JP5423397B2 - アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム - Google Patents

アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム Download PDF

Info

Publication number
JP5423397B2
JP5423397B2 JP2009548071A JP2009548071A JP5423397B2 JP 5423397 B2 JP5423397 B2 JP 5423397B2 JP 2009548071 A JP2009548071 A JP 2009548071A JP 2009548071 A JP2009548071 A JP 2009548071A JP 5423397 B2 JP5423397 B2 JP 5423397B2
Authority
JP
Japan
Prior art keywords
user
information
authority
service
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009548071A
Other languages
English (en)
Other versions
JPWO2009084601A1 (ja
Inventor
誠 畠山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2009548071A priority Critical patent/JP5423397B2/ja
Publication of JPWO2009084601A1 publication Critical patent/JPWO2009084601A1/ja
Application granted granted Critical
Publication of JP5423397B2 publication Critical patent/JP5423397B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Description

本発明は、ユーザ間での権限委譲を集中的に管理できるアクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラムに関する。
ネットワーク上の各事業者間でユーザに関する情報を連携するための技術として、標準化団体OASISで策定された標準技術仕様SAML(Security Assertion Markup Language)がある。図22は、非特許文献1に記載されているSAMLを利用した証明書生成配布システムの一例を示す構成図である。
図22に示す証明書作成配布システムでは、アイデンティティプロバイダ(以下、IdPと表記する。)100とサービスプロバイダ(以下、SPと表記する。)101とユーザエージェント(利用者端末装置のソフトウエア)102とがネットワークを経由して相互に接続されている。このような構成を有する証明書生成配布システムの典型的な動作として、SAMLアーティファクトプロファイルを用いて証明書の作成と配布とを行う手順を説明する。図22に示す例において、IdP100とSP101とは、それぞれユーザエージェント102を利用しているユーザに関する情報を、利用者情報103及び利用者情報104として記憶装置に保有していることを前提にする。
図22に示す証明書生成配布システムにおいて、ユーザは、ユーザエージェント102を通じて、SP101の利用制限があるサービスを利用するために、SP101にアクセスする(図22におけるステップ(1))。SP101は、利用者の証明書を取得するために、IdP100に対して証明書要求メッセージを送付し(図22におけるステップ(2−a))、ユーザエージェント102はSP101からの証明書要求メッセージをIdP100にリダイレクトする(図22におけるステップ(2−b))。IdP100は、利用者情報103を利用してXML(Extensible Markup Language)に準拠して記述された証明書(アサーション)を作成する(図22におけるステップ(3))。更に、IdP100は、アサーションに対応するチケットの役割を担うアーティファクトを作成し、ユーザエージェント102に返信する(図22におけるステップ(4−a))。ユーザエージェント102は、アーティファクトをSP101に対してリダイレクトする(図22におけるステップ(4−b))。
SP101は、受信したアーティファクトをIdP100に送付し、対応するアサーションを要求する(図22におけるステップ(5))。IdP100は、SP101から受け取ったアーティファクトを確認し、対応するアサーションをSP101に対して返信する(図22におけるステップ(6))。SP101は、IdP100から受信したアサーションの正当性を確認し、SP101のセキュリティポリシを検証して利用者のサービスへのアクセス要求に対して許可を与えるか否かを判断する。そして、許可を与えると判断した場合にはユーザエージェント102に対するサービスの提供を開始する(図22におけるステップ(7))。
以上のように、IdP100は、ユーザに関する証明書を作成し、それをSP101に対して配布する。ここで、IdP100が配布する証明書には、SP101にアクセスしたユーザに関する情報を記載することが可能になっている。ここで、このユーザに関する情報としては例えば、ユーザ識別子情報や、証明書の有効範囲(配布されて有効となる対象の事業者)情報や、その他利用者に関する機密情報等が挙げられる。
また、アクセス権限の委譲を管理するシステムの一例が、特許文献1に記載されている。図23は、特許文献1に記載された権限の委譲を実現するアクセス管理システムを説明するための説明図である。図23に示す例では、組織A(110)の構成員と組織B(111)の構成員との間での権限委譲を管理するシステムについて示している。或る組織Aでは、リソース113が管理されている。別の組織Bでは、リソース113が管理されている。また、組織Bには、リソース113にアクセスするリソースアクセス者115が存在する。
図23に示されたアクセス管理システムはつぎのように動作する。すなわち、最初に、組織Aの管理者112が、組織Bの管理者114に信用情報を送付する(図23のステップ(1))。信用情報には、組織Aの管理者の代わりに組織Bのリソースアクセス者115がリソースにアクセスするための条件(権限を委譲するための条件)が記載されている。ここでは、リソースアクセス者115がリソースにアクセスするための条件を満たしているものとして説明を続ける。次に、組織Bの管理者114が、組織Bのリソースアクセス115に対して、組織Aの管理者112の代わりに信用情報を発行する(図23のステップ(2))。組織Bの管理者114が発行する信用情報には、組織Aの管理者112が発行した信用情報が含まれる。その後、組織Bのリソースアクセス者115が、組織Bの管理者114が発行する信用情報とともに、組織Aのリソース113に対してアクセス要求メッセージを送付する(図23のステップ(3))。組織Aのリソース113は、組織Bのリソースアクセス者115から送付された信用情報を元にアクセスの可否を判断し、何らかの情報を組織Bのリソースアクセス者115に送付する。
以上のように、組織Aの管理者112は、アクセス権限を委譲する相手である組織Bに対して、代理アクセスをするための情報を送付することによって、アクセス権限の委譲を実現している。
特開2006−254464号公報 オアシス(OASIS)、"アサーションズ アンド プロトコル フォー ディ オアシス セキュリティ アサーション マークアップ ラングエッジ(Assertions and Protocol for the OASIS Security Assertion Markup Language) (SAML)V2.0"[online]、2005年3月15日、[平成19年11月26日検索]、インターネット、<URL:http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf>
もっとも、上述した特許文献1や非特許文献1に記載された技術には、以下のような解決すべき課題があった。
第1の課題は、特許文献1や非特許文献1に記載された技術を利用して、あるユーザ(ユーザ1)が、別のユーザ(ユーザ2)から委譲されたアクセス権限を利用して、サービスプロバイダ(SP1)に他のサービスプロバイダ(SP2)への代理アクセスを実行させる場合に、情報が漏洩する可能性が高いことである。代理アクセスするプロバイダ(SP1)とアクセス先となるサービスプロバイダ(SP2)との間で、サービスプロバイダが保有する全てのユーザ情報やアクセス権限を交換しなければならないからである
すなわち、特許文献1や非特許文献1に記載された技術では、ユーザ1とユーザ2の両者のアクセス権限情報を記載した証明書をSP1とSP2との間で交換するので、情報が漏えいする可能性が高い。特許文献1に記載された技術では、アクセス権限情報が全て記載された信用情報をサービスプロバイダ間で交換する。つまり、2つのサービスプロバイダは、アクセス権限や権限委譲の設定というユーザに関する全ての情報を交換する。また、非特許文献1に記載された技術でも、ユーザに関する情報が記載された証明書をプロバイダ間で交換する。その結果、ユーザに関する情報を全て他のプロバイダに開示している。
あるユーザ(ユーザ1)が、別のユーザ(ユーザ2)から委譲されたアクセス権限を利用して、サービスプロバイダ(SP1)に他のサービスプロバイダ(SP2)への代理アクセスを実行させる場合に、SP1はユーザ1からアクセスを受け付けているので、ユーザ2の情報は不要である。また、SP2はユーザ2の権限で代理アクセスを受け入れているので、ユーザ2の権限情報のみが必要であり、ユーザ1の情報は不要になる。そのため、SP1とSP2は、両方のユーザ情報を取得する必要がない。つまり、それぞれのサービスプロバイダにとって必要最低限のユーザ情報のみを利用できるようにすることが好ましい。
第2の課題は、あるユーザ(ユーザ1)が、別のユーザ(ユーザ2)から委譲されたアクセス権限を利用して、サービスプロバイダ(SP1)に他のサービスプロバイダ(SP2)への代理アクセスを実行させる場合に、ユーザ2は全てのプロバイダにアクセス権限や権限委譲に関する設定をポリシとして規定する必要があり、非効率的になることである。
その理由は、それぞれのプロバイダがアクセスの可否を判断するため情報を独立して管理しているためである。サービスプロバイダは、それぞれがユーザのアクセス可否情報を管理しているので、あるユーザが別のユーザに権限を委譲する場合には、関連する全てのプロバイダに委譲条件を設定する必要がある。非特許文献1に記載された技術では、サービスプロバイダが証明書を受け取ってから証明書を検証してアクセス制御している。よって、ユーザが権限委譲を設定する場合に、ユーザは全てのSPに対して権限委譲の設定する必要がある。また、特許文献1に記載された技術でも、アクセス制御する組織Aの管理者がアクセス制御情報として信用情報を発行している。つまり、アクセスの対象となるリソースやサービスプロバイダ毎に、ユーザの権限委譲に関する設定を保管する必要がある。これらの方式では、リソースの数や連携しているサービスプロバイダの数が増えれば増えるほど、アクセス権限や権限委譲を設定する数が増えるため非効率的である。
そこで、本発明は、ある装置がユーザから委譲された権限で他の装置に代理アクセスする場合に、装置間で交換される情報を減らすことができるアクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラムを提供することを目的とする。
また、本発明の他の目的は、アクセス制御や権限委譲に関する設定を一箇所で集中管理できるアクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラムを提供することである。
本発明によるアクセス権限管理システムは、権限を委譲する条件を管理する認証装置と、サービス要求に応じてサービスを提供するサービス提供装置と、サービス提供装置へのアクセスを代行するサービス代理アクセス装置とを備え、認証装置が、他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成部と、権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成部とを含み、サービス代理アクセス装置が、他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求部と、トークンを利用して他のサービスにアクセスするユーザ代理アクセス部とを含み、サービス提供装置が、トークンを利用して認証装置からユーザ認証情報を取得するユーザ認証証明書要求部を含むことを特徴とする。
本発明による認証装置は、サービス要求に応じてサービスを提供するサービス提供装置及び前記サービス提供装置へのアクセスを代行するサービス代理アクセス装置と接続されると共に、権限を委譲する条件を管理する認証装置であって、前記サービス代理アクセス装置は、他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを含み、前記サービス提供装置は、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を含み、当該認証装置は、他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、権限移譲先のユーザの情報と権限を委譲する条件とにづいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを備えことを特徴とする。
本発明によるサービス代理アクセス装置は、権限を委譲する条件を管理する認証装置及びサービス要求に応じてサービスを提供するサービス提供装置と接続されると共に、前記サービス提供装置へのアクセスを代行するサービス代理アクセス装置であって、前記認証装置は、他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを含み、前記サービス提供装置は、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を含み、当該サービス代理アクセス装置は、他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを備えことを特徴とする。
本発明によるサービス提供装置は、権限を委譲する条件を管理する認証装置及び当該サービス提供装置へのアクセスを代行するサービス代理アクセス装置と接続されると共に、サービス要求に応じてサービスを提供するサービス提供装置であって、前記認証装置は、他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを含み、前記サービス代理アクセス装置は、他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを含み、当該サービス提供装置は、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を備えことを特徴とする。
本発明によるアクセス権限管理方法は、権限委譲条件を管理し、ユーザ認証情報を発行する認証装置が、サービス要求に応じてサービスを提供するサービス提供装置と、サービス提供装置へのアクセスを代行するサービス代理アクセス装置に権限委譲に関する情報やトークンを生成、配布するアクセス権限管理方法であって、認証装置が、他の装置に対してユーザに関する情報が記載されたユーザ認証情報を生成するユーザ認証証明書生成ステップと、権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成ステップとを実行し、サービス代理アクセス装置が、他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求ステップと、トークンを利用し他のサービスにアクセスするユーザ代理アクセスステップとを実行し、サービス提供装置が、トークンを利用して認証装置からユーザ認証情報を取得するユーザ認証証明書要求ステップを実行することを特徴とする。
本発明による認証用プログラムは、サービス要求に応じてサービスを提供するサービス提供装置及び前記サービス提供装置へのアクセスを代行するサービス代理アクセス装置と接続されるコンピュータを、権限を委譲する条件を管理する認証装置として機能させる認証プログラムであって、前記サービス代理アクセス装置は、他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを含み、前記サービス提供装置は、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を含み、前記コンピュータを、他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、権限移譲先のユーザの情報と権限を委譲する条件とにづいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを備える認証装置として機能させることを特徴とする。
本発明によるサービス代理アクセスプログラムは、権限を委譲する条件を管理する認証装置及びサービス要求に応じてサービスを提供するサービス提供装置と接続されるコンピュータを、前記サービス提供装置へのアクセスを代行するサービス代理アクセス装置として機能させるサービス代理アクセスプログラムであって、前記認証装置は、他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを含み、前記サービス提供装置は、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を含み、前記コンピュータを、他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを備えるサービス代理アクセス装置として機能させることを特徴とする。
本発明によるサービス提供プログラムは、権限を委譲する条件を管理する認証装置及び当該サービス提供装置へのアクセスを代行するサービス代理アクセス装置と接続されるコンピュータを、サービス要求に応じてサービスを提供するサービス提供装置として機能させるサービス提供プログラムであって、前記認証装置は、他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを含み、前記サービス代理アクセス装置は、他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを含み、前記コンピュータを、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を備えるサービス提供装置として機能させることを特徴とする。
本発明によれば、セキュリティとプライバシを保護しつつ、アクセス制御や権限委譲を実現できる。
本発明によるアクセス権限管理システム全体の基本的構成を示すブロック図である。 本発明によるアクセス権限管理システムの構成を示すブロック図である。 第1の発明形態における認証装置の構成例を示すブロック図である。 第1の発明形態における認証装置が発行するユーザ認証証明書の例である。 第1の発明形態における権限委譲の条件である権限委譲設定者と権限委譲先利用者とアクセス先サービスIDとの対応を示す説明図である。 第1の発明形態におけるトークンと証明書との対応を示す説明図である。 第1の発明形態におけるサービス代理アクセス装置の構成を示すブロック図である。 第1の発明形態におけるサービス提供装置の構成を示すブロック図である。 第1の発明形態における処理の概要を示す流れ図である。 第1の発明形態における、あるユーザが他のユーザに権限委譲を設定するときの認証装置に関する処理を示す流れ図である。 第1の発明形態における、ユーザ認証証明書を要求・取得するときのサービス代理アクセス装置に関する処理を示す流れ図である。 第1の発明形態における、ユーザ認証証明書を生成するときの認証装置に関する処理を示す流れ図である。 第1の発明形態における、他のサービスに代理アクセスするときのサービス代理アクセス装置に関する処理を示す流れ図である。 第1の発明形態における、権限委譲の証明書を発行し、証明書に関連するトークンを発行するときの認証装置に関する処理を示す流れ図である。 第1の発明形態における、代理アクセスを受け付けるサービス提供装置に関する処理を示す流れ図である。 第1の発明形態における、トークンから証明書を取得するときの認証装置に関する処理を示す流れ図である。 第2の発明形態におけるサービス提供装置の構成を示すブロック図である。 第2の発明形態における、代理アクセスを受け付けるサービス提供装置に関する処理を示す流れ図である。 本発明の第3の実施形態の概要を示すブロック図である。 本発明によるアクセス管理システムの第1の実施例の構成を示す構成図である。 本発明によるアクセス管理システムの第2の実施例の構成を示す構成図である。 非特許文献1に記載された証明書の配信を実現するためのシステムの構成を示す構成図である。 特許文献1に記載された権限の委譲を実現するアクセス管理システムを説明するための説明図である。
符号の説明
1 認証装置
2 サービス代行アクセス装置
3 サービス提供装置
4 サービスアクセスユーザ端末装置
5 権限設定ユーザ端末装置
6 ネットワーク
7 サービス提供装置
10 ユーザ認証証明書要求受付部
11 ユーザ情報管理部
12 ユーザ認証証明書生成部
13 権限委譲設定情報受付部
14 権限委譲証明書・トークン生成部
15 権限ユーザ変換部
16 権限委譲証明書・トークン管理部
17 権限委譲証明書要求受付部
18 証明書要求受付部
20 ユーザ情報格納部
21 権限委譲条件格納部
22 サービス提供装置情報格納部
23 証明書格納部
31 ユーザ認証証明書要求部
32 ユーザ代理アクセス部
33 アクセス権限トークン要求部
34 ユーザ証明書管理部
35 ユーザ証明書検証部
36 アクセス権限トークン管理部
41 ユーザ認証証明書格納部
42 代理アクセス情報格納部
43 アクセス権限トークン格納部
50 サービスアクセス受付部
51 サービス情報管理部
52 アクセス権限トークン受付部
53 ユーザ認証証明書要求部
54 証明書検証部
60 サービス情報格納部
61 アクセス権限条件格納部
62 証明書情報格納部
71 サービス代理アクセス部
100 アイデンティティプロバイダ(IdP)
101 サービスプロバイダ(SP)
102 ユーザエージェント
103 利用者情報
104 利用者情報
110 組織A
111 組織B
112 組織Aの管理者
113 リソース
114 組織Bの管理者
115 組織Bのリソースアクセス者
200 認証装置
201 ショッピングサイト
202 商品購入者
202 運送業者
204 届け先
205 認証装置
206 ユーザ端末装置
207 サービスプロバイダ
208 課金代行サービス
209 会社の費用負担部門
A 認証装置
B サービス代理アクセス装置
C サービス提供装置
D 認証用プログラム
E サービス代理アクセス用プログラム
F サービス提供用プログラム
G ネットワーク
次に、本発明の実施形態について図面を参照して詳細に説明する。
図1は、本発明の実施形態であるアクセス権限管理システムの全体的な構成を示すブロック図である。本発明の第1の実施形態は、認証装置1と、サービス代理アクセス装置2と、サービス提供装置3と、サービスアクセスユーザ端末装置4と、権限設定ユーザ端末装置5とを有している。そして、これらの装置はそれぞれネットワーク6に接続されている。図1には、認証装置1、サービス代理アクセス装置2、サービス提供装置3、サービスアクセスユーザ端末装置4及び権限設定ユーザ端末装置5をそれぞれ1つずつ図示している。もっとも、これはあくまで例示であり、これら装置は、それぞれ、1つ以上存在してもよい。
他のユーザに権限を委譲するユーザは、権限設定ユーザ端末装置5を介して認証装置1にアクセスする。他のユーザから権限を委譲されたユーザは、サービスアクセスユーザ端末装置4を介してサービス代理アクセス装置2にアクセスする。なお、ユーザは、個人であっても、複数の個人で構成される組織であってもよい。
図2は、本発明によるアクセス権限管理システムの主要構成を示すブロック図である。図2に示すように、アクセス権限管理システムは、権限を委譲する条件を管理する認証装置1と、サービス要求に応じてサービスを提供するサービス提供装置3と、サービス提供装置へのアクセスを代行するサービス代理アクセス装置2とを有している。認証装置1は、ユーザ認証証明書生成部12と、権限委譲証明書・トークン生成部14とを含む。ユーザ認証証明書生成部12は、他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行する。また、権限委譲証明書・トークン生成部14は、権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する。サービス代理アクセス装置2は、トークン要求部33と、ユーザ代理アクセス部32とを含む。トークン要求部33は、他の装置にアクセスするための権限委譲情報とトークンの発行を要求する。また、ユーザ代理アクセス部32は、トークンを利用して他のサービスにアクセスする。サービス提供装置3は、トークンを利用して認証装置からユーザ認証情報を取得するユーザ認証証明書要求部53を含む。
また、サービス提供装置3は、他の装置に提供するサービスを保管するサービス情報格納部60を備え、他の装置からユーザに関する情報を取得するためのトークンを受信するトークン受付部52を有している。
なお、ユーザ認証証明書要求部53が取得するユーザ認証情報(例えば、ユーザ認証証明書)は、認証装置1内では、権限委譲情報(例えば、権限委譲証明書)と呼んでいたものである。認証装置1には、権限委譲設定情報があるので、権限委譲情報と判断できる。しかし、サービス提供装置3においては、ユーザに関する情報であり、権限委譲に関する情報がない。サービス提供装置3では権限委譲情報であるか否かは判断できないので、ユーザ認証情報とする。両者は同じ情報を指しているが、前提として持っている情報が装置毎に異なるので呼び方を変えている。
また、本実施の形態の各装置の構成を、下述のように変更してもよい。なお、本発明は記載された実施形態及び実施例に限定されるものではない。本発明の構成や詳細には、本発明の意義を逸脱しない範囲内で当業者が理解し得る様々な変更をすることができることは明らかである。
認証装置1は、権限を委譲するユーザが設定した、アクセス権限を委譲する条件を格納する権限委譲条件格納部21を含み、権限委譲証明書・トークン生成部14は、権限委譲条件格納部21に格納されている権限を委譲する条件に基づいて、権限委譲情報と権限委譲情報に対応するトークンとを発行するようにしてもよい。また、認証装置1は、権限委譲証明書・トークン生成部14が発行した権限委譲情報と、その権限委譲情報に対応するトークンとを保管する証明書格納部23と、トークンを受信すると、受信したトークンに対応する権限委譲情報を証明書格納部から取得する証明書要求受付部18とを含んでいてもよい。また、認証装置1は、別のユーザへのアクセス権限の委譲を認めるか否か判断する権限ユーザ変換部15を含み、権限委譲証明書・トークン生成部14は、権限ユーザ変換部15が権限委譲を認めると判断した場合に、権限委譲情報と権限委譲情報に対応するトークンとを発行するようにしてもよい。
また、サービス代理アクセス装置2は、アクセスしているユーザのユーザ認証情報を取得するユーザ認証証明書管理部35と、取得したユーザ認証情報を保管するユーザ認証証明書格納部41とを有していてもよい。
サービス提供装置3は、更に、ユーザ認証情報に記載されているユーザの代理として他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求部33Aと、他の装置に対してトークンを利用して他のサービスにアクセスするユーザ代理アクセス部32Aとを含んでいてもよい。
[第1の実施形態]
次に、本発明の第1の実施形態を説明する。アクセス権限管理システムの全体的な構成は、図1に示されたような構成である。
図3は、認証装置1の構成例を示すブロック図である。図3に示す例では、認証装置1は、ユーザ認証証明書要求受付部10と、ユーザ情報管理部11と、ユーザ認証証明書生成部12と、権限委譲設定情報受付部13と、権限委譲証明書・トークン生成部14と、権限ユーザ変換部15と、権限委譲証明書・トークン管理部16と、権限委譲証明書要求受付部17と、証明書要求受付部18と、ユーザ情報格納部20と、権限委譲条件格納部21と、サービス提供情報格納部22と、証明書格納部23とを含む。
ユーザ認証証明書要求受付部10は、ユーザ認証証明書の要求を他の装置から受け付けて、ユーザ認証証明書生成部12が発行したユーザ認証証明書を、ユーザ認証証明書の要求を行った装置に返信する。ユーザ認証証明書とは、ユーザ情報格納部20に格納(保管)されているユーザに関する情報を記載した文書であり、ユーザ識別子情報や証明書発行者情報などを含む。なお、ユーザ認証証明書の一例が図4に示されている。ユーザ認証証明書は、例えば、非特許文献1に記載されたSAMLや、X.509の形式であるが、それらの形式に限定されるものではない。本発明において、ユーザに関する情報が含まれていれば、ユーザ認証証明書は、どのような形式でもよい。
ユーザ情報管理部11は、ユーザ認証証明書要求受付部10がユーザ認証証明書の生成要求を受け取ったときに、証明書の対象になるユーザ情報をユーザ情報格納部20から取得し、ユーザ認証証明書生成部12に送る。ユーザ認証証明書生成部12は、ユーザ情報格納部20の情報を元にユーザ認証証明書を発行する。
権限委譲設定情報受付部13は、図1に示された権限設定ユーザ端末装置5から権限委譲設定情報を受け付ける。そして権限委譲設定情報受付部13は、権限委譲設定情報を、ユーザ情報格納部20に格納されている情報とともに権限委譲条件格納部21に格納する。ここで、権限委譲設定情報とは、権限委譲元ユーザの識別子と、権限を委譲する先のユーザの識別子と、委譲した権限を利用してアクセスできる対象になるプロバイダIDやURLやリソース等を含む情報である。なお、委譲条件格納部21に格納される情報の一例が図5に示されている。
権限委譲証明書・トークン生成部14は、代理アクセスするための権限委譲証明書の発行要求を権限委譲証明書要求受付部17から取得し、更に、権限ユーザ変換部15から委譲先ユーザの情報を取得し、権限委譲証明書を発行する。権限委譲証明書の形式は、ユーザ認証証明書の形式と同じである。権限委譲証明書を発行した認証装置1から見れば、権限委譲設定情報に基づいて発行された証明書なので、権限委譲証明書となる。しかし、権限委譲証明書を受け取るサービス提供装置3には権限委譲設定情報はなく、サービス提供装置3から見ると、ユーザの情報が記載されているので、単にユーザ認証証明書になる。
更に、権限委譲証明書・トークン生成部14は、証明書を一意に特定するためのトークンを発行する。トークンには、証明書を識別するための識別子が記載されている。証明書を一意に特定するためのトークンを、例えば、非特許文献1で挙げたSAMLが規定するアーティファクトを用いて実現できる。しかし、証明書と一意に対応付けられる文字列であれば、アーティファクト以外のどのような形式のものでもよい。
権限ユーザ変換部15は、権限委譲証明書要求受付部17からユーザ認証証明書を取得し、権限委譲条件格納部21に記載されている条件を元に、権限委譲を認めるか否かを判断する。権限委譲を認めると判断した場合には、権限が委譲されるユーザのユーザ情報をユーザ情報格納部20から取得する。例えば、ユーザ認証証明書に記載されているユーザの識別子が、権限委譲条件格納部21に格納されている権限委譲先ユーザの識別子として記載されている場合には、権限を委譲してよいと判断する。そして、権限委譲元ユーザとしてユーザ認証証明書(権限委譲証明書)の発行を認める。
権限委譲証明書・トークン管理部16は、権限委譲証明書・トークン生成部14が生成した証明書とトークンを関連付けて証明書格納部23に登録したり、トークンを利用して証明書格納部23から証明書を取得したりする。権限委譲証明書要求受付部17は、代理アクセスするための権限証明書の発行要求とユーザ認証証明書とを別の装置から取得する。そして、権限委譲証明書要求受付部17は、該認証装置1が生成したアクセス権限に関するトークンを、権限証明書の発行要求が取得された装置に返信する。
証明書要求受付部18は、他の装置からトークンを取得して、証明書格納部23に格納されている証明書を返信する。
ユーザ情報格納部20は、ユーザ情報を格納する。ユーザ情報とは、ユーザ識別子、ユーザのアクセス権限に関する情報(Read、Write、実行権限など)、及び他の装置に証明書を発行するか否かという情報などが含まれる。ただし、ユーザに関する情報は、それらの情報に限定されるものではない。これらの情報に加えて、又は、替えて他の情報を付加するようにしてもよい。
権限委譲条件格納部21は、委譲ユーザの識別子、委譲先ユーザの識別子、及びアクセス先装置やアクセス先情報などのユーザの権限委譲情報を格納する。サービス提供情報格納部22は、図1に示されたサービス提供装置3のアクセス先URLなどの情報を格納する。
証明書格納部23は、証明書とトークンとを対応付けて格納する。証明書格納部23が格納する情報の一例が図6に示されている。図6に示す例では、トークンをキーとして証明書が格納されている。
図7は、サービス代理アクセス装置2の構成例を示すブロック図である。図7に示すように、サービス代理アクセス装置2は、ユーザ認証証明書要求部31と、ユーザ代理アクセス部32と、トークン要求部33と、ユーザ認証証明書検証部34と、ユーザ認証証明書管理部35と、トークン管理部36と、ユーザ認証証明書格納部41と、代理アクセス情報格納部42と、トークン格納部43とを含む。
ユーザ認証証明書要求部31は、認証装置1にユーザ認証証明書を要求して、ユーザ認証証明書を取得する。
ユーザ代理アクセス部32は、代理アクセス情報格納部42に格納されているアクセス権限を確認し、代理アクセスできる場合には、認証装置1から取得したアクセス権限に関するトークンを利用して、ユーザの代理として他の装置にアクセスする。
トークン要求部33は、ユーザ認証証明書を利用して認証装置1に権限委譲証明書の発行を依頼し、トークンを取得する。
ユーザ認証証明書検証部34は、認証装置1から取得したユーザ認証証明書が正しいか否か検証する。ユーザ認証証明書が正しいか否か検証するとは、証明書の有効期間、証明書のフォーマット、証明書の発行者などを確認することによって、証明書に違反がないか確認することである。
ユーザ認証証明書管理部35は、ユーザ認証証明書をユーザ認証証明書格納部41に登録したり、アクセスしているユーザの認証証明書を取得したりする。トークン管理部36は、認証装置1から取得されたトークンをトークン格納部43に格納する。ユーザ認証証明書格納部41は、ユーザ認証証明書を格納する。代理アクセス情報格納部42は、当該装置がユーザの代理として他の装置にアクセスできるか否かというアクセス権限情報を格納する。
図8は、サービス提供装置3の構成例を示すブロック図である。図8に示すように、サービス提供装置3は、サービスアクセス受付部50と、サービス情報管理部51と、トークン受付部52と、ユーザ認証証明書要求部53と、証明書検証部54と、サービス情報格納部60と、アクセス権限条件格納部61と、証明書情報格納部62とを含む。
サービスアクセス受付部50は、他の装置からサービス要求を取得し、サービス要求が、アクセス権限条件格納部61に格納されているアクセス条件を満たしている場合は、サービスに関する情報を送付する。
サービス情報管理部51は、サービスに関する情報をサービス情報格納部60から取得する。トークン受付部52は、代理アクセスによるサービス要求を取得した際に、サービス要求メッセージからトークンを取得する。ユーザ認証証明書要求部53は、トークン受付部52から取得したトークンを認証装置1に送付し、ユーザ認証証明書を取得する。
証明書検証部54は、ユーザ認証証明書要求部53が取得したトークンを解析し、証明書が正しいことを確認する。サービス情報格納部60と、サービス提供装置3が他の装置に提供するサービスに関する情報を格納する。アクセス権限条件格納部61と、サービスを提供する条件を格納する。証明書情報格納部62は、ユーザに関する認証証明書を格納する。
次に、図9〜図16を参照して第1の実施形態の動作を説明する。
まず、システム全体の動作の流れを、図9を用いて説明する。権限設定ユーザ端末装置5は、認証装置1にアクセスし、権限委譲の条件を設定する(ステップI1)。このとき、すでに認証装置1に権限委譲の条件が設定されている場合には、ステップI1の処理を省略することができる。ステップI1の処理の詳細については、図10を参照して後述する。次に、サービスアクセスユーザ端末装置4は、サービス代理アクセス装置2にアクセスする。そして、サービス代理アクセス装置2は、認証装置1からユーザ認証証明書を取得する(ステップI2)。ステップI2の処理の詳細については、図11を参照して後述する。その後、サービス代理アクセス装置2は、ユーザの権限を用いてサービス提供装置3に代理アクセスする(ステップI3)。ステップI3の処理の詳細については、図13を参照して後述する。
次に、図10を参照して、あるユーザ(ユーザAとする)が他のユーザ(ユーザBとする)にアクセス権限を委譲するための設定動作を説明する。図10は、あるユーザが他のユーザに権限委譲を設定するときの認証装置1に関する処理を示す流れ図である。
ユーザAは、権限設定ユーザ端末装置5を介して認証装置1の権限委譲設定情報受付部13にアクセスする(ステップA1)。次に、権限を委譲するユーザAは、ユーザ情報格納部20に管理されているユーザ自身のアクセス権限を、別のユーザに委譲するための条件を入力する(ステップA2)。そして、入力された権限を権限委譲条件格納部21に登録する(ステップA3)。上記の処理によって、権限委譲を実現するための条件が設定される。ユーザAは、ユーザAが設定した権限委譲に関する情報を、ユーザBに通知する。通知は、ネットワークを介して行われてもよいし、オフラインで行われてもよい。
次に、図11を参照して、サービスアクセスユーザ端末装置4がサービス代理アクセス装置2にアクセスした際に、サービス代理アクセス装置2が認証装置1からユーザ認証証明書を取得する動作を説明する。図11は、ユーザ認証証明書を要求して取得するときのサービス代理アクセス装置2に関する処理を示す流れ図である。
まず、権限を委譲されたユーザBは、サービスアクセスユーザ端末装置4を介してサービス代理アクセス装置2のユーザ認証証明書要求部31にアクセスする(ステップB1)。ユーザ認証証明書要求部31は、ユーザ認証証明書を要求するためのメ要求ッセージを生成し、認証装置1に送付する(ステップB2)。要求ッセージを受信した認証装置1は、ユーザ認証証明書を発行し、サービス代理アクセス装置2に送付する(ステップB3)。ステップB3の処理の詳細については、図12を参照して後述する。認証装置1からユーザ認証証明書を取得すると、ユーザ認証証明書検証部34は、ユーザ認証証明書が正しく発行されているか否か検証する(ステップB4)。ステップB4の検証処理の結果、証明書が正しくないと判断された場合には、処理を終了する。ステップB4の検証の結果、証明書が正しいと判断された場合には、ユーザ認証証明書管理部35は、ユーザ認証証明書格納部41に該証明書を登録し、処理を終了する(ステップB5)。
次に、図12を参照して、認証装置1がユーザ認証証明書を発行する処理(図11におけるステップB3)の動作を説明する。図12は、ユーザ認証証明書を生成するときの認証装置に関する処理を示す流れ図である。
まず、認証装置1は、ユーザ認証証明書要求受付部10を介して他の装置から証明書要求を受信する(ステップC1)。次に、ユーザ情報管理部11は、証明書に記載するユーザ情報をユーザ情報格納部20から取得する(ステップC2)。更に、ユーザ認証証明書生成部12は、他の装置からの証明書要求と、ユーザ情報格納部20から取得したユーザ情報に基づいて、ユーザ認証証明書を発行する(ステップC3)。そして、ユーザ認証証明書要求受付部10は、ユーザ認証証明書を要求した装置にユーザ認証証明書を送付する(ステップC4)。
次に、図13を参照して、サービス代理アクセス装置2が権限委譲されたユーザBの要求に従って権限委譲したユーザAの権限でサービス提供装置3にアクセスする動作について説明する。図13は、他のサービスに代理アクセスするときのサービス代理アクセス装置2に関する処理を示す流れ図である。
まず、ユーザBは、サービス代理アクセス装置2のユーザ代理アクセス部32にアクセスし、サービス代理アクセス装置2に対して代理アクセスを要求する(ステップD1)。ユーザ代理アクセス部32は、代理アクセス情報格納部42に格納されているアクセス権限を確認し、ユーザBが代理アクセスを実行できか否か(ユーザBがサービス代理アクセス装置2を利用できるか否か)を判断する(ステップD2)。実行できない場合には、処理を終了する(ステップD9)。ステップD2の判断の結果、代理アクセスできる場合には、トークン要求部33は、代理アクセスのためのトークンを要求するメッセージを生成し、生成したメッセージとユーザ認証証明書格納部41に保管されている(ユーザBの)ユーザ認証証明書とを認証装置1に送付する(ステップD3)。
次に、認証装置1は、権限委譲証明書とトークンとを生成し、トークンをサービス代理アクセス装置2に送付する(ステップD4)。ステップD4の処理の詳細については、図14を参照して後述する。その後、トークン管理部36を介してトークンがトークン格納部43に登録された後、ユーザ代理アクセス部32は、サービス提供装置3に対するアクセス要求メッセージを作成する(ステップD5)。更に、ユーザ代理アクセス部32は、アクセス要求メッセージと認証装置1で生成されたトークンとをサービス提供部3に送付する(ステップD6)。
また、サービス提供装置3は、アクセス要求メッセージに基づいてサービス情報をサービス代理アクセス装置2に送付する(ステップD7)。ステップD7の処理の詳細については、図15を参照して後述する。最後に、ユーザ代理アクセス部32は、サービスに関する情報を取得し、ユーザBに代理アクセスの処理結果を送付する(ステップD8)。
次に、図14を参照して、認証装置1が権限委譲証明書とトークンを生成する動作を説明する。図14は、権限委譲の証明書を発行し、証明書に関連するトークンを発行するときの認証装置に関する処理を示す流れ図である。
まず、認証装置1の権限委譲証明書要求受付部17は、権限委譲証明書の発行を要求する発行要求メッセージと(ユーザBの)ユーザ認証証明書とを取得する(ステップE1)。次に、権限ユーザ変換部15は、発行要求メッセージに記載されている情報と(ユーザBの)ユーザ認証証明書に記載されている情報とを、権限委譲条件格納部21に格納されている情報(条件)に照合して、(ユーザAに関する)権限委譲証明書を発行できるか否かを判断する(ステップE2)。発行要求メッセージまたはユーザ認証証明書に記載されている情報が条件を満たしていない場合には、処理を終了する(ステップE8)。ステップE2の判断の結果、証明書を発行できると判断した場合には、発行要求メッセージに記載されている情報と権限委譲条件格納部21で管理されている情報とに基づいて、委譲したユーザAの情報をユーザ情報格納部20から取得する(ステップE3)。
次に、権限委譲証明書・トークン生成部14は、ユーザ情報格納部20から取得したユーザAの情報を利用して、権限委譲証明書を発行する(ステップE4)。また、権限委譲証明書・トークン生成部14は、権限委譲証明書に対応するトークンを発行する(ステップE5)。その後、権限委譲証明書・トークン管理部16は、証明書格納部23にトークンと権限委譲証明書とを登録する(ステップE6)。そして、権限委譲証明書要求受付部17は、権限委譲証明書を要求した装置に、生成したトークンを送付する(ステップE7)。以上のように、権限委譲証明書・トークン生成部14は、権限を委譲する条件に基づいて、権限委譲情報(具体的には、権限委譲証明書)と権限委譲情報に対応するトークンとを生成し、権限委譲証明書要求受付部17を介して他の装置に対して発行する。
次に、図15を参照して、サービス提供装置3が他の装置からのアクセスを受け付けたときの動作を説明する。図15は、代理アクセスを受け付けるサービス提供装置3に関する処理を示す流れ図である。
サービス提供装置3のサービスアクセス受付部50は、サービスへのアクセス要求するメッセージを受け付け、トークン受付部52は、トークンを受け付ける(ステップF1)。次に、ユーザ認証証明書要求部53は、受け付けられたトークンを利用して、ユーザ認証証明書を要求するメッセージを作成し、認証装置1に送付する(ステップF2)。
認証装置1は、権限委譲証明書をユーザAのユーザ認証証明書としてサービス提供装置3に送付する(ステップF3)。ステップF3の処理の詳細については、図16を参照して後述する。次に、証明書検証部54は、認証装置1から送付されたユーザ認証証明書を検証する(ステップF4)。検証する内容は、証明書の有効期間の確認や、証明書のフォーマットの確認や、証明書の発行者の確認などである。ユーザAのユーザ認証明書が正しくないと判断された場合には、処理を終了する(ステップF8)。ステップF4の検証の結果、証明書が正しいと判断された場合には、ユーザAのユーザ認証明書を証明書情報格納部62に登録する(ステップF5)。
次に、サービスアクセス受付部50は、取得されたユーザAのユーザ認証証明書に記載されている内容と、アクセス権限条件格納部61で管理されている条件とを照合して、ユーザAがサービス提供装置3にアクセスしてよいか否かを判断する(ステップF6)。アクセスできないと判断された場合には、処理を終了する(ステップF8)。ステップF6の処理の結果、アクセスを認めると判断された場合には、サービスアクセス受付部50は、サービス情報管理部51を介してサービス情報格納部60からサービスに関する情報を取得し、取得した情報をアクセス元に送付する(ステップF7)。
次に、図16を参照して、認証装置1がトークンを取得して証明書を送付する動作を説明する。トークンから証明書を取得するときの認証装置に関する処理を示す流れ図である。
認証装置1の証明書要求受付部18は、権限委譲証明書の代わりとしてユーザ認証証明書を要求するメッセージとトークンとを受信する(ステップG1)。証明書要求受付部18は、受信されたトークンを利用して、権限委譲証明書・トークン管理部16を介して証明書格納部23からトークンに対応する証明書を取得する(ステップG2)。そして、証明書要求受付部18がアクセス元に証明書を送付する(ステップG3)。
以上に説明したように、本発明によるアクセス権限管理システムは、図1に示されたように、権限の委譲やユーザ証明書を発行する認証装置1と、ユーザの権限で他のプロバイダにアクセスするサービス代理アクセス装置2と、他のサービスからのからアクセスを受け付けてユーザ情報を確認しサービスを提供するサービス提供装置3と他のユーザから権限を委譲されたユーザがサービスにアクセスするために利用するサービスアクセスユーザ端末装置4と他のユーザに権限を委譲するための設定を登録するユーザが利用する権限設定ユーザ端末装置5が、相互にネットワーク6を介して接続されている。
そして、図3に示されたように、認証装置1は、ユーザ認証証明書要求受付部10が受け付けた証明書要求に基づいて、ユーザ情報格納部20に格納されている情報をユーザ情報管理部11を介して取得し、ユーザ認証証明書を生成するユーザ認証証明書生成部12と、ユーザ端末装置からの権限委譲設定情報を受け付けて、権限委譲条件格納部21に登録する権限委譲設定情報受付部13と、権限委譲証明書要求受付部17が受け付けた証明書要求に基づいて、権限ユーザ変換部15とサービス提供部情報格納部22から取得した情報を利用して、権限委譲設定情報に基づいて作成するユーザ認証証明書(これを権限委譲証明書という。)と証明書に対応するトークンとを生成する権限委譲証明書・トークン生成部14と、権限委譲証明書・トークン生成部14が生成したトークンを権限委譲証明書・トークン管理部16を介して証明書を関連付けて登録する証明書格納部23と、受け付けたトークンを利用して証明書格納部23が格納する証明書を検索して、要求元に返信する証明書要求受付部18とを備えている。
図7に示されたように、サービス代理アクセス装置2は、ユーザ認証証明書要求部31が認証装置1からユーザ認証証明書を取得すると、ユーザ認証証明書を検証するユーザ認証証明書検証部34と、ユーザ認証証明書をユーザ認証証明書格納部41に格納するユーザ認証証明書管理部35と、ユーザ認証証明書格納部41が格納している証明書情報と、代理アクセス情報格納部42が格納している代理アクセスのための条件とを比較し、合致するか否かを判断し、合致した場合には、トークン要求部33を介してアクセス権限に関するトークンを要求し、取得したトークンをトークン格納部43に登録するトークン管理部36と、トークン要求部33が取得したトークンを利用して他のプロバイダにユーザの権限で代理アクセスするユーザ代理アクセス部32を備えている。
図4に示されたように、サービス提供装置3は、アクセス権限条件格納部61が保管している条件に合致している状況の下で、サービス情報格納部60に格納されている情報を、サービス情報管理部51を介して取得し、アクセス元に返送するサービスアクセス受付部50と、トークン受付部52が取得したトークンを元に証明書を取得し、証明書検証部54を用いて証明書を検証し、証明書情報格納部62に保管させるユーザ認証証明書要求部53とを備えている。
ユーザ認証証明書要求部53が取得する証明書は、認証装置1内では、権限委譲証明書と呼んでいたものである。認証装置1には、権限委譲設定情報があるので、権限委譲のための証明書(権限委譲証明書)と判断できる。しかし、サービス提供装置3においては、ユーザの情報が記載されている証明書であり、権限委譲に関する情報がない。サービス提供装置3では権限委譲証明書であると判断できないので、ユーザ認証証明書とする。両者は同じものを指しているが、前提として持っている情報が異なるので呼び方を変えている。
このような構成を採用し、権限を他のユーザに委譲するユーザが権限設定ユーザ端末装置6を介して認証装置1に権限条件を設定し、その後、権限を委譲されたユーザがサービスアクセスユーザ端末装置5を介してサービス代理アクセス装置2にアクセスし、サービス代理アクセス装置2が認証装置1に権限委譲証明書とトークンの発行を依頼し、更に、サービス提供装置3にアクセスしてトークンを送付する。サービス提供装置3が認証装置1からトークンを利用して権限を委譲したユーザの証明書を取得し、委譲したユーザの証明書を用いてアクセスを制御することによって、本発明の目的を達成することができる。
本実施形態の効果を説明する。本実施形態では、認証装置1がアクセスしてきた装置に応じて、適切なユーザ認証証明書を選択的に送付するように構成されているので、不要なユーザ情報を送付する必要がなくなり、情報漏えいの可能性を軽減できる。
また、本実施形態では、更に、権限を委譲するユーザ(ユーザA)は認証装置1にのみ権限委譲条件を設定し、サービス提供装置3は委譲されたユーザ(ユーザB)ではなく権限を委譲したユーザ(ユーザA)としてアクセス可否を判断するというように構成されている。そのため、権限を委譲するユーザAは一箇所のみに権限委譲条件を設定すればよい。その結果、権限設定の手間を省くことができる。
また、本実施形態では、更に、権限を委譲するユーザが認証装置1に対して権限委譲条件を入力するので、ユーザの確認やユーザの同意を求めながら、ユーザの意図に沿った権限委譲の設定ができる。
[第2の実施形態]
次に、本発明の第2の実施形態を図面を参照して説明する。図17は、第2の発明形態におけるサービス提供装置であるサービス提供装置7の構成を示すブロック図である。図17に示すように、第2の実施形態は、サービス提供装置7が、図8に示された第1の実施形態におけるサービス提供装置3の構成に加えて、代理アクセス部71を有している点で異なる。また、全体的な構成は、サービス提供装置3に代えて、又は、サービス提供装置3に加えてサービス提供装置7が存在することになるが、図1に示された構成と同じである。
代理アクセス部71は、ユーザ代理アクセス部32と、トークン要求部33と、代理アクセス情報格納部42と、トークン格納部43とを含む。代理アクセス部71に含まれるそれぞれの部は、図4に示された第1の実施形態におけるサービス代理アクセス装置2に含まれるユーザ代理アクセス部32と、トークン要求部33と、代理アクセス情報格納部42と、トークン格納部43と、それぞれ同じ動作をする。
権限設定ユーザ端末装置5が認証装置1に権限の委譲を設定する処理と、サービス代理アクセス装置2が認証装置1からユーザ認証証明書を取得する処理は、図10、図11、図12に示された第1の実施形態における動作と同じである。また、サービス代理アクセス装置2が代理アクセスのための権限に関する証明書を認証装置1に発行依頼し、その結果トークンを取得し、サービス提供装置7にアクセス要求メッセージを送付する動作は、第1の実施形態における動作(図13のステップD1〜D6までの処理)と同じである。しかし、サービス提供装置7が代理アクセス要求を受けた場合の動作が、第1の実施形態における動作と異なり、図18の流れ図に示すようになる。
次に、図18の流れ図を参照して本実施形態の全体の動作を説明する。
サービス提供装置7がアクセス要求を取得すると、認証装置1からユーザ認証証明書を取得し、サービスの提供の可否を判断する(ステップF1〜F7)。ステップF1〜F7の処理は、図15に示された第1の実施形態におけるサービス提供装置3の動作と同じである。
第2の実施形態では、サービス提供装置7がサービス情報を送付したときに、サービス装置7が他のサービス装置に対して代理アクセスを行う。代理アクセスを行うために、サービス提供装置7におけるトークン要求部33は、認証装置1に対して、ステップF3の処理で取得したユーザ認証証明書を送付するとともに、代理アクセスを実現するためのトークンの発行要求メッセージを送付する(ステップH10)。認証装置1がトークンの発行要求を受信すると、証明書とその証明書に対応するトークンを発行し、サービス提供装置7に送付する(ステップH11)。ステップH11の処理は、図14に示された第1の実施形態における認証装置1の処理と同じである。
サービス提供装置7がトークンを取得すると、トークン管理部36がトークンをトークン格納部43に登録する。更に、ユーザ代理アクセス部32は、代理アクセス情報格納部42の情報を利用して、他のサービス提供装置に対して代理アクセスするためのアクセス要求メッセージを作成する(ステップH12)。そして、ユーザ代理アクセス部32は、他のサービス提供装置に対してアクセス要求メッセージを送付する(ステップH13)。
アクセス要求メッセージを受信したサービス提供装置は、図15に示されたサービス提供装置3の処理と同じ処理、または、図18に示されたサービス提供装置7の処理と同じ処理であるサービス要求受付処理を行う(ステップH14)。その後、ユーザ代理アクセス部32は、代理アクセスの結果を、サービス提供装置7にアクセスしている装置に対して送付する(ステップH15)。
第2の実施形態の効果を説明する。第2の実施形態では、認証装置1で保管されている権限委譲の条件に関する情報をサービスアクセスユーザ端末装置4が再利用し、権限委譲されたサービス利用装置7が、更に別のサービス利用装置に対して権限を再委譲するというように構成されている。そのため、サービス代理アクセス装置2は、別のサービス利用装置への権限の再委託を考慮することなく権限委譲を設定でき、サービス代理アクセス装置2の権限委譲処理を簡略化できる。
[第3の実施形態]
次に、本発明の第3の実施形態を図面を参照して説明する。図19は、第3の実施形態の全体的な構成を示すブロック図である。図19に示すように、第3の実施形態は、第1及び第2の実施形態と同様に、ネットワークGを介して通信可能な認証装置Aとサービス代理アクセス装置Bとサービス提供装置Cとを備えている。なお、認証装置Aは、第1及び第2の実施形態における認証装置1に相当する。サービス代理アクセス装置Bは、サービス代理アクセス装置2に相当する。サービス提供装置Cは、第1及び第2の実施形態におけるサービス提供装置3またはサービス提供装置7に相当する。
認証装置A、サービス代理アクセス装置B及びサービス提供装置Cは、それぞれCPUを搭載している。認証用プログラムDは、認証装置Aの動作を制御し、サービス代理アクセス装置Bやサービス提供装置Cからの要求に従って、証明書を発行したり、トークンを発行したりするためのプログラムである。認証装置Aは、認証用プログラムDに従って制御を実行することによって、第1及び第2の実施形態における認証装置1の処理と同じ処理を実行する。
サービス代理アクセス用プログラムEは、サービス代理アクセス装置Bの動作を制御し、証明書やトークンを認証装置Aから取得し、サービス提供装置Cにアクセスするためのプログラムである。サービス代理アクセス装置Bは、サービス代理アクセス用プログラムEに従って制御を実行することによって、第1及び第2の実施形態におけるサービス代理アクセス装置2の処理と同じ処理を実行する。
サービス提供用プログラムFは、サービス提供装置Cの動作を制御し、認証装置Aから証明書を取得し、サービス代理アクセス装置Bにサービスを提供するためのプログラムである。サービス提供装置Cは、サービス提供用プログラムFに従って制御を実行することによって、第1及び第2の実施形態におけるサービス提供装置3,7の処理と同じ処理を実行する。
[実施例1]
次に、本発明の第1の実施例を、図面を参照して説明する。第1の実施例は本発明の第1の実施形態に対応する実施例である。
図20は、アクセス管理システムの第1の実施例の構成を示す構成図である。アクセス権限管理システムは、図20に示すように、認証装置200と、ショッピングサイト201と、運送業者202(具体的には、運送業者におけるサーバ装置等)とを含む。また、図20には、商品購入者203と、商品届け先ユーザ204とが示されている。
認証装置200は、ンターネット上でユーザ情報を管理し証明書を配布する装置である。ショッピングサイト201は、サービス代理アクセス装置として振舞う装置である。運送業者202(具体的には、運送業者におけるサーバ装置等)は、サービス提供装置として振舞う装置である。商品購入者203は、サービスアクセスユーザ端末装置を介してネットワークにアクセスする。商品届け先ユーザ204は、権限設定ユーザ端末装置を介してネットワークにアクセスする。
本実施例では、商品購入者203がショッピングサイト202で商品を購入し、届け先ユーザ204に贈答するために商品届け先204の権限で運送業者202に商品の配送を依頼し、運送業者202が商品を配送する。本実施例における認証装置として、ISP(インターネットサービスプロバイダ)やキャリアなどのユーザ情報を管理する組織が想定されている。
また、本実施例における運送業者202は、すでに商品届け先の連絡先を管理している。連絡先にアクセスできる権限は、商品届け先204のユーザが持っているとする。本実施例では、商品届け先の連絡先にアクセスする権限をユーザや装置間で委譲する。
商品届け先204のユーザは、認証装置200に対して、商品購入者203が運送業者202内で管理されている連絡先にアクセスする権限を委譲することを認めることを通知する(図20におけるステップS100)。通知に基づいて、商品購入者がプレゼントとして購入した商品を商品届け先に送付できるようになる。
以上の条件の下で商品購入者203は、ショッピングサイト201にアクセスする(図20におけるステップS101)。ショッピングサイト201は、アクセスしてきたユーザ情報を取得するために、ユーザ認証証明書要求を認証装置200に送付する(図20におけるステップS102)。要求を受信した認証装置200は、ユーザ認証証明書を発行し(図20におけるステップS103)、ショッピングサイト201に送付する(図20におけるステップS104)。ユーザ認証証明書を見ればユーザを識別できるので、ショッピングサイト201は、商品購入者203のアクセスに従って商品購入手続きと、商品配送手続きを行う(図20におけるステップS105)。
また、ショッピングサイト201は、運送業者202に商品発送を依頼するための権限を認証装置200に要求する(図20におけるステップS106)。認証装置200が権限証明書の発行要求を受信すると、認証装置200は、商品購入者203が運送業者202内で管理されている商品届け先204の連絡先にアクセスできるか判断する。アクセスを認める場合には、運送業者202向けに商品届け先204のユーザに関するユーザ認証証明書を発行し、更に、トークンを発行する(図20におけるステップS107)。
次に、認証装置200がショッピングサイト201に、発行されたトークンを送付する(図20におけるステップS108)。ショッピングサイトがトークンを受信すると、トークンとともに商品発送要求を送付する(図20におけるステップS110)。運送業者202が、商品発送要求を受信すると、その要求が誰の権限でアクセスしているのか確認する(図20におけるステップS111)。しかし、この段階では、ユーザ認証証明書はなく、トークンのみが受信されているので、運送業者202は、認証装置200にトークンを送付するとともに、証明書を要求する(図20におけるステップS112)。認証装置200は、受信したトークンから証明書を検索して取得する(図20におけるステップS113)。そして、証明書を要求している運送業者202に送付する(図20におけるステップS114)。
運送業者202が証明書を受信すると、権限を確認し、商品届け先204の連絡先にアクセスできるか否かを判断する(図20におけるステップS115)。アクセスできた場合には、商品届け先住所が分かるので、ショッピングサイト201の要求に従って、商品を商品届け先204に送付する。
本実施例では、ショッピングサイトと運送業者は、ユーザの権限に関するトークンを交換するだけであり、ユーザID等のユーザ情報が記載された文書を交換していない。また、商品届け先204のユーザは、認証装置200にのみ権限委譲を設定するだけでよく、委譲の条件を複数の装置に配布する必要はない。
[実施例2]
次に、本発明の第2の実施例を、図面を参照して説明する。第2の実施例は本発明の第2の実施形態に対応する実施例である。
図21は、アクセス管理システムの第2の実施例の構成を示す構成図である。アクセス権限管理システムは、図21に示すように、認証装置205と、サービスプロバイダ207と、課金代行サービス208(具体的には、課金代行サービス提供者におけるサーバ装置等)と、費用負担部門209(具体的には、費用負担部門におけるサーバ装置等。)を含む。
認証装置205は、インターネット上でユーザ情報を管理し証明書を配布する装置である。サービスプロバイダ207は、サービス代理アクセス装置として振舞う装置である。課金代行サービス208(具体的には、課金代行サービス提供者におけるサーバ装置等)は、サービス提供と代理アクセスとを行うサービス提供装置として振舞う。ユーザ端末装置206は、サービスアクセスユーザ端末装置を介してネットワークにアクセスする社員が利用する装置である。費用負担部門209は、課金代行サービスの要求に従って支払い処理を行う会社の部門である。なお、費用負担部門209における他者との通信処理などは、具体的には、費用負担部門209におけるサーバ装置等で実現される。
本実施例では、会社の費用負担部門209の管理者が権限設定ユーザ端末装置を介して社員に課金代行サービスへのアクセス権限を設定しているとする。また、本実施例では、ユーザがサービスプロバイダ207を利用する際に、ユーザ自身の権限で利用するが、そのサービス利用料は会社の費用負担部門209が支払うとする。そのサービス利用料の課金は、課金代行サービス208が課金処理を行う。サービスプロバイダ207は、会社の費用負担部門209の権限で課金代行サービスに課金を依頼する。また、課金代行サービス208は、サービスプロバイダ207の権限で会社の費用負担部門209に支払い請求をすることになる。
社員としての権限を持っているユーザは、ユーザ端末装置206を介して、サービスプロバイダ207にアクセスする(図21におけるステップS201)。サービスプロバイダ207は、アクセスしてきたユーザ情報を取得するために、ユーザ認証証明書要求を認証装置205に送付する(図21におけるステップS202)。要求を受信した認証装置205は、ユーザ認証証明書を発行し(図21におけるステップS203)、サービスプロバイダ207に送付する(図21におけるステップS204)。ユーザ認証証明書を見ればユーザを識別できるので、サービスプロバイダ207は、ユーザに対してサービスを提供する(図21におけるステップS205)。
次に、サービスプロバイダ207は、課金代行サービス208に課金処理を依頼するための権限を認証装置205に要求する(図21におけるステップS206)。認証装置205は、権限証明書の発行要求を受信すると、ユーザが勤めている会社の費用負担部門209の情報が記載されたユーザ認証証明書を発行し、更に、トークンを発行する(図21におけるステップS207)。次に、認証装置205が発行したトークンをサービスプロバイダ207に送付する(図21におけるステップS208)。サービスプロバイダ207がトークンを受信すると、トークンとともに課金代行要求を送付する(図21におけるステップS210)。課金代行サービス208が、課金代行要求を受信すると、誰に課金するべきか確認する(図21におけるステップS211)。
しかし、この段階では、ユーザ認証証明書はなく、課金代行サービス208は、トークンのみを受信している。そこで、認証装置205にトークンを送付し、証明書を要求する(図21におけるステップS212)。認証装置205は、受信したトークンから証明書を検索して取得する(図21におけるステップS213)。そして、証明書を要求している課金代行サービス208に送付する(図21におけるステップS214)。課金代行サービス208が証明書を受信すると、権限を確認し、課金処理を行う(図21におけるステップS215)。
更に、課金代行サービス208が会社の費用負担部門209に請求書を送付する際には、課金代行サービス208はサービスプロバイダ207の代わりに費用負担部門209にアクセスすることになる。そこで、課金代行サービス208は、費用負担部門209にアクセスするための権限に関する証明書の発行要求を認証装置205に送付する(図21におけるステップS216)。認証装置205は、証明書発行要求を受信すると、サービスプロバイダ207が費用負担部門209にアクセスするための証明書を発行し、更に、トークンを発行する(図21におけるステップS217)。そして、認証装置205は、課金代行サービス208にトークンを送付する(図21におけるステップS218)。
課金代行サービス208がトークンを受信すると、受信したトークンと、支払い請求書とを会社の費用負担部門209に送付する(図21におけるステップS219)。費用負担部門209が支払い要求書を受け付けると、どこのサービスからの要求であるかを確認するために、認証装置205に証明書の要求メッセージと受信したトークンを送付する(図21におけるステップS220)。認証装置205は、受信したトークンに対応付けられた証明書を取得する(図21におけるステップS221)。その後、認証装置205は、証明書を要求してきた費用負担部門209に送付する(図21におけるステップS222)。証明書を受け取った費用負担部門209は、証明書と支払い要求書を確認して、支払い処理を完了する(図21におけるステップS223)。
本願は、日本の特願2007−335988(2007年12月27日に出願)に基づいたものであり、又、特願2007−335988に基づくパリ条約の優先権を主張するものである。特願2007−335988の開示内容は、特願2007−335988を参照することにより本明細書に援用される。
本発明の代表的な実施形態が詳細に述べられたが、様々な変更(changes)、置き換え(substitutions)及び選択(alternatives)が請求項で定義された発明の精神と範囲から逸脱することなくなされることが理解されるべきである。また、仮にクレームが出願手続きにおいて補正されたとしても、クレームされた発明の均等の範囲は維持されるものと発明者は意図する。
本発明は、複数のサービスプロバイダが連携してユーザにサービスを提供する状況において、あるユーザが別のユーザから委譲された権限を利用して、サービスプロバイダに代理アクセスを実行することを許可するといった用途に適用可能である。また、インターネットサービス、企業内システム、企業間システム、キャリアシステムなどのネットワーク上で構築される分散システムにおける証明書管理や権限委譲管理システムや、権限管理システムをコンピュータに実現するためのプログラムといった用途に適用可能である。

Claims (22)

  1. 権限を委譲する条件を管理する認証装置と、サービス要求に応じてサービスを提供するサービス提供装置と、前記サービス提供装置へのアクセスを代行するサービス代理アクセス装置とを備え、
    前記認証装置は、
    他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、
    権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを含み、
    前記サービス代理アクセス装置は、
    他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、
    トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを含み、
    前記サービス提供装置は、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を含む
    ことを特徴とするアクセス権限管理システム。
  2. サービス提供装置は、
    ユーザ認証情報に記載されているユーザの代理として他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、
    他の装置に対してトークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを更に含む
    請求項1記載のアクセス権限管理システム。
  3. 認証装置は、権限を委譲するユーザが設定したアクセス権限を委譲する条件を格納する権限委譲条件格納手段を更に含み、
    権限委譲証明書・トークン生成手段は、前記権限委譲条件格納手段に格納されている権限を委譲する条件に基づいて、権限委譲情報と権限委譲情報に対応するトークンとを発行する
    請求項1または請求項2記載のアクセス権限管理システム。
  4. 認証装置は、
    権限委譲証明書・トークン生成手段が発行した権限委譲情報と、その権限委譲情報に対応するトークンとを保管する証明書格納手段と、
    トークンを受信すると、受信したトークンに対応する権限委譲情報を前記証明書格納手段から取得する証明書要求受付手段とを更に含む
    請求項1から請求項3のうちのいずれか1項に記載のアクセス権限管理システム。
  5. 認証装置は、別のユーザへのアクセス権限の委譲を認めるか否か判断する権限ユーザ変換手段を含み、
    権限委譲証明書・トークン生成手段は、前記権限ユーザ変換手段が権限委譲を認めると判断した場合に、権限委譲情報と権限委譲情報に対応するトークンとを発行する
    請求項1から請求項4のうちのいずれか1項に記載のアクセス権限管理システム。
  6. サービス要求に応じてサービスを提供するサービス提供装置及び前記サービス提供装置へのアクセスを代行するサービス代理アクセス装置と接続されると共に、権限を委譲する条件を管理する認証装置であって、
    前記サービス代理アクセス装置は、
    他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、
    トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを含み、
    前記サービス提供装置は、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を含み、
    当該認証装置は、
    他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、
    権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを備える
    ことを特徴とする認証装置。
  7. 別のユーザへのアクセス権限の委譲を認めるか否か判断する権限ユーザ変換手段と、
    前記権限ユーザ変換手段が別のユーザへのアクセス権限委譲を認めた場合にサービス提供装置に送付する権限委譲情報と、サービス代理アクセス装置に送付する権限委譲情報に対応するトークンとを発行する手段とを更に備えた請求項6記載の認証装置。
  8. 権限を委譲する条件を管理する認証装置及びサービス要求に応じてサービスを提供するサービス提供装置と接続されると共に、前記サービス提供装置へのアクセスを代行するサービス代理アクセス装置であって、
    前記認証装置は、
    他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、
    権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを含み、
    前記サービス提供装置は、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を含み、
    当該サービス代理アクセス装置は、
    他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、
    トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを備える
    ことを特徴とするサービス代理アクセス装置。
  9. アクセス権限を格納する代理アクセス情報格納手段と、
    当該サービス代理アクセス装置がユーザの代理としてサービス提供装置に代理アクセスできる場合に、認証装置より取得したトークンを利用してサービス提供装置にアクセスする手段とを更に備えた請求項8記載のサービス代理アクセス装置。
  10. 権限を委譲する条件を管理する認証装置及び当該サービス提供装置へのアクセスを代行するサービス代理アクセス装置と接続されると共に、サービス要求に応じてサービスを提供するサービス提供装置であって、
    前記認証装置は、
    他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、
    権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを含み、
    前記サービス代理アクセス装置は、
    他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、
    トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを含み、
    当該サービス提供装置は、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を備える
    ことを特徴とするサービス提供装置。
  11. 他のサービス提供装置にアクセスするためのトークンを認証装置より取得する手段と、
    前記トークンと共に前記サービス提供装置へアクセス要求を送付する手段とを更に備えた請求項10記載のサービス提供装置。
  12. 権限委譲条件を管理し、ユーザ認証情報を発行する認証装置が、サービス要求に応じてサービスを提供するサービス提供装置と、前記サービス提供装置へのアクセスを代行するサービス代理アクセス装置に権限委譲に関する情報やトークンを生成、配布するアクセス権限管理方法であって、
    前記認証装置が、
    他の装置に対してユーザに関する情報が記載されたユーザ認証情報を生成し、
    権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行し、
    前記サービス代理アクセス装置が、
    他の装置にアクセスするための権限委譲情報とトークンの発行を要求し、
    トークンを利用し他のサービスにアクセスし、
    前記サービス提供装置が、トークンを利用して前記認証装置からユーザ認証情報を取得する
    ことを特徴とするアクセス権限管理方法。
  13. 認証装置が、
    別のユーザにアクセス権限を委譲する条件を設定し、
    ユーザが設定したアクセス権限を委譲する条件を格納し、
    権限委譲証明書・トークン生成ステップで発行された権限委譲情報と権限委譲情報に対応するトークンとを証明書格納手段に保管し、
    トークンを受信すると、受信したトークンに対応する権限委譲情報を前記証明書格納手段から取得する
    請求項12記載のアクセス権限管理方法。
  14. サービス代理アクセス装置が、
    アクセスしているユーザのユーザ認証情報を取得し、
    取得したユーザ認証情報を保管する
    請求項12または請求項13記載のアクセス権限管理方法。
  15. サービス提供装置が、他の装置からユーザに関する情報を取得するためのトークンを受信し、
    ユーザに関する情報を検証してサービス情報へのアクセスの可否を判定し、
    他の装置に提供するサービスを保管する
    請求項12から請求項14のうちのいずれか1項に記載のアクセス権限管理方法。
  16. サービス提供装置が、
    他の装置にアクセスするための権限委譲情報とトークンの発行を要求し、
    前記トークンを利用して他のサービスにアクセスする
    請求項15記載のアクセス権限管理方法。
  17. サービス要求に応じてサービスを提供するサービス提供装置及び前記サービス提供装置へのアクセスを代行するサービス代理アクセス装置と接続されるコンピュータを、権限を委譲する条件を管理する認証装置として機能させる認証プログラムであって、
    前記サービス代理アクセス装置は、
    他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、
    トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを含み、
    前記サービス提供装置は、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を含み、
    前記コンピュータを、
    他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、
    権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを備える認証装置として機能させることを特徴とする認証用プログラム。
  18. 別のユーザへのアクセス権限の委譲を認めるか否か判断する判断する手段と、
    前記判断手段が別のユーザへのアクセス権限委譲を認めると、サービス提供装置に送付する権限委譲情報とサービス代理アクセス装置に送付する権限委譲情報に対応するトークンとを発行する手段と、
    を更に備える認証装置として前記コンピュータを機能させる請求項17記載の認証用プログラム。
  19. 権限を委譲する条件を管理する認証装置及びサービス要求に応じてサービスを提供するサービス提供装置と接続されるコンピュータを、前記サービス提供装置へのアクセスを代行するサービス代理アクセス装置として機能させるサービス代理アクセスプログラムであって、
    前記認証装置は、
    他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、
    権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを含み、
    前記サービス提供装置は、トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を含み、
    前記コンピュータを、
    他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、
    トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを備えるサービス代理アクセス装置として機能させることを特徴とするサービス代理アクセスプログラム。
  20. アクセス権限を格納する代理アクセス情報格納手段と、
    前記コンピュータがユーザ代理としてサービス提供装置に代理アクセスできる場合に、認証装置より取得したトークンを利用してサービス提供装置にアクセスする手段とを、
    更に備えるサービス代理アクセス装置として前記コンピュータを機能させる請求項19記載のサービス代理アクセスプログラム。
  21. 権限を委譲する条件を管理する認証装置及び当該サービス提供装置へのアクセスを代行するサービス代理アクセス装置と接続されるコンピュータを、サービス要求に応じてサービスを提供するサービス提供装置として機能させるサービス提供プログラムであって、
    前記認証装置は、
    他の装置に対してユーザに関する情報が記載されたユーザ認証情報を発行するユーザ認証証明書生成手段と、
    権限移譲先のユーザの情報と権限を委譲する条件とに基づいて、権限委譲情報と権限委譲情報に対応するトークンとを他の装置に対して発行する権限委譲証明書・トークン生成手段とを含み、
    前記サービス代理アクセス装置は、
    他の装置にアクセスするための権限委譲情報とトークンの発行を要求するトークン要求手段と、
    トークンを利用して他のサービスにアクセスするユーザ代理アクセス手段とを含み、
    前記コンピュータを、
    トークンを利用して前記認証装置からユーザ認証情報を取得するユーザ認証証明書要求手段を備えるサービス提供装置として機能させることを特徴とするサービス提供プログラム。
  22. のサービス提供装置にアクセスするためのトークンを認証装置より取得する手段と、
    前記トークンと共に前記他のサービス装置にアクセス要求を送付する手段と、を更に備える認証装置として前記コンピュータを機能させる請求項21記載のサービス提供プログラム。
JP2009548071A 2007-12-27 2008-12-25 アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム Expired - Fee Related JP5423397B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009548071A JP5423397B2 (ja) 2007-12-27 2008-12-25 アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2007335988 2007-12-27
JP2007335988 2007-12-27
PCT/JP2008/073644 WO2009084601A1 (ja) 2007-12-27 2008-12-25 アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム
JP2009548071A JP5423397B2 (ja) 2007-12-27 2008-12-25 アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム

Publications (2)

Publication Number Publication Date
JPWO2009084601A1 JPWO2009084601A1 (ja) 2011-05-19
JP5423397B2 true JP5423397B2 (ja) 2014-02-19

Family

ID=40824315

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009548071A Expired - Fee Related JP5423397B2 (ja) 2007-12-27 2008-12-25 アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム

Country Status (3)

Country Link
US (2) US8544066B2 (ja)
JP (1) JP5423397B2 (ja)
WO (1) WO2009084601A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114697063A (zh) * 2020-12-30 2022-07-01 北京国双科技有限公司 一种安全认证方法、装置、电子设备及存储介质

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5678893B2 (ja) * 2009-12-07 2015-03-04 日本電気株式会社 属性情報連携提供システム、アクセス情報管理装置、アクセス情報代理管理装置、方法、およびプログラム
JP5562143B2 (ja) * 2010-06-28 2014-07-30 キヤノン株式会社 権限委譲システム、権限委譲方法、情報処理装置、及びプログラム
JP5623234B2 (ja) * 2010-10-22 2014-11-12 キヤノン株式会社 権限委譲システム、権限委譲方法、情報処理装置およびその制御方法、並びにプログラム
JP5129313B2 (ja) * 2010-10-29 2013-01-30 株式会社東芝 アクセス認可装置
JP5864598B2 (ja) * 2010-11-11 2016-02-17 エヌイーシー ヨーロッパ リミテッドNec Europe Ltd. ユーザにサービスアクセスを提供する方法およびシステム
US20130018759A1 (en) * 2011-07-13 2013-01-17 Ebay Inc. Third party token system for anonymous shipping
JP5759305B2 (ja) * 2011-08-19 2015-08-05 キヤノン株式会社 アクセス管理システム、アクセス管理方法、アクセス管理サーバ、連携サーバ、およびプログラム
JP5612649B2 (ja) * 2011-09-26 2014-10-22 テルテン インコーポレイテッドTeruten. Inc. Pcアクセス制御方法、それを含むモジュール、サーバ、及びシステム
JP5858796B2 (ja) * 2012-01-16 2016-02-10 キヤノン株式会社 権限委譲システム、およびその権限委譲システムにおけるサーバーシステム、および権限委譲システムを制御する制御方法
EP2817917B1 (en) * 2012-02-20 2018-04-11 KL Data Security Pty Ltd Cryptographic method and system
US9621403B1 (en) * 2012-03-05 2017-04-11 Google Inc. Installing network certificates on a client computing device
JP5903004B2 (ja) * 2012-06-27 2016-04-13 株式会社Nttドコモ 情報処理装置及び認可情報管理方法
JP6025480B2 (ja) * 2012-09-27 2016-11-16 キヤノン株式会社 認可サーバーシステム、権限移譲システム、その制御方法、およびプログラム
US20140122217A1 (en) * 2012-10-29 2014-05-01 Aol Inc. Systems and methods for providing digital bundles of services
US9558333B2 (en) 2012-10-29 2017-01-31 Aol Inc. Systems and methods for facilitating the sharing of digital bundles of services between users
US20140122204A1 (en) * 2012-10-29 2014-05-01 Aol Inc. Systems and methods for providing digital bundling services to multiple users at discounted prices
JP6056384B2 (ja) 2012-10-31 2017-01-11 株式会社リコー システム及びサービス提供装置
JP6061633B2 (ja) * 2012-11-14 2017-01-18 キヤノン株式会社 デバイス装置、制御方法、およびそのプログラム。
US10133855B2 (en) * 2013-10-08 2018-11-20 Comcast Cable Communications Management, Llc Systems and methods for entitlement management
US9426156B2 (en) * 2013-11-19 2016-08-23 Care Innovations, Llc System and method for facilitating federated user provisioning through a cloud-based system
CN103618605B (zh) * 2013-11-26 2017-07-14 中国联合网络通信集团有限公司 时变访问令牌的生成方法及服务器
JP5724017B1 (ja) * 2014-05-29 2015-05-27 周 志偉Zhou Zhi Wei 複数コンピュータシステムの認証連携システム
JP6157411B2 (ja) * 2014-05-30 2017-07-05 キヤノン株式会社 権限移譲システム、方法、認証サーバーシステム、およびそのプログラム
JP6435678B2 (ja) * 2014-07-16 2018-12-12 富士ゼロックス株式会社 情報処理装置、管理装置、プログラム及びシステム
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム
US11615199B1 (en) * 2014-12-31 2023-03-28 Idemia Identity & Security USA LLC User authentication for digital identifications
CN105471833B (zh) 2015-05-14 2019-04-16 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
CN105491001B (zh) * 2015-05-14 2017-02-22 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
US10855789B1 (en) * 2016-03-03 2020-12-01 Headspin, Inc. System for management of an array of proxy access devices
JP6729145B2 (ja) * 2016-08-03 2020-07-22 富士通株式会社 接続管理装置、接続管理方法および接続管理プログラム
US10187368B2 (en) * 2016-08-03 2019-01-22 Ripple Luxembourg S.A. Resource transfer setup and verification
EP3355141B1 (de) * 2017-01-27 2019-03-06 Siemens Aktiengesellschaft Operator-system für ein prozessleitsystem
US12244727B2 (en) * 2019-08-20 2025-03-04 Nippon Telegraph And Telephone Corporation User credential control system and user credential control method
US11526928B2 (en) * 2020-02-03 2022-12-13 Dell Products L.P. System and method for dynamically orchestrating application program interface trust
CN111416822B (zh) * 2020-03-20 2022-10-18 数篷科技(深圳)有限公司 访问控制的方法、电子设备和存储介质
US12437094B2 (en) * 2021-09-17 2025-10-07 Salesforce, Inc. Access controls for external data records
KR102393403B1 (ko) * 2021-10-28 2022-04-29 차경운 소프트웨어 멀티 소유권 계정 관리 방법
US12556536B1 (en) * 2022-03-17 2026-02-17 Amazon Technologies, Inc. Transparent credential proxying
US12346887B2 (en) 2022-10-12 2025-07-01 Bank Of America Corporation Hyperspectral imaging systems and methods for electronic authentication resource transfers

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002063444A (ja) * 2000-08-23 2002-02-28 Nec Corp 匿名による個人間取引方法及びシステム
JP2007233705A (ja) * 2006-03-01 2007-09-13 Nec Corp トークン譲渡方法、トークン譲渡システム及び権限認証許可サーバ
US20070245414A1 (en) * 2006-04-14 2007-10-18 Microsoft Corporation Proxy Authentication and Indirect Certificate Chaining
JP2008198032A (ja) * 2007-02-14 2008-08-28 Nec Corp 利用権取引システム、トークン取引方法及びそのプログラム
WO2009041319A1 (ja) * 2007-09-25 2009-04-02 Nec Corporation 証明書生成配布システム、証明書生成配布方法および証明書生成配布用プログラム

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001175540A (ja) * 1999-12-22 2001-06-29 Nec Corp アクセス権管理システム、携帯端末、ゲートウェイおよびコンテンツサーバ
JP2002251573A (ja) 2001-02-21 2002-09-06 Outserv Co Ltd ユーザデータベースサーバ及びユーザ情報取得装置
US7770212B2 (en) * 2002-08-15 2010-08-03 Activcard System and method for privilege delegation and control
KR20050074494A (ko) * 2002-10-22 2005-07-18 코닌클리케 필립스 일렉트로닉스 엔.브이. 콘텐트 동작들을 승인하는 방법 및 장치
CN100511203C (zh) 2003-07-11 2009-07-08 日本电信电话株式会社 数据库访问控制方法、控制装置及代理处理服务器装置
JP4039632B2 (ja) * 2003-08-14 2008-01-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 認証システム、サーバおよび認証方法並びにプログラム
JP2006004314A (ja) 2004-06-21 2006-01-05 Nec Corp 信用確立方法と信用に基づいたサービス制御システム
ATE445195T1 (de) * 2004-08-24 2009-10-15 Gemalto Sa Persönlicher token und verfahren zur kontrollierten authentifizierung
JP2006195844A (ja) 2005-01-14 2006-07-27 Nippon Telegr & Teleph Corp <Ntt> 最少トランザクションによる電子権利譲渡管理方法および権利譲渡処理装置、権利譲受装置権利譲渡管理装置、並びにそのプログラム
JP4668283B2 (ja) * 2005-01-26 2011-04-13 テルコーディア ライセンシング カンパニー, リミテッド ライアビリティ カンパニー 認可されたデジタルコンテンツ配信のためのシステム及び方法
US7770206B2 (en) 2005-03-11 2010-08-03 Microsoft Corporation Delegating right to access resource or the like in access management system
US7900247B2 (en) 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
EP1894078A1 (en) * 2005-06-23 2008-03-05 Thomson Licensing Digital rights management (drm) enabled portable playback device, method and system
JP2007028049A (ja) 2005-07-14 2007-02-01 Fuji Xerox Co Ltd 証明書管理装置、方法及びプログラム
US20070288319A1 (en) * 2005-07-25 2007-12-13 Robinson Timothy L System and method for transferring biometrically accessed redemption rights
JP4792944B2 (ja) * 2005-11-30 2011-10-12 日本電気株式会社 権限管理システム、トークン検証方法、トークン検証プログラム
US8024785B2 (en) * 2006-01-16 2011-09-20 International Business Machines Corporation Method and data processing system for intercepting communication between a client and a service
US9055040B2 (en) * 2006-02-03 2015-06-09 Qualcomm Incorporated Method and apparatus for content protection in wireless communications
JP4525609B2 (ja) 2006-02-22 2010-08-18 日本電気株式会社 権限管理サーバ、権限管理方法、権限管理プログラム
US8325920B2 (en) * 2006-04-20 2012-12-04 Google Inc. Enabling transferable entitlements between networked devices
KR101086420B1 (ko) * 2006-12-22 2011-11-23 삼성전자주식회사 권리객체 복호방법과 장치 및 이를 이용한 콘텐츠공유방법과 장치
US8321919B2 (en) * 2007-09-05 2012-11-27 Oracle International Corp. Framework for delegating roles in human resources ERP systems

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002063444A (ja) * 2000-08-23 2002-02-28 Nec Corp 匿名による個人間取引方法及びシステム
JP2007233705A (ja) * 2006-03-01 2007-09-13 Nec Corp トークン譲渡方法、トークン譲渡システム及び権限認証許可サーバ
US20070245414A1 (en) * 2006-04-14 2007-10-18 Microsoft Corporation Proxy Authentication and Indirect Certificate Chaining
JP2008198032A (ja) * 2007-02-14 2008-08-28 Nec Corp 利用権取引システム、トークン取引方法及びそのプログラム
WO2009041319A1 (ja) * 2007-09-25 2009-04-02 Nec Corporation 証明書生成配布システム、証明書生成配布方法および証明書生成配布用プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114697063A (zh) * 2020-12-30 2022-07-01 北京国双科技有限公司 一种安全认证方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
US20140013410A1 (en) 2014-01-09
US8544066B2 (en) 2013-09-24
US20100281522A1 (en) 2010-11-04
US8935747B2 (en) 2015-01-13
WO2009084601A1 (ja) 2009-07-09
JPWO2009084601A1 (ja) 2011-05-19

Similar Documents

Publication Publication Date Title
JP5423397B2 (ja) アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム
US10810515B2 (en) Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment
JP5458888B2 (ja) 証明書生成配布システム、証明書生成配布方法およびプログラム
US8196177B2 (en) Digital rights management (DRM)-enabled policy management for a service provider in a federated environment
US10333941B2 (en) Secure identity federation for non-federated systems
US8806595B2 (en) System and method of securing sharing of resources which require consent of multiple resource owners using group URI&#39;s
US7873716B2 (en) Method and apparatus for supporting service enablers via service request composition
US8429757B1 (en) Controlling use of computing-related resources by multiple independent parties
CN103718201B (zh) 由多租户服务提供方执行动态平台重新配置
JP6245949B2 (ja) 認可サーバーシステム、その制御方法、およびそのプログラム。
US8990896B2 (en) Extensible mechanism for securing objects using claims
US20140013409A1 (en) Single sign on for cloud
Tang et al. Extending openstack access control with domain trust
CN115719265A (zh) 区块链实现的方法和系统
US20100154040A1 (en) Method, apparatus and system for distributed delegation and verification
WO2013071087A1 (en) Single sign on for cloud
KR20100045525A (ko) 리소스의 위임을 수행하는 방법 및 시스템
US20130144633A1 (en) Enforcement and assignment of usage rights
JP2003296281A (ja) アクセス制御方法及びシステム
CN116707849A (zh) 针对飞地实例的云服务访问权限设置方法和云管理平台
WO2023160632A1 (zh) 针对飞地实例的云服务访问权限设置方法和云管理平台
Chai et al. BHE-AC: a blockchain-based high-efficiency access control framework for Internet of Things
JP2004362189A (ja) ユーザ情報流通システム
KR20090129260A (ko) 공개키 기반 구조 및 권한 관리 기반 구조에 기초한 개인정보 보호 방법 및 시스템
Villarreal et al. Privacy token: A mechanism for user’s privacy specification in identity management systems for the cloud

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110907

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130806

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131004

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131029

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131111

R150 Certificate of patent or registration of utility model

Ref document number: 5423397

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees