリンタを1台注文する様子を示している。すなわち顧客は商取引に関する注文情報として、金額情報または商品情報を入力する。この他、住所、電話番号、氏名、ID、パスワード等を入力させるようにしても良い。   The CPU 11 of the mobile phone 1 analyzes the received cHTML using browser software stored in the ROM 15 and displays a Web page for commerce as shown in FIG. 6 (step S54). FIG. 6 is an explanatory diagram showing an image of a Web page. As shown in the figure, the display unit 14 displays information about the product to be ordered, quantity, and amount. The customer operates the input unit 13 to select the product and quantity to be ordered. When the product is selected, the CPU 11 executes the Java script transmitted at the same time as the cHTML file, calculates the total amount, and displays it. The online shop in the present embodiment sells computer-related devices such as personal computers, printers, disk drives, etc., and shows that a customer orders one 29800 yen inkjet printer. That is, the customer inputs money amount information or product information as order information related to the commercial transaction. In addition, an address, a telephone number, a name, an ID, a password, and the like may be input.

このようにして入力部13から注文情報が入力され、CPU11はこの注文情報を受け付ける(ステップS55)。そして、図6に示す「発注する」ボタンが選択された場合、安全性の判断処理に移行する(ステップS56)。なお、ステップS57以降の処理については後述する。以下に、本発明の特徴である安全性の判断処理のサブルーチンを、フローチャートを用いて説明する。   In this way, order information is input from the input unit 13, and the CPU 11 accepts the order information (step S55). Then, when the “Place Order” button shown in FIG. 6 is selected, the process proceeds to a safety determination process (step S56). The processing after step S57 will be described later. Hereinafter, a subroutine of the safety determination process that is a feature of the present invention will be described with reference to a flowchart.

図7乃至図12は安全性の判断処理の手順を示すフローチャートである。注文情報が入力された場合、セキュリティチップ5のMPU51は制御プログラム55Pを実行し、表示部14に指紋情報の取得要求を表示する(ステップS71)。表示する内容は予めROM55に記憶されており、例えば、「指紋取得部に親指をおいて下さい。」等の情報を読み出して表示部14へ出力するようにすればよい。指紋取得部112から指紋情報が入力された場合、セキュリティチップ5のMPU51は指紋情報を受け付け(ステップS72)、RAM52に一時的に記憶する。そして、MPU51はROM55の指紋情報ファイル552に携帯電話機1の購入時に予め記憶してある指紋情報を読み出し、RAM52に記憶した指紋情報と比較して一致するか否か、すなわち指紋情報認証が適正であるか否か判断する(ステップS73)。   7 to 12 are flowcharts showing the procedure of the safety judgment process. When the order information is input, the MPU 51 of the security chip 5 executes the control program 55P and displays a fingerprint information acquisition request on the display unit 14 (step S71). The contents to be displayed are stored in the ROM 55 in advance. For example, information such as “Put your thumb on the fingerprint acquisition unit” may be read and output to the display unit 14. When fingerprint information is input from the fingerprint acquisition unit 112, the MPU 51 of the security chip 5 receives the fingerprint information (step S72) and temporarily stores it in the RAM 52. Then, the MPU 51 reads the fingerprint information stored in advance in the fingerprint information file 552 of the ROM 55 at the time of purchase of the mobile phone 1 and compares it with the fingerprint information stored in the RAM 52, that is, the fingerprint information authentication is appropriate. It is determined whether or not there is (step S73).

指紋が一致し、指紋情報認証が適正であると判断した場合は(ステップS73でYES)、指紋認証適正フラグをセットし、セットした指紋認証適正フラグを中央サーバ2へ送信する(ステップS75)。一方、指紋が一致せず、指紋情報認証が不適正であると判断した場合(ステップS73でNO)、指紋認証不適正フラグをセットし、セットした指紋認証不適正フラグを中央サーバ2へ送信する(ステップS74)。中央サーバ2のCPU21は送信された指紋認証フラグ(指紋認証適正フラグまたは指紋認証不適正フラグ)を記憶部25に記憶する(ステップS77)。なお、本実施の形態においては指紋を用いた生体認証を携帯電話機1において実行することとしたが、予め採取した指紋情報を認証機関サーバ3または中央サーバ2に記憶しておき、認証機関サーバ3または中央サーバ2において判断するようにしても良い。これにより指紋を用いた生体認証が終了する。   If the fingerprints match and it is determined that fingerprint information authentication is appropriate (YES in step S73), a fingerprint authentication appropriate flag is set, and the set fingerprint authentication appropriate flag is transmitted to the central server 2 (step S75). On the other hand, if the fingerprints do not match and it is determined that fingerprint information authentication is inappropriate (NO in step S73), the fingerprint authentication inappropriate flag is set, and the set fingerprint authentication inappropriate flag is transmitted to the central server 2. (Step S74). The CPU 21 of the central server 2 stores the transmitted fingerprint authentication flag (fingerprint authentication appropriate flag or fingerprint authentication inappropriate flag) in the storage unit 25 (step S77). In the present embodiment, biometric authentication using a fingerprint is executed in the mobile phone 1, but fingerprint information collected in advance is stored in the authentication authority server 3 or the central server 2, and the authentication authority server 3 Alternatively, the central server 2 may make the determination. Thereby, the biometric authentication using the fingerprint is completed.

続いて、電子証明書を用いた認証へ移行する。セキュリティチップ5のMPU51は、ステップS55で入力された注文情報に、ROM55に記憶したハッシュ関数を用いてメッセージダイジェストを算出する(ステップS76)。MPU51は認証機関サーバ3から予め発行を受けた携帯電話機1の個人鍵を個人鍵ファイル554から読み出し、注文情報及びメッセージダイジェストを暗号化する(ステップS81)。さらに、MPU51は電子証明書ファイル553から認証機関サーバ3において予め発行を受けた電子証明書を読み出し、暗号化した注文情報及びメッセージダイジェストに電子証明書を添付して中央サーバ2へ送信する(ステップS82)。中央サーバ2のCPU21は送信された電子証明書、暗号化された注文情報及びメッセージダイジェストをRAM22に記憶する。   Subsequently, the process proceeds to authentication using an electronic certificate. The MPU 51 of the security chip 5 calculates a message digest using the hash function stored in the ROM 55 for the order information input in step S55 (step S76). The MPU 51 reads from the personal key file 554 the personal key of the mobile phone 1 that has been issued in advance from the certification authority server 3, and encrypts the order information and the message digest (step S81). Further, the MPU 51 reads out an electronic certificate issued in advance in the certification authority server 3 from the electronic certificate file 553, attaches the electronic certificate to the encrypted order information and message digest, and transmits it to the central server 2 (step). S82). The CPU 21 of the central server 2 stores the transmitted electronic certificate, encrypted order information, and message digest in the RAM 22.

中央サーバ2のCPU21は電子証明書に記載されている認証機関サーバ3へアクセスし、受信した電子証明書の公開鍵(認証機関の公開鍵)の取得を要求する(ステップS83)。認証機関サーバ3は、電子証明書の公開鍵を中央サーバ2へ送信する(ステップS84)。中央サーバ2のCPU21は、記憶した電子証明書をRAM22から読み出し、認証機関サーバ3から送信された認証機関の公開鍵を用いて電子証明書を復号し、携帯電話機1の公開鍵を取得する(ステップS85)。   The CPU 21 of the central server 2 accesses the certificate authority server 3 described in the electronic certificate and requests acquisition of the public key (certificate authority public key) of the received electronic certificate (step S83). The certification authority server 3 transmits the public key of the electronic certificate to the central server 2 (step S84). The CPU 21 of the central server 2 reads out the stored electronic certificate from the RAM 22, decrypts the electronic certificate using the public key of the certification authority transmitted from the certification authority server 3, and obtains the public key of the mobile phone 1 ( Step S85).

中央サーバ2のCPU21は取得した携帯電話機1の公開鍵を用いて暗号化された注文情報及びメッセージダイジェストを復号する(ステップS91)。さらにCPU21は復号した注文情報に、中央サーバ2の記憶部25に記憶したハッシュ関数を用いてメッセージダイジェストを算出する(ステップS92)。中央サーバ2のCPU21はステップS91で復号したメッセージダイジェストと、ステップS92で算出したメッセージダイジェストとが一致するか否か、すなわち送信の途中で注文情報に改竄がないか、また権限のある顧客の携帯電話機1から情報が送受信されたものであるか否かを判断する(ステップS93)。   The CPU 21 of the central server 2 decrypts the order information and message digest encrypted using the acquired public key of the mobile phone 1 (step S91). Further, the CPU 21 calculates a message digest for the decrypted order information using the hash function stored in the storage unit 25 of the central server 2 (step S92). The CPU 21 of the central server 2 determines whether or not the message digest decrypted in step S91 matches the message digest calculated in step S92, that is, whether the order information has not been tampered with in the middle of transmission, and the authorized customer's mobile phone It is determined whether or not information is transmitted / received from the telephone 1 (step S93).

メッセージダイジェストが一致しない場合は(ステップS93でNO)、CPU21は何らかの改竄またはなりすましがあったと判断し、電子証明書認証の不適正フラグをセットする(ステップS95)。一方、メッセージダイジェストが一致する場合は(ステップS93でYES)、なりすまし及び改竄がないものとして電子証明書認証の適正フラグをセットする(ステップS94)。そして、中央サーバ2のCPU21は電子証明書認証のフラグ(電子証明書認証適正フラグ、または電子証明書認証不適正フラグ)を記憶部25に記憶する(ステップS96)。これにより、電子証明書を用いた認証が終了する。   If the message digests do not match (NO in step S93), the CPU 21 determines that some tampering or impersonation has occurred, and sets an inappropriate flag for electronic certificate authentication (step S95). On the other hand, if the message digests match (YES in step S93), an appropriate flag for electronic certificate authentication is set assuming that there is no impersonation and tampering (step S94). Then, the CPU 21 of the central server 2 stores an electronic certificate authentication flag (electronic certificate authentication appropriate flag or electronic certificate authentication inappropriate flag) in the storage unit 25 (step S96). Thereby, the authentication using the electronic certificate is completed.

続いて環境認証について説明する。セキュリティチップ5のMPU51は携帯電話機1の環境情報を取得する(ステップS101)。環境情報の収集は、上述したようにMPU51が携帯電話機1のROM15のOS、BIOS及びインストールされるソフトウェアを常駐して監視し、携帯電話機1の機器名、OSの名称、バージョン、外部接続端子19に接続された周辺機器の機器名、バージョン、インストールされたブラウザ等のソフトウェアのソフト名、バージョンなどを収集することにより行われる。収集された環境情報は環境情報ファイル551に記憶される(ステップS102)。   Next, environmental authentication will be described. The MPU 51 of the security chip 5 acquires the environment information of the mobile phone 1 (step S101). As described above, the environmental information is collected by the MPU 51 residently monitoring the OS, BIOS and installed software in the ROM 15 of the mobile phone 1, and the device name, OS name, version, and external connection terminal 19 of the mobile phone 1. This is done by collecting the device name and version of peripheral devices connected to the software, software name and version of installed software such as a browser. The collected environment information is stored in the environment information file 551 (step S102).

MPU51は環境情報ファイル551から収集した環境情報を読み出して中央サーバ2へ送信する(ステップS103)。中央サーバ2のCPU21は送信された環境情報をRAM22に記憶する。中央サーバ2のCPU21はステップS91にて復号した注文情報に対応する階級の読み出しを、環境情報DB251を参照して行う(ステップS104)。つまり、CPU21は金額情報または商品情報フィールドを参照して、注文情報中の取り引きされる金額または商品等を基に、対応する階級を階級フィールドから読み出す。例えば注文する商品の金額が50000円を超える場合は階級1が選択される。   The MPU 51 reads out the environmental information collected from the environmental information file 551 and transmits it to the central server 2 (step S103). The CPU 21 of the central server 2 stores the transmitted environment information in the RAM 22. The CPU 21 of the central server 2 reads out the class corresponding to the order information decrypted in step S91 with reference to the environment information DB 251 (step S104). That is, the CPU 21 refers to the price information or product information field, and reads the corresponding class from the class field based on the traded price or product in the order information. For example, when the amount of the product to be ordered exceeds 50,000 yen, class 1 is selected.

CPU21は読み出した階級に対応する環境情報の条件を環境情報DB251から読み出す(ステップS105)。つまり、読み出した階級を基に、環境条件フィールドから対応する携帯電話機1の装置名・バージョン、ソフト名・バージョン、周辺機器の機器名・バージョンを読み出す。そして、CPU21は、RAM22に記憶され、受信した環境情報が、読み出した環境情報の条件を満たすか否かを判断する(ステップS111)。条件を満たさない場合(ステップS111でNO)(例えば階級が1であり、環境情報としてソフトウェアCのバージョン2.0が送信された場合、バージョン3.0以上という条件を満たさない)、環境認証不適正フラグをセットする(ステップS112)。一方、条件を満たす場合(ステップS111でYES)、環境認証適正フラグをセットする(ステップS113)。例えば、条件として階級が1の場合に、環境情報として「携帯電話機1の装置名が最新機種F004、バージョンは2.0、ソフトウェアはソフトウェアCのバージョン5.0がインストールされており、かつ周辺機器に何も接続されていない」場合、環境が適正であると判断する。中央サーバ2のCPU21は環境認証のフラグ(環境認証適正フラグ、または環境認証不適正フラグ)を記憶部25に記憶する(ステップS114)。これにより環境認証が終了する。   The CPU 21 reads the environment information condition corresponding to the read class from the environment information DB 251 (step S105). That is, based on the read class, the corresponding device name / version, software name / version, and device name / version of the peripheral device are read from the environmental condition field. And CPU21 memorize | stored in RAM22 and judges whether the received environmental information satisfy | fills the conditions of the read environmental information (step S111). If the condition is not satisfied (NO in step S111) (for example, if the class is 1 and version 2.0 of software C is transmitted as environment information, the condition of version 3.0 or higher is not satisfied), environment authentication is not successful. An appropriate flag is set (step S112). On the other hand, if the condition is satisfied (YES in step S111), an environmental authentication appropriate flag is set (step S113). For example, when the class is 1 as the condition, the environmental information is “the device name of the mobile phone 1 is the latest model F004, the version is 2.0, the software is the version C of the software C, and the peripheral device is installed. If nothing is connected to ", it is determined that the environment is appropriate. The CPU 21 of the central server 2 stores an environment authentication flag (environment authentication appropriate flag or environment authentication inappropriate flag) in the storage unit 25 (step S114). This completes the environment authentication.

CPU21は、記憶部25に記憶した指紋認証フラグ、電子証明書フラグ及び環境認証フラグを読み出し、指紋認証適正フラグ、電子証明書適正フラグ及び環境認証適正フラグの全てがアンド条件でセットされているか否かを判断する(ステップS115)。全ての適正フラグがセットされている場合(ステップS115でYES)、携帯電話機1を安全なものと判断し安全フラグをセットする(ステップS121)。換言すれば、生体認証、電子証明書認証(PKI認証)、および環境認証の全てにおいて適正と判断された場合に限り携帯電話機1を適正なものであると判断する。中央サーバ2のCPU21は安全であることを示す安全保証情報及び注文情報をWebサーバ4へ送信する(ステップS122)。   The CPU 21 reads the fingerprint authentication flag, the electronic certificate flag, and the environment authentication flag stored in the storage unit 25, and whether or not all of the fingerprint authentication appropriate flag, the electronic certificate appropriate flag, and the environment authentication appropriate flag are set in the AND condition. Is determined (step S115). If all appropriate flags are set (YES in step S115), the mobile phone 1 is determined to be safe and a safety flag is set (step S121). In other words, the mobile phone 1 is determined to be appropriate only when it is determined to be appropriate in all of biometric authentication, electronic certificate authentication (PKI authentication), and environmental authentication. The CPU 21 of the central server 2 transmits safety assurance information and order information indicating safety to the Web server 4 (step S122).

一方、生体認証、電子証明書認証(PKI認証)、および環境認証の内、1つでも不適正フラグがセットされている場合は、不適正フラグをセットする(ステップS123)。この場合CPU21は携帯電話機1が危険であることを示す危険情報をWebサーバ4へ送信し(ステップS124)、安全性判断のサブルーチン(ステップS56)を終了する。   On the other hand, if any one of the biometric authentication, electronic certificate authentication (PKI authentication), and environment authentication is set, the improper flag is set (step S123). In this case, the CPU 21 transmits danger information indicating that the mobile phone 1 is dangerous to the Web server 4 (step S124), and ends the safety judgment subroutine (step S56).

図5において、Webサーバ4は、携帯電話機1の危険情報を中央サーバ2から受信したか否かを判断する(ステップS57)。危険情報を受信していない場合(ステップS57でNO)、Webサーバ4は安全保証情報及び注文情報を受信したか否かを判断する(ステップS58)。安全保証情報及び注文情報を受信していない場合(ステップS58でNO)、またステップS57においてYESの場合、携帯電話機1は不正の可能性が高いとして、商取引の中止を求める情報を携帯電話機1へ送信する(ステップS59)。一方、安全保証情報及び注文情報を受信した場合(ステップS58でYES)、携帯電話機1の安全性は保証されたものであるものとして、注文の受注を正式に行い、受注を行われたことを示す受注確認情報を携帯電話機1へ送信する(ステップS510)。このように、商取引に先立ち、本人認証、PKI認証及び環境認証を行って十分な安全性を確保すると共に、取り引きされる商品の価値に応じて認証レベルを変化させることで円滑な商取引を実現することが可能となる。   In FIG. 5, the Web server 4 determines whether or not the danger information of the mobile phone 1 has been received from the central server 2 (step S57). If the danger information has not been received (NO in step S57), the Web server 4 determines whether or not safety assurance information and order information have been received (step S58). If the safety guarantee information and the order information have not been received (NO in step S58), and if YES in step S57, the mobile phone 1 is likely to be fraudulent, and information requesting the suspension of the commercial transaction is sent to the mobile phone 1. Transmit (step S59). On the other hand, if the safety guarantee information and the order information are received (YES in step S58), it is assumed that the safety of the mobile phone 1 is guaranteed, and the order has been officially received and the order has been received. The received order confirmation information is transmitted to the mobile phone 1 (step S510). In this way, prior to business transactions, identity authentication, PKI authentication and environmental authentication are performed to ensure sufficient safety, and smooth business transactions are realized by changing the authentication level according to the value of the product being traded. It becomes possible.

実施の形態2
図13は実施の形態2に係る携帯電話機1のハードウェア構成を示すブロック図である。実施の形態1に係る携帯電話機1に実行させるためのコンピュータプログラムは、本実施の形態2のように携帯電話機1にプレインストールして提供することも、またCD−ROM、MO、メモリーカード等の可搬型記録媒体で提供することも可能である。さらに、コンピュータプログラムを回線経由で搬送波として伝搬させて提供することも可能である。すなわち、セキュリティチップ5を搭載する代わりに、セキュリティチップ5と同様の機能をもつコンピュータプログラムを携帯電話機1のROM15にインストールするようにしても良い。以下に、その内容を説明する。
Embodiment 2
FIG. 13 is a block diagram showing a hardware configuration of mobile phone 1 according to the second embodiment. The computer program to be executed by the mobile phone 1 according to the first embodiment can be preinstalled and provided in the mobile phone 1 as in the second embodiment, or can be provided by a CD-ROM, MO, memory card, etc. It is also possible to provide a portable recording medium. Furthermore, it is also possible to provide a computer program as a carrier wave via a line. That is, instead of mounting the security chip 5, a computer program having the same function as the security chip 5 may be installed in the ROM 15 of the mobile phone 1. The contents will be described below.

図13に示す携帯電話機1に、生体情報を認証させ、環境情報を収集させ、環境情報を送信させ、暗号化情報を送信させ、安全性を判断させるプログラムが記録された記録媒体1a(CD−ROM、MO、メモリーカード又はDVD−ROM等)が携帯電話機1のROM15にインストールされている。インストールの方法としては、外部接続端子19に接続可能なメモリーカード等の記録媒体1aを嵌挿し、プログラムをインストールするか、または、中央サーバ2から本発明に係るプログラムをダウンロードする。係るプログラムは携帯電話機1のRAM12にロードして実行される。これにより、上述のような本発明の情報処理装置としての携帯電話機1として機能する。   A recording medium 1a (CD-) recorded with a program for causing the mobile phone 1 shown in FIG. 13 to authenticate biometric information, collect environmental information, transmit environmental information, transmit encrypted information, and determine safety. ROM, MO, memory card, DVD-ROM or the like) is installed in the ROM 15 of the mobile phone 1. As an installation method, a recording medium 1a such as a memory card that can be connected to the external connection terminal 19 is inserted and the program is installed, or the program according to the present invention is downloaded from the central server 2. Such a program is loaded into the RAM 12 of the mobile phone 1 and executed. Thereby, it functions as the mobile phone 1 as the information processing apparatus of the present invention as described above.

実施の形態3
実施の形態1においては、生体情報の認証をセキュリティチップ5において行うこととしたが、中央サーバ2または認証機関サーバ3において実行しても良い。実施の形態3は、生体情報の認証を中央サーバ2において実行する形態であって、また予めセキュリティポリシーが決定されている場合に、本発明を適用した形態について説明する。
Embodiment 3
In the first embodiment, the biometric information is authenticated by the security chip 5, but may be executed by the central server 2 or the certification authority server 3. The third embodiment is a form in which authentication of biometric information is executed in the central server 2, and a form to which the present invention is applied when a security policy is determined in advance will be described.

図14は実施の形態3に係る携帯電話機1のハードウェア構成を示すブロック図であり、図15は中央サーバ2のハードウェア構成を示すブロック図である。図14及び図15に示すように生体情報の認証は中央サーバ2で実行するため、認証用の指紋情報ファイル252は携帯電話機1の内部ではなく中央サーバ2の記憶部25に記憶されている。なお、認証用の指紋情報は、認証前に、顧客に店舗、サービスセンター等に来店してもらい、免許証、パスポートなどで本人であることを確認した上で、その場で指紋を読み取るなどして初期登録するようにすればよい。   FIG. 14 is a block diagram showing a hardware configuration of the mobile phone 1 according to the third embodiment, and FIG. 15 is a block diagram showing a hardware configuration of the central server 2. As shown in FIGS. 14 and 15, since authentication of biometric information is executed by the central server 2, the fingerprint information file 252 for authentication is stored not in the mobile phone 1 but in the storage unit 25 of the central server 2. For authentication fingerprint information, ask the customer to visit the store, service center, etc. before authentication, confirm the identity with a license, passport, etc., and then read the fingerprint on the spot. You can make initial registration.

図16乃至図20は実施の形態3に係る安全性の判断処理の手順を示すフローチャートである。まず、セキュリティチップ5のMPU51は以後の通信を行うために、安全性の確認を開始することを示す信号を中央サーバ2へ送信する(ステップS161)。中央サーバ2のCPU21は確認開始信号を受信した場合、通信の安全性の階級を決定する(ステップS162)。この階級の決定にあたっては、予め決定したセキュリティポリシーに従って決定する。例えば、以後行われる通信が、住民票の発行、株取引等、高い安全性が必要とされる場合は階級1と決定され、着メロ、待ち受け画面の画像データ等、安全性がそれほど要求されない場合は、階級6とされる。また公共料金の支払い等においては、中程度の安全性を確保するために階級3と決定する。   16 to 20 are flowcharts showing the procedure of the safety judgment process according to the third embodiment. First, the MPU 51 of the security chip 5 transmits a signal indicating the start of safety confirmation to the central server 2 in order to perform subsequent communication (step S161). When the CPU 21 of the central server 2 receives the confirmation start signal, it determines a communication safety class (step S162). This class is determined according to a predetermined security policy. For example, if high security is required, such as issuance of resident's card, stock trading, etc. after that, it will be determined as Class 1, and if the safety of ringtones, standby screen image data, etc. is not so required , Class 6. In addition, in the payment of utility bills, etc., it is determined as Class 3 in order to ensure moderate safety.

中央サーバ2のCPU21は階級の決定後、確認開始信号に対する応答信号を携帯電話機1へ送信する(ステップS163)。応答信号を受信した場合、セキュリティチップ5のMPU51は制御プログラム55Pを実行し、表示部14に指紋情報の取得要求を表示する(ステップS164)。表示する内容は予めROM55に記憶されており、例えば、「指紋取得部に親指をおいて下さい。」等の情報を読み出して表示部14へ出力するようにすればよい。指紋取得部112から指紋情報が入力された場合、セキュリティチップ5のMPU51は指紋情報を受け付け、RAM52に一時的に記憶する(ステップS165)。   After determining the class, the CPU 21 of the central server 2 transmits a response signal to the confirmation start signal to the mobile phone 1 (step S163). When the response signal is received, the MPU 51 of the security chip 5 executes the control program 55P and displays a fingerprint information acquisition request on the display unit 14 (step S164). The contents to be displayed are stored in the ROM 55 in advance. For example, information such as “Put your thumb on the fingerprint acquisition unit” may be read and output to the display unit 14. When fingerprint information is input from the fingerprint acquisition unit 112, the MPU 51 of the security chip 5 receives the fingerprint information and temporarily stores it in the RAM 52 (step S165).

そして、セキュリティチップ5のMPU51は携帯電話機1の環境情報を取得する(ステップS166)。環境情報の収集は、上述したようにMPU51が携帯電話機1のROM15のOS、BIOS及びインストールされるソフトウェアを常駐して監視し、携帯電話機1の機器名、OSの名称、バージョン、外部接続端子19に接続された周辺機器の機器名、バージョン、インストールされたブラウザ等のソフトウェアのソフト名、バージョンなどを収集することにより行われる。収集された環境情報は環境情報ファイル551に記憶される(ステップS167)。   Then, the MPU 51 of the security chip 5 acquires the environment information of the mobile phone 1 (step S166). As described above, the environmental information is collected by the MPU 51 residently monitoring the OS, BIOS and installed software in the ROM 15 of the mobile phone 1, and the device name, OS name, version, and external connection terminal 19 of the mobile phone 1. This is done by collecting the device name and version of peripheral devices connected to the software, software name and version of installed software such as a browser. The collected environment information is stored in the environment information file 551 (step S167).

セキュリティチップ5のMPU51はRAM52に記憶した生体情報及び環境情報ファイル551に記憶した環境情報を読み出す(ステップS168)。セキュリティチップ5のMPU51は、読み出した生体情報及び環境情報に、ROM55に記憶したハッシュ関数を用いてメッセージダイジェストを算出する(ステップS169)。MPU51は認証機関サーバ3から予め発行を受けた携帯電話機1の個人鍵を個人鍵ファイル554から読み出し、生体情報及び環境情報並びにメッセージダイジェストを暗号化する(ステップS171)。さらに、MPU51は電子証明書ファイル553から認証機関サーバ3において予め発行を受けた電子証明書を読み出し、暗号化した生体情報及び環境情報並びにメッセージダイジェストに電子証明書を添付して中央サーバ2へ送信する(ステップS172)。中央サーバ2のCPU21は送信された電子証明書、暗号化された生体情報及び環境情報並びにメッセージダイジェストをRAM22に記憶する。なお、本実施の形態においては生体情報及び環境情報の双方を暗号化して送信しているが、生体情報または環境情報のいずれか一方のみを暗号化して送信するようにしても良い。   The MPU 51 of the security chip 5 reads out the biological information stored in the RAM 52 and the environmental information stored in the environmental information file 551 (step S168). The MPU 51 of the security chip 5 calculates a message digest using the hash function stored in the ROM 55 for the read biometric information and environment information (step S169). The MPU 51 reads from the personal key file 554 the personal key of the mobile phone 1 that has been issued in advance from the certification authority server 3, and encrypts the biometric information, the environment information, and the message digest (step S171). Further, the MPU 51 reads the electronic certificate issued in advance in the certification authority server 3 from the electronic certificate file 553, and transmits the encrypted biometric information, environment information, and message digest to the central server 2 with the electronic certificate attached thereto. (Step S172). The CPU 21 of the central server 2 stores the transmitted electronic certificate, encrypted biometric information, environment information, and message digest in the RAM 22. In this embodiment, both the biological information and the environment information are encrypted and transmitted. However, only either the biological information or the environment information may be encrypted and transmitted.

中央サーバ2のCPU21は電子証明書に記載されている認証機関サーバ3へアクセスし、受信した電子証明書の公開鍵(認証機関の公開鍵)の取得を要求する(ステップS173)。認証機関サーバ3は、電子証明書の公開鍵を中央サーバ2へ送信し、中央サーバ2は送信された電子証明書の公開鍵を受信する(ステップS174)。中央サーバ2のCPU21は、記憶した電子証明書をRAM22から読み出し、認証機関サーバ3から送信された認証機関の公開鍵を用いて電子証明書を復号し携帯電話機1の公開鍵を取得する(ステップS175)。   The CPU 21 of the central server 2 accesses the certificate authority server 3 described in the electronic certificate, and requests acquisition of the public key (certificate authority public key) of the received electronic certificate (step S173). The certification authority server 3 transmits the public key of the electronic certificate to the central server 2, and the central server 2 receives the public key of the transmitted electronic certificate (step S174). The CPU 21 of the central server 2 reads the stored electronic certificate from the RAM 22, decrypts the electronic certificate using the public key of the certification authority transmitted from the certification authority server 3, and obtains the public key of the mobile phone 1 (step) S175).

中央サーバ2のCPU21は取得した携帯電話機1の公開鍵を用いて暗号化された生体情報及び環境情報並びにメッセージダイジェストを復号する(ステップS181)。さらにCPU21は復号した生体情報及び環境情報に、中央サーバ2の記憶部25に記憶したハッシュ関数を用いてメッセージダイジェストを算出する(ステップS182)。中央サーバ2のCPU21はステップS181で復号したメッセージダイジェストと、ステップS182で算出したメッセージダイジェストとが一致するか否か、すなわち送信の途中で生体情報及び環境情報に改竄がないか、また権限のある顧客の携帯電話機1から情報が送受信されたものであるか否かを判断する(ステップS183)。   The CPU 21 of the central server 2 decrypts the biometric information, the environment information, and the message digest encrypted using the acquired public key of the mobile phone 1 (step S181). Further, the CPU 21 calculates a message digest using the hash function stored in the storage unit 25 of the central server 2 for the decrypted biometric information and environment information (step S182). The CPU 21 of the central server 2 determines whether or not the message digest decrypted in step S181 matches the message digest calculated in step S182, that is, whether the biometric information and the environment information are not falsified during transmission, or is authorized. It is determined whether or not information is transmitted / received from the customer's mobile phone 1 (step S183).

メッセージダイジェストが一致しない場合は(ステップS183でNO)、CPU21は何らかの改竄またはなりすましがあったと判断し、電子証明書認証の不適正フラグをセットする(ステップS185)。一方、メッセージダイジェストが一致する場合は(ステップS183でYES)、なりすまし及び改竄がないものとして電子証明書認証の適正フラグをセットする(ステップS184)。そして、中央サーバ2のCPU21は電子証明書認証のフラグ(電子証明書認証適正フラグ、または電子証明書認証不適正フラグ)を記憶部25に記憶する(ステップS186)。   If the message digests do not match (NO in step S183), the CPU 21 determines that there has been any falsification or impersonation, and sets an inappropriate flag for electronic certificate authentication (step S185). On the other hand, if the message digests match (YES in step S183), an appropriate flag for electronic certificate authentication is set assuming that there is no impersonation and tampering (step S184). Then, the CPU 21 of the central server 2 stores the electronic certificate authentication flag (electronic certificate authentication appropriate flag or electronic certificate authentication inappropriate flag) in the storage unit 25 (step S186).

続いて、中央サーバ2のCPU21は指紋情報ファイル252から予め登録された認証用の指紋情報を読み出す(ステップS187)。CPU21は復号した指紋情報と、読み出した認証用の指紋情報とを比較して一致するか否か、すなわち指紋情報認証が適正であるか否か判断する(ステップS191)。   Subsequently, the CPU 21 of the central server 2 reads authentication fingerprint information registered in advance from the fingerprint information file 252 (step S187). The CPU 21 compares the decrypted fingerprint information with the read fingerprint information for authentication, and determines whether or not they match, that is, whether or not the fingerprint information authentication is appropriate (step S191).

指紋が一致し、指紋情報認証が適正であると判断した場合は(ステップS191でYES)、指紋認証適正フラグをセットする(ステップS192)。一方、指紋が一致せず、指紋情報認証が不適正であると判断した場合(ステップS191でNO)、指紋認証不適正フラグをセットする(ステップS193)。中央サーバ2のCPU21は指紋認証フラグ(指紋認証適正フラグまたは指紋認証不適正フラグ)を記憶部25に記憶する(ステップS194)。   If the fingerprints match and it is determined that fingerprint information authentication is appropriate (YES in step S191), a fingerprint authentication appropriate flag is set (step S192). On the other hand, if the fingerprints do not match and it is determined that fingerprint information authentication is inappropriate (NO in step S191), a fingerprint authentication inappropriate flag is set (step S193). The CPU 21 of the central server 2 stores the fingerprint authentication flag (fingerprint authentication appropriate flag or fingerprint authentication inappropriate flag) in the storage unit 25 (step S194).

中央サーバ2のCPU21はステップS162で決定した階級に対応する環境情報の条件を環境情報DB251から読み出す(ステップS195)。そして、CPU21は、復号された環境情報が、ステップS195にて読み出された環境情報の条件を満たすか否かを判断する(ステップS196)。条件を満たさない場合(ステップS196でNO)、環境認証不適正フラグをセットする(ステップS198)。一方、条件を満たす場合(ステップS196でYES)、環境認証適正フラグをセットする(ステップS197)。中央サーバ2のCPU21は環境認証のフラグ(環境認証適正フラグ、または環境認証不適正フラグ)を記憶部25に記憶する(ステップS201)。   The CPU 21 of the central server 2 reads the environment information conditions corresponding to the class determined in step S162 from the environment information DB 251 (step S195). Then, the CPU 21 determines whether or not the decrypted environment information satisfies the condition of the environment information read in step S195 (step S196). If the condition is not satisfied (NO in step S196), the environment authentication inappropriate flag is set (step S198). On the other hand, if the condition is satisfied (YES in step S196), an environmental authentication appropriate flag is set (step S197). The CPU 21 of the central server 2 stores an environment authentication flag (environment authentication appropriate flag or environment authentication inappropriate flag) in the storage unit 25 (step S201).

CPU21は、記憶部25に記憶した指紋認証フラグ、電子証明書フラグ及び環境認証フラグを読み出し、指紋認証適正フラグ、電子証明書適正フラグ及び環境認証適正フラグの全てがアンド条件でセットされているか否かを判断する(ステップS202)。全ての適正フラグがセットされている場合(ステップS202でYES)、携帯電話機1を安全なものと判断し安全フラグをセットする(ステップS203)。換言すれば、生体認証、電子証明書認証(PKI認証)、および環境認証の全てにおいて適正と判断された場合に限り携帯電話機1を適正なものであると判断する。中央サーバ2のCPU21は携帯電話機1またはWebサーバ4に通信を継続することを示す信号を送信する(ステップS204)。   The CPU 21 reads the fingerprint authentication flag, the electronic certificate flag, and the environment authentication flag stored in the storage unit 25, and whether or not all of the fingerprint authentication appropriate flag, the electronic certificate appropriate flag, and the environment authentication appropriate flag are set in the AND condition. Is determined (step S202). If all appropriate flags are set (YES in step S202), the mobile phone 1 is determined to be safe and a safety flag is set (step S203). In other words, the mobile phone 1 is determined to be appropriate only when it is determined to be appropriate in all of biometric authentication, electronic certificate authentication (PKI authentication), and environmental authentication. The CPU 21 of the central server 2 transmits a signal indicating that communication is continued to the mobile phone 1 or the Web server 4 (step S204).

一方、生体認証、電子証明書認証(PKI認証)、および環境認証の内、1つでも不適正フラグがセットされている場合は、不適正フラグをセットする(ステップS205)。この場合CPU21は携帯電話機1またはWebサーバ4に通信を終了することを示す信号を送信する(ステップS206)。   On the other hand, if at least one of the biometric authentication, electronic certificate authentication (PKI authentication), and environment authentication is set, the improper flag is set (step S205). In this case, the CPU 21 transmits a signal indicating the end of communication to the mobile phone 1 or the Web server 4 (step S206).

実施の形態4
実施の形態4は、パッチ用のソフトウェア、ファームウェアを提供する場合に適用される安全性判断システムに関する。PDA、携帯電話機、冷蔵庫、空気調和機、プリンタ等においては、内蔵されるソフトウェアのバグが発見される場合があり、この場合、パッチ用のソフトウェアを提供する必要がある。また、追加機能を備えるファームウェアを提供する場合もある。実施の形態4では安全性を確保した上でこれらのソフトウェアを顧客に提供することが可能な安全性判断システムについて説明する。
Embodiment 4
The fourth embodiment relates to a safety judgment system applied when patch software and firmware are provided. In a PDA, a mobile phone, a refrigerator, an air conditioner, a printer, and the like, a bug in the built-in software may be found. In this case, it is necessary to provide patch software. In some cases, firmware having an additional function is provided. In the fourth embodiment, a safety judgment system capable of providing such software to a customer while ensuring safety will be described.

図21は実施の形態4に係る携帯電話機1のハードウェア構成を示すブロック図である。図21に示す114は携帯電話機エンジン部110に電力を供給する主電力供給手段(以下、主電源部という)であり、リチウム電池等が用いられる。入力部13の図示しないオンボタンの操作により、主電源部114から携帯電話機エンジン部110及びセキュリティチップ5へ電力が供給され、図示しないオフボタンの操作により、主電源部114から携帯電話機エンジン部110及びセキュリティチップ5への電力が遮断され携帯電話機1の電源が切られる。   FIG. 21 is a block diagram showing a hardware configuration of mobile phone 1 according to the fourth embodiment. Reference numeral 114 shown in FIG. 21 denotes a main power supply unit (hereinafter referred to as a main power supply unit) that supplies power to the mobile phone engine unit 110, and uses a lithium battery or the like. Electric power is supplied from the main power supply unit 114 to the mobile phone engine unit 110 and the security chip 5 by operating an on button (not shown) of the input unit 13, and the mobile phone engine unit 110 is operated from the main power supply unit 114 by operating an off button (not shown). In addition, the power to the security chip 5 is cut off and the mobile phone 1 is turned off.

一方、副電力供給手段(以下、副電源部という)115は、例えばコイン形のリチウム電池が用いられ、主電源部114による携帯電話機エンジン部110及びセキュリティチップ5への電力供給が行われていない場合にでも、蓄積手段としての第2ROM116及び受信通信手段としての副アンテナ部117に電力を供給する。主電源部114により電力が供給されている場合、すなわち携帯電話機の電源がオンの場合に、中央サーバ2からソフトウェアが送信されたときは、該ソフトウェアはアンテナ部16からソフトウェアを受信し、CPU11がROM15にソフトウェアを記憶する。この場合、副電源部115による電力供給は行われていない。   On the other hand, the sub power supply means (hereinafter referred to as sub power supply unit) 115 uses, for example, a coin-type lithium battery, and the main power unit 114 does not supply power to the mobile phone engine unit 110 and the security chip 5. Even in this case, power is supplied to the second ROM 116 serving as a storage unit and the sub antenna unit 117 serving as a reception communication unit. When power is supplied from the main power supply unit 114, that is, when the mobile phone is powered on, when software is transmitted from the central server 2, the software receives the software from the antenna unit 16, and the CPU 11 Software is stored in the ROM 15. In this case, power supply by the sub power supply unit 115 is not performed.

逆に、主電源部114による電力供給がなされていない場合、すなわち携帯電話機1の電源がオフの場合、副電源部115により、副アンテナ部117及び第2ROM116に電源が供給される。そして、中央サーバ2からソフトウェアが送信された場合、副アンテナ部117でソフトウェアを受信し、第2ROM116に受信したソフトウェアを記憶し、主電源による電力が供給された時点で、第2ROM116に記憶したソフトウェアをROM15に書き込む処理を行う。なお、副アンテナ部117は、例えば公知のFM文字多重放送受信モジュールを用いればよい。この場合、中央サーバはFM放送局を介してソフトウェアを含むFM文字放送を発信する。副アンテナ部117であるFM文字多重放送受信モジュールが、FM文字放送を受信した場合、DARC規格の文字コードで記述されたソフトウェアのデータを、C言語、Java等で記述されたソースコードに変換する。最後にセキュリティチップ5のMPU51は本人認証、PKI認証及び環境認証を行った上で、ROM15にソフトウェアをインストールする。   Conversely, when power is not supplied from the main power supply unit 114, that is, when the mobile phone 1 is powered off, the sub power supply unit 115 supplies power to the sub antenna unit 117 and the second ROM 116. When software is transmitted from the central server 2, the secondary antenna unit 117 receives the software, stores the received software in the second ROM 116, and stores the software stored in the second ROM 116 when power from the main power supply is supplied. Is written into the ROM 15. The sub-antenna unit 117 may be a known FM text multiplex broadcast receiving module, for example. In this case, the central server transmits an FM character broadcast including software via the FM broadcast station. When the FM character multiplex broadcast receiving module which is the sub-antenna unit 117 receives the FM character broadcast, the software data described in the DARC standard character code is converted into the source code described in C language, Java or the like. . Finally, the MPU 51 of the security chip 5 performs personal authentication, PKI authentication, and environment authentication, and then installs software in the ROM 15.

図22は中央サーバ2のハードウェア構成を示すブロック図である。図22に示すように記憶部25には、認証機関サーバ3による認証を経たパッチ用のソフトウェア、ファームウェア、プラグインソフト、ワクチン等の数々のソフトウェアが記憶されている。なお、これらのソフトウェアはソフトウェア会社から提供をうけている。電子証明書ファイル253には、予め認証機関サーバ3から発行を受けた中央サーバ2の電子証明書が記憶されており、個人鍵ファイル254にも同じく、予め認証機関サーバ3から発行を受けた中央サーバ2の個人鍵が記憶されている。   FIG. 22 is a block diagram showing a hardware configuration of the central server 2. As shown in FIG. 22, the storage unit 25 stores various software such as patch software, firmware, plug-in software, and vaccine that have been authenticated by the certification authority server 3. These software are provided by software companies. The electronic certificate file 253 stores the electronic certificate of the central server 2 that has been issued in advance from the certification authority server 3, and the personal key file 254 similarly has the central certificate that has been issued in advance from the certification authority server 3. The personal key of the server 2 is stored.

以上のハードウェア構成において安全性が保証されたソフトウェアの提供処理について、フローチャートを用いて説明する。図23乃至図29は実施の形態4に係るソフトウェア提供処理の手順を示すフローチャートである。まず、中央サーバ2のCPU21は携帯電話機1に発呼するなどして、主電源がオンかオフかの情報の取得要求を行う(ステップS231)。携帯電話機1は主電源がオンかオフの情報を送信する(ステップS232)。中央サーバ2は主電源がオンであるか否かを判断し(ステップS233)、主電源がオンである場合(ステップS233でYES)、ステップS162で説明した如く安全性の階級を決定する(ステップS234)。この安全性に関しては提供されるソフトウェアの重要度に応じて管理者が決定するようにすればよい。例えばパッチ用ソフトウェアまたはワクチンソフトの場合は安全性を高めるべく階級1と決定され、ゲーム用のソフトウェアなど安全性が低いものは階級6と決定される。   Software providing processing in which safety is guaranteed in the above hardware configuration will be described using a flowchart. 23 to 29 are flowcharts showing the procedure of the software providing process according to the fourth embodiment. First, the CPU 21 of the central server 2 makes a call to the mobile phone 1 and makes an acquisition request for information on whether the main power is on or off (step S231). The mobile phone 1 transmits information on whether the main power is on or off (step S232). The central server 2 determines whether or not the main power source is on (step S233). If the main power source is on (YES in step S233), the safety class is determined as described in step S162 (step S233). S234). This security may be determined by the administrator according to the importance of the software provided. For example, in the case of patch software or vaccine software, class 1 is determined to increase safety, and software with low safety such as game software is determined as class 6.

中央サーバ2のCPU21は認証開始信号を携帯電話機1へ送信する(ステップS235)。認証開始信号を受信したセキュリティチップ5のMPU51は、制御プログラム55Pを実行し、表示部14に指紋情報の取得要求を表示する(ステップS236)。指紋取得部112から指紋情報が入力された場合、セキュリティチップ5のMPU51は指紋情報を受け付け(ステップS237)、RAM52に一時的に記憶する。そして、MPU51はROM55の指紋情報ファイル552に携帯電話機1の購入時に予め記憶してある指紋情報を読み出し、RAM52に記憶した指紋情報と比較して一致するか否か、すなわち指紋情報認証が適正であるか否か判断する(ステップS241)。   The CPU 21 of the central server 2 transmits an authentication start signal to the mobile phone 1 (step S235). The MPU 51 of the security chip 5 that has received the authentication start signal executes the control program 55P and displays a fingerprint information acquisition request on the display unit 14 (step S236). When fingerprint information is input from the fingerprint acquisition unit 112, the MPU 51 of the security chip 5 receives the fingerprint information (step S237) and temporarily stores it in the RAM 52. Then, the MPU 51 reads the fingerprint information stored in advance in the fingerprint information file 552 of the ROM 55 at the time of purchase of the mobile phone 1 and compares it with the fingerprint information stored in the RAM 52, that is, the fingerprint information authentication is appropriate. It is determined whether or not there is (step S241).

指紋が一致し、指紋情報認証が適正であると判断した場合は(ステップS241でYES)、指紋認証適正フラグをセットする(ステップS243)。一方、指紋が一致せず、指紋情報認証が不適正であると判断した場合(ステップS241でNO)、指紋認証不適正フラグをセットする(ステップS242)。MPU51は送信された指紋認証フラグ(指紋認証適正フラグまたは指紋認証不適正フラグ)を記憶部55に記憶する(ステップS244)。   If the fingerprints match and it is determined that fingerprint information authentication is appropriate (YES in step S241), a fingerprint authentication appropriate flag is set (step S243). On the other hand, if the fingerprints do not match and it is determined that fingerprint information authentication is inappropriate (NO in step S241), a fingerprint authentication inappropriate flag is set (step S242). The MPU 51 stores the transmitted fingerprint authentication flag (fingerprint authentication appropriate flag or fingerprint authentication inappropriate flag) in the storage unit 55 (step S244).

次に、セキュリティチップ5のMPU51は携帯電話機1の環境情報を取得する(ステップS245)。収集された環境情報は環境情報ファイル551に記憶される(ステップS246)。MPU51は環境情報ファイル551から収集した環境情報を読み出して中央サーバ2へ送信する(ステップS247)。中央サーバ2のCPU21は送信された環境情報をRAM22に記憶する。中央サーバ2のCPU21はステップS162にて決定した階級に対応する環境情報の条件を環境情報DB251から読み出す(ステップS248)。   Next, the MPU 51 of the security chip 5 acquires the environment information of the mobile phone 1 (step S245). The collected environment information is stored in the environment information file 551 (step S246). The MPU 51 reads out the environment information collected from the environment information file 551 and transmits it to the central server 2 (step S247). The CPU 21 of the central server 2 stores the transmitted environment information in the RAM 22. The CPU 21 of the central server 2 reads out the environment information condition corresponding to the class determined in step S162 from the environment information DB 251 (step S248).

そして、CPU21は、RAM22に記憶され、受信した環境情報が、読み出した環境情報の条件を満たすか否かを判断する(ステップS251)。条件を満たさない場合(ステップS251でNO)、環境認証不適正フラグをセットする(ステップS253)。一方、条件を満たす場合(ステップS251でYES)、環境認証適正フラグをセットする(ステップS252)。中央サーバ2のCPU21は環境認証のフラグ(環境認証適正フラグ、または環境認証不適正フラグ)を記憶部25に記憶し(ステップS254)、携帯電話機1へ送信する(ステップS255)。環境認証のフラグを受信したセキュリティチップ5のMPU51は、環境認証フラグ(環境認証適正フラグ、または環境認証不適正フラグ)を記憶部55に記憶する(ステップS256)。   Then, the CPU 21 determines whether or not the received environment information satisfies the conditions of the read environment information stored in the RAM 22 (step S251). If the condition is not satisfied (NO in step S251), an environment authentication inappropriate flag is set (step S253). On the other hand, if the condition is satisfied (YES in step S251), an environmental authentication appropriate flag is set (step S252). The CPU 21 of the central server 2 stores an environment authentication flag (environment authentication appropriate flag or environment authentication inappropriate flag) in the storage unit 25 (step S254) and transmits it to the mobile phone 1 (step S255). The MPU 51 of the security chip 5 that has received the environment authentication flag stores the environment authentication flag (environment authentication appropriate flag or environment authentication inappropriate flag) in the storage unit 55 (step S256).

さらに中央サーバ2のCPU21は記憶部25に記憶した提供用のソフトウェアを記憶部25から読み出す(ステップS257)。CPU21は、読み出したソフトウェアに、記憶部25に記憶したハッシュ関数を用いてメッセージダイジェストを算出する(ステップS258)。CPU21は認証機関サーバ3から予め発行を受けた中央サーバ2の個人鍵を個人鍵ファイル254から読み出し、ソフトウェア及びメッセージダイジェストを暗号化する(ステップS259)。CPU21は電子証明書ファイル253から認証機関サーバ3において予め発行を受けた電子証明書を読み出し、暗号化したソフトウェア及びメッセージダイジェストに電子証明書を添付して携帯電話機1へ送信する(ステップS261)。セキュリティチップ5のMPU51は送信された電子証明書、暗号化されたソフトウェア及びメッセージダイジェストをRAM52に記憶する。   Further, the CPU 21 of the central server 2 reads the software for provision stored in the storage unit 25 from the storage unit 25 (step S257). The CPU 21 calculates a message digest for the read software using the hash function stored in the storage unit 25 (step S258). The CPU 21 reads the personal key of the central server 2 previously issued from the certification authority server 3 from the personal key file 254, and encrypts the software and the message digest (step S259). The CPU 21 reads the electronic certificate issued in advance in the certification authority server 3 from the electronic certificate file 253, attaches the electronic certificate to the encrypted software and message digest, and transmits them to the mobile phone 1 (step S261). The MPU 51 of the security chip 5 stores the transmitted electronic certificate, encrypted software, and message digest in the RAM 52.

セキュリティチップ5のMPU51は電子証明書に記載されている認証機関サーバ3へアクセスし、受信した電子証明書の公開鍵(認証機関の公開鍵)の取得を要求する(ステップS262)。認証機関サーバ3は、電子証明書の公開鍵を携帯電話機1へ送信し、セキュリティチップ5のMPU51は送信された公開鍵を受信する(ステップS263)。MPU51は記憶した電子証明書をRAM52から読み出し、認証機関サーバ3から送信された認証機関の公開鍵を用いて電子証明書を復号し中央サーバ2の公開鍵を取得する(ステップS264)。   The MPU 51 of the security chip 5 accesses the certification authority server 3 described in the electronic certificate, and requests acquisition of the public key of the received electronic certificate (the public key of the certification authority) (step S262). The certification authority server 3 transmits the public key of the electronic certificate to the mobile phone 1, and the MPU 51 of the security chip 5 receives the transmitted public key (step S263). The MPU 51 reads the stored electronic certificate from the RAM 52, decrypts the electronic certificate using the public key of the certification authority transmitted from the certification authority server 3, and acquires the public key of the central server 2 (step S264).

セキュリティチップ5のMPU51は取得した中央サーバ2の公開鍵を用いて、暗号化されたソフトウェア及びメッセージダイジェストを復号する(ステップS265)。さらにMPU51は復号したソフトウェアに、セキュリティチップ5のROM55に記憶したハッシュ関数を用いてメッセージダイジェストを算出する(ステップS266)。MPU51はステップS265で復号したメッセージダイジェストと、ステップS266で算出したメッセージダイジェストとが一致するか否か、すなわち送信の途中でソフトウェアに改竄がないか、また権限のある中央サーバ2から情報が送受信されたものであるか否かを判断する(ステップS271)。   The MPU 51 of the security chip 5 decrypts the encrypted software and message digest using the acquired public key of the central server 2 (step S265). Further, the MPU 51 calculates a message digest in the decrypted software using the hash function stored in the ROM 55 of the security chip 5 (step S266). The MPU 51 confirms whether or not the message digest decrypted in step S265 matches the message digest calculated in step S266, that is, whether the software has been tampered with in the middle of transmission, and information is transmitted / received from the authorized central server 2 It is determined whether or not it has been (step S271).

メッセージダイジェストが一致しない場合は(ステップS271でNO)、MPU51は何らかの改竄またはなりすましがあったと判断し、電子証明書認証の不適正フラグをセットする(ステップS272)。一方、メッセージダイジェストが一致する場合は(ステップS271でYES)、なりすまし及び改竄がないものとして電子証明書認証の適正フラグをセットする(ステップS273)。そして、セキュリティチップ5のMPU51は電子証明書認証のフラグ(電子証明書認証適正フラグ、または電子証明書認証不適正フラグ)をROM55に記憶する(ステップS274)。   If the message digests do not match (NO in step S271), the MPU 51 determines that there has been any falsification or impersonation, and sets an inappropriate flag for electronic certificate authentication (step S272). On the other hand, if the message digests match (YES in step S271), an appropriate flag for digital certificate authentication is set assuming that there is no impersonation and tampering (step S273). Then, the MPU 51 of the security chip 5 stores the electronic certificate authentication flag (electronic certificate authentication appropriate flag or electronic certificate authentication inappropriate flag) in the ROM 55 (step S274).

MPU51はROM55に記憶した指紋認証フラグ、電子証明書フラグ及び環境認証フラグを読み出し、指紋認証適正フラグ、電子証明書適正フラグ及び環境認証適正フラグの全てがアンド条件でセットされているか否かを判断する(ステップS275)。全ての適正フラグがセットされている場合(ステップS275でYES)、送信されたソフトウェアを安全なものと判断し安全フラグをセットする(ステップS278)。セキュリティチップ5のMPU51はステップS265で復号されたソフトウェアを携帯電話機エンジン部110のROM15にインストールする(ステップS2710)。そして、MPU51はインストールが完了したことを示す信号を中央サーバ2へ送信する(ステップS2711)。   The MPU 51 reads the fingerprint authentication flag, the electronic certificate flag, and the environment authentication flag stored in the ROM 55, and determines whether all of the fingerprint authentication appropriate flag, the electronic certificate appropriate flag, and the environment authentication appropriate flag are set under the AND condition. (Step S275). If all the appropriate flags are set (YES in step S275), it is determined that the transmitted software is safe and the safety flag is set (step S278). The MPU 51 of the security chip 5 installs the software decrypted in step S265 in the ROM 15 of the mobile phone engine unit 110 (step S2710). Then, the MPU 51 transmits a signal indicating that the installation is completed to the central server 2 (step S2711).

一方、生体認証、電子証明書認証(PKI認証)、および環境認証の内、1つでも不適正フラグがセットされている場合(ステップS275でNO)は、不適正フラグをセットする(ステップS279)。この場合MPU51はインストールを拒否することを示す信号を中央サーバ2へ送信する(ステップS2712)。   On the other hand, if any one of the biometric authentication, electronic certificate authentication (PKI authentication), and environment authentication is set (NO in step S275), the inappropriate flag is set (step S279). . In this case, the MPU 51 transmits a signal indicating that installation is refused to the central server 2 (step S2712).

ステップS233でNOの場合、つまり携帯電話機1の主電源がオフの場合、中央サーバ2のCPU21は記憶部25に記憶した提供用のソフトウェアを記憶部25から読み出す(ステップS281)。CPU21は、読み出したソフトウェアに、記憶部25に記憶したハッシュ関数を用いてメッセージダイジェストを算出する(ステップS282)。CPU21は認証機関サーバ3から予め発行を受けた中央サーバ2の個人鍵を個人鍵ファイル254から読み出し、ソフトウェア及びメッセージダイジェストを暗号化する(ステップS283)。CPU21は電子証明書ファイル253から認証機関サーバ3において予め発行を受けた電子証明書を読み出し、暗号化したソフトウェア及びメッセージダイジェストに電子証明書を添付して、FM放送局のコンピュータ(図示せず)へ送信する(ステップS284)。   If NO in step S233, that is, if the main power supply of the mobile phone 1 is off, the CPU 21 of the central server 2 reads the software for provision stored in the storage unit 25 from the storage unit 25 (step S281). The CPU 21 calculates a message digest using the hash function stored in the storage unit 25 in the read software (step S282). The CPU 21 reads the personal key of the central server 2 previously issued from the certificate authority server 3 from the personal key file 254, and encrypts the software and the message digest (step S283). The CPU 21 reads an electronic certificate issued in advance in the certification authority server 3 from the electronic certificate file 253, attaches the electronic certificate to the encrypted software and message digest, and FM broadcast station computer (not shown). (Step S284).

FM放送局のコンピュータは電子証明書、暗号化されたソフトウェア及びメッセージダイジェストをDARC規格の放送データに変換し、FM文字放送多重回路(図示せず)によってFM音楽データと放送データとに多重化する。これらのデータはFM変調発振器によりFM変調されて放送される。携帯電話機1は副アンテナ部117からFM文字放送を受信し(ステップS285)、DARC規格の文字コードで記述されたデータを変換して電子証明書、暗号化したソフトウェア及びメッセージダイジェストを取り出す。なお、DARC規格を利用したFM文字放送に関する技術は特開平10−116237号に開示されている。   The FM broadcast station computer converts the digital certificate, encrypted software, and message digest into DARC standard broadcast data, and multiplexes it into FM music data and broadcast data by an FM text broadcast multiplex circuit (not shown). . These data are FM-modulated by an FM modulation oscillator and broadcast. The cellular phone 1 receives the FM text broadcast from the sub-antenna unit 117 (step S285), converts the data described in the DARC standard character code, and extracts the electronic certificate, the encrypted software, and the message digest. A technique related to FM text broadcasting using the DARC standard is disclosed in Japanese Patent Laid-Open No. 10-116237.

変換された、電子証明書、ソフトウェア及びメッセージダイジェストは第2ROM116に記憶される(ステップS286)。そして顧客の入力部13の操作により、主電源部114による電力の供給が開始された場合(ステップS291)、ステップS236〜ステップS244で説明した処理と同様に指紋認証を行い(ステップS292)、ステップS245〜ステップS256で説明した処理と同様に環境認証を行い(ステップS294)、ステップS262〜ステップS274で説明した処理と同様に電子証明書による認証を行う(ステップS293)。なお、電子証明書による認証を行う場合は、CPU51が第2ROM116に記憶された電子証明書、暗号化されたソフトウェア及びメッセージダイジェストを読み出して、RAM52に記憶してから、電子証明書による認証を行う。つまり、認証機関サーバ3から取得した公開鍵を用いて、電子証明書から公開鍵を取得し、取得した公開鍵で暗号化されたソフトウェアを復号し、復号されたソフトウェアが適正であるか否かを判断する。   The converted electronic certificate, software, and message digest are stored in the second ROM 116 (step S286). When supply of power by the main power supply unit 114 is started by the operation of the customer input unit 13 (step S291), fingerprint authentication is performed in the same manner as the processing described in steps S236 to S244 (step S292). Environment authentication is performed in the same manner as the processing described in steps S245 to S256 (step S294), and authentication using an electronic certificate is performed in the same manner as the processing described in steps S262 to S274 (step S293). When performing authentication using an electronic certificate, the CPU 51 reads the electronic certificate, encrypted software, and message digest stored in the second ROM 116, stores them in the RAM 52, and then performs authentication using the electronic certificate. . That is, the public key acquired from the certification authority server 3 is used to acquire the public key from the electronic certificate, the software encrypted with the acquired public key is decrypted, and whether or not the decrypted software is appropriate. Judging.

MPU51はROM55に記憶した指紋認証フラグ、電子証明書フラグ及び環境認証フラグを読み出し、指紋認証適正フラグ、電子証明書適正フラグ及び環境認証適正フラグの全てがアンド条件でセットされているか否かを判断する(ステップS295)。全ての適正フラグがセットされている場合(ステップS295でYES)、送信されたソフトウェアを安全なものと判断し安全フラグをセットする(ステップS296)。セキュリティチップ5のMPU51は復号されたソフトウェアを携帯電話機エンジン部110のROM15にインストールする(ステップS298)。そして、MPU51はインストールが完了したことを示す信号を中央サーバ2へ送信する(ステップS299)。   The MPU 51 reads the fingerprint authentication flag, the electronic certificate flag, and the environment authentication flag stored in the ROM 55, and determines whether all of the fingerprint authentication appropriate flag, the electronic certificate appropriate flag, and the environment authentication appropriate flag are set under the AND condition. (Step S295). If all the appropriate flags are set (YES in step S295), it is determined that the transmitted software is safe and the safety flag is set (step S296). The MPU 51 of the security chip 5 installs the decrypted software in the ROM 15 of the mobile phone engine unit 110 (step S298). Then, the MPU 51 transmits a signal indicating that the installation is completed to the central server 2 (step S299).

一方、生体認証、電子証明書認証(PKI認証)、および環境認証の内、1つでも不適正フラグがセットされている場合(ステップS295でNO)は、不適正フラグをセットする(ステップS297)。この場合MPU51はインストールを拒否することを示す信号を中央サーバ2へ送信する(ステップS2910)。   On the other hand, if any one of the biometric authentication, electronic certificate authentication (PKI authentication), and environment authentication is set (NO in step S295), the improper flag is set (step S297). . In this case, the MPU 51 transmits a signal indicating that installation is refused to the central server 2 (step S2910).

中央サーバ2から提供されるソフトウェアはパッチ用ソフトウェア等の他、DDoS攻撃の対象となった携帯電話機1内のソフトウェアを削除するためのソフトウェアであっても良い。例えば、何らかの原因により、携帯電話機1に数日後に所定のWebサーバにDDoS攻撃を行うソフトウェア(プログラム)がセットされた場合、本発明の認証を経たソフトウェアを提供する。提供されるソフトウェアには、日時情報が記憶されており、インストールして実行することにより記憶された日時以降に記憶されたデータを全て消去する。   The software provided from the central server 2 may be software for deleting software in the mobile phone 1 that is the target of the DDoS attack, in addition to patch software and the like. For example, when software (program) that performs a DDoS attack is set in a predetermined Web server after several days for some reason, the software that has undergone the authentication of the present invention is provided. The provided software stores date / time information, and erases all data stored after the date / time stored by installing and executing the software.

図30はインストールされた消去用ソフトウェアの処理内容を示すフローチャートである。ステップS298によりROM15に消去用のソフトウェアがインストールされる。顧客は消去用のソフトウェアを、入力部13を操作することによりCPU11に実行させる(ステップS301)。CPU11はROM15内の記憶履歴の読み出しを行う(ステップS302)。具体的には記憶されたファイル、インストールされたソフトウェア等のデータと、さらにそれらのデータが記憶された日時の情報を読み出す。CPU11は消去用のソフトウェアの実行プログラムから日時の情報を読み出す(ステップS303)。そして読み出した記憶履歴を参照し、読み出した日時以降に記憶されたデータを全て消去する(ステップS304)。これにより、DDoS攻撃の踏み台にされた携帯電話機1が、攻撃に利用されることを防止することができる。   FIG. 30 is a flowchart showing the processing contents of the installed erasing software. In step S298, erasing software is installed in the ROM 15. The customer causes the CPU 11 to execute erasure software by operating the input unit 13 (step S301). The CPU 11 reads the storage history in the ROM 15 (step S302). More specifically, data such as stored files and installed software, and information on the date and time when those data are stored are read out. The CPU 11 reads date / time information from the execution program of the erasing software (step S303). Then, referring to the read storage history, all the data stored after the read date and time are deleted (step S304). Thereby, it can prevent that the mobile telephone 1 used as the platform of the DDoS attack is utilized for an attack.

実施の形態5
図31は実施の形態5に係る携帯電話機1のハードウェア構成を示すブロック図である。実施の形態4に係る携帯電話機1に実行させるためのコンピュータプログラムは、本実施の形態5のように携帯電話機1にプレインストールして提供することも、またCD−ROM、MO、メモリーカード等の可搬型記録媒体で提供することも可能である。さらに、コンピュータプログラムを回線経由で搬送波として伝搬させて提供することも可能である。すなわち、セキュリティチップ5を搭載する代わりに、セキュリティチップ5と同様の機能をもつコンピュータプログラムを携帯電話機1のROM15にインストールするようにしても良い。以下に、その内容を説明する。
Embodiment 5
FIG. 31 is a block diagram showing a hardware configuration of mobile phone 1 according to the fifth embodiment. The computer program to be executed by the mobile phone 1 according to the fourth embodiment can be provided by being preinstalled in the mobile phone 1 as in the fifth embodiment, or can be provided by a CD-ROM, MO, memory card, etc. It is also possible to provide a portable recording medium. Furthermore, it is also possible to provide a computer program as a carrier wave via a line. That is, instead of mounting the security chip 5, a computer program having the same function as the security chip 5 may be installed in the ROM 15 of the mobile phone 1. The contents will be described below.

図31に示す携帯電話機1に、生体情報を認証させ、環境情報を収集させ、環境情報を送信させ、電子証明書による認証をさせ、インストールさせるプログラムが記録された記録媒体1a(CD−ROM、MO、メモリーカード又はDVD−ROM等)が携帯電話機1のROM15にインストールされている。インストールの方法としては、外部接続端子19に接続可能なメモリーカード等の記録媒体1aを嵌挿し、プログラムをインストールするか、または、中央サーバ2から本発明に係るプログラムをダウンロードするようにしても良い。係るプログラムは携帯電話機1のRAM12にロードして実行される。これにより、上述のような本発明の情報処理装置としての携帯電話機1として機能する。   31 is a recording medium 1a (CD-ROM, CD-ROM, which stores a program for authenticating biometric information, collecting environmental information, transmitting environmental information, authenticating with an electronic certificate, and installing the mobile phone 1 shown in FIG. MO, memory card, DVD-ROM, etc.) are installed in the ROM 15 of the mobile phone 1. As an installation method, a recording medium 1a such as a memory card that can be connected to the external connection terminal 19 is inserted and the program is installed, or the program according to the present invention may be downloaded from the central server 2. . Such a program is loaded into the RAM 12 of the mobile phone 1 and executed. Thereby, it functions as the mobile phone 1 as the information processing apparatus of the present invention as described above.

実施の形態6
本実施の形態においては、携帯電話機1及び中央サーバ2の双方で生体情報認証、環境認証及び電子証明書認証の全てが適正と判断された場合に、携帯電話機1及び中央サーバ2を安全と判断しその後の情報の送受信を許可する技術について説明する。
Embodiment 6
In the present embodiment, when all of the biometric information authentication, the environment authentication, and the electronic certificate authentication are determined to be appropriate in both the mobile phone 1 and the central server 2, the mobile phone 1 and the central server 2 are determined to be safe. A technique for permitting subsequent transmission / reception of information will be described.

図32は実施の形態6に係る携帯電話機1のハードウェア構成を示すブロック図であり、また図33は実施の形態6に係る中央サーバ2のハードウェア構成を示すブロック図である。図32に示すように本実施の形態においては携帯電話機1においても中央サーバ2の環境認証を行うため、携帯電話機1のROM15には環境情報DB151が用意されている。図4で説明したものと同様に、中央サーバ2の外部通信ポート29に接続される周辺機器、PCカード(図示せず)、インストールされているOS,ソフトウェア等に対する環境情報に対する条件が、セキュリティポリシィである階級に対応付けられて記憶されている。   FIG. 32 is a block diagram showing a hardware configuration of the mobile phone 1 according to the sixth embodiment, and FIG. 33 is a block diagram showing a hardware configuration of the central server 2 according to the sixth embodiment. As shown in FIG. 32, in the present embodiment, the environment information DB 151 is prepared in the ROM 15 of the mobile phone 1 in order to perform the environment authentication of the central server 2 also in the mobile phone 1. As in the case described with reference to FIG. 4, the conditions for environmental information for peripheral devices, PC cards (not shown), installed OS, software, etc. connected to the external communication port 29 of the central server 2 are the security policy. Is stored in association with the class.

中央サーバ2も携帯電話機1による認証を受けるべく、指紋取得部212及びセキュリティチップ5がバス27を介してCPU21に接続されている。なお、これらの詳細については既に実施の形態1で説明したとおりであるので詳細な説明は省略する。また29はUSBポート、RS232Cポート等の外部通信ポートであり、プリンタ、マウス、ハードディスク、MO等の周辺機器が接続される。   The fingerprint acquisition unit 212 and the security chip 5 are connected to the CPU 21 via the bus 27 so that the central server 2 can also be authenticated by the mobile phone 1. Since these details are the same as those already described in the first embodiment, detailed description thereof is omitted. Reference numeral 29 denotes an external communication port such as a USB port or an RS232C port, to which peripheral devices such as a printer, a mouse, a hard disk, and an MO are connected.

本実施の形態においては、携帯電話機1及び中央サーバ2の双方で生体情報認証、環境認証及び電子証明書認証の全てが適正と判断された場合に、携帯電話機1及び中央サーバ2を安全と判断しその後の情報の送受信を許可するために、図11に示すステップS115以降に、すなわち携帯電話機1の安全性が確認された後に、以下の処理を追加して行う。   In the present embodiment, when all of the biometric information authentication, the environment authentication, and the electronic certificate authentication are determined to be appropriate in both the mobile phone 1 and the central server 2, the mobile phone 1 and the central server 2 are determined to be safe. In order to permit subsequent transmission / reception of information, the following processing is additionally performed after step S115 shown in FIG. 11, that is, after the safety of the mobile phone 1 is confirmed.

図34乃至図37は実施の形態6に係る認証処理の手順を示すフローチャートである。ステップS115の後、中央サーバ2のセキュリティチップ5のMPU51は制御プログラム55Pを実行し、表示部24に指紋情報の取得要求を表示する(ステップS341)。指紋取得部212から指紋情報が入力された場合、セキュリティチップ5のMPU51は指紋情報を受け付け(ステップS342)、RAM52に一時的に記憶する。そして、MPU51はROM55の指紋情報ファイル552に携帯電話機1の購入時に予め記憶してある指紋情報を読み出し、RAM52に記憶した指紋情報と比較して一致するか否か、すなわち指紋情報認証が適正であるか否か判断する(ステップS343)。   34 to 37 are flowcharts showing the procedure of the authentication process according to the sixth embodiment. After step S115, the MPU 51 of the security chip 5 of the central server 2 executes the control program 55P and displays a fingerprint information acquisition request on the display unit 24 (step S341). When fingerprint information is input from the fingerprint acquisition unit 212, the MPU 51 of the security chip 5 receives the fingerprint information (step S342) and temporarily stores it in the RAM 52. Then, the MPU 51 reads the fingerprint information stored in advance in the fingerprint information file 552 of the ROM 55 at the time of purchase of the mobile phone 1 and compares it with the fingerprint information stored in the RAM 52, that is, the fingerprint information authentication is appropriate. It is determined whether or not there is (step S343).

指紋が一致し、指紋情報認証が適正であると判断した場合は(ステップS343でYES)、指紋認証適正フラグをセットし、セットした指紋認証適正フラグを携帯電話機1へ送信する(ステップS345)。一方、指紋が一致せず、指紋情報認証が不適正であると判断した場合(ステップS343でNO)、指紋認証不適正フラグをセットし、セットした指紋認証不適正フラグを携帯電話機1へ送信する(ステップS344)。携帯電話機1のCPU11は送信された指紋認証フラグ(指紋認証適正フラグまたは指紋認証不適正フラグ)をROM15に記憶する(ステップS346)。なお、本実施の形態においては指紋を用いた生体認証を中央サーバ2において実行することとしたが、予め採取した指紋情報を認証機関サーバ3または携帯電話機1に記憶しておき、認証機関サーバ3または携帯電話機1において判断するようにしても良い。これにより指紋を用いた生体認証が終了する。   If the fingerprints match and it is determined that fingerprint information authentication is appropriate (YES in step S343), a fingerprint authentication appropriate flag is set, and the set fingerprint authentication appropriate flag is transmitted to the mobile phone 1 (step S345). On the other hand, if the fingerprints do not match and it is determined that fingerprint information authentication is inappropriate (NO in step S343), the fingerprint authentication inappropriate flag is set, and the set fingerprint authentication inappropriate flag is transmitted to the mobile phone 1. (Step S344). The CPU 11 of the mobile phone 1 stores the transmitted fingerprint authentication flag (fingerprint authentication appropriate flag or fingerprint authentication inappropriate flag) in the ROM 15 (step S346). In the present embodiment, biometric authentication using fingerprints is executed in the central server 2, but fingerprint information collected in advance is stored in the certification authority server 3 or the mobile phone 1, and the certification authority server 3 Alternatively, the determination may be made by the mobile phone 1. Thereby, the biometric authentication using the fingerprint is completed.

続いて、セキュリティチップ5のMPU51は中央サーバ2の環境情報を取得する(ステップS347)。環境情報の収集は、上述したようにMPU51が中央サーバ2のROM15のOS、BIOS及びインストールされるソフトウェアを常駐して監視し、中央サーバ2の機器名、OSの名称、バージョン、外部通信ポート29に接続された周辺機器の機器名、バージョン、インストールされたブラウザ等のソフトウェアのソフト名、バージョンなどを収集することにより行われる。収集された環境情報は環境情報ファイル551に記憶される(ステップS348)。   Subsequently, the MPU 51 of the security chip 5 acquires the environment information of the central server 2 (step S347). As described above, the environment information is collected by the MPU 51 residently monitoring the OS, BIOS and installed software of the ROM 15 of the central server 2, and the device name, OS name, version, external communication port 29 of the central server 2. This is done by collecting the device name and version of peripheral devices connected to the software, software name and version of installed software such as a browser. The collected environment information is stored in the environment information file 551 (step S348).

セキュリティチップ5のMPU51はRAM52に記憶した環境情報ファイル551に記憶した環境情報を読み出す(ステップS349)。セキュリティチップ5のMPU51は、読み出した環境情報に、ROM55に記憶したハッシュ関数を用いてメッセージダイジェストを算出する(ステップS351)。MPU51は認証機関サーバ3から予め発行を受けた中央サーバ2の個人鍵を個人鍵ファイル554から読み出し、環境情報及びメッセージダイジェストを暗号化する(ステップS352)。さらに、MPU51は電子証明書ファイル553から認証機関サーバ3において予め発行を受けた電子証明書を読み出し、暗号化した環境情報及びメッセージダイジェストに電子証明書を添付して携帯電話機1へ送信する(ステップS353)。携帯電話機1のCPU11は送信された電子証明書、暗号化された環境情報及びメッセージダイジェストをRAM12に記憶する。   The MPU 51 of the security chip 5 reads the environment information stored in the environment information file 551 stored in the RAM 52 (step S349). The MPU 51 of the security chip 5 calculates a message digest using the hash function stored in the ROM 55 as the read environment information (step S351). The MPU 51 reads from the personal key file 554 the personal key of the central server 2 that has been issued in advance from the certification authority server 3, and encrypts the environment information and the message digest (step S352). Further, the MPU 51 reads an electronic certificate issued in advance in the certification authority server 3 from the electronic certificate file 553, and transmits the electronic certificate attached to the encrypted environment information and message digest to the mobile phone 1 (step). S353). The CPU 11 of the mobile phone 1 stores the transmitted electronic certificate, encrypted environment information, and message digest in the RAM 12.

携帯電話機1のCPU11は電子証明書に記載されている認証機関サーバ3へアクセスし、受信した電子証明書の公開鍵(認証機関の公開鍵)の取得を要求する(ステップS354)。認証機関サーバ3は、電子証明書の公開鍵を携帯電話機1へ送信し、携帯電話機1は送信された電子証明書の公開鍵を受信する(ステップS355)。携帯電話機1のCPU11は、記憶した電子証明書をRAM12から読み出し、認証機関サーバ3から送信された認証機関の公開鍵を用いて電子証明書を復号し中央サーバ2の公開鍵を取得する(ステップS356)。   The CPU 11 of the mobile phone 1 accesses the certificate authority server 3 described in the electronic certificate and requests acquisition of the public key (certificate authority public key) of the received electronic certificate (step S354). The certification authority server 3 transmits the public key of the electronic certificate to the mobile phone 1, and the mobile phone 1 receives the transmitted public key of the electronic certificate (step S355). The CPU 11 of the mobile phone 1 reads out the stored electronic certificate from the RAM 12, decrypts the electronic certificate using the public key of the certification authority transmitted from the certification authority server 3, and obtains the public key of the central server 2 (step) S356).

携帯電話機1のCPU11は取得した中央サーバ2の公開鍵を用いて暗号化された環境情報及びメッセージダイジェストを復号する(ステップS361)。さらにCPU11は復号した環境情報に、携帯電話機1のROM55に記憶したハッシュ関数を用いてメッセージダイジェストを算出する(ステップS362)。携帯電話機1のCPU11はステップS361で復号したメッセージダイジェストと、ステップS362で算出したメッセージダイジェストとが一致するか否か、すなわち送信の途中で環境情報に改竄がないか、また権限のある中央サーバ2から情報が送受信されたものであるか否かを判断する(ステップS363)。   The CPU 11 of the mobile phone 1 decrypts the environment information and the message digest encrypted using the acquired public key of the central server 2 (step S361). Further, the CPU 11 calculates a message digest using the hash function stored in the ROM 55 of the mobile phone 1 as the decrypted environment information (step S362). The CPU 11 of the mobile phone 1 determines whether or not the message digest decrypted in step S361 matches the message digest calculated in step S362, that is, whether environmental information has not been tampered with in the middle of transmission, and the authorized central server 2 It is determined whether or not information is transmitted / received from (step S363).

メッセージダイジェストが一致しない場合は(ステップS363でNO)、CPU11は何らかの改竄またはなりすましがあったと判断し、電子証明書認証の不適正フラグをセットする(ステップS365)。一方、メッセージダイジェストが一致する場合は(ステップS363でYES)、なりすまし及び改竄がないものとして電子証明書認証の適正フラグをセットする(ステップS364)。そして、携帯電話機1のCPU11は電子証明書認証のフラグ(電子証明書認証適正フラグ、または電子証明書認証不適正フラグ)をROM15に記憶する(ステップS366)。   If the message digests do not match (NO in step S363), the CPU 11 determines that some tampering or impersonation has occurred, and sets an inappropriate flag for electronic certificate authentication (step S365). On the other hand, if the message digests match (YES in step S363), an appropriate flag for digital certificate authentication is set assuming that there is no impersonation and tampering (step S364). Then, the CPU 11 of the mobile phone 1 stores an electronic certificate authentication flag (electronic certificate authentication appropriate flag or electronic certificate authentication inappropriate flag) in the ROM 15 (step S366).

携帯電話機1のCPU11はステップS104で決定した階級に対応する環境情報の条件を環境情報DB151から読み出す(ステップS371)。そして、CPU11は、復号された環境情報が、ステップS371にて読み出された環境情報の条件を満たすか否かを判断する(ステップS372)。条件を満たさない場合(ステップS372でNO)、環境認証不適正フラグをセットする(ステップS374)。一方、条件を満たす場合(ステップS372でYES)、環境認証適正フラグをセットする(ステップS373)。携帯電話機1のCPU11は環境認証のフラグ(環境認証適正フラグ、または環境認証不適正フラグ)をROM15に記憶する(ステップS375)。   The CPU 11 of the mobile phone 1 reads the environment information conditions corresponding to the class determined in step S104 from the environment information DB 151 (step S371). Then, the CPU 11 determines whether or not the decrypted environment information satisfies the condition of the environment information read in step S371 (step S372). If the condition is not satisfied (NO in step S372), the environment authentication inappropriate flag is set (step S374). On the other hand, if the condition is satisfied (YES in step S372), an environmental authentication appropriate flag is set (step S373). The CPU 11 of the mobile phone 1 stores an environment authentication flag (environment authentication appropriate flag or environment authentication inappropriate flag) in the ROM 15 (step S375).

CPU11は、ROM15に記憶した指紋認証フラグ、電子証明書フラグ及び環境認証フラグを読み出し、指紋認証適正フラグ、電子証明書適正フラグ及び環境認証適正フラグの全てがアンド条件でセットされているか否かを判断する(ステップS376)。全ての適正フラグがセットされている場合(ステップS376でYES)、中央サーバ2を安全なものと判断し安全フラグをセットし、ステップS121へ移行する(ステップS377)。   The CPU 11 reads the fingerprint authentication flag, the electronic certificate flag, and the environment authentication flag stored in the ROM 15, and determines whether or not all of the fingerprint authentication appropriate flag, the electronic certificate appropriate flag, and the environment authentication appropriate flag are set in the AND condition. Judgment is made (step S376). If all appropriate flags are set (YES in step S376), the central server 2 is determined to be safe, a safety flag is set, and the process proceeds to step S121 (step S377).

一方、生体認証、電子証明書認証(PKI認証)、および環境認証の内、1つでも不適正フラグがセットされている場合(ステップS376でNO)は、不適正フラグをセットし、ステップS123へ移行する(ステップS378)。このように、携帯電話機1及び中央サーバ2の双方で生体情報認証、環境認証及び電子証明書認証の全てが適正と判断された場合に限り、携帯電話機1及び中央サーバ2を安全と判断しその後の情報の送受信を許可するようにしたので、より安全性の高い通信環境を提供することが可能となる。   On the other hand, when at least one of the biometric authentication, electronic certificate authentication (PKI authentication), and environment authentication is set (NO in step S376), the improper flag is set, and the process proceeds to step S123. The process proceeds (step S378). As described above, the mobile phone 1 and the central server 2 are determined to be safe only after all of the biometric information authentication, the environment authentication, and the electronic certificate authentication are determined to be appropriate in both the mobile phone 1 and the central server 2. Since the transmission / reception of the information is permitted, it is possible to provide a more secure communication environment.

なお、本実施の形態においては、携帯電話機1及び中央サーバ2の双方で生体情報認証、環境認証及び電子証明書認証の全てが適正と判断された場合に、携帯電話機1及び中央サーバ2を安全と判断しその後の情報の送受信を許可する技術について説明したが、同様に携帯電話機1及びオンラインショップのWebサーバ4間(または図示しない他の携帯電話機、洗濯機、パーソナルコンピュータ等の情報処理装置)についても、双方で生体情報認証、環境認証及び電子証明書認証の全てが適正と判断された場合に、携帯電話機1及びWebサーバ4等を安全と判断しその後の情報の送受信を許可するようにしても良いことは言うまでもない。   In the present embodiment, the mobile phone 1 and the central server 2 are secured when the biometric information authentication, the environment authentication, and the electronic certificate authentication are all determined to be appropriate by both the mobile phone 1 and the central server 2. Although the technology for allowing the transmission and reception of information thereafter is described, similarly, between the mobile phone 1 and the Web server 4 of the online shop (or other information processing devices such as other mobile phones, washing machines, personal computers not shown). For both, when it is determined that both biometric authentication, environment authentication, and electronic certificate authentication are appropriate, the mobile phone 1 and the Web server 4 are determined to be safe, and subsequent transmission / reception of information is permitted. Needless to say.

実施の形態2乃至6は以上の如き構成としてあり、その他の構成及び作用は実施の形態1と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
(付記1) 情報処理装置、第1認証装置及び第2認証装置が通信網を介して接続されており、前記情報処理装置の安全性を判断する安全性判断方法において、
前記情報処理装置により、生体情報を受け付ける生体情報受付ステップと、
受け付けた生体情報が適正であるか否かを前記情報処理装置、前記第1認証装置または第2認証装置により判断する生体情報認証ステップと、
前記情報処理装置に接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集する環境情報収集ステップと、
収集した環境情報を前記情報処理装置から前記第1認証装置へ送信する環境情報送信ステップと、
予め前記第2認証装置から発行を受けた電子証明書及び個人鍵で暗号化された情報を前記情報処理装置から前記第1認証装置へ送信する暗号化情報送信ステップと、
前記第1認証装置により、前記第2認証装置から取得した公開鍵を用いて前記送信された電子証明書から取得した公開鍵で、暗号化された情報を復号し、復号された情報が適正であるか否かを判断する電子証明書認証ステップと、
送受信される情報に応じて階級付けされた環境条件を記憶した環境情報データベース及び送信された情報を参照して、前記第1認証装置により、前記送信された環境情報が適正であるか否かを判断する環境情報認証ステップと、
前記生体情報認証ステップ、環境情報認証ステップ及び電子証明書認証ステップによる認証が全て適正である場合に前記第1認証装置により、前記情報処理装置を安全と判断する安全判断ステップと
を備えることを特徴とする安全性判断方法。
The second to sixth embodiments are configured as described above, and the other configurations and operations are the same as those of the first embodiment. Therefore, corresponding parts are denoted by the same reference numerals, and detailed description thereof is omitted. .
(Supplementary Note 1) In the safety determination method in which the information processing device, the first authentication device, and the second authentication device are connected via a communication network, and the safety of the information processing device is determined.
A biological information receiving step for receiving biological information by the information processing apparatus;
A biometric information authentication step of determining whether the received biometric information is appropriate by the information processing apparatus, the first authentication apparatus or the second authentication apparatus;
Environmental information collecting step for collecting environmental information including information on peripheral devices connected to the information processing apparatus or installed software;
An environment information transmission step of transmitting the collected environment information from the information processing apparatus to the first authentication apparatus;
An encrypted information transmission step of transmitting, from the information processing apparatus to the first authentication apparatus, information encrypted with an electronic certificate issued in advance from the second authentication apparatus and a personal key;
The first authentication device decrypts the encrypted information with the public key obtained from the transmitted electronic certificate using the public key obtained from the second authentication device, and the decrypted information is appropriate. A digital certificate authentication step for determining whether or not there is,
With reference to the environmental information database storing the environmental conditions classified according to the information to be transmitted and received and the transmitted information, the first authentication device determines whether or not the transmitted environmental information is appropriate. An environmental information authentication step to judge;
A safety determination step of determining that the information processing apparatus is safe by the first authentication apparatus when all of the authentications in the biometric information authentication step, the environment information authentication step, and the electronic certificate authentication step are appropriate. Safety judgment method.

(付記2) 情報処理装置、第1認証装置及び第2認証装置が通信網を介して接続されており、前記情報処理装置の安全性を判断する安全性判断方法において、
前記情報処理装置により、生体情報を受け付ける生体情報受付ステップと、
受け付けた生体情報が適正であるか否かを前記情報処理装置、前記第1認証装置または第2認証装置により判断する生体情報認証ステップと、
前記情報処理装置に接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集する環境情報収集ステップと、
収集した環境情報を前記情報処理装置から前記第1認証装置へ送信する環境情報送信ステップと、
前記第2認証装置から発行を受けた電子証明書及び個人鍵で暗号化されたソフトウェアを前記第1認証装置から前記情報処理装置へ送信する暗号化情報送信ステップと、
送受信される情報に応じて階級付けされた環境条件を記憶した環境情報データベースを参照して、前記第1認証装置により、前記送信された環境情報が適正であるか否かを判断する環境情報認証ステップと、
前記情報処理装置により、前記第2認証装置から取得した公開鍵を用いて前記送信された電子証明書から取得した公開鍵で、暗号化されたソフトウェアを復号し、復号されたソフトウェアが適正であるか否かを判断する電子証明書認証ステップと、
前記生体情報認証ステップ、環境情報認証ステップ及び電子証明書認証ステップによる認証が全て適正である場合に前記復号したソフトウェアを前記情報処理装置にインストールするインストールステップと
を備えることを特徴とする安全性判断方法。
(Supplementary Note 2) In the safety determination method in which the information processing device, the first authentication device, and the second authentication device are connected via a communication network, and the safety of the information processing device is determined.
A biological information receiving step for receiving biological information by the information processing apparatus;
A biometric information authentication step of determining whether the received biometric information is appropriate by the information processing apparatus, the first authentication apparatus or the second authentication apparatus;
Environmental information collecting step for collecting environmental information including information on peripheral devices connected to the information processing apparatus or installed software;
An environment information transmission step of transmitting the collected environment information from the information processing apparatus to the first authentication apparatus;
An encrypted information transmission step of transmitting the electronic certificate issued from the second authentication device and software encrypted with a personal key from the first authentication device to the information processing device;
Environmental information authentication in which the first authentication device determines whether or not the transmitted environmental information is appropriate with reference to an environmental information database storing environmental conditions classified according to information to be transmitted and received Steps,
The information processing apparatus decrypts the encrypted software with the public key acquired from the transmitted electronic certificate using the public key acquired from the second authentication apparatus, and the decrypted software is appropriate. Electronic certificate authentication step for determining whether or not,
An installation step for installing the decrypted software in the information processing apparatus when all the authentications in the biometric information authentication step, the environment information authentication step, and the electronic certificate authentication step are appropriate. Method.

(付記3) 情報処理装置、第1認証装置及び第2認証装置が通信網を介して接続されており、前記情報処理装置の安全性を判断する安全性判断方法において、
前記情報処理装置により、生体情報を受け付ける生体情報受付ステップと、
受け付けた生体情報が適正であるか否かを前記情報処理装置、前記第1認証装置または第2認証装置により判断する生体情報認証ステップと、
前記情報処理装置に接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集する環境情報収集ステップと、
収集した環境情報を、前記第2認証装置から発行を受けた個人鍵で暗号化する暗号化ステップと、
予め前記第2認証装置から発行を受けた電子証明書及び個人鍵で暗号化された環境情報を前記情報処理装置から前記第1認証装置へ送信する暗号化情報送信ステップと、
前記第1認証装置により、前記第2認証装置から取得した公開鍵を用いて前記送信された電子証明書から取得した公開鍵で、暗号化された環境情報を復号し、復号された環境情報が適正であるか否かを判断する電子証明書認証ステップと、
送受信される情報に応じて階級付けされた環境条件を記憶した環境情報データベース及び復号された環境情報を参照して、前記第1認証装置により、前記復号された環境情報が適正であるか否かを判断する環境情報認証ステップと、
前記生体情報認証ステップ、環境情報認証ステップ及び電子証明書認証ステップによる認証が全て適正である場合に前記第1認証装置により、前記情報処理装置を安全と判断する安全判断ステップと
を備えることを特徴とする安全性判断方法。
(Supplementary Note 3) In the safety determination method in which the information processing device, the first authentication device, and the second authentication device are connected via a communication network, and the safety of the information processing device is determined.
A biological information receiving step for receiving biological information by the information processing apparatus;
A biometric information authentication step of determining whether the received biometric information is appropriate by the information processing apparatus, the first authentication apparatus or the second authentication apparatus;
Environmental information collecting step for collecting environmental information including information on peripheral devices connected to the information processing apparatus or installed software;
An encryption step of encrypting the collected environmental information with a personal key issued from the second authentication device;
An encrypted information transmission step of transmitting, from the information processing device to the first authentication device, environment information encrypted in advance with an electronic certificate and a personal key issued from the second authentication device;
The first authentication device decrypts the encrypted environment information with the public key obtained from the transmitted electronic certificate using the public key obtained from the second authentication device, and the decrypted environment information is A digital certificate authentication step for determining whether the certificate is appropriate;
Whether or not the decrypted environment information is appropriate by the first authentication device with reference to the environment information database storing the environment conditions classified according to the information to be transmitted and received and the decrypted environment information. Environmental information authentication step to determine
A safety determination step of determining that the information processing apparatus is safe by the first authentication apparatus when all of the authentications in the biometric information authentication step, the environment information authentication step, and the electronic certificate authentication step are appropriate. Safety judgment method.

(付記4) 情報処理装置、第1認証装置及び第2認証装置が通信網を介して接続されており、前記情報処理装置の安全性を判断する安全性判断システムにおいて、
前記情報処理装置は、
生体情報を受け付ける生体情報受付手段と、
受け付けた生体情報が適正であるか否かを判断する生体情報認証手段と、
接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集する環境情報収集手段と、
収集した環境情報を前記第1認証装置へ送信する環境情報送信手段と、
前記第2認証装置から発行を受けた電子証明書及び個人鍵で暗号化された情報を前記第1認証装置へ送信する暗号化情報送信手段とを備え、
前記第1認証装置は、
前記第2認証装置から取得した公開鍵を用いて前記送信された電子証明書から取得した公開鍵で、暗号化された情報を復号し、復号された情報が適正であるか否かを判断する電子証明書認証手段と、
送受信される情報に応じて階級付けされた環境条件を記憶した環境情報データベース及び送信された情報を参照して、前記送信された環境情報が適正であるか否かを判断する環境情報認証手段と、
前記生体情報認証手段、環境情報認証手段及び電子証明書認証手段による認証が全て適正である場合に前記情報処理装置を安全と判断する安全判断手段と
を備えることを特徴とする安全性判断システム。
(Supplementary Note 4) In the safety determination system in which the information processing device, the first authentication device, and the second authentication device are connected via a communication network, and determines the safety of the information processing device,
The information processing apparatus includes:
Biometric information receiving means for receiving biometric information;
Biometric information authentication means for determining whether or not the received biometric information is appropriate;
Environmental information collection means for collecting environmental information including information on connected peripheral devices or installed software;
Environmental information transmission means for transmitting the collected environmental information to the first authentication device;
An electronic certificate issued from the second authentication device and encrypted information transmission means for transmitting information encrypted with a personal key to the first authentication device;
The first authentication device includes:
Using the public key obtained from the second authentication device, the encrypted information is decrypted with the public key obtained from the transmitted electronic certificate, and it is determined whether the decrypted information is appropriate. Electronic certificate authentication means;
Environmental information authentication means for judging whether or not the transmitted environmental information is appropriate with reference to the environmental information database storing the environmental conditions classified according to the information to be transmitted and received and the transmitted information; ,
A safety judgment system comprising: safety judgment means for judging that the information processing apparatus is safe when authentication by the biometric information authentication means, environment information authentication means and electronic certificate authentication means is all appropriate.

(付記5) 前記環境情報送信手段及び暗号化情報送信手段は、収集した環境情報を前記個人鍵で暗号化して、前記電子証明書と共に前記第1認証装置へ送信するよう構成してあることを特徴とする付記4に記載の安全性判断システム。
(付記6) 前記情報処理装置との間で商取引に関する情報を送受信する店舗コンピュータをさらに備え、
前記情報処理装置は、商品情報または金額情報を含む商取引に関する情報を受け付ける手段をさらに備え、
前記暗号化情報送信手段は、前記第2認証装置から発行を受けた電子証明書及び個人鍵で暗号化された前記商取引に関する情報を前記第1認証装置へ送信するよう構成してあり、
前記環境情報認証手段は、送信された商品情報または金額情報に対応する階級に係る環境条件を環境情報データベースから読み出し、該読み出した環境条件に前記送信された環境情報が合致するか否かにより、適正であるか否かを判断するよう構成してあり、
前記第1認証装置は、前記安全判断手段により前記情報処理装置が安全と判断した場合に、該情報処理装置の安全性に関する情報を前記店舗コンピュータへ送信する手段をさらに備えることを特徴とする付記4に記載の安全性判断システム。
(Supplementary Note 5) The environment information transmitting unit and the encrypted information transmitting unit are configured to encrypt the collected environment information with the personal key and transmit the encrypted environment information to the first authentication device together with the electronic certificate. The safety judgment system according to supplementary note 4, which is characterized.
(Additional remark 6) The store computer which transmits / receives the information regarding a commercial transaction between the said information processing apparatuses is further provided,
The information processing apparatus further includes means for receiving information related to a commercial transaction including product information or money amount information,
The encrypted information transmitting means is configured to transmit to the first authentication device information related to the commercial transaction encrypted with an electronic certificate issued from the second authentication device and a personal key,
The environmental information authentication means reads the environmental conditions related to the class corresponding to the transmitted product information or money amount information from the environmental information database, and whether or not the transmitted environmental information matches the read environmental conditions, It is configured to determine whether it is appropriate,
The first authentication apparatus further includes means for transmitting information related to safety of the information processing apparatus to the store computer when the information processing apparatus determines that the information processing apparatus is safe by the safety determination means. 4. The safety judgment system according to 4.

(付記7) 前記第1認証装置は、
生体情報を受け付ける副生体情報受付手段と、
受け付けた生体情報が適正であるか否かを判断する副生体情報認証手段と、
接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集する副環境情報収集手段と、
前記第2認証装置から発行を受けた個人鍵で前記副環境情報収集手段により収集した環境情報を暗号化する副暗号化手段と、
前記第2認証装置から発行を受けた電子証明書及び前記暗号化された環境情報を前記情報処理装置へ送信する副暗号化情報送信手段とを備え、
前記情報処理装置は、
前記第2認証装置から取得した公開鍵を用いて前記送信された電子証明書から取得した公開鍵で、暗号化された環境情報を復号し、復号された環境情報が適正であるか否かを判断する副電子証明書認証手段と、
送受信される情報に応じて階級付けされた環境条件を記憶した副環境情報データベース及び復号された環境情報を参照して、前記送信された環境情報が適正であるか否かを判断する副環境情報認証手段と、
前記副生体情報認証手段、副環境情報認証手段及び副電子証明書認証手段による認証が全て適正であり、かつ前記安全判断手段により安全と判断された場合に、前記情報処理装置及び前記第1認証装置を安全と判断する副安全判断手段と
を備えることを特徴とする付記4に記載の安全性判断システム。
(Appendix 7) The first authentication device is:
Sub-biological information receiving means for receiving biological information;
Sub-biological information authentication means for determining whether or not the received biometric information is appropriate;
Sub-environment information collection means for collecting environment information including information on connected peripheral devices or installed software;
Sub-encrypting means for encrypting environment information collected by the sub-environment information collecting means with a personal key issued from the second authentication device;
Sub-encrypted information transmitting means for transmitting the electronic certificate issued from the second authentication device and the encrypted environment information to the information processing device;
The information processing apparatus includes:
Using the public key acquired from the second authentication device, the encrypted environment information is decrypted with the public key acquired from the transmitted electronic certificate, and whether or not the decrypted environment information is appropriate A secondary electronic certificate authenticating means for judging;
Sub-environment information for judging whether or not the transmitted environment information is appropriate with reference to the sub-environment information database storing the environmental conditions classified according to the information to be transmitted and received and the decoded environment information Authentication means;
When the authentication by the sub-biological information authentication unit, the sub-environment information authentication unit, and the sub-digital certificate authentication unit is all appropriate and the safety determination unit determines that the information is safe, the information processing apparatus and the first authentication The safety judgment system according to appendix 4, further comprising: sub safety judgment means for judging the device as safe.

(付記8) 情報処理装置、第1認証装置及び第2認証装置が通信網を介して接続されており、前記情報処理装置の安全性を判断する安全性判断システムにおいて、
前記情報処理装置は、
生体情報を受け付ける生体情報受付手段と、
受け付けた生体情報が適正であるか否かを判断する生体情報認証手段と、
接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集する環境情報収集手段と、
収集した環境情報を前記第1認証装置へ送信する環境情報送信手段とを備え、
前記第1認証装置は、
前記第2認証装置から発行を受けた電子証明書及び個人鍵で暗号化されたソフトウェアを前記情報処理装置へ送信する暗号化情報送信手段と、
送受信される情報に応じて階級付けされた環境条件を記憶した環境情報データベースを参照して、前記送信された環境情報が適正であるか否かを判断する環境情報認証手段とを備え、
前記情報処理装置は、
前記第2認証装置から取得した公開鍵を用いて前記送信された電子証明書から取得した公開鍵で、暗号化されたソフトウェアを復号し、復号されたソフトウェアが適正であるか否かを判断する電子証明書認証手段と、
前記生体情報認証手段、環境情報認証手段及び電子証明書認証手段による認証が全て適正である場合に前記復号したソフトウェアをインストールするインストール手段とをさらに備える
ことを特徴とする安全性判断システム。
(Supplementary Note 8) In the safety determination system in which the information processing device, the first authentication device, and the second authentication device are connected via a communication network, and determines the safety of the information processing device,
The information processing apparatus includes:
Biometric information receiving means for receiving biometric information;
Biometric information authentication means for determining whether or not the received biometric information is appropriate;
Environmental information collection means for collecting environmental information including information on connected peripheral devices or installed software;
Environmental information transmission means for transmitting the collected environmental information to the first authentication device,
The first authentication device includes:
Encrypted information transmitting means for transmitting to the information processing apparatus software encrypted with an electronic certificate issued from the second authentication apparatus and a personal key;
Environmental information authentication means for determining whether or not the transmitted environmental information is appropriate with reference to an environmental information database storing environmental conditions classified according to information transmitted and received,
The information processing apparatus includes:
Using the public key acquired from the second authentication device, the encrypted software is decrypted with the public key acquired from the transmitted electronic certificate, and it is determined whether or not the decrypted software is appropriate. Electronic certificate authentication means;
The safety judgment system further comprising: an installation unit that installs the decrypted software when authentication by the biometric information authentication unit, the environment information authentication unit, and the electronic certificate authentication unit is all appropriate.

(付記9) 前記情報処理装置は、主電力供給手段と、副電力供給手段と、副電力供給手段から電力の供給をうける受信用通信手段と、前記主電力供給手段による電力の供給が行われていない場合に、前記暗号化情報送信手段により送信された電子証明書及び個人鍵で暗号化されたソフトウェアを前記受信用通信手段により受信して蓄積する蓄積手段とをさらに備えることを特徴とする付記8に記載の安全性判断システム。
(付記10) 前記電子証明書認証手段は、前記主電力供給手段による電力の供給が行われた場合に、前記蓄積手段により蓄積した電子証明書及びソフトウェアを読み出し、前記第2認証装置から取得した公開鍵を用いて、前記電子証明書から取得した公開鍵で暗号化されたソフトウェアを復号し、復号されたソフトウェアが適正であるか否かを判断するよう構成してあることを特徴とする付記9に記載の安全性判断システム。
(Supplementary Note 9) In the information processing apparatus, main power supply means, sub power supply means, reception communication means that receives power supply from the sub power supply means, and power supply by the main power supply means are performed. And a storage means for receiving and storing the electronic certificate transmitted by the encrypted information transmitting means and the software encrypted with the personal key by the receiving communication means. The safety judgment system according to appendix 8.
(Supplementary Note 10) The electronic certificate authenticating unit reads out the electronic certificate and software accumulated by the accumulating unit when the power is supplied by the main power supplying unit, and obtains it from the second authenticating device. The supplementary note is configured to decrypt software encrypted with the public key obtained from the electronic certificate using a public key, and to determine whether the decrypted software is appropriate or not. 9. The safety judgment system according to 9.

(付記11) 前記ソフトウェアは、前記情報処理装置に予めインストールされているソフトウェアのパッチ用ソフトウェアであることを特徴とする付記8乃至10に記載の安全性判断システム。
(付記12) 前記情報処理装置は、前記インストール手段によりインストールしたソフトウェアを実行した場合、所定の日時以降に記憶部に記憶されたデータを消去する消去手段をさらに備えることを特徴とする付記8乃至10に記載の安全性判断システム。
(Additional remark 11) The said software is software for patch of the software previously installed in the said information processing apparatus, The safety judgment system of Additional remark 8 thru | or 10 characterized by the above-mentioned.
(Additional remark 12) The said information processing apparatus is further provided with the deletion means which deletes the data memorize | stored in the memory | storage part after the predetermined date when the software installed by the said installation means is performed. 10. The safety judgment system according to 10.

(付記13) 情報処理装置、第1認証装置及び第2認証装置が通信網を介して接続されており、前記情報処理装置の安全性を判断する安全性判断システムにおいて、
前記情報処理装置は、
生体情報を受け付ける生体情報受付手段と、
接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集する環境情報収集手段と、
前記第2認証装置から発行を受けた個人鍵で前記生体情報受付手段により受け付けた生体情報及び前記環境情報収集手段により収集した環境情報を暗号化する暗号化手段と、
前記第2認証装置から発行を受けた電子証明書及び前記暗号化された生体情報及び環境情報を前記第1認証装置へ送信する暗号化情報送信手段とを備え、
前記第1認証装置は、
前記第2認証装置から取得した公開鍵を用いて前記送信された電子証明書から取得した公開鍵で、暗号化された生体情報及び環境情報を復号し、復号された生体情報及び環境情報が適正であるか否かを判断する電子証明書認証手段と、
送受信される情報に応じて階級付けされた環境条件を記憶した環境情報データベース及び復号された環境情報を参照して、前記送信された環境情報が適正であるか否かを判断する環境情報認証手段と、
前記復号された生体情報と、予め記憶された生体情報とを比較して適正であるか否かを判断する生体情報認証手段と、
前記生体情報認証手段、環境情報認証手段及び電子証明書認証手段による認証が全て適正である場合に前記情報処理装置を安全と判断する安全判断手段と
を備えることを特徴とする安全性判断システム。
(Supplementary Note 13) In the safety determination system in which the information processing device, the first authentication device, and the second authentication device are connected via a communication network, and determines the safety of the information processing device.
The information processing apparatus includes:
Biometric information receiving means for receiving biometric information;
Environmental information collection means for collecting environmental information including information on connected peripheral devices or installed software;
An encryption means for encrypting the biological information received by the biological information receiving means with the personal key issued from the second authentication device and the environmental information collected by the environmental information collecting means;
An electronic certificate issued from the second authentication device, and encrypted information transmission means for transmitting the encrypted biometric information and environment information to the first authentication device;
The first authentication device includes:
Using the public key acquired from the second authentication device, the encrypted biometric information and environment information are decrypted with the public key acquired from the transmitted electronic certificate, and the decrypted biometric information and environment information are appropriate. Electronic certificate authentication means for determining whether or not
Environmental information authentication means for judging whether or not the transmitted environmental information is appropriate with reference to the environmental information database storing the environmental conditions classified according to the information to be transmitted and received and the decoded environmental information When,
Biometric information authentication means for comparing the decrypted biometric information with prestored biometric information to determine whether it is appropriate;
A safety judgment system comprising: safety judgment means for judging that the information processing apparatus is safe when authentication by the biometric information authentication means, environment information authentication means and electronic certificate authentication means is all appropriate.

(付記14) 前記環境情報は、インストールされたソフトウェアの名称またはバージョン、接続された周辺機器の機器名またはバージョン、または、前記情報処理装置の装置名またはバージョンの情報を含むことを特徴とする付記4乃至13のいずれかに記載の安全性判断システム。
(付記15) 前記生体情報は、音声、指紋、網膜、または虹彩の情報であることを特徴とする付記4乃至14のいずれかに記載の安全性判断システム。
(Supplementary Note 14) The environmental information includes information on the name or version of installed software, the name or version of a connected peripheral device, or the name or version of the information processing apparatus. The safety judgment system according to any one of 4 to 13.
(Supplementary note 15) The safety judgment system according to any one of Supplementary notes 4 to 14, wherein the biological information is information of voice, fingerprint, retina, or iris.

(付記16) 第1認証装置及び第2認証装置に通信網を介して接続される情報処理装置の安全性を判断する安全性判断装置において、
受け付けた生体情報が適正であるか否かを判断する生体情報認証手段と、
前記情報処理装置に接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集する環境情報収集手段と、
収集した環境情報を前記第1認証装置へ送信する環境情報送信手段と、
前記第2認証装置から発行を受けた電子証明書及び個人鍵で暗号化された情報を前記第1認証装置へ送信する暗号化情報送信手段と、
前記生体情報認証手段により適正と判断され、また前記環境情報送信手段により送信した環境情報が前記第1認証装置により適正と判断され、かつ、前記暗号化情報送信手段により送信した電子証明書及び暗号化された情報が前記第1認証装置により適正と判断され、適正であることを示す情報を受信した場合に、前記情報処理装置を安全と判断する安全判断手段と
を備えることを特徴とする安全性判断装置。
(Additional remark 16) In the safety judgment apparatus which judges the safety of the information processing apparatus connected to a 1st authentication apparatus and a 2nd authentication apparatus via a communication network,
Biometric information authentication means for determining whether or not the received biometric information is appropriate;
Environmental information collecting means for collecting environmental information including information on peripheral devices connected to the information processing apparatus or installed software;
Environmental information transmission means for transmitting the collected environmental information to the first authentication device;
Encrypted information transmitting means for transmitting the electronic certificate issued from the second authentication device and information encrypted with a personal key to the first authentication device;
The electronic certificate and the cipher that are judged to be appropriate by the biometric information authenticating means and the environmental information transmitted by the environmental information transmitting means is judged appropriate by the first authenticating device and transmitted by the encrypted information transmitting means And safety judging means for judging that the information processing device is safe when the first authentication device judges that the information is appropriate and receives information indicating that the information is appropriate. Sex judgment device.

(付記17) 第1認証装置及び第2認証装置に通信網を介して接続される情報処理装置の安全性を判断する安全性判断装置において、
受け付けた生体情報が適正であるか否かを判断する生体情報認証手段と、
前記情報処理装置に接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集する環境情報収集手段と、
収集した環境情報を前記第1認証装置へ送信する環境情報送信手段と、
前記第1認証装置から電子証明書及び暗号化されたソフトウェアを受信した場合、前記第2認証装置から取得した公開鍵を用いて電子証明書から取得した公開鍵で、暗号化されたソフトウェアを復号し、復号されたソフトウェアが適正であるか否かを判断する電子証明書認証手段と、
前記生体情報認証手段及び電子証明書認証手段による認証が適正であると判断され、また前記環境情報送信手段により送信した環境情報が前記第1認証装置により適正と判断され、適正であることを示す情報を受信した場合に、前記情報処理装置に前記復号したソフトウェアをインストールするインストール手段と
を備えることを特徴とする安全性判断装置。
(Additional remark 17) In the safety judgment apparatus which judges the safety of the information processing apparatus connected to a 1st authentication apparatus and a 2nd authentication apparatus via a communication network,
Biometric information authentication means for determining whether or not the received biometric information is appropriate;
Environmental information collecting means for collecting environmental information including information on peripheral devices connected to the information processing apparatus or installed software;
Environmental information transmission means for transmitting the collected environmental information to the first authentication device;
When the electronic certificate and the encrypted software are received from the first authentication device, the encrypted software is decrypted with the public key acquired from the electronic certificate using the public key acquired from the second authentication device. And an electronic certificate authenticating means for determining whether or not the decrypted software is proper,
It is determined that the authentication by the biometric information authentication unit and the electronic certificate authentication unit is appropriate, and the environment information transmitted by the environment information transmission unit is determined to be appropriate by the first authentication device, indicating that it is appropriate. An installation unit that installs the decrypted software in the information processing apparatus when information is received.

(付記18) 通信網を介して接続される情報処理装置の安全性を判断する第1認証装置において、
前記情報処理装置により受け付けた生体情報が適正であるか否かの認証情報を受信する認証情報受信手段と、
通信網を介して接続された第2認証装置から発行を受けた電子証明書及び個人鍵で暗号化された情報が、前記情報処理から送信された場合に、前記第2認証装置から取得した公開鍵を用いて前記送信された電子証明書から取得した公開鍵で、暗号化された情報を復号し、復号された情報が適正であるか否かを判断する電子証明書認証手段と、
前記情報処理装置から、該情報処理装置に接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を受信した場合に、送受信される情報に応じて階級付けされた環境条件を記憶した環境情報データベース及び送信された情報を参照して、受信した環境情報が適正であるか否かを判断する環境情報認証手段と、
前記認証情報受信手段により、生体情報が適正であるとの認証情報を受信し、また前記環境情報認証手段及び電子証明書認証手段による認証が適正であると判断した場合に前記情報処理装置を安全と判断する安全判断手段と
を備えることを特徴とする第1認証装置。
(Supplementary note 18) In the first authentication device for judging the safety of the information processing device connected via the communication network,
Authentication information receiving means for receiving authentication information as to whether or not the biometric information received by the information processing apparatus is appropriate;
The public certificate obtained from the second authentication device when the electronic certificate issued from the second authentication device connected via the communication network and the information encrypted with the personal key are transmitted from the information processing. An electronic certificate authenticating means for decrypting encrypted information with a public key obtained from the transmitted electronic certificate using a key, and determining whether the decrypted information is appropriate;
An environment that stores environmental conditions classified according to information transmitted and received when environmental information including information on peripheral devices connected to the information processing apparatus or installed software is received from the information processing apparatus An environmental information authentication means for referring to the information database and the transmitted information to determine whether the received environmental information is appropriate;
When the authentication information receiving means receives authentication information indicating that the biometric information is appropriate and determines that the authentication by the environment information authentication means and the electronic certificate authentication means is appropriate, the information processing apparatus is secured And a safety judging means for judging that the first authentication device.

(付記19) 第1認証装置及び第2認証装置に通信網を介して接続されるコンピュータの安全性を判断するためのコンピュータプログラムにおいて、
コンピュータに、受け付けた生体情報が適正であるか否かを認証させる生体情報認証ステップと、
コ ンピュータに、接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集させる環境情報収集ステップと、
コンピュータに、収集させた環境情報を前記第1認証装置へ送信させる環境情報送信ステップと、
コンピュータに、前記第2認証装置から発行を受けた電子証明書及び個人鍵で暗号化された情報を前記第1認証装置へ送信させる暗号化情報送信ステップと、
コンピュータに、前記生体情報認証ステップにより適正と判断され、また前記環境情報送信ステップにより送信された環境情報が前記第1認証装置により適正と判断され、かつ、前記暗号化情報送信ステップにより送信された電子証明書及び暗号化された情報が前記第1認証装置により適正と判断され、前記第1認証装置から適正であることを示す情報を受信した場合に、コンピュータを安全と判断する安全判断ステップと
を実行させることを特徴とするコンピュータプログラム。
(Supplementary note 19) In a computer program for determining the safety of a computer connected to a first authentication device and a second authentication device via a communication network,
A biometric information authentication step for causing the computer to authenticate whether or not the received biometric information is appropriate;
An environmental information collecting step for causing the computer to collect environmental information including information on connected peripheral devices or installed software;
An environment information transmitting step for causing the computer to transmit the collected environment information to the first authentication device;
An encrypted information transmission step for causing the computer to transmit to the first authentication device the information encrypted with the electronic certificate and the personal key issued from the second authentication device;
The computer is determined to be appropriate by the biometric information authentication step, and the environment information transmitted by the environment information transmission step is determined to be appropriate by the first authentication device, and is transmitted by the encryption information transmission step. A security judgment step of judging that the computer is safe when the electronic certificate and the encrypted information are judged to be appropriate by the first authentication device and information indicating that the electronic certificate and the encrypted information are appropriate are received from the first authentication device; A computer program for executing

(付記20) 第1認証装置及び第2認証装置に通信網を介して接続されるコンピュータの安全性を判断するためのコンピュータプログラムにおいて、
コンピュータに、受け付けた生体情報が適正であるか否かを認証させる生体情報認証ステップと、
コンピュータに、接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集させる環境情報収集ステップと、
コンピュータに、収集させた環境情報を前記第1認証装置へ送信させる環境情報送信ステップと、
コンピュータに、前記第1認証装置から電子証明書及び暗号化されたソフトウェアを受信した場合、前記第2認証装置から取得した公開鍵を用いて、電子証明書から取得した公開鍵で暗号化されたソフトウェアを復号させ、復号されたソフトウェアが適正であるか否かを判断させる電子証明書認証ステップと、
コンピュータに、前記生体情報認証ステップ及び電子証明書認証ステップによる認証が適正であると判断し、また、前記環境情報送信ステップにより送信した環境情報が前記第1認証装置により適正と判断され、適正であることを示す情報を受信した場合に、前記コンピュータに前記復号したソフトウェアをインストールするインストールステップと
を実行させることを特徴とするコンピュータプログラム。
(Supplementary note 20) In a computer program for judging the safety of a computer connected to a first authentication device and a second authentication device via a communication network,
A biometric information authentication step for causing the computer to authenticate whether or not the received biometric information is appropriate;
An environment information collecting step for causing a computer to collect environment information including information on connected peripheral devices or installed software;
An environment information transmitting step for causing the computer to transmit the collected environment information to the first authentication device;
When the computer received the electronic certificate and the encrypted software from the first authentication device, it was encrypted with the public key obtained from the electronic certificate using the public key obtained from the second authentication device. A digital certificate authentication step for decrypting the software and determining whether the decrypted software is appropriate;
It is determined that the authentication by the biometric information authentication step and the electronic certificate authentication step is appropriate for the computer, and the environment information transmitted by the environment information transmission step is determined to be appropriate by the first authentication device. When receiving information indicating that there is a computer program, the computer program causes the computer to execute an installation step of installing the decrypted software.

(付記21) 前記第1認証装置により、生体情報を受け付ける副生体情報受付ステップと、
受け付けた生体情報が適正であるか否かを前記情報処理装置、第1認証装置または第2認証装置により判断する副生体情報認証ステップと、
前記第1認証装置に接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集する副環境情報収集ステップと、
前記第2認証装置から発行を受けた個人鍵で前記副環境情報収集ステップにより収集した環境情報を暗号化する副暗号化ステップと、
前記第2認証装置から発行を受けた電子証明書及び前記暗号化された環境情報を前記情報処理装置へ送信する副暗号化情報送信ステップと、
前記情報処理装置により、前記第2認証装置から取得した公開鍵を用いて前記送信された電子証明書から取得した公開鍵で、暗号化された環境情報を復号し、復号された環境情報が適正であるか否かを判断する副電子証明書認証ステップと、
送受信される情報に応じて階級付けされた環境条件を記憶した副環境情報データベース及び復号された環境情報を参照して、前記情報処理装置により前記送信された環境情報が適正であるか否かを判断する副環境情報認証ステップと、
前記副生体情報認証ステップ、副環境情報認証ステップ及び副電子証明書認証ステップによる認証が全て適正であり、かつ前記安全判断ステップにより安全と判断された場合に、前記情報処理装置及び前記第1認証装置を安全と判断する副安全判断ステップと
を備えることを特徴とする付記1または3に記載の安全性判断方法。
(Additional remark 21) By the said 1st authentication apparatus, the subbiological information reception step which receives biometric information,
A sub-biological information authentication step of determining whether the received biometric information is appropriate by the information processing device, the first authentication device, or the second authentication device;
A sub-environment information collection step for collecting environment information including information on peripheral devices connected to the first authentication device or installed software;
A sub-encryption step of encrypting the environment information collected by the sub-environment information collection step with a personal key issued from the second authentication device;
A sub-encrypted information transmission step of transmitting the electronic certificate issued from the second authentication device and the encrypted environment information to the information processing device;
The information processing device decrypts the encrypted environment information with the public key obtained from the transmitted electronic certificate using the public key obtained from the second authentication device, and the decrypted environment information is appropriate. A sub-digital certificate authentication step for determining whether or not
Whether the environmental information transmitted by the information processing apparatus is appropriate with reference to the sub-environment information database storing the environmental conditions classified according to the information to be transmitted and received and the decoded environmental information. A sub-environment information authentication step to determine;
When the authentication by the sub-biological information authentication step, the sub-environment information authentication step, and the sub-electronic certificate authentication step are all appropriate and determined safe by the safety determination step, the information processing apparatus and the first authentication The safety judgment method according to appendix 1 or 3, further comprising a sub-safety judgment step for judging the device as safe.

(付記22) 前記第1認証装置は、
生体情報を受け付ける副生体情報受付手段と、
受け付けた生体情報が適正であるか否かを判断する副生体情報認証手段と、
接続された周辺機器またはインストールされたソフトウェアの情報を含む環境情報を収集する副環境情報収集手段と、
前記第2認証装置から発行を受けた個人鍵で前記副環境情報収集手段により収集した環境情報を暗号化する副暗号化手段と、
前記第2認証装置から発行を受けた電子証明書及び前記暗号化された環境情報を前記情報処理装置へ送信する副暗号化情報送信手段とを備え、
前記情報処理装置は、
前記第2認証装置から取得した公開鍵を用いて前記送信された電子証明書から取得した公開鍵で、暗号化された環境情報を復号し、復号された環境情報が適正であるか否かを判断する副電子証明書認証手段と、
送受信される情報に応じて階級付けされた環境条件を記憶した副環境情報データベース及び復号された環境情報を参照して、前記送信された環境情報が適正であるか否かを判断する副環境情報認証手段と、
前記副生体情報認証手段、副環境情報認証手段及び副電子証明書認証手段による認証が全て適正であり、かつ前記安全判断手段により安全と判断された場合に、前記情報処理装置及び前記第1認証装置を安全と判断する副安全判断手段と
を備えることを特徴とする付記13に記載の安全性判断システム。
(Supplementary Note 22) The first authentication device includes:
Sub-biological information receiving means for receiving biological information;
Sub-biological information authentication means for determining whether or not the received biometric information is appropriate;
Sub-environment information collection means for collecting environment information including information on connected peripheral devices or installed software;
Sub-encrypting means for encrypting environment information collected by the sub-environment information collecting means with a personal key issued from the second authentication device;
Sub-encrypted information transmitting means for transmitting the electronic certificate issued from the second authentication device and the encrypted environment information to the information processing device;
The information processing apparatus includes:
Using the public key acquired from the second authentication device, the encrypted environment information is decrypted with the public key acquired from the transmitted electronic certificate, and whether or not the decrypted environment information is appropriate A secondary electronic certificate authenticating means for judging;
Sub-environment information for judging whether or not the transmitted environment information is appropriate with reference to the sub-environment information database storing the environmental conditions classified according to the information to be transmitted and received and the decoded environment information Authentication means;
When the authentication by the sub-biological information authentication unit, the sub-environment information authentication unit, and the sub-digital certificate authentication unit is all appropriate and the safety determination unit determines that the information is safe, the information processing apparatus and the first authentication The safety judgment system according to supplementary note 13, further comprising: sub safety judgment means for judging the device as safe.

本発明に係る安全性判断システムの概要を示す模式図である。It is a mimetic diagram showing the outline of the safety judgment system concerning the present invention. 携帯電話機のハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of a mobile telephone. 中央サーバのハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of a central server. 環境情報DBのレコードレイアウトを示す説明図である。It is explanatory drawing which shows the record layout of environmental information DB. Webサーバと携帯電話機との間の商取引の手順を示すフローチャートである。It is a flowchart which shows the procedure of the commercial transaction between a web server and a mobile telephone. Webページのイメージを示す説明図である。It is explanatory drawing which shows the image of a web page. 安全性の判断処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the judgment process of safety. 安全性の判断処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the judgment process of safety. 安全性の判断処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the judgment process of safety. 安全性の判断処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the judgment process of safety. 安全性の判断処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the judgment process of safety. 安全性の判断処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the judgment process of safety. 実施の形態2に係る携帯電話機のハードウェア構成を示すブロック図である。4 is a block diagram showing a hardware configuration of a mobile phone according to Embodiment 2. FIG. 実施の形態3に係る携帯電話機のハードウェア構成を示すブロック図である。10 is a block diagram showing a hardware configuration of a mobile phone according to Embodiment 3. FIG. 中央サーバのハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of a central server. 実施の形態3に係る安全性の判断処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of safety determination processing according to the third embodiment. 実施の形態3に係る安全性の判断処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of safety determination processing according to the third embodiment. 実施の形態3に係る安全性の判断処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of safety determination processing according to the third embodiment. 実施の形態3に係る安全性の判断処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of safety determination processing according to the third embodiment. 実施の形態3に係る安全性の判断処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of safety determination processing according to the third embodiment. 実施の形態4に係る携帯電話機のハードウェア構成を示すブロック図である。FIG. 10 is a block diagram showing a hardware configuration of a mobile phone according to a fourth embodiment. 中央サーバのハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of a central server. 実施の形態4に係るソフトウェア提供処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of software providing processing according to the fourth embodiment. 実施の形態4に係るソフトウェア提供処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of software providing processing according to the fourth embodiment. 実施の形態4に係るソフトウェア提供処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of software providing processing according to the fourth embodiment. 実施の形態4に係るソフトウェア提供処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of software providing processing according to the fourth embodiment. 実施の形態4に係るソフトウェア提供処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of software providing processing according to the fourth embodiment. 実施の形態4に係るソフトウェア提供処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of software providing processing according to the fourth embodiment. 実施の形態4に係るソフトウェア提供処理の手順を示すフローチャートである。10 is a flowchart illustrating a procedure of software providing processing according to the fourth embodiment. インストールされた消去用ソフトウェアの処理内容を示すフローチャートである。It is a flowchart which shows the processing content of the installed deletion software. 実施の形態5に係る携帯電話機のハードウェア構成を示すブロック図である。FIG. 10 is a block diagram showing a hardware configuration of a mobile phone according to a fifth embodiment. 実施の形態6に係る携帯電話機のハードウェア構成を示すブロック図である。FIG. 20 is a block diagram showing a hardware configuration of a mobile phone according to a sixth embodiment. 実施の形態6に係る中央サーバのハードウェア構成を示すブロック図である。FIG. 20 is a block diagram illustrating a hardware configuration of a central server according to a sixth embodiment. 実施の形態6に係る認証処理の手順を示すフローチャートである。18 is a flowchart showing a procedure of authentication processing according to the sixth embodiment. 実施の形態6に係る認証処理の手順を示すフローチャートである。18 is a flowchart showing a procedure of authentication processing according to the sixth embodiment. 実施の形態6に係る認証処理の手順を示すフローチャートである。18 is a flowchart showing a procedure of authentication processing according to the sixth embodiment. 実施の形態6に係る認証処理の手順を示すフローチャートである。18 is a flowchart showing a procedure of authentication processing according to the sixth embodiment.

符号の説明Explanation of symbols

1 携帯電話機(情報処理装置)
112 指紋取得部
2 中央サーバ(第1認証装置)
3 認証機関サーバ(第2認証装置)
4 Webサーバ(店舗コンピュータ)
N インターネット(通信網)
110 携帯電話機エンジン部
15 ROM
16 アンテナ部
13 入力部
113 電源部
19 外部接続端子
5 セキュリティチップ(安全性判断装置)
552 指紋情報ファイル
551 環境情報ファイル
553 電子証明書ファイル
554 個人鍵ファイル
24 表示部
23 入力部
251 環境情報データベース(環境情報DB)
1a 記録媒体
114 主電源部(主電力供給手段)
115 副電源部(副電力供給手段)
116 第2ROM(蓄積手段)
1 Mobile phone (information processing equipment)
112 Fingerprint acquisition unit 2 Central server (first authentication device)
3 Certification authority server (second authentication device)
4 Web server (store computer)
N Internet (communication network)
110 Mobile phone engine section 15 ROM
16 antenna part 13 input part 113 power supply part 19 external connection terminal 5 security chip (safety judgment device)
552 Fingerprint information file 551 Environmental information file 553 Electronic certificate file 554 Personal key file 24 Display unit 23 Input unit 251 Environmental information database (environmental information DB)
1a Recording medium 114 Main power supply (main power supply means)
115 Sub power supply (sub power supply means)
116 2nd ROM (storage means)

Claims (16)

情報処理装置と認証装置が通信網を介して接続されており、前記情報処理装置の安全性を判断する安全性判断方法において、
情報処理装置が、注文情報を認証装置に送信する注文情報送信ステップと、
情報処理装置が、該情報処理装置の情報、該情報処理装置に接続された周辺機器の情報、またはインストールされたソフトウェアの情報の少なくともいずれかを含む環境情報を収集する環境情報収集ステップと、
情報処理装置が、収集した環境情報を前記認証装置に送信する環境情報送信ステップと、
認証装置が、注文情報と環境情報の条件とを対応づけて記憶した環境情報データベースに基づいて、前記送信された環境情報が前記送信された注文情報に対して適正であるか否かを判定する環境情報認証ステップと、
認証装置が、前記環境情報認証ステップによる認証が適正である場合に、前記情報処理装置を安全と判断する安全判断ステップと
を備えることを特徴とする安全性判断方法。
An information processing apparatus and an authentication apparatus are connected via a communication network, and in the safety determination method for determining the safety of the information processing apparatus,
An information processing device, an order information transmission step for transmitting the order information to the authentication device;
An environment information collecting step in which the information processing apparatus collects environment information including at least one of information on the information processing apparatus, information on peripheral devices connected to the information processing apparatus, and information on installed software;
An environment information transmitting step in which the information processing apparatus transmits the collected environment information to the authentication apparatus;
The authentication device determines whether or not the transmitted environment information is appropriate for the transmitted order information based on an environment information database in which the order information and the environment information conditions are stored in association with each other. Environmental information authentication step;
A safety judgment method comprising: a safety judgment step for judging that the information processing apparatus is safe when the authentication device is properly authenticated in the environmental information authentication step.
前記認証装置は、前記安全判断ステップで前記情報処理装置を安全と判断した場合には、安全性を保証する情報と注文情報とを、該注文情報に係わる処理を行う情報処理装置に送出することを特徴とする請求項1に記載の安全性判断方法。   If the authentication device determines that the information processing device is safe in the safety determination step, the authentication device sends information for guaranteeing safety and order information to the information processing device that performs processing related to the order information. The safety determination method according to claim 1, wherein: 前記認証装置は、前記安全判断ステップで前記情報処理装置を安全ではない判断した場合には、危険性を通知する情報を、該注文情報に係わる処理を行う情報処理装置に送出することを特徴とする請求項1に記載の安全性判断方法。   When the authentication device determines that the information processing device is not safe in the safety determination step, the authentication device sends information notifying the danger to the information processing device that performs processing related to the order information. The safety judgment method according to claim 1. 前記環境情報データベースは、注文情報に対応する複数の階級が設定され、該階級ごとに異なる環境情報の条件が設定されるものであり、
前記環境情報認証ステップは、前記注文情報に対応する階級の環境情報の条件に応じて前記送信された環境情報が前記送信された注文情報に対して適正であるか否かを判定することを特徴とする請求項1に記載の安全性判断方法。
In the environmental information database, a plurality of classes corresponding to order information are set, and different environmental information conditions are set for each class.
The environment information authentication step determines whether or not the transmitted environment information is appropriate for the transmitted order information in accordance with a condition of the class environment information corresponding to the order information. The safety judging method according to claim 1.
前記情報処理装置はさらに、生体情報を受付ける生体情報受付ステップを実行し、
前記情報処理装置、前記認証装置または前記認証装置とは異なる認証装置のいずれかにより、受付けた生体情報が適正であるか否かを判断する生体情報認証ステップを備え、
前記認証装置における安全判断ステップでは、生体情報認証ステップで受付けた生体情報が適正であると判断され、かつ前記環境情報認証ステップにて環境情報が適正と判断された場合に前記情報処理装置を安全と判断することを特徴とする請求項1に記載の安全性判断方法。
The information processing apparatus further executes a biological information receiving step for receiving biological information,
A biometric information authentication step of determining whether the received biometric information is appropriate by any of the information processing apparatus, the authentication apparatus, or an authentication apparatus different from the authentication apparatus;
In the safety judgment step in the authentication device, if the biometric information received in the biometric information authentication step is judged to be appropriate and the environmental information is judged to be proper in the environmental information authentication step, the information processing device is made safe The safety determination method according to claim 1, wherein:
前記情報処理装置における前記注文情報ステップは、予め情報処理装置に対して電子証明局から発行を受けた電子証明書と、個人鍵で暗号化した注文情報のメッセージダイジェストとを認証装置に対して送出するものであり、
前記認証装置は、さらに前記電子証明書から得られる公開鍵を用いて前記注文情報のメッセージダイジェストを復号し、注文情報が適正であるか否かを判断する電子証明書認証ステップを実行するものであり、
前記認証装置における安全判断ステップでは、電子証明書認証ステップで受付けた注文情報が適正であると判断され、かつ前記環境情報認証ステップにて環境情報が適正と判断された場合に前記情報処理装置を安全と判断することを特徴とする請求項1に記載の安全性判断方法。
The order information step in the information processing apparatus sends an electronic certificate issued in advance to the information processing apparatus from an electronic certificate authority and a message digest of order information encrypted with a personal key to the authentication apparatus. Is what
The authentication device further performs an electronic certificate authentication step of decrypting the message digest of the order information using a public key obtained from the electronic certificate and determining whether the order information is appropriate. Yes,
In the safety judgment step in the authentication device, if the order information received in the electronic certificate authentication step is judged to be appropriate and the environment information is judged to be appropriate in the environment information authentication step, the information processing device is The safety judging method according to claim 1, wherein safety is judged.
前記環境情報は、インストールされたソフトウェアの名称またはバージョン、接続された周辺機器の機器名またはバージョン、または、前記情報処理装置の装置名またはバージョンの情報を含むことを特徴とする請求項1に記載の安全性判断方法。   The environment information includes information on a name or version of installed software, a device name or version of a connected peripheral device, or a device name or version of the information processing apparatus. Safety judgment method. 情報処理装置と認証装置が通信網を介して接続されており、情報処理装置の安全性を判断する安全性判断システムにおいて、
前記情報処理装置は、
該情報処理装置の情報、該情報処理装置に接続された周辺機器の情報、またはインストールされたソフトウェアの情報の少なくともいずれかを含む環境情報を収集する環境情報収集手段と、
注文情報と、収集した環境情報とを前記認証装置へ送信する情報送信手段とを備え、
前記認証装置は、
前記情報処理装置から送信された、注文情報と環境情報とを受信する手段と、
注文情報と環境情報の条件とを対応づけて記憶した環境情報データベースに基づいて、前記受信した環境情報が前記受信した注文情報に対して適正であるか否かを判断する環境情報認証手段と、
前記環境情報認証手段による認証が適正である場合に前記情報処理装置を安全と判断する安全判断手段と
を備えることを特徴とする安全性判断システム。
In the safety judgment system in which the information processing device and the authentication device are connected via a communication network and judge the safety of the information processing device,
The information processing apparatus includes:
Environmental information collecting means for collecting environmental information including at least one of information on the information processing apparatus, information on peripheral devices connected to the information processing apparatus, and information on installed software;
Comprising information transmission means for transmitting the order information and the collected environmental information to the authentication device;
The authentication device
Means for receiving order information and environmental information transmitted from the information processing apparatus;
Environmental information authentication means for determining whether or not the received environmental information is appropriate for the received order information, based on an environmental information database that stores the order information and the conditions of the environmental information in association with each other;
A safety judgment system comprising: safety judgment means for judging that the information processing apparatus is safe when authentication by the environmental information authentication means is appropriate.
前記情報処理装置との間で商取引に関する情報を送受信する店舗コンピュータをさらに備え、
前記情報処理装置は、商品情報または金額情報を含む商取引に関する情報を受付ける手段と、該商取引に関する情報を注文情報として前記認証装置へ送信する手段とを更に備え、
前記環境情報認証手段は、送信された商品情報または金額情報に対応する環境情報の条件を環境情報データベースから読み出し、該読み出した環境情報の条件に前記送信された環境情報が合致するか否かにより、適正であるか否かを判断するよう構成してあり、
前記認証装置は、前記安全判断手段により前記情報処理装置が安全と判断した場合に、該情報処理装置の安全性に関する情報を前記店舗コンピュータへ送信する手段を更に備えることを特徴とする請求項8に記載の安全性判断システム。
It further comprises a store computer that transmits and receives information related to commercial transactions with the information processing device,
The information processing apparatus further comprises means for receiving information relating to a commercial transaction including product information or money amount information, and means for transmitting the information relating to the commercial transaction as order information to the authentication device,
The environmental information authenticating unit reads the environmental information condition corresponding to the transmitted product information or money amount information from the environmental information database, and determines whether the transmitted environmental information matches the read environmental information condition. Is configured to determine whether it is appropriate,
The said authentication apparatus is further provided with the means to transmit the information regarding the safety of this information processing apparatus to the said store computer, when the said information processing apparatus judges that it is safe by the said safety judgment means. Safety judgment system described in 1.
通信網を介して接続される情報処理装置の安全性を判断する認証装置において、
前記情報処理装置が送信した、該情報処理装置の情報、該情報処理装置に接続された周辺機器の情報、またはインストールされたソフトウェアの情報の少なくともいずれかを含む環境情報と、注文情報とを受信する受信手段と、
注文情報と環境情報の条件とを対応づけて記憶した環境情報データベースに基づいて、前記受信した環境情報が前記送信された注文情報に対して適正であるか否かを判定する環境情報認証手段と、
前記環境情報認証手段による認証が適正である場合に、前記情報処理装置を安全と判断する安全判断手段と
を備えることを特徴とする認証装置。
In an authentication device for judging the safety of an information processing device connected via a communication network,
Environment information including order information and at least one of information on the information processing apparatus, information on peripheral devices connected to the information processing apparatus, or information on installed software transmitted by the information processing apparatus is received. Receiving means for
Environmental information authentication means for determining whether or not the received environmental information is appropriate for the transmitted order information based on an environmental information database in which the order information and environmental information conditions are stored in association with each other; ,
An authentication apparatus, comprising: safety judgment means for judging that the information processing apparatus is safe when authentication by the environmental information authentication means is appropriate.
コンピュータを、該コンピュータと通信網を介して接続される情報処理装置の安全性を判断する認証装置として機能させるためのプログラムであって、
コンピュータを、
前記情報処理装置が送信した、該情報処理装置の情報、該情報処理装置に接続された周辺機器の情報、またはインストールされたソフトウェアの情報の少なくともいずれかを含む環境情報と、注文情報とを受信する受信手段と、
注文情報と環境情報の条件とを対応づけて記憶した環境情報データベースに基づいて、前記受信した環境情報が前記送信された注文情報に対して適正であるか否かを判定する環境情報認証手段と、
前記環境情報認証手段による認証が適正である場合に認証装置により、前記情報処理装置を安全と判断する安全判断手段
として機能させるためのプログラム。
A program for causing a computer to function as an authentication device that determines the safety of an information processing device connected to the computer via a communication network,
Computer
Environment information including order information and at least one of information on the information processing apparatus, information on peripheral devices connected to the information processing apparatus, or information on installed software transmitted by the information processing apparatus is received. Receiving means for
Environmental information authentication means for determining whether or not the received environmental information is appropriate for the transmitted order information based on an environmental information database in which the order information and environmental information conditions are stored in association with each other; ,
A program for causing an authentication device to function as a safety judgment means for judging that the information processing apparatus is safe when authentication by the environmental information authentication means is appropriate.
認証装置に通信網を介して接続される情報処理装置の安全性を判断する安全性判断装置であって、
前記情報処理装置の情報、前記情報処理装置に接続された周辺機器の情報、またはインストールされたソフトウェアの情報の少なくともいずれかを含む環境情報を収集する環境情報収集手段と、
収集した環境情報を前記認証装置に送信する環境情報送信手段と、
認証装置から、前記送信された環境情報が前記送信された注文情報に対して適正であるか否かの判定結果を受信した場合に、前記情報処理装置を安全と判断する安全判断手段と を備えることを特徴とする安全性判断装置。
A safety judgment device for judging the safety of an information processing device connected to an authentication device via a communication network,
Environmental information collecting means for collecting environmental information including at least one of information on the information processing apparatus, information on peripheral devices connected to the information processing apparatus, or information on installed software;
Environmental information transmitting means for transmitting the collected environmental information to the authentication device;
Safety judgment means for judging that the information processing apparatus is safe when receiving a determination result as to whether or not the transmitted environment information is appropriate for the transmitted order information from an authentication apparatus. A safety judgment device characterized by that.
生体情報が適正であるか否かを判断する生体情報認証手段を更に有し、
前記安全判断手段は、前記生体情報認証手段によって前記情報処理装置に接続された生体情報受付手段が受付けた生体情報が適正であると判断され、かつ認証装置から、前記送信された環境情報が前記送信された注文情報に対して適正であるか否かの判定結果を受信した場合に、前記情報処理装置を安全と判断することを特徴とする請求項12に記載の安全性判断装置。
Further comprising biometric information authentication means for determining whether the biometric information is appropriate,
The safety judging means judges that the biometric information received by the biometric information accepting means connected to the information processing apparatus by the biometric information authenticating means is appropriate, and the transmitted environment information is sent from the authentication apparatus. 13. The safety determination apparatus according to claim 12, wherein the information processing apparatus determines that the information processing apparatus is safe when a determination result indicating whether the order information is appropriate is received.
予め電子証明局により発行された電子証明書と個人鍵とを記録する手段と、該個人鍵により情報を暗号化する暗号化手段とを更に有し、
認証装置に情報を送信する際は、送信すべき情報を暗号化するとともに、前記電子証明書を添付して暗号化された情報を送信することを特徴とする請求項12に記載の安全性判断装置。
A means for recording an electronic certificate and a personal key issued in advance by an electronic certificate authority, and an encryption means for encrypting information using the personal key;
13. The security judgment according to claim 12, wherein when information is transmitted to the authentication device, the information to be transmitted is encrypted, and the encrypted information is transmitted with the electronic certificate attached thereto. apparatus.
受信した暗号化情報を復号化する復号化手段を更に有し、
暗号化されたソフトウェア及び電子証明書を受信した場合、前記安全判断手段により安全性の判断を実行し、安全と判断された場合に該電子証明書に基づいて取得した公開鍵で暗号化されたソフトウェアを復号し、前記情報処理装置にインストールを行うことを特徴とする請求項12に記載の安全性判断装置。
Further comprising decryption means for decrypting the received encrypted information;
When the encrypted software and electronic certificate are received, the safety determination unit executes the safety determination, and when it is determined to be safe, it is encrypted with the public key acquired based on the electronic certificate. 13. The safety judgment device according to claim 12, wherein software is decrypted and installed in the information processing device.
前記情報処理装置の内部に実装されるLSI(Large Integrated Circuit)チップにより構成されることを特徴とする請求項12乃至15いずれか一つに記載の安全性判断装置。   16. The safety judgment device according to claim 12, comprising an LSI (Large Integrated Circuit) chip mounted inside the information processing device.
JP2006060008A 2006-03-06 2006-03-06 Safety judgment method, safety judgment system, authentication device, program, and safety judgment device Expired - Fee Related JP4439481B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006060008A JP4439481B2 (en) 2006-03-06 2006-03-06 Safety judgment method, safety judgment system, authentication device, program, and safety judgment device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006060008A JP4439481B2 (en) 2006-03-06 2006-03-06 Safety judgment method, safety judgment system, authentication device, program, and safety judgment device

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2002323200A Division JP4349789B2 (en) 2002-11-06 2002-11-06 Safety judgment device and safety judgment method

Publications (2)

Publication Number Publication Date
JP2006236358A true JP2006236358A (en) 2006-09-07
JP4439481B2 JP4439481B2 (en) 2010-03-24

Family

ID=37043852

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006060008A Expired - Fee Related JP4439481B2 (en) 2006-03-06 2006-03-06 Safety judgment method, safety judgment system, authentication device, program, and safety judgment device

Country Status (1)

Country Link
JP (1) JP4439481B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008090494A (en) * 2006-09-29 2008-04-17 Hitachi Ltd Environment conversion system, terminal equipment, information processor, management server and portable storage medium
JP2008171087A (en) * 2007-01-09 2008-07-24 Taito Corp Authentication system, and authentication program
US11605145B2 (en) 2018-03-22 2023-03-14 Samsung Electronics Co., Ltd. Electronic device and authentication method thereof

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008090494A (en) * 2006-09-29 2008-04-17 Hitachi Ltd Environment conversion system, terminal equipment, information processor, management server and portable storage medium
JP2008171087A (en) * 2007-01-09 2008-07-24 Taito Corp Authentication system, and authentication program
US11605145B2 (en) 2018-03-22 2023-03-14 Samsung Electronics Co., Ltd. Electronic device and authentication method thereof

Also Published As

Publication number Publication date
JP4439481B2 (en) 2010-03-24

Similar Documents

Publication Publication Date Title
JP4349789B2 (en) Safety judgment device and safety judgment method
JP4818664B2 (en) Device information transmission method, device information transmission device, device information transmission program
US8352743B2 (en) Client device, key device, service providing apparatus, user authentication system, user authentication method, program, and recording medium
EP2261830B1 (en) Authentication method, authentication device, program, and recording medium
JP4724655B2 (en) Security chip and information management method
TW201741922A (en) Biological feature based safety certification method and device
JP4861423B2 (en) Information processing apparatus and information management method
KR101941227B1 (en) A FIDO authentication device capable of identity confirmation or non-repudiation and the method thereof
JP4095051B2 (en) Home network device capable of automatic ownership authentication, home network system and method thereof
US20100082982A1 (en) Service control system and service control method
JP5431040B2 (en) Authentication request conversion apparatus, authentication request conversion method, and authentication request conversion program
JP5278495B2 (en) Device information transmission method, device information transmission device, device information transmission program
JP4439481B2 (en) Safety judgment method, safety judgment system, authentication device, program, and safety judgment device
JP4998314B2 (en) Communication control method and communication control program
JP4790004B2 (en) Safety judgment method, safety judgment system, first authentication device and computer program
JP4408868B2 (en) Software providing method and information processing apparatus
US11809528B2 (en) Terminal hardware configuration system
JP2017175227A (en) Certificate management system, certificate management method, and program
JP4350046B2 (en) Service providing system, service using device, service arbitrating device, and service providing device
JP5106211B2 (en) Communication system and client device
KR101118424B1 (en) System for Processing Automatic Renewal with Certificate of Attestation
JP2004341897A (en) Attribute certification information generation device, attribute certification information requesting device, attribute certification information issuing system, and attribute authentication system
JP2009260688A (en) Security system and method thereof for remote terminal device in wireless wide-area communication network
KR100917706B1 (en) Information management device and information management method
JP2006033267A (en) Information processing system, information processing method, information processing apparatus, and program

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090929

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100105

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100105

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130115

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4439481

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130115

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140115

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees