ソーシャルネット内の各ユーザの公開鍵の正当性を保証する認証局を設定する認証局設定装置
【課題】ソーシャルグラフのリンクから算出する各端末の信頼度に基づいて、容易かつ公平に認証局を設定する。
【解決手段】ソーシャルグラフのグラフ構造に基づいて各ユーザの信頼度を算出する信頼度算出手段20と、算出された前記信頼度の高さに基づいて、ユーザのなかから一のユーザの端末を選択し認証局として設定すると共に、ソーシャルグラフ内のユーザに係る公開鍵の一元管理を指示する情報を該端末に送信する認証局設定手段30と、前記認証局として設定されたユーザの公開鍵を前記認証局の公開鍵として各端末に公開する鍵公開手段40と、を有する。
【解決手段】ソーシャルグラフのグラフ構造に基づいて各ユーザの信頼度を算出する信頼度算出手段20と、算出された前記信頼度の高さに基づいて、ユーザのなかから一のユーザの端末を選択し認証局として設定すると共に、ソーシャルグラフ内のユーザに係る公開鍵の一元管理を指示する情報を該端末に送信する認証局設定手段30と、前記認証局として設定されたユーザの公開鍵を前記認証局の公開鍵として各端末に公開する鍵公開手段40と、を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ソーシャルネットワーキングサービスにおけるセキュリティ技術の改良に関する。
【背景技術】
【0002】
近年、情報処理や通信ネットワーク技術の成熟に伴い、ウェブサーバからの企業等による一律的情報発信だけでなく、友人間など限られた範囲内で情報を授受するソーシャルネットワーキングサービス(本出願において「ソーシャルネット」と呼ぶ)が普及している。
【0003】
ソーシャルネット内でのメッセージ等の交換を行う際に、発信者が本物であることや、内容が改ざんされていないこと、また内容を受信者以外に見せないといった情報セキュリティを確保するために、公開鍵認証技術が利用される。例えば、メッセージを送信側の端末において、メッセージ全体を受信側の公開鍵で暗号化し、それを受信側が自らの秘密鍵で復号すれば、内容を第三者に知られることがない。
【0004】
ところで、ソーシャルネットにおいてメッセージを交換する相手は、友人登録の申請(友達申請などと呼ばれる)や承認などを経て所定の友人関係を結んだ複数の端末であり、ソーシャルネットの性質上、そのような友人関係の数や相手は日々更新されることが多い。このため、そのような友人関係の相手全員の用いる端末の公開鍵を各端末で管理するのは煩雑であり、何らかの認証局(「CA」と呼ぶ)による一元管理が望ましい。
【0005】
この際、機能の水平的分散を特徴とするソーシャルネットは、PtoPによる実現態様もあり、サーバ類は調整役などの補助的位置付けのため、認証局についても少なくともその主な機能は、コミュニティ単位などネットワークの部分ごとで実現したい需要がある。
【0006】
そのような一元管理を実現するものとして、各ユーザから各端末に対する評価を受け付けて集計し、評価が最高の端末をCAサーバとして設定する提案が存在する(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008−305188号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかし、上記のような従来技術では、各端末のユーザからの評価を総合して最も高い評価を得た端末を認証局とするものであるため、各ユーザが他の端末ごとの評価を入力する手間が煩雑という課題があり、入力されなかった分の取扱いや作為的評価の対策などの問題もあった。
【0009】
本発明は、上記のような課題を解決するもので、その目的は、ソーシャルグラフのリンクから算出する各端末の信頼度に基づいて、容易かつ公平に認証局を設定することである。
【課題を解決するための手段】
【0010】
上記の目的をふまえ、本発明の一態様は、ソーシャルネット内の各ユーザの公開鍵の正当性を保証する認証局を信頼性の高いユーザに設定する認証局設定装置において、ソーシャルネットにおいてユーザ同士の間に所定の関係を設定するための承認行為を受け付けて前記関係を設定すると共に、前記承認行為に基づいたグラフ構造で表したソーシャルグラフを所定のグラフ記憶手段に記憶させる関係設定手段と、前記ソーシャルグラフのグラフ構造に基づいて各ユーザの信頼度を算出する信頼度算出手段と、算出された前記信頼度の高さに基づいて、ソーシャルグラフ内のユーザのなかから一のユーザを選択し、該ユーザの端末を認証局として設定すると共に、前記ソーシャルグラフ内のユーザに係る公開鍵の一元管理を指示する情報を該端末に送信する認証局設定手段と、前記認証局として設定されたユーザの公開鍵を前記認証局の公開鍵として公開する鍵公開手段と、をコンピュータが実現したことを特徴とする。
【0011】
また、上記装置に限らず、上記装置に対応する方法及びコンピュータ・プログラムもそれぞれ本発明の態様である。さらに、上記のように構成される本発明の作用及び効果、並びに本発明の他の各態様における構成、作用及び効果については、実施形態などを通じて後述する通りである。
【発明の効果】
【0012】
本発明によれば、ソーシャルグラフのリンクから算出する各端末の信頼度に基づいて、容易かつ公平に認証局を設定することが可能となる。
【図面の簡単な説明】
【0013】
