JP6515080B2 - INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM - Google Patents
INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM Download PDFInfo
- Publication number
- JP6515080B2 JP6515080B2 JP2016235412A JP2016235412A JP6515080B2 JP 6515080 B2 JP6515080 B2 JP 6515080B2 JP 2016235412 A JP2016235412 A JP 2016235412A JP 2016235412 A JP2016235412 A JP 2016235412A JP 6515080 B2 JP6515080 B2 JP 6515080B2
- Authority
- JP
- Japan
- Prior art keywords
- public key
- communication device
- information processing
- certificate
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明の実施形態は、情報処理システム、情報処理方法、及びプログラムに関する。 Embodiments of the present invention relate to an information processing system, an information processing method, and a program.
スマートフォンに搭載されたSIM(Subscriber Identity Module)や、専用のセキュアエレメント等の安全な領域にキャッシュカードの情報を格納することで、キャッシュカードレスで、ATM(Automatic Teller Machine)等を利用可能とする、モバイル型キャッシュカード技術が知られている(例えば、非特許文献1−2参照)。
また、金融の分野では、利便性やシステム運用コストの低減に対する期待から、ビットコイン等の仮想通貨の利用や、流通の拡大が見込まれている。こうした一連の技術は金融分野における情報通信技術の適用事例として、FinTech(financial technology)と称されている。
昨今、テキスト・音声・画像等のデジタル化された情報資産は、「共有」行為により、流動性が高まり、取扱いの利便性が向上した。ここで、現金や仮想通貨も情報資産の一種であると仮定すると、これを共有する新たな利用形態を実現することで、利便性の向上が見込まれる。
情報資産を共有する技術に関して、口座の利用権限を、口座の所有者が認めた第三者に与える技術が知られている(例えば、非特許文献3参照)。
By storing cash card information in a secure area such as SIM (Subscriber Identity Module) mounted on a smartphone or a dedicated secure element, ATM (Automatic Teller Machine) can be used without cash card. Mobile cash card technology is known (see, for example, non-patent documents 1-2).
In the field of finance, the use of virtual currency such as bitcoin and the expansion of circulation are expected from the expectation for convenience and reduction of system operation costs. Such a series of technologies is referred to as FinTech (financial technology) as an application example of information communication technology in the financial field.
Recently, digitalized information assets such as texts, sounds, images, etc. have become more fluid by the act of “sharing”, and the convenience of handling has improved. Here, assuming that cash and virtual currency are also a kind of information asset, improvement of convenience can be expected by realizing a new usage form that shares this.
With regard to the technology for sharing information assets, there is known a technology for giving the right to use an account to a third party authorized by the account owner (see, for example, Non-Patent Document 3).
前述のモバイル型キャッシュカード技術は、既存のキャッシュカードをスマートフォンに置き換えるものであり、口座の共有を実現する技術ではない。
また、口座の利用権限を、第三者に与える技術は、予め第三者を登録する必要がある。
本発明は、上記問題を解決すべくなされたもので、金融等の厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することを目的とする。
The above-mentioned mobile cash card technology replaces the existing cash card with a smart phone, and is not a technology for realizing account sharing.
In addition, technology for giving the right to use an account to a third party needs to register the third party in advance.
The present invention has been made to solve the above-mentioned problems, and it is an object of the present invention to securely share information assets in services that require strict authentication and authorization such as finance.
(1)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムであって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵と、認証局アプリとを記憶する第1の記憶部と、
第1の通信部と、
第2の通信装置のユーザの属性情報を取得する取得部と
を備え、
前記認証局アプリは、デジタル証明書の発行者を示す情報と前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行し、
前記第1の通信部は、前記第2の通信装置へ、前記デジタル証明書を送信し、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
前記第1の通信装置が送信した前記デジタル証明書を受信する第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信し、
前記情報処理装置は、
前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第2の公開鍵証明書を認証する認証部と、
前記認証部による前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行する実行部と
を備える、情報処理システムである。
(2)本発明の一態様は、上記(1)に記載の情報処理システムにおいて、
前記情報処理装置は、
前記デジタル証明書の発行者を示す情報と前記動作を許可した者を示す情報とが同一であるか否かを判定する判定部
を備え、
前記実行部は、前記判定部が前記デジタル証明書の発行者を示す情報と前記動作を許可した者を示す情報とが同一であると判定した場合に、前記デジタル証明書を復号した結果を実行する、情報処理システムである。
(3)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムであって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部と、
第2の通信装置のユーザの属性情報を取得する取得部と、
前記第2の通信装置へ、前記属性情報を送信する第1の通信部と
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
前記第1の通信装置が送信した前記属性情報を受信する第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信し、
前記情報処理装置は、
前記第2の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第1の公開鍵証明書を認証する認証部と、
前記認証部による認証が成功した場合に、前記属性情報を実行する実行部と
を備える、情報処理システムである。
(4)本発明の一態様は、上記(3)に記載の情報処理システムにおいて、
前記情報処理装置は、
前記第2の通信装置のユーザに許可する動作を示す情報の作成者を示す情報と前記第2の通信装置のユーザに前記動作を許可した者を示す情報とが同一であるか否かを判定する判定部
を備え、
前記実行部は、前記判定部が前記第2の通信装置のユーザに許可する動作を示す情報の作成者と前記第2の通信装置のユーザに前記動作を許可した者とが同一であると判定した場合に、前記動作を実行する、情報処理システムである。
(5)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムであって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部と、
第2の通信装置のユーザの属性情報を取得する取得部と、
前記情報処理装置へ、前記属性情報と前記第1の公開鍵証明書とを送信する第1の通信部と
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記第2の公開鍵証明書を送信し、
前記情報処理装置は、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部と、
前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第2の公開鍵証明書を認証する認証部と、
所定の動作を実行する実行部と
を備え、
前記認証局アプリは、前記認証部による認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行し、
前記第3の通信部は、前記認証局アプリが発行した前記デジタル証明書を、記憶部に記憶し、
前記第3の通信部は、前記第2の通信装置が送信した前記第2の公開鍵証明書を受信し、
前記認証部は、前記第3の通信部が受信した前記第2の公開鍵証明書を認証し、
前記実行部は、前記認証部による検証が成功した場合に、前記デジタル証明書を復号した結果を実行する、情報処理システムである。
(6)本発明の一態様は、上記(1)から上記(5)のいずれか一項に記載の情報処理システムにおいて、
前記属性情報は、前記第2の通信装置のユーザの識別情報と該ユーザへ許可する動作を示す情報とが含まれる、情報処理システムである。
(7)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムが実行する情報処理方法であって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵と、認証局アプリとを記憶する第1の記憶部
を備え、
第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置の前記認証局アプリが、デジタル証明書の発行者を示す情報と前記取得するステップで取得した前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行するステップと、
前記第1の通信装置が、前記第2の通信装置へ、前記デジタル証明書を送信するステップと、
前記第2の通信装置が、前記第1の通信装置が送信した前記デジタル証明書を受信するステップと、
前記第2の通信装置が、前記情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第2の公開鍵証明書を認証するステップと、
前記情報処理装置が、前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行するステップと
有する、情報処理方法である。
(8)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムが実行する情報処理方法であって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部
を備え、
第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置が、前記第2の通信装置へ、前記属性情報を送信するステップと、
前記第2の通信装置が、前記第1の通信装置が送信した前記属性情報を受信するステップと、
前記第2の通信装置が、前記情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記属性情報と前記第2の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第2の公開鍵証明書を認証するステップと、
前記情報処理装置が、前記認証するステップで認証が成功した場合に、前記所定の動作を実行するステップと
を有する、情報処理方法である。
(9)本発明の一態様は、
第1の通信装置と第2の通信装置と情報処理装置とを備える情報処理システムが実行する情報処理方法であって、
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記情報処理装置は、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置が、前記情報処理装置へ、前記属性情報と第1の公開鍵証明書とを送信するステップと、
前記第2の通信装置が、情報処理装置へ、所定の動作を要求する場合に、前記第2の公開鍵証明書を送信するステップと、
前記情報処理装置が、前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第1の公開鍵証明書を認証するステップと、
前記情報処理装置の前記認証局アプリが、前記認証するステップで認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行するステップと、
前記情報処理装置が、前記デジタル証明書を、記憶部に記憶するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記第2の公開鍵証明書を受信するステップと、
前記情報処理装置が、前記第2の公開鍵証明書を検証するステップと、
前記情報処理装置が、前記第2の公開鍵証明書の検証が成功した場合に、前記記憶部に記憶したデジタル証明書を復号した結果を実行するステップと
を有する、情報処理方法である。
(10)本発明の一態様は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵と、認証局アプリとを記憶する第1の記憶部を備える第1の通信装置のコンピュータに、
第2の通信装置のユーザの属性情報を取得するステップと、
デジタル証明書の発行者を示す情報と前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行するステップと、
前記第2の通信装置へ、前記デジタル証明書を送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える前記第2の通信装置のコンピュータに、
前記第1の通信装置が送信した前記デジタル証明書を受信するステップと、
情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信することによって、前記情報処理装置へ所定の動作を要求するステップと、
を実行させ、
前記情報処理装置のコンピュータに、
前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信するステップと、
前記第2の公開鍵証明書を認証するステップと、
前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行するステップと
を実行させる、プログラムである。
(11)本発明の一態様は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部を備える第1の通信装置のコンピュータに、
第2の通信装置のユーザの属性情報を取得するステップと、
前記第2の通信装置へ、前記属性情報を送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える第2の通信装置のコンピュータに、
前記第1の通信装置が送信した前記属性情報を受信するステップと、
情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと
を実行させ、
情報処理装置のコンピュータに、
前記第2の通信装置が送信した前記属性情報と前記第2の公開鍵証明書とを受信するステップと、
前記第2の公開鍵証明書を認証するステップと、
前記認証するステップで認証が成功した場合に、前記所定の動作を実行するステップと
を実行させる、プログラムである。
(12)本発明の一態様は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部を備える第1の通信装置のコンピュータに、
第2の通信装置のユーザの属性情報を取得するステップと、
情報処理装置へ、前記属性情報と第1の公開鍵証明書とを送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える前記第2の通信装置のコンピュータに、
前記情報処理装置へ、所定の動作を要求する場合に、前記第2の公開鍵証明書を送信するステップ
を実行させ、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部を備える前記情報処理装置のコンピュータに、
前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信するステップと、
前記第1の公開鍵証明書を認証するステップと、
前記認証するステップで認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行するステップと、
前記デジタル証明書を、記憶部に記憶するステップと、
前記第2の通信装置が送信した前記第2の公開鍵証明書を受信するステップと、
前記第2の公開鍵証明書を検証するステップと、
前記第2の公開鍵証明書の検証が成功した場合に、前記記憶部に記憶したデジタル証明書を復号した結果を実行するステップと
を実行させる、プログラムである。
(1) One aspect of the present invention is
An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, a first secret key paired with a first public key included in the first public key certificate, and a certificate authority application;
A first communication unit,
An acquisition unit for acquiring attribute information of the user of the second communication device;
The certificate authority application issues a digital certificate from the information indicating the issuer of the digital certificate, the attribute information, and the first secret key.
The first communication unit transmits the digital certificate to the second communication device,
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit that receives the digital certificate transmitted by the first communication device;
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the digital certificate and the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third communication unit for receiving the digital certificate transmitted by the second communication device and the second public key certificate;
An authentication unit that authenticates the second public key certificate received by the third communication unit;
An execution unit that executes a result of decrypting the digital certificate when the authentication of the second public key certificate by the authentication unit succeeds.
(2) One embodiment of the present invention relates to the information processing system according to the above (1),
The information processing apparatus is
A determination unit that determines whether the information indicating the issuer of the digital certificate is the same as the information indicating the person who permitted the operation;
The execution unit executes the result of decrypting the digital certificate when the determination unit determines that the information indicating the issuer of the digital certificate and the information indicating the person who permitted the operation are the same. Is an information processing system.
(3) One aspect of the present invention is
An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, and a first secret key paired with a first public key included in the first public key certificate;
An acquisition unit for acquiring attribute information of the user of the second communication device;
A first communication unit for transmitting the attribute information to the second communication device;
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit that receives the attribute information transmitted by the first communication device;
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the attribute information and the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third communication unit that receives the attribute information and the first public key certificate transmitted by the second communication device;
An authentication unit that authenticates the first public key certificate received by the third communication unit;
An execution unit that executes the attribute information when the authentication by the authentication unit succeeds.
(4) One aspect of the present invention relates to the information processing system according to (3),
The information processing apparatus is
It is determined whether or not the information indicating the creator of the information indicating the operation permitted to the user of the second communication device is the same as the information indicating the person who permitted the operation of the user of the second communication device. Provided with a judgment unit
The execution unit determines that the creator of the information indicating the operation permitted to the user of the second communication device by the determination unit is the same as the person who permitted the operation of the user of the second communication device. It is an information processing system which performs the above-mentioned operation when it carries out.
(5) One embodiment of the present invention is
An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, and a first secret key paired with a first public key included in the first public key certificate;
An acquisition unit for acquiring attribute information of the user of the second communication device;
A first communication unit for transmitting the attribute information and the first public key certificate to the information processing apparatus;
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit,
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third storage unit storing a third public key certificate, a third secret key paired with a third public key included in the third public key certificate, and a certificate authority application;
A third communication unit that receives the attribute information transmitted by the first communication device and the first public key certificate;
An authentication unit that authenticates the second public key certificate received by the third communication unit;
And an execution unit for executing a predetermined operation,
The certification authority application issues a digital certificate from the attribute information and the third secret key when the certification unit succeeds in the certification,
The third communication unit stores the digital certificate issued by the certificate authority application in a storage unit.
The third communication unit receives the second public key certificate transmitted by the second communication device,
The authentication unit authenticates the second public key certificate received by the third communication unit,
The execution unit is an information processing system that executes a result of decrypting the digital certificate when the verification by the authentication unit is successful.
(6) According to one aspect of the present invention, in the information processing system according to any one of (1) to (5),
The attribute information is an information processing system including identification information of a user of the second communication device and information indicating an operation permitted to the user.
(7) One embodiment of the present invention is
An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, a first secret key paired with a first public key included in the first public key certificate, and a certificate authority application
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
Acquiring the attribute information of the user of the second communication device by the first communication device;
Step the authentication station app, from said attribute information acquired in the step of acquiring information of a digital certificate issuer and said first secret key, and issues the digital certificate of the first communication device When,
A step wherein the first communication device, wherein the second communication device, for transmitting the digital certificate,
The second communication device receiving the digital certificate sent by the first communication device;
A step wherein the second communication apparatus, to the information processing apparatus, by sending said digital certificate and said second public key certificate, to request a predetermined operation to the information processing apparatus,
The information processing apparatus receives the digital certificate transmitted by the second communication apparatus and the second public key certificate;
The information processing apparatus authenticates the second public key certificate;
The information processing method may include the step of executing a result of decrypting the digital certificate when the authentication of the second public key certificate is successful.
(8) One embodiment of the present invention is
An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
A step of the first communication device, to acquire the attribute information of the user of the second communication device,
Sending the attribute information to the second communication device by the first communication device;
The second communication device receiving the attribute information transmitted by the first communication device;
A step wherein the second communication apparatus, to the information processing apparatus by sending a second public key certificate and the attribute information, which requests a predetermined operation to the information processing apparatus,
The information processing apparatus, the steps of the second communication device receives the second public key certificate transmitted the attribute information,
The information processing apparatus authenticates the second public key certificate;
The information processing apparatus executes the predetermined operation when the authentication is successful in the authenticating step.
(9) One embodiment of the present invention is
An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
The information processing apparatus is
A third storage unit that stores a third public key certificate, a third private key paired with a third public key included in the third public key certificate, and a certificate authority application
Equipped with
A step of the first communication device, to acquire the attribute information of the user of the second communication device,
A step wherein the first communication device, to the information processing apparatus, which transmits the attribute information and the first public key certificate,
A step wherein the second communication device, to transmit to the information processing apparatus, to request a predetermined operation, the second public key certificate,
The information processing apparatus receives the attribute information transmitted by the first communication apparatus and the first public key certificate;
The information processing apparatus authenticates the first public key certificate;
A step wherein the certificate authority application of the information processing apparatus, if the authentication in the step of the authentication is successful, issuing from the attribute information and the third secret key, digital certificates,
The information processing apparatus stores the digital certificate in a storage unit;
The information processing apparatus receives the second public key certificate transmitted by the second communication apparatus;
The information processing apparatus verifies the second public key certificate;
The information processing apparatus executes the result of decrypting the digital certificate stored in the storage unit when the verification of the second public key certificate succeeds.
(10) One embodiment of the present invention is
A first storage unit storing a first public key certificate, a first private key paired with a first public key included in the first public key certificate, and a certificate authority application On the computer of the first communication device,
Acquiring attribute information of a user of the second communication device;
From information of a digital certificate issuer and the attribute information and the first secret key, and issuing a digital certificate,
Wherein the second communication device, to execute a step of transmitting the digital certificate,
In the computer of the second communication device, comprising a second storage unit storing a second public key certificate ;
Receiving the digital certificate sent by the first communication device;
To the information processing apparatus by sending a second public key certificate and the digital certificate, and requesting a predetermined operation to the information processing apparatus,
To run
The computer of the information processing apparatus
Receiving the digital certificate transmitted by the second communication device and the second public key certificate;
Authenticating the second public key certificate;
And executing the decryption result of the digital certificate when the authentication of the second public key certificate is successful.
(11) One embodiment of the present invention is
A first communication device comprising a first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate On your computer,
Acquiring attribute information of a user of the second communication device;
Sending the attribute information to the second communication device;
A computer of a second communication device comprising a second storage unit for storing a second public key certificate ,
Receiving the attribute information sent by the first communication device;
To the information processing apparatus by sending a second public key certificate and the attribute information, to execute the steps of requesting a predetermined operation to the information processing apparatus,
In the computer of the information processing apparatus
A step of the second communication device receives the second public key certificate transmitted the attribute information,
Authenticating the second public key certificate;
And executing the predetermined operation if the authentication is successful in the authenticating step.
(12) One embodiment of the present invention is
A first communication device comprising a first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate On your computer,
Acquiring attribute information of a user of the second communication device;
Transmitting the attribute information and the first public key certificate to the information processing apparatus;
In the computer of the second communication device, comprising a second storage unit storing a second public key certificate ;
To the information processing apparatus, to request a predetermined operation, steps for transmitting the second public key certificate
To run
The third storage unit storing a third public key certificate, a third secret key paired with a third public key included in the third public key certificate, and a certificate authority application; In the computer of the information processing apparatus
Receiving the attribute information transmitted by the first communication device and the first public key certificate;
Authenticating the first public key certificate;
When the authentication in the step of authentication succeeds, from the attribute information and the third secret key, and issuing a digital certificate,
Storing the digital certificate in a storage unit;
Receiving the second public key certificate sent by the second communication device;
Verifying the second public key certificate;
And a step of executing a result of decrypting the digital certificate stored in the storage unit when the verification of the second public key certificate is successful.
本発明の実施形態によれば、金融等の厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することができる。 According to an embodiment of the present invention, information assets can be safely shared in services that require strict authentication and authorization such as finance.
(第1の実施形態)
(情報処理システム)
図1は、本実施形態に係る情報処理システムを示す図である。情報処理システム1は、通信装置100と通信装置200と情報処理装置300とを備える。通信装置100と通信装置200と情報処理装置300とは、携帯電話ネットワーク、インターネット等の通信網50を介して接続される。情報処理装置300の一例はATMであり、通信装置100、及び通信装置200のユーザへ、バンキングサービスを提供する場合について説明を続ける。
通信装置100のユーザは、現金自動預け払い機(Automatic teller machine:ATM)や、インターネットバンキングへログインする。通信装置100は、情報処理装置300へアクセスし、口座番号とログインパスワードとを送信することによって、インターネットバンキングへログインする。通信装置100のユーザは、ATMや、インターネットバンキングへログインすると、属性情報を作成するメニューを選択する。通信装置100のユーザが属性情報を作成するメニューを選択すると、通信装置100には、属性情報を作成する画面が表示される。
First Embodiment
(Information processing system)
FIG. 1 is a diagram showing an information processing system according to the present embodiment. The information processing system 1 includes a
A user of the
通信装置100のユーザは、属性情報を作成する画面を参照し、電話番号や、メールアドレス等の利用者の識別情報を指定することで、権限を与える利用者を選択する。通信装置100のユーザが権限を与える利用者を選択すると、通信装置100、及び情報処理装置300は、権限を与える利用者の識別情報を取得する。さらに、通信装置100のユーザは、属性情報を作成する画面を参照し、5万円の出金等の許可する取引内容を入力する。通信装置100のユーザが許可する取引内容を入力すると、通信装置100、及び情報処理装置300は許可する取引内容を示す情報を取得する。
通信装置100は、SIMのPIN(Personal Identification Number)等のSIM識別情報simid100を取得し、該SIM識別情報simid100と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid100と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とのダイジェスト値を演算し、演算値を第1の秘密鍵Ks_M1で暗号化することで電子署名を発行する。ただし、SIM識別情報は、IMSI(International Mobile Subscriber Identity)、MSISDN(Mobile Subscriber Integrated Services Digital Network Number)、ICCID(IC Card Identifier)、電話番号等の通信事業者の加入者識別番号であってもよい。そして、通信装置100は、発行した電子署名を含むデジタル証明書を発行する。以下、該デジタル証明書を属性証明書という。通信装置100は、属性証明書を発行すると、該属性証明書を通信装置200へ送信する。
The user of the
When the
情報処理装置300は、属性証明書を発行した通信装置100が備えるSIMのSIM識別情報simid100を取得し、該SIM識別情報simid100と通信装置100のユーザの口座番号と該口座の所有者を示す情報と取引内容とを関連付けて記憶する。ここで、口座の所有者を示す情報は、SIM識別情報で表されてもよい。さらに、情報処理装置300は、取得した権限を与える利用者の識別情報に関連付けて、SIM識別情報simid100をパスワードとして記憶する。通信装置100は、携帯電話ネットワーク等の無線通信ネットワークを介して、通信装置100のユーザが加入する通信サービスの加入者識別情報に基づいて、通信装置200へ、SIM識別情報simid100(パスワード)を送信する。通信装置100のユーザが加入する通信サービスの加入者識別情報に基づいて、送信するサービスの一例は、ショートメッセージサービス(short message service: SMS)である。
通信装置200が、通信装置100が送信した属性証明書や、パスワードを受信すると、通信装置200のユーザは、ATMを操作することによって、情報処理装置300へアクセスし、取引メニューを選択する。通信装置200のユーザが取引メニューを選択すると、通信装置200の画面には、取引画面が表示される。通信装置200のユーザは、取引画面を参照し、電話番号や、メールアドレス等の利用者の識別情報とパスワードとを入力する。ATMは、入力された利用者の識別情報とパスワードとの組み合わせが登録されている場合、認証が成功したと判定する。
The
When the
認証が成功した場合、通信装置200のユーザは、バンキングアプリを起動する。通信装置200のユーザは、バンキングアプリが起動すると、通信装置200が記憶している第2の公開鍵証明書Kp_M2と通信装置100が送信した属性証明書とを、ATMへ送信する操作を行う。通信装置200のユーザが、第2の公開鍵証明書と属性証明書とをATMへ送信する操作を行い、通信装置200をATMへかざす等を行い、通信装置200と情報処理装置300との間で通信接続されると、該第2の公開鍵証明書Kp_M2と該属性証明書とが、ATMへ送信される。ATMは、通信装置200が送信した該第2の公開鍵証明書Kp_M2と該属性証明書とを受信すると、該第2の公開鍵証明書Kp_M2と該属性証明書とを情報処理装置300へ送信する。
情報処理装置300は、通信装置200が送信した第2の公開鍵証明書Kp_M2と属性証明書とを取得すると、第2の公開鍵証明書Kp_M2を検証する。情報処理装置300は、第2の公開鍵証明書Kp_M2の検証が成功することによって、通信装置200のユーザを確認すると、属性証明書を検証する。情報処理装置300は、属性証明書の検証を行うことによって、属性証明書が有効であるか否かを確認する。情報処理装置300は、属性証明書が有効であると判定した場合、該属性証明書に含まれるSIM識別情報に関連付けて記憶している口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であるか否かを判定する。情報処理装置300は、口座の所有者を示す情報と属性証明書の発行者を示す情報とが同一であると判定すると、通信装置200のユーザの位置情報、取引を実行する施設の位置情報等の位置情報、時間、金額、取引内容等の他の属性を確認し、該他の属性に問題ない場合、属性証明書に記載されている取引内容を実行する。ここで、情報処理装置300は、属性証明書に記載されている取引内容を実行する代わりに、通信装置100のユーザが予め情報処理装置300に登録しておいた取引内容を参照して実行してもよい。さらに、取引の実行を許可する施設の位置情報を情報処理装置300に予め登録しておき、通信装置200が取得した通信装置200のユーザの位置情報を情報処理装置300に送信して、情報処理装置300が該施設から所定の範囲内にユーザの位置情報が含まれると判定した場合に、取引内容の実行を許可してもよい。さらに、取引内容の実行可能期間を情報処理装置300に予め登録しておき、通信装置200のユーザが情報処理装置300に対して操作を行った時間を通信装置200が取得して情報処理装置300に送信し、情報処理装置300が、該時間が前記実行可能期間に含まれると判定した場合のみ、取引内容を実行してもよい。前記実行可能時間は、通信装置100のユーザが指定してもよい。
If the authentication is successful, the user of the
When the
(情報処理システムの構成)
図2は、本実施形態に係る情報処理システム1に含まれる通信装置100と通信装置200と情報処理装置300とルート認証局600の構成の一例を示す。
(ルート認証局)
ルート認証局600は、通信部602と制御部604と記憶部620と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン650とを備える。
通信部602は、通信モジュールによって実現される。通信部602は、通信網50を経由して、通信装置100、及び通信装置200と通信を行う。通信部602は、通信装置100が送信した第1の公開鍵を受信する。また、通信部602は、通信装置100へ第1の公開鍵証明書Kp_M1とルート公開鍵証明書Kp_rとを送信する。また、通信部602は、通信装置200が送信した第2の公開鍵を受信する。また、通信部602は、通信装置200へ第2の公開鍵証明書Kp_M2とルート公開鍵証明書Kp_rとを送信する。
(Configuration of information processing system)
FIG. 2 shows an example of the configuration of the
(Root certificate authority)
The
The
制御部604は、例えばCPU等の演算処理装置によって構成され、記憶部620に記憶されたプログラム(図示なし)を実行することにより、生成部603として機能する。
生成部603は、記憶部620に記憶されているルート秘密鍵Ks_rと、通信装置100が送信した第1の公開鍵とSIM識別情報simid100とを使用して、第1の公開鍵証明書Kp_M1を生成する。生成部603は、第1の公開鍵とSIM識別情報simid100とを格納した「X.509」規格の公開鍵証明書フォーマットのデータのハッシュ値hash(第1の公開鍵,simid100)を算出する。次いで、生成部603は、ハッシュ値hash(第1の公開鍵,simid100)を、記憶部620に記憶されているルート秘密鍵Ks_rで暗号化する。この暗号化データKs_r(hash(第1の公開鍵証明書,simid100))は、第1の公開鍵の電子署名である。次いで、生成部603は、第1の公開鍵と、SIM識別情報simid100と、第1の公開鍵の電子署名Ks_r(hash(第1の公開鍵証明書,simid1))とを含む「X.509」規格の公開鍵証明書フォーマットの第1の公開鍵証明書Kp_M1「第1の公開鍵,simid100,Ks_r(hash(第1の公開鍵,simid100))」を構成する。生成部603は、通信部602から通信装置100へ、生成した第1の公開鍵証明書Kp_M1を送信する。生成部603は、第1の公開鍵証明書Kp_M1とともに、ルート公開鍵証明書Kp_rを送信するようにしてもよい。
また、生成部603は、記憶部620に記憶されているルート秘密鍵Ks_rと通信装置200が送信した第2の公開鍵Kp_M2とSIM識別情報simid200とを使用して、上述した方法と同様にして、第2の公開鍵証明書Kp_M2を生成する。生成部603は、通信部602から通信装置200へ、生成した第2の公開鍵証明書Kp_M2を送信する。生成部603は、第2の公開鍵証明書Kp_M2とともに、ルート公開鍵証明書Kp_rを送信するようにしてもよい。
記憶部620は、不揮発性メモリ等の記憶装置によって実現される。記憶部620は、ルート公開鍵証明書Kp_rとルート秘密鍵Ks_rとプログラム(図示なし)とを記憶する。
The
The generation unit 603 uses the root secret key Ks_r stored in the
Further, the generation unit 603 uses the root secret key Ks_r stored in the
(通信装置)
通信装置100は、通信部102と制御部104と記憶部120とSIM130と操作部140と表示部145と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン150とを備える。
通信部102は、通信モジュールによって実現される。通信部102は、通信網50を経由して、ルート認証局600、通信装置200、及び情報処理装置300と通信を行う。通信部102は、通信装置200へ、属性証明書とパスワードとを送信する。
制御部104は、例えばCPU等の演算処理装置によって構成され、記憶部120に記憶されたプログラム124を実行することにより、鍵生成部106と取得部108として機能する。
鍵生成部106は、第1の公開鍵と第1の秘密鍵Ks_M1のペアを生成する。鍵生成部106は、SIM130に、第1の秘密鍵Ks_M1を記憶する。
取得部108は、ユーザが操作部140を操作することによって入力する権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得する。
記憶部120は、不揮発性メモリ等の記憶装置によって実現される。記憶部120は、プログラム124を記憶する。
SIM130は、セキュアエレメントによって実現される。SIM130は、SIM識別情報simid100とルート公開鍵証明書Kp_rと第1の公開鍵証明書Kp_M1と第1の秘密鍵Ks_M1と認証局アプリ134とを記憶する。認証局アプリ134は、プライベートなルート認証局の秘密鍵を保持する。認証局アプリ134は、公開鍵証明書の発行処理を行うアプリであり、ルート認証局と同じ役割を果たす。ここでは、認証局アプリ134は、SIM識別情報simid100とともに、取得部108が取得した権限を与える利用者の識別情報と許可する取引内容を示す情報とのダイジェスト値を演算し、第1の秘密鍵Ks_M1で、演算値を暗号化することによって電子署名を発行する。認証局アプリ134は、発行した電子署名を含む属性証明書を発行する。
操作部140は、ユーザの操作を受け付ける入力デバイスである。
表示部145は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(Communication device)
The
The
The
The
The
The
The
The
The
(通信装置)
通信装置200は、通信部202と制御部204と記憶部220とSIM230と操作部240と表示部245と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン250とを備える。
通信部202は、通信モジュールによって実現される。通信部202は、通信網50を経由して、ルート認証局600、通信装置100、及び情報処理装置300と通信を行う。通信部202は、通信装置100が送信した属性証明書を受信する。さらに、通信部202は、通信装置100が送信したパスワードを受信する。
通信部202は、情報処理装置300へ、電話番号とパスワードとを送信する。通信部202は、情報処理装置300へ、電話番号とパスワードとを送信した後、情報処理装置300が送信する認証結果を受信する。通信部202は、情報処理装置300が送信した認証結果が成功を示す場合、第2の公開鍵証明書と属性証明書とを送信する。
制御部204は、例えば演算処理装置によって構成され、記憶部220に記憶されたプログラム224を実行することにより、鍵生成部206と要求部210と認証部211として機能する。プログラム224には、バンキングアプリが含まれる。
鍵生成部206は、第2の公開鍵と該第2の公開鍵とペアとなる第2の秘密鍵Ks_M2とを生成する。鍵生成部206は、SIM230へ、第2の秘密鍵Ks_M2を記憶する。
(Communication device)
The
The
The
The
The
要求部210は、情報処理装置300へ、所定の動作を要求する。要求部210は、通信装置100が送信した属性証明書を取得し、第2の公開鍵証明書Kp_M2とともに、通信部202から情報処理装置300へ送信する。
認証部211は、情報処理装置300との間で、認証を行う。認証部211は、ユーザが操作部240を操作することによって入力される電話番号とパスワードとを取得し、通信部202から情報処理装置300へ、該電話番号と該パスワードとを送信する。
記憶部220は、不揮発性メモリ等の記憶装置によって実現される。記憶部220は、プログラム224を記憶する。
SIM230は、SIM識別情報simid200と第2の公開鍵証明書Kp_M2と第2の秘密鍵Ks_M2とルート公開鍵証明書Kp_rとを記憶する。
操作部240は、ユーザの操作を受け付ける入力デバイスである。
表示部245は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
The
The
The
The
The
The
(情報処理装置)
情報処理装置300は、通信部302と制御部304と記憶部320と上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン350とを備える。
通信部302は、通信モジュールによって実現される。通信部302は、通信網50を経由して、通信装置100、及び通信装置200と通信を行う。通信部302は、通信装置200が送信した電話番号とパスワードとを受信する。通信部302は、該電話番号とパスワードとに基づいて、制御部304が行った認証結果を送信する。通信部302は、認証結果が成功である場合に、通信装置200が送信した第2の公開鍵証明書Kp_M2と属性証明書とを受信する。
制御部304は、例えば演算処理装置によって構成され、記憶部320に記憶されたプログラム324を実行することにより、認証部312と検証部314と判定部316と実行部318として機能する。プログラム324には、バンキングアプリが含まれる。
認証部312は、権限を与える利用者の識別情報とパスワードとを関連付けて登録する。認証部312は、通信装置200が送信した利用者の識別情報とパスワードとの組み合わせが登録されているか否かを判定することによって、通信装置200のユーザを認証する。認証部312は、通信部302から、通信装置200へ、認証結果を送信する。
(Information processing device)
The
The
The
The
検証部314は、通信部302が第2の公開鍵証明書Kp_M2と属性証明書とを受信すると、第2の公開証明書Kp_M2を検証し、該第2の公開鍵証明書Kp_M2の検証が成功した場合、属性証明書を検証する。検証部314は、属性証明書の検証が成功した場合、判定部316へ、属性証明書の検証が成功したことを通知する。
判定部316は、SIM識別情報simid100と通信装置100のユーザの口座番号と該口座の所有者を示す情報と取引内容とを関連付けて記憶する。判定部316は、検証部314から属性証明書の検証が成功したことが通知されると、該属性証明書に含まれるSIM識別情報に関連付けて記憶している口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であるか否かを判定する。判定部316は、属性証明書の発行者と口座の所有者とが一致すると判定した場合、時間、金額、取引内容等の他の属性をチェックする。判定部316は、他の属性のチェックが完了した場合、実行部318へ、他の属性のチェックが完了したことを通知する。
実行部318は、判定部316から他の属性のチェックが完了したことが通知されると、属性証明書を復号し、該属性証明書を復号した結果に含まれる取引内容を実行する。
記憶部320は、不揮発性メモリ等の記憶装置によって実現される。記憶部320は、プログラム324を記憶する。
When the
The
When notified that the check of the other attribute is completed from the
The
(通信システムの動作)
図3は、本実施形態に係る情報処理システムの動作の一例を示すシーケンスチャートである。
ステップS302では、通信装置100と情報処理装置300との間で、接続処理が行われる。情報処理装置300の制御部304は、通信装置100のSIM130のSIM識別情報simid100(パスワード)を取得する。
ステップS304では、通信装置100は、情報処理装置300へ、口座番号、ログインパスワード等のログイン情報を送信することによってログインし、情報処理装置300はメニューを起動する。
ステップS306では、通信装置100の取得部108は、利用者の識別情報を取得する。また、情報処理装置300の制御部304は、利用者の識別情報を取得する。
ステップS308では、通信装置100の取得部108は、取引内容を示す情報を取得する。また、情報処理装置300の制御部304は、取引内容を示す情報を取得する。情報処理装置300の制御部304は、ステップS302で取得したSIM識別情報simid100と通信装置100のユーザの口座番号と該口座の所有者を示す情報と取引内容とを関連付けて記憶する。さらに、情報処理装置300は、取得した権限を与える利用者の識別情報に関連付けて、SIM識別情報simid100をパスワードとして記憶する。
ステップS310では、通信装置100の認証局アプリ134は、SIM識別情報simid100と利用者の識別情報と取引内容を示す情報とのダイジェストを、第1の秘密鍵Ks_M1で暗号化することによって電子署名を発行し、該電子署名を含む属性証明書を発行する。例えば、ダイジェストの例としてハッシュ(hash)値を使用してもよい。認証局アプリ134は、SIM識別情報simid100と利用者の識別情報と取引内容を示す情報とを格納した「X.509」規格の公開鍵証明書フォーマットのデータのハッシュ値hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報)を算出する。次いで、認証局アプリ134は、該ハッシュ値を、ルート秘密鍵Ks_rで暗号化する。この暗号化データKs_r(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))は、電子署名である。次いで、認証局アプリ134は、SIM識別情報simid100と利用者の識別情報と取引内容を示す情報と電子署名KRs(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))とを含む「X.509」規格の公開鍵証明書フォーマットのデジタル証明書(属性証明書)を発行する。
(Operation of communication system)
FIG. 3 is a sequence chart showing an example of the operation of the information processing system according to the present embodiment.
In step S302, connection processing is performed between the
In step S304, the
In step S306, the
In step S308, the
In step S310, the
ステップS312では、通信装置100の通信部102は、SIM識別情報simid100(パスワード)と認証局アプリ134が発行した属性証明書とを、通信装置200へ、送信する。
ステップS314では、通信装置200の通信部202は、通信装置100が送信したSIM識別情報simid100と属性証明書とを受信する。これによって、通信装置200のユーザは、パスワードを確認できる。
ステップS316では、通信装置200と情報処理装置300との間で、接続処理が行われる。
ステップS318では、通信装置200の認証部211は、ユーザが操作部240を操作することによって入力した電話番号等の利用者の識別情報を取得する。
ステップS320では、通信装置200の認証部211は、取得した電話番号等の利用者の識別情報を、情報処理装置300へ送信する。
ステップS322では、通信装置200の認証部211は、ユーザが操作部240を操作することによって入力したパスワードを取得する。
ステップS324では、通信装置200の認証部211は、取得したパスワードを、情報処理装置300へ送信する。
ステップS326では、情報処理装置300の認証部312は、通信装置200が送信した電話番号とパスワードとを、通信部302から取得すると、該電話番号とパスワードとの組み合わせが登録されている場合には認証が成功であると判定し、登録されていない場合には認証が失敗であると判定する。
ステップS328では、情報処理装置300の認証部312は、通信部302から通信装置200へ、認証結果を送信する。ここでは、認証が成功した場合について説明を続ける。認証部312は、認証が失敗した場合には、情報処理装置300は、所定のエラー処理を実行するようにしてもよい。
ステップS330では、通信装置200の要求部210は、通信装置100が送信した属性証明書とSIM230に記憶されている第2の公開鍵証明書Kp_M2とを取得する。
In step S312, the
In step S314, the
In step S316, connection processing is performed between the
In step S318, the
In step S320, the
In step S322, the
In step S324, the
In step S326, when the
In step S328, the
In step S330, the
ステップS332では、通信装置200の要求部210は、属性証明書と第2の公開鍵証明書Kp_M2とを取得すると、通信部202から情報処理装置300へ、該属性証明書と第2の公開鍵証明書Kp_M2とを送信する。
ステップS334では、情報処理装置300の通信部302は、通信装置200が送信した属性証明書と第2の公開鍵証明書Kp_M2とを受信する。情報処理装置300の検証部314は、通信部302が受信した第2の公開鍵証明書Kp_M2を取得し、該第2の公開鍵証明書Kp_M2を検証する。検証部314は、第2の公開鍵証明書Kp_M2から第2の公開鍵とSIM識別情報simid200とを取得し、取得した第2の公開鍵とSIM識別情報simid200とを「X.509」規格の公開鍵証明書フォーマットに格納した検証データを生成する。該検証データにおいて、第2の公開鍵は、「X.509」規格の公開鍵証明書フォーマット中の所定位置に格納される。該検証データにおいて、SIM識別情報simid200は、「X.509」規格の公開鍵証明書フォーマット中の「サブジェクトパラメータ:主体者の名前」の位置に格納される。
In step S332, when the
In step S334, the
次いで、検証部314は、該検証データのハッシュ値である検証ハッシュ値hash’(第2の公開鍵,simid200)を算出する。次いで、検証部314は、第2の公開鍵証明書Kp_M2から電子署名Ks_r(hash(第2の公開鍵,simid200))を取得し、取得した電子署名Ks_r(hash(第2の公開鍵,simid200))を、ルート公開鍵証明書Kp_rのルート公開鍵で復号する。この復号により、復号データ「Kp_r・Ks_r(hash(第2の公開鍵,simid200))」が得られる。次いで、検証部314は、検証ハッシュ値hash’(第2の公開鍵,simid200)と復号データ「KRp・KRs(hash(第2の公開鍵,simid200))」とが一致するかを判定する。この判定の結果、一致する場合には第2の公開鍵証明書Kp_M2の検証が合格であり、一致しない場合には第2の公開鍵証明書Kp_M2の検証が不合格である。ここでは、第2の公開鍵証明書Kp_M2の検証が成功した場合について説明を続ける。第2の公開鍵証明書Kp_M2の検証が失敗した場合、検証部314は、所定のエラー処理を実行してもよい。
ステップS336では、情報処理装置300の検証部314は、第2の公開鍵証明書Kp_M2の検証が成功した場合、属性証明書を検証する。検証部314は、属性証明書からSIM識別情報simid100と利用者の識別情報と取引内容を示す情報とを取得し、取得したSIM識別情報simid100と利用者の識別情報と取引内容を示す情報とを「X.509」規格の公開鍵証明書フォーマットに格納した検証データを生成する。
Next, the
In step S336, if the verification of the second public key certificate Kp_M2 is successful, the
次いで、検証部314は、該検証データのハッシュ値である検証ハッシュ値hash’(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報)を算出する。次いで、検証部314は、属性証明書から電子署名Ks_r(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))を取得し、取得した電子署名Ks_r(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))を、ルート公開鍵証明書Kp_rのルート公開鍵で復号する。この復号により、復号データ「Kp_r・Ks_r(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))」が得られる。次いで、検証部314は、検証ハッシュ値hash’(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報)と復号データ「KRp・KRs(hash(SIM識別情報simid100,利用者の識別情報,取引内容を示す情報))」とが一致するかを判定する。この判定の結果、一致する場合には属性証明書の検証が合格であり、一致しない場合には属性証明書の検証が不合格である。ここでは、属性証明書の検証が成功した場合について説明を続ける。属性証明書の検証が失敗した場合、検証部314は、所定のエラー処理を実行してもよい。
Next, the
ステップS338では、情報処理装置300の判定部316は、属性証明書に含まれるSIM識別情報simid100に関連付けて記憶している口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であるか否かを判定する。ここでは、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致する場合について説明を続ける。判定部316は、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致する場合、実行部318へ、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致することを通知する。口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致しない場合、判定部316は、所定のエラー処理を実行してもよい。
ステップS340では、情報処理装置300の実行部318は、属性証明書を復号した結果に含まれる取引内容を実行する。
前述したシーケンスチャートのステップS318では、通信装置200の認証部211が、ユーザが操作部240を操作することによって入力した電話番号等の利用者の識別情報を取得する場合について説明したが、この限りでない。例えば、ユーザ操作による入力に限らず、通信装置200のSIM230から取得してもよい。
前述したシーケンスチャートのステップS322では、通信装置200の認証部211が、ユーザが操作部240を操作することによって入力したパスワードを取得する場合について説明したが、この限りでない。例えば、パスワード認証に限らず、通信装置200が備える生体認証(例えば、通信装置200に予め登録しておいたユーザの指紋を識別する情報、虹彩を識別する情報等を用いてユーザ本人か否かを判定する機能)でもよいし、パスワード認証と生体認証とを組み合わせてもよい。
本実施形態に係る情報処理システムでは、通信装置100は、SIM識別情報simid100と権限を与える利用者の識別情報と該許可する取引内容を示す情報とのダイジェスト値を演算し、演算値を第1の秘密鍵Ks_M1で暗号化することで電子署名を発行し、該電子署名を含む属性証明書を発行する。通信装置100は、属性証明書を発行すると、該属性証明書を通信装置200へ送信する。通信装置200は、通信装置100が送信した属性証明書を受信すると、該属性証明書を使用して、情報処理装置300に、通信装置200のユーザに許可する動作を実行させる。このように、通信装置200が、通信装置100が送信した属性証明書を使用して、情報処理装置300を動作させることによって、厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することができる。
In step S 338, the
In step S340, the
In step S318 of the above-described sequence chart, the case has been described where the
In step S322 of the sequence chart described above, the case has been described where the
In the information processing system according to the present embodiment, the
(第2の実施形態)
(情報処理システム)
本実施形態に係る情報処理システムは、図1を適用できる。ただし、本実施形態に係る情報処理システム2は、通信装置100の代わりに通信装置400を備え、通信装置200の代わりに通信装置500を備える。以下、第1の実施形態に係る情報処理システムと同様に、情報処理装置300の一例はATMであり、通信装置400、及び通信装置500のユーザへ、バンキングサービスを提供する場合について説明を続ける。
通信装置400のユーザは、ATMや、インターネットバンキングへログインする。通信装置400は、情報処理装置300へアクセスし、口座番号とログインパスワードとを送信することによって、インターネットバンキングへログインする。通信装置400のユーザは、ATMや、インターネットバンキングへログインすると、属性情報を作成するメニューを選択する。通信装置400のユーザが属性情報を作成するメニューを選択すると、通信装置400には、属性情報を作成する画面が表示される。
通信装置400のユーザは、属性情報を作成する画面を参照し、利用者の識別情報を指定することで、権限を与える利用者を選択する。通信装置400のユーザが権限を与える利用者を選択すると、通信装置400、及び情報処理装置300は、権限を与える利用者の識別情報を取得する。さらに、通信装置400のユーザは、属性情報を作成する画面を参照し、許可する取引内容を入力する。通信装置400のユーザが、許可する取引内容を入力すると、通信装置400、及び情報処理装置300は、許可する取引内容を示す情報を取得する。
Second Embodiment
(Information processing system)
The information processing system according to the present embodiment can apply FIG. 1. However, the
A user of the
The user of the
通信装置400は、SIM識別情報simid400を取得し、該SIM識別情報simid400と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid400と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とを含む属性情報を作成する。通信装置400は、属性情報を作成すると、該属性情報を通信装置500へ送信する。
情報処理装置300は、属性情報を送信した通信装置400が備えるSIMのPIN等のSIM識別情報simid400を取得し、該SIM識別情報simid400と通信装置400のユーザの口座番号と該口座の所有者を示す情報と取引内容とを関連付けて記憶する。ここで、口座の所有者を示す情報は、SIM識別情報で表される。さらに、情報処理装置300は、取得した権限を与える利用者の識別情報に関連付けて、SIM識別情報simid400をパスワードとして記憶する。通信装置400は、携帯電話ネットワーク等の無線通信ネットワークを介して、通信装置400のユーザが加入する通信サービスの加入者識別情報に基づいて、通信装置500へ、SIM識別情報simid100(パスワード)を送信する。
通信装置500が、通信装置100が送信した属性情報や、パスワードを受信すると、通信装置500のユーザは、ATMを操作することによって、情報処理装置300へアクセスし、取引メニューを選択する。通信装置500のユーザが取引メニューを選択すると、通信装置500の画面には、取引画面が表示される。通信装置500のユーザは、取引画面を参照し、電話番号や、メールアドレス等の利用者の識別情報とパスワードとを入力する。ATMは、入力された利用者の識別情報とパスワードとの組み合わせが登録されている場合、認証が成功したと判定する。
The
The
When the
認証が成功した場合、通信装置500のユーザは、バンキングアプリを起動する。通信装置500のユーザは、バンキングアプリが起動すると、通信装置500が記憶している第5の公開鍵証明書Kp_M5と通信装置400が送信した属性情報とを、ATMへ送信する操作を行う。通信装置500のユーザが、第5の公開鍵証明書Kp_M5と属性情報とを、ATMへ送信する操作を行い、通信装置500をATMへかざすと、該第5の公開鍵証明書Kp_M5と該属性情報とが、ATMへ送信される。ATMは、通信装置500が送信した該第5の公開鍵証明書Kp_M5と該属性情報とを受信すると、該第5の公開鍵証明書Kp_M5と該属性情報とを情報処理装置300へ送信する。
情報処理装置300は、通信装置500が送信した第5の公開鍵証明書Kp_M5と属性情報とを取得すると、第5の公開鍵証明書Kp_M5を検証する。情報処理装置300は、第5の公開鍵証明書Kp_M5の検証が成功することによって、通信装置500のユーザを確認すると、属性情報に含まれるSIM識別情報に関連付けて記憶している口座の所有者を示す情報と該属性情報の送信者を示す情報とが同一であるか否かを判定する。情報処理装置300は、口座の所有者を示す情報と属性情報の送信者を示す情報とが同一であると判定すると、時間、金額、取引内容等の他の属性を確認し、該他の属性に問題ない場合、属性情報に記載されている取引内容を実行する。
If the authentication is successful, the user of the
When acquiring the fifth public key certificate Kp_M5 and the attribute information transmitted by the
(情報処理システムの構成)
図4は、本実施形態に係る情報処理システム2に含まれる通信装置400と通信装置500と情報処理装置300とルート認証局600の構成の一例を示す。
(ルート認証局)
ルート認証局600は、第1の実施形態に係るルート認証局600を適用できる。
(Configuration of information processing system)
FIG. 4 illustrates an exemplary configuration of the
(Root certificate authority)
The
(通信装置)
通信装置400は、通信部402と制御部404と記憶部420とSIM430と操作部440と表示部445と上記各構成要素を図4に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン450とを備える。
通信部402は、通信部102を適用できる。ただし、通信部402は、通信装置200へ、属性情報とパスワードとを送信する。
制御部404は、例えばCPU等の演算処理装置によって構成され、記憶部420に記憶されたプログラム424を実行することにより、鍵生成部406と取得部408として機能する。
鍵生成部406は、第4の公開鍵と第4の秘密鍵Ks_M4のペアを生成する。鍵生成部406は、SIM430に、第4の秘密鍵Ks_M4を記憶する。
取得部408は、取得部108を適用できる。ただし、取得部408は、SIM識別情報simid400と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid400と該権限を与える利用者の識別情報と許可する取引内容を示す情報とを含む属性情報を作成する。
記憶部420は、不揮発性メモリ等の記憶装置によって実現される。記憶部420は、プログラム424を記憶する。
SIM430は、セキュアエレメントによって実現される。SIM430は、SIM識別情報simid400とルート公開鍵証明書Kp_rと第4の公開鍵証明書Kp_M4と第4の秘密鍵Ks_M4とを記憶する。
操作部440は、ユーザの操作を受け付ける入力デバイスである。
表示部445は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(Communication device)
The
The
The
The
The
The
The
The
The
(通信装置)
通信装置500は、通信部502と制御部504と記憶部520とSIM530と操作部540と表示部545と上記各構成要素を図4に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン550とを備える。
通信部502は、通信部202を適用できる。ただし、通信部502は、通信装置400が送信した属性情報を受信する。通信部502は、情報処理装置300が送信した認証結果が成功を示す場合、第5の公開鍵証明書と属性情報とを送信する。
制御部504は、例えば演算処理装置によって構成され、記憶部520に記憶されたプログラム524を実行することにより、鍵生成部506と要求部510と認証部511として機能する。
鍵生成部506は、第5の公開鍵と第5の秘密鍵Ks_M5のペアを生成する。鍵生成部506は、SIM530に、第5の秘密鍵Ks_M5を記憶する。
要求部510は、要求部210を適用できる。ただし、要求部510は、通信装置400が送信した属性情報を取得し、第5の公開鍵証明書Kp_M5とともに、通信部502から情報処理装置300へ送信する。
認証部511は、認証部211を適用できる。
記憶部520は、不揮発性メモリ等の記憶装置によって実現される。記憶部520は、プログラム524を記憶する。
SIM530は、SIM識別情報simid500と第5の公開鍵証明書Kp_M5と第5の秘密鍵Ks_M5とルート公開鍵証明書Kp_rとを記憶する。
操作部540は、ユーザの操作を受け付ける入力デバイスである。
表示部545は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(Communication device)
The
The
The
The
The
The
The
The
The
(情報処理装置)
情報処理装置300は、第1の実施形態の情報処理装置300を適用できる。ただし、検証部314は、通信部302が第5の公開鍵証明書Kp_M5と属性情報とを受信すると、第5の公開証明書Kp_M5を検証し、該第5の公開鍵証明書Kp_M5の検証が成功した場合、判定部316へ、第5の公開鍵証明書Kp_M5の検証が成功したことを通知する。
判定部316は、検証部314から第5の公開鍵証明書Kp_M5の検証が成功したことが通知されると、該属性情報に含まれるSIM識別情報に関連付けて記憶している口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であるか否かを判定する。判定部316は、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であると判定した場合、時間、金額、取引内容等の他の属性をチェックする。判定部316は、他の属性のチェックが完了した場合、実行部318へ、他の属性のチェックが完了したことを通知する。
(Information processing device)
The
When notified by the
(通信システムの動作)
図5は、本実施形態に係る情報処理システムの動作の一例を示すシーケンスチャートである。
ステップS502−S508は、図3のステップS302−S308を適用できる。
ステップS510では、通信装置400の取得部408は、SIM識別情報simid400と利用者の識別情報と取引内容を示す情報とを含む属性情報を作成する。
ステップS512では、通信装置400の通信部402は、取得部408が作成した属性情報を、通信装置500へ、送信する。
ステップS514では、通信装置500の通信部502は、通信装置400が送信した属性情報を受信する。これによって、通信装置400のユーザは、パスワードを確認できる。
ステップS516−S528は、図3のステップS316−S328を適用できる。
ステップS530では、通信装置500の要求部510は、通信装置400が送信した属性情報とSIM530に記憶されている第5の公開鍵証明書Kp_M5とを取得する。
ステップS532では、通信装置500の要求部510は、属性情報と第5の公開鍵証明書Kp_M5とを取得すると、通信部502から情報処理装置300へ、該属性情報と第5の公開鍵証明書Kp_M5とを送信する。
ステップS534では、情報処理装置300の通信部302は、通信装置500が送信した属性情報と第5の公開鍵証明書Kp_M5とを受信する。情報処理装置300の検証部314は、通信部302が受信した第5の公開鍵証明書Kp_M5を取得し、該第5の公開鍵証明書Kp_M5を検証する。ここでは、第5の公開鍵証明書Kp_M5の検証が成功した場合について説明を続ける。第5の公開鍵証明書Kp_M5の検証が失敗した場合、検証部514は、所定のエラー処理を実行してもよい。
(Operation of communication system)
FIG. 5 is a sequence chart showing an example of the operation of the information processing system according to the present embodiment.
Steps S502-S508 can apply steps S302-S308 of FIG.
In step S510, the
In step S512, the
In step S514, the
Steps S516-S528 can apply steps S316-S328 of FIG.
In step S530, the
In step S532, when the
In step S534, the
ステップS536では、情報処理装置300の判定部316は、属性証明書に含まれるSIM識別情報simid100に関連付けて記憶している口座の所有者を示す情報と該属性証明書の発行者を示す情報とが同一であるか否かを判定する。口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致する場合について説明を続ける。判定部5316は、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致する場合、実行部518へ、口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致することを通知する。口座の所有者を示す情報と該属性証明書の発行者を示す情報とが一致しない場合、判定部516は、所定のエラー処理を実行してもよい。
ステップS536では、情報処理装置300の実行部318は、属性情報を復号した結果に含まれる取引内容を実行する。
In step S536, the
In step S536, the
本実施形態に係る情報処理システムでは、通信装置400は、SIM識別情報simid400と権限を与える利用者の識別情報と該許可する取引内容を示す情報とを含む属性情報を作成する。通信装置400は、属性情報を作成すると、該属性情報を通信装置500へ送信する。通信装置500は、通信装置400が送信した属性情報を受信すると、該属性情報と通信装置500のユーザを確認するための第5の公開鍵証明書Kp_M5とを使用して、情報処理装置300に、通信装置500のユーザに許可する動作を実行させる。このように、通信装置500が、通信装置400が送信した属性情報と第5の公開鍵証明書Kp_M5を使用して、情報処理装置300を動作させることによって、厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することができる。
In the information processing system according to the present embodiment, the
(第3の実施形態)
(情報処理システム)
本実施形態に係る情報処理システムは、図1を適用できる。ただし、本実施形態に係る情報処理システム3は、通信装置100の代わりに通信装置800を備え、通信装置200の代わりに通信装置900を備え、情報処理装置300の代わりに情報処理装置700を備える。以下、第1の実施形態に係る情報処理システムと同様に、情報処理装置700の一例はATMであり、通信装置800、及び通信装置900のユーザへ、バンキングサービスを提供する場合について説明を続ける。
通信装置800のユーザは、ATMや、インターネットバンキングへログインする。通信装置800は、情報処理装置700へアクセスし、口座番号とログインパスワードとを送信することによって、インターネットバンキングへログインする。通信装置800のユーザは、ATMや、インターネットバンキングへログインすると、属性情報を作成するメニューを選択する。通信装置800のユーザが属性情報を作成するメニューを選択すると、通信装置800には、属性情報を作成する画面が表示される。
通信装置800のユーザは、属性情報を作成する画面を参照し、利用者の識別情報を指定することで、権限を与える利用者を選択する。通信装置800のユーザが権限を与える利用者を選択すると、通信装置800、及び情報処理装置700は、権限を与える利用者の識別情報を取得する。さらに、通信装置800のユーザは、属性情報を作成する画面を参照し、許可する取引内容を入力する。通信装置800のユーザが、許可する取引内容を入力すると、通信装置800、及び情報処理装置700は、許可する取引内容を示す情報を取得する。
Third Embodiment
(Information processing system)
The information processing system according to the present embodiment can apply FIG. 1. However, the
A user of the
The user of the
通信装置800は、SIM識別情報simid800を取得し、該SIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid800と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とを、情報処理装置700へ送信する。
情報処理装置700は、通信装置800が送信したSIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid800と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とのダイジェスト値を演算し、演算値を第7の秘密鍵Ks_Jで暗号化することで電子署名を発行する。そして、情報処理装置700は、発行した電子署名を含む属性証明書を発行する。情報処理装置700は、属性証明書を発行すると、該属性証明書をレポジトリ1000へ記憶する。レポジトリ1000は、記憶装置であり、データを一元的に貯蔵する。情報処理装置700は、SIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを送信した通信装置800が備えるSIM識別情報simid800を取得し、該SIM識別情報simid800と通信装置800のユーザの口座番号と該口座の所有者を示す情報と取引内容とを関連付けて記憶する。ここで、口座の所有者を示す情報は、SIM識別情報で表される。さらに、情報処理装置700は、取得した権限を与える利用者の識別情報に関連付けて、SIM識別情報simid400をパスワードとして記憶する。
通信装置800は、携帯電話ネットワーク等の無線通信ネットワークを介して、通信装置800のユーザが加入する通信サービスの加入者識別情報に基づいて、通信装置900へ、SIM識別情報simid800(パスワード)を送信する。
The
When the
The
通信装置900が、通信装置800が送信した属性情報や、パスワードを受信すると、通信装置900のユーザは、ATMを操作することによって、情報処理装置700へアクセスし、取引メニューを選択する。通信装置900のユーザが取引メニューを選択すると、通信装置900の画面には、取引画面が表示される。通信装置900のユーザは、取引画面を参照し、電話番号や、メールアドレス等の利用者の識別情報とパスワードとを入力する。ATMは、入力された利用者の識別情報とパスワードとの組み合わせが登録されている場合、認証が成功したと判定する。
認証が成功した場合、通信装置900のユーザは、バンキングアプリを起動する。通信装置500のユーザは、バンキングアプリが起動すると、通信装置900が記憶している第9の公開鍵証明書Kp_M9を、ATMへ送信する操作を行う。通信装置900のユーザが、第9の公開鍵証明書Kp_M9を、ATMへ送信する操作を行い、通信装置900をATMへかざすと、該第9の公開鍵証明書Kp_M9が、ATMへ送信される。ATMは、通信装置900が送信した該第9の公開鍵証明書Kp_M9を受信すると、該第9の公開鍵証明書Kp_M9を情報処理装置700へ送信する。
When the
If the authentication is successful, the user of the
情報処理装置700は、通信装置900が送信した第9の公開鍵証明書Kp_M9を取得すると、第9の公開鍵証明書Kp_M9を検証する。情報処理装置700は、第9の公開鍵証明書Kp_M9の検証が成功することによって、通信装置900のユーザを確認すると、該第9の公開鍵証明書Kp_M9からSIM識別情報simid900を取得する。情報処理装置700は、レポジトリ1000から、取得したSIM識別情報simid900が権限を与える利用者の識別情報と一致する属性証明書を取得する。情報処理装置700は、属性証明書を取得すると、該属性証明書を復号し、時間、金額、取引内容等の他の属性を確認し、該他の属性に問題ない場合、属性情報に記載されている取引内容を実行する。
When acquiring the ninth public key certificate Kp_M9 transmitted by the
(情報処理システムの構成)
図6は、本実施形態に係る情報処理システム3に含まれる通信装置800と通信装置900と情報処理装置700とルート認証局600とレポジトリ1000との構成の一例を示す。
(ルート認証局)
ルート認証局600は、第1の実施形態に係るルート認証局600を適用できる。
(通信装置)
通信装置800は、通信部802と制御部804と記憶部820とSIM830と操作部840と表示部845と上記各構成要素を図6に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン850とを備える。
通信部802は、通信部102を適用できる。ただし、通信部802は、情報処理装置700へ、利用者の識別情報と取引内容を示す情報とを送信する。通信部802は、通信装置900へ、パスワードを送信する。
制御部804は、例えばCPU等の演算処理装置によって構成され、記憶部820に記憶されたプログラム824を実行することにより、鍵生成部806と取得部808として機能する。
鍵生成部806は、第8の公開鍵と第8の秘密鍵Ks_M8のペアを生成する。鍵生成部806は、SIM830に、第5の秘密鍵Ks_M8を記憶する。
取得部808は、取得部108を適用できる。ただし、取得部408は、SIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得すると、該SIM識別情報simid800と該権限を与える利用者の識別情報と許可する取引内容を示す情報とを、通信部802から情報処理装置700へ送信する。
記憶部820は、不揮発性メモリ等の記憶装置によって実現される。記憶部820は、プログラム824を記憶する。
SIM830は、セキュアエレメントによって実現される。SIM830は、SIM識別情報simid800とルート公開鍵証明書Kp_rと第8の公開鍵証明書Kp_M8と第8の秘密鍵Ks_M8とを記憶する。
操作部840は、ユーザの操作を受け付ける入力デバイスである。
表示部845は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(Configuration of information processing system)
FIG. 6 shows an example of the configuration of the
(Root certificate authority)
The
(Communication device)
The
The
The
The
The
The
The
The
The display unit 845 is formed of, for example, a liquid crystal display, and displays a screen or the like for creating attribute information.
(通信装置)
通信装置900は、通信部902と制御部904と記憶部920とSIM930と操作部940と表示部945と上記各構成要素を図6に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン950とを備える。
通信部902は、通信部202を適用できる。ただし、通信部902は、情報処理装置700が送信した認証結果が成功を示す場合、第9の公開鍵証明書Kp_M9を、情報処理装置700送信する。
制御部904は、例えば演算処理装置によって構成され、記憶部920に記憶されたプログラム924を実行することにより、鍵生成部906と要求部910と認証部911として機能する。プログラム924には、バンキングアプリが含まれる。
鍵生成部906は、第9の公開鍵と第9の秘密鍵Ks_M9のペアを生成する。鍵生成部906は、SIM930に、第9の秘密鍵Ks_M9を記憶する。
要求部910は、要求部910を適用できる。ただし、要求部910は、通信部902から情報処理装置700へ、第9の公開鍵証明書Kp_M9を送信する。
認証部911は、認証部211を適用できる。
記憶部920は、不揮発性メモリ等の記憶装置によって実現される。記憶部920は、プログラム924を記憶する。
SIM930は、SIM識別情報simid900と第9の公開鍵証明書Kp_M9と第9の秘密鍵Ks_M9とルート公開鍵証明書Kp_rとを記憶する。
操作部940は、ユーザの操作を受け付ける入力デバイスである。
表示部945は、例えば液晶ディスプレイ等によって構成され、属性情報を作成する画面等を表示する。
(Communication device)
The
The
The key generation unit 906 generates a pair of the ninth public key and the ninth secret key Ks_M9. The key generation unit 906 stores the ninth secret key Ks_M9 in the
The
The
The
The
The
The
(情報処理装置)
情報処理装置700は、通信部702と制御部704と記憶部720とSIM730と上記各構成要素を図6に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン750とを備える。
通信部702は、通信モジュールによって実現される。通信部702は、通信網50を経由して、通信装置800、及び通信装置900と通信を行う。通信部702は、通信装置800が送信したSIM識別情報simid800と利用者の識別情報と取引内容を示す情報とを受信する。通信部702は、通信装置900が送信した電話番号や、メールアドレス等の利用者の識別情報とパスワードとを受信する。通信部702は、該電話番号とパスワードとに基づく認証結果を送信する。通信部702は、認証結果が成功である場合に、通信装置900が送信した第9の公開鍵証明書Kp_M9を受信する。
制御部704は、例えば演算処理装置によって構成され、記憶部720に記憶されたプログラム724を実行することにより、取得部708と認証部712と検証部714と判定部716と実行部718として機能する。
取得部708は、通信装置800が送信したSIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを取得する。
認証部712は、権限を与える利用者の識別情報とパスワードとを関連付けて登録する。認証部712は、通信装置900が送信した利用者の識別情報とパスワードとの組み合わせが登録されているか否かを判定することによって、通信装置900のユーザを認証する。認証部712は、通信部702から、通信装置900へ、認証結果を送信する。
検証部714は、検証部314を適用できる。ただし、検証部714は、通信部702が第9の公開鍵証明書Kp_M9を受信すると、該第9の公開証明書Kp_M9を検証する。検証部714は、第9の公開鍵証明書Kp_M9の検証が成功した場合、判定部716へ、第9の公開鍵証明書Kp_M9の検証が成功したことを通知する。
判定部716は、判定部316を適用できる。ただし、判定部716は、検証部714から第9の公開鍵証明書Kp_M9の検証が成功したことが通知されると、該第9の公開鍵証明書Kp_M9からSIM識別情報simid900を取得する。判定部716は、レポジトリ1000から、取得したSIM識別情報simid900が権限を与える利用者の識別情報と一致する属性証明書を取得する。判定部716は、該属性証明書を復号する。判定部716は、該属性証明書を復号すると、該属性証明書の復号結果に含まれる時間、金額、取引内容等他の属性をチェックする。判定部716は、他の属性のチェックが完了した場合、実行部718へ、他の属性のチェックが完了したことを通知する。
実行部718は、判定部716から他の属性のチェックが完了したことが通知されると、該属性証明書の復号結果に含まれる取引内容を実行する。
記憶部720は、不揮発性メモリ等の記憶装置によって実現される。記憶部720は、プログラム724を記憶する。
SIM730は、セキュアエレメントによって実現される。SIM730は、SIM識別情報simid700とルート公開鍵証明書Kp_rと第7の公開鍵証明書Kp_Jと第7の秘密鍵Ks_Jと認証局アプリ734とを記憶する。認証局アプリ734は、プライベートなルート認証局の秘密鍵を保持する。認証局アプリ734は、公開鍵証明書の発行処理を行うアプリであり、ルート認証局と同じ役割を果たす。ここでは、認証局アプリ734は、取得部708が取得したSIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とのダイジェスト値を演算し、第7の秘密鍵Ks_Jで、演算値を暗号化することによって電子署名を発行する。認証局アプリ734は、発行した電子署名を含む属性証明書を発行する。認証局アプリ734は、属性証明書を発行すると、該属性証明書を、通信部702からレポジトリ1000へ送信する。
(Information processing device)
The
The
The
The
The authentication unit 712 associates and registers the identification information of the user who gives the authority and the password. The authentication unit 712 authenticates the user of the
The verification unit 714 can apply the
The determination unit 716 can apply the
When notified by the determination unit 716 that the check of other attributes is completed, the execution unit 718 executes the transaction content included in the decryption result of the attribute certificate.
The
The
(レポジトリ)
レポジトリ1000は、通信部1002と制御部1004と記憶部1020と上記各構成要素を図6に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン1050とを備える。
通信部1002は、通信モジュールによって実現される。通信部1002は、通信網50を経由して、情報処理装置700と通信を行う。通信部1002は、情報処理装置700が送信した属性証明書と権限を与える利用者の識別情報とを受信する。
制御部1004は、例えばCPU等の演算処理装置によって構成され、記憶部1020に記憶されたプログラム(図示なし)を実行することによって、通信部1002が受信した属性証明書と権限を与える利用者の識別情報とを関連づけて、記憶部1020に記憶する。
記憶部1020は、プログラムを記憶するとともに、属性証明書と権限を与える利用者の識別情報とを関連づけて記憶する。
(Repository)
The
The
The
The
(通信システムの動作)
図7は、本実施形態に係る情報処理システムの動作の一例を示すシーケンスチャートである。
ステップS702−S708は、図3のステップS302−S308を適用できる。
ステップS710では、通信装置800の取得部808は、利用者の識別情報と取引内容を示す情報とを、通信部802から情報処理装置700へ送信する。
ステップS712では、情報処理装置700の認証局アプリ734は、通信部702が受信したSIM識別情報simid800と利用者の識別情報と取引内容を示す情報とを取得部708から取得し、該SIM識別情報simid800と該利用者の識別情報と該取引内容を示す情報とのダイジェストを、第7の秘密鍵Ks_Jで暗号化することによって電子署名を発行し、該電子署名を含む属性証明書を発行する。
ステップS714では、情報処理装置700の認証局アプリ734は、発行した属性証明書を、通信部702からレポジトリ1000へ送信する。レポジトリ1000は、情報処理装置700が送信した属性証明書と権限を与える利用者の識別情報とを受信すると、該属性情報と権限を与える利用者の識別情報とを関連付けて記憶する。
ステップS716−S728は、図3のステップS316−S328を適用できる。
ステップS730では、通信装置900の要求部910は、SIM930に記憶されている第9の公開鍵証明書Kp_M5を取得する。
ステップS732では、通信装置900の要求部910は、第9の公開鍵証明書Kp_M9を取得すると、通信部902から情報処理装置700へ、該第9の公開鍵証明書Kp_M9を送信する。
ステップS734では、情報処理装置700の通信部702は、通信装置900が送信した第9の公開鍵証明書Kp_M9を受信する。情報処理装置700の検証部714は、通信部702が受信した第9の公開鍵証明書Kp_M9を取得し、該第9の公開鍵証明書Kp_M9を検証する。ここでは、第9の公開鍵証明書Kp_M9の検証が成功した場合について説明を続ける。検証部714は、第9の公開鍵証明書Kp_M9の検証が成功した場合、判定部716へ、第9の公開鍵証明書Kp_M9の検証が成功したことを通知する。第9の公開鍵証明書Kp_M9の検証が失敗した場合、検証部714は、所定のエラー処理を実行してもよい。
ステップS736では、情報処理装置700の判定部716は、検証部714から第9の公開鍵証明書Kp_M9の検証が成功したことが通知されると、レポジトリ1000からSIM識別情報simid900と関連付けられた属性証明書を取得する。
ステップS738では、情報処理装置700の判定部716は、属性証明書を取得すると、該属性証明書を復号し、復号した内容に基づいて、時間、金額、取引内容等の他の属性を確認し、該他の属性に問題ない場合、実行部718へ、他の属性に問題がないことを通知する。
ステップS740では、情報処理装置700の実行部718は、属性証明書を復号することによって得られる取引内容を実行する。
(Operation of communication system)
FIG. 7 is a sequence chart showing an example of the operation of the information processing system according to the present embodiment.
Steps S702-S708 can apply steps S302-S308 of FIG.
In step S710, the
In step S 712, the
In step S714, the
Steps S716-S728 can apply steps S316-S328 of FIG.
In step S730, the
In step S732, when the
In step S734, the
In step S 736, when the determining unit 716 of the
In step S 738, when acquiring the attribute certificate, the determination unit 716 of the
In step S740, the execution unit 718 of the
本実施形態に係る情報処理システムでは、通信装置800は、SIM識別情報simid800と権限を与える利用者の識別情報と許可する取引内容を示す情報とを、情報処理装置700へ送信する。情報処理装置700は、通信装置800が送信した該SIM識別情報simid800と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とを取得すると、該SIM識別情報simid800と該権限を与える利用者の識別情報と該許可する取引内容を示す情報とのダイジェスト値を演算し、演算値を第7の秘密鍵Ks_Jで暗号化することで電子署名を発行し、該電子署名を含む属性証明書を発行する。情報処理装置700は、属性証明書を発行すると、該属性証明書をレポジトリ1000へ記憶する。通信装置900は、情報処理装置700へ、第9の公開鍵証明書Kp_M9を送信することによって、情報処理装置700に、通信装置900のユーザに許可する動作を実行させる。このように、通信装置900が、通信装置100が送信した属性証明書を使用して、情報処理装置300を動作させることによって、厳密な認証や認可を必要とするサービスにおいて、情報資産を安全に共有することができる。
In the information processing system according to the present embodiment, the
(変形例(その1)
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、情報処理装置300は、通信装置200のユーザ又は通信装置500のユーザに許可する動作を実行する前に、セキュリティをより強化するために、ユーザ認証(二要素目の認証)を行う。
(通信システムの動作)
図8は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。情報処理装置300は、MasterSecretを記憶する。
ステップS802では、通信装置200のSIM230又は通信装置500のSIM530に、共通鍵Kc_cがオンザエア(On The Air:OTA)で通知される。
ステップS804では、通信装置200のSIM230又は通信装置500のSIM530に、共通鍵Kc_cとMAC用の共通鍵Kc_macと暗号/復号用の共通鍵Kc_encとが書き込まれる。ここで、ステップS802とステップS804の代わりに、通信装置200のSIM230又は通信装置500のSIM530に、共通鍵Kc_cとMAC用の共通鍵Kc_macと暗号/復号用の共通鍵Kc_encとがプリセットされてもよい。
ステップS806では、通信装置200のバンキングアプリは、CPUを認証部211として機能させる。また、通信装置500のバンキングアプリは、CPUを認証部511として機能させる。認証部211又は認証部511は、利用者の識別情報等のIDとパスワードとを、情報処理装置300へ送信することによって、認証部312との間で、ログイン認証を行う。
ステップS808では、通信装置200の認証部211又は通信装置500の認証部511は、チャレンジ(乱数C)を生成し、該チャレンジと店番号と口座番号とを、通信部202又は通信部502から情報処理装置300へ送信する。
ステップS810では、情報処理装置300の通信部302は、通信装置200又は通信装置500が送信した該チャレンジと該店番号と該口座番号とを受信する。認証部312は、MAC用の共通鍵Kc_macと暗号/復号用の共通鍵Kc_encとを生成する。そして、認証部312は、共通鍵Kc_cを生成する。具体的には、認証部312は、MasterSecretと金融機関コードと店番と口座番号と鍵種別とのダイジェストを演算することによって、共通鍵Kc_cを生成する。
(Modification (Part 1)
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, the
(Operation of communication system)
FIG. 8 is a sequence chart showing an example of the operation of the information processing system according to the modification. The
In step S802, the common key Kc_c is notified to the
In step S804, the common key Kc_c, the common key Kc for MAC, and the common key Kc_enc for encryption / decryption are written in the
In step S806, the banking application of the
In step S808, the
In step S810, the
ステップS812では、情報処理装置300の認証部312は、レスポンスKc_c(乱数C)を生成する。認証部312は、レスポンスKc_c(乱数C)を作成すると、チャレンジ(乱数S)を生成する。認証部312は、チャレンジ(乱数S)を生成すると、該チャレンジ(乱数S)とレスポンスKc_c(乱数C)とを、通信部302から通信装置200又は通信装置500へ送信する。
ステップS816では、通信装置200の通信部202又は通信装置500の通信部502は、情報処理装置300が送信したチャレンジ(乱数S)とレスポンスKc_c(乱数C)とを受信すると、該チャレンジ(乱数S)と該レスポンスKc_c(乱数C)とを、認証部211又は認証部511へ出力する。認証部211又は認証部511は、該チャレンジ(乱数S)と該レスポンスKc_c(乱数C)とを取得すると、該レスポンスKc_c(乱数C)を検証する。レスポンスKc_c(乱数C)の検証が成功した場合、認証部312は、レスポンスKc_c(乱数S)を生成する。検証が失敗した場合には、所定のエラー処理を実行するようにしてもよい。
ステップS818では、認証部211又は認証部511は、レスポンスKc_c(乱数S)を生成すると、該レスポンスKc_c(乱数S)を通信部202又は通信部502から情報処理装置300へ送信する。
ステップS820では、情報処理装置300の通信部302は、通信装置200又は通信装置500が送信したレスポンスKc_c(乱数S)を受信すると、該レスポンスKc_c(乱数S)を、認証部312へ出力する。認証部312は、レスポンスKc_c(乱数S)を取得すると、該レスポンスKc_c(乱数S)を検証する。レスポンスKc_c(乱数S)を検証が成功であった場合、情報処理装置300は、属性証明書を復号することによって得られる取引内容を実行する。
本変形例によれば、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を行うことによって、セキュリティをより強化することができる。
In step S812, the
In step S816, when the
In step S 818, when the
In step S820, when the
According to the present modification, the
(変形例(その2))
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、セキュリティをより強化するために、ユーザ認証(二要素目の認証)を行う。
(通信システムの動作)
図9は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。通信装置200のSIM230、及び通信装置500のSIM530は、MasterSecretを記憶する。情報処理装置300は、MasterSecretを記憶する。
ステップS902では、通信装置200のバンキングアプリはSIM230へ金融機関コードと店番と口座番号とを通知する。また、通信装置500のバンキングアプリはSIM530へ金融機関コードと店番と口座番号とを通知する。
ステップS904では、通信装置200のSIM230又は通信装置500のSIM530は、MasterSecretと金融機関コードと店番と口座番号と鍵種別とのダイジェストを演算することによって共通鍵Kc_cを生成する。ここで、鍵種別は、MAC用の共通鍵Kc_mac及び暗号/復号用の共通鍵Kc_encのいずれかである。
ステップS906−S920は、図8のステップS806−S820を適用できる。
本変形例によれば、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を行うことによって、セキュリティをより強化することができる。
(Modification (Part 2))
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, the
(Operation of communication system)
FIG. 9 is a sequence chart showing an example of the operation of the information processing system according to the modification. The
In step S902, the banking application of the
In step S904, the
Steps S906-S920 can apply steps S806-S820 of FIG.
According to the present modification, the
(変形例(その3))
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、通信装置200又は通信装置500と情報処理装置300との間で、取引内容を示す情報(以下、「取引情報」という。)の認証を行う。ただし、情報処理装置300は、SIMを備え、該SIMには、SIM識別情報simid300とルート公開鍵証明書Kp_rと第3の公開鍵証明書Kp_J3と第3の秘密鍵Ks_J3とを記憶する。また、通信装置200及び通信装置500は、バンキングアプリとUSAT(Universal SIM Application Toolkit)とベースバンドチップとを備える。さらに、通信装置200のSIM230及び通信装置500のSIM530は、取引認証用アプリを記憶する。
(通信システムの動作)
図10は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。以下、一例として、通信装置200と情報処理装置300との間で行われる通信について説明する。
ステップS1002では、通信装置200のバンキングアプリは、HTTPS(Hypertext Transfer Protocol Secure)等の通信を安全に行うためのプロトコルで、情報処理装置300へ、取引情報を送信する。
ステップS1004では、情報処理装置300の通信部302は、通信装置200が送信した取引情報を受信する。情報処理装置300の認証部312は、通信部302が取引情報を受信すると、該取引情報に対する応答(以下、「取引確認」という。)を生成する。認証部312は、取引確認を生成すると、SIM識別情報simid300と該取引確認とのダイジェスト値とを演算し、第3の秘密鍵Ks_J3で、該演算した結果を暗号化することによって電子署名を発行する。そして、認証部312は、取引確認を暗号化する。具体的には、認証部312は、CMAC等の共通鍵で取引確認を暗号化するようにしてもよいし、第3の秘密鍵Ks_J3で暗号化するようにしてもよい。
ステップS1006では、情報処理装置300の通信部302は、SMS等の情報処理装置300のユーザが加入する通信サービスの加入者識別情報に基づいて送信するサービスを使用して、通信装置200へ、暗号化した取引確認と電子署名とを送信する。
ステップS1008では、通信装置200のベースバンドチップは、情報処理装置300が送信した暗号化した取引確認と電子署名とを受信する。通信装置200の取引認証用アプリは、通信部202が暗号化した取引確認と電子署名とを受信すると、該電子署名を検証する。ここでは、電子署名の検証が成功した場合について説明を続ける。電子署名の検証が失敗した場合には、所定のエラー処理が行われてもよい。
ステップS1010では、通信装置200の取引認証用アプリは、電子署名の検証が成功すると、電子署名の検証が成功したことを、USATへ通知する。USATは、取引認証用アプリから電子署名の検証が成功したことが通知されると、表示部245へ、取引認証用の画面を表示する。図10に示される取引認証用の画面には、「取引情報」と「取引確認」とが表示される。
(Modification (Part 3))
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, between the
(Operation of communication system)
FIG. 10 is a sequence chart showing an example of the operation of the information processing system according to the modification. Hereinafter, communication performed between the
In step S1002, the banking application of the
In step S1004, the
In step S1006, the
In step S1008, the baseband chip of the
In step S1010, when the electronic signature verification is successful, the transaction authentication application of the
ステップS1012では、通信装置200のユーザが表示部245に表示された取引認証用の画面を参照し、「取引確認」を押す等の承諾する操作を行うことによって、承諾を示す情報が、USATへ出力される。USATは、承諾を示す情報を取得すると、該承諾を示す情報を、取引認証用アプリへ出力する。
ステップS1014では、通信装置200の取引認証用アプリは、承諾を示す情報を取得すると、SIM識別情報simid200と該承諾を示す情報とのダイジェスト値とを演算し、第2の秘密鍵Ks_M2で、演算値を暗号化することによって電子署名を発行する。そして、取引認証用アプリは、承諾を示す情報を暗号化する。具体的には、認証部312は、CMAC等の共通鍵で承諾を示す情報を暗号化するようにしてもよいし、第2の秘密鍵Ks_M2で暗号化するようにしてもよい。
ステップS1016では、通信装置200のベースバンドチップは、SMS等の通信装置200のユーザが加入する通信サービスの加入者識別情報に基づいて送信するサービスを使用して、情報処理装置300へ、暗号化した承諾を示す情報と電子署名とを送信する。
ステップS1018では、情報処理装置300の通信部302は、通信装置200が送信した暗号化した承諾を示す情報と電子署名とを受信する。情報処理装置300の認証部312は、通信部302によって暗号化した承諾を示す情報と電子署名とが受信されると、該電子署名を検証する。検証が成功した場合、取引情報の完全性が保証されるとともに、通信装置200のユーザの正当性が確認される。
変形例においては、一例として、通信装置200と情報処理装置300との間で行われる通信について説明したが、通信装置500と情報処理装置300との間で行われる通信にも適用できる。
本変形例によれば、取引情報を認証することによって、セキュリティをより強化することができる。
In step S1012, the user of the
In step S1014, when the transaction authentication application of the
In step S1016, the baseband chip of the
In step S1018, the
In the modification, the communication performed between the
According to this modification, security can be further enhanced by authenticating transaction information.
(変形例(その4))
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、通信装置200又は通信装置500と情報処理装置300との間で、取引情報の認証を行う。ただし、情報処理装置300は、SIMを備え、該SIMには、SIM識別情報simid300とルート公開鍵証明書Kp_rと第3の公開鍵証明書Kp_J3と第3の秘密鍵Ks_J3とを記憶する。また、通信装置200は、バンキングアプリとUSAT(Universal SIM Application Toolkit)とOpen Mobile APIとを備える。さらに、通信装置200のSIM230及び通信装置500のSIM530は、取引認証用アプリとアクセスコントロールファイル(Access Control File)とを有する。アクセスコントロールファイルは、正規のバンキングアプリの署名が登録される。
(通信システムの動作)
図11は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。以下、一例として、通信装置200と情報処理装置300との間で行われる通信について説明する。
ステップS1102では、通信装置200のバンキングアプリは、HTTPS等の通信を安全に行うためのプロトコルで、情報処理装置300へ、取引情報を送信する。
ステップS1104では、情報処理装置300の通信部302は、通信装置200が送信した取引情報を受信する。情報処理装置300の認証部312は、通信部302が取引情報を受信すると、該取引情報に対する取引確認を生成する。認証部312は、取引確認を生成すると、SIM識別情報simid300と該取引確認とのダイジェスト値とを演算し、第3の秘密鍵Ks_J3で、該演算した結果を暗号化することによって電子署名を発行する。そして、認証部312は、取引確認を暗号化する。具体的には、認証部312は、CMAC等の共通鍵で取引確認を暗号化するようにしてもよいし、第3の秘密鍵Ks_J3で暗号化するようにしてもよい。
ステップS1006では、情報処理装置300の通信部302は、HTTPS等の通信を安全に行うためのプロトコルで、通信装置200へ、暗号化した取引確認と電子署名とを送信する。
ステップS1108では、通信装置200のバンキングアプリは、情報処理装置300が送信した暗号化した取引確認と電子署名とを取得すると、Open Mobile APIを経由して、SIM230へアクセスする。Access Control Fileは、バンキングアプリからSIM230へのアクセス制御を行う。バンキングアプリは、SIM230の取引認証用アプリへアクセスすると、暗号化した取引確認と電子署名とを出力する。SIM230の取引認証用アプリは、バンキングアプリが出力した暗号化した取引確認と電子署名とを取得すると、該電子署名を検証する。ここでは、電子署名の検証が成功した場合について説明を続ける。電子署名の検証が失敗した場合には、所定のエラー処理が行われてもよい。
(Modification (Part 4))
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, transaction information is authenticated between the
(Operation of communication system)
FIG. 11 is a sequence chart showing an example of the operation of the information processing system according to the modification. Hereinafter, communication performed between the
In step S1102, the banking application of the
In step S1104, the
In step S1006, the
In step S1108, when the banking application of the
ステップS1110では、通信装置200の取引認証用アプリは、電子署名の検証が成功すると、電子署名の検証が成功したことを、USATへ通知する。USATは、取引認証用アプリから電子署名の検証が成功したことが通知されると、表示部245へ、取引認証用の画面を表示する。図11に示される取引認証用の画面には、「取引情報」と「取引確認」とが表示される。
ステップS1112では、通信装置200のユーザが表示部245に表示された取引認証用の画面を参照し、「取引確認」を押す等の承諾する操作を行うことによって、承諾を示す情報が、USATへ出力される。USATは、承諾を示す情報を取得すると、該承諾を示す情報を、取引認証用アプリへ出力する。
ステップS1114では、通信装置200の取引認証用アプリは、承諾を示す情報を取得すると、SIM識別情報simid200と該承諾を示す情報とのダイジェスト値とを演算し、第2の秘密鍵Ks_M2で、演算値を暗号化することによって電子署名を発行する。そして、取引認証用アプリは、承諾を示す情報を暗号化する。具体的には、認証部312は、CMAC等の共通鍵で承諾を示す情報を暗号化するようにしてもよいし、第2の秘密鍵Ks_M2で暗号化するようにしてもよい。
ステップS1116では、通信装置200の取引認証用アプリは、Open Mobile APIを経由して、バンキングアプリへ、アクセスする。取引認証用アプリは、バンキングアプリへアクセスすると、バンキングアプリへ、暗号化した取引確認と電子署名とを出力する。バンキングアプリは、暗号化した取引確認と電子署名とを取得すると、該暗号化した取引確認と電子署名とを、HTTPS等の通信を安全に行うためのプロトコルで、情報処理装置300へ、送信する。
ステップS1018では、情報処理装置300の通信部302は、通信装置200が送信した暗号化した承諾を示す情報と電子署名とを受信する。情報処理装置300の認証部312は、通信部302によって暗号化した承諾を示す情報と電子署名とが受信されると、該電子署名を検証する。検証が成功した場合、取引情報の完全性が保証されるとともに、通信装置200のユーザの正当性が確認される。
変形例においては、一例として、通信装置200と情報処理装置300との間で行われる通信について説明したが、通信装置500と情報処理装置300との間で行われる通信にも適用できる。
本変形例によれば、取引情報を認証することによって、セキュリティをより強化することができる。
In step S1110, when the electronic signature verification is successful, the transaction authentication application of the
In step S1112, the user of the
In step S1114, when the transaction authentication application of the
In step S1116, the transaction authentication application of the
In step S1018, the
In the modification, the communication performed between the
According to this modification, security can be further enhanced by authenticating transaction information.
(USAT)
図12は、USATを説明するための図である。
通信装置200及び通信装置500には、USATクライアントとベースバンドチップとSIMとが搭載されている。
SIMのアーキテクチャーには、OSとJava Virtual Machine(Javaは登録商標)とアプリ実行領域と通信事業者のプロファイル領域とUSATインタフェースとが含まれる。
SIMのアプリ実行領域のアプリは、USATクライアントに、画面を表示させたり、SMS等の通信装置200又は通信装置500のユーザが加入する通信サービスの加入者識別情報に基づいて、送信するサービスを利用させたりすることができる。具体的には、SIMのアプリ実行領域のアプリは、「○○銀行です。Bさんに300万円を振り込みます。」等の画面を、USATクライアントに表示させる。そして、該アプリは、USATクライアントに表示させた画面を「キャンセル」又は「了解」が押されない限り、該画面の表示を消えないようにすることができる。
また、通信事業者プロファイル領域のアプリは、USATクライアントに発呼させることができる。
このように構成することによって、通信装置200及び通信装置500を能動的に利用することができる。
(USAT)
FIG. 12 is a diagram for explaining the USAT.
The
The SIM architecture includes the OS, Java Virtual Machine (Java is a registered trademark), application execution area, carrier's profile area, and the USAT interface.
The application in the application execution area of the SIM uses a service that causes the USAT client to display a screen or transmits based on the subscriber identification information of the communication service such as SMS or the communication service to which the user of the
Also, the application of the carrier profile area can make a call to the USAT client.
With this configuration,
(変形例(その5)
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、情報処理装置300は、通信装置200のユーザ又は通信装置500のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を行うのに先立って、公開鍵証明書を発行する。通信装置200及び通信装置500は、バンキングアプリとSIMとを含む。該SIMは、通信装置200のSIM230又は通信装置500のSIM530であってもよい。SIMには、パーソナルな認証局アプリが含まれる。該バンキングアプリと該SIMとは、Open Mobile APIを介して、情報のやり取りが可能である。また、情報処理装置300は、公開鍵証明書Ks_pと該公開鍵証明書Ks_pに含まれる公開鍵とペアをなす秘密鍵Ks_sとを記憶する。
(Modification (Part 5)
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, the
(通信システムの動作)
図13は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。以下、一例として、通信装置200と情報処理装置300との間で行われる通信について説明する。
ステップS1302では、通信装置200のバンキングアプリは、Open Mobile APIを経由して、SIMへ、金融機関コードと店番と口座番号とを出力する。SIMは、バンキングアプリが出力した金融機関コードと店番と口座番号とを取得すると、クライアント公開鍵証明書Kc_pと該クライアント公開鍵証明書Kc_pに含まれる公開鍵とペアをなす秘密鍵Kc_sとを発行する。
ステップS1304では、通信装置200のバンキングアプリは、利用者の識別情報等のIDとパスワードとを、情報処理装置300へ送信することによって、情報処理装置300の認証部312との間で、ログイン認証を行う。
ステップS1306では、通信装置200のSIMの認証局アプリは、チャレンジ(乱数C)を生成し、該チャレンジ(乱数C)とクライアント公開鍵証明書Kc_pとを、バンキングアプリへ出力する。
ステップS1308では、通信装置200のバンキングアプリは、認証局アプリが出力したチャレンジ(乱数C)とクライアント公開鍵証明書Kc_pとを取得すると、該チャレンジ(乱数C)と該クライアント公開鍵証明書Kc_pとを、情報処理装置300へ送信する。
ステップS1310では、情報処理装置300の通信部302は、通信装置200が送信したチャレンジ(乱数C)と該クライアント公開鍵証明書Kc_pとを受信すると、該クライアント公開鍵証明書Kc_pを、認証部312へ出力する。認証部312は、通信部302が出力したチャレンジ(乱数C)とクライアント公開鍵証明書Kc_pとを取得すると、該クライアント公開鍵証明書Kc_pを、検証部314へ出力する。検証部314は、通信部302が出力したクライアント公開鍵証明書Kc_pを取得すると、該クライアント公開鍵証明書Kc_pを検証する。検証部314は、クライアント証明書Kc_pの検証の結果を認証部312へ通知する。ここでは、クライアント公開鍵証明書Kc_pの検証が成功した場合について説明を続ける。クライアント公開鍵証明書Kc_pの検証が失敗した場合には、所定のエラー処理が行われてもよい。
(Operation of communication system)
FIG. 13 is a sequence chart showing an example of the operation of the information processing system according to the modification. Hereinafter, communication performed between the
In step S1302, the banking application of the
In step S1304, the banking application of the
In step S1306, the SIM certificate authority application of the
In step S1308, when the banking application of the
In step S 1310, when the
ステップS1312では、情報処理装置300の認証部312は、検証部314からクライアント公開鍵証明書Kc_pの検証が成功したことが通知されると、チャレンジ(乱数C)を秘密鍵Ks_sで暗号化することによってレスポンスKs_s(乱数C)を生成する。
ステップS1314では、通信装置200の認証部312は、レスポンスKs_s(乱数C)を生成すると、チャレンジ(乱数S)を生成する。認証部312は、チャレンジ(乱数S)生成すると、該チャレンジ(乱数S)とサーバ公開鍵証明書Ks_pとレスポンスKs_s(乱数C)とを、通信装置200へ送信する。
ステップS1316では、通信装置200のバンキングアプリは、情報処理装置300が送信したチャレンジ(乱数S)とサーバ公開鍵証明書Ks_pとレスポンスKs_s(乱数C)とを取得すると、該チャレンジ(乱数S)と該サーバ公開鍵証明書Ks_pと該レスポンスKs_s(乱数C)とを、認証局アプリへ出力する。
ステップS1318では、通信装置200の認証局アプリは、該チャレンジ(乱数S)と該サーバ公開鍵証明書Ks_pと該レスポンスKs_s(乱数C)とを取得すると、該サーバ公開鍵証明書を検証する。ここでは、サーバ公開鍵証明書の検証が成功した場合について、説明を続ける。サーバ公開鍵証明書の検証が失敗した場合、所定のエラー処理が実行されてもよい。
ステップS1320では、通信装置200の認証局アプリは、サーバ公開鍵証明書Ks_pの検証が成功すると、レスポンスKs_s(乱数C)を検証する。ここでは、レスポンスKs_s(乱数C)の検証が成功した場合について説明を続ける。レスポンスKs_s(乱数C)の検証が失敗した場合、所定のエラー処理が実行されてもよい。認証局サーバは、レスポンスKs_s(乱数C)の検証が成功すると、チャレンジ(乱数S)を秘密鍵Kc_sで暗号化することによってレスポンスKc_s(乱数S)を生成する。
In step S1312, the
In step S1314, when the
In step S 1316, when the banking application of the
In step S1318, the certificate authority application of the
In step S1320, when the verification of the server public key certificate Ks_p succeeds, the certificate authority application of the
ステップS1322では、通信装置200の認証局サーバは、レスポンスKc_s(乱数S)を生成すると、該レスポンスKc_s(乱数S)を、バンキングアプリへ出力する。
ステップS1324では、バンキングアプリは、認証局アプリが出力したレスポンスKc_s(乱数S)を取得すると、該レスポンスKc_s(乱数S)を、情報処理装置300へ送信する。
ステップS1326では、情報処理装置300の通信部302は、通信装置200が送信したレスポンスKc_s(乱数S)を受信すると、該レスポンスKc_s(乱数S)を、認証部312へ出力する。認証部312は、通信部302が出力したチャレンジ(乱数C)とクライアント公開鍵証明書Kc_pとを取得すると、該レスポンスKc_s(乱数S)を、検証部314へ出力する。検証部314は、通信部302が出力したレスポンスKc_s(乱数S)を取得すると、該レスポンスKc_s(乱数S)を検証する。検証部314は、レスポンスKc_s(乱数S)の検証の結果を認証部312へ通知する。
変形例においては、一例として、通信装置200と情報処理装置300との間で行われる通信について説明したが、通信装置500と情報処理装置300との間で行われる通信にも適用できる。
本変形例によれば、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を行うのに先立って、公開鍵証明書を発行することによって、セキュリティをより強化することができる。
In step S1322, when the certificate authority server of the
In step S1324, when the banking application acquires the response Kc_s (random number S) output from the certificate authority application, the banking application transmits the response Kc_s (random number S) to the
In step S1326, when the
In the modification, the communication performed between the
According to the present modification, the
(変形例(その6))
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、情報処理装置300は、通信装置200のユーザ又は通信装置500のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を、アプリを経由して行う。通信装置200及び通信装置500は、バンキングアプリとOpen Mobile APIとSIMとを含む。該SIMは、通信装置200のSIM230又は通信装置500のSIM530であってもよい。SIMは、認証用アプリとAccess Control Fileとを有する。アクセスコントロールファイルは、正規のバンキングアプリの署名が登録される。該バンキングアプリと該SIMとは、Open Mobile APIを介して、情報のやり取りが可能である。また、情報処理装置300は、公開鍵証明書Ks_pと該公開鍵証明書Ks_pに含まれる公開鍵とペアをなす秘密鍵Ks_sとを記憶する。
(通信システムの動作)
図14は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。以下、一例として、通信装置200と情報処理装置300との間で行われる通信について説明する。
ステップS1402では、通信装置200のバンキングアプリは、HTTPS等の通信を安全に行うためのプロトコルで、利用者の識別情報等のIDとパスワードとを、情報処理装置300へ送信することによって、情報処理装置300の認証部312との間で、ログイン認証を行う。
ステップS1404では、情報処理装置300の認証部312は、チャレンジ(乱数S)を生成し、該チャレンジ(乱数S)を、HTTPS等の通信を安全に行うためのプロトコルで、通信装置200へ送信する。
ステップS1406では、通信装置200のバンキングアプリは、情報処理装置300が送信したチャレンジ(乱数S)を取得すると、該チャレンジ(乱数S)を、Open Mobile APIを経由して、認証用アプリへ出力する。認証用アプリは、バンキングアプリが出力したチャレンジ(乱数S)を取得すると、該チャレンジ(乱数S)のダイジェスト値を演算し、暗号鍵で、演算値を暗号化することによって電子署名(レスポンス(乱数S))を発行する。具体的には、認証用アプリは、CMAC等の共通鍵でチャレンジ(乱数S)を暗号化するようにしてもよいし、第2の秘密鍵Ks_M2でチャレンジ(乱数S)を暗号化するようにしてもよい。
ステップS1408では、通信装置200の認証用アプリは、チャレンジ(乱数S)を暗号化すると、チャレンジ(乱数C)を生成する。認証用アプリは、チャレンジ(乱数C)を生成すると、該チャレンジ(乱数C)とレスポンス(乱数S)とを、情報処理装置300へ、送信する。
ステップS1410では、情報処理装置300の通信部302は、通信装置200が送信したチャレンジ(乱数C)とレスポンス(乱数S)とを受信すると、該チャレンジ(乱数C)と該レスポンス(乱数S)とを、認証部312へ出力する。認証部312は、通信部302が出力した該チャレンジ(乱数C)と該レスポンス(乱数S)とを取得すると、該レスポンス(乱数S)を検証部314へ出力する。検証部314は、認証部312が出力したレスポンス(乱数S)を取得すると、該レスポンス(乱数S)を検証する。検証部314は、レスポンス(乱数S)の検証結果を、認証部312へ通知する。ここでは、レスポンス(乱数S)の検証が成功した場合について、説明を続ける。レスポンス(乱数S)の検証が失敗した場合には、所定のエラー処理が行われてもよい。
(Modification (Part 6))
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, the
(Operation of communication system)
FIG. 14 is a sequence chart showing an example of the operation of the information processing system according to the modification. Hereinafter, communication performed between the
In step S1402, the banking application of the
In step S1404, the
In step S1406, when the banking application of the
In step S1408, when the challenge (random number S) is encrypted, the authentication application of the
In step S1410, when the
ステップS1412では、情報処理装置300の認証部312は、検証部314からレスポンス(乱数S)の検証が成功したことが通知されると、チャレンジ(乱数C)のダイジェスト値を演算し、暗号鍵で、演算値を暗号化することによって電子署名(レスポンス(乱数C))を発行する。具体的には、認証部312は、CMAC等の共通鍵でチャレンジ(乱数C)を暗号化するようにしてもよいし、秘密鍵Ks_sでチャレンジ(乱数C)を暗号化するようにしてもよい。
ステップS1414では、情報処理装置300の認証部312は、レスポンス(乱数C)発行すると、該レスポンス(乱数C)を、通信部302へ出力する。通信部302は、認証部312が出力したレスポンス(乱数C)を取得すると、該レスポンス(乱数C)を、通信装置200へ送信する。
ステップS1416では、通信装置200のバンキングアプリは、情報処理装置300が送信したレスポンス(乱数C)を取得すると、該レスポンス(乱数C)をOpen Mobile APIを経由して、認証用アプリへ出力する。認証用アプリは、バンキングアプリが出力したレスポンス(乱数C)を取得すると、該レスポンス(乱数)を検証する。
変形例においては、一例として、通信装置200と情報処理装置300との間で行われる通信について説明したが、通信装置500と情報処理装置300との間で行われる通信にも適用できる。
本変形例によれば、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を、アプリを経由して行うことによって、セキュリティをより強化することができる。
In step S1412, when notified that the verification of the response (random number S) is successful from the
In step S1414, when the response (random number C) is issued, the
In step S1416, when the banking application of the
In the modification, the communication performed between the
According to the present modification, the
(変形例(その7))
変形例に係る情報処理システムは、第1の実施形態、第2の実施形態を適用できる。
変形例に係る情報処理システムでは、情報処理装置300は、通信装置200のユーザ又は通信装置500のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を、SMS等の情報処理装置300のユーザが加入する通信サービスの加入者識別情報に基づいて送信するサービスを使用して行う。以下、ユーザ認証を、SMSを使用して行う場合について説明を続ける。
通信装置200及び通信装置500は、バンキングアプリとベースバンドチップとSIMとを含む。該SIMは、通信装置200のSIM230又は通信装置500のSIM530であってもよい。SIMは、認証用アプリを有する。また、情報処理装置300は、公開鍵証明書Ks_pと該公開鍵証明書Ks_pに含まれる公開鍵とペアをなす秘密鍵Ks_sとを記憶する。
(通信システムの動作)
図15は、変形例に係る情報処理システムの動作の一例を示すシーケンスチャートである。以下、一例として、通信装置200と情報処理装置300との間で行われる通信について説明する。
ステップS1502では、通信装置200のバンキングアプリは、HTTPS等の通信を安全に行うためのプロトコルで、利用者の識別情報等のIDとパスワードとを、情報処理装置300へ送信することによって、情報処理装置300の認証部312との間で、ログイン認証を行う。
ステップS1504では、情報処理装置300の認証部312は、チャレンジ(乱数S)を生成し、該チャレンジ(乱数S)を、SMSで、通信装置200へ送信する。
ステップS1506では、通信装置200のベースバンドチップは、情報処理装置300が送信したチャレンジ(乱数S)を受信すると、該チャレンジ(乱数S)を、認証用アプリへ出力する。認証用アプリは、ベースバンドチップが出力したチャレンジ(乱数S)を取得すると、該チャレンジ(乱数S)のダイジェスト値を演算し、暗号鍵で、演算値を暗号化することによって電子署名(レスポンス(乱数S))を発行する。具体的には、認証用アプリは、CMAC等の共通鍵でチャレンジ(乱数S)を暗号化するようにしてもよいし、第2の秘密鍵Ks_M2でチャレンジ(乱数S)を暗号化するようにしてもよい。
ステップS1508では、通信装置200の認証用アプリは、チャレンジ(乱数S)を暗号化すると、チャレンジ(乱数C)を生成する。認証用アプリは、チャレンジ(乱数C)を生成すると、該チャレンジ(乱数C)とレスポンス(乱数S)とを、ベースバンドチップへ出力する。ベースバンドチップは、認証用アプリが出力したチャレンジ(乱数C)とレスポンス(乱数S)とを、SMSで、情報処理装置300へ送信する。
ステップS1510では、情報処理装置300の通信部302は、通信装置200が送信したチャレンジ(乱数C)とレスポンス(乱数S)とを受信すると、該チャレンジ(乱数C)と該レスポンス(乱数S)とを、認証部312へ出力する。認証部312は、通信部302が出力した該チャレンジ(乱数C)と該レスポンス(乱数S)とを取得すると、該レスポンス(乱数S)を検証部314へ出力する。検証部314は、認証部312が出力したレスポンス(乱数S)を取得すると、該レスポンス(乱数S)を検証する。検証部314は、レスポンス(乱数S)の検証結果を、認証部312へ通知する。ここでは、レスポンス(乱数S)の検証が成功した場合について、説明を続ける。レスポンス(乱数S)の検証が失敗した場合には、所定のエラー処理が行われてもよい。
(Modification (Part 7))
The first embodiment and the second embodiment can be applied to the information processing system according to the modification.
In the information processing system according to the modification, the
The
(Operation of communication system)
FIG. 15 is a sequence chart showing an example of the operation of the information processing system according to the modification. Hereinafter, communication performed between the
In step S1502, the banking application of the
In step S1504, the
In step S1506, when the baseband chip of the
In step S1508, when the challenge (random number S) is encrypted, the authentication application of the
In step S1510, when the
ステップS1512では、情報処理装置300の認証部312は、検証部314からレスポンス(乱数S)の検証が成功したことが通知されると、チャレンジ(乱数C)のダイジェスト値を演算し、暗号鍵で、演算値を暗号化することによって電子署名(レスポンス(乱数C))を発行する。具体的には、認証用アプリは、CMAC等の共通鍵でチャレンジ(乱数C)を暗号化するようにしてもよいし、秘密鍵Ks_sでチャレンジ(乱数C)を暗号化するようにしてもよい。
ステップS1514では、情報処理装置300の認証部312は、レスポンス(乱数C)発行すると、該レスポンス(乱数C)を、SMSで、通信装置200へ送信する。
ステップS1516では、通信装置200のベースバンドチップは、情報処理装置300が送信したレスポンス(乱数C)を受信すると、該レスポンス(乱数C)を認証用アプリへ出力する。認証用アプリは、ベースバンドチップが出力したレスポンス(乱数C)を取得すると、該レスポンス(乱数)を検証する。
変形例においては、一例として、通信装置200と情報処理装置300との間で行われる通信について説明したが、通信装置500と情報処理装置300との間で行われる通信にも適用できる。
本変形例によれば、情報処理装置300は、第2の通信装置のユーザ又は第5の通信装置のユーザに許可する動作を実行する前に、ユーザ認証(二要素目の認証)を、SMS等の情報処理装置300のユーザが加入する通信サービスの加入者識別情報に基づいて送信するサービスを使用して行うことによって、セキュリティをより強化することができる。
In step S1512, when notified that the verification of the response (random number S) is successful from the
In step S 1514, when the response (random number C) is issued, the
In step S 1516, when the baseband chip of the
In the modification, the communication performed between the
According to this modification, the
前述した実施形態及び変形例では、「X.509」規格の公開鍵証明書フォーマットにしたがって、公開鍵証明書が作成される場合について説明したが、この例に限られない。例えば、「X.509」規格の公開鍵証明書フォーマット以外のフォーマットにしたがって、公開鍵証明書が作成されてもよい。
前述した実施形態及び変形例では、情報処理装置がバンキングサービスを提供する場合について説明したが、この例に限られない。例えば、カーシェアリング、公衆WiFiサービス、ファイルストレージ等の認証と認可に基づいて利用する、リアル・バーチャルな資産を共有するサービスを提供する場合にも適用できる。
In the embodiment and the modification described above, the case where the public key certificate is created according to the public key certificate format of the "X. 509" standard has been described, but it is not limited to this example. For example, a public key certificate may be created according to a format other than the "X. 509" standard public key certificate format.
Although the embodiment and the modification described above have described the case where the information processing apparatus provides the banking service, the present invention is not limited to this example. For example, the present invention can be applied to the case of providing a service that shares real virtual assets used based on authentication and authorization such as car sharing, public WiFi service, file storage and the like.
以上、本発明の実施形態及びその変形例を説明したが、これらの実施形態及びその変形例は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態及びその変形例は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更、組合せを行うことができる。これら実施形態及びその変形例は、発明の範囲や要旨に含まれると同時に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
なお、前述のルート認証局、通信装置、及び情報処理装置は内部にコンピュータを有している。そして、前述した各装置の各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしてもよい。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。
さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
While the embodiments of the present invention and the modifications thereof have been described above, these embodiments and the modifications thereof are presented as examples, and are not intended to limit the scope of the invention. These embodiments and modifications thereof can be implemented in other various forms, and various omissions, replacements, changes, and combinations can be made without departing from the scope of the invention. These embodiments and modifications thereof are included in the scope and the gist of the invention as well as in the invention described in the claims and the equivalent scope thereof.
The above-mentioned root certificate authority, communication device, and information processing device have a computer inside. The process of each process of each device described above is stored in a computer readable recording medium in the form of a program, and the above process is performed by the computer reading and executing this program. Here, the computer readable recording medium refers to a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory or the like. Alternatively, the computer program may be distributed to a computer through a communication line, and the computer that has received the distribution may execute the program.
Further, the program may be for realizing a part of the functions described above.
Furthermore, it may be a so-called difference file (difference program) that can realize the above-described functions in combination with a program already recorded in the computer system.
前述した実施形態において、通信装置100、通信装置400及び通信装置800は第1の通信装置の一例であり、通信装置200、通信装置500及び通信装置900は第2の通信装置の一例であり、情報処理装置300及び700は情報処理装置の一例である。また、SIM130、SIM430及びSIM830は第1の記憶部の一例であり、通信部102、通信部402及び通信部802は第1の通信部の一例であり、取得部108、取得部408及び取得部808は取得部の一例であり、認証局アプリ134は認証局アプリの一例である。また、SIM230、SIM530及びSIM930は第2の記憶部の一例であり、通信部202、通信部502及び通信部902は第2の通信部の一例であり、要求部210、要求部510及び要求部910は要求部の一例であり、通信部302及び通信部702は第3の通信部の一例である。また、認証部312及び認証部712は認証部の一例であり、実行部318及び実行部718は実行部の一例であり、判定部316及び判定部716は判定部の一例であり、SIM730は第3の記憶部の一例であり、第7の公開鍵証明書Kp_Jは第3の公開鍵証明書の一例であり、第7の公開鍵は第3の公開鍵証明書の一例であり、第7の秘密鍵Ks_Jは第3の秘密鍵の一例である。
In the embodiment described above, the
1、2、3…情報処理システム、50…通信網、100、200、400、500、800、900…通信装置、600…ルート認証局、300、700…情報処理装置、102、202、302、402、502、602、702、802、902、1002…通信部、104、204、304、404、504、604、704、804、904、1004…制御部、106、206、406、506、806、906…鍵生成部、108、408、708、808…取得部、130、230、430、530、730、830、930…SIM、210、910…要求部、211、312、511、712、911…認証部、314、714…検証部、316、716…判定部、318、718…実行部、120、220、320、420、520、620、720、820、920、1020…記憶部、124、224、324、424、524、724、824、924…プログラム、150、250、350、450、550、650、750、850、950、1050…バスライン、140、240、440、540、840、940…操作部、145、245、445、545、845、945…表示部、603…生成部、134、734…認証局アプリ、1000…レポジトリ
1, 2, 3 ... information processing system, 50 ... communication network, 100, 200, 400, 500, 800, 900 ... communication device, 600 ... root certificate authority, 300, 700 ... information processing device, 102, 202, 302, 402, 502, 602, 702, 802, 902, 1002 ... communication unit, 104, 204, 304, 404, 504, 604, 704, 804, 904, 1004 ... control unit, 106, 206, 406, 506, 806, 906 ...
Claims (12)
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵と、認証局アプリとを記憶する第1の記憶部と、
第1の通信部と、
第2の通信装置のユーザの属性情報を取得する取得部と
を備え、
前記認証局アプリは、デジタル証明書の発行者を示す情報と前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行し、
前記第1の通信部は、前記第2の通信装置へ、前記デジタル証明書を送信し、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
前記第1の通信装置が送信した前記デジタル証明書を受信する第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信し、
前記情報処理装置は、
前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第2の公開鍵証明書を認証する認証部と、
前記認証部による前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行する実行部と
を備える、情報処理システム。 An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, a first secret key paired with a first public key included in the first public key certificate, and a certificate authority application;
A first communication unit,
An acquisition unit for acquiring attribute information of the user of the second communication device;
The certificate authority application issues a digital certificate from the information indicating the issuer of the digital certificate, the attribute information, and the first secret key.
The first communication unit transmits the digital certificate to the second communication device,
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit that receives the digital certificate transmitted by the first communication device;
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the digital certificate and the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third communication unit for receiving the digital certificate transmitted by the second communication device and the second public key certificate;
An authentication unit that authenticates the second public key certificate received by the third communication unit;
An execution unit that executes a result of decrypting the digital certificate when the authentication of the second public key certificate by the authentication unit is successful.
前記デジタル証明書の発行者を示す情報と前記動作を許可した者を示す情報とが同一であるか否かを判定する判定部
を備え、
前記実行部は、前記判定部が前記デジタル証明書の発行者を示す情報と前記動作を許可した者を示す情報とが同一であると判定した場合に、前記デジタル証明書を復号した結果を実行する、請求項1に記載の情報処理システム。 The information processing apparatus is
A determination unit that determines whether the information indicating the issuer of the digital certificate is the same as the information indicating the person who permitted the operation;
The execution unit executes the result of decrypting the digital certificate when the determination unit determines that the information indicating the issuer of the digital certificate and the information indicating the person who permitted the operation are the same. The information processing system according to claim 1.
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部と、
第2の通信装置のユーザの属性情報を取得する取得部と、
前記第2の通信装置へ、前記属性情報を送信する第1の通信部と
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
前記第1の通信装置が送信した前記属性情報を受信する第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信し、
前記情報処理装置は、
前記第2の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第1の公開鍵証明書を認証する認証部と、
前記認証部による認証が成功した場合に、前記属性情報を実行する実行部と
を備える、情報処理システム。 An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, and a first secret key paired with a first public key included in the first public key certificate;
An acquisition unit for acquiring attribute information of the user of the second communication device;
A first communication unit for transmitting the attribute information to the second communication device;
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit that receives the attribute information transmitted by the first communication device;
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the attribute information and the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third communication unit that receives the attribute information and the first public key certificate transmitted by the second communication device;
An authentication unit that authenticates the first public key certificate received by the third communication unit;
An execution unit that executes the attribute information when the authentication by the authentication unit succeeds.
前記第2の通信装置のユーザに許可する動作を示す情報の作成者を示す情報と前記第2の通信装置のユーザに前記動作を許可した者を示す情報とが同一であるか否かを判定する判定部
を備え、
前記実行部は、前記判定部が前記第2の通信装置のユーザに許可する動作を示す情報の作成者と前記第2の通信装置のユーザに前記動作を許可した者とが同一であると判定した場合に、前記動作を実行する、請求項3に記載の情報処理システム。 The information processing apparatus is
It is determined whether or not the information indicating the creator of the information indicating the operation permitted to the user of the second communication device is the same as the information indicating the person who permitted the operation of the user of the second communication device. Provided with a judgment unit
The execution unit determines that the creator of the information indicating the operation permitted to the user of the second communication device by the determination unit is the same as the person who permitted the operation of the user of the second communication device. The information processing system according to claim 3, wherein the operation is performed when it has occurred.
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部と、
第2の通信装置のユーザの属性情報を取得する取得部と、
前記情報処理装置へ、前記属性情報と前記第1の公開鍵証明書とを送信する第1の通信部と
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部と、
第2の通信部と、
情報処理装置へ所定の動作を要求する要求部と
を備え、
前記要求部は、前記第2の通信部から前記情報処理装置へ、前記第2の公開鍵証明書を送信し、
前記情報処理装置は、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部と、
前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信する第3の通信部と、
前記第3の通信部が受信した前記第1の公開鍵証明書を認証する認証部と、
所定の動作を実行する実行部と
を備え、
前記認証局アプリは、前記認証部による認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行し、
前記第3の通信部は、前記認証局アプリが発行した前記デジタル証明書を、記憶部に記憶し、
前記第3の通信部は、前記第2の通信装置が送信した前記第2の公開鍵証明書を受信し、
前記認証部は、前記第3の通信部が受信した前記第2の公開鍵証明書を認証し、
前記実行部は、前記認証部による検証が成功した場合に、前記デジタル証明書を復号した結果を実行する、情報処理システム。 An information processing system comprising a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, and a first secret key paired with a first public key included in the first public key certificate;
An acquisition unit for acquiring attribute information of the user of the second communication device;
A first communication unit for transmitting the attribute information and the first public key certificate to the information processing apparatus;
The second communication device is
A second storage unit that stores a second public key certificate;
A second communication unit,
And a request unit for requesting the information processing apparatus to perform a predetermined operation.
The request unit transmits the second public key certificate from the second communication unit to the information processing apparatus.
The information processing apparatus is
A third storage unit storing a third public key certificate, a third secret key paired with a third public key included in the third public key certificate, and a certificate authority application;
A third communication unit that receives the attribute information transmitted by the first communication device and the first public key certificate;
An authentication unit that authenticates the first public key certificate received by the third communication unit;
And an execution unit for executing a predetermined operation,
The certification authority application issues a digital certificate from the attribute information and the third secret key when the certification unit succeeds in the certification,
The third communication unit stores the digital certificate issued by the certificate authority application in a storage unit.
The third communication unit receives the second public key certificate transmitted by the second communication device,
The authentication unit authenticates the second public key certificate received by the third communication unit,
The information processing system, wherein the execution unit executes a result of decrypting the digital certificate when the verification by the authentication unit is successful.
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵と、認証局アプリとを記憶する第1の記憶部
を備え、
第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置の前記認証局アプリが、デジタル証明書の発行者を示す情報と前記取得するステップで取得した前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行するステップと、
前記第1の通信装置が、前記第2の通信装置へ、前記デジタル証明書を送信するステップと、
前記第2の通信装置が、前記第1の通信装置が送信した前記デジタル証明書を受信するステップと、
前記第2の通信装置が、前記情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第2の公開鍵証明書を認証するステップと、
前記情報処理装置が、前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行するステップと
有する、情報処理方法。 An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate, a first secret key paired with a first public key included in the first public key certificate, and a certificate authority application
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
Acquiring the attribute information of the user of the second communication device by the first communication device;
Step the authentication station app, from said attribute information acquired in the step of acquiring information of a digital certificate issuer and said first secret key, and issues the digital certificate of the first communication device When,
A step wherein the first communication device, wherein the second communication device, for transmitting the digital certificate,
The second communication device receiving the digital certificate sent by the first communication device;
A step wherein the second communication apparatus, to the information processing apparatus, by sending said digital certificate and said second public key certificate, to request a predetermined operation to the information processing apparatus,
The information processing apparatus receives the digital certificate transmitted by the second communication apparatus and the second public key certificate;
The information processing apparatus authenticates the second public key certificate;
An information processing method comprising: the information processing apparatus executing a result of decrypting the digital certificate when the authentication of the second public key certificate is successful.
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部
を備え、
第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置が、前記第2の通信装置へ、前記属性情報を送信するステップと、
前記第2の通信装置が、前記第1の通信装置が送信した前記属性情報を受信するステップと、
前記第2の通信装置が、前記情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記属性情報と前記第2の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第2の公開鍵証明書を認証するステップと、
前記情報処理装置が、前記認証するステップで認証が成功した場合に、前記所定の動作を実行するステップと
を有する、情報処理方法。 An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
A step of the first communication device, to acquire the attribute information of the user of the second communication device,
Sending the attribute information to the second communication device by the first communication device;
The second communication device receiving the attribute information transmitted by the first communication device;
A step wherein the second communication apparatus, to the information processing apparatus by sending a second public key certificate and the attribute information, which requests a predetermined operation to the information processing apparatus,
The information processing apparatus, the steps of the second communication device receives the second public key certificate transmitted the attribute information,
The information processing apparatus authenticates the second public key certificate;
And D. performing the predetermined operation if the authentication is successful in the step of authenticating.
第1の通信装置は、
第1の公開鍵証明書と、該第1の公開鍵証明書に含まれる第1の公開鍵とペアをなす第1の秘密鍵とを記憶する第1の記憶部
を備え、
前記第2の通信装置は、
第2の公開鍵証明書を記憶する第2の記憶部
を備え、
前記情報処理装置は、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部
を備え、
前記第1の通信装置が、前記第2の通信装置のユーザの属性情報を取得するステップと、
前記第1の通信装置が、前記情報処理装置へ、前記属性情報と第1の公開鍵証明書とを送信するステップと、
前記第2の通信装置が、情報処理装置へ、所定の動作を要求する場合に、前記第2の公開鍵証明書を送信するステップと、
前記情報処理装置が、前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信するステップと、
前記情報処理装置が、前記第1の公開鍵証明書を認証するステップと、
前記情報処理装置の前記認証局アプリが、前記認証するステップで認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行するステップと、
前記情報処理装置が、前記デジタル証明書を、記憶部に記憶するステップと、
前記情報処理装置が、前記第2の通信装置が送信した前記第2の公開鍵証明書を受信するステップと、
前記情報処理装置が、前記第2の公開鍵証明書を検証するステップと、
前記情報処理装置が、前記第2の公開鍵証明書の検証が成功した場合に、前記記憶部に記憶したデジタル証明書を復号した結果を実行するステップと
を有する、情報処理方法。 An information processing method executed by an information processing system including a first communication device, a second communication device, and an information processing device, comprising:
The first communication device is
A first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate
Equipped with
The second communication device is
Second storage unit for storing a second public key certificate
Equipped with
The information processing apparatus is
A third storage unit that stores a third public key certificate, a third private key paired with a third public key included in the third public key certificate, and a certificate authority application
Equipped with
A step of the first communication device, to acquire the attribute information of the user of the second communication device,
A step wherein the first communication device, to the information processing apparatus, which transmits the attribute information and the first public key certificate,
A step wherein the second communication device, to transmit to the information processing apparatus, to request a predetermined operation, the second public key certificate,
The information processing apparatus receives the attribute information transmitted by the first communication apparatus and the first public key certificate;
The information processing apparatus authenticates the first public key certificate;
A step wherein the certificate authority application of the information processing apparatus, if the authentication in the step of the authentication is successful, issuing from the attribute information and the third secret key, digital certificates,
The information processing apparatus stores the digital certificate in a storage unit;
The information processing apparatus receives the second public key certificate transmitted by the second communication apparatus;
The information processing apparatus verifies the second public key certificate;
And D. executing the result of decrypting the digital certificate stored in the storage unit when the verification of the second public key certificate is successful.
第2の通信装置のユーザの属性情報を取得するステップと、
デジタル証明書の発行者を示す情報と前記属性情報と前記第1の秘密鍵とから、デジタル証明書を発行するステップと、
前記第2の通信装置へ、前記デジタル証明書を送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える前記第2の通信装置のコンピュータに、
前記第1の通信装置が送信した前記デジタル証明書を受信するステップと、
情報処理装置へ、前記デジタル証明書と前記第2の公開鍵証明書とを送信することによって、前記情報処理装置へ所定の動作を要求するステップと、
を実行させ、
前記情報処理装置のコンピュータに、
前記第2の通信装置が送信した前記デジタル証明書と前記第2の公開鍵証明書とを受信するステップと、
前記第2の公開鍵証明書を認証するステップと、
前記第2の公開鍵証明書の認証が成功した場合に、前記デジタル証明書を復号した結果を実行するステップと
を実行させる、プログラム。 A first storage unit storing a first public key certificate, a first private key paired with a first public key included in the first public key certificate, and a certificate authority application On the computer of the first communication device,
Acquiring attribute information of a user of the second communication device;
From information of a digital certificate issuer and the attribute information and the first secret key, and issuing a digital certificate,
Wherein the second communication device, to execute a step of transmitting the digital certificate,
In the computer of the second communication device, comprising a second storage unit storing a second public key certificate ;
Receiving the digital certificate sent by the first communication device;
To the information processing apparatus by sending a second public key certificate and the digital certificate, and requesting a predetermined operation to the information processing apparatus,
To run
The computer of the information processing apparatus
Receiving the digital certificate transmitted by the second communication device and the second public key certificate;
Authenticating the second public key certificate;
And executing the decryption result of the digital certificate if the authentication of the second public key certificate is successful.
第2の通信装置のユーザの属性情報を取得するステップと、
前記第2の通信装置へ、前記属性情報を送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える第2の通信装置のコンピュータに、
前記第1の通信装置が送信した前記属性情報を受信するステップと、
情報処理装置へ、前記属性情報と前記第2の公開鍵証明書とを送信することによって、情報処理装置へ所定の動作を要求するステップと
を実行させ、
情報処理装置のコンピュータに、
前記第2の通信装置が送信した前記属性情報と前記第2の公開鍵証明書とを受信するステップと、
前記第2の公開鍵証明書を認証するステップと、
前記認証するステップで認証が成功した場合に、前記所定の動作を実行するステップと
を実行させる、プログラム。 A first communication device comprising a first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate On your computer,
Acquiring attribute information of a user of the second communication device;
Sending the attribute information to the second communication device;
A computer of a second communication device comprising a second storage unit for storing a second public key certificate ,
Receiving the attribute information sent by the first communication device;
To the information processing apparatus by sending a second public key certificate and the attribute information, to execute the steps of requesting a predetermined operation to the information processing apparatus,
In the computer of the information processing apparatus
A step of the second communication device receives the second public key certificate transmitted the attribute information,
Authenticating the second public key certificate;
A program for executing the predetermined operation when authentication is successful in the authentication step.
第2の通信装置のユーザの属性情報を取得するステップと、
情報処理装置へ、前記属性情報と第1の公開鍵証明書とを送信するステップと
を実行させ、
第2の公開鍵証明書を記憶する第2の記憶部を備える前記第2の通信装置のコンピュータに、
前記情報処理装置へ、所定の動作を要求する場合に、前記第2の公開鍵証明書を送信するステップ
を実行させ、
第3の公開鍵証明書と、該第3の公開鍵証明書に含まれる第3の公開鍵とペアをなす第3の秘密鍵と認証局アプリとを記憶する第3の記憶部を備える前記情報処理装置のコンピュータに、
前記第1の通信装置が送信した前記属性情報と前記第1の公開鍵証明書とを受信するステップと、
前記第1の公開鍵証明書を認証するステップと、
前記認証するステップで認証が成功した場合に、前記属性情報と前記第3の秘密鍵とから、デジタル証明書を発行するステップと、
前記デジタル証明書を、記憶部に記憶するステップと、
前記第2の通信装置が送信した前記第2の公開鍵証明書を受信するステップと、
前記第2の公開鍵証明書を検証するステップと、
前記第2の公開鍵証明書の検証が成功した場合に、前記記憶部に記憶したデジタル証明書を復号した結果を実行するステップと
を実行させる、プログラム。 A first communication device comprising a first storage unit storing a first public key certificate and a first secret key paired with a first public key included in the first public key certificate On your computer,
Acquiring attribute information of a user of the second communication device;
Transmitting the attribute information and the first public key certificate to the information processing apparatus;
In the computer of the second communication device, comprising a second storage unit storing a second public key certificate ;
To the information processing apparatus, to request a predetermined operation, steps for transmitting the second public key certificate
To run
The third storage unit storing a third public key certificate, a third secret key paired with a third public key included in the third public key certificate, and a certificate authority application; In the computer of the information processing apparatus
Receiving the attribute information transmitted by the first communication device and the first public key certificate;
Authenticating the first public key certificate;
When the authentication in the step of authentication succeeds, from the attribute information and the third secret key, and issuing a digital certificate,
Storing the digital certificate in a storage unit;
Receiving the second public key certificate sent by the second communication device;
Verifying the second public key certificate;
And executing the decryption result of the digital certificate stored in the storage unit when the verification of the second public key certificate is successful.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016235412A JP6515080B2 (en) | 2016-12-02 | 2016-12-02 | INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016235412A JP6515080B2 (en) | 2016-12-02 | 2016-12-02 | INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019076469A Division JP6720380B2 (en) | 2019-04-12 | 2019-04-12 | Information processing system, information processing method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018093375A JP2018093375A (en) | 2018-06-14 |
JP6515080B2 true JP6515080B2 (en) | 2019-05-15 |
Family
ID=62566466
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016235412A Active JP6515080B2 (en) | 2016-12-02 | 2016-12-02 | INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6515080B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7215342B2 (en) * | 2019-06-06 | 2023-01-31 | 富士通株式会社 | COMMUNICATION PROGRAM, COMMUNICATION METHOD, AND COMMUNICATION DEVICE |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060075222A1 (en) * | 2004-10-06 | 2006-04-06 | Seamus Moloney | System for personal group management based on subscriber certificates |
JP5170648B2 (en) * | 2008-02-27 | 2013-03-27 | 日本電信電話株式会社 | Authority delegation system, authority delegation method, and authority delegation program |
JP2012203516A (en) * | 2011-03-24 | 2012-10-22 | Kobe Digital Labo Inc | Property delegation system, property delegation method, and property delegation program |
-
2016
- 2016-12-02 JP JP2016235412A patent/JP6515080B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018093375A (en) | 2018-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112602300B (en) | System and method for password authentication of contactless cards | |
JP6704919B2 (en) | How to secure your payment token | |
JP2022504072A (en) | Systems and methods for cryptographic authentication of contactless cards | |
JP2022508010A (en) | Systems and methods for cryptographic authentication of non-contact cards | |
CN113545000B (en) | Distributed processing of interactions at delivery time | |
US20090172402A1 (en) | Multi-factor authentication and certification system for electronic transactions | |
EP2738722A1 (en) | Method and system for providing secure end-to-end authentication and authorization of electronic transactions | |
KR20170134631A (en) | User authentication method and apparatus, and wearable device registration method and apparatus | |
JP2018522353A (en) | Authentication system and method for server-based payment | |
JP2022502888A (en) | Systems and methods for cryptographic authentication of non-contact cards | |
JP2022501862A (en) | Systems and methods for cryptographic authentication of non-contact cards | |
JP7536743B2 (en) | System and method for cryptographic authentication of contactless cards - Patents.com | |
CN111062717B (en) | Data transfer processing method, device and computer readable storage medium | |
JP2022501872A (en) | Systems and methods for cryptographic authentication of non-contact cards | |
JP2022501875A (en) | Systems and methods for cryptographic authentication of non-contact cards | |
CN104715370A (en) | Method and system for carrying out safety payment based on encrypted two-dimension code | |
CN113168631A (en) | System and method for password authentication of contactless cards | |
CN104282091A (en) | Bill data generating/transmitting/storing/authenticating method | |
JP2022501873A (en) | Systems and methods for cryptographic authentication of non-contact cards | |
JP2022508026A (en) | Systems and methods for cryptographic authentication of non-contact cards | |
US20170154329A1 (en) | Secure transaction system and virtual wallet | |
JP2022502891A (en) | Systems and methods for cryptographic authentication of non-contact cards | |
JP2022501858A (en) | Systems and methods for cryptographic authentication of non-contact cards | |
JP2022501861A (en) | Systems and methods for cryptographic authentication of non-contact cards | |
JP2022511281A (en) | Systems and methods for cryptographic authentication of non-contact cards |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180725 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180904 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181025 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20181026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190319 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190415 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6515080 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |