JP2003224554A - 通信接続システム、方法、プログラム及び電子投票システム - Google Patents

通信接続システム、方法、プログラム及び電子投票システム

Info

Publication number
JP2003224554A
JP2003224554A JP2002019029A JP2002019029A JP2003224554A JP 2003224554 A JP2003224554 A JP 2003224554A JP 2002019029 A JP2002019029 A JP 2002019029A JP 2002019029 A JP2002019029 A JP 2002019029A JP 2003224554 A JP2003224554 A JP 2003224554A
Authority
JP
Japan
Prior art keywords
authentication
security
relay device
policy
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002019029A
Other languages
English (en)
Other versions
JP4047592B2 (ja
Inventor
Takehisa Kato
岳久 加藤
Toshiaki Saishiyo
敏明 才所
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002019029A priority Critical patent/JP4047592B2/ja
Publication of JP2003224554A publication Critical patent/JP2003224554A/ja
Application granted granted Critical
Publication of JP4047592B2 publication Critical patent/JP4047592B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 異なるドメインとの通信の際に、不正なパケ
ットの流入を阻止する。 【解決手段】 異なるドメインA,B間のセキュア通信
の際に、各ゲートウェイGW20,GW40が、個人認
証の認証精度とアプリケーションのセキュリティ情報と
を含むセキュリティポリシーを交換しあい、認証精度と
セキュリティ情報との両者の検証結果が正当なときの
み、セキュア通信を接続する。これにより、通信要求者
の正当性を認証精度とセキュリティ情報との両方から検
証する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、異なるドメイン間
で情報をセキュアに通信する際に用いられる通信方法、
プログラム及びシステムに係り、特に、他のドメインか
ら不正パケットの流入を阻止し得る通信接続システム、
方法、プログラム及び電子投票システムに関する。
【0002】
【従来の技術】従来、異なるドメインに属する各エンテ
ィティ装置が互いに情報をセキュアに通信する際に、各
エンティティ装置が互いに電子メールシステムの一部の
場合、PGP(Pretty Good Privacy)やS/MIME(Se
cure Multimedia Internet Mail Extensions)などの暗
号メールにより、送信者の確認や電文の秘匿が行われて
いる。
【0003】一方、各エンティティ装置が互いにWWW
(World Wide Web)におけるクライアント/サーバシステ
ムの一部の場合、SSL(secure sockets layer)によ
り、相互認証や通信データの秘匿が行われている。
【0004】このように、各エンティティ装置間のセキ
ュア通信の際に、暗号メールやSSL等を利用するアプ
リケーションにより、セキュアに保護される層が異なる
ことから、場合によっては、ユーザはアプリケーション
に対応してセキュアに保護される層を把握しておく必要
がある。
【0005】また、各ドメイン間でセキュリティポリシ
ーが異なる際に、例えば通信相手側の認証精度が当方の
要求水準よりも低いときのように、正当な通信相手か否
かの疑問が残る場合でも、認証結果が肯定的であれば通
信相手側に接続されて通信が実行される。この場合の接
続は、通信相手が不正なエンティティ装置であると、セ
キュリティホールとなって不正なパケットを流入させて
しまう可能性がある。
【0006】
【発明が解決しようとする課題】以上説明したように、
異なるドメインに属する各エンティティ装置間のセキュ
ア通信では、場合により、ユーザがアプリケーションに
応じてセキュアに保護される層を把握しておく必要があ
る。
【0007】また、異なるセキュリティポリシーをもつ
他のドメインのエンティティ装置と通信する際には、通
信相手が不正なエンティティ装置の場合、不正なパケッ
トを流入させる可能性がある。
【0008】本発明は上記実情を考慮してなされたもの
で、アプリケーションに応じてセキュアに保護される層
を把握でき、且つ、異なるドメインとの通信の際に、不
正なパケットの流入を阻止し得る通信接続システム、方
法、プログラム及び電子投票システムを提供することに
ある。
【0009】
【課題を解決するための手段】第1の発明は、互いに異
なるドメインに属するエンティティ装置間で各々の中継
装置とオープンなネットワークとを介してセキュア通信
を接続するための通信接続システムであって、前記各中
継装置としては、自己の属するドメインのエンティティ
装置から受けた、個人認証の認証方式及び認証精度を含
む認証関連情報と、当該エンティティ装置が前記セキュ
ア通信に用いるアプリケーションのセキュリティに関す
るセキュリティ情報とからセキュリティポリシーを作成
するポリシー作成手段と、前記ポリシー作成手段により
作成されたセキュリティポリシーを各中継装置間で交換
するポリシー交換手段と、前記ポリシー交換手段により
得られた相手のセキュリティポリシー内の認証関連情報
とセキュリティ情報とに関し、自己のセキュリティポリ
シーに適合するか否かを各々検証するポリシー検証手段
と、前記ポリシー検証手段による両者の検証結果が正当
のとき、前記接続のための鍵交換を行なう鍵交換手段
と、を備えた通信接続システムである。
【0010】(作用)従って、第1の発明は以上のよう
な手段を講じたことにより、異なるドメイン間のセキュ
ア通信の際に、個人認証の認証精度とアプリケーション
のセキュリティ情報とを含むセキュリティポリシーを交
換しあい、認証精度とセキュリティ情報との両者の検証
結果が正当なときのみ、セキュア通信を接続する構成に
より、通信要求者の正当性を認証精度とセキュリティ情
報との両方から検証できるので、不正なパケットの流入
を防止することができる。
【0011】なお、上記第1の発明は、全体を「システ
ム」として表現した場合を示すが、これに限らず、全体
又は各装置毎の「装置」、「方法」、「プログラム」又
は「記憶媒体」等として表現してもよいことは言うまで
もない。
【0012】
【発明の実施の形態】以下、本発明の各実施形態につい
て図面を参照しながら説明する。 (第1の実施形態)図1は本発明の第1の実施形態に係
る通信接続システムを含むネットワーク構成を示す模式
図である。図示するように、互いに異なるドメインA,
Bがインターネット等のオープンなネットワークNWを
介して互いに接続されている。
【0013】ここで、ドメイン(第1ドメイン)Aは、
利用者側のn個のPC(Personal Computer)端末(第1
エンティティ装置)TA10〜TA10がLAN1
及び第1ゲートウェイ(第1中継装置)GW20を介し
てネットワークNWに接続された構成となっている。
【0014】同様に、ドメイン(第2ドメイン)Bは、
認証者側のm個のPC端末(第2エンティティ装置)T
B30〜TB30がLAN2及び第2ゲートウェイ
(第2中継装置)GW40を介してネットワークNWに
接続された構成となっている。なお、第1及び第2ゲー
トウェイGW20,GW40は、それぞれルータに代え
てもよい。また、認証者側の各PC端末TB30〜T
B30は、個人使用の端末又は共同使用の端末でもよ
いし、WWWサーバ等のようにサービスを提供するサー
バに代えてもよい。
【0015】図2は上記通信接続システムの構成を示す
模式図である。ここで、各PC端末TA10〜TA1
は、互いに同一構成のため、TA10を例に挙げ
て説明する。同様に、各PC端末TB30〜TB30
も互いに同一構成のため、TB30を例に挙げて説
明する。
【0016】利用者側のPC端末TA10は、メモリ
部11、センサ部12及び認識部13からなるセンサ装
置14に接続されており、端末鍵メモリ部15、セキュ
リティ情報生成部16、ポリシー情報生成部17及びG
W認証部18を備えている。
【0017】メモリ部11は、利用者の生体情報を照合
するための予め設定された照合データ、照合用の設定情
報(精度等)、機器認証用鍵、公開鍵証明書及び認証用
機器IDが認識部13から読出可能に予め記憶されてい
る。
【0018】ここで、照合データは、利用者の指紋、虹
彩、声紋、筆跡、キーストローク等の任意のもの(種類
及び精度)が使用可能であるが、ここでは指紋情報の高
精度の値を用いるものとする。また、照合データは、セ
ンサ装置14に設けられた耐タンパー性のメモリ部11
内、もしくはセンサ装置14に装着されるスマートカー
ド内の耐タンパーメモリに格納されており、不正な読出
から保護されている。
【0019】機器認証用鍵は、自装置14の認証に用い
られる公開鍵ペアであり、公開鍵証明書により公開鍵の
有効性が証明されている。
【0020】公開鍵証明書は、予めTTP(Trusted Thi
rd Party)である証明書発行機関から発行され、前述し
た公開鍵ペア(機器認証用鍵)のうちの公開鍵を含むも
のである。なお、同様に、他の装置TA10,GW2
0,TB30,GW40で用いられる公開鍵証明書も
証明書発行機関から発行され、公開鍵を含むものであ
る。
【0021】秘密鍵は、この公開鍵ペアのうちの他方の
鍵であり、メモリ部11のうちの耐タンパー領域(又は
他の耐タンパーメモリ)に格納されて秘匿されている。
【0022】認証用機器IDは自装置14の認証に用い
られる識別情報であり、自装置の電子署名に使用される
ものである。
【0023】センサ部12は、利用者の指紋を測定し、
得られた指紋情報を認識部13に入力する機能をもって
いる。
【0024】認識部13は、センサ部12から入力され
た指紋情報の正当性をメモリ部11の照合データに基づ
いて認証し、認証結果(OK又はNG)を含む認証結果
署名を生成し、得られた認証結果署名をPC端末TA1
に出力する機能と、PC端末10から受ける電子
署名を検証する機能とをもっている。
【0025】ここで、認証結果署名は、図3に示すよう
に、認証方法c1、認証機器IDc2、認証精度(他人
排除率FAR又は本人拒否率FRR)c3、認証結果c
4、c1〜c4に対する電子署名としての認証署名デー
タc5、及び認証機器の公開鍵証明書c6からなるデー
タ群c1〜c6である。
【0026】続いて、PC端末TA10の各要素を、
端末鍵メモリ部15、セキュリティ情報生成部16、ポ
リシー情報生成部17及びGW認証部18の順に説明す
る。
【0027】端末鍵メモリ部15は、自装置TA10
の公開鍵ペア及び公開鍵証明書がGW認証部18から読
出可能に予め記憶されている。
【0028】セキュリティ情報生成部16は、利用者の
操作により、通信に関するセキュリティ情報を生成し、
このセキュリティ情報をポリシー情報生成部17に送出
する機能をもっている。ここで、セキュリティ情報は、
図4に示すように、送信先アドレスs1、アプリケーシ
ョンs2、アプリケーションが行なうセキュリティs
3,s31〜s32、他の層で行なうセキュリティs
4,s41,s411,s42,s421〜s428、
を示すデータ群である。
【0029】なお、アプリケーションが行なうセキュリ
ティs3としては、例えば、暗号アルゴリズムs31及
び暗号鍵長s32がある。また、他の層で行なうセキュ
リティs4としては、例えばSSL方式s41及びその
バージョンs411などがあり、また例えばIPsec
方式s42及びその認証アルゴリズムs421、認証モ
ードs422、認証用鍵s423、暗号アルゴリズムs
424、暗号モードs425、暗号鍵s426、送信元
アドレスs427、有効期限s428などがある。
【0030】ポリシー情報生成部17は、センサ装置1
4を認証する機能と、認証結果が真のときにはセンサ装
置14による個人認証を実行可能とする機能とを有し、
また、セキュリティポリシーを生成するためのポリシー
情報のうち、セキュリティ情報生成部16から送出され
たセキュリティ情報と、センサ装置14の認識部13か
ら出力された認証結果署名とを順次、GW認証部18に
送出する機能とをもっている。但し、認証結果署名は、
予めセンサ装置14とポリシー情報生成部17との間
で、PC端末TA10のネットワーク層により正当性
が検証される。
【0031】ここで、ポリシー情報は、図5に示すよう
に、図3に示した認証結果署名と、図4に示したセキュ
リティ情報とを備えたものである。GW認証部18は、
端末鍵メモリ部15内の公開鍵ペア及び公開鍵証明書を
用い、LAN1を介して第1ゲートウェイGW20と相
互認証を行なう機能と、相互認証の結果が正当を示すと
き、ポリシー情報生成部17から送出されたポリシー情
報をLAN1を介して第1ゲートウェイGW20に送信
する機能をもっている。
【0032】第1ゲートウェイGW20は、GW鍵メモ
リ部21、端末認証部22、セキュリティポリシー生成
部23及び交換部24を備えている。
【0033】GW鍵メモリ部21は、自装置GW20の
公開鍵ペア及び公開鍵証明書が端末認証部22から読出
可能に予め記憶されている。
【0034】端末認証部22は、GW鍵メモリ21内の
公開鍵ペア及び公開鍵証明書を用い、LAN1を介して
PC端末TA10と相互認証を行なう機能と、相互認
証の結果が正当を示すとき、PC端末TA10から送
信されたポリシー情報をセキュリティポリシー生成部2
3に送出する機能をもっている。
【0035】セキュリティポリシー生成部23は、端末
認証部22から送出されたポリシー情報に基づいて、利
用者側のセキュリティポリシーデータを作成し、得られ
た利用者側のセキュリティポリシーデータを交換部24
に送出する機能をもっている。
【0036】ここで、利用者側のセキュリティポリシー
データは、認証者側のPC端末TB30との通信を行
うためのデータであり、図5に示したポリシー情報を含
む内容となっている。
【0037】交換部24は、IPsecプロトコル(以
下、IPsecという)に基づいて、セキュリティポリ
シーデータをSA(Security Association)として、第2
ゲートウェイGW40との間でSA交換を行なう機能
と、SA交換により、セキュア通信を許可する機能をも
っている。なお、SAは、各装置間の接続情報であり、
暗号化に必要なパラメータ群(認証方式、認証用の鍵、
暗号方式、暗号鍵、暗号鍵の寿命など)を意味してい
る。
【0038】具体的には交換部24は、IPsecに基
づいて、認証者側のセキュリティーポリシーデータを利
用者側のセキュリティポリシーデータにより検証し、検
証結果が真のとき、セキュリティポリシー生成部23か
ら送出された利用者側のセキュリティポリシーデータを
第2ゲートウェイGW40に送信する機能と、送信した
利用者側のセキュリティーポリシーデータに関し、第2
ゲートウェイGW40から、認証者側のセキュリティポ
リシーに適合する旨の検証結果を受けると、第2ゲート
ウェイGW40との間でセキュア通信用の鍵交換(IK
E)を行なう機能とをもっている。
【0039】なお、IPsecによる通信の手順は、例
えば“日経コミュニケーション「IPSEC インター
ネットVPNの基本技術 既設機器との相互運用が課
題」、日経BP社、1998年6月15日発行号”、な
どに解説されている。
【0040】一方、認証者側のPC端末TB30は、
利用者側のPC端末TA10と同様に、端末鍵メモリ
部31、ポリシー情報提供部32及びGW認証部33を
備えている。
【0041】なお、認証側のPC端末TB30は、こ
こでは例えばサーバ装置としても利用可能な観点から、
ポリシー情報提供部32を備えたものとしたが、これに
限らず、利用者側のPC端末TA10と全く同様に、
センサ装置14を備えた構成としてもよい。このように
認証側のPC端末TB30が利用者側のPC端末TA
10と同一の構成の場合、認証側と利用者側との区別
は装置としては無く、送信側が利用者側となり、受信側
が認証側となる。
【0042】端末鍵メモリ部31は、自装置TB30
の公開鍵ペア及び公開鍵証明書がGW認証部33から読
出可能に予め記憶されている。
【0043】ポリシー情報提供部32は、予め認証者の
操作により、セキュア通信に関するポリシー情報が登録
されており、このポリシー情報をGW認証部33に提供
する機能をもっている。なお、認証側のポリシー情報
は、利用者側のセキュリティポリシーの水準を判定する
ためのデータであるから、少なくとも図5に示した利用
者側のポリシー情報のうち、認証署名データc5、認証
機器公開鍵証明書c6、認証用鍵s423及び暗号鍵s
426を除いた同様の形式の各データを備えたものが用
いられる。
【0044】GW認証部33は、端末鍵メモリ部31内
の公開鍵ペア及び公開鍵証明書を用い、LAN2を介し
て第2ゲートウェイGW40と相互認証を行なう機能
と、相互認証の結果が真のとき、第2ゲートウェイGW
40からの要求により、ポリシー情報提供部32から提
供されたポリシー情報をLAN2を介して第2ゲートウ
ェイGW40に送信する機能をもっている。
【0045】第2ゲートウェイGW40は、前述した第
1ゲートウェイGW20と同様に、GW鍵メモリ部4
1、端末認証部42、セキュリティポリシー生成部43
及び交換部44を備えている。
【0046】GW鍵メモリ部41は、自装置GW40の
公開鍵ペア及び公開鍵証明書が端末認証部22から読出
可能に予め記憶されている。
【0047】端末認証部42は、GW鍵メモリ41内の
公開鍵ペア及び公開鍵証明書を用い、LAN2を介して
PC端末TB30と相互認証を行なう機能と、相互認
証の結果が真のとき、PC端末TB30にポリシー情
報を要求し、得られたポリシー情報をセキュリティポリ
シー生成部43に送出する機能をもっている。
【0048】セキュリティポリシー生成部43は、端末
認証部42から送出されたポリシー情報に基づいて、認
証者側のセキュリティポリシーデータを作成し、得られ
た認証者側のセキュリティポリシーデータを交換部44
に送出する機能をもっている。
【0049】ここで、認証者側のセキュリティポリシー
データは、利用者側のPC端末TA10のセキュリテ
ィポリシーの水準を判定するためのデータであり、前述
したように、図5に示したポリシー情報のうち、認証署
名データc5、認証機器公開鍵証明書c6、認証用鍵s
423及び暗号鍵s426が省略された内容となってい
る。
【0050】交換部44は、IPsecに基づいて、セ
キュリティポリシー生成部43から送出された認証者側
のセキュリティポリシーデータを第1ゲートウェイGW
20からの利用者側のセキュリティーポリシーデータと
交換する機能と、交換により得た利用者側のセキュリテ
ィーポリシーデータを、認証者側のセキュリティポリシ
ーデータにより検証し、検証結果がOK(適合)を示す
とき、第1ゲートウェイGW20との間でセキュア通信
用の鍵交換(IKE)を行なう機能とをもっている。
【0051】次に、以上のように構成された通信接続シ
ステムの動作を図6のシーケンス図を用いて説明する。
さて、電源投入済みのPC端末TA10にセンサ装置
14が接続されたか、又はセンサ装置14を接続済のP
C端末TA10に電源が投入された場合に、PC端末
10は乱数を生成し、この乱数をセンサ装置14に送
信する(ST1)。
【0052】センサ装置14においては、認識部13が
機器認証用鍵を用いてこの乱数に署名処理を施し、得ら
れた電子署名を公開鍵証明書と共に、PC端末TA10
に返信する(ST2)。
【0053】PC端末TA10においては、ポリシー
情報生成部13が、公開鍵証明書を検証してその検証結
果が偽のときには処理を終了し、検証結果が真のときの
み電子署名を検証する。
【0054】また、ポリシー情報生成部13は、電子署
名の検証結果が真ならば接続されたセンサ装置14が正
当であるとして、センサ装置14による個人認証を実行
可能とする。電子署名の検証結果が偽の場合、センサ装
置14を不正であるとして、センサ装置14による個人
認証を実行不可とする。なお、センサ装置14の個人認
証を実行不可とする処理は、使用可能なアプリケーショ
ンのうち、個人認証を必要とするアプリケーションを実
行不可とする旨を意味している。
【0055】次に、利用者側のPC端末TA10にて
アプリケーションが起動され、利用者側のPC端末TA
10から認証者側のPC端末TB30にパケットを
送信したいとする。
【0056】利用者側のPC端末TA10において
は、アプリケーションの動作により、アプリケーション
情報を含むセキュリティ情報がセキュリティ情報生成部
16からポリシー情報生成部17を介してGW認証部1
8に送出される一方、GW認証部18が、第1ゲートウ
ェイGW20との間で相互認証を実行する。
【0057】この相互認証結果が真のとき、GW認証部
18は、認証者側のPC端末TB30への接続要求を
第1ゲートウェイGW20に送信すると共に、セキュリ
ティ情報をポリシー情報の一部として第1ゲートウェイ
GW20に送信する(ST3)。
【0058】第1ゲートウェイGW20は、ポリシー情
報の一部に基づいて、認証者側のPC端末TB30
の接続に必要なセキュリティポリシーの一部を作成す
る。しかる後、第1ゲートウェイGW20は、認証要求
を利用者側のPC端末TA10 に向けて送信する(S
T4)。
【0059】利用者側のPC端末TA10では、認証
要求を受けると、予めステップST2の後にセンサ装置
14の検証結果が真とされた場合のみ、利用者に対して
個人認証を行う旨を画面上に表示し、照合要求をセンサ
装置14に送信する(ST5)。
【0060】センサ装置14は、照合要求を受けると、
利用者による指の載置(指紋情報の入力)まで待機し、
利用者の指がセンサ部12に載置されると、センサ部1
2がこの指の指紋情報を認識部13に入力する。
【0061】認識部13は、センサ部12から入力され
た指紋情報の正当性をメモリ部11の照合データに基づ
いて認証し、図3に示したように、認証結果(OK又は
NG)を含む認証結果署名を生成し、得られた認証結果
署名をPC端末TA10に出力する(ST6)。
【0062】PC端末TA10は、認証結果署名を受
けると、図示しないネットワーク層が認証結果署名に含
まれる公開鍵証明書と認証署名データとを順次検証し、
各々の検証結果が真であれば、認証結果署名とその検証
結果とを第1ゲートウェイGW20に送信する(ST
7)。
【0063】第1ゲートウェイGW20は、この認証結
果署名及び検証結果を受けると、利用者側のPC端末T
A10をインターネット等を介して認証者側のPC端
末TB30にセキュアに通信可能とするように、IP
secを用いて第2ゲートウェイGW40と通信する。
【0064】具体的には、第1ゲートウェイGW20
は、セキュリティポリシーの交換処理としての、IPs
ecにおけるSA交換に際し、始めに、交換部24が接
続要求とポリシーリクエストとを第2ゲートウェイGW
40に送信する(ST8)。
【0065】第2ゲートウェイGW40は、この接続要
求とポリシーリクエストに対し、交換部44が、セキュ
リティポリシー生成部43及び端末認証部42を介し
て、PC端末TB30から認証者側のセキュリティポ
リシーを得る。
【0066】しかる後、第2ゲートウェイGW40は、
交換部44により、認証者側のセキュリティポリシーデ
ータをSAとして第1ゲートウェイGW20に送信する
(ST9)。
【0067】第1ゲートウェイGW20は、この認証者
側のセキュリティポリシーデータに関して利用者側のセ
キュリティポリシーを満たすか否かを検証し、検証結果
がNG(否)であればその旨をPC端末TA10に通
知して処理を終了し(ST12に進み、NG通知)、検
証結果がOK(満たす)であれば、利用者側のセキュリ
ティポリシーデータを第2ゲートウェイGW40に送信
する(ST10)。
【0068】第2ゲートウェイGW40は、同様に、こ
の利用者側のセキュリティポリシーデータに関して認証
者側のセキュリティポリシーを満たすか否かを検証し、
検証結果がNGであればその旨を第1ゲートウェイGW
20を介してPC端末10に通知して処理を終了し、
検証結果がOKであれば、第1ゲートウェイGW20と
の間でセキュア通信用の鍵交換(IKE)を行なう(S
T11)。
【0069】鍵交換の完了により、IPsecにおける
第1及び第2ゲートウェイGW20,GW40間の通信
が確立された場合、第1ゲートウェイGW20は、利用
者側のPC端末TA10へ通信が可能である旨を通知
する(ST12:OK)。
【0070】これにより、利用者側のPC端末10
は、LAN1、第1ゲートウェイGW20、ネットワ
ークNW及び第2ゲートウェイGW40を介して、認証
者側のPC端末30とセキュア通信を実行する。
【0071】上述したように本実施形態によれば、異な
るドメインA,B間のセキュア通信の際に、少なくとも
個人認証の認証精度とアプリケーションのセキュリティ
情報とを含むセキュリティポリシーを交換しあい、認証
精度とセキュリティ情報との両者の検証結果が正当なと
きのみ、セキュア通信を接続する構成により、通信要求
者の正当性を認証精度とセキュリティ情報との両方から
検証できるので、不正なパケットの流入を防止すること
ができる。
【0072】また、交換されるセキュリティポリシー
は、利用者側及び認証側のうち、少なくとも利用者側で
は個人認証結果をも含むので、より確実に、正当性を検
証することができる。また、認証側がWWWサーバでな
く、個人が操作する端末装置の場合に、認証側のセキュ
リティポリシーにも個人認証結果を含めることにより、
一層確実に、正当性を検証することができる。
【0073】(第2の実施形態)図7は本発明の第2の
実施形態に係る電子投票システムの構成を示す模式図で
あり、前述した図面と同一の部分には同一符号を付し、
改変した部分には記号「’」を付して前述した部分の説
明を省略し、ここでは異なる部分について主に述べる。
なお、以下の各実施形態も同様にして重複した説明を省
略する。
【0074】すなわち、本実施形態は、第1の実施形態
を電子投票システムに適用した適用例であり、前述した
ドメインAに対応するn個の投票所ドメインA’〜A
n’と、前述したドメインBに対応する***所ドメイン
B’とがネットワークNWを介して接続された電子投票
システムを用いている。
【0075】なお、各投票所ドメインA’,…,
’は互いに同一構成のため、ここでは投票所ドメイ
ンA’を例に挙げて説明する。また同様に、各PC端
末TA1011’〜TA101n’,…,TA10n1’〜T
A10nn’は互いに同一構成のため、ここではPC端末
TA1011’を例に挙げて説明する。
【0076】投票所ドメインA’は、前述したPC端
末TA10〜TA10に対応するn個のPC端末T
A1011’〜TA101n’がLAN11を介して投票所
ゲートウェイGW20’に接続され、投票所ゲートウ
ェイGW20’がネットワークNWに接続されてい
る。
【0077】PC端末TA1011’は、前述同様に、個
人認証機能を有するセンサ装置14(図示せず)に接続
されており、前述同様の機能に加え、電子投票に関する
機能をもっている。換言すると、PC端末TA1011
は、前述したアプリケーションが電子投票用アプリケー
ションであり、電子投票用アプリケーションの実行によ
り、電子投票に関する機能を実行する場合に相当する。
【0078】ここで、電子投票に関する機能には、例え
ば次の(1)〜(4)がある。 (1)予め指紋の照合データ及び投票権証が保持された
投票者毎のスマートカード(例、ICカード)の内容を
読出す機能。 (2)センサ装置14から受けた照合結果署名とその照
合結果が真のとき、照合結果署名を投票所GW20’に
送出する機能。 (3)投票所GW20’から受けた投票権証の検証結果
が真のとき、スマートカードに投票権証を要求し、得ら
れた投票権証を検証し、検証結果が真のときに投票者の
端末操作に基づいて投票証を作成する機能。なお、投票
証の作成時に用いる選挙管理委員会の公開鍵は予め端末
TA1011’内に保持されている。
【0079】(4)上記(3)で作成した投票証及び投
票権証を1回だけ投票所GW20’に送出する機能。
【0080】なお、投票権証は、投票所の入場券として
機能する電子データであり、図8に示すように、投票者
ID(通し番号)r1、投票者氏名r2、住所r3、選
挙区r4、r1〜r4に対する選挙管理委員会のデジタ
ル署名r5からなるデータ群r1〜r5であり、予め選
挙管理委員会から投票者に送付される。
【0081】照合結果署名は、前述した認証結果署名と
ほぼ同様のものであり、図9に示すように、認証方法c
1、認証機器IDc2、認証精度(他人排除率FAR又
は本人拒否率FRR)c3、照合結果c4’、c1〜c
4に対する投票権証のデジタル署名c5’からなるデー
タ群c1〜c5’であって、個人認証の際に、センサ装
置14により生成される。
【0082】投票証は、図10に示すように、投票所I
Dv1、端末IDv2、投票結果v3、v1〜v3に対
する端末のデジタル署名v4からなるデータ群v1〜v
4であり、投票者の端末操作に基づいて、投票所のPC
端末TA1011’により作成される。
【0083】投票所ゲートウェイGW20’は、前述し
た第1ゲートウェイGW20に対応するものである。
【0084】一方、***所ドメインB’は、前述したP
C端末TB30に対応する***サーバTB30’が開
票所ゲートウェイGW50を介してm個の収集ゲートウ
ェイGW40’,…,GW40’に接続され、各収
集ゲートウェイGW40’,…,GW40’がネッ
トワークNWに接続されている。
【0085】***サーバTB30’は、前述したPC端
末TB30の機能に加え、***所ゲートウェイGW5
0から転送される各投票証に基づいて、投票証に含まれ
る投票結果を集計し、集計結果を出力する機能をもって
いる。
【0086】次に、各収集ゲートウェイGW40’,
…,GW40’は互いに同一構成のため、ここでは収
集ゲートウェイGW40を例に挙げて説明する。収集
ゲートウェイGW40’は、前述した第2ゲートウェ
イGW40の機能に加え、投票所ドメインA’から受
けた投票証を検証し、検証結果が真のとき、当該投票証
を***所ゲートウェイGW50に送出する機能をもって
いる。なお、各収集ゲートウェイGW40’,…,G
W40’や各投票所ゲートウェイGW201’,…,
GW20n’は、それぞれ負荷分散の観点から、複数設
置されている。すなわち、投票所GW201’と収集G
W401’とが必ずしも接続される必要はなく、互いに
ポリシー交換をした投票所GW201’と収集GW40
’とが接続される。
【0087】***所ゲートウェイGW50は、各収集ゲ
ートウェイGW40’,…,GW40’から受けた
投票証を***サーバに転送する機能をもっている。
【0088】次に、以上のように構成された電子投票シ
ステムの動作を図11及び図12のシーケンス図を用い
て「投票権証の配布」及び「投票」の順に説明する。 (投票権証の配布:図11)投票者は、投票権証を受取
可能とするように、予め自己の利用者端末TUのメール
アドレスを選挙管理委員会Eに届けておくものとする。
なお、投票権証のデジタル署名の検証に用いる公開鍵証
明書は、投票権証と共に送付されてもよく、また、選挙
管理委員会のホームページ等からダウンロードされても
よい。また、投票者は、前述した照合データや鍵情報を
格納するためのスマートカードSCを保有しているもの
とする。
【0089】さて図11に示すように、利用者端末TU
は、図8に示した投票権証を選挙管理委員会Eから受信
すると(ST21)、投票権証を選挙管理委員会Eの公
開鍵を用いて検証し、検証結果が真であれば、センサ装
置14に照合要求を送出する(ST22)。
【0090】センサ装置14は、前述同様に、指紋の生
体情報が入力されると(ST23)、スマートカードS
Cから照合データを読出して(ST24)、生体情報を
照合データに照合し、照合結果(OK/NG)を利用者
端末TUに送出する(ST25)。
【0091】利用者端末TUは、照合結果が真(OK)
であれば、投票権証をスマートカードSCに入力し(S
T26)、スマートカードSCから書込みの完了通知を
受ける(ST27)。
【0092】これにより、投票権証に記載された投票者
に関し、選挙管理委員会Eによる投票権証の配布処理が
完了する。なお、上述したステップST21〜ST27
は全ての投票者に対してそれぞれ行われる。
【0093】(投票:図12)予め***所ドメインB’
においては、収集GW40’は、例えば投票日にIP
secに基づいて、***所ゲートウェイGW50と前述
同様のSA交換(ポリシー交換)を行ない(ST3
1)、***所ゲートウェイGW50と通信が接続されて
いる。また、各投票所ドメインA’,…,A’の各
PC端末TA1011’〜TA101n’,…,TA1
n1’〜TA10nn’は、予め選挙管理委員会Eの公開
鍵を保持している。
【0094】一方、投票所ドメインA’においては、
投票者がスマートカードSCを持参してくると共に、投
票所内のPC端末TA1011’の前に座る。
【0095】始めに、PC端末TA1011’に接続され
たセンサ装置14は、投票者によりスマートカードSC
が挿入され、投票者の指が置かれると、その指の指紋を
測定して生体情報を得ると(ST32)、スマートカー
ドSCから照合データを読み出す(ST33)。なお、
スマートカードSCの挿入部位は、センサ装置14又は
PC端末TA1011’のいずれに設けてもよい。
【0096】さて、センサ装置14は、指紋の生体情報
と照合データとを照合し、照合結果が真であれば、前述
同様に、図9に示した照合結果署名を生成し、得られた
照合結果署名をPC端末TA1011’に出力する(ST
34)。
【0097】PC端末TA1011’端末は、照合結果署
名を検証し、検証結果が真であれば、前述同様に、照合
結果署名とその検証結果を投票所GW20’に送信す
る(ST35)。
【0098】投票所GW20’は、検証結果を受ける
と、IPsecに基づいて、収集所ドメインB’の収集
GW40’とSA交換を行い、通信を接続する(ST
36)。
【0099】一方、PC端末TA1011’は、スマート
カードSCへ投票権証を要求し(ST37)、投票権証
をスマートカードSCから読出し(ST38)、投票権
証をそのデジタル署名r5に基づいて検証する。
【0100】投票権証の検証結果が真であれば、PC端
末TA1011’は、投票者による投票結果(候補者名、
政党名又は国民審査結果など)の入力又は選択操作に基
づいて、投票所IDv4、端末IDv2、投票結果v3
に対してデジタル署名v4を生成して図10に示したよ
うな投票証を作成し、得られた投票証を投票所GW2
0’に送信する(ST39)。
【0101】すなわち、PC端末TA1011’から投票
所GW20’へ送信されるデータは、投票所・端末の
ID情報v1,v2及び投票結果v3に関する投票証の
みであり、投票者のデータは送信されない。
【0102】投票所GW20’は、投票証に含まれる
端末IDv2に基づいて、PC端末TA1011’の公開
鍵を選択し、この公開鍵に基づいて投票証を検証し、投
票証の検証が真であれば、ST36で接続した収集GW
40’に投票証を送信する(ST40)。
【0103】収集GW40’は、投票証を受けると、
投票証に含まれる投票所IDv1と端末IDv2に基づ
いて、PC端末TA1011’の公開鍵を選択し、この公
開鍵に基づいて、投票証を検証し、投票証の検証が真で
あれば、ST31で接続した***所ゲートウェイGW5
0に投票証を送信する(ST41)。
【0104】***所ゲートウェイGW50は、各収集G
W40’〜GW40’から受けた投票証を***サー
バTB30’に転送する(ST42)。
【0105】***サーバTB30’は、***所ゲートウ
ェイGW50から受けた投票証を集計し、集計結果を出
力する。
【0106】上述したように本実施形態によれば、第1
の実施形態の効果に加え、異なるドメインA’,B’間
のセキュア通信を含む電子投票システムを実現させるこ
とができる。
【0107】なお、電子投票については、他にも様々な
仕組みが提案されている。但し、本実施形態は、電子投
票の仕組み自体には言及せず、投票データを安全に***
サーバへ送信するためのネットワークの接続方法に言及
するものである。
【0108】従って、電子投票の仕組み自体は任意であ
り、どの仕組みを用いても良いものとする。換言する
と、アプリケーション層でどの様な電子投票システムを
組み込んでも構わない、ということである。
【0109】例えば、適用対象の電子投票が任意である
ことに関し、二重投票を防止する仕組み(a)〜(d)
を例に挙げて述べる。なお、二重投票とは、投票者が投
票を行った場合、再度、同一の投票者が投票を行う不正
行為である。このため、電子投票においても、二重投票
を禁止する何らかの仕組みを用いる必要があると考えら
れる。なお、重ねて言うが、二重投票の禁止は、電子投
票の仕組み自体の話であり、本実施形態の必須要件では
ない。
【0110】(a)投票者リストを用いる方式は、投票
所GW20’が、投票者ID、投票権証及び投票済み
フラグの組を示す投票済みリストを確認するものであ
る。すなわち、投票者がPC端末TA1011’の操作に
より投票をすると、PC端末TA1011’は、ステップ
ST39において、投票証と投票権証を投票所GW20
’に送信する。
【0111】投票所GW20’は、投票権を検証した
後、投票権証に基づいて、投票済みリスト内の投票者I
Dに対応する投票済みフラグが“未投票”である旨を確
認し、投票済みフラグを“投票済み”に更新する。
【0112】これにより、投票者が同一の投票所で再度
投票しようとしても、投票所GW20’の投票済みリ
ストの確認により、2回目以降の投票が阻止される。以
下、ステップST40以降の動作は前述同様に実行され
る。
【0113】(b)入場の際に、スマートカードを書換
える方式は、スマートカード内の投票権証を確認し、入
場済みデータをスマートカードに書込むものである。し
かし、この方式は、入場済みデータが不正に消去される
可能性があるため、採用され難いと考えられる。
【0114】なお、入場時に投票権証を確認するには、
スマートカードに予め投票権証の格納エリアのアクセス
権限を、W(書込):投票者、R(読出):投票者/投票所
管理者、D(削除):投票所管理者、となるよう、PIN
(Personal Identification Number)を設定する必要があ
る。
【0115】このため、スマートカードの二次発行時
に、格納エリアに関し、投票所管理者のPINを設定す
る必要がある。各投票所管理者のPINは、投票者の住
居変更を考慮して全て同一にする必要があり、また、後
からの変更がほぼ不可能となる。従って、スマートカー
ドを書換える方法はあまり現実的でない。
【0116】(c)入場の際に、スマートカードから投
票権証を消去する方法は、スマートカード内の投票権証
を確認し、投票権証を消去するものである。しかし、こ
の方式は、帰宅した投票者に投票権証が再書込みされる
可能性があるため、採用され難いと考えられる。
【0117】この方法も(b)の方法と似て、スマート
カードに予め入場済みデータの格納エリアのアクセス権
限を、W,R,D:投票所管理者、となるよう、PIN
を設定する必要があり、あまり現実的でない。
【0118】しかしながら、上記(a)〜(c)の方式
は、異なるドメイン間の通信を用いないので、本実施形
態とは無関係に成立する。よって、本実施形態は、これ
ら(a)〜(c)の方式のうち、何れの方式を用いる電
子投票システムに適用してもよい。すなわち、本実施形
態は、異なるドメイン間の通信に関するものなので、異
なるドメイン間の通信以外の仕組みに関しては任意の仕
組みの任意のシステムに適用することができる。
【0119】(第3の実施形態)次に、本発明の第3の
実施形態に係る電子投票システムについて図7及び図1
2を用いて説明する。なお、本実施形態は、投票所ドメ
インA’が投票所IDにより指定された第2の実施形
態とは異なり、投票者が任意の投票所ドメインA ’〜
’の任意のPC端末TA1011’〜TA10nn’で
投票可能な場合について述べる。
【0120】任意の投票所で投票される場合、前述した
ステップST39〜ST40において、投票証とは別に
投票権証が送信される必要がある。これは、例えば投票
証と投票権証とを別々のポートで送信すればよい。
【0121】ここで、ステップST40の結果、各収集
GW40’〜GW40は、投票所GW20’〜G
W20から投票証とは別に投票権証を受信すると、二
重投票防止用の投票済みリストを生成する。ここで、投
票済みリストは、前述同様のものであるが、投票証とは
別に管理されるため、投票者の匿名性は維持される。
【0122】各収集GW40’〜GW40は、投票
証とは別に投票済みリストを***所ゲートウェイGW5
0を介して***サーバTB30’に送信する。
【0123】***サーバTB30’は、前述同様に投票
証内の投票結果を集計する一方、各投票済みリストを統
合し、この統合された投票済みリストを各収集GW40
’〜GW40及び各投票所GW20’〜GW20
へ送信する。
【0124】各投票所GW20’〜GW20や各収
集GW40’〜GW40は、ステップST39やS
T40で受信した投票権証に関し、この統合された投票
済みリストに無い旨を確認することにより、投票者の二
重投票を防止する。
【0125】上述したように本実施形態によれば、投票
所が任意の場合であっても、第2の実施形態と同様の効
果を得ることができ、さらに、二重投票を防止できる。
【0126】具体的には、***サーバTB30’が投票
済みリストを統合し、この統合した投票済みリストを各
収集GW40’〜GW40及び各投票所GW2
’〜GW20へ送信するので、投票者が異なる投
票所で二重投票することを防止しつつ、任意の投票所で
の電子投票を実現させることができる。なお、同一の投
票所での二重投票を防止する場合は、前述同様に、投票
所GW20’,…,GW20’毎にローカルに管理
した投票済みリストを用いればよい。
【0127】なお、上記第2又は第3の実施形態は、投
票がある期間にわたって行われる場合や、ある時間間隔
毎に各GW間で用いる暗号アルゴリズムを変えたい場合
に、セキュリティポリシーを変化させることで対応でき
る。
【0128】例えば、本システムにおける暗号アルゴリ
ズムを変化させたい場合、図13に示すように、セキュ
リティポリシーを変える指示を***サーバTB30’か
ら、***所ゲートウェイGW50、各収集GW40
〜GW40、各投票所GW20’〜GW20へ出
すことにより、そのセキュリティポリシーでなければ接
続できない仕組みを作ることができる。
【0129】これにより、本システムが何らかの攻撃を
受けた際に、暗号アルゴリズムやセキュリティをかける
層を変化させることができるので、被害を最小限に抑え
ることが期待できる。
【0130】なお、上記各実施形態に記載した手法は、
コンピュータに実行させることのできるプログラムとし
て、磁気ディスク(フロッピー(登録商標)ディスク、
ハードディスクなど)、光ディスク(CD−ROM、D
VDなど)、光磁気ディスク(MO)、半導体メモリな
どの記憶媒体に格納して頒布することもできる。
【0131】また、この記憶媒体としては、プログラム
を記憶でき、かつコンピュータが読み取り可能な記憶媒
体であれば、その記憶形式は何れの形態であっても良
い。
【0132】また、記憶媒体からコンピュータにインス
トールされたプログラムの指示に基づきコンピュータ上
で稼働しているOS(オペレーティングシステム)や、
データベース管理ソフト、ネットワークソフト等のMW
(ミドルウェア)等が本実施形態を実現するための各処
理の一部を実行しても良い。
【0133】さらに、本発明における記憶媒体は、コン
ピュータと独立した媒体に限らず、LANやインターネ
ット等により伝送されたプログラムをダウンロードして
記憶または一時記憶した記憶媒体も含まれる。
【0134】また、記憶媒体は1つに限らず、複数の媒
体から本実施形態における処理が実行される場合も本発
明における記憶媒体に含まれ、媒体構成は何れの構成で
あっても良い。
【0135】尚、本発明におけるコンピュータは、記憶
媒体に記憶されたプログラムに基づき、本実施形態にお
ける各処理を実行するものであって、パソコン等の1つ
からなる装置、複数の装置がネットワーク接続されたシ
ステム等の何れの構成であっても良い。
【0136】また、本発明におけるコンピュータとは、
パソコンに限らず、情報処理機器に含まれる演算処理装
置、マイコン等も含み、プログラムによって本発明の機
能を実現することが可能な機器、装置を総称している。
【0137】なお、本願発明は、上記各実施形態に限定
されるものでなく、実施段階ではその要旨を逸脱しない
範囲で種々に変形することが可能である。また、各実施
形態は可能な限り適宜組み合わせて実施してもよく、そ
の場合、組み合わされた効果が得られる。さらに、上記
各実施形態には種々の段階の発明が含まれており、開示
される複数の構成用件における適宜な組み合わせにより
種々の発明が抽出され得る。例えば実施形態に示される
全構成要件から幾つかの構成要件が省略されることで発
明が抽出された場合には、その抽出された発明を実施す
る場合には省略部分が周知慣用技術で適宜補われるもの
である。
【0138】その他、本発明はその要旨を逸脱しない範
囲で種々変形して実施できる。
【0139】
【発明の効果】以上説明したように本発明によれば、オ
ープンなネットワークを介した、異なるドメイン間での
通信において、セキュリティポリシーを確認しあい、送
信者から送信されたパケットの正当性を検証可能とする
ことで、不正なパケットの流入を防止することが可能と
なる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係る通信接続システ
ムを含むネットワーク構成を示す模式図。
【図2】同実施形態における通信接続システムの構成を
示す模式図。
【図3】同実施形態における認証結果署名を説明するた
めの模式図。
【図4】同実施形態におけるセキュリティ情報を説明す
るための模式図。
【図5】同実施形態におけるポリシー情報を説明するた
めの模式図。
【図6】同実施形態における動作を説明するためのシー
ケンス図。
【図7】本発明の第2の実施形態に係る電子投票システ
ムの構成を示す模式図。
【図8】同実施形態における投票権証を説明するための
模式図。
【図9】同実施形態における照合結果署名を説明するた
めの模式図。
【図10】同実施形態における投票証を説明するための
模式図。
【図11】同実施形態における投票権証の配布動作を説
明するためのシーケンス図。
【図12】同実施形態における投票動作を説明するため
のシーケンス図。
【図13】第2又は第3の実施形態における変形動作を
説明するためのシーケンス図。
【符号の説明】
A,B…ドメイン NW…ネットワーク 1,2…LAN TA10〜TA10,TB30〜TB30,T
A1011’〜TA10 1n’,…,TA10n1’〜TA1
nn’…PC端末 11…メモリ部 12…センサ部 13…認識部 14…センサ装置 15,31…端末鍵メモリ部 16…セキュリティ情報生成部 17…ポリシー情報生成部 18,33…GW認証部 GW20,GW40…ゲートウェイ 21…GW鍵メモリ部 22…端末認証部 23…セキュリティポリシー生成部 24…交換部 32…ポリシー情報提供部 A’〜An’…投票所ドメイン B’…***所ドメイン GW20’〜GW20’…投票所ゲートウェイ TB30’…***サーバ GW40’〜GW40’…収集ゲートウェイ GW50…***所ゲートウェイ
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 12/66 H04L 9/00 675A 601E 673D Fターム(参考) 5B085 AE00 BC00 5J104 AA07 AA16 EA18 KA04 KA16 LA06 PA17 5K030 GA11 GA15 HC01 HD03 HD07 JA07 LC13 LD19 LD20 5K033 AA08 DA05 DB16 DB18 DB19

Claims (8)

    【特許請求の範囲】
  1. 【請求項1】 互いに異なるドメインに属するエンティ
    ティ装置間で各々の中継装置とオープンなネットワーク
    とを介してセキュア通信を接続するための通信接続シス
    テムであって、 前記各中継装置は、 自己の属するドメインのエンティティ装置から受けた、
    個人認証の認証方式及び認証精度を含む認証関連情報
    と、当該エンティティ装置が前記セキュア通信に用いる
    アプリケーションのセキュリティに関するセキュリティ
    情報とからセキュリティポリシーを作成するポリシー作
    成手段と、 前記ポリシー作成手段により作成されたセキュリティポ
    リシーを各中継装置間で交換するポリシー交換手段と、 前記ポリシー交換手段により得られた相手のセキュリテ
    ィポリシー内の認証関連情報とセキュリティ情報とに関
    し、自己のセキュリティポリシーに適合するか否かを各
    々検証するポリシー検証手段と、 前記ポリシー検証手段による両者の検証結果が正当のと
    き、前記接続のための鍵交換を行なう鍵交換手段と、 を備えたことを特徴とする通信接続システム。
  2. 【請求項2】 第1ドメインの第1エンティティ装置に
    接続される一方、前記第1ドメインとは異なる第2ドメ
    インの第2中継装置にネットワークを介して接続された
    第1中継装置に用いられ、前記第1エンティティ装置か
    ら前記第2ドメインへのセキュア通信を接続するための
    通信接続方法であって、 前記第1エンティティ装置から送信された、個人認証の
    認証方式、認証精度及び個人認証結果に対するデジタル
    署名を含む認証結果署名と、前記セキュア通信に用いる
    アプリケーションのセキュリティに関するセキュリティ
    情報とを受信するステップと、 前記第1エンティティ装置から受信した認証結果署名と
    前記セキュリティ情報とを含むセキュリティポリシーを
    作成するステップと、 前記セキュア通信の接続要求を前記第2中継装置に送信
    するステップと、 前記接続要求の送信により、前記第2中継装置から受信
    した第2ドメインのセキュリティポリシーを検証すると
    共に、前記作成したセキュリティポリシーを前記第2中
    継装置に送信するステップと、 前記第2中継装置における検証完了により、前記第2中
    継装置に対して前記セキュア通信のための鍵交換を行な
    うステップと、 前記鍵交換の完了により、前記第1エンティティ装置に
    通信可能を通知するステップと、 を含んでいることを特徴とする通信接続方法。
  3. 【請求項3】 第2ドメインの第2エンティティ装置に
    接続される一方、前記第2ドメインとは異なる第1ドメ
    インの第1中継装置にネットワークを介して接続された
    第2中継装置に用いられ、前記第1ドメインから前記第
    2エンティティ装置へのセキュア通信を接続するための
    通信接続方法であって、 前記第1中継装置から前記セキュア通信の接続要求を受
    信するステップと、 前記接続要求に基づいて、前記第2エンティティ装置に
    対し、少なくとも個人認証の認証方式及び認証精度を含
    む認証関連情報と、前記セキュア通信に用いるアプリケ
    ーションのセキュリティに関するセキュリティ情報とを
    要求するステップと、 この要求により、前記第2エンティティ装置から受信し
    た認証関連情報と前記セキュリティ情報とを含むセキュ
    リティポリシーを作成するステップと、 前記作成したセキュリティポリシーを前記第1中継装置
    に送信するステップと、 前記第1中継装置から受信した前記第1エンティティ装
    置のセキュリティポリシーに関し、前記第2エンティテ
    ィ装置のセキュリティポリシーに含まれる認証関連情報
    及びセキュリティ情報に適合するか否かを検証するステ
    ップと、 前記作成したセキュリティポリシーの送信が完了し、且
    つ前記検証結果が正当のとき、前記第1中継装置に対し
    て前記セキュア通信のための鍵交換に応じるステップ
    と、 を含んでいることを特徴とする通信接続方法。
  4. 【請求項4】 第2ドメインの第2エンティティ装置に
    対し、前記第2ドメインの第2中継装置、オープンなネ
    ットワーク及び前記第2ドメインとは異なる第1ドメイ
    ンの第1中継装置を介して接続された第1エンティティ
    装置に用いられ、前記第2エンティティ装置へのセキュ
    ア通信を接続するための通信接続用プログラムであっ
    て、 前記第1エンティティ装置のコンピュータに、 前記セキュア通信の接続要求を前記第1中継装置に送信
    する機能、 前記セキュア通信に用いるアプリケーションのセキュリ
    ティに関するセキュリティ情報を前記第1中継装置に送
    信する機能、 個人認証の認証方式、認証精度及び個人認証結果に対す
    るデジタル署名を含む認証結果署名を前記第1中継装置
    に送信する機能、 前記接続要求、前記セキュリティ情報及び前記認証結果
    署名の送信完了に基づいて、前記第1中継装置から通信
    可能の通知を受信する機能、 前記通信可能の通知に基づいて、前記アプリケーション
    を実行する機能、を実現させるための通信接続用プログ
    ラム。
  5. 【請求項5】 第1ドメインの第1エンティティ装置に
    接続される一方、前記第1ドメインとは異なる第2ドメ
    インの第2中継装置にネットワークを介して接続された
    第1中継装置に用いられ、前記第1エンティティ装置か
    ら前記第2ドメインへのセキュア通信を接続するための
    通信接続用プログラムであって、 前記第1中継装置のコンピュータに、 前記第1エンティティ装置から送信された、個人認証の
    認証方式、認証精度及び個人認証結果に対するデジタル
    署名を含む認証結果署名と、前記セキュア通信に用いる
    アプリケーションのセキュリティに関するセキュリティ
    情報とを受信する機能、 前記第1エンティティ装置から受信した認証結果署名と
    前記セキュリティ情報とを含むセキュリティポリシーを
    作成する機能、 前記セキュア通信の接続要求を前記第2中継装置に送信
    するステップと、 前記接続要求の送信により、前記第2中継装置から受信
    した第2ドメインのセキュリティポリシーを検証すると
    共に、前記作成したセキュリティポリシーを前記第2中
    継装置に送信する機能、 前記第2中継装置における検証完了により、前記第2中
    継装置に対して前記セキュア通信のための鍵交換を行な
    う機能、 前記鍵交換の完了により、前記第1エンティティ装置に
    通信可能を通知する機能、 を実現させるための通信接続用プログラム。
  6. 【請求項6】 第2ドメインの第2エンティティ装置に
    接続される一方、前記第2ドメインとは異なる第1ドメ
    インの第1中継装置にネットワークを介して接続された
    第2中継装置に用いられ、前記第1ドメインから前記第
    2エンティティ装置へのセキュア通信を接続するための
    通信接続用プログラムであって、 前記第2中継装置のコンピュータに、 前記第1中継装置から前記セキュア通信の接続要求を受
    信する機能、 前記接続要求に基づいて、前記第2エンティティ装置に
    対し、少なくとも個人認証の認証方式及び認証精度を含
    む認証関連情報と、前記セキュア通信に用いるアプリケ
    ーションのセキュリティに関するセキュリティ情報とを
    要求する機能、 この要求により、前記第2エンティティ装置から受信し
    た認証関連情報と前記セキュリティ情報とを含むセキュ
    リティポリシーを作成する機能、 前記作成したセキュリティポリシーを前記第1中継装置
    に送信する機能、 前記第1中継装置から受信した前記第1エンティティ装
    置のセキュリティポリシーに関し、前記第2エンティテ
    ィ装置のセキュリティポリシーに含まれる認証関連情報
    及びセキュリティ情報に適合するか否かを検証する機
    能、 前記作成したセキュリティポリシーの送信が完了し、且
    つ前記検証結果が正当のとき、前記第1中継装置に対し
    て前記セキュア通信のための鍵交換に応じる機能、 を実現させるための通信接続用プログラム。
  7. 【請求項7】 投票所ドメインに属する投票端末及び投
    票所中継装置と、オープンなネットワークと、***所ド
    メインに属する収集中継装置及び***装置とからなり、
    前記端末装置から前記投票所中継装置、前記ネットワー
    ク及び前記収集中継装置を介して前記***装置にセキュ
    ア通信を接続可能な電子投票システムであって、 前記投票所中継装置は、 前記投票端末から受けた、個人認証の認証方式及び認証
    精度を含む認証関連情報と、当該投票端末が前記セキュ
    ア通信に用いるアプリケーションのセキュリティに関す
    るセキュリティ情報とからセキュリティポリシーを作成
    する第1ポリシー作成手段と、 前記第1ポリシー作成手段により作成されたセキュリテ
    ィポリシーを前記収集中継装置との間で交換する第1ポ
    リシー交換手段と、 前記第1ポリシー交換手段により得られた相手のセキュ
    リティポリシー内の認証関連情報とセキュリティ情報と
    に関し、自己のセキュリティポリシーに適合するか否か
    を各々検証する第1ポリシー検証手段と、 前記第1ポリシー検証手段による両者の検証結果が正当
    のとき、前記接続のための鍵交換を行なう第1鍵交換手
    段とを備え、 前記収集中継装置は、 前記***装置から受けた、個人認証の認証方式及び認証
    精度を含む認証関連情報と、当該***装置が前記セキュ
    ア通信に用いるアプリケーションのセキュリティに関す
    るセキュリティ情報とからセキュリティポリシーを作成
    する第2ポリシー作成手段と、 前記第2ポリシー作成手段により作成されたセキュリテ
    ィポリシーを前記投票所中継装置との間で交換する第2
    ポリシー交換手段と、 前記第2ポリシー交換手段により得られた相手のセキュ
    リティポリシー内の認証関連情報とセキュリティ情報と
    に関し、自己のセキュリティポリシーに適合するか否か
    を各々検証する第2ポリシー検証手段と、 前記第2ポリシー検証手段による両者の検証結果が正当
    のとき、前記接続のための鍵交換を行なう第2鍵交換手
    段と、 を備えたことを特徴とする電子投票システム。
  8. 【請求項8】 請求項7に記載の電子投票システムにお
    いて、 前記端末装置は、 投票者ID及び選挙管理用デジタル署名を含む投票権証
    を前記投票所中継装置に送信し、この投票権証が真であ
    る旨が前記投票所中継装置により検証されると、投票結
    果を含む投票証を前記投票所中継装置に送信し、 前記投票所中継装置は、 前記端末装置から受けた投票権証のデジタル署名を検証
    し、この検証結果が真であり、且つ前記投票権証内の投
    票者IDが予め保持する投票済みリストに無いとき、こ
    の投票済みリストに前記投票者IDを含めると共に、検
    証結果を前記端末装置に送信することを特徴とする電子
    投票システム。
JP2002019029A 2002-01-28 2002-01-28 通信接続システム、方法、プログラム及び電子投票システム Expired - Fee Related JP4047592B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002019029A JP4047592B2 (ja) 2002-01-28 2002-01-28 通信接続システム、方法、プログラム及び電子投票システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002019029A JP4047592B2 (ja) 2002-01-28 2002-01-28 通信接続システム、方法、プログラム及び電子投票システム

Publications (2)

Publication Number Publication Date
JP2003224554A true JP2003224554A (ja) 2003-08-08
JP4047592B2 JP4047592B2 (ja) 2008-02-13

Family

ID=27743102

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002019029A Expired - Fee Related JP4047592B2 (ja) 2002-01-28 2002-01-28 通信接続システム、方法、プログラム及び電子投票システム

Country Status (1)

Country Link
JP (1) JP4047592B2 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005223924A (ja) * 2004-02-06 2005-08-18 Fujitsu Ltd ユニバーサルパーベイシブトランザクションフレームワークのためのオピニオン登録アプリケーション
WO2007023756A1 (ja) * 2005-08-24 2007-03-01 Nec Corporation 本人認証システム、ユーザ端末、サービス事業者装置、信頼性保証サーバ、これらの動作方法と動作プログラム
JP2009043037A (ja) * 2007-08-09 2009-02-26 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証方法、ユーザ認証装置、プログラム及び記録媒体
JP2009260986A (ja) * 2003-12-19 2009-11-05 Nokia Corp 通信を制御する方法の決定
JP2010514229A (ja) * 2006-12-21 2010-04-30 パナソニック株式会社 ドメイン間情報通信のための認証方法、システム、およびその装置
JP2014532224A (ja) * 2011-09-30 2014-12-04 インテル・コーポレーション 複数のコンピューティングデバイスのためのアプリケーション認証ポリシー
JP2016129066A (ja) * 2016-03-08 2016-07-14 インテル・コーポレーション 複数のコンピューティングデバイスのためのアプリケーション認証ポリシー
WO2019164886A1 (en) * 2018-02-21 2019-08-29 Mastercard International Incorporated Systems and methods for managing digital identities associated with users

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009260986A (ja) * 2003-12-19 2009-11-05 Nokia Corp 通信を制御する方法の決定
JP2005223924A (ja) * 2004-02-06 2005-08-18 Fujitsu Ltd ユニバーサルパーベイシブトランザクションフレームワークのためのオピニオン登録アプリケーション
WO2007023756A1 (ja) * 2005-08-24 2007-03-01 Nec Corporation 本人認証システム、ユーザ端末、サービス事業者装置、信頼性保証サーバ、これらの動作方法と動作プログラム
JP2010514229A (ja) * 2006-12-21 2010-04-30 パナソニック株式会社 ドメイン間情報通信のための認証方法、システム、およびその装置
JP2009043037A (ja) * 2007-08-09 2009-02-26 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証方法、ユーザ認証装置、プログラム及び記録媒体
JP2014532224A (ja) * 2011-09-30 2014-12-04 インテル・コーポレーション 複数のコンピューティングデバイスのためのアプリケーション認証ポリシー
JP2016129066A (ja) * 2016-03-08 2016-07-14 インテル・コーポレーション 複数のコンピューティングデバイスのためのアプリケーション認証ポリシー
WO2019164886A1 (en) * 2018-02-21 2019-08-29 Mastercard International Incorporated Systems and methods for managing digital identities associated with users
US10873853B2 (en) 2018-02-21 2020-12-22 Mastercard International Incorporated Systems and methods for managing digital identities associated with users

Also Published As

Publication number Publication date
JP4047592B2 (ja) 2008-02-13

Similar Documents

Publication Publication Date Title
JP6494004B1 (ja) 個人情報管理システム、サービス提供システム、方法およびプログラム
RU2434340C2 (ru) Инфраструктура верификации биометрических учетных данных
US7694330B2 (en) Personal authentication device and system and method thereof
JP4776245B2 (ja) ユニバーサルパーベイシブトランザクションフレームワークのためのオピニオン登録アプリケーション
AU2004254771B2 (en) User authentication system
US6148404A (en) Authentication system using authentication information valid one-time
TWI237978B (en) Method and apparatus for the trust and authentication of network communications and transactions, and authentication infrastructure
US8499147B2 (en) Account management system, root-account management apparatus, derived-account management apparatus, and program
EP3376708B1 (en) Anonymous communication system and method for subscribing to said communication system
US20050240779A1 (en) Secure local or remote biometric(s) identity and privilege (BIOTOKEN)
US20080250246A1 (en) Method for Controlling Secure Transactions Using a Single Multiple Dual-Key Device, Corresponding Physical Deivce, System and Computer Program
KR20080040932A (ko) 무선 단말기를 이용한 전자투표 장치 및 방법
US20050021954A1 (en) Personal authentication device and system and method thereof
JP2003143136A (ja) 本人確認システム及び装置
JP6504639B1 (ja) サービス提供システムおよびサービス提供方法
CN101262342A (zh) 分布式授权与验证方法、装置及***
JP2005502269A (ja) デジタル証明書を作成するための方法及び装置
JP2005149341A (ja) 認証方法および装置、サービス提供方法および装置、情報入力装置、管理装置、認証保証装置、並びにプログラム
JP2002297551A (ja) 認証システム
JP4047592B2 (ja) 通信接続システム、方法、プログラム及び電子投票システム
JP2000215280A (ja) 本人認証システム
JP2003067532A (ja) 電子投票システム及び電子投票方法
JP2000078128A (ja) 通信システム及びicカード並びに記録媒体
JP4794939B2 (ja) チケット型メンバ認証装置及び方法
JP3634279B2 (ja) 複数icカード間及び同一icカード内のアプリケーション連携方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071122

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101130

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4047592

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101130

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111130

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111130

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121130

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131130

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees