JP2009187140A - Access control device, access control method, and program - Google Patents

Access control device, access control method, and program Download PDF

Info

Publication number
JP2009187140A
JP2009187140A JP2008024508A JP2008024508A JP2009187140A JP 2009187140 A JP2009187140 A JP 2009187140A JP 2008024508 A JP2008024508 A JP 2008024508A JP 2008024508 A JP2008024508 A JP 2008024508A JP 2009187140 A JP2009187140 A JP 2009187140A
Authority
JP
Japan
Prior art keywords
key
attribute
bit
user
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008024508A
Other languages
Japanese (ja)
Other versions
JP4891933B2 (en
Inventor
Kazuhide Fukushima
和英 福島
Shinsaku Kiyomoto
晋作 清本
Toshiaki Tanaka
俊昭 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2008024508A priority Critical patent/JP4891933B2/en
Publication of JP2009187140A publication Critical patent/JP2009187140A/en
Application granted granted Critical
Publication of JP4891933B2 publication Critical patent/JP4891933B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To achieve flexible access control by giving one attribute key to each user. <P>SOLUTION: The attribute information of a user is processed with a secret key, to generate one attribute key. The generated attribute key is transmitted to the user in advance. A condition index designating a conditional formula for access control is generated, and specific data are encrypted with information acquired by combining a prepared key with the generated conditional index, and information acquired by combining the prepared key with the condition index designating the conditional formula for access control is encrypted with a public key. When accessing the specific data, the attribute key is received from the user, and the matching between the conditional index and the received attribute key is determined, and when the matching between the conditional index with the attribute key is successful, the encrypted information is decrypted, and the decrypted key is output. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、特定のデータに対するアクセス制御をオフラインで実行するアクセス制御装置、アクセス制御方法およびプログラムに関する。   The present invention relates to an access control apparatus, an access control method, and a program that execute access control for specific data offline.

近年、コンピュータやネットワーク技術の発達、あるいはそれらを利用した情報サービスの発展に伴い、様々な情報セキュリティー技術が実現されている。この情報セキュリティーを実現する技術の1つとして、アクセス制御がある。アクセス制御とは、各ユーザに対して、オブジェクトへのアクセスの許可あるいは不許可を規定する機能をいい、一般に、ユーザ認証などにより識別された主体から要求されたコンピュータ資源へのアクセスを、予め設定されたアクセス制御リストを用いて許可するか禁止するかの制御を行う技術などがある。こうしたアクセス制御技術を利用することにより、特定個人/特定端末の関係において特定資源の利用だけを許可するという情報セキュリティーが実現され、悪意を持った様々な不正アクセスからコンピュータ資源を保護することができる。   In recent years, various information security technologies have been realized along with the development of computer and network technologies or the development of information services using them. One technique for realizing this information security is access control. Access control is a function that regulates permission or disapproval of access to an object for each user. Generally, access to a computer resource requested by a subject identified by user authentication or the like is set in advance. For example, there is a technique for controlling whether to permit or prohibit using the access control list. By using such an access control technology, information security that allows only specific resources to be used in a specific individual / specific terminal relationship is realized, and computer resources can be protected from various malicious unauthorized access. .

また、アクセス制御には、オンラインでアクセス制御を実行するオンラインアクセス制御と、オフラインでアクセス制御を実行するオフラインアクセス制御とがある。ここで、オフラインアクセス制御を実現する1つの方法として、オブジェクトを暗号化し、アクセスが許可されたユーザに対してのみ鍵を配付する方法がある。例えば、Role−Based
Access Control (RBAC)を暗号化により実現する場合は、それぞれの役割(role)に対して、1つの鍵を割り当てる必要がある。 The access control includes online access control for executing access control online and offline access control for executing access control offline. Here, as one method for realizing offline access control, there is a method in which an object is encrypted and a key is distributed only to a user permitted to access. For example, Role-Based
When the access control (RBAC) is realized by encryption, it is necessary to assign one key to each role.

さらに、検索可能な暗号化データベースを実現する技術として非特許文献1に記載された技術が知られている。この技術では、条件式P∈Φに対応するトークンを持つ利用者が、P(I)=1なる対象インデックスIを付加した暗号化メッセージMを検索し、復号できる。この方式は,Hidden
Vector Encryption(HVE)と呼ばれ、ペアリングを用いて実現されている。 Furthermore, a technique described in Non-Patent Document 1 is known as a technique for realizing a searchable encrypted database. In this technique, a user having a token corresponding to the conditional expression PεΦ can search and decrypt the encrypted message M to which the target index I with P (I) = 1 is added. This method is Hidden
It is called Vector Encryption (HVE) and is realized using pairing.

HVE を用いた暗号化処理、トークンの発行処理および復号処理は、下記の通り行なう。つまり、メッセージ作成者は、対象インデックスI2Zlmを付加したメッセージMを公開鍵で暗号化し、暗号文Cを得る。また、検索インデックスIσ2Zlσ鍵で処理し、トークンTKIσを発行する。トークンTKIσを持つ利用者は、PHVE3/4(I) = 1なる対象インデックスIが付加されたメッセージMを復号できる。 The encryption processing, token issue processing, and decryption processing using HVE are performed as follows. That is, the message creator encrypts the message M with the target index I2Z lm added with the public key, and obtains the ciphertext C. Further , processing is performed with the search index Iσ2Z key, and a token TKI σ is issued. The user having the token TKI σ can decrypt the message M to which the target index I of PHVE 3/4 (I) = 1 is added.

以下に、HVEで用いられるプリミティブを示す。
(1) Setup(λ)
入力セキュリティパラメータに対し、公開鍵PKおよび秘密鍵SKの鍵ペアを返す関数。
(2) Encrypt(PK、I、M)
公開鍵PKを用いて、入力された対象インデックスおよびデータのペア(I、M)に対し、暗号文Cを出力する関数。
(3) GenToken(SK、 [I])
秘密鍵SKを用いて、入力された検索インデックスIに対し,トークンTKIを出力する関数。
(4) Query(TK、C)
入力された暗号文C、トークンTKIに対し、IがIにマッチ(PHVE3/4(I) = 1)すれば、データMを復号、P(I)=0であれば、復号失敗を意味する⊥を出力する。
D. Boneh and b. Waters、 ”Conjunctive、 Subset、and Range Queries on Encrypted Data、“ Proc. of TCC 2007、LNCS 4392、 pp.535−554、 2007。 The primitives used in HVE are shown below.
(1) Setup (λ)
A function that returns a key pair of a public key PK and a secret key SK for an input security parameter.
(2) Encrypt (PK, I, M)
A function that outputs a ciphertext C for the input target index and data pair (I, M) using the public key PK.
(3) GenToken (SK, [I * ])
A function that outputs a token TKI * for the input search index I * using the secret key SK.
(4) Query (TK, C)
For the input ciphertext C and token TKI * , if I * matches I (PHVE 3/4 (I) = 1), data M is decrypted, and if P (I) = 0, decryption fails Output ⊥ which means
D. Boneh and b. Waters, “Conjunctive, Subset, and Range Queries on Encrypted Data,“ Proc. Of TCC 2007, LNCS 4392, pp. 535-554.

しかしながら、上述のオブジェクトを暗号化し、アクセスが許可されたユーザに対してのみ鍵を配付する方法では、複数の役割を付与された利用者は、複数の鍵を保持することが必要になり、鍵の管理が煩雑になるという問題がある。また、非特許文献1に記載の技術は、オフラインアクセス制御では、条件式に基づき、特定のサブジェクトに特定の鍵を復号させることが必要であり、対象インデックスに特定の値を指定するHVE
をそのまま用いることはできないという問題がある。 However, in the method of encrypting the above-described object and distributing the key only to users who are permitted to access, a user who has been given multiple roles needs to hold multiple keys. There is a problem that management of the system becomes complicated. The technology described in Non-Patent Document 1 requires that a specific key be decrypted by a specific subject based on a conditional expression in offline access control, and a HVE that designates a specific value as a target index.
There is a problem that cannot be used as it is.

そこで、本発明は、上述の課題に鑑みてなされたものであり、各利用者が保持するトークン(属性鍵)を1個とし、柔軟なアクセス制御を可能とするアクセス制御装置、アクセス制御方法およびプログラムを提供することを目的とする。   Accordingly, the present invention has been made in view of the above-described problems, and an access control apparatus, an access control method, and an access control apparatus that allow flexible access control with one token (attribute key) held by each user. The purpose is to provide a program.

本発明は、上記の課題を解決するために、以下の事項を提案している。   The present invention proposes the following matters in order to solve the above problems.

(1)本発明は、特定のデータに対するアクセス制御をオフラインで実行するアクセス制御装置であって、ユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する属性鍵生成手段と、該生成した属性鍵を予め前記ユーザに送信する送信手段と、アクセス制御における条件式を指定した条件インデックスを生成する条件インデックス生成手段と、前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報とで暗号化するデータ暗号化手段と、予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する情報暗号化手段と、特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する受信手段と、前記条件インデックスと該受信した属性鍵とのマッチング判定を行う判定手段と、該判定手段により、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記情報暗号化手段により暗号化された情報を復号して、復号化鍵を出力する復号化鍵出力手段と、を備えたことを特徴とするアクセス制御装置を提案している。   (1) The present invention is an access control device that executes access control for specific data offline, and processes attribute information of a user with a secret key to generate one attribute key; Transmitting means for transmitting the generated attribute key to the user in advance, Condition index generating means for generating a condition index specifying a conditional expression in access control, a key prepared in advance for the specific data, and the generated condition index Data encryption means for encrypting with the combined information, information encryption means for encrypting information combined with a key prepared in advance and a condition index specifying a conditional expression for access control with a public key, and specifying Receiving means for receiving the attribute key from a user when accessing the data, the condition index and the received attribute key A determination unit for performing a matching determination; and when the matching between the condition index and the attribute key is recognized by the determination unit, the information encrypted by the information encryption unit is decrypted and a decryption key is output. And a decryption key output means for providing an access control device.

この発明によれば、属性鍵生成手段は、ユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する。送信手段は、生成した属性鍵を予めユーザに送信する。条件インデックス生成手段は、アクセス制御における条件式を指定した条件インデックスを生成する。データ暗号化手段は、特定のデータを予め用意した鍵と生成した条件インデックスとを結合した情報とで暗号化する。情報暗号化手段は、予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する。受信手段は、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信する。判定手段は、条件インデックスと受信した属性鍵とのマッチング判定を行う。復号化鍵出力手段は、判定手段により、条件インデックスと属性鍵とのマッチングが認められたときに、情報暗号化手段により暗号化された情報を復号して、復号化鍵を出力する。したがって、利用者の属性が複数ある場合でも、各利用者が保持する属性鍵を1個とし、特定のデータに対するアクセス制御をオフラインで実行することができる。   According to the present invention, the attribute key generating means generates one attribute key by processing the user attribute information with the secret key. The transmission unit transmits the generated attribute key to the user in advance. The condition index generating means generates a condition index specifying a conditional expression in access control. The data encryption means encrypts specific data with information obtained by combining a key prepared in advance and the generated condition index. The information encryption means encrypts information obtained by combining a key prepared in advance and a condition index specifying a conditional expression in access control with a public key. The receiving means receives an attribute key from the user when accessing specific data. The determination unit performs matching determination between the condition index and the received attribute key. The decryption key output means decrypts the information encrypted by the information encryption means and outputs the decryption key when the determination means recognizes the matching between the condition index and the attribute key. Therefore, even when there are a plurality of user attributes, one attribute key held by each user can be used and access control for specific data can be executed offline.

(2)本発明は、(1)のアクセス制御装置について、各属性が、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、前記ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされ、前記ユーザの属性情報が、前記各属性のビット列を結合した情報であり、複数の属性を有するユーザに対して、アクセス条件に合致する単一の属性によりアクセス制御を行う場合に、前記条件インデックス生成手段が、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットおよびアクセス制御に用いない属性のビット列を1で表わし、それ以外のビットを0で表わして、条件インデックスを生成することを特徴とするアクセス制御装置を提案している。   (2) In the access control device according to (1), each attribute includes a bit string expressing an integer value of 1 or more and m or less in m bits, and corresponds to the attribute of the user among the m bits. The bit is 1 and the non-corresponding bit is represented by a symbol representing an arbitrary character string, and the attribute information of the user is information obtained by combining the bit strings of the attributes, and is accessed for a user having a plurality of attributes. When performing access control with a single attribute that matches a condition, the condition index generation means combines the bit strings of the plurality of attributes, and sets a bit string that matches the access condition and a bit string of an attribute that is not used for access control. An access control apparatus is proposed which is characterized by generating a conditional index represented by 1 and other bits represented by 0.

この発明によれば、各属性が、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされ、ユーザの属性情報が、各属性のビット列を結合した情報であり、複数の属性を有するユーザに対して、アクセス条件に合致する単一の属性によりアクセス制御を行う場合に、条件インデックス生成手段が、複数の属性のビット列を結合し、アクセス条件に合致するビットおよびアクセス制御に用いない属性のビット列を1で表わし、それ以外のビットを0で表わして、条件インデックスを生成する。したがって、所属や職位といった複数の属性を有するユーザについて、1の属性がアクセス条件に合致する場合に、他の属性にかかわらず、復号鍵を与えるアクセス制御をオフラインで実行できる。   According to the present invention, each attribute is composed of a bit string that expresses an integer value of 1 or more and m or less in m bits. Among m bits, a bit corresponding to a user attribute is 1, and a non-corresponding bit is an arbitrary character string. When the user attribute information is information that combines the bit strings of each attribute and access control is performed for a user having multiple attributes with a single attribute that matches the access conditions. In addition, the condition index generation means combines a plurality of bit strings of attributes, represents a bit that matches the access condition and a bit string of an attribute that is not used for access control by 1 and other bits are represented by 0, and the condition index is Generate. Therefore, for a user having a plurality of attributes such as affiliation and job title, when one attribute matches the access condition, access control that provides a decryption key can be executed offline regardless of other attributes.

(3)本発明は、(1)のアクセス制御装置について、各属性が、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、前記ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされ、前記ユーザの属性情報が、前記各属性のビット列を結合した情報であり、複数の属性を有するユーザに対して、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、前記条件インデックス生成手段が、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わして、条件インデックスを生成することを特徴とするアクセス制御装置を提案している。   (3) In the access control device according to (1), each attribute includes a bit string that represents an integer value of 1 to m in m bits, and corresponds to the user attribute among the m bits. The bit is 1 and the non-corresponding bit is represented by a symbol representing an arbitrary character string, and the attribute information of the user is information obtained by combining the bit strings of the attributes, and is accessed for a user having a plurality of attributes. When performing access control with a plurality of attributes connected by an AND operator that matches a condition, the condition index generation means combines the bit strings of the plurality of attributes, and represents a bit that matches the access condition as 1. The access control device is characterized in that the other bits are represented by 0 and a conditional index is generated.

この発明によれば、各属性が、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされ、ユーザの属性情報が、各属性のビット列を結合した情報であり、複数の属性を有するユーザに対して、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、条件インデックス生成手段が、複数の属性のビット列を結合し、アクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わして、条件インデックスを生成する。したがって、所属や職位といった複数の属性を有するユーザについて、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、アクセス条件に合致するユーザのみに、復号鍵を与えるアクセス制御をオフラインで実行できる。   According to the present invention, each attribute is composed of a bit string that expresses an integer value of 1 or more and m or less in m bits. Among m bits, a bit corresponding to a user attribute is 1, and a non-corresponding bit is an arbitrary character string. The attribute information of the user is information obtained by combining the bit strings of the respective attributes, and a plurality of attributes combined with an AND operator that matches the access condition for a user having a plurality of attributes. When performing the access control according to the above, the conditional index generating means combines the bit strings having a plurality of attributes, represents the bit matching the access condition as 1 and represents the other bits as 0 to generate the conditional index. Therefore, for users with multiple attributes such as affiliation and job title, when access control is performed using multiple attributes combined with an AND operator that matches the access conditions, a decryption key is given only to the users that match the access conditions Access control can be performed offline.

(4)本発明は、(1)のアクセス制御装置について、各属性が、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、前記ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされ、前記ユーザの属性情報が、前記各属性のビット列を結合した情報であり、複数の属性を有するユーザに対して、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、前記条件インデックス生成手段が、前記複数の属性のビット列を結合し、前記OR演算子で結合されたそれぞれの属性に対して、1の属性についてアクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わす複数の条件インデックスを生成することを特徴とするアクセス制御装置を提案している。   (4) In the access control device according to (1), each attribute includes a bit string that expresses an integer value of 1 or more and m or less in m bits, and corresponds to the attribute of the user among the m bits. The bit is 1 and the non-corresponding bit is represented by a symbol representing an arbitrary character string, and the attribute information of the user is information obtained by combining the bit strings of the attributes, and is accessed for a user having a plurality of attributes. When performing access control with a plurality of attributes combined with an OR operator that matches a condition, the condition index generation means combines the bit strings of the plurality of attributes, and each attribute combined with the OR operator. On the other hand, a plurality of condition indexes are generated, in which a bit that matches an access condition for one attribute is represented by 1 and other bits are represented by 0. It has proposed a scan controller.

この発明によれば、各属性が、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされ、ユーザの属性情報が、各属性のビット列を結合した情報であり、複数の属性を有するユーザに対して、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、条件インデックス生成手段が、複数の属性のビット列を結合し、OR演算子で結合されたそれぞれの属性に対して、1の属性についてアクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わす複数の条件インデックスを生成する。したがって、所属や職位といった複数の属性を有するユーザについて、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、アクセス条件に合致するユーザのみに、復号鍵を与えるアクセス制御をオフラインで実行できる。   According to the present invention, each attribute is composed of a bit string that expresses an integer value of 1 or more and m or less in m bits. Among m bits, a bit corresponding to a user attribute is 1, and a bit not corresponding is an arbitrary character string The attribute information of the user is information obtained by combining the bit strings of each attribute, and a plurality of attributes combined with an OR operator that matches the access condition for a user having a plurality of attributes. When the access control is performed by the condition index, the condition index generation unit combines the bit strings of the plurality of attributes, and for each attribute combined by the OR operator, the bit that matches the access condition for one attribute is set to 1. A plurality of conditional indexes are generated, and other bits are represented by 0. Therefore, for users who have multiple attributes such as affiliation and job title, when performing access control with multiple attributes combined with an OR operator that matches the access conditions, a decryption key is given only to the users that match the access conditions Access control can be performed offline.

(5)本発明は、特定のデータに対するアクセス制御をオフラインで実行するアクセス制御方法であって、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、該生成した属性鍵を予め前記ユーザに送信する第2のステップと、複数の属性を有するユーザに対して、アクセス条件に合致する単一の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットおよびアクセス制御に用いない属性のビット列を1で表わし、それ以外のビットを0で表わして、条件インデックスを生成する第3のステップと、前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、を実行することを特徴とするアクセス制御方法を提案している。   (5) The present invention is an access control method for executing access control for specific data offline, comprising a bit string expressing an integer value of 1 or more and m or less in m bits, out of the m bits. The attribute information of the user in which the bit corresponding to the attribute is 1 and the bit string corresponding to the attribute is represented by a symbol representing an arbitrary character string is combined with the secret key to generate one attribute key. A first step, a second step of transmitting the generated attribute key to the user in advance, and access control for a user having a plurality of attributes with a single attribute that matches the access conditions The bit strings of the plurality of attributes are combined, the bit that matches the access condition and the bit string of the attribute that is not used for access control are represented by 1, and the other bits are represented by 0 A third step of generating a conditional index, a fourth step of encrypting the specific data with information prepared by combining the key prepared in advance with the generated conditional index, and preparing the specific data in advance A fifth step of encrypting information obtained by combining the key and a conditional index specifying a conditional expression in access control with a public key, and a sixth step of receiving the attribute key from a user when accessing specific data And a seventh step of performing a matching determination between the conditional index and the received attribute key, and when the matching between the conditional index and the attribute key is recognized by the seventh step, the fifth step And performing an eighth step of decrypting the information encrypted in the step and outputting the decryption key. It has proposed a control method.

この発明によれば、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成し、生成した属性鍵を予めユーザに送信する。次に、複数の属性を有するユーザに対して、アクセス条件に合致する単一の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットおよびアクセス制御に用いない属性のビット列を1で表わし、それ以外のビットを0で表わして、条件インデックスを生成し、特定のデータを予め用意した鍵と生成した条件インデックスとを結合した情報で暗号化する。また、特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する。そして、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信し、条件インデックスと該受信した属性鍵とのマッチング判定を行って、条件インデックスと属性鍵とのマッチングが認められたときに、暗号化された情報を復号して、復号化鍵を出力する。したがって、所属や職位といった複数の属性を有するユーザについて、1の属性がアクセス条件に合致する場合に、他の属性にかかわらず、復号鍵を与えるアクセス制御をオフラインで実行できる。   According to the present invention, it consists of a bit string that represents an integer value of 1 or more and m or less in m bits. Of the m bits, the bit corresponding to the user attribute is 1 and the non-corresponding bit is a symbol representing an arbitrary character string. The attribute information of the user that combines the bit strings of each attribute represented is processed with the secret key to generate one attribute key, and the generated attribute key is transmitted to the user in advance. Next, when access control is performed for a user having a plurality of attributes using a single attribute that matches the access condition, the bit string and the access control that match the access condition are combined by combining bit strings of the plurality of attributes. A bit string of an attribute not used in the above is represented by 1 and other bits are represented by 0 to generate a conditional index, and specific data is encrypted with information obtained by combining a key prepared in advance and the generated conditional index. Also, information obtained by combining a key prepared in advance with specific data and a condition index specifying a conditional expression for access control is encrypted with a public key. When accessing specific data, the attribute key is received from the user, the matching between the condition index and the received attribute key is performed, and the encryption is performed when the matching between the condition index and the attribute key is recognized. The decrypted information is decrypted and a decryption key is output. Therefore, for a user having a plurality of attributes such as affiliation and job title, when one attribute matches the access condition, access control that provides a decryption key can be executed offline regardless of other attributes.

(6)本発明は、特定のデータに対するアクセス制御をオフラインで実行するアクセス制御方法であって、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、該生成した属性鍵を予め前記ユーザに送信する第2のステップと、複数の属性を有するユーザに対して、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わして、条件インデックスを生成する第3のステップと、前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、を実行することを特徴とするアクセス制御方法を提案している。   (6) The present invention is an access control method for executing access control for specific data offline, comprising a bit string expressing an integer value of 1 or more and m or less in m bits, out of the m bits. The attribute information of the user in which the bit corresponding to the attribute is 1 and the bit string corresponding to the attribute is represented by a symbol representing an arbitrary character string is combined with the secret key to generate one attribute key. A first step, a second step of transmitting the generated attribute key to the user in advance, and a plurality of attributes combined with an AND operator that matches an access condition for a user having a plurality of attributes. When performing access control, the bit strings of the plurality of attributes are combined, the bit that matches the access condition is represented by 1 and the other bits are represented by 0, and the condition index. A third step of generating a password, a fourth step of encrypting the specific data with information prepared by combining the key prepared in advance with the generated condition index, and a key prepared in advance with the specific data A fifth step of encrypting information combined with a condition index specifying a conditional expression in access control with a public key; a sixth step of receiving the attribute key from a user when accessing specific data; and A seventh step of performing a matching determination between the condition index and the received attribute key; and when the matching between the condition index and the attribute key is recognized by the seventh step, the encryption is performed by the fifth step. An access control method characterized by executing an eighth step of decrypting the encrypted information and outputting a decryption key That.

この発明によれば、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成し、生成した属性鍵を予めユーザに送信する。次に、複数の属性を有するユーザに対して、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、複数の属性のビット列を結合し、アクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わして、条件インデックスを生成し、特定のデータを予め用意した鍵と生成した条件インデックスとを結合した情報で暗号化するとともに、特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する。そして、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信し、条件インデックスと受信した属性鍵とのマッチング判定を行って、条件インデックスと属性鍵とのマッチングが認められたときに、暗号化された情報を復号して、復号化鍵を出力する。したがって、所属や職位といった複数の属性を有するユーザについて、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、アクセス条件に合致するユーザのみに、復号鍵を与えるアクセス制御をオフラインで実行できる。   According to the present invention, it consists of a bit string that represents an integer value of 1 or more and m or less in m bits. Of the m bits, the bit corresponding to the user attribute is 1 and the non-corresponding bit is a symbol representing an arbitrary character string. The attribute information of the user that combines the bit strings of each attribute represented is processed with the secret key to generate one attribute key, and the generated attribute key is transmitted to the user in advance. Next, when access control is performed for a user having a plurality of attributes using a plurality of attributes combined with an AND operator that matches the access conditions, the bit strings of the plurality of attributes are combined to meet the access conditions. A bit is represented by 1 and the other bits are represented by 0 to generate a conditional index. The specific data is encrypted with information obtained by combining a key prepared in advance and the generated conditional index. Information obtained by combining a key prepared in advance with a condition index specifying a conditional expression for access control is encrypted with a public key. When accessing specific data, the attribute key is received from the user, the matching between the condition index and the received attribute key is performed, and the encryption is performed when the matching between the condition index and the attribute key is recognized. The decrypted information is decrypted and a decryption key is output. Therefore, for users with multiple attributes such as affiliation and job title, when access control is performed using multiple attributes combined with an AND operator that matches the access conditions, a decryption key is given only to the users that match the access conditions Access control can be performed offline.

(7)本発明は、特定のデータに対するアクセス制御をオフラインで実行するアクセス制御方法であって、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、該生成した属性鍵を予め前記ユーザに送信する第2のステップと、複数の属性を有するユーザに対して、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記OR演算子で結合されたそれぞれの属性に対して、1の属性についてアクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わす複数の条件インデックスを生成する第3のステップと、前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、を実行することを特徴とするアクセス制御方法を提案している。   (7) The present invention is an access control method for executing access control for specific data offline, comprising a bit string expressing an integer value of 1 or more and m or less in m bits, out of the m bits. The attribute information of the user in which the bit corresponding to the attribute is 1 and the bit string corresponding to the attribute is represented by a symbol representing an arbitrary character string is combined with the secret key to generate one attribute key. A first step, a second step of transmitting the generated attribute key to the user in advance, and a plurality of attributes combined with an OR operator that matches an access condition for a user having a plurality of attributes. When performing access control, the bit strings of the plurality of attributes are combined, and for each attribute connected by the OR operator, a bit that matches the access condition for one attribute. A third step of generating a plurality of conditional indexes in which 1 is represented and other bits are represented by 0, and encrypting the specific data with information obtained by combining a key prepared in advance and the generated conditional index A fourth step, a fifth step of encrypting, with a public key, information obtained by combining a key prepared in advance with the specific data and a conditional index designating a conditional expression in access control; A sixth step of receiving the attribute key from the user, a seventh step of performing a matching determination between the conditional index and the received attribute key, and the conditional index and the attribute key by the seventh step. When the matching is confirmed, the information encrypted in the fifth step is decrypted and the decryption key is output. Have proposed an access control method characterized by performing Tsu and up, the.

この発明によれば、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成し、生成した属性鍵を予めユーザに送信する。次に、複数の属性を有するユーザに対して、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、複数の属性のビット列を結合し、前記OR演算子で結合されたそれぞれの属性に対して、1の属性についてアクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わす複数の条件インデックスを生成し、特定のデータを予め用意した鍵と生成した条件インデックスとを結合した情報で暗号化するとともに、特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する。そして、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信し、条件インデックスと受信した属性鍵とのマッチング判定を行って、条件インデックスと属性鍵とのマッチングが認められたときに、暗号化された情報を復号して、復号化鍵を出力する。したがって、所属や職位といった複数の属性を有するユーザについて、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、アクセス条件に合致するユーザのみに、復号鍵を与えるアクセス制御をオフラインで実行できる。   According to the present invention, it consists of a bit string that represents an integer value of 1 or more and m or less in m bits. Of the m bits, the bit corresponding to the user attribute is 1 and the non-corresponding bit is a symbol representing an arbitrary character string. The attribute information of the user that combines the bit strings of each attribute represented is processed with the secret key to generate one attribute key, and the generated attribute key is transmitted to the user in advance. Next, when performing access control with a plurality of attributes combined with an OR operator that matches an access condition for a user having a plurality of attributes, the bit strings of the plurality of attributes are combined, and the OR operator For each attribute that is combined, a key that matches the access condition for one attribute is represented by 1 and a plurality of condition indexes that represent the other bits by 0 are generated, and a key in which specific data is prepared in advance In addition to encrypting the generated conditional index with the combined information, the information combining the key prepared in advance with specific data and the conditional index specifying the conditional expression for access control is encrypted with the public key. When accessing specific data, the attribute key is received from the user, the matching between the condition index and the received attribute key is performed, and the encryption is performed when the matching between the condition index and the attribute key is recognized. The decrypted information is decrypted and a decryption key is output. Therefore, for users who have multiple attributes such as affiliation and job title, when performing access control with multiple attributes combined with an OR operator that matches the access conditions, a decryption key is given only to the users that match the access conditions Access control can be performed offline.

(8)本発明は、コンピュータを用いて、特定のデータに対するアクセス制御をオフラインで実行するためのプログラムであって、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、該生成した属性鍵を予め前記ユーザに送信する第2のステップと、複数の属性を有するユーザに対して、アクセス条件に合致する単一の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットおよびアクセス制御に用いない属性のビット列を1で表わし、それ以外のビットを0で表わして、条件インデックスを生成する第3のステップと、前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、を実行することを特徴とするプログラムを提案している。   (8) The present invention is a program for executing access control for specific data offline using a computer, comprising a bit string representing an integer value of 1 to m in m bits, the m bits Among them, the user attribute information obtained by combining the bit string of each attribute represented by a symbol in which the bit corresponding to the attribute of the user is 1 and the non-corresponding bit represents an arbitrary character string is processed by the secret key. A first step of generating an attribute key, a second step of transmitting the generated attribute key to the user in advance, and accessing a user having a plurality of attributes with a single attribute that matches an access condition When performing control, the bit strings of the plurality of attributes are combined, and the bit that matches the access condition and the bit string of the attribute that is not used for access control are represented by 1; A third step in which the other bits are represented by 0 and a conditional index is generated, and a fourth step in which the specific data is encrypted with information obtained by combining the key prepared in advance and the generated conditional index; A fifth step of encrypting, with a public key, information obtained by combining a key prepared in advance with a specific index and a conditional index designating a conditional expression in access control; , A seventh step of performing a matching determination between the condition index and the received attribute key, and a matching between the condition index and the attribute key is recognized by the seventh step. And decrypting the information encrypted in the fifth step and outputting a decryption key. It has proposed a program characterized.

この発明によれば、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成し、生成した属性鍵を予めユーザに送信する。次に、複数の属性を有するユーザに対して、アクセス条件に合致する単一の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットおよびアクセス制御に用いない属性のビット列を1で表わし、それ以外のビットを0で表わして、条件インデックスを生成し、特定のデータを予め用意した鍵と生成した条件インデックスとを結合した情報で暗号化する。また、特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する。そして、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信し、条件インデックスと該受信した属性鍵とのマッチング判定を行って、条件インデックスと属性鍵とのマッチングが認められたときに、暗号化された情報を復号して、復号化鍵を出力する。したがって、所属や職位といった複数の属性を有するユーザについて、1の属性がアクセス条件に合致する場合に、他の属性にかかわらず、復号鍵を与えるアクセス制御をオフラインで実行できる。   According to the present invention, it consists of a bit string that represents an integer value of 1 or more and m or less in m bits. Of the m bits, the bit corresponding to the user attribute is 1 and the non-corresponding bit is a symbol representing an arbitrary character string. The attribute information of the user that combines the bit strings of each attribute represented is processed with the secret key to generate one attribute key, and the generated attribute key is transmitted to the user in advance. Next, when access control is performed for a user having a plurality of attributes using a single attribute that matches the access condition, the bit string and the access control that match the access condition are combined by combining bit strings of the plurality of attributes. A bit string of an attribute not used in the above is represented by 1 and other bits are represented by 0 to generate a conditional index, and specific data is encrypted with information obtained by combining a key prepared in advance and the generated conditional index. Also, information obtained by combining a key prepared in advance with specific data and a condition index specifying a conditional expression for access control is encrypted with a public key. When accessing specific data, the attribute key is received from the user, the matching between the condition index and the received attribute key is performed, and the encryption is performed when the matching between the condition index and the attribute key is recognized. The decrypted information is decrypted and a decryption key is output. Therefore, for a user having a plurality of attributes such as affiliation and job title, when one attribute matches the access condition, access control that provides a decryption key can be executed offline regardless of other attributes.

(9)本発明は、コンピュータを用いて、特定のデータに対するアクセス制御をオフラインで実行するためのプログラムであって、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、該生成した属性鍵を予め前記ユーザに送信する第2のステップと、複数の属性を有するユーザに対して、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わして、条件インデックスを生成する第3のステップと、前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、を実行することを特徴とするプログラムを提案している。   (9) The present invention is a program for executing access control for specific data offline using a computer, comprising a bit string representing an integer value of 1 to m in m bits, and the m bits Among them, the user attribute information obtained by combining the bit string of each attribute represented by a symbol in which the bit corresponding to the attribute of the user is 1 and the non-corresponding bit represents an arbitrary character string is processed by the secret key. A first step of generating an attribute key, a second step of transmitting the generated attribute key to the user in advance, and a user having a plurality of attributes are combined with an AND operator that matches an access condition. When the access control is performed with a plurality of attributes, the bit strings of the plurality of attributes are combined, the bit meeting the access condition is represented by 1, and the other bits are represented by 0. A third step of generating a conditional index; a fourth step of encrypting the specific data with information prepared by combining a key prepared in advance with the generated conditional index; and A fifth step of encrypting information prepared by combining a prepared key and a condition index specifying a conditional expression in access control with a public key; and a sixth step of receiving the attribute key from a user when accessing specific data And a seventh step of performing matching determination between the condition index and the received attribute key, and when the matching between the condition index and the attribute key is recognized by the seventh step, the fifth step And an eighth step of decrypting the encrypted information and outputting a decryption key. It has proposed the ram.

この発明によれば、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成し、生成した属性鍵を予めユーザに送信する。次に、複数の属性を有するユーザに対して、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、複数の属性のビット列を結合し、アクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わして、条件インデックスを生成し、特定のデータを予め用意した鍵と生成した条件インデックスとを結合した情報で暗号化するとともに、特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する。そして、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信し、条件インデックスと受信した属性鍵とのマッチング判定を行って、条件インデックスと属性鍵とのマッチングが認められたときに、暗号化された情報を復号して、復号化鍵を出力する。したがって、所属や職位といった複数の属性を有するユーザについて、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、アクセス条件に合致するユーザのみに、復号鍵を与えるアクセス制御をオフラインで実行できる。   According to the present invention, it consists of a bit string that represents an integer value of 1 or more and m or less in m bits. Of the m bits, the bit corresponding to the user attribute is 1 and the non-corresponding bit is a symbol representing an arbitrary character string. The attribute information of the user that combines the bit strings of each attribute represented is processed with the secret key to generate one attribute key, and the generated attribute key is transmitted to the user in advance. Next, when access control is performed for a user having a plurality of attributes using a plurality of attributes combined with an AND operator that matches the access conditions, the bit strings of the plurality of attributes are combined to meet the access conditions. A bit is represented by 1 and the other bits are represented by 0 to generate a conditional index. The specific data is encrypted with information obtained by combining a key prepared in advance and the generated conditional index. Information obtained by combining a key prepared in advance with a condition index specifying a conditional expression for access control is encrypted with a public key. When accessing specific data, the attribute key is received from the user, the matching between the condition index and the received attribute key is performed, and the encryption is performed when the matching between the condition index and the attribute key is recognized. The decrypted information is decrypted and a decryption key is output. Therefore, for users with multiple attributes such as affiliation and job title, when access control is performed using multiple attributes combined with an AND operator that matches the access conditions, a decryption key is given only to the users that match the access conditions Access control can be performed offline.

(10)本発明は、コンピュータを用いて、特定のデータに対するアクセス制御をオフラインで実行するためのプログラムであって、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、該生成した属性鍵を予め前記ユーザに送信する第2のステップと、複数の属性を有するユーザに対して、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記OR演算子で結合されたそれぞれの属性に対して、1の属性についてアクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わす複数の条件インデックスを生成する第3のステップと、前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、を実行することを特徴とするプログラムを提案している。   (10) The present invention is a program for executing off-line access control for specific data using a computer, comprising a bit string expressing an integer value of 1 to m in m bits, the m bits Among them, the user attribute information obtained by combining the bit string of each attribute represented by a symbol in which the bit corresponding to the attribute of the user is 1 and the non-corresponding bit represents an arbitrary character string is processed by the secret key. A first step of generating an attribute key, a second step of transmitting the generated attribute key to the user in advance, and a user having a plurality of attributes are combined with an OR operator that matches an access condition. When performing access control using a plurality of attributes, the bit strings of the plurality of attributes are combined, and one attribute is assigned to each attribute connected by the OR operator. A third step of generating a plurality of conditional indexes in which a bit matching the access condition is represented by 1 and other bits are represented by 0 is combined with a key prepared in advance for the specific data and the generated conditional index A fourth step of encrypting with a public key, and a fourth step of encrypting information obtained by combining a key prepared in advance with the specific data and a condition index specifying a conditional expression in access control with a public key; When accessing specific data, the sixth step of receiving the attribute key from the user, the seventh step of determining the matching between the condition index and the received attribute key, and the seventh step, When matching between the condition index and the attribute key is recognized, the information encrypted in the fifth step is decrypted and restored. Proposes a program characterized by executing an eighth step of outputting the encryption key, the.

この発明によれば、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成し、生成した属性鍵を予めユーザに送信する。次に、複数の属性を有するユーザに対して、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、複数の属性のビット列を結合し、前記OR演算子で結合されたそれぞれの属性に対して、1の属性についてアクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わす複数の条件インデックスを生成し、特定のデータを予め用意した鍵と生成した条件インデックスとを結合した情報で暗号化するとともに、特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する。そして、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信し、条件インデックスと受信した属性鍵とのマッチング判定を行って、条件インデックスと属性鍵とのマッチングが認められたときに、暗号化された情報を復号して、復号化鍵を出力する。したがって、所属や職位といった複数の属性を有するユーザについて、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、アクセス条件に合致するユーザのみに、復号鍵を与えるアクセス制御をオフラインで実行できる。   According to the present invention, it consists of a bit string that represents an integer value of 1 or more and m or less in m bits. Of the m bits, the bit corresponding to the user attribute is 1 and the non-corresponding bit is a symbol representing an arbitrary character string. The attribute information of the user that combines the bit strings of each attribute represented is processed with the secret key to generate one attribute key, and the generated attribute key is transmitted to the user in advance. Next, when performing access control with a plurality of attributes combined with an OR operator that matches an access condition for a user having a plurality of attributes, the bit strings of the plurality of attributes are combined, and the OR operator For each attribute that is combined, a key that matches the access condition for one attribute is represented by 1 and a plurality of condition indexes that represent the other bits by 0 are generated, and a key in which specific data is prepared in advance In addition to encrypting the generated conditional index with the combined information, the information combining the key prepared in advance with specific data and the conditional index specifying the conditional expression for access control is encrypted with the public key. When accessing specific data, the attribute key is received from the user, the matching between the condition index and the received attribute key is performed, and the encryption is performed when the matching between the condition index and the attribute key is recognized. The decrypted information is decrypted and a decryption key is output. Therefore, for users who have multiple attributes such as affiliation and job title, when performing access control with multiple attributes combined with an OR operator that matches the access conditions, a decryption key is given only to the users that match the access conditions Access control can be performed offline.

本発明によれば、各利用者が保持する属性鍵を1個とし、柔軟なアクセス制御を実行できるという効果がある。また、本発明の技術をコンテンツ配信サービスに適用すれば、例えば、プレミアム会員のみに特典コンテンツを配布する、もしくは、12月生まれの利用者のみにアーティストからのメッセージを配布する等のサービスを安全に行なうことができるという効果がある。   According to the present invention, there is an effect that flexible access control can be executed with one attribute key held by each user. Further, if the technology of the present invention is applied to a content distribution service, for example, a service such as distributing privilege content only to premium members or distributing a message from an artist only to users born in December is safe. There is an effect that it can be performed.

以下、図面を用いて、本発明の実施形態について詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組み合わせを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
Note that the constituent elements in the present embodiment can be appropriately replaced with existing constituent elements and the like, and various variations including combinations with other existing constituent elements are possible. Therefore, the description of the present embodiment does not limit the contents of the invention described in the claims.

本実施形態に係るアクセス制御装置について、図1から図4を用いて説明する。   The access control apparatus according to the present embodiment will be described with reference to FIGS.

<アクセス制御装置の構成>
本実施形態に係るアクセス制御装置は、図1に示すように、属性鍵生成部10と、送信部20と、条件インデックス生成部30と、データ暗号化部40と、情報暗号化部50と、受信部60と、判定部70と、復号化鍵出力部80とから構成されている。 <Configuration of access control device>
As shown in FIG. 1, the access control device according to the present embodiment includes an attribute key generation unit 10, a transmission unit 20, a condition index generation unit 30, a data encryption unit 40, an information encryption unit 50, The receiving unit 60 includes a determination unit 70 and a decryption key output unit 80.

属性鍵生成部10は、ユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する。送信部20は、属性鍵生成部10が生成した属性鍵を予めユーザに送信する。条件インデックス生成部30は、アクセス制御における条件式を指定した条件インデックスを生成する。   The attribute key generation unit 10 processes user attribute information with a secret key to generate one attribute key. The transmission unit 20 transmits the attribute key generated by the attribute key generation unit 10 to the user in advance. The condition index generation unit 30 generates a condition index specifying a conditional expression in access control.

データ暗号化部40は、特定のデータを予め用意した鍵と生成した条件インデックスとを結合した情報とで暗号化する。情報暗号化部50は、予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する。受信部60は、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信する。判定部70は、条件インデックスと受信した属性鍵とのマッチング判定を行う。復号化鍵出力部80は、判定部70により、条件インデックスと属性鍵とのマッチングが認められたときに、情報暗号化部50により暗号化された情報を復号して、復号化鍵を出力する。   The data encryption unit 40 encrypts specific data with information obtained by combining a key prepared in advance and the generated condition index. The information encryption unit 50 encrypts information obtained by combining a key prepared in advance and a condition index specifying a conditional expression in access control with a public key. The receiving unit 60 receives an attribute key from the user when accessing specific data. The determination unit 70 performs matching determination between the condition index and the received attribute key. The decryption key output unit 80 decrypts the information encrypted by the information encryption unit 50 and outputs the decryption key when the determination unit 70 recognizes that the condition index matches the attribute key. .

<アクセス制御装置の処理>
図2を用いて、アクセス制御装置の処理について説明する。
まず、ユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成し(ステップS101)、生成した属性鍵を予めユーザに送信する(ステップS102)。次に、アクセス制御における条件式を指定した条件インデックスを生成し(ステップS103)、特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報とで暗号化する(ステップS104)とともに、予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する(ステップS105)。 <Processing of access control device>
The processing of the access control apparatus will be described using FIG.
First, user attribute information is processed with a secret key to generate one attribute key (step S101), and the generated attribute key is transmitted to the user in advance (step S102). Next, a condition index specifying a conditional expression in access control is generated (step S103), and specific data is encrypted with information obtained by combining a key prepared in advance and the generated condition index (step S104). Then, information obtained by combining a key prepared in advance and a condition index specifying a conditional expression for access control is encrypted with a public key (step S105).

そして、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信し(ステップS106)、条件インデックスと受信した属性鍵とのマッチング判定を行う(ステップS107)とともに、条件インデックスと属性鍵とのマッチングが認められたときに、ステップS104により暗号化された情報を復号して、復号化鍵を出力する(ステップS108)。   Then, when accessing specific data, an attribute key is received from the user (step S106), matching between the condition index and the received attribute key is determined (step S107), and matching between the condition index and the attribute key is recognized. When decrypted, the information encrypted in step S104 is decrypted and a decryption key is output (step S108).

<属性鍵の構成>
次に、図3および図4を用いて、属性鍵の構成について説明する。
なお、ここでは、説明を簡単にするため属性を例えば、所属と職位の2種類とし、属性 1(例えば、所属)は 1以上m以下の整数値をとり、属性2(例えば、職位)は、1以上n以下の整数値をとるものとして説明を行なう。この場合、条件インデックスおよび属性は、長さm+nのビット列となり、先頭のmビットが属性1に対応し、残りのnビットが属性2に対応する。また、各属性については、図3に示すようなデータテーブルが設けられている。 <Configuration of attribute key>
Next, the configuration of the attribute key will be described with reference to FIGS.
Here, for simplicity of explanation, the attributes are, for example, two types, affiliation and position, attribute 1 (for example, affiliation) takes an integer value of 1 to m, and attribute 2 (for example, position) is The description will be made assuming that the integer value is 1 or more and n or less. In this case, the condition index and the attribute are a bit string of length m + n, the first m bits correspond to attribute 1, and the remaining n bits correspond to attribute 2. For each attribute, a data table as shown in FIG. 3 is provided.

今、属性 1(例えば、所属)がx(例えば、図3の技術部)で、属性2(例えば、職位)がy(例えば、図3の部長)であるユーザの場合には、この属性Aを秘密鍵で処理して図4に示すような属性鍵が付与される。ここで、図4中*は任意の文字列を表す記号であり、属性鍵の際には、HVEにおけるプリミティブを用いGetToken(SK,[A])とする。   If the attribute 1 (for example, affiliation) is x (for example, the technical department in FIG. 3) and the attribute 2 (for example, job title) is y (for example, the department manager in FIG. 3), this attribute A Is processed with a secret key, and an attribute key as shown in FIG. 4 is given. Here, * in FIG. 4 is a symbol representing an arbitrary character string. When an attribute key is used, a primitive in HVE is used as GetToken (SK, [A]).

したがって、本実施形態によれば、利用者の属性が複数ある場合でも、各利用者が保持する属性鍵を1個とし、特定のデータに対するアクセス制御をオフラインで実行することができる。   Therefore, according to the present embodiment, even when there are a plurality of user attributes, one attribute key held by each user can be set to one, and access control for specific data can be executed offline.

以下、図面を用いて、具体的な実施例について説明する。   Hereinafter, specific examples will be described with reference to the drawings.

<実施例1>
実施例1について、図5および図6を用いて、説明する。
本実施例は、属性1の値がアクセス条件を規定する集合Xに含まれている利用者に対して、属性2の値にかかわらず、復号化鍵Kを入手させる場合が相当する。この場合、属性鍵は、集合Xに含まれる値および属性2に対応するビットが1であり、他のビットが0である条件インデックスCが付加され、公開鍵PKにより暗号化される。暗号化の際には、HVEのプリミティブを用いEHVE(PK、C、K)とする。ただし、条件インデックス中で、制御に使用しない属性に対応するビットは、すべて1とする.例として、X=f1;3;:::;mgの場合のときの条件インデックスCを図6に示す。 <Example 1>
Example 1 will be described with reference to FIGS. 5 and 6.
This embodiment corresponds to a case where the user whose attribute 1 value is included in the set X that defines the access condition is allowed to obtain the decryption key K regardless of the attribute 2 value. In this case, the attribute key is encrypted with the public key PK with a condition index C in which the value corresponding to the value included in the set X and the bit corresponding to the attribute 2 are 1 and the other bits are 0. At the time of encryption, E HVE (PK, C, K) is used using HVE primitives. However, all bits corresponding to attributes not used for control in the conditional index are set to 1. As an example, FIG. 6 shows the condition index C when X = f1; 3; :::; mg.

次に、図5を用いて、本実施例の処理について説明する。
まず、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成し(ステップS201)、生成した属性鍵を予めユーザに送信する(ステップS202)。 Next, the processing of this embodiment will be described with reference to FIG.
First, it consists of a bit string that expresses an integer value of 1 or more and m or less in m bits. Among m bits, a bit corresponding to a user attribute is represented by 1 and a non-corresponding bit is represented by a symbol representing an arbitrary character string. The user attribute information combined with the bit string of each attribute is processed with the secret key to generate one attribute key (step S201), and the generated attribute key is transmitted to the user in advance (step S202).

次に、複数の属性を有するユーザに対して、アクセス条件に合致する単一の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットおよびアクセス制御に用いない属性のビット列を1で表わし、それ以外のビットを0で表わして、条件インデックスを生成し(ステップS203)、特定のデータを予め用意した鍵と生成した条件インデックスとを結合した情報で暗号化する(ステップS204)。   Next, when access control is performed for a user having a plurality of attributes using a single attribute that matches the access condition, the bit string and the access control that match the access condition are combined by combining bit strings of the plurality of attributes. A bit string of an attribute not used in the above is represented by 1 and other bits are represented by 0, a condition index is generated (step S203), and information obtained by combining a key prepared in advance with specific data and the generated condition index Encryption is performed (step S204).

また、特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する(ステップS205)。そして、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信し(ステップS206)、条件インデックスと該受信した属性鍵とのマッチング判定を行って(ステップS207)、条件インデックスと属性鍵とのマッチングが認められたときに、暗号化された情報を復号して、復号化鍵を出力する(ステップS208)。   Also, information obtained by combining a key prepared in advance with specific data and a condition index specifying a conditional expression for access control is encrypted with a public key (step S205). Then, when accessing specific data, the attribute key is received from the user (step S206), the condition index and the received attribute key are matched (step S207), and the condition index and the attribute key are matched. When it is recognized, the encrypted information is decrypted and a decryption key is output (step S208).

したがって、本実施例によれば、所属や職位といった複数の属性を有するユーザについて、1の属性がアクセス条件に合致する場合に、他の属性にかかわらず、復号鍵を与えるアクセス制御をオフラインで実行できる。   Therefore, according to the present embodiment, for a user having a plurality of attributes such as affiliation and job title, when one attribute matches the access condition, access control for giving a decryption key is executed offline regardless of other attributes. it can.

<実施例2>
実施例2について、図7および図8を用いて、説明する。
本実施例は、属性1の値が集合 X に含まれており、かつ属性2の値が集合Yに含まれている利用者に対してのみ、鍵Kを入手させる場合に相当する。この場合、鍵は、集合X
およびYに含まれる値に対応するビットが1であり,他のビットが0である条件インデックスCが付加され、公開鍵PKを用いて暗号化される。暗号化の際には、HVEのプリミティブを用いEHVE(PK、C、K)とする。例として、X=f1;3;:::;mg、Y=f2;:::;nilgのときの条件インデックスをCを図8に示す。 <Example 2>
Example 2 will be described with reference to FIGS. 7 and 8. FIG.
This embodiment corresponds to a case where the key K is obtained only by the user whose attribute 1 value is included in the set X and whose attribute 2 value is included in the set Y. In this case, the key is set X
A condition index C in which the bit corresponding to the value included in Y and Y is 1 and the other bits are 0 is added and encrypted using the public key PK. At the time of encryption, E HVE (PK, C, K) is used using HVE primitives. As an example, FIG. 8 shows a conditional index C when X = f1; 3; :::; mg, Y = f2; :::; nilg.

次に、図7を用いて、本実施例の処理について説明する。
まず、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成し(ステップS301)、生成した属性鍵を予めユーザに送信する(ステップS302)。 Next, processing of this embodiment will be described with reference to FIG.
First, it consists of a bit string that expresses an integer value of 1 or more and m or less in m bits. Among m bits, a bit corresponding to a user attribute is represented by 1 and a non-corresponding bit is represented by a symbol representing an arbitrary character string. The user attribute information combined with the bit string of each attribute is processed with the secret key to generate one attribute key (step S301), and the generated attribute key is transmitted to the user in advance (step S302).

次に、複数の属性を有するユーザに対して、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、複数の属性のビット列を結合し、アクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わして、条件インデックスを生成し(ステップS303)、特定のデータを予め用意した鍵と生成した条件インデックスとを結合した情報で暗号化する(ステップS304)。   Next, when access control is performed for a user having a plurality of attributes using a plurality of attributes combined with an AND operator that matches the access conditions, the bit strings of the plurality of attributes are combined to meet the access conditions. A bit is represented by 1 and the other bits are represented by 0 to generate a conditional index (step S303), and specific data is encrypted with information obtained by combining a previously prepared key and the generated conditional index (step S303). S304).

また、特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する(ステップS305)。そして、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信し(ステップS306)、条件インデックスと該受信した属性鍵とのマッチング判定を行って(ステップS307)、条件インデックスと属性鍵とのマッチングが認められたときに、暗号化された情報を復号して、復号化鍵を出力する(ステップS308)。   Also, information obtained by combining a key prepared in advance with specific data and a condition index specifying a conditional expression for access control is encrypted with a public key (step S305). When accessing specific data, the attribute key is received from the user (step S306), the condition index and the received attribute key are matched (step S307), and the condition index and the attribute key are matched. When it is recognized, the encrypted information is decrypted and a decryption key is output (step S308).

したがって、本実施例によれば、所属や職位といった複数の属性を有するユーザについて、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、アクセス条件に合致するユーザのみに、復号鍵を与えるアクセス制御をオフラインで実行できる。   Therefore, according to the present embodiment, when access control is performed for a user having a plurality of attributes such as affiliation and position with a plurality of attributes combined with an AND operator that matches the access condition, the user that matches the access condition In addition, access control for providing a decryption key can be executed offline.

<実施例3>
実施例3について、図9を用いて、説明する。
本実施例は、実施例1および実施例2において定義した複数の条件のうち、いずれか1つを満たす利用者に対し、鍵を入手させる場合に相当する。この場合は、それぞれの条件式に対応する条件インデックスを個別に作成する必要がある。例えば、条件式P
OR Qに対しては、Pに対応する条件インデックスIを付加した鍵、およびQに対応する条件インデックスIを付加した鍵を個別に用意する必要がある。すなわち、OR式で連結された条件の個数と同数の暗号文が生成される。また、本実施例においては、暗号文のサイズが、インデックスの長さおよびOR文で連接される条件数の積に比例する。さらに、利用者が鍵を復号する計算量は、属性の数に比例する。 <Example 3>
Example 3 will be described with reference to FIG.
This embodiment corresponds to a case where a user who satisfies any one of the plurality of conditions defined in the first and second embodiments obtains a key. In this case, it is necessary to individually create a condition index corresponding to each conditional expression. For example, conditional expression P
For OR Q, it is necessary to separately prepare a key to which a condition index IP corresponding to P is added and a key to which a condition index I q corresponding to Q is added. That is, as many ciphertexts as the number of conditions connected by the OR expression are generated. In this embodiment, the size of the ciphertext is proportional to the product of the length of the index and the condition number concatenated with the OR text. Furthermore, the amount of calculation for the user to decrypt the key is proportional to the number of attributes.

次に、図9を用いて、本実施例の処理について説明する。
まず、1以上m以下の整数値をmビットで表現するビット列からなり、mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成し(ステップS401)、生成した属性鍵を予めユーザに送信する(ステップS402)。 Next, the processing of this embodiment will be described with reference to FIG.
First, it consists of a bit string that expresses an integer value of 1 or more and m or less in m bits. Among m bits, a bit corresponding to a user attribute is represented by 1 and a non-corresponding bit is represented by a symbol representing an arbitrary character string. The user attribute information obtained by combining the bit strings of the attributes is processed with the secret key to generate one attribute key (step S401), and the generated attribute key is transmitted to the user in advance (step S402).

次に、複数の属性を有するユーザに対して、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、複数の属性のビット列を結合し、前記OR演算子で結合されたそれぞれの属性に対して、1の属性についてアクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わす複数の条件インデックスを生成し(ステップS403)、特定のデータを予め用意した鍵と生成した条件インデックスとを結合した情報で暗号化する(ステップS404)。   Next, when performing access control with a plurality of attributes combined with an OR operator that matches an access condition for a user having a plurality of attributes, the bit strings of the plurality of attributes are combined, and the OR operator For each of the combined attributes, a plurality of condition indexes are generated in which a bit matching the access condition for one attribute is represented by 1 and the other bits are represented by 0 (step S403). Encryption is performed with information obtained by combining the prepared key and the generated condition index (step S404).

また、特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する(ステップS405)。そして、特定のデータに対するアクセスに際し、ユーザから属性鍵を受信し(ステップS406)、条件インデックスと該受信した属性鍵とのマッチング判定を行って(ステップS407)、条件インデックスと属性鍵とのマッチングが認められたときに、暗号化された情報を復号して、復号化鍵を出力する(ステップS408)。   Also, information obtained by combining a key prepared in advance with specific data and a condition index specifying a conditional expression for access control is encrypted with a public key (step S405). Then, when accessing specific data, the attribute key is received from the user (step S406), the matching between the condition index and the received attribute key is determined (step S407), and the matching between the condition index and the attribute key is performed. When it is recognized, the encrypted information is decrypted and a decryption key is output (step S408).

したがって、本実施例によれば、所属や職位といった複数の属性を有するユーザについて、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、アクセス条件に合致するユーザのみに、復号鍵を与えるアクセス制御をオフラインで実行できる。   Therefore, according to the present embodiment, when access control is performed for a user having a plurality of attributes such as affiliation and job title by a plurality of attributes combined with an OR operator that matches the access condition, the user that matches the access condition In addition, access control for providing a decryption key can be executed offline.

なお、アクセス制御装置の処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをアクセス制御装置に読み込ませ、実行することによって本発明のアクセス制御装置、アクセス制御方法を実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。   Note that the access control device and the access control method of the present invention are realized by recording the process of the access control device on a computer-readable recording medium, causing the access control device to read and execute the program recorded on the recording medium. can do. The computer system here includes an OS and hardware such as peripheral devices.

また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。   Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW (World Wide Web) system is used. The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.

また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。更に、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。   The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。   The embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the embodiments, and includes designs and the like that do not depart from the gist of the present invention.

本発明に係るアクセス制御装置の構成を示す図である。It is a figure which shows the structure of the access control apparatus which concerns on this invention. 本発明に係るアクセス制御装置の処理フローである。It is a processing flow of the access control apparatus which concerns on this invention. 属性テーブルを例示した図である。It is the figure which illustrated the attribute table. 属性鍵の構成を示す図である。It is a figure which shows the structure of an attribute key. 実施例1に係る処理フローである。3 is a processing flow according to the first embodiment. 実施例1に係る条件インデックスを例示した図である。It is the figure which illustrated the condition index concerning Example 1. 実施例2に係る処理フローである。10 is a processing flow according to the second embodiment. 実施例2に係る条件インデックスを例示した図である。It is the figure which illustrated the condition index concerning Example 2. 実施例2に係る処理フローである。10 is a processing flow according to the second embodiment.

符号の説明Explanation of symbols

10・・・属性鍵生成部
20・・・送信部
30・・・条件インデックス生成部
40・・・データ暗号化部
50・・・情報暗号化部
60・・・受信部
70・・・判定部
80・・・復号化鍵出力部 DESCRIPTION OF SYMBOLS 10 ... Attribute key generation part 20 ... Transmission part 30 ... Condition index generation part 40 ... Data encryption part 50 ... Information encryption part 60 ... Reception part 70 ... Determination part 80: Decryption key output unit

Claims (10)

特定のデータに対するアクセス制御をオフラインで実行するアクセス制御装置であって、
ユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する属性鍵生成手段と、
該生成した属性鍵を予め前記ユーザに送信する送信手段と、
アクセス制御における条件式を指定した条件インデックスを生成する条件インデックス生成手段と、
前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化するデータ暗号化手段と、
予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する情報暗号化手段と、
特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する受信手段と、
前記条件インデックスと該受信した属性鍵とのマッチング判定を行う判定手段と、
該判定手段により、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記情報暗号化手段により暗号化された情報を復号して、復号化鍵を出力する復号化鍵出力手段と、
を備えたことを特徴とするアクセス制御装置。 An access control device that executes access control for specific data offline,
Attribute key generation means for processing user attribute information with a secret key to generate one attribute key;
Transmitting means for transmitting the generated attribute key to the user in advance;
Condition index generating means for generating a condition index specifying a conditional expression in access control;
Data encryption means for encrypting the specific data with information obtained by combining a key prepared in advance and the generated condition index;
Information encryption means for encrypting information that combines a key prepared in advance and a condition index specifying a conditional expression in access control with a public key;
A receiving means for receiving the attribute key from a user when accessing specific data;
Determination means for performing a matching determination between the condition index and the received attribute key;
A decryption key output means for decrypting the information encrypted by the information encryption means and outputting a decryption key when matching between the condition index and the attribute key is recognized by the determination means;
An access control device comprising: 各属性が、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、前記ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされ、
前記ユーザの属性情報が、前記各属性のビット列を結合した情報であり、
複数の属性を有するユーザに対して、アクセス条件に合致する単一の属性によりアクセス制御を行う場合に、前記条件インデックス生成手段が、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットおよびアクセス制御に用いない属性のビット列を1で表わし、それ以外のビットを0で表わして、条件インデックスを生成することを特徴とする請求項1に記載のアクセス制御装置。 Each attribute consists of a bit string that expresses an integer value of 1 or more and m or less in m bits, and among these m bits, the bit corresponding to the user attribute is 1, and the non-corresponding bit is a symbol representing an arbitrary character string Represented,
The user attribute information is information obtained by combining the bit strings of the attributes,
When access control is performed for a user having a plurality of attributes using a single attribute that matches the access condition, the condition index generation unit combines the bit strings of the plurality of attributes to match the access condition. 2. The access control apparatus according to claim 1, wherein a condition index is generated by expressing a bit string of bits and attributes not used for access control by 1 and other bits by 0. 各属性が、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、前記ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされ、
前記ユーザの属性情報が、前記各属性のビット列を結合した情報であり、
複数の属性を有するユーザに対して、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、前記条件インデックス生成手段が、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わして、条件インデックスを生成することを特徴とする請求項1に記載のアクセス制御装置。 Each attribute consists of a bit string that expresses an integer value of 1 or more and m or less in m bits, and among these m bits, the bit corresponding to the user attribute is 1, and the non-corresponding bit is a symbol representing an arbitrary character string Represented,
The user attribute information is information obtained by combining the bit strings of the attributes,
When a user having a plurality of attributes performs access control with a plurality of attributes combined with an AND operator that matches an access condition, the condition index generation unit combines the bit strings of the plurality of attributes, The access control apparatus according to claim 1, wherein a condition index is generated by representing a bit matching the access condition by 1 and representing other bits by 0. 各属性が、1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、前記ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされ、
前記ユーザの属性情報が、前記各属性のビット列を結合した情報であり、
複数の属性を有するユーザに対して、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、前記条件インデックス生成手段が、前記複数の属性のビット列を結合し、前記OR演算子で結合されたそれぞれの属性に対して、1の属性についてアクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わす複数の条件インデックスを生成することを特徴とする請求項1に記載のアクセス制御装置。 Each attribute consists of a bit string that expresses an integer value of 1 or more and m or less in m bits, and among these m bits, the bit corresponding to the user attribute is 1, and the non-corresponding bit is a symbol representing an arbitrary character string Represented,
The user attribute information is information obtained by combining the bit strings of the attributes,
When performing access control with a plurality of attributes combined with an OR operator that matches the access conditions for a user having a plurality of attributes, the condition index generation means combines the bit strings of the plurality of attributes, For each attribute connected by the OR operator, a plurality of condition indexes are generated in which a bit that matches an access condition for one attribute is represented by 1 and other bits are represented by 0. The access control apparatus according to claim 1. 特定のデータに対するアクセス制御をオフラインで実行するアクセス制御方法であって、
1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、
該生成した属性鍵を予め前記ユーザに送信する第2のステップと、
複数の属性を有するユーザに対して、アクセス条件に合致する単一の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットおよびアクセス制御に用いない属性のビット列を1で表わし、それ以外のビットを0で表わして、条件インデックスを生成する第3のステップと、
前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、
該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、
特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、
前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、
該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、
を実行することを特徴とするアクセス制御方法。 An access control method for performing access control on specific data offline,
Each bit is represented by a bit string that expresses an integer value of 1 or more and m or less in m bits. Among the m bits, a bit corresponding to a user attribute is represented by 1 and a non-corresponding bit is represented by a symbol representing an arbitrary character string. A first step of generating one attribute key by processing attribute information of a user combined with a bit string of attributes with a secret key;
A second step of transmitting the generated attribute key to the user in advance;
When performing access control with a single attribute that matches the access condition for a user having a plurality of attributes, the bit strings of the plurality of attributes are combined and not used for the bit and access control that match the access condition. A third step of generating a conditional index with a bit string of attributes represented by 1 and the other bits represented by 0;
A fourth step of encrypting the specific data with information obtained by combining a key prepared in advance and the generated condition index;
A fifth step of encrypting, with a public key, information obtained by combining a key prepared in advance with the specific data and a condition index specifying a conditional expression in access control;
A sixth step of receiving the attribute key from a user when accessing specific data;
A seventh step of performing matching determination between the condition index and the received attribute key;
An eighth step of decrypting the information encrypted by the fifth step and outputting a decryption key when matching of the condition index and the attribute key is recognized by the seventh step; ,
An access control method comprising: 特定のデータに対するアクセス制御をオフラインで実行するアクセス制御方法であって、
1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、
該生成した属性鍵を予め前記ユーザに送信する第2のステップと、
複数の属性を有するユーザに対して、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わして、条件インデックスを生成する第3のステップと、
前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、
該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、
特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、
前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、
該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、
を実行することを特徴とするアクセス制御方法。 An access control method for performing access control on specific data offline,
Each bit is represented by a bit string that expresses an integer value of 1 or more and m or less in m bits. Among the m bits, a bit corresponding to a user attribute is 1 and a non-corresponding bit is represented by a symbol representing an arbitrary character string. A first step of generating one attribute key by processing attribute information of a user combined with a bit string of attributes with a secret key;
A second step of transmitting the generated attribute key to the user in advance;
When access control is performed with a plurality of attributes combined with an AND operator that matches the access condition for a user having a plurality of attributes, the bit string that combines the bit strings of the plurality of attributes and matches the access condition A third step of generating a conditional index with 1 represented by 1 and the other bits represented by 0;
A fourth step of encrypting the specific data with information obtained by combining a key prepared in advance and the generated condition index;
A fifth step of encrypting, with a public key, information obtained by combining a key prepared in advance with the specific data and a condition index specifying a conditional expression in access control;
A sixth step of receiving the attribute key from a user when accessing specific data;
A seventh step of performing matching determination between the condition index and the received attribute key;
An eighth step of decrypting the information encrypted by the fifth step and outputting a decryption key when matching of the condition index and the attribute key is recognized by the seventh step; ,
An access control method comprising: 特定のデータに対するアクセス制御をオフラインで実行するアクセス制御方法であって、
1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、
該生成した属性鍵を予め前記ユーザに送信する第2のステップと、
複数の属性を有するユーザに対して、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記OR演算子で結合されたそれぞれの属性に対して、1の属性についてアクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わす複数の条件インデックスを生成する第3のステップと、
前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、
該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、
特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、
前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、
該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、
を実行することを特徴とするアクセス制御方法。 An access control method for performing access control on specific data offline,
Each bit is represented by a bit string that expresses an integer value of 1 or more and m or less in m bits. Among the m bits, a bit corresponding to a user attribute is 1 and a non-corresponding bit is represented by a symbol representing an arbitrary character string. A first step of generating one attribute key by processing attribute information of a user combined with a bit string of attributes with a secret key;
A second step of transmitting the generated attribute key to the user in advance;
For users with multiple attributes, when performing access control with multiple attributes combined with an OR operator that matches the access conditions, the bit strings of the multiple attributes are combined and combined with the OR operator. For each attribute, a third step of generating a plurality of condition indexes in which a bit matching the access condition for one attribute is represented by 1 and the other bits are represented by 0;
A fourth step of encrypting the specific data with information obtained by combining a key prepared in advance and the generated condition index;
A fifth step of encrypting, with a public key, information obtained by combining a key prepared in advance with the specific data and a condition index specifying a conditional expression in access control;
A sixth step of receiving the attribute key from a user when accessing specific data;
A seventh step of performing matching determination between the condition index and the received attribute key;
An eighth step of decrypting the information encrypted by the fifth step and outputting a decryption key when matching of the condition index and the attribute key is recognized by the seventh step; ,
An access control method comprising: コンピュータを用いて、特定のデータに対するアクセス制御をオフラインで実行するためのプログラムであって、
1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、
該生成した属性鍵を予め前記ユーザに送信する第2のステップと、
複数の属性を有するユーザに対して、アクセス条件に合致する単一の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットおよびアクセス制御に用いない属性のビット列を1で表わし、それ以外のビットを0で表わして、条件インデックスを生成する第3のステップと、
前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、
該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、
特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、
前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、
該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、
を実行することを特徴とするプログラム。 A program for performing offline access control for specific data using a computer,
Each bit is represented by a bit string that expresses an integer value of 1 or more and m or less in m bits. Among the m bits, a bit corresponding to a user attribute is represented by 1 and a non-corresponding bit is represented by a symbol representing an arbitrary character string. A first step of generating one attribute key by processing attribute information of a user combined with a bit string of attributes with a secret key;
A second step of transmitting the generated attribute key to the user in advance;
When performing access control with a single attribute that matches the access condition for a user having a plurality of attributes, the bit strings of the plurality of attributes are combined and not used for the bit and access control that match the access condition. A third step of generating a conditional index with a bit string of attributes represented by 1 and the other bits represented by 0;
A fourth step of encrypting the specific data with information obtained by combining a key prepared in advance and the generated condition index;
A fifth step of encrypting, with a public key, information obtained by combining a key prepared in advance with the specific data and a condition index specifying a conditional expression in access control;
A sixth step of receiving the attribute key from a user when accessing specific data;
A seventh step of performing matching determination between the condition index and the received attribute key;
An eighth step of decrypting the information encrypted by the fifth step and outputting a decryption key when matching of the condition index and the attribute key is recognized by the seventh step; ,
A program characterized by executing コンピュータを用いて、特定のデータに対するアクセス制御をオフラインで実行するためのプログラムであって、
1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、
該生成した属性鍵を予め前記ユーザに送信する第2のステップと、
複数の属性を有するユーザに対して、アクセス条件に合致するAND演算子で結合された複数の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記アクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わして、条件インデックスを生成する第3のステップと、
前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、
該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、
特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、
前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、
該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、
を実行することを特徴とするプログラム。 A program for performing offline access control for specific data using a computer,
Each bit is represented by a bit string that expresses an integer value of 1 or more and m or less in m bits. Among the m bits, a bit corresponding to a user attribute is represented by 1 and a non-corresponding bit is represented by a symbol representing an arbitrary character string. A first step of generating one attribute key by processing attribute information of a user combined with a bit string of attributes with a secret key;
A second step of transmitting the generated attribute key to the user in advance;
When access control is performed with a plurality of attributes combined with an AND operator that matches the access condition for a user having a plurality of attributes, the bit string that combines the bit strings of the plurality of attributes and matches the access condition A third step of generating a conditional index with 1 represented by 1 and the other bits represented by 0;
A fourth step of encrypting the specific data with information obtained by combining a key prepared in advance and the generated condition index;
A fifth step of encrypting, with a public key, information obtained by combining a key prepared in advance with the specific data and a condition index specifying a conditional expression in access control;
A sixth step of receiving the attribute key from a user when accessing specific data;
A seventh step of performing matching determination between the condition index and the received attribute key;
An eighth step of decrypting the information encrypted by the fifth step and outputting a decryption key when matching of the condition index and the attribute key is recognized by the seventh step; ,
A program characterized by executing コンピュータを用いて、特定のデータに対するアクセス制御をオフラインで実行するためのプログラムであって、
1以上m以下の整数値をmビットで表現するビット列からなり、該mビットのうち、ユーザの属性に対応するビットが1、対応しないビットが任意の文字列を表す記号で表わされた各属性のビット列を結合したユーザの属性情報を秘密鍵で処理して、1つの属性鍵を生成する第1のステップと、
該生成した属性鍵を予め前記ユーザに送信する第2のステップと、
複数の属性を有するユーザに対して、アクセス条件に合致するOR演算子で結合された複数の属性によりアクセス制御を行う場合に、前記複数の属性のビット列を結合し、前記OR演算子で結合されたそれぞれの属性に対して、1の属性についてアクセス条件に合致するビットを1で表わし、それ以外のビットを0で表わす複数の条件インデックスを生成する第3のステップと、
前記特定のデータを予め用意した鍵と該生成した条件インデックスとを結合した情報で暗号化する第4のステップと、
該特定のデータを予め用意した鍵とアクセス制御における条件式を指定した条件インデックスとを結合した情報を公開鍵で暗号化する第5のステップと、
特定のデータに対するアクセスに際し、ユーザから前記属性鍵を受信する第6のステップと、
前記条件インデックスと該受信した属性鍵とのマッチング判定を行う第7のステップと、
該第7のステップにより、前記条件インデックスと属性鍵とのマッチングが認められたときに、前記第5のステップにより暗号化された情報を復号して、復号化鍵を出力する第8のステップと、
を実行することを特徴とするプログラム。 A program for performing offline access control for specific data using a computer,
Each bit is represented by a bit string that expresses an integer value of 1 or more and m or less in m bits. Among the m bits, a bit corresponding to a user attribute is represented by 1 and a non-corresponding bit is represented by a symbol representing an arbitrary character string. A first step of generating one attribute key by processing attribute information of a user combined with a bit string of attributes with a secret key;
A second step of transmitting the generated attribute key to the user in advance;
For users with multiple attributes, when performing access control with multiple attributes combined with an OR operator that matches the access conditions, the bit strings of the multiple attributes are combined and combined with the OR operator. For each attribute, a third step of generating a plurality of condition indexes in which a bit matching the access condition for one attribute is represented by 1 and the other bits are represented by 0;
A fourth step of encrypting the specific data with information obtained by combining a key prepared in advance and the generated condition index;
A fifth step of encrypting, with a public key, information obtained by combining a key prepared in advance with the specific data and a condition index specifying a conditional expression in access control;
A sixth step of receiving the attribute key from a user when accessing specific data;
A seventh step of performing matching determination between the condition index and the received attribute key;
An eighth step of decrypting the information encrypted by the fifth step and outputting a decryption key when matching of the condition index and the attribute key is recognized by the seventh step; ,
A program characterized by executing
JP2008024508A 2008-02-04 2008-02-04 Access control device, access control method and program Expired - Fee Related JP4891933B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008024508A JP4891933B2 (en) 2008-02-04 2008-02-04 Access control device, access control method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008024508A JP4891933B2 (en) 2008-02-04 2008-02-04 Access control device, access control method and program

Publications (2)

Publication Number Publication Date
JP2009187140A true JP2009187140A (en) 2009-08-20
JP4891933B2 JP4891933B2 (en) 2012-03-07

Family

ID=41070336

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008024508A Expired - Fee Related JP4891933B2 (en) 2008-02-04 2008-02-04 Access control device, access control method and program

Country Status (1)

Country Link
JP (1) JP4891933B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010061103A (en) * 2008-05-30 2010-03-18 Nec (China) Co Ltd Method, device and system for fast searchable encryption
JP2012039244A (en) * 2010-08-04 2012-02-23 Nippon Hoso Kyokai <Nhk> Content server, content receiver, attribute key issue server, user key issue server, access control system, content distribution program, and content reception program
WO2019053778A1 (en) * 2017-09-12 2019-03-21 三菱電機株式会社 Registration terminal, search terminal, search server, search system, registration program, and search program
CN109901533A (en) * 2014-08-11 2019-06-18 费希尔-罗斯蒙特系统公司 For the method and apparatus used in Process Control System
CN112887273A (en) * 2021-01-11 2021-06-01 苏州浪潮智能科技有限公司 Key management method and related equipment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001325137A (en) * 2000-05-12 2001-11-22 Ricoh Co Ltd Method and device for managing data
JP2004221935A (en) * 2003-01-15 2004-08-05 Nippon Hoso Kyokai <Nhk> Security module, limited receiver, limited receiving method, and limited receiving program
JP2005196626A (en) * 2004-01-09 2005-07-21 Chugoku Electric Power Co Inc:The Document protection management system and method
JP2007221324A (en) * 2006-02-15 2007-08-30 Kddi R & D Laboratories Inc Content reproducer, content reproducing system, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001325137A (en) * 2000-05-12 2001-11-22 Ricoh Co Ltd Method and device for managing data
JP2004221935A (en) * 2003-01-15 2004-08-05 Nippon Hoso Kyokai <Nhk> Security module, limited receiver, limited receiving method, and limited receiving program
JP2005196626A (en) * 2004-01-09 2005-07-21 Chugoku Electric Power Co Inc:The Document protection management system and method
JP2007221324A (en) * 2006-02-15 2007-08-30 Kddi R & D Laboratories Inc Content reproducer, content reproducing system, and program

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010061103A (en) * 2008-05-30 2010-03-18 Nec (China) Co Ltd Method, device and system for fast searchable encryption
JP2012039244A (en) * 2010-08-04 2012-02-23 Nippon Hoso Kyokai <Nhk> Content server, content receiver, attribute key issue server, user key issue server, access control system, content distribution program, and content reception program
CN109901533A (en) * 2014-08-11 2019-06-18 费希尔-罗斯蒙特系统公司 For the method and apparatus used in Process Control System
WO2019053778A1 (en) * 2017-09-12 2019-03-21 三菱電機株式会社 Registration terminal, search terminal, search server, search system, registration program, and search program
CN111066076A (en) * 2017-09-12 2020-04-24 三菱电机株式会社 Registration terminal, search server, search system, registration program, and search program
US11170123B2 (en) 2017-09-12 2021-11-09 Mitsubishi Electric Corporation Registration terminal, key server, search system, and computer readable medium
CN112887273A (en) * 2021-01-11 2021-06-01 苏州浪潮智能科技有限公司 Key management method and related equipment
CN112887273B (en) * 2021-01-11 2022-05-20 苏州浪潮智能科技有限公司 Key management method and related equipment
US11943345B2 (en) 2021-01-11 2024-03-26 Inspur Suzhou Intelligent Technology Co., Ltd. Key management method and related device

Also Published As

Publication number Publication date
JP4891933B2 (en) 2012-03-07

Similar Documents

Publication Publication Date Title
CN110855671B (en) Trusted computing method and system
KR102489790B1 (en) Addressing scheme of trusted execution environment using signing key
US20140177830A1 (en) Method and system for providing a public key/secret key pair for encrypting and decrypting data
KR20150141362A (en) Network node and method for operating the network node
CN104618096B (en) Protect method, equipment and the TPM key administrative center of key authorization data
WO2006080754A1 (en) Contents encryption method, system and method for providing contents through network using the encryption method
JP4891933B2 (en) Access control device, access control method and program
JP6599066B1 (en) Registration device, server device, secret search system, secret search method, registration program, and server program
CN107273724A (en) Input and output watermarking for whitepack embodiment
JP2010224655A (en) Database processing method, database processing program and encryption device
KR20140141690A (en) Security
Pavani et al. Data Security and Privacy Issues in Cloud Environment
KR102385328B1 (en) Method and System of Digital Rights Management
Moore The use of encryption to ensure the integrity of reusable software components
KR102526114B1 (en) Apparatus and method for encryption and decryption
Abdulhamid et al. Development of blowfish encryption scheme for secure data storage in public and commercial cloud computing environment
JP2005260650A (en) Decoding information generating device and its program, content generating device for distribution and its program, and, content decoding device and its program
Apostol et al. A survey on privacy enhancements for massively scalable storage systems in public cloud environments
EP2293211A1 (en) Digital rights management system with diversified content protection process
Naik et al. A Research on Various Security Aware Mechanisms in Multi-Cloud Environment for Improving Data Security
Guita et al. Anonymous trusted data relocation for tees
JP6936482B2 (en) Cryptographic systems, user systems, cryptographic methods, and cryptographic programs
Adkinson-Orellana et al. Sharing secure documents in the cloud-a secure layer for Google Docs
Singh et al. Security of Data with 3DES & Watermarking Algorithm
Al-Sammarraie The behavior of databases in maintaining the security of data transferred between two communication points

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100729

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111206

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111216

R150 Certificate of patent or registration of utility model

Ref document number: 4891933

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141222

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees