JP4047592B2 - 通信接続システム、方法、プログラム及び電子投票システム - Google Patents

通信接続システム、方法、プログラム及び電子投票システム Download PDF

Info

Publication number
JP4047592B2
JP4047592B2 JP2002019029A JP2002019029A JP4047592B2 JP 4047592 B2 JP4047592 B2 JP 4047592B2 JP 2002019029 A JP2002019029 A JP 2002019029A JP 2002019029 A JP2002019029 A JP 2002019029A JP 4047592 B2 JP4047592 B2 JP 4047592B2
Authority
JP
Japan
Prior art keywords
authentication
relay device
security
policy
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002019029A
Other languages
English (en)
Other versions
JP2003224554A (ja
Inventor
岳久 加藤
敏明 才所
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002019029A priority Critical patent/JP4047592B2/ja
Publication of JP2003224554A publication Critical patent/JP2003224554A/ja
Application granted granted Critical
Publication of JP4047592B2 publication Critical patent/JP4047592B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、異なるドメイン間で情報をセキュアに通信する際に用いられる通信方法、プログラム及びシステムに係り、特に、他のドメインから不正パケットの流入を阻止し得る通信接続システム、方法、プログラム及び電子投票システムに関する。
【0002】
【従来の技術】
従来、異なるドメインに属する各エンティティ装置が互いに情報をセキュアに通信する際に、各エンティティ装置が互いに電子メールシステムの一部の場合、PGP(Pretty Good Privacy)やS/MIME(Secure Multimedia Internet Mail Extensions)などの暗号メールにより、送信者の確認や電文の秘匿が行われている。
【0003】
一方、各エンティティ装置が互いにWWW(World Wide Web)におけるクライアント/サーバシステムの一部の場合、SSL(secure sockets layer)により、相互認証や通信データの秘匿が行われている。
【0004】
このように、各エンティティ装置間のセキュア通信の際に、暗号メールやSSL等を利用するアプリケーションにより、セキュアに保護される層が異なることから、場合によっては、ユーザはアプリケーションに対応してセキュアに保護される層を把握しておく必要がある。
【0005】
また、各ドメイン間でセキュリティポリシーが異なる際に、例えば通信相手側の認証精度が当方の要求水準よりも低いときのように、正当な通信相手か否かの疑問が残る場合でも、認証結果が肯定的であれば通信相手側に接続されて通信が実行される。この場合の接続は、通信相手が不正なエンティティ装置であると、セキュリティホールとなって不正なパケットを流入させてしまう可能性がある。
【0006】
【発明が解決しようとする課題】
以上説明したように、異なるドメインに属する各エンティティ装置間のセキュア通信では、場合により、ユーザがアプリケーションに応じてセキュアに保護される層を把握しておく必要がある。
【0007】
また、異なるセキュリティポリシーをもつ他のドメインのエンティティ装置と通信する際には、通信相手が不正なエンティティ装置の場合、不正なパケットを流入させる可能性がある。
【0008】
本発明は上記実情を考慮してなされたもので、アプリケーションに応じてセキュアに保護される層を把握でき、且つ、異なるドメインとの通信の際に、不正なパケットの流入を阻止し得る通信接続システム、方法、プログラム及び電子投票システムを提供することにある。
【0009】
【課題を解決するための手段】
第1の発明は、互いに異なるドメインに属するエンティティ装置間で各々の中継装置とオープンなネットワークとを介してセキュア通信を接続するための通信接続システムであって、前記各中継装置としては、自己の属するドメインのエンティティ装置から受けた、個人認証の認証方式及び認証精度を含む認証関連情報と、当該エンティティ装置が前記セキュア通信に用いるアプリケーションのセキュリティに関するセキュリティ情報とからセキュリティポリシーを作成するポリシー作成手段と、前記ポリシー作成手段により作成されたセキュリティポリシーを各中継装置間で交換するポリシー交換手段と、前記ポリシー交換手段により得られた相手のセキュリティポリシー内の認証関連情報とセキュリティ情報とに関し、自己のセキュリティポリシーに適合するか否かを各々検証するポリシー検証手段と、前記ポリシー検証手段による両者の検証結果が正当のとき、前記接続のための鍵交換を行なう鍵交換手段と、を備えた通信接続システムである。
【0010】
(作用)
従って、第1の発明は以上のような手段を講じたことにより、異なるドメイン間のセキュア通信の際に、個人認証の認証精度とアプリケーションのセキュリティ情報とを含むセキュリティポリシーを交換しあい、認証精度とセキュリティ情報との両者の検証結果が正当なときのみ、セキュア通信を接続する構成により、通信要求者の正当性を認証精度とセキュリティ情報との両方から検証できるので、不正なパケットの流入を防止することができる。
【0011】
なお、上記第1の発明は、全体を「システム」として表現した場合を示すが、これに限らず、全体又は各装置毎の「装置」、「方法」、「プログラム」又は「記憶媒体」等として表現してもよいことは言うまでもない。
【0012】
【発明の実施の形態】
以下、本発明の各実施形態について図面を参照しながら説明する。
(第1の実施形態)
図1は本発明の第1の実施形態に係る通信接続システムを含むネットワーク構成を示す模式図である。図示するように、互いに異なるドメインA,Bがインターネット等のオープンなネットワークNWを介して互いに接続されている。
【0013】
ここで、ドメイン(第1ドメイン)Aは、利用者側のn個のPC(Personal Computer)端末(第1エンティティ装置)TA10〜TA10がLAN1及び第1ゲートウェイ(第1中継装置)GW20を介してネットワークNWに接続された構成となっている。
【0014】
同様に、ドメイン(第2ドメイン)Bは、認証者側のm個のPC端末(第2エンティティ装置)TB30〜TB30がLAN2及び第2ゲートウェイ(第2中継装置)GW40を介してネットワークNWに接続された構成となっている。なお、第1及び第2ゲートウェイGW20,GW40は、それぞれルータに代えてもよい。また、認証者側の各PC端末TB30〜TB30は、個人使用の端末又は共同使用の端末でもよいし、WWWサーバ等のようにサービスを提供するサーバに代えてもよい。
【0015】
図2は上記通信接続システムの構成を示す模式図である。ここで、各PC端末TA10〜TA10は、互いに同一構成のため、TA10を例に挙げて説明する。同様に、各PC端末TB30〜TB30も互いに同一構成のため、TB30を例に挙げて説明する。
【0016】
利用者側のPC端末TA10は、メモリ部11、センサ部12及び認識部13からなるセンサ装置14に接続されており、端末鍵メモリ部15、セキュリティ情報生成部16、ポリシー情報生成部17及びGW認証部18を備えている。
【0017】
メモリ部11は、利用者の生体情報を照合するための予め設定された照合データ、照合用の設定情報(精度等)、機器認証用鍵、公開鍵証明書及び認証用機器IDが認識部13から読出可能に予め記憶されている。
【0018】
ここで、照合データは、利用者の指紋、虹彩、声紋、筆跡、キーストローク等の任意のもの(種類及び精度)が使用可能であるが、ここでは指紋情報の高精度の値を用いるものとする。また、照合データは、センサ装置14に設けられた耐タンパー性のメモリ部11内、もしくはセンサ装置14に装着されるスマートカード内の耐タンパーメモリに格納されており、不正な読出から保護されている。
【0019】
機器認証用鍵は、自装置14の認証に用いられる公開鍵ペアであり、公開鍵証明書により公開鍵の有効性が証明されている。
【0020】
公開鍵証明書は、予めTTP(Trusted Third Party)である証明書発行機関から発行され、前述した公開鍵ペア(機器認証用鍵)のうちの公開鍵を含むものである。なお、同様に、他の装置TA10,GW20,TB30,GW40で用いられる公開鍵証明書も証明書発行機関から発行され、公開鍵を含むものである。
【0021】
秘密鍵は、この公開鍵ペアのうちの他方の鍵であり、メモリ部11のうちの耐タンパー領域(又は他の耐タンパーメモリ)に格納されて秘匿されている。
【0022】
認証用機器IDは自装置14の認証に用いられる識別情報であり、自装置の電子署名に使用されるものである。
【0023】
センサ部12は、利用者の指紋を測定し、得られた指紋情報を認識部13に入力する機能をもっている。
【0024】
認識部13は、センサ部12から入力された指紋情報の正当性をメモリ部11の照合データに基づいて認証し、認証結果(OK又はNG)を含む認証結果署名を生成し、得られた認証結果署名をPC端末TA10に出力する機能と、PC端末10から受ける電子署名を検証する機能とをもっている。
【0025】
ここで、認証結果署名は、図3に示すように、認証方法c1、認証機器IDc2、認証精度(他人排除率FAR又は本人拒否率FRR)c3、認証結果c4、c1〜c4に対する電子署名としての認証署名データc5、及び認証機器の公開鍵証明書c6からなるデータ群c1〜c6である。
【0026】
続いて、PC端末TA10の各要素を、端末鍵メモリ部15、セキュリティ情報生成部16、ポリシー情報生成部17及びGW認証部18の順に説明する。
【0027】
端末鍵メモリ部15は、自装置TA10の公開鍵ペア及び公開鍵証明書がGW認証部18から読出可能に予め記憶されている。
【0028】
セキュリティ情報生成部16は、利用者の操作により、通信に関するセキュリティ情報を生成し、このセキュリティ情報をポリシー情報生成部17に送出する機能をもっている。
ここで、セキュリティ情報は、図4に示すように、送信先アドレスs1、アプリケーションs2、アプリケーションが行なうセキュリティs3,s31〜s32、他の層で行なうセキュリティs4,s41,s411,s42,s421〜s428、を示すデータ群である。
【0029】
なお、アプリケーションが行なうセキュリティs3としては、例えば、暗号アルゴリズムs31及び暗号鍵長s32がある。
また、他の層で行なうセキュリティs4としては、例えばSSL方式s41及びそのバージョンs411などがあり、また例えばIPsec方式s42及びその認証アルゴリズムs421、認証モードs422、認証用鍵s423、暗号アルゴリズムs424、暗号モードs425、暗号鍵s426、送信元アドレスs427、有効期限s428などがある。
【0030】
ポリシー情報生成部17は、センサ装置14を認証する機能と、認証結果が真のときにはセンサ装置14による個人認証を実行可能とする機能とを有し、また、セキュリティポリシーを生成するためのポリシー情報のうち、セキュリティ情報生成部16から送出されたセキュリティ情報と、センサ装置14の認識部13から出力された認証結果署名とを順次、GW認証部18に送出する機能とをもっている。但し、認証結果署名は、予めセンサ装置14とポリシー情報生成部17との間で、PC端末TA10のネットワーク層により正当性が検証される。
【0031】
ここで、ポリシー情報は、図5に示すように、図3に示した認証結果署名と、図4に示したセキュリティ情報とを備えたものである。
GW認証部18は、端末鍵メモリ部15内の公開鍵ペア及び公開鍵証明書を用い、LAN1を介して第1ゲートウェイGW20と相互認証を行なう機能と、相互認証の結果が正当を示すとき、ポリシー情報生成部17から送出されたポリシー情報をLAN1を介して第1ゲートウェイGW20に送信する機能をもっている。
【0032】
第1ゲートウェイGW20は、GW鍵メモリ部21、端末認証部22、セキュリティポリシー生成部23及び交換部24を備えている。
【0033】
GW鍵メモリ部21は、自装置GW20の公開鍵ペア及び公開鍵証明書が端末認証部22から読出可能に予め記憶されている。
【0034】
端末認証部22は、GW鍵メモリ21内の公開鍵ペア及び公開鍵証明書を用い、LAN1を介してPC端末TA10と相互認証を行なう機能と、相互認証の結果が正当を示すとき、PC端末TA10から送信されたポリシー情報をセキュリティポリシー生成部23に送出する機能をもっている。
【0035】
セキュリティポリシー生成部23は、端末認証部22から送出されたポリシー情報に基づいて、利用者側のセキュリティポリシーデータを作成し、得られた利用者側のセキュリティポリシーデータを交換部24に送出する機能をもっている。
【0036】
ここで、利用者側のセキュリティポリシーデータは、認証者側のPC端末TB30との通信を行うためのデータであり、図5に示したポリシー情報を含む内容となっている。
【0037】
交換部24は、IPsecプロトコル(以下、IPsecという)に基づいて、セキュリティポリシーデータをSA(Security Association)として、第2ゲートウェイGW40との間でSA交換を行なう機能と、SA交換により、セキュア通信を許可する機能をもっている。なお、SAは、各装置間の接続情報であり、暗号化に必要なパラメータ群(認証方式、認証用の鍵、暗号方式、暗号鍵、暗号鍵の寿命など)を意味している。
【0038】
具体的には交換部24は、IPsecに基づいて、認証者側のセキュリティーポリシーデータを利用者側のセキュリティポリシーデータにより検証し、検証結果が真のとき、セキュリティポリシー生成部23から送出された利用者側のセキュリティポリシーデータを第2ゲートウェイGW40に送信する機能と、送信した利用者側のセキュリティーポリシーデータに関し、第2ゲートウェイGW40から、認証者側のセキュリティポリシーに適合する旨の検証結果を受けると、第2ゲートウェイGW40との間でセキュア通信用の鍵交換(IKE)を行なう機能とをもっている。
【0039】
なお、IPsecによる通信の手順は、例えば“日経コミュニケーション「IPSEC インターネットVPNの基本技術 既設機器との相互運用が課題」、日経BP社、1998年6月15日発行号”、などに解説されている。
【0040】
一方、認証者側のPC端末TB30は、利用者側のPC端末TA10と同様に、端末鍵メモリ部31、ポリシー情報提供部32及びGW認証部33を備えている。
【0041】
なお、認証側のPC端末TB30は、ここでは例えばサーバ装置としても利用可能な観点から、ポリシー情報提供部32を備えたものとしたが、これに限らず、利用者側のPC端末TA10と全く同様に、センサ装置14を備えた構成としてもよい。このように認証側のPC端末TB30が利用者側のPC端末TA10と同一の構成の場合、認証側と利用者側との区別は装置としては無く、送信側が利用者側となり、受信側が認証側となる。
【0042】
端末鍵メモリ部31は、自装置TB30の公開鍵ペア及び公開鍵証明書がGW認証部33から読出可能に予め記憶されている。
【0043】
ポリシー情報提供部32は、予め認証者の操作により、セキュア通信に関するポリシー情報が登録されており、このポリシー情報をGW認証部33に提供する機能をもっている。なお、認証側のポリシー情報は、利用者側のセキュリティポリシーの水準を判定するためのデータであるから、少なくとも図5に示した利用者側のポリシー情報のうち、認証署名データc5、認証機器公開鍵証明書c6、認証用鍵s423及び暗号鍵s426を除いた同様の形式の各データを備えたものが用いられる。
【0044】
GW認証部33は、端末鍵メモリ部31内の公開鍵ペア及び公開鍵証明書を用い、LAN2を介して第2ゲートウェイGW40と相互認証を行なう機能と、相互認証の結果が真のとき、第2ゲートウェイGW40からの要求により、ポリシー情報提供部32から提供されたポリシー情報をLAN2を介して第2ゲートウェイGW40に送信する機能をもっている。
【0045】
第2ゲートウェイGW40は、前述した第1ゲートウェイGW20と同様に、GW鍵メモリ部41、端末認証部42、セキュリティポリシー生成部43及び交換部44を備えている。
【0046】
GW鍵メモリ部41は、自装置GW40の公開鍵ペア及び公開鍵証明書が端末認証部22から読出可能に予め記憶されている。
【0047】
端末認証部42は、GW鍵メモリ41内の公開鍵ペア及び公開鍵証明書を用い、LAN2を介してPC端末TB30と相互認証を行なう機能と、相互認証の結果が真のとき、PC端末TB30にポリシー情報を要求し、得られたポリシー情報をセキュリティポリシー生成部43に送出する機能をもっている。
【0048】
セキュリティポリシー生成部43は、端末認証部42から送出されたポリシー情報に基づいて、認証者側のセキュリティポリシーデータを作成し、得られた認証者側のセキュリティポリシーデータを交換部44に送出する機能をもっている。
【0049】
ここで、認証者側のセキュリティポリシーデータは、利用者側のPC端末TA10のセキュリティポリシーの水準を判定するためのデータであり、前述したように、図5に示したポリシー情報のうち、認証署名データc5、認証機器公開鍵証明書c6、認証用鍵s423及び暗号鍵s426が省略された内容となっている。
【0050】
交換部44は、IPsecに基づいて、セキュリティポリシー生成部43から送出された認証者側のセキュリティポリシーデータを第1ゲートウェイGW20からの利用者側のセキュリティーポリシーデータと交換する機能と、交換により得た利用者側のセキュリティーポリシーデータを、認証者側のセキュリティポリシーデータにより検証し、検証結果がOK(適合)を示すとき、第1ゲートウェイGW20との間でセキュア通信用の鍵交換(IKE)を行なう機能とをもっている。
【0051】
次に、以上のように構成された通信接続システムの動作を図6のシーケンス図を用いて説明する。
さて、電源投入済みのPC端末TA10にセンサ装置14が接続されたか、又はセンサ装置14を接続済のPC端末TA10に電源が投入された場合に、PC端末10は乱数を生成し、この乱数をセンサ装置14に送信する(ST1)。
【0052】
センサ装置14においては、認識部13が機器認証用鍵を用いてこの乱数に署名処理を施し、得られた電子署名を公開鍵証明書と共に、PC端末TA10に返信する(ST2)。
【0053】
PC端末TA10においては、ポリシー情報生成部13が、公開鍵証明書を検証してその検証結果が偽のときには処理を終了し、検証結果が真のときのみ電子署名を検証する。
【0054】
また、ポリシー情報生成部13は、電子署名の検証結果が真ならば接続されたセンサ装置14が正当であるとして、センサ装置14による個人認証を実行可能とする。電子署名の検証結果が偽の場合、センサ装置14を不正であるとして、センサ装置14による個人認証を実行不可とする。なお、センサ装置14の個人認証を実行不可とする処理は、使用可能なアプリケーションのうち、個人認証を必要とするアプリケーションを実行不可とする旨を意味している。
【0055】
次に、利用者側のPC端末TA10にてアプリケーションが起動され、利用者側のPC端末TA10から認証者側のPC端末TB30にパケットを送信したいとする。
【0056】
利用者側のPC端末TA10においては、アプリケーションの動作により、アプリケーション情報を含むセキュリティ情報がセキュリティ情報生成部16からポリシー情報生成部17を介してGW認証部18に送出される一方、GW認証部18が、第1ゲートウェイGW20との間で相互認証を実行する。
【0057】
この相互認証結果が真のとき、GW認証部18は、認証者側のPC端末TB30への接続要求を第1ゲートウェイGW20に送信すると共に、セキュリティ情報をポリシー情報の一部として第1ゲートウェイGW20に送信する(ST3)。
【0058】
第1ゲートウェイGW20は、ポリシー情報の一部に基づいて、認証者側のPC端末TB30への接続に必要なセキュリティポリシーの一部を作成する。しかる後、第1ゲートウェイGW20は、認証要求を利用者側のPC端末TA10に向けて送信する(ST4)。
【0059】
利用者側のPC端末TA10では、認証要求を受けると、予めステップST2の後にセンサ装置14の検証結果が真とされた場合のみ、利用者に対して個人認証を行う旨を画面上に表示し、照合要求をセンサ装置14に送信する(ST5)。
【0060】
センサ装置14は、照合要求を受けると、利用者による指の載置(指紋情報の入力)まで待機し、利用者の指がセンサ部12に載置されると、センサ部12がこの指の指紋情報を認識部13に入力する。
【0061】
認識部13は、センサ部12から入力された指紋情報の正当性をメモリ部11の照合データに基づいて認証し、図3に示したように、認証結果(OK又はNG)を含む認証結果署名を生成し、得られた認証結果署名をPC端末TA10に出力する(ST6)。
【0062】
PC端末TA10は、認証結果署名を受けると、図示しないネットワーク層が認証結果署名に含まれる公開鍵証明書と認証署名データとを順次検証し、各々の検証結果が真であれば、認証結果署名とその検証結果とを第1ゲートウェイGW20に送信する(ST7)。
【0063】
第1ゲートウェイGW20は、この認証結果署名及び検証結果を受けると、利用者側のPC端末TA10をインターネット等を介して認証者側のPC端末TB30にセキュアに通信可能とするように、IPsecを用いて第2ゲートウェイGW40と通信する。
【0064】
具体的には、第1ゲートウェイGW20は、セキュリティポリシーの交換処理としての、IPsecにおけるSA交換に際し、始めに、交換部24が接続要求とポリシーリクエストとを第2ゲートウェイGW40に送信する(ST8)。
【0065】
第2ゲートウェイGW40は、この接続要求とポリシーリクエストに対し、交換部44が、セキュリティポリシー生成部43及び端末認証部42を介して、PC端末TB30から認証者側のセキュリティポリシーを得る。
【0066】
しかる後、第2ゲートウェイGW40は、交換部44により、認証者側のセキュリティポリシーデータをSAとして第1ゲートウェイGW20に送信する(ST9)。
【0067】
第1ゲートウェイGW20は、この認証者側のセキュリティポリシーデータに関して利用者側のセキュリティポリシーを満たすか否かを検証し、検証結果がNG(否)であればその旨をPC端末TA10に通知して処理を終了し(ST12に進み、NG通知)、検証結果がOK(満たす)であれば、利用者側のセキュリティポリシーデータを第2ゲートウェイGW40に送信する(ST10)。
【0068】
第2ゲートウェイGW40は、同様に、この利用者側のセキュリティポリシーデータに関して認証者側のセキュリティポリシーを満たすか否かを検証し、検証結果がNGであればその旨を第1ゲートウェイGW20を介してPC端末10に通知して処理を終了し、検証結果がOKであれば、第1ゲートウェイGW20との間でセキュア通信用の鍵交換(IKE)を行なう(ST11)。
【0069】
鍵交換の完了により、IPsecにおける第1及び第2ゲートウェイGW20,GW40間の通信が確立された場合、第1ゲートウェイGW20は、利用者側のPC端末TA10へ通信が可能である旨を通知する(ST12:OK)。
【0070】
これにより、利用者側のPC端末10は、LAN1、第1ゲートウェイGW20、ネットワークNW及び第2ゲートウェイGW40を介して、認証者側のPC端末30とセキュア通信を実行する。
【0071】
上述したように本実施形態によれば、異なるドメインA,B間のセキュア通信の際に、少なくとも個人認証の認証精度とアプリケーションのセキュリティ情報とを含むセキュリティポリシーを交換しあい、認証精度とセキュリティ情報との両者の検証結果が正当なときのみ、セキュア通信を接続する構成により、通信要求者の正当性を認証精度とセキュリティ情報との両方から検証できるので、不正なパケットの流入を防止することができる。
【0072】
また、交換されるセキュリティポリシーは、利用者側及び認証側のうち、少なくとも利用者側では個人認証結果をも含むので、より確実に、正当性を検証することができる。また、認証側がWWWサーバでなく、個人が操作する端末装置の場合に、認証側のセキュリティポリシーにも個人認証結果を含めることにより、一層確実に、正当性を検証することができる。
【0073】
(第2の実施形態)
図7は本発明の第2の実施形態に係る電子投票システムの構成を示す模式図であり、前述した図面と同一の部分には同一符号を付し、改変した部分には記号「’」を付して前述した部分の説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
【0074】
すなわち、本実施形態は、第1の実施形態を電子投票システムに適用した適用例であり、前述したドメインAに対応するn個の投票所ドメインA’〜An’と、前述したドメインBに対応する開票所ドメインB’とがネットワークNWを介して接続された電子投票システムを用いている。
【0075】
なお、各投票所ドメインA’,…,A’は互いに同一構成のため、ここでは投票所ドメインA’を例に挙げて説明する。また同様に、各PC端末TA1011’〜TA101n’,…,TA10n1’〜TA10nn’は互いに同一構成のため、ここではPC端末TA1011’を例に挙げて説明する。
【0076】
投票所ドメインA’は、前述したPC端末TA10〜TA10に対応するn個のPC端末TA1011’〜TA101n’がLAN11を介して投票所ゲートウェイGW20’に接続され、投票所ゲートウェイGW20’がネットワークNWに接続されている。
【0077】
PC端末TA1011’は、前述同様に、個人認証機能を有するセンサ装置14(図示せず)に接続されており、前述同様の機能に加え、電子投票に関する機能をもっている。換言すると、PC端末TA1011’は、前述したアプリケーションが電子投票用アプリケーションであり、電子投票用アプリケーションの実行により、電子投票に関する機能を実行する場合に相当する。
【0078】
ここで、電子投票に関する機能には、例えば次の(1)〜(4)がある。
(1)予め指紋の照合データ及び投票権証が保持された投票者毎のスマートカード(例、ICカード)の内容を読出す機能。
(2)センサ装置14から受けた照合結果署名とその照合結果が真のとき、照合結果署名を投票所GW20’に送出する機能。
(3)投票所GW20’から受けた投票権証の検証結果が真のとき、スマートカードに投票権証を要求し、得られた投票権証を検証し、検証結果が真のときに投票者の端末操作に基づいて投票証を作成する機能。なお、投票証の作成時に用いる選挙管理委員会の公開鍵は予め端末TA1011’内に保持されている。
【0079】
(4)上記(3)で作成した投票証及び投票権証を1回だけ投票所GW20’に送出する機能。
【0080】
なお、投票権証は、投票所の入場券として機能する電子データであり、図8に示すように、投票者ID(通し番号)r1、投票者氏名r2、住所r3、選挙区r4、r1〜r4に対する選挙管理委員会のデジタル署名r5からなるデータ群r1〜r5であり、予め選挙管理委員会から投票者に送付される。
【0081】
照合結果署名は、前述した認証結果署名とほぼ同様のものであり、図9に示すように、認証方法c1、認証機器IDc2、認証精度(他人排除率FAR又は本人拒否率FRR)c3、照合結果c4’、c1〜c4に対する投票権証のデジタル署名c5’からなるデータ群c1〜c5’であって、個人認証の際に、センサ装置14により生成される。
【0082】
投票証は、図10に示すように、投票所IDv1、端末IDv2、投票結果v3、v1〜v3に対する端末のデジタル署名v4からなるデータ群v1〜v4であり、投票者の端末操作に基づいて、投票所のPC端末TA1011’により作成される。
【0083】
投票所ゲートウェイGW20’は、前述した第1ゲートウェイGW20に対応するものである。
【0084】
一方、開票所ドメインB’は、前述したPC端末TB30に対応する開票サーバTB30’が開票所ゲートウェイGW50を介してm個の収集ゲートウェイGW40’,…,GW40’に接続され、各収集ゲートウェイGW40’,…,GW40’がネットワークNWに接続されている。
【0085】
開票サーバTB30’は、前述したPC端末TB30の機能に加え、開票所ゲートウェイGW50から転送される各投票証に基づいて、投票証に含まれる投票結果を集計し、集計結果を出力する機能をもっている。
【0086】
次に、各収集ゲートウェイGW40’,…,GW40’は互いに同一構成のため、ここでは収集ゲートウェイGW40を例に挙げて説明する。
収集ゲートウェイGW40’は、前述した第2ゲートウェイGW40の機能に加え、投票所ドメインA’から受けた投票証を検証し、検証結果が真のとき、当該投票証を開票所ゲートウェイGW50に送出する機能をもっている。なお、各収集ゲートウェイGW40’,…,GW40’や各投票所ゲートウェイGW201’,…,GW20n’は、それぞれ負荷分散の観点から、複数設置されている。すなわち、投票所GW201’と収集GW401’とが必ずしも接続される必要はなく、互いにポリシー交換をした投票所GW201’と収集GW40’とが接続される。
【0087】
開票所ゲートウェイGW50は、各収集ゲートウェイGW40’,…,GW40’から受けた投票証を開票サーバに転送する機能をもっている。
【0088】
次に、以上のように構成された電子投票システムの動作を図11及び図12のシーケンス図を用いて「投票権証の配布」及び「投票」の順に説明する。
(投票権証の配布:図11)
投票者は、投票権証を受取可能とするように、予め自己の利用者端末TUのメールアドレスを選挙管理委員会Eに届けておくものとする。なお、投票権証のデジタル署名の検証に用いる公開鍵証明書は、投票権証と共に送付されてもよく、また、選挙管理委員会のホームページ等からダウンロードされてもよい。また、投票者は、前述した照合データや鍵情報を格納するためのスマートカードSCを保有しているものとする。
【0089】
さて図11に示すように、利用者端末TUは、図8に示した投票権証を選挙管理委員会Eから受信すると(ST21)、投票権証を選挙管理委員会Eの公開鍵を用いて検証し、検証結果が真であれば、センサ装置14に照合要求を送出する(ST22)。
【0090】
センサ装置14は、前述同様に、指紋の生体情報が入力されると(ST23)、スマートカードSCから照合データを読出して(ST24)、生体情報を照合データに照合し、照合結果(OK/NG)を利用者端末TUに送出する(ST25)。
【0091】
利用者端末TUは、照合結果が真(OK)であれば、投票権証をスマートカードSCに入力し(ST26)、スマートカードSCから書込みの完了通知を受ける(ST27)。
【0092】
これにより、投票権証に記載された投票者に関し、選挙管理委員会Eによる投票権証の配布処理が完了する。なお、上述したステップST21〜ST27は全ての投票者に対してそれぞれ行われる。
【0093】
(投票:図12)
予め開票所ドメインB’においては、収集GW40’は、例えば投票日にIPsecに基づいて、開票所ゲートウェイGW50と前述同様のSA交換(ポリシー交換)を行ない(ST31)、開票所ゲートウェイGW50と通信が接続されている。また、各投票所ドメインA’,…,A’の各PC端末TA1011’〜TA101n’,…,TA10n1’〜TA10nn’は、予め選挙管理委員会Eの公開鍵を保持している。
【0094】
一方、投票所ドメインA’においては、投票者がスマートカードSCを持参してくると共に、投票所内のPC端末TA1011’の前に座る。
【0095】
始めに、PC端末TA1011’に接続されたセンサ装置14は、投票者によりスマートカードSCが挿入され、投票者の指が置かれると、その指の指紋を測定して生体情報を得ると(ST32)、スマートカードSCから照合データを読み出す(ST33)。なお、スマートカードSCの挿入部位は、センサ装置14又はPC端末TA1011’のいずれに設けてもよい。
【0096】
さて、センサ装置14は、指紋の生体情報と照合データとを照合し、照合結果が真であれば、前述同様に、図9に示した照合結果署名を生成し、得られた照合結果署名をPC端末TA1011’に出力する(ST34)。
【0097】
PC端末TA1011’端末は、照合結果署名を検証し、検証結果が真であれば、前述同様に、照合結果署名とその検証結果を投票所GW20’に送信する(ST35)。
【0098】
投票所GW20’は、検証結果を受けると、IPsecに基づいて、収集所ドメインB’の収集GW40’とSA交換を行い、通信を接続する(ST36)。
【0099】
一方、PC端末TA1011’は、スマートカードSCへ投票権証を要求し(ST37)、投票権証をスマートカードSCから読出し(ST38)、投票権証をそのデジタル署名r5に基づいて検証する。
【0100】
投票権証の検証結果が真であれば、PC端末TA1011’は、投票者による投票結果(候補者名、政党名又は国民審査結果など)の入力又は選択操作に基づいて、投票所IDv4、端末IDv2、投票結果v3に対してデジタル署名v4を生成して図10に示したような投票証を作成し、得られた投票証を投票所GW20’に送信する(ST39)。
【0101】
すなわち、PC端末TA1011’から投票所GW20’へ送信されるデータは、投票所・端末のID情報v1,v2及び投票結果v3に関する投票証のみであり、投票者のデータは送信されない。
【0102】
投票所GW20’は、投票証に含まれる端末IDv2に基づいて、PC端末TA1011’の公開鍵を選択し、この公開鍵に基づいて投票証を検証し、投票証の検証が真であれば、ST36で接続した収集GW40’に投票証を送信する(ST40)。
【0103】
収集GW40’は、投票証を受けると、投票証に含まれる投票所IDv1と端末IDv2に基づいて、PC端末TA1011’の公開鍵を選択し、この公開鍵に基づいて、投票証を検証し、投票証の検証が真であれば、ST31で接続した開票所ゲートウェイGW50に投票証を送信する(ST41)。
【0104】
開票所ゲートウェイGW50は、各収集GW40’〜GW40’から受けた投票証を開票サーバTB30’に転送する(ST42)。
【0105】
開票サーバTB30’は、開票所ゲートウェイGW50から受けた投票証を集計し、集計結果を出力する。
【0106】
上述したように本実施形態によれば、第1の実施形態の効果に加え、異なるドメインA’,B’間のセキュア通信を含む電子投票システムを実現させることができる。
【0107】
なお、電子投票については、他にも様々な仕組みが提案されている。但し、本実施形態は、電子投票の仕組み自体には言及せず、投票データを安全に開票サーバへ送信するためのネットワークの接続方法に言及するものである。
【0108】
従って、電子投票の仕組み自体は任意であり、どの仕組みを用いても良いものとする。換言すると、アプリケーション層でどの様な電子投票システムを組み込んでも構わない、ということである。
【0109】
例えば、適用対象の電子投票が任意であることに関し、二重投票を防止する仕組み(a)〜(d)を例に挙げて述べる。なお、二重投票とは、投票者が投票を行った場合、再度、同一の投票者が投票を行う不正行為である。このため、電子投票においても、二重投票を禁止する何らかの仕組みを用いる必要があると考えられる。なお、重ねて言うが、二重投票の禁止は、電子投票の仕組み自体の話であり、本実施形態の必須要件ではない。
【0110】
(a)投票者リストを用いる方式は、投票所GW20’が、投票者ID、投票権証及び投票済みフラグの組を示す投票済みリストを確認するものである。 すなわち、投票者がPC端末TA1011’の操作により投票をすると、PC端末TA1011’は、ステップST39において、投票証と投票権証を投票所GW20’に送信する。
【0111】
投票所GW20’は、投票権を検証した後、投票権証に基づいて、投票済みリスト内の投票者IDに対応する投票済みフラグが“未投票”である旨を確認し、投票済みフラグを“投票済み”に更新する。
【0112】
これにより、投票者が同一の投票所で再度投票しようとしても、投票所GW20’の投票済みリストの確認により、2回目以降の投票が阻止される。
以下、ステップST40以降の動作は前述同様に実行される。
【0113】
(b)入場の際に、スマートカードを書換える方式は、スマートカード内の投票権証を確認し、入場済みデータをスマートカードに書込むものである。しかし、この方式は、入場済みデータが不正に消去される可能性があるため、採用され難いと考えられる。
【0114】
なお、入場時に投票権証を確認するには、スマートカードに予め投票権証の格納エリアのアクセス権限を、W(書込):投票者、R(読出):投票者/投票所管理者、D(削除):投票所管理者、となるよう、PIN(Personal Identification Number)を設定する必要がある。
【0115】
このため、スマートカードの二次発行時に、格納エリアに関し、投票所管理者のPINを設定する必要がある。各投票所管理者のPINは、投票者の住居変更を考慮して全て同一にする必要があり、また、後からの変更がほぼ不可能となる。従って、スマートカードを書換える方法はあまり現実的でない。
【0116】
(c)入場の際に、スマートカードから投票権証を消去する方法は、スマートカード内の投票権証を確認し、投票権証を消去するものである。しかし、この方式は、帰宅した投票者に投票権証が再書込みされる可能性があるため、採用され難いと考えられる。
【0117】
この方法も(b)の方法と似て、スマートカードに予め入場済みデータの格納エリアのアクセス権限を、W,R,D:投票所管理者、となるよう、PINを設定する必要があり、あまり現実的でない。
【0118】
しかしながら、上記(a)〜(c)の方式は、異なるドメイン間の通信を用いないので、本実施形態とは無関係に成立する。よって、本実施形態は、これら(a)〜(c)の方式のうち、何れの方式を用いる電子投票システムに適用してもよい。すなわち、本実施形態は、異なるドメイン間の通信に関するものなので、異なるドメイン間の通信以外の仕組みに関しては任意の仕組みの任意のシステムに適用することができる。
【0119】
(第3の実施形態)
次に、本発明の第3の実施形態に係る電子投票システムについて図7及び図12を用いて説明する。なお、本実施形態は、投票所ドメインA’が投票所IDにより指定された第2の実施形態とは異なり、投票者が任意の投票所ドメインA’〜A’の任意のPC端末TA1011’〜TA10nn’で投票可能な場合について述べる。
【0120】
任意の投票所で投票される場合、前述したステップST39〜ST40において、投票証とは別に投票権証が送信される必要がある。これは、例えば投票証と投票権証とを別々のポートで送信すればよい。
【0121】
ここで、ステップST40の結果、各収集GW40’〜GW40は、投票所GW20’〜GW20から投票証とは別に投票権証を受信すると、二重投票防止用の投票済みリストを生成する。ここで、投票済みリストは、前述同様のものであるが、投票証とは別に管理されるため、投票者の匿名性は維持される。
【0122】
各収集GW40’〜GW40は、投票証とは別に投票済みリストを開票所ゲートウェイGW50を介して開票サーバTB30’に送信する。
【0123】
開票サーバTB30’は、前述同様に投票証内の投票結果を集計する一方、各投票済みリストを統合し、この統合された投票済みリストを各収集GW40’〜GW40及び各投票所GW20’〜GW20へ送信する。
【0124】
各投票所GW20’〜GW20や各収集GW40’〜GW40は、ステップST39やST40で受信した投票権証に関し、この統合された投票済みリストに無い旨を確認することにより、投票者の二重投票を防止する。
【0125】
上述したように本実施形態によれば、投票所が任意の場合であっても、第2の実施形態と同様の効果を得ることができ、さらに、二重投票を防止できる。
【0126】
具体的には、開票サーバTB30’が投票済みリストを統合し、この統合した投票済みリストを各収集GW40’〜GW40及び各投票所GW20’〜GW20へ送信するので、投票者が異なる投票所で二重投票することを防止しつつ、任意の投票所での電子投票を実現させることができる。なお、同一の投票所での二重投票を防止する場合は、前述同様に、投票所GW20’,…,GW20’毎にローカルに管理した投票済みリストを用いればよい。
【0127】
なお、上記第2又は第3の実施形態は、投票がある期間にわたって行われる場合や、ある時間間隔毎に各GW間で用いる暗号アルゴリズムを変えたい場合に、セキュリティポリシーを変化させることで対応できる。
【0128】
例えば、本システムにおける暗号アルゴリズムを変化させたい場合、図13に示すように、セキュリティポリシーを変える指示を開票サーバTB30’から、開票所ゲートウェイGW50、各収集GW40’〜GW40、各投票所GW20’〜GW20へ出すことにより、そのセキュリティポリシーでなければ接続できない仕組みを作ることができる。
【0129】
これにより、本システムが何らかの攻撃を受けた際に、暗号アルゴリズムやセキュリティをかける層を変化させることができるので、被害を最小限に抑えることが期待できる。
【0130】
なお、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0131】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0132】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
【0133】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0134】
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0135】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0136】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0137】
なお、本願発明は、上記各実施形態に限定されるものでなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。また、各実施形態は可能な限り適宜組み合わせて実施してもよく、その場合、組み合わされた効果が得られる。さらに、上記各実施形態には種々の段階の発明が含まれており、開示される複数の構成用件における適宜な組み合わせにより種々の発明が抽出され得る。例えば実施形態に示される全構成要件から幾つかの構成要件が省略されることで発明が抽出された場合には、その抽出された発明を実施する場合には省略部分が周知慣用技術で適宜補われるものである。
【0138】
その他、本発明はその要旨を逸脱しない範囲で種々変形して実施できる。
【0139】
【発明の効果】
以上説明したように本発明によれば、オープンなネットワークを介した、異なるドメイン間での通信において、セキュリティポリシーを確認しあい、送信者から送信されたパケットの正当性を検証可能とすることで、不正なパケットの流入を防止することが可能となる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係る通信接続システムを含むネットワーク構成を示す模式図。
【図2】同実施形態における通信接続システムの構成を示す模式図。
【図3】同実施形態における認証結果署名を説明するための模式図。
【図4】同実施形態におけるセキュリティ情報を説明するための模式図。
【図5】同実施形態におけるポリシー情報を説明するための模式図。
【図6】同実施形態における動作を説明するためのシーケンス図。
【図7】本発明の第2の実施形態に係る電子投票システムの構成を示す模式図。
【図8】同実施形態における投票権証を説明するための模式図。
【図9】同実施形態における照合結果署名を説明するための模式図。
【図10】同実施形態における投票証を説明するための模式図。
【図11】同実施形態における投票権証の配布動作を説明するためのシーケンス図。
【図12】同実施形態における投票動作を説明するためのシーケンス図。
【図13】第2又は第3の実施形態における変形動作を説明するためのシーケンス図。
【符号の説明】
A,B…ドメイン
NW…ネットワーク
1,2…LAN
TA10〜TA10,TB30〜TB30,TA1011’〜TA101n’,…,TA10n1’〜TA10nn’…PC端末
11…メモリ部
12…センサ部
13…認識部
14…センサ装置
15,31…端末鍵メモリ部
16…セキュリティ情報生成部
17…ポリシー情報生成部
18,33…GW認証部
GW20,GW40…ゲートウェイ
21…GW鍵メモリ部
22…端末認証部
23…セキュリティポリシー生成部
24…交換部
32…ポリシー情報提供部
’〜An’…投票所ドメイン
B’…開票所ドメイン
GW20’〜GW20’…投票所ゲートウェイ
TB30’…開票サーバ
GW40’〜GW40’…収集ゲートウェイ
GW50…開票所ゲートウェイ

Claims (8)

  1. 互いに異なるドメインに属するエンティティ装置間で各々の中継装置とオープンなネットワークとを介してセキュア通信を接続するための通信接続システムであって、
    前記各中継装置は、
    自己の属するドメインのエンティティ装置から受けた、個人認証の認証方式及び認証精度を含む認証関連情報と、当該エンティティ装置が前記セキュア通信に用いるアプリケーションのセキュリティに関するセキュリティ情報とからセキュリティポリシーを作成するポリシー作成手段と、
    前記ポリシー作成手段により作成されたセキュリティポリシーを各中継装置間で交換するポリシー交換手段と、
    前記ポリシー交換手段により得られた相手のセキュリティポリシー内の認証関連情報とセキュリティ情報とに関し、自己のセキュリティポリシーに適合するか否かを各々検証するポリシー検証手段と、
    前記ポリシー検証手段による両者の検証結果が正当のとき、前記接続のための鍵交換を行なう鍵交換手段と、
    を備えたことを特徴とする通信接続システム。
  2. 第1ドメインの第1エンティティ装置に接続される一方、前記第1ドメインとは異なる第2ドメインの第2中継装置にネットワークを介して接続された第1中継装置に用いられ、前記第1エンティティ装置から前記第2ドメインへのセキュア通信を接続するための通信接続方法であって、
    前記第1エンティティ装置から送信された、個人認証の認証方式、認証精度及び個人認証結果に対するデジタル署名を含む認証結果署名と、前記セキュア通信に用いるアプリケーションのセキュリティに関するセキュリティ情報とを受信するステップと、
    前記第1エンティティ装置から受信した認証結果署名と前記セキュリティ情報とを含むセキュリティポリシーを作成するステップと、
    前記セキュア通信の接続要求を前記第2中継装置に送信するステップと、
    前記接続要求の送信により、前記第2中継装置から受信した第2ドメインのセキュリティポリシーを検証すると共に、前記作成したセキュリティポリシーを前記第2中継装置に送信するステップと、
    前記第2中継装置における検証完了により、前記第2中継装置に対して前記セキュア通信のための鍵交換を行なうステップと、
    前記鍵交換の完了により、前記第1エンティティ装置に通信可能を通知するステップと、
    を含んでいることを特徴とする通信接続方法。
  3. 第2ドメインの第2エンティティ装置に接続される一方、前記第2ドメインとは異なる第1ドメインの第1中継装置にネットワークを介して接続された第2中継装置に用いられ、前記第1ドメインから前記第2エンティティ装置へのセキュア通信を接続するための通信接続方法であって、
    前記第1中継装置から前記セキュア通信の接続要求を受信するステップと、
    前記接続要求に基づいて、前記第2エンティティ装置に対し、少なくとも個人認証の認証方式及び認証精度を含む認証関連情報と、前記セキュア通信に用いるアプリケーションのセキュリティに関するセキュリティ情報とを要求するステップと、
    この要求により、前記第2エンティティ装置から受信した認証関連情報と前記セキュリティ情報とを含むセキュリティポリシーを作成するステップと、
    前記作成したセキュリティポリシーを前記第1中継装置に送信するステップと、
    前記第1中継装置から受信した前記第1エンティティ装置のセキュリティポリシーに関し、前記第2エンティティ装置のセキュリティポリシーに含まれる認証関連情報及びセキュリティ情報に適合するか否かを検証するステップと、
    前記作成したセキュリティポリシーの送信が完了し、且つ前記検証結果が正当のとき、前記第1中継装置に対して前記セキュア通信のための鍵交換に応じるステップと、
    を含んでいることを特徴とする通信接続方法。
  4. 第2ドメインの第2エンティティ装置に対し、前記第2ドメインの第2中継装置、オープンなネットワーク及び前記第2ドメインとは異なる第1ドメインの第1中継装置を介して接続された第1エンティティ装置に用いられ、前記第2エンティティ装置へのセキュア通信を接続するための通信接続用プログラムであって、
    前記第1エンティティ装置のコンピュータに、
    前記セキュア通信の接続要求を前記第1中継装置に送信する機能、
    前記セキュア通信に用いるアプリケーションのセキュリティに関するセキュリティ情報を前記第1中継装置に送信する機能、
    個人認証の認証方式、認証精度及び個人認証結果に対するデジタル署名を含む認証結果署名を前記第1中継装置に送信する機能、
    前記接続要求、前記セキュリティ情報及び前記認証結果署名の送信完了に基づいて、前記第1中継装置から通信可能の通知を受信する機能、
    前記通信可能の通知に基づいて、前記アプリケーションを実行する機能、
    を実現させるための通信接続用プログラム。
  5. 第1ドメインの第1エンティティ装置に接続される一方、前記第1ドメインとは異なる第2ドメインの第2中継装置にネットワークを介して接続された第1中継装置に用いられ、前記第1エンティティ装置から前記第2ドメインへのセキュア通信を接続するための通信接続用プログラムであって、
    前記第1中継装置のコンピュータに、
    前記第1エンティティ装置から送信された、個人認証の認証方式、認証精度及び個人認証結果に対するデジタル署名を含む認証結果署名と、前記セキュア通信に用いるアプリケーションのセキュリティに関するセキュリティ情報とを受信する機能、
    前記第1エンティティ装置から受信した認証結果署名と前記セキュリティ情報とを含むセキュリティポリシーを作成する機能、
    前記セキュア通信の接続要求を前記第2中継装置に送信するステップと、
    前記接続要求の送信により、前記第2中継装置から受信した第2ドメインのセキュリティポリシーを検証すると共に、前記作成したセキュリティポリシーを前記第2中継装置に送信する機能、
    前記第2中継装置における検証完了により、前記第2中継装置に対して前記セキュア通信のための鍵交換を行なう機能、
    前記鍵交換の完了により、前記第1エンティティ装置に通信可能を通知する機能、
    を実現させるための通信接続用プログラム。
  6. 第2ドメインの第2エンティティ装置に接続される一方、前記第2ドメインとは異なる第1ドメインの第1中継装置にネットワークを介して接続された第2中継装置に用いられ、前記第1ドメインから前記第2エンティティ装置へのセキュア通信を接続するための通信接続用プログラムであって、
    前記第2中継装置のコンピュータに、
    前記第1中継装置から前記セキュア通信の接続要求を受信する機能、
    前記接続要求に基づいて、前記第2エンティティ装置に対し、少なくとも個人認証の認証方式及び認証精度を含む認証関連情報と、前記セキュア通信に用いるアプリケーションのセキュリティに関するセキュリティ情報とを要求する機能、
    この要求により、前記第2エンティティ装置から受信した認証関連情報と前記セキュリティ情報とを含むセキュリティポリシーを作成する機能、
    前記作成したセキュリティポリシーを前記第1中継装置に送信する機能、
    前記第1中継装置から受信した前記第1エンティティ装置のセキュリティポリシーに関し、前記第2エンティティ装置のセキュリティポリシーに含まれる認証関連情報及びセキュリティ情報に適合するか否かを検証する機能、
    前記作成したセキュリティポリシーの送信が完了し、且つ前記検証結果が正当のとき、前記第1中継装置に対して前記セキュア通信のための鍵交換に応じる機能、
    を実現させるための通信接続用プログラム。
  7. 投票所ドメインに属する投票端末及び投票所中継装置と、オープンなネットワークと、開票所ドメインに属する収集中継装置及び開票装置とからなり、前記端末装置から前記投票所中継装置、前記ネットワーク及び前記収集中継装置を介して前記開票装置にセキュア通信を接続可能な電子投票システムであって、
    前記投票所中継装置は、
    前記投票端末から受けた、個人認証の認証方式及び認証精度を含む認証関連情報と、当該投票端末が前記セキュア通信に用いるアプリケーションのセキュリティに関するセキュリティ情報とからセキュリティポリシーを作成する第1ポリシー作成手段と、
    前記第1ポリシー作成手段により作成されたセキュリティポリシーを前記収集中継装置との間で交換する第1ポリシー交換手段と、
    前記第1ポリシー交換手段により得られた相手のセキュリティポリシー内の認証関連情報とセキュリティ情報とに関し、自己のセキュリティポリシーに適合するか否かを各々検証する第1ポリシー検証手段と、
    前記第1ポリシー検証手段による両者の検証結果が正当のとき、前記接続のための鍵交換を行なう第1鍵交換手段とを備え、
    前記収集中継装置は、
    前記開票装置から受けた、個人認証の認証方式及び認証精度を含む認証関連情報と、当該開票装置が前記セキュア通信に用いるアプリケーションのセキュリティに関するセキュリティ情報とからセキュリティポリシーを作成する第2ポリシー作成手段と、
    前記第2ポリシー作成手段により作成されたセキュリティポリシーを前記投票所中継装置との間で交換する第2ポリシー交換手段と、
    前記第2ポリシー交換手段により得られた相手のセキュリティポリシー内の認証関連情報とセキュリティ情報とに関し、自己のセキュリティポリシーに適合するか否かを各々検証する第2ポリシー検証手段と、
    前記第2ポリシー検証手段による両者の検証結果が正当のとき、前記接続のための鍵交換を行なう第2鍵交換手段と、
    を備えたことを特徴とする電子投票システム。
  8. 請求項7に記載の電子投票システムにおいて、
    前記端末装置は、
    投票者ID及び選挙管理用デジタル署名を含む投票権証を前記投票所中継装置に送信し、この投票権証が真である旨が前記投票所中継装置により検証されると、投票結果を含む投票証を前記投票所中継装置に送信し、
    前記投票所中継装置は、
    前記端末装置から受けた投票権証のデジタル署名を検証し、この検証結果が真であり、且つ前記投票権証内の投票者IDが予め保持する投票済みリストに無いとき、この投票済みリストに前記投票者IDを含めると共に、検証結果を前記端末装置に送信することを特徴とする電子投票システム。
JP2002019029A 2002-01-28 2002-01-28 通信接続システム、方法、プログラム及び電子投票システム Expired - Fee Related JP4047592B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002019029A JP4047592B2 (ja) 2002-01-28 2002-01-28 通信接続システム、方法、プログラム及び電子投票システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002019029A JP4047592B2 (ja) 2002-01-28 2002-01-28 通信接続システム、方法、プログラム及び電子投票システム

Publications (2)

Publication Number Publication Date
JP2003224554A JP2003224554A (ja) 2003-08-08
JP4047592B2 true JP4047592B2 (ja) 2008-02-13

Family

ID=27743102

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002019029A Expired - Fee Related JP4047592B2 (ja) 2002-01-28 2002-01-28 通信接続システム、方法、プログラム及び電子投票システム

Country Status (1)

Country Link
JP (1) JP4047592B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0329502D0 (en) * 2003-12-19 2004-01-28 Nokia Corp Control decisions in a communication system
US7877605B2 (en) * 2004-02-06 2011-01-25 Fujitsu Limited Opinion registering application for a universal pervasive transaction framework
WO2007023756A1 (ja) * 2005-08-24 2007-03-01 Nec Corporation 本人認証システム、ユーザ端末、サービス事業者装置、信頼性保証サーバ、これらの動作方法と動作プログラム
CN101207613B (zh) * 2006-12-21 2012-01-04 松下电器产业株式会社 跨网域信息通信的认证方法、系统及其装置
JP4820342B2 (ja) * 2007-08-09 2011-11-24 日本電信電話株式会社 ユーザ認証方法、ユーザ認証装置、プログラム及び記録媒体
US9590967B2 (en) * 2011-09-30 2017-03-07 Intel Corporation Application authentication policy for a plurality of computing devices
JP6367855B2 (ja) * 2016-03-08 2018-08-01 インテル・コーポレーション 複数のコンピューティングデバイスのためのアプリケーション認証ポリシー
EP3756125B1 (en) * 2018-02-21 2024-03-20 Mastercard International Incorporated Systems and methods for managing digital identities associated with users

Also Published As

Publication number Publication date
JP2003224554A (ja) 2003-08-08

Similar Documents

Publication Publication Date Title
US10829088B2 (en) Identity management for implementing vehicle access and operation management
RU2434340C2 (ru) Инфраструктура верификации биометрических учетных данных
JP6494004B1 (ja) 個人情報管理システム、サービス提供システム、方法およびプログラム
AU2004254771B2 (en) User authentication system
JP4776245B2 (ja) ユニバーサルパーベイシブトランザクションフレームワークのためのオピニオン登録アプリケーション
CN100447798C (zh) 使用便携式计算设备作为智能密钥设备的方法和系统
US6148404A (en) Authentication system using authentication information valid one-time
KR100848314B1 (ko) 무선 단말기를 이용한 전자투표 장치 및 방법
JP4668551B2 (ja) 個人認証デバイスとこのシステムおよび方法
US8499147B2 (en) Account management system, root-account management apparatus, derived-account management apparatus, and program
CN101741860B (zh) 一种计算机远程安全控制方法
JP2005532736A (ja) 生物測定学的私設キーインフラストラクチャ
JP2003143136A (ja) 本人確認システム及び装置
US20050021954A1 (en) Personal authentication device and system and method thereof
JP2007110377A (ja) ネットワークシステム
CA2299294A1 (en) Secure transaction system
CN101262342A (zh) 分布式授权与验证方法、装置及系统
CN109962890A (zh) 一种区块链的认证服务装置及节点准入、用户认证方法
JPH118619A (ja) 電子証明書発行方法及びシステム
JP2001186122A (ja) 認証システム及び認証方法
CN113781689A (zh) 一种基于区块链的门禁系统
JP4047592B2 (ja) 通信接続システム、方法、プログラム及び電子投票システム
JP2005149341A (ja) 認証方法および装置、サービス提供方法および装置、情報入力装置、管理装置、認証保証装置、並びにプログラム
JP2001331646A (ja) 指紋照合を利用した金融取引システムおよび金融取引方法
JP2003067532A (ja) 電子投票システム及び電子投票方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071122

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101130

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4047592

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101130

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111130

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111130

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121130

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131130

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees