[go: up one dir, main page]

JP5120951B2 - 複数の端末を用いた改ざん命令実行防止技術 - Google Patents

複数の端末を用いた改ざん命令実行防止技術 Download PDF

Info

Publication number
JP5120951B2
JP5120951B2 JP2008230969A JP2008230969A JP5120951B2 JP 5120951 B2 JP5120951 B2 JP 5120951B2 JP 2008230969 A JP2008230969 A JP 2008230969A JP 2008230969 A JP2008230969 A JP 2008230969A JP 5120951 B2 JP5120951 B2 JP 5120951B2
Authority
JP
Japan
Prior art keywords
terminals
command
terminal
server
order
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008230969A
Other languages
English (en)
Other versions
JP2010066886A (ja
Inventor
和邦 古原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Institute of Advanced Industrial Science and Technology AIST
Original Assignee
National Institute of Advanced Industrial Science and Technology AIST
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Institute of Advanced Industrial Science and Technology AIST filed Critical National Institute of Advanced Industrial Science and Technology AIST
Priority to JP2008230969A priority Critical patent/JP5120951B2/ja
Publication of JP2010066886A publication Critical patent/JP2010066886A/ja
Application granted granted Critical
Publication of JP5120951B2 publication Critical patent/JP5120951B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、遠隔地にあるサーバ(やピーア)において、命令(処理)を正しく実行させる技術に関し、より詳細には、乗っ取られた端末により改ざんされた不正な命令が、サーバやピーアで実行されることを防止する技術に関する。
端末からネットワークを介して遠隔地にあるサーバ(やピーア)に命令や処理を送信して実行させる技術は、ネットワークを介して提供されるサービスにおいては欠かせない技術となっている。一方、コンピュータウィルスやボットなどにより端末が乗っ取られ、不正に端末が操作される事件も増え続けており、それらを用いた犯行の傾向も、派手に振る舞う愉快犯的なタイプから、金銭を目的とした悪質なタイプへと移行しつつある。それらの検出および排除は年々難しくなってきており、ある調査によれば、乗っ取られている端末の割合は国内では40台に1台(*)、海外では10台に1台にも上るとも言われている。この割合は今後も増え続けることが予想され、有効かつ実用的な対策が求められている。
(*)http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050727/165402/
これまでのところ、通信への攻撃に対する対策は、通信路において改ざんを受けることを防止することに重点をおいて取られてきた。例えば、ネットワークノードの間に改ざん検出の施された通信路を構築することにより、通信路上でのデータの改ざんを防止する方法として、VPN(Virtual Private Network)やSSL/TLS、SSH などが広く用いられている。また、下掲の非特許文献1には、端末とサーバの間に複数の独立した通信路があると仮定し、その内いくつかの通信路が攻撃者に乗っ取られたとしても、改ざんされていないデータを端末からサーバに秘匿された状態で送信する技術が開示されている。
Kaoru Kurosawa and Kazuhiro Suzuki "Truly Efficient 2-Round Perfectly Secure Message Transmission Scheme" Proc. of EUROCRYPT 2008, Springer--Verlag, pp. 324-340, 2008
しかしながら、これらの技術は通信途中における改ざんの検出技術であるため、情報送受信する端末そのものが乗っ取られている場合、偽造あるいは改ざんされたデータが通信相手に送られる可能性があり、また、偽造あるいは改ざんされたデータが端末の画面を通して利用者に提示される可能性がある。また、非特許文献1に記載の技術の場合、送信者にとって受信者が誰であり、受信者にとって送信者が誰であるかの認証が別途必要となり、複雑である。
なお、端末が乗っ取られているとは、乗っ取られた端末に打ち込まれたデータや記録されているデータ、端末に届いたデータが全て攻撃者に知られ、かつ、端末の画面に表示されるデータや、端末が送信するデータが攻撃者により書き換えられる可能性があることを意味する。
セキュリティを向上させるための方式として、ワンタイムパスワードを用いた認証方式も提案されている。これは、乗っ取られている可能性のある端末に、別の端末で生成されたワンタイムパスワード(使い捨てパスワード)を打ち込むことにより、そのワンタイムパスワードが盗聴されたとしても、それが次回以降悪用されることを防止する方式である。しかしながら、乗っ取られた端末上の攻撃者は、ワンタイムパスワードと一緒に送られるデータを改ざんすることが可能である。
このように、従来提案されている方式では、端末そのものが乗っ取られている場合に、攻撃者による不正を防止することが困難である。かかる事情に鑑み、本発明は、利用者の使用している端末のいくつかが乗っ取られており、また、どの端末が乗っ取られているのか分からない場合において、利用者の意図する以外の命令や処理がサーバ(あるいはピーア)において実行されることを、利用者に大きな負荷を掛けることなく防止することを目的とする。
本発明の好適な実施形態においては、利用者が端末を介してサーバに送信した命令を、当該サーバが少なくとも前記端末とは異なる一又は複数の確認用端末に送信する。利用者は当該確認用端末において、送信した命令の内容を確認することができる。確認結果は再びサーバへ送信され、サーバは、受信した命令と、受信した応答メッセージのパタンに応じて前記命令を実行するか否かを判定する。
かかる情報処理方式においては、命令を送信する端末及び確認用端末のうち、少なくとも一つの端末が乗っ取られていなければ、サーバにおいて不正な命令が実行されないことを実現可能である。したがって、端末自体を乗っ取って不正を行う攻撃に対処することが可能である。
また、利用者は、前記確認用端末において、単に送信した命令の内容を確認すればよいだけであるので、利用者が確認用端末に対して行う入力作業も最小で済む。
命令送信用端末の数と命令確認用端末の数には特に制限はないが、命令送信用端末は1台であることが好ましく、確認用端末も最低1台あれば良い。
乗っ取られた端末から不正な命令や処理がサーバで実行されることを防止するために、例えば、同じ命令や処理を複数の端末で繰り返し入力し、サーバ側で複数の同じ命令や処理が届いた場合のみそれらを実行するという構成をとることもでき、本願発明の実施形態にはそのような構成を有するものも含まれる。しかしながら、この構成では利用者が何度も同じ内容を複数の端末に入力せねばならず、操作が煩雑となることは否めない。命令送信用の端末を1台のみとし、他を確認用端末とすることで、利用者の手間を最小限に抑えることができる。
なお、前記命令送信用端末と前記確認用端末の全ては、それぞれ異なる端末である必要がある。ここで、端末Aが端末Bとは異なるとは、端末Bを乗っ取った攻撃者が端末Aに成りすまして命令を出したり、情報を受け取ったりできない状況を言う。また、各端末とサーバとの接続を確立するために必要な認証情報は、端末毎に、それぞれ独立である必要がある。これは、乗っ取られた端末上の攻撃者が、別の乗っ取っていない端末になりすましたり、利用者になりすましたりできないようにするためである。
本発明の好適な実施形態においては、前記確認用端末のあるものから受信した確認結果を、他の確認用端末又は前記命令送信用端末へ送信するように構成することが好ましい。このような構成によれば、どの端末が乗っ取られているのかを判別することができるようになる場合がある。
本発明によれば、命令を送信する端末及び確認用端末のうち、少なくとも一つの端末が乗っ取られていなければ、サーバにおいて不正な命令が実行されることを防止することができる。このため、特に、電子商取引やオンライントレード、ネットオークションなど、金銭のからむ重要な取引に関わる命令を処理するための方式として、適している。例えば電子商取引においては、端末を乗っ取った攻撃者が、利用者が入力した注文を改ざんし、それをサーバへ送信して改ざんした注文を実行させるという事態が考えられる。本発明によれば、注文を入力・送信する端末と、確認用端末の全てが乗っ取られていない限り、サーバにおいて不正な注文が実行されることを防ぐことができる。
本発明の好適な実施形態のいくつかは添付の特許請求の範囲に特定されている。しかし本発明の実施形態は、特許請求の範囲や明細書及び図面に明示的に記載されるものに限定されず、本発明の思想を逸脱することなく、様々な形態をとることが可能である。本発明は、本願特許請求の範囲や明細書及び図面に明示的に開示されるか否かにかかわらず、これらの書類から教示されうるあらゆる新規かつ有益な構成を、その範囲に含むものである。
本発明の実施形態は、次のような情報処理方法を含む。この方法は、複数の異なる端末と通信しうるサーバにおける情報処理方法であって、
・ 前記複数の端末の各々を、それぞれ互いに独立の認証情報を用いて認証するステップと、
・ 前記複数の端末のうち少なくとも1台の端末から、命令を受信するステップと、
・ 前記複数の端末のうち、前記命令を送信してきた端末以外の少なくとも1台の端末へ、前記命令の内容を含んだ第一の確認メッセージを送信するステップと、
・ 前記第一の確認メッセージを受信した端末の全て、もしくは1台以上から、それぞれ応答メッセージを受信するステップと、
・ 前記受信した命令と、前記受信した応答メッセージのパタンに応じて前記命令を実行するか否かを判定するステップと、
を含む。また本発明の実施形態は、上記情報処理方法あるいは本明細書に開示される新規な情報処理方法を実行しうるように構成される装置や、当該方法をコンピュータに遂行させるためのコンピュータ・プログラムを含む。また、独立の認証情報を用いた認証とは、各認証においてそれぞれ独立した認証情報が用いられていることであり、ある認証情報を攻撃者が入手できその認証を破ることができたとしても、別の認証まで破ることができないことを指す。
実施形態によっては、前記複数の端末のうちのある端末から受信した前記応答メッセージの内容を含んだ第二の確認メッセージを、前記複数の端末のうち、前記ある端末とは異なる端末へ送信するステップをさらに含む。前記判定ステップの結果に関する情報を含むメッセージを前記複数の端末の少なくともいずれかに送信するステップを含んでいてもよい。
実施形態によっては、前記サーバは、前記受信した命令と、前記受信した応答メッセージにおいて承認された命令が全て一致する場合に限り、前記命令を実行すると判定するように構成されてもよい。この場合、n台の端末の内、n−1台が乗っ取られても不正な命令や注文がサーバで実行されることはないが、1台でも乗っ取られると注文は成立しなくなる。この場合において注文を成立させるには、乗っ取られている端末を特定し、それを排除しなければならない。
実施形態によっては、前記サーバは、同じ意味の命令を送信した端末の数とそれを承認するメッセージを送信した端末の数の合計が、乗っ取られていると考えられる端末の数を超えるか、前記認証ステップにおいて認証された端末の数の過半数を超える場合に限り、前記命令を実行すると判定するように構成されてもよい。この場合、n台の端末の内、n/2を超える数の端末が乗っ取られると、攻撃者の出した不正な命令や注文をサーバが受け入れてしまうが、n/2台未満の端末が乗っ取られたとしても、利用者が命令を出す端末が乗っ取られていない場合、利用者の出した命令や注文を成立させることができる。つまり、命令や注文が成立しなかった場合、命令や注文を出す端末を変えることにより、命令や注文を成立させることが可能となる。
上記の命令の具体的内容については特に制限されるものではなく、どのような処理に関する命令であってもよい。例えば、電子商取引における注文、電子投票における投票、電子入札における入札、アンケートの投函、などに関する命令であることができる。
以下、添付の図面を参照しつつ、本発明の好適な実施形態のさらに具体的な例を説明する。
図1は、第一実施例として紹介する情報処理システム及び方法に登場する要素及び処理の流れを説明するための図である。第一実施例に係る情報処理方法は、2台のクライアント端末(クライアント1,クライアント2)及び1台のサーバ装置(3)との間で実行される。図1に描かれるユーザ(0)は、クライアント端末(1)とクライアント端末(2)の操作者である。クライアント1及び2並びにサーバ3は、いずれも、CPUやメモリ、通信装置などを備える汎用のコンピュータであることができる。したがって、本実施例に係る特徴的な情報処理は、コンピュータ・プログラムとCPUとの協働によってもたらされるソフトウェア処理によって実現されることができる。このようなコンピュータ・プログラムは、ハードディスクやCD−ROM等のコンピュータ読み取り可能な記憶媒体に格納されることができ、また、CD−ROMドライブなどのデータ読み取り装置やイーサネット(登録商標)等のネットワークを介して各装置の記憶装置へ格納されることができる。なお、ソフトウェア処理の一部を、FPGA等のプログラム可能な論理回路を用いてハードウェア回路として実現することも可能である。
クライアント端末(1)とサーバ装置(3)は、インターネット、イーサネット(登録商標)、移動通信ネットワークなどの手段を用いて通信することができ、また、クライアント端末(2)とサーバ装置(3)も、同様の手段を用いて通信することができる。本実施例においては、クライアント端末(1)とクライアント端末(2)は直接通信することができなくとも構わない。
できるだけ具体的に説明するため、第一実施例に係る情報処理方法を、電子商取引における注文方法として説明することとする。クライアント端末(1)は、当該電子商取引において、ユーザが注文を行うための端末として動作し、サーバ装置(3)は、当該注文を実行するためのコンピュータ装置として動作する。したがって、一般的には、サーバ装置(3)は遠隔地に設置されており、クライアント端末(1)や(2)とはインターネットや移動通信ネットワークなどを通じて接続されている。また、サーバ装置(3)は、認証、注文処理、課金等の複数の機能を有しており、これらの機能はハードウェア的に別々のコンピュータによって実行される場合もある。すなわちサーバ装置(3)は、1台のコンピュータ装置から構成されているとは限らず、複数台のコンピュータ装置から構成されるシステムである場合もある。クライアント端末(1)や(2)についても同様である。クライアント端末1,2やサーバ装置3は、コンピュータまたはコンピュータシステムと一般的に理解することができ、当業者であれば、適当なコンピュータまたはコンピュータシステムを、クライアント端末1,2やサーバ装置3として採用することができるであろう。
図1に描かれる電子商取引方法及びシステムにおいて、クライアント端末(2)は、クライアント端末(1)を用いて為された注文が改ざんされていないかどうかを確認するための端末であり、本発明の実施形態に係る電子商取引において、特徴的な構成要素である。
次に、図1を参照しながら、第一実施例に係る電子商取引方法及びシステムの処理の流れを説明する。
まず予め、クライアント端末(1)とサーバ装置(3)は、適当な認証情報を用いて認証処理を済ませておく必要がある(ステップ100)。同様に、クライアント端末(2)も、適当な認証情報を用いてサーバ装置(3)との認証処理を済ませておかねばならない(ステップ100b)。このとき、クライアント端末(1)とサーバ装置(3)との間で用いられた認証情報と、クライアント端末(2)とサーバ装置(3)との間で用いられた認証情報とは互いに独立でなければならない。すなわち、一方から他方が導き出されるようなものであってはならない。このような認証情報の例としては、例えば、二つの独立したパスワードが挙げられる。また、クライアント端末(1)とサーバ装置(3)、クライアント端末(2)とサーバ装置(3)の間に、それぞれ、予め適当な認証情報を格納しておくという方法を用いることもできる。この目的に好適な認証方式が、本発明者らによる先行特許出願である、特願2008−110756や特願2008−179670に紹介されている。
ステップ101では、ユーザ(0)が、クライアント端末(1)を操作して、電子商取引に係る注文を行う。一例であるが、サーバ装置(3)は、インターネットを介して当該電子商取引のためのサービス画面を提供することができ、当該サービス画面はクライアント端末(1)のディスプレイに表示され、ユーザ(0)は、クライアント端末(1)のユーザインタフェース(キーボードやマウスなど)を操作して、所望の注文を入力することができる。ステップ102では、クライアント端末(1)が当該注文の内容を含むメッセージ(電子データ)を作成し、サーバ(3)に送信する。
ステップ103において、注文メッセージを受け取ったサーバ(3)は、当該注文の内容を含んだ確認メッセージを作成し、これをクライアント端末(2)へ送信する。実施形態によっては、確認メッセージをクライアント端末(1)にも送信することとしてもよい。いずれにせよ、確認メッセージを受信したクライアント端末(2)は、当該確認メッセージに含まれる注文の内容を、そのディスプレイへ表示する(ステップ104)。ユーザ(0)は、クライアント端末(2)のディスプレイに表示された注文の内容を確認し、注文の内容がステップ101において行った注文の内容と一致していれば、注文を承認する旨の入力をクライアント端末(2)に対して行い、一致していなければ、注文を却下する旨の入力をクライアント端末(2)に対して行う(ステップ105)。この確認入力を受けたクライアント端末(2)は、ステップ106において、当該確認入力の内容を含む応答メッセージを作成し、サーバ装置(3)へ送信する。サーバ装置(3)は、ステップ106で受信した応答メッセージが、ステップ102で受信した注文の実行を承認するものである場合に限り、当該注文を実行する。
ステップ107において、サーバ装置(3)は、ステップ106において受信した上記確認入力の内容を含む第二の確認メッセージを作成し、クライアント端末(1)へ送信する。このメッセージに含まれる、クライアント端末(2)における確認入力の内容は、クライアント端末(1)のディスプレイに表示され、ユーザ(0)はそれを確認することができる(ステップ108)。
ところで、クライアント端末(1)が乗っ取られていた場合、この装置に入力されたデータや記録されているデータ、受信したデータは、全て、攻撃者に改ざんされる可能性がある。すなわち、ステップ101において入力された注文が、ステップ2において、改ざんされてサーバ装置(3)に送信される可能性がある。また、ステップ107で受信した確認結果が、ステップ108において改ざんされて表示される可能性がある。同様に、クライアント端末(2)が乗っ取られていた場合、ステップ103で受信した注文確認の内容が、ステップ104において、改ざんされて表示される可能性がある。また、ステップ105で入力された確認結果が、ステップ106において改ざんされてサーバ装置(3)に送信される可能性がある。
しかしながら、第一実施例に係る電子商取引方式においては、クライアント端末(1)で入力した注文を、クライアント端末(1)とは異なるクライアント端末(2)で確認し、クライアント端末(2)から送信されるメッセージによって承認されない限り、サーバ(3)は注文を実行しない。したがって、クライアント端末(1)や(2)の両方が乗っ取られない限り、サーバ(3)で不正な注文が実行されることはない。
クライアント端末(1)と(2)のいずれか一方を乗っ取った攻撃者が、乗っ取った端末の情報を利用して他方の端末の認証情報を不正に取得することができないように、クライアント端末(1)とサーバ装置(3)との間で用いられた認証情報と、クライアント端末(2)とサーバ装置(3)との間で用いられた認証情報とは互いに独立でなければならない。すなわち、乗っ取られた端末により、当該端末の認証を実行するために必要な秘密情報が取られたとしても、乗っ取られていない端末上でその利用者になりすますことを許さないようにしなければならない。
以下、図2〜図5を用いて、改ざんがあった場合となかった場合において、注文の成否やユーザへの情報の提示のされ方にどのような影響が出るのかを、具体的に例示する
図2は、改ざんがない場合の処理の流れを描いた流れ図である。ステップ202a,202bは、それぞれ、クライアント端末(1)−サーバ装置(3)間、クライアント端末(2)−サーバ装置(3)間における認証処理段階を示しており、図1のステップ100a,100bに相当するステップである。ステップ204は、ユーザがクライアント端末(1)に対して注文操作を行うステップであり、図1のステップ101に相当する。ステップ206は、クライアント端末(1)が当該注文の内容を含む注文メッセージを作成するステップであり、ステップ208において、当該注文メッセージがサーバ装置(3)へ送信される。ステップ206,208は、図1におけるステップ102に相当する。ステップ210は、サーバ装置(3)が、当該注文の内容を含んだ確認メッセージをクライアント端末(2)へ送信するステップであり、図1のステップ103に相当する。ステップ212は、クライアント端末(2)が当該確認メッセージの内容をそのディスプレイへ表示するステップであり、図1のステップ104に相当する。ステップ214は、ユーザがクライアント端末(2)に対して確認操作すなわちクライアント端末(2)のディスプレイに表示された注文内容を承認するか否かの操作を行うステップであり、図1のステップ105に相当する。図2の例では、何らの改ざんも行われないため、ユーザは注文を承認する旨の入力操作を行う。
ステップ216は、クライアント端末(2)が、当該確認操作の内容、すなわち注文を承認する旨の情報を含んだ応答メッセージを作成するステップであり、ステップ218は、クライアント端末(2)が当該応答メッセージをサーバ装置(3)へ送信するステップである。ステップ216及び218は、図1におけるステップ106に相当する。サーバ装置(3)は、クライアント端末(2)から注文を承認する旨のメッセージを受信したことに応じて、当該注文を成立させ(ステップ220)、注文を実行する(ステップ222)。注文の成立ステップ220や注文の実行ステップ222における具体的な処理は様々なものであることができ、例えば、サービス料の課金、お金の振り込み、商品(データ)のダウンロード、外部のサービスプロバイダに対する注文処理の命令、などであることができる。また、図2においては、ステップ220や222がステップ224や226より時間的に先に描かれているが、その順序に特に制限はなく、ステップ224と同時又はそれより後に実行されてもよい。
ステップ224は、サーバ装置(3)が、クライアント端末(2)から受信した応答メッセージの内容(すなわち注文を承認する旨の情報)を含んだ第二の確認メッセージをクライアント端末(1)へ送信するステップであり、図1のステップ107に相当する。ステップ126は、クライアント端末(1)が、第二の確認メッセージの内容(すなわちクライアント端末(2)で注文が承認された旨の情報)をそのディスプレイに表示するステップであり、図1のステップ108に相当する。
図2の場合においては、何らの改ざんもなかったため、注文は無事に成立し、実行される。
次に、情報の改ざんが発生する場合の例をいくつか紹介する。図3は、クライアント端末(1)が乗っ取られており、クライアント端末(1)に入力した注文の内容が改ざんされてサーバ装置(3)へ送信される場合の処理の流れを描いたものである。なお、図2の処理から変更がないステップについては、同じ符号を付し、説明を省略する。また、メッセージの内容のみに違いがある処理ステップについては、同じ数字に「'」を付けた符号を付し、それを示す。
図2の場合と図3の場合の大きな違いは、ユーザがクライアント端末(1)に対して注文操作を行った(ステップ204)後、攻撃者によって注文内容が改ざんされるステップ(ステップ302)があることである。これによって、注文内容は、ユーザが意図したものとは異なるものになってしまう。ステップ206'〜212'は、図2のステップ206〜212と同様の処理を表しているが、一点だけ異なる点があり、それは、注文メッセージ及び確認メッセージに含まれる注文の内容が、ユーザが意図したものとは異なる内容になっていることである。したがって、ステップ212'においてクライアント端末(2)に表示される注文の内容は、ユーザがクライアント端末(1)に入力した注文の内容とは異なっている。
ステップ214'は、図2のステップ214と同じく、ユーザがクライアント端末(2)に対して確認操作、すなわちクライアント端末(2)のディスプレイに表示された注文内容を承認するか否かの操作を行うステップである。図3の場合、図2の場合とは異なり、クライアント端末(2)に表示される注文の内容は正しくないものとなっているので、ユーザは、注文を却下する旨の入力操作を行う。
ステップ216'及び218'も、図2のステップ216及び218と同様の処理を表しているが、応答メッセージの内容が、注文を却下する旨の内容となっていることのみ、図2のステップ216及び218とは異なっている。ステップ220'では、サーバ装置(3)が、クライアント端末(2)から注文を却下する旨のメッセージを受信したことに応じて、当該注文を非成立とする。サーバ装置(3)は、注文が非成立となったことを伝えるメッセージを、クライアント端末(1)又は/及び(2)に送信するように構成されてもよい。ステップ224'及びステップ226'における処理も、確認メッセージの内容が注文を却下する旨であることを除き、図2のステップ224及び226における処理と同様である。
図3の場合においては、クライアント端末(1)に入力した注文の内容が改ざんされてサーバ装置(3)へ送信されるが、本実施例によれば、クライアント端末(2)においてサーバ装置(3)に送信された注文の内容を確認することができるため、不正な注文が成立・実行されることを防止することができる。
図4は、情報の改ざんが発生する別の例における処理の流れを描いた図である。図4の場合においては、クライアント端末(2)が乗っ取られており、クライアント端末(2)上でなされた確認入力の内容が改ざんされる。以下、図2や図3の場合と同じ処理が行われるステップについては同じ符合を付して説明を省略し、図4の場合における特徴的な部分に絞って説明を行う。
図4の場合の処理の流れは、サーバ装置(3)からクライアント端末(2)へと、注文の内容を含んだ確認メッセージが送信されるところ(ステップ210)までは、図2の場合と同様である。ところが、図4の場合は、クライアント端末(2)は、受信した確認メッセージの内容を改ざんし、注文の内容を書き換えてしまう。この改ざんは、例えば、攻撃者がクライアント端末(2)に忍び込ませたコンピュータウィルスやポッドなどによって行われうるであろう。このため、ステップ212'でクライアント端末(2)に表示される注文の内容は、ステップ204においてユーザがクライアント端末(1)に入力したものとは異なっている。そこで、ユーザは、図3の場合と同様、当該注文を承認しない旨の操作をクライアント端末(2)に対して行うため(ステップ214')、注文は成立しない(ステップ220')。
クライアント端末(2)が乗っ取られる場合、図2のステップ214で入力される確認操作の内容が改ざんされる場合もある。かかる場合を図5に描いた。
図5の例の場合、ユーザが、クライアント端末(2)に対して表示された注文を承認する旨の入力操作を行うところ(ステップ214)までは、図2の場合の処理と同様である。ところが図5の場合は、クライアント端末(2)が、ユーザに入力された情報を書き換えてしまい、「承認」であったものが「却下」に変更されてしまう。このため、ユーザの確認操作に応じてクライアント端末(2)が作成する応答メッセージには、図3のステップ216'と同様、注文を承認しない旨の情報が含められる。したがって、この場合も注文は成立しない。
図4や図5の例ではクライアント端末(2)が不正な攻撃者によって乗っ取られてしまっているが、それによって不正な注文が実行されるということは無い。
なお、図3〜図5の例のほかにも情報の改ざんが発生する場合があり、それは、ステップ224(224')において送信される確認メッセージの内容が、クライアント端末(1)において改ざんされる場合である。この場合、クライアント端末(1)に表示される確認情報は、ユーザがクライアント端末(2)に入力した承認内容とは異なっている可能性がある。しかしながら、図3〜5から理解できるように、たとえステップ224(224')において送信される確認メッセージの内容を改ざんしたとしても、サーバ装置(3)における処理には影響ないので、この改ざんによって不正な注文が実行されることはない。
このように、本実施例に係る電子商取引方式によれば、クライアント端末(1)又は(2)のいずれかが不正な攻撃者によって乗っ取られてしまっても、利用者の意図とは異なる注文が実行されることを防止することができる。
クライアント端末(1)は、ユーザが、電子商取引に係る様々な作業(例えば氏名住所やクレジットカード番号などの入力や、注文画面の閲覧及び注文内容の入力など)を行うために便利なように、大きなディスプレイやフルキーボード・マウスなどを備えたコンピュータ端末であることが好ましいであろう。またクライアント端末(2)は、注文の確認作業のみを行うことが出来ればよいので、処理能力の高いコンピュータ端末である必要はなく、例えば、携帯可能な小型の情報端末であることができる。もちろん、これらはただの例に過ぎず、本発明を実施するにあたり、クライアント端末(1)や(2)としてどのような装置を用いるかについては特に制限がないことはもちろんである。
サーバ装置(3)についても同様である。本実施例におけるサーバ装置(3)は電子商取引のためのサーバ装置として説明されたため、多数のクライアント装置との通信要求を処理することができ、注文処理や課金などの機能を備える比較的規模の大きなサーバ装置であるが、本発明の情報処理方式をもっと小規模な通信の目的に使用する場合、サーバ装置(3)が小型のサーバ装置であったり、ピアツーピア通信における端末の1台に過ぎなかったりする場合もあるだろう。いずれにせよ、本発明を実施するにあたり、サーバ装置(3)としてどのようなコンピュータ装置を用いるかについて、特に制限はない。当業者であれば、実施上の具体的な要求に応じて、適当な装置をサーバ装置またはクライアント端末として選択することができるであろう。
図6に、クライアント端末(1)又は(2)における改ざんパタンと、その際の注文の成否、並びに、ステップ212,212'でクライアント端末(2)に表示される、クライアント端末(1)における注文操作(ステップ204)の内容と、ステップ226,226'でクライアント端末(1)に表示される、クライアント端末(2)における承認操作(ステップ214,214')の内容との対応を表で示す。
ところで、図3の場合と図4の場合とを比較すると、前者は改ざんがクライアント端末(1)で発生し、後者はクライアント端末(2)で発生しているにも関わらず、ステップ212'以降の処理は、ユーザに提示される情報を含めて全く同じになっている。つまり、上述の実施例ではどちらのクライアント端末で改ざんが起こったのか、必ずしも特定できるわけではない。しかしながら、確認用の端末の数を2台以上にすると、改ざんが発生した端末を特定することができる場合が増える。そこで、次にそのような実施例につき、図7以降を用いて説明する。
図7は、第二実施例として紹介する電子商取引システム及び方法に登場する、要素及び処理の流れを説明するための図である。第二実施例の電子商取引システムは、3台のクライアント端末(クライアントa,クライアントb,クライアントc)と1台のサーバ装置またはシステム(S)から構成され、これらの要素の間で処理が実行される。図7に開かれるユーザ(U)は、図1に描かれていたユーザ(0)と同様に、クライアント端末(a)〜(c)を操作する者である。第一実施例の場合と同様、クライアント端末(a)〜(c)及びサーバ装置(S)は、いずれも、CPUやメモリ、通信装置などを備える汎用のコンピュータであることができる。したがって、本実施例に係る特徴的な情報処理は、コンピュータ・プログラムとCPUとの協働によってもたらされるソフトウェア処理によって実現されることができる。
各クライアント端末(a)〜(c)とサーバ装置(S)は、それぞれインターネット、イーサネット(登録商標)、移動通信ネットワークなどの手段によって接続され、通信を行うことができる。本実施例においても、クライアント端末(a)〜(c)同士は必ずしも直接通信することができなくとも構わない。クライアント端末(a)は、本実施例に係る電子商取引において、ユーザが注文を行うための端末として動作し、サーバ装置(S)は、当該注文を実行するためのコンピュータ装置として動作する。したがって、クライアント端末(a)は、第一実施例におけるクライアント端末(1)に対応し、サーバ装置(S)は、第一実施例におけるサーバ装置(3)に対応する。クライアント端末(b)及び(c)は、それぞれ第一実施例におけるクライアント端末(2)に対応する。つまり、本実施例に係る電子商取引システムは、第一実施例におけるクライアント端末(2)が2台用いられる構成となっている。
図7を参照しながら、第二実施例に係る電子商取引システム及び方法の処理の流れを簡単に説明する。
ステップ701及び702は第一実施例におけるステップ101及び102に対応しは、ユーザUがクライアント端末(a)を操作して電子商取引に係る注文を行い(ステップ701)、それを受けてクライアント端末(a)が、当該注文の内容を含むメッセージをサーバ装置(S)へ送信する(ステップ702)。注文メッセージを受けたサーバ装置(S)は、その注文内容を含んだ確認メッセージを二つ作成し、これをクライアント端末(b)及び(c)にそれぞれ送信する(ステップ703b,703c)。クライアント端末(b)及び(c)は、それぞれ受け取った確認メッセージの内容をそのディスプレイに表示し、ユーザUに内容を確認させる(ステップ704b、704c)。ユーザUは、それぞれの端末のディスプレイを見て注文の内容を確認し、それぞれの端末において、注文の内容を承認するか否かの操作を行う(ステップ705b,705c)。クライアント端末(b)及び(c)は、それぞれ、ユーザの承認操作の内容を含む応答メッセージをサーバ装置(S)へ送信する(ステップ706b,706c)。このように、クライアント端末が2台になっているために処理が二重になっていること以外は、ステップ703(b,c)〜ステップ706(b,c)は、第一実施例におけるステップ103〜106に対応するものである。
さて、サーバ装置(S)は、クライアント端末(b)及び(c)から受信した応答メッセージのいずれもが、注文を承認するものである場合に限り、当該注文を実行する。さらにサーバ装置(S)は、クライアント端末(b)及び(c)から受信した応答メッセージに含まれるユーザ承認操作の内容を、さらなる確認メッセージとしてクライアント端末(a)に送信する(ステップ707a)。またサーバ装置(S)は、クライアント端末(c)から受信した承認操作の内容をクライアント端末(b)へ、クライアント端末(b)から受信した承認操作の内容をクライアント端末(c)へ送信する(ステップ707b,707c)。各クライアント端末(a)〜(c)は、ユーザがその内容を見ることができるように、受信した承認操作の内容を各々のディスプレイに表示する(ステップ708a〜c)。
なお、図7では省略されているが、クライアント端末(a)〜(c)は、サーバ装置(S)と、それぞれ独立の認証情報を用いて、予め認証処理を完了させておく必要がある。すなわち、あるクライアント端末が乗っ取られたしまった場合においても、乗っ取られたクライアント端末の情報から他のクライアント端末の認証情報が取得できるようであってはならない。この点は第一実施例と同様である。
図7に描かれた電子商取引システムにおいて、データの改ざんが発生する可能性があるケースは、(1)クライアント端末(a)がステップ701でなされた注文入力の内容を改ざんする場合、(2)クライアントb又はcが、ステップ703b又は703cで受信した注文内容を改ざんする場合、(3)クライアント端末(b)又はcが、ステップ705b又は705cでなされた承認操作の内容を改ざんする場合、(4)クライアント端末(a)〜(c)のいずれかが、ステップ707a〜cで受信した承認操作の内容を改ざんする場合、の4種類がある。しかしながら、サーバ装置(S)は、クライアント端末(b)及び(c)の両方から注文を承認する旨のメッセージを受信しない限り注文を実行しないので、全てのクライアント端末が乗っ取られない限り、改ざんされた注文が実行されることはない。また、クライアント端末(a)でなされた注文操作を2台のクライアント端末(b)及び(c)で確認し、クライアント端末(b)及び(c)でなされた注文承認操作の内容を、2台のクライアント端末で再確認されるため、乗っ取られたクライアント端末の数が1台であれば、乗っ取られた端末を同定することが可能となる。
続いて、図8を用いて、第二実施例に係る電子商取引システムの処理の流れの一例を説明する。図8に描いた例は、第一実施例について図3に描いた場合と同様の場合における処理の流れを示したものである。すなわち、クライアント端末(a)が乗っ取られており、クライアント端末(a)がユーザの注文操作を改ざんしてサーバ装置(S)へ送信してしまう場合の処理の流れを図示したものである。
ステップ802a〜cは、クライアント端末(a)〜(c)とサーバ装置(S)との認証処理ステップを表している。前述のように、認証情報はクライアント端末ごとに独立のものが使用される。ステップ804はユーザがクライアント端末(a)を操作して注文のための入力をするステップであり、図7のステップ701に対応する。ステップ806は、入力された注文情報が改ざんされるステップを表しており、この改ざんは、例えば、攻撃者がクライアント端末(a)に潜りこませたコンピュータウィルスやボットなどによって行われる可能性がある。ステップ808において、クライアント端末(a)は、書き換えられた注文内容を含む注文メッセージを作成し、これをステップ810においてサーバ装置(S)へ送信する。つまりステップ810は、図7におけるステップ702に対応する。
注文メッセージを受け取ったサーバ装置(S)は、その注文の情報を含んだ確認メッセージを2通作成し、それぞれ、クライアント端末(b)及び(c)へ送信する(ステップ812b,c)。ステップ806において注文情報が改ざんされているため、これらの確認メッセージに含まれる注文情報は、ユーザがクライアント端末(a)に入力したものとは異なっている。したがって、ユーザは、クライアント端末(b)及び(c)において、その注文を承認しない。第一実施例について図3のステップ212'〜218'で説明した処理と同じ処理が、クライアント端末(b)及び(c)においてそれぞれ実行され(ステップ814b〜820b及びステップ814c〜820c)、その結果、サーバ装置(S)は、クライアント端末(b)及び(c)の両方から、注文を却下する旨の応答メッセージを受信する。そこでサーバ装置(S)は、当該注文を非成立とする旨の処理を行う。図8には描かれていないが、サーバ装置(S)は、注文が非成立となった旨を、クライアント端末(a)〜(c)のいずれかに伝達するように構成されていてもよい。このように、サーバが命令の成立又は非成立に関する情報をクライアントへ伝達する構成は、ユーザが使用している端末のいくつかが乗っ取られている場合において、ユーザの発した命令がサーバで実行されたか否かをユーザに正しく伝えることに役に立つ。
ステップ824aにおいて、サーバ装置(S)は、ステップ820b及びcにおいて受信した、クライアント端末(b)及び(c)における承認操作の内容を含むメッセージをクライアント端末(a)へ送信する。またサーバ装置(S)は、クライアント端末(c)における承認操作の内容を含むメッセージをクライアント端末(b)へ、クライアント端末(b)における承認操作の内容を含むメッセージをクライアント端末(c)へ送信する(ステップ824b,824c)。ステップ824a〜cで各クライアント端末に受信された確認メッセージの内容は、ステップ826a〜cにおいて、それぞれのクライアント端末のディスプレイに表示される。
次に、図9を用いて、第一実施例における図4に対応する事態が生じたときの、第二実施例における処理の流れを説明する。すなわち、クライアント端末(b)が乗っ取られており、サーバ装置(S)から受信した注文確認メッセージの内容を書き換えてしまう場合の処理の流れを説明する。なお、図8の処理から変更がないステップについては、同じ符号を付し、説明を省略する。また、メッセージの内容のみに違いがある処理ステップについては、同じ数字に「'」を付けた符号を付し、それを示す。
図9の場合においては、クライアント端末(a)における改ざんは発生しないものとする。したがって、図8のステップ808に対応するステップで作成される注文メッセージの内容は、ユーザが意図した通りのものとなっている(ステップ808')。そして、図8のステップ810,812b,812cに対応するステップ(810',812b',812c'で送信される注文メッセージや確認メッセージにも、正しい注文情報が格納されている。しかしながら本例では、クライアント端末(b)は、ステップ812'で受信した確認メッセージに含まれる注文情報を書き換えてしまう(ステップ813)。このためステップ814bでクライアント端末(b)が表示する注文情報は、ユーザの意図したものとは異なっており、ユーザは、その注文を承認しない旨の操作をするであろう(ステップ816b)。したがって、クライアント端末(b)は、図8の場合と同様、注文を承認しない旨の応答メッセージをサーバへ送信する(818b,820b)。
一方クライアント端末(c)では情報の改ざんが発生しないので、ステップ814c'でクライアント端末(c)のディスプレイに表示される注文情報は、ユーザの意図した通りのものとなっている。すると、ユーザは、その注文を承認する旨の操作をするであろう(ステップ816c')。したがって、クライアント端末(c)は、図9の場合とは異なり、注文を承認する旨の応答メッセージをサーバへ送信する(818c',820c')。
サーバ装置(S)は、クライアント端末(c)からは注文を承認する旨のメッセージを受信するものの、クライアント端末(b)からは注文を承認しない旨のメッセージを受信するので、図8の場合と同様、注文を成立させない旨の処理を行う(ステップ822)。そしてサーバ装置(S)は、次のステップにおいて、ステップ820b及び820c'で受信した応答メッセージの内容を、各クライアント端末へ送信する。クライアント端末(a)には、クライアント端末(b)では注文が承認されず、クライアント端末(c)では注文が承認された旨のメッセージが送信される(ステップ824a')。そして、クライアント端末(b)には、クライアント端末(c)では注文が承認された旨のメッセージが、クライアント端末(c)には、クライアント端末(b)では注文が承認されなかった旨のメッセージが送信される(ステップ824b',824c)。これらのメッセージの内容は、ステップ826a',826b',826cにおいて、それぞれの端末のディスプレイに表示され、ユーザはその内容を確認することができる。
第一実施例についての図3の場合と図4の場合とでは、クライアント端末(1)と(2)のどちらで情報の改ざんが起こっているか区別できなかった。しかし図8の場合と図9の場合とでは、クライアント端末(b)と(c)で表示される注文確認メッセージの内容が異なっているので、クライアント端末(b)で改ざんが発生したことを同定することができる。すなわち、乗っ取られた端末を特定することができる。
図10に、クライアント端末(a)〜(c)における改ざんパタンと、その際の注文の成否、並びに、クライアント端末(a)〜(c)における注文確認表示と承認操作確認表示の対応を、表で示す。いずれの場合においても、改ざんされた注文が実行されることは防がれていることが理解できる。
以上、本発明の好適な実施形態の例を図を用いて説明してきたが、これらの例は本発明をよく理解してもらうことを目的として挙げた例に過ぎず、本発明は、その範囲を逸脱することなく様々な実施形態をとることができる。
例えば、上に説明した実施形態ではクライアント端末の数が2台または3台であったが、クライアント端末の数はもっと多くても構わない。クライアント端末の数が多くとも、注文のための命令や処理のための煩わしい端末操作は一つの端末の操作で済み、他の端末においては確認操作のみ行なえばよいため、利用者の負荷は最小で済む。
また、本発明の実施形態は、注文等の命令入力用端末の数が1台である場合に制限されるものではなく、複数台であってもよい。すなわち、サーバ装置が複数の端末から命令を受信するような構成でもよい。例えば命令入力用端末の数が2台である場合は次のような構成を取ることができる。
サーバは、端末AとBからそれぞれ命令を受信した後、Aからの命令の内容をA以外の端末に送り(この際、Aにも送ることを排除するものではない)、Bからの命令の内容をB以外の端末に送る(同様に、Bにも送ることを排除するものではない)。その後、サーバは各端末からA,Bそれぞれの命令を了承するか否かの情報を受け取り(端末Aからは最低限Bの命令を了承するか否かの情報を受け取り、端末Bからは最低限Aの命令を了承するか否かの情報を受け取り、それ以外の端末からはA,Bの各命令を了承するか否かの情報を受け取り)、命令を実行するか否かの判定を行う。
本発明の実施形態には、秘密情報を乗っ取り端末に取られることなくサーバからユーザに伝えること、及び/又は、秘密情報を乗っ取り端末に取られることなくユーザからサーバに伝えることを可能とするような構成を有するものが含まれる。例えば、サーバからユーザに秘密情報を伝える際に当該秘密情報が乗っ取られた端末に盗まれることを防止するため、当該秘密情報を前記サーバもしくはそれと連携する別のサーバで分割し、その分割された各秘密情報を、秘密情報を復元することなく、クライアント端末を使ってユーザに提示することとしてもよい。あるいは、ユーザからサーバに秘密情報を伝える際に当該秘密情報が乗っ取られた端末に盗まれることを防止するため、当該秘密情報を利用者が予め分割し、その分割された各秘密情報を端末を使って当該秘密情報を復元することなくサーバに提示することとしてもよい。情報の分割には、例えば視覚復号型秘密分散方法(Visual Secret Sharing)を用いることが可能である。
本発明によれば、ある端末上で行った命令の内容をそれとは異なる別の端末で確認することにより、改ざんされた命令がサーバ(あるいはピーア)で実行されることを防止することができる。端末の数をn台として攻撃者がn−1台乗っ取ったとしても、不正な命令や処理をサーバで実行することを防止することが可能である。本発明では、ユーザが複数の独立した複数の端末を利用しなければならないため、従来であれば実用化に多少無理があったかもしれないが、現在では端末の小型化や低価格化が進み、いわゆるユビキタス時代の到来により、今後は一人のユーザが複数の端末を利用する方が主流となる可能性が高い。従って、本発明を実用化することに問題は生じないであろう。
今後、ますます多くの情報がネットワークを通じてやりとりされ、端末を通じてサーバに様々な処理を実行させるサービスが増えてくるものと予想される。本発明によれば、ユーザの意図が改ざんされて実行されることを防止することができるため、その有用性は極めて高いものと考えられる。特に、電子商取引、オンライントレード、ネットオークションなど、金銭のからむ重要な取引を処理するためには、非常に適した発明であるといえる。
第一実施例として紹介する情報処理システム及び方法に登場する要素及び処理の流れを説明するための図である。 第一実施例において、改ざんがない場合の処理の流れを描いた図である。 第一実施例において、クライアント端末(1)で改ざんが発生する場合の処理の流れを描いた図である。 第一実施例において、クライアント端末(2)で改ざんが発生する場合の処理の流れを描いた図である。 第一実施例において、クライアント端末(2)で別の改ざんが発生する場合の処理の流れを描いた図である。 第一実施例において、クライアント端末(1)又は(2)における改ざんパタンとその際の注文の成否、並びにクライアント端末における表示内容の対応をまとめた表である。 第二実施例として紹介する情報処理システム及び方法に登場する要素及び処理の流れを説明するための図である。 第二実施例において、クライアント端末(a)で改ざんが発生する場合の処理の流れを描いた図である。 第二実施例において、クライアント端末(b)で改ざんが発生する場合の処理の流れを描いた図である。 第二実施例において、各クライアント端末における改ざんパタンとその際の注文の成否、並びに各クライアント端末における表示内容の対応をまとめた表である。

Claims (22)

  1. 複数の異なる端末と通信しうるサーバにおける情報処理方法であって、
    前記複数の端末の各々を、それぞれ互いに独立の認証情報を用いて認証するステップと、
    前記複数の端末のうち少なくとも1台の端末から、命令を受信するステップと、
    前記複数の端末のうち、前記命令を送信してきた端末以外の2台以上の端末へ、前記命令の内容を含んだ第一の確認メッセージを送信するステップと、
    前記第一の確認メッセージを受信した全ての端末から、それぞれ応答メッセージを受信するステップと、
    前記受信した命令と、前記受信した全ての応答メッセージのパタンに応じて前記命令を実行するか否かを判定するステップと、
    前記複数の端末のうちのある端末から受信した前記応答メッセージの内容を含んだ第二の確認メッセージを、前記複数の端末のうち、前記ある端末とは異なる端末全てに送信するステップと、
    を含む、方法。
  2. 前記判定ステップの結果に関する情報を含むメッセージを前記複数の端末の少なくともいずれかに送信するステップを含む、請求項1記載の方法。
  3. 前記受信した全ての応答メッセージが、前記命令の実行を承認するものである場合に限り、前記命令を実行する判定する、請求項1又は2に記載の方法。
  4. 前記受信した命令と、前記受信した応答メッセージにおいて承認された命令が全て一致する場合に限り、前記命令を実行すると判定する、請求項1から3のいずれかに記載の方法。
  5. 同じ意味の命令を送信した端末の数とそれを承認するメッセージを送信した端末の数の合計が、乗っ取られていると考えられる端末の数を超えるか、前記認証ステップにおいて認証された端末の数の過半数を超える場合に限り、前記命令を実行すると判定する、請求項1から4のいずれかに記載の方法。
  6. 前記命令は、電子商取引における注文、電子投票における投票、電子入札における入札、アンケートの投函、のいずれかに関するものである、請求項1から5のいずれかに記載の方法。
  7. 秘密情報を前記サーバもしくはそれと連携する別のサーバで分割し、その分割された各秘密情報を、復元することなくユーザに提示すべく、前記端末へ送信するステップをさらに含む、請求項1から6のいずれかに記載の方法。
  8. ユーザによって分割された秘密情報の各部分を前記端末から受信するステップであって、ここで前記秘密情報は、復元されることなく前記サーバに提示される、請求項1から7のいずれかに記載の方法。
  9. 前記情報の分割方法は、視覚復号型秘密分散方法(Visual Secret Sharing)である、請求項またはに記載の方法。
  10. コンピュータのCPUで実行されるとき、前記コンピュータに請求項1からのいずれかに記載の方法を実行させる、コンピュータ・プログラム。
  11. 請求項10に記載のコンピュータ・プログラムを格納する、コンピュータ読み取り可能な記憶媒体。
  12. 複数の異なる端末と通信しうるサーバ装置であって、
    前記複数の端末の各々を、それぞれ互いに独立の認証情報を用いて認証する手段と、
    前記複数の端末のうち少なくとも1台の端末から、命令を受信する手段と、
    前記複数の端末のうち、前記命令を送信してきた端末以外の2台以上の端末へ、前記命令の内容を含んだ第一の確認メッセージを送信する手段と、
    前記第一の確認メッセージを受信した全ての端末から、それぞれ応答メッセージを受信する手段と、
    前記受信した命令と、前記受信した全ての応答メッセージのパタンに応じて前記命令を実行するか否かを判定する手段と、
    前記複数の端末のうちのある端末から受信した前記応答メッセージの内容を含んだ第二の確認メッセージを、前記複数の端末のうち、前記ある端末とは異なる端末全てに送信する手段と、
    を備える、サーバ装置。
  13. 前記判定ステップの結果に関する情報を含むメッセージを前記複数の端末の少なくともいずれかに送信するように構成される、請求項12に記載のサーバ装置。
  14. 前記受信した全ての応答メッセージが、前記命令の実行を承認するものである場合に限り、前記命令を実行する判定するように構成される、請求項12又は13記載のサーバ装置。
  15. 前記受信した命令と、前記受信した応答メッセージにおいて承認された命令が全て一致する場合に限り、前記命令を実行すると判定するように構成される、請求項12から14のいずれかに記載のサーバ装置。
  16. 同じ意味の命令を送信した端末の数とそれを承認するメッセージを送信した端末の数の合計が、乗っ取られていると考えられる端末の数を超えるか、前記認証ステップにおいて認証された端末の数の過半数を超える場合に限り、前記命令を実行すると判定するように構成される、請求項12に記載のサーバ装置。
  17. 前記命令は、電子商取引における注文、電子投票における投票、電子入札における入札、アンケートの投函、のいずれかに関するものである、請求項12から16のいずれかに記載のサーバ装置。
  18. 秘密情報を前記サーバもしくはそれと連携する別のサーバで分割し、その分割された各秘密情報を、復元することなくユーザに提示すべく、前記端末へ送信するように構成される、請求項12から17のいずれかに記載のサーバ装置。
  19. ユーザによって分割された秘密情報の各部分を前記端末から受信するように構成され、ここで前記秘密情報は、復元されることなく前記サーバに提示される、請求項12から17のいずれかに記載のサーバ装置。
  20. 前記情報の分割方法は、視覚復号型秘密分散方法(Visual Secret Sharing)である、請求項18又は19に記載のサーバ装置。
  21. 請求項12から20のいずれかに記載のサーバ装置から、前記第一の確認メッセージ及び前記第二の確認メッセージを受信しうるように構成されると共に、該サーバ装置へ前記応答メッセージを送信しうるように構成される、端末。
  22. 請求項21に記載の端末を複数台と、請求項12から20のいずれかに記載のサーバ装置とを含む、システム。
JP2008230969A 2008-09-09 2008-09-09 複数の端末を用いた改ざん命令実行防止技術 Active JP5120951B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008230969A JP5120951B2 (ja) 2008-09-09 2008-09-09 複数の端末を用いた改ざん命令実行防止技術

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008230969A JP5120951B2 (ja) 2008-09-09 2008-09-09 複数の端末を用いた改ざん命令実行防止技術

Publications (2)

Publication Number Publication Date
JP2010066886A JP2010066886A (ja) 2010-03-25
JP5120951B2 true JP5120951B2 (ja) 2013-01-16

Family

ID=42192439

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008230969A Active JP5120951B2 (ja) 2008-09-09 2008-09-09 複数の端末を用いた改ざん命令実行防止技術

Country Status (1)

Country Link
JP (1) JP5120951B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105450583B (zh) 2014-07-03 2019-07-05 阿里巴巴集团控股有限公司 一种信息认证的方法及装置
CN105719183A (zh) 2014-12-03 2016-06-29 阿里巴巴集团控股有限公司 定向转账方法及其装置
CN108734371A (zh) 2018-02-12 2018-11-02 阿里巴巴集团控股有限公司 一种针对风控指令的处理方法、装置及设备
CN108563681B (zh) 2018-03-07 2021-02-02 创新先进技术有限公司 一种内容推荐方法、装置、电子设备及系统
CN108632348B (zh) 2018-03-19 2020-02-18 阿里巴巴集团控股有限公司 一种业务校验方法和装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003168000A (ja) * 2001-12-03 2003-06-13 Fujitsu Ltd 承認処理方法
JP2005216013A (ja) * 2004-01-29 2005-08-11 Applicore Corp 業務統合管理システム
JP4778361B2 (ja) * 2006-05-19 2011-09-21 日立オムロンターミナルソリューションズ株式会社 認証装置及び認証システム及び認証装置の装置確認方法
JP2007316959A (ja) * 2006-05-26 2007-12-06 Hitachi Omron Terminal Solutions Corp 振り込み方法
JP2007334680A (ja) * 2006-06-15 2007-12-27 Oki Electric Ind Co Ltd 営業店端末および営業店システム
JP4583424B2 (ja) * 2007-09-10 2010-11-17 エヌ・ティ・ティ・コミュニケーションズ株式会社 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム

Also Published As

Publication number Publication date
JP2010066886A (ja) 2010-03-25

Similar Documents

Publication Publication Date Title
US9838205B2 (en) Network authentication method for secure electronic transactions
US9231925B1 (en) Network authentication method for secure electronic transactions
CA2736582C (en) Authorization of server operations
KR101904177B1 (ko) 데이터 처리 방법 및 장치
JP6012125B2 (ja) 問い合わせ型トランザクションによる強化された2chk認証セキュリティ
JP6105721B2 (ja) 企業トリガ式2chk関連付けの起動
EP2385679B1 (en) Locally stored phishing countermeasure
CN102546171B (zh) 用于安全元件认证的方法
US10397008B2 (en) Management of secret data items used for server authentication
CN101221641B (zh) 一种联机交易的安全确认设备及联机交易方法
US20120240203A1 (en) Method and apparatus for enhancing online transaction security via secondary confirmation
JP5120951B2 (ja) 複数の端末を用いた改ざん命令実行防止技術
JP2010505334A (ja) 安全なオンライン取引を容易にするシステム及び方法
CN108886524B (zh) 保护远程认证
US11985254B2 (en) Threshold multi-party computation with must-have member
Kiljan et al. What you enter is what you sign: Input integrity in an online banking environment
KR20190050159A (ko) 통신 구간 보안 상태 제공 방법 및 장치
WO2017063545A1 (zh) 与交易数据有关的身份信息输入方法及系统
WO2024210736A1 (en) An authentication protocol for establishing a momentary trust zone during a login and operation procedure
CN114240435A (zh) 一种支付数据防篡改的数据校验系统及方法
CN114003892A (zh) 可信认证方法、安全认证设备及用户终端
Janiszyn BCERT: Securing Electronic Commerce Using A Biometric Secured Token
D’Alessandro et al. A Mechanism for e-Banking Frauds Prevention and User Privacy Protection
CN107925653A (zh) 用于安全传输其中数据的电信系统以及与该电信系统相关联的设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100304

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120528

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120604

RD05 Notification of revocation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7425

Effective date: 20120618

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120814

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120919

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121016

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121018

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151102

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5120951

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250