JP4265479B2 - 通信システム - Google Patents

通信システム Download PDF

Info

Publication number
JP4265479B2
JP4265479B2 JP2004155922A JP2004155922A JP4265479B2 JP 4265479 B2 JP4265479 B2 JP 4265479B2 JP 2004155922 A JP2004155922 A JP 2004155922A JP 2004155922 A JP2004155922 A JP 2004155922A JP 4265479 B2 JP4265479 B2 JP 4265479B2
Authority
JP
Japan
Prior art keywords
data
client device
server device
program
hash
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004155922A
Other languages
English (en)
Other versions
JP2005339104A (ja
Inventor
泰勲 安田
郁生 篠崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2004155922A priority Critical patent/JP4265479B2/ja
Priority to US11/115,120 priority patent/US8484449B2/en
Priority to KR1020050044038A priority patent/KR101139658B1/ko
Priority to CN2005100758354A priority patent/CN1703001B/zh
Publication of JP2005339104A publication Critical patent/JP2005339104A/ja
Application granted granted Critical
Publication of JP4265479B2 publication Critical patent/JP4265479B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Description

本発明は、ネットワークなどの通信において、ユーザの匿名性と一意性とを保証する通信システムに関する。
例えば、チャット、掲示板あるいはオークションなど複数のユーザ間のコミュニケーションの場をサーバ装置が提供する通信システムがある。
このような通信システムでは、上記サーバ装置は、例えば、ユーザの匿名性を保つために、ユーザからの登録要求に応じて、当該サーバ装置内で固有のユーザ匿名IDを発行する。
以後、ユーザは、自らに発行されたユーザ匿名IDを使って、上記コミュニケーションに参加する。
ところで、上述したシステムでは、単数のユーザが自らの端末装置を操作して複数の登録要求をサーバ装置に送信し、複数のユーザ匿名IDを取得することが可能になる。
これでは、サーバ装置が提供するコミュニケーションの場において、ユーザの一意性が保たれないという問題がある。
あるいは、他人の匿名IDを詐称することが可能である。パスワードの保護がない場合にはユーザが任意に設定できるので簡単に詐称が可能である。パスワードの保護がある場合でも、パスワード自体の強度の問題(盗聴などで漏洩、推測可能である場合など)にはやはり詐称が可能であり、現状を振り返ってみるとこのような被害は多発している。
このような問題を解決するために、ユーザが、自らの個人情報をTTP(Trusted Third Party)に提供し、それを基に自らの正当性(一意性)を認証させ、その結果を基に上記サーバ装置がユーザ匿名IDを発行するシステムがある。
特開2003−122946号公報
しかしながら、上述した従来の通信システムでは、ユーザはTTPのサーバ装置に個人情報を提供して自らを認証させる必要があり、個人情報の秘匿性の観点から望ましくないという問題がある。
また、上述した従来の通信システムでは、ユーザの端末装置は、上記コミュニケーションの場を提供するサーバ装置の他に、TTPのサーバ装置とも通信を行う必要があり、通信処理の負担が大きいという問題もある。
本発明は上述した従来技術の問題点に鑑みて成され、ユーザが個人情報を提供することなく、しかも少ない通信量で、ユーザの匿名性と一意性を保証したユーザ匿名IDを発行できる通信システムを提供することを目的とする。
上述した従来技術の問題点を解決し、上述した目的を達成するために、本発明によれば、通信網を介して接続された、認証機関と、サーバ装置と、単数のユーザが使用する少なくとも1のクライエント装置と、オペレーティングシステム(OS)ベンダと、アプリケーションプログラム(AP)ベンダとを有する、通信システムであって、
前記クライエント装置は、外部からの攻撃に対して誤動作および/または内部データの漏洩が生じないように構成された耐タンパ性のあるハードウエア回路であり、ユーザによって書き換えできないように、当該クライエント装置に固有の識別データである機器認証データ(機器ID)を記憶する、クライエント装置セキュアチップと、クライエント装置制御処理手段と、入出力プログラム、ローダプログラム、オペレーティングシステム、および、アプリケーションプログラムを記憶する、クライエント装置記憶手段とを有し、
前記サーバ装置は、サーバ装置記憶手段と、外部からの攻撃に対して誤動作および/または内部データの漏洩が生じないように構成された耐タンパ性のあるハードウエア回路である、サーバ装置セキュアチップと、サーバ装置制御処理手段とを有し、
前記サーバ装置セキュアチップは、乱数発生回路と、前記乱数発生回路で発生された乱数を基に通信の安全性に係わる鍵データを生成する鍵生成回路と、ハッシュデータを生成するハッシュ回路と、前記鍵データを用いた暗号化および復号を行って暗号データの生成および暗号データの復号を行い、さらに署名データの生成および署名データの検証を行う、署名・暗号回路と、前記サーバ装置制御処理手段の制御に従って、当該サーバ装置セキュアチップの動作を制御するクライエント装置セキュア・プロセッサ手段とを有し、
前記OSベンダは、前記クライエント装置に組み込まれる、入出力プログラム、ローダプログラム、オペレーティングシステムを前記クライエント装置に提供し、前記入出力プログラム、前記ローダプログラム、前記オペレーティングシステムのハッシュデータを生成し、当該生成したハッシュデータを所定のビットフィールドに格納した起動プログラム検証データを生成し、当該生成した起動プログラム検証データを参照起動プログラム検証データとして前記サーバ装置に提供し、
前記APベンダは、前記クライエント装置において動作するアプリケーションプログラムを前記クライエント装置に提供し、前記アプリケーションプログラムのハッシュデータを生成し、当該生成したハッシュデータを参照ハッシュデータとして前記サーバ装置に提供し、
前記認証機関は、前記クライエント装置セキュアチップの公開鍵証明データを前記サーバ装置に提供し、前記公開鍵証明データに対応した秘密鍵データを前記クライエント装置に提供し、
前処理として、前記サーバ装置制御処理手段は、前記APベンダが提供する前記参照ハッシュデータを入力して前記サーバ装置記憶手段に書き込み、前記認証機関が提供する、公開鍵データを含む公開鍵認証データを入力して前記サーバ装置記憶手段に書き込み、
前記クライエント装置の起動のとき、
前記クライエント装置処理手段は、前記クライエント装置記憶手段から前記入出力プログラム、前記ローダプログラムおよび前記オペレーティングシステムをこの順序で読みだして起動して前記機器IDをユーザが書き換えできないことを保証した動作環境を実現し、前記クライエント装置記憶手段から前記アプリケーションプログラムを読みだして起動し、
前記クライエント装置セキュアチップは、
前記順次起動された入出力プログラム、ローダプログラムおよびオペレーティングシステムのハッシュデータを生成し、当該生成したハッシュデータを所定のビットフィールドに格納した起動プログラム検証データを生成し、
前記起動されたアプリケーションプログラムのハッシュデータを生成し、前記生成した起動プログラム検証データおよび前記生成したアプリケーションプログラムのハッシュデータを前記クライエント装置記憶手段に書き込み、
前記クライエント装置がユーザ匿名IDを前記サーバ装置に送信するとき、前記クライエント装置制御処理手段は、前記クライエント装置セキュアチップから前記機器IDを読み出し、当該機器IDを含む登録要求を前記サーバ装置に送信し、
前記サーバ装置制御処理手段は、前記クライエント装置からの前記登録要求を受信したとき、前記クライエント装置に前記起動プログラム検証データおよびハッシュデータの送信を要求し、
前記クライエント装置制御処理手段は、前記要求された起動プログラム検証データおよびハッシュデータを前記サーバ装置に送信し、
前記サーバ装置制御処理手段は、
前記受信した起動プログラム検証データおよびハッシュデータと、前記サーバ装置記憶手段に記憶させた前記参照起動プログラム検証データおよび前記参照ハッシュデータとを比較し、一致した場合当該クライエント装置の動作環境が正当であると判断し、
当該クライエント装置の動作環境が正当であると判断した場合、前記受信した要求に含まれる機器IDがすでに登録されたものであるか否かを検証し、
前記受信した要求に含まれる機器IDが未登録の場合、固有のユーザ匿名IDを発行し、
前記サーバ装置セキュアチップの鍵生成回路は、前記発行されたユーザ匿名IDに対応した鍵データを生成し、
前記サーバ装置制御処理手段は、前記クライエント装置から受信した機器IDと、前記発行したユーザ匿名IDと、前記生成された鍵データとを対応づけて示す項目をテーブルデータに登録し、
前記サーバ装置制御処理手段は当該発行したユーザ匿名IDと前記生成された鍵データとを前記クライエント装置に送信し、
前記クライエント装置制御処理手段は、
前記サーバ装置から前記ユーザ匿名IDと前記鍵データとを受信し、当該受信した鍵データを前記認証機関から提供された秘密鍵データで復号して、前記ユーザ匿名IDと前記復号した鍵データとを前記クライエント装置セキュアチップに書き込み、
前記サーバ装置にデータを送信するとき、当該復号した鍵データで送信すべきデータを暗号化し、当該暗号化されたデータに前記匿名IDを付加して送信する、
通信システムが提供される。
また本発明によれば、通信網を介して接続された、認証機関と、サーバ装置と、1のクライエント装置を複数のユーザが使用する少なくとも1のクライエント装置と、オペレーティングシステム(OS)ベンダと、アプリケーションプログラム(AP)ベンダとを有する、通信システムであって、
前記クライエント装置は、外部からの攻撃に対して誤動作および/または内部データの漏洩が生じないように構成された耐タンパ性のあるハードウエア回路であり、ユーザによって書き換えできないように、当該クライエント装置に固有の識別データである機器認証データ(ID)を記憶し、演算処理機能を有する、クライエント装置セキュアチップと、クライエント装置制御処理手段と、入出力プログラム、ローダプログラム、オペレーティングシステム、および、アプリケーションプログラムを記憶する、クライエント装置記憶手段とを有し、
前記サーバ装置は、サーバ装置記憶手段と、外部からの攻撃に対して誤動作および/または内部データの漏洩が生じないように構成された耐タンパ性のあるハードウエア回路である、サーバ装置セキュアチップと、サーバ装置制御処理手段とを有し、
前記OSベンダは、前記クライエント装置に組み込まれる、入出力プログラム、ローダプログラムおよびオペレーティングシステムを前記クライエント装置に提供し、前記入出力プログラム、前記ローダプログラムおよび前記オペレーティングシステムのハッシュデータを生成し、当該生成したハッシュデータを所定のビットフィールドに格納した起動プログラム検証データを生成し、当該生成した起動プログラム検証データを参照起動プログラム検証データとして前記サーバ装置に提供し、
前記APベンダは、前記クライエント装置において動作する前記アプリケーションプログラムを前記クライエント装置に提供し、前記アプリケーションプログラムのハッシュデータを生成し、当該生成したハッシュデータを参照ハッシュデータとして前記サーバ装置に提供し、前記認証機関は、前記クライエント装置セキュアチップの公開鍵証明データを前記サーバ装置に提供し、前記公開鍵証明データに対応した秘密鍵データを前記クライエント装置に提供し、
前処理として、前記サーバ装置制御処理手段は、前記APベンダが提供する前記参照ハッシュデータを入力して前記サーバ装置記憶手段に書き込み、前記認証機関が提供する、公開鍵データを含む公開鍵認証データを入力して前記サーバ装置記憶手段に書き込み、
前記クライエント装置の起動のとき、
前記クライエント装置処理手段は、前記クライエント装置記憶手段から前記入出力プログラム、前記ローダプログラムおよび前記オペレーティングシステムをこの順序で読みだして起動して前記機器IDをユーザが書き換えできないことを保証した動作環境を実現し、前記クライエント装置記憶手段から前記アプリケーションプログラムを読みだして起動し、
前記クライエント装置セキュアチップは、
前記順次起動された入出力プログラム、ローダプログラムおよびオペレーティングシステムのハッシュデータで生成し、当該生成したハッシュデータを所定のビットフィールドに格納した起動プログラム検証データを生成し、
前記起動されたアプリケーションプログラムのハッシュデータを生成し、前記生成した起動プログラム検証データおよび前記生成したアプリケーションプログラムのハッシュデータを前記クライエント装置記憶手段に書き込み、
前記クライエント装置はユーザ匿名IDを登録するとき、当該登録要求を前記サーバ装置に送信し、
前記サーバ装置制御処理手段は、前記登録要求を受信したとき、前記クライエント装置に前記起動プログラム検証データおよびハッシュデータの送信を要求し、
前記クライエント装置制御処理手段は、前サーバ装置から起動プログラム検証データおよびハッシュデータの送信要求があったとき、前記クライエント装置記憶手段に記憶されている起動プログラム検証データおよびハッシュデータを読みだして前記サーバ装置に送信し、
前記サーバ装置制御処理手段は、
受信した前記起動プログラム検証データおよびハッシュデータと、前記サーバ装置記憶手段に記憶させた前記参照起動プログラム検証データおよび前記参照ハッシュデータとを比較し、一致した場合当該クライエント装置の動作環境が正当であると判断し、
当該クライエント装置の動作環境が正当であると判断した場合、前記クライエント装置に疑似匿名識別データの送信を要求し、
前記クライエント装置制御処理手段は、前記サーバ装置から前記疑似匿名識別データの生成の要求を受信したとき、前記クライエント装置セキュアチップにおいて信用機関と通信を行って公開鍵データと秘密鍵データとを生成させ、当該生成した公開鍵データを前記信用機関に送信して署名データを付加させ、さらに、前記クライエント装置セキュアチップにおいて各ユーザごとに疑似匿名認証データを割り当てさせ、前記生成した疑似匿名識別データを前記サーバ装置に送信し、
前記サーバ装置制御処理手段は、
前記クライエント装置から受信した前記疑似匿名識別データが未登録か否かを検証し、
前記疑似匿名識別データが未登録の場合、未登録であることを前記クライエント装置に送信し、固有のユーザ匿名IDを発行し、
前記クライエント装置から受信した前記疑似匿名識別データと、前記発行したユーザ匿名IDとを対応づけて示す項目をテーブルデータに登録し、
前記発行したユーザ匿名IDを前記クライエント装置に送信し、
前記クライエント装置制御処理手段は、
前記サーバ装置から前記ユーザ匿名IDを受信したとき、前記生成した疑似匿名識別データと前記受信したユーザ匿名IDとを対応づけて前記クライエント装置セキュアチップに書き込み、
前記サーバ装置にデータを送信するとき、送信すべきデータを前記疑似匿名識別データを用いて暗号化し、当該暗号化されたデータに前記匿名IDを付加して送信する、
通信システムが提供される。
本発明によれば、ユーザが個人情報を提供することなく、しかも少ない通信量で、ユーザの匿名性と一意性を保証したユーザ匿名IDを発行できる通信システムを提供することができる。
以下、本発明の実施形態に係わる通信システムについて説明する。
<第1実施形態>
以下、図1〜図9を参照して本発明の第1実施形態を説明する。
本実施形態は、第1〜第3および第7の発明に対応している。
〔本発明の構成との対応関係〕
先ず、本実施形態の構成要素と、本発明の構成要素との対応関係を説明する。
ここで、図1等に示すサーバ装置Sが、第2の発明の通信装置、並びに第1および第3の発明のコンピュータに対応している。
また、本実施形態のユーザ匿名IDが本発明のユーザ匿名識別データに対応し、本実施形態の機器IDが本発明の装置識別データに対応している。
また、図4に示すインタフェース42が第2の発明のインタフェースに対応し、CPU45が第2の発明の実行回路に対応している。
また、図8に示すステップST32が第1の発明の第1の手順、並びに第3の発明の第1の工程に対応している。
また、図8に示すステップST33が第1の発明の第2の手順、並びに第3の発明の第2の工程に対応している。
また、図8に示すステップST34,ST35が第1の発明の第3の手順、並びに第3の発明の第3の工程に対応している。
図1は、本発明の第1実施形態の通信システム1の全体構成図である。
図1に示すように、通信システム1は、例えば、OSベンダ10、APベンダ12、認証機関14、クライアント装置Cおよびサーバ装置Sを有する。
本実施形態において、クライアント装置Cは一般のユーザが使用するパーソナルコンピュータや携帯電話などである。
また、サーバ装置Sは、例えば、チャット、掲示板あるいはオークションなど複数のユーザ間のコミュニケーションの場を提供するコンピュータである。
〔OSベンダ10〕
OSベンダ10は、例えば、クライアント装置Cに組み込まれたプログラムBIOS_C、ローダプログラムL_CおよびオペレーティングシステムOS_Cを提供するベンダである。
また、OSベンダ10は、プログラムBIOS_C、ローダプログラムL_CおよびオペレーティングシステムOS_Cの各々のハッシュデータを生成し、これらを所定のビットフィールドに格納した起動プログラム検証データPHDを生成し、これを参照起動プログラム検証データR_PHDとしてサーバ装置Sに提供(送信)する。
〔APベンダ12〕
APベンダ12は、クライアント装置C上で動作するアプリケーションプログラムAP_Cをクライアント装置Cに提供するベンダである。
APベンダ12は、アプリケーションプログラムAP_Cのハッシュデータを生成し、これを参照ハッシュデータR_AP_Cとしてセキュアな状態でサーバ装置Sに提供(送信)する。
〔認証機関14〕
認証機関14は、クライアント装置CのセキュリティチップSC_Cの公開鍵証明データCert_sc1をサーバ装置Sに提供する。
また、認証機関14は、公開鍵証明データCert_sc1に対応した秘密鍵データKpri_sc1をクライアント装置Cに提供する。
以下、クライアント装置Cおよびサーバ装置Sについて説明する。
〔クライアント装置C〕
クライアント装置Cは、耐タンパ性の回路(ハードウェア)であるセキュリティチップSC_Cと、図示しないCPU、メモリ、並びにネットワーク9のインタフェースを有する。
ここで、耐タンパ性の回路は、外部から当該回路に対する攻撃(内部データの不正読み出し、入力周波数や入力電圧を所定外に設定する攻撃)を加えたときに、誤動作や内部データの洩漏を生じないように構成された回路である。
本実施形態では、セキュリティチップSC_Cは、クライアント装置Cに固有の識別データである機器IDを記憶している。
当該機器IDは、ユーザによって書き換えできないように保護されている。
クライアント装置Cは、起動されると、プログラムBIOS_C、ローダプログラムL_C、オペレーティングシステムOS_CおよびアプリケーションプログラムAP_Cを順に起動し、これらのプログラムによって、機器IDをユーザが書き換えできないことを保証した動作環境を実現する。
また、クライアント装置Cは、上記起動されたプログラムのハッシュデータを自動的且つ強制的に生成する。
以下、クライアント装置Cの動作例を説明する。
〔第1の動作例〕
以下、クライアント装置Cが起動時に行う動作例を説明する。
図2は、当該動作例を説明するためのフローチャートである。
ステップST1:
クライアント装置CのCPUは、クライアント装置Cが起動されたか否かを判断し、起動されたと判断するとステップST2に進む。
ステップST2:
CPUは、メモリから、プログラムBIOS_C、ローダプログラムL_CおよびオペレーティングシステムOS_Cを順に読み出して実行(起動)する。
続いて、CPUは、メモリからアプリケーションプログラムAP_Cを読み出して起動する。
ステップST3:
セキュリティチップSC_Cは、ステップST2で起動されたプログラムBIOS_C、ローダプログラムL_CおよびオペレーティングシステムOS_cのハッシュデータをを生成し、これらを所定のビットフィールドに格納した起動プログラム検証データPHDを生成する。
また、セキュリティチップSC_Cは、ステップST2で起動されたアプリケーションプログラムAP_CのハッシュデータAP_C_hashを生成する。
ステップST4:
セキュリティチップSC_Cは、ステップST3で生成した起動プログラム検証データPHDおよびハッシュデータAP_C_hashをメモリに書き込む。
〔第2の動作例〕
以下、クライアント装置Cがユ−ザ匿名IDの登録要求をサーバ装置に送信する場合の動作例を説明する。
図3は、当該動作例を説明するためのフローチャートである。
ステップST11:
クライアント装置CのCPUは、ユ−ザ匿名IDの登録要求指示がユーザによって入力されたか否かを判断し、入力されたと判断したことを条件にステップST12に進む。
ステップST12:
クライアント装置CのCPUは、セキュリティチップSC_Cから機器IDを読み出し、これを含む登録要求をサーバ装置Sに送信する。
ステップST13:
クライアント装置CのCPUは、サーバ装置Sから起動プログラム検証データPHDおよびハッシュデータAP_C_hashの要求を受信したか否かを判断し、受信したと判断したことを条件にステップST14に進む。
ステップST14:
クライアント装置CのCPUは、上記第1の動作例で生成および記憶した起動プログラム検証データPHDおよびハッシュデータAP_C_hashをメモリから読み出してサーバ装置Sに送信する。
ステップST15:
クライアント装置CのCPUは、サーバ装置Sから、ユーザ匿名IDと鍵データKを受信したか否かを判断し、受信したと判断するとステップST16に進む。
ステップST16:
クライアント装置CのCPUは、ステップST15で受信したユーザ匿名IDと鍵データKをセキュリティチップSC_Cに書き込む。
このとき、鍵データKは、クライアント装置Cの公開鍵データKpub−sc1で暗号化されており、CPUは秘密鍵データKpri−sc1を基に当該鍵データKを復号してセキュリティチップSC_Cに書き込む。
以後、クライアント装置CPUは、サーバ装置Sにデータを送信するときに、当該データを鍵データKで暗号化し、暗号化したデータにユーザ匿名IDを付加して送信する。
〔サーバ装置S〕
図4は、図1に示すサーバ装置Sの構成図である。
図4に示すように、サーバ装置Sは、例えば、インタフェース42、メモリ43、セキュリティチップSC_SおよびCPU45を有し、これらがデータ線40を介して接続されている。
インタフェース42は、ネットワーク9を介してクライアント装置Cとの間でデータおよび要求の送受信を行う。
メモリ43は、プログラムBIOS_S、ローダプログラムL_S、オペレーティングシステムOS_SおよびアプリケーションプログラムAP_Sを記憶する。
CPU45は、メモリ43に記憶された種々のプログラムを読み出し、所定のソフトウェア環境を実現する。
CPU45は、例えば、図5に示すように、CPU45およびセキュリティチップSC_Sなどのハードウェア上でプログラムBIOS_Sを動作させる。
また、CPU45は、プログラムBIOS_S上でローダプログラムL_Sを動作させ、このローダプログラムL_Sを基にオペレーティングシステムOS_Sを起動する。
また、CPU45は、オペレーティングシステムOS_S上でアプリケーションプログラムAP_Sを動作させる。
CPU45は、サーバ装置Sの処理を、アプリケーションプログラムAP_Sに従って以下に示すように統括的に制御する。
なお、アプリケーションプログラムAP_Sが第1の発明のプログラムに対応する。
セキュリティチップSCは、耐タンパ性の回路であり、外部から当該回路に対する攻撃(内部データの不正読み出し、入力周波数や入力電圧を所定外に設定する攻撃)を加えたときに、誤動作や内部データの洩漏を生じないように構成された回路である。
図6は、図4に示すセキュリティチップSC_Sの構成図である。
図6に示すように、セキュリティチップSC_Sは、例えば、入出力回路(I/O)51、鍵生成回路52、ハッシュ回路53、乱数発生回路54、署名・暗号回路55、メモリ56およびプロセッサ57を有し、これらがデータ線50を介して接続されている。
入出力回路51は、図4に示すデータ線40に接続され、セキュリティチップSC_Sの内部と外部との間でデータ入出力を行う。
鍵生成回路52は、例えば、乱数発生回路54が発生した乱数を基に、セキュリティに係わる種々の鍵データを生成する。
ハッシュ回路53は、ハッシュデータを生成する。
乱数発生回路54は、乱数を発生(生成)する。
署名・暗号回路55は、鍵データを用いた暗号化および復号を行い、暗号データの生成、暗号データの復号、署名データの生成、並びに署名データの検証を行う。
メモリ56は、プログラムPRG_SCを記憶する。
プロセッサ57は、図4に示すCPU45からの制御に従って、セキュリティチップSCの動作を統括して制御する。
以下、サーバ装置Sの動作例を説明する。
〔第1の動作例〕
以下、サーバ装置Sの前処理について説明する。
図7は、当該処理を説明するためのフローチャートである。
ステップST21:
図4に示すサーバ装置SのCPU45は、インタフェース42を介してOSベンダ10が提供する前述した参照起動プログラム検証データR_PHDを入力、これをメモリ43に書き込む。
ステップST22:
CPU45は、例えば、インタフェース42を介してAPベンダ12が提供する参照ハッシュデータR_AP_Cを入力し、これをメモリ43に書き込む。
ステップST23:
CPU45は、例えば、インタフェース42を介して認証機関14が提供する公開鍵証明データCert_sc1を入力し、これをメモリ43に書き込む。
なお、公開鍵証明データCert_sc1には公開鍵データが含まれる。
〔第2の動作例〕
以下、クライアント装置Cから登録要求を受信した場合におけるサーバ装置Sの動作例を説明する。
図8は、当該動作例を説明するためのフローチャートである。
ステップST31:
図4に示すサーバ装置SのCPU45は、インタフェース42を介してクライアント装置Cから登録要求を受信したか否かを判断し、受信したと判断したことを条件にステップST32に進む。
ステップST32:
CPU45は、通信先であるクライアント装置Cの動作環境を検証する。
具体的には、CPU45は、インタフェース42を介してクライアント装置Cに起動プログラム検証データPHDおよびハッシュデータAP_C_hashを要求する。
そして、CPU45は、上記要求に応じてクライアント装置Cからインタフェース42を介して受信した起動プログラム検証データPHDおよびハッシュデータAP_C_hashと、図7に示すステップST21,ST22で記憶した参照起動プログラム検証データR_PHDおよび参照ハッシュデータR_AP_Cとをそれぞれ比較し、双方が一致している場合にクライアント装置Cの動作環境が正当であると判断し、そうでない場合に当該動作環境が不当であると判断する。
本実施形態において、クライアント装置Cの正当な動作環境とは、クライアント装置CにおいてプログラムBIOS_C、ローダプログラムL_C、オペレーティングシステムOS_CおよびアプリケーションプログラムAP_Cが起動されていること、すなわち、機器IDをユーザが書き換えできないことを保証する動作環境である。
また、当該動作環境では、登録要求に機器IDが自動的(強制的)に付加される。
ステップST33:
CPU45は、ステップST31で受信した登録要求に含まれるクライアント装置Cの機器IDを取得し、この機器IDが既に登録されたものであるか否かを検証する。
ステップST34:
CPU45は、ステップST32でクライアント装置Cの動作環境が正当であると判断し、且つ、ステップST33で機器IDが未登録であると判断すると、ステップST35に進み、そうでない場合には処理を終了する。
ステップST35:
CPU45は、例えば、サーバ装置Sのプロバイダ内で固有のユーザ匿名IDを発行する。
また、図6に示す鍵生成回路52がセキュリティチップSC_Sが、CPU45の制御に従って、上記発行したユーザ匿名IDに対応した鍵データKを生成する。
ステップST36:
CPU45は、ステップST33で取得した機器IDと、ステップST35で生成したユーザ匿名IDと、鍵データKとを対応付けて示す項目をテーブルデータTBLに登録する。
〔第3の動作例〕
以下、クライアント装置Cからデータを受信した場合におけるサーバ装置Sの動作例を説明する。
図9は、当該動作例を説明するためのフローチャートである。
ステップST51:
図4に示すサーバ装置Sのインタフェース42が、クライアント装置Cからデータを受信する。
当該データには、ユーザ匿名IDと、前述した鍵データKで暗号化された暗号データとが含まれている。
ステップST52:
サーバ装置SのCPU45が、ステップST51で受信したデータからユーザ匿名IDを取得する。
ステップST53:
CPU45が、図8に示すステップST36で説明したテーブルデータTBLから、ステップST52で取得したユーザ匿名IDに対応した鍵データKを取得する。
ステップST54:
CPU45が、ステップST51で受信したデータに含まれる暗号データを、ステップST53で取得した鍵データKを基に復号する。
ステップST55:
CPU45は、ステップST54で復号されたデータが適切に復号されたものであるか否かを判断し、適切に復号されたと判断するとステップST56に進み、そうでない場合にはステップST57に進む。
ステップST56:
CPU45は、ステップST54で復号されたデータを用いて所定のサービスを提供する。
例えば、CPU45は、ステップST54で復号したデータが掲示板への掲載事項である場合に、当該データを掲示板にアップロ−ドする処理を行う。
ステップST57:
CPU45は、ステップST54で復号されたデータを用いたサービスを提供せず、その旨をクライアント装置Cに通知する。
以上説明したように、通信システム1では、サーバ装置Sが、クライアント装置CにおいてプログラムBIOS_C、ローダプログラムL_C、オペレーティングシステムOS_CおよびアプリケーションプログラムAP_Cが起動されていること、すなわち、機器IDをユーザが書き換えできないことを保証する動作環境であることを図8に示すステップST32,ST34で検証した後にユーザ匿名IDを発行する。
そのため、クライアント装置Cの単数のユーザが、複数のユーザ匿名IDを取得することを回避でき、ユーザ匿名IDの一意性をTTPのサーバ装置を介さずに保証できる。
これにより、クライアント装置Cのユーザは、TTPのサーバ装置に自らの個人情報を提供する必要がないので、個人情報の秘匿性を高めることができる。また、クライアント装置Cおよびサーバ装置Sは直接通信を行い、TTPのサーバ装置と通信を行わないので、通信処理の負担を軽減できる。
また、通信システム1によれば、なりすましにより、サーバ装置Sが保持する他人の情報を不正に改竄することも防止できる。
<第2実施形態>
以下、図10〜図12を参照して本発明の第2実施形態を説明する。
本実施形態は、第4〜第6の発明に対応している。
上述した実施形態では、クライアント装置Cを単数のユーザが使用する場合に、登録要求に含まれる機器IDがテーブルデータTBLに登録させているか否かを基に、ユーザ匿名IDを発行するか否かを決定した。
本実施形態では、クライアント装置Cが、複数のユーザで使用される場合に、各ユーザに個別の鍵データPEKを生成する。
クライアント装置Cは、起動されると、プログラムBIOS_C、ローダプログラムL_C、オペレーティングシステムOS_CおよびアプリケーションプログラムAP_Cを順に起動し、これらのプログラムによって、以下に示す動作環境を備える。
すなわち、クライアント装置Cは、動作環境を認証するために用いられる複数の鍵データPEKを生成(発行)し、単数のユーザに対して単数の固有の鍵データPEKを割り当て、且つ鍵データPEKをユーザが書き換えできないことを保証した動作環境を備えている。
〔本発明の構成との対応関係〕
先ず、本実施形態の構成要素と、本発明の構成要素との対応関係を説明する。
ここで、図1等に示すサーバ装置Sが、第2の発明の通信装置、並びに第1および第3の発明のコンピュータに対応している。
また、本実施形態のユーザ匿名IDが本発明のユーザ匿名識別データに対応し、本実施形態の鍵データPEKが本発明の疑似匿名識別データに対応している。
また、図4に示すインタフェース42が第2の発明のインタフェースに対応し、CPU45が第2の発明の実行回路に対応している。
また、図10に示すステップST72が第4の発明の第1の手順、並びに第6の発明の第1の工程に対応している。
また、図10に示すステップST75が第4の発明の第2の手順、並びに第6の発明の第2の工程に対応している。
また、図10に示すステップST76が第4の発明の第3の手順、並びに第6の発明の第3の工程に対応している。
先ず、本実施形態におけるクライアント装置Cがユ−ザ匿名IDの登録要求をサーバ装置に送信する場合の動作例を説明する。
図10は、当該動作例を説明するためのフローチャートである。
ステップST61:
クライアント装置CのCPUは、ユ−ザ匿名IDの登録要求指示がユーザによって入力されたか否かを判断し、入力されたと判断したことを条件にステップST62に進む。
ステップST62:
クライアント装置CのCPUは、登録要求をサーバ装置Sに送信する。
ステップST63:
クライアント装置CのCPUは、サーバ装置SからPEKの要求を受信したか否かを判断し、受信したと判断したこと条件にステップST64に進む。
ステップST64:
クライアント装置CのCPUは、セキュリティチップSCに鍵データPEKを生成させる。
ここで、鍵データPEKは、疑似匿名認証データと呼ばれ、ユーザ認証データとは異なり、そのユーザが使用するプラットフォーム(動作環境)の認証に用いられる。
本実施形態では、クライアント装置CのセキュリティチップSC_Cが所定のTTP(Trusted Third Party)のサーバ装置と通信を行って公開鍵データと、秘密鍵データのペアを生成する。そして、セキュリティチップSC_Cが当該公開鍵データをTTPのサーバ装置に送信して署名データを付加する。
本実施形態では、セキュリティチップSC_Cは、複数の鍵データPEKを生成(発行)し、単数のユーザに対して単数の鍵データPEKを割り当てる。また、本実施形態では、ユーザは鍵データPEKを書き換えできない。
ステップST65:
クライアント装置CのCPUは、サーバ装置Sから起動プログラム検証データPHDおよびハッシュデータAP_C_hashの要求を受信したか否かを判断し、受信したと判断したことを条件にステップST66に進む。
ステップST66:
クライアント装置CのCPUは、上記第1の動作例で生成および記憶した起動プログラム検証データPHDおよびハッシュデータAP_C_hashを読み出してサーバ装置Sに送信する。
ステップST67:
クライアント装置CのCPUは、サーバ装置Sから、ユーザ匿名IDを受信したか否かを判断し、受信したと判断するとステップST68に進む。
ステップST68:
クライアント装置CのCPUは、ステップST64で生成した鍵データPEKと、ステップST67で受信したユーザ匿名IDとを対応付けてセキュリティチップSC_Cに書き込む。
以後、クライアント装置CPUは、サーバ装置Sにデータを送信するときに、当該データを鍵データPEKで暗号化し、暗号化したデータにユーザ匿名IDを付加して送信する。
以下、クライアント装置Cから登録要求を受信した場合におけるサーバ装置Sの動作例を説明する。
図11は、当該動作例を説明するためのフローチャートである。
ステップST71:
図4に示すサーバ装置SのCPU45は、インタフェース42を介してクライアント装置Cから登録要求を受信したか否かを判断し、受信したと判断したことを条件にステップST72に進む。
ステップST72:
CPU45は、通信先であるクライアント装置Cの動作環境を検証する。
具体的には、CPU45は、インタフェース42を介してクライアント装置Cに起動プログラム検証データPHDおよびハッシュデータAP_C_hashを要求する。
そして、CPU45は、上記要求に応じてクライアント装置Cからインタフェース42を介して受信した起動プログラム検証データPHDおよびハッシュデータAP_C_hashと、図7に示すステップST21,ST22で記憶した参照起動プログラム検証データR_PHDおよび参照ハッシュデータR_AP_Cとをそれぞれ比較し、双方が一致している場合にクライアント装置Cの動作環境が正当であると判断し、そうでない場合に当該動作環境が不当であると判断する。
本実施形態において、クライアント装置Cの正当な動作環境とは、動作環境を認証するために用いられる複数の鍵データPEKを生成(発行)し、単数のユーザに対して単数の鍵データPEKを割り当て、且つ鍵データPEKをユーザが書き換えできないことを保証する動作環境である。
ステップST73:
CPU45は、ステップST72でクライアント装置Cの動作環境が正当であると判断すると、ステップST74に進み、そうでない場合には処理を終了する。
ステップST74:
CPU45は、インタフェース42を介してクライアント装置Cに鍵データPEKを要求し、これをクライアント装置Cからインタフェース42を介して受信する。
ステップST75:
CPU45は、テーブルデータTBLを参照して、鍵データPEKが未登録であるか否かを検証し、未登録であると判断するとステップST76に進み、未登録ではないと判断すると処理を終了し、その旨をクライアント装置Cに送信する。
ステップST76:
CPU45は、例えば、サーバ装置Sのプロバイダ内で固有のユーザ匿名IDを発行する。
ステップST77:
CPU45は、ステップST74で受信した鍵データPEKと、ステップST76で生成したユーザ匿名IDとを対応付けて示す項目をテーブルデータTBLに登録する。
以下、クライアント装置Cからデータを受信した場合におけるサーバ装置Sの動作例を説明する。
図12は、当該動作例を説明するためのフローチャートである。
ステップST81:
図4に示すサーバ装置Sのインタフェース42が、クライアント装置Cからデータを受信する。
当該データには、ユーザ匿名IDと、前述した鍵データPEKで暗号化された暗号データとが含まれている。
ステップST82:
サーバ装置SのCPU45が、ステップST81で受信したデータからユーザ匿名IDを取得する。
ステップST83:
CPU45が、図11に示すステップST77で説明したテーブルデータTBLから、ステップST82で取得したユーザ匿名IDに対応した鍵データPEKを取得する。
ステップST84:
CPU45が、ステップST81で受信したデータに含まれる暗号データを、ステップST83で取得した鍵データPEKを基に復号する。
ステップST85:
CPU45は、ステップST84で復号されたデータが適切に復号されたものであるか否かを判断し、適切に復号されたと判断するとステップST86に進み、そうでない場合にはステップST87に進む。
ステップST86:
CPU45は、ステップST84で復号されたデータを用いて所定のサービスを提供する。
例えば、CPU45は、ステップST84で復号したデータが掲示板への掲載事項である場合に、当該データを掲示板にアップロ−ドする処理を行う。
ステップST87:
CPU45は、ステップST84で復号されたデータを用いたサービスを提供せず、その旨をクライアント装置Cに通知する。
以上説明したように、本実施形態によれば、クライアント装置Cが複数のユーザに使用される場合でも、クライアント装置Cの単数のユーザが、複数のユーザ匿名IDの登録要求を送信することを回避でき、登録要求に対応した鍵データPEKが異なれば、ユーザ匿名IDの一意性をTTPのサーバ装置を介さずに保証できる。
これにより、クライアント装置Cのユーザは、TTPのサーバ装置に自らの個人情報を提供する必要がないので、個人情報の秘匿性を高めることができる。また、クライアント装置Cおよびサーバ装置Sは直接通信を行い、TTPのサーバ装置と通信を行わないので、通信処理の負担を軽減できる。
本発明は上述した実施形態には限定されない。
上述した実施形態では、サーバ装置Sが掲示板を提供する場合を例示したが、サーバ装置Sは、チャット、オークションなどオ−プンなネットワーク9において匿名性と一意性とが要求されるユーザ匿名IDを用いたサービスを提供するものであれば特に限定されない。
また、本発明は、例えば、ネットワークサービスにおいて、ユーザの個人情報を提供することなく、その個人毎にその特性に応じたカスタマイズを行うサービスについても適用可能である。
また、上述した第2実施形態では、サーバ装置Sから要求に応じてクライアント装置Cが鍵データPEKを生成してサーバ装置Sに送信する場合を例示した。
本発明は、例えば、サーバ装置Sが登録要求に予め生成した鍵データPEKを含ませてもよい。また、登録要求に自らが希望するユーザ匿名IDをさらに含ませてもよい。
また、第1実施形態の鍵データKあるいは第2実施形態の鍵データPEKとして、ユーザのパスフレーム、生体情報あるいはキーデバイス(ICカードのID)などを組み合わせて用いてもよい。
本発明は、ネットワークなどの通信において、ユーザの匿名性と一意性とが要求されるシステムに適用可能である。
図1は、本発明の第1実施形態の通信システムの全体構成図である。 図2は、図1に示すクライアント装置Cの起動時の処理を説明するためのフローチャートである。 図3は、図1に示すクライアント装置が登録要求を行う場合の処理を説明するためのフローチャートである。 図4は、図1に示すサーバ装置の構成図である。 図5は、図5に示すサーバ装置のソフトウェア環境を説明するための図である。 図6は、図4に示すセキュリティチップの構成図である。 図7は、図4に示すサーバ装置の前処理を説明するためのフローチャートである。 図8は、図4に示すサーバ装置の登録要求処理を説明するためのフローチャートである。 図9は、図4に示すサーバ装置のサービス処理を説明するためのフローチャートである。 図10は、本発明の第2実施形態のクライアント装置が登録要求を行う場合の処理を説明するためのフローチャートである。 図11は、本発明の第2実施形態のサーバ装置の登録要求処理を説明するためのフローチャートである。 図12は、本発明の第2実施形態のサーバ装置のサービス処理を説明するためのフローチャートである。
符号の説明
1…通信システム、12…APベンダ、14…認証機関、C…クライアント装置、S…サーバ装置、42…インタフェース、43…メモリ、45…CPU、SC_S,SC_C…セキュリティチップ、51…入出力回路、52…鍵生成回路、53…ハッシュ回路、54…乱数発生回路、55…署名・暗号回路、56…メモリ、57…プロセッサ、PHD…起動プログラム検証データ、AP_C_hash…アプリケーションプログラムAP_Cのハッシュデータ、TBL…テーブルデータ



Claims (2)

  1. 通信網を介して接続された、認証機関と、サーバ装置と、単数のユーザが使用する少なくとも1のクライエント装置と、オペレーティングシステム(OS)ベンダと、アプリケーションプログラム(AP)ベンダとを有する、通信システムであって、
    前記クライエント装置は、
    外部からの攻撃に対して誤動作および/または内部データの漏洩が生じないように構成された耐タンパ性のあるハードウエア回路であり、ユーザによって書き換えできない
    ように、当該クライエント装置に固有の識別データである機器認証データ(機器ID)を記憶する、クライエント装置セキュアチップと、
    クライエント装置制御処理手段と、
    入出力プログラム、ローダプログラム、オペレーティングシステム、および、アプリケーションプログラムを記憶する、クライエント装置記憶手段とを有し、
    前記サーバ装置は、
    サーバ装置記憶手段と、
    外部からの攻撃に対して誤動作および/または内部データの漏洩が生じないように構成された耐タンパ性のあるハードウエア回路である、サーバ装置セキュアチップと、
    サーバ装置制御処理手段とを有し、
    前記サーバ装置セキュアチップは、
    乱数発生回路と、
    前記乱数発生回路で発生された乱数を基に通信の安全性に係わる鍵データを生成する鍵生成回路と、
    ハッシュデータを生成するハッシュ回路と、
    前記鍵データを用いた暗号化および復号を行って暗号データの生成および暗号データの復号を行い、さらに署名データの生成および署名データの検証を行う、署名・暗号回路と、
    前記サーバ装置制御処理手段の制御に従って、当該サーバ装置セキュアチップの動作を制御するクライエント装置セキュア・プロセッサ手段とを有し、
    前記OSベンダは、
    前記クライエント装置に組み込まれる、入出力プログラム、ローダプログラム、オペレーティングシステムを前記クライエント装置に提供し、
    前記入出力プログラム、前記ローダプログラム、前記オペレーティングシステムのハッシュデータを生成し、当該生成したハッシュデータを所定のビットフィールドに格納した起動プログラム検証データを生成し、当該生成した起動プログラム検証データを参照起動プログラム検証データとして前記サーバ装置に提供し、
    前記APベンダは、
    前記クライエント装置において動作するアプリケーションプログラムを前記クライエント装置に提供し、
    前記アプリケーションプログラムのハッシュデータを生成し、当該生成したハッシュデータを参照ハッシュデータとして前記サーバ装置に提供し、
    前記認証機関は、前記クライエント装置セキュアチップの公開鍵証明データを前記サーバ装置に提供し、前記公開鍵証明データに対応した秘密鍵データを前記クライエント装置に提供し、
    前処理として、前記サーバ装置制御処理手段は、前記APベンダが提供する前記参照ハッシュデータを入力して前記サーバ装置記憶手段に書き込み、前記認証機関が提供する、公開鍵データを含む公開鍵認証データを入力して前記サーバ装置記憶手段に書き込み、
    前記クライエント装置の起動のとき、
    前記クライエント装置処理手段は、前記クライエント装置記憶手段から前記入出力プログラム、前記ローダプログラムおよび前記オペレーティングシステムをこの順序で読みだして起動して前記機器IDをユーザが書き換えできないことを保証した動作環境を実現し、前記クライエント装置記憶手段から前記アプリケーションプログラムを読みだして起動し、
    前記クライエント装置セキュアチップは、
    前記順次起動された入出力プログラム、ローダプログラムおよびオペレーティングシステムのハッシュデータを生成し、当該生成したハッシュデータを所定のビットフィールドに格納した起動プログラム検証データを生成し、
    前記起動されたアプリケーションプログラムのハッシュデータを生成し、前記生成した起動プログラム検証データおよび前記生成したアプリケーションプログラムのハッシュデータを前記クライエント装置記憶手段に書き込み、
    前記クライエント装置がユーザ匿名IDを前記サーバ装置に送信するとき、前記クライエント装置制御処理手段は、前記クライエント装置セキュアチップから前記機器IDを読み出し、当該機器IDを含む登録要求を前記サーバ装置に送信し、
    前記サーバ装置制御処理手段は、前記クライエント装置からの前記登録要求を受信したとき、前記クライエント装置に前記起動プログラム検証データおよびハッシュデータの送信を要求し、
    前記クライエント装置制御処理手段は、前記要求された起動プログラム検証データおよびハッシュデータを前記サーバ装置に送信し、
    前記サーバ装置制御処理手段は、
    前記受信した起動プログラム検証データおよびハッシュデータと、前記サーバ装置記憶手段に記憶させた前記参照起動プログラム検証データおよび前記参照ハッシュデータとを比較し、一致した場合当該クライエント装置の動作環境が正当であると判断し、
    当該クライエント装置の動作環境が正当であると判断した場合、前記受信した要求に含まれる機器IDがすでに登録されたものであるか否かを検証し、
    前記受信した要求に含まれる機器IDが未登録の場合、固有のユーザ匿名IDを発行し、
    前記サーバ装置セキュアチップの鍵生成回路は、前記発行されたユーザ匿名IDに対応した鍵データを生成し、
    前記サーバ装置制御処理手段は、前記クライエント装置から受信した機器IDと、前記発行したユーザ匿名IDと、前記生成された鍵データとを対応づけて示す項目をテーブルデータに登録し、
    前記サーバ装置制御処理手段は当該発行したユーザ匿名IDと前記生成された鍵データとを前記クライエント装置に送信し、
    前記クライエント装置制御処理手段は、
    前記サーバ装置から前記ユーザ匿名IDと前記鍵データとを受信し、当該受信した鍵データを前記認証機関から提供された秘密鍵データで復号して、前記ユーザ匿名IDと前記復号した鍵データとを前記クライエント装置セキュアチップに書き込み、
    前記サーバ装置にデータを送信するとき、当該復号した鍵データで送信すべきデータを暗号化し、当該暗号化されたデータに前記匿名IDを付加して送信する、
    通信システム。
  2. 通信網を介して接続された、認証機関と、サーバ装置と、1のクライエント装置を複数のユーザが使用する少なくとも1のクライエント装置と、オペレーティングシステム(OS)ベンダと、アプリケーションプログラム(AP)ベンダとを有する、通信システムであって、
    前記クライエント装置は、
    外部からの攻撃に対して誤動作および/または内部データの漏洩が生じないように構成された耐タンパ性のあるハードウエア回路であり、ユーザによって書き換えできない
    ように、当該クライエント装置に固有の識別データである機器認証データ(ID)を記憶し、演算処理機能を有する、クライエント装置セキュアチップと、
    クライエント装置制御処理手段と、
    入出力プログラム、ローダプログラム、オペレーティングシステム、および、アプリケーションプログラムを記憶する、クライエント装置記憶手段とを有し、
    前記サーバ装置は、
    サーバ装置記憶手段と、
    外部からの攻撃に対して誤動作および/または内部データの漏洩が生じないように構成された耐タンパ性のあるハードウエア回路である、サーバ装置セキュアチップと、
    サーバ装置制御処理手段とを有し、
    前記OSベンダは、
    前記クライエント装置に組み込まれる、入出力プログラム、ローダプログラムおよびオペレーティングシステムを前記クライエント装置に提供し、
    前記入出力プログラム、前記ローダプログラムおよび前記オペレーティングシステムのハッシュデータを生成し、当該生成したハッシュデータを所定のビットフィールドに格納した起動プログラム検証データを生成し、当該生成した起動プログラム検証データを参照起動プログラム検証データとして前記サーバ装置に提供し、
    前記APベンダは、
    前記クライエント装置において動作する前記アプリケーションプログラムを前記クライエント装置に提供し、
    前記アプリケーションプログラムのハッシュデータを生成し、当該生成したハッシュデータを参照ハッシュデータとして前記サーバ装置に提供し、
    前記認証機関は、前記クライエント装置セキュアチップの公開鍵証明データを前記サーバ装置に提供し、前記公開鍵証明データに対応した秘密鍵データを前記クライエント装置に提供し、
    前処理として、前記サーバ装置制御処理手段は、前記APベンダが提供する前記参照ハッシュデータを入力して前記サーバ装置記憶手段に書き込み、前記認証機関が提供する、公開鍵データを含む公開鍵認証データを入力して前記サーバ装置記憶手段に書き込み、
    前記クライエント装置の起動のとき、
    前記クライエント装置処理手段は、前記クライエント装置記憶手段から前記入出力プログラム、前記ローダプログラムおよび前記オペレーティングシステムをこの順序で読みだして起動して前記機器IDをユーザが書き換えできないことを保証した動作環境を実現し、前記クライエント装置記憶手段から前記アプリケーションプログラムを読みだして起動し、
    前記クライエント装置セキュアチップは、
    前記順次起動された入出力プログラム、ローダプログラムおよびオペレーティングシステムのハッシュデータで生成し、当該生成したハッシュデータを所定のビットフィールドに格納した起動プログラム検証データを生成し、
    前記起動されたアプリケーションプログラムのハッシュデータを生成し、前記生成した起動プログラム検証データおよび前記生成したアプリケーションプログラムのハッシュデータを前記クライエント装置記憶手段に書き込み、
    前記クライエント装置はユーザ匿名IDを登録するとき、当該登録要求を前記サーバ装置に送信し、
    前記サーバ装置制御処理手段は、前記登録要求を受信したとき、前記クライエント装置に前記起動プログラム検証データおよびハッシュデータの送信を要求し、
    前記クライエント装置制御処理手段は、前サーバ装置から起動プログラム検証データおよびハッシュデータの送信要求があったとき、前記クライエント装置記憶手段に記憶されている起動プログラム検証データおよびハッシュデータを読みだして前記サーバ装置に送信し、
    前記サーバ装置制御処理手段は、
    受信した前記起動プログラム検証データおよびハッシュデータと、前記サーバ装置記憶手段に記憶させた前記参照起動プログラム検証データおよび前記参照ハッシュデータとを比較し、一致した場合当該クライエント装置の動作環境が正当であると判断し、
    当該クライエント装置の動作環境が正当であると判断した場合、前記クライエント装置に疑似匿名識別データの送信を要求し、
    前記クライエント装置制御処理手段は、前記サーバ装置から前記疑似匿名識別データの生成の要求を受信したとき、前記クライエント装置セキュアチップにおいて信用機関と通信を行って公開鍵データと秘密鍵データとを生成させ、当該生成した公開鍵データを前記信用機関に送信して署名データを付加させ、さらに、前記クライエント装置セキュアチップにおいて各ユーザごとに疑似匿名認証データを割り当てさせ、前記生成した疑似匿名識別データを前記サーバ装置に送信し、
    前記サーバ装置制御処理手段は、
    前記クライエント装置から受信した前記疑似匿名識別データが未登録か否かを検証し、
    前記疑似匿名識別データが未登録の場合、未登録であることを前記クライエント装置に送信し、固有のユーザ匿名IDを発行し、
    前記クライエント装置から受信した前記疑似匿名識別データと、前記発行したユーザ匿名IDとを対応づけて示す項目をテーブルデータに登録し、
    前記発行したユーザ匿名IDを前記クライエント装置に送信し、
    前記クライエント装置制御処理手段は、
    前記サーバ装置から前記ユーザ匿名IDを受信したとき、前記生成した疑似匿名識別データと前記受信したユーザ匿名IDとを対応づけて前記クライエント装置セキュアチップに書き込み、
    前記サーバ装置にデータを送信するとき、送信すべきデータを前記疑似匿名識別データを用いて暗号化し、当該暗号化されたデータに前記匿名IDを付加して送信する、
    通信システム。
JP2004155922A 2004-05-26 2004-05-26 通信システム Expired - Fee Related JP4265479B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2004155922A JP4265479B2 (ja) 2004-05-26 2004-05-26 通信システム
US11/115,120 US8484449B2 (en) 2004-05-26 2005-04-27 Program, communication device, data processing method, and communication system
KR1020050044038A KR101139658B1 (ko) 2004-05-26 2005-05-25 기록 매체, 통신 장치, 데이터 처리 방법 및 통신 시스템
CN2005100758354A CN1703001B (zh) 2004-05-26 2005-05-26 程序、通信设备、数据处理方法及通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004155922A JP4265479B2 (ja) 2004-05-26 2004-05-26 通信システム

Publications (2)

Publication Number Publication Date
JP2005339104A JP2005339104A (ja) 2005-12-08
JP4265479B2 true JP4265479B2 (ja) 2009-05-20

Family

ID=35426768

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004155922A Expired - Fee Related JP4265479B2 (ja) 2004-05-26 2004-05-26 通信システム

Country Status (4)

Country Link
US (1) US8484449B2 (ja)
JP (1) JP4265479B2 (ja)
KR (1) KR101139658B1 (ja)
CN (1) CN1703001B (ja)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006083761A2 (en) * 2005-02-03 2006-08-10 Alza Corporation Solvent/polymer solutions as suspension vehicles
JP2007280256A (ja) * 2006-04-11 2007-10-25 Nippon Telegr & Teleph Corp <Ntt> Idプライバシ保護方法、idプライバシ保護システム、idプライバシ保護セキュリティサーバ、idプライバシ保護リーダ装置、idプライバシ保護サーバプログラム及びidプライバシ保護リーダプログラム
KR100843081B1 (ko) 2006-12-06 2008-07-02 삼성전자주식회사 보안 제공 시스템 및 방법
KR20080058833A (ko) * 2006-12-22 2008-06-26 삼성전자주식회사 개인 정보 보호 장치 및 방법
US20080178257A1 (en) * 2007-01-20 2008-07-24 Takuya Mishina Method for integrity metrics management
JP2009070020A (ja) * 2007-09-12 2009-04-02 Nec Corp オンラインサービス提供システム、個人端末、管理サーバ、オンラインサービスの提供方法、およびプログラム
US9047458B2 (en) 2009-06-19 2015-06-02 Deviceauthority, Inc. Network access protection
US9047450B2 (en) * 2009-06-19 2015-06-02 Deviceauthority, Inc. Identification of embedded system devices
US20100333213A1 (en) * 2009-06-24 2010-12-30 Craig Stephen Etchegoyen Systems and Methods for Determining Authorization to Operate Licensed Software Based on a Client Device Fingerprint
US20100332400A1 (en) * 2009-06-24 2010-12-30 Craig Stephen Etchegoyen Use of Fingerprint with an On-Line or Networked Payment Authorization System
US9075958B2 (en) * 2009-06-24 2015-07-07 Uniloc Luxembourg S.A. Use of fingerprint with an on-line or networked auction
US8213907B2 (en) 2009-07-08 2012-07-03 Uniloc Luxembourg S. A. System and method for secured mobile communication
US8726407B2 (en) * 2009-10-16 2014-05-13 Deviceauthority, Inc. Authentication of computing and communications hardware
AU2011100168B4 (en) 2011-02-09 2011-06-30 Device Authority Ltd Device-bound certificate authentication
DE102011010627A1 (de) * 2011-02-08 2012-08-09 Giesecke & Devrient Gmbh Verfahren zur Programmierung eines Mobilendgeräte-Chips
AU2011101295B4 (en) 2011-06-13 2012-08-02 Device Authority Ltd Hardware identity in multi-factor authentication layer
AU2011101297B4 (en) 2011-08-15 2012-06-14 Uniloc Usa, Inc. Remote recognition of an association between remote devices
CN102594917A (zh) * 2012-03-10 2012-07-18 顾为民 互联网上点点间通讯
US9143496B2 (en) 2013-03-13 2015-09-22 Uniloc Luxembourg S.A. Device authentication using device environment information
US9286466B2 (en) 2013-03-15 2016-03-15 Uniloc Luxembourg S.A. Registration and authentication of computing devices using a digital skeleton key
US20150020154A1 (en) * 2013-07-10 2015-01-15 Daniel Setton Anonymous coupling platform method and system
JP6144186B2 (ja) * 2013-12-09 2017-06-07 日本電信電話株式会社 認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体
US10192071B2 (en) * 2016-09-02 2019-01-29 Symantec Corporation Method for integrating applications
KR101896161B1 (ko) * 2016-12-28 2018-09-07 상명대학교산학협력단 라이프로깅 데이터의 익명성을 보장하기 위한 아이디 발급 시스템 및 그 방법
US20220284088A1 (en) * 2019-10-24 2022-09-08 Hewlett-Packard Development Company, L.P. Authentication of write requests
CN114884973B (zh) * 2022-03-25 2023-11-17 徐工汉云技术股份有限公司 一种车辆定位数据的批量注册方法、装置及存储介质

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6067582A (en) * 1996-08-13 2000-05-23 Angel Secure Networks, Inc. System for installing information related to a software application to a remote computer over a network
JPH10257047A (ja) 1997-03-12 1998-09-25 Oki Electric Ind Co Ltd 不正検出システム及び公開鍵管理システム
US6243468B1 (en) * 1998-04-29 2001-06-05 Microsoft Corporation Software anti-piracy system that adapts to hardware upgrades
US6349338B1 (en) * 1999-03-02 2002-02-19 International Business Machines Corporation Trust negotiation in a client/server data processing network using automatic incremental credential disclosure
US7139912B2 (en) * 2000-06-09 2006-11-21 Sony Corporation Device authentication
JP2001358674A (ja) 2000-06-12 2001-12-26 Matsushita Electric Ind Co Ltd デジタル情報受信における課金機構
WO2002033610A1 (fr) * 2000-10-17 2002-04-25 Ishii, Mieko Procede et systeme de protection d'informations personnelles, dispositif de traitement, emetteur-recepteur portatif et programme
GB2372594B (en) * 2001-02-23 2004-10-06 Hewlett Packard Co Trusted computing environment
EP1282024A1 (en) * 2001-07-30 2003-02-05 Hewlett-Packard Company Trusted identities on a trusted computing platform
JP2003288277A (ja) 2001-08-03 2003-10-10 Matsushita Electric Ind Co Ltd バックアップ・リストアシステム及び権利管理サーバ
WO2003013586A1 (en) * 2001-08-03 2003-02-20 Matsushita Electric Industrial Co., Ltd. Access control system
JP4391711B2 (ja) * 2001-08-28 2009-12-24 富士通株式会社 装置、装置利用者管理装置および装置利用者管理プログラム
JP2003162340A (ja) 2001-09-14 2003-06-06 Sony Computer Entertainment Inc 情報処理プログラム,情報送信プログラム,情報送信システム,情報処理装置、及び情報処理プログラムを記憶したコンピュータ読み取り可能な記憶媒体
CN100592682C (zh) * 2001-12-13 2010-02-24 索尼计算机娱乐公司 用于安全分配程序内容的方法和装置
JP2003271809A (ja) 2002-03-14 2003-09-26 Canon Inc プロファイル管理サーバ、管理装置及び製品管理サーバ
JP3919575B2 (ja) * 2002-03-29 2007-05-30 インターナショナル・ビジネス・マシーンズ・コーポレーション プログラム、管理装置、管理方法、記録媒体、及びデータ記録媒体
JP4084098B2 (ja) 2002-06-19 2008-04-30 シャープ株式会社 通信端末
JP2004054323A (ja) 2002-07-16 2004-02-19 Hitachi Software Eng Co Ltd ユーザ登録システム
US7353532B2 (en) * 2002-08-30 2008-04-01 International Business Machines Corporation Secure system and method for enforcement of privacy policy and protection of confidentiality
CN1194498C (zh) * 2002-11-07 2005-03-23 上海交通大学 基于数字标签的内容安全监控系统及方法
GB2398712B (en) * 2003-01-31 2006-06-28 Hewlett Packard Development Co Privacy management of personal data
US7222062B2 (en) * 2003-12-23 2007-05-22 Intel Corporation Method and system to support a trusted set of operational environments using emulated trusted hardware
US7751568B2 (en) * 2003-12-31 2010-07-06 International Business Machines Corporation Method for securely creating an endorsement certificate utilizing signing key pairs
US7647498B2 (en) * 2004-04-30 2010-01-12 Research In Motion Limited Device authentication

Also Published As

Publication number Publication date
CN1703001B (zh) 2010-05-26
JP2005339104A (ja) 2005-12-08
KR101139658B1 (ko) 2012-05-16
CN1703001A (zh) 2005-11-30
US8484449B2 (en) 2013-07-09
KR20060049447A (ko) 2006-05-19
US20050268087A1 (en) 2005-12-01

Similar Documents

Publication Publication Date Title
JP4265479B2 (ja) 通信システム
US9270466B2 (en) System and method for temporary secure boot of an electronic device
JP4907895B2 (ja) プライベートデータを露出せずに通信ネットワークを介してパスワードで保護されたプライベートデータを回復する方法およびシステム
JP4067985B2 (ja) アプリケーション認証システムと装置
JP6590807B2 (ja) プライバシー機密情報の交換を制御するための方法およびシステム
JP2004021755A (ja) 記憶装置
JP2004096755A (ja) 安全通信装置及び方法
JP2004513420A (ja) レベル化された機密保護があるアクセス制御のための方法及び装置
KR20090067154A (ko) 신뢰 상태를 확인하는 데 사용되는 휴대용 장치
WO2009110457A1 (ja) 認証情報生成システム、認証情報生成方法、クライアント装置及びその方法を実装した認証情報生成プログラム
US11082236B2 (en) Method for providing secure digital signatures
JP5452192B2 (ja) アクセス制御システム、アクセス制御方法およびプログラム
JP2017525236A (ja) 増強メディア・プラットフォームによる通信の安全確保
JP2000011101A (ja) Icカードおよび記録媒体
JPH10336172A (ja) 電子認証用公開鍵の管理方法
CN115459929A (zh) 安全验证方法、装置、电子设备、系统、介质和产品
JP2005303370A (ja) 半導体チップ、起動プログラム、半導体チッププログラム、記憶媒体、端末装置、及び情報処理方法
US11977647B2 (en) Method, server and system for securing an access to data managed by at least one virtual payload
JP2022064688A (ja) IoT機器認証システム、IoT機器認証方法、鍵配信用サーバおよびICチップ
JP2021040278A (ja) 鍵管理システム、署名装置、鍵管理方法及びプログラム
WO2022009388A1 (ja) 情報処理システムおよび制御方法
JP5114733B2 (ja) アクセス制御装置及びユーザ端末及びプログラム
US20220407843A1 (en) Communication system and communication method
KR20170100235A (ko) 공인 인증서 보안 시스템 및 그 방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080910

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080930

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090127

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090209

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120227

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees