从业务提供者设备提供业务到用户设备的业务提供系统的制作方法

专利名称：从业务提供者设备提供业务到用户设备的业务提供系统的制作方法
技术领域：
本发明涉及通过诸如互联网那样的网络把各种业务(例如，商品销售以及包括音乐和视频的数字内容的付费分发)从提供者供应给用户的业务提供系统，具体地，本发明涉及其中在提供业务给用户时用户的个人信息以高可靠性被保护的业务提供系统，本发明也涉及实现以上内容的业务提供方法。
背景技术：
随着最近互联网在普通家庭的广泛使用，通过网络提供各种付费业务(例如，商品销售以及诸如音乐和视频的数字内容的分发)的商务有了很大的增长。为了接收这样的业务，要求业务用户将对于商品递送、付费等等所必须的、他们的个人信息发送给业务提供者。这样的个人信息的典型的例子包括姓名、地址、电话号码、和信用卡号码。业务提供者验证从用户发送的个人信息一般鉴权用户，以及只将业务提供给其个人信息被证明为真实的用户。
然而，对于重复地使用同一个业务提供者的业务的这种用户，在每次打算从业务提供者接收业务时都发送他或她的个人信息是不方便的。对于业务提供者方，在每次提供业务给用户时，验证由大量用户发送的个人信息也是麻烦的。
从这方面看来，要寻求一种能够改善业务用户的方便性和减轻业务提供者负担的业务提供系统。
以下是这种系统的基本形式的一个例子。在该系统中，要求业务用户只在第一次使用业务提供者时发送他或她的个人信息给该业务提供者。个人信息由业务提供者进行验证和登记。更具体地，业务提供者将验证的个人信息连同由业务用户设置的用户ID和密码一起输入它的数据库。一旦个人信息被登记，业务用户在打算接收业务时就只需要发送登记的用户ID和密码给业务提供者。业务提供者通过使用密码来鉴权业务用户，以及根据用户ID从已登记的多组个人信息中得到该业务用户的个人信息。在这个系统中，不要求每个业务用户在每次打算接收业务时都发送他或她的个人信息。另外，业务提供者只被要求对每个用户的个人信息验证一次。
然而，在以上的系统中，使用多个业务提供者的业务用户需要对于每个业务提供者登记不同的用户ID和不同的密码，以及记住所登记的用户ID和密码。在这种情形下，业务用户多半会遭受用户ID和密码的复杂管理之苦。而且，即使对于每个用户的个人信息只需要验证一次，业务提供者在业务用户数很大的情况下也仍旧可能遭受繁重的处理负荷之苦。
鉴于这样的缺点，已经开发了包括专门用来验证个人信息和管理验证的个人信息的管理中心的业务提供系统。这样的系统的典型例子是采用.NET Passport(.NET网络护照)的系统(在“Microsoft.NET PassportTechnical Overview(September 2001)(微软.NET网络护照技术总貌(2001年9月))”中描述)。
在采用.NET Passport的系统中，业务用户事先把他或她的个人信息，连同用户ID和密码一起，登记到管理中心。对于个人信息的登记，管理中心执行与在以上的系统中由业务提供者执行的相同的验证处理过程。为了从业务提供者接收业务，曾经登记他或她的个人信息的业务用户发送用户ID和密码到管理中心，以便得出登记的个人信息。然后，业务用户把得到的个人信息发送到业务提供者。应当指出，管理中心保持对于每个业务提供者唯一的专用密码密钥，以及每个业务提供者共享相应的唯一的专用密码密钥。管理中心通过使用由业务提供者共享的密钥加密个人信息，以及把加密的个人信息发送到业务用户。业务用户从管理中心接收加密的个人信息，以及把加密的个人信息发送到业务提供者。业务提供者从业务用户处接收加密的个人信息，以及通过使用共享的密钥来解密该加密的个人信息。
在这个系统中，业务用户只被要求把一个用户ID和一个密码登记到管理中心。另外，业务提供者也免除了验证个人信息的繁重的处理负荷。
然而，包括管理中心的业务提供系统具有以下问题。
管理中心管理使用系统内的任何业务提供者的所有业务用户的个人信息。这意味着大量业务用户的个人信息被集中在管理中心。存储大量业务用户的个人信息的管理中心常常成为企图非授权地接入个人信息的黑客的攻击目标。如果个人信息的数据库受到这样的非授权接入，则大量个人信息会泄漏。这种可能性使得业务用户对于系统的安全性感到不安，以及不愿通过网络接收业务。用户对系统安全性的这种信心缺乏可能阻碍通过网络提供业务的商务的推广和发展。
而且，在系统中，业务用户被要求在每次打算接收业务时都接入管理中心。这增加了管理中心的处理负荷。如果大量业务用户同时接入管理中心，则管理中心会由于繁重的处理负荷超过它的容量而失效或崩溃。

发明内容
鉴于以上的问题，本发明的目的是提供包括管理中心的业务提供系统，它在管理个人信息方面具有增强的安全性，以及在系统运行期间具有增强的稳定性和可靠性。
为了达到以上目的，本发明提供一种业务提供系统，它包括验证设备、业务用户设备和业务提供者设备。验证设备用来接收用户的个人信息，以及包括个人信息验证单元，用来验证用户的个人信息的真实性；和签名个人信息生成单元，用来当由个人信息验证单元进行的验证成功时，通过把数字签名附着到该用户的个人信息上而生成签名的个人信息，以及发送该签名的个人信息。业务用户设备包括签名个人信息接收单元，用来把用户的个人信息发送到验证设备和从验证设备接收该签名的个人信息；信息管理单元，用来存储和管理该接收的签名个人信息；业务请求发送单元，用来从信息管理单元读出该签名的个人信息和把读出的签名个人信息连同业务请求一起进行发送；和业务接收单元，用来接收业务。业务提供者设备用来根据用户的个人信息把业务通过网络提供到业务用户设备，以及包括业务请求接收单元，用来从业务用户设备接收业务请求和该签名的个人信息；签名个人信息验证单元，用来根据被包括在其中的数字签名验证接收的签名个人信息的真实性；和业务供应单元，用来当由签名个人信息验证单元进行的验证成功时，响应于业务请求而把业务提供到业务用户设备。
按照这种结构，对于每个用户的验证的个人信息(签名的个人信息)不是被位于管理中心的个人信息验证设备集中地存储，而是被存储在由每个用户持有的业务用户设备中。由于这一点，可以避免这样的情形到个人信息验证设备的单个非授权接入造成大量个人信息从该设备泄漏出去。所以，系统安全性可被增强。另外，当接收业务时，不要求业务用户设备接入个人信息验证设备。即使在业务提供系统中大量用户同时请求业务时，也不会在个人信息验证设备上加上过分繁重的负荷。所以，在运行期间业务提供系统的稳定性和可靠性可以增强。
而且，在传统的业务提供系统中，在每次接收业务时都要求业务用户设备接入鉴权中心。在这样的系统中，会给鉴权中心以关于业务使用状态的信息，诸如关于每个用户使用的业务提供者的频率和类型的信息(即，每个业务用户的偏好，每个业务提供者的销售业绩，等等)。然而，在按照本实施例的业务提供系统中，不要求业务用户设备在接收业务时接入该鉴权中心。所以，该系统中的业务用户和业务提供者不必担心通过该鉴权中心泄漏信息。
这里，信息管理单元可以用来在阻止外部接入个人信息的状态下存储该签名的个人信息，以及允许该签名的个人信息只在输入事先设置的密钥信息时才被读出。
按照这种结构，每个用户的签名个人信息以高度安全的形式被存储在由每个业务用户持有的业务用户设备中。所以，打算滥用个人信息的第三方很难以非授权方式读出该签名的个人信息。所以，与传统系统的情形相比较，该签名的个人信息的可靠性没有降低。具体地，密钥信息可以是密码信息或生物测量信息。
而且，信息管理单元可以包括密钥生成子单元，用来生成要被使用于加密该签名的个人信息的加密密钥和要被使用于解密被加密的签名个人信息的解密密钥；密钥贮存子单元，用来存储解密密钥；加密子单元，用来通过使用加密密钥来加密该签名的个人信息；信息贮存子单元，用来存储由该加密子单元加密的签名的个人信息；和解密子单元，用来通过使用从密钥贮存子单元读出的解密密钥来解密从信息贮存子单元读出的加密的签名个人信息。
按照这个结构，被存储在业务用户设备中的签名个人信息的可靠性可进一步被增强。这是因为签名的个人信息被加密，以及它的用于解密的密钥被存储在保护的区域。另外，只有数据量小的密钥被存储在保护区域。所以，这里要被使用的贮存媒体可以用低成本的媒体来实现，其中保护区域只占用整个贮存区域内很小的区域。具体地，信息管理单元可包括IC存储卡，它包括保护的贮存区域、通用贮存区域、和算术单元。保护的贮存区域可被保护不被外部接入，通用贮存区域可以允许外部接入，算术单元可以用来执行程序，加密子单元和解密子单元可以通过算术单元执行被存储在保护贮存区域中的程序而被实现，密钥贮存子单元可以用来把解密密钥存储到该保护的贮存区域中，以及信息贮存子单元可以用来把加密的签名个人信息存储到通用贮存区域。
另外，为了进一步确保该签名个人信息的可靠性，业务请求接收单元可以用来在从业务用户设备接收该签名的个人信息之前把个人信息请求发送到业务用户设备，以及业务请求发送单元可以用来在开始发送签名个人信息之前接收个人信息请求，并且只在接收的个人信息请求满足预定的条件时才把签名的个人信息发送到业务提供者设备。
按照这种结构，即使第三方企图假冒业务提供者，以及以未授权的方式得到正被发送到业务提供者的签名个人信息，这样的企图仍旧会以失败告终。所以，系统内的签名个人信息的可靠性被增强。具体地，个人信息请求已经以事先确定的格式被生成，个人信息请求已被验证，数字签名已由验证设备附着到个人信息请求上，以及业务请求发送单元可以用来通过使用事先从验证设备分发的形式签名(form-signed)的公共密钥来验证被附着到个人信息请求上的数字签名的真实性，以及当使用形式签名的公共密钥对数字签名的验证是成功时，用来确定个人信息请求满足预定的条件。也就是说，个人信息验证设备也以与用于事先验证个人信息的真实性相同的方式，事先验证个人信息请求的内容的真实性。
另外，数字签名可以按以下的方式被附着。也就是，用户的个人信息可包括多个数据项，签名个人信息生成单元可用来通过把数字签名附着到该用户的个人信息的每个数据项而生成签名的个人信息，以及该签名个人信息验证单元可用来通过验证被附着到每个数据项的数字签名的真实性而验证该签名的个人信息的真实性。由于这一点，签名验证可以以个人信息的项目为单位被严格地执行。
另外，用户的个人信息可包括多个数据项，签名个人信息生成单元可用来通过把对于用户唯一的用户ID附着到每个数据项和把数字签名附着到用户ID已被附着的每个数据项而生成签名的个人信息，以及该签名个人信息验证单元可用来判断被附着到由业务请求接收单元接收的签名个人信息的所有数据项的用户ID是否匹配，以及当判断用户ID不匹配时，确定该签名个人信息的验证不成功。
按照这种结构，即使业务用户企图篡改他或她的签名个人信息，打算以未授权的方式接收业务，这样的企图仍旧会以失败告终。例如，两个业务用户可能试图组合他们的签名个人信息的项目，以便伪造对于实际不存在的个人的签名个人信息。在这样的情形下，虽然伪造的个人信息的每个项目被给予一个真实的签名，但被附着到伪造的个人信息的所有项目的用户ID并不匹配。具体地，该签名个人信息生成单元可用来把通过使用数据项的内容和用户ID生成的数字签名附着到已附着用户ID的每个数据项，以及该签名个人信息验证单元可用来通过验证被附着到每个数据项的数字签名的真实性而验证该签名的个人信息的真实性。
另外，业务用户设备还可包括鉴权密钥生成单元，可用来生成一对要被使用于业务用户设备的鉴权的公共的和专用的密钥；和专用密钥贮存单元，用来以限制外部接入的形式存储由鉴权密钥生成单元生成的专用密钥，签名个人信息接收单元可用来把由鉴权密钥生成单元生成的专用密钥引入到要被发送到验证设备的用户的个人信息，业务请求发送单元可用来把由鉴权密钥生成单元生成的专用密钥引入到要被发送到业务提供者设备的签名个人信息，以及签名个人信息验证单元可用来通过参考被引入到由业务请求发送单元发送的签名个人信息中的专用密钥而使用公共密钥加密方法来执行业务用户设备的鉴权，以及当鉴权成功时，确定该签名的个人信息的验证是成功的。
按照这种结构，当签名的个人信息从业务用户设备发送到业务提供者设备时，该业务提供者设备鉴权该签名个人信息的发送源。所以，即使从业务用户设备发送到业务提供者设备的签名个人信息被第三方窃听时，第三方仍旧不能通过使用窃听的个人信息以非授权的方式接收业务。所以，签名的个人信息的可靠性可被进一步增强。而且，专用密钥贮存单元可包括贮存媒体，具有只允许有限的外部接入的保护贮存区域，以及把专用密钥存储到该保护贮存区域中。


当结合显示本发明的具体实施例的附图作出以下的说明时将明白本发明的这些和其他目的、优点与特性。
在图上
图1是显示与本发明的优选实施例有关的业务提供系统的总体结构的方框图；图2显示在实施例中的个人信息验证规程的处理流；图3显示在实施例中仍要被验证的个人信息的示例性结构；图4显示在实施例中签名的个人信息的示例性结构；图5显示在实施例中的业务供应规程的处理流；图6显示在实施例中部分个人信息的示例性结构；图7是显示在实施例中个人信息验证设备的结构的方框图；图8是显示在实施例中业务用户设备的结构的方框图；图9是显示在实施例中被包括在业务用户设备中的存储卡的结构的方框图；图10是显示在实施例中业务提供者设备的结构的方框图；图11显示在实施例的修改例中个人信息验证规程的处理流；图12A显示在修改例中仍要被验证的个人信息；图12B显示在修改例中已被验证的个人信息；以及图13显示在修改例中业务供应规程的处理流。
具体实施例方式
下面参照附图详细地描述本发明的优选实施例。
第一实施例[总体结构]图1是显示与本发明的第一实施例有关的业务提供系统的总体结构的方框图。与本实施例有关的业务提供系统1是其中付费业务从业务提供者供应给业务用户的系统。在系统1中，当业务用户打算接收业务时，业务用户把由鉴权中心事先验证和签名的个人信息呈现给业务提供者。
业务提供系统1具有以下的设备结构。个人信息验证设备11、业务用户设备12和业务提供者设备13通过网络“N”互相连接在一起。个人信息验证设备11放置在鉴权中心，它执行业务用户的个人信息的验证操作，用于用户鉴权。业务用户设备12由打算接收业务的业务用户使用。业务提供者设备13由提供业务的业务提供者使用。虽然假设系统1包括多个业务用户设备和多个业务提供者设备，但在图上为了便于说明，只显示一个业务用户设备和一个业务提供者设备。
个人信息验证设备11具体地由执行用于用户鉴权的程序的计算机或服务器实现。另外，业务用户设备12由被连接到网络“N”的个人计算机或具有通信功能的便携式终端实现。个人计算机或便携式终端执行由鉴权中心事先提供给用户并且被安装在其中的程序，以便起到业务用户设备12的作用。作为一个例子，被安装在这里的程序可从由鉴权中心管理的网页被下载。业务提供者设备13由执行用于业务供应的程序的计算机或服务器实现。
个人信息验证设备11验证从业务用户设备12发送的用户的个人信息。个人信息验证设备11把数字签名附着到验证的个人信息上，以及把具有数字签名的个人信息返还到业务用户设备12。该数字签名向业务提供者保证具有该数字签名的个人信息(此后称为“签名的个人信息”)是可靠的，不包含任何错误，或不是虚假的。个人信息验证设备11不保存个人信息。
业务用户设备12把由用户输入的用户个人信息传送到个人信息验证设备11，在其中验证该个人信息。业务用户设备12把验证的已签名个人信息存储到其内部存储卡，它只允许从外面进行受限的参考。此后，在接收到用户指令以获得业务后，业务用户设备12把该签名的个人信息连同业务请求一起发送到业务提供者设备13。该业务用户设备12然后从业务提供者设备13接收该请求的业务内容。这里应当指出，这个签名的个人信息只是对于已和鉴权中心签订了参与业务提供系统1的合同的业务提供者所管理的业务提供者设备13才是有效的。
业务提供者设备13根据签名的个人信息提供业务。该签名的个人信息由打算使用业务用户设备12接收业务的用户发送。在提供业务之前，业务提供者设备13只验证被包括在签名的个人信息中的数字签名，而不验证个人信息本身。为了验证数字签名，业务提供者设备13使用从个人信息验证设备11事先得到的签名验证数据(例如，公共密钥)。例如，这个签名验证数据可以在管理业务提供者设备13的业务提供者与鉴权中心签署合同时，从个人信息验证设备11被发送到业务提供者设备13。
在与如上所述的本实施例有关的业务提供系统1中，对于每个用户的验证的已签名个人信息不存储在被放置在鉴权中心的个人信息验证设备11中，而是存储在由每个用户持有的业务用户设备12中。另外，当接收业务时，不要求业务用户设备12接入个人信息验证设备11。所以系统1免除多半会使得系统的安全性和运行稳定性降低的那样的问题。这些问题包括在鉴权中心大量个人信息的集中，以及鉴权中心接入的堵塞。
而且，通过在管理业务用户设备12处签名的个人信息时增强的安全性，与传统系统的情形相比较，可以防止签名的个人信息的泄漏、篡改等风险的增加。
更具体地，与本实施例有关的业务提供系统1通过使得每个用户的签名个人信息能够存储在由每个用户持有的业务用户设备中，而解决传统的问题。同时，业务提供系统1通过使得签名的个人信息能够由业务用户设备严格地管理，而防止签名的个人信息的可靠性的恶化。
下面描述要在与本实施例有关的业务提供系统1中执行的处理流。
正如从对于总体结构给出的说明中可以获知的，要在业务提供系统1中执行的处理可粗略地分成两个规程。一个规程涉及到业务用户的个人信息的验证(此后称为“个人信息验证规程”)，这由个人信息验证设备11和业务用户设备12执行。另一个规程涉及到从业务提供者到业务用户的业务的供应(此后称为“业务供应规程”)，这由业务用户设备12和业务提供者设备13执行。下面参照附图描述每个规程的处理流。
(个人信息验证规程)下面首先参照附图描述个人信息验证规程的处理流。
图2显示由个人信息验证设备11和业务用户设备12执行的个人信息验证规程的处理流。
(1)接收用户的个人信息的输入首先，业务用户设备12接收来自业务用户的个人信息的输入。业务用户设备12把输入的用户的个人信息发送到被放置在鉴权中心的个人信息验证设备11。
图3示意地显示要从业务用户设备12发送到个人信息验证设备11的用户个人信息的结构。图上显示的用户个人信息由以下项目组成“姓名”；“电话号码”；“地址”；“出生日期”；“信用卡号码”；“身高和体重”；以及“血型”。这里应当指出，虽然图上仅仅显示项目的例子，但用户个人信息要由被包括在系统中的每个业务提供者设备所需要的项目组成。
(2)验证用户的个人信息接着，个人信息验证设备11通过把用户的个人信息与从可靠的外部信息源得到的有关该业务用户的信息(该信息被事先输入到个人信息验证设备11)进行比较，而验证从业务用户设备12接收的用户个人信息。
(3)附着ID号和签名个人信息验证设备11把对于用户唯一的用户ID号和数字签名附着到验证的用户个人信息的每个项目上，以便生成签名的个人信息。
图4示意地显示签名的个人信息400的示例性结构。签名的个人信息由多个项目组成，每个项目都包括附着“用户ID”部分420和“签名数据”部分430的”主要数据”部分410。“主要数据”部分410代表从业务用户设备12发送的个人信息的每个项目的数据。
个人信息验证设备11生成一个用户ID号，并把生成的用户ID号附着到个人信息的每个项目上。个人信息验证设备11然后通过使用公共密钥加密方法生成对于已附着用户ID号的每个项目的数字签名，以及把生成的数字签名附着到每个项目。这里对于每个项目生成的数字签名是基于该项目内容和用户ID号的级联数据。这意味着数字签名的数值是取决于每个项目而不同的。作为一个例子，可以采用ElGamal签名方案作为用于生成签名数据的方法。ElGamal签名方案例如在TatsuakiOkamoto和Hiroshi Yamamoto所写的“Gendai Ango(ModernCryptography)(现代密码术)”，(Sangyo Tosho)中被描述。
个人信息验证设备11加密签名的个人信息，并把该加密的签名个人信息发送到业务用户设备12。更具体地，个人信息验证设备11根据SSL(安全套接字层)协议执行保密通信。
这里，如果验证该个人信息的处理(2)是不成功的，则个人信息验证设备11把请求真实的个人信息的消息发送到业务用户设备12。然后处理返回到(1)。
(4)存储签名的个人信息业务用户设备12接收从个人信息验证设备11发送的签名的个人信息，以及首先解密该签名的个人信息。而且，业务用户设备12通过使用唯一的加密密钥加密曾解密的已签名个人信息以便贮存，以及把该加密的已签名个人信息存储在它的内部存储卡中。
(业务供应规程)下面描述业务供应规程的处理流，其中业务提供者设备13根据来自业务用户的指令而提供业务给业务用户设备12。
图5显示业务供应规程的处理流。
(1)发出业务请求首先，已接收用户指令去获得业务的业务用户设备12通过网络”N”发出业务请求到业务提供者设备13。
(2)发出个人信息请求接收到业务请求的业务提供者设备13发出个人信息请求到业务用户设备12。个人信息请求指定对于所请求的业务供应所必须的个人信息的项目。该个人信息请求通过使用预定的格式(由个人信息验证设备11事先确定)被描述，以及通过使用该项目的序列号(例如，在图4的例子中，对于项目“姓名”，序列号是“1”，对于项目“地址”是“3”，)指定每个必需的项目。
(3)发送部分个人信息接收到个人信息请求的业务用户设备12解密已被加密和存储在其中的已签名个人信息，从解密的已签名个人信息中提取由个人信息请求指定的项目，以及把提取的项目(＝部分个人信息)发送到业务提供者设备13。业务用户设备12在这里执行基于SSL协议的保密通信，用于发送部分个人信息。这里应当指出，业务用户设备12通过检验个人信息请求的描述格式，来判断个人信息请求是否来自真实的业务提供者设备13。当个人信息请求的描述格式不同于它应当具有的格式时，业务用户设备12确定个人信息请求是由企图假冒业务提供者的第三方发出的非授权请求，所以业务用户设备12不发送部分个人信息。这里假设业务用户设备12事先由个人信息验证设备11告知以正确的格式，请求应当以这种格式被描述。这里，个人信息请求的这种验证可以根据被附着到请求的数字签名，而不是根据请求的描述格式来执行。在那种情形下，业务提供者可以使用已被验证并且已由业务用户设备12附着上数字签名的请求。另外，业务用户设备12可以由个人信息验证设备11事先给予要被使用于验证该签名的公共密钥。
图6示意性地显示部分个人信息600的示例性结构。图上举例说明部分个人信息的内容，这时在签名的个人信息的所有项目中的四个项目“姓名”、“电话号码”、“地址”、和“信用卡号码”被个人信息请求指定。
(4)根据用户ID号和签名来验证个人信息已经接收到部分个人信息的业务提供者设备13解密该部分个人信息，然后根据用户ID号和签名来验证该部分个人信息。验证处理在后面详细地描述。
(5)提供业务当部分个人信息的验证成功时，业务提供者设备13提供业务给业务用户设备12。要被提供的业务的例子包括通过网络的数字音乐内容的分发。
下面详细描述实现业务提供系统1的上述处理的每个设备(个人信息验证设备11，业务用户设备12，和业务提供者设备13)的结构。
个人信息验证设备11只执行与个人信息验证规程有关的处理。
图7是显示个人信息验证设备11的结构的方框图。个人信息验证设备11包括发送/接收单元111，个人信息验证单元112和签名生成单元113。发送/接收单元111发送数据到业务用户设备12和从其接收数据(仍要被验证的用户个人信息，已被验证的签名的个人信息，等等)。个人信息验证单元112验证已从业务用户设备12接收的个人信息。签名生成单元113把保证个人信息的真实性的签名数据附着到验证的个人信息上，以便生成签名的个人信息。
(发送/接收单元111)发送/接收单元111发送数据到外部设备和从外部设备接收数据。具体地，发送/接收单元111从业务用户设备12接收用户的个人信息，以及把已被验证的签名的个人信息发送到业务用户设备12。为了发送和接收个人信息(已验证的和要被验证的)，发送/接收单元111加密数据，使它成为保密的。更具体地，发送/接收单元111执行基于SSL协议的保密通信。
(个人信息验证单元112)个人信息验证单元112验证已由发送/接收单元111接收的用户的个人信息(即，判断发送个人信息的用户是否可被鉴权的)。该验证可以通过把由用户发送的个人信息与由属于鉴权中心的管理器从可靠的外部信息源得到并输入到个人信息验证单元112的同样类型的信息进行比较而实行。该个人信息与之进行比较的信息具体地可以是被写在由用户邮寄来的居民证明上的信息，或可以是在用户的许可下从信用卡公司得到的用户信息(包括信用卡号码)。
(签名生成单元113)签名生成单元113把数字签名附着到已由个人信息验证单元112验证的个人信息上。该签名生成单元113首先从个人信息验证单元112接收个人信息，然后生成对于用户唯一的一个用户ID号，并把该生成的用户ID号附着到该个人信息的每个项目的标题上。
然后，签名生成单元113对于已附着有用户ID号的每个个人信息项目生成数字签名，并把生成的数字签名附着到每个项目。这里的用于生成数字签名的方法是公共密钥加密方法(例如，ElGamal签名方案)。更具体地，签名生成单元113使用专用签名密钥。专用签名密钥事先存储在不允许从外面参考的、这样的区域。通过使用专用签名密钥，签名生成单元113根据用户ID号和相应项目的级联数据，生成对于每个项目的数字签名。这里应当指出，相应于这个专用签名密钥的公共签名密钥事先被分发到业务提供系统1中的每个业务提供者设备13。
数字签名是根据项目的内容和其数值取决于每个用户而不同的用户ID号，以上述方式对于个人信息的每个项目生成的。结果，数字签名是取决于每个用户而互相不同的。而且，数字签名的数值也是取决于一个用户的已签名个人信息的每个项目而互相不同的。
业务用户设备12执行与个人信息验证规程和业务供应规程有关的处理。
图8显示业务用户设备12的结构。
业务用户设备12包括发送/接收单元121，存储卡123和存储卡控制单元122。发送/接收单元121发送和接收来自和去往个人信息验证设备11和业务提供者设备13的数据。存储卡123用于存储签名的个人信息。存储卡控制单元122控制存储卡123。存储卡123被可拆卸地插入业务用户设备12的插槽中。
(发送/接收单元121)在个人信息验证规程中，发送/接收单元121发送仍要被验证的个人信息和已被验证的个人信息到个人信息验证设备11和从其接收该信息。在业务供应规程中，发送/接收单元121发送各种类型的信息(个人信息请求，部分个人信息，和业务内容)到业务提供者设备13和从其接收该信息。在任一规程中，发送/接收单元121执行基于SSL协议的保密通信，用于发送和接收。
(存储卡控制单元122)存储卡控制单元122管理加到和来自存储卡123的已签名个人信息的输入和输出。在个人信息验证规程中，存储卡控制单元122把签名的个人信息存储到存储卡123。更具体地，存储卡控制单元122解密在被加密时已接收的签名的个人信息，然后连同指令一起输出解密的已签名个人信息到存储卡123，以存储该解密的已签名个人信息。
在业务供应规程中，存储卡控制单元122从存储卡123读出个人信息。更具体地，存储卡控制单元122首先通过发送/接收单元121得到由业务提供者设备13响应于业务请求发送的个人信息请求。然后，存储卡控制单元122分析该个人信息请求，以及识别由业务提供者设备13请求时指定的项目。存储卡控制单元122把输出个人信息的指令连同列出项目的信息一起发送到存储卡123。
(存储卡123)存储卡123包括其中可以执行程序的IC卡芯片。存储卡123的功能不单是存储签名的个人信息，也可以响应于从存储卡控制单元122发送的指令，而内部地执行与该输入和输出有关的处理。
图9是显示存储卡123的结构的方框图。存储卡123可包括IC卡芯片，它是抗篡改的(即，被保护不被非授权的接入)。IC卡芯片具有存储和执行程序的功能。存储卡123包括抗篡改的保护的贮存区域124(IC卡芯片)，和具有大的贮存容量的通用贮存区域125。在保护贮存区域124中，提供有加密/解密单元126和密钥生成单元127。加密/解密单元126执行签名的个人信息的加密和解密处理。密钥生成单元127生成在加密和解密处理中使用的密钥。保护贮存区域124还包括用于存储密钥的密钥贮存区域128。这里应当指出，加密/解密单元126和密钥生成单元127由被存储在保护贮存区域124中的程序实现。这些程序由存储卡123中内部提供的算术单元(未示出)执行，以便用作为加密/解密单元126和密钥生成单元127。下面描述在个人信息验证规程和业务供应规程中要由上述的每个主要部件执行的处理的内容。
(加密/解密单元126)在个人信息验证规程中，加密/解密单元126加密从存储卡控制单元122传送的签名的个人信息，以及把加密的已签名个人信息存储在通用贮存区域125中。更具体地，加密/解密单元126在从存储卡控制单元122接收该已签名个人信息时指令该密钥生成单元127生成密钥。然后，在从密钥生成单元127接收该生成的加密密钥后，加密/解密单元126通过使用这个加密密钥来加密该签名的个人信息，并把加密的已签名个人信息存储在通用贮存区域125中。
在业务供应规程中，加密/解密单元126解密存储的已签名个人信息，以及响应于来自存储卡控制单元122的请求而输出该解密的已签名个人信息。更具体地，在接收来自存储卡控制单元122的请求后，加密/解密单元126从密钥贮存区域128中读出解密密钥和从通用贮存区域125中读出加密的已签名个人信息。然后，加密/解密单元126通过使用解密密钥来解密该签名的个人信息。这里，只有由存储卡控制单元122指定的已签名个人信息的项目要被读出和被解密。加密/解密单元126把解密的已签名个人信息发送到存储卡控制单元122。
(密钥生成单元127)密钥生成单元127只在个人信息验证规程中执行处理。密钥生成单元127响应于从加密/解密单元126发送的指令，生成用于签名的个人信息的加密密钥和解密密钥。然后，密钥生成单元127把加密密钥发送到加密/解密单元126，以及把解密密钥存储在密钥贮存单元128中。密钥贮存单元128被包括在保护贮存区域124中，所以，被存储在其中的解密密钥不能被从卡的外部直接接入。这里采用的数据加密方法可以是公共密钥加密方法，或者可以是专用密钥加密方法。例如，可以采用DES(数据加密标准)加密方法，它是一种专用密钥加密方法。在采用专用密钥加密方法的情形下，加密密钥与解密密钥是相同的。这里应当指出，DES加密方法例如在Tatsuaki Okamoto和Hiroshi Yamamoto所写的“Gendai Ango(Modern Cryptography)(现代密码术)”，(sangyoTosho)中被描述。
业务提供者设备13执行在业务供应规程中的处理。
图10显示业务提供者设备13的结构。业务提供者设备13包括发送/接收单元131，签名验证单元132和存储器装置133。发送/接收单元131发送数据到业务用户设备12和从业务用户设备12接收数据。签名验证单元132验证签名的个人信息，它是连同业务请求一起从业务用户设备12发送的。存储器装置133存储要被提供的业务内容。
发送/接收单元131从业务用户设备12接收业务请求。响应于该业务请求，发送/接收单元131发送个人信息请求到业务用户设备12，以及从业务用户设备12接收部分个人信息。在接收到请求的部分个人信息后，发送/接收单元131把部分个人信息发送到签名验证单元132。当由签名验证单元132对于部分个人信息的验证成功时，发送/接收单元131读出由存储器装置133请求的业务内容，并把该业务内容发送到业务用户设备12。当由签名验证单元132对于部分个人信息的验证不成功时，发送/接收单元131发送错误消息到业务用户设备12。这里应当指出，当业务内容被发送到业务用户设备12时，发送/接收单元131把对于收取服务费所必须的、这样的信息(即，用户姓名，信用卡号码，和提供的业务内容)输入到历史数据库(图上未示出)。这样的信息以后在服务费结算时被参考。
签名验证单元132分析发送/接收单元131从业务用户设备12接收的业务请求，以及识别对于所请求的业务供应所必须的个人信息的项目。然后，签名验证单元132生成用于请求该项目的个人信息请求，并把生成的个人信息请求发送到发送/接收单元131，以便指令发送/接收单元131把这些项目发送到业务用户设备12。
此后，签名验证单元132通过发送/接收单元131得到从业务用户设备12发送的所请求的部分个人信息，然后，签名验证单元132根据附着的签名和用户ID验证部分个人信息。
为了验证部分个人信息，签名验证单元132执行以下的“签名验证”和“用户ID匹配”。更具体地，签名验证单元132首先判断部分个人信息的每个项目是否已被个人信息验证设备11验证(签名验证)。作为这种判断方法，采用通过使用公共签名密钥的熟知的方法。公共签名密钥事先从个人信息验证设备11被分发。更具体地，签名验证单元132判断在(a)公共签名密钥，(b)已被附着到每个项目的“签名数据”部分430与(c)签名所基于的数据(即，“用户ID”部分420与“主要数据”部分410的级联的数据)之间的关系是否满足被称为“签名验证表示式”的预定的关系。
签名验证单元132还判断部分个人信息的每个项目是否被给予相同的用户ID号(用户ID匹配)。因为以上的签名验证只能表示每个单独的项目的真实性，所以需要执行这种用户ID匹配，以便检测对于实际不存在的个人伪造的、这样的签名的个人信息。例如，签名的个人信息可以通过从多个用户的已签名个人信息中提取某些项目和把这些项目进行组合的方法被伪造。为了检测这样的伪造的已签名个人信息，执行判断被附着到部分个人信息的所有项目上的用户ID是否匹配。当判断被附着到所有项目上的用户ID不匹配时，签名验证单元132确定该签名的个人信息已被伪造为包括从多个用户的已签名个人信息中提取的项目。
如果由签名验证单元132通过使用签名验证或者用户ID匹配进行的签名个人信息的验证是不成功的，则签名验证单元132发送一个表示检测到非授权行为的消息到发送/接收单元131，以及指令发送/接收单元131发送错误消息到业务用户设备12。
在与上述的本实施例有关的业务提供系统1中，个人信息验证设备11验证个人信息，把签名附着到验证的个人信息，以生成签名的个人信息，然后把该已签名的个人信息返还到业务用户设备12，而不是以传统的方式集中管理签名的个人信息。更具体地，每个用户的已签名个人信息被存储在由每个用户保持的业务用户设备12中。所以，不像传统的系统，业务提供系统1免除诸如从鉴权中心立即泄漏对于大量用户的个人信息这样的安全性问题。另外，业务提供系统1可呈现增强的系统稳定性，因为系统1中的业务用户设备12在使用业务时不需要接入鉴权中心。
而且，在业务用户设备12中，签名的个人信息被加密，然后被存储在存储卡中，以及它的解密密钥被存储在不允许从外部参考的区域中。这样，签名的个人信息的安全性被严格地保护。所以，签名的个人信息的管理者从鉴权中心改变为用户的事实，不会使业务提供系统1中的已签名个人信息的可靠性变得次于在传统的系统中的情形。
另外，对于用户唯一的用户ID号被附着到用户的已签名个人信息的每个项目上。例如，假设第三方企图通过把用户A的姓名与用户B的地址进行组合，伪造对于实际不存在的个人的已签名个人信息，打算以非授权方式接收业务。即使作出这样的企图，被附着到伪造的已签名个人信息的所有项目上的用户ID号也不匹配，因此，可以检测出非授权行为。这样，正如从业务提供者看到的该签名的个人信息的可靠性被增强。
另外，签名的个人信息被存储在可拆卸的存储卡中。所以，当业务用户设备由于损坏等需要被交换到新的设备时，用户只需要把存储卡移到新的设备。通过这样做，用户可立即使用新的设备接收业务。
在传统的业务提供系统中，业务用户设备在每次接收业务时都被要求接入到鉴权中心。在这样的系统中，鉴权中心会被给予关于业务使用的状态的信息，诸如关于每个用户使用的业务提供者的频率和类型的信息(即，每个业务用户的偏好，每个业务提供者的销售业绩等)。然而，在与本实施例有关的业务提供系统1中，业务用户设备在接收业务时不需要接入鉴权中心，这样，鉴权中心没有机会得到这样的信息。因此，业务用户和业务提供者不必担心通过鉴权中心泄漏信息。所以，比起传统的系统来说，本系统1对于业务提供者是更可靠的。
修改的例子在与上述实施例有关的业务提供系统1中，签名的个人信息在业务用户设备12内被严格地保护。然而，即使这样本系统1仍具有签名的个人信息可能被第三方通过使用诸如窃听的非授权装置窃取的可能性。如果这种情形发生，第三方可以通过把窃取的已签名个人信息提交给业务提供者设备而假冒该用户。
为了防止这种设法窃取已签名个人信息的第三方能够用偷窃的信息假冒用户，本修改例揭示了一种业务提供系统，其中业务提供者可以通过基于公共密钥加密方法的鉴权方法鉴权个人信息的发送源。
下面描述与本修改例有关的业务提供系统的特性。业务用户设备事先生成一对公共和专用密钥，被使用于在接收业务之前所需要的设备鉴权。个人信息验证设备事先验证用于设备鉴权的公共密钥(公共鉴权密钥)，作为个人信息的一个项目。为了接收业务，业务用户设备把包括公共鉴权密钥的签名的个人信息发送到业务提供者。业务提供者只在鉴权该业务用户设备后才把业务发送到该业务用户设备。
作为本修改例独特的结构，业务用户设备附加地包括鉴权密钥生成单元。鉴权密钥生成单元在用户输入要被验证的个人信息时生成一对公共和专用密钥用于设备鉴权。另外，被包括在业务提供者设备中的签名验证单元，除了在以上的实施例中描述的处理以外，还通过使用公共鉴权密钥执行鉴权个人信息的发送源的处理。
下面参照附图描述在本修改例中的个人信息验证规程和业务供应规程。这里应当指出，与以上的实施例中描述的规程重叠的那些规程部分，在这里不再描述。
图11显示在本修改例中的个人信息验证规程。
对于本修改例独特的处理是生成鉴权密钥的处理(1a)。这里，已从用户处接收到个人信息输入的鉴权密钥生成单元根据公共密钥加密方法生成一对公共和专用鉴权密钥。然后，鉴权密钥生成单元把公共鉴权密钥连同输入的个人信息一起发送到发送/接收单元121(见图8)，以及指令发送/接收单元121把公共鉴权密钥和个人信息发送到个人信息验证设备。另一方面，鉴权密钥生成单元把专用鉴权密钥存储到被包括在存储卡123内保护贮存区域124中的密钥贮存区域128(见图9)。这里，可以采用任何类型的公共密钥加密方法。例如，可以采用ElGamal加密方法。
此后要由个人信息验证设备11执行的处理(2)和处理(3)是与以上实施例中描述的处理相同的。公共鉴权密钥以与个人信息的其他项目相同的方式被操纵。
图12A和12B显示在本修改例中个人信息的示例性结构。图12A显示仍要被验证和签名的个人信息。图12B显示已被验证和签名的个人信息。在修改例中的个人信息与在以上实施例中的个人信息的不同之处在于，它附加地包括“公共鉴权密钥”数据1201作为一个项目。以与个人信息其他项目同样的方式，用户ID号首先被附着到这个公共鉴权密钥的项目上，然后数字签名被附着到该项目上。
在签名的个人信息被发送到业务用户设备后要被执行的处理(4)也是与在以上实施例中描述的处理相同的。
图13显示在本修改例中的业务供应规程。
对于本修改例独特的处理是通过使用公共密钥加密的设备鉴权的处理(4a)。
通过根据ID号和签名验证个人信息的处理(4)，发出业务请求的处理(1)是与以上实施例中描述的处理基本上相同的。这里应当指出，在处理(2)中，从业务提供者设备发送到业务用户设备的个人信息请求不可避免地指定公共鉴权密钥作为对于任何业务供应所必须的一个项目。
处理(4a)由被包括在业务提供者设备中的签名验证单元(见图10)执行。签名验证单元首先根据用户ID号和签名来执行验证部分个人信息的处理(4)，然后判断个人信息的发送源是否为真实的业务用户设备(存储相应的专用鉴权密钥的设备)。作为判断方法，可以采用基于公共密钥加密方法的任何类型的方法。一个例子是在Tatsuaki Okamoto和Hiroshi Yamamoto，“Gendai Ango(Modern Cryptography)(现代密码术)”，(sangyo Tosho)中的“9.4 Public Key Cryptography-System using Digital Signatures(9.4公共密钥密码术-使用数字签名的系统)”中描述的方法。
在本修改例中的业务供应规程中，通过使用公共密钥加密方法对个人信息发送源进行鉴权。所以，用一个未存储相应于被包括在已签名部分个人信息中的公共鉴权密钥的专用鉴权密钥的设备来接收业务是不可能的。因此，即使第三方企图以非授权的方式得到签名的个人信息以及假冒一个已鉴权的业务用户，打算接收业务，这样的企图也会以失败告终。这进一步增强了业务提供系统中签名的个人信息的可靠性。另外，一旦专用鉴权密钥被生成和被存储，就不允许把专用鉴权密钥从存储器中的保护贮存区域输出到外面，由此使得该系统是高度安全的。
虽然参照附图通过例子全面地描述了本发明，但应当指出，各种改变和修正对于本领域技术人员是显而易见的。所以，除非这样的改变和修正背离本发明的范围以外，应当认为他们被包括在本发明的范围内。
例如，对于签名的个人信息可以设置期满的时间。更具体地，个人信息验证设备把期满时间信息附着到签名的个人信息上。业务提供者在提供业务以前参考期满时间。如果个人信息期满，则业务提供者发出一个请求到已发送签名的个人信息的业务用户设备，要求得到基于最新的个人信息的新的已签名个人信息。这样，签名的个人信息的可靠性可以进一步增强。
另外，在业务供应规程中，在存储卡内要被执行的解密该已加密的签名个人信息的处理，在由业务用户事先设置的密码被输入之后才开始。在这种情形下，即使具有被插入在其中的存储卡的业务用户设备被第三方偷窃，不知道密码的第三方也不能通过使用被存储在存储卡中的个人信息来接收业务。这增强了安全性。这里，可以使用业务用户的生物测量信息(诸如指印，虹膜码，和话音印迹)，而不用密码。
另外，虽然以上实施例描述了其中在个人信息验证设备与业务用户设备之间以及在业务用户设备与业务提供者设备之间的通信是通过基于SSL协议的保密通信实现的情形，但保密通信可以用其他方法来实现。
另外，虽然以上实施例描述了在个人信息验证规程中在个人信息验证设备11与业务用户设备12之间的个人信息的传送是藉助于通过网络的通信来实现的情形，但个人信息的传送可以用其他方法来实现。例如，业务用户可以把业务用户设备12带到鉴权中心1，以及通过运行业务用户设备12和个人信息验证设备11而直接输入和输出数据。替换地，个人信息可被记录在存储卡上，存储个人信息的存储卡可以邮寄给鉴权中心1，以及鉴权中心1可以把存储卡返还给用户。在任一种情形下，可以防止个人信息通过通信路径泄漏。其中个人信息验证设备与业务用户设备不通过网络进行连接的业务提供系统也是可能的。
另外，使业务用户能够在业务用户设备响应于从业务提供者设备发送的个人信息请求而发送部分个人信息之前检查个人信息请求的内容。为了实现这一点，在业务用户设备中可以附加地包括接口单元。该接口单元可以把请求内容显示在屏幕上，以及接收来自业务用户的指令。替换地，接口单元可以事先从业务用户处接收项目的指定，它可以由业务用户递交给业务提供者。
另外，个人信息验证设备可以以用于验证用户个人信息相同的方式事先验证在业务供应时由业务提供者设备发送到业务用户设备的个人信息请求的内容。在这种情形下，签名可被附着到鉴权的个人信息请求的数据上，以及签名的请求可返还到业务提供者设备，然后，业务用户设备可能只响应于具有表示它的真实性的签名的、这样的个人信息请求。在这种情形下，用于签名验证的公共密钥事先从个人信息验证设备发送到业务用户设备。通过这样做，即使第三方企图发送非授权的个人信息请求和假冒业务提供者，这样的企图也会以失败告终。这增强了系统内个人信息的安全性。
而且，用于存储签名个人信息的业务用户设备的结构部分不一定用存储卡来实现。被包括在业务用户设备中的贮存装置可以配备有被保护不被非授权接入的贮存区域，以及签名的个人信息可被存储在这个贮存区域中。
权利要求
1.一种业务提供系统，包括验证设备用来接收用户的个人信息，该验证设备包括个人信息验证单元，用来验证用户的个人信息的真实性；和签名个人信息生成单元，用来当由个人信息验证单元进行的验证成功时，通过把数字签名附着到该用户的个人信息上而生成签名的个人信息，以及发送该签名的个人信息；业务用户设备包括签名个人信息接收单元，用来把用户的个人信息发送到验证设备和从该验证设备接收该签名的个人信息；信息管理单元，用来存储和管理该接收的已签名个人信息；业务请求发送单元，用来从信息管理单元读出该签名的个人信息和把该读出的已签名个人信息连同业务请求一起进行发送；和业务接收单元，用来接收业务；以及业务提供者设备用来根据用户的个人信息把业务通过网络提供到业务用户设备，业务提供者设备包括业务请求接收单元，用来接收来自业务用户设备的业务请求和该签名的个人信息；签名个人信息验证单元，用来根据被包括在其中的数字签名而验证接收的已签名个人信息的真实性；和业务供应单元，用来当由签名个人信息验证单元进行的验证成功时，响应于业务请求，把业务提供到业务用户设备。
2.权利要求1的业务提供系统，其中该信息管理单元用来在阻止外部接入该签名的个人信息的状态下存储该签名的个人信息，以及允许该签名的个人信息只在事先设置的密钥信息被输入时才被读出。
3.权利要求2的业务提供系统，其中密钥信息是密码信息或生物测量信息。
4.权利要求1的业务提供系统，其中信息管理单元包括密钥生成子单元，用来生成要被使用于加密该签名的个人信息的加密密钥和要被使用于解密该被加密的签名个人信息的解密密钥；密钥贮存子单元，用来存储解密密钥；加密子单元，用来通过使用加密密钥来加密该签名的个人信息；信息贮存子单元，用来存储由该加密子单元加密的已签名个人信息；以及解密子单元，用来通过使用从密钥贮存子单元读出的解密密钥来解密从信息贮存子单元读出的加密的签名个人信息。
5.权利要求4的业务提供系统，其中信息管理单元包括IC存储卡，它包括保护的贮存区域、通用贮存区域、和算术单元，其中该保护贮存区域被保护不被外部接入，通用贮存区域可用来允许外部接入，以及算术单元可用来执行程序，其中加密子单元和解密子单元通过算术单元执行被存储在保护贮存区域中的程序而被实现，其中密钥贮存子单元可用来把解密密钥存储到保护贮存区域，以及其中信息贮存子单元可用来把该已加密的签名个人信息存储到通用贮存区域。
6.权利要求1的业务提供系统，其中业务请求接收单元可用来在从业务用户设备接收该签名的个人信息之前把个人信息请求发送到业务用户设备，以及其中业务请求发送单元可以用来在开始发送该签名的个人信息之前接收个人信息请求，并且只在接收的个人信息请求满足预定的条件时才把该签名的个人信息发送到业务提供者设备。
7.权利要求6的业务提供系统，其中个人信息请求已经以事先确定的格式被生成，其中个人信息请求已被验证，且数字签名已由验证设备被附着到个人信息请求上，以及其中业务请求发送单元可用来通过使用事先从验证设备分发的形式签名的公共密钥来验证被附着到个人信息请求上的数字签名的真实性，以及当通过使用形式签名的公共密钥对数字签名的验证是成功时，确定该个人信息请求满足预定的条件。
8.权利要求1的业务提供系统，其中用户的个人信息包括多个数据项，其中该签名个人信息生成单元可用来通过把数字签名附着到用户的个人信息的每个数据项而生成签名的个人信息，以及其中该签名个人信息验证单元可用来通过验证被附着到每个数据项的数字签名的真实性而验证该签名的个人信息的真实性。
9.权利要求1的业务提供系统，其中用户的个人信息包括多个数据项，其中该签名个人信息生成单元可用来通过把对于用户唯一的用户ID附着到每个数据项和把数字签名附着到用户ID已被附着的每个数据项而生成签名的个人信息，以及其中该签名个人信息验证单元可用来判断被附着到由业务请求接收单元接收的已签名个人信息的所有数据项的用户ID是否匹配，以及当判断用户ID不匹配时，确定该签名的个人信息的验证不成功。
10.权利要求9的业务提供系统，其中签名个人信息生成单元可用来把通过使用数据项的内容和用户ID生成的数字签名附着到已被附着用户ID的每个数据项，以及其中该签名个人信息验证单元可用来通过验证被附着到每个数据项的数字签名的真实性而验证该签名的个人信息的真实性。
11.权利要求1的业务提供系统，其中业务用户设备还包括鉴权密钥生成单元，可用来生成一对要被使用于业务用户设备的鉴权的公共的和专用的密钥；和专用密钥贮存单元，用来以限制外部接入的形式存储由鉴权密钥生成单元生成的专用密钥，其中该签名个人信息接收单元可用来把由鉴权密钥生成单元生成的专用密钥引入到要被发送到验证设备的用户的个人信息，其中业务请求发送单元可用来把由鉴权密钥生成单元生成的专用密钥引入到要被发送到业务提供者设备的签名的个人信息，以及其中签名个人信息验证单元可用来通过参考被引入到由业务请求发送单元发送的已签名个人信息中的专用密钥而使用公共密钥加密方法执行业务用户设备的鉴权，以及当鉴权成功时，确定该签名的个人信息的验证是成功的。
12.权利要求11的业务提供系统，其中专用密钥贮存单元包括具有只允许有限的外部接入的保护贮存区域的贮存媒体，以及把专用密钥存储到该保护贮存区域。
13.一种在业务提供系统中使用的验证设备，在业务提供系统中，根据由该验证设备验证的用户个人信息，业务可通过网络从业务提供者设备提供到业务用户设备，该验证设备包括个人信息验证单元，用来验证从业务用户设备接收的用户的个人信息的真实性；以及签名个人信息生成单元，用来当由个人信息验证单元进行的验证成功时，通过把数字签名附着到已验证的用户的个人信息上而生成签名的个人信息，以及发送该签名的个人信息到业务用户设备。
14.一种在业务提供系统中使用的业务用户设备，在业务提供系统中，根据由验证设备验证的用户个人信息，业务可通过网络从业务提供者设备提供到该业务用户设备，该业务用户设备包括签名个人信息接收单元，用来把用户的个人信息发送到验证设备和从验证设备接收已签名个人信息，它是已由验证设备验证的用户个人信息；信息管理单元，用来存储和管理接收的已签名个人信息；业务请求发送单元，用来从信息管理单元读出该签名的个人信息和把读出的签名个人信息连同业务请求一起发送到业务提供者设备；以及业务接收单元，用来接收由业务提供者设备响应于业务请求而提供的业务。
15.一种在业务提供系统中使用的信息管理设备，在业务提供系统中，根据由验证设备验证的用户个人信息，业务可通过网络从业务提供者设备提供到业务用户设备，该信息管理设备可用来被业务用户设备使用于存储已签名个人信息，它是已验证的用户个人信息，该信息管理设备包括密钥生成单元，用来生成要被使用于加密该签名的个人信息的加密密钥，和生成要被使用于解密该加密的签名个人信息的解密密钥；密钥贮存单元，用来存储该解密密钥；加密单元，用来通过使用该加密密钥而加密该签名的个人信息；信息贮存单元，用来存储由加密单元加密的已签名个人信息；以及解密单元，用来通过使用从密钥贮存单元读出的解密密钥来解密从信息贮存单元读出的该加密的签名个人信息，其中该信息管理设备包括IC存储卡，它包括保护的贮存区域、通用贮存区域、和算术单元，其中该保护贮存区域被保护不被外部接入，通用贮存区域可用来允许外部接入，以及算术单元可用来执行程序，其中加密单元和解密单元通过算术单元执行被存储在保护贮存区域中的程序而被实现，其中密钥贮存单元可用来把解密密钥存储到该保护贮存区域，以及其中信息贮存单元可用来把加密的签名个人信息存储到通用贮存区域。
16.一种在业务提供系统中使用的业务提供者设备，在业务提供系统中，根据由验证设备验证的用户个人信息，业务可通过网络从该业务提供者设备提供到业务用户设备，该业务提供者设备包括业务请求接收单元，用来从业务用户设备接收业务请求和签名的个人信息，后者是已由验证设备验证的用户个人信息；签名个人信息验证单元，用来根据被包括在其中的数字签名而验证接收的签名个人信息的真实性；以及业务供应单元，用来当由签名个人信息验证单元进行的验证成功时，响应于业务请求，把业务提供到业务用户设备。
17.一种在业务提供系统中使用的业务提供方法，在业务提供系统中，根据由验证设备验证的用户个人信息，业务可通过网络从业务提供者设备提供到业务用户设备，该方法包括通过验证从业务用户设备接收的用户个人信息的真实性而经验证设备验证个人信息；当个人信息的验证成功时，通过把数字签名附着到已验证的用户个人信息上而经验证设备生成签名的个人信息和把该签名的个人信息发送到业务用户设备；通过把用户个人信息发送到验证设备和从验证设备接收该签名的个人信息，而经业务用户设备接收该签名的个人信息；通过存储和管理接收的已签名个人信息而经业务用户设备执行信息管理；通过读出该签名的个人信息和把读出的签名个人信息连同业务请求一起发送到业务提供者设备而经业务用户设备发送业务请求；通过接收由业务提供者设备响应于业务请求提供的业务而经业务用户设备接收业务；通过从业务用户设备接收业务请求和该签名的个人信息而经业务提供者设备接收业务请求；通过根据被包括在接收的签名个人信息中的数字签名来验证该接收的签名个人信息的真实性而经业务提供者设备验证该签名的个人信息；以及当该签名的个人信息的验证成功时，通过提供业务到业务用户设备而经业务提供者设备提供业务。
全文摘要
已由个人信息验证设备(11)验证的和附着有数字签名的业务用户的个人信息(签名的个人信息)以高度安全的形式存储在业务用户设备(12)内。为了接收业务，业务用户设备(12)把被存储在其中的签名个人信息发送到业务提供者设备(13)。该业务提供者设备(13)根据数字签名来验证该签名的个人信息，然后，根据该个人信息提供业务。
文档编号G06F21/33GK1445707SQ0311997
公开日2003年10月1日 申请日期2003年3月14日 优先权日2002年3月15日
发明者横田薰, 大森基司, 馆林诚 申请人:松下电器产业株式会社