JP4975035B2 - 暗号化による役割ベースのアクセス制御 - Google Patents

暗号化による役割ベースのアクセス制御 Download PDF

Info

Publication number
JP4975035B2
JP4975035B2 JP2008530712A JP2008530712A JP4975035B2 JP 4975035 B2 JP4975035 B2 JP 4975035B2 JP 2008530712 A JP2008530712 A JP 2008530712A JP 2008530712 A JP2008530712 A JP 2008530712A JP 4975035 B2 JP4975035 B2 JP 4975035B2
Authority
JP
Japan
Prior art keywords
data
access
node
users
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008530712A
Other languages
English (en)
Other versions
JP2009509227A (ja
Inventor
マリク ハンモウテネ
ミラン ペトコヴィク
クラウディネ コンラド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV, Koninklijke Philips Electronics NV filed Critical Koninklijke Philips NV
Publication of JP2009509227A publication Critical patent/JP2009509227A/ja
Application granted granted Critical
Publication of JP4975035B2 publication Critical patent/JP4975035B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments

Landscapes

  • Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Description

出願人は、2005年9月16日に出願された仮出願シリアル番号第60/718,180号による利益を主張する。
本発明のシステムは、セキュリティシステムの分野に関し、特に、保護されたデータに対する、選択的なアクセス、大部分は役割ベースのアクセスを提供する方法及びシステムに関する。
データを電子形式にエンコードする頻度が増加していることは、実質的に機密情報を保護する必要性が増加していることを意味する。医療記録、金融記録、法的記録等が日常的にデータファイルとしてエンコードされており、これらのデータファイルはしばしば、医者、会計士、弁護士といった、そのデータについての、アクセス権限のある複数の「ユーザ」に対して利用可能にされる。
多くのデータが収集され、多くのユーザにアクセス権が付与されるにつれ、アクセス制御の管理がより複雑になる。例えば、個人の一般的な開業医は、その個人の医療記録のすべてにアクセスする可能性がある。その個人に手術の予定があるとき、外科医及び麻酔専門医は、その記録にアクセスできるべきだが、おそらくすべての記録を見る必要はない。同様に、会社の税理士は、会社の金融データに対する会社の会計監査役とは異なるアクセス権限を持つ場合がある。
データに対して異なるユーザが異なるアクセス権限を持つことに対する必要性は、「役割ベースの」アクセス制御の概念をもたらした。そこでは、ユーザは、自分の役割に基づきアクセス権が付与される。通常の役割ベースのシステムでは、データの所有者が、各データアイテムを分類し、どの分類がどのグループのユーザに対して利用可能であるかを規定する。そのグループは、1つ又は複数の役割により規定される。例えば、特定の金融データは、「税関連」と分類されることができ、税に関与する役割のユーザに、税関連データへのアクセス権が付与される。教育環境においては、学生の記録における特定のデータが、「アカデミック」と分類されることができ、他のデータは「行動」と分類される。これらのデータに対するアクセス権は、ユーザの役割(例えば、教師、管理者、アドバイザ等)に基づき制御されることができる。前述されたように、医療分野においては、外科医が、一般的な開業医とは異なる部分の患者のデータ記録に対するアクセス権を持つことができ、一般的な開業医は、緊急救命室のスタッフとは異なるアクセス権を持つことができる等となる。
Huangらにより2004年2月26日にされた出願に係る米国特許出願公開第2005/0193196号「CRYPTOGRAPHICALLY ENFORCED, MULTIPLE ROLE, POLICY-BASED OBJECT DISSEMINATION CONTROL MECHANISM」は、役割ベースのアクセス制御システムを教示し、本書でも参照により含まれる。この参照された出願において、実行エンティティが、役割を備えるユーザからのアクセス要求を受信し、決定エンティティにその役割とリクエストとを送信する。決定エンティティは、その役割がリクエストされた情報に対するアクセス条件を満たすかを決定し、もし満たす場合には、その実行エンティティに認証を通知する。各ユーザの一意性を確認するために暗号化技術が含まれる。中央決定エンティティを提供することにより、可能性として変化する役割に基づかれる各ユーザの認証履歴を維持する管理コストが削減される。この参照された出願は、データを保護するのに各データソースに関連付けられる実行エンティティに依存し、例えば暗号化技術を用いてデータ自身を保護することには対応しない。
より高レベルのセキュリティを提供するため、保護されたデータは、認証されたユーザのみが、データを復号することができるよう、暗号化された形態で格納されるべきである。しかしながら、可能性として何百又は何千という認証ユーザがいる場合、鍵管理に関する問題が解決されなければならないことになる。
暗号化されたデータが、認証されたユーザのそれぞれが知る共通鍵でアクセス可能な場合には、共通鍵が不用意に開示されることによるセキュリティ障害の発生可能性が高い。更に、ユーザの1人が認証外ユーザとなった場合、そのデータは、新たな鍵を用いて再度暗号化されなければならず、この新しい鍵が、各ユーザに再配信されなければならない。
また、役割ベースのアクセス制御の概念と一致するように、データの暗号の収集が管理されることができる。各暗号は、異なる「役割鍵」に基づかれており、各ユーザは、各役割の範囲内で対応する復号鍵を付与される。このシナリオだと、もし鍵が漏洩した場合、漏洩した役割鍵に基づかれる暗号が、この役割に対する異なる鍵に基づかれる暗号により置き換えられ、このグループ内のユーザのみが、新たな鍵を与えられる必要がある。しかしながら、役割グループの中には、非常に巨大なものもあり、及び/又は各グループのメンバーがしばしば変更するようなものもあり、メンバーが変わる度に毎回新たな鍵を各グループのメンバーに配信する手間は、かなりの負担になる可能性がある。
Germano Caronniにより2004年3月10日にされた出願に係る米国特許出願公開第2005/0204161号「METHOD AND APPARATUS FOR HYBRID GROUP MANAGEMENT」は、メンバー変更が生じるとき各メンバーに鍵の再配信を必要とせずに、保護データに対するグループアクセスを提供する階層的ツリー構造の使用を教示し、本書でも参照により含まれる。この参照される出願でも教示されるように、保護データが、共通の「ルート(root)」鍵を用いて暗号化される。グループ内の各認証済みユーザは、ユーザからルートまでの経路に沿った鍵を連続的に復号することで、このルート鍵を取得することができる。各ノードは、ルートに向かう経路上の次のノードへのアクセスを許可する鍵を含む。それにより、すべてのノードをルートノードと通信状態にあるようにする。階層的ツリーにおけるルートノードは、そのツリーにおける任意のすべてのノードによって到達可能であるから、そのデータへのユーザアクセスを許可することは、そのツリーにおけるいずれか1つのノードへのユーザアクセスを許可することにより実現される。ユーザとノードとの間のアクセスは、そのユーザとそのノードとに特有な鍵を介して行われる。ユーザが認証外ユーザになるとき、この鍵は変更され、それにより、ユーザがその後ツリーにアクセスしても拒否されることになる。追加的なセキュリティのため、ユーザが、ルートノードに到達するのに使用された1つ又は複数の中間鍵を格納していた場合には、このユーザがルートノードにアクセスするのに使用されたノードも変更される。しかしながら、ルートへのユーザ経路にない他のノードは、このユーザにより使用されていないか、又はアクセス可能ではないので、これらのノードを変更する必要はない。同様に、ルートノードは、そのデータを復号するためのルート鍵を含み、このユーザによりアクセス可能であったので、そのデータは、ルートノードに後で格納される新たなルート鍵を用いて再度暗号化される。
既存の役割ベースの暗号化を用いたシステムに伴う問題は、保護データに対するアクセスのグループベースの制御を処理するには効率的であるが、既存のシステムは、異なる時に異なるグループのメンバーであるユーザを効率的に手助けするものではなく、その役割/グループに関係なく、特定のユーザを効率的に追加又は除外することを可能にするものでもない。特に、上述の参照された特許出願において、ルートノードにアクセスすることができる任意かつすべてのユーザは、その保護されるデータに対するアクセス権を持つ。アクセス権を変更することは、ツリーの一部が無傷であるとしても、新たな階層ツリーを必要とする。
医療環境においては、医師は、異なる時に異なる役割を持つと考えられる。従って、役割に基づき医師に認証される情報へのアクセス権は変化する可能性がある。その医師が複数のグループに対してメンバーであると入力されることができたとしても、両方のグループに医師を含めることは、アクセス権について期待される又は所望の認証形態とは相容れない。例えば、一般的開業医(GP)であり、かつ緊急救命室(ER)専門医でもある医師は、2つのグループに属する場合がある。GPとして特定の患者データに対して、医師は特定のアクセス権を許可される。ER専門医として同じ患者に対して、同じ医師は、特定の異なるアクセス権を許可されることができる。この医師が緊急救命室でこの患者に対して職務をまっとうするときは、緊急救命室関連の情報にのみアクセスを持っていると、患者は想うであろう。
さらに、そのデータの所有者は、その役割に関係なく、特定の情報に対するアクセスを持つユーザに関する特定の好みを持つことができる。特定のユーザが、例えば、その所有者の隣人又は友人である場合、その隣人又は友人と共有されると、その所有者が不快に思うか、及び/又は困惑するかもしれない特定のデータが存在する場合がある。また、その所有者は、特定のデータを備える特定のユーザを信用しない場合があり、又は単に特定のデータがあるユーザには秘密であることを好む場合がある。また、その所有者は、特定のユーザ(家族又は友人)が、その役割に関係なく特定の情報に対するアクセス権を持つことを許可することを好む場合がある。
上述の参照された特許出願の追加的な限定は、それぞれ異なって保護されるデータセットが、そのデータセットに特有なアクセスツリーを必要とすることである。医療環境においては、例えば、患者が様々な異なるクラスの記録を持つ場合がある。例えば、患者の識別/コンタクト情報、保険情報等を含むレコードセット、患者のアレルギー、医療履歴、一般的な健康状態といった一般的な医療情報を含む別のレコードセット、種々の医療分野(眼科、心臓学、聴覚学)に関する種々のレコードセット等がある。これらのレコードセットはそれぞれ、異なるアクセス権のセットを持つことになろう。例えば、すべてのユーザ(医師、管理者等)に、患者の識別及び保険データへのアクセス権が付与されるが、検査結果へのアクセス権は、医師及び看護師にのみ付与されることができる。同様に、医師は、そのデータが関連する分野に基づき、異なるセットの医療データへのアクセス権を付与されることになる。こうしたデータセットのそれぞれに対して、異なるアクセスツリーが従来は使用されてきた。
本システムの目的は、動的な環境における情報アクセスを効率的に管理することを容易にする方法及びシステムを提供することにある。本システムの追加的な目的は、役割ベースのアクセスシステムにおける所有者特有のアクセス権を容易にする方法及びシステムを提供することである。本システムの更なる目的は、異なるデータセットに対する異なるアクセス権を制御するために、同じ階層的ツリー構造を使用することを容易にすることにある。
本システムの目的は、従来技術における上記及び他の不都合点を克服することにある。
これら及び他の目的は、ツリーに対するアクセス権を持つ特定のユーザに対して暗号化鍵の通信を容易にする階層的ツリー構造を用いる方法及びシステムにより実現される。すべてのユーザはルートノードと通信状態にあるが、ルートノードにある資料の情報内容は、この情報の対象ユーザによってのみ解読可能である。保護されるデータは、そのデータに特有な様々なデータ鍵を用いて暗号化される。こうしたデータ鍵は、特定のユーザ又はユーザグループに特有なノード鍵と組み合わせることにより暗号化される。特定の暗号化データ鍵に関連付けられるノード鍵に対するアクセス権を持つユーザは、そのデータ鍵に関連付けられたデータを解読することができる。ルートノードでこうした暗号化データ鍵に対するアクセス権を持つ他のユーザは、そのデータ鍵を復号するのに必要なノード鍵を持っていないため、そのデータを解読することはできない。ユーザ毎に特化したアクセス権を提供することに関するオーバーヘッドを最小限にするために、階層的ツリーは好ましくは、ユーザ間でのアクセス権の類似度に基づき構築される。
図面は、説明目的のために含まれ、本発明のシステムの範囲を表すものではないことは明示的に理解されたい。本発明のシステムは、対応する図面を参照し、例示を介して、更に詳細に説明される。
図面を通して、同じ要素又は実質的に同じ機能を実行する要素には同じ参照番号が振られる。図面は、説明目的のために含まれ、本発明のシステムの範囲を限定するものとして意図されるものではない。
以下の説明において、限定するものではなく説明のため、本システムの全体的な理解を提供するのに、例えば特定の構造、インタフェース、技術等として特定の詳細が説明される。しかしながら、こうした特定の詳細とは別に、本システムは、他の実施形態においても実現されることができることは、当業者には明らかであろう。簡単化と明瞭化とのため、不要な詳細によって本システムの説明を曖昧にしないよう、既知のデバイス、回路及び方法の詳細な説明は省略されている。
本発明のシステムは、医療記録に対する選択的なアクセスのパラダイムを用いて本書では説明されるが、当業者であれば、本書で述べられる原理が、様々なアクセス制御用途に適用されることができること、及び医療記録の保護だけに限定されないことを理解されるであろう。同様に、本発明のシステムは、鍵の使用を介してデータを保護するための暗号及び復号のパラダイムを用いて与えられるが、当業者であれば、暗号以外の他の技術を用いてデータに対するアクセスを制御するのに鍵が用いられることが可能であることを理解されるであろう。例えば、鍵を用いてデータに対する通信チャネルを制御したり、鍵に基づきデータにアクセスするアプリケーションへのアクセスを制御したりすること等ができる。同様に、「鍵」という用語は、本書では、そうでなければアクセスできない情報への選択的なアクセスを容易にする任意の情報アイテムを特定するのに使用される。当業者であれば、状況に応じて非対称な鍵ペアが、即ち1つは施錠のため、1つは解錠のために使用されることができることは理解されるであろうが、理解の促進のために、データを施錠するのに使用される鍵と、保護された情報を解錠するのに使用される鍵とは一般的に区別していない。
図1は、本システムによるユーザを選択するためのデータを暗号化する鍵を伝搬するのに使用される例示的な階層的ツリー構造を示す。データセット101〜105は、様々なデータ鍵k1〜k5を用いて、通常、こうした鍵を用いてデータを暗号化することにより、保護される。5個のデータセットと対応するデータ鍵とが図示されるが、データは、任意数のデータセットに、その関連するデータ鍵と共に分割されることができる。これらのデータセットは一般に、患者の個人データ、保険情報、日常の検査結果、特殊な検査結果、判明しているアレルギー等を含むセットといった、関連するデータ項目のセットである。会社環境においては、そのデータセットは、例えば、個人データ、在庫品目、資産、仕入れ先、株主等を含む。本システムの1つの側面によれば、これらのデータ鍵は、そのツリーのノードに関連付けられる鍵(「ノード鍵」)を用いて保護された形式で、ルートノードrを持つ階層的なツリー構造を介してユーザに通信される。
図1に示されるのは、ルートノードrに結合される3つのノードr1、r2、r3であるが、ルートノードrに結合される斯かるノードの数は、図示されるより多くても少なくてもよい。本システムの好ましい実施形態においては、3つのノードr1、r2、r3のそれぞれが、データ101〜105へのアクセスに関連付けられた異なる役割に対応する。各ノードr1、r2、r3は、他の関連ノードセットを持つが、ノードr1の下のノードだけがこの例では詳細に示される。そのノードは、好ましくは、バイナリツリー構造又はNアレイツリー構造といった階層的な態様で配置されるが、各ユーザとルートノードとの間の経路が特定されることができるのであれば、任意の構造が使用されることができる。
例示的なツリー構造における各ノードは、階層的な態様で、隣接ノードのそれぞれへのアクセスが容易であるように構成される。例えば、図1におけるノードn1は、ノードr1にある情報へのアクセスを可能にするよう構成され、ノードn3及びbによるその情報へのアクセスを可能にするよう構成される。この階層的なアクセス構造は、各ノードがルートノードrに到達することを可能にする。例えばノードbは、ノードr1にアクセスするのに必要な情報を得るためノードn1にアクセスする。ノードr1からは、ノードrにアクセスするのに必要な情報が得られることができる。本システムの1つの側面によれば、ノードrは、データ鍵k1〜knの選択的な暗号を含むよう構成され、従って、ツリーにおけるすべてのノードがデータ鍵k1〜knのこうした暗号にアクセスすることができる。
当業者であれば、図1に示される通信スキームは、様々な形態で実現されることができることを理解されるであろう。別の実施形態では、例えば、情報が、リーフノードのすべてにブロードキャストされることができる。リーフノードは、ルートノードへの経路におけるすべての鍵を含むよう構成されることができる。情報及び鍵が物理的に格納される場所に関係なく、これらの2つの代替的な実施形態は、論理的に均等であり、基本的な前提は、リーフノードがその経路における各ノードに対応する鍵へのアクセス権を持ち、これらの鍵が、保護された態様でそのツリーのすべてのノードに利用可能な情報へのアクセスを可能にする。
アクセス鍵と暗号化された内容とをブロードキャストする前述のシステムは知られている。Amos Fiatらによる「Advances in Cryptology」、CRYPTO'93、480〜491頁、August 1993でのタイトル「Broadcast Encryption」が、メンバーの第1のサブセットではない第2のサブセットが、メンバーの第1のサブセットを対象とする安全な通信にアクセスすることができないよう、第1のサブセットの各メンバーに複数の鍵をブロードキャストすることを教示し、本書でも参照により含まれる。この参考文献に教示されるように、各メンバーにより格納される鍵の数は、メンバーの総数と、第2のサブセットに含まれるメンバー数とに関連し、第1のサブセットの大きさには無関係である。Dalit Naorらによる「Advances in Cryptology」、CRYPTO'01、41〜62頁、2001でのタイトル「Revocation and Tracing Schemes for Stateless Receivers」は、ステートレス型(stateless:状態を保持しない)受信機に対する暗号化された内容の復号権の取り消しを教示し、本書でも参照により含まれる。この参考文献に論じられるように、ステートレス型受信機は、以前の通信の過去の履歴を記録することができない。従って、ステートレス型受信機の動作は、現在のブロードキャスト通信(例えば、可能性のあるすべての受信機により受信される)と、各受信機に固有のアクセス証明書を含む初期構成とに基づかれる。ブロードキャストメッセージの必要な長さは、取り消される受信機の数と、受信機の総数とに関連する一方、メッセージの復号を可能にするブロードキャスト鍵の数は、取り消される受信機の数のみに関連する。
詳細は以下に論じられるが、適切な鍵を持つことは、その鍵を所有するノードが、保護された情報にアクセス/復号することを可能にする。
以下の表現が、アイテムの暗号を規定するのに使用される:
[k(node1), k(node2),etc.](item)
であり、「node1, node2, etc.」は、1つ又は複数のノードを示し、そのノードで、「item(アイテム)」を復号するための鍵k(node)が発見されることができることを示す。k(node)は、以後ノード鍵と呼ぶ。上述されたように、この開示を通して、「暗号」という用語は、アイテムに対する未認証なアクセスからの保護を与える意味で一般的に使用され、「復号」という用語は、保護されたアイテムへのアクセスを与えるという意味で一般的に使用される。
すべてのデータがすべてのノードに対してアクセス可能である場合、以下の情報が、ノードrでは利用可能である。
[k(r)](k1), [k(r)](k2), [k(r)](k3), [k(r)](k4), [k(r)](k5)。
従って、ノードrにアクセスすることができる任意のノードは、任意のデータにアクセスすることができる。なぜなら、ノードrにアクセスすることができる任意のノードは、対応するデータ101〜105へのアクセスを可能にするデータ鍵k1〜k5のそれぞれへのアクセスを可能にするノード鍵k(r)へのアクセス権を持つからである。言い換えると、鍵がユーザ側で格納されるような実施形態において、ルートノードrの子供にあたるすべてのユーザノードが、k(r)のコピーを持ち、こうして、各鍵k1〜k5にアクセス/復号することができ、従って、データセット101〜105のそれぞれにアクセス/復号することができる。
本システムのこの側面によれば、役割r1内のユーザのみが、k1により保護されるデータ101へのアクセスを許可される場合、ノードrでの情報は、
[k(r1)](k1), [k(r)](k2), [k(r)](k3), [k(r)](k4),[k(r)](k5)
である。すなわち、ノードr1へのアクセス権を持つノードのみが、データ101へのアクセスを与えるデータ鍵k1へのアクセスを提供するノード鍵k(r1)を含むことができることになる。図1におけるツリーの階層的アクセス構造により、ノードr2及びr3は、ノードrへのアクセスのみを提供し、ノードr1へのアクセスは提供しない。
より複雑なアクセスシナリオとして、以下のアクセスルールを考える。
− 役割1のユーザは、すべてのデータセット101、102、103、104、105へのアクセス権を持つ。
− 役割2のユーザは、データセット102及び104へのアクセス権を持つ。
− 役割3のユーザは、データセット101、102及び103へのアクセス権を持つ。
この例において、ノードrは、以下の情報を含むことになる。
[k(r1), k(r3)](k1), [k(r)](k2), [k(r1), k(r3)](k3), [k(r1),k(r2)](k4),[k(r1)](k5)。
即ち、ルートノードrに到達することができるツリーにおける各ユーザ(即ちすべてのユーザ)は、上記情報を受信することができることになるが、ノード鍵k(r1)又はk(r3)へのアクセス権を持つユーザだけが、(データ鍵k1を介して)データセット101にアクセスすることができることになる。ノード鍵k(r)に対するアクセス権を持つユーザ(即ち、ツリーに対するアクセス権を持つすべてのユーザ)は、(データ鍵k2を介して)データセット102にアクセスすることができる、等となる。
データを保護するデータ鍵を選択的に保護することにより、複数の役割r1〜r3内で複数のデータセット101〜105を所与の役割ベースのルールに基づき保護することが、安全かつ効率的に維持されることができることに留意されたい。そのルールは、特定のノードに適用され、その特定のノードに到達可能なすべてのノードにもあてはまるので、単に所与の役割内の任意のノードへのアクセス権を新たなユーザに与えることにより、新たなユーザを既存の役割に追加することが容易に調整される点にも留意されたい。同様に、ルートノードrへのアクセス権を持つ役割ノードとしてその役割を追加し、この役割のユーザによるアクセスが許可されるデータに対応するデータ鍵を暗号化し、及び、この新たな役割ノードへのアクセス権を持つすべてのユーザに対応する復号鍵へのアクセスを与えることにより、追加的な役割及び関連ユーザの追加が容易に調整される。
データ鍵の選択的な保護も、役割に基づき許可されるアクセス権に関係なく、所有者固有のアクセス権の付与及び剥奪の効率的な調整を可能にする。例えば、上述のルールに以下の修正を加えることを考える。
− 役割1のユーザは、すべてのデータセット101、102、103、104、105へのアクセス権を持つが、ユーザeだけは、データ103へのアクセス権を持たない。
− 役割2のユーザは、データセット102及び104へのアクセス権を持つ。
− 役割3のユーザは、データセット101、102及び103へのアクセス権を持つ。
この例において、ノードrは、以下の情報を含むことになる。
[k(r1), k(r3)](k1), [k(r)](k2), [k(n1), k(n4), k(r3)](k3), [k(r1),k(r2)](k4),[k(r1)](k5)。
即ち、データ103にアクセスするためのデータ鍵k3へのアクセスは、ノード鍵k(n1)、k(n4)及びk(r3)にアクセスすることができるユーザに限定される。ユーザa及びbは、ノードn1にアクセスすることができ、従って、k(n1)へのアクセス権を持つ。ユーザc及びdは、アクセスノードn4にアクセスすることができ、従って、k(n4)へのアクセス権を持つ。従って、ユーザeを除く役割r1のユーザはすべてデータ103にアクセスすることができ、上述のルールとも一致する。
ユーザのアクセス権が変更になるとき、例えば、この例でいうと、ユーザeが、データセット103へのアクセス権を否定されるとき、上述の米国出願公開第2005/0204161号で行われるようなツリーからのユーザの除外は必ずしも必要でなくなる点に留意されたい。代わりに、データ鍵の保護は、単にデータ鍵へのそのユーザアクセスを否定するように変更されるだけである。好ましくは、除外されたユーザが、そのユーザが以前にアクセスした1つ又は複数の鍵を保持していた場合には、そのデータセットは新しいデータ鍵(この例でいうとk3)で再度暗号化され、改訂された認証ノード鍵(この例でいうと、ノードn1、n4及びr3のノード鍵k(n1)、k(n4)及びk(r3))を用いて再度暗号化されるのはこの新たなデータ鍵となる。前述の出願公開では必要とされるが、ユーザのアクセス権を変更しても、ユーザとルートノードとの間のすべてのノード鍵の交換を必要とするものではないことに特に留意されたい。
ユーザがツリーから完全に除外されるとき、以前にアクセス可能であったデータは、新しいデータ鍵を用いて再度暗号化される。好ましくは、参照される米国出願公開第2005/0204161号に詳細に記載される処理が使用され、それは、以前にアクセス可能であったすべてのノード鍵の交換、及びそれに伴うツリー全体へのユーザアクセスの否定を含む。
図2は、データセットに関連付けられるアクセスルールに基づくデータ鍵の特定及び保護に関するフロー図を示す。ステップ210では、上述のデータ鍵を用いて、通常各データセットをその関連するデータ鍵で暗号化することにより、データセットが保護される。
ステップ220では、一般に各ユーザの役割に基づき、ユーザの階層的ツリーが作成される。詳細は以下で論じられる。各役割内のツリーの構造は、好ましくは、バイナリツリー又はNアレイツリーであるが、階層は任意の形態をとることができる。
ステップ230では、論理表現を表すための従来技術において一般的な技術を用いて、許可されたアクセス権を特定するためのルールが処理され、そのルールに合致することが確実にされる。ルールの形式及び構造は、一般的に、特定の用途に依存する。例えば、いくつかの用途では、すべての役割内のすべてのユーザがすべてのデータへのアクセス権を持つよう認証されることが想定され、そのルールは、この想定されたアクセスに対する除外を容易に特定するよう構築される。他の用途では、1人のユーザもアクセス権を持つことが許可されないことが想定され、そのルールは、アクセス権の許可を容易に特定するよう構築される。他の用途では、デフォルトルールがオールユーザかノーユーザかをデータセットのタイプが規定することができ、ミックスされたルール形式が使用されることができる。ルールの処理は、各ユーザと各データセットとの間のマッピングへの一意なアクセス/非アクセスを規定するよう意図される。
ステップ240において、ユーザとデータセットとの間のアクセスマッピングは、各ユーザに関連付けられる「最大共通アクセス(GCA)ノード」を規定するよう処理される。直接的な実施形態において、ツリーのすべてのノードが、アクセスを提供するよう構成されることが想定される。そのアクセスマップは、アクセスを否定されるノードを特定するよう処理される。基本的に、各データセットに対して、未認証ユーザのルートノードへの経路に沿った各ノードは、「アクセス権なし」ノードとしてマークされる。「アクセス権なし」ノードをマークした後、各「アクセス権なし」ノードの各「アクセス権あり」子ノードが、最大共通アクセスノード(GCA)として特定される。
上記例において、ユーザeを除く、役割r1内の図1のすべてのユーザは、データセット103へのアクセスを許可され、それは役割r3内のすべてのユーザについても同様である。最初に、すべてのノードが「アクセス権あり」ノードとしてマークされる。ユーザeからの追跡により、ノードe、n2、r1及びrが、データセット103に対して「アクセス権なし」ノードとしてマークされる。これは、r2を含むr2内のすべてのノードも同様である。データセット103に関連付けられるすべての「アクセス権なし」ノードをマークした後で、「アクセス権なし」ノードn2の「アクセス権あり」子ノードであるノードn4が、データセット103に対するGCAノードとして特定される。同様に、「アクセス権なし」ノードr1の「アクセス権あり」子ノードであるノードn1、及び「アクセス権なし」ノードrの「アクセス権あり」子ノードであるノードr3が、同様にGCAノードとしてマークされる。こうして、データセット103に関連付けられるGCAノードのセットは、本実施例では、ノードn1、n4及びr3として特定される。同様に、データセット101に対するGCAノードは、ノードr1及びr3である。データセット102に対しては、ノードrであり、データセット104に対しては、ノードr1及びr2である。データセット105に対しては、ノードr1である。
ステップ250においては、対応するデータセットに関連付けられる各GCAノードだけにアクセスを提供するよう、各データ鍵が保護される。上述の例を用いれば、暗号化を用いる実施形態において、データ鍵k1が、ノード鍵k(r1)及びk(r3)のそれぞれを用いて暗号化される。データ鍵k2は、ノード鍵k(r)を用いて暗号化される。データ鍵k3が、ノード鍵k(n1)、k(n4)及びk(r3)を用いて暗号化される。データ鍵k4は、ノード鍵k(r1)及びk(r2)を用いて暗号化される。データ鍵k5は、ノード鍵k(r1)を用いて暗号化される。こうして、データ鍵を復号することができるノード鍵を持つノードにアクセスすることができる任意のユーザが、そのデータ鍵により保護されるデータセットにアクセスすることができる。所与のデータセットに関連付けられるデータ鍵にアクセスできないユーザは、そのデータセットにアクセスすることができない。
上述の鍵管理処理の効率を高めるため、同様なアクセス権を持つユーザは、好ましくは、階層的なツリーにおいて一緒にグループ化される。ユーザが一般的にアクセス権によりグループ化される場合、GCAノードは、こうしたユーザをすべて含む傾向にあり、従って、各データセットに対するGCAノードの数は減らされる。上述されたように役割別にユーザをグループ化することは、一般に効率的な階層を与え、特に、役割内に少数の例外が存在するような場合に有効である。
いくつかの状況では、ユーザが異なる時間で異なる役割を持つ場合がある。例えば、医療分野においては、医師は主に一般の開業医の責務を果たすが、特定の日には、緊急救命室の医師の責務を果たす場合がある。ユーザが一般的な開業医として働いている日には、そのユーザは、緊急救命室の医師に許可される役割ベースのアクセス権を持つべきではないし、その逆もまた真である。
好ましい実施形態において、単一の役割を持つすべてのユーザは、その役割のサブツリー上でリーフノードに割り当てられる。複数の役割を持つユーザに対しては、多くの可能性があり、例えば、1つ又は別の役割へのユーザの割り当ての統計に関する追加情報が、各ユーザに対する適切なサブツリーを決定するために解析されることができる。ユーザが支配的に所与の役割を持つ場合、この役割は一般的にこのユーザに対して選択されることになる。ユーザが支配的な役割を持たないが、ユーザに想定される役割が、別のユーザの役割と非常に相関し、両者が通常同じアクセス権を付与される場合には、未割り当てのユーザが他のユーザの役割サブツリーに割り当てられることになる。他方、ユーザが支配的な役割を持たず、別のユーザへの相関を示さない場合には、このユーザは、このユーザが共通してキャストされる、好ましくはルートノードに近いいずれかのノードのサブツリーの下のリーフノードに割り当てられることができる。その結果、このユーザとルートノードとの間で「アクセス権なし」としてマークされることができるノードの数は、最小化される。また、既存の役割のいずれにも一般には適合しないユーザのアクセスを管理するのに、新しいサブツリーが作成されることができる。同様に、役割サブツリー内で、その役割に関連する基本的なアクセス権にしばしば適合しないことが判明するユーザが、例えば、しばしばその役割から外れる複数の役割を持つユーザが、一般に適合するユーザから切り離されて、好ましくはルートノードに近いものとして一緒にグループ化される。
この開示に鑑み当業者には明らかなように、多くの情報が得られると、例えば、システムが一定の時間にわたり使用されると、この新しい情報が、任意の時点でツリーを再構築するのに使用されることができる。
図3は、例示的なアクセス制御システム300を示す。データ暗号部310は、対応するデータ鍵315を介してのみアクセスされることができる保護済みデータセット311を与えることにより、1つ又は複数のデータセット301を保護するよう構成される。好ましくは、元のデータセット301は破壊されるか、又は物理的にリモートアクセスから切り離される。
ルールプロセッサ320は、保護済みデータセット311に対するアクセス権をそのデータのユーザ候補者に割り当てるためアクセスルール302を処理するよう構成される。上述されたように、特定のデータセットに基づき、及び異なるユーザ又はユーザグループに基づき、異なるアクセス権を割り当てることが可能である。
ツリー生成器330は、ユーザ303又はユーザグループ304の中でアクセス権の通信を容易にするアクセスツリー332を生成するよう構成される。ユーザのグループ化は普通、データへのアクセスが要求されたとき各ユーザ303が実行する1つ又は複数の役割304に基づかれる。しかしながら、他のグループ化が同様に使用されることもできる。オプションで、上述されたように、ユーザ毎に特化したアクセス権をツリー332を介して通信することに関するオーバーヘッドを最小化するため、ユーザのグループ化がアクセス権340の以前又は現在の許可に基づかれることもできる。
ツリー生成器330は、ツリーの各ノードに関連付けられるノード鍵335も生成する。こうしたノード鍵335は、ルートノードへのノードの経路に沿ってノード経由のアクセスを得るのに使用されるのと同じ鍵とすることができるか、又は、前述されたように、鍵暗号部350により各ノード鍵に対する必要性に基づき、特定の目的の鍵が要求に応じて生成されることができる。
鍵暗号部350は、ルールプロセッサ320により決定されるアクセス権に基づき各データ鍵315を暗号化するよう構成される。これらのアクセス権は、ルールプロセッサ320から、各保護済みデータセット311に対するアクセスが許可されるべき、ツリー332に含まれるノードのリスト325として通信される。このリスト325は、各データセット311に対するアクセス権を持つ各ユーザノードの完全なリストであるが、好ましい実施形態では、このリスト325は、各データセット311に対するアクセス権を持つ「最大共通アクセス」(GCA)ノードを特定する。上述したように、各GCAノードは、そのノードの下の各ノードが所与のデータセットに対するアクセス権を持つようなノードである。この態様で、GCAノードに到達することができる任意のノードは、リスト325に明示的に記載がなくても、所与のデータセットに対するアクセス権を付与される。
各データセット311に対するツリー332における承認されたノードのリスト325を用いると、鍵暗号部350は、各データセット311に関連付けられるデータ鍵315を、このデータセット311に対する各承認されたノードに関連付けられるノード鍵335を用いて暗号化する。暗号化されたデータ鍵の結果として生じるセット355は、ツリー332のルートノードに与えられる。
鍵暗号部350及びデータ暗号部310は、個別の暗号要素として図示されるが、当業者であれば、1つの暗号部が、両方の暗号部の機能を実行するのに使用されることができることを理解されるであろう。
上述されたように、ツリー332は、そのツリーにおける各ノードに、ルートノードにある情報にアクセスできる機能を提供する(通常、ルートノードと通信状態にあるように各ノードを配置する、と表現される)。しかしながら、ルートノードにある情報アイテムが、選択されたノード325に関連付けられるノード鍵335で暗号化されたデータ鍵355であるため、選択されたノード325だけが、各保護済みデータセット311にアクセスするのに、そのルートノードにある情報を利用することができる。
これまでの説明は、単に本システムの原理を説明するにすぎない。当業者は、本書に明示的に記載又は開示されていなくとも、本システムの原理をその精神及び範囲内で実現する様々な装置を工夫することができることを理解されたい。例えば、例示的な階層的ツリーの組織が、役割ベースのアクセス制御システムの観点から与えられるが、当業者であれば、その階層構造は好ましくは、斯かるアクセス権が役割に基づかれるかに関係なく、共有されるアクセス権に基づかれることを理解されるであろう。同様に、観測される相関に対する原因を関連付けすることなく、その構造は、アクセス制御に関連する統計に純粋に基づき構築されることができる。これら及び他のシステム構成及び最適化の特徴は、この開示に鑑み当業者には明らかであろうし、請求項の範囲内に含まれるものである。
請求項を解釈するにあたり、以下のことを理解されたい。
a) 単語「comprising(有する)」は、所与の請求項に記載されている要素又は動作以外の他の要素又は動作の存在を排除するものではない。
b) 単語「a」又は「an」が先行する要素は、斯かる要素の複数性を排除するものではない。
c) 請求項における任意の参照符号は、その範囲を限定するものではない。
d) 複数の「手段」は、構造又は機能を実現する同じアイテム又はハードウェア又はソフトウェアにより表されることができる。
e) 開示された要素はそれぞれ、ハードウェア部分(例えば、個別の及び一体化された電子回路を含む)、ソフトウェア部分(例えば、コンピュータプログラム)、及びこれらの任意の組み合わせを有することができる。
f) ハードウェア部分は、アナログ及びデジタル部分のいずれか又は両方を有することができる。
g) 特に記述がない場合、開示されたデバイス又はその一部のいずれかが、一緒に組み合わされるか、又は更に部分に分割されることができる。
h) 特に示されない限り、動作が特定の順に実行されることを必要とすることを意味するものではない。
i) 「複数」の要素という用語は、請求項の要素の2つ又はそれ以上を含み、特定の範囲の数の要素を意味するものではない。即ち、複数の要素が、わずか2つの要素であってもよい。
本発明のシステムによる、ユーザを選択するためデータを暗号化する鍵を伝搬するのに使用される例示的な階層的ツリー構造を示す図である。 本発明のシステムによる、ユーザを選択するべくデータ鍵の伝搬を管理するための例示的なフローダイアグラムを示す図である。 本発明のシステムによる、例示的なデータアクセス制御システムを示す図である。

Claims (24)

  1. データ保護デバイスにより、データセットをデータ鍵で保護するステップと、
    ツリー生成デバイスにより、前記データセットへアクセス権を持つ可能性のあるユーザの階層を作成するステップと、
    ルール処理デバイスにより、前記データセットに対する各ユーザのアクセス権を規定する1つ又は複数のルールを処理するステップと、
    前記ルール処理デバイスにより、前記階層における1つ又は複数のアクセスノードであって、前記アクセスノードより下のすべてのユーザが前記データセットに対するアクセス権を持つようなアクセスノードを決定するステップと、
    鍵保護デバイスにより、前記1つ又は複数のアクセスノードのそれぞれに関連付けられるノード鍵を用いて前記データ鍵を保護するステップとを有
    前記1つ又は複数のアクセスノードのそれぞれに関連付けられるノード鍵が、前記1つ又は複数のアクセスノードのそれぞれより下の前記階層における全てのユーザによりアクセス可能であり、
    特定のユーザのアクセス権の変更が、前記特定のユーザと前記データセットとの間の全てのノード鍵の置き換えを必要としない、方法。
  2. 前記データセットが属する複数のデータセットを含み、前記方法は、
    前記データセットを保護するステップが、前記複数のデータセットの他のデータセットをそれぞれ、複数のデータ鍵において対応する他のデータ鍵を用いて保護するステップであり
    前記処理するステップが、前記他のデータセットのそれぞれに対する各ユーザのアクセス権を規定するため、前記1つ又は複数のルールを処理するステップであり
    前記決定するステップが、前記階層における1つ又は複数のアクセスノードであって、前記アクセスノードより下のすべてのユーザが前記他のデータセットのそれぞれに対するアクセス権を持つようなアクセスノードを決定するステップであり
    前記データ鍵を保護するステップが、前記対応する他のデータセットに対する前記1つ又は複数のアクセスノードのそれぞれに関連付けられるノード鍵を用いて他のデータ鍵をそれぞれ保護するステップである、請求項1に記載の方法。
  3. 他のデータセットをそれぞれ保護するステップが、他のデータセットをそれぞれ暗号化するステップを含む、請求項に記載の方法。
  4. 他のデータ鍵をそれぞれ保護するステップが、他のデータ鍵をそれぞれ暗号化するステップを含む、請求項3に記載の方法。
  5. 他のデータ鍵をそれぞれ保護するステップが、他のデータ鍵をそれぞれ暗号化するステップを含む、請求項1に記載の方法。
  6. 前記階層を作成するステップが、前記階層内で同様なアクセス権を持つユーザのグループ化するステップを含む、請求項1に記載の方法。
  7. 前記ユーザをグループ化するステップが、少なくとも何人かのユーザに対するアクセス権の事前割当に基づく統計を決定するステップを含む、請求項6に記載の方法。
  8. 前記ユーザをグループ化するステップが、前記ユーザの少なくとも何人かに関連付けられる1つ又は複数の役割に基づかれる、請求項6に記載の方法。
  9. 前記1つ又は複数のルールのうちの少なくとも1つのルールが、前記1つ又は複数の役割のうちの少なくとも1つの役割に基づかれる、請求項8に記載の方法。
  10. 前記少なくとも1つの役割が、前記複数のユーザに関連付けられ、
    前記少なくとも1つのルールが、前記少なくとも1つの役割に関連付けられる前記複数のユーザ内の種々のユーザに種々のアクセス権を許可することを含む、請求項9に記載の方法。
  11. 前記ユーザの少なくとも何人かへのアクセス権の事前割当に基づく統計に基づき、前記階層を修正するステップを含む、請求項6に記載の方法。
  12. 対応する1つ又は複数のデータ鍵に基づき、1つ又は複数のデータセットを保護するよう構成されるデータ保護部と、
    複数のユーザに対応する階層的ツリー構造を生成するよう構成されるツリー生成器であって、前記ツリー上の各ノードが、対応するノード鍵に関連付けられる、ツリー生成器と、
    各データセットに対する各ユーザのアクセス権と、1つ又は複数のデータセットのそれぞれに対するアクセス権を持つ複数のユーザのうちのユーザを選択することに対応する、前記階層的ツリー構造におけるアクセスノードとを特定するアクセスルールを処理するよう構成されるルールプロセッサと、
    前記アクセスノードのそれぞれに対応する前記ノード鍵に基づき、前記1つ又は複数のデータ鍵を保護するよう構成される鍵保護部とを有
    前記アクセスノードのそれぞれに関連付けられるノード鍵が、前記アクセスノードのそれぞれより下の前記階層における全てのユーザによりアクセス可能であり、
    特定のユーザのアクセス権の変更が、前記特定のユーザと前記データセットとの間の全てのノード鍵の置き換えを必要としない、システム。
  13. 前記データ保護部が、前記対応するデータ鍵に基づき、前記データセットの暗号化を介して前記1つ又は複数のデータセットを保護する、請求項12に記載のシステム。
  14. 前記鍵保護部が、前記1つ又は複数のデータセットのそれぞれに対する前記アクセスノードに対応する前記ノード鍵に基づき、前記データ鍵の暗号化を介して前記1つ又は複数のデータ鍵を保護する、請求項12に記載のシステム。
  15. 前記ツリー生成器が、前記複数のユーザ内での共通のアクセス権に基づき、前記階層的ツリー構造を生成するよう構成される、請求項12に記載のシステム。
  16. 前記ツリー生成器が、前記複数のユーザに関連付けられる1つ又は複数の役割に基づき、前記階層的ツリー構造を生成するよう構成される、請求項12に記載のシステム。
  17. 前記ツリー生成器が、前記複数のユーザに対して許可される事前のアクセス権に少なくとも部分的に基づき、前記階層的ツリー構造を修正するよう構成される、請求項12に記載のシステム。
  18. 前記アクセスノードが、最大共通アクセスノードに対応する、請求項12に記載のシステム。
  19. データ保護デバイスにより、対応するデータ鍵を用いて複数のデータセットを暗号化するステップと、
    ルール処理デバイスにより、前記複数のデータセットの各データセットに対する複数のユーザの各ユーザのアクセス権を規定するステップと、
    ツリー生成デバイスにより、前記複数のユーザを表す階層的ツリー構造を作成するステップと、
    鍵保護デバイスにより、暗号化されたデータ鍵の複数のセットを形成するのに、前記階層的ツリー構造に関連付けられる複数のノード鍵を用いて前記アクセス権に基づき前記データ鍵を暗号化するステップと、
    前記ツリー生成デバイスにより、暗号化されたデータ鍵の前記セットを前記階層的ツリー構造を介して前記ユーザのそれぞれに通信するステップとを有
    各ノード鍵が、前記ノード鍵に関連付けられるアクセスノードより下の前記階層における全てのユーザによりアクセス可能であり、
    特定のユーザのアクセス権の変更が、前記特定のユーザと前記データセットとの間の全てのノード鍵の置き換えを必要としない、方法。
  20. 前記階層的ツリー構造を作成するステップが、
    前記ツリーのリーフノードに各ユーザを関連付けるステップと、
    各リーフノードからルートノードまでの経路を作成するため、前記ツリーのブランチノードを形成するステップとを含む、請求項19に記載の方法。
  21. 前記ブランチノードを形成するステップが、
    前記複数のユーザの中で共通のアクセス権を特定するステップと、
    前記共通のアクセス権に基づき、前記ブランチノードを形成するステップとを含む、請求項20に記載の方法。
  22. 前記共通のアクセス権を特定するステップが、少なくとも部分的に、前記複数のユーザに関連付けられる1つ又は複数の役割に基づかれる、請求項21に記載の方法。
  23. 前記共通のアクセス権を特定するステップが、少なくとも部分的に、前記複数のユーザ間のアクセス権の1つ又は複数の事前特定に基づかれる、請求項21に記載の方法。
  24. 前記暗号化されたデータ鍵の各セットが、各データセットに対応する、請求項19に記載の方法。
JP2008530712A 2005-09-16 2006-09-14 暗号化による役割ベースのアクセス制御 Active JP4975035B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US71818005P 2005-09-16 2005-09-16
US60/718,180 2005-09-16
US76387806P 2006-01-31 2006-01-31
US60/763,878 2006-01-31
PCT/IB2006/053283 WO2007031955A2 (en) 2005-09-16 2006-09-14 Cryptographic role-based access control

Publications (2)

Publication Number Publication Date
JP2009509227A JP2009509227A (ja) 2009-03-05
JP4975035B2 true JP4975035B2 (ja) 2012-07-11

Family

ID=37865358

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008530712A Active JP4975035B2 (ja) 2005-09-16 2006-09-14 暗号化による役割ベースのアクセス制御

Country Status (5)

Country Link
US (1) US9858433B2 (ja)
EP (1) EP1929423A2 (ja)
JP (1) JP4975035B2 (ja)
CN (1) CN101263504B (ja)
WO (1) WO2007031955A2 (ja)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8579853B2 (en) * 2006-10-31 2013-11-12 Abbott Diabetes Care Inc. Infusion devices and methods
US20080122616A1 (en) * 2006-11-28 2008-05-29 General Electric Company Smart bed method
US20080120784A1 (en) * 2006-11-28 2008-05-29 General Electric Company Smart bed system and apparatus
US20090180617A1 (en) * 2008-01-10 2009-07-16 General Instrument Corporation Method and Apparatus for Digital Rights Management for Removable Media
US8256007B2 (en) * 2008-03-25 2012-08-28 Northrop Grumman Systems Corporation Data security management system and methods
US20090307172A1 (en) * 2008-06-06 2009-12-10 Microsoft Corporation Retroactive policy enforcement
CN101620650B (zh) * 2008-07-01 2011-04-06 成都市华为赛门铁克科技有限公司 一种文件权限控制的方法、文件权限控制系统和服务器
CN101325481B (zh) * 2008-07-29 2010-12-29 成都卫士通信息产业股份有限公司 一种分组授权控制方法
JP5043786B2 (ja) * 2008-09-10 2012-10-10 Kddi株式会社 アクセス制御システム、アクセス制御方法
US20100169662A1 (en) * 2008-12-30 2010-07-01 Scott Summers Simultaneous state-based cryptographic splitting in a secure storage appliance
US20100199223A1 (en) * 2009-02-03 2010-08-05 Oracle International Corporation Hierarchy display
US8256010B2 (en) * 2009-04-01 2012-08-28 Microsoft Corporation Providing access to a data item using access graphs
US8255419B2 (en) * 2009-06-17 2012-08-28 Microsoft Corporation Exclusive scope model for role-based access control administration
US10454674B1 (en) * 2009-11-16 2019-10-22 Arm Limited System, method, and device of authenticated encryption of messages
US9231758B2 (en) * 2009-11-16 2016-01-05 Arm Technologies Israel Ltd. System, device, and method of provisioning cryptographic data to electronic devices
WO2011058533A2 (en) * 2009-11-16 2011-05-19 Discretix Technologies Ltd. Methods circuits devices and systems for provisioning of cryptographic data to one or more electronic devices
EP2348449A3 (en) 2009-12-18 2013-07-10 CompuGroup Medical AG A computer implemented method for performing cloud computing on data being stored pseudonymously in a database
EP2348452B1 (en) 2009-12-18 2014-07-02 CompuGroup Medical AG A computer implemented method for sending a message to a recipient user, receiving a message by a recipient user, a computer readable storage medium and a computer system
KR101270991B1 (ko) * 2009-12-21 2013-06-04 한국전자통신연구원 계층적 역할 기반 접근 제어를 위한 키 트리 구성 및 키 분배 방법
EP2365456B1 (en) 2010-03-11 2016-07-20 CompuGroup Medical SE Data structure, method and system for predicting medical conditions
US20120084562A1 (en) * 2010-10-04 2012-04-05 Ralph Rabert Farina Methods and systems for updating a secure boot device using cryptographically secured communications across unsecured networks
US9026805B2 (en) 2010-12-30 2015-05-05 Microsoft Technology Licensing, Llc Key management using trusted platform modules
US8868502B2 (en) * 2011-01-14 2014-10-21 Apple Inc. Organizing versioning according to permissions
US9008316B2 (en) * 2012-03-29 2015-04-14 Microsoft Technology Licensing, Llc Role-based distributed key management
CN103312721B (zh) * 2013-07-04 2016-12-28 北京迈普华兴信息技术有限公司 一种云平台访问控制架构及其实现方法
US20160350544A1 (en) * 2014-10-22 2016-12-01 Sze Yuen Wong Methods And Apparatus For Sharing Encrypted Data
US20160248767A1 (en) * 2015-02-23 2016-08-25 Apollo Education Group, Inc. Method and system for secure communications
US10560440B2 (en) 2015-03-12 2020-02-11 Fornetix Llc Server-client PKI for applied key management system and process
US10630686B2 (en) 2015-03-12 2020-04-21 Fornetix Llc Systems and methods for organizing devices in a policy hierarchy
US10965459B2 (en) 2015-03-13 2021-03-30 Fornetix Llc Server-client key escrow for applied key management system and process
KR102381371B1 (ko) 2015-12-10 2022-03-31 삼성전자주식회사 근거리 통신을 이용한 정보 제공 시스템 및 방법
US11063980B2 (en) * 2016-02-26 2021-07-13 Fornetix Llc System and method for associating encryption key management policy with device activity
US10503923B1 (en) * 2016-08-31 2019-12-10 Amazon Technologies, Inc. Centralized data store for multiple data processing environments
US10607025B2 (en) * 2016-09-15 2020-03-31 PeerNova, Inc. Access control through data structures
US11100250B2 (en) 2017-09-05 2021-08-24 Philips Healthcare Informatics, Inc. Controlling access to data in a health network
CN108063756B (zh) 2017-11-21 2020-07-03 阿里巴巴集团控股有限公司 一种密钥管理方法、装置及设备
US11544799B2 (en) 2017-12-05 2023-01-03 Sureprep, Llc Comprehensive tax return preparation system
US11238540B2 (en) 2017-12-05 2022-02-01 Sureprep, Llc Automatic document analysis filtering, and matching system
US11314887B2 (en) * 2017-12-05 2022-04-26 Sureprep, Llc Automated document access regulation system
US11113408B2 (en) * 2018-08-20 2021-09-07 Hewlett Packard Enterprise Development Lp Providing a secure object store using a hierarchical key system
CN111131144B (zh) * 2019-11-05 2021-11-16 远景智能国际私人投资有限公司 IoT设备管理方法、装置、服务器及存储介质
US11646872B2 (en) * 2020-04-20 2023-05-09 Clemson University Management of access authorization using an immutable ledger
US11860950B2 (en) 2021-03-30 2024-01-02 Sureprep, Llc Document matching and data extraction

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69427347T2 (de) 1994-08-15 2001-10-31 Ibm Verfahren und System zur verbesserten Zugriffssteuerung auf Basis der Rollen in verteilten und zentralisierten Rechnersystemen
JPH11175402A (ja) * 1997-12-10 1999-07-02 Fujitsu Ltd カード型記憶媒体及びカード型記憶媒体のアクセス制御方法並びにカード型記憶媒体用アクセス制御プログラムを記録したコンピュータ読み取り可能な記録媒体
US6457130B2 (en) * 1998-03-03 2002-09-24 Network Appliance, Inc. File access control in a multi-protocol file server
US7039614B1 (en) * 1999-11-09 2006-05-02 Sony Corporation Method for simulcrypting scrambled data to a plurality of conditional access devices
JP2001352321A (ja) * 2000-04-06 2001-12-21 Sony Corp 情報処理システム、情報処理方法、および情報記録媒体、並びにプログラム提供媒体
RU2002100081A (ru) * 2000-04-06 2003-07-27 Сони Корпорейшн (JP) Система и способ обработки информации
US20020076204A1 (en) * 2000-12-18 2002-06-20 Toshihisa Nakano Key management device/method/program, recording medium, reproducing device/method, recording device, and computer-readable, second recording medium storing the key management program for copyright protection
JP4581246B2 (ja) * 2000-12-26 2010-11-17 ソニー株式会社 情報処理システム、および情報処理方法、並びにプログラム記録媒体
US7185364B2 (en) * 2001-03-21 2007-02-27 Oracle International Corporation Access system interface
KR100929336B1 (ko) * 2001-03-29 2009-12-03 파나소닉 주식회사 데이터를 암호화하여 데이터를 보호하는 데이터 보호 시스템
US7107610B2 (en) * 2001-05-11 2006-09-12 Intel Corporation Resource authorization
JP3809779B2 (ja) * 2001-06-18 2006-08-16 ソニー株式会社 データ転送システム、データ転送装置、データ記録装置、データ転送方法
US7340603B2 (en) * 2002-01-30 2008-03-04 Sony Corporation Efficient revocation of receivers
EP1488596B1 (en) * 2002-03-27 2018-02-28 British Telecommunications public limited company Key management protocol
US7672945B1 (en) * 2002-04-08 2010-03-02 Oracle International Corporation Mechanism for creating member private data in a global namespace
US8271530B2 (en) * 2002-04-08 2012-09-18 Oracale International Corporation Method and mechanism for managing and accessing static and dynamic data
US7234063B1 (en) * 2002-08-27 2007-06-19 Cisco Technology, Inc. Method and apparatus for generating pairwise cryptographic transforms based on group keys
CN1241350C (zh) * 2002-09-23 2006-02-08 国际商业机器公司 有条件接收系统中的密钥分配方法及装置
CN1487750A (zh) * 2002-09-30 2004-04-07 北京三星通信技术研究有限公司 多媒体广播与组播业务中密码的管理及分发方法
JP2004248272A (ja) * 2003-01-24 2004-09-02 Kazuo Ota コンテンツ再生のための鍵を管理する方法
GB2404487A (en) * 2003-07-31 2005-02-02 Sony Uk Ltd Access control for digital storage medium content
JP2005056234A (ja) * 2003-08-06 2005-03-03 Sony Corp 情報処理装置、情報記憶装置、および方法、並びにコンピュータ・プログラム
JP2005085136A (ja) * 2003-09-10 2005-03-31 Toshiba Corp 行政文書管理装置、および行政文書管理プログラム
US7530112B2 (en) 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
US7640429B2 (en) * 2004-02-26 2009-12-29 The Boeing Company Cryptographically enforced, multiple-role, policy-enabled object dissemination control mechanism
US20050210014A1 (en) * 2004-03-08 2005-09-22 Sony Corporation Information-processing method, decryption method, information-processing apparatus and computer program
US7328343B2 (en) 2004-03-10 2008-02-05 Sun Microsystems, Inc. Method and apparatus for hybrid group key management
US7593532B2 (en) * 2004-04-22 2009-09-22 Netapp, Inc. Management of the retention and/or discarding of stored data
US7254588B2 (en) * 2004-04-26 2007-08-07 Taiwan Semiconductor Manufacturing Company, Ltd. Document management and access control by document's attributes for document query system
US20050276234A1 (en) * 2004-06-09 2005-12-15 Yemeng Feng Method and architecture for efficiently delivering conferencing data in a distributed multipoint communication system
US20060053285A1 (en) * 2004-07-29 2006-03-09 Kimmel Gerald D Object access level
US20060242067A1 (en) * 2004-12-21 2006-10-26 Fabrice Jogand-Coulomb System for creating control structure for versatile content control
US20060242151A1 (en) * 2004-12-21 2006-10-26 Fabrice Jogand-Coulomb Control structure for versatile content control
US8347088B2 (en) * 2005-02-01 2013-01-01 Newsilike Media Group, Inc Security systems and methods for use with structured and unstructured data
US7661146B2 (en) * 2005-07-01 2010-02-09 Privamed, Inc. Method and system for providing a secure multi-user portable database
US7644445B2 (en) * 2005-07-11 2010-01-05 Microsoft Corporation Secure key management for scalable codestreams
US20070014399A1 (en) * 2005-07-15 2007-01-18 Scheidt Edward M High assurance key management overlay
US7672483B2 (en) * 2006-03-30 2010-03-02 Microsoft Corporation Controlling and customizing access to spatial information

Also Published As

Publication number Publication date
JP2009509227A (ja) 2009-03-05
WO2007031955A2 (en) 2007-03-22
US9858433B2 (en) 2018-01-02
EP1929423A2 (en) 2008-06-11
WO2007031955A3 (en) 2007-10-18
US20080263370A1 (en) 2008-10-23
CN101263504B (zh) 2010-06-16
CN101263504A (zh) 2008-09-10

Similar Documents

Publication Publication Date Title
JP4975035B2 (ja) 暗号化による役割ベースのアクセス制御
Yüksel et al. Research issues for privacy and security of electronic health services
CN114513533B (zh) 一种分类分级健身健康大数据共享系统及方法
Zhang et al. Security models and requirements for healthcare application clouds
Benaloh et al. Patient controlled encryption: ensuring privacy of electronic medical records
Li et al. Securing personal health records in cloud computing: Patient-centric and fine-grained data access control in multi-owner settings
Raykova et al. Privacy enhanced access control for outsourced data sharing
US7930756B1 (en) Multi-level cryptographic transformations for securing digital assets
Nabeel et al. Privacy preserving delegated access control in the storage as a service model
Riedl et al. A secure architecture for the pseudonymization of medical data
Thummavet et al. A novel personal health record system for handling emergency situations
KR20210063619A (ko) 속성을 기반으로 한 블록체인 네트워크에서의 접근 권한 제어 시스템 및 접근 권한 제어 방법
Garson et al. Security and privacy system architecture for an e-hospital environment
Debnath et al. A secure revocable personal health record system with policy-based fine-grained access control
Blanquer et al. Enhancing privacy and authorization control scalability in the grid through ontologies
Rai et al. Pseudonymization techniques for providing privacy and security in EHR
Bhagyoday et al. Comprehensive study of E-Health security in cloud computing
Faragallah et al. Multilevel security for relational databases
Wungpornpaiboon et al. Two-layer ciphertext-policy attribute-based proxy re-encryption for supporting PHR delegation
Heurix et al. PERiMETER–pseudonymization and personal metadata encryption for privacy-preserving searchable documents
Mhatre et al. Comparative study on attribute-based encryption for health records in cloud storage
Abouakil et al. Data models for the pseudonymization of DICOM data
Petković et al. Cryptographically enforced personalized role-based access control
Oh et al. Privacy-preserving audit for broker-based health information exchange
Kayem On monitoring information flow of outsourced data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090911

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110804

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20111102

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20111110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120313

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120410

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4975035

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150420

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250