アクセス制御サーバ、利用者端末及び情報アクセス制御方法
【課題】個人情報を本人の手元で一元的に管理し、情報に対するプライバシーを保護する。
【解決手段】利用者が保有する利用者端末、及び前記利用者端末にサービスを提供する外部サービス端末に接続されたアクセス制御サーバであって、前記利用者端末に保持される個人情報に対する前記外部サービス端末からのアクセスを制御するアクセス制御部を備え、前記アクセス制御部は、前記利用者端末に保持される個人情報に対するアクセス権限を設定するためのアクセス制御ポリシ及び前記外部サービス端末の属性情報を受け付け、前記受け付けたアクセス制御ポリシ及び前記受け付けた外部サービス端末属性情報に基づいて、アクセス権限を判定し、前記判定結果を利用者端末に送付する。
【解決手段】利用者が保有する利用者端末、及び前記利用者端末にサービスを提供する外部サービス端末に接続されたアクセス制御サーバであって、前記利用者端末に保持される個人情報に対する前記外部サービス端末からのアクセスを制御するアクセス制御部を備え、前記アクセス制御部は、前記利用者端末に保持される個人情報に対するアクセス権限を設定するためのアクセス制御ポリシ及び前記外部サービス端末の属性情報を受け付け、前記受け付けたアクセス制御ポリシ及び前記受け付けた外部サービス端末属性情報に基づいて、アクセス権限を判定し、前記判定結果を利用者端末に送付する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、利用者が有する情報が外部からアクセスされるコンピュータシステムに関し、特に、利用者端末に記憶された個人情報を保護するアクセス制御方法に関する。
【背景技術】
【0002】
ネットワーク上の様々なサービス提供システムは、利用者によって要求されるサービスを提供するために、利用者の個人情報を必要とする場合がある。よって、多くのサービス提供システムは、業務に必要な個人情報を自己のデータベース内に格納している。そのため、従来、個人情報はネットワーク上に分散して管理されてきた。
【0003】
また、これらサービス提供システムが管理している個人情報の内容も多岐に渡っている。例えば、ネット通販業者は、利用者の氏名、住所及び電話番号等の商品の送付に必要な情報に加え、購買履歴やお勧め情報等の情報を管理している。これらの情報はログインした利用者に対して表示され、以降の購買意欲推進のために使用されている。
【0004】
これらの個人情報のうち、氏名や住所は書籍送付の際に宅配業者に開示されるが、購買履歴や嗜好情報は慎重な取り扱いが求められるデータであり、利用者本人以外に開示されるべきではない。従来のシステムでは、これらの個人情報に対するアクセスは各サービス提供事業者が設定し、制御している。
【0005】
図10は、従来の個人情報アクセス制御システムのブロック図である。
【0006】
利用者端末201、外部サービス端末121及びアクセス制御サーバ131は、ネットワーク142によって接続されている。
【0007】
アクセス制御サーバ131は、アクセス制御処理部132及びデータベースを備える。データベースには、アクセス制御ポリシデータ113及び個人情報114が格納されている。利用者端末201は、アクセス制御ポリシデータを格納する。外部サービス端末121は外部サービス端末プロファイルデータ123を格納する。
【0008】
アクセス制御サーバ131は、外部サービス端末から個人情報に対するアクセス要求を受信すると(212)。アクセス制御ポリシデータ113に基づいて、当該外部サービス端末121がアクセスする権限を有するかどうかを判定し、その結果に基づいてアクセス可能な個人情報を外部サービス端末121に開示する(213)。
【0009】
アクセス制御ポリシデータ113は、利用者が自分で内容を決定し、利用者端末101によってアクセス制御サーバ131に登録してもよい(211)。
【0010】
特許文献1には、このような利用者が端末を通してアクセス制御ポリシデータを登録する方式が開示されている。
【0011】
また、特許文献2には、アクセス制御サーバの全ての機能を利用者が有する機器に実装し、個人情報やアクセス制御ポリシの流出を防ぐ方法が開示されている。
【特許文献1】特開2002−14862号公報
【特許文献2】特開2004−260716号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
本来、個人情報に関するプライバシーは、情報を提供した利用者が有するべきである。そのため、個人情報をコントロールする権利、すなわち個人情報へのアクセス制御権も利用者本人が有する。
【0013】
しかし、前述した従来技術によると、このような個人情報がネットワーク上のデータベースに格納されており、またデータベースが複数のサーバによって管理されている場合、個人情報がネットワーク上に分散して格納される。ネットワークを介してアクセス可能な状態である場合、利用者本人が個人情報へのアクセスを制御できる構成にはなっていない。
【0014】
現状では、データベース内のデータへのアクセス権限はデータベース管理者によって管理されている。すなわち、システムを管理するサービス提供事業者が、個人情報へのアクセスを制御している。
【0015】
そのため、システムを管理するサービス提供事業者が、データベース内に格納されている個人情報へのアクセスを制御する場合が多く、利用者本人の意志に反して開示されることがある。また、利用者本人の開示に関する詳細な要望が、個人情報へのアクセス制御に反映されていない。
【0016】
また、データベースに格納される個人情報を保護するため、システム管理者であるサービス提供事業者の守秘責任や運用負荷が大きくなる問題もある。
【0017】
これらの問題に対して、特許文献1には、利用者のアクセス制御ポリシを予めアクセス制御サーバに登録し、利用者の意志を反映することが提案されている。しかし、利用者は個人情報を有するデータベース全てに対して自身のアクセス制御ポリシデータを登録しなければならない。また、アクセス制御ポリシを変更した場合、登録された全てのアクセス制御ポリシデータを更新する必要があり、利用者の負荷が大きい。さらに、更新処理に時間的遅れが存在する場合もあり、利用者の意志をリアルタイムに反映することが困難である問題も生じる。
【0018】
前述した課題は、利用者が管理すべき個人情報がネットワーク上に分散して格納されていることに起因する。そのため、利用者が自分で個人情報を管理し、個人情報へのアクセス制御ポリシも自分で管理すれば、このような課題は解決する。
【0019】
この課題に対し、特許文献2には、個人情報、アクセス制御ポリシ及びアクセス制御処理等の全てのデータと制御手段を利用者が保有するICカード内に実装する方式が提案されている。利用者が常に持ち歩きネットワークに接続可能な機器には携帯電話や携帯情報端末がある。しかし、現状では、性能上の限界によって、これらの機器に全ての機能を実装することは困難である。
【課題を解決するための手段】
【0020】
本発明は、利用者が保有する利用者端末、及び前記利用者端末にサービスを提供する外部サービス端末に接続されたアクセス制御サーバであって、前記利用者端末に保持される個人情報に対する前記外部サービス端末からのアクセスを制御するアクセス制御部を備え、前記アクセス制御部は、前記利用者端末に保持される個人情報に対するアクセス権限を設定するためのアクセス制御ポリシ及び前記外部サービス端末の属性情報を受け付け、前記受け付けたアクセス制御ポリシ及び前記受け付けた外部サービス端末属性情報に基づいて、アクセス権限を判定し、前記判定結果を利用者端末に送付する。
【発明の効果】
【0021】
本発明によると、利用者の個人情報を、本人の手元で一元的に管理し、情報プライバシーを保護することができる。
【発明を実施するための最良の形態】
【0022】
まず、本発明の実施の形態の概要を説明する。
【0023】
本発明の実施の形態では、利用者が携帯する利用者端末101が、個人情報とアクセス制御ポリシとを管理する。
【0024】
外部サービス端末121は、サービスを提供する際に必要となる個人情報を利用者端末101に要求する、また、アクセス制御サーバ131に自身の外部サービス端末プロファイルデータを提供する。
【0025】
アクセス制御サーバ131は、アクセス制御処理機能を有し、利用者端末からアクセス制御ポリシデータを、外部サービス端末から外部サービス端末プロファイルデータを取得する。
【0026】
また、利用者端末101、外部サービス端末121、アクセス制御サーバ131は、それぞれの間のデータの秘匿性、データの完全性及び相互認証等のセキュリティを実現するための暗号化部を備える。
【0027】
具体的には、本発明の実施の形態には以下の三つの特徴がある。
【0028】
(1)分散管理されている個人情報を利用者端末にて一元管理
利用者の個人情報は、本来利用者が管理すべきであり、外部からの参照要求に対するアクセス制御も利用者の権限で制御するべきである。しかし、現状では、個人情報は、各サービス提供事業者が設けた業務システムデータベースに格納されて管理されている。そのため、これらの個人情報の扱いは利用者の希望に従って柔軟かつリアルタイムに制御することは困難である。
【0029】
そこで、本発明の実施の形態では、個人情報114及びアクセス制御ポリシ113を利用者端末101にて管理する。例えば、氏名及び住所等の基本的な個人情報に加え、検索結果及び購買履歴など利用者の嗜好に関わる情報など全ての個人情報114を汎用的に統合し、利用者端末101(望ましくは、利用者端末101に内蔵されたICチップ)に格納する。個人情報に対するアクセス制御ポリシは、項目毎に設定され、利用者端末101(又は、内蔵されたICチップ)に格納する。
【0030】
ICチップ内に格納する理由は、ICチップが耐タンパデバイスであり、個人情報格納先としてよりセキュリティが高いためである。また、利用者端末は一般的には携帯電話機を用いるとよい。
【0031】
(2)アクセス制御処理を外部アクセス制御サーバに委託
個人情報を利用者の手元に記憶し、利用者自身が管理する場合、外部からの参照要求に対してどの情報を開示すべきかを制御する必要がある。しかし、現状の利用者端末として一般的である携帯電話機やICカードでは、複雑なアクセス制御を実行するための処理負荷が大きい。
【0032】
そこで、本発明の実施の形態では、個人情報へのアクセスを要求する外部サービス端末121が、アクセス制御ポリシに記載された条件を満たしているかどうかを判定するアクセス制御処理を、外部のアクセス制御サーバ131に委託する。利用者端末101は判定結果を受け取り、判定結果に基づいて個人情報を選択的に開示する。これにより利用者端末101で処理負荷が大きい複雑なポリシ判定を処理する必要がなくなる。
【0033】
なお、アクセス制御サーバ131に毎回接続することによってネットワークトラフィックが増加する問題は生じる。しかし、一般的に、機器間で相互認証をし業務処理を行う場合、認証に使用する証明書の失効を管理するため、外部のサーバにアクセスする。このため、ある程度のネットワークアクセスは必要であって、本方式によるトラフィックの増加は小さい。
【0034】
(3)アクセス制御ポリシ及び属性情報の秘匿性
前述したように、アクセス制御の判定をアクセス制御サーバ131で処理する場合、アクセス制御ポリシや、外部サービス端末プロファイルがアクセス制御サーバ131に開示されてしまう問題がある。
【0035】
そこで、本発明の実施の形態では、サービス開始時に利用者端末101と外部サービス端末121が相互認証をし、セッション鍵を共有する。そして共有のセッション鍵を用いて、アクセス制御ポリシデータ、及び、判定に必要な外部サービス端末121の属性情報を暗号化してアクセス制御サーバ131に送信することで、アクセス制御サーバ131に対して送信されるデータの秘匿性は保持される。アクセス制御サーバ131は、受信したアクセス制御ポリシ113及び外部サービス端末プロファイルデータ123を用いて、ポリシを判定する。
【0036】
アクセス制御サーバ131は暗号化されたアクセス制御ポリシ113及び暗号化された外部サービス端末プロファイルデータ123を比較して、ポリシ113に記述される条件の真偽を判定し、判定結果を利用者端末101に返す。判定に用いるデータの内容は暗号化されているため、その内容はアクセス制御サーバ131には不明であるが、アクセス制御サーバ131は両者の一致を判定するだけなので、アクセス制御の判定は可能である。なお、アクセス制御サーバ131は、判定結果の正当性を保証するために電子署名を付与して、判定結果を送付すると望ましい。
【0037】
利用者端末101は、アクセス制御サーバ131による判定結果に基づいて、個人情報を外部サービス端末121に選択して開示する。外部サービス端末121は受信したデータを用いて以後の業務サービスを提供する。
【0038】
なお、利用者端末101は、個人情報をセッション鍵を用いて暗号化して送ると望ましい。この場合、外部サービス端末121は、受信したデータをセッション鍵を用いて復号化する。
【0039】
以下、図面を用いて本発明の実施の形態を説明する。
【0040】
図1は、本発明の実施の形態のコンピュータシステムの構成を示すブロック図である。
【0041】
本実施の形態のコンピュータシステムは、利用者端末101、外部サービス端末121、アクセス制御サーバ131及びネットワーク141、142を備える。
【0042】
利用者端末101は、利用者がネットワーク上のサービスにアクセスするコンピュータである。外部サービス端末121は、利用者に対してサービスを提供するコンピュータであり、そのサービス業務の遂行に個人情報を用いる。アクセス制御サーバ131は、利用者端末101に保持される個人情報に対する外部サービス端末121からのアクセスに関する判定をするサーバである。
【0043】
利用者端末101と外部サービス端末121との間は、ネットワーク141によって接続されている。ネットワーク141は、携帯電話網又は近距離無線網(例えば、Bluetoothや赤外線等)である。
【0044】
外部サービス端末121とアクセス制御サーバ131との間は、ネットワーク142によって接続されている。ネットワーク142は、インターネット又は専用線等の大容量のデータを転送可能な通信網である。
【0045】
利用者端末101は、背景技術において説明した利用者端末201と異なり、利用者が自分の意志を容易に反映させるため、常に携帯する携帯情報端末(携帯電話機やPDA等)が望ましい。
【0046】
利用者端末101は、CPU(図示省略)及び端末メモリ102を備える。端末メモリ102は、アクセス制御アプリケーションプログラム103、その他のアプリケーションプログラム及びスクリプト等を格納する。
【0047】
CPUは、端末メモリ102に格納されたアプリケーションプログラムやスクリプトを実行する。特に、CPUは、アクセス制御アプリケーションプログラム103を実行することによってデータを中継する。
【0048】
利用者端末101は、ICカードインターフェース(図示省略)を備え、利用者端末101にICカード110を内蔵可能であってもよい。ICカードインターフェースは、利用者端末101とICカード110の間でデータを転送する。
【0049】
例えば、携帯電話機に内蔵可能なICカードとしては、MOPASSカード(http://www.mopass.info/)、UIMカード(http://k-tai.impress.co.jp/cda/article/news_toppage/9143.html)、FeliCaカード(http://www.nttdocomo.co.jp/p_s/service/felica/)がある。
【0050】
ICカード110は、利用者認証データ112、アクセス制御ポリシデータ113及び個人情報114を格納する。利用者認証データ112は、いわゆる電子的な証明書である。具体的には、第三者認証機関が電子署名を付与した公開鍵証明書等を用いる。アクセス制御ポリシデータ113は、個人情報の各項目にアクセスするための条件、及び、アクセスの種類(read only、write等)を記述している。
【0051】
以下、利用者端末がICカードを内蔵可能な場合について説明するが、利用者端末101にICカード110を内蔵できない場合は、ICカード110の記憶内容を端末メモリ102に記憶することによって、利用者端末101に同じ動作をさせることができる。ICカード110の記憶内容を端末メモリ102に記憶すると、データが耐タンパデバイス内に格納されることになり、より高セキュアな環境を提供できる。
【0052】
外部サービス端末121は、CPU、メモリ及び記憶装置を備えるコンピュータである。外部サービス端末121のCPUは、メモリに格納されたプログラムを実行し、利用者端末101から送信されたデータをアクセス制御サーバ131に転送する。外部サービス端末121の記憶装置は、外部サービス端末認証データ122及び外部サービス端末プロファイルデータ123を格納する。
【0053】
外部サービス端末認証データ122は、いわゆる電子的な証明書であり、利用者認証データ112と同じものを用いる。
【0054】
ICカード110及び外部サービス端末121に格納されるデータは、データ又はファイルとして、メモリ又は記憶装置に記憶される。なお、データベース内に記憶されてもよい。
【0055】
アクセス制御サーバ131は、CPU及びメモリを備えるコンピュータである。アクセス制御サーバ131のCPUは、メモリに記憶されたアクセス制御プログラムを実行することによって、アクセス制御処理部132を構成する。
【0056】
利用者端末101、外部サービス端末121及びアクセス制御サーバ131は、それぞれデータを送受信するための処理部を有するが、本図においては省略している。
【0057】
次に、本実施の形態の情報アクセス制御手順を説明する。
【0058】
まず、利用者端末101と外部サービス端末121は、利用者認証データ112と外部サービス端末認証データ122とを交換し、相互に認証する(151)。外部サービス端末121は、利用者認証データ112によって、利用者端末101の正当性を確認する。利用者端末101は、外部サービス端末認証データ122によって外部サービス端末の正当性を確認する。
【0059】
相互認証の結果が正当であれば、一時的なセッション鍵を交換し(又は、互いに生成し)、利用者端末101と外部サービス端末121との間で共有の鍵を設定する。このセッション鍵にはDES暗号化鍵を用いるとよい。
【0060】
利用者端末101は、外部サービス端末121との間で共有したセッション鍵を用いて、ICカード110に格納されたアクセス制御ポリシデータ113を暗号化し、アクセス制御サーバ131に送り、ポリシ判定を依頼する(152、153)。
【0061】
このアクセス制御サーバ131へのアクセス制御ポリシデータ113の送付は、図2で説明するように、外部サービス端末121を経由しても、アクセス制御サーバ131に直接送付してもよい。
【0062】
同様に、外部サービス端末121は、利用者端末101との間で交換されたセッション鍵を用いて、外部サービス端末プロファイルデータ123を暗号化し、アクセス制御サーバ131に送り、ポリシ判定を依頼する(154)。
【0063】
アクセス制御サーバ131がアクセス制御ポリシデータ113及び外部サービス端末プロファイルデータ123を受け取ると、アクセス制御処理部132はポリシを判定し、利用者端末101に判定結果を送る(155)。アクセス制御サーバ131は、判定結果の正当性を保証するために、電子署名を付与して判定結果を送るとよい。
【0064】
利用者端末101は、アクセス制御サーバ131から判定結果を受け取ると、電子署名によって判定結果の正当性を確認する。そして、利用者端末101は、判定結果によって指示された個人情報114のみを外部サービス端末121に開示する(156、157)。
【0065】
外部サービス端末121は、利用者端末101から開示された個人情報を用いて、以降の業務サービスを進める。
【0066】
次に、本実施の形態の情報アクセス制御処理を具体的に説明する。
【0067】
図2は、本発明の実施の形態の情報アクセス制御処理のシーケンス図である。
【0068】
本発明の実施の形態の情報アクセス制御処理は、相互認証フェイズ、ポリシ判定フェイズ及び個人情報開示フェイズの三つに大別される。
【0069】
まず、利用者端末101と外部サービス端末121との間で、認証データを交換し相互認証を行い、セッションを確立する(ステップ311)。
【0070】
まず、利用者端末101と外部サービス端末121との間の認証結果に基づいて、利用者端末101と外部サービス端末121とでセッション鍵を共有する。利用者端末101は、セッション鍵を用いて暗号化したアクセス制御ポリシデータ113を、外部サービス端末121に送る(ステップ312)。
【0071】
外部サービス端末121も、同様に、外部サービス端末プロファイルデータ123を、セッション鍵を用いて暗号化する。そして、外部サービス端末121は、アクセス制御ポリシデータ113と共に、暗号化された外部サービス端末プロファイルデータ123を、アクセス制御サーバ131に送る(ステップ313)。
【0072】
アクセス制御ポリシデータ113は外部サービス端末121を経由せず、利用者端末101から直接、アクセス制御サーバ131に送ってもよい。すなわち、アクセス制御サーバ131に、アクセス制御ポリシデータ及び外部サービス端末プロファイルデータが揃えば、どのような送付方法でもよい。
【0073】
アクセス制御ポリシデータの送付する際、外部サービス端末121を経由する場合は、外部サービス端末121とアクセス制御サーバ131との間は専用回線など、携帯電話網に比較すると転送容量の大きいネットワークにより接続されると考えられるため、送受信時間の短縮が見込める。また、外部サービス端末121内で、アクセス制御ポリシデータと外部サービス端末プロファイルデータとを合わせてアクセス制御サーバ131に送付するため、アクセス制御サーバ131にて両者を突き合わせるマッチングを行う手間を省くことができる。しかし、アクセス制御ポリシの内容が外部サービス端末に開示されるので、これを回避したい利用者又は利用者端末の運用者は、外部サービス端末121を通さずに直接アクセス制御サーバ131を送付することが望ましい。
【0074】
アクセス制御サーバ131は、受け取ったアクセス制御ポリシデータ113及び外部サービス端末プロファイルデータ123に基づいて、利用者のポリシを判定し、判定結果を外部サービス端末121に送る(ステップ314)。
【0075】
外部サービス端末121は、判定結果を利用者端末101に送り個人情報開示を要求する(ステップ315)。
【0076】
利用者端末101は、受け取った判定結果の正当性を確認すると、判定結果で指示された個人情報を開示する(ステップ316)。
【0077】
外部サービス端末121は、利用者端末101から開示された個人情報を用いて、以降のサービス提供処理を実行する。
【0078】
図3は、本発明の実施の形態の利用者端末101による処理のフローチャートである。
【0079】
まず、利用者端末101は、外部サービス端末121と認証データを交換する(ステップ401)。
【0080】
次に、外部サービス端末121から送信された認証データの正当性を検証する(ステップ402)。その結果、認証データが失効している場合や認証データが不正な場合は、外部サービス端末121が正当でないと判定し、処理を中止する(ステップ408)。この場合、利用者端末画面に“認証失敗”の旨を表示してもよい。一方、認証データが正当な場合は、外部サービス端末121の正当性が確認できたので、外部サービス端末121によって生成されたセッション鍵を、外部サービス端末121との間で共有する(ステップ403)。なお、共有されるセッション鍵は、利用者端末101と外部サービス端末121との双方で共通の規則に基づいて生成してもよい。
【0081】
次に、外部サービス端末121との間で共有したセッション鍵を用いて、アクセス制御ポリシデータを暗号化し、アクセス制御サーバ131に送る(ステップ404)。なお、外部サービス端末121を経由してアクセス制御ポリシデータ113を送る場合には、アクセス制御ポリシデータ113は外部サービス端末121宛に送られる。
【0082】
その後、アクセス制御サーバ131によるポリシ判定結果を受け取ると(ステップ405)、ポリシ判定結果に付与された電子署名によってアクセス制御サーバ131の正当性を判定し、判定結果の正当性を検証する(ステップ406)。
【0083】
その結果、電子署名が正しくない場合は、ポリシ判定結果が正当でないと判定し、処理を中止する(ステップ409)。ここで利用者端末画面に“判定失敗”の旨を表示してもよい。一方、電子署名が正しい場合は、ポリシ判定結果が正当であると判定し、判定結果に基づいて必要な個人情報のみを外部サービス端末に開示する(ステップ407)。このとき、個人情報をセッション鍵を用いて暗号化して送ると、個人情報の秘匿性の観点から望ましい。また、判定した結果、開示すべき個人情報がない場合も判定処理としては正当であるためステップ407の処理を実行する。
【0084】
図4は、本発明の実施の形態の外部サービス端末121による処理のフローチャートである。
【0085】
まず、外部サービス端末121は、利用者端末101と認証データを交換する(ステップ501)。
【0086】
次に、利用者端末101から送信された認証データの正当性を検証する(ステップ502)。その結果、認証データが失効している場合や認証データが不正な場合は、利用者端末101が正当でないと判定し、処理を中止する(ステップ508)。外部サービス端末が表示画面を有する場合は“認証失敗”の旨を表示してもよい。一方、認証データが正当な場合は、利用者端末101の正当性が確認できたので、セッション鍵を生成し、利用者端末101に送る。なお、共有されるセッション鍵は、利用者端末101と外部サービス端末121との双方で共通の規則に基づいて生成してもよい。これによって、外部サービス端末121と利用者端末101との間でセッション鍵が共有される(ステップ503)。
【0087】
その後、利用者端末101から暗号化されたアクセス制御ポリシデータを受け取ると(ステップ504)、利用者端末101との間で共有したセッション鍵を用いて、外部サービス端末プロファイルデータを暗号化し、ステップ504で受け取ったアクセス制御ポリシデータと共に、アクセス制御サーバ131に送る(ステップ505)。
【0088】
その後、アクセス制御サーバ131によるポリシ判定結果を受け取ると、受け取ったポリシ判定結果を利用者端末101に送る(ステップ506)。
【0089】
その後、利用者端末101から必要な個人情報を受け取る(ステップ507)。なお、受け取った個人情報が暗号化されている場合、受信した個人情報をセッション鍵を用いて復号化する。そして、利用者端末101から開示された個人情報を用いて、以降のサービスを提供する。
【0090】
図5は、本発明の実施の形態のアクセス制御サーバ131による処理のフローチャートである。
【0091】
アクセス制御サーバ131は、利用者端末101から暗号化されたアクセス制御ポリシデータを外部サービス端末121経由で(又は、直接)受け取る(ステップ601)。また、アクセス制御サーバ131は、外部サービス端末121から暗号化された外部サービス端末プロファイルデータを受け取る(ステップ602)。
【0092】
次に、受け取ったデータに基づいてポリシを判定する(ステップ603)。そして、判定結果に電子署名を付与し外部サービス端末121を利用者端末101に送る(ステップ604)。なお、判定結果は外部サービス端末121を経由して利用者端末101に送ってもよい。
【0093】
次に、ポリシ判定処理について具体的に説明する。
【0094】
図6は、本発明の実施の形態のアクセス制御ポリシデータ113の一例の説明図である。
【0095】
これはある個人情報の一項目について設定されたアクセス制御ポリシであり、外部サービス提供者が提示するプロファイルに対して、「一部上場企業であればアクセスしてOK」という条件を表している。この例では、<Condition>タグ内の<Ref>属性でプロファイルデータの参照パスを指定し、判定条件を<Rule>属性で、比較対象データを<Value>タグで記述している。これによって、プロファイルデータの指定された参照先の値が「一部上場」と同じであれば条件は真であると判定される。
【0096】
図7は、図6に示すアクセス制御ポリシデータに対応する外部サービス端末プロファイルデータ123の一例の説明図である。
【0097】
アクセス制御ポリシデータの<Ref>属性で指定された<CompanyProfile>タグ内の<株式>タグには「一部上場」が格納されている。このため判定結果は真となる。
【0098】
図6、図7に示すポリシは、最も単純な例であり、これらのタグを組み合わせることにより大量で複雑の条件を表現することが可能である。
【0099】
なお、アクセス制御サーバ131がアクセス制御ポリシデータ及び外部サービス端末プロファイルデータ123を受け取った時点では、これらのデータは暗号化され、タグ名称や値は暗号化されて内容は秘匿されている。暗号化されたアクセス制御ポリシデータを図8に示す、また、暗号化された外部サービス端末プロファイルデータを図9に示す。
【0100】
暗号化されたアクセス制御ポリシデータの<Ref>属性で指定された<jEXMBAiU>タグ内の<EChMOU25ha>タグには「KGAuUBh」が格納されている。このように、暗号化された状態でタグを判定し、パラメータを比較するので、アクセス制御ポリシデータ113及び外部サービス端末プロファイルデータ123の内容はアクセス制御サーバ131には分からない。
【0101】
なお、本実施の形態では、DES暗号化鍵を用いるとよいが、暗号化や復号化のアルゴリズムや鍵の生成方式はこれに限るものではない。
【0102】
以上説明したように、本発明の実施の形態では、利用者の個人情報を利用者端末101にて管理するので、個人情報を本人の手元で一元的に管理することができ、情報に対するプライバシーを保護することができる。
【0103】
また、当該情報へのアクセス条件はアクセス制御ポリシデータとして利用者本人が定義し、個人情報と同様に利用者端末101に記憶する。このようにすることによって、常に最新のポリシをサービスに適用することができるので、利用者の意志をリアルタイムに反映することができる。
【0104】
また、処理負荷の大きいアクセス制御判定処理を外部アクセスサーバ131に委託するので、利用者端末101や外部サービス端末121の負荷を軽減することができる。この
際、利用者端末101及び外部サービス端末121からアクセス制御サーバ131に送られるデータは暗号化されているので、データの秘匿性を保持することができる。
【0105】
以上説明した本発明は以下のサービスに適用することができる。
【0106】
(1)書籍購入及び借用サービス
インターネットやメールマガジンなどで検索した書籍データを、個人情報として利用者端末に格納しておく。また、ネット通信販売などでの購入履歴も、同様に、個人情報として利用者端末に格納しておく。
【0107】
利用者は街の書店や、駅の売店、図書館などを訪れた際、これらの書籍に関する嗜好情報を開示することによって、おすすめの最新書籍の紹介や、お気に入り雑誌の設置場所の情報の提供を受けることができる。
【0108】
この際、個人情報の過剰な開示を避けるため、図書館など公共機関であれば全ての情報を開示するが、街の書店や駅の売店に対しては最近の検索データのみを開示する等、詳細なアクセス条件を設定することができる。
【0109】
個人情報は利用者端末に格納されているため、サービス提供者のデータベース内に格納された個人情報とは異なり、サービス提供者に悪用されたり、情報が漏洩するおそれがない。また、利用者端末を紛失した場合にも、個人情報が耐タンパデバイス内(例えば、ICチップ)に格納されているので、第三者が個人情報を読み取る危険を回避できる。
【0110】
(2)コンテクスト・アウェアサービス
快適な空間に対する嗜好情報(例えばエアコン設定温度やライトの強度や色味、BGMの種別、座席設定値)を、個人情報として利用者端末に格納しておく。ホテル、会議場、交通機関等の場所を初めて訪れた際、認証処理の後に、これらの嗜好情報を開示することによって、室内温度、BGM、座席の角度等について、自動的に、自分に最適なサービスの提供を受けることができる。
【0111】
また、交通機関の電子チケット予約と組み合わせることによって、駅や空港内の経路案内や出発時刻通知に応用することもできる。
【0112】
(3)その他複数サービス間の連携
前述した(1)(2)のサービス以外にも、利用者端末に格納された個人情報を介して複数のサービスを連携させることができる。例えば、化粧品口コミ提供Webサイトと、化粧品メーカのカウンタとの連携がある。これによって利用者はどこでも自分の肌質に最適で、かつ、口コミ評価が高い商品を、在庫状況と連携して、購入することができる。
【図面の簡単な説明】
【0113】
【図1】本発明の実施の形態のコンピュータシステムの構成を示すブロック図である。
【図2】本発明の実施の形態の情報アクセス制御処理のシーケンス図である。
【図3】本発明の実施の形態の利用者端末の処理のフローチャートである。
【図4】本発明の実施の形態の外部サービス端末の処理のフローチャートである。
【図5】本発明の実施の形態のアクセス制御サーバの処理のフローチャートである。
【図6】本発明の実施の形態のアクセス制御ポリシデータの説明図である。
【図7】本発明の実施の形態の外部サービス端末プロファイルデータの説明図である。
【図8】本発明の実施の形態の暗号化されたアクセス制御ポリシデータの説明図である。
【図9】本発明の実施の形態の暗号化された外部サービス端末プロファイルデータの説明図である。
【図10】従来の個人情報アクセス制御システムのブロック図である。
【符号の説明】
【0114】
101 利用者端末
102 端末メモリ
103 アクセス制御アプリ
110 ICカード
112 利用者認証データ
113 アクセス制御ポリシデータ
114 個人情報
121 外部サービス端末
122 外部サービス端末認証データ
123 外部サービス端末プロファイルデータ
131 アクセス制御サーバ
132 アクセス制御処理部
141、142 ネットワーク
【技術分野】
【0001】
本発明は、利用者が有する情報が外部からアクセスされるコンピュータシステムに関し、特に、利用者端末に記憶された個人情報を保護するアクセス制御方法に関する。
【背景技術】
【0002】
ネットワーク上の様々なサービス提供システムは、利用者によって要求されるサービスを提供するために、利用者の個人情報を必要とする場合がある。よって、多くのサービス提供システムは、業務に必要な個人情報を自己のデータベース内に格納している。そのため、従来、個人情報はネットワーク上に分散して管理されてきた。
【0003】
また、これらサービス提供システムが管理している個人情報の内容も多岐に渡っている。例えば、ネット通販業者は、利用者の氏名、住所及び電話番号等の商品の送付に必要な情報に加え、購買履歴やお勧め情報等の情報を管理している。これらの情報はログインした利用者に対して表示され、以降の購買意欲推進のために使用されている。
【0004】
これらの個人情報のうち、氏名や住所は書籍送付の際に宅配業者に開示されるが、購買履歴や嗜好情報は慎重な取り扱いが求められるデータであり、利用者本人以外に開示されるべきではない。従来のシステムでは、これらの個人情報に対するアクセスは各サービス提供事業者が設定し、制御している。
【0005】
図10は、従来の個人情報アクセス制御システムのブロック図である。
【0006】
利用者端末201、外部サービス端末121及びアクセス制御サーバ131は、ネットワーク142によって接続されている。
【0007】
アクセス制御サーバ131は、アクセス制御処理部132及びデータベースを備える。データベースには、アクセス制御ポリシデータ113及び個人情報114が格納されている。利用者端末201は、アクセス制御ポリシデータを格納する。外部サービス端末121は外部サービス端末プロファイルデータ123を格納する。
【0008】
アクセス制御サーバ131は、外部サービス端末から個人情報に対するアクセス要求を受信すると(212)。アクセス制御ポリシデータ113に基づいて、当該外部サービス端末121がアクセスする権限を有するかどうかを判定し、その結果に基づいてアクセス可能な個人情報を外部サービス端末121に開示する(213)。
【0009】
アクセス制御ポリシデータ113は、利用者が自分で内容を決定し、利用者端末101によってアクセス制御サーバ131に登録してもよい(211)。
【0010】
特許文献1には、このような利用者が端末を通してアクセス制御ポリシデータを登録する方式が開示されている。
【0011】
また、特許文献2には、アクセス制御サーバの全ての機能を利用者が有する機器に実装し、個人情報やアクセス制御ポリシの流出を防ぐ方法が開示されている。
【特許文献1】特開2002−14862号公報
【特許文献2】特開2004−260716号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
本来、個人情報に関するプライバシーは、情報を提供した利用者が有するべきである。そのため、個人情報をコントロールする権利、すなわち個人情報へのアクセス制御権も利用者本人が有する。
【0013】
しかし、前述した従来技術によると、このような個人情報がネットワーク上のデータベースに格納されており、またデータベースが複数のサーバによって管理されている場合、個人情報がネットワーク上に分散して格納される。ネットワークを介してアクセス可能な状態である場合、利用者本人が個人情報へのアクセスを制御できる構成にはなっていない。
【0014】
現状では、データベース内のデータへのアクセス権限はデータベース管理者によって管理されている。すなわち、システムを管理するサービス提供事業者が、個人情報へのアクセスを制御している。
【0015】
そのため、システムを管理するサービス提供事業者が、データベース内に格納されている個人情報へのアクセスを制御する場合が多く、利用者本人の意志に反して開示されることがある。また、利用者本人の開示に関する詳細な要望が、個人情報へのアクセス制御に反映されていない。
【0016】
また、データベースに格納される個人情報を保護するため、システム管理者であるサービス提供事業者の守秘責任や運用負荷が大きくなる問題もある。
【0017】
これらの問題に対して、特許文献1には、利用者のアクセス制御ポリシを予めアクセス制御サーバに登録し、利用者の意志を反映することが提案されている。しかし、利用者は個人情報を有するデータベース全てに対して自身のアクセス制御ポリシデータを登録しなければならない。また、アクセス制御ポリシを変更した場合、登録された全てのアクセス制御ポリシデータを更新する必要があり、利用者の負荷が大きい。さらに、更新処理に時間的遅れが存在する場合もあり、利用者の意志をリアルタイムに反映することが困難である問題も生じる。
【0018】
前述した課題は、利用者が管理すべき個人情報がネットワーク上に分散して格納されていることに起因する。そのため、利用者が自分で個人情報を管理し、個人情報へのアクセス制御ポリシも自分で管理すれば、このような課題は解決する。
【0019】
この課題に対し、特許文献2には、個人情報、アクセス制御ポリシ及びアクセス制御処理等の全てのデータと制御手段を利用者が保有するICカード内に実装する方式が提案されている。利用者が常に持ち歩きネットワークに接続可能な機器には携帯電話や携帯情報端末がある。しかし、現状では、性能上の限界によって、これらの機器に全ての機能を実装することは困難である。
【課題を解決するための手段】
【0020】
本発明は、利用者が保有する利用者端末、及び前記利用者端末にサービスを提供する外部サービス端末に接続されたアクセス制御サーバであって、前記利用者端末に保持される個人情報に対する前記外部サービス端末からのアクセスを制御するアクセス制御部を備え、前記アクセス制御部は、前記利用者端末に保持される個人情報に対するアクセス権限を設定するためのアクセス制御ポリシ及び前記外部サービス端末の属性情報を受け付け、前記受け付けたアクセス制御ポリシ及び前記受け付けた外部サービス端末属性情報に基づいて、アクセス権限を判定し、前記判定結果を利用者端末に送付する。
【発明の効果】
【0021】
本発明によると、利用者の個人情報を、本人の手元で一元的に管理し、情報プライバシーを保護することができる。
【発明を実施するための最良の形態】
【0022】
まず、本発明の実施の形態の概要を説明する。
【0023】
本発明の実施の形態では、利用者が携帯する利用者端末101が、個人情報とアクセス制御ポリシとを管理する。
【0024】
外部サービス端末121は、サービスを提供する際に必要となる個人情報を利用者端末101に要求する、また、アクセス制御サーバ131に自身の外部サービス端末プロファイルデータを提供する。
【0025】
アクセス制御サーバ131は、アクセス制御処理機能を有し、利用者端末からアクセス制御ポリシデータを、外部サービス端末から外部サービス端末プロファイルデータを取得する。
【0026】
また、利用者端末101、外部サービス端末121、アクセス制御サーバ131は、それぞれの間のデータの秘匿性、データの完全性及び相互認証等のセキュリティを実現するための暗号化部を備える。
【0027】
具体的には、本発明の実施の形態には以下の三つの特徴がある。
【0028】
(1)分散管理されている個人情報を利用者端末にて一元管理
利用者の個人情報は、本来利用者が管理すべきであり、外部からの参照要求に対するアクセス制御も利用者の権限で制御するべきである。しかし、現状では、個人情報は、各サービス提供事業者が設けた業務システムデータベースに格納されて管理されている。そのため、これらの個人情報の扱いは利用者の希望に従って柔軟かつリアルタイムに制御することは困難である。
【0029】
そこで、本発明の実施の形態では、個人情報114及びアクセス制御ポリシ113を利用者端末101にて管理する。例えば、氏名及び住所等の基本的な個人情報に加え、検索結果及び購買履歴など利用者の嗜好に関わる情報など全ての個人情報114を汎用的に統合し、利用者端末101(望ましくは、利用者端末101に内蔵されたICチップ)に格納する。個人情報に対するアクセス制御ポリシは、項目毎に設定され、利用者端末101(又は、内蔵されたICチップ)に格納する。
【0030】
ICチップ内に格納する理由は、ICチップが耐タンパデバイスであり、個人情報格納先としてよりセキュリティが高いためである。また、利用者端末は一般的には携帯電話機を用いるとよい。
【0031】
(2)アクセス制御処理を外部アクセス制御サーバに委託
個人情報を利用者の手元に記憶し、利用者自身が管理する場合、外部からの参照要求に対してどの情報を開示すべきかを制御する必要がある。しかし、現状の利用者端末として一般的である携帯電話機やICカードでは、複雑なアクセス制御を実行するための処理負荷が大きい。
【0032】
そこで、本発明の実施の形態では、個人情報へのアクセスを要求する外部サービス端末121が、アクセス制御ポリシに記載された条件を満たしているかどうかを判定するアクセス制御処理を、外部のアクセス制御サーバ131に委託する。利用者端末101は判定結果を受け取り、判定結果に基づいて個人情報を選択的に開示する。これにより利用者端末101で処理負荷が大きい複雑なポリシ判定を処理する必要がなくなる。
【0033】
なお、アクセス制御サーバ131に毎回接続することによってネットワークトラフィックが増加する問題は生じる。しかし、一般的に、機器間で相互認証をし業務処理を行う場合、認証に使用する証明書の失効を管理するため、外部のサーバにアクセスする。このため、ある程度のネットワークアクセスは必要であって、本方式によるトラフィックの増加は小さい。
【0034】
(3)アクセス制御ポリシ及び属性情報の秘匿性
前述したように、アクセス制御の判定をアクセス制御サーバ131で処理する場合、アクセス制御ポリシや、外部サービス端末プロファイルがアクセス制御サーバ131に開示されてしまう問題がある。
【0035】
そこで、本発明の実施の形態では、サービス開始時に利用者端末101と外部サービス端末121が相互認証をし、セッション鍵を共有する。そして共有のセッション鍵を用いて、アクセス制御ポリシデータ、及び、判定に必要な外部サービス端末121の属性情報を暗号化してアクセス制御サーバ131に送信することで、アクセス制御サーバ131に対して送信されるデータの秘匿性は保持される。アクセス制御サーバ131は、受信したアクセス制御ポリシ113及び外部サービス端末プロファイルデータ123を用いて、ポリシを判定する。
【0036】
アクセス制御サーバ131は暗号化されたアクセス制御ポリシ113及び暗号化された外部サービス端末プロファイルデータ123を比較して、ポリシ113に記述される条件の真偽を判定し、判定結果を利用者端末101に返す。判定に用いるデータの内容は暗号化されているため、その内容はアクセス制御サーバ131には不明であるが、アクセス制御サーバ131は両者の一致を判定するだけなので、アクセス制御の判定は可能である。なお、アクセス制御サーバ131は、判定結果の正当性を保証するために電子署名を付与して、判定結果を送付すると望ましい。
【0037】
利用者端末101は、アクセス制御サーバ131による判定結果に基づいて、個人情報を外部サービス端末121に選択して開示する。外部サービス端末121は受信したデータを用いて以後の業務サービスを提供する。
【0038】
なお、利用者端末101は、個人情報をセッション鍵を用いて暗号化して送ると望ましい。この場合、外部サービス端末121は、受信したデータをセッション鍵を用いて復号化する。
【0039】
以下、図面を用いて本発明の実施の形態を説明する。
【0040】
図1は、本発明の実施の形態のコンピュータシステムの構成を示すブロック図である。
【0041】
本実施の形態のコンピュータシステムは、利用者端末101、外部サービス端末121、アクセス制御サーバ131及びネットワーク141、142を備える。
【0042】
利用者端末101は、利用者がネットワーク上のサービスにアクセスするコンピュータである。外部サービス端末121は、利用者に対してサービスを提供するコンピュータであり、そのサービス業務の遂行に個人情報を用いる。アクセス制御サーバ131は、利用者端末101に保持される個人情報に対する外部サービス端末121からのアクセスに関する判定をするサーバである。
【0043】
利用者端末101と外部サービス端末121との間は、ネットワーク141によって接続されている。ネットワーク141は、携帯電話網又は近距離無線網(例えば、Bluetoothや赤外線等)である。
【0044】
外部サービス端末121とアクセス制御サーバ131との間は、ネットワーク142によって接続されている。ネットワーク142は、インターネット又は専用線等の大容量のデータを転送可能な通信網である。
【0045】
利用者端末101は、背景技術において説明した利用者端末201と異なり、利用者が自分の意志を容易に反映させるため、常に携帯する携帯情報端末(携帯電話機やPDA等)が望ましい。
【0046】
利用者端末101は、CPU(図示省略)及び端末メモリ102を備える。端末メモリ102は、アクセス制御アプリケーションプログラム103、その他のアプリケーションプログラム及びスクリプト等を格納する。
【0047】
CPUは、端末メモリ102に格納されたアプリケーションプログラムやスクリプトを実行する。特に、CPUは、アクセス制御アプリケーションプログラム103を実行することによってデータを中継する。
【0048】
利用者端末101は、ICカードインターフェース(図示省略)を備え、利用者端末101にICカード110を内蔵可能であってもよい。ICカードインターフェースは、利用者端末101とICカード110の間でデータを転送する。
【0049】
例えば、携帯電話機に内蔵可能なICカードとしては、MOPASSカード(http://www.mopass.info/)、UIMカード(http://k-tai.impress.co.jp/cda/article/news_toppage/9143.html)、FeliCaカード(http://www.nttdocomo.co.jp/p_s/service/felica/)がある。
【0050】
ICカード110は、利用者認証データ112、アクセス制御ポリシデータ113及び個人情報114を格納する。利用者認証データ112は、いわゆる電子的な証明書である。具体的には、第三者認証機関が電子署名を付与した公開鍵証明書等を用いる。アクセス制御ポリシデータ113は、個人情報の各項目にアクセスするための条件、及び、アクセスの種類(read only、write等)を記述している。
【0051】
以下、利用者端末がICカードを内蔵可能な場合について説明するが、利用者端末101にICカード110を内蔵できない場合は、ICカード110の記憶内容を端末メモリ102に記憶することによって、利用者端末101に同じ動作をさせることができる。ICカード110の記憶内容を端末メモリ102に記憶すると、データが耐タンパデバイス内に格納されることになり、より高セキュアな環境を提供できる。
【0052】
外部サービス端末121は、CPU、メモリ及び記憶装置を備えるコンピュータである。外部サービス端末121のCPUは、メモリに格納されたプログラムを実行し、利用者端末101から送信されたデータをアクセス制御サーバ131に転送する。外部サービス端末121の記憶装置は、外部サービス端末認証データ122及び外部サービス端末プロファイルデータ123を格納する。
【0053】
外部サービス端末認証データ122は、いわゆる電子的な証明書であり、利用者認証データ112と同じものを用いる。
【0054】
ICカード110及び外部サービス端末121に格納されるデータは、データ又はファイルとして、メモリ又は記憶装置に記憶される。なお、データベース内に記憶されてもよい。
【0055】
アクセス制御サーバ131は、CPU及びメモリを備えるコンピュータである。アクセス制御サーバ131のCPUは、メモリに記憶されたアクセス制御プログラムを実行することによって、アクセス制御処理部132を構成する。
【0056】
利用者端末101、外部サービス端末121及びアクセス制御サーバ131は、それぞれデータを送受信するための処理部を有するが、本図においては省略している。
【0057】
次に、本実施の形態の情報アクセス制御手順を説明する。
【0058】
まず、利用者端末101と外部サービス端末121は、利用者認証データ112と外部サービス端末認証データ122とを交換し、相互に認証する(151)。外部サービス端末121は、利用者認証データ112によって、利用者端末101の正当性を確認する。利用者端末101は、外部サービス端末認証データ122によって外部サービス端末の正当性を確認する。
【0059】
相互認証の結果が正当であれば、一時的なセッション鍵を交換し(又は、互いに生成し)、利用者端末101と外部サービス端末121との間で共有の鍵を設定する。このセッション鍵にはDES暗号化鍵を用いるとよい。
【0060】
利用者端末101は、外部サービス端末121との間で共有したセッション鍵を用いて、ICカード110に格納されたアクセス制御ポリシデータ113を暗号化し、アクセス制御サーバ131に送り、ポリシ判定を依頼する(152、153)。
【0061】
このアクセス制御サーバ131へのアクセス制御ポリシデータ113の送付は、図2で説明するように、外部サービス端末121を経由しても、アクセス制御サーバ131に直接送付してもよい。
【0062】
同様に、外部サービス端末121は、利用者端末101との間で交換されたセッション鍵を用いて、外部サービス端末プロファイルデータ123を暗号化し、アクセス制御サーバ131に送り、ポリシ判定を依頼する(154)。
【0063】
アクセス制御サーバ131がアクセス制御ポリシデータ113及び外部サービス端末プロファイルデータ123を受け取ると、アクセス制御処理部132はポリシを判定し、利用者端末101に判定結果を送る(155)。アクセス制御サーバ131は、判定結果の正当性を保証するために、電子署名を付与して判定結果を送るとよい。
【0064】
利用者端末101は、アクセス制御サーバ131から判定結果を受け取ると、電子署名によって判定結果の正当性を確認する。そして、利用者端末101は、判定結果によって指示された個人情報114のみを外部サービス端末121に開示する(156、157)。
【0065】
外部サービス端末121は、利用者端末101から開示された個人情報を用いて、以降の業務サービスを進める。
【0066】
次に、本実施の形態の情報アクセス制御処理を具体的に説明する。
【0067】
図2は、本発明の実施の形態の情報アクセス制御処理のシーケンス図である。
【0068】
本発明の実施の形態の情報アクセス制御処理は、相互認証フェイズ、ポリシ判定フェイズ及び個人情報開示フェイズの三つに大別される。
【0069】
まず、利用者端末101と外部サービス端末121との間で、認証データを交換し相互認証を行い、セッションを確立する(ステップ311)。
【0070】
まず、利用者端末101と外部サービス端末121との間の認証結果に基づいて、利用者端末101と外部サービス端末121とでセッション鍵を共有する。利用者端末101は、セッション鍵を用いて暗号化したアクセス制御ポリシデータ113を、外部サービス端末121に送る(ステップ312)。
【0071】
外部サービス端末121も、同様に、外部サービス端末プロファイルデータ123を、セッション鍵を用いて暗号化する。そして、外部サービス端末121は、アクセス制御ポリシデータ113と共に、暗号化された外部サービス端末プロファイルデータ123を、アクセス制御サーバ131に送る(ステップ313)。
【0072】
アクセス制御ポリシデータ113は外部サービス端末121を経由せず、利用者端末101から直接、アクセス制御サーバ131に送ってもよい。すなわち、アクセス制御サーバ131に、アクセス制御ポリシデータ及び外部サービス端末プロファイルデータが揃えば、どのような送付方法でもよい。
【0073】
アクセス制御ポリシデータの送付する際、外部サービス端末121を経由する場合は、外部サービス端末121とアクセス制御サーバ131との間は専用回線など、携帯電話網に比較すると転送容量の大きいネットワークにより接続されると考えられるため、送受信時間の短縮が見込める。また、外部サービス端末121内で、アクセス制御ポリシデータと外部サービス端末プロファイルデータとを合わせてアクセス制御サーバ131に送付するため、アクセス制御サーバ131にて両者を突き合わせるマッチングを行う手間を省くことができる。しかし、アクセス制御ポリシの内容が外部サービス端末に開示されるので、これを回避したい利用者又は利用者端末の運用者は、外部サービス端末121を通さずに直接アクセス制御サーバ131を送付することが望ましい。
【0074】
アクセス制御サーバ131は、受け取ったアクセス制御ポリシデータ113及び外部サービス端末プロファイルデータ123に基づいて、利用者のポリシを判定し、判定結果を外部サービス端末121に送る(ステップ314)。
【0075】
外部サービス端末121は、判定結果を利用者端末101に送り個人情報開示を要求する(ステップ315)。
【0076】
利用者端末101は、受け取った判定結果の正当性を確認すると、判定結果で指示された個人情報を開示する(ステップ316)。
【0077】
外部サービス端末121は、利用者端末101から開示された個人情報を用いて、以降のサービス提供処理を実行する。
【0078】
図3は、本発明の実施の形態の利用者端末101による処理のフローチャートである。
【0079】
まず、利用者端末101は、外部サービス端末121と認証データを交換する(ステップ401)。
【0080】
次に、外部サービス端末121から送信された認証データの正当性を検証する(ステップ402)。その結果、認証データが失効している場合や認証データが不正な場合は、外部サービス端末121が正当でないと判定し、処理を中止する(ステップ408)。この場合、利用者端末画面に“認証失敗”の旨を表示してもよい。一方、認証データが正当な場合は、外部サービス端末121の正当性が確認できたので、外部サービス端末121によって生成されたセッション鍵を、外部サービス端末121との間で共有する(ステップ403)。なお、共有されるセッション鍵は、利用者端末101と外部サービス端末121との双方で共通の規則に基づいて生成してもよい。
【0081】
次に、外部サービス端末121との間で共有したセッション鍵を用いて、アクセス制御ポリシデータを暗号化し、アクセス制御サーバ131に送る(ステップ404)。なお、外部サービス端末121を経由してアクセス制御ポリシデータ113を送る場合には、アクセス制御ポリシデータ113は外部サービス端末121宛に送られる。
【0082】
その後、アクセス制御サーバ131によるポリシ判定結果を受け取ると(ステップ405)、ポリシ判定結果に付与された電子署名によってアクセス制御サーバ131の正当性を判定し、判定結果の正当性を検証する(ステップ406)。
【0083】
その結果、電子署名が正しくない場合は、ポリシ判定結果が正当でないと判定し、処理を中止する(ステップ409)。ここで利用者端末画面に“判定失敗”の旨を表示してもよい。一方、電子署名が正しい場合は、ポリシ判定結果が正当であると判定し、判定結果に基づいて必要な個人情報のみを外部サービス端末に開示する(ステップ407)。このとき、個人情報をセッション鍵を用いて暗号化して送ると、個人情報の秘匿性の観点から望ましい。また、判定した結果、開示すべき個人情報がない場合も判定処理としては正当であるためステップ407の処理を実行する。
【0084】
図4は、本発明の実施の形態の外部サービス端末121による処理のフローチャートである。
【0085】
まず、外部サービス端末121は、利用者端末101と認証データを交換する(ステップ501)。
【0086】
次に、利用者端末101から送信された認証データの正当性を検証する(ステップ502)。その結果、認証データが失効している場合や認証データが不正な場合は、利用者端末101が正当でないと判定し、処理を中止する(ステップ508)。外部サービス端末が表示画面を有する場合は“認証失敗”の旨を表示してもよい。一方、認証データが正当な場合は、利用者端末101の正当性が確認できたので、セッション鍵を生成し、利用者端末101に送る。なお、共有されるセッション鍵は、利用者端末101と外部サービス端末121との双方で共通の規則に基づいて生成してもよい。これによって、外部サービス端末121と利用者端末101との間でセッション鍵が共有される(ステップ503)。
【0087】
その後、利用者端末101から暗号化されたアクセス制御ポリシデータを受け取ると(ステップ504)、利用者端末101との間で共有したセッション鍵を用いて、外部サービス端末プロファイルデータを暗号化し、ステップ504で受け取ったアクセス制御ポリシデータと共に、アクセス制御サーバ131に送る(ステップ505)。
【0088】
その後、アクセス制御サーバ131によるポリシ判定結果を受け取ると、受け取ったポリシ判定結果を利用者端末101に送る(ステップ506)。
【0089】
その後、利用者端末101から必要な個人情報を受け取る(ステップ507)。なお、受け取った個人情報が暗号化されている場合、受信した個人情報をセッション鍵を用いて復号化する。そして、利用者端末101から開示された個人情報を用いて、以降のサービスを提供する。
【0090】
図5は、本発明の実施の形態のアクセス制御サーバ131による処理のフローチャートである。
【0091】
アクセス制御サーバ131は、利用者端末101から暗号化されたアクセス制御ポリシデータを外部サービス端末121経由で(又は、直接)受け取る(ステップ601)。また、アクセス制御サーバ131は、外部サービス端末121から暗号化された外部サービス端末プロファイルデータを受け取る(ステップ602)。
【0092】
次に、受け取ったデータに基づいてポリシを判定する(ステップ603)。そして、判定結果に電子署名を付与し外部サービス端末121を利用者端末101に送る(ステップ604)。なお、判定結果は外部サービス端末121を経由して利用者端末101に送ってもよい。
【0093】
次に、ポリシ判定処理について具体的に説明する。
【0094】
図6は、本発明の実施の形態のアクセス制御ポリシデータ113の一例の説明図である。
【0095】
これはある個人情報の一項目について設定されたアクセス制御ポリシであり、外部サービス提供者が提示するプロファイルに対して、「一部上場企業であればアクセスしてOK」という条件を表している。この例では、<Condition>タグ内の<Ref>属性でプロファイルデータの参照パスを指定し、判定条件を<Rule>属性で、比較対象データを<Value>タグで記述している。これによって、プロファイルデータの指定された参照先の値が「一部上場」と同じであれば条件は真であると判定される。
【0096】
図7は、図6に示すアクセス制御ポリシデータに対応する外部サービス端末プロファイルデータ123の一例の説明図である。
【0097】
アクセス制御ポリシデータの<Ref>属性で指定された<CompanyProfile>タグ内の<株式>タグには「一部上場」が格納されている。このため判定結果は真となる。
【0098】
図6、図7に示すポリシは、最も単純な例であり、これらのタグを組み合わせることにより大量で複雑の条件を表現することが可能である。
【0099】
なお、アクセス制御サーバ131がアクセス制御ポリシデータ及び外部サービス端末プロファイルデータ123を受け取った時点では、これらのデータは暗号化され、タグ名称や値は暗号化されて内容は秘匿されている。暗号化されたアクセス制御ポリシデータを図8に示す、また、暗号化された外部サービス端末プロファイルデータを図9に示す。
【0100】
暗号化されたアクセス制御ポリシデータの<Ref>属性で指定された<jEXMBAiU>タグ内の<EChMOU25ha>タグには「KGAuUBh」が格納されている。このように、暗号化された状態でタグを判定し、パラメータを比較するので、アクセス制御ポリシデータ113及び外部サービス端末プロファイルデータ123の内容はアクセス制御サーバ131には分からない。
【0101】
なお、本実施の形態では、DES暗号化鍵を用いるとよいが、暗号化や復号化のアルゴリズムや鍵の生成方式はこれに限るものではない。
【0102】
以上説明したように、本発明の実施の形態では、利用者の個人情報を利用者端末101にて管理するので、個人情報を本人の手元で一元的に管理することができ、情報に対するプライバシーを保護することができる。
【0103】
また、当該情報へのアクセス条件はアクセス制御ポリシデータとして利用者本人が定義し、個人情報と同様に利用者端末101に記憶する。このようにすることによって、常に最新のポリシをサービスに適用することができるので、利用者の意志をリアルタイムに反映することができる。
【0104】
また、処理負荷の大きいアクセス制御判定処理を外部アクセスサーバ131に委託するので、利用者端末101や外部サービス端末121の負荷を軽減することができる。この
際、利用者端末101及び外部サービス端末121からアクセス制御サーバ131に送られるデータは暗号化されているので、データの秘匿性を保持することができる。
【0105】
以上説明した本発明は以下のサービスに適用することができる。
【0106】
(1)書籍購入及び借用サービス
インターネットやメールマガジンなどで検索した書籍データを、個人情報として利用者端末に格納しておく。また、ネット通信販売などでの購入履歴も、同様に、個人情報として利用者端末に格納しておく。
【0107】
利用者は街の書店や、駅の売店、図書館などを訪れた際、これらの書籍に関する嗜好情報を開示することによって、おすすめの最新書籍の紹介や、お気に入り雑誌の設置場所の情報の提供を受けることができる。
【0108】
この際、個人情報の過剰な開示を避けるため、図書館など公共機関であれば全ての情報を開示するが、街の書店や駅の売店に対しては最近の検索データのみを開示する等、詳細なアクセス条件を設定することができる。
【0109】
個人情報は利用者端末に格納されているため、サービス提供者のデータベース内に格納された個人情報とは異なり、サービス提供者に悪用されたり、情報が漏洩するおそれがない。また、利用者端末を紛失した場合にも、個人情報が耐タンパデバイス内(例えば、ICチップ)に格納されているので、第三者が個人情報を読み取る危険を回避できる。
【0110】
(2)コンテクスト・アウェアサービス
快適な空間に対する嗜好情報(例えばエアコン設定温度やライトの強度や色味、BGMの種別、座席設定値)を、個人情報として利用者端末に格納しておく。ホテル、会議場、交通機関等の場所を初めて訪れた際、認証処理の後に、これらの嗜好情報を開示することによって、室内温度、BGM、座席の角度等について、自動的に、自分に最適なサービスの提供を受けることができる。
【0111】
また、交通機関の電子チケット予約と組み合わせることによって、駅や空港内の経路案内や出発時刻通知に応用することもできる。
【0112】
(3)その他複数サービス間の連携
前述した(1)(2)のサービス以外にも、利用者端末に格納された個人情報を介して複数のサービスを連携させることができる。例えば、化粧品口コミ提供Webサイトと、化粧品メーカのカウンタとの連携がある。これによって利用者はどこでも自分の肌質に最適で、かつ、口コミ評価が高い商品を、在庫状況と連携して、購入することができる。
【図面の簡単な説明】
【0113】
【図1】本発明の実施の形態のコンピュータシステムの構成を示すブロック図である。
【図2】本発明の実施の形態の情報アクセス制御処理のシーケンス図である。
【図3】本発明の実施の形態の利用者端末の処理のフローチャートである。
【図4】本発明の実施の形態の外部サービス端末の処理のフローチャートである。
【図5】本発明の実施の形態のアクセス制御サーバの処理のフローチャートである。
【図6】本発明の実施の形態のアクセス制御ポリシデータの説明図である。
【図7】本発明の実施の形態の外部サービス端末プロファイルデータの説明図である。
【図8】本発明の実施の形態の暗号化されたアクセス制御ポリシデータの説明図である。
【図9】本発明の実施の形態の暗号化された外部サービス端末プロファイルデータの説明図である。
【図10】従来の個人情報アクセス制御システムのブロック図である。
【符号の説明】
【0114】
101 利用者端末
102 端末メモリ
103 アクセス制御アプリ
110 ICカード
112 利用者認証データ
113 アクセス制御ポリシデータ
114 個人情報
121 外部サービス端末
122 外部サービス端末認証データ
123 外部サービス端末プロファイルデータ
131 アクセス制御サーバ
132 アクセス制御処理部
141、142 ネットワーク
【特許請求の範囲】
【請求項1】
利用者が保有する利用者端末、及び前記利用者端末にサービスを提供する外部サービス端末に接続されたアクセス制御サーバであって、
前記利用者端末に保持される個人情報に対する前記外部サービス端末からのアクセスを制御するアクセス制御部を備え、
前記アクセス制御部は、
前記利用者端末に保持される個人情報に対するアクセス権限を設定するためのアクセス制御ポリシ及び前記外部サービス端末の属性情報を受け付け、
前記受け付けたアクセス制御ポリシ及び前記受け付けた外部サービス端末属性情報に基づいて、アクセス権限を判定し、
前記判定結果を前記利用者端末に送付することを特徴とするアクセス制御サーバ。
【請求項2】
前記アクセス制御部は、前記外部サービス端末を経由した前記アクセス制御ポリシを受け付けることを特徴とする請求項1に記載のアクセス制御サーバ。
【請求項3】
前記アクセス制御部は、前記アクセス制御ポリシを、前記アクセス制御サーバ利用者端末から直接受け付けることを特徴とする請求項1に記載のアクセス制御サーバ。
【請求項4】
前記アクセス制御部は、前記判定結果に電子署名を付与して、前記利用者端末に送付することを特徴とする請求項1に記載のアクセス制御サーバ。
【請求項5】
外部サービス端末からの個人情報に対するアクセスを制御するアクセス制御サーバに接続された利用者端末であって、
情報の送受信を制御するアクセス制御部及び情報を格納する記憶装置を備え、
前記記憶装置は、利用者の個人情報及び前記個人情報へのアクセス権限を設定するためのアクセス制御ポリシを格納し、
前記アクセス制御部は、
前記記憶装置に格納されたアクセス制御ポリシを前記アクセス制御サーバに送付し、
前記アクセス制御サーバによる判定結果を受け付け、
前記判定結果に基づいて外部に開示可能な個人情報を選択し、
前記選択された個人情報を送付することを特徴とする利用者端末。
【請求項6】
前記記憶装置は、端末の正当性を証明するための利用者端末認証データを格納し、
前記アクセス制御部は、
前記外部サービス端末と前記利用者端末認証データを交換し相互認証を行い、
前記相互認証が成功すると設定されるセッション鍵を用いて、前記アクセス制御ポリシを暗号化し、
前記暗号化されたアクセス制御ポリシを前記アクセス制御サーバに送付することを特徴とする請求項5に記載の利用者端末。
【請求項7】
前記記憶装置は、
前記利用者端末に着脱可能な記録媒体であり、
前記相互認証のためのプログラム及び前記アクセス制御ポリシを暗号化するための情報を格納することを特徴とする請求項6に記載の利用者端末。
【請求項8】
前記利用者端末は、サービスを提供する外部サービス端末に接続されており、
前記アクセス制御部は、前記外部サービス端末を経由して、前記アクセス制御ポリシを送付することを特徴とする請求項5に記載の利用者端末。
【請求項9】
前記利用者端末は、サービスを提供する外部サービス端末に接続されており、
前記アクセス制御部は、アクセス制御サーバに、直接、前記アクセス制御ポリシを送付することを特徴とする請求項5に記載の利用者端末。
【請求項10】
利用者が保有する利用者端末と、前記利用者端末にサービスを提供する外部サービス端末と、前記利用者端末に保持される個人情報に対する前記外部サービス端末からのアクセスを制御するアクセス制御サーバと、を備えるコンピュータシステムにおける、個人情報へのアクセス制御方法であって、
前記利用者端末と前記外部サービス端末とは、認証データを交換して相互に認証し、
前記利用者端末は、前記相互認証が成功すると設定されるセッション鍵を用いて、前記利用者端末が有する個人情報に対するアクセス権限を設定するためのアクセス制御ポリシを暗号化し、前記暗号化されたアクセス制御ポリシを前記アクセス制御サーバに送付し、
前記外部サービス端末は、前記相互認証が成功すると設定されるセッション鍵を用いて、端末の属性を表す外部サービス端末属性情報を暗号化し、前記暗号化された外部サービス端末属性情報をアクセス制御サーバに送付し、
前記アクセス制御サーバは、前記アクセス制御ポリシ及び前記外部サービス端末属性情報を受け付け、前記受け付けたアクセス制御ポリシを解析し、前記受け付けた外部サービス端末属性情報を参照して前記外部サービス端末のアクセス権限を判定し、前記判定の結果を前記利用者端末に送付し、
前記利用者端末は、前記アクセス制御サーバによる判定結果を受け付け、前記受け付けた判定結果に基づいて外部に開示可能な個人情報を選択し、
前記外部サービス端末は、利用者端末からの個人情報を受け付けることを特徴とする情報アクセス制御方法。
【請求項1】
利用者が保有する利用者端末、及び前記利用者端末にサービスを提供する外部サービス端末に接続されたアクセス制御サーバであって、
前記利用者端末に保持される個人情報に対する前記外部サービス端末からのアクセスを制御するアクセス制御部を備え、
前記アクセス制御部は、
前記利用者端末に保持される個人情報に対するアクセス権限を設定するためのアクセス制御ポリシ及び前記外部サービス端末の属性情報を受け付け、
前記受け付けたアクセス制御ポリシ及び前記受け付けた外部サービス端末属性情報に基づいて、アクセス権限を判定し、
前記判定結果を前記利用者端末に送付することを特徴とするアクセス制御サーバ。
【請求項2】
前記アクセス制御部は、前記外部サービス端末を経由した前記アクセス制御ポリシを受け付けることを特徴とする請求項1に記載のアクセス制御サーバ。
【請求項3】
前記アクセス制御部は、前記アクセス制御ポリシを、前記アクセス制御サーバ利用者端末から直接受け付けることを特徴とする請求項1に記載のアクセス制御サーバ。
【請求項4】
前記アクセス制御部は、前記判定結果に電子署名を付与して、前記利用者端末に送付することを特徴とする請求項1に記載のアクセス制御サーバ。
【請求項5】
外部サービス端末からの個人情報に対するアクセスを制御するアクセス制御サーバに接続された利用者端末であって、
情報の送受信を制御するアクセス制御部及び情報を格納する記憶装置を備え、
前記記憶装置は、利用者の個人情報及び前記個人情報へのアクセス権限を設定するためのアクセス制御ポリシを格納し、
前記アクセス制御部は、
前記記憶装置に格納されたアクセス制御ポリシを前記アクセス制御サーバに送付し、
前記アクセス制御サーバによる判定結果を受け付け、
前記判定結果に基づいて外部に開示可能な個人情報を選択し、
前記選択された個人情報を送付することを特徴とする利用者端末。
【請求項6】
前記記憶装置は、端末の正当性を証明するための利用者端末認証データを格納し、
前記アクセス制御部は、
前記外部サービス端末と前記利用者端末認証データを交換し相互認証を行い、
前記相互認証が成功すると設定されるセッション鍵を用いて、前記アクセス制御ポリシを暗号化し、
前記暗号化されたアクセス制御ポリシを前記アクセス制御サーバに送付することを特徴とする請求項5に記載の利用者端末。
【請求項7】
前記記憶装置は、
前記利用者端末に着脱可能な記録媒体であり、
前記相互認証のためのプログラム及び前記アクセス制御ポリシを暗号化するための情報を格納することを特徴とする請求項6に記載の利用者端末。
【請求項8】
前記利用者端末は、サービスを提供する外部サービス端末に接続されており、
前記アクセス制御部は、前記外部サービス端末を経由して、前記アクセス制御ポリシを送付することを特徴とする請求項5に記載の利用者端末。
【請求項9】
前記利用者端末は、サービスを提供する外部サービス端末に接続されており、
前記アクセス制御部は、アクセス制御サーバに、直接、前記アクセス制御ポリシを送付することを特徴とする請求項5に記載の利用者端末。
【請求項10】
利用者が保有する利用者端末と、前記利用者端末にサービスを提供する外部サービス端末と、前記利用者端末に保持される個人情報に対する前記外部サービス端末からのアクセスを制御するアクセス制御サーバと、を備えるコンピュータシステムにおける、個人情報へのアクセス制御方法であって、
前記利用者端末と前記外部サービス端末とは、認証データを交換して相互に認証し、
前記利用者端末は、前記相互認証が成功すると設定されるセッション鍵を用いて、前記利用者端末が有する個人情報に対するアクセス権限を設定するためのアクセス制御ポリシを暗号化し、前記暗号化されたアクセス制御ポリシを前記アクセス制御サーバに送付し、
前記外部サービス端末は、前記相互認証が成功すると設定されるセッション鍵を用いて、端末の属性を表す外部サービス端末属性情報を暗号化し、前記暗号化された外部サービス端末属性情報をアクセス制御サーバに送付し、
前記アクセス制御サーバは、前記アクセス制御ポリシ及び前記外部サービス端末属性情報を受け付け、前記受け付けたアクセス制御ポリシを解析し、前記受け付けた外部サービス端末属性情報を参照して前記外部サービス端末のアクセス権限を判定し、前記判定の結果を前記利用者端末に送付し、
前記利用者端末は、前記アクセス制御サーバによる判定結果を受け付け、前記受け付けた判定結果に基づいて外部に開示可能な個人情報を選択し、
前記外部サービス端末は、利用者端末からの個人情報を受け付けることを特徴とする情報アクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2006−338587(P2006−338587A)
【公開日】平成18年12月14日(2006.12.14)
【国際特許分類】
【出願番号】特願2005−165400(P2005−165400)
【出願日】平成17年6月6日(2005.6.6)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成18年12月14日(2006.12.14)
【国際特許分類】
【出願日】平成17年6月6日(2005.6.6)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]