JP2004341897A - 属性証明情報生成装置、属性証明情報要求装置、属性証明情報発行システム、属性認証システム - Google Patents
属性証明情報生成装置、属性証明情報要求装置、属性証明情報発行システム、属性認証システム Download PDFInfo
- Publication number
- JP2004341897A JP2004341897A JP2003138708A JP2003138708A JP2004341897A JP 2004341897 A JP2004341897 A JP 2004341897A JP 2003138708 A JP2003138708 A JP 2003138708A JP 2003138708 A JP2003138708 A JP 2003138708A JP 2004341897 A JP2004341897 A JP 2004341897A
- Authority
- JP
- Japan
- Prior art keywords
- attribute
- information
- proof
- request
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】アクセス制御の判断やサービスの選択に必要となる多数で多様な属性の取得、認証を可能としつつ、かつ、これにかかる処理のコストや処理の複雑化を小さくする。
【解決手段】属性証明情報要求装置2は、該属性証明情報要求装置2の利用者あるいは他の装置からの指示により、属性証明情報管理部にて管理される属性証明情報から1ないし複数を選択し、該選択した属性証明情報を含む属性証明情報生成要求を生成し、属性証明情報生成装置1に通信ネットワーク3を介して送信する。該属性証明情報生成要求を受信した属性証明情報生成装置1は、属性証明情報生成要求の正当性を判定し、正当性が確認された場合にのみ、該属性証明情報生成要求に基づき属性証明情報を生成して属性証明情報要求装置2に返信する。属性証明情報を受信した属性証明情報要求装置2は該属性証明情報を属性証明情報管理部に格納して処理を終了する。
【選択図】 図1
【解決手段】属性証明情報要求装置2は、該属性証明情報要求装置2の利用者あるいは他の装置からの指示により、属性証明情報管理部にて管理される属性証明情報から1ないし複数を選択し、該選択した属性証明情報を含む属性証明情報生成要求を生成し、属性証明情報生成装置1に通信ネットワーク3を介して送信する。該属性証明情報生成要求を受信した属性証明情報生成装置1は、属性証明情報生成要求の正当性を判定し、正当性が確認された場合にのみ、該属性証明情報生成要求に基づき属性証明情報を生成して属性証明情報要求装置2に返信する。属性証明情報を受信した属性証明情報要求装置2は該属性証明情報を属性証明情報管理部に格納して処理を終了する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、アクセス者の資格や所属、権限、行動履歴などの属性を元にアクセス制御やパーソナライゼーションを行うシステムを構成するための要素技術である属性認証技術、特に、人や組織、端末、機器、装置などのエンティティが有する属性を電子的に証明する属性証明情報の生成、取得、および認証の技術に関する。
【0002】
【従来の技術】
インターネットの普及・発展に伴い、情報システムで管理されるリソースやその利用者が増加かつ多様化し、そのため、権限の無い利用者によるアクセスからリソースを保護するアクセス制御機構、あるいは、アクセス者にとって最も的確なリソースを選択的に提供するパーソナライゼーション機構に対する要求が高まってきている。これらの機構において、アクセスしたエンティティの資格や所属、権限、行動履歴などの属性を材料としてアクセス可否の判断や提供するサービスの選択・生成を行うというアプローチは、システム管理上のコストが低減される、あるいは、的確で木目の細かい判断が可能であるなどとして、多くの情報システムで採用されつつある。もし仮に、そのような判断あるいは選択・生成の材料とする属性にうそや誤りがあれば、判断あるいは選択・生成に誤りが生じ、結果として重要なリソースの流出・消失あるいは不適切なサービスの提供といった危機的な事態を発生させうる。よって、アクセスしたエンティティの属性を材料としたアクセス制御やパーソナライゼーションを行う際には、アクセスしたエンティティの属性を安全、確実に取得する必要がある。
【0003】
属性証明情報は、人や組織、端末、機器、装置などのエンティティが資格や所属、権限、行動履歴などの属性を有することを当該属性に関して証明する権限を持つ証明者が証明することを示す情報であり、1ないし複数の属性情報とその所有者を認証する際の検証情報である属性所有者検証情報などからなる証明対象情報に対して、当該属性を証明する権限を持つ証明者である第三のエンティティしか生成できない属性証明者認証情報が付加された形態を取る。具体的な構成例としては、ISO、ITU−T、IETFなどの標準化団体にて標準化されている属性証明書(Attribute Certificate)あるいは、業界団体であるOASISが規定するSAML(Security Assertion Markup Language)などがある。例えば、X.509あるいはRFC3281などで規定されている属性証明書では、前記属性所有者検証情報としてX.509あるいはRFC3280などで規定されている公開鍵証明書の識別情報を属性証明者認証情報として、証明者が証明対象情報に対して証明者が有する秘密鍵によって生成したデジタル署名を採用している。
【0004】
あるエンティティの有するある属性を確認する際には、当該属性に対応する属性証明情報を用いた属性認証が行われる。属性認証は「利用する属性証明情報の正当性の確認」と、「該エンティティが該属性証明情報の所有者であることの確認」とから成る。属性証明情報の正当性の確認は、該属性証明情報が示す属性を証明する権限を持つ証明者に対応する属性証明情報検証情報を検証情報とし、該属性証明情報に含まれる属性証明者認証情報を認証情報として、該属性証明情報の認証を行い、該属性証明情報が権限を持つ証明者によって真に生成されたものであることを確認することによって行われる。該エンティティが該属性証明情報の所有者であることの確認は、該属性証明情報に含まれる属性所有者検証情報を検証情報として該エンティティの認証を行うことによって行われる。例えば、前記属性証明書による属性認証は、属性証明情報検証情報として属性を証明する権限を持つ証明者の公開鍵証明書を取得し、該属性証明情報に含まれる属性証明者認証情報すなわちデジタル署名を該公開鍵証明書により検証して該属性証明情報の生成者を認証する。また、該エンティティが該属性証明情報の所有者であることの確認は、該エンティティを該属性証明情報に含まれる識別情報によって特定し取得した公開鍵証明書を用いて認証することによって行われる。さらに、該属性証明情報の有効性を、無効化された属性証明情報が掲載された無効化リストを用いて、あるいは属性証明情報の有効性情報を提供する検証局に問い合わせて確認する場合もある。これらのステップを経ることにより、エンティティの有する属性を安全、確実に取得することができる。
【0005】
【非特許文献1】
Recommendation X.509“The Directory:Public−key and Attribute Certificate Frameworks”,ITU−T,2000年3月
【非特許文献2】
Request for Comments 3281“An Interenet Attribute Certificate Profile for Authorization”The Internet Society,2002年4月
【0006】
【発明が解決しようとする課題】
前記の通り、属性証明情報を用いて属性認証を行うには、属性証明情報ごとに「利用する属性証明情報の正当性の確認」ステップと、「該エンティティが該属性証明情報の所有者であることの確認」ステップが必要であり、これらの処理は多くの場合、処理のコストが比較的高い暗号技術やデジタル署名技術によって実現されている。取得すべき属性の種類や数、すなわち、認証すべき属性証明情報が少数である場合は上記の方法でも特段の不便は無いが、その数が多くなった場合には、属性証明情報の数とほぼ比例して増大する前記処理のコストが大きな負担となる。また、多くの属性証明情報から多くの属性を得ることは、アクセス制御の判断やサービスの選択をより木目細かく行える反面、その判断や選択の結果を得る際のロジック、手順の複雑化を招くこととなる。
【0007】
本発明の目的は、かかる問題点に鑑み、アクセス制御の判断やサービスの選択に必要となる多数で多様な属性の取得、認証を可能としつつ、かつ、これにかかる処理のコストや処理の複雑化を小さくし、これにより、属性を用いた高度なアクセス制御機構あるいはパーソナライゼーション機構を提供することにある。
【0008】
【課題を解決するための手段】
本発明の属性証明情報生成装置は、
エンティティが所有する属性を証明する情報であって、属性を表す1ないし複数の属性情報と該属性証明情報の所有者を認証する際の検証情報である属性所有者検証情報とを含む証明対象情報と、該属性証明情報が正当な権限を有する証明者によって生成されたものか認証する際の認証情報である属性証明者認証情報とからなる属性証明情報を生成する属性証明情報生成装置であって、
1ないし複数の属性証明情報あるいは1ないし複数の属性証明情報の識別情報と属性所有者検証情報あるいは属性所有者検証情報の識別情報とを含む属性証明情報生成要求を受信する生成要求受信手段と、
生成要求受信手段で受信された属性証明情報生成要求を入力し、該属性証明情報生成要求の正当性を検証、判定し、その判定結果を出力する生成要求検証手段と、
属性証明情報生成要求を入力すると、該属性証明情報生成要求に対応する、1ないし複数の属性情報から別の1ないし複数の属性情報を生成する規則を定める属性情報合成規則を取得し、出力する属性情報合成規則取得手段と、
属性証明情報生成要求と属性情報合成規則とを入力すると、該属性情報合成規則に従い、該属性証明情報生成要求に含まれるあるいは該属性証明情報生成要求に含まれる1ないし複数の属性証明情報の識別情報によって特定される1ないし複数の属性証明情報に含まれる第1の1ないし複数の属性情報から、別の1ないし複数の属性情報を生成し、出力する属性情報合成手段と、
属性証明情報生成要求を入力すると、該属性証明情報生成要求に含まれるあるいは該属性証明情報生成要求に含まれる属性所有者検証情報の識別情報によって特定される属性所有者検証情報を取得し、出力する属性所有者検証情報取得手段と、
属性情報と属性所有者検証情報とを入力すると、該属性情報と該属性所有者検証情報とを含む証明対象情報を生成し、該証明対象情報から属性証明者認証情報を生成し、該証明対象情報と該属性証明者認証情報とからなる属性証明情報を生成し、出力する属性証明情報生成手段と、
属性証明情報を送信する生成結果送信手段を有する。
【0009】
属性証明情報生成要求が正当であると生成要求検証手段によって判定された場合には、該属性証明情報生成要求と該属性証明情報生成要求を属性情報合成規則取得手段に入力して取得された属性情報合成規則とを属性情報合成手段に入力して1ないし複数の属性情報を取得する。該属性証明情報生成要求を属性所有者検証情報取得手段に入力して属性所有者検証情報を取得し、該取得された1ないし複数の属性情報と該取得された属性所有者検証情報とを属性情報合成手段に入力して属性証明情報を生成し、該属性証明情報を生成結果送信手段から送信する。
該属性証明情報生成要求が正当ではないと判定された場合には、該属性証明情報生成要求が受理不可能であることを示す情報を生成結果送信手段から送信する。
【0010】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0011】
[第1の実施形態]
図1を参照すると、本発明の第1の実施形態の属性証明情報発行システムは、属性証明情報の発行を要求する1つ以上の属性証明情報要求装置2と、該要求に対し属性証明情報を発行し、要求元に送信する属性証明情報生成装置1と、これらを互いに接続するネットワーク3で構成されている。
【0012】
本実施形態では、相手エンティティの認証およびメッセージの認証を行う認証技術として公開鍵暗号に基づくデジタル署名を用いているが、他の認証技術を用いることも可能である。
【0013】
図3は本実施形態で用いる属性証明情報の構成を示している。属性証明情報100は、資格や所属、権限、行動履歴などの属性を表す1ないし複数の属性情報103と属性証明情報100の所有者を認証する際の検証情報であって、署名の検証に用いられる検証鍵である属性所有者検証情報104とを少なくとも含む証明対象情報101と、証明対象情報101に対応し、該属性証明情報100が正当な権限を有する証明者によって生成されたものか認証する際の認証情報である属性証明者認証情報102とから構成される。属性情報103は、図4に示すように、属性の種別を表わす属性種別情報111と、属性の値を示す属性値情報112との組で構成される。
【0014】
図5は本実施形態で用いる属性証明情報生成要求の構成を示している。属性証明情報生成要求200は、属性証明情報生成装置1が該属性証明情報生成要求200に応じて属性証明情報を生成する際の情報源となる1ないし複数の属性証明情報203と、属性証明情報生成装置1が属性証明情報生成要求200に応じて生成する属性証明情報の所有者に対応する属性所有者検証情報を指定する情報であって、属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203の内の1つを指定する属性所有者検証情報識別情報206と、属性証明情報生成要求200に適用されるべき属性情報合成規則を識別する情報である属性情報合成規則識別情報207とから構成される。属性証明情報203は図3に示す属性証明情報100と同様の構成をとる。
【0015】
ここで、属性証明情報生成要求200を、図6に示すように、属性証明情報203の代わりに属性証明情報を識別する属性証明情報識別情報205を含むように構成してもよい。属性証明情報識別情報205は、例えば、対応する属性証明情報203が保存、管理されており、かつ、属性証明情報生成装置1と通信可能な属性証明情報管理装置のIPアドレスあるいはホストネームなどの識別情報と、対応する属性証明情報203の該属性証明情報管理装置における識別子あるいは名称と、の組で構成することなどが可能である。このように構成された属性証明情報生成要求200を受信した場合、属性証明情報生成装置1は、該属性証明情報生成要求200に含まれる属性証明情報識別情報200によって指し示される属性証明情報203を属性証明情報管理装置から取得し、これを属性証明情報生成要求200に直接含められていた場合と同様にして扱う。
