JP2012203516A - Property delegation system, property delegation method, and property delegation program - Google Patents
Property delegation system, property delegation method, and property delegation program Download PDFInfo
- Publication number
- JP2012203516A JP2012203516A JP2011065642A JP2011065642A JP2012203516A JP 2012203516 A JP2012203516 A JP 2012203516A JP 2011065642 A JP2011065642 A JP 2011065642A JP 2011065642 A JP2011065642 A JP 2011065642A JP 2012203516 A JP2012203516 A JP 2012203516A
- Authority
- JP
- Japan
- Prior art keywords
- attribute
- delegation
- certificate
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
本発明は、認証局が認証する利用者に対して、属性認証局によって認証される該利用者の属性に基づいてサービスを提供するサービス提供システムに適用可能な属性委譲システム、属性委譲方法、及び、属性委譲プログラムに関する。 The present invention relates to an attribute delegation system, an attribute delegation method, and a method that can be applied to a service providing system for providing a service to a user authenticated by a certificate authority based on the attribute of the user authenticated by the attribute authority. , Related to the attribute delegation program.
従来、改ざんやなりすましを防止すべく、認証局が発行する個人証明書(公開鍵証明書)に基づいて本人認証を行う公開鍵認証基盤が広く利用されている。インターネットを介して種々のサービスを提供するサービス提供システムは、セキュリティ性の向上のため、上記のような個人証明書によって利用者の本人認証を行うのが一般的である。 2. Description of the Related Art Conventionally, in order to prevent tampering and spoofing, public key authentication platforms that perform identity authentication based on a personal certificate (public key certificate) issued by a certificate authority have been widely used. In order to improve security, a service providing system that provides various services via the Internet generally performs user identity authentication using the personal certificate as described above.
このような個人証明書は拡張領域を有しており、上記のようなサービスに係る利用者の権限等の属性情報を記載することが知られている。しかしながら、利用者の属性はしばしば変更されることが一般的であり、属性の変更のために個人証明書を更新する必要があるため、コストの増大につながっていた。また、属性情報をシステム内部のデータベースで保持し、本人認証の結果と結び付ける方式もあるが、セキュリティレベルがシステムに依存するため、情報漏洩などの問題があった。 Such a personal certificate has an extended area, and is known to describe attribute information such as the authority of the user related to the service as described above. However, it is common that user attributes are often changed, and it is necessary to update the personal certificate for the attribute change, leading to an increase in cost. In addition, there is a method in which attribute information is stored in a database inside the system and linked to the result of personal authentication, but there are problems such as information leakage because the security level depends on the system.
そこで、利用者の属性を、属性認証局から発行される属性証明書に記載して管理する方法が提案されている。属性認証局は利用者と共通の認証局を信頼するものであり、この属性認証局が利用者の属性情報を記載した属性証明書を発行する。これにより、サービス提供システムは、利用者からのサービス依頼内容が、利用者の属性証明書に基づく属性に対応しているかを確認することができる。 Therefore, a method has been proposed in which user attributes are described and managed in attribute certificates issued from attribute certificate authorities. The attribute certificate authority trusts the certificate authority common to the user, and the attribute certificate authority issues an attribute certificate in which the attribute information of the user is described. Thereby, the service providing system can confirm whether the content of the service request from the user corresponds to the attribute based on the attribute certificate of the user.
このような属性証明書を利用して権限管理するものとして特許文献1がある。特許文献1には、認証された利用者間において、権限委譲者が有する権限に基づいて発行局に属性証明書の発行を依頼して被権限委譲者に権限を委譲する権限委譲システムが開示されている。 Japanese Patent Application Laid-Open No. H10-228707 discloses authority management using such attribute certificates. Patent Document 1 discloses an authority delegation system for requesting an issuance authority to issue an attribute certificate based on the authority possessed by the authority delegator among authorized users and delegating authority to the authorized delegator. ing.
ところで、属性証明書は、属性証明書の発行依頼を受けた属性認証局の管理者によって承認された後に発行されることが一般的であり、人的な手間が掛かるものであった。特許文献1においても、権限委譲者が属性証明書の発行を属性認証局等の発行局に依頼し、被権限委譲者に対して属性証明書を発行するものであり、急きょ属性を移譲する必要がある場合や、委譲された属性をさらに他の利用者に委譲するような数世代に渡る属性委譲の場合に対応できないという問題があった。 By the way, the attribute certificate is generally issued after being approved by the administrator of the attribute certificate authority that has received the attribute certificate issuance request, which takes time and labor. Also in Patent Document 1, an authority delegator requests an issuance authority such as an attribute certification authority to issue an attribute certificate, and issues an attribute certificate to the authorized delegator. There is a problem that it is not possible to cope with the case where there is an attribute delegation over several generations such as delegating the delegated attribute to another user.
そこで、本発明は、既存の公開鍵認証基盤を利用しながら属性認証局等を経由することなく効率的かつ安全に属性の委譲を行うことができる属性委譲システム、属性委譲方法、及び、属性委譲プログラムを提供することを目的とする。 Therefore, the present invention provides an attribute delegation system, an attribute delegation method, and an attribute delegation that can efficiently and safely delegate attributes without using an attribute authority while using an existing public key authentication infrastructure. The purpose is to provide a program.
本発明の属性委譲システムは、認証局が認証する利用者に対して、属性認証局によって認証される該利用者の属性に基づいてサービスを提供するサービス提供システム、に適用する属性委譲システムであって、前記利用者の属性を示す属性情報を記憶する記憶手段と、前記記憶手段から前記属性情報を取得する認証情報取得手段と、属性を委譲する属性委譲者からの入力に応じて、該属性委譲者の前記属性情報に基づき、属性が委譲される被属性委譲者への委譲属性を決定する委譲属性決定手段と、前記属性委譲者の属性情報と、前記委譲属性とを含む属性委譲証明書を生成する属性委譲証明書生成手段と、前記被属性委譲者の記憶手段に属性情報として前記属性委譲証明書を記録する属性委譲証明書記録手段と、前記サービス提供システムに含まれるように適用され、前記利用者から前記属性委譲証明書に基づくサービスの提供のリクエストがあった場合、該属性委譲証明書の属性を該利用者の属性として受け付けるリクエスト検証手段とを有していることを特徴とする。 The attribute delegation system of the present invention is an attribute delegation system applied to a service providing system that provides a service to a user authenticated by a certificate authority based on the attribute of the user authenticated by the attribute certificate authority. In response to an input from a storage unit that stores attribute information indicating the attribute of the user, an authentication information acquisition unit that acquires the attribute information from the storage unit, and an attribute delegator that delegates the attribute, Attribute delegation certificate including delegation attribute determining means for determining a delegation attribute to an attribute delegate to whom an attribute is delegated based on the attribute information of the delegator, attribute information of the attribute delegator, and the delegation attribute Attribute delegation certificate generation means for generating the attribute delegation certificate recording means for recording the attribute delegation certificate as attribute information in the storage means of the attribute delegee, and the service providing system Request verification means for accepting the attribute of the attribute delegation certificate as an attribute of the user when there is a service provision request from the user based on the attribute delegation certificate. It is characterized by.
また、本発明の属性委譲方法は、認証局が認証する利用者に対して、属性認証局によって認証される該利用者の属性に基づいてサービスを提供するサービス提供システム、に適用する属性委譲方法であって、前記利用者が所有する記憶手段から該利用者の属性を示す属性情報を取得する認証情報取得ステップと、属性を委譲する属性委譲者からの入力に応じて、該属性委譲者の前記属性情報に基づき、属性が委譲される被属性委譲者への委譲属性を決定する委譲属性決定ステップと、前記属性委譲者の属性情報と、前記委譲属性とを含む属性委譲証明書を生成する属性委譲証明書生成ステップと、前記被属性委譲者の記憶手段に属性情報として前記属性委譲証明書を記録する属性委譲証明書記録ステップと、前記サービス提供システムに対して、前記利用者から前記属性委譲証明書に基づくサービスの提供のリクエストがあった場合、該属性委譲証明書の属性を該利用者の属性として受け付けるリクエスト検証ステップとを有していることを特徴とする。 Further, the attribute delegation method of the present invention is an attribute delegation method applied to a service providing system for providing a service to a user authenticated by a certificate authority based on the attribute of the user authenticated by the attribute certificate authority. The authentication information acquisition step for acquiring attribute information indicating the attribute of the user from the storage means owned by the user, and in response to an input from the attribute delegator who delegates the attribute, Based on the attribute information, a delegation attribute determining step for determining a delegation attribute to the attribute delegate to whom the attribute is delegated, an attribute delegation certificate including the attribute delegator attribute information and the delegation attribute is generated. An attribute delegation certificate generation step, an attribute delegation certificate recording step for recording the attribute delegation certificate as attribute information in the storage means of the attribute delegator, and the service providing system And a request verification step of accepting the attribute of the attribute delegation certificate as the attribute of the user when there is a service provision request based on the attribute delegation certificate from the user. To do.
また、本発明の属性委譲プログラムは、認証局が認証する利用者に対して、属性認証局によって認証される該利用者の属性に基づいてサービスを提供するサービス提供システム、に適用する属性委譲プログラムであって、利用者が有するコンピュータを、前記利用者の属性を示す属性情報を記憶する記憶手段、前記記憶手段から前記属性情報を取得する認証情報取得手段、属性を委譲する属性委譲者からの入力に応じて、該属性委譲者の前記属性情報に基づき、属性が委譲される被属性委譲者への委譲属性を決定する委譲属性決定手段、前記属性委譲者の属性情報と、前記委譲属性とを含む属性委譲証明書を生成する属性委譲証明書生成手段、及び、前記被属性委譲者の記憶手段に属性情報として前記属性委譲証明書を記録する属性委譲証明書記録手段、として機能させ、前記サービス提供システムとしてのコンピュータを、前記利用者から前記属性委譲証明書に基づくサービスの提供のリクエストがあった場合、該属性委譲証明書の属性を該利用者の属性として受け付けるリクエスト検証手段として機能させることを特徴とする。 The attribute delegation program of the present invention is an attribute delegation program applied to a service providing system that provides a service to a user authenticated by a certificate authority based on the attribute of the user authenticated by the attribute certificate authority. A storage unit storing attribute information indicating an attribute of the user, an authentication information acquisition unit acquiring the attribute information from the storage unit, and an attribute delegator delegating the attribute. In response to the input, based on the attribute information of the attribute delegator, delegation attribute determination means for determining a delegation attribute to the attribute delegate to which the attribute is delegated, the attribute delegator attribute information, and the delegation attribute; Attribute delegation certificate generating means for generating an attribute delegation certificate including the attribute delegation certificate, and attribute delegation certificate for recording the attribute delegation certificate as attribute information in the storage means of the attribute delegate A function as a recording unit, and when there is a request for providing a service based on the attribute delegation certificate from the user to the computer as the service providing system, the attribute of the attribute delegation certificate is changed to the attribute of the user. It is characterized by functioning as a request verification means for accepting as
上記構成によれば、属性委譲者の属性情報と、委譲属性とを含む属性委譲証明書が生成されることで、属性委譲者から被属性委譲者へ属性が委譲される。そして、属性委譲証明書に基づくサービスの提供のリクエストがあった場合、サービス提供システムは、委譲された属性を該利用者の属性として受け付ける。これにより、属性委譲者から委譲された被属性委譲者の委譲属性は、ともに属性委譲証明書に含まれる属性委譲者の属性情報によって確認することができる。即ち、サービスシステムは、委譲属性をリクエストを行った利用者の属性として受け付けることができるため、属性委譲者は被属性委譲者に対して安全に属性の委譲を行うことができる。また、生成された属性委譲証明書は、新たに生成される属性委譲証明書に含まれる属性情報として再帰的に利用可能になるため、数世代に渡る属性の委譲を行うことができる。 According to the above configuration, the attribute is transferred from the attribute transferee to the attribute transferee by generating the attribute transfer certificate including the attribute information of the attribute transferee and the transfer attribute. When there is a service provision request based on the attribute delegation certificate, the service providing system accepts the delegated attribute as the attribute of the user. Thereby, both the delegation attributes of the attribute delegator delegated by the attribute delegator can be confirmed by the attribute information of the attribute delegator included in the attribute delegation certificate. That is, since the service system can accept the delegation attribute as the attribute of the user who made the request, the attribute delegator can safely delegate the attribute to the attribute delegate. Further, since the generated attribute delegation certificate can be recursively used as attribute information included in the newly generated attribute delegation certificate, it is possible to delegate attributes for several generations.
また、本発明の属性委譲システムは、認証局が認証する利用者に対して、属性認証局によって認証される該利用者の属性に基づいてサービスを提供するサービス提供システム、に適用されるものであり、前記利用者の個人証明書、及び、前記利用者の属性を示す属性情報を記憶する記憶手段と、前記記憶手段から前記個人証明書、及び/又は、前記属性情報を取得する認証情報取得手段と、属性を委譲する属性委譲者からの入力に応じて、該属性委譲者の前記属性情報に基づき、属性が委譲される被属性委譲者への委譲属性を決定する委譲属性決定手段と、前記被属性委譲者の個人証明書に基づく該被属性委譲者の識別情報と、前記属性委譲者の属性情報と、前記委譲属性と、これらへの前記属性委譲者の個人証明書に基づく署名とを含む属性委譲証明書を生成する属性委譲証明書生成手段と、前記被属性委譲者の記憶手段に属性情報として前記属性委譲証明書を記録する属性委譲証明書記録手段と、前記サービス提供システムに含まれるように適用され、前記利用者から前記属性委譲証明書に基づくサービスの提供のリクエストがあった場合、該属性委譲証明書の署名を確認し、該利用者と前記識別情報との一致確認を行い、該属性委譲証明書の属性を該利用者の属性として受け付けるリクエスト検証手段とを有していることを特徴とする。 The attribute delegation system of the present invention is applied to a service providing system that provides a service to a user authenticated by a certificate authority based on the attribute of the user authenticated by the attribute certificate authority. Yes, storage means for storing the user's personal certificate and attribute information indicating the user's attributes, and authentication information acquisition for acquiring the personal certificate and / or the attribute information from the storage means A delegation attribute determining means for determining a delegation attribute to an attribute delegator to whom an attribute is delegated based on the attribute information of the attribute delegator in response to an input from an attribute delegator who delegates the attribute; Identification information of the attribute transferee based on the personal certificate of the attribute transferee, attribute information of the attribute transferee, the transfer attribute, and a signature based on the attribute certificate of the attribute transferee to these Genus containing An attribute delegation certificate generation unit that generates a delegation certificate, an attribute delegation certificate recording unit that records the attribute delegation certificate as attribute information in the storage unit of the attribute delegator, and the service providing system And when the user has requested to provide a service based on the attribute delegation certificate, confirm the signature of the attribute delegation certificate, and confirm the match between the user and the identification information, Request verification means for receiving the attribute of the attribute delegation certificate as the attribute of the user.
上記構成によれば、被属性委譲者の個人証明書に基づく被属性委譲者の識別情報と、属性委譲者の属性情報と、委譲属性と、これらへの属性委譲者の署名とを含む属性委譲証明書が生成されることで、属性委譲者から被属性委譲者へ属性が委譲される。そして、属性委譲証明書に基づくサービスの提供のリクエストがあった場合、サービス提供システムは、属性委譲証明書の署名を確認し、リクエストを行った利用者を確認して、委譲された属性を該利用者の属性として受け付ける。 According to the above configuration, the attribute delegation including the identification information of the attribute delegator based on the personal certificate of the attribute delegator, the attribute information of the attribute delegator, the delegation attribute, and the signature of the attribute delegator to these By generating the certificate, the attribute is transferred from the attribute transferee to the attribute transferee. When there is a request for service provision based on the attribute delegation certificate, the service provision system confirms the signature of the attribute delegation certificate, confirms the user who made the request, and assigns the delegated attribute to the Accept as user attributes.
これにより、サービス提供システムは、被属性委譲者からのリクエストがあった場合に、署名を確認することで属性の委譲内容が改ざんされていないことを確認することができる。また、利用者の個人証明書と識別情報とを一致確認することでリクエストの利用者が属性委譲者によって属性が委譲された被属性委譲者であることを確認することができる。これにより、属性委譲証明書が示す属性を利用者の属性として受け付けることができる。また、属性委譲証明書には、属性委譲者の属性情報が含まれているため、リクエストされたサービスが属性委譲者の委譲した委譲属性の範囲内であることを容易に確認することができる。さらに、委譲された属性を属性情報としてさらに他の利用者へ容易に委譲することができる。これらの結果、既存の公開鍵認証基盤を利用しながら属性認証局等を経由することなく効率的かつ安全に属性の委譲を行うことができる。 Accordingly, the service providing system can confirm that the attribute delegation content has not been tampered with by confirming the signature when there is a request from the attribute delegate. Also, by confirming the identity of the user's personal certificate and the identification information, it is possible to confirm that the user of the request is an attributed delegate to whom the attribute has been delegated by the attribute delegate. Thereby, the attribute indicated by the attribute delegation certificate can be accepted as the user attribute. In addition, since the attribute delegation certificate includes attribute information of the attribute delegator, it can be easily confirmed that the requested service is within the range of the delegation attribute delegated by the attribute delegator. Furthermore, the delegated attribute can be easily delegated to other users as attribute information. As a result, it is possible to efficiently and safely delegate attributes without using an attribute authority or the like while using an existing public key authentication infrastructure.
また、本発明の委譲属性決定手段は、属性を委譲する属性委譲者からの入力に応じて、前記委譲属性の有効期限を決定し、属性委譲証明書生成手段は、決定した前記有効期限を含めた前記属性委譲証明書を生成するものであってもよい。 Further, the delegation attribute determination means of the present invention determines an expiration date of the delegation attribute according to an input from an attribute delegator who delegates the attribute, and the attribute delegation certificate generation means includes the determined expiration date Alternatively, the attribute delegation certificate may be generated.
上記構成によれば、属性委譲証明書の有効期限を設定することができ、さらに属性委譲証明書に含まれる属性情報により、その有効期限を容易に確認することができる。 According to the above configuration, the expiration date of the attribute delegation certificate can be set, and the expiration date can be easily confirmed by the attribute information included in the attribute delegation certificate.
また、本発明のリクエスト検証手段は、前記属性委譲証明書に含まれる前記属性情報と、前記署名とに基づいて、該属性情報を所有する利用者を確認するものであってもよい。 Moreover, the request verification means of this invention may confirm the user who owns the attribute information based on the attribute information contained in the attribute delegation certificate and the signature.
上記構成によれば、利用者に属性を委譲した属性委譲者を認証することができ、属性の委譲をより安全に行うことができる。 According to the above configuration, the attribute delegator who delegated the attribute to the user can be authenticated, and the attribute delegation can be performed more safely.
既存の公開鍵認証基盤を利用しながら効率的かつ安全に属性の委譲を行うことができる。 It is possible to efficiently and securely delegate attributes while using an existing public key authentication infrastructure.
以下、本発明の実施形態の例を図面に基づいて具体的に説明する。 Hereinafter, embodiments of the present invention will be specifically described with reference to the drawings.
(システム構成)
図1及び図2に示すように、本実施形態の属性委譲システム100は、認証局2が個人証明書(公開鍵証明書)を発行して認証する利用者200に対して、属性認証局3によって認証される該利用者の属性に基づいてサービスを提供するサービス提供システム4、に適用されるものであり、属性を委譲する利用者200(属性委譲者)から、他の属性が委譲される利用者200(被属性委譲者)に対して、属性を委譲可能にする。
(System configuration)
As shown in FIGS. 1 and 2, the attribute delegation system 100 according to the present embodiment is configured so that the certificate authority 2 can authenticate a user 200 who issues a personal certificate (public key certificate) and authenticates the user 200. This is applied to the service providing system 4 that provides a service based on the attribute of the user authenticated by the user, and other attributes are delegated from the user 200 (attribute delegator) who delegates the attribute. The attribute can be transferred to the user 200 (attribute transferee).
(前提条件)
ここで、前提として、サービス提供システム4を利用する全ての利用者200は、共通の認証局2から個人証明書が発行されているものとする。また、この認証局2は、属性認証局3から信頼(認証局2から公開鍵証明書が発行)されているものとする。そして、これらの認証局2及び属性認証局3は、サービス提供システム4から信頼されているものとする。
(Prerequisite)
Here, it is assumed that all users 200 who use the service providing system 4 have issued personal certificates from the common certificate authority 2. The certificate authority 2 is assumed to be trusted by the attribute certificate authority 3 (a public key certificate is issued from the certificate authority 2). The certificate authority 2 and the attribute certificate authority 3 are assumed to be trusted by the service providing system 4.
利用者200は、属性認証局3から、サービス提供システム4に係る権限等の属性が記載された属性証明書が発行されることにより、この属性の範囲内でサービス提供システム4を利用することができるようになっている。即ち、利用者200がサービス提供システム4にサービス提供のリクエストを行う場合、利用者200に発行された個人証明書と属性証明書とが必要となる。 The user 200 can use the service providing system 4 within the range of this attribute by issuing an attribute certificate in which an attribute such as authority related to the service providing system 4 is issued from the attribute certification authority 3. It can be done. That is, when the user 200 makes a service provision request to the service providing system 4, a personal certificate and an attribute certificate issued to the user 200 are required.
尚、属性とは、サービス提供システム4が提供するサービスを利用する権限に限定されず、例えば、ポイントカードシステムのポイント情報、MMORPG(Massively Multiplayer Online Role-Playing Game)等のゲーム内において保有する仮想的なアイテム・通貨等の情報であってもよい。そして、属性委譲システム100が適用されるサービス提供システム4は限定されるものではなく、利用者が所属する機関の社内システム、ポイントカードシステム、及び、ゲームシステム等の各種システムを挙げることができる。 The attribute is not limited to the authority to use the service provided by the service providing system 4, and for example, virtual information held in a game such as point information of a point card system, MMORPG (Massively Multiplayer Online Role-Playing Game), etc. It may be information such as typical item / currency. The service providing system 4 to which the attribute delegation system 100 is applied is not limited, and examples thereof include various systems such as an in-house system of an organization to which a user belongs, a point card system, and a game system.
(属性委譲システム100)
図2に示すように、属性委譲システム100は、記憶部101と、認証情報取得部102と、委譲属性決定部103と、属性委譲証明書生成部104と、属性委譲証明書記録部105と、リクエスト検証部106とを有している。
(Attribute delegation system 100)
As shown in FIG. 2, the attribute delegation system 100 includes a storage unit 101, an authentication information acquisition unit 102, a delegation attribute determination unit 103, an attribute delegation certificate generation unit 104, an attribute delegation certificate recording unit 105, And a request verification unit 106.
(利用者装置1)
本実施形態では、サービスを利用する利用者200が利用者装置1を有しており、この利用者装置1が、記憶部101、認証情報取得部102、委譲属性決定部103、属性委譲証明書生成部104、及び、属性委譲証明書記録部105を有している。利用者装置1は、サービス提供システム4や他の利用者の利用者装置1と、互いにデータ通信可能な通信回線を介して接続可能にされている。
(User device 1)
In the present embodiment, a user 200 who uses a service has a user device 1, and the user device 1 includes a storage unit 101, an authentication information acquisition unit 102, a delegation attribute determination unit 103, an attribute delegation certificate. A generation unit 104 and an attribute delegation certificate recording unit 105 are included. The user device 1 can be connected to the service providing system 4 and the user device 1 of another user via a communication line capable of data communication with each other.
また、利用者装置1は、リクエスト要求部110と、表示部111と、入力部112とを有している。 The user device 1 includes a request request unit 110, a display unit 111, and an input unit 112.
尚、本実施形態では、利用者装置1がタブレット端末等の移動端末であるが、これに限定されるものではない。例えば、利用者200が記憶部101としてのICカード、USBメモリ等の電子記録媒体を保有し、属性委譲の際には、認証情報取得部102と、委譲属性決定部103と、属性委譲証明書生成部104と、属性委譲証明書記録部105との機能を備えたPC端末が利用者200の電子記録媒体を読み取り、他の利用者200のICカードに属性委譲証明書を記録するものであってもよい。 In addition, in this embodiment, although the user apparatus 1 is mobile terminals, such as a tablet terminal, it is not limited to this. For example, the user 200 possesses an electronic recording medium such as an IC card or a USB memory as the storage unit 101, and at the time of attribute delegation, the authentication information acquisition unit 102, delegation attribute determination unit 103, attribute delegation certificate A PC terminal having the functions of the generation unit 104 and the attribute delegation certificate recording unit 105 reads the electronic recording medium of the user 200 and records the attribute delegation certificate on the IC card of another user 200. May be.
具体的に、利用者装置1の各部の機能について説明する。
記憶部101は、この利用者装置1を所有する利用者200の個人証明書、及び、この利用者200の属性を示す属性情報を記憶する機能を有している。また、記憶部101は、この個人証明書に対応する秘密鍵を記憶している。
Specifically, functions of each unit of the user device 1 will be described.
The storage unit 101 has a function of storing a personal certificate of the user 200 who owns the user device 1 and attribute information indicating the attribute of the user 200. The storage unit 101 stores a secret key corresponding to the personal certificate.
尚、属性情報とは、属性認証局3によって発行される属性証明書、及び/又は、属性委譲システム100(属性委譲証明書生成部104)によって生成される属性委譲証明書を示す。図1に示すように、利用者200(利用者200B・200C)がこの属性委譲証明書を有している場合、属性委譲システム100の適用されたサービス提供システム4を利用することができ、属性認証局3からの属性証明書の発行を不要とすることができる。尚、属性委譲証明書については後に詳述する。 The attribute information indicates an attribute certificate issued by the attribute certificate authority 3 and / or an attribute delegation certificate generated by the attribute delegation system 100 (attribute delegation certificate generation unit 104). As shown in FIG. 1, when the user 200 (users 200B and 200C) has this attribute delegation certificate, the service providing system 4 to which the attribute delegation system 100 is applied can be used. It is not necessary to issue an attribute certificate from the certificate authority 3. The attribute delegation certificate will be described in detail later.
利用者200が被属性委譲者である場合、記憶部101には、他の利用者200の利用者装置1によって属性委譲証明書が記録されるようになっている。即ち、記憶部101は、利用者装置1から属性委譲証明書データを受信して記憶する機能を有していてもよい。尚、記憶部101に記憶される属性情報は、属性証明書、及び/又は、属性委譲証明書、が複数記憶されていてもよい。ただし、属性委譲者の記憶部101には、属性証明書又は属性委譲証明書が少なくとも1つ記憶されている必要がある。 When the user 200 is an attribute transferee, the attribute transfer certificate is recorded in the storage unit 101 by the user device 1 of another user 200. That is, the storage unit 101 may have a function of receiving and storing attribute delegation certificate data from the user device 1. The attribute information stored in the storage unit 101 may store a plurality of attribute certificates and / or attribute delegation certificates. However, the attribute delegator storage unit 101 needs to store at least one attribute certificate or attribute delegation certificate.
また、記憶部101は、秘密鍵の記憶領域が、ハードウェア的又はソフトウェア的に耐タンパ性を有していてもよい。このように構成されることで、例えば、秘密鍵の記憶領域が、個人証明書及び属性情報の記憶領域と物理的に分けられているものであってもよい。これにより、秘密鍵を記憶したコンピュータ、電子記憶媒体等を盗難・紛失した場合であっても、秘密鍵の第三者への漏洩を防止することができる。 Further, in the storage unit 101, the storage area of the secret key may have tamper resistance in hardware or software. With this configuration, for example, the private key storage area may be physically separated from the personal certificate and attribute information storage area. Thereby, even when a computer, an electronic storage medium or the like storing a secret key is stolen or lost, it is possible to prevent the secret key from leaking to a third party.
認証情報取得部102は、記憶部101から個人証明書、及び/又は、属性情報の認証情報を取得する機能を有している。認証情報取得部102は、同じ利用者装置1内の記憶部101に対して内部バス等を介してアクセス可能にされていると共に、他の利用者装置1の記憶部101に対して無線通信等によりアクセス可能にされている。 The authentication information acquisition unit 102 has a function of acquiring authentication information of a personal certificate and / or attribute information from the storage unit 101. The authentication information acquisition unit 102 is made accessible to the storage unit 101 in the same user apparatus 1 via an internal bus or the like, and wirelessly communicates with the storage unit 101 of another user apparatus 1. It is made accessible by
委譲属性決定部103は、属性を委譲する属性委譲者からの入力に応じて、該属性委譲者の属性情報に基づき、属性が委譲される被属性委譲者への委譲属性を決定する機能を有している。具体的に、委譲属性決定部103は、認証情報取得部102が取得した属性情報が示す属性の内容を表示部111へ選択可能に表示するようになっている。また、委譲属性決定部103は、利用者200による入力部112への操作に基づいて、利用者200が他の利用者200に委譲を所望する属性を決定する。尚、委譲属性決定部103は、属性を委譲する属性委譲者からの入力に応じて、委譲属性の有効期限を決定する機能を有していてもよい。 The delegation attribute determination unit 103 has a function of determining a delegation attribute to an attribute delegator to which an attribute is delegated based on attribute information of the attribute delegator in response to an input from the attribute delegator who delegates the attribute. is doing. Specifically, the delegation attribute determination unit 103 displays the content of the attribute indicated by the attribute information acquired by the authentication information acquisition unit 102 on the display unit 111 in a selectable manner. Further, the delegation attribute determination unit 103 determines an attribute that the user 200 desires to delegate to another user 200 based on an operation on the input unit 112 by the user 200. Note that the delegation attribute determination unit 103 may have a function of determining the expiration date of the delegation attribute in accordance with an input from the attribute delegator who delegates the attribute.
属性委譲証明書生成部104は、被属性委譲者の個人証明書に基づく該被属性委譲者の識別情報と、属性委譲者の属性情報と、委譲属性決定部103によって決定された委譲属性と、これらへの属性委譲者の個人証明書に基づく署名とを含む属性委譲証明書を生成する機能を有している。ここで、識別情報とは、被属性委譲者の個人証明書に含まれる被属性委譲者(被属性委譲者の個人証明書)を識別する識別子である。 The attribute delegation certificate generation unit 104 includes the identification information of the attribute delegator based on the personal certificate of the attribute delegator, the attribute information of the attribute delegator, the delegation attribute determined by the delegation attribute determination unit 103, It has a function of generating an attribute delegation certificate including a signature based on the attribute delegator's personal certificate. Here, the identification information is an identifier for identifying an attributed delegate (personal certificate of the attributed delegate) included in the attributed delegate's personal certificate.
具体的に、属性委譲証明書生成部104は、識別情報と属性情報と委譲属性とからなる平文と、平文をハッシュ関数で変換したメッセージダイジェストに対して個人証明書に対応する秘密鍵で暗号化した電子署名データとを有する属性委譲証明書を生成する。尚、委譲属性決定部103が有効期限を決定するものである場合は、平文に有効期限が含まれていてもよい。また、平文には、属性証明書のバージョン情報、属性委譲証明書の署名アルゴリズム等の管理情報が含まれていてもよい。 Specifically, the attribute delegation certificate generation unit 104 encrypts a plaintext composed of identification information, attribute information, and a delegation attribute, and a message digest obtained by converting the plaintext using a hash function with a secret key corresponding to the personal certificate. The attribute delegation certificate having the digital signature data thus generated is generated. When the delegation attribute determination unit 103 determines the expiration date, the expiration date may be included in the plain text. In addition, the plain text may include management information such as attribute certificate version information and attribute delegation certificate signature algorithm.
尚、属性委譲証明書生成部104と秘密鍵を記憶する記憶部101とが別々の装置に含まれる場合、記憶部101を有する装置は、属性委譲証明書生成部104からの署名依頼信号を受けて電子署名データを生成する機能を有していてもよい。 When the attribute delegation certificate generation unit 104 and the storage unit 101 that stores the secret key are included in different devices, the device having the storage unit 101 receives the signature request signal from the attribute delegation certificate generation unit 104. The electronic signature data may be generated.
また、属性委譲証明書記録部105は、被属性委譲者の記憶部101に属性委譲証明書を記録する機能を有している。本実施形態では、属性を委譲する利用者200の利用者装置1の属性委譲証明書記録部105が、属性が委譲される利用者200の利用者装置1の記憶部101に、無線通信を利用して属性委譲証明書を記録するようになっているがこれに限定されない。 The attribute delegation certificate recording unit 105 has a function of recording the attribute delegation certificate in the storage unit 101 of the attribute delegator. In the present embodiment, the attribute delegation certificate recording unit 105 of the user device 1 of the user 200 delegating the attribute uses wireless communication to the storage unit 101 of the user device 1 of the user 200 to which the attribute is delegated. The attribute delegation certificate is recorded, but the present invention is not limited to this.
例えば、上述の認証情報取得部102、及び、属性委譲証明書記録部105は、カードリーダライタを利用するものであってもよいし、Wi−Fi(wireless fidelity)、Bluetooth、及び、赤外線等の無線通信規格を満たす通信機器を利用するものであってもよい。 For example, the authentication information acquisition unit 102 and the attribute delegation certificate recording unit 105 described above may use a card reader / writer, Wi-Fi (wireless fidelity), Bluetooth, infrared, etc. A communication device that satisfies the wireless communication standard may be used.
表示部111は、認証情報取得部102が取得した属性情報を選択可能に表示するディスプレイである。入力部112は、外部からの入力が可能にされている入力デバイスであり、表示部111を覆うように設けられたタッチパネルであるが、利用者装置1の形態に応じて入力ボタン、キーボード等であってもよい。属性を委譲する利用者200は、表示部111に表示された委譲属性決定画面において属性を選択して、委譲する委譲属性を入力部112によって入力することができるようになっている。委譲属性決定画面については後に詳述する。 The display unit 111 is a display that displays the attribute information acquired by the authentication information acquisition unit 102 in a selectable manner. The input unit 112 is an input device that can be input from the outside, and is a touch panel provided so as to cover the display unit 111, but with an input button, a keyboard, or the like according to the form of the user device 1. There may be. The user 200 who delegates an attribute can select an attribute on the delegation attribute determination screen displayed on the display unit 111 and can input the delegation attribute to be delegated through the input unit 112. The delegation attribute determination screen will be described in detail later.
また、リクエスト要求部110は、入力部112への入力に応じてサービス提供システムへサービス提供のリクエストを送信し、サービス提供システム4からのレスポンスに基づいて表示部111にサービスの内容等を表示する。 Further, the request request unit 110 transmits a service provision request to the service providing system in response to an input to the input unit 112 and displays the contents of the service on the display unit 111 based on the response from the service providing system 4. .
(サービス提供システム4)
サービス提供システム4は、属性委譲システム100のリクエスト検証部106と、利用者200のリクエストに応じてサービスを提供するサービス提供部130とを有している。ここで、リクエストには、「利用者200の個人証明書」、「属性情報」、「サービス依頼内容」が含まれる。
(Service provision system 4)
The service providing system 4 includes a request verification unit 106 of the attribute delegation system 100 and a service providing unit 130 that provides a service in response to a request from the user 200. Here, the request includes “personal certificate of user 200”, “attribute information”, and “service request content”.
リクエスト検証部106は、リクエスト受付部107と、署名検証部108と、利用者確認部109と、属性確認部120とを有している。 The request verification unit 106 includes a request reception unit 107, a signature verification unit 108, a user confirmation unit 109, and an attribute confirmation unit 120.
リクエスト受付部107は、リクエストを行った利用者装置1からの個人証明書を確認して利用者200の個人認証を行う機能を有している。例えば、リクエスト受付部107は、認証局2の失効リストを閲覧して個人証明書が失効していないかを確認する。また、リクエスト受付部107は、リクエストが属性証明書に基づくものである場合、属性認証局3の失効リストを閲覧して属性証明書が失効していないかを確認する。尚、これらの機能は、サービス提供部130が有するものであってもよい。 The request reception unit 107 has a function of confirming a personal certificate from the user apparatus 1 that has made the request and performing personal authentication of the user 200. For example, the request reception unit 107 browses the revocation list of the certificate authority 2 and confirms whether the personal certificate has expired. Further, when the request is based on the attribute certificate, the request reception unit 107 browses the revocation list of the attribute certificate authority 3 to check whether the attribute certificate has expired. Note that these functions may be provided by the service providing unit 130.
また、リクエスト受付部107は、上記のようなリクエストの正当性が確認できた場合、利用者200の属性とサービス依頼内容とをサービス提供部130へ送信し、リクエスト処理部からのレスポンスを利用者装置1へ送信する。 If the request accepting unit 107 confirms the validity of the request as described above, the request accepting unit 107 transmits the attribute of the user 200 and the content of the service request to the service providing unit 130, and sends a response from the request processing unit to the user. Transmit to device 1.
また、リクエスト受付部107は、リクエストが属性委譲証明書に基づくものである場合、即ち、利用者装置1からのリクエストに利用者200の属性を示すものとして属性委譲証明書が含まれていた場合、利用者装置1からのリクエストに基づく情報を署名検証部108及び利用者確認部109に送信する。 Further, when the request is based on the attribute delegation certificate, that is, when the request from the user device 1 includes the attribute delegation certificate indicating the attribute of the user 200 Then, information based on the request from the user device 1 is transmitted to the signature verification unit 108 and the user confirmation unit 109.
署名検証部108は、属性委譲証明書の署名の検証を行う機能を有している。具体的に、リクエスト検証部106は、属性委譲証明書に含まれる電子署名データに対して、公開鍵を用いてメッセージダイジェストに復号化し、属性委譲証明書に含まれる平文をハッシュ関数でメッセ−ジダイジェストに変換し、これらのメッセージダイジェストが一致するか否かを確認する。 The signature verification unit 108 has a function of verifying the signature of the attribute delegation certificate. Specifically, the request verification unit 106 decrypts the electronic signature data included in the attribute delegation certificate into a message digest using a public key, and converts the plaintext included in the attribute delegation certificate into a message using a hash function. It is converted to a digest and it is confirmed whether or not these message digests match.
利用者確認部109は、属性委譲証明書に含まれる平文の識別情報と、リクエスト受付部107が確認した個人証明書の識別情報とが一致するか否かを確認する機能を有している。属性確認部120は、属性認証局3の失効リストを閲覧して属性委譲証明書に含まれる属性証明書が失効していないか等を確認する機能、属性委譲証明書が示す属性を確認する機能を有している。 The user confirmation unit 109 has a function of confirming whether the plaintext identification information included in the attribute transfer certificate matches the identification information of the personal certificate confirmed by the request reception unit 107. The attribute confirmation unit 120 has a function of browsing the revocation list of the attribute certification authority 3 to confirm whether or not the attribute certificate included in the attribute delegation certificate has expired, and a function of confirming the attribute indicated by the attribute delegation certificate have.
尚、上述したリクエスト受付部107は、リクエスト検証部106は、リクエスト受付部107、署名検証部108、属性確認部120から検証結果情報を受信し、属性確認部120が取得した属性とサービス依頼内容とをサービス提供部130へ送信する。即ち、リクエスト受付部107は、属性委譲証明書が示す属性を利用者の属性として受け付ける機能を有している。 The request reception unit 107 described above, the request verification unit 106 receives the verification result information from the request reception unit 107, the signature verification unit 108, and the attribute confirmation unit 120, and the attribute and service request content acquired by the attribute confirmation unit 120. Are transmitted to the service providing unit 130. That is, the request reception unit 107 has a function of receiving the attribute indicated by the attribute delegation certificate as the user attribute.
サービス提供部130は、リクエスト検証部からの属性と、サービス依頼内容とに基づいて、サービスを提供するための各種処理を実行する。即ち、属性の認証はリクエスト検証部106で行われるため、サービス提供部130は、リクエスト検証部106から送信された利用者200の属性が正しいものとして処理を実行することができる。従って、サービス提供部130は、要求されたサービス依頼内容が属性に対応しているかを判定すればよく、属性を認証する必要がない。 The service providing unit 130 executes various processes for providing a service based on the attribute from the request verification unit and the content of the service request. That is, since the attribute verification is performed by the request verification unit 106, the service providing unit 130 can execute the process assuming that the attribute of the user 200 transmitted from the request verification unit 106 is correct. Therefore, the service providing unit 130 only needs to determine whether the requested service request content corresponds to the attribute, and does not need to authenticate the attribute.
尚、本実施形態において、利用者装置1及びサービス提供システム(アプリケーションサーバ)4はコンピュータであり、CPU(Central Processing Unit)と、CPUが実行するプログラム及びこれらプログラムに使用されるデータを書き替え可能に記憶するEEPROM(Electrically Erasable and Programmable Read Only Memory)と、プログラム実行時にデータを一時的に記憶するRAM(Random Access Memory)とを含んでいる。利用者装置1及びサービス提供システム4が有する上記のような各部は、これらや上述したようなコンピュータとEEPROM内の属性委譲プログラムとが協働して構築されている。 In this embodiment, the user device 1 and the service providing system (application server) 4 are computers, and a CPU (Central Processing Unit), a program executed by the CPU, and data used for these programs can be rewritten. EEPROM (Electrically Erasable and Programmable Read Only Memory) stored in the memory and RAM (Random Access Memory) that temporarily stores data when the program is executed. The above-described units included in the user device 1 and the service providing system 4 are constructed in cooperation with these and the above-described computer and the attribute delegation program in the EEPROM.
換言すれば、属性委譲プログラムは、コンピュータを、上記のような各部が有する機能させるようになっている。 In other words, the attribute delegation program causes the computer to have functions as described above.
また、利用者装置1及びサービス提供システム4は夫々1台の装置に限定されず、複数のコンピュータ等に機能を分散させて設けられるものであってもよい。即ち、リクエスト検証部106はサービス提供システム4に含まれるように適用されるものであるが、リクエスト検証部106を、サービス提供システム4とは別サーバに設置するものであってもよい。また、例えば、複数のサービス提供システム4の全てのリクエストを検証する1の独立サーバを設置するものであってもよい。 Further, the user device 1 and the service providing system 4 are not limited to a single device, but may be provided by distributing functions to a plurality of computers or the like. That is, the request verification unit 106 is applied so as to be included in the service providing system 4, but the request verification unit 106 may be installed on a separate server from the service providing system 4. Further, for example, one independent server for verifying all requests of the plurality of service providing systems 4 may be installed.
(属性情報)
ここで、記憶部101が記憶する認証情報について説明する。
先ず、図1及び図3に示すように、利用者200Aが属性認証局3から属性証明書が発行された場合、利用者装置1Aの記憶部101には、利用者200Aの個人証明書11と、この個人証明書11に対応する秘密鍵12と、属性情報として属性証明書13とが記憶されることになる。
(Attribute information)
Here, the authentication information stored in the storage unit 101 will be described.
First, as shown in FIGS. 1 and 3, when the user 200A issues an attribute certificate from the attribute certificate authority 3, the storage unit 101 of the user apparatus 1A stores the personal certificate 11 of the user 200A. The private key 12 corresponding to the personal certificate 11 and the attribute certificate 13 are stored as attribute information.
次に、上記のような利用者200Aから、属性情報を有していない利用者200Bへ属性が委譲された場合について説明する。図4に示すように、利用者200Bの利用者装置1Bの記憶部101には、利用者200Bの個人証明書21と、この個人証明書21に対応する秘密鍵22と、属性情報としての属性委譲証明書23とが、利用者装置1Aによって記録されることになる。 Next, a case where the attribute is transferred from the user 200A as described above to the user 200B having no attribute information will be described. As shown in FIG. 4, in the storage unit 101 of the user device 1B of the user 200B, a personal certificate 21 of the user 200B, a private key 22 corresponding to the personal certificate 21, and attributes as attribute information The delegation certificate 23 is recorded by the user apparatus 1A.
具体的に、属性委譲証明書23には、識別情報231と、利用者200Aの属性証明書13と、委譲属性232と、有効期限233と、属性委譲者である利用者200Aの署名234とが含まれている。ここで、識別情報231は、利用者200Bの個人証明書21に含まれる主体者ユニーク識別子(Subject Unique ID)であり、利用者200Bを識別するための一意な情報である。また、上述したように、署名234は、識別情報231、属性証明書13、委譲属性232、及び、有効期限233に対する利用者200Aの秘密鍵12に基づいて、利用者装置1Aによって行われた署名である。 Specifically, the attribute transfer certificate 23 includes identification information 231, an attribute certificate 13 of the user 200A, a transfer attribute 232, an expiration date 233, and a signature 234 of the user 200A who is the attribute transferee. include. Here, the identification information 231 is a subject unique identifier (Subject Unique ID) included in the personal certificate 21 of the user 200B, and is unique information for identifying the user 200B. Further, as described above, the signature 234 is the signature made by the user apparatus 1A based on the identification information 231, the attribute certificate 13, the delegation attribute 232, and the private key 12 of the user 200A for the expiration date 233. It is.
従って、属性確認部120は、この属性委譲証明書23に含まれる属性証明書13が示す利用者200Aの公開鍵により署名234を検証し、属性委譲証明書23の平文(識別情報231、属性証明書13、委譲属性232、及び、有効期限233)が改ざんされていないことを確認することができる。即ち、利用者200Aが、利用者200B(識別情報231)に対して、属性(委譲属性232)を委譲したことを確認することができる。 Accordingly, the attribute confirmation unit 120 verifies the signature 234 with the public key of the user 200A indicated by the attribute certificate 13 included in the attribute delegation certificate 23, and clears the plaintext (identification information 231 and attribute proof of the attribute delegation certificate 23). It can be confirmed that the document 13, the delegation attribute 232, and the expiration date 233) have not been tampered with. That is, it can be confirmed that the user 200A has delegated the attribute (delegation attribute 232) to the user 200B (identification information 231).
また、属性委譲証明書23には権限委譲者の属性情報(属性証明書13)が含まれているため、属性確認部120は、委譲された属性(委譲属性232)が属性証明書13の示す属性の範囲内であることを属性認証局3にアクセスすることなく容易に確認することができる。さらに、属性証明書13には属性証明書13が示す属性の有効期限が含まれているため、属性確認部120は、委譲された属性の有効期限233が属性証明書13の有効期限内であるか否かを容易に確認することができる。 Further, since the attribute delegation certificate 23 includes the attribute information (attribute certificate 13) of the authority delegator, the attribute confirmation unit 120 indicates that the delegated attribute (delegation attribute 232) is the attribute certificate 13. It can be easily confirmed without accessing the attribute certificate authority 3 that it is within the range of the attribute. Further, since the attribute certificate 13 includes the expiration date of the attribute indicated by the attribute certificate 13, the attribute confirmation unit 120 determines that the attribute expiration date 233 of the delegated attribute is within the expiration date of the attribute certificate 13. It can be easily confirmed whether or not.
次に、上記のような利用者200Bから、属性情報を有していない利用者200Cへ属性が委譲された場合について説明する。図5に示すように、利用者200Cの利用者装置1Cの記憶部101には、利用者200Cの個人証明書31と、この個人証明書31に対応する秘密鍵32と、属性情報としての属性委譲証明書33とが利用者装置1Bによって記録されることになる。 Next, a case where the attribute is transferred from the user 200B as described above to the user 200C having no attribute information will be described. As shown in FIG. 5, in the storage unit 101 of the user device 1C of the user 200C, a personal certificate 31 of the user 200C, a private key 32 corresponding to the personal certificate 31, and attributes as attribute information The delegation certificate 33 is recorded by the user apparatus 1B.
具体的に、属性委譲証明書33には、識別情報331と、属性情報としての利用者200Bの属性委譲証明書23と、委譲属性332と、有効期限333と、属性委譲者である利用者200Bの署名334とが含まれている。 Specifically, the attribute delegation certificate 33 includes the identification information 331, the attribute delegation certificate 23 of the user 200B as attribute information, the delegation attribute 332, the expiration date 333, and the user 200B who is the attribute delegator. The signature 334 is included.
従って、属性確認部120は、この属性委譲証明書33に含まれる識別情報331が示す公開鍵により署名334を検証し、属性委譲証明書23の平文(識別情報231、属性証明書13、委譲属性232、及び、有効期限233)が改ざんされていないことを確認することができる。即ち、利用者200Bが、利用者200C(識別情報231)に対して、属性(委譲属性332)を委譲したことを確認することができる。 Therefore, the attribute confirmation unit 120 verifies the signature 334 with the public key indicated by the identification information 331 included in the attribute delegation certificate 33, and clears the plain text (identification information 231, attribute certificate 13, delegation attribute) of the attribute delegation certificate 23. 232 and the expiration date 233) can be confirmed. That is, it can be confirmed that the user 200B has delegated the attribute (delegation attribute 332) to the user 200C (identification information 231).
また、属性委譲証明書33には、権限委譲者の属性情報(属性委譲証明書23)が含まれているため、委譲された属性(委譲属性332)が属性委譲証明書23の示す属性(委譲属性232)の範囲内であることを属性認証局3にアクセスすることなく容易に確認することができる。さらに、属性委譲証明書23には、属性委譲証明書23が示す属性の有効期限233が含まれているため、委譲された属性の有効期限333が、属性委譲証明書23の有効期限内であるか否かを容易に確認することができる。 In addition, since the attribute delegation certificate 33 includes the attribute information (attribute delegation certificate 23) of the authority delegator, the delegated attribute (delegation attribute 332) is the attribute (delegation) indicated by the attribute delegation certificate 23. It can be easily confirmed without accessing the attribute certification authority 3 that it is within the range of the attribute 232). Further, since the attribute delegation certificate 23 includes the validity period 233 of the attribute indicated by the attribute delegation certificate 23, the delegation attribute validity period 333 is within the validity period of the attribute delegation certificate 23. It can be easily confirmed whether or not.
このように、属性情報を入れ子状態に記憶することで、数世代に渡って属性を委譲することができるようになっている。即ち、上記のような属性委譲証明書を用いた属性委譲モデルは、属性の委譲を繰り返し可能な階層的なピラミッド構造であり、例えば、利用者が同じ機関に所属する構成員である場合、全権を有する最高責任者が必要に応じて下位の構成員に属性を委譲することができる。そして、属性を委譲された構成員は、さらに下位の構成員に属性を委譲することができる。このように属性委譲証明書を用いることで直接的かつダイナミックに属性を委譲することができる。 In this way, attribute information can be delegated for several generations by storing attribute information in a nested state. That is, the attribute delegation model using the attribute delegation certificate as described above has a hierarchical pyramid structure in which attribute delegation can be repeated. For example, when the user is a member belonging to the same organization, Can be delegated to subordinate members as needed. Then, the member whose attribute has been transferred can transfer the attribute to a lower-level member. By using the attribute delegation certificate in this way, it is possible to delegate attributes directly and dynamically.
(委譲属性決定画面)
次に、このような属性委譲証明書を生成する際に、利用者装置1の表示部111に表示される委譲属性決定画面について説明する。本実施形態において、属性情報の属性(属性証明書に含まれる属性、又は、属性委譲証明書に含まれる委譲属性)は、少なくとも1以上の属性項目と、この属性項目に対応する属性値とで示される。そして、表示部111には、属性委譲者の属性情報の属性項目と属性値とが表示される。
(Delegation attribute determination screen)
Next, a delegation attribute determination screen displayed on the display unit 111 of the user device 1 when generating such an attribute delegation certificate will be described. In the present embodiment, the attribute information attribute (attribute included in the attribute certificate or delegation attribute included in the attribute delegation certificate) includes at least one attribute item and an attribute value corresponding to the attribute item. Indicated. The display unit 111 displays attribute items and attribute values of the attribute information of the attribute delegator.
図6は、委譲属性決定画面の一例を示す説明図である。図6に示すように、委譲属性決定画面は、属性委譲者情報領域40と、被属性委譲者情報領域41と、属性項目情報領域42と、属性値領域43と、有効期限領域44と、委譲決定ボタン領域45を有している。 FIG. 6 is an explanatory diagram illustrating an example of a delegation attribute determination screen. As illustrated in FIG. 6, the delegation attribute determination screen includes an attribute delegator information area 40, an attribute delegator information area 41, an attribute item information area 42, an attribute value area 43, an expiration date area 44, and a delegation area. A determination button area 45 is provided.
属性委譲者情報領域40には、属性委譲者となる利用者200(委譲属性決定画面を表示する利用者装置1の所有者)に関する情報が表示される。この例では、利用者200の名称や、利用者200が有する属性の有効期限が表示されるようになっている。被属性委譲者情報領域41には、被属性委譲者となる利用者200に関する情報が表示される。この例では、被属性委譲者となる利用者200の名称が表示されるようになっている。被属性委譲者情報領域41は、利用者装置1が被属性委譲者の個人証明書を読み取ることで表示される。 In the attribute delegator information area 40, information regarding the user 200 who becomes the attribute delegator (the owner of the user device 1 displaying the delegation attribute determination screen) is displayed. In this example, the name of the user 200 and the expiration date of the attribute of the user 200 are displayed. In the attribute transferee information area 41, information on the user 200 who becomes the attribute transferee is displayed. In this example, the name of the user 200 who becomes the attribute transferee is displayed. The attribute transferee information area 41 is displayed when the user device 1 reads the personal certificate of the attribute transferee.
属性項目情報領域42には、属性委譲者となる利用者200の有する属性情報の属性項目が表示されるようになっている。図6では、「顧客管理システムの読取権限、更新権限、譲渡権限」、「売上管理システムの読取権限、更新権限、譲渡権限」及び「権限譲渡システムの読取権限、更新権限」の属性項目が表示されている。即ち、属性項目情報領域42に、属性項目が表示されることで、属性委譲者の有する属性が示されることになる。 In the attribute item information area 42, attribute items of attribute information possessed by the user 200 as an attribute delegator are displayed. In FIG. 6, attribute items of “reading authority, update authority, transfer authority of customer management system”, “read authority, update authority, transfer authority of sales management system” and “read authority, update authority of authority transfer system” are displayed. Has been. That is, by displaying the attribute item in the attribute item information area 42, the attribute possessed by the attribute delegator is indicated.
尚、譲渡権限とは、委譲した属性をさらに委譲するための権限である。即ち、被属性委譲者がさらに属性を委譲する場合は、属性委譲者から譲渡権限を委譲されている必要がある。 The transfer authority is an authority for further delegating the delegated attribute. That is, when the attribute delegater further delegates the attribute, it is necessary that the transfer authority is delegated from the attribute delegater.
属性値領域43は、属性項目情報領域42に表示された属性項目を、属性委譲者の有する属性の範囲内で入力可能な領域である。図6では、属性値領域43は、各属性項目に対応するチェックボックスで表示されており、各属性項目が選択可能にされている。これにより、利用者200は、自身の有する属性の範囲内で、被権限委譲者に委譲する属性を選択することができるようになっている。即ち、ある属性項目のチェックボックスがチェックされた場合、この属性項目に該当する属性が被権限委譲者に委譲される。 The attribute value area 43 is an area in which the attribute item displayed in the attribute item information area 42 can be input within the attribute range of the attribute delegator. In FIG. 6, the attribute value area 43 is displayed with check boxes corresponding to the attribute items, and each attribute item can be selected. As a result, the user 200 can select an attribute to be delegated to the authorized delegate within the range of the attribute that the user 200 has. That is, when the check box of a certain attribute item is checked, the attribute corresponding to this attribute item is delegated to the authorized delegate.
このような、属性項目は、オブジェクト識別子(OID:Object Identifier)やXML(Extensible Markup Language)構造を有したデータで記憶部101に記憶されており、表示部111に委譲属性決定画面が表示される際に各属性項目と該属性項目に対応する属性値が取得される。尚、属性値とは、属性項目に対してどのような属性を有しているかを示すものである。例えば、属性値は、ある属性項目に関する権限を有しているか否かの情報を有している。 Such attribute items are stored in the storage unit 101 as data having an object identifier (OID) or XML (Extensible Markup Language) structure, and a delegation attribute determination screen is displayed on the display unit 111. At this time, each attribute item and an attribute value corresponding to the attribute item are acquired. The attribute value indicates what attribute the attribute item has. For example, the attribute value includes information on whether or not the user has authority regarding a certain attribute item.
有効期限領域44には、委譲する属性についての有効期限が入力可能になっている。図6では、有効期限領域44はテキスト入力フォームで表示されている。委譲決定ボタン領域45は、この領域が操作されることにより、属性値領域43、及び、有効期限領域44に入力された情報を決定するものである。即ち、委譲決定ボタン領域45が操作されることにより、属性委譲者の属性情報に基づいて入力された委譲属性が決定されるようになっている。 In the expiration date area 44, the expiration date for the attribute to be transferred can be input. In FIG. 6, the expiration date area 44 is displayed in a text input form. The delegation determination button area 45 is used to determine information input to the attribute value area 43 and the expiration date area 44 by operating this area. That is, by operating the delegation determination button area 45, the delegation attribute input based on the attribute information of the attribute delegator is determined.
また、図7は、委譲属性決定画面の他の一例を示す説明図である。尚、被属性委譲者情報領域41、有効期限領域44、委譲決定ボタン領域45については、上記と同様であるため説明を省略する。 FIG. 7 is an explanatory diagram showing another example of the delegation attribute determination screen. The attribute delegated person information area 41, the expiration date area 44, and the delegation determination button area 45 are the same as described above, and thus the description thereof is omitted.
図7の例では、属性項目は「ポイント情報」であり、属性値は「ポイント数」である。属性項目情報領域42には、「ポイント情報」に対応する「ポイント数」が表示され、属性委譲者の有する属性が示されることになる。また、属性値領域43は、テキスト入力フォームで表示されており、委譲するポイント数が入力可能となっている。 In the example of FIG. 7, the attribute item is “point information”, and the attribute value is “number of points”. In the attribute item information area 42, the “number of points” corresponding to the “point information” is displayed, and the attributes of the attribute delegator are indicated. The attribute value area 43 is displayed in a text input form, and the number of points to be transferred can be input.
(動作)
次に、上記のような機能を有する属性委譲システム100の具体的な動作を説明する。
(Operation)
Next, a specific operation of the attribute delegation system 100 having the above functions will be described.
(属性委譲処理)
図8は、利用者装置1が実行する属性委譲処理ルーチンのフローチャートを示す図である。
先ず、利用者装置1は、記憶部101に記憶されている属性委譲者の個人証明書(個人証明書Aとする)と、属性委譲者の属性情報(属性情報Aとする)とを読み取る(S1)。そして、読み取った個人証明書Aと属性情報Aとに基づき、図6または図7に示されるような委譲属性決定画面を表示する(S2)。
(Attribute delegation process)
FIG. 8 is a flowchart of the attribute delegation processing routine executed by the user device 1.
First, the user device 1 reads the attribute delegator's personal certificate (referred to as personal certificate A) and the attribute delegator's attribute information (referred to as attribute information A) stored in the storage unit 101 ( S1). Then, based on the read personal certificate A and attribute information A, a delegation attribute determination screen as shown in FIG. 6 or 7 is displayed (S2).
そして、利用者装置1は、委譲属性決定画面の委譲決定ボタン領域45が操作されたか否かを判定し(S3)、押下されない場合(S3:NO)はステップS3の処理を繰り返す。即ち、属性委譲者が属性値領域43及び有効期限領域44に委譲する属性に関する情報を入力し、委譲決定ボタン領域45を操作するまで待機状態となる。 Then, the user apparatus 1 determines whether or not the delegation determination button area 45 on the delegation attribute determination screen has been operated (S3), and if not pressed (S3: NO), repeats the process of step S3. In other words, the attribute delegator inputs information regarding the attributes to be delegated to the attribute value area 43 and the expiration date area 44 and is in a standby state until the delegation determination button area 45 is operated.
委譲決定ボタン領域45が操作された場合、属性値領域43及び有効期限領域44に入力された内容(委譲属性、及び、有効期限)を取得する(S4)。このとき、取得した委譲属性が属性委譲者の属性の範囲内であるか、取得した有効期限が属性委譲者の属性の有効期限内であるか等の入力内容のチェックを行っても良い。 When the delegation determination button area 45 is operated, the contents (delegation attribute and expiration date) input to the attribute value area 43 and the expiration date area 44 are acquired (S4). At this time, input contents such as whether the acquired delegation attribute is within the range of the attribute delegator's attribute or whether the acquired expiration date is within the validity period of the attribute delegator's attribute may be checked.
次に、利用者装置1は、被属性委譲者の利用者装置1の記憶部101から個人証明書(個人証明書Bとする)を取得する(S5)。尚、他の利用者装置1からの個人証明書等の認証情報の取得は、委譲属性決定画面の表示前の段階で行われていてもよい。これにより、委譲対象者となる被属性委譲者を識別する情報を委譲属性決定画面に予め表示することができる。そして、利用者装置1は、個人証明書Bから識別情報(識別情報Bとする)を取得する(S6)。 Next, the user device 1 acquires a personal certificate (referred to as personal certificate B) from the storage unit 101 of the user device 1 of the attribute transferee (S5). Note that acquisition of authentication information such as a personal certificate from another user apparatus 1 may be performed before the display of the delegation attribute determination screen. Thereby, information for identifying the attribute transferee who is a transfer target person can be displayed in advance on the transfer attribute determination screen. Then, the user device 1 acquires identification information (identification information B) from the personal certificate B (S6).
その後、利用者装置1は、ステップS6で取得した識別情報Bと、ステップS1で取得した属性情報Aと、ステップS4で取得した委譲属性及び有効期限とから属性委譲証明書(属性情報B、又は、属性委譲証明書Bとする)の平文を生成する(S7)。そして、この平文に対して署名を付加して属性委譲証明書Bを生成する(S8)。具体的に、利用者装置1は、この平文をハッシュ関数で変換してメッセージダイジェストを生成すると共に、このメッセージダイジェストに対して秘密鍵で暗号化して電子署名データを得る。そして、この平文と電子署名データとから属性委譲証明書Bを生成する。 After that, the user device 1 determines the attribute delegation certificate (attribute information B, or from the identification information B obtained in step S6, the attribute information A obtained in step S1, and the delegation attribute and expiration date obtained in step S4. , A plaintext of attribute delegation certificate B) is generated (S7). Then, an attribute delegation certificate B is generated by adding a signature to this plaintext (S8). Specifically, the user device 1 generates a message digest by converting the plaintext with a hash function, and encrypts the message digest with a secret key to obtain electronic signature data. Then, an attribute delegation certificate B is generated from the plain text and the electronic signature data.
そして、利用者装置1は、生成した属性委譲証明書Bを被属性委譲者の利用者装置1に記録し(S9)、本ルーチンを終了する。 Then, the user device 1 records the generated attribute transfer certificate B in the user device 1 of the attribute transferee (S9), and ends this routine.
(リクエスト検証処理)
図9は、サービス提供システム4(サービス提供システム4に含まれるように適用された属性委譲システム100)が実行するリクエスト検証処理のフローチャートを示す図である。
(Request verification process)
FIG. 9 is a diagram illustrating a flowchart of a request verification process executed by the service providing system 4 (the attribute delegation system 100 applied to be included in the service providing system 4).
先ず、サービス提供システム4は、利用者装置1からのリクエストがあるか否かを判定し(S11)、リクエストがない場合(S11:NO)はステップS1の処理を繰り返す。即ち、利用者が、利用者装置1等によって、サービス提供システム4に対するサービスの提供のリクエストを行うまで、サービス提供システム4は待機状態となる。 First, the service providing system 4 determines whether or not there is a request from the user device 1 (S11). If there is no request (S11: NO), the process of step S1 is repeated. That is, the service providing system 4 is in a standby state until the user makes a service provision request to the service providing system 4 by the user device 1 or the like.
利用者からのリクエストがあった場合、リクエストの個人証明書の失効を確認する(S12)。即ち、サービス提供システム4は、認証局2にアクセスして失効リストを確認し、個人証明書が失効リストに含まれていないことを確認する。 When there is a request from the user, the revocation of the personal certificate of the request is confirmed (S12). That is, the service providing system 4 accesses the certificate authority 2 to confirm the revocation list, and confirms that the personal certificate is not included in the revocation list.
次に、サービス提供システム4は、リクエストが属性委譲証明書に基づくものであるか否かを判定する(S13)。即ち、リクエストに含まれる属性情報が属性委譲証明書であり、属性が他の利用者から委譲されたものであるか否かを判定する。 Next, the service providing system 4 determines whether the request is based on the attribute delegation certificate (S13). That is, it is determined whether or not the attribute information included in the request is an attribute delegation certificate, and the attribute is delegated from another user.
リクエストが属性委譲証明書に基づくものである場合(S13:YES)、属性委譲者の公開鍵に基づいて、属性委譲証明書に付加されている署名を検証する(S14)。具体的には、属性委譲証明書に含まれる電子署名データに対して、公開鍵を用いてメッセージダイジェストに復号化すると共に、属性委譲証明書に含まれる平文をハッシュ関数でメッセ−ジダイジェストに変換する。そして、これらのメッセージダイジェストが一致するか否かを確認することで署名の検証を行う。 When the request is based on the attribute delegation certificate (S13: YES), the signature attached to the attribute delegation certificate is verified based on the public key of the attribute delegator (S14). Specifically, the digital signature data included in the attribute delegation certificate is decrypted into a message digest using the public key, and the plain text included in the attribute delegation certificate is converted into a message digest using a hash function. To do. The signature is verified by confirming whether these message digests match.
そして、サービス提供システム4は、属性委譲証明書の利用者確認を行う(S15)。具体的に、属性委譲証明書に含まれる平文の識別情報と、リクエストに含まれていた個人証明書から取得した識別情報とを比較して、属性委譲証明書がステップS12で確認された個人証明書と対応するものであるかを確認する。 Then, the service providing system 4 performs user confirmation of the attribute delegation certificate (S15). Specifically, the plaintext identification information included in the attribute delegation certificate is compared with the identification information acquired from the personal certificate included in the request, and the personal certificate whose attribute delegation certificate is confirmed in step S12. Confirm that it corresponds to the letter.
そして、サービス提供システム4は、属性委譲証明書の失効を確認する(S16)。ここで、属性委譲証明書は、図5を参照して説明したように、数世代に渡る属性委譲を実現するため、属性委譲証明書を複層にした構造を許容している。即ち、属性委譲証明書は、複層構造内に少なくとも1つの属性証明書を有している。従って、サービス提供システム4は、属性委譲証明書内に含まれる属性証明書についての失効を確認する。また、ステップS16においては、この属性証明書の上位の属性委譲証明書の有効期限が、この属性証明書の有効期限内であるかを確認する。多数の属性委譲証明書が複層にされている場合は、属性委譲証明書の有効期限と、さらに上位の属性委譲証明書の有効期限とを比較して有効期限を確認する。 Then, the service providing system 4 confirms the revocation of the attribute delegation certificate (S16). Here, as described with reference to FIG. 5, the attribute delegation certificate allows a structure in which the attribute delegation certificate is formed in multiple layers in order to realize attribute delegation over several generations. That is, the attribute delegation certificate has at least one attribute certificate in the multilayer structure. Therefore, the service providing system 4 confirms the revocation of the attribute certificate included in the attribute delegation certificate. In step S16, it is confirmed whether the validity period of the attribute delegation certificate that is higher than the attribute certificate is within the validity period of the attribute certificate. When a large number of attribute delegation certificates are formed in multiple layers, the validity period is confirmed by comparing the validity period of the attribute delegation certificate with the validity period of the higher-level attribute delegation certificate.
そして、サービス提供システム4は、属性委譲証明書の属性を確認する(S17)。上記の通り、属性委譲証明書は少なくとも1つの属性証明書を有しているため、属性証明書が示す属性の範囲が、上位の属性委譲証明書の示す属性の範囲内であるかを確認する。多数の属性委譲証明書が複層にされている場合は、属性委譲証明書の示す属性の範囲と、さらに上位の属性委譲証明書の示す属性の範囲とを比較して属性を確認する。 Then, the service providing system 4 confirms the attribute of the attribute delegation certificate (S17). As described above, since the attribute delegation certificate has at least one attribute certificate, it is confirmed whether the attribute range indicated by the attribute certificate is within the attribute range indicated by the higher-level attribute delegation certificate. . When a large number of attribute delegation certificates are formed in multiple layers, the attribute range indicated by the attribute delegation certificate is compared with the attribute range indicated by the higher-level attribute delegation certificate to confirm the attribute.
そして、サービス提供システム4は、属性委譲証明書内の属性情報の所有者と署名者との一致確認を行う(S18)。例えば、図4に示されるような属性委譲証明書23の場合、属性証明書13に対応する個人証明書と、属性委譲者の署名234とを用いて、属性委譲証明書23を委譲した属性委譲者を確認することができる。 Then, the service providing system 4 confirms the match between the owner of the attribute information in the attribute delegation certificate and the signer (S18). For example, in the case of the attribute delegation certificate 23 as shown in FIG. 4, the attribute delegation obtained by delegating the attribute delegation certificate 23 using the personal certificate corresponding to the attribute certificate 13 and the signature 234 of the attribute delegator. Person can be confirmed.
また、例えば、図5に示されるような属性委譲証明書33の場合、上記のような属性委譲証明書23の確認を行うと共に、属性委譲証明書23の識別情報231と、属性委譲者の署名334とを用いて、属性委譲証明書33を委譲した属性委譲者を確認することができる。 Further, for example, in the case of the attribute delegation certificate 33 as shown in FIG. 5, the attribute delegation certificate 23 as described above is confirmed, the identification information 231 of the attribute delegation certificate 23, and the signature of the attribute delegator 334, the attribute delegator who delegated the attribute delegation certificate 33 can be confirmed.
このように、サービス提供システム4は、属性委譲証明書の内容(改ざん等されていないか)と、属性委譲証明書の所有者と、属性委譲証明書の失効・有効期限と、属性委譲証明書の属性と、属性委譲証明書内の属性情報の所有者とを検証することができる。 As described above, the service providing system 4 includes the contents of the attribute transfer certificate (whether tampering has been performed), the owner of the attribute transfer certificate, the revocation / expiration date of the attribute transfer certificate, and the attribute transfer certificate. And the owner of the attribute information in the attribute delegation certificate can be verified.
一方、ステップS13において、リクエストが属性委譲証明書に基づくものでない場合(S13:NO)、即ち、リクエストが属性証明書に基づくものである場合、属性証明書の失効を確認する(S19)。 On the other hand, if the request is not based on the attribute delegation certificate in step S13 (S13: NO), that is, if the request is based on the attribute certificate, the revocation of the attribute certificate is confirmed (S19).
そして、サービス提供システム4は、ステップS18又はS19の後、即ち、属性情報(属性委譲証明書又は属性証明書)の正当性を検証した後に、属性情報が示す属性と、リクエストに含まれるサービス依頼内容とを、サービス提供を行うサービス提供アプリケーションであるサービス提供部130に転送して(S20)、本ルーチンを終了する。 After the service providing system 4 verifies the validity of the attribute information (attribute delegation certificate or attribute certificate) after step S18 or S19, the service request included in the request and the attribute indicated by the attribute information The contents are transferred to the service providing unit 130 which is a service providing application that provides the service (S20), and this routine is terminated.
(サービス提供処理)
図10は、サービス提供システム4が実行するサービス提供処理(サービス提供を行うサービス提供アプリケーション)のフローチャートを簡易に示す図である。
(Service provision processing)
FIG. 10 is a diagram simply illustrating a flowchart of a service providing process (a service providing application that provides a service) executed by the service providing system 4.
先ず、サービス提供システム4は、図9に示すリクエスト検証処理ルーチンから、属性と、サービス依頼内容とが転送されたか否かを判定し(S21)、転送がない場合(S21:NO)はステップS21の処理を繰り返す。即ち、リクエスト検証処理ルーチンからの転送があるまで、サービス提供システム4は待機状態となる。 First, the service providing system 4 determines whether or not the attribute and the content of the service request are transferred from the request verification processing routine shown in FIG. 9 (S21). If there is no transfer (S21: NO), step S21 is performed. Repeat the process. That is, the service providing system 4 is in a standby state until there is a transfer from the request verification processing routine.
リクエスト検証処理ルーチンからの転送があった場合(S21:YES)、サービス依頼内容と属性とのマッチング(S22)とを行う。即ち、サービス提供システム4は、サービス依頼内容と属性とのマッチングを行うためのサービス対応テーブルを記憶装置等に有している。 When there is a transfer from the request verification processing routine (S21: YES), matching is performed between the service request content and the attribute (S22). That is, the service providing system 4 has a service correspondence table for matching service request contents and attributes in a storage device or the like.
ここで、サービス対応テーブルについて説明する。図11は、サービス対応テーブルの一例を示す図である。図11に示すように、サービス対応テーブルは、サービス種別欄と、必要属性欄とを有している。サービス種別欄には、利用者200(利用者装置1)がリクエスト可能なサービス依頼内容が格納されている。必要属性欄には、そのサービス依頼内容に必要な属性が格納されている。 Here, the service correspondence table will be described. FIG. 11 is a diagram illustrating an example of the service correspondence table. As shown in FIG. 11, the service correspondence table has a service type column and a necessary attribute column. In the service type column, service request contents that can be requested by the user 200 (user device 1) are stored. In the necessary attribute column, attributes necessary for the contents of the service request are stored.
例えば、サービス依頼内容が顧客管理システムに関するデータ閲覧である場合は、属性として顧客管理システムの読取権限が必要となる。また、サービス依頼内容が顧客管理システムに関するデータ追加である場合は、属性として顧客管理システムの読取権限及び更新権限が必要となる。 For example, when the service request content is data browsing related to the customer management system, the customer management system reading authority is required as an attribute. Further, when the service request content is data addition related to the customer management system, the read authority and update authority of the customer management system are required as attributes.
即ち、ステップS22においては、サービス依頼内容に必要な属性が、転送された属性に含まれているか否かを判定する処理を行う。尚、ステップS22のようなマッチング処理は、サービス提供システムが有する属性委譲システム100としての機能に含まれるものであってもよい。 That is, in step S22, a process for determining whether or not an attribute required for the service request content is included in the transferred attribute is performed. The matching process as in step S22 may be included in the function as the attribute delegation system 100 included in the service providing system.
そして、必要な属性を有している場合には、サービス依頼内容に対するリクエスト処理を行った(S23)後、結果をレスポンスとして利用者装置1に送信する(S24)。例えば、属性の委譲としてポイント数を譲渡する場合、ステップS23においては、ポイント数を管理するデータベースが更新される。即ち、属性委譲者のポイント数が委譲した分だけ減算され、被属性委譲者のポイント数が加算される。そして、リクエストに用いられた属性委譲証明書を無効にする処理が行われる。これにより、被属性委譲者が複数回ポイントを取得することを防止する。ゲームアイテムや通貨等の委譲に関しても同様の処理が行われるようになっている。 And when it has a required attribute, after performing the request process with respect to the content of a service request (S23), a result is transmitted to the user apparatus 1 as a response (S24). For example, when transferring the number of points as delegation of attributes, the database managing the number of points is updated in step S23. That is, the attribute delegator's point number is subtracted by the delegation, and the attribute delegator's point number is added. And the process which invalidates the attribute delegation certificate used for the request is performed. This prevents the attribute transferee from acquiring points multiple times. Similar processing is performed for delegation of game items and currency.
このように、サービス提供を行うサービス提供アプリケーションに対して、正当性が検証された属性が転送されるため、サービス提供アプリケーションは属性に関する検証を行う必要がない。即ち、サービス提供システム4に含まれるように適用された属性委譲システム100(リクエスト検証手段)は、属性委譲証明書が示す属性をリクエストを行った利用者の属性として受け付けることができる。 In this way, since the attribute whose validity has been verified is transferred to the service providing application that provides the service, the service providing application does not need to perform verification regarding the attribute. That is, the attribute delegation system 100 (request verification unit) applied to be included in the service providing system 4 can accept the attribute indicated by the attribute delegation certificate as the attribute of the user who made the request.
以上、本発明の実施形態を説明したが、具体例を例示したに過ぎず、特に本発明を限定するものではなく、各手段等の具体的構成は、適宜設計変更可能である。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。 The embodiment of the present invention has been described above, but only specific examples are illustrated, and the present invention is not particularly limited. The specific configuration of each unit and the like can be appropriately changed. The effects described in the embodiments of the present invention are only the most preferable effects resulting from the present invention, and the effects of the present invention are limited to those described in the embodiments of the present invention. is not.
即ち、本実施形態において、利用者は利用者装置を有し、利用者装置間で属性の委譲を行うことができるものであるが、属性委譲態様はこのようなものに限定されない。例えば、利用者は認証情報(個人証明書、秘密鍵、及び、属性証明書等)が記憶されたICカード等の記憶媒体を有し、カードリーダライタ等を有したPCにより属性委譲が行われるものであってもよい。また、例えば、利用者は認証情報が記憶されたPC端末を有し、インターネット、イントラネット等を介して属性委譲が行われるものであってもよい。 That is, in this embodiment, a user has a user device and can perform attribute delegation between user devices, but the attribute delegation mode is not limited to this. For example, a user has a storage medium such as an IC card in which authentication information (personal certificate, private key, attribute certificate, etc.) is stored, and attribute transfer is performed by a PC having a card reader / writer or the like. It may be a thing. For example, the user may have a PC terminal in which authentication information is stored, and attribute delegation may be performed via the Internet, an intranet, or the like.
また、上述した詳細な説明では、本発明をより容易に理解できるように、特徴的部分を中心に説明した。本発明は、上述した詳細な説明に記載する実施形態に限定されず、その他の実施形態にも適用することができ、その適用範囲は多様である。また、本明細書において用いた用語及び語法は、本発明を的確に説明するために用いたものであり、本発明の解釈を制限するために用いたものではない。また、当業者であれば、本明細書に記載された発明の概念から、本発明の概念に含まれる他の構成、システム、方法等を推考することは容易であると思われる。従って、請求の範囲の記載は、本発明の技術的思想の範囲を逸脱しない範囲で均等な構成を含むものであるとみなされなければならない。また、要約書の目的は、特許庁及び一般的公共機関や、特許、法律用語又は専門用語に精通していない本技術分野に属する技術者等が本出願の技術的な内容及びその本質を簡易な調査で速やかに判定し得るようにするものである。従って、要約書は、請求の範囲の記載により評価されるべき発明の範囲を限定することを意図したものではない。また、本発明の目的及び本発明の特有の効果を十分に理解するために、すでに開示されている文献等を充分に参酌して解釈されることが望まれる。 Further, in the above detailed description, the characteristic portions have been mainly described so that the present invention can be easily understood. The present invention is not limited to the embodiments described in the detailed description above, but can be applied to other embodiments, and the scope of application is various. The terms and terminology used in the present specification are used to accurately describe the present invention, and are not used to limit the interpretation of the present invention. Moreover, it would be easy for those skilled in the art to infer other configurations, systems, methods, and the like included in the concept of the present invention from the concept of the invention described in this specification. Accordingly, the description of the claims should be regarded as including an equivalent configuration without departing from the scope of the technical idea of the present invention. The purpose of the abstract is to simplify the technical contents and essence of this application by patent offices and general public institutions, and engineers belonging to this technical field who are not familiar with patents, legal terms or technical terms. It is intended to be able to make a quick determination through a simple survey. Accordingly, the abstract is not intended to limit the scope of the invention to be evaluated by the claims. Moreover, in order to fully understand the object of the present invention and the specific effects of the present invention, it is desired that the interpretation should be made with sufficient consideration of the literatures already disclosed.
上述した詳細な説明は、コンピュータで実行される処理を含むものである。以上での説明及び表現は、当業者が最も効率的に理解することを目的として記載している。本明細書では、1の結果を導き出すために用いられる各ステップは、自己矛盾がない処理として理解されるべきである。また、各ステップでは、電気的又は磁気的な信号の送受信、記録等が行われる。各ステップにおける処理では、このような信号を、ビット、値、シンボル、文字、用語、数字等で表現しているが、これらは単に説明上便利であるために用いたものであることに留意する必要がある。また、各ステップにおける処理は、人間の行動と共通する表現で記載される場合があるが、本明細書で説明する処理は、原則的に各種の装置により実行されるものである。また、各ステップを行うために要求されるその他の構成は、以上の説明から自明になるものである。 The above detailed description includes processing executed by a computer. The above explanations and expressions are given for the purpose of enabling those skilled in the art to understand the most efficiently. In this specification, each step used to derive one result should be understood as a self-consistent process. In each step, transmission / reception, recording, and the like of electrical or magnetic signals are performed. In the processing in each step, such a signal is expressed by bits, values, symbols, characters, terms, numbers, etc., but these are used only for convenience of explanation. There is a need. In addition, the processing in each step may be described in an expression common to human behavior, but the processing described in this specification is executed by various devices in principle. Further, other configurations required for performing each step will be apparent from the above description.
1 利用者装置
2 認証局
3 属性認証局
4 サービス提供システム
101 記憶部
102 認証情報取得部
103 委譲属性決定部
104 属性委譲証明書生成部
105 属性委譲証明書記録部
106 リクエスト検証部
107 リクエスト受付部
108 署名検証部
109 利用者確認部
110 リクエスト要求部
111 表示部
112 入力部
120 属性確認部
130 サービス提供部
200 利用者
DESCRIPTION OF SYMBOLS 1 User apparatus 2 Certification authority 3 Attribute certification authority 4 Service provision system 101 Storage part 102 Authentication information acquisition part 103 Delegation attribute determination part 104 Attribute delegation certificate generation part 105 Attribute delegation certificate recording part 106 Request verification part 107 Request reception part 108 Signature verification unit 109 User confirmation unit 110 Request request unit 111 Display unit 112 Input unit 120 Attribute confirmation unit 130 Service provision unit 200 User
Claims (6)
前記利用者の属性を示す属性情報を記憶する記憶手段と、
前記記憶手段から前記属性情報を取得する認証情報取得手段と、
属性を委譲する属性委譲者からの入力に応じて、該属性委譲者の前記属性情報に基づき、属性が委譲される被属性委譲者への委譲属性を決定する委譲属性決定手段と、
前記属性委譲者の属性情報と、前記委譲属性とを含む属性委譲証明書を生成する属性委譲証明書生成手段と、
前記被属性委譲者の記憶手段に属性情報として前記属性委譲証明書を記録する属性委譲証明書記録手段と、
前記サービス提供システムに含まれるように適用され、前記利用者から前記属性委譲証明書に基づくサービスの提供のリクエストがあった場合、該属性委譲証明書の属性を該利用者の属性として受け付けるリクエスト検証手段と
を有していることを特徴とする属性委譲システム。 An attribute delegation system applied to a service providing system for providing a service to a user authenticated by a certificate authority based on the attribute of the user authenticated by the attribute certificate authority,
Storage means for storing attribute information indicating the attribute of the user;
Authentication information acquisition means for acquiring the attribute information from the storage means;
A delegation attribute determining means for determining a delegation attribute to an attribute delegate to which an attribute is delegated based on the attribute information of the attribute delegator in response to an input from the attribute delegator who delegates the attribute;
Attribute transfer certificate generating means for generating an attribute transfer certificate including the attribute information of the attribute transferee and the transfer attribute;
Attribute delegation certificate recording means for recording the attribute delegation certificate as attribute information in the storage means of the attribute delegator;
Request verification that is applied to be included in the service providing system and accepts the attribute of the attribute delegation certificate as an attribute of the user when there is a service provision request based on the attribute delegation certificate from the user And an attribute delegation system.
前記利用者の個人証明書、及び、前記利用者の属性を示す属性情報を記憶する記憶手段と、
前記記憶手段から前記個人証明書、及び/又は、前記属性情報を取得する認証情報取得手段と、
属性を委譲する属性委譲者からの入力に応じて、該属性委譲者の前記属性情報に基づき、属性が委譲される被属性委譲者への委譲属性を決定する委譲属性決定手段と、
前記被属性委譲者の個人証明書に基づく該被属性委譲者の識別情報と、前記属性委譲者の属性情報と、前記委譲属性と、これらへの前記属性委譲者の個人証明書に基づく署名とを含む属性委譲証明書を生成する属性委譲証明書生成手段と、
前記被属性委譲者の記憶手段に属性情報として前記属性委譲証明書を記録する属性委譲証明書記録手段と、
前記サービス提供システムに含まれるように適用され、前記利用者から前記属性委譲証明書に基づくサービスの提供のリクエストがあった場合、該属性委譲証明書の署名を確認し、該利用者と前記識別情報との一致確認を行い、該属性委譲証明書の属性を該利用者の属性として受け付けるリクエスト検証手段と
を有していることを特徴とする属性委譲システム。 An attribute delegation system applied to a service providing system for providing a service to a user authenticated by a certificate authority based on the attribute of the user authenticated by the attribute certificate authority,
Storage means for storing the personal certificate of the user and attribute information indicating the attribute of the user;
Authentication information acquisition means for acquiring the personal certificate and / or the attribute information from the storage means;
A delegation attribute determining means for determining a delegation attribute to an attribute delegate to which an attribute is delegated based on the attribute information of the attribute delegator in response to an input from the attribute delegator who delegates the attribute;
Identification information of the attribute transferee based on the personal certificate of the attribute transferee, attribute information of the attribute transferee, the transfer attribute, and a signature based on the attribute certificate of the attribute transferee to these Attribute delegation certificate generation means for generating an attribute delegation certificate including
Attribute delegation certificate recording means for recording the attribute delegation certificate as attribute information in the storage means of the attribute delegator;
When it is applied to be included in the service providing system and a request for providing a service based on the attribute delegation certificate is received from the user, the signature of the attribute delegation certificate is confirmed, and the user and the identification are confirmed. An attribute delegation system comprising: request verification means for confirming a match with information and receiving an attribute of the attribute delegation certificate as an attribute of the user.
前記属性委譲証明書生成手段は、決定した前記有効期限を含めた前記属性委譲証明書を生成することを特徴とする請求項1又は2に記載の属性委譲システム。 The delegation attribute determination means determines an expiration date of the delegation attribute according to an input from the attribute delegator who delegates the attribute,
The attribute delegation system according to claim 1, wherein the attribute delegation certificate generation unit generates the attribute delegation certificate including the determined expiration date.
前記利用者が所有する記憶手段から該利用者の属性を示す属性情報を取得する認証情報取得ステップと、
属性を委譲する属性委譲者からの入力に応じて、該属性委譲者の前記属性情報に基づき、属性が委譲される被属性委譲者への委譲属性を決定する委譲属性決定ステップと、
前記属性委譲者の属性情報と、前記委譲属性とを含む属性委譲証明書を生成する属性委譲証明書生成ステップと、
前記被属性委譲者の記憶手段に属性情報として前記属性委譲証明書を記録する属性委譲証明書記録ステップと、
前記サービス提供システムに対して、前記利用者から前記属性委譲証明書に基づくサービスの提供のリクエストがあった場合、該属性委譲証明書の属性を該利用者の属性として受け付けるリクエスト検証ステップと
を有していることを特徴とする属性委譲方法。 An attribute delegation method applied to a service providing system for providing a service to a user authenticated by a certificate authority based on the attribute of the user authenticated by the attribute certificate authority,
An authentication information acquisition step of acquiring attribute information indicating the attribute of the user from the storage means owned by the user;
A delegation attribute determination step for determining a delegation attribute to an attribute delegate to which an attribute is delegated based on the attribute information of the attribute delegator in response to an input from the attribute delegator who delegates the attribute;
An attribute delegation certificate generation step for generating an attribute delegation certificate including the attribute information of the attribute delegator and the delegation attribute;
An attribute delegation certificate recording step for recording the attribute delegation certificate as attribute information in the storage means of the attribute delegator;
A request verification step for accepting the attribute of the attribute delegation certificate as an attribute of the user when the user requests the service providing system to provide a service based on the attribute delegation certificate. An attribute delegation method characterized by
利用者が有するコンピュータを、
前記利用者の属性を示す属性情報を記憶する記憶手段、
前記記憶手段から前記属性情報を取得する認証情報取得手段、
属性を委譲する属性委譲者からの入力に応じて、該属性委譲者の前記属性情報に基づき、属性が委譲される被属性委譲者への委譲属性を決定する委譲属性決定手段、
前記属性委譲者の属性情報と、前記委譲属性とを含む属性委譲証明書を生成する属性委譲証明書生成手段、及び、
前記被属性委譲者の記憶手段に属性情報として前記属性委譲証明書を記録する属性委譲証明書記録手段、
として機能させ、
前記サービス提供システムとしてのコンピュータを、
前記利用者から前記属性委譲証明書に基づくサービスの提供のリクエストがあった場合、該属性委譲証明書の属性を該利用者の属性として受け付けるリクエスト検証手段
として機能させることを特徴とする属性委譲プログラム。 An attribute delegation program applied to a service providing system for providing a service based on an attribute of a user authenticated by an attribute certificate authority to a user authenticated by a certificate authority,
The computer that the user has
Storage means for storing attribute information indicating the attribute of the user;
Authentication information acquisition means for acquiring the attribute information from the storage means;
A delegation attribute determination means for determining a delegation attribute to an attribute delegate to which an attribute is delegated based on the attribute information of the attribute delegator in response to an input from the attribute delegator who delegates the attribute;
Attribute delegation certificate generation means for generating an attribute delegation certificate including the attribute information of the attribute delegator and the delegation attribute; and
Attribute delegation certificate recording means for recording the attribute delegation certificate as attribute information in the storage means of the attribute delegator,
Function as
A computer as the service providing system,
An attribute delegation program that functions as a request verification unit that accepts an attribute of the attribute delegation certificate as an attribute of the user when there is a service provision request based on the attribute delegation certificate from the user .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011065642A JP2012203516A (en) | 2011-03-24 | 2011-03-24 | Property delegation system, property delegation method, and property delegation program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011065642A JP2012203516A (en) | 2011-03-24 | 2011-03-24 | Property delegation system, property delegation method, and property delegation program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012203516A true JP2012203516A (en) | 2012-10-22 |
Family
ID=47184496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011065642A Pending JP2012203516A (en) | 2011-03-24 | 2011-03-24 | Property delegation system, property delegation method, and property delegation program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012203516A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018093375A (en) * | 2016-12-02 | 2018-06-14 | Kddi株式会社 | Information processing system, information processing method, and program |
| JP2018164134A (en) * | 2017-03-24 | 2018-10-18 | Kddi株式会社 | Information processing system, information processing method, and program |
| JP7542030B2 (en) | 2022-04-01 | 2024-08-29 | 株式会社ジェーシービー | PROGRAM, INFORMATION PROCESSING APPARATUS AND INFORMATION PROCESSING METHOD |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006325072A (en) * | 2005-05-20 | 2006-11-30 | Kddi R & D Laboratories Inc | System and method for attribute information exchange and communication terminal |
| JP2010134749A (en) * | 2008-12-05 | 2010-06-17 | Mitsubishi Electric Corp | Access control system and access control method |
-
2011
- 2011-03-24 JP JP2011065642A patent/JP2012203516A/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006325072A (en) * | 2005-05-20 | 2006-11-30 | Kddi R & D Laboratories Inc | System and method for attribute information exchange and communication terminal |
| JP2010134749A (en) * | 2008-12-05 | 2010-06-17 | Mitsubishi Electric Corp | Access control system and access control method |
Non-Patent Citations (5)
| Title |
|---|
| CSNG200201399028; 藤川 真樹: '電子委任状を用いた申請手続き代行システムの提案' 情報処理学会研究報告 Vol.2000,No.68, 20000725, pp.227-234, 社団法人情報処理学会 * |
| CSNG200300635009; 湯浅 貴寛,若山 公威,村瀬 晋二,鈴木 春洋,岩田 彰: '柔軟な権限委譲機能を備えたワークフローシステムの開発' 情報処理学会研究報告 Vol.2001,No.15, 20010221, pp.49-54, 社団法人情報処理学会 * |
| JPN6014043501; 川倉 康嗣: 'ID証明書と属性証明書の併用によるアクセス制御方式' コンピュータセキュリティシンポジウム'98 論文集 Vol.98,No.12, 19981029, pp.97-102, 社団法人情報処理学会 * |
| JPN6014043503; 湯浅 貴寛,若山 公威,村瀬 晋二,鈴木 春洋,岩田 彰: '柔軟な権限委譲機能を備えたワークフローシステムの開発' 情報処理学会研究報告 Vol.2001,No.15, 20010221, pp.49-54, 社団法人情報処理学会 * |
| JPN6014043504; 藤川 真樹: '電子委任状を用いた申請手続き代行システムの提案' 情報処理学会研究報告 Vol.2000,No.68, 20000725, pp.227-234, 社団法人情報処理学会 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018093375A (en) * | 2016-12-02 | 2018-06-14 | Kddi株式会社 | Information processing system, information processing method, and program |
| JP2018164134A (en) * | 2017-03-24 | 2018-10-18 | Kddi株式会社 | Information processing system, information processing method, and program |
| JP7542030B2 (en) | 2022-04-01 | 2024-08-29 | 株式会社ジェーシービー | PROGRAM, INFORMATION PROCESSING APPARATUS AND INFORMATION PROCESSING METHOD |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673632B2 (en) | Method for managing a trusted identity | |
| CN111092737B (en) | Digital certificate management method and device and block link points | |
| US10523441B2 (en) | Authentication of access request of a device and protecting confidential information | |
| CN102438013B (en) | Hardware based credential distribution | |
| JP4818664B2 (en) | Device information transmission method, device information transmission device, device information transmission program | |
| KR102177848B1 (en) | Method and system for verifying an access request | |
| JP5365512B2 (en) | Software IC card system, management server, terminal, service providing server, service providing method and program | |
| US11019053B2 (en) | Requesting credentials | |
| JP4470071B2 (en) | Card issuing system, card issuing server, card issuing method and program | |
| KR100561629B1 (en) | Integrated Security Information Management System and Its Method | |
| KR102131206B1 (en) | Method, service server and authentication server for providing corporate-related services, supporting the same | |
| KR20060032888A (en) | Apparatus for managing identification information via internet and method of providing service using the same | |
| WO2023017580A1 (en) | Avatar authentication system and avatar authentication method | |
| JP5264548B2 (en) | Authentication system and authentication method | |
| CN109428725B (en) | Information processing apparatus, control method, and storage medium | |
| JP2015194879A (en) | Authentication system, method, and provision device | |
| CN114666168A (en) | Decentralized identity certificate verification method and device, and electronic equipment | |
| JP5278495B2 (en) | Device information transmission method, device information transmission device, device information transmission program | |
| CN114760070A (en) | Digital certificate issuing method, digital certificate issuing center and readable storage medium | |
| JP4527491B2 (en) | Content provision system | |
| JP5036500B2 (en) | Attribute certificate management method and apparatus | |
| JP4888553B2 (en) | Electronic data authentication method, electronic data authentication program, and electronic data authentication system | |
| JP2012203516A (en) | Property delegation system, property delegation method, and property delegation program | |
| JP2019036781A (en) | Authentication system and authentication method | |
| JP5409871B2 (en) | Personal information providing apparatus and personal information providing method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140203 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140930 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141014 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150310 |