JP6174796B2 - セキュリティシステム、管理装置、許可装置、端末装置、セキュリティ方法、およびプログラム - Google Patents

セキュリティシステム、管理装置、許可装置、端末装置、セキュリティ方法、およびプログラム Download PDF

Info

Publication number
JP6174796B2
JP6174796B2 JP2016519254A JP2016519254A JP6174796B2 JP 6174796 B2 JP6174796 B2 JP 6174796B2 JP 2016519254 A JP2016519254 A JP 2016519254A JP 2016519254 A JP2016519254 A JP 2016519254A JP 6174796 B2 JP6174796 B2 JP 6174796B2
Authority
JP
Japan
Prior art keywords
information
authority
identification information
partial
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016519254A
Other languages
English (en)
Other versions
JPWO2015174390A1 (ja
Inventor
仁 冨士
仁 冨士
具英 山本
具英 山本
鉄太郎 小林
鉄太郎 小林
麗生 吉田
麗生 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2015174390A1 publication Critical patent/JPWO2015174390A1/ja
Application granted granted Critical
Publication of JP6174796B2 publication Critical patent/JP6174796B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/30Individual registration on entry or exit not involving the use of a pass
    • G07C9/38Individual registration on entry or exit not involving the use of a pass with central registration
    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05BLOCKS; ACCESSORIES THEREFOR; HANDCUFFS
    • E05B47/00Operating or controlling locks or other fastening devices by electric or magnetic means
    • E05B47/0001Operating or controlling locks or other fastening devices by electric or magnetic means with electric actuators; Constructional features thereof
    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05BLOCKS; ACCESSORIES THEREFOR; HANDCUFFS
    • E05B49/00Electric permutation locks; Circuits therefor ; Mechanical aspects of electronic locks; Mechanical keys therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00412Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal being encrypted

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Lock And Its Accessories (AREA)
  • Storage Device Security (AREA)

Description

本発明は、セキュリティ技術に関し、特に、有体物に対する処理の実行権限を制御する技術に関する。
これまで、有体物に対する処理の実行権限を制御するための様々な方法が考えられてきた。例えば、ある部屋の管理者が他の人による扉の開閉の実行権限を制御する方法の一つに、物理的な鍵の有無を利用する方法がある。この方法では、物理的な鍵を持つ人は扉を開けることができ、物理的な鍵を持たない人は扉を開けることができない。すなわち、人が扉を開けることの実行権限が鍵の保持の有無で制御されている。また、電気的情報を保持することのできる記録媒体とソフトウェアとを組み合わせた論理的な鍵(例えばカードキー)も提案されている(例えば、非特許文献1参照)。
大岸弘和,SAS−2鍵開閉システムの実装,高知工科大学フロンティア工学コース,2007年2月9日
しかし、従来の方法では実行権限の取り扱いが煩雑であるという問題点がある。例えば、物理的な鍵の場合、その形状が維持される限り、永久に鍵としての機能を持ち続ける。そのため、権限の廃止や変更が煩雑である。また、物理的な鍵の場合、権限を与えるために鍵自体を物理的に渡す必要がある。論理的な鍵の場合も記録媒体を物理的に渡す必要がある。そのため、権限の付与が煩雑である。さらに、利用者が複数の権限を持つためには複数の鍵を物理的に保持していなければならない。そのため、利用者による権限の保持が煩雑である。
このような問題は扉の開閉を行う権限を従来の物理的な鍵や論理的な鍵を用いて管理する場合に限られたものではなく、その他の権限を従来の物理的な鍵や論理的な鍵を用いて管理する場合にも共通するものである。
本発明の課題は、有体物に対する処理の実行権限の取り扱いを簡易化することである。
権限の設定時、管理装置は、端末装置を用いて有体物である駆動装置を物理的に駆動させる権限に対応する権限情報と、この権限が与えられた主体に対応する登録識別情報と、が対応付けられたデータベースを格納し、登録識別情報の何れかを表す情報を出力し、許可装置は、登録識別情報の何れかを表す情報を受け取り、当該登録識別情報の何れかを含む設定情報を格納する。
権限の行使時、端末装置は識別情報を表す情報を出力し、許可装置はこれを受け取り、識別情報が設定情報に含まれた登録識別情報に対応する場合に、権限の行使に必要な権限行使情報を表す情報を出力する。端末装置は、この権限行使情報を表す情報を受け取り、権限行使情報に対応する駆動信号を出力する。この駆動信号によって有体物である駆動装置が物理的に駆動する。
本発明では、データベースによって有体物に対する処理の実行権限を管理できるため、有体物に対する処理の実行権限の取り扱いが簡易になる。
図1は実施形態のセキュリティシステムの構成を例示したブロック図である。 図2は実施形態の管理装置の構成を例示したブロック図である。 図3は実施形態の許可装置の構成を例示したブロック図である。 図4は実施形態の端末装置の構成を例示したブロック図である。 図5は実施形態の処理を説明するためのフロー図である。 図6は実施形態の処理を説明するためのフロー図である。 図7は実施形態の処理を説明するためのフロー図である。 図8は実施形態の構成を例示したブロック図である。 図9Aから図9Cは実施形態のデータベースの構成を例示した概念図である。 図10は実施形態の管理装置の構成を例示したブロック図である。 図11は実施形態の許可装置の構成を例示したブロック図である。 図12Aおよび図12Bは実施形態の権限情報の構成を例示したブロック図である。図12Cおよび図12Dは実施形態の権限情報の再暗号化を例示するための概念図である。 図13Aは実施形態の許可装置の構成を例示したブロック図である。図13Bは実施形態の鍵管理装置の構成を例示したブロック図である。
以下、図面を参照して本発明の実施形態を説明する。
〔第1実施形態〕
<構成>
図1に例示するように、本形態のセキュリティシステム1は、管理装置11と許可装置12−iと端末装置13と駆動装置14と端末認証装置15とを有する。管理装置11は、許可装置12−iおよび端末装置13と情報の伝送が可能なように構成されている。許可装置12−iは管理装置11および端末認証装置15と情報の伝送が可能なように構成されている。端末認証装置15は許可装置12−iおよび端末装置13と情報の伝送が可能なように構成されている。端末装置13は端末認証装置15および管理装置11と情報の伝送が可能であり、かつ、駆動装置14に信号の伝送が可能なように構成されている。装置間での情報の伝送は、例えばインターネット等のネットワークを通じて行われ、信号の伝送は、例えば無線通信や赤外線通信等によって行われる。なお、説明の便宜上、図1では管理装置11、許可装置12−i、端末装置13、駆動装置14、および端末認証装置15を1個ずつ図示しているが、これらが複数個存在していてもよい。すなわち、i=1,・・・,Nであり、Nは正の整数であり、Nは2以上の整数であってもよい(図8)。
《管理装置11》
図2に例示するように、本形態の管理装置11は、記憶部111と入力部112と出力部113と更新部114と反映部115と発行部116と制御部117とを有し、制御部117の制御のもとで各処理を実行する。管理装置11は、例えば、CPU(central processing unit)等のプロセッサ(ハードウェア・プロセッサ)やRAM(random-access memory),ROM(read-only memory)等のメモリ等を備える汎用または専用のコンピュータが、所定のプログラム(管理用サーバアプリケーション)を実行することで構成される装置である。管理用サーバアプリケーションは、コンピュータにインストールされてもよいし、予めROM等に記録されていてもよい。また、CPUのようにプログラムが読み込まれることで機能構成を実現する電子回路(circuitry)ではなく、単独で処理機能を実現する電子回路を用いて管理装置11の一部またはすべての処理部が構成されてもよい。
《許可装置12−i》
図3に例示するように、本形態の許可装置12−iは、記憶部121−iと入力部122−iと出力部123−iと更新部124−iと認証許可部125−iと制御部126−iとを有し、制御部126−iの制御のもとで各処理を実行する。許可装置12−iは、例えば、上述のような汎用または専用のコンピュータが、所定のプログラム(認証・許可サーバアプリケーション)を実行することで構成される装置である。認証・許可サーバアプリケーションは、コンピュータにインストールされてもよいし、予めROM等に記録されていてもよい。また、単独で処理機能を実現する電子回路を用いて許可装置12−iの一部またはすべての処理部が構成されてもよい。
《端末装置13》
図4に例示するように、端末装置13は、記憶部131と入力部132と出力部133とインタフェース部134と登録処理部135と権限処理部136と制御部137とを有し、制御部137の制御のもとで各処理を実行する。端末装置13は、例えば、上述のような汎用または専用のコンピュータが、所定のプログラム(デバイス向け鍵管理用アプリケーション)を実行することで構成される装置である。デバイス向け鍵管理用アプリケーションは、コンピュータにインストールされてもよいし、予めROM等に記録されていてもよい。端末装置13を構成するコンピュータの例は、Felica(登録商標)やNFCのような通信機能を備えた携帯電話、スマートフォン、タブレット端末装置等である。また、単独で処理機能を実現する電子回路を用いて端末装置13の一部またはすべての処理部が構成されてもよい。
《端末認証装置15》
端末認証装置15は、上述のような汎用または専用のコンピュータが、所定のプログラム(デバイス認証用アプリケーション)を実行することで構成される装置である。デバイス認証用アプリケーションは、コンピュータにインストールされてもよいし、予めROM等に記録されていてもよい。また、単独で処理機能を実現する電子回路を用いて端末認証装置15の一部またはすべての処理部が構成されてもよい。
《駆動装置14》
駆動装置14は、通信機能を備え、端末装置13から送られた信号に応じて物理的に駆動する有体物である。駆動装置14の例は、送られた信号に応じて扉の解錠および施錠を行う電子錠、送られた信号に応じて車のエンジンの始動および停止させる遠隔エンジンスターター、送られた信号に応じて開閉を行う電子シャッター、送られた信号に応じて駆動および停止する家電製品などである。駆動装置14が、送られた信号に応じて異なる駆動を行ってもよい。例えば、駆動装置14が、送られた信号に応じて異なるロッカーの扉の解錠および施錠を行ってもよい。
<処理>
次に、本形態の処理を説明する。
《登録処理》
管理装置11で行われる登録処理を説明する。
前提として、本システムを利用する主体(例えば、端末装置13の利用者や装置等)と駆動装置14の所有者との契約等により、当該主体に駆動装置14を駆動させる権限が与えられているとする。駆動装置14を駆動させる権限の例は、扉を解錠および施錠させる権限、車のエンジンを始動および停止させる権限、電子シャッターを開閉させる権限、家電製品を駆動および停止させる権限等である。この権限は、ある期間でのみ有効なもの(例えば、宿泊期間中のみにホテルの部屋の扉を解錠および施錠させる権限等)であってもよいし、期間の限定のないもの(例えば、自宅の部屋の扉を解錠および施錠させる権限等)であってもよい。管理装置11の管理者は、そのような権限に対応する権限情報と、当該権限が与えられた主体の識別情報と、認証情報(ログインIDとパスワード等)とを発行する。同一の権限を複数の主体に付与する場合には、そのような主体からなるグループに同一の権限情報が発行される(すなわち、グルーピングされる)。識別情報は、このような主体にそれぞれ対応する情報であり、原則、互いに異なる主体には同一の識別情報は与えられない。ただし、複数の主体相互の関連性が高いなどの特別な事情がある場合には、これらの複数の主体に同一の識別情報が設定されてもよい。識別情報の例は、非対称鍵暗号方式に則った公開暗号化鍵であり、例えば、公開鍵暗号方式に則った公開鍵、IDベース暗号方式のID(電話番号やメールアドレス等)、関数暗号方式の暗号化鍵に対応するベクトル等である。各公開暗号化鍵にはそれぞれ秘密復号鍵が対応する。例えば、公開暗号化鍵が公開鍵暗号方式に則った公開鍵である場合、秘密復号鍵はその公開鍵に対応する秘密鍵である。公開暗号化鍵がIDベース暗号方式のIDである場合、秘密復号鍵はそのIDに応じた秘密鍵である。公開暗号化鍵が関数暗号方式の暗号化鍵に対応するベクトルである場合、秘密復号鍵はそのベクトルに応じた秘密鍵である。識別情報が、非対称鍵暗号方式に則った公開暗号化鍵とその他の情報とを含んでいてもよい。
上述のように権限が付与された主体の名称および認証情報に対応する登録者情報111aaと、この権限に対応する権限情報111ac(端末装置を用いて有体物である駆動装置を物理的に駆動させる権限に対応する権限情報)と、この主体に対して発行された識別情報である登録識別情報111ab(権限が与えられた主体に対応する登録識別情報)とは、管理装置11(図2)の入力部112に入力され、更新部114に送られる。更新部114は、送られた登録者情報111aaと登録識別情報111abと権限情報111acと利用可否情報111adとを対応付けたレコードをデータベース111aに追加する。なお、利用可否情報111adは、利用可否情報111adに対応付けられた登録識別情報111abに対応する主体に、権限情報111acに対応する権限の行使を許可するか否かを表す情報(権限情報に対応する権限の行使の可否を表す情報)である。登録処理時には、権限の行使を許可することを表す利用可否情報111adが設定されてもよいし、権限の行使を拒否することを表す利用可否情報111adが設定されてもよい。以上のように、登録者情報111aaと登録識別情報111abと権限情報111acと利用可否情報111adが対応付けられたデータベース111aが記憶部111に格納される。
[データベース111aのデータ構成の例示]
図9Aにデータベース111aのデータ構成を例示する。図9Aの例では、複数個の登録者情報111aa(すなわち、u(1),・・・,u(J))と複数個の登録識別情報111ab(すなわち、TPK(1),・・・,TPK(J))と複数個の権限情報111ac(すなわち、a(1),・・・,a(K))と複数個の利用可否情報111ad(すなわち、y,n)とがデータベース111aで対応付けられている。ただし、JおよびKは2以上の整数である。主体A(j)(ただし、j=1,・・・,J)の登録者情報111aaであるu(j)と、この主体A(j)に対して発行された登録識別情報111abであるTPK(j)とは、一対一で対応付けられる。この例のTPK(j)は公開暗号化鍵である。この例では、前述のように同一の権限が複数の主体に付与されており、そのような主体からなるグループに同一の権限情報が発行されている。例えば、主体A(1),A(2)からなるグループG(1)にa(1)が発行され、主体A(3),A(4),A(5)からなるグループG(2)にはa(2)が発行され、主体A(6),A(7)からなるグループG(3)にはa(3)が発行されている。そのため、TPK(1),TPK(2)に同一のa(1)が対応付けられ、TPK(3),TPK(4),TPK(5)に同一のa(2)が対応付けられ、TPK(6),TPK(7)に同一のa()が対応付けられている。「y」の利用可否情報111adは、権限の行使を許可することを表し、「n」の利用可否情報111adは、権限の行使を拒否することを表す。
また、認証情報はそれに対応する主体が利用する端末装置13(図4)の記憶部131に格納される。この主体に対応する識別情報が非対称鍵暗号方式に則った公開暗号化鍵を含む場合、その公開暗号化鍵に対応する秘密復号鍵も記憶部131に格納される。図9Aのデータベース111aの例の場合、主体A(j)の端末装置13の記憶部131には、TPK(j)に対応する秘密復号鍵TSK(j)が格納される。
《識別情報発行処理:図5》
識別情報発行処理は、端末装置13の初回利用時、デバイス向け鍵管理用アプリケーションの再インストール後、または端末装置13の利用者の権限について上述の登録処理が実行された後に実行される。まず、記憶部131から読み出された認証情報が登録処理部135に送られる。登録処理部135は、この認証情報を含む鍵発行・承認要求を生成して出力部133に送る。出力部133は、鍵発行・承認要求を管理装置11に対して送信する(ステップS11)。
鍵発行・承認要求は、管理装置11(図2)の入力部112に入力され、発行部116に送られる。発行部116は、記憶部111のデータベース111aに格納された登録者情報111aaを用いて鍵発行・承認要求が含む認証情報を検証する(ステップS12)。この検証が不合格であれば、発行部116は処理をエラー終了する。一方、この検証が合格であれば、発行部116は、記憶部111のデータベース111aを参照し、鍵発行・承認要求が含む認証情報に対応する登録者情報111aaに対応付けられた登録識別情報111ab(1個または複数個)を抽出する。発行部116は、抽出した登録識別情報111ab(1個または複数個)を含む発行情報(登録識別情報を表す情報)を生成し、出力部113に送る。出力部113は発行情報を端末装置13に送信する(ステップS13)。発行情報は端末装置13(図4)の入力部132に入力され、発行情報が含む登録識別情報111abが識別情報として記憶部131に格納される(ステップS14)。
《管理装置と端末装置との間で行われる変更処理:図5》
管理装置11と端末装置13との間で行われる変更処理を説明する。変更処理は、管理装置11の記憶部111に格納されたデータベース111aを変更する処理である。変更処理の例は、データベース111aの何れかのレコードを削除(廃止)する処理、利用可否情報111adの設定を変更する処理等である。
まず、端末装置13(図4)のインタフェース部134にデータベース111aの変更内容を表す変更情報が入力される。データベース111aの変更内容の例は、登録の廃止、権限の行使を許可することを表す利用可否情報111adへの変更、権限の行使を拒否することを表す利用可否情報111adへの変更などである。変更情報は登録処理部135に送られる。さらに記憶部131から識別情報や認証情報が読み出され、それらが登録処理部135に送られる。登録処理部135は、変更情報と識別情報と認証情報とを含む変更要求を生成して出力部133に送られる。出力部133は、変更要求を管理装置11に対して送信する(ステップS21)。
変更要求(データベースの変更内容を表す変更情報を含む)は、管理装置11(図2)の入力部112に入力され(受け取られ)、更新部114に送られる。更新部114は、記憶部111のデータベース111aに格納された登録者情報111aaを用いて変更要求が含む認証情報を検証する(ステップS22)。この検証が不合格であれば、更新部114は処理をエラー終了する。一方、この検証が合格であれば、更新部114は、変更要求が含む変更情報と識別情報とを用い、当該識別情報に対応するデータベース111aのレコードに対し、変更情報が表す変更を行う。例えば、変更情報が「登録の廃止」を表す場合には、更新部114は、当該識別情報と同一の登録識別情報111abに対応するレコード(登録者情報111aaと登録識別情報111abと権限情報111acと利用可否情報111adからなるレコード)をデータベース111aから削除する。例えば、変更情報が「権限の行使を許可することを表す利用可否情報111adへの変更」である場合、更新部114は、当該識別情報と同一の登録識別情報111abに対応付けされている利用可否情報111adを「権限の行使を許可すること」を表すものにする。例えば、変更情報が「権限の行使を拒否することを表す利用可否情報111adへの変更」である場合、更新部114は、当該識別情報と同一の登録識別情報111abに対応付けされている利用可否情報111adを「権限の行使を拒否すること」を表すものにする。以上のように、更新部114は、変更情報を用いてデータベース111aを更新する(ステップS23)。反映部115は、変更がなされた旨と変更要求が含む識別情報に対応する最新のデータベース111aのレコードを表す情報とを含む応答を出力部113に送り、出力部113はこの応答を端末装置13に送信する(ステップS24)。
《管理装置のみで行われる変更処理》
上記のような変更処理が管理装置11単独で行われてもよい。この場合、管理装置11の管理者等が管理装置11の入力部112に上述のような変更情報と識別情報とを入力する。これらは更新部114に送られ、更新部114は、当該識別情報に対応するデータベース111aのレコードに対し、変更情報が表す変更を行う。
≪管理装置と許可装置との間で行われる反映処理:図5≫
許可装置12−i(図3)には、管理装置11のデータベース111aに格納された情報の一部が格納される。例えば、許可装置12−iの記憶部121−iには、少なくとも、データベース111aに含まれた登録識別情報111abの一部が格納される。本実施形態では、上述の権限のうち、許可装置12−iが取り扱う権限(一部の権限)に対応する権限情報111acのみに対応付けられた登録識別情報111ab(第1部分権限情報に対応付けられた登録識別情報である第1部分登録識別情報を表す情報)が許可装置12−iに格納される。具体例をあげると、例えば、管理装置11のデータベース111aに、ホテルA,B,Cの各部屋の扉の解錠および施錠を行う権限に対応するレコードが格納されており、許可装置12−iがホテルAの各部屋の扉の解錠および施錠を行う権限のみを取り扱う場合を想定する。この場合、許可装置12−iは、ホテルAの各部屋の扉の解錠および施錠を行う権限に対応する権限情報111acに対応付けられた登録識別情報111abを記憶部121−iに格納する。さらに、例えば、管理装置11のデータベース111aのレコードのうち、権限の行使を許可することを表す利用可否情報111adに対応付けられた登録識別情報111abのみが許可装置12−iに格納されてもよい。その他、このような登録識別情報111abに加え、それに対応付けられたその他の情報(権限情報111ac等)も許可装置12−iに格納されてもよい。以下では、許可装置12−iが取り扱う権限に対応する権限情報111acに対応付けられた登録識別情報111abのうち、権限の行使を許可することを表す利用可否情報111adに対応付けられた登録識別情報111abと、それに対応付けられた権限情報111acとが許可装置12−iに格納される例を示す。
このような情報の許可装置12−iへの格納処理は、例えば、管理装置11のデータベース111aのレコードの追加、破棄、および利用可否情報の変更の何れかが生じたときに管理装置11から開始されてもよいし(反映方法1)、許可装置12−iが管理装置11に所定の契機でデータベース111aのレコードの追加、破棄、および利用可否情報の変更の何れかが生じたかを問い合わせ、何れかが生じたときに許可装置12−iから開始されてもよい(反映方法2)。
≪反映方法1≫
反映方法1の場合、管理装置11(図2)の反映部115は、記憶部111のデータベース111aのレコードの追加、破棄、および利用可否情報の変更を監視している。データベース111aのレコードに追加、破棄、および利用可否情報の変更の何れかが生じた場合、反映部115は、追加、破棄、および利用可否情報の変更の何れかが生じたレコードのうち、許可装置12−iが取り扱う権限に対応する権限情報111acに対応するレコードを特定する。
(処理1)レコードの追加の場合、反映部115は、上述のように特定したレコードから、権限の行使を許可することを表す利用可否情報111adに対応付けられた登録識別情報111abおよび権限情報111acを抽出する。反映部115は、レコードの追加を表す情報と、抽出した登録識別情報111abおよび権限情報111acとを含む更新情報(「権限の行使を許可することを表す利用可否情報に対応付けられた登録識別情報を表す情報」「データベースの更新に応じた情報」)を得て出力部113に送る。
(処理2)レコードの破棄の場合、反映部115は、上述のように特定したレコードから、権限の行使を許可することを表す利用可否情報111adに対応付けられた登録識別情報111abを抽出する。反映部115は、レコードの削除を表す情報と、抽出した登録識別情報111abとを含む更新情報(「権限の行使を許可することを表す利用可否情報に対応付けられた登録識別情報を表す情報」「データベースの更新に応じた情報」)を得て出力部113に送る。
(処理3)レコードの利用可否情報が「権限の行使を許可すること」を表すものに変更された場合、反映部115は、上述のように特定したレコードから、登録識別情報111abおよび権限情報111acを抽出する。反映部115は、レコードの追加を表す情報と、抽出した登録識別情報111abおよび権限情報111acとを含む更新情報(「権限の行使を許可することを表す利用可否情報に対応付けられた登録識別情報を表す情報」「データベースの更新に応じた情報」)を得て出力部113に送る。
(処理4)レコードの利用可否情報が「権限の行使を拒否すること」を表すものに変更された場合、反映部115は、上述のように特定したレコードから、登録識別情報111abを抽出する。反映部115は、レコードの削除を表す情報と、抽出した登録識別情報111abとを含む更新情報(「登録識別情報を表す情報」「データベースの更新に応じた情報」)を得て出力部113に送る。
出力部113は、上述のような更新情報を許可装置12−iに送信する(ステップS41)。
更新情報(「登録識別情報を表す情報」「設定情報の変更内容を表す情報」)は、許可装置12−i(図3)の入力部122−iに入力され(受け取られ)、更新部124−iに送られる。
(処理A)更新情報がレコードの追加を表す情報を含む場合((処理1)(処理3)に対応)、更新部124−iは、この更新情報が含む登録識別情報111abおよび権限情報111acを登録識別情報121aa−iおよび権限情報121ab−iとし、登録識別情報121aa−iと権限情報121ab−iとが対応付けられたレコードを記憶部121−iのデータベース121a−i(設定情報)に格納する。
(処理B)更新情報がレコードの削除を表す情報を含む場合((処理2)(処理4)に対応)、更新部124−iは、この更新情報が含む登録識別情報111abに対応する登録識別情報121aa−iのレコードをデータベース121a−iから削除する。
以上のように、更新情報によってデータベース121a−iが更新される(ステップS42)。
≪反映方法2≫
反映方法2の場合、許可装置12−i(図3)の更新部124−iは、管理装置11の反映部115に対し、所定の契機でデータベース111aのレコードの追加、破棄、および利用可否情報の変更の何れかが生じたかを問い合わせる。この問い合わせは、許可装置12−iが取り扱う権限に対応する権限情報111acを含む情報を用いて行われる。反映部115は、前回の許可装置12−iからの問い合わせより後に、許可装置12−iが取り扱う権限に対応する権限情報111acに対応するレコードに追加、破棄、および利用可否情報の変更の何れかが生じたかを判定する。追加、破棄、および利用可否情報の変更の何れかが生じていた場合、反映部115は、そのようなレコードを特定し、そのレコードが追加されたか、破棄されたか、利用可否情報が「権限の行使を許可すること」を表すものに変更されたか、利用可否情報が「権限の行使を拒否すること」を表すものに変更されたかに応じ、上述の(処理1)〜(処理4)を実行する。出力部113は、これによって得られた更新情報を許可装置12−iに送信する(ステップS41)。更新情報は、許可装置12−iの入力部122−iに入力され、更新部124−iに送られ、更新部124−iは、更新情報がレコードの追加を表す情報を含むか、コードの削除を表す情報を含むかに応じ、(処理A)または(処理B)を実行し、データベース121a−iを更新する(ステップS42)。
《許可装置12−iに格納されるデータベース121a−iの例示》
上述のように、管理装置11はデータベース111aに含まれた登録識別情報の何れかを表す情報を出力し、許可装置12−iは登録識別情報の何れかを表す情報を受け取り、登録識別情報の何れかを含む設定情報を格納する。以下に許可装置12−iに格納されるデータベース121a−iの構成を例示する。
図9Bに許可装置12−1が格納するデータベース121a−1を例示する。この例の許可装置12−1は、グループG(1)に対して発行された権限情報a(1)(許可装置12−1が取り扱う一部の権限に対応する権限情報である第1部分権限情報)と、権限情報a(1)に対応付けられた登録識別情報のうち、利用可否情報y(図9A参照)に対応付けられたTPK(1),TPK(2)(第1部分権限情報に対応付けられた登録識別情報である第1部分登録識別情報)と受け取る。さらにこの許可装置12−1は、グループG(2)に対して発行された権限情報a(2)(許可装置12−1が取り扱う一部の権限に対応する権限情報である第1部分権限情報)と、権限情報a(2)のみに対応付けられた登録識別情報のうち、利用可否情報yに対応付けられたTPK(3),TPK(4)(第1部分権限情報に対応付けられた登録識別情報である第1部分登録識別情報)とを受け取る。許可装置12−1は、TPK(1),TPK(2)を権限情報a(1)に対応付け、TPK(3),TPK(4)を権限情報a(2)に対応付けたデータベース121a−1(設定情報)を記憶部121−1に格納する。
図9Cに許可装置12−2が格納するデータベース121a−2を例示する。この例の許可装置12−2は、グループG(3)に対して発行された権限情報a(3)(許可装置12−2が取り扱う一部の権限に対応する権限情報である第2部分権限情報)と、権限情報a(3)のみに対応付けられた登録識別情報のうち、利用可否情報yに対応付けられたTPK(6),TPK(7)(第2部分権限情報に対応付けられた登録識別情報である第2部分登録識別情報)とを受け取る。許可装置12−2は、TPK(6),TPK(7)を権限情報a(3)に対応付けたデータベース121a−2を記憶部121−2に格納する。
すなわち、許可装置12−1は、複数の登録識別情報TPK(1),・・・,TPK(J)からなる全体集合SET={TPK(1),・・・,TPK(J)}の第1真部分集合SUB(1)={TPK(1),TPK(2),TPK(3),TPK(4)}の要素である第1部分登録識別情報TPK(1),TPK(2),TPK(3),TPK(4)を表す情報を受け取り、第1部分登録識別情報TPK(1),TPK(2),TPK(3),TPK(4)を含むデータベース121a−1(設定情報)を格納する。許可装置12−2は、全体集合SETの第2真部分集合SUB(2)={TPK(6),TPK(7)}の要素である第2部分登録識別情報TPK(6),TPK(7)を表す情報を受け取り、第2部分登録識別情報TPK(6),TPK(7)を含むデータベース121a−2(設定情報)を格納する。ここで、第1真部分集合SUB(1)と第2真部分集合SUB(2)との共通部分は空である(SUB(1)∩SUB(2)が空集合)。また、第1部分登録識別情報TPK(1),TPK(2),TPK(3),TPK(4)に対応付けられた権限情報である第1部分権限情報a(1),a(2)と、第2部分登録識別情報TPK(6),TPK(7)に対応付けられた権限情報である第1部分権限情報a(3)とが異なる。
《管理装置と端末装置との間で行われる閲覧処理:図6》
管理装置11と端末装置13との間で行われる閲覧処理を説明する。閲覧処理は、端末装置13で管理装置11の記憶部111に格納されたデータベース111aのレコードを閲覧する処理である。
まず、端末装置13(図4)のインタフェース部134にデータベース111aのレコードの閲覧を要求する旨の閲覧要求情報が入力される。閲覧要求情報は登録処理部135に送られる。さらに記憶部131から識別情報や認証情報が読み出され、それらが登録処理部135に送られる。登録処理部135は、閲覧要求情報と識別情報と認証情報とを含む閲覧要求を生成して出力部133に送られる。出力部133は、閲覧要求を管理装置11に対して送信する(ステップS31)。
閲覧要求は、管理装置11(図2)の入力部112に入力され(受け取られ)、発行部116に送られる。発行部116は、記憶部111のデータベース111aに格納された登録者情報111aaを用いて閲覧要求が含む認証情報を検証する(ステップS32)。この検証が不合格であれば、発行部116は処理をエラー終了する。一方、この検証が合格であれば、発行部116は、閲覧要求が含む識別情報を用い、当該識別情報に対応するデータベース111aのレコードを抽出し、このレコードを表す閲覧情報を生成し、出力部113に送る(ステップS33)。出力部113は閲覧情報を含む応答を出力部113に送り、出力部113はこの応答を端末装置13に送信する(ステップS34)。これにより、端末装置13の利用者は送られた応答が含む閲覧情報を閲覧できる。
≪鍵利用処理:図7≫
前述の識別情報発行処理によって識別情報が記憶部131に格納された端末装置13は、駆動装置14を物理的に駆動させる権限を行使できる。この場合、端末装置13の権限処理部136は記憶部131から識別情報を抽出し、これを含む鍵利用要求(識別情報を表す情報)を生成して出力部133に送る。なお、記憶部131に複数個の識別情報が格納されている場合には、例えば、どの識別情報を用いるかの情報がインタフェース部134に入力され、それによって指定された識別情報を含む鍵利用要求が生成される。あるいは記憶部131に格納された複数個の識別情報のそれぞれについてそれを含む鍵利用要求が生成されてもよい。出力部133は、この鍵利用要求を端末認証装置15に送信する(ステップS51)。
鍵利用要求が送られた端末認証装置15は、鍵利用要求を許可装置12−iに送り、問い合わせを行う。鍵利用要求はすべての許可装置12−iに送られてもよいし、一部の許可装置12−i(例えば、端末装置13が行使しようとする権限を取り扱う許可装置12−i)のみに送られてもよい(ステップS52)。鍵利用要求(識別情報を表す情報)は許可装置12−i(図3)の入力部122−iに入力され(受け取られ)、認証許可部125−iに送られる。認証許可部125−iは、記憶部121−iのデータベース121a−i(設定情報)を参照し、鍵利用要求が含む識別情報がデータベース121a−iに含まれた登録識別情報121aa−iに対応するか(例えば、一致するか)を判定する(ステップS53)。識別情報がデータベース121a−iに含まれた登録識別情報121aa−iに対応しない場合、認証許可部125−iはエラーを返す。識別情報がデータベース121a−i(設定情報)に含まれた登録識別情報121aa−i(部分登録識別情報)に対応する場合、認証許可部125−iは、その登録識別情報121aa−iに対応付けられた権限情報121ab−i(部分権限情報)が表す権限の行使に必要な権限行使情報(部分権限情報に対応する権限の行使に必要な権限行使情報)を表す情報を出力する。権限行使情報は、例えば、権限の行使が可能であることを表す情報であってもよいし、権利の行使を行う場合に入力が要求されるパスワード等の秘密情報であってもよい。また、識別情報や登録識別情報が非対称鍵暗号方式に則った公開暗号化鍵である場合、認証許可部125−iは、識別情報に対応する登録識別情報121aa−iを公開暗号化鍵として用いて権限の行使に必要な秘密情報を暗号化して得られた暗号文を権限行使情報としてもよい。権限行使情報は出力部123−iに入力され、出力部123−iは権限行使情報を許可装置12−iに送信する(ステップS54)。端末認証装置15は、エラーまたは権限行使情報を応答として端末装置13に送信する(ステップS55)。
応答(エラーまたは権限行使情報を表す情報)は端末装置13(図4)の入力部132に入力され(受け取られ)、権限処理部136に送られる。権限行使情報が送られた場合、権限処理部136は、権限行使情報に対応する駆動情報を生成してインタフェース部134に送る。例えば、権限行使情報が権限の行使が可能であることを表す情報や秘密情報などの場合には、権限行使情報を表す情報が駆動情報とされる。また、登録識別情報121aa−iを公開暗号化鍵として用いて権限の行使に必要な秘密情報を暗号化して得られた暗号文が権限行使情報である場合、権限処理部136は、記憶部131からこの公開暗号化鍵に対応する秘密復号鍵を抽出し、この秘密復号鍵を用いて権限行使情報を復号して得られる秘密情報を駆動情報とする。インタフェース部134は、入力された駆動情報を表す駆動信号を生成して出力する。駆動信号は、有体物である駆動装置14を物理的に駆動させるための信号である(ステップS56)。
駆動信号が駆動装置14に入力されると、駆動装置14が物理的に駆動する。例えば、駆動装置14は扉を解錠および施錠を行ったり、車のエンジンを始動および停止させたり、電子シャッターを開閉させたり、家電製品を駆動および停止させたりする(ステップS57)。
<本形態の特徴>
本形態では、有体物に対する処理の実行権限の取り扱いを簡易化できる。
すなわち、本形態では、権限を持つ利用者が正規に識別情報の発行を受けた端末装置13は、管理装置11の管理者を介することなく、直接、許可装置12−iから権限行使情報の発行を受けることができ、それを用いて駆動装置14を物理的に駆動させることができる。一方、識別情報の発行を受けていない端末装置は、許可装置12−iから権限行使情報の発行を受けることができない。そのため、管理装置11の管理者が想定しない人が不当に権限を行使するようなことは起こらない。特に、識別情報が非対称鍵暗号方式に則った公開暗号化鍵を含み、権限行使情報が識別情報に対応する登録識別情報を用いて権限の行使に必要な秘密情報を暗号化して得られた暗号文であり、駆動信号が公開暗号化鍵に対応する秘密復号鍵を用いて権限行使情報を復号して得られる秘密情報を表す信号である場合には、より安全性が高い。秘密復号鍵を持たない第三者の装置が権限行使情報を取得しても、その権限を行使できないからである。
また、権限を持つ利用者が端末装置13を紛失したり盗難されたりした場合、それに格納されていた識別情報に対応するレコードを管理装置11のデータベース111aから破棄したり、そのレコードの利用可否情報を「権限の行使を拒否すること」を表すものに変更したりすればよい。これにより、対応するレコードが許可装置12−iのデータベース121a−iからも削除される。その結果、紛失したり盗難されたりした端末装置13を無効化でき、それを用いた権限の行使を停止できる。
また、利用者は端末装置13を用いて、管理装置11の管理者による操作を介すことなく、直接管理装置11にアクセスし、所定の権限の行使を不可能にしたり、廃止したりできる。また、管理装置11の管理者が直接、直接管理装置11にアクセスし、所定の権限の行使を不可能にしたり、廃止したりできる。
また、管理装置11に格納されたデータベース111aは、そのレコード(登録者情報111aaと登録識別情報111abと権限情報111acと利用可否情報111adが対応付けられたレコード)の追加、破棄、および利用可否情報111adの変更等の部分的な更新が可能である。データベース111aが部分的に更新されると、更新されたレコードに対応する権限を取り扱う許可装置12−iのみに更新情報が送られる。更新情報が送られた許可装置12−iは、それに基づいてデータベース121a−iを更新(上書き)する。ここで、管理装置11はすべての許可装置12−iに対応するレコードの更新を取り扱う。一方、各許可装置12−iは自らが取り扱う権限に対応するレコードが更新された場合にのみ、送られた更新情報に基づいてデータベース121a−iを更新する。そのため、管理装置11に格納されたデータベース111aへの更新回数は、許可装置12−iに格納されたデータベース121a−iへの更新回数よりも多い。他方、鍵利用処理のたびに、許可装置12−iに格納されたデータベース121a−iの参照が必要であるが、この場合に管理装置11に格納されたデータベース111aの参照は不要である。このように本形態では、管理装置11の役割と許可装置12−iの役割とが明確に区別される。これにより、管理装置11のデータベース111aと許可装置12−iのデータベース121a−iとを、それぞれの役割に最適な構成で実装できる。例えば、参照に対する効率を多少犠牲にしてもレコードの更新を高速に実行できる構成で管理装置11のデータベース111aを実装し、更新に対する効率を多少犠牲にしても参照を高速に実行できる構成で許可装置12−iのデータベース121a−iを実装できる。これにより、システム全体としての効率を向上できる。
また、許可装置12−iが、自らが取り扱う権限に対応する登録識別情報を含む設定情報を格納するため、許可装置12−iに対し、その他の許可装置12−i’が取り扱う権限に対応する情報が漏えいすることを防止できる。また、複数の許可装置12−iがそれぞれ互いに異なる権限を取り扱うことで、各許可装置12−iが取り扱う権限に対応する情報がその他の許可装置12−i’に漏洩することを防止できる。特に、各許可装置12−iが取り扱う権限に対応する登録識別情報からなる真部分集合と、その他の許可装置12−i’が取り扱う権限に対応する登録識別情報からなる真部分集合との共通部分を空とすることで、各許可装置12−iが取り扱う権限が与えられた主体に関する情報が、その他の許可装置12−i’に漏洩することを防止できる。
また、識別情報の登録や利用可否情報の設定のみによって、権限の設定、停止、および廃止等を行うことができるため、それらの処理のために鍵等の物理的媒体を物理的手段によって配送する必要がない。
また、本形態では複数種類の権限の管理を管理装置11に委任できる。権限の利用者は権限ごとに別個の物理的媒体を保持する必要はなく、最低1個の端末装置13があれば複数個の権限を行使できる。
〔第2実施形態〕
第2実施形態は第1実施形態の変形例である。以下では、これまでに説明した事項との相違点を中心に説明し、既に説明した事項については同じ参照番号を流用して説明を簡略化する。
<構成>
図1に例示するように、本形態のセキュリティシステム2は、管理装置21と許可装置22−iと端末装置23と駆動装置14と端末認証装置15とを有する。管理装置21は、許可装置22−iおよび端末装置23と情報の伝送が可能なように構成されている。許可装置22−iは管理装置21および端末認証装置15と情報の伝送が可能なように構成されている。端末認証装置15は許可装置22−iおよび端末装置23と情報の伝送が可能なように構成されている。端末装置23は端末認証装置15および管理装置21と情報の伝送が可能であり、かつ、駆動装置14に信号の伝送が可能なように構成されている。説明の便宜上、図1では管理装置21、許可装置22−i、端末装置23、駆動装置14、および端末認証装置15を1個ずつ図示しているが、これらが複数個存在していてもよい(図8)。すなわち、i=1,・・・,Nであり、Nは正の整数であり、Nは2以上の整数であってもよい(図8)。
《管理装置21》
図10に例示するように、本形態の管理装置21は、記憶部211と入力部112と出力部113と更新部114と反映部115と発行部116と制御部117とを有し、制御部117の制御のもとで各処理を実行する。
《許可装置22−i》
図11に例示するように、本形態の許可装置22−iは、記憶部221−iと入力部122−iと出力部123−iと更新部224−iと認証許可部225−iと制御部126−iとを有し、制御部126−iの制御のもとで各処理を実行する。
《端末装置23》
図4に例示するように、端末装置23は、記憶部131と入力部132と出力部133とインタフェース部134と登録処理部135と権限処理部236と制御部137とを有し、制御部137の制御のもとで各処理を実行する。
<処理>
次に、本形態の処理を説明する。
《権限情報に対応する鍵ペアの生成》
本形態では、複数の主体(すなわち、複数の主体からなるグループ)に同一の権限情報a(k)が発行され、各権限情報a(k)に対応する権限に対し、公開暗号化鍵GPK(k)および秘密復号鍵GSK(k)からなる鍵ペア(GPK(k),GSK(k))が生成される。ただし、k=1,・・・,Kであり、Kは2以上の整数である。公開暗号化鍵GPK(k)は権限情報211acの生成に用いられる。秘密復号鍵GSK(k)は、その権限を取り扱う許可装置22−iの記憶部221−iに格納される(図11:秘密復号鍵221b−i)。
《登録処理》
管理装置21(図10)で行われる登録処理を説明する。本形態では、データベース111aに代えて、登録者情報111aaと登録識別情報111abと権限情報211acと利用可否情報111adが対応付けられたデータベース211aが記憶部211に格納される。ただし、本形態の権限情報211ac(すなわち、a(k))は、共通鍵K(j)(ただし、j=1,・・・,J,Jは正の整数)で権限情報211acに対応する権限の行使に必要な秘密情報ea(k)を暗号化して得られた暗号文SENCK(j)(ea(k))と、権限情報211acに対応する権限に対応する公開暗号化鍵GPK(k)(例えば、当該権限が与えられたグループに対応する公開暗号化鍵)で当該共通鍵K(j)を暗号化して得られる共通鍵暗号文PENCGPK(k)(K(j))とを含む。さらに権限情報211acが、それに対応する権限に対応する公開暗号化鍵GPK(k)を特定する情報を含んでいてもよい。例えば、権限情報211acはa(k)={GPK(k),PENCGPK(k)(K(j)),SENCK(j)(ea(k))}である。共通鍵K(j)はランダムに生成された値であってもよいし、予め定められた値であってもよい。本形態の登録識別情報111abのそれぞれには、非対称鍵暗号方式に則った公開暗号化鍵TPK(j)が対応する。登録識別情報111abそのものが公開暗号化鍵TPK(j)であってもよいし、登録識別情報111abが公開暗号化鍵TPK(j)を含んでもよいし、登録識別情報111abが公開暗号化鍵TPK(j)を特定する情報(鍵識別子等)を含んでいてもよい。
[データベース211aのデータ構成の例示]
図9A、図12A、および図12Bにデータベース211aのデータ構成を例示する。データベース211aの前述のデータベース111aからの相違点は、前述の権限情報111acが権限情報211ac(すなわち、a(1),・・・,a(K))に置換された点である。図12Aおよび図12Bに本形態の権限情報a(1)およびa(3)を例示する。権限情報a(1)は、共通鍵K(1)で権限情報a(1)に対応する権限の行使に必要な秘密情報ea(1)を暗号化して得られた暗号文SENCK(1)(ea(1))と、権限情報a(1)に対応する権限に対応する公開暗号化鍵GPK(1)で当該共通鍵K(1)を暗号化して得られる共通鍵暗号文PENCGPK(1)(K(1))と、公開暗号化鍵GPK(1)とを含む。権限情報a(3)は、共通鍵K(3)で権限情報a(3)に対応する権限の行使に必要な秘密情報ea(3)を暗号化して得られた暗号文SENCK(3)(ea(3))と、権限情報a(3)に対応する権限に対応する公開暗号化鍵GPK(3)で当該共通鍵K(3)を暗号化して得られる共通鍵暗号文PENCGPK(3)(K(3))と、公開暗号化鍵GPK(3)とを含む。共通鍵K(1),K()は、例えば乱数である。
また、認証情報はそれに対応する主体が利用する端末装置23(図4)の記憶部131に格納される。本形態では、この主体に対応する識別情報に対応する公開暗号化鍵に対応する秘密復号鍵が記憶部131に格納される。図9Aのデータベース211aの例の場合、主体A(j)の端末装置23の記憶部131には、TPK(j)に対応する秘密復号鍵TSK(j)が格納される。その他の処理は、端末装置13および管理装置11に代えて端末装置23および管理装置21によって実行される以外、第1実施形態のステップS11からS14と同じである。
《識別情報発行処理》
本形態の識別情報発行処理は、端末装置13および管理装置11に代えて端末装置23および管理装置21によって実行される以外、第1実施形態と同じである。
《管理装置と端末装置との間で行われる変更処理、管理装置のみで行われる変更処理、管理装置と端末装置との間で行われる閲覧処理》
本形態の管理装置と端末装置との間で行われる変更処理、管理装置のみで行われる変更処理、および管理装置と端末装置との間で行われる閲覧処理は、端末装置13および管理装置11に代えて端末装置23および管理装置21によって実行され、記憶部111に代えて記憶部211が用いられ、データベース111aに代えてデータベース211aが用いられ、権限情報111acに代えて権限情報211acが用いられる以外、第1実施形態と同じである。
≪管理装置と許可装置との間で行われる反映処理≫
本形態の管理装置と許可装置との間で行われる反映処理は、管理装置11および許可装置12−iに代えて管理装置21および許可装置22−iによって実行され、記憶部111および121−iに代えて記憶部211および221−iが用いられ、データベース111aおよび121a−iに代えてデータベース211aおよび221a−iが用いられ、権限情報111acおよび12ab−iに代えて権限情報211acおよび221ab−iが用いられる以外、第1実施形態と同じである(図9Bおよび図9C)。
≪鍵利用処理:図7≫
まず、第1実施形態のステップS51からS53と同じ処理が実行される。ただし、端末装置13および許可装置12−iに代えて端末装置23および許可装置22−iによって実行され、認証許可部125−iおよび記憶部121−iに代えて認証許可部225−iおよび記憶部221−iが用いられ、データベース121a−iに代えてデータベース221a−iが用いられる。
ステップS53において、識別情報がデータベース221a−iに含まれた登録識別情報121aa−iに対応しないと判定された場合、認証許可部225−iはエラーを返す。一方、識別情報がデータベース221a−i(設定情報)に含まれた登録識別情報121aa−i(部分登録識別情報)に対応する場合、認証許可部225−iは、その登録識別情報121aa−iに対応付けられた権限情報221ab−i(すなわち、a(k))を抽出する。認証許可部225−iは、抽出した権限情報a(k)に対応する公開暗号化鍵GPK(k)に対応する秘密復号鍵221b−i(すなわち、GSK(k))を記憶部221−iから抽出する。認証許可部225−iは、抽出した秘密復号鍵GSK(k)(例えば、権限が与えられたグループに対応する秘密復号鍵)と、識別情報に対応する登録識別情報121aa−i(部分登録識別情報)に対応する公開暗号化鍵TPK(j)と、抽出した権限情報a(k)(部分権限情報)とに基づいて、公開暗号化鍵TPK(j)で権限情報a(k)が含む共通鍵K(j)を暗号化して得られる共通鍵再暗号文PENCTPK(k)(K(j))と、権限情報a(k)が含む暗号文SENCK(j)(ea(k))と、を含む権限行使情報b(k)を表す情報を得る。例えば、認証許可部225−iは、GSK(k)でPENCGPK(k)(K(j))を復号してK(j)を得、TPK(j)でK(j)を暗号化してPENCTPK(k)(K(j))を得、このPENCTPK(k)(K(j))とSENCK(j)(ea(k))とを含むb(k)を得る。権限行使情報b(k)がさらに公開暗号化鍵TPK(j)を表す情報を含んでいてもよい。例えば、権限行使情報はb(k)={TPK(j),PENCTPK(k)(K(j)),SENCK(j)(ea(k))}である。図12Cはk=j=1の場合にa(1)からb(1)が得られる例を表し、図12Dはk=3,j=6の場合にa(3)からb(3)が得られる例を表している。認証許可部225−iは権限行使情報b(k)を出力部123−iに出力し、出力部123−iは権限行使情報b(k)を端末認証装置15に送信する(ステップS254)。端末認証装置15は、エラーまたは権限行使情報b(k)を応答として端末装置23に送信する(ステップS255)。
応答(エラーまたは権限行使情報b(k)を表す情報)は端末装置23(図4)の入力部132に入力され(受け取られ)、権限処理部136に送られる。権限行使情報b(k)が送られた場合、権限処理部236は、権限行使情報b(k)に対応する駆動情報を生成する。本形態の権限処理部236は、まず、権限行使情報b(k)の生成に用いられたTPK(j)に対応する秘密復号鍵TSK(j)を記憶部131から抽出する。権限処理部236は抽出したTSK(j)を用い、権限行使情報b(k)が有するPENCTPK(k)(K(j))を復号してK(j)を得る。次に権限処理部236は、K(j)を用い、権限行使情報b(k)が有するSENCK(j)(ea(k))を復号して秘密情報ea(k)を抽出し、秘密情報ea(k)に対応する駆動情報を生成してインタフェース部134に送る。例えば、権限処理部236は、秘密情報ea(k)を駆動情報とする(ステップS256)。その後、第1実施形態で説明したステップS57の処理が実行される。
<本形態の特徴>
本形態でも、第1実施形態と同様、有体物に対する処理の実行権限の取り扱いを簡易化できる。また、本形態の権限情報211acは、暗号文SENCK(j)(ea(k))と、共通鍵暗号文PENCGPK(k)(K(j))とを含むa(k)であり、権限に対応する秘密復号鍵GSK(j)(例えば、権限が与えられたグループに対応する秘密復号鍵)を持たない装置は、a(k)からK(j)を復元できず、秘密情報ea(k)を得ることができない。そのため、管理装置21から権限情報211acが漏洩したとしても、権限情報211acから秘密情報ea(k)が得られ、それに対応する駆動情報によって駆動装置14が駆動されることを防止できる。また、権限情報a(k)に対応する権限を取り扱う許可装置22−は、TSK(j)を保持しているため、許可装置22−の管理の下、a(k)をその権限の行使が許可された主体A(j)が使用する端末装置23で復号可能なb(k)に再暗号化できる。これにより、端末装置23は、b(k)からea(k)を復号し、駆動情報を得て駆動装置14を駆動させることができる。一方、端末装置23は、その権限に対応する秘密復号鍵GSK(j)自体を保持していないため、許可装置22−の管理(例えば、権限が与えられたグループの管理)に基づかないa(k)を不正に入手したとしても、ea(k)を復号できず、駆動装置14を駆動させることもできない。これにより、同一の権限が付与された複数の主体に対する制御を許可装置22−の下で一括して行うことができる。
〔第3実施形態〕
第3実施形態は第2実施形態の変形例である。第3実施形態では、自己訂正技術を応用して権限情報a(k)から権限行使情報b(k)を得る。自己訂正技術とは、必ずしも正しい計算結果を出力するとは限らない計算機やシステムを用いて常に正しい計算を行う(正しい計算結果を出力する計算機を用いた場合に正しい計算結果を出力し、必ずしも正しい結果を出力するとは限らない計算機を用いた場合に、正しい計算結果を得るか、または計算できない旨の結果を得る)技術である。自己訂正技術自体は公知技術であり、例えば、参考文献1(国際公開WO/2012/057134号公報)、参考文献2(国際公開WO/2011/086992号公報)、および参考文献3(国際公開WO/2012/121152号公報)等に開示されている。本形態はこの自己訂正技術の権限の管理への応用方法を工夫したものである。本形態では、各権限に対応する秘密復号鍵GSK(k)を格納する、許可装置または権限ごとの鍵管理装置が設けられる。許可装置は入力された識別情報がデータベース221a−i(設定情報)に含まれた登録識別情報121aa−i(部分登録識別情報)に対応する場合に、権限情報a(k)(部分権限情報)に対応する情報と公開暗号化鍵TPK(j)とを、秘密復号鍵GSK(k)を格納する鍵管理装置に送信する。権限情報a(k)(部分権限情報)に対応する情報と公開暗号化鍵TPK(j)とが送られた鍵管理装置は、権限情報a(k)(部分権限情報)に対応する情報と公開暗号化鍵TPK(j)と秘密復号鍵GSK(k)とを用い、権限行使情報b(k)に対応する情報を得て許可装置に送信する。許可装置は、権限行使情報b(k)に対応する情報を受け取り、権限行使情報b(k)に対応する情報を用いた自己訂正処理によって権限行使情報b(k)を得る。
<構成>
図1に例示するように、本形態のセキュリティシステム3は、管理装置21と許可装置32−iと端末装置23と駆動装置14と端末認証装置15と鍵管理装置36−iとを有する。管理装置21は、許可装置32−iおよび端末装置23と情報の伝送が可能なように構成されている。許可装置32−iは鍵管理装置36−iと管理装置21と端末認証装置15と情報の伝送が可能なように構成されている。端末認証装置15は許可装置32−iおよび端末装置23と情報の伝送が可能なように構成されている。端末装置23は端末認証装置15および管理装置21と情報の伝送が可能であり、かつ、駆動装置14に信号の伝送が可能なように構成されている。説明の便宜上、図1では管理装置21、許可装置32−i、鍵管理装置36−i、端末装置23、駆動装置14、および端末認証装置15を1個ずつ図示しているが、これらが複数個存在していてもよい(図8)。すなわち、i=1,・・・,Nであり、Nは正の整数であり、Nは2以上の整数であってもよい(図8)。
《許可装置32−i》
図13Aに例示するように、本形態の許可装置32−iは、記憶部321−iと入力部122−iと出力部123−iと更新部224−iと認証許可部325−iと制御部126−iとを有し、制御部126−iの制御のもとで各処理を実行する。
《鍵管理装置36−i》
図13Bに例示するように、本形態の鍵管理装置36−iは、入力部361−iと出力部362−iと自己訂正処理部363−iと記憶部364−iと制御部365−iとを有し、制御部365−iの制御のもとで各処理を実行する。
<処理>
本形態の処理の第2実施形態からの相違点は、《権限情報に対応する鍵ペアの生成》で生成された秘密復号鍵GSK(k)がその権限を取り扱う許可装置22−iの記憶部221−iに格納されることに代えて鍵管理装置36−iの記憶部364−iに格納される点(図13B)、および、ステップS254に代えてステップS354が実行される点(図7)である。以下ではステップS354のみを説明する。
≪ステップS354≫
ステップS53において、識別情報がデータベース221a−iに含まれた登録識別情報121aa−iに対応しないと判定された場合、許可装置32−i(図13A)の認証許可部325−iはエラーを返す。一方、識別情報がデータベース221a−i(設定情報)に含まれた登録識別情報121aa−i(部分登録識別情報)に対応する場合、認証許可部325−iは、その登録識別情報121aa−iに対応付けられた権限情報221ab−i(すなわち、a(k))、およびその登録識別情報121aa−iに対応する公開暗号化鍵TPK(j)を抽出する。例えば、登録識別情報121aa−i自体がTPK(j)である場合には、登録識別情報121aa−iをTPK(j)として抽出する。認証許可部325−iは、a(k)に対応する情報C(k)およびTPK(j)を出力部123−iに送る。C(k)の具体例については後述する。出力部123−iは、C(k)およびTPK(j)を鍵管理装置36−iに送信する(ステップS3541)。
C(k)およびTPK(j)は、鍵管理装置36−i(図13B)の入力部361−iで受信され、自己訂正処理部363−iに送られる。自己訂正処理部363−iは、C(k)、TPK(j)、および記憶部364−iから読み込んだGSK(k)を用い、権限行使情報b(k)に対応する情報Z(k)=F(C(k),TPK(j),GSK(k))を得て出力する。Z(k)の具体例については後述する。Z(k)は出力部362−iに送られ、そこから許可装置32−iに送信される(ステップS3542)。
Z(k)は許可装置32−iの入力部122−iで受信され、認証許可部325−iに送られる。認証許可部325−iは、Z(k)を用いた自己訂正処理によって権限行使情報b(k)を得て出力する。出力部123−iはこの権限行使情報b(k)を端末認証装置15に送信する(ステップS3543)。
≪C(k)およびZ(k)の具体例1≫
C(k)およびZ(k)の具体例1を示す。この例では、G,Hが群(例えば、巡回群)、μが群Hの生成元、PENCGPK(k)(K(j))が群Hの元、PENCTPK(k)(K(j))が群Gの元、fがPENCGPK(k)(K(j))∈Hを入力としてTPK(j)およびGSK(k)を用いてPENCTPK(k)(K(j))∈Gを得るための再暗号化関数、X,Xが群Gに値を持つ確率変数、xが確率変数Xの実現値、xが確率変数Xの実現値、a,bが互いに素である自然数である。a,bの一方が1などの定数であってもよい。
ステップS3541では、認証許可部325−iは、PENCGPK(k)(K(j))に対応するτおよび/またはτをC(k)として得、出力部123−iは、C(k)およびTPK(j)を鍵管理装置36−iに送信する。例えば、τはさらにbに対応し、τはさらにaに対応する。例えば、τおよび/またはτは、PENCGPK(k)(K(j))との関係を撹乱させた情報である。
ステップS3542では、自己訂正処理部363−iがzおよび/またはzをZ(k)として出力する。ただし、z=f(τ)あるいはz≠f(τ)であり、z=f(τ)あるいはz≠f(τ)である。z=f(τ)である場合もあればz=f(τ)でない場合もあり、z=f(τ)である場合もあればz=f(τ)でない場合もある。すなわち、自己訂正処理部363−iは、或る確率より大きな確率でf(τ)を正しく計算し、得られた計算結果をzとし、或る確率より大きな確率でf(τ)を正しく計算し、得られた計算結果をzとする。なお、「或る確率」は100%未満の確率である。「或る確率」の例は無視することができない確率であり、「無視することができない確率」の例は、セキュリティパラメータkについての広義単調増加関数である多項式を多項式ψ(k)とした場合の1/ψ(k)以上の確率である。すなわち、自己訂正処理部363−iは、意図的又は意図的ではない誤差を含んだ計算結果を出力する。出力部362−iはZ(k)を許可装置32−iに送信する。
ステップS3543では、認証許可部325−iは、u=vを満たすu=f(x)b1およびv=f(x)a2に対応するub’a’をPENCTPK(k)(K(j))として出力する。ただし、a’,b’はa’a+b’b=1を満たす整数である。PENCTPK(k)(K(j))が得られた場合、認証許可部325−iは、このPENCTPK(k)(K(j))と、a(k)が含むSENCK(j)(ea(k))と、を含むb(k)を得て出力する。u=vを満たすzおよび/またはzが得られていない場合、認証許可部325−iは、b(k)を得ることができない旨のエラー情報を出力する。
≪C(k)およびZ(k)の具体例2≫
C(k)およびZ(k)の具体例2を示す。この例では、G,Hが可換な群(例えば、巡回群)、μが群Hの生成元、ν=f(μh)、PENCGPK(k)(K(j))が群Hの元、PENCTPK(k)(K(j))が群Gの元、fがPENCGPK(k)(K(j))∈Hを入力としてTPK(j)およびGSK(k)を用いてPENCTPK(k)(K(j))∈Gを得るための準同型性再暗号化関数、X,Xが群Gに値を持つ確率変数、xが確率変数Xの実現値、xが確率変数Xの実現値、r1,r2が0以上のランダムな自然数、a,bが互いに素である自然数である。a,bの一方が1などの定数であってもよい。
ステップS3541では、認証許可部325−iは、τ=μ r1{PENCGPK(k)(K(j))}および/またはτ=μ r2{PENCGPK(k)(K(j))}をC(k)として得、出力部123−iは、C(k)およびTPK(j)を鍵管理装置36−iに送信する。
ステップS3542では、自己訂正処理部363−iがzおよび/またはzをZ(k)として出力する。ただし、z=f(τ)あるいはz≠f(τ)であり、z=f(τ)あるいはz≠f(τ)である。z=f(τ)である場合もあればz=f(τ)でない場合もあり、z=f(τ)である場合もあればz=f(τ)でない場合もある。
ステップS3543では、認証許可部325−iは、u=vを満たすu=zν−r1およびv=zν−r2に対応するub’a’をPENCTPK(k)(K(j))として出力する。ただし、a’,b’はa’a+b’b=1を満たす整数である。PENCTPK(k)(K(j))が得られた場合、認証許可部325−iは、このPENCTPK(k)(K(j))と、a(k)が含むSENCK(j)(ea(k))と、を含むb(k)を得て出力する。u=vを満たすzおよび/またはzが得られていない場合、認証許可部325−iは、b(k)を得ることができない旨のエラー情報を出力する。
<本形態の特徴>
本形態でも、第1実施形態と同様、有体物に対する処理の実行権限の取り扱いを簡易化できる。また、本形態では自己訂正技術を応用してa(k)からb(k)を得るため、許可装置がGSK(k)を保持する必要がない。また、鍵管理装置が不正な処理を行ったり、許可装置と鍵管理装置との間で不正な処理が介在したりした場合であっても、許可装置が誤った値をb(k)として取得することはない。これにより、駆動装置14を不正に駆動させる攻撃(例えば、意図するロッカーの扉に代えて意図していないロッカーの扉を解錠するなど)を防止できる。
〔第3実施形態の変形例〕
第3実施形態では許可装置32−iと鍵管理装置36−iとの間で自己訂正処理を行った。しかしながら、端末装置と鍵管理装置36−iとの間で自己訂正処理を行ってもよい。この変形例を説明する。
<構成>
図1に例示するように、この変形例のセキュリティシステム3’は、セキュリティシステム3の許可装置32−i許可装置32’−iに置換され、端末装置23が端末装置33’に置換されたものである。
《許可装置32’−i》
図13Aに例示するように、本形態の許可装置32’−iは、記憶部321−iと入力部122−iと出力部123−iと更新部224−iと認証許可部325’−iと制御部126−iとを有し、制御部126−iの制御のもとで各処理を実行する。
《端末装置33’》
図4に例示するように、端末装置33’は、記憶部131と入力部132と出力部133とインタフェース部134と登録処理部135と権限処理部336’と制御部137とを有し、制御部137の制御のもとで各処理を実行する。
<処理>
この変形例の第3実施形態からの相違点は、ステップS354,S255,S256に代えて、ステップS354’,S355’,S356’が実行される点である。以下では、ステップS354’,S355’,S356’のみを説明する。
ステップS53において、識別情報がデータベース221a−iに含まれた登録識別情報121aa−iに対応しないと判定された場合、許可装置32’−i(図13A)の認証許可部325’−iはエラーを返す。一方、識別情報がデータベース221a−i(設定情報)に含まれた登録識別情報121aa−i(部分登録識別情報)に対応する場合、認証許可部325’−iは、その登録識別情報121aa−iに対応付けられた権限情報221ab−i(すなわち、部分権限情報a(k))、およびその登録識別情報121aa−iに対応する公開暗号化鍵TPK(j)を抽出する。抽出された権限情報221ab−iおよび公開暗号化鍵TPK(j)は出力部123−iから出力され(ステップS354’)、端末認証装置15を経由して端末装置33’に送信される(ステップS355’)。
その後、ステップS3561’〜S3563’からなる以下のステップS356’が実行される。まず、権限情報221ab−i(すなわちa(k))および公開暗号化鍵TPK(j)は、端末装置33’(図4)の入力部132で受信され(受け取られ)、権限処理部336’に送られる。権限処理部336’は、部分権限情報a(k)に対応する情報C(k)および公開暗号化鍵TPK(j)を出力部133に送る。C(k)の具体例は第3実施形態で説明した通りである。出力部133は、C(k)およびTPK(j)を鍵管理装置36−iに送信する(ステップS3561’)。
C(k)およびTPK(j)は、鍵管理装置36−i(図13B)の入力部361−iで受信され(受け取られ)、自己訂正処理部363−iに送られる。自己訂正処理部363−iは、部分権限情報a(k)に対応する情報C(k)、公開暗号化鍵TPK(j)、および記憶部364−iから読み込んだ秘密復号鍵GSK(k)を用い、権限行使情報b(k)に対応する情報Z(k)=F(C(k),TPK(j),GSK(k))を得て出力する。Z(k)の具体例は第3実施形態で説明した通りである。Z(k)は出力部362−iに送られ、そこから端末装置33’に送信される(ステップS3562’)。
Z(k)は端末装置33’(図4)の入力部132で受信され(受け取られ)、権限処理部336’に送られる。権限処理部336’は、Z(k)を用いた自己訂正処理によって権限行使情報b(k)を得る。この処理の具体例は第3実施形態で説明した通りである。権限処理部336’は、権限行使情報b(k)に対応する駆動情報を生成する。この変形例の権限処理部336’は、権限行使情報b(k)の生成に用いられたTPK(j)に対応する秘密復号鍵TSK(j)を記憶部131から抽出する。権限処理部336’は抽出したTSK(j)を用い、権限行使情報b(k)が有するPENCTPK(k)(K(j))を復号してK(j)を得る。次に権限処理部336’は、K(j)を用い、権限行使情報b(k)が有するSENCK(j)(ea(k))を復号して秘密情報ea(k)を抽出し、秘密情報ea(k)に対応する駆動情報を生成してインタフェース部134に送る。例えば、権限処理部336’は、秘密情報ea(k)を駆動情報とする(ステップS3563’)。その後、第1実施形態で説明したステップS57の処理が実行される。
<変形例等>
なお、本発明は上述の実施の形態に限定されるものではない。例えば、上述の実施形態では、管理装置に格納されるデータベースにおいて登録識別情報と権限情報と利用可否情報とが対応付けられており、許可装置は、権限の行使を許可することを表す利用可否情報に対応付けられた登録識別情報を表す情報のみを受け取った。しかしながら、管理装置に格納されるデータベースが利用可否情報を含まなくてもよく、許可装置は、その許可装置が取り扱う一部の権限に対応する権限情報のみに対応付けられた登録識別情報を受け取ればよい。
また、上述の実施形態では、管理装置に格納されたデータベースが、登録者情報と登録識別情報と権限情報と利用可否情報が対応付けられたレコードから構成された。しかしながら、管理装置に格納されたデータベースが、少なくとも、登録識別情報と権限情報とが対応付けられたその他のレコードから構成されてもよい。
また、許可装置が自ら権限情報を生成してもよい。端末装置が自ら権限情報を生成してもよい。
その他、各装置がネットワークを通じて情報をやり取りするのではなく、少なくとも一部の組の装置が可搬型記録媒体を介して情報をやり取りしてもよい。或いは、少なくとも一部の組の装置が非可搬型の記録媒体を介して情報をやり取りしてもよい。すなわち、これらの装置の一部からなる組み合わせが、同一の装置であってもよい。言い換えると、上述したアプリケーションのうち複数のアプリケーションが同一のコンピュータで実行されてもよい。
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な(non-transitory)記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。
このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。
1,2,3,3’ セキュリティシステム
11,21 管理装置
12−i,22−i,32−i,32−i’ 許可装置
13,23,33’ 端末装置
14 駆動装置
15 端末認証装置
36−i 鍵管理装置

Claims (13)

  1. 端末装置を用いて有体物である駆動装置を物理的に駆動させる権限に対応する権限情報と、前記権限が与えられた主体に対応する登録識別情報と、が対応付けられたデータベースを格納し、前記登録識別情報の何れかを表す情報を出力する管理装置と、
    前記登録識別情報の何れかを表す情報を受け取り、前記登録識別情報の何れかを含む設定情報を格納し、識別情報を表す情報を受け取り、前記識別情報が前記設定情報に含まれた前記登録識別情報の何れかに対応する場合に、前記権限の行使に必要な第1権限行使情報を表す情報を出力する第1許可装置と、
    を有するセキュリティシステム。
  2. 請求項1のセキュリティシステムであって、
    第1部分権限情報が、前記第1許可装置が取り扱う一部の権限に対応する前記権限情報であり、
    前記第1許可装置は、前記第1部分権限情報に対応付けられた前記登録識別情報である第1部分登録識別情報を表す情報を受け取り、前記第1部分登録識別情報を含む前記設定情報を格納する、セキュリティシステム。
  3. 請求項1のセキュリティシステムであって、
    第2許可装置を有し、
    複数の前記権限情報と複数の前記登録識別情報とが前記データベースで対応付けられており、
    前記第1許可装置は、前記複数の前記登録識別情報からなる全体集合の第1真部分集合の要素である第1部分登録識別情報を表す情報を受け取り、前記第1部分登録識別情報を含む前記設定情報を格納し、前記識別情報を表す情報を受け取り、前記識別情報が前記設定情報に含まれた前記第1部分登録識別情報に対応する場合に、前記第1部分登録識別情報に対応付けられた前記権限情報である第1部分権限情報に対応する権限の行使に必要な前記第1権限行使情報を表す情報を出力し、
    前記第2許可装置は、前記全体集合の第2真部分集合の要素である第2部分登録識別情報を表す情報を受け取り、前記第2部分登録識別情報を含む第2設定情報を格納し、第2識別情報を表す情報を受け取り、前記第2識別情報が前記第2設定情報に含まれた前記第2部分登録識別情報に対応する場合に、前記第2部分登録識別情報に対応付けられた前記権限情報である第2部分権限情報に対応する権限の行使に必要な第2権限行使情報を表す情報を出力し、
    前記第1真部分集合と前記第2真部分集合との共通部分が空であり、
    前記第1部分権限情報と前記第2部分権限情報とが異なる、セキュリティシステム。
  4. 請求項2のセキュリティシステムであって、
    前記第1部分権限情報は、第1共通鍵で前記第1部分権限情報に対応する権限の行使に必要な第1秘密情報を暗号化して得られた第1暗号文と、前記第1部分権限情報に対応する権限に対応する第1公開暗号化鍵で前記第1共通鍵を暗号化して得られる第1共通鍵暗号文とを含み、
    前記第1許可装置は、前記第1部分権限情報を格納し、前記識別情報が前記設定情報に含まれた前記第1部分登録識別情報に対応する場合に、前記第1公開暗号化鍵に対応する第1秘密復号鍵と前記第1部分登録識別情報に対応する第3公開暗号化鍵と前記第1部分権限情報とに基づいて得られる、前記第3公開暗号化鍵で前記第1共通鍵を暗号化して得られる第1共通鍵再暗号文と前記第1暗号文とを含む前記第1権限行使情報を表す情報を出力する、セキュリティシステム。
  5. 請求項4のセキュリティシステムであって、
    前記第1秘密復号鍵を格納する第1鍵管理装置を有し、
    前記第1許可装置は、前記識別情報が前記設定情報に含まれた前記第1部分登録識別情報に対応する場合に、前記第1部分権限情報に対応する情報と前記第3公開暗号化鍵とを出力し、
    前記第1鍵管理装置は、前記第1部分権限情報に対応する情報と前記第3公開暗号化鍵とが送られた場合に、前記第1部分権限情報に対応する情報と前記第3公開暗号化鍵と前記第1秘密復号鍵とを用い、前記第1権限行使情報に対応する情報を得て出力し、
    前記第1許可装置は、前記第1権限行使情報に対応する情報を受け取り、前記第1権限行使情報に対応する情報を用いた自己訂正処理によって前記第1権限行使情報を得る、セキュリティシステム。
  6. 請求項2のセキュリティシステムであって、
    前記端末装置および第1鍵管理装置を有し、
    前記第1部分権限情報は、第1共通鍵で前記第1部分権限情報に対応する権限の行使に必要な第1秘密情報を暗号化して得られた第1暗号文と、前記第1部分権限情報に対応する権限に対応する第1公開暗号化鍵で前記第1共通鍵を暗号化して得られる第1共通鍵暗号文とを含み、
    前記第1鍵管理装置は、前記第1公開暗号化鍵に対応する第1秘密復号鍵を格納し、
    前記第1許可装置は、前記第1部分権限情報を格納し、前記識別情報が前記設定情報に含まれた前記第1部分登録識別情報に対応する場合に、前記第1部分権限情報を出力し、
    前記端末装置は、前記第1部分権限情報に対応する情報と前記第1部分登録識別情報に対応する第3公開暗号化鍵とを出力し、
    前記第1鍵管理装置は、前記第1部分権限情報に対応する情報と前記第3公開暗号化鍵とが送られた場合に、前記第1部分権限情報に対応する情報と前記第3公開暗号化鍵と前記第1秘密復号鍵とを用い、前記第3公開暗号化鍵で前記第1共通鍵を暗号化して得られる第1共通鍵再暗号文と前記第1暗号文とを含む前記第1権限行使情報に対応する情報を得て出力し、
    前記端末装置は、前記第1権限行使情報に対応する情報を受け取り、前記第1権限行使情報に対応する情報を用いた自己訂正処理によって前記第1権限行使情報を得る、セキュリティシステム。
  7. 請求項1または2のセキュリティシステムであって、
    前記登録識別情報は、非対称鍵暗号方式に則った公開暗号化鍵を含み、
    前記第1権限行使情報は、前記識別情報に対応する前記登録識別情報を用いて前記権限の行使に必要な秘密情報を暗号化して得られた暗号文である、セキュリティシステム。
  8. 請求項3のセキュリティシステムであって、
    前記登録識別情報は、非対称鍵暗号方式に則った公開暗号化鍵を含み、
    前記第2権限行使情報は、前記識別情報に対応する前記登録識別情報を用いて前記権限の行使に必要な秘密情報を暗号化して得られた暗号文である、セキュリティシステム。
  9. 端末装置を用いて有体物である駆動装置を物理的に駆動させる権限に対応する権限情報と、前記権限が与えられた主体に対応する登録識別情報と、が対応付けられたデータベースを格納する記憶部と、
    前記登録識別情報の何れかを表す情報を出力する出力部と、
    を有し、
    前記データベースは、前記登録識別情報と、前記権限情報と、前記権限情報に対応する前記権限の行使の可否を表す利用可否情報と、が対応付けられたものであり、
    前記出力部は、前記権限の行使を許可することを表す前記利用可否情報に対応付けられた前記登録識別情報を表す情報を出力する、管理装置。
  10. 有体物である駆動装置を物理的に駆動させる権限が与えられた主体に対応する登録識別情報を表す情報を受け取る第1入力部と、
    前記登録識別情報を含む設定情報を格納する記憶部と、
    識別情報を表す情報を受け取る第2入力部と、
    前記識別情報が前記設定情報に含まれた前記登録識別情報に対応する場合に、前記権限の行使に必要な権限行使情報を表す情報を出力する認証部と、
    を有し、
    前記登録識別情報は、非対称鍵暗号方式に則った公開暗号化鍵を含み、
    前記権限行使情報は、前記識別情報に対応する前記登録識別情報を用いて前記権限の行使に必要な秘密情報を暗号化して得られた暗号文である、許可装置。
  11. 識別情報を格納する記憶部と、
    前記識別情報を表す情報を出力する出力部と、
    権限行使情報を表す情報を受け取る入力部と、
    前記権限行使情報に対応する駆動信号を出力するインタフェース部と、を有し、
    前記駆動信号は、有体物である駆動装置を物理的に駆動させるための信号であり、
    前記識別情報は、非対称鍵暗号方式に則った公開暗号化鍵を含み、
    前記権限行使情報は、前記識別情報に対応する登録識別情報を用いて権限の行使に必要な秘密情報を暗号化して得られた暗号文であり、
    前記駆動信号は、前記公開暗号化鍵に対応する秘密復号鍵を用いて前記権限行使情報を復号して得られる秘密情報を表す信号である、端末装置。
  12. 端末装置を用いて有体物である駆動装置を物理的に駆動させる権限に対応する権限情報と、前記権限が与えられた主体に対応する登録識別情報と、が対応付けられたデータベースを格納する管理装置が、前記登録識別情報の何れかを表す情報を出力するステップと、
    許可装置が、前記登録識別情報の何れかを表す情報を受け取り、前記登録識別情報の何れかを含む設定情報を格納するステップと、
    前記許可装置が、識別情報を表す情報を受け取り、前記識別情報が前記設定情報に含まれた前記登録識別情報の何れかに対応する場合に、前記権限の行使に必要な権限行使情報を表す情報を出力するステップと、
    を有するセキュリティ方法。
  13. 請求項の管理装置、請求項10の許可装置、または請求項11の端末装置としてコンピュータを機能させるためのプログラム。
JP2016519254A 2014-05-13 2015-05-12 セキュリティシステム、管理装置、許可装置、端末装置、セキュリティ方法、およびプログラム Active JP6174796B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014099198 2014-05-13
JP2014099198 2014-05-13
PCT/JP2015/063571 WO2015174390A1 (ja) 2014-05-13 2015-05-12 セキュリティシステム、管理装置、許可装置、端末装置、セキュリティ方法、およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2015174390A1 JPWO2015174390A1 (ja) 2017-04-20
JP6174796B2 true JP6174796B2 (ja) 2017-08-02

Family

ID=54479928

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016519254A Active JP6174796B2 (ja) 2014-05-13 2015-05-12 セキュリティシステム、管理装置、許可装置、端末装置、セキュリティ方法、およびプログラム

Country Status (5)

Country Link
US (1) US10275960B2 (ja)
EP (1) EP3144838B1 (ja)
JP (1) JP6174796B2 (ja)
CN (1) CN106462689B (ja)
WO (1) WO2015174390A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6943011B2 (ja) * 2017-05-10 2021-09-29 富士通株式会社 認証装置、認証方法、認証プログラムおよび認証システム
US20190362054A1 (en) * 2018-05-22 2019-11-28 Sony Corporation User-protected license
JP7017477B2 (ja) * 2018-06-26 2022-02-08 矢崎総業株式会社 利用者権限認証システム

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7493651B2 (en) * 2001-05-17 2009-02-17 Nokia Corporation Remotely granting access to a smart environment
CN1914393A (zh) * 2003-12-10 2007-02-14 松下电器产业株式会社 防盗系统
US20060170533A1 (en) 2005-02-03 2006-08-03 France Telecom Method and system for controlling networked wireless locks
JP4719493B2 (ja) 2005-03-31 2011-07-06 綜合警備保障株式会社 認証システムおよび認証方法
CN100454278C (zh) * 2006-01-19 2009-01-21 联想(北京)有限公司 计算机系统及其i/o端口访问控制方法
JP5178249B2 (ja) * 2008-03-11 2013-04-10 株式会社日立国際電気 鍵認証システム
US8689013B2 (en) * 2008-10-21 2014-04-01 G. Wouter Habraken Dual-interface key management
JP5379869B2 (ja) 2010-01-12 2013-12-25 日本電信電話株式会社 代理計算システム、方法、依頼装置、プログラム及びその記録媒体
JP5333785B2 (ja) * 2010-06-07 2013-11-06 トヨタ自動車株式会社 鍵装置、錠制御装置、制御用プログラムおよび制御方法
WO2012057134A1 (ja) 2010-10-26 2012-05-03 日本電信電話株式会社 代理計算システム、計算装置、能力提供装置、代理計算方法、能力提供方法、プログラム、及び記録媒体
WO2012121152A1 (ja) 2011-03-04 2012-09-13 日本電信電話株式会社 代理計算システム、方法、依頼装置及びプログラム
JP5681544B2 (ja) * 2011-03-28 2015-03-11 株式会社日立システムズ 媒体管理システム
US9189900B1 (en) * 2011-04-22 2015-11-17 Angel A. Penilla Methods and systems for assigning e-keys to users to access and drive vehicles
JP5687989B2 (ja) * 2011-09-29 2015-03-25 株式会社 日立マネジメントパートナー アクセス権限管理装置、アクセス権限管理方法及びアクセス権限管理プログラム
WO2013076760A1 (ja) * 2011-11-22 2013-05-30 三菱電機株式会社 電子キーシステム、およびそれに用いる施錠側端末、携帯端末
EP2701124B1 (en) 2012-08-21 2021-08-11 Bekey A/S Controlling access to a location
CN103049715A (zh) * 2013-01-04 2013-04-17 上海瑞达安全集成电路有限公司 外设可控制使能的计算机

Also Published As

Publication number Publication date
WO2015174390A1 (ja) 2015-11-19
JPWO2015174390A1 (ja) 2017-04-20
US20170186255A1 (en) 2017-06-29
US10275960B2 (en) 2019-04-30
CN106462689A (zh) 2017-02-22
EP3144838A1 (en) 2017-03-22
EP3144838B1 (en) 2019-02-27
CN106462689B (zh) 2019-06-14
EP3144838A4 (en) 2018-01-03

Similar Documents

Publication Publication Date Title
US11470054B2 (en) Key rotation techniques
JP6941146B2 (ja) データセキュリティサービス
CN106534092B (zh) 基于消息依赖于密钥的隐私数据加密方法
JP6678457B2 (ja) データセキュリティサービス
JP6174796B2 (ja) セキュリティシステム、管理装置、許可装置、端末装置、セキュリティ方法、およびプログラム
CA2913571A1 (en) Multi-platform user authentication device with double and multilaterally blind on-the-fly key generation
JP2017108237A (ja) システム、端末装置、制御方法、およびプログラム
JP6165044B2 (ja) 利用者認証装置、システム、方法及びプログラム
WO2009018513A1 (en) Systems and methods for implementing a mutating lock box
KR20200004631A (ko) Ecc 공개키 방식과 해시 값을 이용한 사용자 인증 방법
He et al. UFLE: a user‐friendly location‐free encryption system for mobile users
Hanzal et al. Secure Remote Key Storage

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161108

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170328

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170509

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170523

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170622

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170704

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170706

R150 Certificate of patent or registration of utility model

Ref document number: 6174796

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150