[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP3449941B2 - メールアクセス制御方法、通信システム、およびメールアクセス制御プログラムを格納した記憶媒体 - Google Patents

メールアクセス制御方法、通信システム、およびメールアクセス制御プログラムを格納した記憶媒体

Info

Publication number
JP3449941B2
JP3449941B2 JP08221199A JP8221199A JP3449941B2 JP 3449941 B2 JP3449941 B2 JP 3449941B2 JP 08221199 A JP08221199 A JP 08221199A JP 8221199 A JP8221199 A JP 8221199A JP 3449941 B2 JP3449941 B2 JP 3449941B2
Authority
JP
Japan
Prior art keywords
identifier
mail
aid
user
caller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP08221199A
Other languages
English (en)
Other versions
JP2000201169A (ja
Inventor
裕介 久田
諭 小野
晴久 市川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP08221199A priority Critical patent/JP3449941B2/ja
Publication of JP2000201169A publication Critical patent/JP2000201169A/ja
Application granted granted Critical
Publication of JP3449941B2 publication Critical patent/JP3449941B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、通信網において着
信者の通信網における識別子を隠蔽しつつ、通信網にお
ける識別子を隠蔽した他のユーザからの通信の接続を制
御してメールの送受信を制御するメールアクセス接続制
御方法、通信システム、およびメールアクセス制御プロ
グラムを記録した記録媒体に関する。
【0002】
【従来の技術】インターネットの普及に伴い、メールを
用いたSPAMや嫌がらせ行為が急増している。SPA
Mとは受信者の時間的、経済的、精神的負担を考慮せず
一方的に送り付けられるメールまたはニューズの総称で
ある。メールによるSPAMはUBE(Unsolicited Bul
k Email)またはUCE(Unsolicited Commercial Email)
とも呼ばれている。
【0003】SPAMは受信者の年齢、性別、嗜好等を
考慮せず無差別に送信されるため、受信者にとって興味
のない内容や不快な内容である場合が少なくない。受信
に要する時間的負担や経済的負担も小さくない。ビジネ
スユーザにとっては、重要なメールがSPAMに埋もれ
て見つかりにくくなるため業務効率の低下を招きかねな
い。また、大量のユーザ宛に送信されるためネットワー
ク資源を浪費し、最悪の場合には過負荷を引き起こす。
その結果、ユーザにとって重要なメールが失われる場合
もある。また、匿名でまたは他人に成りすまして送信さ
れるため、苦情対応のために人的資源を確保しなければ
ならない。
【0004】一方、嫌がらせとは特定のユーザに対し精
神的苦痛を与えたり、経済的、時間的負担を負わせるた
めに、ユーザにとって不快な内容のメールを継続的に送
り続ける行為である。SPAMと同様に、実在または架
空の第三者に成りすまして送信されるため、送信者の特
定は極めて困難である。また、大容量メールを送り付け
られたり、短時間に大量のメールを送り付けられたりす
るため、システムダウンの危険性もある。
【0005】SPAMや嫌がらせ行為に対し、メールシ
ステムは以下の要件を満足することが必要である。
【0006】・安全性 送信者の成りすましを検出し、配送を拒否することが必
要である。
【0007】・堅牢性 大容量メールによるシステムダウンを回避するために、
メール容量を制限することが必要である。また、大量送
信によるシステムダウンを回避するために、送信回数を
制限することが必要である。
【0008】・互換性 既存のメールシステムの実装を大きく変更しないことが
必要である。
【0009】・操作性 既存のメールシステムの操作性を大きく変更しないこと
が必要である。
【0010】sendmail,qmail等のMTA(Message Tran
sfer Agent)はエンベロープ情報及びヘッダ情報の偽造
を検出し、配送を拒否する。また、MAPS RBL 等のいわ
ゆるブラックリストを参照して、SPAMの発信源とな
っているメールサーバからの受信を拒否する。また、PG
P,S/MIME,TLS等を用いて署名確認を行うことにより他
人の実メールアドレスを騙った送信を検出し、配送を拒
否する。また、本文の部分的削除によってメッセージ長
を制限する。
【0011】
【発明が解決しようとする課題】従来のメールシステム
における実メールアドレスには以下のような問題点があ
る。
【0012】・身元を推測可能 実メールアドレスは身元を推測する上で有益な情報を含
むため、嫌がらせの相手を選択することができる。例え
ば、実ドメインから勤務先を特定できる。また、ユーザ
名から性別や氏名を推測することができる。
【0013】・身元から推測可能 実メールアドレスはユーザ名@ドメイン名の形式で統一
されているため、実メールアドレスを知らなくても、身
元さえわかれば推測できる。例えば、氏名がわかればユ
ーザ名の候補を絞り込むことができる。また、所属組織
がわかればドメイン名の候補を絞り込むことができる。
また、ユーザ名を実名とは無関係な文字列で与えている
場合でも、ユーザ名の命名規則がわかれば試行錯誤的な
送信によって推測できる。
【0014】・移転可能 実メールアドレスは人から人に移転できるため、持ち主
から直接教えてもらえなくても送信できる。メールを介
した移転には以下の場合がある。他人の実メールアドレ
スをcc:行に指定すれば、To:行に指定したすべて
の受信者に移転することができる。また、第三者の実メ
ールアドレスをReply−To:行に指定し、To:
行に指定した受信者の実メールアドレスを本文に含むメ
ールをフォワードすれば、その実メールアドレスを第三
者に移転することができる。
【0015】・取り消し困難 SPAMや嫌がらせだけではなく重要なメールもよめな
くなるため、実メールアドレスの取り消しは困難であ
る。
【0016】匿名リメーラ(anonymous remailers) と
呼ばれる Cypherpunk remailers とMixmaster remailer
s は送信者の実メールアドレス及び実ドメインを暗号化
してから配送する。この方法はreply blockと呼ばれて
いる。reply blockの暗号化及び復号化には匿名リメー
ラの公開鍵及び秘密鍵を用いるため、送信者以外のいか
なるユーザも送信者の実メールアドレス及び実ドメイン
を特定することは困難である。
【0017】匿名リメーラは実メールアドレスを特定困
難なため、実メールアドレスの移転も困難である。しか
しながら、reply block は移転可能であるため、受信者
以外のユーザからも送信者に対し返信することが可能で
ある。
【0018】偽名サーバ(pseudonymous server)と呼
ばれるAS-Nodeとnym.alias.net はユーザの実メールア
ドレスと一意に対応した偽名アカウントを用いてメール
を送受信する。偽名アカウントはユーザ側で任意に作成
できるため、ユーザは実メールアドレスを推測困難な偽
名アカウントを持つことが可能である。さらに、replyb
lock の利用により、ユーザの実メールアドレス及び実
ドメインを偽名サーバに対し隠蔽することも可能であ
る。これらの手段を組み合わせることによって、送信者
以外のいかなるユーザも送信者の実メールアドレス及び
実ドメインを特定することは困難となる。また、偽名ア
カウントは取り消し可能なため、実メールアドレスを取
り消す必要もない。
【0019】偽名サーバは実メールアドレスを特定困難
なため、実メールアドレスの移転も困難である。しかし
ながら、偽名アカウントは移転可能なため、受信者以外
のユーザからも送信することが可能である。
【0020】さらに、SPAMや嫌がらせ行為から受信
者を保護するためには、これらの行為を行う発信者から
の接続要求を拒否することも必要である。このため、通
信システムは発信者の身元を一意に特定可能であること
も必要である。
【0021】これらのことから、通信システムはユーザ
の実メールアドレスを隠蔽しつつ(すなわち、ユーザの
匿名性を保証しつつ)、そのユーザの身元を一意に特定
可能であることが求められるが、従来の通信システムに
おいて、これらの両者を同時に実現することは困難であ
った。
【0022】メールシステムにおいてユーザの身元を特
定するためには、そのユーザの実メールアドレスが必要
である。一方、匿名リメーラは、発信者の匿名性保証の
ために発信者の実メールアドレスを暗号化または削除し
てから配送する。
【0023】この条件において発信者の身元を特定する
ためには、トラフィック解析によってメールの配送経路
を追跡することが必要である。ところが、匿名リメーラ
はメールの配送を遅らせたり、配送順序を入れ替えたり
する。また、Mixmaster remailers はメールを複数のブ
ロックに分割してから配送する。このため、トラフィッ
ク解析による配送経路の追跡は困難であり、発信者の身
元特定も困難である。
【0024】偽名サーバもメールの配送において匿名リ
メーラを利用するため、発信者の匿名性は保証できるけ
れども発信者の身元を一意に特定することは困難であ
る。
【0025】一方、ドイツ電子署名法は、通信サービス
で用いられるディジタル署名を生成するためのディジタ
ル証明書に対し、実名に加えて偽名の記入も許可してい
る。ディジタル証明書はユーザに対し一意に付与される
ため、偽名を記載してもユーザの身元を一意に特定する
ことが可能である。また、偽名の命名権はユーザ側にあ
るため、実名を推測困難な偽名を記載することが可能で
ある。
【0026】本発明は、上記に鑑みてなされたもので、
その目的とするところは、SPAMや嫌がらせの原因と
なる実メールアドレスの問題点を解決する通信網におけ
るメールアクセス制御方式を提供することにある。
【0027】本発明の他の目的は、ユーザの識別子を隠
蔽しつつ、ユーザの身元を一意に特定可能にするメール
アクセス制御方式を提供することにある。
【0028】
【課題を解決するための手段】本発明では、実メールア
ドレスの移転及び取り消しの問題を解決するために、個
別化アクセスチケットを用いたメールアクセス制御方式
を用いる。移転の問題を解決するためには、送信者の実
メールアドレスと受信者の実メールアドレスの両者を含
む個別化アクセスチケット(PAT:Personalized Acc
ess Ticket)を用いて宛先を指定する。また、取り消し
の問題を解決するために、信頼できる第三者機関におい
てPATに有効期限を設定する。そして、有効期限を過
ぎたPATを提示した送信者からのメールの配送を拒否
する。また、実メールアドレスを取り消す代わりにPA
Tをセキュア・コミュニケーション・サービスで管理す
るセキュアな記憶装置に登録する。
【0029】すなわち、本発明では送信者の実メールア
ドレスと受信者の実メールアドレスを対にした単位で接
続を制御する。このため、実メールアドレスを移転され
ても、移転先のユーザによってPATを取得されない限
り、移転先のユーザからのメールを受信しないで済む。
【0030】また、本発明では有効期限を過ぎたPA
T、または受信者によってデータベースに登録されたP
ATを提示した送信者からのメールの配送をしないた
め、実メールアドレスを取り消すことなく受信を拒否で
きる。
【0031】また、本発明ではPATを前記記憶装置か
ら削除することにより受信を再開するため、実メールア
ドレスを再取得することなく受信を再開できる。
【0032】また、本発明ではメールの送信をサーバ側
で拒否するため、ユーザ側での受信やダウンロードに要
する時間的、経済的負担を軽減できる。
【0033】さらに、本発明では、ユーザの匿名性を保
証しつつ、ユーザの身元特定を可能にするために、個人
識別子と役割識別子を用いたメールアクセス制御方式を
用いる。
【0034】本発明では、ユーザを一意に特定するため
に、個人情報に信頼できる第三者機関の秘密鍵で署名し
た証明書を付与する。この証明書を以下では個人識別子
(OID:Official Identification) と呼ぶ。また、
ユーザの匿名性を保証しつつ身元特定を可能とするため
に、通信網上のユーザ識別子として個人識別子の情報を
断片的に含む証明書を付与する。この証明書を以下では
役割識別子(AID:Anonymous Identification)と呼
ぶ。
【0035】また、本発明では、身元を特定するため
に、複数のAIDの同一性を判定しながらOIDを再構
築する。AIDの移転および取り消しの問題を解決する
ために、AIDをPATに含め、セキュア・コミュニケ
ーション・サービスSCSにおいてPATを検証する。
【0036】また、本発明では、身元を明らかにしない
まま不特定多数からのアクセスを求めるユーザ側の需要
に対して、AIDを不特定多数から検索可能なディレク
トリで管理し、宛先としてAIDを含むPATを出力す
る。
【0037】これにより、本発明ではAIDはOIDを
断片的にしか含まないため、メールの送受信において身
元を隠蔽できる。また、AIDを不特定多数から閲覧可
能なディレクトリサービスに登録しても、身元を不特定
多数に対して隠蔽できる。
【0038】また、本発明では複数のAIDの同一性を
判定しながらOIDを再構築することにより、確率的に
身元を特定できる。このため、身元を明らかにしないS
PAMや嫌がらせ行為への対策を立てることが可能であ
る。
【0039】また、本発明では実メールアドレスの代わ
りにAIDをディレクトリで管理し、宛先としてAID
を含むPATを出力することにより、身元を明らかにし
ないまま不特定多数からのアクセスを受け付けることが
可能である。
【0040】より詳細には、本発明は、着信者にメール
の送信を希望する発信者により着信者をメールの宛先と
して指定するために提示され、発信者識別子と着信者識
別子を対応付けて含んだ個別化アクセスチケットを、発
信者と着信者間の通信を接続するセキュア・コミュニケ
ーション・サービスにおいて受け取るステップと、該セ
キュア・コミュニケーション・サービスにおいて、該個
別化アクセスチケットに基づいて発信者の着信者に対す
るアクセス権を検証することにより発信者と着信者間の
アクセスを制御するステップと、を有することを特徴と
するメールアクセス制御方法を提供する。
【0041】また、本発明では、前記制御するステップ
において、前記セキュア・コミュニケーション・サービ
スは発信者により提示された前記個別化アクセスチケッ
トを認証し、発信者により提示された該個別化アクセス
チケットが改竄されているときには、前記メールの配送
を拒否することを特徴とする。
【0042】また、本発明では、前記個別化アクセスチ
ケットは、該個別化アクセスチケットを発行したセキュ
アな演算装置の秘密鍵により署名されており、前記制御
するステップにおいて、前記セキュア・コミュニケーシ
ョン・サービスは該セキュアな演算装置の公開鍵により
該個別化アクセスチケット内の該セキュアな演算装置の
署名を検証することにより、該個別化アクセスチケット
を認証することを特徴とする。
【0043】また、本発明では、前記受け取るステップ
において、前記セキュア・コミュニケーション・サービ
スは発信者により前記個別化アクセスチケットと共に提
示された発信者識別子も受け取り、前記制御するステッ
プにおいて、該セキュア・コミュニケーション・サービ
スは発信者により提示された該発信者識別子が発信者に
より提示された該個別化アクセスチケットに含まれてい
るか否かチェックし、発信者により提示された該発信者
識別子が発信者により提示された該個別化アクセスチケ
ットに含まれていないときには、前記メールの配送を拒
否することを特徴とする。
【0044】また、本発明では、前記個別化アクセスチ
ケットは、該個別化アクセスチケットが有効である期間
を示す有効期限も含み、前記制御するステップにおい
て、前記セキュア・コミュニケーション・サービスは発
信者により提示された該個別化アクセスチケットに含ま
れた有効期限をチェックし、発信者により提示された該
個別化アクセスチケットが既に切れた有効期限を含んで
いるときには前記メールの配送を拒否することを特徴と
する。
【0045】また、本発明では、前記個別化アクセスチ
ケットの有効期限は信頼できる第三者機関により設定さ
れたものであることを特徴とする。
【0046】また、本発明では、各登録者の識別子と、
個人情報に比べて秘密性の低い公開情報を不特定多数か
ら検索可能な状態で管理するディレクトリ・サービスに
おいて、発信者から指定された検索条件に応じて、検索
条件を満たした公開情報の登録者の識別子を着信者識別
子とし、検索条件と共に発信者により指定された発信者
識別子を用いて、発信者に対して前記個別化アクセスチ
ケットを発行するステップを、更に有することを特徴と
する。
【0047】また、本発明では、そのユーザからの特定
の登録者へのメールの配送が拒否されるべき特定のユー
ザの識別子を発信者識別子として含み、該特定の登録者
の識別子を着信者識別子として含んだ個別化アクセスチ
ケットを、予め前記セキュア・コミュニケーション・サ
ービスに登録するステップを更に有し、前記制御するス
テップにおいて、該セキュア・コミュニケーション・サ
ービスは発信者により提示された個別化アクセスチケッ
トがそこに予め登録されたものであるときには前記メー
ルの配送を拒否することを特徴とする。
【0048】また、本発明では、前記登録するステップ
において個別化アクセスチケットを登録した前記特定の
登録者からの要求により、前記セキュア・コミュニケー
ション・サービスにおいて登録された個別化アクセスチ
ケットを削除するステップを、更に有することを特徴と
する。
【0049】また、本発明では、前記個別化アクセスチ
ケットは、前記セキュア・コミュニケーション・サービ
スにより発信者を認証すべきかどうか示す移転制御フラ
グも含み、前記制御するステップにおいて、該個別化ア
クセスチケットに含まれる移転制御フラグが発信者を認
証すべきであることを示すときに、該セキュア・コミュ
ニケーション・サービスは発信者により提示された発信
者識別子を認証し、該発信者識別子の認証が失敗したと
きには前記メールの配送を拒否することを特徴とする。
【0050】また、本発明では、前記発信者識別子の認
証は、発信者と前記セキュア・コミュニケーション・サ
ービス間のチャレンジ/レスポンス認証により実現する
ことを特徴とする。
【0051】また、本発明では、前記個別化アクセスチ
ケットの移転制御フラグは信頼できる第三者機関により
設定されたものであることを特徴とする。
【0052】また、本発明では、前記個別化アクセスチ
ケット内の発信者識別子と着信者識別子は発信者と着信
者の実メールアドレスにより与えられることを特徴とす
る。
【0053】また、本発明では、前記個別化アクセスチ
ケット内の発信者識別子と着信者識別子は発信者と着信
者の役割識別子により与えられ、各ユーザの役割識別子
は、それにより認証局が各ユーザを一意に識別可能な各
ユーザの個人識別子の断片を少なくとも一つ含んだもの
であることを特徴とする。
【0054】また、本発明では、前記各ユーザの役割識
別子は、前記各ユーザの個人識別子の少なくとも一つの
断片を含んだ情報に対し、前記認証局が該認証局の秘密
鍵により署名したものであることを特徴とする。
【0055】また、本発明では、前記各ユーザの個人識
別子は、前記認証局により各ユーザに一意に付与された
文字列と各ユーザの公開鍵に対し、前記認証局が該認証
局の秘密鍵により署名したものであることを特徴とす
る。
【0056】また、本発明では、前記発信者により使わ
れた複数の個別化アクセスチケットに含まれた該発信者
の複数の役割識別子の同一性を判定して、該発信者の個
人識別子を再構成することにより、該発信者の身元を確
率的に特定するステップを、更に有することを特徴とす
る。
【0057】また、本発明では、それにより認証局が各
ユーザを一意に識別可能な各ユーザの個人識別子の断片
を少なくとも一つ含んだ各ユーザの役割識別子と、それ
により各役割識別子を一意に識別可能な各役割識別子の
リンク情報とが定義され、前記個別化アクセスチケット
内の発信者識別子と着信者識別子は発信者の役割識別子
のリンク情報と着信者の役割識別子のリンク情報により
与えられることを特徴とする。
【0058】また、本発明では、前記各役割識別子のリ
ンク情報は、前記認証局により各役割識別子に一意に付
与された識別子であることを特徴とする。
【0059】また、本発明では、前記発信者により使わ
れた複数の個別化アクセスチケットに含まれたリンク情
報に対応する該発信者の複数の役割識別子の同一性を判
定して、該発信者の個人識別子を再構成することによ
り、該発信者の身元を確率的に特定するステップを、更
に有することを特徴とする。
【0060】また、本発明では、前記個別化アクセスチ
ケットは、一つの発信者識別子と一つの着信者識別子を
1対1に対応付けて含むことを特徴とする。
【0061】また、本発明では、前記個別化アクセスチ
ケットは、一つの発信者識別子と複数の着信者識別子を
1対N(Nは1より大きい整数)に対応付けて含むこと
を特徴とする。
【0062】また、本発明では、前記一つの発信者識別
子と複数の着信者識別子の内の一識別子は前記個別化ア
クセスチケットの所有者を特定する所有者識別子であ
り、前記一つの発信者識別子と複数の着信者識別子の内
の他の識別子は該所有者が属するグループの会員を特定
する会員識別子であることを特徴とする。
【0063】また、本発明では、各ユーザの識別子と、
各ユーザの識別子を所有者識別子として含む個別化アク
セスチケットの変更権を示す各ユーザの識別子のEnable
r を認証局において各ユーザに発行して、該個別化アク
セスチケットに含まれる所有者識別子と該所有者識別子
に対応するEnabler の両方をセキュアな演算装置に対し
て提示したユーザによってのみ該セキュアな演算装置に
おいて該個別化アクセスチケットに対する所定の演算を
行えるようにするステップを、更に有することを特徴と
する。
【0064】また、本発明では、前記認証局は、それが
Enabler であることを示す情報と各ユーザの識別子の実
体に対し、該認証局の秘密鍵で署名したものを各ユーザ
の識別子のEnablerとして発行することを特徴とする。
【0065】また、本発明では、前記所定の演算は、個
別化アクセスチケットの新規作成、複数個別化アクセス
チケットのマージ、一個別化アクセスチケットの複数個
別化アクセスチケットへの分割、個別化アクセスチケッ
トの所有者変更、個別化アクセスチケットの有効期限の
変更、個別化アクセスチケットの移転制御フラグの変
更、を含むことを特徴とする。
【0066】また、本発明では、すべてのユーザに既知
である特殊な識別子と該特殊な識別子に対応する特殊な
Enabler を定義して、前記個別化アクセスチケットの新
規生成および前記個別化アクセスチケットの所有者変更
を、前記個別化アクセスチケットの所有者が、該特殊な
識別子および該特殊なEnabler を用いて会員識別子のEn
abler を使わずに行えるようにすることを特徴とする。
【0067】また、本発明では、前記特殊な識別子は、
個別化アクセスチケットの所有者識別子としてのみ使用
可能であるように定義されていることを特徴とする。
【0068】また、本発明では、すべてのユーザに既知
である特殊な識別子を定義して、該特殊な識別子を用い
て個別化アクセスチケットに読取専用属性を設定できる
ようにすることを特徴とする。
【0069】また、本発明では、前記制御するステップ
において、前記個別化アクセスチケットに基づいて発信
者の着信者に対するアクセス権が検証された場合には、
前記セキュア・コミュニケーション・サービスは、発信
者により提示された発信者識別子を用いて該個別化アク
セスチケットから着信者識別子を取り出し、取り出した
着信者識別子を用いて前記メールを実際にメールの配送
処理を行うメール転送機能が解釈可能な形式に変換し、
変換後の前記メールに該個別化アクセスチケットを添付
して該メール転送機能に渡すことを特徴とする。
【0070】さらに、本発明は、それにより認証局が各
ユーザを一意に識別可能な各ユーザの個人識別子と、該
各ユーザの個人識別子の断片を少なくとも一つ含んだ役
割識別子を定義し、通信ネットワーク上のメールの通信
において各ユーザを各ユーザの役割識別子により識別す
る、ことを特徴とするメールアクセス制御方法を提供す
る。
【0071】また、本発明では、前記各ユーザの役割識
別子は、前記各ユーザの個人識別子の少なくとも一つの
断片を含んだ情報に対し、前記認証局が該認証局の秘密
鍵により署名したものであることを特徴とする。
【0072】また、本発明では、前記各ユーザの個人識
別子は、前記認証局により各ユーザに一意に付与された
文字列と各ユーザの公開鍵に対し、前記認証局が該認証
局の秘密鍵により署名したものであることを特徴とす
る。
【0073】また、本発明では、着信者にメールの送信
を希望する発信者により着信者をメールの宛先として指
定するために提示され、発信者の役割識別子と着信者の
役割識別子を対応付けて含んだ個別化アクセスチケット
を、発信者と着信者間の通信を接続するセキュア・コミ
ュニケーション・サービスにおいて受け取るステップ
と、該セキュア・コミュニケーション・サービスにおい
て、該個別化アクセスチケットに基づいて発信者の着信
者に対するアクセス権を検証することにより発信者と着
信者間のアクセスを制御するステップ、を更に有するこ
とを特徴とする。
【0074】また、本発明では、前記発信者により使わ
れた複数の個別化アクセスチケットに含まれた該発信者
の複数の役割識別子の同一性を判定して、該発信者の個
人識別子を再構成することにより、該発信者の身元を確
率的に特定するステップを、更に有することを特徴とす
る。
【0075】また、本発明では、前記定義するステップ
は、それにより各役割識別子を一意に識別可能な各役割
識別子のリンク情報も定義し、各役割識別子は各役割識
別子のリンク情報も含むことを特徴とする。
【0076】また、本発明では、前記各役割識別子のリ
ンク情報は、前記認証局により各役割識別子に一意に付
与された識別子であることを特徴とする。
【0077】また、本発明では、着信者にメールの送信
を希望する発信者により着信者をメールの宛先として指
定するために提示され、発信者の役割識別子のリンク情
報と着信者の役割識別子のリンク情報を対応付けて含ん
だ個別化アクセスチケットを、発信者と着信者間の通信
を接続するセキュア・コミュニケーション・サービスに
おいて受け取るステップと、該セキュア・コミュニケー
ション・サービスにおいて、該個別化アクセスチケット
に基づいて発信者の着信者に対するアクセス権を検証す
ることにより発信者と着信者間のアクセスを制御するス
テップ、を更に有することを特徴とする。
【0078】また、本発明では、前記発信者により使わ
れた複数の個別化アクセスチケットに含まれたリンク情
報に対応する該発信者の複数の役割識別子の同一性を判
定して、該発信者の個人識別子を再構成することによ
り、該発信者の身元を確率的に特定するステップを、更
に有することを特徴とする。
【0079】さらに、本発明は、複数のユーザ端末が接
続された通信網と、着信者にメールの送信を希望する発
信者により着信者をメールの宛先として指定するために
提示され、発信者識別子と着信者識別子を対応付けて含
んだ個別化アクセスチケットを受け取り、該個別化アク
セスチケットに基づいて発信者の着信者に対するアクセ
ス権を検証することにより発信者と着信者間のアクセス
を制御して、該通信網上で発信者と着信者間の通信を接
続するセキュア・コミュニケーション・サービス装置
と、を有することを特徴とするメールアクセス制御を実
現した通信システムを提供する。
【0080】また、本発明では、前記セキュア・コミュ
ニケーション・サービス装置は発信者により提示された
前記個別化アクセスチケットを認証し、発信者により提
示された該個別化アクセスチケットが改竄されていると
きには、前記メールの配送を拒否することを特徴とす
る。
【0081】また、本発明では、前記個別化アクセスチ
ケットを自身の秘密鍵により署名して発行するセキュア
な演算装置を更に有し、前記セキュア・コミュニケーシ
ョン・サービス装置は該セキュアな演算装置の公開鍵に
より該個別化アクセスチケット内の該セキュアな演算装
置の署名を検証することにより、該個別化アクセスチケ
ットを認証することを特徴とする。
【0082】また、本発明では、前記セキュア・コミュ
ニケーション・サービス装置は発信者により前記個別化
アクセスチケットと共に提示された発信者識別子も受け
取り、発信者により提示された該発信者識別子が発信者
により提示された該個別化アクセスチケットに含まれて
いるか否かチェックし、発信者により提示された該発信
者識別子が発信者により提示された該個別化アクセスチ
ケットに含まれていないときには、前記メールの配送を
拒否することを特徴とする。
【0083】また、本発明では、前記個別化アクセスチ
ケットは、該個別化アクセスチケットが有効である期間
を示す有効期限も含み、前記セキュア・コミュニケーシ
ョン・サービス装置は発信者により提示された該個別化
アクセスチケットに含まれた有効期限をチェックし、発
信者により提示された該個別化アクセスチケットが既に
切れた有効期限を含んでいるときには前記メールの配送
を拒否することを特徴とする。
【0084】また、本発明では、前記個別化アクセスチ
ケットの有効期限を設定する信頼できる第三者機関を更
に有することを特徴とする。
【0085】また、本発明では、各登録者の識別子と、
個人情報に比べて秘密性の低い公開情報を不特定多数か
ら検索可能な状態で管理し、発信者から指定された検索
条件に応じて、検索条件を満たした公開情報の登録者の
識別子を着信者識別子とし、検索条件と共に発信者によ
り指定された発信者識別子を用いて、発信者に対して前
記個別化アクセスチケットを発行するディレクトリ・サ
ービス装置を更に有することを特徴とする。
【0086】また、本発明では、前記セキュア・コミュ
ニケーション・サービス装置は、そのユーザからの特定
の登録者へのメールの配送が拒否されるべき特定のユー
ザの識別子を発信者識別子として含み、該特定の登録者
の識別子を着信者識別子として含んだ個別化アクセスチ
ケットを、予め登録し、発信者により提示された個別化
アクセスチケットがそこに予め登録されたものであると
きには前記メールの配送を拒否することを特徴とする。
【0087】また、本発明では、前記セキュア・コミュ
ニケーション・サービス装置は、前記個別化アクセスチ
ケットを登録した前記特定の登録者からの要求により、
そこに登録された個別化アクセスチケットを削除するこ
とを特徴とする。
【0088】また、本発明では、前記個別化アクセスチ
ケットは、前記セキュア・コミュニケーション・サービ
ス装置により発信者を認証すべきかどうか示す移転制御
フラグも含み、該個別化アクセスチケットに含まれる移
転制御フラグが発信者を認証すべきであることを示すと
きに、該セキュア・コミュニケーション・サービス装置
は発信者により提示された発信者識別子を認証し、該発
信者識別子の認証が失敗したときには前記メールの配送
を拒否することを特徴とする。
【0089】また、本発明では、前記発信者識別子の認
証は、発信者と前記セキュア・コミュニケーション・サ
ービス装置間のチャレンジ/レスポンス認証により実現
することを特徴とする。
【0090】また、本発明では、前記個別化アクセスチ
ケットの移転制御フラグを設定する信頼できる第三者機
関を更に有することを特徴とする。
【0091】また、本発明では、前記個別化アクセスチ
ケット内の発信者識別子と着信者識別子は発信者と着信
者の実メールアドレスにより与えられることを特徴とす
る。
【0092】また、本発明では、それにより自身が各ユ
ーザを一意に識別可能な各ユーザの個人識別子の断片を
少なくとも一つ含んだ各ユーザの役割識別子を発行する
認証局装置を更に有し、前記個別化アクセスチケット内
の発信者識別子と着信者識別子は発信者と着信者の役割
識別子により与えられることを特徴とする。
【0093】また、本発明では、前記各ユーザの役割識
別子は、前記各ユーザの個人識別子の少なくとも一つの
断片を含んだ情報に対し、前記認証局装置が該認証局装
置の秘密鍵により署名したものであることを特徴とす
る。
【0094】また、本発明では、前記各ユーザの個人識
別子は、前記認証局により各ユーザに一意に付与された
文字列と各ユーザの公開鍵に対し、前記認証局装置が該
認証局装置の秘密鍵により署名したものであることを特
徴とする。
【0095】また、本発明では、前記セキュア・コミュ
ニケーション・サービス装置は、前記発信者により使わ
れた複数の個別化アクセスチケットに含まれた該発信者
の複数の役割識別子の同一性を判定して、該発信者の個
人識別子を再構成することにより、該発信者の身元を確
率的に特定することを特徴とする。
【0096】また、本発明では、それにより自身が各ユ
ーザを一意に識別可能な各ユーザの個人識別子の断片を
少なくとも一つ含んだ各ユーザの役割識別子と、それに
より各役割識別子を一意に識別可能な各役割識別子のリ
ンク情報とを発行する認証局装置を更に有し、前記個別
化アクセスチケット内の発信者識別子と着信者識別子は
発信者の役割識別子のリンク情報と着信者の役割識別子
のリンク情報により与えられることを特徴とする。
【0097】また、本発明では、前記各役割識別子のリ
ンク情報は、前記認証局装置により各役割識別子に一意
に付与された識別子であることを特徴とする。
【0098】また、本発明では、前記セキュア・コミュ
ニケーション・サービス装置は、前記発信者により使わ
れた複数の個別化アクセスチケットに含まれたリンク情
報に対応する該発信者の複数の役割識別子の同一性を判
定して、該発信者の個人識別子を再構成することによ
り、該発信者の身元を確率的に特定することを特徴とす
る。
【0099】また、本発明では、前記個別化アクセスチ
ケットは、一つの発信者識別子と一つの着信者識別子を
1対1に対応付けて含むことを特徴とする。
【0100】また、本発明では、前記個別化アクセスチ
ケットは、一つの発信者識別子と複数の着信者識別子を
1対N(Nは1より大きい整数)に対応付けて含むこと
を特徴とする。
【0101】また、本発明では、前記一つの発信者識別
子と複数の着信者識別子の内の一識別子は前記個別化ア
クセスチケットの所有者を特定する所有者識別子であ
り、前記一つの発信者識別子と複数の着信者識別子の内
の他の識別子は該所有者が属するグループの会員を特定
する会員識別子であることを特徴とする。
【0102】また、本発明では、各ユーザの識別子と、
各ユーザの識別子を所有者識別子として含む個別化アク
セスチケットの変更権を示す各ユーザの識別子のEnable
r を各ユーザに発行する認証局装置と、該個別化アクセ
スチケットに含まれる所有者識別子と該所有者識別子に
対応するEnabler の両方を提示したユーザによってのみ
該個別化アクセスチケットに対する所定の演算を行うこ
とを可能としたセキュアな演算装置と、を更に有するこ
とを特徴とする。
【0103】また、本発明では、前記認証局装置は、そ
れがEnabler であることを示す情報と各ユーザの識別子
の実体に対し、該認証局の秘密鍵で署名したものを各ユ
ーザの識別子のEnablerとして発行することを特徴とす
る。
【0104】また、本発明では、前記所定の演算は、個
別化アクセスチケットの新規作成、複数個別化アクセス
チケットのマージ、一個別化アクセスチケットの複数個
別化アクセスチケットへの分割、個別化アクセスチケッ
トの所有者変更、個別化アクセスチケットの有効期限の
変更、個別化アクセスチケットの移転制御フラグの変
更、を含むことを特徴とする。
【0105】また、本発明では、すべてのユーザに既知
である特殊な識別子と該特殊な識別子に対応する特殊な
Enabler を定義して、前記個別化アクセスチケットの新
規生成および前記個別化アクセスチケットの所有者変更
を、前記個別化アクセスチケットの所有者が、該特殊な
識別子および該特殊なEnabler を用いて会員識別子のEn
abler を使わずに行えるようにしたことを特徴とする。
【0106】また、本発明では、前記特殊な識別子は、
個別化アクセスチケットの所有者識別子としてのみ使用
可能であるように定義されていることを特徴とする。
【0107】また、本発明では、すべてのユーザに既知
である特殊な識別子を定義して、該特殊な識別子を用い
て個別化アクセスチケットに読取専用属性を設定できる
ようにしたことを特徴とする。
【0108】また、本発明では、前記個別化アクセスチ
ケットに基づいて発信者の着信者に対するアクセス権が
検証された場合には、前記セキュア・コミュニケーショ
ン・サービス装置は、発信者により提示された発信者識
別子を用いて該個別化アクセスチケットから着信者識別
子を取り出し、取り出した着信者識別子を用いて前記メ
ールを実際にメールの配送処理を行うメール転送機能が
解釈可能な形式に変換し、変換後の前記メールに該個別
化アクセスチケットを添付して該メール転送機能に渡す
ことを特徴とする。
【0109】さらに、本発明は、それにより自身が各ユ
ーザを一意に識別可能な各ユーザの個人識別子と、該各
ユーザの個人識別子の断片を少なくとも一つ含んだ役割
識別子を定義する認証局装置と、そこでのメールの通信
において各ユーザが各ユーザの役割識別子により識別さ
れる通信網と、を有することを特徴とするメールアクセ
ス制御を実現した通信システムを提供する。
【0110】また、本発明では、前記各ユーザの役割識
別子は、前記各ユーザの個人識別子の少なくとも一つの
断片を含んだ情報に対し、前記認証局装置が該認証局装
置の秘密鍵により署名したものであることを特徴とす
る。
【0111】また、本発明では、前記各ユーザの個人識
別子は、前記認証局により各ユーザに一意に付与された
文字列と各ユーザの公開鍵に対し、前記認証局が該認証
局の秘密鍵により署名したものであることを特徴とす
る。
【0112】また、本発明では、着信者にメールの送信
を希望する発信者により着信者をメールの宛先として指
定するために提示され、発信者の役割識別子と着信者の
役割識別子を対応付けて含んだ個別化アクセスチケット
を受け取り、該個別化アクセスチケットに基づいて発信
者の着信者に対するアクセス権を検証することにより発
信者と着信者間のアクセスを制御して、前記通信網上で
発信者と着信者間の通信を接続するセキュア・コミュニ
ケーション・サービス装置を更に有することを特徴とす
る。
【0113】また、本発明では、前記セキュア・コミュ
ニケーション・サービス装置は、前記発信者により使わ
れた複数の個別化アクセスチケットに含まれた該発信者
の複数の役割識別子の同一性を判定して、該発信者の個
人識別子を再構成することにより、該発信者の身元を確
率的に特定することを特徴とする。
【0114】また、本発明では、前記認証局装置は、そ
れにより各役割識別子を一意に識別可能な各役割識別子
のリンク情報も定義し、各役割識別子は各役割識別子の
リンク情報も含むことを特徴とする。
【0115】また、本発明では、前記各役割識別子のリ
ンク情報は、前記認証局装置により各役割識別子に一意
に付与された識別子であることを特徴とする。
【0116】また、本発明では、着信者にメールの送信
を希望する発信者により着信者をメールの宛先として指
定するために提示され、発信者の役割識別子のリンク情
報と着信者の役割識別子のリンク情報を対応付けて含ん
だ個別化アクセスチケットを受け取り、該個別化アクセ
スチケットに基づいて発信者の着信者に対するアクセス
権を検証することにより発信者と着信者間のアクセスを
制御して、前記通信網上で発信者と着信者間の通信を接
続するセキュア・コミュニケーション・サービスを更に
有することを特徴とする。
【0117】また、本発明では、前記セキュア・コミュ
ニケーション・サービス装置は、前記発信者により使わ
れた複数の個別化アクセスチケットに含まれたリンク情
報に対応する該発信者の複数の役割識別子の同一性を判
定して、該発信者の個人識別子を再構成することによ
り、該発信者の身元を確率的に特定することを特徴とす
る。
【0118】さらに、本発明は、コンピュータハードウ
ェアと、着信者にメールの送信を希望する発信者により
着信者をメールの宛先として指定するために提示され、
発信者識別子と着信者識別子を対応付けて含んだ個別化
アクセスチケットを受け取り、該個別化アクセスチケッ
トに基づいて発信者の着信者に対するアクセス権を検証
することにより発信者と着信者間のアクセスを制御し
て、発信者と着信者間の通信を接続するように前記コン
ピュータハードウェアを動作させるコンピュータソフト
ウェアと、を有することを特徴とする、メールアクセス
制御を実現した通信システムにおけるセキュア・コミュ
ニケーション・サービス装置を提供する。
【0119】また、本発明では、前記コンピュータソフ
トウェアは、発信者により提示された前記個別化アクセ
スチケットを認証し、発信者により提示された該個別化
アクセスチケットが改竄されているときには、前記メー
ルの配送を拒否するように前記コンピュータハードウェ
アを動作させることを特徴とする。
【0120】また、本発明では、前記個別化アクセスチ
ケットは、該個別化アクセスチケットを発行したセキュ
アな演算装置の秘密鍵により署名されており、前記コン
ピュータソフトウェアは、該セキュアな演算装置の公開
鍵により該個別化アクセスチケット内の該セキュアな演
算装置の署名を検証することにより、該個別化アクセス
チケットを認証するように前記コンピュータハードウェ
アを動作させることを特徴とする。
【0121】また、本発明では、前記コンピュータソフ
トウェアは、発信者により前記個別化アクセスチケット
と共に提示された発信者識別子も受け取り、発信者によ
り提示された該発信者識別子が発信者により提示された
該個別化アクセスチケットに含まれているか否かチェッ
クし、発信者により提示された該発信者識別子が発信者
により提示された該個別化アクセスチケットに含まれて
いないときには、前記メールの配送を拒否するように前
記コンピュータハードウェアを動作させることを特徴と
する。
【0122】また、本発明では、前記個別化アクセスチ
ケットは、該個別化アクセスチケットが有効である期間
を示す有効期限も含み、前記コンピュータソフトウェア
は、発信者により提示された該個別化アクセスチケット
に含まれた有効期限をチェックし、発信者により提示さ
れた該個別化アクセスチケットが既に切れた有効期限を
含んでいるときには前記メールの配送を拒否するように
前記コンピュータハードウェアを動作させることを特徴
とする。
【0123】また、本発明では、前記コンピュータソフ
トウェアは、そのユーザからの特定の登録者へのメール
の配送が拒否されるべき特定のユーザの識別子を発信者
識別子として含み該特定の登録者の識別子を着信者識別
子として含んだ個別化アクセスチケットを予め前記セキ
ュア・コミュニケーション・サービスに登録し、発信者
により提示された個別化アクセスチケットが前記セキュ
ア・コミュニケーション・サービスに予め登録されたも
のであるときには前記メールの配送を拒否するように前
記コンピュータハードウェアを動作させることを特徴と
する。
【0124】また、本発明では、前記コンピュータソフ
トウェアは、個別化アクセスチケットを登録した前記特
定の登録者からの要求により、前記セキュア・コミュニ
ケーション・サービスにおいて登録された個別化アクセ
スチケットを削除するように前記コンピュータハードウ
ェアを動作させることを特徴とする。
【0125】また、本発明では、前記個別化アクセスチ
ケットは、前記セキュア・コミュニケーション・サービ
スにより発信者を認証すべきかどうか示す移転制御フラ
グも含み、前記コンピュータソフトウェアは、該個別化
アクセスチケットに含まれる移転制御フラグが発信者を
認証すべきであることを示すときに、発信者により提示
された発信者識別子を認証し、該発信者識別子の認証が
失敗したときには前記メールの配送を拒否するように前
記コンピュータハードウェアを動作させることを特徴と
する。
【0126】また、本発明では、前記コンピュータソフ
トウェアは、前記発信者識別子の認証を、発信者と前記
セキュア・コミュニケーション・サービス間のチャレン
ジ/レスポンス認証により実現するように前記コンピュ
ータハードウェアを動作させることを特徴とする。
【0127】また、本発明では、前記個別化アクセスチ
ケット内の発信者識別子と着信者識別子は発信者と着信
者の役割識別子により与えられ、各ユーザの役割識別子
は、それにより認証局が各ユーザを一意に識別可能な各
ユーザの個人識別子の断片を少なくとも一つ含んだもの
であって、前記コンピュータソフトウェアは更に、前記
発信者により使われた複数の個別化アクセスチケットに
含まれた該発信者の複数の役割識別子の同一性を判定し
て、該発信者の個人識別子を再構成することにより、該
発信者の身元を確率的に特定するように前記コンピュー
タハードウェアを動作させることを特徴とする。
【0128】また、本発明では、それにより認証局が各
ユーザを一意に識別可能な各ユーザの個人識別子の断片
を少なくとも一つ含んだ各ユーザの役割識別子と、それ
により各役割識別子を一意に識別可能な各役割識別子の
リンク情報とが定義され、前記個別化アクセスチケット
内の発信者識別子と着信者識別子は発信者の役割識別子
のリンク情報と着信者の役割識別子のリンク情報により
与えられ、前記コンピュータソフトウェアは更に、前記
発信者により使われた複数の個別化アクセスチケットに
含まれたリンク情報に対応する該発信者の複数の役割識
別子の同一性を判定して、該発信者の個人識別子を再構
成することにより、該発信者の身元を確率的に特定する
ように前記コンピュータハードウェアを動作させること
を特徴とする。
【0129】また、本発明では、前記コンピュータソフ
トウェアは、前記個別化アクセスチケットに基づいて発
信者の着信者に対するアクセス権が検証された場合に
は、発信者により提示された発信者識別子を用いて該個
別化アクセスチケットから着信者識別子を取り出し、取
り出した着信者識別子を用いて前記メールを実際にメー
ルの配送処理を行うメール転送機能が解釈可能な形式に
変換し、変換後の前記メールに該個別化アクセスチケッ
トを添付して該メール転送機能に渡すように前記コンピ
ュータハードウェアを動作させることを特徴とする。
【0130】さらに、本発明は、コンピュータハードウ
ェアと、個別化アクセスチケットの要求をユーザから受
け取り、発信者識別子と着信者識別子を対応付けて含
み、自身の秘密鍵により署名された個別化アクセスチケ
ットを発行するように前記コンピュータハードウェアを
動作させるコンピュータソフトウェアと、を有すること
を特徴とする、メールアクセス制御を実現した通信シス
テムにおけるセキュアな演算装置を提供する。
【0131】さらに、本発明は、コンピュータハードウ
ェアと、各登録者の識別子と、個人情報に比べて秘密性
の低い公開情報を不特定多数から検索可能な状態で管理
し、発信者に対して、発信者から指定された検索条件に
応じて、検索条件を満たした公開情報の登録者の識別子
を着信者識別子とし、検索条件と共に発信者により指定
された発信者識別子を用いて、発信者識別子と着信者識
別子を対応付けて含んだ個別化アクセスチケットを発行
するように前記コンピュータハードウェアを動作させる
コンピュータソフトウェアと、を有することを特徴とす
る、メールアクセス制御を実現した通信システムにおけ
るディレクトリ・サービス装置を提供する。
【0132】さらに、本発明は、コンピュータハードウ
ェアと、それにより自身が各ユーザを一意に識別可能な
各ユーザの個人識別子と、該各ユーザの個人識別子の断
片を少なくとも一つ含んだ役割識別子を、各ユーザに対
して発行するように前記コンピュータハードウェアを動
作させるコンピュータソフトウェアと、を有することを
特徴とする、メールアクセス制御を実現した通信システ
ムにおける認証局装置を提供する。
【0133】さらに、本発明は、コンピュータハードウ
ェアと、各ユーザの識別子と、一般に一つの発信者識別
子と複数の着信者識別子を対応付けて含みそれらの内の
一識別子が所有者識別子である個別化アクセスチケット
の中で該各ユーザの識別子を所有者識別子として含む個
別化アクセスチケットの変更権を示す各ユーザの識別子
のEnabler を各ユーザに対して発行するように前記コン
ピュータハードウェアを動作させるコンピュータソフト
ウェアと、を有することを特徴とする、メールアクセス
制御を実現した通信システムにおける認証局装置を提供
する。
【0134】さらに、本発明は、コンピュータハードウ
ェアと、一つの発信者識別子と複数の着信者識別子を対
応付けて含みそれらの内の一識別子が所有者識別子であ
る個別化アクセスチケットの要求をユーザから受け取
り、該ユーザが該個別化アクセスチケットに含まれる所
有者識別子と該ユーザの識別子を所有者識別子として含
む個別化アクセスチケットの変更権を示し該所有者識別
子に対応するEnabler の両方を提示したときに該個別化
アクセスチケットに対する所定の演算を行うように前記
コンピュータハードウェアを動作させるコンピュータソ
フトウェアと、を有することを特徴とする、メールアク
セス制御を実現した通信システムにおけるセキュアな演
算装置を提供する。
【0135】さらに、本発明は、着信者にメールの送信
を希望する発信者により着信者をメールの宛先として指
定するために提示され、発信者識別子と着信者識別子を
対応付けて含んだ個別化アクセスチケットを受け取り、
該個別化アクセスチケットに基づいて発信者の着信者に
対するアクセス権を検証することにより発信者と着信者
間のアクセスを制御して、発信者と着信者間の通信を接
続する、メールアクセス制御を実現した通信システムに
おけるセキュア・コミュニケーション・サービス装置と
してコンピュータを動作させるプログラムを格納した記
憶媒体を提供する。
【0136】また、本発明では、前記プログラムは、発
信者により提示された前記個別化アクセスチケットを認
証し、発信者により提示された該個別化アクセスチケッ
トが改竄されているときには、前記メールの配送を拒否
するように前記コンピュータを動作させることを特徴と
する。
【0137】また、本発明では、前記個別化アクセスチ
ケットは、該個別化アクセスチケットを発行したセキュ
アな演算装置の秘密鍵により署名されており、前記プロ
グラムは、該セキュアな演算装置の公開鍵により該個別
化アクセスチケット内の該セキュアな演算装置の署名を
検証することにより、該個別化アクセスチケットを認証
するように前記コンピュータを動作させることを特徴と
する。
【0138】また、本発明では、前記プログラムは、発
信者により前記個別化アクセスチケットと共に提示され
た発信者識別子も受け取り、発信者により提示された該
発信者識別子が発信者により提示された該個別化アクセ
スチケットに含まれているか否かチェックし、発信者に
より提示された該発信者識別子が発信者により提示され
た該個別化アクセスチケットに含まれていないときに
は、前記メールの配送を拒否するように前記コンピュー
タを動作させることを特徴とする。
【0139】また、本発明では、前記個別化アクセスチ
ケットは、該個別化アクセスチケットが有効である期間
を示す有効期限も含み、前記プログラムは、発信者によ
り提示された該個別化アクセスチケットに含まれた有効
期限をチェックし、発信者により提示された該個別化ア
クセスチケットが既に切れた有効期限を含んでいるとき
には前記メールの配送を拒否するように前記コンピュー
タを動作させることを特徴とする。
【0140】また、本発明では、前記プログラムは、そ
のユーザからの特定の登録者へのメールの配送が拒否さ
れるべき特定のユーザの識別子を発信者識別子として含
み該特定の登録者の識別子を着信者識別子として含んだ
個別化アクセスチケットを予め前記セキュア・コミュニ
ケーション・サービス装置に登録し、発信者により提示
された個別化アクセスチケットが前記セキュア・コミュ
ニケーション・サービス装置に予め登録されたものであ
るときには前記メールの配送を拒否するように前記コン
ピュータを動作させることを特徴とする。
【0141】また、本発明では、前記プログラムは、個
別化アクセスチケットを登録した前記特定の登録者から
の要求により、前記セキュア・コミュニケーション・サ
ービス装置において登録された個別化アクセスチケット
を削除するように前記コンピュータを動作させることを
特徴とする。
【0142】また、本発明では、前記個別化アクセスチ
ケットは、前記セキュア・コミュニケーション・サービ
ス装置により発信者を認証すべきかどうか示す移転制御
フラグも含み、前記プログラムは、該個別化アクセスチ
ケットに含まれる移転制御フラグが発信者を認証すべき
であることを示すときに、発信者により提示された発信
者識別子を認証し、該発信者識別子の認証が失敗したと
きには前記メールの配送を拒否するように前記コンピュ
ータを動作させることを特徴とする。
【0143】また、本発明では、前記プログラムは、前
記発信者識別子の認証を、発信者と前記セキュア・コミ
ュニケーション・サービス装置間のチャレンジ/レスポ
ンス認証により実現するように前記コンピュータを動作
させることを特徴とする。
【0144】また、本発明では、前記個別化アクセスチ
ケット内の発信者識別子と着信者識別子は発信者と着信
者の役割識別子により与えられ、各ユーザの役割識別子
は、それにより認証局が各ユーザを一意に識別可能な各
ユーザの個人識別子の断片を少なくとも一つ含んだもの
であって、前記プログラムは更に、前記発信者により使
われた複数の個別化アクセスチケットに含まれた該発信
者の複数の役割識別子の同一性を判定して、該発信者の
個人識別子を再構成することにより、該発信者の身元を
確率的に特定するように前記コンピュータを動作させる
ことを特徴とする。
【0145】また、本発明では、それにより認証局が各
ユーザを一意に識別可能な各ユーザの個人識別子の断片
を少なくとも一つ含んだ各ユーザの役割識別子と、それ
により各役割識別子を一意に識別可能な各役割識別子の
リンク情報とが定義され、前記個別化アクセスチケット
内の発信者識別子と着信者識別子は発信者の役割識別子
のリンク情報と着信者の役割識別子のリンク情報により
与えられ、前記プログラムは更に、前記発信者により使
われた複数の個別化アクセスチケットに含まれたリンク
情報に対応する該発信者の複数の役割識別子の同一性を
判定して、該発信者の個人識別子を再構成することによ
り、該発信者の身元を確率的に特定するように前記コン
ピュータを動作させることを特徴とする。
【0146】また、本発明では、前記プログラムは、前
記個別化アクセスチケットに基づいて発信者の着信者に
対するアクセス権が検証された場合には、発信者により
提示された発信者識別子を用いて該個別化アクセスチケ
ットから着信者識別子を取り出し、取り出した着信者識
別子を用いて前記メールを実際にメールの配送処理を行
うメール転送機能が解釈可能な形式に変換し、変換後の
前記メールに該個別化アクセスチケットを添付して該メ
ール転送機能に渡すように前記コンピュータを動作させ
ることを特徴とする。
【0147】さらに、本発明は、個別化アクセスチケッ
トの要求をユーザから受け取り、発信者識別子と着信者
識別子を対応付けて含み、自身の秘密鍵により署名され
た個別化アクセスチケットを発行する、メールアクセス
制御を実現した通信システムにおけるセキュアな演算装
置としてコンピュータを動作させるプログラムを格納し
た記憶媒体を提供する。
【0148】さらに、本発明は、各登録者の識別子と、
個人情報に比べて秘密性の低い公開情報を不特定多数か
ら検索可能な状態で管理し、発信者に対して、発信者か
ら指定された検索条件に応じて、検索条件を満たした公
開情報の登録者の識別子を着信者識別子とし、検索条件
と共に発信者により指定された発信者識別子を用いて、
発信者識別子と着信者識別子を対応付けて含んだ個別化
アクセスチケットを発行する、メールアクセス制御を実
現した通信システムにおけるディレクトリ・サービス装
置としてコンピュータを動作させるプログラムを格納し
た記憶媒体を提供する。
【0149】さらに、本発明は、それにより自身が各ユ
ーザを一意に識別可能な各ユーザの個人識別子と、該各
ユーザの個人識別子の断片を少なくとも一つ含んだ役割
識別子を、各ユーザに対して発行する、メールアクセス
制御を実現した通信システムにおける認証局装置として
コンピュータを動作させるプログラムを格納した記憶媒
体を提供する。
【0150】さらに、本発明は、各ユーザの識別子と、
一般に一つの発信者識別子と複数の着信者識別子を対応
付けて含みそれらの内の一識別子が所有者識別子である
個別化アクセスチケットの中で各ユーザの識別子を所有
者識別子として含む個別化アクセスチケットの変更権を
示す各ユーザの識別子のEnabler を各ユーザに対して発
行する、メールアクセス制御を実現した通信システムに
おける認証局装置としてコンピュータを動作させるプロ
グラムを格納した記憶媒体を提供する。
【0151】さらに、本発明は、一つの発信者識別子と
複数の着信者識別子を対応付けて含みそれらの内の一識
別子が所有者識別子である個別化アクセスチケットの要
求をユーザから受け取り、該ユーザが該個別化アクセス
チケットに含まれる所有者識別子と該ユーザの識別子を
所有者識別子として含む個別化アクセスチケットの変更
権を示し該所有者識別子に対応するEnabler の両方を提
示したときに該個別化アクセスチケットに対する所定の
演算を行う、メールアクセス制御を実現した通信システ
ムにおけるセキュアな演算装置としてコンピュータを動
作させるプログラムを格納した記憶媒体を提供する。
【0152】
【発明の実施の形態】まず、図1乃至図7を参照して本
発明の第1の実施形態について説明する。本発明のメー
ルアクセス制御方法は、通信網における発信者および着
信者の匿名性を保持しつつ、発信者と着信者間の双方向
通信をも適宜可能とするものであり、基本的には着信者
の本当の識別子を隠蔽した状態で、着信者の特性を表す
情報のみを公開し、この公開された情報に基づいて、匿
名性を保持したまま通信を希望する者に対して限定的な
アクセス権を付与することにある。
【0153】具体的には、ユーザに対して個人情報を隠
蔽した役割識別子(Anonymous Identification:AID
と略称する)を付与し、この役割識別子AIDをユーザ
の特性を表す情報である趣味、年齢、職業等のようなユ
ーザをネットワーク上で特定はできないが、発信者にと
って当該ユーザと通信する価値があるかどうかを判断す
るための有用な情報と組にしてネットワークに公開す
る。
【0154】また、発信者は、前記公開された情報を閲
覧または検索することにより自分が通信したい相手を捜
すことができる。すなわち、発信者が発信者自身の匿名
性を保持したままある相手と通信したい場合には、その
相手の役割識別子を指定し、個別化アクセスチケットP
AT(Personalized Access Ticket)を取得する。
【0155】個別化アクセスチケットPATには、発信
者、着信者それぞれの役割識別子AIDの他に、移転制
御フラグ、および、有効期限の各情報が記載されてい
る。移転制御フラグは、セキュア・コミュニケーション
・サービスSCS(Secure Communication Service)が
送信者に対し認証を実行するか否かを決定するために使
用される。すなわち、移転制御フラグを立てると、SC
Sは、接続要求の際に、発信者に対し、例えば署名の検
証等の認証を行う。また、移転制御フラグを立てない場
合には、セキュア・コミュニケーション・サービスSC
Sは認証無しで接続要求をセキュア・コミュニケーショ
ン・サービスSCSが接続している物理的通信網に渡
す。すなわち、移転制御は役割識別子AIDがこれを認
証局CA(Certification Authority)から割り当てられ
たユーザによって正当に利用されているかを認証するた
めに用いられる。
【0156】本発明のメールアクセス制御方法を実施す
る通信網においては、ユーザに対する役割識別子AID
の付与、役割識別子AIDと組み合わされた公開情報の
保持、個別化アクセスチケットPATの発行、および個
別化アクセスチケットPATに基づくメールアクセス制
御はそれぞれ別の機関で行われている。これは、それぞ
れの行為に関して保持すべきセキュリティレベルに差が
あるので、別々の機関で実行した方がネットワーク全体
のセキュリティの保持には好都合だからである。但し、
公開情報の保持とPATの発行は同一の機関で行っても
よい。
【0157】図1は、本第1の実施形態の通信システム
の全体構成図である。本実施形態はインターネットまた
はイントラネット上の電子メールサービスを対象とした
ものである。図1において、1は認証局CAであり、個
人識別子OIDの認証権限と役割識別子AIDの発行権
限を有し、個人識別子OIDから役割識別子AIDを生
成し、ユーザに対して役割識別子AIDを割り当てる機
能を有する。3はユーザである。5はセキュア・コミュ
ニケーション・サービスSCSであり、ユーザ3からの
電子メールによる接続要求に対し接続を許可するか否か
を、ユーザ3から提示された個別化アクセスチケットを
用いて判定する。また、ユーザ3からの要求に基づい
て、電子メールによる接続要求を拒否する。また、ユー
ザ3からの要求に基づいて、個人識別子OIDの同一性
を判定する。7はアノニマス・ディレクトリ・サービス
ADSであり、役割識別子AID、移転制御フラグの
値、有効期限の値、及び、ユーザ3についての公開情報
(趣味等、氏名、電話番号、実Eメールアドレス等の個
人情報に比べ秘密性の低いと考えられる情報)を管理す
るデータベースである。アノニマス・ディレクトリ・サ
ービスADS7は、検索条件を提示したユーザ3の役割
識別子AID、検索条件を満足する公開情報をアノニマ
ス・ディレクトリ・サービスADS7に登録していたユ
ーザ3の役割識別子AID、ユーザ3または管理者等に
より与えられた移転制御フラグの値、及び、ユーザ3ま
たは管理者等により与えられた有効期限の値から個別化
アクセスチケットPATを生成し、検索条件を提示した
ユーザ3に割り当てる機能を有する。
【0158】まず、ユーザの要求に基づいて個人識別子
から役割識別子AIDを生成し、そのユーザに割り当て
るまでの一連の処理について説明する。
【0159】図2は、個人識別子OID、役割識別子A
IDおよび個別化アクセスチケットPATの例を示して
いる。個人識別子OIDは、図2(a)に示すように、
認証局CA1がユーザを一意に識別可能な規則に従う任
意の文字列と公開鍵から構成される情報に対し、認証局
CA1が署名したものである。また、役割識別子AID
は、図2(b)に示すように、個人識別子OIDの断片
とその位置情報、冗長な文字列、SCSを動かしている
ホストまたはドメインをネットワーク上で一意に識別可
能な任意の文字列(ホスト名、実ドメイン名等)である
SCSの情報から構成される情報に対し、認証局CA1
が署名したものである。
【0160】また、個別化アクセスチケットPATは、
図2(c)に示すように、移転制御フラグ、役割識別子
AID0 、役割識別子AID1 、有効期限から構成され
る情報に対して、アノニマス・ディレクトリ・サービス
ADSが署名したものである。ここで、移転制御フラグ
の値は、0または1のいずれかであると定義する。ま
た、有効期限はPATの使用回数、PATが利用不可能
になる絶対時刻(UTC)、PATが利用可能になる絶
対時刻(UTC)、PATが利用可能になってから利用
不可能になるまでの相対時間(寿命)のいずれか、また
は複数を組み合わせて定義する。
【0161】更に、後述する各実施形態で説明するよう
に、本発明は、個別化アクセスチケットPATとして、
上述した1対1個別化アクセスチケットに加えて、発信
者と着信者を1対Nに対応させている1対N個別化アク
セスチケット、および役割識別子の実体を個別化アクセ
スチケットで指定する代わりに役割識別子を指定するリ
ンク情報を持ち、このリンク情報で役割識別子を指定す
るリンク指定型個別化アクセスチケットを有し、このリ
ンク指定型個別化アクセスチケットには上述した発信者
と着信者の対応関係に基づきリンク指定型1対1個別化
アクセスチケットとリンク指定型1対N個別化アクセス
チケットがある。すなわち、本発明の個別化アクセスチ
ケットには、1対1個別化アクセスチケット、1対N個
別化アクセスチケット、リンク指定型1対1個別化アク
セスチケット、およびリンク指定型1対N個別化アクセ
スチケットの4種類がある。
【0162】次に、ユーザ3が役割識別子AIDを認証
局CA1に対して要求する手続きについて説明する。ユ
ーザ3は秘密鍵と公開鍵のペアを生成する。次に、ユー
ザ3の個人識別子OIDと認証局CA1の証明書を用い
て、ユーザ3と認証局CA1との間で双方向認証を行
う。次に、ユーザ3は該公開鍵を認証局CA1に任意の
手段で送信する。
【0163】なお、上記手続きにおいて、ユーザ3と認
証局CA1間の通信を暗号化する場合もある。
【0164】次に、上述した役割識別子AIDの要求に
対し、認証局CA1が役割識別子AIDをユーザ3に対
して交付する手続きについて説明する。認証局CA1
は、ユーザ3からの公開鍵を受信すると、役割識別子A
IDを生成する。次に、認証局CA1は該役割識別子A
IDをユーザ3に任意の手段で送信する。ユーザ3は認
証局CA1から役割識別子AIDを受信すると、受信し
た該役割識別子をユーザ3の記憶装置に記録する。
【0165】なお、上記手続きにおいて、ユーザ3と認
証局CA1間の通信を暗号化する場合もある。
【0166】次に、認証局CA1における役割識別子A
IDの生成処理について図3に示すフローチャートを用
いて説明する。図3において、認証局CA1は個人識別
子OIDの全長Lと等しい長さの情報を生成する。この
情報を仮の役割識別子AIDとする(ステップS91
1)。次に、OIDの部分複写を行うために、OIDの
複写範囲を指定するパラメータpiとliの値をそれぞれ
乱数発生等の任意の手段を用いて決定する(ステップS
913)。ここで、Lは個人識別子OIDの全長と等し
く、liは0≦pi≦Lの関係が成立する範囲で任意に定
めた値とする。次に、OIDの先頭から位置pI から位
置pi +li の範囲の情報を、仮AIDの同じ位置に複
写する(ステップS915)。つまり、このOID断片
は仮AIDの先頭から位置pi と位置pi+li の範囲
に複写される。次に、OIDを部分複写した仮AIDの
定められた範囲に、piとliの値を任意の手段で暗号化
して書き込む(ステップS917)。次に、これらの値
を書き込んだ仮AIDの定められた範囲にセキュア・コ
ミュニケーション・サービスSCS5を動かしているホ
ストまたはドメインをネットワーク上で一意に識別可能
な任意の文字列(ホスト名、実ドメイン等)であるSC
Sの情報を書き込む(ステップS919)。次に、文字
列を書き込んだ仮AIDに認証局CA1の秘密鍵で署名
する(ステップS921)。
【0167】次に、ユーザB3の役割識別子AID及び
公開情報をアノニマス・ディレクトリ・サービスADS
7に登録する手続きについて説明する。登録者であるユ
ーザB3とアノニマス・ディレクトリ・サービスADS
7との間で、ユーザB3の役割識別子AIDとADS7
の証明書を用いて、任意の手段で双方向認証を行う。次
に、ユーザB3は、移転制御フラグの値、有効期限の
値、および、趣味等の公開情報をADS7に送信する。
次に、ADS7はユーザB3から受信した移転制御フラ
グの値、有効期限の値、すべての公開情報を、すべてユ
ーザB3のAIDと関連付けて記憶装置に記録する。
【0168】なお、上記手続きにおいて、登録者である
ユーザB3とADS7間の通信を暗号化する場合もあ
る。
【0169】次に、ユーザA3がアノニマス・ディレク
トリ・サービスADS7に登録された公開情報を検索す
る手続きについて説明する。検索者であるユーザA3と
アノニマス・ディレクトリ・サービスADS7との間
で、ユーザA3の役割識別子AIDとADS7の証明書
を用いて、任意の手段で双方向認証を行う。次にユーザ
A3は任意の検索条件をADS7に送信する。次に、A
DS7は受信したすべての検索条件を記憶装置に提示
し、これらの検索条件を満足する登録者の役割識別子A
IDを抽出する。次に、ADS7はユーザA3のAID
と検索条件を満足した登録者のAIDと移転制御フラグ
の値と有効期限の値から個別化アクセスチケットPAT
を生成する。次に、ADS7は生成したPATをユーザ
A3に送信する。
【0170】なお、上記手続きにおいて、検索者である
ユーザA3とADS7間の通信を暗号化する場合もあ
る。
【0171】1対1個別化アクセスチケットは、アノニ
マス・ディレクトリ・サービスADS7の検索結果とし
て生成する。
【0172】次に、図4に示すフローチャートを参照し
て、ADSにおける1対1個別化アクセスチケットPA
Tの生成処理について説明する。まず、ある定められた
長さの情報を生成する。これを仮の個別化アクセスチケ
ット(仮PAT)とする(ステップS1210)。次
に、検索者であるユーザA3の役割識別子AIDと登録
者であるユーザB3の役割識別子AIDを仮PATの定
められた範囲に複写する)(ステップS1215)。次
に、移転制御フラグの値と有効期限の値をそれぞれ、A
IDを複写した仮PATの定められた範囲に書き込む
(ステップS1217)。次に、これらの値を書き込ん
だ仮PATにADSの秘密鍵で署名する(ステップS1
219)。
【0173】次に、1対1個別化アクセスチケットPA
Tによる移転制御について説明する。移転制御とは、P
ATを譲渡されたあるいは盗聴した第三者(本来はアク
セス権を有していないユーザ)から、正当なアクセス権
を持つユーザへのアクセスを制限する機能である。
【0174】アノニマス・ディレクトリ・サービスAD
S7および登録者AIDのユーザB3は、個別化アクセ
スチケットPATの移転制御フラグにある値を設定する
ことにより、アクセス権を有していない第三者からのユ
ーザB3への接続を禁止することができる。
【0175】移転制御フラグの値を1に設定した場合に
は、セキュア・コミュニケーション・サービスSCS5
と発信者との間で任意のチャレンジ/レスポンス方式に
従い発信者役割識別子AIDを認証するため、発信者が
発信者AIDとPATの両者を発信者以外のいかなるユ
ーザに渡しても、そのユーザは登録者にSCS5を介し
て接続できない。
【0176】一方、移転制御フラグの値を0に設定した
場合には、SCS5と発信者との間でいかなるチャレン
ジ/レスポンスも行わないため、発信者が発信者AID
とPATの両者を発信者以外のユーザに渡したら、それ
らのユーザもアノニマス・ディレクトリ・サービスの登
録者とSCS5を介して接続できるようになる。
【0177】次に、図5を参照してSCSにおけるメー
ルアクセス制御方法について説明する。
【0178】発信者はFrom:行に”発信者AID@
発信者のSCSの実ドメイン”、To:行に”PAT@
発信者のSCSの実ドメイン”の形式で指定する。
【0179】SCSはSMTP(Simple Mail Transfer
Protocol)等のMTA(Message Transfer Agent)の受信
したメールを取得し、図5に示す処理を実行する。
【0180】1.PATの署名をADS7の公開鍵を用
いて検証する(ステップS1413)。
【0181】・PATに改竄が認められる場合(ステッ
プS1415YES)、メールを廃棄して終了する(ス
テップS1416)。
【0182】・PATに改竄が認められ得ない場合(ス
テップS1415NO)、下記処理2.を実行する。
【0183】2.発信者AIDをPATに提示して検索
する(ステップS1417、S1419、S142
1)。
【0184】・発信者AIDと完全一致するAIDがP
ATに含まれていない場合には(ステップS1423N
O)、メールを廃棄して終了する(ステップS141
6)。
【0185】・発信者AIDと完全一致するAIDがP
ATに含まれている場合には(ステップS1423YE
S)、下記処理3.を実行する。
【0186】3.PATの有効期限の値を評価する(ス
テップS1425、S1427)。
【0187】・PATが有効期限外の場合には(ステッ
プS1427NO)、メールを廃棄して終了する(ステ
ップS1416)。
【0188】・PATが有効期限内の場合には(ステッ
プS1427YES)、下記処理4.を実行する。
【0189】4.PATの移転制御フラグの値を参照し
て、発信者を認証するか否かを決定する(ステップS1
431、S1433)。
【0190】・値が1の場合には(ステップS1433
YES)、SCSと発信者との間でチャレンジ/レスポ
ンス認証を実行し、発信者の署名を検証する(ステップ
S1435)。署名が正しい場合には、着信者を指定
し、PATを添付する(ステップS1437)。署名が
正しくない場合には、メールを廃棄して終了する(ステ
ップS1416)。
【0191】・値が0の場合には(ステップS1433
NO)、チャレンジ/レスポンス認証を実行せずに、着
信者を指定し、PATを添付する(ステップS143
7)。
【0192】次に、SCSと発信者との間のチャレンジ
/レスポンスの例を説明する。まず、SCSは任意の情
報、例えばタイムスタンプを生成し、生成した情報を発
信者に送信する。
【0193】次に、発信者は、受信した情報に発信者A
IDの秘密鍵で署名し、発信者AIDの公開鍵とあわせ
てSCSに送信する。
【0194】SCSは、受信した情報の署名を発信者A
IDの公開鍵を用いて検証する。署名が正しい場合に
は、着信者を指定し、PATを添付する。署名が正しく
ない場合にはメールを廃棄して終了する。
【0195】次に、SCSにおける着信者の指定方法に
ついて説明する。SCSは、まず、発信者AIDをPA
Tに提示して検索し、発信者AIDと完全一致しないす
べてのAIDを取得する。取得したすべてのAIDを以
後、着信者AIDと定義する。次に、すべての着信者A
IDについて、それぞれ、着信者AIDから着信者のS
CSの実ドメインを取り出す。次に、着信者を”着信者
AID@着信者のSCSの実ドメイン”の形式で指定す
る。最後に、SCSは発信者を”発信者AID@発信者
のSCSの実ドメイン”の形式から”発信者AID”の
形式に変更する。
【0196】次に、SCSにおけるPATの添付方法に
ついて説明する。SCSは、PATをメールの任意の箇
所に添付する。
【0197】発信者及び受信者を指定しPATを添付し
てから、SCSは、MTAにメールを渡す。
【0198】なお、上記すべての処理は、1対N個別化
アクセスチケットの場合も同様である。
【0199】次に、SCSにおける個別化アクセスチケ
ットPATに対する着信拒否方法について説明する。
【0200】着信拒否の設定:ユーザとセキュア・コミ
ュニケーション・サービスSCS5との間で、任意の手
段で双方向認証を行う。次に、ユーザは登録命令とユー
ザ自身のAIDと任意のPATをSCS5に送信する。
次に、SCS5は受信したAIDの署名を検証する。署
名が正しくない場合には、SCS5は処理を終了する。
署名が正しい場合には、SCS5は受信したすべてのP
ATについて、それぞれADSの公開鍵を用いて署名を
検証する。署名が正しくないPATについては廃棄す
る。署名が正しい場合には、受信したAIDをそれぞれ
のPATに提示して検索する。受信したAIDと完全一
致するAIDを含むPATについては、登録命令とPA
Tを記憶装置に提示して、PATを記憶装置に登録す
る。受信したAIDと完全一致するAIDを含まないP
ATについては記憶装置に登録せずに廃棄する。なお、
上記処理において、ユーザとSCS5間の通信を暗号化
する場合もある。
【0201】着信拒否の実行:SCS5はPATを記憶
装置に提示して検索する。提示したPATと完全一致す
るPATが記憶装置に登録されている場合には、メール
を廃棄する。提示したPATと完全一致するPATが記
憶装置に登録されていない場合には、メールを廃棄しな
い。
【0202】着信拒否の解除:ユーザとセキュア・コミ
ュニケーション・サービスSCS5との間で、任意の手
段で双方向認証を行う。次に、ユーザは自らのAIDを
SCS5に提示する。次に、SCS5は受信したAID
の署名を検証する。署名が正しくない場合には、SCS
5は処理を終了する。署名が正しい場合には、SCS5
は提示されたAIDを検索条件として記憶装置に提示し
て、提示されたAIDを含むすべてのPATを取得し、
ユーザに提示する。次に、ユーザは提示されたすべての
PATを参照し、着信拒否を解除したいPATをすべて
選択し、削除命令と併せてSCS5に送信する。削除命
令と着信拒否を解除したいすべてのPATを受信したS
CS5は、受信した削除命令及びすべてのPATを記憶
装置に提示して、受信したすべてのPATを記憶装置か
ら削除する。
【0203】なお、SCSにおける1対N個別化アクセ
スチケットPATに対する着信拒否方法も、上記1対1
個別化アクセスチケットに対する着信拒否方法と同様で
ある。
【0204】また、ユーザBからユーザAへのメールの
返信は、ユーザAからユーザBへのメールの送信の場合
と同様である。
【0205】次に、図6のフローチャート及び図7を参
照して、同一性の判定について説明する。
【0206】1.変数OIDM の初期値を、OIDの全
長Lと等しい長さで、かつ、すべての値が0であるビッ
ト列と定義する。また、変数OIDV の初期値を、OI
Dの全長Lと等しい長さで、かつ、すべての値が0であ
るビット列と定義する(ステップS2511)。
【0207】2.処理対象のAIDの集合から1個のA
IDを選択し、以下のビット演算を実行する(ステップ
S2513)。
【0208】(a) AIDに含まれる位置情報をもとにし
て、変数AIDM と変数AIDV の値を決定する(ステ
ップS2515)。ここで、 ・AIDM はOIDの全長Lと等しい長さで、かつ、 −OID情報が定義されている位置の値は1である。 −OID情報が定義されていない位置の値は0である。 ビット列と定義する(図7)。 ・AIDV はOIDの全長Lと等しい長さで、かつ、 −OID情報が定義されている位置の値はOID情報の
実際の値である。 −OID情報が定義されていない位置の値は0である。 ビット列と定義する(図7)。
【0209】(b) OIDM とAIDM のAND演算を実
行し、その結果を変数OVRM に代入する(ステップS
2517)。
【0210】(c) OVRM とAIDM のAND演算と、
OVRM とOIDM のAND演算を実行し、その演算結
果を比較する(ステップS2519)。
【0211】・一致する場合OIDM とAIDM のOR
演算を実行し、実行結果をOIDM に代入する(ステッ
プS2521)。また、OIDV とAIDV のOR演算
を実行し、実行結果をOIDM に代入する(ステップS
2523)。
【0212】・一致しない場合、ステップS2525に
進み、実行する。
【0213】(d) 処理対象のAIDの集合から、次に処
理するAIDを抽出する。
【0214】・集合に少なくとも1個のAIDが含まれ
ている場合、ステップS2513ーS2523を実行す
る。
【0215】・集合にAIDが1個も含まれていない場
合、ステップS2527に進む。
【0216】(e) OIDM およびOIDV の値を出力す
る(ステップS2527)。
【0217】最終的に得られたOIDM の値は、処理対
象のAIDの集合から復元できたOID情報のすべての
位置を表している。また、最終的に得られたOIDV
値は、処理対象のAIDの集合から復元できたOID情
報のすべてを表している。つまり、OIDM とOIDV
の値を用いると、 (a) OIDV の値を検索条件とすると、確率的にではあ
るがOIDを求めることができる。
【0218】(b) 上記検索の精度を、OID全長Lとの
比OIDM /Lで定量的に評価することができる。
【0219】上述したように、本実施形態では、ユーザ
要求に基づいて、秘密性且つ信用性の高い第三者機関で
ある認証局CA1において、氏名、電話番号、実Eメー
ルアドレス等秘密性の高い個人情報を含む個人識別子O
IDからこれらの個人情報を隠蔽した役割識別子AID
を生成し、ユーザに交付する。このAIDを用いて通信
網及び通信網上で提供される各種サービスにおいてユー
ザを識別することにより、ユーザの匿名性保証と本人保
証の両立が可能になる。つまり、ユーザは実名や電話番
号やEメールアドレスを相手に教えなくても、お互いに
通信できるようになるし、後述のようにアノニマス・デ
ィレクトリ・サービスADS7を介して不特定多数に公
開情報を開示することもできる。
【0220】ユーザは、個人情報に比べ秘密性のより低
いと思われる情報すなわち公開情報をアノニマス・ディ
レクトリ・サービスADS7に登録する。公開情報及び
登録者AIDを検索する場合には、検索者は検索者の役
割識別子AIDと任意の検索条件をADS7に提示す
る。ADS7はすべての検索条件を満足する登録者の役
割識別子AIDを抽出し、次に、検索者AIDと検索条
件を満足した登録者のAIDと移転制御フラグの値と有
効期限の値から個別化アクセスチケットPATを生成す
る。
【0221】この1対1個別化アクセスチケットPAT
には、図2(c)に示すように移転制御フラグの値、有
効期限の値が設定されるが、この有効期限を事前に設定
することにより、発信者からの接続を制限することがで
きる。
【0222】また、移転制御フラグの値により、アクセ
ス権を有していない第三者からの接続を禁止することが
できる。すなわち、移転制御フラグの値を1に設定した
場合には、セキュア・コミュニケーション・サービスS
CS5と発信者との間で任意のチャレンジ/レスポンス
方式に従い発信者役割識別子AIDを認証するため、発
信者が発信者AIDとPATの両者を発信者以外のいか
なるユーザに渡しても、そのユーザはアノニマス・ディ
レクトリ・サービスADS7への登録者にSCS5を介
して接続できない。一方、移転制御フラグの値を0に設
定した場合には、SCS5と発信者との間でいかなるチ
ャレンジ/レスポンスも行わないため、発信者が発信者
AIDとPATの両者を発信者以外のユーザに渡した
ら、それらのユーザもADS7への登録者にSCS5を
介して接続できるようになる。
【0223】また、1対1個別化アクセスチケットPA
Tで着信者を指定した呼を個別化アクセスチケットPA
T内で定義した着信者役割識別子AIDまたは発信者役
割識別子AIDに着信するように、通信網に対して接続
要求をすることができる。更に、1対1個別化アクセス
チケットPATで指定した呼のうち、着信者が選択した
1対1個別化アクセスチケットPATの呼を着信拒否す
ることができる。また、着信者が選択した1対1個別化
アクセスチケットの呼の着信拒否を解除することもでき
る。更に、匿名性を悪用し複数の発信者役割識別子AI
Dで個人攻撃を繰り返す発信者への対処として、それら
複数の発信者役割識別子AIDから個人識別子OIDの
同一性を判定することができ、かつ、その個人識別子を
ある確率で取り出すことができる。
【0224】次に、本発明の第2の実施形態に係るメー
ルアクセス制御方法について図8乃至図24を参照して
説明する。上述した第1の実施形態では発信者と着信者
を1対1に対応させる場合について説明したのに対し
て、第2の実施形態では、発信者と着信者を1対Nに対
応させるとともに、この1対N個別化アクセスチケット
の新規生成、内容変更をユーザ主導で可能とする場合に
ついて説明するものである。なお、この発信者はPAT
の所有者またはPATの会員のいづれかである。同様に
受信者もPATの所有者またはPATの会員のいづれか
である。
【0225】一般に、グループ通信(メーリングリスト
等)の会員構成は動的に変化するため、グループ通信の
主催者は会員の電話番号、Eメールアドレス等の連絡先
情報を管理する必要がある。これに対して、第1の実施
形態のように、1対1個別化アクセスチケットの新規生
成しかできない場合には、連絡先情報の管理が困難であ
る。例えば、グループを一体として管理することが困難
であり、また移転制御のため、他の人に渡しても、メー
リングリスト等グループ通信のアドレスとして機能しな
い。
【0226】本第2の実施形態では、このような不具合
を解消するために1対N個別化アクセスチケットPAT
の新規生成および既存の1対N個別化アクセスチケット
PATの内容変更をユーザ主導でできるようにしてい
る。
【0227】まず、本第2の実施形態で使用される各識
別子の定義について図8、図9を参照して説明する。
【0228】個人識別子(Official Identification :
OID)は、図8(a)に示すように、認証局(Certif
icate Authority :CA)がユーザを一意に認識可能な
規則に従う任意の文字列(電話番号、電子メールアドレ
ス等)と公開鍵から構成される情報に対し、認証局CA
が署名したものである。
【0229】役割識別子(Anonymous Identification:
AID)は、図8(b)に示すように、個人識別子OI
Dの断片とその位置情報、冗長な文字列、SCSを動か
しているホストまたはドメインをネットワーク上で一意
に識別可能な任意の文字列(ホスト名、実ドメイン名
等)であるSCSの情報から構成される情報に対し、認
証局CAが署名したものである。
【0230】1対N個別化アクセスチケットPATは、
図8(c)に示すように、2個以上の役割識別子、所有
者インデックス、有効期限、移転制御フラグ、PAT演
算装置識別子から構成される情報に対し、PAT演算装
置の秘密鍵で署名したものである。
【0231】ここで、役割識別子AIDの1個はこのP
ATの所有者役割識別子AIDで、所有者AIDとこれ
に対応したEnabler をPAT演算装置に提示することに
より、PATへのAIDの追加、PATからのAIDの
削除、PATの有効期限の変更、PATの移転制御フラ
グの値の変更等、PATに含まれる情報を変更すること
ができる。
【0232】一方、PATに含まれる所有者AID以外
のAIDはすべて会員AIDで、会員AIDとこれに対
応したEnabler をPAT演算装置に提示しても、PAT
に含まれる情報を変更することはできない。
【0233】所有者インデックスは、所有者AIDを識
別するための数値データで、所有者AIDと会員AID
から構成されるAIDリストにおける先頭のAIDが所
有者AIDの場合には1、先頭から2番目のAIDが所
有者AIDの場合には2,…、n番目の場合にはnであ
ると定義する。移転制御フラグは、1対1個別化アクセ
スチケットの場合と同様、0または1の値をとりうると
定義する。
【0234】所有者AIDは、AIDリストにおける所
有者インデックスの値の位置に書き込まれているAID
であると定義する。会員AIDは、所有者AID以外の
すべてのAIDと定義する。有効期限は、PATの使用
回数、PATが利用不可能になる絶対時刻(UTC)、
PATが利用可能になる絶対時刻(UTC)、PATが
利用可能になってから利用不可能になるまでの相対時間
(寿命)のいずれか、または複数を組み合わせて定義す
る。PAT演算装置(またはネットワーク上のPAT演
算オブジェクト)の識別子は、PAT演算装置のシリア
ルナンバー(またはPAT演算オブジェクトのネットワ
ーク上の識別名)であると定義する。PAT演算装置
(またはネットワーク上のPAT演算オブジェクト)の
秘密鍵は、前記識別子に一意に対応すると定義する。
【0235】また、本第2の実施形態では、役割識別子
AIDに対応した識別子として、Enabler を導入してい
る。Enabler は、図9に示すように、Enabler であるこ
とを一意に表す文字列とAIDから構成される情報に対
して、認証局CA1が署名したものである。
【0236】次にPATの新規生成および内容変更にお
ける操作について説明する。通信端末上のセキュアなP
AT演算装置、CA上もしくはCAから正当に依頼され
たネットワーク上のPAT演算オブジェクト(以後、こ
れもPAT演算装置と呼ぶことにする)において、次の
操作が定義される。
【0237】1.AIDリストの編集 AIDとEnabler を用いて、PATに含まれるAIDの
リスト(以後、AIDリストと呼ぶ)を編集する。また
は、AIDリストを新規生成する。
【0238】2.有効期限および移転制御フラグの設定 AIDとEnabler を用いて、PATに含まれる有効期限
の値及び移転制御フラグの値を変更する。または、新た
に生成したAIDリストに新たな有効期限の値及び新た
な移転制御フラグの値を設定する。
【0239】所有者AIDとこの所有者AIDに対応し
たEnabler をPAT演算装置に提示したユーザは、PA
Tに含まれるAIDのリストを編集できる。このとき、
以下の演算規則に従う。
【0240】(1) 新規生成(MakePAT)(図10参
照): AIDリスト(ALIST<所有者AID|会員AID
1 ,会員AID2 ,…,会員AIDn >)を新規生成
し、生成後のALISTに対し、有効期限の値および移
転制御フラグの値を設定する。
【0241】
【数1】 AIDA +AIDB + Enabler of AIDB + Enabler of AIDA → ALIST<AIDA |AIDB > ALIST<AIDA |AIDB > + Enabler of AIDA + 有効期限の値 + 移転制御フラグの値 → PAT<AIDA |AIDB > (2) マージ(MergePAT)(図11参照): 同一所有者AIDの複数ALISTをマージし、マージ
後のALISTに対し、有効期限の値および移転制御フ
ラグの値を設定する。
【0242】
【数2】 ALIST<AIDA |AIDB1,AIDB2,…> + ALIST<AIDA |AIDC1,AIDC2,…> + Enabler of AIDA → ALIST<AIDA |AIDB1,AIDB2,…, AIDC1,AIDC2,…> ALIST<AIDA |AIDB1,AIDB2,…,AIDC1,AIDC2,…> + Enabler of AIDA + 有効期限の値 + 移転制御フラグの値 → PAT<AIDA |AIDB1,AIDB2,…,AIDC1,AIDC2,…> (3) 分割(SplitPAT)(図12参照): ALISTを同一所有者AIDの複数ALISTに分解
し、分解後のすべてのALISTに対し、それぞれ、有
効期限の値および移転制御フラグの値を設定する。
【0243】
【数3】 ALIST<AIDA |AIDB1,AIDB2,…, AIDC1,AIDC2,…> + Enabler of AIDA → ALIST<AIDA |AIDB1,AIDB2,…> + ALIST<AIDA |AIDC1,AIDC2,…> ALIST<AIDA |AIDC1,AIDC2,…> + Enabler of AIDA + 有効期限の値 + 移転制御フラグの値 → PAT<AIDA |AIDC1,AIDC2,…> (4) 所有者変更(TransPAT)(図13参照): ALISTの所有者AIDを変更し、変更後のALIS
Tに対し有効期限の値および移転制御フラグの値を設定
する。
【0244】
【数4】 ALIST<AIDA |AIDB > + ALIST<AIDA |AIDC1,AIDC2,…> + Enabler of AIDA + Enabler of AIDB → ALIST<AIDB |AIDC1,AIDC2,…> ALIST<AIDB |AIDC1,AIDC2,…> + Enabler of AIDB + 有効期限の値 + 移転制御フラグの値 → PAT<AIDB |AIDC1,AIDC2,…> 有効期限の値の設定における操作では、所有者AIDと
これに対応したEnabler の両者を所有するユーザにのみ
有効期限の値の設定を許可するために、以下の操作を定
義する。
【0245】
【数5】 PAT<AIDA |AIDB > + Enabler of AIDA+有効期限の値 → PAT<AIDA |AIDB > 移転制御フラグの値の設定における操作では、所有者A
IDとこれに対応したEnabler の両者を所有するユーザ
にのみ移転制御フラグの値の設定を許可するために、以
下の操作を定義する。
【0246】
【数6】 PAT<AIDA |AIDB > + Enabler of AIDA + 移転制御フラグの値 → PAT<AIDA |AIDB > 次に、本実施形態の全体構成を示す図14〜図20につ
いて説明する。図14〜図20において、CAからAI
A を割り当てられたユーザAは、ユーザAの計算機に
AIDA および Enabler of AIDA を保存し、フロッ
ピードライブ、CD−ROMドライブ、通信ボード、マ
イクロフォン、スピーカー等の入出力機器を接続してい
る。または、記憶装置及びデータ入出力機能を備える通
信端末(電話、携帯電話等)に、AIDA および Enabl
er of AIDA を保存している。
【0247】同様に、CAからAIDB を割り当てられ
たユーザBは、自らの計算機にAIDB および Enabler
of AIDB を保存し、フロッピードライブ、CD−R
OMドライブ、通信ボード、マイクロフォン、スピーカ
ー等の入出力機器を接続している。または、記憶装置及
びデータ入出力機能を備える通信端末(電話、携帯電話
等)に、AIDB および Enabler of AIDB を保存し
ている。
【0248】以下、ユーザAがPAT<AIDA |AI
B >を生成する手順を説明する。 (1) ユーザAは、以下の手段のいずれかを用いて、AI
B および Enabler of AIDB を取得する。
【0249】・アノニマス・ディレクトリ・サービスA
DS7にAIDB と Enabler of AIDB を登録し、ユ
ーザAが検索結果として取得するのを待つ(図14)。
【0250】・電子メール、シグナリング等でAIDB
と Enabler of AIDB をユーザAに直接送信する(図
15〜図16)。
【0251】・フロッピーディスク、CD−ROM、M
O、ICカード等の磁気、光、電子メディアにAIDB
と Enabler of AIDB を蓄積し、ユーザAに渡す。ま
たは、ユーザAが閲覧して取得するのを待つ(図17〜
図18)。
【0252】・書籍、名刺等の紙メディアにAIDB
Enabler of AIDB を記載し、ユーザAに渡す。もし
くは、ユーザAが閲覧し取得するのを待つ(図19〜図
20)。
【0253】(2) 上述した(1)のいずれかの手段でA
IDB および Enabler of AIDBを取得したユーザA
は、PAT演算装置に対しMakePAT命令を発行する。
この手順は図14〜図20で共通で、以下の通りに定義
する。
【0254】(a) ユーザAは、ユーザAの通信端末にA
IDA 、 Enabler of AIDA 、AIDB 、 Enabler o
f AIDB 、有効期限の値、および移転制御フラグの値
をセットし、MakePAT命令の発行を要求する。
【0255】(b) ユーザAの通信端末は、MakePAT命
令を生成する。
【0256】(c) ユーザAの通信端末は、生成したMake
PAT命令を電子メール、シグナリング等の手段でPA
T演算装置に送信する(MakePAT命令の発行)。
【0257】(d) PAT演算装置は、受信したMakePA
T命令を図21、図23に従って処理し、PAT<AI
A |AIDB >を生成する。具体的には、
【数7】 AIDA +AIDB + Enabler of AIDB + Enabler of AIDA → ALIST<AIDA |AIDB > ALIST<AIDA |AIDB > + Enabler of AIDA + 有効期限の値 + 移転制御フラグの値 → PAT<AIDA |AIDB > (e) PAT演算装置は、生成したPAT<AIDA |A
IDB >を電子メール、シグナリング等の手段でユーザ
Aの通信端末、または必要に応じて、ユーザBの通信端
末に送信する。
【0258】(f) ユーザA(またはユーザB)の通信端
末は、受信したPAT<AIDA|AIDB >をユーザ
Aの通信端末の記憶装置に保存する。
【0259】PATのマージ(MergePAT、図21、
図23)、PATの分割(SplitPAT、図22、図2
3)、PATの所有者変更(TransPAT、図21、図
23)も同様の手順である。
【0260】次に、図21のフローチャートを参照し
て、MakePAT、MergePAT、TransPATの手順につ
いて説明する。
【0261】1.所有者AIDを指定する(ステップS
4411)。
【0262】2.会員AIDをすべて指定する(ステッ
プS4412)。
【0263】3.指定した所有者AIDと指定したすべ
ての会員AIDからAIDリストを生成する(ステップ
S4413)。具体的には、任意の手段を用いて、指定
した所有者AIDと指定したすべての会員AIDを連結
する。
【0264】4.仮AIDと同様に、任意の手段で仮P
ATを生成する(ステップS4414)。
【0265】5.生成したAIDリストを生成した仮P
ATの定められた範囲に複写する(ステップS441
5)。
【0266】6.AIDリストを複写した仮PATに、
所有者インデックスの値を書き込む(ステップS441
6)。
【0267】7.所有者インデックスの値を書き込んだ
仮PATに、移転制御フラグの値を書き込む(ステップ
S4417)。
【0268】8.移転制御フラグの値を書き込んだ仮P
ATに、有効期限の値を書き込む(ステップS441
8)。
【0269】9.有効期限の値を書き込んだ仮PAT
に、PAT演算装置の識別子を書き込む(ステップS4
419)。
【0270】10.PAT演算装置の識別子を書き込ん
だ仮PATに、PAT演算装置の秘密鍵で署名する(ス
テップS4420)。
【0271】次に、図22のフローチャートを参照し
て、SplitPATの手順について説明する。
【0272】1.所有者AIDを指定する(ステップS
4511)。
【0273】2.分割後のPATの会員AIDとするA
IDをすべて指定する(ステップS4512)。
【0274】3.指定した所有者AIDと指定したすべ
ての会員AIDからAIDリストを生成する(ステップ
S4513)。具体的には、任意の手段を用いて、指定
した所有者AIDと指定したすべての会員AIDを連結
する。
【0275】4.仮AIDと同様に、任意の手段で仮P
ATを生成する(ステップS4514)。
【0276】5.生成したAIDリストを生成した仮P
ATの定められた範囲に複写する(ステップ451
5)。
【0277】6.AIDリストを複写した仮PATに、
所有者インデックスの値を書き込む(ステップS451
6)。
【0278】7.所有者インデックスの値を書き込んだ
仮PATに、移転制御フラグの値を書き込む(ステップ
S4517)。
【0279】8.移転制御フラグの値を書き込んだ仮P
ATに、有効期限の値を書き込む(ステップS451
8)。
【0280】9.有効期限の値を書き込んだ仮PAT
に、PAT演算装置の識別子を書き込む(ステップS4
519)。
【0281】10.PAT演算装置の識別子を書き込ん
だ仮PATに、PAT演算装置の秘密鍵で署名する(ス
テップS4520)。
【0282】11.分割を継続する場合には(ステップ
S4521YES)、2.に戻り、10.までを順番に
実行する。
【0283】なお、図21、図22の手順において、A
IDリストの生成は、図23のフローチャートにより次
のように行う。すなわち、まずバッファ長を決定し(ス
テップS4611)、バッファを生成する(ステップS
4612)。次いで、所有者AIDを生成したバッファ
の空き領域にコピーする(ステップS4613)。次い
で、会員AIDをバッファの空き領域にコピーし(ステ
ップS4614)、次の会員AIDが存在すれば(ステ
ップS4615YES)ステップS4614を繰り返
す。
【0284】次に、所有者AIDの決定について説明す
る。MakePAT,MergePAT,SplitPAT,TransP
AT各命令は、2個以上の引数を持ち、引数として、役
割識別子AID、個別化アクセスチケットPAT、また
は、Enableを指定できると定義する。この時、PAT演
算装置は、各命令実行後に出力されるPATの所有者A
IDをそれぞれ下記の規則に従い指定する。
【0285】・MakePATの場合 MakePAT命令に対して、第1引数から第N引数(N=
2,3,…)までAIDを、第N+1引数以降ではEnab
leを指定すると定義する。例えば、 MakePAT AID1 AID2 … AIDN Enabler of
AID1 Enabler of AID2 … Enabler of AIDN −PAT演算装置は、MakePAT命令の第1引数のAI
Dを所有者AIDであると解釈する。
【0286】−第N+1引数以降のEnabler のいずれか
が第1引数のAIDに対応している場合に限り、PAT
演算装置はこのAID(すなわち、第1引数のAID)
をMakePAT命令実行後に出力されるPATの所有者A
IDに指定する。
【0287】・MergePATの場合 MergePAT命令に対して、第1引数から第N引数(N
=2,3,…)までPATを、第N+1引数ではEnable
rを指定すると定義する。すなわち、 MergePAT PAT1 PAT2 …PATN Enabler of
AID −PAT演算装置は、MergePAT命令の第1引数のP
ATの所有者AIDを、MergePAT命令実行後に出力
されるPATの所有者AIDであると解釈する。
【0288】−第N+1引数のEnabler が第1引数のP
ATの所有者AIDに対応している場合に限り、PAT
演算装置はこのAID(すなわち、第1引数のPATの
所有者AID)をMergePAT命令実行後に出力される
PATの所有者AIDに指定する。
【0289】・SplitPATの場合 SplitPAT命令に対して、第1引数でPATを、第2
引数から第N引数(N=3,4,…)まではあらかじめ
定められた何らかの記号(この例ではカッコ()とす
る)でまとめられた1個以上のAIDのまとまりを、第
N+1引数ではEnableを指定すると定義する。すなわ
ち、 SplitPAT PAT1 (AID11)(AID21 AID22)… (AIDN1 AIDN2 … AIDNM)Enabler of AID −PAT演算装置は、SplitPAT命令の第1引数のP
ATの所有者AIDを、SplitPAT命令実行後に出力
されるPATの所有者AIDであると解釈する。
【0290】−第N+1引数のEnabler が第1引数のP
ATの所有者AIDに対応している場合に限り、PAT
演算装置はこのAID(すなわち、第1引数のPATの
所有者AID)をSplitPAT命令実行後に出力される
PATの所有者AIDに指定する。
【0291】・TransPATの場合 TransPAT命令に対して、第1引数及び第2引数でP
ATを、第3引数でAIDを、第4引数及び第5引数で
はEnablerを指定すると定義する。すなわち、 TransPAT PAT1 PAT2 AID Enabler of AID1 Enabler of AID2 −PAT演算装置は、TransPAT命令の第3引数のA
IDが第2引数のPATに含まれている場合に限り、第
3引数のAIDを、TransPAT命令実行後に出力され
るPATの所有者AIDであると解釈する。
【0292】−第4引数のEnabler が第1引数のPAT
及び第2引数のPATの両者に対応しており、かつ、第
5引数のEnabler が第3引数のAIDに対応している場
合に限り、PAT演算装置は第3引数のAIDをTrans
PAT命令実行後に出力されるPATの所有者AIDに
指定する。
【0293】次に、会員AIDの決定について説明す
る。MakePAT,MergePAT,SplitPAT,TransP
AT各命令の定義は上に従う。PAT演算装置は、各命
令実行後に出力されるPATの会員AIDをそれぞれ下
記の規則に従い指定する。
【0294】・MakePATの場合 MakePAT命令実行後に出力されるPATの所有者AI
Dが正式に決定された場合に限り、 −PAT演算装置は、MakePAT命令の第2引数以降の
すべてのAIDをMakePAT命令実行後に出力されるP
ATの会員AIDであると解釈する。
【0295】−第2引数以降のすべてのAIDのうち、
第N+1引数以降で指定されたEnabler と対応している
AIDのみ、PAT演算装置はMakePAT命令実行後に
出力されるPATの会員AIDに指定する。
【0296】・MergePATの場合 PAT演算装置は、MergePAT命令実行後に出力され
るPATの所有者AIDが正式に決定された場合に限
り、MergePAT命令の第1引数から第N引数で指定さ
れたすべてのPATの会員AIDを、MergePAT命令
実行後に出力されるPATの会員AIDに指定する。
【0297】・SplitPATの場合 PAT演算装置は、SplitPAT命令実行後に出力され
るPATの所有者AIDが正式に決定された場合に限
り、SplitPAT命令の第1引数で指定されたPATの
会員AIDを、SplitPAT命令実行後に出力されるP
ATの会員AIDに指定する。このとき、会員AIDは
カッコ()単位で別々のPATに振り分けられる。例え
ば、 SplitPAT PAT(AID11)(AID21 AID22)… (AIDN1 AIDN2 … AIDNM)Enabler of AID の場合、(AID11)と(AID21 AID22)と(A
IDN1 AIDN2 … AIDNM)は所有者AIDが共通
な別のPATの会員AIDになる。
【0298】・TransPATの場合 PAT演算装置は、TransPAT命令実行後に出力され
るPATの所有者AIDが正式に決定された場合に限
り、TransPAT命令の第1引数で指定されたPATの
すべての会員AID及び第2引数で指定されたPATの
会員AIDのうち新所有者AIDとなる予定の会員AI
Dを除いた残りのすべての会員AIDを、TransPAT
命令実行後に出力されるPATの会員AIDに指定す
る。
【0299】次に、Enabler の正当性の検証について説
明する。このEnabler の正当性の検証は、MakePAT、
MergePAT、SplitPAT、TransPATで共通であ
り、図24に示すように行われる。
【0300】1.AIDとEnabler を入力する(ステッ
プS5511)。
【0301】2.この入力されたAIDとEnabler をそ
れぞれ認証局CAの公開鍵で検証する(ステップS55
12)。少なくとも一方が改竄されている場合には(ス
テップS5513YES)、処理を終了する。
【0302】3.Enabler であることを証明する文字列
を入力する(ステップS5514)。
【0303】4.ステップS5511のEnabler の先頭
フィールドとステップS5514の文字列を比較する
(ステップS5515)。一致しない場合には(ステッ
プS5516NO)、処理を終了する。
【0304】5.一致する場合には(ステップS551
6YES)、ステップS5511のAIDとEnabler 中
のAIDを比較する(ステップS5517)。
【0305】6.比較結果を出力する(ステップS55
19)。
【0306】次に、図25〜図28を参照して、本発明
の第3の実施形態について説明する。
【0307】上述した実施形態における個別化アクセス
チケット(PAT)の新規生成(MakePAT)および所
有者変更(TransPAT)では、会員AIDと Enabler
of会員AIDを個別化アクセスチケットの所有者に渡す
ことが必要であるが、これを所有者に渡すと、その所有
者が別の所有者の主催するグループ通信に対して、取得
した会員AIDで参加することが可能になる。すなわ
ち、会員AIDを用いた成りすましが可能になるという
問題がある。また、その所有者が取得した会員AIDお
よび Enabler of 会員AIDを不特定多数が閲覧可能な
メディアに掲載すれば、誰でもその会員AIDにアクセ
ス可能になるため、会員AIDのユーザへの嫌がらせが
発生する恐れがあるとともに、また第三者による会員A
IDを用いた成りすましも可能になるという問題があ
る。
【0308】そこで、本実施形態では、 Enabler of 会
員AIDを所有者に渡さなくても、MakePATおよびTr
ansPATを可能にする。
【0309】このために、本実施形態では、Null−
AID(AIDNull)および該Null−AIDの Ena
bler(Enabler of Null−AIDまたは Enabler of
AIDNull)を使用して、個別化アクセスチケット(P
AT)の新規生成および既存の個別化アクセスチケット
(PAT)の内容変更を行うものである。ここで、Nu
ll−AIDを含む演算は、以下のすべての規則に従
う: (a) 上述した実施形態における新規生成(MakePA
T)、マージ(MergePAT)、分割(SplitPAT)、
変更(TransPAT)からなる演算規則、(b) Null
−AIDにのみ適用可能な規則として、i.Null−
AIDは、すべてのユーザに既知であり、ii. Enabler
of Null−AIDは、すべてのユーザに既知であ
る。
【0310】ここで、上述した実施形態で定義した演算
規則について説明する。
【0311】(1) 複数AIDからPATを作る(MakeP
AT):
【数8】 AIDholder + AIDmember1 + AIDmember2 + … + AIDmemberN + Enabler of AIDmember1 + Enabler of AIDmember2 + … + Enabler of AIDmemberN + Enabler of AIDholder → PAT<AIDholder|AIDmember1 ,AIDmember2 ,…, AIDmemberN > (2) 同一所有者の複数PATをマージする(MergePA
T):
【数9】 PAT<AIDholder|AIDmembera1,AIDmembera2,…, AIDmemberaM> + PAT<AIDholder|AIDmemberb1,AIDmemberb2,…, AIDmemberbN> + Enabler of AIDholder → PAT<AIDholder|AIDmembera1,AIDmembera2,…, AIDmemberaM,AIDmemberb1,AIDmemberb2,…, AIDmemberbN> (3) PATを同一所有者の複数PATに分割する(Spli
tPAT):
【数10】 PAT<AIDholder|AIDmembera1,AIDmembera2,…, AIDmemberaM,AIDmemberb1,AIDmemberb2,…, AIDmemberbN> + Enabler of AIDholder → PAT<AIDholder|AIDmembera1,AIDmembera2,…, AIDmemberaM> + PAT<AIDholder|AIDmemberb1,AIDmemberb2,…, AIDmemberbN> (4) PATの所有者AIDを変更する(TransPA
T):
【数11】 PAT<AIDholder|AIDmembera1,AIDmembera2,…, AIDmemberaM> + PAT<AIDholder|AIDnewholder> + Enabler of AIDholder + Enabler of AIDnewholder → PAT<AIDnewholder|AIDmembera1,AIDmembera2,…, AIDmemberaM> Null−AIDを含むPATへの有効期限の値及び移
転制御フラグの値の指定方法は、上述した第2の実施形
態における有効期限の値及び移転制御フラグの値の指定
方法に従う。
【0312】次に、Null−AIDに関する演算例に
ついて説明する。
【0313】(1) AIDA と Enabler of AIDA とか
らPAT<AIDNull|AIDA >を作る場合: (a) Null−AIDの規則(b)i. および(b)ii.より、
AIDNullと Enabler of AIDNullは既知である。
【0314】(b) MakePATにより
【数12】 AIDNull+AIDA + Enabler of AIDA + Enabler of AIDNull → PAT<AIDNull|AIDA > (2) PAT<AIDNull|AIDA >とPAT<AID
Null|AIDB >とからPAT<AIDNull|AI
A ,AIDB >を作る場合: (a) Null−AIDの規則(b)i. および(b)ii.より、
AIDNullと Enabler of AIDNullは既知である。
【0315】(b) MergePATにより
【数13】 PAT<AIDNull|AIDA > + PAT<AIDNull|AIDB > + Enabler of AIDNull → PAT<AIDNull|AIDA ,AIDB > (3) PAT<AIDNull|AIDA >とPAT<AID
Null|AIDB >と Enabler of AIDA とからPAT
<AIDA |AIDB >を作る場合: (a) Null−AIDの規則(b)i. および(b)ii.より、
AIDNullと Enabler of AIDNullは既知である。
【0316】(b) TransPATにより
【数14】 PAT<AIDNull|AIDA > + PAT<AIDNull|AIDB > + Enabler of AIDNull + Enabler of AIDA → PAT<AIDA |AIDB > Null−AIDのデータ構造は、図25に示すよう
に、Null−AIDであることを一意に表す文字列
(例えば、この文字列は認証局CAで定義される)およ
び該文字列に対して認証局CAの署名を施したもので構
成される。
【0317】また、 Enabler of Null−AIDのデ
ータ構造は、図26に示すように、Enabler であること
を一意に表す文字列(例えば、この文字列は認証局CA
で定義される)、Null−AIDの実体、および前記
Enabler であることを表す文字列と前記Null−AI
Dの実体を連結した文字列に対して認証局CAの署名を
施したもので構成される。
【0318】なお、Null−AIDおよび Enabler o
f Null−AIDは、セキュアなPAT演算装置およ
びセキュアなPAT認証局で保持される。
【0319】次に、本実施形態の第1の応用例について
図27を参照して説明する。図27においては、以下の
動作を行う。
【0320】(1) ユーザB(PAT会員)は、ユーザB
の端末と接続されたセキュアなPAT演算装置で前記N
ull−AIDに関する演算例(1)を実行してPAT
<AIDNull|AIDB >を生成し、任意の手段でユー
ザA(PAT所有者)に渡す。
【0321】(2) PAT<AIDNull|AIDB >を受
信したユーザAは、ユーザAの端末に接続されたセキュ
アなPAT演算装置で (a) Null−AIDに関する演算例(1)を実行して
PAT<AIDNull|AIDA >を作る。
【0322】(b) Null−AIDに関する演算例
(3)を実行してPAT<AIDA |AIDB >を作
る。
【0323】(3) ユーザAは、生成したPAT<AID
A |AIDB >を任意の手段でユーザBに渡す。
【0324】なお、有効期限の決定方法は前述した方法
と共通のため省略する。また、Null−AIDに関す
る演算の処理は前述した方法と共通のため省略する。
【0325】PAT<AIDNull|AIDA ,AIDB
>をユーザBに渡す場合には、上述した動作(2)にお
いて、前記Null−AIDに関する演算例(2)を実
行する。
【0326】次に、本実施形態の第2の応用例について
図28を参照して説明する。図28においては、以下の
動作を行う。
【0327】(1) ユーザB(PAT会員)は、ユーザB
の端末と接続されたセキュアなPAT演算装置でNul
l−AIDに関する演算例(1)を実行してPAT<A
IDNull|AIDB >を作り、任意の公開情報とともに
アノニマス・ディレクトリ・サービスADSに登録す
る。
【0328】(2) ユーザA(PAT所有者)は、ユーザ
Aの端末に接続されたセキュアなPAT演算装置でNu
ll−AIDに関する演算例(1)を実行してPAT<
AIDNull|AIDA >を作り、任意の検索条件ととも
にアノニマス・ディレクトリ・サービスADSに提示す
る。
【0329】(3) ユーザBの個人情報がユーザAの提示
した検索条件を満足した場合、アノニマス・ディレクト
リ・サービスADSに接続されたセキュアなPAT演算
装置は (a) Null−AIDに関する演算例(2)を実行して
PAT<AIDNull|AIDA ,AIDB >を作る。
【0330】(b) PAT<AIDNull|AIDA ,AI
B >をアノニマス・ディレクトリ・サービスADSに
渡す。
【0331】(4) アノニマス・ディレクトリ・サービス
ADSは、PAT演算装置で作られたPAT<AID
Null|AIDA ,AIDB >をユーザAに渡す。
【0332】(5) PAT<AIDNull|AIDA ,AI
B >を受け取ったユーザAは、ユーザAの端末に接続
されたセキュアなPAT演算装置で下記のTransPAT
演算を実行して、PAT<AIDA |AIDB >を作
る。
【0333】
【数15】 尚、有効期限の決定方法は前述した方法と共通のため省
略する。また、Null−AIDに関する演算の処理は
前述した方法と共通のため省略する。
【0334】PAT<AIDA |AIDB >をアノニマ
ス・ディレクトリ・サービスADSに接続されたセキュ
アなPAT演算装置で生成する場合には、そのPAT演
算装置に Enabler of AIDA を渡す。そして、上述し
た動作(3)において、Null−AIDに関する演算
例(3)を実行する。
【0335】PAT<AIDB |AIDA >をアノニマ
ス・ディレクトリ・サービスADSに接続されたセキュ
アなPAT演算装置で生成して、ユーザBに渡す場合に
は、そのPAT演算装置に Enabler of AIDB を渡
す。そして、上述した動作(3)において、Null−
AIDに関する演算例(3)と同様の演算を実行する。
【0336】次に、本発明の第4の実施形態について図
29〜図31を参照して説明する。グループ通信におい
ては参加者を固定したい状況はしばしば発生するが、上
述した実施形態では個別化アクセスチケット(PAT)
を変更不可にする機能を持たないため、参加者を固定す
ることができない。すなわち、上述した実施形態では、
参加者を固定するか否かは、個別化アクセスチケットの
所有者の判断に一任されている。
【0337】そこで、本実施形態では、個別化アクセス
チケットに読取専用属性を設定している。
【0338】このため、本実施形態では、God−AI
D(AIDGod )を用いて、個別化アクセスチケット
(PAT)に読取専用属性を設定している。ここで、G
od−AIDに関する演算は、以下のすべての規則に従
う: (a) God−AIDは、すべてのユーザに既知であり、
(b) God−AIDに関する演算は、以下のいずれかの
み許可される:
【数16】 i.AIDholderがAIDNullでもAIDGod でもない場合: PAT<AIDholder|AIDmember1 ,AIDmember2 , …,AIDmemberN > + Enabler of AIDholder → PAT<AIDGod |AIDholder,AIDmember1 , AIDmember2 ,…,AIDmemberN > ii.AIDholderがAIDNullの場合: PAT<AIDNull|AIDmember1 ,AIDmember2 , …,AIDmemberN > + Enabler of AIDNull → PAT<AIDGod |AIDmember1 ,AIDmember2 , …,AIDmemberN > God−AIDのデータ構造は、図29に示すように、
God−AIDであることを一意に表す文字列(例え
ば、この文字列は認証局CAで定義される)および該文
字列に対して認証局CAの署名を施したものから構成さ
れる。God−AIDは、上述したセキュアなPAT演
算装置およびセキュアなPAT認証局で保持されてい
る。
【0339】Null−AIDを含むPATの処理は、
図21ー図24に従う。所有者AIDがNull−AI
DでもGod−AIDでもない場合には、AIDリスト
にGod−AIDを付加し、所有者インデックスの値を
God−AID付加後のAIDリストにおけるGod−
AIDの位置と等しくなるように指定する。所有者AI
DがNull−AIDの場合には、AIDリストからN
ull−AIDを削除し、次にGod−AIDを付加
し、最後に所有者インデックスの値をGod−AID付
加後のAIDリストにおけるGod−AIDの位置と等
しくなるように指定する。
【0340】次に、本実施形態の応用例について図30
を参照して説明する。
【0341】PAT<AIDNull|AIDA >とPAT
<AIDNull|AIDB >とからPAT<AIDGod
AIDA ,AIDB >を作る場合、PAT所有者(図3
0におけるユーザA)の端末に接続されたセキュアなP
AT演算装置において、以下の演算を実行する。
【0342】(1) 上述したMergePATにより
【数17】 PAT<AIDNull|AIDA > + PAT<AIDNull|AIDB > + Enabler of AIDNull → PAT<AIDNull|AIDA ,AIDB > (2) God−AIDに関する演算規則(a)より、AI
God は既知である。 (3) God−AIDに関する演算規則(b)ii.より
【数18】 上記演算は、第三者の計算機(サーチエンジンなど)に
接続されたセキュアなPAT演算装置(図31)または
セキュアなPAT認証局でも実行される。
【0343】次に、図32を参照して、本発明の第5の
実施形態について説明する。
【0344】上述した第3の実施形態で説明したように
Null−AIDを追加すると、以下に説明するよう
に、個別化アクセスチケット(PAT)の所有者(所有
者AIDのユーザ)が会員(会員AIDのユーザ)への
アクセス権を第三者に譲渡できるようになるという問題
がある。しかも、会員に無断で譲渡可能である。
【0345】1.PAT<AIDA |AIDB >の所有
者Aが(会員はB) ・PAT<AIDA |AIDB > ・AIDA ・ Enabler of AIDA を用いて、PAT<AIDNull|AIDB >を作る。こ
こで、Aは、PAT<AIDA |AIDB >に加えて ・AIDA ・ Enabler of AIDA ・AIDNull ・ Enabler of AIDNull をすべて知っているとする。
【0346】(a) Aは、MakePATにより、PAT<A
IDA |AIDNull>を作る。
【0347】
【数19】 AIDA +AIDNull+ Enabler of AIDNull+ Enabler of AIDA →PAT<AIDA |AIDNull> (b) Aは、TransPATにより、PAT<AIDNull
AIDB >を作る。
【0348】
【数20】 PAT<AIDA |AIDB >+PAT<AIDA |AIDNull> + Enabler of AIDA + Enabler of AIDNull →PAT<AIDNull|AIDB > 上記1.(b) の後、AがPAT<AIDNull|AIDB
>を第三者Cに渡すと次の2.が可能となる。
【0349】2.Cは、PAT<AIDNull|AIDB
>を用いて、PAT<AIDC |AIDB >を作る。こ
こで、Cは、PAT<AIDNull|AIDB >に加えて ・AIDC ・ Enabler of AIDC ・AIDNull ・ Enabler of AIDNull をすべて知っているとする。
【0350】(a) Cは、MakePATにより、PAT<A
IDNull|AIDC >を作る。
【0351】
【数21】 AIDNull+AIDC + Enabler of AIDC+ Enabler of AIDNull → PAT<AIDNull|AIDC > (b) Cは、TransPATにより、PAT<AIDC |A
IDB >を作る。
【0352】
【数22】 PAT<AIDNull|AIDB >+PAT<AIDNull|AIDC > + Enabler of AIDNull+ Enabler of AIDC → PAT<AIDC |AIDB > 上記2(b) の結果、CはPAT<AIDC |AIDB
を得るので、Bへのアクセスが可能になる。
【0353】そこで、本実施形態では、PAT<AID
holder|AIDmember>の所有者がAIDmemberのEnab
ler を知らない場合には、このPATからPAT<AI
Nu ll|AIDmember>を作ることができないようにす
る。
【0354】上述した第3の実施形態では、PATの所
有者がAIDmemberのEnabler なしでPAT<AID
Null|AIDmember>を作るためには、PAT<AID
holder|AIDNull>を作ることが必要になる。
【0355】そこで、本実施形態では、上述した第3の
実施形態で説明したNull−AIDに対して、以下の
規則を追加する。
【0356】Null−AIDはPATの所有者AID
としてのみ使用できる(会員AIDとしては使用できな
い)。
【0357】・PAT<AIDNull|AIDmember1
AIDmember2 ,…,AIDmemb erN >は許可する。
【0358】・PAT<AIDholder|AIDNull,A
IDmember1 ,AIDmember2 ,…,AIDmemberN
は許可しない。
【0359】上述した実施形態におけるセキュアなPA
T演算装置とセキュアなPAT認証局にそれぞれNul
l−AIDが会員AIDに含まれているか否かをチェッ
クする機能を追加する。この会員AIDのチェック処理
機能について図32に示すフローチャートを参照して説
明する。
【0360】1.Null−AIDとPATを入力する
(ステップS6911)。
【0361】2.ステップS6911で入力したPAT
から、会員AIDをすべて取り出す(ステップS691
3)。
【0362】3.この取り出したすべての会員AIDに
ついて、それぞれ、ステップS6911で入力したNu
ll−AIDと比較する(ステップS6915)。
【0363】・すべての会員AIDがNull−AID
と完全に一致しない場合(ステップS6917NO、S
6919NO)、MergePAT、SplitPAT、またはTr
ansPAT処理に移る(図21または図22)(ステッ
プS6921)。
【0364】・会員AIDが1つでもNull−AID
と完全に一致する場合(ステップS6917YES)、
処理を終了する。
【0365】次に、図33〜図39を参照して、本発明
の第6の実施形態について説明する。この第6の実施形
態は、上述した第1の実施形態において図2に示した役
割識別子AIDに対して図34(b)のようにリンク情
報を追加するとともに、図2に示した1対1個別化アク
セスチケットPATに含まれていた役割識別子AIDの
実体の代わりに前記役割識別子AIDのリンク情報を図
34(c)に示すように設定し、該リンク情報で役割識
別子AIDを一意に特定するように構成した点が異なる
ものである。
【0366】なお、このようにリンク情報を追加された
役割識別子AIDをリンク情報付き役割識別子AIDと
称し、AIDのリンク情報を有する1対1個別化アクセ
スチケットPATをリンク指定型1対1個別化アクセス
チケットPATと称することにする。また、リンク情報
は、役割識別子AIDを一意に特定可能な情報であり、
一般に識別子と呼ばれる種類のデータで、例えば認証局
CAによって役割識別子AIDに対して一意に付与され
るシリアル番号である。
【0367】まず、図33を参照して、本発明の第6の
実施形態の全体構成図について説明する。図33におい
て、1は認証局CAであり、個人識別子OIDの認証権
限と役割識別子AIDの発行権限を有し、ユーザに対し
て役割識別子を割り当てる機能を有する。3はユーザで
あり、5はセキュア・コミュニケーション・サービスS
CSであり、ユーザ3間の電子メールを転送し、必要に
応じて着信拒否および個人識別子の同一性を判定し、取
り出す。7はアノニマス・ディレクトリ・サービスAD
Sであり、役割識別子AID、移転制御フラグの値、有
効期限の値、および、公開情報を管理するデータベース
である。すなわち、アノニマス・ディレクトリ・サービ
スADS7は、検索者の役割識別子AIDと検索条件を
満足する登録者の役割識別子AIDから個別化アクセス
チケットPATを生成し、検索者に発行する機能を有す
る。
【0368】ユーザの要求に基づいて個人識別子から役
割識別子AIDを生成し、そのユーザに割り当てるまで
の一連の処理はリンク情報が付加されることを除いて第
1の実施形態と基本的に同じであるが、具体的に図34
を参照して説明する。
【0369】図34は、個人識別子OID(Official Id
entification)とリンク情報付き役割識別子AIDとリ
ンク指定型1対1個別化アクセスチケットPATの例を
示している。個人識別子OIDは、図34(a)に示す
ように、認証局CA1がユーザを一意に識別可能な規則
に従う任意の文字列と公開鍵から構成される情報に対
し、認証局CA1が署名したものである。また、リンク
情報付き役割識別子AIDは、図34(b)に示すよう
に、個人識別子OIDの断片とその位置情報、冗長な文
字列、SCSを動かしているホストまたはドメインをネ
ットワーク上で一意に識別可能な任意の文字列(ホスト
名、実ドメイン等)、およびリンク情報から構成される
情報に対し、認証局CA1が署名したものである。
【0370】また、リンク指定型1対1個別化アクセス
チケットPATは、図34(c)に示すように、移転制
御フラグ、役割識別子AID0のリンク情報、役割識別
子AID1のリンク情報、有効期限から構成される情報
に対してアノニマス・ディレクトリ・サービスADSが
署名したものである。
【0371】ユーザ3がリンク情報付き役割識別子AI
Dを認証局CA1に対して要求する処理は、第1の実施
形態において前述したものと同じである。
【0372】次に、上述した役割識別子AIDの要求に
対する認証局CA1が役割識別子AIDをユーザ3に対
して交付する処理も第1の実施形態において前述したも
のと同じである。
【0373】次に、認証局CAにおけるリンク情報付き
役割識別子AIDの生成処理について図35を参照して
説明する。図35において、認証局CAは個人識別子O
IDの全長Lと等しい長さの情報を生成する。この情報
を仮の役割識別子AIDとする(ステップS721
1)。次に、個人識別子OIDの部分複写を行うため
に、個人識別子OIDの複写範囲を指定するパラメータ
iとliの値をそれぞれ乱数発生等の任意の手段を用い
て決定する(ステップS7213)。ここで、Lは個人
識別子OIDの全長と等しく、liは0≦li≦Lの関係
が成立する範囲で任意に定めた値とする。次に、個人識
別子OIDの先頭から位置pi から位置pi +li の範
囲の情報を、仮AIDの同じ位置に複写する(ステップ
S7215)。つまり、このOID断片は仮AIDの先
頭から位置pi と位置pi+liの範囲に複写される。次
に、OIDを部分複写した仮AIDの定められた範囲
に、pi とli の値を任意の手段で暗号化して書き込む
(ステップS7217)。次に、これらの値を書き込ん
だ仮AIDの定められた範囲にセキュア・コミュニケー
ション・サービスSCS5を動かしているホストまたは
ドメインをネットワーク上で一意に識別可能な任意の文
字列(ホスト名、実ドメイン名等)を書き込む(ステッ
プS7219)。次に、リンク情報を付加する(ステッ
プS7220)。そして、このように文字列およびリン
ク情報を書き込んだ仮AIDに認証局CA1の秘密鍵で
署名する(ステップS7221)。
【0374】次に、ユーザB3の役割識別子AID及び
公開情報をアノニマス・ディレクトリ・サービスADS
7に登録する手続きについて説明する。登録者であるユ
ーザB3とアノニマス・ディレクトリ・サービスADS
7との間で、ユーザB3の役割識別子AIDとADS7
の証明書を用いて、任意の手段で双方向認証を行う。次
に、ユーザB3は、移転制御フラグの値、有効期限の
値、及び、趣味などの公開情報をADS7に送信する。
次に、ADS7はユーザB3から受信した移転制御フラ
グの値、有効期限の値、すべての公開情報を、すべてユ
ーザB3のAIDと関連付けて記憶装置に記録する。
【0375】なお、上記手続きにおいて、登録者である
ユーザB3とADS7間の通信を暗号化する場合もあ
る。
【0376】次に、ユーザA3がアノニマス・ディレク
トリ・サービスADS7に登録された公開情報を検索す
る手続きについて説明する。検索者であるユーザA3と
アノニマス・ディレクトリ・サービスADS7との間
で、ユーザA3のAIDとADS7の証明書を用いて、
任意の手段で双方向認証を行う。次に、ユーザA3は、
任意の検索条件をアノニマス・ディレクトリ・サービス
ADS7に送信する。次に、アノニマス・ディレクトリ
・サービスADS7は、受信したすべての検索条件を記
憶装置に提示し、これらの検索条件を満足する登録者の
役割識別子AIDを抽出する。次に、アノニマス・ディ
レクトリ・サービスADS7はユーザA3の役割識別子
AIDのリンク情報と検索条件を満足した登録者の役割
識別子AIDのリンク情報と移転制御フラグの値と有効
期限の値からリンク指定型1対1個別化アクセスチケッ
トPATを生成する。次に、ADS7は、生成したPA
TをユーザA3に送信する。
【0377】なお、上記手続きにおいて、検索者である
ユーザA3とADS7間の通信を暗号化する場合もあ
る。
【0378】リンク指定型1対1個別化アクセスチケッ
トは、アノニマス・ディレクトリ・サービスADS7の
検索結果として生成する。
【0379】次に、図36のフローチャートを参照し
て、ADSにおけるリンク指定型1対1個別化アクセス
チケットPATの生成処理について説明する。まず、あ
る定められた長さの情報を生成する。これを仮の個別化
アクセスチケット(仮PAT)とする(ステップS75
10)。次に、検索者であるユーザA3の役割識別子A
IDのリンク情報と登録者であるユーザB3の役割識別
子AIDのリンク情報を仮PATの定められた範囲に複
写する(ステップ7516)。次に、移転制御フラグの
値と有効期限の値をそれぞれ、AIDのリンク情報を複
写した仮PATの定められた範囲に書き込む(ステップ
S7517)。次に、これらの値を書き込んだ仮PAT
にADSの秘密鍵で署名する(ステップS7519)。
【0380】次に、リンク指定型1対1個別化アクセス
チケットPATによる移転制御について説明する。移転
制御とは、PATを譲渡されたあるいは盗聴した第三者
(本来はアクセス権を有していないユーザ)から、正当
なアクセス権を持つユーザへのアクセスを制限する機能
である。
【0381】アノニマス・ディレクトリ・サービスAD
S7及び登録者AIDのユーザB3は、個別化アクセス
チケットPATの移転制御フラグにある値を設定するこ
とにより、アクセス権を有していない第三者からのユー
ザB3への接続を禁止することができる。
【0382】移転制御フラグの値を1に設定した場合に
は、セキュア・コミュニケーション・サービスSCS5
と発信者の間で任意のチャレンジ/レスポンス方式に従
い発信者役割識別子AIDを認証するため、発信者が発
信者AIDとPATの両者を発信者以外のいかなるユー
ザに渡しても、そのユーザは登録者にSCS5を介して
接続できない。
【0383】一方、移転制御フラグの値を0に設定した
場合には、SCS5と発信者との間でいかなるチャレン
ジ/レスポンスも行わないため、発信者が発信者AID
とPATの両者を発信者以外のユーザに渡したら、それ
らのユーザもアノニマス・ディレクトリ・サービスの登
録者とSCS5を介して接続できるようになる。
【0384】次に、図37を参照してSCSにおけるメ
ールアクセス制御方法について説明する。
【0385】発信者はFrom:行に”発信者AID@
発信者のSCSの実ドメイン”、To:行に”PAT@
発信者のSCSの実ドメイン”の形式で指定する。
【0386】SCSはSMTP(Simple Mail Transfer
Protocol)等のMTA(Message Transfer Agent)の受信
したメールを取得し、図37に示す処理を実行する。
【0387】1.PATの署名をADSの公開鍵を用い
て検証する(ステップ7713)。
【0388】・PATの署名に改竄が認められる場合
(ステップS7715YES)、メールを破棄して終了
する(ステップS7716)。
【0389】・PATの署名に改竄が認められない場合
(ステップS7715NO)、下記処理2.を実行す
る。
【0390】2.発信者AIDのリンク情報をPATに
提示して検索する(ステップS7717、S7720、
S7722)。
【0391】・発信者AIDのリンク情報と完全一致す
るリンク情報がPATに含まれていない場合には(ステ
ップS7723NO)、メールを破棄して終了する(ス
テップS7716)。
【0392】・発信者AIDのリンク情報と完全一致す
るリンク情報がPATに含まれている場合には(ステッ
プS7723YES)、下記処理3.を実行する。
【0393】3.PATの有効期限の値を評価する(ス
テップS7725、S7727)。
【0394】・PATが有効期間外の場合には(ステッ
プS7727NO)、メールを破棄して終了する(ステ
ップS7716)。
【0395】・PATが有効期限内の場合には(ステッ
プS7727YES)、下記処理4.を実行する。
【0396】4.PATの移転制御フラグの値を参照し
て、発信者を認証するか否かを決定する(ステップS7
731、S7733)。
【0397】・値が1の場合には(ステップS7733
YES)、SCSはリンク情報を認証局CAに提示して
発信者AIDの実体及び発信者AIDの公開鍵を取得
し、SCSと発信者との間でチャレンジ/レスポンス認
証を実行して、発信者の署名を確認する(ステップS7
735)。署名が正しい場合には、着信者を指定し、P
ATを添付する(ステップS7737)。署名が正しく
ない場合には、メールを廃棄して終了する(ステップS
7716)。
【0398】・値が0の場合には(ステップS7733
NO)、チャレンジ/レスポンス認証を実行せずに着信
者を指定し、PATを添付する(ステップS773
7)。
【0399】SCSと発信者との間のチャレンジ/レス
ポンス方法は1対1個別化アクセスチケットに対するチ
ャレンジ/レスポンス方法と同様である。
【0400】次に、SCSにおける着信者の指定方法に
ついて説明する。
【0401】SCSは、まず、発信者AIDのリンク情
報をPATに提示して検索し、発信者AIDのリンク情
報と完全一致しないすべてのリンク情報を取得する。次
に、取得したすべてのリンク情報を認証局CAに提示し
て検索し、AIDを取得する。取得したすべてのAID
を以後、着信者AIDと定義する。次に、取得したすべ
てのAIDについて、それぞれ、着信者AIDから着信
者のSCSの実ドメインを取り出す。次に、着信者を”
着信者AID@着信者のSCSの実ドメイン”の形式で
指定する。最後に、SCSは発信者を”発信者AID@
発信者のSCSの実ドメイン”の形式から”発信者AI
D”の形式に変更する。
【0402】SCSにおけるPATの添付方法は、1対
1個別化アクセスチケットに対する添付方法と同様であ
る。
【0403】次に、SCSにおけるリンク指定型1対1
個別化アクセスチケットPATに対する着信拒否方法に
ついて説明する。
【0404】着信拒否の設定:ユーザとセキュア・コミ
ュニケーション・サービスSCS5との間で、任意の手
段で双方向認証を行う。次に、ユーザは登録命令とユー
ザ自身のAIDと任意のPATをSCS5に送信する。
次に、SCS5は受信したAIDの署名を検証する。署
名が正しくない場合には、SCS5は処理を終了する。
署名が正しい場合には、SCS5は受信したすべてのP
ATについて、それぞれADSの公開鍵を用いて署名を
検証する。署名が正しくないPATについては廃棄す
る。署名が正しい場合には、受信したAIDからリンク
情報を取り出し、取り出したリンク情報をそれぞれのP
ATに提示して検索する。受信したAIDのリンク情報
と完全一致するリンク情報を含むPATについては、登
録命令とPATを記憶装置に提示して、PATを記憶装
置に登録する。受信したAIDのリンク情報と完全一致
するリンク情報を含まないPATについては記憶装置に
登録せずに廃棄する。なお、上記処理において、ユーザ
とSCS5間の通信を暗号化する場合もある。
【0405】着信拒否の実行:SCS5はPATを記憶
装置に提示して検索する。提示したPATと完全一致す
るPATが記憶装置に登録されている場合には、メール
を廃棄する。提示したPATと完全一致するPATが記
憶装置に登録されていない場合には、メールを廃棄しな
い。
【0406】着信拒否の解除:ユーザとセキュア・コミ
ュニケーション・サービスSCS5との間で、任意の手
段で双方向認証を行う。次に、ユーザは自らのAIDを
SCS5に提示する。次に、SCS5は受信したAID
の署名を検証する。署名が正しくない場合には、SCS
5は処理を終了する。署名が正しい場合には、SCS5
は提示されたAIDからリンク情報を取り出し、取り出
したリンク情報を検索条件として記憶装置に提示して、
提示されたリンク情報を含むすべてのPATを取得し、
ユーザに提示する。次に、ユーザは提示されたすべての
PATを参照し、着信拒否を解除したいPATをすべて
選択し、削除命令と併せてSCS5に送信する。削除命
令と着信拒否を解除したいすべてのPATを受信したS
CS5は、受信した削除命令及びすべてのPATを記憶
装置に提示して、受信したすべてのPATを記憶装置か
ら削除する。
【0407】なお、SCSにおけるリンク指定型1対N
個別化アクセスチケットPATに対する着信拒否方法
も、上記リンク指定型1対1個別化アクセスチケットに
対する着信拒否方法と同様である。
【0408】次に、図38のフローチャートおよび図3
9を参照して、同一性の判定について説明する。
【0409】1.変数OIDM の初期値を、OIDの全
長Lと等しい長さで、かつ、すべての値が0であるビッ
ト列と定義する。また、変数OIDV の初期値を、OI
Dの全長Lと等しい長さで、かつ、すべての値が0であ
るビット列と定義する(ステップS7911)。
【0410】2.処理対象のリンク情報付きAIDの集
合から1個のリンク情報付きAIDを選択し、以下のビ
ット演算を実行する(ステップS7913)。
【0411】(a) リンク情報付きAIDに含まれる位置
情報をもとにして、変数AIDM と変数AIDV の値を
決定する(ステップS7915)。ここで、 ・AIDM はOIDの全長Lと等しい長さで、かつ、 −OID情報が定義されている位置の値は1である。 −OID情報が定義されていない位置の値は0である。 ビット列と定義する(図39)。
【0412】・AIDV はOIDの全長Lと等しい長さ
で、かつ、 −OID情報が定義されている位置の値はOID情報の
実際の値である。 −OID情報が定義されていない位置の値は0である。 ビット列と定義する(図39)。
【0413】(b) OIDM とAIDM のAND演算を実
行し、その結果を変数OVRM に代入する(ステップS
7917)。
【0414】(c) OVRM とAIDM のAND演算と、
OVRM とOIDM のAND演算を実行し、その演算結
果を比較する(ステップS7919)。
【0415】・一致する場合OIDM とAIDM のOR
演算を実行し、実行結果をOIDM に代入する(ステッ
プS7921)。また、OIDV とAIDV のOR演算
を実行し、実行結果をOIDM に代入する(ステップS
7923)。
【0416】・一致しない場合、ステップS7925に
進み、実行する。
【0417】(d) 処理対象のリンク情報付きAIDの集
合から、次に処理するリンク情報付きAIDを抽出す
る。
【0418】・集合に少なくとも1個のリンク情報付き
AIDが含まれている場合、ステップS7913ーS7
923を実行する。
【0419】・集合にリンク情報付きAIDが1個も含
まれていない場合、ステップS7927に進む。
【0420】(e) OIDM およびOIDV の値を出力す
る(ステップS7927)。
【0421】最終的に得られたOIDM の値は、処理対
象のリンク情報付きAIDの集合から復元できたOID
情報のすべての位置を表している。また、最終的に得ら
れたOIDV の値は、処理対象のリンク情報付きAID
の集合から復元できたOID情報のすべてを表してい
る。つまり、OIDM とOIDV の値を用いると、 (a) OIDV の値を検索条件とすると、確率的にではあ
るがOIDを求めることができる。
【0422】(b) 上記検索の精度を、OID全長Lとの
比OIDM /Lで定量的に評価することができる。
【0423】上述したように、本実施形態では、ユーザ
要求に基づいて、秘密性かつ信用性の高い第三者機関で
ある認証局CA1において、氏名、電話番号、実Eメー
ルアドレス等秘密性の高い個人情報を含む個人識別子O
IDからこれらの個人情報を隠蔽したリンク情報付き役
割識別子AIDを生成し、ユーザに交付する。このAI
Dを用いて通信網及び通信網上で提供される各種サービ
スにおいてユーザを識別することにより、ユーザの匿名
性保証と本人証明の両立が可能になる。つまり、ユーザ
は実名や電話番号やEメールアドレスを相手に教えなく
ても、お互いに通信できるようになるし、後述のよう
に、アノニマス・ディレクトリ・サービスADS7を介
して不特定多数に公開情報を開示することもできる。
【0424】ユーザは、個人情報に比べ秘密性のより低
いと思われる情報すなわち公開情報をアノニマス・ディ
レクトリ・サービスADS7に登録する。公開情報及び
登録者AIDを検索する場合には、検索者は検索者のリ
ンク情報付き役割識別子AIDと任意の検索条件をアノ
ニマス・ディレクトリ・サービスADS7に提示する。
アノニマス・ディレクトリ・サービスADS7は、すべ
ての検索条件を満足する登録者のリンク情報付き役割識
別子AIDを抽出し、次に、検索者のリンク情報付き役
割識別子AIDのリンク情報と検索条件を満足した登録
者のリンク情報付き役割識別子AIDのリンク情報と移
転制御フラグの値と有効期限の値からリンク指定型1対
1個別化アクセスチケットPATを生成する。
【0425】このリンク指定型1対1個別化アクセスチ
ケットPATには、図34(c)に示すように、移転制
御フラグの値、有効期限の値が設定されるが、この有効
期限を事前に設定することにより、発信者からの接続を
制限することができる。
【0426】また、移転制御フラグの値により、アクセ
ス権を有していない第三者からの接続を禁止することが
できる。すなわち、移転制御フラグを1に設定した場合
には、セキュア・コミュニケーション・サービスSCS
5と発信者との間で任意のチャレンジ/レスポンス方式
に従い発信者役割識別子AIDを認証するため、発信者
が発信者AIDとPATの両者を発信者以外のいかなる
ユーザに渡しても、そのユーザはアノニマス・ディレク
トリ・サービスADS7への登録者にSCS5を介して
接続できない。一方、移転制御フラグを0に設定した場
合には、SCS5と発信者との間でいかなるチャレンジ
/レスポンスも行わないため、発信者が発信者AIDと
PATの両者を発信者以外のユーザに渡したら、それら
のユーザもADS7への登録者にSCS5を介して接続
できるようになる。
【0427】また、リンク指定型1対1個別化アクセス
チケットPATで着信者を指定した呼をリンク指定型1
対1個別化アクセスチケットPATのリンク情報で特定
した着信者役割識別子AIDまたは発信者役割識別子A
IDに着信するように、通信網に対して接続要求をする
ことができる。更に、リンク指定型1対1個別化アクセ
スチケットPATで指定した呼のうち、着信者が選択し
たリンク指定型1対1個別化アクセスチケットPATの
呼を着信拒否することができる。また、着信者が選択し
たリンク指定型1対1個別化アクセスチケットの呼の着
信拒否を解除することもできる。更に、匿名性を悪用し
複数の発信者役割識別子AIDで個人攻撃を繰り返す発
信者への対処として、それら複数の発信者役割識別子A
IDから個人識別子OIDの同一性を判定することがで
き、かつ、その個人識別子をある確率で取り出すことが
できる。
【0428】次に、本発明の第7の実施形態に係るメー
ルアクセス制御方法について図40乃至図49を参照し
て説明する。上述した第6の実施形態では発信者と着信
者を1対1に対応させる場合について説明したのに対し
て、第7の実施形態では、上述した第2の実施形態と同
様に、発信者と着信者を1対Nに対応させるとともに、
リンク指定型1対N個別化アクセスチケットの新規生
成、内容変更をユーザ主導で可能とする場合について説
明するものである。なお、この発信者はPATの所有者
またはPATの会員のいづれかである。同様に受信者も
PATの所有者またはPATの会員のいづれかである。
【0429】第2の実施形態で説明したと同様に、グル
ープ通信(メーリングリスト等)の会員構成は動的に変
化するため、グループ通信の主催者は会員の電話番号、
電子メールアドレス等の連絡先情報を管理する必要があ
る。これに対して、第6の実施形態のように、リンク指
定型1対1個別化アクセスチケットの新規生成しかでき
ない場合には、連絡先情報の管理が困難である。例え
ば、グループを一体として管理することが困難であり、
また移転制御のため、他の人に渡しても、メーリングリ
スト等グループ通信のアドレスとして機能しない。
【0430】本第7の実施形態では、このような不具合
を解消するためにリンク指定型1対N個別化アクセスチ
ケットPATの新規生成および既存のリンク指定型1対
N個別化アクセスチケットPATの内容変更をユーザ主
導でできるようにしている。
【0431】まず、本第7の実施形態で使用される各識
別子の定義について図40、図41を参照して説明す
る。
【0432】個人識別子OIDは、図40(a)に示す
ように、認証局CA1がユーザを一意に識別可能な規則
に従う任意の文字列と公開鍵から構成される情報に対し
認証局CA1が署名したものである。
【0433】リンク情報付き役割識別子AIDは、図4
0(b)に示すように、個人識別子OIDの断片とその
位置情報、冗長な文字列、SCSを動かしているホスト
またはドメインをネットワーク上で一意に識別可能な任
意の文字列(ホスト名、実ドメイン名)であるSCSの
情報、およびリンク情報から構成される情報に対し認証
局CA1が署名したものである。また、AIDはSCS
やCAで暗号化する場合もある。なお、リンク情報は、
第6の実施形態のものと同じである。
【0434】リンク指定型1対N個別化アクセスチケッ
ト(Personalized Access Ticket:PAT)は、図40
(c)に示すように、2個以上の役割識別子のリンク情
報、所有者インデックス、有効期限、移転制御フラグ、
PAT演算装置識別子から構成される情報に対し、PA
T演算装置の秘密鍵により署名したものである。
【0435】ここで、役割識別子AIDのリンク情報の
1個は、このPATの所有者役割識別子AIDのリンク
情報で、所有者AIDのリンク情報とこれに対応したEn
abler をPAT演算装置に提示することにより、PAT
へのAIDのリンク情報の追加、PATからのAIDの
リンク情報の削除、PATの有効期限の変更、PATの
移転制御フラグの値の変更等、PATに含まれる情報を
変更することができる。
【0436】一方、PATに含まれる所有者AIDのリ
ンク情報以外のAIDのリンク情報はすべて会員AID
のリンク情報で、会員AIDのリンク情報とこれに対応
したEnabler をPAT演算装置に提示しても、PATに
含まれる情報を変更することはできない。
【0437】所有者インデックスは、所有者AIDのリ
ンク情報を識別するための数値データで、所有者AID
のリンク情報と会員AIDのリンク情報とから構成され
るリンク指定型AIDリストにおける先頭のAIDのリ
ンク情報が所有者AIDのリンク情報の場合には1、先
頭から2番目のAIDのリンク情報が所有者AIDのリ
ンク情報の場合には2、…、n番目のAIDのリンク情
報が所有者AIDのリンク情報の場合にはnであると定
義する。
【0438】移転制御フラグは、リンク指定型1対1個
別化アクセスチケットの場合と同様、0または1の値を
とりうると定義する。
【0439】所有者AIDのリンク情報は、リンク指定
型AIDリストにおける所有者インデックスの値の位置
に書き込まれているAIDのリンク情報であると定義す
る。会員AIDのリンク情報は、所有者AIDのリンク
情報以外のすべてのAIDのリンク情報と定義する。
【0440】有効期限はPATの使用回数、PATが利
用不可能になる絶対時刻(UTC)、PATが利用可能
になる絶対時刻(UTC)、PATが利用可能になって
から利用不可能になるまでの相対時間(寿命)のいずれ
か、または複数を組み合わせて定義する。PAT演算装
置(またはネットワーク上のPAT演算オブジェクト)
の識別子は、PAT演算装置のシリアルナンバー(また
はPAT演算オブジェクトのネットワーク上の識別名)
であると定義する。
【0441】PAT演算装置(またはネットワーク上の
PAT演算オブジェクト)の秘密鍵は、前記識別子に一
意に対応すると定義する。
【0442】また、本第7の実施形態では、役割識別子
AIDに対応した識別子として、Enabler を導入してい
る。Enabler は、図41に示すように、Enabler である
ことを一意に表す文字列とリンク情報付きAIDから構
成される情報に対して認証局CA1が署名したものであ
る。
【0443】次にPATの新規生成および内容変更にお
ける操作について説明する。通信端末上のセキュアなP
AT演算装置、CA上もしくはCAから正当に依頼され
たネットワーク上のPAT演算オブジェクト(以後、こ
れもPAT演算装置と呼ぶことにする)において、次の
操作が定義されるが、これは第2の実施形態のものと同
じであり、図10〜図13を参照して説明する。
【0444】1.リンク指定型AIDリストの編集 リンク情報付きAIDとEnabler を用いて、PATに含
まれるAIDのリンク情報のリストであるリンク指定型
AIDリストを編集する。または、リンク指定型AID
リストを新規生成する。
【0445】2.有効期限及び移転制御フラグの値の設
定 リンク情報付きAIDとEnabler を用いて、PATに含
まれる有効期限の値および移転制御フラグの値を変更す
る。または、新たに生成したリンク指定型AIDリスト
に新たな有効期限の値及び新たな移転制御フラグの値を
設定する。
【0446】所有者AIDとこの所有者AIDに対応し
たEnablerをPAT演算装置に提示したユーザは、PA
Tに含まれるAIDのリンク情報のリストを編集でき
る。このとき、以下の演算規則に従う。
【0447】(1) 新規生成(MakePAT)(図10参
照): リンク指定型AIDリスト(LALIST<(リンク)
所有者AID|(リンク)会員AID1 ,(リンク)会
員AID2 ,…,(リンク)会員AIDn >)(但し、
(リンク)AIDX はAIDX のリンク情報であること
を表す)を新規生成し、生成後のLALISTに対し、
有効期限の値および移転制御フラグの値を設定する。
【0448】
【数23】 (リンク)AIDA +(リンク)AIDB + Enabler of AIDB + Enabler of AIDA → LALIST<(リンク)AIDA |(リンク)AIDB > LALIST<(リンク)AIDA |(リンク)AIDB > + Enabler of AIDA + 有効期限の値 + 移転制御フラグの値 → PAT<(リンク)AIDA |(リンク)AIDB > (2) マージ(MergePAT)(図11参照): 同一所有者AIDの複数LALISTをマージし、マー
ジ後のLALISTに対し、有効期限の値および移転制
御フラグの値を設定する。
【0449】
【数24】 LALIST<(リンク)AIDA |(リンク)AIDB1, (リンク)AIDB2,…> + LALIST<(リンク)AIDA |(リンク)AIDC1, (リンク)AIDC2,…> + Enabler of AIDA → LALIST<(リンク)AIDA |(リンク)AIDB1, (リンク)AIDB2,…,(リンク)AIDC1, (リンク)AIDC2,…> LALIST<(リンク)AIDA |(リンク)AIDB1, (リンク)AIDB2,…,(リンク)AIDC1, (リンク)AIDC2,…> + Enabler of AIDA + 有効期限の値 + 移転制御フラグの値 → PAT<(リンク)AIDA |(リンク)AIDB1, (リンク)AIDB2,…,(リンク)AIDC1, (リンク)AIDC2,…> (3) 分割(SplitPAT)(図12参照): LALISTを同一所有者AIDの複数LALISTに
分解し、分解後のすべてのLALISTに対し、それぞ
れ、有効期限の値および移転制御フラグの値を設定す
る。
【0450】
【数25】 LALIST<(リンク)AIDA |(リンク)AIDB1, (リンク)AIDB2,…,(リンク)AIDC1, (リンク)AIDC2,…> + Enabler of AIDA → LALIST<(リンク)AIDA |(リンク)AIDB1, (リンク)AIDB2,…> + LALIST<(リンク)AIDA |(リンク)AIDC1, (リンク)AIDC2,…> LALIST<(リンク)AIDA |(リンク)AIDC1, (リンク)AIDC2,…> + Enabler of AIDA + 有効期限の値 + 移転制御フラグの値 → PAT<(リンク)AIDA |(リンク)AIDC1, (リンク)AIDC2,…> (4) 所有者変更(TransPAT)(図13参照): LALISTの所有者AIDを変更し、変更後のLAL
ISTに対し有効期限の値および移転制御フラグの値を
設定する。
【0451】
【数26】 LALIST<(リンク)AIDA |(リンク)AIDB > + LALIST<(リンク)AIDA |(リンク)AIDC1, (リンク)AIDC2,…> + Enabler of AIDA + Enabler of AIDB → LALIST<(リンク)AIDB |(リンク)AIDC1, (リンク)AIDC2,…> LALIST<(リンク)AIDB |(リンク)AIDC1, (リンク)AIDC2,…> + Enabler of AIDB + 有効期限の値 + 移転制御フラグの値 → PAT<(リンク)AIDB |(リンク)AIDC1, (リンク)AIDC2,…> 有効期限の値の設定における操作では、所有者AIDと
これに対応したEnabler の両者を所有するユーザにのみ
有効期限の値の設定を許可するために、以下の操作を定
義する。
【0452】
【数27】 PAT<(リンク)AIDA |(リンク)AIDB > + Enabler of AIDA + 有効期限の値 → PAT<(リンク)AIDA |(リンク)AIDB > 移転制御フラグの値の設定における操作では、所有者A
IDとこれに対応したEnabler の両者を所有するユーザ
にのみ移転制御フラグの値の設定を許可するために、以
下の操作を定義する。
【0453】
【数28】 PAT<(リンク)AIDA |(リンク)AIDB > + Enabler of AIDA + 移転制御フラグの値 → PAT<(リンク)AIDA |(リンク)AIDB > 次に、本実施形態の全体構成を示す図42〜図48につ
いて説明する。図42〜図48において、CAからAI
A を割り当てられたユーザAは、ユーザAの計算機に
AIDA および Enabler of AIDA を保存し、フロッ
ピードライブ、CD−ROMドライブ、通信ボード、マ
イクロフォン、スピーカー等の入出力機器を接続してい
る。または、記憶装置及びデータ入出力機能を備える通
信端末(電話、携帯電話等)に、AIDA および Enabl
er of AIDA を保存している。
【0454】同様に、CAからAIDB を割り当てられ
たユーザBは、自らの計算機にAIDB および Enabler
of AIDB を保存し、フロッピードライブ、CD−R
OMドライブ、通信ボード、マイクロフォン、スピーカ
ー等の入出力機器を接続している。または、記憶装置及
びデータ入出力機能を備える通信端末(電話、携帯電話
等)に、AIDB および Enabler of AIDB を保存し
ている。
【0455】以下、ユーザAがPAT<(リンク)AI
A |(リンク)AIDB >を生成する手順を説明す
る。
【0456】(1) ユーザAは、以下の手段のいずれかを
用いて、AIDB および Enabler of AIDB を取得す
る。
【0457】・アノニマス・ディレクトリ・サービスA
DS7にAIDB と Enabler of AIDB を登録し、ユ
ーザAが検索結果として取得するのを待つ(図42)。
【0458】・電子メール、シグナリング等でAIDB
と Enabler of AIDB をユーザAに直接送信する(図
43〜図44)。
【0459】・フロッピーディスク、CD−ROM、M
O、ICカード等の磁気、光、電子メディアにAIDB
と Enabler of AIDB を蓄積し、ユーザAに渡す。ま
たは、ユーザAが閲覧して取得するのを待つ(図45〜
図46)。
【0460】・書籍、名刺等の紙メディアにAIDB
Enabler of AIDB を記載し、ユーザAに渡す。もし
くは、ユーザAが閲覧し取得するのを待つ(図47〜図
48)。
【0461】(2) 上述した(1)のいずれかの手段でA
IDB および Enabler of AIDBを取得したユーザA
は、PAT演算装置に対しMakePAT命令を発行する。
この手順は図42〜図48で共通で、以下の通りに定義
する。
【0462】(a) ユーザAは、ユーザAの通信端末にA
IDA 、 Enabler of AIDA 、AIDB 、 Enabler o
f AIDB 、有効期限の値、および移転制御フラグの値
をセットし、MakePAT命令の発行を要求する。
【0463】(b) ユーザAの通信端末は、MakePAT命
令を生成する。
【0464】(c) ユーザAの通信端末は、生成したMake
PAT命令を電子メール、シグナリング等の手段でPA
T演算装置に送信する(MakePAT命令の発行)。
【0465】(d) PAT演算装置は、受信したMakePA
T命令を図21、図49に従って処理し、PAT<(リ
ンク)AIDA|(リンク)AIDB >を生成する。具
体的には、
【数29】 (リンク)AIDA +(リンク)AIDB + Enabler of AIDB + Enabler of AIDA → LALIST<(リンク)AIDA |(リンク)AIDB > LALIST<(リンク)AIDA |(リンク)AIDB > + Enabler of AIDA + 有効期限の値 + 移転制御フラグの値 → PAT<(リンク)AIDA |(リンク)AIDB > (e) PAT演算装置は、生成したPAT<(リンク)A
IDA |(リンク)AIDB >を電子メール、シグナリ
ング等の手段でユーザAの通信端末、または必要に応じ
て、ユーザBの通信端末に送信する。
【0466】(f) ユーザA(またはユーザB)の通信端
末は、受信したPAT<(リンク)AIDA |(リン
ク)AIDB >をユーザAの通信端末の記憶装置に保存
する。
【0467】PATのマージ(MergePAT、図21、
図49)、PATの分割(SplitPAT、図22、図4
9)、PATの所有者変更(TransPAT、図21、図
49)も同様の手順である。
【0468】MakePAT、MergePAT、TransPATの
手順については、AIDをAIDのリンク情報に置き換
えAIDリストをリンク指定型AIDリストに置き換え
る以外は図21を参照して前述した通りである。また、
SplitPATの手順についても、AIDをAIDのリン
ク情報に置き換えAIDリストをリンク指定型AIDリ
ストに置き換える以外は図22を参照して前述したとお
りである。
【0469】但し、図21、図22の手順において、リ
ンク指定型AIDリストの生成は、図49のフローチャ
ートにより次のように行う。すなわち、まずバッファ長
を決定し(ステップS9011)、バッファを生成する
(ステップS9012)。次いで、所有者AIDのリン
ク情報を生成したバッファの空き領域にコピーする(ス
テップS9017)。次いで、会員AIDのリンク情報
をバッファの空き領域にコピーし(ステップS901
8)、次の会員AIDが存在すれば(ステップS901
5YES)ステップS9018を繰り返す。
【0470】次に、所有者AIDのリンク情報の決定に
ついて説明する。
【0471】MakePAT、MergePAT、SplitPAT、
TransPATの各命令は、2個以上の引数を持ち、引数
として、役割識別子AID、個別化アクセスチケットP
AT、または、Enabler を指定できると定義する。この
とき、PAT演算装置は、各命令実行後に出力されるP
ATの所有者AIDのリンク情報をそれぞれ下記の規則
に従い指定する。
【0472】・MakePATの場合 MakePAT命令に対して、第1引数から第N引数(N=
2,3,…)までAIDを、第N+1引数以降ではEnab
ler を指定すると定義する。例えば、 MakePAT AID1 AID2 … AIDN Enabler of
AID1 Enabler of AID2 … Enabler of AIDN −PAT演算装置は、MakePAT命令の第1引数のAI
Dのリンク情報を所有者AIDのリンク情報であると解
釈する。
【0473】−第N+1引数以降のEnabler のいずれか
が第1引数のAIDに対応している場合に限り、PAT
演算装置はこのAIDのリンク情報(すなわち、第1引
数のAIDのリンク情報)をMakePAT命令実行後に出
力されるPATの所有者AIDのリンク情報に指定す
る。
【0474】・MergePATの場合 MergePAT命令に対して、第1引数から第N引数(N
=2,3,…)までPATを、第N+1引数ではEnable
rを指定すると定義する。すなわち、 MergePAT PAT1 PAT2 … PATN Enabler of
AID −PAT演算装置は、MergePAT命令の第1引数のP
ATの所有者AIDのリンク情報を、MergePAT命令
実行後に出力されるPATの所有者AIDのリンク情報
であると解釈する。
【0475】−第N+1引数のEnabler が第1引数のP
ATの所有者AIDに対応している場合に限り、PAT
演算装置はこのAIDのリンク情報(すなわち、第1引
数のPATの所有者AIDのリンク情報)をMergePA
T命令実行後に出力されるPATの所有者AIDのリン
ク情報に指定する。
【0476】・SplitPATの場合 SplitPAT命令に対して、第1引数でPATを、第2
引数から第N引数(N=3,4,…)まではあらかじめ
定められた何らかの記号(この例ではカッコ()とす
る)でまとめられた1個以上のAIDのまとまりを、第
N+1引数ではEnablerを指定すると定義する。すなわ
ち、 SplitPAT PAT1 (AID11)(AID21 AID22)… (AIDN1 AIDN2 … AIDNM) Enabler of AID −PAT演算装置は、SplitPAT命令の第1引数のP
ATの所有者AIDのリンク情報を、SplitPAT命令
実行後に出力されるPATの所有者AIDのリンク情報
であると解釈する。
【0477】−第N+1引数のEnabler が第1引数のP
ATの所有者AIDに対応している場合に限り、PAT
演算装置はこのAIDのリンク情報(すなわち、第1引
数のPATの所有者AIDのリンク情報)をSplitPA
T命令実行後に出力されるPATの所有者AIDのリン
ク情報に指定する。
【0478】・TransPATの場合 TransPAT命令に対して、第1引数及び第2引数でP
ATを、第3引数でAIDを、第4引数及び第5引数で
はEnablerを指定すると定義する。すなわち、 TransPAT PAT1 PAT2 AID Enabler of AID1 Enabler of AID2 −PAT演算装置は、TransPAT命令の第3引数のA
IDのリンク情報が第2引数のPATに含まれている場
合に限り、第3引数のAIDのリンク情報を、TransP
AT命令実行後に出力されるPATの所有者AIDのリ
ンク情報であると解釈する。
【0479】−第4引数のEnabler が第1引数のPAT
及び第2引数のPATの両者に対応しており、かつ、第
5引数のEnabler が第3引数のAIDに対応している場
合に限り、PAT演算装置は第3引数のAIDのリンク
情報をTransPAT命令実行後に出力されるPATの所
有者AIDのリンク情報に指定する。
【0480】次に、会員AIDのリンク情報の決定につ
いて説明する。MakePAT,MergePAT,SplitPA
T,TransPAT各命令の定義は上記に従う。PAT演
算装置は、各命令実行後に出力されるPATの会員AI
Dのリンク情報をそれぞれ下記の規則に従い指定する。
【0481】・MakePATの場合 MakePAT命令実行後に出力されるPATの所有者AI
Dのリンク情報が正式に決定された場合に限り、 −PAT演算装置は、MakePAT命令の第2引数以降の
すべてのAIDのリンク情報をMakePAT命令実行後に
出力されるPATの会員AIDのリンク情報であると解
釈する。
【0482】−第2引数以降のすべてのAIDのうち、
第N+1引数以降で指定されたEnabler と対応している
AIDのリンク情報のみ、PAT演算装置はMakePAT
命令実行後に出力されるPATの会員AIDのリンク情
報に指定する。
【0483】・MergePATの場合 PAT演算装置は、MergePAT命令実行後に出力され
るPATの所有者AIDのリンク情報が正式に決定され
た場合に限り、MergePAT命令の第1引数から第N引
数で指定されたすべてのPATの会員AIDのリンク情
報を、MergePAT命令実行後に出力されるPATの会
員AIDのリンク情報に指定する。
【0484】・SplitPATの場合 PAT演算装置は、SplitPAT命令実行後に出力され
るPATの所有者AIDのリンク情報が正式に決定され
た場合に限り、SplitPAT命令の第1引数で指定され
たPATの会員AIDのリンク情報を、SplitPAT命
令実行後に出力されるPATの会員AIDのリンク情報
に指定する。このとき、会員AIDのリンク情報はカッ
コ()単位で別々のPATに振り分けられる。例えば、 SplitPAT PAT(AID11)(AID21 AID22)… (AIDN1 AIDN2 … AIDNM) Enabler of AID の場合、(AID11)と(AID21 AID22)と(A
IDN1 AIDN2 … AIDNM)のリンク情報は所有者
AIDのリンク情報が共通な別のPATの会員AIDの
リンク情報になる。
【0485】・TransPATの場合 PAT演算装置は、TransPAT命令実行後に出力され
るPATの所有者AIDのリンク情報が正式に決定され
た場合に限り、TransPAT命令の第1引数で指定され
たPATのすべての会員AIDのリンク情報及び第2引
数で指定されたPATの会員AIDのリンク情報のうち
新所有者となる予定の会員AIDのリンク情報を除いた
残りのすべての会員AIDのリンク情報を、TransPA
T命令実行後に出力されるPATの会員AIDのリンク
情報に指定する。
【0486】本実施形態の、Enabler の正当性の検証は
図24を参照した前述した説明と同じである。また、こ
のEnabler の正当性の検証は、MakePAT、MergePA
T、SplitPAT、TransPATで共通である。
【0487】次に、本発明の第8の実施形態について説
明する。
【0488】本第8の実施形態においては、個人識別子
OIDは実メールアドレスである。個別化アクセスチケ
ットPATは2個以上の実メールアドレス、所有者イン
デックス、有効期限、移転制御フラグ、及び、PAT演
算装置(またはネットワーク上のPAT演算オブジェク
ト)の識別子から構成される情報に対して、PAT演算
装置(またはネットワーク上のPAT演算オブジェク
ト)の秘密鍵で署名したものである。
【0489】実メールアドレスのうち、1個はこのPA
Tの所有者メールアドレスで、所有者メールアドレスと
所有者メールアドレスを含むEnabler の両者をPAT演
算装置(またはネットワーク上のPAT演算オブジェク
ト)に提示することにより、PATへの実メールアドレ
スの追加、削除、PATの有効期限の変更、PATの移
転制御フラグの値の変更など、PATに含まれる情報を
変更することができる。
【0490】一方、PATに含まれる実メールアドレス
のうち、所有者メールアドレス以外の実メールアドレス
はすべて会員メールアドレスで、会員メールアドレスと
会員メールアドレスを含むEnabler をPAT演算装置
(またはネットワーク上のPAT演算オブジェクト)に
提示しても、PATに含まれる情報を変更することはで
きない。
【0491】所有者インデックスは、所有者メールアド
レスを識別するための数値データである。所有者メール
アドレスと会員メールアドレスから構成されるメールア
ドレスリストにおいて、先頭の実メールアドレスが所有
者メールアドレスの場合には1、先頭から2番目の場合
には2、…、n番目の場合にはnであると定義する。
【0492】メールアドレスリストにおいて、所有者メ
ールアドレスは所有者インデックスで指定された位置に
書き込まれている実メールアドレスと定義する。一方、
会員メールアドレスは、所有者メールアドレス以外のす
べての実メールアドレスであると定義する。
【0493】移転制御フラグは0または1の値をとりう
ると定義する。
【0494】有効期限はPATの使用回数、PATが利
用不可能になる絶対時刻(UTC)、PATが利用可能
になる絶対時刻(UTC)、PATが利用可能になって
から利用不可能になるまでの相対時間(寿命)のいずれ
か、または複数を組み合わせて定義する。
【0495】PAT演算装置(またはネットワーク上の
PAT演算オブジェクト)の識別子は、PAT演算装置
のシリアルナンバー(またはPAT演算オブジェクトの
ネットワーク上の識別名)であると定義する。
【0496】PAT演算装置(またはネットワーク上の
PAT演算オブジェクト)の秘密鍵は、前記識別子に一
意に対応すると定義する。
【0497】また、実メールアドレスに対応した識別子
として、Enablerを定義する。Enablerは、Enablerであ
ることを一意にあらわす情報と実メールアドレスから構
成されるデータに対して、PAT演算装置(またはネッ
トワーク上のPAT演算オブジェクト)の秘密鍵で署名
したものである。
【0498】PATの生成は以下のように行う。
【0499】ネットワーク上のPAT演算オブジェクト
の一例として、ディレクトリを挙げる。ディレクトリは
ユーザの実メールアドレスと公開情報を対応づけて管理
し、任意のユーザから提示された検索条件を入力し、P
ATを出力する。
【0500】ユーザは実メールアドレスと検索条件をデ
ィレクトリに送信する。ディレクトリは検索条件を満足
する公開情報と一意に対応した実メールアドレスをすべ
て取得する。次に、検索条件を提示したユーザの実メー
ルアドレスと、検索結果として取得したすべての実メー
ルアドレスから実メールアドレスのリストを構成する。
次に、所有者インデックスの値、有効期限の値、転移制
御フラグの値、及び、ディレクトリの識別名を追加す
る。最後に、これらをすべて追加したデータに対しディ
レクトリの秘密鍵で署名してPATとして、検索条件を
提示したユーザに送信する。
【0501】メールアクセス制御は以下のように行う。
【0502】発信者はメールのFrom:行に送信者の
実メールアドレスを、To:行にPAT@発信者の実ド
メインを指定する。
【0503】SCSはSMTP(Simple Mail Transfer
Protocol)等のMTA(Message Transfer Agent)への着
信メールを取得し、以下の手順に従い認証する。
【0504】1.PATの署名をPATの公開鍵を用い
て検証する。
【0505】・PATに改竄が認められる場合には、メ
ールを廃棄して終了する。
【0506】・PATに改竄が認められない場合には、
下記処理2.を実行する。
【0507】2.発信者の実メールアドレスをPATに
提示して検索する。
【0508】・発信者の実メールアドレスと完全一致す
る実メールアドレスがPATに含まれていない場合に
は、メールを廃棄して終了する。
【0509】・発信者の実メールアドレスと完全一致す
る実メールアドレスがPATに含まれている場合には、
下記処理3.を実行する。
【0510】3.PATの有効期限を評価する。
【0511】・PATが有効期限外の場合には、メール
を廃棄して終了する。
【0512】・PATが有効期限内の場合には、下記処
理4.を実行する。
【0513】4.PATの移転制御フラグの値を参照し
て、発信者を認証するか否かを決定する。
【0514】・値が1の場合には、SCSと発信者との
間でチャレンジ/レスポンス認証を実行して、発信者の
署名を検証する。署名が正しい場合には、着信者を指定
し、PATを添付する。署名が正しくない場合には、メ
ールを廃棄して終了する。
【0515】・値が0の場合には、チャレンジ/レスポ
ンス認証を実行せずに、着信者を指定し、チケットを添
付する。
【0516】SCSと発信者との間のチャレンジ/レス
ポンスの例を説明する。
【0517】まず、SCSは任意の情報、例えばタイム
スタンプを生成し、生成した情報を発信者に任意の手段
で送信する。
【0518】次に、発信者は秘密鍵と公開鍵を生成し、
受信した情報に秘密鍵で署名し、公開鍵とあわせてSC
Sに任意の手段で送信する。
【0519】最後に、SCSは、受信した情報の署名を
発信者から提示された公開鍵を用いて検証する。署名が
正しい場合には、着信者を指定し、PATを添付する。
署名が正しくない場合にはメールを廃棄して終了する。
【0520】着信者の指定及びチケットの添付は以下の
ように行う。
【0521】SCSは、まず、発信者の実メールアドレ
スをPATに提示して検索し、発信者の実メールアドレ
スと完全一致しないすべての実メールアドレスを取得す
る。次に、取得したすべての実メールアドレスを着信者
の実メールアドレスに指定する。
【0522】次に、SCSは、双方向通信を可能とすべ
く、PATをすべて着信者メールアドレスに送信するた
めに、PATをメールの任意の箇所に添付する。
【0523】最後に、SCSはMTAにメールを渡す。
【0524】着信拒否は以下のように行う。
【0525】着信拒否の設定:ユーザとセキュア・コミ
ュニケーション・サービスSCS5との間で、任意の手
段で双方向認証を行う。次に、ユーザは登録命令とユー
ザ自身の実メールアドレスと任意のPATをSCS5に
送信する。次に、SCS5は受信したすべてのPATに
ついて、それぞれADSの公開鍵を用いて署名を検証す
る。署名が正しくないPATについては廃棄する。署名
が正しい場合には、受信した実メールアドレスをそれぞ
れのPATに提示して検索する。受信した実メールアド
レスと完全一致する実メールアドレスを含むPATにつ
いては、登録命令とPATを記憶装置に提示して、PA
Tを記憶装置に登録する。受信した実メールアドレスと
完全一致する実メールアドレスを含まないPATについ
ては記憶装置に登録せずに廃棄する。
【0526】着信拒否の実行:SCS5はPATを記憶
装置に提示して検索する。提示したPATと完全一致す
るPATが記憶装置に登録されている場合には、メール
を廃棄する。提示したPATと完全一致するPATが記
憶装置に登録されていない場合には、メールを廃棄しな
い。
【0527】着信拒否の解除:ユーザとセキュア・コミ
ュニケーション・サービスSCS5との間で、任意の手
段で双方向認証を行う。次に、ユーザは自らの実メール
アドレスをSCS5に提示する。次に、SCS5は提示
された実メールアドレスを検索条件として記憶装置に提
示して、提示された実メールアドレスを含むすべてのP
ATを取得し、ユーザに提示する。次に、ユーザは提示
されたすべてのPATを参照し、着信拒否を解除したい
PATをすべて選択し、削除命令と併せてSCS5に送
信する。削除命令と着信拒否を解除したいすべてのPA
Tを受信したSCS5は、受信した削除命令及びすべて
のPATを記憶装置に提示して、受信したすべてのPA
Tを記憶装置から削除する。
【0528】PATの編集は以下のように行う。
【0529】役割識別子AIDを要素とするPATに対
するMakePAT、MergePAT、SplitPAT、TransP
AT演算において、役割識別子AIDを実メールアドレ
スに、役割識別子AIDに対するEnabler を実メールア
ドレスに対するEnabler にそれぞれ置き換えると、実メ
ールアドレスを要素とするPATに対するMakePAT、
MergePAT、SplitPAT、TransPAT演算になる。
【0530】Null演算子はNullであることを一
意に表し、かつ、実メールアドレスの形式を持つ情報か
ら構成される情報に対し、PAT演算装置またはネット
ワーク上のPAT演算オブジェクトの秘密鍵で署名した
ものである。
【0531】同様に、God演算子はGodであること
を一意に表し、かつ、実メールアドレスの形式を持つ情
報から構成される情報に対し、PAT演算装置またはネ
ットワーク上のPAT演算オブジェクトの秘密鍵で署名
したものである。
【0532】Null演算子のEnabler はEnabler であ
ることを一意に表す情報とNull演算子の実体から構
成される情報に対し、PAT演算装置またはネットワー
ク上のPAT演算オブジェクトの秘密鍵で署名したもの
である。
【0533】Null演算子及びはGod演算子を用い
た演算は、役割識別子AIDを要素とするPATに対す
るすべての演算において、役割識別子AIDを実メール
アドレスに、役割識別子AIDに対するEnabler を実メ
ールアドレスに対するEnabler に置き換えることで求め
られる。さらに、Null−AIDをNull演算子
に、God−AIDをGod演算子に、また、Null
−AIDに対するEnabler をNull演算子に対するEn
abler に置き換えることで求められる。
【0534】
【発明の効果】以上説明したように、本発明によれば、
個別化アクセスチケットを用いてアクセス権を検証し、
検証結果が正しい場合にユーザ間のメールアクセス制御
を行うので、ユーザの本当の識別子を隠蔽しつつ、ユー
ザの特性を表す情報を公開し、この情報に基づいて適切
な通信を行うことができ、第三者からの攻撃等を防止す
ることができる。加えて、着信者が匿名性を悪用した発
信者による攻撃を受けた場合には、その攻撃による着信
者への被害を最小限に食い止めることができる。
【0535】また、本発明によれば、個別化アクセスチ
ケットの新規生成、内容変更を各ユーザに付与された役
割識別子AIDとこのAIDに対応して定義されたEnab
lerを用いてユーザ主導で行うことができるので、例え
ば動的に変化するグループ通信(メーリングリスト等)
の会員の連絡先情報等も適確に管理することができる。
【0536】更に、本発明によれば、Null−AID
とNull−AIDの Enablerを導入して、会員AID
および Enabler of 会員AIDを個別化アクセスチケッ
トPATの所有者に渡さなくてもPATの新規生成(Ma
kePAT)および所有者変更(TransPAT)を行うこ
とができるので、会員AIDを用いた成りすましを防止
することができる。
【0537】本発明によれば、Null−AIDは個別
化アクセスチケットPATの所有者AIDとしてのみ使
用可能(Null−AIDはPATの会員AIDには使
用不可能)であり、PAT<AIDNull|AID
member1 ,AIDmember2 ,…,AIDmemberN >は許
可するがPAT<AIDholder|AIDNull,AID
member 1 ,AIDmember2 ,…,AIDmemberN >は許
可しないので、PAT<AIDholder|AIDmember
の所有者がAIDmemberのEnabler を知らない限り、こ
のPAT<AIDholder|AIDmember>からPAT<
AIDNull|AIDmemb er>を作成することはできな
い。
【0538】また、本発明によれば、God−AIDを
導入して、個別化アクセスチケットPATに読取専用属
性を設定できるので、グループ通信において参加者を固
定することができる。
【0539】更に、本発明によれば、役割識別子を一意
に特定するためのリンク情報を導入して、個別化アクセ
スチケットPATをリンク情報により定義してPATに
は役割識別子の実体を含まないようにできるため、役割
識別子の実体を使用することなく着信拒否機能を実現す
ることができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態の全体構成図。
【図2】第1の実施形態に使用される個人識別子OID
と役割識別子AIDと個別化アクセスチケットPATの
データ構造を示す図。
【図3】第1の実施形態での認証局CAにおける役割識
別子AIDの生成処理を示すフローチャート。
【図4】第1の実施形態でのアノニマス・ディレクトリ
・サービスADSにおける個別化アクセスチケットPA
Tの生成処理を示すフローチャート。
【図5】第1の実施形態でのセキュア・コミュニケーシ
ョン・サービスSCSにおけるメール転送制御を示すフ
ローチャート。
【図6】第1の実施形態でのセキュア・コミュニケーシ
ョン・サービスSCSにおける役割識別子AIDの同一
性判定処理を示すフローチャート。
【図7】図6に示す同一性判定処理に用いるデータの例
を示す図。
【図8】本発明の第2の実施形態に使用される個人識別
子OIDと役割識別子AIDと個別化アクセスチケット
PATのデータ構造を示す図。
【図9】本発明の第2の実施形態に使用される役割識別
子AIDとEnabler のデータ構造を示す図。
【図10】本発明の第2の実施形態に使用される演算規
則(MakePAT)の定義を示す図。
【図11】本発明の第2の実施形態に使用される演算規
則(MergePAT)の定義を示す図。
【図12】本発明の第2の実施形態に使用される演算規
則(SplitPAT)の定義を示す図。
【図13】本発明の第2の実施形態に使用される演算規
則(TransPAT)の定義を示す図。
【図14】本発明の第2の実施形態におけるシステム構
成(1)を示す図。
【図15】本発明の第2の実施形態におけるシステム構
成(2)を示す図。
【図16】本発明の第2の実施形態におけるシステム構
成(3)を示す図。
【図17】本発明の第2の実施形態におけるシステム構
成(4)を示す図。
【図18】本発明の第2の実施形態におけるシステム構
成(5)を示す図。
【図19】本発明の第2の実施形態におけるシステム構
成(6)を示す図。
【図20】本発明の第2の実施形態におけるシステム構
成(7)を示す図。
【図21】本発明の第2の実施形態での演算処理(Make
PAT,MergePAT,TransPAT)の流れを示すフロ
ーチャート。
【図22】本発明の第2の実施形態での演算処理(Spli
tPAT)の流れを示すフローチャート。
【図23】本発明の第2の実施形態におけるAIDリス
トの生成処理(MakePAT,MergePAT,SplitPA
T,TransPAT)を示すフローチャート。
【図24】本発明の第2の実施形態におけるEnabler の
正当性の検証処理(MakePAT,MergePAT,SplitP
AT,TransPAT)を示すフローチャート。
【図25】本発明の第3の実施形態に使用されるNul
l−AIDのデータ構造を示す図。
【図26】本発明の第3の実施形態に使用される Enabl
er of Null−AIDのデータ構造を示す図。
【図27】本発明の第3の実施形態の第1の応用例を示
す図。
【図28】本発明の第3の実施形態の第2の応用例を示
す図。
【図29】本発明の第4の実施形態に使用されるGod
−AIDのデータ構造を示す図。
【図30】本発明の第4の実施形態の第1の応用例を示
す図。
【図31】本発明の第4の実施形態の第2の応用例を示
す図。
【図32】本発明の第5の実施形態における会員AID
のチェック処理を示すフローチャート。
【図33】本発明の第6の実施形態の全体構成図。
【図34】第6の実施形態に使用される個人識別子OI
D、リンク情報付き役割識別子AID、リンク指定型1
対1個別化アクセスチケットPATのデータ構造を示す
図。
【図35】第6の実施形態での認証局CAにおけるリン
ク情報付き役割識別子AIDの生成処理を示すフローチ
ャート。
【図36】第6の実施形態でのアノニマス・ディレクト
リ・サービスADSにおけるリンク指定型1対1個別化
アクセスチケットPATの生成処理を示すフローチャー
ト。
【図37】第6の実施形態でのセキュア・コミュニケー
ション・サービスSCSにおけるメール転送制御を示す
フローチャート。
【図38】第6の実施形態でのセキュア・コミュニケー
ション・サービスSCSにおけるリンク情報付き役割識
別子AIDの同一性判定処理を示すフローチャート。
【図39】図38に示す同一性判定処理に用いるデータ
の例を示す図。
【図40】本発明の第7の実施形態に使用される個人識
別子OID、リンク情報付き役割識別子AID、リンク
指定型1対N個別化アクセスチケットPATのデータ構
造を示す図。
【図41】本発明の第7の実施形態に使用されるリンク
情報付き役割識別子AIDとEnabler のデータ構造を示
す図。
【図42】本発明の第7の実施形態におけるシステム構
成(1)を示す図。
【図43】本発明の第7の実施形態におけるシステム構
成(2)を示す図。
【図44】本発明の第7の実施形態におけるシステム構
成(3)を示す図。
【図45】本発明の第7の実施形態におけるシステム構
成(4)を示す図。
【図46】本発明の第7の実施形態におけるシステム構
成(5)を示す図。
【図47】本発明の第7の実施形態におけるシステム構
成(6)を示す図。
【図48】本発明の第7の実施形態におけるシステム構
成(7)を示す図。
【図49】本発明の第7の実施形態におけるリンク指定
型AIDリストの生成処理(MakePAT,MergePA
T,SplitPAT,TransPAT)を示すフローチャー
ト。
【符号の説明】
1 認証局CA 3 ユーザ 5 セキュア・コミュニケーション・サービスSCS 7 アノニマス・ディレクトリ・サービスADS
フロントページの続き (31)優先権主張番号 特願平10−315172 (32)優先日 平成10年11月5日(1998.11.5) (33)優先権主張国 日本(JP) (56)参考文献 特開 平9−128308(JP,A) (58)調査した分野(Int.Cl.7,DB名) H04L 12/00 G06F 13/00 351 H04L 9/32

Claims (104)

    (57)【特許請求の範囲】
  1. 【請求項1】 着信者にメールの送信を希望する発信者
    により着信者をメールの宛先として指定するために提示
    され、発信者識別子と着信者識別子を対応付けて含んだ
    個別化アクセスチケットを、発信者と着信者間の通信を
    接続するセキュア・コミュニケーション・サービスにお
    いて受け取るステップと、 該セキュア・コミュニケーション・サービスにおいて、
    該個別化アクセスチケットに基づいて発信者の着信者に
    対するアクセス権を検証することにより発信者と着信者
    間のアクセスを制御するステップと、 を有することを特徴とするメールアクセス制御方法。
  2. 【請求項2】 前記制御するステップにおいて、前記セ
    キュア・コミュニケーション・サービスは発信者により
    提示された前記個別化アクセスチケットを認証し、発信
    者により提示された該個別化アクセスチケットが改竄さ
    れているときには、前記メールの配送を拒否することを
    特徴とする請求項1記載のメールアクセス制御方法。
  3. 【請求項3】 前記個別化アクセスチケットは、該個別
    化アクセスチケットを発行したセキュアな演算装置の秘
    密鍵により署名されており、前記制御するステップにお
    いて、前記セキュア・コミュニケーション・サービスは
    該セキュアな演算装置の公開鍵により該個別化アクセス
    チケット内の該セキュアな演算装置の署名を検証するこ
    とにより、該個別化アクセスチケットを認証することを
    特徴とする請求項2記載のメールアクセス制御方法。
  4. 【請求項4】 前記受け取るステップにおいて、前記セ
    キュア・コミュニケーション・サービスは発信者により
    前記個別化アクセスチケットと共に提示された発信者識
    別子も受け取り、前記制御するステップにおいて、該セ
    キュア・コミュニケーション・サービスは発信者により
    提示された該発信者識別子が発信者により提示された該
    個別化アクセスチケットに含まれているか否かチェック
    し、発信者により提示された該発信者識別子が発信者に
    より提示された該個別化アクセスチケットに含まれてい
    ないときには、前記メールの配送を拒否することを特徴
    とする請求項1記載のメールアクセス制御方法。
  5. 【請求項5】 前記個別化アクセスチケットは、該個別
    化アクセスチケットが有効である期間を示す有効期限も
    含み、前記制御するステップにおいて、前記セキュア・
    コミュニケーション・サービスは発信者により提示され
    た該個別化アクセスチケットに含まれた有効期限をチェ
    ックし、発信者により提示された該個別化アクセスチケ
    ットが既に切れた有効期限を含んでいるときには前記メ
    ールの配送を拒否することを特徴とする請求項1記載の
    メールアクセス制御方法。
  6. 【請求項6】 前記個別化アクセスチケットの有効期限
    は信頼できる第三者機関により設定されたものであるこ
    とを特徴とする請求項5記載のメールアクセス制御方
    法。
  7. 【請求項7】 各登録者の識別子と、個人情報に比べて
    秘密性の低い公開情報を不特定多数から検索可能な状態
    で管理するディレクトリ・サービスにおいて、発信者か
    ら指定された検索条件に応じて、検索条件を満たした公
    開情報の登録者の識別子を着信者識別子とし、検索条件
    と共に発信者により指定された発信者識別子を用いて、
    発信者に対して前記個別化アクセスチケットを発行する
    ステップを、更に有することを特徴とする請求項1記載
    のメールアクセス制御方法。
  8. 【請求項8】 そのユーザからの特定の登録者へのメー
    ルの配送が拒否されるべき特定のユーザの識別子を発信
    者識別子として含み、該特定の登録者の識別子を着信者
    識別子として含んだ個別化アクセスチケットを、予め前
    記セキュア・コミュニケーション・サービスに登録する
    ステップを更に有し、 前記制御するステップにおいて、該セキュア・コミュニ
    ケーション・サービスは発信者により提示された個別化
    アクセスチケットがそこに予め登録されたものであると
    きには前記メールの配送を拒否することを特徴とする請
    求項1記載のメールアクセス制御方法。
  9. 【請求項9】 前記登録するステップにおいて個別化ア
    クセスチケットを登録した前記特定の登録者からの要求
    により、前記セキュア・コミュニケーション・サービス
    において登録された個別化アクセスチケットを削除する
    ステップを、更に有することを特徴とする請求項8記載
    のメールアクセス制御方法。
  10. 【請求項10】 前記個別化アクセスチケットは、前記
    セキュア・コミュニケーション・サービスにより発信者
    を認証すべきかどうか示す移転制御フラグも含み、前記
    制御するステップにおいて、該個別化アクセスチケット
    に含まれる移転制御フラグが発信者を認証すべきである
    ことを示すときに、該セキュア・コミュニケーション・
    サービスは発信者により提示された発信者識別子を認証
    し、該発信者識別子の認証が失敗したときには前記メー
    ルの配送を拒否することを特徴とする請求項1記載のメ
    ールアクセス制御方法。
  11. 【請求項11】 前記発信者識別子の認証は、発信者と
    前記セキュア・コミュニケーション・サービス間のチャ
    レンジ/レスポンス認証により実現することを特徴とす
    る請求項10記載のメールアクセス制御方法。
  12. 【請求項12】 前記個別化アクセスチケットの移転制
    御フラグは信頼できる第三者機関により設定されたもの
    であることを特徴とする請求項10記載のメールアクセ
    ス制御方法。
  13. 【請求項13】 前記個別化アクセスチケット内の発信
    者識別子と着信者識別子は発信者と着信者の実メールア
    ドレスにより与えられることを特徴とする請求項1記載
    のメールアクセス制御方法。
  14. 【請求項14】 前記個別化アクセスチケット内の発信
    者識別子と着信者識別子は発信者と着信者の役割識別子
    により与えられ、各ユーザの役割識別子は、それにより
    認証局が各ユーザを一意に識別可能な各ユーザの個人識
    別子の断片を少なくとも一つ含んだものであることを特
    徴とする請求項1記載のメールアクセス制御方法。
  15. 【請求項15】 前記各ユーザの役割識別子は、前記各
    ユーザの個人識別子の少なくとも一つの断片を含んだ情
    報に対し、前記認証局が該認証局の秘密鍵により署名し
    たものであることを特徴とする請求項14記載のメール
    アクセス制御方法。
  16. 【請求項16】 前記各ユーザの個人識別子は、前記認
    証局により各ユーザに一意に付与された文字列と各ユー
    ザの公開鍵に対し、前記認証局が該認証局の秘密鍵によ
    り署名したものであることを特徴とする請求項14記載
    のメールアクセス制御方法。
  17. 【請求項17】 前記発信者により使われた複数の個別
    化アクセスチケットに含まれた該発信者の複数の役割識
    別子の同一性を判定して、該発信者の個人識別子を再構
    成することにより、該発信者の身元を確率的に特定する
    ステップを、更に有することを特徴とする請求項14記
    載のメールアクセス制御方法。
  18. 【請求項18】 それにより認証局が各ユーザを一意に
    識別可能な各ユーザの個人識別子の断片を少なくとも一
    つ含んだ各ユーザの役割識別子と、それにより各役割識
    別子を一意に識別可能な各役割識別子のリンク情報とが
    定義され、前記個別化アクセスチケット内の発信者識別
    子と着信者識別子は発信者の役割識別子のリンク情報と
    着信者の役割識別子のリンク情報により与えられること
    を特徴とする請求項1記載のメールアクセス制御方法。
  19. 【請求項19】 前記各役割識別子のリンク情報は、前
    記認証局により各役割識別子に一意に付与された識別子
    であることを特徴とする請求項18記載のメールアクセ
    ス制御方法。
  20. 【請求項20】 前記発信者により使われた複数の個別
    化アクセスチケットに含まれたリンク情報に対応する該
    発信者の複数の役割識別子の同一性を判定して、該発信
    者の個人識別子を再構成することにより、該発信者の身
    元を確率的に特定するステップを、更に有することを特
    徴とする請求項18記載のメールアクセス制御方法。
  21. 【請求項21】 前記個別化アクセスチケットは、一つ
    の発信者識別子と一つの着信者識別子を1対1に対応付
    けて含むことを特徴とする請求項1記載のメールアクセ
    ス制御方法。
  22. 【請求項22】 前記個別化アクセスチケットは、一つ
    の発信者識別子と複数の着信者識別子を1対N(Nは1
    より大きい整数)に対応付けて含むことを特徴とする請
    求項1記載のメールアクセス制御方法。
  23. 【請求項23】 前記一つの発信者識別子と複数の着信
    者識別子の内の一識別子は前記個別化アクセスチケット
    の所有者を特定する所有者識別子であり、前記一つの発
    信者識別子と複数の着信者識別子の内の他の識別子は該
    所有者が属するグループの会員を特定する会員識別子で
    あることを特徴とする請求項22記載のメールアクセス
    制御方法。
  24. 【請求項24】 各ユーザの識別子と、各ユーザの識別
    子を所有者識別子として含む個別化アクセスチケットの
    変更権を示す各ユーザの識別子のEnabler を認証局にお
    いて各ユーザに発行して、該個別化アクセスチケットに
    含まれる所有者識別子と該所有者識別子に対応するEnab
    ler の両方をセキュアな演算装置に対して提示したユー
    ザによってのみ該セキュアな演算装置において該個別化
    アクセスチケットに対する所定の演算を行えるようにす
    るステップを、更に有することを特徴とする請求項23
    記載のメールアクセス制御方法。
  25. 【請求項25】 前記認証局は、それがEnabler である
    ことを示す情報と各ユーザの識別子の実体に対し、該認
    証局の秘密鍵で署名したものを各ユーザの識別子のEnab
    lerとして発行することを特徴とする請求項24記載の
    メールアクセス制御方法。
  26. 【請求項26】 前記所定の演算は、個別化アクセスチ
    ケットの新規作成、複数個別化アクセスチケットのマー
    ジ、一個別化アクセスチケットの複数個別化アクセスチ
    ケットへの分割、個別化アクセスチケットの所有者変
    更、個別化アクセスチケットの有効期限の変更、個別化
    アクセスチケットの移転制御フラグの変更、を含むこと
    を特徴とする請求項24記載のメールアクセス制御方
    法。
  27. 【請求項27】 すべてのユーザに既知である特殊な識
    別子と該特殊な識別子に対応する特殊なEnabler を定義
    して、前記個別化アクセスチケットの新規生成および前
    記個別化アクセスチケットの所有者変更を、前記個別化
    アクセスチケットの所有者が、該特殊な識別子および該
    特殊なEnabler を用いて会員識別子のEnabler を使わず
    に行えるようにすることを特徴とする請求項26記載の
    メールアクセス制御方法。
  28. 【請求項28】 前記特殊な識別子は、個別化アクセス
    チケットの所有者識別子としてのみ使用可能であるよう
    に定義されていることを特徴とする請求項27記載のメ
    ールアクセス制御方法。
  29. 【請求項29】 すべてのユーザに既知である特殊な識
    別子を定義して、該特殊な識別子を用いて個別化アクセ
    スチケットに読取専用属性を設定できるようにすること
    を特徴とする請求項26記載のメールアクセス制御方
    法。
  30. 【請求項30】 前記制御するステップにおいて、前記
    個別化アクセスチケットに基づいて発信者の着信者に対
    するアクセス権が検証された場合には、前記セキュア・
    コミュニケーション・サービスは、発信者により提示さ
    れた発信者識別子を用いて該個別化アクセスチケットか
    ら着信者識別子を取り出し、取り出した着信者識別子を
    用いて前記メールを実際にメールの配送処理を行うメー
    ル転送機能が解釈可能な形式に変換し、変換後の前記メ
    ールに該個別化アクセスチケットを添付して該メール転
    送機能に渡すことを特徴とする請求項1記載のメールア
    クセス制御方法。
  31. 【請求項31】 それにより認証局が各ユーザを一意に
    識別可能な各ユーザの個人識別子と、該各ユーザの個人
    識別子の断片を少なくとも一つ含んだ役割識別子を定義
    し、 通信ネットワーク上のメールの通信において各ユーザを
    各ユーザの役割識別子により識別し、 着信者にメールの送信を希望する発信者により着信者を
    メールの宛先として指定するために提示され、発信者の
    役割識別子と着信者の役割識別子を対応付けて含んだ個
    別化アクセスチケットを、発信者と着信者間の通信を接
    続するセキュア・コミュニケーション・サービスにおい
    て受け取るステップと、 該セキュア・コミュニケーション・サービスにおいて、
    該個別化アクセスチケットに基づいて発信者の着信者に
    対するアクセス権を検証することにより発信者と着信者
    間のアクセスを制御するステップ、 を有することを特徴とするメールアクセス制御方法。
  32. 【請求項32】 それにより認証局が各ユーザを一意に
    識別可能な各ユーザの個人識別子と、該各ユーザの個人
    識別子の断片を少なくとも一つ含んだ役割識別子を定義
    し、 通信ネットワーク上のメールの通信において各ユーザを
    各ユーザの役割識別子により識別し、 前記各ユーザの個人識別子は、前記認証局により各ユー
    ザに一意に付与された文字列と各ユーザの公開鍵に対
    し、前記認証局が該認証局の秘密鍵により署名したもの
    であり、 前記発信者により使われた複数の個別化アクセスチケッ
    トに含まれた該発信者の複数の役割識別子の同一性を判
    定して、該発信者の個人識別子を再構成することによ
    り、該発信者の身元を確率的に特定するステップを有す
    ることを特徴とするメールアクセス制御方法。
  33. 【請求項33】 それにより認証局が各ユーザを一意に
    識別可能な各ユーザの個人識別子と、該各ユーザの個人
    識別子の断片を少なくとも一つ含んだ役割識別子を定義
    し、 通信ネットワーク上のメールの通信において各ユーザを
    各ユーザの役割識別子により識別し、 前記定義するステップは、それにより各役割識別子を一
    意に識別可能な各役割識別子のリンク情報も定義し、各
    役割識別子は各役割識別子のリンク情報も含むことを特
    徴とするメールアクセス制御方法。
  34. 【請求項34】 前記各役割識別子のリンク情報は、前
    記認証局により各役割識別子に一意に付与された識別子
    であることを特徴とする請求項33記載のメールアクセ
    ス制御方法。
  35. 【請求項35】 着信者にメールの送信を希望する発信
    者により着信者をメールの宛先として指定するために提
    示され、発信者の役割識別子のリンク情報と着信者の役
    割識別子のリンク情報を対応付けて含んだ個別化アクセ
    スチケットを、発信者と着信者間の通信を接続するセキ
    ュア・コミュニケーション・サービスにおいて受け取る
    ステップと、 該セキュア・コミュニケーション・サービスにおいて、
    該個別化アクセスチケットに基づいて発信者の着信者に
    対するアクセス権を検証することにより発信者と着信者
    間のアクセスを制御するステップ、 を更に有することを特徴とする請求項33記載のメール
    アクセス制御方法。
  36. 【請求項36】 前記発信者により使われた複数の個別
    化アクセスチケットに含まれたリンク情報に対応する該
    発信者の複数の役割識別子の同一性を判定して、該発信
    者の個人識別子を再構成することにより、該発信者の身
    元を確率的に特定するステップを、更に有することを特
    徴とする請求項35記載のメールアクセス制御方法。
  37. 【請求項37】 複数のユーザ端末が接続された通信網
    と、 着信者にメールの送信を希望する発信者により着信者を
    メールの宛先として指定するために提示され、発信者識
    別子と着信者識別子を対応付けて含んだ個別化アクセス
    チケットを受け取り、該個別化アクセスチケットに基づ
    いて発信者の着信者に対するアクセス権を検証すること
    により発信者と着信者間のアクセスを制御して、該通信
    網上で発信者と着信者間の通信を接続するセキュア・コ
    ミュニケーション・サービス装置と、 を有することを特徴とするメールアクセス制御を実現し
    た通信システム。
  38. 【請求項38】 前記セキュア・コミュニケーション・
    サービス装置は発信者により提示された前記個別化アク
    セスチケットを認証し、発信者により提示された該個別
    化アクセスチケットが改竄されているときには、前記メ
    ールの配送を拒否することを特徴とする請求項37記載
    の通信システム。
  39. 【請求項39】 前記個別化アクセスチケットを自身の
    秘密鍵により署名して発行するセキュアな演算装置を更
    に有し、 前記セキュア・コミュニケーション・サービス装置は該
    セキュアな演算装置の公開鍵により該個別化アクセスチ
    ケット内の該セキュアな演算装置の署名を検証すること
    により、該個別化アクセスチケットを認証することを特
    徴とする請求項38記載の通信システム。
  40. 【請求項40】 前記セキュア・コミュニケーション・
    サービス装置は発信者により前記個別化アクセスチケッ
    トと共に提示された発信者識別子も受け取り、発信者に
    より提示された該発信者識別子が発信者により提示され
    た該個別化アクセスチケットに含まれているか否かチェ
    ックし、発信者により提示された該発信者識別子が発信
    者により提示された該個別化アクセスチケットに含まれ
    ていないときには、前記メールの配送を拒否することを
    特徴とする請求項37記載の通信システム。
  41. 【請求項41】 前記個別化アクセスチケットは、該個
    別化アクセスチケットが有効である期間を示す有効期限
    も含み、前記セキュア・コミュニケーション・サービス
    装置は発信者により提示された該個別化アクセスチケッ
    トに含まれた有効期限をチェックし、発信者により提示
    された該個別化アクセスチケットが既に切れた有効期限
    を含んでいるときには前記メールの配送を拒否すること
    を特徴とする請求項37記載の通信システム。
  42. 【請求項42】 前記個別化アクセスチケットの有効期
    限を設定する信頼できる第三者機関を更に有することを
    特徴とする請求項41記載の通信システム。
  43. 【請求項43】 各登録者の識別子と、個人情報に比べ
    て秘密性の低い公開情報を不特定多数から検索可能な状
    態で管理し、発信者から指定された検索条件に応じて、
    検索条件を満たした公開情報の登録者の識別子を着信者
    識別子とし、検索条件と共に発信者により指定された発
    信者識別子を用いて、発信者に対して前記個別化アクセ
    スチケットを発行するディレクトリ・サービス装置を更
    に有することを特徴とする請求項37記載の通信システ
    ム。
  44. 【請求項44】 前記セキュア・コミュニケーション・
    サービス装置は、そのユーザからの特定の登録者へのメ
    ールの配送が拒否されるべき特定のユーザの識別子を発
    信者識別子として含み該特定の登録者の識別子を着信者
    識別子として含んだ個別化アクセスチケットを予め登録
    し、発信者により提示された個別化アクセスチケットが
    そこに予め登録されたものであるときには前記メールの
    配送を拒否することを特徴とする請求項37記載の通信
    システム。
  45. 【請求項45】 前記セキュア・コミュニケーション・
    サービス装置は、前記個別化アクセスチケットを登録し
    た前記特定の登録者からの要求により、そこに登録され
    た個別化アクセスチケットを削除することを特徴とする
    請求項44記載の通信システム。
  46. 【請求項46】 前記個別化アクセスチケットは、前記
    セキュア・コミュニケーション・サービス装置により発
    信者を認証すべきかどうか示す移転制御フラグも含み、
    該個別化アクセスチケットに含まれる移転制御フラグが
    発信者を認証すべきであることを示すときに、該セキュ
    ア・コミュニケーション・サービス装置は発信者により
    提示された発信者識別子を認証し、該発信者識別子の認
    証が失敗したときには前記メールの配送を拒否すること
    を特徴とする請求項37記載の通信システム。
  47. 【請求項47】 前記発信者識別子の認証は、発信者と
    前記セキュア・コミュニケーション・サービス装置間の
    チャレンジ/レスポンス認証により実現することを特徴
    とする請求項46記載の通信システム。
  48. 【請求項48】 前記個別化アクセスチケットの移転制
    御フラグを設定する信頼できる第三者機関を更に有する
    ことを特徴とする請求項46記載の通信システム。
  49. 【請求項49】 前記個別化アクセスチケット内の発信
    者識別子と着信者識別子は発信者と着信者の実メールア
    ドレスにより与えられることを特徴とする請求項37記
    載の通信システム。
  50. 【請求項50】 それにより自身が各ユーザを一意に識
    別可能な各ユーザの個人識別子の断片を少なくとも一つ
    含んだ各ユーザの役割識別子を発行する認証局装置を更
    に有し、 前記個別化アクセスチケット内の発信者識別子と着信者
    識別子は発信者と着信者の役割識別子により与えられる
    ことを特徴とする請求項37記載の通信システム。
  51. 【請求項51】 前記各ユーザの役割識別子は、前記各
    ユーザの個人識別子の少なくとも一つの断片を含んだ情
    報に対し、前記認証局装置が該認証局装置の秘密鍵によ
    り署名したものであることを特徴とする請求項50記載
    の通信システム。
  52. 【請求項52】 前記各ユーザの個人識別子は、前記認
    証局により各ユーザに一意に付与された文字列と各ユー
    ザの公開鍵に対し、前記認証局装置が該認証局装置の秘
    密鍵により署名したものであることを特徴とする請求項
    50記載の通信システム。
  53. 【請求項53】 前記セキュア・コミュニケーション・
    サービス装置は、前記発信者により使われた複数の個別
    化アクセスチケットに含まれた該発信者の複数の役割識
    別子の同一性を判定して、該発信者の個人識別子を再構
    成することにより、該発信者の身元を確率的に特定する
    ことを特徴とする請求項50記載の通信システム。
  54. 【請求項54】 それにより自身が各ユーザを一意に識
    別可能な各ユーザの個人識別子の断片を少なくとも一つ
    含んだ各ユーザの役割識別子と、それにより各役割識別
    子を一意に識別可能な各役割識別子のリンク情報とを発
    行する認証局装置を更に有し、 前記個別化アクセスチケット内の発信者識別子と着信者
    識別子は発信者の役割識別子のリンク情報と着信者の役
    割識別子のリンク情報により与えられることを特徴とす
    る請求項37記載の通信システム。
  55. 【請求項55】 前記各役割識別子のリンク情報は、前
    記認証局装置により各役割識別子に一意に付与された識
    別子であることを特徴とする請求項54記載の通信シス
    テム。
  56. 【請求項56】 前記セキュア・コミュニケーション・
    サービス装置は、前記発信者により使われた複数の個別
    化アクセスチケットに含まれたリンク情報に対応する該
    発信者の複数の役割識別子の同一性を判定して、該発信
    者の個人識別子を再構成することにより、該発信者の身
    元を確率的に特定することを特徴とする請求項54記載
    の通信システム。
  57. 【請求項57】 前記個別化アクセスチケットは、一つ
    の発信者識別子と一つの着信者識別子を1対1に対応付
    けて含むことを特徴とする請求項37記載の通信システ
    ム。
  58. 【請求項58】 前記個別化アクセスチケットは、一つ
    の発信者識別子と複数の着信者識別子を1対N(Nは1
    より大きい整数)に対応付けて含むことを特徴とする請
    求項37記載の通信システム。
  59. 【請求項59】 前記一つの発信者識別子と複数の着信
    者識別子の内の一識別子は前記個別化アクセスチケット
    の所有者を特定する所有者識別子であり、前記一つの発
    信者識別子と複数の着信者識別子の内の他の識別子は該
    所有者が属するグループの会員を特定する会員識別子で
    あることを特徴とする請求項58記載の通信システム。
  60. 【請求項60】 各ユーザの識別子と、各ユーザの識別
    子を所有者識別子として含む個別化アクセスチケットの
    変更権を示す各ユーザの識別子のEnabler を各ユーザに
    発行する認証局装置と、 該個別化アクセスチケットに含まれる所有者識別子と該
    所有者識別子に対応するEnabler の両方を提示したユー
    ザによってのみ該個別化アクセスチケットに対する所定
    の演算を行うことを可能としたセキュアな演算装置と、 を更に有することを特徴とする請求項59記載の通信シ
    ステム。
  61. 【請求項61】 前記認証局装置は、それがEnabler で
    あることを示す情報と各ユーザの識別子の実体に対し、
    該認証局の秘密鍵で署名したものを各ユーザの識別子の
    Enablerとして発行することを特徴とする請求項60記
    載の通信システム。
  62. 【請求項62】 前記所定の演算は、個別化アクセスチ
    ケットの新規作成、複数個別化アクセスチケットのマー
    ジ、一個別化アクセスチケットの複数個別化アクセスチ
    ケットへの分割、個別化アクセスチケットの所有者変
    更、個別化アクセスチケットの有効期限の変更、個別化
    アクセスチケットの移転制御フラグの変更、を含むこと
    を特徴とする請求項60記載の通信システム。
  63. 【請求項63】 すべてのユーザに既知である特殊な識
    別子と該特殊な識別子に対応する特殊なEnabler を定義
    して、前記個別化アクセスチケットの新規生成および前
    記個別化アクセスチケットの所有者変更を、前記個別化
    アクセスチケットの所有者が、該特殊な識別子および該
    特殊なEnabler を用いて会員識別子のEnabler を使わず
    に行えるようにしたことを特徴とする請求項62記載の
    通信システム。
  64. 【請求項64】 前記特殊な識別子は、個別化アクセス
    チケットの所有者識別子としてのみ使用可能であるよう
    に定義されていることを特徴とする請求項63記載の通
    信システム。
  65. 【請求項65】 すべてのユーザに既知である特殊な識
    別子を定義して、該特殊な識別子を用いて個別化アクセ
    スチケットに読取専用属性を設定できるようにしたこと
    を特徴とする請求項62記載の通信システム。
  66. 【請求項66】 前記個別化アクセスチケットに基づい
    て発信者の着信者に対するアクセス権が検証された場合
    には、前記セキュア・コミュニケーション・サービス装
    置は、発信者により提示された発信者識別子を用いて該
    個別化アクセスチケットから着信者識別子を取り出し、
    取り出した着信者識別子を用いて前記メールを実際にメ
    ールの配送処理を行うメール転送機能が解釈可能な形式
    に変換し、変換後の前記メールに該個別化アクセスチケ
    ットを添付して該メール転送機能に渡すことを特徴とす
    る請求項37記載の通信システム。
  67. 【請求項67】 それにより自身が各ユーザを一意に識
    別可能な各ユーザの個人識別子と、該各ユーザの個人識
    別子の断片を少なくとも一つ含んだ役割識別子を定義す
    る認証局装置と、 そこでのメールの通信において各ユーザが各ユーザの役
    割識別子により識別される通信網と、 着信者にメールの送信を希望する発信者により着信者を
    メールの宛先として指定するために提示され、発信者の
    役割識別子と着信者の役割識別子を対応付けて含んだ個
    別化アクセスチケットを受け取り、該個別化アクセスチ
    ケットに基づいて発信者の着信者に対するアクセス権を
    検証することにより発信者と着信者間のアクセスを制御
    して、前記通信網上で発信者と着信者間の通信を接続す
    るセキュア・コミュニケーション・サービス装置とを有
    することを特徴とするメールアクセス制御を実現した通
    信システム。
  68. 【請求項68】 前記セキュア・コミュニケーション・
    サービス装置は、前記発信者により使われた複数の個別
    化アクセスチケットに含まれた該発信者の複数の役割識
    別子の同一性を判定して、該発信者の個人識別子を再構
    成することにより、該発信者の身元を確率的に特定する
    ことを特徴とする請求項67記載の通信システム。
  69. 【請求項69】 それにより自身が各ユーザを一意に識
    別可能な各ユーザの個人識別子と、該各ユーザの個人識
    別子の断片を少なくとも一つ含んだ役割識別子を定義す
    る認証局装置と、 そこでのメールの通信において各ユーザが各ユーザの役
    割識別子により識別される通信網とを有し、 前記認証局装置は、それにより各役割識別子を一意に識
    別可能な各役割識別子のリンク情報も定義し、各役割識
    別子は各役割識別子のリンク情報も含むことを特徴とす
    るメールアクセス制御を実現した通信システム。
  70. 【請求項70】 前記各役割識別子のリンク情報は、前
    記認証局装置により各役割識別子に一意に付与された識
    別子であることを特徴とする請求項69記載の通信シス
    テム。
  71. 【請求項71】 着信者にメールの送信を希望する発信
    者により着信者をメールの宛先として指定するために提
    示され、発信者の役割識別子のリンク情報と着信者の役
    割識別子のリンク情報を対応付けて含んだ個別化アクセ
    スチケットを受け取り、該個別化アクセスチケットに基
    づいて発信者の着信者に対するアクセス権を検証するこ
    とにより発信者と着信者間のアクセスを制御して、前記
    通信網上で発信者と着信者間の通信を接続するセキュア
    ・コミュニケーション・サービスを更に有することを特
    徴とする請求項69記載の通信システム。
  72. 【請求項72】 前記セキュア・コミュニケーション・
    サービス装置は、前記発信者により使われた複数の個別
    化アクセスチケットに含まれたリンク情報に対応する該
    発信者の複数の役割識別子の同一性を判定して、該発信
    者の個人識別子を再構成することにより、該発信者の身
    元を確率的に特定することを特徴とする請求項71記載
    の通信システム。
  73. 【請求項73】 コンピュータハードウェアと、 着信者にメールの送信を希望する発信者により着信者を
    メールの宛先として指定するために提示され、発信者識
    別子と着信者識別子を対応付けて含んだ個別化アクセス
    チケットを受け取り、該個別化アクセスチケットに基づ
    いて発信者の着信者に対するアクセス権を検証すること
    により発信者と着信者間のアクセスを制御して、発信者
    と着信者間の通信を接続するように前記コンピュータハ
    ードウェアを動作させるコンピュータソフトウェアと、 を有することを特徴とする、メールアクセス制御を実現
    した通信システムにおけるセキュア・コミュニケーショ
    ン・サービス装置。
  74. 【請求項74】 前記コンピュータソフトウェアは、発
    信者により提示された前記個別化アクセスチケットを認
    証し、発信者により提示された該個別化アクセスチケッ
    トが改竄されているときには、前記メールの配送を拒否
    するように前記コンピュータハードウェアを動作させる
    ことを特徴とする請求項73記載のセキュア・コミュニ
    ケーション・サービス装置。
  75. 【請求項75】 前記個別化アクセスチケットは、該個
    別化アクセスチケットを発行したセキュアな演算装置の
    秘密鍵により署名されており、前記コンピュータソフト
    ウェアは、該セキュアな演算装置の公開鍵により該個別
    化アクセスチケット内の該セキュアな演算装置の署名を
    検証することにより、該個別化アクセスチケットを認証
    するように前記コンピュータハードウェアを動作させる
    ことを特徴とする請求項74記載のセキュア・コミュニ
    ケーション・サービス装置。
  76. 【請求項76】 前記コンピュータソフトウェアは、発
    信者により前記個別化アクセスチケットと共に提示され
    た発信者識別子も受け取り、発信者により提示された該
    発信者識別子が発信者により提示された該個別化アクセ
    スチケットに含まれているか否かチェックし、発信者に
    より提示された該発信者識別子が発信者により提示され
    た該個別化アクセスチケットに含まれていないときに
    は、前記メールの配送を拒否するように前記コンピュー
    タハードウェアを動作させることを特徴とする請求項7
    3記載のセキュア・コミュニケーション・サービス装
    置。
  77. 【請求項77】 前記個別化アクセスチケットは、該個
    別化アクセスチケットが有効である期間を示す有効期限
    も含み、前記コンピュータソフトウェアは、発信者によ
    り提示された該個別化アクセスチケットに含まれた有効
    期限をチェックし、発信者により提示された該個別化ア
    クセスチケットが既に切れた有効期限を含んでいるとき
    には前記メールの配送を拒否するように前記コンピュー
    タハードウェアを動作させることを特徴とする請求項7
    3記載のセキュア・コミュニケーション・サービス装
    置。
  78. 【請求項78】 前記コンピュータソフトウェアは、そ
    のユーザからの特定の登録者へのメールの配送が拒否さ
    れるべき特定のユーザの識別子を発信者識別子として含
    み該特定の登録者の識別子を着信者識別子として含んだ
    個別化アクセスチケットを予め前記セキュア・コミュニ
    ケーション・サービスに登録し、発信者により提示され
    た個別化アクセスチケットが前記セキュア・コミュニケ
    ーション・サービスに予め登録されたものであるときに
    は前記メールの配送を拒否するように前記コンピュータ
    ハードウェアを動作させることを特徴とする請求項73
    記載のセキュア・コミュニケーション・サービス装置。
  79. 【請求項79】 前記コンピュータソフトウェアは、個
    別化アクセスチケットを登録した前記特定の登録者から
    の要求により、前記セキュア・コミュニケーション・サ
    ービスにおいて登録された個別化アクセスチケットを削
    除するように前記コンピュータハードウェアを動作させ
    ることを特徴とする請求項78記載のセキュア・コミュ
    ニケーション・サービス装置。
  80. 【請求項80】 前記個別化アクセスチケットは、前記
    セキュア・コミュニケーション・サービスにより発信者
    を認証すべきかどうか示す移転制御フラグも含み、前記
    コンピュータソフトウェアは、該個別化アクセスチケッ
    トに含まれる移転制御フラグが発信者を認証すべきであ
    ることを示すときに、発信者により提示された発信者識
    別子を認証し、該発信者識別子の認証が失敗したときに
    は前記メールの配送を拒否するように前記コンピュータ
    ハードウェアを動作させることを特徴とする請求項73
    記載のセキュア・コミュニケーション・サービス装置。
  81. 【請求項81】 前記コンピュータソフトウェアは、前
    記発信者識別子の認証を、発信者と前記セキュア・コミ
    ュニケーション・サービス間のチャレンジ/レスポンス
    認証により実現するように前記コンピュータハードウェ
    アを動作させることを特徴とする請求項80記載のセキ
    ュア・コミュニケーション・サービス装置。
  82. 【請求項82】 前記個別化アクセスチケット内の発信
    者識別子と着信者識別子は発信者と着信者の役割識別子
    により与えられ、各ユーザの役割識別子は、それにより
    認証局が各ユーザを一意に識別可能な各ユーザの個人識
    別子の断片を少なくとも一つ含んだものであって、前記
    コンピュータソフトウェアは更に、前記発信者により使
    われた複数の個別化アクセスチケットに含まれた該発信
    者の複数の役割識別子の同一性を判定して、該発信者の
    個人識別子を再構成することにより、該発信者の身元を
    確率的に特定するように前記コンピュータハードウェア
    を動作させることを特徴とする請求項73記載のセキュ
    ア・コミュニケーション・サービス装置。
  83. 【請求項83】 それにより認証局が各ユーザを一意に
    識別可能な各ユーザの個人識別子の断片を少なくとも一
    つ含んだ各ユーザの役割識別子と、それにより各役割識
    別子を一意に識別可能な各役割識別子のリンク情報とが
    定義され、前記個別化アクセスチケット内の発信者識別
    子と着信者識別子は発信者の役割識別子のリンク情報と
    着信者の役割識別子のリンク情報により与えられ、前記
    コンピュータソフトウェアは更に、前記発信者により使
    われた複数の個別化アクセスチケットに含まれたリンク
    情報に対応する該発信者の複数の役割識別子の同一性を
    判定して、該発信者の個人識別子を再構成することによ
    り、該発信者の身元を確率的に特定するように前記コン
    ピュータハードウェアを動作させることを特徴とする請
    求項73記載のセキュア・コミュニケーション・サービ
    ス装置。
  84. 【請求項84】 前記コンピュータソフトウェアは、前
    記個別化アクセスチケットに基づいて発信者の着信者に
    対するアクセス権が検証された場合には、発信者により
    提示された発信者識別子を用いて該個別化アクセスチケ
    ットから着信者識別子を取り出し、取り出した着信者識
    別子を用いて前記メールを実際にメールの配送処理を行
    うメール転送機能が解釈可能な形式に変換し、変換後の
    前記メールに該個別化アクセスチケットを添付して該メ
    ール転送機能に渡すように前記コンピュータハードウェ
    アを動作させることを特徴とする請求項73記載のセキ
    ュア・コミュニケーション・サービス装置。
  85. 【請求項85】 コンピュータハードウェアと、 個別化アクセスチケットの要求をユーザから受け取り、
    発信者識別子と着信者識別子を対応付けて含み、自身の
    秘密鍵により署名された個別化アクセスチケットを発行
    するように前記コンピュータハードウェアを動作させる
    コンピュータソフトウェアと、 を有することを特徴とする、メールアクセス制御を実現
    した通信システムにおけるセキュアな演算装置。
  86. 【請求項86】 コンピュータハードウェアと、 各登録者の識別子と、個人情報に比べて秘密性の低い公
    開情報を不特定多数から検索可能な状態で管理し、発信
    者に対して、発信者から指定された検索条件に応じて、
    検索条件を満たした非個人的公開情報の登録者の識別子
    を着信者識別子とし、検索条件と共に発信者により指定
    された発信者識別子を用いて、発信者識別子と着信者識
    別子を対応付けて含んだ個別化アクセスチケットを発行
    するように前記コンピュータハードウェアを動作させる
    コンピュータソフトウェアと、 を有することを特徴とする、メールアクセス制御を実現
    した通信システムにおけるディレクトリ・サービス装
    置。
  87. 【請求項87】 コンピュータハードウェアと、 各ユーザの識別子と、一般に一つの発信者識別子と複数
    の着信者識別子を対応付けて含みそれらの内の一識別子
    が所有者識別子である個別化アクセスチケットの中で該
    各ユーザの識別子を所有者識別子として含む個別化アク
    セスチケットの変更権を示す各ユーザの識別子のEnable
    r を各ユーザに対して発行するように前記コンピュータ
    ハードウェアを動作させるコンピュータソフトウェア
    と、 を有することを特徴とする、メールアクセス制御を実現
    した通信システムにおける認証局装置。
  88. 【請求項88】 コンピュータハードウェアと、 一つの発信者識別子と複数の着信者識別子を対応付けて
    含みそれらの内の一識別子が所有者識別子である個別化
    アクセスチケットの要求をユーザから受け取り、該ユー
    ザが該個別化アクセスチケットに含まれる所有者識別子
    と該ユーザの識別子を所有者識別子として含む個別化ア
    クセスチケットの変更権を示し該所有者識別子に対応す
    るEnabler の両方を提示したときに該個別化アクセスチ
    ケットに対する所定の演算を行うように前記コンピュー
    タハードウェアを動作させるコンピュータソフトウェア
    と、 を有することを特徴とする、メールアクセス制御を実現
    した通信システムにおけるセキュアな演算装置。
  89. 【請求項89】 着信者にメールの送信を希望する発信
    者により着信者をメールの宛先として指定するために提
    示され、発信者識別子と着信者識別子を対応付けて含ん
    だ個別化アクセスチケットを受け取り、該個別化アクセ
    スチケットに基づいて発信者の着信者に対するアクセス
    権を検証することにより発信者と着信者間のアクセスを
    制御して、発信者と着信者間の通信を接続する、メール
    アクセス制御を実現した通信システムにおけるセキュア
    ・コミュニケーション・サービス装置としてコンピュー
    タを動作させるプログラムを格納した記憶媒体。
  90. 【請求項90】 前記プログラムは、発信者により提示
    された前記個別化アクセスチケットを認証し、発信者に
    より提示された該個別化アクセスチケットが改竄されて
    いるときには、前記メールの配送を拒否するように前記
    コンピュータを動作させることを特徴とする請求項89
    記載の記憶媒体。
  91. 【請求項91】 前記個別化アクセスチケットは、該個
    別化アクセスチケットを発行したセキュアな演算装置の
    秘密鍵により署名されており、前記プログラムは、該セ
    キュアな演算装置の公開鍵により該個別化アクセスチケ
    ット内の該セキュアな演算装置の署名を検証することに
    より、該個別化アクセスチケットを認証するように前記
    コンピュータを動作させることを特徴とする請求項90
    記載の記憶媒体。
  92. 【請求項92】 前記プログラムは、発信者により前記
    個別化アクセスチケットと共に提示された発信者識別子
    も受け取り、発信者により提示された該発信者識別子が
    発信者により提示された該個別化アクセスチケットに含
    まれているか否かチェックし、発信者により提示された
    該発信者識別子が発信者により提示された該個別化アク
    セスチケットに含まれていないときには、前記メールの
    配送を拒否するように前記コンピュータを動作させるこ
    とを特徴とする請求項89記載の記憶媒体。
  93. 【請求項93】 前記個別化アクセスチケットは、該個
    別化アクセスチケットが有効である期間を示す有効期限
    も含み、前記プログラムは、発信者により提示された該
    個別化アクセスチケットに含まれた有効期限をチェック
    し、発信者により提示された該個別化アクセスチケット
    が既に切れた有効期限を含んでいるときには前記メール
    の配送を拒否するように前記コンピュータを動作させる
    ことを特徴とする請求項89記載の記憶媒体。
  94. 【請求項94】 前記プログラムは、そのユーザからの
    特定の登録者へのメールの配送が拒否されるべき特定の
    ユーザの識別子を発信者識別子として含み該特定の登録
    者の識別子を着信者識別子として含んだ個別化アクセス
    チケットを予め前記セキュア・コミュニケーション・サ
    ービス装置に登録し、発信者により提示された個別化ア
    クセスチケットが前記セキュア・コミュニケーション・
    サービス装置に予め登録されたものであるときには前記
    メールの配送を拒否するように前記コンピュータを動作
    させることを特徴とする請求項89記載の記憶媒体。
  95. 【請求項95】 前記プログラムは、個別化アクセスチ
    ケットを登録した前記特定の登録者からの要求により、
    前記セキュア・コミュニケーション・サービス装置にお
    いて登録された個別化アクセスチケットを削除するよう
    に前記コンピュータを動作させることを特徴とする請求
    項94記載の記憶媒体。
  96. 【請求項96】 前記個別化アクセスチケットは、前記
    セキュア・コミュニケーション・サービス装置により発
    信者を認証すべきかどうか示す移転制御フラグも含み、
    前記プログラムは、該個別化アクセスチケットに含まれ
    る移転制御フラグが発信者を認証すべきであることを示
    すときに、発信者により提示された発信者識別子を認証
    し、該発信者識別子の認証が失敗したときには前記メー
    ルの配送を拒否するように前記コンピュータを動作させ
    ることを特徴とする請求項89記載の記憶媒体。
  97. 【請求項97】 前記プログラムは、前記発信者識別子
    の認証を、発信者と前記セキュア・コミュニケーション
    ・サービス装置間のチャレンジ/レスポンス認証により
    実現するように前記コンピュータを動作させることを特
    徴とする請求項96記載の記憶媒体。
  98. 【請求項98】 前記個別化アクセスチケット内の発信
    者識別子と着信者識別子は発信者と着信者の役割識別子
    により与えられ、各ユーザの役割識別子は、それにより
    認証局が各ユーザを一意に識別可能な各ユーザの個人識
    別子の断片を少なくとも一つ含んだものであって、前記
    プログラムは更に、前記発信者により使われた複数の個
    別化アクセスチケットに含まれた該発信者の複数の役割
    識別子の同一性を判定して、該発信者の個人識別子を再
    構成することにより、該発信者の身元を確率的に特定す
    るように前記コンピュータを動作させることを特徴とす
    る請求項89記載の記憶媒体。
  99. 【請求項99】 それにより認証局が各ユーザを一意に
    識別可能な各ユーザの個人識別子の断片を少なくとも一
    つ含んだ各ユーザの役割識別子と、それにより各役割識
    別子を一意に識別可能な各役割識別子のリンク情報とが
    定義され、前記個別化アクセスチケット内の発信者識別
    子と着信者識別子は発信者の役割識別子のリンク情報と
    着信者の役割識別子のリンク情報により与えられ、前記
    プログラムは更に、前記発信者により使われた複数の個
    別化アクセスチケットに含まれたリンク情報に対応する
    該発信者の複数の役割識別子の同一性を判定して、該発
    信者の個人識別子を再構成することにより、該発信者の
    身元を確率的に特定するように前記コンピュータを動作
    させることを特徴とする請求項89記載の記憶媒体。
  100. 【請求項100】 前記プログラムは、前記個別化アク
    セスチケットに基づいて発信者の着信者に対するアクセ
    ス権が検証された場合には、発信者により提示された発
    信者識別子を用いて該個別化アクセスチケットから着信
    者識別子を取り出し、取り出した着信者識別子を用いて
    前記メールを実際にメールの配送処理を行うメール転送
    機能が解釈可能な形式に変換し、変換後の前記メールに
    該個別化アクセスチケットを添付して該メール転送機能
    に渡すように前記コンピュータを動作させることを特徴
    とする請求項89記載の記憶媒体。
  101. 【請求項101】 個別化アクセスチケットの要求をユ
    ーザから受け取り、発信者識別子と着信者識別子を対応
    付けて含み、自身の秘密鍵により署名された個別化アク
    セスチケットを発行する、メールアクセス制御を実現し
    た通信システムにおけるセキュアな演算装置としてコン
    ピュータを動作させるプログラムを格納した記憶媒体。
  102. 【請求項102】 各登録者の識別子と、個人情報に比
    べて秘密性の低い公開情報を不特定多数から検索可能な
    状態で管理し、発信者に対して、発信者から指定された
    検索条件に応じて、検索条件を満たした公開情報の登録
    者の識別子を着信者識別子とし、検索条件と共に発信者
    により指定された発信者識別子を用いて、発信者識別子
    と着信者識別子を対応付けて含んだ個別化アクセスチケ
    ットを発行する、メールアクセス制御を実現した通信シ
    ステムにおけるディレクトリ・サービス装置としてコン
    ピュータを動作させるプログラムを格納した記憶媒体。
  103. 【請求項103】 各ユーザの識別子と、一般に一つの
    発信者識別子と複数の着信者識別子を対応付けて含みそ
    れらの内の一識別子が所有者識別子である個別化アクセ
    スチケットの中で各ユーザの識別子を所有者識別子とし
    て含む個別化アクセスチケットの変更権を示す各ユーザ
    の識別子のEnabler を各ユーザに対して発行する、メー
    ルアクセス制御を実現した通信システムにおける認証局
    装置としてコンピュータを動作させるプログラムを格納
    した記憶媒体。
  104. 【請求項104】 一つの発信者識別子と複数の着信者
    識別子を対応付けて含みそれらの内の一識別子が所有者
    識別子である個別化アクセスチケットの要求をユーザか
    ら受け取り、該ユーザが該個別化アクセスチケットに含
    まれる所有者識別子と該ユーザの識別子を所有者識別子
    として含む個別化アクセスチケットの変更権を示し該所
    有者識別子に対応するEnabler の両方を提示したときに
    該個別化アクセスチケットに対する所定の演算を行う、
    メールアクセス制御を実現した通信システムにおけるセ
    キュアな演算装置としてコンピュータを動作させるプロ
    グラムを格納した記憶媒体。
JP08221199A 1998-03-26 1999-03-25 メールアクセス制御方法、通信システム、およびメールアクセス制御プログラムを格納した記憶媒体 Expired - Lifetime JP3449941B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP08221199A JP3449941B2 (ja) 1998-03-26 1999-03-25 メールアクセス制御方法、通信システム、およびメールアクセス制御プログラムを格納した記憶媒体

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
JP7983798 1998-03-26
JP10-79837 1998-03-26
JP10-171930 1998-06-18
JP17193098 1998-06-18
JP22486198 1998-08-07
JP10-224861 1998-08-07
JP10-315172 1998-11-05
JP31517298 1998-11-05
JP08221199A JP3449941B2 (ja) 1998-03-26 1999-03-25 メールアクセス制御方法、通信システム、およびメールアクセス制御プログラムを格納した記憶媒体

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2003151017A Division JP2004005690A (ja) 1998-03-26 2003-05-28 メールアクセス制御方法、通信システム、およびメールアクセス制御プログラムを格納した記憶媒体

Publications (2)

Publication Number Publication Date
JP2000201169A JP2000201169A (ja) 2000-07-18
JP3449941B2 true JP3449941B2 (ja) 2003-09-22

Family

ID=27524809

Family Applications (1)

Application Number Title Priority Date Filing Date
JP08221199A Expired - Lifetime JP3449941B2 (ja) 1998-03-26 1999-03-25 メールアクセス制御方法、通信システム、およびメールアクセス制御プログラムを格納した記憶媒体

Country Status (1)

Country Link
JP (1) JP3449941B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4649081B2 (ja) * 2000-10-02 2011-03-09 キヤノン株式会社 周辺機器、その制御方法、プログラムおよび記憶媒体
JP5158662B2 (ja) * 2001-08-28 2013-03-06 豊 塚本 個人情報保護装置
US7580980B2 (en) 2002-12-20 2009-08-25 Nippon Telegraph And Telephone Corporation Email system restoring recipient identifier based on identifier-for-disclosure for establishing communication between sender and recipient
JP4523359B2 (ja) * 2004-08-10 2010-08-11 日本電信電話株式会社 アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
JP2007328512A (ja) * 2006-06-07 2007-12-20 Nec Electronics Corp 電子メールを利用した自動採番方法及び自動採番システム
CN112929497B (zh) * 2021-01-10 2023-09-22 上海博路信息技术有限公司 一种许可通信的方法

Also Published As

Publication number Publication date
JP2000201169A (ja) 2000-07-18

Similar Documents

Publication Publication Date Title
EP0946022B1 (en) Email access control scheme for communication network using identification concealment mechanism
Mukta et al. Blockchain-based verifiable credential sharing with selective disclosure
JP4833849B2 (ja) アイデンティティの認識のための方法およびシステム
US20050114447A1 (en) Method and system for identity exchange and recognition for groups and group members
US7290035B2 (en) Email sender verification system
US8719904B2 (en) Method and system for user access to at least one service offered by at least one other user
GB2365724A (en) Method for securing and authenticating a document by attaching to it a biometric characteristic and encrypting the biometric characteristic-document combinatn
JP2002057660A (ja) 暗号化において署名、ディジタル印章およびディジタル署名として役割証明書を使用するためのシステムおよび方法
JP3589881B2 (ja) 電子メールサーバシステム
JP3449941B2 (ja) メールアクセス制御方法、通信システム、およびメールアクセス制御プログラムを格納した記憶媒体
GB2405234A (en) E-mail message filtering method for excluding spam
KR20010078921A (ko) 순수 p2p 서비스에서 사용자 인증 방법 및 운영시스템
JP2004005690A (ja) メールアクセス制御方法、通信システム、およびメールアクセス制御プログラムを格納した記憶媒体
WO2012155955A1 (en) Linking credentials in a trust mechanism
JP2005149049A (ja) アドレス生成システム、アドレス生成方法およびアドレス生成プログラム
JP4523359B2 (ja) アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
US20250016000A1 (en) Method for responding to published content, method for assessing a response to published content, computer programs, non-transitory machine-readable media, and apparatuses therefor
JP4401892B2 (ja) メッセージ配送システム、メッセージ配送方法およびメッセージ配送プログラム
JP4564283B2 (ja) アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
JP2004342127A (ja) 電子メールサーバシステム
JP2002351966A (ja) セキュアアーカイブ装置
WO2000060483A1 (en) Apparatus and method for creating audio forums
JP2002024176A (ja) データ通信システム、送信者装置、仲介者装置、受信者装置および記録媒体

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080711

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080711

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090711

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090711

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100711

Year of fee payment: 7