JP2001331446A - セキュアエージェント実現方法とセキュアエージェントシステムとセキュアエージェント管理装置 - Google Patents
セキュアエージェント実現方法とセキュアエージェントシステムとセキュアエージェント管理装置Info
- Publication number
- JP2001331446A JP2001331446A JP2000152598A JP2000152598A JP2001331446A JP 2001331446 A JP2001331446 A JP 2001331446A JP 2000152598 A JP2000152598 A JP 2000152598A JP 2000152598 A JP2000152598 A JP 2000152598A JP 2001331446 A JP2001331446 A JP 2001331446A
- Authority
- JP
- Japan
- Prior art keywords
- secure
- agent
- secure agent
- user
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Multi Processors (AREA)
Abstract
(57)【要約】
【課題】本発明は、ユーザとプロバイダ双方の処理内容
の秘匿性を同時に保証するセキュリティ技術の提供を目
的とする。 【解決手段】本発明では、信頼できる第三者機関から生
成されたただ一種類のセキュアエージェントが、耐タン
パデバイス上に構築されたエージェント実行環境(セキ
ュアエージェント鍵を格納する)で、ユーザやプロバイ
ダの処理を代行する。このセキュアエージェントは、セ
キュアエージェント間の通信により、非セキュアなエー
ジェントに処理内容や個人情報を知られることなく処理
を実行できる。この構成に従って、処理内容や個人情報
の盗聴・改ざんに対する攻撃が困難なものとなり、セキ
ュアエージェントのなりすまし攻撃やセキュアエージェ
ントのトレース攻撃も不可能であるので、高いセキュリ
ティを実現できる。
の秘匿性を同時に保証するセキュリティ技術の提供を目
的とする。 【解決手段】本発明では、信頼できる第三者機関から生
成されたただ一種類のセキュアエージェントが、耐タン
パデバイス上に構築されたエージェント実行環境(セキ
ュアエージェント鍵を格納する)で、ユーザやプロバイ
ダの処理を代行する。このセキュアエージェントは、セ
キュアエージェント間の通信により、非セキュアなエー
ジェントに処理内容や個人情報を知られることなく処理
を実行できる。この構成に従って、処理内容や個人情報
の盗聴・改ざんに対する攻撃が困難なものとなり、セキ
ュアエージェントのなりすまし攻撃やセキュアエージェ
ントのトレース攻撃も不可能であるので、高いセキュリ
ティを実現できる。
Description
【0001】
【発明の属する技術分野】本発明は、情報通信システム
におけるセキュリティの実現技術に関わり、ユーザとプ
ロバイダ双方の処理内容の秘匿性を同時に保証するセキ
ュリティ技術を実現するセキュアエージェント実現方法
及びセキュアエージェントシステムと、それらで用いら
れるセキュアエージェント管理装置とに関する。
におけるセキュリティの実現技術に関わり、ユーザとプ
ロバイダ双方の処理内容の秘匿性を同時に保証するセキ
ュリティ技術を実現するセキュアエージェント実現方法
及びセキュアエージェントシステムと、それらで用いら
れるセキュアエージェント管理装置とに関する。
【0002】
【従来の技術】近年、ネットワークのオープン化に伴
い、ネットワークを利用したプロバイダが提供するサー
ビスは多様化してきている。それに対し、個々のサービ
スに対するユーザ要求は個別化してきている。
い、ネットワークを利用したプロバイダが提供するサー
ビスは多様化してきている。それに対し、個々のサービ
スに対するユーザ要求は個別化してきている。
【0003】このような粒度の細かなサービスをエンド
−エンドで利用・提供するために、ユーザやプロバイダ
はエージェントを用いて対応する研究が現在行われてい
る。エージェントとは、サービスを提供するサービスプ
ロバイダ(以下プロバイダと略す)や、サービスを利用
するユーザの処理を代行する自律性を持ったソフトウェ
アである。エージェントを用いて処理を実行するシステ
ムをエージェントシステムと呼ぶ。
−エンドで利用・提供するために、ユーザやプロバイダ
はエージェントを用いて対応する研究が現在行われてい
る。エージェントとは、サービスを提供するサービスプ
ロバイダ(以下プロバイダと略す)や、サービスを利用
するユーザの処理を代行する自律性を持ったソフトウェ
アである。エージェントを用いて処理を実行するシステ
ムをエージェントシステムと呼ぶ。
【0004】エージェントには、ユーザの操作をエージ
ェントが支援・代行するインタフェースエージェント、
ユーザによる遠隔の計算機(以下ノードと呼ぶ)の操作
を代行するネットワークエージェント、複数のエージェ
ントが対等な立場で動作し、全体として知的な振る舞い
をするマルチエージェントがある[箱守聰,横山和俊,
田辺雅則,入宮貞一,”エージェントシステムの研究と
その代表例”,Journal of Technology Transfer,Vol.1
9,NO.7-8 1996 〕。
ェントが支援・代行するインタフェースエージェント、
ユーザによる遠隔の計算機(以下ノードと呼ぶ)の操作
を代行するネットワークエージェント、複数のエージェ
ントが対等な立場で動作し、全体として知的な振る舞い
をするマルチエージェントがある[箱守聰,横山和俊,
田辺雅則,入宮貞一,”エージェントシステムの研究と
その代表例”,Journal of Technology Transfer,Vol.1
9,NO.7-8 1996 〕。
【0005】ネットワークエージェントには、エージェ
ントがネットワークを介して異なるノードに移動する移
動エージェントがある。移動エージェントは、自律的に
ノードを選択し、移動するエージェントである。移動後
は、移動先のノードのCPUやメモリなどの資源を使用
し、エージェント間通信を行うなどして処理を継続実行
する。
ントがネットワークを介して異なるノードに移動する移
動エージェントがある。移動エージェントは、自律的に
ノードを選択し、移動するエージェントである。移動後
は、移動先のノードのCPUやメモリなどの資源を使用
し、エージェント間通信を行うなどして処理を継続実行
する。
【0006】移動エージェントは、非同期実行によるネ
ットワークの切断が可能である。移動エージェントを用
いた場合、ネットワーク上を移動エージェントが移動す
る間だけノード間が接続されていればよく、ノード間の
通信を非同期で行うことができる。また、エージェント
を移動させるということは、プログラムを他のノードに
送信することなので、システムを動的に結合できる。
ットワークの切断が可能である。移動エージェントを用
いた場合、ネットワーク上を移動エージェントが移動す
る間だけノード間が接続されていればよく、ノード間の
通信を非同期で行うことができる。また、エージェント
を移動させるということは、プログラムを他のノードに
送信することなので、システムを動的に結合できる。
【0007】これにより、プログラムの動的な入れ替え
をエージェントの入れ替えで実現できる。このように、
移動エージェントシステムは、多様なサービスを提供す
るプロバイダと個別化したユーザ要求とを動的に結合す
るのに有効なシステムの一つである。現在は、優れた移
動性を持つAglets[美馬義亮、" 移動するプログラムモ
バイルエージェント",電子情報通信学会誌,Vol.82,No.
4,pp.360-366,1999] や、自らプランを生成しそれにし
たがって動作するPlangent[本位田真一,"第5回動き始
めたモバイルエージェント”,情報処理,Vol.39,No.8,
pp.812-815,1998]の研究が行われている。
をエージェントの入れ替えで実現できる。このように、
移動エージェントシステムは、多様なサービスを提供す
るプロバイダと個別化したユーザ要求とを動的に結合す
るのに有効なシステムの一つである。現在は、優れた移
動性を持つAglets[美馬義亮、" 移動するプログラムモ
バイルエージェント",電子情報通信学会誌,Vol.82,No.
4,pp.360-366,1999] や、自らプランを生成しそれにし
たがって動作するPlangent[本位田真一,"第5回動き始
めたモバイルエージェント”,情報処理,Vol.39,No.8,
pp.812-815,1998]の研究が行われている。
【0008】しかし、システムとして実現するには、移
動先のノードのエージェント実行環境や資源を考慮した
エージェントプログラムを作ることが困難であるなど、
幾つか解決しなければならない課題がある。
動先のノードのエージェント実行環境や資源を考慮した
エージェントプログラムを作ることが困難であるなど、
幾つか解決しなければならない課題がある。
【0009】これらの課題の中でも最も重要な項目は、
セキュリティを確保することである。セキュリティと
は、ソフトウェアが正常に動作する場合、故意または偶
然にプログラムや実行状態が盗聴や破壊されることな
く、システムが正常に動作することをいう。移動エージ
ェントは、自律的に移動先のノードを決定し移動する。
このため、移動先のノードの安全性を知ることは非常に
重要なことである。
セキュリティを確保することである。セキュリティと
は、ソフトウェアが正常に動作する場合、故意または偶
然にプログラムや実行状態が盗聴や破壊されることな
く、システムが正常に動作することをいう。移動エージ
ェントは、自律的に移動先のノードを決定し移動する。
このため、移動先のノードの安全性を知ることは非常に
重要なことである。
【0010】また、移動エージェントを受け入れるノー
ドにとっても、自システムを破壊するようなエージェン
トは受け入れられない。現在は、アクセス権を規定する
アクセス制御リストや、RSA(Rivest-Shamir-Adlema
n) などの暗号技術、バイオメトリックスやデジタル証
明書を利用した認証技術などの要素技術を組み合わせ
て、要所要所に適用することでセキュリティを実現して
いる。
ドにとっても、自システムを破壊するようなエージェン
トは受け入れられない。現在は、アクセス権を規定する
アクセス制御リストや、RSA(Rivest-Shamir-Adlema
n) などの暗号技術、バイオメトリックスやデジタル証
明書を利用した認証技術などの要素技術を組み合わせ
て、要所要所に適用することでセキュリティを実現して
いる。
【0011】しかし、移動エージェントシステムで安全
性を保証するには、要素技術の組み合わせだけでは不十
分であるばかりでなく、複雑な認証プロトコルのような
セキュリティ確保のために利用した要素技術が、移動エ
ージェントシステムの利便性を低下させる原因になる。
性を保証するには、要素技術の組み合わせだけでは不十
分であるばかりでなく、複雑な認証プロトコルのような
セキュリティ確保のために利用した要素技術が、移動エ
ージェントシステムの利便性を低下させる原因になる。
【0012】本発明の対象とするシステムは、インター
ネットなどのネットワークを使って、商品の売買や情報
検索などのサービスを提供する移動エージェントシステ
ムである。
ネットなどのネットワークを使って、商品の売買や情報
検索などのサービスを提供する移動エージェントシステ
ムである。
【0013】図7に、本発明の扱う移動エージェントシ
ステムの構成を図示する。サービスを利用する複数のユ
ーザは、個々のユーザノードに属する。サービスを提供
する複数のプロバイダは、個々のプロバイダノードに属
する。これらのユーザノードとプロバイダノードは分散
配置されていて、個々のノードはネットワークで接続さ
れている。ユーザとプロバイダは、それぞれ移動性の性
質を持つユーザエージェント(UA)とプロバイダエー
ジェント(PA)にサービスの利用や情報提供を代行さ
せる。
ステムの構成を図示する。サービスを利用する複数のユ
ーザは、個々のユーザノードに属する。サービスを提供
する複数のプロバイダは、個々のプロバイダノードに属
する。これらのユーザノードとプロバイダノードは分散
配置されていて、個々のノードはネットワークで接続さ
れている。ユーザとプロバイダは、それぞれ移動性の性
質を持つユーザエージェント(UA)とプロバイダエー
ジェント(PA)にサービスの利用や情報提供を代行さ
せる。
【0014】エージェントの移動は、Java などを利用
して、プログラムコード(以下プログラムと呼ぶ)とそ
の実行状態をネットワークを通じて転送することで実現
する。移動先では、移動前の処理を継続して行える。
して、プログラムコード(以下プログラムと呼ぶ)とそ
の実行状態をネットワークを通じて転送することで実現
する。移動先では、移動前の処理を継続して行える。
【0015】図8に、このエージェントの移動処理の模
式図を図示する。
式図を図示する。
【0016】この模式図では、あるユーザがUAを用い
て、プロバイダが提供するサービスを利用する場合を想
定している。転送方法は、先ず、UAのプログラムと実
行状態をネットワークで移動可能なデータ形式に変換す
る。その後、ビット列を作成し、圧縮して転送する。受
け取ったプロバイダノードでは、エージェントを直列化
したビット列として受け取る。ビット列を非圧縮状態に
戻し、さらにプログラムと実行状態に分解し、実行状態
からUAを実行可能な状態に戻す。UAは、プロバイダ
ノードのエージェント実行環境で動作する。
て、プロバイダが提供するサービスを利用する場合を想
定している。転送方法は、先ず、UAのプログラムと実
行状態をネットワークで移動可能なデータ形式に変換す
る。その後、ビット列を作成し、圧縮して転送する。受
け取ったプロバイダノードでは、エージェントを直列化
したビット列として受け取る。ビット列を非圧縮状態に
戻し、さらにプログラムと実行状態に分解し、実行状態
からUAを実行可能な状態に戻す。UAは、プロバイダ
ノードのエージェント実行環境で動作する。
【0017】ユーザがサービスを利用できるか否かは、
プロバイダが保持しているアクセス制御リストによりプ
ロバイダが判断する。また、サービスを利用する際に必
要な認証方法や暗号技術は、ユーザとプロバイダ間で利
用の際に調整する。
プロバイダが保持しているアクセス制御リストによりプ
ロバイダが判断する。また、サービスを利用する際に必
要な認証方法や暗号技術は、ユーザとプロバイダ間で利
用の際に調整する。
【0018】後述するように、本発明では、システム利
用者の誰もが信頼できるセキュアマネージャを用意し
て、このセキュアマネージャが、セキュリティ機能実現
のために使用するセキュリティ制御情報の提供の手助け
を行う。このセキュアマネージャから提供された機能や
情報には、バグや誤情報はないものとする。また、セキ
ュアマネージャは、安全に管理されており、外部からの
侵入は不可能とする。エージェントの移動の際のネット
ワーク上の盗聴回避は、移動先のノードでしか復号でき
ない暗号技術を使用することで実現する。
用者の誰もが信頼できるセキュアマネージャを用意し
て、このセキュアマネージャが、セキュリティ機能実現
のために使用するセキュリティ制御情報の提供の手助け
を行う。このセキュアマネージャから提供された機能や
情報には、バグや誤情報はないものとする。また、セキ
ュアマネージャは、安全に管理されており、外部からの
侵入は不可能とする。エージェントの移動の際のネット
ワーク上の盗聴回避は、移動先のノードでしか復号でき
ない暗号技術を使用することで実現する。
【0019】移動エージェントシステムでは、移動先の
ノードのメモリ上に、エージェントのプログラムと実行
状態をダウンロードして実行する。
ノードのメモリ上に、エージェントのプログラムと実行
状態をダウンロードして実行する。
【0020】このため、移動エージェントを送信するユ
ーザは、(1)送信したプログラムや実行状態に対する
プロバイダの盗聴や改竄(改ざん)に関する懸念があ
る。
ーザは、(1)送信したプログラムや実行状態に対する
プロバイダの盗聴や改竄(改ざん)に関する懸念があ
る。
【0021】盗聴により、ユーザが実行したい処理内容
や、クレジットカード番号のような金銭的に価値のある
情報の悪用につながる。例えば、電子商取引において、
クラッカーがプログラムや実行状態を書き換えることに
よって、ユーザの意図した商品とは異なる商品を購入し
たり、代金を不正に引き落とされたりする。さらに、プ
ロバイダ間で行う個人情報の取り引きにより、ユーザの
意図しないサービスに使用されたりするということが考
えられる。
や、クレジットカード番号のような金銭的に価値のある
情報の悪用につながる。例えば、電子商取引において、
クラッカーがプログラムや実行状態を書き換えることに
よって、ユーザの意図した商品とは異なる商品を購入し
たり、代金を不正に引き落とされたりする。さらに、プ
ロバイダ間で行う個人情報の取り引きにより、ユーザの
意図しないサービスに使用されたりするということが考
えられる。
【0022】一方、移動エージェントを受け入れるプロ
バイダとしては、(2)不正アクセスの増加や、(3)
ウィルスに感染したプログラムや実行状態、およびバグ
を含んでいるプログラムや意図的にシステムを破壊させ
たり停止させたりする悪意のあるプログラムをダウンロ
ードすることによるシステムの停止や破壊に対する懸念
がある。
バイダとしては、(2)不正アクセスの増加や、(3)
ウィルスに感染したプログラムや実行状態、およびバグ
を含んでいるプログラムや意図的にシステムを破壊させ
たり停止させたりする悪意のあるプログラムをダウンロ
ードすることによるシステムの停止や破壊に対する懸念
がある。
【0023】不正アクセスは、移動先のノードで処理実
行中に知り得たプロバイダの個人情報を利用したプロバ
イダのサービスを利用できるユーザヘのなりすまし、ア
クセス制御リストの書き換えなどによって起こる。
行中に知り得たプロバイダの個人情報を利用したプロバ
イダのサービスを利用できるユーザヘのなりすまし、ア
クセス制御リストの書き換えなどによって起こる。
【0024】ウィルスは、電子メールなどを通じて全世
界に配布される。一旦、ウィルスを含んだ情報を読み込
むと、時刻やファイルオープンなどなんらかの契機でウ
ィルスプログラムが起動し、システムを破壊したリ、フ
ァイルを消去したりする。
界に配布される。一旦、ウィルスを含んだ情報を読み込
むと、時刻やファイルオープンなどなんらかの契機でウ
ィルスプログラムが起動し、システムを破壊したリ、フ
ァイルを消去したりする。
【0025】発見済みのウィルスに関しては、対応する
ワクチンソフトを使用して対処する。新種のウィルスに
対しては、PA(情報処理振興事業協会)[http://ww
w.jpa.go.jp/SECURITY]や、JCSA(日本コンピュー
タセキュリティ協会)[http://www.jcsa.or.jp] などか
ら通知された最新のウィルス情報およびその対策にした
がう以外、有効な対処方法は現状ない。発見が困難なバ
グや悪意のあるプログラムは、エージェントをノードに
ダウンロードする前に検出することが現状困難である。
ワクチンソフトを使用して対処する。新種のウィルスに
対しては、PA(情報処理振興事業協会)[http://ww
w.jpa.go.jp/SECURITY]や、JCSA(日本コンピュー
タセキュリティ協会)[http://www.jcsa.or.jp] などか
ら通知された最新のウィルス情報およびその対策にした
がう以外、有効な対処方法は現状ない。発見が困難なバ
グや悪意のあるプログラムは、エージェントをノードに
ダウンロードする前に検出することが現状困難である。
【0026】これらのことを考慮し、本明細書では、上
記(1)、(2)の懸念事項について、既存のシステム
における対応策とその問題点を示し、(3)は検討の対
象外とする。
記(1)、(2)の懸念事項について、既存のシステム
における対応策とその問題点を示し、(3)は検討の対
象外とする。
【0027】〔A〕プログラムや実行状態の盗聴や改竄
に対する対策と問題点 対策1:通信前の公開情報のネゴシエーション P3P(Platform for Privacy Preferences)[http://w
ww.w3.org/TR/1998/WD-P3P-19981109]で行っているよう
な、あらかじめ公開してもよい個人情報をユーザとプロ
バイダ間でネゴシエーションした上で通信を開始すると
いう方式がある。
に対する対策と問題点 対策1:通信前の公開情報のネゴシエーション P3P(Platform for Privacy Preferences)[http://w
ww.w3.org/TR/1998/WD-P3P-19981109]で行っているよう
な、あらかじめ公開してもよい個人情報をユーザとプロ
バイダ間でネゴシエーションした上で通信を開始すると
いう方式がある。
【0028】この方式は、UAが1つのPAのノードに
移動するといったようなシングルホップの移動を実現す
る場合は問題ない。しかし、2つ以上のプロバイダを移
動するようなマルチホップの移動の場合、通信の度にネ
ゴシエーションを行わなければならない。これを一連の
UAの処理としてみた場合、ホップ数に比例して、処理
の繁雑さが増加することになる。
移動するといったようなシングルホップの移動を実現す
る場合は問題ない。しかし、2つ以上のプロバイダを移
動するようなマルチホップの移動の場合、通信の度にネ
ゴシエーションを行わなければならない。これを一連の
UAの処理としてみた場合、ホップ数に比例して、処理
の繁雑さが増加することになる。
【0029】以下、説明の便宜上、この問題点を「問題
点1」と称することにする。
点1」と称することにする。
【0030】すなわち、マルチホップの移動の場合、U
Aは滞在しているプロバイダノードから次の移動先であ
るプロバイダとネゴシエーションを行う。この際、滞在
先のプロバイダには提供できないが、次に移動するプロ
バイダには公開してもよいといったような情報がある場
合、UAは一旦、ユーザノードに戻って、次の移動先の
プロバイダと同様のネゴシエーションを行わなければな
らないことから、ホップ数に比例して、処理の繁雑さが
増加することになるのである。
Aは滞在しているプロバイダノードから次の移動先であ
るプロバイダとネゴシエーションを行う。この際、滞在
先のプロバイダには提供できないが、次に移動するプロ
バイダには公開してもよいといったような情報がある場
合、UAは一旦、ユーザノードに戻って、次の移動先の
プロバイダと同様のネゴシエーションを行わなければな
らないことから、ホップ数に比例して、処理の繁雑さが
増加することになるのである。
【0031】また、この方式によると、ユーザがプロバ
イダ毎に公開する情報を制限しても、プロバイダ同士が
ユーザが意図しないところで協力しあうと、個々のプロ
バイダはより多くのユーザの個人情報を入手することが
でき、結果として個人情報を保護したことにはならな
い。
イダ毎に公開する情報を制限しても、プロバイダ同士が
ユーザが意図しないところで協力しあうと、個々のプロ
バイダはより多くのユーザの個人情報を入手することが
でき、結果として個人情報を保護したことにはならな
い。
【0032】以下、説明の便宜上、この問題点を「問題
点2」と称することにする。
点2」と称することにする。
【0033】また、この方式によると、UAがサービス
を受けている際に、顧客会員等の特定の資格者に対する
時間限定のサービスといったような利用条件が動的に変
化するサービスを受けられない場合がある。
を受けている際に、顧客会員等の特定の資格者に対する
時間限定のサービスといったような利用条件が動的に変
化するサービスを受けられない場合がある。
【0034】以下、説明の便宜上、この問題点を「問題
点3」と称することにする。
点3」と称することにする。
【0035】すなわち、資格を得るためには、UAは一
旦ユーザノードに戻り、オフラインで身元の証明や銀行
口座の確認等の処理を行わなければならない場合があ
る。その後、改めてPAと通信を行うことになるのだ
が、その時には時間限定サービスは既に終了していたと
いう場合がこれにあたる。
旦ユーザノードに戻り、オフラインで身元の証明や銀行
口座の確認等の処理を行わなければならない場合があ
る。その後、改めてPAと通信を行うことになるのだ
が、その時には時間限定サービスは既に終了していたと
いう場合がこれにあたる。
【0036】通信に使用するセキュリティ機能の碓認も
必要である、例えば、通信したいプロバイダが公開鍵暗
号を用いた通信が必要とする。このとき、ユーザはパス
ワード認証程度のセキュリティ機能しか用いていないと
する。この場合、暗号処理に必要な公開鍵の登緑や暗号
処理のためのソフトウェアなどを入手しなければならな
くなってしまう。
必要である、例えば、通信したいプロバイダが公開鍵暗
号を用いた通信が必要とする。このとき、ユーザはパス
ワード認証程度のセキュリティ機能しか用いていないと
する。この場合、暗号処理に必要な公開鍵の登緑や暗号
処理のためのソフトウェアなどを入手しなければならな
くなってしまう。
【0037】通信相手のセキュリティ機能の確認方怯と
しては、一方が他方に対してセキュリティ実現技術に関
する情報を提示し、どちらかのノード上でセキュリティ
条件が合うか否かを確認する方式がある。この方式は、
一方が他方のセキュリティ機能を知ることになるため、
セキュリティの弱点をついた不正アタックの機会を増や
すことになる。
しては、一方が他方に対してセキュリティ実現技術に関
する情報を提示し、どちらかのノード上でセキュリティ
条件が合うか否かを確認する方式がある。この方式は、
一方が他方のセキュリティ機能を知ることになるため、
セキュリティの弱点をついた不正アタックの機会を増や
すことになる。
【0038】また、セキュリティ機能は、ユーザ、提供
するサービス内容、ノード毎に決めているセキュリティ
管理のポリシによって決まる。最近では、ユーザのニー
ズやサービスの多様化により、プロバイダノードで管理
するセキュリティ制御情報も多様化している。
するサービス内容、ノード毎に決めているセキュリティ
管理のポリシによって決まる。最近では、ユーザのニー
ズやサービスの多様化により、プロバイダノードで管理
するセキュリティ制御情報も多様化している。
【0039】移動エージェントシステムでは、移動先の
ノードを自律的に決定するため、ノードのセキュリティ
機能の把握やセキュリティのネゴシエーションを動的に
行わなければならない。このためには、UAは、ユーザ
のセキュリティ制御情報を持ち回らなければならなくな
り、上述した問題点2と同様の問題が発生する。
ノードを自律的に決定するため、ノードのセキュリティ
機能の把握やセキュリティのネゴシエーションを動的に
行わなければならない。このためには、UAは、ユーザ
のセキュリティ制御情報を持ち回らなければならなくな
り、上述した問題点2と同様の問題が発生する。
【0040】対策2:Smartcard を使用 UAの実行環境として、Java カードのようなSmartcar
d を使用する方法が提案されている[S.Foocken, "Prote
cting Mobile Web-Commerce Agents with Smartcards"
Proceedings of the First International Symposium o
n Agent systems and Applications and Third interna
tional symposium on Mobile Agents(ASA/MA'99),pp.90
-102, October 3-6,Palm Springs.CA,1999] 。
d を使用する方法が提案されている[S.Foocken, "Prote
cting Mobile Web-Commerce Agents with Smartcards"
Proceedings of the First International Symposium o
n Agent systems and Applications and Third interna
tional symposium on Mobile Agents(ASA/MA'99),pp.90
-102, October 3-6,Palm Springs.CA,1999] 。
【0041】これは、通信したいUAを暗号化してSmar
tcard 上にダウンロードする。その後、UAを復号化
し、カードで保持するアクセス制御機能を使用したPA
との通信による処理を実行する。
tcard 上にダウンロードする。その後、UAを復号化
し、カードで保持するアクセス制御機能を使用したPA
との通信による処理を実行する。
【0042】この方式は、悪意のあるプロバイダがユー
ザの個人情報を攻撃する場合の対策としては有効であ
る。しかし、実行した処理内容やサービスを受ける際に
ユーザが提示した個人情報がユーザの意図していないプ
ロバイダに知られることになり、上述した問題点2と同
様の事が起こる。
ザの個人情報を攻撃する場合の対策としては有効であ
る。しかし、実行した処理内容やサービスを受ける際に
ユーザが提示した個人情報がユーザの意図していないプ
ロバイダに知られることになり、上述した問題点2と同
様の事が起こる。
【0043】〔B〕プロバイダノードの不正アクセスに
対する対策と問題点 *対策:証明書を用いた厳重な身元確認 エージェントをダウンロードする前に、UAの身元確認
のための認証やアクセス制御などを行い、セキュリティ
上問題ないことを十分確認した上でダウンロードすると
いう方式がある。
対する対策と問題点 *対策:証明書を用いた厳重な身元確認 エージェントをダウンロードする前に、UAの身元確認
のための認証やアクセス制御などを行い、セキュリティ
上問題ないことを十分確認した上でダウンロードすると
いう方式がある。
【0044】不特定多数のユーザやプロバイダを認証す
るためには、中立的な信用のある認証局から発行された
証明書を用いる[http://www0.oracle.co.jp/fweb/repor
t/1961013.html] 。これは、認証局の検証鍵を誰もが知
っていて、送信したメッセージとユーザの署名、署名の
正当性を示す認証局が発行した証明書を保持して通信を
行う。受け取ったプロバイダは、証明書の有効性を認証
局の検証鍵で検証し、さらに、証明書の有効期限を認証
局に確認する。
るためには、中立的な信用のある認証局から発行された
証明書を用いる[http://www0.oracle.co.jp/fweb/repor
t/1961013.html] 。これは、認証局の検証鍵を誰もが知
っていて、送信したメッセージとユーザの署名、署名の
正当性を示す認証局が発行した証明書を保持して通信を
行う。受け取ったプロバイダは、証明書の有効性を認証
局の検証鍵で検証し、さらに、証明書の有効期限を認証
局に確認する。
【0045】したがって、マルチホップする移動エージ
ェントの場合、移動する度に証明書の有効期限を認証局
に確認しにいくプロトコルが必要となるため、ホップ数
に比例して認証プロトコルが繁雑になる。
ェントの場合、移動する度に証明書の有効期限を認証局
に確認しにいくプロトコルが必要となるため、ホップ数
に比例して認証プロトコルが繁雑になる。
【0046】以下、説明の便宜上、この問題点を「問題
点4」と称することにする。
点4」と称することにする。
【0047】〔C〕上記懸念事項(1)、(2)を同時
に解決する対策と問題点 *対策:安全なノードに移動・処理実行 通信したいエージェント同士が各々安全なノードに移動
し、そこで処理を実行する方式がある[U.G.Wilhelm,S.S
taamann,and L.Buttyn, "Introducing trustedthird pa
rties to the mobilc agent paradigm"Secure Internet
Programming:Security Issues for Mobile and Distri
buted Objects,volume 1603 of Lecture Notes in Comp
uter Science,pages 471-491,1999] 。
に解決する対策と問題点 *対策:安全なノードに移動・処理実行 通信したいエージェント同士が各々安全なノードに移動
し、そこで処理を実行する方式がある[U.G.Wilhelm,S.S
taamann,and L.Buttyn, "Introducing trustedthird pa
rties to the mobilc agent paradigm"Secure Internet
Programming:Security Issues for Mobile and Distri
buted Objects,volume 1603 of Lecture Notes in Comp
uter Science,pages 471-491,1999] 。
【0048】これは、物理的に安全なノードに、処理を
実行したいユーザとプロバイダのエージェントがそれぞ
れ移動して処理を実行し、終了したら各々のノードに戻
るという方式である。安全なノードの構築は、不正アク
セスを検出・防止できる特別なハードウェアを用いる。
ユーザやプロバイダが安全なノードに移動する際は、Cr
ypo(Cryptographically Protected objects)protocolを
用いて、認証やメッセージ交換を行う。
実行したいユーザとプロバイダのエージェントがそれぞ
れ移動して処理を実行し、終了したら各々のノードに戻
るという方式である。安全なノードの構築は、不正アク
セスを検出・防止できる特別なハードウェアを用いる。
ユーザやプロバイダが安全なノードに移動する際は、Cr
ypo(Cryptographically Protected objects)protocolを
用いて、認証やメッセージ交換を行う。
【0049】この方式は、ユーザやプロバイダ間で行っ
た処理が外部に漏洩することはないが、お互いの個人情
報や処理内容を外部にもらさないという啓蒙活動を徹底
していなければ、個々のプライバシ情報が外部に漏洩す
ることになり、上述した問題点2と同様の問題が発生す
る。
た処理が外部に漏洩することはないが、お互いの個人情
報や処理内容を外部にもらさないという啓蒙活動を徹底
していなければ、個々のプライバシ情報が外部に漏洩す
ることになり、上述した問題点2と同様の問題が発生す
る。
【0050】さらに安全なノードで処理を実行するため
には、ユーザは処理に必要なプライバシ情報を保持し、
プロバイダはサービスプログラムとそれに必要な情報を
保持して移動しなければならない。したがって、ネット
オークションにおける人気の品物のような特定のサービ
スを利用するユーザの数が突発的に増加した場合、安全
なノードでの処理負荷の増大、さらには個々のエージェ
ントを安全なノードに移動するためのネットワークが負
荷が増大する。
には、ユーザは処理に必要なプライバシ情報を保持し、
プロバイダはサービスプログラムとそれに必要な情報を
保持して移動しなければならない。したがって、ネット
オークションにおける人気の品物のような特定のサービ
スを利用するユーザの数が突発的に増加した場合、安全
なノードでの処理負荷の増大、さらには個々のエージェ
ントを安全なノードに移動するためのネットワークが負
荷が増大する。
【0051】以下、説明の便宜上、この問題点を「問題
点5」と称することにする。
点5」と称することにする。
【0052】
【発明が解決しようとする課題】以上説明したように、
従来技術に従っていると、上述したように問題点1〜5
が存在する。
従来技術に従っていると、上述したように問題点1〜5
が存在する。
【0053】すなわち、従来技術に従っていると、通信
の度にネゴシエーションを行わなければならず処理の繁
雑さが増加するという問題点(問題点1)や、プロバイ
ダ同士がユーザの意図しないところで協力しあうことで
個人情報を保護できない可能性があるという問題点(問
題点2)や、時間限定のサービスのような利用条件が動
的に変化するサービスを受けられないことが起こるとい
う問題点(問題点3)や、認証局を利用すると、移動す
る度に証明書の有効期限を認証局に確認しにいくプロト
コルが必要となるため認証プロトコルが繁雑になるとい
う問題点(問題点4)や、安全なノードを利用するよう
にすると、その安全なノードでの処理負荷の増大やネッ
トワークの負荷が増大するという問題点(問題点5)が
存在する。
の度にネゴシエーションを行わなければならず処理の繁
雑さが増加するという問題点(問題点1)や、プロバイ
ダ同士がユーザの意図しないところで協力しあうことで
個人情報を保護できない可能性があるという問題点(問
題点2)や、時間限定のサービスのような利用条件が動
的に変化するサービスを受けられないことが起こるとい
う問題点(問題点3)や、認証局を利用すると、移動す
る度に証明書の有効期限を認証局に確認しにいくプロト
コルが必要となるため認証プロトコルが繁雑になるとい
う問題点(問題点4)や、安全なノードを利用するよう
にすると、その安全なノードでの処理負荷の増大やネッ
トワークの負荷が増大するという問題点(問題点5)が
存在する。
【0054】本発明はこのような従来技術の持つ問題点
を解決する新たなセキュアエージェント実現方法及びセ
キュアエージェントシステムの提供と、それらで用いら
れる新たなセキュアエージェント管理装置の提供とを目
的とする。
を解決する新たなセキュアエージェント実現方法及びセ
キュアエージェントシステムの提供と、それらで用いら
れる新たなセキュアエージェント管理装置の提供とを目
的とする。
【0055】
【課題を解決するための手段】この目的を達成するため
に、本発明では、信頼できる第三者機関から生成された
ただ一種類のセキュアエージェントが、耐タンパデバイ
ス上に構築されたエージェント実行環境でユーザやプロ
バイダの処理を代行する構成を採る。
に、本発明では、信頼できる第三者機関から生成された
ただ一種類のセキュアエージェントが、耐タンパデバイ
ス上に構築されたエージェント実行環境でユーザやプロ
バイダの処理を代行する構成を採る。
【0056】本発明では、セキュリティに関わる処理
は、ユーザエージェント(UA)や、PA(プロバイダ
エージェント)が行わずに、信頼できる特定のエージェ
ントに処理を代行させる。本発明では、このエージェン
トをセキュアエージェント(SA)と呼ぶ。
は、ユーザエージェント(UA)や、PA(プロバイダ
エージェント)が行わずに、信頼できる特定のエージェ
ントに処理を代行させる。本発明では、このエージェン
トをセキュアエージェント(SA)と呼ぶ。
【0057】セキュアエージェントは、不正アクセスを
検出・防止できる特別なハードウェア上に構築したエー
ジェント実行環境上で動作する。セキュアエージェント
とその実行環境の生成管理は、セキュアノードに構築さ
れるセキュアエージェント管理装置が行う。
検出・防止できる特別なハードウェア上に構築したエー
ジェント実行環境上で動作する。セキュアエージェント
とその実行環境の生成管理は、セキュアノードに構築さ
れるセキュアエージェント管理装置が行う。
【0058】セキュアエージェントと実行環境は、いわ
ばセキュリティ処理専用のコンピュータとも言うべきも
のであり、既存のノードへは別のコンピュータを組み込
むような形で接続する。
ばセキュリティ処理専用のコンピュータとも言うべきも
のであり、既存のノードへは別のコンピュータを組み込
むような形で接続する。
【0059】(1)セキュアエージェントの概要 セキュアエージェントは、知性と移動性の性質を持つ。
セキュリティを必要とする処理を実行する際に、セキュ
アエージェント管理装置が生成したセキュアエージェン
トを用いることにより、もともと信頼性のなかった複数
のユーザやプロバイダ間に短時間で信頼関係を築くこと
が実現できる。
セキュリティを必要とする処理を実行する際に、セキュ
アエージェント管理装置が生成したセキュアエージェン
トを用いることにより、もともと信頼性のなかった複数
のユーザやプロバイダ間に短時間で信頼関係を築くこと
が実現できる。
【0060】セキュアエージェントのプログラムと検証
鍵(後述するセキュアエージェント鍵)は、セキュアエ
ージェント管理装置だけが提供する。生成されたセキュ
アエージェントは、使用者が異なるだけで、エージェン
トプログラムや検証鍵は全て同一である。
鍵(後述するセキュアエージェント鍵)は、セキュアエ
ージェント管理装置だけが提供する。生成されたセキュ
アエージェントは、使用者が異なるだけで、エージェン
トプログラムや検証鍵は全て同一である。
【0061】セキュアエージェントは、ユーザエージェ
ントやプロバイダエージェント毎に存在し、処理を代行
する。つまり、ユーザ・プロバイダ間の通信はそれぞれ
のセキュアエージェント間で行う。したがって、ユーザ
のセキュアエージェントは、プロバイダエージェントと
直接通信を行うことはない。
ントやプロバイダエージェント毎に存在し、処理を代行
する。つまり、ユーザ・プロバイダ間の通信はそれぞれ
のセキュアエージェント間で行う。したがって、ユーザ
のセキュアエージェントは、プロバイダエージェントと
直接通信を行うことはない。
【0062】セキュアエージェントは、処理実行中に知
り得た通信相手の個人情報を外部に漏らさない。ユーザ
がプロバイダからサービスを受ける際に、プロバイダの
セキュアエージェントがユーザの個人情報を知ることが
あっても、プロバイダエージェントがユーザの個人情報
を知ることはない。
り得た通信相手の個人情報を外部に漏らさない。ユーザ
がプロバイダからサービスを受ける際に、プロバイダの
セキュアエージェントがユーザの個人情報を知ることが
あっても、プロバイダエージェントがユーザの個人情報
を知ることはない。
【0063】セキュアエージェントは、セキュアエージ
ェント生成者から申請があった場合、セキュアエージェ
ントが処理実行中に外部からなんらかの攻撃を受けた場
合、セキュアエージェント管理装置からの消滅命令が送
信された場合に消滅する。
ェント生成者から申請があった場合、セキュアエージェ
ントが処理実行中に外部からなんらかの攻撃を受けた場
合、セキュアエージェント管理装置からの消滅命令が送
信された場合に消滅する。
【0064】セキュアエージェントの機能概要は以下の
通りである。
通りである。
【0065】(a)個人情報格納および管理 ユーザやプロバイダの管理ミスによる個人情報漏洩を防
止するために、セキュアエージェントは、個人情報を実
行環境に格納したり、情報の更新などの管理を行う。
止するために、セキュアエージェントは、個人情報を実
行環境に格納したり、情報の更新などの管理を行う。
【0066】(b)セキュアエージェントの認証 セキュアエージェントは1種類しかないため、共通の認
証情報を用いる。認証情報は、システムのセキュリティ
レベルや使用している認証情報の攻撃に対する強度に応
じて、セキュアエージェント管理装置が適当なタイミン
グで更新する。更新方法は、セキュアエージェントや実
行環境を再発行したり、盗聴を物理的に検出できる量子
暗号〔山崎浩一,”量子暗号の原理と実験例”,信学技
報(OCS98-32,PS98-24),Vol.98,No.187,pp.31-36,1998〕
を用いることで行う。
証情報を用いる。認証情報は、システムのセキュリティ
レベルや使用している認証情報の攻撃に対する強度に応
じて、セキュアエージェント管理装置が適当なタイミン
グで更新する。更新方法は、セキュアエージェントや実
行環境を再発行したり、盗聴を物理的に検出できる量子
暗号〔山崎浩一,”量子暗号の原理と実験例”,信学技
報(OCS98-32,PS98-24),Vol.98,No.187,pp.31-36,1998〕
を用いることで行う。
【0067】(c)セキュリティネゴシエーション セキュアエージェントは、ユーザとプロバイダ間のセキ
ュリティの静的な確認・動的なネゴシエーションを行
う。静的な確認とは、アクセス制御リストにしたがっ
て、ユーザがサービスを受けることができるのか否かの
確認をすることである。動的なネゴシエーションとは、
新たなアクセス権の確保といったようなセキュリティ制
御情報を必要に応じて変更することである。これを実現
するためには、セキュアエージェントは、ユーザの一部
の個人情報を常時保持しておく必要がある。
ュリティの静的な確認・動的なネゴシエーションを行
う。静的な確認とは、アクセス制御リストにしたがっ
て、ユーザがサービスを受けることができるのか否かの
確認をすることである。動的なネゴシエーションとは、
新たなアクセス権の確保といったようなセキュリティ制
御情報を必要に応じて変更することである。これを実現
するためには、セキュアエージェントは、ユーザの一部
の個人情報を常時保持しておく必要がある。
【0068】(d)処理代行 ユーザのセキュアエージェントは、ユーザエージェント
から、プロバイダから受けたいサービスシナリオを記述
したアプリケーションプログラムと、処理に必要となる
実行状態を受け取り、プロバイダノードに移動して実行
する。プロバイダノードでは、プロバイダのセキュアエ
ージェントと通信を行う。セキュアエージェント間で通
信を行うことで、ユーザエージェントやプロバイダエー
ジェントにお互いの個人情報や処理内容を知られること
はない。
から、プロバイダから受けたいサービスシナリオを記述
したアプリケーションプログラムと、処理に必要となる
実行状態を受け取り、プロバイダノードに移動して実行
する。プロバイダノードでは、プロバイダのセキュアエ
ージェントと通信を行う。セキュアエージェント間で通
信を行うことで、ユーザエージェントやプロバイダエー
ジェントにお互いの個人情報や処理内容を知られること
はない。
【0069】(e)メモリアクセス制御機能 実行環境へのプロバイダエージェントのアクセスを禁
止、セキュアエージェントを介したプロバイダエージェ
ントの実行環境へのアクセスの許可をアクセス制御リス
トにしたがって判定する。これは、ユーザの個人情報や
処理内容をプロバイダに隠蔽するためである。
止、セキュアエージェントを介したプロバイダエージェ
ントの実行環境へのアクセスの許可をアクセス制御リス
トにしたがって判定する。これは、ユーザの個人情報や
処理内容をプロバイダに隠蔽するためである。
【0070】(2)実行環境 セキュアエージェントが管理する個人情報やプロバイダ
ノードで実行する処理内容を外部から隠蔽するために
は、ユーザやプロバイダおよびそれらの非セキュアなエ
ージェントが直接アクセスできない実行環境が必要とな
る。
ノードで実行する処理内容を外部から隠蔽するために
は、ユーザやプロバイダおよびそれらの非セキュアなエ
ージェントが直接アクセスできない実行環境が必要とな
る。
【0071】そこで、実行環境を構築するハードウェア
として、耐タンパデバイスを使用する。耐タンパデバイ
スについては、現在、”MISTYKEYPER "(TM)[http://ww
w.melco.co.jp/service/nwsecur/certman4.htm]や、Sma
rtcard のプロセッサ[O.Kommerling,M.Kuhn."Design Pr
inciples for Tamper-Resistant Smartcard Processor
s"Proceedings of the USENIX Workshop on Smartcard
Technology(Smartcard'99),pp.9-20,1999]において研究
開発されている。
として、耐タンパデバイスを使用する。耐タンパデバイ
スについては、現在、”MISTYKEYPER "(TM)[http://ww
w.melco.co.jp/service/nwsecur/certman4.htm]や、Sma
rtcard のプロセッサ[O.Kommerling,M.Kuhn."Design Pr
inciples for Tamper-Resistant Smartcard Processor
s"Proceedings of the USENIX Workshop on Smartcard
Technology(Smartcard'99),pp.9-20,1999]において研究
開発されている。
【0072】耐タンパ性とは、正規な入出力手段以外を
用いてモジュールの機能を変更したり秘密データを盗ん
だりしようとする攻撃に耐えられるという性質を持つこ
とである。攻撃に耐えるという性質には、”攻撃が試み
られたことが分かる”、"(アクセス制御機能など能動的
な対策が施されていて)攻撃がされにくい”、”攻撃を
検出して(データ消滅など)能動的に攻撃に対処する”
という3つの意味がある。
用いてモジュールの機能を変更したり秘密データを盗ん
だりしようとする攻撃に耐えられるという性質を持つこ
とである。攻撃に耐えるという性質には、”攻撃が試み
られたことが分かる”、"(アクセス制御機能など能動的
な対策が施されていて)攻撃がされにくい”、”攻撃を
検出して(データ消滅など)能動的に攻撃に対処する”
という3つの意味がある。
【0073】耐タンパ性は、セキュアエージェントの処
理を実行するCPUや個人情報や実行中の処理を格納す
るメモリが持つ。ハードウェアとしては、メモリアクセ
ス制御用のLSIを用いたり、メモリに対する不正アク
セス信号検出装置とメモリクリア装置やCPUリセット
装置とを組み合わせることで実現される。
理を実行するCPUや個人情報や実行中の処理を格納す
るメモリが持つ。ハードウェアとしては、メモリアクセ
ス制御用のLSIを用いたり、メモリに対する不正アク
セス信号検出装置とメモリクリア装置やCPUリセット
装置とを組み合わせることで実現される。
【0074】
【発明の実施の形態】以下、実施の形態に従って本発明
を詳細に説明する。
を詳細に説明する。
【0075】図1に、本発明の一実施形態例を図示す
る。
る。
【0076】図中、1はユーザが属するユーザノード、
2はプロバイダが属するプロバイダノード、3はセキュ
アマネージャ30が属する耐タンパ性のあるセキュアマ
ネージャ実行環境であるセキュアノードである。
2はプロバイダが属するプロバイダノード、3はセキュ
アマネージャ30が属する耐タンパ性のあるセキュアマ
ネージャ実行環境であるセキュアノードである。
【0077】10はサービスを利用するユーザの処理を
代行するユーザエージェント、11は耐タンパ性のない
非セキュアなユーザエージェント10の実行環境(UA
実行環境)、12はユーザの要求により生成されたユー
ザのセキュリティ確保のための処理を代行するセキュア
エージェント、13は耐タンパ性のあるセキュアなセキ
ュアエージェント12の実行環境、40は実行環境13
に格納されるセキュアエージェントの認証および暗号処
理のためにセキュアエージェント間で共通に使用するセ
キュアエージェント鍵である。
代行するユーザエージェント、11は耐タンパ性のない
非セキュアなユーザエージェント10の実行環境(UA
実行環境)、12はユーザの要求により生成されたユー
ザのセキュリティ確保のための処理を代行するセキュア
エージェント、13は耐タンパ性のあるセキュアなセキ
ュアエージェント12の実行環境、40は実行環境13
に格納されるセキュアエージェントの認証および暗号処
理のためにセキュアエージェント間で共通に使用するセ
キュアエージェント鍵である。
【0078】20はサービスを提供するプロバイダの処
理を代行するプロバイダエージェント、21は耐タンパ
性のない非セキュアなプロバイダエージェント20の実
行環境(PA実行環境)、22はプロバイダの要求によ
り生成されたプロバイダのセキュリティ確保のための処
理を代行するセキュアエージェント、23は耐タンパ性
のあるセキュアなセキュアエージェント22の実行環
境、40は実行環境23に格納されるセキュアエージェ
ントの認証および暗号処理のためにセキュアエージェン
ト間で共通に使用するセキュアエージェント鍵である。
理を代行するプロバイダエージェント、21は耐タンパ
性のない非セキュアなプロバイダエージェント20の実
行環境(PA実行環境)、22はプロバイダの要求によ
り生成されたプロバイダのセキュリティ確保のための処
理を代行するセキュアエージェント、23は耐タンパ性
のあるセキュアなセキュアエージェント22の実行環
境、40は実行環境23に格納されるセキュアエージェ
ントの認証および暗号処理のためにセキュアエージェン
ト間で共通に使用するセキュアエージェント鍵である。
【0079】ここで、ユーザノード1の実行環境13に
格納されるセキュアエージェント鍵40と、プロバイダ
ノード2の実行環境23に格納されるセキュアエージェ
ント鍵40とは同一の鍵である。
格納されるセキュアエージェント鍵40と、プロバイダ
ノード2の実行環境23に格納されるセキュアエージェ
ント鍵40とは同一の鍵である。
【0080】30はセキュアエージェントやその実行環
境の生成に関わる制御を行うセキュアマネージャ、31
はユーザエージェント10やプロバイダエージェント2
0が本人であることを確認する認証手段、32はセキュ
アエージェントを生成するセキュアエージェント生成手
段、33はセキュアエージェント鍵40を生成するセキ
ュアエージェント鍵生成手段、34はセキュアエージェ
ントが処理を行う耐タンパ性のある実行環境を生成する
実行環境生成手段である。
境の生成に関わる制御を行うセキュアマネージャ、31
はユーザエージェント10やプロバイダエージェント2
0が本人であることを確認する認証手段、32はセキュ
アエージェントを生成するセキュアエージェント生成手
段、33はセキュアエージェント鍵40を生成するセキ
ュアエージェント鍵生成手段、34はセキュアエージェ
ントが処理を行う耐タンパ性のある実行環境を生成する
実行環境生成手段である。
【0081】耐タンパ性のあるハードウェアは、例え
ば、図2に示すように、不正なアクセスを種々のセンサ
で検出して検出論理回路で判断を行い、不正アクセスな
らば消去回路を用いてメモリ内のデータを無効化すると
いう方法で実現する。
ば、図2に示すように、不正なアクセスを種々のセンサ
で検出して検出論理回路で判断を行い、不正アクセスな
らば消去回路を用いてメモリ内のデータを無効化すると
いう方法で実現する。
【0082】この耐タンパ性の実行環境については、そ
の一部または全てをソフトウェアを使って構築すること
も可能である。
の一部または全てをソフトウェアを使って構築すること
も可能である。
【0083】図3及び図4に、セキュアエージェントを
使用するための初期設定の動作フローの一実施形態例を
示す。ここで、図3の動作フローはユーザ側の動作フロ
ーであり、図4の動作フローはプロバイダ側の動作フロ
ーである。
使用するための初期設定の動作フローの一実施形態例を
示す。ここで、図3の動作フローはユーザ側の動作フロ
ーであり、図4の動作フローはプロバイダ側の動作フロ
ーである。
【0084】ユーザ側のセキュアエージェント12を使
用するための初期設定を行う場合には、図3の動作フロ
ーに示すように、非セキュアなUA実行環境11上で動
作するユーザエージェント10は、第1の処理ステップ
で示すように、セキュアノード3のセキュアマネージャ
30に対して、セキュアエージェント生成要求を送信す
る。
用するための初期設定を行う場合には、図3の動作フロ
ーに示すように、非セキュアなUA実行環境11上で動
作するユーザエージェント10は、第1の処理ステップ
で示すように、セキュアノード3のセキュアマネージャ
30に対して、セキュアエージェント生成要求を送信す
る。
【0085】このセキュアエージェント生成要求を受け
取ると、セキュアマネージャ30は、第2の処理ステッ
プで示すように、認証手段31を使って、ユーザエージ
ェント10がユーザ本人から送信されたエージェントで
あるのか否かをチェックするとともに、ユーザの過去の
履歴などから、ユーザが過去に何度か不正アクセスをし
たことがあるかなどユーザが本システムを使用するにあ
たり脅威にならないか否かをチェックする。
取ると、セキュアマネージャ30は、第2の処理ステッ
プで示すように、認証手段31を使って、ユーザエージ
ェント10がユーザ本人から送信されたエージェントで
あるのか否かをチェックするとともに、ユーザの過去の
履歴などから、ユーザが過去に何度か不正アクセスをし
たことがあるかなどユーザが本システムを使用するにあ
たり脅威にならないか否かをチェックする。
【0086】セキュアマネージャ30は、第3の処理ス
テップで示すように、ユーザ本人からのセキュアエージ
ェントの生成要求であり、かつ、そのユーザが本システ
ムを使用するにあたり脅威にならないことを確認する
と、第4の処理ステップで示すように、セキュアエー
ジェント生成手段32を使って、ユーザ用のセキュアエ
ージェント12を生成し、セキュアエージェント鍵生
成手段33を使って、ユーザ用のセキュアエージェント
鍵40を生成し、実行環境生成手段34を使って、そ
のセキュアエージェント12の耐タンパ性のある実行環
境13を生成するとともに、その生成した実行環境13
のメモリ上に、その生成したセキュアエージェント12
及びセキュアエージェント鍵40を格納する。そして、
それをユーザノード1に配付することでユーザノード1
に実装させる。
テップで示すように、ユーザ本人からのセキュアエージ
ェントの生成要求であり、かつ、そのユーザが本システ
ムを使用するにあたり脅威にならないことを確認する
と、第4の処理ステップで示すように、セキュアエー
ジェント生成手段32を使って、ユーザ用のセキュアエ
ージェント12を生成し、セキュアエージェント鍵生
成手段33を使って、ユーザ用のセキュアエージェント
鍵40を生成し、実行環境生成手段34を使って、そ
のセキュアエージェント12の耐タンパ性のある実行環
境13を生成するとともに、その生成した実行環境13
のメモリ上に、その生成したセキュアエージェント12
及びセキュアエージェント鍵40を格納する。そして、
それをユーザノード1に配付することでユーザノード1
に実装させる。
【0087】ここで、耐タンパ性のある実行環境13が
既にユーザノード1に実装されている場合には、生成し
たセキュアエージェント12をネットワークを介してそ
の実行環境13にダウンロードしたり、生成したセキュ
アエージェント鍵40をネットワークを介してその実行
環境13にダウンロードしたり、新たに生成した実行環
境13のソフトウェア部分をネットワークを介してその
実行環境13にダウンロードすることも可能である。
既にユーザノード1に実装されている場合には、生成し
たセキュアエージェント12をネットワークを介してそ
の実行環境13にダウンロードしたり、生成したセキュ
アエージェント鍵40をネットワークを介してその実行
環境13にダウンロードしたり、新たに生成した実行環
境13のソフトウェア部分をネットワークを介してその
実行環境13にダウンロードすることも可能である。
【0088】このセキュアエージェント12の配付を受
け取ると、ユーザエージェント10は、第5の処理ステ
ップで示すように、ユーザの個人情報を、配付されたセ
キュアエージェント12を介して配付された実行環境1
3のメモリに格納する。
け取ると、ユーザエージェント10は、第5の処理ステ
ップで示すように、ユーザの個人情報を、配付されたセ
キュアエージェント12を介して配付された実行環境1
3のメモリに格納する。
【0089】このようにして、ユーザ側のセキュアエー
ジェント12を使用するための初期設定が実行される。
ジェント12を使用するための初期設定が実行される。
【0090】一方、プロバイダ側のセキュアエージェン
ト22を使用するための初期設定を行う場合には、図4
の動作フローに示すように、非セキュアなPA実行環境
21上で動作するプロバイダエージェント20は、第6
の処理ステップで示すように、セキュアノード3のセキ
ュアマネージャ30に対して、セキュアエージェント生
成要求を送信する。
ト22を使用するための初期設定を行う場合には、図4
の動作フローに示すように、非セキュアなPA実行環境
21上で動作するプロバイダエージェント20は、第6
の処理ステップで示すように、セキュアノード3のセキ
ュアマネージャ30に対して、セキュアエージェント生
成要求を送信する。
【0091】このセキュアエージェント生成要求を受け
取ると、セキュアマネージャ30は、第7の処理ステッ
プで示すように、認証手段31を使って、プロバイダエ
ージェント20がプロバイダ本人から送信されたエージ
ェントであるのか否かをチェックするとともに、プロバ
イダの過去の履歴などから、プロバイダが過去に何度か
不正アクセスをしたことがあるかなどプロバイダが本シ
ステムを使用するにあたり脅威にならないか否かをチェ
ックする。
取ると、セキュアマネージャ30は、第7の処理ステッ
プで示すように、認証手段31を使って、プロバイダエ
ージェント20がプロバイダ本人から送信されたエージ
ェントであるのか否かをチェックするとともに、プロバ
イダの過去の履歴などから、プロバイダが過去に何度か
不正アクセスをしたことがあるかなどプロバイダが本シ
ステムを使用するにあたり脅威にならないか否かをチェ
ックする。
【0092】セキュアマネージャ30は、第8の処理ス
テップで示すように、プロバイダ本人からのセキュアエ
ージェントの生成要求であり、かつ、そのプロバイダが
本システムを使用するにあたり脅威にならないことを確
認すると、第9の処理ステップで示すように、セキュ
アエージェント生成手段32を使って、プロバイダ用の
セキュアエージェント22を生成し、セキュアエージ
ェント鍵生成手段33を使って、プロバイダ用のセキュ
アエージェント鍵40を生成し、実行環境生成手段3
4を使って、そのセキュアエージェント22の耐タンパ
性のある実行環境23を生成するとともに、その生成し
た実行環境23のメモリ上に、その生成したセキュアエ
ージェント22及びセキュアエージェント鍵40を格納
する。そして、それをプロバイダノード2に配付するこ
とでプロバイダノード2に実装させる。
テップで示すように、プロバイダ本人からのセキュアエ
ージェントの生成要求であり、かつ、そのプロバイダが
本システムを使用するにあたり脅威にならないことを確
認すると、第9の処理ステップで示すように、セキュ
アエージェント生成手段32を使って、プロバイダ用の
セキュアエージェント22を生成し、セキュアエージ
ェント鍵生成手段33を使って、プロバイダ用のセキュ
アエージェント鍵40を生成し、実行環境生成手段3
4を使って、そのセキュアエージェント22の耐タンパ
性のある実行環境23を生成するとともに、その生成し
た実行環境23のメモリ上に、その生成したセキュアエ
ージェント22及びセキュアエージェント鍵40を格納
する。そして、それをプロバイダノード2に配付するこ
とでプロバイダノード2に実装させる。
【0093】ここで、耐タンパ性のある実行環境23が
既にプロバイダノード2に実装されている場合には、生
成したセキュアエージェント22をネットワークを介し
てその実行環境23にダウンロードしたり、生成したセ
キュアエージェント鍵40をネットワークを介してその
実行環境23にダウンロードしたり、新たに生成した実
行環境23のソフトウェア部分をネットワークを介して
その実行環境23にダウンロードすることも可能であ
る。
既にプロバイダノード2に実装されている場合には、生
成したセキュアエージェント22をネットワークを介し
てその実行環境23にダウンロードしたり、生成したセ
キュアエージェント鍵40をネットワークを介してその
実行環境23にダウンロードしたり、新たに生成した実
行環境23のソフトウェア部分をネットワークを介して
その実行環境23にダウンロードすることも可能であ
る。
【0094】このセキュアエージェント22の配付を受
け取ると、プロバイダエージェント20は、第10の処
理ステップで示すように、顧客情報のような機密情報
(アクセス制御リストなど)を、配付されたセキュアエ
ージェント22を介して配付された実行環境23のメモ
リに格納する。
け取ると、プロバイダエージェント20は、第10の処
理ステップで示すように、顧客情報のような機密情報
(アクセス制御リストなど)を、配付されたセキュアエ
ージェント22を介して配付された実行環境23のメモ
リに格納する。
【0095】このようにして、プロバイダ側のセキュア
エージェント22を使用するための初期設定が実行され
る。
エージェント22を使用するための初期設定が実行され
る。
【0096】次に、図5及び図6に示す動作フローに従
って、セキュアエージェントの動作について説明する。
って、セキュアエージェントの動作について説明する。
【0097】ユーザノード1にセキュアマネージャ30
から配付された実行環境13が実装され、プロバイダノ
ード2にセキュアマネージャ30から配付された実行環
境23が実装されると、図5及び図6に示す動作フロー
に従って、ユーザはプロバイダからサービスの提供を受
けることになる。
から配付された実行環境13が実装され、プロバイダノ
ード2にセキュアマネージャ30から配付された実行環
境23が実装されると、図5及び図6に示す動作フロー
に従って、ユーザはプロバイダからサービスの提供を受
けることになる。
【0098】すなわち、ユーザエージェント10は、第
1の処理ステップで示すように、プロバイダから受けた
いサービス内容を記述したプログラムと実行状態、およ
び必要な個人情報を指し示すテンプレートをセキュアエ
ージェント12に渡す。
1の処理ステップで示すように、プロバイダから受けた
いサービス内容を記述したプログラムと実行状態、およ
び必要な個人情報を指し示すテンプレートをセキュアエ
ージェント12に渡す。
【0099】これを受けて、セキュアエージェント12
は、第2の処理ステップで示すように、渡されたテンプ
レートを基に実行環境13のメモリから個人情報を読み
出す。
は、第2の処理ステップで示すように、渡されたテンプ
レートを基に実行環境13のメモリから個人情報を読み
出す。
【0100】続いて、セキュアエージェント12は、第
3の処理ステップで示すように、渡されたプログラムと
実行状態(読み出した個人情報を含む)を、プロバイダ
ノード2のセキュアエージェント22しか読み取れない
ようにするためにセキュアエージェント鍵40を使って
暗号化する。
3の処理ステップで示すように、渡されたプログラムと
実行状態(読み出した個人情報を含む)を、プロバイダ
ノード2のセキュアエージェント22しか読み取れない
ようにするためにセキュアエージェント鍵40を使って
暗号化する。
【0101】続いて、セキュアエージェント12は、第
4の処理ステップに示すように、その暗号文をプロバイ
ダノード2のセキュアエージェント22に送信する。す
なわち、図8に示したような形でプロバイダノード2に
移動するのである。
4の処理ステップに示すように、その暗号文をプロバイ
ダノード2のセキュアエージェント22に送信する。す
なわち、図8に示したような形でプロバイダノード2に
移動するのである。
【0102】これを受けて、プロバイダノード2のセキ
ュアエージェント22は、第5の処理ステップに示すよ
うに、受け取った暗号文をセキュアエージェント鍵40
を使って復号化する。
ュアエージェント22は、第5の処理ステップに示すよ
うに、受け取った暗号文をセキュアエージェント鍵40
を使って復号化する。
【0103】続いて、セキュアエージェント22は、第
6の処理ステップに示すように、受け取った暗号文の復
号化に成功することを確認すると、第7の処理ステップ
に示すように、実行環境23に格納されるアクセス制御
リストを参照することで、ユーザがサービスを利用でき
るのか否かを確認する。
6の処理ステップに示すように、受け取った暗号文の復
号化に成功することを確認すると、第7の処理ステップ
に示すように、実行環境23に格納されるアクセス制御
リストを参照することで、ユーザがサービスを利用でき
るのか否かを確認する。
【0104】続いて、セキュアエージェント22は、第
8の処理ステップに示すように、ユーザがサービスを利
用できることを確認すると、第9の処理ステップ(図6
の動作フロー)に示すように、移動してきたユーザ側の
セキュアエージェント12とプロバイダエージェント2
0との間の通信の仲介を行いながら、移動してきたユー
ザ側のセキュアエージェント12にサービスを提供す
る。
8の処理ステップに示すように、ユーザがサービスを利
用できることを確認すると、第9の処理ステップ(図6
の動作フロー)に示すように、移動してきたユーザ側の
セキュアエージェント12とプロバイダエージェント2
0との間の通信の仲介を行いながら、移動してきたユー
ザ側のセキュアエージェント12にサービスを提供す
る。
【0105】続いて、セキュアエージェント22は、プ
ロバイダエージェント20からサービスの実行結果を得
ると、第10の処理ステップに示すように、その実行結
果をユーザノード1のセキュアエージェント12しか読
み取れないようにするためにセキュアエージェント鍵4
0を使って暗号化する。
ロバイダエージェント20からサービスの実行結果を得
ると、第10の処理ステップに示すように、その実行結
果をユーザノード1のセキュアエージェント12しか読
み取れないようにするためにセキュアエージェント鍵4
0を使って暗号化する。
【0106】続いて、セキュアエージェント22は、第
11の処理ステップに示すように、その暗号文をユーザ
ノード1のセキュアエージェント12に送信する。これ
により、プロバイダ側に移動してきたユーザ側のセキュ
アエージェント12はユーザノード1に戻ることにな
る。
11の処理ステップに示すように、その暗号文をユーザ
ノード1のセキュアエージェント12に送信する。これ
により、プロバイダ側に移動してきたユーザ側のセキュ
アエージェント12はユーザノード1に戻ることにな
る。
【0107】これを受けて、ユーザノード1に戻ったセ
キュアエージェント12は、第12の処理ステップに示
すように、受け取った暗号文をセキュアエージェント鍵
40を使って復号化する。
キュアエージェント12は、第12の処理ステップに示
すように、受け取った暗号文をセキュアエージェント鍵
40を使って復号化する。
【0108】続いて、セキュアエージェント12は、第
13の処理ステップに示すように、復号化した実行結果
をユーザに通知する。
13の処理ステップに示すように、復号化した実行結果
をユーザに通知する。
【0109】このようにして、本発明によれば、ユーザ
とプロバイダ双方の処理内容の秘匿性を同時に保証する
セキュリティ技術を実現できるようになる。
とプロバイダ双方の処理内容の秘匿性を同時に保証する
セキュリティ技術を実現できるようになる。
【0110】ここで、ユーザエージェント10とプロバ
イダエージェント20との通信において、公開鍵暗号と
組み合わせることで、通信途中のセキュアエージェント
鍵40の盗聴を防止することができる。
イダエージェント20との通信において、公開鍵暗号と
組み合わせることで、通信途中のセキュアエージェント
鍵40の盗聴を防止することができる。
【0111】この図5及び図6に示す動作フローから分
かるように、ユーザノード1のセキュアエージェント1
2は、ユーザエージェント10から処理代行の依頼を受
け取る手段と、その処理依頼の内容をセキュアエージェ
ント鍵40を用いて暗号化する手段と、その暗号文をプ
ロバイダノード2に送信する手段と、プロバイダノード
2から返送されてくる処理結果の暗号文をセキュアエー
ジェント鍵40を用いて復号化する手段と、その復号化
した処理結果をユーザエージェント10に渡す手段とを
備える。
かるように、ユーザノード1のセキュアエージェント1
2は、ユーザエージェント10から処理代行の依頼を受
け取る手段と、その処理依頼の内容をセキュアエージェ
ント鍵40を用いて暗号化する手段と、その暗号文をプ
ロバイダノード2に送信する手段と、プロバイダノード
2から返送されてくる処理結果の暗号文をセキュアエー
ジェント鍵40を用いて復号化する手段と、その復号化
した処理結果をユーザエージェント10に渡す手段とを
備える。
【0112】一方、プロバイダノード2のセキュアエー
ジェント22は、ユーザノード1から送られてくる暗号
文を受信する手段と、その暗号文をセキュアエージェン
ト鍵40を用いて復号化することでユーザの処理要求を
復元する手段と、ユーザの処理要求を処理するプロバイ
ダエージェント20と連携する手段と、ユーザの処理要
求に対する実行結果をセキュアエージェント鍵40を用
いて暗号化する手段と、その暗号文をユーザノード1に
返送する手段とを備える。
ジェント22は、ユーザノード1から送られてくる暗号
文を受信する手段と、その暗号文をセキュアエージェン
ト鍵40を用いて復号化することでユーザの処理要求を
復元する手段と、ユーザの処理要求を処理するプロバイ
ダエージェント20と連携する手段と、ユーザの処理要
求に対する実行結果をセキュアエージェント鍵40を用
いて暗号化する手段と、その暗号文をユーザノード1に
返送する手段とを備える。
【0113】次に、このように構成される本発明のセキ
ュリティ技術に対する攻撃についての耐久性について述
べる。
ュリティ技術に対する攻撃についての耐久性について述
べる。
【0114】(1)処理内容や個人情報に対する攻撃 本発明では、信頼できるセキュアエージェントがセキュ
アエージェント専用の実行環境で処理を実行するため、
セキュアエージェント以外の非セキュアな通信相手が処
理内容を知ることはない。
アエージェント専用の実行環境で処理を実行するため、
セキュアエージェント以外の非セキュアな通信相手が処
理内容を知ることはない。
【0115】また、ユーザノード1のセキュアエージェ
ント10は、セキュアノード3で生成された安全なエー
ジェントであるため、このセキュアエージェント10が
プロバイダノード2を攻撃することはない。プロバイダ
のメモリアクセスは、プロバイダのセキュアエージェン
ト22との通信を介して行うため、このセキュアエージ
ェント22が不正アクセスに対するフィルタ的な役割を
果たす。
ント10は、セキュアノード3で生成された安全なエー
ジェントであるため、このセキュアエージェント10が
プロバイダノード2を攻撃することはない。プロバイダ
のメモリアクセスは、プロバイダのセキュアエージェン
ト22との通信を介して行うため、このセキュアエージ
ェント22が不正アクセスに対するフィルタ的な役割を
果たす。
【0116】このように、本発明では、通信中の処理内
容や個人情報が通信相手に知られることはないが、通信
相手への複数のオペレーションの組み合わせによって、
間接的に通信相手がこれらを知る可能性がある。例え
ば、利用者の年齢を知るためには、利用者が生まれた年
に発生した出来事が何かといったようなオペレーション
を発行すればよい。よって、セキュアエージェントの利
用者は、実行する処理のプログラミングをする際、十分
注意を払う必要がある。
容や個人情報が通信相手に知られることはないが、通信
相手への複数のオペレーションの組み合わせによって、
間接的に通信相手がこれらを知る可能性がある。例え
ば、利用者の年齢を知るためには、利用者が生まれた年
に発生した出来事が何かといったようなオペレーション
を発行すればよい。よって、セキュアエージェントの利
用者は、実行する処理のプログラミングをする際、十分
注意を払う必要がある。
【0117】(2)SAのなりすまし攻撃 本発明では、セキュアエージェントは基本的に1種類し
か存在しない。さらに、セキュアエージェント間の認証
には、同一の認証データを使っている。このため、セキ
ュアエージェントへのなりすまし攻撃が懸念される。
か存在しない。さらに、セキュアエージェント間の認証
には、同一の認証データを使っている。このため、セキ
ュアエージェントへのなりすまし攻撃が懸念される。
【0118】しかし、セキュアエージェントのプログラ
ムと認証データは、セキュアノード3で生成され、直ち
に、実行環境上のメモリに格納し、各ユーザに安全に配
付するため、セキュアエージェントと認証データが外部
に漏洩することはない。
ムと認証データは、セキュアノード3で生成され、直ち
に、実行環境上のメモリに格納し、各ユーザに安全に配
付するため、セキュアエージェントと認証データが外部
に漏洩することはない。
【0119】また、セキュアエージェントが移動する
際、バケット盗聴などによってセキュアエージェントの
プログラム等のビットパターンを読むことも考えられる
が、通信相手毎に異なる暗合鍵を使用することで解読は
困難になる。
際、バケット盗聴などによってセキュアエージェントの
プログラム等のビットパターンを読むことも考えられる
が、通信相手毎に異なる暗合鍵を使用することで解読は
困難になる。
【0120】よって、セキュアエージェントのなりすま
し攻撃は困難である。
し攻撃は困難である。
【0121】(3)SAのトレース攻撃 移動エージェントがどこのノードからどこに移動したか
を追跡し、その移動エージェントの行動形態を把握し、
処理内容を推測する攻撃をトレース攻撃という。
を追跡し、その移動エージェントの行動形態を把握し、
処理内容を推測する攻撃をトレース攻撃という。
【0122】プロバイダやユーザの種類は様々である
が、処理を代行するセキュアエージェントはセキュアノ
ード3から生成される1種類しかない。このため、上記
の例のようにセキュアエージェントの出入りが激しいプ
ロバイダで、かつ、その移動エージェントが複数のノー
ドを移動する場合は、いずれのセキュアエージェントが
いずれのユーザやプロバイダの処理を代行しているのか
を特定するのは困難である。
が、処理を代行するセキュアエージェントはセキュアノ
ード3から生成される1種類しかない。このため、上記
の例のようにセキュアエージェントの出入りが激しいプ
ロバイダで、かつ、その移動エージェントが複数のノー
ドを移動する場合は、いずれのセキュアエージェントが
いずれのユーザやプロバイダの処理を代行しているのか
を特定するのは困難である。
【0123】一方、セキュアエージェントの出入りが少
ないノードや、セキュアエージェントが一箇所のノード
しか移動しない場合は、トレース攻撃が可能になる。こ
の場合は、複数のユーザやプロバイダのエージェントが
共同で使用できる実行環境をベースにしたプロキシを追
加し、個々のセキュアエージェントは、そのプロキシを
一旦経由してから、目的のノードに移動する対策が必要
になる。
ないノードや、セキュアエージェントが一箇所のノード
しか移動しない場合は、トレース攻撃が可能になる。こ
の場合は、複数のユーザやプロバイダのエージェントが
共同で使用できる実行環境をベースにしたプロキシを追
加し、個々のセキュアエージェントは、そのプロキシを
一旦経由してから、目的のノードに移動する対策が必要
になる。
【0124】このプロキシの設置単位は、単位時間内に
2つ以上のセキュアエージェントがプロキシに存在する
ようにしなければならない。セキュアエージェントは1
種類しかないため、同時に2つ以上のセキュアエージェ
ントがプロキシに存在し、かつホップ数が大きい場合、
トレース攻撃は困難になる。
2つ以上のセキュアエージェントがプロキシに存在する
ようにしなければならない。セキュアエージェントは1
種類しかないため、同時に2つ以上のセキュアエージェ
ントがプロキシに存在し、かつホップ数が大きい場合、
トレース攻撃は困難になる。
【0125】上述した実施形態例では、ユーザエージェ
ント10やプロバイダエージェント20がノード上を移
動しないことで説明したが、ユーザエージェント10や
プロバイダエージェント20が自律的にノード上を移動
する移動エージェントの場合、それらのセキュアエージ
ェント12やセキュアエージェント22も移動性を保持
しなければならない。
ント10やプロバイダエージェント20がノード上を移
動しないことで説明したが、ユーザエージェント10や
プロバイダエージェント20が自律的にノード上を移動
する移動エージェントの場合、それらのセキュアエージ
ェント12やセキュアエージェント22も移動性を保持
しなければならない。
【0126】この実施形態例に従う場合、セキュアエー
ジェント12やセキュアエージェント22の自律的な移
動性は、ユーザエージェント10やプロバイダエージェ
ント20から引き継ぐ。ユーザエージェント10やプロ
バイダエージェント20の自律性は、Plangentで行って
いるように、各ノードとエージェント自体が共に知識ベ
ースを持ち、その中に実行したい事柄に対する行動パタ
ーンを規定しておく。エージェントは、自身が持ち歩く
知識ベースと移動先のノードにある知識ベースから適切
な移動先を自ら決定する。
ジェント12やセキュアエージェント22の自律的な移
動性は、ユーザエージェント10やプロバイダエージェ
ント20から引き継ぐ。ユーザエージェント10やプロ
バイダエージェント20の自律性は、Plangentで行って
いるように、各ノードとエージェント自体が共に知識ベ
ースを持ち、その中に実行したい事柄に対する行動パタ
ーンを規定しておく。エージェントは、自身が持ち歩く
知識ベースと移動先のノードにある知識ベースから適切
な移動先を自ら決定する。
【0127】移動性は、この実施形態例においては、図
1で示したセキュアエージェント12がプロバイダノー
ド2に移動し、セキュアエージェントの実行環境23上
でセキュアエージェント22と通信を行う。この際、プ
ロバイダエージェント20が新たなサービスを始めたと
しても、セキュアエージェント12はあらかじめ保持し
ていたユーザの個人情報を基に、利用権を確保するため
の処理を実行する。
1で示したセキュアエージェント12がプロバイダノー
ド2に移動し、セキュアエージェントの実行環境23上
でセキュアエージェント22と通信を行う。この際、プ
ロバイダエージェント20が新たなサービスを始めたと
しても、セキュアエージェント12はあらかじめ保持し
ていたユーザの個人情報を基に、利用権を確保するため
の処理を実行する。
【0128】この実施形態例に従う場合、移動性を持つ
ことと、上述した実施形態例で述べたようなセキュアエ
ージェントが個人情報を安全に配送できる性質を利用す
ることで、セキュアエージェント12は、ユーザノード
1に戻ることなく新サービスの利用権を獲得できる。
ことと、上述した実施形態例で述べたようなセキュアエ
ージェントが個人情報を安全に配送できる性質を利用す
ることで、セキュアエージェント12は、ユーザノード
1に戻ることなく新サービスの利用権を獲得できる。
【0129】
【発明の効果】(1)本発明によれば、耐タンパな実行
環境上でのセキュアエージェント間通信による安全な処
理を実現する。
環境上でのセキュアエージェント間通信による安全な処
理を実現する。
【0130】セキュアエージェントは、セキュアエージ
ェントの生成要求者とセキュアエージェント間でしか直
接通信を行わない。よって、セキュアエージェントは生
成要求者の個人情報や通信相手の機密情報を知ることに
なる。しかし、セキュアエージェントは通信中に知り得
た通信相手の情報は外部に漏らさないため上述した問題
点1、問題点2は発生しない。
ェントの生成要求者とセキュアエージェント間でしか直
接通信を行わない。よって、セキュアエージェントは生
成要求者の個人情報や通信相手の機密情報を知ることに
なる。しかし、セキュアエージェントは通信中に知り得
た通信相手の情報は外部に漏らさないため上述した問題
点1、問題点2は発生しない。
【0131】例えば、セキュアエージェントの生成要求
者がユーザの場合、ユーザのセキュアエージェントがプ
ロバイダのセキュアエージェントと通信することで、プ
ロバイダのセキュアエージェントがユーザのクレジット
カード番号などの個人情報を知り得たとしても、プロバ
イダには、「あるユーザがサービスを利用していくらの
利益を得た」というレベルの情報しか通知しない。逆
に、プロバイダがプロバイダのセキュアエージェントを
介してユーザの個人情報を問い合わせたとしても、プロ
バイダには教えない。このように、ユーザの個人情報が
プロバイダに知られることはない。
者がユーザの場合、ユーザのセキュアエージェントがプ
ロバイダのセキュアエージェントと通信することで、プ
ロバイダのセキュアエージェントがユーザのクレジット
カード番号などの個人情報を知り得たとしても、プロバ
イダには、「あるユーザがサービスを利用していくらの
利益を得た」というレベルの情報しか通知しない。逆
に、プロバイダがプロバイダのセキュアエージェントを
介してユーザの個人情報を問い合わせたとしても、プロ
バイダには教えない。このように、ユーザの個人情報が
プロバイダに知られることはない。
【0132】仮に、悪意のあるプロバイダがセキュアエ
ージェント間で実行している処理を実行環境のメモリダ
ンプなどで盗聴しようとしても、実行環境は耐タンパ性
があるため盗聴不可能である。
ージェント間で実行している処理を実行環境のメモリダ
ンプなどで盗聴しようとしても、実行環境は耐タンパ性
があるため盗聴不可能である。
【0133】(2)本発明によれば、動的に実行可能な
セキュリティネゴシエーションを実現する。
セキュリティネゴシエーションを実現する。
【0134】セキュアエージェントは、個人情報を安全
に移送できるため、直接処理に必要ない個人情報も適量
ならば常時携帯できる。よって、移動先のプロバイダノ
ードで突発的に発生した新規サービスの利用権を新たに
得たい場合には、携帯している利用権獲得に必要な情報
をプロバイダ側のセキュアエージェントに提示すること
でその利用権を獲得できる。これによって、ユーザにと
ってのシステムの利便性が向上し、上述した問題点3へ
の対処が可能である。
に移送できるため、直接処理に必要ない個人情報も適量
ならば常時携帯できる。よって、移動先のプロバイダノ
ードで突発的に発生した新規サービスの利用権を新たに
得たい場合には、携帯している利用権獲得に必要な情報
をプロバイダ側のセキュアエージェントに提示すること
でその利用権を獲得できる。これによって、ユーザにと
ってのシステムの利便性が向上し、上述した問題点3へ
の対処が可能である。
【0135】(3)本発明によれば、単純な認証プロト
コルを実現する。
コルを実現する。
【0136】セキュアエージェントは、一種類しかいな
いため共通鍵を用いた認証で対応でき、証明書を使用し
た場合のような認証プロトコルが不要である。セキュア
エージェントの生成・消去は、セキュアマネージャがユ
ーザやプロバイダの指示により実行するため、証明書の
有効期限確認のようなプロトコルが不要である。これら
のことより、上述した問題点4は発生せず、ユーザの認
証処理に対する利便性が向上する。
いため共通鍵を用いた認証で対応でき、証明書を使用し
た場合のような認証プロトコルが不要である。セキュア
エージェントの生成・消去は、セキュアマネージャがユ
ーザやプロバイダの指示により実行するため、証明書の
有効期限確認のようなプロトコルが不要である。これら
のことより、上述した問題点4は発生せず、ユーザの認
証処理に対する利便性が向上する。
【0137】(4)本発明によれば、ノードやネットワ
ークの負荷の軽減を実現する。
ークの負荷の軽減を実現する。
【0138】移動後は、セキュアエージェントはネット
ワークを介すことなく、同一ノード上でユーザやプロバ
イダの身元確認やアクセス制御が可能であるため、サー
ビス利用開始までの時間が短縮できる。
ワークを介すことなく、同一ノード上でユーザやプロバ
イダの身元確認やアクセス制御が可能であるため、サー
ビス利用開始までの時間が短縮できる。
【0139】セキュアエージェントや実行環境は、基本
的に、各ノードに組み込まれるため、移送に関する負荷
は現状の非セキュアな移動エージェントシステムと方式
的には同等である。よって、移動するエージェント数が
増大しても、方式的には上述した問題点5は発生しな
い。
的に、各ノードに組み込まれるため、移送に関する負荷
は現状の非セキュアな移動エージェントシステムと方式
的には同等である。よって、移動するエージェント数が
増大しても、方式的には上述した問題点5は発生しな
い。
【図1】本発明の一実施形態例である。
【図2】耐タンパ性を持つハードウェアの一実施形態例
である。
である。
【図3】セキュアエージェントを使用するための初期設
定の動作フローの一実施形態例である。
定の動作フローの一実施形態例である。
【図4】セキュアエージェントを使用するための初期設
定の動作フローの一実施形態例である。
定の動作フローの一実施形態例である。
【図5】セキュアエージェントの動作フローの一実施形
態例である。
態例である。
【図6】セキュアエージェントの動作フローの一実施形
態例である。
態例である。
【図7】移動エージェントシステムの説明図である。
【図8】エージェントの移動処理の説明図である。
1 ユーザノード 2 プロバイダノード 3 セキュアノード 10 ユーザエージェント 11 UA実行環境 12 セキュアエージェント 13 実行環境 20 プロバイダエージェント 21 PA実行環境 22 セキュアエージェント 23 実行環境 30 セキュアマネージャ 31 認証手段 32 セキュアエージェント生成手段 33 セキュアエージェント鍵生成手段 34 実行環境生成手段 40 セキュアエージェント鍵
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B045 BB19 BB28 BB47 GG09 JJ33 JJ35 5B085 AA08 AE23 AE29 5J104 AA07 JA03 KA01 KA04 NA02 PA07
Claims (7)
- 【請求項1】 サービス利用要求を出すユーザが属する
ユーザノードと、サービス利用要求を処理するプロバイ
ダが属するプロバイダノードとを備えるコンピュータシ
ステムで用いられるセキュアエージェント実現方法であ
って、 セキュリティに関わる処理を代行するセキュアエージェ
ントと、耐タンパ性のあるハードウェアまたはソフトウ
ェアで作られている該セキュアエージェントの実行環境
と、該セキュアエージェントの認証または暗号化のため
のセキュアエージェント鍵とを有し、 上記セキュアエージェント及び上記セキュアエージェン
ト鍵を上記実行環境に格納し、 上記セキュアエージェント及び上記実行環境は、上記ユ
ーザノードと上記プロバイダノードとを接続し、 ユーザとプロバイダは、セキュリティを確保しながら実
行したい処理がある場合に上記セキュアエージェントに
処理の代行を依頼し、 依頼された上記ユーザノードのセキュアエージェント
は、依頼された処理内容を上記セキュアエージェント鍵
で暗号化して上記プロバイダノードに送信し、 暗号文を受け取った上記プロバイダノードのセキュアエ
ージェントは、上記セキュアエージェント鍵で復号化
し、 復号化できなければ処理を行わず、復号化できればユー
ザが依頼した処理を実行し、上記プロバイダノードのセ
キュアエージェントは、その実行結果を上記セキュアエ
ージェント鍵で暗号化して上記ユーザノードのセキュア
エージェントに返送し、 実行結果を受け取った上記ユーザノードのセキュアエー
ジェントは、上記セキュアエージェント鍵で復号化し、
復号化できれば処理結果をユーザに通知することを、 特徴とするセキュアエージェント実現方法。 - 【請求項2】 請求項1記載のセキュアエージェント実
現方法において、 上記セキュアエージェントは、上記ユーザノードまたは
上記プロバイダノードにプログラムと実行状態とを移送
することで、上記プロバイダノードまたは上記ユーザノ
ードにおいて、相手側ノードから連続した処理を行える
ようにしたことを、 特徴とするセキュアエージェント実現方法。 - 【請求項3】 サービス利用要求を出すユーザが属する
ユーザノードと、サービス利用要求を処理するプロバイ
ダが属するプロバイダノードとを備えるコンピュータシ
ステムで実現されるセキュアエージェントシステムであ
って、 ユーザノードは、 セキュリティに関わる処理を代行するセキュアエージェ
ントと、耐タンパ性のあるハードウェアまたはソフトウ
ェアで作られている該セキュアエージェントの実行環境
と、該セキュアエージェントの認証または暗号化のため
に用意されて該実行環境に格納されるセキュアエージェ
ント鍵とを持ち、 かつ、上記ユーザノードのセキュアエージェントが、ユ
ーザから処理代行の依頼を受け取る手段と、該処理依頼
の内容を上記セキュアエージェント鍵を用いて暗号化す
る手段と、該暗号文をプロバイダノードに送信する手段
とを備え、 一方、プロバイダノードは、 セキュリティに関わる処理を代行するセキュアエージェ
ントと、耐タンパ性のあるハードウェアまたはソフトウ
ェアで作られている該セキュアエージェントの実行環境
と、該セキュアエージェントの認証または暗号化のため
に用意されて該実行環境に格納される上記セキュアエー
ジェント鍵とを持ち、 かつ、上記プロバイダノードのセキュアエージェント
が、ユーザノードから送られてくる暗号文を受信する手
段と、該暗号文を上記セキュアエージェント鍵を用いて
復号化することでユーザの処理要求を復元する手段と、
ユーザの処理要求に対する実行結果を上記セキュアエー
ジェント鍵を用いて暗号化する手段と、該暗号文をユー
ザノードに送信する手段とを備えることを、 特徴とするセキュアエージェントシステム。 - 【請求項4】 請求項3記載のセキュアエージェントシ
ステムにおいて、 セキュリティのサービスを提供するセキュアノードを備
え、 上記セキュアノードは、ユーザまたはプロバイダから要
求される場合に、上記セキュアエージェントを生成して
生成要求発行元に送信する手段を備えることを、 特徴とするセキュアエージェントシステム。 - 【請求項5】 請求項4記載のセキュアエージェントシ
ステムにおいて、 上記セキュアノードは、ユーザまたはプロバイダから要
求される場合に、上記セキュアエージェント鍵を生成し
て生成要求発行元に送信する手段を備えることを、 特徴とするセキュアエージェントシステム。 - 【請求項6】 請求項4記載のセキュアエージェントシ
ステムにおいて、 上記セキュアノードは、ユーザまたはプロバイダから要
求される場合に、上記実行環境を生成して生成要求発行
元に送信する手段を備えることを、 特徴とするセキュアエージェントシステム。 - 【請求項7】 セキュリティに関わる処理を代行するセ
キュアエージェントの生成要求が発行される場合に、該
生成要求発行元を認証することで、該生成要求を受け付
けるのか否かを判断する手段と、 上記生成要求を受け付けることを判断する場合に、上記
セキュアエージェントを生成する手段と、 上記セキュアエージェントの生成に合わせて、上記セキ
ュアエージェントの認証および暗号処理のためのセキュ
アエージェント鍵を生成する手段と、 上記セキュアエージェントと上記セキュアエージェント
鍵とを、耐タンパ性のある実行環境に格納する手段とを
備えることを、 特徴とするセキュアエージェント管理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000152598A JP2001331446A (ja) | 2000-05-24 | 2000-05-24 | セキュアエージェント実現方法とセキュアエージェントシステムとセキュアエージェント管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000152598A JP2001331446A (ja) | 2000-05-24 | 2000-05-24 | セキュアエージェント実現方法とセキュアエージェントシステムとセキュアエージェント管理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001331446A true JP2001331446A (ja) | 2001-11-30 |
Family
ID=18657997
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000152598A Pending JP2001331446A (ja) | 2000-05-24 | 2000-05-24 | セキュアエージェント実現方法とセキュアエージェントシステムとセキュアエージェント管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001331446A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004157703A (ja) * | 2002-11-06 | 2004-06-03 | Hitachi Ltd | コンテンツ保護システム |
| JP2006505041A (ja) * | 2002-10-31 | 2006-02-09 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 機器固有の機密保護データの安全な組み込みと利用 |
| KR100670832B1 (ko) * | 2005-12-12 | 2007-01-19 | 한국전자통신연구원 | 에이전트를 이용한 사용자 개인정보 송수신 방법 및 장치 |
| JP2008269220A (ja) * | 2007-04-19 | 2008-11-06 | Nec Corp | 認証委譲システム及び認証委譲方法並びに端末装置及び認証サーバ |
| JP2014500989A (ja) * | 2010-09-28 | 2014-01-16 | ヘッドウォーター パートナーズ I エルエルシー | セキュア装置データレコード |
| US9009486B2 (en) | 2009-04-28 | 2015-04-14 | Fujitsu Limited | Biometric authentication apparatus, biometric authentication method, and computer readable storage medium |
| JP2020135555A (ja) * | 2019-02-21 | 2020-08-31 | Necソリューションイノベータ株式会社 | 処理実行方法 |
-
2000
- 2000-05-24 JP JP2000152598A patent/JP2001331446A/ja active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006505041A (ja) * | 2002-10-31 | 2006-02-09 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 機器固有の機密保護データの安全な組み込みと利用 |
| JP4723251B2 (ja) * | 2002-10-31 | 2011-07-13 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 機器固有の機密保護データの安全な組み込みと利用 |
| JP2004157703A (ja) * | 2002-11-06 | 2004-06-03 | Hitachi Ltd | コンテンツ保護システム |
| KR100670832B1 (ko) * | 2005-12-12 | 2007-01-19 | 한국전자통신연구원 | 에이전트를 이용한 사용자 개인정보 송수신 방법 및 장치 |
| WO2007069831A1 (en) * | 2005-12-12 | 2007-06-21 | Electronics And Telecommunications Research Institute | Method and system for transmitting and receiving user's personal information using agent |
| US8769276B2 (en) | 2005-12-12 | 2014-07-01 | Electronics And Telecommunications Research Institute | Method and system for transmitting and receiving user's personal information using agent |
| JP2008269220A (ja) * | 2007-04-19 | 2008-11-06 | Nec Corp | 認証委譲システム及び認証委譲方法並びに端末装置及び認証サーバ |
| US9009486B2 (en) | 2009-04-28 | 2015-04-14 | Fujitsu Limited | Biometric authentication apparatus, biometric authentication method, and computer readable storage medium |
| JP2014500989A (ja) * | 2010-09-28 | 2014-01-16 | ヘッドウォーター パートナーズ I エルエルシー | セキュア装置データレコード |
| JP2020135555A (ja) * | 2019-02-21 | 2020-08-31 | Necソリューションイノベータ株式会社 | 処理実行方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Borselius | Mobile agent security | |
| JP4916584B2 (ja) | 呼び出しのプログラムについての秘密の封印のための方法 | |
| Claessens et al. | (How) can mobile agents do secure electronic transactions on untrusted hosts? A survey of the security issues and the current solutions | |
| Tschofenig et al. | Cyberphysical security for the masses: A survey of the internet protocol suite for internet of things security | |
| Chess | Security issues in mobile code systems | |
| EP2251810B1 (en) | Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method | |
| KR20060018852A (ko) | 랜덤 함수를 사용하는 실행의 증명 | |
| Alfalayleh et al. | An overview of security issues and techniques in mobile agents | |
| CN116601912A (zh) | 提供加密安全的后秘密供应服务 | |
| CA2425010C (en) | Saving and retrieving data based on public key encryption | |
| Borselius | Multi-agent system security for mobile communication | |
| JP2001331446A (ja) | セキュアエージェント実現方法とセキュアエージェントシステムとセキュアエージェント管理装置 | |
| Ahila et al. | Overview of mobile agent security issues—Solutions | |
| Hein et al. | An autonomous attestation token to secure mobile agents in disaster response | |
| Ma et al. | Security modeling and analysis of mobile agent systems | |
| Brooks | CLOUD TO EDGEWARE: Wireless Grid Applications, Architecture and Security for the Internet of Things | |
| WO2024139273A1 (zh) | 联邦学习方法、装置、可读存储介质及电子设备 | |
| Chattopadhyay et al. | Mobile agent security against malicious hosts: A survey | |
| Alessi et al. | Security in mobile agent systems | |
| Gnanasekar et al. | Distributed cryptographic key management for mobile agent security | |
| Paracha | A security framework for mobile agent systems | |
| Xu | Design and Implementation of the Ephemerizer System | |
| Borselius | Security for agent systems and mobile agents | |
| Kowalski et al. | CRYPTOSMART CARD 5.1 PUBLIC SECURITY TARGET | |
| Fang et al. | Security in mobile agent systems |