JP5282229B2 - サービス提供システム、改ざんチェック方法および改ざんチェックプログラム - Google Patents

サービス提供システム、改ざんチェック方法および改ざんチェックプログラム Download PDF

Info

Publication number
JP5282229B2
JP5282229B2 JP2009167678A JP2009167678A JP5282229B2 JP 5282229 B2 JP5282229 B2 JP 5282229B2 JP 2009167678 A JP2009167678 A JP 2009167678A JP 2009167678 A JP2009167678 A JP 2009167678A JP 5282229 B2 JP5282229 B2 JP 5282229B2
Authority
JP
Japan
Prior art keywords
user
service providing
server
post office
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009167678A
Other languages
English (en)
Other versions
JP2011022825A (ja
Inventor
柏木  巧
浩正 川村
栄一 庭野
益義 谷内田
永昭 大山
高史 小尾
祐次 本間
中淳 李
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Tokyo Institute of Technology NUC
Original Assignee
Nippon Telegraph and Telephone Corp
Tokyo Institute of Technology NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Tokyo Institute of Technology NUC filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009167678A priority Critical patent/JP5282229B2/ja
Publication of JP2011022825A publication Critical patent/JP2011022825A/ja
Application granted granted Critical
Publication of JP5282229B2 publication Critical patent/JP5282229B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、サービス提供システム、改ざんチェック方法および改ざんチェックプログラムに関する。
従来、利用者がサービス提供者のサービス提供サーバにアクセスする場合、図6に示すように、利用者側の利用者端末から当該サービス提供サーバにおける提供者管理IDとパスワードとにより、本人認証を行った後、サービス提供サーバに直接アクセスすることが一般的であった。
図6は、従来のサービス提供システムにおけるサービス提供動作を説明するためのシステム構成図であり、利用者Aは、利用者A本人用の端末T1を利用して、サービス提供者が運営するサービス提供サーバS1に対して処理要求を送信する際のサービス提供サーバ側の動作を示している。ここで、サービス提供サーバS1とは、例えば、非特許文献1に記載のように、社会保険庁が運営する「年金個人情報提供サービス」の「年金加入記録照会」用のサービスを提供しているサーバ等が相当している。
図6において、サービス提供サーバS1には、端末T1と通信を行う通信手段S11、通信相手の本人認証を行う本人認証手段S12、通信相手からの処理要求を受け付ける処理要求受付手段S13、受け付けた処理要求に応じた処理を行う情報処理手段S14が備えられている。本人認証手段S12に備えたサービス用本人認証テーブルS12aには、利用者ごとに本人認証用の提供者管理IDとパスワードとがあらかじめ設定登録されており、端末T1からの処理要求を受信した際に、本人認証手段S12は、該処理要求に付されている提供者管理IDとパスワードとの組合せが、サービス用本人認証テーブルS12aに登録されているか否かを検索することにより、正当な利用者からの処理要求であるか否かを検証する。
本人認証手段S12による認証が得られた場合には、受け付けた処理要求に関する処理を情報処理手段S14において実施する。
社会保険庁ホームページ"年金個人情報提供サービス−年金加入記録照会",URL:https://www3.idpass-net.sia.go.jp/neko/action/z0401、2009.04
しかしながら、前述したようなサービス提供サーバへのアクセス方法においては、サービス提供サーバにおける提供者管理IDとパスワード等の認証情報が第三者に盗まれた場合、第三者が利用者本人に成りすましてサービス提供サーバにアクセスし、利用者本人にとって不利益となるようなデータの書換えや消去などが行われる場合が発生する。
つまり、前述のようなアクセス制御方法では、サービス提供サーバでは提供者管理IDとパスワード等の認証情報のみによって、真の利用者本人か否かを確認しているだけであるため、サービス提供サーバは、真の利用者本人がアクセスしているのか、あるいは、第三者が利用者本人への成りすましによりアクセスしているのか、ということを判別することができないという問題があった。
本発明は、かかる問題に鑑みてなされたものであり、本発明が解決しようとする課題は、第三者が利用者本人に成りすまして当該利用者本人のデータを改ざんすることを容易にチェックすることが可能なサービス提供システム、改ざんチェック方法および改ざんチェックプログラムを提供することにある。
本発明は、前述の課題を解決するために、以下のごとき各技術手段から構成されている。
第1の技術手段は、利用者本人のデータに関する処理要求を当該利用者本人の利用者端末から電子私書箱サーバに送信し、該電子私書箱サーバが該処理要求を当該利用者本人のデータを保存しているサービス提供サーバに送信することにより、該サービス提供サーバにおいて当該利用者本人のデータに関して該処理要求に応じた情報処理を実行して、情報処理結果として、前記電子私書箱サーバを介して、前記処理要求の送信元の前記利用者端末に返送するサービス提供システムであって、前記電子私書箱サーバは、前記利用者端末から送信されてきた前記処理要求と前記サービス提供サーバから返送されてくる前記情報処理結果とを関連付けて、アクセス履歴として記録する履歴情報保存手段を備え、利用者本人の前記利用者端末から当該利用者本人のデータの改ざんの有無を確認する情報参照要求が、前記電子私書箱サーバに送信されてきた場合、前記電子私書箱サーバは、前記サービス提供サーバに該情報参照要求を送信することにより、前記サービス提供サーバに保存されている当該利用者本人のデータおよび該データに対するアクセス履歴を情報参照結果として返送させて、返送されてきた該情報参照結果に含まれる利用者本人に関するデータ内容を前記履歴情報保存手段に記録されている前記アクセス履歴として保存されている利用者本人に関するデータの処理結果と比較することにより、前記サービス提供サーバに保存されている当該利用者本人のデータの改ざんの有無をチェックし、チェック結果を、前記情報参照要求の送信元の前記利用者端末に返送することを特徴とする。
第2の技術手段は、前記第1の技術手段に記載のサービス提供システムにおいて、利用者本人が使用する前記利用者端末と前記電子私書箱サーバとの間の通信開始時に、前記利用者端末と前記電子私書箱サーバとの間で、PKI(Personal Key Infrastructure)認証方式による相互認証を実施することを特徴とする。
第3の技術手段は、前記第2の技術手段に記載のサービス提供システムにおいて、利用者本人の公開鍵証明書および秘密鍵を記録したICカードを当該利用者が前記利用者端末に装着することにより、前記利用者端末は、前記電子私書箱サーバとの間の相互認証を実施することを特徴とする。
第4の技術手段は、前記第1ないし第3の技術手段のいずれかに記載のサービス提供システムにおいて、前記サービス提供サーバは、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求に付されている利用者本人を特定するための利用者IDとして当該サービス提供サーバが付与している提供者管理IDおよびそのパスワードに基づいて、本人認証を行うか、あるいは、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求の送受信時に、当該電子私書箱サーバとの間で相互認証を行うとともに、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求に付されている前記提供者管理IDにより利用者本人を識別することを特徴とする。
第5の技術手段は、前記第1ないし第4の技術手段のいずれかに記載のサービス提供システムにおいて、前記サービス提供システムは、前記情報処理結果および/または前記情報参照結果に当該サービス提供サーバの署名を付して前記電子私書箱サーバへ返送し、前記電子私書箱サーバは、署名付きの前記情報処理結果および/または前記情報参照結果を受信した際に、該署名を検証することを特徴とする。
第6の技術手段は、利用者本人のデータに関する処理要求を当該利用者本人の利用者端末から電子私書箱サーバに送信し、該電子私書箱サーバが該処理要求を当該利用者本人のデータを保存しているサービス提供サーバに送信することにより、該サービス提供サーバにおいて当該利用者本人のデータに関して該処理要求に応じた情報処理を実行して、情報処理結果として、前記電子私書箱サーバを介して、前記処理要求の送信元の前記利用者端末に返送する場合における前記サービス提供サーバに保存されている利用者本人のデータの改ざんをチェックする改ざんチェック方法であって、前記電子私書箱サーバは、前記利用者端末から送信されてきた前記処理要求と前記サービス提供サーバから返送されてくる前記情報処理結果とを関連付けて、アクセス履歴として記録し、利用者本人の前記利用者端末から当該利用者本人のデータの改ざんの有無を確認する情報参照要求が、前記電子私書箱サーバに送信されてきた場合、前記電子私書箱サーバは、前記サービス提供サーバに該情報参照要求を送信することにより、前記サービス提供サーバに保存されている当該利用者本人のデータおよび該データに対するアクセス履歴を情報参照結果として返送させて、返送されてきた該情報参照結果に含まれる利用者本人に関するデータ内容を当該電子私書箱サーバに記録されている前記アクセス履歴として保存されている利用者本人に関するデータの処理結果と比較することにより、前記サービス提供サーバに保存されている当該利用者本人のデータの改ざんの有無をチェックし、チェック結果を、前記情報参照要求の送信元の前記利用者端末に返送することを特徴とする。
第7の技術手段は、前記第6の技術手段に記載の改ざんチェック方法において、利用者本人が使用する前記利用者端末と前記電子私書箱サーバとの間の通信開始時に、前記利用者端末と前記電子私書箱サーバとの間で、PKI(Personal Key Infrastructure)認証方式による相互認証を実施することを特徴とする。
第8の技術手段は、前記第7の技術手段に記載の改ざんチェック方法において、利用者本人の公開鍵証明書および秘密鍵を記録したICカードを当該利用者が前記利用者端末に装着することにより、前記利用者端末は、前記電子私書箱サーバとの間の相互認証を実施することを特徴とする。
第9の技術手段は、前記第6ないし第8の技術手段のいずれかに記載の改ざんチェック方法において、前記サービス提供サーバは、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求に付されている利用者本人を特定するための利用者IDとして当該サービス提供サーバが付与している提供者管理IDおよびそのパスワードに基づいて、本人認証を行うか、あるいは、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求の送受信時に、当該電子私書箱サーバとの間で相互認証を行うとともに、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求に付されている前記提供者管理IDにより利用者本人を識別することを特徴とする。
第10の技術手段は、前記第6ないし第9の技術手段のいずれかに記載の改ざんチェック方法を、コンピュータによって実行可能なプログラムとして実施している改ざんチェックプログラムとすることを特徴とする。
本発明のサービス提供システム、改ざんチェック方法および改ざんチェックプログラムによれば、利用者本人の利用者端末からのサービス提供サーバのデータに対する処理要求および該サービス提供サーバから該利用者端末に返送する情報処理結果を必ず利用者本人用の電子私書箱サーバを経由させるとともに、電子私書箱サーバ側に、前記処理要求と前記情報処理結果とを関連付けてアクセス履歴として記録保存し、任意の時点で、該アクセス履歴とサービス提供サーバに保存されている利用者本人のデータとを比較して改ざんの有無をチェックする仕組みを備えるようにしているので、以下のごとき効果を奏することができる。
第1に、電子私書箱サーバに備えた前述のような改ざんの有無をチェックする仕組みを利用することにより、サービス提供サーバにおける利用者本人のIDおよびパスワードを、利用者本人から教示された代理人または不法に取得した第三者が、当該サービス提供サーバにアクセスして、利用者本人の契約情報等のデータを不正に書き換えたりしたとしても、利用者本人は、電子私書箱サーバに情報参照要求を送信するだけで、電子私書箱サーバにアクセス履歴として記録保存されている履歴情報を参照して、サービス提供サーバの利用者本人のデータと比較して、改ざんの有無を通知してもらうことができるので、改ざんされたことを容易に確認することができる。
第2に、個人に関わる情報を取り扱うサービス提供サーバでは、一般に、誰がどの情報にアクセスしたかの履歴を収集する機能を備えていることから、既存のサービス提供サーバに新たな機能を追加することなく、そのままの状態で、電子私書箱サーバに備えた前述のような改ざんの有無をチェックする仕組みを利用することにより、サービス提供サーバに保存されているデータに改ざんが発生しているか否かをチェックすることができる。
第3に、サービス提供サーバが、利用者本人の利用者IDおよびパスワードといった簡単な本人認証方式を採用していても、利用者本人が使用する利用者端末と電子私書箱サーバとの間にPKI認証方式などを利用した強固な相互認証方式を採用することにより、相互認証用の情報を有していない第三者等は、電子私書箱サーバ経由でサービス提供サーバにアクセスすることができないので、電子私書箱サーバにサービス提供サーバへのアクセス履歴として保存されている履歴情報が不正に改ざんされることがない。すなわち、サービス提供サーバのセキュリティの高低の如何に依存することなく、安全に、アクセス履歴を管理することができ、より確実に、サービス提供サーバのデータに関する改ざんチェックを行うことができる。
第4に、サービス提供サーバにおいてデータ管理ミス等が生じて、データが改ざんされたとしても、電子私書箱サーバにアクセス履歴として記録保存されている履歴情報を参照して、改ざんの有無をチェックすることができる。
本発明に係るサービス提供システムのシステム構成の一例を示す構成図である。 図1に示すサービス提供システムにおいて利用者からの処理要求に応じて情報処理を行う動作の一例を示すシーケンスチャートである。 図1に示すサービス提供システムにおいて利用者からの情報参照要求に応じて改ざんチェック処理を行う動作の一例を示すシーケンスチャートである。 図1に示すサービス提供システムにおいて利用者からの処理要求に応じて情報処理を行う動作の他の例を示すシーケンスチャートである。 図1に示すサービス提供システムにおいて利用者からの情報参照要求に応じて改ざんチェック処理を行う動作の他の例を示すシーケンスチャートである。 従来のサービス提供システムにおけるサービス提供動作を説明するためのシステム構成図である。
以下に、本発明に係るサービス提供システム、改ざんチェック方法および改ざんチェックプログラムの好適な実施形態について、その一例を、図面を参照しながら詳細に説明する。なお、以下の説明においては、本発明によるサービス提供システムおよび改ざんチェック方法について説明するが、かかる改ざんチェック方法をコンピュータにより実行可能な改ざんチェックプログラムとして実施するようにしても良いし、さらに、かかる改ざんチェックプログラムをコンピュータにより読み取り可能な記録媒体に記録するようにしても良いことは言うまでもない。
(本発明の特徴)
本発明の実施形態の説明に先立って、本発明の特徴についてその概要をまず説明する。本発明は、利用者本人がサービス提供サーバに当該利用者本人のデータに関する処理要求を行う際に、必ず、電子私書箱サーバを経由して処理要求を行うようにするとともに、当該処理要求を受け付けた電子私書箱サーバに、当該処理要求(利用者本人のデータの追加や変更や削除等の処理をサービス提供サーバに要求した内容)および情報処理結果(サービス提供サーバにおいて処理要求が正常に実施されたか否かを示す情報)をサービス提供サーバへのアクセス履歴として記録し保存することにより、第三者がサービス提供サーバ上の当該利用者本人のデータを不正に改ざんした場合に、その改ざんのチェックを可能とすることにより、第三者によるデータの改ざんの発生を防止可能とすることを主要な特徴としている。
つまり、本発明は、利用者が利用者端末からサービス提供サーバに処理要求を行う場合は、当該利用者用の電子私書箱サーバを必ず経由し、かつ、サービス提供サーバにおいて該処理要求に応じて実施した情報処理の結果を必ず当該電子私書箱サーバを経由して利用者端末に返送することにより、電子私書箱サーバに当該利用者端末からサービス提供サーバへのすべてのアクセス履歴(当該利用者端末からの処理要求とサービス提供サーバにおける情報処理結果)を保存している。ここで、利用者端末と電子私書箱サーバとの間は、PKI(Public Key Infrastructure)認証方式を用いた強固な相互認証処理が適用されており、第三者が利用者本人に成りすまして、利用者端末から電子私書箱サーバにアクセスしようとしても、アクセスすることができない。
したがって、第三者へサービス提供サーバにおける利用者の提供者管理IDとパスワード等の認証情報とが漏洩し、第三者がサービス提供サーバ側へのアクセスに必要となる当該利用者の提供者管理ID(サービス提供サーバで使用する利用者ID)とパスワード等の認証情報とを用いて、サービス提供サーバに直接アクセスして、当該利用者のデータを改ざんする事態が発生した場合であっても、電子私書箱サーバには、第三者により改ざんされていない、利用者本人の処理要求と情報処理結果とがアクセス履歴として記録・保存されているので、電子私書箱サーバ内のアクセス履歴として記録・保存されている利用者のデータとサービス提供サーバの利用者のデータおよび該データに対するアクセス履歴とを比較することにより、当該利用者のデータの改ざんを容易にチェックすることができる。
(本発明のシステム構成例)
次に、本発明に係るサービス提供システムの実施形態について説明する。まず、本発明に係るサービス提供システムのシステム構成例について説明する。
図1は、本発明に係るサービス提供システムのシステム構成の一例を示す構成図であり、利用者A本人が使用する利用者端末である利用者A本人用端末T1、利用者A側のポータルサイト等に設置された利用者A本人用の電子私書箱サーバP1、サービス提供者1用のサービス提供サーバS1、サービス提供者2用のサービス提供サーバS2、サービス提供者3用のサービス提供サーバS3等が、ネットワークを介して互いに接続されている。
(利用者端末)
利用者A本人用端末T1は、利用者A本人が使用する利用者端末であり、利用者Aからサービス提供サーバS1,S2,S3に保存されている当該利用者A本人のデータに関する指定した処理要求を受け取った際に、利用者A本人用の電子私書箱サーバP1に対して、利用者A本人のデータに関する処理要求を送信し、電子私書箱サーバP1から返送されてくる情報処理結果を受信して利用者A本人に提示する端末である。
ここで、利用者A本人用端末T1は、当該利用者Aが所持するICカードC1を装着して、該ICカードC1に記録されている利用者Aの公開鍵証明書および秘密鍵と利用者Aの私書箱管理ID(つまり電子私書箱サーバP1における利用者Aの識別用ID:“ID−A”)とを読み取ることにより、電子私書箱サーバP1との通信が可能になる。なお、電子私書箱サーバP1との通信開始時に、電子私書箱サーバP1との間で、利用者Aの公開鍵証明書および秘密鍵を用いてPKI(Public Key Infrastructure)認証方式による強固な相互認証を行う。而して、ICカードC1を所持する利用者A本人のみが、利用者A本人用端末T1から、電子私書箱サーバP1に対してアクセスすることができる。
(電子私書箱サーバ)
電子私書箱サーバP1は、利用者A本人が使用する利用者端末つまり利用者A本人用端末T1からのサービス提供サーバS1,S2,S3に対する処理要求を受け付けて、アクセス履歴として記録保存するとともに、該処理要求にて指定されたサービス提供サーバ例えばサービス提供サーバS1に該処理要求を転送し、しかる後、該サービス提供サーバ例えばサービス提供サーバS1における情報処理結果を受け取って、前記処理要求と関連付けて、前記アクセス記録として記録保存するとともに、該情報処理結果を要求元の利用者端末つまり利用者A本人用端末T1に返送する。
このため、電子私書箱サーバP1は、図1に示すように、利用者端末つまり利用者A本人用端末T1と通信を行う通信手段P11a、サービス提供サーバS1,S2,S3と通信を行う通信手段P11b、通信開始時に利用者A本人用端末T1との間で相互認証を行う認証手段P12、利用者A本人用端末T1からの処理要求を通信手段P11aを介して受け付ける処理要求受付手段P13、サービス提供サーバS1,S2,S3へ通信手段P11bを介して処理要求を送信したり、サービス提供サーバS1,S2,S3からの情報処理結果を要求元の利用者A本人用端末T1へ返送したりする処理を行う処理要求手段P14を備えている。
なお、認証手段P12は、利用者A本人用端末T1との間の相互認証を行うために使用する電子私書箱公開鍵証明書および秘密鍵と、利用者A本人用端末T1の利用者Aの電子私書箱サーバP1用の利用者ID(私書箱管理ID)“ID−A”とを少なくとも登録している私書箱情報テーブルP12aを備えている。
さらに、電子私書箱サーバP1は、処理要求手段P14が扱っている処理要求(利用者A本人のデータの追加や変更や削除等の処理をサービス提供サーバS1,S2,S3に要求した処理内容)と情報処理結果(サービス提供サーバS1,S2,S3において処理要求が正常に実施されたか否かを示す情報)とをアクセス履歴として記録保存する履歴情報保存手段P15、任意の時点で、利用者A本人用端末T1からの情報参照要求を受け取った際に、履歴情報保存手段P15に記録保存されている利用者A本人のアクセス履歴とサービス提供サーバS1,S2,S3から転送されてきた利用者A本人のデータとを利用者情報チェック手段P18に転送し、利用者情報チェック手段P18からのチェック結果を情報参照結果として利用者A本人用端末T1へ提供する情報提供手段P16を備えている。
さらに、電子私書箱サーバP1は、サービス提供サーバS1,S2,S3への処理要求に付す提供者管理IDとパスワードとを認証情報として保存する認証情報保存手段P17、履歴情報保存手段P15に記録保存されている利用者A本人のアクセス履歴とサービス提供サーバS1,S2,S3から受け取った利用者A本人のデータとを比較することにより、サービス提供サーバS1,S2,S3の利用者A本人のデータの改ざんの有無をチェックする利用者情報チェック手段P18、サービス提供サーバS1,S2,S3との通信開始時にサービス提供サーバS1,S2,S3との間で相互認証を行う相互認証手段P19a、サービス提供サーバS1,S2,S3からの情報に付与された署名を検証するための署名検証手段P19bを備えている。
ここで、認証情報保存手段P17は、サービス提供サーバS1,S2,S3に処理要求を行う利用者本人を認証するために必要な情報として、各サービス提供サーバS1,S2,S3それぞれにおいて利用者本人を特定するための提供者管理ID(利用者ID)とその認証情報であるパスワードとの組合せを保存している。
なお、相互認証手段P19aは、サービス提供サーバS1,S2,S3との間で相互認証を行う場合に備えられ、相互認証を行わない場合には削除される。また、署名検証手段P19bは、サービス提供サーバS1,S2,S3から送信されてくる情報にサービス提供サーバS1,S2,S3の署名が付与される場合には、該署名を検証するために備えられ、署名が付与されない場合には削除される。
(各サービス提供サーバ)
また、各サービス提供者1,2,3,…それぞれが運営するサービス提供サーバS1,S2,S3,…等のサービス提供サーバは、当該サービス提供者が提供するサービスを利用する利用者に関するデータを保存している。
そして、利用者A本人用の電子私書箱サーバP1から利用者A本人のデータに関する処理要求を受信し、該処理要求に指定されている利用者A本人に関するデータを処理して、情報処理結果として要求元の電子私書箱サーバP1に返送する。
また、処理要求を受信した際に、該処理要求の送信元の電子私書箱サーバP1との間で相互認証を行い、相互認証結果として正当な電子私書箱サーバP1からの処理要求であるものと判定した場合に、該処理要求を受け付けるように動作することも可能である。
このため、各サービス提供サーバ例えばサービス提供サーバS1は、電子私書箱サーバP1と通信を行う通信手段S11、電子私書箱サーバP1を介して送信されてくる処理要求に付されている認証情報(提供者管理IDおよびパスワード)に基づいて、該処理要求の利用者A本人を認証する本人認証手段S12、電子私書箱サーバP1を介して送信されてくる利用者A本人用端末T1からの処理要求を受け付ける処理要求受付手段S13、処理要求に応じた利用者A本人のデータを処理する情報処理手段S14、処理要求の送信元の電子私書箱サーバP1との間で相互認証を行う相互認証手段S15、電子私書箱サーバP1へ送信する情報に署名を付与する署名付与手段S16を少なくとも備えている。
ここで、情報処理手段S14は、利用者A本人のデータに対して何らかのアクセスがあった場合には、アクセス履歴を記録する手段を有している。また、本人認証手段S12は、処理要求を送信した利用者A本人を認証するために必要な情報としてサービス用本人認証テーブルS12aを備えており、本人を特定するための提供者管理IDとそのパスワードとの組合せを保存している。
また、相互認証手段S15は、電子私書箱サーバP1との間で相互認証を行う場合に備えられ、相互認証を行わない場合には削除される。また、署名付与手段S16は、電子私書箱サーバP1へ送信する情報にサービス提供サーバS1の署名を付与する場合には備えられ、署名を付与しない場合には削除される。
なお、図1に図示しているように、サービス提供サーバS2、サービス提供サーバS3の各サービス提供サーバについても、サービス提供サーバS1の場合と全く同様の構成からなっているが、以下の動作説明には必要がないので、ここでの詳細な説明は省略する。
(本発明に係るサービス提供システムの動作例)
次に、図1に示したシステム提供システムの動作の一例について、図2ないし図5に示すシーケンスチャートを用いて説明する。なお、以下の説明においては、利用者Aの利用者端末つまり利用者A本人用端末T1から、サービス提供サーバS1,S2,S3のうち、サービス提供サーバS1に対して処理要求が送信され、サービス提供サーバS1において情報処理された結果が情報処理結果として利用者A本人用端末T1に返送されてくる場合について説明する。ここに、図2ないし図5に示す各シーケンスチャートは、本発明に係るサービス提供方法の一例を示すものでもある。
図2は、図1に示すサービス提供システムにおいて利用者からの処理要求に応じて情報処理を行う動作の一例を示すシーケンスチャートであり、サービス提供サーバS1が、提供者管理ID(利用者ID)とパスワードとを利用して本人認証を行うことにより、利用者からの処理要求に応じた情報処理を行う動作の一例を示している。
また、図3は、図1に示すサービス提供システムにおいて利用者からの情報参照要求に応じて改ざんチェック処理を行う動作の一例を示すシーケンスチャートであり、提供者管理IDとパスワードとを利用して本人認証を行うことにより、サービス提供サーバS1が、処理要求に応じた情報処理を行った場合の情報処理結果に関する改ざんの有無を、電子私書箱サーバP1においてチェックする動作の一例を示している。
また、図4は、図1に示すサービス提供システムにおいて利用者からの処理要求に応じて情報処理を行う動作の他の例を示すシーケンスチャートであり、電子私書箱サーバP1とサービス提供サーバS1との間で本人認証の代わりに相互認証を行うとともに、サービス提供サーバS1が、提供者管理ID(利用者ID)を利用した本人識別を行うことにより、処理要求に応じた情報処理を行う動作の一例を示している。
また、図5は、図1に示すサービス提供システムにおいて利用者からの情報参照要求に応じて改ざんチェック処理を行う動作の他の例を示すシーケンスチャートであり、電子私書箱サーバP1とサービス提供サーバS1との間で本人認証の代わりに相互認証を行うとともに、サービス提供サーバS1が、提供者管理ID(利用者ID)を利用した本人識別を行うことにより、処理要求に応じた情報処理を行った場合の情報処理結果に関する改ざんの有無を、電子私書箱サーバP1においてチェックする動作の一例を示している。
(提供者管理ID(利用者ID)とパスワードとを利用する本人認証を行う場合の動作シーケンス例)
まず、図2のシーケンスチャートを用いて、サービス提供サーバS1が、電子私書箱サーバP1からの提供者管理ID(利用者ID)とパスワードとを利用して本人認証を行うことにより、処理要求に応じた情報処理を行う場合の動作の一例について説明する。
図2において、利用者Aからサービス提供者1のサービス提供サーバS1に対する利用者A本人のデータに関する処理要求が利用者A本人用端末T1に入力されると(シーケンスSeq1)、利用者A本人用端末T1は、サービス提供サーバS1に、直接、入力された処理要求を送信することはしないで、当該利用者A本人用の電子私書箱サーバP1に対して、利用者Aから入力された処理要求を送信する(シーケンスSeq2)。該処理要求を通信手段P11aを介して処理要求受付手段P13により受信した電子私書箱サーバP1は、認証手段P12を起動して、送信元の利用者A本人用端末T1に対して、私書箱管理IDを記録しているICカードC1の装着を指示するとともに、本人認証情報の入力を指示する認証要求を送信する(シーケンスSeq3)。
