ポリシ生成装置、ポリシ評価装置、認証サーバ装置及びプログラム
【課題】 アクセス制御ポリシ内のアクセス主体の記述を暗号化せずに保護する。
【解決手段】 ポリシ生成装置200は、認証サーバ装置100から受信した身元情報のうち、選択した身元情報を含まない識別情報を当該身元情報から一意に算出し、この識別情報を含み、身元情報を含まない新たなID情報20を作成し、選択した身元情報と新たなID情報20との連携要求を認証サーバ装置100に送信し、受信した仮名情報23と、認証サーバ装置の識別情報24とを含む連携情報を含むように新たなID情報20を更新し、連携情報22内の仮名情報23と、認証サーバ装置の識別情報24とを含み、選択された身元情報を含まないアクセス主体情報25を作成し、このアクセス主体情報25を含むアクセス制御ポリシPを生成する。従って、アクセス制御ポリシP内のアクセス主体情報25が身元情報を含まないので、上記課題を解決できる。
【解決手段】 ポリシ生成装置200は、認証サーバ装置100から受信した身元情報のうち、選択した身元情報を含まない識別情報を当該身元情報から一意に算出し、この識別情報を含み、身元情報を含まない新たなID情報20を作成し、選択した身元情報と新たなID情報20との連携要求を認証サーバ装置100に送信し、受信した仮名情報23と、認証サーバ装置の識別情報24とを含む連携情報を含むように新たなID情報20を更新し、連携情報22内の仮名情報23と、認証サーバ装置の識別情報24とを含み、選択された身元情報を含まないアクセス主体情報25を作成し、このアクセス主体情報25を含むアクセス制御ポリシPを生成する。従って、アクセス制御ポリシP内のアクセス主体情報25が身元情報を含まないので、上記課題を解決できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、例えば、アクセス制御ポリシ内のアクセス主体の記述を暗号化せずにアクセス主体の情報を保護し得るポリシ生成装置、ポリシ評価装置、認証サーバ装置及びプログラムに関する。
【背景技術】
【0002】
近年、特定の情報や処理へのアクセスに対する制御を、権限情報に基づいて実行するアクセス制御技術の重要性が大きく高まってきている。
【0003】
アクセス制御技術によれば、アクセス制御ルールまたはアクセス制御ポリシに基づいて、個人情報などの重要な情報を読出できるか否か、承認処理といった重要な処理を実行できるか否かを決定可能となっている。アクセス制御ルールは、アクセス主体(又はサブジェクト)が所有する権限情報と、権限情報とアクション(処理実行)の可否パターン情報とからなる。アクセス制御ポリシは、一般的にアクセス制御ルールの集合として考えられる。アクセス制御ポリシの標準的な記述仕様として産業標準仕様も登場してきており(例えば、非特許文献1参照。)、アクセス制御ポリシが広く利用されるようになってきている。
【0004】
権限情報は、アクセス主体により要求されたアクションが許可されるか否かを判断するための基準情報であり、アクションが許可される対象を示している。通常、権限情報を明示的に定義する場合は、アクセス主体が所有する権限範囲の共通項が大きいときである。逆に、アクセス主体が所有する権限範囲の共通項が小さい場合、またはそのアクセス主体のみが固有な権限を有する場合には、権限情報を明示化せず、アクセス主体を一意に識別する情報が権限情報を示すことが多い。前者の場合は、権限範囲を示すグループやロール(役割)という抽象化された情報を権限情報に用いるものが知られている(例えば、特許文献1,2参照。)。後者は、ユーザ名やユーザ識別子などを権限情報に用いるものが知られている。
【0005】
以上のようなアクセス制御ポリシは、文書ファイルなどの対象データへのアクセス主体を特定できる権限情報が記述される。このアクセス制御ポリシは対象データに付帯されて流通する。
【非特許文献1】Tim Moses、"OASIS eXtensible Access Control Markup Language (XACML) Version 2.0 "、OASIS Standard, 1 February 2005, [online]、 [2007年5月17日検索]、インターネット<URL:http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-core-spec-os.pdf
【特許文献1】特開2006−12117号公報(第39段落、図6)
【特許文献2】特開2000−207363号公報(要約書)
【特許文献3】特開2006−338587号公報(第60段落、図1)
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら以上のようなアクセス制御技術においては、問題点の一つとして、アクセス主体に関する権限情報がアクセス制御ポリシ中に現れる場合があることが挙げられる。例えば、非特許文献1においては、図13に示すように、アクセス制御ポリシのサブジェクト(Subject)要素1として、バート・シンプソン氏の電子メール名“bs@simpsons.com”の如き、アクセス主体を直接的に識別する権限情報2が記述されている(非特許文献1、第25頁目を参照)。
【0007】
ここで、アクセス主体に関する権限情報は、ユーザIDなどのユーザ識別子やユーザ名などのセンシティブ(機微)な情報であることが多い。しかしながら、アクセス制御ポリシが不特定多数の者から読み取り可能であると、アクセス主体に関する情報も不特定多数の者から読み取り可能になる。これはアクセス主体に関するセンシティブな情報が流出する不都合に繋がる。
【0008】
この不都合を解決する観点から、アクセス制御ポリシを暗号化等の処理により保護する技術が知られている(例えば、特許文献3参照。)。しかしながら、本発明者の考察によると、以下の課題1〜3が残されている。
【0009】
(第1の課題)
第1の課題は、アクセス制御ポリシを暗号化等の処理により保護すると、複数のシステム間でアクセス制御ポリシを共有する状況下では、システム数が多くなった場合に、鍵管理の煩雑さによる管理負担が増大することである。また、鍵が漏洩した場合には、アクセス制御ポリシに記述されたセンシティブな権限情報が漏えいしてしまう。
【0010】
(第2の課題)
第2の課題は、ユーザを隠蔽したグループやロールなどの権限情報は、管理コストを低減する観点から、各アクセス主体が持つ権限範囲の共通項が大きいときに適しており、各アクセス主体が持つ権限を同値化できないとき又は同値化できる数が少ないときには適さないと考えられることである。このため、アクセス制御ポリシの適用状況によっては、個別のアクセス主体の単位でアクセスを制御したい場合、アクセス制御ポリシにセンシティブな情報を記載せざるを得ず、情報漏えいのリスクを潜在的に抱え込むことになる。
【0011】
(第3の課題)
第3の課題は、アクセス制御ポリシ生成者が、アクセス主体に関する情報(ID情報)を管理する必要があることである。これは単一の管理ドメインの場合には問題ない。一方、複数の管理ドメイン(例えば、異なる企業組織間)の場合には、相手管理ドメインのアクセス主体の情報を管理する必要があるので、アクセス主体の情報に関する保護管理と情報の整合性維持に対するコストが大きくなると考えられる。
【0012】
本発明は上記実情を考慮してなされたもので、アクセス制御ポリシ内のアクセス主体の記述を暗号化せずにアクセス主体の情報を保護し得るポリシ生成装置、ポリシ評価装置、認証サーバ装置及びプログラムを提供することを目的とする。
【0013】
また、本発明の他の目的は、個別のアクセス主体の単位でアクセスを制御したい場合でも、情報漏えいのリスクを抱え込まないポリシ生成装置、ポリシ評価装置、認証サーバ装置及びプログラムを提供することにある。
【0014】
さらに、本発明の他の目的は、ポリシ生成者がアクセス主体に関する情報を管理する必要が無いポリシ生成装置及びプログラムを提供することにある。
【課題を解決するための手段】
【0015】
第1の発明は、アクセス主体者の身元情報を管理する認証サーバ装置に通信可能であり、いずれかの前記身元情報に対応するアクセス主体情報を含むアクセス制御ポリシを生成するためのポリシ生成装置であって、記憶手段と、前記身元情報の一覧取得要求を前記認証サーバ装置に送信する手段と、前記認証サーバ装置から受信した身元情報を一覧表示する手段と、ポリシ生成者の操作により、前記一覧表示された身元情報のうち、いずれかの身元情報を選択する手段と、前記選択された身元情報を含まない識別情報を算出する手段と、前記算出した識別情報を含み、前記選択された身元情報を含まない新たなID情報を作成し、当該新たなID情報を前記記憶手段に書き込む手段と、前記選択された身元情報と前記新たなID情報との連携要求を前記認証サーバ装置に送信する手段と、前記連携要求の送信に応じて、乱数情報からなる仮名情報を前記認証サーバ装置から受信する手段と、前記仮名情報と、前記認証サーバ装置の識別情報とを含む連携情報を含むように前記記憶手段内の新たなID情報を更新する手段と、前記連携情報内の仮名情報と、前記認証サーバ装置の識別情報とを含み、前記選択された身元情報を含まないアクセス主体情報を作成する手段と、前記作成したアクセス主体情報を含むアクセス制御ポリシを生成する手段と、を備えたポリシ生成装置である。
【0016】
第2の発明は、アクセス主体者の身元情報及び認証要素情報と、乱数情報からなる仮名情報と、ポリシ生成装置の識別情報とを管理する認証サーバ装置に通信可能なポリシ評価装置であって、記憶手段と、前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを取得する手段と、前記取得したアクセス制御ポリシのうち、前記仮名情報、前記認証サーバ装置の識別情報、及び前記ポリシ生成装置の識別情報を前記記憶手段に書き込む手段と、前記記憶手段内のポリシ生成装置の識別情報を含む認証要求を認証サーバ装置に送信する手段と、前記認証要求の送信後、前記認証サーバ装置から提示要求を受信すると、前記アクセス主体者の操作により、認証要素情報を前記認証サーバ装置に送信する手段と、前記認証要素情報の送信後、当該認証要素情報と前記ポリシ生成装置の識別情報とに対応する仮名情報を前記認証サーバ装置から受信する手段と、前記受信した仮名情報と、前記記憶手段内の仮名情報とを比較する手段と、前記比較の結果、両者が一致したとき、前記取得したアクセス制御ポリシを正当と評価する手段と、を備えたポリシ評価装置である。
【0017】
第3の発明は、ポリシ生成装置及びポリシ評価装置に通信可能な認証サーバ装置であって、アクセス主体者の身元情報及び認証要素情報を含むID情報を記憶する記憶手段と、前記身元情報の一覧取得要求を前記ポリシ生成装置から受信すると、前記記憶手段内の身元情報を前記ポリシ生成装置に送信する手段と、前記送信した身元情報のうち、前記ポリシ生成装置に選択された身元情報と、前記ポリシ生成装置内の当該身元情報を含まない新たなID情報との連携要求を前記ポリシ生成装置から受信する手段と、前記連携要求に応じて乱数情報からなる仮名情報を生成し、この仮名情報を前記ポリシ生成装置に送信する手段と、前記仮名情報と、前記ポリシ生成装置の識別情報とを含む連携情報を含むように、前記連携要求の身元情報に対応する前記記憶手段内のID情報を更新する手段と、前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを前記ポリシ評価装置が取得した場合、当該アクセス制御ポリシ内のポリシ生成装置の識別情報を含む認証要求を前記ポリシ評価装置から受信する手段と、前記認証要求に応じて、認証要素情報の提示要求を前記ポリシ評価装置に送信する手段と、前記認証サーバ装置から受信した認証要素情報と、前記記憶手段内の認証要素情報とを比較し、両者が一致したとき、認証処理を成功と判定する認証手段と、前記認証処理を成功と判定した認証要素情報と、前記認証要求内のポリシ生成装置の識別情報とに基づいて、前記記憶手段を検索する手段と、前記検索の結果、該当するID情報があるとき、このID情報に含まれる連携情報内の仮名情報を前記ポリシ評価装置に送信する手段と、を備えた認証サーバ装置である。
【0018】
なお、以上の各発明は、「装置」に限らず、「プログラム」、「プログラムを記憶したコンピュータ読み取り可能な記憶媒体」、「方法」として表現してもよい。
【0019】
(作用)
第1乃至第3の発明によれば、アクセス制御ポリシ内のアクセス主体情報が身元情報を含まないので、アクセス制御ポリシ内のアクセス主体の記述を暗号化せずにアクセス主体の情報を保護できる。
【0020】
また、アクセス制御ポリシ内のアクセス主体情報が仮名情報を含むので、個別のアクセス主体の単位でアクセスを制御したい場合でも、情報漏えいのリスクを解消できる。
【0021】
さらに、ポリシ生成装置が管理するID情報が身元情報を含まないので、ポリシ生成者がアクセス主体に関する情報を管理する必要が無い。
【発明の効果】
【0022】
以上説明したように本発明によれば、アクセス制御ポリシ内のアクセス主体の記述を暗号化せずにアクセス主体の情報を保護できる。個別のアクセス主体の単位でアクセスを制御したい場合でも、情報漏えいのリスクを解消できる。さらに、ポリシ生成者がアクセス主体に関する情報を管理する必要が無い。
【発明を実施するための最良の形態】
【0023】
以下、本発明の一実施形態について図面を用いて説明する。
図1は本発明の一実施形態に係る認証サーバ装置、ポリシ生成装置及びポリシ評価装置を適用したアクセス制御システムの構成を示す模式図である。このアクセス制御システムは、認証サーバ装置100、ポリシ生成装置200及びポリシ評価装置300がネットワークNwを介して接続された構成である。これら各装置200,200,300は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
【0024】
ここで、認証サーバ装置100は、具体的には図2に示すように、ID情報保存部101、ID情報連携管理部102、利用者認証部103、身元情報一覧提供部104、通信部105及び制御部106を備えている。
【0025】
ID情報保存部101は、各部102〜106から読出/書込可能な記憶装置であり、図3に示すように、アクセス主体(利用者)の身元情報と、認証要素情報と、連携情報とを含むID(アイデンティティ:Identity)情報10を保存するものである。
【0026】
ID情報10は、ユーザ識別子11a、氏名11b、役職情報11c、権限情報11d、パスワード11e、連携情報12、仮名情報13、ポリシ生成装置の識別情報14を含んでいる。ここで、身元情報とは、氏名や従業員番号などのように、アクセス主体を特定可能な属性情報を意味しており、ここでは氏名11b、役職情報11c、権限情報11dとしている。役職情報11cとは、例えば会社組織上の役職を示す情報である。権限情報11dとは、例えば特定グループに所属する旨や、特定のロール(役割)である旨を表す情報である。ロールとしては、ポリシ生成者によるポリシ設定を容易化する観点から、例えば資産管理者や文書ファイル管理者というように、アクセス可否に関係する役割であることが好ましい。認証要素情報とは、ポリシ評価装置300との間の認証処理に用いる情報であり、ここではユーザ識別子11a及びパスワード11eとしている。なお、身元情報及び認証要素情報は、アクセス制御ポリシの生成動作の開始よりも前に、予めID情報保存部101に保存されている。連携情報12は、アクセス制御ポリシの生成動作中にID情報保存部101に保存される。
【0027】
連携情報12とは、ポリシ生成装置200内のID情報と連携が維持されている旨を示す情報であり、維持されていない場合にはID情報10から削除されている。なお、認証サーバ装置100内のID情報保存部101に保存されるID情報は、身元情報を含むため、身元ID情報又は実名ID情報と呼んでもよい。
【0028】
ID情報連携管理部102は、身元情報一覧提供部104により通信部105から送信した身元情報のうち、ポリシ生成装置200に選択された身元情報と、ポリシ生成装置200内の当該身元情報を含まない新たなID情報との連携要求をポリシ生成装置200から通信部105を介して受信する機能と、連携要求に応じて乱数情報からなる仮名情報13を生成し、この仮名情報13を通信部105からポリシ生成装置200に送信する機能と、この仮名情報13と、ポリシ生成装置の識別情報14とを含む連携情報12を含むように、連携要求の身元情報に対応するID保存部101内のID情報10を更新する機能とをもっている。
【0029】
また、ID情報連携管理部102では、ID情報保存部101に対してID情報10の操作をも行う。ID情報10の操作とは、一般的にはアカウント(Account)と呼ばれるID情報10の最上位単位及び、ID情報10が保有する属性情報を作成、読出、変更、削除、無効化、有効化などを実行することを指す。
【0030】
利用者認証部103は、身元情報及び認証要素情報を含まず、且つ仮名情報と認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むようにポリシ生成装置200に生成されたアクセス制御ポリシをポリシ評価装置300が取得した場合、当該アクセス制御ポリシ内のポリシ生成装置の識別情報を含む認証要求をポリシ評価装置300から通信部105により受信する機能と、認証要求に応じて、認証要素情報の提示要求を通信部105からポリシ評価装置300に送信する機能と、ポリシ評価装置300から受信した認証要素情報と、ID情報保存部101内の認証要素情報とを比較し、両者が一致したとき、認証処理を成功と判定する認証機能と、認証処理を成功と判定した認証要素情報と、認証要求内のポリシ生成装置の識別情報とに基づいて、ID情報保存部101を検索する機能と、検索の結果、該当するID情報10があるとき、このID情報10に含まれる連携情報12内の仮名情報13を通信部105からポリシ評価装置300に送信する機能とをもっている。
【0031】
ここで、認証処理としては、任意の利用者認証方式を用いてよい。認証が成功したとき、送信する仮名情報は、認証情報に含まれる形式で送信されることが好ましい。この認証情報は、任意の形式で構わないが、好適にはOASIS SAML(Security Assertion Markup Language) V2.0仕様の認証アサーション形式等の標準化された規格または仕様で構築されることが望ましい。
【0032】
身元情報一覧提供部104は、身元情報の一覧取得要求をポリシ生成装置200から通信部105により受信すると、ID情報保存部101内の身元情報を通信部105からポリシ生成装置200に送信する機能をもっている。
【0033】
身元情報の一覧とは、ID情報保存部101内のID情報のうち、身元情報を一覧表示するための情報であり、図4に示すように、氏名や、役職情報、権限情報などの身元に関する属性情報を、各ID情報の単位で構成した情報である。身元情報一覧は、アクセス主体の候補を示す情報でもある。身元情報一覧に含める属性情報の種別は、ポリシ生成装置200と認証サーバ装置100の間で事前に決定されてもよく、ポリシ生成装置200からの要求により決定されてもよい。
【0034】
通信部105は、ポリシ生成装置200やポリシ評価装置300などの外部エンティティ装置との間での通信を行うものである。外部エンティティ装置との間での通信において、エンティティ認証を実行する場合は、この通信部105で行うことが望ましい。
【0035】
制御部106は、認証サーバ装置100内でのイベントやデータを制御するための機能部である。この制御部106を介して、各部101〜105に対して命令を実行したり、処理に必要なデータを受け渡したりする。なお、以下の説明では、説明を簡潔にする観点から、制御部106を介在する旨の記載を省略する。
【0036】
ポリシ生成装置200は、具体的には図5に示すように、ID情報保存部201、ID情報連携管理部202、身元情報取得部203、身元情報一覧部204、ポリシ生成部205、ポリシ出力部206、ユーザインタフェース部207、通信部208及び制御部209を備えている。
【0037】
ID情報保存部201は、各部202〜209から読出/書込可能な記憶装置であり、図6に示すように、アクセス主体の身元情報を含まないID情報20を保存するものである。ここで、ID情報20は、ユーザ識別子’21、連携情報22、仮名情報23、認証サーバ装置の識別情報24を含んでいる。
【0038】
ユーザ識別子’21は、ポリシ生成装置200により算出された識別情報である。
【0039】
連携情報22は、仮名情報23、認証サーバ装置の識別情報24を含んでいる。ここでの連携(ID連携)とは、2つ以上の異なるID情報を、前記連携情報により関連付けることを指す。例えば、あるID情報Aと、あるID情報Bが連携されたとすると、ID情報AとID情報Bとが有する連携情報に基づいて、互いに関連付けられたID情報を特定することができる。ただし、単独のID情報が有する連携情報、例えばID情報Aが有する連携情報のみでは、関連付けられた他のID情報(ID情報B)を特定することができないようにする。このため、後述する仮名情報23のような、それぞれのID情報から類推できない情報を用いて、ID情報を関連付けることを想定している。
【0040】
仮名情報23は、認証サーバ装置100とポリシ生成装置200で合意された一時的な識別情報である。本実施形態における例では、認証サーバ装置100とポリシ生成装置200とで一つの仮名(かめい)情報を利用し、認証サーバ装置100が仮名情報を決定している。ID連携の技術手段については、本実施形態で示す例以外の任意の技術手段をとってもよい。また、「仮名情報」は、「変名情報」又は「架空名義情報」など、「本名を伏せて仮につける名前を表す情報」であれば、任意の名称の情報に読み替えてもよい。
【0041】
認証サーバ装置の識別情報24は、認証サーバ装置100を一意に特定可能な識別情報である。そのような情報を表現する形式としては、URI(Uniform Resource Identifier)またはURL(Uniform Resource Locator)などが知られている。
【0042】
なお、ポリシ生成装置200内のID情報保存部201に保存されるID情報20は、仮名情報を含むため、仮名ID情報と呼んでもよい。
【0043】
ID情報連携管理部202は、ポリシ設定者により選択された身元情報と新たなID情報20との連携要求を通信部208から認証サーバ装置100に送信する機能と、連携要求の送信に応じて、乱数情報からなる仮名情報を認証サーバ装置から受信する機能と、この仮名情報23と、認証サーバ装置の識別情報24とを含む連携情報を含むようにID情報保存部201内の新たなID情報20を更新する機能とをもっている。本実施形態では、ID情報の連携例として、図3及び図6に示すような連携情報12,22を利用することを想定する。なお、図3及び図6中、仮名情報13,23は互いに同一の情報である。
【0044】
身元情報取得部203は、身元情報の一覧取得要求を通信部208から認証サーバ装置100に送信する機能をもっている。
【0045】
身元情報一覧部204は、認証サーバ装置100から通信部208により受信した身元情報をユーザインタフェース部207により一覧表示する機能とをもっている。なお、身元情報一覧は、一時的に取得される情報であり、ID情報保存部201に保存しないことが望ましい。
【0046】
ポリシ生成部205は、ポリシ設定者(ポリシ生成者)の操作により、一覧表示された身元情報のうち、いずれかの身元情報を選択する機能と、選択された身元情報がID情報保存部201に存在するかを検索する機能と、選択された身元情報を含まない識別情報(ユーザ識別子’21)を算出する機能と、算出した識別情報を含み、選択された身元情報を含まない新たなID情報20を作成し、当該新たなID情報20をID情報保存部201に書き込む機能と、ID保存部201の連携情報22内の仮名情報23と、認証サーバ装置の識別情報24とを含み、選択された身元情報を含まないアクセス主体情報25を作成する機能と、作成したアクセス主体情報25を含むアクセス制御ポリシPを生成する機能とをもっている。なお、選択された身元情報を含まない識別情報(ユーザ識別子’21)は、当該身元情報から一意に算出することが望ましい。
【0047】
アクセス制御ポリシPは、図7に示すように、アクセス主体情報25、仮名情報23’、認証サーバ装置の識別情報24’、アクション情報26、リソース情報27、ポリシ生成装置の識別情報28を備えている。なお、アクション情報26とは、例えば、読出処理又は書込処理の実行といった処理の実行内容を示している。リソース情報27とは、アクセス対象となる資源を示す情報であり、例えば特定のファイルを示すURL情報などである。上記以外の情報として、アクセス可否を判定するための時間や場所などの環境条件を示す環境情報や、アクセス可否を判定するための任意の条件を示すコンディション情報や、実行しなければならない行為内容を示す責務情報などを、アクセス制御ポリシPに記述してもよい。
【0048】
アクセス主体情報25は、XML(Extensible Markup Language)表記によりサブジェクト要素として記述された例を図8に示す。サブジェクト要素は、仮名情報23の値を含むXML表記の仮名情報23’と、認証サーバ装置の識別情報24の値を含むXML表記の認証サーバ装置の識別情報24’とを備えている。
【0049】
ポリシ出力部206は、ポリシを外部に出力するための機能部である。ポリシを出力する形態については、ポリシ評価装置300が取得可能な形態であればよい。好適には、ディレクトリサーバなどのリポジトリに格納して外部公開したり、ポリシを適用すべき対象データに付加したりすることなどが挙げられる。または、後述するポリシ生成装置200の通信部208を介して、メッセージ等でポリシを出力してもよい。
【0050】
ユーザインタフェース部207は、ポリシ生成装置200の利用者、すなわちポリシ設定者に対して、入力及び表示を実行するための機能部である。この機能部は、ポリシ生成装置200内の機能部だけでなく、一般的なWebシステムのWebブラウザや、クライアント/サーバシステムなどとして実現されてもよい。
【0051】
通信部208は、認証サーバ装置100やポリシ評価装置300などの外部エンティティ装置との通信を行うものである。外部エンティティ装置との間での通信において、エンティティ認証を実行する場合は、この通信部208で行うことが望ましい。
【0052】
制御部209は、ポリシ生成装置200内でのイベントやデータを制御するための機能部である。制御部209は、各部201〜208に対して命令を実行したり、処理に必要なデータを受け渡したりする。なお、以下の説明では、説明を簡潔にする観点から、制御部209を介在する旨の記載を省略する。
【0053】
ポリシ評価装置300は、ポリシ生成装置200により生成されたポリシを評価かつ実行する装置である。ポリシの評価対象者であるサブジェクトは、ポリシ評価装置300の利用者(以下、特別な記述がなければ、利用者という記述はこの利用者を指すものとする)となる。これに伴い、ポリシ評価装置300は、利用者装置又は利用者端末と呼んでもよい。
【0054】
ポリシ評価装置300は、具体的には図9に示すように、ポリシ保存部301、ポリシ取得部302、ポリシ解析部303、利用者認証クライアント部304、ポリシ評価部305、ポリシ実行部306、制御インタフェース部307、ユーザインタフェース部308、通信部309及び制御部310を備えている。
【0055】
ポリシ保存部301は、各部302〜310から読出/書込可能な記憶装置であり、アクセス制御ポリシ内の各情報23〜28を保存する。
【0056】
ポリシ取得部302は、身元情報及び認証要素情報を含まず、且つ仮名情報23と認証サーバ装置の識別情報24とを含むアクセス主体情報25と、ポリシ生成装置の識別情報28とを含むようにポリシ生成装置200に生成されたアクセス制御ポリシPを外部エンティティ装置から取得するための機能部である。なお、ここでは、アクセス制御ポリシPは他にもアクション情報26、リソース情報27を含んでいる。ポリシを取得する具体的な方式は、ポリシ生成装置200におけるポリシ出力部206の出力方式による。本実施形態では一例として、ポリシを適用すべき対象データより、ポリシを取得する例を説明する。
【0057】
ポリシ解析部303は、ポリシ取得部302が取得したアクセス制御ポリシPを解析し、アクセス制御ポリシPのうち、仮名情報23、認証サーバ装置の識別情報24、アクション情報26、リソース情報27、ポリシ生成装置の識別情報28をポリシ保存部301に書き込む機能をもっている。
【0058】
ポリシ解析部303は、例えば、ポリシがOASIS XACML V2.0などのXML表記で記述されている場合には、ポリシに記述される要素及び属性、その値らをオブジェクト構造として取得するような処理を行う。解析されたポリシに記述された情報は、ポリシ保存部301に書き込まれた後、利用者認証クライアント部304及びポリシ評価部305に渡される。
【0059】
利用者認証クライアント部304は、ポリシ保存部301内のポリシ生成装置の識別情報28を含む認証要求を通信部309から認証サーバ装置100に送信する機能と、認証要求の送信後、認証サーバ装置100から提示要求を通信部309により受信すると、アクセス主体者の操作により、認証要素情報(例、ユーザ識別子及びパスワード)を通信部309から認証サーバ装置100に送信する機能と、認証要素情報の送信後、当該認証要素情報(11a,11e)とポリシ生成装置の識別情報14とに対応する仮名情報13を認証サーバ装置100から通信部309により受信する機能と、受信した仮名情報13をポリシ評価部305に送出する機能とをもっている。
【0060】
ポリシ評価部305は、通信部309により受信した仮名情報13と、ポリシ保存部301内の仮名情報23とを比較する機能と、比較の結果、両者が一致したとき、取得したアクセス制御ポリシPを正当と評価する機能とをもっている。なお、アクセス制御ポリシに記述されるアクセス主体情報25の評価以外のアクション情報26及びリソース情報27の評価手段については任意の手段を用いればよい。
【0061】
ポリシ実行部306は、制御対象に対するアクセス要求が生じたときに、ポリシ評価部305にポリシ評価を依頼するための機能部である。また、ポリシ評価部305より得られたポリシの効果に従って、制御インタフェース部307を介して制御対象に対するアクションを制御する。制御対象に対するアクションは、任意の手段を介して取得されてよい。例えば、アプリケーションのイベントを取得するリスナー機能などを利用して、ポリシ実行部306が制御対象に対するアクションを取得する手段などが挙げられる。
【0062】
制御インタフェース部307は、ポリシ評価部305が出力したポリシの結果に基づいて、制御対象を制御するための機能部であり、ポリシ実行部306により操作される。
【0063】
ユーザインタフェース部308は、ポリシ評価装置300の利用者、すなわちポリシの対象となるリソースにアクセスを要求する利用者に対して、入力及び表示を実行するための機能部である。この機能部は、ポリシ評価装置300の利用者とのインタラクションが要求される場合にのみ配備すればよい。例えば、ポリシ評価の結果を利用者に還元する場合や、ポリシ実行部306に対して利用者が明示的に評価を要求する場合などである。
【0064】
通信部309は、認証サーバ装置100などの外部エンティティ装置との間での通信を行うものである。外部エンティティ装置との間での通信において、エンティティ認証を実行する場合は、この通信部309で行うことが望ましい。
【0065】
制御部310は、ポリシ評価装置300内でのイベントやデータを制御するための機能部である。この制御部310は、各部301〜309に対して命令を実行したり、処理に必要なデータを受け渡したりする。なお、以下の説明では、説明を簡潔にする観点から、制御部310を介在する旨の記載を省略する。
【0066】
次に、以上のようなアクセス制御システムの動作を図10乃至図12の図面を用いて説明する。
【0067】
(ポリシ生成動作;図10)
[ステップST1] ポリシ生成装置200では、ポリシ設定者の操作により、ユーザインタフェース部207が身元情報一覧取得要求を身元情報取得部203に入力する。
【0068】
[ステップST2] ポリシ生成装置200では、身元情報取得部203が、この身元情報一覧取得要求を通信部208から認証サーバ装置100に送信する。
【0069】
[ステップST3] 認証サーバ装置100では、身元情報一覧取得要求を通信部105により受信すると、身元情報一覧提供部102がID情報保存部101内のID情報のうち、身元情報を一覧表示するための身元情報一覧を作成する。しかる後、身元情報一覧提供部102は、この身元情報一覧を通信部105からポリシ生成装置200に送信する。
【0070】
[ステップST4] ポリシ生成装置200では、身元情報一覧を通信部208により受信すると、身元情報取得部203が身元情報一覧を身元情報一覧部204に送出する。
【0071】
身元情報一覧部204は、この身元情報一覧をユーザインタフェース部207に送出する。ユーザインタフェース部207は、この身元情報一覧を表示する。
【0072】
[ステップST5] ポリシ生成装置200では、身元情報一覧の表示中、ポリシ設定者の操作により、ユーザインタフェース部207が身元情報一覧からいずれかの身元情報を選択し、選択した身元情報をポリシ生成部205に送出する。
【0073】
また、ポリシ生成装置200では、ポリシ設定者の操作により、ユーザインタフェース部207が、アクション情報及びリソース情報などをポリシ生成部205に入力する。
【0074】
[ステップST6] ポリシ生成部205は、選択された身元情報と連携されるID情報が存在するかについて、ID情報保存部201を検索する。ここでは、選択された身元情報から一意に識別情報を算出し、当該算出した識別情報に基づいて検索する。例えば、選択された身元情報のハッシュ値を算出し、算出したハッシュ値を識別情報(ユーザ識別子’21)として用いている。なお、算出される識別情報は、ハッシュ値に限らず、選択された身元情報から一意に得られ、且つ選択された身元情報を含まない情報であれば、任意の識別情報が適用可能となっている。なお、選択された身元情報から一意に識別情報を利用せずに、仮名情報を利用してID情報保存部201を検索してもよい。仮名情報は、身元情報一覧で送信される身元情報の属性として含められてもよく、選択された身元情報を認証サーバ装置100に送信し、仮名情報を取得してもよい。その場合、[ステップST7]において、シーケンシャルな番号など、ポリシ生成装置200内で一意な識別情報を生成する。何れにしろ、選択された身元情報と連携されるID情報20が、ID情報保存部201に存在するかを確認できればよい。なお、検索の結果、選択された身元情報と連携されるID情報20がID情報保存部201に存在しない場合には、ステップST7へ遷移する。検索の結果、識別情報が既にID情報保存部201に存在するのであればステップST10へ遷移する。
【0075】
[ステップST7] ポリシ生成部205は、算出した識別情報を含み、選択された身元情報を含まない新たなID情報20を作成する。この新たなID情報20と、選択された身元情報とは、ポリシ生成部205からID情報連携管理部202に送出される。
【0076】
[ステップST8] ID情報連携管理部202は、ステップST5で選択された身元情報と、ステップ7の新たなID情報20との連携要求を通信部208から認証サーバ装置100に送信する。
【0077】
認証サーバ装置100では、連携要求を通信部105により受信すると、ID情報連携管理部102が、乱数情報からなる仮名情報13を生成する。この仮名情報13は、通信部105からポリシ生成装置200に送信される。なお、本実施形態で説明される連携方法については一例であり、その他任意の手段を用いてもよく、仮名情報13により互いのID情報10,20が連携されればよい。
【0078】
[ステップST9] 認証サーバ装置100では、ID情報連携管理部102が、仮名情報13と、ポリシ生成装置の識別情報14とを含む連携情報12を含むようにID情報保存部101内の該当ID情報10を更新する。
【0079】
ポリシ生成装置200では、仮名情報13を通信部208により受信すると、ID情報連携管理部202が、仮名情報13に同一の仮名情報23と、認証サーバ装置の識別情報24とを含む連携情報22を含むようにID情報保存部201内の新たなID情報20を更新する。これにより、互いの装置100,200に保存されたID情報10,20が関連付けられる。
【0080】
[ステップST10] ポリシ生成装置200では、ポリシ生成部205が、連携情報22内の仮名情報23及び認証サーバ装置の識別情報24を含み、選択した身元情報を含まないアクセス主体情報25を作成する。また、ポリシ生成部205は、このアクセス主体情報25と、ステップST5で入力されたアクション情報26及びリソース情報27と、ポリシ生成装置の識別情報28とに基づいて、アクセス制御ポリシPを生成する。
【0081】
[ステップST11] ポリシ生成装置200では、生成されたアクセス制御ポリシPをユーザインタフェース部207が出力する。
【0082】
[ステップST12] これにより、ポリシ生成装置200では、処理が完了した旨をポリシ設定者に通知する。これにより、ポリシ生成動作が完了する。
【0083】
(ポリシ実行動作;図11及び図12)
以下の説明では、ステップST9で格納した連携情報が維持されており、また任意の手段によってポリシ評価の動作が開始することを前提としている。例えば、ポリシ評価装置300では、利用者がポリシ評価を伴うアクセス要求を入力するようにユーザインタフェース部308を操作することにより、次のステップST21の動作が開始される。
【0084】
[ステップST21] ポリシ評価装置300では、ポリシ取得部302がアクセス制御ポリシPを取得する。例えば、ポリシ取得部302は、アクセス制御ポリシPが付帯する文書ファイルを文書管理サーバ(図示せず)からダウンロードすることにより、アクセス制御ポリシPを取得する。すなわち、アクセス制御ポリシPは、必ずしもポリシ生成装置200から直接にポリシ評価装置300に送信される必要はなく、最終的にポリシ評価装置300に取得されればよい。
【0085】
取得されたアクセス制御ポリシは、ポリシ取得部302からポリシ解析部303に送出される。ポリシ解析部303は、アクセス制御ポリシPを解析し、アクセス制御ポリシP内の仮名情報23、認証サーバ装置の識別情報24、アクション情報26、リソース情報27及びポリシ生成装置の識別情報28をポリシ保存部301に書き込む。ポリシ保存部301内の仮名情報23、認証サーバ装置の識別情報24、アクション情報26及びリソース情報27は、ポリシ解析部303からポリシ評価部305に送出される。また、ポリシ解析部303は、ポリシ保存部301内の認証サーバ装置の識別情報24と、ポリシ生成装置の識別情報28とは、ポリシ解析部303から利用者認証クライアント部304に送出される。
【0086】
[ステップST22] ポリシ評価装置300では、利用者認証クライアント部304が、この認証サーバ装置の識別情報24に基づいて、ポリシ生成装置の識別情報28を含む利用者認証要求を認証サーバ装置100に送信する。
【0087】
[ステップST23〜ST25] 認証サーバ装置100では、利用者認証要求を通信部105により受信すると、利用者認証部103が、図11に示すように、所定の利用者認証方式を実行する(ST23−1)。例えば、一般的なユーザ識別子とパスワードを用いた認証方式であれば、利用者認証部103は、通信部105を介してポリシ評価装置300の利用者にユーザ識別子とパスワードの提示を要求し、提示されたユーザ識別子及びパスワードをID情報保存部101内のユーザ識別子11a及びパスワード11eと比較し、認証が成功か否かを判断する(ST23−2)。認証が失敗した場合には、利用者認証部103は、認証が失敗した旨を通信部105からポリシ評価装置300に通知し、利用者認証をリトライするか(ST23−3)、又は全体の動作を終了する。
【0088】
一方、認証が成功した場合、利用者認証部103は、ID情報の連携情報12を確認する(ST24−1)。具体的には、利用者認証部103は、提示されたユーザ識別子11aと利用者認証要求内のポリシ生成装置の識別情報28とに基づいて、利用者のID情報10を検索することにより、連携情報12が維持されているかを判定する(ST24−2)。
【0089】
この判定の結果、ID情報の連携が維持されていない場合には、連携が維持されていない旨を通信部105からポリシ評価装置300に通知し(ST24−3)、全体の動作を終了する。連携が維持されていない場合としては、例えば、あらかじめポリシ生成装置200又は認証サーバ装置100が連携情報を削除するように他方の装置100,200に要求し、両者の連携情報12,22が削除された場合などがある。
【0090】
一方、ステップST24−2の判定の結果、ID情報の連携が維持されている場合には、認証サーバ装置100では、利用者認証部103がID情報保存部101内の仮名情報13を含む認証情報を生成し(ST25−1)、この認証情報を通信部105からポリシ評価装置300に送信する(ST25−2)。
【0091】
[ステップST26] ポリシ評価装置300では、認証情報を通信部309が受信すると、ポリシ評価部305が、この認証情報内の仮名情報13と、ポリシ解析部303から受けた仮名情報23とを比較し、両者が一致したとき、アクセス制御ポリシPを正当と評価する。
【0092】
アクセス制御ポリシPが正当でない場合、ポリシ評価部305は、アクセス制御ポリシPが正当でない旨をユーザインタフェース部308に送出し、処理を終了する。
【0093】
一方、アクセス制御ポリシPが正当の場合、ポリシ評価部305は、制御対象に対するアクセス要求と、ポリシ解析部303から受けたアクション情報26及びリソース情報27とに基づいて、アクセスの可否を判定し、判定結果をポリシ実行部306に送出する。
【0094】
[ステップST27] ポリシ実行部306は、アクセス可否の判定結果に応じて、制御対象を制御する。例えば、判定結果が、特定リソースへのアクセス要求に対して許可(PERMIT)を示すものであれば、制御対象となる特定リソースへのアクセスを行うアプリケーションに対して、アクセスを許可させる。逆に、判定結果が、特定リソースへのアクセス要求に対して拒否(DENY)を示すものであれば、制御対象となる特定リソースへのアクセスを行うアプリケーションに対して、アクセスを拒否させる。これらの制御内容は、ポリシの記述内容に依存して決定される。
【0095】
上述したように本実施形態によれば、アクセス制御ポリシP内のアクセス主体情報25が身元情報を含まないので、アクセス制御ポリシ内のアクセス主体の記述を暗号化せずにアクセス主体の情報を保護できる。
【0096】
また、アクセス制御ポリシP内のアクセス主体情報25が仮名情報23を含むので、個別のアクセス主体の単位でアクセスを制御したい場合でも、情報漏えいのリスクを解消できる。
【0097】
さらに、ポリシ生成装置200が管理するID情報20が身元情報を含まないので、ポリシ生成者がアクセス主体に関する情報を管理する必要が無い。
【0098】
補足すると、本実施形態では、アクセス主体の単位でアクセス制御を行う必要がある場合に、アクセス制御ポリシの中に直接的にアクセス主体を特定可能な識別情報を記述するかわりに、単体ではアクセス主体を特定不可能な一時的な識別情報を用いることにより、アクセス制御ポリシ上でアクセス主体に関する情報を保護することができる。これにより、アクセス制御ポリシを公開的な共有情報として取り扱うことができ、アクセス制御ポリシを暗号化などで隠蔽するような場合と比較して、暗号化鍵の漏えいなどのセキュリティリスクを排除しつつ、アクセス制御ポリシの広範囲な適用を期待することができる。
【0099】
また、本実施形態は、ポリシ生成装置200と認証サーバ装置100とのID情報が連携している場合を説明したが、これに限らず、何れかの装置200,100が連携情報を削除するように他の装置100,200に要求すると連携情報が削除され、連携が解除される。
【0100】
この連携解除により、認証サーバ装置100では、ステップST24−2がNOとなるので、ポリシ評価装置300において、アクセス制御ポリシPが正当と評価されない。すなわち、ポリシ生成者(ポリシ生成装置利用者)及びユーザ管理者(認証サーバ装置管理者)の双方から、アクセス制御ポリシ内に記述されるアクセス主体を無効化することができる。
【0101】
また、連携を解除する方法は、連携情報の削除を要求する方式に限らず、例えば、予め連携情報有効期限を連携情報12,22に含めておき、認証サーバ装置100が認証時に連携情報有効期限を過ぎてない旨を確認する方式としてもよい。
【0102】
なお、本実施形態で説明した認証サーバ装置100とポリシ生成装置200とは、同一の装置上で実現されてもよい。
【0103】
また、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0104】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0105】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0106】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0107】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0108】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0109】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0110】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0111】
【図1】本発明の一実施形態に係るアクセス制御システムの構成を示す模式図である。
【図2】同実施形態における認証サーバ装置の構成を示す模式図である。
【図3】同実施形態における認証サーバ装置内のID情報保存部の構成を示す模式図である。
【図4】同実施形態におけるID情報一覧を説明するための模式図である。
【図5】同実施形態におけるポリシ生成装置の構成を示す模式図である。
【図6】同実施形態におけるポリシ生成装置内のID情報保存部の構成を示す模式図である。
【図7】同実施形態におけるポリシ情報を説明するための模式図である。
【図8】同実施形態におけるポリシ情報のサブジェクト要素の記述例を示す模式図である。
【図9】同実施形態におけるポリシ評価装置の構成を示す模式図である。
【図10】同実施形態におけるポリシ生成動作を説明するためのシーケンス図である。
【図11】同実施形態におけるポリシ実行動作を説明するためのシーケンス図である。
【図12】同実施形態における認証サーバ装置の動作を説明するためのフローチャートである。
【図13】従来のアクセス制御ポリシを説明するための模式図である。
【符号の説明】
【0112】
10,20…ID情報、11a…ユーザ識別子、11b…氏名、11c…役職情報、11d…権限情報、11e…パスワード、12,22…連携情報、13,23,23’…仮名情報、14,28…ポリシ生成装置の識別情報、21…ユーザ識別子’、24,24’…認証サーバ装置の識別情報、P…アクセス制御ポリシ、25…アクセス主体情報、26…アクション情報、27…リソース情報、100…認証サーバ装置、101,201…ID情報保存部、102,202…ID情報連携管理部、103…利用者認証部、104…身元情報一覧提供部、105,208,309…通信部、106,209,310…制御部、200…ポリシ生成装置、203…身元情報取得部、204…身元情報一覧部、205…ポリシ生成部、206…ポリシ出力部、207,308…ユーザインタフェース部、300…ポリシ評価装置、301…ポリシ保存部、302…ポリシ取得部、303…ポリシ解析部、304…利用者認証クライアント部、305…ポリシ評価部、306…ポリシ実行部、307…制御インタフェース部、Nw…ネットワーク。
【技術分野】
【0001】
本発明は、例えば、アクセス制御ポリシ内のアクセス主体の記述を暗号化せずにアクセス主体の情報を保護し得るポリシ生成装置、ポリシ評価装置、認証サーバ装置及びプログラムに関する。
【背景技術】
【0002】
近年、特定の情報や処理へのアクセスに対する制御を、権限情報に基づいて実行するアクセス制御技術の重要性が大きく高まってきている。
【0003】
アクセス制御技術によれば、アクセス制御ルールまたはアクセス制御ポリシに基づいて、個人情報などの重要な情報を読出できるか否か、承認処理といった重要な処理を実行できるか否かを決定可能となっている。アクセス制御ルールは、アクセス主体(又はサブジェクト)が所有する権限情報と、権限情報とアクション(処理実行)の可否パターン情報とからなる。アクセス制御ポリシは、一般的にアクセス制御ルールの集合として考えられる。アクセス制御ポリシの標準的な記述仕様として産業標準仕様も登場してきており(例えば、非特許文献1参照。)、アクセス制御ポリシが広く利用されるようになってきている。
【0004】
権限情報は、アクセス主体により要求されたアクションが許可されるか否かを判断するための基準情報であり、アクションが許可される対象を示している。通常、権限情報を明示的に定義する場合は、アクセス主体が所有する権限範囲の共通項が大きいときである。逆に、アクセス主体が所有する権限範囲の共通項が小さい場合、またはそのアクセス主体のみが固有な権限を有する場合には、権限情報を明示化せず、アクセス主体を一意に識別する情報が権限情報を示すことが多い。前者の場合は、権限範囲を示すグループやロール(役割)という抽象化された情報を権限情報に用いるものが知られている(例えば、特許文献1,2参照。)。後者は、ユーザ名やユーザ識別子などを権限情報に用いるものが知られている。
【0005】
以上のようなアクセス制御ポリシは、文書ファイルなどの対象データへのアクセス主体を特定できる権限情報が記述される。このアクセス制御ポリシは対象データに付帯されて流通する。
【非特許文献1】Tim Moses、"OASIS eXtensible Access Control Markup Language (XACML) Version 2.0 "、OASIS Standard, 1 February 2005, [online]、 [2007年5月17日検索]、インターネット<URL:http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-core-spec-os.pdf
【特許文献1】特開2006−12117号公報(第39段落、図6)
【特許文献2】特開2000−207363号公報(要約書)
【特許文献3】特開2006−338587号公報(第60段落、図1)
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら以上のようなアクセス制御技術においては、問題点の一つとして、アクセス主体に関する権限情報がアクセス制御ポリシ中に現れる場合があることが挙げられる。例えば、非特許文献1においては、図13に示すように、アクセス制御ポリシのサブジェクト(Subject)要素1として、バート・シンプソン氏の電子メール名“bs@simpsons.com”の如き、アクセス主体を直接的に識別する権限情報2が記述されている(非特許文献1、第25頁目を参照)。
【0007】
ここで、アクセス主体に関する権限情報は、ユーザIDなどのユーザ識別子やユーザ名などのセンシティブ(機微)な情報であることが多い。しかしながら、アクセス制御ポリシが不特定多数の者から読み取り可能であると、アクセス主体に関する情報も不特定多数の者から読み取り可能になる。これはアクセス主体に関するセンシティブな情報が流出する不都合に繋がる。
【0008】
この不都合を解決する観点から、アクセス制御ポリシを暗号化等の処理により保護する技術が知られている(例えば、特許文献3参照。)。しかしながら、本発明者の考察によると、以下の課題1〜3が残されている。
【0009】
(第1の課題)
第1の課題は、アクセス制御ポリシを暗号化等の処理により保護すると、複数のシステム間でアクセス制御ポリシを共有する状況下では、システム数が多くなった場合に、鍵管理の煩雑さによる管理負担が増大することである。また、鍵が漏洩した場合には、アクセス制御ポリシに記述されたセンシティブな権限情報が漏えいしてしまう。
【0010】
(第2の課題)
第2の課題は、ユーザを隠蔽したグループやロールなどの権限情報は、管理コストを低減する観点から、各アクセス主体が持つ権限範囲の共通項が大きいときに適しており、各アクセス主体が持つ権限を同値化できないとき又は同値化できる数が少ないときには適さないと考えられることである。このため、アクセス制御ポリシの適用状況によっては、個別のアクセス主体の単位でアクセスを制御したい場合、アクセス制御ポリシにセンシティブな情報を記載せざるを得ず、情報漏えいのリスクを潜在的に抱え込むことになる。
【0011】
(第3の課題)
第3の課題は、アクセス制御ポリシ生成者が、アクセス主体に関する情報(ID情報)を管理する必要があることである。これは単一の管理ドメインの場合には問題ない。一方、複数の管理ドメイン(例えば、異なる企業組織間)の場合には、相手管理ドメインのアクセス主体の情報を管理する必要があるので、アクセス主体の情報に関する保護管理と情報の整合性維持に対するコストが大きくなると考えられる。
【0012】
本発明は上記実情を考慮してなされたもので、アクセス制御ポリシ内のアクセス主体の記述を暗号化せずにアクセス主体の情報を保護し得るポリシ生成装置、ポリシ評価装置、認証サーバ装置及びプログラムを提供することを目的とする。
【0013】
また、本発明の他の目的は、個別のアクセス主体の単位でアクセスを制御したい場合でも、情報漏えいのリスクを抱え込まないポリシ生成装置、ポリシ評価装置、認証サーバ装置及びプログラムを提供することにある。
【0014】
さらに、本発明の他の目的は、ポリシ生成者がアクセス主体に関する情報を管理する必要が無いポリシ生成装置及びプログラムを提供することにある。
【課題を解決するための手段】
【0015】
第1の発明は、アクセス主体者の身元情報を管理する認証サーバ装置に通信可能であり、いずれかの前記身元情報に対応するアクセス主体情報を含むアクセス制御ポリシを生成するためのポリシ生成装置であって、記憶手段と、前記身元情報の一覧取得要求を前記認証サーバ装置に送信する手段と、前記認証サーバ装置から受信した身元情報を一覧表示する手段と、ポリシ生成者の操作により、前記一覧表示された身元情報のうち、いずれかの身元情報を選択する手段と、前記選択された身元情報を含まない識別情報を算出する手段と、前記算出した識別情報を含み、前記選択された身元情報を含まない新たなID情報を作成し、当該新たなID情報を前記記憶手段に書き込む手段と、前記選択された身元情報と前記新たなID情報との連携要求を前記認証サーバ装置に送信する手段と、前記連携要求の送信に応じて、乱数情報からなる仮名情報を前記認証サーバ装置から受信する手段と、前記仮名情報と、前記認証サーバ装置の識別情報とを含む連携情報を含むように前記記憶手段内の新たなID情報を更新する手段と、前記連携情報内の仮名情報と、前記認証サーバ装置の識別情報とを含み、前記選択された身元情報を含まないアクセス主体情報を作成する手段と、前記作成したアクセス主体情報を含むアクセス制御ポリシを生成する手段と、を備えたポリシ生成装置である。
【0016】
第2の発明は、アクセス主体者の身元情報及び認証要素情報と、乱数情報からなる仮名情報と、ポリシ生成装置の識別情報とを管理する認証サーバ装置に通信可能なポリシ評価装置であって、記憶手段と、前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを取得する手段と、前記取得したアクセス制御ポリシのうち、前記仮名情報、前記認証サーバ装置の識別情報、及び前記ポリシ生成装置の識別情報を前記記憶手段に書き込む手段と、前記記憶手段内のポリシ生成装置の識別情報を含む認証要求を認証サーバ装置に送信する手段と、前記認証要求の送信後、前記認証サーバ装置から提示要求を受信すると、前記アクセス主体者の操作により、認証要素情報を前記認証サーバ装置に送信する手段と、前記認証要素情報の送信後、当該認証要素情報と前記ポリシ生成装置の識別情報とに対応する仮名情報を前記認証サーバ装置から受信する手段と、前記受信した仮名情報と、前記記憶手段内の仮名情報とを比較する手段と、前記比較の結果、両者が一致したとき、前記取得したアクセス制御ポリシを正当と評価する手段と、を備えたポリシ評価装置である。
【0017】
第3の発明は、ポリシ生成装置及びポリシ評価装置に通信可能な認証サーバ装置であって、アクセス主体者の身元情報及び認証要素情報を含むID情報を記憶する記憶手段と、前記身元情報の一覧取得要求を前記ポリシ生成装置から受信すると、前記記憶手段内の身元情報を前記ポリシ生成装置に送信する手段と、前記送信した身元情報のうち、前記ポリシ生成装置に選択された身元情報と、前記ポリシ生成装置内の当該身元情報を含まない新たなID情報との連携要求を前記ポリシ生成装置から受信する手段と、前記連携要求に応じて乱数情報からなる仮名情報を生成し、この仮名情報を前記ポリシ生成装置に送信する手段と、前記仮名情報と、前記ポリシ生成装置の識別情報とを含む連携情報を含むように、前記連携要求の身元情報に対応する前記記憶手段内のID情報を更新する手段と、前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを前記ポリシ評価装置が取得した場合、当該アクセス制御ポリシ内のポリシ生成装置の識別情報を含む認証要求を前記ポリシ評価装置から受信する手段と、前記認証要求に応じて、認証要素情報の提示要求を前記ポリシ評価装置に送信する手段と、前記認証サーバ装置から受信した認証要素情報と、前記記憶手段内の認証要素情報とを比較し、両者が一致したとき、認証処理を成功と判定する認証手段と、前記認証処理を成功と判定した認証要素情報と、前記認証要求内のポリシ生成装置の識別情報とに基づいて、前記記憶手段を検索する手段と、前記検索の結果、該当するID情報があるとき、このID情報に含まれる連携情報内の仮名情報を前記ポリシ評価装置に送信する手段と、を備えた認証サーバ装置である。
【0018】
なお、以上の各発明は、「装置」に限らず、「プログラム」、「プログラムを記憶したコンピュータ読み取り可能な記憶媒体」、「方法」として表現してもよい。
【0019】
(作用)
第1乃至第3の発明によれば、アクセス制御ポリシ内のアクセス主体情報が身元情報を含まないので、アクセス制御ポリシ内のアクセス主体の記述を暗号化せずにアクセス主体の情報を保護できる。
【0020】
また、アクセス制御ポリシ内のアクセス主体情報が仮名情報を含むので、個別のアクセス主体の単位でアクセスを制御したい場合でも、情報漏えいのリスクを解消できる。
【0021】
さらに、ポリシ生成装置が管理するID情報が身元情報を含まないので、ポリシ生成者がアクセス主体に関する情報を管理する必要が無い。
【発明の効果】
【0022】
以上説明したように本発明によれば、アクセス制御ポリシ内のアクセス主体の記述を暗号化せずにアクセス主体の情報を保護できる。個別のアクセス主体の単位でアクセスを制御したい場合でも、情報漏えいのリスクを解消できる。さらに、ポリシ生成者がアクセス主体に関する情報を管理する必要が無い。
【発明を実施するための最良の形態】
【0023】
以下、本発明の一実施形態について図面を用いて説明する。
図1は本発明の一実施形態に係る認証サーバ装置、ポリシ生成装置及びポリシ評価装置を適用したアクセス制御システムの構成を示す模式図である。このアクセス制御システムは、認証サーバ装置100、ポリシ生成装置200及びポリシ評価装置300がネットワークNwを介して接続された構成である。これら各装置200,200,300は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
【0024】
ここで、認証サーバ装置100は、具体的には図2に示すように、ID情報保存部101、ID情報連携管理部102、利用者認証部103、身元情報一覧提供部104、通信部105及び制御部106を備えている。
【0025】
ID情報保存部101は、各部102〜106から読出/書込可能な記憶装置であり、図3に示すように、アクセス主体(利用者)の身元情報と、認証要素情報と、連携情報とを含むID(アイデンティティ:Identity)情報10を保存するものである。
【0026】
ID情報10は、ユーザ識別子11a、氏名11b、役職情報11c、権限情報11d、パスワード11e、連携情報12、仮名情報13、ポリシ生成装置の識別情報14を含んでいる。ここで、身元情報とは、氏名や従業員番号などのように、アクセス主体を特定可能な属性情報を意味しており、ここでは氏名11b、役職情報11c、権限情報11dとしている。役職情報11cとは、例えば会社組織上の役職を示す情報である。権限情報11dとは、例えば特定グループに所属する旨や、特定のロール(役割)である旨を表す情報である。ロールとしては、ポリシ生成者によるポリシ設定を容易化する観点から、例えば資産管理者や文書ファイル管理者というように、アクセス可否に関係する役割であることが好ましい。認証要素情報とは、ポリシ評価装置300との間の認証処理に用いる情報であり、ここではユーザ識別子11a及びパスワード11eとしている。なお、身元情報及び認証要素情報は、アクセス制御ポリシの生成動作の開始よりも前に、予めID情報保存部101に保存されている。連携情報12は、アクセス制御ポリシの生成動作中にID情報保存部101に保存される。
【0027】
連携情報12とは、ポリシ生成装置200内のID情報と連携が維持されている旨を示す情報であり、維持されていない場合にはID情報10から削除されている。なお、認証サーバ装置100内のID情報保存部101に保存されるID情報は、身元情報を含むため、身元ID情報又は実名ID情報と呼んでもよい。
【0028】
ID情報連携管理部102は、身元情報一覧提供部104により通信部105から送信した身元情報のうち、ポリシ生成装置200に選択された身元情報と、ポリシ生成装置200内の当該身元情報を含まない新たなID情報との連携要求をポリシ生成装置200から通信部105を介して受信する機能と、連携要求に応じて乱数情報からなる仮名情報13を生成し、この仮名情報13を通信部105からポリシ生成装置200に送信する機能と、この仮名情報13と、ポリシ生成装置の識別情報14とを含む連携情報12を含むように、連携要求の身元情報に対応するID保存部101内のID情報10を更新する機能とをもっている。
【0029】
また、ID情報連携管理部102では、ID情報保存部101に対してID情報10の操作をも行う。ID情報10の操作とは、一般的にはアカウント(Account)と呼ばれるID情報10の最上位単位及び、ID情報10が保有する属性情報を作成、読出、変更、削除、無効化、有効化などを実行することを指す。
【0030】
利用者認証部103は、身元情報及び認証要素情報を含まず、且つ仮名情報と認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むようにポリシ生成装置200に生成されたアクセス制御ポリシをポリシ評価装置300が取得した場合、当該アクセス制御ポリシ内のポリシ生成装置の識別情報を含む認証要求をポリシ評価装置300から通信部105により受信する機能と、認証要求に応じて、認証要素情報の提示要求を通信部105からポリシ評価装置300に送信する機能と、ポリシ評価装置300から受信した認証要素情報と、ID情報保存部101内の認証要素情報とを比較し、両者が一致したとき、認証処理を成功と判定する認証機能と、認証処理を成功と判定した認証要素情報と、認証要求内のポリシ生成装置の識別情報とに基づいて、ID情報保存部101を検索する機能と、検索の結果、該当するID情報10があるとき、このID情報10に含まれる連携情報12内の仮名情報13を通信部105からポリシ評価装置300に送信する機能とをもっている。
【0031】
ここで、認証処理としては、任意の利用者認証方式を用いてよい。認証が成功したとき、送信する仮名情報は、認証情報に含まれる形式で送信されることが好ましい。この認証情報は、任意の形式で構わないが、好適にはOASIS SAML(Security Assertion Markup Language) V2.0仕様の認証アサーション形式等の標準化された規格または仕様で構築されることが望ましい。
【0032】
身元情報一覧提供部104は、身元情報の一覧取得要求をポリシ生成装置200から通信部105により受信すると、ID情報保存部101内の身元情報を通信部105からポリシ生成装置200に送信する機能をもっている。
【0033】
身元情報の一覧とは、ID情報保存部101内のID情報のうち、身元情報を一覧表示するための情報であり、図4に示すように、氏名や、役職情報、権限情報などの身元に関する属性情報を、各ID情報の単位で構成した情報である。身元情報一覧は、アクセス主体の候補を示す情報でもある。身元情報一覧に含める属性情報の種別は、ポリシ生成装置200と認証サーバ装置100の間で事前に決定されてもよく、ポリシ生成装置200からの要求により決定されてもよい。
【0034】
通信部105は、ポリシ生成装置200やポリシ評価装置300などの外部エンティティ装置との間での通信を行うものである。外部エンティティ装置との間での通信において、エンティティ認証を実行する場合は、この通信部105で行うことが望ましい。
【0035】
制御部106は、認証サーバ装置100内でのイベントやデータを制御するための機能部である。この制御部106を介して、各部101〜105に対して命令を実行したり、処理に必要なデータを受け渡したりする。なお、以下の説明では、説明を簡潔にする観点から、制御部106を介在する旨の記載を省略する。
【0036】
ポリシ生成装置200は、具体的には図5に示すように、ID情報保存部201、ID情報連携管理部202、身元情報取得部203、身元情報一覧部204、ポリシ生成部205、ポリシ出力部206、ユーザインタフェース部207、通信部208及び制御部209を備えている。
【0037】
ID情報保存部201は、各部202〜209から読出/書込可能な記憶装置であり、図6に示すように、アクセス主体の身元情報を含まないID情報20を保存するものである。ここで、ID情報20は、ユーザ識別子’21、連携情報22、仮名情報23、認証サーバ装置の識別情報24を含んでいる。
【0038】
ユーザ識別子’21は、ポリシ生成装置200により算出された識別情報である。
【0039】
連携情報22は、仮名情報23、認証サーバ装置の識別情報24を含んでいる。ここでの連携(ID連携)とは、2つ以上の異なるID情報を、前記連携情報により関連付けることを指す。例えば、あるID情報Aと、あるID情報Bが連携されたとすると、ID情報AとID情報Bとが有する連携情報に基づいて、互いに関連付けられたID情報を特定することができる。ただし、単独のID情報が有する連携情報、例えばID情報Aが有する連携情報のみでは、関連付けられた他のID情報(ID情報B)を特定することができないようにする。このため、後述する仮名情報23のような、それぞれのID情報から類推できない情報を用いて、ID情報を関連付けることを想定している。
【0040】
仮名情報23は、認証サーバ装置100とポリシ生成装置200で合意された一時的な識別情報である。本実施形態における例では、認証サーバ装置100とポリシ生成装置200とで一つの仮名(かめい)情報を利用し、認証サーバ装置100が仮名情報を決定している。ID連携の技術手段については、本実施形態で示す例以外の任意の技術手段をとってもよい。また、「仮名情報」は、「変名情報」又は「架空名義情報」など、「本名を伏せて仮につける名前を表す情報」であれば、任意の名称の情報に読み替えてもよい。
【0041】
認証サーバ装置の識別情報24は、認証サーバ装置100を一意に特定可能な識別情報である。そのような情報を表現する形式としては、URI(Uniform Resource Identifier)またはURL(Uniform Resource Locator)などが知られている。
【0042】
なお、ポリシ生成装置200内のID情報保存部201に保存されるID情報20は、仮名情報を含むため、仮名ID情報と呼んでもよい。
【0043】
ID情報連携管理部202は、ポリシ設定者により選択された身元情報と新たなID情報20との連携要求を通信部208から認証サーバ装置100に送信する機能と、連携要求の送信に応じて、乱数情報からなる仮名情報を認証サーバ装置から受信する機能と、この仮名情報23と、認証サーバ装置の識別情報24とを含む連携情報を含むようにID情報保存部201内の新たなID情報20を更新する機能とをもっている。本実施形態では、ID情報の連携例として、図3及び図6に示すような連携情報12,22を利用することを想定する。なお、図3及び図6中、仮名情報13,23は互いに同一の情報である。
【0044】
身元情報取得部203は、身元情報の一覧取得要求を通信部208から認証サーバ装置100に送信する機能をもっている。
【0045】
身元情報一覧部204は、認証サーバ装置100から通信部208により受信した身元情報をユーザインタフェース部207により一覧表示する機能とをもっている。なお、身元情報一覧は、一時的に取得される情報であり、ID情報保存部201に保存しないことが望ましい。
【0046】
