JP2014081787A - 情報処理装置、情報処理端末、アクセス認証方法及びプログラム - Google Patents

情報処理装置、情報処理端末、アクセス認証方法及びプログラム Download PDF

Info

Publication number
JP2014081787A
JP2014081787A JP2012229218A JP2012229218A JP2014081787A JP 2014081787 A JP2014081787 A JP 2014081787A JP 2012229218 A JP2012229218 A JP 2012229218A JP 2012229218 A JP2012229218 A JP 2012229218A JP 2014081787 A JP2014081787 A JP 2014081787A
Authority
JP
Japan
Prior art keywords
public key
access
area
folder
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012229218A
Other languages
English (en)
Inventor
Taizo Shirai
太三 白井
Takeshi Tanaka
雄 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2012229218A priority Critical patent/JP2014081787A/ja
Priority to US14/028,985 priority patent/US9769135B2/en
Priority to CN201310465677.8A priority patent/CN103731408A/zh
Publication of JP2014081787A publication Critical patent/JP2014081787A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】アクセス対象のうちの任意の領域が、アクセス領域として複数のユーザによって共有されるシステムにおける安全性をより高くする。
【解決手段】フォルダなどのアクセス領域を複数有し、前記アクセス領域それぞれに、公開鍵認証方式に対応した互いに異なる公開鍵を設定する公開鍵設定部131と、前記公開鍵と対になる互いに異なる秘密鍵に対して、前記アクセス領域へのアクセスを認証する装置認証処理部132とを備える、情報処理装置。
【選択図】図4

Description

本開示は、情報処理装置、情報処理端末、アクセス認証方法及びプログラムに関する。
一般的に、あるアクセス対象のうちの任意の領域が、アクセス領域として複数のユーザによって共有されるシステム(以下、共有システムと呼ぶ。)においては、共有される当該アクセス領域の管理に対して様々なセキュリティ対策が施されている。
例えば、特許文献1には、共有ファイルサーバに保存されたファイルを複数のユーザによって共有するシステムにおいて、秘密鍵暗号方式の秘密鍵を用いてファイルを暗号化し、公開鍵を用いて当該秘密鍵を更に暗号化することによって、ファイル管理のセキュリティレベルを向上させることができるファイル管理システムが開示されている。
また、例えば、特許文献2には、同じく共有ファイルサーバに保存されたファイルを複数のユーザによって共有するシステムにおいて、名前や生年月日等のユーザの属性情報を用いてユーザの属性認証を行うことにより、暗号化されたファイルが復号化される、ファイル共有システムが開示されている。
特開2005−209181号公報 特開2010−244432号公報
共有システムにおいては、有形無形を問わず、多様な種類のアクセス対象及びアクセス領域が存在し得る。従って、アクセス対象及びアクセス領域の重要性に応じて、その管理手法により高い安全性が求められる。
従って、上記特許文献1及び特許文献2に記載の技術においても、そのセキュリティ対策には、未だ向上の余地がある。例えば、特許文献1に記載の技術では、ファイルを暗号化する技術については開示されているが、当該ファイルにアクセスしようとするユーザの属性を認証することについては言及されていない。また、例えば、特許文献2に記載の技術では、ユーザの属性認証自体の安全性については既存の方法の利用を促すにとどまっている。
上記事情に鑑みれば、共有システムにおいては、アクセス領域の管理について、より高い安全性が実現されることが望ましい。そこで、本開示では、共有システムにおける安全性をより高くすることが可能な、新規かつ改良された情報処理装置、情報処理端末、アクセス認証方法及びプログラムを提案する。
本開示によれば、公開鍵認証方式に対応した公開鍵を、アクセス対象のうちの任意の領域であるアクセス領域に設定する公開鍵設定部と、前記公開鍵と対になる秘密鍵に対して、前記アクセス領域へのアクセスを認証する装置認証処理部と、を備える、情報処理装置が提供される。
また、本開示によれば、公開鍵認証方式に対応した秘密鍵と対になる公開鍵が設定された、外部装置におけるアクセス対象のうちの任意の領域であるアクセス領域へのアクセスの認証を受ける端末認証処理部、を備える、情報処理端末が提供される。
また、本開示によれば、公開鍵認証方式に対応した公開鍵を、アクセス対象のうちの任意の領域であるアクセス領域に設定するステップと、前記公開鍵と対になる秘密鍵に対して、前記アクセス領域へのアクセスを認証するステップと、を含む、アクセス認証方法が提供される。
また、本開示によれば、コンピュータに、公開鍵認証方式に対応した公開鍵を、アクセス対象のうちの任意の領域であるアクセス領域に設定する機能と、前記公開鍵と対になる秘密鍵に対して、前記アクセス領域へのアクセスを認証する機能と、を実現させるためのプログラムが提供される。
上記のように、本開示によれば、公開鍵設定部によって、公開鍵認証方式に対応した公開鍵が、アクセス対象のうちの任意の領域であるアクセス領域に設定される。また、装置認証処理部によって、前記公開鍵と対になる秘密鍵に対して、前記アクセス領域へのアクセスが認証される。
また、上記のように、本開示によれば、端末認証処理部が、公開鍵認証方式に対応した秘密鍵と対になる公開鍵が設定された、外部装置におけるアクセス対象のうちの任意の領域であるアクセス領域へのアクセスの認証を受ける。
以上説明したように本開示によれば、共有システムにおける安全性をより高くすることが可能となる。
公開鍵認証方式のアルゴリズムの概要を説明するための説明図である。 nパスの公開鍵認証方式のアルゴリズムの概要を説明するための説明図である。 本開示の一実施形態に係るアクセス認証処理の一例を示す概略図である。 本開示の一実施形態に係るアクセス認証処理の一例を示す概略図である。 本開示の一実施形態に係るアクセス認証処理の一例を示す概略図である。 本開示の一実施形態に係るアクセス認証処理の一例を示す概略図である。 本開示の一実施形態に係る情報処理装置の概略構成を示す機能ブロック図である。 フォルダに対する公開鍵の設定方法を説明するための説明図である。 フォルダに対する公開鍵の設定方法を説明するための説明図である。 フォルダに対する公開鍵の設定方法を説明するための説明図である。 本開示の一実施形態に係る情報処理端末の概略構成を示す機能ブロック図である。 本開示の一実施形態に係るアクセス認証処理方法における処理シーケンスの一例を示すシーケンス図である。 本実施形態の変形例について説明するための説明図である。 本実施形態の変形例について説明するための説明図である。 本実施形態の変形例について説明するための説明図である。 本実施形態の変形例について説明するための説明図である。 本実施形態の変形例について説明するための説明図である。 本開示の一実施形態に係る情報処理装置及び情報処理端末のハードウェア構成を説明するためのブロック図である。 3パス方式に係る具体的なアルゴリズムの構成について説明するための説明図である。 3パス方式に係る具体的なアルゴリズムの並列化について説明するための説明図である。
以下に添付図面を参照しながら、本開示の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
なお、説明は以下の順序で行うものとする。
1.公開鍵認証方式の概要
1−1.公開鍵認証方式のアルゴリズム
1−2.nパスの公開鍵認証方式
2.アクセス認証処理の概要
3.装置の機能及び構成
3−1.サーバ
3−2.ユーザ端末
4.アクセス認証処理の処理シーケンス
5.変形例
6.ハードウェア構成
7.MQ認証方式について
7−1.具体的なアルゴリズムの構成例
7−2.並列化アルゴリズムの構成例
8.まとめ
<1.公開鍵認証方式の概要>
本開示の一実施形態においては、共有システムにおけるアクセス対象のうちの任意の領域であるアクセス領域へのアクセスに対して、公開鍵認証方式を用いた認証が行われる。このような本開示の一実施形態に係る認証処理のことを、以下の説明においては、アクセス認証処理と呼ぶこととする。本項では、本開示の一実施形態に係るアクセス認証処理について説明するに先立ち、まず、公開鍵認証方式の概要について説明する。
[1−1.公開鍵認証方式のアルゴリズム]
まず、図1を参照しながら、公開鍵認証方式のアルゴリズムについて概要を説明する。図1は、公開鍵認証方式のアルゴリズムについて概要を説明するための説明図である。
公開鍵認証は、ある人(証明者)が、公開鍵PK及び秘密鍵SKを利用して、他の人(検証者)に本人であることを納得させるために利用される。例えば、証明者Aの公開鍵PKは、検証者Bに公開される。一方、証明者Aの秘密鍵SKは、証明者Aにより秘密に管理される。公開鍵認証の仕組みにおいては、公開鍵PKに対応する秘密鍵SKを知る者が証明者A本人であるとみなされる。なお、以下の説明においては、上記のように、公開鍵PK及び秘密鍵SKについて、その末尾にアルファベットを付すことにより、公開鍵PK及び秘密鍵SKの所有関係を示すものとする。例えばユーザAが所有する公開鍵PKは、公開鍵PK、ユーザAが所有する秘密鍵SKは、秘密鍵SKと記載する。
公開鍵認証の仕組みを利用して証明者Aが証明者A本人であることを検証者Bに証明するには、対話プロトコルを介して、証明者Aが公開鍵PKに対応する秘密鍵SKを知っているという証拠を検証者Bに提示すればよい。そして、証明者Aが秘密鍵SKを知っているという証拠が検証者Bに提示され、その証拠を検証者Bが確認し終えた場合、証明者Aの正当性(本人であること)が証明されたことになる。
ただし、公開鍵認証の仕組みには、安全性を担保するために以下の条件が求められる。
1つ目の条件は、「対話プロトコルを実行した際に秘密鍵SKを持たない偽証者により偽証が成立してしまう確率を限りなく小さくする」ことである。この1つ目の条件が成り立つことを「健全性」と呼ぶ。つまり、健全性とは、「秘密鍵SKを持たない偽証者により、対話プロトコルの実行中に無視できない確率で偽証が成立することはないこと」と言い換えられる。2つ目の条件は、「対話プロトコルを実行したとしても、証明者Aが有する秘密鍵SKの情報が検証者Bに一切漏れることがない」ことである。この2つ目の条件が成り立つことを「零知識性」と呼ぶ。
安全に公開鍵認証を行うには、健全性及び零知識性を有する対話プロトコルを利用する必要がある。仮に、健全性及び零知識性を有しない対話プロトコルを用いて認証処理を行った場合には、偽証された可能性及び秘密鍵の情報が漏れてしまった可能性が否定できないため、処理自体が成功裡に完了しても証明者の正当性を証明したことにはならない。従って、対話プロトコルの健全性及び零知識性を如何に保証するかが重要になる。
(モデル)
公開鍵認証方式のモデルには、図1に示すように、証明者と検証者という2つのエンティティが存在する。証明者は、鍵生成アルゴリズムGenを用いて、証明者固有の秘密鍵SKと公開鍵PKの組を生成する。次いで、証明者は、鍵生成アルゴリズムGenを用いて生成した秘密鍵SKと公開鍵PKの組を利用して検証者と対話プロトコルを実行する。このとき、証明者は、証明者アルゴリズムPを利用して対話プロトコルを実行する。上記の通り、証明者は、証明者アルゴリズムPを利用し、対話プロトコルの中で秘密鍵SKを保有している証拠を検証者に提示する。
一方、検証者は、検証者アルゴリズムVを利用して対話プロトコルを実行し、証明者が公開している公開鍵に対応する秘密鍵を、その証明者が保有しているか否かを検証する。つまり、検証者は、証明者が公開鍵に対応する秘密鍵を保有しているか否かを検証するエンティティである。このように、公開鍵認証方式のモデルは、証明者と検証者という2つのエンティティ、及び、鍵生成アルゴリズムGen、証明者アルゴリズムP、検証者アルゴリズムVという3つのアルゴリズムにより構成される。
なお、以上の説明及び以下の説明において、「証明者」、「検証者」、「ユーザA」、「ユーザB」等の表現を用いているが、これらの表現はエンティティを意味するものであってよい。従って、鍵生成アルゴリズムGen、証明者アルゴリズムPを実行する主体は、「証明者」のエンティティに対応する情報処理装置(情報処理端末)であってよい。同様に、検証者アルゴリズムVを実行する主体は、情報処理装置(情報処理端末)であってよい。更に、後述する本実施形態に係るアクセス認証処理に関する各種の処理を行う主体は、情報処理装置(情報処理端末)であってよい。これら情報処理装置(情報処理端末)のハードウェア構成は、例えば、図9に示した通りである。つまり、鍵生成アルゴリズムGen、証明者アルゴリズムP、検証者アルゴリズムVは、ROM903、RAM905、ストレージ装置919、リムーバブル記録媒体929などに記録されたプログラムに基づいてCPU901などにより実行される。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、証明者により利用される。鍵生成アルゴリズムGenは、証明者に固有の秘密鍵SKと公開鍵PKとの組を生成するアルゴリズムである。鍵生成アルゴリズムGenにより生成された公開鍵PKは公開される。そして、公開された公開鍵PKは、検証者により利用される。一方、鍵生成アルゴリズムGenにより生成された秘密鍵SKは、証明者が秘密に管理する。そして、証明者により秘密に管理される秘密鍵SKは、公開鍵PKに対応する秘密鍵SKを証明者が保有していることを検証者に対して証明するために利用される。形式的に、鍵生成アルゴリズムGenは、セキュリティパラメータ1λ(λは0以上の整数)を入力とし、秘密鍵SKと公開鍵PKを出力するアルゴリズムとして、下記の式(1)のように表現される。
Figure 2014081787
(証明者アルゴリズムP)
証明者アルゴリズムPは、証明者により利用される。証明者アルゴリズムPは、公開鍵pkに対応する秘密鍵SKを証明者が保有していることを検証者に対して証明するためのアルゴリズムである。つまり、証明者アルゴリズムPは、秘密鍵SKと公開鍵PKとを入力とし、対話プロトコルを実行するアルゴリズムである。
(検証者アルゴリズムV)
検証者アルゴリズムVは、検証者により利用される。検証者アルゴリズムVは、対話プロトコルの中で、公開鍵PKに対応する秘密鍵SKを証明者が保有しているか否かを検証するアルゴリズムである。検証者アルゴリズムVは、公開鍵PKを入力とし、対話プロトコルの実行結果に応じて0又は1(1bit)を出力するアルゴリズムである。なお、検証者は、検証者アルゴリズムVが0を出力した場合には証明者が不正なものであると判断し、1を出力した場合には証明者が正当なものであると判断する。形式的に、検証者アルゴリズムVは、下記の式(2)のように表現される。
Figure 2014081787
上記の通り、意味のある公開鍵認証を実現するには、対話プロトコルが健全性及び零知識性という2つの条件を満たしている必要がある。しかし、証明者が秘密鍵SKを保有していることを証明するためには、証明者が秘密鍵SKに依存した手続きを実行し、その結果を検証者に通知した上で、その通知内容に基づく検証を検証者に実行させる必要がある。秘密鍵SKに依存した手続きを実行するのは、健全性を担保するために必要である。一方で、秘密鍵SKの情報が一切検証者に漏れないようにする必要がある。そのため、これらの要件を満たすように、上記の鍵生成アルゴリズムGen、証明者アルゴリズムP、検証者アルゴリズムVを巧妙に設計する必要がある。
[1−2.nパスの公開鍵認証方式]
次に、図2を参照しながら、nパスの公開鍵認証方式について説明する。図2は、nパスの公開鍵認証方式について説明するための説明図である。
上記の通り、公開鍵認証方式は、対話プロトコルの中で、証明者が公開鍵PKに対応する秘密鍵SKを保有していることを検証者に証明する認証方式である。また、対話プロトコルは、健全性及び零知識性という2つの条件を満たす必要がある。そのため、対話プロトコルの中では、図2に示すように、証明者及び検証者の双方がそれぞれ処理を実行しながらn回の情報交換を行う。
nパスの公開鍵認証方式の場合、証明者アルゴリズムPを用いて証明者により処理(工程#1)が実行され、情報Tが検証者に送信される。次いで、検証者アルゴリズムVを用いて検証者により処理(工程#2)が実行され、情報Tが証明者に送信される。さらに、k=3〜nについて処理の実行及び情報Tの送信が順次行われ、最後に処理(工程#n+1)が実行される。このように、情報がn回送受信される方式のことを「nパス」の公開鍵認証方式と呼ぶ。
以上、図1及び図2を参照して、公開鍵認証方式の概要について説明した。なお、公開鍵認証方式の種類としては、例えば、「大きな合成数に対する素因数分解の困難性」を安全性の根拠とするRSA方式や、「楕円曲線上の離散対数問題に対する解の導出の困難性」を安全性の根拠とするECC方式等が広く知られている。
本実施形態に係るアクセス認証処理においては、適用される公開鍵認証方式の種類は特に限定されず、あらゆる方式の公開鍵認証が適用され得る。例えば、本実施形態に係るアクセス認証処理には、公開鍵認証方式として、上記のRSA方式やECC方式が用いられてもよい。また、例えば、本実施形態に係るアクセス認証処理には、公開鍵認証方式として、下記<7.MQ認証方式について>で詳しく説明するMQ認証方式を含む、多次多変数連立方程式に対する求解問題の困難性を安全性の根拠とする認証方式が用いられてもよい。
<2.アクセス認証処理の概要>
次に、以上説明した公開鍵認証方式を用いた、本開示の一実施形態に係るアクセス認証処理の概要について説明する。なお、本項も含め、後述する<3.装置の機能及び構成>及び<4.アクセス認証処理の処理シーケンス>においては、共有システムの一例として、オンラインストレージサービスによるデータ共有システムを例に挙げて説明を行う。ただし、本開示の一実施形態における共有システムはかかる例に限定されず、他のあらゆる共有システムであってもよい。また、オンラインストレージサービスによるデータ共有システムにおいては、アクセスとは、データ領域に格納されている電子データに対して施すことが可能な各種の処理のことを示していてよい。電子データに対して施すことが可能な各種の処理とは、例えば、電子データに対する、閲覧処理、編集処理、読み込み処理、書き込み処理及び実行処理の少なくともいずれかの処理のことを示していてよい。
オンラインストレージサービスにおいては、例えば、クラウド上のストレージのデータ領域がユーザに割り当てられ、提供される。ユーザは、自身に割り当てられたデータ領域に、各種のデータ(ファイルやフォルダ)を格納することができる。また、ユーザは、自身に割り当てられたデータ領域のうちで、他のユーザと共有して編集できる領域を設定したり、他のユーザが閲覧することが可能な領域を設定したりすることができる。
ここで、一般的なオンラインストレージサービスでは、例えば、同一のサービスに登録している会員間においては、その会員IDを互いに指定することにより、特定のユーザにだけデータの閲覧許可、編集許可を相互に与えることができる。しかし、同一のサービスに登録していないユーザに対しては、例えば、共有したいデータが格納されたフォルダのありかを示すURLを当該ユーザに通知する必要がある一方、当該URLを知り得るユーザであれば誰でも当該データにアクセス可能であり、重要なデータを取り扱う際のセキュリティ対策としては不十分な面がある。
このようなオンラインストレージサービスによるデータ共有システムに対して、本実施形態に係るアクセス認証処理を適用することにより、より安全に、ストレージに格納されているデータを管理することが可能となる。以下にその概要について、図3A−図3Dを参照して説明する。図3A−図3Dは、本開示の一実施形態に係るアクセス認証処理の一例を示す概略図である。
図3Aを参照すると、例えばユーザAは、ネットワーク300を介して、サーバ10にアクセス可能な状態にある。サーバ10は、例えばオンラインストレージサービスに適合したストレージを有するサーバであり、当該ストレージにおけるデータ領域150のうちの任意の領域を、当該オンラインストレージサービスを利用するユーザに提供することができる。なお、サーバ10は、上記<1.公開鍵認証方式の概要>での説明及び以下の説明における情報処理装置に対応するものである。
図3Aに示す例では、例えば、サーバ10が有するデータ領域150の一部領域が、ユーザAの領域160として、ユーザAに提供されている。ユーザAは、ユーザAの領域160に、所望のデータ、例えば各種のファイルやフォルダを格納することができる。
なお、図3A及び後述する図3B、C、Dにおいては、説明を簡単にするために、サーバ10の構成については、例えばストレージに代表される記憶媒体のデータ領域のみを概念的に示し、他の構成については省略して示している。サーバ10の概略構成及び各構成要素の機能については、<3.装置の機能及び構成>で後ほど詳しく説明する。また、サーバ10のハードウェア構成については、<6.ハードウェア構成>で後ほど詳しく説明する。
更に、図3Bを参照すると、ユーザAは、ユーザAの領域160のうちの任意の領域を、他のユーザとデータを共有することができる共有領域170として設定することができる。ただし、本実施形態に係るアクセス認証処理においては、ユーザAは、共有領域170を設定する際に、共有領域170にアクセスすることが可能なユーザを限定することができる。
具体例として、例えば、他のユーザBが共有領域170にアクセス可能であるように、ユーザAが共有領域170を設定する場合について考える。その場合、例えばユーザBは、任意の公開鍵認証方式に対応した公開鍵及び秘密鍵の組み合わせである、公開鍵PK及び秘密鍵SKを事前に所有しておく。ここで、公開鍵認証方式に対応した公開鍵及び秘密鍵を作成する方法は特に限定されず、公開鍵及び秘密鍵は、既存の公知なツールを用いて作成されてよい。
更に、ユーザBは、公開鍵PK及び秘密鍵SKのうち、公開鍵PKをユーザAに事前に通知しておく。なお、公開鍵PKをユーザAに事前に通知する手段は特に限定されず、例えばメモ、メール、口頭等、あらゆる通知手段が用いられてよい。
ユーザBが共有領域170にアクセス可能であるようにするために、ユーザAは、通知されたユーザBの公開鍵PKを、共有領域170に設定する。ここで、公開鍵PKを設定する具体的な方法については、下記[3−1.サーバ]で詳しく説明する。
更に、例えば、図3Cに示すように、サーバ10には、ネットワーク300を介してサーバ10と相互に通信可能な、ユーザ端末20が接続されている。なお、ユーザ端末20は、上記<1.公開鍵認証方式の概要>での説明及び以下の説明における情報処理端末に対応するものである。
例えば、ユーザ端末20には秘密鍵SKの情報が保存されており、ユーザBが共有領域170にアクセスしようとすると、サーバ10とユーザ端末20との間で、共有領域170に設定されている公開鍵PKと、ユーザ端末20に保存されている秘密鍵SKに対して、公開鍵認証方式を用いた認証処理が行われる。そして、当該認証処理の結果が認証OKならば、ユーザ端末20から共有領域170へのアクセスが許可される。
また、本実施形態に係るアクセス認証処理においては、共有領域170に、互いに異なる複数の公開鍵を設定することが可能である。例えば、図3Dに示すように、ユーザAは、共有領域170に、ユーザBが所有する公開鍵PK及びユーザCが所有する公開鍵PKを両方設定することができる。共有領域170に、公開鍵PK及び公開鍵PKが両方設定されている場合、ユーザBについて、共有領域170に設定されている公開鍵PKと、ユーザ端末20に保存されている秘密鍵SKに対して、公開鍵認証方式を用いた認証処理が行われ、当該共有領域170へのユーザBのアクセスが認証される。また、ユーザCについても同様に、共有領域170に設定されている公開鍵PKと、ユーザ端末20に保存されている秘密鍵SKに対して、公開鍵認証方式を用いた認証処理が行われ、当該共有領域170へのユーザCのアクセスが認証される。
以上、図3A−図3Dを参照して説明したように、本実施形態では、共有システムにおけるアクセス認証処理において、公開鍵認証方式に対応した公開鍵がアクセス対象のうちの任意の領域であるアクセス領域に設定され、当該公開鍵と対になる秘密鍵に対して、当該アクセス領域へのアクセスが認証される。従って、共有システムにおける安全性をより高くすることが可能となる。
また、本実施形態に係るアクセス認証処理は、例えば、オンラインストレージサービスを用いたデータ共有システムに対して好適に適用され得る。具体的には、図3A−図3Dを参照して説明したように、共有システムが、オンラインストレージサービスを用いたデータ共有システムである場合、アクセス対象は、当該ストレージのデータ領域のうちのあるユーザに割り当てられたデータ領域であってよく、アクセス領域は、そのあるユーザに割り当てられたデータ領域のうちの更に任意のデータ領域(共有領域)であってよい。共有領域に公開鍵認証方式に対応した公開鍵が設定され、当該公開鍵と対になる秘密鍵に対して、当該共有領域へのアクセスが認証されることにより、共有領域に格納される各種のデータの管理がより安全に行われる。
なお、図3A−図3Dにおいては、本実施形態に係るアクセス認証処理の一例として、オンラインストレージサービスを例に挙げて、アクセス対象が、当該ストレージのデータ領域150のうちの任意の領域であるユーザAの領域160であり、アクセス領域が、ユーザAの領域160のうちの任意の領域である共有領域170である場合について説明した。ただし、オンラインストレージサービスを用いたデータ共有システムにおいては、アクセス対象及びアクセス領域の関係性は、かかる実施形態に限定されない。例えば、ストレージのデータ領域150がアクセス対象であり、データ領域150のうちの任意の領域であるユーザAの領域160がアクセス領域であると捉えることも可能である。アクセス対象がストレージのデータ領域150であり、アクセス領域がユーザAの領域160である場合、例えば、ユーザAが有する公開鍵認証方式に対応した公開鍵PK及び秘密鍵SKのうち、公開鍵PKがユーザAの領域160に設定されてよい。公開鍵PKがユーザAの領域160に設定される場合、ユーザAが、ユーザAの領域160にアクセスしようとする際に、ユーザAの領域160に設定されている公開鍵PKと、ユーザAが有している秘密鍵SKに対して、公開鍵認証方式を用いた認証処理が行われてもよい。
更に、本実施形態に係るアクセス認証処理が適用される共有システムは、オンラインストレージサービスを用いた共有システムに限定されない。オンラインストレージサービスを用いた共有システム以外の共有システムの具体例については、下記<5.変形例>で後ほど詳しく説明する。
<3.装置の機能及び構成>
次に、本開示の一実施形態に係る情報処理装置及び情報処理端末の一構成例について説明する。なお、本項においては、共有システムの一例として、オンラインストレージサービスによるデータ共有システムを例に挙げて、本実施形態に係る情報処理装置及び情報処理端末の一構成例についての説明を行う。
[3−1.情報処理装置(サーバ)]
まず、図4を参照して、本開示の一実施形態に係る情報処理装置の一構成例について説明する。図4は、本開示の一実施形態に係る情報処理装置の概略構成を示す機能ブロック図である。なお、本実施形態においては、情報処理装置のことをサーバとも呼ぶ。つまり、本実施形態に係る情報処理装置は、上記<2.アクセス認証処理の概要>での説明及び以下の説明におけるサーバに対応するものである。
図4を参照すると、本実施形態に係るサーバ10(情報処理装置10)は、装置通信部110、ストレージ部120及び装置制御部130を備える。
装置通信部110は、サーバ10を、例えば任意の通信網(ネットワーク)を介して、各種の外部装置と相互に通信可能に接続するためのインターフェースである。具体的には、本実施形態においては、装置通信部110は、サーバ10を、任意のネットワークを介して、ユーザ端末20及び/又は他の任意の端末と相互に通信可能に接続する。例えば、サーバ10は、装置通信部110及びネットワークを介して、任意の端末から、ストレージ部120のデータ領域のうちの任意の領域に設定するための公開鍵PKを受信することができる。また、例えば、サーバ10は、装置通信部110及びネットワークを介して、ユーザ端末20から、公開鍵PKが設定されたデータに対するアクセス申請を受信することができる。更に、例えば、サーバ10は、装置通信部110及びネットワークを介して、公開鍵認証処理に関する各種の情報をユーザ端末20と相互にやり取りすることができる。なお、公開鍵認証処理に関する各種の情報とは、例えば、上記<1.公開鍵認証方式の概要>で説明した、対話プロトコルにおける情報T、T等であってよい。
ストレージ部120は、共有システムにおいて共有されるデータ領域が設けられる記憶媒体の一例である。上述したように、本実施形態においては、共有システムの一例として、オンラインストレージサービスによるデータ共有システムを例に挙げて説明を行うため、ストレージ部120のデータ領域のうちの任意の領域が、各種のデータを格納するためのデータ領域として任意のユーザに提供される。ストレージ部120は、電子データを記憶することが可能な記憶媒体であればその種類は限定されず、例えば、HDD(Hard Disk Drive)等の磁気記憶デバイス、又は各種の半導体記憶デバイス等によって構成されてもよい。
装置制御部130は、サーバ10の動作を統合的に制御するとともに、本実施形態に係るアクセス認証処理に関する各種の情報を処理する。例えば、装置制御部130は、アクセス対象のうちの任意の領域であるアクセス領域に、公開鍵認証方式に対応した公開鍵を設定する。具体的には、本実施形態であれば、装置制御部130は、ストレージ部120のデータ領域のうちの任意の領域に、公開鍵認証方式に対応した公開鍵を設定する。
また、例えば、装置制御部130は、当該公開鍵と対になる秘密鍵に対して、当該アクセス領域へのアクセスを認証する。具体的には、本実施形態であれば、装置制御部130は、当該公開鍵と対になる秘密鍵に対して、ストレージ部120上の、当該公開鍵が設定されたデータ領域へのアクセスを認証する。
以下、装置制御部130の機能及び構成について、より詳細に説明する。装置制御部130は、例えば、公開鍵設定部131及び装置認証処理部132を有する。
公開鍵設定部131は、アクセス対象のうちの任意の領域であるアクセス領域に、公開鍵認証方式に対応した公開鍵を設定する。具体的には、本実施形態であれば、公開鍵設定部131は、例えば任意の端末から受信した公開鍵を、ストレージ部120のデータ領域のうちの任意の領域に設定する。
また、本実施形態に係るアクセス認証処理においては、公開鍵設定部131は、1つのアクセス領域に、互いに異なる複数の公開鍵を設定してもよい。1つのアクセス領域に、互いに異なる複数の公開鍵が設定される場合、例えば、各アクセス領域に設定された複数の公開鍵がリスト状に整理された公開鍵リストが、当該アクセス領域と関連付けられて保存されてもよい。例えば、図4に示す例では、公開鍵が設定されるアクセス領域がストレージ部120のデータ領域のうちの任意の領域であり、更に、当該任意の領域がフォルダである場合について図示している。更に、図4では、フォルダはストレージ部120内に複数設けられており、複数のフォルダ「フォルダ1」、「フォルダ2」、・・・、「フォルダN」のそれぞれに、複数の公開鍵が公開鍵リストとして設定される様子を模式的に示している。
ここで、アクセス領域に設定される互いに異なる複数の公開鍵は、例えば、互いに異なる複数のユーザによって所有される秘密鍵と、それぞれ対になる公開鍵であってよい。上記<2.アクセス認証処理の概要>で説明したように、本実施形態に係るアクセス認証処理においては、アクセス領域に設定された公開鍵と、秘密鍵との間で、当該アクセス領域に対するアクセス認証処理が行われるため、アクセス領域に設定された公開鍵と対になる秘密鍵を所有するユーザは、当該アクセス領域へのアクセスが可能になる。つまり、公開鍵設定部131が、どの公開鍵をどのアクセス領域に設定するかによって、ユーザに対するアクセス領域へのアクセスを制御することができる。
また、アクセス領域がストレージ部120のデータ領域のうちの任意の領域に格納された電子データ、例えばフォルダ及び/又はファイルである場合、公開鍵設定部131は、当該フォルダ及び/又はファイルに対するアクセス権限に含まれる各権限に対して公開鍵を個別に設定してもよい。ここで、アクセス権限とは、フォルダ及び/又はファイルに対する、書き込み権限及び読み込み権限の少なくともいずれかを含んでよい。更に、アクセス権限は、フォルダ及び/又はファイルに対する、閲覧権限、編集権限及び実行権限の少なくともいずれかを更に含んでもよい。つまり、公開鍵設定部131は、複数のユーザで共有したい電子データに対して、当該電子データへのアクセス権限として、ユーザごとに異なる権限を設定することができる。
なお、アクセス領域がストレージ部120のデータ領域のうちの任意の領域に設けられたフォルダである場合、公開鍵設定部131は、当該フォルダに公開鍵を設定する具体的な方法として、例えば、下記に示す各方法を行ってよい。
例えば、フォルダの属性情報として公開鍵が設定されてもよい。具体的には、ストレージ部120のデータ領域に作成されたフォルダに対して、例えばそのフォルダのプロパティとして、公開鍵を設定するための機能が設けられていてもよい。フォルダのプロパティから公開鍵が設定されることにより、公開鍵設定部131が当該フォルダに当該公開鍵を設定してもよい。
また、例えば、別の方法として、フォルダ内の隠れファイルに公開鍵が設定されてもよい。隠れファイルとは、通常時には非表示になっているファイルのことであり、例えば当該フォルダの設定ファイルであってよい。具体的には、隠れファイルに公開鍵に関する情報を書き込むことで、公開鍵設定部131が当該フォルダに当該公開鍵を設定してもよい。
また、例えば、更に別の方法として、フォルダ名に公開鍵が設定されてもよい。具体的には、フォルダ名が公開鍵に対応する文字列を含むようにしてもよい。つまり、フォルダ名が公開鍵に対応する文字列を含むことにより、公開鍵設定部131が当該フォルダに当該公開鍵を設定してもよい。
ここで、以上説明した、フォルダに公開鍵を設定するための具体的な方法について、図5A−図5Cを参照して詳しく説明する。図5A−図5Cは、フォルダに対する公開鍵の設定方法を説明するための説明図である。
図5A−図5Cは、フォルダの中に格納されているファイルを閲覧する際に、例えば後述するユーザ端末20(ユーザ端末20)の端末表示部230の表示画面に表示される、ウインドウの一表示例を示している。図5A−図5Cを参照すると、例えば、ウインドウ400は、フォルダ名表示欄410、サブウインドウ420及びメインウインドウ430から構成される。
フォルダ名表示欄410には、例えば、閲覧対象としているフォルダのパスとフォルダ名が表示される。図5A−図5Cに示す例では、フォルダ名表示欄410に、当該フォルダのパス及びフォルダ名として、例えば「C:¥home」等が表示されている。
また、サブウインドウ420には、例えば、閲覧対象としているフォルダの属性情報が表示される。フォルダの属性情報は、例えば、当該フォルダの名前、当該フォルダのデータサイズ、当該フォルダの作成日時、当該フォルダの場所(パス)等の情報を含んでよい。
また、メインウインドウ430には、例えば、閲覧対象としているフォルダに格納されているデータ(例えばファイル)がアイコンとして表示される。ユーザは、メインウインドウ430に表示されたアイコンを参照することにより、当該フォルダに格納されているデータを確認することができる。
まず、図5Aを参照して、フォルダの属性情報として公開鍵が設定される方法について説明する。図5Aを参照すると、サブウインドウに、フォルダ「home」の属性情報として、フォルダ「home」に設定されている公開鍵PK1、PK2、・・・、PKnが表示されている。このように、属性情報として設定された公開鍵が、サブウインドウ420に、リストとして表示されてもよい。
次に、図5Bを参照して、フォルダ内の隠れファイルに公開鍵が設定される方法について説明する。図5Bを参照すると、メインウインドウ430に、他のファイル431とともに、隠れファイル432が表示されている。隠れファイル432の中には、例えば公開鍵PK1、PK2、・・・、PKnに関する情報が記載されていてよい。なお、隠れファイルは、表示画面上における表示と非表示とがユーザによって任意に切り替えられるようになっており、デフォルトでは非表示であるように設定されていてもよい。
次に、図5Cを参照して、フォルダ名に公開鍵が設定される方法について説明する。図5Cを参照すると、フォルダ名表示欄410に、当該フォルダのパス及びフォルダ名として、「C:¥home_PK1_PK2_・・・_PKn」が表示されている。ここで、「C:¥home_PK1_PK2_・・・_PKn」との表示における「PK1」、「PK2」、「PKn」等の表示は、それぞれ、公開鍵PK1、PK2、PKnに対応する文字列であってよい。このように、フォルダ名に設定された公開鍵が、フォルダ名表示欄410に、フォルダ名として表示されてもよい。
図4に戻り、装置制御部130の機能及び構成についての説明を続ける。
装置認証処理部132は、アクセス領域に設定された公開鍵と対になる秘密鍵に対して、当該アクセス領域へのアクセスを認証する。具体的には、例えば、装置認証処理部132は、装置通信部110を介して、ユーザ端末20から送信された、あるアクセス領域へのアクセス依頼を受信する。アクセス依頼を受信した装置認証処理部132は、アクセス依頼が行われたアクセス領域に設定されている公開鍵と、アクセス依頼を行ったユーザ端末20が有する秘密鍵との間で、公開鍵認証方式を用いた認証処理を行う。当該公開鍵認証処理の結果、認証がOKであれば、装置認証処理部132は、アクセス依頼を行ったユーザ端末20が、アクセス依頼が行われたアクセス領域にアクセスすることを許可する。
より具体的には、例えば図4に示す例であれば、アクセス領域は、ストレージ部120のデータ領域のうちの任意の領域に設けられた複数のフォルダのうちのいずれかであってよい。例えば、装置認証処理部132は、ユーザ端末20から送信された、これら複数のフォルダのうちのいずれかに対するアクセス依頼を受信する。そして、アクセス依頼を受信した装置認証処理部132は、アクセス依頼が行われたフォルダに設定されている公開鍵リストに含まれる公開鍵と、アクセス依頼を行ったユーザ端末20が有する秘密鍵との間で、公開鍵認証方式を用いた認証処理を行う。当該公開鍵認証処理の結果、認証がOKであれば、装置認証処理部132は、アクセス依頼を行ったユーザ端末20が、アクセス申請が行われたフォルダにアクセスすることを許可する。
なお、当該公開鍵認証処理に際しては、サーバ10の装置認証処理部132と、後述するユーザ端末20の端末認証処理部242との間で、公開鍵認証処理に関する一連の情報のやり取りが行われる。公開鍵認証処理に関する一連の情報のやり取りとは、例えば、上記<1.公開鍵認証方式の概要>で説明した、対話プロトコルにおける情報T、T等のやり取りであってよい。
なお、図4では、装置制御部130が有する機能及び構成のうち、本実施形態に係るアクセス認証処理に関わるもの以外の構成については図示を省略しているが、装置制御部130は、サーバ10を公知のオンラインストレージサーバとして機能させるための各種の機能及び構成を更に備えていてもよい。例えば、装置制御部130は、ストレージ部120のデータ領域のうちの任意の領域を、任意の複数のユーザにそれぞれ割り当てる機能を更に有していてもよい。また、装置制御部130は、各ユーザに割り当てたデータ領域に、各種のデータを格納する機能を更に有していてもよい。
また、図4では図示を省略するが、サーバ10は、公知のオンラインストレージサーバが有する各種の機能及び構成を更に備えていてもよい。例えば、サーバ10は、ストレージ部120とは別に、装置制御部130による様々な処理に用いられる各種の情報や、装置制御部130による様々な処理の結果を記憶するための装置記憶部を更に備えてもよい。また、例えば、サーバ10は、サーバ10に各種の情報や指示を入力するための装置入力部を更に備えてもよい。
[3−2.情報処理端末(ユーザ端末)]
次に、図6を参照して、本開示の一実施形態に係る情報処理端末の一構成例について説明する。図6は、本開示の一実施形態に係る情報処理端末の概略構成を示す機能ブロック図である。なお、本実施形態においては、情報処理端末のことをユーザ端末とも呼ぶ。つまり、本実施形態に係る情報処理端末は、上記<2.アクセス認証処理の概要>での説明及び以下の説明におけるユーザ端末に対応するものである。
図6を参照すると、本実施形態に係るユーザ端末20(情報処理端末20)は、端末通信部210、端末記憶部220、端末表示部230及び端末制御部240を備える。
端末通信部210は、ユーザ端末20を、例えば任意の通信網(ネットワーク)を介して、各種の外部装置と相互に通信可能に接続するためのインターフェースである。具体的には、本実施形態においては、端末通信部210は、ユーザ端末20を、任意のネットワークを介して、サーバ10と相互に通信可能に接続する。例えば、ユーザ端末20は、端末通信部210及びネットワークを介して、サーバ10のストレージ部120のデータ領域のうち、公開鍵が設定されたデータ領域に対するアクセス依頼を、サーバ10に送信することができる。更に、ユーザ端末20は、端末通信部210及びネットワークを介して、公開鍵認証処理に関する各種の情報をサーバ10と相互にやり取りすることができる。なお、公開鍵認証処理に関する各種の情報とは、例えば、上記<1.公開鍵認証方式の概要>で説明した、対話プロトコルにおける情報T、T等のやり取りであってよい。
端末記憶部220は、ユーザ端末20によって処理される各種の情報を記憶するための記憶媒体の一例である。例えば、端末記憶部220は、端末制御部240による様々な処理に用いられる各種の情報や、端末制御部240による様々な処理の結果を記憶する。本実施形態においては、端末記憶部220は、例えば、公開鍵認証方式に対応した公開鍵PKと、当該公開鍵PKと対になる秘密鍵SKとを記憶する。また、例えば、端末記憶部220は、後述する端末制御部240の端末認証処理部242が、サーバ10の装置認証処理部132との間でやり取りする、公開鍵認証処理に関する各種の情報を記憶してもよい。
端末表示部230は、後述する表示制御部243による制御によって、表示画面上に各種の情報を表示することで、ユーザに当該情報を視覚的に伝達する機能を有する。本実施形態においては、端末表示部230は、例えば、サーバ10のストレージ部120のデータ領域に設けられた各種のデータ、例えばファイルやフォルダに関する情報を、その表示画面上に表示してもよい。
端末制御部240は、ユーザ端末20の動作を統合的に制御するとともに、本実施形態に係るアクセス認証処理に関する各種の情報を処理する。例えば、端末制御部240は、任意の公開鍵認証方式に対応した公開鍵及び秘密鍵の組み合わせ(鍵ペア)である、公開鍵PK及び秘密鍵SKを生成する。
また、端末制御部240は、公開鍵認証方式に対応した秘密鍵SKと対になる公開鍵PKが設定された、外部装置におけるアクセス対象のうちの任意の領域であるアクセス領域へのアクセスの認証を受ける。具体的には、本実施形態であれば、端末制御部240は、公開鍵認証処理に関する各種の情報をサーバ10と相互にやり取りすることにより、サーバ10のストレージ部120のデータ領域のうちの、秘密鍵SKと対になる公開鍵PKが設定された任意の領域へのアクセスの認証を受ける。
以下、端末制御部240の機能及び構成について、より詳細に説明する。端末制御部240は、例えば、鍵生成部241、端末認証処理部242及び表示制御部243を有する。
鍵生成部241は、任意の公開鍵認証方式に対応した公開鍵及び秘密鍵の組み合わせである、公開鍵PK及び秘密鍵SKを生成する。なお、鍵生成部241が、公開鍵認証方式に対応した公開鍵PK及び秘密鍵SKを生成する方法は特に限定されず、公開鍵PK及び秘密鍵SKは、既存の公知なツールを用いて作成されてよい。
端末認証処理部242は、公開鍵認証方式に対応した秘密鍵SKと対になる公開鍵PKが設定された、外部装置におけるアクセス対象のうちの任意の領域であるアクセス領域へのアクセスの認証を受ける。具体的には、本実施形態であれば、端末認証処理部242は、公開鍵認証処理に関する各種の情報をサーバ10と相互にやり取りすることにより、秘密鍵SKに対して、サーバ10のストレージ部120のデータ領域のうちの、秘密鍵SKと対になる公開鍵PKが設定された任意の領域へのアクセスの認証を受ける。
より具体的には、例えば図4及び図6に示す例であれば、アクセス領域は、サーバ10のストレージ部120のデータ領域のうちの任意の領域に設けられた複数のフォルダのうちのいずれかであってよい。例えば、端末認証処理部242は、サーバ10に対して、これら複数のフォルダのうちのいずれかに対するアクセス依頼を送信する。アクセス依頼を受信したサーバ10の装置認証処理部132は、端末認証処理部242と各種の情報を相互にやり取りすることにより、アクセス依頼が行われたフォルダに設定されている公開鍵リストに含まれる公開鍵と、アクセス依頼を行ったユーザ端末20が有する秘密鍵との間で、公開鍵認証方式を用いた認証処理を行う。当該公開鍵認証処理の結果がOKであれば、端末認証処理部242は、アクセス依頼を行ったフォルダに対するアクセスの認証を受ける。
なお、当該公開鍵認証処理に際しては、サーバ10の装置認証処理部132と、後述するユーザ端末20の端末認証処理部242との間で、公開鍵認証処理に関する一連の情報のやり取りが行われる。公開鍵認証処理に関する一連の情報のやり取りとは、例えば、例えば、上記<1.公開鍵認証方式の概要>で説明した、対話プロトコルにおける情報T、T等のやり取りであってよい。
表示制御部243は、例えば端末表示部230における表示機能を制御し、端末表示部230の表示画面に、各種の情報を表示させる。具体的には、表示制御部243は、端末表示部230の表示画面に、サーバ10のストレージ部120のデータ領域に設けられた各種のデータ、例えばファイルやフォルダに関する情報を表示させてもよい。また、上述したように、公開鍵認証処理においては、ユーザ端末20とサーバ10との間で各種の情報のやり取りが行われる。表示制御部243は、端末表示部230の表示画面に、端末認証処理部242と、サーバ10の装置認証処理部132との間で行われる、公開鍵認証処理に関する一連の情報のやり取りを表示させてもよい。
また、表示制御部243は、アクセス領域のうち、端末認証処理部242による認証処理に対応した秘密鍵SKと対になる公開鍵PKが設定されたアクセス領域のみを端末表示部230の表示画面に表示させてもよい。
具体的には、表示制御部243は、端末表示部230の表示画面に、端末認証処理部242よる認証処理に対応した秘密鍵SKと対になる公開鍵PKが設定されたフォルダのみを表示させてもよい。より具体的には、例えば、ストレージ部120のデータ領域に設けられた複数のフォルダについて、いくつかのフォルダには、ユーザBが所有する公開鍵PKが設定されているが、その他のフォルダには公開鍵PKが設定されていない場合がある。その場合、例えば、ユーザBが、あるユーザ端末20からサーバ10に接続し、ストレージ部120のデータ領域に設けられたファイルやフォルダを閲覧しようとする際に、表示制御部243は、端末表示部230の表示画面に、公開鍵PKが設定されているフォルダのみを表示させてもよい。なお、サーバ10に接続し、ストレージ部120のデータ領域に設けられたファイルやフォルダを閲覧しようとしているユーザが、ユーザBかどうかの判断は、例えば、ユーザ端末20に対するログイン処理等によりユーザの判別が行われることによって、判断されてもよい。
このように、例えば公開鍵PKが設定されているフォルダのみが表示画面上に表示されることにより、ユーザBにとっては、自身がアクセス可能なフォルダのみを閲覧することができる。従って、ユーザにとっての利便性を向上させることができる。
以上、図4及び図6を参照して、本実施形態に係るサーバ10及びユーザ端末20の機能の一例、特に装置制御部130及び端末制御部240の機能の一例について詳細に示した。なお、サーバ10及びユーザ端末20の各構成要素は、汎用的な部材や回路を用いて構成されていてもよいし、各構成要素の機能に特化したハードウェアにより構成されていてもよい。また、装置制御部130及び端末制御部240については、各構成要素の機能を、CPU(Central Processing Unit)等が全て行ってもよい。従って、本実施形態を実施する時々の技術レベルに応じて、適宜、利用する構成を変更することが可能である。
なお、サーバ10及びユーザ端末20のハードウェア構成については、<6.ハードウェア構成>で後ほど詳しく説明する。
以上説明したように、本実施形態に係るサーバ10においては、公開鍵設定部131が、公開鍵認証方式に対応した公開鍵を、アクセス対象のうちの任意の領域であるアクセス領域に設定する。また、装置認証処理部132が、当該公開鍵と対になる秘密鍵に対して、当該アクセス領域へのアクセスを認証する。
また、本実施形態に係るユーザ端末20においては、端末認証処理部242が、公開鍵認証方式に対応した秘密鍵と対になる公開鍵が設定された、外部装置におけるアクセス対象のうちの任意の領域であるアクセス領域へのアクセスの認証を受ける。ここで、外部装置とは、例えば図4に示すサーバ10であってよい。従って、共有システムにおける安全性をより高くすることが可能となる。
なお、図4及び図6では、1つのサーバ10と1つのユーザ端末20とが、装置通信部110及び端末通信部210を介して、互いに通信可能に接続されている様子を示しているが、本実施形態はかかる例に限定されない。例えば、1つのサーバ10に、互いに異なる複数のユーザ端末20が接続されていてもよい。また、サーバ10に接続される、互いに異なる複数のユーザ端末20は、それぞれ異なる公開鍵PK及び秘密鍵SKの鍵ペアを所有していてもよい。ユーザは、それぞれのユーザ端末20からサーバ10にそれぞれ接続することができ、また、それぞれの公開鍵PK及び秘密鍵SKの鍵ペアに基づいて、アクセス認証処理を受けることができる。
<4.アクセス認証処理の処理シーケンス>
次に、図7を参照して、本開示の一実施形態に係るアクセス認証処理方法について説明する。図7は、本開示の一実施形態に係るアクセス認証処理方法における処理シーケンスの一例を示すシーケンス図である。なお、本項では、共有システムの一例として、オンラインストレージサービスによるデータ共有システムを例に挙げて、本実施形態に係るアクセス認証処理の処理シーケンスについての説明を行う。また、具体例として、ユーザAが、オンラインストレージサービスによって割り当てられた自身のデータ領域のうちの任意の領域を、他のユーザBと共有する場合について説明する。なお、本実施形態に係るアクセス認証処理が適用されるのは、オンラインストレージサービスによるデータ共有システムに限定されず、他の共有システムであってもよい。
なお、サーバ10及びユーザ端末20の各構成要素、例えば、装置通信部110、公開鍵設定部131、装置認証処理部132、端末通信部210、鍵生成部241及び端末認証処理部242等の機能については、上記<3.装置の機能及び構成>で説明しているため、ここでは詳細な説明は省略する。
図7を参照すると、本実施形態に係るアクセス認証処理においては、まず、ユーザB(ユーザ端末20)によって、任意の公開鍵認証方式に対応した公開鍵及び秘密鍵の組み合わせ(鍵ペア)である、公開鍵PK及び秘密鍵SKが生成される(ステップS701)。公開鍵PK及び秘密鍵SKは、例えば、ユーザ端末20の鍵生成部241によって生成されてもよい。更に、生成された公開鍵PK及び秘密鍵SKは、例えば、ユーザ端末20の端末記憶部220に記憶されてもよい。なお、公開鍵PK及び秘密鍵SKに対応する公開鍵認証方式の種類は特に限定されず、あらゆる種類の方式が用いられてよい。また、公開鍵PK及び秘密鍵SKは、鍵生成部241によって生成されなくてもよく、ユーザB(ユーザ端末20)が公開鍵PK及び秘密鍵SKを所有していれば、その入手方法は限定されない。
次に、ユーザBからユーザAに、生成された公開鍵PK及び秘密鍵SKのうち、公開鍵PKが通知される(ステップS703)。ユーザBからユーザAへの公開鍵PKの通知手段は特に限定されず、例えばメモ、メール、口頭等、あらゆる通知手段が用いられてよい。
次に、ユーザAが、オンラインストレージサービスに対するログイン処理を行う(ステップS705)。ここで言うログインとは、例えば当該オンラインストレージサービスを利用するための申請であってよい。具体的には、本実施形態においては、ユーザAは、当該オンラインストレージサービスにログインすることで、サーバ10のストレージ部120のデータ領域のうちで、ユーザAに割り当てられているデータ領域を利用することができる。
次に、ユーザAは、サーバ10に対して、データ領域のうちで自身に割り当てられている領域のうち、他のユーザであるユーザBと共有したい任意の領域(共有領域)に、ステップS701で通知された公開鍵PKの設定を依頼する(ステップS707)。依頼を受けたサーバ10では、当該共有領域に公開鍵PKが設定される(ステップS709)。ステップS709では、例えば、上記[3−1.サーバ]で説明したように、サーバ10の公開鍵設定部131によって、当該共有領域に公開鍵PKが設定される。
次に、ユーザBが、サーバ10に対して、ユーザAによって公開鍵PKが設定された設定された共有領域に対するアクセス依頼を送信する(ステップS711)。当該アクセス依頼は、例えば上記[3−2.ユーザ端末]で説明したように、ユーザ端末20の端末通信部210を介してサーバ10に対して送信されてよい。
次に、アクセス依頼を受信したサーバ10と、当該アクセス依頼を送信したユーザ端末20との間で、共有領域に対して、公開鍵認証方式を用いたアクセス認証処理が行われる(ステップS713)。アクセス認証処理は、例えば、上記[3−1.サーバ]及び上記[3−2.ユーザ端末]で説明したように、装置認証処理部132と端末認証処理部242との間で行われてよい。
ステップS713でのアクセス認証処理の結果、認証OKであった場合には、サーバ10によって、ユーザ端末20から当該共有領域へのアクセスが許可される(ステップS715)。そして、ユーザB(ユーザ端末20)は、アクセスが許可されたデータ領域へのアクセスを行うことができる(ステップS717)。つまり、ユーザB(ユーザ端末20)は、サーバ10から、当該共有領域に格納されている各種のデータに対して、書き込み、読み込み、編集等の各種の処理を行うことができる(ステップS719)。
以上、図7を参照して説明したように、本開示の一実施形態に係るアクセス認証方法においては、公開鍵認証方式に対応した公開鍵が、アクセス対象のうちの任意の領域であるアクセス領域に設定され、前記公開鍵と対になる秘密鍵に対して、前記アクセス領域へのアクセスが認証される。従って、共有システムにおける安全性をより高くすることが可能となる。
なお、以上の説明では、共有システムの一例としてオンラインストレージサービスによるデータ共有システムを例に挙げて、アクセス対象が、当該ストレージのデータ領域であり、アクセス領域が、当該データ領域のうちの任意の領域である場合について説明した。ただし、本実施形態に係るアクセス認証処理は、かかる例に限定されず、共有システムであれば他のシステムであっても適用することが可能である。
<5.変形例>
次に、ここまで説明してきた一実施形態の変形例について説明する。以上の説明では、共有システムの一例としてオンラインストレージサービスによるデータ共有システムを例に挙げて、アクセス対象が、当該ストレージのデータ領域であり、アクセス領域が、当該データ領域のうちの任意の領域である場合について説明してきた。しかし、本実施形態は、かかる例に限定されない。例えば、アクセス対象は、物理的に施錠可能な筐体であり、アクセス認証処理によって、当該筐体の開錠が認証されてもよい。より具体的には、例えば、アクセス対象は、施錠可能な複数のロッカーの集合体であり、アクセス領域はそのうちのいくつかのロッカーであってよい。
つまり、本実施形態においては、情報処理装置(サーバ)の装置認証処理部が、アクセス領域へのアクセスを認証することで、筐体の開錠を認証してもよい。すなわち、アクセス対象が施錠可能な複数のロッカーの集合体であり、アクセス領域がそのうちのいくつかのロッカーである場合、アクセスとは、当該ロッカーを開錠する処理のことを示していてよい。
以下では、図8A−図8Eを参照して、本開示の一実施形態の変形例として、アクセス対象が、施錠可能な複数のロッカーの集合体であり、アクセス領域がそのうちのいくつかのロッカーである場合のアクセス認証処理について、具体的に説明する。図8A−図8Eは、本実施形態の変形例について説明するための説明図である。なお、当該変形例においては、サーバ10の機能及び構成は、例えば図4に示すサーバ10において、ストレージ部120が、施錠可能なロッカーの集合体に置換されたものに対応する。また、当該ロッカー各々の施錠及び開錠を行う駆動部が更に存在し、当該駆動部が、装置制御部130からの制御により、各ロッカーの施錠及び開錠を行う。ここでは、図4に示すサーバ10との相違点について主に説明を行うものとし、変更のない構成については、その詳細な説明を省略する。
上述したように、本変形例においては、施錠可能なロッカーの集合体のうちの任意のロッカーが、アクセス領域として取り扱われる。図8A−図8Eでは、ある1つのロッカーがアクセス領域である場合を例に挙げて、本実施形態に係るアクセス認証処理の処理手順について説明する。まず、図8Aに示すように、例えばあるユーザによって、ロッカー600に荷物が入れられる。
次に、ロッカー600が施錠される際に、図8Bに示すように、例えば図4に示す公開鍵設定部131によって、ロッカー600に公開鍵PKが設定される。ここでは、公開鍵PKの一例として、例えば文字列「1A2u9yD65B」で表される公開鍵PKがロッカー600に設定されたとする。
ロッカー600に公開鍵PKが設定されていることは、例えば図8Cに示すように、ロッカー600の扉の一部領域に設けられた表示窓に、当該公開鍵PKを表す文字列である「1A2u9yD65B」が表示されることによって、明示されてもよい。ロッカー600に設けられた表示窓に、公開鍵PKを表す文字列が表示されることによって、他のユーザに対して、ロッカー600に公開鍵が設定されているかどうかを通知することができる。また、当該公開鍵PKを所有するユーザに対しては、ロッカー600に自身が所有する公開鍵が設定されているかどうかを通知することができる。すなわち、ロッカー600に設けられた表示窓に、公開鍵PKを表す文字列が表示されることによって、ユーザに対する視認性を確保することができる。
ロッカー600から荷物を取り出す、すなわち、ロッカー600を開錠するためには、公開鍵認証方式を用いたアクセス認証処理が行われる。例えば、図8Dに示すように、ロッカー600に設定されている公開鍵PKと、当該公開鍵PKと対になる秘密鍵SKとの間で、例えば図4に示す装置認証処理部132によって、公開鍵認証方式を用いた認証処理が行われる。認証処理の結果、認証OKであった場合には、例えば、ロッカーの施錠及び開錠を行う機能を有する駆動部に、装置認証処理部132からその旨が通知される。そして、認証OKの旨の通知を受けた当該駆動部によって、ロッカー600が開錠され、図8Eに示すように、中の荷物が取り出される。
以上、図8A−図8Eを参照して説明したように、本変形例においては、公開鍵認証方式を用いたアクセス認証処理によってロッカーの開錠が行われるため、より安全に荷物を保管することができる。また、本変形例においては、物理的な(有形な)鍵を用いないため、物理的な鍵を用いる既存のロッカーにおいて起こり得る、鍵の紛失等のトラブルを回避することができる。
また、本変形例においては、荷物を入れるユーザと荷物を取り出すユーザとが同一のユーザであってもよいし、異なるユーザであってもよい。荷物を入れるユーザと荷物を取り出すユーザとが同一のユーザである場合には、当該ユーザが公開鍵PKと秘密鍵SKの鍵ペアを所有していればよい。一方、荷物を入れるユーザ(例えば、ユーザA)と荷物を取り出すユーザ(例えば、ユーザB)とが異なるユーザである場合には、例えば、ユーザBは、ユーザAに対して、ユーザBが所有している公開鍵PK及び秘密鍵SKの鍵ペアのうち、公開鍵PKを事前に通知しておく。ユーザAは、ロッカーを施錠する際に、通知された公開鍵PKを当該ロッカーに設定する。ユーザBは、自身の公開鍵PKが設定されているロッカーを、自身が所有する秘密鍵SKを用いることによって、開錠することができる。従って、ユーザAとユーザBとが直接面会して鍵の受け渡しを行わなくてもよく、荷物の受け渡しを安全に行うことができる。
なお、本変形例に係るロッカーが、例えばいわゆるコインロッカーである場合には、ロッカーに公開鍵PKを設定して施錠するとき、又は、秘密鍵SKを用いてロッカーを開錠するとき等に、適宜課金処理が行われてもよい。
<6.ハードウェア構成>
次に、図9を参照しながら、本開示の実施形態に係る情報処理装置(サーバ)及び情報処理端末(ユーザ端末)のハードウェア構成について、詳細に説明する。図9は、本開示の一実施形態に係る情報処理装置及び情報処理端末のハードウェア構成を説明するためのブロック図である。
サーバ10及びユーザ端末20は、主に、CPU901と、ROM903と、RAM905と、を備える。また、サーバ10及びユーザ端末20は、更に、ホストバス907と、ブリッジ909と、外部バス911と、インターフェース913と、入力装置915と、出力装置917と、ストレージ装置919と、通信装置921と、ドライブ923と、接続ポート925とを備える。
CPU901は、演算処理装置及び制御装置として機能し、ROM903、RAM905、ストレージ装置919又はリムーバブル記録媒体929に記録された各種プログラムに従って、サーバ10及びユーザ端末20内の動作全般又はその一部を制御する。CPU931は、本実施形態においては、例えば装置制御部130及び端末制御部240に対応する。ROM903は、CPU901が使用するプログラムや演算パラメータ等を記憶する。RAM905は、CPU901が使用するプログラムや、プログラムの実行において適宜変化するパラメータ等を一次記憶する。これらはCPUバス等の内部バスにより構成されるホストバス907により相互に接続されている。
ホストバス907は、ブリッジ909を介して、PCI(Peripheral Component Interconnect/Interface)バスなどの外部バス911に接続されている。
入力装置915は、例えば、マウス、キーボード、タッチパネル、ボタン、スイッチ及びレバー等、ユーザが操作する操作手段である。また、入力装置915は、例えば、赤外線やその他の電波を利用したリモートコントロール手段(いわゆる、リモコン)であってもよいし、サーバ10及びユーザ端末20の操作に対応した携帯電話やPDA等の外部接続機器931であってもよい。さらに、入力装置915は、例えば、上記の操作手段を用いてユーザにより入力された情報に基づいて入力信号を生成し、CPU901に出力する入力制御回路などから構成されている。サーバ10及びユーザ端末20のユーザは、この入力装置915を操作することにより、サーバ10及びユーザ端末20に対して各種のデータを入力したり処理動作を指示したりすることができる。
出力装置917は、取得した情報をユーザに対して視覚的又は聴覚的に通知することが可能な装置で構成される。このような装置として、CRTディスプレイ装置、液晶ディスプレイ装置、プラズマディスプレイ装置、ELディスプレイ装置及びランプ等の表示装置や、スピーカ及びヘッドホン等の音声出力装置や、プリンタ装置等がある。出力装置917は、例えば、サーバ10及びユーザ端末20が行った各種処理により得られた結果を出力する。具体的には、表示装置は、サーバ10及びユーザ端末20が行った各種処理により得られた結果を、テキスト又はイメージで表示する。当該表示装置は、本実施形態においては、例えば端末表示部230に対応する。他方、音声出力装置は、再生された音声データや音響データ等からなるオーディオ信号をアナログ信号に変換して出力する。
ストレージ装置919は、サーバ10及びユーザ端末20の記憶部の一例として構成されたデータ格納用の装置である。本実施形態においては、例えば、ストレージ部120及び端末記憶部220に対応する。また、サーバ10が、ストレージ部120以外に、装置制御部130による様々な処理に用いられる各種の情報や、装置制御部130による様々な処理の結果を記憶するための装置記憶部を更に備える場合には、当該装置記憶部も、ストレージ装置919に対応する構成であってよい。ストレージ装置919は、例えば、HDD(Hard Disk Drive)等の磁気記憶部デバイス、半導体記憶デバイス、光記憶デバイス又は光磁気記憶デバイス等により構成される。このストレージ装置919は、CPU901が実行するプログラムや各種データ及び外部から取得した各種のデータを格納する。また、例えば、ストレージ装置919は、公開鍵認証方式に対応した公開鍵PK及び秘密鍵SKの鍵ペアに関する情報を記憶してもよい。更に、例えば、ストレージ装置919には、オンラインストレージサービスにおいてユーザに提供されるデータ領域が設けられてもよい。
通信装置921は、例えば、通信網927(ネットワーク927)に接続するための通信デバイス等で構成された通信インターフェースである。例えば、本実施形態においては、通信装置921は、装置通信部110及び端末通信部210に対応する。また、例えば、本実施形態においては、通信網927は、図3A−図3Dに示すネットワーク300に対応してもよい。つまり、本実施形態においては、サーバ10とユーザ端末20とは、通信装置921及び通信網927を介して、互いに通信可能に接続されてよい。通信装置921は、例えば、有線若しくは無線LAN(Local Area Network)、Bluetooth(登録商標)又はWUSB(Wireless USB)用の通信カード等である。また、通信装置921は、光通信用のルータ、ADSL(Asymmetric Digital Subscriber Line)用のルータ又は各種通信用のモデム等であってもよい。この通信装置921は、例えば、インターネットや他の通信機器との間で、例えばTCP/IP等の所定のプロトコルに則して信号等を送受信することができる。また、通信装置921に接続される通信網927は、有線又は無線によって接続されたネットワーク等により構成され、例えば、インターネット、家庭内LAN、赤外線通信、ラジオ波通信又は衛星通信等であってもよい。
また、上記<3.装置の機能及び構成>における説明では言及しなかったが、本実施形態に係るサーバ10及びユーザ端末20は、図9に示すドライブ923及び接続ポート925を更に備えてもよい。
ドライブ923は、記録媒体用リーダライタであり、サーバ10及びユーザ端末20に内蔵、あるいは外付けされる。ドライブ923は、装着されている磁気ディスク、光ディスク、光磁気ディスク又は半導体メモリ等のリムーバブル記録媒体929に記録されている情報を読み出して、例えばRAM905に出力する。また、ドライブ923は、装着されている磁気ディスク、光ディスク、光磁気ディスク又は半導体メモリ等のリムーバブル記録媒体929に記録を書き込むことも可能である。リムーバブル記録媒体929は、例えば、DVDメディア、HD−DVDメディア、Blu−rayメディア等である。また、リムーバブル記録媒体929は、コンパクトフラッシュ(登録商標)(CompactFlash:CF)、フラッシュメモリ又はSDメモリカード(Secure Digital memory card)等であってもよい。また、リムーバブル記録媒体929は、例えば、非接触型ICチップを搭載したICカード(Integrated Circuit card)又は電子機器等であってもよい。
接続ポート925は、外部接続機器931をサーバ10及びユーザ端末20に直接接続するためのポートである。接続ポート925の一例として、USB(Universal Serial Bus)ポート、IEEE1394ポート、SCSI(Small Computer System Interface)ポート等がある。接続ポート925の別の例として、RS−232Cポート、光オーディオ端子、HDMI(High−Definition Multimedia Interface)ポート等がある。この接続ポート925に外部接続機器931を接続することで、サーバ10及びユーザ端末20は、外部接続機器931から各種のデータを取得したり、外部接続機器931に各種のデータを提供したりする。例えば、サーバ10及びユーザ端末20は、本実施形態に係るアクセス認証処理に用いられる公開鍵認証方式に関する各種の情報を、外部接続機器931から取得してもよい。
以上、本開示の実施形態に係るサーバ10及びユーザ端末20の機能を実現可能なハードウェア構成の一例を示した。上記の各構成要素は、汎用的な部材を用いて構成されていてもよいし、各構成要素の機能に特化したハードウェアにより構成されていてもよい。従って、本実施形態を実施する時々の技術レベルに応じて、適宜、利用するハードウェア構成を変更することが可能である。
なお、上述のような本実施形態に係るサーバ10及びユーザ端末20の各機能を実現するためのコンピュータプログラムを作製し、パーソナルコンピュータ等に実装することが可能である。また、このようなコンピュータプログラムが格納された、コンピュータで読み取り可能な記録媒体も提供することができる。記録媒体は、例えば、磁気ディスク、光ディスク、光磁気ディスク、フラッシュメモリなどである。また、上記のコンピュータプログラムは、記録媒体を用いずに、例えばネットワークを介して配信してもよい。
<7.MQ認証方式について>
以上、本開示の一実施形態について詳細に説明した。ここで、本開示の一実施形態に係るアクセス認証処理においては、上述したように、共有システムにおけるアクセス対象のうちの任意の領域に対するアクセスに対して、公開鍵認証方式を用いた認証が行われる。ただし、その公開鍵認証方式の種類は特に限定されるものではなく、任意の公開鍵認証方式を適用することが可能である。ここで、公開鍵認証方式として、多次多変数連立方程式に対する求解問題の困難性を安全性の根拠とする公開鍵認証方式を用いることにより、本実施形態において、より格別な効果を得ることができる。
そこで、本項では、多次多変数連立方程式に対する求解問題の困難性を安全性の根拠とする公開鍵認証方式について説明し、更に、当該公開鍵認証方式を用いることにより生じる効果について詳しく説明する。ここで、以下の[7−1.具体的なアルゴリズムの構成例]及び[7−2.並列化アルゴリズムの構成例]では、当該公開鍵認証方式の具体的な一例として、多次多変数連立方程式が2次の多変数連立方程式である場合について説明する。なお、2次の多変数連立方程式に対する求解問題の困難性を安全性の根拠とする公開鍵認証方式のことを、MQ(Multivariate Quadratic)認証方式と呼ぶ場合がある。
また、同じく以下の[7−1.具体的なアルゴリズムの構成例]及び[7−2.並列化アルゴリズムの構成例]では、当該公開鍵認証方式の具体的な一例として、<1.公開鍵認証方式の概要>で説明したnパスの公開鍵認証方式においてnが3の場合(すなわち、3パスの公開鍵認証方式)について説明する。なお、3パスの公開鍵認証方式のことを「3パス方式」と呼ぶ場合がある。
[7−1.具体的なアルゴリズムの構成例]
まず、図10を参照しながら、3パス方式に係る具体的なアルゴリズムの構成例について説明する。図10は、3パス方式に係る具体的なアルゴリズムの構成について説明するための説明図である。ここでは、公開鍵PKの一部として2次多項式の組(f(x),…,f(x))を利用する場合について考える。ただし、2次多項式f(x)は、下記の式(3)のように表現されるものとする。また、ベクトル(x,…,x)をxと表記し、2次多項式の組(f(x),…,f(x))を多変数多項式F(x)と表記することにする。
Figure 2014081787
また、2次多項式の組(f(x),…,f(x))は、下記の式(4)のように表現することができる。なお、A,…,Aは、n×n行列である。更に、b,…,bはそれぞれn×1ベクトルである。
Figure 2014081787
この表現を用いると、多変数多項式Fは、下記の式(5)及び式(6)のように表現することができる。この表現が成り立つことは、下記の式(7)から容易に確認することができる。
Figure 2014081787
このようにF(x+y)をxに依存する第1の部分と、yに依存する第2の部分と、x及びyの両方に依存する第3の部分とに分けたとき、第3の部分に対応する項G(x,y)は、x及びyについて双線形になる。以下、項G(x,y)を双線形項と呼ぶ場合がある。この性質を利用すると、効率的なアルゴリズムを構築することが可能になる。
例えば、ベクトルt∈K、e∈Kを用いて、多変数多項式F(x+r)のマスクに利用する多変数多項式F(x)をF(x)=G(x,t)+eと表現する。この場合、多変数多項式F(x+r)とG(x)との和は、下記の式(8)のように表現される。ここで、t=r+t、e=F(r)+eとおけば、多変数多項式F(x)=F(x+r)+F(x)は、ベクトルt∈K、e∈Kにより表現することができる。そのため、F(x)=G(x,t)+eに設定すれば、K上のベクトル及びK上のベクトルを用いてF及びFを表現できるようになり、通信に必要なデータサイズの少ない効率的なアルゴリズムを実現することが可能になる。
Figure 2014081787
なお、F(或いはF)からrに関する情報が一切漏れることはない。例えば、e及びt(或いはe及びt)を与えられても、e及びt(或いはe及びt)を知らない限り、rの情報を一切知ることはできない。従って、零知識性が担保される。以下、上記の論理に基づいて構築された3パス方式のアルゴリズムについて説明する。ここで説明する3パス方式のアルゴリズムは、以下のような鍵生成アルゴリズムGen、証明者アルゴリズムP、検証者アルゴリズムVにより構成される。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本の多変数多項式f(x,…,x),…,f(x,…,x)、及びベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f(x,…,x),…,f(x,…,x),y)を公開鍵PKに設定し、sを秘密鍵に設定する。
(証明者アルゴリズムP、検証者アルゴリズムV)
以下、図10を参照しながら、対話プロトコルの中で証明者アルゴリズムPが実行する処理及び検証者アルゴリズムVが実行する処理について説明する。この対話プロトコルの中で、証明者は、秘密鍵sの情報を検証者に一切漏らさずに、「自身がy=F(s)を満たすsを知っていること」を検証者に示す。一方、検証者は、証明者がy=F(s)を満たすsを知っているか否かを検証する。なお、公開鍵PKは、検証者に公開されているものとする。また、秘密鍵sは、証明者により秘密に管理されているものとする。以下、図10に示したフローチャートに沿って説明を進める。
工程#1:
図10に示すように、まず、証明者アルゴリズムPは、ランダムにベクトルr,t∈K及びe∈Kを生成する。次いで、証明者アルゴリズムPは、r←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。さらに、証明者アルゴリズムPは、t←r−tを計算する。次いで、証明者アルゴリズムPは、e←F(r)−eを計算する。
工程#1(続き):
次いで、証明者アルゴリズムPは、c←H(r,G(t,r)+e)を計算する。次いで、証明者アルゴリズムPは、c←H(t,e)を計算する。次いで、証明者アルゴリズムPは、c←H(t,e)を計算する。工程#1で生成されたメッセージ(c,c,c)は、検証者アルゴリズムVに送られる。
工程#2:
メッセージ(c,c,c)を受け取った検証者アルゴリズムVは、3つの検証パターンのうち、どの検証パターンを利用するかを選択する。例えば、検証者アルゴリズムVは、検証パターンの種類を表す3つの数値{0,1,2}の中から1つの数値を選択し、選択した数値を要求Chに設定する。この要求Chは証明者アルゴリズムPに送られる。
工程#3:
要求Chを受け取った証明者アルゴリズムPは、受け取った要求Chに応じて検証者アルゴリズムVに送る返答Rspを生成する。Ch=0の場合、証明者アルゴリズムPは、返答Rsp=(r,t,e)を生成する。Ch=1の場合、証明者アルゴリズムPは、返答Rsp=(r,t,e)を生成する。Ch=2の場合、証明者アルゴリズムPは、返答Rsp=(r,t,e)を生成する。工程#3で生成された返答Rspは、検証者アルゴリズムVに送られる。
工程#4:
返答Rspを受け取った検証者アルゴリズムVは、受け取った返答Rspを利用して以下の検証処理を実行する。
Ch=0の場合、検証者アルゴリズムVは、c=H(r−t,F(r)−e)の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムVは、c=H(t,e)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
Ch=1の場合、検証者アルゴリズムVは、c=H(r,G(t,r)+e)の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムVは、c=H(t,e)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
Ch=2の場合、検証者アルゴリズムVは、c=H(r,y−F(r)−G(t,r)−e)の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムVは、c=H(t,e)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
以上、3パス方式に係る効率的なアルゴリズムの構成例について説明した。
[7−2.並列化アルゴリズムの構成例]
次に、図11を参照しながら、図10に示した3パス方式のアルゴリズムを並列化する方法について説明する。図11は、3パス方式に係る具体的なアルゴリズムの並列化について説明するための説明図である。なお、鍵生成アルゴリズムGenの構成については、上記[7−1.具体的なアルゴリズムの構成例]で説明した鍵生成アルゴリズムGenと同様であるため、ここでは詳細な説明を省略する。
さて、上記の対話プロトコルを適用すれば、偽証が成功する確率を2/3以下に抑制することができる。従って、この対話プロトコルを2回実行すれば、偽証が成功する確率を(2/3)以下に抑制することができる。更に、この対話プロトコルをN回実行すると、偽証が成功する確率は(2/3)となり、Nを十分に大きい数(例えば、N=140)にすれば、偽証が成功する確率は無視できる程度に小さくなる。
対話プロトコルを複数回実行する方法としては、例えば、メッセージ、要求、返答のやり取りを逐次的に複数回繰り返す直列的な方法と、1回分のやり取りで複数回分のメッセージ、要求、返答のやり取りを行う並列的な方法とが考えられる。更に、直列的な方法と並列的な方法とを組み合わせたハイブリッド型の方法も考えられる。ここでは、図11を参照しながら、3パス方式に係る上記の対話プロトコルを並列的に実行するアルゴリズム(以下、並列化アルゴリズム)について説明する。
工程#1:
図11に示すように、まず、証明者アルゴリズムPは、i=1〜Nについて以下の処理(1)〜処理(6)を実行する。
処理(1):証明者アルゴリズムPは、ランダムにベクトルr0i,t0i∈K及びe0i∈Kを生成する。
処理(2):証明者アルゴリズムPは、r1i←s−r0iを計算する。この計算は、秘密鍵sをベクトルr0iによりマスクする操作に相当する。さらに、証明者アルゴリズムPは、t1i←r0i+t0iを計算する。
処理(3):証明者アルゴリズムPは、e1i←F(r0i)−e0iを計算する。
処理(4):証明者アルゴリズムPは、c0i←H(r1i,G(r1i,t0i)+e0i)を計算する。
処理(5):証明者アルゴリズムPは、c1i←H(t0i,e0i)を計算する。
処理(6):証明者アルゴリズムPは、c2i←H(t1i,e1i)を計算する。
工程#1(続き)
i=1〜Nについて上記の処理(1)〜処理(6)を実行した後、証明者アルゴリズムPは、Cmt←H(c01,c11,c21,…,c0N,c1N,c2N)を計算する。工程#1で生成されたハッシュ値Cmtは、検証者アルゴリズムVに送られる。このように、メッセージ(c01,c11,c21,…,c0N,c1N,c2N)をハッシュ値に変換してから検証者アルゴリズムVに送ることで、通信量を削減することが可能になる。
工程#2:
ハッシュ値Cmtを受け取った検証者アルゴリズムVは、i=1〜Nのそれぞれについて、3つの検証パターンのうち、どの検証パターンを利用するかを選択する。例えば、検証者アルゴリズムVは、i=1〜Nのそれぞれについて、検証パターンの種類を表す3つの数値{0,1,2}の中から1つの数値を選択し、選択した数値を要求Chに設定する。要求Ch,…,Chは、証明者アルゴリズムPに送られる。
工程#3:
要求Ch,…,Chを受け取った証明者アルゴリズムPは、受け取った要求Ch,…,Chのそれぞれ応じて検証者アルゴリズムVに送る返答Rsp,…,Rspを生成する。Ch=0の場合、証明者アルゴリズムPは、Rsp=(r0i,t1i,e1i,c0i)を生成する。Ch=1の場合、証明者アルゴリズムPは、Rsp=(r1i,t0i,e0i,c2i)を生成する。Ch=2の場合、証明者アルゴリズムPは、Rsp=(r1i,t1i,e1i,c1i)を生成する。
工程#3で生成された返答Rsp,…,Rspは、検証者アルゴリズムVに送られる。
工程#4:
返答Rsp,…,Rspを受け取った検証者アルゴリズムVは、受け取った返答Rsp,…,Rspを利用して以下の処理(1)〜処理(3)をi=1〜Nについて実行する。但し、検証者アルゴリズムVは、Ch=0の場合に処理(1)を実行し、Ch=1の場合に処理(2)を実行し、Ch=2の場合に処理(3)を実行する。
処理(1):Ch=0の場合、検証者アルゴリズムVは、Rspから(r0i,t1i,e1i,c0i)を取り出す。次いで、検証者アルゴリズムVは、c1i=H(r0i−t1i,F(r0i)−e1i)を計算する。さらに、検証者アルゴリズムVは、c2i=H(t1i,e1i)を計算する。そして、検証者アルゴリズムVは、(c0i,c1i,c2i)を保持する。
処理(2):Ch=1の場合、検証者アルゴリズムVは、Rspから(r1i,t0i,e0i,c2i)を取り出す。次いで、検証者アルゴリズムVは、c0i=H(r1i,G(t0i,r1i)+e0i)を計算する。さらに、検証者アルゴリズムVは、c1i=H(t0i,e0i)を計算する。そして、検証者アルゴリズムVは、(c0i,c1i,c2i)を保持する。
処理(3):Ch=2の場合、検証者アルゴリズムVは、Rspから(r1i,t1i,e1i,c1i)を取り出す。次いで、検証者アルゴリズムVは、c0i=H(r1i,y−F(r1i)−G(t1i,r1i)−e1i)を計算する。さらに、検証者アルゴリズムVは、c2i=H(t1i,e1i)を計算する。そして、検証者アルゴリズムVは、(c0i,c1i,c2i)を保持する。
処理(1)〜処理(3)をi=1〜Nについて実行した後、検証者アルゴリズムVは、Cmt=H(c01,c11,c21,…,c0N,c1N,c2N)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、この検証が成功した場合に認証成功を示す値1を出力し、検証に失敗した場合に認証失敗を示す値0を出力する。
以上、3パス方式に係る効率的な並列化アルゴリズムの構成例について説明した。
なお、以上説明した、多次多変数連立方程式に対する求解問題の困難性を安全性の根拠とする公開鍵認証方式のより詳細な説明については、例えば、特開2012−98690号公報等を参照することができる。
以上図10及び図11を参照して説明したように、MQ認証方式においては、公開鍵として多変数多項式が用いられる。公開鍵として多変数多項式が用いられることにより、例えば現在広く用いられているRSA方式やECC方式と比べて、数学的な求解性の困難性を保ちつつ、公開鍵のサイズを小さくすることが可能となる。例えば、一般的なRSA方式、ECC方式における公開鍵のサイズが、それぞれ、1024bit、160bit程度であるのに対して、MQ認証方式では、公開鍵のサイズを、最小で80bitで作成することができる。
例えば、公開鍵のサイズが80bitである場合、当該公開鍵を表す文字列は、平仮名であれば15文字程度で構成することができる。従って、例えば、あるユーザが、公開鍵を表す文字列が表記されている様を目にした場合、当該文字列が自身のものであるかどうかを、直感的に判断しやすくなる。一方、従来のRSA方式やECC方式では、公開鍵のサイズが大きくなる分、その公開鍵を表す文字列の文字数も多く(長さも長く)なる。従って、表記されている文字列が、自身のものであるかどうかを直感的に判断することは難しくなる。つまり、公開鍵認証方式としてMQ認証方式を用いることで、公開鍵のサイズを小さくすることができ、公開鍵を表す文字列に対するユーザの視認性を高くすることができる。
従って、例えば、上記[3−1.情報処理装置(サーバ)]で説明したように、アクセス領域がストレージのデータ領域のうちの任意の領域に設けられたフォルダであり、当該フォルダに公開鍵が設定される場合に、公開鍵認証方式としてMQ認証方式を用いることで、更なる効果を得ることができる。例えば、上記[3−1.情報処理装置(サーバ)]で説明したように、フォルダに公開鍵を設定する際に、フォルダ名に公開鍵に対応する文字列を含ませることができる。公開鍵認証方式としてMQ認証方式を用いることで、その公開鍵に対応する文字列の長さをより短くすることができるため、フォルダ名が煩雑にならない。また、公開鍵に対応する文字列の長さをより短くすることができるため、フォルダ名に対するユーザの視認性を高くすることができ、例えばユーザが、画面上に表示されているフォルダの中から、自身が有する秘密鍵と対になる公開鍵が設定されているフォルダをより容易に発見することができるようになる。従って、公開鍵認証方式としてMQ認証方式を用いることで、共有システムにおけるユーザの利便性を向上させることができる。
<8.まとめ>
以上説明したように、本開示の一実施形態によれば、以下の効果を得ることができる。
本実施形態では、共有システムにおけるアクセス認証処理において、公開鍵認証方式に対応した公開鍵がアクセス対象のうちの任意の領域であるアクセス領域に設定され、当該公開鍵と対になる秘密鍵に対して、当該アクセス領域へのアクセスが認証される。従って、共有システムにおける安全性をより高くすることが可能となる。
具体的には、本実施形態に係るアクセス認証処理は、例えば、オンラインストレージサービスを用いたデータ共有システムに対して好適に適用され得る。例えば、共有システムが、オンラインストレージサービスを用いたデータ共有システムである場合、アクセス対象は、当該ストレージのデータ領域のうちのあるユーザに割り当てられたデータ領域であってよく、アクセス領域は、そのあるユーザに割り当てられたデータ領域のうちの更に任意のデータ領域(共有領域)であってよい。共有領域に公開鍵認証方式に対応した公開鍵が設定され、当該公開鍵と対になる秘密鍵に対して、当該共有領域へのアクセスが認証されることにより、共有領域へのアクセスのセキュリティレベルを、より向上させることができる。また、共有領域にアクセス可能なユーザを、より確実に制限することが可能となる。
また、本実施形態において適用される共有システムは、オンラインストレージサービスを用いたデータ共有システムに限定されない。例えば、アクセス対象は、物理的に施錠可能な筐体であり、アクセス認証処理によって、当該筐体の開錠が認証されてもよい。具体的には、例えば、アクセス対象は、施錠可能な複数のロッカーの集合体であり、アクセス領域はそのうちのいくつかのロッカーであってよい。公開鍵認証方式を用いたアクセス認証処理によってロッカーの開錠が行われることにより、より安全に荷物を保管することが可能になる。また、物理的な(有形な)鍵が用いられないため、物理的な鍵を用いる既存のロッカーにおいて起こり得る、鍵の紛失等のトラブルを回避することができる。
更に、本実施形態において用いられる公開鍵認証方式の種類は、特に限定されるものではない。ただし、公開鍵認証方式として、多次多変数連立方程式に対する求解問題の困難性を安全性の根拠とする公開鍵認証方式、特にMQ認証方式を用いることにより、本実施形態において、より格別な効果を得ることができる。
具体的には、公開鍵認証方式としてMQ認証方式を用いることで、公開鍵のサイズを小さくすることができ、公開鍵を表す文字列に対するユーザの視認性を高くすることができる。例えば、アクセス領域がストレージのデータ領域のうちの任意の領域に設けられたフォルダであり、当該フォルダに公開鍵が設定するために、フォルダ名に公開鍵に対応する文字列を含ませる場合について考える。その場合、公開鍵認証方式としてMQ認証方式を用いることで、公開鍵のサイズを小さくすることができ、その公開鍵に対応する文字列の長さをより短くすることができるため、フォルダ名が煩雑にならず、また、フォルダ名に対するユーザの視認性を高くすることができる。従って、公開鍵認証方式としてMQ認証方式を用いることで、共有システムにおけるユーザの利便性を向上させることができる。
以上、添付図面を参照しながら本開示の好適な実施形態について詳細に説明したが、本開示の技術的範囲はかかる例に限定されない。本開示の技術分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても、当然に本開示の技術的範囲に属するものと了解される。
なお、以下のような構成も本開示の技術的範囲に属する。
(1)公開鍵認証方式に対応した公開鍵を、アクセス対象のうちの任意の領域であるアクセス領域に設定する公開鍵設定部と、前記公開鍵と対になる秘密鍵に対して、前記アクセス領域へのアクセスを認証する装置認証処理部と、を備える、情報処理装置。
(2)前記公開鍵設定部は、複数の前記アクセス領域のそれぞれに対して、互いに異なる複数の前記公開鍵を設定し、前記装置認証処理部は、互いに異なる複数の前記公開鍵とそれぞれ対になる、互いに異なる複数の秘密鍵に対して、前記アクセス領域へのアクセスを認証する、前記(1)に記載の情報処理装置。
(3)前記アクセス領域は、記憶媒体におけるデータ領域の少なくとも一部領域である、前記(1)又は(2)に記載の情報処理装置。
(4)前記アクセス領域は、前記データ領域の一部領域に作成されたフォルダであり、前記公開鍵設定部は、前記公開鍵と前記フォルダとを関連付けることにより、前記公開鍵を前記フォルダに設定する、前記(3)に記載の情報処理装置。
(5)前記公開鍵設定部は、前記公開鍵に対応する文字列を前記フォルダのフォルダ名に含めることにより、前記公開鍵を前記フォルダに設定する、前記(4)に記載の情報処理装置。
(6)前記公開鍵設定部は、前記公開鍵に関する情報を、前記フォルダ内の設定ファイルに含めることにより、前記公開鍵を前記フォルダに設定する、前記(4)に記載の情報処理装置。
(7)前記公開鍵設定部は、前記公開鍵に関する情報を、前記フォルダの属性情報に含めることにより、前記公開鍵を前記フォルダに設定する、前記(4)に記載の情報処理装置。
(8)前記公開鍵設定部は、前記フォルダに対するアクセス権限に含まれる各権限に対して前記公開鍵を個別に設定する、前記(4)に記載の情報処理装置。
(9)前記アクセス権限は、前記フォルダに対する書き込み権限及び前記フォルダに対する読み込み権限の少なくともいずれかを含む、前記(8)に記載の情報処理装置。
(10)前記公開鍵認証方式は、前記公開鍵が多次多変数連立方程式に対応し、前記秘密鍵が前記多次多変数連立方程式の解に対応する、MQ認証方式である、前記(1)〜(9)のいずれか1項に記載の情報処理装置。
(11)前記アクセス対象は、物理的に施錠可能な筐体であり、前記装置認証処理部は、前記アクセス領域へのアクセスを認証することで、前記筐体の開錠を認証する、前記(1)又は(2)に記載の情報処理装置。
(12)公開鍵認証方式に対応した秘密鍵と対になる公開鍵が設定された、外部装置におけるアクセス対象のうちの任意の領域であるアクセス領域へのアクセスの認証を受ける端末認証処理部、を備える、情報処理端末。
(13)前記アクセス領域は、前記外部装置における記憶媒体のデータ領域の少なくとも一部領域に設けられたフォルダであり、前記フォルダのうち、前記端末認証処理部による認証処理に対応した前記秘密鍵と対になる前記公開鍵が設定された前記フォルダのみを表示画面に表示させる表示制御部、を更に備える、前記(12)に記載の情報処理装置。
(14)公開鍵認証方式に対応した公開鍵を、アクセス対象のうちの任意の領域であるアクセス領域に設定するステップと、前記公開鍵と対になる秘密鍵に対して、前記アクセス領域へのアクセスを認証するステップと、を含む、アクセス認証方法。
(15)コンピュータに、公開鍵認証方式に対応した公開鍵を、アクセス対象のうちの任意の領域であるアクセス領域に設定する機能と、前記公開鍵と対になる秘密鍵に対して、前記アクセス領域へのアクセスを認証する機能と、を実現させるためのプログラム。
10 サーバ(情報処理装置)
20 ユーザ端末(情報処理端末)
110 装置通信部
120 ストレージ部
130 装置制御部
131 公開鍵設定部
132 装置認証処理部
210 端末通信部
220 端末記憶部
230 端末表示部
240 端末制御部
241 鍵生成部
242 装置認証処理部
243 表示制御部
600 ロッカー

Claims (15)

  1. 公開鍵認証方式に対応した公開鍵を、アクセス対象のうちの任意の領域であるアクセス領域に設定する公開鍵設定部と、
    前記公開鍵と対になる秘密鍵に対して、前記アクセス領域へのアクセスを認証する装置認証処理部と、
    を備える、情報処理装置。
  2. 前記公開鍵設定部は、複数の前記アクセス領域のそれぞれに対して、互いに異なる複数の前記公開鍵を設定し、
    前記装置認証処理部は、互いに異なる複数の前記公開鍵とそれぞれ対になる、互いに異なる複数の秘密鍵に対して、前記アクセス領域へのアクセスを認証する、
    請求項1に記載の情報処理装置。
  3. 前記アクセス領域は、記憶媒体におけるデータ領域の少なくとも一部領域である、
    請求項1に記載の情報処理装置。
  4. 前記アクセス領域は、前記データ領域の一部領域に作成されたフォルダであり、
    前記公開鍵設定部は、前記公開鍵と前記フォルダとを関連付けることにより、前記公開鍵を前記フォルダに設定する、
    請求項3に記載の情報処理装置。
  5. 前記公開鍵設定部は、前記公開鍵に対応する文字列を前記フォルダのフォルダ名に含めることにより、前記公開鍵を前記フォルダに設定する、
    請求項4に記載の情報処理装置。
  6. 前記公開鍵設定部は、前記公開鍵に関する情報を、前記フォルダ内の設定ファイルに含めることにより、前記公開鍵を前記フォルダに設定する、
    請求項4に記載の情報処理装置。
  7. 前記公開鍵設定部は、前記公開鍵に関する情報を、前記フォルダの属性情報に含めることにより、前記公開鍵を前記フォルダに設定する、
    請求項4に記載の情報処理装置。
  8. 前記公開鍵設定部は、前記フォルダに対するアクセス権限に含まれる各権限に対して前記公開鍵を個別に設定する、
    請求項4に記載の情報処理装置。
  9. 前記アクセス権限は、前記フォルダに対する書き込み権限及び前記フォルダに対する読み込み権限の少なくともいずれかを含む、
    請求項8に記載の情報処理装置。
  10. 前記公開鍵認証方式は、前記公開鍵が多次多変数連立方程式に対応し、前記秘密鍵が前記多次多変数連立方程式の解に対応する、MQ認証方式である、
    請求項1に記載の情報処理装置。
  11. 前記アクセス対象は、物理的に施錠可能な筐体であり、
    前記装置認証処理部は、前記アクセス領域へのアクセスを認証することで、前記筐体の開錠を認証する、
    請求項1に記載の情報処理装置。
  12. 公開鍵認証方式に対応した秘密鍵と対になる公開鍵が設定された、外部装置におけるアクセス対象のうちの任意の領域であるアクセス領域へのアクセスの認証を受ける端末認証処理部、
    を備える、情報処理端末。
  13. 前記アクセス領域は、前記外部装置における記憶媒体のデータ領域の少なくとも一部領域に設けられたフォルダであり、
    前記フォルダのうち、前記端末認証処理部による認証処理に対応した前記秘密鍵と対になる前記公開鍵が設定された前記フォルダのみを表示画面に表示させる表示制御部、
    を更に備える、請求項12に記載の情報処理端末。
  14. 公開鍵認証方式に対応した公開鍵を、アクセス対象のうちの任意の領域であるアクセス領域に設定するステップと、
    前記公開鍵と対になる秘密鍵に対して、前記アクセス領域へのアクセスを認証するステップと、
    を含む、アクセス認証方法。
  15. コンピュータに、
    公開鍵認証方式に対応した公開鍵を、アクセス対象のうちの任意の領域であるアクセス領域に設定する機能と、
    前記公開鍵と対になる秘密鍵に対して、前記アクセス領域へのアクセスを認証する機能と、
    を実現させるためのプログラム。
JP2012229218A 2012-10-16 2012-10-16 情報処理装置、情報処理端末、アクセス認証方法及びプログラム Pending JP2014081787A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2012229218A JP2014081787A (ja) 2012-10-16 2012-10-16 情報処理装置、情報処理端末、アクセス認証方法及びプログラム
US14/028,985 US9769135B2 (en) 2012-10-16 2013-09-17 Information processing device, information processing client, access authentication method, and program
CN201310465677.8A CN103731408A (zh) 2012-10-16 2013-10-09 信息处理装置、信息处理终端、访问验证方法和程序

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012229218A JP2014081787A (ja) 2012-10-16 2012-10-16 情報処理装置、情報処理端末、アクセス認証方法及びプログラム

Publications (1)

Publication Number Publication Date
JP2014081787A true JP2014081787A (ja) 2014-05-08

Family

ID=50455337

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012229218A Pending JP2014081787A (ja) 2012-10-16 2012-10-16 情報処理装置、情報処理端末、アクセス認証方法及びプログラム

Country Status (3)

Country Link
US (1) US9769135B2 (ja)
JP (1) JP2014081787A (ja)
CN (1) CN103731408A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019204279A (ja) * 2018-05-23 2019-11-28 富士通株式会社 情報処理装置およびプログラム

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014090372A (ja) * 2012-10-31 2014-05-15 Sony Corp 情報処理装置、情報処理システム、情報処理方法及びコンピュータプログラム
MY188675A (en) * 2012-12-07 2021-12-22 Yota Devices Ipr Ltd A mobile device with a cut out region in a display surface with reformatting of the display data
CN105099838A (zh) * 2015-06-02 2015-11-25 深圳市美贝壳科技有限公司 家庭数据中转系统及方法
CN107302431A (zh) * 2016-04-14 2017-10-27 深圳市中兴微电子技术有限公司 同时实现rsa/ecc加解密算法的装置
CN107886006B (zh) * 2017-11-28 2020-06-02 北京博晨技术有限公司 数据操作方法、装置及电子设备
CN108989418A (zh) * 2018-07-11 2018-12-11 国云科技股份有限公司 一种混合云对象存储通用认证的资源额度方法
US20220094531A1 (en) * 2020-09-24 2022-03-24 AO Kaspersky Lab System and method of granting a user data processor access to a container of user data

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005209181A (ja) 2003-12-25 2005-08-04 Sorun Corp ファイル管理システム及び管理方法
JPWO2006040806A1 (ja) * 2004-10-08 2008-08-07 ソフトバンクBb株式会社 暗号鍵配信システム
US7660770B2 (en) * 2004-10-14 2010-02-09 International Business Machines Corporation System and method for providing a secure contact management system
US7363492B2 (en) * 2005-02-25 2008-04-22 Motorola, Inc. Method for zero-knowledge authentication of a prover by a verifier providing a user-selectable confidence level and associated application devices
JP4770423B2 (ja) * 2005-11-22 2011-09-14 コニカミノルタホールディングス株式会社 ディジタル証明書に関する情報の管理方法、通信相手の認証方法、情報処理装置、mfp、およびコンピュータプログラム
US9002018B2 (en) * 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US9313313B2 (en) * 2008-07-22 2016-04-12 Nissaf Ketari Proximity access and/or alarm apparatus
US20100037062A1 (en) * 2008-08-11 2010-02-11 Mark Carney Signed digital documents
US8689352B2 (en) * 2008-12-18 2014-04-01 Sap Ag Distributed access control for document centric collaborations
JP5102798B2 (ja) 2009-04-08 2012-12-19 日本電信電話株式会社 ファイル共有システム、共有ファイルサーバ装置、ファイル共有方法、共有ファイルサーバ装置のアクセス制御方法、及びこれらのプログラム
GB2470209B (en) * 2009-05-13 2011-04-13 Skype Ltd Processing communication events in a communications system
EP2386977A1 (fr) * 2010-05-11 2011-11-16 Gemalto SA Système permettant l'affichage d'un fichier informatique privé sur un écran d'un terminal de télécommunications et procédé correspondant
US8544070B2 (en) * 2011-05-16 2013-09-24 Novell, Inc. Techniques for non repudiation of storage in cloud or shared storage environments

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019204279A (ja) * 2018-05-23 2019-11-28 富士通株式会社 情報処理装置およびプログラム
JP7004907B2 (ja) 2018-05-23 2022-01-21 富士通株式会社 情報処理装置およびプログラム

Also Published As

Publication number Publication date
CN103731408A (zh) 2014-04-16
US9769135B2 (en) 2017-09-19
US20140108798A1 (en) 2014-04-17

Similar Documents

Publication Publication Date Title
US10601789B2 (en) Session negotiations
JP2014081787A (ja) 情報処理装置、情報処理端末、アクセス認証方法及びプログラム
US10523441B2 (en) Authentication of access request of a device and protecting confidential information
JP5790319B2 (ja) 署名検証装置、署名検証方法、プログラム、及び記録媒体
US9300639B1 (en) Device coordination
JP2014068140A (ja) 情報処理装置、情報処理方法及びプログラム
CN104361267A (zh) 基于非对称加密算法的软件授权与保护装置及方法
JPWO2017195886A1 (ja) 認証システム、認証方法およびプログラム
CN107359998A (zh) 一种便携式智能口令管理体制的建立与操作方法
JP2013066151A (ja) 情報処理装置、情報処理方法、及びプログラム
JP2015033038A (ja) 情報処理装置、情報処理方法及びコンピュータプログラム
JP2014052588A (ja) 情報処理装置、情報処理方法及びコンピュータプログラム
WO2015019821A1 (ja) 情報処理装置、情報処理方法及びコンピュータプログラム
JP2014090372A (ja) 情報処理装置、情報処理システム、情報処理方法及びコンピュータプログラム
Itoo et al. CKMIB: Construction of key agreement protocol for cloud medical infrastructure using blockchain
Shahraki et al. Attribute-based data access control for multi-authority system
JP6533542B2 (ja) 秘密鍵複製システム、端末および秘密鍵複製方法
JP7250960B2 (ja) ユーザのバイオメトリクスを利用したユーザ認証および署名装置、並びにその方法
CN115277010A (zh) 身份认证方法、系统、计算机设备和存储介质
US20120066497A1 (en) Method and device for enabling portable user reputation
JP2014050064A (ja) 情報処理装置、情報処理システム、情報処理方法、プログラム及びクライアント端末
JPWO2013129084A1 (ja) 情報処理装置、情報処理方法、及びプログラム
JP2013047726A (ja) 情報処理装置、署名生成装置、署名検証装置、情報処理方法、署名生成方法、及び署名検証方法
Ren et al. BIA: A blockchain-based identity authorization mechanism
WO2024014017A1 (ja) メッセージ提示システム、提示用装置、及びメッセージ提示方法