WO2022091409A1 - 認可制御システム、認可制御装置、認可制御方法及びプログラム - Google Patents

認可制御システム、認可制御装置、認可制御方法及びプログラム Download PDF

Info

Publication number
WO2022091409A1
WO2022091409A1 PCT/JP2020/041059 JP2020041059W WO2022091409A1 WO 2022091409 A1 WO2022091409 A1 WO 2022091409A1 JP 2020041059 W JP2020041059 W JP 2020041059W WO 2022091409 A1 WO2022091409 A1 WO 2022091409A1
Authority
WO
WIPO (PCT)
Prior art keywords
resource
permission
software resource
response
unit
Prior art date
Application number
PCT/JP2020/041059
Other languages
English (en)
French (fr)
Inventor
哲矢 奥田
雄一郎 彈
亮平 鈴木
浩司 千田
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to JP2022558806A priority Critical patent/JP7505575B2/ja
Priority to US18/248,078 priority patent/US20230367852A1/en
Priority to PCT/JP2020/041059 priority patent/WO2022091409A1/ja
Priority to EP20959924.0A priority patent/EP4239503A4/en
Publication of WO2022091409A1 publication Critical patent/WO2022091409A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/101Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
    • G06F21/1015Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to users
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/106Enforcing content protection by specific content processing
    • G06F21/1062Editing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Definitions

  • the present invention relates to an authorization control system, an authorization control device, an authorization control method and a program.
  • OAuth is known as an authorization mechanism for controlling the use of software resources such as video content, audio content, programs or data.
  • authorization control cannot be performed for software resources shared by multiple right holders (that is, there are multiple owners). Therefore, a mechanism has been proposed for centrally controlling the approval between right holders (for example, Patent Document 1).
  • the present invention has been made in view of the above points, and an object of the present invention is to enable appropriate control of access authorization for software resources that are changed in the distribution process.
  • the authorization control system including one or more computers responds to the notification of the registration of the software resource after the change, and changes the person who made the change together with the right holder of the software resource before the change. Controls the registration unit registered in the storage unit as the right holder of the software resource later, and the inquiry of approval or disapproval of each right holder registered in the storage unit regarding the software resource in response to the request for permission to use or edit the software resource. It has an inquiry control unit and a response unit that responds to the permission request when permission is obtained from all the right holders.
  • FIG. 1 is a diagram showing an overall configuration example according to an embodiment of the present invention.
  • FIG. 1 shows one or more owner terminals 40, one or more distribution destination servers 30, one or more resource servers 20, and an authorization control server 10.
  • each server and each terminal are connected via a network, but the owner terminal 40 may be able to communicate with the authorization control server 10.
  • the resource server 20 is one or more computers that store software resources such as programs and electronic data (hereinafter, simply referred to as "resources”) as management targets.
  • the types of programs and electronic data are not limited to predetermined ones.
  • an AI (Artificial Intelligence) program may be an example of a resource.
  • the learning data of the AI program may be an example of the resource.
  • resources that can be modified or modified hereinafter referred to as "change" in the distribution process are suitable.
  • the owner terminal 40 is a terminal used by the owner of any resource stored in the resource server 20.
  • a PC Personal Computer
  • the owner of a resource means a person (right holder) who has the right to use or change the resource.
  • Use or modification of a resource requires the permission of the owner of that resource.
  • there may be a plurality of owners for one resource For example, if Mr. B changes the resource R1 created by Mr. A and Mr. B creates the resource R1', Mr. A and Mr. B become the owners of the resource R1'.
  • the distribution destination server 30 is one or more computers or terminals to which resources are distributed.
  • the resource distributed (downloaded) to the distribution destination server 30 is used or changed by a person who uses or changes the resource (hereinafter, simply referred to as "user").
  • Each user uses each terminal to access the resources distributed to the distribution destination server 30.
  • the authorization control server 10 is one or more computers that authorize the use of resources distributed to the distribution destination server 30. Specifically, the authorization control server 10 inquires each owner of the resource to be used or the like whether or not to accept or reject the use of the resource. When the use or the like is permitted by each owner, the authorization control server 10 issues an access token for the resource to the distribution destination server 30.
  • FIG. 2 is a diagram showing a hardware configuration example of the authorization control server 10 according to the embodiment of the present invention.
  • the authorization control server 10 of FIG. 2 has a drive device 100, an auxiliary storage device 102, a memory device 103, a CPU 104, an interface device 105, and the like, which are connected to each other by a bus B, respectively.
  • the program that realizes the processing on the authorization control server 10 is provided by a recording medium 101 such as a CD-ROM.
  • a recording medium 101 such as a CD-ROM.
  • the program is installed in the auxiliary storage device 102 from the recording medium 101 via the drive device 100.
  • the program does not necessarily have to be installed from the recording medium 101, and may be downloaded from another computer via the network.
  • the auxiliary storage device 102 stores the installed program and also stores necessary files, data, and the like.
  • the memory device 103 reads a program from the auxiliary storage device 102 and stores it when there is an instruction to start the program.
  • the CPU 104 executes the function related to the authorization control server 10 according to the program stored in the memory device 103.
  • the interface device 105 is used as an interface for connecting to a network.
  • the distribution destination server 30, each resource server 20, and each owner terminal 40 may also have a hardware configuration as shown in FIG.
  • FIG. 3 is a diagram showing a functional configuration example of the authorization control server 10 according to the embodiment of the present invention.
  • the authorization control server 10 includes a license request receiving unit 11, an inquiry control unit 12, a remote verification unit 13, a response unit 14, a resource owner updating unit 15, and the like. Each of these parts is realized by a process of causing the CPU 104 to execute one or more programs installed in the authorization control server 10.
  • the authorization control server 10 also uses a database (storage unit) such as the resource owner management DB 16.
  • the resource owner management DB 16 can be realized by using, for example, an auxiliary storage device 102, a storage device that can be connected to the authorization control server 10 via a network, or the like.
  • FIG. 4 is a diagram for explaining a first example of the processing procedure executed in the present embodiment.
  • FIG. 4 describes an example of a processing procedure executed when a user (hereinafter referred to as “program user”) uses a (secondary) AI or the like stored in a certain resource server 20.
  • (Secondary) AI etc. program is a secondary program. That is, the (secondary) AI program is a program created by editing the AI program initially created by the primary program author by the secondary program author (hereinafter referred to as "target resource"). Is.
  • the secure area of the distribution destination server 30 receives a request for using the target resource from the program user.
  • the usage request includes identification information of the program user (hereinafter referred to as "request source ID”) and identification information of the target resource (hereinafter referred to as "resource ID").
  • the usage request is transmitted from, for example, a terminal used by the program user.
  • the distribution destination server 30 may be the terminal.
  • the secure area is a kind of TEE (Trusted Execution Environment) such as SGX (Intel (registered trademark) Software Guard Extensions).
  • the secure area includes "existence of Enclave that cannot be tampered with", “establishment of E2E secure channel between user and Enclave (cloud administrator cannot attack MitM)" (cf. Remote Attestation), and "secure that private key cannot be removed”. Module exists in Enclave ”.
  • the secure area of the distribution destination server 30 transmits a permission request for using or editing the target resource to the resource server 20 that stores the target resource (S102).
  • the license request includes a resource ID and a request source ID.
  • the resource server 20 transfers the permission request to the authorization control server 10 (S103).
  • the inquiry control unit 12 controls the inquiry of the permission to each owner of the target resource for the permission request. Specifically, the inquiry control unit 12 first refers to the resource owner management DB 16 and identifies the owner of the resource ID included in the permission request (S104).
  • FIG. 5 is a diagram showing a configuration example of the resource owner management DB 16.
  • the resource owner management DB 16 stores the owner ID, which is the identification information of the owner of the resource, in association with the resource ID of each resource stored in each resource server 20. ..
  • the owner ID which is the identification information of the owner of the resource
  • step S104 the owner ID stored in the resource owner management DB 16 associated with the resource ID included in the license request is specified.
  • the author of the (secondary) AI program which is the target resource
  • the author of the (primary) program is specified as the owner of the target resource.
  • the inquiry control unit 12 of the authorization control server 10 transmits a permission request regarding the use or editing of the target resource to the owner terminal 40 corresponding to each specified owner ID (S105a, S105b).
  • Each owner terminal 40 notifies (outputs) the permission request to each user (owner).
  • Each owner inputs the approval or disapproval of the use or editing of the target resource with reference to the permission request.
  • the inquiry control unit 12 receives a response including acceptance / rejection from each owner terminal 40 (S106a, S106b).
  • the response from each owner terminal 40 is received asynchronously.
  • step S107 If it indicates that the response from any of the owner terminals 40 to which the permission request is sent is not permitted, step S107 and subsequent steps are not executed. On the other hand, when it is shown that the response from all the owner terminals 40 to which the permission request is sent is permitted, the remote verification unit 13 of the authorization control server 10 uses the Remote Attestation (remote operation verification function) to display the distribution destination server 30. The validity of the secure area (the validity of the sender of the license request) is verified (S107).
  • step S108 the response unit 14 transmits a response indicating permission to the distribution destination server 30.
  • the response includes an access token (R) which is an access token for the target resource and an access token (K) which is an access token for the decryption key of the target resource.
  • the secure area of the distribution destination server 30 acquires a decryption key using the access token (K) from the authorization control server 10 that also serves as the key management server in response to the receipt of the permission response (S109). That is, the secure area of the distribution destination server 30 transmits a decryption key acquisition request to the authorization control server 10.
  • the acquisition request includes an access token (K). If the validity of the access token (K) is confirmed, the response unit 14 of the authorization control server 10 transmits the decryption key corresponding to the access token (K) to the secure area of the distribution destination server 30.
  • the secure area of the distribution destination server 30 downloads the target resource from the resource server 20 using the access token (R) (S110). That is, the secure area of the distribution destination server 30 transmits a request for acquiring the target resource to the resource server 20.
  • the acquisition request includes an access token (R). If the validity of the access token (R) is confirmed, the resource server 20 transmits the target resource corresponding to the access token (R) to the secure area of the distribution destination server 30. As a result, the target resource is stored in the secure area of the distribution destination server 30.
  • the resource server 20 requests the authorization control server 10 to verify the validity of the access token (R), and the authorization control server 10 executes the verification.
  • the authorization control server 10 transmits the result of the verification to the resource server 20.
  • the secure area of the distribution destination server 30 executes the process according to the usage instruction.
  • the target resource is decrypted by the decryption key.
  • FIG. 6 is a diagram for explaining a second example of the processing procedure executed in the present embodiment.
  • the (secondary) AI or the like program is edited (additional learning or the like) using the learning data (hereinafter referred to as “target resource”) stored in the other resource server 20.
  • target resource the learning data stored in the other resource server 20.
  • Tertiary An example of a processing procedure executed when a program such as AI is created will be described.
  • the user who instructs such editing is hereinafter referred to as "(tertiary) program author”.
  • step S201 the secure area of the distribution destination server 30 receives a program editing request such as (secondary) AI from the (tertiary) program author.
  • the editing request includes (tertiary) program author identification information (hereinafter referred to as "request source ID”) and target resource identification information (hereinafter referred to as "resource ID").
  • steps S102 to S110 in FIG. 4 are executed in response to an instruction by the (tertiary) program author, and the (secondary) AI program is distributed to the distribution destination server. It is stored in 30 secure areas.
  • the secure area of the distribution destination server 30 transmits a permission request for using or editing the target resource to the resource server 20 that stores the target resource (S202).
  • the license request includes a resource ID and a request source ID.
  • the resource server 20 transfers the permission request to the authorization control server 10 (S203).
  • the inquiry control unit 12 controls the inquiry of the permission to each owner of the target resource for the permission request. Specifically, the inquiry control unit 12 first refers to the resource owner management DB 16 (FIG. 5) to specify the owner of the resource ID included in the permission request (S204). Here, it is assumed that the owner IDs of the two data holders are specified as the owners of the target resource.
  • the inquiry control unit 12 of the authorization control server 10 transmits a permission request regarding the use or editing of the target resource to the owner terminal 40 corresponding to each specified owner ID (S205a, S205b).
  • Each owner terminal 40 notifies (outputs) the permission request to each user (data holder).
  • Each data holder refers to the permission request and inputs the approval or disapproval of the use or editing of the target resource.
  • the inquiry control unit 12 receives a response including acceptance / rejection from each owner terminal 40 (S206a, S206b).
  • the response from each owner terminal 40 is received asynchronously.
  • step S207 If it indicates that the response from any of the owner terminals 40 to which the permission request is sent is not permitted, step S207 and subsequent steps are not executed.
  • the remote verification unit 13 of the authorization control server 10 is secured by the remote registration (remote operation verification function) of the distribution destination server 30.
  • the validity of the region (the validity of the sender of the license request) is verified (for example, the PCR value is verified) (S207).
  • step S208 the response unit 14 transmits a response indicating permission to the distribution destination server 30.
  • the response includes an access token (R) which is an access token for the target resource and an access token (K) which is an access token for the decryption key of the target resource.
  • the secure area of the distribution destination server 30 acquires a decryption key using the access token (K) from the authorization control server 10 that also serves as the key management server in response to the receipt of the permission response (S209). That is, the secure area of the distribution destination server 30 transmits a decryption key acquisition request to the authorization control server 10.
  • the acquisition request includes an access token (K). If the validity of the access token (K) is confirmed, the response unit 14 of the authorization control server 10 transmits the decryption key corresponding to the access token (K) to the secure area of the distribution destination server 30.
  • the secure area of the distribution destination server 30 downloads the target resource from the resource server 20 using the access token (R) (S210). That is, the secure area of the distribution destination server 30 transmits a request for acquiring the target resource to the resource server 20.
  • the acquisition request includes an access token (R). If the validity of the access token (R) is confirmed, the resource server 20 transmits the target resource corresponding to the access token (R) to the secure area of the distribution destination server 30. As a result, the target resource is stored in the secure area of the distribution destination server 30 in an encrypted state.
  • the resource ID of the (tertiary) AI program, the resource ID of the (secondary) AI program, and the request source ID of the (tertiary) program author are used as one of the resource servers.
  • the resource server 20 stores a program such as (tertiary) AI as a management target. Before uploading, the target resource is encrypted in the secure area, and the decryption key is managed by the authorization control server 10.
  • the resource server 20 may be the same as or different from the resource server 20 that stores the (secondary) AI or other program.
  • the resource server 20 transmits a notification of registration of the (tertiary) AI or the like program to the authorization control server 10 (S214).
  • the registration notification includes a resource ID of the (secondary) AI or the like program, a resource ID of the (tertiary) AI or the like program, and a request source ID of the (tertiary) AI or the like program author.
  • the resource owner update unit 15 of the authorization control server 10 updates the resource owner management DB 16 (S215). Specifically, the resource owner update unit 15 specifies the owner ID stored in the resource owner management DB 16 associated with the resource ID of the (secondary) AI or the like program included in the registration notification. ..
  • the resource owner update unit 15 specifies the resource ID of the (tertiary) AI program included in the registration notification, the specified owner ID, and the request source of the (tertiary) program author included in the registration notification. Registered in the resource owner management DB 16 in association with the ID. That is, the owner group of the (secondary) AI or the like program and the (tertiary) program author are registered in the resource owner management DB 16 as the owner of the (tertiary) AI or the like program.
  • the target resource and the decryption key are deleted from the secure area of the distribution destination server 30.
  • the access (use or editing, etc.) to the resource is authorized.
  • the resource after the change in addition to the owner of the resource before the change, the person who made the change is also added to the owner. Therefore, it is possible to appropriately control the authorization of access to software resources that are changed in the distribution process. That is, it is possible to perform authorization control corresponding to the case where the resource owner is added / changed asynchronously after the resource is distributed.
  • resources are accessed in the secure area. Therefore, it is possible to enable remote authorization control on the client even after the resource is distributed or the resource is changed.
  • the authorization control server 10 is an example of an authorization control system and an authorization control device.
  • the resource owner update unit 15 is an example of a registration unit.
  • the remote verification unit 13 is an example of the verification unit.
  • Authorization control server 11 Authorization request reception unit 12 Inquiry control unit 13 Remote verification unit 14 Response unit 15 Resource owner update unit 16 Resource owner management DB 20 Resource server 30 Distribution destination server 40 Owner terminal 100 Drive device 101 Recording medium 102 Auxiliary storage device 103 Memory device 104 CPU 105 Interface device B Bus

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

1以上のコンピュータを含む認可制御システムは、変更後のソフトウェアリソースの登録の通知に応じ、変更を行った者を、変更前の前記ソフトウェアリソースの権利者と共に前記変更後のソフトウェアリソースの権利者として記憶部に登録する登録部と、ソフトウェアリソースの利用又は編集の許諾要求に応じ、当該ソフトウェアリソースに関して前記記憶部に登録されている各権利者に対する諾否の照会を制御する照会制御部と、全ての当該権利者から許諾が得られた場合に、前記許諾要求に対して許諾を応答する応答部と、を有することで、流通過程において変更されるソフトウェアリソースに対するアクセスの認可を適切に制御可能とする。

Description

認可制御システム、認可制御装置、認可制御方法及びプログラム
 本発明は、認可制御システム、認可制御装置、認可制御方法及びプログラムに関する。
 映像コンテンツ、音声コンテンツ、プログラム又はデータなどのソフトウェアリソースの利用を制御するための認可の仕組みとしてOAuthが知られている。但し、OAuthでは複数の権利者によって共有される(すなわち、複数のオーナが存在する)ソフトウェアリソースについて認可制御を行うことができない。そこで、権利者間の認可を集約して制御する仕組みが提案されている(例えば、特許文献1)。
国際公開第2020/145163号
 一方で、流通過程において改変又は修正(以下、「変更」という。)が許容されるソフトウェアリソースについて、変更を行った者が変更後のソフトウェアリソースの権利者として追加されるのが望ましい場合が有る。
 しかしながら、従来の技術では、このような場合に新たな権利者の追加が困難である。
 本発明は、上記の点に鑑みてなされたものであって、流通過程において変更されるソフトウェアリソースに対するアクセスの認可を適切に制御可能とすることを目的とする。
 そこで上記課題を解決するため、1以上のコンピュータを含む認可制御システムは、変更後のソフトウェアリソースの登録の通知に応じ、変更を行った者を、変更前の前記ソフトウェアリソースの権利者と共に前記変更後のソフトウェアリソースの権利者として記憶部に登録する登録部と、ソフトウェアリソースの利用又は編集の許諾要求に応じ、当該ソフトウェアリソースに関して前記記憶部に登録されている各権利者に対する諾否の照会を制御する照会制御部と、全ての当該権利者から許諾が得られた場合に、前記許諾要求に対して許諾を応答する応答部と、を有する。
 流通過程において変更されるソフトウェアリソースに対するアクセスの認可を適切に制御可能とすることができる。
本発明の実施の形態における全体構成例を示す図である。 本発明の実施の形態における認可制御サーバ10のハードウェア構成例を示す図である。 本発明の実施の形態における認可制御サーバ10の機能構成例を示す図である。 本実施の形態において実行される処理手順の第1の例を説明するための図である。 リソースオーナ管理DB16の構成例を示す図である。 本実施の形態において実行される処理手順の第2の例を説明するための図である。
 以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態における全体構成例を示す図である。図1には、1以上のオーナ端末40、1以上の流通先サーバ30、1以上のリソースサーバ20、及び認可制御サーバ10が示されている。図1では、便宜上、各サーバ及び各端末がネットワークを介して接続される図が示されているが、オーナ端末40は、認可制御サーバ10と通信可能であればよい。
 リソースサーバ20は、プログラムや電子データ等のソフトウェアリソース(以下、単に「リソース」という。)を管理対象として記憶する1以上のコンピュータである。プログラムや電子データの種類は所定のものに限定されない。例えば、AI(Artificial Intelligence)プログラムがリソースの一例であってもよい。また、AIプログラムの学習データがリソースの一例であってもよい。なお、本実施の形態では、その流通過程において改変又は修正(以下、「変更」という。)が許容されるリソースが好適である。
 オーナ端末40は、リソースサーバ20に記憶されているいずれかのリソースのオーナが利用する端末である。例えば、PC(Personal Computer)、タブレット端末又はスマートフォン等が、オーナ端末40として利用されてもよい。リソースのオーナとは、そのリソースの利用又は変更等に関して権利を有する者(権利者)をいう。或るリソースの利用又は変更には、当該リソースのオーナの許諾が必要とされる。なお、本実施の形態では、1つのリソースに対して複数のオーナが存在しうる。例えば、Aさんによって作成されたリソースR1を変更してBさんがリソースR1'を作成した場合、Aさん及びBさんがリソースR1'のオーナとなる。
 流通先サーバ30は、リソースの流通先となる1以上のコンピュータ又は端末である。流通先サーバ30に流通した(ダウンロードされた)リソースは、リソースの利用又は変更を行う者(以下、単に「利用者」という。)によって利用又は変更される。各利用者は、それぞれの端末を利用して、流通先サーバ30に流通したリソースにアクセスする。
 認可制御サーバ10は、流通先サーバ30に流通したリソースの利用等について認可を行う1以上のコンピュータである。具体的には、認可制御サーバ10は、利用等対象とされるリソースの各オーナに対して当該リソースの利用等についての諾否を照会する。当該各オーナによって利用等が許諾されると、認可制御サーバ10は、流通先サーバ30に対して当該リソースに対するアクセストークンを発行する。
 図2は、本発明の実施の形態における認可制御サーバ10のハードウェア構成例を示す図である。図2の認可制御サーバ10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。
 認可制御サーバ10での処理を実現するプログラムは、CD-ROM等の記録媒体101によって提供される。プログラムを記憶した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
 メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従って認可制御サーバ10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。
 なお、流通先サーバ30、各リソースサーバ20及び各オーナ端末40も、図3に示されるようなハードウェア構成を有してもよい。
 図3は、本発明の実施の形態における認可制御サーバ10の機能構成例を示す図である。図3において、認可制御サーバ10は、許諾要求受信部11、照会制御部12、遠隔検証部13、応答部14及びリソースオーナ更新部15等を有する。これら各部は、認可制御サーバ10にインストールされた1以上のプログラムが、CPU104に実行させる処理により実現される。認可制御サーバ10は、また、リソースオーナ管理DB16等のデータベース(記憶部)を利用する。リソースオーナ管理DB16は、例えば、補助記憶装置102、又は認可制御サーバ10にネットワークを介して接続可能な記憶装置等を用いて実現可能である。
