JPWO2008029723A1 - データ利用管理システム - Google Patents

データ利用管理システム Download PDF

Info

Publication number
JPWO2008029723A1
JPWO2008029723A1 JP2008533128A JP2008533128A JPWO2008029723A1 JP WO2008029723 A1 JPWO2008029723 A1 JP WO2008029723A1 JP 2008533128 A JP2008533128 A JP 2008533128A JP 2008533128 A JP2008533128 A JP 2008533128A JP WO2008029723 A1 JPWO2008029723 A1 JP WO2008029723A1
Authority
JP
Japan
Prior art keywords
data
identification information
authority
user
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008533128A
Other languages
English (en)
Inventor
中江 政行
政行 中江
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2008029723A1 publication Critical patent/JPWO2008029723A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】移動端末に格納された機密データを利用する場合に、機密データの管理者による対面での認可を強制するデータ利用管理システムを提供する。【解決手段】利用者移動端末2が、暗号化機密データの利用を要求する利用要求トークンを管理者移動端末1に近距離無線通信で送信等する。管理者移動端末1のユーザである機密データの管理者によって、利用者移動端末2による機密データの利用を認可操作が管理者移動端末2になされた場合に、管理者移動端末2は、機密データの利用の認可を示す認可トークンを権限管理サーバ3に送信する。権限管理サーバ3は、復号鍵を利用者移動端末2に送信する。利用者移動端末2は、受信した復号鍵で暗号化機密データを復号し、所定の利用方法で機密データを利用する。

Description

本発明は、データの利用を管理するデータ利用管理システム、方法、データ利用機器、プログラム、サーバ、データ管理機器、およびプログラムに関し、特に、移動端末に格納されたデータの利用を管理するデータ利用管理システム、方法、データ利用機器、プログラム、サーバ、データ管理機器、およびプログラムに関する。
携帯電話機や個人情報端末(PDA:Personal Digital Assistant)等の移動端末に、電話帳やスケジュール等の個人データを記憶させたり、音楽や動画等の娯楽コンテンツを再生させたりする利用が普及している。
さらに、近年の移動端末の高機能化に伴い、SDメモリカード(Secure Digital memory card)などの大容量ポータブルメモリデバイスを用いたり、有線LAN(Local Area Network)や無線LANへの接続機能を用いたり、無線近接通信(例えば、Bluetooth(登録商標)や赤外線通信)などを用いたりして、他の移動端末や、パーソナルコンピュータ(Personal Computer)、その他のデジタル家電等とデータを共有することが可能になった。今後は、データ共有機能を用いた顧客データの収集や共有等に応用されることが考えられる。
データを共有等する場合には、プライバシーや、著作権、守秘契約等にもとづいて、共有される個人データや、娯楽コンテンツ、顧客データ等の利用を、特定のユーザグループや機器のグループに制限することが求められる。
なお、特許文献1には、あるユーザグループにおいて、移動端末に格納されたあるメンバのデータへの他のメンバによるアクセス要求に応じて、そのデータを共有するシステムが記載されている。特許文献1に記載されているシステムは、アクセス要求を受けたメンバの移動端末が電源断などの理由で要求に応じられない場合に、既に当該データを共有している他の移動端末が当該アクセス要求を受けた移動端末の代理として、アクセス要求に応じる。
特許文献2には、あるユーザ(要求元ユーザ)が他のユーザ(要求先ユーザ)のデータへのアクセス要求を行った場合に、要求元ユーザと要求先ユーザとに予め付与されている属性証明書を参照し、当該属性証明書に記載されている所属グループが同じであった場合に当該アクセス要求に応じる利用管理方法が記載されている。
特許文献3には、ホームネットワークに有線または無線で接続され、登録されたIDを有し、所定の時間内にアクセスした複数のデジタル機器のみがホームサーバに格納されている同一の娯楽コンテンツを共有して、再生することができるシステムが記載されている。
特許文献4には、有線通信ネットワークまたは無線通信ネットワークにおいて、通信ネットワークへの接続に用いられるアクセススイッチ(基地局)の物理位置を予めサーバに登録しておき、移動端末がアクセススイッチに接続された場合に、移動端末のIDとアクセススイッチの物理位置との2要素にもとづいて、移動端末の認証を行うネットワークアクセス制御方法が記載されている。
特許文献5には、サーバに格納されているスケジュールや電話帳などの個人データを他のユーザと移動端末を介して共有する方法が記載されている。
具体的には、事前に、共有を要求するユーザ(要求元ユーザ)と要求されるユーザ(要求先ユーザ)との間で共有(開示)してよい部分的な個人データの範囲(例えば、電話帳であれば電話番号および氏名のみなど)をルールとして定義しておき、当該ルールと1対1に対応した電子メールアドレスを定義しておく。要求元ユーザは、移動端末を介して要求先ユーザの個人データへアクセス要求する場合に、所望の開示範囲に対応した電子メールアドレスに、アクセス要求と要求元ユーザIDとを送信する。当該アクセス要求を受信したサーバは、当該ルールを参照して、当該ルールで認められている範囲の個人データへのアクセスが要求されたときのみ、当該範囲の個人データを要求元ユーザに送信する。
特許文献6には、許諾発行装置が、デジタルコンテンツに対して許諾範囲を定義した情報を発行し、当該情報に対する電子署名を生成し、復号装置が、公開鍵および生成された電子署名にもとづいて当該情報の改竄を検知すると共に、暗号化されたデジタルコンテンツを当該情報が定義する許諾範囲に従って復号するシステムが記載されている。
特許文献7には、暗号化コンテンツと、暗号化された暗号化コンテンツの復号鍵とを配信し、所定の利用条件を満たした場合に、復号鍵を復号するシステムが記載されている。
特許文献8には、予め決定された優先順位に従って、データの出力先を決定する方法が記載されている。
特開2003−189360号公報(段落0026〜0057、図1) 特開2004−15507号公報(段落0038〜0227、図1) 特開2004−334756号公報(段落0064〜0101、図1) 特開2005−311781号公報(段落0013〜0055、図1) 特開2006−53749号公報(段落0048〜0060、図1) 特開2002−229447号公報(段落0035〜0073、図1) 特開2003−87237号公報(段落0051〜0144、図1) 特開平5−35519号公報(段落0006〜0008、図1)
しかし、特許文献1〜8に記載されているいずれの方法を用いても、移動端末に格納された個人データや、娯楽コンテンツ、顧客データなどの機密データの管理者(データ管理者)が、機密データの利用者(データ利用者)による機密データの利用を厳格に管理することはできない。
例えば、特許文献2,4,5に記載されている方法は、機密データを開示されたデータ利用者および機密データを共有したデータ利用者による機密データの利用の制御を行わない。そのため、データ利用者は、例えば、開示された機密データを移動端末に記憶させ、当該機密データをさらに他のユーザに開示することができる。つまり、特許文献2,4,5に記載されている方法は、機密データが、データ管理者の意に沿わない方法で利用されることを禁止することができない。
また、特許文献1に記載されているシステムは、機密データを再開示する相手を、事前に定義された特定のユーザグループのメンバに限定することができるが、データ利用者が、移動端末の表示手段に機密データを表示させたり、移動端末に他の機器へ機密データを送信させたりすることを防ぐことができない。
また、特許文献3に記載されているシステムは、データ利用者が所有する複数のデジタル機器が機密データを再生する場合に、デジタル機器の認証と機密データの伝送とをホームサーバが行っているが、そのようなホームサーバ機能を移動端末で実現することは、移動端末の処理能力や、機密データを伝送する通信ネットワーク帯域が不足するので困難である。
そこで、本発明は、移動端末による機密データの利用を厳格に管理するデータ利用管理システムを提供することを目的とする。
また、本発明は、データ管理者と、そのデータ管理者の近傍にいるデータ利用者とが機密情報を共有することができるデータ利用管理システムを提供することも目的とする。
本発明によるデータ利用管理システムは、暗号化されたデータである暗号化データを復号するための復号鍵を用いて、暗号化データを復号する復号手段と、暗号化データを識別する暗号化データ識別情報を含み、データの利用許諾を要求する利用要求データを生成して近距離無線通信で送信するか、または利用要求データを表示手段に表示させる利用要求手段とを含むデータ利用機器と、復号鍵、暗号化データ識別情報、および暗号化データの管理者を示す管理者識別情報を対応づけて記憶するデータベースと、復号鍵をデータ利用機器に送信する復号鍵送信手段とを含む権限管理手段と、データ利用機器から利用要求データを取得して、管理者識別情報、および利用要求データが含む暗号化データ識別情報を権限管理手段に送信する識別情報送信手段を含むデータ管理機器とを備え、権限管理手段の復号鍵送信手段は、データ管理機器から暗号化データ識別情報と管理者識別情報とを受信した場合に、データベースを参照して、受信した暗号化データ識別情報と管理者識別情報とに対応する復号鍵をデータ利用機器に送信することを特徴とする。
データベースには、データの利用方法を示す権限定義情報に、復号鍵と暗号化データ識別情報と管理者識別情報とが対応づけられて記憶され、復号鍵送信手段は、データ管理機器から暗号化データ識別情報と管理者識別情報とを受信した場合に、データベースを参照して、受信した暗号化データ識別情報と管理者識別情報とに対応する復号鍵と権限定義情報とをデータ利用機器に送信し、データ利用機器は、受信した権限定義情報が示す利用方法に従って、データを利用する利用制御手段を含んでもよい。
データベースには、データの利用方法および出力先を示す権限定義情報に、復号鍵と暗号化データ識別情報と管理者識別情報とが対応づけられて記憶され、復号鍵送信手段は、データ管理機器から暗号化データ識別情報と管理者識別情報とを受信した場合に、データベースを参照して、受信した暗号化データ識別情報と管理者識別情報とに対応する復号鍵と権限定義情報とをデータ利用機器に送信し、データ利用機器は、受信した権限定義情報が示す利用方法および出力先に従って、権限定義情報が示す出力先にデータを出力する利用制御手段を含んでもよい。
データ利用機器は、データの出力先の装置の認証を行い、認証結果に応じて、データを出力先の装置に出力する認証手段を含んでもよい。
認証手段は、データの出力先の装置から当該装置を示す情報を含む認証情報を受信し、受信した認証情報が所定の認証ルールを満たすと判断した場合に、データを装置に出力してもよい。
データ利用機器の利用要求手段は、データの利用者を示す利用者識別情報を含む利用要求データを生成し、データ管理機器は、利用要求データをデータ利用機器から取得するデータ取得手段と、データ取得手段が取得した利用要求データが含む暗号化データ識別情報と利用者識別情報とを表示し、データ利用機器によるデータの利用の諾否を示す指示を利用者に入力させる入出力手段とを含み、データ管理機器の識別情報送信手段は、入出力手段にデータ利用機器によるデータの利用を許諾する指示が入力された場合に、暗号化データ識別情報と管理者識別情報とを権限管理手段に送信してもよい。
データ利用機器の要求に応じて、データの利用者の属性を示す属性証明書を生成する属性証明書生成手段を備え、データ利用機器の利用要求手段は、属性証明書生成手段が生成した属性証明書を含む利用要求データを生成し、データ管理機器の入出力手段は、データ取得手段が取得した利用要求データが含む暗号化データ識別情報と利用者識別情報と属性証明書とを表示し、データ利用機器によるデータの利用の諾否を示す指示を利用者に入力させてもよい。
復号鍵を用いて暗号化データを復号する復号手段と、暗号化データ識別情報を含み、データの利用許諾を要求する利用要求データを生成して近距離無線通信で送信するか、または利用要求データを表示手段に表示させる利用要求手段とを含む権限譲受機器を備え、データ利用機器は、権限譲受機器から利用要求データを取得した場合に、データを利用する権限を委譲する条件である再委譲条件に合致しているか否かを判断する権限再委譲手段と、データを権限譲受機器に利用させてよいか否かをデータ利用機器の利用者に判断させる入出力手段と、権限再委譲手段が権限の再委譲条件に合致していると判断し、入出力手段にデータを権限譲受機器に利用させてよいことを示す指示が入力された場合に、暗号化データ識別情報を含む再委譲認可データを権限管理手段に送信するデータ送信手段とを含み、権限管理手段の復号鍵送信手段は、再委譲認可データを受信した場合に、復号鍵を権限譲受機器に送信してもよい。
本発明によるデータ利用機器は、暗号化されたデータである暗号化データを復号するための復号鍵を用いて、暗号化データを復号する復号手段と、暗号化データを識別する暗号化データ識別情報を含み、データの利用許諾を要求する利用要求データを生成して近距離無線通信で送信して、または利用要求データを表示手段に表示させて、暗号化データの管理者にデータの利用を要求する利用要求手段とを備えたことを特徴とする。
データの利用方法を示す権限定義情報が示す利用方法に従って、データを利用する利用制御手段を含んでもよい。
他の機器から利用要求データを取得した場合に、データを利用する権限を委譲する条件である再委譲条件に合致しているか否かを判断する権限再委譲手段と、データを他の機器に利用させてよいか否かを利用者に判断させる入出力手段と、権限再委譲手段が権限の再委譲条件に合致していると判断し、入出力手段にデータを他の機器に利用させてよいことを示す指示が入力された場合に、暗号化データ識別情報を含む再委譲認可データを、復号鍵を送信する権限管理手段に送信するデータ送信手段とを含んでもよい。
本発明によるサーバは、暗号化されたデータである暗号化データを復号するための復号鍵、暗号化データを識別する暗号化データ識別情報、データの利用方法を示す権限定義情報、および暗号化データの管理者を示す管理者識別情報を対応づけて記憶するデータベースと、第1の移動機器から暗号化データ識別情報、および管理者識別情報を受信した場合に、データベースに記憶されている暗号化データ識別情報、および管理者識別情報に対応づけられた復号鍵、および権限定義情報を、第2の移動機器に送信する復号鍵送信手段とを備えたことを特徴とする。
本発明によるデータ管理機器は、データの利用許諾の要求を示し、暗号化データを識別する暗号化データ識別情報とデータの利用者を示す利用者識別情報とを含む利用要求データを、データを利用するデータ利用機器から取得するデータ取得手段と、データ取得手段が取得した利用要求データが含む暗号化データ識別情報と利用者識別情報とを表示し、データ利用機器によるデータの利用の諾否を示す指示を利用者に入力させる入出力手段とを備えたことを特徴とする。
データを暗号化して、暗号化データを生成する暗号化データ生成手段と、データ利用機器によるデータの利用方法を示す権限定義情報を生成する権限定義手段とを備えてもよい。
本発明によるデータ利用管理方法は、利用要求手段が、暗号化されたデータである暗号化データを識別する暗号化データ識別情報を含み、データの利用許諾を要求する利用要求データを生成して近距離無線通信で送信するか、または利用要求データを表示手段に表示させる利用要求ステップと、識別情報送信手段が、利用要求データを取得した場合に暗号化データの管理者を示す管理者識別情報、および利用要求データが含む暗号化データ識別情報を送信する識別情報送信ステップと、復号鍵送信手段が、識別情報送信ステップで送信された管理者識別情報、および暗号化データ識別情報を受信した場合に、復号鍵、暗号化データ識別情報、および管理者識別情報を対応づけて記憶するデータベースを参照して、受信した管理者識別情報、および暗号化データ識別情報に対応する復号鍵を送信する復号鍵送信ステップと、復号手段が、復号鍵送信ステップで送信された復号鍵を用いて、暗号化データを復号する復号ステップとを備えたことを特徴とする。
本発明によるプログラムは、コンピュータに、暗号化されたデータである暗号化データを復号するための復号鍵を用いて、暗号化データを復号する復号処理と、暗号化データを識別する暗号化データ識別情報を含み、データの利用許諾を要求する利用要求データを生成して近距離無線通信で送信して、または利用要求データを表示手段に表示させて、暗号化データの管理者にデータの利用を要求する利用要求処理とを実行させることを特徴とする。
本発明によるデータ管理プログラムは、コンピュータに、データの利用許諾の要求を示し、暗号化データを識別する暗号化データ識別情報とデータの利用者を示す利用者識別情報とを含む利用要求データを、データを利用するデータ利用機器から取得するデータ取得処理と、データ取得処理で取得した利用要求データが含む暗号化データ識別情報と利用者識別情報とを表示手段に表示し、利用者にデータ利用機器によるデータの利用の諾否を示す指示を入力手段に入力させる入出力処理とを実行させることを特徴とする。
本発明によれば、データ利用機器が利用要求データを近距離無線通信で送信等するので、データ利用者にデータ管理者と対面してデータの利用認可を受けさせ、データの利用を厳格に管理することができる。
データ利用機器が、受信した権限定義情報が示す利用方法に従って、データを利用する利用制御手段を含むように構成されている場合には、データ利用機器を用いたデータの利用方法を制限することができる。
データ利用機器が、受信した権限定義情報が示す利用方法および出力先に従って、権限定義情報が示す出力先にデータを出力する利用制御手段を含むように構成されている場合には、データ利用者が用いるデータ利用機器上でのデータ利用だけでなく、データ利用機器に接続される他の機器への出力についてもデータ管理者がその可否を指定することができる。
データ利用機器が、データの出力先の装置の認証を行う認証手段を含むように構成されている場合には、復号されたデータ(情報)が他の装置に漏洩することを未然に防ぐことができる。
データ利用機器の要求に応じて、データの利用者の属性を示す属性証明書を生成する属性証明書生成手段を備え、データ利用機器の利用要求手段が、属性証明書生成手段が生成した属性証明書を含む利用要求データを生成するように構成されている場合には、データ利用者の属性に応じて、データの利用管理を行うことができる。
データ利用機器が、権限再委譲手段が権限の再委譲条件に合致していると判断し、入出力手段にデータを権限譲受機器に利用させてよいことを示す指示が入力された場合に、暗号化データ識別情報を含む再委譲認可データを権限管理手段に送信するデータ送信手段を含むように構成されている場合には、権限譲受機器に、データを利用する権限を再委譲することができる。
本発明のデータ利用管理システムの第1の実施の形態の構成例を示すブロック図である。 権限管理手段の構成を説明する説明図である。 データ利用管理システムの第2の実施の形態における動作を説明するシーケンス図である。 本発明のデータ利用管理システムの第2の実施の形態の構成例を示すブロック図である。 管理者移動端末とデータ暗号化手段とが一体化された管理者移動端末の構成例を示すブロック図である。 本発明のデータ利用管理システムの第3の実施の形態における利用者移動端末の構成例を示すブロック図である。 機密データを外部出力装置に出力させる動作を説明するフローチャートである。 ユーザ入出力手段が表示するメニュー画面の一例を示す説明図である。 第3の実施の形態で用いられる表の例を示す説明図である。 利用方法とメニュー画面で表示される文字列と出力先インタフェースとの対応表の一例を示す説明図である。 利用方法とメニュー画面で表示される文字列と出力先インタフェースと出力先デバイスとの対応表の一例を示す説明図である。 第4の実施の形態の利用者移動端末と外部出力装置との構成例を示すブロック図である。 外部出力装置のプロファイル格納手段が記憶しているプロファイル情報の一例を示す説明図である。 認証ルールの例を示す説明図である。 機密データを外部出力装置に出力させる動作を説明するフローチャートである。 本発明のデータ利用管理システムの第5の実施の形態の構成例を示すブロック図である。 AC生成手段の一構成例を示す説明図である。 データ利用管理システムの第5の実施の形態における動作を説明するシーケンス図である。 属性データベースのディレクトリ構造の一例を示す説明図である。 属性証明書のフォーマットの一例を示す説明図である。 本発明のデータ利用管理システムの第6の実施の形態の構成例を示すブロック図である。 本発明の第6の実施の形態の動作を説明するシーケンス図である。 第2の権限証明書の構成例を示す説明図である。
符号の説明
1、5、6、120 管理者移動端末
2、7 利用者移動端末
3 権限管理サーバ
4 データ暗号化手段
8 外部出力装置
10、20 ユーザ入出力手段
11、21 権限委譲手段
12、23 データ格納手段
14 第1のデータ利用者移動端末
15 第2のデータ利用者移動端末
22 利用制御手段
24、25 証明書格納手段
31 権限管理手段
71 出力制御手段
91 出力装置認証手段
100 外部出力装置
101 プロファイル格納手段
102 出力手段
110 属性証明書サーバ
111 属性データベース
112 AC生成手段
113 鍵ペア格納手段
121 AC認証手段
131 AC取得手段
141 第2の権限委譲手段
311 機密データ情報格納手段
実施の形態1.
本発明のデータ利用管理システムの第1の実施の形態について、図面を参照して説明する。図1は、本発明のデータ利用管理システムの第1の実施の形態の構成例を示すブロック図である。
図1に示すデータ利用管理システムは、機密データを管理するデータ管理者に用いられる管理者移動端末(データ管理機器)1と、機密データを利用するデータ利用者に用いられる利用者移動端末(データ利用機器)2と、権限管理サーバ(サーバ)3と、データ暗号化手段4とを含む。
管理者移動端末1および利用者移動端末2は、例えば、ネットワークデバイスや2次元バーコード読み取りデバイスである通信手段(図示せず)をそれぞれ含む。ここで、ネットワークデバイスとは、他の機器とデータ通信を行うための通信手段であって、例えば、赤外線通信を行うためのデバイスや、Bluetoothで通信を行うためのデバイス、無線LANターミナル、他の機器とCDMA(Code Division Multiple Access)方式で通信を行うためのデバイス、LANにイーサネット(登録商標)接続するためのデバイス、インターネットを介して他の機器と通信を行うためのデバイスである。
なお、管理者移動端末1の通信手段が含む赤外線通信やBluetooth等の近距離無線通信を行うためのデバイスは、利用者移動端末2との通信に用いられる。そして、利用者移動端末2の通信手段が含む赤外線通信やBluetooth等の近距離無線通信を行うためのデバイスは、管理者移動端末1との通信に用いられる。従って、管理者移動端末1と利用者移動端末2との通信は、データ利用者がデータ管理者の近傍に位置している場合(例えば、データ利用者とデータ管理者とが対面している状態。)に行われる。
また、管理者移動端末1の通信手段が含む赤外線通信やBluetooth等の近距離無線通信を行うためのデバイス、およびインターネットを介して他の機器と通信を行うためのデバイスは、データ暗号化手段4との通信に用いられる。
また、管理者移動端末1および利用者移動端末2の通信手段が含むインターネットを介して他の機器と通信を行うためのデバイスは、権限管理サーバ3との通信に用いられる。なお、管理者移動端末1および利用者移動端末2は、利用する暗号化データごとに、異なる権限管理サーバを用いてもよい。
管理者移動端末1は、ユーザ入出力手段(入出力手段)10と、権限委譲手段(識別情報送信手段、データ取得手段)11と、データ格納手段12とを含む。
ユーザ入出力手段10は、例えば、液晶ディスプレイデバイス(LCD:Liquid Crystal Display)等の表示手段と、キーボード等の入力手段とを含む。ユーザ入出力手段10は、機密データの利用の認可を求める画面を表示する。また、ユーザ入出力手段10には、データ管理者によって、機密データの利用の認可や、データ格納手段12に格納されている暗号化機密データのブラウジング(表示)や、他機器への送信などの指示が入力される。
権限委譲手段11は、利用者移動端末2の権限委譲手段21から情報を取得する。また、権限委譲手段11は、ユーザ入出力手段10に、データ管理者によって機密データの利用の認可操作がなされた場合に、暗号化機密データを識別する機密データID(暗号化データ識別情報)と、利用者移動端末2の利用者を識別するデータ利用者ID(利用者識別情報)と、管理者移動端末1の利用者を識別する管理者ID(管理者識別情報)とを含む情報である認可トークンを生成して、権限管理サーバ3に送信する。
データ格納手段12は、例えば、フラッシュメモリやハードディスクなどの不揮発性記憶デバイスを含み、暗号化された機密データ(暗号化機密データ)を格納する。また、ユーザ入出力手段10になされた操作に応じて、格納されている暗号化機密データの一覧データを作成し、ユーザ入出力手段10を介してデータ管理者に提示したり、特定の暗号化機密データを他の移動端末に出力したりする。
また、データ格納手段12として、SDメモリカードやUSB(Universal Serial Bus)キーが暗号化機密データを格納してもよい。また、データ格納手段12は、赤外線通信や、Bluetooth、インターネットを介した通信によって、データ暗号化手段4から暗号化機密データを受信して格納してもよい。
利用者移動端末2は、ユーザ入出力手段20と、権限委譲手段(利用要求手段)21と、利用制御手段(復号手段)22と、データ格納手段23と、証明書格納手段24とを含む。
ユーザ入出力手段20は、例えば、液晶ディスプレイデバイス等の表示手段と、キーボード等の入力手段とを含む。ユーザ入出力手段20は、データ格納手段23に格納されている暗号化機密データの一覧をデータ利用者に提示したり、データ利用者による利用要求操作を権限委譲手段21に伝達したり、データ利用者によってなされた操作を利用制御手段22に伝達したりする。
権限委譲手段21は、データ利用者によってユーザ入出力手段20になされた操作に応じて、機密データIDとデータ利用者IDとを含み、データ格納手段22に格納されている暗号化機密データの利用の要求を示す情報である利用要求データとして利用要求トークンを生成する。
利用制御手段22は、例えば、復号プログラムや動画再生プログラムなどを格納した不揮発性記憶デバイス、当該不揮発性記憶デバイスに格納されているプログラムを実行するためのCPU(Central Processing Unit)、および1次記憶デバイスを含む。
利用制御手段22は、データ利用者によってユーザ入出力手段20になされた操作に応じて、復号鍵を用いてデータ格納手段23に格納されている暗号化機密データを復号し、復号済みデータ(機密データ)をユーザ入出力手段20を介してデータ利用者に提示する。また、利用制御手段22は、機密データの利用に必要な復号鍵を含む権限証明書を権限管理サーバ3からダウンロードまたは受信し、証明書格納手段24に格納する。
データ格納手段23は、例えば、フラッシュメモリやハードディスクアレイなどの不揮発性記憶デバイスを含み、暗号化機密データを格納する。また、データ利用者によってユーザ入出力手段10になされた操作に応じて、格納されている暗号化機密データの一覧データを作成して、ユーザ入出力手段20を介してデータ管理者に提示したり、暗号化機密データを他の移動端末などの機器へ送信したりする。
証明書格納手段24は、例えば、フラッシュメモリやハードディスクアレイなどの不揮発性記憶デバイスを含み、権限証明書を格納する。また、証明書格納手段24は、利用制御手段22が機密データIDを指定して行った権原証明書の出力要求に応じて、当該機密データIDに対応する権限証明書を利用制御手段22に出力する。
権限管理サーバ3は、権限管理手段(復号鍵送信手段)31を含む。図2は、権限管理手段31の構成を説明する説明図である。権限管理手段31は、機密データ情報格納手段(データベース)311を含む。機密データ情報格納手段311は、例えば、データベースである。機密データ情報格納手段311は、暗号化機密データの復号鍵、機密データID、機密データの管理者を識別するデータ管理者ID、およびデータ利用者の利用権限を示す権限定義情報を含む権限データを格納する。
なお、権限定義情報は、例えば、データ利用者に許可する機密データの利用方法のリストである。
また、権限管理手段31は、機密データID、データ利用者ID、権限定義情報、および復号鍵を含む権限証明書を生成して、利用者移動端末2に送信する。なお、権限管理手段31は、利用者移動端末2の利用制御手段22から権限証明書送信要求を受信した場合に、権限証明書を利用者移動端末2に送信してもよい。
データ暗号化手段4は、例えば、暗号化プログラムなどを格納した不揮発性記憶デバイス、当該不揮発性記憶デバイスに格納されているプログラムを実行するためのCPUおよび1次記憶デバイスを含むコンピュータである。
データ暗号化手段4は、機密データを暗号化した暗号化機密データ、暗号化機密データを復号するための復号鍵、および暗号化機密データを識別する機密データIDを生成する暗号化データ生成手段41と、権限定義情報を生成する権限定義手段42と、機密データID、復号鍵、データ管理者ID、および権限定義情報を含む機密データ情報を生成して、権限管理サーバ3に送信する情報送信手段43と、暗号化機密データを出力するデータ出力手段44とを含む。
なお、データ出力手段44は、例えば、SDメモリカードや、USBキー等のポータブルメモリデバイスのスロットであってもよいし、管理者移動端末1のデータ格納手段12と赤外線通信や、Bluetooth、インターネットを介した通信を行う通信手段であってもよい。
なお、暗号化データ生成手段41は、乱数発生器を備えてランダムな復号鍵を生成してもよいし、他の信頼できる鍵生成サーバなどから復号鍵を取得してもよいし、他の方法で復号鍵を生成または取得してもよい。
なお、暗号化データ生成手段41は、機密データIDの唯一性が保証される方法を用いて、生成した暗号化機密データを示す機密データIDを生成する。具体的には、例えば、RFC(Request For Comment)−4122(参考文献1)に記載されているUniversal Unique Identifier(UUID)を用いる。そして、暗号化手段41は、機密データを暗号化した部分と、機密データIDを示す部分とを含む暗号化機密データを生成する。
[参考文献1]
P.Leach、外2名、“RFC−4122−A Universally Unique IDentifier(UUID) URN Namespace”、[online]、2005年7月、Network Working Group、[平成18年8月23日検索]、インターネット<URL:http://rfc.sunsite.dk/rfc/rfc4122.html>
また、権限定義手段42は、生成した個々の暗号化機密データに応じた権限定義情報を生成してもよいし、機密データの利用を許可するデータ利用者に応じた権限定義情報を生成してもよい。
なお、利用者移動端末2は、コンピュータに、暗号化されたデータである暗号化データを復号するための復号鍵を用いて、暗号化データを復号する復号処理と、暗号化データを識別する暗号化データ識別情報を含み、データの利用許諾を要求する利用要求トークンを生成して近距離無線通信で送信して、または利用要求トークンを表示手段に表示させて、暗号化データの管理者にデータの利用を要求する利用要求処理とを実行させることを特徴とするデータ利用プログラムを搭載している。
また、管理者移動端末1は、コンピュータに、データの利用許諾の要求を示し、暗号化データを識別する暗号化データ識別情報とデータの利用者を示す利用者識別情報とを含む利用要求トークンをデータを利用するデータ利用機器から取得するデータ取得処理と、データ取得処理で取得した利用要求トークンが含む暗号化データ識別情報と利用者識別情報とを表示手段に表示し、利用者にデータ利用機器によるデータの利用の諾否を示す指示を入力手段に入力させる入出力処理とを実行させることを特徴とするデータ管理プログラムを搭載している。
次に、第1の実施の形態のデータ利用管理システムの動作について、図面を参照して説明する。図3は、データ利用管理システムの第1の実施の形態における動作を説明するシーケンス図である。
なお、本実施の形態ではデータ管理者が管理者移動端末1およびデータ暗号化手段4を用い、データ利用者が利用者移動端末2を用い、権利管理サービス事業者が権限管理サーバ3を運用する。
データ暗号化手段4の暗号化データ生成手段41は、データ管理者の指示に従って、利用管理の対象となる機密データを暗号化した暗号化機密データ、その暗号化機密データを復号するための復号鍵、およびその暗号化機密データを識別する機密データIDを生成する(ステップS101)。データ暗号化手段4の権限定義手段42は、データ管理者の指示に従って権限定義情報を生成する。
データ暗号化手段4の情報送信手段43は、生成した暗号化機密データを管理者移動端末1に送信する(ステップS102)。管理者移動端末1は、受信した暗号化機密データをデータ格納手段12に格納する(ステップS103)。
データ暗号化手段4の情報送信手段43は、権利管理サーバ3に、機密データIDと復号鍵とデータ管理者IDと権限定義情報とを含む機密データ情報を送信する(ステップS104)。機密データ情報を受信した権利管理サーバ3は、データベースの1レコードに、機密データ情報に記載された機密データIDと復号鍵とデータ管理者IDと権限定義情報との組を、権限データとして登録する(ステップS105)。
管理者移動端末1の権限委譲手段11は、ユーザ入出力手段10に入力されたデータ管理者の指示に従って、データ格納手段12に格納されている暗号化機密データを、利用者移動端末2に送信する(ステップS106)。具体的には、管理者移動端末1の権限委譲手段11は、例えば、通信ネットワークを介して特定または不特定の利用者移動端末2にプッシュ配信(マルチキャストやブロードキャスト)してもよいし、任意のファイルサーバを介して利用者移動端末2に暗号化機密情報をダウンロードさせてもよい。また、管理者移動端末1のデータ格納手段12および利用者移動端末2のデータ格納手段23が、SDメモリカードやUSBキーなどのポータブルメモリデバイスによって実現されている場合には、暗号化機密データを格納した当該デバイスが、管理者移動端末1のデータ管理者によって、利用者移動端末2のデータ利用者に手渡されてもよい。
利用者移動端末2の権限委譲手段21は、管理者移動端末1の権限委譲手段11が送信した暗号化機密データを、データ格納手段23に格納する。
データ利用者が機密データを利用する場合の動作について説明する。
利用者移動端末2の権限委譲手段21は、データ格納手段23に格納されている暗号化機密データを示す機密データIDとデータ利用者IDとを含み、その暗号化機密データの利用の要求を示す利用要求トークンを生成し(ステップS107)、生成した利用要求トークンをデータ管理者の管理者移動端末1に送信する(ステップS108)。
ここで、データ利用者に後述する認可処理をデータ管理者と対面して行わせるために、利用要求トークンの送信は、赤外線通信やBluetooth等の近距離無線通信によって行われる。なお、利用者移動端末2の権限委譲手段21は、利用要求トークンを2次元バーコードに符号化した画像をユーザ入出力手段20に表示させ、管理者移動端末1が含む2次元バーコード読み取りデバイスに、その画像を読み取らせてもよい。
利用要求トークンを取得した管理者移動端末1の権限委譲手段11は、利用要求情報をユーザ入出力手段10に表示させ(ステップS109)、データ管理者に認可処理を行わせる。なお、利用要求情報には、利用要求トークンが含む機密データIDおよびデータ利用者IDが含まれる。また、認可処理とは、データ管理者が、データ利用者による機密データの利用を認可するために、管理者移動端末1のユーザ入出力手段10に指示を入力する処理である。
管理者移動端末1の権限委譲手段11は、ユーザ入出力手段10に、データ管理者からデータ利用者による機密データの利用を認可する指示が入力された場合に、利用要求トークンが含む機密データIDおよびデータ利用者IDと、データ管理者IDとを含む認可トークンを生成し(ステップS110)、生成した認可トークンを権利管理サーバ3に送信する(ステップS111)。なお、データ管理者が、データ利用者による機密データの利用を認可しない場合には、管理者移動端末1は処理を終了する。
認可トークンを受信した権限管理サーバ3の権限管理手段31は、機密データ情報格納手段311(データベース)のレコードを走査(参照)し、受信した認可トークンが含む機密データIDとデータ管理者IDとの組に合致するレコードが存在する場合に、当該レコードに登録されている権限定義情報を参照して、機密データID、データ利用者ID、権限定義情報、および復号鍵が記載された権限証明書を生成する(ステップS112)。
権限管理サーバ3の権限管理手段31は、生成した権限証明書を、利用者移動端末2の利用制御手段22に送信する(ステップS113)。なお、権限管理サーバ3の権限管理手段31は、ステップS112(権限証明書の生成)とステップS113(権限証明書の送信)とを連続して実行しなくてもよい。例えば、権限管理サーバ3の権限管理手段31は、ステップS112(権限証明書の生成)の後、利用者移動端末2の利用制御手段22が、権限管理サーバ3の権限管理手段31に権限証明書の送信を要求して、権限証明書をダウンロードするようにしてもよい。
権限証明書を受信した利用者移動端末2の利用制御手段22は、受信した権限証明書を証明書格納手段24に格納すると共に、受信した権限証明書に記載されている復号鍵を用いて、データ格納部23に格納されている暗号化機密データを復号し(ステップS114)、ユーザ入出力部20に入力される操作に応じて、復号された機密データの利用処理を実行する(ステップS115)。
ここで、利用者移動端末2の利用制御手段22が行う機密データの利用処理は、権限証明書に記載された権限定義情報によって許可された利用方法に限定される。例えば、再生操作に対して予め操作ID「play」が割り当てられ、「play」のみが権限定義情報によって許可されている場合、利用制御手段22は、「play」に相当する操作(例えば、ユーザ入出力部20を介した機密データの表示)のみを受け付け、その他の操作を全て拒否する。
本実施の形態では、データ利用者が機密データを利用するためには、利用者移動端末2から近接通信(近距離無線通信等)によって送信等される利用要求トークンをデータ管理者が用いる管理者移動端末1が受信しなければならない。そのため、データ管理者とデータ利用者との対面による機密データの利用管理を実現することができる。
従って、例えば、ある保守作業員(データ利用者)がある顧客(データ管理者)と同じ構内で機密として保護すべき顧客データを取り扱う場合に、保守作業員は、当該顧客との対面の下で認可をうける必要があるので、保守作業員が構外で当該顧客データを利用するという不正利用を未然に防止することができる。
また、保守作業員(データ利用者)が持ち歩く利用者移動端末2に格納された機密データは予め暗号化されているので、保守作業員が移動中に利用者移動端末2を紛失したり、盗難されたりしても、顧客データの外部漏洩を防止することができる。
なお、権限定義情報が権限証明書の有効期限の条件を示す情報を含み、利用者移動端末2の利用制御手段22が権限定義情報が示す権限証明書の有効期限を随時確認してもよい。具体的には、例えば、データ利用者に対して発行される権限証明書に数分など短い時間で失効するように有効期限に関する条件を記載しておき、データ利用者が用いる利用者移動端末2の利用制御手段22が、権限証明書の有効期限を随時確認してもよい。
そのように構成した場合には、例えば、娯楽コンテンツ(機密データ)の購入者(データ管理者)が近接した空間内にいる友人など(データ利用者)と、購入者が所有する娯楽コンテンツ(機密データ)を一時的に共有することができる。
なお、データ利用者IDは、利用者移動端末2が備えるSIM(Subscriber Identity Module)や、USIM(Universal SIM)等の不揮発性メモリに記憶されている。
また、データ管理者IDは、管理者移動端末1が備えるSIMや、USIM(Universal SIM)等の不揮発性メモリに記憶されている。また、データ暗号化手段4は、予めデータ管理者IDを記憶している。
なお、データ暗号化手段4が権限定義手段42を備える代わりに、権限管理サーバ3が権限定義手段42を備えてもよく、データ暗号化手段4を実現するコンピュータに入力されたデータ管理者の指示に従って、当該コンピュータにインターネット等の通信ネットワークを介して接続された権限管理サーバ3の権限定義手段42が、権限定義情報を生成してもよい。
実施の形態2.
次に、本発明のデータ利用管理システムの第2の実施の形態について、図面を参照して説明する。図4は、本発明のデータ利用管理システムの第2の実施の形態の構成例を示すブロック図である。
図4に示すデータ利用管理システムは、図1に示す第1の実施の形態のデータ利用管理システムの管理者移動端末1および権限管理サーバ3に代えて、管理者移動端末5を含む。その他の構成要素は第1の実施の形態のデータ利用管理システムの各構成要素と同様なため、図1と同じ符号を付し、説明を省略する。
管理者移動端末5は、図1に示す第1の実施の形態の管理者移動端末1の各構成要素に加えて、権限委譲手段11にローカル配線によって接続された権限管理手段31を含む点が、図1に示す第1の実施の形態の管理者移動端末1と異なる。
各構成要素の動作は、第1実施の形態における動作と同様であるが、本実施の形態では、データ管理者が、第1実施形態における権限管理サービス事業者の役割を兼ねる。
本実施の形態によれば、権限管理サーバ3が不要になるので、データ利用管理システムの構築および導入がより容易になるという効果を奏する。
なお、管理者移動端末5とデータ暗号化手段4とが一体化されていてもよい。図5は、管理者移動端末5とデータ暗号化手段4とが一体化された管理者移動端末6の構成例を示すブロック図である。
そのように構成した場合には、データ管理者は、PDAやノート型パーソナルコンピュータなどの高機能な移動端末を管理者移動端末6として用いて、機密データの作成、配布、および利用管理を一貫して行うことができる。
実施の形態3.
次に、本発明のデータ利用管理システムの第3の実施の形態について説明する。本発明のデータ利用管理システムの第3の実施の形態の構成は、図1に示す第1の実施の形態のデータ利用管理システムの利用者移動端末2に代えて、外部出力装置8に接続された利用者移動端末7を含む。その他の構成要素は、第1の実施の形態における各構成要素と同様なため、図1と同じ符号を付し、説明を省略する。図6は、本発明のデータ利用管理システムの第3の実施の形態における利用者移動端末7の構成例を示すブロック図である。
図6に示す利用者移動端末7は、図1に示す第1の実施の形態の利用者移動端末2の構成要素に加えて、利用制御手段22に接続された出力制御手段71を含む。また、出力制御手段71には、外部出力装置8が接続されている。
出力制御手段71は、利用制御手段22から出力装置指示情報と復号された機密データとが入力された場合に、出力装置指示情報で指定された外部出力装置8へ機密データを送信する。
外部出力装置8は、例えば、プロジェクタ、LCD、プリンタ、およびスピーカ等のデータ出力装置である。
次に、第3の実施の形態のデータ利用管理システムの動作について、図面を参照して説明する。なお、本実施の形態において、利用者移動端末7に権限証明書が送信されるまでの各構成要素の動作は、図3に示す第1の実施の形態のステップS101からステップS113までの各構成要素の動作と同様なため、説明を省略する。
図7は、機密データを外部出力装置8に出力させる動作を説明するフローチャートである。なお、本例では、機密データを「play」および「print」に利用することを許可することが権限証明書に記載されているものとする。また、利用方法「play」は「端末で表示」に対応し、利用方法「print」は「プリンタ印刷」に対応するものとする。
権限証明書を受信した利用者移動端末7の利用制御手段22は、受信した権限証明書を証明書格納手段24に格納する。そして、利用制御手段22は権限証明書に記載された権限定義情報にもとづいて、メニュー画面をユーザ入出力手段20に表示させ(ステップS201)、機密データの利用方法をデータ利用者に選択させる(ステップS202)。
図8は、ユーザ入出力手段20が表示するメニュー画面の一例を示す説明図である。図8に示す例では、ユーザ入出力手段20が表示するメニュー画面を用いて、データ利用者に、機密データを端末に表示させるのか、またはプリンタに印刷させるのかを選択させる。
なお、利用方法とメニュー画面で表示される文字列とを対応づける表は、予め利用制御手段22が備える読出し専用メモリに格納されていてもよいし、権限証明書に記載されていてもよい。図9(a)は、利用制御手段22が備える読出し専用メモリに格納されている利用方法とメニュー画面で表示される文字列とを対応づける表の一例を示す説明図である。図9(b)は、権限証明書に記載されている利用方法とメニュー画面で表示される文字列とを対応づける表の一例を示す説明図である。図9(a)および図9(b)に示す例では、利用方法「print」はメニュー文字列「プリンタ印刷」に対応し、利用方法「play」はメニュー文字列「端末で表示」に対応していることを示している。
なお、利用制御手段22は、利用方法とメニュー画面で表示される文字列と出力先インタフェースとの対応表が記憶されている不揮発性メモリを含む。図10は、利用方法とメニュー画面で表示される文字列と出力先インタフェースとの対応表の一例を示す説明図である。図10に示す例では、利用方法「print」はメニュー文字列「プリンタ印刷」および出力先インタフェース「出力制御手段」に対応し、利用方法「play」はメニュー文字列「端末で表示」および出力先インタフェース「ユーザ入出力手段」に対応していることを示している。
利用制御手段22は、データ利用者によって選択された利用方法に対応する出力先インタフェースが、ユーザ入出力手段20であるのか、または出力制御手段71であるのかを、利用方法とメニュー画面で表示される文字列と出力先インタフェースとの対応表を参照して決定する(ステップS203)。
例えば、図8に示すメニュー画面において、「端末で表示」メニューが選択された場合に、利用制御手段22は、不揮発性メモリが記憶している対応表を参照して、出力先インタフェースがユーザ入出力手段20であると決定する。また、図8に示すメニュー画面において、「プリンタ印刷」メニューが選択された場合に、利用制御手段22は、不揮発性メモリが記憶している対応表を参照して、出力先インタフェースが出力制御手段71であると決定する。
利用制御手段22は、暗号化機密データを、権限証明書に記載された復号鍵を用いて復号しながら(ステップS204)、平文の機密データ(暗号化されていない機密データ)を、ステップS203で決定した出力先インタフェースに出力する(ステップS205)。
出力先インタフェースがユーザ入出力手段20である場合、ユーザ入出力手段20は、入力された平文の機密データを表示してデータ利用者に提示する。出力先インタフェースが出力制御手段71である場合、出力制御手段71は、平文の機密データを、適切な外部出力装置8に出力する。
なお、外部出力装置8が複数ある場合には、利用制御手段22は、利用方法とメニュー画面で表示される文字列と出力先インタフェースと出力先デバイスとの対応表が記憶されている不揮発性メモリを含んでいてもよい。図11は、利用方法とメニュー画面で表示される文字列と出力先インタフェースと出力先デバイスとの対応表の一例を示す説明図である。図11に示す例では、利用方法「print」は、メニュー文字列「プリンタ印刷」、出力先インタフェース「出力制御手段」および出力先デバイス「プリンタ」に対応し、利用方法「play」は、メニュー文字列「端末で表示」、出力先インタフェース「ユーザ入出力手段」および出力先デバイス「LCD」に対応していることを示している。
本実施の形態では、利用者移動端末7を用いて機密データを利用する場合だけでなく、外部出力装置8を用いて機密データを利用する場合もデータ管理者による認可を必要とするので、より機密データの安全性を高めることができる。
実施の形態4.
次に、本発明のデータ利用管理システムの第4の実施の形態について説明する。第4の実施の形態のデータ利用管理システムは、第3の実施の形態の利用者移動端末7に代えて、外部出力装置100に接続された利用者移動端末9を含む。
図12は、第4の実施の形態の利用者移動端末9と外部出力装置100との構成例を示すブロック図である。図12に示す例では、利用者移動端末9が出力装置認証手段(認証手段)91を含む点が第3の実施の形態の利用者移動端末7と異なり、外部出力装置100がプロファイル格納手段101と出力手段102とを含む点が第3の実施の形態の外部出力装置8と異なる。
その他の構成要素は、第1の実施の形態における各構成要素、および第3の実施の形態における各構成要素と同様なため、図1または図6と同じ符号を付し、説明を省略する。
外部出力装置100は、プロファイル格納手段101と出力手段102とを含む。プロファイル格納手段101は、外部出力装置100のプロファイル情報を格納している記憶手段(例えば、不揮発性メモリ。)を含み、利用者移動端末9から受信したプロファイル送信要求に応じて、記憶手段が格納しているプロファイル情報を利用者移動端末9に送信する。なお、プロファイル情報(認証情報)は、機器(外部出力装置100)を特定する機器IDと、機器が有する機能などを示す属性情報とを含む。属性情報は、例えば、プリンタやディスプレイなどの機器種別や、データを恒久的または一時的に格納できるストレージを備えるか否かというフラグ、さらに別の機器への接続機能を持つか否かのフラグを含む。
出力手段102は、利用者移動端末9から入力された機密データを介して出力する出力デバイスであり、例えば、印刷ドラムを含む印刷手段や、LCDである。
図13は、外部出力装置100のプロファイル格納手段101が記憶しているプロファイル情報の一例を示す説明図である。図13に示す例では、外部出力装置100を識別する機器ID(属性名は「id」)が「PR000101」(属性値)であり、外部出力装置100の機器種別(属性名は「type」)が「PRINTER」(属性値)であることを示している。
また、図13に示す例では、外部出力装置100がデータを恒久的または一時的に格納する格納手段を備えていないことをフラグで示し(つまり、属性名「hasStorage」の属性値が「FALSE」)、外部出力装置100が他の機器への接続機能を有していないことをフラグで示している(つまり、属性名「hasExternalOutput」の属性値が「FALSE」)。
利用者移動端末9の出力装置認証手段91は、外部出力装置100から受信したプロファイル情報と、認証基準(認証ルール)とを照合して得られる認証結果に応じて、出力制御手段71が出力した機密データを外部出力装置100へ送信する。なお、出力装置認証手段91は、認証ルールを予め記憶している記憶手段(例えば、不揮発性メモリ)を含む。
図14は、認証ルールの例を示す説明図である。図14に示す認証ルールでは、属性名と属性値との組に関する述語が表現されている。なお、属性名は機器IDを含んでもよい。
図14の第1行目に示す例では、出力装置の機器種別(属性名は「type」)が「PRINTER」(属性値)であり、出力装置がデータを恒久的または一時的に格納する格納手段を備えていないことをフラグで示され(つまり、属性名「hasStorage」の属性値が「FALSE」)、出力装置が他の機器への接続機能を有していないことがフラグで示されているプロファイル情報は(つまり、属性名「hasExternalOutput」の属性値が「FALSE」)、認証ルールを満たすことを表している。
次に、第4の実施の形態のデータ利用管理システムの動作について、図面を参照して説明する。なお、本実施の形態において、利用者移動端末7に権限証明書が送信されるまでの各構成要素の動作は、図3に示す第1の実施の形態のステップS101からステップS113までの各構成要素の動作と同様なため、説明を省略する。
図15は、機密データを外部出力装置100に出力させる動作を説明するフローチャートである。なお、本例では、外部出力装置100はプリンタであり、機密データを「play」および「print」に利用することを許可することが権限証明書に記載されているとする。また、利用方法「play」は「端末で表示」に対応し、利用方法「print」は「プリンタ印刷」に対応するとする。
権限証明書を受信した利用者移動端末7の利用制御手段22は、受信した権限証明書を証明書格納手段24に格納する。そして、利用制御手段22は権限証明書に記載された権限定義情報を読み取って、メニュー画面をユーザ入出力手段20に表示させ(ステップS301)、機密データの利用方法をデータ利用者に選択させる(ステップS302)。
利用制御手段22は、データ利用者によって選択された利用方法に対応する出力先インタフェースが、ユーザ入出力手段20であるのか、または出力制御手段71であるのかを、利用方法とメニュー画面で表示される文字列と出力先インタフェースとの対応表を参照して決定する(ステップS303)。本例では、出力先インタフェースが出力制御手段71であると決定されたとする。
利用制御手段22は、暗号化機密データを権限証明書に記載された復号鍵を用いて復号しながら(ステップS304)、平文の機密データを、出力制御手段71を介して出力装置認証手段91に出力する。
出力装置認証手段91は、外部出力装置100にプロファイル送信要求を送信する(ステップS305)。
プロファイル送信要求を受信した外部出力装置100は、プロファイル格納手段101に予め格納されているプロファイル情報を出力装置認証手段91に送信する(ステップS306)。
出力装置認証手段91は、プロファイル格納手段101からプロファイル情報を受信する。そして、出力装置認証手段91は、プロファイル情報が含む機器IDや属性情報と、記憶手段が記憶している認証ルールとにもとづいて、外部出力装置100が出力装置として適正であるか否かを判定する(ステップS307)。
出力装置認証手段91は、外部出力装置100が機密データを得るに不適切であると判定した場合(ステップS307のN)、入力された機密データの外部出力装置100への送信を遮断する(ステップS308)。
出力装置認証手段91は、外部出力装置100が適正であると判定した場合(ステップS307のY)、機密データを外部出力装置100に送信する(ステップS309)。
なお、出力装置認証手段91は、機密データの盗聴を防ぐために、外部出力装置100との間でSecure Socket Layer(SSL)などの暗号化通信路を確立してもよい。
機密データを受信した外部出力装置100の出力手段102は、機密データを出力する(ステップS310)。
本実施の形態では、出力装置認証手段91が、プロファイル情報にもとづいて外部出力装置100が機密情報の出力装置として適正であるか否かの認証動作を行うので、例えば、録画機能つきのパーソナルコンピュータや、他の移動端末への平文の機密データの漏洩を未然に防止することができる。
実施の形態5.
次に、本発明のデータ利用管理システムの第5の実施の形態について、図面を参照して説明する。図16は、本発明のデータ利用管理システムの第5の実施の形態の構成例を示すブロック図である。
図16に示すデータ利用管理システムは、属性証明書(AC:Attribute Certificate)サーバ110を含み、図1に示す第1の実施の形態のデータ利用管理システムの管理者移動端末1に代えて、管理者移動端末120を含み、図1に示す第1の実施の形態のデータ利用管理システムの利用者移動端末2に代えて、利用者移動端末13を含む。その他の構成要素は第1の実施の形態のデータ利用管理システムの各構成要素と同様なため、図1と同じ符号を付し、説明を省略する。
図16に示すように、属性証明書サーバ110は、属性データベース111と、AC生成手段(属性証明書生成手段)112とを含む。
属性データベース111には、データ利用者IDに対応づけられ、データ利用者の所属などを示す属性名と属性値との組が1つ以上格納されており、AC生成手段112からデータ利用者IDが入力された場合に、入力されたデータ利用者IDに対応する属性名と属性値との組のリストを出力する。
AC生成手段112は、データ利用者の移動端末13からデータ利用者IDを受信した場合に、受信したデータ利用者IDに対応する属性名と属性値との組のリストを属性データベース111から取得し、取得したリストを記載し、データ利用者の属性を示す属性証明書を生成して、利用者移動端末13に送信する。
なお、AC生成手段112は、鍵ペア格納手段113を含む。図17は、AC生成手段112の一構成例を示す説明図である。鍵ペア格納手段113は、属性証明書にデジタル署名を行うサーバまたは事業者である属性オーソリティの公開鍵と秘密鍵との組を格納している。
利用者移動端末13は、AC取得手段131を含む。AC取得手段131は、権限委譲手段21による利用要求トークン生成時に、属性証明書を権限委譲手段21に出力する。権限委譲手段21は、属性証明書を含む利用要求トークンを生成して、管理者移動端末120に送信する。
管理者移動端末120は、AC認証手段121を含む。AC認証手段121は、データ利用者が用いる利用者移動端末13から受信した利用要求トークンに含まれる属性証明書に記載された属性名と属性値との組のリストを抽出して、権限委譲手段11に出力する。
次に、第5の実施の形態のデータ利用管理システムの動作について、図面を参照して説明する。図18は、データ利用管理システムの第5の実施の形態における動作を説明するシーケンス図である。
データ暗号化手段4の暗号化データ生成手段41は、データ管理者の指示に従って、利用管理の対象となる機密データを暗号化した暗号化機密データ、その暗号化機密データを復号するための復号鍵、およびその暗号化機密データを識別する機密データIDを生成する(ステップS401)。データ暗号化手段4の権限定義手段42は、データ管理者の指示に従って権限定義情報を生成する。
データ暗号化手段4の情報送信手段43は、生成した暗号化機密データを管理者移動端末120に送信する(ステップS402)。管理者移動端末120は、受信した暗号化機密データをデータ格納手段12に格納する(ステップS403)。
データ暗号化手段4の情報送信手段43は、権利管理サーバ3に、機密データIDと復号鍵とデータ管理者IDと権限定義情報とを含む機密データ情報を送信する(ステップS404)。機密データ情報を受信した権利管理サーバ3は、データベースの1レコードに、機密データ情報に記載された機密データIDと復号鍵とデータ管理者IDと権限定義情報との組を、権限データとして登録する(ステップS405)。
管理者移動端末120の権限委譲手段11は、ユーザ入出力手段10に入力されたデータ管理者の指示に従って、データ格納手段12に格納されている暗号化機密データを、利用者移動端末2に送信する(ステップS406)。利用者移動端末13の権限委譲手段21は、管理者移動端末120の権限委譲手段11が送信した暗号化機密データを、データ格納手段23に格納する。
利用者移動端末13の権限委譲手段21は、AC取得手段131に属性証明書の取得を要求する。AC取得手段131は、権限委譲手段21の要求に応じて、データ利用者IDを含み、属性証明書の送信の要求を示す属性証明書要求を生成する(ステップS407)。
AC取得手段131は、所定の属性オーソリティが運用する権限証明書サーバ110に、属性証明書要求を送信する(ステップS408)。
属性証明書要求を受信した権限証明書サーバ11のAC生成手段112は、属性証明書要求に含まれるデータ利用者IDを抽出し、抽出したデータ利用者IDをキーとして、属性データベース111に属性情報(属性名と属性値との0以上の組から成る系列)の検索を要求する。
属性データベース111は、データ利用者IDを検索キーとして属性情報を検索して抽出し(ステップS409)、抽出した属性情報をAC生成手段112に出力する。なお、属性データベース111のスキーマ(構造)は属性オーソリティの任意の構造でよいが、データ利用者IDと複数の属性情報とを関連づけて登録および検索できる構造であることが必要である。
図19は、属性データベース111のディレクトリ構造の一例を示す説明図である。属性データベース111は、例えば、データ利用者の組織(図19におけるo)、部署(図19におけるou)、および氏名(図19におけるcn)の組合せをデータ利用者IDとして取り扱う。図19に示すディレクトリ構造の例では、Taro Nichidenのデータ利用者IDは、「cn=Taro Nichiden,ou=ABC laboratory,o=NEC」で表され、組織や部署などにもとづくディレクトリ構造を用いて管理される。
そして、属性情報を取得したAC生成手段112は、鍵ペア格納手段113に格納されている属性オーソリティの公開鍵と秘密鍵とのペアを用いて、取得した属性情報に列記されているデータにデジタル署名を施した属性証明書を生成する(ステップS410)。なお、属性証明書のフォーマットとして、RFC−3281(参考文献2)に記載されている属性証明書フォーマットを用いることが好ましい。
図20は、属性証明書のフォーマットの一例を示す説明図である。図20に示す例では、データ利用者(図20におけるholder)の属性について、属性オーソリティ(図20におけるIssuer)が属性証明書にデジタル署名を施すことにより、その正当性を裏付けるフォーマットになっている。なお、図20において、サブジェクト名とは、データ利用者IDに相当する。なお、図20は、参考文献3に記載されている。
また、属性証明書要求および属性証明書のフォーマットとして、参考文献4に記載されているOASIS(Organization for the Advancement of Structured Information Standards)の技術標準であるSecurity Assertion Markup Language(SAML)を用いてもよい。
[参考文献2]
S.Farrell、外1名、“RFC−3281−An Internet Attribute Certificate Profile for Authorization”、pp.7−21、[online]、2002年4月、Network Working Group、[平成18年8月23日検索]、インターネット<URL:http://rfc.sunsite.dk/rfc/rfc3281.html>
[参考文献3]
“PKI関連技術解説”、図9−3、[online]、2005年6月、独立行政法人
情報処理推進機構セキュリティセンター情報セキュリティ技術ラボラトリー、[平成18年8月23日検索]、インターネット<URL:http://www.ipa.go.jp/security/pki/091.html>
[参考文献4]
John Kemp、外4名、“Authentication Context for the OASIS Security Assertion Markup Language(SAML) V2.0”、[online]、2005年3月、OASIS(Organization for the Advancement of Structured Information Standards)、[平成18年8月23日検索]、インターネット<URL:http://www.japanpkiforum.jp/shiryou/SAML/saml-authn-context-2.0-os.pdf>
AC生成手段112は、生成した属性証明書を利用者移動端末13に送信する(ステップS411)。
利用者移動端末13のAC取得手段131は、受信した属性証明書を権限委譲手段21に出力する。権限委譲手段21は、属性証明書を含む利用要求トークンを生成し(ステップS412)、データ管理者が用いる管理者移動端末120に送信する(ステップS413)。
利用要求トークンを受信した管理者移動端末120の権限委譲手段11は、AC認証手段121を介して、属性証明書に記載された属性情報を抽出する。そして、権限委譲手段11は、抽出した属性情報と、機密データIDおよびデータ利用者IDを含む利用要求情報とをユーザ入出力手段10に表示させ(ステップS414)、データ管理者に認可処理を行わせる。
管理者移動端末120の権限委譲手段11は、ユーザ入出力手段10に、データ管理者からデータ利用者による機密データの利用を認可する指示が入力された場合に、認可トークンを生成し(ステップS415)、生成した認可トークンを権利管理サーバ3に送信する(ステップS416)。
認可トークンを受信した権限管理サーバ3の権限管理手段31は、機密データ情報格納手段311(データベース)のレコードを走査し、受信した認可トークンが含む機密データIDとデータ管理者IDと組に合致するレコードが存在する場合に、当該レコードに登録されている権限定義情報を参照して権限証明書を生成する(ステップS417)。
権限管理サーバ3は、生成した権限証明書を、利用者移動端末13の利用制御手段22に送信する(ステップS418)。
権限証明書を受信した利用者移動端末13の利用制御手段22は、受信した権限証明書を証明書格納手段24に格納すると共に、受信した権限証明書に記載されている復号鍵を用いて、データ格納部23に格納されている暗号化機密データを復号し(ステップS419)、ユーザ入出力部20に入力される操作に応じて、復号された機密データの利用処理を実行する(ステップS420)。
本実施の形態では、管理移動端末120を用いるデータ管理者に、データ利用者の所属組織などを示す属性情報を用いて機密データの利用認可の認証を行わせるので、例えば、退職直後の元保守作業員に機密データの利用を認可する場合等、対面による認可を行うことが困難な場合にも、データ管理者がデータ利用者の機密データの利用が適正であるか否かを適切に判断して、機密データ利用の認可を行うことができる。
なお、利用者移動端末13が出力装置認証手段91を含み、プロファイル格納手段101を含む外部出力装置100に接続されていてもよい。そのように構成されている場合には、第4の実施の形態と同様な効果を奏することができる。
実施の形態6.
次に、本発明のデータ利用管理システムの第6の実施の形態について、図面を参照して説明する。図21は、本発明のデータ利用管理システムの第6の実施の形態の構成例を示すブロック図である。
図21に示す第6の実施の形態のデータ利用管理システムは、第1の実施の形態の管理者移動端末1に代えてデータ管理者から最初に権限証明書を取得する第1のデータ利用者が用いる第1のデータ利用者移動端末(データ利用機器)14を含み、第1の実施の形態の利用者移動端末2に代えて第1のデータ利用者から権限証明書を取得する第2のデータ利用者が用いる第2のデータ利用者移動端末(権限譲受機器)15を含む。
第1のデータ利用者移動端末14は、第1の実施の形態における管理者移動端末1の構成に加えて、第2の権限委譲手段(権限再委譲手段、データ送信手段)141と証明書格納手段25と含む。
第2の権限委譲手段141は、第2のデータ利用者が用いる第2のデータ利用者移動端末15から利用要求トークンを取得した場合に、取得した利用要求トークンをユーザ入出力手段20にデータ利用者へ提示させ、機密データ利用の権限の再委譲の認可処理を行わせる。そして、機密データ利用の権限の再委譲が認可された場合に、さらに、再委譲認可データとして、再委譲認可トークンを生成して、権限管理手段31に入力(送信)する。なお、再委譲認可トークンは、機密データID、第2のデータ利用者のデータ利用者ID、および第1のデータ利用者のデータ利用者IDを含む情報である。
なお、権限管理手段31は、第1の実施の形態と同様に権限管理サーバ3に含まれていてもよいし、第1のデータ利用者移動端末14に含まれていてもよい。証明書格納手段25は、機密データID、データ利用者ID、権限定義情報、および復号鍵を含む権限証明書を格納する。
第2のデータ利用者移動端末15は、第1の実施の形態における利用者移動端末2と同様の構成である。
次に、本発明の第6の実施の形態の動作について、図面を参照して説明する。図22は、本発明の第6の実施の形態の動作を説明するシーケンス図である。
ここで、第1のデータ利用者はデータ管理者から既に暗号化機密データに対応する権限証明書を取得済みであるとする。すなわち、暗号化機密データが第1のデータ利用者移動端末14のデータ格納手段23に格納されており、その暗号化機密データに対応する権限証明書が第1のデータ利用者移動端末14の証明書格納手段24に格納されているとする。
なお、本実施の形態において、権限証明書は、機密データの利用権限を再委譲する際の条件を示す再委譲条件情報を含む。再委譲条件情報は、例えば、再委譲を認めるユーザIDのリスト、再委譲の可否を示す条件を示す情報、および再委譲先の適正に関する条件を示す情報を含み、データ管理者によって予め指定されている。再委譲先の適正に関する条件は、例えば、再委譲を認めるユーザIDのリストに、再移譲先のデータ利用者IDが含まれていることである。
また、第2のデータ利用者移動端末15に、第5の実施の形態における属性証明書サーバ110が接続されている場合には、第2のデータ利用者の属性証明書が利用要求トークンに含まれるので、再委譲先の適正に関する条件に、属性証明書が示す第2のデータ利用者の所属(属性)が含まれていてもよい。
第1のデータ利用者が用いる第1のデータ利用者移動端末14のデータ格納手段12は、暗号化機密データを第2のデータ利用者が用いる第2のデータ利用者移動端末15のデータ格納手段23に送信する(ステップS501)。暗号化機密データは第2のデータ利用者移動端末15のデータ格納手段23に格納される。
第2のデータ利用者が当該暗号化機密データを初めて利用する場合に、第2のデータ利用者移動端末15の権限委譲手段(利用要求手段)21は、データ利用者IDと、暗号化機密データを識別する機密データIDとを含む利用要求トークンを生成し(ステップS502)、生成した利用要求トークンを第1のデータ利用者移動端末14に送信する(ステップS503)。
なお、第1のデータ利用者に後述する権限委譲処理を第2のデータ利用者と対面して行わせるように、利用要求トークンの送信が行われることが望ましい。具体的には、例えば、赤外線通信やBluetooth等の近距離無線通信で利用要求トークンが送信されたり、第2のデータ利用者が、利用要求トークンを記憶しているSDメモリカードやUSBバーを第1のデータ利用者に手渡したりされる。
また、例えば、第1の利用者移動端末14が2次元バーコードを読み取る機能を有している場合には、第2の利用者移動端末15の権限委譲手段21は、2次元バーコードに符号化された利用要求トークンを示す画像をユーザ入出力手段20に表示させ、第1の利用者移動端末14に当該2次元バーコードを読み取らせてもよい。
利用要求トークンを受信した第1の利用者移動端末14の第2の権限委譲手段141は、利用要求トークンが含む機密データIDをキーとして、証明書格納手段25から対応する権限証明書を抽出し、抽出した権限証明書が含む再委譲条件情報にもとづいて、第2のデータ利用者への機密データを利用する権限の再委譲の可否を判定する(ステップS504)。第2の権限委譲手段141が権限の再委譲を認めないと判定した場合に、第1の利用者移動端末14は、処理を終了する。
第2の権限委譲手段141は、第2のデータ利用者への権限証明書の再委譲を許可すると判断した場合に、利用要求トークンが含む機密データIDおよびデータ利用者IDを含む利用要求情報をユーザ入出力手段(入出力手段)10に表示させ、第1のデータ利用者に権限委譲処理を行わせる(ステップS505)。権限委譲処理とは、第2のデータ利用者による機密データの利用を認可して権限証明書を再委譲するために、第1のデータ利用者に、第1の利用者移動端末14のユーザ入出力手段10に指示を入力させる処理である。
第1の利用者移動端末14の第2の権限委譲手段141は、ユーザ入出力手段10に、第1のデータ利用者から第2のデータ利用者による機密データの利用を認可する指示が入力された場合に、機密データIDで特定される機密データに対応する再委譲認可トークンを生成し(ステップS506)、生成した再委譲認可トークンを権限管理手段31に送信する(ステップS507)。なお、第1のデータ利用者が第2のデータ利用者による機密データの利用を認可しない場合には、第1の利用者移動端末14は処理を終了する。
権限管理手段31は、再委譲認可トークンを参照して、第2のデータ利用者に渡すべき権限証明書(以下、第2の権限証明書という)を生成し(ステップS508)、生成した第2の権限証明書を第2のデータ利用者が用いる第2の利用者移動端末15に送信する(ステップS511)。
なお、第2の権限証明書は、データ管理者から第1のデータ利用者に対して発行された権限証明書(以下、第1の権限証明書という)に加えて、再委譲証明書が添付されている。図23は、第2の権限証明書の構成例を示す説明図である。再委譲証明書は、機密データID、第2のデータ利用者のデータ利用者ID、および第1のデータ利用者のデータ利用者IDを含む。第1の権限証明書は、暗号化機密データの復号鍵を含むので、第2の権限証明書は暗号化機密データの復号鍵を含む。
そして、第2の権限証明書を受信した第2の利用者移動端末15の利用制御手段22は、第2の権限証明書を証明書格納手段24に格納すると共に、その第2の権限証明書が含む復号鍵を用いて、データ格納部23に格納されている暗号化機密データを復号しながら(ステップS510)、ユーザ入出力部20に入力される操作に応じて、復号された機密データの利用処理を実行する(ステップS509)。
本実施の形態では、例えば、保守業務や客先営業などにおいて、第1のデータ利用者(例えば、作業員または営業担当者)が預ったデータ管理者(例えば、顧客)の機密データを、休暇などの理由により第2のデータ利用者(例えば、代替の作業員または営業担当者)が業務として利用する場合に、顧客に特別な操作を行わせることなく、作業員または営業担当者同士で顧客からあたえられた権限を委譲することができるので、より運用性の高いデータ利用管理システムを構築することができる。
本発明は、保守作業員や営業担当者に携帯させる業務用端末に適用することができる。また、携帯電話機や、PDA、ノート型パーソナルコンピュータなどの携帯端末上で動作するアプリケーションプログラムにも適用することができる。
また、本発明は、娯楽コンテンツのダウンロード販売において、コンテンツ購入者(データ管理者)が一時的に近傍に居る友人など(データ利用者)に当該娯楽コンテンツの試聴を認める口コミ型販促サービスにも適用することができる。
尚、本出願は、2006年9月6日に出願された日本出願特願2006−241963号を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims (17)

  1. 暗号化されたデータである暗号化データを復号するための復号鍵を用いて、前記暗号化データを復号する復号手段と、暗号化データを識別する暗号化データ識別情報を含み、データの利用許諾を要求する利用要求データを生成して近距離無線通信で送信するか、または前記利用要求データを表示手段に表示させる利用要求手段とを含むデータ利用機器と、
    復号鍵、暗号化データ識別情報、および暗号化データの管理者を示す管理者識別情報が対応づけられて記憶されているデータベースと、復号鍵を前記データ利用機器に送信する復号鍵送信手段とを含む権限管理手段と、
    前記データ利用機器から利用要求データを取得して、管理者識別情報、および前記利用要求データが含む暗号化データ識別情報を前記権限管理手段に送信する識別情報送信手段を含むデータ管理機器と
    を備え、
    前記権限管理手段の前記復号鍵送信手段は、前記データ管理機器から暗号化データ識別情報と管理者識別情報とを受信した場合に、前記データベースを参照して、受信した前記暗号化データ識別情報と前記管理者識別情報とに対応する復号鍵を前記データ利用機器に送信する
    ことを特徴とするデータ利用管理システム。
  2. データベースには、データの利用方法を示す権限定義情報に、復号鍵と暗号化データ識別情報と管理者識別情報とが対応づけられて記憶され、
    復号鍵送信手段は、データ管理機器から暗号化データ識別情報と管理者識別情報とを受信した場合に、前記データベースを参照して、受信した前記暗号化データ識別情報と前記管理者識別情報とに対応する復号鍵と権限定義情報とをデータ利用機器に送信し、
    前記データ利用機器は、受信した権限定義情報が示す利用方法に従って、データを利用する利用制御手段を含む
    ことを特徴とする請求項1に記載のデータ利用管理システム。
  3. データベースには、データの利用方法および出力先を示す権限定義情報に、復号鍵と暗号化データ識別情報と管理者識別情報とが対応づけられて記憶され、
    復号鍵送信手段は、データ管理機器から暗号化データ識別情報と管理者識別情報とを受信した場合に、前記データベースを参照して、受信した前記暗号化データ識別情報と前記管理者識別情報とに対応する復号鍵と権限定義情報とをデータ利用機器に送信し、
    前記データ利用機器は、受信した権限定義情報が示す利用方法および出力先に従って、前記権限定義情報が示す出力先にデータを出力する利用制御手段を含む
    ことを特徴とする請求項1に記載のデータ利用管理システム。
  4. データ利用機器は、データの出力先の装置の認証を行い、認証結果に応じて、データを出力先の装置に出力する認証手段を含む
    ことを特徴とする請求項3記載のデータ利用管理システム。
  5. 認証手段は、データの出力先の装置から当該装置を示す情報を含む認証情報を受信し、受信した認証情報が所定の認証ルールを満たすと判断した場合に、前記データを前記装置に出力することを特徴とする請求項4に記載のデータ利用管理システム。
  6. データ利用機器の利用要求手段は、データの利用者を示す利用者識別情報を含む利用要求データを生成し、
    データ管理機器は、前記利用要求データをデータ利用機器から取得するデータ取得手段と、前記データ取得手段が取得した前記利用要求データが含む暗号化データ識別情報と利用者識別情報とを表示し、前記データ利用機器によるデータの利用の諾否を示す指示を利用者に入力させる入出力手段とを含み、
    前記データ管理機器の識別情報送信手段は、前記入出力手段に前記データ利用機器によるデータの利用を許諾する指示が入力された場合に、暗号化データ識別情報と管理者識別情報とを権限管理手段に送信する
    ことを特徴とする請求項1から請求項5のいずれかに記載のデータ利用管理システム。
  7. データ利用機器からの要求に応じて、データの利用者の属性を示す属性証明書を生成する属性証明書生成手段を備え、
    前記データ利用機器の利用要求手段は、前記属性証明書生成手段が生成した前記属性証明書を含む利用要求データを生成し、
    データ管理機器の入出力手段は、データ取得手段が取得した前記利用要求データが含む暗号化データ識別情報と利用者識別情報と属性証明書とを表示し、前記データ利用機器によるデータの利用の諾否を示す指示を利用者に入力させる
    ことを特徴とする請求項6に記載のデータ利用管理システム。
  8. 復号鍵を用いて暗号化データを復号する復号手段と、暗号化データ識別情報を含み、データの利用許諾を要求する利用要求データを生成して近距離無線通信で送信するか、または前記利用要求データを表示手段に表示させる利用要求手段とを含む権限譲受機器を備え、
    データ利用機器は、前記権限譲受機器から利用要求データを取得した場合に、データを利用する権限を委譲する条件である再委譲条件に合致しているか否かを判断する権限再委譲手段と、データを前記権限譲受機器に利用させてよいか否かを前記データ利用機器の利用者に判断させる入出力手段と、前記権限再委譲手段が前記権限の再委譲条件に合致していると判断し、前記入出力手段にデータを前記権限譲受機器に利用させてよいことを示す指示が入力された場合に、暗号化データ識別情報を含む再委譲認可データを権限管理手段に送信するデータ送信手段と
    を含み、
    前記権限管理手段の復号鍵送信手段は、前記再委譲認可データを受信した場合に、復号鍵を前記権限譲受機器に送信する
    ことを特徴とする請求項1から請求項7のいずれかに記載のデータ利用管理システム。
  9. 暗号化されたデータである暗号化データを復号するための復号鍵を用いて、前記暗号化データを復号する復号手段と、
    暗号化データを識別する暗号化データ識別情報を含み、データの利用許諾を要求する利用要求データを生成して近距離無線通信で送信して、または前記利用要求データを表示手段に表示させて、暗号化データの管理者にデータの利用を要求する利用要求手段と
    を備えたことを特徴とするデータ利用機器。
  10. データの利用方法を示す権限定義情報に従って、データを利用する利用制御手段を含むことを特徴とする請求項9に記載のデータ利用機器。
  11. 他の機器から利用要求データを取得した場合に、データを利用する権限を委譲する条件である再委譲条件に合致しているか否かを判断する権限再委譲手段と、
    データを前記他の機器に利用させてよいか否かを利用者に判断させる入出力手段と、
    前記権限再委譲手段が前記権限の再委譲条件に合致していると判断し、前記入出力手段にデータを前記他の機器に利用させてよいことを示す指示が入力された場合に、暗号化データ識別情報を含む再委譲認可データを、復号鍵を送信する権限管理手段に送信するデータ送信手段とを含む
    ことを特徴とする請求項9または請求項10に記載のデータ利用機器。
  12. 暗号化されたデータである暗号化データを復号するための復号鍵、暗号化データを識別する暗号化データ識別情報、データの利用方法を示す権限定義情報、および暗号化データの管理者を示す管理者識別情報が対応づけられて記憶されるデータベースと、
    第1の移動機器から暗号化データ識別情報、および管理者識別情報を受信した場合に、前記データベースに記憶されている前記暗号化データ識別情報、および管理者識別情報に対応づけられた復号鍵、および権限定義情報を、第2の移動機器に送信する復号鍵送信手段と
    を備えたことを特徴とするサーバ。
  13. データの利用許諾の要求を示し、暗号化データを識別する暗号化データ識別情報とデータの利用者を示す利用者識別情報とを含む利用要求データを、データを利用するデータ利用機器から取得するデータ取得手段と、
    前記取得した利用要求データに含まれている暗号化データ識別情報と利用者識別情報とを表示し、前記データ利用機器によるデータの利用の諾否を示す指示を利用者に入力させる入出力手段と
    を備えたことを特徴とするデータ管理機器。
  14. データを暗号化して、暗号化データを生成する暗号化データ生成手段と、
    データ利用機器によるデータの利用方法を示す権限定義情報を生成する権限定義手段と
    を備えたことを特徴とする請求項13に記載のデータ管理機器。
  15. 利用要求手段が、暗号化されたデータである暗号化データを識別する暗号化データ識別情報を含み、データの利用許諾を要求する利用要求データを生成して近距離無線通信で送信するか、または前記利用要求データを表示手段に表示させる利用要求ステップと、
    識別情報送信手段が、利用要求データを取得した場合に暗号化データの管理者を示す管理者識別情報、および前記利用要求データが含む暗号化データ識別情報を送信する識別情報送信ステップと、
    復号鍵送信手段が、識別情報送信ステップで送信された管理者識別情報、および暗号化データ識別情報を受信した場合に、復号鍵、暗号化データ識別情報、および管理者識別情報を対応づけて記憶するデータベースを参照して、受信した前記管理者識別情報、および前記暗号化データ識別情報に対応する復号鍵を送信する復号鍵送信ステップと、
    復号手段が、前記復号鍵送信ステップで送信された復号鍵を用いて、暗号化データを復号する復号ステップと
    を備えたことを特徴とするデータ利用管理方法。
  16. プログラムであって、前記プログラムはコンピュータに、
    暗号化されたデータである暗号化データを復号するための復号鍵を用いて、前記暗号化データを復号する復号処理と、
    暗号化データを識別する暗号化データ識別情報を含み、データの利用許諾を要求する利用要求データを生成して近距離無線通信で送信して、または前記利用要求データを表示手段に表示させて、暗号化データの管理者にデータの利用を要求する利用要求処理と
    を実行させるプログラム。
  17. プログラムであって、前記プログラムはコンピュータに、
    データの利用許諾の要求を示し、暗号化データを識別する暗号化データ識別情報とデータの利用者を示す利用者識別情報とを含む利用要求データを、データを利用するデータ利用機器から取得するデータ取得処理と、
    前記データ取得処理で取得した前記利用要求データが含む暗号化データ識別情報と利用者識別情報とを表示手段に表示し、利用者に前記データ利用機器によるデータの利用の諾否を示す指示を入力手段に入力させる入出力処理と
    を実行させるプログラム。
JP2008533128A 2006-09-06 2007-08-31 データ利用管理システム Pending JPWO2008029723A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2006241963 2006-09-06
JP2006241963 2006-09-06
PCT/JP2007/066976 WO2008029723A1 (fr) 2006-09-06 2007-08-31 Système de gestion d'utilisation de données

Publications (1)

Publication Number Publication Date
JPWO2008029723A1 true JPWO2008029723A1 (ja) 2010-01-21

Family

ID=39157153

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008533128A Pending JPWO2008029723A1 (ja) 2006-09-06 2007-08-31 データ利用管理システム

Country Status (3)

Country Link
US (1) US20090268912A1 (ja)
JP (1) JPWO2008029723A1 (ja)
WO (1) WO2008029723A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9477820B2 (en) 2003-12-09 2016-10-25 Live Nation Entertainment, Inc. Systems and methods for using unique device identifiers to enhance security
US20100077489A1 (en) * 2008-09-23 2010-03-25 Ake Joel H Method, apparatus, and computer program product for isolating personal data
JP5304345B2 (ja) * 2009-03-11 2013-10-02 富士通株式会社 コンテンツ処理装置、コンテンツ処理システム、およびコンテンツ処理プログラム
JP5391845B2 (ja) * 2009-06-05 2014-01-15 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
JP5476820B2 (ja) * 2009-07-02 2014-04-23 カシオ計算機株式会社 クライアント端末及びプログラム
CN102034177A (zh) * 2009-09-29 2011-04-27 国际商业机器公司 用于实现有效的移动票券转让的方法和装置
JP5730488B2 (ja) * 2010-01-18 2015-06-10 中国電力株式会社 情報処理システム
JP4898932B2 (ja) * 2010-02-15 2012-03-21 株式会社日立製作所 ネットワークノード、情報処理システムおよび方法
US9197407B2 (en) 2011-07-19 2015-11-24 Cyberlink Corp. Method and system for providing secret-less application framework
JP5857862B2 (ja) * 2012-04-17 2016-02-10 コニカミノルタ株式会社 情報処理装置およびプログラム
DE102013101834B4 (de) * 2013-02-25 2024-06-27 Bundesdruckerei Gmbh System und Verfahren zur Erstellung eines digitalen Attributzertifikats mit einer Attributnetzwerkentität und einer Zertifizierungsnetzwerkentität
US10601809B2 (en) * 2015-01-20 2020-03-24 Arris Enterprises Llc System and method for providing a certificate by way of a browser extension
JP6799541B2 (ja) * 2015-03-22 2020-12-16 アップル インコーポレイテッドApple Inc. モバイル機器におけるユーザ認証及び人間の意図検証のための方法及び装置
US9917693B2 (en) * 2015-10-27 2018-03-13 Blackberry Limited Providing security assurance information
CN105809008B (zh) * 2016-04-21 2019-06-04 惠州Tcl移动通信有限公司 一种基于虹膜的移动终端内容加锁解锁方法及系统
WO2021150213A1 (en) 2020-01-22 2021-07-29 Google Llc User consent framework

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06236310A (ja) * 1993-02-09 1994-08-23 Hitachi Ltd 出力データ保護方法
JP2002199433A (ja) * 2000-10-18 2002-07-12 Sony Corp 通信方法、通信装置およびそのシステム、位置情報提供方法およびその装置
JP2003296484A (ja) * 2002-03-29 2003-10-17 Sanyo Electric Co Ltd サーバ装置、端末装置、記憶装置および通信システム
JP2003345930A (ja) * 2002-05-27 2003-12-05 Hitachi Ltd 属性証明書管理方法および装置
JP4227479B2 (ja) * 2003-07-10 2009-02-18 日本電信電話株式会社 カプセル化装置、ライセンス生成装置、サービス提供装置、カプセル化プログラム、ライセンス生成プログラム及びサービス提供プログラム

Also Published As

Publication number Publication date
WO2008029723A1 (fr) 2008-03-13
US20090268912A1 (en) 2009-10-29

Similar Documents

Publication Publication Date Title
JPWO2008029723A1 (ja) データ利用管理システム
US8347407B2 (en) Authority management method, system therefor, and server and information equipment terminal used in the system
JP6572926B2 (ja) ドキュメント管理システム
JP6575547B2 (ja) ドキュメント管理システム
JP2006344156A (ja) 個人情報流通管理システム、個人情報流通管理方法、個人情報提供プログラム及び個人情報利用プログラム
JP2006338587A (ja) アクセス制御サーバ、利用者端末及び情報アクセス制御方法
JP6819748B2 (ja) 情報処理装置、情報処理システム及びプログラム
JP6536609B2 (ja) 管理装置及びドキュメント管理システム
JP2002157226A (ja) パスワード集中管理システム
CN111740940B (zh) 信息处理系统
JP5894956B2 (ja) 画像形成装置、サーバー及び文書印刷管理システム
JP2006119769A (ja) コンテンツ提供システム
JP6849018B2 (ja) ドキュメント管理システム
JP6604367B2 (ja) 処理装置及び情報処理装置
JP2021157250A (ja) ドキュメント管理システム、処理端末装置及び制御装置
JP2021157317A (ja) 情報処理装置及び情報処理システム
JP4864566B2 (ja) 属性認証方法、鍵管理装置、サービス提供先装置、サービス提供元装置、及び属性認証システム
JP6627398B2 (ja) 代理認証装置、代理認証方法および代理認証プログラム
JP2006215761A (ja) 身分証明データ管理装置及びこれを用いた身分照会システム、身分照会方法、身分照会用プログラム
JP6819734B2 (ja) 情報処理装置及び利用端末
KR20140043990A (ko) 전자위임장 시스템 및 그 방법
JP2006011916A (ja) 編集物のネットワーク校正方法
JP6791308B2 (ja) ドキュメント管理システム、及び管理装置
JP6733791B2 (ja) 管理装置及び処理装置
JP2012014368A (ja) 鍵管理装置、サービス提供装置、アクセス管理システム、アクセス管理方法、制御プログラム、およびコンピュータ読み取り可能な記録媒体