【図1】本発明の実施形態の構成を示す機能ブロック図。
【図2】本発明の実施形態における処理手順を示すフローチャート。
【図3】本発明の実施形態におけるソーシャルグラフの形式を例示する図。
【図4】本発明の実施形態におけるソーシャルグラフの一例を示す図。
【図5】本発明の実施形態におけるソーシャルグラフ及び信頼性スコアの算出結果を示すデータを例示する図。
【図6】本発明の実施形態における通信の例を示す概念図。
【発明を実施するための形態】
【0014】
次に、本発明を実施するための形態(「実施形態」と呼ぶ)について、図に沿って説明する。なお、背景技術や課題などで既に述べた内容と共通の前提事項については適宜省略する。
【0015】
〔1.構成〕
本実施形態は、ソーシャルネット内の各ユーザの公開鍵の正当性を保証する認証局を信頼性の高いユーザに設定する認証局設定装置(以下「本装置」と呼ぶ)で、図1(構成図)に示すように、いくつかのユーザPC(ユーザの用いるパーソナルコンピュータ)A,B…から通信用の認証局を選ぶものである。各ユーザPC間及び各ユーザPCと本装置の間は、インターネットや携帯電話網に代表される通信ネットワークNで接続される。また、本発明は、本装置1に対応する情報処理方法やコンピュータ・プログラムとしても把握可能である。
【0016】
本装置1は、図1に示すように、一般的なコンピュータの構成として、少なくとも、CPUなどの演算制御部5と、外部記憶装置(HDD等)や主メモリ等の記憶装置6と、通信ネットワークNとの通信手段7(LANアダプタなど)と、を有し、記憶装置6に予め記憶(インストール)した図示しない所定のコンピュータ・プログラムが演算制御部5を制御することで、図1に示す各手段などの要素(10〜50など)を実現する。
【0017】
これら各要素のうち、情報を記憶する手段は、記憶装置6においてファイルや各種データベース(「DB」とも表す)、配列等の変数、システム設定値など任意の形式で実現し、また、その他の情報処理を行う各要素は、以下のような各機能や処理を実現・実行する処理手段である。
【0018】
〔2.作用〕
上記のように構成した本装置1における処理手順を、図2のフローチャートに沿って説明する。
〔2−1.友人関係の設定と承認の記憶〕
まず、ソーシャルネットは、登録会員間で相互の意思を確認する手順により、所定の「友人関係」が設定されてゆくことで利用が拡大してゆくサービスである。友人関係は、ウェブサイトでの所定の操作により、一方が相手に対し「友達申請」をし、相手がそれを「承認」することで設定される。相手がそのソーシャルネットの会員登録を未だしていない場合は、登録の「招待」が、友達申請と一体又は前提条件などの構成も考えられる。そして、直接間接に友人関係を持つユーザのグループを「コミュニティ」と呼んでおく。
【0019】
「コミュニティ」の語は、既存のソーシャルネットでは、専用の電子掲示板機能などを利用する特別なメンバー登録をしたユーザのグループを指す狭義の用例もあるが、本出願では、直接間接に友人関係を辿ることのできるユーザ群又はその一部を意味する。但し、前記のような狭義の「コミュニティ」での認証局の設定に本発明を適用することは可能である。なお、ソーシャルネットの実際の利用は、ユーザが、パーソナルコンピュータ(PC)や携帯電話などの端末(クライアント端末)を通じて行うので、本出願では説明上、端末とユーザを同じ符号(A,Bなど)で表すものとする。
【0020】
上記のように友人関係を広げてゆくにあたり、本装置1の関係設定手段10は、ソーシャルネットにおいてユーザ同士の間に所定の友人関係を設定するための承認行為を受け付けて友人関係を設定すると共に(図2のステップS05)、前記承認行為に基づいたグラフ構造で表したソーシャルグラフを、所定のグラフ記憶手段15に記憶させる(ステップS10。関係設定処理)。
【0021】
ここで、図3は、あるコミュニティYにおける友人関係を表すソーシャルグラフの例で、各ユーザを表す円形のノード間を、友人関係を設定する際の承認行為で承認を行った方向を表す矢印型のエッジで接続したものである。すなわち、図中の凡例に示すように、ある端末Aからの招待や友達申請に応じて、端末Bが承認を行った場合、この承認行為は端末BからAに向かう矢印で表す。
【0022】
〔2−2.信頼度の算出〕
そして、本装置1によりコミュニティ内の端末の中から認証局を設定するか否かを判定する(ステップS15)。そして、例えば、認証局設定の指示がコミュニティ内の端末からあったとき、前回の認証局設定後に設定の基礎となったソーシャルグラフに更新があったとき、又は所定時間経過したときなどに、認証局を設定すると判断し、そのた場合(「YES」の矢印)は、本装置1は要求元の端末から、対象範囲とするコミュニティすなわち端末の指定を受け付け(ステップS18)、信頼度算出手段20が、そのように指定された範囲に相当する前記ソーシャルグラフをグラフ記憶手段15から読み出して、そのグラフ構造に基づいて、指定されたコミュニティに含まれる各ユーザの信頼度を算出する(ステップS20。信頼度算出処理)。なお、ソーシャルネットがそもそもコミュニティ毎に分かれているなどの場合は、対象範囲の指定は必須ではない。
【0023】
また、信頼度算出手段20は、上記のような信頼度の算出において、グラフ理論であるHITS(Hyperlink−Induced Topic Search)アルゴリズムを適用することにより各端末の信頼性スコアを算出する。
【0024】
HITSアルゴリズムは、ウェブサイトなどの各対象を、権威性を表すauthority値と、リンクの豊富さを表すhub値という二要素で定義し、hub値の高い相手(良いhub)から多数リンクされているものほどauthority値は高く(良いauthority)、高いauthority値を持つ対象(良いauthority)へのリンクが多いほどhub値は高い(良いhub)、という各仮説に対応する各計算を再帰的に繰り返すものである。本実施形態では、このようなHITSアルゴリズムを応用して、端末(ノード)の信頼性スコア(auth)を算出し、スコア合計の高い端末を認証局として設定する。
【0025】
具体的には、HITSアルゴリズムによるスコア算出として、上記二つの各仮説に対応する次の計算式:
auth(n)=αLThub(n)=Σhub(m) ;for all m→n
hub(n)=βLTauth(n)=Σauth(m) ;for all m←n
を、Auth,hubのそれぞれの合計値が1に収束するまで繰り返し演算する。なお、α、βは正規化定数であり、LTはページiからページjへのリンクが存在する場合にlij=1としたページ間のリンクによる接続関係を表す行列Lの転置行列である。
【0026】
一例として、図4に例示するコミュニティXにおいて矢印(エッジ)で表されている承認行為をソーシャルグラフで表し、それに上記のようなHITSアルゴリズムで算出した信頼性のスコアを追記したデータ例を、図5にソーシャルDBとして表す。このデータは、ソーシャルグラフを表すもので、グラフ記憶手段15などに記憶され、「端末ID」(A,B…)ごとに、「友人」関係の各相手方(B,C,D…など)と、その相手から「承認」を受けた側(「ON」)か否か(「OFF」)を対応付けている。
【0027】
また、それらの情報に対応付けて、信頼性算出の後は、「auth」欄に各友人の信頼性スコア(「0.3」「0.05」など)と、「スコア」欄には信頼性スコアの合計が入っている。ここでは、A,B,C…などの各端末のうち、端末Aの信頼性スコア合計(0.55)が最高で、認証局(認証局A)として設定されるものとする。
【0028】
信頼度算出手段20は、グラフ記憶手段15に記憶されたデータに基づくグラフ構造が更新される都度、そのグラフ構造に基づいて各ユーザの信頼度を算出する。これにより、ソーシャルグラフ内で常に信頼性の高いユーザを認証局として設定し更新していくことができる。
【0029】
尚、信頼度の算出には、PageRank(登録商標)、SALSA等の既存のグラフ分析手法を適用して算出することができる。これらの手法は、インターネット上のハイパーリンク構造の分析手法であるが、上記グラフ構造も、ユーザ間を友人関係でリンクしたグラフ構造であるため、応用可能である。
【0030】
〔2−3.認証局の設定〕
すなわち、認証局設定手段30は、上記のように算出された前記信頼度の高さに基づいて、ソーシャルグラフ内のユーザA,B,C…のなかから、一のユーザを選択し、該ユーザの認証局(認証局A)として設定すると共に(ステップS25)、前記ソーシャルグラフ内のユーザに係る公開鍵の一元管理を指示する情報を該端末すなわち認証局Aに送信する(ステップS30。認証局設定処理)。この際、認証局設定手段30は、前記友人関係が所定の条件(例えば、特定の人から2世代まで又は3世代までとか、その中で特定の属性の人々など)で設定されている各ユーザの範囲までを前記対象範囲として、その中から認証局を設定することにより、認証局としての役割の分散化に貢献できる。
【0031】
また、鍵公開手段40が、認証局Aから提供された公開鍵を前記対象範囲の各端末(少なくともB,C,D…など)に対して公開する(ステップS40。鍵公開処理)。また、認証局証明手段50が、認証局Aから提供された公開鍵を自装置すなわち本装置1の秘密鍵42で暗号化(公開鍵の全体を暗号化してもよいし、ハッシュ値などで一部を暗号化してもよい)して認証局Aの正当性を証明することにより、認証局A自体の信頼性が一層確実に保障される。
【0032】
上記のように設定された認証局は、従来と同様の認証局としてのコンピュータプログラムなどにより、例えば、各端末(クライアント端末)の公開鍵の管理、クライアントの通信許可、クライアントの認証などを行う。これを円滑化するため、本実施形態では、本装置1に設けた鍵公開手段40が、前記対象範囲の各端末A,B,C…から公開鍵の寄託を受けて公開鍵記憶手段45に記憶しておき、上記のように設定した認証局Aやその他の端末B,C…の公開鍵として各端末に対して提供する。これにより、認証局A自身や他の各端末B,C,D…がそれぞれの公開鍵を直接授受する場合と比べ、公開鍵受渡しの遅延が回避容易になる。なお、認証局A自身が他の各端末B,C,D…からそれぞれの公開鍵を直接受領し記憶するように構成してもよい。
【0033】
〔2−4.認証局を利用した通信の例〕
上記のように設定された認証局Aを利用した通信の一例として、端末CがBにメッセージを送付する場合を、図6に例示する。この例では、認証局Aは、各利用者すなわち端末B,C,D…の各公開鍵を記憶し、通信当事者となるBに対しては通信相手Cの公開鍵を、逆にCに対してはBの公開鍵を、それぞれ認証局A自身の秘密鍵でデジタル署名したうえで配信する。他の端末の公開鍵についても同様に予め配信しておいてもよい。このように認証局Aのデジタル署名付きで配信される公開鍵が、いわゆる電子証明書である。
【0034】
配信を受けた送信者Cは、メッセージを受信者Bの公開鍵で暗号化したうえ、C自身の秘密鍵によるデジタル署名を付して受信者Bへ送信する。これを受信したBは、メッセージをB自身の秘密鍵で復号することで途中漏洩無く受領でき、送信者Cのデジタル署名は受信者Bが送信者Cの公開鍵で復号してみることで真正性が検証できる。
【0035】
また、各端末とも、他端末の公開鍵の真正性は、それぞれに添付された認証局Aの電子署名を認証局Aの公開鍵で復号してみることで検証し、認証局Aの公開鍵の真正性については、それを本装置1の認証局証明手段50が本装置1の秘密鍵で認証し、いわゆる電子証明書として公開しているので、それに基づいて必要に応じて検証する。本装置1自体やその署名の認証が必要な場合は、さらにルート認証局(RCA)や適宜な商用認証局による認証を利用することになる。
【0036】
〔3.効果〕
以上のように、本実施形態では、ソーシャルネットの友人関係を結ぶ際の承認行為を表すグラフ構造から算出する各端末の信頼度の高さを基準とすることにより、ソーシャルネット内の端末間で評価を入力する煩雑な操作を要することなく容易に、かつ作為も排して公平に、適切な端末を認証局として設定することが可能となる。
【0037】
また、本実施形態では、HITSアルゴリズムの適用により、すなわち全端末を、権威性を表すauthority値と、リンクの豊富さを表すhub値という二要素で定義し、hub値の高い相手(良いhub)から多数リンクされているものほどauthority値は高く(良いauthority)、高いauthority値を持つ対象(良いauthority)へのリンクが多いほどhub値は高い(良いhub)、という各仮説に対応する各計算を再帰的に繰り返すという簡明なアルゴリズムにより容易に信頼度を判定できる。
【0038】
〔4.他の実施形態〕
なお、上記実施形態は例示に過ぎず、本発明は、以下に例示するものやそれ以外の他の実施態様も含むものである。例えば、各構成図、データの図、フローチャートの図などは例示に過ぎず、各要素の有無、その順序や具体的内容などは適宜変更可能である。一例として、各端末の信頼度の算出は、ページランクその他のグラフ理論に基づいてもよい。また、本発明において、各手段などの要素は、コンピュータの演算制御部に限らず、ワイヤードロジック等に基づく電子回路で実現してもよい。
【符号の説明】
【0039】
N 通信ネットワーク
A,B,C… 端末(ユーザPC)
1 認証局設定装置(本装置)
5 演算制御部
6 記憶装置
7 通信手段
10 関係設定手段
15 グラフ記憶手段
20 信頼度算出手段
30 認証局設定手段
40 鍵公開手段
42 選択装置の秘密鍵
45 公開鍵記憶手段
50 認証局証明手段
【技術分野】
【0001】
本発明は、ソーシャルネットワーキングサービスにおけるセキュリティ技術の改良に関する。
【背景技術】
【0002】
近年、情報処理や通信ネットワーク技術の成熟に伴い、ウェブサーバからの企業等による一律的情報発信だけでなく、友人間など限られた範囲内で情報を授受するソーシャルネットワーキングサービス(本出願において「ソーシャルネット」と呼ぶ)が普及している。
【0003】
ソーシャルネット内でのメッセージ等の交換を行う際に、発信者が本物であることや、内容が改ざんされていないこと、また内容を受信者以外に見せないといった情報セキュリティを確保するために、公開鍵認証技術が利用される。例えば、メッセージを送信側の端末において、メッセージ全体を受信側の公開鍵で暗号化し、それを受信側が自らの秘密鍵で復号すれば、内容を第三者に知られることがない。
【0004】
ところで、ソーシャルネットにおいてメッセージを交換する相手は、友人登録の申請(友達申請などと呼ばれる)や承認などを経て所定の友人関係を結んだ複数の端末であり、ソーシャルネットの性質上、そのような友人関係の数や相手は日々更新されることが多い。このため、そのような友人関係の相手全員の用いる端末の公開鍵を各端末で管理するのは煩雑であり、何らかの認証局(「CA」と呼ぶ)による一元管理が望ましい。
【0005】
この際、機能の水平的分散を特徴とするソーシャルネットは、PtoPによる実現態様もあり、サーバ類は調整役などの補助的位置付けのため、認証局についても少なくともその主な機能は、コミュニティ単位などネットワークの部分ごとで実現したい需要がある。
【0006】
そのような一元管理を実現するものとして、各ユーザから各端末に対する評価を受け付けて集計し、評価が最高の端末をCAサーバとして設定する提案が存在する(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008−305188号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかし、上記のような従来技術では、各端末のユーザからの評価を総合して最も高い評価を得た端末を認証局とするものであるため、各ユーザが他の端末ごとの評価を入力する手間が煩雑という課題があり、入力されなかった分の取扱いや作為的評価の対策などの問題もあった。
【0009】
本発明は、上記のような課題を解決するもので、その目的は、ソーシャルグラフのリンクから算出する各端末の信頼度に基づいて、容易かつ公平に認証局を設定することである。
【課題を解決するための手段】
【0010】
上記の目的をふまえ、本発明の一態様は、ソーシャルネット内の各ユーザの公開鍵の正当性を保証する認証局を信頼性の高いユーザに設定する認証局設定装置において、ソーシャルネットにおいてユーザ同士の間に所定の関係を設定するための承認行為を受け付けて前記関係を設定すると共に、前記承認行為に基づいたグラフ構造で表したソーシャルグラフを所定のグラフ記憶手段に記憶させる関係設定手段と、前記ソーシャルグラフのグラフ構造に基づいて各ユーザの信頼度を算出する信頼度算出手段と、算出された前記信頼度の高さに基づいて、ソーシャルグラフ内のユーザのなかから一のユーザを選択し、該ユーザの端末を認証局として設定すると共に、前記ソーシャルグラフ内のユーザに係る公開鍵の一元管理を指示する情報を該端末に送信する認証局設定手段と、前記認証局として設定されたユーザの公開鍵を前記認証局の公開鍵として公開する鍵公開手段と、をコンピュータが実現したことを特徴とする。
【0011】
また、上記装置に限らず、上記装置に対応する方法及びコンピュータ・プログラムもそれぞれ本発明の態様である。さらに、上記のように構成される本発明の作用及び効果、並びに本発明の他の各態様における構成、作用及び効果については、実施形態などを通じて後述する通りである。
【発明の効果】
【0012】
本発明によれば、ソーシャルグラフのリンクから算出する各端末の信頼度に基づいて、容易かつ公平に認証局を設定することが可能となる。
【図面の簡単な説明】
【0013】
【図1】本発明の実施形態の構成を示す機能ブロック図。
【図2】本発明の実施形態における処理手順を示すフローチャート。
【図3】本発明の実施形態におけるソーシャルグラフの形式を例示する図。
【図4】本発明の実施形態におけるソーシャルグラフの一例を示す図。
【図5】本発明の実施形態におけるソーシャルグラフ及び信頼性スコアの算出結果を示すデータを例示する図。
【図6】本発明の実施形態における通信の例を示す概念図。
【発明を実施するための形態】
【0014】
次に、本発明を実施するための形態(「実施形態」と呼ぶ)について、図に沿って説明する。なお、背景技術や課題などで既に述べた内容と共通の前提事項については適宜省略する。
【0015】
〔1.構成〕
本実施形態は、ソーシャルネット内の各ユーザの公開鍵の正当性を保証する認証局を信頼性の高いユーザに設定する認証局設定装置(以下「本装置」と呼ぶ)で、図1(構成図)に示すように、いくつかのユーザPC(ユーザの用いるパーソナルコンピュータ)A,B…から通信用の認証局を選ぶものである。各ユーザPC間及び各ユーザPCと本装置の間は、インターネットや携帯電話網に代表される通信ネットワークNで接続される。また、本発明は、本装置1に対応する情報処理方法やコンピュータ・プログラムとしても把握可能である。
【0016】
本装置1は、図1に示すように、一般的なコンピュータの構成として、少なくとも、CPUなどの演算制御部5と、外部記憶装置(HDD等)や主メモリ等の記憶装置6と、通信ネットワークNとの通信手段7(LANアダプタなど)と、を有し、記憶装置6に予め記憶(インストール)した図示しない所定のコンピュータ・プログラムが演算制御部5を制御することで、図1に示す各手段などの要素(10〜50など)を実現する。
【0017】
これら各要素のうち、情報を記憶する手段は、記憶装置6においてファイルや各種データベース(「DB」とも表す)、配列等の変数、システム設定値など任意の形式で実現し、また、その他の情報処理を行う各要素は、以下のような各機能や処理を実現・実行する処理手段である。
【0018】
〔2.作用〕
上記のように構成した本装置1における処理手順を、図2のフローチャートに沿って説明する。
〔2−1.友人関係の設定と承認の記憶〕
まず、ソーシャルネットは、登録会員間で相互の意思を確認する手順により、所定の「友人関係」が設定されてゆくことで利用が拡大してゆくサービスである。友人関係は、ウェブサイトでの所定の操作により、一方が相手に対し「友達申請」をし、相手がそれを「承認」することで設定される。相手がそのソーシャルネットの会員登録を未だしていない場合は、登録の「招待」が、友達申請と一体又は前提条件などの構成も考えられる。そして、直接間接に友人関係を持つユーザのグループを「コミュニティ」と呼んでおく。
【0019】
「コミュニティ」の語は、既存のソーシャルネットでは、専用の電子掲示板機能などを利用する特別なメンバー登録をしたユーザのグループを指す狭義の用例もあるが、本出願では、直接間接に友人関係を辿ることのできるユーザ群又はその一部を意味する。但し、前記のような狭義の「コミュニティ」での認証局の設定に本発明を適用することは可能である。なお、ソーシャルネットの実際の利用は、ユーザが、パーソナルコンピュータ(PC)や携帯電話などの端末(クライアント端末)を通じて行うので、本出願では説明上、端末とユーザを同じ符号(A,Bなど)で表すものとする。
【0020】
上記のように友人関係を広げてゆくにあたり、本装置1の関係設定手段10は、ソーシャルネットにおいてユーザ同士の間に所定の友人関係を設定するための承認行為を受け付けて友人関係を設定すると共に(図2のステップS05)、前記承認行為に基づいたグラフ構造で表したソーシャルグラフを、所定のグラフ記憶手段15に記憶させる(ステップS10。関係設定処理)。
【0021】
ここで、図3は、あるコミュニティYにおける友人関係を表すソーシャルグラフの例で、各ユーザを表す円形のノード間を、友人関係を設定する際の承認行為で承認を行った方向を表す矢印型のエッジで接続したものである。すなわち、図中の凡例に示すように、ある端末Aからの招待や友達申請に応じて、端末Bが承認を行った場合、この承認行為は端末BからAに向かう矢印で表す。
【0022】
〔2−2.信頼度の算出〕
そして、本装置1によりコミュニティ内の端末の中から認証局を設定するか否かを判定する(ステップS15)。そして、例えば、認証局設定の指示がコミュニティ内の端末からあったとき、前回の認証局設定後に設定の基礎となったソーシャルグラフに更新があったとき、又は所定時間経過したときなどに、認証局を設定すると判断し、そのた場合(「YES」の矢印)は、本装置1は要求元の端末から、対象範囲とするコミュニティすなわち端末の指定を受け付け(ステップS18)、信頼度算出手段20が、そのように指定された範囲に相当する前記ソーシャルグラフをグラフ記憶手段15から読み出して、そのグラフ構造に基づいて、指定されたコミュニティに含まれる各ユーザの信頼度を算出する(ステップS20。信頼度算出処理)。なお、ソーシャルネットがそもそもコミュニティ毎に分かれているなどの場合は、対象範囲の指定は必須ではない。
【0023】
また、信頼度算出手段20は、上記のような信頼度の算出において、グラフ理論であるHITS(Hyperlink−Induced Topic Search)アルゴリズムを適用することにより各端末の信頼性スコアを算出する。
【0024】
HITSアルゴリズムは、ウェブサイトなどの各対象を、権威性を表すauthority値と、リンクの豊富さを表すhub値という二要素で定義し、hub値の高い相手(良いhub)から多数リンクされているものほどauthority値は高く(良いauthority)、高いauthority値を持つ対象(良いauthority)へのリンクが多いほどhub値は高い(良いhub)、という各仮説に対応する各計算を再帰的に繰り返すものである。本実施形態では、このようなHITSアルゴリズムを応用して、端末(ノード)の信頼性スコア(auth)を算出し、スコア合計の高い端末を認証局として設定する。
【0025】
具体的には、HITSアルゴリズムによるスコア算出として、上記二つの各仮説に対応する次の計算式:
auth(n)=αLThub(n)=Σhub(m) ;for all m→n
hub(n)=βLTauth(n)=Σauth(m) ;for all m←n
を、Auth,hubのそれぞれの合計値が1に収束するまで繰り返し演算する。なお、α、βは正規化定数であり、LTはページiからページjへのリンクが存在する場合にlij=1としたページ間のリンクによる接続関係を表す行列Lの転置行列である。
【0026】
一例として、図4に例示するコミュニティXにおいて矢印(エッジ)で表されている承認行為をソーシャルグラフで表し、それに上記のようなHITSアルゴリズムで算出した信頼性のスコアを追記したデータ例を、図5にソーシャルDBとして表す。このデータは、ソーシャルグラフを表すもので、グラフ記憶手段15などに記憶され、「端末ID」(A,B…)ごとに、「友人」関係の各相手方(B,C,D…など)と、その相手から「承認」を受けた側(「ON」)か否か(「OFF」)を対応付けている。
【0027】
また、それらの情報に対応付けて、信頼性算出の後は、「auth」欄に各友人の信頼性スコア(「0.3」「0.05」など)と、「スコア」欄には信頼性スコアの合計が入っている。ここでは、A,B,C…などの各端末のうち、端末Aの信頼性スコア合計(0.55)が最高で、認証局(認証局A)として設定されるものとする。
【0028】
信頼度算出手段20は、グラフ記憶手段15に記憶されたデータに基づくグラフ構造が更新される都度、そのグラフ構造に基づいて各ユーザの信頼度を算出する。これにより、ソーシャルグラフ内で常に信頼性の高いユーザを認証局として設定し更新していくことができる。
【0029】
尚、信頼度の算出には、PageRank(登録商標)、SALSA等の既存のグラフ分析手法を適用して算出することができる。これらの手法は、インターネット上のハイパーリンク構造の分析手法であるが、上記グラフ構造も、ユーザ間を友人関係でリンクしたグラフ構造であるため、応用可能である。
【0030】
〔2−3.認証局の設定〕
すなわち、認証局設定手段30は、上記のように算出された前記信頼度の高さに基づいて、ソーシャルグラフ内のユーザA,B,C…のなかから、一のユーザを選択し、該ユーザの認証局(認証局A)として設定すると共に(ステップS25)、前記ソーシャルグラフ内のユーザに係る公開鍵の一元管理を指示する情報を該端末すなわち認証局Aに送信する(ステップS30。認証局設定処理)。この際、認証局設定手段30は、前記友人関係が所定の条件(例えば、特定の人から2世代まで又は3世代までとか、その中で特定の属性の人々など)で設定されている各ユーザの範囲までを前記対象範囲として、その中から認証局を設定することにより、認証局としての役割の分散化に貢献できる。
【0031】
また、鍵公開手段40が、認証局Aから提供された公開鍵を前記対象範囲の各端末(少なくともB,C,D…など)に対して公開する(ステップS40。鍵公開処理)。また、認証局証明手段50が、認証局Aから提供された公開鍵を自装置すなわち本装置1の秘密鍵42で暗号化(公開鍵の全体を暗号化してもよいし、ハッシュ値などで一部を暗号化してもよい)して認証局Aの正当性を証明することにより、認証局A自体の信頼性が一層確実に保障される。
【0032】
上記のように設定された認証局は、従来と同様の認証局としてのコンピュータプログラムなどにより、例えば、各端末(クライアント端末)の公開鍵の管理、クライアントの通信許可、クライアントの認証などを行う。これを円滑化するため、本実施形態では、本装置1に設けた鍵公開手段40が、前記対象範囲の各端末A,B,C…から公開鍵の寄託を受けて公開鍵記憶手段45に記憶しておき、上記のように設定した認証局Aやその他の端末B,C…の公開鍵として各端末に対して提供する。これにより、認証局A自身や他の各端末B,C,D…がそれぞれの公開鍵を直接授受する場合と比べ、公開鍵受渡しの遅延が回避容易になる。なお、認証局A自身が他の各端末B,C,D…からそれぞれの公開鍵を直接受領し記憶するように構成してもよい。
【0033】
〔2−4.認証局を利用した通信の例〕
上記のように設定された認証局Aを利用した通信の一例として、端末CがBにメッセージを送付する場合を、図6に例示する。この例では、認証局Aは、各利用者すなわち端末B,C,D…の各公開鍵を記憶し、通信当事者となるBに対しては通信相手Cの公開鍵を、逆にCに対してはBの公開鍵を、それぞれ認証局A自身の秘密鍵でデジタル署名したうえで配信する。他の端末の公開鍵についても同様に予め配信しておいてもよい。このように認証局Aのデジタル署名付きで配信される公開鍵が、いわゆる電子証明書である。
【0034】
配信を受けた送信者Cは、メッセージを受信者Bの公開鍵で暗号化したうえ、C自身の秘密鍵によるデジタル署名を付して受信者Bへ送信する。これを受信したBは、メッセージをB自身の秘密鍵で復号することで途中漏洩無く受領でき、送信者Cのデジタル署名は受信者Bが送信者Cの公開鍵で復号してみることで真正性が検証できる。
【0035】
また、各端末とも、他端末の公開鍵の真正性は、それぞれに添付された認証局Aの電子署名を認証局Aの公開鍵で復号してみることで検証し、認証局Aの公開鍵の真正性については、それを本装置1の認証局証明手段50が本装置1の秘密鍵で認証し、いわゆる電子証明書として公開しているので、それに基づいて必要に応じて検証する。本装置1自体やその署名の認証が必要な場合は、さらにルート認証局(RCA)や適宜な商用認証局による認証を利用することになる。
【0036】
〔3.効果〕
以上のように、本実施形態では、ソーシャルネットの友人関係を結ぶ際の承認行為を表すグラフ構造から算出する各端末の信頼度の高さを基準とすることにより、ソーシャルネット内の端末間で評価を入力する煩雑な操作を要することなく容易に、かつ作為も排して公平に、適切な端末を認証局として設定することが可能となる。
【0037】
また、本実施形態では、HITSアルゴリズムの適用により、すなわち全端末を、権威性を表すauthority値と、リンクの豊富さを表すhub値という二要素で定義し、hub値の高い相手(良いhub)から多数リンクされているものほどauthority値は高く(良いauthority)、高いauthority値を持つ対象(良いauthority)へのリンクが多いほどhub値は高い(良いhub)、という各仮説に対応する各計算を再帰的に繰り返すという簡明なアルゴリズムにより容易に信頼度を判定できる。
【0038】
〔4.他の実施形態〕
なお、上記実施形態は例示に過ぎず、本発明は、以下に例示するものやそれ以外の他の実施態様も含むものである。例えば、各構成図、データの図、フローチャートの図などは例示に過ぎず、各要素の有無、その順序や具体的内容などは適宜変更可能である。一例として、各端末の信頼度の算出は、ページランクその他のグラフ理論に基づいてもよい。また、本発明において、各手段などの要素は、コンピュータの演算制御部に限らず、ワイヤードロジック等に基づく電子回路で実現してもよい。
【符号の説明】
【0039】
N 通信ネットワーク
A,B,C… 端末(ユーザPC)
1 認証局設定装置(本装置)
5 演算制御部
6 記憶装置
7 通信手段
10 関係設定手段
15 グラフ記憶手段
20 信頼度算出手段
30 認証局設定手段
40 鍵公開手段
42 選択装置の秘密鍵
45 公開鍵記憶手段
50 認証局証明手段
【特許請求の範囲】
【請求項1】
ソーシャルネット内の各ユーザの公開鍵の正当性を保証する認証局を信頼性の高いユーザに設定する認証局設定装置において、
ソーシャルネットにおいてユーザ同士の間に所定の関係を設定するための承認行為を受け付けて前記関係を設定すると共に、前記承認行為に基づいたグラフ構造で表したソーシャルグラフを所定のグラフ記憶手段に記憶させる関係設定手段と、
前記ソーシャルグラフのグラフ構造に基づいて各ユーザの信頼度を算出する信頼度算出手段と、
算出された前記信頼度の高さに基づいて、ソーシャルグラフ内のユーザのなかから一のユーザを選択し、該ユーザの端末を認証局として設定すると共に、前記ソーシャルグラフ内のユーザに係る公開鍵の一元管理を指示する情報を該端末に送信する認証局設定手段と、
前記認証局として設定されたユーザの公開鍵を前記認証局の公開鍵として各端末に公開する鍵公開手段と、
をコンピュータが実現したことを特徴とする認証局設定装置。
【請求項2】
前記各端末に公開される公開鍵を自装置の秘密鍵で暗号化することで、前記認証局の正当性を証明する認証局証明手段をコンピュータが実現したことを特徴とする請求項1記載の認証局設定装置。
【請求項3】
前記認証局設定手段は、
前記所定の関係が所定の条件で設定されている各ユーザの範囲までを対象範囲として、その中から認証局を設定することを特徴とする請求項1又は2記載の認証局設定装置。
【請求項4】
前記信頼度算出手段は、前記信頼度の算出において、グラフ理論であるHITSアルゴリズムを適用することにより各端末の信頼性スコアを算出することを特徴とする請求項1から3のいずれか一項に記載の認証局設定装置。
【請求項5】
ソーシャルネット内の各ユーザの公開鍵の正当性を保証する認証局を信頼性の高いユーザに設定する認証局設定方法において、
ソーシャルネットにおいてユーザ同士の間に所定の関係を設定するための承認行為を受け付けて前記関係を設定すると共に、前記承認行為に基づいたグラフ構造で表したソーシャルグラフを所定のグラフ記憶手段に記憶させる関係設定処理と、
前記ソーシャルグラフのグラフ構造に基づいて各ユーザの信頼度を算出する信頼度算出処理と、
算出された前記信頼度の高さに基づいて、ソーシャルグラフ内のユーザのなかから一のユーザを選択し、該ユーザの端末を認証局として設定すると共に、前記ソーシャルグラフ内のユーザに係る公開鍵の一元管理を指示する情報を該端末に送信する認証局設定処理と、
前記認証局として設定されたユーザの公開鍵を前記認証局の公開鍵として各端末に公開する鍵公開処理と、
をコンピュータが実行することを特徴とする認証局設定方法。
【請求項1】
ソーシャルネット内の各ユーザの公開鍵の正当性を保証する認証局を信頼性の高いユーザに設定する認証局設定装置において、
ソーシャルネットにおいてユーザ同士の間に所定の関係を設定するための承認行為を受け付けて前記関係を設定すると共に、前記承認行為に基づいたグラフ構造で表したソーシャルグラフを所定のグラフ記憶手段に記憶させる関係設定手段と、
前記ソーシャルグラフのグラフ構造に基づいて各ユーザの信頼度を算出する信頼度算出手段と、
算出された前記信頼度の高さに基づいて、ソーシャルグラフ内のユーザのなかから一のユーザを選択し、該ユーザの端末を認証局として設定すると共に、前記ソーシャルグラフ内のユーザに係る公開鍵の一元管理を指示する情報を該端末に送信する認証局設定手段と、
前記認証局として設定されたユーザの公開鍵を前記認証局の公開鍵として各端末に公開する鍵公開手段と、
をコンピュータが実現したことを特徴とする認証局設定装置。
【請求項2】
前記各端末に公開される公開鍵を自装置の秘密鍵で暗号化することで、前記認証局の正当性を証明する認証局証明手段をコンピュータが実現したことを特徴とする請求項1記載の認証局設定装置。
【請求項3】
前記認証局設定手段は、
前記所定の関係が所定の条件で設定されている各ユーザの範囲までを対象範囲として、その中から認証局を設定することを特徴とする請求項1又は2記載の認証局設定装置。
【請求項4】
前記信頼度算出手段は、前記信頼度の算出において、グラフ理論であるHITSアルゴリズムを適用することにより各端末の信頼性スコアを算出することを特徴とする請求項1から3のいずれか一項に記載の認証局設定装置。
【請求項5】
ソーシャルネット内の各ユーザの公開鍵の正当性を保証する認証局を信頼性の高いユーザに設定する認証局設定方法において、
ソーシャルネットにおいてユーザ同士の間に所定の関係を設定するための承認行為を受け付けて前記関係を設定すると共に、前記承認行為に基づいたグラフ構造で表したソーシャルグラフを所定のグラフ記憶手段に記憶させる関係設定処理と、
前記ソーシャルグラフのグラフ構造に基づいて各ユーザの信頼度を算出する信頼度算出処理と、
算出された前記信頼度の高さに基づいて、ソーシャルグラフ内のユーザのなかから一のユーザを選択し、該ユーザの端末を認証局として設定すると共に、前記ソーシャルグラフ内のユーザに係る公開鍵の一元管理を指示する情報を該端末に送信する認証局設定処理と、
前記認証局として設定されたユーザの公開鍵を前記認証局の公開鍵として各端末に公開する鍵公開処理と、
をコンピュータが実行することを特徴とする認証局設定方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2010−197980(P2010−197980A)
【公開日】平成22年9月9日(2010.9.9)
【国際特許分類】
【出願番号】特願2009−63512(P2009−63512)
【出願日】平成21年2月20日(2009.2.20)
【出願人】(500257300)ヤフー株式会社 (1,128)
【Fターム(参考)】
【公開日】平成22年9月9日(2010.9.9)
【国際特許分類】
【出願日】平成21年2月20日(2009.2.20)
【出願人】(500257300)ヤフー株式会社 (1,128)
【Fターム(参考)】
[ Back to top ]