アカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラム
【課題】 ルートとなる認証要素が失効しても、派生する認証要素の失効を阻止する。
【解決手段】 基底アカウント管理装置20は、基底アカウント情報内の初期認証要素情報に基づいて、クライアント装置の利用者を認証し、認証結果が正当のとき、生存条件、秘密鍵に基づいて電子署名を生成し、生存条件、電子署名及び公開鍵証明書を含む派生アカウント信用要素情報を派生アカウント管理装置に送信する。派生アカウント管理装置20は、生存条件を満たすときに有効となる派生アカウント情報を、公開鍵証明書の有効期間を過ぎると失効する派生アカウント信用要素情報と、この有効期間とは無関係に有効な利用者の生体情報テンプレートと、の両者を含むように作成する。従って、ルートとなる認証要素(公開鍵証明書)が失効しても、派生する認証要素(生体情報テンプレート)の失効を阻止できる。
【解決手段】 基底アカウント管理装置20は、基底アカウント情報内の初期認証要素情報に基づいて、クライアント装置の利用者を認証し、認証結果が正当のとき、生存条件、秘密鍵に基づいて電子署名を生成し、生存条件、電子署名及び公開鍵証明書を含む派生アカウント信用要素情報を派生アカウント管理装置に送信する。派生アカウント管理装置20は、生存条件を満たすときに有効となる派生アカウント情報を、公開鍵証明書の有効期間を過ぎると失効する派生アカウント信用要素情報と、この有効期間とは無関係に有効な利用者の生体情報テンプレートと、の両者を含むように作成する。従って、ルートとなる認証要素(公開鍵証明書)が失効しても、派生する認証要素(生体情報テンプレート)の失効を阻止できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、階層的なアカウントを管理するアカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラムに係り、例えば、ルートとなる認証要素が失効しても、派生する認証要素の失効を阻止し得るアカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラムに関する。
【背景技術】
【0002】
近年、特定物理領域などの物理リソースや、ファイルやデータなどの情報リソースが広域に分散して配置され、これら物理リソースに配置されたコンピュータや情報リソースを保持するコンピュータがネットワークを介して接続された環境(以下、広域分散環境という)が知られている。
【0003】
この種の広域分散環境では、物理リソースへの不正な立ち入り、情報リソースの漏洩や盗難、といった脅威が増加してきている。このような脅威に対し、利用者による物理リソースや情報リソースへのアクセスを制御する物理セキュリティシステム及び情報セキュリティシステムの重要性が高まっている。
【0004】
各セキュリティシステムでは、利用者を正しく識別及び認証し、アクセス対象への正当なセキュリティ属性(権限など)を有するか否かを確認できることが重要である。
【0005】
物理セキュリティシステムでは、利用者の身元に応じて特定の制限領域への立ち入りを制御する。この種の制御は、古くは監視員による人的な監視方式を利用し、近年ではコンピュータによる情報処理的な認証方式を利用して実現されている。情報処理的な認証方式としては、例えば、スマートカードなどのセキュアデバイスによる所有物認証や、生体情報に基づくバイオメトリック認証などにより、利用者が本人であることを確認する本人確認方式がある。また、認証方式を利用した制御は、例えば、認証方式による本人確認の後、さらに、正当なセキュリティ属性を有しているか否かを判定し、この判定結果に応じて立ち入りを制御することにより実現される。
【0006】
情報セキュリティシステムは、利用者の身元に応じて特定のファイルやデータへのアクセスを制御する。この種の制御は、前述したような認証方式を利用して実現される。
【0007】
また、このような利用者の認証をサービスとして提供するセキュリティシステムも登場している。係るセキュリティシステムでは、生体情報のような機微度の高い認証要素を扱う場合、一般サービスとは独立して認証要素を管理することが望まれる。
【0008】
しかしながら、以上のような各セキュリティシステムでは、利用者のアカウントをそれぞれ独立して管理する場合が多い。この場合、アカウント登録時に、予め利用者は、運転免許証や保険証、社員証などといった物理的な身元証明書類を各セキュリティシステムの管理者に提示する。
【0009】
各セキュリティシステムの管理者は、提示された身元証明書類に基づいて、アカウント登録の可否を判断する。このような判断を各セキュリティシステムで実行することは、多大な負荷をシステム提供者と利用者に課すことになる。
【0010】
一方、アカウント管理に類似する既存技術として、PKI(Public Key Infrastructure:公開鍵基盤)と公開鍵証明書(X.509証明書)が知られている(例えば、非特許文献1参照。)。PKIとは、利用者(個人または機関)の身元を保証するために、信頼できる第三者機関(通常、Certificate Authority:CAと呼ばれる)が保証を行う枠組みである。
【0011】
ここで、第三者機関は、自己を証明するためのルート証明書(またはCA証明書)などと呼ばれる公開鍵証明書を持ち、このルート証明書に基づいて個々の利用者の公開鍵証明書を生成する。利用者は、公開鍵証明書により自己の身元を証明できる。自己の身元を証明する場合、利用者は、公開鍵証明書に含まれる公開鍵に対し、対応する秘密鍵(または私有鍵)を用いて生成したディジタル署名等を利用する。
【0012】
公開鍵証明書以外には、属性情報のみを保証するための公開鍵を含まない属性証明書等が知られている(例えば、非特許文献2参照。)。属性証明書は、属性情報と、公開鍵証明書のシリアル番号とを含み、且つこの公開鍵証明書の公開鍵に対応する秘密鍵によるディジタル署名が付与されている。すなわち、属性証明書は、公開鍵証明書に派生して生成されている。
【0013】
なお、このようにルート(基底)となる認証要素(例、公開鍵証明書)に基づいて派生する認証要素(例、属性証明書)を生成する場合、ルートの認証要素が失効した場合、派生する全ての認証要素を再生成する必要がある。但し、公開鍵証明書と属性証明書の場合、ルートの認証要素である公開鍵証明書の有効期間(または生存サイクル期間)が、派生する認証要素である属性証明書の有効期間よりも長いので、再生成の影響は少ない。
【非特許文献1】R. Housley、W. Polk、W. Ford、D. Solo、" Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile"、[online]、 [2007年4月27日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc3280.txt>
【非特許文献2】S. Farrell、R. Housley、" An Internet Attribute Certificate Profile for Authorization"、[online]、 [2007年4月27日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc3281.txt>
【発明の開示】
【発明が解決しようとする課題】
【0014】
しかしながら、本発明者の検討によれば、ルートの認証要素の有効期間よりも派生する認証要素の有効期間が長い場合、再生成の影響が非常に大きいと考えられる。
【0015】
例えば、認証要素が公開鍵証明書の場合には、利用する秘密鍵の鍵長や暗号アルゴリズムの危殆化速度に依存して公開鍵証明書の有効期間が中短期となる。認証要素が生体情報の場合には、生体情報の偽造が困難なことから、有効期間が長期となる。
【0016】
ここで、ルートの認証要素を公開鍵証明書とし、派生する認証要素を生体情報とした場合、中短期でルートの認証要素(公開鍵証明書)が失効する毎に、派生する認証要素(生体情報)も有効期間が長期でも失効してしまう。
【0017】
すなわち、第1の課題としては、ルートとなる認証要素と、それに派生する認証要素とが独立して個別のシステム上で管理される場合に、ルートとなる認証要素の失効に伴い、派生する認証要素も失効しなければならないことが挙げられる。
【0018】
このとき、派生する認証要素を利用したサービスやシステム等を継続させるためには、ルートとなる認証要素を再生成した後、派生する認証要素を再生成する必要がある。
【0019】
このように、ルートとなる認証要素の有効期間が失効する場合、派生する認証要素の固有な安全性や運用特性とは無関係に、派生する認証要素の有効期間を短縮させてしまう。
【0020】
しかしながら、派生する認証要素が生体情報の場合、生体情報は高い機微度をもつセンシティブな情報であり、取得時のセキュリティに細心の注意を払う必要があるため、頻繁に更新及び再生成することが難しい。
【0021】
そのため、実運用を考慮すると、ルートとなる認証要素である公開鍵証明書の有効期間を暗号学的安全性よりも長期間に設定することになる。このように、ルート及び派生のそれぞれの認証要素が持つ固有な安全性と運用特性とに基づく有効期間を適切に設定することが困難である。
【0022】
また、第2の課題としては、従来の公開鍵証明書の有効期限(validity period)では、派生する認証要素の有効期間を一時的に無効にする設定ができないことが挙げられる。
【0023】
例えば、2007年1月1日から2007年2月1日まで有効とし、2007年2月2日から2007年2月末日まで無効とし、2007年3月1日から2007年4月1日まで有効としたい場合に対応できない。
【0024】
この場合、派生する認証要素を有効期間“2007年1月1日〜2007年2月1日”として生成し、2007年2月2日に無効とした後、派生する認証要素を有効期間“2007年3月1日〜2007年4月1日”として再生成することになる。
【0025】
このように、認証要素を一時的に無効にした後に再生成することは、各認証要素の管理主体及び利用者に多大な負担となる。
【0026】
本発明は上記実情を考慮してなされたもので、ルートとなる認証要素が失効しても、派生する認証要素の失効を阻止し得るアカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラムを提供することを目的とする。
【0027】
また、本発明の他の目的は、派生する認証要素の有効期間を一時的に無効に設定し得るアカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラムを提供することにある。
【課題を解決するための手段】
【0028】
第1の発明は、利用者の身元を保証するための基底アカウント情報を管理する基底アカウント管理装置と、前記基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置とを備え、前記各アカウント管理装置が利用者のクライアント装置と通信可能なアカウント管理システムであって、前記基底アカウント管理装置としては、初期認証要素情報が格納された初期認証要素フィールド及び派生アカウント信用要素情報が格納される派生アカウント信用要素フィールドを備えた前記基底アカウント情報を記憶した基底アカウント記憶手段と、前記基底アカウント管理装置の秘密鍵及びこの秘密鍵に対応する公開鍵証明書が記憶された基底アカウント鍵記憶手段と、前記派生アカウント信用要素情報に対する複数の有効期間を含む生存条件を予め設定するための生存条件設定手段と、前記初期認証要素情報に基づいて、前記クライアント装置の利用者を認証する初期認証手段と、前記初期認証手段による認証結果が正当のとき、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報及び前記生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する手段と、前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び前記公開鍵証明書からなる派生アカウント信用要素情報を前記派生アカウント信用要素情報フィールドに格納する手段と、前記基底アカウント記憶手段内の派生アカウント信用要素情報を派生アカウント管理装置に送信する手段と、を備えており、前記派生アカウント管理装置としては、前記派生アカウント信用要素情報が格納される派生アカウント信用要素フィールド及び派生認証要素情報が格納される派生認証要素フィールドを備えた前記派生アカウント情報を記憶可能な派生アカウント記憶手段と、前記基底アカウント管理装置から派生アカウント信用要素情報を受信すると、この派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、この検証の結果、電子署名が正当のとき、前記派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、この検証の結果、生存条件を満たす場合、前記派生アカウント信用要素情報を前記派生アカウント信用要素フィールドに含む前記派生アカウント情報を作成し、この派生アカウント情報を前記派生アカウント記憶手段に書き込む手段と、前記利用者の生体情報を前記クライアント装置から取得し、この生体情報から生体情報テンプレートを作成する手段と、前記生体情報テンプレートを含む派生認証要素情報を前記派生アカウント記憶手段内の前記派生アカウント情報の派生認証要素フィールドに書き込む手段と、前記派生認証要素の書き込みの後、前記派生アカウント情報へのアクセス要求を受けたとき、前記派生アカウント記憶手段内の派生アカウント情報における派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、この検証の結果、電子署名が正当のとき、当該派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、この検証の結果、生存条件を満たさない場合、前記アクセス要求を拒否して前記派生アカウント情報を無効化する手段と、を備えたアカウント管理システムである。
【0029】
なお、第1の発明は、各装置の集合体を「システム」として表現したが、これに限らず、各装置の集合体又は各装置を「装置」、「方法」、「プログラム」又は「コンピュータ読み取り可能な記憶媒体」として表現してもよい。
【0030】
(作用)
第1の発明においては、生存条件を満たすときに有効となる派生アカウント情報を、基底アカウント管理装置の公開鍵証明書の有効期間を過ぎると失効する派生アカウント信用要素情報と、この有効期間とは無関係に有効な利用者の生体情報テンプレートと、の両者を含む構成としたことにより、ルートとなる認証要素(公開鍵証明書)が失効しても、派生する認証要素(生体情報テンプレート)の失効を阻止することができる。また、生存条件が複数の有効期間を含む構成により、派生する認証要素の有効期間を一時的に無効に設定することができる。
【発明の効果】
【0031】
以上説明したように本発明によれば、ルートとなる認証要素が失効しても、派生する認証要素の失効を阻止できる。また、派生する認証要素の有効期間を一時的に無効に設定できる。
【発明を実施するための最良の形態】
【0032】
以下、本発明の各実施形態について図面を用いて説明する。なお、以下の各装置は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
【0033】
(第1の実施形態)
図1は本発明の第1の実施形態に係るアカウント管理システムの構成例を示す模式図である。このアカウント管理システムは、互いに通信可能な基底アカウント管理装置10及び派生アカウント管理装置20を備えており、各アカウント装置10,20にクライアント装置30がネットワーク40を介して通信可能となっている。
【0034】
ここで、基底アカウント管理装置10は、図2に示すように、基底アカウント保存部11、通信部12、制御部13、転送処理部14、基底アカウント操作部15、派生アカウント信用要素生成部16、生存条件設定部17及び初期認証部18を備えている。
【0035】
基底アカウント保存部11は、各部12〜18から読出/書込可能な記憶装置であり、図3に示す如き、派生アカウント信用要素情報を含む基底アカウント(情報)50と、基底アカウント管理装置50の秘密鍵及びこの秘密鍵に対応する公開鍵証明書(図示せず)とを保存している。基底アカウント50は、利用者の全ての身元保証の基底となるアカウントであり、現実世界の利用者の身元を保証するために作成される。基底アカウント50を作成するための身元保証処理としては任意の方式が適用可能である。本実施形態では、基底アカウント50は予め基底アカウント保存部11に保存されているものとする。
【0036】
基底アカウント50は、基底属性情報ブロック51及び派生管理情報ブロック54を備えている。
【0037】
基底属性情報ブロック51は、基底アカウント50の対象主体に関連する属性情報フィールド52,53の集合である。基底属性情報ブロック51は、基底属性情報フィールド52及び初期認証要素フィールド53を備えている。
【0038】
基底属性情報フィールド52は、基底アカウント50の対象主体が有する一般的な属性情報を格納するフィールドである。例えば、基底アカウント50のアカウントIDや、姓名、住所などが該当する。基底アカウント10は、基底属性情報フィールド52を任意に含んでもよい。
【0039】
初期認証要素フィールド53は、基底アカウント管理装置10が利用する初期認証の認証要素(以後、初期認証要素という)を格納するフィールドである。初期認証要素としては、例えばパスワードや公開鍵証明書対などが該当する。
【0040】
派生管理情報ブロック54は、派生アカウント60に対して生成した派生アカウント信用要素情報56を管理するためのフィールドの集合である。派生管理情報ブロック54は、派生アカウント信用要素情報フィールド55を備えている。
【0041】
派生アカウント信用要素情報フィールド55には、後述する派生アカウント60に対して生成した派生アカウント信用要素情報56が格納される。但し、派生アカウント信用要素情報フィールド55には、派生アカウント信用要素情報56が格納される場合に限らず、派生アカウント信用要素情報56を取得するための参照情報のみを格納してもよい。また、派生アカウント信用要素情報56を保存するリポジトリを基底アカウント管理装置10の外部に構築し、派生アカウント信用要素情報56から基底アカウント50を参照してもよい。いずれにしても、派生アカウント信用要素情報56と基底アカウント50との関連性を保持し、随時参照できればよい。
【0042】
派生アカウント信用要素情報56は、図4に示すように、派生アカウント60の正当性を確認するための情報であり、信用要素識別情報(派生アカウント信用要素情報56の識別情報)、生成元情報(基底アカウント管理装置10の識別情報)、生成先情報(派生アカウント管理装置20の識別情報)、基底アカウント参照情報(基底アカウント50を参照するための識別情報)、生存条件情報及びセキュリティ情報を含む。
【0043】
生成先情報(派生アカウント管理装置20の識別情報)は、ユーザIDなどの基底アカウント固有の識別子でもよく、pseudonyms(仮名)のような派生アカウントとの間で確立される一時的な乱数情報(pseudo-random)であってもよい。
【0044】
生存条件情報は、派生アカウント全体に対する生存条件を示す情報であり、ここでは派生アカウント信用要素情報56の一部分とした例を述べる。生存条件情報には2つの生存条件が指定される。1つ目は派生アカウント信用要素情報56の生存条件である。2つ目は派生アカウントの生存条件である。
【0045】
派生アカウント信用要素情報56の生存条件は、派生アカウント信用要素有効期間である。派生アカウント信用要素有効期間は、有効開始日時(NotBefore)と有効終了日時(NotOnAfter)とで表す形式や、有効期限(validity period)を示す形式などが使用可能となっている。有効開始日時と有効終了日時とで表す形式は、この例では有効開始日時未満と有効終了日時以降を示したが、指定日時を含むか否かについては任意の定義を適宜使用すればよい。また、複数の有効期間を記してもよく、例えば、有効開始日時と有効終了日時との組を複数記してもよい。
【0046】
派生アカウントの生存条件は、派生アカウント拡張生存条件(以下、拡張生存条件ともいう)であり、派生アカウント信用要素情報56に依らない生存条件を示している。この派生アカウント拡張生存条件は、派生アカウントを有効にするための特定イベントの規定や、派生アカウントを無効にする条件などを示す。
【0047】
特定イベントの規定としては、例えば、決済能力の審査など、基底アカウント管理装置10以外の第三者による合意もしくは保証が必要な場合を示す情報である。図4の例では、派生アカウント生成時に第三者に承認を求めるイベントを派生アカウント拡張生存条件としている。この例では、イベントサブジェクト(EventSubject)、イベントアクション(EventAction)、イベントオブジェクト(EventObject)、イベントコンディション(EventCondition)及びイベント効果(EventEffect)から構成される。但し、イベントサブジェクト(イベント主体)は、派生アカウント管理装置20を示すため、暗黙的に省略してもよい。
【0048】
イベントサブジェクト(イベント主体)は、イベントアクションを実行する主体を示し、この例ではイベント主体をURL形式で示している。
【0049】
イベントアクション(イベント動作)は、イベント主体が実行すべきイベント動作を示し、この例では、イベント対象から承認を得る動作”GET APROVAL”を示している。
【0050】
イベントオブジェクト(イベント対象)は、イベントアクションを実行する対象を示し、この例ではイベント対象をURL形式で示している。
【0051】
イベントコンディション(イベント条件)は、イベントの発生条件を示しており、ここでは、さらに子要素としてイベントの種別を示すイベントタイプ(EventType)を備えている。イベントタイプ”CREATE ACCOUNT”は、アカウント作成時のみに発生する旨を示す種別である。イベントコンディションは、イベントタイプ以外に任意の条件を設定しても構わない。
【0052】
イベント効果は、イベントアクションの実行が成功した場合の効果であり、派生アカウント拡張生存条件の評価結果となる。ここでは、派生アカウント作成時(EventType)に、派生アカウント管理装置(EventSubject)が、URL”http://example3.co.jp”で定められる第三者装置(EventObject)から承認を得た場合(EventAction)に、派生アカウントの有効を示す”許可(permit)”という効果(EventEffect)を得る。図4は、生存条件の一例を示しており、任意の形式での記述に変形しても構わない。
【0053】
セキュリティ情報は、派生アカウント信用要素情報56を暗号学的技術により保護するための情報である。暗号学的技術としては、一般的な方式が利用可能となっている。例えば、ディジタル署名技術を利用する場合、署名アルゴリズム名、鍵情報(公開鍵証明書)及び署名値などがセキュリティ情報に含まれる。なお、署名アルゴリズム名は、所定の署名アルゴリズムを用いる場合のように検証者への通知が不要な場合には省略してもよい。
【0054】
通信部12は、派生アカウント管理装置20及びクライアント装置30等の外部エンティティ装置と通信するための機能部である。
【0055】
制御部13は、基底アカウント管理装置10内でのイベントやデータを制御するための機能部であり、後述する図8に示す動作を実行するように、各部11,12,14〜18を制御する機能をもっている。
【0056】
転送処理部14は、派生アカウント管理装置20の転送処理部から送出された転送を処理し、要求処理を解釈する機能部である。要求された処理を基底アカウント管理装置10内の該当する機能部に伝えて、処理が実行された結果を転送元の派生アカウント管理装置20に返信する。
【0057】
具体的には転送処理部14は、派生アカウント管理装置20から受けた基底アカウント管理装置名、及び派生アカウント管理装置20の接続先情報を受信して初期認証部18に送出する機能と、初期認証部による認証結果を派生アカウント管理装置へ転送する機能とをもっている。
【0058】
基底アカウント操作部15は、基底アカウントに対する操作を実行する機能部である。基底アカウントに対する操作は、本実施形態では基底アカウントを構成するフィールドに対する一般的なCRUD(CREATE:作成、READ:読み取り、UPDATE:更新、DELETE:削除)操作を対象とする。
【0059】
具体的には、基底アカウント操作部15は、通信部12から基底アカウント信用要素情報56の送信要求を受信すると、基底アカウント保存部11内の派生アカウント信用要素情報56を通信部12により派生アカウント管理装置20に送信する機能とをもっている。
【0060】
派生アカウント信用要素生成部16は、派生アカウントを保証するための派生アカウント信用要素情報56を生成する機能部である。初期認証部18を介して利用者の初期認証が成功し、かつ許可された派生アカウント管理装置20からの派生アカウント信用要素情報生成要求である場合に、派生アカウント信用要素情報56を生成する。派生アカウント信用要素情報56に生存条件情報を含める場合は、生存条件設定部17から生存条件情報を取得し、生成する派生アカウント信用要素情報56の構成情報として含める。
【0061】
具体的には派生アカウント信用要素生成部16は、初期認証部18による認証処理が成功したとき、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件に対し、基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する機能と、これら信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件及びセキュリティ情報(署名アルゴリズム名、秘密鍵に対応する公開鍵証明書、電子署名)からなる派生アカウント信用要素情報56を生成する機能と、基底アカウント操作部15により、この派生アカウント信用要素情報56を基底アカウント保存部11内の基底アカウント50の派生アカウント信用要素情報フィールド55に書き込む機能とをもっている。
【0062】
生存条件設定部17は、派生アカウント60に対する生存条件情報を管理する機能部であり、事前に生存条件設定情報が設定され、各部からの要求に応じて、生存条件設定情報を出力する機能をもっている。生存条件設定情報は、生存条件情報の出力条件情報と、生存条件情報とから構成される。
【0063】
出力条件情報は、派生アカウント用途及び派生アカウント管理装置識別情報を備えている。派生アカウント用途は、派生アカウント60の用途情報であり、例えば「PAYMENT」(決済用途)や、「INTERNAL BUSINESS OPERATIONS」(業務用途)などがある。情報の定義は、基底アカウント管理装置10と派生アカウント管理装置20との間で事前に共有されるものとする。派生アカウント管理装置識別情報(生成先情報)及び生存条件は、前述した通りである。
【0064】
初期認証部18は、基底アカウント50の初期認証要素に基づいて利用者を認証する機能部である。初期認証部18で実行される認証方式の種類に関しては、任意の認証方式が適用可能であるが、ここでは一例としてパスワード認証方式を用いる。
【0065】
具体的には初期認証部18は、転送処理部14から基底アカウント管理装置名及び派生アカウント管理装置20の接続先情報を受けると、制御部13及び通信部12を介してユーザID及びパスワードの入力画面データをクライアント装置30に送信する機能と、通信部12により受信したユーザID及びパスワードと、基底アカウント保存部11内の基底アカウントに含まれるユーザID及びパスワードとを照合することにより、利用者の認証処理を実行する機能と、認証処理の実行結果を派生アカウント信用要素生成部16に送出する機能とをもっている。
【0066】
派生アカウント管理装置20は、基底アカウント50の身元保証に由来して作成されるアカウント(以後、派生アカウントという)を管理する。派生アカウントは、基底アカウント50の認証要素とは異なる認証要素(以後、派生認証要素という)を保持し、基底アカウント50とは別々に管理されている。派生アカウント管理装置20の好適な例としては、生体情報テンプレートを保持し、生体認証サービスを提供する生体認証システムなどが挙げられる。
【0067】
派生アカウント管理装置20は、図5に示すように、派生アカウント保存部21、通信部22、制御部23、転送処理部24、派生アカウント操作部25、派生認証要素作成部26及びアカウント検証部27を備えている。
【0068】
派生アカウント保存部21は、各部22〜27から読出/書込可能な記憶装置であり、図6に示す如き、派生アカウント(情報)60と、基底アカウント管理装置10の公開鍵証明書と、派生アカウント管理装置20の秘密鍵及びこの秘密鍵に対応する公開鍵証明書とが保存される。
【0069】
派生アカウント60は、ユーザ属性情報ブロック61及び派生アカウント管理情報ブロック64を備えている。
【0070】
ユーザ属性情報ブロック61は、派生アカウントの対象主体に関連する属性情報を格納するためのフィールド62,63の集合である。ユーザ属性情報ブロック61は、属性情報フィールド62及び派生認証要素フィールド63を備えている。
【0071】
属性情報フィールド62は、派生アカウント60の対象主体が有する一般的な属性情報を格納するフィールドである。例えば、派生アカウント60のアカウントIDなどが該当する。派生アカウント60は、属性情報フィールド62を任意に含んでもよい。
【0072】
派生認証要素フィールド63は、派生アカウント管理装置20が利用する認証要素、すなわち派生認証要素を格納するフィールドである。派生認証要素としては、例えば生体情報のテンプレートデータなどが該当する。
【0073】
派生アカウント管理情報ブロック64は、派生アカウント60の生存管理の判断基準となる情報を格納するためのフィールド65,66の集合である。派生アカウント管理情報ブロック64は、派生アカウント信用要素情報フィールド65及び有効情報フィールド66を備えている。
【0074】
派生アカウント信用要素情報フィールド65は、基底アカウント管理装置10により生成された派生アカウント信用要素情報56を格納するフィールドである。
【0075】
有効情報フィールド66は、派生アカウント60が有効か否かを定義する情報(以後、有効情報という)を格納するフィールドである。有効情報は、例えば、有効であるときは「1」、無効であるときは「0」と表現する。但し、有効情報フィールド66及び有効情報は、本実施形態においては任意なフィールド及び情報である。
【0076】
通信部22は、基底アカウント管理装置10及びクライアント装置30等の外部エンティティ装置と通信するための機能部である。
【0077】
制御部23は、派生アカウント管理装置20内でのイベントやデータを制御し、アカウント検証部27による検証結果に応じて派生アカウント60の有効性を制御するための機能部であり、図8に示す動作を実行するように各部21,22,24〜27を制御する機能をもっている。
【0078】
転送処理部24は、基底アカウント管理装置10の転送処理部14から送出された転送を処理し、要求処理を解釈する機能部であり、要求処理を派生アカウント管理装置20内の該当する機能部に伝え、処理の実行結果を転送元の基底アカウント管理装置10に返信する。
【0079】
具体的には転送処理部24は、クライアント装置30から受信した基底アカウント管理装置名を当該基底アカウント装置10に転送する機能と、この転送のとき、派生アカウント管理装置20の接続先情報(URI:Uniform Resource IdentifierまたはURL:Uniform Resource Locatorなど)も基底アカウント管理装置10に送信する機能と、基底アカウント管理装置10から認証結果を受信すると、派生アカウント信用要素情報56の送信要求を基底アカウント管理装置10に送信する機能とをもっている。
【0080】
派生アカウント操作部25は、派生アカウント60に対する操作を実行する機能部であり、生成された派生アカウント信用要素情報56に基づいて派生アカウント60を生成する機能をもっている。
【0081】
派生アカウント60に対する操作は、本実施形態では派生アカウント60を構成するフィールドに対する一般的なCRUD(CREATE:作成、READ:読み取り、UPDATE:更新、DELETE:削除)操作、さらに無効化処理及び有効化処理を対象とする。
【0082】
具体的には派生アカウント操作部25は、制御部23から派生アカウント生成要求を受けると、派生アカウント保存部21内の基底アカウント管理装置名を制御部23及び通信部22を介してクライアント装置30に送信する機能と、派生アカウント60へのアクセス要求があったとき、派生アカウント60の生存検証をアカウント検証部27に要求する機能と、アカウント検証部27から受けた検証結果が「permit(許可)」であれば、派生アカウント60にアクセスし、派生アカウント60のユーザ属性情報ブロック61に基づき、ユーザ認証を実行する機能と、アカウント検証部27から受けた検証結果が「deny(拒否)」であれば、派生アカウント60へのアクセスを拒否し、派生アカウント60を無効化する機能とをもっている。
【0083】
派生認証要素作成部26は、利用者のクライアント装置30との間で派生認証要素を合意確立し、合意した派生認証要素を作成する機能と、作成した派生認証要素を派生アカウント保存部21内の派生アカウント60の派生認証要素フィールド63に書き込む機能と、派生認証要素の書き込み後、派生アカウントの作成完了又は失敗を示す処理結果をクライアント装置30及び基底アカウント管理装置10に通知する機能とをもっている。
【0084】
アカウント検証部27は、派生アカウント60が有する派生アカウント管理情報ブロック64のフィールドの情報を検証する機能部であり、派生アカウント信用要素情報56に含まれる生存条件を検証する機能をもっている。
【0085】
具体的には、アカウント検証部27は、通信部22により派生アカウント信用要素情報56を受信すると、この派生アカウント信用要素情報56内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報56内の電子署名を検証する機能と、この検証の結果、電子署名が正当のとき、派生アカウント信用要素情報56に含まれる生存条件に基づいて、派生アカウント60の生存が許可されるか否かを検証する機能と、検証結果が“許可(permit)”の場合、派生アカウント操作部25により派生アカウント60を作成して派生アカウント保存部21に書き込む機能とをもっている。
【0086】
また、アカウント検証部27は、派生アカウント操作部25から派生アカウント60の生存検証を要求されたときにも、同様に、電子署名を検証した後に生存条件を検証し、検証結果を派生アカウント操作部25に送出する機能をもっている。
【0087】
クライアント装置30は、利用者が基底アカウント管理装置10と派生アカウント管理装置20とに接続するためのエンティティ装置である。
【0088】
クライアント装置30は、図7に示すように、データ保存部31、通信部32及びユーザインタフェース部33を備えている。
【0089】
データ保存部31は、通信部32及びユーザインタフェース部33から読出/書込可能な記憶装置であり、例えば、各部32,33の処理における一時的な記憶装置として用いられる。
【0090】
通信部32は、ユーザインタフェース部33に制御され、基底アカウント管理装置10及び派生アカウント管理装置20と通信するためのものであり、データ保存部31に対する読出/書込機能をもっている。
【0091】
ユーザインタフェース部33は、利用者の操作により、クライアント装置30にデータを入出力する機能と、データ保存部31に対する読出/書込機能と、通信部32を制御する機能とをもっている。
【0092】
具体的にはユーザインタフェース部33は、利用者の操作により、通信部32を介して派生アカウント生成要求を派生アカウント管理装置20に送信する機能と、通信部32が受信した基底アカウント管理装置名を画面表示する機能と、この画面表示中、利用者の操作により選択された基底アカウント管理装置名を通信部32から派生アカウント管理装置20に送信する機能とをもっている。
【0093】
次に、以上のように構成されたアカウント管理システムの動作について図8を用いて説明する。この説明は「アカウント登録」及び「派生アカウントの検証及び削除」の順に行う。
【0094】
(アカウント登録)
[ステップST1]
クライアント装置30においては、利用者の操作により、ユーザインタフェース部33が通信部32を介して、派生アカウント生成要求を派生アカウント管理装置20に送信する。
【0095】
[ステップST2]
派生アカウント管理装置20においては、この派生アカウント生成要求を通信部22及び制御部23を介して派生アカウント操作部25が受けると、派生アカウント操作部25が、選択可能な基底アカウント管理装置10を示す基底アカウント管理装置名を制御部23及び通信部22を介してクライアント装置30に送信する。基底アカウント管理装置名は、予め派生アカウント保存部21内に書き込まれているものとする。
【0096】
クライアント装置30においては、基底アカウント管理装置名を通信部32が受信すると、ユーザインタフェース部33がこの基底アカウント管理装置名を画面表示する。
【0097】
[ステップST3−1]
クライアント装置30においては、利用者の操作により、ユーザインタフェース部33が基底アカウント管理装置名を選択し、この基底アカウント管理装置名を通信部32から派生アカウント管理装置20に送信する。
【0098】
[ステップST3−2]
派生アカウント管理装置20においては、この基底アカウント管理装置名を転送処理部24が受信すると、転送処理部24がこの基底アカウント管理装置名に基づいて、受信内容を当該基底アカウント管理装置10へ転送する。このとき、派生アカウント管理装置20の接続先情報も基底アカウント管理装置10に送信される。
【0099】
[ステップST4]
基底アカウント管理装置10においては、基底アカウント管理装置名、及び派生アカウント管理装置20の接続先情報を転送処理部14が受信して初期認証部18に送出する。
【0100】
初期認証部18は、この基底アカウント管理装置名、及び派生アカウント管理装置20の接続先情報を受けると、基底アカウント保存部11内の初期認証要素に基づき、基底アカウント操作部15を介して利用者を認証する。
【0101】
例えば、基底アカウント保存部11内の初期認証要素がパスワードの場合、初期認証部18は、制御部13及び通信部12を介して、ユーザID及びパスワードの入力画面データをクライアント装置30に送信する。
【0102】
クライアント装置30においては、利用者の操作により、ユーザインタフェース部33に入力されたユーザID及びパスワードを通信部32から基底アカウント管理装置10に送信する。
【0103】
基底アカウント管理装置10では、初期認証部18が、通信部12により受信したユーザID及びパスワードと、基底アカウント保存部11内の基底アカウントに含まれるユーザID及びパスワードとを照合することにより、利用者の認証処理を実行する。
【0104】
[ステップST5]
通信部12により受信したパスワードと基底アカウント保存部11の基底アカウントに含まれるパスワードとの一致により認証処理が成功したとき、基底アカウント管理装置10においては、派生アカウント信用要素生成部16が、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件に対し、基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する。なお、生存条件は生存条件設定部17に事前に設定されている。
【0105】
また、派生アカウント信用要素生成部16は、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件及びセキュリティ情報からなる派生アカウント信用要素情報56を生成する。
【0106】
しかる後、派生アカウント信用要素生成部16は、基底アカウント操作部15により、この派生アカウント信用要素情報56を基底アカウント保存部11内の基底アカウント50の派生アカウント信用要素情報フィールド55に書き込む。
【0107】
これ以降の任意のステップにおいて、基底アカウント操作部15は、派生アカウント信用要素情報56の参照IDを当該派生アカウント信用要素情報56と関連付けて基底アカウント保存部11に保存する。保存するタイミングとしては、例えば派生アカウント60が生成されるタイミング([ステップST8])が望ましい。
【0108】
[ステップST6−1]
基底アカウント管理装置10は、転送処理部14が、初期認証部18による認証結果を派生アカウント管理装置20へ転送する。
[ステップST6−2]
派生アカウント管理装置20においては、転送処理部24が認証結果を受信すると、派生アカウント信用要素情報56の送信要求を基底アカウント管理装置10に送信する。
【0109】
[ステップST7]
基底アカウント管理装置10は、通信部12により、派生アカウント信用要素情報56の送信要求を受信すると、基底アカウント操作部15が、基底アカウント保存部11内の派生アカウント信用要素情報56を派生アカウント管理装置20に送信する。
【0110】
[ステップST8]
派生アカウント管理装置20においては、通信部22により派生アカウント信用要素情報56を受信すると、アカウント検証部27が、この派生アカウント信用要素情報56におけるセキュリティ情報内の公開鍵証明書に基づいて、当該セキュリティ情報内の電子署名を検証し、この検証の結果、電子署名が正当のときには、派生アカウント信用要素情報56に含まれる生存条件に基づいて、派生アカウント60の生存が許可されるか否かを検証する。
【0111】
具体的には図9に示すように、アカウント検証部27は、派生アカウント信用要素情報56内の派生アカウント信用要素有効期間に基づいて、派生アカウント信用要素情報56が有効か否かを判定し(ST8−1)、判定結果が否の場合にはステップST8−5に進み、評価結果を“拒否(deny)”として処理を終了する。
【0112】
ステップST8−1の判定結果が“有効”を示す場合、アカウント検証部27は、派生アカウント信用要素情報56に派生アカウント拡張生存条件が存在するか否かを判定し(ST8−2)、判定結果が否の場合にはステップST8−6に進み、評価結果を“許可(permit)”として処理を終了する。
【0113】
ステップST8−2の判定結果が“存在する”旨を示す場合、アカウント検証部27は、派生アカウント拡張生存条件で規定されるイベントを実行し(ST8−3)、派生アカウント拡張生存条件のイベント効果が“許可(permit)”か否かを判定する(ST8−4)。
【0114】
ステップST8−4の判定結果が否の場合、アカウント検証部27は、ステップST8−5に進み、評価結果を“拒否(deny)”として(ST8−5)、処理を終了する。
【0115】
一方、ステップST8−4の判定結果が“許可(permit)”の場合、アカウント検証部27は、ステップST8−6に進み、評価結果を“許可(permit)”として処理を終了する。
【0116】
次に、アカウント検証部27は、図10に示すように、派生アカウント信用要素情報の生存条件の評価結果を得ると(ST8−1〜ST8−6)、得られた評価結果が“許可(permit)”か否かを判定し(ST8−7)、判定結果が否の場合には処理を終了する。
【0117】
ステップST8−7の判定結果が“許可(permit)”の場合、アカウント検証部27は、派生アカウント操作部25により派生アカウント60を作成し(ST8−8)、処理を終了する。派生アカウント60は、派生アカウント操作部25により、派生アカウント保存部21に書き込まれる。
【0118】
[ステップST9]
派生アカウント管理装置20においては、派生認証要素作成部26が、利用者のクライアント装置30との間で派生認証要素を合意確立し、この合意した派生認証要素を派生アカウント保存部21内の派生アカウント60の派生認証要素フィールド63に書き込む。例えば生体認証の場合、派生認証要素作成部26は、利用者の生体情報をクライアント装置30から取得し、この生体情報から生体情報テンプレートを作成し、生体情報テンプレートにテンプレート管理情報を付与して派生認証要素を作成する。なお、テンプレート管理情報には、派生アカウント信用要素情報56の各情報を含めてもよい。この各情報としては、例えば、発行元情報(基底アカウント管理装置10の識別情報)や、基底アカウント参照情報などが挙げられる。また、テンプレート管理情報は付与しなくてもよい。
【0119】
また、派生認証要素作成部26は、真正性を保証する観点から、生体情報テンプレートとテンプレート管理情報に対して電子署名を施すことにより、派生認証要素を作成してもよい。電子署名を施す場合、電子署名の署名生成鍵(一般的には、公開鍵証明書の対となる秘密鍵)は、派生アカウント管理装置20が有する鍵であり、頻繁な更新の必要性が少なく、(基底アカウント装置10の公開鍵証明書の有効期間や秘密鍵の鍵長よりも)長期的な有効期間や安全な鍵長が選択される。このため、生体情報テンプレートに電子署名を施す場合でも、派生認証要素は、基底アカウント管理装置10の公開鍵証明書の有効期間よりも、長い有効期間を得ることができる。なお、派生アカウント管理装置20が有する署名生成鍵及びこの署名生成鍵に対応する公開鍵証明書は、例えば、派生アカウント保存部21に予め保存されている。
【0120】
いずれにしても、このステップST9は、派生アカウント60の派生認証要素フィールド63に派生認証要素を書き込む場合に実行される。
【0121】
[ステップST1−10]
派生認証要素の書き込み後、派生アカウント管理装置20においては、派生認証要素作成部26が制御部23及び通信部22を介し、完了又は失敗を示す処理結果をクライアント装置30及び基底アカウント管理装置10に通知する。以後、派生アカウント60が利用可能となる。
【0122】
(派生アカウントの検証及び削除)
次に、派生アカウント60を検証及び削除する動作について図11を用いて説明する。派生アカウント60の検証は、任意のタイミングで実行される。ここでは、派生アカウント60のユーザ属性情報ブロックへのアクセス時に実行される例を述べる。なお、派生アカウント60の検証は、派生アカウント管理装置20によるユーザ認証など、派生認証要素を利用する際に実行されることが望ましい。以下の動作説明は、派生アカウント操作部25が派生アカウント60のユーザ属性情報ブロック61にアクセスする時点から開始する。
【0123】
[ステップST11]
派生アカウント管理装置20においては、派生アカウント操作部25が、派生アカウント60へのアクセス要求があったとき、派生アカウント60の生存検証をアカウント検証部27に要求する。アカウント検証部27は、派生アカウント保存部21から派生アカウント60の派生アカウント信用要素情報56を取得する。
【0124】
[ステップST12]
アカウント検証部27は、取得した派生アカウント信用要素情報56におけるセキュリティ情報内の公開鍵証明書に基づいて、当該セキュリティ情報内の電子署名を検証し、この検証の結果、電子署名が正当のときには、派生アカウント信用要素情報56内の生存条件に基づいて、図9に示したように、派生アカウント60の生存が許可されるか否かを検証し、検証結果を派生アカウント操作部25に返す。
【0125】
なお、派生アカウント操作部25は、アカウント検証部27による生存条件の検証に加え、派生アカウント信用要素情報56内の信用要素識別情報、生成元情報及び基底アカウント参照情報に基づいて、基底アカウント管理装置10に生存検証を要求してもよい。
【0126】
いずれにしても、最終的な検証結果が「permit(許可)」であれば、派生アカウント操作部25は、派生アカウント60へアクセスし、派生アカウント60のユーザ属性情報ブロック61に基づき、ユーザ認証を実行する。
【0127】
例えば、ユーザ属性情報ブロック61の派生認証要素フィールド63に生体情報テンプレートが格納されていた場合、派生アカウント操作部25は、通信部22を介して、生体情報の入力メッセージデータをクライアント装置30に送信する。
【0128】
クライアント装置30においては、利用者の操作により、ユーザインタフェース部33に入力された生体情報を通信部32から派生アカウント管理装置20に送信する。
【0129】
派生アカウント管理装置20では、派生アカウント操作部25が、通信部22により受信した生体情報と、派生アカウント保存部21内の派生アカウントに含まれる生体情報テンプレートとを照合することにより、ユーザ認証を実行する。
【0130】
[ステップST13]
一方、アカウント検証部27から受けた検証結果が「deny(拒否)」であれば、派生アカウント操作部25は、派生アカウント60へのアクセスを拒否し、派生アカウント60を無効化する。
【0131】
派生アカウント60を無効化する場合、派生アカウント管理情報ブロック64の有効情報フィールド66に無効を示す有効情報を上書き更新する。
【0132】
無効化せずに拒否する場合は、派生アカウント60を削除する。通常は、派生アカウント拡張生存条件などで明示的な指定がなければ、派生アカウント60を削除せずに無効化することが望ましい。
【0133】
これは、例えば2組の有効期間“2007年1月1日〜2007年2月1日”及び“2007年3月1日〜2007年4月1日”を設定した場合、2組の有効期間の間だけ派生アカウント60を無効化すれば、再度、派生アカウント60を作成しなくてもすむからである。
【0134】
なお、派生アカウント60の無効化を解除する場合、再度[ステップST1]から[ステップST6]までを実行し、派生アカウント信用要素情報56を更新する。派生アカウント信用要素情報56を更新した後、派生アカウント60の派生アカウント管理情報ブロック64の有効情報フィールド66に有効を示す有効情報を上書き更新する。
【0135】
上述したように本実施形態によれば、生存条件を満たすときに有効となる派生アカウント情報60を、基底アカウント管理装置10の公開鍵証明書の有効期間を過ぎると失効する派生アカウント信用要素情報56と、この有効期間とは無関係に有効な利用者の生体情報テンプレートと、の両者を含む構成としている。
【0136】
これにより、ルートとなる認証要素(公開鍵証明書)が失効しても、派生する認証要素(生体情報テンプレート)の失効を阻止することができる。また、生存条件が複数の有効期間を含む構成により、派生する認証要素の有効期間を一時的にかつ選択的に無効に設定することができる。
【0137】
すなわち、認証要素間の信頼関係性を表現する情報に基づいて認証要素を管理することにより、本来それぞれの認証要素が持つ固有な安全性や運用特性に基づく有効期間などの有効条件と、身元保証などのルートとなる認証要素で保証可能な有効期間などの有効条件とを独立して管理でき、派生する認証要素を自律的に制御することができる。これにより、認証要素の再生成処理などの負担を軽減でき、利用者の利便性を向上できる。
【0138】
例えば従来は、ルートの認証要素として公開鍵証明書を個人や社員に発行する場合、有効期間付きの住所移転や転属などで記載内容が比較的頻繁に更新される可能性が高く、それに伴い、ルートの公開鍵証明書を再発行すると共に、派生する生体情報を再生成する必要が生じていた。
【0139】
しかしながら、本実施形態によれば、前述した通り、ルートとなる認証要素(公開鍵証明書)が失効しても、派生する認証要素(生体情報テンプレート)の失効を阻止できるので、認証要素の再生成処理などの負担を軽減でき、利用者の利便性を向上できる。
【0140】
このような効果は、有効期間に限らず、類似する認証要素が有効であると判断される生存条件に対しても同様に得られる。例えば、予め期間が不明な住所移転や転属などの場合でも、有効な住所や有効な所属を生存条件が含み且つICカード等により現在の住所データや所属データを入力して生存条件と照合する構成とすれば、同様の効果を得ることができる。
【0141】
また従来は、各セキュリティシステムの管理主体が独立してアカウントを管理するので、統合したセキュリティシステムの管理や、統合したアカウントのライフサイクル管理を実現することが難しかった。例えば、社員が退社した場合、各事業所で当該社員のアカウントを速やかに削除する必要があった。
【0142】
しかしながら、一般に、社員の退社は口頭や書面により各事業所に通知される場合が多いので、各事業所では、退社した社員のアカウントが残っている場合があった。よって、従来は、退社後の元社員が権限無くリソースにアクセス可能な状態が長期に渡って存在する可能性が生じていた。この状態はセキュリティ上問題がある。
【0143】
一方、本実施形態によれば、社員が退社した場合には、少なくとも基底アカウント管理装置10の基底アカウント10が無効化される。
【0144】
このため、派生アカウント管理装置20がアクセス要求を受けたとき、派生アカウント管理装置20が派生アカウント信用要素情報56内の信用要素識別情報、生成元情報及び基底アカウント参照情報に基づいて、基底アカウント管理装置10に生存検証を要求することにより、基底アカウント管理装置10から“拒否”が通知されるので、当該アクセス要求を拒否して派生アカウント60を無効化でき、もって、退社した社員からリソースを保護することができる。
【0145】
(第2の実施形態)
図12は本発明の第2の実施形態に係るアカウント管理システムが適用された入退出管理システムの構成を示す模式図であり、図13乃至図15は各装置の構成を示す模式図であって、前述した図面と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。
【0146】
本実施形態の入退出管理システムは、認証サーバ装置10’、入退出管理装置20’がネットワーク40を介して接続されている。入退出管理装置20’には、ネットワーク40とは物理的または論理的に隔離されたローカルネットワークを介して入退出管理クライアント装置30’及び入退出制御装置70が接続されている。入退出管理装置20’、入退出管理クライアント装置30’及び入退出制御装置70は、物理リソースとしての入退出管理ドメイン80に配置されている。
【0147】
入退出管理クライアント装置30’は、認証サーバ装置30’と直接に通信可能なネットワーク40に接続してもよい。認証サーバ装置10’は、第1の実施形態の基底アカウント管理装置10に該当する。入退出管理装置20’は、第1の実施形態の派生アカウント管理装置20に該当する。
【0148】
認証サーバ装置10’は、基底アカウント管理装置10と同様に基底アカウントを管理対象としている。入退出管理システムの例のため、基底アカウントとして企業の従業員アカウントを用いるが、これに限らず、例えば、金融機関の口座アカウントや、自治体における住民アカウントなども好適に使用可能となっている。
【0149】
認証サーバ装置10’は、図13に示すように、図2に示した基底アカウント管理装置10と同様な構成となっている。但し、ここでは、認証サーバ装置10’と入退出管理装置20’との直接的な対向通信を用いているため、図2の転送処理部14に代えて、通信処理部14’を備えている。
【0150】
通信処理部14’は、前述したクライアント装置30を経由する間接的な転送ではなく、直接的に入退出管理装置20’と通信するという通信上の機能のみに差異があり、他の実現される機能は転送処理部14と同様であるとする。
【0151】
入退出管理装置20’は、前述した派生アカウント60を有し、特定のドメインとしての入退出管理ドメイン80の境界における人物や物品等の入退出を管理対象とする。入退出管理ドメイン80の好適な例としては、企業における事業所や工場などにおける各部屋や特定エリアなどが挙げられる。
【0152】
入退出管理装置20’は、図14に示すように、図5に示した派生アカウント管理装置20と同様の構成に加え、入退出許可判断部28及び派生認証要素認証部29を備えている。また、認証サーバ装置10’と同様に、転送処理部24に代えて、通信処理部24’を備えている。
【0153】
入退出許可判断部28は、派生認証要素認証部29によるユーザ認証の結果に基づき、入退出の許可又は拒否を判断する機能と、許可又は拒否を示す判断結果を通信部22により入退出制御装置70に送信する機能とをもっている。
【0154】
派生認証要素認証部29は、派生アカウント操作部25に起動されると、通信部22を介して派生認証要素の入力メッセージデータを入退出制御装置70に送信する機能と、通信部22により受信した派生認証要素(生体情報)と、派生アカウント保存部21内の派生アカウントに含まれる派生認証要素(生体認証テンプレート)とを照合してユーザ認証を実行し、ユーザ認証の結果を入退出許可判断部28に送出する機能とをもっている。
【0155】
入退出制御装置70は、実際に入退出を制御する装置であり、入退出要求があったときに、入退出管理装置20’に問い合わせて、入退出の許可判断(認証結果)を取得し、ドア等の開閉制御を行なう。本実施形態では、理解を容易にするために、入退出管理装置20’と入退出制御装置70とを分離した構成としたが、これに限らず、入退出管理装置20’及び入退出制御装置70を一台の装置により実現してもよい。
【0156】
入退出制御装置70は、図15に示すように、データ保存部71、通信部72、ユーザインタフェース部73、制御部74及び入退出制御部75を備えている。
【0157】
データ保存部71は、各部72〜75から読出/書込可能な記憶装置であり、例えば、各部72〜75の処理における一時的な記憶装置として用いられる。
【0158】
通信部72は、ユーザインタフェース部73に制御され、入退出管理装置20’と通信するためのものであり、データ保存部31に対する読出/書込機能をもっている。
【0159】
ユーザインタフェース部73は、利用者の操作により、入退出制御装置70にデータを入出力する機能と、データ保存部71に対する読出/書込機能と、通信部72を制御する機能とをもっている。
【0160】
具体的にはユーザインタフェース部73は、利用者の操作により、通信部72を介してアクセス要求を入退出管理装置20’に送信する機能と、通信部72が受信した生体情報の入力メッセージを画面表示する機能と、この画面表示中、利用者の操作により入力された生体情報を通信部72から入退出管理装置20’に送信する機能とをもっている。
【0161】
制御部74は、入退出制御装置70内でのイベントやデータを制御するための機能部であり、各部71〜73,75を制御する機能をもっている。
【0162】
入退出制御部75は、通信部72により入退出管理装置20’から取得した認証結果に応じて、入退出制御装置70の制御対象範囲(ドアなど)の入退出に関わる動作(ドアの開錠など)を制御する機能をもっている。
【0163】
入退出管理クライアント装置30’は、入退出管理装置20’上に派生アカウント60を作成する際に、アカウント作成対象となる利用者が操作するクライアント装置30である。
【0164】
派生アカウント60の作成に際しては、認証サーバ装置10’上で事前に申請されていてもよい。事前申請または、さらに適切な権限を持つ承認者により承認されている場合にのみ、入退出管理装置20’からの派生アカウント作成要求を受け付けてもよい。
【0165】
次に、以上のように構成された入退出管理システムの動作について図16を用いて説明する。
【0166】
[ステップST21]
入退出管理クライアント装置30’においては、利用者の操作により、ユーザインタフェース部33が通信部32を介して、派生アカウント生成要求を入退出管理装置20’に送信する。
【0167】
[ステップST22]
入退出管理装置20’においては、この派生アカウント生成要求を通信部22及び制御部23を介して派生アカウント操作部25が受けると、派生アカウント操作部25が、選択可能な認証サーバ装置10’を示す認証サーバ装置名を制御部23及び通信部22を介して入退出管理クライアント装置30’に送信する。認証サーバ装置名は、予め派生アカウント保存部21内に書き込まれているものとする。
【0168】
入退出管理クライアント装置30’においては、認証サーバ装置名を通信部32が受信すると、ユーザインタフェース部33がこの認証サーバ装置名を画面表示する。
【0169】
[ステップST23]
利用者は、自己の身元を保証してくれる認証サーバ装置10’を選択する。
入退出管理クライアント装置30’においては、利用者の操作により、ユーザインタフェース部33が認証サーバ装置名を選択し、この認証サーバ装置名を通信部32から入退出管理装置20’に送信する。
【0170】
[ステップST24]
入退出管理装置20’は、通信処理部24’が、認証サーバ装置名を受信すると、この認証サーバ装置名に基づいて、派生アカウント作成許可要求を認証サーバ装置10’に送信する。
【0171】
入退出管理クライアント装置30’においては、利用者の操作により、ユーザインタフェース部33が認証情報を生成し、この認証情報を通信部32が入退出管理クライアント装置30’及び入退出管理装置20’を介して認証サーバ装置10’に送信する。
【0172】
認証情報の生成方法としては、例えば、ICカード型の従業員証に格納される公開鍵証明書を利用して認証情報を生成する方式などが挙げられる。ここでいう認証情報としては、例えば、従業員証に格納されたユーザID及びパスワードを公開鍵証明書内の公開鍵で暗号化して得られた暗号化データが使用可能となっている。
【0173】
必要があれば、認証情報を生成するための認証サーバ装置10’との間の相互作用をこのステップST24上で実行してもよい。例えば、認証サーバ装置10’から乱数を受けると、この乱数に従業員証内のユーザID及びパスワードを連接し、この連接データを従業員証内の公開鍵で暗号化して得られた暗号化データを認証情報に使用してもよい。
【0174】
[ステップST25]
認証サーバ装置10’では接続を受理し、通信処理部14’により受信した認証情報を初期認証部18が検証することにより利用者の認証処理を実行し、認証結果を通信処理部14’から入退出管理装置20’に応答する。
【0175】
ここで、検証方法としては、例えば、暗号化されたユーザID及びパスワードが認証情報の場合、認証情報を基底アカウント保存部11内の公開鍵証明書に対応する秘密鍵に基づいて復号し、得られたユーザID及びパスワードと、基底アカウント保存部11内の基底アカウントに含まれるユーザID及びパスワードとを照合し、両パスワードが一致すれば認証成功となる。
【0176】
また、乱数、ユーザID及びパスワードの連接データを暗号化した暗号化データが認証情報の場合、前述した復号及びパスワード照合に加え、復号した乱数と、予め送信した乱数とを照合し、両乱数が一致すれば認証成功となる。
【0177】
[ステップST26]
入退出管理装置20’は、認証サーバ装置10’から通信処理部24’により受信した認証結果が認証成功を示すとき、派生アカウント信用要素情報56の要求を通信処理部24’から認証サーバ装置10’に送信する。この派生アカウント信用要素情報56は、図4に示した構成をもっている。
【0178】
[ステップST27]
認証サーバ装置10’においては、派生アカウント信用要素情報56の要求を通信部12により受信すると、派生アカウント信用要素生成部16が、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件に対し、認証サーバ装置10’の秘密鍵に基づいて電子署名を生成する。なお、生存条件は生存条件設定部17に事前に設定されている。
【0179】
このとき、派生アカウント60の生存条件の例として、有効期間の設定を”2007年1月1日から2007年2月1日まで”、かつ”2007年3月1日から2007年4月1日まで”とする。上記例は、連続的な期間ではなく、離散的な期間で、入退出管理を実施することを想定している。
【0180】
また、派生アカウント信用要素生成部16は、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件及びセキュリティ情報からなる派生アカウント信用要素情報56を生成する。
【0181】
しかる後、派生アカウント信用要素生成部16は、基底アカウント操作部15により、この派生アカウント信用要素情報56を基底アカウント保存部11内の基底アカウント50の派生アカウント信用要素情報フィールド55に書き込む。
【0182】
これ以降の任意のステップにおいて、基底アカウント操作部15は、派生アカウント信用要素情報56の参照IDを当該派生アカウント信用要素情報56と関連付けて基底アカウント保存部11に保存する。保存するタイミングとしては、例えば派生アカウント60が生成されるタイミング([ステップST29])が望ましい。
【0183】
[ステップST28]
認証サーバ装置10’においては、基底アカウント操作部15が、基底アカウント保存部11内の派生アカウント信用要素情報56を通信部12から入退出管理装置20’に送信する。
【0184】
[ステップST29]
入退出管理装置20’においては、通信部22により派生アカウント信用要素情報56を受信すると、アカウント検証部27が、この派生アカウント信用要素情報56におけるセキュリティ情報内の公開鍵証明書に基づいて、当該セキュリティ情報内の電子署名を検証する。
【0185】
アカウント検証部27は、この検証の結果、電子署名が正当のときには、派生アカウント信用要素情報56に含まれる生存条件に基づいて、派生アカウント60の生存が許可されるか否かを検証する。この検証処理は、具体的には図9及び図10を用いて前述した通りに実行される。
【0186】
評価結果が“許可(permit)”であれば、派生アカウント操作部25が派生アカウント60を作成する。評価結果が“拒否(deny)”であれば、派生アカウント60を作成しない。
【0187】
[ステップST30]
次に、入退出管理装置20’は、処理の結果と派生認証要素の要求とを入退出管理クライアント装置30’に送信する。
【0188】
[ステップST31]
次に、入退出管理装置20’においては、派生認証要素作成部26が、利用者のクライアント装置30との間で派生認証要素を合意確立し、合意した派生認証要素を派生アカウント保存部21内の派生アカウント60の派生認証要素フィールド63に書き込む。
【0189】
[ステップST32]
派生認証要素の書き込み後、派生アカウント管理装置20においては、派生認証要素作成部26が制御部23及び通信部22を介し、完了又は失敗を示す処理結果を認証サーバ装置10’に通知する。
【0190】
[ステップST33]
次に、派生アカウント管理装置20においては、派生認証要素作成部26が制御部23及び通信部22を介し、完了又は失敗を示す処理結果を入退出クライアント装置30’に通知する。
【0191】
入退出クライアント装置30’は、受信した処理結果を画面表示することにより、利用者に処理結果を通知する。この処理結果により、全ての処理を完了したのか、失敗したのかが利用者に通知される。処理結果が完了を示すとき、派生アカウント60が利用可能となる。
【0192】
(派生アカウントの検証及び削除)
派生アカウント60を検証及び削除する動作については、入退出管理装置20’と入退出制御装置70とが分離した構成であることを除き、前述した動作と同様である。以下、前述した図11を用いて説明する。
【0193】
[ステップST11]
入退出制御装置70においては、利用者から入退出要求を受けると、派生アカウント60へのアクセス要求を入退出管理装置20’に送信する。
【0194】
入退出管理装置20’においては、派生アカウント操作部25が、派生アカウント60へのアクセス要求があったとき、派生アカウント60の生存検証をアカウント検証部27に要求する。アカウント検証部27は、派生アカウント保存部21から派生アカウント60の派生アカウント信用要素情報56を取得する。
【0195】
[ステップST12]
アカウント検証部27は、前述した通り、取得した派生アカウント信用要素情報56における電子署名及び生存条件を検証し、検証結果を派生アカウント操作部25に返す。
【0196】
なお、派生アカウント操作部25は、入退出許可判断部28による生存条件の検証に加え、派生アカウント信用要素情報56内の信用要素識別情報、生成元情報及び基底アカウント参照情報に基づいて、認証サーバ装置10’に生存検証を要求してもよい。
【0197】
いずれにしても、最終的な検証結果が「permit(許可)」であれば、派生アカウント操作部25は、派生アカウント60へアクセスし、派生アカウント60のユーザ属性情報ブロック61に基づき、派生認証要素認証部29を起動してユーザ認証を実行する。
【0198】
例えば、ユーザ属性情報ブロック61の派生認証要素フィールド63に生体情報テンプレートが格納されていた場合、派生認証要素認証部29は、通信部22を介して、生体情報の入力メッセージデータを入退出制御装置70に送信する。
【0199】
入退出制御装置70においては、利用者の操作により、ユーザインタフェース部73に入力された生体情報を通信部72から入退出管理装置20’に送信する。
【0200】
入退出管理装置20’では、派生認証要素認証部29が、通信部22により受信した生体情報と、派生アカウント保存部21内の派生アカウントに含まれる生体情報テンプレートとを照合してユーザ認証を実行し、ユーザ認証の結果を入退出許可判断部28に送出する。
【0201】
入退出許可判断部28は、ユーザ認証の結果に基づき、入退出の許可又は拒否を判断する。例えばユーザ認証の結果が類似度のとき、入退出許可判断部28は、この類似度が所定のしきい値を超えるか否かにより、入退出の許可又は拒否を判断する。所定のしきい値は、入退出制御装置70に応じた値(入退出したいエリアの重要度に応じた値)を保持していてもよい。
【0202】
しかる後、入退出管理装置20’では、許可又は拒否を示す判断結果を通信部22により入退出制御装置70に送信する。
【0203】
入退出制御装置70においては、入退出制御部70が、通信部72により受信した判断結果に応じてドアの開錠などを制御する。
【0204】
[ステップST13]
一方、アカウント検証部27から受けた検証結果が「deny(拒否)」であれば、派生アカウント操作部25は、派生アカウント60へのアクセスを拒否し、派生アカウント60を無効化する。無効化の実行方法や無効化の解除方法は、前述した通りである。
【0205】
上述したように本実施形態によれば、第1の実施形態のアカウント管理システムを入退出管理システムに適用した構成としても、第1の実施形態と同様の作用効果を得ることができる。
【0206】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0207】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0208】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0209】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0210】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0211】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0212】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0213】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0214】
【図1】本発明の第1の実施形態に係るアカウント管理システムの構成を示す模式図である。
【図2】同実施形態における基底アカウント管理装置の構成を示す模式図である。
【図3】同実施形態における基底アカウントの構成を示す模式図である。
【図4】同実施形態における派生アカウント信用要素情報の構成を示す模式図である。
【図5】同実施形態における派生アカウント管理装置の構成を示す模式図である。
【図6】同実施形態における派生アカウントの構成を示す模式図である。
【図7】同実施形態におけるクライアント装置の構成を示す模式図である。
【図8】同実施形態における動作を説明するためのシーケンス図である。
【図9】同実施形態における動作を説明するためのフローチャートである。
【図10】同実施形態における動作を説明するためのフローチャートである。
【図11】同実施形態における動作を説明するためのフローチャートである。
【図12】本発明の第2の実施形態に係るアカウント管理システムが適用された入退出管理システムの構成を示す模式図である。
【図13】同実施形態における認証サーバ装置の構成を示す模式図である。
【図14】同実施形態における入退出管理装置の構成を示す模式図である。
【図15】同実施形態における入退出制御装置の構成を示す模式図である。
【図16】同実施形態における動作を説明するためのシーケンス図である。
【符号の説明】
【0215】
10…基底アカウント管理装置、10’…認証サーバ装置、11…基底アカウント保存部、12,22…通信部、13,23…制御部、14,24…転送処理部、14’,24’…通信処理部、15…基底アカウント操作部、16…派生アカウント信用要素生成部、17…生存条件設定部、18…初期認証部、20…派生アカウント管理装置、20’…入退出管理装置、21…派生アカウント保存部、25…派生アカウント操作部、26…派生認証要素作成部、27…アカウント検証部、28…入退出許可判断部、29…派生認証要素認証部、30…クライアント装置、30’…入退出管理クライアント装置、40…ネットワーク、50…基底アカウント、51…基底属性情報ブロック、52…基底属性情報フィールド、53…初期認証要素フィールド、54…派生管理情報ブロック、55…派生アカウント信用要素情報フィールド、56…派生アカウント信用要素情報、60…派生アカウント、61…ユーザ属性情報ブロック、62…属性情報フィールド、63…派生認証要素フィールド、64…派生アカウント管理情報ブロック、65…派生アカウント信用要素情報フィールド、66…有効情報フィールド、70…入退出制御装置、75…入退出制御部、80…入退出管理ドメイン。
【技術分野】
【0001】
本発明は、階層的なアカウントを管理するアカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラムに係り、例えば、ルートとなる認証要素が失効しても、派生する認証要素の失効を阻止し得るアカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラムに関する。
【背景技術】
【0002】
近年、特定物理領域などの物理リソースや、ファイルやデータなどの情報リソースが広域に分散して配置され、これら物理リソースに配置されたコンピュータや情報リソースを保持するコンピュータがネットワークを介して接続された環境(以下、広域分散環境という)が知られている。
【0003】
この種の広域分散環境では、物理リソースへの不正な立ち入り、情報リソースの漏洩や盗難、といった脅威が増加してきている。このような脅威に対し、利用者による物理リソースや情報リソースへのアクセスを制御する物理セキュリティシステム及び情報セキュリティシステムの重要性が高まっている。
【0004】
各セキュリティシステムでは、利用者を正しく識別及び認証し、アクセス対象への正当なセキュリティ属性(権限など)を有するか否かを確認できることが重要である。
【0005】
物理セキュリティシステムでは、利用者の身元に応じて特定の制限領域への立ち入りを制御する。この種の制御は、古くは監視員による人的な監視方式を利用し、近年ではコンピュータによる情報処理的な認証方式を利用して実現されている。情報処理的な認証方式としては、例えば、スマートカードなどのセキュアデバイスによる所有物認証や、生体情報に基づくバイオメトリック認証などにより、利用者が本人であることを確認する本人確認方式がある。また、認証方式を利用した制御は、例えば、認証方式による本人確認の後、さらに、正当なセキュリティ属性を有しているか否かを判定し、この判定結果に応じて立ち入りを制御することにより実現される。
【0006】
情報セキュリティシステムは、利用者の身元に応じて特定のファイルやデータへのアクセスを制御する。この種の制御は、前述したような認証方式を利用して実現される。
【0007】
また、このような利用者の認証をサービスとして提供するセキュリティシステムも登場している。係るセキュリティシステムでは、生体情報のような機微度の高い認証要素を扱う場合、一般サービスとは独立して認証要素を管理することが望まれる。
【0008】
しかしながら、以上のような各セキュリティシステムでは、利用者のアカウントをそれぞれ独立して管理する場合が多い。この場合、アカウント登録時に、予め利用者は、運転免許証や保険証、社員証などといった物理的な身元証明書類を各セキュリティシステムの管理者に提示する。
【0009】
各セキュリティシステムの管理者は、提示された身元証明書類に基づいて、アカウント登録の可否を判断する。このような判断を各セキュリティシステムで実行することは、多大な負荷をシステム提供者と利用者に課すことになる。
【0010】
一方、アカウント管理に類似する既存技術として、PKI(Public Key Infrastructure:公開鍵基盤)と公開鍵証明書(X.509証明書)が知られている(例えば、非特許文献1参照。)。PKIとは、利用者(個人または機関)の身元を保証するために、信頼できる第三者機関(通常、Certificate Authority:CAと呼ばれる)が保証を行う枠組みである。
【0011】
ここで、第三者機関は、自己を証明するためのルート証明書(またはCA証明書)などと呼ばれる公開鍵証明書を持ち、このルート証明書に基づいて個々の利用者の公開鍵証明書を生成する。利用者は、公開鍵証明書により自己の身元を証明できる。自己の身元を証明する場合、利用者は、公開鍵証明書に含まれる公開鍵に対し、対応する秘密鍵(または私有鍵)を用いて生成したディジタル署名等を利用する。
【0012】
公開鍵証明書以外には、属性情報のみを保証するための公開鍵を含まない属性証明書等が知られている(例えば、非特許文献2参照。)。属性証明書は、属性情報と、公開鍵証明書のシリアル番号とを含み、且つこの公開鍵証明書の公開鍵に対応する秘密鍵によるディジタル署名が付与されている。すなわち、属性証明書は、公開鍵証明書に派生して生成されている。
【0013】
なお、このようにルート(基底)となる認証要素(例、公開鍵証明書)に基づいて派生する認証要素(例、属性証明書)を生成する場合、ルートの認証要素が失効した場合、派生する全ての認証要素を再生成する必要がある。但し、公開鍵証明書と属性証明書の場合、ルートの認証要素である公開鍵証明書の有効期間(または生存サイクル期間)が、派生する認証要素である属性証明書の有効期間よりも長いので、再生成の影響は少ない。
【非特許文献1】R. Housley、W. Polk、W. Ford、D. Solo、" Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile"、[online]、 [2007年4月27日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc3280.txt>
【非特許文献2】S. Farrell、R. Housley、" An Internet Attribute Certificate Profile for Authorization"、[online]、 [2007年4月27日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc3281.txt>
【発明の開示】
【発明が解決しようとする課題】
【0014】
しかしながら、本発明者の検討によれば、ルートの認証要素の有効期間よりも派生する認証要素の有効期間が長い場合、再生成の影響が非常に大きいと考えられる。
【0015】
例えば、認証要素が公開鍵証明書の場合には、利用する秘密鍵の鍵長や暗号アルゴリズムの危殆化速度に依存して公開鍵証明書の有効期間が中短期となる。認証要素が生体情報の場合には、生体情報の偽造が困難なことから、有効期間が長期となる。
【0016】
ここで、ルートの認証要素を公開鍵証明書とし、派生する認証要素を生体情報とした場合、中短期でルートの認証要素(公開鍵証明書)が失効する毎に、派生する認証要素(生体情報)も有効期間が長期でも失効してしまう。
【0017】
すなわち、第1の課題としては、ルートとなる認証要素と、それに派生する認証要素とが独立して個別のシステム上で管理される場合に、ルートとなる認証要素の失効に伴い、派生する認証要素も失効しなければならないことが挙げられる。
【0018】
このとき、派生する認証要素を利用したサービスやシステム等を継続させるためには、ルートとなる認証要素を再生成した後、派生する認証要素を再生成する必要がある。
【0019】
このように、ルートとなる認証要素の有効期間が失効する場合、派生する認証要素の固有な安全性や運用特性とは無関係に、派生する認証要素の有効期間を短縮させてしまう。
【0020】
しかしながら、派生する認証要素が生体情報の場合、生体情報は高い機微度をもつセンシティブな情報であり、取得時のセキュリティに細心の注意を払う必要があるため、頻繁に更新及び再生成することが難しい。
【0021】
そのため、実運用を考慮すると、ルートとなる認証要素である公開鍵証明書の有効期間を暗号学的安全性よりも長期間に設定することになる。このように、ルート及び派生のそれぞれの認証要素が持つ固有な安全性と運用特性とに基づく有効期間を適切に設定することが困難である。
【0022】
また、第2の課題としては、従来の公開鍵証明書の有効期限(validity period)では、派生する認証要素の有効期間を一時的に無効にする設定ができないことが挙げられる。
【0023】
例えば、2007年1月1日から2007年2月1日まで有効とし、2007年2月2日から2007年2月末日まで無効とし、2007年3月1日から2007年4月1日まで有効としたい場合に対応できない。
【0024】
この場合、派生する認証要素を有効期間“2007年1月1日〜2007年2月1日”として生成し、2007年2月2日に無効とした後、派生する認証要素を有効期間“2007年3月1日〜2007年4月1日”として再生成することになる。
【0025】
このように、認証要素を一時的に無効にした後に再生成することは、各認証要素の管理主体及び利用者に多大な負担となる。
【0026】
本発明は上記実情を考慮してなされたもので、ルートとなる認証要素が失効しても、派生する認証要素の失効を阻止し得るアカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラムを提供することを目的とする。
【0027】
また、本発明の他の目的は、派生する認証要素の有効期間を一時的に無効に設定し得るアカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラムを提供することにある。
【課題を解決するための手段】
【0028】
第1の発明は、利用者の身元を保証するための基底アカウント情報を管理する基底アカウント管理装置と、前記基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置とを備え、前記各アカウント管理装置が利用者のクライアント装置と通信可能なアカウント管理システムであって、前記基底アカウント管理装置としては、初期認証要素情報が格納された初期認証要素フィールド及び派生アカウント信用要素情報が格納される派生アカウント信用要素フィールドを備えた前記基底アカウント情報を記憶した基底アカウント記憶手段と、前記基底アカウント管理装置の秘密鍵及びこの秘密鍵に対応する公開鍵証明書が記憶された基底アカウント鍵記憶手段と、前記派生アカウント信用要素情報に対する複数の有効期間を含む生存条件を予め設定するための生存条件設定手段と、前記初期認証要素情報に基づいて、前記クライアント装置の利用者を認証する初期認証手段と、前記初期認証手段による認証結果が正当のとき、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報及び前記生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する手段と、前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び前記公開鍵証明書からなる派生アカウント信用要素情報を前記派生アカウント信用要素情報フィールドに格納する手段と、前記基底アカウント記憶手段内の派生アカウント信用要素情報を派生アカウント管理装置に送信する手段と、を備えており、前記派生アカウント管理装置としては、前記派生アカウント信用要素情報が格納される派生アカウント信用要素フィールド及び派生認証要素情報が格納される派生認証要素フィールドを備えた前記派生アカウント情報を記憶可能な派生アカウント記憶手段と、前記基底アカウント管理装置から派生アカウント信用要素情報を受信すると、この派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、この検証の結果、電子署名が正当のとき、前記派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、この検証の結果、生存条件を満たす場合、前記派生アカウント信用要素情報を前記派生アカウント信用要素フィールドに含む前記派生アカウント情報を作成し、この派生アカウント情報を前記派生アカウント記憶手段に書き込む手段と、前記利用者の生体情報を前記クライアント装置から取得し、この生体情報から生体情報テンプレートを作成する手段と、前記生体情報テンプレートを含む派生認証要素情報を前記派生アカウント記憶手段内の前記派生アカウント情報の派生認証要素フィールドに書き込む手段と、前記派生認証要素の書き込みの後、前記派生アカウント情報へのアクセス要求を受けたとき、前記派生アカウント記憶手段内の派生アカウント情報における派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、この検証の結果、電子署名が正当のとき、当該派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、この検証の結果、生存条件を満たさない場合、前記アクセス要求を拒否して前記派生アカウント情報を無効化する手段と、を備えたアカウント管理システムである。
【0029】
なお、第1の発明は、各装置の集合体を「システム」として表現したが、これに限らず、各装置の集合体又は各装置を「装置」、「方法」、「プログラム」又は「コンピュータ読み取り可能な記憶媒体」として表現してもよい。
【0030】
(作用)
第1の発明においては、生存条件を満たすときに有効となる派生アカウント情報を、基底アカウント管理装置の公開鍵証明書の有効期間を過ぎると失効する派生アカウント信用要素情報と、この有効期間とは無関係に有効な利用者の生体情報テンプレートと、の両者を含む構成としたことにより、ルートとなる認証要素(公開鍵証明書)が失効しても、派生する認証要素(生体情報テンプレート)の失効を阻止することができる。また、生存条件が複数の有効期間を含む構成により、派生する認証要素の有効期間を一時的に無効に設定することができる。
【発明の効果】
【0031】
以上説明したように本発明によれば、ルートとなる認証要素が失効しても、派生する認証要素の失効を阻止できる。また、派生する認証要素の有効期間を一時的に無効に設定できる。
【発明を実施するための最良の形態】
【0032】
以下、本発明の各実施形態について図面を用いて説明する。なお、以下の各装置は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
【0033】
(第1の実施形態)
図1は本発明の第1の実施形態に係るアカウント管理システムの構成例を示す模式図である。このアカウント管理システムは、互いに通信可能な基底アカウント管理装置10及び派生アカウント管理装置20を備えており、各アカウント装置10,20にクライアント装置30がネットワーク40を介して通信可能となっている。
【0034】
ここで、基底アカウント管理装置10は、図2に示すように、基底アカウント保存部11、通信部12、制御部13、転送処理部14、基底アカウント操作部15、派生アカウント信用要素生成部16、生存条件設定部17及び初期認証部18を備えている。
【0035】
基底アカウント保存部11は、各部12〜18から読出/書込可能な記憶装置であり、図3に示す如き、派生アカウント信用要素情報を含む基底アカウント(情報)50と、基底アカウント管理装置50の秘密鍵及びこの秘密鍵に対応する公開鍵証明書(図示せず)とを保存している。基底アカウント50は、利用者の全ての身元保証の基底となるアカウントであり、現実世界の利用者の身元を保証するために作成される。基底アカウント50を作成するための身元保証処理としては任意の方式が適用可能である。本実施形態では、基底アカウント50は予め基底アカウント保存部11に保存されているものとする。
【0036】
基底アカウント50は、基底属性情報ブロック51及び派生管理情報ブロック54を備えている。
【0037】
基底属性情報ブロック51は、基底アカウント50の対象主体に関連する属性情報フィールド52,53の集合である。基底属性情報ブロック51は、基底属性情報フィールド52及び初期認証要素フィールド53を備えている。
【0038】
基底属性情報フィールド52は、基底アカウント50の対象主体が有する一般的な属性情報を格納するフィールドである。例えば、基底アカウント50のアカウントIDや、姓名、住所などが該当する。基底アカウント10は、基底属性情報フィールド52を任意に含んでもよい。
【0039】
初期認証要素フィールド53は、基底アカウント管理装置10が利用する初期認証の認証要素(以後、初期認証要素という)を格納するフィールドである。初期認証要素としては、例えばパスワードや公開鍵証明書対などが該当する。
【0040】
派生管理情報ブロック54は、派生アカウント60に対して生成した派生アカウント信用要素情報56を管理するためのフィールドの集合である。派生管理情報ブロック54は、派生アカウント信用要素情報フィールド55を備えている。
【0041】
派生アカウント信用要素情報フィールド55には、後述する派生アカウント60に対して生成した派生アカウント信用要素情報56が格納される。但し、派生アカウント信用要素情報フィールド55には、派生アカウント信用要素情報56が格納される場合に限らず、派生アカウント信用要素情報56を取得するための参照情報のみを格納してもよい。また、派生アカウント信用要素情報56を保存するリポジトリを基底アカウント管理装置10の外部に構築し、派生アカウント信用要素情報56から基底アカウント50を参照してもよい。いずれにしても、派生アカウント信用要素情報56と基底アカウント50との関連性を保持し、随時参照できればよい。
【0042】
派生アカウント信用要素情報56は、図4に示すように、派生アカウント60の正当性を確認するための情報であり、信用要素識別情報(派生アカウント信用要素情報56の識別情報)、生成元情報(基底アカウント管理装置10の識別情報)、生成先情報(派生アカウント管理装置20の識別情報)、基底アカウント参照情報(基底アカウント50を参照するための識別情報)、生存条件情報及びセキュリティ情報を含む。
【0043】
生成先情報(派生アカウント管理装置20の識別情報)は、ユーザIDなどの基底アカウント固有の識別子でもよく、pseudonyms(仮名)のような派生アカウントとの間で確立される一時的な乱数情報(pseudo-random)であってもよい。
【0044】
生存条件情報は、派生アカウント全体に対する生存条件を示す情報であり、ここでは派生アカウント信用要素情報56の一部分とした例を述べる。生存条件情報には2つの生存条件が指定される。1つ目は派生アカウント信用要素情報56の生存条件である。2つ目は派生アカウントの生存条件である。
【0045】
派生アカウント信用要素情報56の生存条件は、派生アカウント信用要素有効期間である。派生アカウント信用要素有効期間は、有効開始日時(NotBefore)と有効終了日時(NotOnAfter)とで表す形式や、有効期限(validity period)を示す形式などが使用可能となっている。有効開始日時と有効終了日時とで表す形式は、この例では有効開始日時未満と有効終了日時以降を示したが、指定日時を含むか否かについては任意の定義を適宜使用すればよい。また、複数の有効期間を記してもよく、例えば、有効開始日時と有効終了日時との組を複数記してもよい。
【0046】
派生アカウントの生存条件は、派生アカウント拡張生存条件(以下、拡張生存条件ともいう)であり、派生アカウント信用要素情報56に依らない生存条件を示している。この派生アカウント拡張生存条件は、派生アカウントを有効にするための特定イベントの規定や、派生アカウントを無効にする条件などを示す。
【0047】
特定イベントの規定としては、例えば、決済能力の審査など、基底アカウント管理装置10以外の第三者による合意もしくは保証が必要な場合を示す情報である。図4の例では、派生アカウント生成時に第三者に承認を求めるイベントを派生アカウント拡張生存条件としている。この例では、イベントサブジェクト(EventSubject)、イベントアクション(EventAction)、イベントオブジェクト(EventObject)、イベントコンディション(EventCondition)及びイベント効果(EventEffect)から構成される。但し、イベントサブジェクト(イベント主体)は、派生アカウント管理装置20を示すため、暗黙的に省略してもよい。
【0048】
イベントサブジェクト(イベント主体)は、イベントアクションを実行する主体を示し、この例ではイベント主体をURL形式で示している。
【0049】
イベントアクション(イベント動作)は、イベント主体が実行すべきイベント動作を示し、この例では、イベント対象から承認を得る動作”GET APROVAL”を示している。
【0050】
イベントオブジェクト(イベント対象)は、イベントアクションを実行する対象を示し、この例ではイベント対象をURL形式で示している。
【0051】
イベントコンディション(イベント条件)は、イベントの発生条件を示しており、ここでは、さらに子要素としてイベントの種別を示すイベントタイプ(EventType)を備えている。イベントタイプ”CREATE ACCOUNT”は、アカウント作成時のみに発生する旨を示す種別である。イベントコンディションは、イベントタイプ以外に任意の条件を設定しても構わない。
【0052】
イベント効果は、イベントアクションの実行が成功した場合の効果であり、派生アカウント拡張生存条件の評価結果となる。ここでは、派生アカウント作成時(EventType)に、派生アカウント管理装置(EventSubject)が、URL”http://example3.co.jp”で定められる第三者装置(EventObject)から承認を得た場合(EventAction)に、派生アカウントの有効を示す”許可(permit)”という効果(EventEffect)を得る。図4は、生存条件の一例を示しており、任意の形式での記述に変形しても構わない。
【0053】
セキュリティ情報は、派生アカウント信用要素情報56を暗号学的技術により保護するための情報である。暗号学的技術としては、一般的な方式が利用可能となっている。例えば、ディジタル署名技術を利用する場合、署名アルゴリズム名、鍵情報(公開鍵証明書)及び署名値などがセキュリティ情報に含まれる。なお、署名アルゴリズム名は、所定の署名アルゴリズムを用いる場合のように検証者への通知が不要な場合には省略してもよい。
【0054】
通信部12は、派生アカウント管理装置20及びクライアント装置30等の外部エンティティ装置と通信するための機能部である。
【0055】
制御部13は、基底アカウント管理装置10内でのイベントやデータを制御するための機能部であり、後述する図8に示す動作を実行するように、各部11,12,14〜18を制御する機能をもっている。
【0056】
転送処理部14は、派生アカウント管理装置20の転送処理部から送出された転送を処理し、要求処理を解釈する機能部である。要求された処理を基底アカウント管理装置10内の該当する機能部に伝えて、処理が実行された結果を転送元の派生アカウント管理装置20に返信する。
【0057】
具体的には転送処理部14は、派生アカウント管理装置20から受けた基底アカウント管理装置名、及び派生アカウント管理装置20の接続先情報を受信して初期認証部18に送出する機能と、初期認証部による認証結果を派生アカウント管理装置へ転送する機能とをもっている。
【0058】
基底アカウント操作部15は、基底アカウントに対する操作を実行する機能部である。基底アカウントに対する操作は、本実施形態では基底アカウントを構成するフィールドに対する一般的なCRUD(CREATE:作成、READ:読み取り、UPDATE:更新、DELETE:削除)操作を対象とする。
【0059】
具体的には、基底アカウント操作部15は、通信部12から基底アカウント信用要素情報56の送信要求を受信すると、基底アカウント保存部11内の派生アカウント信用要素情報56を通信部12により派生アカウント管理装置20に送信する機能とをもっている。
【0060】
派生アカウント信用要素生成部16は、派生アカウントを保証するための派生アカウント信用要素情報56を生成する機能部である。初期認証部18を介して利用者の初期認証が成功し、かつ許可された派生アカウント管理装置20からの派生アカウント信用要素情報生成要求である場合に、派生アカウント信用要素情報56を生成する。派生アカウント信用要素情報56に生存条件情報を含める場合は、生存条件設定部17から生存条件情報を取得し、生成する派生アカウント信用要素情報56の構成情報として含める。
【0061】
具体的には派生アカウント信用要素生成部16は、初期認証部18による認証処理が成功したとき、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件に対し、基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する機能と、これら信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件及びセキュリティ情報(署名アルゴリズム名、秘密鍵に対応する公開鍵証明書、電子署名)からなる派生アカウント信用要素情報56を生成する機能と、基底アカウント操作部15により、この派生アカウント信用要素情報56を基底アカウント保存部11内の基底アカウント50の派生アカウント信用要素情報フィールド55に書き込む機能とをもっている。
【0062】
生存条件設定部17は、派生アカウント60に対する生存条件情報を管理する機能部であり、事前に生存条件設定情報が設定され、各部からの要求に応じて、生存条件設定情報を出力する機能をもっている。生存条件設定情報は、生存条件情報の出力条件情報と、生存条件情報とから構成される。
【0063】
出力条件情報は、派生アカウント用途及び派生アカウント管理装置識別情報を備えている。派生アカウント用途は、派生アカウント60の用途情報であり、例えば「PAYMENT」(決済用途)や、「INTERNAL BUSINESS OPERATIONS」(業務用途)などがある。情報の定義は、基底アカウント管理装置10と派生アカウント管理装置20との間で事前に共有されるものとする。派生アカウント管理装置識別情報(生成先情報)及び生存条件は、前述した通りである。
【0064】
初期認証部18は、基底アカウント50の初期認証要素に基づいて利用者を認証する機能部である。初期認証部18で実行される認証方式の種類に関しては、任意の認証方式が適用可能であるが、ここでは一例としてパスワード認証方式を用いる。
【0065】
具体的には初期認証部18は、転送処理部14から基底アカウント管理装置名及び派生アカウント管理装置20の接続先情報を受けると、制御部13及び通信部12を介してユーザID及びパスワードの入力画面データをクライアント装置30に送信する機能と、通信部12により受信したユーザID及びパスワードと、基底アカウント保存部11内の基底アカウントに含まれるユーザID及びパスワードとを照合することにより、利用者の認証処理を実行する機能と、認証処理の実行結果を派生アカウント信用要素生成部16に送出する機能とをもっている。
【0066】
派生アカウント管理装置20は、基底アカウント50の身元保証に由来して作成されるアカウント(以後、派生アカウントという)を管理する。派生アカウントは、基底アカウント50の認証要素とは異なる認証要素(以後、派生認証要素という)を保持し、基底アカウント50とは別々に管理されている。派生アカウント管理装置20の好適な例としては、生体情報テンプレートを保持し、生体認証サービスを提供する生体認証システムなどが挙げられる。
【0067】
派生アカウント管理装置20は、図5に示すように、派生アカウント保存部21、通信部22、制御部23、転送処理部24、派生アカウント操作部25、派生認証要素作成部26及びアカウント検証部27を備えている。
【0068】
派生アカウント保存部21は、各部22〜27から読出/書込可能な記憶装置であり、図6に示す如き、派生アカウント(情報)60と、基底アカウント管理装置10の公開鍵証明書と、派生アカウント管理装置20の秘密鍵及びこの秘密鍵に対応する公開鍵証明書とが保存される。
【0069】
派生アカウント60は、ユーザ属性情報ブロック61及び派生アカウント管理情報ブロック64を備えている。
【0070】
ユーザ属性情報ブロック61は、派生アカウントの対象主体に関連する属性情報を格納するためのフィールド62,63の集合である。ユーザ属性情報ブロック61は、属性情報フィールド62及び派生認証要素フィールド63を備えている。
【0071】
属性情報フィールド62は、派生アカウント60の対象主体が有する一般的な属性情報を格納するフィールドである。例えば、派生アカウント60のアカウントIDなどが該当する。派生アカウント60は、属性情報フィールド62を任意に含んでもよい。
【0072】
派生認証要素フィールド63は、派生アカウント管理装置20が利用する認証要素、すなわち派生認証要素を格納するフィールドである。派生認証要素としては、例えば生体情報のテンプレートデータなどが該当する。
【0073】
派生アカウント管理情報ブロック64は、派生アカウント60の生存管理の判断基準となる情報を格納するためのフィールド65,66の集合である。派生アカウント管理情報ブロック64は、派生アカウント信用要素情報フィールド65及び有効情報フィールド66を備えている。
【0074】
派生アカウント信用要素情報フィールド65は、基底アカウント管理装置10により生成された派生アカウント信用要素情報56を格納するフィールドである。
【0075】
有効情報フィールド66は、派生アカウント60が有効か否かを定義する情報(以後、有効情報という)を格納するフィールドである。有効情報は、例えば、有効であるときは「1」、無効であるときは「0」と表現する。但し、有効情報フィールド66及び有効情報は、本実施形態においては任意なフィールド及び情報である。
【0076】
通信部22は、基底アカウント管理装置10及びクライアント装置30等の外部エンティティ装置と通信するための機能部である。
【0077】
制御部23は、派生アカウント管理装置20内でのイベントやデータを制御し、アカウント検証部27による検証結果に応じて派生アカウント60の有効性を制御するための機能部であり、図8に示す動作を実行するように各部21,22,24〜27を制御する機能をもっている。
【0078】
転送処理部24は、基底アカウント管理装置10の転送処理部14から送出された転送を処理し、要求処理を解釈する機能部であり、要求処理を派生アカウント管理装置20内の該当する機能部に伝え、処理の実行結果を転送元の基底アカウント管理装置10に返信する。
【0079】
具体的には転送処理部24は、クライアント装置30から受信した基底アカウント管理装置名を当該基底アカウント装置10に転送する機能と、この転送のとき、派生アカウント管理装置20の接続先情報(URI:Uniform Resource IdentifierまたはURL:Uniform Resource Locatorなど)も基底アカウント管理装置10に送信する機能と、基底アカウント管理装置10から認証結果を受信すると、派生アカウント信用要素情報56の送信要求を基底アカウント管理装置10に送信する機能とをもっている。
【0080】
派生アカウント操作部25は、派生アカウント60に対する操作を実行する機能部であり、生成された派生アカウント信用要素情報56に基づいて派生アカウント60を生成する機能をもっている。
【0081】
派生アカウント60に対する操作は、本実施形態では派生アカウント60を構成するフィールドに対する一般的なCRUD(CREATE:作成、READ:読み取り、UPDATE:更新、DELETE:削除)操作、さらに無効化処理及び有効化処理を対象とする。
【0082】
具体的には派生アカウント操作部25は、制御部23から派生アカウント生成要求を受けると、派生アカウント保存部21内の基底アカウント管理装置名を制御部23及び通信部22を介してクライアント装置30に送信する機能と、派生アカウント60へのアクセス要求があったとき、派生アカウント60の生存検証をアカウント検証部27に要求する機能と、アカウント検証部27から受けた検証結果が「permit(許可)」であれば、派生アカウント60にアクセスし、派生アカウント60のユーザ属性情報ブロック61に基づき、ユーザ認証を実行する機能と、アカウント検証部27から受けた検証結果が「deny(拒否)」であれば、派生アカウント60へのアクセスを拒否し、派生アカウント60を無効化する機能とをもっている。
【0083】
派生認証要素作成部26は、利用者のクライアント装置30との間で派生認証要素を合意確立し、合意した派生認証要素を作成する機能と、作成した派生認証要素を派生アカウント保存部21内の派生アカウント60の派生認証要素フィールド63に書き込む機能と、派生認証要素の書き込み後、派生アカウントの作成完了又は失敗を示す処理結果をクライアント装置30及び基底アカウント管理装置10に通知する機能とをもっている。
【0084】
アカウント検証部27は、派生アカウント60が有する派生アカウント管理情報ブロック64のフィールドの情報を検証する機能部であり、派生アカウント信用要素情報56に含まれる生存条件を検証する機能をもっている。
【0085】
具体的には、アカウント検証部27は、通信部22により派生アカウント信用要素情報56を受信すると、この派生アカウント信用要素情報56内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報56内の電子署名を検証する機能と、この検証の結果、電子署名が正当のとき、派生アカウント信用要素情報56に含まれる生存条件に基づいて、派生アカウント60の生存が許可されるか否かを検証する機能と、検証結果が“許可(permit)”の場合、派生アカウント操作部25により派生アカウント60を作成して派生アカウント保存部21に書き込む機能とをもっている。
【0086】
また、アカウント検証部27は、派生アカウント操作部25から派生アカウント60の生存検証を要求されたときにも、同様に、電子署名を検証した後に生存条件を検証し、検証結果を派生アカウント操作部25に送出する機能をもっている。
【0087】
クライアント装置30は、利用者が基底アカウント管理装置10と派生アカウント管理装置20とに接続するためのエンティティ装置である。
【0088】
クライアント装置30は、図7に示すように、データ保存部31、通信部32及びユーザインタフェース部33を備えている。
【0089】
データ保存部31は、通信部32及びユーザインタフェース部33から読出/書込可能な記憶装置であり、例えば、各部32,33の処理における一時的な記憶装置として用いられる。
【0090】
通信部32は、ユーザインタフェース部33に制御され、基底アカウント管理装置10及び派生アカウント管理装置20と通信するためのものであり、データ保存部31に対する読出/書込機能をもっている。
【0091】
ユーザインタフェース部33は、利用者の操作により、クライアント装置30にデータを入出力する機能と、データ保存部31に対する読出/書込機能と、通信部32を制御する機能とをもっている。
【0092】
具体的にはユーザインタフェース部33は、利用者の操作により、通信部32を介して派生アカウント生成要求を派生アカウント管理装置20に送信する機能と、通信部32が受信した基底アカウント管理装置名を画面表示する機能と、この画面表示中、利用者の操作により選択された基底アカウント管理装置名を通信部32から派生アカウント管理装置20に送信する機能とをもっている。
【0093】
次に、以上のように構成されたアカウント管理システムの動作について図8を用いて説明する。この説明は「アカウント登録」及び「派生アカウントの検証及び削除」の順に行う。
【0094】
(アカウント登録)
[ステップST1]
クライアント装置30においては、利用者の操作により、ユーザインタフェース部33が通信部32を介して、派生アカウント生成要求を派生アカウント管理装置20に送信する。
【0095】
[ステップST2]
派生アカウント管理装置20においては、この派生アカウント生成要求を通信部22及び制御部23を介して派生アカウント操作部25が受けると、派生アカウント操作部25が、選択可能な基底アカウント管理装置10を示す基底アカウント管理装置名を制御部23及び通信部22を介してクライアント装置30に送信する。基底アカウント管理装置名は、予め派生アカウント保存部21内に書き込まれているものとする。
【0096】
クライアント装置30においては、基底アカウント管理装置名を通信部32が受信すると、ユーザインタフェース部33がこの基底アカウント管理装置名を画面表示する。
【0097】
[ステップST3−1]
クライアント装置30においては、利用者の操作により、ユーザインタフェース部33が基底アカウント管理装置名を選択し、この基底アカウント管理装置名を通信部32から派生アカウント管理装置20に送信する。
【0098】
[ステップST3−2]
派生アカウント管理装置20においては、この基底アカウント管理装置名を転送処理部24が受信すると、転送処理部24がこの基底アカウント管理装置名に基づいて、受信内容を当該基底アカウント管理装置10へ転送する。このとき、派生アカウント管理装置20の接続先情報も基底アカウント管理装置10に送信される。
【0099】
[ステップST4]
基底アカウント管理装置10においては、基底アカウント管理装置名、及び派生アカウント管理装置20の接続先情報を転送処理部14が受信して初期認証部18に送出する。
【0100】
初期認証部18は、この基底アカウント管理装置名、及び派生アカウント管理装置20の接続先情報を受けると、基底アカウント保存部11内の初期認証要素に基づき、基底アカウント操作部15を介して利用者を認証する。
【0101】
例えば、基底アカウント保存部11内の初期認証要素がパスワードの場合、初期認証部18は、制御部13及び通信部12を介して、ユーザID及びパスワードの入力画面データをクライアント装置30に送信する。
【0102】
クライアント装置30においては、利用者の操作により、ユーザインタフェース部33に入力されたユーザID及びパスワードを通信部32から基底アカウント管理装置10に送信する。
【0103】
基底アカウント管理装置10では、初期認証部18が、通信部12により受信したユーザID及びパスワードと、基底アカウント保存部11内の基底アカウントに含まれるユーザID及びパスワードとを照合することにより、利用者の認証処理を実行する。
【0104】
[ステップST5]
通信部12により受信したパスワードと基底アカウント保存部11の基底アカウントに含まれるパスワードとの一致により認証処理が成功したとき、基底アカウント管理装置10においては、派生アカウント信用要素生成部16が、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件に対し、基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する。なお、生存条件は生存条件設定部17に事前に設定されている。
【0105】
また、派生アカウント信用要素生成部16は、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件及びセキュリティ情報からなる派生アカウント信用要素情報56を生成する。
【0106】
しかる後、派生アカウント信用要素生成部16は、基底アカウント操作部15により、この派生アカウント信用要素情報56を基底アカウント保存部11内の基底アカウント50の派生アカウント信用要素情報フィールド55に書き込む。
【0107】
これ以降の任意のステップにおいて、基底アカウント操作部15は、派生アカウント信用要素情報56の参照IDを当該派生アカウント信用要素情報56と関連付けて基底アカウント保存部11に保存する。保存するタイミングとしては、例えば派生アカウント60が生成されるタイミング([ステップST8])が望ましい。
【0108】
[ステップST6−1]
基底アカウント管理装置10は、転送処理部14が、初期認証部18による認証結果を派生アカウント管理装置20へ転送する。
[ステップST6−2]
派生アカウント管理装置20においては、転送処理部24が認証結果を受信すると、派生アカウント信用要素情報56の送信要求を基底アカウント管理装置10に送信する。
【0109】
[ステップST7]
基底アカウント管理装置10は、通信部12により、派生アカウント信用要素情報56の送信要求を受信すると、基底アカウント操作部15が、基底アカウント保存部11内の派生アカウント信用要素情報56を派生アカウント管理装置20に送信する。
【0110】
[ステップST8]
派生アカウント管理装置20においては、通信部22により派生アカウント信用要素情報56を受信すると、アカウント検証部27が、この派生アカウント信用要素情報56におけるセキュリティ情報内の公開鍵証明書に基づいて、当該セキュリティ情報内の電子署名を検証し、この検証の結果、電子署名が正当のときには、派生アカウント信用要素情報56に含まれる生存条件に基づいて、派生アカウント60の生存が許可されるか否かを検証する。
【0111】
具体的には図9に示すように、アカウント検証部27は、派生アカウント信用要素情報56内の派生アカウント信用要素有効期間に基づいて、派生アカウント信用要素情報56が有効か否かを判定し(ST8−1)、判定結果が否の場合にはステップST8−5に進み、評価結果を“拒否(deny)”として処理を終了する。
【0112】
ステップST8−1の判定結果が“有効”を示す場合、アカウント検証部27は、派生アカウント信用要素情報56に派生アカウント拡張生存条件が存在するか否かを判定し(ST8−2)、判定結果が否の場合にはステップST8−6に進み、評価結果を“許可(permit)”として処理を終了する。
【0113】
ステップST8−2の判定結果が“存在する”旨を示す場合、アカウント検証部27は、派生アカウント拡張生存条件で規定されるイベントを実行し(ST8−3)、派生アカウント拡張生存条件のイベント効果が“許可(permit)”か否かを判定する(ST8−4)。
【0114】
ステップST8−4の判定結果が否の場合、アカウント検証部27は、ステップST8−5に進み、評価結果を“拒否(deny)”として(ST8−5)、処理を終了する。
【0115】
一方、ステップST8−4の判定結果が“許可(permit)”の場合、アカウント検証部27は、ステップST8−6に進み、評価結果を“許可(permit)”として処理を終了する。
【0116】
次に、アカウント検証部27は、図10に示すように、派生アカウント信用要素情報の生存条件の評価結果を得ると(ST8−1〜ST8−6)、得られた評価結果が“許可(permit)”か否かを判定し(ST8−7)、判定結果が否の場合には処理を終了する。
【0117】
ステップST8−7の判定結果が“許可(permit)”の場合、アカウント検証部27は、派生アカウント操作部25により派生アカウント60を作成し(ST8−8)、処理を終了する。派生アカウント60は、派生アカウント操作部25により、派生アカウント保存部21に書き込まれる。
【0118】
[ステップST9]
派生アカウント管理装置20においては、派生認証要素作成部26が、利用者のクライアント装置30との間で派生認証要素を合意確立し、この合意した派生認証要素を派生アカウント保存部21内の派生アカウント60の派生認証要素フィールド63に書き込む。例えば生体認証の場合、派生認証要素作成部26は、利用者の生体情報をクライアント装置30から取得し、この生体情報から生体情報テンプレートを作成し、生体情報テンプレートにテンプレート管理情報を付与して派生認証要素を作成する。なお、テンプレート管理情報には、派生アカウント信用要素情報56の各情報を含めてもよい。この各情報としては、例えば、発行元情報(基底アカウント管理装置10の識別情報)や、基底アカウント参照情報などが挙げられる。また、テンプレート管理情報は付与しなくてもよい。
【0119】
また、派生認証要素作成部26は、真正性を保証する観点から、生体情報テンプレートとテンプレート管理情報に対して電子署名を施すことにより、派生認証要素を作成してもよい。電子署名を施す場合、電子署名の署名生成鍵(一般的には、公開鍵証明書の対となる秘密鍵)は、派生アカウント管理装置20が有する鍵であり、頻繁な更新の必要性が少なく、(基底アカウント装置10の公開鍵証明書の有効期間や秘密鍵の鍵長よりも)長期的な有効期間や安全な鍵長が選択される。このため、生体情報テンプレートに電子署名を施す場合でも、派生認証要素は、基底アカウント管理装置10の公開鍵証明書の有効期間よりも、長い有効期間を得ることができる。なお、派生アカウント管理装置20が有する署名生成鍵及びこの署名生成鍵に対応する公開鍵証明書は、例えば、派生アカウント保存部21に予め保存されている。
【0120】
いずれにしても、このステップST9は、派生アカウント60の派生認証要素フィールド63に派生認証要素を書き込む場合に実行される。
【0121】
[ステップST1−10]
派生認証要素の書き込み後、派生アカウント管理装置20においては、派生認証要素作成部26が制御部23及び通信部22を介し、完了又は失敗を示す処理結果をクライアント装置30及び基底アカウント管理装置10に通知する。以後、派生アカウント60が利用可能となる。
【0122】
(派生アカウントの検証及び削除)
次に、派生アカウント60を検証及び削除する動作について図11を用いて説明する。派生アカウント60の検証は、任意のタイミングで実行される。ここでは、派生アカウント60のユーザ属性情報ブロックへのアクセス時に実行される例を述べる。なお、派生アカウント60の検証は、派生アカウント管理装置20によるユーザ認証など、派生認証要素を利用する際に実行されることが望ましい。以下の動作説明は、派生アカウント操作部25が派生アカウント60のユーザ属性情報ブロック61にアクセスする時点から開始する。
【0123】
[ステップST11]
派生アカウント管理装置20においては、派生アカウント操作部25が、派生アカウント60へのアクセス要求があったとき、派生アカウント60の生存検証をアカウント検証部27に要求する。アカウント検証部27は、派生アカウント保存部21から派生アカウント60の派生アカウント信用要素情報56を取得する。
【0124】
[ステップST12]
アカウント検証部27は、取得した派生アカウント信用要素情報56におけるセキュリティ情報内の公開鍵証明書に基づいて、当該セキュリティ情報内の電子署名を検証し、この検証の結果、電子署名が正当のときには、派生アカウント信用要素情報56内の生存条件に基づいて、図9に示したように、派生アカウント60の生存が許可されるか否かを検証し、検証結果を派生アカウント操作部25に返す。
【0125】
なお、派生アカウント操作部25は、アカウント検証部27による生存条件の検証に加え、派生アカウント信用要素情報56内の信用要素識別情報、生成元情報及び基底アカウント参照情報に基づいて、基底アカウント管理装置10に生存検証を要求してもよい。
【0126】
いずれにしても、最終的な検証結果が「permit(許可)」であれば、派生アカウント操作部25は、派生アカウント60へアクセスし、派生アカウント60のユーザ属性情報ブロック61に基づき、ユーザ認証を実行する。
【0127】
例えば、ユーザ属性情報ブロック61の派生認証要素フィールド63に生体情報テンプレートが格納されていた場合、派生アカウント操作部25は、通信部22を介して、生体情報の入力メッセージデータをクライアント装置30に送信する。
【0128】
クライアント装置30においては、利用者の操作により、ユーザインタフェース部33に入力された生体情報を通信部32から派生アカウント管理装置20に送信する。
【0129】
派生アカウント管理装置20では、派生アカウント操作部25が、通信部22により受信した生体情報と、派生アカウント保存部21内の派生アカウントに含まれる生体情報テンプレートとを照合することにより、ユーザ認証を実行する。
【0130】
[ステップST13]
一方、アカウント検証部27から受けた検証結果が「deny(拒否)」であれば、派生アカウント操作部25は、派生アカウント60へのアクセスを拒否し、派生アカウント60を無効化する。
【0131】
派生アカウント60を無効化する場合、派生アカウント管理情報ブロック64の有効情報フィールド66に無効を示す有効情報を上書き更新する。
【0132】
無効化せずに拒否する場合は、派生アカウント60を削除する。通常は、派生アカウント拡張生存条件などで明示的な指定がなければ、派生アカウント60を削除せずに無効化することが望ましい。
【0133】
これは、例えば2組の有効期間“2007年1月1日〜2007年2月1日”及び“2007年3月1日〜2007年4月1日”を設定した場合、2組の有効期間の間だけ派生アカウント60を無効化すれば、再度、派生アカウント60を作成しなくてもすむからである。
【0134】
なお、派生アカウント60の無効化を解除する場合、再度[ステップST1]から[ステップST6]までを実行し、派生アカウント信用要素情報56を更新する。派生アカウント信用要素情報56を更新した後、派生アカウント60の派生アカウント管理情報ブロック64の有効情報フィールド66に有効を示す有効情報を上書き更新する。
【0135】
上述したように本実施形態によれば、生存条件を満たすときに有効となる派生アカウント情報60を、基底アカウント管理装置10の公開鍵証明書の有効期間を過ぎると失効する派生アカウント信用要素情報56と、この有効期間とは無関係に有効な利用者の生体情報テンプレートと、の両者を含む構成としている。
【0136】
これにより、ルートとなる認証要素(公開鍵証明書)が失効しても、派生する認証要素(生体情報テンプレート)の失効を阻止することができる。また、生存条件が複数の有効期間を含む構成により、派生する認証要素の有効期間を一時的にかつ選択的に無効に設定することができる。
【0137】
すなわち、認証要素間の信頼関係性を表現する情報に基づいて認証要素を管理することにより、本来それぞれの認証要素が持つ固有な安全性や運用特性に基づく有効期間などの有効条件と、身元保証などのルートとなる認証要素で保証可能な有効期間などの有効条件とを独立して管理でき、派生する認証要素を自律的に制御することができる。これにより、認証要素の再生成処理などの負担を軽減でき、利用者の利便性を向上できる。
【0138】
例えば従来は、ルートの認証要素として公開鍵証明書を個人や社員に発行する場合、有効期間付きの住所移転や転属などで記載内容が比較的頻繁に更新される可能性が高く、それに伴い、ルートの公開鍵証明書を再発行すると共に、派生する生体情報を再生成する必要が生じていた。
【0139】
しかしながら、本実施形態によれば、前述した通り、ルートとなる認証要素(公開鍵証明書)が失効しても、派生する認証要素(生体情報テンプレート)の失効を阻止できるので、認証要素の再生成処理などの負担を軽減でき、利用者の利便性を向上できる。
【0140】
このような効果は、有効期間に限らず、類似する認証要素が有効であると判断される生存条件に対しても同様に得られる。例えば、予め期間が不明な住所移転や転属などの場合でも、有効な住所や有効な所属を生存条件が含み且つICカード等により現在の住所データや所属データを入力して生存条件と照合する構成とすれば、同様の効果を得ることができる。
【0141】
また従来は、各セキュリティシステムの管理主体が独立してアカウントを管理するので、統合したセキュリティシステムの管理や、統合したアカウントのライフサイクル管理を実現することが難しかった。例えば、社員が退社した場合、各事業所で当該社員のアカウントを速やかに削除する必要があった。
【0142】
しかしながら、一般に、社員の退社は口頭や書面により各事業所に通知される場合が多いので、各事業所では、退社した社員のアカウントが残っている場合があった。よって、従来は、退社後の元社員が権限無くリソースにアクセス可能な状態が長期に渡って存在する可能性が生じていた。この状態はセキュリティ上問題がある。
【0143】
一方、本実施形態によれば、社員が退社した場合には、少なくとも基底アカウント管理装置10の基底アカウント10が無効化される。
【0144】
このため、派生アカウント管理装置20がアクセス要求を受けたとき、派生アカウント管理装置20が派生アカウント信用要素情報56内の信用要素識別情報、生成元情報及び基底アカウント参照情報に基づいて、基底アカウント管理装置10に生存検証を要求することにより、基底アカウント管理装置10から“拒否”が通知されるので、当該アクセス要求を拒否して派生アカウント60を無効化でき、もって、退社した社員からリソースを保護することができる。
【0145】
(第2の実施形態)
図12は本発明の第2の実施形態に係るアカウント管理システムが適用された入退出管理システムの構成を示す模式図であり、図13乃至図15は各装置の構成を示す模式図であって、前述した図面と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。
【0146】
本実施形態の入退出管理システムは、認証サーバ装置10’、入退出管理装置20’がネットワーク40を介して接続されている。入退出管理装置20’には、ネットワーク40とは物理的または論理的に隔離されたローカルネットワークを介して入退出管理クライアント装置30’及び入退出制御装置70が接続されている。入退出管理装置20’、入退出管理クライアント装置30’及び入退出制御装置70は、物理リソースとしての入退出管理ドメイン80に配置されている。
【0147】
入退出管理クライアント装置30’は、認証サーバ装置30’と直接に通信可能なネットワーク40に接続してもよい。認証サーバ装置10’は、第1の実施形態の基底アカウント管理装置10に該当する。入退出管理装置20’は、第1の実施形態の派生アカウント管理装置20に該当する。
【0148】
認証サーバ装置10’は、基底アカウント管理装置10と同様に基底アカウントを管理対象としている。入退出管理システムの例のため、基底アカウントとして企業の従業員アカウントを用いるが、これに限らず、例えば、金融機関の口座アカウントや、自治体における住民アカウントなども好適に使用可能となっている。
【0149】
認証サーバ装置10’は、図13に示すように、図2に示した基底アカウント管理装置10と同様な構成となっている。但し、ここでは、認証サーバ装置10’と入退出管理装置20’との直接的な対向通信を用いているため、図2の転送処理部14に代えて、通信処理部14’を備えている。
【0150】
通信処理部14’は、前述したクライアント装置30を経由する間接的な転送ではなく、直接的に入退出管理装置20’と通信するという通信上の機能のみに差異があり、他の実現される機能は転送処理部14と同様であるとする。
【0151】
入退出管理装置20’は、前述した派生アカウント60を有し、特定のドメインとしての入退出管理ドメイン80の境界における人物や物品等の入退出を管理対象とする。入退出管理ドメイン80の好適な例としては、企業における事業所や工場などにおける各部屋や特定エリアなどが挙げられる。
【0152】
入退出管理装置20’は、図14に示すように、図5に示した派生アカウント管理装置20と同様の構成に加え、入退出許可判断部28及び派生認証要素認証部29を備えている。また、認証サーバ装置10’と同様に、転送処理部24に代えて、通信処理部24’を備えている。
【0153】
入退出許可判断部28は、派生認証要素認証部29によるユーザ認証の結果に基づき、入退出の許可又は拒否を判断する機能と、許可又は拒否を示す判断結果を通信部22により入退出制御装置70に送信する機能とをもっている。
【0154】
派生認証要素認証部29は、派生アカウント操作部25に起動されると、通信部22を介して派生認証要素の入力メッセージデータを入退出制御装置70に送信する機能と、通信部22により受信した派生認証要素(生体情報)と、派生アカウント保存部21内の派生アカウントに含まれる派生認証要素(生体認証テンプレート)とを照合してユーザ認証を実行し、ユーザ認証の結果を入退出許可判断部28に送出する機能とをもっている。
【0155】
入退出制御装置70は、実際に入退出を制御する装置であり、入退出要求があったときに、入退出管理装置20’に問い合わせて、入退出の許可判断(認証結果)を取得し、ドア等の開閉制御を行なう。本実施形態では、理解を容易にするために、入退出管理装置20’と入退出制御装置70とを分離した構成としたが、これに限らず、入退出管理装置20’及び入退出制御装置70を一台の装置により実現してもよい。
【0156】
入退出制御装置70は、図15に示すように、データ保存部71、通信部72、ユーザインタフェース部73、制御部74及び入退出制御部75を備えている。
【0157】
データ保存部71は、各部72〜75から読出/書込可能な記憶装置であり、例えば、各部72〜75の処理における一時的な記憶装置として用いられる。
【0158】
通信部72は、ユーザインタフェース部73に制御され、入退出管理装置20’と通信するためのものであり、データ保存部31に対する読出/書込機能をもっている。
【0159】
ユーザインタフェース部73は、利用者の操作により、入退出制御装置70にデータを入出力する機能と、データ保存部71に対する読出/書込機能と、通信部72を制御する機能とをもっている。
【0160】
具体的にはユーザインタフェース部73は、利用者の操作により、通信部72を介してアクセス要求を入退出管理装置20’に送信する機能と、通信部72が受信した生体情報の入力メッセージを画面表示する機能と、この画面表示中、利用者の操作により入力された生体情報を通信部72から入退出管理装置20’に送信する機能とをもっている。
【0161】
制御部74は、入退出制御装置70内でのイベントやデータを制御するための機能部であり、各部71〜73,75を制御する機能をもっている。
【0162】
入退出制御部75は、通信部72により入退出管理装置20’から取得した認証結果に応じて、入退出制御装置70の制御対象範囲(ドアなど)の入退出に関わる動作(ドアの開錠など)を制御する機能をもっている。
【0163】
入退出管理クライアント装置30’は、入退出管理装置20’上に派生アカウント60を作成する際に、アカウント作成対象となる利用者が操作するクライアント装置30である。
【0164】
派生アカウント60の作成に際しては、認証サーバ装置10’上で事前に申請されていてもよい。事前申請または、さらに適切な権限を持つ承認者により承認されている場合にのみ、入退出管理装置20’からの派生アカウント作成要求を受け付けてもよい。
【0165】
次に、以上のように構成された入退出管理システムの動作について図16を用いて説明する。
【0166】
[ステップST21]
入退出管理クライアント装置30’においては、利用者の操作により、ユーザインタフェース部33が通信部32を介して、派生アカウント生成要求を入退出管理装置20’に送信する。
【0167】
[ステップST22]
入退出管理装置20’においては、この派生アカウント生成要求を通信部22及び制御部23を介して派生アカウント操作部25が受けると、派生アカウント操作部25が、選択可能な認証サーバ装置10’を示す認証サーバ装置名を制御部23及び通信部22を介して入退出管理クライアント装置30’に送信する。認証サーバ装置名は、予め派生アカウント保存部21内に書き込まれているものとする。
【0168】
入退出管理クライアント装置30’においては、認証サーバ装置名を通信部32が受信すると、ユーザインタフェース部33がこの認証サーバ装置名を画面表示する。
【0169】
[ステップST23]
利用者は、自己の身元を保証してくれる認証サーバ装置10’を選択する。
入退出管理クライアント装置30’においては、利用者の操作により、ユーザインタフェース部33が認証サーバ装置名を選択し、この認証サーバ装置名を通信部32から入退出管理装置20’に送信する。
【0170】
[ステップST24]
入退出管理装置20’は、通信処理部24’が、認証サーバ装置名を受信すると、この認証サーバ装置名に基づいて、派生アカウント作成許可要求を認証サーバ装置10’に送信する。
【0171】
入退出管理クライアント装置30’においては、利用者の操作により、ユーザインタフェース部33が認証情報を生成し、この認証情報を通信部32が入退出管理クライアント装置30’及び入退出管理装置20’を介して認証サーバ装置10’に送信する。
【0172】
認証情報の生成方法としては、例えば、ICカード型の従業員証に格納される公開鍵証明書を利用して認証情報を生成する方式などが挙げられる。ここでいう認証情報としては、例えば、従業員証に格納されたユーザID及びパスワードを公開鍵証明書内の公開鍵で暗号化して得られた暗号化データが使用可能となっている。
【0173】
必要があれば、認証情報を生成するための認証サーバ装置10’との間の相互作用をこのステップST24上で実行してもよい。例えば、認証サーバ装置10’から乱数を受けると、この乱数に従業員証内のユーザID及びパスワードを連接し、この連接データを従業員証内の公開鍵で暗号化して得られた暗号化データを認証情報に使用してもよい。
【0174】
[ステップST25]
認証サーバ装置10’では接続を受理し、通信処理部14’により受信した認証情報を初期認証部18が検証することにより利用者の認証処理を実行し、認証結果を通信処理部14’から入退出管理装置20’に応答する。
【0175】
ここで、検証方法としては、例えば、暗号化されたユーザID及びパスワードが認証情報の場合、認証情報を基底アカウント保存部11内の公開鍵証明書に対応する秘密鍵に基づいて復号し、得られたユーザID及びパスワードと、基底アカウント保存部11内の基底アカウントに含まれるユーザID及びパスワードとを照合し、両パスワードが一致すれば認証成功となる。
【0176】
また、乱数、ユーザID及びパスワードの連接データを暗号化した暗号化データが認証情報の場合、前述した復号及びパスワード照合に加え、復号した乱数と、予め送信した乱数とを照合し、両乱数が一致すれば認証成功となる。
【0177】
[ステップST26]
入退出管理装置20’は、認証サーバ装置10’から通信処理部24’により受信した認証結果が認証成功を示すとき、派生アカウント信用要素情報56の要求を通信処理部24’から認証サーバ装置10’に送信する。この派生アカウント信用要素情報56は、図4に示した構成をもっている。
【0178】
[ステップST27]
認証サーバ装置10’においては、派生アカウント信用要素情報56の要求を通信部12により受信すると、派生アカウント信用要素生成部16が、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件に対し、認証サーバ装置10’の秘密鍵に基づいて電子署名を生成する。なお、生存条件は生存条件設定部17に事前に設定されている。
【0179】
このとき、派生アカウント60の生存条件の例として、有効期間の設定を”2007年1月1日から2007年2月1日まで”、かつ”2007年3月1日から2007年4月1日まで”とする。上記例は、連続的な期間ではなく、離散的な期間で、入退出管理を実施することを想定している。
【0180】
また、派生アカウント信用要素生成部16は、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件及びセキュリティ情報からなる派生アカウント信用要素情報56を生成する。
【0181】
しかる後、派生アカウント信用要素生成部16は、基底アカウント操作部15により、この派生アカウント信用要素情報56を基底アカウント保存部11内の基底アカウント50の派生アカウント信用要素情報フィールド55に書き込む。
【0182】
これ以降の任意のステップにおいて、基底アカウント操作部15は、派生アカウント信用要素情報56の参照IDを当該派生アカウント信用要素情報56と関連付けて基底アカウント保存部11に保存する。保存するタイミングとしては、例えば派生アカウント60が生成されるタイミング([ステップST29])が望ましい。
【0183】
[ステップST28]
認証サーバ装置10’においては、基底アカウント操作部15が、基底アカウント保存部11内の派生アカウント信用要素情報56を通信部12から入退出管理装置20’に送信する。
【0184】
[ステップST29]
入退出管理装置20’においては、通信部22により派生アカウント信用要素情報56を受信すると、アカウント検証部27が、この派生アカウント信用要素情報56におけるセキュリティ情報内の公開鍵証明書に基づいて、当該セキュリティ情報内の電子署名を検証する。
【0185】
アカウント検証部27は、この検証の結果、電子署名が正当のときには、派生アカウント信用要素情報56に含まれる生存条件に基づいて、派生アカウント60の生存が許可されるか否かを検証する。この検証処理は、具体的には図9及び図10を用いて前述した通りに実行される。
【0186】
評価結果が“許可(permit)”であれば、派生アカウント操作部25が派生アカウント60を作成する。評価結果が“拒否(deny)”であれば、派生アカウント60を作成しない。
【0187】
[ステップST30]
次に、入退出管理装置20’は、処理の結果と派生認証要素の要求とを入退出管理クライアント装置30’に送信する。
【0188】
[ステップST31]
次に、入退出管理装置20’においては、派生認証要素作成部26が、利用者のクライアント装置30との間で派生認証要素を合意確立し、合意した派生認証要素を派生アカウント保存部21内の派生アカウント60の派生認証要素フィールド63に書き込む。
【0189】
[ステップST32]
派生認証要素の書き込み後、派生アカウント管理装置20においては、派生認証要素作成部26が制御部23及び通信部22を介し、完了又は失敗を示す処理結果を認証サーバ装置10’に通知する。
【0190】
[ステップST33]
次に、派生アカウント管理装置20においては、派生認証要素作成部26が制御部23及び通信部22を介し、完了又は失敗を示す処理結果を入退出クライアント装置30’に通知する。
【0191】
入退出クライアント装置30’は、受信した処理結果を画面表示することにより、利用者に処理結果を通知する。この処理結果により、全ての処理を完了したのか、失敗したのかが利用者に通知される。処理結果が完了を示すとき、派生アカウント60が利用可能となる。
【0192】
(派生アカウントの検証及び削除)
派生アカウント60を検証及び削除する動作については、入退出管理装置20’と入退出制御装置70とが分離した構成であることを除き、前述した動作と同様である。以下、前述した図11を用いて説明する。
【0193】
[ステップST11]
入退出制御装置70においては、利用者から入退出要求を受けると、派生アカウント60へのアクセス要求を入退出管理装置20’に送信する。
【0194】
入退出管理装置20’においては、派生アカウント操作部25が、派生アカウント60へのアクセス要求があったとき、派生アカウント60の生存検証をアカウント検証部27に要求する。アカウント検証部27は、派生アカウント保存部21から派生アカウント60の派生アカウント信用要素情報56を取得する。
【0195】
[ステップST12]
アカウント検証部27は、前述した通り、取得した派生アカウント信用要素情報56における電子署名及び生存条件を検証し、検証結果を派生アカウント操作部25に返す。
【0196】
なお、派生アカウント操作部25は、入退出許可判断部28による生存条件の検証に加え、派生アカウント信用要素情報56内の信用要素識別情報、生成元情報及び基底アカウント参照情報に基づいて、認証サーバ装置10’に生存検証を要求してもよい。
【0197】
いずれにしても、最終的な検証結果が「permit(許可)」であれば、派生アカウント操作部25は、派生アカウント60へアクセスし、派生アカウント60のユーザ属性情報ブロック61に基づき、派生認証要素認証部29を起動してユーザ認証を実行する。
【0198】
例えば、ユーザ属性情報ブロック61の派生認証要素フィールド63に生体情報テンプレートが格納されていた場合、派生認証要素認証部29は、通信部22を介して、生体情報の入力メッセージデータを入退出制御装置70に送信する。
【0199】
入退出制御装置70においては、利用者の操作により、ユーザインタフェース部73に入力された生体情報を通信部72から入退出管理装置20’に送信する。
【0200】
入退出管理装置20’では、派生認証要素認証部29が、通信部22により受信した生体情報と、派生アカウント保存部21内の派生アカウントに含まれる生体情報テンプレートとを照合してユーザ認証を実行し、ユーザ認証の結果を入退出許可判断部28に送出する。
【0201】
入退出許可判断部28は、ユーザ認証の結果に基づき、入退出の許可又は拒否を判断する。例えばユーザ認証の結果が類似度のとき、入退出許可判断部28は、この類似度が所定のしきい値を超えるか否かにより、入退出の許可又は拒否を判断する。所定のしきい値は、入退出制御装置70に応じた値(入退出したいエリアの重要度に応じた値)を保持していてもよい。
【0202】
しかる後、入退出管理装置20’では、許可又は拒否を示す判断結果を通信部22により入退出制御装置70に送信する。
【0203】
入退出制御装置70においては、入退出制御部70が、通信部72により受信した判断結果に応じてドアの開錠などを制御する。
【0204】
[ステップST13]
一方、アカウント検証部27から受けた検証結果が「deny(拒否)」であれば、派生アカウント操作部25は、派生アカウント60へのアクセスを拒否し、派生アカウント60を無効化する。無効化の実行方法や無効化の解除方法は、前述した通りである。
【0205】
上述したように本実施形態によれば、第1の実施形態のアカウント管理システムを入退出管理システムに適用した構成としても、第1の実施形態と同様の作用効果を得ることができる。
【0206】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0207】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0208】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0209】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0210】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0211】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0212】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0213】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0214】
【図1】本発明の第1の実施形態に係るアカウント管理システムの構成を示す模式図である。
【図2】同実施形態における基底アカウント管理装置の構成を示す模式図である。
【図3】同実施形態における基底アカウントの構成を示す模式図である。
【図4】同実施形態における派生アカウント信用要素情報の構成を示す模式図である。
【図5】同実施形態における派生アカウント管理装置の構成を示す模式図である。
【図6】同実施形態における派生アカウントの構成を示す模式図である。
【図7】同実施形態におけるクライアント装置の構成を示す模式図である。
【図8】同実施形態における動作を説明するためのシーケンス図である。
【図9】同実施形態における動作を説明するためのフローチャートである。
【図10】同実施形態における動作を説明するためのフローチャートである。
【図11】同実施形態における動作を説明するためのフローチャートである。
【図12】本発明の第2の実施形態に係るアカウント管理システムが適用された入退出管理システムの構成を示す模式図である。
【図13】同実施形態における認証サーバ装置の構成を示す模式図である。
【図14】同実施形態における入退出管理装置の構成を示す模式図である。
【図15】同実施形態における入退出制御装置の構成を示す模式図である。
【図16】同実施形態における動作を説明するためのシーケンス図である。
【符号の説明】
【0215】
10…基底アカウント管理装置、10’…認証サーバ装置、11…基底アカウント保存部、12,22…通信部、13,23…制御部、14,24…転送処理部、14’,24’…通信処理部、15…基底アカウント操作部、16…派生アカウント信用要素生成部、17…生存条件設定部、18…初期認証部、20…派生アカウント管理装置、20’…入退出管理装置、21…派生アカウント保存部、25…派生アカウント操作部、26…派生認証要素作成部、27…アカウント検証部、28…入退出許可判断部、29…派生認証要素認証部、30…クライアント装置、30’…入退出管理クライアント装置、40…ネットワーク、50…基底アカウント、51…基底属性情報ブロック、52…基底属性情報フィールド、53…初期認証要素フィールド、54…派生管理情報ブロック、55…派生アカウント信用要素情報フィールド、56…派生アカウント信用要素情報、60…派生アカウント、61…ユーザ属性情報ブロック、62…属性情報フィールド、63…派生認証要素フィールド、64…派生アカウント管理情報ブロック、65…派生アカウント信用要素情報フィールド、66…有効情報フィールド、70…入退出制御装置、75…入退出制御部、80…入退出管理ドメイン。
【特許請求の範囲】
【請求項1】
利用者の身元を保証するための基底アカウント情報を管理する基底アカウント管理装置と、前記基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置とを備え、前記各アカウント管理装置が利用者のクライアント装置と通信可能なアカウント管理システムであって、
前記基底アカウント管理装置は、
初期認証要素情報が格納された初期認証要素フィールド及び派生アカウント信用要素情報が格納される派生アカウント信用要素フィールドを備えた前記基底アカウント情報を記憶した基底アカウント記憶手段と、
前記基底アカウント管理装置の秘密鍵及びこの秘密鍵に対応する公開鍵証明書が記憶された基底アカウント鍵記憶手段と、
前記派生アカウント信用要素情報に対する複数の有効期間を含む生存条件を予め設定するための生存条件設定手段と、
前記初期認証要素情報に基づいて、前記クライアント装置の利用者を認証する初期認証手段と、
前記初期認証手段による認証結果が正当のとき、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報及び前記生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する手段と、
前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び前記公開鍵証明書からなる派生アカウント信用要素情報を前記派生アカウント信用要素情報フィールドに格納する手段と、
前記基底アカウント記憶手段内の派生アカウント信用要素情報を派生アカウント管理装置に送信する手段と、
を備えており、
前記派生アカウント管理装置は、
前記派生アカウント信用要素情報が格納される派生アカウント信用要素フィールド及び派生認証要素情報が格納される派生認証要素フィールドを備えた前記派生アカウント情報を記憶可能な派生アカウント記憶手段と、
前記基底アカウント管理装置から派生アカウント信用要素情報を受信すると、この派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、前記派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たす場合、前記派生アカウント信用要素情報を前記派生アカウント信用要素フィールドに含む前記派生アカウント情報を作成し、この派生アカウント情報を前記派生アカウント記憶手段に書き込む手段と、
前記利用者の生体情報を前記クライアント装置から取得し、この生体情報から生体情報テンプレートを作成する手段と、
前記生体情報テンプレートを含む派生認証要素情報を前記派生アカウント記憶手段内の前記派生アカウント情報の派生認証要素フィールドに書き込む手段と、
前記派生認証要素の書き込みの後、前記派生アカウント情報へのアクセス要求を受けたとき、前記派生アカウント記憶手段内の派生アカウント情報における派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、当該派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たさない場合、前記アクセス要求を拒否して前記派生アカウント情報を無効化する手段と、
を備えたことを特徴とするアカウント管理システム。
【請求項2】
利用者の身元を保証するための基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報を管理する基底アカウント管理装置であって、
初期認証要素情報が格納された初期認証要素フィールド及び派生アカウント信用要素情報が格納される派生アカウント信用要素フィールドを備えた前記基底アカウント情報を記憶した基底アカウント記憶手段と、
前記基底アカウント管理装置の秘密鍵及びこの秘密鍵に対応する公開鍵証明書が記憶された基底アカウント鍵記憶手段と、
前記派生アカウント信用要素情報に対する複数の有効期間を含む生存条件を予め設定するための生存条件設定手段と、
前記初期認証要素情報に基づいて、前記クライアント装置の利用者を認証する初期認証手段と、
前記初期認証手段による認証結果が正当のとき、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報及び前記生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する手段と、
前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び前記公開鍵証明書からなる派生アカウント信用要素情報を前記派生アカウント信用要素情報フィールドに格納する手段と、
前記基底アカウント記憶手段内の派生アカウント信用要素情報を派生アカウント管理装置に送信する手段とを備え、
前記派生アカウント管理装置に対し、前記生存条件を満たすときに有効となる前記派生アカウント情報を、前記公開鍵証明書の有効期間を過ぎると失効する前記派生アカウント信用要素情報と、この有効期間とは無関係に有効な前記利用者の生体情報テンプレートと、の両者を含むように作成可能としたことを特徴とする基底アカウント管理装置。
【請求項3】
請求項2に記載の基底アカウント管理装置において、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とする基底アカウント管理装置。
【請求項4】
利用者の身元を保証するための基底アカウント情報を管理する基底アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置であって、
前記基底アカウント管理情報が、前記基底アカウント情報内の初期認証要素情報に基づく前記利用者の認証結果が正当の場合に、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報、複数の有効期間を含む生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成することにより、前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び、前記秘密鍵に対応する公開鍵証明書からなる派生アカウント信用要素情報を送信したとき、この派生アカウント信用要素情報を前記基底アカウント管理装置から受信する受信手段と、
前記派生アカウント信用要素情報が格納される派生アカウント信用要素フィールド及び派生認証要素情報が格納される派生認証要素フィールドを備えた前記派生アカウント情報を記憶可能な派生アカウント記憶手段と、
前記基底アカウント管理装置から派生アカウント信用要素情報を受信すると、この派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、前記派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たす場合、前記派生アカウント信用要素情報を前記派生アカウント信用要素フィールドに含む前記派生アカウント情報を作成し、この派生アカウント情報を前記派生アカウント記憶手段に書き込む手段と、
前記利用者の生体情報を前記クライアント装置から取得し、この生体情報から生体情報テンプレートを作成する手段と、
前記生体情報テンプレートを含む派生認証要素情報を前記派生アカウント記憶手段内の前記派生アカウント情報の派生認証要素フィールドに書き込む手段と、
前記派生認証要素の書き込みの後、前記派生アカウント情報へのアクセス要求を受けたとき、前記派生アカウント記憶手段内の派生アカウント情報における派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、当該派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たさない場合、前記アクセス要求を拒否して前記派生アカウント情報を無効化する手段と、
を備えたことを特徴とする派生アカウント管理装置。
【請求項5】
請求項4に記載の派生アカウント管理装置において、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とする派生アカウント管理装置。
【請求項6】
利用者の身元を保証するための基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報を管理する基底アカウント管理装置としてのコンピュータに用いられるプログラムであって、
前記コンピュータを、
初期認証要素情報が格納された初期認証要素フィールド及び派生アカウント信用要素情報が格納される派生アカウント信用要素フィールドを備えた前記基底アカウント情報を前記コンピュータの基底アカウント記憶手段に書き込む手段、
前記基底アカウント管理装置の秘密鍵及びこの秘密鍵に対応する公開鍵証明書を前記コンピュータの基底アカウント鍵記憶手段に書き込む手段、
前記派生アカウント信用要素情報に対する複数の有効期間を含む生存条件を予め設定するための生存条件設定手段、
前記初期認証要素情報に基づいて、前記クライアント装置の利用者を認証する初期認証手段、
前記初期認証手段による認証結果が正当のとき、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報及び前記生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する手段、
前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び前記公開鍵証明書からなる派生アカウント信用要素情報を前記派生アカウント信用要素情報フィールドに格納する手段、
前記基底アカウント記憶手段内の派生アカウント信用要素情報を派生アカウント管理装置に送信する手段、として機能させ、
前記派生アカウント管理装置に対し、前記生存条件を満たすときに有効となる前記派生アカウント情報を、前記公開鍵証明書の有効期間を過ぎると失効する前記派生アカウント信用要素情報と、この有効期間とは無関係に有効な前記利用者の生体情報テンプレートと、の両者を含むように作成可能としたプログラム。
【請求項7】
請求項6に記載のプログラムにおいて、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とするプログラム。
【請求項8】
利用者の身元を保証するための基底アカウント情報を管理する基底アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置としてのコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記基底アカウント管理情報が、前記基底アカウント情報内の初期認証要素情報に基づく前記利用者の認証結果が正当の場合に、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報、複数の有効期間を含む生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成することにより、前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び、前記秘密鍵に対応する公開鍵証明書からなる派生アカウント信用要素情報を送信したとき、この派生アカウント信用要素情報を前記基底アカウント管理装置から受信する受信手段、
前記基底アカウント管理装置から派生アカウント信用要素情報を受信すると、この派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段、
この検証の結果、電子署名が正当のとき、前記派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段、
この検証の結果、生存条件を満たす場合、前記派生アカウント信用要素情報を前記派生アカウント信用要素フィールドに含む前記派生アカウント情報を作成し、この派生アカウント情報を前記派生アカウント記憶手段に書き込む手段、
前記利用者の生体情報を前記クライアント装置から取得し、この生体情報から生体情報テンプレートを作成する手段、
前記生体情報テンプレートを含む派生認証要素情報を前記派生アカウント記憶手段内の前記派生アカウント情報の派生認証要素フィールドに書き込む手段、
前記派生認証要素の書き込みの後、前記派生アカウント情報へのアクセス要求を受けたとき、前記派生アカウント記憶手段内の派生アカウント情報における派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段、
この検証の結果、電子署名が正当のとき、当該派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段、
この検証の結果、生存条件を満たさない場合、前記アクセス要求を拒否して前記派生アカウント情報を無効化する手段、
として機能させるためのプログラム。
【請求項9】
請求項8に記載のプログラムにおいて、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とするプログラム。
【請求項1】
利用者の身元を保証するための基底アカウント情報を管理する基底アカウント管理装置と、前記基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置とを備え、前記各アカウント管理装置が利用者のクライアント装置と通信可能なアカウント管理システムであって、
前記基底アカウント管理装置は、
初期認証要素情報が格納された初期認証要素フィールド及び派生アカウント信用要素情報が格納される派生アカウント信用要素フィールドを備えた前記基底アカウント情報を記憶した基底アカウント記憶手段と、
前記基底アカウント管理装置の秘密鍵及びこの秘密鍵に対応する公開鍵証明書が記憶された基底アカウント鍵記憶手段と、
前記派生アカウント信用要素情報に対する複数の有効期間を含む生存条件を予め設定するための生存条件設定手段と、
前記初期認証要素情報に基づいて、前記クライアント装置の利用者を認証する初期認証手段と、
前記初期認証手段による認証結果が正当のとき、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報及び前記生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する手段と、
前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び前記公開鍵証明書からなる派生アカウント信用要素情報を前記派生アカウント信用要素情報フィールドに格納する手段と、
前記基底アカウント記憶手段内の派生アカウント信用要素情報を派生アカウント管理装置に送信する手段と、
を備えており、
前記派生アカウント管理装置は、
前記派生アカウント信用要素情報が格納される派生アカウント信用要素フィールド及び派生認証要素情報が格納される派生認証要素フィールドを備えた前記派生アカウント情報を記憶可能な派生アカウント記憶手段と、
前記基底アカウント管理装置から派生アカウント信用要素情報を受信すると、この派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、前記派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たす場合、前記派生アカウント信用要素情報を前記派生アカウント信用要素フィールドに含む前記派生アカウント情報を作成し、この派生アカウント情報を前記派生アカウント記憶手段に書き込む手段と、
前記利用者の生体情報を前記クライアント装置から取得し、この生体情報から生体情報テンプレートを作成する手段と、
前記生体情報テンプレートを含む派生認証要素情報を前記派生アカウント記憶手段内の前記派生アカウント情報の派生認証要素フィールドに書き込む手段と、
前記派生認証要素の書き込みの後、前記派生アカウント情報へのアクセス要求を受けたとき、前記派生アカウント記憶手段内の派生アカウント情報における派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、当該派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たさない場合、前記アクセス要求を拒否して前記派生アカウント情報を無効化する手段と、
を備えたことを特徴とするアカウント管理システム。
【請求項2】
利用者の身元を保証するための基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報を管理する基底アカウント管理装置であって、
初期認証要素情報が格納された初期認証要素フィールド及び派生アカウント信用要素情報が格納される派生アカウント信用要素フィールドを備えた前記基底アカウント情報を記憶した基底アカウント記憶手段と、
前記基底アカウント管理装置の秘密鍵及びこの秘密鍵に対応する公開鍵証明書が記憶された基底アカウント鍵記憶手段と、
前記派生アカウント信用要素情報に対する複数の有効期間を含む生存条件を予め設定するための生存条件設定手段と、
前記初期認証要素情報に基づいて、前記クライアント装置の利用者を認証する初期認証手段と、
前記初期認証手段による認証結果が正当のとき、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報及び前記生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する手段と、
前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び前記公開鍵証明書からなる派生アカウント信用要素情報を前記派生アカウント信用要素情報フィールドに格納する手段と、
前記基底アカウント記憶手段内の派生アカウント信用要素情報を派生アカウント管理装置に送信する手段とを備え、
前記派生アカウント管理装置に対し、前記生存条件を満たすときに有効となる前記派生アカウント情報を、前記公開鍵証明書の有効期間を過ぎると失効する前記派生アカウント信用要素情報と、この有効期間とは無関係に有効な前記利用者の生体情報テンプレートと、の両者を含むように作成可能としたことを特徴とする基底アカウント管理装置。
【請求項3】
請求項2に記載の基底アカウント管理装置において、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とする基底アカウント管理装置。
【請求項4】
利用者の身元を保証するための基底アカウント情報を管理する基底アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置であって、
前記基底アカウント管理情報が、前記基底アカウント情報内の初期認証要素情報に基づく前記利用者の認証結果が正当の場合に、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報、複数の有効期間を含む生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成することにより、前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び、前記秘密鍵に対応する公開鍵証明書からなる派生アカウント信用要素情報を送信したとき、この派生アカウント信用要素情報を前記基底アカウント管理装置から受信する受信手段と、
前記派生アカウント信用要素情報が格納される派生アカウント信用要素フィールド及び派生認証要素情報が格納される派生認証要素フィールドを備えた前記派生アカウント情報を記憶可能な派生アカウント記憶手段と、
前記基底アカウント管理装置から派生アカウント信用要素情報を受信すると、この派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、前記派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たす場合、前記派生アカウント信用要素情報を前記派生アカウント信用要素フィールドに含む前記派生アカウント情報を作成し、この派生アカウント情報を前記派生アカウント記憶手段に書き込む手段と、
前記利用者の生体情報を前記クライアント装置から取得し、この生体情報から生体情報テンプレートを作成する手段と、
前記生体情報テンプレートを含む派生認証要素情報を前記派生アカウント記憶手段内の前記派生アカウント情報の派生認証要素フィールドに書き込む手段と、
前記派生認証要素の書き込みの後、前記派生アカウント情報へのアクセス要求を受けたとき、前記派生アカウント記憶手段内の派生アカウント情報における派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、当該派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たさない場合、前記アクセス要求を拒否して前記派生アカウント情報を無効化する手段と、
を備えたことを特徴とする派生アカウント管理装置。
【請求項5】
請求項4に記載の派生アカウント管理装置において、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とする派生アカウント管理装置。
【請求項6】
利用者の身元を保証するための基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報を管理する基底アカウント管理装置としてのコンピュータに用いられるプログラムであって、
前記コンピュータを、
初期認証要素情報が格納された初期認証要素フィールド及び派生アカウント信用要素情報が格納される派生アカウント信用要素フィールドを備えた前記基底アカウント情報を前記コンピュータの基底アカウント記憶手段に書き込む手段、
前記基底アカウント管理装置の秘密鍵及びこの秘密鍵に対応する公開鍵証明書を前記コンピュータの基底アカウント鍵記憶手段に書き込む手段、
前記派生アカウント信用要素情報に対する複数の有効期間を含む生存条件を予め設定するための生存条件設定手段、
前記初期認証要素情報に基づいて、前記クライアント装置の利用者を認証する初期認証手段、
前記初期認証手段による認証結果が正当のとき、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報及び前記生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する手段、
前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び前記公開鍵証明書からなる派生アカウント信用要素情報を前記派生アカウント信用要素情報フィールドに格納する手段、
前記基底アカウント記憶手段内の派生アカウント信用要素情報を派生アカウント管理装置に送信する手段、として機能させ、
前記派生アカウント管理装置に対し、前記生存条件を満たすときに有効となる前記派生アカウント情報を、前記公開鍵証明書の有効期間を過ぎると失効する前記派生アカウント信用要素情報と、この有効期間とは無関係に有効な前記利用者の生体情報テンプレートと、の両者を含むように作成可能としたプログラム。
【請求項7】
請求項6に記載のプログラムにおいて、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とするプログラム。
【請求項8】
利用者の身元を保証するための基底アカウント情報を管理する基底アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置としてのコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記基底アカウント管理情報が、前記基底アカウント情報内の初期認証要素情報に基づく前記利用者の認証結果が正当の場合に、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報、複数の有効期間を含む生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成することにより、前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び、前記秘密鍵に対応する公開鍵証明書からなる派生アカウント信用要素情報を送信したとき、この派生アカウント信用要素情報を前記基底アカウント管理装置から受信する受信手段、
前記基底アカウント管理装置から派生アカウント信用要素情報を受信すると、この派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段、
この検証の結果、電子署名が正当のとき、前記派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段、
この検証の結果、生存条件を満たす場合、前記派生アカウント信用要素情報を前記派生アカウント信用要素フィールドに含む前記派生アカウント情報を作成し、この派生アカウント情報を前記派生アカウント記憶手段に書き込む手段、
前記利用者の生体情報を前記クライアント装置から取得し、この生体情報から生体情報テンプレートを作成する手段、
前記生体情報テンプレートを含む派生認証要素情報を前記派生アカウント記憶手段内の前記派生アカウント情報の派生認証要素フィールドに書き込む手段、
前記派生認証要素の書き込みの後、前記派生アカウント情報へのアクセス要求を受けたとき、前記派生アカウント記憶手段内の派生アカウント情報における派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段、
この検証の結果、電子署名が正当のとき、当該派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段、
この検証の結果、生存条件を満たさない場合、前記アクセス要求を拒否して前記派生アカウント情報を無効化する手段、
として機能させるためのプログラム。
【請求項9】
請求項8に記載のプログラムにおいて、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2009−71435(P2009−71435A)
【公開日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願番号】特願2007−235711(P2007−235711)
【出願日】平成19年9月11日(2007.9.11)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願日】平成19年9月11日(2007.9.11)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]