【0016】
図2は本実施形態における属性証明情報生成装置1の構成を示している。属性証明情報生成装置1は生成要求受信部10と生成結果送信部11と生成要求検証部12と属性情報合成規則取得部13と属性情報合成部14と属性所有者検証情報取得部15と属性証明情報生成部16と属性情報合成規則管理部17と属性証明者秘密情報管理部18と属性証明情報検証情報管理部19とから構成される。
【0017】
生成要求受信部10は、属性証明情報要求装置2から属性証明情報生成要求200を受信する。
【0018】
属性情報合成規則管理部17は1ないし複数の属性情報103から別の1ないし複数の属性情報103を生成する規則を定める情報である属性情報合成規則27を1ないし複数管理する。本実施形態で用いる属性情報合成規則27の詳細については具体例を元に後述する。
【0019】
属性証明者秘密情報管理部18は属性証明情報生成装置1もしくはその管理者に対応する署名鍵である属性証明者秘密情報28を秘密裏に管理する。
【0020】
属性証明情報検証情報管理部19は、属性証明情報100が正当な権限を有する証明者によって生成されたものか認証する際の検証情報であって、証明者が秘密裏に保持する署名鍵に対応する検証鍵である属性証明情報検証情報29を1ないし複数管理する。
【0021】
生成要求検証部12は、生成要求受信部10にて受信された属性証明情報生成要求200に含まれる1ないし複数の属性証明情報それぞれについて、該属性証明情報に対応する属性証明情報検証情報29を属性証明情報検証情報管理部19から取得し、属性証明情報100に含まれる属性証明者認証情報102を証明対象情報101に対するデジタル署名データとみなし、該取得した属性証明情報検証情報29を検証鍵として、属性証明情報100のメッセージ認証を行うことにより、属性証明情報100が、該取得した属性証明情報検証情報29に対応する証明者により生成されたものかを判定し、該判定の結果がすべて合格であった場合にのみ、受信した属性証明情報生成要求200が正当であると判定し、その他の場合には該属性証明情報生成要求200は正当ではないと判定する。ここで、生成要求検証部12を、上記判定内容に加えて、属性証明情報生成要求200に含まれる属性証明情報203の属性所有者検証情報104がすべて同一である場合にのみ属性証明情報生成要求200が正当であると判定する手段とすることも可能である。この場合、属性証明情報生成装置1は、その所有者が同一であるような属性証明情報203のみを新たに生成する属性証明情報の情報源として受け付けることを意味する。また、生成要求検証部12を、上記判定内容に加えて、属性証明情報生成要求200に含まれる属性証明情報203それぞれについて、該属性証明情報203が失効されていない有効な状態にあるものかを判定し、該判定の結果が全て合格であった場合にのみ属性証明情報生成要求200が正当であると判定する手段とすることも可能である。この場合、属性証明情報生成装置1は、その時点で失効されていない属性証明情報203のみを新たに生成する属性証明情報の情報源として受け付けることを意味する。なお、属性証明情報203が有効な状態にあるか否かの確認は、属性証明情報203を生成した属性証明者が配布する、無効化された属性証明情報203が掲載された無効化リストを取得して確認する、あるいは属性証明情報203の有効性情報を提供する検証局に問い合わせて確認するといった方法によって実現することができる。
【0022】
属性情報合成規則取得部13は、属性情報合成規則管理部17から、受信された属性証明情報生成要求200に含まれる属性情報合成規則識別情報207によって指し示される属性情報合成規則27を取得する。
【0023】
ここで、属性証明情報生成要求200を、図7に示すように、属性情報合成規則識別情報207の代わりに属性情報合成規則208を含むように構成してもよい。このように構成された属性証明情報生成要求200を受信した場合、属性情報合成規則取得部13は、生成要求受信部10にて受信された属性証明情報生成要求200から直接、属性情報合成規則208を取得し、これを属性情報合成規則管理部17から属性情報合成規則27を取得した場合と同様にして扱う。なお、属性証明情報生成要求200をこのような構成に限定した場合、属性証明情報生成装置1の構成から属性情報合成規則管理部17を省略することが可能である。
【0024】
属性情報合成部14は、属性情報合成規則取得部13にて取得された属性情報合成規則27に従い、生成要求受信部10にて受信した属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203に含まれる1ないし複数の属性情報103から、別の1ないし複数の属性情報103を生成する。本実施形態で用いる属性情報合成規則27と該規則に基づく属性情報合成部14の動作の詳細については具体例を元に後述する。
【0025】
属性所有者検証情報取得部15は、生成要求受信部10にて受信された属性証明情報生成要求200に含まれる属性所有者検証情報識別情報206を取得し、該属性所有者検証情報識別情報206に対応する属性証明情報203を該属性証明情報生成要求200から取得し、取得した属性証明情報203に含まれる属性所有者検証情報104を取得する。
【0026】
ここで、属性証明情報生成要求200を、図8に示すように、属性所有者検証情報識別情報206の代わりに属性所有者検証情報204を含むように構成してもよい。このように構成された属性証明情報生成要求200を受信した場合、属性所有者検証情報取得部15は、生成要求受信部10にて受信された属性証明情報生成要求200から直接、属性所有者検証情報204を取得し、利用する。
【0027】
属性証明情報生成部16は、属性情報合成部14にて生成された1ないし複数の属性情報103と属性所有者検証情報取得部15にて取得された属性所有者検証情報104とを含む証明対象情報101を生成し、該証明対象情報101に対する属性証明者秘密情報28によるデジタル署名を生成し、該証明対象情報101と該デジタル署名、すなわち属性証明者認証情報102とからなる属性証明情報100を生成する。
【0028】
ここで、属性証明情報生成部16が生成する証明対象情報101に、生成要求受信部10にて受信された属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203それぞれの識別情報を含めるように属性証明情報生成部16を構成することも可能である。この場合、属性証明情報生成装置1によって新たに生成された属性証明情報100の認証者は、該属性証明情報100に含まれる、属性証明情報の識別情報を元に該属性証明情報100の情報源となった属性証明情報100を取得し、確認することができる。また、属性証明情報生成部16が生成する証明対象情報101に、生成要求受信部10にて受信された属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203それぞれの生成者の識別情報を含めるように属性証明情報生成部16を構成することも可能である。この場合、属性証明情報生成装置1によって新たに生成された属性証明情報100の認証者は、該属性証明情報100に含まれる、属性証明情報の生成者の識別情報を元に該属性証明情報100の情報源となった属性証明情報の証明者を確認することができる。また、属性証明情報生成部16が生成する証明対象情報101に、該証明対象情報101の有効期限を含めるように属性証明情報生成部16を構成することも可能である。さらに、属性証明情報生成部16が生成する証明対象情報101に、生成要求受信部10にて受信された属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203それぞれから取り出した有効期限のうち最も早く訪れる有効期限を、該対象情報の有効期限として含めるように属性証明情報生成部16を構成することも可能である。
【0029】
生成結果送信部11は、属性証明情報生成部16にて生成された属性証明情報100を属性証明情報生成要求200の送信元である属性証明情報要求装置2に返信する。
【0030】
図9は属性証明情報要求装置2の構成を示している。属性証明情報要求装置2は、生成要求送信部30と生成結果受信部31と生成要求生成部32と属性証明情報管理部33と属性所有者秘密情報管理部34と生成要求指示部35とから構成される。
【0031】
属性証明情報管理部33は、属性証明情報203を1ないし複数管理する。属性所有者秘密情報管理部34は、属性証明情報管理部33にて管理される属性証明情報203に対応し、該属性証明情報の所有者を認証する際に用いられる署名鍵である属性所有者秘密情報210を1ないし複数管理する。生成要求指示部35は、属性証明情報の生成要求を行う指示を受け取る。生成要求生成部32は、生成要求指示部35で属性証明情報要求装置2の利用者あるいは他の関連する装置から受け取った指示に従い、属性証明情報生成装置1によって生成されるべき属性証明情報100の情報源となる1ないし複数の属性証明情報203を属性証明情報管理部33から取得し、属性証明情報生成装置1によって適用されるべき属性情報合成規則27に対応する属性情報合成規則識別情報207を特定し、属性証明情報生成装置1によって生成されるべき属性証明情報100の所有者に対応する属性証明情報の識別情報を特定し、これらから属性証明情報生成要求200を生成する。生成要求送信部30は生成要求生成部32にて生成された属性証明情報生成要求200を属性証明情報生成装置1に送信する。生成結果受信部31は送信された属性証明情報生成要求200に対して属性証明情報生成装置1が生成し、返信した属性証明情報100を受信する。
【0032】
本実施形態の属性証明情報発行システムの動作は以下の通りである。属性証明情報要求装置2は、該属性証明情報要求装置2の利用者あるいは他の装置からの指示により、属性証明情報管理部33にて管理される属性証明情報203から1ないし複数を選択し、該選択した属性証明情報203を含む属性証明情報生成要求200を生成し、属性証明情報生成装置1に通信ネットワーク3を介して送信する。該属性証明情報生成要求200を受信した属性証明情報生成装置1は、属性証明情報生成要求200の正当性を判定し、正当性が確認された場合にのみ、属性証明情報生成要求200に基づき属性証明情報100を生成して属性証明情報要求装置2に返信する。該属性証明情報100を受信した属性証明情報要求装置2は該属性証明情報100を属性証明情報管理部33に格納して処理を終了する。
【0033】
次に、本実施形態における属性情報合成規則27と、該規則に基づく属性情報合成部14の動作の例を説明する。
例A.
本例における属性証明情報生成装置1の属性情報合成規則管理部17にて管理される1ないし複数の属性情報合成規則27には、選択すべき属性情報103を属性種別情報111により指定する抽出属性指定情報が1ないし複数記述されている。属性情報合成部14は、属性情報合成規則取得部13にて取得された属性情報合成規則27に記述された1ないし複数の抽出属性指定情報それぞれについて、該抽出属性指定情報を属性種別情報111として持つ属性情報103を、属性証明情報生成要求200に含まれる属性証明情報203の中から選択的に取得し、こうして取得された全ての属性情報103を出力する。
【0034】
このような属性情報合成規則27および属性情報合成部14は、複数の属性証明情報100を1つの属性証明情報に合成する際に、特定の属性情報103のみを収集して合成する必要がある場合に採用される。例えば、オンラインショッピングサービスを利用する都度発行され、利用日時、利用金額、購入商品などを属性情報として持つ、ショッピングサービス利用証を表す複数の属性証明情報から、利用日時を表す属性情報のみを抜き出し、こららを列挙した属性証明情報100を生成する際などに利用される。
例B.
本例における属性証明情報生成装置1の属性情報合成規則管理部17にて管理される1ないし複数の属性情報合成規則27には、選択すべきではない属性情報103を属性種別情報111により指定する除外属性指定情報が1ないし複数記述されている。属性情報合成部14は、属性情報合成規則取得部13にて取得された属性情報合成規則27に記述された1ないし複数の除外属性指定情報それぞれについて、該除外属性指定情報を属性種別情報111として持つ属性情報103以外の属性情報を、属性証明情報生成要求200に含まれる属性証明情報203の中から選択的に取得し、こうして取得された全ての属性情報103を出力する。
【0035】
このような属性情報合成規則27および属性情報合成部14は、1つないし複数の属性証明情報100を1つの属性証明情報に合成する際に、特定の属性情報のみを除外する必要がある場合に採用される。例えば、住所や氏名、会員種別などを属性情報として持つオンラインショッピングの会員証を表す属性証明情報から、住所や氏名などの個人情報を伏せて、会員種別を表す属性情報だけを揚載し、証明する属性証明情報を生成する際などに利用される。
例C.
本例における属性証明情報生成装置1の属性情報合成規則管理部17にて管理される1ないし複数の属性情報合成規則27には、合計値を算出すべき属性情報103を属性種別情報111により指定する集計対象属性指定情報と、該算出結果の属性種別情報を指定する集計後属性種別情報との組からなる属性情報集計規則が1ないし複数記述されている。属性情報合成部14は、属性情報合成規則取得部13にて取得された属性情報合成規則27に記述された1ないし複数の属性情報集計規則それぞれについて、該属性情報集計規則の集計対象属性指定情報を属性種別情報111として持つ属性情報103を、属性証明情報生成要求200に含まれる属性証明情報203の中から全て取得し、取得された属性情報103の属性値情報の合計を算出し、該計算結果を属性値情報112とし、該属性情報集計規則の集計後属性種別情報を属性種別情報111とする属性情報103を生成し、こうして生成された全ての属性情報103を出力する。
【0036】
このような属性情報合成規則27および属性情報合成部14は、数量を属性情報103として持つ複数の属性証明情報100からその数量の合計値を属性情報103として持つ1つの属性証明情報100に合成する際に採用される。例えば、オンラインショッピングサービスを利用する都度発行され、利用日時、利用金額、購入商品などを属性情報として持つレシートを表す属性証明情報から、利用金額のみを集計した、支払い合計金額を表す属性情報を掲載し、証明する属性証明情報100を生成する際などに利用される。
例D.
本例における属性証明情報生成装置1の属性情報合成規則管理部17にて管理される1ないし複数の属性情報合成規則27には、値変換すべき属性情報103を属性種別情報111により指定する変換対象属性指定情報と、該変換対象指定情報によって指定された属性情報103の属性値情報112の値に対応する値を規定した属性値変換規則と、属性値変換規則により変換された後の値の属性種別情報を指定する変換後属性種別情報との組からなる属性情報値変換規則が1ないし複数記述されている。属性情報合成部14は、属性情報合成規則取得部13にて取得された属性情報合成規則27に記述された1ないし複数の属性情報値変換規則それぞれについて、該属性情報値変換規則の変換対象属性指定情報を属性種別情報111として持つ属性情報103を、属性証明情報生成要求200に含まれる属性証明情報203の中から全て取得し、取得された属性情報103の属性値情報112を属性値変換規則に基づき変換し、変換後の値を属性値情報112とし、変換後属性種別情報を属性種別情報111とする属性情報103を生成し、こうして生成された全ての属性情報103を出力する。
【0037】
このような属性情報合成規則27および属性情報合成部14は、数量を属性情報103として持つ1つないし複数の属性証明情報100からその数量の程度を属性情報103として持つ1つの属性証明情報100を合成する際に採用される。例えば、オンラインショッピングサービスへの支払い金額を属性情報103として持つ属性証明情報100から、支払い金額に応じたゴールド、シルバー、ブロンズなどのグレードを属性情報103として持つ会員証を生成する際などに利用される。
【0038】
[第2の実施形態]
本実施形態の属性証明情報発行システムは第1の実施形態の属性証明情報発行システムと同様の構成を取るが、属性証明情報要求装置2から属性証明情報生成装置1に送信される属性証明情報生成要求200の構成と、属性証明情報要求装置2の一部の機能と、属性証明情報生成装置1の一部機能とが、第1の実施形態のそれらと異なる。
【0039】
図10は本実施形態で用いる属性証明情報生成要求200の構成を示している。本実施形態で用いる属性証明情報生成要求200は、第1の実施形態で用いた属性証明情報生成要求200の構成情報に加えて、該属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203のそれぞれの所有者による該属性証明情報生成要求200に対する同意の有無を検証する際に認証情報として用いられる属性証明情報生成要求認証情報209を含む。
【0040】
本実施形態で用いる属性証明情報要求装置2の生成要求生成部32は、第1の実施形態で用いた属性証明情報要求装置2の生成要求生成部32と異なり、送信する属性証明情報生成要求に含める1ないし複数の属性証明情報203と属性情報合成規則識別情報207と属性証明情報の識別情報207を取得、特定した後、これら情報を含む生成要求基本情報201に対するデジタル署名を属性証明情報生成要求200に含める1ないし複数の属性証明情報203にそれぞれ対応する属性所有者秘密情報208を用いて生成し、これらを属性証明情報生成要求認証情報209として属性証明情報生成要求200に含めることが特徴である。
【0041】
また、本実施形態における属性証明情報生成装置1の生成要求検証部12は、第1の実施形態で用いた生成要求検証部が実施する判定内容に加えて、属性証明情報生成要求200に対して、属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203全ての所有者による同意が有ることを、属性証明情報生成要求認証情報209に含まれる1ないし複数のデジタル署名データが生成要求基本情報201に対する正しい署名データであるか否かを、属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203に含まれる属性所有者検証情報204を検証鍵として署名検証を行って検証することが特徴である。
【0042】
このような処理を行うことにより、属性証明情報100の所有者ではない第三者が、該属性証明情報100の所有者の同意なしに、該属性証明情報100を情報源として新たな属性証明情報を生成することを防止できる。
【0043】
[第3の実施形態]
本発明の第3の実施形態として属性認証システムを説明する。
【0044】
属性認証システムは、図11に示すように、属性証明情報の所有者であって、属性認証サーバ7において自身の所持する属性についての認証を行う利用者が使用する利用者端末5と、属性証明情報を生成する属性証明情報発行サーバ6と、属性証明情報を用いて利用者の属性認証を行う属性認証サーバ7とから構成される。
【0045】
属性証明情報発行サーバ6は、図12に示すように、第1の実施形態の属性証明情報生成装置1と同様の構成をとるが、属性情報合成規則の登録あるいは削除の要求を表す属性情報合成規則更新要求を受信し、該属性情報合成規則更新要求に応じて属性情報合成規則管理部17に記憶、管理する属性情報合成規則27の追加、削除あるいは変更を行う属性情報合成規則更新部20をさらに有する点で異なる。
【0046】
属性認証サーバ7は、図13に示すように、属性証明情報発行サーバ6に管理される属性情報合成規則の追加や削除、変更を要求するメッセージである属性情報合成規則更新要求を属性証明情報発行サーバ6に送信する合成規則更新要求部50と、属性証明情報発行サーバ6に送信し、登録した1ないし複数の属性情報合成規則52を記憶しておく合成規則管理部51と、1ないし複数の属性証明情報に対応する属性認証要求を受け付ける属性認証要求受信部53と、属性証明情報発行サーバ6において属性認証可能な属性の種別を示す属性種別情報54を記憶管理する認証可能属性管理部55と、属性認証要求受信部50にて受信した属性認証要求について、該属性認証要求に対応する属性証明情報の中の属性の種別が、認証可能属性管理部55にて管理される属性種別情報54に含まれるか否かを確認することによって該属性の認証が可能か否か判定する認証可否判定部56と、認証可否判定部56において認証不可と判定された属性について、該属性の種別に対応する属性情報合成規則が、合成規則管理部51にて管理されているか否かを確認する変換可否判定部57と、変換可否判定部57にて変換可能と判断された属性について、該属性認証要求に対応する属性証明情報のうち該属性に対応する属性証明情報から新たな属性証明情報を生成することを要求するメッセージである属性証明情報生成要求を生成し、これを属性証明情報発行サーバ6に送信する変換要求送信部58と、該属性証明情報生成要求の処理結果を属性証明発行サーバ6から受信する変換結果受信部59と、属性認証要求に対応する属性証明情報および変換結果受信部59にて受信した属性証明情報に関する属性認証を行う認証部60と、認証部60における認証結果を属性認証要求の送信元である利用者端末5に返信する属性認証結果送信部61とから構成される。
【0047】
利用者端末5は、図14に示すように、利用者が有する1ないし複数の属性証明情報71を管理する属性証明情報管理部70と、利用者の所有する属性証明情報71の属性所有者検証情報に対応する署名鍵である属性所有者秘密情報73を秘密裡に管理する属性所有者秘密情報管理部72と、利用者による認証開始のトリガーを受け付ける認証要求指示部74と、認証要求指示部74で受け付けたトリガーに応じて属性認証要求を生成する認証要求生成部75と、該生成した属性認証要求を属性認証サーバ7に送信する認証要求送信部76と、該属性認証要求に対する属性認証サーバ7からの認証結果を受信する認証結果受信部77とから構成される。
【0048】
次に、図15を参照して本実施形態の属性認証システムの動作の詳細を説明する。
【0049】
まず、利用者端末5からの属性認証の要求を受信することに先立って行われる準備段階の処理について説明する。
【0050】
(ステップ301)属性認証サーバ7は予め、該属性認証サーバが認証可能な属性の種別を示す属性種別情報54を認証可能属性管理部55に記憶管理しておき、また、別の形式の属性に変換することによって認証可能となる属性については、その変換の方法に対応する属性情報合成規則の登録を要求するメッセージである属性情報合成規則更新要求を、合成規則更新要求部50を用いて属性証明情報発行サーバ6に送信するとともに、送信した属性情報合成規則を合成規則管理部52に登録し、記憶しておく。
【0051】
(ステップ302)属性証明情報発行サーバ6では、属性情報合成規則更新部20によって該属性情報合成規則更新要求を受信し、該属性情報合成規則更新要求に対応する属性情報合成規則を属性情報合成規則管理部17に記憶、管理しておく。その際、属性情報合成規則更新部20は、受信した属性情報合成規則更新要求を、属性情報合成規則の更新を要求する権限を持つ正規の属性認証サーバから送信されたものであるかを認証してもよい。その認証は、公開鍵暗号に基づくデジタル署名などに基づいて実施することが可能である。例えば、正当な属性認証サーバの有する秘密情報である署名鍵に対応する公開鍵すなわち検証鍵を予め記憶しておくとともに、属性認証サーバ7に対して属性情報合成規則更新要求を送信する際には、該属性情報合成規則更新要求に対して該署名鍵による署名を生成し、付与することを義務付けておき、属性情報合成規則更新要求を受信した際には、該記憶している公開鍵によって署名検証を行い、この検証に合格したときのみ、該属性情報合成規則更新要求を受理し、属性情報合成規則管理部17に該属性情報合成規則更新要求に含まれる属性情報合成規則を反映するといった方法で実施可能である。このように属性情報合成規則更新要求を認証することによって、不正な者による属性情報合成規則の登録を防止することが可能となる。
【0052】
次に、属性認証サーバ7が利用者端末5からの属性認証の要求に応じて、属性認証を実施する際の処理について説明する。
【0053】
(ステップ303)利用者端末5は、認証要求指示部74を通じ、該端末の利用者から属性認証の開始が指示されると、属性証明情報管理部70に管理される属性証明情報71および該属性証明情報71に対応する属性所有者秘密情報73などから、該属性証明情報71を所有することを立証するメッセージである属性認証要求を認証要求生成部75にて生成し、これを認証要求送信部76により属性認証サーバ7に送信する。属性認証要求は、証明すべき属性を含む属性証明情報71に対応する属性所有者秘密情報73によって現在時刻に対して生成したデジタル署名データと、証明すべき属性を含む属性証明情報71あるいはその識別情報からなる。属性所有者秘密情報73によって生成するデジタル署名データは、事前に属性認証サーバ7から送信された乱数データ(チャレンジ)に対して生成する方式をとってもよい。複数の属性証明情報に対応する属性認証を行う場合には、それぞれの属性証明情報に対応する属性所有者秘密情報73によるデジタル署名データを生成し、これらを全て属性認証要求に含めることで、これを認証することが可能である。
【0054】
(ステップ304)属性認証サーバ7は、属性認証要求受信部53により属性認証要求を受信すると、認証可否判定部56において、該属性認証要求に対応する属性証明情報の中の属性の種別が、認証可能属性管理部55にて管理される属性種別情報54に含まれるか否かを検証し、該属性の認証が可能か否か判定する。該属性認証要求に対応する属性証明情報の中の属性が全て認証可能であると判定された場合には、これらを用いた属性認証を行うためにステップ308に進む。そうでない場合にはステップ305に進む。
【0055】
(ステップ305)属性認証サーバ7は、認証可否判定部56において認証不可と判定された全ての属性について、変換可否判定部57において、該属性の種別に対応する属性情報合成規則が合成規則管理部51にて管理されているか否かを確認し、該属性を認証可能な属性に変換した属性証明情報を得られるかどうかを判定する。認証可否判定部56において認証不可と判定された全ての属性について、認証可能な属性に変換した属性証明情報が得られることが確認された場合には、該変換した属性証明情報を取得するためにステップ306に進む。そうでない場合には、属性認証を実施できないものと判定し、ステップ309に進む。
【0056】
(ステップ306)属性認証サーバ7は、変換可否判定部57にて認証可能な属性に変換可能と判断された全ての属性について、変換要求送信部58において、該属性に対応する属性証明情報から新たな属性証明情報を生成することを要求する属性証明情報生成要求を生成し、これを属性証明情報発行サーバ6に送信する。該属性証明情報生成要求には、必要な変換方法に対応する属性情報合成規則に対応する属性情報合成規則識別情報を含んでもよい。このように属性情報合成規則識別情報を含めることによって、変換を希望する属性に対応する属性情報合成規則が属性証明情報発行サーバ6に複数存在した場合において、属性認証サーバ7が予期していた属性情報合成規則とは異なる属性情報合成規則が採用されてしまう事態を防止できる。また、変換すべき属性や該属性に対応する属性証明情報が複数あった場合には、これらに対応する複数の属性証明情報生成要求を生成し、属性証明情報発行サーバ6に送信してもよい。
【0057】
(ステップ307)属性証明情報発行サーバ6は、生成要求受信部10により属性認証サーバ7から送信された1ないし複数の属性証明情報生成要求を受信すると、これらに応じた新たな属性証明情報の生成を先の実施形態等で記載したものと同様の方法で行い、その結果を属性認証サーバ7に返信する。新たな属性証明情報の生成において認証失敗などのエラーが生じた場合には、その旨を返信する。
【0058】
なお、属性証明情報の生成の対価として生成手数料を徴収するというビジネス上の要求がある場合には、この属性証明情報生成要求を受理する際にその送信者である属性認証サーバ7あるいは運用者に対して課金するように機能を構成してもよい。
【0059】
(ステップ308)属性認証サーバ7は、変換結果受信部59において属性証明情報発行サーバ6から受信した新たな属性証明情報あるいはステップ304において認証が可能と判定された属性に対応する属性証明情報を用いて、認証部60において属性認証要求に対する属性認証を行う。属性認証は属性証明情報に対応する属性所有者検証情報により、属性認証要求に含まれるデジタル署名データの検証を行うことによって実施される。属性認証要求に全ての属性証明情報に対応する正しいデジタル署名データが含まれている場合にのみ属性認証OKと判定する。また、属性認証要求に対応する属性証明情報のうちのいくつかについて、デジタル署名データの検証が成功した場合にも認証OKとする認証条件を別途定め、これを用いて認証結果を導出することも可能である。なお、変換結果受信部59において属性証明情報発行サーバ6から受信した変換結果が処理エラーであった場合には、該属性証明情報に関するデジタル署名の検証がNGであった場合と同じ扱いとする。認証OKの結果が得られた場合にはステップ310に、認証NGの結果が得られた場合にはステップ309に進む。
【0060】
(ステップ309)ステップ308の認証処理において認証NGと判定された場合、あるいはステップ307において変換が実施できない属性を含めた属性認証を実施できないと判定された場合には、属性認証結果送信部61から認証エラーを示すデータを利用者端末5に返信する。
【0061】
(ステップ310)ステップ308の認証処理において認証OKと判定された場合、属性認証結果送信部61から認証成功を示すデータを利用者端末5に返信する。
【0062】
[第4の実施形態]
第4の実施形態では、本発明による属性認証システムの実施形態について説明する。第3の実施形態では、属性を変換した新たな属性証明情報の合成の要求を属性認証サーバ7から送信する構成となっていたが、第4の実施形態では、属性を変換した新たな属性証明情報の合成の要求を利用者端末5から送信する構成としたものである。
【0063】
図16を参照して本実施形態における属性認証システムの動作の詳細を説明する。
【0064】
利用者端末5からの属性認証の要求を受信することに先立って行われる準備段階の処理(ステップ401とステップ402)については、第3の実施形態におけるステップ301とステップ302に同じである。
【0065】
次に、属性認証サーバ7が利用者端末5からの属性認証の要求に応じ、属性認証を実施する際の処理について説明する。
【0066】
(ステップ403)第3の実施形態におけるステップ303と同様である。
【0067】
(ステップ404)属性認証サーバ7は、属性認証要求を受信すると、第3の実施形態におけるステップ304と同様に、該属性認証要求に対応する属性証明情報に含まれる属性それぞれについて認証可能か否かを判定する。該属性認証要求に対応する属性証明情報の中の属性が全て認証可能であると判定された場合には、これらを用いた属性認証を行うためにステップ411に進む。そうでない場合にはステップ405に進む。
【0068】
(ステップ405)属性認証サーバ7は、第3の実施形態におけるステップ305と同様に、認証不可と判定された全ての属性について、該属性を認証可能な属性に変換した属性証明情報を得らるかどうかを判定する。全ての属性について認証可能な属性に変換した属性証明情報が得られることが確認された場合にはステップ406に進む。そうでない場合には、属性認証を実施できないものと判定しステップ413に進む。
【0069】
(ステップ406)属性認証サーバ7は、認証可能な属性に変換可能と判断された全ての属性について、該属性に対応する属性証明情報と、該属性証明情報から新たな属性証明情報を生成する属性情報合成規則に対応する属性情報合成規則識別情報とを含む属性再提示要求を利用者端末5に返信する。変換すべき属性や該属性に対応する属性証明情報が複数あった場合には、これらに対応する複数の属性再提示要求を生成し、送信してもよい。
【0070】
(ステップ407)属性再提示要求を受信した利用者端末5は、該属性再提示要求に含まれる属性証明情報と属性情報合成規則識別情報とに対応する属性証明情報生成要求を生成し、これを属性証明情報発行サーバ6に送信する。
【0071】
(ステップ408)属性証明情報発行サーバ6は、利用者端末5から送信された1ないし複数の属性証明情報生成要求を受信すると、これらに応じた新たな属性証明情報の生成を先の実施形態等で記載したものと同様の方法で行い、その結果を利用者端末5に返信する。新たな属性証明情報の生成において認証失敗などのエラーが生じた場合には、その旨を返信する。なお、属性証明情報の生成に対価として生成手数料を徴収するというビジネス上の要求がある場合には、この属性証明情報生成要求を受理する際にその送信者である利用者端末5あるいはその利用者に対して課金するように機能を構成してもよい。
【0072】
(ステップ409)利用者端末5は、ステップ403で生成した属性認証要求で使用した属性証明情報のうち、属性認証サーバ7から送られた属性再提示要求に含まれる属性証明情報について、該属性証明情報の代わりに属性証明情報発行サーバ6から受理した新たな属性証明情報を使用して属性認証要求を生成し直し、これを属性認証サーバ7に送信する。
【0073】
(ステップ410)属性認証サーバ7は、属性認証要求を受信すると、ステップ404と同様に、該属性認証要求に対応する属性証明情報に含まれる属性それぞれについて認証可能か否か判定する。該属性認証要求に対応する属性証明情報の中の属性が全て認証可能であると判定された場合には、これらを用いた属性認証を行うためにステップ411に進む。そうでない場合には、属性認証不可と判断し、ステップ413に進む。
【0074】
(ステップ411)属性認証サーバ7は、第3の実施形態におけるステップ306と同様にして、ステップ410で受信した属性認証要求に対する属性認証を行う。認証OKの結果が得られた場合にはステップ412に、認証NGの結果が得られた場合にはステップ413に進む。
【0075】
(ステップ412)ステップ411の認証処理において認証OKと判定された場合、認証成功を示すデータを利用者端末5に返信する。
【0076】
(ステップ413)ステップ411の認証処理において認証NGと判定された場合、あるいはステップ405において変換が実施できない属性を含むため属性認証を実施できないと判定された場合、あるいはステップ410において再度送信された属性認証要求に認証できない属性が含まれていると判定された場合、認証エラーを示すデータを利用者端末5に返信する。
【0077】
なお、以上説明した属性証明情報生成装置(属性証明情報発行サーバ)と属性証明情報要求装置、属性認証サーバの機能は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0078】
【発明の効果】
以上説明したように、本発明は下記の効果がある。
1)複数の属性証明情報に分散していた属性情報を単一の属性証明情報に合成することが可能となるため、多数の属性情報を用いて高度なアクセス制御やパーソナライゼーションを行う情報システムにおける、属性証明情報を用いた属性認証にかかる処理のコストが従前に比べて劇的に削減される。
2)有効性が確認済みの属性証明情報から属性情報を取得した属性証明情報を生成することが可能となるため、属性認証の際の属性証明情報の有効性確認処理のコストが従前に比べて劇的に削減される。
3)属性証明情報に含まれる複数の属性情報のうち、必要なものを取捨選択して掲載した属性証明情報を生成することが可能となるため、保持している属性証明情報の中に含まれる住所や氏名などといった個人情報を伏せたまま、その他の属性情報のみを証明することが可能となる。
4)属性証明情報に含まれる属性情報に対して数値演算、文字列操作などを施した属性情報を掲載した属性証明情報を生成し、利用することが可能となるため、属性認証を行う認証者は属性証明情報から、必要な処理を施した後の属性情報を取得することが可能となり、属性証明情報から属性情報を取得した後のアクセス可否の判断やパーソナライゼーションの判断の処理ロジックが従前に比べて簡素化される。
5)異なるエンティティの有する属性証明情報に分散する属性情報を所有者の同意に基づき単一の属性証明情報に合成することが可能となるため、例えば、ある装置が有する属性情報と、その装置の利用者が有する属性情報とを、単一の属性証明情報による属性認証によって取得できる。
6)属性認証サーバは属性証明情報の変換、合成の方法を属性証明情報発行サーバに登録しておき、属性認証の要求があった際に必要に応じて該属性証明情報発行サーバに直接あるいは間接的に属性証明情報の変換、合成を依頼し、適切な形式を持った属性証明情報を取得し、これを用いた属性認証を行うことが可能となるため、属性認証サーバは、利用者が属性証明情報を変換、合成することなく提示した場合においても、適切な形態に変換、合成された属性証明情報を取得し、属性認証することが可能となる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態の属性証明情報発行システムの構成を示す図である。
【図2】第1の実施形態における属性証明情報生成装置の構成を示す図である。
【図3】属性証明情報の構成例を示す図である。
【図4】属性情報の構成例を示す図である。
【図5】属性証明情報生成要求の構成例を示す図である。
【図6】属性証明情報生成要求の他構成例を示す図である。
【図7】属性証明情報生成要求の他の構成例を示す図である。
【図8】属性証明情報生成要求の他の構成例を示す図である。
【図9】第1の実施形態における属性証明情報要求装置の構成例を示す図である。
【図10】第2の実施形態における属性証明情報生成要求の構成例を示す図である。
【図11】本発明の第3の実施形態である属性認証システムの構成図である。
【図12】第3の実施形態における属性証明情報発行サーバの構成図である。
【図13】第3の実施形態における属性認証サーバの構成図である。
【図14】第3の実施形態における利用者端末の構成図である。
【図15】第3の実施形態の属性認証システムの動作を示すフローチャートである。
【図16】第4の実施形態である属性認証システムの動作を示すフローチャートである。
【符号の説明】
1 属性証明情報生成装置
2 属性証明情報要求装置
3 ネットワーク
5 利用者端末
6 属性証明情報発行サーバ
7 属性認証サーバ
10 生成要求受信部
11 生成結果送信部
12 生成要求検証部
13 属性情報合成規則取得部
14 属性情報合成部
15 属性所有者検証情報取得部
16 属性証明情報生成部
17 属性情報合成規則管理部
18 属性証明者秘密情報管理部
19 属性証明情報検証情報管理部
20 属性情報合成規則更新部
27 属性情報合成規則
28 属性証明者秘密情報
29 属性証明情報検証情報
30 生成要求送信部
31 生成結果受信部
32 生成要求生成部
33 属性証明情報管理部
34 属性所有者秘密情報管理部
35 生成要求指示部
50 合成規則更新要求部
51 合成規則管理部
52 属性情報合成規則
53 属性認証要求受信部
54 属性種別情報
55 認証可能属性管理部
56 認証可否判定部
57 変換可否判定部
58 変換要求送信部
59 変換結果受信部
60 属性認証部
61 属性認証結果送信部
70 属性証明情報管理部
71 属性証明情報
72 属性所有者秘密情報管理部
73 属性所有者秘密情報
74 認証要求指示部
75 認証要求生成部
76 認証要求送信部
77 認証結果受信部
100 属性証明情報
101 証明対象情報
102 属性証明者認証情報
103 属性情報
104 属性所有者検証情報
111 属性種別情報
112 属性値情報
200 属性証明情報生成要求
201 生成要求基本情報
203 属性証明情報
204 属性所有者検証情報
205 属性証明情報識別情報
206 属性所有者検証情報識別情報
207 属性情報合成規則識別情報
208 属性情報合成規則
209 属性証明情報生成要求認証情報
210 属性所有者秘密情報
301〜310、401〜413 ステップ
【発明の属する技術分野】
本発明は、アクセス者の資格や所属、権限、行動履歴などの属性を元にアクセス制御やパーソナライゼーションを行うシステムを構成するための要素技術である属性認証技術、特に、人や組織、端末、機器、装置などのエンティティが有する属性を電子的に証明する属性証明情報の生成、取得、および認証の技術に関する。
【0002】
【従来の技術】
インターネットの普及・発展に伴い、情報システムで管理されるリソースやその利用者が増加かつ多様化し、そのため、権限の無い利用者によるアクセスからリソースを保護するアクセス制御機構、あるいは、アクセス者にとって最も的確なリソースを選択的に提供するパーソナライゼーション機構に対する要求が高まってきている。これらの機構において、アクセスしたエンティティの資格や所属、権限、行動履歴などの属性を材料としてアクセス可否の判断や提供するサービスの選択・生成を行うというアプローチは、システム管理上のコストが低減される、あるいは、的確で木目の細かい判断が可能であるなどとして、多くの情報システムで採用されつつある。もし仮に、そのような判断あるいは選択・生成の材料とする属性にうそや誤りがあれば、判断あるいは選択・生成に誤りが生じ、結果として重要なリソースの流出・消失あるいは不適切なサービスの提供といった危機的な事態を発生させうる。よって、アクセスしたエンティティの属性を材料としたアクセス制御やパーソナライゼーションを行う際には、アクセスしたエンティティの属性を安全、確実に取得する必要がある。
【0003】
属性証明情報は、人や組織、端末、機器、装置などのエンティティが資格や所属、権限、行動履歴などの属性を有することを当該属性に関して証明する権限を持つ証明者が証明することを示す情報であり、1ないし複数の属性情報とその所有者を認証する際の検証情報である属性所有者検証情報などからなる証明対象情報に対して、当該属性を証明する権限を持つ証明者である第三のエンティティしか生成できない属性証明者認証情報が付加された形態を取る。具体的な構成例としては、ISO、ITU−T、IETFなどの標準化団体にて標準化されている属性証明書(Attribute Certificate)あるいは、業界団体であるOASISが規定するSAML(Security Assertion Markup Language)などがある。例えば、X.509あるいはRFC3281などで規定されている属性証明書では、前記属性所有者検証情報としてX.509あるいはRFC3280などで規定されている公開鍵証明書の識別情報を属性証明者認証情報として、証明者が証明対象情報に対して証明者が有する秘密鍵によって生成したデジタル署名を採用している。
【0004】
あるエンティティの有するある属性を確認する際には、当該属性に対応する属性証明情報を用いた属性認証が行われる。属性認証は「利用する属性証明情報の正当性の確認」と、「該エンティティが該属性証明情報の所有者であることの確認」とから成る。属性証明情報の正当性の確認は、該属性証明情報が示す属性を証明する権限を持つ証明者に対応する属性証明情報検証情報を検証情報とし、該属性証明情報に含まれる属性証明者認証情報を認証情報として、該属性証明情報の認証を行い、該属性証明情報が権限を持つ証明者によって真に生成されたものであることを確認することによって行われる。該エンティティが該属性証明情報の所有者であることの確認は、該属性証明情報に含まれる属性所有者検証情報を検証情報として該エンティティの認証を行うことによって行われる。例えば、前記属性証明書による属性認証は、属性証明情報検証情報として属性を証明する権限を持つ証明者の公開鍵証明書を取得し、該属性証明情報に含まれる属性証明者認証情報すなわちデジタル署名を該公開鍵証明書により検証して該属性証明情報の生成者を認証する。また、該エンティティが該属性証明情報の所有者であることの確認は、該エンティティを該属性証明情報に含まれる識別情報によって特定し取得した公開鍵証明書を用いて認証することによって行われる。さらに、該属性証明情報の有効性を、無効化された属性証明情報が掲載された無効化リストを用いて、あるいは属性証明情報の有効性情報を提供する検証局に問い合わせて確認する場合もある。これらのステップを経ることにより、エンティティの有する属性を安全、確実に取得することができる。
【0005】
【非特許文献1】
Recommendation X.509“The Directory:Public−key and Attribute Certificate Frameworks”,ITU−T,2000年3月
【非特許文献2】
Request for Comments 3281“An Interenet Attribute Certificate Profile for Authorization”The Internet Society,2002年4月
【0006】
【発明が解決しようとする課題】
前記の通り、属性証明情報を用いて属性認証を行うには、属性証明情報ごとに「利用する属性証明情報の正当性の確認」ステップと、「該エンティティが該属性証明情報の所有者であることの確認」ステップが必要であり、これらの処理は多くの場合、処理のコストが比較的高い暗号技術やデジタル署名技術によって実現されている。取得すべき属性の種類や数、すなわち、認証すべき属性証明情報が少数である場合は上記の方法でも特段の不便は無いが、その数が多くなった場合には、属性証明情報の数とほぼ比例して増大する前記処理のコストが大きな負担となる。また、多くの属性証明情報から多くの属性を得ることは、アクセス制御の判断やサービスの選択をより木目細かく行える反面、その判断や選択の結果を得る際のロジック、手順の複雑化を招くこととなる。
【0007】
本発明の目的は、かかる問題点に鑑み、アクセス制御の判断やサービスの選択に必要となる多数で多様な属性の取得、認証を可能としつつ、かつ、これにかかる処理のコストや処理の複雑化を小さくし、これにより、属性を用いた高度なアクセス制御機構あるいはパーソナライゼーション機構を提供することにある。
【0008】
【課題を解決するための手段】
本発明の属性証明情報生成装置は、
エンティティが所有する属性を証明する情報であって、属性を表す1ないし複数の属性情報と該属性証明情報の所有者を認証する際の検証情報である属性所有者検証情報とを含む証明対象情報と、該属性証明情報が正当な権限を有する証明者によって生成されたものか認証する際の認証情報である属性証明者認証情報とからなる属性証明情報を生成する属性証明情報生成装置であって、
1ないし複数の属性証明情報あるいは1ないし複数の属性証明情報の識別情報と属性所有者検証情報あるいは属性所有者検証情報の識別情報とを含む属性証明情報生成要求を受信する生成要求受信手段と、
生成要求受信手段で受信された属性証明情報生成要求を入力し、該属性証明情報生成要求の正当性を検証、判定し、その判定結果を出力する生成要求検証手段と、
属性証明情報生成要求を入力すると、該属性証明情報生成要求に対応する、1ないし複数の属性情報から別の1ないし複数の属性情報を生成する規則を定める属性情報合成規則を取得し、出力する属性情報合成規則取得手段と、
属性証明情報生成要求と属性情報合成規則とを入力すると、該属性情報合成規則に従い、該属性証明情報生成要求に含まれるあるいは該属性証明情報生成要求に含まれる1ないし複数の属性証明情報の識別情報によって特定される1ないし複数の属性証明情報に含まれる第1の1ないし複数の属性情報から、別の1ないし複数の属性情報を生成し、出力する属性情報合成手段と、
属性証明情報生成要求を入力すると、該属性証明情報生成要求に含まれるあるいは該属性証明情報生成要求に含まれる属性所有者検証情報の識別情報によって特定される属性所有者検証情報を取得し、出力する属性所有者検証情報取得手段と、
属性情報と属性所有者検証情報とを入力すると、該属性情報と該属性所有者検証情報とを含む証明対象情報を生成し、該証明対象情報から属性証明者認証情報を生成し、該証明対象情報と該属性証明者認証情報とからなる属性証明情報を生成し、出力する属性証明情報生成手段と、
属性証明情報を送信する生成結果送信手段を有する。
【0009】
属性証明情報生成要求が正当であると生成要求検証手段によって判定された場合には、該属性証明情報生成要求と該属性証明情報生成要求を属性情報合成規則取得手段に入力して取得された属性情報合成規則とを属性情報合成手段に入力して1ないし複数の属性情報を取得する。該属性証明情報生成要求を属性所有者検証情報取得手段に入力して属性所有者検証情報を取得し、該取得された1ないし複数の属性情報と該取得された属性所有者検証情報とを属性情報合成手段に入力して属性証明情報を生成し、該属性証明情報を生成結果送信手段から送信する。
該属性証明情報生成要求が正当ではないと判定された場合には、該属性証明情報生成要求が受理不可能であることを示す情報を生成結果送信手段から送信する。
【0010】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0011】
[第1の実施形態]
図1を参照すると、本発明の第1の実施形態の属性証明情報発行システムは、属性証明情報の発行を要求する1つ以上の属性証明情報要求装置2と、該要求に対し属性証明情報を発行し、要求元に送信する属性証明情報生成装置1と、これらを互いに接続するネットワーク3で構成されている。
【0012】
本実施形態では、相手エンティティの認証およびメッセージの認証を行う認証技術として公開鍵暗号に基づくデジタル署名を用いているが、他の認証技術を用いることも可能である。
【0013】
図3は本実施形態で用いる属性証明情報の構成を示している。属性証明情報100は、資格や所属、権限、行動履歴などの属性を表す1ないし複数の属性情報103と属性証明情報100の所有者を認証する際の検証情報であって、署名の検証に用いられる検証鍵である属性所有者検証情報104とを少なくとも含む証明対象情報101と、証明対象情報101に対応し、該属性証明情報100が正当な権限を有する証明者によって生成されたものか認証する際の認証情報である属性証明者認証情報102とから構成される。属性情報103は、図4に示すように、属性の種別を表わす属性種別情報111と、属性の値を示す属性値情報112との組で構成される。
【0014】
図5は本実施形態で用いる属性証明情報生成要求の構成を示している。属性証明情報生成要求200は、属性証明情報生成装置1が該属性証明情報生成要求200に応じて属性証明情報を生成する際の情報源となる1ないし複数の属性証明情報203と、属性証明情報生成装置1が属性証明情報生成要求200に応じて生成する属性証明情報の所有者に対応する属性所有者検証情報を指定する情報であって、属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203の内の1つを指定する属性所有者検証情報識別情報206と、属性証明情報生成要求200に適用されるべき属性情報合成規則を識別する情報である属性情報合成規則識別情報207とから構成される。属性証明情報203は図3に示す属性証明情報100と同様の構成をとる。
【0015】
ここで、属性証明情報生成要求200を、図6に示すように、属性証明情報203の代わりに属性証明情報を識別する属性証明情報識別情報205を含むように構成してもよい。属性証明情報識別情報205は、例えば、対応する属性証明情報203が保存、管理されており、かつ、属性証明情報生成装置1と通信可能な属性証明情報管理装置のIPアドレスあるいはホストネームなどの識別情報と、対応する属性証明情報203の該属性証明情報管理装置における識別子あるいは名称と、の組で構成することなどが可能である。このように構成された属性証明情報生成要求200を受信した場合、属性証明情報生成装置1は、該属性証明情報生成要求200に含まれる属性証明情報識別情報200によって指し示される属性証明情報203を属性証明情報管理装置から取得し、これを属性証明情報生成要求200に直接含められていた場合と同様にして扱う。
【0016】
図2は本実施形態における属性証明情報生成装置1の構成を示している。属性証明情報生成装置1は生成要求受信部10と生成結果送信部11と生成要求検証部12と属性情報合成規則取得部13と属性情報合成部14と属性所有者検証情報取得部15と属性証明情報生成部16と属性情報合成規則管理部17と属性証明者秘密情報管理部18と属性証明情報検証情報管理部19とから構成される。
【0017】
生成要求受信部10は、属性証明情報要求装置2から属性証明情報生成要求200を受信する。
【0018】
属性情報合成規則管理部17は1ないし複数の属性情報103から別の1ないし複数の属性情報103を生成する規則を定める情報である属性情報合成規則27を1ないし複数管理する。本実施形態で用いる属性情報合成規則27の詳細については具体例を元に後述する。
【0019】
属性証明者秘密情報管理部18は属性証明情報生成装置1もしくはその管理者に対応する署名鍵である属性証明者秘密情報28を秘密裏に管理する。
【0020】
属性証明情報検証情報管理部19は、属性証明情報100が正当な権限を有する証明者によって生成されたものか認証する際の検証情報であって、証明者が秘密裏に保持する署名鍵に対応する検証鍵である属性証明情報検証情報29を1ないし複数管理する。
【0021】
生成要求検証部12は、生成要求受信部10にて受信された属性証明情報生成要求200に含まれる1ないし複数の属性証明情報それぞれについて、該属性証明情報に対応する属性証明情報検証情報29を属性証明情報検証情報管理部19から取得し、属性証明情報100に含まれる属性証明者認証情報102を証明対象情報101に対するデジタル署名データとみなし、該取得した属性証明情報検証情報29を検証鍵として、属性証明情報100のメッセージ認証を行うことにより、属性証明情報100が、該取得した属性証明情報検証情報29に対応する証明者により生成されたものかを判定し、該判定の結果がすべて合格であった場合にのみ、受信した属性証明情報生成要求200が正当であると判定し、その他の場合には該属性証明情報生成要求200は正当ではないと判定する。ここで、生成要求検証部12を、上記判定内容に加えて、属性証明情報生成要求200に含まれる属性証明情報203の属性所有者検証情報104がすべて同一である場合にのみ属性証明情報生成要求200が正当であると判定する手段とすることも可能である。この場合、属性証明情報生成装置1は、その所有者が同一であるような属性証明情報203のみを新たに生成する属性証明情報の情報源として受け付けることを意味する。また、生成要求検証部12を、上記判定内容に加えて、属性証明情報生成要求200に含まれる属性証明情報203それぞれについて、該属性証明情報203が失効されていない有効な状態にあるものかを判定し、該判定の結果が全て合格であった場合にのみ属性証明情報生成要求200が正当であると判定する手段とすることも可能である。この場合、属性証明情報生成装置1は、その時点で失効されていない属性証明情報203のみを新たに生成する属性証明情報の情報源として受け付けることを意味する。なお、属性証明情報203が有効な状態にあるか否かの確認は、属性証明情報203を生成した属性証明者が配布する、無効化された属性証明情報203が掲載された無効化リストを取得して確認する、あるいは属性証明情報203の有効性情報を提供する検証局に問い合わせて確認するといった方法によって実現することができる。
【0022】
属性情報合成規則取得部13は、属性情報合成規則管理部17から、受信された属性証明情報生成要求200に含まれる属性情報合成規則識別情報207によって指し示される属性情報合成規則27を取得する。
【0023】
ここで、属性証明情報生成要求200を、図7に示すように、属性情報合成規則識別情報207の代わりに属性情報合成規則208を含むように構成してもよい。このように構成された属性証明情報生成要求200を受信した場合、属性情報合成規則取得部13は、生成要求受信部10にて受信された属性証明情報生成要求200から直接、属性情報合成規則208を取得し、これを属性情報合成規則管理部17から属性情報合成規則27を取得した場合と同様にして扱う。なお、属性証明情報生成要求200をこのような構成に限定した場合、属性証明情報生成装置1の構成から属性情報合成規則管理部17を省略することが可能である。
【0024】
属性情報合成部14は、属性情報合成規則取得部13にて取得された属性情報合成規則27に従い、生成要求受信部10にて受信した属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203に含まれる1ないし複数の属性情報103から、別の1ないし複数の属性情報103を生成する。本実施形態で用いる属性情報合成規則27と該規則に基づく属性情報合成部14の動作の詳細については具体例を元に後述する。
【0025】
属性所有者検証情報取得部15は、生成要求受信部10にて受信された属性証明情報生成要求200に含まれる属性所有者検証情報識別情報206を取得し、該属性所有者検証情報識別情報206に対応する属性証明情報203を該属性証明情報生成要求200から取得し、取得した属性証明情報203に含まれる属性所有者検証情報104を取得する。
【0026】
ここで、属性証明情報生成要求200を、図8に示すように、属性所有者検証情報識別情報206の代わりに属性所有者検証情報204を含むように構成してもよい。このように構成された属性証明情報生成要求200を受信した場合、属性所有者検証情報取得部15は、生成要求受信部10にて受信された属性証明情報生成要求200から直接、属性所有者検証情報204を取得し、利用する。
【0027】
属性証明情報生成部16は、属性情報合成部14にて生成された1ないし複数の属性情報103と属性所有者検証情報取得部15にて取得された属性所有者検証情報104とを含む証明対象情報101を生成し、該証明対象情報101に対する属性証明者秘密情報28によるデジタル署名を生成し、該証明対象情報101と該デジタル署名、すなわち属性証明者認証情報102とからなる属性証明情報100を生成する。
【0028】
ここで、属性証明情報生成部16が生成する証明対象情報101に、生成要求受信部10にて受信された属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203それぞれの識別情報を含めるように属性証明情報生成部16を構成することも可能である。この場合、属性証明情報生成装置1によって新たに生成された属性証明情報100の認証者は、該属性証明情報100に含まれる、属性証明情報の識別情報を元に該属性証明情報100の情報源となった属性証明情報100を取得し、確認することができる。また、属性証明情報生成部16が生成する証明対象情報101に、生成要求受信部10にて受信された属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203それぞれの生成者の識別情報を含めるように属性証明情報生成部16を構成することも可能である。この場合、属性証明情報生成装置1によって新たに生成された属性証明情報100の認証者は、該属性証明情報100に含まれる、属性証明情報の生成者の識別情報を元に該属性証明情報100の情報源となった属性証明情報の証明者を確認することができる。また、属性証明情報生成部16が生成する証明対象情報101に、該証明対象情報101の有効期限を含めるように属性証明情報生成部16を構成することも可能である。さらに、属性証明情報生成部16が生成する証明対象情報101に、生成要求受信部10にて受信された属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203それぞれから取り出した有効期限のうち最も早く訪れる有効期限を、該対象情報の有効期限として含めるように属性証明情報生成部16を構成することも可能である。
【0029】
生成結果送信部11は、属性証明情報生成部16にて生成された属性証明情報100を属性証明情報生成要求200の送信元である属性証明情報要求装置2に返信する。
【0030】
図9は属性証明情報要求装置2の構成を示している。属性証明情報要求装置2は、生成要求送信部30と生成結果受信部31と生成要求生成部32と属性証明情報管理部33と属性所有者秘密情報管理部34と生成要求指示部35とから構成される。
【0031】
属性証明情報管理部33は、属性証明情報203を1ないし複数管理する。属性所有者秘密情報管理部34は、属性証明情報管理部33にて管理される属性証明情報203に対応し、該属性証明情報の所有者を認証する際に用いられる署名鍵である属性所有者秘密情報210を1ないし複数管理する。生成要求指示部35は、属性証明情報の生成要求を行う指示を受け取る。生成要求生成部32は、生成要求指示部35で属性証明情報要求装置2の利用者あるいは他の関連する装置から受け取った指示に従い、属性証明情報生成装置1によって生成されるべき属性証明情報100の情報源となる1ないし複数の属性証明情報203を属性証明情報管理部33から取得し、属性証明情報生成装置1によって適用されるべき属性情報合成規則27に対応する属性情報合成規則識別情報207を特定し、属性証明情報生成装置1によって生成されるべき属性証明情報100の所有者に対応する属性証明情報の識別情報を特定し、これらから属性証明情報生成要求200を生成する。生成要求送信部30は生成要求生成部32にて生成された属性証明情報生成要求200を属性証明情報生成装置1に送信する。生成結果受信部31は送信された属性証明情報生成要求200に対して属性証明情報生成装置1が生成し、返信した属性証明情報100を受信する。
【0032】
本実施形態の属性証明情報発行システムの動作は以下の通りである。属性証明情報要求装置2は、該属性証明情報要求装置2の利用者あるいは他の装置からの指示により、属性証明情報管理部33にて管理される属性証明情報203から1ないし複数を選択し、該選択した属性証明情報203を含む属性証明情報生成要求200を生成し、属性証明情報生成装置1に通信ネットワーク3を介して送信する。該属性証明情報生成要求200を受信した属性証明情報生成装置1は、属性証明情報生成要求200の正当性を判定し、正当性が確認された場合にのみ、属性証明情報生成要求200に基づき属性証明情報100を生成して属性証明情報要求装置2に返信する。該属性証明情報100を受信した属性証明情報要求装置2は該属性証明情報100を属性証明情報管理部33に格納して処理を終了する。
【0033】
次に、本実施形態における属性情報合成規則27と、該規則に基づく属性情報合成部14の動作の例を説明する。
例A.
本例における属性証明情報生成装置1の属性情報合成規則管理部17にて管理される1ないし複数の属性情報合成規則27には、選択すべき属性情報103を属性種別情報111により指定する抽出属性指定情報が1ないし複数記述されている。属性情報合成部14は、属性情報合成規則取得部13にて取得された属性情報合成規則27に記述された1ないし複数の抽出属性指定情報それぞれについて、該抽出属性指定情報を属性種別情報111として持つ属性情報103を、属性証明情報生成要求200に含まれる属性証明情報203の中から選択的に取得し、こうして取得された全ての属性情報103を出力する。
【0034】
このような属性情報合成規則27および属性情報合成部14は、複数の属性証明情報100を1つの属性証明情報に合成する際に、特定の属性情報103のみを収集して合成する必要がある場合に採用される。例えば、オンラインショッピングサービスを利用する都度発行され、利用日時、利用金額、購入商品などを属性情報として持つ、ショッピングサービス利用証を表す複数の属性証明情報から、利用日時を表す属性情報のみを抜き出し、こららを列挙した属性証明情報100を生成する際などに利用される。
例B.
本例における属性証明情報生成装置1の属性情報合成規則管理部17にて管理される1ないし複数の属性情報合成規則27には、選択すべきではない属性情報103を属性種別情報111により指定する除外属性指定情報が1ないし複数記述されている。属性情報合成部14は、属性情報合成規則取得部13にて取得された属性情報合成規則27に記述された1ないし複数の除外属性指定情報それぞれについて、該除外属性指定情報を属性種別情報111として持つ属性情報103以外の属性情報を、属性証明情報生成要求200に含まれる属性証明情報203の中から選択的に取得し、こうして取得された全ての属性情報103を出力する。
【0035】
このような属性情報合成規則27および属性情報合成部14は、1つないし複数の属性証明情報100を1つの属性証明情報に合成する際に、特定の属性情報のみを除外する必要がある場合に採用される。例えば、住所や氏名、会員種別などを属性情報として持つオンラインショッピングの会員証を表す属性証明情報から、住所や氏名などの個人情報を伏せて、会員種別を表す属性情報だけを揚載し、証明する属性証明情報を生成する際などに利用される。
例C.
本例における属性証明情報生成装置1の属性情報合成規則管理部17にて管理される1ないし複数の属性情報合成規則27には、合計値を算出すべき属性情報103を属性種別情報111により指定する集計対象属性指定情報と、該算出結果の属性種別情報を指定する集計後属性種別情報との組からなる属性情報集計規則が1ないし複数記述されている。属性情報合成部14は、属性情報合成規則取得部13にて取得された属性情報合成規則27に記述された1ないし複数の属性情報集計規則それぞれについて、該属性情報集計規則の集計対象属性指定情報を属性種別情報111として持つ属性情報103を、属性証明情報生成要求200に含まれる属性証明情報203の中から全て取得し、取得された属性情報103の属性値情報の合計を算出し、該計算結果を属性値情報112とし、該属性情報集計規則の集計後属性種別情報を属性種別情報111とする属性情報103を生成し、こうして生成された全ての属性情報103を出力する。
【0036】
このような属性情報合成規則27および属性情報合成部14は、数量を属性情報103として持つ複数の属性証明情報100からその数量の合計値を属性情報103として持つ1つの属性証明情報100に合成する際に採用される。例えば、オンラインショッピングサービスを利用する都度発行され、利用日時、利用金額、購入商品などを属性情報として持つレシートを表す属性証明情報から、利用金額のみを集計した、支払い合計金額を表す属性情報を掲載し、証明する属性証明情報100を生成する際などに利用される。
例D.
本例における属性証明情報生成装置1の属性情報合成規則管理部17にて管理される1ないし複数の属性情報合成規則27には、値変換すべき属性情報103を属性種別情報111により指定する変換対象属性指定情報と、該変換対象指定情報によって指定された属性情報103の属性値情報112の値に対応する値を規定した属性値変換規則と、属性値変換規則により変換された後の値の属性種別情報を指定する変換後属性種別情報との組からなる属性情報値変換規則が1ないし複数記述されている。属性情報合成部14は、属性情報合成規則取得部13にて取得された属性情報合成規則27に記述された1ないし複数の属性情報値変換規則それぞれについて、該属性情報値変換規則の変換対象属性指定情報を属性種別情報111として持つ属性情報103を、属性証明情報生成要求200に含まれる属性証明情報203の中から全て取得し、取得された属性情報103の属性値情報112を属性値変換規則に基づき変換し、変換後の値を属性値情報112とし、変換後属性種別情報を属性種別情報111とする属性情報103を生成し、こうして生成された全ての属性情報103を出力する。
【0037】
このような属性情報合成規則27および属性情報合成部14は、数量を属性情報103として持つ1つないし複数の属性証明情報100からその数量の程度を属性情報103として持つ1つの属性証明情報100を合成する際に採用される。例えば、オンラインショッピングサービスへの支払い金額を属性情報103として持つ属性証明情報100から、支払い金額に応じたゴールド、シルバー、ブロンズなどのグレードを属性情報103として持つ会員証を生成する際などに利用される。
【0038】
[第2の実施形態]
本実施形態の属性証明情報発行システムは第1の実施形態の属性証明情報発行システムと同様の構成を取るが、属性証明情報要求装置2から属性証明情報生成装置1に送信される属性証明情報生成要求200の構成と、属性証明情報要求装置2の一部の機能と、属性証明情報生成装置1の一部機能とが、第1の実施形態のそれらと異なる。
【0039】
図10は本実施形態で用いる属性証明情報生成要求200の構成を示している。本実施形態で用いる属性証明情報生成要求200は、第1の実施形態で用いた属性証明情報生成要求200の構成情報に加えて、該属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203のそれぞれの所有者による該属性証明情報生成要求200に対する同意の有無を検証する際に認証情報として用いられる属性証明情報生成要求認証情報209を含む。
【0040】
本実施形態で用いる属性証明情報要求装置2の生成要求生成部32は、第1の実施形態で用いた属性証明情報要求装置2の生成要求生成部32と異なり、送信する属性証明情報生成要求に含める1ないし複数の属性証明情報203と属性情報合成規則識別情報207と属性証明情報の識別情報207を取得、特定した後、これら情報を含む生成要求基本情報201に対するデジタル署名を属性証明情報生成要求200に含める1ないし複数の属性証明情報203にそれぞれ対応する属性所有者秘密情報208を用いて生成し、これらを属性証明情報生成要求認証情報209として属性証明情報生成要求200に含めることが特徴である。
【0041】
また、本実施形態における属性証明情報生成装置1の生成要求検証部12は、第1の実施形態で用いた生成要求検証部が実施する判定内容に加えて、属性証明情報生成要求200に対して、属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203全ての所有者による同意が有ることを、属性証明情報生成要求認証情報209に含まれる1ないし複数のデジタル署名データが生成要求基本情報201に対する正しい署名データであるか否かを、属性証明情報生成要求200に含まれる1ないし複数の属性証明情報203に含まれる属性所有者検証情報204を検証鍵として署名検証を行って検証することが特徴である。
【0042】
このような処理を行うことにより、属性証明情報100の所有者ではない第三者が、該属性証明情報100の所有者の同意なしに、該属性証明情報100を情報源として新たな属性証明情報を生成することを防止できる。
【0043】
[第3の実施形態]
本発明の第3の実施形態として属性認証システムを説明する。
【0044】
属性認証システムは、図11に示すように、属性証明情報の所有者であって、属性認証サーバ7において自身の所持する属性についての認証を行う利用者が使用する利用者端末5と、属性証明情報を生成する属性証明情報発行サーバ6と、属性証明情報を用いて利用者の属性認証を行う属性認証サーバ7とから構成される。
【0045】
属性証明情報発行サーバ6は、図12に示すように、第1の実施形態の属性証明情報生成装置1と同様の構成をとるが、属性情報合成規則の登録あるいは削除の要求を表す属性情報合成規則更新要求を受信し、該属性情報合成規則更新要求に応じて属性情報合成規則管理部17に記憶、管理する属性情報合成規則27の追加、削除あるいは変更を行う属性情報合成規則更新部20をさらに有する点で異なる。
【0046】
属性認証サーバ7は、図13に示すように、属性証明情報発行サーバ6に管理される属性情報合成規則の追加や削除、変更を要求するメッセージである属性情報合成規則更新要求を属性証明情報発行サーバ6に送信する合成規則更新要求部50と、属性証明情報発行サーバ6に送信し、登録した1ないし複数の属性情報合成規則52を記憶しておく合成規則管理部51と、1ないし複数の属性証明情報に対応する属性認証要求を受け付ける属性認証要求受信部53と、属性証明情報発行サーバ6において属性認証可能な属性の種別を示す属性種別情報54を記憶管理する認証可能属性管理部55と、属性認証要求受信部50にて受信した属性認証要求について、該属性認証要求に対応する属性証明情報の中の属性の種別が、認証可能属性管理部55にて管理される属性種別情報54に含まれるか否かを確認することによって該属性の認証が可能か否か判定する認証可否判定部56と、認証可否判定部56において認証不可と判定された属性について、該属性の種別に対応する属性情報合成規則が、合成規則管理部51にて管理されているか否かを確認する変換可否判定部57と、変換可否判定部57にて変換可能と判断された属性について、該属性認証要求に対応する属性証明情報のうち該属性に対応する属性証明情報から新たな属性証明情報を生成することを要求するメッセージである属性証明情報生成要求を生成し、これを属性証明情報発行サーバ6に送信する変換要求送信部58と、該属性証明情報生成要求の処理結果を属性証明発行サーバ6から受信する変換結果受信部59と、属性認証要求に対応する属性証明情報および変換結果受信部59にて受信した属性証明情報に関する属性認証を行う認証部60と、認証部60における認証結果を属性認証要求の送信元である利用者端末5に返信する属性認証結果送信部61とから構成される。
【0047】
利用者端末5は、図14に示すように、利用者が有する1ないし複数の属性証明情報71を管理する属性証明情報管理部70と、利用者の所有する属性証明情報71の属性所有者検証情報に対応する署名鍵である属性所有者秘密情報73を秘密裡に管理する属性所有者秘密情報管理部72と、利用者による認証開始のトリガーを受け付ける認証要求指示部74と、認証要求指示部74で受け付けたトリガーに応じて属性認証要求を生成する認証要求生成部75と、該生成した属性認証要求を属性認証サーバ7に送信する認証要求送信部76と、該属性認証要求に対する属性認証サーバ7からの認証結果を受信する認証結果受信部77とから構成される。
【0048】
次に、図15を参照して本実施形態の属性認証システムの動作の詳細を説明する。
【0049】
まず、利用者端末5からの属性認証の要求を受信することに先立って行われる準備段階の処理について説明する。
【0050】
(ステップ301)属性認証サーバ7は予め、該属性認証サーバが認証可能な属性の種別を示す属性種別情報54を認証可能属性管理部55に記憶管理しておき、また、別の形式の属性に変換することによって認証可能となる属性については、その変換の方法に対応する属性情報合成規則の登録を要求するメッセージである属性情報合成規則更新要求を、合成規則更新要求部50を用いて属性証明情報発行サーバ6に送信するとともに、送信した属性情報合成規則を合成規則管理部52に登録し、記憶しておく。
【0051】
(ステップ302)属性証明情報発行サーバ6では、属性情報合成規則更新部20によって該属性情報合成規則更新要求を受信し、該属性情報合成規則更新要求に対応する属性情報合成規則を属性情報合成規則管理部17に記憶、管理しておく。その際、属性情報合成規則更新部20は、受信した属性情報合成規則更新要求を、属性情報合成規則の更新を要求する権限を持つ正規の属性認証サーバから送信されたものであるかを認証してもよい。その認証は、公開鍵暗号に基づくデジタル署名などに基づいて実施することが可能である。例えば、正当な属性認証サーバの有する秘密情報である署名鍵に対応する公開鍵すなわち検証鍵を予め記憶しておくとともに、属性認証サーバ7に対して属性情報合成規則更新要求を送信する際には、該属性情報合成規則更新要求に対して該署名鍵による署名を生成し、付与することを義務付けておき、属性情報合成規則更新要求を受信した際には、該記憶している公開鍵によって署名検証を行い、この検証に合格したときのみ、該属性情報合成規則更新要求を受理し、属性情報合成規則管理部17に該属性情報合成規則更新要求に含まれる属性情報合成規則を反映するといった方法で実施可能である。このように属性情報合成規則更新要求を認証することによって、不正な者による属性情報合成規則の登録を防止することが可能となる。
【0052】
次に、属性認証サーバ7が利用者端末5からの属性認証の要求に応じて、属性認証を実施する際の処理について説明する。
【0053】
(ステップ303)利用者端末5は、認証要求指示部74を通じ、該端末の利用者から属性認証の開始が指示されると、属性証明情報管理部70に管理される属性証明情報71および該属性証明情報71に対応する属性所有者秘密情報73などから、該属性証明情報71を所有することを立証するメッセージである属性認証要求を認証要求生成部75にて生成し、これを認証要求送信部76により属性認証サーバ7に送信する。属性認証要求は、証明すべき属性を含む属性証明情報71に対応する属性所有者秘密情報73によって現在時刻に対して生成したデジタル署名データと、証明すべき属性を含む属性証明情報71あるいはその識別情報からなる。属性所有者秘密情報73によって生成するデジタル署名データは、事前に属性認証サーバ7から送信された乱数データ(チャレンジ)に対して生成する方式をとってもよい。複数の属性証明情報に対応する属性認証を行う場合には、それぞれの属性証明情報に対応する属性所有者秘密情報73によるデジタル署名データを生成し、これらを全て属性認証要求に含めることで、これを認証することが可能である。
【0054】
(ステップ304)属性認証サーバ7は、属性認証要求受信部53により属性認証要求を受信すると、認証可否判定部56において、該属性認証要求に対応する属性証明情報の中の属性の種別が、認証可能属性管理部55にて管理される属性種別情報54に含まれるか否かを検証し、該属性の認証が可能か否か判定する。該属性認証要求に対応する属性証明情報の中の属性が全て認証可能であると判定された場合には、これらを用いた属性認証を行うためにステップ308に進む。そうでない場合にはステップ305に進む。
【0055】
(ステップ305)属性認証サーバ7は、認証可否判定部56において認証不可と判定された全ての属性について、変換可否判定部57において、該属性の種別に対応する属性情報合成規則が合成規則管理部51にて管理されているか否かを確認し、該属性を認証可能な属性に変換した属性証明情報を得られるかどうかを判定する。認証可否判定部56において認証不可と判定された全ての属性について、認証可能な属性に変換した属性証明情報が得られることが確認された場合には、該変換した属性証明情報を取得するためにステップ306に進む。そうでない場合には、属性認証を実施できないものと判定し、ステップ309に進む。
【0056】
(ステップ306)属性認証サーバ7は、変換可否判定部57にて認証可能な属性に変換可能と判断された全ての属性について、変換要求送信部58において、該属性に対応する属性証明情報から新たな属性証明情報を生成することを要求する属性証明情報生成要求を生成し、これを属性証明情報発行サーバ6に送信する。該属性証明情報生成要求には、必要な変換方法に対応する属性情報合成規則に対応する属性情報合成規則識別情報を含んでもよい。このように属性情報合成規則識別情報を含めることによって、変換を希望する属性に対応する属性情報合成規則が属性証明情報発行サーバ6に複数存在した場合において、属性認証サーバ7が予期していた属性情報合成規則とは異なる属性情報合成規則が採用されてしまう事態を防止できる。また、変換すべき属性や該属性に対応する属性証明情報が複数あった場合には、これらに対応する複数の属性証明情報生成要求を生成し、属性証明情報発行サーバ6に送信してもよい。
【0057】
(ステップ307)属性証明情報発行サーバ6は、生成要求受信部10により属性認証サーバ7から送信された1ないし複数の属性証明情報生成要求を受信すると、これらに応じた新たな属性証明情報の生成を先の実施形態等で記載したものと同様の方法で行い、その結果を属性認証サーバ7に返信する。新たな属性証明情報の生成において認証失敗などのエラーが生じた場合には、その旨を返信する。
【0058】
なお、属性証明情報の生成の対価として生成手数料を徴収するというビジネス上の要求がある場合には、この属性証明情報生成要求を受理する際にその送信者である属性認証サーバ7あるいは運用者に対して課金するように機能を構成してもよい。
【0059】
(ステップ308)属性認証サーバ7は、変換結果受信部59において属性証明情報発行サーバ6から受信した新たな属性証明情報あるいはステップ304において認証が可能と判定された属性に対応する属性証明情報を用いて、認証部60において属性認証要求に対する属性認証を行う。属性認証は属性証明情報に対応する属性所有者検証情報により、属性認証要求に含まれるデジタル署名データの検証を行うことによって実施される。属性認証要求に全ての属性証明情報に対応する正しいデジタル署名データが含まれている場合にのみ属性認証OKと判定する。また、属性認証要求に対応する属性証明情報のうちのいくつかについて、デジタル署名データの検証が成功した場合にも認証OKとする認証条件を別途定め、これを用いて認証結果を導出することも可能である。なお、変換結果受信部59において属性証明情報発行サーバ6から受信した変換結果が処理エラーであった場合には、該属性証明情報に関するデジタル署名の検証がNGであった場合と同じ扱いとする。認証OKの結果が得られた場合にはステップ310に、認証NGの結果が得られた場合にはステップ309に進む。
【0060】
(ステップ309)ステップ308の認証処理において認証NGと判定された場合、あるいはステップ307において変換が実施できない属性を含めた属性認証を実施できないと判定された場合には、属性認証結果送信部61から認証エラーを示すデータを利用者端末5に返信する。
【0061】
(ステップ310)ステップ308の認証処理において認証OKと判定された場合、属性認証結果送信部61から認証成功を示すデータを利用者端末5に返信する。
【0062】
[第4の実施形態]
第4の実施形態では、本発明による属性認証システムの実施形態について説明する。第3の実施形態では、属性を変換した新たな属性証明情報の合成の要求を属性認証サーバ7から送信する構成となっていたが、第4の実施形態では、属性を変換した新たな属性証明情報の合成の要求を利用者端末5から送信する構成としたものである。
【0063】
図16を参照して本実施形態における属性認証システムの動作の詳細を説明する。
【0064】
利用者端末5からの属性認証の要求を受信することに先立って行われる準備段階の処理(ステップ401とステップ402)については、第3の実施形態におけるステップ301とステップ302に同じである。
【0065】
次に、属性認証サーバ7が利用者端末5からの属性認証の要求に応じ、属性認証を実施する際の処理について説明する。
【0066】
(ステップ403)第3の実施形態におけるステップ303と同様である。
【0067】
(ステップ404)属性認証サーバ7は、属性認証要求を受信すると、第3の実施形態におけるステップ304と同様に、該属性認証要求に対応する属性証明情報に含まれる属性それぞれについて認証可能か否かを判定する。該属性認証要求に対応する属性証明情報の中の属性が全て認証可能であると判定された場合には、これらを用いた属性認証を行うためにステップ411に進む。そうでない場合にはステップ405に進む。
【0068】
(ステップ405)属性認証サーバ7は、第3の実施形態におけるステップ305と同様に、認証不可と判定された全ての属性について、該属性を認証可能な属性に変換した属性証明情報を得らるかどうかを判定する。全ての属性について認証可能な属性に変換した属性証明情報が得られることが確認された場合にはステップ406に進む。そうでない場合には、属性認証を実施できないものと判定しステップ413に進む。
【0069】
(ステップ406)属性認証サーバ7は、認証可能な属性に変換可能と判断された全ての属性について、該属性に対応する属性証明情報と、該属性証明情報から新たな属性証明情報を生成する属性情報合成規則に対応する属性情報合成規則識別情報とを含む属性再提示要求を利用者端末5に返信する。変換すべき属性や該属性に対応する属性証明情報が複数あった場合には、これらに対応する複数の属性再提示要求を生成し、送信してもよい。
【0070】
(ステップ407)属性再提示要求を受信した利用者端末5は、該属性再提示要求に含まれる属性証明情報と属性情報合成規則識別情報とに対応する属性証明情報生成要求を生成し、これを属性証明情報発行サーバ6に送信する。
【0071】
(ステップ408)属性証明情報発行サーバ6は、利用者端末5から送信された1ないし複数の属性証明情報生成要求を受信すると、これらに応じた新たな属性証明情報の生成を先の実施形態等で記載したものと同様の方法で行い、その結果を利用者端末5に返信する。新たな属性証明情報の生成において認証失敗などのエラーが生じた場合には、その旨を返信する。なお、属性証明情報の生成に対価として生成手数料を徴収するというビジネス上の要求がある場合には、この属性証明情報生成要求を受理する際にその送信者である利用者端末5あるいはその利用者に対して課金するように機能を構成してもよい。
【0072】
(ステップ409)利用者端末5は、ステップ403で生成した属性認証要求で使用した属性証明情報のうち、属性認証サーバ7から送られた属性再提示要求に含まれる属性証明情報について、該属性証明情報の代わりに属性証明情報発行サーバ6から受理した新たな属性証明情報を使用して属性認証要求を生成し直し、これを属性認証サーバ7に送信する。
【0073】
(ステップ410)属性認証サーバ7は、属性認証要求を受信すると、ステップ404と同様に、該属性認証要求に対応する属性証明情報に含まれる属性それぞれについて認証可能か否か判定する。該属性認証要求に対応する属性証明情報の中の属性が全て認証可能であると判定された場合には、これらを用いた属性認証を行うためにステップ411に進む。そうでない場合には、属性認証不可と判断し、ステップ413に進む。
【0074】
(ステップ411)属性認証サーバ7は、第3の実施形態におけるステップ306と同様にして、ステップ410で受信した属性認証要求に対する属性認証を行う。認証OKの結果が得られた場合にはステップ412に、認証NGの結果が得られた場合にはステップ413に進む。
【0075】
(ステップ412)ステップ411の認証処理において認証OKと判定された場合、認証成功を示すデータを利用者端末5に返信する。
【0076】
(ステップ413)ステップ411の認証処理において認証NGと判定された場合、あるいはステップ405において変換が実施できない属性を含むため属性認証を実施できないと判定された場合、あるいはステップ410において再度送信された属性認証要求に認証できない属性が含まれていると判定された場合、認証エラーを示すデータを利用者端末5に返信する。
【0077】
なお、以上説明した属性証明情報生成装置(属性証明情報発行サーバ)と属性証明情報要求装置、属性認証サーバの機能は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0078】
【発明の効果】
以上説明したように、本発明は下記の効果がある。
1)複数の属性証明情報に分散していた属性情報を単一の属性証明情報に合成することが可能となるため、多数の属性情報を用いて高度なアクセス制御やパーソナライゼーションを行う情報システムにおける、属性証明情報を用いた属性認証にかかる処理のコストが従前に比べて劇的に削減される。
2)有効性が確認済みの属性証明情報から属性情報を取得した属性証明情報を生成することが可能となるため、属性認証の際の属性証明情報の有効性確認処理のコストが従前に比べて劇的に削減される。
3)属性証明情報に含まれる複数の属性情報のうち、必要なものを取捨選択して掲載した属性証明情報を生成することが可能となるため、保持している属性証明情報の中に含まれる住所や氏名などといった個人情報を伏せたまま、その他の属性情報のみを証明することが可能となる。
4)属性証明情報に含まれる属性情報に対して数値演算、文字列操作などを施した属性情報を掲載した属性証明情報を生成し、利用することが可能となるため、属性認証を行う認証者は属性証明情報から、必要な処理を施した後の属性情報を取得することが可能となり、属性証明情報から属性情報を取得した後のアクセス可否の判断やパーソナライゼーションの判断の処理ロジックが従前に比べて簡素化される。
5)異なるエンティティの有する属性証明情報に分散する属性情報を所有者の同意に基づき単一の属性証明情報に合成することが可能となるため、例えば、ある装置が有する属性情報と、その装置の利用者が有する属性情報とを、単一の属性証明情報による属性認証によって取得できる。
6)属性認証サーバは属性証明情報の変換、合成の方法を属性証明情報発行サーバに登録しておき、属性認証の要求があった際に必要に応じて該属性証明情報発行サーバに直接あるいは間接的に属性証明情報の変換、合成を依頼し、適切な形式を持った属性証明情報を取得し、これを用いた属性認証を行うことが可能となるため、属性認証サーバは、利用者が属性証明情報を変換、合成することなく提示した場合においても、適切な形態に変換、合成された属性証明情報を取得し、属性認証することが可能となる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態の属性証明情報発行システムの構成を示す図である。
【図2】第1の実施形態における属性証明情報生成装置の構成を示す図である。
【図3】属性証明情報の構成例を示す図である。
【図4】属性情報の構成例を示す図である。
【図5】属性証明情報生成要求の構成例を示す図である。
【図6】属性証明情報生成要求の他構成例を示す図である。
【図7】属性証明情報生成要求の他の構成例を示す図である。
【図8】属性証明情報生成要求の他の構成例を示す図である。
【図9】第1の実施形態における属性証明情報要求装置の構成例を示す図である。
【図10】第2の実施形態における属性証明情報生成要求の構成例を示す図である。
【図11】本発明の第3の実施形態である属性認証システムの構成図である。
【図12】第3の実施形態における属性証明情報発行サーバの構成図である。
【図13】第3の実施形態における属性認証サーバの構成図である。
【図14】第3の実施形態における利用者端末の構成図である。
【図15】第3の実施形態の属性認証システムの動作を示すフローチャートである。
【図16】第4の実施形態である属性認証システムの動作を示すフローチャートである。
【符号の説明】
1 属性証明情報生成装置
2 属性証明情報要求装置
3 ネットワーク
5 利用者端末
6 属性証明情報発行サーバ
7 属性認証サーバ
10 生成要求受信部
11 生成結果送信部
12 生成要求検証部
13 属性情報合成規則取得部
14 属性情報合成部
15 属性所有者検証情報取得部
16 属性証明情報生成部
17 属性情報合成規則管理部
18 属性証明者秘密情報管理部
19 属性証明情報検証情報管理部
20 属性情報合成規則更新部
27 属性情報合成規則
28 属性証明者秘密情報
29 属性証明情報検証情報
30 生成要求送信部
31 生成結果受信部
32 生成要求生成部
33 属性証明情報管理部
34 属性所有者秘密情報管理部
35 生成要求指示部
50 合成規則更新要求部
51 合成規則管理部
52 属性情報合成規則
53 属性認証要求受信部
54 属性種別情報
55 認証可能属性管理部
56 認証可否判定部
57 変換可否判定部
58 変換要求送信部
59 変換結果受信部
60 属性認証部
61 属性認証結果送信部
70 属性証明情報管理部
71 属性証明情報
72 属性所有者秘密情報管理部
73 属性所有者秘密情報
74 認証要求指示部
75 認証要求生成部
76 認証要求送信部
77 認証結果受信部
100 属性証明情報
101 証明対象情報
102 属性証明者認証情報
103 属性情報
104 属性所有者検証情報
111 属性種別情報
112 属性値情報
200 属性証明情報生成要求
201 生成要求基本情報
203 属性証明情報
204 属性所有者検証情報
205 属性証明情報識別情報
206 属性所有者検証情報識別情報
207 属性情報合成規則識別情報
208 属性情報合成規則
209 属性証明情報生成要求認証情報
210 属性所有者秘密情報
301〜310、401〜413 ステップ
Claims (19)
- エンティティが所有する属性を証明する情報であって、属性を表す1ないし複数の属性情報と該属性証明情報の所有者を認証する際の検証情報である属性所有者検証情報とを含む証明対象情報と、該属性証明情報が正当な権限を有する証明者によって生成されたものか認証する際の認証情報である属性証明者認証情報とからなる属性証明情報を生成する属性証明情報生成装置であって、
1ないし複数の前記属性証明情報あるいは1ないし複数の前記属性証明情報の識別情報と前記属性所有者検証情報あるいは前記属性所有者検証情報の識別情報とを含む属性証明情報生成要求を受信する生成要求受信手段と、
前記属性証明情報生成要求を入力すると、該属性証明情報生成要求の正当性を検証、判定し、その判定結果を出力する生成要求検証手段と、
前記属性証明情報生成要求を入力すると、該属性証明情報生成要求に対応する、1ないし複数の前記属性情報から別の1ないし複数の前記属性情報を生成する規則を定める属性情報合成規則を取得し、出力する属性情報合成規則取得手段と、
前記属性証明情報生成要求と前記属性情報合成規則とを入力すると、該属性情報合成規則に従い、該属性証明情報生成要求に含まれるあるいは該属性証明情報生成要求に含まれる1ないし複数の前記属性証明情報の識別情報によって特定される1ないし複数の属性証明情報に含まれる第1の1ないし複数の前記属性情報から、別の1ないし複数の前記属性情報を生成し、出力する属性情報合成手段と、
前記属性証明情報生成要求を入力すると、該属性証明情報生成要求に含まれるあるいは該属性証明情報生成要求に含まれる前記属性所有者検証情報の識別情報によって特定される前記属性所有者検証情報を取得し、出力する属性所有者検証情報取得手段と、
前記属性情報と前記属性所有者検証情報とを入力すると、該属性情報と該属性所有者検証情報とを含む前記証明対象情報を生成し、該証明対象情報から前記属性証明者認証情報を生成し、該証明対象情報と該属性証明者認証情報とからなる前記属性証明情報を生成し、出力する属性証明情報生成手段と、
前記属性証明情報を送信する生成結果送信手段とを有し、
前記属性証明情報生成要求が正当であると前記生成要求検証手段によって判定された場合には、該属性証明情報生成要求と該属性証明情報生成要求を前記属性情報合成規則取得手段に入力して取得された前記属性情報合成規則とを前記属性情報合成手段に入力して1ないし複数の前記属性情報を取得し、該属性証明情報生成要求を前記属性所有者検証情報取得手段に入力して前記属性所有者検証情報を取得し、該取得された1ないし複数の前記属性情報と該取得された前記属性所有者検証情報とを前記属性情報合成手段に入力して前記属性証明情報を生成し、該属性証明情報を前記生成結果送信手段から送信し、該属性証明情報生成要求が正当ではないと判定された場合には、該属性証明情報生成要求が受理不可能であることを示す情報を前記生成結果送信手段から送信する属性証明情報生成装置。 - 前記属性証明情報が正当な権限を有する証明者によって生成されたものか認証する際の検証情報であって、前記証明者に対応する属性証明情報検証情報を1ないし複数管理する属性証明情報検証情報管理手段をさらに有し、
前記生成要求検証手段は、入力された前記属性証明情報生成要求に含まれるあるいは前記属性証明情報生成要求に含まれる前記属性証明情報の識別情報によって特定される1ないし複数の前記属性証明情報それぞれについて、該属性証明情報に対応する前記属性証明情報検証情報を前記属性証明情報検証情報管理手段から取得し、該属性証明情報に含まれる前記属性証明者認証情報を認証情報とし、該属性証明情報検証情報を検証情報として該属性証明情報の認証を行うことにより、該属性証明情報が該属性証明情報検証情報に対応する証明者によって生成されたものかを判定し、該判定の結果がすべて合格であった場合にのみ、該属性証明情報生成要求は正当であると判定し、その他の場合には該属性証明情報生成要求は正当ではないと判定する、請求項1に記載の属性証明情報生成装置。 - 前記属性証明情報生成要求は、前記属性証明情報の所有者による該属性証明情報生成要求への同意を検証する際の認証情報である属性証明情報生成要求認証情報を含み、
前記生成要求検証手段は、入力された前記属性証明情報生成要求に含まれるあるいは前記属性証明情報生成要求に含まれる前記属性証明情報の識別情報によって特定される1ないし複数の前記属性証明情報それぞれについて、該属性証明情報生成要求に含まれている属性証明情報生成要求認証情報を認証情報とし、該属性証明情報に含まれる前記属性所有者検証情報を検証情報として該属性証明情報生成要求の認証を行うことにより、該属性証明情報生成要求が該属性証明情報の所有者の同意を得ているものかを判定し、該判定の結果がすべて合格であった場合にのみ、該属性証明情報生成要求は正当であると判定し、その他の場合には該属性証明情報生成要求は正当ではないと判定する、請求項1または2に記載の属性証明情報生成装置。 - 前記生成要求検証手段は、入力された前記属性証明情報生成要求に含まれるあるいは前記属性証明情報生成要求に含まれる前記属性証明情報の識別情報によって特定される1ないし複数の前記属性証明情報の所有者がすべて同一である場合にのみ該属性証明情報生成要求は正当であると判定し、その他の場合には該属性証明情報生成要求は正当ではないと判定する、請求項1から3のいずれかに記載の属性証明情報生成装置。
- 前記生成要求検証手段は、入力された前記属性証明情報生成要求に含まれるあるいは前記属性証明情報生成要求に含まれる前記属性証明情報の識別情報によって特定される1ないし複数の前記属性証明情報それぞれについて、該属性証明情報が失効されていない有効な状態にあるものかを判定し、該判定の結果がすべて合格であった場合にのみ、該属性証明情報生成要求は正当であると判定し、その他の場合には該属性証明情報生成要求は正当ではないと判定する、請求項1から4のいずれかに記載の属性証明情報生成装置。
- 前記属性証明情報生成要求は、前記属性情報合成規則あるいは前記属性情報合成規則の識別情報を含み、
前記属性情報合成規則取得手段は、入力された前記属性証明情報生成要求に含まれるあるいは前記属性証明情報生成要求に含まれる前記属性情報合成規則の識別情報によって特定される前記属性情報合成規則を取得し、出力する、請求項1から5のいずれかに記載の属性証明情報生成装置。 - 前記属性情報合成規則を1ないし複数記憶する属性情報合成規則管理手段をさらに有し、
前記属性情報合成規則取得手段は、入力された前記属性証明情報生成要求に含まれる前記属性情報合成規則の識別情報によって特定される前記属性情報合成規則を属性情報合成規則管理手段から取得し、出力する、請求項6に記載の属性証明情報生成装置。 - 前記属性情報は、属性の種別を表わす属性種別情報と属性の値を示す属性値情報との組である、請求項1から7のいずれかに記載の属性証明情報生成装置。
- 前記属性情報合成規則は、前記属性種別情報からなる合成元属性指定情報と合成後の前記属性情報を規定する情報であって前記属性種別情報からなる合成先属性種別情報との組からなる詳細合成規則を1ないし複数含み、前記属性情報合成手段は、入力された前記属性情報合成規則に含まれる1ないし複数の前記詳細合成規則それぞれについて、入力された1ないし複数の前記属性証明情報に含まれる属性情報の中から、該詳細合成規則の前記合成元属性指定情報に対応する前記属性情報を特定し、該属性情報の属性値情報を取得し、該詳細合成規則の前記合成先属性種別情報を属性種別情報とし、該取得された属性値情報を属性値情報として持つ属性情報を生成し、該生成された1ないし複数の属性情報を出力する、請求項1から8のいずれかに記載の属性証明情報生成装置。
- 前記属性情報合成規則は、前記属性種別情報により指し示される前記属性値情報を1ないし複数利用して新たな属性値情報を生成する演算処理の方法である合成先属性生成規則と該生成された属性値情報の種別を示す前記属性値情報からなる合成先属性種別情報との組からなる詳細合成規則を1ないし複数含み、
前記属性情報合成手段は、入力された前記属性情報合成規則に含まれる前記詳細合成規則それぞれについて、該詳細合成規則の前記合成先属性生成規則に従い、入力された1ないし複数の前記属性証明情報に含まれる属性情報の中の属性値情報から新たな属性値情報を生成し、該詳細合成規則の前記合成先属性種別情報を属性種別情報とし、該生成された新たな属性値情報を属性値情報として持つ属性情報を生成し、該生成された1ないし複数の属性情報を出力する、請求項1から8のいずれかに記載の属性証明情報生成装置。 - 前記属性証明情報生成手段は、前記証明対象情報を生成する際に、前記生成要求受信手段が受信した前記属性証明情報生成要求に含まれる1ないし複数の前記属性証明情報それぞれの識別情報を含む証明対象情報を生成する、請求項1から10のいずれかに記載の属性証明情報生成装置。
- 前記属性証明情報生成手段は、前記証明対象情報を生成する際に、前記生成要求受信手段が受信した前記属性証明情報生成要求に含まれる前記属性証明情報それぞれの証明者の識別情報を含む証明対象情報を生成する、請求項1から11のいずれかに記載の属性証明情報生成装置。
- 前記属性証明情報生成手段は、前記証明対象情報を生成する際に、該証明対象情報の有効期間を示す情報を含む証明対象情報を生成する、請求項1から12のいずれかに記載の属性証明情報生成装置。
- 前記属性証明情報生成手段は、前記証明対象情報を生成する際に、前記生成要求受信手段が受信した前記属性証明情報生成要求に含まれる前記属性証明情報の有効期間の終了時期の中でもっとも早い終了時期を取得し、該生成する証明対象情報の有効期間の終了時期に、該取得したもっとも早い終了時期を設定する、請求項13に記載の属性証明情報生成装置。
- 前記属性情報合成規則の登録あるいは削除の要求を表す属性情報合成規則更新要求を受信すると、前記属性情報合成規則管理手段に該属性情報合成規則更新要求にて指定される属性情報合成規則を追加する、あるいは前記属性情報合成規則管理手段から該属性情報合成規則更新要求にて指定される属性情報合成規則を削除する属性情報合成規則更新手段をさらに有する、請求項7から14に記載の属性証明情報生成装置。
- 属性証明生成装置に対して属性証明情報の生成を要求する属性証明情報要求装置であって、
前記属性証明情報を1ないし複数記憶し、管理する属性証明情報管理手段と、該属性証明情報要求装置の利用者あるいは他の装置からの指示を受け付ける生成要求指示手段と、
前記生成要求指示手段に入力された指示に従い、前記属性証明情報生成要求を生成する手段と、
該生成された属性証明情報生成要求を送信する手段と、
返信された属性証明情報を受信する手段とを有する属性証明情報要求装置。 - 請求項16に記載の属性証明情報要求装置により構成される属性証明情報要求者端末と、
請求項1から15のいずれかに記載の属性証明情報生成装置により構成される属性証明情報発行サーバとを有し、
前記属性証明情報要求者端末は該属性証明情報要求者端末の利用者あるいは他の装置からの指示に従い、属性証明情報生成要求を前記属性証明情報発行サーバに送信し、該属性証明情報生成要求を受信した該属性証明情報発行サーバは該属性証明情報生成要求に基づき属性証明情報を生成し、該属性証明情報要求者端末に返信し、該属性証明情報を受信した該属性証明情報要求者端末は該属性証明情報を前記属性証明情報管理手段に格納する属性証明情報発行システム。 - 属性情報合成規則更新要求を送信する合成規則更新要求手段と、1ないし複数の属性証明情報を含む属性認証要求を受け付ける属性認証要求受信手段と、前記属性認証要求受信手段にて受信した属性認証要求について、含まれる属性証明情報の種別、数量から受付可能か否か判定する判定手段と、前記属性認証要求受信手段にて受信した属性認証要求に含まれる属性証明情報を含む前記属性証明情報生成要求を送信する変換要求送信手段と、前記送信した属性証明情報生成要求の返信である属性証明情報を受信する変換結果受信手段と、前記変換結果受信手段あるいは前記属性認証要求受信手段にて受信した属性証明情報を用いて属性認証を行う属性認証手段と、前記属性認証手段における属性認証の結果を返信する属性認証結果送信手段とを有する属性認証サーバと、
請求項16に記載の属性証明情報要求装置により構成される利用者端末と、
請求項1から15のいずれかに記載の属性証明情報生成装置により実現される属性証明情報発行サーバとを有し、
前記属性認証サーバは予め前記属性情報合成規則更新要求を前記属性証明情報発行サーバに送信して前記属性情報合成規則を登録しておき、
前記利用者端末は、前記属性証明情報管理手段に保有する属性証明情報を含む前記認証要求を前記属性認証サーバに送信し、該認証要求を受信した該属性認証サーバは、該認証要求に含まれる属性証明情報の種別、数量から該認証要求を受付可能か判定し、受付可能な場合には、これに対する属性認証を行いその結果を該利用者端末に返信し、受付不可能でかつ該属性証明情報から受付可能な属性証明情報に合成する前記属性情報合成規則が属性証明情報発行サーバに登録されている場合には、該属性情報合成規則を指定する前記属性情報合成規則識別情報を含む前記属性証明情報生成要求を前記属性証明情報発行サーバに送信し、該属性証明情報発行サーバは、該属性証明情報生成要求を受信し、該属性証明情報生成要求に基づき属性証明情報を生成し、該属性認証サーバに返信し、該属性認証サーバは該属性証明情報を受信し、これを用いて属性認証を実施する属性認証システム。 - 属性情報合成規則更新要求を送信する合成規則更新要求手段と、1ないし複数の属性証明情報を含む属性認証要求を受け付ける属性認証要求受信手段と、前記属性認証要求受信手段にて受信した属性認証要求について、含まれる属性証明情報の種別、数量から受付可能か否か判定する判定手段と、前記属性認証要求に応じて、該属性認証要求に含まれる属性証明情報を用いて属性認証を行う属性認証手段と、前記属性認証手段における属性認証の結果を返信する属性認証結果送信手段と、属性再提示要求を返信する属性再提示要求送信手段とを有する属性認証サーバと、
請求項16に記載の属性証明情報要求装置により構成される利用者端末と、
請求項1から15のいずれかに記載の属性証明情報生成装置により実現される属性証明情報発行サーバとを有し、
前記属性認証サーバは予め前記属性情報合成規則更新要求を前記属性証明情報発行サーバに送信して前記属性情報合成規則を登録しておき、前記利用者端末は、前記属性証明情報管理手段に保有する属性証明情報を含む前記認証要求を前記属性認証サーバに送信し、該認証要求を受信した該属性認証サーバは、該認証要求に含まれる属性証明情報の種別、数量から該認証要求を受付可能か判定し、受付可能な場合には、これに対する属性認証を行いその結果を該利用者端末に返信し、受付不可能でかつ該属性証明情報から受付可能な属性証明情報に合成する前記属性情報合成規則が属性証明情報発行サーバに登録されている場合には、該属性情報合成規則を指定する前記属性情報合成規則識別情報を含む前記属性再提示要求を該利用者端末に返信し、該属性再提示要求を受信した利用者端末は、該属性再提示要求に従い、該属性認証サーバに送信した前記属性証明情報と該属性再提示要求に含まれる前記属性情報合成規則識別情報とを含む属性証明情報生成要求を前記属性発行サーバに送信し、該属性証明情報発行サーバは、該属性証明情報生成要求を受信し、該属性証明情報生成要求に基づき属性証明情報を生成し、該属性証明情報要求者端末に返信し、該属性証明情報要求者端末は、該属性証明情報を受信し、該属性証明情報を含む前記認証要求を前記属性認証サーバに送信する属性認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003138708A JP2004341897A (ja) | 2003-05-16 | 2003-05-16 | 属性証明情報生成装置、属性証明情報要求装置、属性証明情報発行システム、属性認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003138708A JP2004341897A (ja) | 2003-05-16 | 2003-05-16 | 属性証明情報生成装置、属性証明情報要求装置、属性証明情報発行システム、属性認証システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004341897A true JP2004341897A (ja) | 2004-12-02 |
Family
ID=33528002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003138708A Pending JP2004341897A (ja) | 2003-05-16 | 2003-05-16 | 属性証明情報生成装置、属性証明情報要求装置、属性証明情報発行システム、属性認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004341897A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006229948A (ja) * | 2005-02-14 | 2006-08-31 | Internatl Business Mach Corp <Ibm> | 記憶媒体に対するリモート・サービス・インターフェースのサービス担当ユーザを確実に認証する方法およびシステム |
| JP2008011098A (ja) * | 2006-06-28 | 2008-01-17 | Ntt Docomo Inc | 属性情報検証方法、失効情報生成装置、サービス提供元装置、及び属性情報検証システム |
| JP2015146128A (ja) * | 2014-02-03 | 2015-08-13 | ヤフー株式会社 | 情報提供装置、情報提供システム、情報提供プログラムおよび情報提供方法 |
| JP2019139305A (ja) * | 2018-02-06 | 2019-08-22 | みずほ情報総研株式会社 | 利用管理支援システム、利用管理支援プログラム及び利用管理支援方法 |
| WO2024038630A1 (ja) * | 2022-08-16 | 2024-02-22 | 株式会社日立製作所 | 認証システム及び認証方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0969044A (ja) * | 1995-08-31 | 1997-03-11 | Fujitsu Ltd | ライセンシー通知システム |
| JP2001298448A (ja) * | 2000-04-14 | 2001-10-26 | Ntt Communications Kk | 公開鍵の利用装置および利用許諾装置 |
| JP2002063543A (ja) * | 2000-06-09 | 2002-02-28 | Dainippon Printing Co Ltd | 電子フォーム制作装置及び提供装置 |
| JP2002244553A (ja) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | 電子マーク認証方法及びその実施装置並びにその処理プログラム |
| JP2002342167A (ja) * | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | エンティティ情報管理装置 |
| JP2003016397A (ja) * | 2001-04-23 | 2003-01-17 | Sony Corp | データ処理システム、メモリデバイス、データ処理装置、およびデータ処理方法、並びにプログラム |
| JP2003087236A (ja) * | 2001-09-11 | 2003-03-20 | Sony Corp | コンテンツ利用回数管理システム、コンテンツ利用回数管理方法、および情報処理装置、並びにコンピュータ・プログラム |
-
2003
- 2003-05-16 JP JP2003138708A patent/JP2004341897A/ja active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0969044A (ja) * | 1995-08-31 | 1997-03-11 | Fujitsu Ltd | ライセンシー通知システム |
| JP2001298448A (ja) * | 2000-04-14 | 2001-10-26 | Ntt Communications Kk | 公開鍵の利用装置および利用許諾装置 |
| JP2002063543A (ja) * | 2000-06-09 | 2002-02-28 | Dainippon Printing Co Ltd | 電子フォーム制作装置及び提供装置 |
| JP2002244553A (ja) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | 電子マーク認証方法及びその実施装置並びにその処理プログラム |
| JP2003016397A (ja) * | 2001-04-23 | 2003-01-17 | Sony Corp | データ処理システム、メモリデバイス、データ処理装置、およびデータ処理方法、並びにプログラム |
| JP2002342167A (ja) * | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | エンティティ情報管理装置 |
| JP2003087236A (ja) * | 2001-09-11 | 2003-03-20 | Sony Corp | コンテンツ利用回数管理システム、コンテンツ利用回数管理方法、および情報処理装置、並びにコンピュータ・プログラム |
Non-Patent Citations (2)
| Title |
|---|
| 中山 亮、外3名: "次世代電子政府・電子自治体に向けた認証プラットフォームの開発", NTT技術ジャーナル, vol. 第15巻,第2号, JPN6008037267, 1 February 2003 (2003-02-01), pages 60 - 63, ISSN: 0001096544 * |
| 山岡 誉侍、外1名: "属性単位のアクセス制御基盤", 電子情報通信学会技術研究報告, vol. 第97巻,第461号, JPN6008037271, 19 December 1997 (1997-12-19), pages 57 - 68, ISSN: 0001096543 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006229948A (ja) * | 2005-02-14 | 2006-08-31 | Internatl Business Mach Corp <Ibm> | 記憶媒体に対するリモート・サービス・インターフェースのサービス担当ユーザを確実に認証する方法およびシステム |
| US8141142B2 (en) | 2005-02-14 | 2012-03-20 | International Business Machines Corporation | Secure authentication of service users of a remote service interface to a storage media |
| JP2008011098A (ja) * | 2006-06-28 | 2008-01-17 | Ntt Docomo Inc | 属性情報検証方法、失効情報生成装置、サービス提供元装置、及び属性情報検証システム |
| JP2015146128A (ja) * | 2014-02-03 | 2015-08-13 | ヤフー株式会社 | 情報提供装置、情報提供システム、情報提供プログラムおよび情報提供方法 |
| JP2019139305A (ja) * | 2018-02-06 | 2019-08-22 | みずほ情報総研株式会社 | 利用管理支援システム、利用管理支援プログラム及び利用管理支援方法 |
| WO2024038630A1 (ja) * | 2022-08-16 | 2024-02-22 | 株式会社日立製作所 | 認証システム及び認証方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2021206913B2 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| US11516016B2 (en) | Method and system for signing and authenticating electronic documents via a signature authority which may act in concert with software controlled by the signer | |
| US6792531B2 (en) | Method and system for revocation of certificates used to certify public key users | |
| EP1455479B1 (en) | Enrolling/sub-enrolling a digital rights management (DRM) server into a DRM architecture | |
| KR100734737B1 (ko) | 조건부 전자 서명의 생성 방법, 조건부 전자 서명의 검증 방법, 데이터 처리 장치 및 컴퓨터 판독 가능 기록 매체 | |
| TWI444029B (zh) | 控制數位身分表徵之分配及使用 | |
| US20040078573A1 (en) | Remote access system, remote access method, and remote access program | |
| CN114008968B (zh) | 用于计算环境中的许可授权的系统、方法和存储介质 | |
| JP2007004461A (ja) | サービス提供システム、アウトソーシング業者装置、サービス提供方法およびプログラム | |
| JP5264548B2 (ja) | 認証システムおよび認証方法 | |
| US11954672B1 (en) | Systems and methods for cryptocurrency pool management | |
| CN115277010A (zh) | 身份认证方法、系统、计算机设备和存储介质 | |
| GB2391438A (en) | Electronic sealing for electronic transactions | |
| JP2004341897A (ja) | 属性証明情報生成装置、属性証明情報要求装置、属性証明情報発行システム、属性認証システム | |
| JPH11215121A (ja) | 認証装置および方法 | |
| Buccafurri et al. | Implementing advanced electronic signature by public digital identity system (SPID) | |
| JP2001147899A (ja) | コンテンツ配布システム | |
| CN114005190B (zh) | 用于课堂考勤系统的人脸识别方法 | |
| US12137174B2 (en) | Computer-readable recording medium storing information processing program, information processing apparatus, and system | |
| JP3920698B2 (ja) | 公開鍵証明書情報検証方法および装置 | |
| Rajendran et al. | Digital tokens: A scheme for enabling trust between customers and electronic marketplaces | |
| JP2002351966A (ja) | セキュアアーカイブ装置 | |
| CN118869177A (zh) | 基于区块链的数字身份管理方法、系统、电子设备及计算机可读存储介质 | |
| CN114785518A (zh) | 一种去中心化的电子公证签名方法、系统以及节点 | |
| EP1387551A1 (en) | Electronic sealing for electronic transactions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050621 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050725 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20050725 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080730 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081126 |