JP5860421B2 - 復号方法、復号システム - Google Patents

復号方法、復号システム Download PDF

Info

Publication number
JP5860421B2
JP5860421B2 JP2013007051A JP2013007051A JP5860421B2 JP 5860421 B2 JP5860421 B2 JP 5860421B2 JP 2013007051 A JP2013007051 A JP 2013007051A JP 2013007051 A JP2013007051 A JP 2013007051A JP 5860421 B2 JP5860421 B2 JP 5860421B2
Authority
JP
Japan
Prior art keywords
decryption
request
authentication
authorization
user account
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013007051A
Other languages
English (en)
Other versions
JP2014138354A (ja
Inventor
具英 山本
具英 山本
鉄太郎 小林
鉄太郎 小林
山本 剛
剛 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013007051A priority Critical patent/JP5860421B2/ja
Publication of JP2014138354A publication Critical patent/JP2014138354A/ja
Application granted granted Critical
Publication of JP5860421B2 publication Critical patent/JP5860421B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は復号方法、復号システムに関する。
The Internetなどのオープンなネットワーク上の認証認可について、SNS(Social Network Service)などのwebサイトでは利用者毎にそれぞれ利用者アカウントがあり、各利用者は自分の利用者アカウントでログイン認証を要求し、ログイン認証に成功すると、各利用者毎に認可されたアクションを起こすことができる。例えばblogを投稿するとか、グループと呼ばれる複数の利用者で構成する集合間でメッセージやファイルを共有することなどである。このようなwebサイトが複数存在するようになり、各利用者は各webサイト毎に利用者アカウントを作成し、かつ各webサイト毎にグループを作成している。
このような状況に対し、複数のwebサイト間で認証情報を交換し、利用者が外部webサイトへのページ遷移時に自動でwebサイトでのログイン認証を行う認証連携プロトコル(例:OpenID)が開発されている。また、認証は他の手法で行い、認証の成功後、複数のwebサイト間で認可情報を交換し、外部webサイトからの認可の可否を取得する認可連携プロトコル(例:OAuth)が開発されている。これら複数webサイト間で認証・認可を行うプロトコルは利用者の本人性の認証や、webサイト間の相互信頼は必須ではない。また、イントラネット等のクローズドなネットワーク上の認証認可プロトコルについてはLDAPやSAMLなどが開発されているが、これらは本人性と認証認可するシステムと認可されるシステム間の相互信頼がベースである。
一方、暗号化情報の復号権限の制御について、各暗号方式毎に様々な方法が考えられてきた。共通鍵暗号方式の場合、復号権限の制御方法として、暗号化された情報の伝達とは別に暗号化した際の共通鍵(パスワード)を復号を許可する人にだけ伝えるという方法があるが、この場合一度パスワードを人に伝えてしまうとその人がパスワードを知っている限り、以後いつでも暗号化された情報を復号できるため、鍵の伝達以後の復号権限の制御が不可能である。また共通鍵(パスワード)が漏洩すると、共通鍵(パスワード)を得た人が誰でも暗号化された情報を復号できるため、もはや復号権限の制御ができない。公開鍵暗号方式の場合も同様で、秘密鍵が漏洩すると同様の問題が起こる。公開鍵暗号方式の秘密鍵保持については、秘密鍵生成時にオーソリティが証明書を発行し、秘密鍵利用による復号を不可としたい場合にはオーソリティが証明書失効リストを発行することで復号を制御することも可能であるが、証明書失効リストの取得や証明書の整合性確認は秘密鍵利用者側の処理であるため、オーソリティの証明書失効リストの発行が秘密鍵保持者の秘密鍵の利用を確実に不可にできるとは限らない。これら暗号化情報に対する復号権限の制御に関する問題を解決する技術として特許文献1や特許文献2などがあり、これら特許技術を用いたシステムを構築すると暗号化された情報を復号するための鍵が外部に漏洩することなく、復号権限の制御が認証情報の変更で行えるため、復号権限の制御の問題は解決できる。
特開2012−098570号公報 特開2012−220814号公報
特許文献1や特許文献2などの特許技術を用いて復号権限を制御できるシステム(以後、従来システム)を構築する場合、複数利用者をグループ化して各グループ毎に復号できる利用者を制御するために当該システムにグループ管理者がグループを作成し利用者アカウントを登録する必要がある。当該システムと外部webサイトのグループ情報を共通にしたいとき、グループ管理者またはシステム管理者が当該システムと外部webサイトとで利用者アカウントやグループ情報が共通になるように多重管理する必要がある。そこで本発明は、システム内に認証認可およびグループ情報を保持せず外部webサイトの認証認可で復号権限を制御することで、当該システム内の認証認可情報またはグループ情報の管理を不要とする復号方法を提供することを目的とする。
本発明の復号方法は、利用者端末と、復号サーバと、管理サーバと、webサイトサーバとが実行する。
利用者端末は、webサイトサーバの利用者アカウントを送信する利用者アカウント送信ステップと、webサイトサーバのグループ情報取得要求を送信するグループ情報要求送信ステップとを実行する。
管理サーバは、利用者端末から利用者アカウントとグループ情報取得要求とを受信した場合に、利用者アカウントの認証要求を送信する第1認証要求ステップと、利用者端末から利用者アカウントとグループ情報取得要求とを受信した場合に、グループ情報取得認可要求を送信する第1認可要求ステップとを実行する。
webサイトサーバは、管理サーバから認証要求を受信した場合に利用者アカウントの認証を実行する第1認証ステップと、管理サーバからグループ情報取得認可要求を受信した場合に、利用者アカウントの認証の成功を条件にグループ情報取得の認可を実行する第1認可ステップと、グループ情報取得の認可が成功した場合にグループ情報を送信するグループ情報送信ステップとを実行する。
管理サーバは、webサイトサーバからグループ情報を受信した場合に、webサイトサーバのwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットおよび復号プロセスの生成を要求する生成要求を送信する生成要求ステップを実行する。
復号サーバは、管理サーバから生成要求を受信した場合に、webサイトサーバのwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットを生成する鍵セット生成ステップと、管理サーバから生成要求を受信した場合に、復号プロセスを生成するプロセス生成ステップとを実行する。
利用者端末は、暗号化された情報と、自身の利用者アカウントに関する情報を復号要求として送信する復号要求送信ステップを実行する。
復号サーバは、利用者端末から復号要求を受信した場合に、利用者アカウントの認証および復号認可要求である認証・認可要求を送信する認証認可要求ステップを実行する。
管理サーバは、復号サーバから認証・認可要求を受信した場合に、利用者アカウントの認証要求を送信する第2認証要求ステップと、復号サーバから認証・認可要求を受信した場合に、復号認可要求を送信する第2認可要求ステップとを実行する。
webサイトサーバは、管理サーバから認証要求を受信した場合に利用者アカウントの認証を実行する第2認証ステップと、管理サーバから復号認可要求を受信した場合に、利用者アカウントの認証の成功を条件に復号認可を実行する第2認可ステップと、復号認可が実行された場合に利用者アカウントの認証結果および復号認可の結果を認証認可結果として送信する結果送信ステップとを実行する。
復号サーバは、認証認可結果を受信した場合に、認証認可結果に従って復号処理を実行する復号ステップを実行する。
本発明の復号方法によれば、システム内に認証認可およびグループ情報を保持せず外部webサイトの認証認可で復号権限を制御することで、当該システム内の認証認可情報またはグループ情報の管理を不要とすることができる。
従来の復号システムの構成を示すブロック図。 本発明の実施例1の復号システムの構成を示すブロック図。 本発明の実施例1の復号システムの利用者端末の構成を示すブロック図。 本発明の実施例1の復号システムの復号サーバの構成を示すブロック図。 本発明の実施例1の復号システムの管理サーバの構成を示すブロック図。 本発明の実施例1の復号システムのwebサイトサーバの構成を示すブロック図。 本発明の実施例1の復号システムの初期化動作を示すシーケンス図。 本発明の実施例1の復号システムの復号動作を示すシーケンス図。 本発明の実施例1のトークン記憶部に記憶されるデータを示す図。 本発明の変形例1の復号システムの構成を示すブロック図。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
以下、図1を参照して従来技術の復号システムについて説明する。図1は従来の復号システム9000の構成を示すブロック図である。図1に示す通り、従来技術の復号システム9000は、利用者端末91と、復号サーバ92と、管理サーバ93とで構成される。利用者端末91は、入力部911と、データ送受信部912とを備える。復号サーバ92は、復号処理部922と、秘密鍵記憶部9213とを備える。管理サーバ93は、webサービス管理部931と、認証認可制御部932とを備える。なお、911、912、922、9213、931、932などは、必ずしも物理的、論理的に分かれていなくともよい。また、秘密鍵記憶部9213は実装において独立した機能部である必要はなく、各プロセスが生成されるときに各プロセスが記憶しておけばよく、図1に示す秘密鍵記憶部9213のように、必ずしも単一の記憶領域として集中管理される必要はない。
図1では復号サーバ92は一つのみ図示されているが、復号サーバ92は複数存在する場合もある。管理サーバ93が複数の復号サーバ92からの認証認可要求に応えられるように図1においては復号サーバ92と管理サーバ93とを分けて表示しているが、復号サーバ92と管理サーバ93とは必ずしも物理的、論理的に分かれていなくともよく、一つのサーバとして実現してもよい。復号サーバ92の秘密鍵記憶部9213は複数グループのそれぞれにおける復号用秘密鍵を保持している。復号サーバ92の復号処理部922は、利用者の復号権限における認証認可成功後に復号処理を行う復号用プロセス及びその管理プロセスとで構成されている。復号処理部922が複数グループ向けにどのように復号処理を行うかの実装はプロセス実装には依存せず、例えばスレッドプールを用い、利用者からの復号要求発生時にスレッドを渡す実装などもある。管理サーバ93はアカウント管理のためのWebサービス管理部931を有する。利用者は利用者端末91を使い、復号サーバ92の復号処理部922へ暗号化された情報の復号要求を送信する。復号サーバ92の復号処理部922は管理サーバ93に認証認可要求を行い、認証認可に成功すれば復号を行いその結果を利用者端末91に返信する。復号サーバ92の復号処理部922と利用者端末91の動作については特許文献2に詳細に記載されている。また復号サーバ92の復号処理部922が、認証認可結果に伴い復号処理を実行するか、不実行とするかについては特許文献2に詳細に記載されている。
以下、図2から図9を参照して本発明の実施例1に係る復号システムについて説明する。図2は本実施例の復号システム1000の構成を示すブロック図である。図3は本実施例の復号システム1000の利用者端末1の構成を示すブロック図である。図4は本実施例の復号システム1000の復号サーバ2の構成を示すブロック図である。図5は本実施例の復号システム1000の管理サーバ3の構成を示すブロック図である。図6は本実施例の復号システム1000のwebサイトサーバ4の構成を示すブロック図である。図7は本実施例の復号システム1000の初期化動作を示すシーケンス図である。図8は本実施例の復号システム1000の復号動作を示すシーケンス図である。図9は本実施例のトークン記憶部324に記憶されるデータを示す図である。
図2に示すように、本実施例の復号システム1000は、利用者端末1と、復号サーバ2と、管理サーバ3と、webサイトサーバ4とから構成される。利用者端末1は、入力部11と、データ送受信部12とを備える。復号サーバ2は、鍵プロセス生成部21と、復号処理部22とを備える。管理サーバ3は、webサービス管理部31と、認証認可制御部32とを備える。webサイトサーバ4は、認証認可部41と、グループ情報送信部42とを備える。なお、11、12、21、22、31、32、41、42などは必ずしも物理的、論理的に分かれていなくともよい。図3に示すように、利用者端末1のデータ送受信部12は、利用者アカウント送信部121と、グループ情報要求送信部122と、パスワード送信部123と、復号要求送信部124と、復号結果受信部125とを備える。図4に示すように、復号サーバ2の鍵プロセス生成部21は、鍵セット生成部211と、プロセス生成部212と、鍵記憶部213とを備え、復号サーバ2の復号処理部22は、認証認可要求部221と、復号部222とを備える。図5に示すように、管理サーバ3の認証認可制御部32は、認証要求部321と、認可要求部322と、生成要求部323と、トークン記憶部324と、認証認可結果送信部325と、認証情報通信部326と、認可情報通信部327と、グループ情報通信部328とを備える。図6に示すように、webサイトサーバ4の認証認可部41は、認証部411と、認可部412と、結果送信部413とを備え、webサイトサーバ4のグループ情報送信部42は、パスワード認証部421と、グループ情報記憶部422と、グループ情報送信部423とを備える。
以下、本実施例の復号システム1000の概要について述べる。利用者は利用者端末1を使い、復号サーバ2へ暗号化された情報の復号要求を送る。復号権限を制御するシステムは復号サーバ2と管理サーバ3から構成される。図2では復号サーバ2は一つのみ図示されているが、復号サーバ2は複数存在する場合もある。管理サーバ3が複数の復号サーバ2からの認証認可要求に応えられるように、図2においては復号サーバ2と管理サーバ3とを分けて図示しているが、復号サーバ2と管理サーバ3の各機能は必ずしも物理的、論理的に分かれていなくともよく、一つのサーバとして実現してもよい。また、webサイトサーバ4(外部webサイトを運営するサーバ)はグループ情報およびグループを利用できる利用者の認証情報を持ち、外部から認証認可またはグループ情報提供を行うことが可能である。図2ではwebサイトサーバ4は一つのみ図示されているが、webサイトサーバ4はイントラネット、インターネットを問わず、複数同時に存在可能である。webサイトサーバ4は外部に認証認可またはグループ情報提供を行える通信プロトコルを持つ必要がある。これらプロトコルは独自のものでもよいし、認証プロトコルに従来技術のOpenIDを用いたり、認可プロトコルに従来技術のOAuthを用いたり、認証認可の両方に従来技術のLDAPを用いたりしてもよい。例えばFacebook(登録商標)では認証認可プロトコルにOAuthを用い、グループ情報提供用にFacebook(登録商標) APIの中にGraph APIを用意している。復号サーバ2は復号処理部22を備える。復号処理部22は複数グループのそれぞれにおいて復号用秘密鍵を利用し、利用者の復号権限における認証認可成功後に復号処理を行う復号用プロセス及びその管理プロセスからなる。復号処理部22が複数グループ向けにどのように復号処理を行うかの実装はプロセス実装には依存せず、例えばスレッドプールを用い、利用者からの復号要求発生時にスレッドを渡す実装などもある。管理サーバ3は利用者のアカウント管理機能、外部webサイトの利用者アカウント登録機能、外部webサイトのグループ情報の取得機能(取得用ボタン)などを有するWebサービス管理部31と外部webサイトに認証認可要求やグループ情報取得要求をするための認証認可制御部32を備える。以下に説明する初期化動作、復号動作ではwebサイトサーバ4が運営するwebサイトが上記の外部webサイトに該当するものとして説明する。認証認可制御部32は複数の外部webサイト毎に一つずつプロセスまたはスレッドなどの実装として存在してもよく、また複数の外部webサイトに対して必要に応じた認証認可プロトコル及びグループ情報取得プロトコルを利用できる一つのプロセスまたはスレッドなどの実装として存在してもよい。図5に示す認証認可制御部32は当該システム用利用者アカウントと利用者が登録する外部webサイトの利用者アカウントとの紐付けを保持し、認証認可制御部32が各外部webサイトに対し認証認可を要求する場合の実装の例をブロック図として示したものである。認証認可プロトコルにLDAPまたはOpenIDなどのプロトコルを用いる場合は、利用者アカウント間の紐付けをLDAPまたはOpenID側で行うため、本システムで紐付けの情報を保持する必要はない。上記利用者アカウントの紐付けを保持するデータベースがトークン記憶部324である。この場合にトークン記憶部324に記憶されるデータの例を図9に示した。認証、認可、グループ情報取得の通信をそれぞれ認証情報通信部326、認可情報通信部327、グループ情報通信部328が行うが、プロトコルの実装により326〜328は独立したものになるとは限らない。例えば外部webサイトとしてFacebook(登録商標)を利用する場合、326と327はOAuthとして不可分であるため独立しない。328は326、327による認証認可後に得られるアクセストークンと合わせて利用するGraph APIを用いる通信であるため独立としてもよい。
次に、図7を参照して本実施例の復号システム1000の初期化動作を説明する。まず、利用者は利用者端末1を用いて管理サーバ3上に利用者アカウントを作成する。これは従来システムと同様である。次に利用者はWebサービス管理部31が提供するWebサービス画面上に、自身が外部webサイトAで持つ利用者アカウントを入力する。ここでは、外部webサイトAはwebサイトサーバ4が運営するwebサイトであるものとする。利用者がWebサービス管理部31が提供するWebサービス画面上で外部webサイトAのグループ情報取得用ボタンを押下すると、グループ情報取得要求が認証認可制御部32に送信される。データフローを具体的に示せば、利用者端末1の利用者アカウント送信部121は、webサイトサーバ4の利用者アカウントを管理サーバ3に送信する(S121)。利用者端末1のグループ情報要求送信部122は、webサイトサーバ4のグループ情報取得要求を管理サーバ3に送信する(S122)。入力された外部webサイトA上の利用者アカウントはデータベースであるトークン記憶部324に登録される。管理サーバ3の認証要求部321は、利用者端末1から利用者アカウントとグループ情報取得要求とを受信した場合に、利用者アカウントの認証要求をwebサイトサーバ4に送信する(S321A)。さらに、管理サーバ3の認可要求部322は、利用者端末1から利用者アカウントとグループ情報取得要求とを受信した場合に、グループ情報取得認可要求をwebサイトサーバ4に送信する(S322A)。webサイトサーバ4の認証部411は、管理サーバ3から認証要求を受信した場合に利用者アカウントの認証を実行する(S411A)。webサイトサーバ4の認可部412は、管理サーバ3からグループ情報取得認可要求を受信した場合に、利用者アカウントの認証の成功を条件にグループ情報取得の認可を実行する(S412A)。webサイトサーバ4のグループ情報送信部423は、グループ情報取得の認可が成功した場合にグループ情報を管理サーバ3に送信する(S423)。
ここで、認証認可制御部32及びwebサイトサーバ4での認証認可またはグループ情報取得部分の通信プロトコルまたはその実装はwebサイト毎に異なる。本実施例では、Facebook(登録商標)における実装を例に説明する。webサイトサーバ4の認証認可およびグループ情報取得用にFacebook(登録商標)アプリケーション(実態はFacebook(登録商標) APIを利用するWebサービス)を当該システムに用意し、それをFacebook(登録商標)に対しデプロイする。認証認可については認証認可制御部32がグループ情報を取得しようとすると、Graph APIの呼び出し時にアクセストークンがない場合は認証認可用のFacebook(登録商標)が用意するOAuthダイアログが表示されるようにリダイレクトされ、利用者にはFacebook(登録商標)の利用者アカウントに対するパスワードが要求される。パスワード入力のダイアログには上記Facebook(登録商標)アプリケーションのグループ情報取得を認可するか否かに触れられており、パスワード入力後にOKを押すと認可が完了し、アクセストークンが払い出される。データフローを具体的に示せば、利用者端末1のパスワード送信部123がwebサイトサーバ4にパスワードを送信し(S123)、webサイトサーバ4のパスワード認証部421がパスワード認証を実行する(S421)。Facebook(登録商標)アプリケーションはアクセストークンを引数にGraph APIを呼び出しグループ情報を取得する。アクセストークンは、グループ情報とともに認証認可制御部32へ送信される。認証認可制御部32はアクセストークンをトークン記憶部324に保存する。以後アクセストークンが有効であれば次回以降の認証認可制御部32によるグループ情報取得要求時に、Facebook(登録商標)による認証認可は不要となりOAuthダイアログが表示されずにFacebook(登録商標)からグループ情報が認証認可制御部32に送信される。
次に、管理サーバ3の生成要求部323は、webサイトサーバ4からグループ情報を受信した場合に、webサイトサーバ4のwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットおよび復号プロセスの生成を要求する生成要求を復号サーバ2に送信する(S323)。復号サーバ2の鍵セット生成部211は、管理サーバ3から生成要求を受信した場合に、当該グループの公開鍵・秘密鍵セットが未生成の場合のみ、webサイトサーバ4のwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットを生成する(S211)。復号サーバ2のプロセス生成部212は、管理サーバ3から生成要求を受信した場合に、当該グループの復号プロセスが未生成の場合のみ、復号プロセスを生成する(S212)。生成されたグループ用公開鍵・秘密鍵セット、復号プロセスは鍵記憶部213に記憶される。なお、復号プロセスは復号サーバ2上で動作する。以上が、本実施例の復号システム1000の初期化動作である。
次に、図8を参照して本実施例の復号システム1000の復号動作を説明する。まず、利用者端末1の復号要求送信部124は、暗号化された情報と、自身の利用者アカウントに関する情報を復号要求として復号サーバ2に送信する(S124)。復号サーバ2の認証認可要求部221は、利用者端末1から復号要求を受信した場合に、利用者アカウントの認証および復号認可要求である認証・認可要求を管理サーバ3に送信する(S221)。管理サーバ3の認証要求部321は、復号サーバ2から認証・認可要求を受信した場合に、初期化の場合と同様、利用者アカウントの認証要求をwebサイトサーバ4に送信する(S321B)。管理サーバ3の認可要求部322は、復号サーバ2から認証・認可要求を受信した場合に、初期化の場合と同様、復号認可要求をwebサイトサーバ4に送信する(S322B)。webサイトサーバ4の認証部411は、管理サーバ3から認証要求を受信した場合に利用者アカウントの認証を実行する(S411B)。webサイトサーバ4の認可部412は、管理サーバ3から復号認可要求を受信した場合に、利用者アカウントの認証の成功を条件に復号認可を実行する(S412B)。webサイトサーバ4の結果送信部413は、復号認可が実行された場合に利用者アカウントの認証結果および復号認可の結果を認証認可結果として管理サーバ3に送信する(S413)。管理サーバ3の認証認可結果送信部325は、webサイトサーバ4から認証認可結果を受信した場合に、当該認証認可結果を復号サーバ2に転送する(S325)。復号サーバ2の復号部222は、管理サーバ3から認証認可結果を受信した場合に、認証認可結果に従って復号処理を実行する(S222)。復号サーバ2の復号処理部22は、復号結果を利用者端末1に送信する。利用者端末1の復号結果受信部125は、復号サーバ2から復号結果を受信する(S125)。以上が、本実施例の復号システム1000の復号動作である。
認証認可制御部32及びwebサイトサーバ4での認証認可の通信プロトコルまたはその実装がwebサイト毎に異なるのはグループ初期化の場合と同様である。また、復号権限の認証認可要求、認証認可制御部32からの認証認可結果送信の通信プロトコルおよびその実装は独自プロトコルでもよいし、認証にOpenID、認可にOAuthを用いてもよい。本実装例ではLDAPを用いている。本実施例では認証認可制御部32が復号要求毎にwebサイトサーバ4に認証認可を要求しているが、外部webサイトAへの認証認可要求、外部webサイトAからの認証認可結果送信の通信負荷を考慮して、認証認可部41がキャッシュとして認証認可情報を保持してもよい。例えば本実装では復号権限の認証認可要求、認証認可制御部32からの認証認可結果送信の通信にLDAPを用いることとし、認証認可制御部32内にApacheのproxyモジュール及び市中製品のOpenLDAPサーバを利用してLDAPプロキシを作成し、所定の期間内は復号処理部22から再度同一利用者の復号要求があった場合LDAPプロキシがキャッシュした認証認可情報を返す、という実装も可能である。
また、本実施例ではWebサービス管理部31が提供するWebサービス画面上の外部webサイトAのグループ情報取得用ボタンを利用者が押下することで外部webサイトAのグループ情報を取得しているが、例えばポーリングやcometなどの従来技術を用いて、定期的にまたは必要に応じて認証認可制御部32が外部webサイトAのグループ情報を取得することも可能である。
[変形例1]
以下、図10を参照して実施例1の復号システム1000の復号サーバ2と管理サーバ3を一体化した変形例1の復号システム1000’について説明する。上述したように、実施例1の復号サーバ2と管理サーバ3の各機能は必ずしも物理的、論理的に分かれていなくともよく、一つのサーバとして実現してもよい。従って、本変形例では、復号サーバ2と管理サーバ3の機能を復号管理サーバ5として一つのサーバで実現した。本変形例の復号システム1000’は、利用者端末1、復号管理サーバ5、webサイトサーバ4からなり、復号管理サーバ5は、鍵プロセス生成部21と、復号処理部22と、webサービス管理部31と、認証認可制御部32とを備える。これら実施例1と同じ番号を付した構成部は、実施例1と同じ機能を有するため、説明を省略する。
このように、実施例1および変形例1の復号システム1000、1000’によれば、システム内に認証認可およびグループ情報を保持せず外部webサイトの認証認可で復号権限を制御することで、当該システム内の認証認可情報またはグループ情報の管理を不要とすることができる。また、利用者は復号を制御するシステム上の利用者アカウントに各webサイトの利用者アカウントを利用者自身が紐づける、もしくは当該システムが外部webサイトとの認証連携プロトコルを利用することで、グループ管理者もしくはシステム管理者による認証認可情報またはグループ情報を当該システム及び外部webサイトで共通に多重管理する必要がなくなる。

Claims (4)

  1. 利用者端末と、復号サーバと、管理サーバと、webサイトサーバとが実行する復号方法であって、
    利用者端末は、
    webサイトサーバの利用者アカウントを送信する利用者アカウント送信ステップと、
    webサイトサーバのグループ情報取得要求を送信するグループ情報要求送信ステップとを実行し、
    管理サーバは、
    利用者端末から利用者アカウントとグループ情報取得要求とを受信した場合に、利用者アカウントの認証要求を送信する第1認証要求ステップと、
    利用者端末から利用者アカウントとグループ情報取得要求とを受信した場合に、グループ情報取得認可要求を送信する第1認可要求ステップとを実行し、
    webサイトサーバは、
    管理サーバから認証要求を受信した場合に利用者アカウントの認証を実行する第1認証ステップと、
    管理サーバからグループ情報取得認可要求を受信した場合に、利用者アカウントの認証の成功を条件にグループ情報取得の認可を実行する第1認可ステップと、
    グループ情報取得の認可が成功した場合にグループ情報を送信するグループ情報送信ステップとを実行し、
    管理サーバは、
    webサイトサーバからグループ情報を受信した場合に、webサイトサーバのwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットおよび復号プロセスの生成を要求する生成要求を送信する生成要求ステップを実行し、
    復号サーバは、
    管理サーバから生成要求を受信した場合に、webサイトサーバのwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットを生成する鍵セット生成ステップと、
    管理サーバから生成要求を受信した場合に、復号プロセスを生成するプロセス生成ステップとを実行し、
    利用者端末は、
    暗号化された情報と、自身の利用者アカウントに関する情報を復号要求として送信する復号要求送信ステップを実行し、
    復号サーバは、
    利用者端末から復号要求を受信した場合に、利用者アカウントの認証および復号認可要求である認証・認可要求を送信する認証認可要求ステップを実行し、
    管理サーバは、
    復号サーバから認証・認可要求を受信した場合に、利用者アカウントの認証要求を送信する第2認証要求ステップと、
    復号サーバから認証・認可要求を受信した場合に、復号認可要求を送信する第2認可要求ステップとを実行し、
    webサイトサーバは、
    管理サーバから認証要求を受信した場合に利用者アカウントの認証を実行する第2認証ステップと、
    管理サーバから復号認可要求を受信した場合に、利用者アカウントの認証の成功を条件に復号認可を実行する第2認可ステップと、
    復号認可が実行された場合に利用者アカウントの認証結果および復号認可の結果を認証認可結果として送信する結果送信ステップとを実行し、
    復号サーバは、
    認証認可結果を受信した場合に、認証認可結果に従って復号処理を実行する復号ステップを実行する
    復号方法。
  2. 利用者端末と、復号管理サーバと、webサイトサーバとが実行する復号方法であって、
    利用者端末は、
    webサイトサーバの利用者アカウントを送信する利用者アカウント送信ステップと、
    webサイトサーバのグループ情報取得要求を送信するグループ情報要求送信ステップとを実行し、
    復号管理サーバは、
    利用者端末から利用者アカウントとグループ情報取得要求とを受信した場合に、利用者アカウントの認証要求を送信する第1認証要求ステップと、
    利用者端末から利用者アカウントとグループ情報取得要求とを受信した場合に、グループ情報取得認可要求を送信する第1認可要求ステップとを実行し、
    webサイトサーバは、
    復号管理サーバから認証要求を受信した場合に利用者アカウントの認証を実行する第1認証ステップと、
    復号管理サーバからグループ情報取得認可要求を受信した場合に、利用者アカウントの認証の成功を条件にグループ情報取得の認可を実行する第1認可ステップと、
    グループ情報取得の認可が成功した場合にグループ情報を送信するグループ情報送信ステップとを実行し、
    復号管理サーバは、
    webサイトサーバからグループ情報を受信した場合に、webサイトサーバのwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットおよび復号プロセスの生成を要求する生成要求を送信する生成要求ステップと、
    生成要求を受信した場合に、webサイトサーバのwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットを生成する鍵セット生成ステップと、
    生成要求を受信した場合に、復号プロセスを生成するプロセス生成ステップとを実行し、
    利用者端末は、
    暗号化された情報と、自身の利用者アカウントに関する情報を復号要求として送信する復号要求送信ステップを実行し、
    復号管理サーバは、
    利用者端末から復号要求を受信した場合に、利用者アカウントの認証および復号認可要求である認証・認可要求を送信する認証認可要求ステップと、
    認証・認可要求を受信した場合に、利用者アカウントの認証要求を送信する第2認証要求ステップと、
    認証・認可要求を受信した場合に、復号認可要求を送信する第2認可要求ステップとを実行し、
    webサイトサーバは、
    復号管理サーバから認証要求を受信した場合に利用者アカウントの認証を実行する第2認証ステップと、
    復号管理サーバから復号認可要求を受信した場合に、利用者アカウントの認証の成功を条件に復号認可を実行する第2認可ステップと、
    復号認可が実行された場合に利用者アカウントの認証結果および復号認可の結果を認証認可結果として送信する結果送信ステップとを実行し、
    復号管理サーバは、
    認証認可結果を受信した場合に、認証認可結果に従って復号処理を実行する復号ステップを実行する
    復号方法。
  3. 利用者端末と、復号サーバと、管理サーバと、webサイトサーバとで構成される復号システムであって、
    利用者端末は、
    webサイトサーバの利用者アカウントを送信する利用者アカウント送信部と、
    webサイトサーバのグループ情報取得要求を送信するグループ情報要求送信部と、
    暗号化された情報と、自身の利用者アカウントに関する情報を復号要求として送信する復号要求送信部とを含み、
    復号サーバは、
    管理サーバから生成要求を受信した場合に、webサイトサーバのwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットを生成する鍵セット生成部と、
    管理サーバから生成要求を受信した場合に、復号プロセスを生成するプロセス生成部と、
    利用者端末から復号要求を受信した場合に、利用者アカウントの認証および復号認可要求である認証・認可要求を送信する認証認可要求部と、
    認証認可結果を受信した場合に、認証認可結果に従って復号処理を実行する復号部とを含み、
    管理サーバは、
    利用者端末から利用者アカウントとグループ情報取得要求とを受信した場合、または復号サーバから認証・認可要求を受信した場合に、利用者アカウントの認証要求を送信する認証要求部と、
    利用者端末から利用者アカウントとグループ情報取得要求とを受信した場合に、グループ情報取得認可要求を送信し、復号サーバから認証・認可要求を受信した場合に、復号認可要求を送信する認可要求部と、
    webサイトサーバからグループ情報を受信した場合に、webサイトサーバのwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットおよび復号プロセスの生成を要求する生成要求を送信する生成要求部とを含み、
    webサイトサーバは、
    管理サーバから認証要求を受信した場合に利用者アカウントの認証を実行する認証部と、
    管理サーバからグループ情報取得認可要求を受信した場合に、利用者アカウントの認証の成功を条件にグループ情報取得の認可を実行し、管理サーバから復号認可要求を受信した場合に、利用者アカウントの認証の成功を条件に復号認可を実行する認可部と、
    グループ情報取得の認可が成功した場合にグループ情報を送信するグループ情報送信部と、
    復号認可が実行された場合に利用者アカウントの認証結果および復号認可の結果を認証認可結果として送信する結果送信部とを含む
    復号システム。
  4. 利用者端末と、復号管理サーバと、webサイトサーバとで構成される復号システムであって、
    利用者端末は、
    webサイトサーバの利用者アカウントを送信する利用者アカウント送信部と、
    webサイトサーバのグループ情報取得要求を送信するグループ情報要求送信部と、
    暗号化された情報と、自身の利用者アカウントに関する情報を復号要求として送信する復号要求送信部とを含み、
    復号管理サーバは、
    生成要求を受信した場合に、webサイトサーバのwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットを生成する鍵セット生成部と、
    生成要求を受信した場合に、復号プロセスを生成するプロセス生成部と、
    利用者端末から復号要求を受信した場合に、利用者アカウントの認証および復号認可要求である認証・認可要求を送信する認証認可要求部と、
    認証認可結果を受信した場合に、認証認可結果に従って復号処理を実行する復号部と、
    利用者端末から利用者アカウントとグループ情報取得要求とを受信した場合、または認証・認可要求を受信した場合に、利用者アカウントの認証要求を送信する認証要求部と、
    利用者端末から利用者アカウントとグループ情報取得要求とを受信した場合に、グループ情報取得認可要求を送信し、認証・認可要求を受信した場合に、復号認可要求を送信する認可要求部と、
    webサイトサーバからグループ情報を受信した場合に、webサイトサーバのwebサイトのグループに対応するグループ用公開鍵・秘密鍵セットおよび復号プロセスの生成を要求する生成要求を送信する生成要求部とを含み、
    webサイトサーバは、
    復号管理サーバから認証要求を受信した場合に利用者アカウントの認証を実行する認証部と、
    復号管理サーバからグループ情報取得認可要求を受信した場合に、利用者アカウントの認証の成功を条件にグループ情報取得の認可を実行し、復号管理サーバから復号認可要求を受信した場合に、利用者アカウントの認証の成功を条件に復号認可を実行する認可部と、
    グループ情報取得の認可が成功した場合にグループ情報を送信するグループ情報送信部と、
    復号認可が実行された場合に利用者アカウントの認証結果および復号認可の結果を認証認可結果として送信する結果送信部とを含む
    復号システム。
JP2013007051A 2013-01-18 2013-01-18 復号方法、復号システム Active JP5860421B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013007051A JP5860421B2 (ja) 2013-01-18 2013-01-18 復号方法、復号システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013007051A JP5860421B2 (ja) 2013-01-18 2013-01-18 復号方法、復号システム

Publications (2)

Publication Number Publication Date
JP2014138354A JP2014138354A (ja) 2014-07-28
JP5860421B2 true JP5860421B2 (ja) 2016-02-16

Family

ID=51415631

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013007051A Active JP5860421B2 (ja) 2013-01-18 2013-01-18 復号方法、復号システム

Country Status (1)

Country Link
JP (1) JP5860421B2 (ja)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7457950B1 (en) * 2000-09-29 2008-11-25 Intel Corporation Managed authentication service
JP4597784B2 (ja) * 2005-06-09 2010-12-15 シャープ株式会社 データ処理装置

Also Published As

Publication number Publication date
JP2014138354A (ja) 2014-07-28

Similar Documents

Publication Publication Date Title
JP7119142B2 (ja) デジタルid検証方法及び装置、電子機器、非一時的コンピュータ可読記憶媒体並びにプログラム
JP5619019B2 (ja) 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証)
US8532620B2 (en) Trusted mobile device based security
US8627409B2 (en) Framework for automated dissemination of security metadata for distributed trust establishment
JP6643373B2 (ja) 情報処理システムと、その制御方法とプログラム
JP6066647B2 (ja) デバイス装置、その制御方法、およびそのプログラム
CN102457507B (zh) 云计算资源安全共享方法、装置及系统
JP6061633B2 (ja) デバイス装置、制御方法、およびそのプログラム。
EP2936768B1 (en) A system and method of dynamic issuance of privacy preserving credentials
US20080263644A1 (en) Federated authorization for distributed computing
JP2015005222A (ja) 認可サーバーシステムおよびその制御方法、並びにプログラム
US20120311331A1 (en) Logon verification apparatus, system and method for performing logon verification
JP5992535B2 (ja) 無線idプロビジョニングを実行するための装置及び方法
JP2018092446A (ja) 認証認可システム及び情報処理装置と認証認可方法とプログラム
JP6465426B1 (ja) 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法
JP6240102B2 (ja) 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム
WO2016084822A1 (ja) 複数のサービスシステムを制御するサーバシステム及び方法
Shaikh et al. Identity management in cloud computing
JP2014142732A (ja) 権限委譲システム
JP5860421B2 (ja) 復号方法、復号システム
JP4950573B2 (ja) 認証システムおよび認証方法
JP2020053100A (ja) 情報処理システムと、その制御方法とプログラム
JP2007074745A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
Goel Access Control and Authorization Techniques wrt Client Applications
Linhua et al. Research on Unified Authentication Model based on the Kerberos and SAML

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151215

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151218

R150 Certificate of patent or registration of utility model

Ref document number: 5860421

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150