 図4は、本実施の形態において実行される処理手順の第1の例を説明するための図である。図4では、或るリソースサーバ20に記憶されている(2次)AI等プログラムをユーザ(以下、「プログラムユーザ」という。)が利用する場合に実行される処理手順の一例について説明する。(2次)AI等プログラムは、2次プログラムである。すなわち、(2次)AI等プログラムは、当初、1次プログラムオーサによって作成されたAI等プログラムが、2次プログラムオーサによって編集されることによって作成されたプログラム(以下、「対象リソース」という。)である。
 ステップS101において、流通先サーバ30のセキュア領域は、プログラムユーザから対象リソースの利用要求を受信する。当該利用要求には、プログラムユーザの識別情報(以下、「要求元ID」という。)及び対象リソースの識別情報(以下、「リソースID」という。)が含まれる。なお、当該利用要求は、例えば、プログラムユーザが利用する端末から送信される。但し、流通先サーバ30が、当該端末であってもよい。なお、セキュア領域とは、例えば、SGX(Intel(登録商標) Software Guard Extensions)等、TEE(Trusted Execution Environment)の一種である。セキュア領域は、「改ざんできないEnclaveの存在」と、「利用者とEnclaveのE2Eセキュアチャネルの確立(クラウド管理者がMitM攻撃できないこと)(cf.Remote Attestation)」と、「秘密鍵が抜けないセキュアなモジュールがEnclave内に存在」との条件を満たすこととする。
 続いて、流通先サーバ30のセキュア領域は、対象リソースの利用又は編集についての許諾要求を、対象リソースを記憶するリソースサーバ20へ送信する(S102)。当該許諾要求には、リソースID及び要求元IDが含まれる。続いて、リソースサーバ20は、当該許諾要求を認可制御サーバ10へ転送する(S103)。
 認可制御サーバ10の許諾要求受信部11によって当該許諾要求が受信されると、照会制御部12は、当該許諾要求について、対象リソースの各オーナに対する許諾の照会を制御する。具体的には、照会制御部12は、まず、リソースオーナ管理DB16を参照して、当該許諾要求に含まれるリソースIDのオーナを特定する(S104)。
 図5は、リソースオーナ管理DB16の構成例を示す図である。図5に示されるように、リソースオーナ管理DB16には、各リソースサーバ20に記憶されている各リソースのリソースIDに対応付けて、当該リソースのオーナの識別情報であるオーナIDが記憶されている。上述したように、本実施の形態では、1つのリソースに対して複数のオーナが存在しうる。したがって、1つのリソースIDに対して複数のオーナIDが対応付けられている可能性が有る。
 ステップS104では、許諾要求に含まれているリソースIDに対応付けられてリソースオーナ管理DB16に記憶されているオーナIDが特定される。ここでは、対象リソースである(2次)AI等プログラムのオーサのみならず、(1次)プログラムのオーサも対象リソースのオーナとして特定される。
 続いて、認可制御サーバ10の照会制御部12は、特定した各オーナIDに対応するオーナ端末40に対して、対象リソースの利用又は編集に関する許諾要求を送信する(S105a、S105b)。当該各オーナ端末40は、それぞれのユーザ(オーナ)に対して当該許諾要求を通知(出力)する。各オーナは、当該許諾要求を参照して、対象リソースの利用又は編集についての諾否を入力する。
 続いて、照会制御部12は、当該各オーナ端末40から諾否を含む応答を受信する(S106a、S106b)。なお、当該各オーナ端末40からの応答は非同期に受信される。
 許諾要求の送信先のいずれかのオーナ端末40からの応答が許諾しないことを示す場合、ステップS107以降は実行されない。一方、許諾要求の送信先の全てのオーナ端末40からの応答が許諾することを示す場合、認可制御サーバ10の遠隔検証部13は、Remote Attestation(遠隔動作検証機能)により、流通先サーバ30のセキュア領域の正当性(許諾要求の送信元の正当性)を検証する(S107)。
 正当性が確認された場合、ステップS108以降が実行される。ステップS108において、応答部14は、許諾を示す応答を流通先サーバ30へ送信する。当該応答には、対象リソースに対するアクセストークンであるアクセストークン(R)と、対象リソースの復号鍵に対するアクセストークンであるアクセストークン(K)とが含まれる。
 流通先サーバ30のセキュア領域は、許諾の応答が受信されたことに応じ、鍵管理サーバを兼ねる認可制御サーバ10から、アクセストークン(K)を用いて復号鍵を取得する(S109)。すなわち、流通先サーバ30のセキュア領域は、認可制御サーバ10に対して復号鍵の取得要求を送信する。当該取得要求にはアクセストークン(K)が含まれる。認可制御サーバ10の応答部14は、アクセストークン(K)の正当性が確認されれば、アクセストークン(K)に対応する復号鍵を流通先サーバ30のセキュア領域へ送信する。
 続いて、流通先サーバ30のセキュア領域は、アクセストークン(R)を用いて対象リソースをリソースサーバ20からダウンロードする(S110)。すなわち、流通先サーバ30のセキュア領域は、リソースサーバ20に対して対象リソースの取得要求を送信する。当該取得要求にはアクセストークン(R)が含まれる。リソースサーバ20は、アクセストークン(R)の正当性が確認されれば、アクセストークン(R)に対応する対象リソースを流通先サーバ30のセキュア領域へ送信する。その結果、流通先サーバ30のセキュア領域には、対象リソースが記憶される。なお、アクセストークン(R)の正当性の確認に際し、リソースサーバ20から認可制御サーバ10に対してアクセストークン(R)の正当性の検証が依頼され、認可制御サーバ10が当該検証を実行する。認可制御サーバ10は、当該検証の結果をリソースサーバ20へ送信する。
 その後、プログラムユーザから対象リソースの利用指示が入力されると(S111)、流通先サーバ30のセキュア領域は、当該利用指示に応じた処理を実行する。この際、復号鍵によって対象リソースが復号される。
 図6は、本実施の形態において実行される処理手順の第2の例を説明するための図である。図6では、(2次)AI等プログラムが、他のリソースサーバ20に記憶されている学習データ(以下、「対象リソース」という。)を用いて編集(追加学習等)されることで、(3次)AI等プログラムが作成される場合に実行される処理手順の一例について説明する。斯かる編集を指示するユーザを以下、「(3次)プログラムオーサ」という。
 ステップS201において、流通先サーバ30のセキュア領域は、(3次)プログラムオーサから(2次)AI等プログラムの編集要求を受信する。当該編集要求には、(3次)プログラムオーサの識別情報(以下、「要求元ID」という。)及び対象リソースの識別情報(以下、「リソースID」という。)が含まれる。なお、当該編集要求に応じ、又は当該編集要求の前に、(3次)プログラムオーサによる指示に応じて、図4のステップS102~S110が実行され、(2次)AI等プログラムが流通先サーバ30のセキュア領域に記憶されている。
 続いて、流通先サーバ30のセキュア領域は、対象リソースの利用又は編集についての許諾要求を、対象リソースを記憶するリソースサーバ20へ送信する(S202)。当該許諾要求には、リソースID及び要求元IDが含まれる。続いて、リソースサーバ20は、当該許諾要求を認可制御サーバ10へ転送する(S203)。
 認可制御サーバ10の許諾要求受信部11によって当該許諾要求が受信されると、照会制御部12は、当該許諾要求について、対象リソースの各オーナに対する許諾の照会を制御する。具体的には、照会制御部12は、まず、リソースオーナ管理DB16(図5)を参照して、当該許諾要求に含まれるリソースIDのオーナを特定する(S204)。ここでは、対象リソースのオーナとして、2人のデータホルダのそれぞれのオーナIDが特定されたこととする。
 続いて、認可制御サーバ10の照会制御部12は、特定した各オーナIDに対応するオーナ端末40に対して、対象リソースの利用又は編集に関する許諾要求を送信する(S205a、S205b)。当該各オーナ端末40は、それぞれのユーザ(データホルダ)に対して当該許諾要求を通知(出力)する。各データホルダは、当該許諾要求を参照して、対象リソースの利用又は編集についての諾否を入力する。
 続いて、照会制御部12は、当該各オーナ端末40から諾否を含む応答を受信する(S206a、S206b)。なお、当該各オーナ端末40からの応答は非同期に受信される。
 許諾要求の送信先のいずれかのオーナ端末40からの応答が許諾しないことを示す場合、ステップS207以降は実行されない。一方、許諾要求の送信先の全てオーナ端末40からの応答が許諾することを示す場合、認可制御サーバ10の遠隔検証部13は、Remote Attestation(遠隔動作検証機能)により、流通先サーバ30のセキュア領域の正当性(許諾要求の送信元の正当性)を検証する(例えば、PCR値を検証する)(S207)。
 正当性が確認された場合、ステップS208以降が実行される。ステップS208において、応答部14は、許諾を示す応答を流通先サーバ30へ送信する。当該応答には、対象リソースに対するアクセストークンであるアクセストークン(R)と、対象リソースの復号鍵に対するアクセストークンであるアクセストークン(K)とが含まれる。
 流通先サーバ30のセキュア領域は、許諾の応答が受信されたことに応じ、鍵管理サーバを兼ねる認可制御サーバ10から、アクセストークン(K)を用いて復号鍵を取得する(S209)。すなわち、流通先サーバ30のセキュア領域は、認可制御サーバ10に対して復号鍵の取得要求を送信する。当該取得要求にはアクセストークン(K)が含まれる。認可制御サーバ10の応答部14は、アクセストークン(K)の正当性が確認されれば、アクセストークン(K)に対応する復号鍵を流通先サーバ30のセキュア領域へ送信する。
 続いて、流通先サーバ30のセキュア領域は、アクセストークン(R)を用いて対象リソースをリソースサーバ20からダウンロードする(S210)。すなわち、流通先サーバ30のセキュア領域は、リソースサーバ20に対して対象リソースの取得要求を送信する。当該取得要求にはアクセストークン(R)が含まれる。リソースサーバ20は、アクセストークン(R)の正当性が確認されれば、アクセストークン(R)に対応する対象リソースを流通先サーバ30のセキュア領域へ送信する。その結果、流通先サーバ30のセキュア領域には、対象リソースが暗号化された状態で記憶される。
 その後、(3次)プログラムオーサから(2次)AI等プログラムの編集(対象リソースを用いた再学習)の実行指示が入力されると(S211)、流通先サーバ30のセキュア領域は、当該編集指示に応じた処理を実行することで、(3次)AI等プログラムを生成する(S212)。
 続いて、流通先サーバ30のセキュア領域は、(3次)AI等プログラムと、(2次)AI等プログラムのリソースIDと、(3次)プログラムオーサの要求元IDとをいずれかのリソースサーバ20へアップロードする(S213)。当該リソースサーバ20は、(3次)AI等プログラムを管理対象として記憶する。なお、アップロード前に、対象リソースはセキュア領域で暗号化され、復号鍵は認可制御サーバ10で管理される。なお、当該リソースサーバ20は、(2次)AI等プログラムを記憶しているリソースサーバ20と同じでもよいし、異なってもよい。
 続いて、リソースサーバ20は、(3次)AI等プログラムの登録の通知を認可制御サーバ10へ送信する(S214)。当該登録通知には、(2次)AI等プログラムのリソースIDと、(3次)AI等プログラムのリソースIDと、(3次)AI等プログラムオーサの要求元IDとが含まれる。認可制御サーバ10のリソースオーナ更新部15は、当該登録通知を受信すると、リソースオーナ管理DB16を更新する(S215)。具体的には、リソースオーナ更新部15は、当該登録通知に含まれている、(2次)AI等プログラムのリソースIDに対応付けられてリソースオーナ管理DB16に記憶されているオーナIDを特定する。リソースオーナ更新部15は、当該登録通知に含まれている(3次)AI等プログラムのリソースIDを、特定したオーナIDと、当該登録通知に含まれている(3次)プログラムオーサの要求元IDとに対応付けてリソースオーナ管理DB16に登録する。すなわち、(2次)AI等プログラムのオーナ群と(3次)プログラムオーサとが、(3次)AI等プログラムのオーナとしてリソースオーナ管理DB16に登録される。
 なお、対象リソースの利用や編集の終了後において、流通先サーバ30のセキュア領域上から、対象リソース及び復号鍵が削除される。
 上述したように、本実施の形態によれば、或るリソースについて、リソースオーナ全員の許諾が得られた場合に、当該リソースに対するアクセス(利用又は編集等)が認可される。また、変更後のリソースについては、変更前のリソースのオーナに加え、変更を行った者もオーナに追加される。したがって、流通過程において変更されるソフトウェアリソースに対するアクセスの認可を適切に制御可能とすることができる。すなわち、リソースの流通後にリソースオーナが非同期的に追加/変更されるケースに対応した認可制御が可能になる。
 また、流通先サーバ30においては、セキュア領域においてリソースがアクセスされる。したがって、リソースの流通後やリソースの変更後でもクライアント上における遠隔の認可制御を可能とすることができる。
 なお、本実施の形態において、認可制御サーバ10は、認可制御システム及び認可制御装置の一例である。リソースオーナ更新部15は、登録部の一例である。遠隔検証部13は、検証部の一例である。
 以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
10     認可制御サーバ
11     許諾要求受信部
12     照会制御部
13     遠隔検証部
14     応答部
15     リソースオーナ更新部
16     リソースオーナ管理DB
20     リソースサーバ
30     流通先サーバ
40     オーナ端末
100    ドライブ装置
101    記録媒体
102    補助記憶装置
103    メモリ装置
104    CPU
105    インタフェース装置
B      バス

Claims (7)

  1.  1以上のコンピュータを含む認可制御システムであって、
     変更後のソフトウェアリソースの登録の通知に応じ、変更を行った者を、変更前の前記ソフトウェアリソースの権利者と共に前記変更後のソフトウェアリソースの権利者として記憶部に登録する登録部と、
     ソフトウェアリソースの利用又は編集の許諾要求に応じ、当該ソフトウェアリソースに関して前記記憶部に登録されている各権利者に対する諾否の照会を制御する照会制御部と、
     全ての当該権利者から許諾が得られた場合に、前記許諾要求に対して許諾を応答する応答部と、
    を有することを特徴とする認可制御システム。
  2.  前記許諾要求の送信元の装置のセキュア領域を遠隔検証する検証部を有し、
     前記応答部は、前記遠隔検証によって前記セキュア領域の正当性が確認された場合に、前記許諾を応答する、
    ことを特徴とする請求項1記載の認可制御システム。
  3.  変更後のソフトウェアリソースの登録の通知に応じ、変更を行った者を、変更前の前記ソフトウェアリソースの権利者と共に前記変更後のソフトウェアリソースの権利者として記憶部に登録する登録部と、
     ソフトウェアリソースの利用又は編集の許諾要求に応じ、当該ソフトウェアリソースに関して前記記憶部に登録されている各権利者に対する諾否の照会を制御する照会制御部と、
     全ての当該権利者から許諾が得られた場合に、前記許諾要求に対して許諾を応答する応答部と、
    を有することを特徴とする認可制御装置。
  4.  前記許諾要求の送信元の装置のセキュア領域を遠隔検証する検証部を有し、
     前記応答部は、前記遠隔検証によって前記セキュア領域の正当性が確認された場合に、前記許諾を応答する、
    ことを特徴とする請求項3記載の認可制御装置。
  5.  変更後のソフトウェアリソースの登録の通知に応じ、変更を行った者を、変更前の前記ソフトウェアリソースの権利者と共に前記変更後のソフトウェアリソースの権利者として記憶部に登録する登録手順と、
     ソフトウェアリソースの利用又は編集の許諾要求に応じ、当該ソフトウェアリソースに関して前記記憶部に登録されている各権利者に対する諾否の照会を制御する照会制御手順と、
     全ての当該権利者から許諾が得られた場合に、前記許諾要求に対して許諾を応答する応答手順と、
    をコンピュータが実行することを特徴とする認可制御方法。
  6.  前記許諾要求の送信元の装置のセキュア領域を遠隔検証する検証部を有し、
     前記応答手順は、前記遠隔検証によって前記セキュア領域の正当性が確認された場合に、前記許諾を応答する、
    ことを特徴とする請求項5記載の認可制御方法。
  7.  請求項5又は6記載の認可制御方法をコンピュータに実行させることを特徴とするプログラム。
PCT/JP2020/041059 2020-11-02 2020-11-02 認可制御システム、認可制御装置、認可制御方法及びプログラム WO2022091409A1 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2022558806A JP7505575B2 (ja) 2020-11-02 認可制御システム、認可制御装置、認可制御方法及びプログラム
US18/248,078 US20230367852A1 (en) 2020-11-02 2020-11-02 Authentication-control system, authentication-control apparatus, authentication-control method and program
PCT/JP2020/041059 WO2022091409A1 (ja) 2020-11-02 2020-11-02 認可制御システム、認可制御装置、認可制御方法及びプログラム
EP20959924.0A EP4239503A4 (en) 2020-11-02 2020-11-02 APPROVAL CONTROL SYSTEM, APPROVAL CONTROL DEVICE, APPROVAL CONTROL METHOD, AND PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/041059 WO2022091409A1 (ja) 2020-11-02 2020-11-02 認可制御システム、認可制御装置、認可制御方法及びプログラム

Publications (1)

Publication Number Publication Date
WO2022091409A1 true WO2022091409A1 (ja) 2022-05-05

Family

ID=81382193

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2020/041059 WO2022091409A1 (ja) 2020-11-02 2020-11-02 認可制御システム、認可制御装置、認可制御方法及びプログラム

Country Status (3)

Country Link
US (1) US20230367852A1 (ja)
EP (1) EP4239503A4 (ja)
WO (1) WO2022091409A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001290780A (ja) * 2000-04-04 2001-10-19 Canon Inc デジタルコンテンツ流通管理センタ、デジタルコンテンツ利用者端末、デジタルコンテンツ流通システム、デジタルコンテンツ管理方法、デジタルコンテンツ利用方法及び記憶媒体
JP2006018753A (ja) * 2004-07-05 2006-01-19 Toshiba Corp デジタルコンテンツ権利生成装置、デジタルコンテンツ権利生成方法およびデジタルコンテンツ権利生成プログラム
JP2017004122A (ja) * 2015-06-05 2017-01-05 キヤノン株式会社 情報処理装置、情報処理方法およびコンピュータプログラム
WO2020145163A1 (ja) 2019-01-11 2020-07-16 日本電信電話株式会社 サービス提供システム、サービス提供装置、サービス提供方法、及びプログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8806595B2 (en) * 2012-07-25 2014-08-12 Oracle International Corporation System and method of securing sharing of resources which require consent of multiple resource owners using group URI's
US9779257B2 (en) * 2012-12-19 2017-10-03 Microsoft Technology Licensing, Llc Orchestrated interaction in access control evaluation
US10922401B2 (en) * 2018-04-18 2021-02-16 Pivotal Software, Inc. Delegated authorization with multi-factor authentication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001290780A (ja) * 2000-04-04 2001-10-19 Canon Inc デジタルコンテンツ流通管理センタ、デジタルコンテンツ利用者端末、デジタルコンテンツ流通システム、デジタルコンテンツ管理方法、デジタルコンテンツ利用方法及び記憶媒体
JP2006018753A (ja) * 2004-07-05 2006-01-19 Toshiba Corp デジタルコンテンツ権利生成装置、デジタルコンテンツ権利生成方法およびデジタルコンテンツ権利生成プログラム
JP2017004122A (ja) * 2015-06-05 2017-01-05 キヤノン株式会社 情報処理装置、情報処理方法およびコンピュータプログラム
WO2020145163A1 (ja) 2019-01-11 2020-07-16 日本電信電話株式会社 サービス提供システム、サービス提供装置、サービス提供方法、及びプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP4239503A4

Also Published As

Publication number Publication date
US20230367852A1 (en) 2023-11-16
JPWO2022091409A1 (ja) 2022-05-05
EP4239503A4 (en) 2024-04-10
EP4239503A1 (en) 2023-09-06

Similar Documents

Publication Publication Date Title
AU2019236667B2 (en) System and method for decentralized identity management, authentication and authorization of applications
US10263855B2 (en) Authenticating connections and program identity in a messaging system
US9419962B2 (en) Method and apparatus for sharing server resources using a local group
US8015594B2 (en) Techniques for validating public keys using AAA services
RU2406116C2 (ru) Миграция цифровой лицензии с первой платформы на вторую платформу
US20130167253A1 (en) Method and apparatus for providing cloud-based digital rights management service and system thereof
US10589719B1 (en) Method for managing digital key of mobile device for vehicle-sharing and key server using the same
US8621036B1 (en) Secure file access using a file access server
JP2003233589A (ja) 複数のユーザ間で個人用機器を安全に共有する方法
KR101401794B1 (ko) 데이터 공유 제공 방법 및 장치
US8972726B1 (en) System and method for digital rights management using a secure end-to-end protocol with embedded encryption keys
JP2007257405A (ja) 文書管理装置、文書管理方法、記憶媒体、プログラム
US20180285172A1 (en) Data exchange between applications
JP2001265694A (ja) 通信チャンネル設定の支援方法及びその具現のためのコンピューターで読出できる記録媒体
US11258601B1 (en) Systems and methods for distributed digital rights management with decentralized key management
CN116760639B (zh) 一种用于多租户的数据安全隔离与共享框架实现方法
US20220150323A1 (en) User profile distribution and deployment systems and methods
US7661125B2 (en) System for providing and utilizing a network trusted context
JPWO2016143027A1 (ja) 情報処理装置、機器連携認証プログラム及び機器連携認証方法
KR101324476B1 (ko) 클라우드 이-디알엠 시스템 및 그 서비스 방법
US20230171311A1 (en) Systems and methods for data distribution using a publication subscriber model with a federation of trusted data distribution networks
WO2022091409A1 (ja) 認可制御システム、認可制御装置、認可制御方法及びプログラム
JP7505575B2 (ja) 認可制御システム、認可制御装置、認可制御方法及びプログラム
KR102019507B1 (ko) 브라우저 인증서 서비스 방법 및 그 시스템
US20090327725A1 (en) Content object management method, right object providing method, content object revocation method based thereon, and device using the same

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20959924

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2022558806

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2020959924

Country of ref document: EP

Effective date: 20230602