JP6515080B2 - INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM - Google Patents

INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM Download PDF

Info

Publication number
JP6515080B2
JP6515080B2 JP2016235412A JP2016235412A JP6515080B2 JP 6515080 B2 JP6515080 B2 JP 6515080B2 JP 2016235412 A JP2016235412 A JP 2016235412A JP 2016235412 A JP2016235412 A JP 2016235412A JP 6515080 B2 JP6515080 B2 JP 6515080B2
Authority
JP
Japan
Prior art keywords
public key
communication device
information processing
certificate
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016235412A
Other languages
Japanese (ja)
Other versions
JP2018093375A (en
Inventor
隆将 磯原
隆将 磯原
竹森 敬祐
敬祐 竹森
輝彰 本間
輝彰 本間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2016235412A priority Critical patent/JP6515080B2/en
Publication of JP2018093375A publication Critical patent/JP2018093375A/en
Application granted granted Critical
Publication of JP6515080B2 publication Critical patent/JP6515080B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明の実施形態は、情報処理システム、情報処理方法、及びプログラムに関する。   Embodiments of the present invention relate to an information processing system, an information processing method, and a program.

スマートフォンに搭載されたSIM(Subscriber Identity Module)や、専用のセキュアエレメント等の安全な領域にキャッシュカードの情報を格納することで、キャッシュカードレスで、ATM(Automatic Teller Machine)等を利用可能とする、モバイル型キャッシュカード技術が知られている(例えば、非特許文献1−2参照)。
また、金融の分野では、利便性やシステム運用コストの低減に対する期待から、ビットコイン等の仮想通貨の利用や、流通の拡大が見込まれている。こうした一連の技術は金融分野における情報通信技術の適用事例として、FinTech(financial technology)と称されている。
昨今、テキスト・音声・画像等のデジタル化された情報資産は、「共有」行為により、流動性が高まり、取扱いの利便性が向上した。ここで、現金や仮想通貨も情報資産の一種であると仮定すると、これを共有する新たな利用形態を実現することで、利便性の向上が見込まれる。
情報資産を共有する技術に関して、口座の利用権限を、口座の所有者が認めた第三者に与える技術が知られている(例えば、非特許文献3参照)。
By storing cash card information in a secure area such as SIM (Subscriber Identity Module) mounted on a smartphone or a dedicated secure element, ATM (Automatic Teller Machine) can be used without cash card. Mobile cash card technology is known (see, for example, non-patent documents 1-2).
In the field of finance, the use of virtual currency such as bitcoin and the expansion of circulation are expected from the expectation for convenience and reduction of system operation costs. Such a series of technologies is referred to as FinTech (financial technology) as an application example of information communication technology in the financial field.
Recently, digitalized information assets such as texts, sounds, images, etc. have become more fluid by the act of “sharing”, and the convenience of handling has improved. Here, assuming that cash and virtual currency are also a kind of information asset, improvement of convenience can be expected by realizing a new usage form that shares this.
With regard to the technology for sharing information assets, there is known a technology for giving the right to use an account to a third party authorized by the account owner (see, for example, Non-Patent Document 3).

“FinTech関連サービスの第一弾として「日立モバイル型キャッシュカードサービス」を販売開始”、[online]、株式会社日立製作所、[平成28年11月18日検索]、インターネット<URL: http://www.hitachi.co.jp/New/cnews/month/2015/12/1217.html>“Start selling“ Hitachi Mobile Cash Card Service ”as the first of FinTech related services”, [online], Hitachi, Ltd., [search November 18, 2016], Internet <URL: http: // www.hitachi.co.jp/New/cnews/month/2015/12/1217.html> “スマホだけで現金を引き出し 三菱UFJ銀、18年に導入”、[online]、朝日新聞DIGITAL、[平成28年11月18日検索]、インターネット<URL: http://www.asahi.com/articles/ASJ7P55S0J7PUUPI004.html>“Withdraw the cash only with a smartphone Mitsubishi UFJ Silver, introduced in 18 years”, [online], Asahi Shimbun DIGITAL, [November 18, 2016 search], Internet <URL: http: // www. asahi. com / articles / ASJ7P55S0J7PUUPI 004. html> “American Express Serve”、[online]、American Express、[平成28年11月18日検索]、インターネット<URL: http://www.americanexpress.com/us/content/prepaid/pass.html>“American Express Serve”, [online], American Express, [November 18, 2016 search], Internet <URL: http: // www. americanexpress. com / us / content / prepaid / pass. html>

前述のモバイル型キャッシュカード技術は、既存のキャッシュカードをスマートフォンに置き換えるものであり、口座の共有を実現する技術ではない。
また、口座の利用権限を、第三者に与える技術は、予め第三者を登録する必要がある。
本発明は、上記問題を解決すべくなされたもので、金融等の厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することを目的とする。
The above-mentioned mobile cash card technology replaces the existing cash card with a smart phone, and is not a technology for realizing account sharing.
In addition, technology for giving the right to use an account to a third party needs to register the third party in advance.
The present invention has been made to solve the above-mentioned problems, and it is an object of the present invention to securely share information assets in services that require strict authentication and authorization such as finance.

(1)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムであって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵と、認証局アプリとを記憶する第1の記憶部と、
第1の通信部と、
第2の通信装置のユーザの属性情報を取得する取得部と
を備え、
前記認証局アプリは、デジタル証明書の発行者を示す情報と前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行し、
前記第1の通信部は、前記第2の通信装置へ、前記デジタル証明書を送信し、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
前記第1の通信装置が送信した前記デジタル証明書を受信する第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信し、
前記情報処理装置は、
前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第2の公開鍵証明書を認証する認証部と、
前記認証部による前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行する実行部と
を備える、情報処理システムである。
(2)本発明の一態様は、上記(1)に記載の情報処理システムにおいて、
前記情報処理装置は、
前記デジタル証明書の発行者を示す情報と前記動作を許可した者を示す情報とが同一であるか否かを判定する判定部
を備え、
前記実行部は、前記判定部が前記デジタル証明書の発行者を示す情報と前記動作を許可した者を示す情報とが同一であると判定した場合に、前記デジタル証明書を復号した結果を実行する、情報処理システムである。
(3)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムであって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部と、
第2の通信装置のユーザの属性情報を取得する取得部と、
前記第2の通信装置へ、前記属性情報を送信する第1の通信部と
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
前記第1の通信装置が送信した前記属性情報を受信する第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信し、
前記情報処理装置は、
前記第2の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第1の公開鍵証明書を認証する認証部と、
前記認証部による認証が成功した場合に、前記属性情報を実行する実行部と
を備える、情報処理システムである。
(4)本発明の一態様は、上記(3)に記載の情報処理システムにおいて、
前記情報処理装置は、
前記第2の通信装置のユーザに許可する動作を示す情報の作成者を示す情報と前記第2の通信装置のユーザに前記動作を許可した者を示す情報とが同一であるか否かを判定する判定部
を備え、
前記実行部は、前記判定部が前記第2の通信装置のユーザに許可する動作を示す情報の作成者と前記第2の通信装置のユーザに前記動作を許可した者とが同一であると判定した場合に、前記動作を実行する、情報処理システムである。
(5)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムであって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部と、
第2の通信装置のユーザの属性情報を取得する取得部と、
前記情報処理装置へ、前記属性情報と前記第1の公開鍵証明書とを送信する第1の通信部と
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記第2の公開鍵証明書を送信し、
前記情報処理装置は、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部と、
前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第2の公開鍵証明書を認証する認証部と、
所定の動作を実行する実行部と
を備え、
前記認証局アプリは、前記認証部による認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行し、
前記第3の通信部は、前記認証局アプリが発行した前記デジタル証明書を、記憶部に記憶し、
前記第3の通信部は、前記第2の通信装置が送信した前記第2の公開鍵証明書を受信し、
前記認証部は、前記第3の通信部が受信した前記第2の公開鍵証明書を認証し、
前記実行部は、前記認証部による検証が成功した場合に、前記デジタル証明書を復号した結果を実行する、情報処理システムである。
(6)本発明の一態様は、上記(1)から上記(5)のいずれか一項に記載の情報処理システムにおいて、
前記属性情報は、前記第2の通信装置のユーザの識別情報と該ユーザへ許可する動作を示す情報とが含まれる、情報処理システムである。
(7)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムが実行する情報処理方法であって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵と、認証局アプリとを記憶する第1の記憶部
を備え、
第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置の前記認証局アプリが、デジタル証明書の発行者を示す情報と前記取得するステップで取得した前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行するステップと、
前記第1の通信装置が、前記第2の通信装置へ、前記デジタル証明書を送信するステップと、
前記第2の通信装置が、前記第1の通信装置が送信した前記デジタル証明書を受信するステップと、
前記第2の通信装置が、前記情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第2の公開鍵証明書を認証するステップと、
前記情報処理装置が、前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行するステップと
有する、情報処理方法である。
(8)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムが実行する情報処理方法であって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部
を備え、
第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置が、前記第2の通信装置へ、前記属性情報を送信するステップと、
前記第2の通信装置が、前記第1の通信装置が送信した前記属性情報を受信するステップと、
前記第2の通信装置が、前記情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記属性情報と前記の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第の公開鍵証明書を認証するステップと、
前記情報処理装置が、前記認証するステップで認証が成功した場合に、前記所定の動作を実行するステップと
を有する、情報処理方法である。
(9)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムが実行する情報処理方法であって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記情報処理装置は、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置が、前記情報処理装置へ、前記属性情報と第1の公開鍵証明書とを送信するステップと、
前記第2の通信装置が、情報処理装置へ所定の動作を要求する場合に前記第2の公開鍵証明書を送信するステップと、
前記情報処理装置が、前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第1の公開鍵証明書を認証するステップと、
前記情報処理装置の前記認証局アプリが、前記認証するステップで認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行するステップと、
前記情報処理装置が、前記デジタル証明書を、記憶部に記憶するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記第2の公開鍵証明書を受信するステップと、
前記情報処理装置が、前記第2の公開鍵証明書を検証するステップと、
前記情報処理装置が、前記第2の公開鍵証明書の検証が成功した場合に、前記記憶部に記憶したデジタル証明書を復号した結果を実行するステップと
を有する、情報処理方法である。
(10)本発明の一態様は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵と、認証局アプリとを記憶する第1の記憶部を備える第1の通信装置のコンピュータに、
第2の通信装置のユーザの属性情報を取得するステップと、
デジタル証明書の発行者を示す情報と前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行するステップと、
前記第2の通信装置へ、前記デジタル証明書を送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える前記第2の通信装置のコンピュータに、
前記第1の通信装置が送信した前記デジタル証明書を受信するステップと、
情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信することによって、前記情報処理装置へ所定の動作を要求するステップと、
を実行させ、
前記情報処理装置のコンピュータに、
前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信するステップと、
前記第2の公開鍵証明書を認証するステップと、
前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行するステップと
を実行させる、プログラムである。
(11)本発明の一態様は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部を備える第1の通信装置のコンピュータに、
第2の通信装置のユーザの属性情報を取得するステップと、
前記第2の通信装置へ、前記属性情報を送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える第2の通信装置のコンピュータに、
前記第1の通信装置が送信した前記属性情報を受信するステップと、
情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと
を実行させ、
情報処理装置のコンピュータに、
前記第2の通信装置が送信した前記属性情報と前記の公開鍵証明書とを受信するステップと、
前記第の公開鍵証明書を認証するステップと、
前記認証するステップで認証が成功した場合に、前記所定の動作を実行するステップと
を実行させる、プログラムである。
(12)本発明の一態様は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部を備える第1の通信装置のコンピュータに、
第2の通信装置のユーザの属性情報を取得するステップと、
情報処理装置へ、前記属性情報と第1の公開鍵証明書とを送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える前記第2の通信装置のコンピュータに、
前記情報処理装置へ所定の動作を要求する場合に、前記第2の公開鍵証明書を送信するステッ
実行させ、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部を備える前記情報処理装置のコンピュータに、
前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信するステップと、
前記第1の公開鍵証明書を認証するステップと、
前記認証するステップで認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行するステップと、
前記デジタル証明書を、記憶部に記憶するステップと、
前記第2の通信装置が送信した前記第2の公開鍵証明書を受信するステップと、
前記第2の公開鍵証明書を検証するステップと、
前記第2の公開鍵証明書の検証が成功した場合に、前記記憶部に記憶したデジタル証明書を復号した結果を実行するステップと
を実行させる、プログラムである。
(1) One aspect of the present invention is
An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, a first secret key paired with a first public key included in the first public key certificate, and a certificate authority application;
A first communication unit,
An acquisition unit for acquiring attribute information of the user of the second communication device;
The certificate authority application issues a digital certificate from the information indicating the issuer of the digital certificate, the attribute information, and the first secret key.
The first communication unit transmits the digital certificate to the second communication device,
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit that receives the digital certificate transmitted by the first communication device;
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the digital certificate and the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third communication unit for receiving the digital certificate transmitted by the second communication device and the second public key certificate;
An authentication unit that authenticates the second public key certificate received by the third communication unit;
An execution unit that executes a result of decrypting the digital certificate when the authentication of the second public key certificate by the authentication unit succeeds.
(2) One embodiment of the present invention relates to the information processing system according to the above (1),
The information processing apparatus is
A determination unit that determines whether the information indicating the issuer of the digital certificate is the same as the information indicating the person who permitted the operation;
The execution unit executes the result of decrypting the digital certificate when the determination unit determines that the information indicating the issuer of the digital certificate and the information indicating the person who permitted the operation are the same. Is an information processing system.
(3) One aspect of the present invention is
An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, and a first secret key paired with a first public key included in the first public key certificate;
An acquisition unit for acquiring attribute information of the user of the second communication device;
A first communication unit for transmitting the attribute information to the second communication device;
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit that receives the attribute information transmitted by the first communication device;
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the attribute information and the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third communication unit that receives the attribute information and the first public key certificate transmitted by the second communication device;
An authentication unit that authenticates the first public key certificate received by the third communication unit;
An execution unit that executes the attribute information when the authentication by the authentication unit succeeds.
(4) One aspect of the present invention relates to the information processing system according to (3),
The information processing apparatus is
It is determined whether or not the information indicating the creator of the information indicating the operation permitted to the user of the second communication device is the same as the information indicating the person who permitted the operation of the user of the second communication device. Provided with a judgment unit
The execution unit determines that the creator of the information indicating the operation permitted to the user of the second communication device by the determination unit is the same as the person who permitted the operation of the user of the second communication device. It is an information processing system which performs the above-mentioned operation when it carries out.
(5) One embodiment of the present invention is
An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, and a first secret key paired with a first public key included in the first public key certificate;
An acquisition unit for acquiring attribute information of the user of the second communication device;
A first communication unit for transmitting the attribute information and the first public key certificate to the information processing apparatus;
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit,
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third storage unit storing a third public key certificate, a third secret key paired with a third public key included in the third public key certificate, and a certificate authority application;
A third communication unit that receives the attribute information transmitted by the first communication device and the first public key certificate;
An authentication unit that authenticates the second public key certificate received by the third communication unit;
And an execution unit for executing a predetermined operation,
The certification authority application issues a digital certificate from the attribute information and the third secret key when the certification unit succeeds in the certification,
The third communication unit stores the digital certificate issued by the certificate authority application in a storage unit.
The third communication unit receives the second public key certificate transmitted by the second communication device,
The authentication unit authenticates the second public key certificate received by the third communication unit,
The execution unit is an information processing system that executes a result of decrypting the digital certificate when the verification by the authentication unit is successful.
(6) According to one aspect of the present invention, in the information processing system according to any one of (1) to (5),
The attribute information is an information processing system including identification information of a user of the second communication device and information indicating an operation permitted to the user.
(7) One embodiment of the present invention is
An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, a first secret key paired with a first public key included in the first public key certificate, and a certificate authority application
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
Acquiring the attribute information of the user of the second communication device by the first communication device;
Step the authentication station app, from said attribute information acquired in the step of acquiring information of a digital certificate issuer and said first secret key, and issues the digital certificate of the first communication device When,
A step wherein the first communication device, wherein the second communication device, for transmitting the digital certificate,
The second communication device receiving the digital certificate sent by the first communication device;
A step wherein the second communication apparatus, to the information processing apparatus, by sending said digital certificate and said second public key certificate, to request a predetermined operation to the information processing apparatus,
The information processing apparatus receives the digital certificate transmitted by the second communication apparatus and the second public key certificate;
The information processing apparatus authenticates the second public key certificate;
The information processing method may include the step of executing a result of decrypting the digital certificate when the authentication of the second public key certificate is successful.
(8) One embodiment of the present invention is
An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
A step of the first communication device, to acquire the attribute information of the user of the second communication device,
Sending the attribute information to the second communication device by the first communication device;
The second communication device receiving the attribute information transmitted by the first communication device;
A step wherein the second communication apparatus, to the information processing apparatus by sending a second public key certificate and the attribute information, which requests a predetermined operation to the information processing apparatus,
The information processing apparatus, the steps of the second communication device receives the second public key certificate transmitted the attribute information,
The information processing apparatus authenticates the second public key certificate;
The information processing apparatus executes the predetermined operation when the authentication is successful in the authenticating step.
(9) One embodiment of the present invention is
An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
The information processing apparatus is
A third storage unit that stores a third public key certificate, a third private key paired with a third public key included in the third public key certificate, and a certificate authority application
Equipped with
A step of the first communication device, to acquire the attribute information of the user of the second communication device,
A step wherein the first communication device, to the information processing apparatus, which transmits the attribute information and the first public key certificate,
A step wherein the second communication device, to transmit to the information processing apparatus, to request a predetermined operation, the second public key certificate,
The information processing apparatus receives the attribute information transmitted by the first communication apparatus and the first public key certificate;
The information processing apparatus authenticates the first public key certificate;
A step wherein the certificate authority application of the information processing apparatus, if the authentication in the step of the authentication is successful, issuing from the attribute information and the third secret key, digital certificates,
The information processing apparatus stores the digital certificate in a storage unit;
The information processing apparatus receives the second public key certificate transmitted by the second communication apparatus;
The information processing apparatus verifies the second public key certificate;
The information processing apparatus executes the result of decrypting the digital certificate stored in the storage unit when the verification of the second public key certificate succeeds.
(10) One embodiment of the present invention is
A first storage unit storing a first public key certificate, a first private key paired with a first public key included in the first public key certificate, and a certificate authority application On the computer of the first communication device,
Acquiring attribute information of a user of the second communication device;
From information of a digital certificate issuer and the attribute information and the first secret key, and issuing a digital certificate,
Wherein the second communication device, to execute a step of transmitting the digital certificate,
In the computer of the second communication device, comprising a second storage unit storing a second public key certificate ;
Receiving the digital certificate sent by the first communication device;
To the information processing apparatus by sending a second public key certificate and the digital certificate, and requesting a predetermined operation to the information processing apparatus,
To run
The computer of the information processing apparatus
Receiving the digital certificate transmitted by the second communication device and the second public key certificate;
Authenticating the second public key certificate;
And executing the decryption result of the digital certificate when the authentication of the second public key certificate is successful.
(11) One embodiment of the present invention is
A first communication device comprising a first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate On your computer,
Acquiring attribute information of a user of the second communication device;
Sending the attribute information to the second communication device;
A computer of a second communication device comprising a second storage unit for storing a second public key certificate ,
Receiving the attribute information sent by the first communication device;
To the information processing apparatus by sending a second public key certificate and the attribute information, to execute the steps of requesting a predetermined operation to the information processing apparatus,
In the computer of the information processing apparatus
A step of the second communication device receives the second public key certificate transmitted the attribute information,
Authenticating the second public key certificate;
And executing the predetermined operation if the authentication is successful in the authenticating step.
(12) One embodiment of the present invention is
A first communication device comprising a first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate On your computer,
Acquiring attribute information of a user of the second communication device;
Transmitting the attribute information and the first public key certificate to the information processing apparatus;
In the computer of the second communication device, comprising a second storage unit storing a second public key certificate ;
To the information processing apparatus, to request a predetermined operation, steps for transmitting the second public key certificate
To run
The third storage unit storing a third public key certificate, a third secret key paired with a third public key included in the third public key certificate, and a certificate authority application; In the computer of the information processing apparatus
Receiving the attribute information transmitted by the first communication device and the first public key certificate;
Authenticating the first public key certificate;
When the authentication in the step of authentication succeeds, from the attribute information and the third secret key, and issuing a digital certificate,
Storing the digital certificate in a storage unit;
Receiving the second public key certificate sent by the second communication device;
Verifying the second public key certificate;
And a step of executing a result of decrypting the digital certificate stored in the storage unit when the verification of the second public key certificate is successful.

本発明の実施形態によれば、金融等の厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することができる。   According to an embodiment of the present invention, information assets can be safely shared in services that require strict authentication and authorization such as finance.

第1の実施形態に係る通信システムの一例を示す図である。It is a figure showing an example of the communication system concerning a 1st embodiment. 第1の実施形態に係る通信システムを構成する通信装置、情報処理装置、ルート認証局の一例を示す図である。It is a figure which shows an example of the communication apparatus which comprises the communication system which concerns on 1st Embodiment, an information processing apparatus, and a root certificate authority. 第1の実施形態に係る通信システムの動作の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of operation of a communication system concerning a 1st embodiment. 第2の実施形態に係る通信システムを構成する通信装置、情報処理装置、ルート認証局の一例を示す図である。It is a figure which shows an example of the communication apparatus which comprises the communication system which concerns on 2nd Embodiment, an information processing apparatus, and a root certificate authority. 第2の実施形態に係る通信システムの動作の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of operation of a communication system concerning a 2nd embodiment. 第3の実施形態に係る通信システムを構成する通信装置、情報処理装置、ルート認証局の一例を示す図である。It is a figure which shows an example of the communication apparatus which comprises the communication system which concerns on 3rd Embodiment, an information processing apparatus, and a root certificate authority. 第3の実施形態に係る通信システムの動作の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of operation | movement of the communication system concerning 3rd Embodiment. 変形例に係る通信システムの動作の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of operation of a communication system concerning a modification. 変形例に係る通信システムの動作の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of operation of a communication system concerning a modification. 変形例に係る通信システムの動作の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of operation of a communication system concerning a modification. 変形例に係る通信システムの動作の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of operation of a communication system concerning a modification. USATを説明するための図である。It is a figure for demonstrating USAT. 変形例に係る通信システムの動作の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of operation of a communication system concerning a modification. 変形例に係る通信システムの動作の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of operation of a communication system concerning a modification. 変形例に係る通信システムの動作の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of operation of a communication system concerning a modification.

(第1の実施形態)
(情報処理システム)
図1は、本実施形態に係る情報処理システムを示す図である。情報処理システム1は、通信装置100と通信装置200と情報処理装置300とを備える。通信装置100と通信装置200と情報処理装置300とは、携帯電話ネットワーク、インターネット等の通信網50を介して接続される。情報処理装置300の一例はATMであり、通信装置100、及び通信装置200のユーザへ、バンキングサービスを提供する場合について説明を続ける。
通信装置100のユーザは、現金自動預け払い機(Automatic teller machine:ATM)や、インターネットバンキングへログインする。通信装置100は、情報処理装置300へアクセスし、口座番号とログインパスワードとを送信することによって、インターネットバンキングへログインする。通信装置100のユーザは、ATMや、インターネットバンキングへログインすると、属性情報を作成するメニューを選択する。通信装置100のユーザが属性情報を作成するメニューを選択すると、通信装置100には、属性情報を作成する画面が表示される。
First Embodiment
(Information processing system)
FIG. 1 is a diagram showing an information processing system according to the present embodiment. The information processing system 1 includes a communication device 100, a communication device 200, and an information processing device 300. The communication device 100, the communication device 200, and the information processing device 300 are connected via a communication network 50 such as a mobile phone network or the Internet. An example of the information processing apparatus 300 is an ATM, and the description will be continued regarding the case where a banking service is provided to the communication apparatus 100 and the user of the communication apparatus 200.
A user of the communication device 100 logs in to an automatic teller machine (ATM) or Internet banking. The communication device 100 accesses the information processing device 300, and logs in to the internet banking by transmitting the account number and the login password. When the user of the communication device 100 logs in to ATM or Internet banking, the user selects a menu for creating attribute information. When the user of the communication device 100 selects a menu for creating attribute information, the communication device 100 displays a screen for creating attribute information.

通信装置100のユーザは、属性情報を作成する画面を参照し、電話番号や、メールアドレス等の利用者の識別情報を指定することで、権限を与える利用者を選択する。通信装置100のユーザが権限を与える利用者を選択すると、通信装置100、及び情報処理装置300は、権限を与える利用者の識別情報を取得する。さらに、通信装置100のユーザは、属性情報を作成する画面を参照し、5万円の出金等の許可する取引内容を入力する。通信装置100のユーザが許可する取引内容を入力すると、通信装置100、及び情報処理装置300は許可する取引内容を示す情報を取得する。
通信装置100は、SIMのPIN(Personal Identification Number)等のSIM識別情報simid100を取得し、該SIM識別情報simid100と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid100と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とのダイジェスト値を演算し、演算値を第1の秘密鍵Ks_M1で暗号化することで電子署名を発行する。ただし、SIM識別情報は、IMSI(International Mobile Subscriber Identity)、MSISDN(Mobile Subscriber Integrated Services Digital Network Number)、ICCID(IC Card Identifier)、電話番号等の通信事業者の加入者識別番号であってもよい。そして、通信装置100は、発行した電子署名を含むデジタル証明書を発行する。以下、該デジタル証明書を属性証明書という。通信装置100は、属性証明書を発行すると、該属性証明書を通信装置200へ送信する。
The user of the communication apparatus 100 refers to the screen for creating the attribute information, and designates the identification information of the user such as the telephone number and the e-mail address to select the user to whom the authority is given. When the user of the communication apparatus 100 selects a user who gives the right, the communication apparatus 100 and the information processing apparatus 300 acquire identification information of the user who gives the right. Furthermore, the user of the communication apparatus 100 refers to the screen for creating the attribute information, and inputs the permitted transaction content such as 50,000 yen payment. When the transaction content permitted by the user of the communication device 100 is input, the communication device 100 and the information processing device 300 acquire information indicating the permitted transaction content.
When the communication device 100 acquires SIM identification information simid 100 such as a PIN (Personal Identification Number) of SIM and acquires the SIM identification information simid 100, identification information of the user who gives the authority, and information indicating the content of the permitted transaction, A digest value of the SIM identification information simid 100, the identification information of the user who gives the authority, and the information indicating the content of the permitted transaction is calculated, and the calculated value is encrypted with the first secret key Ks_M1 to obtain an electronic signature. Issue However, the SIM identification information may be a subscriber identification number of a telecommunications carrier, such as International Mobile Subscriber Identity (IMSI), Mobile Subscriber Integrated Services Digital Network Number (MSISDN), IC Card Identifier (ICCID), or telephone number. . Then, the communication device 100 issues a digital certificate including the issued electronic signature. Hereinafter, the digital certificate is called an attribute certificate. When the communication device 100 issues the attribute certificate, the communication device 100 transmits the attribute certificate to the communication device 200.

情報処理装置300は、属性証明書を発行した通信装置100が備えるSIMのSIM識別情報simid100を取得し、該SIM識別情報simid100と通信装置100のユーザの口座番号と該口座の所有者を示す情報と取引内容とを関連付けて記憶する。ここで、口座の所有者を示す情報は、SIM識別情報で表されてもよい。さらに、情報処理装置300は、取得した権限を与える利用者の識別情報に関連付けて、SIM識別情報simid100をパスワードとして記憶する。通信装置100は、携帯電話ネットワーク等の無線通信ネットワークを介して、通信装置100のユーザが加入する通信サービスの加入者識別情報に基づいて、通信装置200へ、SIM識別情報simid100(パスワード)を送信する。通信装置100のユーザが加入する通信サービスの加入者識別情報に基づいて、送信するサービスの一例は、ショートメッセージサービス(short message service: SMS)である。
通信装置200が、通信装置100が送信した属性証明書や、パスワードを受信すると、通信装置200のユーザは、ATMを操作することによって、情報処理装置300へアクセスし、取引メニューを選択する。通信装置200のユーザが取引メニューを選択すると、通信装置200の画面には、取引画面が表示される。通信装置200のユーザは、取引画面を参照し、電話番号や、メールアドレス等の利用者の識別情報とパスワードとを入力する。ATMは、入力された利用者の識別情報とパスワードとの組み合わせが登録されている場合、認証が成功したと判定する。
The information processing apparatus 300 acquires SIM identification information simid 100 of the SIM included in the communication apparatus 100 that has issued the attribute certificate, and the SIM identification information simid 100 and information indicating the account number of the user of the communication apparatus 100 and the owner of the account And store transaction contents in association with Here, the information indicating the owner of the account may be represented by SIM identification information. Furthermore, the information processing apparatus 300 stores the SIM identification information simid 100 as a password in association with the acquired identification information of the user who gives the right. The communication device 100 transmits SIM identification information simid 100 (password) to the communication device 200 based on the subscriber identification information of the communication service to which the user of the communication device 100 subscribes via the wireless communication network such as a mobile phone network. Do. An example of a service to be transmitted based on the subscriber identification information of the communication service to which the user of the communication apparatus 100 subscribes is a short message service (SMS).
When the communication device 200 receives the attribute certificate and the password transmitted by the communication device 100, the user of the communication device 200 accesses the information processing device 300 by operating the ATM, and selects the transaction menu. When the user of the communication device 200 selects the transaction menu, a transaction screen is displayed on the screen of the communication device 200. The user of the communication device 200 refers to the transaction screen and inputs a user's identification information such as a telephone number and an e-mail address and a password. When the combination of the input user identification information and the password is registered, the ATM determines that the authentication is successful.

認証が成功した場合、通信装置200のユーザは、バンキングアプリを起動する。通信装置200のユーザは、バンキングアプリが起動すると、通信装置200が記憶している第2の公開鍵証明書Kp_M2と通信装置100が送信した属性証明書とを、ATMへ送信する操作を行う。通信装置200のユーザが、第2の公開鍵証明書と属性証明書とをATMへ送信する操作を行い、通信装置200をATMへかざす等を行い、通信装置200と情報処理装置300との間で通信接続されると、該第2の公開鍵証明書Kp_M2と該属性証明書とが、ATMへ送信される。ATMは、通信装置200が送信した該第2の公開鍵証明書Kp_M2と該属性証明書とを受信すると、該第2の公開鍵証明書Kp_M2と該属性証明書とを情報処理装置300へ送信する。
情報処理装置300は、通信装置200が送信した第2の公開鍵証明書Kp_M2と属性証明書とを取得すると、第2の公開鍵証明書Kp_M2を検証する。情報処理装置300は、第2の公開鍵証明書Kp_M2の検証が成功することによって、通信装置200のユーザを確認すると、属性証明書を検証する。情報処理装置300は、属性証明書の検証を行うことによって、属性証明書が有効であるか否かを確認する。情報処理装置300は、属性証明書が有効であると判定した場合、該属性証明書に含まれるSIM識別情報に関連付けて記憶している口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であるか否かを判定する。情報処理装置300は、口座の所有者を示す情報と属性証明書の発行者を示す情報とが同一であると判定すると、通信装置200のユーザの位置情報、取引を実行する施設の位置情報等の位置情報、時間、金額、取引内容等の他の属性を確認し、該他の属性に問題ない場合、属性証明書に記載されている取引内容を実行する。ここで、情報処理装置300は、属性証明書に記載されている取引内容を実行する代わりに、通信装置100のユーザが予め情報処理装置300に登録しておいた取引内容を参照して実行してもよい。さらに、取引の実行を許可する施設の位置情報を情報処理装置300に予め登録しておき、通信装置200が取得した通信装置200のユーザの位置情報を情報処理装置300に送信して、情報処理装置300が該施設から所定の範囲内にユーザの位置情報が含まれると判定した場合に、取引内容の実行を許可してもよい。さらに、取引内容の実行可能期間を情報処理装置300に予め登録しておき、通信装置200のユーザが情報処理装置300に対して操作を行った時間を通信装置200が取得して情報処理装置300に送信し、情報処理装置300が、該時間が前記実行可能期間に含まれると判定した場合のみ、取引内容を実行してもよい。前記実行可能時間は、通信装置100のユーザが指定してもよい。
If the authentication is successful, the user of the communication device 200 activates the banking application. When the banking application is activated, the user of the communication device 200 performs an operation of transmitting to the ATM the second public key certificate Kp_M2 stored in the communication device 200 and the attribute certificate transmitted by the communication device 100. The user of the communication apparatus 200 performs an operation of transmitting the second public key certificate and the attribute certificate to the ATM, holds the communication apparatus 200 over the ATM, and the like, and performs communication between the communication apparatus 200 and the information processing apparatus 300. , And the second public key certificate Kp_M2 and the attribute certificate are transmitted to the ATM. When the ATM receives the second public key certificate Kp_M2 and the attribute certificate transmitted by the communication device 200, the ATM transmits the second public key certificate Kp_M2 and the attribute certificate to the information processing apparatus 300. Do.
When the information processing apparatus 300 acquires the second public key certificate Kp_M2 and the attribute certificate transmitted by the communication apparatus 200, the information processing apparatus 300 verifies the second public key certificate Kp_M2. When the information processing apparatus 300 confirms the user of the communication apparatus 200 by verifying the second public key certificate Kp_M2 successfully, the information processing apparatus 300 verifies the attribute certificate. The information processing apparatus 300 verifies whether or not the attribute certificate is valid by verifying the attribute certificate. If the information processing apparatus 300 determines that the attribute certificate is valid, the information indicating the owner of the account stored in association with the SIM identification information included in the attribute certificate and the issuer of the attribute certificate It is determined whether or not the information indicating. If the information processing apparatus 300 determines that the information indicating the owner of the account and the information indicating the issuer of the attribute certificate are the same, the position information of the user of the communication apparatus 200, the position information of the facility that executes the transaction, etc. The other attributes such as position information, time, amount, and transaction content are confirmed, and if there is no problem with the other attributes, the transaction content described in the attribute certificate is executed. Here, instead of executing the transaction content described in the attribute certificate, the information processing device 300 refers to the transaction content registered in advance in the information processing device 300 by the user of the communication device 100 and executes the transaction content. May be Furthermore, the location information of the facility that permits the execution of the transaction is registered in advance in the information processing apparatus 300, and the location information of the user of the communication apparatus 200 acquired by the communication apparatus 200 is transmitted to the information processing apparatus 300 Execution of the transaction content may be permitted when the device 300 determines that the user's position information is included within a predetermined range from the facility. Furthermore, the period during which the transaction content can be executed is registered in advance in the information processing apparatus 300, and the communication apparatus 200 acquires the time when the user of the communication apparatus 200 has performed an operation on the information processing apparatus 300. The transaction content may be executed only when the information processing apparatus 300 determines that the time is included in the executable period. The executable time may be designated by the user of the communication device 100.

(情報処理システムの構成)
図2は、本実施形態に係る情報処理システム1に含まれる通信装置100と通信装置200と情報処理装置300とルート認証局600の構成の一例を示す。
(ルート認証局)
ルート認証局600は、通信部602と制御部604と記憶部620と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン650とを備える。
通信部602は、通信モジュールによって実現される。通信部602は、通信網50を経由して、通信装置100、及び通信装置200と通信を行う。通信部602は、通信装置100が送信した第1の公開鍵を受信する。また、通信部602は、通信装置100へ第1の公開鍵証明書Kp_M1とルート公開鍵証明書Kp_rとを送信する。また、通信部602は、通信装置200が送信した第2の公開鍵を受信する。また、通信部602は、通信装置200へ第2の公開鍵証明書Kp_M2とルート公開鍵証明書Kp_rとを送信する。
(Configuration of information processing system)
FIG. 2 shows an example of the configuration of the communication device 100, the communication device 200, the information processing device 300, and the route certificate authority 600 included in the information processing system 1 according to the present embodiment.
(Root certificate authority)
The root certificate authority 600 includes a bus line 650 such as an address bus or data bus for electrically connecting the communication unit 602, the control unit 604, the storage unit 620, and the above-described components as shown in FIG. Equipped with
The communication unit 602 is realized by a communication module. The communication unit 602 communicates with the communication device 100 and the communication device 200 via the communication network 50. The communication unit 602 receives the first public key transmitted by the communication device 100. Also, the communication unit 602 transmits the first public key certificate Kp_M1 and the root public key certificate Kp_r to the communication apparatus 100. The communication unit 602 also receives the second public key transmitted by the communication device 200. Also, the communication unit 602 transmits the second public key certificate Kp_M2 and the root public key certificate Kp_r to the communication device 200.

制御部604は、例えばCPU等の演算処理装置によって構成され、記憶部620に記憶されたプログラム(図示なし)を実行することにより、生成部603として機能する。
生成部603は、記憶部620に記憶されているルート秘密鍵Ks_rと、通信装置100が送信した第1の公開鍵とSIM識別情報simid100とを使用して、第1の公開鍵証明書Kp_M1を生成する。生成部603は、第1の公開鍵とSIM識別情報simid100とを格納した「X.509」規格の公開鍵証明書フォーマットのデータのハッシュ値hash(第1の公開鍵,simid100)を算出する。次いで、生成部603は、ハッシュ値hash(第1の公開鍵,simid100)を、記憶部620に記憶されているルート秘密鍵Ks_rで暗号化する。この暗号化データKs_r(hash(第1の公開鍵証明書,simid100))は、第1の公開鍵の電子署名である。次いで、生成部603は、第1の公開鍵と、SIM識別情報simid100と、第1の公開鍵の電子署名Ks_r(hash(第1の公開鍵証明書,simid1))とを含む「X.509」規格の公開鍵証明書フォーマットの第1の公開鍵証明書Kp_M1「第1の公開鍵,simid100,Ks_r(hash(第1の公開鍵,simid100))」を構成する。生成部603は、通信部602から通信装置100へ、生成した第1の公開鍵証明書Kp_M1を送信する。生成部603は、第1の公開鍵証明書Kp_M1とともに、ルート公開鍵証明書Kp_rを送信するようにしてもよい。
また、生成部603は、記憶部620に記憶されているルート秘密鍵Ks_rと通信装置200が送信した第2の公開鍵Kp_M2とSIM識別情報simid200とを使用して、上述した方法と同様にして、第2の公開鍵証明書Kp_M2を生成する。生成部603は、通信部602から通信装置200へ、生成した第2の公開鍵証明書Kp_M2を送信する。生成部603は、第2の公開鍵証明書Kp_M2とともに、ルート公開鍵証明書Kp_rを送信するようにしてもよい。
記憶部620は、不揮発性メモリ等の記憶装置によって実現される。記憶部620は、ルート公開鍵証明書Kp_rとルート秘密鍵Ks_rとプログラム(図示なし)とを記憶する。
The control unit 604 includes, for example, an arithmetic processing unit such as a CPU, and functions as the generation unit 603 by executing a program (not shown) stored in the storage unit 620.
The generation unit 603 uses the root secret key Ks_r stored in the storage unit 620, the first public key transmitted by the communication device 100, and the SIM identification information simid 100 to generate the first public key certificate Kp_M1. Generate The generation unit 603 calculates a hash value hash (first public key, simid 100) of data in the public key certificate format of the “X. 509” standard storing the first public key and the SIM identification information simid 100. Next, the generation unit 603 encrypts the hash value hash (first public key, simid 100) with the root secret key Ks_r stored in the storage unit 620. The encrypted data Ks_r (hash (first public key certificate, simid 100)) is a digital signature of the first public key. Next, the generation unit 603 includes “X. 509 including the first public key, SIM identification information simid 100, and the electronic signature Ks_r (hash (first public key certificate, simid 1)) of the first public key. The first public key certificate Kp_M1 “first public key, simid 100, Ks_r (hash (first public key, simid 100))” of the standard public key certificate format is configured. The generation unit 603 transmits the generated first public key certificate Kp_M1 from the communication unit 602 to the communication device 100. The generation unit 603 may transmit the root public key certificate Kp_r together with the first public key certificate Kp_M1.
Further, the generation unit 603 uses the root secret key Ks_r stored in the storage unit 620, the second public key Kp_M2 transmitted by the communication device 200, and the SIM identification information simid 200 in the same manner as the method described above. , Generate a second public key certificate Kp_M2. The generation unit 603 transmits the generated second public key certificate Kp_M2 from the communication unit 602 to the communication device 200. The generation unit 603 may transmit the root public key certificate Kp_r together with the second public key certificate Kp_M2.
Storage unit 620 is implemented by a storage device such as a non-volatile memory. The storage unit 620 stores the root public key certificate Kp_r, the root secret key Ks_r, and a program (not shown).

(通信装置)
通信装置100は、通信部102と制御部104と記憶部120とSIM130と操作部140と表示部145と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン150とを備える。
通信部102は、通信モジュールによって実現される。通信部102は、通信網50を経由して、ルート認証局600、通信装置200、及び情報処理装置300と通信を行う。通信部102は、通信装置200へ、属性証明書とパスワードとを送信する。
制御部104は、例えばCPU等の演算処理装置によって構成され、記憶部120に記憶されたプログラム124を実行することにより、鍵生成部106と取得部108として機能する。
鍵生成部106は、第1の公開鍵と第1の秘密鍵Ks_M1のペアを生成する。鍵生成部106は、SIM130に、第1の秘密鍵Ks_M1を記憶する。
取得部108は、ユーザが操作部140を操作することによって入力する権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得する。
記憶部120は、不揮発性メモリ等の記憶装置によって実現される。記憶部120は、プログラム124を記憶する。
SIM130は、セキュアエレメントによって実現される。SIM130は、SIM識別情報simid100とルート公開鍵証明書Kp_rと第1の公開鍵証明書Kp_M1と第1の秘密鍵Ks_M1と認証局アプリ134とを記憶する。認証局アプリ134は、プライベートなルート認証局の秘密鍵を保持する。認証局アプリ134は、公開鍵証明書の発行処理を行うアプリであり、ルート認証局と同じ役割を果たす。ここでは、認証局アプリ134は、SIM識別情報simid100とともに、取得部108が取得した権限を与える利用者の識別情報と許可する取引内容を示す情報とのダイジェスト値を演算し、第1の秘密鍵Ks_M1で、演算値を暗号化することによって電子署名を発行する。認証局アプリ134は、発行した電子署名を含む属性証明書を発行する。
操作部140は、ユーザの操作を受け付ける入力デバイスである。
表示部145は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(Communication device)
The communication device 100 includes an address bus for electrically connecting the communication unit 102, the control unit 104, the storage unit 120, the SIM 130, the operation unit 140, the display unit 145, and the above-described components as shown in FIG. And a bus line 150 such as a data bus.
The communication unit 102 is realized by a communication module. The communication unit 102 communicates with the route certificate authority 600, the communication device 200, and the information processing device 300 via the communication network 50. The communication unit 102 transmits the attribute certificate and the password to the communication device 200.
The control unit 104 includes, for example, an arithmetic processing unit such as a CPU, and functions as the key generation unit 106 and the acquisition unit 108 by executing the program 124 stored in the storage unit 120.
The key generation unit 106 generates a pair of the first public key and the first secret key Ks_M1. The key generation unit 106 stores the first secret key Ks_M1 in the SIM 130.
The acquisition unit 108 acquires identification information of the user who gives the authority to input by operating the operation unit 140 by the user and information indicating the content of the permitted transaction.
The storage unit 120 is realized by a storage device such as a non-volatile memory. The storage unit 120 stores the program 124.
The SIM 130 is realized by the secure element. The SIM 130 stores SIM identification information simid 100, a root public key certificate Kp_r, a first public key certificate Kp_M1, a first secret key Ks_M1, and a certificate authority application 134. The certificate authority application 134 holds the private key of the root certificate authority. The certificate authority application 134 is an application for issuing a public key certificate, and plays the same role as the root certificate authority. Here, the certificate authority application 134 calculates the digest value of the identification information of the user who gives the authority acquired by the acquisition unit 108 and the information indicating the content of the permitted transaction, together with the SIM identification information simid 100, and the first secret key A digital signature is issued by encrypting the operation value with Ks_M1. The certificate authority application 134 issues an attribute certificate including the issued electronic signature.
The operation unit 140 is an input device that receives a user's operation.
The display unit 145 is formed of, for example, a liquid crystal display, and displays a screen or the like for creating attribute information.

(通信装置)
通信装置200は、通信部202と制御部204と記憶部220とSIM230と操作部240と表示部245と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン250とを備える。
通信部202は、通信モジュールによって実現される。通信部202は、通信網50を経由して、ルート認証局600、通信装置100、及び情報処理装置300と通信を行う。通信部202は、通信装置100が送信した属性証明書を受信する。さらに、通信部202は、通信装置100が送信したパスワードを受信する。
通信部202は、情報処理装置300へ、電話番号とパスワードとを送信する。通信部202は、情報処理装置300へ、電話番号とパスワードとを送信した後、情報処理装置300が送信する認証結果を受信する。通信部202は、情報処理装置300が送信した認証結果が成功を示す場合、第2の公開鍵証明書と属性証明書とを送信する。
制御部204は、例えば演算処理装置によって構成され、記憶部220に記憶されたプログラム224を実行することにより、鍵生成部206と要求部210と認証部211として機能する。プログラム224には、バンキングアプリが含まれる。
鍵生成部206は、第2の公開鍵と該第2の公開鍵とペアとなる第2の秘密鍵Ks_M2とを生成する。鍵生成部206は、SIM230へ、第2の秘密鍵Ks_M2を記憶する。
(Communication device)
The communication device 200 includes an address bus for electrically connecting the communication unit 202, the control unit 204, the storage unit 220, the SIM 230, the operation unit 240, the display unit 245, and the above-described components as shown in FIG. And a bus line 250 such as a data bus.
The communication unit 202 is realized by a communication module. The communication unit 202 communicates with the route certificate authority 600, the communication device 100, and the information processing device 300 via the communication network 50. The communication unit 202 receives the attribute certificate transmitted by the communication device 100. Furthermore, the communication unit 202 receives the password transmitted by the communication device 100.
The communication unit 202 transmits the telephone number and the password to the information processing device 300. After transmitting the telephone number and the password to the information processing device 300, the communication unit 202 receives the authentication result transmitted by the information processing device 300. The communication unit 202 transmits the second public key certificate and the attribute certificate when the authentication result transmitted by the information processing device 300 indicates success.
The control unit 204 is configured of, for example, an arithmetic processing unit, and functions as the key generation unit 206, the request unit 210, and the authentication unit 211 by executing the program 224 stored in the storage unit 220. Program 224 includes a banking app.
The key generation unit 206 generates a second public key and a second secret key Ks_M2 that makes a pair with the second public key. The key generation unit 206 stores the second secret key Ks_M2 in the SIM 230.

要求部210は、情報処理装置300へ、所定の動作を要求する。要求部210は、通信装置100が送信した属性証明書を取得し、第2の公開鍵証明書Kp_M2とともに、通信部202から情報処理装置300へ送信する。
認証部211は、情報処理装置300との間で、認証を行う。認証部211は、ユーザが操作部240を操作することによって入力される電話番号とパスワードとを取得し、通信部202から情報処理装置300へ、該電話番号と該パスワードとを送信する。
記憶部220は、不揮発性メモリ等の記憶装置によって実現される。記憶部220は、プログラム224を記憶する。
SIM230は、SIM識別情報simid200と第2の公開鍵証明書Kp_M2と第2の秘密鍵Ks_M2とルート公開鍵証明書Kp_rとを記憶する。
操作部240は、ユーザの操作を受け付ける入力デバイスである。
表示部245は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
The request unit 210 requests the information processing apparatus 300 to perform a predetermined operation. The request unit 210 acquires the attribute certificate transmitted by the communication device 100, and transmits the attribute certificate from the communication unit 202 to the information processing device 300 together with the second public key certificate Kp_M2.
The authentication unit 211 performs authentication with the information processing apparatus 300. The authentication unit 211 acquires a telephone number and a password input by the user operating the operation unit 240, and transmits the telephone number and the password from the communication unit 202 to the information processing apparatus 300.
The storage unit 220 is realized by a storage device such as a non-volatile memory. The storage unit 220 stores a program 224.
The SIM 230 stores SIM identification information simid 200, a second public key certificate Kp_M2, a second secret key Ks_M2, and a root public key certificate Kp_r.
The operation unit 240 is an input device that receives a user's operation.
The display unit 245 is formed of, for example, a liquid crystal display, and displays a screen or the like for creating attribute information.

(情報処理装置)
情報処理装置300は、通信部302と制御部304と記憶部320と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン350とを備える。
通信部302は、通信モジュールによって実現される。通信部302は、通信網50を経由して、通信装置100、及び通信装置200と通信を行う。通信部302は、通信装置200が送信した電話番号とパスワードとを受信する。通信部302は、該電話番号とパスワードとに基づいて、制御部304が行った認証結果を送信する。通信部302は、認証結果が成功である場合に、通信装置200が送信した第2の公開鍵証明書Kp_M2と属性証明書とを受信する。
制御部304は、例えば演算処理装置によって構成され、記憶部320に記憶されたプログラム324を実行することにより、認証部312と検証部314と判定部316と実行部318として機能する。プログラム324には、バンキングアプリが含まれる。
認証部312は、権限を与える利用者の識別情報とパスワードとを関連付けて登録する。認証部312は、通信装置200が送信した利用者の識別情報とパスワードとの組み合わせが登録されているか否かを判定することによって、通信装置200のユーザを認証する。認証部312は、通信部302から、通信装置200へ、認証結果を送信する。
(Information processing device)
The information processing apparatus 300 includes a bus line 350 such as an address bus and a data bus for electrically connecting the communication unit 302, the control unit 304, the storage unit 320, and the above-described components as shown in FIG. Equipped with
The communication unit 302 is realized by a communication module. The communication unit 302 communicates with the communication device 100 and the communication device 200 via the communication network 50. The communication unit 302 receives the telephone number and the password transmitted by the communication device 200. The communication unit 302 transmits the authentication result performed by the control unit 304 based on the telephone number and the password. If the authentication result is successful, the communication unit 302 receives the second public key certificate Kp_M2 and the attribute certificate transmitted by the communication device 200.
The control unit 304 includes, for example, an arithmetic processing unit, and functions as an authentication unit 312, a verification unit 314, a determination unit 316, and an execution unit 318 by executing the program 324 stored in the storage unit 320. Program 324 includes a banking app.
The authentication unit 312 associates and registers the identification information of the user who gives the authority and the password. The authentication unit 312 authenticates the user of the communication apparatus 200 by determining whether the combination of the user's identification information and the password transmitted by the communication apparatus 200 is registered. The authentication unit 312 transmits an authentication result from the communication unit 302 to the communication device 200.

検証部314は、通信部302が第2の公開鍵証明書Kp_M2と属性証明書とを受信すると、第2の公開証明書Kp_M2を検証し、該第2の公開鍵証明書Kp_M2の検証が成功した場合、属性証明書を検証する。検証部314は、属性証明書の検証が成功した場合、判定部316へ、属性証明書の検証が成功したことを通知する。
判定部316は、SIM識別情報simid100と通信装置100のユーザの口座番号と該口座の所有者を示す情報と取引内容とを関連付けて記憶する。判定部316は、検証部314から属性証明書の検証が成功したことが通知されると、該属性証明書に含まれるSIM識別情報に関連付けて記憶している口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であるか否かを判定する。判定部316は、属性証明書の発行者と口座の所有者とが一致すると判定した場合、時間、金額、取引内容等の他の属性をチェックする。判定部316は、他の属性のチェックが完了した場合、実行部318へ、他の属性のチェックが完了したことを通知する。
実行部318は、判定部316から他の属性のチェックが完了したことが通知されると、属性証明書を復号し、該属性証明書を復号した結果に含まれる取引内容を実行する。
記憶部320は、不揮発性メモリ等の記憶装置によって実現される。記憶部320は、プログラム324を記憶する。
When the communication unit 302 receives the second public key certificate Kp_M2 and the attribute certificate, the verification unit 314 verifies the second public certificate Kp_M2, and the verification of the second public key certificate Kp_M2 is successful. If yes, verify the attribute certificate. If the verification of the attribute certificate is successful, the verification unit 314 notifies the determination unit 316 that the verification of the attribute certificate is successful.
The determination unit 316 associates and stores the SIM identification information simid 100, the account number of the user of the communication device 100, the information indicating the owner of the account, and the transaction content. When notified that the verification of the attribute certificate is successful from the verification unit 314, the determination unit 316 indicates information indicating the owner of the account stored in association with the SIM identification information included in the attribute certificate. It is determined whether or not the information indicating the issuer of the attribute certificate is the same. If the determination unit 316 determines that the issuer of the attribute certificate matches the owner of the account, the determination unit 316 checks other attributes such as time, amount, and transaction details. When the check of the other attribute is completed, the determination unit 316 notifies the execution unit 318 that the check of the other attribute is completed.
When notified that the check of the other attribute is completed from the determination unit 316, the execution unit 318 decrypts the attribute certificate, and executes the transaction content included in the result of decrypting the attribute certificate.
The storage unit 320 is realized by a storage device such as a non-volatile memory. The storage unit 320 stores the program 324.

(通信システムの動作)
図3は、本実施形態に係る情報処理システムの動作の一例を示すシーケンスチャートである。
ステップS302では、通信装置100と情報処理装置300との間で、接続処理が行われる。情報処理装置300の制御部304は、通信装置100のSIM130のSIM識別情報simid100(パスワード)を取得する。
ステップS304では、通信装置100は、情報処理装置300へ、口座番号、ログインパスワード等のログイン情報を送信することによってログインし、情報処理装置300はメニューを起動する。
ステップS306では、通信装置100の取得部108は、利用者の識別情報を取得する。また、情報処理装置300の制御部304は、利用者の識別情報を取得する。
ステップS308では、通信装置100の取得部108は、取引内容を示す情報を取得する。また、情報処理装置300の制御部304は、取引内容を示す情報を取得する。情報処理装置300の制御部304は、ステップS302で取得したSIM識別情報simid100と通信装置100のユーザの口座番号と該口座の所有者を示す情報と取引内容とを関連付けて記憶する。さらに、情報処理装置300は、取得した権限を与える利用者の識別情報に関連付けて、SIM識別情報simid100をパスワードとして記憶する。
ステップS310では、通信装置100の認証局アプリ134は、SIM識別情報simid100と利用者の識別情報と取引内容を示す情報とのダイジェストを、第1の秘密鍵Ks_M1で暗号化することによって電子署名を発行し、該電子署名を含む属性証明書を発行する。例えば、ダイジェストの例としてハッシュ(hash)値を使用してもよい。認証局アプリ134は、SIM識別情報simid100と利用者の識別情報と取引内容を示す情報とを格納した「X.509」規格の公開鍵証明書フォーマットのデータのハッシュ値hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報)を算出する。次いで、認証局アプリ134は、該ハッシュ値を、ルート秘密鍵Ks_rで暗号化する。この暗号化データKs_r(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))は、電子署名である。次いで、認証局アプリ134は、SIM識別情報simid100と利用者の識別情報と取引内容を示す情報と電子署名KRs(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))とを含む「X.509」規格の公開鍵証明書フォーマットのデジタル証明書(属性証明書)を発行する。
(Operation of communication system)
FIG. 3 is a sequence chart showing an example of the operation of the information processing system according to the present embodiment.
In step S302, connection processing is performed between the communication apparatus 100 and the information processing apparatus 300. The control unit 304 of the information processing device 300 acquires SIM identification information simid 100 (password) of the SIM 130 of the communication device 100.
In step S304, the communication apparatus 100 logs in by transmitting login information such as an account number and a login password to the information processing apparatus 300, and the information processing apparatus 300 activates a menu.
In step S306, the acquisition unit 108 of the communication apparatus 100 acquires the identification information of the user. Also, the control unit 304 of the information processing device 300 acquires identification information of the user.
In step S308, the acquisition unit 108 of the communication device 100 acquires information indicating the content of the transaction. Further, the control unit 304 of the information processing device 300 acquires information indicating the content of the transaction. The control unit 304 of the information processing device 300 stores the SIM identification information simid 100 acquired in step S302, the account number of the user of the communication device 100, the information indicating the owner of the account, and the transaction content in association with each other. Furthermore, the information processing apparatus 300 stores the SIM identification information simid 100 as a password in association with the acquired identification information of the user who gives the right.
In step S310, the certificate authority application 134 of the communication apparatus 100 encrypts the digital signature by encrypting the digest of the SIM identification information simid 100, the identification information of the user, and the information indicating the content of the transaction with the first secret key Ks_M1. Issue and issue an attribute certificate including the electronic signature. For example, a hash value may be used as an example of the digest. Certificate authority application 134 has hash value hash (SIM identification information simid 100, SIM identification information simid 100,) of data of public key certificate format of “X. 509” standard storing SIM identification information simid 100, user identification information and information indicating transaction content. The identification information of the user, information indicating the contents of the transaction) is calculated. Next, the certificate authority application 134 encrypts the hash value with the root secret key Ks_r. The encrypted data Ks_r (hash (SIM identification information simid 100, user identification information, information indicating transaction content)) is an electronic signature. Next, the certificate authority application 134 includes the SIM identification information simid 100, the identification information of the user, the information indicating the transaction content, and the electronic signature KRs (hash (SIM identification information simid 100, the user identification information, information indicating the transaction content)) Issue a digital certificate (attribute certificate) in the public key certificate format of the "X. 509" standard including

ステップS312では、通信装置100の通信部102は、SIM識別情報simid100(パスワード)と認証局アプリ134が発行した属性証明書とを、通信装置200へ、送信する。
ステップS314では、通信装置200の通信部202は、通信装置100が送信したSIM識別情報simid100と属性証明書とを受信する。これによって、通信装置200のユーザは、パスワードを確認できる。
ステップS316では、通信装置200と情報処理装置300との間で、接続処理が行われる。
ステップS318では、通信装置200の認証部211は、ユーザが操作部240を操作することによって入力した電話番号等の利用者の識別情報を取得する。
ステップS320では、通信装置200の認証部211は、取得した電話番号等の利用者の識別情報を、情報処理装置300へ送信する。
ステップS322では、通信装置200の認証部211は、ユーザが操作部240を操作することによって入力したパスワードを取得する。
ステップS324では、通信装置200の認証部211は、取得したパスワードを、情報処理装置300へ送信する。
ステップS326では、情報処理装置300の認証部312は、通信装置200が送信した電話番号とパスワードとを、通信部302から取得すると、該電話番号とパスワードとの組み合わせが登録されている場合には認証が成功であると判定し、登録されていない場合には認証が失敗であると判定する。
ステップS328では、情報処理装置300の認証部312は、通信部302から通信装置200へ、認証結果を送信する。ここでは、認証が成功した場合について説明を続ける。認証部312は、認証が失敗した場合には、情報処理装置300は、所定のエラー処理を実行するようにしてもよい。
ステップS330では、通信装置200の要求部210は、通信装置100が送信した属性証明書とSIM230に記憶されている第2の公開鍵証明書Kp_M2とを取得する。
In step S312, the communication unit 102 of the communication apparatus 100 transmits the SIM identification information simid 100 (password) and the attribute certificate issued by the certificate authority application 134 to the communication apparatus 200.
In step S314, the communication unit 202 of the communication device 200 receives the SIM identification information simid 100 and the attribute certificate transmitted by the communication device 100. Thereby, the user of the communication apparatus 200 can confirm the password.
In step S316, connection processing is performed between the communication device 200 and the information processing device 300.
In step S318, the authentication unit 211 of the communication apparatus 200 acquires the identification information of the user such as the telephone number input by the user operating the operation unit 240.
In step S320, the authentication unit 211 of the communication device 200 transmits the identification information of the user such as the acquired telephone number to the information processing device 300.
In step S322, the authentication unit 211 of the communication apparatus 200 acquires a password input by operating the operation unit 240 by the user.
In step S324, the authentication unit 211 of the communication device 200 transmits the acquired password to the information processing device 300.
In step S326, when the authentication unit 312 of the information processing device 300 acquires from the communication unit 302 the telephone number and the password transmitted by the communication device 200, the combination of the telephone number and the password is registered. It is determined that the authentication is successful, and if it is not registered, it is determined that the authentication is unsuccessful.
In step S328, the authentication unit 312 of the information processing device 300 transmits an authentication result from the communication unit 302 to the communication device 200. Here, the description will be continued regarding the case where the authentication is successful. If the authentication unit 312 fails in the authentication, the information processing apparatus 300 may execute a predetermined error process.
In step S330, the request unit 210 of the communication device 200 acquires the attribute certificate transmitted by the communication device 100 and the second public key certificate Kp_M2 stored in the SIM 230.

ステップS332では、通信装置200の要求部210は、属性証明書と第2の公開鍵証明書Kp_M2とを取得すると、通信部202から情報処理装置300へ、該属性証明書と第2の公開鍵証明書Kp_M2とを送信する。
ステップS334では、情報処理装置300の通信部302は、通信装置200が送信した属性証明書と第2の公開鍵証明書Kp_M2とを受信する。情報処理装置300の検証部314は、通信部302が受信した第2の公開鍵証明書Kp_M2を取得し、該第2の公開鍵証明書Kp_M2を検証する。検証部314は、第2の公開鍵証明書Kp_M2から第2の公開鍵とSIM識別情報simid200とを取得し、取得した第2の公開鍵とSIM識別情報simid200とを「X.509」規格の公開鍵証明書フォーマットに格納した検証データを生成する。該検証データにおいて、第2の公開鍵は、「X.509」規格の公開鍵証明書フォーマット中の所定位置に格納される。該検証データにおいて、SIM識別情報simid200は、「X.509」規格の公開鍵証明書フォーマット中の「サブジェクトパラメータ:主体者の名前」の位置に格納される。
In step S332, when the request unit 210 of the communication device 200 acquires the attribute certificate and the second public key certificate Kp_M2, the communication unit 202 transmits the attribute certificate and the second public key to the information processing device 300. Send the certificate Kp_M2.
In step S334, the communication unit 302 of the information processing device 300 receives the attribute certificate transmitted by the communication device 200 and the second public key certificate Kp_M2. The verification unit 314 of the information processing device 300 acquires the second public key certificate Kp_M2 received by the communication unit 302, and verifies the second public key certificate Kp_M2. The verification unit 314 acquires the second public key and the SIM identification information simid 200 from the second public key certificate Kp_M2, and acquires the acquired second public key and the SIM identification information simid 200 according to the "X. 509" standard Generate verification data stored in public key certificate format. In the verification data, the second public key is stored at a predetermined position in the public key certificate format of the "X. 509" standard. In the verification data, the SIM identification information simid 200 is stored at the position of “subject parameter: name of subject” in the public key certificate format of the “X. 509” standard.

次いで、検証部314は、該検証データのハッシュ値である検証ハッシュ値hash’(第2の公開鍵,simid200)を算出する。次いで、検証部314は、第2の公開鍵証明書Kp_M2から電子署名Ks_r(hash(第2の公開鍵,simid200))を取得し、取得した電子署名Ks_r(hash(第2の公開鍵,simid200))を、ルート公開鍵証明書Kp_rのルート公開鍵で復号する。この復号により、復号データ「Kp_r・Ks_r(hash(第2の公開鍵,simid200))」が得られる。次いで、検証部314は、検証ハッシュ値hash’(第2の公開鍵,simid200)と復号データ「KRp・KRs(hash(第2の公開鍵,simid200))」とが一致するかを判定する。この判定の結果、一致する場合には第2の公開鍵証明書Kp_M2の検証が合格であり、一致しない場合には第2の公開鍵証明書Kp_M2の検証が不合格である。ここでは、第2の公開鍵証明書Kp_M2の検証が成功した場合について説明を続ける。第2の公開鍵証明書Kp_M2の検証が失敗した場合、検証部314は、所定のエラー処理を実行してもよい。
ステップS336では、情報処理装置300の検証部314は、第2の公開鍵証明書Kp_M2の検証が成功した場合、属性証明書を検証する。検証部314は、属性証明書からSIM識別情報simid100と利用者の識別情報と取引内容を示す情報とを取得し、取得したSIM識別情報simid100と利用者の識別情報と取引内容を示す情報とを「X.509」規格の公開鍵証明書フォーマットに格納した検証データを生成する。
Next, the verification unit 314 calculates a verification hash value hash ′ (second public key, simid 200) that is a hash value of the verification data. Subsequently, the verification unit 314 acquires the electronic signature Ks_r (hash (second public key, simid 200)) from the second public key certificate Kp_M2, and the acquired electronic signature Ks_r (hash (second public key, simid 200) )) Is decrypted with the root public key of the root public key certificate Kp_r. By this decryption, decrypted data “Kp_r · Ks_r (hash (second public key, simid 200))” is obtained. Next, the verification unit 314 determines whether the verification hash value hash ′ (second public key, simid 200) and the decrypted data “KRp · KRs (hash (second public key, simid 200))” match. As a result of this determination, the verification of the second public key certificate Kp_M2 is a pass if they match, and the verification of the second public key certificate Kp_M2 is a fail if they do not match. Here, the description will be continued regarding the case where the verification of the second public key certificate Kp_M2 is successful. If the verification of the second public key certificate Kp_M2 fails, the verification unit 314 may execute predetermined error processing.
In step S336, if the verification of the second public key certificate Kp_M2 is successful, the verification unit 314 of the information processing device 300 verifies the attribute certificate. The verification unit 314 acquires SIM identification information simid 100, user identification information and information indicating transaction content from the attribute certificate, and the acquired SIM identification information simid 100, user identification information, and information indicating transaction content Generates verification data stored in the X. 509 standard public key certificate format.

次いで、検証部314は、該検証データのハッシュ値である検証ハッシュ値hash’(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報)を算出する。次いで、検証部314は、属性証明書から電子署名Ks_r(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))を取得し、取得した電子署名Ks_r(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))を、ルート公開鍵証明書Kp_rのルート公開鍵で復号する。この復号により、復号データ「Kp_r・Ks_r(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))」が得られる。次いで、検証部314は、検証ハッシュ値hash’(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報)と復号データ「KRp・KRs(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))」とが一致するかを判定する。この判定の結果、一致する場合には属性証明書の検証が合格であり、一致しない場合には属性証明書の検証が不合格である。ここでは、属性証明書の検証が成功した場合について説明を続ける。属性証明書の検証が失敗した場合、検証部314は、所定のエラー処理を実行してもよい。   Next, the verification unit 314 calculates a verification hash value hash '(SIM identification information simid 100, identification information of the user, information indicating transaction content) which is a hash value of the verification data. Next, the verification unit 314 acquires a digital signature Ks_r (hash (SIM identification information simid 100, user identification information, information indicating transaction content)) from the attribute certificate, and the acquired electronic signature Ks_r (hash (SIM identification information). The simid 100, the identification information of the user, and information indicating the contents of the transaction) are decrypted with the root public key of the root public key certificate Kp_r. Decryption data “Kp_r · Ks_r (hash (SIM identification information simid 100, user identification information, information indicating transaction content))” is obtained by this decryption. Next, the verification unit 314 verifies the verification hash value hash '(SIM identification information simid 100, identification information of the user, information indicating transaction content) and the decoded data "KRp · KRs (hash (SIM identification information simid 100, identification information of the user) , Information indicating the contents of the transaction)) is determined. As a result of this determination, if the two match, the verification of the attribute certificate is passed, and if the two do not match, the verification of the attribute certificate is failed. Here, the description will be continued regarding the case where the verification of the attribute certificate is successful. If verification of the attribute certificate fails, the verification unit 314 may execute predetermined error processing.

ステップS338では、情報処理装置300の判定部316は、属性証明書に含まれるSIM識別情報simid100に関連付けて記憶している口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であるか否かを判定する。ここでは、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致する場合について説明を続ける。判定部316は、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致する場合、実行部318へ、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致することを通知する。口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致しない場合、判定部316は、所定のエラー処理を実行してもよい。
ステップS340では、情報処理装置300の実行部318は、属性証明書を復号した結果に含まれる取引内容を実行する。
前述したシーケンスチャートのステップS318では、通信装置200の認証部211が、ユーザが操作部240を操作することによって入力した電話番号等の利用者の識別情報を取得する場合について説明したが、この限りでない。例えば、ユーザ操作による入力に限らず、通信装置200のSIM230から取得してもよい。
前述したシーケンスチャートのステップS322では、通信装置200の認証部211が、ユーザが操作部240を操作することによって入力したパスワードを取得する場合について説明したが、この限りでない。例えば、パスワード認証に限らず、通信装置200が備える生体認証(例えば、通信装置200に予め登録しておいたユーザの指紋を識別する情報、虹彩を識別する情報等を用いてユーザ本人か否かを判定する機能)でもよいし、パスワード認証と生体認証とを組み合わせてもよい。
本実施形態に係る情報処理システムでは、通信装置100は、SIM識別情報simid100と権限を与える利用者の識別情報と該許可する取引内容を示す情報とのダイジェスト値を演算し、演算値を第1の秘密鍵Ks_M1で暗号化することで電子署名を発行し、該電子署名を含む属性証明書を発行する。通信装置100は、属性証明書を発行すると、該属性証明書を通信装置200へ送信する。通信装置200は、通信装置100が送信した属性証明書を受信すると、該属性証明書を使用して、情報処理装置300に、通信装置200のユーザに許可する動作を実行させる。このように、通信装置200が、通信装置100が送信した属性証明書を使用して、情報処理装置300を動作させることによって、厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することができる。
In step S 338, the determination unit 316 of the information processing device 300 includes information indicating the owner of the account stored in association with the SIM identification information simid 100 included in the attribute certificate, and information indicating the issuer of the attribute certificate. It is determined whether the two are the same. Here, the description will be continued regarding the case where the information indicating the owner of the account matches the information indicating the issuer of the attribute certificate. If the information indicating the owner of the account matches the information indicating the issuer of the attribute certificate, the determining unit 316 sends the information indicating the owner of the account and the issuer of the attribute certificate to the executing unit 318. It notifies that the indicated information matches. If the information indicating the owner of the account does not match the information indicating the issuer of the attribute certificate, the determination unit 316 may execute predetermined error processing.
In step S340, the execution unit 318 of the information processing device 300 executes the transaction content included in the result of decrypting the attribute certificate.
In step S318 of the above-described sequence chart, the case has been described where the authentication unit 211 of the communication device 200 acquires user identification information such as a telephone number input by the user operating the operation unit 240, but Not For example, it may be acquired from SIM 230 of communication device 200 without being limited to input by user operation.
In step S322 of the sequence chart described above, the case has been described where the authentication unit 211 of the communication apparatus 200 acquires a password input by the user operating the operation unit 240, but the present invention is not limited to this. For example, not only password authentication but biometric authentication (for example, information identifying the fingerprint of the user registered in advance in the communication device 200, information identifying the iris, etc. is used to identify the user) Function) or password authentication and biometric authentication may be combined.
In the information processing system according to the present embodiment, the communication device 100 calculates the digest value of the SIM identification information simid 100, the identification information of the user who gives the authority, and the information indicating the content of the permitted transaction, and calculates the first calculated value. The digital signature is issued by encrypting with the secret key Ks_M1 of the ID, and the attribute certificate including the digital signature is issued. When the communication device 100 issues the attribute certificate, the communication device 100 transmits the attribute certificate to the communication device 200. When the communication device 200 receives the attribute certificate transmitted by the communication device 100, the communication device 200 causes the information processing device 300 to execute an operation of permitting the user of the communication device 200 using the attribute certificate. As described above, the communication apparatus 200 operates the information processing apparatus 300 by using the attribute certificate transmitted by the communication apparatus 100, thereby securing information assets safely in a service that requires strict authentication and authorization. It can be shared.

(第2の実施形態)
(情報処理システム)
本実施形態に係る情報処理システムは、図1を適用できる。ただし、本実施形態に係る情報処理システム2は、通信装置100の代わりに通信装置400を備え、通信装置200の代わりに通信装置500を備える。以下、第1の実施形態に係る情報処理システムと同様に、情報処理装置300の一例はATMであり、通信装置400、及び通信装置500のユーザへ、バンキングサービスを提供する場合について説明を続ける。
通信装置400のユーザは、ATMや、インターネットバンキングへログインする。通信装置400は、情報処理装置300へアクセスし、口座番号とログインパスワードとを送信することによって、インターネットバンキングへログインする。通信装置400のユーザは、ATMや、インターネットバンキングへログインすると、属性情報を作成するメニューを選択する。通信装置400のユーザが属性情報を作成するメニューを選択すると、通信装置400には、属性情報を作成する画面が表示される。
通信装置400のユーザは、属性情報を作成する画面を参照し、利用者の識別情報を指定することで、権限を与える利用者を選択する。通信装置400のユーザが権限を与える利用者を選択すると、通信装置400、及び情報処理装置300は、権限を与える利用者の識別情報を取得する。さらに、通信装置400のユーザは、属性情報を作成する画面を参照し、許可する取引内容を入力する。通信装置400のユーザが、許可する取引内容を入力すると、通信装置400、及び情報処理装置300は、許可する取引内容を示す情報を取得する。
Second Embodiment
(Information processing system)
The information processing system according to the present embodiment can apply FIG. 1. However, the information processing system 2 according to the present embodiment includes the communication device 400 instead of the communication device 100, and includes the communication device 500 instead of the communication device 200. Hereinafter, as in the information processing system according to the first embodiment, an example of the information processing apparatus 300 is an ATM, and the description will be continued regarding the case where a banking service is provided to the users of the communication apparatus 400 and the communication apparatus 500.
A user of the communication device 400 logs in to an ATM or Internet banking. The communication device 400 accesses the information processing device 300, and logs in to Internet banking by transmitting an account number and a login password. When the user of the communication apparatus 400 logs in to ATM or Internet banking, the user selects a menu for creating attribute information. When the user of the communication device 400 selects a menu for creating attribute information, the communication device 400 displays a screen for creating attribute information.
The user of the communication device 400 refers to the screen for creating the attribute information and designates the identification information of the user, thereby selecting the user to whom the user is authorized. When the user of the communication device 400 selects a user who gives the authority, the communication device 400 and the information processing device 300 acquire identification information of the user who gives the authority. Furthermore, the user of the communication device 400 refers to the screen for creating the attribute information and inputs the permitted transaction content. When the user of the communication device 400 inputs the permitted transaction content, the communication device 400 and the information processing device 300 acquire information indicating the permitted transaction content.

通信装置400は、SIM識別情報simid400を取得し、該SIM識別情報simid400と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid400と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とを含む属性情報を作成する。通信装置400は、属性情報を作成すると、該属性情報を通信装置500へ送信する。
情報処理装置300は、属性情報を送信した通信装置400が備えるSIMのPIN等のSIM識別情報simid400を取得し、該SIM識別情報simid400と通信装置400のユーザの口座番号と該口座の所有者を示す情報と取引内容とを関連付けて記憶する。ここで、口座の所有者を示す情報は、SIM識別情報で表される。さらに、情報処理装置300は、取得した権限を与える利用者の識別情報に関連付けて、SIM識別情報simid400をパスワードとして記憶する。通信装置400は、携帯電話ネットワーク等の無線通信ネットワークを介して、通信装置400のユーザが加入する通信サービスの加入者識別情報に基づいて、通信装置500へ、SIM識別情報simid100(パスワード)を送信する。
通信装置500が、通信装置100が送信した属性情報や、パスワードを受信すると、通信装置500のユーザは、ATMを操作することによって、情報処理装置300へアクセスし、取引メニューを選択する。通信装置500のユーザが取引メニューを選択すると、通信装置500の画面には、取引画面が表示される。通信装置500のユーザは、取引画面を参照し、電話番号や、メールアドレス等の利用者の識別情報とパスワードとを入力する。ATMは、入力された利用者の識別情報とパスワードとの組み合わせが登録されている場合、認証が成功したと判定する。
The communication device 400 acquires the SIM identification information simid 400, and upon acquiring the SIM identification information simid 400, the identification information of the user giving the authority and the information indicating the permitted transaction content, gives the SIM identification information simid 400 and the authority. Attribute information including user identification information and information indicating the content of the permitted transaction is created. When the communication device 400 creates attribute information, the communication device 400 transmits the attribute information to the communication device 500.
The information processing apparatus 300 acquires SIM identification information simid 400 such as a PIN of the SIM included in the communication apparatus 400 that has transmitted the attribute information, acquires the SIM identification information simid 400, the account number of the user of the communication apparatus 400, and the owner of the account. Information associated with the transaction content is stored in association with each other. Here, the information indicating the owner of the account is represented by SIM identification information. Furthermore, the information processing apparatus 300 stores the SIM identification information simid 400 as a password in association with the acquired identification information of the user who gives the right. The communication device 400 transmits SIM identification information simid 100 (password) to the communication device 500 based on the subscriber identification information of the communication service to which the user of the communication device 400 subscribes via the wireless communication network such as a cellular phone network. Do.
When the communication device 500 receives the attribute information and the password transmitted by the communication device 100, the user of the communication device 500 accesses the information processing device 300 by operating the ATM, and selects the transaction menu. When the user of the communication device 500 selects the transaction menu, a transaction screen is displayed on the screen of the communication device 500. The user of the communication device 500 refers to the transaction screen and inputs a user's identification information such as a telephone number and an e-mail address and a password. When the combination of the input user identification information and the password is registered, the ATM determines that the authentication is successful.

認証が成功した場合、通信装置500のユーザは、バンキングアプリを起動する。通信装置500のユーザは、バンキングアプリが起動すると、通信装置500が記憶している第5の公開鍵証明書Kp_M5と通信装置400が送信した属性情報とを、ATMへ送信する操作を行う。通信装置500のユーザが、第5の公開鍵証明書Kp_M5と属性情報とを、ATMへ送信する操作を行い、通信装置500をATMへかざすと、該第5の公開鍵証明書Kp_M5と該属性情報とが、ATMへ送信される。ATMは、通信装置500が送信した該第5の公開鍵証明書Kp_M5と該属性情報とを受信すると、該第5の公開鍵証明書Kp_M5と該属性情報とを情報処理装置300へ送信する。
情報処理装置300は、通信装置500が送信した第5の公開鍵証明書Kp_M5と属性情報とを取得すると、第5の公開鍵証明書Kp_M5を検証する。情報処理装置300は、第5の公開鍵証明書Kp_M5の検証が成功することによって、通信装置500のユーザを確認すると、属性情報に含まれるSIM識別情報に関連付けて記憶している口座の所有者を示す情報と該属性情報の送信者を示す情報とが同一であるか否かを判定する。情報処理装置300は、口座の所有者を示す情報と属性情報の送信者を示す情報とが同一であると判定すると、時間、金額、取引内容等の他の属性を確認し、該他の属性に問題ない場合、属性情報に記載されている取引内容を実行する。
If the authentication is successful, the user of the communication device 500 activates the banking application. When the banking application is activated, the user of the communication device 500 performs an operation of transmitting to the ATM the fifth public key certificate Kp_M5 stored in the communication device 500 and the attribute information transmitted by the communication device 400. When the user of the communication device 500 performs an operation of transmitting the fifth public key certificate Kp_M5 and the attribute information to the ATM and holding the communication device 500 over the ATM, the fifth public key certificate Kp_M5 and the attribute Information is sent to the ATM. When the ATM receives the fifth public key certificate Kp_M5 and the attribute information transmitted by the communication apparatus 500, the ATM transmits the fifth public key certificate Kp_M5 and the attribute information to the information processing apparatus 300.
When acquiring the fifth public key certificate Kp_M5 and the attribute information transmitted by the communication device 500, the information processing apparatus 300 verifies the fifth public key certificate Kp_M5. If the information processing apparatus 300 confirms the user of the communication apparatus 500 by verifying the fifth public key certificate Kp_M5 successfully, the owner of the account stored in association with the SIM identification information included in the attribute information It is determined whether or not the information indicating. And the information indicating the sender of the attribute information are the same. If the information processing apparatus 300 determines that the information indicating the owner of the account and the information indicating the sender of the attribute information are the same, the information processing apparatus 300 confirms other attributes such as time, money, transaction content, and the like. If there is no problem with the transaction content described in the attribute information is executed.

(情報処理システムの構成)
図4は、本実施形態に係る情報処理システム2に含まれる通信装置400と通信装置500と情報処理装置300とルート認証局600の構成の一例を示す。
(ルート認証局)
ルート認証局600は、第1の実施形態に係るルート認証局600を適用できる。
(Configuration of information processing system)
FIG. 4 illustrates an exemplary configuration of the communication device 400, the communication device 500, the information processing device 300, and the route certificate authority 600 included in the information processing system 2 according to the present embodiment.
(Root certificate authority)
The root certificate authority 600 can apply the root certificate authority 600 according to the first embodiment.

(通信装置)
通信装置400は、通信部402と制御部404と記憶部420とSIM430と操作部440と表示部445と上記各構成要素を図4に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン450とを備える。
通信部402は、通信部102を適用できる。ただし、通信部402は、通信装置200へ、属性情報とパスワードとを送信する。
制御部404は、例えばCPU等の演算処理装置によって構成され、記憶部420に記憶されたプログラム424を実行することにより、鍵生成部406と取得部408として機能する。
鍵生成部406は、第4の公開鍵と第4の秘密鍵Ks_M4のペアを生成する。鍵生成部406は、SIM430に、第4の秘密鍵Ks_M4を記憶する。
取得部408は、取得部108を適用できる。ただし、取得部408は、SIM識別情報simid400と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid400と該権限を与える利用者の識別情報と許可する取引内容を示す情報とを含む属性情報を作成する。
記憶部420は、不揮発性メモリ等の記憶装置によって実現される。記憶部420は、プログラム424を記憶する。
SIM430は、セキュアエレメントによって実現される。SIM430は、SIM識別情報simid400とルート公開鍵証明書Kp_rと第4の公開鍵証明書Kp_M4と第4の秘密鍵Ks_M4とを記憶する。
操作部440は、ユーザの操作を受け付ける入力デバイスである。
表示部445は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(Communication device)
The communication device 400 includes an address bus for electrically connecting the communication unit 402, the control unit 404, the storage unit 420, the SIM 430, the operation unit 440, the display unit 445, and the components described above as shown in FIG. And a bus line 450 such as a data bus.
The communication unit 402 can apply the communication unit 102. However, the communication unit 402 transmits the attribute information and the password to the communication device 200.
The control unit 404 is configured of an arithmetic processing unit such as a CPU, for example, and functions as a key generation unit 406 and an acquisition unit 408 by executing the program 424 stored in the storage unit 420.
The key generation unit 406 generates a pair of the fourth public key and the fourth secret key Ks_M4. The key generation unit 406 stores the fourth secret key Ks_M4 in the SIM 430.
The acquisition unit 408 can apply the acquisition unit 108. However, when the acquisition unit 408 acquires the SIM identification information simid 400, the identification information of the user giving the authority, and the information indicating the content of the permitted transaction, the SIM identification information simid 400 and the identification information of the user giving the authority and the permission Create attribute information including information indicating the content of the transaction to be made.
The storage unit 420 is realized by a storage device such as a non-volatile memory. The storage unit 420 stores the program 424.
The SIM 430 is realized by the secure element. The SIM 430 stores SIM identification information simid 400, a root public key certificate Kp_r, a fourth public key certificate Kp_M4, and a fourth secret key Ks_M4.
The operation unit 440 is an input device that receives a user's operation.
The display unit 445 is formed of, for example, a liquid crystal display, and displays a screen or the like for creating attribute information.

(通信装置)
通信装置500は、通信部502と制御部504と記憶部520とSIM530と操作部540と表示部545と上記各構成要素を図4に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン550とを備える。
通信部502は、通信部202を適用できる。ただし、通信部502は、通信装置400が送信した属性情報を受信する。通信部502は、情報処理装置300が送信した認証結果が成功を示す場合、第5の公開鍵証明書と属性情報とを送信する。
制御部504は、例えば演算処理装置によって構成され、記憶部520に記憶されたプログラム524を実行することにより、鍵生成部506と要求部510と認証部511として機能する。
鍵生成部506は、第5の公開鍵と第5の秘密鍵Ks_M5のペアを生成する。鍵生成部506は、SIM530に、第5の秘密鍵Ks_M5を記憶する。
要求部510は、要求部210を適用できる。ただし、要求部510は、通信装置400が送信した属性情報を取得し、第5の公開鍵証明書Kp_M5とともに、通信部502から情報処理装置300へ送信する。
認証部511は、認証部211を適用できる。
記憶部520は、不揮発性メモリ等の記憶装置によって実現される。記憶部520は、プログラム524を記憶する。
SIM530は、SIM識別情報simid500と第5の公開鍵証明書Kp_M5と第5の秘密鍵Ks_M5とルート公開鍵証明書Kp_rとを記憶する。
操作部540は、ユーザの操作を受け付ける入力デバイスである。
表示部545は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(Communication device)
Communication device 500 includes an address bus for electrically connecting communication unit 502, control unit 504, storage unit 520, SIM 530, operation unit 540, display unit 545, and the above-described components as shown in FIG. And a bus line 550 such as a data bus.
The communication unit 502 can apply the communication unit 202. However, the communication unit 502 receives the attribute information transmitted by the communication device 400. The communication unit 502 transmits the fifth public key certificate and the attribute information when the authentication result transmitted by the information processing device 300 indicates success.
The control unit 504 is configured of, for example, an arithmetic processing unit, and functions as the key generation unit 506, the request unit 510, and the authentication unit 511 by executing the program 524 stored in the storage unit 520.
The key generation unit 506 generates a pair of the fifth public key and the fifth secret key Ks_M5. The key generation unit 506 stores the fifth secret key Ks_M5 in the SIM 530.
The request unit 510 can apply the request unit 210. However, the request unit 510 acquires the attribute information transmitted by the communication device 400, and transmits the attribute information from the communication unit 502 to the information processing device 300 together with the fifth public key certificate Kp_M 5.
The authentication unit 511 can apply the authentication unit 211.
The storage unit 520 is realized by a storage device such as a non-volatile memory. The storage unit 520 stores the program 524.
The SIM 530 stores SIM identification information simid 500, a fifth public key certificate Kp_M5, a fifth private key Ks_M5, and a root public key certificate Kp_r.
The operation unit 540 is an input device that receives a user's operation.
The display unit 545 is formed of, for example, a liquid crystal display and the like, and displays a screen and the like for creating attribute information.

(情報処理装置)
情報処理装置300は、第1の実施形態の情報処理装置300を適用できる。ただし、検証部314は、通信部302が第5の公開鍵証明書Kp_M5と属性情報とを受信すると、第5の公開証明書Kp_M5を検証し、該第5の公開鍵証明書Kp_M5の検証が成功した場合、判定部316へ、第5の公開鍵証明書Kp_M5の検証が成功したことを通知する。
判定部316は、検証部314から第5の公開鍵証明書Kp_M5の検証が成功したことが通知されると、該属性情報に含まれるSIM識別情報に関連付けて記憶している口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であるか否かを判定する。判定部316は、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であると判定した場合、時間、金額、取引内容等の他の属性をチェックする。判定部316は、他の属性のチェックが完了した場合、実行部318へ、他の属性のチェックが完了したことを通知する。
(Information processing device)
The information processing apparatus 300 can apply the information processing apparatus 300 of the first embodiment. However, when the communication unit 302 receives the fifth public key certificate Kp_M5 and attribute information, the verification unit 314 verifies the fifth public certificate Kp_M5, and the verification of the fifth public key certificate Kp_M5 is performed. If the determination is successful, the determination unit 316 is notified that the verification of the fifth public key certificate Kp_M5 is successful.
When notified by the verification unit 314 that the verification of the fifth public key certificate Kp_M5 is successful, the determination unit 316 determines the owner of the account stored in association with the SIM identification information included in the attribute information. It is determined whether the indicated information and the information indicating the issuer of the attribute certificate are identical. If it is determined that the information indicating the owner of the account and the information indicating the issuer of the attribute certificate are the same, the determining unit 316 checks other attributes such as time, amount of money, and transaction details. When the check of the other attribute is completed, the determination unit 316 notifies the execution unit 318 that the check of the other attribute is completed.

(通信システムの動作)
図5は、本実施形態に係る情報処理システムの動作の一例を示すシーケンスチャートである。
ステップS502−S508は、図3のステップS302−S308を適用できる。
ステップS510では、通信装置400の取得部408は、SIM識別情報simid400と利用者の識別情報と取引内容を示す情報とを含む属性情報を作成する。
ステップS512では、通信装置400の通信部402は、取得部408が作成した属性情報を、通信装置500へ、送信する。
ステップS514では、通信装置500の通信部502は、通信装置400が送信した属性情報を受信する。これによって、通信装置400のユーザは、パスワードを確認できる。
ステップS516−S528は、図3のステップS316−S328を適用できる。
ステップS530では、通信装置500の要求部510は、通信装置400が送信した属性情報とSIM530に記憶されている第5の公開鍵証明書Kp_M5とを取得する。
ステップS532では、通信装置500の要求部510は、属性情報と第5の公開鍵証明書Kp_M5とを取得すると、通信部502から情報処理装置300へ、該属性情報と第5の公開鍵証明書Kp_M5とを送信する。
ステップS534では、情報処理装置300の通信部302は、通信装置500が送信した属性情報と第5の公開鍵証明書Kp_M5とを受信する。情報処理装置300の検証部314は、通信部302が受信した第5の公開鍵証明書Kp_M5を取得し、該第5の公開鍵証明書Kp_M5を検証する。ここでは、第5の公開鍵証明書Kp_M5の検証が成功した場合について説明を続ける。第5の公開鍵証明書Kp_M5の検証が失敗した場合、検証部514は、所定のエラー処理を実行してもよい。
(Operation of communication system)
FIG. 5 is a sequence chart showing an example of the operation of the information processing system according to the present embodiment.
Steps S502-S508 can apply steps S302-S308 of FIG.
In step S510, the acquisition unit 408 of the communication device 400 creates attribute information including the SIM identification information simid 400, the identification information of the user, and information indicating the content of the transaction.
In step S512, the communication unit 402 of the communication device 400 transmits the attribute information created by the acquisition unit 408 to the communication device 500.
In step S514, the communication unit 502 of the communication device 500 receives the attribute information transmitted by the communication device 400. Thereby, the user of the communication device 400 can confirm the password.
Steps S516-S528 can apply steps S316-S328 of FIG.
In step S530, the request unit 510 of the communication device 500 acquires the attribute information transmitted by the communication device 400 and the fifth public key certificate Kp_M5 stored in the SIM 530.
In step S532, when the request unit 510 of the communication device 500 acquires the attribute information and the fifth public key certificate Kp_M5, the communication unit 502 transmits the attribute information and the fifth public key certificate to the information processing device 300. Send Kp_M5.
In step S534, the communication unit 302 of the information processing device 300 receives the attribute information transmitted by the communication device 500 and the fifth public key certificate Kp_M5. The verification unit 314 of the information processing device 300 acquires the fifth public key certificate Kp_M5 received by the communication unit 302, and verifies the fifth public key certificate Kp_M5. Here, the description will be continued regarding the case where the verification of the fifth public key certificate Kp_M5 is successful. If the verification of the fifth public key certificate Kp_M5 fails, the verification unit 514 may execute predetermined error processing.

ステップS536では、情報処理装置300の判定部316は、属性証明書に含まれるSIM識別情報simid100に関連付けて記憶している口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であるか否かを判定する。口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致する場合について説明を続ける。判定部5316は、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致する場合、実行部518へ、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致することを通知する。口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致しない場合、判定部516は、所定のエラー処理を実行してもよい。
ステップS536では、情報処理装置300の実行部318は、属性情報を復号した結果に含まれる取引内容を実行する。
In step S536, the determination unit 316 of the information processing device 300 includes information indicating the owner of the account stored in association with the SIM identification information simid 100 included in the attribute certificate, and information indicating the issuer of the attribute certificate. It is determined whether the two are the same. The description will continue on the case where the information indicating the owner of the account matches the information indicating the issuer of the attribute certificate. If the information indicating the owner of the account matches the information indicating the issuer of the attribute certificate, the determining unit 5316 sends the information indicating the owner of the account and the issuer of the attribute certificate to the executing unit 518. It notifies that the indicated information matches. If the information indicating the owner of the account does not match the information indicating the issuer of the attribute certificate, the determination unit 516 may execute predetermined error processing.
In step S536, the execution unit 318 of the information processing device 300 executes the transaction content included in the result of decoding the attribute information.

本実施形態に係る情報処理システムでは、通信装置400は、SIM識別情報simid400と権限を与える利用者の識別情報と該許可する取引内容を示す情報とを含む属性情報を作成する。通信装置400は、属性情報を作成すると、該属性情報を通信装置500へ送信する。通信装置500は、通信装置400が送信した属性情報を受信すると、該属性情報と通信装置500のユーザを確認するための第5の公開鍵証明書Kp_M5とを使用して、情報処理装置300に、通信装置500のユーザに許可する動作を実行させる。このように、通信装置500が、通信装置400が送信した属性情報と第5の公開鍵証明書Kp_M5を使用して、情報処理装置300を動作させることによって、厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することができる。   In the information processing system according to the present embodiment, the communication device 400 creates attribute information including SIM identification information simid 400, identification information of a user who gives authority, and information indicating the content of the permitted transaction. When the communication device 400 creates attribute information, the communication device 400 transmits the attribute information to the communication device 500. When the communication device 500 receives the attribute information transmitted by the communication device 400, the communication device 500 uses the attribute information and the fifth public key certificate Kp_M5 for confirming the user of the communication device 500 to the information processing device 300. , And allow the user of the communication device 500 to execute an operation. As described above, the communication apparatus 500 requires strict authentication and authorization by operating the information processing apparatus 300 using the attribute information transmitted by the communication apparatus 400 and the fifth public key certificate Kp_M5. In services, information assets can be shared safely.

(第3の実施形態)
(情報処理システム)
本実施形態に係る情報処理システムは、図1を適用できる。ただし、本実施形態に係る情報処理システム3は、通信装置100の代わりに通信装置800を備え、通信装置200の代わりに通信装置900を備え、情報処理装置300の代わりに情報処理装置700を備える。以下、第1の実施形態に係る情報処理システムと同様に、情報処理装置700の一例はATMであり、通信装置800、及び通信装置900のユーザへ、バンキングサービスを提供する場合について説明を続ける。
通信装置800のユーザは、ATMや、インターネットバンキングへログインする。通信装置800は、情報処理装置700へアクセスし、口座番号とログインパスワードとを送信することによって、インターネットバンキングへログインする。通信装置800のユーザは、ATMや、インターネットバンキングへログインすると、属性情報を作成するメニューを選択する。通信装置800のユーザが属性情報を作成するメニューを選択すると、通信装置800には、属性情報を作成する画面が表示される。
通信装置800のユーザは、属性情報を作成する画面を参照し、利用者の識別情報を指定することで、権限を与える利用者を選択する。通信装置800のユーザが権限を与える利用者を選択すると、通信装置800、及び情報処理装置700は、権限を与える利用者の識別情報を取得する。さらに、通信装置800のユーザは、属性情報を作成する画面を参照し、許可する取引内容を入力する。通信装置800のユーザが、許可する取引内容を入力すると、通信装置800、及び情報処理装置700は、許可する取引内容を示す情報を取得する。
Third Embodiment
(Information processing system)
The information processing system according to the present embodiment can apply FIG. 1. However, the information processing system 3 according to the present embodiment includes the communication device 800 instead of the communication device 100, includes the communication device 900 instead of the communication device 200, and includes the information processing device 700 instead of the information processing device 300. . Hereinafter, as in the information processing system according to the first embodiment, an example of the information processing apparatus 700 is an ATM, and the description will be continued regarding the case where a banking service is provided to the users of the communication apparatus 800 and the communication apparatus 900.
A user of the communication device 800 logs in to an ATM or internet banking. The communication device 800 accesses the information processing device 700, and logs in to the internet banking by transmitting the account number and the login password. When the user of the communication apparatus 800 logs in to the ATM or the Internet banking, the user selects a menu for creating attribute information. When the user of the communication device 800 selects a menu for creating attribute information, a screen for creating attribute information is displayed on the communication device 800.
The user of the communication device 800 refers to the screen for creating attribute information and designates the identification information of the user, thereby selecting the user to whom the user is authorized. When the user of the communication device 800 selects a user who gives the authority, the communication device 800 and the information processing device 700 acquire identification information of the user who gives the authority. Furthermore, the user of the communication device 800 refers to the screen for creating attribute information and inputs the permitted transaction content. When the user of the communication device 800 inputs the permitted transaction content, the communication device 800 and the information processing device 700 acquire information indicating the permitted transaction content.

通信装置800は、SIM識別情報simid800を取得し、該SIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid800と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とを、情報処理装置700へ送信する。
情報処理装置700は、通信装置800が送信したSIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid800と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とのダイジェスト値を演算し、演算値を第7の秘密鍵Ks_Jで暗号化することで電子署名を発行する。そして、情報処理装置700は、発行した電子署名を含む属性証明書を発行する。情報処理装置700は、属性証明書を発行すると、該属性証明書をレポジトリ1000へ記憶する。レポジトリ1000は、記憶装置であり、データを一元的に貯蔵する。情報処理装置700は、SIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを送信した通信装置800が備えるSIM識別情報simid800を取得し、該SIM識別情報simid800と通信装置800のユーザの口座番号と該口座の所有者を示す情報と取引内容とを関連付けて記憶する。ここで、口座の所有者を示す情報は、SIM識別情報で表される。さらに、情報処理装置700は、取得した権限を与える利用者の識別情報に関連付けて、SIM識別情報simid400をパスワードとして記憶する。
通信装置800は、携帯電話ネットワーク等の無線通信ネットワークを介して、通信装置800のユーザが加入する通信サービスの加入者識別情報に基づいて、通信装置900へ、SIM識別情報simid800(パスワード)を送信する。
The communication device 800 acquires the SIM identification information simid 800, and upon acquiring the SIM identification information simid 800, the identification information of the user giving the authority and the information indicating the permitted transaction content, gives the SIM identification information simid 800 and the authority. The identification information of the user and the information indicating the content of the permitted transaction are transmitted to the information processing apparatus 700.
When the information processing apparatus 700 acquires the SIM identification information simid 800 transmitted by the communication apparatus 800, the identification information of the user giving the authority, and the information indicating the content of the permitted transaction, the SIM identification information simid 800 and the user giving the authority. A digital signature is issued by calculating the digest value of the identification information of the information and the information indicating the content of the permitted transaction, and encrypting the calculation value with the seventh secret key Ks_J. Then, the information processing apparatus 700 issues an attribute certificate including the issued electronic signature. When the information processing apparatus 700 issues an attribute certificate, the information processing apparatus 700 stores the attribute certificate in the repository 1000. The repository 1000 is a storage device, and stores data centrally. The information processing apparatus 700 acquires the SIM identification information simid 800 included in the communication apparatus 800 that has transmitted the SIM identification information simid 800, the identification information of the user who gives the authority, and the information indicating the content of the permitted transaction. The account number of the user of the communication device 800, the information indicating the owner of the account, and the transaction content are associated and stored. Here, the information indicating the owner of the account is represented by SIM identification information. Furthermore, the information processing apparatus 700 stores the SIM identification information simid 400 as a password in association with the acquired identification information of the user who gives the right.
The communication device 800 transmits SIM identification information simid 800 (password) to the communication device 900 based on the subscriber identification information of the communication service to which the user of the communication device 800 subscribes via the wireless communication network such as a cellular phone network. Do.

通信装置900が、通信装置800が送信した属性情報や、パスワードを受信すると、通信装置900のユーザは、ATMを操作することによって、情報処理装置700へアクセスし、取引メニューを選択する。通信装置900のユーザが取引メニューを選択すると、通信装置900の画面には、取引画面が表示される。通信装置900のユーザは、取引画面を参照し、電話番号や、メールアドレス等の利用者の識別情報とパスワードとを入力する。ATMは、入力された利用者の識別情報とパスワードとの組み合わせが登録されている場合、認証が成功したと判定する。
認証が成功した場合、通信装置900のユーザは、バンキングアプリを起動する。通信装置500のユーザは、バンキングアプリが起動すると、通信装置900が記憶している第9の公開鍵証明書Kp_M9を、ATMへ送信する操作を行う。通信装置900のユーザが、第9の公開鍵証明書Kp_M9を、ATMへ送信する操作を行い、通信装置900をATMへかざすと、該第9の公開鍵証明書Kp_M9が、ATMへ送信される。ATMは、通信装置900が送信した該第9の公開鍵証明書Kp_M9を受信すると、該第9の公開鍵証明書Kp_M9を情報処理装置700へ送信する。
When the communication apparatus 900 receives the attribute information and the password transmitted by the communication apparatus 800, the user of the communication apparatus 900 accesses the information processing apparatus 700 by operating the ATM, and selects the transaction menu. When the user of the communication device 900 selects the transaction menu, the transaction screen is displayed on the screen of the communication device 900. The user of the communication apparatus 900 refers to the transaction screen, and inputs a user's identification information such as a telephone number and an e-mail address and a password. When the combination of the input user identification information and the password is registered, the ATM determines that the authentication is successful.
If the authentication is successful, the user of the communication device 900 activates the banking application. When the banking application is activated, the user of the communication device 500 performs an operation of transmitting the ninth public key certificate Kp_M9 stored in the communication device 900 to the ATM. When the user of the communication apparatus 900 performs an operation to transmit the ninth public key certificate Kp_M9 to the ATM and holds the communication apparatus 900 over the ATM, the ninth public key certificate Kp_M9 is transmitted to the ATM. . When the ATM receives the ninth public key certificate Kp_M9 transmitted by the communication apparatus 900, the ATM transmits the ninth public key certificate Kp_M9 to the information processing apparatus 700.

情報処理装置700は、通信装置900が送信した第9の公開鍵証明書Kp_M9を取得すると、第9の公開鍵証明書Kp_M9を検証する。情報処理装置700は、第9の公開鍵証明書Kp_M9の検証が成功することによって、通信装置900のユーザを確認すると、該第9の公開鍵証明書Kp_M9からSIM識別情報simid900を取得する。情報処理装置700は、レポジトリ1000から、取得したSIM識別情報simid900が権限を与える利用者の識別情報と一致する属性証明書を取得する。情報処理装置700は、属性証明書を取得すると、該属性証明書を復号し、時間、金額、取引内容等の他の属性を確認し、該他の属性に問題ない場合、属性情報に記載されている取引内容を実行する。   When acquiring the ninth public key certificate Kp_M9 transmitted by the communication apparatus 900, the information processing apparatus 700 verifies the ninth public key certificate Kp_M9. When the information processing apparatus 700 confirms the user of the communication apparatus 900 by successfully verifying the ninth public key certificate Kp_M9, the information processing apparatus 700 acquires SIM identification information simid 900 from the ninth public key certificate Kp_M9. The information processing apparatus 700 acquires, from the repository 1000, an attribute certificate in which the acquired SIM identification information simid 900 matches the identification information of the user to whom the authorization is given. When acquiring the attribute certificate, the information processing apparatus 700 decrypts the attribute certificate, confirms other attributes such as time, money, and transaction content, and if there is no problem with the other attributes, the attribute information is described in Execute the contents of the transaction.

(情報処理システムの構成)
図6は、本実施形態に係る情報処理システム3に含まれる通信装置800と通信装置900と情報処理装置700とルート認証局600とレポジトリ1000との構成の一例を示す。
(ルート認証局)
ルート認証局600は、第1の実施形態に係るルート認証局600を適用できる。
(通信装置)
通信装置800は、通信部802と制御部804と記憶部820とSIM830と操作部840と表示部845と上記各構成要素を図6に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン850とを備える。
通信部802は、通信部102を適用できる。ただし、通信部802は、情報処理装置700へ、利用者の識別情報と取引内容を示す情報とを送信する。通信部802は、通信装置900へ、パスワードを送信する。
制御部804は、例えばCPU等の演算処理装置によって構成され、記憶部820に記憶されたプログラム824を実行することにより、鍵生成部806と取得部808として機能する。
鍵生成部806は、第8の公開鍵と第8の秘密鍵Ks_M8のペアを生成する。鍵生成部806は、SIM830に、第5の秘密鍵Ks_M8を記憶する。
取得部808は、取得部108を適用できる。ただし、取得部408は、SIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid800と該権限を与える利用者の識別情報と許可する取引内容を示す情報とを、通信部802から情報処理装置700へ送信する。
記憶部820は、不揮発性メモリ等の記憶装置によって実現される。記憶部820は、プログラム824を記憶する。
SIM830は、セキュアエレメントによって実現される。SIM830は、SIM識別情報simid800とルート公開鍵証明書Kp_rと第8の公開鍵証明書Kp_M8と第8の秘密鍵Ks_M8とを記憶する。
操作部840は、ユーザの操作を受け付ける入力デバイスである。
表示部845は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(Configuration of information processing system)
FIG. 6 shows an example of the configuration of the communication device 800, the communication device 900, the information processing device 700, the root certificate authority 600, and the repository 1000 included in the information processing system 3 according to this embodiment.
(Root certificate authority)
The root certificate authority 600 can apply the root certificate authority 600 according to the first embodiment.
(Communication device)
The communication device 800 includes an address bus for electrically connecting the communication unit 802, the control unit 804, the storage unit 820, the SIM 830, the operation unit 840, the display unit 845, and the above-described components as shown in FIG. And a bus line 850 such as a data bus.
The communication unit 802 can apply the communication unit 102. However, the communication unit 802 transmits the identification information of the user and the information indicating the content of the transaction to the information processing apparatus 700. The communication unit 802 transmits the password to the communication device 900.
The control unit 804 includes, for example, an arithmetic processing unit such as a CPU, and functions as a key generation unit 806 and an acquisition unit 808 by executing the program 824 stored in the storage unit 820.
The key generation unit 806 generates a pair of the eighth public key and the eighth secret key Ks_M8. The key generation unit 806 stores the fifth secret key Ks_M8 in the SIM 830.
The acquisition unit 808 can apply the acquisition unit 108. However, when the acquisition unit 408 acquires the SIM identification information simid 800, the identification information of the user giving the authority, and the information indicating the content of the permitted transaction, the SIM identification information simid 800 and the identification information of the user giving the authority and the permission The communication unit 802 transmits information indicating the content of the transaction to be performed to the information processing apparatus 700.
The storage unit 820 is realized by a storage device such as a non-volatile memory. The storage unit 820 stores the program 824.
The SIM 830 is implemented by the secure element. The SIM 830 stores SIM identification information simid 800, a root public key certificate Kp_r, an eighth public key certificate Kp_M8, and an eighth secret key Ks_M8.
The operation unit 840 is an input device that receives a user's operation.
The display unit 845 is formed of, for example, a liquid crystal display, and displays a screen or the like for creating attribute information.

(通信装置)
通信装置900は、通信部902と制御部904と記憶部920とSIM930と操作部940と表示部945と上記各構成要素を図6に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン950とを備える。
通信部902は、通信部202を適用できる。ただし、通信部902は、情報処理装置700が送信した認証結果が成功を示す場合、第9の公開鍵証明書Kp_M9を、情報処理装置700送信する。
制御部904は、例えば演算処理装置によって構成され、記憶部920に記憶されたプログラム924を実行することにより、鍵生成部906と要求部910と認証部911として機能する。プログラム924には、バンキングアプリが含まれる。
鍵生成部906は、第9の公開鍵と第9の秘密鍵Ks_M9のペアを生成する。鍵生成部906は、SIM930に、第9の秘密鍵Ks_M9を記憶する。
要求部910は、要求部910を適用できる。ただし、要求部910は、通信部902から情報処理装置700へ、第9の公開鍵証明書Kp_M9を送信する。
認証部911は、認証部211を適用できる。
記憶部920は、不揮発性メモリ等の記憶装置によって実現される。記憶部920は、プログラム924を記憶する。
SIM930は、SIM識別情報simid900と第9の公開鍵証明書Kp_M9と第9の秘密鍵Ks_M9とルート公開鍵証明書Kp_rとを記憶する。
操作部940は、ユーザの操作を受け付ける入力デバイスである。
表示部945は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(Communication device)
Communication device 900 includes an address bus for electrically connecting communication unit 902, control unit 904, storage unit 920, SIM 930, operation unit 940, display unit 945, and the above-described components as shown in FIG. And a bus line 950 such as a data bus.
The communication unit 902 can apply the communication unit 202. However, when the authentication result transmitted by the information processing apparatus 700 indicates success, the communication unit 902 transmits the ninth public key certificate Kp_M9 to the information processing apparatus 700.
The control unit 904 is configured by, for example, an arithmetic processing unit, and functions as a key generation unit 906, a request unit 910, and an authentication unit 911 by executing the program 924 stored in the storage unit 920. Program 924 includes a banking app.
The key generation unit 906 generates a pair of the ninth public key and the ninth secret key Ks_M9. The key generation unit 906 stores the ninth secret key Ks_M9 in the SIM 930.
The request unit 910 can apply the request unit 910. However, the request unit 910 transmits the ninth public key certificate Kp_M9 from the communication unit 902 to the information processing apparatus 700.
The authentication unit 911 can apply the authentication unit 211.
The storage unit 920 is realized by a storage device such as a non-volatile memory. Storage unit 920 stores program 924.
The SIM 930 stores SIM identification information simid 900, a ninth public key certificate Kp_M9, a ninth private key Ks_M9, and a root public key certificate Kp_r.
The operation unit 940 is an input device that receives a user's operation.
The display unit 945 is formed of, for example, a liquid crystal display and displays a screen and the like for creating attribute information.

(情報処理装置)
情報処理装置700は、通信部702と制御部704と記憶部720とSIM730と上記各構成要素を図6に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン750とを備える。
通信部702は、通信モジュールによって実現される。通信部702は、通信網50を経由して、通信装置800、及び通信装置900と通信を行う。通信部702は、通信装置800が送信したSIM識別情報simid800と利用者の識別情報と取引内容を示す情報とを受信する。通信部702は、通信装置900が送信した電話番号や、メールアドレス等の利用者の識別情報とパスワードとを受信する。通信部702は、該電話番号とパスワードとに基づく認証結果を送信する。通信部702は、認証結果が成功である場合に、通信装置900が送信した第9の公開鍵証明書Kp_M9を受信する。
制御部704は、例えば演算処理装置によって構成され、記憶部720に記憶されたプログラム724を実行することにより、取得部708と認証部712と検証部714と判定部716と実行部718として機能する。
取得部708は、通信装置800が送信したSIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得する。
認証部712は、権限を与える利用者の識別情報とパスワードとを関連付けて登録する。認証部712は、通信装置900が送信した利用者の識別情報とパスワードとの組み合わせが登録されているか否かを判定することによって、通信装置900のユーザを認証する。認証部712は、通信部702から、通信装置900へ、認証結果を送信する。
検証部714は、検証部314を適用できる。ただし、検証部714は、通信部702が第9の公開鍵証明書Kp_M9を受信すると、該第9の公開証明書Kp_M9を検証する。検証部714は、第9の公開鍵証明書Kp_M9の検証が成功した場合、判定部716へ、第9の公開鍵証明書Kp_M9の検証が成功したことを通知する。
判定部716は、判定部316を適用できる。ただし、判定部716は、検証部714から第9の公開鍵証明書Kp_M9の検証が成功したことが通知されると、該第9の公開鍵証明書Kp_M9からSIM識別情報simid900を取得する。判定部716は、レポジトリ1000から、取得したSIM識別情報simid900が権限を与える利用者の識別情報と一致する属性証明書を取得する。判定部716は、該属性証明書を復号する。判定部716は、該属性証明書を復号すると、該属性証明書の復号結果に含まれる時間、金額、取引内容等他の属性をチェックする。判定部716は、他の属性のチェックが完了した場合、実行部718へ、他の属性のチェックが完了したことを通知する。
実行部718は、判定部716から他の属性のチェックが完了したことが通知されると、該属性証明書の復号結果に含まれる取引内容を実行する。
記憶部720は、不揮発性メモリ等の記憶装置によって実現される。記憶部720は、プログラム724を記憶する。
SIM730は、セキュアエレメントによって実現される。SIM730は、SIM識別情報simid700とルート公開鍵証明書Kp_rと第7の公開鍵証明書Kp_Jと第7の秘密鍵Ks_Jと認証局アプリ734とを記憶する。認証局アプリ734は、プライベートなルート認証局の秘密鍵を保持する。認証局アプリ734は、公開鍵証明書の発行処理を行うアプリであり、ルート認証局と同じ役割を果たす。ここでは、認証局アプリ734は、取得部708が取得したSIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とのダイジェスト値を演算し、第7の秘密鍵Ks_Jで、演算値を暗号化することによって電子署名を発行する。認証局アプリ734は、発行した電子署名を含む属性証明書を発行する。認証局アプリ734は、属性証明書を発行すると、該属性証明書を、通信部702からレポジトリ1000へ送信する。
(Information processing device)
The information processing apparatus 700 is a bus line such as an address bus or a data bus for electrically connecting the communication unit 702, the control unit 704, the storage unit 720, the SIM 730, and the above-described components as shown in FIG. And 750.
The communication unit 702 is realized by a communication module. The communication unit 702 communicates with the communication device 800 and the communication device 900 via the communication network 50. The communication unit 702 receives the SIM identification information simid 800 transmitted by the communication device 800, the identification information of the user, and the information indicating the content of the transaction. The communication unit 702 receives the telephone number sent by the communication device 900, the identification information of the user such as the e-mail address, and the password. The communication unit 702 transmits an authentication result based on the telephone number and the password. When the authentication result is successful, the communication unit 702 receives the ninth public key certificate Kp_M9 transmitted by the communication device 900.
The control unit 704 includes, for example, an arithmetic processing unit, and functions as an acquisition unit 708, an authentication unit 712, a verification unit 714, a determination unit 716, and an execution unit 718 by executing the program 724 stored in the storage unit 720. .
The acquisition unit 708 acquires the SIM identification information simid 800 transmitted by the communication device 800, the identification information of the user who gives the authority, and the information indicating the content of the permitted transaction.
The authentication unit 712 associates and registers the identification information of the user who gives the authority and the password. The authentication unit 712 authenticates the user of the communication apparatus 900 by determining whether the combination of the user's identification information and the password transmitted by the communication apparatus 900 is registered. The authentication unit 712 transmits an authentication result from the communication unit 702 to the communication device 900.
The verification unit 714 can apply the verification unit 314. However, when the communication unit 702 receives the ninth public key certificate Kp_M9, the verification unit 714 verifies the ninth public certificate Kp_M9. If the verification of the ninth public key certificate Kp_M9 is successful, the verification unit 714 notifies the determination unit 716 that the verification of the ninth public key certificate Kp_M9 is successful.
The determination unit 716 can apply the determination unit 316. However, when notified by the verification unit 714 that the verification of the ninth public key certificate Kp_M9 is successful, the determination unit 716 acquires the SIM identification information simid 900 from the ninth public key certificate Kp_M9. The determination unit 716 acquires, from the repository 1000, an attribute certificate that matches the identification information of the user to whom the acquired SIM identification information simid 900 gives the authorization. The determination unit 716 decrypts the attribute certificate. When the determination unit 716 decrypts the attribute certificate, the determination unit 716 checks other attributes such as time, money, and transaction content included in the decryption result of the attribute certificate. When the check of the other attribute is completed, the determination unit 716 notifies the execution unit 718 that the check of the other attribute is completed.
When notified by the determination unit 716 that the check of other attributes is completed, the execution unit 718 executes the transaction content included in the decryption result of the attribute certificate.
The storage unit 720 is realized by a storage device such as a non-volatile memory. The storage unit 720 stores the program 724.
The SIM 730 is realized by the secure element. The SIM 730 stores SIM identification information simid 700, a root public key certificate Kp_r, a seventh public key certificate Kp_J, a seventh private key Ks_J, and a certificate authority application 734. The certificate authority application 734 holds a private root certificate authority secret key. The certificate authority application 734 is an application that issues a public key certificate and plays the same role as the root certificate authority. Here, the certificate authority application 734 computes a digest value of the SIM identification information simid 800 acquired by the acquisition unit 708, the identification information of the user who gives the authority, and the information indicating the content of the permitted transaction, Issue a digital signature by encrypting the computed value. The certificate authority application 734 issues an attribute certificate including the issued electronic signature. When issuing the attribute certificate, the certificate authority application 734 transmits the attribute certificate from the communication unit 702 to the repository 1000.

(レポジトリ)
レポジトリ1000は、通信部1002と制御部1004と記憶部1020と上記各構成要素を図6に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン1050とを備える。
通信部1002は、通信モジュールによって実現される。通信部1002は、通信網50を経由して、情報処理装置700と通信を行う。通信部1002は、情報処理装置700が送信した属性証明書と権限を与える利用者の識別情報とを受信する。
制御部1004は、例えばCPU等の演算処理装置によって構成され、記憶部1020に記憶されたプログラム(図示なし)を実行することによって、通信部1002が受信した属性証明書と権限を与える利用者の識別情報とを関連づけて、記憶部1020に記憶する。
記憶部1020は、プログラムを記憶するとともに、属性証明書と権限を与える利用者の識別情報とを関連づけて記憶する。
(Repository)
The repository 1000 includes a communication unit 1002, a control unit 1004, a storage unit 1020, and a bus line 1050 such as an address bus or a data bus for electrically connecting the above-described components as shown in FIG. .
The communication unit 1002 is realized by a communication module. The communication unit 1002 communicates with the information processing apparatus 700 via the communication network 50. The communication unit 1002 receives the attribute certificate sent by the information processing apparatus 700 and the identification information of the user who gives the authority.
The control unit 1004 is constituted by an arithmetic processing unit such as a CPU, for example, and executes the program (not shown) stored in the storage unit 1020 to obtain the attribute certificate received by the communication unit 1002 and the authority given to the user. It is stored in the storage unit 1020 in association with the identification information.
The storage unit 1020 stores the program, and associates and stores the attribute certificate and the identification information of the user who gives the authority.

(通信システムの動作)
図7は、本実施形態に係る情報処理システムの動作の一例を示すシーケンスチャートである。
ステップS702−S708は、図3のステップS302−S308を適用できる。
ステップS710では、通信装置800の取得部808は、利用者の識別情報と取引内容を示す情報とを、通信部802から情報処理装置700へ送信する。
ステップS712では、情報処理装置700の認証局アプリ734は、通信部702が受信したSIM識別情報simid800と利用者の識別情報と取引内容を示す情報とを取得部708から取得し、該SIM識別情報simid800と該利用者の識別情報と該取引内容を示す情報とのダイジェストを、第7の秘密鍵Ks_Jで暗号化することによって電子署名を発行し、該電子署名を含む属性証明書を発行する。
ステップS714では、情報処理装置700の認証局アプリ734は、発行した属性証明書を、通信部702からレポジトリ1000へ送信する。レポジトリ1000は、情報処理装置700が送信した属性証明書と権限を与える利用者の識別情報とを受信すると、該属性情報と権限を与える利用者の識別情報とを関連付けて記憶する。
ステップS716−S728は、図3のステップS316−S328を適用できる。
ステップS730では、通信装置900の要求部910は、SIM930に記憶されている第9の公開鍵証明書Kp_M5を取得する。
ステップS732では、通信装置900の要求部910は、第9の公開鍵証明書Kp_M9を取得すると、通信部902から情報処理装置700へ、該第9の公開鍵証明書Kp_M9を送信する。
ステップS734では、情報処理装置700の通信部702は、通信装置900が送信した第9の公開鍵証明書Kp_M9を受信する。情報処理装置700の検証部714は、通信部702が受信した第9の公開鍵証明書Kp_M9を取得し、該第9の公開鍵証明書Kp_M9を検証する。ここでは、第9の公開鍵証明書Kp_M9の検証が成功した場合について説明を続ける。検証部714は、第9の公開鍵証明書Kp_M9の検証が成功した場合、判定部716へ、第9の公開鍵証明書Kp_M9の検証が成功したことを通知する。第9の公開鍵証明書Kp_M9の検証が失敗した場合、検証部714は、所定のエラー処理を実行してもよい。
ステップS736では、情報処理装置700の判定部716は、検証部714から第9の公開鍵証明書Kp_M9の検証が成功したことが通知されると、レポジトリ1000からSIM識別情報simid900と関連付けられた属性証明書を取得する。
ステップS738では、情報処理装置700の判定部716は、属性証明書を取得すると、該属性証明書を復号し、復号した内容に基づいて、時間、金額、取引内容等の他の属性を確認し、該他の属性に問題ない場合、実行部718へ、他の属性に問題がないことを通知する。
ステップS740では、情報処理装置700の実行部718は、属性証明書を復号することによって得られる取引内容を実行する。
(Operation of communication system)
FIG. 7 is a sequence chart showing an example of the operation of the information processing system according to the present embodiment.
Steps S702-S708 can apply steps S302-S308 of FIG.
In step S710, the acquisition unit 808 of the communication device 800 transmits the identification information of the user and the information indicating the content of the transaction from the communication unit 802 to the information processing device 700.
In step S 712, the certificate authority application 734 of the information processing apparatus 700 acquires from the acquisition unit 708 the SIM identification information simid 800 received by the communication unit 702, the identification information of the user, and the information indicating the transaction content. A digital signature is issued by encrypting the digest of the simid 800, the identification information of the user, and the information indicating the content of the transaction with the seventh private key Ks_J, and an attribute certificate including the electronic signature is issued.
In step S714, the certificate authority application 734 of the information processing device 700 transmits the issued attribute certificate from the communication unit 702 to the repository 1000. When the repository 1000 receives the attribute certificate sent by the information processing apparatus 700 and the identification information of the user who gives the authority, the repository 1000 associates the attribute information with the identification information of the user who gives the authority, and stores them.
Steps S716-S728 can apply steps S316-S328 of FIG.
In step S730, the request unit 910 of the communication device 900 acquires the ninth public key certificate Kp_M5 stored in the SIM 930.
In step S732, when the request unit 910 of the communication apparatus 900 obtains the ninth public key certificate Kp_M9, the communication unit 902 transmits the ninth public key certificate Kp_M9 to the information processing apparatus 700.
In step S734, the communication unit 702 of the information processing device 700 receives the ninth public key certificate Kp_M9 transmitted by the communication device 900. The verification unit 714 of the information processing device 700 acquires the ninth public key certificate Kp_M9 received by the communication unit 702, and verifies the ninth public key certificate Kp_M9. Here, the description will be continued regarding the case where the verification of the ninth public key certificate Kp_M9 is successful. If the verification of the ninth public key certificate Kp_M9 is successful, the verification unit 714 notifies the determination unit 716 that the verification of the ninth public key certificate Kp_M9 is successful. If the verification of the ninth public key certificate Kp_M9 fails, the verification unit 714 may execute predetermined error processing.
In step S 736, when the determining unit 716 of the information processing device 700 is notified by the verifying unit 714 that the verification of the ninth public key certificate Kp_M 9 is successful, the attribute associated with the SIM identification information simid 900 from the repository 1000. Get a certificate.
In step S 738, when acquiring the attribute certificate, the determination unit 716 of the information processing device 700 decrypts the attribute certificate, and confirms other attributes such as time, money, and transaction content based on the decrypted content. If there is no problem with the other attribute, the execution unit 718 notifies that there is no problem with the other attribute.
In step S740, the execution unit 718 of the information processing device 700 executes the transaction content obtained by decrypting the attribute certificate.

本実施形態に係る情報処理システムでは、通信装置800は、SIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを、情報処理装置700へ送信する。情報処理装置700は、通信装置800が送信した該SIM識別情報simid800と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とを取得すると、該SIM識別情報simid800と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とのダイジェスト値を演算し、演算値を第7の秘密鍵Ks_Jで暗号化することで電子署名を発行し、該電子署名を含む属性証明書を発行する。情報処理装置700は、属性証明書を発行すると、該属性証明書をレポジトリ1000へ記憶する。通信装置900は、情報処理装置700へ、第9の公開鍵証明書Kp_M9を送信することによって、情報処理装置700に、通信装置900のユーザに許可する動作を実行させる。このように、通信装置900が、通信装置100が送信した属性証明書を使用して、情報処理装置300を動作させることによって、厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することができる。   In the information processing system according to the present embodiment, the communication device 800 transmits, to the information processing device 700, the SIM identification information simid 800, the identification information of the user who gives the authority, and the information indicating the content of the permitted transaction. When the information processing apparatus 700 acquires the SIM identification information simid 800 transmitted by the communication apparatus 800, the identification information of the user giving the right, and the information indicating the content of the permitted transaction, the SIM identification information simid 800 and the right are obtained. The digital signature is issued by calculating the digest value of the identification information of the given user and the information indicating the content of the permitted transaction, and the calculated value is encrypted with the seventh secret key Ks_J, and the attribute including the digital signature Issue a certificate. When the information processing apparatus 700 issues an attribute certificate, the information processing apparatus 700 stores the attribute certificate in the repository 1000. The communication device 900 causes the information processing device 700 to execute the operation of permitting the user of the communication device 900 by transmitting the ninth public key certificate Kp_M9 to the information processing device 700. In this way, the communication apparatus 900 operates the information processing apparatus 300 using the attribute certificate transmitted by the communication apparatus 100, thereby securing information assets safely in a service that requires strict authentication and authorization. It can be shared.

(変形例(その1)
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、情報処理装置300は、通信装置200のユーザ又は通信装置500のユーザに許可する動作を実行する前に、セキュリティをより強化するために、ユーザ認証(二要素目の認証)を行う。
(通信システムの動作)
図8は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。情報処理装置300は、MasterSecretを記憶する。
ステップS802では、通信装置200のSIM230又は通信装置500のSIM530に、共通鍵Kc_cがオンザエア(On The Air:OTA)で通知される。
ステップS804では、通信装置200のSIM230又は通信装置500のSIM530に、共通鍵Kc_cとMAC用の共通鍵Kc_macと暗号/復号用の共通鍵Kc_encとが書き込まれる。ここで、ステップS802とステップS804の代わりに、通信装置200のSIM230又は通信装置500のSIM530に、共通鍵Kc_cとMAC用の共通鍵Kc_macと暗号/復号用の共通鍵Kc_encとがプリセットされてもよい。
ステップS806では、通信装置200のバンキングアプリは、CPUを認証部211として機能させる。また、通信装置500のバンキングアプリは、CPUを認証部511として機能させる。認証部211又は認証部511は、利用者の識別情報等のIDとパスワードとを、情報処理装置300へ送信することによって、認証部312との間で、ログイン認証を行う。
ステップS808では、通信装置200の認証部211又は通信装置500の認証部511は、チャレンジ(乱数C)を生成し、該チャレンジと店番号と口座番号とを、通信部202又は通信部502から情報処理装置300へ送信する。
ステップS810では、情報処理装置300の通信部302は、通信装置200又は通信装置500が送信した該チャレンジと該店番号と該口座番号とを受信する。認証部312は、MAC用の共通鍵Kc_macと暗号/復号用の共通鍵Kc_encとを生成する。そして、認証部312は、共通鍵Kc_cを生成する。具体的には、認証部312は、MasterSecretと金融機関コードと店番と口座番号と鍵種別とのダイジェストを演算することによって、共通鍵Kc_cを生成する。
(Modification (Part 1)
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, the information processing apparatus 300 performs user authentication (second element) in order to further enhance security before executing an operation to permit the user of the communication apparatus 200 or the user of the communication apparatus 500. Authentication).
(Operation of communication system)
FIG. 8 is a sequence chart showing an example of the operation of the information processing system according to the modification. The information processing device 300 stores MasterSecret.
In step S802, the common key Kc_c is notified to the SIM 230 of the communication apparatus 200 or the SIM 530 of the communication apparatus 500 on the air (OTA).
In step S804, the common key Kc_c, the common key Kc for MAC, and the common key Kc_enc for encryption / decryption are written in the SIM 230 of the communication apparatus 200 or the SIM 530 of the communication apparatus 500. Here, instead of steps S802 and S804, even if the common key Kc_c, the common key Kc for MAC and the common key Kc_enc for encryption / decryption are preset in the SIM 230 of the communication apparatus 200 or the SIM 530 of the communication apparatus 500. Good.
In step S806, the banking application of the communication device 200 causes the CPU to function as the authentication unit 211. The banking application of the communication device 500 causes the CPU to function as the authentication unit 511. The authentication unit 211 or the authentication unit 511 performs login authentication with the authentication unit 312 by transmitting an ID such as identification information of the user and a password to the information processing apparatus 300.
In step S808, the authentication unit 211 of the communication apparatus 200 or the authentication unit 511 of the communication apparatus 500 generates a challenge (random number C), and the challenge, the store number, and the account number are obtained from the communication unit 202 or the communication unit 502. It transmits to the processing device 300.
In step S810, the communication unit 302 of the information processing device 300 receives the challenge transmitted by the communication device 200 or the communication device 500, the store number, and the account number. The authentication unit 312 generates a common key Kc_mac for MAC and a common key Kc_enc for encryption / decryption. Then, the authentication unit 312 generates a common key Kc_c. Specifically, the authentication unit 312 generates the common key Kc_c by calculating the digest of MasterSecret, the financial institution code, the store number, the account number, and the key type.

ステップS812では、情報処理装置300の認証部312は、レスポンスKc_c(乱数C)を生成する。認証部312は、レスポンスKc_c(乱数C)を作成すると、チャレンジ(乱数S)を生成する。認証部312は、チャレンジ(乱数S)を生成すると、該チャレンジ(乱数S)とレスポンスKc_c(乱数C)とを、通信部302から通信装置200又は通信装置500へ送信する。
ステップS816では、通信装置200の通信部202又は通信装置500の通信部502は、情報処理装置300が送信したチャレンジ(乱数S)とレスポンスKc_c(乱数C)とを受信すると、該チャレンジ(乱数S)と該レスポンスKc_c(乱数C)とを、認証部211又は認証部511へ出力する。認証部211又は認証部511は、該チャレンジ(乱数S)と該レスポンスKc_c(乱数C)とを取得すると、該レスポンスKc_c(乱数C)を検証する。レスポンスKc_c(乱数C)の検証が成功した場合、認証部312は、レスポンスKc_c(乱数S)を生成する。検証が失敗した場合には、所定のエラー処理を実行するようにしてもよい。
ステップS818では、認証部211又は認証部511は、レスポンスKc_c(乱数S)を生成すると、該レスポンスKc_c(乱数S)を通信部202又は通信部502から情報処理装置300へ送信する。
ステップS820では、情報処理装置300の通信部302は、通信装置200又は通信装置500が送信したレスポンスKc_c(乱数S)を受信すると、該レスポンスKc_c(乱数S)を、認証部312へ出力する。認証部312は、レスポンスKc_c(乱数S)を取得すると、該レスポンスKc_c(乱数S)を検証する。レスポンスKc_c(乱数S)を検証が成功であった場合、情報処理装置300は、属性証明書を復号することによって得られる取引内容を実行する。
本変形例によれば、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を行うことによって、セキュリティをより強化することができる。
In step S812, the authentication unit 312 of the information processing device 300 generates a response Kc_c (random number C). When creating the response Kc_c (random number C), the authentication unit 312 generates a challenge (random number S). When generating the challenge (random number S), the authentication unit 312 transmits the challenge (random number S) and the response Kc_c (random number C) from the communication unit 302 to the communication device 200 or the communication device 500.
In step S816, when the communication unit 202 of the communication apparatus 200 or the communication unit 502 of the communication apparatus 500 receives the challenge (random number S) and the response Kc_c (random number C) transmitted by the information processing apparatus 300, the challenge (random number S). And the response Kc_c (random number C) to the authentication unit 211 or the authentication unit 511. When acquiring the challenge (random number S) and the response Kc_c (random number C), the authentication unit 211 or the authentication unit 511 verifies the response Kc_c (random number C). If the verification of the response Kc_c (random number C) is successful, the authentication unit 312 generates a response Kc_c (random number S). If the verification fails, predetermined error processing may be performed.
In step S 818, when the authentication unit 211 or the authentication unit 511 generates a response Kc_c (random number S), the communication unit 202 or the communication unit 502 transmits the response Kc_c (random number S) to the information processing apparatus 300.
In step S820, when the communication unit 302 of the information processing device 300 receives the response Kc_c (random number S) transmitted by the communication device 200 or the communication device 500, the communication unit 302 outputs the response Kc_c (random number S) to the authentication unit 312. When acquiring the response Kc_c (random number S), the authentication unit 312 verifies the response Kc_c (random number S). If the verification of the response Kc_c (random number S) is successful, the information processing apparatus 300 executes the transaction content obtained by decrypting the attribute certificate.
According to the present modification, the information processing apparatus 300 performs user authentication (second element authentication) before executing the operation for permitting the user of the second communication apparatus or the user of the fifth communication apparatus. Can further enhance security.

(変形例(その2))
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、セキュリティをより強化するために、ユーザ認証(二要素目の認証)を行う。
(通信システムの動作)
図9は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。通信装置200のSIM230、及び通信装置500のSIM530は、MasterSecretを記憶する。情報処理装置300は、MasterSecretを記憶する。
ステップS902では、通信装置200のバンキングアプリはSIM230へ金融機関コードと店番と口座番号とを通知する。また、通信装置500のバンキングアプリはSIM530へ金融機関コードと店番と口座番号とを通知する。
ステップS904では、通信装置200のSIM230又は通信装置500のSIM530は、MasterSecretと金融機関コードと店番と口座番号と鍵種別とのダイジェストを演算することによって共通鍵Kc_cを生成する。ここで、鍵種別は、MAC用の共通鍵Kc_mac及び暗号/復号用の共通鍵Kc_encのいずれかである。
ステップS906−S920は、図8のステップS806−S820を適用できる。
本変形例によれば、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を行うことによって、セキュリティをより強化することができる。
(Modification (Part 2))
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, the information processing apparatus 300 performs user authentication in order to strengthen security before executing an operation for permitting the user of the second communication apparatus or the user of the fifth communication apparatus. Perform (second factor authentication).
(Operation of communication system)
FIG. 9 is a sequence chart showing an example of the operation of the information processing system according to the modification. The SIM 230 of the communication device 200 and the SIM 530 of the communication device 500 store MasterSecret. The information processing device 300 stores MasterSecret.
In step S902, the banking application of the communication device 200 notifies the SIM 230 of the financial institution code, the store number, and the account number. Also, the banking application of the communication device 500 notifies the SIM 530 of the financial institution code, the store number, and the account number.
In step S904, the SIM 230 of the communication apparatus 200 or the SIM 530 of the communication apparatus 500 generates a common key Kc_c by computing a digest of MasterSecret, a financial institution code, a store number, an account number, and a key type. Here, the key type is either the MAC common key Kc_mac or the encryption / decryption common key Kc_enc.
Steps S906-S920 can apply steps S806-S820 of FIG.
According to the present modification, the information processing apparatus 300 performs user authentication (second element authentication) before executing the operation for permitting the user of the second communication apparatus or the user of the fifth communication apparatus. Can further enhance security.

(変形例(その3))
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、通信装置200又は通信装置500と情報処理装置300との間で、取引内容を示す情報(以下、「取引情報」という。)の認証を行う。ただし、情報処理装置300は、SIMを備え、該SIMには、SIM識別情報simid300とルート公開鍵証明書Kp_rと第3の公開鍵証明書Kp_J3と第3の秘密鍵Ks_J3とを記憶する。また、通信装置200及び通信装置500は、バンキングアプリとUSAT(Universal SIM Application Toolkit)とベースバンドチップとを備える。さらに、通信装置200のSIM230及び通信装置500のSIM530は、取引認証用アプリを記憶する。
(通信システムの動作)
図10は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。以下、一例として、通信装置200と情報処理装置300との間で行われる通信について説明する。
ステップS1002では、通信装置200のバンキングアプリは、HTTPS(Hypertext Transfer Protocol Secure)等の通信を安全に行うためのプロトコルで、情報処理装置300へ、取引情報を送信する。
ステップS1004では、情報処理装置300の通信部302は、通信装置200が送信した取引情報を受信する。情報処理装置300の認証部312は、通信部302が取引情報を受信すると、該取引情報に対する応答(以下、「取引確認」という。)を生成する。認証部312は、取引確認を生成すると、SIM識別情報simid300と該取引確認とのダイジェスト値とを演算し、第3の秘密鍵Ks_J3で、該演算した結果を暗号化することによって電子署名を発行する。そして、認証部312は、取引確認を暗号化する。具体的には、認証部312は、CMAC等の共通鍵で取引確認を暗号化するようにしてもよいし、第3の秘密鍵Ks_J3で暗号化するようにしてもよい。
ステップS1006では、情報処理装置300の通信部302は、SMS等の情報処理装置300のユーザが加入する通信サービスの加入者識別情報に基づいて送信するサービスを使用して、通信装置200へ、暗号化した取引確認と電子署名とを送信する。
ステップS1008では、通信装置200のベースバンドチップは、情報処理装置300が送信した暗号化した取引確認と電子署名とを受信する。通信装置200の取引認証用アプリは、通信部202が暗号化した取引確認と電子署名とを受信すると、該電子署名を検証する。ここでは、電子署名の検証が成功した場合について説明を続ける。電子署名の検証が失敗した場合には、所定のエラー処理が行われてもよい。
ステップS1010では、通信装置200の取引認証用アプリは、電子署名の検証が成功すると、電子署名の検証が成功したことを、USATへ通知する。USATは、取引認証用アプリから電子署名の検証が成功したことが通知されると、表示部245へ、取引認証用の画面を表示する。図10に示される取引認証用の画面には、「取引情報」と「取引確認」とが表示される。
(Modification (Part 3))
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, between the communication device 200 or the communication device 500 and the information processing device 300, authentication of information (hereinafter, referred to as “transaction information”) indicating transaction content is performed. However, the information processing apparatus 300 includes a SIM, and the SIM stores SIM identification information simid 300, a root public key certificate Kp_r, a third public key certificate Kp_J3, and a third secret key Ks_J3. The communication device 200 and the communication device 500 also include a banking application, a Universal SIM Application Toolkit (USAT), and a baseband chip. Furthermore, the SIM 230 of the communication device 200 and the SIM 530 of the communication device 500 store a transaction authentication application.
(Operation of communication system)
FIG. 10 is a sequence chart showing an example of the operation of the information processing system according to the modification. Hereinafter, communication performed between the communication device 200 and the information processing device 300 will be described as an example.
In step S1002, the banking application of the communication apparatus 200 transmits transaction information to the information processing apparatus 300 using a protocol for securely performing communication such as HTTPS (Hypertext Transfer Protocol Secure).
In step S1004, the communication unit 302 of the information processing device 300 receives the transaction information transmitted by the communication device 200. When the communication unit 302 receives the transaction information, the authentication unit 312 of the information processing device 300 generates a response to the transaction information (hereinafter, referred to as “transaction confirmation”). When the transaction confirmation is generated, the authentication unit 312 calculates SIM identification information simid 300 and the digest value of the transaction confirmation, and issues an electronic signature by encrypting the operation result with the third secret key Ks_J3. Do. Then, the authentication unit 312 encrypts the transaction confirmation. Specifically, the authentication unit 312 may encrypt the transaction confirmation with a common key such as CMAC or may encrypt it with the third secret key Ks_J3.
In step S1006, the communication unit 302 of the information processing device 300 encrypts the communication device 200 using a service such as SMS, which is transmitted based on the subscriber identification information of the communication service to which the user of the information processing device 300 subscribes. Sending the automated transaction confirmation and the electronic signature.
In step S1008, the baseband chip of the communication device 200 receives the encrypted transaction confirmation and the electronic signature transmitted by the information processing device 300. When the transaction authentication application of the communication device 200 receives the transaction confirmation and the electronic signature encrypted by the communication unit 202, the electronic signature is verified. Here, the description will be continued regarding the case where the verification of the electronic signature is successful. If the verification of the electronic signature fails, predetermined error processing may be performed.
In step S1010, when the electronic signature verification is successful, the transaction authentication application of the communication device 200 notifies the USAT that the electronic signature verification is successful. When the USAT is notified that the verification of the electronic signature is successful from the transaction authentication application, the USAT displays a screen for transaction authentication on the display unit 245. On the transaction authentication screen shown in FIG. 10, "transaction information" and "transaction confirmation" are displayed.

ステップS1012では、通信装置200のユーザが表示部245に表示された取引認証用の画面を参照し、「取引確認」を押す等の承諾する操作を行うことによって、承諾を示す情報が、USATへ出力される。USATは、承諾を示す情報を取得すると、該承諾を示す情報を、取引認証用アプリへ出力する。
ステップS1014では、通信装置200の取引認証用アプリは、承諾を示す情報を取得すると、SIM識別情報simid200と該承諾を示す情報とのダイジェスト値とを演算し、第2の秘密鍵Ks_M2で、演算値を暗号化することによって電子署名を発行する。そして、取引認証用アプリは、承諾を示す情報を暗号化する。具体的には、認証部312は、CMAC等の共通鍵で承諾を示す情報を暗号化するようにしてもよいし、第2の秘密鍵Ks_M2で暗号化するようにしてもよい。
ステップS1016では、通信装置200のベースバンドチップは、SMS等の通信装置200のユーザが加入する通信サービスの加入者識別情報に基づいて送信するサービスを使用して、情報処理装置300へ、暗号化した承諾を示す情報と電子署名とを送信する。
ステップS1018では、情報処理装置300の通信部302は、通信装置200が送信した暗号化した承諾を示す情報と電子署名とを受信する。情報処理装置300の認証部312は、通信部302によって暗号化した承諾を示す情報と電子署名とが受信されると、該電子署名を検証する。検証が成功した場合、取引情報の完全性が保証されるとともに、通信装置200のユーザの正当性が確認される。
変形例においては、一例として、通信装置200と情報処理装置300との間で行われる通信について説明したが、通信装置500と情報処理装置300との間で行われる通信にも適用できる。
本変形例によれば、取引情報を認証することによって、セキュリティをより強化することができる。
In step S1012, the user of the communication device 200 refers to the screen for transaction authentication displayed on the display unit 245, and performs an operation such as pressing “confirm transaction” to display information indicating acceptance to the USAT. It is output. When the USAT acquires the information indicating the consent, the USAT outputs the information indicating the consent to the transaction authentication application.
In step S1014, when the transaction authentication application of the communication apparatus 200 acquires the information indicating acceptance, it calculates the SIM identification information simid 200 and the digest value of the information indicating the acceptance, and calculates with the second secret key Ks_M2 Issue a digital signature by encrypting the value. Then, the transaction authentication application encrypts information indicating acceptance. Specifically, the authentication unit 312 may encrypt information indicating consent with a common key such as CMAC or may encrypt it with the second secret key Ks_M2.
In step S1016, the baseband chip of the communication apparatus 200 encrypts the information processing apparatus 300 using a service such as SMS that is transmitted based on the subscriber identification information of the communication service to which the user of the communication apparatus 200 subscribes. Information and electronic signature are sent.
In step S1018, the communication unit 302 of the information processing device 300 receives the information indicating the encrypted consent transmitted by the communication device 200 and the electronic signature. The authentication unit 312 of the information processing device 300 verifies the electronic signature when the communication unit 302 receives the encrypted information indicating the consent and the electronic signature. If the verification is successful, the integrity of the transaction information is ensured, and the legitimacy of the user of the communication device 200 is confirmed.
In the modification, the communication performed between the communication device 200 and the information processing device 300 has been described as an example, but the present invention can also be applied to the communication performed between the communication device 500 and the information processing device 300.
According to this modification, security can be further enhanced by authenticating transaction information.

(変形例(その4))
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、通信装置200又は通信装置500と情報処理装置300との間で、取引情報の認証を行う。ただし、情報処理装置300は、SIMを備え、該SIMには、SIM識別情報simid300とルート公開鍵証明書Kp_rと第3の公開鍵証明書Kp_J3と第3の秘密鍵Ks_J3とを記憶する。また、通信装置200は、バンキングアプリとUSAT(Universal SIM Application Toolkit)とOpen Mobile APIとを備える。さらに、通信装置200のSIM230及び通信装置500のSIM530は、取引認証用アプリとアクセスコントロールファイル(Access Control File)とを有する。アクセスコントロールファイルは、正規のバンキングアプリの署名が登録される。
(通信システムの動作)
図11は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。以下、一例として、通信装置200と情報処理装置300との間で行われる通信について説明する。
ステップS1102では、通信装置200のバンキングアプリは、HTTPS等の通信を安全に行うためのプロトコルで、情報処理装置300へ、取引情報を送信する。
ステップS1104では、情報処理装置300の通信部302は、通信装置200が送信した取引情報を受信する。情報処理装置300の認証部312は、通信部302が取引情報を受信すると、該取引情報に対する取引確認を生成する。認証部312は、取引確認を生成すると、SIM識別情報simid300と該取引確認とのダイジェスト値とを演算し、第3の秘密鍵Ks_J3で、該演算した結果を暗号化することによって電子署名を発行する。そして、認証部312は、取引確認を暗号化する。具体的には、認証部312は、CMAC等の共通鍵で取引確認を暗号化するようにしてもよいし、第3の秘密鍵Ks_J3で暗号化するようにしてもよい。
ステップS1006では、情報処理装置300の通信部302は、HTTPS等の通信を安全に行うためのプロトコルで、通信装置200へ、暗号化した取引確認と電子署名とを送信する。
ステップS1108では、通信装置200のバンキングアプリは、情報処理装置300が送信した暗号化した取引確認と電子署名とを取得すると、Open Mobile APIを経由して、SIM230へアクセスする。Access Control Fileは、バンキングアプリからSIM230へのアクセス制御を行う。バンキングアプリは、SIM230の取引認証用アプリへアクセスすると、暗号化した取引確認と電子署名とを出力する。SIM230の取引認証用アプリは、バンキングアプリが出力した暗号化した取引確認と電子署名とを取得すると、該電子署名を検証する。ここでは、電子署名の検証が成功した場合について説明を続ける。電子署名の検証が失敗した場合には、所定のエラー処理が行われてもよい。
(Modification (Part 4))
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, transaction information is authenticated between the communication device 200 or the communication device 500 and the information processing device 300. However, the information processing apparatus 300 includes a SIM, and the SIM stores SIM identification information simid 300, a root public key certificate Kp_r, a third public key certificate Kp_J3, and a third secret key Ks_J3. The communication device 200 also includes a banking application, a Universal SIM Application Toolkit (USAT), and an Open Mobile API. Furthermore, the SIM 230 of the communication device 200 and the SIM 530 of the communication device 500 have a transaction authentication application and an access control file. The access control file is registered with the signature of a legitimate banking application.
(Operation of communication system)
FIG. 11 is a sequence chart showing an example of the operation of the information processing system according to the modification. Hereinafter, communication performed between the communication device 200 and the information processing device 300 will be described as an example.
In step S1102, the banking application of the communication apparatus 200 transmits transaction information to the information processing apparatus 300 by a protocol for securely performing communication such as HTTPS.
In step S1104, the communication unit 302 of the information processing device 300 receives the transaction information transmitted by the communication device 200. When the communication unit 302 receives the transaction information, the authentication unit 312 of the information processing device 300 generates a transaction confirmation for the transaction information. When the transaction confirmation is generated, the authentication unit 312 calculates SIM identification information simid 300 and the digest value of the transaction confirmation, and issues an electronic signature by encrypting the operation result with the third secret key Ks_J3. Do. Then, the authentication unit 312 encrypts the transaction confirmation. Specifically, the authentication unit 312 may encrypt the transaction confirmation with a common key such as CMAC or may encrypt it with the third secret key Ks_J3.
In step S1006, the communication unit 302 of the information processing device 300 transmits the encrypted transaction confirmation and the electronic signature to the communication device 200 by a protocol for securely performing communication such as HTTPS.
In step S1108, when the banking application of the communication device 200 acquires the encrypted transaction confirmation and the electronic signature transmitted by the information processing device 300, the banking application accesses the SIM 230 via the Open Mobile API. The Access Control File controls access from the banking application to the SIM 230. When the banking application accesses the SIM 230 transaction authentication application, it outputs the encrypted transaction confirmation and the electronic signature. The transaction authentication application of the SIM 230 verifies the electronic signature when acquiring the encrypted transaction confirmation and the electronic signature output by the banking application. Here, the description will be continued regarding the case where the verification of the electronic signature is successful. If the verification of the electronic signature fails, predetermined error processing may be performed.

ステップS1110では、通信装置200の取引認証用アプリは、電子署名の検証が成功すると、電子署名の検証が成功したことを、USATへ通知する。USATは、取引認証用アプリから電子署名の検証が成功したことが通知されると、表示部245へ、取引認証用の画面を表示する。図11に示される取引認証用の画面には、「取引情報」と「取引確認」とが表示される。
ステップS1112では、通信装置200のユーザが表示部245に表示された取引認証用の画面を参照し、「取引確認」を押す等の承諾する操作を行うことによって、承諾を示す情報が、USATへ出力される。USATは、承諾を示す情報を取得すると、該承諾を示す情報を、取引認証用アプリへ出力する。
ステップS1114では、通信装置200の取引認証用アプリは、承諾を示す情報を取得すると、SIM識別情報simid200と該承諾を示す情報とのダイジェスト値とを演算し、第2の秘密鍵Ks_M2で、演算値を暗号化することによって電子署名を発行する。そして、取引認証用アプリは、承諾を示す情報を暗号化する。具体的には、認証部312は、CMAC等の共通鍵で承諾を示す情報を暗号化するようにしてもよいし、第2の秘密鍵Ks_M2で暗号化するようにしてもよい。
ステップS1116では、通信装置200の取引認証用アプリは、Open Mobile APIを経由して、バンキングアプリへ、アクセスする。取引認証用アプリは、バンキングアプリへアクセスすると、バンキングアプリへ、暗号化した取引確認と電子署名とを出力する。バンキングアプリは、暗号化した取引確認と電子署名とを取得すると、該暗号化した取引確認と電子署名とを、HTTPS等の通信を安全に行うためのプロトコルで、情報処理装置300へ、送信する。
ステップS1018では、情報処理装置300の通信部302は、通信装置200が送信した暗号化した承諾を示す情報と電子署名とを受信する。情報処理装置300の認証部312は、通信部302によって暗号化した承諾を示す情報と電子署名とが受信されると、該電子署名を検証する。検証が成功した場合、取引情報の完全性が保証されるとともに、通信装置200のユーザの正当性が確認される。
変形例においては、一例として、通信装置200と情報処理装置300との間で行われる通信について説明したが、通信装置500と情報処理装置300との間で行われる通信にも適用できる。
本変形例によれば、取引情報を認証することによって、セキュリティをより強化することができる。
In step S1110, when the electronic signature verification is successful, the transaction authentication application of the communication apparatus 200 notifies the USAT that the electronic signature verification is successful. When the USAT is notified that the verification of the electronic signature is successful from the transaction authentication application, the USAT displays a screen for transaction authentication on the display unit 245. In the screen for transaction authentication shown in FIG. 11, “transaction information” and “transaction confirmation” are displayed.
In step S1112, the user of the communication apparatus 200 refers to the screen for transaction authentication displayed on the display unit 245, and performs an operation such as pressing “confirm transaction” or the like. It is output. When the USAT acquires the information indicating the consent, the USAT outputs the information indicating the consent to the transaction authentication application.
In step S1114, when the transaction authentication application of the communication apparatus 200 acquires the information indicating acceptance, it calculates the SIM identification information simid 200 and the digest value of the information indicating the acceptance, and calculates with the second secret key Ks_M2 Issue a digital signature by encrypting the value. Then, the transaction authentication application encrypts information indicating acceptance. Specifically, the authentication unit 312 may encrypt information indicating consent with a common key such as CMAC or may encrypt it with the second secret key Ks_M2.
In step S1116, the transaction authentication application of the communication device 200 accesses the banking application via the Open Mobile API. When the transaction authentication application accesses the banking application, the transaction authentication application outputs the encrypted transaction confirmation and the electronic signature to the banking application. When the banking application obtains the encrypted transaction confirmation and the electronic signature, it transmits the encrypted transaction confirmation and the electronic signature to the information processing apparatus 300 by using a protocol for securely performing communication such as HTTPS. .
In step S1018, the communication unit 302 of the information processing device 300 receives the information indicating the encrypted consent transmitted by the communication device 200 and the electronic signature. The authentication unit 312 of the information processing device 300 verifies the electronic signature when the communication unit 302 receives the encrypted information indicating the consent and the electronic signature. If the verification is successful, the integrity of the transaction information is ensured, and the legitimacy of the user of the communication device 200 is confirmed.
In the modification, the communication performed between the communication device 200 and the information processing device 300 has been described as an example, but the present invention can also be applied to the communication performed between the communication device 500 and the information processing device 300.
According to this modification, security can be further enhanced by authenticating transaction information.

(USAT)
図12は、USATを説明するための図である。
通信装置200及び通信装置500には、USATクライアントとベースバンドチップとSIMとが搭載されている。
SIMのアーキテクチャーには、OSとJava Virtual Machine(Javaは登録商標)とアプリ実行領域と通信事業者のプロファイル領域とUSATインタフェースとが含まれる。
SIMのアプリ実行領域のアプリは、USATクライアントに、画面を表示させたり、SMS等の通信装置200又は通信装置500のユーザが加入する通信サービスの加入者識別情報に基づいて、送信するサービスを利用させたりすることができる。具体的には、SIMのアプリ実行領域のアプリは、「○○銀行です。Bさんに300万円を振り込みます。」等の画面を、USATクライアントに表示させる。そして、該アプリは、USATクライアントに表示させた画面を「キャンセル」又は「了解」が押されない限り、該画面の表示を消えないようにすることができる。
また、通信事業者プロファイル領域のアプリは、USATクライアントに発呼させることができる。
このように構成することによって、通信装置200及び通信装置500を能動的に利用することができる。
(USAT)
FIG. 12 is a diagram for explaining the USAT.
The communication device 200 and the communication device 500 have a USAT client, a baseband chip, and a SIM.
The SIM architecture includes the OS, Java Virtual Machine (Java is a registered trademark), application execution area, carrier's profile area, and the USAT interface.
The application in the application execution area of the SIM uses a service that causes the USAT client to display a screen or transmits based on the subscriber identification information of the communication service such as SMS or the communication service to which the user of the communication device 500 subscribes. It can be done. Specifically, the application of the SIM application execution area is displayed on the USAT client with a screen such as “○○ Bank. Transfer 3 million yen to Mr. B.” and the like. Then, the application can prevent the display of the screen from disappearing unless “cancel” or “OK” is pressed on the screen displayed on the USAT client.
Also, the application of the carrier profile area can make a call to the USAT client.
With this configuration, communication device 200 and communication device 500 can be actively used.

(変形例(その5)
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、情報処理装置300は、通信装置200のユーザ又は通信装置500のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を行うのに先立って、公開鍵証明書を発行する。通信装置200及び通信装置500は、バンキングアプリとSIMとを含む。該SIMは、通信装置200のSIM230又は通信装置500のSIM530であってもよい。SIMには、パーソナルな認証局アプリが含まれる。該バンキングアプリと該SIMとは、Open Mobile APIを介して、情報のやり取りが可能である。また、情報処理装置300は、公開鍵証明書Ks_pと該公開鍵証明書Ks_pに含まれる公開鍵とペアをなす秘密鍵Ks_sとを記憶する。
(Modification (Part 5)
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, the information processing apparatus 300 is prior to performing user authentication (second element authentication) before executing the operation for permitting the user of the communication apparatus 200 or the user of the communication apparatus 500. Issue a public key certificate. Communication device 200 and communication device 500 include a banking application and a SIM. The SIM may be the SIM 230 of the communication device 200 or the SIM 530 of the communication device 500. The SIM includes a personal certificate authority application. The banking application and the SIM can exchange information via the Open Mobile API. Further, the information processing device 300 stores the public key certificate Ks_p and the secret key Ks_s that makes a pair with the public key included in the public key certificate Ks_p.

(通信システムの動作)
図13は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。以下、一例として、通信装置200と情報処理装置300との間で行われる通信について説明する。
ステップS1302では、通信装置200のバンキングアプリは、Open Mobile APIを経由して、SIMへ、金融機関コードと店番と口座番号とを出力する。SIMは、バンキングアプリが出力した金融機関コードと店番と口座番号とを取得すると、クライアント公開鍵証明書Kc_pと該クライアント公開鍵証明書Kc_pに含まれる公開鍵とペアをなす秘密鍵Kc_sとを発行する。
ステップS1304では、通信装置200のバンキングアプリは、利用者の識別情報等のIDとパスワードとを、情報処理装置300へ送信することによって、情報処理装置300の認証部312との間で、ログイン認証を行う。
ステップS1306では、通信装置200のSIMの認証局アプリは、チャレンジ(乱数C)を生成し、該チャレンジ(乱数C)とクライアント公開鍵証明書Kc_pとを、バンキングアプリへ出力する。
ステップS1308では、通信装置200のバンキングアプリは、認証局アプリが出力したチャレンジ(乱数C)とクライアント公開鍵証明書Kc_pとを取得すると、該チャレンジ(乱数C)と該クライアント公開鍵証明書Kc_pとを、情報処理装置300へ送信する。
ステップS1310では、情報処理装置300の通信部302は、通信装置200が送信したチャレンジ(乱数C)と該クライアント公開鍵証明書Kc_pとを受信すると、該クライアント公開鍵証明書Kc_pを、認証部312へ出力する。認証部312は、通信部302が出力したチャレンジ(乱数C)とクライアント公開鍵証明書Kc_pとを取得すると、該クライアント公開鍵証明書Kc_pを、検証部314へ出力する。検証部314は、通信部302が出力したクライアント公開鍵証明書Kc_pを取得すると、該クライアント公開鍵証明書Kc_pを検証する。検証部314は、クライアント証明書Kc_pの検証の結果を認証部312へ通知する。ここでは、クライアント公開鍵証明書Kc_pの検証が成功した場合について説明を続ける。クライアント公開鍵証明書Kc_pの検証が失敗した場合には、所定のエラー処理が行われてもよい。
(Operation of communication system)
FIG. 13 is a sequence chart showing an example of the operation of the information processing system according to the modification. Hereinafter, communication performed between the communication device 200 and the information processing device 300 will be described as an example.
In step S1302, the banking application of the communication device 200 outputs the financial institution code, the store number, and the account number to the SIM via the Open Mobile API. Upon acquiring the financial institution code, store number and account number output by the banking application, the SIM issues a client public key certificate Kc_p and a secret key Kc_s paired with a public key included in the client public key certificate Kc_p. Do.
In step S1304, the banking application of the communication device 200 transmits the ID such as the identification information of the user and the password to the information processing device 300, thereby performing login authentication with the authentication unit 312 of the information processing device 300. I do.
In step S1306, the SIM certificate authority application of the communication device 200 generates a challenge (random number C), and outputs the challenge (random number C) and the client public key certificate Kc_p to the banking application.
In step S1308, when the banking application of the communication apparatus 200 acquires the challenge (random number C) output by the certificate authority application and the client public key certificate Kc_p, the challenge (random number C) and the client public key certificate Kc_p Are transmitted to the information processing apparatus 300.
In step S 1310, when the communication unit 302 of the information processing device 300 receives the challenge (random number C) transmitted by the communication device 200 and the client public key certificate Kc_p, the communication portion 302 of the client public key certificate Kc_p is transmitted to the authentication unit 312. Output to When acquiring the challenge (random number C) output by the communication unit 302 and the client public key certificate Kc_p, the authentication unit 312 outputs the client public key certificate Kc_p to the verification unit 314. When acquiring the client public key certificate Kc_p output from the communication unit 302, the verification unit 314 verifies the client public key certificate Kc_p. The verification unit 314 notifies the verification unit 312 of the result of verification of the client certificate Kc_p. Here, the description will be continued regarding the case where the verification of the client public key certificate Kc_p is successful. If the verification of the client public key certificate Kc_p fails, predetermined error processing may be performed.

ステップS1312では、情報処理装置300の認証部312は、検証部314からクライアント公開鍵証明書Kc_pの検証が成功したことが通知されると、チャレンジ(乱数C)を秘密鍵Ks_sで暗号化することによってレスポンスKs_s(乱数C)を生成する。
ステップS1314では、通信装置200の認証部312は、レスポンスKs_s(乱数C)を生成すると、チャレンジ(乱数S)を生成する。認証部312は、チャレンジ(乱数S)生成すると、該チャレンジ(乱数S)とサーバ公開鍵証明書Ks_pとレスポンスKs_s(乱数C)とを、通信装置200へ送信する。
ステップS1316では、通信装置200のバンキングアプリは、情報処理装置300が送信したチャレンジ(乱数S)とサーバ公開鍵証明書Ks_pとレスポンスKs_s(乱数C)とを取得すると、該チャレンジ(乱数S)と該サーバ公開鍵証明書Ks_pと該レスポンスKs_s(乱数C)とを、認証局アプリへ出力する。
ステップS1318では、通信装置200の認証局アプリは、該チャレンジ(乱数S)と該サーバ公開鍵証明書Ks_pと該レスポンスKs_s(乱数C)とを取得すると、該サーバ公開鍵証明書を検証する。ここでは、サーバ公開鍵証明書の検証が成功した場合について、説明を続ける。サーバ公開鍵証明書の検証が失敗した場合、所定のエラー処理が実行されてもよい。
ステップS1320では、通信装置200の認証局アプリは、サーバ公開鍵証明書Ks_pの検証が成功すると、レスポンスKs_s(乱数C)を検証する。ここでは、レスポンスKs_s(乱数C)の検証が成功した場合について説明を続ける。レスポンスKs_s(乱数C)の検証が失敗した場合、所定のエラー処理が実行されてもよい。認証局サーバは、レスポンスKs_s(乱数C)の検証が成功すると、チャレンジ(乱数S)を秘密鍵Kc_sで暗号化することによってレスポンスKc_s(乱数S)を生成する。
In step S1312, the authentication unit 312 of the information processing device 300 encrypts the challenge (random number C) with the secret key Ks_s when notified by the verification unit 314 that the verification of the client public key certificate Kc_p is successful. Generates a response Ks_s (random number C).
In step S1314, when the authentication unit 312 of the communication device 200 generates a response Ks_s (random number C), the authentication unit 312 generates a challenge (random number S). When generating a challenge (random number S), the authentication unit 312 transmits the challenge (random number S), the server public key certificate Ks_p, and the response Ks_s (random number C) to the communication device 200.
In step S 1316, when the banking application of the communication device 200 acquires the challenge (random number S), the server public key certificate Ks_p, and the response Ks_s (random number C) transmitted by the information processing device 300, the challenge (random number S) The server public key certificate Ks_p and the response Ks_s (random number C) are output to the certificate authority application.
In step S1318, the certificate authority application of the communication apparatus 200 verifies the server public key certificate upon acquiring the challenge (random number S), the server public key certificate Ks_p, and the response Ks_s (random number C). Here, the description will be continued regarding the case where the verification of the server public key certificate is successful. If the verification of the server public key certificate fails, predetermined error handling may be performed.
In step S1320, when the verification of the server public key certificate Ks_p succeeds, the certificate authority application of the communication device 200 verifies the response Ks_s (random number C). Here, the description will be continued regarding the case where the verification of the response Ks_s (random number C) is successful. If verification of the response Ks_s (random number C) fails, predetermined error processing may be executed. When verification of the response Ks_s (random number C) is successful, the certificate authority server generates a response Kc_s (random number S) by encrypting the challenge (random number S) with the secret key Kc_s.

ステップS1322では、通信装置200の認証局サーバは、レスポンスKc_s(乱数S)を生成すると、該レスポンスKc_s(乱数S)を、バンキングアプリへ出力する。
ステップS1324では、バンキングアプリは、認証局アプリが出力したレスポンスKc_s(乱数S)を取得すると、該レスポンスKc_s(乱数S)を、情報処理装置300へ送信する。
ステップS1326では、情報処理装置300の通信部302は、通信装置200が送信したレスポンスKc_s(乱数S)を受信すると、該レスポンスKc_s(乱数S)を、認証部312へ出力する。認証部312は、通信部302が出力したチャレンジ(乱数C)とクライアント公開鍵証明書Kc_pとを取得すると、該レスポンスKc_s(乱数S)を、検証部314へ出力する。検証部314は、通信部302が出力したレスポンスKc_s(乱数S)を取得すると、該レスポンスKc_s(乱数S)を検証する。検証部314は、レスポンスKc_s(乱数S)の検証の結果を認証部312へ通知する。
変形例においては、一例として、通信装置200と情報処理装置300との間で行われる通信について説明したが、通信装置500と情報処理装置300との間で行われる通信にも適用できる。
本変形例によれば、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を行うのに先立って、公開鍵証明書を発行することによって、セキュリティをより強化することができる。
In step S1322, when the certificate authority server of the communication device 200 generates a response Kc_s (random number S), the certificate authority server outputs the response Kc_s (random number S) to the banking application.
In step S1324, when the banking application acquires the response Kc_s (random number S) output from the certificate authority application, the banking application transmits the response Kc_s (random number S) to the information processing apparatus 300.
In step S1326, when the communication unit 302 of the information processing device 300 receives the response Kc_s (random number S) transmitted by the communication device 200, the communication unit 302 outputs the response Kc_s (random number S) to the authentication unit 312. When acquiring the challenge (random number C) and the client public key certificate Kc_p output from the communication unit 302, the authentication unit 312 outputs the response Kc_s (random number S) to the verification unit 314. When the verification unit 314 acquires the response Kc_s (random number S) output from the communication unit 302, the verification unit 314 verifies the response Kc_s (random number S). The verification unit 314 notifies the verification unit 312 of the result of verification of the response Kc_s (random number S).
In the modification, the communication performed between the communication device 200 and the information processing device 300 has been described as an example, but the present invention can also be applied to the communication performed between the communication device 500 and the information processing device 300.
According to the present modification, the information processing apparatus 300 performs user authentication (second element authentication) before executing the operation for permitting the user of the second communication apparatus or the user of the fifth communication apparatus. Security can be further strengthened by issuing a public key certificate prior to.

(変形例(その6))
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、情報処理装置300は、通信装置200のユーザ又は通信装置500のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を、アプリを経由して行う。通信装置200及び通信装置500は、バンキングアプリとOpen Mobile APIとSIMとを含む。該SIMは、通信装置200のSIM230又は通信装置500のSIM530であってもよい。SIMは、認証用アプリとAccess Control Fileとを有する。アクセスコントロールファイルは、正規のバンキングアプリの署名が登録される。該バンキングアプリと該SIMとは、Open Mobile APIを介して、情報のやり取りが可能である。また、情報処理装置300は、公開鍵証明書Ks_pと該公開鍵証明書Ks_pに含まれる公開鍵とペアをなす秘密鍵Ks_sとを記憶する。
(通信システムの動作)
図14は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。以下、一例として、通信装置200と情報処理装置300との間で行われる通信について説明する。
ステップS1402では、通信装置200のバンキングアプリは、HTTPS等の通信を安全に行うためのプロトコルで、利用者の識別情報等のIDとパスワードとを、情報処理装置300へ送信することによって、情報処理装置300の認証部312との間で、ログイン認証を行う。
ステップS1404では、情報処理装置300の認証部312は、チャレンジ(乱数S)を生成し、該チャレンジ(乱数S)を、HTTPS等の通信を安全に行うためのプロトコルで、通信装置200へ送信する。
ステップS1406では、通信装置200のバンキングアプリは、情報処理装置300が送信したチャレンジ(乱数S)を取得すると、該チャレンジ(乱数S)を、Open Mobile APIを経由して、認証用アプリへ出力する。認証用アプリは、バンキングアプリが出力したチャレンジ(乱数S)を取得すると、該チャレンジ(乱数S)のダイジェスト値を演算し、暗号鍵で、演算値を暗号化することによって電子署名(レスポンス(乱数S))を発行する。具体的には、認証用アプリは、CMAC等の共通鍵でチャレンジ(乱数S)を暗号化するようにしてもよいし、第2の秘密鍵Ks_M2でチャレンジ(乱数S)を暗号化するようにしてもよい。
ステップS1408では、通信装置200の認証用アプリは、チャレンジ(乱数S)を暗号化すると、チャレンジ(乱数C)を生成する。認証用アプリは、チャレンジ(乱数C)を生成すると、該チャレンジ(乱数C)とレスポンス(乱数S)とを、情報処理装置300へ、送信する。
ステップS1410では、情報処理装置300の通信部302は、通信装置200が送信したチャレンジ(乱数C)とレスポンス(乱数S)とを受信すると、該チャレンジ(乱数C)と該レスポンス(乱数S)とを、認証部312へ出力する。認証部312は、通信部302が出力した該チャレンジ(乱数C)と該レスポンス(乱数S)とを取得すると、該レスポンス(乱数S)を検証部314へ出力する。検証部314は、認証部312が出力したレスポンス(乱数S)を取得すると、該レスポンス(乱数S)を検証する。検証部314は、レスポンス(乱数S)の検証結果を、認証部312へ通知する。ここでは、レスポンス(乱数S)の検証が成功した場合について、説明を続ける。レスポンス(乱数S)の検証が失敗した場合には、所定のエラー処理が行われてもよい。
(Modification (Part 6))
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, the information processing apparatus 300 performs user authentication (second factor authentication) via an application before executing an operation for permitting the user of the communication apparatus 200 or the user of the communication apparatus 500. Do. The communication device 200 and the communication device 500 include a banking application, an Open Mobile API, and a SIM. The SIM may be the SIM 230 of the communication device 200 or the SIM 530 of the communication device 500. The SIM has an authentication application and an Access Control File. The access control file is registered with the signature of a legitimate banking application. The banking application and the SIM can exchange information via the Open Mobile API. Further, the information processing device 300 stores the public key certificate Ks_p and the secret key Ks_s that makes a pair with the public key included in the public key certificate Ks_p.
(Operation of communication system)
FIG. 14 is a sequence chart showing an example of the operation of the information processing system according to the modification. Hereinafter, communication performed between the communication device 200 and the information processing device 300 will be described as an example.
In step S1402, the banking application of the communication apparatus 200 is a protocol for securely performing communication such as HTTPS, and transmits information processing apparatus 300 by transmitting an ID such as identification information of the user and a password to the information processing apparatus 300. Login authentication is performed with the authentication unit 312 of the device 300.
In step S1404, the authentication unit 312 of the information processing device 300 generates a challenge (random number S), and transmits the challenge (random number S) to the communication device 200 using a protocol for safely performing communication such as HTTPS. .
In step S1406, when the banking application of the communication device 200 acquires the challenge (random number S) transmitted by the information processing device 300, the banking application outputs the challenge (random number S) to the authentication application via the Open Mobile API. . When the authentication application acquires the challenge (random number S) output by the banking application, it calculates the digest value of the challenge (random number S), and encrypts the calculated value with the encryption key to obtain an electronic signature (response (random number S)) to issue. Specifically, the authentication application may encrypt the challenge (random number S) with a common key such as CMAC, or encrypt the challenge (random number S) with the second secret key Ks_M2. May be
In step S1408, when the challenge (random number S) is encrypted, the authentication application of the communication apparatus 200 generates a challenge (random number C). When generating the challenge (random number C), the authentication application transmits the challenge (random number C) and the response (random number S) to the information processing apparatus 300.
In step S1410, when the communication unit 302 of the information processing device 300 receives the challenge (random number C) and the response (random number S) transmitted by the communication device 200, the challenge (random number C) and the response (random number S) Are output to the authentication unit 312. When acquiring the challenge (random number C) and the response (random number S) output from the communication unit 302, the authentication unit 312 outputs the response (random number S) to the verification unit 314. When the verification unit 314 acquires the response (random number S) output by the authentication unit 312, the verification unit 314 verifies the response (random number S). The verification unit 314 notifies the verification unit 312 of the verification result of the response (random number S). Here, the description will be continued regarding the case where the verification of the response (random number S) is successful. If verification of the response (random number S) fails, predetermined error processing may be performed.

ステップS1412では、情報処理装置300の認証部312は、検証部314からレスポンス(乱数S)の検証が成功したことが通知されると、チャレンジ(乱数C)のダイジェスト値を演算し、暗号鍵で、演算値を暗号化することによって電子署名(レスポンス(乱数C))を発行する。具体的には、認証部312は、CMAC等の共通鍵でチャレンジ(乱数C)を暗号化するようにしてもよいし、秘密鍵Ks_sでチャレンジ(乱数C)を暗号化するようにしてもよい。
ステップS1414では、情報処理装置300の認証部312は、レスポンス(乱数C)発行すると、該レスポンス(乱数C)を、通信部302へ出力する。通信部302は、認証部312が出力したレスポンス(乱数C)を取得すると、該レスポンス(乱数C)を、通信装置200へ送信する。
ステップS1416では、通信装置200のバンキングアプリは、情報処理装置300が送信したレスポンス(乱数C)を取得すると、該レスポンス(乱数C)をOpen Mobile APIを経由して、認証用アプリへ出力する。認証用アプリは、バンキングアプリが出力したレスポンス(乱数C)を取得すると、該レスポンス(乱数)を検証する。
変形例においては、一例として、通信装置200と情報処理装置300との間で行われる通信について説明したが、通信装置500と情報処理装置300との間で行われる通信にも適用できる。
本変形例によれば、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を、アプリを経由して行うことによって、セキュリティをより強化することができる。
In step S1412, when notified that the verification of the response (random number S) is successful from the verification unit 314, the authentication unit 312 of the information processing device 300 calculates the digest value of the challenge (random number C) and uses the encryption key. The digital signature (response (random number C)) is issued by encrypting the operation value. Specifically, the authentication unit 312 may encrypt the challenge (random number C) with a common key such as CMAC, or may encrypt the challenge (random number C) with the secret key Ks_s. .
In step S1414, when the response (random number C) is issued, the authentication unit 312 of the information processing device 300 outputs the response (random number C) to the communication unit 302. When the communication unit 302 acquires the response (random number C) output from the authentication unit 312, the communication unit 302 transmits the response (random number C) to the communication device 200.
In step S1416, when the banking application of the communication device 200 acquires the response (random number C) transmitted by the information processing device 300, the banking application outputs the response (random number C) to the authentication application via the Open Mobile API. When the authentication application acquires a response (random number C) output by the banking application, the authentication application verifies the response (random number).
In the modification, the communication performed between the communication device 200 and the information processing device 300 has been described as an example, but the present invention can also be applied to the communication performed between the communication device 500 and the information processing device 300.
According to the present modification, the information processing apparatus 300 performs user authentication (second factor authentication) before executing the operation of permitting the user of the second communication apparatus or the user of the fifth communication apparatus to perform an operation. By doing this, you can further enhance security.

(変形例(その7))
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、情報処理装置300は、通信装置200のユーザ又は通信装置500のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を、SMS等の情報処理装置300のユーザが加入する通信サービスの加入者識別情報に基づいて送信するサービスを使用して行う。以下、ユーザ認証を、SMSを使用して行う場合について説明を続ける。
通信装置200及び通信装置500は、バンキングアプリとベースバンドチップとSIMとを含む。該SIMは、通信装置200のSIM230又は通信装置500のSIM530であってもよい。SIMは、認証用アプリを有する。また、情報処理装置300は、公開鍵証明書Ks_pと該公開鍵証明書Ks_pに含まれる公開鍵とペアをなす秘密鍵Ks_sとを記憶する。
(通信システムの動作)
図15は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。以下、一例として、通信装置200と情報処理装置300との間で行われる通信について説明する。
ステップS1502では、通信装置200のバンキングアプリは、HTTPS等の通信を安全に行うためのプロトコルで、利用者の識別情報等のIDとパスワードとを、情報処理装置300へ送信することによって、情報処理装置300の認証部312との間で、ログイン認証を行う。
ステップS1504では、情報処理装置300の認証部312は、チャレンジ(乱数S)を生成し、該チャレンジ(乱数S)を、SMSで、通信装置200へ送信する。
ステップS1506では、通信装置200のベースバンドチップは、情報処理装置300が送信したチャレンジ(乱数S)を受信すると、該チャレンジ(乱数S)を、認証用アプリへ出力する。認証用アプリは、ベースバンドチップが出力したチャレンジ(乱数S)を取得すると、該チャレンジ(乱数S)のダイジェスト値を演算し、暗号鍵で、演算値を暗号化することによって電子署名(レスポンス(乱数S))を発行する。具体的には、認証用アプリは、CMAC等の共通鍵でチャレンジ(乱数S)を暗号化するようにしてもよいし、第2の秘密鍵Ks_M2でチャレンジ(乱数S)を暗号化するようにしてもよい。
ステップS1508では、通信装置200の認証用アプリは、チャレンジ(乱数S)を暗号化すると、チャレンジ(乱数C)を生成する。認証用アプリは、チャレンジ(乱数C)を生成すると、該チャレンジ(乱数C)とレスポンス(乱数S)とを、ベースバンドチップへ出力する。ベースバンドチップは、認証用アプリが出力したチャレンジ(乱数C)とレスポンス(乱数S)とを、SMSで、情報処理装置300へ送信する。
ステップS1510では、情報処理装置300の通信部302は、通信装置200が送信したチャレンジ(乱数C)とレスポンス(乱数S)とを受信すると、該チャレンジ(乱数C)と該レスポンス(乱数S)とを、認証部312へ出力する。認証部312は、通信部302が出力した該チャレンジ(乱数C)と該レスポンス(乱数S)とを取得すると、該レスポンス(乱数S)を検証部314へ出力する。検証部314は、認証部312が出力したレスポンス(乱数S)を取得すると、該レスポンス(乱数S)を検証する。検証部314は、レスポンス(乱数S)の検証結果を、認証部312へ通知する。ここでは、レスポンス(乱数S)の検証が成功した場合について、説明を続ける。レスポンス(乱数S)の検証が失敗した場合には、所定のエラー処理が行われてもよい。
(Modification (Part 7))
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, the information processing apparatus 300 performs user authentication (second factor authentication), SMS, or the like before executing an operation for permitting the user of the communication apparatus 200 or the user of the communication apparatus 500 to perform an operation. This is performed using a service that transmits based on the subscriber identification information of the communication service to which the user of the information processing apparatus 300 subscribes. Hereinafter, the case where user authentication is performed using SMS will be described.
The communication device 200 and the communication device 500 include a banking application, a baseband chip, and a SIM. The SIM may be the SIM 230 of the communication device 200 or the SIM 530 of the communication device 500. The SIM has an authentication application. Further, the information processing device 300 stores the public key certificate Ks_p and the secret key Ks_s that makes a pair with the public key included in the public key certificate Ks_p.
(Operation of communication system)
FIG. 15 is a sequence chart showing an example of the operation of the information processing system according to the modification. Hereinafter, communication performed between the communication device 200 and the information processing device 300 will be described as an example.
In step S1502, the banking application of the communication apparatus 200 is a protocol for securely performing communication such as HTTPS, and transmits information processing apparatus 300 with an ID such as user identification information and a password to the information processing apparatus 300. Login authentication is performed with the authentication unit 312 of the device 300.
In step S1504, the authentication unit 312 of the information processing device 300 generates a challenge (random number S), and transmits the challenge (random number S) to the communication device 200 by SMS.
In step S1506, when the baseband chip of the communication device 200 receives the challenge (random number S) transmitted by the information processing device 300, the baseband chip outputs the challenge (random number S) to the authentication application. When the authentication application acquires the challenge (random number S) output from the baseband chip, it calculates the digest value of the challenge (random number S), and encrypts the calculated value with the encryption key to obtain an electronic signature (response ( Issue a random number S)). Specifically, the authentication application may encrypt the challenge (random number S) with a common key such as CMAC, or encrypt the challenge (random number S) with the second secret key Ks_M2. May be
In step S1508, when the challenge (random number S) is encrypted, the authentication application of the communication apparatus 200 generates a challenge (random number C). When generating the challenge (random number C), the authentication application outputs the challenge (random number C) and the response (random number S) to the baseband chip. The baseband chip transmits the challenge (random number C) and the response (random number S) output by the authentication application to the information processing apparatus 300 by SMS.
In step S1510, when the communication unit 302 of the information processing device 300 receives the challenge (random number C) and the response (random number S) transmitted by the communication device 200, the challenge (random number C) and the response (random number S) Are output to the authentication unit 312. When acquiring the challenge (random number C) and the response (random number S) output from the communication unit 302, the authentication unit 312 outputs the response (random number S) to the verification unit 314. When the verification unit 314 acquires the response (random number S) output by the authentication unit 312, the verification unit 314 verifies the response (random number S). The verification unit 314 notifies the verification unit 312 of the verification result of the response (random number S). Here, the description will be continued regarding the case where the verification of the response (random number S) is successful. If verification of the response (random number S) fails, predetermined error processing may be performed.

ステップS1512では、情報処理装置300の認証部312は、検証部314からレスポンス(乱数S)の検証が成功したことが通知されると、チャレンジ(乱数C)のダイジェスト値を演算し、暗号鍵で、演算値を暗号化することによって電子署名(レスポンス(乱数C))を発行する。具体的には、認証用アプリは、CMAC等の共通鍵でチャレンジ(乱数C)を暗号化するようにしてもよいし、秘密鍵Ks_sでチャレンジ(乱数C)を暗号化するようにしてもよい。
ステップS1514では、情報処理装置300の認証部312は、レスポンス(乱数C)発行すると、該レスポンス(乱数C)を、SMSで、通信装置200へ送信する。
ステップS1516では、通信装置200のベースバンドチップは、情報処理装置300が送信したレスポンス(乱数C)を受信すると、該レスポンス(乱数C)を認証用アプリへ出力する。認証用アプリは、ベースバンドチップが出力したレスポンス(乱数C)を取得すると、該レスポンス(乱数)を検証する。
変形例においては、一例として、通信装置200と情報処理装置300との間で行われる通信について説明したが、通信装置500と情報処理装置300との間で行われる通信にも適用できる。
本変形例によれば、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を、SMS等の情報処理装置300のユーザが加入する通信サービスの加入者識別情報に基づいて送信するサービスを使用して行うことによって、セキュリティをより強化することができる。
In step S1512, when notified that the verification of the response (random number S) is successful from the verification unit 314, the authentication unit 312 of the information processing device 300 calculates the digest value of the challenge (random number C) and uses the encryption key. The digital signature (response (random number C)) is issued by encrypting the operation value. Specifically, the authentication application may encrypt the challenge (random number C) with a common key such as CMAC or may encrypt the challenge (random number C) with the secret key Ks_s. .
In step S 1514, when the response (random number C) is issued, the authentication unit 312 of the information processing device 300 transmits the response (random number C) to the communication device 200 by SMS.
In step S 1516, when the baseband chip of the communication device 200 receives the response (random number C) transmitted by the information processing device 300, the baseband chip outputs the response (random number C) to the authentication application. When the authentication application acquires a response (random number C) output from the baseband chip, the authentication application verifies the response (random number).
In the modification, the communication performed between the communication device 200 and the information processing device 300 has been described as an example, but the present invention can also be applied to the communication performed between the communication device 500 and the information processing device 300.
According to this modification, the information processing apparatus 300 performs SMS for user authentication (second element authentication) before executing an operation for permitting the user of the second communication apparatus or the user of the fifth communication apparatus. Security can be further enhanced by using the service that transmits based on the subscriber identification information of the communication service to which the user of the information processing apparatus 300 subscribes, such as, for example.

前述した実施形態及び変形例では、「X.509」規格の公開鍵証明書フォーマットにしたがって、公開鍵証明書が作成される場合について説明したが、この例に限られない。例えば、「X.509」規格の公開鍵証明書フォーマット以外のフォーマットにしたがって、公開鍵証明書が作成されてもよい。
前述した実施形態及び変形例では、情報処理装置がバンキングサービスを提供する場合について説明したが、この例に限られない。例えば、カーシェアリング、公衆WiFiサービス、ファイルストレージ等の認証と認可に基づいて利用する、リアル・バーチャルな資産を共有するサービスを提供する場合にも適用できる。
In the embodiment and the modification described above, the case where the public key certificate is created according to the public key certificate format of the "X. 509" standard has been described, but it is not limited to this example. For example, a public key certificate may be created according to a format other than the "X. 509" standard public key certificate format.
Although the embodiment and the modification described above have described the case where the information processing apparatus provides the banking service, the present invention is not limited to this example. For example, the present invention can be applied to the case of providing a service that shares real virtual assets used based on authentication and authorization such as car sharing, public WiFi service, file storage and the like.

以上、本発明の実施形態及びその変形例を説明したが、これらの実施形態及びその変形例は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態及びその変形例は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更、組合せを行うことができる。これら実施形態及びその変形例は、発明の範囲や要旨に含まれると同時に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
なお、前述のルート認証局、通信装置、及び情報処理装置は内部にコンピュータを有している。そして、前述した各装置の各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしてもよい。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。
さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
While the embodiments of the present invention and the modifications thereof have been described above, these embodiments and the modifications thereof are presented as examples, and are not intended to limit the scope of the invention. These embodiments and modifications thereof can be implemented in other various forms, and various omissions, replacements, changes, and combinations can be made without departing from the scope of the invention. These embodiments and modifications thereof are included in the scope and the gist of the invention as well as in the invention described in the claims and the equivalent scope thereof.
The above-mentioned root certificate authority, communication device, and information processing device have a computer inside. The process of each process of each device described above is stored in a computer readable recording medium in the form of a program, and the above process is performed by the computer reading and executing this program. Here, the computer readable recording medium refers to a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory or the like. Alternatively, the computer program may be distributed to a computer through a communication line, and the computer that has received the distribution may execute the program.
Further, the program may be for realizing a part of the functions described above.
Furthermore, it may be a so-called difference file (difference program) that can realize the above-described functions in combination with a program already recorded in the computer system.

前述した実施形態において、通信装置100、通信装置400及び通信装置800は第1の通信装置の一例であり、通信装置200、通信装置500及び通信装置900は第2の通信装置の一例であり、情報処理装置300及び700は情報処理装置の一例である。また、SIM130、SIM430及びSIM830は第1の記憶部の一例であり、通信部102、通信部402及び通信部802は第1の通信部の一例であり、取得部108、取得部408及び取得部808は取得部の一例であり、認証局アプリ134は認証局アプリの一例である。また、SIM230、SIM530及びSIM930は第2の記憶部の一例であり、通信部202、通信部502及び通信部902は第2の通信部の一例であり、要求部210、要求部510及び要求部910は要求部の一例であり、通信部302及び通信部702は第3の通信部の一例である。また、認証部312及び認証部712は認証部の一例であり、実行部318及び実行部718は実行部の一例であり、判定部316及び判定部716は判定部の一例であり、SIM730は第3の記憶部の一例であり、第7の公開鍵証明書Kp_Jは第3の公開鍵証明書の一例であり、第7の公開鍵は第3の公開鍵証明書の一例であり、第7の秘密鍵Ks_Jは第3の秘密鍵の一例である。   In the embodiment described above, the communication device 100, the communication device 400, and the communication device 800 are an example of the first communication device, and the communication device 200, the communication device 500, and the communication device 900 are an example of the second communication device. The information processing devices 300 and 700 are examples of the information processing device. The SIM 130, the SIM 430, and the SIM 830 are an example of a first storage unit, and the communication unit 102, the communication unit 402, and the communication unit 802 are an example of a first communication unit. The acquisition unit 108, the acquisition unit 408, and the acquisition unit Reference numeral 808 is an example of an acquisition unit, and the certificate authority application 134 is an example of a certificate authority application. The SIM 230, the SIM 530, and the SIM 930 are an example of a second storage unit, and the communication unit 202, the communication unit 502, and the communication unit 902 are an example of a second communication unit. The request unit 210, the request unit 510, and the request unit 910 is an example of a request unit, and the communication unit 302 and the communication unit 702 are an example of a third communication unit. The authentication unit 312 and the authentication unit 712 are an example of an authentication unit, the execution unit 318 and the execution unit 718 are an example of an execution unit, the determination unit 316 and the determination unit 716 are an example of a determination unit, and the SIM 730 is The seventh public key certificate Kp_J is an example of a third public key certificate, and the seventh public key is an example of a third public key certificate. Private key Ks_J is an example of a third private key.

1、2、3…情報処理システム、50…通信網、100、200、400、500、800、900…通信装置、600…ルート認証局、300、700…情報処理装置、102、202、302、402、502、602、702、802、902、1002…通信部、104、204、304、404、504、604、704、804、904、1004…制御部、106、206、406、506、806、906…鍵生成部、108、408、708、808…取得部、130、230、430、530、730、830、930…SIM、210、910…要求部、211、312、511、712、911…認証部、314、714…検証部、316、716…判定部、318、718…実行部、120、220、320、420、520、620、720、820、920、1020…記憶部、124、224、324、424、524、724、824、924…プログラム、150、250、350、450、550、650、750、850、950、1050…バスライン、140、240、440、540、840、940…操作部、145、245、445、545、845、945…表示部、603…生成部、134、734…認証局アプリ、1000…レポジトリ 1, 2, 3 ... information processing system, 50 ... communication network, 100, 200, 400, 500, 800, 900 ... communication device, 600 ... root certificate authority, 300, 700 ... information processing device, 102, 202, 302, 402, 502, 602, 702, 802, 902, 1002 ... communication unit, 104, 204, 304, 404, 504, 604, 704, 804, 904, 1004 ... control unit, 106, 206, 406, 506, 806, 906 ... key generation unit 108, 408, 708, 808 ... acquisition unit 130, 230, 430, 530, 730, 830, 930 ... SIM, 210, 910 ... request unit 211, 312, 511, 712, 911 ... Authentication unit, 314, 714 ... verification unit, 316, 716 ... determination unit, 318, 718 ... execution unit, 120, 220, 320, 4 0, 520, 620, 720, 820, 920, 1020 ... storage unit 124, 224, 324, 424, 524, 724, 824, 924 ... program, 150, 250, 350, 450, 550, 650, 750, 850 , 950, 1050 ... bus line, 140, 240, 440, 540, 840, 940 ... operation unit, 145, 245, 445, 545, 845, 945 ... display unit, 603 ... generation unit, 134, 734 ... certificate authority application , 1000 ... Repository

Claims (12)

第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムであって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵と、認証局アプリとを記憶する第1の記憶部と、
第1の通信部と、
第2の通信装置のユーザの属性情報を取得する取得部と
を備え、
前記認証局アプリは、デジタル証明書の発行者を示す情報と前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行し、
前記第1の通信部は、前記第2の通信装置へ、前記デジタル証明書を送信し、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
前記第1の通信装置が送信した前記デジタル証明書を受信する第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信し、
前記情報処理装置は、
前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第2の公開鍵証明書を認証する認証部と、
前記認証部による前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行する実行部と
を備える、情報処理システム。
An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, a first secret key paired with a first public key included in the first public key certificate, and a certificate authority application;
A first communication unit,
An acquisition unit for acquiring attribute information of the user of the second communication device;
The certificate authority application issues a digital certificate from the information indicating the issuer of the digital certificate, the attribute information, and the first secret key.
The first communication unit transmits the digital certificate to the second communication device,
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit that receives the digital certificate transmitted by the first communication device;
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the digital certificate and the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third communication unit for receiving the digital certificate transmitted by the second communication device and the second public key certificate;
An authentication unit that authenticates the second public key certificate received by the third communication unit;
An execution unit that executes a result of decrypting the digital certificate when the authentication of the second public key certificate by the authentication unit is successful.
前記情報処理装置は、
前記デジタル証明書の発行者を示す情報と前記動作を許可した者を示す情報とが同一であるか否かを判定する判定部
を備え、
前記実行部は、前記判定部が前記デジタル証明書の発行者を示す情報と前記動作を許可した者を示す情報とが同一であると判定した場合に、前記デジタル証明書を復号した結果を実行する、請求項1に記載の情報処理システム。
The information processing apparatus is
A determination unit that determines whether the information indicating the issuer of the digital certificate is the same as the information indicating the person who permitted the operation;
The execution unit executes the result of decrypting the digital certificate when the determination unit determines that the information indicating the issuer of the digital certificate and the information indicating the person who permitted the operation are the same. The information processing system according to claim 1.
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムであって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部と、
第2の通信装置のユーザの属性情報を取得する取得部と、
前記第2の通信装置へ、前記属性情報を送信する第1の通信部と
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
前記第1の通信装置が送信した前記属性情報を受信する第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信し、
前記情報処理装置は、
前記第2の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第1の公開鍵証明書を認証する認証部と、
前記認証部による認証が成功した場合に、前記属性情報を実行する実行部と
を備える、情報処理システム。
An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, and a first secret key paired with a first public key included in the first public key certificate;
An acquisition unit for acquiring attribute information of the user of the second communication device;
A first communication unit for transmitting the attribute information to the second communication device;
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit that receives the attribute information transmitted by the first communication device;
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the attribute information and the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third communication unit that receives the attribute information and the first public key certificate transmitted by the second communication device;
An authentication unit that authenticates the first public key certificate received by the third communication unit;
An execution unit that executes the attribute information when the authentication by the authentication unit succeeds.
前記情報処理装置は、
前記第2の通信装置のユーザに許可する動作を示す情報の作成者を示す情報と前記第2の通信装置のユーザに前記動作を許可した者を示す情報とが同一であるか否かを判定する判定部
を備え、
前記実行部は、前記判定部が前記第2の通信装置のユーザに許可する動作を示す情報の作成者と前記第2の通信装置のユーザに前記動作を許可した者とが同一であると判定した場合に、前記動作を実行する、請求項3に記載の情報処理システム。
The information processing apparatus is
It is determined whether or not the information indicating the creator of the information indicating the operation permitted to the user of the second communication device is the same as the information indicating the person who permitted the operation of the user of the second communication device. Provided with a judgment unit
The execution unit determines that the creator of the information indicating the operation permitted to the user of the second communication device by the determination unit is the same as the person who permitted the operation of the user of the second communication device. The information processing system according to claim 3, wherein the operation is performed when it has occurred.
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムであって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部と、
第2の通信装置のユーザの属性情報を取得する取得部と、
前記情報処理装置へ、前記属性情報と前記第1の公開鍵証明書とを送信する第1の通信部と
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記第2の公開鍵証明書を送信し、
前記情報処理装置は、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部と、
前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第1の公開鍵証明書を認証する認証部と、
所定の動作を実行する実行部と
を備え、
前記認証局アプリは、前記認証部による認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行し、
前記第3の通信部は、前記認証局アプリが発行した前記デジタル証明書を、記憶部に記憶し、
前記第3の通信部は、前記第2の通信装置が送信した前記第2の公開鍵証明書を受信し、
前記認証部は、前記第3の通信部が受信した前記第2の公開鍵証明書を認証し、
前記実行部は、前記認証部による検証が成功した場合に、前記デジタル証明書を復号した結果を実行する、情報処理システム。
An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, and a first secret key paired with a first public key included in the first public key certificate;
An acquisition unit for acquiring attribute information of the user of the second communication device;
A first communication unit for transmitting the attribute information and the first public key certificate to the information processing apparatus;
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit,
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third storage unit storing a third public key certificate, a third secret key paired with a third public key included in the third public key certificate, and a certificate authority application;
A third communication unit that receives the attribute information transmitted by the first communication device and the first public key certificate;
An authentication unit that authenticates the first public key certificate received by the third communication unit;
And an execution unit for executing a predetermined operation,
The certification authority application issues a digital certificate from the attribute information and the third secret key when the certification unit succeeds in the certification,
The third communication unit stores the digital certificate issued by the certificate authority application in a storage unit.
The third communication unit receives the second public key certificate transmitted by the second communication device,
The authentication unit authenticates the second public key certificate received by the third communication unit,
The information processing system, wherein the execution unit executes a result of decrypting the digital certificate when the verification by the authentication unit is successful.
前記属性情報は、前記第2の通信装置のユーザの識別情報と該ユーザへ許可する動作を示す情報とが含まれる、請求項1から請求項5のいずれか一項に記載の情報処理システム。   The information processing system according to any one of claims 1 to 5, wherein the attribute information includes identification information of a user of the second communication device and information indicating an operation permitted to the user. 第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムが実行する情報処理方法であって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵と、認証局アプリとを記憶する第1の記憶部
を備え、
第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置の前記認証局アプリが、デジタル証明書の発行者を示す情報と前記取得するステップで取得した前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行するステップと、
前記第1の通信装置が、前記第2の通信装置へ、前記デジタル証明書を送信するステップと、
前記第2の通信装置が、前記第1の通信装置が送信した前記デジタル証明書を受信するステップと、
前記第2の通信装置が、前記情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第2の公開鍵証明書を認証するステップと、
前記情報処理装置が、前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行するステップと
有する、情報処理方法。
An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, a first secret key paired with a first public key included in the first public key certificate, and a certificate authority application
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
Acquiring the attribute information of the user of the second communication device by the first communication device;
Step the authentication station app, from said attribute information acquired in the step of acquiring information of a digital certificate issuer and said first secret key, and issues the digital certificate of the first communication device When,
A step wherein the first communication device, wherein the second communication device, for transmitting the digital certificate,
The second communication device receiving the digital certificate sent by the first communication device;
A step wherein the second communication apparatus, to the information processing apparatus, by sending said digital certificate and said second public key certificate, to request a predetermined operation to the information processing apparatus,
The information processing apparatus receives the digital certificate transmitted by the second communication apparatus and the second public key certificate;
The information processing apparatus authenticates the second public key certificate;
An information processing method comprising: the information processing apparatus executing a result of decrypting the digital certificate when the authentication of the second public key certificate is successful.
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムが実行する情報処理方法であって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部
を備え、
第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置が、前記第2の通信装置へ、前記属性情報を送信するステップと、
前記第2の通信装置が、前記第1の通信装置が送信した前記属性情報を受信するステップと、
前記第2の通信装置が、前記情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記属性情報と前記の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第の公開鍵証明書を認証するステップと、
前記情報処理装置が、前記認証するステップで認証が成功した場合に、前記所定の動作を実行するステップと
を有する、情報処理方法。
An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
A step of the first communication device, to acquire the attribute information of the user of the second communication device,
Sending the attribute information to the second communication device by the first communication device;
The second communication device receiving the attribute information transmitted by the first communication device;
A step wherein the second communication apparatus, to the information processing apparatus by sending a second public key certificate and the attribute information, which requests a predetermined operation to the information processing apparatus,
The information processing apparatus, the steps of the second communication device receives the second public key certificate transmitted the attribute information,
The information processing apparatus authenticates the second public key certificate;
And D. performing the predetermined operation if the authentication is successful in the step of authenticating.
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムが実行する情報処理方法であって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記情報処理装置は、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置が、前記情報処理装置へ、前記属性情報と第1の公開鍵証明書とを送信するステップと、
前記第2の通信装置が、情報処理装置へ所定の動作を要求する場合に前記第2の公開鍵証明書を送信するステップと、
前記情報処理装置が、前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第1の公開鍵証明書を認証するステップと、
前記情報処理装置の前記認証局アプリが、前記認証するステップで認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行するステップと、
前記情報処理装置が、前記デジタル証明書を、記憶部に記憶するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記第2の公開鍵証明書を受信するステップと、
前記情報処理装置が、前記第2の公開鍵証明書を検証するステップと、
前記情報処理装置が、前記第2の公開鍵証明書の検証が成功した場合に、前記記憶部に記憶したデジタル証明書を復号した結果を実行するステップと
を有する、情報処理方法。
An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
The information processing apparatus is
A third storage unit that stores a third public key certificate, a third private key paired with a third public key included in the third public key certificate, and a certificate authority application
Equipped with
A step of the first communication device, to acquire the attribute information of the user of the second communication device,
A step wherein the first communication device, to the information processing apparatus, which transmits the attribute information and the first public key certificate,
A step wherein the second communication device, to transmit to the information processing apparatus, to request a predetermined operation, the second public key certificate,
The information processing apparatus receives the attribute information transmitted by the first communication apparatus and the first public key certificate;
The information processing apparatus authenticates the first public key certificate;
A step wherein the certificate authority application of the information processing apparatus, if the authentication in the step of the authentication is successful, issuing from the attribute information and the third secret key, digital certificates,
The information processing apparatus stores the digital certificate in a storage unit;
The information processing apparatus receives the second public key certificate transmitted by the second communication apparatus;
The information processing apparatus verifies the second public key certificate;
And D. executing the result of decrypting the digital certificate stored in the storage unit when the verification of the second public key certificate is successful.
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵と、認証局アプリとを記憶する第1の記憶部を備える第1の通信装置のコンピュータに、
第2の通信装置のユーザの属性情報を取得するステップと、
デジタル証明書の発行者を示す情報と前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行するステップと、
前記第2の通信装置へ、前記デジタル証明書を送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える前記第2の通信装置のコンピュータに、
前記第1の通信装置が送信した前記デジタル証明書を受信するステップと、
情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信することによって、前記情報処理装置へ所定の動作を要求するステップと、
を実行させ、
前記情報処理装置のコンピュータに、
前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信するステップと、
前記第2の公開鍵証明書を認証するステップと、
前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行するステップと
を実行させる、プログラム。
A first storage unit storing a first public key certificate, a first private key paired with a first public key included in the first public key certificate, and a certificate authority application On the computer of the first communication device,
Acquiring attribute information of a user of the second communication device;
From information of a digital certificate issuer and the attribute information and the first secret key, and issuing a digital certificate,
Wherein the second communication device, to execute a step of transmitting the digital certificate,
In the computer of the second communication device, comprising a second storage unit storing a second public key certificate ;
Receiving the digital certificate sent by the first communication device;
To the information processing apparatus by sending a second public key certificate and the digital certificate, and requesting a predetermined operation to the information processing apparatus,
To run
The computer of the information processing apparatus
Receiving the digital certificate transmitted by the second communication device and the second public key certificate;
Authenticating the second public key certificate;
And executing the decryption result of the digital certificate if the authentication of the second public key certificate is successful.
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部を備える第1の通信装置のコンピュータに、
第2の通信装置のユーザの属性情報を取得するステップと、
前記第2の通信装置へ、前記属性情報を送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える第2の通信装置のコンピュータに、
前記第1の通信装置が送信した前記属性情報を受信するステップと、
情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと
を実行させ、
情報処理装置のコンピュータに、
前記第2の通信装置が送信した前記属性情報と前記の公開鍵証明書とを受信するステップと、
前記第の公開鍵証明書を認証するステップと、
前記認証するステップで認証が成功した場合に、前記所定の動作を実行するステップと
を実行させる、プログラム。
A first communication device comprising a first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate On your computer,
Acquiring attribute information of a user of the second communication device;
Sending the attribute information to the second communication device;
A computer of a second communication device comprising a second storage unit for storing a second public key certificate ,
Receiving the attribute information sent by the first communication device;
To the information processing apparatus by sending a second public key certificate and the attribute information, to execute the steps of requesting a predetermined operation to the information processing apparatus,
In the computer of the information processing apparatus
A step of the second communication device receives the second public key certificate transmitted the attribute information,
Authenticating the second public key certificate;
A program for executing the predetermined operation when authentication is successful in the authentication step.
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部を備える第1の通信装置のコンピュータに、
第2の通信装置のユーザの属性情報を取得するステップと、
情報処理装置へ、前記属性情報と第1の公開鍵証明書とを送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える前記第2の通信装置のコンピュータに、
前記情報処理装置へ所定の動作を要求する場合に、前記第2の公開鍵証明書を送信するステッ
実行させ、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部を備える前記情報処理装置のコンピュータに、
前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信するステップと、
前記第1の公開鍵証明書を認証するステップと、
前記認証するステップで認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行するステップと、
前記デジタル証明書を、記憶部に記憶するステップと、
前記第2の通信装置が送信した前記第2の公開鍵証明書を受信するステップと、
前記第2の公開鍵証明書を検証するステップと、
前記第2の公開鍵証明書の検証が成功した場合に、前記記憶部に記憶したデジタル証明書を復号した結果を実行するステップと
を実行させる、プログラム。
A first communication device comprising a first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate On your computer,
Acquiring attribute information of a user of the second communication device;
Transmitting the attribute information and the first public key certificate to the information processing apparatus;
In the computer of the second communication device, comprising a second storage unit storing a second public key certificate ;
To the information processing apparatus, to request a predetermined operation, steps for transmitting the second public key certificate
To run
The third storage unit storing a third public key certificate, a third secret key paired with a third public key included in the third public key certificate, and a certificate authority application; In the computer of the information processing apparatus
Receiving the attribute information transmitted by the first communication device and the first public key certificate;
Authenticating the first public key certificate;
When the authentication in the step of authentication succeeds, from the attribute information and the third secret key, and issuing a digital certificate,
Storing the digital certificate in a storage unit;
Receiving the second public key certificate sent by the second communication device;
Verifying the second public key certificate;
And executing the decryption result of the digital certificate stored in the storage unit when the verification of the second public key certificate is successful.
JP2016235412A 2016-12-02 2016-12-02 INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM Active JP6515080B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016235412A JP6515080B2 (en) 2016-12-02 2016-12-02 INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016235412A JP6515080B2 (en) 2016-12-02 2016-12-02 INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2019076469A Division JP6720380B2 (en) 2019-04-12 2019-04-12 Information processing system, information processing method, and program

Publications (2)

Publication Number Publication Date
JP2018093375A JP2018093375A (en) 2018-06-14
JP6515080B2 true JP6515080B2 (en) 2019-05-15

Family

ID=62566466

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016235412A Active JP6515080B2 (en) 2016-12-02 2016-12-02 INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM

Country Status (1)

Country Link
JP (1) JP6515080B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7215342B2 (en) * 2019-06-06 2023-01-31 富士通株式会社 COMMUNICATION PROGRAM, COMMUNICATION METHOD, AND COMMUNICATION DEVICE

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060075222A1 (en) * 2004-10-06 2006-04-06 Seamus Moloney System for personal group management based on subscriber certificates
JP5170648B2 (en) * 2008-02-27 2013-03-27 日本電信電話株式会社 Authority delegation system, authority delegation method, and authority delegation program
JP2012203516A (en) * 2011-03-24 2012-10-22 Kobe Digital Labo Inc Property delegation system, property delegation method, and property delegation program

Also Published As

Publication number Publication date
JP2018093375A (en) 2018-06-14

Similar Documents

Publication Publication Date Title
CN112602300B (en) System and method for password authentication of contactless cards
JP6704919B2 (en) How to secure your payment token
JP2022504072A (en) Systems and methods for cryptographic authentication of contactless cards
JP2022508010A (en) Systems and methods for cryptographic authentication of non-contact cards
CN113545000B (en) Distributed processing of interactions at delivery time
US20090172402A1 (en) Multi-factor authentication and certification system for electronic transactions
EP2738722A1 (en) Method and system for providing secure end-to-end authentication and authorization of electronic transactions
KR20170134631A (en) User authentication method and apparatus, and wearable device registration method and apparatus
JP2018522353A (en) Authentication system and method for server-based payment
JP2022502888A (en) Systems and methods for cryptographic authentication of non-contact cards
JP2022501862A (en) Systems and methods for cryptographic authentication of non-contact cards
JP7536743B2 (en) System and method for cryptographic authentication of contactless cards - Patents.com
CN111062717B (en) Data transfer processing method, device and computer readable storage medium
JP2022501872A (en) Systems and methods for cryptographic authentication of non-contact cards
JP2022501875A (en) Systems and methods for cryptographic authentication of non-contact cards
CN104715370A (en) Method and system for carrying out safety payment based on encrypted two-dimension code
CN113168631A (en) System and method for password authentication of contactless cards
CN104282091A (en) Bill data generating/transmitting/storing/authenticating method
JP2022501873A (en) Systems and methods for cryptographic authentication of non-contact cards
JP2022508026A (en) Systems and methods for cryptographic authentication of non-contact cards
US20170154329A1 (en) Secure transaction system and virtual wallet
JP2022502891A (en) Systems and methods for cryptographic authentication of non-contact cards
JP2022501858A (en) Systems and methods for cryptographic authentication of non-contact cards
JP2022501861A (en) Systems and methods for cryptographic authentication of non-contact cards
JP2022511281A (en) Systems and methods for cryptographic authentication of non-contact cards

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180725

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180904

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181025

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20181026

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190415

R150 Certificate of patent or registration of utility model

Ref document number: 6515080

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150