JP4167540B2 - Disclosure identifier generation / restoration method, rewrite method, invalidation method, identity confirmation method and apparatus thereof - Google Patents

Disclosure identifier generation / restoration method, rewrite method, invalidation method, identity confirmation method and apparatus thereof Download PDF

Info

Publication number
JP4167540B2
JP4167540B2 JP2003137778A JP2003137778A JP4167540B2 JP 4167540 B2 JP4167540 B2 JP 4167540B2 JP 2003137778 A JP2003137778 A JP 2003137778A JP 2003137778 A JP2003137778 A JP 2003137778A JP 4167540 B2 JP4167540 B2 JP 4167540B2
Authority
JP
Japan
Prior art keywords
identifier
disclosure
user
disclosure identifier
generating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003137778A
Other languages
Japanese (ja)
Other versions
JP2004341830A (en
Inventor
剛 安部
正久 川島
克巳 高橋
俊一 市川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003137778A priority Critical patent/JP4167540B2/en
Publication of JP2004341830A publication Critical patent/JP2004341830A/en
Application granted granted Critical
Publication of JP4167540B2 publication Critical patent/JP4167540B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子に代えて、当該利用者識別子を使用したい第三者に開示するための開示用識別子を生成し、復元し、書き換え、無効化し、同一性を確認する技術に関する。
【0002】
【従来の技術】
従来より、利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子が用いられていた。
【0003】
例えば、電気通信事業者が運営する公衆電話網に対して電話機より相手の電話番号を発信すると当該相手との通話が可能であり、また、インターネットサービスプロバイダが運営するサーバ等に対してコンピュータ等の端末装置より相手のメールアドレスを記載した電子メールを発信すると当該電子メールを当該相手の端末装置へ送ることが可能であり、さらにまた、個人情報を登録したデータベースを備えた情報提供システムに対して相手のIDを入力すると当該相手の個人情報へのアクセスが可能であった。
【0004】
ところで、前述した利用者識別子は、利用者が懸賞に応募したり、通信販売を申し込んだりする際等に連絡先として通知することがあり、このような利用者自身の行為によって開示した利用者識別子が、さらに利用者の許諾のないまま第三者に不正に漏洩してしまうことがある。
【0005】
利用者識別子が一旦、このような第三者に知られてしまうと、セールスや勧誘を目的とした迷惑電話や迷惑メールが頻繁に来るようになったり、個人情報が流出したりするなど、利用者の想定外の用途に使用されてしまうという問題があった。
【0006】
このような問題を解決する方法として、発信者識別子及び着信者識別子を対応付けて生成し、通信サービス提供者が検証可能なアクセスチケットを提示して発信者が通信を要求した場合のみ、着信者との通信を可能とする方法があった(特許文献1参照)。
【0007】
【特許文献1】
特開2000−201169号公報
【0008】
【発明が解決しようとする課題】
しかし、前述した従来の方法では、迷惑な通信等の発生を防止するには、アクセスチケットを発行し得る者、即ち提供サービスを設定し得る者を限定しなければならないという問題があった。また、従来の方法では、利用者識別子の外にアクセスチケットが必要となり、既存のECサイト等にメールアドレスを登録するような場面では利用することが困難という問題があった。
【0009】
本発明の目的は、このような従来の問題を解決し、利用者識別子を知る者であれば誰でも提供サービスを設定でき、かつ通常の利用者識別子と同様に使用でき、しかも利用者識別子が当該利用者の想定外の用途に使用されることを防ぐ技術を実現することにある。
【0010】
【課題を解決するための手段】
本発明では、一意に識別可能な識別子を所持する利用者と、当該識別子を使用したい第三者(以下、使用者)と、利用者識別子を指定したサービス要求を受信して当該利用者に関するサービスを提供するサービス提供システムとからなるシステムにおいて、利用者識別子Rを用いて使用者に開示するための開示用識別子Tを生成する装置(開示用識別子生成装置)を設けるとともに、サービス要求とともに用いられた前記開示用識別子Tから利用者識別子Rを復元する装置(開示用識別子復元装置)を設けることにより、課題を解決する。
【0011】
開示用識別子生成装置は、利用者の端末装置から送信される利用者識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子の生成要求を受信する手段と、前記利用者識別子Rの少なくとも一部を付加情報Cとともに開示用識別子復元装置でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する手段(開示用識別子生成手段)とを少なくとも具備する。
【0012】
また、開示用識別子復元装置は、第三者の端末装置から直接もしくはサービス提供システムを通じて送信される前記開示用識別子Tを指定したサービス要求を前記情報C0とともに受信する手段(サービス要求受信手段)と、前記開示用識別子Tを復号して利用者識別子R及び付加情報Cを取得する手段(復元手段)と、前記付加情報C及び情報C0に基づき、サービス要求の処理方法を選択する手段(サービス要求処理判定手段)とを少なくとも具備する。
【0013】
ここで、開示用識別子復元装置は、サービス提供システムと一体化されていても良い。図1に開示用識別子復元装置としてサービス提供システムと一体化された場合の本発明の基本構成を示す。
【0014】
図1において、1は利用者の端末装置(利用者端末)、2は使用者の端末装置(使用者端末)、3は開示用識別子生成装置、4はサービス提供システム(開示用識別子復元装置)であり、これらはネットワーク(図示せず)を介して通信可能に接続されている。
【0015】
開示用識別子生成装置3は、前記開示用識別子生成要求受信手段31と、前記開示用識別子生成手段32と、前記開示用識別子Tを利用者の端末装置1へ通知する開示用識別子通知手段33とを備え、サービス提供システム4は、前記サービス要求受信手段41と、前記復元手段42と、前記サービス要求処理判定手段43と、該サービス要求処理判定手段43で選択されたサービス要求の処理方法に従うサービスを実行するサービス実行手段44とを備えている。
【0016】
なお、サービス提供システム4が提供するサービスとは、利用者への電話接続や電子メール配送などの通信サービス、利用者に関する情報に対する検索サービスなどである。
【0017】
前記構成において、開示用識別子生成装置3の開示用識別子生成要求受信手段31は、利用者端末1から送信される当該利用者の識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子の生成要求を受信する。この利用者識別子R及び付加情報Cを指定した生成要求の送信については、利用者が開示用識別子生成装置3に自発的に送信する場合、使用者側の要求が直接又は開示用識別子生成装置3を通じて利用者に伝えられ、これを利用者が許諾するような形で送信する場合などが考えられる。
【0018】
ここで、第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0(例えば、サービス要求時に通常、入力を求められる使用者の名称や識別子、サービス要求時の日時など)に対する条件を含む付加情報Cとしては、使用者(第三者)又は使用者端末を限定する情報や開示用識別子Tの使用可能期間を限定する情報が考えられ、これらを用いることにより、開示用識別子Tの利用条件を限定することができる。使用者又は使用者端末を限定する情報の例として、使用者又は使用者端末の識別子やこの識別子から計算されるハッシュ値がある。また、使用可能期間を限定する情報の例として、開示用識別子Tの有効期限、有効時間帯(夜間禁止など)などがある。
【0019】
利用者識別子R及び付加情報Cを受信すると、開示用識別子生成装置3の開示用識別子生成手段32は前記利用者識別子Rの少なくとも一部を付加情報Cとともにサービス提供システム4でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成し、これを開示用識別子通知手段33が利用者端末1へ通知(開示)する。この後、利用者端末1から使用者端末2へ開示用識別子Tが通知(開示)されることになるが、その際の具体的な方法としては、利用者が使用者へ直接伝えるものであっても良く、また、電話、FAX、郵便等によるものであっても良く、さらには仲介業者などを通じて伝えるものであっても良い。
【0020】
一方、前記開示用識別子Tを受け取った使用者端末2は、これを指定してサービス提供システム4にサービスを要求するが、この時、サービス提供システム4のサービス要求受信手段41には前記開示用識別子Tとともに情報C0が受信される。サービス提供システム4の復元手段42は当該開示用識別子Tを復号して利用者識別子R及び付加情報Cを取得する。
【0021】
前記付加情報C及び情報C0はサービス提供システム4のサービス要求処理判定手段43に送られ、該サービス要求処理判定手段43では、これらに基づいてサービス要求の処理方法を選択、例えば要求されたサービスを提供するか否かを選択する。サービス提供システム4のサービス実行手段44は、サービス要求処理判定手段43における選択結果に基づき、例えばサービスを提供する場合は前記利用者識別子Rを用いて当該サービスを提供し、また、サービスを拒絶する場合は何もしない。
【0022】
開示用識別子Tを生成する方法の一例として、受信者識別子Rの少なくとも一部と付加情報Cとを連結してできる情報列を開示用識別子復元装置、ここではサービス提供システム4の公開する公開鍵で暗号化する方法が考えられる。この場合、サービス提供システム4は前記公開鍵に対応する秘密鍵で開示用識別子を復号し、利用者識別子R及び付加情報Cを取得する。
【0023】
また、公開鍵の代わりに開示用識別子生成装置3及び開示用識別子復元装置、ここではサービス提供システム4で共有している共通鍵を用いて暗号化・復号を行っても良く、さらにまた、暗号化の前に利用者識別子R又は所定の付加情報Cのいずれか一方あるいは両方を圧縮符号化し、復号の後に伸張復号を行うようにしても良い。
【0024】
図2は開示用識別子Tの生成過程の一例を示すもので、ここでは利用者識別子Rが利用者のメールアドレスであり、付加情報Cが使用者(開示先)端末及び使用可能期間を限定する情報を含む場合について説明する。
【0025】
ここで、利用者のメールアドレスRをtanaka@ocnとし、使用者端末を限定する情報として使用者端末のメールアドレスS(=suzuki@ntt)から計算されるハッシュ値(Sa=hash(suzuki@ntt))を用い、使用可能期間を限定する情報として有効期限2003年4月30日(Tp=2003.04.30)を用いて暗号化、例えば
crypt(tanaka@ocn,Sa=hash(suzuki@ntt),Tp=2003.04.30)
として得られた結果をテキストデータにエンコードすると、例えば
h4Bsc6TuPGeFSW/fl+p323iNVii+LQG4
となる。これにメール中継サーバとしてのサービス提供システムのドメイン名、例えば”adhoc−mail.ne.jp”を付加することにより、
h4Bsc6TuPGeFSW/fl+p323iNVii+LQG4@adhoc−mail.ne.jp
が得られる。
【0026】
ここで、付加情報C及び情報C0を利用者端末へ送り、利用者端末側でサービス要求の処理方法を選択するように構成することもできる。
【0027】
図3はこのような開示用識別子生成・復元方法を実現するシステムの例を示すもので、利用者端末1は付加情報C及び情報C0に基づき、サービス要求の処理方法を選択するサービス要求処理判定手段11を備え、また、サービス提供システム4は付加情報C及び情報C0を利用者端末1へ通知する情報通知手段45を備えている。なお、その他の構成は図1の場合と同様である。
【0028】
前記構成において、利用者端末1からの要求に従い開示用識別子生成装置3にて開示用識別子Tが生成されて通知され、これが利用者端末1から使用者端末2に開示され、使用者端末2が当該開示用識別子Tを指定してサービス提供システム4にサービスを要求するまでの動作は図1の場合と同様である。
【0029】
使用者端末2が前記開示用識別子Tを指定してサービス提供システム4にサービスを要求すると、サービス提供システム4のサービス要求受信手段41には前記開示用識別子Tとともに情報C0が受信される。サービス提供システム4の復元手段42は当該開示用識別子Tを復号して利用者識別子R及び付加情報Cを取得し、サービス提供システム4の情報通知手段45は付加情報C及び情報C0を利用者端末1へ通知する。
【0030】
利用者端末1のサービス要求処理判定手段11は、前記付加情報C及び情報C0を受信すると、これらに基づいてサービス要求の処理方法を選択、例えば要求されたサービスを提供するか否かを選択し、その選択結果をサービス提供システム4へ返送する。なお、この際の選択は自動的に行うだけでなく、図示しない入力手段からの利用者自身の入力を反映させるようにしても良い。
【0031】
サービス提供システム4のサービス実行手段44は、利用者端末2のサービス要求処理判定手段11における選択結果に基づき、例えばサービスを提供する場合は前記利用者識別子Rを用いて当該サービスを提供し、また、サービスを拒絶する場合は何もしない。
【0032】
また、付加情報として開示用識別子Tの開示に関わる付加情報Cs、例えば開示用識別子Tの開示先(使用者)の識別子を含めれば、当該開示用識別子Tを宛先とした迷惑な電話やメール、開示用識別子TをIDとした情報検索要求を受信した場合に、この開示用識別子Tが誰を経由して漏洩したかを認識できるため、利用者識別子の漏洩を抑止できる。
【0033】
図4はこのような開示用識別子生成・復元方法を実現するシステムの例を示すもので、利用者端末1はサービス提供システム4に対して付加情報Csを要求する情報要求手段12を備え、また、サービス提供システム4は利用者端末1からの要求に従い前記付加情報Csを利用者端末1へ提供する情報提供手段46を備えている。なお、その他の構成は図1の場合と同様である。
【0034】
前記構成において、利用者端末1からの要求に従い開示用識別子生成装置3にて開示用識別子Tが生成されて通知され、これが利用者端末1から使用者端末2に開示され、使用者端末2が当該開示用識別子Tを指定してサービス提供システム4にサービスを要求するまでの動作は、付加情報Cが付加情報Csに代わった点を除いて図1の場合と同様である。
【0035】
使用者端末2が前記開示用識別子Tを指定してサービス提供システム4にサービスを要求すると、サービス提供システム4のサービス要求受信手段41には前記開示用識別子Tが受信される。サービス提供システム4の復元手段42は当該開示用識別子Tを復号して利用者識別子R及び付加情報Csを取得し、これらを情報提供手段46へ送るとともに、利用者識別子Rをサービス提供システム4のサービス実行手段44に送ってサービスを提供させる。
【0036】
また、サービス提供システム4の情報提供手段46は、前記利用者識別子R及び付加情報Csを、サービス実行手段44にて提供したサービスを特定できる情報(例えば、提供サービスがメールの転送であればメール中の送信日時など)Isとともにサービス提供履歴の一項目として一定期間保持する。
【0037】
ここで、前記提供されたサービスが利用者にとって好ましくないサービスであった場合、利用者端末1の情報要求手段12は利用者の操作に基づき、サービス提供システム4に対して利用者識別子R及び当該提供サービスに関わる情報(例えば、受信したメール中の送信日時など)Is’を指定して付加情報Csを要求する。
【0038】
サービス提供システム4の情報提供手段46は前記要求を受信すると、利用者識別子R及び情報Is’をキーとして前記サービス提供履歴を検索し、該当する項目があればその中の付加情報Csを利用者端末1へ提供する。利用者端末1では、この付加情報Csから前記好ましくないサービスに際して使用された開示用識別子Tが誰に対して開示したものであるかを特定でき、その後の適切な処置、例えば当該開示用識別子Tの無効化処理(後述する)を行う、該当する開示先の第三者との取引を停止する、などを行うことができる。
【0039】
ところで、一旦、開示した開示用識別子Tについて付加情報Cの少なくとも一部を変更したい、例えば有効期限を延長したい場合等がある。
【0040】
本発明では、開示用識別子の書換を要求する者の装置からの要求に応じて付加情報Cを書き換える開示用識別子書換装置を設けることにより、前記課題を解決する。
【0041】
図5は開示用識別子書換装置5の基本構成を示すもので、書換要求受信手段51と、復元手段52と、開示用識別子生成手段53と、開示用識別子通知手段54とを備えている。
【0042】
書換要求受信手段51は、開示用識別子の書換を要求する者の装置から送信される書換対象の開示用識別子T及び書き換え後の付加情報C2を指定した開示用識別子の書き換え要求を受け付ける。復元手段52は、前記開示用識別子Tを復号して利用者識別子R及び付加情報Cを取得する。
【0043】
開示用識別子書換手段53は、前記取得した利用者識別子Rを前記付加情報C2とともに開示用識別子復元装置でのみ復号可能に暗号化して新たな開示用識別子T’を生成する。開示用識別子通知手段54は、開示用識別子の書換を要求する者の装置へ前記新たな開示用識別子T’を通知する。
【0044】
なお、ここでは書換を要求する者の装置として利用者端末1を用いた。
【0045】
前記構成において、利用者端末1は書換装置5に対して、開示用識別子の書き換えを、利用者識別子R、書換対象の開示用識別子T及び書き換え後の付加情報C2を指定して要求する。書換装置5において、書換要求受信手段51が前記要求を受信すると、復元手段52は前記開示用識別子Tを復号して利用者識別子R及び付加情報Cを取得する。
【0046】
次に、開示用識別子書換手段53は前記取得した利用者識別子Rを前記付加情報C2とともに開示用識別子復元装置でのみ復号可能に暗号化、例えば前記同様にサービス提供システム4の公開鍵で暗号化して新たな開示用識別子T’を生成する。
【0047】
開示用識別子通知手段54は新たな開示用識別子T’が生成された場合、これを利用者端末1へ通知する。その後、利用者端末1は前述した方法により、新たな開示用識別子T’を第三者の端末装置(使用者端末)へ通知(開示)する。
【0048】
この際、書換装置5に、開示用識別子の書換を要求する者がその資格を有するか否かを判断し、資格がない場合は当該要求を棄却する手段(認証手段)55を設けておけば、開示用識別子Tの付加情報Cが利用者にとって不利な内容に書き換えられることを防ぐことができる。
【0049】
資格を有するか否かを判断する方法としては、例えば要求する際の指定項目として利用者識別子R0(なお、開示用識別子Tから復元した利用者識別子Rと区別する意味で「0」を付した。)を含めておき、これと前記開示用識別子Tから取得した利用者識別子Rとを比較し、一致した場合のみ書換を行うようにすれば良い。なお、一致しない場合は処理を終了し、必要に応じて書換を要求した者の装置に対して書換拒否を応答する。
【0050】
また、開示用識別子を付与した使用者が利用者にとって迷惑な行為を行った場合に開示用識別子の使用を差し止めたり、新たな開示用識別子を開示した場合に古い開示用識別子の使用を差し止めたりする等、一旦、開示した開示用識別子Tを無効化したい場合がある。
【0051】
本発明では、開示用識別子の無効化を要求する者の装置からの要求に応じて開示用識別子Tを無効化する開示用識別子無効化装置及び有効な開示用識別子Tを登録した有効識別子リストデータベースを設けることにより、前記課題を解決する。
【0052】
図6は開示用識別子無効化装置6の基本構成を有効識別子リストデータベース(DB)7とともに示すもので、開示用識別子無効化装置6は無効化要求受信手段61と、復元手段62と、無効識別子削除手段63とを備えている。
【0053】
無効化要求受信手段61は、開示用識別子の無効化を要求する者の装置から送信される利用者識別子R0及び無効化対象の開示用識別子Tを指定した開示用識別子Tの無効化要求を受け付ける。復元手段62は、前記開示用識別子Tを復号して利用者識別子Rを取得する。無効識別子削除手段63は、前記指定された利用者識別子R0と前記取得した利用者識別子Rとを比較し、一致した場合、有効識別子リストDB7から前記開示用識別子Tを削除する。
【0054】
なお、有効識別子リストDB7は、前述した開示用識別子生成装置又は開示用識別子書換装置が生成又は書き換えた全ての開示用識別子Tを登録することにより作成されているものとする。また、ここでは無効化を要求する者の装置として利用者端末1を用いた。
【0055】
前記構成において、利用者端末1は無効化装置6に対して、開示用識別子の無効化を、利用者識別子R0及び無効化対象の開示用識別子Tを指定して要求する。無効化装置6において、無効化要求受信手段61が前記要求を受信すると、復元手段62は前記開示用識別子Tを復号して利用者識別子Rを取得する。
【0056】
次に、無効識別子削除手段63は前記取得した利用者識別子Rと指定された利用者識別子R0とを比較し、一致するか否かを判定する。一致した場合、有効識別子リストDB7から前記開示用識別子Tを削除する。なお、識別子R0及びRが一致しない場合は処理を終了し、必要に応じて無効化拒否を無効化を要求した者の装置に対して応答する。
【0057】
また、有効識別子リストデータベースの代わりに無効な開示用識別子Tを登録した無効識別子リストデータベースとこれに対応した開示用識別子無効化装置を用いても同様に実現できる。
【0058】
図7は無効識別子リストデータベース(DB)8とともにこれに対応した開示用識別子書換装置6の基本構成を示すもので、開示用識別子無効化装置6は無効化要求受信手段61と、復元手段62と、無効識別子登録手段64とを備えている。
【0059】
無効化要求受信手段61は、開示用識別子の無効化を要求する者の装置から送信される利用者識別子R0及び無効化対象の開示用識別子Tを指定した開示用識別子Tの無効化要求を受け付ける。復元手段62は、前記開示用識別子Tを復号して利用者識別子Rを取得する。無効識別子登録手段64は、前記指定された利用者識別子R0と前記取得した利用者識別子Rとを比較し、一致した場合、無効識別子リストDB8に前記開示用識別子Tを登録する。
【0060】
なお、ここでは無効化を要求する者の装置として利用者端末1を用いた。
【0061】
前記構成において、利用者端末1は無効化装置60に対して、開示用識別子の無効化を、利用者識別子R0及び無効化対象の開示用識別子Tを指定して要求する。無効化装置60において、無効化要求受信手段61が前記要求を受信すると、復元手段62は前記開示用識別子Tを復号して利用者識別子Rを取得する。
【0062】
次に、無効識別子登録手段64は前記指定された利用者識別子R0と前記取得した利用者識別子Rとを比較し、一致した場合、無効識別子リストDB8に前記開示用識別子Tを登録する。なお、識別子R0及びRが一致しない場合は処理を終了し、必要に応じて無効化拒否を無効化を要求した者の装置に対して応答する。
【0063】
ここで、前述した有効識別子リストDBや無効識別子リストDBを生かすためには、無効な開示用識別子によるサービス要求を排除するための仕組みが必要になる。
【0064】
本発明では、サービス要求を受信した際、前記有効識別子リストDB又は無効識別子リストDBを用いて開示用識別子が有効か無効かを判別する機能を備えた開示用識別子復元装置を設けることにより、この課題を解決する。
【0065】
図8はこのような機能を備えたサービス提供システムと一体化された開示用識別子復元装置を含む本発明の基本構成を示すもので、サービス提供システム4は、開示用識別子Tを指定したサービス要求を受信した際、有効識別子リストDB7又は無効識別子リストDB8を検索し、前記受信した開示用識別子Tが有効識別子リストDB7に登録されている場合又は無効識別子リストDB8に登録されていない場合のみ、サービス要求の受付を可能と判定する有効性判定手段47を備えている。なお、その他の構成は図1の場合と同様である。
【0066】
前記構成において、利用者端末1からの要求に従い開示用識別子生成装置3にて開示用識別子Tが生成されて通知され、これが利用者端末1から使用者端末2に開示され、使用者端末2が当該開示用識別子Tを指定してサービス提供システム4にサービスを要求するまでの動作は図1の場合と同様である。
【0067】
使用者端末2が前記開示用識別子Tを指定してサービス提供システム4にサービスを要求すると、サービス提供システム4のサービス要求受信手段41には前記開示用識別子Tとともに情報C0が受信される。
【0068】
サービス提供システム4のサービス要求受信手段41は、使用者端末2から開示用識別子Tを指定したサービス要求を情報C0とともに受信すると、当該開示用識別子Tを有効性判定手段47へ送る。
【0069】
サービス提供システム4の有効性判定手段47は前記開示用識別子Tをキーとして有効識別子リストDB7又は無効識別子リストDB8を検索し、該開示用識別子Tが有効識別子リストDB7に登録されている場合又は無効識別子リストDB8に登録されていない場合はサービス要求受付可の判定結果をサービス要求受信手段41へ返し、以後の処理を続行させる。また、開示用識別子Tが有効識別子リストDB7に登録されていない場合又は無効識別子リストDB8に登録されている場合はサービス要求受付不可の判定結果をサービス要求受信手段41へ返し、処理を終了させ、また、必要に応じてサービス拒否を使用者端末2に対して応答する。
【0070】
なお、図5では有効識別子リストDB7及び無効識別子リストDB8の両方を表しているが、実際にはいずれか一方のみで良い。また、ここでは図1のシステムに適用した例を示したが、図3、図4のシステムにも同様に適用可能である。
【0071】
また、前述した有効識別子リストDB7や無効識別子リストDB8は、そのままでは生成・開示された開示用識別子Tの増加や無効化された開示用識別子Tの増加に伴い、肥大化してしまうという問題がある。
【0072】
本発明では、開示用識別子Tの付加情報Cに有効期限が含まれる場合、期限切れの開示用識別子Tをリストから削除する開示用識別子管理装置を設けることにより、この課題を解決する。
【0073】
図9は開示用識別子管理装置9の基本構成を示すもので、識別子読出手段91と、復元手段92と、期限切れ識別子削除手段93とを備えている。
【0074】
識別子読出手段91は、有効識別子リストデータベース7又は無効識別子リストデータベース8に登録された開示用識別子Tを定期的に順次読み出す。復元手段92は、前記開示用識別子Tを復号して付加情報Cを取得する。期限切れ識別子削除手段93は、前記取得した付加情報C中の有効期限とその時点の日時とを比較し、有効期限を過ぎている開示用識別子Tを前記リスト7又は8から削除する。
【0075】
前記構成において、管理装置9において、識別子読出手段91は、定期的に有効識別子リストDB7又は無効識別子リストDB8中の開示用識別子Tを順次読み出して復元手段92へ送り、復元手段92はこれを前述した如く復号して付加情報Cを取得する。期限切れ識別子削除手段93は、前記取得した付加情報C中に有効期限が含まれているか否かを調べ、含まれていればその日時の時刻と比較し、有効期限を過ぎている場合は有効識別子リストDB7又は無効識別子リストDB8から削除する。なお、有効期限を過ぎていない場合及び付加情報C中に有効期限が含まれていない場合はそのままとする。
【0076】
また、前述したように、付加情報が書き換えられた新たな開示用識別子が開示された場合等、使用者側に同一の利用者を開示元とする2つ以上の開示用識別子T1,T2,……が存在する時があり、当該使用者側ではこれらの開示用識別子T1,T2,……が本当に同一の利用者を開示元とするものであるか否かを確認したい場合がある。
【0077】
本発明では、所定の使用者端末からの要求に応じて複数の開示用識別子T1,T2,……の同一性を確認する開示用識別子同一性確認装置を設けることにより、この課題を解決する。
【0078】
図10は開示用識別子同一性確認装置10の基本構成を示すもので、同一性確認要求受信手段101と、復元手段102と、同一性判定手段103とを備えている。
【0079】
同一性確認要求受信手段101は、所定の第三者の端末装置から送信される複数の開示用識別子T1,T2,……を指定した同一性の確認要求を受け付ける。復元手段102は、前記複数の開示用識別子T1,T2,……を復号して利用者識別子R1,R2,……を取得する。同一性判定手段103は、前記取得した利用者識別子R1,R2,……の同一性を判定し、結果を所定の第三者の端末装置へ通知する。
【0080】
なお、ここでは所定の第三者の端末装置として使用者端末2を用いた。
【0081】
前記構成において、使用者端末2は同一性確認装置10に対して、開示用識別子の同一性の確認を、確認対象の複数の開示用識別子T1,T2,……を指定して要求する。同一性確認装置10において、同一性確認要求受信手段101が前記要求を受信すると、復元手段102は前記複数の開示用識別子T1,T2,……を復号して利用者識別子R1,R2,……を取得する。
【0082】
次に、同一性判定手段103は前記取得した利用者識別子R1,R2,……の同一性を判定し、結果を使用者端末2へ通知する、即ち各利用者識別子R1,R2,……を比較し、これらが同一であればその旨を、また、同一でなければその旨を使用者端末2へ通知する。
【0083】
なお、これまで説明した生成装置、復元装置、書換装置、無効化装置、管理装置及び同一性確認装置は、これらの任意の2つ以上の装置を一体化して構成することも可能であり、さらにまた、識別子の復元に秘密鍵や共通鍵が必要であることからサービス提供システムと一体化することも有用である。
【0084】
【発明の実施の形態】
以下、前述した構成を前提として、本発明の実施の形態について詳細に説明する。
【0085】
<第1の実施の形態>
まず、開示用識別子をネットワークアドレス、特に電子メールアドレスに適用した場合の実施の形態を説明する。
【0086】
以下の説明においては、電子メールアドレス”tanaka@ocn”(=R)の受信者(利用者)に対し、電子メールアドレス”suzuki@ntt”(=S)の発信者(使用者)からの2003年4月30日を期限とする開示用識別子(開示用メールアドレス)による電子メール通信サービスを提供する場合を例にとって説明する。
【0087】
また、サービス提供システムは、図11に示すように、本発明に基づくアドレス復元機能及び要求処理機能を備えた電子メール中継サーバ4A(図1、図3、図4又は図8中のサービス提供システム4そのもの)と、受信者及び発信者が従属する電子メール中継サーバ4B及び4Cとを含むものとする。中継サーバ4A,4B,4Cのホスト名はそれぞれ”adhoc−mail.ne.jp”,”ocn”,”ntt”とする。
【0088】
図12は本発明の第1の実施の形態を示すシーケンス図であり、以下、図11とともに動作を説明するが、中継サーバ4Aは予め公開鍵と秘密鍵を用意し、公開鍵を公開しているものとする。なお、暗号方式として共通鍵暗号方式を用いる場合、中継サーバ4Aは予め共通鍵を用意し、当該共通鍵を開示用識別子生成装置3に通知して共有しているものとする。
【0089】
Step11:受信者端末1は、利用者識別子、即ち本来の電子メールアドレスRとともに、付加情報Cとして発信者を限定するための発信者の電子メールアドレスSのハッシュ値(=Sa)及び有効期限”2003年4月30日”(=Tp)を指定した開示用メールアドレスTの生成要求を開示用識別子生成装置3へ送信する。
【0090】
Step12:開示用識別子生成装置3は、受信者端末1から前述した開示用メールアドレスTの生成要求を受信する。
【0091】
Step13:開示用識別子生成装置3は、前記メールアドレスRの少なくとも一部を前記付加情報Cとともに中継サーバ4Aでのみ復号可能に暗号化し、該暗号化結果を基に開示用メールアドレスTを生成する。
【0092】
より具体的には、受信者端末1を使用する受信者のメールアドレスRと、発信者の電子メールアドレスのハッシュ値Saと、有効期限Tpとからなる文字列を中継サーバ4Aの公開鍵を用いて暗号化した後、テキスト化して得られる文字列に対して”@adhoc−mail.ne.jp”を追加した開示用メールアドレスT、例えば前述した”h4Bsc6TuPGeFSW/fl+p323iNVii+LQG4@adhoc−mail.ne.jp”を生成する。
【0093】
ここで、メールアドレスR又は付加情報Cのいずれか一方あるいは両方をハフマン符号により圧縮符号化し、中継サーバ4Aの公開鍵を用いて暗号化した後、テキスト化して得られる文字列に対して”@adhoc−mail.ne.jp”を追加した開示用メールアドレスTを生成するようになしても良い。
【0094】
また、発信者を限定する情報として電子メールアドレスのうちのドメイン部(@以降の文字列部分)のみを用いても良く、この場合、当該ドメインを単位とする発信者に開示用メールアドレスTを開示することになる。
【0095】
Step14:開示用識別子生成装置3は、生成した開示用メールアドレスTを受信者端末1へ通知する。
【0096】
Step15:受信者端末1は、開示用メールアドレスTを発信者端末2へ通知(開示)する。なお、この通知は受信者が発信者へ直接伝えるものであっても良く、また、電話、FAX、郵便等によるものであっても良く、さらには仲介業者などを通じて伝えるものであっても良い。
【0097】
Step16:発信者端末2は、前記開示用メールアドレスTを宛先に指定し、自身の電子メールアドレスSを送信元に指定した電子メールを中継サーバ4Cへ送信する。
【0098】
より具体的には、発信者端末2はインターネット標準の電子メール発信手順に基づき、当該発信者端末2が従属する電子メール中継サーバ4Cに電子メールを送信する。当該電子メール中継サーバ4Cはインターネット標準に基づき電子メールを中継する。当該電子メールの宛先の@以降が”adhoc−mail.ne.jp“であるので、当該電子メールはいくつかの電子メール中継サーバを経て、電子メール中継サーバ(adhoc−mail.ne.jp)4Aへ中継される。
【0099】
Step17:中継サーバ4Aは、前述した電子メールを受信し、この際、送信元の電子メールアドレスS及び受信時の日時を情報C0として取得する。
【0100】
Step18:中継サーバ4Aは、宛先のメールアドレスTを秘密鍵を用いて復号し、利用者識別子R及び付加情報Cを取得する。
【0101】
より具体的には、中継サーバ4Aは、受信したメールアドレスの宛先の@以前の部分をバイナリデータにデコードし、秘密鍵を用いて復号して前記受信者識別子Rと、発信者の電子メールアドレスのハッシュ値Sa及び有効期限Tpからなる付加情報Cとを取得する。
【0102】
なお、暗号化の前に、メールアドレスR又は付加情報Cのいずれか一方あるいは両方をハフマン符号により圧縮符号化した場合は、秘密鍵を用いて復号した後、伸張復号を行うことはいうまでもない。
【0103】
Step19:中継サーバ4Aは、前記取得した情報C0及び付加情報Cに基づき、サービス要求の処理方法、ここでは前記電子メールの受信者端末1への転送可否を判定する。
【0104】
より具体的には、中継サーバ4Aは、電子メール中の送信元の電子メールアドレスSのハッシュ値を計算し、これと付加情報C中の発信者の電子メールアドレスのハッシュ値Saとを比較し、また、付加情報C中の有効期限と当該電子メールの受信時刻とを比較し、ハッシュ値が一致し、かつ受信時刻が有効期限内であれば転送可と判定する。
【0105】
Step20:中継サーバ4Aは、転送可の場合、Step18で取得した利用者識別子Rを宛先として、当該電子メールを送信する。
【0106】
より具体的には、中継サーバ4Aはインターネット標準の電子メール発信手順に基づき、電子メールを送信するが、当該電子メールの宛先の@以降が”ocn“であるので、当該電子メールはいくつかの電子メール中継サーバを経て、受信者端末1が従属する電子メール中継サーバ(ocn)4Bへ中継され、受信者端末1は当該中継サーバ4Bから当該電子メールを受信する。
【0107】
また、転送不可、つまりアドレスが一致しない場合あるいは受信時刻が有効期限を超過している場合、中継サーバ4Aは、要求を拒絶、即ち当該電子メールを破棄する。
【0108】
<第2の実施の形態>
次に、第1の実施の形態において、利用者端末側でサービス要求の処理方法を選択する場合の実施の形態を説明する。システムの概要は図11に示した第1の実施の形態の場合と同様とする。
【0109】
図13は本発明の第2の実施の形態を示すシーケンス図であり、以下、図11とともに動作を説明するが、中継サーバ4Aは予め公開鍵と秘密鍵を用意し、公開鍵を公開しているものとし、また、Step11〜Step18までは図12に示した第1の実施の形態の場合と同様であるから省略する。
【0110】
Step21:中継サーバ4Aは、前記取得した情報C0及び付加情報Cを受信者端末1へ通知する。
【0111】
Step22:受信者端末1は、受信した情報C0及び付加情報Cに基づき、サービス要求の処理方法、ここでは前記電子メールの当該受信者端末1への転送可否を判定し、その結果を中継サーバ4へ返送する。
【0112】
より具体的には、受信者端末1は、情報C0中の送信元の電子メールアドレスSのハッシュ値を計算し、これと付加情報C中の発信者の電子メールアドレスのハッシュ値Saとを比較し、また、付加情報C中の有効期限と情報C0中の当該電子メールの受信時刻とを比較し、ハッシュ値が一致し、かつ受信時刻が有効期限内であれば転送可と判定し、ハッシュ値が一致しない、あるいは受信時刻が有効期限以後であれば転送不可と判定し、その結果を中継サーバ4へ返送する。
【0113】
Step20:中継サーバ4Aは、転送可の判定結果を受信した場合、Step18で取得した利用者識別子Rを宛先として、当該電子メールを前述した如く送信し、また、転送不可の判定結果を受信した場合、要求を拒絶、即ち当該電子メールを破棄する。
【0114】
<第3の実施の形態>
次に、第1の実施の形態において、付加情報として開示用識別子Tの開示に関わる付加情報Cs、ここでは使用者端末2の電子メールアドレス”suzuki@ntt”(=S)を用いた場合の実施の形態を説明する。システムの概要は図11に示した第1の実施の形態の場合と同様とする。
【0115】
図14は本発明の第3の実施の形態を示すシーケンス図であり、以下、図11とともに動作を説明するが、中継サーバ4Aは予め公開鍵と秘密鍵を用意し、公開鍵を公開しているものとし、また、Step11〜Step18までは、付加情報Cが付加情報Csに代わった点を除いて図12に示した第1の実施の形態の場合と同様であるから省略する。
【0116】
Step20:中継サーバ4Aは、Step17で受信した電子メール(但し、このメールは実際に発信者端末2から送信されたとは限らない。)を、Step18で取得した利用者識別子Rを宛先として前述した如く送信する。また、この際、送信した電子メールを特定できる情報Is、例えばメール中の送信日時を、利用者識別子R及び付加情報Csとともにサービス提供履歴の一項目としてとして記憶する。
【0117】
Step23:受信者端末1は、受信した電子メールがスパムメールであったような場合、中継サーバ4Aに対し、利用者識別子R及び当該電子メールを特定できる情報Is’、ここではメール中の送信日時を指定して付加情報Csを要求する。
【0118】
Step24:中継サーバ4Aは、前記要求を受信すると、利用者識別子R及び情報Is’をキーとして前記サービス提供履歴を検索し、該当する項目があればその中の付加情報Cs、即ち使用者端末2の電子メールアドレス”suzuki@ntt”を利用者端末1へ提供する。
【0119】
受信者端末1では、前記使用者端末2の電子メールアドレス”suzuki@ntt”から前記スパムメールに使用された開示用識別子Tが使用者端末2に対して開示したものであることを特定でき、その後の適切な処置、例えば当該開示用識別子Tの無効化処理を行う、該当する開示先の第三者との取引を停止する、などを行うことができる。
【0120】
なお、前述した受信者端末1からの情報要求及び中継サーバ4Aにおける情報提供については、中継サーバ4Aに設置されたWWWサーバに受信者端末1に設置されたWWWブラウザから問い合わせるような形態で実現することもできる。
【0121】
<第4の実施の形態>
次に、第1の実施の形態において、図8で説明した有効識別子リストDB7又は無効識別子リストDB8を用いて開示用識別子が有効か無効かを判別する処理を行う場合の実施の形態を説明する。システムの概要は図11に示した第1の実施の形態の場合と同様とする。
【0122】
図15は本発明の第4の実施の形態を示すシーケンス図であり、以下、図11とともに動作を説明するが、中継サーバ4Aは予め公開鍵と秘密鍵を用意し、公開鍵を公開しているものとし、また、Step11〜Step17までは、図12に示した第1の実施の形態の場合と同様であるから省略する。
【0123】
Step25:中継サーバ4Aは、Step17で受信した電子メールに宛先として付された開示用メールアドレスTの有効性を有効識別子リストDB7又は無効識別子リストDB8を用いて判定する。
【0124】
より具体的には、開示用メールアドレスTをキーとして有効識別子リストDB7又は無効識別子リストDB8を検索し、該開示用メールアドレスTが有効識別子リストDB7に登録されている場合又は無効識別子リストDB8に登録されていない場合は要求受付可として以後の処理、即ちStep18以後の処理を続行させる。
【0125】
また、開示用メールアドレスTが有効識別子リストDB7に登録されていない場合又は無効識別子リストDB8に登録されている場合は要求受付不可として処理を終了させ、また、必要に応じてメール受付拒否を発信者端末2へ応答する。
【0126】
<第5の実施の形態>
次に、開示用識別子を個人ID、特に個人情報データベース(DB)検索用の個人IDに適用した場合の実施の形態を説明する。
【0127】
以下の説明においては、個人ID”71002−2192”(=R)のユーザ(利用者)の個人情報を登録した個人情報DBに対し、業者ID”61212−3156”(=S)のEC企業(使用者)からの4月30日を期限とし、通販業者向けの条件として連絡先のIDの開示のみを許可する開示用識別子(個人情報検索用の開示用個人ID)による個人情報検索サービスを提供する場合を例にとって説明する。
【0128】
また、サービス提供システムは、図16に示すように、本発明に基づくID復元機能及び要求処理機能を備えた情報提供サーバ4D(図1、図3、図4又は図8中のサービス提供システム4そのもの)と、個人情報データベース4Eとを含むものとする。
【0129】
図17は本発明の第5の実施の形態を示すシーケンス図であり、以下、図16とともに動作を説明するが、情報提供サーバ4Dは予め公開鍵と秘密鍵を用意し、公開鍵を公開しているものとする。なお、暗号方式として共通鍵暗号方式を用いる場合、情報提供サーバ4Dは予め共通鍵を用意し、当該共通鍵を開示用識別子生成装置3に通知して共有しているものとする。
【0130】
Step31:ユーザ端末1は、利用者識別子、即ち本来の情報検索用の個人ID Rとともに、付加情報Cとして情報検索者を限定するためのEC企業の業者ID Sのハッシュ値(=Sa)、開示情報を限定するための種別”通販業者向け”(=Cp)及び有効期限”20003年4月30日”(=Tp)を指定した開示用識別子Tの生成要求を開示用識別子生成装置3へ送信する。
【0131】
Step32:開示用識別子生成装置3は、ユーザ端末1から前述した開示用識別子Tの生成要求を受信する。
【0132】
Step33:開示用識別子生成装置3は、前記利用者識別子Rの少なくとも一部を前記付加情報Cとともに当該開示用識別子復元装置3でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する。
【0133】
より具体的には、ユーザ端末1を使用するユーザの個人ID Rと、EC企業サーバの業者IDのハッシュ値Saと、通販業者向け種別Cpと、有効期限Tpとからなる文字列を情報提供サーバ4Dの公開鍵を用いて暗号化した後、テキスト化して得られる開示用個人ID T、例えば”23h4Bsc6TuPeFSW/fl+p3GG4iNWsi+LQ”を生成する。
【0134】
Step34:開示用識別子生成装置3は、生成した開示用個人ID Tをユーザ端末1へ通知する。
【0135】
Step35:ユーザ端末1は、開示用個人ID TをEC企業サーバ2へ通知(開示)する。なお、この通知はユーザがEC企業へ直接伝えるものであっても良く、また、電話、FAX、郵便等によるものであっても良く、さらには仲介業者などを通じて伝えるものであっても良い。
【0136】
Step36:EC企業サーバ2は、前記開示用個人ID Tを検索キーに指定し、自身の業者ID Sを要求元に指定した情報開示要求を情報提供サーバ4Dへ送信する。
【0137】
Step37:情報提供サーバ4Dは、前述した要求を受信し、この際、要求元のID S及び受信時の日時を情報C0として取得する。
【0138】
Step38:情報提供サーバ4Dは、開示用個人ID Tを秘密鍵を用いて復号し、利用者識別子R及び付加情報Cを取得する。
【0139】
より具体的には、情報提供サーバ4Dは、受信した開示用個人IDをバイナリデータにデコードし、秘密鍵を用いて復号して前記ユーザの個人ID R(=”71002−2192”)と、EC企業の業者IDのハッシュ値Saと、通販業者向け種別Cpと、有効期限Tpとを取得する。
【0140】
Step39:情報提供サーバ4Dは、前記取得した情報C0及び付加情報Cに基づき、サービス要求の処理方法、ここでは前記個人情報DB4Eへの情報検索可否を判定する。
【0141】
より具体的には、情報提供サーバ4Dは、要求中の要求元の業者ID Sのハッシュ値を計算し、これと付加情報C中の業者IDのハッシュ値Saとを比較し、また、付加情報C中の有効期限と当該要求の受信時刻とを比較し、ハッシュ値が一致し、かつ受信時刻が有効期限内であれば情報開示可と判定する。
【0142】
Step40:情報提供サーバ4Dは、情報開示可の場合、Step38で取得した利用者識別子R、即ち個人ID”71002−2192”を検索キーとして個人情報DB4Eを検索し、検索結果のうち、前記種別”通販業者向け”に適合する情報のみ、ここではユーザ端末1の連絡先のID、例えばメールアドレスや電話番号などをEC企業サーバ2へ返す。なお、検索結果に該当項目がない場合はEC企業サーバ2へその旨を通知する。
【0143】
また、情報開示不可、つまりハッシュ値が一致しない場合あるいは受信時刻が有効期限を超過している場合、情報提供サーバ4Dは、EC企業サーバ2へ要求の拒絶を通知する。
【0144】
<第6の実施の形態>
次に、開示用識別子の付加情報Cを書き換える場合の実施の形態、ここでは第1の実施の形態で述べた電子メールアドレスの有効期限を延長する場合の実施の形態を説明する。
【0145】
以下の説明において、書換を要求する者は利用者(受信者)であり、図18に示すように、生成装置や中継サーバとは独立した開示用識別子書換装置5が存在するものとする。
【0146】
図19は本発明の第6の実施の形態を示すシーケンス図であり、以下、図18とともに動作を説明するが、第1の実施の形態におけるStep11〜15と同様な処理により、受信者端末1の発信者端末2に対する開示用メールアドレスTが生成され、受信者端末1に通知されて発信者端末2に開示され、また、書換装置5には中継サーバ4Aより公開鍵とともに秘密鍵が渡されているものとする。
【0147】
Step41:受信者端末1は、開示用識別子書換装置5に対して開示用メールアドレスの書き換えを、当該書換対象の開示用メールアドレスT及び書き換え後の付加情報C2、即ち発信者を限定するための発信者の電子メールアドレスSのハッシュ値(=Sa)及び有効期限”2003年5月31日まで”(=Tp2)を、自身の本来の電子メールアドレスR0とともに指定して要求する。
【0148】
Step42:開示用識別子書換装置5は、受信者端末1から前述した開示用メールアドレスTの書換要求を受信する。
【0149】
Step43:開示用識別子書換装置5は、書換対象の開示用メールアドレスTを秘密鍵を用いて前述した中継サーバ4Aの場合と同様の処理で復号し、電子メールアドレスR及び付加情報C、即ち発信者の電子メールアドレスSのハッシュ値Sa及び有効期限”2003年4月30日まで”(=Tp)を取得する。なお、前記取得したメールアドレスRと要求中のメールアドレスR0とを比較して書換を要求する者の資格を判定するようにしても良い。
【0150】
Step44:開示用識別子書換装置5は、前記取得したメールアドレスRの少なくとも一部を前記書換後の付加情報C2とともに中継サーバ4Aでのみ復号可能に暗号化し、該暗号化結果を基に書換後の開示用メールアドレスTを生成する。
【0151】
より具体的には、受信者のメールアドレスRと、発信者の電子メールアドレスのハッシュ値Saと、有効期限Tp2とからなる文字列を中継サーバ4Aの公開鍵を用いて暗号化した後、テキスト化して得られる文字列に対して”@adhoc−mail.ne.jp”を追加した開示用メールアドレスT、例えば”h4Bsc6TuPGeFSW/fl+p323iNVii+LQG5@adhoc−mail.ne.jp”を生成する。
【0152】
Step45:開示用識別子書換装置5は、書換後の開示用メールアドレスT’を書換を要求した受信者端末1へ通知する。
【0153】
Step46:受信者端末1は、書換後の開示用メールアドレスT’を発信者端末2へ通知(開示)する。なお、通知方法は通常の生成の際と同様で良い。
【0154】
<第7の実施の形態>
次に、開示用識別子を無効化する場合の実施の形態、ここでは第1の実施の形態で述べた電子メールアドレスを有効識別子リストデータベース(DB)を用いて無効化する場合の実施の形態を説明する。
【0155】
以下の説明において、無効化を要求する者は利用者(受信者)であり、図20に示すように、生成装置や中継サーバとは独立した開示用識別子無効化装置6及び有効識別子リストDB7が存在するものとする。
【0156】
図21は本発明の第7の実施の形態を示すシーケンス図であり、以下、図20とともに動作を説明するが、第1の実施の形態におけるStep11〜15と同様な処理により、受信者端末1の発信者端末2に対する開示用メールアドレスTが生成され、受信者端末1に通知されて発信者端末2に開示され、また、有効識別子リストDB7に有効な開示用メールアドレスとして登録され(Step14’)、さらに開示用識別子無効化装置6には中継サーバ4Aより秘密鍵が渡されているものとする。
【0157】
Step51:受信者端末1は、開示用識別子無効化装置6に対して開示用メールアドレスの無効化を、当該無効化対象の開示用メールアドレスT及び自身の本来の電子メールアドレスR0を指定して要求する。
【0158】
Step52:開示用識別子無効化装置6は、受信者端末1から前述した開示用メールアドレスTの無効化要求を受信する。
【0159】
Step53:開示用識別子無効化装置6は、無効化対象の開示用メールアドレスTを秘密鍵を用いて前述した中継サーバ4Aの場合と同様の処理で復号し、電子メールアドレスRを取得する。
【0160】
Step54:開示用識別子無効化装置6は、前記取得したメールアドレスRと指定されたメールアドレスR0とを比較し、一致するか否かを判定する。
【0161】
Step55:開示用識別子無効化装置6は、前記比較の結果、一致した場合、有効識別子リストDB7に対して前記開示用メールアドレスTを指定して、登録削除を要求する。有効識別子リストDB7では、前記開示用メールアドレスTの登録を削除する。また、必要に応じて処理結果を受信者端末1に通知する。
【0162】
なお、メールアドレスR及びR0が一致しない場合は処理を終了し、必要に応じて無効化拒否を受信者端末1に対して応答する。
【0163】
<第8の実施の形態>
次に、開示用識別子を無効化する場合の実施の形態、ここでは第1の実施の形態で述べた電子メールアドレスを無効識別子リストデータベース(DB)を用いて無効化する場合の実施の形態を説明する。
【0164】
以下の説明において、無効化を要求する者は利用者(受信者)であり、図22に示すように、生成装置や中継サーバとは独立した開示用識別子無効化装置6及び無効識別子リストDB8が存在するものとする。
【0165】
図23は本発明の第8の実施の形態を示すシーケンス図であり、以下、図22とともに動作を説明するが、第1の実施の形態におけるStep11〜15と同様な処理により、受信者端末1の発信者端末2に対する開示用メールアドレスTが生成され、受信者端末1に通知されて発信者端末2に開示され、また、開示用識別子無効化装置6には中継サーバ4Aより秘密鍵が渡されているものとする。
【0166】
Step61:受信者端末1は、開示用識別子無効化装置6に対して開示用メールアドレスの無効化を、当該無効化対象の開示用メールアドレスT及び自身の本来の電子メールアドレスR0を指定して要求する。
【0167】
Step62:開示用識別子無効化装置6は、受信者端末1から前述した開示用メールアドレスTの無効化要求を受信する。
【0168】
Step63:開示用識別子無効化装置6は、無効化対象の開示用メールアドレスTを秘密鍵を用いて前述した中継サーバ4Aの場合と同様の処理で復号し、電子メールアドレスRを取得する。
【0169】
Step64:開示用識別子無効化装置6は、前記取得したメールアドレスRと指定されたメールアドレスR0とを比較し、一致するか否かを判定する。
【0170】
Step65:開示用識別子無効化装置6は、前記比較の結果、一致した場合、無効識別子リストDB8に対して前記開示用メールアドレスTを指定して、登録を要求する。無効識別子リストDB8では、前記開示用メールアドレスTを無効なメールアドレスとして登録する。また、必要に応じて処理結果を受信者端末1に通知する。
【0171】
なお、メールアドレスR及びR0が一致しない場合は処理を終了し、必要に応じて無効化拒否を受信者端末1に対して応答する。
【0172】
<第9の実施の形態>
次に、有効識別子リストデータベースから期限切れの開示用識別子を削除する場合の実施の形態を説明する。
【0173】
以下の説明において、無効化を要求する者は利用者(受信者)であり、図24に示すように、生成装置や中継サーバとは独立した開示用識別子管理装置9及び有効識別子リストDB7が存在するものとする。
【0174】
図25は本発明の第9の実施の形態を示すシーケンス図であり、以下、図24とともに動作を説明するが、第1の実施の形態におけるStep11〜15と同様な処理により、受信者端末1の発信者端末2に対する開示用メールアドレスTが生成され、受信者端末1に通知されて発信者端末2に開示され、また、有効識別子リストDB7に有効な開示用メールアドレスとして登録され(Step14’)、開示用識別子管理装置9には中継サーバ4Aより秘密鍵が渡されているものとする。
【0175】
Step71:開示用識別子管理装置9は、有効識別子リストDB7中の開示用メールアドレスTを順次読み出す。
【0176】
Step72:開示用識別子管理装置9は、読み出した開示用メールアドレスTを秘密鍵を用いて前述した中継サーバ4Aの場合と同様の処理で復号し、付加情報Cを取得する。
【0177】
Step73:開示用識別子管理装置9は、前記取得した付加情報C中に有効期限Tpが含まれているか否かを調べ、含まれていればその日時の時刻と比較する。
【0178】
Step74:開示用識別子管理装置9は、前記比較の結果、有効期限を過ぎている場合は有効識別子リストDB7に対して前記開示用メールアドレスTの削除を要求する。有効識別子リストDB7では、前記開示用メールアドレスTを削除する。なお、有効期限を過ぎていない場合及び付加情報C中に有効期限が含まれていない場合、そのまま何もしない。
【0179】
なお、無効識別子リストデータベースから期限切れの開示用識別子を削除する場合の実施の形態も全く同様である。
【0180】
<第10の実施の形態>
次に、複数の開示用識別子の開示元の同一性を確認する場合の実施の形態、ここでは第1の実施の形態で述べた電子メールアドレスと、第6の実施の形態で述べた書き換え後の電子メールアドレスとの同一性を確認する場合の実施の形態を説明する。
【0181】
以下の説明において、同一性の確認を要求する者は使用者(発信者)であり、図26に示すように、生成装置や中継サーバとは独立した開示用識別子同一性確認装置10を具備するものとする。
【0182】
図27は本発明の第10の実施の形態を示すシーケンス図であり、以下、図26とともに動作を説明するが、第1の実施の形態におけるStep11〜15及び第6の実施の形態におけるStep41〜46と同様な処理により、受信者端末1の発信者端末2に対する開示用メールアドレスT及び書換後の開示用メールアドレスT’が生成され、受信者端末1に通知され発信者端末2に開示され、また、開示用識別子同一性確認装置10には中継サーバ4Aより秘密鍵が渡されているものとする。
【0183】
Step81:発信者端末2は、開示用識別子同一性確認装置10に対して開示用識別子の同一性の確認を、確認対象の開示用識別子T及びTを指定して要求する。
【0184】
Step82:開示用識別子同一性確認装置10は、発信者端末2から前述した開示用メールアドレスT及びT’の同一性確認要求を受信する。
【0185】
Step83:開示用識別子同一性確認装置10は、確認対象の開示用メールアドレスT及びT’を秘密鍵を用いて前述した中継サーバ4Aの場合と同様の処理で復号し、電子メールアドレスR1,R2を取得する。
【0186】
Step84:開示用識別子同一性確認装置10は、前記取得したメールアドレスR1及びR2を比較し、同一か否かを判定する。
【0187】
Step85:開示用識別子同一性確認装置10は、前記判定結果、即ちこれらが同一であればその旨を、また、同一でなければその旨を発信者端末2へ通知する。
【0188】
【発明の効果】
以上説明したように、本発明によれば、利用者はスパム等の理由により開示用識別子を放棄せざるを得なくなっても、新たな利用者識別子を取得する必要が無くなった。従って、連絡先やIDの変更を複数の使用者に伝える必要も無くなった。また、本発明により、1つの利用者識別子に対して複数の開示用識別子を作成することができ、これにより、1つの利用者端末を膨大な数の用途に別個に利用することが可能である。
【図面の簡単な説明】
【図1】本発明の開示用識別子生成・復元方法を実現するシステムの一例を示す構成図
【図2】開示用識別子の生成過程の一例を示す流れ図
【図3】本発明の開示用識別子生成・復元方法を実現するシステムの他の例を示す構成図
【図4】本発明の開示用識別子生成・復元方法を実現するシステムのさらに他の例を示す構成図
【図5】本発明の開示用識別子書換方法を実現するシステムの一例を示す構成図
【図6】本発明の開示用識別子無効化方法を実現するシステムの一例を示す構成図
【図7】本発明の開示用識別子無効化方法を実現するシステムの他の例を示す構成図
【図8】本発明の開示用識別子生成・復元方法を実現するシステムのさらに他の例を示す構成図
【図9】本発明の開示用識別子管理方法を実現するシステムの一例を示す構成図
【図10】本発明の開示用識別子同一性確認方法を実現するシステムの一例を示す構成図
【図11】本発明の第1の実施の形態を示すシステム概要図
【図12】本発明の第1の実施の形態を説明するシーケンス図
【図13】本発明の第2の実施の形態を説明するシーケンス図
【図14】本発明の第3の実施の形態を説明するシーケンス図
【図15】本発明の第4の実施の形態を説明するシーケンス図
【図16】本発明の第5の実施の形態を示すシステム概要図
【図17】本発明の第5の実施の形態を説明するシーケンス図
【図18】本発明の第6の実施の形態を示すシステム概要図
【図19】本発明の第6の実施の形態を説明するシーケンス図
【図20】本発明の第7の実施の形態を示すシステム概要図
【図21】本発明の第7の実施の形態を説明するシーケンス図
【図22】本発明の第8の実施の形態を示すシステム概要図
【図23】本発明の第8の実施の形態を説明するシーケンス図
【図24】本発明の第9の実施の形態を示すシステム概要図
【図25】本発明の第9の実施の形態を説明するシーケンス図
【図26】本発明の第10の実施の形態を示すシステム概要図
【図27】本発明の第10の実施の形態を説明するシーケンス図
【符号の説明】
1:利用者端末(受信者端末、ユーザ端末)、2:使用者端末(発信者端末、EC企業サーバ)、3:開示用識別子生成装置、4,4A,4B,4C,4D,4E:サービス提供システム(中継サーバ、情報提供サーバ、個人情報データベース)、5:開示用識別子書換装置、6:開示用識別子無効化装置、7:有効識別子リストデータベース、8:無効識別子リストデータベース、9:開示用識別子管理装置、10:開示用識別子同一性確認装置。[0001]
BACKGROUND OF THE INVENTION
In the present invention, the user identifier can be uniquely identified, and the user identifier can be used in place of the user identifier that can request a service related to the user to the service providing system by presenting the user. The present invention relates to a technique for generating an identifier for disclosure to be disclosed to the three parties, restoring, rewriting, invalidating, and confirming the identity.
[0002]
[Prior art]
Conventionally, a user identifier that can uniquely identify a user and that can present a service related to the user to the service providing system by presenting the user has been used.
[0003]
For example, if a telephone number of the other party is transmitted from a telephone to a public telephone network operated by a telecommunications carrier, a telephone call can be made with the other party, and a computer or the like can be connected to a server operated by an Internet service provider. When an e-mail describing the e-mail address of the other party is transmitted from the terminal device, it is possible to send the e-mail to the other party's terminal device, and for an information providing system provided with a database in which personal information is registered When the other party's ID is input, it is possible to access the other party's personal information.
[0004]
By the way, the above-mentioned user identifier may be notified as a contact address when a user applies for a sweepstakes or applies for mail order, and the user identifier disclosed by such user's own actions However, it may be illegally leaked to a third party without the user's permission.
[0005]
Once the user identifier is known to such a third party, use such as spam calls and spam mails for sales and solicitation frequently appearing and personal information leaked There was a problem that it would be used for purposes other than the user's expectation.
[0006]
As a method for solving such a problem, the callee identifier and the callee identifier are generated in association with each other, and only when the caller requests communication by presenting an access ticket that can be verified by the communication service provider, the callee There has been a method for enabling communication with a computer (see Patent Document 1).
[0007]
[Patent Document 1]
JP 2000-201169 A
[0008]
[Problems to be solved by the invention]
However, in the conventional method described above, there is a problem that in order to prevent the occurrence of annoying communication or the like, it is necessary to limit who can issue an access ticket, that is, who can set a provided service. In addition, the conventional method requires an access ticket in addition to the user identifier, and there is a problem that it is difficult to use in a situation where an e-mail address is registered in an existing EC site or the like.
[0009]
An object of the present invention is to solve such a conventional problem, so that anyone who knows a user identifier can set a service to be provided and can be used in the same way as a normal user identifier. The purpose is to realize a technique for preventing the user from using it for an unexpected purpose.
[0010]
[Means for Solving the Problems]
In the present invention, a user having a uniquely identifiable identifier, a third party (hereinafter referred to as a user) who wants to use the identifier, a service request specifying the user identifier, and a service related to the user In a system comprising a service providing system for providing information, a device (disclosure identifier generating device) for generating a disclosure identifier T for disclosing to a user using a user identifier R is provided and used together with a service request. The problem is solved by providing a device (disclosure identifier restoration device) for restoring the user identifier R from the disclosure identifier T.
[0011]
The disclosure identifier generating device includes additional information C including a condition for the user identifier R transmitted from the user terminal device and information C0 that can be obtained by the disclosure identifier restoring device or the service providing system when a third party service is requested. And a means for receiving a request for generating a disclosure identifier designating at least a part of the user identifier R together with additional information C so that it can be decrypted only by a disclosure identifier restoring device, and disclosed based on the encryption result And a means for generating a use identifier T (disclosure identifier generation means).
[0012]
Further, the disclosure identifier restoring device receives a service request specifying the disclosure identifier T transmitted from a third party terminal device directly or through a service providing system together with the information C0 (service request receiving unit); , Means for decrypting the disclosure identifier T to obtain a user identifier R and additional information C (restoration means), and means for selecting a service request processing method based on the additional information C and information C0 (service request Processing determination means).
[0013]
Here, the disclosure identifier restoring apparatus may be integrated with the service providing system. FIG. 1 shows a basic configuration of the present invention when it is integrated with a service providing system as a disclosure identifier restoring apparatus.
[0014]
In FIG. 1, 1 is a user terminal device (user terminal), 2 is a user terminal device (user terminal), 3 is a disclosure identifier generating device, and 4 is a service providing system (disclosure identifier restoring device). These are communicably connected via a network (not shown).
[0015]
The disclosure identifier generating device 3 includes the disclosure identifier generation request receiving unit 31, the disclosure identifier generating unit 32, and the disclosure identifier notifying unit 33 for notifying the terminal device 1 of the disclosure identifier T. The service providing system 4 includes a service according to the service request receiving means 41, the restoring means 42, the service request processing determining means 43, and a service request processing method selected by the service request processing determining means 43. Service execution means 44 for executing the following.
[0016]
The service provided by the service providing system 4 includes a communication service such as telephone connection to a user and electronic mail delivery, a search service for information related to the user, and the like.
[0017]
In the above configuration, the disclosure identifier generation request receiving means 31 of the disclosure identifier generation device 3 includes the identifier R of the user transmitted from the user terminal 1 and the disclosure identifier restoration device or service at the time of a third party service request. A request for generating an identifier for disclosure specifying the additional information C including the condition for the information C0 available to the providing system is received. Regarding the transmission of the generation request designating the user identifier R and the additional information C, when the user voluntarily transmits to the disclosure identifier generation device 3, the request on the user side is directly or the disclosure identifier generation device 3 In this case, it is possible to transmit the information in a form that is transmitted to the user through the user's permission and approved by the user.
[0018]
Here, information C0 that can be obtained by the disclosure identifier restoring apparatus or the service providing system at the time of a third party service request (for example, the name or identifier of a user who is usually requested to input at the time of the service request, the date and time at the time of the service request, etc. As the additional information C including the condition for), information limiting the user (third party) or user terminal and information limiting the usable period of the identifier T for disclosure can be considered. The usage conditions of the service identifier T can be limited. Examples of information that limits a user or user terminal include an identifier of the user or user terminal and a hash value calculated from this identifier. Also, examples of information that limits the usable period include the expiration date of the disclosure identifier T, the effective time zone (night prohibition, etc.), and the like.
[0019]
When the user identifier R and the additional information C are received, the disclosure identifier generating means 32 of the disclosure identifier generating device 3 encrypts at least a part of the user identifier R together with the additional information C so that it can be decrypted only by the service providing system 4. The disclosure identifier T is generated based on the encryption result, and the disclosure identifier notifying unit 33 notifies (discloses) this to the user terminal 1. After this, the identifier T for disclosure is notified (disclosed) from the user terminal 1 to the user terminal 2. As a specific method at that time, the user directly communicates to the user. Alternatively, it may be by telephone, FAX, mail or the like, or may be communicated through an intermediary.
[0020]
On the other hand, the user terminal 2 that has received the disclosure identifier T designates it and requests a service from the service providing system 4. At this time, the service request receiving means 41 of the service providing system 4 receives the request for disclosure. Information C0 is received together with identifier T. The restoring means 42 of the service providing system 4 decodes the disclosure identifier T to obtain the user identifier R and the additional information C.
[0021]
The additional information C and the information C0 are sent to the service request processing determination unit 43 of the service providing system 4, and the service request processing determination unit 43 selects a service request processing method based on these, for example, selects the requested service. Select whether or not to provide. The service execution unit 44 of the service providing system 4 provides the service using the user identifier R, for example, when the service is provided based on the selection result in the service request processing determination unit 43, and rejects the service. If you do nothing.
[0022]
As an example of a method for generating the disclosure identifier T, an information string formed by concatenating at least a part of the recipient identifier R and the additional information C is used as a disclosure identifier restoring device, here a public key disclosed by the service providing system 4 The encryption method can be considered. In this case, the service providing system 4 decrypts the disclosure identifier with the secret key corresponding to the public key, and acquires the user identifier R and the additional information C.
[0023]
Further, instead of the public key, the disclosure identifier generating device 3 and the disclosure identifier restoring device, here, the common key shared by the service providing system 4 may be used for encryption / decryption. Either or both of the user identifier R and the predetermined additional information C may be compression-encoded before conversion, and decompression decoding may be performed after decoding.
[0024]
FIG. 2 shows an example of the process of generating the disclosure identifier T. Here, the user identifier R is the user's mail address, and the additional information C limits the user (disclosure destination) terminal and the usable period. A case where information is included will be described.
[0025]
Here, the user's e-mail address R is tanaka @ ocn, and a hash value (Sa = hash (suzuki @ ntt) calculated from the e-mail address S (= suzuki @ ntt) of the user terminal as information for limiting the user terminal. )) And encryption using the expiry date April 30, 2003 (Tp = 2003.04.30) as information that limits the usable period, for example,
cryptopt ( tanaka @ ocn , Sa = hash ( suzuki @ ntt ), Tp = 2003.04.30)
If the result obtained as is encoded into text data, for example
h4Bsc6TuPGeFSW / fl + p323iNVii + LQG4
It becomes. By adding a domain name of a service providing system as a mail relay server, for example, “adhoc-mail.ne.jp” to this,
h4Bsc6TuPGeFSW / fl + p323iNVii + LQG4 @ adhoc-mail. ne. jp
Is obtained.
[0026]
Here, the additional information C and the information C0 may be sent to the user terminal, and the service request processing method may be selected on the user terminal side.
[0027]
FIG. 3 shows an example of a system for realizing such a disclosure identifier generating / restoring method. The user terminal 1 selects a service request processing method based on the additional information C and the information C0. The service providing system 4 includes information notifying means 45 for notifying the user terminal 1 of the additional information C and the information C0. Other configurations are the same as those in FIG.
[0028]
In the above configuration, a disclosure identifier T is generated and notified by the disclosure identifier generation device 3 in accordance with a request from the user terminal 1, and this is disclosed from the user terminal 1 to the user terminal 2. The operation until the service providing system 4 is requested by specifying the disclosure identifier T is the same as that shown in FIG.
[0029]
When the user terminal 2 specifies the disclosure identifier T and requests a service from the service providing system 4, the service request receiving unit 41 of the service providing system 4 receives the information C0 together with the disclosure identifier T. The restoration means 42 of the service providing system 4 decodes the disclosure identifier T to obtain the user identifier R and additional information C, and the information notification means 45 of the service providing system 4 receives the additional information C and information C0 from the user terminal. 1 is notified.
[0030]
Upon receiving the additional information C and information C0, the service request processing determination unit 11 of the user terminal 1 selects a service request processing method based on these, for example, selects whether to provide the requested service. The selection result is returned to the service providing system 4. Note that the selection at this time is not only automatically performed, but the user's own input from an input means (not shown) may be reflected.
[0031]
The service execution unit 44 of the service providing system 4 provides the service using the user identifier R when providing a service based on the selection result in the service request processing determination unit 11 of the user terminal 2, for example. If you refuse the service, do nothing.
[0032]
Further, if additional information Cs related to the disclosure of the disclosure identifier T is included as additional information, for example, an identifier of a disclosure destination (user) of the disclosure identifier T, an annoying telephone call or mail addressed to the disclosure identifier T, When an information search request using the disclosure identifier T as an ID is received, it is possible to recognize through which the disclosure identifier T has been leaked, so that leakage of the user identifier can be suppressed.
[0033]
FIG. 4 shows an example of a system for realizing such a disclosure identifier generating / restoring method. The user terminal 1 includes information requesting means 12 for requesting additional information Cs from the service providing system 4, and The service providing system 4 includes information providing means 46 for providing the additional information Cs to the user terminal 1 in accordance with a request from the user terminal 1. Other configurations are the same as those in FIG.
[0034]
In the above configuration, a disclosure identifier T is generated and notified by the disclosure identifier generation device 3 in accordance with a request from the user terminal 1, and this is disclosed from the user terminal 1 to the user terminal 2. The operation until the service providing system 4 is requested by specifying the disclosure identifier T is the same as the case of FIG. 1 except that the additional information C is replaced by the additional information Cs.
[0035]
When the user terminal 2 specifies the disclosure identifier T and requests a service from the service providing system 4, the service request receiving means 41 of the service providing system 4 receives the disclosure identifier T. The restoration means 42 of the service providing system 4 decodes the disclosure identifier T to obtain the user identifier R and additional information Cs, sends them to the information providing means 46, and sends the user identifier R to the service providing system 4. The service is sent to the service execution means 44 to provide the service.
[0036]
Further, the information providing means 46 of the service providing system 4 uses the user identifier R and the additional information Cs to identify the service provided by the service executing means 44 (for example, if the provided service is mail forwarding, mail It is held for a certain period as an item of service provision history together with Is).
[0037]
Here, when the provided service is a service undesirable for the user, the information requesting means 12 of the user terminal 1 determines the user identifier R and the service providing system 4 based on the operation of the user. The additional information Cs is requested by designating information relating to the provided service (for example, the transmission date and time in the received mail) Is ′.
[0038]
When the information providing means 46 of the service providing system 4 receives the request, the information providing means 46 searches the service providing history using the user identifier R and the information Is ′ as a key, and if there is a corresponding item, the additional information Cs therein is used as the user. Provide to terminal 1. From the additional information Cs, the user terminal 1 can identify to whom the disclosure identifier T used for the undesired service is disclosed, and can then specify an appropriate action, for example, the disclosure identifier T The invalidation process (to be described later) can be performed, the transaction with the third party of the corresponding disclosure destination can be stopped, and the like.
[0039]
By the way, there is a case where it is desired to change at least a part of the additional information C for the disclosed disclosure identifier T, for example, to extend the expiration date.
[0040]
In the present invention, the above-mentioned problem is solved by providing a disclosure identifier rewriting device for rewriting additional information C in response to a request from a device of a person who requests rewriting of a disclosure identifier.
[0041]
FIG. 5 shows the basic configuration of the disclosure identifier rewriting device 5, which includes a rewrite request receiving means 51, a restoring means 52, a disclosure identifier generating means 53, and a disclosure identifier notifying means 54.
[0042]
The rewrite request receiving unit 51 accepts a rewrite request for a disclosure identifier specifying a rewrite target disclosure identifier T and rewritten additional information C2 transmitted from a device of a person who requests rewriting of the disclosure identifier. The restoration means 52 decodes the disclosure identifier T to obtain the user identifier R and the additional information C.
[0043]
The disclosure identifier rewriting means 53 encrypts the acquired user identifier R together with the additional information C2 so that it can be decrypted only by the disclosure identifier restoration device, and generates a new disclosure identifier T ′. The disclosure identifier notifying unit 54 notifies the new disclosure identifier T ′ to the device of the person who requests rewriting of the disclosure identifier.
[0044]
Here, the user terminal 1 is used as a device of a person who requests rewriting.
[0045]
In the above configuration, the user terminal 1 requests the rewriting device 5 to rewrite the disclosure identifier by specifying the user identifier R, the disclosure identifier T to be rewritten, and the rewritten additional information C2. In the rewrite device 5, when the rewrite request receiving unit 51 receives the request, the restoring unit 52 decodes the disclosure identifier T to obtain the user identifier R and the additional information C.
[0046]
Next, the disclosure identifier rewriting means 53 encrypts the acquired user identifier R together with the additional information C2 so that it can be decrypted only by the disclosure identifier restoration device, for example, using the public key of the service providing system 4 as described above. To generate a new disclosure identifier T ′.
[0047]
When a new disclosure identifier T ′ is generated, the disclosure identifier notification means 54 notifies the user terminal 1 of this. Thereafter, the user terminal 1 notifies (discloses) a new disclosure identifier T ′ to a third-party terminal device (user terminal) by the method described above.
[0048]
At this time, the rewriting device 5 may be provided with means (authentication means) 55 for judging whether or not a person who requests rewriting of the disclosure identifier has the qualification, and rejecting the request if there is no qualification. Thus, it is possible to prevent the additional information C of the disclosure identifier T from being rewritten with contents that are disadvantageous to the user.
[0049]
As a method for determining whether or not the user has the qualification, for example, a user identifier R0 (“0” is added to distinguish from the user identifier R restored from the disclosure identifier T) as a specified item when requesting. .)) And the user identifier R acquired from the disclosure identifier T, and rewriting is performed only when they match. If they do not coincide with each other, the process is terminated, and a rewrite refusal is returned to the device of the person who requested rewriting as necessary.
[0050]
In addition, when a user who has been given a disclosure identifier performs a nuisance to the user, the use of the disclosure identifier is prohibited, or when a new disclosure identifier is disclosed, the old disclosure identifier is prohibited. There is a case where it is desired to invalidate the disclosed identifier T once disclosed.
[0051]
In the present invention, a disclosure identifier invalidation device that invalidates a disclosure identifier T in response to a request from a device of a person who requests invalidation of a disclosure identifier, and a valid identifier list database in which valid disclosure identifiers T are registered. By providing the above, the above-mentioned problem is solved.
[0052]
FIG. 6 shows a basic configuration of the disclosure identifier invalidating device 6 together with a valid identifier list database (DB) 7. The disclosure identifier invalidating device 6 includes an invalidation request receiving means 61, a restoring means 62, an invalid identifier. Deleting means 63.
[0053]
The invalidation request receiving means 61 accepts an invalidation request for a disclosure identifier T that specifies a user identifier R0 and a disclosure identifier T to be invalidated, which are transmitted from the device of the person who requests invalidation of the disclosure identifier. . The restoration means 62 decrypts the disclosure identifier T to obtain the user identifier R. The invalid identifier deleting unit 63 compares the designated user identifier R0 and the acquired user identifier R, and deletes the disclosure identifier T from the valid identifier list DB 7 if they match.
[0054]
It is assumed that the valid identifier list DB 7 is created by registering all the disclosure identifiers T generated or rewritten by the disclosure identifier generation device or the disclosure identifier rewriting device described above. Here, the user terminal 1 is used as a device of a person who requests invalidation.
[0055]
In the above configuration, the user terminal 1 requests the invalidation device 6 to invalidate the disclosure identifier by designating the user identifier R0 and the disclosure identifier T to be invalidated. In the invalidation device 6, when the invalidation request receiving unit 61 receives the request, the restoration unit 62 decodes the disclosure identifier T to obtain the user identifier R.
[0056]
Next, the invalid identifier deleting unit 63 compares the acquired user identifier R with the designated user identifier R0 and determines whether or not they match. If they match, the disclosure identifier T is deleted from the valid identifier list DB 7. If the identifiers R0 and R do not match, the process is terminated, and if necessary, the invalidation rejection is responded to the device of the person who requested the invalidation.
[0057]
Further, the present invention can be similarly realized by using an invalid identifier list database in which invalid disclosure identifiers T are registered instead of the valid identifier list database and a corresponding disclosure identifier invalidation device.
[0058]
FIG. 7 shows a basic configuration of the disclosure identifier rewriting device 6 corresponding to the invalid identifier list database (DB) 8. The disclosure identifier invalidation device 6 includes an invalidation request receiving unit 61, a restoring unit 62, The invalid identifier registration means 64 is provided.
[0059]
The invalidation request receiving means 61 accepts an invalidation request for a disclosure identifier T that specifies a user identifier R0 and a disclosure identifier T to be invalidated, which are transmitted from the device of the person who requests invalidation of the disclosure identifier. . The restoration means 62 decrypts the disclosure identifier T to obtain the user identifier R. The invalid identifier registration unit 64 compares the designated user identifier R0 and the acquired user identifier R, and if they match, registers the disclosure identifier T in the invalid identifier list DB8.
[0060]
Here, the user terminal 1 is used as the device of the person who requests invalidation.
[0061]
In the above configuration, the user terminal 1 requests the invalidation device 60 to invalidate the disclosure identifier by designating the user identifier R0 and the disclosure identifier T to be invalidated. In the invalidation device 60, when the invalidation request receiving unit 61 receives the request, the restoration unit 62 decodes the disclosure identifier T to obtain the user identifier R.
[0062]
Next, the invalid identifier registration means 64 compares the designated user identifier R0 with the acquired user identifier R, and if they match, Invalid The disclosure identifier T is registered in the identifier list DB 8. If the identifiers R0 and R do not match, the process is terminated, and if necessary, the invalidation rejection is responded to the device of the person who requested the invalidation.
[0063]
Here, in order to make use of the above-described valid identifier list DB and invalid identifier list DB, a mechanism for eliminating service requests due to invalid disclosure identifiers is required.
[0064]
In the present invention, when a service request is received, a disclosure identifier restoring device having a function of determining whether a disclosure identifier is valid or invalid using the valid identifier list DB or the invalid identifier list DB is provided. Solve the problem.
[0065]
FIG. 8 shows a basic configuration of the present invention including a disclosure identifier restoring device integrated with a service providing system having such a function. The service providing system 4 specifies a service request specifying a disclosure identifier T. When the valid identifier list DB7 or invalid identifier list DB8 is searched and the received disclosure identifier T is registered in the valid identifier list DB7 or only when the valid identifier list DB8 is not registered. Validity determining means 47 for determining that the request can be accepted is provided. Other configurations are the same as those in FIG.
[0066]
In the above configuration, a disclosure identifier T is generated and notified by the disclosure identifier generation device 3 in accordance with a request from the user terminal 1, and this is disclosed from the user terminal 1 to the user terminal 2. The operation until the service providing system 4 is requested by specifying the disclosure identifier T is the same as that shown in FIG.
[0067]
When the user terminal 2 specifies the disclosure identifier T and requests a service from the service providing system 4, the service request receiving unit 41 of the service providing system 4 receives the information C0 together with the disclosure identifier T.
[0068]
When receiving a service request specifying the disclosure identifier T from the user terminal 2 together with the information C0, the service request receiving unit 41 of the service providing system 4 sends the disclosure identifier T to the validity determining unit 47.
[0069]
The validity determination unit 47 of the service providing system 4 searches the valid identifier list DB7 or the invalid identifier list DB8 using the disclosure identifier T as a key, and when the disclosure identifier T is registered in the valid identifier list DB7 or invalid If it is not registered in the identifier list DB 8, a determination result indicating that the service request can be accepted is returned to the service request receiving means 41, and the subsequent processing is continued. If the disclosure identifier T is not registered in the valid identifier list DB 7 or registered in the invalid identifier list DB 8, a determination result indicating that the service request cannot be accepted is returned to the service request receiving means 41, and the processing is terminated. Further, a service rejection is returned to the user terminal 2 as necessary.
[0070]
In FIG. 5, both the valid identifier list DB7 and the invalid identifier list DB8 are shown, but only one of them is actually required. Further, although an example applied to the system of FIG. 1 is shown here, the present invention can be similarly applied to the systems of FIGS.
[0071]
Further, the valid identifier list DB 7 and the invalid identifier list DB 8 described above have a problem that they are enlarged as the disclosure identifier T generated / disclosed increases or the disclosure identifier T invalidated increases. .
[0072]
The present invention solves this problem by providing a disclosure identifier management device that deletes an expired disclosure identifier T from the list when the additional information C of the disclosure identifier T includes an expiration date.
[0073]
FIG. 9 shows a basic configuration of the disclosure identifier management device 9, which includes an identifier reading unit 91, a restoring unit 92, and an expired identifier deleting unit 93.
[0074]
The identifier reading unit 91 periodically and sequentially reads the disclosure identifier T registered in the valid identifier list database 7 or the invalid identifier list database 8. The restoration unit 92 obtains the additional information C by decoding the disclosure identifier T. The expiration identifier deletion means 93 compares the expiration date in the acquired additional information C with the date and time at that time, and deletes the disclosure identifier T that has passed the expiration date from the list 7 or 8.
[0075]
In the configuration described above, in the management device 9, the identifier reading means 91 periodically reads the disclosure identifier T in the valid identifier list DB7 or the invalid identifier list DB8 and sends it to the restoring means 92, which is described above. The additional information C is obtained by decoding as described above. The expiration identifier deleting unit 93 checks whether or not the acquired additional information C includes an expiration date. If it is included, the expiration identifier deletion unit 93 compares it with the time of the date and time. Delete from the list DB 7 or the invalid identifier list DB 8. Note that the case where the expiration date has not passed or the additional information C does not include the expiration date is left as it is.
[0076]
As described above, when a new disclosure identifier in which additional information is rewritten is disclosed, two or more disclosure identifiers T1, T2,. .. May exist, and the user may want to confirm whether or not these disclosure identifiers T1, T2,...
[0077]
The present invention solves this problem by providing a disclosure identifier identity confirmation device that confirms the identity of a plurality of disclosure identifiers T1, T2,... In response to a request from a predetermined user terminal.
[0078]
FIG. 10 shows the basic configuration of the disclosure identifier identity confirmation apparatus 10, which includes an identity confirmation request receiving means 101, a restoration means 102, and an identity determination means 103.
[0079]
The identity confirmation request receiving unit 101 receives an identity confirmation request designating a plurality of disclosure identifiers T1, T2,... Transmitted from a predetermined third party terminal device. The restoring means 102 decrypts the plurality of disclosure identifiers T1, T2,... To obtain user identifiers R1, R2,. The identity determination means 103 determines the identity of the acquired user identifiers R1, R2,... And notifies the result to a predetermined third party terminal device.
[0080]
Here, the user terminal 2 is used as a predetermined third-party terminal device.
[0081]
In the above configuration, the user terminal 2 requests the identity confirmation device 10 to confirm the identity of the disclosure identifier by specifying a plurality of disclosure identifiers T1, T2,. In the identity confirmation device 10, when the identity confirmation request receiving means 101 receives the request, the restoration means 102 decrypts the plurality of disclosure identifiers T1, T2,... And user identifiers R1, R2,. To get.
[0082]
Next, the identity determination means 103 determines the identity of the acquired user identifiers R1, R2,... And notifies the result to the user terminal 2, that is, the user identifiers R1, R2,. If these are the same, a message to that effect is sent to the user terminal 2 and if not, the user terminal 2 is notified to that effect.
[0083]
Note that the generation device, restoration device, rewrite device, invalidation device, management device, and identity confirmation device described so far can be configured by integrating any two or more of these devices. It is also useful to integrate with a service providing system because a secret key or a common key is required for restoring the identifier.
[0084]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, the embodiment of the present invention will be described in detail based on the above-described configuration.
[0085]
<First Embodiment>
First, an embodiment in which the disclosure identifier is applied to a network address, particularly an e-mail address will be described.
[0086]
In the following description, the recipient (user) of the e-mail address “tanaka @ ocn” (= R) is notified of the e-mail address “suzuki @ ntt” (= S) from the sender (user) 2003. A case will be described as an example in which an electronic mail communication service is provided using a disclosure identifier (disclosure email address) whose deadline is April 30th.
[0087]
Further, as shown in FIG. 11, the service providing system is an electronic mail relay server 4A having an address restoration function and a request processing function based on the present invention (the service providing system in FIG. 1, FIG. 3, FIG. 4 or FIG. 8). 4) and electronic mail relay servers 4B and 4C to which the recipient and the sender are subordinate. The host names of the relay servers 4A, 4B, and 4C are “adhoc-mail.ne.jp”, “ocn”, and “ntt”, respectively.
[0088]
FIG. 12 is a sequence diagram showing the first embodiment of the present invention. Hereinafter, the operation will be described together with FIG. 11. The relay server 4A prepares a public key and a secret key in advance, and discloses the public key. It shall be. When the common key encryption method is used as the encryption method, it is assumed that the relay server 4A prepares a common key in advance and notifies the disclosure identifier generation device 3 of the common key and shares it.
[0089]
Step 11: The recipient terminal 1 uses the user identifier, that is, the original e-mail address R and the hash value (= Sa) and the expiration date of the e-mail address S of the sender for limiting the sender as additional information C. A request for generating a disclosure e-mail address T designating “April 30, 2003” (= Tp) is transmitted to the disclosure identifier generating apparatus 3.
[0090]
Step 12: The disclosure identifier generating device 3 receives the above-described generation request for the disclosure email address T from the recipient terminal 1.
[0091]
Step 13: The disclosure identifier generating device 3 encrypts at least a part of the mail address R together with the additional information C so that it can be decrypted only by the relay server 4A, and generates a disclosure mail address T based on the encryption result. .
[0092]
More specifically, a character string composed of the mail address R of the recipient who uses the recipient terminal 1, the hash value Sa of the sender's email address, and the expiration date Tp is used using the public key of the relay server 4A. The e-mail address T for disclosure obtained by adding “@ adhoc-mail.ne.jp” to the character string obtained by converting the text into a text, for example, “h4Bsc6TuPGeFSW/fl+p323iNVii+LQG4@adhoc-mail.ne.jp” described above. Is generated.
[0093]
Here, either or both of the mail address R and the additional information C are compression-encoded with a Huffman code, encrypted using the public key of the relay server 4A, and then converted into a text “@ The disclosure email address T to which “adhoc-mail.ne.jp” is added may be generated.
[0094]
Further, only the domain part (character string part after @) of the e-mail address may be used as the information for limiting the caller. In this case, the e-mail address T for disclosure is given to the caller in units of the domain. Will be disclosed.
[0095]
Step 14: The disclosure identifier generating device 3 notifies the recipient terminal 1 of the generated disclosure email address T.
[0096]
Step 15: The receiver terminal 1 notifies (discloses) the e-mail address T for disclosure to the sender terminal 2. This notification may be sent directly to the caller by the receiver, may be sent by telephone, FAX, mail, etc., or may be sent through an intermediary.
[0097]
Step 16: The caller terminal 2 designates the disclosure mail address T as a destination, and sends an email in which its own email address S is designated as a transmission source to the relay server 4C.
[0098]
More specifically, the caller terminal 2 transmits an e-mail to the e-mail relay server 4C to which the caller terminal 2 is subordinate, based on an Internet standard e-mail transmission procedure. The electronic mail relay server 4C relays electronic mail based on the Internet standard. Since the address of the e-mail after @ is “adhoc-mail.ne.jp”, the e-mail passes through several e-mail relay servers, and the e-mail relay server (adhoc-mail.ne.jp) 4A. Relayed to.
[0099]
Step 17: The relay server 4A receives the e-mail described above, and at this time, acquires the e-mail address S of the transmission source and the date and time of reception as information C0.
[0100]
Step 18: The relay server 4A decrypts the destination mail address T using the secret key, and acquires the user identifier R and the additional information C.
[0101]
More specifically, the relay server 4A decodes the part before @ of the destination of the received mail address into binary data, decodes it using a secret key, and receives the recipient identifier R and the sender's email address. And the additional information C consisting of the hash value Sa and the expiration date Tp.
[0102]
It should be noted that if either or both of the mail address R and the additional information C is compression-encoded with Huffman code before encryption, it goes without saying that the decryption is performed after decryption using the secret key. Absent.
[0103]
Step 19: The relay server 4A determines, based on the acquired information C0 and the additional information C, whether or not to transfer the service request to the recipient terminal 1, in this case, the processing method of the service request.
[0104]
More specifically, the relay server 4A calculates the hash value of the sender's email address S in the email, and compares this with the hash value Sa of the sender's email address in the additional information C. Further, the expiration date in the additional information C is compared with the reception time of the e-mail, and if the hash values match and the reception time is within the expiration date, it is determined that transfer is possible.
[0105]
Step 20: When the transfer is possible, the relay server 4A transmits the electronic mail with the user identifier R acquired in Step 18 as a destination.
[0106]
More specifically, the relay server 4A transmits an e-mail based on an Internet standard e-mail transmission procedure. Since the e-mail address after the @ is “ocn”, the e-mail includes several e-mails. Through the e-mail relay server, the recipient terminal 1 is relayed to the subordinate e-mail relay server (ocn) 4B, and the recipient terminal 1 receives the e-mail from the relay server 4B.
[0107]
Further, when transfer is impossible, that is, when the addresses do not match or when the reception time exceeds the expiration date, the relay server 4A rejects the request, that is, discards the electronic mail.
[0108]
<Second Embodiment>
Next, in the first embodiment, an embodiment in the case of selecting a service request processing method on the user terminal side will be described. The outline of the system is the same as that of the first embodiment shown in FIG.
[0109]
FIG. 13 is a sequence diagram showing the second embodiment of the present invention. Hereinafter, the operation will be described together with FIG. 11, but the relay server 4A prepares a public key and a secret key in advance and publishes the public key. Also, Step 11 to Step 18 are the same as those in the first embodiment shown in FIG.
[0110]
Step 21: The relay server 4A notifies the receiver terminal 1 of the acquired information C0 and additional information C.
[0111]
Step 22: Based on the received information C0 and additional information C, the receiver terminal 1 determines whether or not the service request processing method, here, the e-mail can be transferred to the receiver terminal 1, and the result is determined by the relay server 4 Return to
[0112]
More specifically, the receiver terminal 1 calculates the hash value of the sender's email address S in the information C0, and compares this with the hash value Sa of the sender's email address in the additional information C. Further, the expiration date in the additional information C is compared with the reception time of the electronic mail in the information C0, and if the hash values match and the reception time is within the expiration date, it is determined that the transfer is possible, and the hash If the values do not match or the reception time is after the expiration date, it is determined that transfer is not possible, and the result is returned to the relay server 4.
[0113]
Step 20: When the relay server 4A receives the determination result indicating that transfer is possible, the relay server 4A transmits the e-mail as described above with the user identifier R acquired in Step 18 as the destination, and receives the determination result indicating that transfer is not possible. , Reject the request, i.e. discard the e-mail.
[0114]
<Third Embodiment>
Next, in the first embodiment, the additional information Cs related to the disclosure of the disclosure identifier T as the additional information, here the e-mail address “suzuki @ ntt” (= S) of the user terminal 2 is used. An embodiment will be described. The outline of the system is the same as that of the first embodiment shown in FIG.
[0115]
FIG. 14 is a sequence diagram showing a third embodiment of the present invention. The operation will be described below with reference to FIG. 11. The relay server 4A prepares a public key and a secret key in advance, and discloses the public key. Steps 11 to 18 are omitted because they are the same as those in the first embodiment shown in FIG. 12 except that the additional information C is replaced with the additional information Cs.
[0116]
Step 20: As described above, the relay server 4A receives the electronic mail received in Step 17 (however, this mail is not actually transmitted from the caller terminal 2) with the user identifier R acquired in Step 18 as a destination. Send. At this time, the information Is for identifying the transmitted electronic mail, for example, the transmission date and time in the mail is stored as one item of the service provision history together with the user identifier R and the additional information Cs.
[0117]
Step 23: When the received electronic mail is a spam mail, the receiver terminal 1 informs the relay server 4A of the user identifier R and information Is ′ that can identify the electronic mail, here the transmission date and time in the mail Is specified and additional information Cs is requested.
[0118]
Step 24: When the relay server 4A receives the request, the relay server 4A searches the service provision history using the user identifier R and the information Is ′ as a key. If there is a corresponding item, the additional information Cs therein, that is, the user terminal 2 Is provided to the user terminal 1 with the email address “suzuki @ ntt”.
[0119]
The receiver terminal 1 can specify that the disclosure identifier T used for the spam mail is disclosed to the user terminal 2 from the email address “suzuki @ ntt” of the user terminal 2, Appropriate measures thereafter, for example, a process of invalidating the disclosure identifier T can be performed, or a transaction with a third party of the corresponding disclosure destination can be stopped.
[0120]
Note that the information request from the receiver terminal 1 and the provision of information in the relay server 4A described above are realized in such a form that a WWW server installed in the relay server 4A makes an inquiry from a WWW browser installed in the receiver terminal 1. You can also.
[0121]
<Fourth embodiment>
Next, in the first embodiment, an embodiment will be described in which processing for determining whether a disclosure identifier is valid or invalid is performed using the valid identifier list DB 7 or the invalid identifier list DB 8 described in FIG. . The outline of the system is the same as that of the first embodiment shown in FIG.
[0122]
FIG. 15 is a sequence diagram showing the fourth embodiment of the present invention. Hereinafter, the operation will be described together with FIG. 11, but the relay server 4A prepares a public key and a secret key in advance and discloses the public key. Further, Step 11 to Step 17 are the same as those in the first embodiment shown in FIG.
[0123]
Step 25: The relay server 4A determines the validity of the disclosure e-mail address T attached to the e-mail received in Step 17 using the valid identifier list DB7 or the invalid identifier list DB8.
[0124]
More specifically, the effective identifier list DB7 or the invalid identifier list DB8 is searched using the disclosure email address T as a key, and the disclosure email address T is registered in the valid identifier list DB7 or in the invalid identifier list DB8. If it is not registered, the request can be accepted and the subsequent processing, that is, the processing after Step 18 is continued.
[0125]
If the disclosure mail address T is not registered in the valid identifier list DB 7 or registered in the invalid identifier list DB 8, the process is terminated as a request cannot be accepted, and a mail acceptance rejection is transmitted as necessary. Respond to the user terminal 2.
[0126]
<Fifth embodiment>
Next, an embodiment in which the disclosure identifier is applied to a personal ID, particularly a personal ID for searching a personal information database (DB) will be described.
[0127]
In the following description, an EC company with a vendor ID “61212-3156” (= S) is stored in a personal information DB in which personal information of a user (user) with a personal ID “71002-2192” (= R) is registered. A personal information search service based on a disclosure identifier (disclosure personal ID for personal information search) that permits only disclosure of contact IDs as a condition for mail-order companies with a deadline of April 30th from users) This will be described as an example.
[0128]
Further, as shown in FIG. 16, the service providing system includes an information providing server 4D having an ID restoration function and a request processing function based on the present invention (the service providing system 4 in FIG. 1, FIG. 3, FIG. And the personal information database 4E.
[0129]
FIG. 17 is a sequence diagram showing the fifth embodiment of the present invention. Hereinafter, the operation will be described together with FIG. 16, but the information providing server 4D prepares a public key and a secret key in advance and publishes the public key. It shall be. When the common key encryption method is used as the encryption method, the information providing server 4D prepares a common key in advance and notifies the disclosure identifier generating apparatus 3 to share the common key.
[0130]
Step 31: The user terminal 1 discloses a hash value (= Sa) of a merchant ID S of an EC company for limiting an information searcher as additional information C together with a user identifier, that is, an original information search personal ID R A request for generating the disclosure identifier T specifying the type “for mail order companies” (= Cp) and the expiration date “April 30, 20003” (= Tp) for limiting the information is transmitted to the disclosure identifier generation device 3 To do.
[0131]
Step 32: The disclosure identifier generating device 3 receives the above-described request for generating the disclosure identifier T from the user terminal 1.
[0132]
Step 33: The disclosure identifier generating device 3 encrypts at least a part of the user identifier R together with the additional information C so that it can be decrypted only by the disclosure identifier restoring device 3, and based on the encryption result, the disclosure identifier T is generated.
[0133]
More specifically, a character string composed of the personal ID R of the user who uses the user terminal 1, the hash value Sa of the merchant ID of the EC company server, the type Cp for mail order merchants, and the expiration date Tp is provided as the information providing server. After encryption using the 4D public key, a disclosure personal ID T, for example, “23h4Bsc6TuPeFSW / fl + p3GG4iNWsi + LQ”, which is obtained by text conversion, is generated.
[0134]
Step 34: The disclosure identifier generation device 3 notifies the user terminal 1 of the generated disclosure personal ID T.
[0135]
Step 35: The user terminal 1 notifies (disclosures) the disclosure personal ID T to the EC company server 2. This notification may be sent directly to the EC company by the user, may be sent by telephone, FAX, mail, etc., or may be sent through an intermediary.
[0136]
Step 36: The EC company server 2 designates the disclosure personal ID T as a search key, and transmits an information disclosure request designating its own vendor ID S as a request source to the information providing server 4D.
[0137]
Step 37: The information providing server 4D receives the above-described request, and at this time, acquires the request source ID S and the date and time of reception as information C0.
[0138]
Step 38: The information providing server 4D decrypts the disclosure personal ID T using the secret key, and acquires the user identifier R and the additional information C.
[0139]
More specifically, the information providing server 4D decodes the received disclosure personal ID into binary data, decrypts it using a secret key, and the user's personal ID R (= “71002-2192”), EC The hash value Sa of the company ID of the company, the type Cp for mail order companies, and the expiration date Tp are acquired.
[0140]
Step 39: The information providing server 4D determines, based on the acquired information C0 and the additional information C, whether or not information search is possible in the service request processing method, here the personal information DB 4E.
[0141]
More specifically, the information providing server 4D calculates the hash value of the requesting vendor ID S in the request, compares this with the hash value Sa of the vendor ID in the additional information C, and adds the additional information. The expiration date in C is compared with the reception time of the request, and if the hash values match and the reception time is within the expiration date, it is determined that information can be disclosed.
[0142]
Step 40: When the information can be disclosed, the information providing server 4D searches the personal information DB 4E using the user identifier R acquired in Step 38, that is, the personal ID “71002-2192” as a search key, and among the search results, the type “ Only the information suitable for “for mail order companies” is returned to the EC company server 2 here, such as the contact ID of the user terminal 1, such as a mail address or telephone number. If there is no corresponding item in the search result, the EC company server 2 is notified of this.
[0143]
Further, when information cannot be disclosed, that is, when the hash values do not match or when the reception time exceeds the expiration date, the information providing server 4D notifies the EC company server 2 of rejection of the request.
[0144]
<Sixth Embodiment>
Next, an embodiment in the case where the additional information C of the disclosure identifier is rewritten, here, an embodiment in which the expiration date of the e-mail address described in the first embodiment is extended will be described.
[0145]
In the following description, it is assumed that the person who requests rewriting is a user (recipient), and there is a disclosure identifier rewriting device 5 that is independent of the generation device and the relay server, as shown in FIG.
[0146]
FIG. 19 is a sequence diagram showing the sixth embodiment of the present invention. The operation will be described below with reference to FIG. 18, but the receiver terminal 1 is processed by the same processing as Steps 11 to 15 in the first embodiment. Is disclosed to the receiver terminal 1 and is disclosed to the sender terminal 2, and a secret key is passed to the rewriting device 5 from the relay server 4A together with the public key. It shall be.
[0147]
Step 41: The recipient terminal 1 rewrites the disclosure mail address to the disclosure identifier rewriting device 5 to limit the disclosure mail address T to be rewritten and the additional information C2 after rewriting, that is, the sender. A request is made by designating the hash value (= Sa) of the sender's e-mail address S and the expiration date “until May 31, 2003” (= Tp2) together with its original e-mail address R0.
[0148]
Step 42: The disclosure identifier rewriting device 5 receives the above-described rewriting request for the disclosure mail address T from the recipient terminal 1.
[0149]
Step 43: The disclosure identifier rewriting device 5 decrypts the disclosure e-mail address T to be rewritten by the same processing as that of the relay server 4A described above using the secret key, and sends the e-mail address R and the additional information C, that is, transmission The hash value Sa of the e-mail address S and the expiration date “until April 30, 2003” (= Tp) are acquired. The acquired mail address R and the requested mail address R0 may be compared to determine the qualification of the person who requests rewriting.
[0150]
Step 44: The disclosure identifier rewriting device 5 encrypts at least a part of the acquired mail address R together with the additional information C2 after rewriting so that it can be decrypted only by the relay server 4A, and after rewriting based on the encryption result A disclosure email address T is generated.
[0151]
More specifically, after encrypting a character string composed of the recipient's email address R, the sender's email address hash value Sa, and the expiration date Tp2 using the public key of the relay server 4A, the text An e-mail address for disclosure T in which “@ adhoc-mail.ne.jp” is added to the character string obtained by converting the character string, for example, “h4Bsc6TuPGeFSW/fl+p323iNVii+LQG5@adhoc-mail.ne.jp” is generated.
[0152]
Step 45: The disclosure identifier rewriting device 5 notifies the recipient terminal 1 that has requested rewriting of the disclosed e-mail address T ′ after rewriting.
[0153]
Step 46: The receiver terminal 1 notifies (disclosures) the disclosed e-mail address T ′ after rewriting to the sender terminal 2. The notification method may be the same as that for normal generation.
[0154]
<Seventh embodiment>
Next, an embodiment in the case where the disclosure identifier is invalidated, here, an embodiment in which the e-mail address described in the first embodiment is invalidated using the valid identifier list database (DB). explain.
[0155]
In the following description, a person who requests invalidation is a user (recipient). As shown in FIG. 20, the disclosure identifier invalidation device 6 and the valid identifier list DB 7 are independent of the generation device and the relay server. It shall exist.
[0156]
FIG. 21 is a sequence diagram showing the seventh embodiment of the present invention. The operation will be described below with reference to FIG. 20, but the receiver terminal 1 is processed by the same processing as Steps 11 to 15 in the first embodiment. Is disclosed to the sender terminal 2 and is registered as a valid disclosure mail address in the valid identifier list DB 7 (Step 14 ′). Further, it is assumed that a secret key is passed from the relay server 4A to the disclosing identifier invalidating device 6.
[0157]
Step 51: The recipient terminal 1 designates the disclosure email address invalidation for the disclosure identifier invalidation device 6 by designating the disclosure email address T to be invalidated and its original email address R0. Request.
[0158]
Step 52: The disclosure identifier invalidation device 6 receives the above-described invalidation request for the disclosure email address T from the recipient terminal 1.
[0159]
Step 53: The disclosure identifier invalidating device 6 decrypts the disclosure email address T to be invalidated by the same process as that of the relay server 4A described above using the secret key, and acquires the email address R.
[0160]
Step 54: The disclosure identifier invalidating device 6 compares the acquired mail address R with the designated mail address R0 and determines whether or not they match.
[0161]
Step 55: The disclosure identifier invalidating device 6 requests the registration deletion by designating the disclosure email address T to the valid identifier list DB 7 when the comparison results in a match. In the valid identifier list DB7, the registration of the disclosure email address T is deleted. Further, the processing result is notified to the recipient terminal 1 as necessary.
[0162]
If the mail addresses R and R0 do not match, the process is terminated, and an invalidation rejection is responded to the recipient terminal 1 as necessary.
[0163]
<Eighth Embodiment>
Next, an embodiment in the case of invalidating the disclosure identifier, here, an embodiment in which the e-mail address described in the first embodiment is invalidated by using the invalid identifier list database (DB) will be described. explain.
[0164]
In the following description, the person who requests invalidation is a user (recipient). As shown in FIG. 22, the disclosure identifier invalidation device 6 and invalid identifier list DB 8 independent of the generation device and the relay server are provided. It shall exist.
[0165]
FIG. 23 is a sequence diagram showing the eighth embodiment of the present invention. Hereinafter, the operation will be described together with FIG. 22, but the receiver terminal 1 is processed by the same processing as Steps 11 to 15 in the first embodiment. An e-mail address T for disclosure of the sender terminal 2 is generated and notified to the receiver terminal 1 and disclosed to the sender terminal 2, and a secret key is passed from the relay server 4A to the disclosure identifier invalidating device 6. It is assumed that
[0166]
Step 61: The receiver terminal 1 designates the disclosure email address invalidation for the disclosure identifier invalidation device 6, and designates the disclosure email address T to be invalidated and its original email address R0. Request.
[0167]
Step 62: The disclosure identifier invalidation device 6 receives the above-described invalidation request for the disclosure email address T from the recipient terminal 1.
[0168]
Step 63: The disclosure identifier invalidating device 6 decrypts the disclosure email address T to be invalidated by the same process as that of the relay server 4A described above using the secret key, and acquires the email address R.
[0169]
Step 64: The disclosure identifier invalidating device 6 compares the acquired mail address R with the designated mail address R0 and determines whether or not they match.
[0170]
Step 65: The disclosure identifier invalidating device 6 requests the registration by designating the disclosure email address T to the invalid identifier list DB 8 when they match as a result of the comparison. In the invalid identifier list DB8, the disclosure email address T is registered as an invalid email address. Further, the processing result is notified to the recipient terminal 1 as necessary.
[0171]
If the mail addresses R and R0 do not match, the process is terminated, and an invalidation rejection is responded to the recipient terminal 1 as necessary.
[0172]
<Ninth embodiment>
Next, an embodiment in which an expired disclosure identifier is deleted from the valid identifier list database will be described.
[0173]
In the following description, the person who requests invalidation is a user (recipient), and as shown in FIG. 24, there is a disclosure identifier management device 9 and a valid identifier list DB 7 independent of the generation device and the relay server. It shall be.
[0174]
FIG. 25 is a sequence diagram showing the ninth embodiment of the present invention. The operation will be described below with reference to FIG. 24, but the receiver terminal 1 is processed by the same processing as Steps 11 to 15 in the first embodiment. Is disclosed to the sender terminal 2 and is registered as a valid disclosure mail address in the valid identifier list DB 7 (Step 14 ′). It is assumed that the secret key is passed from the relay server 4A to the disclosure identifier management device 9.
[0175]
Step 71: The disclosure identifier management device 9 sequentially reads disclosure email addresses T in the valid identifier list DB7.
[0176]
Step 72: The disclosure identifier management device 9 obtains the additional information C by decrypting the read disclosure email address T using the secret key by the same process as that of the relay server 4A described above.
[0177]
Step 73: The disclosure identifier management device 9 checks whether or not the expiration date Tp is included in the acquired additional information C, and if it is included, compares it with the time of the date and time.
[0178]
Step 74: If the expiration date has passed as a result of the comparison, the disclosure identifier management device 9 requests the validity identifier list DB 7 to delete the disclosure email address T. In the valid identifier list DB7, the disclosure email address T is deleted. If the expiration date has not passed and the additional information C does not contain an expiration date, nothing is done as it is.
[0179]
The embodiment in the case of deleting an expired disclosure identifier from the invalid identifier list database is exactly the same.
[0180]
<Tenth Embodiment>
Next, an embodiment for confirming the identity of a plurality of disclosure identifiers, that is, the e-mail address described in the first embodiment and the after-rewrite described in the sixth embodiment An embodiment for confirming the identity with the e-mail address will be described.
[0181]
In the following description, a person who requests confirmation of identity is a user (sender), and as shown in FIG. 26, a disclosure identifier identity confirmation device 10 independent of the generation device and the relay server is provided. Shall.
[0182]
FIG. 27 is a sequence diagram showing the tenth embodiment of the present invention. Hereinafter, the operation will be described together with FIG. 26. Steps 11 to 15 in the first embodiment and Steps 41 to 15 in the sixth embodiment will be described. 46, a disclosure email address T for the sender terminal 2 of the receiver terminal 1 and a disclosure email address T ′ after rewriting are generated and notified to the receiver terminal 1 and disclosed to the sender terminal 2. In addition, it is assumed that a secret key is passed from the relay server 4A to the disclosure identifier identity confirmation apparatus 10.
[0183]
Step 81: The caller terminal 2 requests the disclosure identifier identity confirmation device 10 to confirm the identity of the disclosure identifier by designating the disclosure identifiers T and T to be confirmed.
[0184]
Step 82: The disclosure identifier identity confirmation device 10 receives the identity confirmation request for the disclosure email addresses T and T ′ described above from the sender terminal 2.
[0185]
Step 83: The disclosure identifier identity confirmation device 10 decrypts the disclosure email addresses T and T ′ to be confirmed using the secret key by the same process as that of the relay server 4A described above, and sends the email addresses R1, R2 To get.
[0186]
Step 84: The disclosure identifier identity verification device 10 compares the acquired mail addresses R1 and R2 and determines whether or not they are the same.
[0187]
Step 85: The disclosure identifier identity confirmation device 10 notifies the caller terminal 2 of the determination result, that is, if they are the same, and if not, notifies the caller terminal 2.
[0188]
【The invention's effect】
As described above, according to the present invention, even if the user has to give up the identifier for disclosure due to spam or the like, there is no need to acquire a new user identifier. Therefore, it is no longer necessary to notify a plurality of users of changes in contact information and ID. Further, according to the present invention, it is possible to create a plurality of disclosure identifiers for one user identifier, thereby making it possible to separately use one user terminal for a huge number of uses. .
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing an example of a system for realizing a disclosure identifier generating / restoring method of the present invention.
FIG. 2 is a flowchart showing an example of a disclosure identifier generation process.
FIG. 3 is a block diagram showing another example of a system for realizing the disclosure identifier generating / restoring method of the present invention.
FIG. 4 is a block diagram showing still another example of a system for realizing the disclosure identifier generating / restoring method of the present invention.
FIG. 5 is a block diagram showing an example of a system for realizing the disclosed identifier rewriting method of the present invention.
FIG. 6 is a block diagram showing an example of a system that implements the disclosed identifier invalidation method of the present invention.
FIG. 7 is a block diagram showing another example of a system for realizing the disclosing identifier invalidation method of the present invention.
FIG. 8 is a configuration diagram showing still another example of a system for realizing the disclosure identifier generating / restoring method of the present invention.
FIG. 9 is a block diagram showing an example of a system for realizing the disclosure identifier management method of the present invention.
FIG. 10 is a block diagram showing an example of a system that implements the disclosed identifier identity confirmation method of the present invention.
FIG. 11 is a system outline diagram showing the first embodiment of the present invention;
FIG. 12 is a sequence diagram for explaining the first embodiment of the present invention;
FIG. 13 is a sequence diagram for explaining a second embodiment of the present invention;
FIG. 14 is a sequence diagram for explaining a third embodiment of the present invention;
FIG. 15 is a sequence diagram for explaining a fourth embodiment of the present invention;
FIG. 16 is a system outline diagram showing a fifth embodiment of the present invention;
FIG. 17 is a sequence diagram for explaining a fifth embodiment of the present invention;
FIG. 18 is a system outline diagram showing a sixth embodiment of the present invention;
FIG. 19 is a sequence diagram for explaining the sixth embodiment of the present invention;
FIG. 20 is a system outline diagram showing a seventh embodiment of the present invention;
FIG. 21 is a sequence diagram for explaining the seventh embodiment of the present invention;
FIG. 22 is a system outline diagram showing an eighth embodiment of the present invention;
FIG. 23 is a sequence diagram for explaining an eighth embodiment of the present invention;
FIG. 24 is a system outline diagram showing a ninth embodiment of the present invention;
FIG. 25 is a sequence diagram for explaining the ninth embodiment of the present invention;
FIG. 26 is a system outline diagram showing a tenth embodiment of the present invention.
FIG. 27 is a sequence diagram for explaining the tenth embodiment of the present invention;
[Explanation of symbols]
1: User terminal (receiver terminal, user terminal), 2: User terminal (sender terminal, EC company server), 3: Disclosure identifier generation device, 4, 4A, 4B, 4C, 4D, 4E: Service Provision system (relay server, information provision server, personal information database), 5: Disclosure identifier rewriting device, 6: Disclosure identifier invalidation device, 7: Valid identifier list database, 8: Invalid identifier list database, 9: Disclosure Identifier management device, 10: identifier identity confirmation device for disclosure.

Claims (10)

利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成・復元する開示用識別子生成・復元方法であって、
開示用識別子生成装置が利用者の端末装置から送信される利用者識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子生成要求を受信する開示用識別子生成要求受信段階と、
前記利用者識別子Rの少なくとも一部を付加情報Cとともに開示用識別子復元装置でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する開示用識別子生成段階と、
開示用識別子復元装置が第三者の端末装置から直接もしくはサービス提供システムを通じて送信される前記開示用識別子Tを指定したサービス要求を前記情報C0とともに受信するサービス要求受信段階と、
開示用識別子復元装置が前記開示用識別子Tを復号して利用者識別子R及び情報Cを取得する開示用識別子復元段階と、
開示用識別子復元装置又はサービス提供システムが前記付加情報C及び情報C0を利用者の端末装置へ通知する情報通知段階と、
利用者の端末装置が前記付加情報C及び情報C0に基づき、サービス要求の処理方法を選択するサービス要求処理判定段階と
を含む
開示用識別子生成・復元方法にて生成した開示用識別子Tに対応する付加情報Cを別の付加情報C2へ書き換える開示用識別子書換方法であって、
開示用識別子書換装置が開示用識別子の書換を要求する者の装置から送信される書換対象の開示用識別子T及び書き換え後の付加情報C2を指定した開示用識別子の書き換え要求を受け付ける要求受付段階と、
開示用識別子書換装置が前記開示用識別子Tを復号して利用者識別子R及び付加情報Cを取得する開示用識別子復元段階と、
開示用識別子書換装置が前記取得した利用者識別子Rを前記付加情報C2とともに開示用識別子復元装置でのみ復号可能に暗号化して新たな開示用識別子T'を生成する開示用識別子生成段階と、
開示用識別子書換装置が開示用識別子の書換を要求する者の装置へ前記新たな開示用識別子T 'を通知する開示用識別子通知段階とを含む
ことを特徴とする開示用識別子書換方法。 A third party who wants to use the user identifier R instead of the user identifier R that can uniquely identify the user and can present a service related to the user to the service providing system by presenting the user. A disclosure identifier generating / restoring method for generating / restoring a disclosure identifier T for disclosure in
Additional information C including conditions for the user identifier R transmitted from the terminal device of the disclosure by the disclosure identifier generation device and the information C0 that can be obtained by the disclosure identifier restoration device or the service providing system at the time of a third party service request A disclosure identifier generation request reception stage for receiving a specified disclosure identifier generation request;
A disclosure identifier generating step of encrypting at least a part of the user identifier R together with the additional information C so as to be decryptable only by a disclosure identifier restoring device, and generating a disclosure identifier T based on the encryption result;
A service request receiving stage in which the disclosure identifier restoring device receives a service request specifying the disclosure identifier T transmitted from a third party terminal device directly or through a service providing system together with the information C0;
A disclosure identifier restoration stage in which a disclosure identifier restoration device obtains a user identifier R and information C by decoding the disclosure identifier T;
An information notifying step in which the disclosure identifier restoring device or the service providing system notifies the user's terminal device of the additional information C and the information C0;
A service request processing determination stage in which the user terminal device selects a service request processing method based on the additional information C and the information C0;
A for Disclosure identifier rewriting process for rewriting the additional information C to another additional information C2 which <br/> corresponding disclosure identifier T generated by for Disclosure identifier generating and recovery method comprising,
A request accepting stage for accepting a request for rewriting a disclosure identifier designating a disclosure identifier T to be rewritten and a rewritten additional information C2 transmitted from a device of a person who requests rewriting of the disclosure identifier by the disclosure identifier rewriting device; ,
A disclosure identifier restoring stage in which a disclosure identifier rewriting device decrypts the disclosure identifier T to obtain a user identifier R and additional information C;
A disclosure identifier generating stage in which the disclosure identifier rewriting device encrypts the acquired user identifier R together with the additional information C2 so as to be decryptable only by the disclosure identifier restoration device, and generates a new disclosure identifier T ′;
A disclosure identifier rewriting method comprising: a disclosure identifier notifying step in which a disclosure identifier rewriting device notifies the new disclosure identifier T ′ to a device of a person who requests rewriting of a disclosure identifier. 利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成・復元する開示用識別子生成・復元方法であって、
開示用識別子生成装置が利用者の端末装置から送信される利用者識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子生成要求を受信する開示用識別子生成要求受信段階と、
前記利用者識別子Rの少なくとも一部を付加情報Cとともに開示用識別子復元装置でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する開示用識別子生成段階と、
開示用識別子復元装置が第三者の端末装置から直接もしくはサービス提供システムを通じて送信される前記開示用識別子Tを指定したサービス要求を前記情報C0とともに受信す るサービス要求受信段階と、
開示用識別子復元装置が前記開示用識別子Tを復号して利用者識別子R及び情報Cを取得する開示用識別子復元段階と、
開示用識別子復元装置又はサービス提供システムが前記付加情報C及び情報C0を利用者の端末装置へ通知する情報通知段階と、
利用者の端末装置が前記付加情報C及び情報C0に基づき、サービス要求の処理方法を選択するサービス要求処理判定段階と
を含む
開示用識別子生成・復元方法にて生成し又は請求項記載の開示用識別子書換方法にて書き換えた開示用識別子Tを無効化する開示用識別子無効化方法であって、
開示用識別子生成装置又は開示用識別子書換装置が第三者に開示した開示用識別子Tを有効識別子リストデータベースに登録する有効識別子リストデータベース作成段階と、
開示用識別子無効化装置が開示用識別子の無効化を要求する者の装置から送信される利用者識別子R0及び無効化対象の開示用識別子Tを指定した開示用識別子Tの無効化要求を受け付ける要求受付段階と、
開示用識別子無効化装置が前記開示用識別子Tを復号して利用者識別子Rを取得する開示用識別子復元段階と、
開示用識別子無効化装置が前記指定された利用者識別子R0と前記取得した利用者識別子Rとを比較し、一致した場合、有効識別子リストデータベースから前記開示用識別子Tを削除する開示用識別子無効化段階とを含む
ことを特徴とする開示用識別子無効化方法。 A third party who wants to use the user identifier R instead of the user identifier R that can uniquely identify the user and can present a service related to the user to the service providing system by presenting the user. A disclosure identifier generating / restoring method for generating / restoring a disclosure identifier T for disclosure in
Additional information C including conditions for the user identifier R transmitted from the terminal device of the disclosure by the disclosure identifier generation device and the information C0 that can be obtained by the disclosure identifier restoration device or the service providing system at the time of a third party service request A disclosure identifier generation request reception stage for receiving a specified disclosure identifier generation request;
A disclosure identifier generating step of encrypting at least a part of the user identifier R together with the additional information C so as to be decryptable only by a disclosure identifier restoring device, and generating a disclosure identifier T based on the encryption result;
And the service request receiving step for Disclosure identifier recovery device that will receive the service request specifying the disclosure identifier T that is sent either directly or through a service providing system from a third-party terminal as well as the information C0,
A disclosure identifier restoration stage in which a disclosure identifier restoration device obtains a user identifier R and information C by decoding the disclosure identifier T;
An information notifying step in which the disclosure identifier restoring device or the service providing system notifies the user's terminal device of the additional information C and the information C0;
A service request processing determination stage in which the user terminal device selects a service request processing method based on the additional information C and the information C0;
A disclosure identifier invalidating process for invalidating the disclosure identifier T is rewritten by the generated or claim 1 discloses identifier rewriting method according at <br/> disclosure identifier generation and recovery method comprising,
A valid identifier list database creation stage for registering a disclosure identifier T disclosed by a disclosure identifier generating device or a disclosure identifier rewriting device to a third party in a valid identifier list database;
Request for accepting an invalidation request for a disclosure identifier T in which a disclosure identifier invalidation device designates a user identifier R0 and a disclosure identifier T to be invalidated transmitted from the device of the person requesting invalidation of the disclosure identifier The reception stage,
A disclosure identifier restoring stage in which a disclosure identifier invalidating device decrypts the disclosure identifier T to obtain a user identifier R;
The disclosure identifier invalidation device compares the designated user identifier R0 and the acquired user identifier R, and if they match, the disclosure identifier invalidation deletes the disclosure identifier T from the valid identifier list database. A method for disabling identifiers for disclosure. 利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成・復元する開示用識別子生成・復元方法であって、
開示用識別子生成装置が利用者の端末装置から送信される利用者識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子生成要求を受信する開示用識別子生成要求受信段階と、
前記利用者識別子Rの少なくとも一部を付加情報Cとともに開示用識別子復元装置でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する開示用識別子生成段階と、
開示用識別子復元装置が第三者の端末装置から直接もしくはサービス提供システムを通じて送信される前記開示用識別子Tを指定したサービス要求を前記情報C0とともに受信するサービス要求受信段階と、
開示用識別子復元装置が前記開示用識別子Tを復号して利用者識別子R及び情報Cを取得する開示用識別子復元段階と、
開示用識別子復元装置又はサービス提供システムが前記付加情報C及び情報C0を利用者の端末装置へ通知する情報通知段階と、
利用者の端末装置が前記付加情報C及び情報C0に基づき、サービス要求の処理方法を選択するサービス要求処理判定段階と
を含む
開示用識別子生成・復元方法にて生成し又は請求項記載の開示用識別子書換方法にて書き換えた開示用識別子Tを無効化する開示用識別子無効化方法であって、
開示用識別子無効化装置が開示用識別子の無効化を要求する者の装置から送信される利用者識別子R0及び無効化対象の開示用識別子Tを指定した開示用識別子Tの無効化要求を受け付ける要求受付段階と、
開示用識別子無効化装置が前記開示用識別子Tを復号して利用者識別子Rを取得する開示用識別子復元段階と、
開示用識別子無効化装置が前記指定された利用者識別子R0と前記取得した利用者識別子Rとを比較し、一致した場合、無効な開示用識別子を登録する無効識別子リストデータベースに前記開示用識別子Tを登録する開示用識別子無効化段階とを含む
ことを特徴とする開示用識別子無効化方法。 A third party who wants to use the user identifier R instead of the user identifier R that can uniquely identify the user and can present a service related to the user to the service providing system by presenting the user. A disclosure identifier generating / restoring method for generating / restoring a disclosure identifier T for disclosure in
Additional information C including conditions for the user identifier R transmitted from the terminal device of the disclosure by the disclosure identifier generation device and the information C0 that can be obtained by the disclosure identifier restoration device or the service providing system at the time of a third party service request A disclosure identifier generation request reception stage for receiving a specified disclosure identifier generation request;
A disclosure identifier generating step of encrypting at least a part of the user identifier R together with the additional information C so as to be decryptable only by a disclosure identifier restoring device, and generating a disclosure identifier T based on the encryption result;
A service request receiving stage in which the disclosure identifier restoring device receives a service request specifying the disclosure identifier T transmitted from a third party terminal device directly or through a service providing system together with the information C0;
A disclosure identifier restoration stage in which a disclosure identifier restoration device obtains a user identifier R and information C by decoding the disclosure identifier T;
An information notifying step in which the disclosure identifier restoring device or the service providing system notifies the user's terminal device of the additional information C and the information C0;
A service request processing determination stage in which the user terminal device selects a service request processing method based on the additional information C and the information C0;
A disclosure identifier invalidating process for invalidating the disclosure identifier T is rewritten by the generated or claim 1 discloses identifier rewriting method according at <br/> disclosure identifier generation and recovery method comprising,
Request for accepting an invalidation request for a disclosure identifier T in which a disclosure identifier invalidation device designates a user identifier R0 and a disclosure identifier T to be invalidated transmitted from the device of the person requesting invalidation of the disclosure identifier The reception stage,
A disclosure identifier restoring stage in which a disclosure identifier invalidating device decrypts the disclosure identifier T to obtain a user identifier R;
The disclosure identifier invalidating device compares the designated user identifier R0 and the acquired user identifier R, and if they match, the disclosure identifier T is registered in the invalid identifier list database for registering an invalid disclosure identifier. A disclosing identifier invalidating step for registering a disclosing identifier. 利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成・復元する開示用識別子生成・復元方法であって、
開示用識別子生成装置が利用者の端末装置から送信される利用者識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子生成要求を受信する開示用識別子生成要求受信段階と、
前記利用者識別子Rの少なくとも一部を付加情報Cとともに開示用識別子復元装置でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する開示用識別子生成段階と、
開示用識別子復元装置が第三者の端末装置から直接もしくはサービス提供システムを通じて送信される前記開示用識別子Tを指定したサービス要求を前記情報C0とともに受信するサービス要求受信段階と、
開示用識別子復元装置が前記開示用識別子Tを復号して利用者識別子R及び情報Cを取得する開示用識別子復元段階と、
開示用識別子復元装置又はサービス提供システムが前記付加情報C及び情報C0を利用者の端末装置へ通知する情報通知段階と、
利用者の端末装置が前記付加情報C及び情報C0に基づき、サービス要求の処理方法を選択するサービス要求処理判定段階と
を含む
開示用識別子生成・復元方法にて生成し、もしくは請求項記載の開示用識別子書換方法にて書き換え、第三者に開示した開示用識別子Tのうち、有効な開示用識別子Tを登録した有効識別子リストデータベース又は無効な開示用識別子Tを登録した無効識別子リストデータベースを管理する開示用識別子管理方法において、
開示用識別子管理装置が前記有効識別子リストデータベース又は無効識別子リストデータベース中の開示用識別子Tを復号して付加情報Cを取得する段階と、
開示用識別子管理装置が前記取得した付加情報C中の有効期限とその時点の日時とを比較し、有効期限を過ぎている開示用識別子Tを前記リストから削除する段階とを定期的に繰り返す
ことを特徴とする開示用識別子管理方法。 A third party who wants to use the user identifier R instead of the user identifier R that can uniquely identify the user and can present a service related to the user to the service providing system by presenting the user. A disclosure identifier generating / restoring method for generating / restoring a disclosure identifier T for disclosure in
Additional information C including conditions for the user identifier R transmitted from the terminal device of the disclosure by the disclosure identifier generation device and the information C0 that can be obtained by the disclosure identifier restoration device or the service providing system at the time of a third party service request A disclosure identifier generation request reception stage for receiving a specified disclosure identifier generation request;
A disclosure identifier generating step of encrypting at least a part of the user identifier R together with the additional information C so as to be decryptable only by a disclosure identifier restoring device, and generating a disclosure identifier T based on the encryption result;
A service request receiving stage in which the disclosure identifier restoring device receives a service request specifying the disclosure identifier T transmitted from a third party terminal device directly or through a service providing system together with the information C0;
A disclosure identifier restoration stage in which a disclosure identifier restoration device obtains a user identifier R and information C by decoding the disclosure identifier T;
An information notifying step in which the disclosure identifier restoring device or the service providing system notifies the user's terminal device of the additional information C and the information C0;
A service request processing determination stage in which the user terminal device selects a service request processing method based on the additional information C and the information C0;
It is generated by the disclosure identifier generating / restoring method of the disclosure identifier or rewritten by the disclosure identifier rewriting method of claim 1 , and the disclosure identifier T that is disclosed to a third party is effective for disclosure. In the disclosure identifier management method for managing the valid identifier list database in which the identifier T is registered or the invalid identifier list database in which the invalid disclosure identifier T is registered,
The disclosure identifier management device acquires the additional information C by decoding the disclosure identifier T in the valid identifier list database or the invalid identifier list database;
The disclosure identifier management device compares the expiration date in the acquired additional information C with the date and time at that time, and periodically repeats the step of deleting the disclosure identifier T that has expired from the list. An identifier management method for disclosure. 利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成・復元する開示用識別子生成・復元方法であって、
開示用識別子生成装置が利用者の端末装置から送信される利用者識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子生成要求を受信する開示用識別子生成要求受信段階と、
前記利用者識別子Rの少なくとも一部を付加情報Cとともに開示用識別子復元装置でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する開示用識別子生成段階と、
開示用識別子復元装置が第三者の端末装置から直接もしくはサービス提供システムを通じて送信される前記開示用識別子Tを指定したサービス要求を前記情報C0とともに受信す るサービス要求受信段階と、
開示用識別子復元装置が前記開示用識別子Tを復号して利用者識別子R及び情報Cを取得する開示用識別子復元段階と、
開示用識別子復元装置又はサービス提供システムが前記付加情報C及び情報C0を利用者の端末装置へ通知する情報通知段階と、
利用者の端末装置が前記付加情報C及び情報C0に基づき、サービス要求の処理方法を選択するサービス要求処理判定段階と
を含む
開示用識別子生成・復元方法にて生成し、もしくは請求項記載の開示用識別子書換方法にて書き換え、所定の第三者に開示した複数の開示用識別子T1,T2,… …の同一性を確認する開示用識別子同一性確認方法であって、
開示用識別子同一性確認装置が所定の第三者の端末装置から送信される複数の開示用識別子T1,T2,… …を指定した同一性の確認要求を受け付ける要求受付段階と、
開示用識別子同一性確認装置が前記複数の開示用識別子T1,T2,… …を復号して利用者識別子R1,R2,… …を取得する開示用識別子復元段階と、
開示用識別子同一性確認装置が前記取得した利用者識別子R1,R2,… …の同一性を判定し、結果を所定の第三者の端末装置へ通知する同一性確認段階とを含む
ことを特徴とする開示用識別子同一性確認方法。 A third party who wants to use the user identifier R instead of the user identifier R that can uniquely identify the user and can present a service related to the user to the service providing system by presenting the user. A disclosure identifier generating / restoring method for generating / restoring a disclosure identifier T for disclosure in
Additional information C including conditions for the user identifier R transmitted from the terminal device of the disclosure by the disclosure identifier generation device and the information C0 that can be obtained by the disclosure identifier restoration device or the service providing system at the time of a third party service request A disclosure identifier generation request reception stage for receiving a specified disclosure identifier generation request;
A disclosure identifier generating step of encrypting at least a part of the user identifier R together with the additional information C so as to be decryptable only by a disclosure identifier restoring device, and generating a disclosure identifier T based on the encryption result;
And the service request receiving step for Disclosure identifier recovery device that will receive the service request specifying the disclosure identifier T that is sent either directly or through a service providing system from a third-party terminal as well as the information C0,
A disclosure identifier restoration stage in which a disclosure identifier restoration device obtains a user identifier R and information C by decoding the disclosure identifier T;
An information notifying step in which the disclosure identifier restoring device or the service providing system notifies the user's terminal device of the additional information C and the information C0;
A service request processing determination stage in which the user terminal device selects a service request processing method based on the additional information C and the information C0;
Generated in <br/> for Disclosure identifier generating and recovery method comprising, or claim 1 rewritten by for Disclosure identifier rewriting method according, for more of the disclosed disclosed a predetermined third party identifier T1, T2, A method for confirming identity of an identifier for confirming identity of ...
A request accepting stage for accepting an identity confirmation request specifying a plurality of disclosure identifiers T1, T2,... Transmitted from a predetermined third party terminal device by the disclosure identifier identity confirmation device;
A disclosure identifier restoration stage in which a disclosure identifier identity confirmation device decrypts the plurality of disclosure identifiers T1, T2,... To obtain user identifiers R1, R2,.
The identity verification device for disclosure includes the identity verification step of determining the identity of the acquired user identifiers R1, R2,... And notifying the result to a predetermined third party terminal device. Disclosure identifier identity confirmation method. 利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成する開示用識別子生成装置であって、利用者の端末装置から送信される利用者識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子生成要求を受信する手段と、前記利用者識別子Rの少なくとも一部を付加情報Cとともに開示用識別子復元装置でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する手段とを具備する開示用識別子生成装置、または、利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成する開示用識別子生成装置であって、利用者の端末装置から送信される利用者識別子R及び開示用識別子Tの開示に関わる付加情報Csを指定した開示用識別子生成要求を受信する手段と、前記利用者識別子Rの少なくとも一部を付加情報Csとともに開示用識別子復元装置でのみ複合可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する手段とを具備する
開示用識別子生成装置にて生成した開示用識別子Tに対応する付加情報Cを別の付加情報C2へ書き換える開示用識別子書換装置であって、開示用識別子の書換を要求する者の装置から送信される書換対象の開示用識別子T及び書き換え後の付加情報C2を指定した開示用識別子の書き換え要求を受け付ける手段と、前記開示用識別子Tを復号して利用者識別子R及び付加情報Cを取得する手段と、前記取得した利用者識別子Rを前記付加情報C2とともに開示用識別子復元装置でのみ復号可能に暗号化して新たな開示用識別子T'を生成する手段と、開示用識別子の書換を要求する者の装置へ前記新たな開示用識別子T'を通知する手段と
を具備することを特徴とする開示用識別子書換装置。A third party who wants to use the user identifier R instead of the user identifier R that can uniquely identify the user and can present a service related to the user to the service providing system by presenting the user. A disclosure identifier generating device for generating a disclosure identifier T for disclosure to a user identifier R transmitted from a user's terminal device and a disclosure identifier restoring device or service provision upon a third party service request Means for receiving a disclosure identifier generation request designating additional information C including a condition for information C0 available to the system, and decoding at least a part of the user identifier R together with the additional information C only by a disclosure identifier restoring device A disclosure identifier generating device or means for generating a disclosure identifier T based on the encryption result and a user uniquely identified. Disclosure for disclosing to a third party who wishes to use the user identifier R instead of the user identifier R that can request a service related to the user to the service providing system by presenting this A disclosure identifier generation device for generating a disclosure identifier T, which receives a disclosure identifier generation request specifying a user identifier R transmitted from a user terminal device and additional information Cs related to disclosure of the disclosure identifier T And means for encrypting at least a part of the user identifier R together with the additional information Cs so that it can be decrypted only by the disclosure identifier restoring device, and generating the disclosure identifier T based on the encryption result. A disclosure identifier rewriting device for rewriting additional information C corresponding to a disclosure identifier T generated by a disclosure identifier generation device into another additional information C2, comprising: A means for accepting a renewal request for a disclosure identifier designating the rewriting target disclosure identifier T and the rewritten additional information C2 transmitted from the device of the person who requests rewriting, and decrypting and using the disclosure identifier T Means for acquiring a user identifier R and additional information C, and means for encrypting the acquired user identifier R together with the additional information C2 so that it can be decrypted only by a disclosure identifier restoring device to generate a new disclosure identifier T ′ And a means for notifying the device of the person who requests rewriting of the disclosure identifier of the new disclosure identifier T ′. 利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成する開示用識別子生成装置であって、利用者の端末装置から送信される利用者識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子生成要求を受信する手段と、前記利用者識別子Rの少なくとも一部を付加情報Cとともに開示用識別子復元装置でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する手段とを具備する開示用識別子生成装置、または、利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成する開示用識別子生成装置であって、利用者の端末装置から送信される利用者識別子R及び開示用識別子Tの開示に関わる付加情報Csを指定した開示用識別子生成要求を受信する手段と、前記利用者識別子Rの少なくとも一部を付加情報Csとともに開示用識別子復元装置でのみ複合可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する手段とを具備する
開示用識別子生成装置にて生成し、もしくは請求項記載の開示用識別子書換装置にて書き換えた開示用識別子Tを無効化する開示用識別子無効化装置であって、
開示用識別子の無効化を要求する者の装置から送信される利用者識別子R0及び無効化対象の開示用識別子Tを指定した開示用識別子Tの無効化要求を受け付ける手段と、前記開示用識別子Tを復号して利用者識別子Rを取得する手段と、前記指定された利用者識別子R0と前記取得した利用者識別子Rとを比較し、一致した場合、有効な開示用識別子Tを登録した有効識別子リストデータベースから前記開示用識別子Tを削除する手段とを具備する
ことを特徴とする開示用識別子無効化装置。A third party who wants to use the user identifier R instead of the user identifier R that can uniquely identify the user and can present a service related to the user to the service providing system by presenting the user. A disclosure identifier generating device for generating a disclosure identifier T for disclosure to a user identifier R transmitted from a user's terminal device and a disclosure identifier restoring device or service provision upon a third party service request Means for receiving a disclosure identifier generation request designating additional information C including a condition for information C0 available to the system, and decoding at least a part of the user identifier R together with the additional information C only by a disclosure identifier restoring device A disclosure identifier generating device or means for generating a disclosure identifier T based on the encryption result and a user uniquely identified. Disclosure for disclosing to a third party who wants to use the user identifier R instead of the user identifier R that can request a service related to the user to the service providing system by presenting this A disclosure identifier generation device for generating a disclosure identifier T, which receives a disclosure identifier generation request specifying a user identifier R transmitted from a user terminal device and additional information Cs related to disclosure of the disclosure identifier T And means for encrypting at least a part of the user identifier R together with the additional information Cs so that it can be decrypted only by the disclosure identifier restoring device, and generating the disclosure identifier T based on the encryption result. generated in disclosed identifier generating apparatus, or claim 6 discloses identifier invalidating device invalidates the disclosure identifier T is rewritten at disclosed identifier rewriting device according There,
Means for accepting an invalidation request for a disclosure identifier T specifying a user identifier R0 and a disclosure identifier T to be invalidated transmitted from a device of a person requesting invalidation of the disclosure identifier; and the disclosure identifier T And the specified user identifier R0 and the acquired user identifier R are compared, and if they match, the valid identifier in which the valid disclosure identifier T is registered. A disclosure identifier invalidating apparatus comprising: means for deleting the disclosure identifier T from a list database. 利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成する開示用識別子生成装置であって、利用者の端末装置から送信される利用者識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子生成要求を受信する手段と、前記利用者識別子Rの少なくとも一部を付加情報Cとともに開示用識別子復元装置でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する手段とを具備する開示用識別子生成装置、または、利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成する開示用識別子生成装置であって、利用者の端末装置から送信される利用者識別子R及び開示用識別子Tの開示に関わる付加情報Csを指定した開示用識別子生成要求を受信する手段と、前記利用者識別子Rの少なくとも一部を付加情報Csとともに開示用識別子復元装置でのみ複合可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する手段とを具備する
開示用識別子生成装置にて生成し、もしくは請求項記載の開示用識別子書換装置にて書き換えた開示用識別子Tを無効化する開示用識別子無効化装置であって、開示用識別子の無効化を要求する者の装置から送信される利用者識別子R0及び無効化対象の開示用識別子Tを指定した開示用識別子Tの無効化要求を受け付ける手段と、前記開示用識別子Tを復号して利用者識別子Rを取得する手段と、前記指定された利用者識別子R0と前記取得した利用者識別子Rとを比較し、一致した場合、無効な開示用識別子Tを登録する無効識別子リストデータベースに前記開示用識別子Tを登録する手段と具備する
ことを特徴とする開示用識別子無効化装置。A third party who wants to use the user identifier R instead of the user identifier R that can uniquely identify the user and can present a service related to the user to the service providing system by presenting the user. A disclosure identifier generating device for generating a disclosure identifier T for disclosure to a user identifier R transmitted from a user's terminal device and a disclosure identifier restoring device or service provision upon a third party service request Means for receiving a disclosure identifier generation request designating additional information C including a condition for information C0 available to the system, and decoding at least a part of the user identifier R together with the additional information C only by a disclosure identifier restoring device A disclosure identifier generating device or means for generating a disclosure identifier T based on the encryption result and a user uniquely identified. Disclosure for disclosing to a third party who wants to use the user identifier R instead of the user identifier R that can request a service related to the user to the service providing system by presenting this A disclosure identifier generation device for generating a disclosure identifier T, which receives a disclosure identifier generation request specifying a user identifier R transmitted from a user terminal device and additional information Cs related to disclosure of the disclosure identifier T And means for encrypting at least a part of the user identifier R together with the additional information Cs so that it can be decrypted only by the disclosure identifier restoring device, and generating the disclosure identifier T based on the encryption result. generated in disclosed identifier generating apparatus, or claim 6 discloses identifier invalidating device invalidates the disclosure identifier T is rewritten at disclosed identifier rewriting device according Means for accepting an invalidation request for a disclosure identifier T specifying a user identifier R0 and a disclosure identifier T to be invalidated transmitted from a device of a person who requests invalidation of the disclosure identifier; The means for decrypting the user identifier T to acquire the user identifier R is compared with the specified user identifier R0 and the acquired user identifier R, and if they match, an invalid disclosure identifier T is registered. A disclosure identifier invalidating device comprising: means for registering the disclosure identifier T in an invalid identifier list database. 利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成する開示用識別子生成装置であって、利用者の端末装置から送信される利用者識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子生成要求を受信する手段と、前記利用者識別子Rの少なくとも一部を付加情報Cとともに開示用識別子復元装置でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する手段とを具備する開示用識別子生成装置、または、利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成する開示用識別子生成装置であって、利用者の端末装置から送信される利用者識別子R及び開示用識別子Tの開示に関わる付加情報Csを指定した開示用識別子生成要求を受信する手段と、前記利用者識別子Rの少なくとも一部を付加情報Csとともに開示用識別子復元装置でのみ複合可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する手段とを具備する
開示用識別子生成装置にて生成し、もしくは請求項記載の開示用識別子書換装置にて書き換え、第三者に開示した開示用識別子Tのうち、有効な開示用識別子Tを登録した有効識別子リストデータベース又は無効な開示用識別子Tを登録した無効識別子リストデータベースを管理する開示用識別子管理装置において、前記有効識別子リストデータベース又は無効識別子リストデータベースに登録された開示用識別子Tを定期的に順次読み出す手段と、前記開示用識別子Tを復号して付加情報Cを取得する手段と、前記取得した付加情報C中の有効期限とその時点の日時とを比較し、有効期限を過ぎている開示用識別子Tを前記リストから削除する手段とを具備する
ことを特徴とする開示用識別子管理装置。A third party who wants to use the user identifier R instead of the user identifier R that can uniquely identify the user and can present a service related to the user to the service providing system by presenting the user. A disclosure identifier generating device for generating a disclosure identifier T for disclosure to a user identifier R transmitted from a user's terminal device and a disclosure identifier restoring device or service provision upon a third party service request Means for receiving a disclosure identifier generation request designating additional information C including a condition for information C0 available to the system, and decoding at least a part of the user identifier R together with the additional information C only by a disclosure identifier restoring device A disclosure identifier generating device or means for generating a disclosure identifier T based on the encryption result and a user uniquely identified. Disclosure for disclosing to a third party who wishes to use the user identifier R instead of the user identifier R that can request a service related to the user to the service providing system by presenting this A disclosure identifier generating device for generating a disclosure identifier T, which receives a disclosure identifier generation request specifying a user identifier R transmitted from a user terminal device and additional information Cs related to the disclosure of the disclosure identifier T And means for encrypting at least a part of the user identifier R together with the additional information Cs so that it can be decrypted only by the disclosure identifier restoring device, and generating the disclosure identifier T based on the encryption result. generated in disclosed identifier generating apparatus, or rewritten at disclosed identifier rewriting device of claim 6, wherein, among the disclosure identifier T disclosed to third parties, effective disclosure An identifier for disclosure registered in the valid identifier list database or the invalid identifier list database in the disclosure identifier management apparatus for managing the valid identifier list database in which the identifier T is registered or the invalid identifier list database in which the invalid disclosure identifier T is registered Means for periodically reading out T, means for decrypting the disclosure identifier T to acquire additional information C, and comparing the expiration date in the acquired additional information C with the date and time at that time, A disclosure identifier management apparatus comprising: means for deleting a disclosure identifier T past the list from the list. 利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成する開示用識別子生成装置であって、利用者の端末装置から送信される利用者識別子R及び第三者のサービス要求時に開示用識別子復元装置又はサービス提供システムが入手可能な情報C0に対する条件を含む付加情報Cを指定した開示用識別子生成要求を受信する手段と、前記利用者識別子Rの少なくとも一部を付加情報Cとともに開示用識別子復元装置でのみ復号可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する手段とを具備する開示用識別子生成装置、または、利用者を一意に識別可能で、これを提示することによりサービス提供システムに対して当該利用者に関するサービスを要求可能とする利用者識別子Rに代えて、当該利用者識別子Rを使用したい第三者に開示するための開示用識別子Tを生成する開示用識別子生成装置であって、利用者の端末装置から送信される利用者識別子R及び開示用識別子Tの開示に関わる付加情報Csを指定した開示用識別子生成要求を受信する手段と、前記利用者識別子Rの少なくとも一部を付加情報Csとともに開示用識別子復元装置でのみ複合可能に暗号化し、該暗号化結果を基に開示用識別子Tを生成する手段とを具備する
開示用識別子生成装置にて生成し、もしくは請求項記載の開示用識別子書換装置にて書き換え、所定の第三者に開示した複数の開示用識別子T1,T2,… …の同一性を確認する開示用識別子同一性確認装置であって、所定の第三者の端末装置から送信される複数の開示用識別子T1,T2,… …を指定した同一性の確認要求を受け付ける手段と、前記複数の開示用識別子T1,T2,… …を復号して利用者識別子R1,R2,… …を取得する手段と、前記取得した利用者識別子R1,R2,… …の同一性を判定し、結果を所定の第三者の端末装置へ通知する手段とを具備する
ことを特徴とする開示用識別子同一性確認装置。A third party who wants to use the user identifier R instead of the user identifier R that can uniquely identify the user and can present a service related to the user to the service providing system by presenting the user. A disclosure identifier generating device for generating a disclosure identifier T for disclosure to a user identifier R transmitted from a user's terminal device and a disclosure identifier restoring device or service provision upon a third party service request Means for receiving a disclosure identifier generation request designating additional information C including a condition for information C0 available to the system, and decoding at least a part of the user identifier R together with the additional information C only by a disclosure identifier restoring device A disclosure identifier generating device or means for generating a disclosure identifier T based on the encryption result and a user uniquely identified. Disclosure for disclosing to a third party who wishes to use the user identifier R instead of the user identifier R that can request a service related to the user to the service providing system by presenting this A disclosure identifier generating device for generating a disclosure identifier T, which receives a disclosure identifier generation request specifying a user identifier R transmitted from a user terminal device and additional information Cs related to the disclosure of the disclosure identifier T And means for encrypting at least a part of the user identifier R together with the additional information Cs so that it can be decrypted only by the disclosure identifier restoring device, and generating the disclosure identifier T based on the encryption result. generated in disclosed identifier generating apparatus, or rewritten at disclosed identifier rewriting device of claim 6, wherein a plurality of disclosed identifier disclosed a predetermined third parties T1, T ,... Is a disclosure identifier identity confirmation device for confirming the identity of a plurality of disclosure identifiers T1, T2,... Transmitted from a predetermined third-party terminal device. A means for receiving a request, a means for obtaining the user identifiers R1, R2,... By decoding the plurality of disclosure identifiers T1, T2,..., And the obtained user identifiers R1, R2,. An identifier identity confirmation device for disclosure, comprising: means for determining identity and notifying a result to a predetermined third party terminal device.
JP2003137778A 2003-05-15 2003-05-15 Disclosure identifier generation / restoration method, rewrite method, invalidation method, identity confirmation method and apparatus thereof Expired - Lifetime JP4167540B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003137778A JP4167540B2 (en) 2003-05-15 2003-05-15 Disclosure identifier generation / restoration method, rewrite method, invalidation method, identity confirmation method and apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003137778A JP4167540B2 (en) 2003-05-15 2003-05-15 Disclosure identifier generation / restoration method, rewrite method, invalidation method, identity confirmation method and apparatus thereof

Publications (2)

Publication Number Publication Date
JP2004341830A JP2004341830A (en) 2004-12-02
JP4167540B2 true JP4167540B2 (en) 2008-10-15

Family

ID=33527369

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003137778A Expired - Lifetime JP4167540B2 (en) 2003-05-15 2003-05-15 Disclosure identifier generation / restoration method, rewrite method, invalidation method, identity confirmation method and apparatus thereof

Country Status (1)

Country Link
JP (1) JP4167540B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006185124A (en) 2004-12-27 2006-07-13 Internatl Business Mach Corp <Ibm> Leakage origin specifiable mail address configuration method, leakage origin specifiable mail transmission/reception method utilizing this method, and system therefor
JP6214348B2 (en) * 2013-11-12 2017-10-18 株式会社ホットブレイン Customer email address acquisition method and customer email address acquisition system

Also Published As

Publication number Publication date
JP2004341830A (en) 2004-12-02

Similar Documents

Publication Publication Date Title
KR100748569B1 (en) Communication method, communication system, relay system, communication program, program for communication system, mail distribution system, mail distribution method, and mail distribution program
JP4717886B2 (en) Method and system for regulating email
JP4544417B2 (en) List management server, list management system, list management method and program
KR101387600B1 (en) Electronic file sending method
JP2002057660A (en) System and method for using role certificate as signature, digital seal, and digital signature in coding
US8578150B2 (en) Contact information retrieval system and communication system using the contract information retrieval system
Crocker et al. MIME object security services
JP2004127298A (en) Address assignment for electronic message peculiar to transmission source
JP6706596B2 (en) Communication system, communication device, and communication method
JP5793251B2 (en) Information processing apparatus, e-mail browsing restriction method, computer program, and information processing system
JP4167540B2 (en) Disclosure identifier generation / restoration method, rewrite method, invalidation method, identity confirmation method and apparatus thereof
KR100369282B1 (en) An E-mail service system with anti-spam mail using virtual E-mail addresses and method therefor
JP3562648B2 (en) E-mail transmission system by proxy e-mail address
JP4641148B2 (en) Personal information disclosure system, personal information disclosure method, and personal information disclosure program
JP2005026963A (en) Communication method, device, and its program
US20080134346A1 (en) Transactions Certification Method And System To Protect Privacy On Details Of Electronic Transactions
JP2006185124A (en) Leakage origin specifiable mail address configuration method, leakage origin specifiable mail transmission/reception method utilizing this method, and system therefor
JP4050666B2 (en) Communication method and apparatus
JP6129243B2 (en) Information processing apparatus, electronic file browsing restriction method, computer program, and information processing system
JP4113061B2 (en) Disclosure identifier generation / restoration method, identity confirmation method and apparatus
JP4523359B2 (en) Access control system, access control method, and access control program
JP3849586B2 (en) E-mail system
JP2008198190A (en) Method and system for secure exchange of electronic mail message
CN116170401A (en) Distributed mailbox system based on block chain
JP2005115830A (en) System, method and program for e-mail delivery

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070903

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080313

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080422

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080619

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20080626

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080722

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080801

R151 Written notification of patent or utility model registration

Ref document number: 4167540

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110808

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120808

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130808

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term