JP4722682B2 - 動的アクセス制御装置 - Google Patents
動的アクセス制御装置 Download PDFInfo
- Publication number
- JP4722682B2 JP4722682B2 JP2005344214A JP2005344214A JP4722682B2 JP 4722682 B2 JP4722682 B2 JP 4722682B2 JP 2005344214 A JP2005344214 A JP 2005344214A JP 2005344214 A JP2005344214 A JP 2005344214A JP 4722682 B2 JP4722682 B2 JP 4722682B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- authentication
- node
- evaluation
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
複数のノードと、これら複数のノードを互いに接続する通信路とを具え、前記ノード間で認証を行う動的アクセス制御装置であって、各ノードが、
認証回数に対応づけられた評価情報を保持する評価情報保持手段と、
前記評価情報を一定の規則に従って更新する評価更新手段と、
制御可能な閾値を表す閾値情報を保持し、前記閾値情報及び前記評価更新手段によって更新された前記評価情報を用いて、アクセスの可否に関する認可判定結果を表す認可判定情報を一定の規則に従って生成する認可判定手段と、
前記認可判定情報を含む認証応答情報の改ざん検出を行う認証手段と、
認証トランザクションの一意性を保証するセッション情報を生成し、生成したセッション情報と前記評価更新手段によって更新された前記評価情報とを保持するセッション管理手段と、
前記ノードの一意性を特定するとともに通信アドレスを表すアドレス情報を保持し、前記動的アクセス制御装置の外部と情報の送受信を行う外部通信手段とを有することを特徴とする。
図1は、本発明による動的アクセス制御装置の実施の形態を示す図である。例えばP2Pで用いられる動的アクセス制御装置1は、複数のノードとしての第1ノード10及び第2ノード20と、第1ノード10と第2ノード20との間を接続する通信路30とを具える。動的アクセス制御装置1は、ノード間で認証を行い、この認証回数に応じた情報のアクセス制御を行う。図1の動的アクセス制御装置1は、説明を簡単にするために通信路30に接続された二つのノード(第1ノード10及び第2ノード20)のみを示す。
(1)第2ノード20が、外部通信部26を用いて、認証を行うノードのノードアドレス情報Aとセッション情報R1から構成される認証開始情報m1を受信する。
(2)第2ノード20が、認証開始情報m1を用いて認証要求情報m2を生成する。
(3)第2ノード20が、認証開始情報m1に含まれるノードアドレス情報のノード(第1ノード10)に対して、外部通信部26を用いて認証要求情報m2を送信する。
(4)第1ノード10が、認証要求情報m2に含まれるセッション情報に対応した認証セッション情報がセッション情報管理部12に格納されているか検証する。
認証セッション情報がセッション情報管理部12に格納されている場合、その認証セッション情報を含む認証応答情報m3を生成する。
(5)第1ノード10が、外部通信部16を用いて第2ノード20に認証応答情報m3を送信し、第2ノード20が、外部通信部26を用いて認証応答情報m3を受信する。
(6)第2ノード20が、認証部23を用いて、認証応答情報m3に含まれる認証セッション情報が改ざんされていないことを検証する。
(7)第2ノード20が、評価更新部15を用いて、認証応答情報m3に含まれる認証セッション情報の評価情報X1を、一定の規則に従って更新し、更新した評価情報X2を生成する。
(8)第2ノード20が、認可判定部24を用いて、評価情報X2を評価関数の引数として計算し、その計算結果と閾値情報Yを比較検証し、認可結果情報を生成する。
(9)第2ノード20が、図示しない認証セッション格納部を用いて、セッション情報R2を生成し、セッション情報R2と評価情報X2を含む認証セッション情報を格納する。
(10)第2ノード20は、外部通信部26を用いて、セッション情報R2と認可結果情報を含む認証結果情報m4を送信する。
この評価関数Gの例を次に示す。
Y=G(X)=−a×X+b(>0)と定義する。例えば、(a,b)=(3,7)とするとき、(X,Y)={(0,7),(1,4),(2,1)}である。ここで、T=5とすれば、これは、評価情報が0の場合、T<Yであるため情報を参照できるが、2の場合、T>Yであるため情報を参照することはできない。
Y=G(X)=10/{1+(X/Xo)2N}(>0)と定義する。この関数を図3に示す。例えば、(Xo,N)=(3,5)とするとき、(X,Y)={(0,10),(1,10),(2,9.8),(3,5),(4,0.5)}である。ここで、T=5とすれば、これは、評価情報が1の場合、T<Yであるため情報を参照できるが、4の場合、T>Yであるため情報を参照することはできない。
(S1)端末装置140が、第1ノード110に準備要求情報(R1,B&Mb)を送信する。
(S2)第1ノード110が、セッション管理部112を用いて(Xa,R1,B)を保持する。
(S3)第1ノード110が、認証開始情報m1=(Xa,R1,B&Mb)を送信する。
(S4)端末装置140が、認証開始情報m1を第2ノード120に送信する。
(S5)第2ノード120が、乱数R2を生成する。
(S6)第2ノード120が、署名S2=S_PkB(Xa,R1,R2,A,B)を生成する。
(S7)第2ノード120が、セッション管理部122を用いて(Xa,R1,R2,A,B)を保持する。
(S8)第2ノード120が、第1ノード110に認証要求情報(Xa,R1,R2,A,B,S2,PkB)を送信する。
(S9)第1ノード110が、セッション管理部112に格納された乱数R1とセッション情報のR1の一致検証をする。
(S10)第1ノード110が、署名S2の署名検証をする。(V_PkB((Xa,R1,R2,A,B),S2))