ポリシ生成部205は、ポリシ設定者(ポリシ生成者)の操作により、一覧表示された身元情報のうち、いずれかの身元情報を選択する機能と、選択された身元情報がID情報保存部201に存在するかを検索する機能と、選択された身元情報を含まない識別情報(ユーザ識別子’21)を算出する機能と、算出した識別情報を含み、選択された身元情報を含まない新たなID情報20を作成し、当該新たなID情報20をID情報保存部201に書き込む機能と、ID保存部201の連携情報22内の仮名情報23と、認証サーバ装置の識別情報24とを含み、選択された身元情報を含まないアクセス主体情報25を作成する機能と、作成したアクセス主体情報25を含むアクセス制御ポリシPを生成する機能とをもっている。なお、選択された身元情報を含まない識別情報(ユーザ識別子’21)は、当該身元情報から一意に算出することが望ましい。
【0047】
アクセス制御ポリシPは、図7に示すように、アクセス主体情報25、仮名情報23’、認証サーバ装置の識別情報24’、アクション情報26、リソース情報27、ポリシ生成装置の識別情報28を備えている。なお、アクション情報26とは、例えば、読出処理又は書込処理の実行といった処理の実行内容を示している。リソース情報27とは、アクセス対象となる資源を示す情報であり、例えば特定のファイルを示すURL情報などである。上記以外の情報として、アクセス可否を判定するための時間や場所などの環境条件を示す環境情報や、アクセス可否を判定するための任意の条件を示すコンディション情報や、実行しなければならない行為内容を示す責務情報などを、アクセス制御ポリシPに記述してもよい。
【0048】
アクセス主体情報25は、XML(Extensible Markup Language)表記によりサブジェクト要素として記述された例を図8に示す。サブジェクト要素は、仮名情報23の値を含むXML表記の仮名情報23’と、認証サーバ装置の識別情報24の値を含むXML表記の認証サーバ装置の識別情報24’とを備えている。
【0049】
ポリシ出力部206は、ポリシを外部に出力するための機能部である。ポリシを出力する形態については、ポリシ評価装置300が取得可能な形態であればよい。好適には、ディレクトリサーバなどのリポジトリに格納して外部公開したり、ポリシを適用すべき対象データに付加したりすることなどが挙げられる。または、後述するポリシ生成装置200の通信部208を介して、メッセージ等でポリシを出力してもよい。
【0050】
ユーザインタフェース部207は、ポリシ生成装置200の利用者、すなわちポリシ設定者に対して、入力及び表示を実行するための機能部である。この機能部は、ポリシ生成装置200内の機能部だけでなく、一般的なWebシステムのWebブラウザや、クライアント/サーバシステムなどとして実現されてもよい。
【0051】
通信部208は、認証サーバ装置100やポリシ評価装置300などの外部エンティティ装置との通信を行うものである。外部エンティティ装置との間での通信において、エンティティ認証を実行する場合は、この通信部208で行うことが望ましい。
【0052】
制御部209は、ポリシ生成装置200内でのイベントやデータを制御するための機能部である。制御部209は、各部201〜208に対して命令を実行したり、処理に必要なデータを受け渡したりする。なお、以下の説明では、説明を簡潔にする観点から、制御部209を介在する旨の記載を省略する。
【0053】
ポリシ評価装置300は、ポリシ生成装置200により生成されたポリシを評価かつ実行する装置である。ポリシの評価対象者であるサブジェクトは、ポリシ評価装置300の利用者(以下、特別な記述がなければ、利用者という記述はこの利用者を指すものとする)となる。これに伴い、ポリシ評価装置300は、利用者装置又は利用者端末と呼んでもよい。
【0054】
ポリシ評価装置300は、具体的には図9に示すように、ポリシ保存部301、ポリシ取得部302、ポリシ解析部303、利用者認証クライアント部304、ポリシ評価部305、ポリシ実行部306、制御インタフェース部307、ユーザインタフェース部308、通信部309及び制御部310を備えている。
【0055】
ポリシ保存部301は、各部302〜310から読出/書込可能な記憶装置であり、アクセス制御ポリシ内の各情報23〜28を保存する。
【0056】
ポリシ取得部302は、身元情報及び認証要素情報を含まず、且つ仮名情報23と認証サーバ装置の識別情報24とを含むアクセス主体情報25と、ポリシ生成装置の識別情報28とを含むようにポリシ生成装置200に生成されたアクセス制御ポリシPを外部エンティティ装置から取得するための機能部である。なお、ここでは、アクセス制御ポリシPは他にもアクション情報26、リソース情報27を含んでいる。ポリシを取得する具体的な方式は、ポリシ生成装置200におけるポリシ出力部206の出力方式による。本実施形態では一例として、ポリシを適用すべき対象データより、ポリシを取得する例を説明する。
【0057】
ポリシ解析部303は、ポリシ取得部302が取得したアクセス制御ポリシPを解析し、アクセス制御ポリシPのうち、仮名情報23、認証サーバ装置の識別情報24、アクション情報26、リソース情報27、ポリシ生成装置の識別情報28をポリシ保存部301に書き込む機能をもっている。
【0058】
ポリシ解析部303は、例えば、ポリシがOASIS XACML V2.0などのXML表記で記述されている場合には、ポリシに記述される要素及び属性、その値らをオブジェクト構造として取得するような処理を行う。解析されたポリシに記述された情報は、ポリシ保存部301に書き込まれた後、利用者認証クライアント部304及びポリシ評価部305に渡される。
【0059】
利用者認証クライアント部304は、ポリシ保存部301内のポリシ生成装置の識別情報28を含む認証要求を通信部309から認証サーバ装置100に送信する機能と、認証要求の送信後、認証サーバ装置100から提示要求を通信部309により受信すると、アクセス主体者の操作により、認証要素情報(例、ユーザ識別子及びパスワード)を通信部309から認証サーバ装置100に送信する機能と、認証要素情報の送信後、当該認証要素情報(11a,11e)とポリシ生成装置の識別情報14とに対応する仮名情報13を認証サーバ装置100から通信部309により受信する機能と、受信した仮名情報13をポリシ評価部305に送出する機能とをもっている。
【0060】
ポリシ評価部305は、通信部309により受信した仮名情報13と、ポリシ保存部301内の仮名情報23とを比較する機能と、比較の結果、両者が一致したとき、取得したアクセス制御ポリシPを正当と評価する機能とをもっている。なお、アクセス制御ポリシに記述されるアクセス主体情報25の評価以外のアクション情報26及びリソース情報27の評価手段については任意の手段を用いればよい。
【0061】
ポリシ実行部306は、制御対象に対するアクセス要求が生じたときに、ポリシ評価部305にポリシ評価を依頼するための機能部である。また、ポリシ評価部305より得られたポリシの効果に従って、制御インタフェース部307を介して制御対象に対するアクションを制御する。制御対象に対するアクションは、任意の手段を介して取得されてよい。例えば、アプリケーションのイベントを取得するリスナー機能などを利用して、ポリシ実行部306が制御対象に対するアクションを取得する手段などが挙げられる。
【0062】
制御インタフェース部307は、ポリシ評価部305が出力したポリシの結果に基づいて、制御対象を制御するための機能部であり、ポリシ実行部306により操作される。
【0063】
ユーザインタフェース部308は、ポリシ評価装置300の利用者、すなわちポリシの対象となるリソースにアクセスを要求する利用者に対して、入力及び表示を実行するための機能部である。この機能部は、ポリシ評価装置300の利用者とのインタラクションが要求される場合にのみ配備すればよい。例えば、ポリシ評価の結果を利用者に還元する場合や、ポリシ実行部306に対して利用者が明示的に評価を要求する場合などである。
【0064】
通信部309は、認証サーバ装置100などの外部エンティティ装置との間での通信を行うものである。外部エンティティ装置との間での通信において、エンティティ認証を実行する場合は、この通信部309で行うことが望ましい。
【0065】
制御部310は、ポリシ評価装置300内でのイベントやデータを制御するための機能部である。この制御部310は、各部301〜309に対して命令を実行したり、処理に必要なデータを受け渡したりする。なお、以下の説明では、説明を簡潔にする観点から、制御部310を介在する旨の記載を省略する。
【0066】
次に、以上のようなアクセス制御システムの動作を図10乃至図12の図面を用いて説明する。
【0067】
(ポリシ生成動作;図10)
[ステップST1] ポリシ生成装置200では、ポリシ設定者の操作により、ユーザインタフェース部207が身元情報一覧取得要求を身元情報取得部203に入力する。
【0068】
[ステップST2] ポリシ生成装置200では、身元情報取得部203が、この身元情報一覧取得要求を通信部208から認証サーバ装置100に送信する。
【0069】
[ステップST3] 認証サーバ装置100では、身元情報一覧取得要求を通信部105により受信すると、身元情報一覧提供部102がID情報保存部101内のID情報のうち、身元情報を一覧表示するための身元情報一覧を作成する。しかる後、身元情報一覧提供部102は、この身元情報一覧を通信部105からポリシ生成装置200に送信する。
【0070】
[ステップST4] ポリシ生成装置200では、身元情報一覧を通信部208により受信すると、身元情報取得部203が身元情報一覧を身元情報一覧部204に送出する。
【0071】
身元情報一覧部204は、この身元情報一覧をユーザインタフェース部207に送出する。ユーザインタフェース部207は、この身元情報一覧を表示する。
【0072】
[ステップST5] ポリシ生成装置200では、身元情報一覧の表示中、ポリシ設定者の操作により、ユーザインタフェース部207が身元情報一覧からいずれかの身元情報を選択し、選択した身元情報をポリシ生成部205に送出する。
【0073】
また、ポリシ生成装置200では、ポリシ設定者の操作により、ユーザインタフェース部207が、アクション情報及びリソース情報などをポリシ生成部205に入力する。
【0074】
[ステップST6] ポリシ生成部205は、選択された身元情報と連携されるID情報が存在するかについて、ID情報保存部201を検索する。ここでは、選択された身元情報から一意に識別情報を算出し、当該算出した識別情報に基づいて検索する。例えば、選択された身元情報のハッシュ値を算出し、算出したハッシュ値を識別情報(ユーザ識別子’21)として用いている。なお、算出される識別情報は、ハッシュ値に限らず、選択された身元情報から一意に得られ、且つ選択された身元情報を含まない情報であれば、任意の識別情報が適用可能となっている。なお、選択された身元情報から一意に識別情報を利用せずに、仮名情報を利用してID情報保存部201を検索してもよい。仮名情報は、身元情報一覧で送信される身元情報の属性として含められてもよく、選択された身元情報を認証サーバ装置100に送信し、仮名情報を取得してもよい。その場合、[ステップST7]において、シーケンシャルな番号など、ポリシ生成装置200内で一意な識別情報を生成する。何れにしろ、選択された身元情報と連携されるID情報20が、ID情報保存部201に存在するかを確認できればよい。なお、検索の結果、選択された身元情報と連携されるID情報20がID情報保存部201に存在しない場合には、ステップST7へ遷移する。検索の結果、識別情報が既にID情報保存部201に存在するのであればステップST10へ遷移する。
【0075】
[ステップST7] ポリシ生成部205は、算出した識別情報を含み、選択された身元情報を含まない新たなID情報20を作成する。この新たなID情報20と、選択された身元情報とは、ポリシ生成部205からID情報連携管理部202に送出される。
【0076】
[ステップST8] ID情報連携管理部202は、ステップST5で選択された身元情報と、ステップ7の新たなID情報20との連携要求を通信部208から認証サーバ装置100に送信する。
【0077】
認証サーバ装置100では、連携要求を通信部105により受信すると、ID情報連携管理部102が、乱数情報からなる仮名情報13を生成する。この仮名情報13は、通信部105からポリシ生成装置200に送信される。なお、本実施形態で説明される連携方法については一例であり、その他任意の手段を用いてもよく、仮名情報13により互いのID情報10,20が連携されればよい。
【0078】
[ステップST9] 認証サーバ装置100では、ID情報連携管理部102が、仮名情報13と、ポリシ生成装置の識別情報14とを含む連携情報12を含むようにID情報保存部101内の該当ID情報10を更新する。
【0079】
ポリシ生成装置200では、仮名情報13を通信部208により受信すると、ID情報連携管理部202が、仮名情報13に同一の仮名情報23と、認証サーバ装置の識別情報24とを含む連携情報22を含むようにID情報保存部201内の新たなID情報20を更新する。これにより、互いの装置100,200に保存されたID情報10,20が関連付けられる。
【0080】
[ステップST10] ポリシ生成装置200では、ポリシ生成部205が、連携情報22内の仮名情報23及び認証サーバ装置の識別情報24を含み、選択した身元情報を含まないアクセス主体情報25を作成する。また、ポリシ生成部205は、このアクセス主体情報25と、ステップST5で入力されたアクション情報26及びリソース情報27と、ポリシ生成装置の識別情報28とに基づいて、アクセス制御ポリシPを生成する。
【0081】
[ステップST11] ポリシ生成装置200では、生成されたアクセス制御ポリシPをユーザインタフェース部207が出力する。
【0082】
[ステップST12] これにより、ポリシ生成装置200では、処理が完了した旨をポリシ設定者に通知する。これにより、ポリシ生成動作が完了する。
【0083】
(ポリシ実行動作;図11及び図12)
以下の説明では、ステップST9で格納した連携情報が維持されており、また任意の手段によってポリシ評価の動作が開始することを前提としている。例えば、ポリシ評価装置300では、利用者がポリシ評価を伴うアクセス要求を入力するようにユーザインタフェース部308を操作することにより、次のステップST21の動作が開始される。
【0084】
[ステップST21] ポリシ評価装置300では、ポリシ取得部302がアクセス制御ポリシPを取得する。例えば、ポリシ取得部302は、アクセス制御ポリシPが付帯する文書ファイルを文書管理サーバ(図示せず)からダウンロードすることにより、アクセス制御ポリシPを取得する。すなわち、アクセス制御ポリシPは、必ずしもポリシ生成装置200から直接にポリシ評価装置300に送信される必要はなく、最終的にポリシ評価装置300に取得されればよい。
【0085】
取得されたアクセス制御ポリシは、ポリシ取得部302からポリシ解析部303に送出される。ポリシ解析部303は、アクセス制御ポリシPを解析し、アクセス制御ポリシP内の仮名情報23、認証サーバ装置の識別情報24、アクション情報26、リソース情報27及びポリシ生成装置の識別情報28をポリシ保存部301に書き込む。ポリシ保存部301内の仮名情報23、認証サーバ装置の識別情報24、アクション情報26及びリソース情報27は、ポリシ解析部303からポリシ評価部305に送出される。また、ポリシ解析部303は、ポリシ保存部301内の認証サーバ装置の識別情報24と、ポリシ生成装置の識別情報28とは、ポリシ解析部303から利用者認証クライアント部304に送出される。
【0086】
[ステップST22] ポリシ評価装置300では、利用者認証クライアント部304が、この認証サーバ装置の識別情報24に基づいて、ポリシ生成装置の識別情報28を含む利用者認証要求を認証サーバ装置100に送信する。
【0087】
[ステップST23〜ST25] 認証サーバ装置100では、利用者認証要求を通信部105により受信すると、利用者認証部103が、図11に示すように、所定の利用者認証方式を実行する(ST23−1)。例えば、一般的なユーザ識別子とパスワードを用いた認証方式であれば、利用者認証部103は、通信部105を介してポリシ評価装置300の利用者にユーザ識別子とパスワードの提示を要求し、提示されたユーザ識別子及びパスワードをID情報保存部101内のユーザ識別子11a及びパスワード11eと比較し、認証が成功か否かを判断する(ST23−2)。認証が失敗した場合には、利用者認証部103は、認証が失敗した旨を通信部105からポリシ評価装置300に通知し、利用者認証をリトライするか(ST23−3)、又は全体の動作を終了する。
【0088】
一方、認証が成功した場合、利用者認証部103は、ID情報の連携情報12を確認する(ST24−1)。具体的には、利用者認証部103は、提示されたユーザ識別子11aと利用者認証要求内のポリシ生成装置の識別情報28とに基づいて、利用者のID情報10を検索することにより、連携情報12が維持されているかを判定する(ST24−2)。
【0089】
この判定の結果、ID情報の連携が維持されていない場合には、連携が維持されていない旨を通信部105からポリシ評価装置300に通知し(ST24−3)、全体の動作を終了する。連携が維持されていない場合としては、例えば、あらかじめポリシ生成装置200又は認証サーバ装置100が連携情報を削除するように他方の装置100,200に要求し、両者の連携情報12,22が削除された場合などがある。
【0090】
一方、ステップST24−2の判定の結果、ID情報の連携が維持されている場合には、認証サーバ装置100では、利用者認証部103がID情報保存部101内の仮名情報13を含む認証情報を生成し(ST25−1)、この認証情報を通信部105からポリシ評価装置300に送信する(ST25−2)。
【0091】
[ステップST26] ポリシ評価装置300では、認証情報を通信部309が受信すると、ポリシ評価部305が、この認証情報内の仮名情報13と、ポリシ解析部303から受けた仮名情報23とを比較し、両者が一致したとき、アクセス制御ポリシPを正当と評価する。
【0092】
アクセス制御ポリシPが正当でない場合、ポリシ評価部305は、アクセス制御ポリシPが正当でない旨をユーザインタフェース部308に送出し、処理を終了する。
【0093】
一方、アクセス制御ポリシPが正当の場合、ポリシ評価部305は、制御対象に対するアクセス要求と、ポリシ解析部303から受けたアクション情報26及びリソース情報27とに基づいて、アクセスの可否を判定し、判定結果をポリシ実行部306に送出する。
【0094】
[ステップST27] ポリシ実行部306は、アクセス可否の判定結果に応じて、制御対象を制御する。例えば、判定結果が、特定リソースへのアクセス要求に対して許可(PERMIT)を示すものであれば、制御対象となる特定リソースへのアクセスを行うアプリケーションに対して、アクセスを許可させる。逆に、判定結果が、特定リソースへのアクセス要求に対して拒否(DENY)を示すものであれば、制御対象となる特定リソースへのアクセスを行うアプリケーションに対して、アクセスを拒否させる。これらの制御内容は、ポリシの記述内容に依存して決定される。
【0095】
上述したように本実施形態によれば、アクセス制御ポリシP内のアクセス主体情報25が身元情報を含まないので、アクセス制御ポリシ内のアクセス主体の記述を暗号化せずにアクセス主体の情報を保護できる。
【0096】
また、アクセス制御ポリシP内のアクセス主体情報25が仮名情報23を含むので、個別のアクセス主体の単位でアクセスを制御したい場合でも、情報漏えいのリスクを解消できる。
【0097】
さらに、ポリシ生成装置200が管理するID情報20が身元情報を含まないので、ポリシ生成者がアクセス主体に関する情報を管理する必要が無い。
【0098】
補足すると、本実施形態では、アクセス主体の単位でアクセス制御を行う必要がある場合に、アクセス制御ポリシの中に直接的にアクセス主体を特定可能な識別情報を記述するかわりに、単体ではアクセス主体を特定不可能な一時的な識別情報を用いることにより、アクセス制御ポリシ上でアクセス主体に関する情報を保護することができる。これにより、アクセス制御ポリシを公開的な共有情報として取り扱うことができ、アクセス制御ポリシを暗号化などで隠蔽するような場合と比較して、暗号化鍵の漏えいなどのセキュリティリスクを排除しつつ、アクセス制御ポリシの広範囲な適用を期待することができる。
【0099】
また、本実施形態は、ポリシ生成装置200と認証サーバ装置100とのID情報が連携している場合を説明したが、これに限らず、何れかの装置200,100が連携情報を削除するように他の装置100,200に要求すると連携情報が削除され、連携が解除される。
【0100】
この連携解除により、認証サーバ装置100では、ステップST24−2がNOとなるので、ポリシ評価装置300において、アクセス制御ポリシPが正当と評価されない。すなわち、ポリシ生成者(ポリシ生成装置利用者)及びユーザ管理者(認証サーバ装置管理者)の双方から、アクセス制御ポリシ内に記述されるアクセス主体を無効化することができる。
【0101】
また、連携を解除する方法は、連携情報の削除を要求する方式に限らず、例えば、予め連携情報有効期限を連携情報12,22に含めておき、認証サーバ装置100が認証時に連携情報有効期限を過ぎてない旨を確認する方式としてもよい。
【0102】
なお、本実施形態で説明した認証サーバ装置100とポリシ生成装置200とは、同一の装置上で実現されてもよい。
【0103】
また、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0104】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0105】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0106】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0107】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0108】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0109】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0110】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0111】
【図1】本発明の一実施形態に係るアクセス制御システムの構成を示す模式図である。
【図2】同実施形態における認証サーバ装置の構成を示す模式図である。
【図3】同実施形態における認証サーバ装置内のID情報保存部の構成を示す模式図である。
【図4】同実施形態におけるID情報一覧を説明するための模式図である。
【図5】同実施形態におけるポリシ生成装置の構成を示す模式図である。
【図6】同実施形態におけるポリシ生成装置内のID情報保存部の構成を示す模式図である。
【図7】同実施形態におけるポリシ情報を説明するための模式図である。
【図8】同実施形態におけるポリシ情報のサブジェクト要素の記述例を示す模式図である。
【図9】同実施形態におけるポリシ評価装置の構成を示す模式図である。
【図10】同実施形態におけるポリシ生成動作を説明するためのシーケンス図である。
【図11】同実施形態におけるポリシ実行動作を説明するためのシーケンス図である。
【図12】同実施形態における認証サーバ装置の動作を説明するためのフローチャートである。
【図13】従来のアクセス制御ポリシを説明するための模式図である。
【符号の説明】
【0112】
10,20…ID情報、11a…ユーザ識別子、11b…氏名、11c…役職情報、11d…権限情報、11e…パスワード、12,22…連携情報、13,23,23’…仮名情報、14,28…ポリシ生成装置の識別情報、21…ユーザ識別子’、24,24’…認証サーバ装置の識別情報、P…アクセス制御ポリシ、25…アクセス主体情報、26…アクション情報、27…リソース情報、100…認証サーバ装置、101,201…ID情報保存部、102,202…ID情報連携管理部、103…利用者認証部、104…身元情報一覧提供部、105,208,309…通信部、106,209,310…制御部、200…ポリシ生成装置、203…身元情報取得部、204…身元情報一覧部、205…ポリシ生成部、206…ポリシ出力部、207,308…ユーザインタフェース部、300…ポリシ評価装置、301…ポリシ保存部、302…ポリシ取得部、303…ポリシ解析部、304…利用者認証クライアント部、305…ポリシ評価部、306…ポリシ実行部、307…制御インタフェース部、Nw…ネットワーク。
【特許請求の範囲】
【請求項1】
アクセス主体者の身元情報を管理する認証サーバ装置に通信可能であり、いずれかの前記身元情報に対応するアクセス主体情報を含むアクセス制御ポリシを生成するためのポリシ生成装置であって、
前記身元情報の一覧取得要求を前記認証サーバ装置に送信する手段と、
前記認証サーバ装置から受信した身元情報を一覧表示する手段と、
前記一覧表示された身元情報のうち、いずれかの身元情報を選択する手段と、
前記選択された身元情報を含まない識別情報を算出する手段と、
前記算出した識別情報を含み、前記選択された身元情報を含まない新たなID情報を作成し、当該新たなID情報を記憶手段に書き込む手段と、
前記選択された身元情報と前記新たなID情報との連携要求を前記認証サーバ装置に送信する手段と、
前記連携要求の送信に応じて、乱数情報からなる仮名情報を前記認証サーバ装置から受信する手段と、
前記仮名情報と、前記認証サーバ装置の識別情報とを含む連携情報を含むように前記記憶手段内の新たなID情報を更新する手段と、
前記連携情報内の仮名情報と、前記認証サーバ装置の識別情報とを含み、前記選択された身元情報を含まないアクセス主体情報を作成する手段と、
前記作成したアクセス主体情報を含むアクセス制御ポリシを生成する手段と、
を備えたことを特徴とするポリシ生成装置。
【請求項2】
アクセス主体者の身元情報及び認証要素情報と、乱数情報からなる仮名情報と、ポリシ生成装置の識別情報とを管理する認証サーバ装置に通信可能なポリシ評価装置であって、
前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを取得する手段と、
前記取得したアクセス制御ポリシのうち、前記仮名情報、前記認証サーバ装置の識別情報、及び前記ポリシ生成装置の識別情報を記憶手段に書き込む手段と、
前記記憶手段内のポリシ生成装置の識別情報を含む認証要求を認証サーバ装置に送信する手段と、
前記認証要求の送信後、前記認証サーバ装置から提示要求を受信すると、認証要素情報を前記認証サーバ装置に送信する手段と、
前記認証要素情報の送信後、当該認証要素情報と前記ポリシ生成装置の識別情報とに対応する仮名情報を前記認証サーバ装置から受信する手段と、
前記受信した仮名情報と、前記記憶手段内の仮名情報とを比較する手段と、
前記比較の結果、両者が一致したとき、前記取得したアクセス制御ポリシを正当と評価する手段と、
を備えたことを特徴とするポリシ評価装置。
【請求項3】
ポリシ生成装置及びポリシ評価装置に通信可能な認証サーバ装置であって、
アクセス主体者の身元情報及び認証要素情報を含むID情報を記憶する記憶手段と、
前記身元情報の一覧取得要求を前記ポリシ生成装置から受信すると、前記記憶手段内の身元情報を前記ポリシ生成装置に送信する手段と、
前記送信した身元情報のうち、前記ポリシ生成装置に選択された身元情報と、前記ポリシ生成装置内の当該身元情報を含まない新たなID情報との連携要求を前記ポリシ生成装置から受信する手段と、
前記連携要求に応じて乱数情報からなる仮名情報を生成し、この仮名情報を前記ポリシ生成装置に送信する手段と、
前記仮名情報と、前記ポリシ生成装置の識別情報とを含む連携情報を含むように、前記連携要求の身元情報に対応する前記記憶手段内のID情報を更新する手段と、
前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを前記ポリシ評価装置が取得した場合、当該アクセス制御ポリシ内のポリシ生成装置の識別情報を含む認証要求を前記ポリシ評価装置から受信する手段と、
前記認証要求に応じて、認証要素情報の提示要求を前記ポリシ評価装置に送信する手段と、
前記認証サーバ装置から受信した認証要素情報と、前記記憶手段内の認証要素情報とを比較し、両者が一致したとき、認証処理を成功と判定する認証手段と、
前記認証処理を成功と判定した認証要素情報と、前記認証要求内のポリシ生成装置の識別情報とに基づいて、前記記憶手段を検索する手段と、
前記検索の結果、該当するID情報があるとき、このID情報に含まれる連携情報内の仮名情報を前記ポリシ評価装置に送信する手段と、
を備えたことを特徴とする認証サーバ装置。
【請求項4】
アクセス主体者の身元情報を管理する認証サーバ装置に通信可能であり、いずれかの前記身元情報に対応するアクセス主体情報を含むアクセス制御ポリシを生成するためのポリシ生成装置のプログラムであって、
前記ポリシ生成装置を、
前記身元情報の一覧取得要求を前記認証サーバ装置に送信する手段、
前記認証サーバ装置から受信した身元情報を一覧表示する手段、
前記一覧表示された身元情報のうち、いずれかの身元情報を選択する手段、
前記選択された身元情報を含まない識別情報を算出する手段、
前記算出した識別情報を含み、前記選択された身元情報を含まない新たなID情報を作成し、当該新たなID情報を前記ポリシ生成装置の記憶手段に書き込む手段、
前記選択された身元情報と前記新たなID情報との連携要求を前記認証サーバ装置に送信する手段、
前記連携要求の送信に応じて、乱数情報からなる仮名情報を前記認証サーバ装置から受信する手段、
前記仮名情報と、前記認証サーバ装置の識別情報とを含む連携情報を含むように前記記憶手段内の新たなID情報を更新する手段、
前記連携情報内の仮名情報と、前記認証サーバ装置の識別情報とを含み、前記選択された身元情報を含まないアクセス主体情報を作成する手段、
前記作成したアクセス主体情報を含むアクセス制御ポリシを生成する手段、
として機能させるためのプログラム。
【請求項5】
アクセス主体者の身元情報及び認証要素情報と、乱数情報からなる仮名情報と、ポリシ生成装置の識別情報とを管理する認証サーバ装置に通信可能なポリシ評価装置のプログラムであって、
前記ポリシ評価装置を、
前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを取得する手段、
前記取得したアクセス制御ポリシのうち、前記仮名情報、前記認証サーバ装置の識別情報、及び前記ポリシ生成装置の識別情報を前記ポリシ評価装置の記憶手段に書き込む手段、
前記記憶手段内のポリシ生成装置の識別情報を含む認証要求を認証サーバ装置に送信する手段、
前記認証要求の送信後、前記認証サーバ装置から提示要求を受信すると、認証要素情報を前記認証サーバ装置に送信する手段、
前記認証要素情報の送信後、当該認証要素情報と前記ポリシ生成装置の識別情報とに対応する仮名情報を前記認証サーバ装置から受信する手段、
前記受信した仮名情報と、前記記憶手段内の仮名情報とを比較する手段、
前記比較の結果、両者が一致したとき、前記取得したアクセス制御ポリシを正当と評価する手段、
として機能させるためのプログラム。
【請求項6】
ポリシ生成装置及びポリシ評価装置に通信可能な認証サーバ装置のプログラムであって、
前記認証サーバ装置を、
アクセス主体者の身元情報及び認証要素情報を含むID情報を前記認証サーバ装置の記憶手段に書き込む手段、
前記身元情報の一覧取得要求を前記ポリシ生成装置から受信すると、前記記憶手段内の身元情報を前記ポリシ生成装置に送信する手段、
前記送信した身元情報のうち、前記ポリシ生成装置に選択された身元情報と、前記ポリシ生成装置内の当該身元情報を含まない新たなID情報との連携要求を前記ポリシ生成装置から受信する手段、
前記連携要求に応じて乱数情報からなる仮名情報を生成し、この仮名情報を前記ポリシ生成装置に送信する手段、
前記仮名情報と、前記ポリシ生成装置の識別情報とを含む連携情報を含むように、前記連携要求の身元情報に対応する前記記憶手段内のID情報を更新する手段、
前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを前記ポリシ評価装置が取得した場合、当該アクセス制御ポリシ内のポリシ生成装置の識別情報を含む認証要求を前記ポリシ評価装置から受信する手段、
前記認証要求に応じて、認証要素情報の提示要求を前記ポリシ評価装置に送信する手段、
前記認証サーバ装置から受信した認証要素情報と、前記記憶手段内の認証要素情報とを比較し、両者が一致したとき、認証処理を成功と判定する認証手段、
前記認証処理を成功と判定した認証要素情報と、前記認証要求内のポリシ生成装置の識別情報とに基づいて、前記記憶手段を検索する手段、
前記検索の結果、該当するID情報があるとき、このID情報に含まれる連携情報内の仮名情報を前記ポリシ評価装置に送信する手段、
として機能させるためのプログラム。
【請求項1】
アクセス主体者の身元情報を管理する認証サーバ装置に通信可能であり、いずれかの前記身元情報に対応するアクセス主体情報を含むアクセス制御ポリシを生成するためのポリシ生成装置であって、
前記身元情報の一覧取得要求を前記認証サーバ装置に送信する手段と、
前記認証サーバ装置から受信した身元情報を一覧表示する手段と、
前記一覧表示された身元情報のうち、いずれかの身元情報を選択する手段と、
前記選択された身元情報を含まない識別情報を算出する手段と、
前記算出した識別情報を含み、前記選択された身元情報を含まない新たなID情報を作成し、当該新たなID情報を記憶手段に書き込む手段と、
前記選択された身元情報と前記新たなID情報との連携要求を前記認証サーバ装置に送信する手段と、
前記連携要求の送信に応じて、乱数情報からなる仮名情報を前記認証サーバ装置から受信する手段と、
前記仮名情報と、前記認証サーバ装置の識別情報とを含む連携情報を含むように前記記憶手段内の新たなID情報を更新する手段と、
前記連携情報内の仮名情報と、前記認証サーバ装置の識別情報とを含み、前記選択された身元情報を含まないアクセス主体情報を作成する手段と、
前記作成したアクセス主体情報を含むアクセス制御ポリシを生成する手段と、
を備えたことを特徴とするポリシ生成装置。
【請求項2】
アクセス主体者の身元情報及び認証要素情報と、乱数情報からなる仮名情報と、ポリシ生成装置の識別情報とを管理する認証サーバ装置に通信可能なポリシ評価装置であって、
前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを取得する手段と、
前記取得したアクセス制御ポリシのうち、前記仮名情報、前記認証サーバ装置の識別情報、及び前記ポリシ生成装置の識別情報を記憶手段に書き込む手段と、
前記記憶手段内のポリシ生成装置の識別情報を含む認証要求を認証サーバ装置に送信する手段と、
前記認証要求の送信後、前記認証サーバ装置から提示要求を受信すると、認証要素情報を前記認証サーバ装置に送信する手段と、
前記認証要素情報の送信後、当該認証要素情報と前記ポリシ生成装置の識別情報とに対応する仮名情報を前記認証サーバ装置から受信する手段と、
前記受信した仮名情報と、前記記憶手段内の仮名情報とを比較する手段と、
前記比較の結果、両者が一致したとき、前記取得したアクセス制御ポリシを正当と評価する手段と、
を備えたことを特徴とするポリシ評価装置。
【請求項3】
ポリシ生成装置及びポリシ評価装置に通信可能な認証サーバ装置であって、
アクセス主体者の身元情報及び認証要素情報を含むID情報を記憶する記憶手段と、
前記身元情報の一覧取得要求を前記ポリシ生成装置から受信すると、前記記憶手段内の身元情報を前記ポリシ生成装置に送信する手段と、
前記送信した身元情報のうち、前記ポリシ生成装置に選択された身元情報と、前記ポリシ生成装置内の当該身元情報を含まない新たなID情報との連携要求を前記ポリシ生成装置から受信する手段と、
前記連携要求に応じて乱数情報からなる仮名情報を生成し、この仮名情報を前記ポリシ生成装置に送信する手段と、
前記仮名情報と、前記ポリシ生成装置の識別情報とを含む連携情報を含むように、前記連携要求の身元情報に対応する前記記憶手段内のID情報を更新する手段と、
前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを前記ポリシ評価装置が取得した場合、当該アクセス制御ポリシ内のポリシ生成装置の識別情報を含む認証要求を前記ポリシ評価装置から受信する手段と、
前記認証要求に応じて、認証要素情報の提示要求を前記ポリシ評価装置に送信する手段と、
前記認証サーバ装置から受信した認証要素情報と、前記記憶手段内の認証要素情報とを比較し、両者が一致したとき、認証処理を成功と判定する認証手段と、
前記認証処理を成功と判定した認証要素情報と、前記認証要求内のポリシ生成装置の識別情報とに基づいて、前記記憶手段を検索する手段と、
前記検索の結果、該当するID情報があるとき、このID情報に含まれる連携情報内の仮名情報を前記ポリシ評価装置に送信する手段と、
を備えたことを特徴とする認証サーバ装置。
【請求項4】
アクセス主体者の身元情報を管理する認証サーバ装置に通信可能であり、いずれかの前記身元情報に対応するアクセス主体情報を含むアクセス制御ポリシを生成するためのポリシ生成装置のプログラムであって、
前記ポリシ生成装置を、
前記身元情報の一覧取得要求を前記認証サーバ装置に送信する手段、
前記認証サーバ装置から受信した身元情報を一覧表示する手段、
前記一覧表示された身元情報のうち、いずれかの身元情報を選択する手段、
前記選択された身元情報を含まない識別情報を算出する手段、
前記算出した識別情報を含み、前記選択された身元情報を含まない新たなID情報を作成し、当該新たなID情報を前記ポリシ生成装置の記憶手段に書き込む手段、
前記選択された身元情報と前記新たなID情報との連携要求を前記認証サーバ装置に送信する手段、
前記連携要求の送信に応じて、乱数情報からなる仮名情報を前記認証サーバ装置から受信する手段、
前記仮名情報と、前記認証サーバ装置の識別情報とを含む連携情報を含むように前記記憶手段内の新たなID情報を更新する手段、
前記連携情報内の仮名情報と、前記認証サーバ装置の識別情報とを含み、前記選択された身元情報を含まないアクセス主体情報を作成する手段、
前記作成したアクセス主体情報を含むアクセス制御ポリシを生成する手段、
として機能させるためのプログラム。
【請求項5】
アクセス主体者の身元情報及び認証要素情報と、乱数情報からなる仮名情報と、ポリシ生成装置の識別情報とを管理する認証サーバ装置に通信可能なポリシ評価装置のプログラムであって、
前記ポリシ評価装置を、
前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを取得する手段、
前記取得したアクセス制御ポリシのうち、前記仮名情報、前記認証サーバ装置の識別情報、及び前記ポリシ生成装置の識別情報を前記ポリシ評価装置の記憶手段に書き込む手段、
前記記憶手段内のポリシ生成装置の識別情報を含む認証要求を認証サーバ装置に送信する手段、
前記認証要求の送信後、前記認証サーバ装置から提示要求を受信すると、認証要素情報を前記認証サーバ装置に送信する手段、
前記認証要素情報の送信後、当該認証要素情報と前記ポリシ生成装置の識別情報とに対応する仮名情報を前記認証サーバ装置から受信する手段、
前記受信した仮名情報と、前記記憶手段内の仮名情報とを比較する手段、
前記比較の結果、両者が一致したとき、前記取得したアクセス制御ポリシを正当と評価する手段、
として機能させるためのプログラム。
【請求項6】
ポリシ生成装置及びポリシ評価装置に通信可能な認証サーバ装置のプログラムであって、
前記認証サーバ装置を、
アクセス主体者の身元情報及び認証要素情報を含むID情報を前記認証サーバ装置の記憶手段に書き込む手段、
前記身元情報の一覧取得要求を前記ポリシ生成装置から受信すると、前記記憶手段内の身元情報を前記ポリシ生成装置に送信する手段、
前記送信した身元情報のうち、前記ポリシ生成装置に選択された身元情報と、前記ポリシ生成装置内の当該身元情報を含まない新たなID情報との連携要求を前記ポリシ生成装置から受信する手段、
前記連携要求に応じて乱数情報からなる仮名情報を生成し、この仮名情報を前記ポリシ生成装置に送信する手段、
前記仮名情報と、前記ポリシ生成装置の識別情報とを含む連携情報を含むように、前記連携要求の身元情報に対応する前記記憶手段内のID情報を更新する手段、
前記身元情報及び認証要素情報を含まず、且つ前記仮名情報と前記認証サーバ装置の識別情報とを含むアクセス主体情報と、ポリシ生成装置の識別情報とを含むように前記ポリシ生成装置に生成されたアクセス制御ポリシを前記ポリシ評価装置が取得した場合、当該アクセス制御ポリシ内のポリシ生成装置の識別情報を含む認証要求を前記ポリシ評価装置から受信する手段、
前記認証要求に応じて、認証要素情報の提示要求を前記ポリシ評価装置に送信する手段、
前記認証サーバ装置から受信した認証要素情報と、前記記憶手段内の認証要素情報とを比較し、両者が一致したとき、認証処理を成功と判定する認証手段、
前記認証処理を成功と判定した認証要素情報と、前記認証要求内のポリシ生成装置の識別情報とに基づいて、前記記憶手段を検索する手段、
前記検索の結果、該当するID情報があるとき、このID情報に含まれる連携情報内の仮名情報を前記ポリシ評価装置に送信する手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2009−151361(P2009−151361A)
【公開日】平成21年7月9日(2009.7.9)
【国際特許分類】
【出願番号】特願2007−326202(P2007−326202)
【出願日】平成19年12月18日(2007.12.18)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成21年7月9日(2009.7.9)
【国際特許分類】
【出願日】平成19年12月18日(2007.12.18)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]