认证系统及认证方法

专利名称：认证系统及认证方法
技术领域：
本发明涉及对信息终端的用户等进行认证的技术。
背景技术：
近年来，提出了利用因特网等网络向信息终端的用户提供各种服务的系统。例如，提出了利用网络来分配内容的系统、和能利用网络来进行电子商务等各种手续的系统。
然而，服务提供者在提供服务时，有时要求信息终端的用户提供个人信息。这是为了确认信息终端的用户享受服务提供者提供的服务的服务提供条件(例如年龄等)。因此，在现有的系统中，服务提供者的装置经网络从信息终端的用户接受个人信息，判断它是否满足规定的服务提供条件，按照其结果来决定是否提供服务。
如上所述，在现有的利用网络来提供服务的系统中，在服务提供者要求信息终端的用户提供个人信息的情况下，该个人信息从网上经过。该个人信息有可能被存储到服务提供者的装置中。这意味着个人信息很可能泄漏给第三者。

发明内容
本发明就是鉴于上述情况而提出的，在认证信息终端的用户时，降低个人信息泄漏的可能性。
本发明的认证系统具有管理装置，管理个人信息；和服务提供装置，向信息终端提供服务。
上述管理装置具有个人信息数据库，将个人信息(例如，包含姓名、住址、年龄、有无账户等用于确定个人的信息)与个人识别信息(例如个人ID号码)对应来登录；提供条件数据库，登录上述服务提供装置为了提供服务而对个人信息要求的服务提供条件(例如年龄条件或有无账户)；决定处理部，从上述个人信息数据库中读出与从上述服务提供装置通知的个人识别信息对应的个人信息，判定该个人信息是否满足上述提供条件数据库中登录的服务提供条件，按照其判定结果来决定可否提供服务；以及通知处理部，将表示上述决定处理部的决定内容的可否信息通知给上述服务提供装置。
上述服务提供装置具有个人识别信息取得处理部，从上述信息终端取得个人识别信息；可否信息取得处理部，向上述管理装置通知上述个人识别信息取得处理部取得的个人识别信息，从上述管理装置取得可否信息；以及服务提供处理部，只在上述可否信息取得处理部取得的可否信息表示允许提供服务的情况下，向上述信息终端提供服务。
通过上述结构，本发明从上述信息终端向上述服务提供装置发送个人信息的识别信息个人识别信息。此外，从上述管理装置向上述服务提供装置发送表示可否提供服务的可否信息。因此，能够降低个人信息本身泄漏的可能性。
在上述管理装置中，上述个人信息数据库也可以将个人信息和公开密钥证件一起与个人识别信息对应来登录。此外，上述决定处理部也可以用与该识别信息对应而登录在上述个人信息数据库中的公开密钥证件来验证从上述服务提供装置通知的个人识别信息上附加的签名信息，只在验证成立的情况下进行上述判定，按照其判定结果来决定可否提供服务，另一方面，在验证不成立的情况下，进行表示不允许提供服务的决定。
在此情况下，在上述服务提供装置中，使上述个人识别信息取得处理部从上述信息终端取得附加有签名信息的个人识别信息，使上述可否信息取得处理部将上述个人识别信息取得处理部取得的附加有签名信息的个人识别信息通知给上述管理装置，从上述管理装置取得可否信息。
这样，通过验证上述信息终端形成的对个人识别信息的签名信息，能够确认上述信息终端的用户是否是与个人识别信息对应的个人信息所确定的正当的用户。
本发明的认证系统例如能够应用于只在个人信息满足规定的服务提供条件的情况下允许阅览规定的万维网页的万维网系统。在此情况下，上述信息终端具有万维网浏览器的功能，上述服务提供装置具有万维网服务器的功能，或者具有将上述信息终端经网络连接到万维网服务器上的网络连接功能。
此外，本发明的认证系统例如也能够应用于只在个人信息满足规定的服务提供条件的情况下允许购买商品等所需的结算的结算系统。


图1是应用本发明第1实施例的认证系统的示意图。
图2是图1所示的服务提供装置10的示意图。
图3是图1所示的管理装置20的示意图。
图4是图3所示的用户证件数据库202的登录内容示例图。
图5是图3所示的服务提供条件数据库203的登录内容示例图。
图6是图1所示的信息终端40的示意图。
图7是图1所示的服务提供装置10或管理装置200的硬件结构示例图。
图8是图1所示的认证系统的工作过程的说明图。
图9是应用本发明第2实施例的认证系统的示意图。
图10是图9所示的服务提供装置30’的示意图。
图11是图10所示的计费数据库309的登录内容示例图。
图12是图9所示的管理装置20’的示意图。
图13是图12所示的证明标记数据库207的登录内容示例图。
图14是图9所示的信息终端40’的示意图。
图15是图9所示的认证系统的工作过程的说明图。
图16是信息终端40’上与证明标记一起被显示的万维网页的示例图。
图17是信息终端40’上与证明标记一起被显示的万维网页的示例图。
图18是信息终端40’上与证明标记一起被显示的万维网页的示例图。
图19是信息终端40’上与证明标记一起被显示的万维网页的示例图。
图20是信息终端40’上与证明标记一起被显示的万维网页的示例图。
图21是应用本发明第3实施例的认证系统的示意图。
图22是图21所示的服务提供装置70的示意图。
图23是图22所示的结算处理管理数据库705的登录内容示例图。
图24是图21所示的认证系统的工作过程的说明图。
图25是图21所示的认证系统的工作过程的变形例的说明图。
具体实施例方式
以下，说明本发明的实施例。
作为本发明第1实施例，以将本发明的认证系统应用于下述系统的情况为例来进行说明服务提供装置(万维网(Web)服务器)只允许满足预定的服务提供条件的用户的信息终端(万维网浏览器)阅览规定的万维网页。
图1是应用本发明第1实施例的认证系统的示意图。
在图1中，服务提供装置10具有万维网服务器的功能，使经因特网50来访问的信息终端40显示万维网页。信息终端40是具有万维网浏览器功能的便携电话机或PDA(Personal Digital Assistant，个人数字代理)等无线终端。在信息终端40中，登录有向该信息终端40的用户发行的用户证件的识别信息(可以使用例如公开密钥证件等信息，仅凭该信息难以确定用户的个人信息。以下，称为证件号码)号码。这里，用户证件是记述有证明用户所需的个人信息(例如，姓名、住址、年龄、有无账户等信息)的电子数据，用户证件由具有正当权限的发行机关来发行。网络连接装置30具有无线基站及ISP(InternetService Provider，因特网服务提供者)的功能，进行将信息终端40连接到因特网50上的服务。管理装置20向用户证件赋予证件号码来进行管理，并且将服务提供装置10提供的各个万维网页的提供条件(以下，称为万维网页提供条件)与万维网页的识别信息(URL(Uniform Resource Locator，统一资源定位符)或能确定URL的信息，以下，称为万维网页识别信息)对应来进行管理。在图1中，管理装置20经专用网60被连接在服务提供装置10上，但是在采用加密通信等能够确保安全性的通信技术的情况下，也可以经因特网50来连接管理装置20及服务提供装置10。
在以上结构中，信息终端40根据用户的指示，经网络连接装置30及因特网50，来访问服务提供装置10中保持的期望的万维网页。此时，如果信息终端40想要阅览的万维网页是管理装置20管理有万维网页提供条件的万维网页，则服务提供装置10从信息终端装置40取得证件号码，将包含该证件号码及该万维网页的万维网页识别信息的验证委托通知给管理装置20。管理装置20收到验证委托后，确定与该验证委托中包含的证件号码对应来管理的用户证件，并且确定与该验证委托中包含的万维网页识别信息对应来管理的万维网页提供条件。然后，判定确定出的用户证件中记述的个人信息是否满足确定出的万维网页提供条件，决定可否提供万维网页，将表示决定内容的可否信息发送到服务提供装置10。服务提供装置10从管理装置20收到可否信息后，在其内容表示允许提供万维网页的情况下，使信息终端40显示该信息终端40想要阅览的万维网页。另一方面，在其内容表示不允许提供万维网页的情况下，不使信息终端40显示该信息终端40想要阅览的万维网页，而例如使其显示记述有表示拒绝阅览该万维网页的消息的万维网页。
这样，在本实施例中，从信息终端40向服务提供装置10发送用户证件的识别信息证件号码。此外，从管理装置20向服务提供装置10发送表示可否提供万维网页的可否信息。即，用户证件本身不在因特网50或专用网60上传输。因此，能够降低用户证件或用户证件中记述的个人信息泄漏给第三者的可能性。
接着，说明构成图1所示的系统的服务提供装置10、管理装置20及信息终端40。在本实施例中，网络连接装置30可以采用具有无线基站的功能及ISP的功能的现有的装置。因此，省略网络连接装置30的说明。
首先，说明服务提供装置10。
图2是服务提供装置10的示意图。
在图2中，因特网接口(IF)部101是用于经因特网50与信息终端40进行通信的接口。
专用网接口部102是用于经专用网60与管理装置20进行通信的接口。
在万维网页数据库(DB)103中，登录有万维网页(HTML文档)。
万维网页提供部104管理着万维网页数据库103中登录的各万维网页和URL之间的对应关系，从万维网页数据库103中读出与经因特网接口部101来访问的信息终端40要访问的URL对应的万维网页，发送到上述信息终端40。
万维网页提供部104具有万维网管理表(TBL)1041。在万维网管理表1041中，将管理装置20管理有万维网页提供条件的万维网页的万维网页识别信息与该万维网页的URL对应来登录。但是，在万维网页识别信息是URL的情况下，登录管理装置20管理有万维网页提供条件的万维网页的万维网页识别信息。万维网页提供部104通过检查与经因特网接口部101来访问的信息终端40要访问的URL对应的万维网页的万维网页识别信息是否已被登录在万维网管理表1031中，来判定阅览与上述要访问的URL对应的万维网页是否需要管理装置20的允许。
在万维网页提供部104判定为阅览与经因特网接口部101来访问的信息终端40要访问的URL对应的万维网页需要管理装置20的允许的情况下，证件号码取得部105从上述信息终端40取得上述信息终端40的用户用签名密钥(例如秘密密钥)签过名的证件号码。
在万维网页提供部104判定为阅览与经因特网接口部101来访问的信息终端40要访问的URL对应的万维网页需要管理装置20的允许的情况下，可否信息取得部106从万维网页提供部104取得与上述要访问的URL对应的万维网页的万维网页识别信息，并且从证件号码取得部105取得上述信息终端40的用户用签名密钥签过名的证件号码，形成包含它们的验证委托，经专用网接口部102通知给管理装置20。然后，将作为对验证委托的回答而从管理装置20收到的可否信息通知给万维网页提供部104。
收到此后，在可否信息表示允许阅览万维网页的情况下，万维网页提供部104从万维网页数据库103中读出与该要访问的URL对应的万维网页，发送到上述信息终端40。另一方面，在可否信息表示不允许阅览万维网页的情况下，从万维网页数据库103中读出预定的与URL对应的万维网页(例如记述有表示拒绝阅览万维网页的消息的万维网页)，发送到上述信息终端40。
接着，说明管理装置20。
图3是管理装置20的示意图。
在图3中，专用网接口部201是用于经专用网60与服务提供装置10进行通信的接口。
如图4所示，在用户证件数据库202中，将用户证件中记述的个人信息(姓名、住址、联系方式、年龄、有无账户等表示个人属性的信息)2022、和用于验证用户签名的验证密钥(例如公开密钥证件)2023与证件号码2021对应来存储。
如图5所示，服务提供条件数据库203将为了阅览万维网页而对构成个人信息的各个信息要求的条件服务提供条件2032与万维网页识别信息2031对应来登录。
认证部204用与经专用网接口部201从服务提供装置10接受的验证委托中包含的证件号码对应而登录在用户证件数据库202中的验证密钥，来验证向该证件号码赋予的签名。然后，如果签名验证成立，则向可否判定部205通知上述验证委托中包含的证件号码及万维网页识别信息，从可否判定部205取得对可否阅览万维网页的判定结果。然后，形成表示判定结果的可否信息，通知给发送了上述验证委托的服务提供装置10。在签名验证不成立的情况下，形成表示不允许阅览万维网页的可否信息，通知给发送了上述验证委托的服务提供装置10。
可否判定部205读出与从认证部204接受的万维网页识别信息对应而登录在服务提供条件数据库203中的服务提供条件，并且读出与从认证部204和上述万维网页识别信息一起接受的证件号码对应而登录在用户证件数据库202中的用户证件的个人信息。然后，检查读出的个人信息是否满足读出的服务提供条件。在满足的情况下，判定为表示允许阅览万维网页，另一方面，在不满足的情况下，判定为表示不允许阅览万维网页。然后，将判定结果通知给认证部204。
接着，说明信息终端40。
图6是信息终端40的示意图。
在图6中，无线通信部401与网络连接装置30进行无线通信。经网络连接装置30连接在因特网50上。指示接受部402例如由操作面板构成，从用户接受各种指示或信息的输入。
万维网页阅览部403经无线通信部401来访问服务提供装置10，取得具有用户经指示接受部402指定的期望的URL的万维网页，例如显示在由液晶屏幕构成的显示部404上。
在存储部405中，存储有证件号码及签名密钥。这里，存储部405例如可以是可插入信息终端40并从其中拔出的存储卡。在此情况下，存储部405由用户证件和验证密钥的发行机关来提供即可。或者，存储部405也可以是直接连接在信息终端40的电路板上的ROM。在此情况下，在将证件号码和验证密钥存储在存储部405中的状态下，由信息终端40的销售者将信息终端40亲手交给用户即可。
证件号码发送部406根据经万维网页阅览部403从服务提供装置10接受的指示，从存储部405中读出证件号码及验证密钥。然后，用验证密钥对证件号码生成电子签名，将其附加在证件号码上并发送到服务提供装置10。
具有以上结构的服务提供装置10或管理装置20例如可以构筑在具有图7所示的一般结构的计算机系统、或通过对多个该计算机系统进行网络连接而构成的网络系统上，该计算机系统包括CPU 1001；存储器1002；硬盘装置等外部存储装置1003；从CD-ROM或DVD-ROM等具有便携性的存储媒体1009读取数据的读取装置1007；键盘或鼠标等输入装置1005；监视器等输出装置1006；经因特网50或专用网60进行通信的通信装置1004；以及连接这些装置的总线1008。
用于在这种计算机系统或网络系统上构筑上述服务提供装置10或管理装置20的程序可以从外部存储装置703或经读取装置1007从存储媒体1009加载到存储器1002上，使CPU 1001执行。或者，也可以经通信装置1004从因特网50或专用网60加载到存储器1002上，使CPU 1001执行。
上述信息终端40也例如可以构筑在从图7所示的硬件结构中除去读取装置1007的便携计算机系统上。在此情况下，通信装置1004采用便携电话机等具有无线通信功能的装置。外部存储装置1003采用ROM或存储卡等小型的存储装置。
接着，说明上述结构的认证系统的工作。
图8是图1所示的认证系统的工作过程的说明图。
首先，在信息终端40中，万维网页阅览部403经指示接受部402从用户接受包含URL的指定的万维网页的阅览请求后(S1001)，经无线通信部40及网络连接装置30来访问服务提供装置10，通知上述阅览请求(S1002)。
在服务提供装置10中，万维网页提供部104经因特网接口部101从信息终端40接受阅览请求后，确认该请求中包含的URL是否已被登录在万维网管理表1041中(S1003)。
然后，如果阅览请求中包含的URL未被登录在万维网管理表1041中，则从万维网页数据库103中读出与上述URL对应的万维网页，经因特网接口部101发送到信息终端40，使信息终端40的万维网页阅览部403将该万维网页显示在显示部404上。另一方面，在阅览请求中包含的URL已被登录在万维网管理表1041中的情况下，万维网页提供部104将该情况通知给证件号码取得部105。此外，将与该URL对应而登录在万维网管理表1041中的万维网页识别信息通知给可否信息取得部106。收到此后，证件号码取得部105将证件号码发送请求经因特网接口部101发送到信息终端40(S1004)。
在信息终端40中，万维网页阅览部403经无线通信部401从服务提供装置10收到证件号码发送请求后，将该情况通知给证件号码发送部406。收到此后，证件号码发送部406从存储部405中读出证件号码及签名密钥。然后，用签名密钥对证件号码生成电子签名(S1005)。其后，证件号码发送部406将生成的签名附加在证件号码上，经无线通信部401发送到服务提供装置10(S1006)。
用于服务提供装置10及信息终端40间的证件号码通信的收发例如可以通过Java(美国及其他国家中的(美国Sun Microsystems，Inc.在美国及其他国家的商标或注册商标)或CGI(Common GatewayInterface，公共网关接口)来实现。
在服务提供装置10中，证件号码取得部105经因特网接口部101从信息终端40收到证件号码及签名后，将它们通知给可否信息取得部106。可否信息取得部106形成包含从证件号码取得部105收到的证件号码及签名、和在S1003中从万维网页提供部104收到的方维网页识别信息的搜索委托，经专用网接口部102发送到管理装置20(S1007)。
在管理装置20中，认证部204经专用网接口部201从服务提供装置10收到验证委托后，读出与该验证委托中包含的证件号码对应而登录在用户证件数据库202中的验证密钥。其后，用该验证密钥来验证验证委托中包含的对证件号码的签名(S1008)。然后，如果签名验证成立，则将验证委托中包含的证件号码及万维网页识别信息通知给可否判定部205。
收到此后，可否判定部205读出与证件号码对应而登录在用户证件数据库202中的用户证件，并且读出与万维网页识别信息对应而登录在服务提供条件数据库203中的服务提供条件。然后，检查用户证件中记述的个人信息是否满足服务提供条件(例如，个人信息中包含的年龄是否满足服务提供条件规定的年龄条件)，在满足的情况下，将表示允许阅览万维网页的判定结果通知给认证部204，另一方面，在不满足的情况下，将表示不允许阅览万维网页的判定结果通知给认证部204(S1009)。
在从可否判定部205通知的判定结果表示不允许阅览万维网页的情况下，或者在S1008中的签名验证不成立的情况下，认证部204形成表示不允许阅览万维网页的可否信息，将其经专用网接口部201发送到服务提供装置10。另一方面，在从可否判定部205通知的判定结果表示允许阅览万维网页的情况下，形成表示该情况的可否信息，将其经专用网接口部201发送到服务提供装置10(S1010)。
在服务提供装置10中，可否信息取得部106经专用网接口部102从管理装置20取得可否信息后，将其通知给万维网页提供部104。在从可否信息取得部106收到的可否信息表示允许阅览万维网页的情况下，万维网页提供部104从万维网页数据库103中读出与S1002中收到的阅览请求中包含的URL对应的万维网页，经因特网接口部101发送到信息终端40，使信息终端40的万维网页阅览部403将该万维网页显示在显示部404上。另一方面，在上述可否信息表示不允许阅览万维网页的情况下，从万维网页数据库103中读出预定的与URL对应的万维网页(例如，包含表示拒绝阅览万维网页的消息的万维网页)，经因特网接口部101发送到信息终端40，使信息终端40的万维网页阅览部403将该万维网页显示在显示部404上(S1011)。
以上，说明了本发明第1实施例。
在本实施例中，从信息终端40向服务提供装置10发送用户证件的识别信息证件号码。从管理装置20向服务提供装置10发送表示可否阅览万维网页的可否信息。因此，能够降低用户证件中记述的个人信息本身泄漏的可能性。
此外，在本实施例中，管理装置20在用户证件数据库202中将用户证件和签名的验证密钥(例如公开密钥证件)一起与证件号码对应来登录。认证部204用与该证件号码对应而登录在用户证件数据库202中的验证密钥来验证从服务提供装置10通知的验证委托中包含的对证件号码的签名。通过这样，能够确认信息终端40的用户是否是与证件号码对应的用户证件所确定的正当的用户。
在上述实施例中，也可以通过将用于验证签名的认证部设置在服务提供装置10中，不由管理装置20的认证部204，而由服务提供装置10来验证证件号码上附加的签名。在此情况下，服务提供装置10从信息终端40与证件号码及对证件号码的签名一起取得验证密钥即可。
此外，在上述实施例中，也可以通过在服务提供装置10中设置可否判定部，不由管理装置20的可否判定部205，而由服务提供装置10来判断可否阅览万维网页。在此情况下，在管理装置20的服务提供条件数据库203中，将判断可否阅览万维网页所需的个人信息的种类与万维网页识别信息对应来登录。使服务提供装置10将包含证件号码及万维网页识别信息的信息发送委托发送到管理装置20，使管理装置20从与上述信息发送委托中包含的证件号码对应而登录在用户证件数据库202中的用户证件中，提取与上述信息发送委托中包含的万维网页识别信息对应而登录在服务提供条件数据库203中的种类的个人信息，发送到服务提供装置10。在这种情况下，向服务提供装置10发送的个人信息被限定为管理装置20允许发送的种类的个人信息(判断可否阅览万维网页真正需要的信息)，所以与以往相比，也能够降低个人信息泄漏的可能性。
此外，在上述实施例中，也可以使服务提供装置10的证件号码取得部105具有下述功能在从信息终端40取得证件号码之前，在信息终端40的显示部404上显示表示是否同意发送证件号码的消息；只在信息终端40的用户同意的情况下，才从信息终端40取得证件号码。
接着，说明本发明第2实施例。
作为本发明第2实施例，以将本发明的认证系统应用于下述系统的情况为例来进行说明服务提供装置(网络连接装置)只允许满足预定的服务提供条件的用户的信息终端(万维网浏览器)访问万维网服务器公开的规定的万维网页。
图9是应用本发明第2实施例的认证系统的示意图。这里，对与图1所示的第1实施例具有同一功能的部分附以同一标号。
在图9中，万维网服务器10’使经因特网50来访问的信息终端40’显示万维网页。这里，万维网服务器10’在用于移动到设定有万维网页提供条件的万维网页的万维网页上，包含设定有向上述万维网页提供条件的万维网页或该万维网页的提供者或著作者等关系者发行的证明标记。证明标记是通过电子水印技术等而嵌入有证明万维网页所需的万维网页属性信息(例如，URL等万维网页识别信息或其他关联信息)及对万维网页属性信息的签名的电子图像数据，有具有正当权限的发行机关来发行。此外，服务提供装置30’具有网络连接装置的功能，更具体地说，具有无线基站及ISP的功能，进行将信息终端40’连接到因特网50上的服务。管理装置20’向用户证件赋予证件号码来进行管理，并且将证明标记所证明的万维网页的万维网页识别信息与包含该万维网页的万维网页提供条件及该证明标记的万维网页的万维网页识别信息(称为关联万维网页识别信息)对应来进行管理。
在图9中，管理装置20’经专用网60被连接在服务提供装置30’上，但是在采用加密通信等能够确保安全性的通信技术的情况下，也可以经因特网50来连接管理装置20’及服务提供装置10’。
在以上结构中，信息终端40’根据用户的指示，经网络连接装置30’及因特网50，来访问万维网服务器10’并显示期望的万维网页。此时，在正显示的万维网页中包含证明标记的情况下，信息终端40’的用户可以用该证明标记来访问证明标记所证明的万维网页，或者取得上述正显示的万维网页(附加有证明标记的万维网页)和通过上述证明标记来证明的万维网页的关联性的信息，等等。
如果信息终端40’想要阅览的万维网页是管理装置20’管理有万维网页提供条件的万维网页、即证明标记所证明的万维网页，则服务提供装置30’从信息终端装置40’取得证件号码，将包含该证件号码及该万维网页的万维网页识别信息的验证委托通知给管理装置20’。管理装置20’收到验证委托后，确定与该验证委托中包含的证件号码对应来管理的用户证件，并且确定与该验证委托中包含的万维网页识别信息对应来管理的万维网页提供条件。然后，判定确定出的用户证件中记述的个人信息是否满足上述确定出的万维网页提供条件，决定可否提供万维网页，将表示决定内容的可否信息发送到服务提供装置30’。服务提供装置30’从管理装置20’收到可否信息后，在其内容表示允许提供万维网页的情况下，允许信息终端40’访问该信息终端40’想要阅览的万维网页。另一方面，在其内容表示不允许提供万维网页的情况下，不使信息终端40’显示该信息终端40’想要阅览的万维网页，而例如使其显示记述有表示拒绝访问该万维网页的消息的万维网页。
服务提供装置30’从信息终端40’收到包含万维网页属性信息及关联万维网页识别信息的关联性验证委托后，将其通知给管理装置20’。管理装置20’收到关联性验证委托后，检查由该关联性验证委托中包含的万维网页属性信息确定的万维网页的万维网页识别信息是否已被与该关联性验证委托中包含的关联万维网页识别信息对应来管理。然后，将其结果(称为关联性检查结果)通知给服务提供装置30’。服务提供装置30’根据从管理装置20’收到的关联性检查结果，将信息终端40’正显示的万维网页和通过上述证明标记来证明的万维网页的关联性的消息显示在信息终端40’上。
这样，在本实施例中，从信息终端40’向服务提供装置30’发送用户证件的识别信息证件号码。此外，从管理装置20’向服务提供装置30’发送表示可否提供万维网页的可否信息。即，用户证件本身不在因特网50或专用网60上传输。因此，能够降低用户证件或用户证件中记述的个人信息泄漏给第三者的可能性。
此外，在本实施例中，信息终端40’的用户能够用向万维网页赋予的证明标记来确认该万维网页和通过上述证明标记来证明的万维网页的关联性。因此，对信息终端40’的用户来说，利用万维网的安全性提高了。
接着，说明构成图9所示的系统的服务提供装置30’、管理装置20’及信息终端40’。在本实施例中，万维网服务器10’可以采用现有的万维网服务器。因此，省略万维网服务器10’的说明。
首先，说明服务提供装置30’。
图10是服务提供装置30’的示意图。
在图10中，无线接口部301是用于利用无线通信与信息终端40’进行通信的接口。
因特网接口部302是用于经因特网50与万维网服务器10’进行通信的接口。
专用网接口部303是用于经专用网60与管理装置20’进行通信的接口。
中继部304连接无线接口部301和因特网接口部302，对万维网服务器10’及信息终端40’间的通信进行中继。
中继部304具有万维网管理表3041。在万维网管理表3041中，将管理装置20’管理有万维网页提供条件的万维网页的万维网页识别信息与该万维网页的URL对应来登录。但是，在万维网页识别信息是URL的情况下，登录管理装置20’管理有万维网页提供条件的万维网页的万维网页识别信息。中继部304通过检查与和无线接口部301进行通信的信息终端40’要访问的URL对应的万维网页的万维网页识别信息是否已被登录在万维网管理表3041中，来判定访问与上述要访问的URL对应的万维网页是否需要管理装置20’的允许。
在中继部304判定为访问与和无线接口部301进行通信的信息终端40’要访问的URL对应的万维网页需要管理装置20’的允许的情况下，证件号码取得部305从信息终端40’取得信息终端40’的用户用签名密钥(例如秘密密钥)签过名的证件号码。
在中继部304判定为访问与和无线接口部301进行通信的信息终端40’要访问的URL对应的万维网页需要管理装置20’的允许的情况下，可否信息取得部306从中继部304取得与上述要访问的URL对应的万维网页的万维网页识别信息，并且从证件号码取得部305取得信息终端40’的用户用签名密钥签过名的证件号码，形成包含它们的验证委托，经专用网接口部303通知给管理装置20’。然后，将作为对验证委托的回答而从管理装置20’收到的可否信息通知给中继部304。
收到此后，在可否信息表示允许访问万维网页的情况下，中继部304对万维网服务器10’及信息终端40’间的通信进行中继，允许访问与上述要访问的URL对应的万维网页。另一方面，在可否信息表示不允许访问万维网页的情况下，不对万维网服务器10’及信息终端40’间的通信进行中继，将管理装置30’内的预定的万维网页(例如记述有表示拒绝阅览万维网页的消息的万维网页)发送到信息终端40’。
关联信息取得部307将经无线接口部301从信息终端40’收到的关联性验证委托经专用网接口部303通知给管理装置20’。然后，从管理装置20’接受包含信息终端40’正显示的万维网页(赋予了证明标记的万维网页)和证明标记所证明的万维网页的关联性的调查结果的关联性检查结果，根据该关联性检查结果将上述关联性的消息发送到信息终端40’。
如图11所示，在计费数据库309中，对每个由万维网管理表3041管理的万维网页的万维网页识别信息3091，对应地登录有使用万维网页的信息终端40’的用户的证件号码3092和万维网页的使用次数3093。计费数据库309的登录内容作为计费信息，被用于对信息终端40’的用户计算万维网页(万维网管理表3041管理的万维网页)的使用费。
在中继部304允许信息终端40’访问万维网管理表3041管理有万维网页识别信息的万维网页的情况下，计费处理部308在计费数据库309中将与上述万维网页识别信息及信息终端40’的用户的证件号码对应的万维网页使用次数加1。或者，将用户的证件号码和使用次数“1”与上述万维网页识别信息对应来新登录到计费数据库309中。
接着，说明管理装置20’。
图12是管理装置20’的示意图。这里，对与图3所示的管理装置20具有相同功能的部分附以相同标号。
在图12中，如图13所示，在证明标记数据库207中，对每个由证明标记所证明的万维网页的万维网页识别信息2071，登录有与证明标记一起被显示的万维网页的万维网页识别信息万维网页识别信息2072、和用于验证证明标记发行机关的签名的验证密钥(例如公开密钥证件)2073。
关联性验证部206用与经专用网接口部201从服务提供装置30’接受的关联性验证委托中包含的万维网页识别信息对应而登录在证明标记数据库207中的验证密钥，来验证向该万维网页识别信息赋予的签名。然后，如果签名验证成立，则验证与上述关联性验证委托中包含的万维网页识别信息对应而登录在证明标记数据库207中的关联万维网页识别信息与上述关联性验证委托中包含的关联万维网页识别信息是否一致。然后，形成包含上述签名验证及上述一致验证的结果的关联性检查结果，通知给发送了上述验证委托的服务提供装置30’。
接着，说明信息终端40’。
图14是信息终端40’的示意图。这里，对与图6所示的信息终端40具有相同功能的部分附以相同标号。
在图14中，证明标记验证委托部407通过监视万维网页阅览部403显示的万维网页及输入到指示接受部402中的用户指示，来检测用户选择万维网页上显示的证明标记的行为。这例如可以如下实现预定表示证明标记的图像数据的名称或扩展符，在HTML文档中，检查被指定显示在用户用定位装置等选择出的万维网页上的位置上的数据的名称或扩展符是否是上述预定的名称或扩展符。
然后，证明标记验证委托部407检测出上述选择行为后，例如如图15所示，利用弹出显示等来显示用于从用户那里接受关联性验证委托的指示或证明标记所证明的万维网页的阅览请求的指示等的菜单。在用户经上述菜单指示了关联性验证委托的情况下，提取利用电子水印技术等而嵌入到证明标记中的万维网页识别信息及证明标记发行机关的签名，形成包含它们和万维网页阅览部403当前显示的万维网页的URL的关联性验证委托，经无线通信部401发送到服务提供装置30’。另一方面，在指示了阅览请求的情况下，提取利用电子水印技术等而嵌入到证明标记中的万维网页识别信息，形成包含该万维网页识别信息所确定的URL的阅览请求，经无线通信部401发送到服务提供装置30’。
具有以上结构的服务提供装置30’或管理装置20’也与第1实施例的管理装置20等同样，例如可以构筑在具有图7所示的结构的计算机系统、或通过对多个该计算机系统进行网络连接而构成的网络系统上。
同样，上述信息终端40’也例如可以构筑在从图7所示的硬件结构中除去读取装置707的便携计算机系统上。在此情况下，通信装置704采用便携电话机等具有无线通信功能的装置。外部存储装置703采用ROM或存储卡等小型的存储装置。
接着，说明上述结构的认证系统的工作。
图15是图9所示的认证系统的工作过程的说明图。
在服务提供装置30’中，中继部304经无线接口部301从信息终端40’接受包含URL的指定的万维网页阅览请求后，确认该URL是否已被登录在万维网管理表3041中。然后，如果未被登录，则经因特网接口部302将其发送到万维网服务器10’。收到此后，万维网服务器10’将与上述阅览请求中包含的URL对应的万维网页经服务提供装置30’发送到信息终端40’。信息终端40’显示经服务提供装置30’从万维网服务器10’收到的万维网页。此时，如果在万维网页中包含证明标记，则该证明标记也一并显示(S2001)。
图16示出包含证明标记的万维网页的一例。如上所述，在证明标记1601中，嵌入有通过该证明标记来证明的万维网页的万维网页识别信息、和证明标记发行机关对该万维网页识别信息的签名。
在信息终端40’中，证明标记验证委托部407检测出用户经指示接受部402选择了万维网页阅览部403显示的万维网页上的证明标记1601后，将图17所示的弹出菜单1602显示在万维网页上。这里，在弹出菜单1602中，包含用于接受关联性验证请求的指示1603和证明标记所证明的万维网页的阅览请求的指示1604等的项目。
在图17所示的画面中，证明标记验证委托部407检测出用户经指示接受部402选择了关联性验证请求的指示1603后(S2002)，提取利用电子水印技术等而嵌入到证明标记1601中的万维网页识别信息及对该万维网页识别信息的签名，形成包含这些信息、和当前显示的万维网页的URL等所确定的关联万维网页识别信息的关联性验证委托，经无线通信部401发送到服务提供装置30’(S2003)。
在服务提供装置30’中，关联信息取得部307将经无线接口部301从信息终端40’收到的关联性验证委托经专用网接口部303发送到管理装置20’(S2004)。
在管理装置20’中，关联性验证部206经专用网接口部303从服务提供装置30’收到关联性验证委托后，读出与该关联性验证委托中包含的万维网页识别信息对应而登录在证明标记数据库207中的验证密钥。然后，用该验证密钥来验证向该万维网页识别信息赋予的签名(S2005)。
接着，如果签名验证成立，则关联性验证部206验证与该关联性验证委托中包含的万维网页识别信息对应而登录在证明标记数据库207中的关联万维网页识别信息与该关联性验证委托中包含的关联万维网页识别信息是否一致(S2006)。
其后，关联性验证部206形成包含签名验证及一致验证的结果的关联性检查结果，经专用网接口部201通知给服务提供装置30’(S2007)。
在服务提供装置30’中，关联信息取得部307经专用网接口部303从管理装置20’收到关联性检查结果后，将与装置的结果内容对应的消息经无线接口部301发送到信息终端40’(S2008)。
收到此后，如图18～图20所示，信息终端40’的证明标记验证委托部407将经无线通信部401从服务提供装置30’收到的消息1605显示在万维网页上。图18例示了S2005中的签名验证不成立的情况，在此情况下，证明标记有可能是证明标记发行机关以外的第三者非法形成的。图19例示了S2005中的签名验证成立、但是S2006中的一致验证不成立的情况，在此情况下，证明标记发行机关发行的证明标记很可能被没有正当使用权限的第三者非法使用。而图20例示了S2005中的签名验证及S2006中的一致验证都成立的情况。在此情况下，证明标记发行机关发行的证明标记被具有该证明标记的正当的使用权限的人使用的概率很高。
另一方面，在图17所示的画面中，证明标记验证委托部407检测出用户经指示接受部402选择了阅览请求的指示后(S2009)，提取利用电子水印技术等而嵌入到证明标记1601中的万维网页识别信息，形成包含该万维网页识别信息所确定的URL的阅览请求，经无线通信部401发送到服务提供装置30’(S2010)。
在服务提供装置30’中，中继部304经无线接口部301从信息终端40’收到包含URL的指定的万维网页的阅览请求后，确认该URL是否已被登录在万维网管理表3041中(S2011)。然后，如果已被登录，则将该情况通知给证件号码取得部305。此外，将与该URL对应而登录在万维网管理表3041中的万维网页识别信息通知给可否信息取得部306。收到此后，证件号码取得部305将证件号码发送请求经无线接口部301发送到信息终端40’(S2012)。
在信息终端40’中，万维网页阅览部403经无线通信部401从服务提供装置30’收到证件号码发送请求后，将该情况通知给证件号码发送部406。收到此后，证件号码发送部406从存储部405中读出证件号码及验证密钥。然后，用验证密钥对证件号码生成电子签名(S2013)。其后，证件号码发送部406将生成的附加到证件号码上，经无线通信部401发送到服务提供装置30’(S2014)。
在服务提供装置30’中，证件号码取得部305经无线接口部301从信息终端40’收到证件号码及签名后，将它们通知给可否信息取得部306。可否信息取得部306形成包含从证件号码取得部305收到的证件号码及签名、和在S2011中从中继部304收到的万维网页识别信息的验证委托。然后，将其经专用网接口部303发送到管理装置20’(S2015)。
在管理装置20’中，认证部204经专用网接口部201从服务提供装置30’收到验证委托后，读出与该验证委托中包含的证件号码对应而登录在用户证件数据库202中的验证密钥。其后，用该验证密钥来验证验证委托中包含的对证件号码的签名(S2016)。然后，如果签名验证成立，则将验证委托中包含的证件号码及万维网页识别信息通知给可否判定部205。
收到此后，可否判定部205读出与证件号码对应而登录在用户证件数据库202中的用户证件，并且读出与万维网页识别信息对应而登录在服务提供条件数据库203中的服务提供条件。然后，检查用户证件中记述的个人信息是否满足服务提供条件(例如，个人信息所确定的资格等是否满足计费所需的条件(例如是信用会员))，在满足的情况下，将表示允许阅览万维网页的判定结果通知给认证部204，另一方面，在不满足的情况下，将表示不允许阅览万维网页的判定结果通知给认证部204(S2017)。
在从可否判定部205通知的判定结果表示不允许阅览万维网页的情况下，或者在S2016中的签名验证不成立的情况下，认证部204形成表示不允许阅览万维网页的可否信息，将其经专用网接口部201发送到服务提供装置30’。另一方面，在上述判定结果表示允许阅览万维网页的情况下，形成表示该情况的可否信息，将其经专用网接口部201发送到服务提供装置30’(S2018)。
在服务提供装置30’中，可否信息取得部306经专用网接口部303从管理装置20’取得可否信息后，将其通知给中继部304。
在从可否信息取得部306收到的可否信息表示允许阅览万维网页的情况下，中继部304将在S2010中收到的阅览请求中包含的URL所确定的万维网页识别信息、和在S2014中证件号码取得部305从信息终端40’收到的证件号码通知给计费处理部308。收到此后，计费处理部308在计费数据库309中将与从中继部304收到的万维网页识别信息及证件号码对应的万维网页使用次数加1。或者，将用户的证件号码和使用次数“1”与上述万维网页识别信息对应来新登录到计费数据库309中(S2019)。
此外，在从可否信息取得部306收到的可否信息表示允许阅览万维网页的情况下，中继部304将在S2010中收到的阅览请求经因特网接口部302发送到万维网服务器10’。由此，经服务提供装置30’从万维网服务器10’向信息终端40’发送与上述阅览请求中包含的URL对应的万维网页，显示在信息终端40’上。另一方面，在从上述可否信息表示不允许阅览万维网页的情况下，将预定的与URL对应的万维网页(例如，包含表示拒绝阅览万维网页的消息的万维网页)经无线接口部301发送到信息终端40’，显示在信息终端40’上(S2020)。
以上，说明了本发明第2实施例。
在本实施例中，也与上述第1实施例同样，能够降低用户证件中记述的个人信息本身泄漏的可能性。此外，能够确认信息终端40’的用户是否是与证件号码对应的用户证件所确定的正当的用户。
再者，在本实施例中，能够用向万维网页赋予的证明标记来确认该万维网页和通过上述证明标记来证明的万维网页的关联性，所以，对信息终端40’的用户来说，利用万维网的安全性提高了。除此之外，还有下述优点在图15中，在S2005中的签名验证成立、但是S2006中的一致性验证不成立的情况下，即在证明标记本身是证明标记发行机关发行的正当的证明标记、但是它很可能被没有正当的使用权限的第三者非法使用的情况下，能够从该证明标记移动到该证明标记证明的万维网页。
在本实施例中，也与上述第1实施例同样，可以通过将用于验证对证件号码的签名的认证部设置在服务提供装置30’中，不由管理装置20’的认证部204，而由服务提供装置30’来验证证件号码上附加的签名。在此情况下，服务提供装置30’从信息终端40’与证件号码及对证件号码的签名一起取得验证密钥即可。
此外，在上述实施例中，也可以通过在服务提供装置30’中设置可否判定部，不由管理装置20’的可否判定部205，而由服务提供装置30’来判断可否阅览万维网页。在此情况下，在管理装置20’的服务提供条件数据库203中，将判断可否阅览万维网页所需的个人信息的种类与万维网页识别信息对应来登录。使服务提供装置30’将包含证件号码及万维网页识别信息的信息发送委托发送到管理装置20’，使管理装置20’从与上述信息发送委托中包含的证件号码对应而登录在用户证件数据库202中的用户证件中，提取与上述信息发送委托中包含的万维网页识别信息对应而登录在服务提供条件数据库203中的种类的个人信息，发送到服务提供装置30’。在这种情况下，向服务提供装置30’发送的个人信息被限定为管理装置20’允许发送的种类的个人信息(判断可否阅览万维网页真正需要的信息)，所以与以往相比，也能够降低个人信息泄漏的可能性。
此外，在上述实施例中，也可以使服务提供装置30’的证件号码取得部105具有下述功能在从信息终端40’取得证件号码之前，在信息终端40’的显示部404上显示表示是否同意发送证件号码、即代为计算服务提供装置30’的万维网页使用费的消息；只在信息终端40’的用户同意的情况下，才从信息终端40’取得证件号码。
再者，在上述实施例中，也可以省略证件号码请求(S2012)和该请求所花费的处理。在此情况下，服务提供装置30’向管理装置20’发送识别信息终端40’的代码等，管理装置20’根据该代码来判定可否阅览万维网即可。或者，服务提供装置30’也可以不委托管理装置20’进行验证，就进行计费(S2019)。
接着，说明本发明第3实施例。
作为本发明第3实施例，以在商店等中将本发明的认证系统应用于使用信息终端的结算系统中的情况为例来进行说明。
图21是应用本发明第3实施例的认证系统的示意图。这里，对与图1所示的第1实施例具有同一功能的部分附以同一标号。
在图21中，销售者终端80是设置在商店的窗口等处来使用的信息终端。具有经公用网90与服务提供装置(结算装置)70进行通信的功能。服务提供装置70进行信息终端40”的用户消费者及销售者终端80的用户销售者间的结算处理。这里，服务提供装置70将消费者的账户信息与证件号码对应来进行管理，并且将销售者的账户信息与销售者识别信息对应来进行管理。管理装置20”向用户证件赋予证件号码来进行管理，并且将用于接受服务提供装置70提供的结算服务的条件(有无会员资格等，以下，称为结算服务提供条件)与销售者识别信息对应来进行管理。在图21中，管理装置20”经专用网60被连接在服务提供装置70上，但是在采用加密通信等能够确保安全性的通信技术的情况下，也可以经公用网20”来连接管理装置20”及服务提供装置70。
在以上结构中，在消费者在商店中购买商品的情况下，销售者用销售者终端80向服务提供装置70发送包含自身的销售者识别信息、表示与消费者的交易额(消费者的购买金额)的交易额信息、以及销售者为了管理消费者及销售者间的结算而唯一决定的管理号码(例如序列号)的销售者方结算委托。另一方面，消费者用信息终端40”向服务提供装置70发送包含自身的证件号码、和销售者通知的上述管理号码的消费者方结算委托。如果具有相同管理号码的销售者方结算委托和消费者方结算委托一致，则服务提供装置70首先将包含消费者方结算委托中包含的证件号码、和销售者方结算委托中包含的销售者识别信息的验证委托通知给管理装置20”。
管理装置20”收到验证委托后，确定与该验证委托中包含的证件号码对应而管理的用户证件，并且确定与该验证委托中包含的销售者识别信息对应而管理的结算服务提供条件。然后，判定确定出的用户证件中记述的个人信息是否满足确定出的结算服务提供条件，决定可否提供结算服务，将表示决定内容的可否信息发送到服务提供装置70。
服务提供装置70从管理装置20”收到可否信息后，在其内容表示允许提供结算服务的情况下，从与上述消费者方结算委托中包含的证件号码对应而管理的账户识别信息所确定的消费者的账户中，取出上述销售者方结算委托中包含的交易额信息所示的金额，转入与上述销售者方结算委托中包含的销售者识别信息对应而管理的账户识别信息所确定的销售者的账户中。然后，将其处理结果通知给信息终端40”和销售者终端80。另一方面，在其内容表示不允许提供结算服务的情况下，将该情况通知给信息终端40”和销售者终端80。
这样，在本实施例中，消费者通过使用信息终端40”，即使不随身带钱也能够在商店中购买商品。此外，在本实施例中，从信息终端40”或销售者终端80向服务提供装置70发送用户证件的识别信息证件号码或销售者的识别信息销售者识别信息。此外，从管理装置20”向服务提供装置70发送表示可否提供结算服务的可否信息。即，用户证件或销售者的个人信息本身不在公用网90或专用网60上传输。因此，能够降低用户证件或个人信息泄漏给第三者的可能性。
接着，说明构成图21所示的系统的服务提供装置70。在本实施例中，管理装置20”除了在服务提供条件数据库203中将结算服务提供条件与销售者识别信息对应来登录这一点之外，与图3所示的第1实施例的管理装置20相同。此外，与图1所示的第1实施例同样，信息终端40”可以采用便携电话机或PDA等便携终端。此外，销售者终端80可以采用具有经公用网90与服务提供装置70进行通信的功能的信息终端。再者，无线基站30”是具有将信息终端40连接到公用网90上的功能的一般的无线基站。因此，省略管理装置20”、信息终端40”、销售者终端80及无线基站30”的说明。
图22是服务提供装置70的示意图。
在图22中，公用网接口部701是用于经公用网90与信息终端40”或销售者终端80进行通信的接口。
专用网接口部702是用于经专用网60与管理装置20”进行通信的接口。
在消费者账户管理数据库703中，将消费者的账户信息与该消费者的证件号码对应来登录。
在销售者账户管理数据库704中，将销售者的账户信息与该销售者的销售者识别信息对应来登录。
结算处理管理数据库705是用于管理消费者及销售者间的结算的数据库，如图23所示，登录有具有下述字段的记录用于登录管理号码的字段7051；用于登录销售者方结算委托的字段7052；用于登录消费者方结算委托的字段7053；以及用于登录结算状况(处理讫、未处理、或失败等)的字段7054。
结算处理部706经公用网接口部701从销售者终端80收到销售者方结算委托后，检查在字段7051中登录有该销售者方结算委托中包含的管理号码的记录是否已被登录在结算处理数据库705中。然后，如果有这种记录(在此情况下，在字段7053、7054中分别登录有消费者方结算委托、处理状况“未”)，向该记录的字段7052中登录上述销售者方结算委托。然后，进行后述结算处理。如果没有这种记录，则新添加记录，向该记录的字段7051、7052及7054中分别登录上述管理号码、上述销售者方结算委托及处理状况“未”。
此外，结算处理部706经公用网接口部701从销售者终端80收到消费者方结算委托后，检查在字段7051中登录有该消费者方结算委托中包含的管理号码的记录是否已被登录在结算处理数据库705中。然后，如果有这种记录(在此情况下，在字段7052、7054中分别登录有销售者方结算委托、处理状况“未”)，向该记录的字段7053中登录上述消费者方结算委托。然后，进行后述结算处理。如果没有这种记录，则新添加记录，向该记录的字段7051、7053及7054中，分别登录上述管理号码、上述消费者方结算委托及处理状况“未”。
进而，结算处理部706在结算处理数据库705中向字段7051、7052及7054中分别登录管理号码、销售者方结算委托及消费者方结算委托，并对字段7055中登录的处理状况为“未”的记录，进行下述结算处理。
即，将该记录的字段7052中登录的销售者方结算委托中包含的销售者识别信息、和字段7053中登录的消费者方结算委托中包含的签过名的证件号码通知给可否信息取得部707，从可否信息取得部707接受可否信息。然后，在该可否信息表示允许提供结算服务的情况下，从与上述消费者方结算委托中包含的证件号码对应而登录在消费者账户管理数据库703中的账户识别信息所确定的账户中，取出上述销售者方结算委托中包含的交易额信息所示的金额，转入与上述销售者方结算委托中包含的销售者识别信息对应而登录在销售者账户管理数据库704中的账户识别信息所确定的销售者的账户中。然后，将其处理结果经公用网接口部701通知给信息终端40”和销售者终端80，并且更新该记录的字段7054中登录的处理状况(在此情况下为“讫”或“失败”)。另一方面，在可否信息表示不允许提供结算服务的情况下，经公用网接口部701将该情况通知给信息终端40”和销售者终端80，并且更新该记录的字段7054中登录的处理状况(在此情况下为“失败”)。
可否信息取得部707从结算处理部706取得销售者识别信息及签过名的证件号码后，形成包含它们的结算委托，经专用网接口部702通知给管理装置20”。然后，将作为对验证委托的回答而从管理装置20”收到的可否信息通知给结算处理部706。
与第1实施例的服务提供装置10同样，具有以上结构的服务提供装置70也例如可以构筑在具有图7所示结构的计算机系统、或通过对多个该计算机系统进行网络连接而构成的网络系统上。
接着，说明上述结构的认证系统的工作。
图24是图21所示的认证系统的工作过程的说明图。
在消费者请求购买商品后，销售者将该商品的费用、和利用销售者终端80等生成的唯一的管理号码通知给消费者。与此同时，向销售者终端80中输入表示商品的费用的交易额信息(S2301)。收到此后，销售者终端80形成包含上述交易额信息及上述管理号码、和预先登录的销售者的销售者识别信息的销售者方结算委托，发送到服务提供装置70(S2302)。
在服务提供装置70中，结算处理部706经公用网接口部701从销售者终端80收到销售者方结算委托后，检查在字段7051中登录有该销售者方结算委托中包含的管理号码的记录是否已被登录在结算处理数据库705中。然后，如果确认未登录这种记录，则向结算处理数据库705中新添加记录，向该记录的字段7051、7052及7054中分别登录上述管理号码、上述销售者方结算委托及处理状况“未”(S2303)。
另一方面，消费者向信息终端40”中输入销售者通知的管理号码(S2304)。收到此后，信息终端40”用预先登录的签名密钥对预先登录的证件号码生成签名(S2305)。其后，形成包含上述管理号码和上述签过名的证件号码的消费者方结算委托，发送到服务提供装置70(S2306)。
在服务提供装置70中，结算处理部706经公用网接口部701从信息终端40”收到消费者方结算委托后，检查在字段7051中登录有该消费者方结算委托中包含的管理号码的记录是否已被登录在结算处理数据库705中。然后，如果确认已登录这种记录，则向该记录的字段7053中登录上述消费者方结算委托(S2307)。由此，在该记录(以下，称为对象记录)中登录了结算所需的全部信息。
其后，结算处理部706将对象记录的字段7052中登录的销售者方结算委托中包含的销售者识别信息、和字段7053中登录的消费者方结算委托中包含的签过名的证件号码通知给可否信息取得部707。收到此后，可否信息取得部707形成包含上述销售者识别信息及上述签过名的证件号码的结算委托，经专用网接口部702通知给管理装置20”(S2308)。
在管理装置20”中，认证部204经专用网接口部201从服务提供装置70收到验证委托后，读出与该验证委托中包含的证件号码对应而登录在用户证件数据库202中的验证密钥。其后，用该验证密钥来验证验证委托中包含的对证件号码的签名(S2309)。然后，如果签名验证成立，则将验证委托中包含的证件号码及销售者识别信息通知给可否判定部205。
收到此后，可否判定部205读出与证件号码对应而登录在用户证件数据库202中的用户证件，并且读出与销售者识别信息对应而登录在服务提供条件数据库203中的结算服务提供条件。然后，检查用户证件中记述的个人信息是否满足结算服务提供条件(例如，是否是能够接受结算服务提供的会员)，在满足的情况下，将表示允许结算服务的判定结果通知给认证部204，另一方面，在不满足的情况下，将表示不允许结算服务的判定结果通知给认证部204(S2310)。
在从可否判定部205通知的判定结果表示不允许结算服务的情况下，或者在S2309中的签名验证不成立的情况下，认证部204形成表示不允许结算服务的可否信息，将其经专用网接口部201发送到服务提供装置70。另一方面，在从可否判定部205通知的判定结果表示允许结算服务的情况下，形成表示该情况的可否信息，将其经专用网接口部201发送到服务提供装置70(S2311)。
在服务提供装置70中，可否信息取得部707经专用网接口部702从管理装置20”取得可否信息后，将其通知给结算处理部706。在从可否信息取得部707收到的可否信息表示允许结算服务的情况下，结算处理部706从与对象记录的字段7053中登录的消费者方结算委托中包含的证件号码对应而登录在消费者账户管理数据库703中的账户识别信息所确定的账户中，取出对象记录的字段7052中登录的销售者方结算委托中包含的交易额信息所示的金额。其后，将取出的金额转入与上述销售者方结算委托中包含的销售者识别信息对应而登录在销售者账户管理数据库704中的账户识别信息所确定的销售者的账户中，并且更新对象记录的字段7054中登录的处理状况。其后，将其处理结果经公用网接口部701通知给信息终端40”和销售者终端80(S2312)。
另一方面，在从可否信息取得部707取得的可否信息表示不允许结算服务的情况下，结算处理部706经公用网接口部701将该情况通知给信息终端40”和销售者终端80，并且更新对象记录的字段7054中登录的处理状况(S2313)。
销售者经销售者终端80确认来自服务提供装置70的表示结算已正常结束的通知后，将商品交给消费者。
以上，说明了本发明第3实施例。
在本实施例中，消费者通过使用信息终端40”，即使不随身带钱也能够在商店中购买商品。此外，在本实施例中，从信息终端40”或销售者终端80向服务提供装置70发送用户证件的识别信息证件号码或销售者的识别信息销售者识别信息。此外，从管理装置20”向服务提供装置70发送表示可否提供结算服务的可否信息。即，用户证件或销售者的个人信息本身不在公用网90或专用网60上传输。因此，能够降低用户证件或个人信息泄漏给第三者的可能性。
在上述实施例中，也可以通过将用于验证签名的认证部设置在服务提供装置70中，不由管理装置20”的认证部204，而由服务提供装置70来验证证件号码上附加的签名。在此情况下，服务提供装置70从信息终端40”与证件号码及对证件号码的签名一起取得验证密钥即可。
此外，在上述实施例中，也可以通过在服务提供装置70中设置可否判定部，不由管理装置20”的可否判定部205，而由服务提供装置70来判断可否提供结算服务。在此情况下，在管理装置20”的服务提供条件数据库203中，将判断可否提供结算服务所需的个人信息的种类与销售者识别信息对应来登录。使服务提供装置70将包含证件号码及销售者识别信息的信息发送委托发送到管理装置20”，使管理装置20”从与上述信息发送委托中包含的证件号码对应而登录在用户证件数据库202中的用户证件中，提取与上述信息发送委托中包含的销售者识别信息对应而登录在服务提供条件数据库203中的种类的个人信息，发送到服务提供装置70。在这种情况下，向服务提供装置70发送的个人信息被限定为管理装置20”允许发送的种类的个人信息(判断可否提供结算服务真正需要的信息)，所以与以往相比，也能够降低个人信息泄漏的可能性。
此外，在上述实施例中，将交易额信息只包含在从销售者终端80发送的销售者方结算委托中而发送到服务提供装置70，但是也可以还包含在从信息终端40”发送的消费者方结算委托中而发送到服务提供装置70，服务提供装置70验证销售者方结算委托及消费者方结算委托两者中包含的交易额信息是否互相一致。
此外，在上述实施例中，服务提供装置70将结算服务的结果通知给销售者终端80及信息终端40”两者，但是也可以只向销售者终端80通知结算服务的结果。然后，销售者例如通过让信息终端40”的用户消费者观看销售者终端80的显示画面等，向消费者通知结算服务的结果。
再者，在上述实施例中，也可以修改为通过将销售者方结算委托从信息终端40”发送到服务提供装置70，来进行结算。
图25是图21所示的认证系统的工作过程的变形例的说明图。
在消费者请求购买商品后，销售者将销售者的销售者识别信息、商品的费用、和利用销售者终端80等生成的唯一的管理号码通知给消费者。消费者向信息终端40”中输入销售者通知的管理号码、商品的费用及销售者识别信息(S2401)。收到此后，信息终端40”用预先登录的签名密钥对预先登录的证件号码生成签名(S2402)。其后，形成包含上述管理号码及上述签过名的证件号码的消费者方结算委托，并且形成包含上述管理号码、上述交易额信息及上述销售者识别信息的销售者方结算委托，发送到服务提供装置70(S2403)。
在服务提供装置70中，结算处理部706经公用网接口部701从信息终端40”收到消费者方结算委托及销售者方结算委托后，向结算处理数据库705中新添加记录，向该记录的字段7051～7053中分别登录这些结算委托中包含的管理号码、上述销售者方结算委托、及上述消费者方结算委托。此外，向该记录的字段7054中登录处理状况“未”(S2404)。由此，在该记录(以下，称为对象记录)中登录了结算所需的全部信息。
其后，结算处理部706将对象记录的字段7052中登录的销售者方结算委托中包含的销售者识别信息、和字段7053中登录的消费者方结算委托中包含的签过名的证件号码通知给可否信息取得部707。收到此后，可否信息取得部707形成包含上述销售者识别信息及上述签过名的证件号码的结算委托，经专用网接口部702通知给管理装置20”(S2405)。
然后，在管理装置20”中，进行与图23的S2309、S2310同样的处理，将可否信息从管理装置20”发送到服务提供装置70(S2406～S2408)。
在服务提供装置70中，可否信息取得部707经专用网接口部702从管理装置20”取得可否信息后，将其通知给结算处理部706。在从可否信息取得部707收到的可否信息表示允许结算服务的情况下，结算处理部706从与对象记录的字段7053中登录的消费者方结算委托中包含的证件号码对应而登录在消费者账户管理数据库703中的账户识别信息所确定的账户中，取出对象记录的字段7052中登录的销售者方结算委托中包含的交易额信息所示的金额。其后，将取出的金额转入与上述销售者方结算委托中包含的销售者识别信息对应而登录在销售者账户管理数据库704中的账户识别信息所确定的销售者的账户中，并且更新对象记录的字段7054中登录的处理状况(S2409)。
其后，结算处理部706用对象记录的字段7052中登录的销售者方结算委托的信息，根据规定的规则来形成支付确认信息。例如，将管理号码、销售者识别信息及交易额信息联系起来来形成支付确认信息。然后，用与销售者识别信息对应而预先登录的评价值密钥，对该支付确认信息形成评价值(例如散列(ハツシユ)值)(S2410)，将其经公用网接口部701通知给信息终端40”(S2411)。
信息终端40”从服务提供装置70收到评价值后，将其显示在显示部上(S2412)。消费者将其显示内容呈现给销售者。收到此后，销售者用销售者终端80，通过与服务提供装置70的结算处理部706采用的规则相同的规则，由管理号码、销售者识别信息及交易额信息来形成支付确认信息。然后，用预先登录的评价值密钥(和服务提供装置70中与销售者的销售者识别信息对应而登录的评价值密钥相同的密钥)，对该支付确认信息形成评价值，验证它与从服务提供装置70收到的评价值是否一致(S2413)。然后，在确认一致后，将商品交给消费者。
在S2410、S2411中，也可以不形成评价值，而用服务提供装置70的使用者的签名密钥对支付确认信息生成签名，将签名及支付确认信息发送到信息终端40”，在S2412中，将该签名显示在信息终端40”上。然后，在S2413中，通过光学读取装置来光学地读取信息终端40”上显示的签名及支付确认信息，将其取入到销售者终端80中，使销售者终端80用预先登录的服务提供装置70的使用者的验证密钥来验证该签名。
以上，说明了本发明各实施例。
本发明不限于上述各实施例，在其精神的范围内，可以进行各种变形。
例如，在上述各实施例中，假定信息终端为便携终端，但是本发明不限于此。例如，在上述第1实施例或第2实施例的情况下，也可以是固定型的信息终端。此外，在上述各实施例中，对证件号码的签名及签名验证不是必须的。
此外，本发明的认证系统也可以广泛应用于上述各实施例中说明过的服务提供系统以外的各种服务提供系统(服务提供装置向信息终端或信息终端的用户提供服务的类型的系统)。
如上所述，根据本发明，在认证信息终端的用户时，能够降低个人信息泄漏的可能性。
权利要求
1.一种认证系统，具有管理装置，管理个人信息；和服务提供装置，向信息终端提供服务；其中，上述管理装置具有个人信息数据库，将个人信息与个人识别信息对应来登录；提供条件数据库，登录上述服务提供装置为了提供服务而对个人信息要求的服务提供条件；决定处理部，从上述个人信息数据库中读出与从上述服务提供装置通知的个人识别信息对应的个人信息，判定该个人信息是否满足上述提供条件数据库中登录的服务提供条件，按照其判定结果来决定可否提供服务；以及通知处理部，将表示上述决定处理部的决定内容的可否信息通知给上述服务提供装置；而上述服务提供装置具有个人识别信息取得处理部，从上述信息终端取得个人识别信息；可否信息取得处理部，向上述管理装置通知上述个人识别信息取得处理部取得的个人识别信息，从上述管理装置取得可否信息；以及服务提供处理部，在上述可否信息取得处理部取得的可否信息表示允许提供服务的情况下，向上述信息终端提供服务。
2.如权利要求1所述的认证系统，其中，上述管理装置的上述个人信息数据库将个人信息和公开密钥证件一起与个人识别信息对应来登录；上述管理装置的上述决定处理部用与该识别信息对应而登录在上述个人信息数据库中的公开密钥证件来验证从上述服务提供装置通知的个人识别信息上附加的签名信息，在验证成立的情况下进行上述判定，按照其判定结果来决定可否提供服务，另一方面，在验证不成立的情况下，进行表示不允许提供服务的决定；上述服务提供装置的上述个人识别信息取得处理部从上述信息终端取得附加有签名信息的个人识别信息；上述服务提供装置的上述可否信息取得处理部向上述管理装置通知上述个人识别信息取得处理部取得的附加有签名信息的个人识别信息，从上述管理装置取得可否信息。
3.如权利要求2所述的认证系统，其中，上述信息终端具有万维网浏览器的功能；上述服务提供装置具有万维网服务器的功能；在上述可否信息取得处理部取得的可否信息表示允许提供服务的情况下，上述服务提供装置的服务提供处理部允许上述信息终端阅览规定的万维网页。
4.如权利要求2所述的认证系统，其中，上述信息终端具有万维网浏览器的功能；上述服务提供装置具有将上述信息终端经网络连接到万维网服务器上的网络连接功能；在上述可否信息取得处理部取得的可否信息表示允许提供服务的情况下，上述服务提供装置的上述服务提供处理部允许上述信息终端阅览上述万维网服务器提供的规定的万维网页。
5.如权利要求4所述的认证系统，其中，上述规定的万维网页是有偿内容；上述服务提供装置的上述服务提供处理部对允许阅览上述规定的万维网页的上述信息终端使用上述规定的万维网页进行计费处理。
6.如权利要求5所述的认证系统，其中，保持上述规定的万维网页的万维网服务器将包含设定有上述规定的万维网页的识别信息的图像信息的万维网页保持在上述信息终端可阅览的状态。
7.如权利要求6所述的认证系统，其中，对上述图像信息进行链接设定，使得由于上述信息终端的操作者的选择行为，上述图像信息中设定的上述规定的万维网页的识别信息与上述信息终端正在阅览的上述包含图像信息的万维网页的识别信息一起从上述信息终端被发送到上述服务提供装置；上述服务提供装置还具有关联信息取得处理部，将从上述信息终端收到的上述规定的万维网页的识别信息及上述包含图像信息的万维网页的识别信息通知给上述管理装置，从上述管理装置取得与上述规定的万维网页和上述包含图像信息的万维网页的关联性有关的信息，将其通知给上述信息终端；上述管理装置还具有万维网页识别信息数据库，将上述规定的万维网页的识别信息与包含设定有该识别信息的图像信息的万维网页的识别信息关联来登录；和验证处理部，通过检查从上述服务提供装置通知的上述规定的万维网页的识别信息及上述包含图像信息的万维网页的识别信息是否已在上述万维网页识别信息数据库中被相互对应而登录，来验证上述规定的万维网页和上述包含图像信息的万维网页的关联性，将其结果通知给上述服务提供装置。
8.如权利要求2所述的认证系统，其中，上述服务提供装置还具有结算委托取得处理部，从销售者终端接受包含销售者识别信息、交易额信息及管理号码的结算委托；消费者账户管理数据库，将账户与个人识别信息对应来管理；以及销售者账户管理数据库，将账户与销售者识别信息对应来管理；上述服务提供装置的上述个人识别信息取得处理部从上述信息终端与管理信息一起取得个人识别信息；在上述可否信息取得处理部取得的可否信息表示允许提供服务的情况下，上述服务提供装置的上述服务提供处理部从与上述个人识别信息取得处理部取得的个人识别信息对应而登录在上述消费者账户管理数据库中的账户中，取出上述结算委托取得处理部取得的包含上述个人识别信息取得处理部与上述个人识别信息一起取得的管理信息的结算委托中包含的交易额信息所示的金额，转入与该结算委托中包含的销售者识别信息对应而登录在上述销售者账户管理数据库中的账户中，将其结果通知给上述销售者终端。
9.如权利要求2所述的认证系统，其中，上述服务提供装置还具有消费者账户管理数据库，将账户与个人识别信息对应来管理；和销售者账户管理数据库，将账户与销售者识别信息对应来管理；上述服务提供装置的上述个人识别信息取得处理部从上述信息终端取得包含个人识别信息、销售者识别信息及交易额信息的结算委托；在上述可否信息取得处理部取得的可否信息表示允许提供服务的情况下，上述服务提供装置的上述服务提供处理部从与上述个人识别信息取得处理部取得的结算委托中包含的个人识别信息对应而登录在上述消费者账户管理数据库中的账户中，取出该结算委托中包含的交易额信息所示的金额，转入与该结算委托中包含的销售者识别信息对应而登录在上述销售者账户管理数据库中的账户中，将其结果通知给上述信息终端。
10.一种认证方法，用认证系统来认证可提供服务的信息终端，该认证系统具有管理装置，管理个人信息；和服务提供装置，向信息终端提供服务；其中，该认证方法具有第1步骤，上述服务提供装置从上述信息终端取得个人识别信息，通知给上述管理装置；第2步骤，上述管理装置判定与从上述服务提供装置通知的个人识别信息对应而管理的个人信息是否满足预定的服务提供条件，按照其判定结果来决定可否提供服务；第3步骤，上述管理装置将表示上述可否提供服务的决定内容的可否信息通知给上述服务提供装置；第4步骤，只在从上述管理装置通知的可否信息表示允许提供服务的情况下，上述服务提供装置向上述信息终端提供服务。
11.如权利要求10所述的认证方法，其中，上述信息终端具有万维网浏览器的功能；上述服务提供装置具有万维网服务器的功能；上述第4步骤在从上述管理装置通知的可否信息表示允许提供服务的情况下，向上述信息终端提供规定的万维网页。
12.如权利要求10所述的认证系统，其中，上述信息终端具有万维网浏览器的功能；上述服务提供装置具有将上述信息终端经网络连接到万维网服务器上的网络连接功能；上述第4步骤在从上述管理装置通知的可否信息表示允许提供服务的情况下，使上述信息终端能够阅览上述万维网服务器提供的规定的万维网页。
13.如权利要求12所述的认证系统，其中，上述规定的万维网页是有偿内容；还具有第5步骤，上述服务提供装置对允许阅览上述规定的万维网页的上述信息终端使用上述规定的万维网页进行计费处理。
14.如权利要求10所述的认证系统，其中，还具有第5步骤，在上述第1步骤之前，上述服务提供装置从销售者终端接受包含销售者识别信息、交易额信息及管理号码的结算委托；上述第1步骤从上述信息终端与管理信息一起取得个人识别信息；上述第4步骤在从上述管理装置通知的可否信息表示允许提供服务的情况下，从与从上述信息终端取得的个人识别信息对应而管理的账户中，取出从上述销售者终端取得的包含从上述信息终端与上述个人识别信息一起取得的管理信息的结算委托中包含的交易额信息所示的金额，转入与该结算委托中包含的销售者识别信息对应而管理的账户中，将其结果通知给上述销售者终端。
15.如权利要求10所述的认证系统，其中，上述第1步骤从上述信息终端取得包含个人识别信息、销售者识别信息及交易额信息的结算委托；上述第4步骤在从上述管理装置取得的可否信息表示允许提供服务的情况下，从与从上述信息终端取得的结算委托中包含的个人识别信息对应而管理的账户中，取出该结算委托中包含的交易额信息所示的金额，转入与该结算委托中包含的销售者识别信息对应而管理的账户中，将其结果通知给上述信息终端。
全文摘要
在认证信息终端的用户时，降低个人信息泄漏的可能性。管理装置具有将用户证件与证件号码对应来登录的用户证件数据库。管理装置从用户证件数据库中读出与从服务提供装置通知的证件号码对应的用户证件，判定其是否满足规定的万维网页阅览条件，决定可否阅览万维网。然后，将表示其决定内容的可否信息通知给服务提供装置。服务提供装置从信息终端取得证件号码，将其通知给管理装置，从管理装置取得可否信息。然后，在取得的可否信息表示允许阅览的情况下，允许信息终端阅览万维网。
文档编号H04L9/32GK1416074SQ0214148
公开日2003年5月7日 申请日期2002年8月30日 优先权日2001年10月30日
发明者青岛弘和, 锻忠司, 松岛整, 梅泽克之, 吉浦裕, 丰岛久 申请人:株式会社日立制作所