(S11)第1ノード110が、署名S1=S_PkA(Xa,R1,R2,A,B)を生成する。
(S12)第1ノード110が、第2ノード120に認証応答情報m3=(Xa,R1,R2,A,B,S1,PkA)を送信する。
(S13)第2ノード120が、署名S1の署名検証をする。(B_PkA((X,R1,R2,A,B),S1))
(S14)第2ノード120が、評価更新部125を用いてXa’=Xa−1とする。
(S15)第2ノード120が、認可判定部124を用いてG(Xa’)=Yを計算する。
Y>Tbの場合、次処理を行い、Y≦Tbの場合、終了する。
(S16)第2ノード120が、セッション管理部122に(Xa’,R2)を保持する。
(R17)第2ノード120が、(Mb,R2)を端末装置140に送信する。
(1)ユーザUaが乱数R1を用いて認定を行い、ユーザUbのウェブログを閲覧する。この認証時にノードBが(X−1,R2)を保持し、ユーザUaが乱数R2を保持する。
(2)ユーザUaは、ユーザUbのウェブログからリンクのはられたユーザUcのウェブログを閲覧する。この認証時に、ノードCが(X−2,R3)を保持し、ユーザUaが乱数R3を保持する。
(3)ユーザUaは、ユーザUcのウェブログからリンクのはられたユーザUdのウェブログを閲覧する。この認証時に、ノードDが(X−3,R4)を保持し、ユーザUaが乱数R4を保持する。
例えば、上記実施の形態において、動的アクセス制御装置が二つのノードを有する場合について説明したが、動的アクセス制御装置が三つ以上の任意の個数のノードを有する場合についても、本発明を実施することができる。
10,110 第1ノード
11,21,111,121 評価情報保持部
12,22,112,122 セッション管理部
13,23,113,123 認証部
14,24,114,124 認可判定部
15,25,115,125 評価更新部
16,26,116,126,141 外部通信部
20,120 第2ノード
30,130 通信路
140 端末装置
142 情報参照部
Claims (3)
- 複数のノードと、これら複数のノードを互いに接続する通信路とを具え、前記ノード間で認証を行う動的アクセス制御装置であって、各ノードが、
認証回数に対応づけられた評価情報を保持する評価情報保持手段と、
前記評価情報を一定の規則に従って更新する評価更新手段と、
制御可能な閾値を表す閾値情報を保持し、前記閾値情報及び前記評価更新手段によって更新された前記評価情報を用いて、アクセスの可否に関する認可判定結果を表す認可判定情報を一定の規則に従って生成する認可判定手段と、
前記認可判定情報を含む認証応答情報の改ざん検出を行う認証手段と、
認証トランザクションの一意性を保証するセッション情報を生成し、生成したセッション情報と前記評価更新手段によって更新された前記評価情報とを保持するセッション管理手段と、
前記ノードの一意性を特定するとともに通信アドレスを表すアドレス情報を保持し、前記動的アクセス制御装置の外部と情報の送受信を行う外部通信手段とを有することを特徴とする動的アクセス制御装置。 - 前記認可判定結果を、前記評価情報を引数とする評価関数と前記閾値とを比較することによって取得したことを特徴とする請求項1記載の動的アクセス制御装置。
- 前記評価情報が、認証回数に対応することを特徴とする請求項1又は2記載の動的アクセス制御装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005344214A JP4722682B2 (ja) | 2005-11-29 | 2005-11-29 | 動的アクセス制御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005344214A JP4722682B2 (ja) | 2005-11-29 | 2005-11-29 | 動的アクセス制御装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007148916A JP2007148916A (ja) | 2007-06-14 |
JP4722682B2 true JP4722682B2 (ja) | 2011-07-13 |
Family
ID=38210246
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005344214A Expired - Fee Related JP4722682B2 (ja) | 2005-11-29 | 2005-11-29 | 動的アクセス制御装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4722682B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7490755B2 (en) * | 2006-01-13 | 2009-02-17 | International Business Machines Corporation | Method and program for establishing peer-to-peer karma and trust |
JP4588063B2 (ja) * | 2007-11-07 | 2010-11-24 | 日本電信電話株式会社 | 電話発信システム、投稿閲覧装置及び電話発信方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005044277A (ja) * | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
JP2005328726A (ja) * | 2004-05-18 | 2005-12-02 | Olympus Corp | 培養処理装置およびこれを備えた自動培養装置 |
-
2005
- 2005-11-29 JP JP2005344214A patent/JP4722682B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007148916A (ja) | 2007-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11900368B2 (en) | Method and system for zero-knowledge and identity based key management for decentralized applications | |
Lee | BIDaaS: Blockchain based ID as a service | |
Yavari et al. | An Improved Blockchain‐Based Authentication Protocol for IoT Network Management | |
JP4790731B2 (ja) | 派生シード | |
US20200021446A1 (en) | Secure de-centralized domain name system | |
CN110493347A (zh) | 基于区块链的大规模云存储中数据访问控制方法及系统 | |
WO2021169107A1 (zh) | 一种网络身份保护方法、装置及电子设备和存储介质 | |
US20010020228A1 (en) | Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources | |
Luecking et al. | Decentralized identity and trust management framework for Internet of Things | |
CN109617692A (zh) | 一种基于区块链的匿名登陆方法及系统 | |
Mell et al. | Smart contract federated identity management without third party authentication services | |
Chalaemwongwan et al. | A practical national digital ID framework on blockchain (NIDBC) | |
Rahman et al. | Protecting personal data using smart contracts | |
WO2022242572A1 (zh) | 一种个人数字身份管理系统与方法 | |
Riad et al. | A blockchain‐based key‐revocation access control for open banking | |
CN110445751A (zh) | 一种基于重加密的分布式信息共享方法及系统 | |
JP4722682B2 (ja) | 動的アクセス制御装置 | |
Antony Saviour et al. | IPFS based file storage access control and authentication model for secure data transfer using block chain technique | |
Palomar et al. | Secure content access and replication in pure p2p networks | |
Lou et al. | Blockchain-based privacy-preserving data-sharing framework using proxy re-encryption scheme and interplanetary file system | |
Noh et al. | PyRos: A State Channel‐Based Access Control System for a Public Blockchain Network | |
JP4794939B2 (ja) | チケット型メンバ認証装置及び方法 | |
Janani et al. | A security framework to enhance IoT device identity and data access through blockchain consensus model | |
Saxena et al. | A novel method for authenticating mobile agents with one-way signature chaining | |
KR100857991B1 (ko) | 선택적 익명 인증서 서비스 제공방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20070614 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070614 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080206 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20081017 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110118 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110119 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110317 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110405 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110406 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140415 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |