JP2018164134A - 情報処理システム、情報処理方法、及びプログラム - Google Patents

情報処理システム、情報処理方法、及びプログラム Download PDF

Info

Publication number
JP2018164134A
JP2018164134A JP2017058918A JP2017058918A JP2018164134A JP 2018164134 A JP2018164134 A JP 2018164134A JP 2017058918 A JP2017058918 A JP 2017058918A JP 2017058918 A JP2017058918 A JP 2017058918A JP 2018164134 A JP2018164134 A JP 2018164134A
Authority
JP
Japan
Prior art keywords
communication device
authentication code
information processing
verification
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017058918A
Other languages
English (en)
Other versions
JP6501813B2 (ja
Inventor
隆将 磯原
Takamasa Isohara
隆将 磯原
竹森 敬祐
Keisuke Takemori
敬祐 竹森
輝彰 本間
Teruaki Honma
輝彰 本間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2017058918A priority Critical patent/JP6501813B2/ja
Publication of JP2018164134A publication Critical patent/JP2018164134A/ja
Application granted granted Critical
Publication of JP6501813B2 publication Critical patent/JP6501813B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】情報資産を安全に共有する。【解決手段】第1通信装置は、認証局アプリを記憶し、第1通信装置のユーザが第2通信装置のユーザへ付与する権限を含む属性情報を取得し、認証局アプリは、属性情報に基づいて属性証明書を発行し、第1通信装置は、第2通信装置へ、属性証明書を送信し、第2通信装置は、共通鍵の生成に使用する識別情報と共通鍵とを記憶し、属性証明書を受信し、属性証明書に基づいて、認証コードを生成し、認証コードを共通鍵で暗号化した暗号化認証コードを作成し、情報処理装置へ、暗号化認証コードと属性証明書と識別情報とを送信し、情報処理装置は、暗号化認証コードと属性証明書と識別情報とを受信し、識別情報に対応する共通鍵を取得し、共通鍵を使用して、暗号化認証コードを検証し、暗号化認証コードの検証結果に基づき、属性証明書に基づいて、処理を実行する。【選択図】図2

Description

本発明の実施形態は、情報処理システム、情報処理方法、及びプログラムに関する。
スマートフォンに搭載されたSIM(Subscriber Identity Module)や、専用のセキュアエレメント等の安全な領域にキャッシュカードの情報を格納することで、キャッシュカードレスで、ATM(Automatic Teller Machine)等を利用可能とする、モバイル型キャッシュカード技術が知られている(例えば、非特許文献1−2参照)。
また、金融の分野では、利便性やシステム運用コストの低減に対する期待から、ビットコイン等の仮想通貨の利用や、流通の拡大が見込まれている。こうした一連の技術は金融分野における情報通信技術の適用事例として、FinTech(financial technology)と称されている。
昨今、テキスト・音声・画像等のデジタル化された情報資産は、「共有」行為により、流動性が高まり、取扱いの利便性が向上した。ここで、現金や仮想通貨も情報資産の一種であると仮定すると、これを共有する新たな利用形態を実現することで、利便性の向上が見込まれる。
情報資産を共有する技術に関して、口座の利用権限を、口座の所有者が認めた第三者に与える技術が知られている(例えば、非特許文献3参照)。
"FinTech関連サービスの第一弾として「日立モバイル型キャッシュカードサービス」を販売開始"、[online]、株式会社日立製作所、[平成28年11月18日検索]、インターネット<URL: http://www.hitachi.co.jp/New/cnews/month/2015/12/1217.html> "スマホだけで現金を引き出し 三菱UFJ銀、18年に導入"、[online]、朝日新聞DIGITAL、[平成28年11月18日検索]、インターネット<URL: http://www.asahi.com/articles/ASJ7P55S0J7PUUPI004.html> "American Express Serve"、[online]、American Express、[平成28年11月18日検索]、インターネット<URL: http://www.americanexpress.com/us/content/prepaid/pass.html>
前述のモバイル型キャッシュカード技術は、既存のキャッシュカードをスマートフォンに置き換えるものであり、口座の共有を実現する技術ではない。
また、口座の利用権限を、第三者に与える技術は、予め第三者を登録する必要がある。
本発明は、上記問題を解決すべくなされたもので、金融等の厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することを目的とする。
(1)本発明の一態様は、第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムであって、第1の通信装置は、認証局アプリを記憶する第1の記憶部と、第1の通信部と、前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得する取得部とを備え、前記認証局アプリは、前記属性情報に基づいて、属性証明書を発行し、前記第1の通信部は、前記第2の通信装置へ、前記属性証明書を送信し、前記第2の通信装置は、共通鍵の生成に使用する識別情報と共通鍵とを記憶する第2の記憶部と、前記第1の通信装置が送信した前記属性証明書を受信する第2の通信部と、前記第2の通信部が受信した前記属性証明書に基づいて、認証コードを生成する生成部と、前記認証コードを前記共通鍵で暗号化することによって暗号化認証コードを作成する暗号化部とを備え、前記第2の通信部は、情報処理装置へ、前記暗号化認証コードと前記属性証明書と前記識別情報とを送信し、前記情報処理装置は、前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信する情報処理通信部と、前記情報処理通信部が受信した前記識別情報に対応する共通鍵を取得する取得部と、前記取得部が取得した前記共通鍵を使用して、前記暗号化認証コードを検証する検証部と、前記検証部による前記暗号化認証コードの検証が成功した場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行する実行部とを備える、情報処理システムである。
(2)本発明の一態様は、上記(1)に記載の情報処理システムにおいて、前記情報処理装置は、共通鍵の生成に使用する複数の識別情報と複数の共通鍵とを関連付けて記憶する情報処理記憶部を備え、前記取得部は、前記情報処理記憶部に記憶されている前記複数の共通鍵のうち、前記情報処理通信部が受信した前記識別情報に関連付けられている共通鍵を取得する、情報処理システムである。
(3)本発明の一態様は、上記(1)に記載の情報処理システムにおいて、前記取得部は、前記情報処理通信部が受信した前記識別情報に基づいて、前記共通鍵を生成する、情報処理システムである。
(4)本発明の一態様は、第1の通信装置と第2の通信装置と情報処理装置と検証装置とを備える情報処理システムであって、第1の通信装置は、認証局アプリを記憶する第1の記憶部と、第1の通信部と、前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得する取得部とを備え、前記認証局アプリは、前記属性情報に基づいて、属性証明書を発行し、前記第1の通信部は、前記第2の通信装置へ、前記属性証明書を送信し、前記第2の通信装置は、共通鍵の生成に使用する識別情報と共通鍵とを記憶する第2の記憶部と、前記第1の通信装置が送信した前記属性証明書を受信する第2の通信部と、前記第2の通信部が受信した前記属性証明書に基づいて、認証コードを生成する生成部と、前記認証コードを前記共通鍵で暗号化することによって暗号化認証コードを生成する暗号化部とを備え、前記第2の通信部は、情報処理装置へ、前記暗号化認証コードと前記属性証明書と前記識別情報とを送信し、前記情報処理装置は、前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信する情報処理通信部と、検証装置へ、前記暗号化認証コードの検証を要求する検証要求部と、前記暗号化認証コードの検証結果が成功である場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行する実行部とを備え、前記情報処理通信部は、前記検証要求部が前記暗号化認証コードの検証を要求する場合に、前記検証装置へ、前記暗号化認証コードと前記属性証明書と前記識別情報とを送信するとともに、前記検証装置が送信する前記検証結果を受信し、前記検証装置は、前記情報処理装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信する検証通信部と、前記検証通信部が受信した前記識別情報に基づいて、共通鍵を取得する取得部と、前記取得部が生成した前記共通鍵を使用して、前記検証通信部が受信した前記暗号化認証コードを検証する検証部とを備え、前記検証通信部は、前記検証部による前記暗号化認証コードの前記検証結果を、前記情報処理装置へ送信する、情報処理システムである。
(5)本発明の一態様は、上記(4)に記載の情報処理システムにおいて、前記検証装置は、共通鍵の生成に使用する複数の識別情報と複数の共通鍵とを関連付けて記憶する検証記憶部を備え、前記取得部は、前記検証記憶部に記憶されている前記複数の共通鍵のうち、前記検証通信部が受信した前記識別情報と関連付けられる共通鍵を取得する、情報処理システムである。
(6)本発明の一態様は、上記(4)に記載の情報処理システムにおいて、前記取得部は、前記検証通信部が受信した前記識別情報に基づいて、前記共通鍵を生成する、情報処理システムである。
(7)本発明の一態様は、第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムが実行する情報処理方法であって、第1の通信装置が、前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得するステップと、前記第1の通信装置が、前記属性情報に基づいて、属性証明書を発行するステップと、前記第1の通信装置が、前記第2の通信装置へ、前記属性証明書を送信するステップと、前記第2の通信装置が、前記第1の通信装置が送信した前記属性証明書を受信するステップと、前記第2の通信装置が、前記属性証明書に基づいて、認証コードを生成するステップと、前記第2の通信装置が、前記認証コードを前記第2の通信装置が記憶する共通鍵で暗号化することによって暗号化認証コードを作成するステップと、前記第2の通信装置が、情報処理装置へ、前記暗号化認証コードと前記属性証明書と共通鍵の生成に使用する識別情報とを送信するステップと、前記情報処理装置が、前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と共通鍵の生成に使用する前記識別情報とを受信するステップと、前記情報処理装置が、前記識別情報に対応する共通鍵を取得するステップと、前記情報処理装置が、前記共通鍵を使用して、前記暗号化認証コードを検証するステップと、前記情報処理装置が、前記暗号化認証コードの検証が成功した場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行するステップとを有する、情報処理方法である。
(8)本発明の一態様は、第1の通信装置と第2の通信装置と情報処理装置と検証装置とを備える情報処理システムが実行する情報処理方法であって、第1の通信装置が、前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得するステップと、前記第1の通信装置が、前記属性情報に基づいて、属性証明書を発行するステップと、前記第1の通信装置が、前記第2の通信装置へ、前記属性証明書を送信するステップと、前記第2の通信装置が、前記第1の通信装置が送信した前記属性証明書を受信するステップと、前記第2の通信装置が、前記属性証明書に基づいて、認証コードを生成するステップと、前記第2の通信装置が、前記認証コードを前記第2の通信装置が記憶する共通鍵で暗号化することによって暗号化認証コードを生成するステップと、前記第2の通信装置が、情報処理装置へ、前記暗号化認証コードと前記属性証明書と共通鍵の生成に使用する識別情報とを送信するステップと、前記情報処理装置が、前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信するステップと、前記情報処理装置が、前記検証装置へ、前記暗号化認証コードと前記属性証明書と前記識別情報とを送信することによって、前記暗号化認証コードの検証を要求するステップと、前記検証装置が、前記情報処理装置が送信した前記暗号化認証コードと前記識別情報とを受信するステップと、前記検証装置が、前記識別情報に基づいて、共通鍵を取得するステップと、前記検証装置が、取得した前記共通鍵を使用して、前記暗号化認証コードを検証するステップと、前記検証装置が、前記暗号化認証コードの検証結果を、前記情報処理装置へ送信するステップと、前記情報処理装置が、前記検証装置が送信する前記検証結果を受信するステップと、前記情報処理装置が、前記暗号化認証コードの前記検証結果が成功である場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行するステップとを有する、情報処理方法である。
(9)本発明の一態様は、第1の通信装置のコンピュータに、前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得するステップと、前記属性情報に基づいて、属性証明書を発行するステップと、第2の通信装置へ、前記属性証明書を送信するステップとを実行させ、前記第2の通信装置のコンピュータに、前記第1の通信装置が送信した前記属性証明書を受信するステップと、前記属性証明書に基づいて、認証コードを生成するステップと、前記認証コードを前記第2の通信装置が記憶する共通鍵で暗号化することによって暗号化認証コードを作成するステップと、情報処理装置へ、前記暗号化認証コードと前記属性証明書と共通鍵の生成に使用する識別情報とを送信するステップとを実行させ、前記情報処理装置のコンピュータに、前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信するステップと、前記識別情報に対応する共通鍵を取得するステップと、前記共通鍵を使用して、前記暗号化認証コードを検証するステップと、前記暗号化認証コードの検証が成功した場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行するステップとを実行させる、プログラムである。
(10)本発明の一態様は、第1の通信装置のコンピュータに、前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得するステップと、前記属性情報に基づいて、属性証明書を発行するステップと、第2の通信装置へ、前記属性証明書を送信するステップとを実行させ、前記第2の通信装置のコンピュータに、前記第1の通信装置が送信した前記属性証明書を受信するステップと、前記属性証明書に基づいて、認証コードを生成するステップと、前記認証コードを共通鍵で暗号化することによって暗号化認証コードを生成するステップと、情報処理装置へ、前記暗号化認証コードと前記属性証明書と共通鍵の生成に使用する識別情報とを送信するステップとを実行させ、前記情報処理装置のコンピュータに、前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信するステップと、検証装置へ、前記暗号化認証コードと前記属性証明書と前記識別情報とを送信することによって前記暗号化認証コードの検証を要求するステップと、前記検証装置が送信する検証結果を受信するステップと、前記暗号化認証コードの検証結果が成功である場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行するステップとを実行させ、前記検証装置のコンピュータに、前記情報処理装置が送信した前記暗号化認証コードと前記識別情報とを受信するステップと、前記識別情報に基づいて、共通鍵を取得するステップと、取得した前記共通鍵を使用して、前記暗号化認証コードを検証するステップと、前記暗号化認証コードの検証結果を、前記情報処理装置へ送信するステップとを実行させる、プログラムである。
本発明の実施形態によれば、金融等の厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することができる。
実施形態に係る通信システムの一例を示す図である。 第1の実施形態に係る通信システムを構成する通信装置、情報処理装置、検証装置、ルート認証局の一例を示す図である。 共通鍵テーブルの一例を示す図である。 第1の実施形態に係る通信システムの動作の一例を示すシーケンスチャートである。 第2の実施形態に係る通信システムを構成する通信装置、情報処理装置、ルート認証局の一例を示す図である。 第2の実施形態に係る通信システムの動作の一例を示すシーケンスチャートである。
(第1の実施形態)
(情報処理システム)
図1は、実施形態に係る情報処理システムを示す図である。情報処理システム1は、通信装置100と通信装置200と情報処理装置300と検証装置400とを備える。通信装置100と通信装置200と情報処理装置300と検証装置400とは、携帯電話ネットワーク、インターネット等の通信網50を介して接続される。情報処理装置300の一例はATMであり、通信装置100、及び通信装置200のユーザへ、バンキングサービスを提供する場合について説明を続ける。通信装置100のユーザは、現金自動預け払い機(Automatic teller machine:ATM)や、インターネットバンキングへログインする。通信装置100は、情報処理装置300へアクセスし、口座番号とログインパスワードとを送信することによって、インターネットバンキングへログインする。通信装置100のユーザは、ATMや、インターネットバンキングへログインすると、属性情報を作成するメニューを選択する。通信装置100のユーザが属性情報を作成するメニューを選択すると、通信装置100には、属性情報を作成する画面が表示される。
通信装置100のユーザは、属性認証局アプリを起動することによって表示される属性情報を作成する画面を参照し、電話番号や、メールアドレス等の利用者の識別情報を指定することで、権限を与える利用者を選択する。ここで、属性認証局アプリは、通信事業者やサービス提供事業者が運営するルート認証局によって認証されている。通信装置100のユーザが権限を与える利用者を選択すると、通信装置100、及び情報処理装置300は、権限を与える利用者の識別情報を取得する。さらに、通信装置100のユーザは、属性情報を作成する画面を参照し、該ユーザが名義人の口座番号などの口座に関する情報を指定することで、取引の対象となる口座に関する情報を入力する。通信装置100のユーザが取引の対象となる口座に関する情報を入力すると、通信装置100、及び情報処理装置300は取引の対象となる口座に関する情報を取得する。さらに、通信装置100のユーザは、属性情報を作成する画面を参照し、5万円の出金等の許可する取引内容を入力する。通信装置100のユーザが許可する取引内容を入力すると、通信装置100、及び情報処理装置300は許可する取引内容を示す情報を取得する。通信装置100のユーザが、同意を示すボタンを押すことによって、認証局アプリは、権限を与える利用者の識別情報と取引の対象となる口座に関する情報と許可する取引内容を示す情報とを含む属性証明書を発行する。通信装置100は、認証局アプリが発行した属性証明書を、通信装置200へ送信する。
通信装置200は、共通鍵の生成に使用する識別情報を記憶する。共通鍵の生成に使用する識別情報の一例は、SIMのPIN(Personal Identification Number)等のSIM識別情報simid、ICCID(IC Card Identifier)、IMSI(International Mobile Subscriber Identity)、MSISDN(Mobile Subscriber Integrated Services Digital Network Number)、電話番号等の通信事業者の加入者識別番号であってもよい。以下、一例として、共通鍵の生成に使用する識別情報に、SIM識別情報を使用した場合について説明を続ける。
通信装置200は、検証装置400から共通鍵K_comとハッシュ関数とを取得する。通信装置200が、通信装置100が送信した属性証明書を受信すると、通信装置200のユーザは、ATMを操作することによって、情報処理装置300へアクセスし、取引メニューを選択する。通信装置200のユーザが取引メニューを選択すると、通信装置200の画面には、取引画面が表示される。通信装置200のユーザは、取引画面を参照し、電話番号や、メールアドレス等の利用者の識別情報とパスワードとを入力する。ATMは、入力された利用者の識別情報とパスワードとの組み合わせが登録されている場合、認証が成功したと判定する。認証が成功した場合、通信装置200のユーザは、バンキングアプリを起動する。通信装置200のユーザは、バンキングアプリが起動すると、通信装置200が受信した属性情報のダイジェスト値を演算することで認証コードを生成し、生成した認証コードを共通鍵K_comで暗号化することで、暗号化した認証コード(以下、「暗号化認証コード」という)を作成する操作を行う。通信装置200のユーザが、暗号化認証コードを作成する操作を行うと、通信装置200は、暗号化認証コードを作成する。さらに、通信装置200のユーザは、暗号化認証コードと属性証明書とSIM識別情報とをATMへ送信する操作を行い、通信装置200をATMへかざす等を行い、通信装置200と情報処理装置300との間で通信接続されると、暗号化認証コードと属性証明書とSIM識別情報とが送信される。
情報処理装置300は、通信装置200が送信した暗号化認証コードと属性証明書とSIM識別情報とを受信し、受信した暗号化認証コードと属性証明書とSIM識別情報とを保持するとともに、検証装置400へ送信する。検証装置400は、共通鍵テーブルを記憶している。共通鍵テーブルには、SIM識別情報と共通鍵とが関連付けられている。検証装置400は、通信装置200が送信した暗号化認証コードと属性証明書とSIM識別情報とを受信する。検証装置400は、受信したSIM識別情報に関連付けられている共通鍵を、共通鍵テーブルから取得する。検証装置400は、取得した共通鍵で、暗号化認証コードを復号する。また、検証装置400は、属性証明書のダイジェスト値を演算する。検証装置400は、暗号化認証コードを復号した結果と属性証明書のダイジェスト値の演算結果とが一致するか否かを判定し、判定結果を示す情報を、情報処理装置300へ出力する。情報処理装置300は、検証装置400から検証結果を示す情報を取得し、取得した検証結果を示す情報が、検証が成功であることを示す場合に、保持している属性証明書に含まれる情報に基づいて、処理を実行する。一方、情報処理装置300は、取得した検証結果を示す情報が、検証が失敗であることを示す場合に、所定のエラー処理を実行してもよい。具体的には、情報処理装置300は、通信装置200へ、処理ができないことを通知する。
(情報処理システムの構成)
図2は、第1の実施形態に係る通信システムを構成する通信装置、情報処理装置、検証装置、ルート認証局の一例を示す図である。図2には、図1に示される構成に加え、ルート認証局600が示されている。
(ルート認証局)
ルート認証局600は、通信部602と制御部604と記憶部620と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン650とを備える。
通信部602は、通信モジュールによって実現される。通信部602は、通信網50を経由して、通信装置100と通信を行う。通信部602は、通信装置100が送信した第1の公開鍵とSIM識別情報simid100とを受信する。また、通信部602は、通信装置100へルート公開鍵証明書Kp_rと第1の公開鍵証明書Kp_M1とを送信する。
制御部604は、例えばCPU等の演算処理装置によって構成され、記憶部620に記憶されたプログラム(図示なし)を実行することにより、生成部603として機能する。生成部603は、記憶部620に記憶されているルート秘密鍵Ks_rと、通信装置100が送信した第1の公開鍵とSIM識別情報simid100とを使用して、第1の公開鍵証明書Kp_M1を生成する。生成部603は、第1の公開鍵とSIM識別情報simid100とを格納した「X.509」規格の公開鍵証明書フォーマットのデータのハッシュ値hash(第1の公開鍵,simid100)を算出する。次いで、生成部603は、ハッシュ値hash(第1の公開鍵,simid100)を、記憶部620に記憶されているルート秘密鍵Ks_rで暗号化する。この暗号化データKs_r(hash(第1の公開鍵証明書,simid100))は、第1の公開鍵の電子署名である。次いで、生成部603は、第1の公開鍵と、SIM識別情報simid100と、第1の公開鍵の電子署名Ks_r(hash(第1の公開鍵証明書,simid1))とを含む「X.509」規格の公開鍵証明書フォーマットの第1の公開鍵証明書Kp_M1「第1の公開鍵,simid100,Ks_r(hash(第1の公開鍵,simid100))」を構成する。生成部603は、通信部602から通信装置100へ、生成した第1の公開鍵証明書Kp_M1を送信する。生成部603は、第1の公開鍵証明書Kp_M1とともに、ルート公開鍵証明書Kp_rを送信する。記憶部620は、不揮発性メモリ等の記憶装置によって実現される。記憶部620は、ルート公開鍵証明書Kp_rとルート秘密鍵Ks_rとプログラム(図示なし)とを記憶する。
(通信装置)
通信装置100は、通信部102と制御部104と記憶部120とSIM130と操作部140と表示部145と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン150とを備える。
通信部102は、通信モジュールによって実現される。通信部102は、通信網50を経由して、ルート認証局600、及び通信装置200と通信を行う。通信部102は、ルート認証局600へ、第1の公開鍵を送信するとともに、ルート認証局600が送信する第1の公開鍵証明書Kp_M1とルート公開鍵証明書Kp_rとを受信する。また、通信部102は、通信装置200へ、属性証明書を送信する。制御部104は、例えばCPU等の演算処理装置によって構成され、記憶部120に記憶されたプログラム124を実行することにより、鍵生成部106と取得部108として機能する。鍵生成部106は、第1の公開鍵と第1の秘密鍵Ks_M1のペアを生成する。鍵生成部106は、通信部102からルート認証局600へ、第1の公開鍵を送信し、SIM130に、第1の秘密鍵Ks_M1を記憶する。取得部108は、ユーザが操作部140を操作することによって入力する権限を与える利用者の識別情報と取引の対象となる口座に関する情報と許可する取引内容を示す情報とを取得する。記憶部120は、不揮発性メモリ等の記憶装置によって実現される。記憶部120は、プログラム124を記憶する。
SIM130は、セキュアエレメントによって実現される。SIM130は、SIM識別情報simid100とルート公開鍵証明書Kp_rと第1の公開鍵証明書Kp_M1と第1の秘密鍵Ks_M1と属性認証局アプリ134とを記憶する。属性認証局アプリ134は、通信事業者やサービス提供事業者が運営するルート認証局によって認証されている。属性認証局アプリ134は、属性証明書の発行処理を行うアプリである。ここでは、属性認証局アプリ134は、権限を与える利用者の識別情報と取引の対象となる口座に関する情報と許可する取引内容を示す情報とを含む属性証明書を発行する。属性認証局アプリ134は、通信部102から通信装置200へ、発行した属性証明書を送信する。
操作部140は、ユーザの操作を受け付ける入力デバイスである。表示部145は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(通信装置)
通信装置200は、通信部202と制御部204と記憶部220とSIM230と操作部240と表示部245と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン250とを備える。
通信部202は、通信モジュールによって実現される。通信部202は、通信網50を経由して、通信装置100、情報処理装置300、及び検証装置400と通信を行う。通信部202は、検証装置400が送信した共通鍵K_comを受信する。また、通信部202は、通信装置100が送信した属性証明書を受信する。通信部202は、情報処理装置300へ、電話番号とパスワードとを送信する。通信部202は、情報処理装置300へ、電話番号とパスワードとを送信した後、情報処理装置300が送信する認証結果を受信する。通信部202は、情報処理装置300が送信した認証結果が成功を示す場合、暗号化認証コードと属性証明書とSIM識別情報simid200とを送信する。
制御部204は、例えば演算処理装置によって構成され、記憶部220に記憶されたプログラム224を実行することにより、取得部208と生成部210と要求部212と認証部214として機能する。プログラム224には、バンキングアプリが含まれる。取得部208は、通信部202が受信した共通鍵K_comを取得し、取得した共通鍵K_comをSIM230へ記憶する。取得部208は、通信部202が受信した属性証明書を取得し、取得した属性証明書を生成部210へ出力する。また、取得部208は、通信部202が受信した認証結果を認証部214へ出力する。生成部210は、取得部208が出力した属性証明書とSIM230に記憶されている共通鍵K_comとを使用して、暗号化認証コードを生成する。具体的には、生成部210は、属性証明書のハッシュ値hash(属性証明書)を算出する。次いで、生成部610は、ハッシュ値hash(属性証明書)を、共通鍵K_comで暗号化することによって、暗号化認証コードを生成する。この暗号化データK_com(hash(属性証明書))は、属性証明書のCMAC(Cipher−based MAC)である。次いで、生成部210は、要求部212へ、暗号化認証コードと属性証明書とを出力する。
認証部214は、情報処理装置300との間で、認証を行う。認証部214は、ユーザが操作部240を操作することによって入力される電話番号とパスワードとを取得し、通信部202から情報処理装置300へ、該電話番号と該パスワードとを送信する。認証部214は、通信部202から認証結果を示す情報を取得し、取得した認証結果を示す情報を要求部212へ通知する。
要求部212は、情報処理装置300へ、所定の動作、つまり、権限を与える利用者の識別情報で示される利用者に、取引の対象となる口座に関する情報で示される口座から、許可する取引内容を示される取引を許可することを要求する。要求部212は、認証部214が出力した認証結果を示す情報が、認証が成功したことを示す場合、SIM230からSIM識別情報simid200を取得し、取得したSIM識別情報simid200と、生成部210が出力した暗号化認証コードと属性証明書とを、通信部202から情報処理装置300へ送信する。要求部212は、認証部214が出力した認証結果を示す情報が、認証が失敗したことを示す場合、所定のエラー処理を実行する。記憶部220は、不揮発性メモリ等の記憶装置によって実現される。記憶部220は、プログラム224を記憶する。
SIM230は、SIM識別情報simid200と共通鍵K_comとを記憶する。ここで、共通鍵K_comは、検証装置400から通知される。具体的には、情報処理装置300が、通信装置200のユーザの利用登録を行った場合に、検証装置400から通信装置200へ、共通鍵K_comが通知されてもよい。操作部240は、ユーザの操作を受け付ける入力デバイスである。表示部245は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(情報処理装置)
情報処理装置300は、通信部302と制御部310と記憶部320と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン350とを備える。
通信部302は、通信モジュールによって実現される。通信部302は、通信網50を経由して、通信装置200と通信を行う。通信部302は、通信装置200が送信した電話番号とパスワードとを受信する。通信部302は、該電話番号とパスワードとに基づいて、制御部304が行った認証結果を送信する。通信部302は、認証結果が成功である場合に、通信装置200が送信したSIM識別情報simid200と暗号化認証コードと属性証明書とを受信する。また、通信部302は、SIM識別情報simid200と暗号化認証コードと属性証明書とを検証装置400へ送信する。通信部302は、検証装置400が送信する検証結果を受信する。
制御部310は、例えば演算処理装置によって構成され、記憶部320に記憶されたプログラム324を実行することにより、取得部312と認証部314と実行部318として機能する。プログラム324には、バンキングアプリが含まれる。取得部312は、通信部302が受信した電話番号とパスワードとを取得し、取得した電話番号とパスワードとを認証部314へ出力する。また、取得部312は、通信部302が受信したSIM識別情報simid200と暗号化認証コードと属性証明書とを取得し、取得したSIM識別情報simid200と暗号化認証コードと属性証明書とを実行部318へ出力する。
取得部312は、通信部302が受信した検証結果を示す情報を取得し、取得した検証結果を示す情報を、実行部318へ出力する。認証部314は、権限を与える利用者の識別情報とパスワードとを関連付けて登録する。認証部314は、取得部312が出力した利用者の識別情報とパスワードとの組み合わせが登録されているか否かを判定することによって、通信装置200のユーザを認証する。認証部314は、通信部302から、通信装置200へ、認証結果を送信する。実行部318は、取得部312が出力するSIM識別情報simid200と暗号化認証コードと属性証明書とを取得し、取得したSIM識別情報simid200と暗号化認証コードと属性証明書とを、通信部302から、検証装置400へ送信する。実行部318は、取得部312が出力した検証結果を示す情報を取得し、取得した検証結果を示す情報に検証が成功したことを示す情報が含まれる場合に、属性証明書に含まれる情報に基づいて、処理を実行する。記憶部320は、不揮発性メモリ等の記憶装置によって実現される。記憶部320は、プログラム324を記憶する。
(検証装置)
検証装置400は、通信部402と制御部410と記憶部420とSIM430と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン450とを備える。
通信部402は、通信モジュールによって実現される。通信部402は、通信網50を経由して、通信装置200と情報処理装置300と通信を行う。通信部402は、通信装置200へ共通鍵K_comを送信する。通信部402は、情報処理装置300が送信したSIM識別情報simid200と暗号化認証コードと属性証明書とを受信する。通信部402は、検証結果を示す情報を送信する。
制御部410は、例えば演算処理装置によって構成され、記憶部420に記憶されたプログラム424を実行することにより、取得部412と検証部414として機能する。プログラム324には、バンキングアプリが含まれる。取得部412は、通信部302が受信したSIM識別情報simid200と暗号化認証コードと属性証明書とを取得し、取得したSIM識別情報simid200と暗号化認証コードと属性証明書とを検証部414へ出力する。
検証部414は、取得部412が出力したSIM識別情報simid200と暗号化認証コードと属性証明書とに基づいて、暗号化認証コードを検証する。具体的には、検証部414は、SIM識別情報simid200に関連付けられている共通鍵K_comを、SIM430に記憶されている共通鍵テーブル432から取得する。検証部414は、取得部312が出力した暗号化認証コードK_com(hash(属性証明書))を、取得した共通鍵K_comで復号する。暗号化認証コードK_com(hash(属性証明書))を共通鍵K_comで復号した結果は、K_com(K_com(hash(属性証明書)))である。また、検証部414は、取得部が出力した属性証明書のハッシュ値hash(属性証明書)を算出する。検証部414は、暗号化認証コードK_com(hash(属性証明書))を共通鍵K_comで復号した結果と、属性証明書のハッシュ値hash(属性証明書)とが一致するか否かを判定する。検証部414は、一致する場合には検証が成功したと判定し、一致しない場合には検証が失敗したと判定する。
検証部414は、属性証明書の検証結果を示す情報を、通信部402から、情報処理装置300へ送信する。記憶部420は、不揮発性メモリ等の記憶装置によって実現される。記憶部420は、プログラム424を記憶する。SIM430は、セキュアエレメントによって実現される。SIM430は、共通鍵テーブル432を記憶する。
図3は、共通鍵テーブルの一例を示す図である。共通鍵テーブル432は、複数のSIM識別情報simidなどの識別情報の各々について、共通鍵を関連付けて記憶するテーブル形式の情報である。図3に示される例では、識別情報「simid100」と共通鍵「123....」とが関連付けられている。
(通信システムの動作)
図4は、第1の実施形態に係る通信システムの動作の一例を示すシーケンスチャートである。
(ステップS102)検証装置400は、通信装置200へ、共通鍵K_comを送信する。
(ステップS104)通信装置200は、情報処理装置300が送信した共通鍵K_comを、SIM230に記憶する。
(ステップS106)通信装置100と情報処理装置300との間で、接続処理が行われる。情報処理装置300の制御部310は、通信装置100のSIM130のSIM識別情報simid100(パスワード)を取得する。
(ステップS108)通信装置100は、情報処理装置300へ、口座番号、ログインパスワード等のログイン情報を送信することによってログインし、情報処理装置300はメニューを起動する。
(ステップS110)通信装置100の取得部108は、権限を与える利用者の識別情報を取得する。また、情報処理装置300の制御部304は、利用者の識別情報を取得する。
(ステップS112)通信装置100の取得部108は、取引の対象となる口座に関する情報と許可する取引内容を示す情報とを取得する。また、情報処理装置300の制御部310は、取引の対象となる口座に関する情報と許可する取引内容を示す情報とを取得する。情報処理装置300の制御部310は、ステップS106で取得したSIM識別情報simid100と通信装置100のユーザの口座番号と該口座の所有者を示す情報と取引内容とを関連付けて記憶する。さらに、情報処理装置300は、取得した権限を与える利用者の識別情報に関連付けて、SIM識別情報simid100をパスワードとして記憶する。
(ステップS114)通信装置100の属性認証局アプリ134は、権限を与える利用者の識別情報と取引の対象となる口座に関する情報と許可する取引内容を示す情報とを含む属性証明書を発行する。属性認証局アプリ134は、発行した属性証明書を、通信部102へ出力する。
(ステップS116)通信装置100の通信部102は、属性認証局アプリ134が出力した属性証明書を、通信装置200へ送信する。
(ステップS118)通信装置200の通信部202は、通信装置100が送信した属性証明書を受信する。
(ステップS120)通信装置200と情報処理装置300との間で、接続処理が行われる。
(ステップS122)通信装置200の認証部214は、ユーザが操作部240を操作することによって入力した電話番号等の利用者の識別情報を取得する。通信装置200の認証部214は、取得した電話番号等の利用者の識別情報を、情報処理装置300へ送信する。通信装置200の認証部214は、ユーザが操作部240を操作することによって入力したパスワードを取得する。通信装置200の認証部214は、取得したパスワードを、情報処理装置300へ送信する。情報処理装置300の認証部314は、通信装置200が送信した電話番号とパスワードとを、通信部302から取得すると、該電話番号とパスワードとの組み合わせが登録されている場合には認証が成功であると判定し、登録されていない場合には認証が失敗であると判定する。情報処理装置300の認証部314は、通信部302から通信装置200へ、認証結果を送信する。ここでは、認証が成功した場合について説明を続ける。認証部314は、認証が失敗した場合には、所定のエラー処理を実行するようにしてもよい。
(ステップS124)生成部210は、属性証明書のハッシュ値hash(属性証明書)を算出することによって、認証コードを生成する。
(ステップS126)生成部210は、共通鍵K_comで、属性証明書のハッシュ値hash(属性証明書)を暗号化することによって、暗号化認証コードK_com(hash(属性証明書))を生成する。
(ステップS128)要求部212は、SIM230からSIM識別情報simid200を取得し、取得したSIM識別情報simid200と、生成部210が出力した暗号化認証コードと属性証明書とを、通信部202から情報処理装置300へ送信する。
(ステップS130)情報処理装置300の通信部302は、通信装置200が送信したSIM識別情報simid200と暗号化認証コードと属性証明書とを受信する。実行部318は、SIM識別情報simid200と暗号化認証コードと属性証明書とを取得し、取得したSIM識別情報simid200と暗号化認証コードと属性証明書とを、通信部302から検証装置400へ送信する。
(ステップS132)検証装置400の通信部402は、情報処理装置300が送信したSIM識別情報simid200と暗号化認証コードと属性証明書とを受信する。検証部414は、通信部402が受信したSIM識別情報simid200と暗号化認証コードと属性証明書とを取得し、取得したSIM識別情報simid200と暗号化認証コードと属性証明書とに基づいて、暗号化認証コードを検証する。
(ステップS134)検証装置400の検証部414は、属性証明書の検証結果を示す情報を、通信部402から情報処理装置300へ送信する。
(ステップS136)情報処理装置300の通信部302は、検証装置400が送信した検証結果を示す情報を受信する。実行部318は、通信部302が受信した検証結果を示す情報を取得し、検証結果を示す情報が成功であるか否かを判定する。実行部318は、検証結果を示す情報が成功したことを示す場合、属性証明書に含まれる情報に基づいて、処理を実行する。ここで、実行部318は、通信装置200のユーザの位置情報、取引を実行する施設の位置情報等の位置情報、時間、金額、取引内容等の他の属性を確認し、該他の属性に問題ない場合、属性証明書に記載されている取引内容を実行するようにしてもよい。
前述した実施形態では、情報処理装置300が、暗号化認証コードの検証が成功した場合に、属性証明書に含まれる情報に基づいて、処理を実行する場合について説明したが、この例に限られない。例えば、情報処理装置300は、属性証明書に記載されている取引内容を実行する代わりに、通信装置100のユーザが予め情報処理装置300に登録しておいた取引内容を参照して実行してもよい。さらに、取引の実行を許可する施設の位置情報を情報処理装置300に予め登録しておき、通信装置200が取得した通信装置200のユーザの位置情報を情報処理装置300に送信して、情報処理装置300が該施設から所定の範囲内にユーザの位置情報が含まれると判定した場合に、取引内容の実行を許可してもよい。さらに、取引内容の実行可能期間を情報処理装置300に予め登録しておき、通信装置200のユーザが情報処理装置300に対して操作を行った時間を通信装置200が取得して情報処理装置300に送信し、情報処理装置300が、該時間が実行可能期間に含まれると判定した場合のみ、取引内容を実行してもよい。実行可能時間は、通信装置100のユーザが指定してもよい。
前述した実施形態では、通信装置100及び通信装置200がSIMを備える場合について説明したが、この例に限られない。例えば、通信装置100及び通信装置200がSIMを備えず、無線LAN等に接続して通信を行うようにしてもよい。つまり、通信装置100及び通信装置200が、通信事業者に加入せず、無線LAN等に接続して通信を行う。この場合、通信装置100は、属性証明書を、通信装置200へ送信する。通信装置200は、前述したSIM識別情報の代わりに、メールアドレス、MACアドレス等の識別情報と属性証明書と暗号化認証コードとを情報処理装置300へ送信する。情報処理装置300は、通信装置200が送信した識別情報と属性証明書と暗号化認証コードとを、検証装置400へ送信する。検証装置400は、メールアドレス、MACアドレス等の識別情報と共通鍵とを関連付けて記憶し、情報処理装置300が送信した識別情報に関連付けて記憶している共通鍵を取得し、取得した共通鍵で、暗号化認証コードを検証する。
本実施形態に係る情報処理システムによれば、通信装置100において、通信事業者やサービス提供事業者が運営するルート認証局によって認証されている属性認証局アプリは、権限を与える利用者の識別情報と取引の対象となる口座に関する情報と許可する取引内容を示す情報とを含む属性証明書を作成し、通信装置200へ送信する。通信装置200は、通信装置100が送信した属性証明書を受信すると、該属性証明書と共通鍵K_comとを使用して、暗号化認証コードを作成する。通信装置200は、暗号化認証コードと属性証明書とSIM識別情報simid200とを、情報処理装置300へ送信し、情報処理装置300は、通信装置200が送信した暗号化認証コードと属性証明書とSIM識別情報simid200とを受信し、受信した暗号化認証コードの検証を検証装置400へ依頼する。情報処理装置300は、検証装置400による暗号化認証コードの検証結果に基づいて、属性証明書に含まれる処理を実行する。このように、通信装置200が、通信装置100が送信した属性証明書を使用して、情報処理装置300を動作させることによって、通信装置200のユーザ(権限を与える利用者)を認証することができるため、公開鍵証明書によって、通信装置200のユーザを認証することなく、厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することができる。
(第2の実施形態)
(情報処理システム)
本実施形態に係る情報処理システムは、図1を適用できる。ただし、本実施形態に係る情報処理システム2では、検証装置400は省略され、情報処理装置300の代わりに情報処理装置500を備える。情報処理装置500の一例はATMであり、通信装置100、及び通信装置200のユーザへ、バンキングサービスを提供する場合について説明を続ける。通信装置200が、暗号化認証コードを生成する処理までは、前述した第1の実施形態を適用できる。なお、通信装置100と通信装置200は、同じ通信事業者に加入している必要は無い。
通信装置200のユーザは、暗号化認証コードと属性証明書とSIM識別情報とをATMへ送信する操作を行い、通信装置200をATMへかざす等を行い、通信装置200と情報処理装置500との間で通信接続されると、暗号化認証コードと属性証明書とSIM識別情報とが送信される。情報処理装置500は、通信装置200が送信した暗号化認証コードと属性証明書とSIM識別情報とを受信し、受信した暗号化認証コードと属性証明書とSIM識別情報とを保持する。情報処理装置500は、共通鍵テーブルを記憶している。共通鍵テーブルには、SIM識別情報と共通鍵とが関連付けられている。情報処理装置500は、SIM識別情報に関連付けられている共通鍵を、共通鍵テーブルから取得する。情報処理装置500は、取得した共通鍵で、暗号化認証コードを復号する。また、情報処理装置500は、属性証明書のダイジェスト値を演算する。情報処理装置500は、暗号化認証コードを復号した結果と属性証明書のダイジェスト値の演算結果とが一致するか否かを判定し、一致する場合には検証が成功であるとし、一致しない場合には検証が失敗であるとする。情報処理装置300は、検証が成功である場合に、保持している属性証明書に含まれる情報に基づいて、処理を実行する。一方、情報処理装置300は、検証が失敗であることを示す場合に、所定のエラー処理を実行してもよい。具体的には、情報処理装置300は、通信装置200へ、処理ができないことを通知する。
(情報処理システムの構成)
図5は、第2の実施形態に係る通信システムを構成する通信装置、情報処理装置、ルート認証局の一例を示す図である。
通信装置100、通信装置200、及びルート認証局600については、前述した第1の実施形態に係る通信装置100、通信装置200、及びルート認証局600と同様である。
(情報処理装置)
情報処理装置500は、通信部502と制御部510と記憶部520とSIM530と上記各構成要素を図5に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン550とを備える。
通信部502は、通信モジュールによって実現される。通信部502は、通信網50を経由して、通信装置200と通信を行う。通信部502は、通信装置200へ、共通鍵K_comを送信する。通信部502は、通信装置200が送信した電話番号とパスワードとを受信する。通信部502は、該電話番号とパスワードとに基づいて、制御部510が行った認証結果を送信する。通信部502は、認証結果が成功である場合に、通信装置200が送信したSIM識別情報simid200と暗号化認証コードと属性証明書とを受信する。
制御部510は、例えば演算処理装置によって構成され、記憶部520に記憶されたプログラム524を実行することにより、取得部512と認証部514と検証部516と実行部518として機能する。プログラム524には、バンキングアプリが含まれる。取得部512は、通信部502が受信した電話番号とパスワードとを取得し、取得した電話番号とパスワードとを認証部514へ出力する。また、取得部512は、通信部502が受信したSIM識別情報simid200と暗号化認証コードと属性証明書とを取得し、取得したSIM識別情報simid200と暗号化認証コードと属性証明書とを検証部516へ出力する。認証部514は、権限を与える利用者の識別情報とパスワードとを関連付けて登録する。認証部514は、取得部512が出力した利用者の識別情報とパスワードとの組み合わせが登録されているか否かを判定することによって、通信装置200のユーザを認証する。認証部514は、通信部302から、通信装置200へ、認証結果を送信する。
検証部516は、取得部512が出力したSIM識別情報simid200と暗号化認証コードと属性証明書とに基づいて、暗号化認証コードを検証する。具体的には、検証部516は、SIM識別情報simid200に関連付けられている共通鍵K_comを、SIM530に記憶されている共通鍵テーブル532から取得する。検証部516は、取得部512が出力した暗号化認証コードK_com(hash(属性証明書))を、取得した共通鍵K_comで復号する。暗号化認証コードK_com(hash(属性証明書))を共通鍵K_comで復号した結果は、K_com(K_com(hash(属性証明書)))である。また、検証部516は、取得部512が出力した属性証明書のハッシュ値hash(属性証明書)を算出する。検証部516は、暗号化認証コードK_com(hash(属性証明書))を共通鍵K_comで復号した結果と、属性証明書のハッシュ値hash(属性証明書)とが一致するか否かを判定する。検証部516は、一致する場合には検証が成功したと判定し、一致しない場合には検証が失敗したと判定する。検証部516は、属性証明書の検証結果を示す情報を、実行部518へ出力する。
実行部318は、検証部516が出力した検証結果を示す情報を取得し、取得した検証結果を示す情報に検証が成功したことを示す情報が含まれる場合に、属性証明書に含まれる情報に基づいて、処理を実行する。記憶部520は、不揮発性メモリ等の記憶装置によって実現される。記憶部520は、プログラム524を記憶する。SIM530は、セキュアエレメントによって実現される。SIM530は、共通鍵テーブル532を記憶する。共通鍵テーブル532は、前述した共通鍵テーブル432を適用できる。
(通信システムの動作)
図6は、本実施形態に係る情報処理システムの動作の一例を示すシーケンスチャートである。
ステップS202−S228は、図4のステップS102−S128を適用できる。
(ステップS230)情報処理装置500の検証部516は、取得部512が出力したSIM識別情報simid200と暗号化認証コードと属性証明書とを取得し、取得したSIM識別情報simid200と暗号化認証コードと属性証明書とに基づいて、暗号化認証コードを検証する。
(ステップS232)検証部516は、属性証明書の検証結果を示す情報を、実行部518へ出力する。実行部518は、検証部516が出力した検証結果を示す情報を取得し、検証結果を示す情報が成功であるか否かを判定する。実行部518は、検証結果を示す情報が成功したことを示す場合、属性証明書に含まれる情報に基づいて、処理を実行する。
本実施形態に係る情報処理システムによれば、通信装置100において、通信事業者やサービス提供事業者が運営するルート認証局によって認証されている属性認証局アプリは、権限を与える利用者の識別情報と取引の対象となる口座に関する情報と許可する取引内容を示す情報とを含む属性証明書を作成し、通信装置200へ送信する。通信装置200は、通信装置100が送信した属性証明書を受信すると、該属性証明書と共通鍵K_comとを使用して、暗号化認証コードを作成する。通信装置200は、暗号化認証コードと属性証明書とSIM識別情報simid200とを、情報処理装置500へ送信し、情報処理装置500は、通信装置200が送信した暗号化認証コードと属性証明書とSIM識別情報simid200とを受信し、受信した暗号化認証コードの検証結果に基づいて、属性証明書に含まれる処理を実行する。このように、通信装置200が、通信装置100が送信した属性証明書を使用して、情報処理装置500を動作させることによって、通信装置200のユーザ(権限を与える利用者)を認証することができるため、公開鍵証明書によって、通信装置200のユーザを認証することなく、厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することができる。
前述した実施形態では、「X.509」規格の公開鍵証明書フォーマットにしたがって、公開鍵証明書が作成される場合について説明したが、この例に限られない。例えば、「X.509」規格の公開鍵証明書フォーマット以外のフォーマットにしたがって、公開鍵証明書が作成されてもよい。
前述した実施形態では、情報処理装置がバンキングサービスを提供する場合について説明したが、この例に限られない。例えば、カーシェアリング、公衆WiFiサービス、ファイルストレージ、EC(electronic commerce)サイト等の認証と認可に基づいて利用する、リアル・バーチャルな資産を共有するサービスを提供する場合にも適用できる。
ここで、ECサイトとは、特定キャリアの通信装置(携帯電話)の電話番号等のIDを有している場合に、購入可能なサイトである。例えば、IDを持つユーザの通信装置から、IDを持たないユーザの通信装置に権限を付与し、取引内容に応じた取引を行うことが想定される。例えば、IDを持つ親から、IDを持たない子に対して、親のお小遣いの範囲で、子の好きな商品を購入してもらう権限を付与することが想定される。親の通信装置は、権限を含む属性情報に基づいて、属性証明書を発行し、発行した属性証明書を、子の通信装置へ送信する。子の通信装置は、親の通信装置が送信した属性証明書を取得し、取得した属性証明書とIDと暗号化認証コードとをECサイトへ送信する。ECサイトは、子の通信装置が送信したIDに関連付けて記憶されている共通鍵を取得し、取得した共通鍵を使用して、暗号化認証コードを検証する。ECサイトは、検証が成功した場合に、属性証明書に含まれる権限を付与する。これによって、情報処理装置(ECサイト)のサービス提供者は、既存ユーザをベースとしてユーザ数を広げることができるとともに、収益を向上させることができる。
以上、本発明の実施形態及びその変形例を説明したが、これらの実施形態及びその変形例は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態及びその変形例は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更、組合せを行うことができる。これら実施形態及びその変形例は、発明の範囲や要旨に含まれると同時に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
なお、前述のルート認証局、通信装置、及び情報処理装置は内部にコンピュータを有している。そして、前述した各装置の各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしてもよい。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。
さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
前述した実施形態において、通信装置100は第1の通信装置の一例であり、通信装置200は第2の通信装置の一例であり、情報処理装置300及び500は情報処理装置の一例である。また、SIM130は第1の記憶部の一例であり、通信部102は第1の通信部の一例であり、取得部108は取得部の一例であり、属性認証局アプリ134は認証局アプリの一例である。また、SIM230は第2の記憶部の一例であり、通信部202は第2の通信部の一例であり、生成部210は生成部及び暗号化部の一例である。また、通信部302及び通信部502は情報処理通信部の一例であり、取得部312は取得部の一例であり、検証部414、及び検証部516は検証部に一例であり、実行部318、及び実行部518は実行部の一例である。また、権限を与える利用者の識別情報と取引の対象となる口座に関する情報と許可する取引内容を示す情報は、ユーザへ付与する権限を含む属性情報の一例であり、SIM530は情報処理記憶部の一例であり、実行部318は検証要求部の一例であり、通信部402は検証通信部の一例であり、SIM430は検証記憶部の一例である。
1、2…情報処理システム、50…通信網、100、200…通信装置、600…ルート認証局、300、500…情報処理装置、400…検証装置、102、202、302、402、502…通信部、104、204、310、410、510…制御部、106…鍵生成部、108、208、312、412、512…取得部、130、230、430、530…SIM、212…要求部、214、214、514…認証部、414、516…検証部、318、518…実行部、120、220、320、420、520…記憶部、124、224、324、424、524…プログラム、150、250、350、450、550…バスライン、140、240…操作部、145、245…表示部、210…生成部、134…属性認証局アプリ

Claims (10)

  1. 第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムであって、
    第1の通信装置は、
    認証局アプリを記憶する第1の記憶部と、
    第1の通信部と、
    前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得する取得部と
    を備え、
    前記認証局アプリは、前記属性情報に基づいて、属性証明書を発行し、
    前記第1の通信部は、前記第2の通信装置へ、前記属性証明書を送信し、
    前記第2の通信装置は、
    共通鍵の生成に使用する識別情報と共通鍵とを記憶する第2の記憶部と、
    前記第1の通信装置が送信した前記属性証明書を受信する第2の通信部と、
    前記第2の通信部が受信した前記属性証明書に基づいて、認証コードを生成する生成部と、
    前記認証コードを前記共通鍵で暗号化することによって暗号化認証コードを作成する暗号化部と
    を備え、
    前記第2の通信部は、情報処理装置へ、前記暗号化認証コードと前記属性証明書と前記識別情報とを送信し、
    前記情報処理装置は、
    前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信する情報処理通信部と、
    前記情報処理通信部が受信した前記識別情報に対応する共通鍵を取得する取得部と、
    前記取得部が取得した前記共通鍵を使用して、前記暗号化認証コードを検証する検証部と、
    前記検証部による前記暗号化認証コードの検証が成功した場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行する実行部と
    を備える、情報処理システム。
  2. 前記情報処理装置は、
    共通鍵の生成に使用する複数の識別情報と複数の共通鍵とを関連付けて記憶する情報処理記憶部
    を備え、
    前記取得部は、前記情報処理記憶部に記憶されている前記複数の共通鍵のうち、前記情報処理通信部が受信した前記識別情報に関連付けられている共通鍵を取得する、請求項1に記載の情報処理システム。
  3. 前記取得部は、前記情報処理通信部が受信した前記識別情報に基づいて、前記共通鍵を生成する、請求項1に記載の情報処理システム。
  4. 第1の通信装置と第2の通信装置と情報処理装置と検証装置とを備える情報処理システムであって、
    第1の通信装置は、
    認証局アプリを記憶する第1の記憶部と、
    第1の通信部と、
    前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得する取得部と
    を備え、
    前記認証局アプリは、前記属性情報に基づいて、属性証明書を発行し、
    前記第1の通信部は、前記第2の通信装置へ、前記属性証明書を送信し、
    前記第2の通信装置は、
    共通鍵の生成に使用する識別情報と共通鍵とを記憶する第2の記憶部と、
    前記第1の通信装置が送信した前記属性証明書を受信する第2の通信部と、
    前記第2の通信部が受信した前記属性証明書に基づいて、認証コードを生成する生成部と、
    前記認証コードを前記共通鍵で暗号化することによって暗号化認証コードを生成する暗号化部と
    を備え、
    前記第2の通信部は、情報処理装置へ、前記暗号化認証コードと前記属性証明書と前記識別情報とを送信し、
    前記情報処理装置は、
    前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信する情報処理通信部と、
    検証装置へ、前記暗号化認証コードの検証を要求する検証要求部と、
    前記暗号化認証コードの検証結果が成功である場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行する実行部と
    を備え、
    前記情報処理通信部は、前記検証要求部が前記暗号化認証コードの検証を要求する場合に、前記検証装置へ、前記暗号化認証コードと前記属性証明書と前記識別情報とを送信するとともに、前記検証装置が送信する前記検証結果を受信し、
    前記検証装置は、
    前記情報処理装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信する検証通信部と、
    前記検証通信部が受信した前記識別情報に基づいて、共通鍵を取得する取得部と、
    前記取得部が生成した前記共通鍵を使用して、前記検証通信部が受信した前記暗号化認証コードを検証する検証部と
    を備え、
    前記検証通信部は、前記検証部による前記暗号化認証コードの前記検証結果を、前記情報処理装置へ送信する、情報処理システム。
  5. 前記検証装置は、
    共通鍵の生成に使用する複数の識別情報と複数の共通鍵とを関連付けて記憶する検証記憶部
    を備え、
    前記取得部は、前記検証記憶部に記憶されている前記複数の共通鍵のうち、前記検証通信部が受信した前記識別情報と関連付けられる共通鍵を取得する、請求項4に記載の情報処理システム。
  6. 前記取得部は、前記検証通信部が受信した前記識別情報に基づいて、前記共通鍵を生成する、請求項4に記載の情報処理システム。
  7. 第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムが実行する情報処理方法であって、
    第1の通信装置が、前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得するステップと
    前記第1の通信装置が、前記属性情報に基づいて、属性証明書を発行するステップと、
    前記第1の通信装置が、前記第2の通信装置へ、前記属性証明書を送信するステップと、
    前記第2の通信装置が、前記第1の通信装置が送信した前記属性証明書を受信するステップと、
    前記第2の通信装置が、前記属性証明書に基づいて、認証コードを生成するステップと、
    前記第2の通信装置が、前記認証コードを前記第2の通信装置が記憶する共通鍵で暗号化することによって暗号化認証コードを作成するステップと、
    前記第2の通信装置が、情報処理装置へ、前記暗号化認証コードと前記属性証明書と共通鍵の生成に使用する識別情報とを送信するステップと、
    前記情報処理装置が、前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と共通鍵の生成に使用する前記識別情報とを受信するステップと、
    前記情報処理装置が、前記識別情報に対応する共通鍵を取得するステップと、
    前記情報処理装置が、前記共通鍵を使用して、前記暗号化認証コードを検証するステップと、
    前記情報処理装置が、前記暗号化認証コードの検証が成功した場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行するステップと
    を有する、情報処理方法。
  8. 第1の通信装置と第2の通信装置と情報処理装置と検証装置とを備える情報処理システムが実行する情報処理方法であって、
    第1の通信装置が、前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得するステップと、
    前記第1の通信装置が、前記属性情報に基づいて、属性証明書を発行するステップと、
    前記第1の通信装置が、前記第2の通信装置へ、前記属性証明書を送信するステップと、
    前記第2の通信装置が、前記第1の通信装置が送信した前記属性証明書を受信するステップと、
    前記第2の通信装置が、前記属性証明書に基づいて、認証コードを生成するステップと、
    前記第2の通信装置が、前記認証コードを前記第2の通信装置が記憶する共通鍵で暗号化することによって暗号化認証コードを生成するステップと、
    前記第2の通信装置が、情報処理装置へ、前記暗号化認証コードと前記属性証明書と共通鍵の生成に使用する識別情報とを送信するステップと、
    前記情報処理装置が、前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信するステップと、
    前記情報処理装置が、前記検証装置へ、前記暗号化認証コードと前記属性証明書と前記識別情報とを送信することによって、前記暗号化認証コードの検証を要求するステップと、
    前記検証装置が、前記情報処理装置が送信した前記暗号化認証コードと前記識別情報とを受信するステップと、
    前記検証装置が、前記識別情報に基づいて、共通鍵を取得するステップと、
    前記検証装置が、取得した前記共通鍵を使用して、前記暗号化認証コードを検証するステップと、
    前記検証装置が、前記暗号化認証コードの検証結果を、前記情報処理装置へ送信するステップと、
    前記情報処理装置が、前記検証装置が送信する前記検証結果を受信するステップと、
    前記情報処理装置が、前記暗号化認証コードの前記検証結果が成功である場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行するステップと
    を有する、情報処理方法。
  9. 第1の通信装置のコンピュータに、
    前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得するステップと、
    前記属性情報に基づいて、属性証明書を発行するステップと、
    第2の通信装置へ、前記属性証明書を送信するステップと
    を実行させ、
    前記第2の通信装置のコンピュータに、
    前記第1の通信装置が送信した前記属性証明書を受信するステップと、
    前記属性証明書に基づいて、認証コードを生成するステップと、
    前記認証コードを前記第2の通信装置が記憶する共通鍵で暗号化することによって暗号化認証コードを作成するステップと、
    情報処理装置へ、前記暗号化認証コードと前記属性証明書と共通鍵の生成に使用する識別情報とを送信するステップと
    を実行させ、
    前記情報処理装置のコンピュータに、
    前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信するステップと、
    前記識別情報に対応する共通鍵を取得するステップと、
    前記共通鍵を使用して、前記暗号化認証コードを検証するステップと、
    前記暗号化認証コードの検証が成功した場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行するステップと
    を実行させる、プログラム。
  10. 第1の通信装置のコンピュータに、
    前記第1の通信装置のユーザが第2の通信装置のユーザへ付与する権限を含む属性情報を取得するステップと、
    前記属性情報に基づいて、属性証明書を発行するステップと、
    第2の通信装置へ、前記属性証明書を送信するステップと
    を実行させ、
    前記第2の通信装置のコンピュータに、
    前記第1の通信装置が送信した前記属性証明書を受信するステップと、
    前記属性証明書に基づいて、認証コードを生成するステップと、
    前記認証コードを共通鍵で暗号化することによって暗号化認証コードを生成するステップと、
    情報処理装置へ、前記暗号化認証コードと前記属性証明書と共通鍵の生成に使用する識別情報とを送信するステップと
    を実行させ、
    前記情報処理装置のコンピュータに、
    前記第2の通信装置が送信した前記暗号化認証コードと前記属性証明書と前記識別情報とを受信するステップと、
    検証装置へ、前記暗号化認証コードと前記属性証明書と前記識別情報とを送信することによって前記暗号化認証コードの検証を要求するステップと、
    前記検証装置が送信する検証結果を受信するステップと、
    前記暗号化認証コードの検証結果が成功である場合に、前記属性証明書に含まれる前記属性情報に基づいて、処理を実行するステップと
    を実行させ、
    前記検証装置のコンピュータに、
    前記情報処理装置が送信した前記暗号化認証コードと前記識別情報とを受信するステップと、
    前記識別情報に基づいて、共通鍵を取得するステップと、
    取得した前記共通鍵を使用して、前記暗号化認証コードを検証するステップと、
    前記暗号化認証コードの検証結果を、前記情報処理装置へ送信するステップと
    を実行させる、プログラム。
JP2017058918A 2017-03-24 2017-03-24 情報処理システム、情報処理方法、及びプログラム Active JP6501813B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017058918A JP6501813B2 (ja) 2017-03-24 2017-03-24 情報処理システム、情報処理方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017058918A JP6501813B2 (ja) 2017-03-24 2017-03-24 情報処理システム、情報処理方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2018164134A true JP2018164134A (ja) 2018-10-18
JP6501813B2 JP6501813B2 (ja) 2019-04-17

Family

ID=63860411

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017058918A Active JP6501813B2 (ja) 2017-03-24 2017-03-24 情報処理システム、情報処理方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP6501813B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7245884B1 (ja) 2021-10-01 2023-03-24 株式会社ジェーシービー デバイスプログラム、およびコンピュータシステム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002163235A (ja) * 2000-11-28 2002-06-07 Mitsubishi Electric Corp アクセス権限譲渡装置、共有リソース管理システム及びアクセス権限設定方法
JP2003069561A (ja) * 2001-08-24 2003-03-07 Sanyo Electric Co Ltd 利用者認証システム
JP2007226470A (ja) * 2006-02-22 2007-09-06 Nec Corp 権限管理サーバ、権限管理方法、権限管理プログラム
JP2010218291A (ja) * 2009-03-17 2010-09-30 Sony Corp 情報処理装置、代行権限付与方法、プログラムおよび情報処理システム
JP2012203516A (ja) * 2011-03-24 2012-10-22 Kobe Digital Labo Inc 属性委譲システム、属性委譲方法、及び、属性委譲プログラム
US20150341346A1 (en) * 2014-05-21 2015-11-26 Microsoft Corporation Bifurcated Authentication Token Techniques

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002163235A (ja) * 2000-11-28 2002-06-07 Mitsubishi Electric Corp アクセス権限譲渡装置、共有リソース管理システム及びアクセス権限設定方法
JP2003069561A (ja) * 2001-08-24 2003-03-07 Sanyo Electric Co Ltd 利用者認証システム
JP2007226470A (ja) * 2006-02-22 2007-09-06 Nec Corp 権限管理サーバ、権限管理方法、権限管理プログラム
JP2010218291A (ja) * 2009-03-17 2010-09-30 Sony Corp 情報処理装置、代行権限付与方法、プログラムおよび情報処理システム
JP2012203516A (ja) * 2011-03-24 2012-10-22 Kobe Digital Labo Inc 属性委譲システム、属性委譲方法、及び、属性委譲プログラム
US20150341346A1 (en) * 2014-05-21 2015-11-26 Microsoft Corporation Bifurcated Authentication Token Techniques

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7245884B1 (ja) 2021-10-01 2023-03-24 株式会社ジェーシービー デバイスプログラム、およびコンピュータシステム
JP2023053618A (ja) * 2021-10-01 2023-04-13 株式会社ジェーシービー デバイスプログラム、およびコンピュータシステム

Also Published As

Publication number Publication date
JP6501813B2 (ja) 2019-04-17

Similar Documents

Publication Publication Date Title
US11956243B2 (en) Unified identity verification
US10592872B2 (en) Secure registration and authentication of a user using a mobile device
US10846663B2 (en) Systems and methods for securing cryptocurrency purchases
RU2663476C2 (ru) Защищенная обработка удаленных платежных транзакций, включающая в себя аутентификацию потребителей
US9860245B2 (en) System and methods for online authentication
KR102552606B1 (ko) 보안 요소를 이용한 보안 원격 지불 거래 처리
US10523441B2 (en) Authentication of access request of a device and protecting confidential information
US9521548B2 (en) Secure registration of a mobile device for use with a session
US9642005B2 (en) Secure authentication of a user using a mobile device
CN113545000B (zh) 交付时交互的分散式处理
US20100332832A1 (en) Two-factor authentication method and system for securing online transactions
JP2019509578A (ja) ウェアラブルデバイスを用いる決済認証及び決済の方法、システム及び装置
JP2009526321A (ja) 変化する識別子を使用して販売時点情報管理端末において取引を実行するためのシステム
JPWO2019239591A1 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
JP2017537421A (ja) 支払いトークンのセキュリティを確保する方法
TWI591553B (zh) Systems and methods for mobile devices to trade financial documents
CN103401844A (zh) 操作请求的处理方法及系统
US12033142B2 (en) Authenticator app for consent architecture
EP1898349A1 (en) Method and system for providing a service to a subscriber of a mobile network operator
KR100785275B1 (ko) 쿠폰을 이용한 컨텐츠 제공 방법 및 시스템
TW201619880A (zh) 利用卡裝置的網路認證方法
KR20140012335A (ko) Qr 코드를 이용한 스마트 기기의 금융 정보 처리 장치 및 그 방법
JP6501813B2 (ja) 情報処理システム、情報処理方法、及びプログラム
KR20130100811A (ko) 결제 승인 방법
JP6515080B2 (ja) 情報処理システム、情報処理方法、及びプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180808

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181025

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20181026

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190319

R150 Certificate of patent or registration of utility model

Ref document number: 6501813

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150