程序、通信设备、数据处理方法及通信系统的制作方法

专利名称：程序、通信设备、数据处理方法及通信系统的制作方法
技术领域：
本发明涉及在网络通信等中确保用户的匿名性及单一性的程序、通信设备、数据处理方法及通信系统。
(2)背景技术有提供聊天室、公告牌、拍卖网站和另一用于在多个用户间通信的网站。在该通信系统中，服务器装置例如通过根据来自用户的登记请求向用户发送一个在该服务器装置中的唯一的匿名用户ID来维持用户的匿名性。此后，用户使用发送给他的匿名用户ID来参与以上通信。
然而，在上述系统中，单个用户可以操作他或她自己的终端来将多个登记请求发送给服务器装置以获取多个匿名用户ID。
这样，缺点在于在由服务器装置提供的通信用网站不能维持用户的单一性。
另一方面，可以偷取另一个人的ID。如果密码不受保护，用户可以自由地设置它，因此很容易盗取。即使密码受保护，还存在密码本身被偷(由于偷听等，猜测等)，仍旧可能被盗。如果检查事件的当前状态，此类的缺点经常出现。
为了解决此缺点，有一种系统，其中用户将他或她自己的个人信息提供给TTP(受委托的第三方)，据此验证他或她自己的合法性(单一性)，并让以上服务器装置根据结果发出一个匿名用户ID。见例如日本待审查专利公开号2003-122946。
(3)发明内容然而，在上述相关技术的通信系统中，用户必须将具有其个人信息的TTP提供给服务器装置，让服务器装置验证他。其缺点在于从人个信息的保密性来看不理想。
另外，在上述已有技术的通信系统中，用户终端必须不仅要与提供通信用网站的服务器装置通信，还要与TTP的服务器装置通信，因此，存在通信处理中大负载的缺点。
在本发明中，理想的是提供能不需要用户提供个人信息而发出确保用户匿名性和单一性的匿名用户ID的程序、通信设备、数据处理方法及通信系统。
为了解决相关技术的上述问题，根据本发明的第一实施例，提供了一种用于使计算机执行一第一过程，用于验证通信设备中是否提供了一个平台，它确保用于标识通信设备的标识数据不能被用户改写，执行一第二过程，用于验证包括在从通信设备接收到的登记请求中的设备标识数据是否仍未登记，及执行一第三过程，用于当程序在第一过程中确定提供了平台并在第二过程中确定设备标识数据仍未被登记时登记包括在登记请求中的设备标识数据并向用户发送用户标识数据。
本发明的第一实施例的动作如下。计算机执行本发明的第一实施例的程序。计算机通过该程序的第一过程验证通信设备中是否提供了一个平台，它确保用于标识通信设备的标识数据不能被用户改写。另外，计算机通过该程序的第二过程验证包括在从通信设备接收到的登记请求中的设备标识数据是否仍未登记。接着，当在第一过程中确定提供了平台并在第二过程中确定数据仍未被登记时，计算机通过该程序的第三过程执行处理，以登记包括在登记请求中的标识数据并将用户标识数据发给用户。
根据本发明的第二实施例，有一种通信设备，它具有一个用于接收来自另一通信设备的登记请求的接口和一执行电路，用于通过用接口与另一通信设备通信执行验证处理，该验证处理用于验证另一通信设备中是否提供了一个平台，该平台确保用于标识其它通信设备的标识数据不能被用户改写，验证包括在来自另一通信设备接收的登记请求中的设备标识数据是否还未被登记，并当确定另一通信设备设置了平台且设备标识数据仍未被登记时，向用户发送用户标识数据。
本发明的第一实施例的动作如下。执行电路通过用接口与另一通信设备通信验证另一通信设备中是否提供了一个平台，该平台确保用于标识其它通信设备的标识数据不能被用户改写。另外，执行电路验证包括在来自另一通信设备的登记请求是否还未被登记。当确定另一通信设备设置了平台且设备标识数据仍未被登记时，执行电路登记包括在登记请求中的设备标识数据并向用户发送用户标识数据。
根据本发明的第三实施例，提供了一种数据处理方法，包括验证在通信设备中是否提供了一个平台，该平台确保用于标识通信设备的标识数据不能被用户改写，验证包括在来自该通信设备的登记请求中包括的设备标识数据是否还未被登记，并当在第一过程中确定提供了平台并在第二过程中确定设备标识数据还未被登记时向用户发送用户标识数据。
根据本发明的第四实施例，提供了一个程序，用于使计算机执行一第一过程，用于将用于验证平台的单个唯一假名标识数据分配给多个用户中的每一个并验证在通信设备中设置了一个平台，该平台确保假名标识数据不能被用户改写，第二过程，用于验证来自通信设备的假名标识数据是否仍未被登记，及第三过程，用于执行处理以登记从通信设备接收的假名标识数据并当程序在第一过程中确定通信设备中设置了平台并在第二过程中确定数据仍未被登记时向与登记请求相关的用户发送用户标识数据。
本发明的第四实施例的程序的动作如下计算机执行本发明的第四实施例的程序。计算机将用于验证平台的单个唯一假名标识数据分配给多个用户中的每一个并根据程序的第一过程验证在通信设备中设置了一个平台，该平台确保假名标识数据不能被用户改写。另外，计算机根据第二过程验证来自通信设备的假名标识数据是否仍未被登记。另外，计算机根据第三过程执行处理以登记从通信设备接收的假名标识数据并当程序在第一过程中确定通信设备中设置了平台并在第二过程中确定数据仍未被登记时向与登记请求相关的用户发送用户标识数据。
根据本发明的第五实施例，提供了一种通信设备，它具有用于从另一通信设备接收登记请求的接口和用于执行处理的执行电路，该处理用于将用于验证平台的单个唯一假名标识数据分配给多个用户中的每一个并验证在通信设备中是否设置了一个平台，该平台确保假名标识数据不能被用户改写，验证来自通信设备的假名标识数据是否仍未被登记，并当在验证中确定在另一通信设备中设置了平台且数据仍未被登记时登记从另一通信设备接收的假名标识数据并向与登记请求相关的用户发送用户标识数据。
本发明的第五实施例的程序的动作如下执行电路将用于验证平台的单个唯一假名标识数据分配给多个用户中的每一个并验证在另一通信设备中是否设置了一个平台，该平台确保假名标识数据不能被用户改写。另外，执行电路验证从另一通信设备接收到的假名标识数据是否仍未被登记。当确定在另一通信设备中设置了平台且该数据仍未被登记时登记通过接口从另一通信设备接收的假名标识数据并向与登记请求相关的用户发送用户标识数据。
根据本发明的第六实施例，提供了一种由计算机执行的数据处理方法，包括第一步骤，将用于验证平台的单个唯一假名标识数据分配给多个用户中的每一个并验证在通信设备中是否设置了一个平台，该平台确保假名标识数据不能被用户改写，第二步骤，验证从另一通信设备接收到的假名标识数据是否仍未被登记，和第三步骤，当在第一步骤确定通信设备中设置了平台并在第二步骤确定该数据仍未被登记时登记从通信设备接收的假名标识数据并向与登记请求相关的用户发送用户标识数据。
根据本发明的第七个实施例，提供了一种通信系统具有用于传送包括设备标识数据在内的登记请求的第一通信设备和用于根据从第一通信设备接收到的登记请求发送用户标识数据的第二通信设备，第二通信设备通过用接口与第一通信设备通信验证另一通信设备中是否设置了一个平台，该平台确保假名标识数据不能被用户改写，验证包括在从第一通信设备接收到的登记请求中的标识数据是否仍未被登记，并在确定在第一通信设备设置了平台且该设备标识数据仍未被登记时登记包括在登记请求中的设备标识数据并向用户发送用户标识数据。
总之，根据本发明，可以提供一种不需要用户提供个人信息而只用少量通信就发出确保用户匿名性和单一性的匿名用户ID的程序、通信设备、数据处理方法及通信系统。
(4)


通过以下参照附图给出的较佳实施例的说明将使本发明的这些和其它目的变得更清楚，其中图1为根据本发明的第一实施例的通信系统的整个结构图；图2为对图1所示的客户机装置的引导时间进行说明的流程图；图3为用于对当图1所示的客户机装置做出登记请求时的处理进行说明的流程图；图4为图1所示的服务器装置的结构图；图5为对图4所示的服务器装置的软件环境进行说明的图；图6为图4所示的安全芯片的结构图；图7为对图4所示的服务器装置的预处理进行说明的流程图；图8为对图4所示的服务器装置的登记请求的处理进行说明的流程图9为对用于提供图4所示的服务器装置的服务的处理进行说明的流程图；图10为对在本发明的第二实施例的客户机装置作出登记请求时的处理进行说明的流程图；图11为对本发明的第二实施例的服务器装置的登记请求进行说明的流程图；和图12为对用于提供本发明的第二实施例的服务器装置的服务的处理进行说明的流程图。
(5)具体实施方式
以下将对根据本发明的实施例的通信系统进行说明。
第一实施例以下将参照图1-图9对本发明的第一实施例进行说明。本实施例对应于本发明的第一至第七实施例。
本发明的结构的相应之处首先，将对本发明的实施例的元件和本发明的组件之间的相应之处进行说明。这里，图1等所示的服务器装置S对应于本发明的第二实施例的通信设备及本发明的第一和第三实施例的计算机。另外，本发明的匿名用户ID对应于本发明的用户标识数据，而本实施例的硬件ID对应于本发明的设备标识数据。另外，图4所示的接口42对应于本发明的第二实施例的接口，而CPU45对应于本发明的第二实施例的执行电路。另外，图8所示的步骤ST32对应于本发明的第一实施例的第一过程和本发明的第三实施例的第一步骤。另外，图8所示的步骤ST33对应于本发明的第一实施例的第二过程和本发明的第三实施例的第二步骤。图8所示的步骤ST34和ST35对应于本发明的第一实施例的第三过程和本发明的第三实施例的第三步骤。
图1为本发明的第一实施例的通信系统1的整个结构图。如图1所示，通信系统1例如具有操作系统(OS)供应者10、应用程序(AP)供应者12、认证机构14、客户机装置C和服务器装置S。在本实施例中，客户机装置C是由一般用户使用的个人电脑、移动电话等。另外，服务器装置S是提供诸如聊天室、公告牌或拍卖之类的用于多个用户之间的通信的网站的计算机。
OS供应者10
OS供应者10是例如用于提供做成客户机装置C的程序BIOS_C、装入程序L_C和操作系统OS_C的供应者。另外，OS供应者10生成程序BIOS_C、装入程序L_C和操作系统OS_C的散列数据，生成引导程序的验证数据，将这些存储在预定的位字段中，并将其作为引导程序R_VBP的对照验证数据提供(传送)给服务器装置S。
AP供应者12是将在客户机装置C上运行的应用程序AP_C提供给客户机装置C的供应者。AP供应者12生成应用程序AP_C的散列数据并将其作为处于安全状态的对照散列数据R_AP_C提供给服务器装置S。
认证机构14认证机构14将客户机装置C的安全芯片SC_C的公用密钥证明数据Cert_SC1提供给服务器装置S。另外，认证机构14将与公用密钥证明数据Cert_SC1相对应的专用密钥数据Kpri_SC1提供给客户机装置C。
以下将对客户机装置C和服务器装置S进行说明。
客户机装置C客户机装置C具有一个防篡改电路(硬件)，它包括安全芯片SC_C、一个未示出的CPU、存储器及网络9的接口。这里，防篡改电路是设计成在该电路受到外部攻击(违法读取内部数据或设定输入频率或预定范围外的输入电压的攻击)时防止误操作或内部数据泄漏的电路。在本实施例中，安全芯片SC_C存储客户机装置C固有的标识数据，即，硬件ID。该硬件Id是受保护的，因此它不由用户改写。客户机装置C在引导时连续地引导程序BIOS_C、装入程序L_C、操作系统OS_C和应用程序AP_C。这些程序实现一个平台，该平台确保硬件ID不能被用户改写。另外，客户机装置C自动和强制生成上述引导程序的散列数据。
以下将对客户机装置C的运行的例子进行说明。
第一运行例子以下将对被引导的客户机装置C的运行的一个例子进行说明。图2为对该运行例子进行说明的流程图。
步骤ST1客户机装置的CPU确定客户机装置C是否已被引导。当确定它已被引导时，过程进入步骤ST2。
步骤ST2
CPU连续地从存储器读取并执行(引导)程序BIOS_C、装入程序L_C和操作系统OS_C。接着，CPU从存储器引导应用程序AP_C。
步骤ST3安全芯片SC_C生成在步骤ST2引导的程序BIOS_C、装入程序L_C和操作系统OS_C的散列数据并生成将这些存储在预定字段的引导程序的验证数据。另外，安全芯片SC_C生成在步骤ST2引导的应用程序AP_C的散列数据AP_C_hash。
步骤ST4安全芯片SC_C将步骤ST3生成的引导程序的验证数据和散列数据AP_C_hash写入存储器。
第二运行例子以下将对将请求匿名用户ID的登记请求传送给服务器装置的客户C的运行的一个例子进行说明。图3为对该运行例子进行说明的流程图。
步骤ST11客户机装置的CPU确定用户是否已输入了用于请求匿名用户ID的登记请求的指令。当确定它已被输入时，过程进入步骤ST12。
步骤ST12客户机装置的CPU从安全芯片SC_C读取硬件ID并将包括它的登记请求传送给服务器装置S。
步骤ST13客户机装置的CPU确定是否已从服务器装置S接收到了请求引导程序的验证数据和散列数据AP_C_hash的请求。当确定收到它们，过程进入步骤ST14。
步骤ST14客户机装置的CPU从存储器读取引导程序的验证数据和由以上第一运行例从存储器生成和存储的散列数据AP_C_hash并将它们传送给服务器装置S。
步骤ST15客户机装置的CPU确定是否已从服务器装置S接收到匿名用户ID和密钥数据K。当确定已收到它们，则过程进入步骤ST16。
步骤ST16客户机装置的CPU将在步骤ST15接收到的匿名用户ID和密钥数据K写入安全芯片SC_C。此时，密钥数据K由客户机装置C的公用密钥数据KPUb-SC1加密。CPU根据专用密钥数据Kpri-SC1对该密钥数据K解密并将其写入安全芯片SC_C。此后，当将数据传送至服务器装置S时，客户机装置CPU通过密钥数据K对该数据加密，将匿名用户ID加入加密数据，并传送该结果。
服务器装置S图4为图1所示的服务器装置S的结构图。如图4所示，服务器装置S具有例如接口42、存储器43、安全芯片SC_S和CPU45。这些是通过数据线40连接的。
接口42发送、接收数据并通过网络9向客户机装置C请求。存储器3存储程序BIOS_S、装入程序L_S、操作系统OS_S及应用程序AP_S。
CPU45读取存储在存储器43中的各种程序以实现预定的软件环境。CPU45例如，如图5所示，在CPU45、安全芯片SC_S及其它硬件上运行程序BIOS_S。另外，CPU45根据装入程序L_S运行程序BIOS_S和操作系统OS_S上的装入程序L_S。另外，CPU45引导操作系统OS_S上的应用程序AP_S。CPU45根据应用程序AP_S如下综合控制服务器装置S的处理。注意应用程序AP_S与本发明的第一实施例的程序相对应。
如上所述，安全芯片SC是防篡改电路，即，设计成在该电路受到外部攻击(违法读取内部数据或设定输入频率或预定范围外的输入电压的攻击)时防止误操作或内部数据泄漏的电路。
图6为图4所示的安全芯片SC_S的结构图。如图6所示，安全芯片SC_S例如具有输入/输出电路(I/O)51、密钥产生电路52、散列电路53、随机数产生电路54、签名加密电路55、存储器56和处理器57。它们是通过数据线50连接的。
输入/输出电路51与图4所示的数据线40相连并在安全芯片SC_S的内部和外部之间输入和输出数据。密钥产生电路52根据例如由随机数产生电路54生成的随机数生成各种有关安全的密钥数据。散列电路53生成散列数据。随机数产生电路54生成随机数。签名加密电路55使用密钥数据加密和解密，生成加密数据，解密加密的数据，生成签名数据并验证签名数据。将程序PRG_SC存储到存储器56中的程序57根据来自图4所示的CPU的控制综合控制安全芯片SC的运行。
以下将对服务器装置S的运行的例子进行说明。
第一运行例子以下将对服务器装置S的预处理进行说明。图7为该处理进行说明的流程图；步骤ST21图4所示的服务器装置S的CPU45将上述由OS供应者10通过接口42提供的引导程序R_VBP的对照验证数据作为输入接收并将其写入存储器43中。
步骤ST22CPU45接收例如由AP供应者12通过接口42提供的对照散列数据R_AP_C作为输入并将其写入存储器43中。
步骤ST23CPU45，例如将由认证机构14通过接口42提供的公用密钥证明数据Cert_SC1作为输入接收并将其写入存储器43中。注意公用密钥证明数据Cert_SC1包含公用密钥数据。
第二运行例子以下将对从客户机装置C接收登记请求情况时的服务器装置S的运行进行说明。图8为用于说明该运行例子的流程图。
步骤ST31图4所示的服务器装置S的CPU45确定是否通过接口42接收到了来自客户机装置C的登记请求。当确定已接收到时，过程进入步骤ST32。
步骤ST32CPU45验证通信的目的地的平台，即，客户机装置C。具体来说，CPU45通过接口42从客户机装置C请求引导程序的验证数据和散列数据AP_C_hash。
另外，CPU45根据上述请求和在图7所示步骤ST21和步骤S22存储的引导程序R_VBP的对照验证数据和对照散列数据，比较通过接口42从客户机装置C接收的引导程序的验证数据和散列数据AP_C_hash并在两者匹配时确定客户机装置C的平台是合法的，当不匹配时确定其不合法。
在本实施例中，客户机装置C的“合法平台”指将程序BIOS_C、装入程序L_C、操作系统OS_C及应用程序AP_C引导客户机装置C的平台，即，确保了硬件ID不能由用户改写的客户机装置C中的平台。另外，在该平台中，硬件ID被自动(强制)添加到登记请求。
步骤ST33
CPU45获取包括在步骤ST31接收到的登记请求中的客户机装置的硬件ID并验证是否此硬件ID已被登记。
步骤ST34当CPU45在步骤ST32确定客户机装置C的平台具有完整性并在步骤ST33确定硬件ID仍未被登记时，过程进入步骤ST35。否则，过程结束。
步骤ST35CPU45，例如，发送唯一匿名用户ID给服务器装置S的供应者。另外，图6所示的密钥产生电路52在CPU45的控制下生成一个与安全芯片SC_S生成的匿名用户ID相对应的密钥数据K。
步骤ST36CPU45登记在步骤ST33获取的硬件ID，在步骤ST35生成的匿名用户ID及在列表数据TBL中对应于密钥数据K所示的内容。
第三运行例子以下将对从客户机装置C接收数据时服务器装置S的运行的例子进行说明。图9为对该运行的例子进行说明的流程图。
步骤ST51图4所示的服务器装置S的接口42从客户机装置C接收数据。该数据包括匿名用户ID及由上述密钥数据加密的加密数据。
步骤ST52服务器装置S的CPU45从在步骤ST51接收到的数据获取匿名用户ID。
步骤ST53CPU45从在图8所示的步骤ST36中说明的列表数据TBL获取与在步骤ST52获取的匿名用户ID相应的密钥数据K。
步骤ST54CPU45根据在步骤ST53获取的密钥数据K对包括在步骤ST51接收到的数据中的加密数据进行解密。
步骤ST55CPU45确定在步骤ST54解密的数据是否已被合适地解密了。当确定它已被合适地解密了时，过程进入步骤ST56。否则，过程进入步骤ST57。
步骤ST56CPU45用在步骤ST54解密的数据提供预定服务。例如CPU45执行处理，用于当步骤ST54解密的数据是要在公告牌上放置的内容时将该数据加载到公告牌。
步骤ST57CPU45不用步骤ST54解密的数据提供服务并向客户机装置C通知此结果。
如上所述，在通信系统1中，在服务器装置S验证已将程序BIOS_C、装入程序L_C、操作系统OS_C及应用程序AP_C引导客户机装置C(即，确保硬件ID不能由用户在图8所示的步骤ST32和ST34改写的平台)之后，发送一个匿名用户ID。
因此，可以避免客户机装置C的单个用户要求多个匿名用户ID的情况并不经过TTP的服务器装置确保匿名用户ID的单一性。
因此，客户机装置C的用户不必向TTP的服务器装置提供他或她的个人信息，所以可能提高个人信息的保密性。另外，客户机装置C和服务器装置S直接通信且不与TTP的服务器装置通信，因此可以减轻通信处理的负载。另外，根据通信系统1，还可以防止身份盗取被用于非法篡改或偷取服务器装置S的持有的其它方的信息。
第二实施例以下将参照图10-图12对本发明的第二实施例进行说明。本实施例对应于本发明的第四-第六实施例。在以上实施例中，当单个用户使用客户机装置C时，服务器装置根据包括在登记请求中的硬件ID是否被登记在列表数据TBL中来确定是否发送一个匿名用户ID。在本实施例中，当多个用户使用客户机装置C时，服务器装置为每个用户生成单个专用加密密钥PEK。当引导时，客户机装置C连续地引导程序BIOS_C、装入程序L_C、操作系统OS_C及应用程序AP_C并提供以下由这些程序所示的平台。即，客户机装置C生成(发送)多个用于验证平台的专用加密密钥数据PEK，向单个用户分配单个唯一专用加密密钥数据PEK，并提供一个平台，以确保专用加密密钥数据PEK不能由用户改写。
本发明的结构的相应之处首先，将对本发明的实施例的元件和本发明的元件之间的相应之处进行说明。这里，图1等所示的服务器装置S对应于本发明的第二实施例的通信设备及本的第一和第三实施例的计算机。另外，本发明的匿名用户ID对应于本发明的用户标识数据，而本实施例的专用加密密钥数据PEK对应于本发明的伪标识数据。另外，图4所示的接口42对应于本发明的第二实施例的接口，而CPU45对应于本发明的第二实施例的执行电路。另外，图10所示的步骤ST72对应于本发明的第四实施例的第一过程和本发明的第六实施例的第一步骤。另外，图10所示的步骤ST75对应于本发明的第四实施例的第二过程和本发明的第六实施例的第二步骤。另外，图10所示的步骤ST76对应于本发明的第四实施例的第三过程和本发明的第六实施例的第三步骤。
首先，将对本实施例的客户机装置将请求匿名用户ID的登记请求发送至服务器装置的运行的例子进行说明。图10为对该运行例子进行说明的流程图。
步骤ST61客户机装置的CPU确定用户是否输入了用于请求匿名用户ID的登记请求的指令。当确定已输入时，过程进入步骤ST62。
步骤ST62客户机装置的CPU将登记请求传送至服务器装置S。
步骤ST63客户机装置的CPU确定是否已从服务器装置S接收到了请求专用加密密钥数据PEK的请求。当确定已接收到时，过程进入步骤ST64。
步骤ST64客户机装置的CPU在安全芯片SC中生成专用加密密钥数据PEK。这里，专用加密密钥数据PEK被称为“伪证明数据”并与用户证明数据相区别。它用于证明由用户使用的平台(平台)。在本实施例中，客户机装置C的安全芯片SC_C与预定TTP(受托第三方)的服务器装置进行通信，以生成一对公用密钥数据和专用密钥数据。另外，安全芯片SC_C将该公用密钥数据传送给TTP的服务器装置并将其添加到签名数据中。在本实施例中，安全芯片SC_C生成(发送)多个专用加密密钥数据PEK并向单个用户分配单个专用加密密钥数据PEK。另外，在本实施例中，用户不能改写专用加密密钥数据PEK。
步骤ST65客户机装置的CPU确定是否已从服务器装置S接收到请求引导程序的验证数据和散列数据AP_C_hash的请求。当确定接收到它们时，过程进入步骤ST66。
步骤ST66客户机装置的CPU读取在上述第一运行例子中生成和存储的引导程序的验证数据和散列数据AP_C_hash，并将它们传送到服务器装置S。
步骤ST67客户机装置的CPU确定是否已从服务器装置S接收到匿名用户ID。当确定已接收到时，过程进入步骤ST68。
步骤ST68客户机装置的CPU链接在步骤ST64生成的专用加密密钥数据PEK和步骤ST67接收到的匿名用户ID并将它们写入安全芯片SC_C中。此后，当将数据传送至服务器装置时，客户机装置CPU通过专用加密密钥数据PEK加密该数据，将匿名用户ID添加至该加密数据，并发送结果。
以下将对从客户机装置C接收登记请求情况时服务器装置S的运行的例子进行说明。图11为对该运行例子进行说明的流程图。
步骤ST71图4所示的服务器装置S的CPU45确定是否已通过接口42接收到来自客户机装置C的登记请求。当确定收到时，过程进入步骤ST72。
步骤ST72CPU45验证通信目的地的平台，即，客户机装置C。具体来说，CPU45通过接口42从客户机装置C请求引导程序的验证数据和散列数据AP_C_hash。另外，CPU45根据上述请求和在图7所示的步骤ST21和步骤S22存储的引导程序R_VBP的对照验证数据和对照散列数据，比较通过接口42从客户机装置C接收的引导程序的验证数据和散列数据AP_C_hash。当两者匹配时，确定客户机装置C的平台是合法的。当它们不匹配时，确定其不合法。在本实施例中，客户机装置C的“合法平台”指生成(发送)多个用于证明平台的专用加密密钥数据PEK的平台，向单个用户分配单个专用加密密钥数据，以确保专用加密密钥数据PEK不能被用户改写。
步骤ST73当CPU45在步骤ST72确定客户机装置C的平台具有完整性时，过程进入步骤ST74。否则，过程结束。
步骤ST74CPU45通过接口42从客户机装置C请求专用加密密钥数据PEK并通过接口42从客户机装置C接收它。
步骤ST75CPU45指列表数据TBL并验证专用加密密钥数据PEK是否仍未被登记。如果确定它仍未被登记，过程进入步骤ST76。如果确定它仍未被登记，它结束处理并将结果传送至客户机装置C。
步骤ST76CPU45例如发送一个在服务器装置S的供应者中的单个匿名用户ID。
步骤ST77CPU45将示出在步骤ST74接收到的专用加密密钥数据PEK和在步骤ST76生成的匿名用户ID之间的链接的内容登记在列表数据TBL中。
以下，将对从客户机装置C接收数据时服务器装置S的运行的例子进行说明。图12为对该运行的例子进行说明的流程图。
步骤ST81图4所示的服务器装置S的接口42从客户机装置C接收数据。该数据包括匿名用户ID和由上述专用加密密钥数据PEK加密的加密数据。
步骤ST82服务器装置S的CPU45从在步骤ST81接收到的数据获取匿名用户ID。
步骤ST83CPU45获取与在步骤ST82从在图11所示的步骤ST77中说明的列表数据TBL获取的匿名用户ID相对应的专用加密密钥数据PEK。
步骤ST84CPU45根据在步骤ST83获取的专用加密密钥数据PEK对包括在步骤ST81接收到的数据中的加密数据进行解密。
步骤ST85CPU45确定在步骤ST84解密的数据是否已被合适地解密了。当确定它已被合适地解密了时，过程进入步骤ST86。否则，过程进入步骤ST87。
步骤ST86
CPU45用在步骤ST84解密的数据提供预定服务。例如CPU45执行处理，用于当步骤ST54解密的数据是要在公告牌上放置的内容时将该数据加载到公告牌。
步骤ST87CPU45不用步骤ST84解密的数据提供服务并向客户机装置C通知此结果。
如上所述，根据本实施例，即使在将装置C用于多个用户时，也能避免客户机装置C的单个用户传送多个请求匿名用户ID的请求。如果与登记请求相应的专用加密密钥数据PEK不同，则不必通过TTP的服务器装置就能确保匿名用户ID的单一性。因此，客户机装置C的用户不必向TTP的服务装置提供他或她的个人信息，所以可以提高个人信息的保密性。另外，客户机装置C和服务器装置S直接通信且不与TTP的服务器装置通信，因此可以减轻通信处理中的负载。
本发明不限于上述实施例。在上述实施例中，说明了服务器装置提供公告牌的情况，但服务器装置S不是特定的，只要它提供聊天室、拍卖网站或其它用于匿名用户ID的服务(其中，开放网络9中要求用户9的匿名性和单一性)。另外，根据其不需要用户提供个人信息的特征本发明还能应用于为各个人定制的网络服务。
另外，在上述第二实施例中，说明了客户机装置C根据从服务器装置S发出的请求生成专用加密密钥数据PEK并将其传送至服务器装置S的情形。本发明例如还可以使密钥数据服务器装置S将预先生成的专用加密密钥数据PEK引入登记请求。另外，它还可以包括一在登记请求中的用户想要的匿名用户ID。另外，作为第一实施例的密钥数据K和第二实施例的专用加密密钥数据PEK，可以使用用户通过帧、个人简历信息、密钥设备(IC卡ID)、等的组合。
可以将本发明应用于一系统，在该系统中网络等通信需要用户匿名性及单一性。
本领域的技术人员应理解只要在所附权利要求或其等效物的范围内可以根据设计要求作出各种修改、组合、子组合及替换。
权利要求
1.一种程序，其特征在于，使计算机执行第一过程，用于验证在所述通信设备中是否提供了一个平台，它确保用于标识通信设备的标识数据不能被用户改写，第二过程，用于验证包括在从所述通信设备接收到的登记请求中的设备标识数据是否仍未登记，及第三过程，用于登记包括在所述登记请求中的所述设备标识数据并当程序在所述第一过程中确定提供了所述平台并在所述第二过程中确定设备标识数据仍未被登记时向所述用户发送用户标识数据。
2.如权利要求1所述的程序，其特征在于，所述第一过程从所述通信设备接收在所述通信设备上引导的散列数据并将所述接收到的散列数据与用于验证的预先保持的散列数据进行比较。
3.如权利要求2所述的程序，其特征在于，从所述通信设备接收到的所述散列数据是在将程序在所述通信设备上引导时在所述通信设备自动生成的。
4.如权利要求1所述的程序，其特征在于，其中所述第三过程发出密钥数据并存储与所述用户标识数据链接的那个密钥数据，及所述程序利用在所述第三过程中与所述用户标识数据链接的所述密钥数据对接收到的与所述第三过程中发送的用户标识数据链接的加密数据进行解密。
5.一种通信设备，其特征在于，包括一个用于接收来自另一通信设备的登记请求的接口，和一执行电路，用于通过用所述接口与所述另一通信设备通信而执行验证处理，该验证处理验证所述另一通信设备中是否提供了一个平台，该平台确保用于标识所述其它通信设备的标识数据不能被用户改写，验证包括在来自所述另一通信设备的登记请求内的所述设备标识数据是否还未被登记，并当确定所述另一通信设备设置了所述平台且所述设备标识数据仍未被登记时，向所述用户发送用户标识数据。
6.一种数据处理方法，其特征在于，包括以下步骤验证所述通信设备中是否提供了一个平台，该平台确保用于标识通信设备的标识数据不能被用户改写，验证包括在从所述通信设备接收的登记请求中的设备标识数据是否还未被登记，以及当在所述第一过程中确定所述通信设备设置了平台并在所述第二过程中确定设备标识数据仍未被登记时，登记包括在所述登记请求中的设备标识数据并向所述用户发送用户标识数据。
7.一种程序，其特征在于，使计算机执行第一过程，用于将用于验证平台的单个唯一伪假名标识数据分配给多个用户中的每一个并验证在通信设备中设置了一个平台，该平台确保所述假名标识数据不能被所述用户改写，第二过程，用于验证从所述通信设备接收到的假名标识数据是否仍未被登记，及第三过程，用于执行处理以登记从所述通信设备接收的假名标识数据并当在所述第一过程中确定所述通信设备中设置了平台并在所述第二过程中确定数据仍未被登记时向与所述登记请求相关的所述用户发送用户标识数据。
8.如权利要求7所述的程序，其特征在于，其中所述第三过程存储与所述用户标识数据链接的所述伪标识数据，及所述程序利用在所述第三过程中与所述用户标识数据链接的所述伪标识数据对与在所述第三过程中发送的所述用户标识数据相链接的接收的加密数据进行解密。
9.一种通信设备，其特征在于，包括用于从另一通信设备接收登记请求的接口和用于执行处理的执行电路，该处理用于将用于验证平台的单个唯一假名标识数据分配给多个用户中的每一个并验证在通信设备中是否设置了一个平台，该平台确保所述假名标识数据不能被所述用户改写，验证来自所述其它通信设备的所述假名标识数据是否仍未被登记，并当在验证中确定在另一通信设备中设置了所述平台且数据仍未被登记时登记从所述另一通信设备通过所述接口接收的所述假名标识数据并向与所述登记请求相关的所述用户发送用户标识数据。
10.一种由计算机执行的数据处理方法，其特征在于，包括第一步骤，将用于验证平台的单个唯一假名标识数据分配给多个用户中的每一个并验证在通信设备中是否设置了一个平台，该平台确保所述假名标识数据不能被所述用户改写，第二步骤，验证从所述通信设备接收到的所述假名标识数据是否仍未被登记，和第三步骤，当在所述第一步骤确定所述通信设备中设置了所述平台并在所述第二步骤确定该数据仍未被登记时登记从所述通信设备接收的所述假名标识数据并向与所述登记请求相关的用户发送所述用户标识数据。
11.一种通信系统，其特征在于，包括用于传送包括设备标识数据在内的登记请求的第一通信设备和用于根据从所述第一通信设备接收到的所述登记请求发送用户标识数据的第二通信设备，所述第二通信设备通过接口与所述第一通信设备通信而验证在所述另一通信设备中是否设置了一个平台，该平台确保用于标识所述第一通信设备的设备标识数据不能被用户改写，验证包括在从第一通信设备接收到的登记请求中的标识数据是否仍未被登记，并在确定在所述第一通信设备设置了平台且所述设备标识数据仍未被登记时登记包括在所述登记请求中的所述设备标识数据并向所述用户发送用户标识数据。
全文摘要
本发明提供了一种使计算机执行第一过程，用于验证通信设备中是否提供了一个平台，它确保用于标识通信设备的标识数据不能被用户改写，第二过程，用于验证包括在从通信设备接收到的登记请求中的设备标识数据是否仍未登记，及第三过程，用于登记包括在所述登记请求中的设备标识数据并当程序在第一过程中确定提供了所述平台并在第二过程中确定设备标识数据仍未被登记时向用户发送用户标识数据。
文档编号G06F21/20GK1703001SQ20051007583
公开日2005年11月30日 申请日期2005年5月26日 优先权日2004年5月26日
发明者安田泰勲, 篠崎郁生 申请人:索尼株式会社