該認証要求を受信した利用者A本人用端末T1は、指示に従って、利用者Aの私書箱管理ID“ID−A”、公開鍵証明書および秘密鍵を少なくとも記録しているICカードC1の装着を促す案内を利用者Aに対して行うことにより、ICカードC1を装着させて(シーケンスSeq4)、ICカードC1に記録されている私書箱管理ID“ID−A”、公開鍵証明書および秘密鍵を読み取るとともに、利用者A本人の認証情報の入力を促す。利用者A本人の認証情報としては、例えば、指紋等のバイオメトリクス情報やパスワード等である。利用者A本人は、当該利用者A本人の認証情報(バイオメトリクス情報やパスワード等)を入力する(シーケンスSeq5)。
利用者A本人用端末T1は、入力された利用者A本人の認証情報の検証を行い、正当な利用者A本人であることを確認すると、利用者A本人用端末T1は、認証要求の送信元の電子私書箱サーバP1との間で、公開鍵証明書、秘密鍵を用いたPKI(Public Key Infrastructure、公開鍵基盤)認証方式による強固な相互認証処理を行うとともに、電子私書箱サーバP1に対して、利用者A本人の私書箱管理ID“ID−A”を送信する(シーケンスSeq6)。
利用者A本人の私書箱管理ID“ID−A”を受信した電子私書箱サーバP1は、処理要求手段P14を起動して、認証情報保存手段P17に保存されている認証情報の中から、私書箱管理ID“ID−A”の利用者に関する本人認証用の情報を検索する。次いで、検索した“ID−A”の利用者に関する本人認証用の情報の中から、先に受信した処理要求に指定されているサービス提供者のサービス提供サーバ例えばサービス提供者1のサービス提供サーバS1にアクセスするための提供者管理IDおよび認証情報(パスワード等)例えば提供者管理ID“ID1−02”およびパスワード“1234”を抽出して、該処理要求に付して、通信手段P11bにより、サービス提供サーバ例えばサービス提供サーバS1に送信する(シーケンスSeq7)。
提供者管理ID“ID1−02”およびパスワード“1234”が付された電子私書箱サーバP1からの処理要求を通信手段S11を介して処理要求受付手段S13により受信したサービス提供サーバS1は、本人認証手段S12を起動して、該処理要求に付されている提供者管理ID“ID1−02”およびパスワード“1234”が、サービス用本人認証テーブルS12aに登録されているか否かを確認することにより、利用者Aの本人認証を行う。
本人認証手段S12による利用者A本人の認証が得られた場合は、処理要求受付手段S13は、情報処理手段S14を起動して、受信した処理要求に応じて、利用者A本人のデータに関する処理を実施し、該データの情報処理結果を作成する。ここで、情報処理手段S14によって実施される処理としては、利用者A本人に関するデータの追加、変更、削除、読出し、および、アクセス履歴の記録等である。
情報処理手段S14により作成された情報処理結果を受け取った処理要求受付手段S13は、署名付与手段S16を起動して、情報処理結果に対してサービス提供サーバS1用の署名を付与して、電子私書箱サーバP1に対して、書名付きの情報処理結果を返送する(シーケンスSeq8)。
なお、場合によっては、サービス提供サーバS1から電子私書箱サーバP1に送信する情報処理結果にサービス提供サーバS1用の署名を付与しないようにしても良い。かかる場合は、サービス提供サーバS1には、署名付与手段S16を備える必要はない。
サービス提供サーバS1から署名付きの情報処理結果を通信手段P11bを介して処理要求手段P14により受信した電子私書箱サーバP1は、署名検証手段P19bを起動して、当該情報処理結果の署名を検証する。しかる後、履歴情報保存手段P15に当該情報処理結果を処理要求と関連付けてアクセス履歴として記録保存する。
さらに、処理要求手段P14は、当該情報処理結果を、通信手段P11aにより、処理要求の送信元の利用者A本人用端末T1へ返送する(シーケンスSeq9)。
電子私書箱サーバP1から送信されてきた情報処理結果を受信した利用者A本人用端末T1は、受信した情報処理結果を表示して、利用者A本人に提示する。
次に、図3のシーケンスチャートを用いて、サービス提供サーバS1が、電子私書箱サーバP1からの提供者管理ID(利用者ID)とパスワードとを利用して本人認証を行うことにより、処理要求に応じた情報処理を行った場合の情報処理結果に関する改ざんの有無を、電子私書箱サーバP1においてチェックする動作の一例について説明する。
図3において、利用者Aからサービス提供者1のサービス提供サーバS1における利用者A本人のデータに関する情報参照要求が利用者A本人用端末T1に入力されると(シーケンスSeq11)、利用者A本人用端末T1は、サービス提供サーバS1に、直接、入力された処理要求を送信することはしないで、当該利用者A本人用の電子私書箱サーバP1に対して、利用者Aから入力された情報参照要求を送信する(シーケンスSeq12)。該情報参照要求を通信手段P11aを介して情報提供手段P16により受信した電子私書箱サーバP1は、図2の場合と同様、認証手段P12を起動して、送信元の利用者A本人用端末T1に対して、私書箱管理IDを記録しているICカードC1の装着を指示するとともに、本人認証情報の入力を指示する認証要求を送信する(シーケンスSeq13)。
該認証要求を受信した利用者A本人用端末T1は、図2の場合と同様、指示に従って、利用者Aの私書箱管理ID“ID−A”、公開鍵証明書および秘密鍵を少なくとも記録しているICカードC1の装着を促す案内を利用者Aに対して行うことにより、ICカードC1を装着させて(シーケンスSeq14)、ICカードC1に記録されている私書箱管理ID“ID−A”、公開鍵証明書および秘密鍵を読み取るとともに、利用者A本人の認証情報の入力を促す。利用者A本人の認証情報としては、例えば、指紋等のバイオメトリクス情報やパスワード等である。利用者A本人は、当該利用者A本人の認証情報(バイオメトリクス情報やパスワード等)を入力する(シーケンスSeq15)。
利用者A本人用端末T1は、図2の場合と同様、入力された利用者A本人の認証情報の検証を行い、正当な利用者A本人であることを確認すると、利用者A本人用端末T1は、認証要求の送信元の電子私書箱サーバP1との間で、公開鍵証明書、秘密鍵を用いたPKI認証方式による強固な相互認証処理を行うとともに、電子私書箱サーバP1に対して、利用者A本人の私書箱管理ID“ID−A”を送信する(シーケンスSeq16)。
利用者A本人の私書箱管理ID“ID−A”を受信した電子私書箱サーバP1は、情報提供手段P16を起動して、図2の場合と同様、認証情報保存手段P17に保存されている認証情報の中から、私書箱管理ID“ID−A”の利用者に関する本人認証用の情報を検索する。次いで、検索した“ID−A”の利用者に関する本人認証用の情報の中から、先に受信した情報参照要求に指定されているサービス提供者のサービス提供サーバ例えばサービス提供者1のサービス提供サーバS1にアクセスするための提供者管理IDおよび認証情報(パスワード等)例えば提供者管理ID“ID1−02”およびパスワード“1234”を抽出して、該情報参照要求に付して、通信手段P11bにより、サービス提供サーバ例えばサービス提供サーバS1に送信する(シーケンスSeq17)。
提供者管理ID“ID1−02”およびパスワード“1234”が付された電子私書箱サーバP1からの情報参照要求を通信手段S11を介して処理要求受付手段S13により受信したサービス提供サーバS1は、本人認証手段S12を起動して、該情報参照要求に付されている提供者管理ID“ID1−02”およびパスワード“1234”が、サービス用本人認証テーブルS12aに登録されているか否かを確認することにより、利用者Aの本人認証を行う。
本人認証手段S12による利用者A本人の認証が得られた場合は、処理要求受付手段S13は、情報処理手段S14を起動して、受信した情報参照要求に応じて、該当する利用者A本人のデータを読み出して、読み出したデータを含む情報参照結果を作成する。ここで、情報処理手段S14によって実施される処理としては、利用者A本人に関するデータの読出し、および、アクセス履歴の読み出し等である。なお、サービス提供サーバの運用者等により、利用者A本人に関するデータの更新が行われていない場合には、アクセス履歴の読み出し、および、該アクセス履歴の情報参照結果への添付は不要である。
情報処理手段S14により作成された情報参照結果を受け取った処理要求受付手段S13は、署名付与手段S16を起動して、情報参照結果に対してサービス提供サーバS1用の署名を付与して、電子私書箱サーバP1に対して、書名付きの情報参照結果を返送する(シーケンスSeq18)。
なお、場合によっては、サービス提供サーバS1から電子私書箱サーバP1に送信する情報参照結果にサービス提供サーバS1用の署名を付与しないようにしても良い。かかる場合は、サービス提供サーバS1には、署名付与手段S16を備える必要はない。
サービス提供サーバS1から署名付きの情報参照結果を通信手段P11bを介して情報提供手段P16により受信した電子私書箱サーバP1は、署名検証手段P19bを起動して、当該情報参照結果の署名を検証する。しかる後、利用者情報チェック手段P18を起動して、当該情報参照結果に含まれている利用者A本人に関するデータ内容と履歴情報保存手段P15にアクセス履歴として記録保存されている当該利用者A本人に関するデータの処理結果との比較を行い、利用者A本人に関するデータの改ざんの有無をチェックし、改ざんチェック結果として情報提供手段P16に通知する。
改ざんチェック結果を受け取った情報提供手段P16は、当該改ざんチェック結果を、通信手段P11aにより、情報参照要求の送信元の利用者A本人用端末T1へ返送する(シーケンスSeq19)。
電子私書箱サーバP1から送信されてきた改ざんチェック結果を受信した利用者A本人用端末T1は、受信した改ざんチェック結果を表示して、利用者A本人に提示する。
(相互認証と提供者管理IDを利用した本人識別とを行う場合の動作シーケンス例)
次に、図4のシーケンスチャートを用いて、電子私書箱サーバP1とサービス提供サーバS1との間で、本人認証の代わりに相互認証を行うとともに、サービス提供サーバS1が、提供者管理ID(利用者ID)を利用した本人識別を行うことにより、処理要求に応じた情報処理を行う場合の動作の一例について説明する。
なお、図4のシーケンスチャートの場合は、図2のシーケンスチャートの場合のシーケンスSeq7における電子私書箱サーバP1からサービス提供サーバへのパスワードの送信による本人認証を行う代わりに、電子私書箱サーバP1とサービス提供サーバS1との間でPKI認証方式に基づく強固な相互認証を行うことにより(図4のシーケンスSeq27)、正当な電子私書箱サーバP1からの利用者Aの処理要求を受け取ったものとするものであり、その他のシーケンスは、図2のシーケンスチャートと同一の手順である。
図4において、利用者Aからサービス提供者1のサービス提供サーバS1に対する利用者A本人のデータに関する処理要求が利用者A本人用端末T1に入力されると(シーケンスSeq21)、利用者A本人用端末T1は、図2の場合と同様、サービス提供サーバS1に、直接、入力された処理要求を送信することはしないで、当該利用者A本人用の電子私書箱サーバP1に対して、利用者Aから入力された処理要求を送信する(シーケンスSeq22)。該処理要求を通信手段P11aを介して処理要求受付手段P13により受信した電子私書箱サーバP1は、図2の場合と同様、認証手段P12を起動して、送信元の利用者A本人用端末T1に対して、私書箱管理IDを記録しているICカードC1の装着を指示するとともに、本人認証情報の入力を指示する認証要求を送信する(シーケンスSeq23)。
該認証要求を受信した利用者A本人用端末T1は、図2の場合と同様、指示に従って、利用者Aの私書箱管理ID“ID−A”、公開鍵証明書および秘密鍵を少なくとも記録しているICカードC1の装着を促す案内を利用者Aに対して行うことにより、ICカードC1を装着させて(シーケンスSeq24)、ICカードC1に記録されている私書箱管理ID“ID−A”、公開鍵証明書および秘密鍵を読み取るとともに、利用者A本人の認証情報の入力を促す。利用者A本人の認証情報としては、例えば、指紋等のバイオメトリクス情報やパスワード等である。利用者A本人は、当該利用者A本人の認証情報(バイオメトリクス情報やパスワード等)を入力する(シーケンスSeq25)。
利用者A本人用端末T1は、入力された利用者A本人の認証情報の検証を行い、正当な利用者A本人であることを確認すると、利用者A本人用端末T1は、図2の場合と同様、認証要求の送信元の電子私書箱サーバP1との間で、公開鍵証明書、秘密鍵を用いたPKI認証方式による強固な相互認証処理を行うとともに、電子私書箱サーバP1に対して、利用者A本人の私書箱管理ID“ID−A”を送信する(シーケンスSeq26)。
利用者A本人の私書箱管理ID“ID−A”を受信した電子私書箱サーバP1は、図2の場合とは異なり、まず、相互認証手段P19aを起動して、処理要求の送信先となるサービス提供サーバS1との間で、公開鍵証明書、秘密鍵を用いたPKI認証方式による強固な相互認証処理を行う(シーケンスSeq27)。
なお、場合によっては、サービス提供サーバS1と電子私書箱サーバP1との間の相互認証を実施しないようにしても良い。かかる場合は、サービス提供サーバS1の相互認証手段S15、電子私書箱サーバP1の相互認証手段P19aを備える必要はない。
相互認証が得られると、次に、処理要求手段P14を起動して、認証情報保存手段P17に保存されている認証情報の中から、私書箱管理ID“ID−A”の利用者に関する本人認証用の情報を検索する。次いで、検索した“ID−A”の利用者に関する本人認証用の情報の中から、先に受信した処理要求に指定されているサービス提供者のサービス提供サーバ例えばサービス提供者1のサービス提供サーバS1にアクセスするための提供者管理ID例えば提供者管理ID“ID1−02”を抽出して、該処理要求に付して、通信手段P11bにより、サービス提供サーバ例えばサービス提供サーバS1に送信する(シーケンスSeq28)。
図2の場合とは異なり、提供者管理ID“ID1−02”が付された電子私書箱サーバP1からの処理要求を通信手段S11を介して処理要求受付手段S13により受信したサービス提供サーバS1は、パスワードを用いた利用者Aの本人認証を行うことなく、情報処理手段S14を起動して、受信した処理要求に応じて、利用者A本人のデータに関する処理を実施し、該データの情報処理結果を作成する。
なお、かかる場合は、サービス提供サーバS1には、本人認証手段S12およびサービス用本人認証テーブルS12aを削除することが可能である。ここで、情報処理手段S14によって実施される処理としては、利用者A本人に関するデータの追加、変更、削除、読出し、および、アクセス履歴の記録等である。
情報処理手段S14により作成された情報処理結果を受け取った処理要求受付手段S13は、図2の場合と同様、署名付与手段S16を起動して、情報処理結果に対してサービス提供サーバS1用の署名を付与して、電子私書箱サーバP1に対して、書名付きの情報処理結果を返送する(シーケンスSeq29)。
なお、場合によっては、サービス提供サーバS1から電子私書箱サーバP1に送信する情報処理結果にサービス提供サーバS1用の署名を付与しないようにしても良い。かかる場合は、サービス提供サーバS1には、署名付与手段S16を備える必要はない。
サービス提供サーバS1から署名付きの情報処理結果を通信手段P11bを介して処理要求手段P14により受信した電子私書箱サーバP1は、図2の場合と同様、署名検証手段P19bを起動して、当該情報処理結果の署名を検証する。しかる後、履歴情報保存手段P15に当該情報処理結果を処理要求と関連付けてアクセス履歴として記録保存する。
さらに、処理要求手段P14は、図2の場合と同様、当該情報処理結果を、通信手段P11aにより、処理要求の送信元の利用者A本人用端末T1へ返送する(シーケンスSeq30)。
電子私書箱サーバP1から送信されてきた情報処理結果を受信した利用者A本人用端末T1は、受信した情報処理結果を表示して、利用者A本人に提示する。
次に、図5のシーケンスチャートを用いて、電子私書箱サーバP1とサービス提供サーバS1との間で、本人認証の代わりに相互認証を行うとともに、サービス提供サーバS1が、提供者管理ID(利用者ID)を利用した本人識別を行うことにより、処理要求に応じた情報処理を行った場合の情報処理結果に関する改ざんの有無を、電子私書箱サーバP1においてチェックする動作の一例について説明する。
なお、図5のシーケンスチャートの場合は、図3のシーケンスチャートの場合のシーケンスSeq17における電子私書箱サーバP1からサービス提供サーバへのパスワードの送信による本人認証を行う代わりに、電子私書箱サーバP1とサービス提供サーバとの間でPKI認証方式に基づく強固な相互認証を行うことにより(図5のシーケンスSeq37)、正当な電子私書箱サーバP1からの利用者Aの情報参照要求を受け取ったものとするものであり、その他のシーケンスは、図3のシーケンスチャートと同一の手順である。
図5において、利用者Aからサービス提供者1のサービス提供サーバS1における利用者A本人のデータに関する情報参照要求が利用者A本人用端末T1に入力されると(シーケンスSeq31)、利用者A本人用端末T1は、図3の場合と同様、サービス提供サーバS1に、直接、入力された処理要求を送信することはしないで、当該利用者A本人用の電子私書箱サーバP1に対して、利用者Aから入力された情報参照要求を送信する(シーケンスSeq32)。該情報参照要求を通信手段P11aを介して情報提供手段P16により受信した電子私書箱サーバP1は、図3の場合と同様、認証手段P12を起動して、送信元の利用者A本人用端末T1に対して、私書箱管理IDを記録しているICカードC1の装着を指示するとともに、本人認証情報の入力を指示する認証要求を送信する(シーケンスSeq33)。
該認証要求を受信した利用者A本人用端末T1は、図3の場合と同様、指示に従って、利用者Aの私書箱管理ID“ID−A”、公開鍵証明書および秘密鍵を少なくとも記録しているICカードC1の装着を促す案内を利用者Aに対して行うことにより、ICカードC1を装着させて(シーケンスSeq34)、ICカードC1に記録されている私書箱管理ID“ID−A”、公開鍵証明書および秘密鍵を読み取るとともに、利用者A本人の認証情報の入力を促す。利用者A本人の認証情報としては、例えば、指紋等のバイオメトリクス情報やパスワード等である。利用者A本人は、当該利用者A本人の認証情報(バイオメトリクス情報やパスワード等)を入力する(シーケンスSeq35)。
利用者A本人用端末T1は、図3の場合と同様、入力された利用者A本人の認証情報の検証を行い、正当な利用者A本人であることを確認すると、利用者A本人用端末T1は、認証要求の送信元の電子私書箱サーバP1との間で、公開鍵証明書、秘密鍵を用いたPKI認証方式による強固な相互認証処理を行うとともに、電子私書箱サーバP1に対して、利用者A本人の私書箱管理ID“ID−A”を送信する(シーケンスSeq36)。
利用者A本人の私書箱管理ID“ID−A”を受信した電子私書箱サーバP1は、図3の場合とは異なり、まず、相互認証手段P19aを起動して、情報参照要求の送信先となるサービス提供サーバS1との間で、公開鍵証明書、秘密鍵を用いたPKI認証方式による強固な相互認証処理を行う(シーケンスSeq37)。
なお、場合によっては、サービス提供サーバS1と電子私書箱サーバP1との間の相互認証を実施しないようにしても良い。かかる場合は、サービス提供サーバS1の相互認証手段S15、電子私書箱サーバP1の相互認証手段P19aを備える必要はない。
相互認証が得られると、次に、情報提供手段P16を起動して、認証情報保存手段P17に保存されている認証情報の中から、私書箱管理ID“ID−A”の利用者に関する本人認証用の情報を検索する。次いで、検索した“ID−A”の利用者に関する本人認証用の情報の中から、先に受信した情報参照要求に指定されているサービス提供者のサービス提供サーバ例えばサービス提供者1のサービス提供サーバS1にアクセスするための提供者管理ID例えば提供者管理ID“ID1−02”を抽出して、該情報参照要求に付して、通信手段P11bにより、サービス提供サーバ例えばサービス提供サーバS1に送信する(シーケンスSeq38)。
図3の場合とは異なり、提供者管理ID“ID1−02”が付された電子私書箱サーバP1からの情報参照要求を通信手段S11を介して処理要求受付手段S13により受信したサービス提供サーバS1は、パスワードを用いた利用者Aの本人認証を行うことなく、情報処理手段S14を起動して、受信した情報参照要求に応じて、該当する利用者A本人のデータを読み出して、読み出したデータを含む情報参照結果を作成する。
なお、かかる場合は、サービス提供サーバS1には、本人認証手段S12およびサービス用本人認証テーブルS12aを削除することが可能である。ここで、情報処理手段S14によって実施される処理としては、利用者A本人に関するデータの読出し、および、アクセス履歴の読み出し等である。なお、サービス提供サーバの運用者等により、利用者A本人に関するデータの更新が行われていない場合には、アクセス履歴の読み出し、および、該アクセス履歴の情報参照結果への添付は不要である。
情報処理手段S14により作成された情報参照結果を受け取った処理要求受付手段S13は、図3の場合と同様、署名付与手段S16を起動して、情報参照結果に対してサービス提供サーバS1用の署名を付与して、電子私書箱サーバP1に対して、書名付きの情報参照結果を返送する(シーケンスSeq39)。
なお、場合によっては、サービス提供サーバS1から電子私書箱サーバP1に送信する情報参照結果にサービス提供サーバS1用の署名を付与しないようにしても良い。かかる場合は、サービス提供サーバS1には、署名付与手段S16を備える必要はない。
サービス提供サーバS1から署名付きの情報参照結果を通信手段P11bを介して情報提供手段P16により受信した電子私書箱サーバP1は、図3の場合と同様、署名検証手段P19bを起動して、当該情報参照結果の署名を検証する。しかる後、利用者情報チェック手段P18を起動して、当該情報参照結果に含まれている利用者A本人に関するデータ内容と履歴情報保存手段P15にアクセス履歴として記録保存されている当該利用者A本人に関するデータの処理結果との比較を行い、利用者A本人に関するデータの改ざんの有無をチェックし、改ざんチェック結果として情報提供手段P16に通知する。
改ざんチェック結果を受け取った情報提供手段P16は、図3の場合と同様、当該改ざんチェック結果を、通信手段P11aにより、情報参照要求の送信元の利用者A本人用端末T1へ返送する(シーケンスSeq40)。
電子私書箱サーバP1から送信されてきた改ざんチェック結果を受信した利用者A本人用端末T1は、受信した改ざんチェック結果を表示して、利用者A本人に提示する。
以上の図2ないし図5の各シーケンスチャートに示すように、利用者A本人がサービス提供サーバ例えばサービス提供サーバS1に対して利用者A本人のデータに関する処理要求を行う際には、必ず、利用者A本人用の電子私書箱サーバP1を経由して処理要求を行うようにするとともに、当該処理要求を受け付けた電子私書箱サーバP1において、当該処理要求(利用者本人のデータの追加や変更や削除等の処理をサービス提供サーバS1に要求した内容)および情報処理結果(サービス提供サーバS1において処理要求が正常に実施されたか否かを示す情報)をサービス提供サーバS1への利用者A本人のアクセス履歴として履歴情報保存手段P15に記録し保存することにより、第三者がサービス提供サーバS上の利用者A本人のデータを改ざんした場合に、その改ざんのチェックを利用者A本人が行うことを可能とすることにより、第三者によるデータの改ざんの発生を防止することが可能である。
ここで、利用者A本人が使用する利用者A本人用端末T1と利用者A本人用の電子私書箱サーバP1との間は、処理要求や情報参照要求の転送動作時に、PKI認証方式を利用した強固な相互認証を行うようにしており、かつ、該相互認証に用いる利用者Aの公開鍵証明書および秘密鍵は、利用者A本人が所持するICカードC1にのみ記録されている。したがって、当該利用者A本人以外の第三者が、利用者A本人に成りすまして、利用者A本人用端末T1を使って利用者A本人用の電子私書箱サーバP1にアクセスしようとしても、アクセスすることができないので、電子私書箱サーバP1の履歴情報保存手段P15に記録・保存されているアクセス履歴を第三者が不正に改ざんすることはできない。
例えば、利用者A本人により、サービス提供サーバS1に保存されている利用者A本人の生命保険データに関して、その保障期間を10年から終身に変更しようとする場合、処理要求としてその旨を設定して、電子私書箱サーバP1を介してサービス提供サーバS1に送信すると、サービス提供サーバS1の情報処理手段S14にて、当該処理要求に応じて、当該利用者A本人の生命保険データの保障期間を終身に変更処理を行った結果を情報処理結果(要求通りに、保障期間を10年から終身に正常に変更した旨を示す情報)として電子私書箱サーバP1に返送してくる。電子私書箱サーバP1は、保障期間が正常に終身に変更されたことを示す該処理要求と該情報処理結果とをアクセス履歴として履歴情報保存手段P15に記録・保存する。
しかる後において、任意の時点で、利用者A本人から、情報参照要求を電子私書箱サーバP1を介してサービス提供サーバS1に送信することによって、電子私書箱サーバP1の履歴情報保存手段P15に記録・保存されている利用者A本人の生命保険データに関するアクセス履歴とサービス提供サーバS1に保存されている当該利用者A本人の生命保険データとの比較結果を、電子私書箱サーバP1から利用者A本人が取得することができる。したがって、例えば、第三者が、サービス提供サーバS1の当該利用者A本人の生命保険データに不正にアクセスして、該生命保険データの保障期間を終身から例えば5年に改ざんしてしまったとしても、利用者A本人は、サービス提供サーバS1に保存されている利用者A本人の生命保険データが不正に改ざんされていることを容易に把握することができる。
(実施形態の効果の説明)
以上に詳細に説明したように、本実施形態によれば、利用者A本人用端末T1からのサービス提供サーバのデータに対する処理要求および該サービス提供サーバから該利用者端末に返送する情報処理結果を必ず利用者A本人用の電子私書箱サーバを経由させるとともに、電子私書箱サーバP1側に、前記処理要求と前記情報処理結果とを関連付けてアクセス履歴として記録保存し、任意の時点で、該アクセス履歴とサービス提供サーバに保存されている利用者本人のデータとを比較して改ざんの有無をチェックする仕組みを備えるようにしているので、以下のような作用効果が得られる。
第1に、電子私書箱サーバP1に備えた前述のような改ざんの有無をチェックする仕組みを利用することにより、サービス提供サーバ例えばサービス提供サーバS1等における利用者A本人の提供者管理IDおよびパスワードを、利用者A本人から教示された代理人または不法に取得した第三者が、当該サービス提供サーバ例えばサービス提供サーバS1等にアクセスして、利用者A本人の契約情報等のデータを不正に書き換えたりしたとしても、利用者A本人は、電子私書箱サーバP1に情報参照要求を送信するだけで、電子私書箱サーバP1にアクセス履歴として記録保存されている履歴情報を参照して、サービス提供サーバS1の利用者A本人のデータと比較して、改ざんの有無を通知してもらうことができるので、改ざんされたことを容易に確認することができる。
第2に、個人に関わる情報を取り扱うサービス提供サーバでは、一般に、誰がどの情報にアクセスしたかの履歴を収集する機能を備えていることから、既存のサービス提供サーバに新たな機能を追加することなく、そのままの状態で、電子私書箱サーバP1に備えた前述のような改ざんの有無をチェックする仕組みを利用することにより、サービス提供サーバ例えばサービス提供サーバS1に保存されているデータに改ざんが発生しているか否かをチェックすることができる。
第3に、サービス提供サーバ例えばサービス提供サーバS1等が、利用者A本人の提供者管理IDおよびパスワードといった簡単な本人認証方式を採用していても、利用者Aが使用する利用者A本人用端末T1と電子私書箱サーバP1との間にPKI認証方式などを利用した強固な相互認証方式を採用することにより、相互認証用の情報を有していない第三者等は、電子私書箱サーバP1経由でサービス提供サーバ例えばサービス提供サーバS1等にアクセスすることができないので、電子私書箱サーバP1にサービス提供サーバ例えばサービス提供サーバS1等へのアクセス履歴として保存されている履歴情報が不正に改ざんされることがない。すなわち、サービス提供サーバ例えばサービス提供サーバS1等のセキュリティの高低の如何に依存することなく、安全に、アクセス履歴を管理することができ、より確実に、サービス提供サーバ例えばサービス提供サーバS1等の利用者のデータに関する改ざんチェックを行うことができる。
第4に、サービス提供サーバ例えばサービス提供サーバS1等においてデータ管理ミス等が生じて、データが改ざんされた場合であっても、同様に、電子私書箱サーバP1にアクセス履歴として記録保存されている履歴情報を参照して、改ざんの有無をチェックすることができる。
第5に、既存のサービス提供サーバ例えばサービス提供サーバS1等に署名機能を有していない場合には、該サービス提供サーバS1に署名機能を追加し、電子私書箱サーバP1に署名検証機能を追加することにより、サービス提供サーバS1からの情報処理結果として電子私書箱サーバP1に保存しようとするデータまたは情報参照結果として送信されてきたデータが、本当に、真のサービス提供サーバS1から提供されたものであるか否かを検証することができる。
第6に、既存のサービス提供サーバ例えばサービス提供サーバS1等に本人認証のためのパスワード認証機能を有していない場合は、パスワード認証機能を追加するようにしても良いし、あるいは、例えば、サービス提供サーバと電子私書箱サーバとの間で実施する相互認証機能を追加することにより、サービス提供サーバ内のデータの安全性を確保することができる。
A…利用者、C1…ICカード、P1…電子私書箱サーバ、P11a…通信手段、P11b…通信手段、P12…認証手段、P12a…私書箱情報テーブル、P13…処理要求受付手段、P14…処理要求手段、P15…履歴情報保存手段、P16…情報提供手段、P17…認証情報保存手段、P18…利用者情報チェック手段、P19a…相互認証手段、P19b…署名検証手段、S1,S2,S3…サービス提供サーバ、S11,S21,S31…通信手段、S12,S22,S32…本人認証手段、S12a…サービス用本人認証テーブル、S13,S23,S33…処理要求受付手段、S14,S24,S34…情報処理手段、S15,S25,S35…相互認証手段、S16,S26,S36…署名付与手段、T1…利用者A本人用端末。

Claims (10)

  1. 利用者本人のデータに関する処理要求を当該利用者本人の利用者端末から電子私書箱サーバに送信し、該電子私書箱サーバが該処理要求を当該利用者本人のデータを保存しているサービス提供サーバに送信することにより、該サービス提供サーバにおいて当該利用者本人のデータに関して該処理要求に応じた情報処理を実行して、情報処理結果として、前記電子私書箱サーバを介して、前記処理要求の送信元の前記利用者端末に返送するサービス提供システムであって、前記電子私書箱サーバは、前記利用者端末から送信されてきた前記処理要求と前記サービス提供サーバから返送されてくる前記情報処理結果とを関連付けて、アクセス履歴として記録する履歴情報保存手段を備え、利用者本人の前記利用者端末から当該利用者本人のデータの改ざんの有無を確認する情報参照要求が、前記電子私書箱サーバに送信されてきた場合、前記電子私書箱サーバは、前記サービス提供サーバに該情報参照要求を送信することにより、前記サービス提供サーバに保存されている当該利用者本人のデータおよび該データに対するアクセス履歴を情報参照結果として返送させて、返送されてきた該情報参照結果に含まれる利用者本人に関するデータ内容を前記履歴情報保存手段に記録されている前記アクセス履歴として保存されている利用者本人に関するデータの処理結果と比較することにより、前記サービス提供サーバに保存されている当該利用者本人のデータの改ざんの有無をチェックし、チェック結果を、前記情報参照要求の送信元の前記利用者端末に返送することを特徴とするサービス提供システム。
  2. 請求項1に記載のサービス提供システムにおいて、利用者本人が使用する前記利用者端末と前記電子私書箱サーバとの間の通信開始時に、前記利用者端末と前記電子私書箱サーバとの間で、PKI(Personal Key Infrastructure)認証方式による相互認証を実施することを特徴とするサービス提供システム。
  3. 請求項2に記載のサービス提供システムにおいて、利用者本人の公開鍵証明書および秘密鍵を記録したICカードを当該利用者が前記利用者端末に装着することにより、前記利用者端末は、前記電子私書箱サーバとの間の相互認証を実施することを特徴とするサービス提供システム。
  4. 請求項1ないし3のいずれかに記載のサービス提供システムにおいて、前記サービス提供サーバは、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求に付されている利用者本人を特定するための利用者IDとして当該サービス提供サーバが付与している提供者管理IDおよびそのパスワードに基づいて、本人認証を行うか、あるいは、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求の送受信時に、当該電子私書箱サーバとの間で相互認証を行うとともに、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求に付されている前記提供者管理IDにより利用者本人を識別することを特徴とするサービス提供システム。
  5. 請求項1ないし4のいずれかに記載のサービス提供システムにおいて、前記サービス提供システムは、前記情報処理結果および/または前記情報参照結果に当該サービス提供サーバの署名を付して前記電子私書箱サーバへ返送し、前記電子私書箱サーバは、署名付きの前記情報処理結果および/または前記情報参照結果を受信した際に、該署名を検証することを特徴とするサービス提供システム。
  6. 利用者本人のデータに関する処理要求を当該利用者本人の利用者端末から電子私書箱サーバに送信し、該電子私書箱サーバが該処理要求を当該利用者本人のデータを保存しているサービス提供サーバに送信することにより、該サービス提供サーバにおいて当該利用者本人のデータに関して該処理要求に応じた情報処理を実行して、情報処理結果として、前記電子私書箱サーバを介して、前記処理要求の送信元の前記利用者端末に返送する場合における前記サービス提供サーバに保存されている利用者本人のデータの改ざんをチェックする改ざんチェック方法であって、前記電子私書箱サーバは、前記利用者端末から送信されてきた前記処理要求と前記サービス提供サーバから返送されてくる前記情報処理結果とを関連付けて、アクセス履歴として記録し、利用者本人の前記利用者端末から当該利用者本人のデータの改ざんの有無を確認する情報参照要求が、前記電子私書箱サーバに送信されてきた場合、前記電子私書箱サーバは、前記サービス提供サーバに該情報参照要求を送信することにより、前記サービス提供サーバに保存されている当該利用者本人のデータおよび該データに対するアクセス履歴を情報参照結果として返送させて、返送されてきた該情報参照結果に含まれる利用者本人に関するデータ内容を当該電子私書箱サーバに記録されている前記アクセス履歴として保存されている利用者本人に関するデータの処理結果と比較することにより、前記サービス提供サーバに保存されている当該利用者本人のデータの改ざんの有無をチェックし、チェック結果を、前記情報参照要求の送信元の前記利用者端末に返送することを特徴とする改ざんチェック方法。
  7. 請求項6に記載の改ざんチェック方法において、利用者本人が使用する前記利用者端末と前記電子私書箱サーバとの間の通信開始時に、前記利用者端末と前記電子私書箱サーバとの間で、PKI(Personal Key Infrastructure)認証方式による相互認証を実施することを特徴とする改ざんチェック方法。
  8. 請求項7に記載の改ざんチェック方法において、利用者本人の公開鍵証明書および秘密鍵を記録したICカードを当該利用者が前記利用者端末に装着することにより、前記利用者端末は、前記電子私書箱サーバとの間の相互認証を実施することを特徴とする改ざんチェック方法。
  9. 請求項6ないし8のいずれかに記載の改ざんチェック方法において、前記サービス提供サーバは、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求に付されている利用者本人を特定するための利用者IDとして当該サービス提供サーバが付与している提供者管理IDおよびそのパスワードに基づいて、本人認証を行うか、あるいは、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求の送受信時に、当該電子私書箱サーバとの間で相互認証を行うとともに、前記電子私書箱サーバからの前記処理要求および/または前記情報参照要求に付されている前記提供者管理IDにより利用者本人を識別することを特徴とする改ざんチェック方法。
  10. 請求項6ないし9のいずれかに記載の改ざんチェック方法を、コンピュータによって実行可能なプログラムとして実施していることを特徴とする改ざんチェックプログラム。
JP2009167678A 2009-07-16 2009-07-16 サービス提供システム、改ざんチェック方法および改ざんチェックプログラム Expired - Fee Related JP5282229B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009167678A JP5282229B2 (ja) 2009-07-16 2009-07-16 サービス提供システム、改ざんチェック方法および改ざんチェックプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009167678A JP5282229B2 (ja) 2009-07-16 2009-07-16 サービス提供システム、改ざんチェック方法および改ざんチェックプログラム

Publications (2)

Publication Number Publication Date
JP2011022825A JP2011022825A (ja) 2011-02-03
JP5282229B2 true JP5282229B2 (ja) 2013-09-04

Family

ID=43632843

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009167678A Expired - Fee Related JP5282229B2 (ja) 2009-07-16 2009-07-16 サービス提供システム、改ざんチェック方法および改ざんチェックプログラム

Country Status (1)

Country Link
JP (1) JP5282229B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5951678B2 (ja) * 2014-05-13 2016-07-13 日本電信電話株式会社 代理申請認可システム及び代理申請認可方法
US20220237320A1 (en) * 2019-05-29 2022-07-28 Nec Corporation Management apparatus, management method, verification apparatus, computer program and recording medium

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090037728A1 (en) * 2006-02-28 2009-02-05 Matsushita Electric Industrial Co., Ltd. Authentication System, CE Device, Mobile Terminal, Key Certificate Issuing Station, And Key Certificate Acquisition Method
WO2008038386A1 (fr) * 2006-09-28 2008-04-03 Fujitsu Limited Dispositif de fourniture de service, système de fourniture de service et procédé de fourniture de service
JP2009110102A (ja) * 2007-10-26 2009-05-21 Chugoku Electric Power Co Inc:The ログ監視システムおよびログ監視方法

Also Published As

Publication number Publication date
JP2011022825A (ja) 2011-02-03

Similar Documents

Publication Publication Date Title
US9698992B2 (en) Method for signing electronic documents with an analog-digital signature with additional verification
KR100464755B1 (ko) 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법
JP4939851B2 (ja) 情報処理端末、セキュアデバイスおよび状態処理方法
US20090165107A1 (en) Identification managment system for electronic device authentication
EP2381383A1 (en) Server authentication method and client terminal
US20110207433A1 (en) Web server constituting single sign-on system, method of controlling operation of same, and recording medium storing program for controlling operation of same
JP2017225054A (ja) プロファイルデータ配信制御装置、プロファイルデータ配信制御方法およびプロファイルデータ配信制御プログラム
JP2007527059A (ja) ユーザ、およびコンピュータシステムから受信された通信の認証のための方法および装置
JP2007249805A (ja) 電子認証方法及び電子認証システム
US11275865B2 (en) Privacy friendly decentralized ledger based identity management system and methods
WO2023017580A1 (ja) アバター認証システム、アバター認証方法
CN114268462A (zh) 资产信息变更方法、服务器、客户端及存储介质
JP7099198B2 (ja) 管理装置、管理システム及びプログラム
JP6866803B2 (ja) 認証システムおよび認証方法
JP5086024B2 (ja) ユーザ認証システム、装置、及び方法
JP4527491B2 (ja) コンテンツ提供システム
JP5282229B2 (ja) サービス提供システム、改ざんチェック方法および改ざんチェックプログラム
KR100750214B1 (ko) 공인 인증서를 이용한 로그인 방법
KR20200091138A (ko) 개인 도메인 네임을 이용한 인증 방법 및 시스템
JP5958544B2 (ja) 情報処理システム,情報処理方法,プログラム
JP2004070814A (ja) サーバセキュリティ管理方法及び装置並びにプログラム
JP2005065035A (ja) Icカードを利用した代理者認証システム
JP2004046590A (ja) 契約書保管装置、システム及びその方法
KR20140043628A (ko) 보안 로그인 처리 방법
JP2019161302A (ja) 署名システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111013

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20111013

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20121102

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20121102

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20121102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121211

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130416

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130417

R150 Certificate of patent or registration of utility model

Ref document number: 5282229

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees