知財求人 - 知財ポータルサイト「IP Force」
▶ 帝都 久利寿の特許一覧 ▶ コネクトフリー株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-02-04
(45)【発行日】2025-02-13
(54)【発明の名称】情報通信方法及び情報通信システム
(51)【国際特許分類】
H04L 61/00 20220101AFI20250205BHJP
G06F 21/33 20130101ALI20250205BHJP
【FI】
H04L61/00
G06F21/33
【請求項の数】
18
(21)【出願番号】P 2018232482
(22)【出願日】2018-12-12
(65)【公開番号】P2020096275
(43)【公開日】2020-06-18
【審査請求日】2021-12-03
【審判番号】
【審判請求日】2023-07-04
(73)【特許権者】
【識別番号】521314127
【氏名又は名称】帝都 久利寿
(73)【特許権者】
【識別番号】514318600
【氏名又は名称】コネクトフリー株式会社
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】帝都 久利寿
(72)【発明者】
【氏名】岡本 光弘
【合議体】
【審判長】山澤 宏
【審判官】篠塚 隆
【審判官】村松 貴士
(56)【参考文献】
【文献】米国特許出願公開第2009/0089357(US,A1)
【文献】特開2002-207929(JP,A)
【文献】国際公開第2005/011192(WO,A1)
【文献】特開2018-061227(JP,A)
【文献】特開2018-104085(JP,A)
【文献】特開2011-166375(JP,A)
【文献】特表2014-535216(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00-13/18
H04L41/00-49/9057
H04L51/00-51/58
H04L61/00-65/80
H04L67/00-67/75
H04L69/00-69/40
G06F21/00
G06F21/30-21/46
(57)【特許請求の範囲】
【請求項1】
ユーザに関連付けられた第1のデバイスに向けられた第1のネットワークアドレスを生成するステップと、第2のデバイスに向けられた第2のネットワークアドレスを生成するステップと、
前記第1及び第2のネットワークアドレスに対して、認証局で認証を行った後に、前記第1のネットワークアドレス及び前記第2のネットワークアドレスをそれぞれ前記第1のデバイス及び前記第2のデバイスに設定するステップと、
前記第1のネットワークアドレスと前記ユーザの個人情報を含むユーザ情報とを関連付けるステップと、
前記第1のデバイスと第2のデバイスとが通信するステップと、
前記第2のデバイスが前記第1のネットワークアドレスに関連付けられた前記ユーザ情報を参照するステップとを含む、情報通信方法。
【請求項2】
前記参照するステップの後に、前記第2のデバイスは前記ユーザ情報に基づいて、前記第1のデバイスを所有するユーザの前記ユーザ情報を取得することなくサービスを提供する、請求項1に記載の情報通信方法。
【請求項3】
前記ユーザ情報の関連付けは前記ユーザによる承認によって行われる、請求項1または2に記載の情報通信方法。
【請求項4】
前記ユーザ情報の関連付けは前記第2のデバイスの要求によって行われる、請求項1から3のうちいずれか一項に記載の情報通信方法。
【請求項5】
前記第1のデバイスはポータブル端末であって、該ポータブル端末は回線契約時のユーザ情報を前記第1のネットワークアドレスと関連付ける、請求項1から4のうちいずれか一項に記載の情報通信方法。
【請求項6】
第1のネットワークアドレスをユーザに関連付けられた第1のデバイスに予め固有に設定するステップを備え、前記第1のネットワークアドレスは、暗号学的に決定されたものであり、前記第1のネットワークアドレスと前記ユーザの個人情報を含むユーザ情報とを関連付けるステップと、
前記第1のデバイスと第2のデバイスとが通信するステップと、
前記第2のデバイスが前記第1のネットワークアドレスに関連付けられた前記ユーザ情報を参照するステップと、
前記第2のデバイスが前記ユーザ情報に基づき、前記ユーザがサービス利用アカウントを有しているかどうかを判定するステップとを含む、情報通信方法。
【請求項7】
前記第1のデバイスに前記第1のネットワークアドレスを生成するステップと、前記第2のデバイスに第2のネットワークアドレスを生成するステップと、
前記第1及び第2のネットワークアドレスに対して、認証局で認証を行った後に、前記第1のネットワークアドレス及び前記第2のネットワークアドレスをそれぞれ前記第1のデバイス及び前記第2のデバイスに設定するステップとをさらに含む、請求項6に記載の情報通信方法。
【請求項8】
前記判定するステップにて前記ユーザが前記サービス利用アカウントを有していないと判定された場合、前記第2のデバイスは前記第1のデバイスに前記サービス利用アカウントを生成することを求めることを特徴とする、請求項6又は7に記載の情報通信方法。
【請求項9】
前記第1のデバイスにて前記サービス利用アカウントを生成することが認められた場合、前記第2のデバイスは前記サービス利用アカウントの情報を保存する、請求項8に記載の情報通信方法。
【請求項10】
前記判定するステップにて前記ユーザが前記サービス利用アカウントを有していると判定された場合、前記第2のデバイスは前記第1のデバイスに対してサービスの利用を許可する、請求項6又は7に記載の情報通信方法。
【請求項11】
前記第1のデバイスはポータブル端末であって、該ポータブル端末は回線契約時のユーザ情報を前記第1のネットワークアドレスと関連付ける、請求項6から10のうちいずれか一項に記載の情報通信方法。
【請求項12】
請求項1から11のうちいずれか一項に記載の情報通信方法をコンピュータに実行させるためのプログラム。
【請求項13】
情報通信システムであって、
第1のネットワークアドレスを有する端末装置と、
第2のネットワークアドレスを有するサーバと、
第3のネットワークアドレスを有するデータベースとを備え、
前記第1、第2及び第3の認証済みネットワークアドレスの各々は、暗号学的に決定されたものであり、
前記データベースは、前記端末装置の前記第1のネットワークアドレスに関連付けて、前記端末装置のユーザのユーザ情報を有しており、前記ユーザ情報は前記ユーザの個人情報を含み、
前記サーバは、前記データベースに、前記端末装置の前記第1のネットワークアドレスに基づく問い合わせを行い、
前記サーバは、前記データベースからの前記第1のネットワークアドレスに関連付けられた前記ユーザ情報を参照する、情報通信システム。
【請求項14】
前記第1、第2及び第3の認証済みネットワークアドレスは、認証局によって認証を得た後に前記端末装置、前記サーバ、および前記データベースにそれぞれ設定される、請求項13に記載の情報通信システム。
【請求項15】
前記ユーザ情報は、クレジットカード情報を含む、請求項13または14に記載の情報通信システム。
【請求項16】
ユーザに関連付けられた第1のデバイスと、第2のデバイスと、
前記第1のデバイスに予め固有に設定された第1のネットワークアドレスとを含み、前記第1のネットワークアドレスは、暗号学的に決定されたものであり、
前記第1のネットワークアドレスは前記第1のデバイスにおいて前記ユーザの個人情報を含むユーザ情報と関連付けられており、
前記第2のデバイスは前記第1のデバイスとの通信時に前記第1のネットワークアドレスに関連付けられた前記ユーザ情報を参照する、情報通信システム。
【請求項17】
所定のサイトを提供するサーバによって実行される方法であって、ユーザに関連付けられた端末装置から前記端末装置に予め設定された固有のネットワークアドレスと、前記固有のネットワークアドレスに関連付けられると共に、前記ユーザの個人情報及び属性情報を含む電子証明書とを受信するステップと、
前記電子証明書に含まれる前記ユーザの属性情報に基づいて、前記所定のサイトに対する前記ユーザのログインを許可するステップとを含む、方法。
【請求項18】
前記ログインを許可するステップは、前記ユーザの属性情報が前記所定のサイトのログインに必要なユーザログイン情報を含んでいるかどうかを判定するステップと、
前記ユーザの属性情報が前記ユーザログイン情報を含んでいる場合に、前記所定のサイトに対する前記ユーザのログインを許可するステップとを含む、請求項17に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、情報通信方法及び情報通信システムに関する。
【背景技術】
【0002】
近年の情報通信技術の発展は目覚ましく、インターネットなどのネットワークに接続されるデバイスは、従来のパーソナルコンピュータやスマートフォンといったユーザが利用する情報処理装置に限らず、例えばサーバや工業用計測器のような様々なモノ(things)に広がっている。このような技術トレンドは、「IoT(Internet of Things;モノのインターネット)」と称され、様々な技術およびサービスが提案および実用化されつつある(特許文献1を参照)。
【0003】
例えば、特許文献1では、プロバイダから測定器に対してIPアドレスが割り当てられており、各測定器からクラウドサーバへ通信を行うためにはIoT中継機器によってプロトコル変換を行う必要がある。さらに、従来の方式では、ローカルエリアネットワーク(LAN)と他のローカルエリアネットワーク(LAN)との間の通信を行う場合、一般に、通信相手を決定するためにグローバルIPアドレスを固定し、セキュリティを保つためにIPパケットを暗号化して通信を行う。
【0004】
また通常、ネットワーク上では、各デバイスに静的または動的に割り当てられたネットワークアドレスを用いて、デバイス間のデータ通信が実現される。このようなネットワークアドレスとしては、典型的には、IP(Internet Protocol)アドレスが用いられる。
【0005】
一般的に、IPアドレスは、グローバルアドレスのように、インターネット上で一意に定められるものと、プライベートアドレスのように、プライベートネットワーク上において重複なく割り当てられるものとがある。また、DHCP(Dynamic Host Configuration Protocol)などを用いて、IPアドレスを動的に割り当てるような仕組みも存在する。
【0006】
このように、IPアドレスの設定は、データ通信のために、同一ネットワーク上において重複なく割り当てられることのみが考慮される。つまり、IPアドレスは、対象のネットワークに応じて、任意に設定されるネットワークアドレスである。
【先行技術文献】
【特許文献】
【0007】
【文献】特開2018-142247号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
従来のネットワークアドレスは、通信先を特定するための識別情報としてプロバイダから割り当てられるものである。しかしながら、そのアドレス自体には何の信頼性も付与されていない。そのため、IPアドレスを用いてデバイス間でデータ通信する際の認証処理は、より上位の層(例えば、アプリケーション層など)で実現される。
【0009】
例えば、SNSサービス運営会社、インターネットショッピングの提供会社、又は会員制サイト運営会社(以下、サービス提供会社ということがある)はサービスを提供するにあたってユーザの情報を取得して利用する必要がある。ユーザの情報とは、氏名、生年月日、性別、住所、電話番号、各種口座情報などである。サービス提供会社はユーザ情報に基づいてサービス利用アカウントを生成しユーザに対して割り当てる。サービス提供会社は社内のサーバ又は外部のサーバにてユーザ情報としてのサービス利用アカウントを管理する。
【0010】
しかしながら、昨今のセキュリティ事情を鑑みるとサービス提供会社にとってはユーザ情報を管理すること自体がサービス運営上のリスクとなりうる。サービス提供会社において、サーバからユーザ情報を漏洩させないようにするためには、例えばアプリケーション層にて高額なセキュリティ対策を実施する必要がある。ただし、現在のインターネットの仕組みではアプリケーション層でのセキュリティ強化だけでは不十分である場合がある。また、ユーザ側の努力では十分でない場合もある。
【0011】
本開示は、セキュアにユーザ情報を利用することができる情報通信方法及び情報通信システムを提供することを目的とする。
【課題を解決するための手段】
【0012】
本開示の一態様にかかる情報通信方法は、認証局で認証された第1のネットワークアドレスをユーザに関連付けられた端末装置に予め固有に設けるステップと、
前記認証局で認証された第2のネットワークアドレスをサーバに予め固有に設けるステップと、
前記第1のネットワークアドレスと前記ユーザのユーザ情報とを関連付けるステップと、
前記端末装置と前記サーバとを通信接続するステップと、
前記サーバが前記ユーザ情報を参照するステップと、を含む。
前記認証局で認証された第2のネットワークアドレスをサーバに予め固有に設けるステップと、
前記第1のネットワークアドレスと前記ユーザのユーザ情報とを関連付けるステップと、
前記端末装置と前記サーバとを通信接続するステップと、
前記サーバが前記ユーザ情報を参照するステップと、を含む。
【0013】
上記情報通信方法によれば、サービス提供会社にてユーザ情報の管理を行う必要がない。
【0014】
また、前記情報通信方法は、前記端末装置に前記第1のネットワークアドレスを生成するステップと、
前記サーバに前記第2のネットワークアドレスを生成するステップと、
前記第1及び第2のネットワークアドレスに対して、前記認証局で認証を行った後に、前記第1のネットワークアドレス及び前記第2のネットワークアドレスをそれぞれ前記端末装置及び前記サーバに設定するステップと、をさらに含んでもよい。
前記サーバに前記第2のネットワークアドレスを生成するステップと、
前記第1及び第2のネットワークアドレスに対して、前記認証局で認証を行った後に、前記第1のネットワークアドレス及び前記第2のネットワークアドレスをそれぞれ前記端末装置及び前記サーバに設定するステップと、をさらに含んでもよい。
【0015】
上記情報通信方法によれば、デバイスにネットワークアドレスが設定される前に認証が行われている。この認証情報に基づいて通信可否の判断が可能であるため、なりすましを好適に防止しうる。
【0016】
また、前記情報通信方法において、前記参照の後に、前記サーバは前記ユーザ情報に基づいて、前記端末装置を所有するユーザの前記ユーザ情報を取得することなくサービスを提供してもよい。
【0017】
上記情報通信方法によれば、ユーザに対してユーザ情報の入力をさせなくてもよいので、ユーザがサービスに対してストレスを感じなくて済む。
【0018】
また、前記情報通信方法において、前記ユーザ情報の関連付けは前記ユーザによる承認によって行われてもよい。
【0019】
上記情報通信方法によれば、ユーザはユーザ情報の関連付け処理が行われることを把握できる。
【0020】
また、前記情報通信方法において、前記ユーザ情報の関連付けは前記サーバの要求によって行われてもよい。
【0021】
上記情報通信方法によれば、必要に応じてユーザ情報の関連付けが行われるので、予めユーザが関連付け操作をしておくという手間を省くことができる。
【0022】
また、前記情報通信方法において、前記端末装置はポータブル端末であって、該ポータブル端末は回線契約時のユーザ情報を前記第1のネットワークアドレスと関連付けられてもよい。
【0023】
上記情報通信方法によれば、ポータブル端末の回線契約時のデータがそのままユーザ情報として利用できる。
【0024】
本開示の一態様にかかる情報通信方法は、認証局で認証された第1のネットワークアドレスをユーザに関連付けられた端末装置に予め固有に設けるステップと、
前記認証局で認証された第2のネットワークアドレスをサーバに予め固有に設けるステップと、
前記第1のネットワークアドレスと前記ユーザのユーザ情報とを関連付けるステップと、
前記端末装置と前記サーバとを通信接続するステップと、
前記サーバが前記ユーザ情報を参照するステップと、
前記サーバが前記ユーザ情報に基づき、前記ユーザがサービス利用アカウントを有しているかどうかを判定するステップと、を含む。
前記認証局で認証された第2のネットワークアドレスをサーバに予め固有に設けるステップと、
前記第1のネットワークアドレスと前記ユーザのユーザ情報とを関連付けるステップと、
前記端末装置と前記サーバとを通信接続するステップと、
前記サーバが前記ユーザ情報を参照するステップと、
前記サーバが前記ユーザ情報に基づき、前記ユーザがサービス利用アカウントを有しているかどうかを判定するステップと、を含む。
【0025】
上記情報通信方法によれば、サービス提供会社が行うサービスの販促を効率的に行うことができる。
【0026】
また、前記情報通信方法は、前記端末装置に前記第1のネットワークアドレスを生成するステップと、
前記サーバに前記第2のネットワークアドレスを生成するステップと、
前記第1及び第2のネットワークアドレスに対して、前記認証局で認証を行った後に、前記第1のネットワークアドレス及び前記第2のネットワークアドレスをそれぞれ前記端末装置及び前記サーバに設定するステップと、をさらに含んでもよい。
前記サーバに前記第2のネットワークアドレスを生成するステップと、
前記第1及び第2のネットワークアドレスに対して、前記認証局で認証を行った後に、前記第1のネットワークアドレス及び前記第2のネットワークアドレスをそれぞれ前記端末装置及び前記サーバに設定するステップと、をさらに含んでもよい。
【0027】
上記情報通信方法によれば、デバイスにネットワークアドレスが設定される前に認証が行われている。この認証情報に基づいて通信可否の判断が可能であるため、なりすましを好適に防止しうる。
【0028】
また、前記情報通信方法において、前記判定ステップにて前記ユーザが前記サービス利用アカウントを有していないと判定された場合、前記サーバは前記端末装置に前記サービス利用アカウントを生成することを求めてもよい。
【0029】
上記情報通信方法によれば、サービス提供会社はユーザがゲストなのかサービス利用アカウントを有しているのを判断できるから、ゲストユーザだけにサービス利用の提案を行うことができる。
【0030】
また、前記情報通信方法において、前記端末装置にて前記サービス利用アカウントを生成することが認められた場合、前記サーバは前記サービス利用アカウント情報を保存してもよい。
【0031】
上記情報通信方法によれば、サービス利用アカウントがあるかないかだけを保持すればよく、その他の機密情報を保持する必要がない。
【0032】
また、前期情報通信方法において、前記判定ステップにて前記ユーザが前記サービス利用アカウントを有していると判定された場合、前記サーバは前記端末装置に対してサービスの利用を許可してもよい。
【0033】
上記情報通信方法によれば、既にサービスを利用しているユーザに対してストレスを与えずに済む。
【0034】
また、前期情報通信方法において、前記端末装置はポータブル端末であって、該ポータブル端末は回線契約時のユーザ情報を前記第1のネットワークアドレスと関連付けてもよい。
【0035】
上記情報通信方法によれば、ポータブル端末の回線契約時のデータがそのままユーザ情報として利用できる。
【0036】
本開示の一態様にかかる情報通信方法は、認証局で認証された第1のネットワークアドレスと、
前記認証局で認証された第2のネットワークアドレスと、
前記認証局で認証された第3のネットワークアドレスと、を有する情報通信方法であって、
前記第3のネットワークアドレスによって前記第1のネットワークアドレスを認証するステップと、
前記第2のネットワークアドレスと前記第3のネットワークアドレスとを関連付けて認証するステップと、を有し、
前記第2のネットワークアドレスによって前記前記第3のネットワークアドレスに認証された前記第1のネットワークアドレスを認証するステップと、を含む。
前記認証局で認証された第2のネットワークアドレスと、
前記認証局で認証された第3のネットワークアドレスと、を有する情報通信方法であって、
前記第3のネットワークアドレスによって前記第1のネットワークアドレスを認証するステップと、
前記第2のネットワークアドレスと前記第3のネットワークアドレスとを関連付けて認証するステップと、を有し、
前記第2のネットワークアドレスによって前記前記第3のネットワークアドレスに認証された前記第1のネットワークアドレスを認証するステップと、を含む。
【0037】
上記情報通信方法によれば、データ発行体がユーザに対して認証を与えるため、サービス提供会社はデータ発行体のデータベースにアクセスして認証確認をする必要がない。
【0038】
また、前記情報通信方法において、前記第1、第2及び第3のネットワークアドレスは、認証局によって認証を得た後にデバイスに設定されてもよい。
【0039】
上記情報通信方法によれば、デバイスにネットワークアドレスが設定される前に認証が行われている。この認証情報に基づいて通信可否の判断が可能であるため、なりすましを好適に防止しうる。
【0040】
また、前記情報通信方法において、前記第1のネットワークアドレスは端末装置に設定され、前記第2のネットワークアドレスは第1のサーバに設定され、前記第3のネットワークアドレスは第2のサーバに設定されてもよい。
【0041】
上記情報通信方法によれば、ユーザは所定の端末装置における所定のサービス利用時にデータ発行体の情報を意識せずに利用することができる。また、サービス提供会社等においては、データの真正を確認する手間を省略できる。
【0042】
本開示の一態様にかかる情報通信システムは、端末装置と、
サーバと、
認証サーバと、
前記認証サーバから認証を得ることで前記端末装置に予め固有に設けられた第1のネットワークアドレスと、
前記認証サーバから認証を得ることで前記サーバに予め固有に設けられた第2のネットワークアドレスと、を有し、
前記第1のネットワークアドレスは前記端末装置においてユーザ情報と関連付けられており、
前記サーバは前記端末装置との通信時に前記ユーザ情報を参照する、ことを含む。
サーバと、
認証サーバと、
前記認証サーバから認証を得ることで前記端末装置に予め固有に設けられた第1のネットワークアドレスと、
前記認証サーバから認証を得ることで前記サーバに予め固有に設けられた第2のネットワークアドレスと、を有し、
前記第1のネットワークアドレスは前記端末装置においてユーザ情報と関連付けられており、
前記サーバは前記端末装置との通信時に前記ユーザ情報を参照する、ことを含む。
【0043】
上記情報通信システムによれば、サービス提供会社にてユーザ情報の管理を行う必要がない。
【発明の効果】
【0044】
本開示によれば、セキュアにユーザ情報を利用することができる情報通信方法及び情報通信システムを提供することができる。
【図面の簡単な説明】
【0045】
【図1】ネットワークアドレス生成の一例を示すフローチャートである。
【図2】端末装置と他の装置との通信接続の一例を示す模式図である。
【図3】端末装置のハードウェア構成とサーバのハードウェア構成の一例を示す模式図である。
【図4】端末装置とサーバとの通信接続の一例を示す模式図である。
【図5】電子証明書と電子証明書に付随する認証情報の構成の一例を示す模式図である。
【図6】端末装置とサーバ間での認証処理手順の一例を示すフローチャートである。
【図7】端末装置でインターネットサービスを利用する場合に端末装置に表示される画面の一例を示す図である。
【図8】端末装置でインターネットサービスを利用する場合に端末装置に表示される画面の一例を示す図である。
【図9】端末装置とサーバ間での別の認証処理手順の一例を示すフローチャートである。
【図10】端末装置、サーバ、及びデータベース間の認証を示す模式図である。
【発明を実施するための形態】
【0046】
以下、本実施形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰返さない。また、複数の実施形態が存在する場合、共通する符号は援用して用いるものとしてその説明は繰り返さない。
【0047】
まず、図1においてネットワークアドレスの生成方法の一例を説明する。(S1)まず、デバイスが有する静的な秘密鍵に対して所定の暗号学的アルゴリズム関数をかけることで公開鍵を生成する。(S2)その文字列の先頭または任意の部分が128ビットのIPv6空間であってユニークローカルアドレスの文字列となるまで計算を繰り返す。なお、ユニークローカルアドレスとはfc又はfdから始まるアドレス空間を意味する。(S3)IPv6のユニークローカルアドレスに対応する文字列が生成された場合、その公開鍵に対して暗号学的ハッシュ関数をかけることで所定の値を生成し、当該所定の値をネットワークアドレスとして設定するとともに、認証局によって公開鍵に対して正式ライセンスを付与する。(S4)上記一連のプロセスによってデバイスの公開鍵と紐付けて発行された認証済みネットワークアドレスが生成される。認証局としては例えば認証サーバが用いられるが、サーバ装置に限定されない。
【0048】
なお、(S1)の公開鍵の生成ステップの前に乱数発生器等による秘密鍵の生成ステップを含んでもよい。乱数発生器はデバイスのシリアルナンバー等に基づき秘密鍵を生成しうる。さらに、上述のステップ(S1)から(S4)の処理はデバイス自身が実行するものであってもよいし、デバイスに対して他の装置が実行するものであってもよい。
【0049】
上述のようにして得られたデバイスに固有のネットワークアドレスはEVER/IP(登録商標)と呼ばれることがある。EVER/IP(登録商標)は従来のようにインターネットサービスプロバイダ(ISP)から割り当てられるネットワークアドレスとは異なり、デバイス自身がISPの役目の一部を果たしている。また、EVER/IP(登録商標)と公開鍵は対応関係にあり、同じ意味として用いられることがある。以下では、特に断りのない場合、EVER/IP(登録商標)のことをEverIPという。
【0050】
図2において、本実施形態における典型的な通信接続を説明する。端末装置10、11、12、映像機器13及びサーバ14は通信インターフェースを有するデバイスである。本実施形態の通信ネットワーク20は、OSI参照モデルにおける物理層またはデータリンク層を考慮すればよい。EverIPを有する2つの装置は物理層上のあらゆる通信経路を介して接続可能である。なお、各デバイスの初回セッション時には互いに暗号学的ハッシュ関数を計算することによって所定のハンドシェイクを完了する。
【0051】
このような物理層上のEverIP間の通信接続網を以下では「EVERネットワーク」という。なお、端末装置10、11、12がそれぞれ近距離の無線通信によって通信が可能であれば、EVERネットワークはメッシュネットワークを構築することもできる。言い換えると、EVERネットワークは既存のネットワーク上に重ねて張り巡らされた第2のインターネットということができる。
【0052】
ネットワークアドレスの典型例としてIPアドレスが採用される場合には、バージョンによって、規定されるビット数が異なっている。現在制定されているIPv4(Internet Protocol Version 4)においては、32ビットのアドレス区間が規定されている。一方、現在制定されているIPv6(Internet Protocol Version 6)においては、128ビットのアドレス区間が規定されている。本実施形態においては、ネットワークアドレスの一例として、IPv6に従うIPアドレスについて言及する。
【0053】
本明細書において、「デバイス」という場合、通信ネットワーク20を介してデータ通信が可能な任意のモノを包含する。典型的には、デバイスは、通信装置単体として構成されることもあるし、何らかのモノの一部として、あるいは、何らかのモノに組み込まれて構成されることもある。
【0054】
図3に示すように、本実施形態に係る端末装置10は、少なくともプロセッサとしてのCPU10Aと、ストレージ10Bおよびメモリ10Cを有している。サーバ14は少なくともプロセッサとしてのCPU14Aと、ストレージ14Bおよびメモリ14Cを有している。また、端末装置10やサーバ14はそれぞれ図示しない通信インターフェース、電源、操作部等を適宜有している。メモリは、コンピュータ可読命令(例えば、情報処理プログラム)を記憶するように構成されている。例えば、メモリは、各種プログラム等が格納されたROM(Read Only Memory)及びプロセッサにより実行される各種プログラム等が格納される複数のワークエリアを有するRAM(Random Access Memory)等から構成されてもよい。また、メモリは、フラッシュメモリ等によって構成されてもよい。尚、プロセッサは、CPUの代わりに、MPU(Micro Processing Unit)及びGPU(Graphics Processing Unit)であってもよい。CPUは、複数のCPUコアによって構成されてもよい。GPUは、複数のGPUコアによって構成されてもよい。プロセッサは、ストレージ10B、14B又はROMに組み込まれた各種プログラムから指定されたプログラムをRAM上に展開し、RAMとの協働で各種処理を実行するように構成されてもよい。特に、プロセッサがメモリに記憶された情報処理プログラムを実行することで、端末装置10は本実施形態に係る情報処理方法を実行するように構成される。
【0055】
端末装置10は、例えば、パーソナルコンピュータ、スマートフォン、タブレット、ユーザの身体(例えば、腕や頭等)に装着されるウェアラブルデバイス(例えば、スマートウォッチやARグラス等)であってもよい。また、端末装置10は、スマート家電、コネクティッド自動車、工場等に設置された制御機器であってもよい。このように、端末装置10の種類は、IPアドレスを用いてインターネット等の通信ネットワークに接続されると共に、プロセッサとメモリを備える全てのモノが対象となる。
【0056】
ストレージ10B、14Bは、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、フラッシュメモリ等の記憶装置であって、プログラムや各種データを格納するように構成されている。ストレージ10B、14Bには、インターネット上のサーバから送信された本実施形態に係る情報処理プログラムが保存されてもよい。
【0057】
本実施形態における通信インターフェースは、通信ネットワーク20を介してサーバ等の外部装置と通信するための各種有線接続端子を含んでもよい。また、通信インターフェースは、無線ルータ若しくは無線基地局と通信するための各種処理回路及びアンテナ等を含んでもよい。無線通信の規格は、例えば、Wi-Fi(登録商標)、Bluetooth(登録商標)、ZigBee(登録商標)、LPWA又は第5世代移動通信システム(5G)である。また、通信ネットワークは、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、無線アクセスネットワーク(RAN)及びインターネットのうちの少なくとも一つを含む。
【0058】
図4は、本実施形態の典型的な端末装置10とサーバ14との通信接続を示す。図4に示すように、端末装置10は公開鍵としてのEverIP23に基づき例えばTCP/IPプロトコルにてパケットをサーバ14に送信する。このとき、端末装置10は第1のネットワークアドレスとしてのEverIP23とともにEverIP23発行時に認証局にて認証された電子証明書25Aを同時にサーバ14に送信する。一方で、サーバ14は第2のネットワークアドレスとしてのEverIP24とともにEverIP24発行時に認証局にて認証された電子証明書26Aを同時に端末装置10に送信する。端末装置10とサーバ14との間には通信ネットワーク20を介してもよい。
【0059】
認証局においては、電子証明書が正式なものであることを証明している。EverIP発行時に紐づけられる電子証明書は基本認証としての属性を有する。言い換えれば、EverIPには必ず基本認証という属性が付与されている。端末装置10とサーバ14との通信が成立する条件として基本認証という属性を必須としている。基本認証がない場合、通信は確立されない。
【0060】
また、本実施形態における端末装置10はユーザ21が有し、ユーザ21が操作可能な携帯端末である。一方、サーバ14は典型には企業22により管理されており、ユーザ21に対して各種インターネットサービスを提供するものである。インターネットサービスとしては、インターネット通販、出前サービス、オンラインバンキング、宿泊予約サイト、オンライン証券サービス、SNSサービスなどがある。
【0061】
また、端末装置10やサーバ14は、複数の組織の認証局からEverIP23に関連付けられた複数の電子証明書を取得してもよい。ここで、図5を用いて端末装置10の電子証明書の例を説明する。前述のとおり端末装置10の電子証明書25Aには基本認証が備わっているが、端末装置10のEverIP23には追加の電子証明書25Bがさらに関連づけられてもよい。また、電子証明書25Aに対してさらなる属性Aを付加することも可能である。すなわち、EverIP23には少なくとも基本認証の属性を備える電子証明書25Aが関連づけられているが、複数の電子証明書を有してもよいし、各電子証明書内に複数の更なる認証属性を有していてもよい。また、2つ目以降の電子証明書にも基本認証を必ず備えることとしてもよい。つまり、属性Bが別の発行体によって認証された基本認証という属性であってもよい。
【0062】
なお、本実施形態において、属性は電子証明書に付与されるものとしたが、ソフトウェア上で管理するものであってもよいし、アプリケーションとして管理するようにしてもよい。
【0063】
複数の電子証明書を有する場合、又は複数の属性を有する場合、それら属性や電子証明書の有無に応じて通信の可否を判定できる。さらに、属性としてユーザ21の情報を含むことができる。ユーザ21の情報とは、氏名、生年月日、性別、住所、電話番号、各種口座情報などである。例えば、ユーザ21が端末装置10の通信契約をする際に提出した情報を属性として電子証明書内に含むこともできるため、実質的にユーザ21が端末装置10に対して自己の情報を入力することを省略しうる。ユーザ21は自らの意思によって特定のユーザ情報を変更してもよい。
【0064】
(実施例1)
本実施形態における実施例1について図6を用いて説明する。ステップS10において、ユーザ21は企業22の提供するサービスを利用するために、端末装置10からサーバ14にアクセスする。企業22はサーバ14を用いて各種インターネットサービスを提供している。まず、サーバ14がEverIP24を有していない場合、通常のIPv4での通信と同じようにサービス提供画面が表示される。もしくは通信は確立しない態様としてもよい。
本実施形態における実施例1について図6を用いて説明する。ステップS10において、ユーザ21は企業22の提供するサービスを利用するために、端末装置10からサーバ14にアクセスする。企業22はサーバ14を用いて各種インターネットサービスを提供している。まず、サーバ14がEverIP24を有していない場合、通常のIPv4での通信と同じようにサービス提供画面が表示される。もしくは通信は確立しない態様としてもよい。
【0065】
また、ステップS20において、サーバ14が基本認証を有しているか否か判定する。ステップS20でYESの場合、ステップS30に進み、サーバ14は端末装置10の電子証明書25Aの属性を読み取る。サーバ14がEverIP24を有していても、電子証明書25Aが基本認証を含まない場合(ステップS20でNOの場合)、EverIP24が正式な発行手続きを経て生成されたものではないと判断し通信を確立しない。もしくは、通常のIPv4での通信接続としてサービス提供画面が表示されるようにしてもよい。ステップS30では、電子証明書25Aに基本認証以外の属性情報(認証情報)が存在するかどうかを判定し、存在する場合にはどんな属性情報が存在しているかを一通り参照し、ステップS40に進む。
【0066】
ステップS40において、サーバ14が端末装置10及びそのEverIP23に関連する電子証明書25Aにサービス利用アカウントの属性情報が含まれているかどうかを判定する。
【0067】
ステップS40にて、サービス利用アカウントの属性があると判断された場合、ステップS50に進む。すなわち、サーバ14はユーザ21の端末装置10に対してログインユーザとしてのサービス利用を許可する。このとき、ユーザ21は「ログインする」という操作を行う必要がない。図7に示すように、ステップS50における更なるユーザ体験としては、例えば、企業22が提供するインターネット通販において端末装置10の回線契約時に提出したユーザ情報が利用されることにより、入力画面なく「購入」ボタンを操作するだけで決済が完了する。代金の支払いは回線利用料金に追加して請求可能である。企業22側のメリットとしては、端末装置10とサーバ14とが接続されているときだけ端末装置10に関連したユーザ情報を参照できるため、ユーザ21の情報をサーバ14に保持する必要がない。つまり、企業22における情報流出の危険性がなく、さらにはユーザ21に各種情報を入力させる手間を省略できるためユーザフレンドリーなサービス環境を提供することができ集客効果を期待できる。
【0068】
ステップS40にて、サービス利用アカウントの属性がないと判断された場合、ステップS60に進む。すなわち、サーバ14はユーザ21の端末装置10に対してゲストとしてのサービス利用を許可する。この場合、図8に示すようにIPv4で接続したときと同様に「ログインする」という操作が必要となる。またはゲストユーザとして所定の情報を入力することによってサービスの利用を完了することができる。企業22の視点でいえば、ユーザ21「ログインする」ことを許可するためにはサーバ14内にユーザ情報を保持しておかなければならない。
【0069】
(実施例2)
本実施形態における実施例1について図9を用いて説明する。ステップS110において、ユーザ21は企業22の提供するサービスを利用するために、端末装置10からサーバ14にアクセスする。企業22はサーバ14を用いて各種インターネットサービスを提供している。まず、サーバ14がEverIP24を有していない場合、通常のIPv4での通信と同じようにサービス提供画面が表示される。もしくは通信は確立しない態様としてもよい。
本実施形態における実施例1について図9を用いて説明する。ステップS110において、ユーザ21は企業22の提供するサービスを利用するために、端末装置10からサーバ14にアクセスする。企業22はサーバ14を用いて各種インターネットサービスを提供している。まず、サーバ14がEverIP24を有していない場合、通常のIPv4での通信と同じようにサービス提供画面が表示される。もしくは通信は確立しない態様としてもよい。
【0070】
また、ステップS120において、サーバ14が基本認証を有しているか否か判定する。ステップS120でYESの場合、ステップS130に進み、サーバ14は端末装置10の電子証明書25Aの属性を読み取る。サーバ14がEverIP24を有していても、電子証明書25Aが基本認証を含まない場合(ステップS120でNOの場合)、EverIP24が正式な発行手続きを経て生成されたものではないと判断し通信を確立しない。もしくは、通常のIPv4での通信接続としてサービス提供画面が表示されるようにしてもよい。ステップS130では、電子証明書25Aに基本認証以外の属性情報(認証情報)が存在するかどうかを判定し、存在する場合にはどんな属性情報が存在しているかを一通り参照し、ステップS140に進む。
【0071】
ステップS140において、サーバ14が端末装置10及びそのEverIP23に関連する電子証明書25Aにサービス利用アカウントの属性情報が含まれているかどうかを判定する。
【0072】
ステップS140にて、サービス利用アカウントの属性があると判断された場合、ステップS150に進む。すなわち、企業22は端末装置10を利用しているユーザ21がログインユーザであるとしてログインユーザ向けのサービスを提供することができる。
【0073】
ステップS140にて、サービス利用アカウントの属性がないと判断された場合、ステップS160に進む。ステップS160では、サーバ14はユーザ21に対してサービス利用アカウントの属性を電子証明書25Aに付与することを提案する。すなわち、端末装置10の電子証明書25Aにサービス利用アカウントとしての属性を持つかどうかを選択させる画面を表示するようにしてもよい。この場合、次回の接続からは、ステップS130~S140における判定時に電子証明書25Aにサービス利用アカウントであることを判定できるためステップS150へと進む。ステップS160にてユーザ21が端末装置10の電子証明書25Aにサービス利用アカウントとしての属性を付与しないと判断した場合、次回もユーザ21に対して同様の提案を行うようにしてもよい。
【0074】
(実施例3)
次に図10を参照して複数のデバイス間での認証処理を説明する。データ発行体28は例えばクレジットカードを発行するクレジットカード会社やマイナンバーカードを発行する行政機関などである。データ発行体28はデータベース27を有している。端末装置10、サーバ14、及びデータベース27はそれぞれ固有のEverIPを有している。したがって、端末装置10、サーバ14、及びデータベース27はそれぞれの通信がどこから来たものかを認識することができる。データベース27は好適にはサーバ等に格納されている。
次に図10を参照して複数のデバイス間での認証処理を説明する。データ発行体28は例えばクレジットカードを発行するクレジットカード会社やマイナンバーカードを発行する行政機関などである。データ発行体28はデータベース27を有している。端末装置10、サーバ14、及びデータベース27はそれぞれ固有のEverIPを有している。したがって、端末装置10、サーバ14、及びデータベース27はそれぞれの通信がどこから来たものかを認識することができる。データベース27は好適にはサーバ等に格納されている。
【0075】
ここで、ユーザ21が企業22においてクレジットカード決済をする場合、従来ではクレジットカード情報を所定のフォームに入力する必要があった。企業22はそのクレジットカード情報がデータ発行体28が発行したものかどうかデータの真正を確認する必要があった。または、データ発行体28が行政機関であった場合、ユーザは行政上の書類を取得するために役所に出向く必要があった。役所は、ユーザの個人情報と照らし合わせて行政機関のデータベース27に保存された情報と比較し、真正が確認された場合に各種証明書(住民票など)を発行している。
【0076】
本実施例では、ユーザ21の端末装置10が有するEverIP23におけるユーザ情報としてのクレジットカード情報をデータ発行体28のデータベース27のEverIPが認証している。さらに、データ発行体28のデータベース27のEverIPは端末装置10のEverIP23を認証している属性情報を有する。企業22のサーバ(又は役所のサーバ)はデータ発行体28のデータベース27のEverIPに対して問い合わせることで、データ発行体28のデータベース27のEverIPは端末装置10のEverIP23を認証していることを知ることができる。
【0077】
したがって、ユーザ21が端末装置10においてクレジットカード決済を行おうとするとき、データ発行体28のデータベース27のEverIP、EverIP23、及びEverIP24間で認証情報を確認し合うことができるため、クレジットカード情報を入力する必要がない。ユーザ21が役所にて各種証明書を発行する場合も、行政機関のデータベース27のEverIP、EverIP23、及びEverIP24間で認証し合うことができるため、役所における照合作業を行うことなくデータの真正を確認することが可能となる。
【0078】
上記実施例においては、予め認証されデバイスに設定された固有のネットワークアドレスが存在することから、どのデバイスからの通信であるかを認識することができる。そして、属性情報や認証情報に基づいて当該ネットワークアドレスの真正を確認することができる。さらにデバイスは属性情報や認証情報の有無に基づいて提案やさらなる認証処理を行うことができる。そのため、ユーザ21、企業22、データ発行体28との間でセキュアな通信が確保されるだけでなく、認証情報の真正も同時に担保することが可能となる。また、上記認証処理は例示した実施例に限定されず、あらゆる認証場面で利用することが可能である。
【符号の説明】
【0079】
10 端末装置、14 サーバ、23,24 EverIP、25A,26A 電子証明書、25B 追加の電子証明書、27 データベース、28 データ発行体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
