JP4654498B2 - 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 - Google Patents
個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 Download PDFInfo
- Publication number
- JP4654498B2 JP4654498B2 JP2000264520A JP2000264520A JP4654498B2 JP 4654498 B2 JP4654498 B2 JP 4654498B2 JP 2000264520 A JP2000264520 A JP 2000264520A JP 2000264520 A JP2000264520 A JP 2000264520A JP 4654498 B2 JP4654498 B2 JP 4654498B2
- Authority
- JP
- Japan
- Prior art keywords
- personal identification
- certificate
- template
- information
- idc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 397
- 230000010365 information processing Effects 0.000 title claims description 33
- 238000012545 processing Methods 0.000 claims description 437
- 230000008569 process Effects 0.000 claims description 323
- 238000005070 sampling Methods 0.000 claims description 187
- 238000012795 verification Methods 0.000 claims description 175
- 230000006854 communication Effects 0.000 claims description 62
- 238000004891 communication Methods 0.000 claims description 60
- 238000003860 storage Methods 0.000 claims description 45
- 230000005540 biological transmission Effects 0.000 claims description 27
- 230000008520 organization Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 8
- 210000001525 retina Anatomy 0.000 claims description 6
- 238000009826 distribution Methods 0.000 description 107
- 238000010586 diagram Methods 0.000 description 104
- 230000000875 corresponding effect Effects 0.000 description 57
- 238000007726 management method Methods 0.000 description 48
- 230000006870 function Effects 0.000 description 40
- 238000012217 deletion Methods 0.000 description 27
- 230000037430 deletion Effects 0.000 description 27
- 238000012790 confirmation Methods 0.000 description 21
- 239000000284 extract Substances 0.000 description 16
- 238000012546 transfer Methods 0.000 description 16
- 230000004044 response Effects 0.000 description 15
- 230000033458 reproduction Effects 0.000 description 13
- 230000008859 change Effects 0.000 description 12
- 238000006243 chemical reaction Methods 0.000 description 8
- 238000000605 extraction Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 230000003068 static effect Effects 0.000 description 6
- 238000013500 data storage Methods 0.000 description 5
- 230000000737 periodic effect Effects 0.000 description 5
- 238000013524 data verification Methods 0.000 description 4
- 230000002457 bidirectional effect Effects 0.000 description 3
- 239000000725 suspension Substances 0.000 description 3
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 2
- 238000013498 data listing Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- UNPLRYRWJLTVAE-UHFFFAOYSA-N Cloperastine hydrochloride Chemical compound Cl.C1=CC(Cl)=CC=C1C(C=1C=CC=CC=1)OCCN1CCCCC1 UNPLRYRWJLTVAE-UHFFFAOYSA-N 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000002079 cooperative effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/23—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder by means of a password
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Collating Specific Patterns (AREA)
Description
【発明の属する技術分野】
本発明は個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体に関する。特に、インターネット等の通信ネットワークあるいは媒体を介するデータ通信において、通信相手の個人の識別を実行したり、あるいはPC等、特定の情報処理装置を使用する個人を認証するための個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体に関する。
【0002】
【従来の技術】
企業あるいは個人においてデータ処理装置、例えばパーソナルコンピュータ(PC)等の様々なデータ処理装置が盛んに使用され、このような装置には様々な機密データが格納される場合がある。このような機密情報に対する不正なユーザのアクセスを排除するため、PCに格納された情報の漏洩を防止する技術が開発されており、例えば、パスワード入力、ユーザの生体情報によるユーザ識別処理等が開発されている。
【0003】
さらに、昨今、ゲームプログラム、音声データ、画像データ、文書作成プログラム等、様々なソフトウエアデータ(以下、これらをコンテンツ(Content)と呼ぶ)が、インターネット等のネットワークを介して、あるいはDVD、CD等の流通可能な記憶媒体(メディア)を介して流通している。このような状況の中で、コンテンツの配布あるいはコンテンツ利用料金の回収等、様々な処理において、ユーザ識別処理を確実に迅速に実行し、かつ、識別処理において用いられる個人情報の漏洩の防止が重要な課題となっている。
【0004】
一般的なユーザ識別方法としては、例えばユーザID、パスワード等を予め設定し、設定データと入力データとを照合する処理方法がある。しかし、この方法は、登録されているユーザID,パスワードの漏洩のおそれが常に存在し、一旦漏洩した場合には、同一のユーザID,パスワードの使用は不可能となる。このような問題点を解決する手法として、生体情報を用いたユーザ識別手法がある。
【0005】
従来から行われている生体情報を用いた個人識別処理の一例について説明する。代表的例として指紋読み取り照合処理を実行する個人認証装置について図1を用いて説明する。図1に示すPC20の利用者は、予め、個人の指紋情報を読み取り装置を持つ個人認証装置10に登録し、このデータをセキュアメモリ14内に格納する。格納された指紋情報をテンプレート(Template)と呼ぶ。ユーザはパソコン20などのデータを利用する際に、指紋読み取り装置として構成された個人認証装置10により指紋の照合処理を実行させる。
【0006】
ユーザは、例えばCCDカメラによって構成される個人情報取得部11において指紋情報の読み取りを実行する。読み取られた指紋情報は、情報変換部12で特徴抽出処理が実行され、比較部13にて、セキュアメモリ14に格納されたテンプレートと、個人情報取得部11で取得され、特徴抽出されたデータとの比較処理が行われる。
【0007】
比較部13における比較処理においては、比較部に予め設定したしきい値により一致、不一致の判定がコントロールされる。比較対照の両データが設定しきい値を越えて一致していればOK、しきい値以下の一致度であればNGとなる。なお、指紋情報は指紋画像データそのもので、情報変換部12で特徴抽出されたデータと、この画像データの比較を行い、しきい値と比較することになる。
【0008】
比較部13での判定処理において、入力情報と登録情報が一致すると判定された場合には、通信部16を経由してパソコン20に照合成功が伝えられ、PC20に対するアクセスが許可される。一致していないと判定された場合には照合失敗が伝えられ、PC20に対するアクセスが拒否される。なお、個人認証装置10は、図1に示すように複数のユーザ(ユーザID=ID1〜IDn)の指紋情報テンプレートをセキュアメモリに格納し、いずれかの格納テンプレートと一致したことを条件としてPCのアクセスを許可する構成とすることで、一台の個人認証装置で複数のユーザに対応することが可能となる。
【0009】
【発明が解決しようとする課題】
しかしながら、このような個人認証装置では、テンプレートは指紋読み取り照合装置内のメモリに保存される構成であり、以下のような問題点がある。
(a)照合結果を利用するには、テンプレートを保持している指紋読み取り照合装置を使用する必要がある。
(b)複数の場所で指紋照合を行う場合、あらかじめ複数の指紋読み取り照合装置に指紋登録を行なう必要がある。
(c)テンプレートが指紋読み取り照合装置内にあるため、テンプレート情報としてのデータを改竄、読み取りされる危険がある。
(d)照合結果をPC等に転送しているため、その結果を攻撃されやすい。
【0010】
このように、従来の個人認証システムは、機密情報を扱う特定のPC等のデータ処理装置に不可分に構成され、そのPCを扱うユーザ専用の認証に重点が置かれており、テンプレートを保存していない機器を使用する場合の認証には全く利用できない。また、テンプレートを格納しているのは指紋読み取り照合装置自体であり、テンプレートの安全性、信頼性といった面で問題がある。
【0011】
さらに、昨今の暗号化データを使用したネットワークを介するデータ送受信、あるいは媒体を介するデータ配信においては、公開鍵暗号方式による暗号処理、および公開鍵の信頼性を保証する公開鍵証明書が多く使用されている。しかしながら、公開鍵証明書は、公開鍵の保証を行なうものの、公開鍵とその公開鍵の所有者である個人の結び付きを保証することはできないという問題点がある。すなわち、
(e)暗号化データの送信等に使用される公開鍵証明書とその公開鍵の所有者個人との関係を保証する方法がなく、公開鍵の所有者の識別手段が十分ではなかった。
【0012】
このように、従来の個人認証システムには、様々な解決すべき問題点が存在する。特に、昨今のインターネット等、通信システムの発達したネットワーク社会においては、様々な場所、時間に、多様な通信機器、データ処理機器を用いて機密情報、個人情報を扱う機会が増大している。また、特定のユーザ、例えば会員向けのコンテンツ配信、有料コンテンツの配信システム、サービス等においては、コンテンツ、サービスの配信時にユーザの識別処理を実行することが必要となる。このような状況において、場所、時間、使用機器等の環境に依存しない個人認証処理システムの実現要求が高まっている。
【0013】
本発明は、上述の状況に鑑みてなされたものであり、個人認証を様々な環境下において実行でき、さらに個人認証の信頼性を高め、安全なテンプレート情報の格納、利用形態を実現し、さらに公開鍵証明書との関連した使用態様を実現することにより、個人認証の多様な分野での利用を可能とした個人認証システムおよび個人認証方法を提供することを目的とする。
【0014】
特に、本発明は、個人識別データであるテンプレートを格納した個人識別証明書に基づく個人認証処理の際に、証明書有効期限または証明書有効利用回数、またはテンプレート有効期限に基づき個人識別証明書の有効性確認処理を実行して、有効性が確認された場合にのみ、個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行することにより、個人識別証明書の有効性管理を実現する個人認証システムおよび個人認証方法を提供することを目的とする。
【0015】
【課題を解決するための手段】
本発明の第1の側面は、
予め取得した個人識別データであるテンプレートと、ユーザの入力したサンプリング情報との照合により個人認証を実行する個人認証システムにおいて、
前記テンプレートを含むテンプレート情報を格納した個人識別証明書を発行する個人識別認証局と、
前記個人識別認証局が生成した個人識別証明書からテンプレートを取得し、該取得テンプレートに基づいて個人認証処理を実行する認証処理実行エンティテイとを有し、
前記個人識別認証局の発行する個人識別証明書には、証明書有効期限または証明書有効利用回数の少なくともいずれかの利用制限情報が格納され、
前記認証処理実行エンティテイは、前記個人識別証明書に基づく個人認証処理の際に、前記証明書有効期限または証明書有効利用回数に基づき個人識別証明書の有効性確認処理を実行する構成を有することを特徴とする個人認証システムにある。
【0016】
さらに、本発明の個人認証システムの一実施態様において、前記認証処理実行エンティテイは、前記個人識別証明書に基づく個人認証処理の際に、前記証明書有効期限または証明書有効利用回数に基づき該個人識別証明書の有効性確認処理を実行し、前記証明書有効期限または証明書有効利用回数に基づいて有効性が確認されたことを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行する構成を有することを特徴とする。
【0017】
さらに、本発明の個人認証システムの一実施態様において、前記認証処理実行エンティテイの個人認証処理実行デバイスは、個人識別証明書に、証明書有効利用回数の利用制限情報が格納されている場合において、該設定利用回数をデバイス内のメモリに格納し、該個人識別証明書の利用毎にメモリに格納した利用回数データの更新処理を実行し、該メモリに格納した利用回数データに基づいて、個人識別証明書の設定利用回数の制限内であるか否かの判定処理を実行し、制限内であることを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行する構成を有することを特徴とする。
【0018】
さらに、本発明の個人認証システムの一実施態様において、前記個人識別認証局が生成する個人識別証明書は、さらに、個人識別証明書に格納されたテンプレートの有効期限情報としてのテンプレート有効期限を格納し、前記認証処理実行エンティテイは、前記個人識別証明書に基づく個人認証処理の際に、前記テンプレート有効期限に基づき該テンプレートの有効性の確認処理を実行する構成を有することを特徴とする。
【0019】
さらに、本発明の個人認証システムの一実施態様において、前記認証処理実行エンティテイは、前記個人識別証明書に基づく個人認証処理の際に、前記テンプレート有効期限に基づき該テンプレートの有効性確認処理を実行し、前記テンプレート有効期限に基づいて有効性が確認されたことを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行する構成を有することを特徴とする。
【0020】
さらに、本発明の個人認証システムの一実施態様において、前記個人認証実行エンティテイとしての情報処理装置は、情報処理装置の格納個人識別証明書に設定された個人識別証明書有効期限、またはテンプレート有効期限の確認処理を実行し、有効性が確認できない場合において、個人識別証明書の発行主体である個人識別認証局への個人識別証明書発行要求を出力し、前記個人識別認証局は、新たな有効期限を設定した個人識別証明書を生成し、該情報処理装置に対する発行処理を実行し、前記情報処理装置は、前記個人識別認証局から発行された個人識別証明書を該情報処理装置の記憶手段に格納する処理を実行する構成を有することを特徴とする。
【0021】
さらに、本発明の個人認証システムの一実施態様において、前記個人識別認証局は、発行済みの個人識別証明書の有効期限、またはテンプレート有効期限の確認処理を実行し、該有効期限の近づいている個人識別証明書発行先エンティテイに対する通知処理を実行する構成を有することを特徴とする。
【0022】
さらに、本発明の個人認証システムの一実施態様において、前記個人識別認証局は、個人識別証明書の発行先エンティテイから、発行済みの個人識別証明書についての更新要求を受領し、該更新要求に基づいて、更新した証明書有効期限または証明書有効利用回数を設定した個人識別証明書を生成し発行する構成を有することを特徴とする。
【0023】
さらに、本発明の個人認証システムの一実施態様において、前記個人識別認証局は、個人識別証明書の被認証ユーザから、発行済みの個人識別証明書についての格納テンプレート更新要求を受領し、該テンプレート更新要求に基づいて、発行済みの個人識別証明書の無効処理を実行するとともに、更新テンプレートに基づく個人識別証明書を生成する構成を有することを特徴とする。
【0024】
さらに、本発明の個人認証システムの一実施態様において、前記個人認証局は、個人識別証明書の被認証ユーザから、テンプレート有効期限設定要求データを受領し、該テンプレート有効期限設定要求データに基づいたテンプレート有効期限を設定した個人識別証明書の生成を実行する構成を有することを特徴とする。
【0025】
さらに、本発明の個人認証システムの一実施態様において、個人識別認証局と認証処理実行エンティテイ間におけるデータ通信の際は、相互認証処理を実行するとともに、データ送信側が送信データに対する電子署名の生成処理を実行して、受信側が電子署名の検証処理を実行する構成であることを特徴とする。
【0026】
さらに、本発明の個人認証システムの一実施態様において、前記テンプレートは、個人の指紋情報、網膜情報、虹彩情報、声紋情報、筆跡情報等の生体情報、あるいは、印鑑、パスポート、免許書、カード等の非生体情報、あるいは、前記生体情報、非生体情報の2以上の組合わせ情報、または前記各情報とパスワードとの組み合わせ情報のいずれかによって構成されたものであることを特徴とする。
【0027】
さらに、本発明の個人認証システムの一実施態様において、前記個人識別認証局が発行する個人識別証明書は、該個人識別認証局の電子署名がなされた構成を有することを特徴とする。
【0028】
さらに、本発明の第2の側面は、
予め取得した個人識別データであるテンプレートと、ユーザの入力したサンプリング情報との照合により個人認証を実行する個人認証方法において、
前記テンプレートを含むテンプレート情報を格納した個人識別証明書を発行する個人識別認証局と、前記個人識別認証局が生成した個人識別証明書からテンプレートを取得し、該取得テンプレートに基づいて個人認証処理を実行する認証処理実行エンティテイとを有し、
前記個人識別認証局は、発行する個人識別証明書に、証明書有効期限または証明書有効利用回数の少なくともいずれかの利用制限情報を格納し、
前記認証処理実行エンティテイは、前記個人識別証明書に基づく個人認証処理の際に、前記証明書有効期限または証明書有効利用回数に基づき個人識別証明書の有効性確認処理を実行することを特徴とする個人認証方法にある。
【0029】
さらに、本発明の個人認証方法の一実施態様において、前記認証処理実行エンティテイは、前記個人識別証明書に基づく個人認証処理の際に、前記証明書有効期限または証明書有効利用回数に基づき該個人識別証明書の有効性確認処理を実行し、前記証明書有効期限または証明書有効利用回数に基づいて有効性が確認されたことを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行することを特徴とする。
【0030】
さらに、本発明の個人認証方法の一実施態様において、前記認証処理実行エンティテイの個人認証処理実行デバイスは、個人識別証明書に、証明書有効利用回数の利用制限情報が格納されている場合において、該設定利用回数をデバイス内のメモリに格納し、該個人識別証明書の利用毎にメモリに格納した利用回数データの更新処理を実行し、該メモリに格納した利用回数データに基づいて、個人識別証明書の設定利用回数の制限内であるか否かの判定処理を実行し、制限内であることを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行することを特徴とする。
【0031】
さらに、本発明の個人認証方法の一実施態様において、前記個人識別認証局は、生成する個人識別証明書に、さらに、個人識別証明書に格納されたテンプレートの有効期限情報としてのテンプレート有効期限を格納し、前記認証処理実行エンティテイは、前記個人識別証明書に基づく個人認証処理の際に、前記テンプレート有効期限に基づき該テンプレートの有効性の確認処理を実行することを特徴とする。
【0032】
さらに、本発明の個人認証方法の一実施態様において、前記認証処理実行エンティテイは、前記個人識別証明書に基づく個人認証処理の際に、前記テンプレート有効期限に基づき該テンプレートの有効性確認処理を実行し、前記テンプレート有効期限に基づいて有効性が確認されたことを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行することを特徴とする。
【0033】
さらに、本発明の個人認証方法の一実施態様において、前記個人認証実行エンティテイとしての情報処理装置は、情報処理装置の格納個人識別証明書に設定された個人識別証明書有効期限、またはテンプレート有効期限の確認処理を実行し、有効性が確認できない場合において、個人識別証明書の発行主体である個人識別認証局への個人識別証明書発行要求を出力し、前記個人識別認証局は、新たな有効期限を設定した個人識別証明書を生成し、該情報処理装置に対する発行処理を実行し、前記情報処理装置は、前記個人識別認証局から発行された個人識別証明書を該情報処理装置の記憶手段に格納する処理を実行することを特徴とする。
【0034】
さらに、本発明の個人認証方法の一実施態様において、前記個人識別認証局は、発行済みの個人識別証明書の有効期限、またはテンプレート有効期限の確認処理を実行し、該有効期限の近づいている個人識別証明書発行先エンティテイに対する通知処理を実行することを特徴とする。
【0035】
さらに、本発明の個人認証方法の一実施態様において、前記個人識別認証局は、個人識別証明書の発行先エンティテイから、発行済みの個人識別証明書についての更新要求を受領し、該更新要求に基づいて、更新した証明書有効期限または証明書有効利用回数を設定した個人識別証明書を生成し発行することを特徴とする。
【0036】
さらに、本発明の個人認証方法の一実施態様において、前記個人識別認証局は、個人識別証明書の被認証ユーザから、発行済みの個人識別証明書についての格納テンプレート更新要求を受領し、該テンプレート更新要求に基づいて、発行済みの個人識別証明書の無効処理を実行するとともに、更新テンプレートに基づく個人識別証明書を生成することを特徴とする。
【0037】
さらに、本発明の個人認証方法の一実施態様において、前記個人認証局は、個人識別証明書の被認証ユーザから、テンプレート有効期限設定要求データを受領し、該テンプレート有効期限設定要求データに基づいたテンプレート有効期限を設定した個人識別証明書の生成を実行することを特徴とする。
【0038】
さらに、本発明の個人認証方法の一実施態様において、個人識別認証局と認証処理実行エンティテイ間におけるデータ通信の際は、相互認証処理を実行するとともに、データ送信側が送信データに対する電子署名の生成処理を実行して、受信側が電子署名の検証処理を実行することを特徴とする。
【0039】
さらに、本発明の第3の側面は、
予め取得した個人識別データであるテンプレートと、ユーザの入力したサンプリング情報との照合により個人認証を実行する情報処理装置であり、
テンプレートを格納し第三者機関である個人識別認証局の発行した個人識別証明書に基づいて個人認証処理を実行する構成を有し、
個人識別証明書に基づく個人認証処理の際に、該個人識別証明書に設定された証明書有効期限または証明書有効利用回数に基づき該個人識別証明書の有効性確認処理を実行し、前記証明書有効期限または証明書有効利用回数に基づいて有効性が確認されたことを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行する構成を有することを特徴とする情報処理装置にある。
【0040】
さらに、本発明の第4の側面は、
予め取得した個人識別データであるテンプレートと、ユーザの入力したサンプリング情報との照合により個人認証を実行する情報処理装置であり、
テンプレートを格納し第三者機関である個人識別認証局の発行した個人識別証明書に基づいて個人認証処理を実行する構成を有し、
個人識別証明書に、証明書有効利用回数の利用制限情報が格納されている場合において、該設定利用回数をデバイス内のメモリに格納し、該個人識別証明書の利用毎にメモリに格納した利用回数データの更新処理を実行し、該メモリに格納した利用回数データに基づいて、個人識別証明書の設定利用回数の制限内であるか否かの判定処理を実行し、制限内であることを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行する構成を有することを特徴とする情報処理装置にある。
【0041】
さらに、本発明の第5の側面は、
予め取得した個人識別データであるテンプレートと、ユーザの入力したサンプリング情報との照合により個人認証を実行する情報処理装置であり、
テンプレートを格納し第三者機関である個人識別認証局の発行した個人識別証明書に基づいて個人認証処理を実行する構成を有し、
個人識別証明書に基づく個人認証処理の際に、個人識別証明書に設定されたテンプレート有効期限に基づき該テンプレートの有効性の確認処理を実行し、前記テンプレート有効期限に基づいて有効性が確認されたことを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行する構成を有することを特徴とする情報処理装置にある。
【0042】
さらに、本発明の第6の側面は、
予め取得した個人識別データであるテンプレートと、ユーザの入力したサンプリング情報との照合により個人認証を実行する個人認証処理をコンピュータ・システム上で実行せしめるコンピュータ・プログラムを提供するプログラム提供媒体であって、前記コンピュータ・プログラムは、
個人識別認証局の発行する個人識別証明書に、証明書有効期限または証明書有効利用回数、テンプレート有効期限のいずれかの利用制限情報が格納されているか否かを検証するステップと、
前記個人識別証明書に基づく個人認証処理の際に、前記証明書有効期限、または証明書有効利用回数、またはテンプレート有効期限に基づき個人識別証明書の有効性確認処理を実行するステップと、
前記証明書有効期限、または証明書有効利用回数、またはテンプレート有効期限に基づき有効性が確認されたことを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行するステップと、
を有することを特徴とするプログラム提供媒体にある。
【0043】
本発明の第6の側面に係るプログラム提供媒体は、例えば、様々なプログラム・コードを実行可能な汎用コンピュータ・システムに対して、コンピュータ・プログラムをコンピュータ可読な形式で提供する媒体である。媒体は、CDやFD、MO、DVDなどの記憶媒体、あるいは、ネットワークなどの伝送媒体など、その形態は特に限定されない。
【0044】
このようなプログラム提供媒体は、コンピュータ・システム上で所定のコンピュータ・プログラムの機能を実現するための、コンピュータ・プログラムと提供媒体との構造上又は機能上の協働的関係を定義したものである。換言すれば、該提供媒体を介してコンピュータ・プログラムをコンピュータ・システムにインストールすることによって、コンピュータ・システム上では協働的作用が発揮され、本発明の他の側面と同様の作用効果を得ることができるのである。本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。
【0045】
【発明の実施の形態】
以下、図面を参照しながら、本発明の実施の形態について詳細に説明する。
【0046】
【実施例】
以下、本発明の構成について、下記の項目順に説明する。
1.本発明の概念と証明書概要
2.テンプレートの暗号化
3.テンプレート、個人識別証明書(IDC)の登録、変更処理
4.個人識別証明書(IDC)の基本的利用形態
5.個人識別証明書(IDC)を使用した認証処理態様
6.個人識別証明書に基づくユーザ認証によるコンテンツの利用権制御処理
7.個人識別証明書(IDC)と公開鍵証明書(PKC)とのリンク
8.個人識別証明書(IDC)による認証と公開鍵証明書(PKC)に基づくコンテンツ利用処理
9.ワンタイム公開鍵証明書(ワンタイムPKC)
10.照合証明書
11.個人識別証明書(IDC)のダウンロードおよびコンテンツ利用処理
12.個人識別証明書(IDC)の有効期限設定
【0047】
[1.本発明の概念と証明書概要]
(1.1.本発明のシステムの基本概念)
まず、本発明の個人認証システムの基本概念について説明する。本発明の個人認証は個人識別証明書(IDC:Identification Certificate)を使用することによって実現される。個人識別証明書(IDC)は、信頼できる第三者機関である個人識別認証局(IDA:Identification Authority)が証明対象となる個人各々について、個人の確認を行なった上で発行する証明書である。
【0048】
個人識別証明書(IDC)には、各個人を識別するための情報(テンプレート情報)が格納される。個人識別情報としては、例えば指紋情報、網膜情報、虹彩情報、声紋情報、筆跡情報が使用可能であり、さらに生体情報以外の個人識別情報、例えば印鑑、パスポート、免許書、カード等の識別データ、あるいは、上記各情報の組合わせ、または、上記各情報とパスワードとの組み合わせ等、基本的に本人のみが持ち得る情報が使用され、これらの個人識別情報が原則として暗号化されて、テンプレート情報として格納される。
【0049】
個人識別認証局(IDA)により発行された個人識別証明書(IDC)は、その登録者自身であるユーザ、または登録者であるユーザに対してコンテンツ配信を行なうサービスプロバイダ(SP)、あるいは利用者確認を必要とする様々な機関(例えば決済金融機関等)、あるいはユーザデバイスからの要求に応じて、個人識別認証局(IDA)から提供され、個人識別のために利用される。具体的な利用形態については、後段で詳細に説明する。
【0050】
さらに、本発明の個人識別証明書(IDC)は、公開鍵証明書(PKC:Public Key Certificate)との組み合わせにおいて有効な利用形態が実現される。すなわち、コンテンツの暗号化配信を行なうサービスプロバイダ(SP)が個人の識別処理を行う際に個人識別証明書(IDC)を利用し、識別された個人にのみ復号可能な暗号化データの配信を公開鍵証明書を用いた公開鍵暗号方式により行なうことを可能とする。
【0051】
図2に本発明の個人認証システムを利用し、かつ公開鍵証明書を用いた暗号化データ通信の概略を説明する図を示す。上述の個人識別証明書(IDC)を発行する個人識別認証局(IDA)201、また公開鍵証明書(PKC)を発行する認証局(CA:Certificate Authority)202においてそれぞれの証明書が所定の手続きにより発行される。
【0052】
暗号化データ通信は、例えばコンテンツ配信を行なうサービスプロバイダ(SP)203と、ユーザデバイスA205の間において実行される。この際、サービスプロバイダ(SP)203は、ユーザデバイスAの使用者がユーザAであることを確認し、ユーザAにおいて復号可能な暗号化データを生成してコンテンツの暗号化配信を行なう。
【0053】
ユーザAは、個人情報を個人識別認証局(IDA)201に登録することにより、個人識別認証局(IDA)201から個人識別証明書(IDC)の発行を受けており、個人識別証明書(IDC)により、サービスプロバイダ(SP)203はユーザAであることの確認を行なう。この場合、サービスプロバイダ(SP)203が個人識別証明書(IDC)による個人認証を実行するエンティテイとなる。個人識別証明書による確認処理態様には各種あるが、これらについては後段で詳細に説明する。
【0054】
また、ユーザAは、ユーザ自身の公開鍵を認証局202に提出し、認証局の電子署名入りの公開鍵証明書の発行を受ける。サービスプロバイダ(SP)203が個人識別証明書(IDC)に基づいてユーザAであることの確認を行なった後、例えば、サービスプロバイダ(SP)203は、ユーザAの公開鍵証明書から公開鍵を取り出して、取り出した公開鍵によってコンテンツを暗号化して、コンテンツをユーザAに対して配信する。暗号化コンテンツの配信を受けたユーザデバイスA205のユーザAは、公開鍵とペアになった秘密鍵によって配信された暗号化データを復号して利用する。
【0055】
また、決済機関としてのサービスプロバイダ(SP)204と、ユーザデバイスB206との間においても、上述と同様にサービスプロバイダ(SP)204によるユーザBの個人識別証明書に基づくユーザBの確認、さらにユーザBの公開鍵証明書を用いた暗号化データ(例えばコンテンツデータ、決済データ等)の送受信が行われる。この場合、ユーザデバイスが個人識別証明書(IDC)による個人認証を実行するエンティテイとなる。
【0056】
さらに、ユーザデバイスA205と、ユーザデバイスB206との間のデータ通信においても、ユーザA,Bの個人識別証明書に基づくユーザA,Bの確認、ユーザAまたはユーザBの公開鍵証明書を用いた暗号化データの送受信が行われる。
【0057】
このように、様々な形態でのデータ送受信において、個人識別証明書および公開鍵証明書が利用可能である。個人識別証明書単独の利用形態も可能であり、機密情報を格納したPC等に対するアクセス時に個人識別証明書による照合処理によりユーザ確認を行なうことももちろん可能である。個人識別証明書による個人認証を実行するエンテイテイは、サービスプロバイダ(SP)、ユーザデバイス、さらに個人識別認証局(IDA)等、様々なエンティテイである。
【0058】
また、図2に示すように、本発明のシステムの一実施例として、個人識別認証局(IDA)201の発行する個人識別証明書(IDC)と、認証局202の発行する公開鍵証明書(PKC)をリンクさせた構成がある。リンク構成には、個人識別証明書の中に公開鍵証明書(PKC)を含ませる構成としたり、リンク情報体としての組情報を生成する構成等がある。これらのリンク構成については、後段で詳細に説明する。
【0059】
上述の説明における公開鍵暗号方式は、発信者と受信者の鍵を異なるものとして、一方の鍵を不特定のユーザが使用可能な公開鍵として、他方を秘密に保つ秘密鍵とするものである。公開鍵暗号方式では、暗号化、復号化に共通の鍵を用いるいわゆる共通鍵暗号化方式と異なり、秘密に保つ必要のある秘密鍵は、特定の1人が持てばよいため鍵の管理において有利である。公開鍵暗号方式の代表的なものにはRSA(Rivest-Shamir-Adleman)暗号がある。これは非常に大きな2つの素数(例えば150桁)の積を用いるものであり、大きな2つの素数(例えば150桁)の積の素因数分解処理の困難性を利用している。
【0060】
公開鍵暗号方式では、不特定多数に公開鍵を使用可能とする構成であり、配布する公開鍵が正当なものであるか否かを証明する証明書、いわゆる公開鍵証明書を使用する方法が多く用いられている。例えば、利用者Aが公開鍵、秘密鍵のペアを生成して、生成した公開鍵を認証局に対して送付して公開鍵証明書を認証局から入手する。利用者Aは公開鍵証明書を一般に公開する。不特定のユーザは公開鍵証明書から所定の手続きを経て公開鍵を入手して文書等を暗号化して利用者Aに送付する。利用者Aは秘密鍵を用いて暗号化文書等を復号する等のシステムである。また、利用者Aは、秘密鍵を用いて文書等に署名を付け、不特定のユーザが公開鍵証明書から所定の手続きを経て公開鍵を入手して、その署名の検証を行なうことができる。以下、本発明の個人認証システムの具体的説明に先立ち、本発明のシステムにおいて用いられる公開鍵証明書(PKC)および個人識別証明書(IDC)のデータ構成について説明する。
【0061】
(1.2.公開鍵証明書)
公開鍵証明書について図3,4を用いて説明する。公開鍵証明書は、公開鍵暗号方式における認証局(CA:Certificate AuthorityまたはIA:Issuer Authority)が発行する証明書であり、ユーザが自己のID、公開鍵等を認証局に提出することにより、認証局側が認証局のIDや有効期限等の情報を付加し、さらに認証局による署名を付加して作成される証明書である。
【0062】
公開鍵証明書のフォーマット例を示す。これは、公開鍵証明書フォーマットX.509 V3に準拠した例である。
【0063】
バージョン(version)は、証明書フォーマットのバージョンを示す。
シリアルナンバ(Serial Number)は、公開鍵証明書発行局(IA)によって設定される公開鍵証明書のシリアルナンバである。
署名アルゴリズム識別子、アルゴリズムパラメータ(Signature algorithm Identifier algorithm parameter)は、公開鍵証明書の署名アルゴリズムとそのパラメータを記録するフィールドである。なお、署名アルゴリズムとしては、楕円曲線暗号およびRSAがあり、楕円曲線暗号が適用されている場合はパラメータおよび鍵長が記録され、RSAが適用されている場合には鍵長が記録される。
発行者(issuer)は、公開鍵証明書の発行者、すなわち公開鍵証明書発行局(IA)の名称が識別可能な形式(Distinguished Name)で記録されるフィールドである。
有効期限(validity)は、証明書の有効期限である開始日時、終了日時が記録される。
サブジェクト(subject)は、ユーザである認証対象者の名前が記録される。具体的には例えばユーザ機器のIDや、サービス提供主体のID等である。
サブジェクト公開鍵情報(subject Public Key Info algorithm subject Public key)は、ユーザの公開鍵情報としての鍵アルゴリズム、鍵情報そのものを格納するフィールドである。
【0064】
ここまでが、公開鍵証明書フォーマットX.509 V1に含まれるフィールドであり、以下は、公開鍵証明書フォーマットX.509 V3において追加されるフィールドである。
【0065】
証明局鍵識別子(authority Key Identifier−key Identifier、authority Cert Issuer、authority Cert Serial Number)は、公開鍵証明書発行局(IA)の鍵を識別する情報であり、鍵識別番号(8進数)、公開鍵証明書発行局(IA)の名称、認証番号を格納する。
サブジェクト鍵識別子(subject key Identifier)は、複数の鍵を公開鍵証明書において証明する場合に各鍵を識別するための識別子を格納する。
鍵使用目的(key usage)は、鍵の使用目的を指定するフィールドであり、(0)ディジタル署名用、(1)否認防止用、(2)鍵の暗号化用、(3)メッセージの暗号化用、(4)共通鍵配送用、(5)認証の署名確認用、(6)失効リストの署名確認用の各使用目的が設定される。
秘密鍵有効期限(private Key Usage Period)は、ユーザの有する秘密鍵の有効期限を記録する。
認証局ポリシー(certificate Policies)は、認証局、ここでは、公開鍵証明書発行局(IA)および登録局(RA)の証明書発行ポリシーを記録する。例えばISO/IEC9384−1に準拠したポリシーID、認証基準である。
ポリシー・マッピング(policy Mapping)は、CA(公開鍵証明書発行局(IA))を認証する場合にのみ記録するフィールドであり、証明書発行を行なう公開鍵証明書発行局(IA)のポリシーと、被認証ポリシーのマッピングを規定する。
サポート・アルゴリズム(supported Algorithms)は、ディレクトリ(X.500)のアトリビュートを定義する。これは、コミュニケーションの相手がディレクトリ情報を利用する場合に、事前にそのアトリビュートを知らせるのに用いる。
サブジェクト別名(subject Alt Name)は、ユーザの別名を記録するフィールドである。
発行者別名(issuer Alt Name)は、証明書発行者の別名を記録するフィールドである。
サブジェクト・ディレクトリ・アトリビュート(subject Directory Attribute)は、ユーザの任意の属性を記録するフィールドである。
基本制約(basic Constraint)は、証明対象の公開鍵が認証局(公開鍵証明書発行局(IA))の署名用か、ユーザのものかを区別するためのフィールドである。
許容サブツリー制約名(name Constraints permitted Subtrees)は、被認証者が認証局(公開鍵証明書発行局(IA))である場合にのみ使用される証明書の有効領域を示すフィールドである。
制約ポリシー(policy Constraints)は、認証パスの残りに対する明確な認証ポリシーID、禁止ポリシーマップを要求する制限を記述する。
CRL参照ポイント(Certificate Revocation List Distribution Points)は、ユーザが証明書を利用する際に、証明書が失効していないか、どうかを確認するための失効リスト(図9参照)の参照ポイントを記述するフィールドである。
署名は、公開鍵証明書発行者(公開鍵証明書発行局(IA))の署名フィールドである。電子署名は、証明書全体に対しハッシュ関数を適用してハッシュ値を生成し、そのハッシュ値に対して認証局の秘密鍵を用いて生成したデータである。
【0066】
認証局は、図3,4に示す公開鍵証明書を発行するとともに、有効期限が切れた公開鍵証明書を更新し、不正を行った利用者の排斥を行うための不正者リストの作成、管理、配布(これをリボケーション:Revocationと呼ぶ)を行う。また、必要に応じて公開鍵・秘密鍵の生成も行う。
【0067】
一方、この公開鍵証明書を利用する際には、利用者は自己が保持する認証局の公開鍵を用い、当該公開鍵証明書の電子署名を検証し、電子署名の検証に成功した後に公開鍵証明書から公開鍵を取り出し、当該公開鍵を利用する。従って、公開鍵証明書を利用する全ての利用者は、共通の認証局の公開鍵を保持している必要がある。
【0068】
(1.3.個人識別証明書)
本発明の個人認証システムにおいて用いられる個人識別証明書(IDC)には、個人識別のための情報(以下、このIDCに含まれる個人識別情報をテンプレート情報と呼ぶ)が含まれる。テンプレート情報は、個人の生体(バイオメトリクス)情報、例えば指紋情報、網膜情報、虹彩情報、声紋情報、筆跡情報が使用可能であり、さらに生体情報以外の個人識別情報、例えば印鑑、パスポート、免許書、カード等の識別データ、あるいは、上記各情報の組合わせ、または、上記各情報とパスワードとの組み合わせ等、基本的に本人のみが持ち得る情報が使用可能である。このようなテンプレート情報は、不正な第三者に漏洩することがないように暗号化してIDCに格納することが望ましい。ただし、個人識別証明書の流通範囲が極めて限定され、秘密の漏洩防止が確実に実現されることが保証される環境であれば、テンプレートの暗号化は必ずしも必要ではない。
【0069】
また、個人識別証明書(IDC)には、個人識別認証局(IDA)のデジタル署名がなされ、個人識別証明書の改竄が防止される構成となっている。
【0070】
個人識別証明書のフォーマット例を図5に示す。図5の個人識別証明書は、必須項目フィールドと、拡張項目フィールド、そして、署名フィールドに大別される。各項目について説明する。
【0071】
まず、必須項目の各フィールドについて説明する。
バージョン(version)は、証明書フォーマットのバージョンを示す。
認証番号(Serial Number)は、個人識別認証局(IDA)によって設定される各個人識別証明書(IDC)のシリアルナンバである。
署名方式(Signature algorithm Identifier algorithm parameter)は、個人識別証明書の署名アルゴリズムとそのパラメータを記録するフィールドである。なお、署名アルゴリズムとしては、楕円曲線暗号およびRSAがあり、楕円曲線暗号が適用されている場合はパラメータおよび鍵長が記録され、RSAが適用されている場合には鍵長が記録される。
発行者(issuer)は、個人識別証明書の発行者、すなわち個人識別認証局(IDA)の名称が識別可能な形式(Distinguished Name)で記録されるフィールドである。
有効期限(validity)は、証明書の有効期限である開始日時、終了日時が記録される。
サブジェクト(subject)は、ユーザである認証対象者の名前が記録される。具体的には例えばユーザのIDや、氏名等である。
テンプレート情報(Subject Template Info)は、ユーザの個人識別情報として、例えば前述した指紋等の生体情報のデータを暗号化して格納するフィールドであり、テンプレートの暗号化方式、暗号化するために使用した公開鍵証明書の固有識別子(ID)または認証番号、暗号化アルゴリズム、パラメータ、テンプレートの有効期限としての開始日時、終了日時、テンプレートの種別、テンプレート(暗号化)の各情報が格納される。
ここまでが、必須項目フィールドとして設定される。
【0072】
以下は、個人識別証明書(IDC)における拡張フィールドである。
被認証者の公開鍵証明書情報(Subject PKC info)には、被認証者の公開鍵証明書情報としての、被認証者の公開鍵証明書の認証番号、被認証者の公開鍵証明書の被認証者固有IDが格納される。
個人識別認証局の固有ID(Issuer Unique ID)は、個人識別認証局(IDA)の固有IDを格納する。
被認証者の固有ID(Subject Unique ID)は、被認証者の固有IDを格納する。
公開鍵証明書(Public Key Certificate)は、前述した公開鍵証明書を格納する。
個人識別認証局の別名(Issuer Alt Name)は、個人識別認証局の別名を格納する。
個人情報(Subject Directory Attribute)は、本人確認のための情報として、ユーザの任意の属性、例えば、年齢、性別、住所、電話番号等の個人情報が必要に応じて暗号化されて格納される。
有効回数(Valid Count)は、個人識別証明書による個人認証処理の制限回数を記録するフィールドである。1度発行した証明書の利用を制限回数内にとどめるための設定数を記録する。
組情報ヘのリンク情報(Control Table link Info)は、個人識別証明書(IDC)と公開鍵証明書(PKC)とのリンク情報としての組情報を格納する。例えば、個人識別証明書による個人認証処理を条件として実行されるデータ通信、データ処理において使用される公開鍵証明書とのリンク情報を格納する。リンク情報、組情報については後段で詳細に説明する。
以上が、個人識別証明書(IDC)における拡張フィールドの内容である。
【0073】
電子署名は、証明書を構成する各フィールドの全体に対しハッシュ関数を適用してハッシュ値を生成し、そのハッシュ値に対して個人識別認証局(IDA)の秘密鍵を用いて生成したデータである。
【0074】
なお、個人識別証明書(IDC)における拡張フィールドには、さらに他の情報を格納してもよい。例えばテンプレート情報を公開鍵ではなく共通の秘密鍵で暗号化し、その暗号化に用いた共通鍵をユーザデバイス、サービスプロバイダ、または個人識別認証局(IDA)の公開鍵で暗号化して格納してもよい。この場合の処理形態については後述する。
【0075】
[2.テンプレートの暗号化]
上述の個人識別証明書(IDC)には、個人識別のための情報(テンプレート情報)が含まれる。テンプレート情報は、前述したように、個人の生体(バイオメトリクス)情報、例えば指紋情報、網膜情報、虹彩情報、声紋情報、筆跡情報が使用可能であり、さらに生体情報以外の個人識別情報、例えば印鑑、パスポート、免許書、カード等の識別データ、あるいは、上記各情報の組合わせ、または、上記各情報とパスワードとの組み合わせ等、基本的に本人のみが持ち得る情報であり個人の識別の基礎となる情報である。
【0076】
テンプレートは、前述したように特定の機密の守られる範囲内での証明書使用に限定される場合以外においては、第三者に対する漏洩を防止するため、暗号化して格納することが望ましい。ここでは、テンプレートの格納態様、暗号化態様について説明する。
【0077】
テンプレートの格納および暗号化態様としては、以下の態様がある。
1)テンプレートを暗号化しないで格納する。
2)テンプレートをユーザ(個人識別証明書において識別されるユーザ)の公開鍵で暗号化する。
3)テンプレートを共通鍵Ktで暗号化し共通鍵Ktをユーザの公開鍵で暗号化する。
4)テンプレートをサービスプロバイダ(SP)(個人識別証明書を利用してサービス提供ユーザの識別を実行するSP)の公開鍵で暗号化する。
5)テンプレートを共通鍵Ktで暗号化し共通鍵Ktをサービスプロバイダ(SP)の公開鍵で暗号化する。
6)テンプレートを個人識別認証局(IDA)の公開鍵で暗号化する。
7)テンプレートを共通鍵Ktで暗号化し共通鍵Ktを個人識別認証局(IDA)の公開鍵で暗号化する。
【0078】
上記7種類の態様があるが、これらの処理について図6、図7、図8を用いて説明する。図6(a)は、テンプレートを暗号化しない場合の処理であり、個人識別装置から取得した例えば指紋等の生体情報をテンプレート、具体的には指紋データをコード化したデータをそのままテンプレート情報として、個人識別証明書(IDC)に格納する。
【0079】
図6(b)は、公開鍵のみを使用した暗号化、復号処理を示す図であり、(b−1)の暗号化処理においては、個人識別装置から取得したユーザの識別情報であるテンプレートを、そのユーザまたはユーザデバイスの公開鍵、サービスプロバイダ(SP)(個人識別証明書を利用してサービス提供ユーザの識別を実行するSP)の公開鍵、または、個人識別認証局(IDA)の公開鍵のいずれかを用いて暗号化する。暗号化方式は例えば楕円曲線暗号(Elliptic Curve Cryptography(ECC)、RSA暗号((Rivest、Shamir、Adleman)が適用される。暗号化されたテンプレートは、そのテンプレートの暗号化処理に適用した暗号方式(アルゴリズム)と、公開鍵の識別子(固有ID)とともに個人識別証明書(IDC)に格納される。
【0080】
なお、ここで使用される公開鍵は、公開鍵固有IDによって識別可能な公開鍵である。公開鍵固有IDは公開鍵証明書を特定可能な情報であり、例えば公開鍵証明書に格納されたユーザID、ユーザ名等が使用可能である。使用する公開鍵は、ユーザの公開鍵、サービスプロバイダ(SP)(個人識別証明書を利用してサービス提供ユーザの識別を実行するSP)の公開鍵、または、個人識別認証局(IDA)の公開鍵のいずれかであり、個人識別証明書(IDC)の使用形態によって選択される。
【0081】
図7にテンプレートの暗号化に使用する公開鍵の使用形態の場合分けについて説明する図を示す。例えば、ユーザまたはユーザデバイスの公開鍵をテンプレート暗号化に用いる個人識別証明書(IDC)の使用例には、ユーザデバイス(例えばPC)の使用許可を付与した特定ユーザの識別を行なうために使用する個人識別証明書(IDC)がある。PC使用の際に、個人識別証明書(IDC)の格納テンプレートをユーザ秘密鍵で復号し、復号によって得られたテンプレートと入力テンプレートの比較により、各ユーザの個人識別を行なう場合等である。
【0082】
サービスプロバイダの公開鍵をテンプレート暗号化に用いる個人識別証明書(IDC)の使用例としては、サービスプロバイダにおいて特定ユーザ、例えば、サービスを提供するユーザを識別するための個人識別証明書(IDC)がある。サービスプロバイダは、サービスプロバイダが保有、あるいはユーザまたは個人識別認証局(IDA)から送付される各ユーザの個人識別証明書(IDC)から暗号化テンプレート情報を取り出してサービスプロバイダの秘密鍵を用いて復号し、認証処理の対象となる個人の提出したサンプリング情報(指紋データ等)と復号したテンプレートとの照合処理を実行する。
【0083】
個人識別認証局の公開鍵をテンプレート暗号化に用いる個人識別証明書(IDC)の使用例としては、例えば、端末間でのデータ送受信を実行するデータ送受信者において、個人識別認証局(IDA)発行の個人識別証明書(IDC)を用いて個人識別処理を行なう場合がある。このように、個人識別証明書(IDC)の使用形態に応じて、IDC内に格納するテンプレート情報の暗号化形態が異なってくる。
【0084】
図6、(b−2)は、公開鍵暗号方式で暗号化されたテンプレートの復号処理を示す図であり、個人識別証明書(IDC)から、暗号化テンプレートを取り出して、さらに、暗号方式、公開鍵固有IDを取り出す。さらに、公開鍵固有IDから特定される公開鍵に対応する秘密鍵を取り出して、取り出した秘密鍵により、暗号化テンプレートの復号処理を実行して、テンプレートを取り出す。個人名認証を実行するユーザデバイスあるいはサービスプロバイダ等の個人認証実行エンティテイは、これらのデータ復号、暗号処理を実行可能な暗号処理部を有する。
【0085】
図8は、共通鍵と公開鍵とを使用したテンプレート暗号化処理、復号処理を説明する図である。(c−1)は、暗号化処理のプロセスを説明したものであり、まず、暗号化テンプレート情報を生成しようとする例えば個人識別認証局(IDA)において、乱数から共通鍵を生成し、個人識別装置から入力されたテンプレートに対して、共通鍵で暗号化を実行する。さらに、そのユーザまたはユーザデバイスの公開鍵、サービスプロバイダ(SP)の公開鍵、または、個人識別認証局(IDA)の公開鍵のいずれか適用する公開鍵を共通鍵を用いて暗号化する。これらの公開鍵の選択は、前述した図7の使用態様に応じて行なうものである。
【0086】
このようにして生成された暗号化テンプレートおよび暗号化共通鍵を、テンプレート暗号化、共通鍵暗号化に適用した暗号方式(アルゴリズム)と、公開鍵の識別子(固有ID)とともに個人識別証明書(IDC)に格納する。
【0087】
(c−2)は、共通鍵と秘密鍵とを使用した復号処理を示す図であり、個人識別証明書(IDC)の暗号化テンプレート情報から、暗号化テンプレートを取り出して、さらに、暗号化された共通鍵、暗号方式、公開鍵固有IDを取り出す。さらに、公開鍵固有IDから特定される公開鍵により特定される秘密鍵を用いて暗号化共通鍵の復号を実行し、復号して得られる共通鍵に基づいて、暗号化テンプレートの復号処理を実行して、テンプレートを取り出す。
【0088】
[3.テンプレート、個人識別証明書(IDC)の登録、変更処理]
次に上述したデータ内容を持つ個人識別証明書(IDC)の登録、削除、変更、追加、停止、停止解除処理について説明する。なお、停止は、IDCの有効性を一旦停止する処理であり、停止解除処理は、一旦、有効性が停止されたIDCを再度有効にする処理である。
【0089】
(3.1.テンプレート登録)
個人識別証明書(IDC)を有効に登録するには、まず、個人識別証明書(IDC)の証明対象となる個人がサンプリング情報を提供してテンプレートを登録することが必要となる。テンプレートは、前述したように、個人の生体(バイオメトリクス)情報、例えば指紋情報、網膜情報、虹彩情報、声紋情報、筆跡情報、生体情報以外の個人識別情報、例えば印鑑、パスポート、免許書、カード等の識別データ、あるいは、上記各情報の組合わせ、または、上記各情報とパスワードとの組み合わせ等、基本的に本人のみが持ち得る情報を含む情報である。
【0090】
テンプレート登録、IDC生成処理の流れを図9に示す。テンプレートの登録処理は、上記各種の態様の個人情報を採取可能な装置を用いて採取された情報(サンプリング情報)に基づいて行なう。例えば指紋情報をテンプレートとして用いる場合は指紋読み取り装置、声紋情報を使用する場合は、声紋情報の取得装置を用いて採取する(S11)。取得データは、オンラインまたはオフラインにより個人識別認証局(IDA)に送られる(S12)。また、ユーザは個人情報(PIN)を本人確認のために個人識別認証局(IDA)に送る(S13)。
【0091】
これらのデータがオンラインで送られる場合は、ユーザのデバイスと個人識別認証局(IDA)間での相互認証処理が実行され、転送データには電子署名が付加され、データ受信側では署名検証が実行される。個人識別認証局(IDA)はデータの改竄チェックを実行し、本人確認を実行し、データ正当性の検証を行なう(S14)。正当性が確認されない場合はエラー(S17)として登録処理は実行されない。
【0092】
個人識別認証局(IDA)は、テンプレートの登録に際して、本人確認可能な個人証明データにより本人確認処理を実行する。また、必要に応じて住所、連絡先等の個人情報を取得する。個人識別認証局(IDA)は、本人確認および必要データの確認の後、テンプレートに個人識別子を割り当て、データベースに格納(S15)し、テンプレートを個人識別認証局(IDA)の公開鍵で暗号化して、暗号化テンプレートを格納した個人識別証明書(IDC)を生成する(S16)。なお、IDCにおけるテンプレートの暗号化鍵は、IDCの使用場所、すなわち個人認証実行エンティテイに応じて異なって使用される場合があり、例えばサービスプロバイダ、またはユーザデバイス等の公開鍵を用いて行われることもある。
【0093】
(3.2.テンプレート削除)
個人識別認証局(IDA)に登録したテンプレートは、テンプレート削除処理により、削除可能である。削除処理は、例えば、ユーザからの削除要求により実行される。テンプレート削除処理の流れを図10に示す。ユーザは、削除要求(S21)にともない、ユーザ身元の確認可能な個人証明データを個人識別認証局(IDA)に提出する(S22)。ユーザは、さらに個人情報(PIN)を本人確認のために個人識別認証局(IDA)に送る(S23)。
【0094】
これらのデータがオンラインで送られる場合は、ユーザのデバイスと個人識別認証局(IDA)間での相互認証処理が実行され、転送データには電子署名が付加され、データ受信側では署名検証が実行される。個人識別認証局(IDA)はデータの改竄チェックを実行し、本人確認を実行し、データ正当性の検証を行なう(S24)。正当性が確認されない場合はエラー(S27)として削除処理は実行されない。
【0095】
個人識別認証局(IDA)は、ユーザ身元の確認を個人証明データにより行い、本人からの要求であることを確認(S24)して、削除要求対象のテンプレート、個人識別データ、その他、付加情報の削除を実行する(S25)。さらに、テンプレートの格納された個人識別証明書(IDC)の削除を行ない、削除されたIDCを失効リストに登録する(S26)。具体的には、失効リストに対して対応するIDC識別子を登録する。
【0096】
(3.3.テンプレート変更)
個人識別認証局(IDA)に登録したテンプレートは、テンプレート変更処理により、変更可能である。テンプレート変更処理の流れを図11に示す。ユーザは、個人識別認証局(IDA)に対してテンプレート変更要求を提出(S31)し、新たなテンプレート生成用のサンプリング情報等を採取し(S32)、さらに、身元確認のための個人証明データ、付加情報(PIN)を必要に応じて個人識別認証局(IDA)に送付する(S33,S34)。個人識別認証局(IDA)は、個人証明データに基づいて個人確認を実行(S35)し、変更前のテンプレートに基づく個人識別証明書(IDC)を削除(S36)し、失効リストに登録(S37)する。さらに、新たなテンプレートに識別番号を付与してデータベースに格納(S38)し、テンプレートを個人識別認証局(IDA)の公開鍵で暗号化して、暗号化テンプレートを格納した個人識別証明書(IDC)を生成(S39)する。なお、ユーザデバイスと個人識別認証局(IDA)との間のオンラインでのデータ通信においては、前述の処理と同様、相互認証処理、通信データの署名付加、検証処理を実行する。
【0097】
(3.4.テンプレート追加)
ユーザは、個人識別認証局(IDA)に登録したテンプレートに、さらに別の個人識別データを追加テンプレートとして追加することができる。テンプレート追加処理の流れを図12に示す。ユーザは、テンプレート追加要求を個人識別認証局(IDA)に実行(S41)し、新たなテンプレートを採取装置により採取(S42)し、個人識別認証局(IDA)に対して個人証明データとともに送付(S43,S44)する。個人識別認証局(IDA)は、受領した個人証明データの検証(S45)により、本人確認を実行して、追加テンプレートに対して個人識別子(番号)を割り当ててデータベースに格納(S46)し、追加テンプレートを個人識別認証局(IDA)の公開鍵で暗号化して、暗号化テンプレートを格納した個人識別証明書(IDC)を生成(S47)する。なお、ユーザデバイスと個人識別認証局(IDA)との間のオンラインでのデータ通信においては、前述の処理と同様、相互認証処理、通信データの署名付加、検証処理を実行する。
【0098】
(3.5.テンプレート停止)
個人識別認証局(IDA)に登録したテンプレートを一次的に使用を停止する処理がユーザからの停止要求により実行できる。テンプレート停止処理の流れを図13に示す。ユーザは、テンプレート停止要求を個人識別認証局(IDA)に実行(S51)し、ユーザは、個人証明データ、付加情報を個人識別認証局(IDA)に提出する(S52,S53)と、個人識別認証局(IDA)は、個人証明データにより本人確認を行ない(S54)、要求のあったユーザのテンプレート、個人証明データ、付加情報の有効性を停止(S55)する。この停止処理の際に、個人識別認証局(IDA)は、ユーザの個人識別証明書(IDC)の失効処理、失効リスト登録(S56)を行なう。具体的には、失効リストに対して対応するIDC識別子を登録する。なお、ユーザデバイスと個人識別認証局(IDA)との間のオンラインでのデータ通信においては、前述の処理と同様、相互認証処理、通信データの署名付加、検証処理を実行する。
【0099】
(3.6.テンプレート停止解除)
停止処理により、有効性の停止されたテンプレートは、ユーザからの停止解除要求により、有効性を回復することができる。テンプレート停止解除処理の流れを図14に示す。ユーザは、テンプレート停止解除要求を個人識別認証局(IDA)に実行(S61)し、ユーザは、個人証明データ、必要な付加情報を個人識別認証局(IDA)に提出する(S62,S63)。個人識別認証局(IDA)は個人証明データによる本人確認(S64)の後、要求のあったユーザのテンプレート、個人証明データ、付加情報の有効性の停止解除を行なう(S65)。さらに、個人識別認証局(IDA)は、ユーザの個人識別証明書(IDC)が登録された失効リストの更新を行なう(S66)。具体的には、失効リストから対応するIDC識別子を削除する。なお、ユーザデバイスと個人識別認証局(IDA)との間のオンラインでのデータ通信においては、前述の処理と同様、相互認証処理、通信データの署名付加、検証処理を実行する。
【0100】
(3.7.個人識別証明書(IDC)配布)
次に、ユーザから提供され、登録されたテンプレートに基づいて生成される個人識別証明書(IDC)配布処理について説明する。
【0101】
図15にサービスプロバイダ(SP)に対する個人識別証明書(IDC)配布処理の流れを示す。まず、個人識別証明書(IDC)を利用しようとするサービスプロバイダは、個人識別認証局(IDA)との間で、個人識別証明書(IDC)の利用に関する運用規程を含む契約を行なう(S71)。その後、個人識別認証局(IDA)とサービスプロバイダ(SP)間での相互認証処理(S72)を行なう。相互認証処理は、例えば共通鍵暗号方式、または公開鍵暗号方式に基づく処理として実行される。
【0102】
相互認証処理が成立すると、サービスプロバイダ(SP)は、SPのサービス提供予定のユーザ名あるいはユーザ識別データと、必要とする個人識別証明書(IDC)のポリシーを個人識別証明書(IDC)発行要求として個人識別認証局(IDA)に送付する(S73)。個人識別認証局(IDA)は、発行要求を検証(S74)し、運用規程に従って、個人識別証明書(IDC)のポリシーを設定(S75)し、要求のあったユーザの個人識別証明書(IDC)をデータベースから抽出し、個人識別認証局(IDA)の公開鍵で暗号化されているユーザ・テンプレートを復号した後、サービスプロバイダ(SP)の公開鍵で再暗号化(S76)して、設定ポリシーに基づく個人識別証明書(IDC)を生成(S77)して、生成IDCをサービスプロバイダ(SP)に提供する(S78)。なお、データベースに格納されたテンプレートが暗号化されていない場合、暗号化の要請がない場合は、テンプレートの暗号化処理は省略可能である。
【0103】
(3.8.個人識別証明書(IDC)更新)
次に、ユーザから提供され、登録されたテンプレートに基づいて生成される個人識別証明書(IDC)の更新処理について説明する。更新処理は、主に使用している個人識別証明書(IDC)に設定された有効期限の再設定処理として実行される。
【0104】
図16にサービスプロバイダ(SP)からの個人識別証明書(IDC)更新要求に対する処理の流れを示す。まず、個人識別証明書(IDC)を利用しようとするサービスプロバイダは、個人識別認証局(IDA)との間で、個人識別証明書(IDC)の利用に関する運用規程を含む契約を行なう(S81)。その後、個人識別認証局(IDA)とサービスプロバイダ(SP)間での相互認証処理を行なう(S82)。相互認証処理は、例えば共通鍵暗号方式、または公開鍵暗号方式に基づく処理として実行される。
【0105】
相互認証処理が成立すると、サービスプロバイダ(SP)は、更新を必要とする個人識別証明書(IDC)の更新要求を個人識別認証局(IDA)に送付(S83)する。個人識別認証局(IDA)は、更新要求を検証(S84)し、運用規程に従って、個人識別証明書(IDC)のポリシーを設定(S85)し、要求のあったユーザの個人識別証明書(IDC)をデータベースから抽出し、個人識別認証局(IDA)の公開鍵で暗号化されているユーザ・テンプレートを復号した後、サービスプロバイダ(SP)の公開鍵で再暗号化して、設定ポリシーに基づく個人識別証明書(IDC)を生成(S86)して、有効期間の設定を行ない、生成IDCをサービスプロバイダ(SP)に提供(S87)する。なお、データベースに格納されたテンプレートが暗号化されていない場合、暗号化の要請がない場合は、テンプレートの暗号化処理は省略可能である。
【0106】
(3.9.個人識別証明書(IDC)削除)
次に、ユーザから提供され、登録されたテンプレートに基づいて生成される個人識別証明書(IDC)の削除処理について説明する。
【0107】
図17にユーザからの個人識別証明書(IDC)削除要求に対する処理の流れを示す。まず、個人識別証明書(IDC)を削除しようとするユーザは、削除を必要とする個人識別証明書(IDC)の削除要求を個人識別認証局(IDA)に送付(S91)する。個人識別認証局(IDA)は、削除要求を検証(S92)し、対応する個人識別証明書(IDC)の削除を実行(S93)する。
【0108】
(3.10.個人識別証明書(IDC)照会)
次に、ユーザから提供され、登録されたテンプレートに基づいて生成される個人識別証明書(IDC)の照会処理について説明する。照会処理は、例えばサービスプロバイダ(SP)が個人識別証明書(IDC)を保有せず、ユーザから送付されたサンプリングデータを個人識別認証局(IDA)に送付して、個人識別認証局(IDA)にのおいて、個人識別認証局(IDA)が保有する個人識別証明書(IDC)に基づいて個人認証を行なって、その結果のみをサービスプロバイダ(SP)が利用するような場合に実行される処理である。
【0109】
図18にサービスプロバイダ(SP)からの個人識別証明書(IDC)照会要求に対する処理の流れを示す。まず、個人識別証明書(IDC)の照会を行なおうとするサービスプロバイダは、個人識別認証局(IDA)との間で、個人識別証明書(IDC)の利用に関する運用規程を含む契約を行なう(S01)。その後、個人識別認証局(IDA)とサービスプロバイダ(SP)間での相互認証処理を行なう(S02)。相互認証処理は、例えば共通鍵暗号方式、または公開鍵暗号方式に基づく処理として実行される。
【0110】
相互認証処理が成立すると、サービスプロバイダ(SP)は、照会を必要とする個人識別証明書(IDC)の照会要求を個人識別認証局(IDA)に送付するとともに、照会ユーザのサンプリングデータ等を送付(S03,S04))する。個人識別認証局(IDA)は、照会要求を検証(S05)し、受領サンプリングデータと個人識別証明書(IDC)との照合(S06)を行い、照合結果(OKまたはNG)をサービスプロバイダ(SP)に送付(S07)する。
【0111】
[4.個人識別証明書(IDC)の基本的利用形態]
以下、個人識別証明書(IDC)の基本的利用形態について、公開鍵証明書(PKC)を発行する認証局(CA)と、個人識別証明書(IDC)を発行する個人識別認証局(IDA)と、これら各証明書を利用するデバイスとの関係を中心として説明する。
【0112】
図19および図20に公開鍵証明書(PKC)を発行する認証局(CA)と、個人識別証明書(IDC)を発行する個人識別認証局(IDA)と、これら各証明書を利用するデバイスの2つの構成例を示す。図19の構成は、個人識別証明書(IDC)のテンプレートとサンプリング情報との比較を個人識別認証局(IDA)において実行する形態、図20は、個人識別証明書(IDC)のテンプレートとサンプリング情報との比較をサービスプロバイダ(SP)またはユーザデバイス(UD)において実行する形態における各システム構成を示している。
【0113】
図19のユーザデバイス(UD)またはサービスプロバイダ(SP)300は、指紋データ等の様々な個人情報を取得し、処理するためのサンプリング情報処理部310を有し、サンプリング情報処理部310は、サンプリング情報を取得するための個人情報取得部314、指紋データ等のコード変換処理等を実行する情報変換部313、これらの変換コードを個人識別認証局320に送信する通信部312を有し、また、各種通信処理において暗号データ処理に使用する公開鍵証明書を格納している。制御部311は、個人情報取得部314、情報変換部313、通信部312における処理の制御を実行する。
【0114】
個人識別認証局(IDA)320は、比較部321、記憶手段322を有し、比較部において記憶手段に格納された認証対象の各個人のテンプレート(個人識別証明書に格納され、暗号化されていることが望ましい)と、ユーザデバイス(UD)またはサービスプロバイダ(SP)300から受信するサンプリング情報との比較(照合)を実行する。記憶手段には、テンプレートの他に個人識別証明書の発行履歴、照合処理履歴データが格納される。
【0115】
認証局(CA)330は、公開鍵証明書(PKC)の発行機関であり、ユーザのリクエストに応じて、認証局の署名を付加したユーザの公開鍵証明書を発行する。認証局は、公開鍵証明書の発行履歴、照合処理履歴データを格納し、管理する。
【0116】
個人識別認証局(IDA)320は、ユーザデバイス(UD)またはサービスプロバイダ(SP)300からサンプリング情報を受信し、格納テンプレートとの比較を実行して、一致した場合には、結果通知としてOKまたはNGをユーザデバイス(UD)またはサービスプロバイダ(SP)300に通知する。また、後述するが、所定のフォーマットに従った照合証明書を発行する構成としてもよい。個人識別認証局は、照合証明書を発行した場合は、発行履歴を格納する。
【0117】
認証局、(CA)、個人識別認証局(IDA)320と、ユーザデバイス(UD)またはサービスプロバイダ(SP)300との間の通信は、相互認証処理の成立を条件として実行され、機密データに関しては、相互認証において生成したセッションキーによる暗号化、あるいは、双方の公開鍵による暗号化を施して実行するのが望ましい。
【0118】
図20は、個人識別証明書(IDC)のテンプレートとサンプリング情報との比較をサービスプロバイダ(SP)またはユーザデバイス(UD)において実行する形態におけるシステム構成例である。
【0119】
図20のユーザデバイス(UD)またはサービスプロバイダ(SP)400は、指紋データ等の様々な個人情報を取得し、さらに照合処理を実行するための照合システム410を有し、照合システム410は、個人識別証明書を格納した一般メモリ413、個人識別証明書の改竄チェック処理を実行する個人識別証明書検証部414、個人識別証明書に格納された暗号化テンプレートの復号処理を実行するテンプレート復号化部415、指紋データ等のサンプリング情報を取得するための個人情報取得部418、指紋データ等のコード変換処理等を実行する情報変換部417、復号したテンプレートとコード化されたサンプリング情報とを比較する比較部416、個人識別認証局420とのデータ通信を実行する通信部411を有し、また、各種通信処理において暗号データ処理のための署名生成部、公開鍵証明書、秘密鍵を持つ暗号処理部419を有している。制御部412は、各処理部における処理制御を実行する。
【0120】
個人識別認証局(IDA)420は、個人識別証明書発行部421、記憶手段422を有し、認証対象の各個人のテンプレートを格納した個人識別証明書をユーザデバイス(UD)またはサービスプロバイダ(SP)400からのリクエストに応じて発行する。記憶手段422には、テンプレート、個人識別証明書、個人識別証明書の発行履歴、照合処理履歴データが格納される。
【0121】
認証局(CA)430は、公開鍵証明書(PKC)の発行機関であり、ユーザのリクエストに応じて、認証局の署名を付加したユーザの公開鍵証明書を発行する。認証局は、公開鍵証明書の発行履歴、照合処理履歴データを格納し、管理する。
【0122】
図19の構成と同様、認証局、(CA)、個人識別認証局(IDA)320と、ユーザデバイス(UD)またはサービスプロバイダ(SP)300との間の通信は、相互認証処理の成立を条件として実行され、機密データに関しては、相互認証において生成したセッションキーによる暗号化、あるいは、双方の公開鍵による暗号化を施して実行するのが望ましい。
【0123】
[5.個人識別証明書(IDC)を使用した認証処理態様]
次に、上述の個人識別証明書(IDC)を用いた個人認証処理の様々な態様について説明する。個人識別証明書(IDC)を用いた個人認証処理は、下記の2つのモードに大別される。
【0124】
(5.1.オンラインモード)
静的照合(Static IDC verification)
個人識別証明書(IDC)のテンプレートは照合される場所、例えば個人識別認証局(IDA)、サービスプロバイダ(SP)、あるいはユーザデバイス(PC)の公開鍵で暗号化されて個人識別認証局(IDA)に登録、格納しており、サービスプロバイダ(SP)、あるいはユーザデバイス(PC)からの要求に応じて個人識別認証局(IDA)がIDCを配布し、照合処理を実行する。
【0125】
動的照合(Dynamic IDC verification)
個人識別証明書(IDC)のテンプレートは個人識別認証局(IDA)の公開鍵で暗号化されてIDAに登録されており、サービスプロバイダ(SP)、あるいはユーザデバイス(PC)からの要求に応じて照合される場所、すなわち個人認証処理実行エンティテイである例えばSP、あるいはPCの公開鍵で暗号化し直し、動的に個人識別証明書(IDC)を配布し照合処理が実行される。
【0126】
(5.2.オフラインモード)
静的照合
個人識別証明書(IDC)のテンプレートは照合される場所、すなわち個人認証処理実行エンティテイである例えば個人識別認証局(IDA)、サービスプロバイダ(SP)、あるいはユーザデバイス(PC)の公開鍵で暗号化、あるいは、テンプレートを共通鍵で暗号化し、該共通鍵を個人識別認証局(IDA)、サービスプロバイダ(SP)、あるいはユーザデバイス(PC)の公開鍵で暗号化して個人識別認証局(IDA)に登録され、各ユーザに配布されている。個人認証する際、照合先にIDCとサンプリング情報を送り照合する。以下、上記の各モードにおける照合処理について説明する。
【0127】
(5.1.1.オンラインモード静的照合)
オンラインモード静的照合は、個人識別証明書(IDC)のテンプレートと、各個人が入力したサンプリングデータとの照合処理の実行時に、個人識別認証局(IDA)が動的に個人識別証明書(IDC)を発行して、ユーザデバイス(PC)、サービスプロバイダ(SP)、個人識別認証局(IDA)のいずれかのシステムにおいて照合処理を実行する形態であり、個人識別証明書(IDC)のテンプレートと、各個人が入力したサンプリングデータとの照合処理を各システム、すなわち個人認証処理実行エンティテイにおいて実行する形態であり、個人識別認証局(IDA)は、照合処理を実行するシステムの公開鍵で暗号化されたテンプレート情報をデータベースから抽出して各システムに送付し、各システムにおいて受信IDCを復号して得られるテンプレートと、入力サンプリングデータとの照合を実行して個人識別を行なう構成である。
【0128】
図21にユーザデバイス(例えばPC)、サービスプロバイダ(SP)、個人識別認証局(IDA)の各システムにおける照合処理の実行形態を説明する図を示す。なお、図21(a)〜(c)におけるユーザデバイス、サービスプロバイダ(SP)、個人識別認証局(IDA)等の各システム間におけるデータ転送は、基本的に各データ送受信システム間における相互認証処理が実行され、認証が成立したことを条件とし、認証処理において生成したセッションキーでデータの暗号化処理がなされて実行されるものである。
【0129】
図21(a)は、ユーザデバイスにおいて照合処理を実行する形態である。個人識別認証局(IDA)には、ユーザデバイスの公開鍵で暗号化されたテンプレートを格納した個人識別証明書(IDC)が保管され、ユーザデバイスにおける照合処理の際には、ユーザデバイスから個人識別認証局(IDA)に対して、個人認証の対象となる個人の個人識別証明書(IDC)の取得要求を行なう。
【0130】
個人識別証明書(IDC)の取得は、例えばその認証対象である個人またはユーザデバイスの公開鍵証明書(PKC)の固有IDを、ユーザデバイスから個人識別認証局(IDA)に送信し、個人識別認証局(IDA)が受信した固有IDに基づいて格納IDC中から対応する個人のIDCを抽出してユーザデバイスに送信することにより実行される。公開鍵証明書(PKC)と個人識別証明書(IDC)とは、様々な態様のリンク構成が設定可能であり、設定されたリンク構成に応じたIDC識別データがユーザデバイスから個人識別認証局(IDA)に送付され、個人識別認証局(IDA)では、受信データをキーとして対応する個人識別証明書(IDC)の抽出処理を実行する。なお、公開鍵証明書(PKC)と個人識別証明書(IDC)とのリンク態様については後段で詳細に説明する。
【0131】
ユーザデバイスは、個人識別認証局(IDA)から受信した個人識別証明書(IDC)中の暗号化テンプレートをユーザデバイスの秘密鍵で復号してテンプレートを取得し、サンプリング抽出装置において取得されたテンプレートに対応する個人データ、例えば指紋データ等のサンプリングデータとの照合を実行する。照合において一致すればOKであり、不一致であればNGとなる。IDCの格納テンプレートと、サンプリングデータとは対応する個人データ、すなわち指紋データであれば指紋データ、虹彩データであればいずれも虹彩データであることが必要である。なお、複数の異なる個人識別データをテンプレートとして個人識別証明書(IDC)に格納し、そのいずれかと入力サンプリングデータとが一致すれば照合成立とする構成としてもよい。
【0132】
照合の成立を条件として、例えばその後のユーザデバイスに設定された特定のアプリケーションプログラムを実行し、データベースへのアクセス許可、あるいはデータ更新許可、データ入力許可、その他のデータ処理を実行可能とする。照合が不成立の場合は、データ処理の実行を不許可とする。この構成は、個人認証処理要求エンティテイおよび個人認証処理実行エンティテイが、照合処理機能を備えたデータ処理装置としてのユーザデバイスである。
【0133】
図21(b)は、サービスプロバイダ(SP)において照合処理を実行する形態である。個人識別認証局(IDA)には、サービスプロバイダ(SP)の公開鍵で暗号化されたテンプレートを格納した個人識別証明書(IDC)が保管され、サービスプロバイダ(SP)における照合処理の際には、ユーザデバイスから認証の実行対象となる個人のサンプリング情報と、その個人の公開鍵証明書(PKC)が送信される。サービスプロバイダ(SP)がPKCを既に保有している場合は、PKCを特定するための識別データでもよい。なお、サンプリングデータは、相互認証で生成したセッションキーで暗号化されるか、あるいは、サービスプロバイダ(SP)の公開鍵により暗号化され、サービスプロバイダ(SP)においてのみ復号可能な暗号化データとして送付することが好ましい。本構成は、個人認証処理要求エンティテイはユーザデバイスであり、個人認証処理実行エンティテイは、該ユーザデバイスに対してサービスを提供するサービスプロバイダである。
【0134】
サービスプロバイダ(SP)は、個人またはユーザデバイスの公開鍵証明書(PKC)の固有IDを、ユーザデバイスから個人識別認証局(IDA)に送信し、個人識別認証局(IDA)に対して、個人認証の対象となる個人に対応する個人識別証明書(IDC)の取得要求を行なう。個人識別認証局(IDA)は受信した固有IDに基づいて格納IDC中から対応する個人のIDCを抽出してサービスプロバイダ(SP)に送信する。このIDCは、サービスプロバイダ(SP)の公開鍵で暗号化されたテンプレートを含むIDCである。
【0135】
サービスプロバイダ(SP)は、個人識別認証局(IDA)から受信した個人識別証明書(IDC)中の暗号化テンプレートをサービスプロバイダ(SP)の秘密鍵で復号してテンプレートを取得し、サンプリング抽出装置において取得され、ユーザデバイスから送信された暗号化サンプリングデータ、例えば指紋データ等の暗号化サンプリングデータを復号したデータとの照合を実行する。照合において一致すればOKであり、不一致であればNGとなる。照合結果(OKまたはNG)は、ユーザデバイスに送信され、照合結果に応じて、その後の処理、例えばユーザデバイスからサービスプロバイダ(SP)に対するコンテンツの送付要求、あるいはデータ閲覧要求等のサービス実行の可否が決定される。
【0136】
図21(c)は、個人識別認証局(IDA)において照合処理を実行する形態である。個人識別認証局(IDA)には、個人識別認証局(IDA)の公開鍵で暗号化されたテンプレートを格納した個人識別証明書(IDC)が保管され、個人識別認証局(IDA)における照合処理の際には、ユーザデバイスから認証の実行対象となる個人のサンプリング情報と、その個人またはユーザデバイスの公開鍵証明書(PKC)がサービスプロバイダ(SP)を経由して個人識別認証局(IDA)に送付される。個人識別認証局(IDA)がPKCを既に保有している場合は、PKCを特定するための識別データでもよい。なお、サンプリングデータは、個人識別認証局(IDA)の公開鍵により暗号化され、個人識別認証局(IDA)においてのみ復号可能な暗号化データとして送付することが好ましい。本構成は、個人認証処理要求エンティテイはユーザデバイスまたはサービスプロバイダであり、個人認証処理実行エンティテイは個人識別認証局である。
【0137】
個人識別認証局(IDA)は、個人の公開鍵証明書(PKC)の固有IDに基づいて格納IDC中から対応する個人のIDCを抽出して個人識別証明書(IDC)中の暗号化テンプレートを個人識別認証局(IDA)の秘密鍵で復号してテンプレートを取得し、サンプリング抽出装置において取得され、ユーザデバイスからサービスプロバイダ(SP)を経由して送信された暗号化サンプリングデータ、例えば指紋データ等の暗号化サンプリングデータを復号したデータとの照合を実行する。照合において一致すればOKであり、不一致であればNGとなる。照合結果(OKまたはNG)は、サービスプロバイダ(SP)および、ユーザデバイスに送信され、照合結果に応じて、その後の処理、例えばユーザデバイスからサービスプロバイダ(SP)に対するコンテンツの送付要求、あるいはデータ閲覧要求等のサービス実行の可否が決定される。
【0138】
(5.1.2オンラインモード動的照合)
オンラインモード動的照合は、個人識別証明書(IDC)のテンプレートと、各個人が入力したサンプリングデータとの照合処理の実行時に、個人識別認証局(IDA)が動的に個人識別証明書(IDC)を発行して、ユーザデバイス(PC)、サービスプロバイダ(SP)、個人識別認証局(IDA)のいずれかのシステムにおいて照合処理を実行する形態であり、個人識別認証局(IDA)の公開鍵で暗号化されたテンプレート情報を、個人識別認証局(IDA)において復号し、照合処理を実行する各システムの公開鍵で再暗号化したIDCを各照合処理システムに送信して、各システムにおいて復号して得られるテンプレートと、入力サンプリングデータとの照合を実行して個人識別を行なう構成である。
【0139】
図22は、ユーザデバイスにおいて照合処理を実行する形態である。個人識別認証局(IDA)には、個人識別認証局(IDA)の公開鍵で暗号化されたテンプレートを格納した個人識別証明書(IDC)が保管され、ユーザデバイスにおける照合処理の際には、ユーザデバイスから個人識別認証局(IDA)に対して、個人認証の対象となる個人の個人識別証明書(IDC)の取得要求を行なう。
【0140】
個人識別証明書(IDC)の取得は、例えばその認証対象である個人またはユーザデバイスの公開鍵証明書(PKC)、または、個人識別認証局(IDA)がすでにその個人またはユーザデバイスの公開鍵証明書(PKC)を保有している場合は、公開鍵証明書(PKC)の固有IDを、ユーザデバイスから個人識別認証局(IDA)に送信し、個人識別認証局(IDA)が受信した固有ID、またはPKCから取得した固有IDに基づいて格納IDC中から対応する個人のIDCを抽出する。
【0141】
個人識別認証局(IDA)は、抽出したIDCの暗号化テンプレートを個人識別認証局(IDA)の秘密鍵で復号し、さらに、ユーザデバイスの公開鍵で再暗号化を行ない、個人識別証明書(IDC)を再発行し、再発行IDCをユーザデバイスに送信する。
【0142】
ユーザデバイスは、個人識別認証局(IDA)から受信した個人識別証明書(IDC)中の暗号化テンプレートをユーザデバイスの秘密鍵で復号してテンプレートを取得し、サンプリング抽出装置において取得されたテンプレートに対応する個人データ、例えば指紋データ等のサンプリングデータとの照合を実行する。照合において一致すればOKであり、不一致であればNGとなる。照合の成立を条件として、例えばその後のユーザデバイスに設定された特定のアプリケーションプログラムを実行し、データベースへのアクセス許可、あるいはデータ更新許可、データ入力許可、その他のデータ処理を実行可能とする。照合が不成立の場合は、データ処理の実行を不許可とする。
【0143】
図23は、サービスプロバイダ(SP)において照合処理を実行する形態である。個人識別認証局(IDA)には、個人識別認証局(IDA)の公開鍵で暗号化されたテンプレートを格納した個人識別証明書(IDC)が保管され、サービスプロバイダ(SP)における照合処理の際には、まず、サービスプロバイダ(SP)から個人識別認証局(IDA)に対して、サービスプロバイダ(SP)の公開鍵証明書(PKC)が送信される。個人識別認証局(IDA)がサービスプロバイダ(SP)のPKCを既に保有している場合は、PKCを特定するための識別データでもよい。
【0144】
次に、ユーザデバイスから認証の実行対象となる個人またはユーザデバイスの公開鍵証明書(PKC)がサービスプロバイダ(SP)経由で、個人識別認証局(IDA)に送信される。個人識別認証局(IDA)がユーザデバイスのPKCを既に保有している場合は、PKCを特定するための識別データでもよい。
【0145】
個人識別認証局(IDA)は受信した固有IDに基づいて格納IDC中から対応する個人のIDCを抽出して、抽出したIDCの暗号化テンプレートを個人識別認証局(IDA)の秘密鍵で復号し、さらに、サービスプロバイダ(SP)の公開鍵で再暗号化を行ない、個人識別証明書(IDC)を再発行し、再発行IDCをサービスプロバイダ(SP)に送信する。
【0146】
サービスプロバイダ(SP)は、個人識別認証局(IDA)から受信した個人識別証明書(IDC)中の暗号化テンプレートをサービスプロバイダ(SP)の秘密鍵で復号してテンプレートを取得し、サンプリング抽出装置において取得され、ユーザデバイスから送信された暗号化サンプリングデータ、例えば指紋データ等の暗号化サンプリングデータを復号したデータとの照合を実行する。照合において一致すればOKであり、不一致であればNGとなる。照合結果(OKまたはNG)は、ユーザデバイスに送信され、照合結果に応じて、その後の処理、例えばユーザデバイスからサービスプロバイダ(SP)に対するコンテンツの送付要求、あるいはデータ閲覧要求等のサービス実行の可否が決定される。
【0147】
(5.2.オフラインモード)
オフラインモードでは、オンラインモードのように、サンプリング情報との照合時に、個人識別認証局(IDA)が動的に個人識別証明書(IDC)を発行する構成ではなく、静的照合のみである。したがって個人識別証明書(IDC)に含まれるテンプレート情報の暗号方式、照合場所等により個人認証の実現方法が異なる。またオフラインモードでは個人識別証明書(IDC)に含まれる暗号化テンプレートの復号を照合場所、例えばユーザデバイス、またはサービスプロバイダ(SP)で行なうため、ユーザデバイス、またはサービスプロバイダ(SP)において復号可能な暗号化を行なうことが必要である。
【0148】
オフラインでの静的照合の処理形態は以下のような場合に分類される。
(5.2.1)デバイスでの照合
a.個人識別証明書(IDC)と公開鍵証明書(PKC)が同一デバイスに格納されたユーザデバイスの場合
b.個人識別証明書(IDC)と公開鍵証明書(PKC)が同一デバイスに格納されていないユーザデバイスの場合
(5.2.2)サービスプロバイダでの照合
c.個人識別証明書(IDC)のテンプレート情報がサービスプロバイダ(SP)の公開鍵で暗号化されている場合
d.個人識別証明書(IDC)のテンプレート情報がユーザデバイスの公開鍵、または共通鍵で暗号化されている場合
以下にそれぞれについて説明する。
【0149】
(5.2.1)デバイスでの照合
a.IDCとPKCが同一デバイスに格納されたユーザデバイスの場合
IDCとPKCが同一デバイスに格納されたユーザデバイスとは、個人識別証明書(IDC)に含まれるテンプレートとサンプリング情報との照合処理を実行するユーザデバイスに、照合対象のユーザの個人識別証明書(IDC)と公開鍵証明書(PKC)が存在し、その公開鍵証明書(PKC)に含まれるデバイスの公開鍵によって個人識別証明書(IDC)内のテンプレート情報が暗号化され、個人識別証明書(IDC)から公開鍵証明書(PKC)を特定可能な態様である。照合時には、個人識別証明書(IDC)に含まれるテンプレートの暗号化方式、暗号鍵としての公開鍵を持つ公開鍵証明書(PKC)を識別し、識別された公開鍵に対応する秘密鍵を特定し、秘密鍵によりテンプレートを復号する。
【0150】
図24にIDCとPKCを格納したユーザデバイスにおける照合処理を説明する図を示す。ユーザデバイスは、サンプリング情報採取装置により採取された指紋情報等の個人データをサンプリング情報として入力し、さらに、ユーザデバイス内に格納された個人識別証明書(IDC)を取り出し、テンプレート暗号化方式等の情報からテンプレート暗号化に適用された公開鍵の格納された公開鍵証明書(PKC)を識別し、識別された公開鍵に対応する秘密鍵を特定する。秘密鍵は、ユーザデバイスの公開鍵、秘密鍵ペアの構成要素であり、ユーザデバイスのセキュアメモリに格納されているので、格納された秘密鍵により、個人識別証明書(IDC)の暗号化テンプレートを復号する。次いで、復号したテンプレートと、サンプリング情報との照合処理を実行する。
【0151】
照合の成立を条件として、例えばその後のユーザデバイスに設定された特定のアプリケーションプログラムを実行し、データベースへのアクセス許可、あるいはデータ更新許可、データ入力許可、その他のデータ処理を実行可能とする。照合が不成立の場合は、データ処理の実行を不許可とする。
【0152】
b.個人識別証明書(IDC)と公開鍵証明書(PKC)が同一デバイスに格納されていないユーザデバイスの場合
多数のユーザが使用するデバイス(共有型ユーザデバイス)においては、ユーザそれぞれの個人識別証明書(IDC)を格納することは困難である。このような場合、各ユーザの個人識別証明書(IDC)を各個人端末(ex.ICカード等のモバイル端末)からユーザデバイスに取り込み、取り込んだIDCに基づいて処理を行なうことになる。この処理形態は、さらに、以下の3つの態様に分類される。
(b−1)個人端末格納のIDCを共有型ユーザデバイスへ送信し照合
(b−2)個人端末において復号したテンプレート情報を共有型ユーザデバイスへ送信し照合
(b−3)個人端末側での照合処理
これらの処理について、以下説明する。
【0153】
(b−1)個人端末格納のIDCを共有型ユーザデバイスへ送信し照合
図25に、例えばICカード等の個人端末に格納された個人識別証明書(IDC)を共有型ユーザデバイスへ送信して照合処理を実行する構成について説明する図を示す。
【0154】
共有型ユーザデバイスを用い、該共有ユーザデバイスに格納したアプリケーションプログラムにより、各種のデータ処理を実行しようとするそれぞれのユーザは、例えばICカード等のモバイル端末を共有ユーザデバイスに装着する。ICカードには、個人識別認証局(IDA)が発行した個人識別証明書(IDC)が格納されている。本構成では、共有ユーザデバイスが個人認証処理実行エンティテイである。
【0155】
ICカード等のモバイル個人端末を共有ユーザデバイスに装着し、モバイル端末から個人識別証明書(IDC)を共有ユーザデバイスに送信する。なお、IDC送信に先立ち、モバイル端末と共有ユーザデバイスとの間での相互認証が実行され、IDCを相互認証時に生成したセッションキーで暗号化して送付する構成が望ましい。
【0156】
モバイル端末から個人識別証明書(IDC)を受信した共有ユーザデバイスは、IDCに付加されている個人識別認証局(IDA)の署名を検証し、IDCの改竄のないことを確認し、OK(改竄なし)の場合は、IDCから暗号化テンプレート情報を取り出す。なお、この暗号化テンプレートは、共有ユーザデバイスの公開鍵、あるいは共通鍵で暗号化されている。共有ユーザデバイスの公開鍵で暗号化されている場合は、共有ユーザデバイスの秘密鍵を用いて復号可能である。
【0157】
テンプレートが共通鍵で暗号化されている場合は、図25の点線枠で示す処理を個人端末側で実行する。テンプレートを暗号化した共通鍵は、個人端末の公開鍵で暗号化して個人識別証明書(IDC)に格納されている。個人端末は、個人識別証明書(IDC)から暗号化共通鍵を取り出して、これを自己の秘密鍵で復号して共通鍵を取り出し、これを共有ユーザデバイスに送信する。なお、共通鍵は、相互認証時に生成したセッションキーで暗号化して送付する構成が望ましい。または、ユーザデバイスの公開鍵で共通鍵を暗号化して送付する構成としてもよい。
【0158】
共有ユーザデバイスは、自己の秘密鍵、または共通鍵を用いて暗号化テンプレートを復号し、サンプリング情報採取装置から入力されたサンプリング情報との照合を実行する。
【0159】
(b−2)個人端末において復号したテンプレート情報を共有型ユーザデバイスへ送信し照合
図26に、例えばICカード等の個人端末に格納された個人識別証明書(IDC)を復号した後、共有型ユーザデバイスへ送信して照合処理を実行する構成について説明する図を示す。
【0160】
ユーザは、ICカード等のモバイル端末を共有ユーザデバイスに装着し、モバイル端末において復号した個人識別証明書(IDC)を共有ユーザデバイスに送信する。IDCは、個々のユーザのモバイル端末に対応して設定された公開鍵で暗号化され、モバイル端末に対応して設定された秘密鍵で復号可能なテンプレート情報を含む構成である。IDCから抽出された暗号化テンプレート情報は、モバイル端末に対応して設定された秘密鍵により復号され、その後、ユーザデバイスに送信される。なお、テンプレート送信に先立ち、モバイル端末と共有ユーザデバイスとの間での相互認証を実行し、テンプレートを相互認証時に生成したセッションキーで暗号化して送付する構成が望ましい。または、ユーザデバイスの公開鍵でテンプレートを暗号化して送付する構成としてもよい。
【0161】
モバイル端末からテンプレートを受信した共有ユーザデバイスは、テンプレート情報を取り出し、サンプリング情報採取装置から入力されたサンプリング情報との照合を実行する。
【0162】
(b−3)個人端末側での照合処理
図27に、例えばICカード等の個人端末に格納された個人識別証明書(IDC)を用いて個人端末側で照合処理を実行して、その結果のみを共有型ユーザデバイスへ送信する構成について説明する図を示す。
【0163】
ユーザは、ICカード等のモバイル端末を共有ユーザデバイスに装着し、モバイル端末において個人識別証明書(IDC)の暗号化テンプレートの復号を実行する。IDCは、個々のユーザのモバイル端末に対応して設定された公開鍵で暗号化され、モバイル端末に対応して設定された秘密鍵で復号可能なテンプレート情報を含む構成である。IDCから抽出された暗号化テンプレート情報は、モバイル端末に対応して設定された秘密鍵により復号される。
【0164】
サンプリング情報は、サンプリング情報採取装置において採取され、その後、ユーザデバイスを介してICカード等の個人端末に送信される。なお、サンプリング情報転送に先立ち、モバイル端末と共有ユーザデバイスとの間での相互認証を実行し、サンプリング情報を相互認証時に生成したセッションキーで暗号化して送付する構成が望ましい。ユーザデバイスからサンプリング情報を受信した個人端末は、復号したテンプレートとサンプリング情報との照合を実行し、その結果をユーザデバイスに送信する。本構成では、モバイル端末であるICカードが個人認証処理実行エンティテイである。
【0165】
(5.2.2)サービスプロバイダでの照合
次に、サービスプロバイダ(SP)における様々なサービス提供に際しての個人認証処理をサービスプロバイダにおいて実行する処理形態について説明する。
【0166】
c.個人識別証明書(IDC)のテンプレート情報がサービスプロバイダ(SP)の公開鍵で暗号化されている場合
まず、個人識別証明書(IDC)のテンプレート情報がサービスプロバイダ(SP)の公開鍵で暗号化されている場合の処理について、図28を用いて説明する。
【0167】
サービスプロバイダ(SP)の提供するサービス、例えばコンテンツ配信、決済等のサービスを受けようとするユーザデバイスは、まず、サンプリング情報採取装置により個人の指紋データ等のサンプリング情報を取得する。次に、ユーザデバイスは、サービスプロバイダ(SP)との間で相互認証処理を実行し、認証成立を条件としてサンプリング情報をサービスプロバイダ(SP)に送信する。サンプリング情報は、相互認証時に生成したセッションキー、または、サービスプロバイダの公開鍵による暗号化を施して送信する。さらに、ユーザデバイスは、自己の個人識別証明書(IDC)をサービスプロバイダに送信する。この個人識別証明書(IDC)には、サービスプロバイダの公開鍵による暗号化の施されたテンプレート情報が格納されている。
【0168】
ユーザデバイスからサンプリング情報と、個人識別証明書(IDC)とを受信したサービスプロバイダ(SP)は、個人識別証明書(IDC)に格納された暗号化テンプレート情報を自己(SP)の秘密鍵を用いて復号し、これとサンプリング情報との照合処理を実行する。
【0169】
照合が成立した場合は、個人認証が成立したとみなされ、そのサービスプロバイダの提供する例えばコンテンツ配信、決済処理等の各種サービスをユーザ(ユーザデバイス)に対して実行する。照合不成立である場合は、個人認証が不成立とみなされ、サービス提供の実行を停止する。
【0170】
d.個人識別証明書(IDC)のテンプレート情報がユーザデバイスの公開鍵、または共通鍵で暗号化されている場合
次に、個人識別証明書(IDC)のテンプレート情報がユーザデバイスの公開鍵、または共通鍵で暗号化されている場合のサービスプロバイダ(SP)における個人認証について説明する。この場合の処理形態は、以下の3形態に分類される。
(d−1)ユーザデバイスによりテンプレートの暗号化に使用した共通鍵をサービスプロバイダ(SP)に送信して照合する場合、
(d−2)ユーザデバイスにおいて復号したテンプレート情報をサービスプロバイダ(SP)に送信して照合する場合、
(d−3)ユーザデバイス側での照合処理
これらの処理について、以下説明する。
【0171】
(d−1)ユーザデバイス格納のIDCを共有型ユーザデバイスへ送信し照合図29に、ユーザデバイスに格納された個人識別証明書(IDC)をサービスプロバイダ(SP)へ送信して照合処理を実行する構成について説明する図を示す。
【0172】
サービスプロバイダ(SP)のサービスを受けようとするユーザデバイスのユーザは、まず、サービスプロバイダ(SP)との間で相互認証処理を実行し、認証成立を条件として自己の個人識別証明書(IDC)をサービスプロバイダに送信する。なお、IDCは相互認証時に生成したセッションキー、あるいはサービスプロバイダ(SP)の公開鍵で暗号化して送付する構成が望ましい。
【0173】
ユーザデバイスから個人識別証明書(IDC)を受信したサービスプロバイダ(SP)は、IDCに付加されている個人識別認証局(IDA)の署名を検証し、IDCの改竄のないことを確認し、OK(改竄なし)の場合は、IDCから暗号化テンプレート情報を取り出す。なお、この暗号化テンプレートは共通鍵で暗号化されている。
【0174】
テンプレートを暗号化した共通鍵は、ユーザデバイスの公開鍵で暗号化して個人識別証明書(IDC)に格納されている。ユーザデバイスは、個人識別証明書(IDC)から暗号化共通鍵を取り出して、これを自己の秘密鍵で復号して共通鍵を取り出し、これをサービスプロバイダ(SP)に送信する。なお、共通鍵は、相互認証時に生成したセッションキーで暗号化して送付する構成が望ましい。または、サービスプロバイダ(SP)の公開鍵で共通鍵を暗号化して送付する構成としてもよい。
【0175】
サービスプロバイダ(SP)は、自己の秘密鍵、またはセッションキーで復号して共通鍵を取得し、取得した共通鍵を用いて暗号化テンプレートを復号し、サンプリング情報採取装置から入力され、ユーザデバイスを介して送付されたサンプリング情報との照合を実行する。ユーザデバイスは、サービスプロバイダ(SP)との間で相互認証処理を実行し、認証成立を条件としてサンプリング情報をサービスプロバイダ(SP)に送信する。サンプリング情報は、相互認証時に生成したセッションキー、または、サービスプロバイダの公開鍵による暗号化を施して送信する。
【0176】
(d−2)ユーザデバイスにおいて復号したテンプレート情報をサービスプロバイダ(SP)へ送信し照合
図30に、ユーザデバイスに格納された個人識別証明書(IDC)を復号した後、サービスプロバイダ(SP)へ送信して照合処理を実行する構成について説明する図を示す。
【0177】
ユーザは、ユーザデバイスにおいて復号した個人識別証明書(IDC)をサービスプロバイダ(SP)に送信する。IDCは、個々のユーザデバイスに対応して設定された公開鍵で暗号化され、ユーザデバイスに対応して設定された秘密鍵で復号可能なテンプレート情報を含む構成である。IDCから抽出された暗号化テンプレート情報は、ユーザデバイスに対応して設定された秘密鍵により復号され、その後、サービスプロバイダ(SP)に送信される。なお、テンプレート送信に先立ち、ユーザデバイスとサービスプロバイダ(SP)との間での相互認証を実行し、テンプレートを相互認証時に生成したセッションキーで暗号化して送付する構成が望ましい。または、サービスプロバイダ(SP)の公開鍵でテンプレートを暗号化して送付する構成としてもよい。
【0178】
ユーザデバイスからテンプレートを受信したサービスプロバイダ(SP)は、テンプレート情報を取り出し、サンプリング情報採取装置から入力され、ユーザデバイスを介して受信したサンプリング情報との照合を実行する。
【0179】
(b−3)ユーザデバイス側での照合処理
図31に、ユーザデバイスに格納された個人識別証明書(IDC)を用いてユーザデバイス側で照合処理を実行して、その結果のみをサービスプロバイダ(SP)へ送信する構成について説明する図を示す。
【0180】
ユーザデバイスは、個人識別証明書(IDC)の暗号化テンプレートの復号を実行する。IDCは、個々のユーザデバイスに対応して設定された公開鍵で暗号化され、ユーザデバイスに対応して設定された秘密鍵で復号可能なテンプレート情報を含む構成である。IDCから抽出された暗号化テンプレート情報は、ユーザデバイスに対応して設定された秘密鍵により復号される。
【0181】
サンプリング情報は、サンプリング情報採取装置において採取され、その後、ユーザデバイスに入力されて、復号したテンプレートとサンプリング情報との照合を実行し、その結果をサービスプロバイダ(SP)に送信する。サービスプロバイダ(SP)は、結果に基づいてサービスの提供の可否を決定する。
【0182】
[6.個人識別証明書に基づくユーザ認証によるコンテンツの利用権制御処理]
次に、音楽データ、画像データ、ゲーム等の各種プログラム等、様々なコンテンツの利用において、個人識別証明書(IDC)に基づいてユーザ認証を実行することにより、コンテンツ利用権を制御する処理構成について説明する。
【0183】
図32にコンテンツ取り引きにおいて流通するコンテンツを含むセキュア・コンテナ(Secure Container)の構成を示す。サービスプロバイダからユーザデバイスに対するコンテンツ配信、さらに、ユーザデバイスから他のユーザデバイスに対するコンテンツ配信においても図32に示すセキュアコンテナを流通させる。
【0184】
なお、セキュアコンテナは、サービスプロバイダからユーザに配信されるばかりでなく、ユーザ間配信が可能である。ユーザ間コンテンツ配信の形態にはさらに2つの形態がある。1つは、ユーザAからユーザB、さらにユーザBからユーザC等、直列的に異なるユーザ間をコンテンツが順次、取り引きされる形態である。この直列的なユーザ間のコンテンツ配信が「世代間配信」である。もう1つの配信形態は、ユーザAの購入したコンテンツをユーザAからユーザB,C,D等、並列的に配信する形態である。すなわち1人のユーザから複数のユーザに並列に同一コンテンツを配信する形態である。この並列的なコンテンツ配信が「二次配信」である。
【0185】
図32に示すようにセキュアコンテナ700は、コンテンツ鍵によって暗号化されたコンテンツ701と、コンテンツの料金とコンテンツ料金の受け取り先、配分情報を含む価格情報702と、コンテンツの利用条件、例えば「世代間配信」「二次配信」等の転売が禁止されている1回限りの配信が許容されたコンテンツであるとか、複数回の転売が可能であるとか、複数回の転売が可能である場合の転売条件、例えば2回までの「世代間配信」と、3回までの「二次配信」が許容されているコンテンツであるとか、あるいは利用可能期間等の設定情報としての販売条件(UCP)703と、セキュアコンテナの作成者、例えばサービスプロバイダの電子署名704を含んで構成される。セキュアコンテナの価格情報702、販売条件(UCP)703をコンテナ情報と総称する。セキュアコンテナのコンテナ情報である価格情報702、販売条件(UCP)703の少なくともいずれか、あるいは両者にはコンテンツ利用の許可されたユーザの個人識別証明書(IDC)のリストが含まれる。
【0186】
図33に個人識別証明書(IDC)のリスト構成を示す。個人識別証明書(IDC)のリストには、ユーザの識別子であるユーザID、および各ユーザに対応する個人識別証明書(IDC)の識別子がデータとして含まれる。
【0187】
コンテナ情報である価格情報702、販売条件(UCP)703は、コンテンツ製作者、コンテンツプロバイダ、サービスプロバイダ等のいずれかが設定する管理データである。例えばサービスプロバイダは、予めユーザ登録をしているユーザの個人識別証明書(IDC)のリストを価格情報702、販売条件703等に含めて各データを生成する。電子署名は、コンテンツの流通を管理する機関による署名である。コンテンツの流通を管理する機関がサービスプロバイダであれば、サービスプロバイダの署名となる。
【0188】
図34に販売条件(UCP)703の具体的構成例を示す。図34に示すように販売条件(UCP)には、コンテンツの利用可能なユーザの個人識別証明書(IDC)の識別子をリスト化したデータである個人識別証明書(IDC)リスト711を含む。さらに、コンテンツ識別子(ID)、コンテンツの利用可能なユーザデバイスを設定した使用可能機器条件、コンテンツの利用可能な地域を設定した地域コード、どのようにコンテンツを利用してよいかを示す利用権タイプ(例えばコンテンツの再生可能回数、コンテンツの複製(ダウンロード)可能回数)が含まれる。
【0189】
利用権タイプは、コンテンツの利用権を設定したデータである。図35に利用権データの構成例を示す。ルール番号に対応付けて、利用権の内容、例えばコンテンツの再生権、複製(コピー)権、さらにそれぞれの権利期間、回数等が設定されている。なお、図中のSCMSはコピー回数等を設定したコピー制御情報である。ユーザは、セキュアコンテナの販売条件に設定されたルール番号により指定される利用権の範囲でコンテンツの再生、複製が許容される。
【0190】
さらに、図34に示す販売条件(UCP)には、異なるユーザデバイス間での流通可能回数として、「世代間配信」の可能回数を設定した「UCP世代管理情報」712と、「二次配信」の可能回数を設定した「二次配信可能回数」713が含まれている。「UCP世代管理情報」に設定されたユーザ間配信可能回数は、セキュアコンテナの利用に応じてユーザデバイス内のメモリに格納される使用制御情報(UCS:Usage Control Status)(図38参照)に引き継がれる。「UCP世代管理情報」に設定されたユーザ間配信可能回数は、使用制御情報(UCS)中の「UCS世代管理情報」、「UCS二次配信可能回数」の元データとなり、「UCS世代管理情報」、「UCS二次配信可能回数」に基づいてコンテンツ処理の可否が決定される。「UCS世代管理情報」はコンテンツの世代間配信毎に更新され、「UCS二次配信可能回数」はコンテンツの二次配信毎に更新される。使用制御情報(UCS:Usage Control Status)については後段で説明する。
【0191】
図36は、セキュアコンテナに含まれる価格情報のデータ構成例を示すものであり、図34の販売条件(UCP)と同様のコンテンツID等の情報の他に、価格情報ID、価格情報バージョンが含まれる。さらに、図34の販売条件(UCP)と同様、個人識別証明書(IDC)リスト721を含む。すなわちコンテンツの利用可能なユーザの個人識別証明書(IDC)の識別子をリスト化したデータを含む。
【0192】
図37にセキュアコンテンナを利用したコンテンツの配信処理形態を示す。コンテンツプロバイダ(CP)801がセキュアコンテナに格納するコンテンツを生成、または取得し、コンテンツと、そのコンテンツの販売条件(UCP)データをコンテンツのユーザに対する配信を行なうサービスプロバイダ(SP)802に提供する。サービスプロバイダ(SP)802は、コンテンツの利用に対する価格情報を生成して、価格情報、販売条件(UCP)の少なくともいずれか、あるいは両者にコンテンツ利用の許可されたユーザの個人識別証明書(IDC)のリストを格納し、電子署名を行なってセキュアコンテナを形成し、ユーザデバイス803に送付する。
【0193】
ユーザデバイス803は、セキュアコンテナの署名検証を行なう。さらに、セキュアコンテナの各構成データである販売条件(UCP)データ、価格情報等の署名検証を行ない、各データの改竄チェックを実行し、さらに、販売条件(UCP)データ、価格情報のいずれかの個人識別証明書(IDC)リストから、自己のIDC識別子を抽出し、IDC識別子によって特定される個人識別証明書(IDC)を取得して、IDC内のテンプレートとサンプリング情報との照合を実行する。なお照合処理は、ユーザデバイス、サービスプロバイダ、個人識別認証局(IDA)のいずれかにおいて実行する。この個人認証の成立を条件として、コンテンツの利用、すなわちコンテンツの復号が実行可能となる。具体的には、照合成立を条件としてコンテンツの暗号化に使用しているコンテンツ鍵をサービスプロバイダからユーザデバイスに送信する。ユーザデバイスは、コンテンツ鍵を利用してセキュアコンテナのコンテンツの復号、再生が可能となる。
【0194】
ユーザデバイスは、さらに、セキュアコンテナをユーザデバイス803の記憶媒体に格納し、コンテンツ利用に際し発生する利用料金を課金情報として生成し、決済処理を行なうクリアリングセンタ804に送信する。課金情報は、前述の価格情報に設定されたデータに基づいて生成される。クリアリングセンタでは、課金情報に基づいて例えばユーザの電子マネー口座からの金額振替処理を実行する。ユーザデバイス803は、さらに他のユーザデバイス805に対してセキュアコンテナを流通させることができる。この態様については後述する。なお、ユーザデバイス803,805は、セキュアコンテナの格納に際し、使用制御情報(UCS)を生成してメモリに格納する。
【0195】
図38にセキュアコンテナ格納に応じてユーザデバイスにおいて生成されユーザデバイス内のメモリに格納される使用制御情報(UCS:Usage Control Status)の例を示す。図38に示すように、使用制御情報(UCS)には、コンテンツID、サービスプロバイダID等の情報の他に、再生残り回数、複製残り回数等のコンテンツ利用の制限情報が含まれる。これら、再生残り回数、複製残り回数は、同一のユーザデバイス内で利用可能な再生残り回数、複製残り回数を示すデータである。これらは、コンテンツの販売条件(UCP)データに含まれるコンテンツの利用権を設定した利用権データに基づいて生成され、更新、継承されるデータである。従って、ユーザデバイスは、コンテンツ利用権の設定情報であるコンテンツの販売条件(UCP)データに含まれるコンテンツ利用権データ、あるいは利用権データに基づいて生成される使用制御情報に従ってコンテンツの利用を実行することになる。
【0196】
使用制御情報(UCS)には、さらに、個人識別証明書(IDC)リスト731を含む。すなわちコンテンツの利用可能なユーザの個人識別証明書(IDC)の識別子をリスト化したデータを含む。このリストは、販売条件(UCP)に設定されたデータを継承したデータである。さらに、使用制御情報(UCS)には、「UCS世代管理情報」732、および「UCS二次配信可能回数」733が含まれる。
【0197】
「UCS世代管理情報」は前述したように、「世代間配信」の可能回数を設定したものであり、コンテンツを最初に購入したユーザデバイスは、販売条件(UCP)中の「UCP世代管理情報」に一致する回数が設定され、ユーザからの世代間配信によってコンテンツを受領したユーザデバイスは、同一セキュアコンテナについてすでに実行された世代間配信の回数が減じられた回数が設定される。
【0198】
「UCS二次配信可能回数」733は前述の「二次配信」の可能回数を設定したフィールドであり、コンテンツを最初に購入したユーザデバイスは、販売条件(UCP)中の「UCP二次配信可能回数」に一致する回数が設定され、その後の二次配信に応じて更新、すなわち設定回数がデクリメントされる。
【0199】
このように、コンテンツのユーザ間での配信は、ユーザデバイス内のメモリにコンテンツに応じて格納される使用制御情報(UCS:Usage Control Status)中の「UCS世代管理情報」、「UCS二次配信可能回数」に基づいて、それぞれの処理の可否が決定される。「UCS世代管理情報」はコンテンツの世代間配信毎に更新され、「UCS二次配信可能回数」はコンテンツの二次配信毎に更新される。
【0200】
図39にコンテンツを格納したセキュアコンテナをサービスプロバイダからユーザデバイスに配信する際の個人識別証明書(IDC)の利用を説明する図を示す。
【0201】
ユーザデバイス810のユーザ820は、まず自己の個人識別証明書(IDC)の発行を個人識別認証局(IDA)830に依頼する。この際、ユーザは、個人の生体情報、その他の個人情報を提供する。個人識別認証局(IDA)830は、ユーザの正当性を確認した上で、サンプリング情報に基づくテンプレート情報を生成し、テンプレート情報を暗号化して格納した個人識別証明書(IDC)を生成する。
【0202】
生成した個人識別証明書(IDC)は要求に応じて、ユーザデバイス810、あるいはサービスプロバイダ840に配信され、格納される。ユーザ820が例えばサービスプロバイダ840からのコンテンツ配信を受ける際、ユーザの個人認証手続きをサービスプロバイダ840の有する個人識別証明書(IDC)に基づいて実行する。すなわち、ユーザの提供するサンプリング情報と、個人識別証明書(IDC)内のテンプレート情報とを照合して一致した場合は、サンプリング情報を提供したユーザが個人識別証明書(IDC)に対応する正当なユーザであると判定して、コンテンツ配信を実行する。
【0203】
また、ユーザデバイス810の使用の際にも、ユーザデバイス810に格納した個人識別証明書(IDC)に基づいてユーザの個人認証手続きを実行する。すなわち、ユーザの入力するサンプリング情報と、個人識別証明書(IDC)内のテンプレート情報とを照合して一致した場合は、サンプリング情報を提供したユーザが個人識別証明書(IDC)に対応する正当なユーザであると判定して、ユーザデバイスを使用したデータ処理を実行可能とする。
【0204】
このように個人識別証明書(IDC)を使用した個人認証処理は、様々な場所、すなわちユーザデバイスやサービスプロバイダにおいて独自に実行することができる。なお、前述したように、個人識別証明書(IDC)内のテンプレートは、照合処理を実行するシステムの公開鍵で暗号化して格納されている。
【0205】
図40にセキュアコンテナをサービスプロバイダから受領し、ユーザデバイスにおいて個人認証処理を実行して、正当なユーザにのみコンテンツ利用を可能とした処理フローを示す。以下、フローの各ステップについて説明する。
【0206】
ステップS701では、サービスプロバイダとユーザデバイス間で相互認証を実行し、認証成立を条件(S702でYes)として、サービスプロバイダは、セキュアコンテナを抽出し(S703)、ユーザデバイスに送信する(S704)。なお、相互認証時にセッションキーが生成され、以下のサービスプロバイダとユーザデバイス間でのデータ転送は、必要に応じてセッションキーでの暗号化処理が行なわれる。
【0207】
ユーザデバイスは受信したセキュアコンテナの検証を行なう(S705)、検証には、セキュアコンテナ自体の署名検証、コンテナ内の価格情報、販売条件情報(UCP)等の個別データの署名検証処理を含む。
【0208】
コンテナ検証が成功すると(S706,Yes)、ユーザは、サンプリング情報とユーザIDをユーザデバイスに入力(S707)し、ユーザデバイスは、セキュアコンテナの価格情報、販売条件情報(UCP)のいずれかから個人識別証明書(IDC)リストを抽出し(S708)、ユーザIDに基づいて対応するIDC識別子を検索する(S709)。入力ユーザIDに対応するIDC識別子が検出されない場合は、サービスプロバイダの認めたユーザでないと判定され、エラーとなり(S710でNo)、処理は続行されない。
【0209】
個人識別証明書(IDC)リストに入力ユーザIDに対応するIDC識別子が検出された場合(S710でYes)は、IDC識別子に基づいて個人識別証明書(IDC)を取得(S711)する。個人識別証明書(IDC)は、ユーザデバイスに格納されている場合は、ユーザデバイスに格納されたIDCを用い、ない場合は、個人識別認証局(IDA)、またはサービスプロバイダから取り寄せる。取得した個人識別証明書(IDC)からテンプレートを取り出して、自己の秘密鍵で復号し、テンプレートとサンプリング情報との照合を実行し(S712)、照合が成立しない場合(S713でNo)は、エラーとなり、その後の処理が続行されない。具体的にはコンテンツの復号処理が実行されず、コンテンツの利用が制限される。照合が成立した場合(S713でYes)は、照合成立がサービスプロバイダに通知され、サービスプロバイダはセキュアコンテナに格納された暗号化コンテンツの復号に適用するコンテンツ鍵をユーザデバイスに送信する(S714)。ユーザデバイスでは、サービスプロバイダから受信したコンテンツ鍵を使用して暗号化コンテンツの復号を行ないコンテンツを利用(S715)する。
【0210】
このように、個人識別証明書(IDC)のテンプレートを用いたユーザの個人識別処理を実行し、照合成立により、正当ユーザであることが確認された場合にのみセキュアコンテナに格納されたコンテンツの利用を可能とする構成により、不当なユーザのコンテンツ利用を防止することが可能となる。
【0211】
次に、図41にサービスプロバイダにおいて個人認証処理を実行して、正当なユーザにのみセキュアコンテナを配信する処理フローを示す。以下、フローの各ステップについて説明する。
【0212】
ステップS721では、サービスプロバイダとユーザデバイス間で相互認証を実行する。相互認証時にセッションキーが生成され、以下のサービスプロバイダとユーザデバイス間でのデータ転送は、必要に応じてセッションキーでの暗号化処理が行なわれる。
【0213】
相互認証成立を条件(S722でYes)として、サービスプロバイダは、セキュアコンテナを抽出し(S723)、ユーザデバイスは、サンプリング情報とユーザIDをユーザデバイスに入力(S735)し、これらをサービスプロバイダに送信(S736)する。
【0214】
サービスプロバイダは、セキュアコンテナの価格情報、販売条件情報(UCP)のいずれかから個人識別証明書(IDC)リストを抽出し(S724)、ユーザIDに基づいて対応するIDC識別子を検索する(S725)。入力ユーザIDに対応するIDC識別子が検出されない場合は、サービスプロバイダの認めたユーザでないこととなり、エラーとなり(S726でNo)、処理は続行されない。
【0215】
個人識別証明書(IDC)リストに入力ユーザIDに対応するIDC識別子が検出された場合(S726でYes)は、IDC識別子に基づいて個人識別証明書(IDC)を取得(S727)する。個人識別証明書(IDC)は、サービスプロバイダに格納されている場合は、サービスプロバイダに格納されたIDCを用い、ない場合は、個人識別認証局(IDA)から取り寄せる。取得した個人識別証明書(IDC)からテンプレートを取り出して、自己の秘密鍵で復号し、テンプレートとサンプリング情報との照合を実行し(S728)、照合が成立しない場合(S729でNo)は、エラーとなり、その後の処理が続行されない。具体的にはセキュアコンテナの配信が実行されない。照合が成立した場合(S729でYes)は、正当なユーザであると判定され、その後の処理が続行される。具体的にはサービスプロバイダからユーザデバイスに対するセキュアコンテナ、およびコンテンツ鍵の配信が実行される(S730)。
【0216】
サービスプロバイダは、セキュアコンテナをユーザデバイスに送信し、ユーザデバイスは受信したセキュアコンテナの検証を行なう(S731)、検証には、セキュアコンテナ自体の署名検証、コンテナ内の価格情報、販売条件情報(UCP)等の個別データの署名検証処理を含む。コンテナ検証が成功すると(S732,Yes)、ユーザデバイスにおいてセキュアコンテナのコンテンツ利用が可能となる。
【0217】
このように、サービスプロバイダ側で、個人識別証明書(IDC)のテンプレートを用いたユーザの個人識別処理を実行し、照合成立により、正当ユーザであることが確認された場合にのみセキュアコンテナの配信を実行する構成により、不当なユーザに対するコンテンツ配信を防止することが可能となる。
【0218】
次に、ユーザデバイス間におけるセキュアコンテナの配信処理における個人識別証明書(IDC)の利用形態について説明する。
【0219】
図42にセキュアコンテンナを利用したコンテンツのユーザ間の配信処理形態を示す。サービスプロバイダ(SP)は、コンテンツの利用に対する価格情報を生成して、価格情報、販売条件(UCP)の少なくともいずれか、あるいは両者にコンテンツ利用の許可されたユーザの個人識別証明書(IDC)のリストを格納し、電子署名を行なってセキュアコンテナを形成し、ユーザデバイス1,920に送付する。
【0220】
ユーザデバイス1,920の利用を行なうユーザ940,945は、正当なコンテンツの利用が認められたユーザである場合、コンテンツに対応するセキュアコンテナの価格情報、販売条件(UCP)、またはセキュアコンテナのユーザデバイス格納処理の際にユーザデバイスにおいて生成され格納される使用制御情報(UCS)のいずれかに格納された個人識別証明書(IDC)のリストにユーザのIDC識別子が格納されることになる。ユーザデバイス1,920の格納コンテンツを利用する場合、セキュアコンテナのIDCリストに基づく個人認証処理を実行する。コンテンツ利用を要求するユーザにサンプリング情報の入力を求め、入力されたサンプリング情報と格納された個人識別証明書(IDC)内のテンプレートとの照合を実行し、照合が成立した場合にのみ、コンテンツ利用を許可する。
【0221】
さらに、セキュアコンテナは、前述の通り、ユーザデバイス間での配信が可能である。セキュアコンテナがユーザデバイス1,920から、ユーザデバイス2,930に移動された場合、ユーザ940,945は、ユーザデバイス2,930においてコンテンツの利用を行なう場合においても、セキュアコンテナの価格情報、販売条件(UCP)、または使用制御情報(UCS)のIDCリストに基づく個人認証処理を実行する。コンテンツ利用を要求するユーザにサンプリング情報の入力を求め、入力されたサンプリング情報と格納された個人識別証明書(IDC)内のテンプレートとの照合を実行し、照合が成立を条件としてコンテンツ利用を許可する。
【0222】
このように、セキュアコンテナの移動があった場合においても、セキュアコンテナに当初格納された価格情報、販売条件(UCP)の個人識別証明書(IDC)リストは不変であり、またセキュアコンテナの販売条件(UCP)に基づいて生成される使用制御情報(UCS)のIDCリストも不変であり、これらのIDCリストに基づいてコンテンツの利用者が正当なユーザにのみ制限することが可能となる。
【0223】
次に、図43にセキュアコンテンナを利用したコンテンツのユーザ間の配信処理、ユーザの個人認証の異なる形態を示す。図43に示す処理は、ユーザデバイスの使用制限、すなわちアクセス制限をユーザデバイスに格納した個人識別証明書(IDC)に基づく個人認証処理により実行し、さらに、コンテンツの使用に際して、セキュアコンテナの価格情報、販売条件(UCP)、または使用制御情報(UCS)のIDCリストに基づく個人認証処理を実行する2つの認証を実行する形態である。
【0224】
ユーザデバイス1,950を使用するユーザA,ユーザBは、個人識別認証局(IDA)970に予めサンプリング情報を提示して、サンプリング情報に基づくテンプレート情報を格納した個人識別証明書(IDC)の発行依頼を行なう。発行された個人識別証明書(IDC)は、使用するユーザデバイス1,950に格納する。
【0225】
ユーサデバイス950は使用開始にあたり、デバイスに格納された個人識別証明書(IDC)955に基づく個人認証処理を実行し、使用を要求するユーザにサンプリング情報の入力を求め、入力されたサンプリング情報と格納された個人識別証明書(IDC)内のテンプレートとの照合を実行し、照合が成立した場合にのみ、ユーザデバイス1,950の使用を許可する。
【0226】
さらに、セキュアコンテナ990のコンテンツの利用を行なう際には、セキュアコンテナの価格情報、販売条件(UCP)、または使用制御情報(UCS)のIDCリストに基づく個人認証処理を実行する。ここでユーザに対応するIDCリストが検出されないか、または検出されても入力サンプリング情報と照合が成立しない場合はコンテンツの利用が許可されない。
【0227】
すなわち、セキュアコンテナ990の格納コンテンツをユーザデバイス1,950において利用する際は、ユーザデバイスに格納された個人識別証明書(IDC)に基づく個人認証が成立し、さらに、セキュアコンテナの価格情報、販売条件(UCP)、または使用制御情報(UCS)のIDCリストに基づく個人認証処理が成立することが要件となる。
【0228】
セキュアコンテナは、デバイス間で移動することが可能であり、ユーザデバイス2,960に移動した場合は、同様にユーザデバイス2,960に格納された個人識別証明書(IDC)に基づく個人認証、さらに、セキュアコンテナの価格情報、販売条件(UCP)、または使用制御情報(UCS)のIDCリストに基づく個人認証処理が実行される。
【0229】
図43の構成では、ユーザデバイス1,950にはユーザA,Bの個人識別証明書(IDC)955が格納されており、セキュアコンテナにはユーザA,B,Cのリスト992が格納されているので、ユーザA,Bのみがユーザデバイス1,950を使用してコンテンツの利用が可能となり、ユーザデバイス2,960にはユーザA,Cの個人識別証明書(IDC)965が格納されており、セキュアコンテナにはユーザA,B,Cのリスト992が格納されているので、ユーザA,Cのみがユーザデバイス2,960を使用してコンテンツの利用が可能となる。
【0230】
なお、図43の構成例は、各ユーザデバイスにおいては格納IDCのみとの照合処理を実行することを条件とした認証処理を行なうように設定したシステムである。個人識別証明書(IDC)を個人識別認証局(IDA)に登録済みのすべてのユーザが使用可能なデバイスとして設定する場合は、デバイスのアクセス権制御をデバイスに格納したIDCのみならず、IDAに接続してIDAに格納した個人識別証明書(IDC)の格納テンプレートと入力サンプリング情報との比較を実行して認証処理を行なうようにしてもよい。
【0231】
なお、ユーザデバイス間におけるセキュアコンテナの配信、利用処理においてセキュアコンテナのIDCリストに基づく個人識別証明書(IDC)を利用した個人認証を実行してコンテンツの利用制限を実行する処理例を図44,45の処理フローに従って説明する。このフローにおいては、ユーザデバイスのアクセス制限については含まない処理として説明する。
【0232】
図44にセキュアコンテナをユーザデバイスAから受領し、ユーザデバイスBにおいて個人認証処理を実行して、正当なユーザにのみコンテンツ利用を可能とした処理フローを示す。以下、フローの各ステップについて説明する。
【0233】
ステップS751では、ユーザデバイスAとユーザデバイスB間で相互認証を実行し、認証成立を条件(S752でYes)として、ユーザデバイスAは、セキュアコンテナを抽出し(S753)、ユーザデバイスBに送信する(S754)。なお、相互認証時にセッションキーが生成され、以下のユーザデバイス間でのデータ転送は、必要に応じてセッションキーでの暗号化処理が行なわれる。
【0234】
ユーザデバイスBは受信したセキュアコンテナの検証を行なう(S755)、検証には、セキュアコンテナ自体の署名検証、コンテナ内の価格情報、販売条件情報(UCP)等の個別データの署名検証処理を含む。
【0235】
コンテナ検証が成功すると(S756,Yes)、コンテンツ利用を要求するユーザは、サンプリング情報とユーザIDをユーザデバイスBに入力(S757)し、ユーザデバイスBは、使用制御情報(UCS)から個人識別証明書(IDC)リストを抽出し(S758)、ユーザIDに基づいて対応するIDC識別子を検索する(S759)。入力ユーザIDに対応するIDC識別子が検出されない場合は、サービスプロバイダの認めたユーザでないこととなり、エラーとなり(S760でNo)、処理は続行されない。
【0236】
個人識別証明書(IDC)リストに入力ユーザIDに対応するIDC識別子が検出された場合(S760でYes)は、IDC識別子に基づいて個人識別証明書(IDC)を取得(S761)する。個人識別証明書(IDC)は、ユーザデバイスBに格納されている場合は、ユーザデバイスBに格納されたIDCを用い、ない場合は、個人識別認証局(IDA)、またはサービスプロバイダから取り寄せる。取得した個人識別証明書(IDC)からテンプレートを取り出して、自己の秘密鍵で復号し、テンプレートとサンプリング情報との照合を実行し(S762)、照合が成立しない場合(S763でNo)は、エラーとなり、その後の処理が続行されない。具体的にはコンテンツの復号処理が実行されず、コンテンツの利用が制限される。照合が成立した場合(S763でYes)は、照合成立がユーザデバイスAに通知され、ユーザデバイスAはセキュアコンテナに格納された暗号化コンテンツの復号に適用するコンテンツ鍵をユーザデバイスBに送信する(S764)。ユーザデバイスBでは、ユーザデバイスAから受信したコンテンツ鍵を使用して暗号化コンテンツの復号を行ないコンテンツを利用(S765)する。
【0237】
このように、個人識別証明書(IDC)のテンプレートを用いたユーザの個人識別処理を実行し、照合成立により、正当ユーザであることが確認された場合にのみセキュアコンテナに格納されたコンテンツの利用を可能とする構成により、セキュアコンテナがユーザデバイス間で配信された後も、不当なユーザのコンテンツ利用を防止することが可能となる。
【0238】
次に、図45にコンテンツを配信する前に配信元において個人認証処理を実行して、正当なユーザにのみセキュアコンテナを配信する処理フローを示す。以下、フローの各ステップについて説明する。
【0239】
ステップS771では、ユーザデバイスAとユーザデバイスB間で相互認証を実行する。相互認証時にセッションキーが生成され、以下のサービスプロバイダとユーザデバイス間でのデータ転送は、必要に応じてセッションキーでの暗号化処理が行なわれる。
【0240】
相互認証成立を条件(S772でYes)として、ユーザデバイスAは、セキュアコンテナを抽出し(S773)、ユーザデバイスBは、サンプリング情報とユーザIDをユーザデバイスに入力(S785)し、これらをユーザデバイスAに送信(S786)する。
【0241】
ユーザデバイスA、セキュアコンテナの価格情報、販売条件情報(UCP)、または使用制御情報(UCS)のいずれかから個人識別証明書(IDC)リストを抽出し(S774)、ユーザIDに基づいて対応するIDC識別子を検索する(S775)。入力ユーザIDに対応するIDC識別子が検出されない場合は、サービスプロバイダの認めたユーザでないと判定され、エラーとなり(S776でNo)、処理は続行されない。
【0242】
個人識別証明書(IDC)リストに入力ユーザIDに対応するIDC識別子が検出された場合(S776でYes)は、IDC識別子に基づいて個人識別証明書(IDC)を取得(S777)する。個人識別証明書(IDC)は、サービスプロバイダに格納されている場合は、サービスプロバイダに格納されたIDCを用い、ない場合は、個人識別認証局(IDA)から取り寄せる。取得した個人識別証明書(IDC)からテンプレートを取り出して、自己の秘密鍵で復号し、テンプレートとサンプリング情報との照合を実行し(S778)、照合が成立しない場合(S779でNo)は、エラーとなり、その後の処理が続行されない。具体的にはセキュアコンテナおよびコンテンツ鍵の配信が実行されない。照合が成立した場合(S779でYes)は、正当なユーザであると判定され、その後の処理が続行される。具体的にはセキュアコンテナおよびコンテンツ鍵のユーザデバイスBに対する配信が実行される。
【0243】
ユーザデバイスAがセキュアコンテナをユーザデバイスBに送信すると、ユーザデバイスBは受信したセキュアコンテナの検証を行なう(S781)、検証には、セキュアコンテナ自体の署名検証、コンテナ内の価格情報、販売条件情報(UCP)等の個別データの署名検証処理を含む。コンテナ検証が成功すると(S782,Yes)、ユーザデバイスBにおいてセキュアコンテナのコンテンツ利用が可能となる。
【0244】
このように、ユーザデバイスA側で、個人識別証明書(IDC)のテンプレートを用いたユーザの個人識別処理を実行し、照合成立により、正当ユーザであることが確認された場合にのみセキュアコンテナの配信を実行する構成により、不当なユーザに対するコンテンツ配信を防止することが可能となる。
【0245】
次に、図46にユーザデバイス間でのセキュアコンテナの転送処理を実行するユーザデバイス構成を中心としたブロック図を示す。図46を用いてセキュアコンテナの転送、コンテンツ使用制御情報(UCS)生成、格納処理について説明する。
【0246】
図46のサービスプロバイダ1810が、セキュアコンテナの最初の流通(一次配布)を行なう。サービスプロバイダ1810は、コンテンツデータベース1812にコンテンツを格納し、さらに、ユーザ情報データベース1813にユーザ情報を格納している。サービスプロバイダ1810は、制御部1811の制御のもとに暗号処理部1814において、セキュアコンテナの転送処理に必要な転送先との相互認証処理、転送データに対する署名処理等を実行する。暗号処理部1814は、これら各暗号処理に必要となる鍵情報、さらに、先に説明した公開鍵証明書発行局(CA)の公開鍵、公開鍵証明書発行局(CA)の発行した公開鍵証明書等を保持したメモリを有している。また、データベース1813にはサービス提供ユーザに関する個人識別証明書(IDC)を格納している。必要に応じてIDCを使用して個人識別装置1816においてサンプリング情報との照合処理による個人認証を実行する。
【0247】
サービスプロバイダ1810は、ユーザデバイスA1820に対してセキュアコンテナを通信部1815を介して転送する。セキュアコンテナは先に説明したように、販売条件(UCP)、価格情報を含み、少なくともいずれかに個人識別証明書(IDC)リストを含む。
【0248】
また、図46に示すクリアリングセンタ1840がコンテンツ流通に伴うコンテン利用料の決済(電子マネー上のデータなど)処理を行なう。クリアリングセンタ1840は、通信部1845を介して行われる決済用の受領ログ受信または発行ログ送信において各デバイスと認証処理を実行し、また送受信データに対する署名処理、署名検証処理を実行するための暗号処理部1844を有し、また、ユーザ管理、ユーザ残高管理用の各種のデータを格納したデータベース1842を有する。暗号処理部1844には、各暗号処理に必要となる鍵情報、公開鍵証明書発行局(CA)の公開鍵、公開鍵証明書発行局(CA)の発行した公開鍵証明書等を保持したメモリを有している。制御部1841は、データ送受信、暗号処理部における暗号処理時のデータ転送等の制御を行なう。また、データベース1842にはサービス提供ユーザに関する個人識別証明書(IDC)を格納している。必要に応じてIDCを使用して個人識別装置1846においてサンプリング情報との照合処理による個人認証を実行する。
【0249】
サービスプロバイダ1810は、ユーザデバイスA1820に対してセキュアコンテナを通信部1815を介して転送して、ユーザデバイスA1820が通信部1827を介してこれを受信し、購入処理を実行する。購入処理においては、記憶部1825に格納した個人識別証明書(IDC)による個人認証を実行する。なお、個人識別証明書(IDC)がない場合は、サービスプロバイダ1810において個人認証処理を実行してもよい。ユーザデバイスA1820は、制御部1821の制御のもとに暗号処理部1822においてセキュアコンテナの販売条件(UCP)等に基づいてコンテンツ使用制限情報(UCS)を生成して、これをフラッシュメモリ等のメモリ1824に格納する。コンテンツ使用制限情報(UCS)には前述したように販売条件(UCP)に格納した個人識別証明書(IDC)リストを承継したリストを含む。
【0250】
ユーザデバイスA1820は、例えば電子マネー1828によるコンテンツ利用料金支払処理を行なう。利用ログを暗号処理部1822において生成して、通信部1827を介してサービスプロバイダ1810に送信する。ユーザデバイスA1820が受信したセキュアコンテナは、ハードディスク等の記憶部1825に格納される。サービスプロバイダ1810は、ユーザデバイスA1820から送信された利用ログの検証をして、検証が済むと、コンテンツ鍵をセッション鍵で暗号化してユーザデバイスA1820に送信する。ユーザデバイスA1820は、暗号化されたコンテンツ鍵をセッション鍵で復号し、これをさらにユーザデバイスA1820固有の保存鍵で暗号化してメモリ1824に格納する。
【0251】
ユーザデバイスA1820は、データ再生部1826でのコンテンツ再生等、コンテンツ利用に際しては、メモリ1824に保存したコンテンツ鍵を保存鍵で復号して、復号したコンテンツ鍵を用いて記憶部1825に格納されたセキュアコンテナ中のコンテンツを復号処理してデータ再生部1826において再生する。なお、セキュアコンテナ中のコンテンツの復号処理に際しては、その前ステップとして、メモリ1824に格納されたコンテンツ使用制限情報(UCS)の再生残り回数等の設定条件を判定し、条件がクリアされた場合には復号が可能となる。
【0252】
さらに、セキュアコンテナをユーザデバイスA1820からユーザデバイスB1830に配信する場合は、ユーザデバイスA1820は、メモリ1824からコンテンツ使用制限情報(UCS)を読み出し、暗号処理部1822内で保存鍵で復号化(暗号化されていない場合は復号処理は不要)し、UCSの「UCS世代管理情報」、「UCS二次配信可能回数」を判定し、新たな配信が可能と判定された場合には、ユーザデバイスB1830に対してセキュアコンテナを通信部1827を介して転送して、ユーザデバイスB1830が通信部1837を介してこれを受信し、購入処理を実行する。
【0253】
なお、セキュアコンテナの配信時には前述の個人認証処理が実行される。個人認証処理は、前述の図45のフローを用いて説明したようにセキュアコンテナの配信元のユーザデバイスAの個人識別装置1829で実行するか、あるいは図44のフローを用いて説明したように配信先のユーザデバイスBの個人識別装置1839のいずれかで実行する。また、その他のサービプロバイダ、あるいは個人識別認証局(IDA)において実行するようにしてもよい。
【0254】
個人認証が成立すると、ユーザデバイスB1830は、制御部1831の制御のもとに暗号処理部1832においてセキュアコンテナの販売条件(UCP)とユーザデバイスA1820のUCS情報等に基づいて、新たな「UCS世代管理情報」、「UCS二次配信可能回数」を設定したコンテンツ使用制限情報(UCS−B)を生成して、これをフラッシュメモリ等のメモリ1834に格納する。
【0255】
この際に生成するUCS−Bは、ユーザデバイスA1820のコンテンツ利用履歴を継承したものとなる。UCS−Bの「UCS世代管理情報」はUCS−Aの「UCS世代管理情報」より1つ減じた回数として設定される。UCS−Bの「UCS二次配信可能回数」はUCS−Aの「UCS二次配信可能回数」より1つ減じた回数として設定する構成と、セキュアコンテナ内の「UCP二次配信可能回数」と同一回数を新たに設定する構成とがある。
【0256】
ユーザデバイスB1830は、電子マネー1838によるコンテンツ利用料金支払処理、すなわち利用ログを暗号処理部1832において生成して、通信部1837を介してユーザデバイスA1820に送信する。ユーザデバイスB1830が受信したセキュアコンテナは、ハードディスク等の記憶部1835に格納される。ユーザデバイスA1820は、ユーザデバイスB1830から送信された利用ログの検証をして、検証が済むと、メモリ1824からコンテンツ鍵を読み出し、これを保存鍵で復号した後、コンテンツ鍵をセッション鍵で暗号化してユーザデバイスB1830に送信する。ユーザデバイスB1830は、暗号化されたコンテンツ鍵をセッション鍵で復号し、これをさらにユーザデバイスB1830固有の保存鍵で暗号化してメモリ1834に格納する。
【0257】
また、不正な改竄により設定を超えた使用を行なうと、同一セキュアコンテナに基づいて生成された受領ログ数が、セキュアコンテナ中の販売条件(UCP)に含まれる「UCP世代管理情報」の設定を超えることとなるため、クリアリングセンタ1840に送付された場合に無効と判定される。受領ログには、コンテンツID等の情報とともに、セキュアコンテナに記録された「UCP世代管理情報」が記録されており、クリアリングセンタ1840における決済処理においては、「UCP世代管理情報」の設定を超える受領ログを受信した場合はこれを無効とする。なお、ユーザ間配信の認められない設定のなされたコンテンツに基づいて生成された受領ログについても、その受領ログを無効とする処理を実行する。
【0258】
ユーザデバイスB1830は、データ再生部1836でのコンテンツ再生等、コンテンツ利用に際しては、メモリ1834に保存したコンテンツ鍵を保存鍵で復号して、復号したコンテンツ鍵を用いて記憶部1835に格納されたセキュアコンテナ中のコンテンツを復号処理してデータ再生部1836において再生する。なお、セキュアコンテナ中のコンテンツの復号処理に際しては、メモリ1834に格納されたコンテンツ使用制限情報(UCS)に設定された再生残り回数等の利用可能状況が判定され、設定条件範囲内でコンテンツの利用、すなわち復号が可能となる。
【0259】
セキュアコンテナを用いたコンテンツ配信では、サービスプロバイダとユーザデバイス間の一次配布、さらに複数のユーザデバイス間での二次配布(世代間配信または二次配信)において、個人識別証明書(IDC)によるユーザ確認が可能となり、また、コンテンツ利用は、セキュアコンテナ中の販売条件(UCP)に含まれる「UCP世代管理情報」、「UCP二次配信可能回数」によって制限された範囲に制限される。また一次配布、二次配布(世代間配信または二次配信)に伴うコンテンツ利用料金回収もセキュアコンテナ中の価格情報、販売条件等に基づいて生成される受領ログに従って自動的に処理可能となるため、決済処理のための新たな処理が不要となる。
【0260】
[7.個人識別証明書(IDC)と公開鍵証明書(PKC)とのリンク]
次に、個人識別証明書(IDC)と公開鍵証明書(PKC)とを関連付ける構成、すなわちリンク構成について説明する。
【0261】
個人識別証明書(IDC)と公開鍵証明書(PKC)とは関連付けて管理することが、様々な場面において有効となる。例えば、個人識別証明書(IDC)と、該個人識別証明書の格納テンプレートの暗号化に適用した公開鍵の公開鍵証明書とを関連付けるリンクを構成したり、特定のサービスプロバイダ等、データ通信先との接続処理の際の、個人認証、相互認証または暗号処理データ通信を実行する際に適用する個人識別証明書と公開鍵証明書との組合わせについてのリンクを構成することで、一方の証明書に基づいて他方の証明書を特定することが可能となる。
【0262】
個人識別証明書(IDC)と公開鍵証明書(PKC)とのリンクは1対1のリンク、すなわち1つの個人識別証明書(IDC)と、1つの公開鍵証明書(PKC)とをリンクさせる態様の他に、1対多、多対1、多対多のリンク態様がある。PKCとIDCの対応が1対1とは、個人識別証明書(IDC)によって識別される唯一の個人に唯一の公開鍵証明書(PKC)が対応する場合で、例えば使用デバイスと、そのデバイスを使用する個人が1対1に対応する場合である。
【0263】
PKCとIDCの対応が1対N(Nは2以上)とは、複数の個人識別証明書(IDC)によって識別される複数の個人と公開鍵証明書が非対応。すなわち、デバイスを複数人で共有する場合等である。PKCとIDCの対応がM対1(Mは2以上)とは、個人識別証明書(IDC)によって識別される唯一の個人が使用する、または使用できる公開鍵証明書が複数ある場合である。PKCとIDCの対応がM対N(M,Nは2以上)とは、複数の個人識別証明書(IDC)によって識別される複数の個人が使用する、または使用できる公開鍵証明書が複数あり、かつ、デバイスを共有している場合である。
【0264】
また、個人識別証明書(IDC)と公開鍵証明書(PKC)とのリンク態様には、リンク方向、すなわちいずれか一方の証明書から他方の証明書を導くことのみが可能な一方向リンク(または片方向リンク、有方向リンク)と、いずれの証明書からでも他方の証明書を導くことが可能な双方向リンクとがある。
【0265】
図47,48に1対1、1対多、多対1、多対多の個人識別証明書(IDC)と公開鍵証明書(PKC)とのリンク態様のそれぞれについて示す。いずれの場合も個人識別証明書(IDC)は、個人識別認証局(IDA)によって発行され個人識別認証局(IDA)の署名が付加された証明書であり、公開鍵証明書(PKC)は認証局(CA)によって発行され、認証局(CA)の署名が付加されている。
【0266】
リンクの実現方法としては、いずれの場合においても、以下に示す各種の実現方法がある。
▲1▼PKC識別番号をIDCに埋め込む。
(IDCからPKCへの1方向リンク)
▲2▼IDC識別番号をPKCに埋め込む。
(PKCからIDCへの1方向リンク)
▲3▼リンク構造体IDをIDC、PKCに埋め込む。リンク構造体はリンク構造体IDによって識別され、リンク関係のIDC識別番号、PKC識別番号を持つ。
(IDC、PKCの双方向リンク)
▲4▼ PKC識別番号とIDC識別番号の組を証明書外に記録する。
(IDCからPKCへの1方向リンク)
▲5▼ PKC識別番号とIDC識別番号の組を証明書外に記録する。
(PKCからIDCへの1方向リンク)
▲6▼ PKC識別番号とIDC識別番号の組を証明書外に記録する。
(IDC、PKCの双方向リンク)
▲7▼IDC内にPKCを格納する。
(IDCからPKCへの1方向リンク)
▲8▼PKC内にIDCを格納する。
(PKCからIDCへの1方向リンク)
▲9▼各証明書内にリンク情報問い合わせ番号、問い合わせ情報を格納する。
(PKC、IDCのいずれか1方向、または双方向リンク)
【0267】
上述のように、リンク情報の格納態様としては、▲1▼、▲2▼に示すように、個人識別証明書(IDC)または公開鍵証明書(PKC)自身の内部に、リンク証明書の識別番号を格納(埋め込む)する方法、▲3▼に示すように、リンク関係にある各証明書の識別番号の対応を示すリンク構造体を生成してそのリンク構造体の識別子(ID)を関連付けた個人識別証明書(IDC)または公開鍵証明書(PKC)に記録する方法、すなわち、リンク識別データとしてのリンク構造体識別子と、リンクを構成する公開鍵証明書識別子と、個人識別証明書識別子とをデータとして格納する構成、さらに、▲4▼、▲5▼、▲6▼に示すように、それぞれの証明書とは、異なる外部、例えばネットワーク上に配置したリンク情報管理センター等の機関において、個人識別証明書(IDC)と公開鍵証明書(PKC)とのリンク情報を集積して管理し、必要に応じてリンク情報を抽出可能にする構成等がある。各リンク態様の具体的構成について、説明する。
【0268】
(IDC内にPKCを格納)
前述したように個人識別のためのテンプレート情報の個人識別証明書(IDC)における格納態様の一態様には、公開鍵でテンプレートを暗号化して格納する構成がある。このテンプレートを暗号化した公開鍵に対応して生成された公開鍵証明書(PKC)が、個人識別証明書(IDC)のリンク公開鍵証明書(PKC)として設定され、このリンク公開鍵証明書(PKC)を個人識別証明書(IDC)に格納する。図49(a)にリンク公開鍵証明書(PKC)の個人識別証明書(IDC)に対する格納態様を説明する図を示す。
【0269】
図49(a)に示すように、個人識別証明書(IDC)には、暗号化されたテンプレート、およびそのテンプレート暗号化に適用した公開鍵に対応する公開鍵証明書(PKC)が格納される。なお、テンプレート暗号化に適用する公開鍵は、前述のように、ユーザまたはユーザデバイスの公開鍵、サービスプロバイダ(SP)の公開鍵、または、個人識別認証局(IDA)の公開鍵のいずれかであり、格納される公開鍵証明書(PKC)は、そのテンプレート暗号化に適用した公開鍵の公開鍵証明書(PKC)である。このようなリンク構成を採用することにより、個人識別証明書(IDC)と、テンプレート(Template)を暗号化した公開鍵の公開鍵証明書(PKC)が強く結びつき、2種類の証明書が不可分になる。ただし、このリンク構成を採用する場合は、IDC有効期限年月日<=PKC有効期限年月日として設定する。すなわち、IDCに格納されるPKCはIDCの有効期限において常に有効である設定とすることが好ましい。
【0270】
(PKC内にIDCを格納)
また、テンプレートを暗号化した公開鍵に対応して生成された公開鍵証明書(PKC)の内部に、公開鍵証明書(PKC)のリンク個人識別証明書(IDC)を格納した構成例を図49(b)に示す。
【0271】
図49(b)に示すように、公開鍵証明書(PKC)には、その公開鍵証明書(PKC)に対応する公開鍵を適用して暗号化されたテンプレート情報を持つ個人識別証明書(IDC)が格納される。なお、テンプレート暗号化に適用する公開鍵は、前述のように、ユーザまたはユーザデバイスの公開鍵、サービスプロバイダ(SP)の公開鍵、または、個人識別認証局(IDA)の公開鍵のいずれかであり、個人識別証明書(IDC)を格納した公開鍵証明書(PKC)は、そのテンプレート暗号化に適用した公開鍵の公開鍵証明書(PKC)である。このようなリンク構成を採用することにより、個人識別証明書(IDC)と、テンプレート(Template)を暗号化した公開鍵の公開鍵証明書(PKC)が強く結びつき、2種類の証明書が不可分になる。なお、個人識別証明書(IDC)自体は独立に存在する。また、このリンク構成を採用する場合は、PKC有効期限年月日<=IDC有効期限年月日として設定する。すなわち、PKCに格納されるIDCはPKCの有効期限において常に有効である設定とすることが好ましい。
【0272】
(リンク証明書の識別子を証明書に格納)
次にリンクする証明書の識別子、例えば各証明書に対応して設定された固有の識別番号を被リンク証明書内のデータとして格納する態様について説明する。
【0273】
図50(a)に公開鍵証明書(PKC)の識別番号を個人識別証明書(IDC)に格納する構成例、図50(b)に個人識別証明書(IDC)の識別番号を公開鍵証明書(PKC)に格納する構成例を示す。
【0274】
図50(a)に示す公開鍵証明書(PKC)の識別番号を個人識別証明書(IDC)に格納する場合の公開鍵証明書(PKC)は、前述の例と同様、個人識別証明書(IDC)に格納されたテンプレートの暗号化に適用した公開鍵に対応する公開鍵証明書(PKC)である。この場合、個人識別証明書(IDC)の発行以前に公開鍵証明書(PKC)が発行済みであることが条件となる。また、有効期限の切れた公開鍵証明書(PKC)のリンク情報を格納しても無意味であるので、IDC有効期限年月日<=PKC有効期限年月日として設定された関係であることが好ましい。この構成は、PKCをIDC内部に格納する必要がない場合、PKCをIDCに伴って配布することが好ましくない場合等に利用される。
【0275】
また、図50(b)に示す個人識別証明書(IDC)の識別番号を公開鍵証明書(PKC)に格納する場合は、個人識別証明書(IDC)に格納されたテンプレートの暗号化に適用した公開鍵に対応する公開鍵証明書(PKC)のみならず、個人識別証明書(IDC)に何らかの関連を持つ公開鍵証明書(PKC)の識別子を格納することが可能である。1つの個人識別証明書(IDC)に複数の個人識別証明書(IDC)を関係づけることが可能である。IDCの有効期限年月日とPKCの有効期限年月日の大小関係は、それぞれの証明書の有効性に影響を受けない。ただし、IDCのテンプレートを暗号化するために使用した公開鍵の証明書だけは、その有効期限がIDC<=PKCでなくてはならない。
【0276】
この構成の使用例としては、個人識別証明書(IDC)を使って機器のアクセスに対して個人認証を行った後、サービス毎に公開鍵ペアが必要となる場合、複数のリンク公開鍵証明書(PKC)を利用する場合がある。
【0277】
(PKC,IDCの組情報を別管理)
次に、個人識別証明書(IDC)と公開鍵証明書(PKC)との組情報(リンク情報)をIDC,PKCとは別のリンク管理用データとして保持し、IDC,PKC内には、リンク管理用データにアクセス可能な情報を格納した形態について説明する。
【0278】
図51、図52にリンク管理用データを用いた管理構成例を示す。図51(a)は、個人識別証明書(IDC)と公開鍵証明書(PKC)との識別子(番号)と、それぞれの有効期限を格納した組情報(リンク情報)を関係データとして保持した構成である。本構成の特徴は、各証明書の登録・発行タイミングを独立とすることができること。証明書関係の記録を必要な場所で生成し管理することで他に影響を与えることがないことがある。関係データの有効期限は、リンク関係のある各証明書の有効期限中、最も短い期限内に設定することが好ましい。一つのIDCで複数のサービスにおける個人認証を行う場合で、各サービス毎に異なる公開鍵ペアを使用する必要がある場合等のリンク管理に有効な形態である。
【0279】
図51(b)は、個人識別証明書(IDC)と公開鍵証明書(PKC)との識別子(番号)と、それぞれの有効期限を格納した組情報(リンク情報)を関係データとして保持するとともに、組情報を識別するための識別子としての組情報シリアル番号を各証明書に格納した構成である。組情報のシリアル番号は、組情報の管理主体が割り当てる組情報固有の識別データである。リンク関係を持つPKC,IDCの発行に際しては、組情報のシリアル番号データを内部データとして格納する。本構成の特徴は、組情報データの関連情報の追加・変更・削除操作が可能であり、これらの操作が証明書自体に影響を与えないことである。本構成は、例えば、サービスプロバイダにおいてIDCとPKC、およびサービス関連情報を管理する要請の下、サービス提供対象のIDC、PKC情報を組情報を用いて管理する形態において有効な構成である。
【0280】
図52(c)は、個人識別証明書(IDC)と公開鍵証明書(PKC)に、組情報を識別するための識別子としての組情報シリアル番号を格納し、この組情報を一次情報として定義し、さらに、関連情報を二次情報として、一次情報からアクセス可能な構成としたものである。必要に応じて二次情報から一次情報に対するアクセスも可能な構成とする。一次情報に関連する二次情報は、複数、分散して管理することが可能であり、シリアル番号はPKC、IDCの必要な証明書に保存するよう登録発行依頼を行う。関連情報の追加・変更・削除操作は証明書自体に影響を与えない。
【0281】
図52(d)は、個人識別証明書(IDC)と公開鍵証明書(PKC)との識別子(番号)を格納した組情報(リンク情報)を関係データとして保持するとともに、この組情報を一次情報として定義し、さらに、関連情報を二次情報として、一次情報からアクセス可能な構成としたものである。必要に応じて二次情報から一次情報に対するアクセスも可能な構成とする。
【0282】
関連情報を複数の場所に分散して管理する場合は、一次情報に二次情報識別データとインデックス情報を収めておくことで、情報の管理運用が柔軟にできる。例えば様々なサービスプロバイダ(SP)が一次情報、または二次情報いずれかの管理主体となり、各SPは、それぞれの管理情報を顧客情報として、サービス提供対象となるユーザの個人識別証明書(IDC)と公開鍵証明書(PKC)のアクセスが可能となる。
【0283】
上述のように、様々な態様で、個人識別証明書(IDC)と、該個人識別証明書の格納テンプレートの暗号化に適用した公開鍵の公開鍵証明書とを関連付けるリンクを構成したり、特定のサービスプロバイダ等データ通信先との接続処理の際の、個人認証、相互認証または暗号処理データ通信を実行する際に適用する個人識別との接続処理の際に適用する個人識別証明書と公開鍵証明書との組合わせについてのリンクを構成することで、一方の証明書から他方の証明書を導くことが容易となり、例えばテンプレートの暗号化、復号処理に適用する鍵を特定する処理や、サービスプロバイダに対する個人識別証明書を利用した個人認証の後に、公開鍵証明書を利用した相互認証を行なう場合等に、必要なデータを迅速に特定することが可能となる。
【0284】
[8.個人識別証明書(IDC)による認証と公開鍵証明書(PKC)に基づくコンテンツ利用処理]
次に、個人識別証明書(IDC)による個人認証を行ない、音楽データ、画像データ等のコンテンツをサービスプロバイダが受信(ダウンロード)する処理について、具体的に説明する。
【0285】
これまでの説明から明らかなように、個人識別証明書による個人認証のためには、サンプリング情報とテンプレートの比較照合を実行し、その結果を出力するシステムが必要となる。ここでは、ユーザの使用するコンテンツ再生機器としてのユーザデバイスにサンプリング情報とテンプレートの比較照合処理を実行する機構を備え、照合結果に応じてサービスプロバイダに対するネットワークを介したコンテンツのダウンロード処理、あるいはサービスプロバイタに対するユーザ登録処理、契約処理、ユーザ登録抹消処理、さらに個人識別認証局(IDA)に対する個人識別証明書(IDC)の発行要求処理を実行するシステム構成、および処理方法について説明する。
【0286】
図53に個人認証を実行し、かつコンテンツ再生可能なユーザデバイスの構成を示す。ユーザデバイス500は、コンテンツ再生機構部501、コンテンツデータ蓄積部502、個人識別装置503、ネットワーク接続部504、公開鍵暗号処理部505、選択機能部506、入出力機能部507を有する。
【0287】
コンテンツ再生機構部501は、コンテンツデータ蓄積部にあるデータを読み出し、再生する機能をもつ。コンテンツデータ蓄積部502は、コンテンツデータをネットワークを通じてダウンロードし、蓄える機能をもつ。個人識別装置503は、利用者から個人を識別するために必要な情報としてのサンプリング情報を入力し、デジタルデータに変換する機能と、変換したデジタルデータと、既登録デジタルデータであるテンプレートとの比較照合を実行する機能をもつ。ネットワーク接続部504は、ユーザデバイスとネットワークを接続する機能をもつ。公開鍵暗号処理部505は、指定されたデータに対して署名をつける機能と、指定された暗号データを復号する機能と、指定されたデータを暗号化する機能と、公開鍵と秘密鍵のペアを作成する機能と、任意の公開鍵証明書とあるデータのリンクを作る機能をもつ。公開鍵暗号処理部505はSAM(Secure Application Module)として構成されている。選択機能部506は、再生時にデータを選択する機能と、ネットワークに接続する時、接続先を選択する機能と、ダウンロード時にコンテンツのタイトルを選択する機能をもつ。入出力機能部507は、ユーザインターフェースを実現する。表示デバイスや入力デバイスをコントロールし、指定された情報を表示したり、利用者から入力された情報を処理可能なデータに変換する。
【0288】
ここで、ユーザデバイス500の公開鍵暗号処理部505には、公開鍵証明書(PKC)、個人識別証明書(IDC)が格納されており、これらは相互にリンクされたデータ形式、すなわち、いずれかの証明書から他方の証明書を特定することが可能なデータを有する構成である。具体的なリンク形態については、前述の[個人識別証明書(IDC)と公開鍵証明書(PKC)とのリンク]の項目を参照されたい。ユーザは、公開鍵暗号処理部505に格納された個人識別証明書(IDC)により、個人認証を実行し、サービスプロバイダとの取り引きにおいて公開鍵証明書(PKC)を使用する。
【0289】
(コンテンツダウンロード処理)
上述の構成を持つユーザデバイスにおいて、サンプリング情報とテンプレートの比較照合処理の結果に基づいて、サービスプロバイダから音楽データ、画像データ等のコンテンツのダウンロードおよび再生を行なう処理について説明する。図54にコンテンツダウンロード処理におけるデータの流れを説明する図を示し、詳細処理フローを図55,図56,図57に示す。以下、これらの図を参照して処理を説明する。なお、以下の説明では、図54の番号を(n)、図55〜57のステップ番号(Snnn)として示す。
【0290】
まず、(1)デバイスを使うために、利用者は個人の指紋情報等のサンプリングデータをデバイスに入力する(S301)。(2)個人識別装置は、入力されたサンプリングデータと、既に格納している個人識別証明書(IDC)内のテンプレートを比較するために、SAMに対して個人識別証明書(IDC)を要求する(S302)。
【0291】
次に、(3)リンク情報を使い、個人識別証明書(IDC)を検索し、IDCまたはIDCから抽出したテンプレートを個人識別装置に渡す(S303〜S305)。(4)個人識別装置は、サンプリングデータとテンプレートの照合処理(S306)を実行し、照合成立と判定し、個人認証成立と認められる利用者であると判断した場合、利用者とネットワーク接続部に対して個人認証成功を通知する(S307,S308)。この個人認証成立を条件として、ネットワーク接続部はネットワーク接続のための準備を行う(S309)。
【0292】
(5)利用者は入出力機能部が提供するインターフェースを利用して、再生したいデータを指示・操作する(S310,S311)。(6)選択機能部は、インターフェースを通して受け付けた指示を変換し、ネットワーク接続部への制御指示を生成(S311,S312)し、制御指示をネットワーク接続部へ渡す(S313)。
【0293】
次に、(7)ネットワーク接続部は、必要なコンテンツデータの取り引きにおいて必要となる公開鍵証明書(PKC)を公開鍵暗号処理部に要求する(S314〜S316)。(8)公開鍵暗号処理部は、要求された公開鍵証明書(PKC)をネットワーク接続部に渡す(S317)。なお、必要に応じて、公開鍵暗号処理部はIDCとPKCのリンクをたどり必要なPKCを探して、見つけたPKCをネットワーク接続部に渡す処理を実行する。
【0294】
次に、(9)ネットワーク接続部は、ローカルネットワークやインターネットを介して、コンテンツデータ提供サーバにアクセスする(S318)。デバイスとサーバとの間で公開鍵証明書ベースの相互認証を行い、セッション鍵を共有するなどして、秘匿通信路を確保する(S319)。図54に示す(9−1)〜(9−8)は、サービス利用に関して、インタラクティブに利用者とサーバが情報交換を行う必要がある場合の処理で、必要な回数繰り返す(S320,S321)。コンテンツ提供サーバからのデータが(9−1)〜(9−4)を介して利用者に送信され、ユーザからの送信データが(9−5)〜(9−8)でコンテンツ提供サーバーに流れる。このデータ送受信においては、必要に応じてセッションキーによる暗号化処理、それぞれの秘密鍵による署名処理、公開鍵による署名検証処理等のデータ検証処理を行なうことが好ましい。
【0295】
一連のデータのやり取りが終了すると、(10)ネットワーク接続部は、コンテンツ提供サーバから必要なコンテンツデータをダウンロードする(S322)。次に、(11)ネットワーク接続部は、ダウンロードしたコンテンツデータをコンテンツデータ蓄積部に渡しコンテンツデータを保存し、(S323)セッションを終了する(S324)。
【0296】
次に、(12)データ再生が利用者から要求されていた場合は、コンテンツデータをコンテンツ再生機構部に渡す(S325でYes)。(13)利用者は、コンテンツ再生機構部でコンテンツの再生を実行(S326)し、入出力機能部を介して利用する。
【0297】
以上が、コンテンツのダウンロード、再生処理の流れである。ただし、上述した処理は、コンテンツのダウンロード時に公開鍵証明書(PKC)、個人識別証明書(IDC)の利用を行ない、かつその2つの証明書がSAM内部に格納されている順調な処理の流れである。図55〜57の処理フローには、証明書がない場合、必要としない場合の処理についても示している。これらの処理について説明する。
【0298】
図56のステップS328〜S332の処理は、ユーザデバイス内に対応する個人識別証明書(IDC)が検出されない場合の処理である。この場合、ユーザデバイスは、入出力機能部を介してIDCが見つからない旨のメッセージを表示し(S328)、IDCの発行要求を実行するか否かをユーザに判断させ(S329)、ユーザからの入力により発行要求を行なわないとされた場合は、ダウンロード失敗を利用者に通知する(S332)。一方、利用者からの入力によりIDC発行要求を行なうとの意思表示がなされた場合は、コンテンツのダウンロード処理を終了し、IDC発行要求処理に移行することを入出力機能部を介して通知する(S330)。その後、IDCの発行処理を実行する(S331)。この処理の詳細は、前述の[テンプレート、個人識別証明書(IDC)の登録、変更処理]の欄を参照されたい。
【0299】
図57のステップS333以下は、公開鍵証明書(PKC)がユーザデバイスに保存されていない場合の処理を示している。公開鍵証明書(PKC)を外部機関である認証局(CA)から取得して受信することを望む場合(S333)、既に登録済みの公開鍵証明書(PKC)の有無を判定(S334)し、ある場合は、その公開鍵証明書(PKC)を認証局(CA)から取得してユーザデバイスに格納する(S335)。
【0300】
登録済みの公開鍵証明書(PKC)が無い場合は、新規発行処理となり、公開鍵、秘密鍵の鍵ペアを生成して、公開鍵証明書(PKC)の発行機関であるRA(登録局)に対して新規発行要求を行なう(S336)。新規に公開鍵証明書(PKC)が発行された場合は、個人識別証明書(IDC)とのリンク情報としての組情報を生成して、公開鍵証明書を格納する(S338)。ただし、前述したようにリンク情報の保有形態には、様々な形態があるので、各証明書内部にリンクデータを格納している証明書構成であれば、必ずしも組情報を生成して保存する処理は必要とされない。
【0301】
S339以下は、新規の公開鍵証明書(PKC)の発行が拒否された場合の処理であり、この場合、ユーザデバイスは、入出力機能部を介してダウンロード失敗を通知して処理を終了する。
【0302】
(ユーザ登録、抹消、サービス契約処理)
次に、コンテンツの提供、商品販売、決済処理等の様々なサービスを提供するサービスプロバイダに対しての、ユーザ登録、ユーザ登録抹消、サービス契約処理等を図53に示すユーザデバイス、すなわちテンプレートとサンプリング情報との比較照合処理を実行する個人識別装置を有する構成での照合処理に基づいて実行する構成について説明する。図58にユーザ登録、ユーザ登録抹消、サービス契約処理におけるデータの流れを説明する図を示し、詳細処理フローを図59、図60、図61に示す。以下、これらの図を参照して処理を説明する。なお、以下の説明では、図58の番号を(n)、図59〜61のステップ番号(Snnn)として示す。
【0303】
まず、(1)デバイスを使うために、利用者は個人の指紋情報等のサンプリングデータをデバイスに入力する(S401)。(2)個人識別装置は、入力されたサンプリングデータと、既に格納している個人識別証明書(IDC)内のテンプレートを比較するために、SAMに対して個人識別証明書(IDC)を要求する(S402)。
【0304】
次に、(3)リンク情報を使い、個人識別証明書(IDC)を検索し、IDCまたはIDCから抽出したテンプレートを個人識別装置に渡す(S403〜S405)。(4)個人識別装置は、サンプリングデータとテンプレートの照合処理(S406)を実行し、照合成立と判定し、個人認証成立と認められる利用者であると判断した場合、利用者とネットワーク接続部に対して個人認証成功を通知する(S407,S408)。この個人認証成立を条件として、ネットワーク接続部はネットワーク接続のための準備を行う(S409)。
【0305】
(5)利用者は入出力機能部が提供するインターフェースを利用して、処理に対応したデータ入力、すなわちユーザ登録であれば、希望登録サイト、ユーサ登録抹消であれば、抹消を希望するサイト、契約処理であれば契約を希望するサイト等のデータ入力を実行する(S410)。(6)選択機能部は、インターフェースを通して受け付けた指示を変換し、ネットワーク接続部への制御指示を生成し、制御指示をネットワーク接続部へ渡す(S411)。
【0306】
次に、(7)ネットワーク接続部は、必要なコンテンツデータの取り引きにおいて必要となる公開鍵証明書(PKC)を公開鍵暗号処理部に要求する(S412)。(8)公開鍵暗号処理部は、要求された公開鍵証明書(PKC)をネットワーク接続部に渡す(S413〜S415)。なお、必要に応じて、公開鍵暗号処理部はIDCとPKCのリンクをたどり必要なPKCを探して、見つけたPKCをネットワーク接続部に渡す処理を実行する。
【0307】
次に、(9)ネットワーク接続部は、ローカルネットワークやインターネットを介して、サービス登録サーバまたはユーザ登録サーバにアクセスする(S416)。デバイスとサーバとの間で公開鍵証明書ベースの相互認証を行い、セッション鍵を共有するなどして、秘匿通信路を確保する(S417)。図58に示す(9−1)〜(9−8)は、サービス利用に関して、インタラクティブに利用者とサーバが情報交換を行う必要がある場合の処理で、必要な回数繰り返す(S418,S419)。サービス登録サーバまたはユーザ登録サーバからのデータが(9−1)〜(9−4)を介して利用者に送信され、ユーザからの送信データが(9−5)〜(9−8)でサービス登録サーバまたはユーザ登録サーバに流れる。このデータ送受信においては、必要に応じてセッションキーによる暗号化処理、それぞれの秘密鍵による署名処理、公開鍵による署名検証処理等のデータ検証処理を行なうことが好ましい。
【0308】
一連のデータのやり取りが終了すると、(10)ネットワーク接続部は、サービス登録サーバまたはユーザ登録サーバから必要なデータをダウンロードする(S420)。次に、(11)ネットワーク接続部は、処理(ユーザ登録、ユーザ登録抹消、契約処理等)が成功した場合に、公開鍵暗号処理部に処理成功を通知する。さらに、必要であれば、個人識別証明書(IDC)と公開鍵証明書(PKC)とのリンク情報(組情報)に必要な情報を追加する(S422,423)。前述したようにリンク情報の保有形態には、様々な形態があるので、各証明書内部にリンクデータを格納している証明書構成であれば、必ずしも組情報を生成して保存する処理は必要とされない。(12)これらの処理が終了すると、処理結果を入出力機能部を介して表示して処理を終了する(S424,S425)。
【0309】
以上が、ユーザ登録、ユーザ登録抹消、サービス契約等、サービスプロバイダとの対応において、個人識別証明書(IDC)を適用して個人認証処理を実行する場合の処理の流れである。ただし、上述した処理は公開鍵証明書(PKC)、個人識別証明書(IDC)の利用を行ない、かつその2つの証明書がSAM内部に格納されている順調な処理の流れである。図60〜62の処理フローには、証明書がない場合、必要としない場合の処理についても示している。これらの処理について説明する。
【0310】
図60のステップS426〜S430の処理は、ユーザデバイス内に対応する個人識別証明書(IDC)が検出されない場合の処理である。この場合、ユーザデバイスは、入出力機能部を介してIDCが見つからない旨のメッセージを表示し(S426)、IDCの発行要求を実行するか否かをユーザに判断させ(S427)、ユーザからの入力により発行要求を行なわないとされた場合は、処理失敗を利用者に通知する(S430)。一方、利用者からの入力によりIDC発行要求を行なうとの意思表示がなされた場合は、コンテンツのダウンロード処理を終了し、IDC発行要求処理に移行することを入出力機能部を介して通知する(S428)。その後、IDCの発行処理を実行する(S429)。この処理の詳細は、前述の[テンプレート、個人識別証明書(IDC)の登録、変更処理]の欄を参照されたい。
【0311】
図61のステップS431以下は、公開鍵証明書(PKC)がユーザデバイスに保存されていない場合の処理を示している。公開鍵証明書(PKC)を外部機関である認証局(CA)から取得して受信することを望む場合(S431)、既に登録済みの公開鍵証明書(PKC)の有無を判定(S432)し、ある場合は、その公開鍵証明書(PKC)を認証局(CA)から取得してユーザデバイスに格納する(S433)。
【0312】
登録済みの公開鍵証明書(PKC)が無い場合は、新規発行処理となり、公開鍵、秘密鍵の鍵ペアを生成して、公開鍵証明書(PKC)の発行機関であるRA(登録局)に対して新規発行要求を行なう(S434)。新規に公開鍵証明書(PKC)が発行された場合は、個人識別証明書(IDC)とのリンク情報としての組情報を生成して、公開鍵証明書を格納する(S436)。ただし、前述したようにリンク情報の保有形態には、様々な形態があるので、各証明書内部にリンクデータを格納している証明書構成であれば、必ずしも組情報を生成して保存する処理は必要とされない。
【0313】
ステップS437、S438は、ユーザ登録、ユーザ登録抹消、サービス契約等の各種処理が拒否された場合の処理であり、この場合、ユーザデバイスは、入出力機能部を介して処理失敗を通知して処理を終了する。また、ステップS439,S440は、新規の公開鍵証明書(PKC)の発行が拒否された場合の処理であり、この場合、ユーザデバイスは、入出力機能部を介して処理失敗を通知して処理を終了する。
【0314】
(デバイスに格納する個人識別証明書(IDC)の要求、登録処理)
次に、図53に示すような個人識別装置を有するユーザデバイスに格納する個人識別証明書(IDC)の発行、登録処理手続きについて説明する。図62にデバイスに格納する個人識別証明書(IDC)の要求処理におけるデータの流れを説明する図を示し、詳細処理フローを図63、図64、図65に示す。以下、これらの図を参照して処理を説明する。なお、以下の説明では、図62の番号を(n)、図63〜65のステップ番号(Snnn)として示す。
【0315】
まず、(1)デバイスを使うために、利用者は個人の指紋情報等のサンプリングデータをデバイスに入力する(S501)。(2)個人識別装置は、入力されたサンプリングデータと、既に格納している個人識別証明書(IDC)内のテンプレートを比較するために、SAMに対して個人識別証明書(IDC)を要求する(S502)。なお、ここでは、ユーザデバイスに発行済みの個人識別証明書(IDC)がn個存在し、さらに新たなテンプレートを格納した個人識別証明書(IDC)の発行を要求する処理を行なうものとする。デバイスに個人識別証明書(IDC)が全く存在しない場合は、n=0とした処理となる。
【0316】
ユーザデバイスは、(3)格納済みのn個の個人識別証明書(IDC)を、順次検索し、IDCまたはIDCから抽出したテンプレートを個人識別装置に渡す(S503〜S505)。(4)個人識別装置は、サンプリングデータとテンプレートの照合処理(S506)を実行し、照合成立と判定し、個人認証成立と認められる利用者であると判断した場合、利用者に対して個人認証成功を通知する(S507,S508)。ただし、ここでの処理は、新たなテンプレートを持つ個人識別証明書(IDC)の発行を要求するものであり、サンプリングデータと一致する個人識別証明書(IDC)は格納されていないとする。すべての格納IDCと照合しても一致するテンプレートを格納したIDCが見つからない場合、ステップS509に進む。
【0317】
ユーザデバイス内にサンプリング情報と一致するテンプレートを持つ個人識別証明書(IDC)が検出されない場合、ユーザデバイスは、入出力機能部を介してIDCが見つからない旨のメッセージを表示(S509)し、IDCの発行要求を実行するか否かをユーザに判断させ(S510)、ユーザからの入力により発行要求を行なわないとされた場合は、処理終了を利用者に通知する(S512)。一方、利用者からの入力によりIDC発行要求を行なうとの意思表示がなされた場合は、IDC発行要求処理に移行することを入出力機能部を介して通知する(S511)。
【0318】
図64に示すステップS513以下の処理は、個人識別証明書(IDC)の発行処理において使用する公開鍵証明書(PKC)の発行処理フローである。
【0319】
ステップS513では、個人識別証明書(IDC)の発行処理に公開鍵証明書(PKC)が必要か否かを判定し、必要である場合いは、ステップS514で、ユーザデバイスの公開鍵暗号処理部に格納されたIDC、PKCまたはリンク(組)情報から公開鍵証明書(PKC)の識別番号を取得する。公開鍵証明書(PKC)が存在した場合(S516でYes)は、(9)公開鍵証明書(PKC)を公開鍵暗号処理部に渡し(S516)、IDRA(個人識別証明書(IDC)を発行する登録局)への接続準備を行い(S517)、個人識別証明書(IDC)の発行に必要な情報を入力する(S518)。
【0320】
公開鍵証明書(PKC)を外部機関である認証局(CA)から取得して受信することを望む場合(S520)、既に登録済みの公開鍵証明書(PKC)の有無を判定(S521)し、ある場合は、その公開鍵証明書(PKC)を認証局(CA)から取得してユーザデバイスに格納する(S522)。
【0321】
登録済みの公開鍵証明書(PKC)が無い場合は、新規発行処理となり、公開鍵、秘密鍵の鍵ペアを生成(図62(5))して、公開鍵証明書(PKC)の発行機関であるRA(登録局)に対して新規発行要求(図62(6)(7))を行なう(S523)。新規に公開鍵証明書(PKC)が発行(図62(8))された場合(S524でYes)は、個人識別証明書(IDC)とのリンク情報としての組情報を生成して、公開鍵証明書を格納する(S525)。ただし、前述したようにリンク情報の保有形態には、様々な形態があるので、各証明書内部にリンクデータを格納している証明書構成であれば、必ずしも組情報を生成して保存する処理は必要とされない。
【0322】
図65に示す処理は、IDRA(個人識別証明書(IDC)の発行登録受付をする登録局)との接続により、個人識別証明書(IDC)の発行を行なう処理である。
【0323】
(10)ユーザデバイスの公開鍵暗号処理部は、ネットワーク接続部へ公開鍵証明書とリンクする個人識別証明書(IDC)を獲得するために、IDRAのアドレスとサンプリングデータ(あるいは利用者名)を渡す。個人識別証明書(IDC)発行に必要なオフライン手続きは予め済ましてあるとする。IDRAが要求者のIDCを検索するため使用するオフライン手続きで登録した情報(各種個人情報)と照合するための情報(サンプリングデータ、PIN、氏名など)が別に必要ならば同時にネットワーク接続部へ渡す。
【0324】
(11)ユーザデバイスのネットワーク接続部は、ローカルネットワークやインターネットを介して、IDRAにアクセスする(S526)。デバイスとIDRAとの間で公開鍵証明書ベースの相互認証を行い、セッション鍵を共有するなどして、秘匿通信路を確保する(S527)。ユーザデバイスは、必要な情報(サンプリングデータ、PIN、氏名、住所、電話番号など)もIDRAに対して送信する。図62の(11)−1〜8は、ユーザとIDRA間でのインタラクティブな通信処理を示す。(11)−1〜4はIDRAがユーザにデータを送る場合、(11)−5〜8はユーザがIDRAへデータを送る場合を示す。このデータ送受信においては、必要に応じてセッションキーによる暗号化処理、それぞれの秘密鍵による署名処理、公開鍵による署名検証処理等のデータ検証処理を行なうことが好ましい。発行される個人識別証明書(IDC)がユーザデバイスの公開鍵で暗号化したテンプレートを格納する場合には、ユーザデバイスからIDRAに対して公開鍵(公開鍵証明書)を送付する。
【0325】
一連のデータのやり取りが終了すると、ネットワーク接続部は、必要なデータ、IDC発行要求の結果をダウンロードする(S530)。(12)IDRAは、ユーザデバイスから受信したIDC発行要求を検討し、正当な発行依頼であると判定すると、IDCの発行手続きを実行するIDCAに対してIDCの発行要求を行ない、IDCAによって発行された個人識別証明書(IDC)がIDRAを介してユーザデバイスに送信される。
【0326】
(13)個人識別証明書(IDC)を受信したユーザデバイスは、個人識別証明書(IDC)を公開鍵暗号処理部に送信し、(14)公開鍵暗号処理部は個人識別証明書(IDC)と公開鍵証明書(PKC)のリンク情報としてのリンク(組)情報を生成(S532)して、リンク(組)情報の更新を実行する(S533)。ただし、前述したようにリンク情報の保有形態には、様々な形態があるので、各証明書内部にリンクデータを格納している証明書構成であれば、必ずしも組情報を生成して保存する処理は必要とされない。これらの処理が終了すると、(15)IDC発行要求処理の結果を入出力機能部を介して表示して処理を終了する(S534,S535)。
【0327】
ステップS536、S537は、個人識別証明書(IDC)の発行処理が拒否された場合の処理であり、この場合、ユーザデバイスは、入出力機能部を介して処理失敗を通知して処理を終了する。また、ステップS538,S539は、新規の公開鍵証明書(PKC)の発行が拒否された場合の処理であり、この場合、ユーザデバイスは、入出力機能部を介して処理失敗を通知して処理を終了する。
【0328】
[9.ワンタイム公開鍵証明書(ワンタイムPKC)]
次に、個人識別認証局(IDA)のテンプレートを用いた個人認証に基づいて、認証局(CA)が、公開鍵証明書(PKC)を発行する処理形態について説明する。以下、この形態で発行される公開鍵証明書をワンタイムPKCと呼ぶ。ワンタイムPKCは、例えば取引のないサービスプロバイダとの間において、コンテンツ取得等の取引を行ないたい場合に、既に個人識別認証局(IDA)に登録されている個人識別証明書(IDC)に基づいて個人認証を実行し、認証局(CA)による厳格な審査手続きを省略した形で発行される公開鍵証明書である。正式な公開鍵証明書の位置づけとはならず、特定の取り引き、例えば1回限りの取り引きにおいて有効とみなされる公開鍵証明書である。
【0329】
図66にワンタイムPKCの発行手順を説明する図を示す。図中の番号順に処理が進行する。図67は、詳細なワンタイムPKCの発行手順を示すフロー図である。図66,67に基づいてワンタイムPKCの発行処理を説明する。
【0330】
まず、ワンタイムPKCの発行要求を持つユーザは、認証要求装置に指紋データ等のサンプリングデータを入力(図67,S201)する。認証要求装置は、機器内で、サンプリングデータを入力したユーザの公開鍵、秘密鍵のペアをワンタイムPKC用の鍵セットとして生成する(S202)。
【0331】
次に、認証要求装置は、個人識別認証局(IDA)との間で相互認証処理を実行し(S203)、認証成立を条件として、サンプリングデータ、生成した公開鍵、ユーザ識別データを送信する。送信データは、セッションキーで暗号化を行ない、さらに署名処理を実行して送付することが望ましい。
【0332】
認証要求装置からデータを受信した個人識別認証局(IDA)は受信サンプリングデータと、ユーザ識別データから識別されるユーザの予め登録済みの個人識別証明書(IDC)からテンプレートを抽出して、照合処理を実行する(S205)。次に、個人識別認証局(IDA)は、データベースからユーザIDを取り出し(S206)、個人識別認証局(IDA)と認証局(CA)との間で相互認証処理を実行し(S207)、認証成立を条件として、認証局(CA)にユーザIDと公開鍵を送信する(S208)。この場合の送信データについても暗号化、署名処理がなされることが望ましい。
【0333】
認証局(CA)は、受信した公開鍵に対応する公開鍵証明書をワンタイムPKCとして生成し、発行履歴を管理する(S209,210)する。認証局(CA)は、生成したワンタイムPKCを個人識別認証局(IDA)を介して認証要求装置に送付する(S211)。
【0334】
認証要求装置は、受信したワンタイムPKCを用い、例えばサービスプロバイダに対するサービスリクエストを実行する(S212,213)。具体的には、例えばコンテンツ要求データ、あるいは決済要求データ等の要求データに生成した秘密鍵による署名を付加し、公開鍵証明書(ワンタイムPKC)と併せてサービスプロバイダに送信する。
【0335】
サービスプロバイダは、受信データから公開鍵証明書(ワンタイムPKC)を取り出し、ユーザの公開鍵を抽出して、公開鍵を用いて署名検証を実行し、サービスリクエスト検証処理を行なう(S214)。検証がOKであれば、サービスを提供する(S215)。サービスを受領した認証要求装置は、装置内で生成した公開鍵、秘密鍵、および発行されたワンタイムPKCの削除(S216)を行なう。なお、公開鍵、秘密鍵は削除せず、公開鍵証明書であるワンタイムPKCのみを削除する処理構成としてもよい。
【0336】
図67に示す一連の処理、すなわち、S201のサンプリングデータ送信から、S216のデータ削除処理までの処理は、一連の処理を自動的に実行する特定の処理プログラム、例えばサービスプロバイダによって提供されるプログラムに基づいて実行される。従って、個人認証要求装置に送信されてきたワンタイムPKCは、処理の完結により個人認証要求装置から削除され、PKCの他の取り引きにおける流用が防止されるものとなっている。ただし、必ずしも削除処理を要求されるものではなく、特定の限定された取り引きにおいて、ワンタイムPKCを繰り返し使用可能とする形態としてもよい。
【0337】
このように、公開鍵証明書(ワンタイムPKC)の発行要求者の個人識別データとしてのテンプレートを個人識別証明書から取得し、テンプレートとサンプリング情報との照合処理により個人認証を実行し、個人認証の成立を条件として、要求者の公開鍵証明書を発行する構成としたので、公開鍵証明書の発行手続きが簡素化され、迅速な公開鍵証明書発行処理が可能となる。
【0338】
さらに、個人認証処理を個人識別認証局において実行し、公開鍵証明書(ワンタイムPKC)を発行する認証局においては、個人識別認証局の個人認証の成立を条件として公開鍵証明書を発行することが可能となるので、認証局における個人確認処理負担が軽減される。
【0339】
さらに、個人識別認証局によるユーザサンプリング情報と個人識別証明書の格納テンプレートとの照合処理による個人認証成立を条件として、ユーザに対して発行される公開鍵証明書(ワンタイムPKC)は、公開鍵証明書(ワンタイムPKC)を受領した情報処理装置における公開鍵証明書の利用処理完了に伴い削除処理が実行されるので、個人識別認証局の個人認証に基づく公開鍵証明書(ワンタイムPKC)特有の処理においてのみ利用可能な構成が実現される。
【0340】
[10.照合証明書]
個人識別認証局(IDA)は、個人識別証明書のテンプレートとサンプリング情報との照合により、両データが一致した場合は、サンプリング情報を提供した個人が個人識別証明書に対応する個人であることを認証する。これまでに説明した例では、照合の結果について照合OKまたはNGの通知を行なうものとして説明してきたが、個人識別認証局(IDA)は、認証したことを示す証明書として照合証明書を発行する構成としてもよい。以下、照合証明書の発行処理について説明する。
【0341】
図68に、照合証明書の第1の利用形態を説明する図を示す。図中の番号1〜10の順で処理が進行する。さらに、細かく手続きを説明したフローを図69に示す。図68,69を用いて処理を説明する。
【0342】
まず、個人認証処理を行なおうとするユーザは、サンプリングデータを個人認証要求装置に送信する(図69,S101)。ここでの個人認証要求装置は、例えばユーザデバイスまたは、サービスプロバイダの通信可能なシステムである。
【0343】
次に、個人認証要求装置は、個人識別認証局(IDA)との間で相互認証処理を実行(S102)し、認証成立を条件として個人認証要求装置はサンプリングデータと個人認証要求装置の識別子(ID)を個人識別認証局(IDA)に送信(S103)する。この際のデータ送信は、認証処理において生成したセッションキー、あるいは個人識別認証局(IDA)の公開鍵で暗号化して送信する。認証が不成立の場合は、エラー処理(S122)とし、以下の処理は実行しない。
【0344】
次に、個人識別認証局(IDA)は、自己のデータベースに格納されている認証対象者の個人識別証明書(IDC)のテンプレートを取り出して、受信したサンプリングデータとの照合を実行(S104)する。照合が不一致であった場合は、以下の手続きは実行されない。
【0345】
次に、個人識別認証局(IDA)は、自己のデータベースに格納されている認証対象者の識別子(ID)を取り出し(S105)、照合の成立した個人のIDに基づいて照合証明書を生成する(S106)。さらに、照合証明書の発行履歴、例えば証明書の発行日時、有効期間管理データを生成して格納する(S107)。その後、個人識別認証局(IDA)は、照合証明書を、個人認証要求装置に対して発行する。
【0346】
以下の処理は、発行された照合証明書を利用してサービスプロバイダに対してサービス提供の要求を行なう場合の処理である。照合証明書の発行を受けたユーザは、照合証明書と、サービス要求データ等の電文に署名を付加し、さらに、公開鍵証明書を添付してサービスリクエストをサービスプロバイダに対するリクエストとして生成(S109)し、サービスプロバイダに対して送信する(S110)。
【0347】
サービスプロバイダは、受信した公開鍵証明書から、公開鍵を取り出して、署名を検証し(S111)、データ改竄のないことを条件として、ユーザにサービスを提供する(S112)。さらに、サービスを受信した個人認証要求装置は、照合証明書を削除する(S113)。
【0348】
図69に示す一連の処理、すなわち、S101のサンプリングデータ送信から、S113の照合証明書削除処理までの処理は、一連の処理を自動的に実行する特定の処理プログラム、サービスプロバイダによって提供されるプログラムに基づいて実行される。従って、個人認証要求装置に送信されてきた照合証明書は、処理の完結により個人認証要求装置から削除され、証明書の流用が防止されるものとなっている。ただし、必ずしも削除処理を要求されるものではなく、例えば特定の限定された取り引きにおいて、照合証明書を繰り返し使用可能とする形態としてもよい。
【0349】
図70に示す照合証明書利用態様(2)は、図68の例と異なり、サービスプロバイダが、サービス提供ユーザの照合証明書を取得する処理構成である。
【0350】
サービスプロバイダに対してサービス提供を要求するユーザは、認証要求装置において、サービスリクエストおよび指紋データ等のサンプリングデータを構成要素とするリクエストデータを生成し、署名を実行する。次に、認証要求装置とサービスプロバイダ間で相互認証を実行し、認証成立を条件として、生成リクエストデータを送信する。
【0351】
リクエストデータを受信したサービスプロバイダは、署名を検証して、データ改竄チェックを実行し、改竄のないことを確認の後、個人識別認証局(IDA)との間で相互認証処理を実行し、ユーザから受信したサンプリングデータと認証要求装置のIDを、サービスプロバイダの署名を付けて送信する。
【0352】
個人識別認証局(IDA)は、受信データの検証を行ない、データ改竄のないことを確認して、受信サンプリングデータとテンプレートとの照合処理を実行し、照合成立を条件として照合証明書を生成し、発行履歴を生成、格納する。
【0353】
生成した照合証明書は、サービスプロバイダに送付され、サービスプロバイダは照合証明書により、サービス要求ユーザの認証がなされたとの判定を行ない、認証要求装置、ユーザに対してサービス提供のOKを通知する。サービスプロバイダは、照合証明書を削除して処理を終了する。
【0354】
図71に照合証明書のフォーマット例を示す。各データ項目について説明する。
【0355】
バージョン(version)は、照合証明書フォーマットのバージョンを示す。
認証番号(Serial Number)は、個人識別認証局(IDA)によって設定される各照合証明書のシリアルナンバである。
署名方式(Signature algorithm Identifier algorithm parameter)は、照合証明書の署名アルゴリズムとそのパラメータを記録するフィールドである。なお、署名アルゴリズムとしては、楕円曲線暗号およびRSAがあり、楕円曲線暗号が適用されている場合はパラメータおよび鍵長が記録され、RSAが適用されている場合には鍵長が記録される。
発行者(issuer)は、照合証明書の発行者、すなわち個人識別認証局(IDA)の名称が識別可能な形式(Distinguished Name)で記録されるフィールドである。
有効期限(validity)は、証明書の有効期限である開始日時、終了日時が記録される。
サブジェクト(subject)は、ユーザである認証対象者の名前が記録される。具体的には例えばユーザのIDや、氏名等である。
個人識別証明書情報(Subject IDA Info)は、ユーザの個人識別証明書情報として、例えば個人識別証明書の認証番号、認証者固有ID等の各情報が格納される。
公開鍵証明書情報(Subject PKC info)には、被認証者の公開鍵証明書情報としての、被認証者の公開鍵証明書の認証番号、被認証者の公開鍵証明書の被認証者固有IDが格納される。
電子署名は、証明書を構成する各フィールドの全体に対しハッシュ関数を適用してハッシュ値を生成し、そのハッシュ値に対して個人識別認証局(IDA)の秘密鍵を用いて生成したデータである。
【0356】
上述のように、照合証明書には、公開鍵証明書、個人識別証明書とリンクが張れるように、公開鍵証明書情報、個人識別証明書情報が含まれている。また、被認証者識別データが含まれている。
【0357】
[11.個人識別証明書(IDC)のダウンロードおよびコンテンツ利用処理]
次に、ユーザの個人識別証明書(IDC)が格納されていないデバイスを使用してコンテンツの配信等の際に、個人識別認証局(IDA)に登録済みの個人識別証明書(IDC)を利用して個人認証を実行し、コンテンツ配信等のサービスを受ける処理について説明する。
【0358】
音楽データ、画像データ等の様々なコンテンツをサービスプロバイダから受信しようとするユーザは、1つのユーザ端末(ユーザデバイス)を使用するとは限らず、複数のデバイスを使用する場合がある。例えば自宅のデバイス、会社のデバイス、あるいは不特定多数が利用可能なデバイス等である。
【0359】
上述した個人識別証明書(IDC)を使用した個人認証を実行するためには、個人識別証明書に対するアクセスが必要となる。例えばユーザAが頻繁に利用するユーザデバイスに個人識別証明書(IDC)が格納されていれば、その格納IDCを用いて個人認証がそのデバイスにおいて実行可能であるが、会社のデバイス、あるいは不特定多数が利用可能なデバイスに、そのデバイスを利用するすべてのユーザの個人識別証明書(IDC)を格納することは現実的でない。このような状況にあるデバイスにおいて、個人識別認証局(IDA)に登録済みの個人識別証明書(IDC)を利用して個人認証を行ない、さらにその個人認証処理に基づいてコンテンツ配信を受ける処理について、以下説明する。
【0360】
図72に、個人識別認証局(IDA)に登録済みの個人識別証明書(IDC)を利用して個人認証を行ない、さらに、個人認証処理に基づいてコンテンツ配信を受ける処理を説明する図を示す。図中の番号1〜11の順で処理が進行する。さらに、詳細な手続きを説明したフローを図73〜図75に示す。図72、および図73〜図75を用いて処理を説明する。
【0361】
図72に示すように、ユーザAは、通常は、ユーザAのデバイスAを用いて処理、例えばコンテンツの受信等の処理を実行する。従ってデバイスAには、コンテンツの配信を実行するするために必要な各種の証明書、すなわちユーザAの公開鍵証明書(PKC)、個人識別証明書(IDC)、さらに、デバイスAの公開鍵証明書(PKC)が格納されている。ユーザAは必要に応じて、各種PKCを用いて相互認証処理を実行し、また、IDCを用いて個人認証処理が実行可能である。
【0362】
ここで、ユーザAが、他のデバイス、図72に示す例では、ユーザBのデバイスBを使用してコンテンツ配信等のサービスを受ける場合を考える。デバイスBには、ユーザBの公開鍵証明書(PKC)、個人識別証明書(IDC)、さらに、デバイスBの公開鍵証明書(PKC)が格納されている。ユーザBは、これらの証明書を利用して相互認証、個人認証処理が実行可能であるが、ユーザAは、デバイスBに格納された各証明書のみでは、個人認証、または相互認証が実行できない場合がある。このようなデバイスBにおいてユーザAがIDCを利用した個人認証、PKCを利用した相互認証を実行してコンテンツの配信サービスを実行する処理を図73以下のフローを用いて説明する。
【0363】
まず、デバイスBを利用するユーザAは、デバイスBにアクセス(起動)する(S801)。デバイスBは、デバイスBに対するアクセス許可のあるユーザによるアクセスであるか否かを判定するために、個人認証処理を開始(S802)し、ユーザAに対してサンプリング情報の入力を要求する。ユーザAは、デバイスBにユーザIDと指紋等のサンプリング情報を入力(S803)すると、デバイスBは、ユーザID、またはサンプリング情報に基づいてデバイス内の記憶手段の格納IDCの検索を実行(S804)する。デバイスBには、ユーザAに対応するIDCは格納されていないので、IDCは検出されない。この場合、デバイスBは、ユーザAのIDCを個人識別認証局(IDA)に要求する。この際、デバイスBは、個人識別認証局(IDA)との間で相互認証を実行し、セッションキーを生成してセッションキーによる暗号化を行なったユーザAのユーザID、サンプリング情報を個人識別認証局(IDA)に送信する。
【0364】
次に、個人識別認証局(IDA)は、自己のデータベースに格納されているユーザAの個人識別証明書(IDC)を取り出して、デバイスBに送信する。なお、この場合、個人識別証明書(IDC)内に格納するテンプレート情報は、デバイスBにおいて利用可能な形態、具体的にはデバイスBの公開鍵で暗号化してIDCに格納する。デバイスBは受信したユーザAの個人識別証明書(IDC)をデバイス内のメモリに格納する(S806)。
【0365】
デバイスBは、メモリに格納したユーザAの個人識別証明書(IDC)を用いてサンプリングデータとの照合を実行、すなわち個人認証処理を行なう(S807)。照合が不一致であった場合は、エラーとなり、以下の手続きは実行されない。
【0366】
個人認証が成立すると、デバイスBは、サービスプロバイダの提供するサービスに適用可能な公開鍵・秘密鍵のペアを検索(S809)する。なお、サービスプロバイダは、各ユーザとの間のデータ通信において、予め各ユーザ毎、あるいはデバイス毎に設定された公開鍵・秘密鍵のペアを用いて相互認証等、各種の暗号化処理を実行するものとする。ここでは、ユーザA専用の公開鍵・秘密鍵のペアは、デバイスBに格納されておらず、ステップS810の判定はNoとなり、デバイスBにおいて、新たな公開鍵・秘密鍵のペアを生成する(S811)。
【0367】
次にデバイスBは、生成した公開鍵を認証局(CA)に送信し、公開鍵証明書の発行手続きを実行して、ユーザAの公開鍵証明書(PKC)を取得し、デバイスBに格納する(S812)。
【0368】
次に、デバイスBは、ユーザAの個人識別証明書(IDC)と、公開鍵証明書(PKC)のリンクを形成する。リンクは例えば前述の組情報を生成してメモリに格納する処理として実行する。この際、リンク(組情報)に対してそのIDC,PKCを適用して利用可能なサービス名を対応付けて登録する(S813)。すなわち、いずれのサービスプロバイダまたはコンテンツプロバイダからのサービスに適用可能なIDC,PKCセットであるかを対応付けて、例えばプロバイダ識別子またはサービス識別子等の処理識別子を併せて登録する。
【0369】
次に、デバイスBは、ユーザAの公開鍵証明書(PKC)を用いて、サービス登録サーバと相互認証を実行(S814)する。なお、サービス登録サーバは、管轄する1以上のサービスプロバイダ(コンテンツ配信サーバ等)のサービスを提供するユーザのユーザ登録を行なうサーバであり、各ユーザの公開鍵証明書(PKC)を登録することにより、管轄下のサービスプロバイダのサービス実行時の認証処理等、各種暗号処理を登録PKCを用いて実行可能としたサーバである。
【0370】
サービス登録サーバとの相互認証が成立すると、次にサービス登録サーバに対するユーザAの個人認証をユーザAの個人識別証明書(IDC)を用いて実行する(S816)。これらの処理が済むと、サービス登録サーバは、ユーザAの公開鍵証明書(PKC)を登録(S818)する。なお、個人認証処理は必要に応じて実行すればよく、必須ではない。例えばコンテンツ配信時にコンテンツ配信サーバとの間で個人認証を行なってもよい。
【0371】
デバイスBは、サービス登録サーバからユーザAの公開鍵証明書(PKC)の登録終了通知を受領し、登録したユーザAの公開鍵証明書(PKC)を用いて利用可能なサービス情報、コンテンツ配信サーバのPKCを受信(S819)する。
【0372】
以下の処理は、コンテンツ配信サーバからのコンテンツ配信を実行する処理であり、ステップS820でコンテンツ配信サーバのPKCとユーザAのPKCとを用いて、相互認証処理を実行し、相互認証の成立を条件としてコンテンツの配信を受ける(S822)。なお、コンテンツ配信サーバは、デバイスBからのコンテンツ要求に応じて、コンテンツ要求の際の相互認証に用いられたPKCがコンテンツ利用権のあるPKCとしてサービス登録サーバに登録されているか否かを確認する処理を実行する。確認が取れた場合にのみコンテンツの配信を行なう。サービス登録サーバには、ユーザAの公開鍵証明書(PKC)が登録済みであるので、コンテンツ要求は承認され、コンテンツが配信されることになる。
【0373】
このように、デバイスに、ユーザの個人識別証明書(IDC)、公開鍵証明書(PKC)が格納されていない場合であっても、ユーザは、個人識別認証局(IDA)に登録されたIDCをデバイスにダウンロードし、さらにデバイスにおいて生成した公開鍵・秘密鍵のペアに基づいて認証局(CA)から公開鍵証明書(PKC)を受領し、IDCに基づく個人認証、PKCに基づく相互認証、データ暗号化処理を実行し、サービスプロバイダからのサービス提供を受領することが可能となる。
【0374】
以上が、ユーザ個人に対して設定された個人識別証明書(IDC)、公開鍵証明書(PKC)を用いた処理である。次にユーザ個人に対して設定された個人識別証明書(IDC)と、デバイスに対して設定された公開鍵証明書(PKC)を用いた処理について説明する。
【0375】
図76に、ユーザ個人に対して設定された個人識別証明書(IDC)と、デバイスに対して設定された公開鍵証明書(PKC)を用い、個人識別認証局(IDA)に登録済みの個人識別証明書(IDC)を利用して個人認証を行ない、デバイスに対して設定された公開鍵証明書(PKC)に基づいてコンテンツ配信を受ける処理を説明する図を示す。図中の番号1〜6の順で処理が進行する。さらに、詳細な手続きを説明したフローを図77〜図78に示す。図76、および図77〜図78を用いて処理を説明する。
【0376】
図76に示すように、ユーザAは、通常は、ユーザAのデバイスAを用いて処理、例えばコンテンツの受信等の処理を実行する。従ってデバイスAには、コンテンツの配信を実行するするために必要な各種の証明書、すなわちユーザAの公開鍵証明書(PKC)、個人識別証明書(IDC)、さらに、デバイスAの公開鍵証明書(PKC)が格納されている。ユーザAは必要に応じて、各種PKCを用いて相互認証処理を実行し、また、IDCを用いて個人認証処理が実行可能である。
【0377】
ここで、ユーザAが、他のデバイス、図76に示す例では、ユーザBのデバイスBを使用してコンテンツ配信等のサービスを受ける場合を考える。デバイスBには、ユーザBの個人識別証明書(IDC)、さらに、デバイスBの公開鍵証明書(PKC)が格納されている。ユーザBは、これらの証明書を利用して相互認証、個人認証処理が実行可能であるが、ユーザAは、デバイスBに格納された各証明書のみでは、個人認証が実行できない。このようなデバイスBにおいてユーザAがIDCを利用した個人認証、PKCを利用した相互認証を実行してコンテンツの配信サービスを実行する処理を図77以下のフローを用いて説明する。
【0378】
まず、デバイスBを利用するユーザAは、デバイスBにアクセス(起動)する(S851)。デバイスBは、デバイスBに対するアクセス許可のあるユーザによるアクセスであるか否かを判定するために、個人認証処理を開始(S852)し、ユーザAに対してサンプリング情報の入力を要求する。ユーザAは、デバイスBにユーザIDと指紋等のサンプリング情報を入力(S853)すると、デバイスBは、ユーザID、またはサンプリング情報に基づいて格納IDCの検索を実行(S854)する。デバイスBには、ユーザAに対応するIDCは格納されていないので、IDCは検出されない。この場合、デバイスBは、ユーザAのIDCを個人識別認証局(IDA)に要求する。この際、デバイスBは、個人識別認証局(IDA)との間で相互認証を実行し、セッションキーを生成してセッションキーによる暗号化を行なったユーザAのユーザID、サンプリング情報を個人識別認証局(IDA)に送信する。
【0379】
次に、個人識別認証局(IDA)は、自己のデータベースに格納されているユーザAの個人識別証明書(IDC)を取り出して、デバイスBに送信する。なお、この場合、個人識別証明書(IDC)内に格納するテンプレート情報は、デバイスBにおいて利用可能な形態、具体的にはデバイスBの公開鍵で暗号化してIDCに格納する。デバイスBは受信したユーザAの個人識別証明書(IDC)をデバイス内のメモリに格納する(S856)。
【0380】
デバイスBは、メモリに格納したユーザAの個人識別証明書(IDC)を用いてサンプリングデータとの照合を実行、すなわち個人認証処理を行なう(S857)。照合が不一致であった場合は、エラーとなり、以下の手続きは実行されない。
【0381】
個人認証が成立すると、デバイスBは、サービスプロバイダの提供するサービスに適用可能な公開鍵・秘密鍵のペアを検索(S859)する。なお、サービスプロバイダは、各ユーザとの間のデータ通信において、予め各ユーザ毎、あるいはデバイス毎に設定された公開鍵・秘密鍵のペアを用いて相互認証等、各種の暗号化処理を実行するものとする。ここでは、デバイスBの公開鍵・秘密鍵のペアが適用可能な設定である。デバイスBは、デバイスBの公開鍵証明書(PKC)を用いて、サービス登録サーバと相互認証を実行(S860)する。なお、サービス登録サーバは、管轄する1以上のサービスプロバイダ(コンテンツ配信サーバ等)のサービスを提供するユーザのユーザ登録を行なうサーバであり、各ユーザの公開鍵証明書(PKC)を登録することにより、管轄下のサービスプロバイダのサービス実行時の認証処理等、各種暗号処理を登録PKCを用いて実行可能としたサーバである。ここでは、サービス登録サーバは、各デバイスの公開鍵証明書(PKC)、または各デバイスの公開鍵証明書(PKC)と各ユーザの個人識別証明書(IDC)を登録するものとする。
【0382】
サービス登録サーバとの相互認証が成立すると、次にサービス登録サーバに対するユーザAの個人認証をユーザAの個人識別証明書(IDC)を用いて実行する(S862)。これらの処理が済むと、デバイスBは、サービス登録サーバからサービス利用可能通知を受領し、利用可能なサービス情報、コンテンツ配信サーバのPKCを受信する(S864)。
【0383】
以下の処理は、コンテンツ配信サーバからのコンテンツ配信を実行する処理であり、ステップS865でコンテンツ配信サーバのPKCとデバイスBのPKCとを用いて、相互認証処理を実行し、相互認証の成立を条件としてコンテンツの配信を受ける(S867)。なお、コンテンツ配信サーバは、デバイスBからのコンテンツ要求に応じて、コンテンツ要求の際の相互認証に用いられたPKCがコンテンツ利用権のあるPKCとしてサービス登録サーバに登録されているか否かを確認する処理を実行する。確認が取れた場合にのみコンテンツの配信を行なう。サービス登録サーバには、デバイスBの公開鍵証明書(PKC)が登録済みであるので、コンテンツ要求は承認され、コンテンツが配信されることになる。
【0384】
このように、デバイスに、ユーザの個人識別証明書(IDC)、公開鍵証明書(PKC)が格納されていない場合であっても、ユーザは、個人識別認証局(IDA)に登録されたIDCをデバイスにダウンロードし、さらにデバイスに格納されたデバイスの公開鍵証明書(PKC)を用いて、IDCに基づく個人認証、PKCに基づく相互認証、データ暗号化処理を実行し、サービスプロバイダからのサービス提供を受領することが可能となる。
【0385】
[12.個人識別証明書(IDC)の有効期限設定]
これまで、説明してきたように、個人識別証明書(IDC)は個人を識別するためのテンプレート情報、例えば指紋情報、パスワード等、個人情報を格納している。このテンプレート情報は暗号化されているものの、暗号解読、改竄の可能性が全くゼロであるとは言えず、管理されないない個人識別証明書(IDC)が氾濫する結果を招くことは好ましいとはいえない。従って、個人識別認証局(IDA)により発行され、ユーザデバイス(UD)、あるいはサービスプロバイダ(SP)において使用される個人識別証明書(IDC)の管理が重要となる。
【0386】
ここでは、個人識別証明書(IDC)にIDC自体の有効情報として、IDCの有効期限、有効利用回数を設定し、さらに、個人識別証明書(IDC)に格納したテンプレート情報の有効期限を設定することにより、IDCおよびテンプレートが無限に使用可能な状態となることを防止するIDC管理構成について説明する。有効期限の設定により、例えば定期的なユーザ審査が可能となり、また、個人識別証明書(IDC)の発行対象者に対する有効性確認が容易となる。
【0387】
図79に、個人識別証明書(IDC)の有効情報(有効期限および有効利用回数)と、IDCに格納したテンプレート情報の有効期限とを設定した個人識別証明書構成を示す。個人識別認証局(IDA)1001は、ユーザの個人識別証明書(IDC)を発行し、個人認証処理実行エンティテイであるサービスプロバイダ(SP)1002,ユーザ端末1003に配布する。サービスプロバイダ(SP)1002,ユーザ端末1003においては、IDAから発行された個人識別証明書(IDC)を格納し、ユーザから入力されるサンプリング情報との照合処理を実行して個人認証を行なう。
【0388】
個人識別認証局(IDA)1001により発行される個人識別証明書(IDC)には、図に示すように[利用有効期限または有効回数]1004、[テンプレート有効期限]1005、が格納され、全体に個人識別認証局(IDA)の秘密鍵による署名1006がなされている。署名1006は、個人識別証明書(IDC)を受領したサービスプロバイダ1002、ユーザデバイス1003において、個人識別認証局(IDA)1001の公開鍵を用いて検証され、個人識別証明書(IDC)の改竄の有無がチェックされる。
【0389】
個人識別証明書(IDC)に格納された[利用有効期限または有効回数]1004は、IDC自体の有効期限を定めたデータである。これらは、個人識別証明書(IDC)の発行主体である個人識別認証局(IDA)1001により設定され、IDCに格納される。個人識別認証局(IDA)1001は、同一のユーザのテンプレート情報を格納したIDCであっても、提供先となるサービスプロバイダ、またはユーザデバイスに応じて異なる[利用有効期限、有効回数]を設定したIDCを作成して提供することができる。IDCを用いた個人認証を実行するサービスプロバイダ、またはユーザデバイスでは、サンプリング情報との照合を実行する前に個人識別証明書(IDC)に格納された[利用有効期限または有効回数]を検証し、指定期限、指定回数を満足している場合にのみ、照合処理を実行する。
【0390】
個人識別証明書(IDC)に格納された[テンプレート有効期限]1005は、IDCに格納されたテンプレート情報の有効期限を定めたデータである。これらは、個人識別証明書(IDC)の発行主体である個人識別認証局(IDA)1001により設定されるか、あるいはテンプレート情報の元データである個人データを提供したユーザ自体が設定する。ユーザがテンプレート情報の有効期限を設定する場合は、個人識別データとともに、有効期限情報を個人識別認証局(IDA)1001に送付し、個人識別認証局(IDA)1001が受領した有効期限情報に基づいてテンプレート情報の有効期限を設定してIDCに格納する。IDCを用いた個人認証を実行するサービスプロバイダ、またはユーザデバイスでは、サンプリング情報とIDC内のテンプレートとの照合を実行する前に個人識別証明書(IDC)に格納された[利用有効期限または有効回数]を検証するとともに、テンプレート情報の[テンプレート有効期限]を検証し、指定期限を満足している場合にのみ、照合処理を実行する。
【0391】
図80に個人識別証明書(IDC)に格納された[利用有効期限または有効回数]、およびテンプレート情報の[テンプレート有効期限]の管理構成を説明する図を示す。図80(a)は、IDCの有効期限1014と、テンプレートの有効期限1015を格納した例であり、図80(b)は、IDCの有効利用回数1017と、テンプレートの有効期限1015を格納した例である。
【0392】
サービスプロバイダ、またはユーザデバイスは、図80(a)のIDCの有効期限1014と、テンプレートの有効期限1015を格納したIDCを、自己の記憶装置に格納する際は、IDCの署名1016の検証を実行してデータ改竄の無いことを確認した上で格納する。また格納したIDCを用いて個人認証を実行する場合は、ユーザの提供するサンプリング情報との比較処理ステップの前にIDCに格納されたIDCの有効期限1014と、テンプレートの有効期限1015を検証し、期限内である場合にのみ処理が続行され、期限を過ぎている場合は処理エラーとしてサンプリング情報との照合を実行しない。
【0393】
サービスプロバイダ、またはユーザデバイスは、図80(b)のIDCの有効利用回数1017と、テンプレートの有効期限1015を格納したIDCを、自己の記憶装置に格納する際は、IDCの署名1016の検証を実行してデータ改竄の無いことを確認した上で格納する。さらに、IDCに設定されたIDC利用回数SAM内設定情報1019を自己のデバイスのSAM(Secure Application Module)1020に格納する。格納データにはSAMの秘密鍵による署名1018を行ないデータ改竄を防止する。格納したIDCを用いて個人認証を実行する場合は、ユーザの提供するサンプリング情報との比較処理ステップの前にIDCに格納されたテンプレートの有効期限1015を検証し、さらに自己のデバイスのSAM1020に格納されたIDC利用回数SAM内設定情報1019を検証し、テンプレートの有効期限が期限内であり、かつSAMに格納されたIDC利用回数が0でない場合に限り、照合処理が実行され、期限を過ぎている場合、またはIDC利用回数が0である場合は処理エラーとしてサンプリング情報との照合を実行しない。サンプリング情報との照合処理が実行された場合は、SAMに格納されたIDC利用回数を1減ずる(デクリメント)処理を実行する。
【0394】
図81にIDC有効期限、テンプレート有効期限の管理構成を説明する図を示す。まず、個人識別証明書(IDC)の発行主体である個人識別認証局(IDA)1001は、IDC有効期限、テンプレート有効期限の設定ルールを定める。個人識別証明書(IDC)の発行を望むユーザは、個人識別認証局(IDA)1001に対してIDC発行に必要な個人識別情報、個人情報を提供し、個人識別認証局(IDA)1001は、個人確認、データ検証を実行して、正当なIDC発行要求であることが確認された場合に、新規に個人識別証明書(IDC)を生成する。なお、オンラインで処理を実行する際は、相互認証が行われ、通信データに対する署名付加、検証処理が実行される。なお、ユーザがテンプレートの有効期限を自ら設定することを望む場合は、自己の個人情報に加え、設定希望の有効期限をIDAに対して提示し、IDAは、その有効期限をIDCにテンプレート有効期限として設定する。
【0395】
サービスプロバイダ1002は、ユーザとの取り引きが発生した場合に、ユーザの個人認証を実行するため、個人識別認証局(IDA)1001に対してIDC発行要求を行なう。個人識別認証局(IDA)1001は、IDC有効期限、テンプレート有効期限を設定した個人識別証明書(IDC)をサービスプロバイダ1002に対して発行する。発行する個人識別証明書(IDC)には、個人識別認証局(IDA)1001の秘密鍵による署名がなされている。なお、サービスプロバイダ1002と個人識別認証局(IDA)1001との間の通信処理を実行する際は、相互認証が行われ、通信データに対する署名付加、検証処理が実行される。
【0396】
サービスプロバイダ1002は、自己の所有する個人識別認証局(IDA)1001の公開鍵を用いて署名検証処理を実行した後、IDCをメモリに格納する。ユーザの個人認証を行なう場合は、サンプリング情報との比較処理ステップの前にIDCに格納されたIDCの有効期限と、テンプレートの有効期限を検証し、期限内である場合にのみユーザからのサンプリング情報を受領し、照合処理を実行する。なお、図の例では、個人識別証明書(IDC)のテンプレート情報は、サービスプロバイダの公開鍵により暗号化されており、サービスプロバイダの秘密鍵により復号を実行してテンプレートをIDCから取り出して照合を実行する。照合が成立した場合には、ユーザの取り引き、例えばコンテンツ提供等を行なう。
【0397】
図82にIDC有効利用回数、テンプレート有効期限の管理構成を説明する図を示す。まず、個人識別証明書(IDC)の発行主体である個人識別認証局(IDA)1001は、IDC有効期限、テンプレート有効期限の設定ルールを定める。個人識別証明書(IDC)の発行を望むユーザは、個人識別認証局(IDA)1001に対してIDC発行に必要な個人情報を提供し、個人識別認証局(IDA)1001は、個人確認、データ検証を実行して、正当なIDC発行要求であることが確認された場合に、新規に個人識別証明書(IDC)を生成する。ユーザがテンプレートの有効期限を自ら設定することを望む場合は、自己の個人情報に加え、設定希望の有効期限をIDAに対して提示し、IDAは、その有効期限をIDCにテンプレート有効期限として設定する。
【0398】
サービスプロバイダ1002は、ユーザとの取り引きが発生した場合に、ユーザの個人認証を実行するため、個人識別認証局(IDA)1001に対してIDC発行要求を行なう。個人識別認証局(IDA)1001は、IDC有効利用回数、テンプレート有効期限を設定した個人識別証明書(IDC)をサービスプロバイダ1002に対して発行する。発行する個人識別証明書(IDC)には、個人識別認証局(IDA)1001の秘密鍵による署名がなされている。
【0399】
サービスプロバイダ1002は、自己の所有する個人識別認証局(IDA)1001の公開鍵を用いて署名検証処理を実行した後、IDCをメモリに格納する。さらに、IDCに設定されたIDC利用回数を自己のデバイスのSAM(Secure Application Module)に格納する。また格納したIDCを用いて個人認証を実行する場合は、ユーザの提供するサンプリング情報との比較処理ステップの前にIDCに格納されたテンプレートの有効期限を検証し、さらに自己のデバイスのSAMに格納されたIDC利用回数を検証し、テンプレートの有効期限が期限内であり、かつSAMに格納されたIDC利用回数が0でない場合に限り、照合処理が実行され、期限を過ぎている場合、またはIDC利用回数が0である場合は処理エラーとしてサンプリング情報との照合を実行しない。サンプリング情報との照合処理が実行された場合は、SAMに格納されたIDC利用回数を1減ずる(デクリメント)処理を実行する。なお、図の例では、個人識別証明書(IDC)のテンプレート情報は、サービスプロバイダの公開鍵により暗号化されており、サービスプロバイダの秘密鍵により復号を実行してテンプレートをIDCから取り出して照合を実行する。照合が成立した場合には、ユーザの取り引き、例えばコンテンツ提供等を行なう。
【0400】
次に図83を用いて、個人識別証明書(IDC)の[利用有効期限または有効回数]、および[テンプレート有効期限]に基づいたIDC利用制御処理をまとめて説明する。
【0401】
サービスプロバイダ、またはユーザデバイス等においてIDCによる個人認証処理が開始される(S1001)と、ユーザはユーザ識別IDと、サンプリングデータを入力または送付する(S1002)。個人認証を実行するサービスプロバイダ、またはユーザデバイスは、ユーザIDに基づいてIDC検索を実行し、IDCの有無を判定し(S1003)、IDCが存在しない場合は、個人識別認証局(IDA)に対してIDC発行要求を出力し、IDCを取得(S1004)する。
【0402】
次に、個人識別証明書(IDC)の[テンプレート有効期限]情報を取り出してテンプレート有効期限の検証を実行(S1005)し、有効期限が有効でない場合は、個人識別認証局(IDA)に対して新たな[テンプレート有効期限]を設定したIDCの発行要求を出力し、IDCを取得(S1006)する。
【0403】
次に、個人識別証明書(IDC)の[利用有効期限]情報を取り出してIDC有効期限の検証を実行(S1007)し、有効期限が有効でない場合は、個人識別認証局(IDA)に対して新たな[利用有効期限]を設定したIDCの発行要求を出力し、IDCを取得(S1008)する。
【0404】
次に、個人識別証明書(IDC)に[利用有効回数]が設定されているか否かを判定し(S1009)、設定されている場合は、自己のデバイスのSAM内のIDC利用回数を取り出してSAM内のIDC利用回数が0になっているか否かを判定し(S1010)、0である場合は、個人識別認証局(IDA)に対して新たな[利用有効回数]を設定したIDCの発行要求を出力し、IDCを取得(S1011)するとともに、SAM内に新規発行されたIDCの利用有効回数を設定(S1012)する。
【0405】
次にIDCのテンプレートを取り出し、ユーザの提供したサンプリング情報との照合処理を実行する(S1014)。照合処理終了後、IDCに有効利用回数が設定されている場合(S1015,Yes)は、SAM内の有効利用回数を1デクリメントし(S1016)、さらに、SAM内のIDC利用回数が0になった場合(S1017,Yes)はSAM内のIDCを消去(S1018)し、照合結果に基づく処理を実行する(S1019)。
【0406】
次に、図84を用い、個人識別証明書(IDC)の利用時に、IDCの[利用有効期限]の期限切れが判明した場合のIDC更新処理について説明する。
【0407】
ユーザの個人識別証明書(IDC)が個人識別認証局(IDA)1001により生成され、サービスプロバイダ1002の要求により、IDCが個人識別認証局(IDA)1001からサービスプロバイダ1002に送信され、サービスプロバイダ1002の記憶手段にIDCが格納されているとする。個人識別証明書(IDC)には、[利用有効期限]が設定されている。
【0408】
サービスプロバイダ1002は、ユーザの取り引きにおける個人認証処理の実行時にIDCを取り出し、IDC内の[利用有効期限]が期限切れであったことを検出すると、個人識別認証局(IDA)1001に対して、IDCの発行依頼を実行する。この場合、更新の必要なIDCに対応するユーザIDを個人識別認証局(IDA)1001に送信する。なお、データ通信においては、相互認証、署名付加、検証処理が実行される。
【0409】
個人識別認証局(IDA)1001は、ユーザIDに基づいて、すでに格納済みのユーザテンプレート情報を用いて、新たな有効期限を設定した個人識別証明書(IDC)を生成してサービスプロバイダ1002に送信する。サービスプロバイダは、更新されたIDCを自身の記憶手段に格納し、更新したIDCからテンプレートを取り出し、復号してサンプリング情報との比較照合処理を実行する。
【0410】
なお、上述のIDCの有効期限の更新処理は、IDCの有効利用回数の更新、および個人識別認証局(IDA)が設定するテンプレート有効期限の有効性消失時においても同様の手続きが適用可能である。
【0411】
図85に、定期的な個人識別証明書(IDC)の期限チェックを実行して、IDCの[利用有効期限]の期限切れが判明した場合のIDC更新処理について説明する。
【0412】
ユーザの個人識別証明書(IDC)が個人識別認証局(IDA)1001により生成され、サービスプロバイダ1002の要求により、IDCが個人識別認証局(IDA)1001からサービスプロバイダ1002に送信され、サービスプロバイダ1002の記憶手段にIDCが格納されているとする。個人識別証明書(IDC)には、[利用有効期限]が設定されている。
【0413】
サービスプロバイダ1002は、定期的に自身の格納した個人識別証明書(IDC)の有効期限のチェック処理を実行する。この定期検査時に、IDC内の[利用有効期限]が期限切れであったことを検出すると、個人識別認証局(IDA)1001に対して、IDCの発行依頼を実行する。この場合、更新の必要なIDCに対応するユーザIDを個人識別認証局(IDA)1001に送信する。なお、データ通信においては、相互認証、署名付加、検証処理が実行される。
【0414】
個人識別認証局(IDA)1001は、ユーザIDに基づいて、すでに格納済みのユーザテンプレート情報を用いて、新たな有効期限を設定した個人識別証明書(IDC)を生成してサービスプロバイダ1002に送信する。サービスプロバイダは、更新されたIDCを自身の記憶手段に格納する。
【0415】
なお、上述のIDCの有効期限の更新処理は、IDCの有効利用回数の更新、および個人識別認証局(IDA)が設定するテンプレート有効期限の有効性消失時においても同様の手続きが適用可能である。
【0416】
次に、テンプレート情報の更新処理について説明する。テンプレートの更新は、既に個人識別認証局(IDA)1001に登録済みのテンプレート情報の有効期限を単に更新する場合と、既に登録済みのテンプレート情報を削除し、新たな指紋情報等の個人情報をユーザが入力して、その新たな個人情報に基づいてテンプレート情報を再生成する場合がある。前記の登録済みのテンプレート情報を用い、有効期限を再設定する場合は、前述のIDCの有効期限、有効利用回数と同様の処理を実行すればよい。また、ユーザによってテンプレート情報の有効紀元が設定されている場合であっても、ユーザの了承を得ることで、個人識別認証局(IDA)1001において、テンプレート有効期限を再設定した個人識別証明書(IDC)を生成することが可能である。
【0417】
しかし、既に登録済みのテンプレート情報を削除し、新たな指紋情報等の個人情報をユーザが入力して、その新たな個人情報に基づいてテンプレート情報を再生成する場合は、ユーザからの新たな個人識別情報の取得処理が必要となる。これらの処理について図86、図87を用いて説明する。
【0418】
図86は、個人識別認証局(IDA)1001に登録済みのテンプレート情報の有効期限を個人識別認証局(IDA)1001がチェックし、有効期限切れであることをユーザに通知して更新を行なう場合の処理である。
【0419】
テンプレート情報の有効期限切れの通知を受領したユーザは、新たに指紋データ等の個人識別情報を、個人識別認証局(IDA)1001に送信する。なお、この処理は、個人の確認処理を再度実行することになるので、オフラインで行なうことが好ましい。ただし、個人確認が可能であればオンラインで実行してもよい。その際には、ユーザ側のデバイスと個人識別認証局(IDA)1001間での相互認証、通信データに対する署名付加、検証処理が実行される。
【0420】
個人識別認証局(IDA)1001では、個人確認が行われ、個人識別データをテンプレート情報として格納して新たなテンプレート有効期限を設定して、個人識別証明書(IDC)を生成する。この有効期限は、ユーザ自身の設定要求に応じたデータとすることも可能である。個人識別認証局(IDA)1001によって新たにテンプレート有効期限の設定された個人識別証明書(IDC)は、要求に応じてサービスプロバイダ等に送信され、個人認証が実行される。
【0421】
図87は、ユーザ自身が自発的に個人識別認証局(IDA)1001に登録済みのテンプレート情報の更新を要求した場合の処理を説明する図である。
【0422】
テンプレート情報の更新要求を行なうユーザは、新たに指紋データ等の個人識別情報を、個人識別認証局(IDA)1001に送信する。なお、この処理は、個人の確認処理を再度実行することになるので、オフラインで行なうことが好ましい。ただし、個人確認が可能であればオンラインで実行してもよい。その際には、ユーザ側のデバイスと個人識別認証局(IDA)1001間での相互認証、通信データに対する署名付加、検証処理が実行される。
【0423】
個人識別認証局(IDA)1001では、個人確認が行われ、個人識別データをテンプレート情報として格納して新たなテンプレート有効期限を設定して、個人識別証明書(IDC)を生成する。この有効期限は、ユーザ自身の設定要求に応じたデータとすることも可能である。さらに、個人識別認証局(IDA)1001では、例えばユーザの要求等、必要に応じて、現在有効期限内にある発行済みの個人識別証明書(IDC)の無効化処理を実行する。IDCの無効化処理は、IDC失効リストを既にIDCを発行したサービスプロバイダ、ユーザデバイスに対して発行する処理として実行する。IDC失効リストには失効したIDCの識別データが記録されている。IDC失効リストを受信したサービスプロバイダ、ユーザデバイスはIDCを利用した個人認証を実行する際、IDC失効リストに使用予定のIDC識別子が記録されているか否かをチェックし、記録されている場合は、そのIDCの使用を中止する。必要であれば、新たに個人識別認証局(IDA)1001に対して更新IDCを要求して、その更新IDCを用いて個人認証を実行する。
【0424】
上述のように、個人認証処理実行エンティテイは、個人識別データであるテンプレートを格納した個人識別証明書に基づく個人認証処理の際に、証明書有効期限または証明書有効利用回数、またはテンプレート有効期限に基づき個人識別証明書の有効性確認処理を実行して、有効性が確認された場合にのみ、個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行するので、個人識別認証局による個人識別証明書の有効性管理が可能となり、認証処理実行エンティテイまたは、被認証者の要求に応じて、個人識別認証局が個人識別証明書あるいはテンプレートの更新を実行する構成としたので、任意のタイミングでの個人識別証明書あるいはテンプレートの更新処理が可能となる。上述のような有効期限の設定により、例えば定期的なユーザ審査が可能となり、また、個人識別証明書(IDC)の発行対象者に対する有効性確認が容易となる。
【0425】
以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、冒頭に記載した特許請求の範囲の欄を参酌すべきである。
【0426】
【発明の効果】
上述したように、本発明の個人認証システム、個人認証方法、および情報処理装置においては、様々なデバイスにおいて容易に個人識別データであるテンプレートとユーザ入力サンプリング情報との照合による個人認証が可能となる。個人認証処理を実行する例えばサービスプロバイダ(SP)、ユーザデバイス(UD)は、第三者機関である個人識別認証局(IDA)が生成した個人識別証明書(IDC)からテンプレートを取得して個人認証を実行することが可能となる。個人識別証明書(IDC)は、個人識別認証局(IDA)がIDC発行要求者の個人確認処理を実行して、個人識別データとしてテンプレートを取得し生成するものであり、またサービスプロバイダ(SP)、ユーザデバイス(UD)に対する配布時には、IDAの署名がなされて配布される構成であるのでデータの正当性が保証され、正確な個人認証処理が可能となる。
【0427】
さらに、本発明の個人認証システム、個人認証方法、および情報処理装置においては、個人識別データであるテンプレートを格納した個人識別証明書に基づく個人認証処理の際に、証明書有効期限または証明書有効利用回数、またはテンプレート有効期限に基づき個人識別証明書の有効性確認処理を実行して、有効性が確認された場合にのみ、個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行する構成としたので、個人識別認証局による個人識別証明書の有効性管理が可能となる。
【0428】
さらに、本発明の個人認証システム、個人認証方法、および情報処理装置においては、認証処理実行エンティテイまたは、被認証者の要求に応じて、個人識別認証局が個人識別証明書あるいはテンプレートの更新を実行する構成としたので、任意のタイミングでの個人識別証明書あるいはテンプレートの更新処理が可能となる。
【図面の簡単な説明】
【図1】従来の指紋読み取り照合処理を実行する個人認証装置を示す図である。
【図2】本発明の個人認証システムを利用し、かつ公開鍵証明書を用いた暗号化データ通信の概略を説明する図である。
【図3】公開鍵証明書のデータ構成を説明する図である。
【図4】公開鍵証明書のデータ構成を説明する図である。
【図5】個人識別証明書のフォーマット例を示す図である。
【図6】個人識別証明書のテンプレートの暗号化態様を説明する図である。
【図7】個人識別証明書のテンプレートの暗号化に適用する鍵の種類および処理態様を説明する図である。
【図8】個人識別証明書のテンプレートの暗号化態様を説明する図である。
【図9】テンプレート登録、IDC生成処理の流れを説明するフローおよびデータの流れを説明する図である。
【図10】テンプレート削除処理の流れを説明するフローおよびデータの流れを説明する図である。
【図11】テンプレート変更処理の流れを説明するフローおよびデータの流れを説明する図である。
【図12】テンプレート追加処理の流れを説明するフローおよびデータの流れを説明する図である。
【図13】テンプレート停止処理の流れを説明するフローおよびデータの流れを説明する図である。
【図14】テンプレート停止解除処理の流れを説明するフローおよびデータの流れを説明する図である。
【図15】IDC配布処理の流れを説明するフローおよびデータの流れを説明する図である。
【図16】IDC更新処理の流れを説明するフローおよびデータの流れを説明する図である。
【図17】IDC削除処理の流れを説明するフローおよびデータの流れを説明する図である。
【図18】IDC照会処理の流れを説明するフローおよびデータの流れを説明する図である。
【図19】公開鍵証明書(PKC)を発行する認証局(CA)と、個人識別証明書(IDC)を発行する個人識別認証局(IDA)と、証明書を利用するデバイスの構成例を示す図である。
【図20】公開鍵証明書(PKC)を発行する認証局(CA)と、個人識別証明書(IDC)を発行する個人識別認証局(IDA)と、証明書を利用するデバイスの構成例を示す図である。
【図21】ユーザデバイス、サービスプロバイダ(SP)、個人識別認証局(IDA)の各システムにおける照合処理の実行形態を説明する図である。
【図22】ユーザデバイスにおいて照合処理を実行する形態を説明する図である。
【図23】サービスプロバイダ(SP)において照合処理を実行する形態を説明する図である。
【図24】IDCとPKCを格納したユーザデバイスにおける照合処理を説明する図である。
【図25】ICカード等の個人端末に格納された個人識別証明書(IDC)を共有型ユーザデバイスへ送信して照合処理を実行する構成について説明する図である。
【図26】ICカード等の個人端末に格納された個人識別証明書(IDC)を復号した後、共有型ユーザデバイスへ送信して照合処理を実行する構成について説明する図である。
【図27】ICカード等の個人端末に格納された個人識別証明書(IDC)を用いて個人端末側で照合処理を実行して、その結果のみを共有型ユーザデバイスへ送信する構成について説明する図である。
【図28】個人識別証明書(IDC)のテンプレート情報がサービスプロバイダ(SP)の公開鍵で暗号化されている場合の処理を説明する図である。
【図29】ユーザデバイスに格納された個人識別証明書(IDC)をサービスプロバイダ(SP)へ送信して照合処理を実行する構成について説明する図である。
【図30】ユーザデバイスに格納された個人識別証明書(IDC)を復号した後、サービスプロバイダ(SP)へ送信して照合処理を実行する構成について説明する図である。
【図31】ユーザデバイスに格納された個人識別証明書(IDC)を用いてユーザデバイス側で照合処理を実行して、その結果のみをサービスプロバイダ(SP)へ送信する構成について説明する図である。
【図32】コンテンツ取り引きにおいて流通するコンテンツを含むセキュア・コンテナ(Secure Container)の構成を示す図である。
【図33】個人識別証明書(IDC)のリスト構成を示す図である。
【図34】販売条件(UCP)の具体的構成例を示す図である。
【図35】利用権データの構成例を示す図である。
【図36】セキュアコンテナに含まれる価格情報のデータ構成例を示す図である。
【図37】セキュアコンテンナを利用したコンテンツの配信処理形態を示す図である。
【図38】使用制御情報(UCS:Usage Control Status)の例を示す図である。
【図39】コンテンツを格納したセキュアコンテナをサービスプロバイダからユーザデバイスに配信する際の個人識別証明書(IDC)の利用を説明する図である。
【図40】セキュアコンテナをサービスプロバイダから受領し、ユーザデバイスにおいて個人認証処理を実行して、正当なユーザにのみコンテンツ利用を可能とした処理フローを示す図である。
【図41】サービスプロバイダにおいて個人認証処理を実行して、正当なユーザにのみセキュアコンテナを配信する処理フローを示す図である。
【図42】セキュアコンテンナを利用したコンテンツのユーザ間の配信処理形態を示す図である。
【図43】セキュアコンテンナを利用したコンテンツのユーザ間の配信処理、ユーザの個人認証の異なる形態を示す図である。
【図44】セキュアコンテナをユーザデバイスAから受領し、ユーザデバイスBにおいて個人認証処理を実行して、正当なユーザにのみコンテンツ利用を可能とした処理フローを示す図である。
【図45】コンテンツを配信する前に配信元において個人認証処理を実行して、正当なユーザにのみセキュアコンテナを配信する処理フローを示す図である。
【図46】ユーザデバイス間でのセキュアコンテナの転送処理を実行するユーザデバイス構成を中心としたブロック図である。
【図47】個人識別証明書(IDC)と公開鍵証明書(PKC)とのリンク態様のそれぞれについて示す図である。
【図48】個人識別証明書(IDC)と公開鍵証明書(PKC)とのリンク態様のそれぞれについて示す図である。
【図49】リンクする公開鍵証明書(PKC)の個人識別証明書(IDC)に対する格納態様を説明する図である。
【図50】証明書の識別番号を他の証明書(IDC)に格納する構成例を示す図である。
【図51】リンク管理用データを用いた管理構成例を示す図である。
【図52】リンク管理用データを用いた管理構成例を示す図である。
【図53】個人認証を実行し、かつコンテンツ再生可能なユーザデバイスの構成を示す図である。
【図54】コンテンツダウンロード処理におけるデータの流れを説明する図である。
【図55】コンテンツダウンロード処理の流れを説明する詳細処理フロー図である。
【図56】コンテンツダウンロード処理の流れを説明する詳細処理フロー図である。
【図57】コンテンツダウンロード処理の流れを説明する詳細処理フロー図である。
【図58】ユーザ登録、ユーザ登録抹消、サービス契約処理におけるデータの流れを説明する図である。
【図59】ユーザ登録、ユーザ登録抹消、サービス契約処理を説明する詳細処理フロー図である。
【図60】ユーザ登録、ユーザ登録抹消、サービス契約処理を説明する詳細処理フロー図である。
【図61】ユーザ登録、ユーザ登録抹消、サービス契約処理を説明する詳細処理フロー図である。
【図62】デバイスに格納する個人識別証明書(IDC)の要求処理におけるデータの流れを説明する図である。
【図63】デバイスに格納する個人識別証明書(IDC)の要求処理の流れを説明する詳細処理フロー図である。
【図64】デバイスに格納する個人識別証明書(IDC)の要求処理の流れを説明する詳細処理フロー図である。
【図65】デバイスに格納する個人識別証明書(IDC)の要求処理の流れを説明する詳細処理フロー図である。
【図66】ワンタイムPKCの発行手順を説明する図である。
【図67】ワンタイムPKCの発行手順を示すフロー図である。
【図68】照合証明書の第1の利用形態を説明する図である。
【図69】照合証明書の利用処理フローを示す図である。
【図70】照合証明書の第2の利用形態を説明する図である。
【図71】照合証明書のフォーマット例を示す図である。
【図72】個人識別認証局(IDA)に登録済みの個人識別証明書(IDC)を利用して個人認証を行ない、さらに、個人認証処理に基づいてコンテンツ配信を受ける処理を説明する図である。
【図73】IDCを利用した個人認証、PKCを利用した相互認証を実行してコンテンツの配信サービスを実行する処理を示すフロー図である。
【図74】IDCを利用した個人認証、PKCを利用した相互認証を実行してコンテンツの配信サービスを実行する処理を示すフロー図である。
【図75】IDCを利用した個人認証、PKCを利用した相互認証を実行してコンテンツの配信サービスを実行する処理を示すフロー図である。
【図76】ユーザIDCと、デバイスPKCを用い、個人識別認証局(IDA)に登録済みのIDCを利用して個人認証を行ない、デバイスPKCに基づいてコンテンツ配信を受ける処理を説明する図である。
【図77】ユーザIDCと、デバイスPKCを用い、個人識別認証局(IDA)に登録済みのIDCを利用して個人認証を行ない、デバイスPKCに基づいてコンテンツ配信を受ける処理フローを示す図である。
【図78】ユーザIDCと、デバイスPKCを用い、個人識別認証局(IDA)に登録済みのIDCを利用して個人認証を行ない、デバイスPKCに基づいてコンテンツ配信を受ける処理フローを示す図である。
【図79】個人識別証明書(IDC)の有効情報(有効期限および有効利用回数)と、IDCに格納したテンプレート情報の有効期限とを設定した個人識別証明書構成を示す図である。
【図80】個人識別証明書(IDC)に格納された[利用有効期限または有効回数]、およびテンプレート情報の[テンプレート有効期限]の管理構成を説明する図である。
【図81】IDC有効期限、テンプレート有効期限の管理構成を説明する図である。
【図82】IDC有効利用回数、テンプレート有効期限の管理構成を説明する図である。
【図83】個人識別証明書(IDC)の[利用有効期限または有効回数]、および[テンプレート有効期限]に基づいたIDC利用制御処理ヲ説明するフロー図である。
【図84】個人識別証明書(IDC)の利用時に、IDCの[利用有効期限]の期限切れが判明した場合のIDC更新処理を説明する図である。
【図85】定期的な個人識別証明書(IDC)の期限チェックを実行して、IDCの[利用有効期限]の期限切れが判明した場合のIDC更新処理について説明する図である。
【図86】個人識別認証局(IDA)に登録済みのテンプレート情報の有効期限をIDAがチェックし、有効期限切れであることをユーザに通知して更新を行なう場合の処理を説明する図である。
【図87】ユーザ自身が自発的に個人識別認証局(IDA)に登録済みのテンプレート情報の更新を要求した場合の処理を説明する図である。
【符号の説明】
10 個人認証装置
11 個人情報取得部
12 情報変換部
13 比較部
14 セキュアメモリ
15 制御部
16 通信部
20 パーソナルコンピュータ
201 個人識別認証局(IDA)
202 認証局(CA)
203,204 サービスプロバイダ(SP)
205,206 ユーザデバイス
300 サービスプロバイダ(SP)
310 サンプリング情報処理部
311 制御部
312 通信部
313 情報変換部
314 個人情報取得部
315 公開鍵証明書
320 個人識別認証局(IDA)
321 比較部
322 記憶手段
330 認証局(CA)
400 サービスプロバイダ(SP)
410 照合システム
411 通信部
412 制御部
413 メモリ
414 個人識別証明書検証部
415 テンプレート復号化部
416 比較部
417 情報変換部
418 個人情報取得部
419 暗号処理部
420 個人識別認証局
421 個人識別証明書発行部
422 記憶手段
430 認証局
450 ICカード
500 ユーザデバイス
501 コンテンツ再生機構部
502 コンテンツデータ蓄積部
503 個人識別装置
504 ネットワーク接続部
505 公開鍵暗号処理部
506 選択機能部
507 入出力機能部
700 セキュアコンテナ
701 コンテンツ
702 価格情報
703 販売情報(UCP)
704 電子署名
711 IDC識別子リスト
712 UCP世代管理情報
713 二次配信可能回数
721 IDC識別子リスト
731 IDC識別子リスト
732 UCS世代管理情報
733 UCS二次配信可能回数
801 コンテンツプロバイダ
802 サービスプロバイダ
803,805 ユーザデバイス
804 クリアリングセンタ
810 ユーザデバイス
820 ユーザ
830 個人識別認証局(IDA)
840 サービスプロバイダ
910 個人識別認証局(IDA)
920 ユーザデバイス1
930 ユーザデバイス2
940,945 ユーザ
950 ユーザデバイス1
955,965 個人識別証明書
960 ユーザデバイス2
970 個人識別認証局(IDA)
990 セキュアコンテナ
992 IDC識別子リスト
1001 個人識別認証局(IDA)
1002 サービスプロバイダ
1003 ユーザ端末
1004 IDC利用有効期限/有効回数情報
1005 テンプレート有効期限情報
1006 IDA署名
1014 IDC利用有効期限
1015 テンプレート有効期限情報
1016 IDA署名
1017 IDC利用有効回数
1018 SAM署名
1019 IDC利用回数SAM内設定情報
1020 SAM(Secure Application Module)
1810 サービスプロバイダ
1811 制御部
1812 コンテンツデータベース
1813 ユーザ情報データベース
1814 暗号処理部
1815 通信部
1816 個人識別装置
1820 ユーザデバイスA
1830 ユーザデバイスB
1821,1831 制御部
1822,1832 暗号処理部
1824,1834 メモリ
1825,1835 記憶部
1826,1836 データ再生部
1827,1837 通信部
1828,1838 電子マネー
1829,1839 個人識別装置
1840 クリアリングセンタ
1841 制御部
1842 データベース
1844 暗号処理部
1845 通信部
1846 個人識別装置
Claims (13)
- 予め取得した個人識別データであるテンプレートと、ユーザの入力したサンプリング情報との照合により個人認証を実行する個人認証システムにおいて、
前記テンプレートを含むテンプレート情報を格納した個人識別証明書を発行する個人識別認証局と、
前記個人識別認証局が生成した個人識別証明書からテンプレートを取得し、該取得テンプレートに基づいて個人認証処理を実行する認証処理実行エンティテイとを有し、
前記個人識別認証局の発行する個人識別証明書には、証明書有効期限または証明書有効利用回数の少なくともいずれかの利用制限情報と、
前記個人識別証明書に格納されたテンプレートの有効期限情報としてのテンプレート有効期限が格納され、
前記認証処理実行エンティテイは、前記個人識別証明書に基づく個人認証処理の際に、前記証明書有効期限または証明書有効利用回数に基づき個人識別証明書の有効性確認処理を実行するとともに、
前記テンプレート有効期限に基づき該テンプレートの有効性の確認処理を実行し、
前記証明書有効期限または証明書有効利用回数に基づいて有効性が確認され、かつ、前記テンプレート有効期限に基づいて有効性が確認されたことを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行する構成を有することを特徴とする個人認証システム。 - 前記認証処理実行エンティテイの個人認証処理実行デバイスは、個人識別証明書に、証明書有効利用回数の利用制限情報が格納されている場合において、該証明書有効利用回数をデバイス内のメモリに格納し、該個人識別証明書の利用毎にメモリに格納した証明書有効利用回数データの更新処理を実行し、該メモリに格納した利用回数データに基づいて、個人識別証明書の設定利用回数の制限内であるか否かの判定処理を実行し、制限内であることを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行する構成を有することを特徴とする請求項1に記載の個人認証システム。
- 前記個人認証実行エンティテイとしての情報処理装置は、
情報処理装置の格納個人識別証明書に設定された個人識別証明書有効期限、またはテンプレート有効期限の確認処理を実行し、有効性が確認できない場合において、個人識別証明書の発行主体である個人識別認証局への個人識別証明書発行要求を出力し、
前記個人識別認証局は、
新たな有効期限を設定した個人識別証明書を生成し、該情報処理装置に対する発行処理を実行し、
前記情報処理装置は、前記個人識別認証局から発行された個人識別証明書を該情報処理装置の記憶手段に格納する処理を実行する構成を有することを特徴とする請求項1に記載の個人認証システム。 - 前記個人識別認証局は、
発行済みの個人識別証明書の有効期限、またはテンプレート有効期限の確認処理を実行し、該有効期限の近づいている個人識別証明書発行先エンティテイに対する通知処理を実行する構成を有することを特徴とする請求項1に記載の個人認証システム。 - 前記個人識別認証局は、
個人識別証明書の発行先エンティテイから、発行済みの個人識別証明書についての更新要求を受領し、
該更新要求に基づいて、更新した証明書有効期限または証明書有効利用回数を設定した個人識別証明書を生成し発行する構成を有することを特徴とする請求項1に記載の個人認証システム。 - 前記個人識別認証局は、
個人識別証明書の被認証ユーザから、発行済みの個人識別証明書についての格納テンプレート更新要求を受領し、
該テンプレート更新要求に基づいて、発行済みの個人識別証明書の無効処理を実行するとともに、更新テンプレートに基づく個人識別証明書を生成する構成を有することを特徴とする請求項1に記載の個人認証システム。 - 前記個人認証局は、
個人識別証明書の被認証ユーザから、テンプレート有効期限設定要求データを受領し、該テンプレート有効期限設定要求データに基づいたテンプレート有効期限を設定した個人識別証明書の生成を実行する構成を有することを特徴とする請求項1に記載の個人認証システム。 - 個人識別認証局と認証処理実行エンティテイ間におけるデータ通信の際は、相互認証処理を実行するとともに、データ送信側が送信データに対する電子署名の生成処理を実行して、受信側が電子署名の検証処理を実行する構成であることを特徴とする請求項1に記載の個人認証システム。
- 前記テンプレートは、個人の指紋情報、網膜情報、虹彩情報、声紋情報、筆跡情報等の生体情報、あるいは、印鑑、パスポート、免許書、カード等の非生体情報、あるいは、前記生体情報、非生体情報の2以上の組合わせ情報、または前記各情報とパスワードとの組み合わせ情報のいずれかによって構成されたものであることを特徴とする請求項1に記載の個人認証システム。
- 前記個人識別認証局が発行する個人識別証明書は、該個人識別認証局の電子署名がなされた構成を有することを特徴とする請求項1に記載の個人認証システム。
- 予め取得した個人識別データであるテンプレートと、ユーザの入力したサンプリング情報との照合により個人認証を実行する個人認証方法において、
前記テンプレートを含むテンプレート情報を格納した個人識別証明書を発行する個人識別認証局と、前記個人識別認証局が生成した個人識別証明書からテンプレートを取得し、該取得テンプレートに基づいて個人認証処理を実行する認証処理実行エンティテイとを有し、
前記個人識別認証局は、発行する個人識別証明書に、証明書有効期限または証明書有効利用回数の少なくともいずれかの利用制限情報と、
前記個人識別証明書に格納されたテンプレートの有効期限情報としてのテンプレート有効期限を格納し、
前記認証処理実行エンティテイは、前記個人識別証明書に基づく個人認証処理の際に、前記証明書有効期限または証明書有効利用回数に基づき個人識別証明書の有効性確認処理を実行するとともに、
前記テンプレート有効期限に基づき該テンプレートの有効性の確認処理を実行し、
前記証明書有効期限または証明書有効利用回数に基づいて有効性が確認され、かつ、前記テンプレート有効期限に基づいて有効性が確認されたことを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行することを特徴とする個人認証方法。 - 予め取得した個人識別データであるテンプレートと、ユーザの入力したサンプリング情報との照合により個人認証を実行する情報処理装置であり、
テンプレートを格納し第三者機関である個人識別認証局の発行した個人識別証明書に基づいて個人認証処理を実行する構成を有し、
個人識別証明書に基づく個人認証処理の際に、該個人識別証明書に設定された証明書有効期限または証明書有効利用回数に基づき該個人識別証明書の有効性確認処理を実行するとともに、
前記個人識別証明書に格納されたテンプレートの有効期限情報としてのテンプレート有効期限に基づき該テンプレートの有効性の確認処理を実行し、
前記証明書有効期限または証明書有効利用回数に基づいて有効性が確認され、かつ、前記テンプレート有効期限に基づいて有効性が確認されたことを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行する構成を有することを特徴とする情報処理装置。 - 予め取得した個人識別データであるテンプレートと、ユーザの入力したサンプリング情報との照合により個人認証を実行する個人認証処理をコンピュータ・システム上で実行せしめるコンピュータ・プログラムを記憶するプログラム記憶媒体であって、前記コンピュータ・プログラムは、
個人識別認証局の発行する個人識別証明書に、証明書有効期限または証明書有効利用回数、テンプレート有効期限のいずれかの利用制限情報が格納されているか否かを検証するステップと、
前記個人識別証明書に基づく個人認証処理の際に、前記証明書有効期限、または証明書有効利用回数に基づき個人識別証明書の有効性確認処理を実行するとともに、
前記テンプレート有効期限に基づき該テンプレートの有効性の確認処理を実行し、
前記証明書有効期限または証明書有効利用回数に基づいて有効性が確認され、かつ、前記テンプレート有効期限に基づいて有効性が確認されたことを条件として該個人識別証明書に格納されたテンプレートと、ユーザ入力サンプリング情報との照合による個人認証を実行するステップと、
を有することを特徴とするプログラム記憶媒体。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000264520A JP4654498B2 (ja) | 2000-08-31 | 2000-08-31 | 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 |
US09/943,893 US7059516B2 (en) | 2000-08-31 | 2001-08-30 | Person authentication system, person authentication method, information processing apparatus, and program providing medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000264520A JP4654498B2 (ja) | 2000-08-31 | 2000-08-31 | 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2002175279A JP2002175279A (ja) | 2002-06-21 |
JP4654498B2 true JP4654498B2 (ja) | 2011-03-23 |
Family
ID=18751924
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000264520A Expired - Fee Related JP4654498B2 (ja) | 2000-08-31 | 2000-08-31 | 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7059516B2 (ja) |
JP (1) | JP4654498B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220368684A1 (en) * | 2020-01-16 | 2022-11-17 | Zte Corporation | Method, Device, and System for Anchor Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications |
Families Citing this family (72)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4654497B2 (ja) * | 2000-08-31 | 2011-03-23 | ソニー株式会社 | 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 |
JP4581200B2 (ja) * | 2000-08-31 | 2010-11-17 | ソニー株式会社 | 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 |
JP4660900B2 (ja) * | 2000-08-31 | 2011-03-30 | ソニー株式会社 | 個人認証適用データ処理システム、個人認証適用データ処理方法、および情報処理装置、並びにプログラム提供媒体 |
US7373515B2 (en) * | 2001-10-09 | 2008-05-13 | Wireless Key Identification Systems, Inc. | Multi-factor authentication system |
CA2463891C (en) * | 2001-10-17 | 2012-07-17 | Npx Technologies Ltd. | Verification of a person identifier received online |
US7708189B1 (en) | 2002-05-17 | 2010-05-04 | Cipriano Joseph J | Identification verification system and method |
US7886365B2 (en) * | 2002-06-11 | 2011-02-08 | Panasonic Corporation | Content-log analyzing system and data-communication controlling device |
WO2004008282A2 (en) * | 2002-07-12 | 2004-01-22 | Privaris, Inc. | Personal authentication software and systems for travel privilege assignation and verification |
US7370212B2 (en) | 2003-02-25 | 2008-05-06 | Microsoft Corporation | Issuing a publisher use license off-line in a digital rights management (DRM) system |
MY145237A (en) * | 2003-05-23 | 2012-01-13 | Ind Tech Res Inst | Personal authentication device and system and method thereof |
US7694330B2 (en) | 2003-05-23 | 2010-04-06 | Industrial Technology Research Institute | Personal authentication device and system and method thereof |
WO2005018139A1 (en) * | 2003-08-07 | 2005-02-24 | Georgia Tech Research Corporation | Secure authentication of a user to a system and secure operation thereafter |
US8108314B2 (en) * | 2003-10-16 | 2012-01-31 | Sharp Kabushiki Kaisha | Content use control device, recording device, reproduction device, recording medium, and content use control method |
ATE450950T1 (de) * | 2004-04-30 | 2009-12-15 | Research In Motion Ltd | System und verfahren zur prüfung digitaler zertifikate |
JP2005352523A (ja) * | 2004-05-10 | 2005-12-22 | Sony Corp | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム |
JP4717378B2 (ja) * | 2004-06-08 | 2011-07-06 | キヤノン株式会社 | 情報処理装置 |
US8156339B2 (en) * | 2004-07-21 | 2012-04-10 | Sanyo Electric Co., Ltd. | Method for transmission/reception of contents usage right information in encrypted form, and device thereof |
US7860318B2 (en) | 2004-11-09 | 2010-12-28 | Intelli-Check, Inc | System and method for comparing documents |
US7566002B2 (en) * | 2005-01-06 | 2009-07-28 | Early Warning Services, Llc | Identity verification systems and methods |
US8312263B2 (en) * | 2005-01-25 | 2012-11-13 | Cisco Technology, Inc. | System and method for installing trust anchors in an endpoint |
US8943310B2 (en) * | 2005-01-25 | 2015-01-27 | Cisco Technology, Inc. | System and method for obtaining a digital certificate for an endpoint |
US7788729B2 (en) * | 2005-03-04 | 2010-08-31 | Microsoft Corporation | Method and system for integrating multiple identities, identity mechanisms and identity providers in a single user paradigm |
US8438645B2 (en) | 2005-04-27 | 2013-05-07 | Microsoft Corporation | Secure clock with grace periods |
JP2006293473A (ja) * | 2005-04-06 | 2006-10-26 | Sony Corp | 認証システム及び認証方法、端末装置及び認証装置 |
JP4966509B2 (ja) * | 2005-04-08 | 2012-07-04 | 富士通株式会社 | 自動取引装置及び自動取引システム |
US8725646B2 (en) | 2005-04-15 | 2014-05-13 | Microsoft Corporation | Output protection levels |
US20060265758A1 (en) | 2005-05-20 | 2006-11-23 | Microsoft Corporation | Extensible media rights |
JP2007004461A (ja) * | 2005-06-23 | 2007-01-11 | Nec Corp | サービス提供システム、アウトソーシング業者装置、サービス提供方法およびプログラム |
JP2007080184A (ja) * | 2005-09-16 | 2007-03-29 | Canon Inc | 画像処理装置及び方法 |
US20070088660A1 (en) * | 2005-10-13 | 2007-04-19 | Abu-Amara Hosame H | Digital security for distributing media content to a local area network |
US8500044B2 (en) * | 2007-05-04 | 2013-08-06 | S.C. Johnson & Son, Inc. | Multiple nozzle differential fluid delivery head |
US20080022414A1 (en) * | 2006-03-31 | 2008-01-24 | Robert Cahn | System and method of providing unique personal identifiers for use in the anonymous and secure exchange of data |
US8181227B2 (en) * | 2006-08-29 | 2012-05-15 | Akamai Technologies, Inc. | System and method for client-side authenticaton for secure internet communications |
US9514117B2 (en) * | 2007-02-28 | 2016-12-06 | Docusign, Inc. | System and method for document tagging templates |
US8042159B2 (en) * | 2007-03-15 | 2011-10-18 | Glynntech, Inc. | Website log in system with user friendly combination lock |
US7904947B2 (en) * | 2007-03-22 | 2011-03-08 | Glynntech, Inc. | Gateway log in system with user friendly combination lock |
US20080294531A1 (en) * | 2007-05-21 | 2008-11-27 | Shary Nassimi | Digital Audio and Audiovisual File System and Method |
US20090055288A1 (en) * | 2007-05-21 | 2009-02-26 | Shary Nassimi | Digital content file resale and purchase system and method |
US8056118B2 (en) | 2007-06-01 | 2011-11-08 | Piliouras Teresa C | Systems and methods for universal enhanced log-in, identity document verification, and dedicated survey participation |
US8893241B2 (en) | 2007-06-01 | 2014-11-18 | Albright Associates | Systems and methods for universal enhanced log-in, identity document verification and dedicated survey participation |
US8959584B2 (en) | 2007-06-01 | 2015-02-17 | Albright Associates | Systems and methods for universal enhanced log-in, identity document verification and dedicated survey participation |
US9398022B2 (en) | 2007-06-01 | 2016-07-19 | Teresa C. Piliouras | Systems and methods for universal enhanced log-in, identity document verification, and dedicated survey participation |
US8655961B2 (en) | 2007-07-18 | 2014-02-18 | Docusign, Inc. | Systems and methods for distributed electronic signature documents |
US8949706B2 (en) | 2007-07-18 | 2015-02-03 | Docusign, Inc. | Systems and methods for distributed electronic signature documents |
US8838965B2 (en) * | 2007-08-23 | 2014-09-16 | Barracuda Networks, Inc. | Secure remote support automation process |
KR20100009952A (ko) * | 2008-07-21 | 2010-01-29 | 삼성에스디아이 주식회사 | 플라즈마 표시 패널의 구동 방법, 및 이 방법을 채용한플라즈마 표시 장치 |
KR101499965B1 (ko) * | 2008-09-12 | 2015-03-06 | 에스케이커뮤니케이션즈 주식회사 | 티켓을 이용하여 보안 정보를 인증하고 보호하는 방법 |
US8031838B2 (en) | 2009-01-29 | 2011-10-04 | The Invention Science Fund I, Llc | Diagnostic delivery service |
US8130904B2 (en) | 2009-01-29 | 2012-03-06 | The Invention Science Fund I, Llc | Diagnostic delivery service |
JP5423280B2 (ja) * | 2009-09-25 | 2014-02-19 | ソニー株式会社 | 通信装置、通信方法、情報処理装置、情報処理方法、プログラム、および通信システム |
US9251131B2 (en) | 2010-05-04 | 2016-02-02 | Docusign, Inc. | Systems and methods for distributed electronic signature documents including version control |
WO2011156819A2 (en) * | 2010-06-11 | 2011-12-15 | Docusign, Inc. | Web-based electronically signed documents |
CN102800138B (zh) * | 2011-05-26 | 2016-01-13 | 中兴通讯股份有限公司 | 一种实现门禁控制的方法及装置 |
US9824198B2 (en) | 2011-07-14 | 2017-11-21 | Docusign, Inc. | System and method for identity and reputation score based on transaction history |
US9268758B2 (en) | 2011-07-14 | 2016-02-23 | Docusign, Inc. | Method for associating third party content with online document signing |
JP6100773B2 (ja) | 2011-07-14 | 2017-03-22 | ドキュサイン,インク. | コミュニティにおけるオンライン署名の身分証明及び照合 |
AU2012298605A1 (en) | 2011-08-25 | 2014-03-20 | Docusign, Inc. | Mobile solution for signing and retaining third-party documents |
US10511732B2 (en) | 2011-08-25 | 2019-12-17 | Docusign, Inc. | Mobile solution for importing and signing third-party electronic signature documents |
JP5485243B2 (ja) * | 2011-10-17 | 2014-05-07 | 富士通株式会社 | 自動取引装置及び自動取引システム |
US10484355B1 (en) | 2017-03-08 | 2019-11-19 | Amazon Technologies, Inc. | Detecting digital certificate expiration through request processing |
US9230130B2 (en) | 2012-03-22 | 2016-01-05 | Docusign, Inc. | System and method for rules-based control of custody of electronic signature transactions |
CN103258150B (zh) * | 2013-06-24 | 2016-02-10 | 北京深思数盾科技有限公司 | 一种本地和远程软件保护装置协同工作的系统 |
WO2015128895A1 (ja) * | 2014-02-26 | 2015-09-03 | 三菱電機株式会社 | 証明書管理装置、及び証明書管理方法 |
US9237151B2 (en) * | 2014-06-03 | 2016-01-12 | Lg Cns Co., Ltd. | Secure access system and operating method thereof |
US9875344B1 (en) * | 2014-09-05 | 2018-01-23 | Silver Peak Systems, Inc. | Dynamic monitoring and authorization of an optimization device |
US10373409B2 (en) | 2014-10-31 | 2019-08-06 | Intellicheck, Inc. | Identification scan in compliance with jurisdictional or other rules |
US10447683B1 (en) * | 2016-11-17 | 2019-10-15 | Amazon Technologies, Inc. | Zero-touch provisioning of IOT devices with multi-factor authentication |
US10615987B2 (en) * | 2017-03-08 | 2020-04-07 | Amazon Technologies, Inc. | Digital certificate usage monitoring systems |
US10516542B2 (en) | 2017-03-08 | 2019-12-24 | Amazon Technologies, Inc. | Digital certificate issuance and monitoring |
US11190504B1 (en) * | 2017-05-17 | 2021-11-30 | Amazon Technologies, Inc. | Certificate-based service authorization |
US11082430B1 (en) * | 2018-05-31 | 2021-08-03 | Amazon Technologies, Inc. | Device authorizations using certificates and service access policy templates |
DE102019209888A1 (de) * | 2019-07-04 | 2021-01-07 | BSH Hausgeräte GmbH | System und Verfahren zur Authentifizierung an einem Gerät |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10254909A (ja) * | 1997-03-12 | 1998-09-25 | Mitsubishi Corp | データ管理システム |
WO1999026188A1 (en) * | 1997-11-14 | 1999-05-27 | Digital Persona, Inc. | A remotely accessible private space using a fingerprint |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2698588B2 (ja) * | 1987-11-13 | 1998-01-19 | 株式会社東芝 | 携帯可能電子装置 |
US5229764A (en) * | 1991-06-20 | 1993-07-20 | Matchett Noel D | Continuous biometric authentication matrix |
US5412727A (en) * | 1994-01-14 | 1995-05-02 | Drexler Technology Corporation | Anti-fraud voter registration and voting system using a data card |
US5907149A (en) * | 1994-06-27 | 1999-05-25 | Polaroid Corporation | Identification card with delimited usage |
DE19528297A1 (de) * | 1995-08-02 | 1997-02-06 | Bayer Ag | Einheit aus Datenspeicherkarte und Schreib-/Lese-Gerät |
US5831547A (en) * | 1995-09-06 | 1998-11-03 | Nec Corporation | Wireless card system |
US6202151B1 (en) * | 1997-05-09 | 2001-03-13 | Gte Service Corporation | System and method for authenticating electronic transactions using biometric certificates |
US6310966B1 (en) * | 1997-05-09 | 2001-10-30 | Gte Service Corporation | Biometric certificates |
US6088802A (en) * | 1997-06-04 | 2000-07-11 | Spyrus, Inc. | Peripheral device with integrated security functionality |
US6424727B1 (en) * | 1998-11-25 | 2002-07-23 | Iridian Technologies, Inc. | System and method of animal identification and animal transaction authorization using iris patterns |
US6256737B1 (en) * | 1999-03-09 | 2001-07-03 | Bionetrix Systems Corporation | System, method and computer program product for allowing access to enterprise resources using biometric devices |
US6601046B1 (en) * | 1999-03-25 | 2003-07-29 | Koninklijke Philips Electronics N.V. | Usage dependent ticket to protect copy-protected material |
US6505193B1 (en) * | 1999-12-01 | 2003-01-07 | Iridian Technologies, Inc. | System and method of fast biometric database searching using digital certificates |
-
2000
- 2000-08-31 JP JP2000264520A patent/JP4654498B2/ja not_active Expired - Fee Related
-
2001
- 2001-08-30 US US09/943,893 patent/US7059516B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10254909A (ja) * | 1997-03-12 | 1998-09-25 | Mitsubishi Corp | データ管理システム |
WO1999026188A1 (en) * | 1997-11-14 | 1999-05-27 | Digital Persona, Inc. | A remotely accessible private space using a fingerprint |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220368684A1 (en) * | 2020-01-16 | 2022-11-17 | Zte Corporation | Method, Device, and System for Anchor Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications |
Also Published As
Publication number | Publication date |
---|---|
JP2002175279A (ja) | 2002-06-21 |
US20020056747A1 (en) | 2002-05-16 |
US7059516B2 (en) | 2006-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4654498B2 (ja) | 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 | |
JP4581200B2 (ja) | 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 | |
JP4626033B2 (ja) | 公開鍵証明書利用システム、公開鍵証明書利用方法、および情報処理装置、並びにプログラム提供媒体 | |
JP4552294B2 (ja) | コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体 | |
JP4655345B2 (ja) | 情報処理装置および情報処理方法、並びにプログラム提供媒体 | |
JP4556308B2 (ja) | コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体 | |
JP4660900B2 (ja) | 個人認証適用データ処理システム、個人認証適用データ処理方法、および情報処理装置、並びにプログラム提供媒体 | |
JP4586250B2 (ja) | 個人識別証明書リンクシステム、情報処理装置、および情報処理方法、並びにプログラム提供媒体 | |
JP4654497B2 (ja) | 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 | |
JP2002073568A (ja) | 個人認証システムおよび個人認証方法、並びにプログラム提供媒体 | |
US20080244269A1 (en) | Data processing system, memory device, data processing unit, and data processing method and program | |
JP2001256318A (ja) | コンテンツ取り引きシステムおよびコンテンツ取り引き方法、並びにプログラム提供媒体 | |
JP2002073571A (ja) | 個人認証システムおよび個人認証方法、並びにプログラム提供媒体 | |
JP2001256403A (ja) | コンテンツ利用料金管理システムおよびコンテンツ利用料金管理方法、並びにプログラム提供媒体 | |
JP2001256355A (ja) | コンテンツ利用管理システムおよびコンテンツ利用管理方法、並びにプログラム提供媒体 | |
JP2001256358A (ja) | コンテンツ二次配布管理システムおよびコンテンツ二次配布管理方法、並びにプログラム提供媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070130 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100713 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100903 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101124 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101207 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140107 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140107 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |