JP4295391B2 - アクセス制御方法及び装置 - Google Patents

アクセス制御方法及び装置 Download PDF

Info

Publication number
JP4295391B2
JP4295391B2 JP15462399A JP15462399A JP4295391B2 JP 4295391 B2 JP4295391 B2 JP 4295391B2 JP 15462399 A JP15462399 A JP 15462399A JP 15462399 A JP15462399 A JP 15462399A JP 4295391 B2 JP4295391 B2 JP 4295391B2
Authority
JP
Japan
Prior art keywords
seller
public key
user
provider
electronic signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP15462399A
Other languages
English (en)
Other versions
JP2000348092A (ja
Inventor
円 光岡
博靖 菅野
浩司 大谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP15462399A priority Critical patent/JP4295391B2/ja
Publication of JP2000348092A publication Critical patent/JP2000348092A/ja
Application granted granted Critical
Publication of JP4295391B2 publication Critical patent/JP4295391B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ユーザが、商品やサービス(以下、商品という)の販売者に通信を介して商品の購入を申し込み、販売者と異なる商品の提供者から商品を受け取る場合、提供者がユーザ資源へアクセスするのを制御する技術に関する。
【0002】
本発明において、通信を介して商品を販売するとは、インターネットや電話、郵便、ファックスなどの通信手段を介し、ユーザに商品やサービスを販売するシステムを言う。
【0003】
販売者とは、通信を介してユーザに商品を販売する主体を言う。
【0004】
提供者とは、前記通信を介して販売される商品を、実際にユーザに提供する主体を言う。具体的には、ユーザへの商品の配達、ユーザ宅におけるサービスの実行などを行う主体である。
【0005】
ユーザ資源とは、ユーザのスケジュール情報、ユーザ宅に設けられた宅配ボックス、ユーザのガレージ、ユーザ宅そのものなどを言う。
【0006】
【従来の技術】
今日、ユーザが電話やインターネット等の通信手段を介して商品を購入する通信販売が普及している。商品には、ディジタル情報からなる商品と、物理的実体を有する商品とがある。後者の商品を販売する場合、商品購入の申し込みを受け付ける販売者は、商品の提供者に商品の提供を依頼することが多い。例えば、郵便局や宅配業者に商品の配達を依頼することが挙げられる。また、清掃業者にユーザ宅への清掃サービスの提供を依頼することが挙げられる。
【0007】
しかし、提供者が商品を提供しようとするときに、ユーザが不在である場合が多々ある。その場合、提供者は例えば何度もユーザ宅に訪れなければならない。また、ユーザ側としては、忙しいときに提供者が来ると不都合である。不在中に商品の配達があった場合などには、提供者に再度来てもらうための手続が必要となる。場合によっては、商品を受け取るために余計な手間と時間とがかかってしまうこともある。
【0008】
そこで、できる限りユーザが在宅中に商品を配達できるようにするために、種々の提案がなされている。例えば、特開平10−162065号公報は、受取人であるユーザのスケジュール情報を配達業者が参照し、配達予定日時を決定する技術を開示している。また、配達ボックスを設置し、ユーザが不在の時でも認証を行うことでユーザ及び許可された特定の提供者のみがボックスを開けることを可能にする技術が提供されている。例えば、特開平9−330458号公報は、ICカード等を用い、配達業者の認証を行う技術を開示している。
【0009】
【発明が解決しようとする課題】
前記特開平10−162065号公報に記載のユーザのスケジュール情報を公開する技術は、提供者にスケジュール情報を見る権利をどのように与えるかが問題となる。なぜなら、ユーザが商品を申し込む時に接触する商品の販売者と、商品を提供する提供者とは、異なる組織であることが多い。しかも、提供者は、通常、ユーザではなく販売者が選択する。
【0010】
例えば、ユーザが、パスワードを教えることでスケジュール情報を見る権利を販売者に与えるとする。そのパスワードを販売者が提供者に渡せば、提供者はスケジュール情報に対するアクセスを行うことが出来る。しかし、スケジュール情報にアクセスする必要があるのは、ユーザに直接商品を届ける提供者のみである。パスワードを販売者に渡してしまうと、重要なプライバシー情報であるユーザスケジュール情報に対するアクセスの権利を、必要のない販売者にまで与えることになってしまい、プライバシー侵害の危険性を高めることになる。
【0011】
また、販売者内や提供者内で不正が行われ、スケジュール情報にアクセスする権利が流出してしまうことも考えられる。さらに、ユーザが商品を取得した後も権利が存続すると、提供者に見せる必要の無いユーザのプライバシー情報に提供者がアクセスすることが可能になってしまう。
【0012】
このような問題は、他のユーザ資源、例えば配達ボックスへのアクセスにおいても同様である。また、例えば修理業者が故障車を引き取りに来るサービスを購入し、修理業者にガレージを開ける権利を与える場合にも同様な問題が生じる。さらに、在宅時に商品を受け取る場合でも、ドアの向こうの提供者が正当な権利を持つことを知りたいというニーズがある。正当な権利を証明する手段が無い場合は、ユーザはドアを開けることを拒否することにより、不振人物が住居に侵入するなどの犯罪を防止可能である。前もっての予約に基づいて、住居に訪問して行うサービスにおいて同様である。
【0013】
本発明は、ユーザが商品やサービスの購入を申し込む販売者と、商品をユーザに直接提供する提供者とが異なる場合に、ユーザが接触した正当な販売者から依頼を受けた正当な提供者のみに対し、必要なユーザ資源のみへのアクセスを許可することを目的とする。
【0014】
【課題を解決するための手段】
前記課題を解決するために、本願第1発明は、通信を介して商品またはサービス(以下、単に商品という)を販売する販売者の販売者端末からの依頼を受け、前記商品をユーザに提供する提供者の提供者端末がユーザ資源にアクセスする場合に用いられ、
前記ユーザが操作するユーザ端末は、前記ユーザの公開鍵系秘密鍵(Xc)を第1の記憶手段に記憶しており、前記ユーザから前記販売者への前記商品の申し込みに応じ、前記申し込みを識別する申込識別情報(I)と、前記販売者の公開鍵系公開鍵(Kr)と、前記記憶しているユーザの公開鍵系秘密鍵(Xc)と、を用いてユーザの電子署名を演算し、前記ユーザの電子署名を含む申込証情報を前記販売者端末に送信し、
前記販売者端末は、前記販売者の公開鍵系秘密鍵(Xr)を第2の記憶手段に記憶しており、前記申込証情報を前記ユーザ端末から受信し、前記申込識別情報(I)と前記提供者の公開鍵系公開鍵(Kp)と前記記憶している販売者の公開鍵系秘密鍵(Xr)とを用いて販売者の電子署名(Xr(I,Kp))を演算し、前記申込証情報に含まれる前記ユーザの電子署名に加え、前記販売者の電子署名をさらに含む資格証情報を前記提供者端末に送信し、
アクセス制御装置は、前記資格証情報を前記提供者端末から受信し、前記資格証情報に基づいて前記販売者及び前記提供者が正当か否かの判断を行い、前記判断結果に基づいて前記アクセス要求を許可するか否かを決定し、
前記アクセス要求を許可するか否かの判断は、
前記ユーザの公開鍵系公開鍵Kcを第3の記憶手段に記憶しておき、
前記申込識別情報(I)及び前記販売者の公開鍵系公開鍵(Kr)に基づいて第1メッセージダイジェストを演算し、前記第3の記憶手段に記憶されているユーザの公開鍵Kcを用いて前記ユーザの電子署名Xcを復号化して第2メッセージダイジェストを得、前記第1メッセージダイジェストおよび第2メッセージダイジェストを比較することにより前記販売者が正当か否かを判断し、
前記申込識別情報(I)及び前記提供者の公開鍵系公開鍵(Kp)に基づいて第3メッセージダイジェストを演算し、販売者の公開鍵Krを用いて前記販売者の電子署名Xrを復号化して第4メッセージダイジェストを得、前記第3メッセージダイジェストおよび第4メッセージダイジェストを比較することにより前記提供者が正当か否かを判断するアクセス制御方法を提供する。
【0015】
ユーザ資源にアクセスとは、ウェブページ上で公開されているユーザのスケジュールを閲覧したり、ユーザの宅配便ボックスを開けたり、ユーザ宅への訪問などを言う。正当な販売者とは、ある商品の購入先としてユーザが選択した販売者である。正当な提供者とは、正当な販売者からユーザに商品を提供することを依頼されている提供者である。例えば、ユーザがある商品の購入をインターネット上で依頼した場合を考える。その商品の販売者から依頼を受けた宅配業者は、ユーザが在宅しているタイミングで商品を配達したい。この場合、正当な宅配業者のみが、ウェブページに公開されているユーザスケジュールにアクセスを許可される。
【0016】
本願第2発明は、前記ユーザの公開鍵系秘密鍵(Xc)を第1の記憶手段に記憶しており、商品及び前記商品の販売者を指定する情報を含む申込識別情報(I)と、前記販売者の公開鍵系公開鍵(Kr)と、前記記憶しているユーザの公開鍵系秘密鍵(Xc)と、を用いてユーザの電子署名を演算し、前記ユーザの電子署名を含む申込証情報を送信する第1コンピュータ端末と、
前記販売者の公開鍵系秘密鍵(Xr)を第2の記憶手段に記憶しており、前記申込証情報を前記第1コンピュータ端末から受信し、前記申込識別情報(I)と前記提供者の公開鍵系公開鍵(Kp)と前記記憶している販売者の公開鍵系秘密鍵(Xr)とを用いて販売者の電子署名(Xr(I,Kp))を演算し、前記申込証情報に含まれる前記ユーザの電子署名に加え、前記販売者の電子署名をさらに含む資格証情報を送信する第2コンピュータ端末と、
前記資格証情報を前記第2コンピュータ端末から受信し、前記資格証情報に基づくユーザ資源へのアクセス要求を出力する第3コンピュータ端末と、
前記アクセス要求を前記第3コンピュータ端末から取得し、前記資格証情報に基づいて前記販売者及び前記提供者が正当か否かの判断を行い、前記判断結果に基づいて前記アクセス要求を許可するか否かを決定するアクセス制御手段と、を備え、
前記アクセス制御手段は、
前記ユーザの公開鍵系公開鍵Kcを第3の記憶手段に記憶しておき、
前記申込識別情報(I)及び前記販売者の公開鍵系公開鍵(Kr)に基づいて第1メッセージダイジェストを演算し、前記第3の記憶手段に記憶されているユーザの公開鍵Kcを用いて前記ユーザの電子署名Xcを復号化して第2メッセージダイジェストを得、前記第1メッセージダイジェストおよび第2メッセージダイジェストを比較することにより前記販売者が正当か否かを判断し、
前記申込識別情報(I)及び前記提供者の公開鍵系公開鍵(Kp)に基づいて第3メッセージダイジェストを演算し、販売者の公開鍵Krを用いて前記販売者の電子署名Xrを復号化して第4メッセージダイジェストを得、前記第3メッセージダイジェストおよび第4メッセージダイジェストを比較することにより前記提供者が正当か否かを判断し、
アクセス制御システムを提供する。
【0017】
第1コンピュータ端末は、例えばユーザのPC(パーソナルコンピュータ)などに設けられる。第2コンピュータ端末は、例えばインターネット上で商品やサービスを販売する販売者の情報端末に設けられる。第3コンピュータ端末は、インターネット上で販売される商品を実際にユーザに配達したり、実際にサービスを提供する提供者の情報端末やICカードに設けられる。第3コンピュータ端末とアクセス制御手段との間では、申込証を不正に入手した第3者が、ユーザ資源へ不正にアクセスするのを防止するために認証を行っても良い。このアクセス制御システムを用いれば、例えば、インターネット上で販売される商品を商品の販売者から依頼を受けて宅配する宅配業者が、ユーザスケジュールを参照することにより、ユーザが在宅中に配達可能になる。
【0018】
本願第3発明は、前記第2発明において、前記アクセス制御手段が、前記申込識別情報(I)を記憶手段に記憶するアクセス制御システムを提供する。前記アクセス制御手段は、さらに、商品の申し込みが取り消されたことを示す取消通知または商品の提供が完了したことを示す完了通知を前記第1コンピュータ端末または外部から受信し、前記取消通知または完了通知を受信した場合あるいは前記販売者及び提供者が正当であると判断した場合に前記記憶手段に記憶されている前記申込識別情報(I)を無効化し、前記無効化された申込識別情報(I)を含む資格証情報に基づくアクセス要求を受信した場合、そのアクセス要求を拒否する。
【0019】
例えば、注文した商品を受け取ったユーザは、商品を受け取ったことを申込手段によりアクセス制御手段に通知する。この通知には、申込識別情報が含まれる。例えばアクセス制御手段は、この通知を受けて、申込識別情報が無効であるフラグをたてる。アクセス制御手段は、すでに無効となった申込識別情報が記述された資格証に基づいたアクセス要求があった場合、フラグに基づいてアクセス要求を拒否する。従って、同じ資格証を何回も流用することが防止される。
【0020】
本願第4発明は、前記第2発明において、前記第1コンピュータ端末が、前記申込識別情報(I)の有効期間の指定を受け付け、前記有効期間をさらに含む前記申込証情報を送信するアクセス制御システムを提供する。また前記アクセス制御手段は、前記申込識別情報(I)を記憶手段に記憶し、前記有効期間を経過した申込識別情報(I)を含む資格証情報に基づくアクセス要求を受信した場合、そのアクセス要求を拒否する
【0021】
申込識別情報の有効期間を設けることにより、有効期間を過ぎたアクセスを無効とすることができる。前記第3発明と組み合わせれば、有効期間を過ぎた申込識別情報については記憶する必要がなくなり、アクセス制御手段の資源を有効に活用することができる。
【0022】
本願第5発明は、前記第2発明において、前記第3コンピュータ端末が、前記販売者の電子署名(Xr(I,Kp))及び提供者の公開鍵(Kp)に加え、所定の認証局から発行される前記提供者の公開鍵(Kp)についての電子署名をさらに送信するアクセス制御システムを提供する。このシステムにおいては、前記アクセス制御手段は、前記提供者の公開鍵(Kp)についての前記認証局の電子署名に基づいて前記提供者の公開鍵(Kp)の正当性をさらに検証し、検証結果に従って前記提供者の認証を行う。
【0023】
認証局からの証明書により、公開鍵の正当性を検証する。
【0024】
【発明の実施の形態】
次に、本発明のアクセス制御システムについて、図面を参照しながら具体的に説明する。
【0025】
<第1実施形態例>

[構成]
図1は、本発明の第1実施形態例に係るアクセス制御システムの全体構成を示す。本実施形態例のアクセス制御システムは、ユーザ端末C、販売者端末R、提供者端末P及びアクセス制御装置Aを含んで構成されている。以下において説明を容易にするために、ユーザのスケジュールがウェブページ上で公開されているとする。ユーザから商品の申し込みを受けた販売者は、特定の提供者に商品の提供を依頼する。提供者は、ウェブページ上のユーザスケジュールにアクセスする。ユーザは、提供者に与えるアクセス権を商品の申込とともに設定する。なお、本実施形態例においては、ユーザ、販売者及び提供者の公開鍵系秘密鍵X及び公開鍵Kを用いる。
【0026】
(1)ユーザ端末C
ユーザ端末Cは、申込部11、生成部12、署名部13及び指定部14を有している。また、ユーザ端末Cは、ユーザの秘密鍵Xc及び公開鍵Kcを、図示しない記憶部に記憶している。
【0027】
申込部11は、商品、販売者及びユーザスケジュールへのアクセス権の有効期間Tの選択を受け付ける。申込部11は、選択を受け付けると、販売者端末Rに販売者の公開鍵Krを要求し、取得した公開鍵Krを署名部13に送出する。また、申込部11は、商品を特定する情報を生成部12に送出する。例えば、各販売者が自己の商品を特定するために商品に付する商品番号である。さらに、申込部11は、ユーザ、商品、有効期間T及び販売者を特定する所定情報を署名部13から受け取り、販売者端末Rに送信する。
【0028】
生成部12は、申込部11から商品番号を受け取り、所定の識別情報Iを生成する。ここで、識別情報Iは、ユーザ、商品及び商品の申し込み毎に定められる識別情報である。具体的には、識別情報Iは、ユーザ名、商品番号、申込日時及び取引番号を含んでいる。ここで、商品番号は、販売者が商品を特定するために商品に付している識別情報である。また、取引番号は、ユーザ自身が行った取引を特定するために付する識別番号であり、典型的には通し番号である。生成された識別情報Iは、申込部11及び署名部13に送出される。
【0029】
署名部13は、識別情報I、有効期間T及び販売者の公開鍵Krに対し、ユーザの秘密鍵Xcによる電子署名を生成する。そして、電子署名Xc(I,T,Kr)を、(I,T,Kr)とともに申込部11に送出する(以下、単に電子署名Xc(I,T,Kr)を送出するという)。ユーザの電子署名は、申込部11から販売者端末Rに送信される。
【0030】
指定部14は、アクセス権を無効化する指示を受け付け、アクセス制御装置Aに送信する。具体的には、指定部14は、識別情報Iの指定を受け付け、指定された識別情報Iの無効化通知をアクセス制御装置Aに送信する。
【0031】
(2)販売者端末R
販売者端末Rは、受付部21,署名部22及び送受信部23を有している。また、販売者端末Rは、販売者の秘密鍵Xr及び公開鍵Krを、図示しない記憶部に記憶している。
【0032】
受付部21は、ユーザ端末Cからの要求に応じ、公開鍵Krをユーザ端末Cに送信する。また、受付部21は、ユーザ端末Cから送信されるユーザの電子署名を受け取り、署名部21に送出する。
【0033】
署名部22は、受付部21からユーザの電子署名が通知されると、送受信部23に対して提供者の公開鍵Kpを要求する。署名部22は、要求に応じて送出される公開鍵Kpを受け取ると、販売者の秘密鍵Xrを用い、販売者の電子署名Xr(I,Kp)を生成する。さらに、署名部22は、前記ユーザの電子署名Xc(I,T,Kr)と販売者の電子署名Xr(I,Kp)とを、送受信部23に送出する。
【0034】
送受信部23は、署名部22からの指示に従い、提供者端末Pに提供者の公開鍵Kpを要求し、署名部22に送出する。また、送受信部23は、前記ユーザの電子署名Xc(I,T,Kr)及び販売者の電子署名Xr(I,Kp)を、提供者端末Pに送信する。
【0035】
(3)提供者端末P
提供者端末Pは、受付部31、認証部32及び第2送受信部33を有している。また、提供者端末Pは、提供者の秘密鍵Xp、公開鍵Kp及び公開鍵Kpに対する所定の認証局の電子署名XCA(Kp)を、図示しない記憶部に記憶している。
【0036】
受付部31は、販売者端末Rとの間でデータの送受信を行う。具体的には、受付部31は、販売者端末Rからユーザの電子署名及び販売者の電子署名を受信し、第2送受信部33に送出する。また受付部31は、ユーザの電子署名及び販売者の電子署名を受け取ると、認証部32に対し認証手続きを指示する。
【0037】
認証部32は、受付部31からの指示に従い、アクセス制御装置Aに対し所定の認証要求を行う。また、認証部32は、要求に応じて送られて来る任意の値Yを提供者の秘密鍵Xpで暗号化し、提供者の電子署名Xp(Y)を生成する。そして、認証部32は、提供者の公開鍵Kp、Kpに対する認証局の電子署名XCA(Kp)及び提供者の電子署名Xp(Y)をアクセス制御装置に送信する。
【0038】
第2送受信部33は、アクセス制御装置Aとの間でデータの送受信を行う。具体的には、第2送受信部33は、アクセス制御装置Aからの認証結果の通知に従い、アクセス要求をアクセス制御装置Aに送信する。このアクセス要求には、ユーザの電子署名及び販売者の電子署名が含まれている。
【0039】
(4)アクセス制御装置A
アクセス制御装置Aは、本実施形態例においては、ユーザスケジュールが蓄積されるウェブサーバに設けられている。ウェブサーバは、ユーザスケジュールが蓄積されているスケジュールDBと、スケジュールDBから要求対象のユーザスケジュールを読み出し提供者端末Pに送信する処理部とを有している。
【0040】
アクセス制御装置Aは、受付部41、検証部42,記憶部43及び無効化部44を有している。受付部41は、提供者端末Pとの間でデータの送受信を行う。また、受付部41は、ユーザ端末Cからの無効化通知を受け付け、無効化部44に送出する。
【0041】
検証部42は、提供者端末Pからのデータに基づいて、認証要求及びアクセス要求を認証するか否かを判断する。具体的には、検証部42は、提供者端末Pから認証要求があった場合、受付部41に対し、任意の値Xを提供者端末Pへ送出することを指示する。また、検証部42は、提供者の公開鍵Kp、認証局の電子署名XCA(Kp)及び提供者の電子署名Xp(X)に基づいて、提供者の公開鍵Kpが正当か否かを判断する。検証部42は、提供者端末Pに対し、判断した結果を通知する。
【0042】
また、検証部42は、提供者端末Pからアクセス要求があった場合、ユーザの電子署名、販売者の電子署名、有効期間T及び後述するフラグに基づいて、販売者及び提供者が正当か否かを判断する。両者が正当である場合、検証部42は、アクセス対象及びアクセス元を前記処理部に通知し、識別情報Iと有効期間Tとを記憶部43に格納する。さらに、検証部42は、販売者及び提供者が正当と判断した場合、識別情報Iの無効を示すフラグを識別情報Iと対応付けて記憶部43に格納しても良い。
【0043】
記憶部43は、識別情報Iと有効期間Tとを対応付けて格納する。また、記憶部43には、予め何らかの方法でユーザの公開鍵Kcが蓄積されている。公開鍵Kcをアクセス制御装置Aに送付する方法は、通常用いられる方法を用いればよく、特に限定されない。また、ユーザ端末Cとアクセス制御装置Aとが共に同一のユーザにより管理されている場合、ユーザの公開鍵系公開鍵Kcに代えて、共通鍵を用いることもできる。
【0044】
無効化部44は、無効化通知をユーザ端末Cから受け取ると、識別情報Iの無効を示すフラグを、無効化通知により指定された識別情報Iと対応付けて記憶部43に格納する。
【0045】
[処理の流れ]
次に、本実施形態例におけるアクセス制御処理の流れを具体的に説明する。図2は、本実施形態例におけるアクセス制御処理の流れを示す説明図である。
【0046】
まず、ユーザ端末Cが、商品、販売者及びアクセス権の有効期間Tの選択を受け付け、公開鍵を要求する(♯1)。要求を受信した販売者は、自身の公開鍵Krをユーザ端末Cに送信する(♯2、3)。ユーザ端末Cの生成部12は、ユーザ名、選択した商品番号、申込日時及び取引番号に基づいて、識別情報Iを生成する(#4、5)。次いで、ユーザ端末Cは、識別情報I、有効期間T、販売者の公開鍵Kr及びユーザの電子署名Xc(I,T,Kr)を販売者端末Rに送信する(♯6)。
【0047】
前記ユーザの電子署名を受け取った販売者端末Rは、送受信部23により提供者端末Pに対し商品の提供を依頼する(♯7、8)。依頼を受け取った提供者端末Pは、提供者の公開鍵Kpを販売者端末Rに送信する(♯9、10)。なお、販売者端末Rは、予め提供者の公開鍵Kpを取得しておけば、ユーザからの申込毎に提供者の公開鍵Kpを取得する必要はない。販売者端末Rは、提供者の公開鍵Kpと識別情報Iとに対する販売者の電子署名を生成する。そして、販売者端末Rは、ユーザの電子署名及び販売者の電子署名を、提供者端末Pに送信する(♯11、12)。
【0048】
ユーザの電子署名及び販売者の電子署名を受け取った提供者端末Pは、アクセス制御装置Aに対し、認証要求を行う(♯13、14)。提供者端末Pから認証要求を受け取ったアクセス制御装置Aは、任意の値Yを提供者端末Pに送信する(♯15、16)。提供者端末Pは、提供者の公開鍵Kp及び値Yに対する提供者の電子署名Xp(Y)及び公開鍵Kpに対する認証局の電子署名XCA(Kp)をアクセス制御装置Aに送信する(♯17、18)。アクセス制御装置Aは、受信した情報に基づいて、提供者の公開鍵Kpが真正な公開鍵であるか否かを判断する。真正な公開鍵と判断すると、判断結果を提供者端末Pに通知する(♯19、20、21)。提供者の公開鍵Kpが真正でないと判断すると、判断結果を提供者端末Pに通知する(#27)。
【0049】
判断結果を受け取った提供者端末Pは、ユーザの電子署名及び販売者の電子署名をアクセス制御装置Aに送信する(♯22、23)。電子署名を受け取ったアクセス制御装置Aは、受け取った電子署名及び予め記憶しているユーザの公開鍵Kcに基づいて、ユーザスケジュールへのアクセスを許可するか否かを判断する。具体的には、まず、検証部42が有効期間T及びフラグに基づいて、識別情報Iが有効か否かを判断する。検証部42は、有効期間Tを過ぎているか、識別情報Iの無効を示すフラグが記憶されていれば、アクセス要求を認証しないと判断する。そして、判断結果を提供者端末Pに通知する(#27)。識別情報Iの無効を示すフラグが記憶されている場合とは、例えばユーザ端末からアクセス制御装置Aに前記無効化通知が送信されている場合である。
【0050】
検証部42は、識別情報Iが有効であれば、販売者及び提供者が正当か否かの判断処理に移る。具体的には、ユーザの電子署名Xc(I,T,Kr)をユーザの公開鍵Kcで復号化し、I、T、Krのメッセージダイジェスト(MD(I,T,Kr))を得る。また、検証部42は、MD(I,T,Kr)を所定の方法で計算する。両MDが一致した場合には、真正な販売者であると判断する。なお、メッセージダイジェストは、MD5を用いた計算など、通常用いられる方法で計算可能である。
【0051】
また、検証部42は、販売者の電子署名を販売者の公開鍵Krで復号化し、I及びKpのメッセージダイジェスト(MD(I,Kp))を得る。さらに、検証部42は、MD(I,Kp)を計算する。両MDが一致した場合には、検証部42は、提供者が正当な販売者により商品の提供を依頼された正当な提供者であると判断する。検証部42は、販売者及び認証者が正当であると判断すると、所定の処理を行う(#26,28)。本実施形態例では、検証部42は、ウェブサーバの処理部に対し、アクセス対象ユーザ及びアクセス元の提供者端末Pを通知する(#26)。また、検証部42は、識別情報I及び有効期間Tを記憶部43に蓄積する(♯28)。販売者及び/または提供者が真正でない場合、検証部42は判断結果を提供者端末Pに通知する(#27)。
【0052】
ウェブサーバの処理部は、前記通知を受けて、対象ユーザのスケジュールをスケジュールDBから読み込み、提供者端末Pに送信する等の処理を行う。
【0053】
なお、アクセス制御装置Aは、前記処理に加え、ユーザ端末Cからの無効通知に応じた処理を行う。具体的には、アクセス制御装置Aは、記憶部43に蓄積されている識別情報Iと対応付けて“無効”を示すフラグを記憶する。“無効”化すべき識別情報Iは、無効通知により特定される。
【0054】
<第2実施形態例>
前記第1実施形態例では、ユーザにより無効化された識別情報Iについて無効を示すフラグを記憶し、これにより識別情報Iの無効化を区別した。しかし、下記のように処理することも可能である。例えば、有効な識別情報Iについてはフラグの値を“0”に、無効な識別情報Iについてはフラグの値を“1”とする。検証部42は、販売者及び提供者が正当である場合、識別情報Iと有効期間Tとフラグ“0”とを対応付け、記憶部43に格納する。識別情報Iの無効化は、第1実施形態例と同様に、ユーザ端末からの無効化通知に従って行われる。
【0055】
また、第1実施形態例においては、アクセス権の有効/無効の判断を、有効期間Tに基づいても行った。しかし、有効期間Tの指定は必ずしも必須ではない。有効期間Tが指定されていない場合には、有効期間に基づくアクセス権の判断を行わなければよい。
【0056】
<第3実施形態例>
図3は、本発明の第3実施形態例に係る来訪者判定システムの構成例である。本実施形態例は、本発明のアクセス制御システムを来訪者の判定に適応したシステムである。商品を提供する提供者は、ユーザの電子署名及び販売者の電子署名が記述されたICカードを持ってユーザ宅を訪問する。
【0057】
本実施形態例の来訪者判定システムは、ユーザ端末C、販売者端末R、提供者端末P、ICカード35及び来訪者判定装置Jを有している。ユーザ端末C、販売者端末R及びアクセス制御装置Aの構成は、前記第1実施形態例と同様である。だたし、提供者端末Pは、前記送受信部31及び発行部34を有している。発行部34は、ユーザの電子署名、販売者の電子署名及び提供者の秘密鍵が書き込まれたICカード35を発行する。ICカードは、提供者の秘密鍵を用いてアクセス制御装置Aからの任意の値Yについて電子署名を作成する機能を有している。この機能により、アクセス制御装置Aからの認証要求が処理される。
【0058】
来訪者判定装置Jはユーザ宅に設けられる。来訪者判定装置Jは、カード通信部J1、アクセス制御装置A、表示制御装置J2及びディスプレイJ3を有している。カード通信部J1は、ICカード35に記述されたユーザの電子署名及び販売者の電子署名を読み取り、アクセス制御装置Aに送出する。アクセス制御装置Aは、第1実施形態例と同様にして販売者及び提供者が正当であるか否かを判断する。アクセス制御装置Aは、判断結果を表示制御装置J2に送出する。
【0059】
表示制御装置J2は、前記判断結果をディスプレイJ3に出力する。例えば、販売者及び提供者が正当と判断した場合、「○月○日、販売者△△△にご注文の×××をお届けに上がった提供者□□□です。」などのメッセージを表示する。ただし、前記メッセージを表示可能にするためには、識別情報Iから販売者、商品、申し込み日時などの情報を特定可能にしておく必要がある。
【0060】
ユーザは、前記メッセージにより正当な提供者であることを確認後、ユーザ端末Cにより識別情報Iを無効化する。なお、前記メッセージの表示に応じた所定の操作が行われることにより、アクセス制御装置Aが識別情報Iのフラグを“無効”にして記憶することも可能である。ユーザの所定の操作としては、例えば、ドアを解錠することが考えられる。本実施形態例を用いれば、ユーザは、正当な販売者から依頼された正当な提供者であることが分かるので、安心してドアを開けることができる。また、販売を装った犯罪人が住居に侵入したり、不要な商品の押し売り等を防止することができる。
【0061】
<第4実施形態例>
図4は、本発明の第4実施形態例に係る宅配システムの構成例である。本実施形態例は、本発明のアクセス制御システムを宅配ボックスに適応したシステムである。商品を提供する提供者は、ユーザの電子署名及び販売者の電子署名が記述されたICカードを持ってユーザ宅の宅配ボックスにアクセスする。
【0062】
本実施形態例の宅配システムは、ユーザ端末C、販売者端末R、提供者端末P、ICカード35及び配達ボックス装置Bを有している。ユーザ端末C、販売者端末R、提供者端末P及びICカード35は、前記第2実施形態例と同様の構成を有している。
【0063】
配達ボックスBは、カード通信部B1、アクセス制御装置A、開閉制御装置B2及びボックス扉B3を有している。カード通信部B1は、ICカード35に記述されたユーザの電子署名及び販売者の電子署名を読み取り、アクセス制御装置Aに送出する。アクセス制御装置Aは、第1実施形態例と同様にして販売者及び提供者が正当であるか否かを判断する。アクセス制御装置Aは、判断結果を開閉制御装置B2に送出する。開閉制御装置B2は、判断結果に基づいてボックス扉B3の開閉を行う。
【0064】
商品を取得したユーザは、例えばユーザ端末Cを用いて商品が配達されたことをアクセス制御装置Aに通知する。通知には、識別情報Iが含まれる。この通知を受けたアクセス制御装置Aは、識別情報Iに対応するフラグを“無効”化する。これにより、たとえ識別情報Iの有効期間中に同じICカードで提供者が宅配ボックスに再度アクセスを試みても、宅配ボックスは開かれない。また、アクセス制御装置Aは、一度扉を開けることを許可した識別情報Iについて、フラグを“無効”にして記憶部43に蓄積しても良い。本システムを用いれば、ユーザが不在であっても、正当な配達業者のみが配達ボックスを開けて商品を配達することができる。
【0065】
<第5実施形態例>
図5は、本発明の第5実施形態例に係るアクセス制御システムの全体構成図である。本実施形態例のアクセス制御システムは、ユーザ端末C、販売者端末R、提供者端末P及びアクセス制御装置Aを有している。ただし、ユーザ端末Cは、スケジュールDBと処理部とアクセス制御装置Aとを有している。販売者端末R及び提供者端末Pは、第1実施形態例と同様の構成を有している。本実施形態例のアクセス制御システムは、例えば、ユーザ端末C上でユーザ自身のスケジュールが公開されている場合に用いられる。
【0066】
ユーザ端末Cは、前記第1実施形態例と同様に申込部11及び生成部12を有している。ただし、署名部13及び指定部14に代えて、登録部15を有している。登録部15は、識別情報I、有効期間T及び販売者の公開鍵Krをアクセス制御装置Aに送出する。本実施形態例においては、ユーザ端末Cは、ユーザの電子署名Xc(I,T,Kr)を販売者端末Rに送信しない。
【0067】
アクセス制御装置Aは、受付部41、検証部42、記憶部43を有し、前記無効化部44に代えて登録受付部45を有している。受付部41、検証部42及び記憶部43は、第1実施形態例と同様の機能を有する。登録受付部45は、ユーザ端末Cから送信される識別情報I、有効期間T及び公開鍵Krを、対応付けて記憶部43に格納する。
【0068】
販売者の電子署名に基づいて提供者がユーザスケジュールへのアクセスを要求すると、検証部42が販売者の電子署名を検証する。本実施形態例においては、検証部42は、記憶部43に格納された販売者の公開鍵Krを検証に用いる。具体的には、販売者がユーザから商品の申し込みを受けた販売者であるか否かを、識別情報Iと対応付けて記憶した公開鍵Krで検証する。検証部42は、販売者及び提供者が正当と判断すると、判断結果を処理部に通知する。処理部は、ユーザスケジュールをスケジュールDBから読み出し、提供者端末Pに送出する。また、検証部42は、スケジュールへのアクセスを許可した識別情報Iのエントリを記憶部43から削除する。これにより、同じアクセス情報に基づいて、ユーザスケジュールへ重複アクセスを防止できる。
【0069】
【発明の効果】
本発明を用いれば、通信を介してユーザからの商品やサービスの注文を受け付ける販売者と、商品やサービスをユーザに提供する提供者とが異なる場合であっても、正当な販売者から依頼を受けた提供者のみが、必要なユーザ資源のみにアクセスできるように制御することを可能とする。
【図面の簡単な説明】
【図1】第1実施形態例に係るアクセス制御システムの全体構成図。
【図2】アクセス制御処理の流れを示す説明図。
【図3】第3実施形態例に係るアクセス制御システム(来訪者判定システム)の全体構成図。
【図4】第4実施形態例に係るアクセス制御システム(宅配システム)の全体構成図。
【図5】第5実施形態例に係るアクセス制御システムの全体構成図。
【符号の説明】
11,21,31,41;申込部
12;生成部
13,22;署名部
23,33;送受信部
42;検証部
43;記憶部
44;無効化部

Claims (5)

  1. 通信を介して商品またはサービス(以下、単に商品という)を販売する販売者の販売者端末からの依頼を受け、前記商品をユーザに提供する提供者の提供者端末がユーザ資源にアクセスする場合に用いられ、
    前記ユーザが操作するユーザ端末は、前記ユーザの公開鍵系秘密鍵(Xc)を第1の記憶手段に記憶しており、前記ユーザから前記販売者への前記商品の申し込みに応じ、前記申し込みを識別する申込識別情報(I)と、前記販売者の公開鍵系公開鍵(Kr)と、前記記憶しているユーザの公開鍵系秘密鍵(Xc)と、を用いてユーザの電子署名を演算し、前記ユーザの電子署名を含む申込証情報を前記販売者端末に送信し、
    前記販売者端末は、前記販売者の公開鍵系秘密鍵(Xr)を第2の記憶手段に記憶しており、前記申込証情報を前記ユーザ端末から受信し、前記申込識別情報(I)と前記提供者の公開鍵系公開鍵(Kp)と前記記憶している販売者の公開鍵系秘密鍵(Xr)とを用いて販売者の電子署名(Xr(I,Kp))を演算し、前記申込証情報に含まれる前記ユーザの電子署名に加え、前記販売者の電子署名をさらに含む資格証情報を前記提供者端末に送信し、
    アクセス制御装置は、前記資格証情報を前記提供者端末から受信し、前記資格証情報に基づいて前記販売者及び前記提供者が正当か否かの判断を行い、前記判断結果に基づいて前記アクセス要求を許可するか否かを決定し、
    前記アクセス要求を許可するか否かの判断は、
    前記ユーザの公開鍵系公開鍵Kcを第3の記憶手段に記憶しておき、
    前記申込識別情報(I)及び前記販売者の公開鍵系公開鍵(Kr)に基づいて第1メッセージダイジェストを演算し、前記第3の記憶手段に記憶されているユーザの公開鍵Kcを用いて前記ユーザの電子署名Xcを復号化して第2メッセージダイジェストを得、前記第1メッセージダイジェストおよび第2メッセージダイジェストを比較することにより前記販売者が正当か否かを判断し、
    前記申込識別情報(I)及び前記提供者の公開鍵系公開鍵(Kp)に基づいて第3メッセージダイジェストを演算し、販売者の公開鍵Krを用いて前記販売者の電子署名Xrを復号化して第4メッセージダイジェストを得、前記第3メッセージダイジェストおよび第4メッセージダイジェストを比較することにより前記提供者が正当か否かを判断する、
    アクセス制御方法。
  2. 前記ユーザの公開鍵系秘密鍵(Xc)を第1の記憶手段に記憶しており、商品及び前記商品の販売者を指定する情報を含む申込識別情報(I)と、前記販売者の公開鍵系公開鍵(Kr)と、前記記憶しているユーザの公開鍵系秘密鍵(Xc)と、を用いてユーザの電子署名を演算し、前記ユーザの電子署名を含む申込証情報を送信する第1コンピュータ端末と、
    前記販売者の公開鍵系秘密鍵(Xr)を第2の記憶手段に記憶しており、前記申込証情報を前記第1コンピュータ端末から受信し、前記申込識別情報(I)と前記提供者の公開鍵系公開鍵(Kp)と前記記憶している販売者の公開鍵系秘密鍵(Xr)とを用いて販売者の電子署名(Xr(I,Kp))を演算し、前記申込証情報に含まれる前記ユーザの電子署名に加え、前記販売者の電子署名をさらに含む資格証情報を送信する第2コンピュータ端末と、
    前記資格証情報を前記第2コンピュータ端末から受信し、前記資格証情報に基づくユーザ資源へのアクセス要求を出力する第3コンピュータ端末と、
    前記アクセス要求を前記第3コンピュータ端末から取得し、前記資格証情報に基づいて前記販売者及び前記提供者が正当か否かの判断を行い、前記判断結果に基づいて前記アクセス要求を許可するか否かを決定するアクセス制御手段と、を備え、
    前記アクセス制御手段は、
    前記ユーザの公開鍵系公開鍵Kcを第3の記憶手段に記憶しておき、
    前記申込識別情報(I)及び前記販売者の公開鍵系公開鍵(Kr)に基づいて第1メッセージダイジェストを演算し、前記第3の記憶手段に記憶されているユーザの公開鍵Kcを用いて前記ユーザの電子署名Xcを復号化して第2メッセージダイジェストを得、前記第1メッセージダイジェストおよび第2メッセージダイジェストを比較することにより前記販売者が正当か否かを判断し、
    前記申込識別情報(I)及び前記提供者の公開鍵系公開鍵(Kp)に基づいて第3メッセージダイジェストを演算し、販売者の公開鍵Krを用いて前記販売者の電子署名Xrを復号化して第4メッセージダイジェストを得、前記第3メッセージダイジェストおよび第4メッセージダイジェストを比較することにより前記提供者が正当か否かを判断し、
    アクセス制御システム。
  3. 前記アクセス制御手段は、
    前記申込識別情報(I)を記憶手段に記憶し、
    商品の申し込みが取り消されたことを示す取消通知または商品の提供が完了したことを示す完了通知を前記第1コンピュータ端末または外部から受信し、前記取消通知または完了通知を受信した場合あるいは前記販売者及び提供者が正当であると判断した場合に前記記憶手段に記憶されている前記申込識別情報(I)を無効化し、前記無効化された申込識別情報(I)を含む資格証情報に基づくアクセス要求を受信した場合、そのアクセス要求を拒否する、請求項2に記載のアクセス制御システム。
  4. 前記第1コンピュータ端末は、前記申込識別情報(I)の有効期間の指定を受け付け、前記有効期間をさらに含む前記申込証情報を送信し、
    前記アクセス制御手段は、
    前記申込識別情報(I)を記憶手段に記憶し、
    前記有効期間を経過した申込識別情報(I)を含む資格証情報に基づくアクセス要求を受信した場合、そのアクセス要求を拒否する、請求項2に記載のアクセス制御システム。
  5. 前記第3コンピュータ端末は、前記販売者の電子署名(Xr(I,Kp))に加え、所定の認証局から発行される前記提供者の公開鍵(Kp)についての電子署名をさらに送信し、
    前記アクセス制御手段は、前記提供者の公開鍵(Kp)についての前記認証局の電子署名に基づいて前記提供者の公開鍵(Kp)の正当性をさらに検証し、検証結果に従って前記提供者の認証を行う、請求項2に記載のアクセス制御システム。
JP15462399A 1999-06-02 1999-06-02 アクセス制御方法及び装置 Expired - Fee Related JP4295391B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP15462399A JP4295391B2 (ja) 1999-06-02 1999-06-02 アクセス制御方法及び装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP15462399A JP4295391B2 (ja) 1999-06-02 1999-06-02 アクセス制御方法及び装置

Publications (2)

Publication Number Publication Date
JP2000348092A JP2000348092A (ja) 2000-12-15
JP4295391B2 true JP4295391B2 (ja) 2009-07-15

Family

ID=15588240

Family Applications (1)

Application Number Title Priority Date Filing Date
JP15462399A Expired - Fee Related JP4295391B2 (ja) 1999-06-02 1999-06-02 アクセス制御方法及び装置

Country Status (1)

Country Link
JP (1) JP4295391B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002259520A (ja) * 2001-03-02 2002-09-13 Dainippon Printing Co Ltd 集荷配送システムと、鍵情報発行装置、鍵情報受信装置及び荷物保管装置、発行者用情報記録媒体及び顧客用情報記録媒体
JP5417911B2 (ja) * 2009-03-13 2014-02-19 富士ゼロックス株式会社 プログラム、署名検証装置、署名情報生成装置及び署名検証システム

Also Published As

Publication number Publication date
JP2000348092A (ja) 2000-12-15

Similar Documents

Publication Publication Date Title
KR101661930B1 (ko) 블록체인을 기반으로 하는 공인인증서 발급시스템
US6430688B1 (en) Architecture for web-based on-line-off-line digital certificate authority
CN102959559B (zh) 用于产生证书的方法
US7454780B2 (en) Service providing system and method
JP4503794B2 (ja) コンテンツ提供方法及び装置
US20010020228A1 (en) Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources
US20040078573A1 (en) Remote access system, remote access method, and remote access program
JP4818664B2 (ja) 機器情報送信方法、機器情報送信装置、機器情報送信プログラム
US20120233705A1 (en) System and methods for identity attribute validation
US20050228687A1 (en) Personal information management system, mediation system and terminal device
US11348093B2 (en) System and method for merchant and personal transactions using mobile identification credential
KR20050057081A (ko) 트랜잭션들의 보안 로깅
KR20040101085A (ko) 개인 인증 장치와 시스템 및 그 방법
CN101938471A (zh) 安全的电子信息请求传递***
JP2007527059A (ja) ユーザ、およびコンピュータシステムから受信された通信の認証のための方法および装置
JP2002297548A (ja) 端末登録システムとそれを構成する装置及び方法
JPH118619A (ja) 電子証明書発行方法及びシステム
US8880433B2 (en) Dynamic authentication of mark use
US20230412400A1 (en) Method for suspending protection of an object achieved by a protection device
JP3896909B2 (ja) 電子チケットを用いたアクセス権管理装置
JP2005149341A (ja) 認証方法および装置、サービス提供方法および装置、情報入力装置、管理装置、認証保証装置、並びにプログラム
JP2000269957A (ja) 電子投票方法及びそのプログラム記録媒体
JP4295391B2 (ja) アクセス制御方法及び装置
JP2000331088A (ja) 認定マーク管理システムおよび認定マーク管理方法
JP2004297333A (ja) デジタル証明書の認定システム、デジタル証明書の認定サーバ、pkiトークン、デジタル証明書の認定方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060206

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080924

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20080929

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080930

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081125

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090113

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090316

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090323

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090407

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090410

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120417

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120417

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130417

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140417

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees