JP4461034B2 - 利用権発行方法、利用権発行装置、および利用権システム - Google Patents

利用権発行方法、利用権発行装置、および利用権システム Download PDF

Info

Publication number
JP4461034B2
JP4461034B2 JP2005023740A JP2005023740A JP4461034B2 JP 4461034 B2 JP4461034 B2 JP 4461034B2 JP 2005023740 A JP2005023740 A JP 2005023740A JP 2005023740 A JP2005023740 A JP 2005023740A JP 4461034 B2 JP4461034 B2 JP 4461034B2
Authority
JP
Japan
Prior art keywords
information
protection
service
usage right
condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005023740A
Other languages
English (en)
Other versions
JP2006209650A (ja
Inventor
哲志 八木
欣子 末田
正巳 上野
透 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005023740A priority Critical patent/JP4461034B2/ja
Publication of JP2006209650A publication Critical patent/JP2006209650A/ja
Application granted granted Critical
Publication of JP4461034B2 publication Critical patent/JP4461034B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、ネットワークを介したサービス提供システムに関し、特に利用権発行方法および利用権発行装置に関する。
顧客ごとにICカードを発行するシステムが特許文献1で提案されている。
一方、柔軟で拡張性のあるアクセス制御を実現するためのポリシー記述言語XACML(eXtensible Access Control Markup Language)が開発され、実用化されている。
XACMLは、XML(eXtensible Markup Language)プロトコルを拡張し、SAML(Security Assertion Markup Language)のフレームワーク上で特にポリシー決定点に対する認可決定を判断させるためのポリシーおよびルール規定の仕様を定めるとともに、ポリシー決定点に対する認可要求やその応答を定めたものである。
特開2004−21940号公報 http://www.oasis−open.org/committees/tc_home.php?wg_abbrev=xacml
XACMLを含むXMLは、ICカード等の携帯装置内での処理には適しておらず、データ量も大きいという欠点がある。
本発明の目的は、プライバシー情報を保護しながらもICカード等の携帯装置内での処理に適し、データ量も小さい、利用発行方法および利用権発行装置を提供することにある。
上記目的を達成するために、本発明の利用権発行方法は、
所定の言語で記述された、サービスの利用条件および/またはサービスを利用する利用者および/またはサービスを提供する資源に関する属性情報を分割するステップと、
分割された前記利用条件および/または属性情報を、該利用条件および/または属性情報を携帯装置上で処理するために処理効率および/またはデータサイズの観点から最適化するステップと、
最適化された前記利用条件および/または属性情報を、携帯装置をはじめとする各リソースの固有の書式に合わせて書式変換するステップと
を有する。
本発明によれば、所定の言語、例えばXML、特にXACMLで記述された、利用条件および/または属性情報を分割し、携帯装置上で処理する上で処理効率やデータサイズの点で最適化することにより、利用条件および/または属性情報をICカード等の携帯装置内で効率的に処理できる。また、所定の言語、例えばXMLで記述された利用条件を、プライバシーを含む情報と、プライバシー情報を含まない情報とに分割することにより、利用権発行装置の利用者はプライバシー情報を意識することなく、プライバシー情報を外に出さずにすむような形に情報を分割することができる。
本発明は、XACMLを含むXML以外の言語の場合にも適用できる。
次に、本発明の実施の形態について図面を参照して説明する。
図1は本発明の一実施形態の利用権発行装置を含むシステムの構成を示す図、図2は利用権発行装置1で行われる処理の流れを示す図である。
利用権発行装置1は利用条件/は属性情報入力部11と利用条件/属性情報記述者チェック部12と利用条件/属性情報チェック部13と利用条件/属性情報分割部14と利用条件/属性情報記述変換部15とリソース群用記憶部16と有している。
利用条件/属性情報入力部11は、利用条件および/または属性情報、利用条件および/または属性情報記述者属性情報を含む情報を入力する(ステップ101)。利用条件とは、サービスを利用するための条件であり、利用者(主体)の年齢による利用制限のような、主体の属性情報に関する条件である主体条件、資源の性能(ディスプレイであれば画面のサイズ等)による利用制限のような、資源の属性情報に関する条件である資源条件、時間帯による利用制限のような、環境の属性情報に関する条件である環境条件の総称である。属性情報とは、利用者(主体)に関する属性情報である利用者属性情報(主体属性情報)、資源に関する属性情報である資源属性情報、環境に関する属性情報である環境属性情報の総称である。利用者属性情報(主体属性情報)は、サービスを利用する利用者に関する属性情報であり、個々のサービスに依存しない利用者基本属性情報と、個々のサービスに依存する利用者サービス属性情報に分けられる。利用者基本属性情報は、利用者ID、氏名、生年月日、性別、電話番号等が相当する。利用者サービス属性情報は、依存するサービスを識別するIDやその他のサービスにおける利用者の会員ID等が相当する。また、利用者サービス属性情報は、前記以外にも、例えばそのサービスを利用者本人だけでなく、その家族等にも利用させたいときに、その家族のIDのリストを定義したり等、サービス提供者が独自に情報を定義できる、自由領域と呼ばれ領域もある。資源属性情報は、サービスを提供する資源に関する属性情報であり、個々のサービスに依存しない資源基本属性情報と、個々のサービスに依存する資源サービス属性情報に分けられる。資源基本属性情報は資源ID等が相当する。資源サービス属性情報は、依存するサービスを識別するID等が相当する。また、資源サービス属性情報は、前記以外にも、例えばその資源が画面を表示する装置であれば、その画面サイズ、その資源がインターネット接続を提供する装置であれば、その接続の帯域等、サービス提供者が独自に情報を定義できる、自由領域と呼ばれる領域もある。利用条件および/または属性情報記述者情報は本利用権発行装置1を利用する利用者の属性情報で、具体的には、氏名、記述可能レベルまたは記述可能利用条件および/または属性情報ファイル名である。なお、これらの情報は、XMLで記述したファイルの形で入力しても、あるいは利用条件および/または属性情報を入力項目としたGUI(Graphical User Interface)により画面から直接入力するようにしてもよい。
利用条件/属性情報記述者チェック部12は、利用条件および/または属性情報を入力する記述者の入力(変更・更新)可能な利用条件および/または属性情報をチェックする(ステップ102)。一人ずつ利用条件および/または属性情報における入力可能な項目を設定し、それに基きチェックする方法と、入力可能な利用条件および/または属性情報のレベルを設定し、それに基きチェックする方法とが用意されている。例えば、入力可能項目の数に応じてハイレベル、ミドルレベル、ローレベルと分類して設定することが考えられる。また、入力可能な利用条件および/または属性情報以外の項目を入力している場合にはエラーを表示し、変更、更新をしない。記述者と利用条件および/または属性情報における入力可能な項目の設定ファイルとをつなぐための認証に関しては、従来の方法であるユーザIDとパスワードを用いてもよい。
利用条件/属性情報チェック部13は、利用条件および/または属性情報ごとに用意されたフラグを、新規、変更、削除に応じて設定(例えば、更新ありは1、更新なしは0など)する(ステップ103)。
利用条件/属性情報分割部14は,XACMLで記述された利用条件(条件式)または属性情報を、所定の2つ以上の利用条件または属性情報に分割する(ステップ104)。
利用条件/属性情報記述変換部15は分割されたこれら条件式または属性情報を、ICカードなどの携帯装置で効率的に処理できる独自の形式(URAL(Ubiquitous Resource Aggregation Protocol)と呼ぶ)に変換する(ステップ105)。このURALは、[引数n][引数n−1]・・・[引数1][関数]のような構造になっており、各引数は別の関数であることもあり、変数の場合もあり、定数の場合もある。また、それぞれの関数、変数、定数値はいずれも「種類(T)」「長さ(L)」「値(V)」というデータを持っている。種類に関しては、例えば「01」が関数(演算子という名称を使う場合もある)、「02」が変数(サービスに依存しない、利用者の名前などを示す変数)、「03」がサービス毎に定義されるフィールド変数(サービス変数という名称を使う場合もある)、「04」が定数を示す。
リソース群用記憶部16はURALに変換された条件式または属性情報をさらにリソース(資源)群用の書式に変換し、利用権として携帯装置2、ディスプレイ3などのリソースに記憶する(ステップ106)。
なお、本発明では、利用条件にXACMLのPolicy文書を、属性情報記述にXACMLのRequest context文書を用いている。
図3は、XACMLで記述され、プライバシー情報を含む利用条件式(ポリシー)を、図4に示すように、プライバシー情報を含む条件式と、プライバシー情報を含まない条件式に分割し、形式を変換してリソース群に記憶するまでの処理の概要図である。XACMLで記述され、プライバシー情報を含む利用条件式(ポリシー)は、利用条件および/または属性情報分割部14により、プライバシー情報を含む条件式と、プライバシー情報を含まない条件式に分割される。すなわち、Subject要素(主体条件)、Resource要素(資源条件)、Environment要素(環境条件)は、Condition要素へ移動(既にCondition要素が存在した場合は併合)し、その後Condition要素はプライバシー情報を含む条件式と、プライバシー情報を含まない情報のみとに分割される。なお、プライバシー情報を含む条件式と、プライバシー情報を含まない条件式(プライバシー情報を含まない情報のみを含む条件式)を逆変換、すなわち結合処理してプライバシー情報を含む元の条件式を得ることができる。プライバシー情報を含む条件式(プライバシー条件式)と、プライバシー情報を含まない条件式(非プライバシー条件式)は次に利用条件および/または属性情報記述変換部15により、サービス提供事業者が独自のデータを定義したい場合に自由に使える領域である自由定義ファイルを場合により用いて、独自の記述形式(URAL)に変換される。最後に、独自の記述形式に変換されたプライバシー条件式と非プライバシー条件式はリソース群用記憶部16により、リソース固有書式定義ファイルを用いて、各リソースに情報を登録するための固有の書式に変換された後、ICカード2、ディスプレイ3などの各リソースに記憶される。ここで、リソース固有書式定義ファイルとは例えばリソースがICカードの場合、ICカードとの通信に使うためのAPDU(Application Protocol Data Unit)の書式が記述されたファイルである。
図5は、XACMLのPolicy文書で記述された利用条件を独自の記述形式(URAL)に変換する処理の詳細を示すフローチャートである。まず、XACMLのPolicy文書で記述された利用条件のTarget要素(XACMLで利用条件の対象となる主体、資源、環境を指定するXMLの要素名)にSubject(主体)要素、Resource(資源)要素、Environment(環境)要素があったら、これらをany−of関数を用いてCondition要素へ変換(既にcondition要素が存在した場合は併合)する(ステップ201)。次に、Condition要素をルートとするDOM(Document Object Model;XML文書を処理するための標準(http://www.w3.org/DOM/))ツリーに対し、以下の変換を繰り返し、URALツリーを作成する(ステップ202)。
・Condition要素とApply要素はそれぞれのFunctionID属性の値を名前に持つ関数ノードに変換する
・SubjectAttributeDesignator要素、EnvironmentAttributeDesignator要素、ResourceAttributeDesignator要素は、それぞれのAttribute属性の値を名前にもつ変数ノードに変換する
・AttributeSelector要素は、RequestContextPath属性の値を名前にもつ変数ノードに変換する
・AttributeValue要素は、コンテンツを名前としてもつ定数ノードに変換する
上記変換後のツリー(URALツリー)よりプライバシー情報を含む変数を探す(ステップ203)。そのノードの親を辿り、直近の論理値を返す関数ノードを探す(ステップ204)。前記の検索された関数ノードをルートとするサブツリーを新たな独立したツリーとして生成する(ステップ205)。最後に、元のURLのうち、前記関数ノード以下のサブツリーを「プライバシー条件式ツリーの結果」という変数ノードで置き換える(ステップ206)。
図6はプライバシー情報を含むXACMLファイルの例を示している。このXACMLファイルは利用条件と提供条件からなっている。
利用条件は「現在時刻(current−time)が誕生日(DoB=Date of Birth)に18年(P18Y)足した日付よりも大きい(date−greater−than−or−equal)」という条件式が記述されており、主体が18歳以上であるか否かをチェックするものである。
提供条件は、図6中19行目のコメントにも記述されているように、資源の自由領域内のspell:sizeという名前を持つデータの中身を見て、資源(ここでは、ディスプレイ装置)の画面サイズが30インチ以上であるか否かを確認している。すなわち、21〜30行目は、自由領域のspell:sizeという名前を整数型のデータ(25〜28行目)の個数1つ(22〜23行目)だけであるかどうかをチェックしている(21行目のinteger−equal)。31〜41行目は実際のそのspell:sizeという名前を持つ整数型のデータを取得して(34〜37行目)、それが30(39〜40行目)より大きいかどうか(31行目のinteger−greater−than−or−equal)を確認している。また、20行目のandは21〜30行目と31〜41行目が共に真であった場合のみ、20〜42行目全体が真と判定されることを示している。
図7は、図6のXACMLファイルにステップ202の処理を行ってURALツリーを作成した結果を示している。図8は、図7のURALツリーに対してステップ203と204の処理を行って、プライバシー情報を含むツリーを検索した結果を示している。
図9は、図8のツリーに対してステップ205の処理を行って作成された、プライバシー情報を含むツリー、図10は図8のツリーにステップ206の処理を行って作成された、プライバシー情報を含まないツリーを示している。
図11は、図9の、プライバシー情報を含む条件式ツリーを元にXACML表記に再度変換したもの(プライバシー情報を含む条件式のSub−XACML)を示している。
図12は、図10の、プライバシー情報を含まない条件式ツリーを元にXACML表記に再度変換したもの(プライバシー情報を含まない条件式のSub−XACML)を示している。
図13、図14はそれぞれ図11のプライバシー情報を含む条件式のツリー、図12のプライバシー情報を含まない条件式のツリーをURALに変換した結果を示している。XACMLと1:1に対応しながらICカード内の処理に適し、かつデータ量の少ない構造に変換されていることがわかる。
図15は図13のURALをICカード内での独自のデータ命令や独自命令に合わせ最適化したものである。本実施形態で使用するICカードの中では同じ変数は複数出てこないデータ構造を持つとし(誕生日(DoB)は1人の利用者に対して1つしか存在せず、現在時刻(current−date)も1つしか存在しない)、それに伴い処理コストが大きくなるbag型を扱う関数は実装せず、primitive型のみを扱うものとする。また、それに伴い各関数の引数や返り値も全てprimitive型となっており、bag型の値からprimitive型の値を得るためのtype−one−and−only関数を削除している。この最適化によって、関数の処理が簡略化され、より高速な処理が可能であるとともに、データサイズの低減も同時に可能としている。ここで、primitive型の値とは、1つの数値や1つの文字列といった単一の値を指すXACMLの用語で、bag型の値とはこのprimitive型の値を複数まとめて持つ値を指すXACMLの用語である。図16は同様に、図14のURALをICカード内での独自のデータ命令や独自命令に合わせ最適化したものである。また、「true」と「true」に対し「and」を適用する部分式があった場合、1つの「true」に置換するなどといった一般的な最適化もここで行う。
図17は、プライバシー情報を含むツリー(プライバシー条件式)と、プライバシー情報を含まないツリー(非プライバシー条件式)のリソース(資源)への引渡しを示している。プライバシー条件式と非プライバシー条件式は利用権発行装置1によってICカード2にまず格納される。そのうちのプライバシー条件式についてはICカード2内で判定が行なわれた後、その判定結果を示す変数と共に非プライバシー条件式が資源3に渡される。資源3では、非プライバシー条件式を判定し、その判定結果が仲介装置4に引き渡され、最終的な判定が行なわれ、行使保証書が資源3に送られる。
図18は、XACMLのPolicy文書で記述された利用条件(ポリシー)を主体条件、資源条件、環境条件に分割し、形式を変換してリソース群に記憶するまでの処理の概要図である。XACMLのPolicy文書で記述された利用条件(ポリシー)は、利用条件および/または属性情報分割部14により、主体に関する条件を含む主体条件式と、資源に関する条件を含む資源条件式と、環境に関する条件を含む資源条件式とに分割される。すなわち、Subject要素(主体条件)、Resource要素(資源条件)、Environment要素(環境条件)は、Condition要素へ移動(既にCondition要素が存在した場合は併合)し、その後Condition要素は主体、資源、環境に関する条件式に分割される。なお、主体、資源、環境に関する条件式を逆変換、すなわち結合処理して元の利用条件を得ることができる。主体条件、資源条件、環境条件の各Sub−XACMLは次に利用条件および/または属性情報記述変換部15により、サービス提供事業者が独自のデータを定義したい場合に自由に使える領域である自由定義ファイルを場合により用いて、独自の記述形式(URAL)に変換される。最後に、独自の記述形式に変換された主体条件、資源条件、環境条件はリソース群用記憶部16により、リソース固有書式定義ファイルを用いて、各リソースに情報を登録するための固有の書式に変換された後、ICカード2、ディスプレイ3などの各リソースに記憶される。ここで、リソース固有書式定義ファイルとは例えばリソースがICカードの場合、ICカードとの通信に使うためのAPDU(Application Protocol Data Unit)書式が記述されたファイルである。
図19は、XACMLで記述された利用条件を独自の記述形式(URAL)に変換する処理の詳細を示すフローチャートである。まず、図5中のステップ201、202と同じ処理を行う(ステップ301、302)。上記変換後のツリー(URALツリー)より主体情報を含む変数を探す(ステップ303)。そのノードの親を辿り、直近の論理値を返す関数ノードを探す(ステップ304)。前記の検索された関数ノードをルートとするサブツリーを新たな独立したツリーとして生成する(ステップ305)。これが主体条件式ツリーである。次に、元のURLのうち、前記関数ノード以下のサブツリーを「主体条件式ツリーの結果」という変数ノードで置き換える(ステップ306)。これを資源・環境条件式ツリーと呼ぶ。上記資源・環境条件式ツリーより資源情報を含む変数を探す(ステップ307)。そのノードの親を辿り、直近の論理値を返す関数ノードを探す(ステップ308)。前記の検索された関数ノードをルートとするサブツリーを新たな独立したツリーとして生成する(ステップ309)。これが資源条件式ツリーである。最後に、元の資源・環境条件式ツリーのうち、ステップ309以下のサブツリーを「資源条件式ツリーの結果」という変数ノードで置き換える(ステップ310)。これを環境条件式ツリーと呼ぶ。
図20は,XACMLで記述された属性情報(プロファイル)を主体属性、資源属性、環境属性に分割し、形式を変換してリソース群に記憶するまでの処理の概要図である。処理手順はXACMLのRequest Context文書のSubject要素を主体属性に、Resource要素を資源属性に、Environment要素を資源属性としてそのまま分割した後は、図18の、形式を変換してリソース群に記憶するまでの処理と同様である。ただし、この場合、主体属性のみICカードに記憶され、資源属性、環境属性は資源に記憶される。
図21はXACMLのRequest Context文書で記載されたプロファイル(属性情報:利用者(主体)属性、資源属性、環境属性)のURAL形式への変換例を示している。ここで、「set」はサービスに依存しない変数に定数を代入する関数である。「set−field」はサービスに依存する変数(サービス変数)に定数を代入する関数である。左下の自由定義ファイルの通りにデータを結合して「自由領域」という変数に結合後のデータを代入する。XACMLファイルの下から9行目の<sp11:datal>要素の内容である「foo」と、下から8行目の<sp11:data2>要素の内容である「bar」を結合し、自由領域全体は「foobar」となる。
以上、入力される利用条件および/属性情報を記述する所定の言語がXML、特にXACMLである実施形態を説明したが、本発明は、所定の言語がXML以外の言語にも同様に適用できるものである。
なお、利用権発行装置1は、専用のハードウェアにより実現する以外に、その機能を実現するためのプログラムを、コンピュータ読み取りが可能な記録媒体に記録して、この記録媒体に記録されたプログラムを、利用権発行装置1となるべきコンピュータに読み込ませて実行することにより、実現するものでもよい。コンピュータ読み取りが可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取りが可能な記録媒体とは、インターネットを介してプログラムを送信する場合のように、短時間の間に、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、コンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
本発明の一実施形態の利用権発行装置の構成図である。 図1の利用権行装置の全体の処理の流れを示すフローチャートである。 XACMLで記述され、プライバシー情報を含む利用条件式(ポリシー)を、プライバシー情報のみを含む条件式と、プライバシー情報を含まない条件式に分割し、形式を変換してリソース群に記憶するまでの処理の概要図である。 利用条件、資源条件、環境条件の、プライバシー情報を含む条件と、プライバシーを含まない条件を示す図である。 図3において、XACMLで記述された利用条件をURAL形式に変換する処理のフローチャートである。 プライバシー情報を含むXACMLファイルの例を示す図である。 図6のXACMLから作成された条件式ツリーを示す図である。 図7の条件式ツリーからプライバシー情報を含むツリーを検索する様子を示す図である。 プライバシー情報を含むツリーを示す図である。 プライバシー情報を含まないツリーを示す図である。 プライバシー情報を含む条件式のSub−XACMLを示す図である。 プライバシー情報を含まない条件式のSub−XACMLを示す図である。 プライバシー情報を含む条件式をURALに変換した図である。 プライバシー情報を含まない条件式をURALに変換した図である。 図13のURALを最適化した図である。 図14のURALを最適化した図である。 プライバシー情報を含むツリー(プライバシー条件式)と、プライバシー情報を含まないツリー(非プライバシー条件式)のリソースへの引渡しを示す図である。 XACMLで記述された利用条件(ポリシー)を主体条件、資源条件、環境条件に分割し、形式を変換してリソース群に記憶するまでの処理の概要図である。 図18において、XACMLで記述された利用条件を独自の記述形式(URAL)に変換する処理の詳細を示すフローチャートである。 XACMLで記述された属性情報(プロファイル)を主体属性、資源属性、環境属性に分割し、形式を変換してリソース群に記憶するまでの処理の概要図である。 XACMLで記載されたプロファイル(属性情報:利用者(主体)属性、資源属性、環境属性)のURAL形式への変換例を示す図である。
符号の説明
1 利用権発行装置
2 ICカード
3 資源(ディスプレイ)
4 仲介装置
11 利用条件/属性情報入力部
12 利用条件/属性情報記述者チェック部
13 利用条件/属性情報チェック部
14 利用条件/属性情報分割部
15 利用条件/属性情報記述変換部
16 リソース群用記憶部
101−107、201−206、301−310 ステップ

Claims (17)

  1. サービスの利用権を発行する利用権発行装置で行なわれる利用権発行方法であって、
    力手段が、所定のコンピュータ言語で記述された、サービスの利用条件と、サービスを利用する利用者に関する主体属性を含む属性情報と、の少なくとも一方を入力するステップと、
    割手段が、入力された前記利用条件および前記属性情報の少なくとも一方、前記利用条件については、サービスを利用する利用者に関するプライバシー情報を含む利用条件とそれ以外の利用条件とに分割し、前記属性情報については、前記利用者に関する主体属性の属性情報とそれ以外の属性情報に分割することにより、保護を要する情報と保護を要しない情報に分割するステップと、
    換手段が、分割された、前記保護を要する情報と、前記保護を要しない情報を、前記利用権を保持する携帯装置の処理に適した独自の形式に変換し、更に、前記携帯装置と前記サービスに用いられる資源のそれぞれに固有の形式に変換するステップと、
    力手段が、前記携帯装置内で処理する部分である前記保護を要する情報と、該携帯装置が外部に出力する部分である前記保護を要しない情報、前記携帯装置に、該保護を要しない情報を、前記サービスに用いられる資源に、それぞれに固有の形式で出力するステップと
    を有する利用権発行方法。
  2. サービスの利用権を発行する利用権発行装置で行なわれる利用権発行方法であって、
    入力手段が、所定のコンピュータ言語で記述された、サービスの利用条件と、サービスを利用する利用者の主体属性を含む属性情報と、の少なくとも一方を入力するステップと、
    分割手段が、入力された前記利用条件および前記属性情報の少なくとも一方を、前記利用条件については、サービスを利用する利用者に関する条件である主体条件とそれ以外の条件とに分割し、前記属性情報については、前記利用者に関する主体属性の属性情報とそれ以外の属性情報に分割することにより、保護を要する情報と保護を要しない情報に分割するステップと、
    換手段が、分割された、前記保護を要する情報と、前記保護を要しない情報を、前記利用権を保持する携帯装置の処理に適した独自の形式に変換し、更に、前記携帯装置と前記サービスに用いられる資源のそれぞれに固有の形式に変換するステップと、
    力手段が、前記携帯装置内で処理する部分である前記保護を要する情報と、該携帯装置が外部に出力する部分である前記保護を要しない情報、前記携帯装置に、該保護を要しない情報を、前記サービスに用いられる資源に、それぞれに固有の形式で出力するステップと
    を有する利用権発行方法。
  3. 記入力手段が、前記利用条件または属性情報の記述者の属性情報を更に入力するステップと、
    述者チェック手段が、入力された前記記述者属性情報と予め定められた設定とに基づき、入力された前記利用条件または前記属性情報が、該記述者の属性情報によって示される記述者に入力が許可されている項目か否か判定するステップと、
    をさらに有する、請求項1または2に記載の利用権発行方法。
  4. 報チェック手段が、入力された前記利用条件または前記属性情報のそれぞれに新規、変更、削除のフラグを設定するステップをさらに有する、請求項に記載の利用権発行方法。
  5. 前記所定のコンピュータ言語がXMLである、請求項1から4のいずれか1項に記載の利用権発行方法。
  6. 前記所定のコンピュータ言語がXMLであり、該XMLが、関数を表す関数ノードとその関数に対する0個以上の引数とからなる式で表されており、各引数は別の関数ノードであることもあり、変数を表す変数ノードの場合もあり、定数を表す定数ノードの場合もあるというツリー構造を持つとき、
    前記分割手段が分割するステップ
    前記ツリーより、前記プライバシー情報を含む変数または前記主体条件を含む変数を探すステップと、
    探し出された該変数のノードの親を辿り、直近の論理値を返す関数ノードを探すステップと、
    探し出された該関数ノードをルートとするサブツリーを、前記保護を要する情報である新たな独立した第1のツリーとして生成するステップと、
    元の前記ツリーの前記第1のツリーに相当するサブツリーを所定の変数ノードで置き換えることにより、前記保護を要しない情報である第2のツリーを生成するステップと
    を含む、請求項に記載の利用権発行方法。
  7. 前記XMLがXACMLのPolicyのスキーマに従っているとき、
    記分割手段が、前記利用条件が入力された後、分割を行う前に、
    XACMLのPolicyのTarget要素にSubject要素、Resource要素、Environment要素が存在する場合、これらをCondition要素の内容へ変換するステップと、
    Condition要素をルートとするDOMツリーに対し、1)Condition要素とApply要素はそれぞれのFunctionID属性の値を名前として持つ関数ノードに変換する、2)SubjectAttributeDesignator要素、EnvironmentAttributeDesignator要素、ResourceAttributeDesignator要素は、それぞれのAttribute属性の値を名前として持つ変数ノードに変換する、3)AttributeSelector要素は、RequestContextPath属性の値を名前として持つ変数ノードに変換する、4)AttributeValue要素は、コンテンツの値名前として持つ定数ノードに変換するステップと、
    をさらに有する請求項に記載の利用権発行方法。
  8. 前記所定のコンピュータ言語がXMLであり、該XMLが、関数を表す関数ノードとその関数に対する0個以上の引数とからなる式で表されており、各引数は別の関数ノードであることもあり、変数を表す変数ノードの場合もあり、定数を表す変数ノードの場合もあるというツリー構造を持つとき、
    前記属性情報は、保護を要する主体属性と、保護を要しない資源属性および環境属性とからなり、
    前記分割手段が分割するステップが、
    前記ツリーより主体情報を含む変数を探すステップと、
    探し出された該変数のノードの親を辿り、直近の論理値を返す関数ノードを探すステップと、
    探し出された該関数ノードをルートとするサブツリーを、前記主体属性の属性情報である新たな独立した第1のツリーとして生成するステップと、
    元の前記ツリーのうち、前記第1のツリーに相当するサブツリーを第1の変数ノードで置き換えステップと、
    前記第1のツリーに相当するサブツリーが前記第1の変数ノードで置き換えられたツリーより資源情報を含む変数を探すステップと、
    探し出された該変数のノードの親を辿り、直近の論理値を返す関数ノードを探すステップと、
    探し出された該関数ノードをルートとするサブツリーを、前記資源属性の属性情報である新たな独立した第2のツリーとして生成するステップと、
    前記第1のツリーに相当するサブツリーが前記第1の変数ノードで置き換えられたツリーの前記第2のツリーに相当するサブツリーを第2の変数ノードで置き換えることにより、前記環境属性の情報である第3のツリーを生成するステップと、
    を含む、請求項1から7のいずれか1項に記載の利用権発行方法。
  9. 前記XMLがXACMLのPolicyのスキーマに従っているとき、
    記分割手段が、前記利用条件が入力された後、分割を行う前に、
    XACMLのPolicyのTarget要素にSubject要素、Resource要素、Environment要素が存在する場合、これらをCondition要素の内容へ変換するステップと、
    Condition要素をルートとするDOMツリーに対し、1)Condition要素とApply要素はそれぞれのFunctionID属性の値を名前に持つ関数ノードに変換する、2)SubjectAttributeDesignator要素、EnvironmentAttributeDesignator要素、ResourceAttributeDesignator要素は、それぞれのAttribute属性の値を名前にもつ変数ノードに変換する、3)AttributeSelector要素は、RequestContextPath属性の値を名前にもつ変数ノードに変換する、4)AttributeValue要素は、コンテンツの値を名前としてもつ定数ノードに変換するステップと、
    をさらに有する、請求項に記載の利用権発行方法。
  10. 前記変換手段は、XACMLで記述された前記保護を要する情報および前記保護を要しない情報を、XACMLと1:1で対応し、かつ前記携帯装置において効率的に処理することができる独自の形式に変換する、
    請求項5から9のいずれか1項に記載の利用権発行方法。
  11. 前記変換手段は、前記携帯装置内では、同じ変数が複数出てこないデータ構造であり、関数がprimitive型のみを扱うものとして最適化した前記独自の形式の前記保護を要する情報および前記保護を要しない情報を生成する、
    請求項10に記載の利用権発行方法。
  12. 前記利用権が入力された前記携帯装置は、前記利用者が前記サービスを利用することができるか否かの判定のうち、前記保護を要する情報による判定を自身で行い、前記保護を要しない情報を、サービスで利用される資源に通知して、前記利用者が前記サービスを利用することができるか否かの判定のうち、前記保護を要しない情報による判定を該資源に行わせる、
    請求項1から11のいずれか1項に記載の利用権発行方法。
  13. サービスの利用権を発行する利用権発行装置であって、
    所定のコンピュータ言語で記述された、サービスの利用条件と、サービスを利用する利用者の主体属性を含む属性情報と、の少なくとも一方を入力する入力手段と、
    入力された前記利用条件および前記属性情報の少なくとも一方、前記利用条件については、サービスを利用する利用者に関するプライバシー情報を含む利用条件とそれ以外の利用条件とに分割し、前記属性情報については、前記利用者に関する主体属性の属性情報とそれ以外の属性情報に分割することにより、保護を要する情報と保護を要しない情報に分割する分割手段と、
    分割された、前記保護を要する情報と、前記保護を要しない情報を、前記利用権を保持する携帯装置の処理に適した独自の形式に変換し、更に、前記携帯装置と前記サービスに用いられる資源のそれぞれに固有の形式に変換する変換手段と、
    前記携帯装置内で処理する部分である前記保護を要する情報と、該携帯装置が外部に出力する部分である前記保護を要しない情報、前記携帯装置に、該保護を要しない情報を、前記サービスに用いられる資源に、それぞれに固有の形式で出力する出力手段と
    を有する利用権発行装置。
  14. サービスの利用権を発行する利用権発行装置であって、
    所定のコンピュータ言語で記述された、サービスの利用条件と、サービスを利用する利用者の主体属性を含む属性情報と、の少なくとも一方を入力する入力手段と、
    入力された前記利用条件および前記属性情報の少なくとも一方を、前記利用条件については、サービスを利用する利用者に関する条件である主体条件とそれ以外の条件とに分割し、前記属性情報については、前記利用者に関する主体属性の属性情報とそれ以外の属性情報に分割することにより、保護を要する情報と保護を要しない情報に分割する分割手段と、
    分割された、前記保護を要する情報と、前記保護を要しない情報を、前記利用権を保持する携帯装置の処理に適した独自の形式に変換し、更に、前記携帯装置と前記サービスに用いられる資源のそれぞれに固有の形式に変換する変換手段と、
    前記携帯装置内で処理する部分である前記保護を要する情報と、該携帯装置が外部に出力する部分である前記保護を要しない情報、前記携帯装置に、該保護を要しない情報を、前記サービスに用いられる資源に、それぞれに固有の形式で出力する出力手段と
    を有する利用権発行装置。
  15. 前記変換手段は、XACMLで記述された前記保護を要する情報および前記保護を要しない情報を、XACMLと1:1で対応し、かつ前記携帯装置において効率的に処理することができる独自の形式に変換する、
    請求項13または14に記載の利用権発行装置。
  16. 前記変換手段は、前記携帯装置内では、同じ変数が複数出てこないデータ構造であり、関数がprimitive型のみを扱うものとして最適化した前記独自の形式の前記保護を要する情報および前記保護を要しない情報を生成する、
    請求項15に記載の利用権発行装置。
  17. 請求項13から16のいずれか1項に記載の利用権発行装置と、
    前記利用権が入力されると該利用権を保持し、前記利用者が前記サービスを利用することができるか否かの判定のうち、前記保護を要する情報による判定を自身で行い、前記保護を要しない情報を、サービスで利用される資源に通知して、前記利用者が前記サービスを利用することができるか否かの判定のうち、前記保護を要しない情報による判定を該資源に行わせる携帯装置と、
    を有する利用権システム。
JP2005023740A 2005-01-31 2005-01-31 利用権発行方法、利用権発行装置、および利用権システム Expired - Fee Related JP4461034B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005023740A JP4461034B2 (ja) 2005-01-31 2005-01-31 利用権発行方法、利用権発行装置、および利用権システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005023740A JP4461034B2 (ja) 2005-01-31 2005-01-31 利用権発行方法、利用権発行装置、および利用権システム

Publications (2)

Publication Number Publication Date
JP2006209650A JP2006209650A (ja) 2006-08-10
JP4461034B2 true JP4461034B2 (ja) 2010-05-12

Family

ID=36966408

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005023740A Expired - Fee Related JP4461034B2 (ja) 2005-01-31 2005-01-31 利用権発行方法、利用権発行装置、および利用権システム

Country Status (1)

Country Link
JP (1) JP4461034B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4652869B2 (ja) * 2005-03-31 2011-03-16 株式会社エヌ・ティ・ティ・ドコモ サービス提供サーバ装置、端末装置、及び、これらの制御方法
JP4809916B2 (ja) * 2009-08-13 2011-11-09 日本電信電話株式会社 認証システム、方法、およびプログラム
CN101876994B (zh) * 2009-12-22 2012-02-15 中国科学院软件研究所 一种多层次优化的策略评估引擎的建立方法及其实施方法
JP5517969B2 (ja) * 2011-02-28 2014-06-11 Kddi株式会社 移動体によって個人情報を転送するデータ同期方法及びシステム

Also Published As

Publication number Publication date
JP2006209650A (ja) 2006-08-10

Similar Documents

Publication Publication Date Title
AU2021212135B2 (en) Building and managing data-processing attributes for modelled data sources
US7599948B2 (en) Object relational mapping layer
US8700682B2 (en) Systems, methods and articles for template based generation of markup documents to access back office systems
US7194683B2 (en) Representing and managing dynamic data content for web documents
CN104025068B (zh) 来自多个来源的css定义的冲突解决
US7716591B2 (en) System and method for dynamically generating a web page
JP5073494B2 (ja) 文書処理装置および文書処理方法
US7765464B2 (en) Method and system for dynamically assembling presentations of web pages
US20170109454A1 (en) Identifying an industry associated with a web page
US8275775B2 (en) Providing web services from business intelligence queries
US20030029911A1 (en) System and method for converting digital content
US8171451B2 (en) Providing reports as web services
US20050278358A1 (en) Method of and system for providing positional based object to XML mapping
US20070277099A1 (en) Page source data generation method, page source data generation system, and program
US7257647B2 (en) Development environment platform using message type mapping for converting message and providing information between systems having different data structures
US11200374B2 (en) Methods to create and use responsive forms with externalized configurations and artifacts
US20060004854A1 (en) Bi-directional data mapping tool
US20040103370A1 (en) System and method for rendering MFS XML documents for display
JP4461034B2 (ja) 利用権発行方法、利用権発行装置、および利用権システム
CN110334103A (zh) 推荐服务的更新方法、提供装置、访问装置和推荐系统
US7447697B2 (en) Method of and system for providing path based object to XML mapping
JP4133549B2 (ja) 構造化文書ファイル管理装置および構造化文書ファイル管理方法
CN115629763A (zh) 目标代码的生成方法、npu指令的显示方法及装置
KR20030094241A (ko) 동적으로 웹 페이지를 생성하는 시스템 및 방법
US8230327B2 (en) Identifying statements requiring additional processing when forwarding a web page description

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060608

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090715

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090729

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100209

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100215

R150 Certificate of patent or registration of utility model

Ref document number: 4461034

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130219

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees