権限管理サーバ、権限管理方法、権限管理プログラム
【課題】外部のシステムに利用者の識別情報を通知することなく外部資源へのアクセスを可能にすること
【解決手段】利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを資源サーバに送信して外部資源にアクセスする。トークンを利用者端末から受信した資源サーバとそのトークンを資源サーバから転送された外部権限管理サーバは、受信したトークンとトークン記憶部に記憶されたトークンに関する情報を照合しトークンの正当性を検証する。
【解決手段】利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを資源サーバに送信して外部資源にアクセスする。トークンを利用者端末から受信した資源サーバとそのトークンを資源サーバから転送された外部権限管理サーバは、受信したトークンとトークン記憶部に記憶されたトークンに関する情報を照合しトークンの正当性を検証する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、利用者の資源に対するアクセス権限を管理する技術に関し、特に、ある権限管理サーバの管理下の利用者が、この資源管理サーバの管理下の資源にアクセスするために用いている識別情報を通知することなく、他の権限管理サーバの管理下にある資源にアクセスすることができるアクセス権限管理技術に関する。
【背景技術】
【0002】
従来からコンテンツサーバ等の資源にアクセスできるユーザを限定するシステムにおいてそのシステムで閉じたアクセス制御技術が多数提案されている。
たとえば、特許文献1には、委譲権限証明書を利用した共有リソース管理システムが記載されている。
この共有リソース管理システムでは、譲渡クライアントが、委譲権限証明書発行機能を用いて管理対象リソースに対するアクセス権限の一時的又は限定的な譲渡を証明する委譲権限証明書を発行し、被譲渡クライアントは、委譲権限証明書格納機能を通じて委譲権限証明書を取得し、取得した委譲権限証明書に基づくアクセス要求であるディジタル代理署名をディジタル代理署名生成機能により生成し、リソース管理サーバはディジタル代理署名を受け取り、ディジタル代理署名検証機能及び委譲権限検証機能を通じて、被譲渡クライアントによる管理対象リソースへのアクセス要求が適正であるか否かの検証を行う。
【0003】
【特許文献1】特開2002−163235号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、従来のアクセス制御技術では、利用ユーザを限定するシステムが複数ある環境で、異なるシステムのコンテンツサーバにアクセスできるようにするためには、複数のシステムを包含した大規模な権限管理サーバを構築する必要があった。
そのため、複数のシステムを包含した大規模な権限管理サーバを有するシステムでは、ユーザの管理が一極集中し、権限管理サーバの負荷は大きくなるという問題があった。
また、あるシステムの管理下にあるユーザが管理者が異なる他のシステムの管理下にある資源を利用しようとする場合、他のシステムに当該ユーザのユーザ情報(たとえば、ユーザID)を伝える必要があるという問題があった。これは、システム管理者の立場からは、競業者に顧客情報が漏れてしまう危険があることを意味し、また、ユーザの立場からは、他システムにも個人情報が漏れてしまうことになるので、好ましくない。
【0005】
そこで、本発明は、ユーザおよびユーザがコンテンツサーバなどの資源へアクセスできる権限を管理する権限管理サーバを有するシステムが複数あるような環境において、各々のシステムに所属するユーザが他システムの資源を利用する場合に、権限管理サーバで管理するユーザ情報を他システムの権限管理サーバに漏らさずに、他システムのコンテンツサーバにアクセスでき、また異なるシステムに所属するユーザ間でコンテンツサーバのアクセス権限の譲渡を行った場合でも、ユーザ情報を漏らさずに、譲渡されたアクセス権限を利用できる権限管理システム等を提供することをその目的とする。
【課題を解決するための手段】
【0006】
本発明の権限管理サーバは、仮名識別情報を生成し、外部資源のアクセス権限を管理する外部権限管理サーバに仮名識別情報を送信し、仮名識別情報に対応する利用者に外部資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、トークンを利用者が使用する利用者端末に送信するトークン送信手段とを備えている(請求項1ないし請求項3)。
【0007】
上記権限管理サーバによれば、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、仮名識別情報に対して発行されたトークンを利用者端末に送信する。利用者は、このトークンを用いて外部資源にアクセスすることができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報(たとえば、ユーザID)とは異なるから、利用者は通常の識別情報を他のシステムに通知することなく、外部資源にアクセスすることができる。
【0008】
上記権限管理サーバにおいて、トークン送信手段は、トークンのハッシュ値と仮名識別情報と権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を利用者端末に送信する機能を備え、権限管理サーバの公開鍵で暗号化した発行証明書と平文の仮名識別情報を含む利用証明書を外部権限管理サーバから受信したときに作動し、暗号化された発行証明書を公開鍵に対応する秘密鍵で復号し、暗号化された発行証明書に含まれる仮名識別情報と平文の仮名識別情報とが一致するか否かを判定し、その判定結果を外部権限管理サーバに送信する利用者正当性検証手段とを備えるようにしてもよい(請求項2)。
【0009】
このようにすれば、トークンと発行証明書を取得した外部権限管理サーバ等が発行証明書を発行元の権限管理サーバに送信し、トークンが発行証明書に含まれている仮名識別情報に対応する利用者に対して発行されたものか否かの検証を依頼することができる。
そのため、トークンの不正取得等による第三者による外部資源への不正なアクセスを防止することができる。ここで、利用証明書には通常の利用者識別情報は含まれていないから、外部システムに通常の利用者情報がもれることもない。
【0010】
上記権限管理サーバにおいて、利用証明書には、仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名を付し、トークン利用署名鍵に対応するトークン利用公開鍵と仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段を備えるようにしてもよい(請求項3)。
【0011】
このようにすれば、トークンを取得した外部権限管理サーバ等は、利用証明書を発行した権限管理サーバの公開鍵を用いて利用証明書を検証し、利用証明書の正当性を検証することができる。
そのため、利用証明書の改ざんや不正取得による外部資源への不正なアクセスを防止することができる。
【0012】
本発明の権限管理システムは、利用側権限管理サーバと、外部限管理サーバと、利用者端末と、資源サーバとを備えている。
利用側権限管理サーバは、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を送信し、利用者に外部資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、トークンを利用者端末に送信するトークン送信手段とを備えている。
利用者端末は、トークンを資源サーバに送信するトークン利用処理手段を備えている。
外部権限管理サーバは、トークン生成して利用側権限管理サーバに送信する共にトークンに関する情報をトークン記憶部に記憶するトークン発行手段を備えている。
外部権限管理サーバと資源サーバのいずれか一方または両方は、トークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証手段を備えている(請求項4ないし請求項6)。
【0013】
上記権限管理システムによれば、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを資源サーバに送信して外部資源にアクセスすることができる。
トークンを利用者端末から受信した資源サーバとそのトークンを資源サーバから転送された外部権限管理サーバは、受信したトークンとトークン記憶部に記憶されたトークンに関する情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、外部資源にアクセスすることができる。
【0014】
上記権限管理システムにおいて、トークン送信手段は、トークンのハッシュ値と仮名識別情報と利用側権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を利用者端末に送信する機能を備え、トークン利用処理手段は、利用側権限管理サーバの公開鍵で暗号化した発行証明書と平文の仮名識別情報を含む利用証明書を生成し資源サーバに送信する機能を備え、外部権限管理サーバは、資源サーバから証明書とトークンを受信したときに作動し、利用証明書を利用側権限管理サーバに送信して利用証明書を送信した利用者の正当性の検証を依頼する検証依頼手段とを備え利用側権限管理サーバは、利用証明書を外部権限管理サーバから受信したときに作動し、暗号化された発行証明書を公開鍵に対応する秘密鍵で復号し、暗号化された発行証明書に含まれる仮名識別情報と平文の仮名識別情報とが一致するか否かを判定し、その判定結果を外部権限管理サーバに送信する利用者正当性検証手段とを備えるようにしても良い(請求項5)。
【0015】
このようにすれば、トークンと発行証明書を取得した外部権限管理サーバ等が発行証明書を利用側権限管理サーバに送信し、トークンが発行証明書に含まれている仮名識別情報に対応する利用者に対して発行されたものか否かの検証を依頼することができる。
そのため、トークンの不正取得等による第三者による外部資源への不正なアクセスを防止することができる。ここで、利用証明書には通常の利用者識別情報は含まれていないから、外部システムに通常の利用者情報がもれることもない。
【0016】
上記権限管理システムにおいて、利用証明書には、仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名を付し、利用側権限管理サーバは、トークン利用署名鍵に対応するトークン利用公開鍵と仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段を備え、外部権限管理サーバと資源サーバのいずれか一方または両方は、利用証明書を受信したときに作動し、トークン利用公開鍵証明書から取得したトークン利用公開鍵を用いて利用証明書の正当性を検証する利用証明書検証手段を備えるようにしても良い(請求項6)。
【0017】
このようにすれば、トークンを取得した外部権限管理サーバ等は、まず、トークン利用公開鍵証明書を用いてトークン利用公開鍵の正当性を検証し、さらにトークン利用公開鍵を用いて利用証明書の正当性を検証することができる。
そのため、利用証明書の改ざんや不正取得による外部資源への不正なアクセスを防止することができる。
【0018】
本発明の権限管理システムは、利用側権限管理サーバと、外部限管理サーバと、利用者端末と、資源サーバと、譲渡先利用者端末と、譲渡先権限管理サーバとを備えている。
利用側権限管理サーバは、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を送信し、利用者に管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、トークンを利用者端末に送信するトークン送信手段とを備えている。
利用者端末は、トークンを譲渡先利用者端末に送信するトークン譲渡手段を備えている。
譲渡先利用者端末は、トークンを外部資源を保持する資源サーバに送信するトークン利用処理手段を備えている。
外部権限管理サーバは、トークンを生成して利用側権限管理サーバに送信すると共にトークンに関する情報をトークン記憶部に記憶するトークン発行手段を備えている。
外部権限管理サーバと資源サーバのいずれか一方または両方は、トークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証手段を備えている(請求項7ないし請求項9)。
【0019】
上記権限管理システムによれば、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを譲渡先利用者端末に送信することにより外部資源へのアクセス権を譲渡先利用者に譲渡することができる。譲渡先利用者は、譲渡先利用者端末で資源サーバに譲渡されたトークンを送信して外部資源にアクセスすることができる。
トークンを譲渡先利用者端末から受信した資源サーバとそのトークンを資源サーバから転送された外部権限管理サーバは、受信したトークンとトークン記憶部に記憶されたトークンに関する情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、トークンを譲渡先利用者に譲渡し、譲渡先利用者はこのトークンを用いて外部資源にアクセスすることができる。
【0020】
上記権限管理システムにおいて、トークン送信手段は、トークンのハッシュ値と仮名識別情報と利用側権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を利用者端末に送信する機能を備え、トークン譲渡手段は、利用側権限管理サーバの公開鍵で暗号化された発行証明書と平文の仮名識別情報とを含む譲渡証明書を生成し譲渡先利用者端末に送信する機能を備え、トークン利用処理手段は、譲渡先権限管理サーバの公開鍵で暗号化された譲渡証明書と譲渡先利用者が譲渡先権限管理サーバの管理下の資源にアクセスするために用いる識別情報とは異なる平文の譲渡先利用者仮名識別情報とを含む利用証明書を生成しトークンと共に資源サーバに送信する機能を備え、外部権限管理サーバは、資源サーバから利用証明書とトークンを受信したときに作動し、利用証明書を譲渡先権限管理サーバに送信して利用証明書を送信した利用者の正当性の検証を依頼する検証依頼手段を備え、譲渡先権限管理サーバは、利用証明書を外部権限管理サーバから受信したときに作動し、暗号化された譲渡証明書を譲渡先権限管理サーバの公開鍵に対応する秘密鍵で復号し、暗号化された譲渡証明書に含まれる譲渡先利用者仮名識別情報と平文の譲渡先利用者仮名識別情報とが一致するか否かを判定する利用者正当性判定手段と、復号した譲渡証明書を利用側権限管理サーバに送信し譲渡証明書を送信した利用者の正当性の検証を依頼する利用者正当性検証依頼手段と、利用者正当性判定手段による判定結果と、利用者正当性検証依頼手段による依頼に対する利用側権限管理サーバからの応答を外部権限管理サーバに送信する応答手段とを備え、利用側権限管理サーバは、譲渡証明書を譲渡先権限管理サーバから受信したときに作動し、暗号化された発行証明書を利用側権限管理サーバの公開鍵に対応する秘密鍵で複合し、暗号化された発行証明書に含まれる仮名識別情報と平文の仮名識別情報とが一致するか否かを判定し、その判定結果を譲渡先権限管理サーバに送信する確認応答手段とを備えるようにしても良い(請求項8)。
【0021】
このようにすれば、トークンと利用証明書を取得した外部権限管理サーバ等は利用証明書に含まれる譲渡証明書を譲渡先権限管理サーバに送信し、トークンが利用証明書に含まれている仮名識別情報に対応する利用者に対して譲渡されたものか否かの検証を依頼することができる。また、譲渡証明書を取得した譲渡先権限管理サーバが譲渡証明書に含まれる発行証明書を利用側権限管理サーバに送信し、トークンが発行証明書に含まれている仮名識別情報に対応する利用者に対して発行されたものか否かの検証を依頼することができる。
そのため、トークンの不正取得等による第三者による外部資源への不正なアクセスを防止することができる。ここで、利用証明書と譲渡証明書には通常の利用者識別情報は含まれていないから、外部システムに通常の利用者情報がもれることもない。
【0022】
上記権限管理システムにおいて、譲渡証明書には、仮名識別情報に対応するトークン譲渡署名鍵を用いたデジタル署名を付し、利用証明書には、譲渡先利用者仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名を付し、利用側権限管理サーバは、トークン譲渡署名鍵に対応するトークン譲渡公開鍵と仮名識別情報を含むトークン譲渡公開鍵証明書を生成するトークン譲渡公開鍵証明書生成手段を備え、譲渡先権限管理サーバは、トークン利用署名鍵に対応するトークン利用公開鍵と譲渡先利用者仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段と、譲渡証明書を受信したときに作動し、トークン譲渡公開鍵証明書から取得したトークン譲渡公開鍵を用いて譲渡証明書の正当性を検証する譲渡証明書検証手段を備え、外部権限管理サーバと資源サーバのいずれか一方または両方は、利用証明書を受信したときに作動し、トークン利用公開鍵証明書から取得したトークン利用公開鍵を用いて利用証明書の正当性を検証する利用証明書検証手段を備えるようにしても良い(請求項9)。
【0023】
このようにすれば、トークンを取得した外部権限管理サーバ等は、まず、トークン利用公開鍵証明書を用いてトークン利用公開鍵の正当性を検証し、さらにトークン利用公開鍵を用いて利用証明書の正当性を検証することができる。また、譲渡証明書を取得した譲渡先利用者端末は、まず、トークン譲渡公開鍵証明書を用いてトークン譲渡公開鍵の正当性を検証し、さらにトークン譲渡公開鍵を用いて譲渡証明書の正当性を検証することができる。
そのため、利用証明書と譲渡証明書の改ざんや不正取得による外部資源への不正なアクセスを防止することができる。
【0024】
本発明の権限管理方法は、利用側権限管理サーバが、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を送信し、利用者に管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求ステップと、外部権限管理サーバがトークンを生成して利用側権限管理サーバに送信すると共にトークンに関する情報をトークン記憶部に記憶するトークン発行ステップと、利用側権限管理サーバが、トークンを利用者が使用する利用者端末に送信するトークン送信ステップと、利用者端末が、トークンを外部資源を保持する資源サーバに送信するトークン利用処理ステップと、外部権限管理サーバがトークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証ステップにより外部資源へのアクセス権限を管理する(請求項10)。
【0025】
上記権限管理方法によれは、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを資源サーバに送信して外部資源にアクセスすることができる。
トークンを資源サーバを介して利用者端末から受信した外部権限管理サーバは、受信したトークンとトークン記憶部に記憶されたトークンに関する情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、外部資源にアクセスすることができる。
【0026】
本発明の権限管理方法は、利用側権限管理サーバが、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を通知し、利用者に管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求ステップと、外部権限管理サーバが、トークンを生成して利用側権限管理サーバに送信すると共にトークン関する情報をトークン記憶部に記憶するトークン発行ステップと、利用側権限管理サーバが、トークンを利用者が使用する利用者端末に送信するトークン発行ステップと、利用者端末が、利用者からトークン譲渡される譲渡先利用者が利用する譲渡先利用者端末にトークンを送信するトークン譲渡ステップと、譲渡先利用者端末が、トークンを外部資源を保持する資源サーバに送信するトークン利用処理ステップと、外部権限管理サーバがトークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証ステップにより外部資源へのアクセス権限を管理する(請求項11)。
【0027】
上記権限管理方法によれば、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを譲渡先利用者端末に送信することにより外部資源へのアクセス権を譲渡先利用者に譲渡することができる。譲渡先利用者は、譲渡先利用者端末で資源サーバに譲渡されたトークンを送信して外部資源にアクセスすることができる。
トークンを譲渡先利用者端末から受信した資源サーバとそのトークンを資源サーバから転送された外部権限管理サーバは、受信したトークンとトークン記憶部に記憶されたトークンに関する情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、トークンを譲渡先利用者に譲渡し、譲渡先利用者はこのトークンを用いて外部資源にアクセスすることができる。
【0028】
本発明の権限管理プログラムは、コンピュータに、利用側権限管理サーバが、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を送信し、利用者に管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求機能と、外部権限管理サーバがトークンを生成して利用側権限管理サーバに送信すると共にトークンに関する情報をトークン記憶部に記憶するトークン送信機能と、利用側権限管理サーバが、トークンを利用者が使用する利用者端末に送信するトークン送信機能と、利用者端末が、トークンを外部資源を保持する資源サーバに送信するトークン利用処理機能と、外部権限管理サーバがトークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証機能を実行させることにより外部資源へのアクセス権限を管理する(請求項12)。
【0029】
上記権限管理プログラムによれは、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを資源サーバに送信して外部資源にアクセスすることができる。
トークンを資源サーバを介して利用者端末から受信した外部権限管理サーバは、受信したトークンとトークン記憶部に記憶された情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、外部資源にアクセスすることができる。
【0030】
本発明の権限管理プログラムは、コンピュータに、利用側権限管理サーバが、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を通知し、利用者に管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求機能と、外部権限管理サーバが、トークンを生成して利用側権限管理サーバに送信すると共にトークンに関する情報をトークン記憶部に記憶するトークン発行機能と、利用側権限管理サーバが、トークンを利用者が使用する利用者端末に送信するトークン送信機能と、利用者端末が、利用者からトークン譲渡される譲渡先利用者が利用する譲渡先利用者端末にトークンを送信するトークン譲渡機能と、譲渡先利用者端末が、トークンを外部資源を保持する資源サーバに送信するトークン利用処理機能と、外部権限管理サーバがトークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証機能を実行させることにより外部資源へのアクセス権限を管理する(請求項13)。
【0031】
上記権限管理プログラムによれば、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを譲渡先利用者端末に送信することにより外部資源へのアクセス権を譲渡先利用者に譲渡することができる。譲渡先利用者は、譲渡先利用者端末で資源サーバに譲渡されたトークンを送信して外部資源にアクセスすることができる。
トークンを譲渡先利用者端末から受信した資源サーバとそのトークンを資源サーバから転送された外部権限管理サーバは、受信したトークンとトークン記憶部に記憶された情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、トークンを譲渡先利用者に譲渡し、譲渡先利用者はこのトークンを用いて外部資源にアクセスすることができる。
【発明の効果】
【0032】
本発明によれば、権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、仮名識別情報に対して発行されたトークンを利用者端末に送信する。利用者は、このトークンを用いて外部資源にアクセスすることができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を他のシステムに通知することなく、外部資源にアクセスすることができる。
【発明を実施するための最良の形態】
【0033】
以下、図を参照しながら本発明の一実施形態である権限管理システム70の構成と動作について説明する。
図1は、権限管理システム70の全体の構成を示す図である。
権限管理システム70は、ネットワーク71にそれぞれ接続され、それぞれ異なる管理者の管理下にある複数のサブシステムにより構成される。権限管理システム70を構成するサブシステムの数に制限はないが、図1には一例としてサブシステム1、2、3の3個のサブシステムにより構成される例を示している。
サブシステム1は、1台または複数台のコンテンツサーバ50aと、コンテンツサーバ50aにアクセスする1台または複数台のユーザ端末30a、コンテンツサーバ50aへのアクセス権限の管理をする1台の権限管理サーバ10aを備えている。権限管理サーバ10a、ユーザ端末30a、コンテンツサーバ50aは、たとえばLANに接続され相互に通信可能となっている。
サブシステム2およびサブシステム3もサブシステム1と同様の構成要素を備えている。
【0034】
権限管理システム70においては、ユーザ端末は、自分が属するサブシステムのコンテンツサーバだけではなく、他のサブシステムのコンテンツサーバにアクセスすることができる。また、ユーザ端末は、自分が属するサブシステムの他のユーザ端末だけでなく、他のサブシステムに属するユーザ端末にアクセス権限を譲渡することもできる。権限管理システム70は、このような、他システムのコンテンツサーバへのアクセスや他システムのユーザ端末へのアクセス権限譲渡を仮のユーザ名を利用した署名生成用鍵、署名検証用鍵、署名検証用鍵の証明書を用いて行うことにより、他のサブシステムへユーザ情報が漏洩することを防止する。
【0035】
図2は、権限管理システム70の動作の概要を示す図である。
サブシステム1のユーザ端末30a(利用者端末の一例)が、サブシステム3のコンテンツサーバ50c(資源サーバの一例)が保持する資源(外部資源の一例)にアクセスするためのトークンをサブシステム2のユーザ端末30b(譲渡先利用者端末の一例)に譲渡し、ユーザ端末30bがそのトークンを用いてコンテンツサーバ50cにアクセスする場合を例に説明する。
ユーザ端末30aは、コンテンツサーバ50cにアクセスする権限を得るため、権限管理サーバ10a(利用側権限管理サーバの一例)に対してトークンの発行要求を行う(S101)。
権限管理サーバ10aは、コンテンツサーバ50cのアクセス権限を管理する権限管理サーバ10c(外部権限管理サーバの一例)に対して、トークンの発行依頼を送信する(S102)。
トークン発行依頼を受信した権限管理サーバ10cは、トークンを生成し、そのトークンを権限管理サーバ10aに送信する(S103)。
権限管理サーバ10aは、受信したトークンをユーザ端末30aに送信する(S104)。その際に、権限管理サーバ10aは、トークンをユーザ端末30aに発行したことを証明する発行証明書もユーザ端末30aに送信する。
【0036】
ユーザ端末30aは、S104で受信したコンテンツサーバ50cにアクセスできる権限を表すトークンをユーザ端末30bに譲渡する(S105)。その際に、ユーザ端末30aは、権限管理サーバ10aで認証を行うためのユーザ情報とは異なる仮のユーザ情報を用いて、発行証明書の情報を含む譲渡証明書を生成し、トークンと共にユーザ端末30bに送信する。
仮のユーザ情報とは、事前にユーザが所属するシステムの権限管理サーバに登録した他システムで利用するための仮のユーザ名(仮名識別情報の一例)とユーザが秘密に管理する署名生成用鍵を指す。ユーザ端末30aは、その仮のユーザ名の署名検証用鍵も事前に所属するシステムの権限管理サーバ10aに登録し、その権限管理サーバ10aから署名検証用鍵の証明書である譲渡用公開鍵証明書、トークン利用公開鍵証明書を取得し、保管しておく。
【0037】
ユーザ端末30bはコンテンツサーバ50cにユーザ端末30aから受信したトークンを送り、アクセス要求を行う。その際に、ユーザ端末30bは権限管理サーバ10b(譲渡先権限管理サーバの一例)で認証を行うためのユーザ情報とは異なる仮のユーザ情報(譲渡先仮名識別情報の一例)を用いて、譲渡証明書の情報を含む利用証明書を生成し、コンテンツサーバ50cに送信する(S106)。
コンテンツサーバ50cは、権限管理サーバ10cに対して、ユーザ端末30bから受信したトークンおよび利用証明書を送信し、アクセス権限の確認を依頼する(S107)。
権限管理サーバ10cは、権限管理サーバ10bに対して、利用証明書を送信し、それに含まれているユーザ端末20bのユーザ正当性確認を要求する(S108)。
権限管理サーバ10bは、権限管理サーバ10aに対して、譲渡証明書を送信し、それに含まれるトークンの譲渡元であったユーザ端末30aのユーザ正当性確認を要求する(S109)。
権限管理サーバ10aは、権限管理サーバ10bに対して、正当性確認の結果を返信する(S110)。
権限管理サーバ10bは、権限管理サーバ10cに対して、正当性確認の結果を返信する(S111)。
権限管理サーバ10cは、権限管理サーバ10bからの正当性確認の結果とトークンの有効性の確認を行い、その結果をコンテンツサーバ50cに返信する(S112)。
コンテンツサーバ50cは、権限管理サーバ10cからの権限確認の結果によりユーザ端末30bのアクセス要求に応じるか否かを決定する。
【0038】
図3は、権限管理サーバ10a、10b、10cの構成を示す機能ブロック図である。
権限管理サーバ10a等は、たとえばCPU(Central Processing Unit)を備えたサーバコンピュータであり、キーボード等の入力部11、ディスプレイ装置等の出力部12、LAN(Local Area Network)アダプタ等のデータ通信部13、データ処理部14、RAM(Random Access Memory)等のデータ記憶部15を備えている。
データ処理部14はトークン発行依頼処理手段16、トークン発行処理手段17、発行証明書生成処理手段18、利用トークン検証処理手段19、ユーザ正当性確認要求手段20、ユーザ正当性確認手段21、発行証明書検証のユーザ正当性確認応答手段22、譲渡証明書検証のユーザ正当性確認応答手段23、アクセス権の確認応答手段24から成る。
これらデータ処理部14を構成する各手段は、たとえば、権限管理サーバ10a等のCPUがコンピュータプログラムを実行し、権限管理サーバ10aのハードウェアを制御することにより実現される。
データ記憶部15は、ユーザ情報記憶部25、署名生成用鍵記憶部26、トークン記憶部27、暗号復号鍵記憶部28、署名検証用鍵記憶部29から成る。
【0039】
トークン発行依頼処理手段16(トークン発行要求手段の一例)は、データ通信部13を介してユーザ端末からトークンの発行要求を受信すると、ユーザの仮名IDを生成し、仮名IDを本来のIDと対応付けてユーザ情報記憶部25に記憶し、データ通信部13からアクセス権を取得しようとするコンテンツサーバが所属するサブシステムの権限管理サーバにトークン発行を依頼する。
【0040】
トークン発行処理手段17(トークン発行手段の一例)は、データ通信部13を介して他の権限管理サーバからのトークンの発行依頼を受信すると、署名生成用鍵記憶部26から権限管理サーバの署名生成用鍵を用いて、トークン81を発行し、トークン記憶部27に記憶する。そして、そのトークンをデータ通信部13を介して依頼元の権限管理サーバに返信する。
【0041】
発行証明書生成処理手段18(トークン送信手段の一例)は、データ通信部13を介して他の権限管理サーバからトークンを受信すると、署名生成用鍵記憶部26から読み出した権限管理サーバの署名生成用鍵を用いて、発行証明書82を生成する。そして、データ通信部13から発行証明書82とトークン81をユーザ端末に返信する。
【0042】
利用トークン検証処理手段19(トークン検証手段の一例)は、データ通信部13を介してコンテンツサーバからトークン81と利用証明書87を受信すると、トークン記憶部27を参照し、受信したトークンがすでに利用されたトークンではないかどうか、また、アクセス権限情報を満たしているかどうかの整合性チェックを行う。
【0043】
ユーザ正当性確認要求手段20(検証依頼手段の一例)は、データ通信部13を介してコンテンツかサーバからトークンが1回だけ譲渡された場合の譲渡証明書83を受信すると、譲渡証明書83に含まれる暗号化された発行証明書部分と譲渡元ユーザ名(仮名ID)をデータ通信部13から譲渡元ユーザが所属する権限管理サーバに送信する。
また、データ通信部13を介してコンテンツサーバからトークンが2回以上譲渡された場合の譲渡証明書84を受信すると、譲渡証明書84に含まれる暗号化された譲渡証明書部分と譲渡元ユーザ名(仮名ID)をデータ通信部13から譲渡元ユーザが所属する権限管理サーバに送信する。
また、データ通信部13を介してコンテンツサーバから利用証明書86を受信すると、利用証明書86に含まれる暗号化された発行証明書部分と利用ユーザ名(仮名ID)をデータ通信部13からコンテンツサーバにアクセスしようとするユーザが所属する権限管理システムの権限管理サーバに送信する。
また、データ通信部13を介してコンテンツサーバから利用証明書87を受信すると、利用証明書87に含まれる暗号化された譲渡証明書部分と利用ユーザ名(仮名ID)をデータ通信部13からコンテンツサーバにアクセスしようとするユーザが所属する権限管理システムの権限管理サーバに送信する。
【0044】
ユーザ正当性確認手段21は、データ通信部13を介して他の権限管理サーバから譲渡証明書83に含まれる暗号化された発行証明書部分と譲渡元ユーザ名(仮名ID)を受信すると、暗号復号鍵記憶部28から読み出した権限管理サーバのみが知る復号用鍵を用いて、暗号化されていた発行証明書を復号する。復号した発行証明書のトークン要求ユーザ名と受信した譲渡元ユーザ名(仮名ID)の比較を行い、ユーザ情報記憶部25に記憶されているトークン要求ユーザ名と受信した譲渡元ユーザ名(仮名ID)が同一のユーザのものか確認する。
また、データ通信部13を介して他の権限管理サーバから譲渡証明書84に含まれる暗号化された譲渡証明書部分と譲渡元ユーザ名(仮名ID)を受信すると、暗号復号鍵記憶部28から読み出した権限管理サーバのみが知る復号用鍵を用いて、暗号化されていた譲渡証明書を復号する。復号した譲渡証明書の譲渡先ユーザ名(仮名ID)と受信した譲渡元ユーザ名(仮名ID)の比較を行い、ユーザ情報記憶部25に記憶されているトークン要求ユーザ名と受信した譲渡元ユーザ名(仮名ID)が同一のユーザのものか確認する。
また、データ通信部13を介して他の権限管理サーバから利用証明書86に含まれる暗号化された発行証明書部分と利用ユーザ名(仮名ID)を受信すると、暗号復号鍵記憶部28から読み出した権限管理サーバのみが知る復号用鍵を用いて、暗号化されていた発行証明書を復号する。復号した発行証明書のトークン要求ユーザ名と受信した利用ユーザ名(仮名ID)の比較を行い、ユーザ情報記憶部25に記憶されているトークン要求ユーザ名と受信した利用ユーザ名(仮名ID)が同一のユーザのものか確認する。
また、データ通信部13を介して他の権限管理サーバから利用証明書87に含まれる暗号化された譲渡証明書部分と利用ユーザ名(仮名ID)を受信すると、暗号復号鍵記憶部28から読み出した権限管理サーバのみが知る復号用鍵を用いて、暗号化されていた譲渡証明書を復号する。復号した譲渡証明書の譲渡先ユーザ名(仮名ID)と受信した利用ユーザ名(仮名ID)の比較を行い、ユーザ情報記憶部25に記憶されているトークン要求ユーザ名と受信した利用ユーザ名(仮名ID)が同一のユーザのものか確認する。
【0045】
発行証明書検証のユーザ正当性確認応答手段22はユーザの正当性確認結果と発行証明書に含まれるトークンのハッシュ値とユーザ情報記憶部26から取得した仮名IDをデータ通信部13から権限管理サーバに送信する。
【0046】
譲渡証明書検証のユーザ正当性確認応答手段23はデータ通信部13を介して他の権限管理サーバからユーザの正当性確認結果とトークンのハッシュ値と仮名IDを受信すると、ユーザ正当性確認したユーザの仮名IDを生成する。そして、受信したユーザの正当性確認結果とトークンのハッシュ値と仮名IDに、さらにユーザ正当性確認したユーザの仮名IDを追加して、データ通信部13から権限管理サーバに返信する。
【0047】
アクセス権の確認応答手段24はデータ通信部13を介して他の権限管理サーバからユーザの正当性確認結果、利用証明書に含まれたトークンのハッシュ値、仮名IDを受信すると、トークン記憶部27からトークンを取得し、受信したトークンのハッシュ値と一致するかを確認する。その確認結果をデータ通信部13からコンテンツサーバに返信する。
【0048】
ユーザ情報記憶部25には、ユーザに対して発行した仮名IDがサブシステム内の資源にアクセスするために用いる通常のユーザIDと対応付けされて記憶されている。
署名生成用鍵記憶部26には、トークンと発行証明書に電子署名を行うために使用する鍵が記憶されている。
トークン記憶部27には、自己が発行したトークンに関する情報と、他の権限管理サーバ、資源サーバ、ユーザ端末から受信したトークンが記憶されている。
暗号復号鍵記憶28には、譲渡証明書に含まれる暗号化された発行証明書を復号するための秘密鍵と発行証明書に含まれる暗号化された譲渡証明書を復号するための秘密鍵が記憶されている。
署名検証用鍵記憶部29には、譲渡証明書と利用証明書に付されている電子署名を検証するためのユーザの公開鍵が記憶されている。この公開鍵は、通常のユーザIDではなく、仮名IDに対応して生成されている。
【0049】
図4は、ユーザ端末30a、30b、30cの構成を示す機能ブロック図である。
ユーザ端末30a等は、たとえばCPUを備えたパーソナルコンピュータであり、キーボード等の入力部31、ディスプレイ装置等の出力部32、LANアダプタ等のデータ通信部33、データ処理部34、RAM等のデータ記憶部35を備えている。
データ処理部34は、トークン発行要求処理手段36、発行トークン検証手段37、発行証明書検証手段38、トークン譲渡処理手段39、トークン譲渡検証手段40、譲渡証明書検証手段41、トークン利用処理手段42から成る。
これらのデータ処理部34を構成する各手段は、たとえば、ユーザ端末30a等のCPUがコンピュータプログラムを実行し、ユーザ端末30aのハードウェアを制御することにより実現される。
【0050】
トークン発行要求手段36は、ユーザ情報記憶部43からユーザ情報を取得し、入力部31を介してユーザから入力されたコンテンツサーバのアクセス権限をあらわすトークン要求情報と共にデータ通信部33に送る。
【0051】
発行トークン検証手段37はデータ通信部33を介して権限管理サーバからトークン81を受信すると、署名検証用鍵記憶部44から事前に取得しておいた権限管理サーバの署名検証用鍵を用いて、トークン81を検証する。そして、トークン記憶部45にトークンを記憶する。
【0052】
発行証明書検証手段38は、データ通信部33を介して権限管理サーバから発行証明書82を受信すると、署名検証用鍵記憶部44から取得した権限管理サーバの署名検証用鍵を用いて、発行証明書82を検証し、発行証明書記憶部46に記憶する。
【0053】
トークン譲渡処理手段39(トークン譲渡手段の一例)は、入力部31を介してユーザから入力された譲渡先ユーザ名(仮名ID)と譲渡処理要求を受信すると、ユーザ情報記憶部43から他システムで利用するための仮のユーザ名となる譲渡元ユーザ名(仮名ID)を取得し、署名生成用鍵記憶部47から読み出した譲渡元ユーザ(仮名ID)の署名生成用鍵を用いて、譲渡証明書83を生成し、トークン記憶部45から譲渡するトークン81を取得し、譲渡証明書83と共にデータ通信部13から譲渡先のユーザ端末に送信する。
【0054】
トークン譲渡検証手段40は、データ通信部33を介して他のユーザ端末から譲渡されたトークン81を受信すると、署名検証用鍵記憶部44から事前に取得しておいた権限管理サーバの署名検証用鍵を用いて、トークン81を検証する。そして、トークン記憶部45にトークンを記憶する。
【0055】
譲渡証明書検証手段41は、データ通信部33を介して他のユーザ端末から譲渡証明書83を受信すると、署名検証用鍵記憶部44から事前に取得しておいた譲渡用公開鍵を用いて譲渡証明書83を検証し、検証に合格すると譲渡証明書83を譲渡証明書記憶部48に記憶する。
【0056】
トークン利用処理手段42は入力部31からユーザが入力したトークン利用処理要求を受信すると、署名生成用鍵記憶部47から取得したトークン利用ユーザ(仮名ID)の署名生成用鍵を用いて、利用証明書87を生成し、トークン記憶部45から利用するトークン81を取得し、利用証明書87と共にデータ通信部33からコンテンツサーバに送信する。
【0057】
ユーザ情報記憶部43には、ユーザ端末を使用するユーザのユーザIDと仮名ユーザIDが記憶されている。
署名検証鍵記憶部44には、トークンを検証するために用いるトークンを生成した権限管理サーバの公開鍵と、譲渡証明書を検証するために用いる譲渡証明書を生成したユーザ端末の公開鍵と、発行証明書を検証するために用いる発行証明書を生成した権限管理サーバの公開鍵が記憶されている。
トークン記憶部45には、権限管理サーバから受信したトークンが記憶されている。
発行証明書記憶部46には、権限管理サーバから受信したトークンの発行証明書が記憶されている。
署名生成用鍵記憶部47には、譲渡証明書と利用証明書にデジタル署名を施すために用いるユーザの秘密鍵が記憶されている。この秘密鍵は、仮名IDに対して生成されたものである。
譲渡証明書記憶部48には、他のユーザ端末から受信した譲渡証明書が記憶されている。
【0058】
図5は、コンテンツサーバ50a、50b、50cの構成を示す機能ブロック図である。
コンテンツサーバ50a等は、たとえばCPUを備えたパーソナルコンピュータであり、キーボード等の入力部51、ディスプレイ装置等の出力部52、LANアダプタ等のデータ通信部53、データ処理部54、RAM等のデータ記憶部55を備えている。
データ処理部54は、利用トークン検証手段56、利用証明書検証手段57、アクセス権の確認要求手段58、アクセス可否決定手段59から成る。
これらデータ処理部54を構成する各手段は、たとえば、コンテンツサーバ50a等のCPUがコンピュータプログラムを実行し、コンテンツサーバ50aのハードウェアを制御することにより実現される。
データ記憶部55は、署名検証用鍵記憶部60、トークン記憶部61から成る。
【0059】
利用トークン検証手段56(トークン検証手段の一例)は、データ通信部53を介してユーザ端末からトークン81を受信すると、署名検証用鍵記憶部60から取得したトークンを発行した権限管理サーバの署名検証用鍵を用いて、トークン81を検証する。そして、トークン記憶部61にトークンを記憶する。
【0060】
利用証明書検証手段57はデータ通信部53を介してユーザ端末から利用証明書87を受信すると、署名検証用鍵記憶部60から事前に取得しておいた利用証明書を送信したユーザの譲渡用公開鍵を用いて、利用証明書87を検証する。
【0061】
アクセス権の確認要求手段58はデータ通信部53からトークン81、利用証明書87を同一サブシステム内の権限管理サーバに送信し、これらのデータの検証を依頼する。
【0062】
アクセス可否決定手段59はデータ通信部53を介して同一サブシステム内の権限管理サーバからユーザの正当性確認結果、トークンの有効性確認結果を受信すると、その結果からトークンを利用したユーザのアクセス可否を決定する。
【0063】
署名検証用鍵記憶部60には、ユーザ端末から受信した利用証明書を検証するために用いる利用証明書を発行したユーザの公開鍵が記憶されている。
トークン記憶部61には、ユーザ端末から受信したトークンが記憶されている。
【0064】
次に、権限管理システム70で使用される主なデータのデータ構造について説明する。
図9(a)にトークン81のデータ構造例を示す。
トークン81は、トークンID、コンテンツサーバ名、トークン発行元の権限管理サーバ名、アクセス権限情報および発行元権限管理サーバのデジタル署名から成る。
図9(b)に発行証明書82のデータ構造例を示す。
発行証明書82は、トークンのハッシュ値、トークン要求ユーザ名、発行証明書生成元の権限管理サーバ名および発行証明書生成元の権限管理サーバのデジタル署名から成る。
【0065】
図10(a)に1回目の譲渡が行われたときの譲渡証明書83のデータ構造例を示す。
1回目の譲渡が行われたときの譲渡証明書83は、譲渡元ユーザが所属する権限管理サーバの公開鍵で暗号化した発行証明書、譲渡先ユーザ名(仮名ID)、譲渡元ユーザ名(仮名ID)、譲渡元ユーザが所属する権限管理サーバ名および譲渡元ユーザ(仮名ID)のデジタル署名から成る。
図10(b)に2回目以降の譲渡が行われたときの譲渡証明書83のデータ構造例を示す。
2回目以降の譲渡が行われたときの譲渡証明書84は、譲渡元ユーザが所属する権限管理サーバの公開鍵で暗号化した譲渡証明書、譲渡先ユーザ名(仮名ID)、譲渡元ユーザ名(仮名ID)、譲渡元ユーザが所属する権限管理サーバ名および譲渡元ユーザ(他システム)のデジタル署名から成る。
図10(c)に上と用公開鍵証明書85のデータ構造例を示す。
譲渡用公開鍵証明書85は譲渡用公開鍵、譲渡元ユーザ名(仮名ID)、権限管理サーバ名、有効期間および譲渡元ユーザの所属する権限管理サーバのデジタル署名からなる。
【0066】
図11(a)に譲渡が行われずに利用されたときの利用証明書86のデータ構造例を示す。
譲渡が行われずに利用されたときの利用証明書86は、トークン利用ユーザが所属する権限管理サーバの公開鍵で暗号化した発行証明書、コンテンツサーバ名、利用ユーザ名(仮名ID)、利用ユーザが所属する権限管理サーバ名およびトークン利用ユーザ(他システム)のデジタル署名から成る。
図11(b)に1回以上譲渡が行われたときの利用証明書87のデータ構造例を示す。
1回以上譲渡が行われたときの利用証明書87は、トークン利用ユーザが所属する権限管理サーバの公開鍵で暗号化した譲渡証明書、コンテンツサーバ名、利用ユーザ名(仮名ID)、利用ユーザが所属する権限管理サーバ名およびトークン利用ユーザ(他システム)のデジタル署名から成る。
図11(c)にトークン利用公開鍵証明書88のデータ構造例を示す。
トークン利用公開鍵証明書88はトークン利用公開鍵、利用ユーザ名(仮名ID)、権限管理サーバ名、有効期間、およびトークン利用ユーザの所属する権限管理サーバのデジタル署名からなる。
【0067】
次に、図6ないし図8を参照して権限管理システム70の動作について説明する。ここでも、図2と同様に、サブシステム1のユーザ端末30aが、サブシステム3のコンテンツサーバ50cにアクセスするためのトークンをサブシステム2のユーザ端末30bに譲渡し、ユーザ端末30bがそのトークンを用いてコンテンツサーバ50cにアクセスする場合を例に説明する。
図6は、ユーザ端末30aの要求に応じて権限管理サーバ10aがコンテンツサーバ50cにアクセスするためのトークンを発行する動作を示すシーケンス図である。
ユーザ端末30aのトークン発行要求手段36は、自らが所属するサブシステム1の権限管理サーバ10aに対して、他のシステムのコンテンツサーバ50cのアクセス権限を表すトークンの発行を要求する(S121)。この要求には、ユーザ情報記憶部43から取得したユーザ情報とユーザにより入力された要求するアクセス権限を特定する情報が含まれる。
【0068】
権限管理サーバ10aのトークン発行依頼処理手段16は、トークンの発行を要求したユーザのユーザ情報が他のシステムに漏れないように、仮名IDを生成し(S122)、その仮名IDで権限管理サーバ10cにトークンの発行要求を送信する(S123)。
この仮名IDは、ある程度の期間が過ぎたら、権限管理サーバ10aで更新することが望ましい。
【0069】
権限管理サーバ10cのトークン発行処理手段17は、権限管理サーバ10aから受信した仮名IDでトークン81を発行し(S124)、トークンID、コンテンツサーバ名、トークン発行元の権限管理サーバ名、アクセス権限情報などのトークン情報を、権限管理サーバ30cが管理するデータベースに登録する(S125)。
そして、トークン発行手段17は、生成したトークン81をデータ通信部33を介して権限管理サーバ10aに返信する(S126)。
【0070】
権限管理サーバ10aの発行証明書生成処理手段18は、トークンの発行を要求したユーザ端末30aに対して発行証明書82を生成し(S127)、権限管理サーバ10cから受信したトークン81と発行証明書82をデータ通信部13を介してユーザ端末30aに送信する(S128)。
【0071】
ユーザ端末30aのデータ通信部33がトークン81と発行証明書82を受信すると、発行トークン検証手段37は、トークン81を権限管理サーバ10cの公開鍵で検証し、発行証明書検証手段38は、発行証明書82を権限管理サーバ10aの公開鍵で検証する(S129)。検証に合格したら、発行トークン検証手段37と発行証明書検証手段38は、それぞれトークン81と発行証明書82をデータ記憶部35に保存する。
【0072】
図7は、ユーザ端末30aがコンテンツサーバ50cへのアクセス権限を表すトークン81をユーザ端末30bに譲渡する際の動作を示すシーケンス図である。
ユーザ端末30aのトークン譲渡処理手段39は、ユーザ端末30bにトークン81を譲渡するための譲渡証明書83を生成し(S131)、ユーザ端末30bに権限管理サーバ10aから受信しトークン記憶部45に記憶されているトークン81と証明書83を送信する(S132)。
【0073】
ユーザ端末30bのデータ通信部33が、トークン81と譲渡証明書83を受信すると、トークン譲渡検証手段40は、トークン81を権限管理サーバ10cの公開鍵で検証し、譲渡証明書検証手段41は、譲渡証明書83をユーザ端末30aの譲渡用公開鍵で検証する(S133)。
トークン譲渡検証手段40と譲渡証明書検証手段41は、検証に合格したことを確認したら、それぞれ、トークン81と譲渡証明書83を記憶部35に保存する(S134)。
【0074】
図8は、ユーザ端末30bが譲渡されたトークン81を用いてコンテンツサーバ50cにアクセスする際の動作を説明するシーケンス図である。
ユーザ端末30bのトークン利用処理手段42は、コンテンツサーバ50cにアクセスするための利用証明書87を生成し(S141)、トークン81と利用証明書87をコンテンツサーバ50cに送信する(S142)。
【0075】
コンテンツサーバ50cのデータ通信手段53が、トークン81と利用証明書87を受信すると、利用トークン検証手段56は、トークン81を権限管理サーバ10cの公開鍵で検証し、利用証明書検証手段57は、利用証明書87をユーザ端末30bのトークン利用公開鍵で検証する(S143)。
コンテンツサーバ50cのアクセス権の確認要求手段58は、2つの検証に合格したことを確認したら、トークン81の譲渡および利用履歴が正当であるかの確認要求を権限管理サーバ10cに対して行うために、トークン81と利用証明書87を権限管理サーバ10cに送信する(S144)。
【0076】
権限管理サーバ10cの利用トークン検証処理手段19は、データ通信部13を介してトークン81と利用証明書87を受信し、今までに利用されたことがあるトークンでないか、などのデータベースとの整合性チェックを行い、トークン81の有効性を確認する(S145)。
さらに、権限管理サーバ10cのユーザ正当性確認要求手段20は、譲渡履歴と利用者履歴が正しいか否かを各権限管理サーバ10bに問い合わせるために、利用証明書87に含まれる暗号化された譲渡証明書と利用ユーザ名(仮名ID)を権限管理サーバ10bに送信する(S146)。
【0077】
権限管理サーバ10bのユーザ正当性確認手段21は、暗号化された譲渡証明書と利用ユーザ名(仮名ID)を受信し、暗号化された譲渡証明書を権限管理サーバ10bのみが知る秘密鍵で復号する。ユーザ正当性確認手段21は、復号した譲渡証明書83の譲渡先ユーザ名と利用ユーザ名(仮名ID)が同一ユーザのものか否かを確認する(S147)。
権限管理サーバ10bのユーザ正当性確認要求手段20は、同一ユーザであることを確認できたら、譲渡証明書83に含まれる暗号化された発行証明書と譲渡元ユーザ名(仮名ID)を権限管理サーバ10aに送信する(S148)。
【0078】
権限管理サーバ10aのユーザ正当性確認手段21は、暗号化された発行証明書と譲渡元ユーザ名(仮名ID)を受信し、暗号化された発行証明書を権限管理サーバ10aのみが知る秘密鍵で復号する。ユーザ正当性確認手段21は、復号した発行証明書82のトークン要求ユーザ名と譲渡元ユーザ名(仮名ID)が同一ユーザのものか否かを確認する(S149)。
同一ユーザであることを確認できたら、権限管理サーバ10aの発行証明書検証のユーザ正当性確認応答手段22は、その確認結果と発行証明書82に含まれているトークンのハッシュ値と発行時に記憶しておいたトークン発行要求をしたユーザの仮名IDを権限管理サーバ10bに返信する(S150)。
【0079】
権限管理サーバ10bの譲渡証明書検証のユーザ正当性確認応答手段23は、権限管理サーバ10aから受信した確認結果が合格であることを確認したら、利用ユーザの仮名IDを生成し(S151)、ユーザの正当性確認結果、トークンのハッシュ値、トークン発行要求ユーザの仮名ID、利用ユーザの仮名IDを権限管理サーバ10cに返信する(S152)。
【0080】
権限管理サーバ10cのアクセス権の確認応答手段24は、ユーザの正当性確認結果、利用証明書に含まれていたトークンのハッシュ値、トークン発行要求ユーザの仮名ID、利用ユーザの仮名IDを受信し、利用証明書87がトークン81に対する利用証明書であることを確認するために、トークンのハッシュ値が正しいことを検証する。また、何らかの不正行為が発生した場合に、不正行為を行った者を追跡するために、仮名IDをデータベースに保存する(S153)。
アクセス権の確認応答手段24は、ユーザの正当性確認結果、トークンの有効性確認結果をコンテンツサーバ50cに返信する(S154)。
コンテンツサーバ50cのアクセス可否決定手段59は、ユーザの正当性確認結果、トークンの有効性確認結果を受信し、ユーザ端末30bからのアクセス要求を許可するか否かを決定する(S155)。
【0081】
上記の動作例において、トークンの譲渡先ユーザ端末が事前に譲渡元ユーザの譲渡用公開鍵証明書を取得し署名検証用鍵記憶部に保管しておく形態のほか、譲渡元のユーザ端末が譲渡証明書と一緒に譲渡用公開鍵証明書を譲渡先のユーザ端末に送信するようにしても良い。
同様に、コンテンツサーバが事前にトークン利用公開鍵証明書を用意しておく形態のほか、トークンを利用するユーザ端末が利用証明書と一緒にトークン利用公開鍵証明書をコンテンツサーバに送信するようにしても良い。
【0082】
また、コンテンツサーバ50cがユーザ端末30bから送信されたトークン81と利用証明書87を検証せずに、権限管理サーバ10cに送信し、権限管理サーバ10cでトークン81および利用証明書87の検証を行うようにしても良い。そうすることで、コンテンツサーバ50cは署名検証用鍵やトークンの記憶もトークンや利用証明書の検証も行わずにすむ。そのため、コンテンツサーバ50cの構成を単純にし、また、コンテンツサーバ50cの負荷を軽減することができる。
【0083】
トークンの譲渡は、2回以上行うこともできる。この場合、2回目以降の譲渡を行うユーザ端末は、図10(b)の譲渡証明書84を譲渡先のユーザ端末に送信する。譲渡証明書84は、図10(a)の譲渡証明書83の暗号化された発行証明書の代わりに暗号化されたトークンの譲渡元のユーザ端末から取得した譲渡証明書(この譲渡証明書には暗号化された発行証明書が含まれている)が含まれている。
そして、トークンを利用するユーザ端末は、利用証明書87を生成し、目的のコンテンツサーバに送信する。
トークンと利用証明書87を受信したコンテンツサーバは、図8と同様の手順で、譲渡証明書または利用証明書を発行したユーザ端末が属する権限管理サーバに証明書の検証を順次依頼する。
【0084】
権限管理システム70において、トークンの発行を受けたユーザ端末がトークンを譲渡することなく自ら使用することもできる。ここでは、ユーザ端末30aが取得したトークンをコンテンツサーバ50cに送信してコンテンツサーバ50cにアクセスする場合を例に説明する。なお、ユーザ端末30aがトークンを取得するまでの動作は、図6と同じである。
図12は、このような場合の権限管理システム70の動作を示すシーケンス図である。
ユーザ端末30aのトークン利用処理手段42は、コンテンツサーバ50cにアクセスするための利用証明書87を生成し(S161)、トークン81と利用証明書87をコンテンツサーバ50cに送信する(S162)。
【0085】
コンテンツサーバ50cのデータ通信手段53が、トークン81と利用証明書87を受信すると、利用トークン検証手段56は、トークン81を権限管理サーバ10cの公開鍵で検証し、利用証明書検証手段57は、利用証明書87をユーザ端末30aのトークン利用公開鍵で検証する(S163)。
コンテンツサーバ50cのアクセス権の確認要求手段58は、2つの検証に合格したことを確認したら、トークン81の譲渡および利用履歴が正当であるかの確認要求を権限管理サーバ10cに対して行うために、トークン81と利用証明書87を権限管理サーバ10cに送信する(S164)。
【0086】
権限管理サーバ10cの利用トークン検証処理手段19は、データ通信部13を介してトークン81と利用証明書87を受信し、今までに利用されたことがあるトークンでないか、などのデータベースとの整合性チェックを行い、トークン81の有効性を確認する(S165)。
さらに、権限管理サーバ10cのユーザ正当性確認要求手段20は、利用者履歴が正しいか否かを各権限管理サーバ10aに問い合わせるために、利用証明書87に含まれる暗号化された発行証明書と利用ユーザ名(仮名ID)を権限管理サーバ10aに送信する(S166)。
【0087】
権限管理サーバ10aのユーザ正当性確認手段21は、暗号化された発行証明書と利用ユーザ名(仮名ID)を受信し、暗号化された発行証明書を権限管理サーバ10aのみが知る秘密鍵で復号する。ユーザ正当性確認手段21は、復号した発行証明書82のトークン要求ユーザ名と利用ユーザ名(仮名ID)が同一ユーザのものか否かを確認する(S169)。
同一ユーザであることを確認できたら、権限管理サーバ10aの発行証明書検証のユーザ正当性確認応答手段22は、その確認結果と発行証明書82に含まれているトークンのハッシュ値と発行時に記憶しておいたトークン発行要求をしたユーザの仮名IDを権限管理サーバ10cに返信する(S170)。
【0088】
権限管理サーバ10cのアクセス権の確認応答手段24は、ユーザの正当性確認結果、利用証明書に含まれていたトークンのハッシュ値、トークン発行要求ユーザの仮名ID、利用ユーザの仮名IDを受信し、利用証明書87がトークン81に対する利用証明書であることを確認するために、トークンのハッシュ値が正しいことを検証する。また、何らかの不正行為が発生した場合に、不正行為を行った者を追跡するために、仮名IDをデータベースに保存する(S173)。
アクセス権の確認応答手段24は、ユーザの正当性確認結果、トークンの有効性確認結果をコンテンツサーバ50cに返信する(S174)。
コンテンツサーバ50cのアクセス可否決定手段59は、ユーザの正当性確認結果、トークンの有効性確認結果を受信し、ユーザ端末30aからのアクセス要求を許可するか否かを決定する(S175)。
【0089】
ここで、1回目の譲渡が行われたときの譲渡証明書83のデータ構造と譲渡されずに利用されたときの利用証明書86のデータ構造は本質的に同じため、どちらか一方の証明書に代替することが出来る。同様に、2回目以降の譲渡が行われたときの譲渡証明書84と1回以上譲渡が行われたときの利用証明書87はどちらか一方に統一して代替することが出来る。同様に、譲渡用公開鍵証明書とトークン利用公開鍵証明書を代替することが出来る。
【0090】
次に、権限譲渡システム1の効果について説明する。
第1の効果は、コンテンツサーバへのアクセスを管理する権限管理サーバを有するシステムが複数あるような環境において各々のコンテンツサーバに所属するユーザが他システムのコンテンツサーバを利用する場合に、権限管理サーバで管理するユーザ情報を他システムの権限管理サーバに漏らさずに、他システムのコンテンツサーバにアクセスできることである。
その理由は、他システムを利用する場合、他システムで利用するための仮名ユーザ名および他システムで利用するための署名生成用鍵を用いて利用証明書を生成し、他システムの権限管理サーバでも利用証明書を見ることが出来るが、その利用証明書に含まれるユーザ情報、および検証に用いるためのトークン利用公開鍵証明書に含まれるユーザ情報は他システムで利用するための仮のユーザ名であるために、他システムの権限管理サーバには正式なユーザ情報は漏れない。一方で、利用証明書の正当性の検証は、ユーザが所属する権限管理システムで行われ、その結果は利用された側の権限管理システムに通知されるので、ユーザは他人のトークンを利用できない。
また、発行証明書に譲渡元ユーザ所属する権限管理サーバの公開鍵で暗号化するのは、ユーザ間で譲渡を繰り返していくにつれて、他システムで利用する仮のユーザ名が、2つ先以上の譲渡先ユーザ、つまり譲渡先ユーザのさらに次の譲渡先ユーザ等、さらに、他システムの権限管理サーバにも見ることが出来てしまうことを防ぐためである。かりに2つ先以降の譲渡先のユーザや他システムの権限管理サーバが譲渡元の仮のユーザ名を知っていた場合、誰から譲渡されたトークンであるかが容易に追跡できてしまう。
同様に、譲渡証明書に譲渡元ユーザ所属する権限管理サーバの公開鍵で暗号化するのも2つ先以上の譲渡先ユーザや他システムの権限管理サーバに仮のユーザ名が漏れることを防ぐことにある。
【0091】
第2の効果は、異なるシステムに所属するユーザ間でアクセス権限の譲渡を行った場合でも、ユーザ情報を漏らさずに、譲渡されたアクセス権限を利用できることである。
その理由は、他システムを利用する場合、他システムで利用するための仮のユーザ名および他システムで利用するための署名生成用鍵を用いて、譲渡証明書を生成し、他システムの権限管理サーバでも譲渡証明書を見ることが出来るが、その譲渡証明書に含まれるユーザ情報、および検証に用いるための譲渡用公開鍵証明書に含まれるユーザ情報は他システムで利用するための仮のユーザ名であるために、他システムの権限管理サーバには正式なユーザ情報は漏れない。
【0092】
第3の効果は、トークンの不正利用・不正譲渡された場合は不正を行ったユーザを追跡することが出来る。
その理由は、譲渡証明書の正当性の検証は、ユーザが所属する権限管理システムで行われ、その結果は利用された側の権限管理システムに通知されるが、正当性の結果と共に、仮名IDが利用された側の権限管理システムに通知されるので、なんらかのトークンの不正利用・不正譲渡がなされた場合はその仮名IDを各権限管理サーバに問い合わせることで不正を行ったユーザを追跡することが出来る。
【図面の簡単な説明】
【0093】
【図1】本発明の一実施形態である権限管理システムの全体図である。
【図2】権限譲渡システムの動作の概要を説明する図である。
【図3】権限管理サーバの機能ブロック図である。
【図4】ユーザ端末の機能ブロック図である。
【図5】コンテンツサーバの機能ブロック図である。
【図6】権限譲渡システムのトークン発行動作を示すシーケンス図である。
【図7】権限譲渡システムのトークン譲渡動作を示すシーケンス図である。
【図8】権限譲渡システムのトークン利用動作を示すシーケンス図である。
【図9】図9(a)は、トークンのデータ構造例を示す図である。図9(b)は、発行証明書のデータ構造例を示す図である。
【図10】図10(a)および図10(b)は、譲渡証明書のデータ構造例を示す図である。図10(c)は、譲渡用公開鍵証明書のデータ構造例を示す図である。
【図11】図11(a)および図11(b)は、利用証明書のデータ構造例を示す図である。図11(c)は、トークン利用公開鍵証明書のデータ構造例を示す図である。
【図12】権限管理システムのトークン利用動作を示すシーケンス図である。
【符号の説明】
【0094】
1、2、3 サブシステム
10a、10b、10c 権限管理サーバ
16 トークン発行依頼処理手段
17 トークン発行処理手段
18 発行証明書生成処理手段
19 利用トークン検証手段
20 ユーザ正当性確認要求手段
21 ユーザ正当性確認手段
22 発行証明書検証のユーザ正当性確認応答手段
23 譲渡証明書検証のユーザ正当性確認応答手段
24 アクセス権の確認応答手段
25 ユーザ情報記憶部
26 署名生成用鍵記憶部
27 トークン記憶部
28 暗号復号鍵記憶部
29 署名検証用鍵記憶部
30a、30b、30c ユーザ端末
36 トークン発行要求手段
37 発行トークン検証手段
38 発行証明書検証手段
39 トークン譲渡処理手段
40 トークン譲渡検証手段
41 譲渡証明書検証手段
42 トークン利用処理手段
43 ユーザ情報記憶部
44 署名検証用鍵記憶部
45 トークン記憶部
46 発行証明書記憶部
47 署名生成用鍵記憶部
48 譲渡証明書記憶部
50a、50b、50c コンテンツサーバ
56 利用トークン検証手段
57 利用証明書検証手段
58 アクセス権の確認要求手段
59 アクセス可否決定手段
60 署名検証用鍵記憶部
61 トークン記憶部
70 権限管理システム
【技術分野】
【0001】
本発明は、利用者の資源に対するアクセス権限を管理する技術に関し、特に、ある権限管理サーバの管理下の利用者が、この資源管理サーバの管理下の資源にアクセスするために用いている識別情報を通知することなく、他の権限管理サーバの管理下にある資源にアクセスすることができるアクセス権限管理技術に関する。
【背景技術】
【0002】
従来からコンテンツサーバ等の資源にアクセスできるユーザを限定するシステムにおいてそのシステムで閉じたアクセス制御技術が多数提案されている。
たとえば、特許文献1には、委譲権限証明書を利用した共有リソース管理システムが記載されている。
この共有リソース管理システムでは、譲渡クライアントが、委譲権限証明書発行機能を用いて管理対象リソースに対するアクセス権限の一時的又は限定的な譲渡を証明する委譲権限証明書を発行し、被譲渡クライアントは、委譲権限証明書格納機能を通じて委譲権限証明書を取得し、取得した委譲権限証明書に基づくアクセス要求であるディジタル代理署名をディジタル代理署名生成機能により生成し、リソース管理サーバはディジタル代理署名を受け取り、ディジタル代理署名検証機能及び委譲権限検証機能を通じて、被譲渡クライアントによる管理対象リソースへのアクセス要求が適正であるか否かの検証を行う。
【0003】
【特許文献1】特開2002−163235号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、従来のアクセス制御技術では、利用ユーザを限定するシステムが複数ある環境で、異なるシステムのコンテンツサーバにアクセスできるようにするためには、複数のシステムを包含した大規模な権限管理サーバを構築する必要があった。
そのため、複数のシステムを包含した大規模な権限管理サーバを有するシステムでは、ユーザの管理が一極集中し、権限管理サーバの負荷は大きくなるという問題があった。
また、あるシステムの管理下にあるユーザが管理者が異なる他のシステムの管理下にある資源を利用しようとする場合、他のシステムに当該ユーザのユーザ情報(たとえば、ユーザID)を伝える必要があるという問題があった。これは、システム管理者の立場からは、競業者に顧客情報が漏れてしまう危険があることを意味し、また、ユーザの立場からは、他システムにも個人情報が漏れてしまうことになるので、好ましくない。
【0005】
そこで、本発明は、ユーザおよびユーザがコンテンツサーバなどの資源へアクセスできる権限を管理する権限管理サーバを有するシステムが複数あるような環境において、各々のシステムに所属するユーザが他システムの資源を利用する場合に、権限管理サーバで管理するユーザ情報を他システムの権限管理サーバに漏らさずに、他システムのコンテンツサーバにアクセスでき、また異なるシステムに所属するユーザ間でコンテンツサーバのアクセス権限の譲渡を行った場合でも、ユーザ情報を漏らさずに、譲渡されたアクセス権限を利用できる権限管理システム等を提供することをその目的とする。
【課題を解決するための手段】
【0006】
本発明の権限管理サーバは、仮名識別情報を生成し、外部資源のアクセス権限を管理する外部権限管理サーバに仮名識別情報を送信し、仮名識別情報に対応する利用者に外部資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、トークンを利用者が使用する利用者端末に送信するトークン送信手段とを備えている(請求項1ないし請求項3)。
【0007】
上記権限管理サーバによれば、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、仮名識別情報に対して発行されたトークンを利用者端末に送信する。利用者は、このトークンを用いて外部資源にアクセスすることができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報(たとえば、ユーザID)とは異なるから、利用者は通常の識別情報を他のシステムに通知することなく、外部資源にアクセスすることができる。
【0008】
上記権限管理サーバにおいて、トークン送信手段は、トークンのハッシュ値と仮名識別情報と権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を利用者端末に送信する機能を備え、権限管理サーバの公開鍵で暗号化した発行証明書と平文の仮名識別情報を含む利用証明書を外部権限管理サーバから受信したときに作動し、暗号化された発行証明書を公開鍵に対応する秘密鍵で復号し、暗号化された発行証明書に含まれる仮名識別情報と平文の仮名識別情報とが一致するか否かを判定し、その判定結果を外部権限管理サーバに送信する利用者正当性検証手段とを備えるようにしてもよい(請求項2)。
【0009】
このようにすれば、トークンと発行証明書を取得した外部権限管理サーバ等が発行証明書を発行元の権限管理サーバに送信し、トークンが発行証明書に含まれている仮名識別情報に対応する利用者に対して発行されたものか否かの検証を依頼することができる。
そのため、トークンの不正取得等による第三者による外部資源への不正なアクセスを防止することができる。ここで、利用証明書には通常の利用者識別情報は含まれていないから、外部システムに通常の利用者情報がもれることもない。
【0010】
上記権限管理サーバにおいて、利用証明書には、仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名を付し、トークン利用署名鍵に対応するトークン利用公開鍵と仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段を備えるようにしてもよい(請求項3)。
【0011】
このようにすれば、トークンを取得した外部権限管理サーバ等は、利用証明書を発行した権限管理サーバの公開鍵を用いて利用証明書を検証し、利用証明書の正当性を検証することができる。
そのため、利用証明書の改ざんや不正取得による外部資源への不正なアクセスを防止することができる。
【0012】
本発明の権限管理システムは、利用側権限管理サーバと、外部限管理サーバと、利用者端末と、資源サーバとを備えている。
利用側権限管理サーバは、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を送信し、利用者に外部資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、トークンを利用者端末に送信するトークン送信手段とを備えている。
利用者端末は、トークンを資源サーバに送信するトークン利用処理手段を備えている。
外部権限管理サーバは、トークン生成して利用側権限管理サーバに送信する共にトークンに関する情報をトークン記憶部に記憶するトークン発行手段を備えている。
外部権限管理サーバと資源サーバのいずれか一方または両方は、トークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証手段を備えている(請求項4ないし請求項6)。
【0013】
上記権限管理システムによれば、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを資源サーバに送信して外部資源にアクセスすることができる。
トークンを利用者端末から受信した資源サーバとそのトークンを資源サーバから転送された外部権限管理サーバは、受信したトークンとトークン記憶部に記憶されたトークンに関する情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、外部資源にアクセスすることができる。
【0014】
上記権限管理システムにおいて、トークン送信手段は、トークンのハッシュ値と仮名識別情報と利用側権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を利用者端末に送信する機能を備え、トークン利用処理手段は、利用側権限管理サーバの公開鍵で暗号化した発行証明書と平文の仮名識別情報を含む利用証明書を生成し資源サーバに送信する機能を備え、外部権限管理サーバは、資源サーバから証明書とトークンを受信したときに作動し、利用証明書を利用側権限管理サーバに送信して利用証明書を送信した利用者の正当性の検証を依頼する検証依頼手段とを備え利用側権限管理サーバは、利用証明書を外部権限管理サーバから受信したときに作動し、暗号化された発行証明書を公開鍵に対応する秘密鍵で復号し、暗号化された発行証明書に含まれる仮名識別情報と平文の仮名識別情報とが一致するか否かを判定し、その判定結果を外部権限管理サーバに送信する利用者正当性検証手段とを備えるようにしても良い(請求項5)。
【0015】
このようにすれば、トークンと発行証明書を取得した外部権限管理サーバ等が発行証明書を利用側権限管理サーバに送信し、トークンが発行証明書に含まれている仮名識別情報に対応する利用者に対して発行されたものか否かの検証を依頼することができる。
そのため、トークンの不正取得等による第三者による外部資源への不正なアクセスを防止することができる。ここで、利用証明書には通常の利用者識別情報は含まれていないから、外部システムに通常の利用者情報がもれることもない。
【0016】
上記権限管理システムにおいて、利用証明書には、仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名を付し、利用側権限管理サーバは、トークン利用署名鍵に対応するトークン利用公開鍵と仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段を備え、外部権限管理サーバと資源サーバのいずれか一方または両方は、利用証明書を受信したときに作動し、トークン利用公開鍵証明書から取得したトークン利用公開鍵を用いて利用証明書の正当性を検証する利用証明書検証手段を備えるようにしても良い(請求項6)。
【0017】
このようにすれば、トークンを取得した外部権限管理サーバ等は、まず、トークン利用公開鍵証明書を用いてトークン利用公開鍵の正当性を検証し、さらにトークン利用公開鍵を用いて利用証明書の正当性を検証することができる。
そのため、利用証明書の改ざんや不正取得による外部資源への不正なアクセスを防止することができる。
【0018】
本発明の権限管理システムは、利用側権限管理サーバと、外部限管理サーバと、利用者端末と、資源サーバと、譲渡先利用者端末と、譲渡先権限管理サーバとを備えている。
利用側権限管理サーバは、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を送信し、利用者に管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、トークンを利用者端末に送信するトークン送信手段とを備えている。
利用者端末は、トークンを譲渡先利用者端末に送信するトークン譲渡手段を備えている。
譲渡先利用者端末は、トークンを外部資源を保持する資源サーバに送信するトークン利用処理手段を備えている。
外部権限管理サーバは、トークンを生成して利用側権限管理サーバに送信すると共にトークンに関する情報をトークン記憶部に記憶するトークン発行手段を備えている。
外部権限管理サーバと資源サーバのいずれか一方または両方は、トークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証手段を備えている(請求項7ないし請求項9)。
【0019】
上記権限管理システムによれば、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを譲渡先利用者端末に送信することにより外部資源へのアクセス権を譲渡先利用者に譲渡することができる。譲渡先利用者は、譲渡先利用者端末で資源サーバに譲渡されたトークンを送信して外部資源にアクセスすることができる。
トークンを譲渡先利用者端末から受信した資源サーバとそのトークンを資源サーバから転送された外部権限管理サーバは、受信したトークンとトークン記憶部に記憶されたトークンに関する情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、トークンを譲渡先利用者に譲渡し、譲渡先利用者はこのトークンを用いて外部資源にアクセスすることができる。
【0020】
上記権限管理システムにおいて、トークン送信手段は、トークンのハッシュ値と仮名識別情報と利用側権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を利用者端末に送信する機能を備え、トークン譲渡手段は、利用側権限管理サーバの公開鍵で暗号化された発行証明書と平文の仮名識別情報とを含む譲渡証明書を生成し譲渡先利用者端末に送信する機能を備え、トークン利用処理手段は、譲渡先権限管理サーバの公開鍵で暗号化された譲渡証明書と譲渡先利用者が譲渡先権限管理サーバの管理下の資源にアクセスするために用いる識別情報とは異なる平文の譲渡先利用者仮名識別情報とを含む利用証明書を生成しトークンと共に資源サーバに送信する機能を備え、外部権限管理サーバは、資源サーバから利用証明書とトークンを受信したときに作動し、利用証明書を譲渡先権限管理サーバに送信して利用証明書を送信した利用者の正当性の検証を依頼する検証依頼手段を備え、譲渡先権限管理サーバは、利用証明書を外部権限管理サーバから受信したときに作動し、暗号化された譲渡証明書を譲渡先権限管理サーバの公開鍵に対応する秘密鍵で復号し、暗号化された譲渡証明書に含まれる譲渡先利用者仮名識別情報と平文の譲渡先利用者仮名識別情報とが一致するか否かを判定する利用者正当性判定手段と、復号した譲渡証明書を利用側権限管理サーバに送信し譲渡証明書を送信した利用者の正当性の検証を依頼する利用者正当性検証依頼手段と、利用者正当性判定手段による判定結果と、利用者正当性検証依頼手段による依頼に対する利用側権限管理サーバからの応答を外部権限管理サーバに送信する応答手段とを備え、利用側権限管理サーバは、譲渡証明書を譲渡先権限管理サーバから受信したときに作動し、暗号化された発行証明書を利用側権限管理サーバの公開鍵に対応する秘密鍵で複合し、暗号化された発行証明書に含まれる仮名識別情報と平文の仮名識別情報とが一致するか否かを判定し、その判定結果を譲渡先権限管理サーバに送信する確認応答手段とを備えるようにしても良い(請求項8)。
【0021】
このようにすれば、トークンと利用証明書を取得した外部権限管理サーバ等は利用証明書に含まれる譲渡証明書を譲渡先権限管理サーバに送信し、トークンが利用証明書に含まれている仮名識別情報に対応する利用者に対して譲渡されたものか否かの検証を依頼することができる。また、譲渡証明書を取得した譲渡先権限管理サーバが譲渡証明書に含まれる発行証明書を利用側権限管理サーバに送信し、トークンが発行証明書に含まれている仮名識別情報に対応する利用者に対して発行されたものか否かの検証を依頼することができる。
そのため、トークンの不正取得等による第三者による外部資源への不正なアクセスを防止することができる。ここで、利用証明書と譲渡証明書には通常の利用者識別情報は含まれていないから、外部システムに通常の利用者情報がもれることもない。
【0022】
上記権限管理システムにおいて、譲渡証明書には、仮名識別情報に対応するトークン譲渡署名鍵を用いたデジタル署名を付し、利用証明書には、譲渡先利用者仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名を付し、利用側権限管理サーバは、トークン譲渡署名鍵に対応するトークン譲渡公開鍵と仮名識別情報を含むトークン譲渡公開鍵証明書を生成するトークン譲渡公開鍵証明書生成手段を備え、譲渡先権限管理サーバは、トークン利用署名鍵に対応するトークン利用公開鍵と譲渡先利用者仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段と、譲渡証明書を受信したときに作動し、トークン譲渡公開鍵証明書から取得したトークン譲渡公開鍵を用いて譲渡証明書の正当性を検証する譲渡証明書検証手段を備え、外部権限管理サーバと資源サーバのいずれか一方または両方は、利用証明書を受信したときに作動し、トークン利用公開鍵証明書から取得したトークン利用公開鍵を用いて利用証明書の正当性を検証する利用証明書検証手段を備えるようにしても良い(請求項9)。
【0023】
このようにすれば、トークンを取得した外部権限管理サーバ等は、まず、トークン利用公開鍵証明書を用いてトークン利用公開鍵の正当性を検証し、さらにトークン利用公開鍵を用いて利用証明書の正当性を検証することができる。また、譲渡証明書を取得した譲渡先利用者端末は、まず、トークン譲渡公開鍵証明書を用いてトークン譲渡公開鍵の正当性を検証し、さらにトークン譲渡公開鍵を用いて譲渡証明書の正当性を検証することができる。
そのため、利用証明書と譲渡証明書の改ざんや不正取得による外部資源への不正なアクセスを防止することができる。
【0024】
本発明の権限管理方法は、利用側権限管理サーバが、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を送信し、利用者に管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求ステップと、外部権限管理サーバがトークンを生成して利用側権限管理サーバに送信すると共にトークンに関する情報をトークン記憶部に記憶するトークン発行ステップと、利用側権限管理サーバが、トークンを利用者が使用する利用者端末に送信するトークン送信ステップと、利用者端末が、トークンを外部資源を保持する資源サーバに送信するトークン利用処理ステップと、外部権限管理サーバがトークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証ステップにより外部資源へのアクセス権限を管理する(請求項10)。
【0025】
上記権限管理方法によれは、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを資源サーバに送信して外部資源にアクセスすることができる。
トークンを資源サーバを介して利用者端末から受信した外部権限管理サーバは、受信したトークンとトークン記憶部に記憶されたトークンに関する情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、外部資源にアクセスすることができる。
【0026】
本発明の権限管理方法は、利用側権限管理サーバが、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を通知し、利用者に管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求ステップと、外部権限管理サーバが、トークンを生成して利用側権限管理サーバに送信すると共にトークン関する情報をトークン記憶部に記憶するトークン発行ステップと、利用側権限管理サーバが、トークンを利用者が使用する利用者端末に送信するトークン発行ステップと、利用者端末が、利用者からトークン譲渡される譲渡先利用者が利用する譲渡先利用者端末にトークンを送信するトークン譲渡ステップと、譲渡先利用者端末が、トークンを外部資源を保持する資源サーバに送信するトークン利用処理ステップと、外部権限管理サーバがトークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証ステップにより外部資源へのアクセス権限を管理する(請求項11)。
【0027】
上記権限管理方法によれば、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを譲渡先利用者端末に送信することにより外部資源へのアクセス権を譲渡先利用者に譲渡することができる。譲渡先利用者は、譲渡先利用者端末で資源サーバに譲渡されたトークンを送信して外部資源にアクセスすることができる。
トークンを譲渡先利用者端末から受信した資源サーバとそのトークンを資源サーバから転送された外部権限管理サーバは、受信したトークンとトークン記憶部に記憶されたトークンに関する情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、トークンを譲渡先利用者に譲渡し、譲渡先利用者はこのトークンを用いて外部資源にアクセスすることができる。
【0028】
本発明の権限管理プログラムは、コンピュータに、利用側権限管理サーバが、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を送信し、利用者に管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求機能と、外部権限管理サーバがトークンを生成して利用側権限管理サーバに送信すると共にトークンに関する情報をトークン記憶部に記憶するトークン送信機能と、利用側権限管理サーバが、トークンを利用者が使用する利用者端末に送信するトークン送信機能と、利用者端末が、トークンを外部資源を保持する資源サーバに送信するトークン利用処理機能と、外部権限管理サーバがトークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証機能を実行させることにより外部資源へのアクセス権限を管理する(請求項12)。
【0029】
上記権限管理プログラムによれは、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを資源サーバに送信して外部資源にアクセスすることができる。
トークンを資源サーバを介して利用者端末から受信した外部権限管理サーバは、受信したトークンとトークン記憶部に記憶された情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、外部資源にアクセスすることができる。
【0030】
本発明の権限管理プログラムは、コンピュータに、利用側権限管理サーバが、仮名識別情報を生成し、外部権限管理サーバに仮名識別情報を通知し、利用者に管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求機能と、外部権限管理サーバが、トークンを生成して利用側権限管理サーバに送信すると共にトークンに関する情報をトークン記憶部に記憶するトークン発行機能と、利用側権限管理サーバが、トークンを利用者が使用する利用者端末に送信するトークン送信機能と、利用者端末が、利用者からトークン譲渡される譲渡先利用者が利用する譲渡先利用者端末にトークンを送信するトークン譲渡機能と、譲渡先利用者端末が、トークンを外部資源を保持する資源サーバに送信するトークン利用処理機能と、外部権限管理サーバがトークンを受信したときに作動し、受信したトークンとトークン記憶部に記憶されている情報を照合してトークンが外部権限管理サーバにより利用者に対して発行されたものであるか否かを検証するトークン検証機能を実行させることにより外部資源へのアクセス権限を管理する(請求項13)。
【0031】
上記権限管理プログラムによれば、利用側権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、外部権限管理サーバはこれに応じて仮名識別情報に対してトークンを発行する。このとき、外部権限管理サーバは発行したトークンに関する情報をトークン記憶部に記憶しておく。
利用側権限管理サーバは、外部権限管理サーバにより発行されたトークンを利用者端末に送信する。利用者は、利用者端末でトークンを譲渡先利用者端末に送信することにより外部資源へのアクセス権を譲渡先利用者に譲渡することができる。譲渡先利用者は、譲渡先利用者端末で資源サーバに譲渡されたトークンを送信して外部資源にアクセスすることができる。
トークンを譲渡先利用者端末から受信した資源サーバとそのトークンを資源サーバから転送された外部権限管理サーバは、受信したトークンとトークン記憶部に記憶された情報を照合しトークンの正当性を検証することができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を外部のシステムに通知することなく、トークンを譲渡先利用者に譲渡し、譲渡先利用者はこのトークンを用いて外部資源にアクセスすることができる。
【発明の効果】
【0032】
本発明によれば、権限管理サーバは、仮名識別情報を用いて外部権限管理サーバにトークンの発行を依頼し、仮名識別情報に対して発行されたトークンを利用者端末に送信する。利用者は、このトークンを用いて外部資源にアクセスすることができる。
仮名識別情報は、利用者が権限管理サーバの管理下にある資源にアクセスするために用いている通常の識別情報とは異なるから、利用者は通常の識別情報を他のシステムに通知することなく、外部資源にアクセスすることができる。
【発明を実施するための最良の形態】
【0033】
以下、図を参照しながら本発明の一実施形態である権限管理システム70の構成と動作について説明する。
図1は、権限管理システム70の全体の構成を示す図である。
権限管理システム70は、ネットワーク71にそれぞれ接続され、それぞれ異なる管理者の管理下にある複数のサブシステムにより構成される。権限管理システム70を構成するサブシステムの数に制限はないが、図1には一例としてサブシステム1、2、3の3個のサブシステムにより構成される例を示している。
サブシステム1は、1台または複数台のコンテンツサーバ50aと、コンテンツサーバ50aにアクセスする1台または複数台のユーザ端末30a、コンテンツサーバ50aへのアクセス権限の管理をする1台の権限管理サーバ10aを備えている。権限管理サーバ10a、ユーザ端末30a、コンテンツサーバ50aは、たとえばLANに接続され相互に通信可能となっている。
サブシステム2およびサブシステム3もサブシステム1と同様の構成要素を備えている。
【0034】
権限管理システム70においては、ユーザ端末は、自分が属するサブシステムのコンテンツサーバだけではなく、他のサブシステムのコンテンツサーバにアクセスすることができる。また、ユーザ端末は、自分が属するサブシステムの他のユーザ端末だけでなく、他のサブシステムに属するユーザ端末にアクセス権限を譲渡することもできる。権限管理システム70は、このような、他システムのコンテンツサーバへのアクセスや他システムのユーザ端末へのアクセス権限譲渡を仮のユーザ名を利用した署名生成用鍵、署名検証用鍵、署名検証用鍵の証明書を用いて行うことにより、他のサブシステムへユーザ情報が漏洩することを防止する。
【0035】
図2は、権限管理システム70の動作の概要を示す図である。
サブシステム1のユーザ端末30a(利用者端末の一例)が、サブシステム3のコンテンツサーバ50c(資源サーバの一例)が保持する資源(外部資源の一例)にアクセスするためのトークンをサブシステム2のユーザ端末30b(譲渡先利用者端末の一例)に譲渡し、ユーザ端末30bがそのトークンを用いてコンテンツサーバ50cにアクセスする場合を例に説明する。
ユーザ端末30aは、コンテンツサーバ50cにアクセスする権限を得るため、権限管理サーバ10a(利用側権限管理サーバの一例)に対してトークンの発行要求を行う(S101)。
権限管理サーバ10aは、コンテンツサーバ50cのアクセス権限を管理する権限管理サーバ10c(外部権限管理サーバの一例)に対して、トークンの発行依頼を送信する(S102)。
トークン発行依頼を受信した権限管理サーバ10cは、トークンを生成し、そのトークンを権限管理サーバ10aに送信する(S103)。
権限管理サーバ10aは、受信したトークンをユーザ端末30aに送信する(S104)。その際に、権限管理サーバ10aは、トークンをユーザ端末30aに発行したことを証明する発行証明書もユーザ端末30aに送信する。
【0036】
ユーザ端末30aは、S104で受信したコンテンツサーバ50cにアクセスできる権限を表すトークンをユーザ端末30bに譲渡する(S105)。その際に、ユーザ端末30aは、権限管理サーバ10aで認証を行うためのユーザ情報とは異なる仮のユーザ情報を用いて、発行証明書の情報を含む譲渡証明書を生成し、トークンと共にユーザ端末30bに送信する。
仮のユーザ情報とは、事前にユーザが所属するシステムの権限管理サーバに登録した他システムで利用するための仮のユーザ名(仮名識別情報の一例)とユーザが秘密に管理する署名生成用鍵を指す。ユーザ端末30aは、その仮のユーザ名の署名検証用鍵も事前に所属するシステムの権限管理サーバ10aに登録し、その権限管理サーバ10aから署名検証用鍵の証明書である譲渡用公開鍵証明書、トークン利用公開鍵証明書を取得し、保管しておく。
【0037】
ユーザ端末30bはコンテンツサーバ50cにユーザ端末30aから受信したトークンを送り、アクセス要求を行う。その際に、ユーザ端末30bは権限管理サーバ10b(譲渡先権限管理サーバの一例)で認証を行うためのユーザ情報とは異なる仮のユーザ情報(譲渡先仮名識別情報の一例)を用いて、譲渡証明書の情報を含む利用証明書を生成し、コンテンツサーバ50cに送信する(S106)。
コンテンツサーバ50cは、権限管理サーバ10cに対して、ユーザ端末30bから受信したトークンおよび利用証明書を送信し、アクセス権限の確認を依頼する(S107)。
権限管理サーバ10cは、権限管理サーバ10bに対して、利用証明書を送信し、それに含まれているユーザ端末20bのユーザ正当性確認を要求する(S108)。
権限管理サーバ10bは、権限管理サーバ10aに対して、譲渡証明書を送信し、それに含まれるトークンの譲渡元であったユーザ端末30aのユーザ正当性確認を要求する(S109)。
権限管理サーバ10aは、権限管理サーバ10bに対して、正当性確認の結果を返信する(S110)。
権限管理サーバ10bは、権限管理サーバ10cに対して、正当性確認の結果を返信する(S111)。
権限管理サーバ10cは、権限管理サーバ10bからの正当性確認の結果とトークンの有効性の確認を行い、その結果をコンテンツサーバ50cに返信する(S112)。
コンテンツサーバ50cは、権限管理サーバ10cからの権限確認の結果によりユーザ端末30bのアクセス要求に応じるか否かを決定する。
【0038】
図3は、権限管理サーバ10a、10b、10cの構成を示す機能ブロック図である。
権限管理サーバ10a等は、たとえばCPU(Central Processing Unit)を備えたサーバコンピュータであり、キーボード等の入力部11、ディスプレイ装置等の出力部12、LAN(Local Area Network)アダプタ等のデータ通信部13、データ処理部14、RAM(Random Access Memory)等のデータ記憶部15を備えている。
データ処理部14はトークン発行依頼処理手段16、トークン発行処理手段17、発行証明書生成処理手段18、利用トークン検証処理手段19、ユーザ正当性確認要求手段20、ユーザ正当性確認手段21、発行証明書検証のユーザ正当性確認応答手段22、譲渡証明書検証のユーザ正当性確認応答手段23、アクセス権の確認応答手段24から成る。
これらデータ処理部14を構成する各手段は、たとえば、権限管理サーバ10a等のCPUがコンピュータプログラムを実行し、権限管理サーバ10aのハードウェアを制御することにより実現される。
データ記憶部15は、ユーザ情報記憶部25、署名生成用鍵記憶部26、トークン記憶部27、暗号復号鍵記憶部28、署名検証用鍵記憶部29から成る。
【0039】
トークン発行依頼処理手段16(トークン発行要求手段の一例)は、データ通信部13を介してユーザ端末からトークンの発行要求を受信すると、ユーザの仮名IDを生成し、仮名IDを本来のIDと対応付けてユーザ情報記憶部25に記憶し、データ通信部13からアクセス権を取得しようとするコンテンツサーバが所属するサブシステムの権限管理サーバにトークン発行を依頼する。
【0040】
トークン発行処理手段17(トークン発行手段の一例)は、データ通信部13を介して他の権限管理サーバからのトークンの発行依頼を受信すると、署名生成用鍵記憶部26から権限管理サーバの署名生成用鍵を用いて、トークン81を発行し、トークン記憶部27に記憶する。そして、そのトークンをデータ通信部13を介して依頼元の権限管理サーバに返信する。
【0041】
発行証明書生成処理手段18(トークン送信手段の一例)は、データ通信部13を介して他の権限管理サーバからトークンを受信すると、署名生成用鍵記憶部26から読み出した権限管理サーバの署名生成用鍵を用いて、発行証明書82を生成する。そして、データ通信部13から発行証明書82とトークン81をユーザ端末に返信する。
【0042】
利用トークン検証処理手段19(トークン検証手段の一例)は、データ通信部13を介してコンテンツサーバからトークン81と利用証明書87を受信すると、トークン記憶部27を参照し、受信したトークンがすでに利用されたトークンではないかどうか、また、アクセス権限情報を満たしているかどうかの整合性チェックを行う。
【0043】
ユーザ正当性確認要求手段20(検証依頼手段の一例)は、データ通信部13を介してコンテンツかサーバからトークンが1回だけ譲渡された場合の譲渡証明書83を受信すると、譲渡証明書83に含まれる暗号化された発行証明書部分と譲渡元ユーザ名(仮名ID)をデータ通信部13から譲渡元ユーザが所属する権限管理サーバに送信する。
また、データ通信部13を介してコンテンツサーバからトークンが2回以上譲渡された場合の譲渡証明書84を受信すると、譲渡証明書84に含まれる暗号化された譲渡証明書部分と譲渡元ユーザ名(仮名ID)をデータ通信部13から譲渡元ユーザが所属する権限管理サーバに送信する。
また、データ通信部13を介してコンテンツサーバから利用証明書86を受信すると、利用証明書86に含まれる暗号化された発行証明書部分と利用ユーザ名(仮名ID)をデータ通信部13からコンテンツサーバにアクセスしようとするユーザが所属する権限管理システムの権限管理サーバに送信する。
また、データ通信部13を介してコンテンツサーバから利用証明書87を受信すると、利用証明書87に含まれる暗号化された譲渡証明書部分と利用ユーザ名(仮名ID)をデータ通信部13からコンテンツサーバにアクセスしようとするユーザが所属する権限管理システムの権限管理サーバに送信する。
【0044】
ユーザ正当性確認手段21は、データ通信部13を介して他の権限管理サーバから譲渡証明書83に含まれる暗号化された発行証明書部分と譲渡元ユーザ名(仮名ID)を受信すると、暗号復号鍵記憶部28から読み出した権限管理サーバのみが知る復号用鍵を用いて、暗号化されていた発行証明書を復号する。復号した発行証明書のトークン要求ユーザ名と受信した譲渡元ユーザ名(仮名ID)の比較を行い、ユーザ情報記憶部25に記憶されているトークン要求ユーザ名と受信した譲渡元ユーザ名(仮名ID)が同一のユーザのものか確認する。
また、データ通信部13を介して他の権限管理サーバから譲渡証明書84に含まれる暗号化された譲渡証明書部分と譲渡元ユーザ名(仮名ID)を受信すると、暗号復号鍵記憶部28から読み出した権限管理サーバのみが知る復号用鍵を用いて、暗号化されていた譲渡証明書を復号する。復号した譲渡証明書の譲渡先ユーザ名(仮名ID)と受信した譲渡元ユーザ名(仮名ID)の比較を行い、ユーザ情報記憶部25に記憶されているトークン要求ユーザ名と受信した譲渡元ユーザ名(仮名ID)が同一のユーザのものか確認する。
また、データ通信部13を介して他の権限管理サーバから利用証明書86に含まれる暗号化された発行証明書部分と利用ユーザ名(仮名ID)を受信すると、暗号復号鍵記憶部28から読み出した権限管理サーバのみが知る復号用鍵を用いて、暗号化されていた発行証明書を復号する。復号した発行証明書のトークン要求ユーザ名と受信した利用ユーザ名(仮名ID)の比較を行い、ユーザ情報記憶部25に記憶されているトークン要求ユーザ名と受信した利用ユーザ名(仮名ID)が同一のユーザのものか確認する。
また、データ通信部13を介して他の権限管理サーバから利用証明書87に含まれる暗号化された譲渡証明書部分と利用ユーザ名(仮名ID)を受信すると、暗号復号鍵記憶部28から読み出した権限管理サーバのみが知る復号用鍵を用いて、暗号化されていた譲渡証明書を復号する。復号した譲渡証明書の譲渡先ユーザ名(仮名ID)と受信した利用ユーザ名(仮名ID)の比較を行い、ユーザ情報記憶部25に記憶されているトークン要求ユーザ名と受信した利用ユーザ名(仮名ID)が同一のユーザのものか確認する。
【0045】
発行証明書検証のユーザ正当性確認応答手段22はユーザの正当性確認結果と発行証明書に含まれるトークンのハッシュ値とユーザ情報記憶部26から取得した仮名IDをデータ通信部13から権限管理サーバに送信する。
【0046】
譲渡証明書検証のユーザ正当性確認応答手段23はデータ通信部13を介して他の権限管理サーバからユーザの正当性確認結果とトークンのハッシュ値と仮名IDを受信すると、ユーザ正当性確認したユーザの仮名IDを生成する。そして、受信したユーザの正当性確認結果とトークンのハッシュ値と仮名IDに、さらにユーザ正当性確認したユーザの仮名IDを追加して、データ通信部13から権限管理サーバに返信する。
【0047】
アクセス権の確認応答手段24はデータ通信部13を介して他の権限管理サーバからユーザの正当性確認結果、利用証明書に含まれたトークンのハッシュ値、仮名IDを受信すると、トークン記憶部27からトークンを取得し、受信したトークンのハッシュ値と一致するかを確認する。その確認結果をデータ通信部13からコンテンツサーバに返信する。
【0048】
ユーザ情報記憶部25には、ユーザに対して発行した仮名IDがサブシステム内の資源にアクセスするために用いる通常のユーザIDと対応付けされて記憶されている。
署名生成用鍵記憶部26には、トークンと発行証明書に電子署名を行うために使用する鍵が記憶されている。
トークン記憶部27には、自己が発行したトークンに関する情報と、他の権限管理サーバ、資源サーバ、ユーザ端末から受信したトークンが記憶されている。
暗号復号鍵記憶28には、譲渡証明書に含まれる暗号化された発行証明書を復号するための秘密鍵と発行証明書に含まれる暗号化された譲渡証明書を復号するための秘密鍵が記憶されている。
署名検証用鍵記憶部29には、譲渡証明書と利用証明書に付されている電子署名を検証するためのユーザの公開鍵が記憶されている。この公開鍵は、通常のユーザIDではなく、仮名IDに対応して生成されている。
【0049】
図4は、ユーザ端末30a、30b、30cの構成を示す機能ブロック図である。
ユーザ端末30a等は、たとえばCPUを備えたパーソナルコンピュータであり、キーボード等の入力部31、ディスプレイ装置等の出力部32、LANアダプタ等のデータ通信部33、データ処理部34、RAM等のデータ記憶部35を備えている。
データ処理部34は、トークン発行要求処理手段36、発行トークン検証手段37、発行証明書検証手段38、トークン譲渡処理手段39、トークン譲渡検証手段40、譲渡証明書検証手段41、トークン利用処理手段42から成る。
これらのデータ処理部34を構成する各手段は、たとえば、ユーザ端末30a等のCPUがコンピュータプログラムを実行し、ユーザ端末30aのハードウェアを制御することにより実現される。
【0050】
トークン発行要求手段36は、ユーザ情報記憶部43からユーザ情報を取得し、入力部31を介してユーザから入力されたコンテンツサーバのアクセス権限をあらわすトークン要求情報と共にデータ通信部33に送る。
【0051】
発行トークン検証手段37はデータ通信部33を介して権限管理サーバからトークン81を受信すると、署名検証用鍵記憶部44から事前に取得しておいた権限管理サーバの署名検証用鍵を用いて、トークン81を検証する。そして、トークン記憶部45にトークンを記憶する。
【0052】
発行証明書検証手段38は、データ通信部33を介して権限管理サーバから発行証明書82を受信すると、署名検証用鍵記憶部44から取得した権限管理サーバの署名検証用鍵を用いて、発行証明書82を検証し、発行証明書記憶部46に記憶する。
【0053】
トークン譲渡処理手段39(トークン譲渡手段の一例)は、入力部31を介してユーザから入力された譲渡先ユーザ名(仮名ID)と譲渡処理要求を受信すると、ユーザ情報記憶部43から他システムで利用するための仮のユーザ名となる譲渡元ユーザ名(仮名ID)を取得し、署名生成用鍵記憶部47から読み出した譲渡元ユーザ(仮名ID)の署名生成用鍵を用いて、譲渡証明書83を生成し、トークン記憶部45から譲渡するトークン81を取得し、譲渡証明書83と共にデータ通信部13から譲渡先のユーザ端末に送信する。
【0054】
トークン譲渡検証手段40は、データ通信部33を介して他のユーザ端末から譲渡されたトークン81を受信すると、署名検証用鍵記憶部44から事前に取得しておいた権限管理サーバの署名検証用鍵を用いて、トークン81を検証する。そして、トークン記憶部45にトークンを記憶する。
【0055】
譲渡証明書検証手段41は、データ通信部33を介して他のユーザ端末から譲渡証明書83を受信すると、署名検証用鍵記憶部44から事前に取得しておいた譲渡用公開鍵を用いて譲渡証明書83を検証し、検証に合格すると譲渡証明書83を譲渡証明書記憶部48に記憶する。
【0056】
トークン利用処理手段42は入力部31からユーザが入力したトークン利用処理要求を受信すると、署名生成用鍵記憶部47から取得したトークン利用ユーザ(仮名ID)の署名生成用鍵を用いて、利用証明書87を生成し、トークン記憶部45から利用するトークン81を取得し、利用証明書87と共にデータ通信部33からコンテンツサーバに送信する。
【0057】
ユーザ情報記憶部43には、ユーザ端末を使用するユーザのユーザIDと仮名ユーザIDが記憶されている。
署名検証鍵記憶部44には、トークンを検証するために用いるトークンを生成した権限管理サーバの公開鍵と、譲渡証明書を検証するために用いる譲渡証明書を生成したユーザ端末の公開鍵と、発行証明書を検証するために用いる発行証明書を生成した権限管理サーバの公開鍵が記憶されている。
トークン記憶部45には、権限管理サーバから受信したトークンが記憶されている。
発行証明書記憶部46には、権限管理サーバから受信したトークンの発行証明書が記憶されている。
署名生成用鍵記憶部47には、譲渡証明書と利用証明書にデジタル署名を施すために用いるユーザの秘密鍵が記憶されている。この秘密鍵は、仮名IDに対して生成されたものである。
譲渡証明書記憶部48には、他のユーザ端末から受信した譲渡証明書が記憶されている。
【0058】
図5は、コンテンツサーバ50a、50b、50cの構成を示す機能ブロック図である。
コンテンツサーバ50a等は、たとえばCPUを備えたパーソナルコンピュータであり、キーボード等の入力部51、ディスプレイ装置等の出力部52、LANアダプタ等のデータ通信部53、データ処理部54、RAM等のデータ記憶部55を備えている。
データ処理部54は、利用トークン検証手段56、利用証明書検証手段57、アクセス権の確認要求手段58、アクセス可否決定手段59から成る。
これらデータ処理部54を構成する各手段は、たとえば、コンテンツサーバ50a等のCPUがコンピュータプログラムを実行し、コンテンツサーバ50aのハードウェアを制御することにより実現される。
データ記憶部55は、署名検証用鍵記憶部60、トークン記憶部61から成る。
【0059】
利用トークン検証手段56(トークン検証手段の一例)は、データ通信部53を介してユーザ端末からトークン81を受信すると、署名検証用鍵記憶部60から取得したトークンを発行した権限管理サーバの署名検証用鍵を用いて、トークン81を検証する。そして、トークン記憶部61にトークンを記憶する。
【0060】
利用証明書検証手段57はデータ通信部53を介してユーザ端末から利用証明書87を受信すると、署名検証用鍵記憶部60から事前に取得しておいた利用証明書を送信したユーザの譲渡用公開鍵を用いて、利用証明書87を検証する。
【0061】
アクセス権の確認要求手段58はデータ通信部53からトークン81、利用証明書87を同一サブシステム内の権限管理サーバに送信し、これらのデータの検証を依頼する。
【0062】
アクセス可否決定手段59はデータ通信部53を介して同一サブシステム内の権限管理サーバからユーザの正当性確認結果、トークンの有効性確認結果を受信すると、その結果からトークンを利用したユーザのアクセス可否を決定する。
【0063】
署名検証用鍵記憶部60には、ユーザ端末から受信した利用証明書を検証するために用いる利用証明書を発行したユーザの公開鍵が記憶されている。
トークン記憶部61には、ユーザ端末から受信したトークンが記憶されている。
【0064】
次に、権限管理システム70で使用される主なデータのデータ構造について説明する。
図9(a)にトークン81のデータ構造例を示す。
トークン81は、トークンID、コンテンツサーバ名、トークン発行元の権限管理サーバ名、アクセス権限情報および発行元権限管理サーバのデジタル署名から成る。
図9(b)に発行証明書82のデータ構造例を示す。
発行証明書82は、トークンのハッシュ値、トークン要求ユーザ名、発行証明書生成元の権限管理サーバ名および発行証明書生成元の権限管理サーバのデジタル署名から成る。
【0065】
図10(a)に1回目の譲渡が行われたときの譲渡証明書83のデータ構造例を示す。
1回目の譲渡が行われたときの譲渡証明書83は、譲渡元ユーザが所属する権限管理サーバの公開鍵で暗号化した発行証明書、譲渡先ユーザ名(仮名ID)、譲渡元ユーザ名(仮名ID)、譲渡元ユーザが所属する権限管理サーバ名および譲渡元ユーザ(仮名ID)のデジタル署名から成る。
図10(b)に2回目以降の譲渡が行われたときの譲渡証明書83のデータ構造例を示す。
2回目以降の譲渡が行われたときの譲渡証明書84は、譲渡元ユーザが所属する権限管理サーバの公開鍵で暗号化した譲渡証明書、譲渡先ユーザ名(仮名ID)、譲渡元ユーザ名(仮名ID)、譲渡元ユーザが所属する権限管理サーバ名および譲渡元ユーザ(他システム)のデジタル署名から成る。
図10(c)に上と用公開鍵証明書85のデータ構造例を示す。
譲渡用公開鍵証明書85は譲渡用公開鍵、譲渡元ユーザ名(仮名ID)、権限管理サーバ名、有効期間および譲渡元ユーザの所属する権限管理サーバのデジタル署名からなる。
【0066】
図11(a)に譲渡が行われずに利用されたときの利用証明書86のデータ構造例を示す。
譲渡が行われずに利用されたときの利用証明書86は、トークン利用ユーザが所属する権限管理サーバの公開鍵で暗号化した発行証明書、コンテンツサーバ名、利用ユーザ名(仮名ID)、利用ユーザが所属する権限管理サーバ名およびトークン利用ユーザ(他システム)のデジタル署名から成る。
図11(b)に1回以上譲渡が行われたときの利用証明書87のデータ構造例を示す。
1回以上譲渡が行われたときの利用証明書87は、トークン利用ユーザが所属する権限管理サーバの公開鍵で暗号化した譲渡証明書、コンテンツサーバ名、利用ユーザ名(仮名ID)、利用ユーザが所属する権限管理サーバ名およびトークン利用ユーザ(他システム)のデジタル署名から成る。
図11(c)にトークン利用公開鍵証明書88のデータ構造例を示す。
トークン利用公開鍵証明書88はトークン利用公開鍵、利用ユーザ名(仮名ID)、権限管理サーバ名、有効期間、およびトークン利用ユーザの所属する権限管理サーバのデジタル署名からなる。
【0067】
次に、図6ないし図8を参照して権限管理システム70の動作について説明する。ここでも、図2と同様に、サブシステム1のユーザ端末30aが、サブシステム3のコンテンツサーバ50cにアクセスするためのトークンをサブシステム2のユーザ端末30bに譲渡し、ユーザ端末30bがそのトークンを用いてコンテンツサーバ50cにアクセスする場合を例に説明する。
図6は、ユーザ端末30aの要求に応じて権限管理サーバ10aがコンテンツサーバ50cにアクセスするためのトークンを発行する動作を示すシーケンス図である。
ユーザ端末30aのトークン発行要求手段36は、自らが所属するサブシステム1の権限管理サーバ10aに対して、他のシステムのコンテンツサーバ50cのアクセス権限を表すトークンの発行を要求する(S121)。この要求には、ユーザ情報記憶部43から取得したユーザ情報とユーザにより入力された要求するアクセス権限を特定する情報が含まれる。
【0068】
権限管理サーバ10aのトークン発行依頼処理手段16は、トークンの発行を要求したユーザのユーザ情報が他のシステムに漏れないように、仮名IDを生成し(S122)、その仮名IDで権限管理サーバ10cにトークンの発行要求を送信する(S123)。
この仮名IDは、ある程度の期間が過ぎたら、権限管理サーバ10aで更新することが望ましい。
【0069】
権限管理サーバ10cのトークン発行処理手段17は、権限管理サーバ10aから受信した仮名IDでトークン81を発行し(S124)、トークンID、コンテンツサーバ名、トークン発行元の権限管理サーバ名、アクセス権限情報などのトークン情報を、権限管理サーバ30cが管理するデータベースに登録する(S125)。
そして、トークン発行手段17は、生成したトークン81をデータ通信部33を介して権限管理サーバ10aに返信する(S126)。
【0070】
権限管理サーバ10aの発行証明書生成処理手段18は、トークンの発行を要求したユーザ端末30aに対して発行証明書82を生成し(S127)、権限管理サーバ10cから受信したトークン81と発行証明書82をデータ通信部13を介してユーザ端末30aに送信する(S128)。
【0071】
ユーザ端末30aのデータ通信部33がトークン81と発行証明書82を受信すると、発行トークン検証手段37は、トークン81を権限管理サーバ10cの公開鍵で検証し、発行証明書検証手段38は、発行証明書82を権限管理サーバ10aの公開鍵で検証する(S129)。検証に合格したら、発行トークン検証手段37と発行証明書検証手段38は、それぞれトークン81と発行証明書82をデータ記憶部35に保存する。
【0072】
図7は、ユーザ端末30aがコンテンツサーバ50cへのアクセス権限を表すトークン81をユーザ端末30bに譲渡する際の動作を示すシーケンス図である。
ユーザ端末30aのトークン譲渡処理手段39は、ユーザ端末30bにトークン81を譲渡するための譲渡証明書83を生成し(S131)、ユーザ端末30bに権限管理サーバ10aから受信しトークン記憶部45に記憶されているトークン81と証明書83を送信する(S132)。
【0073】
ユーザ端末30bのデータ通信部33が、トークン81と譲渡証明書83を受信すると、トークン譲渡検証手段40は、トークン81を権限管理サーバ10cの公開鍵で検証し、譲渡証明書検証手段41は、譲渡証明書83をユーザ端末30aの譲渡用公開鍵で検証する(S133)。
トークン譲渡検証手段40と譲渡証明書検証手段41は、検証に合格したことを確認したら、それぞれ、トークン81と譲渡証明書83を記憶部35に保存する(S134)。
【0074】
図8は、ユーザ端末30bが譲渡されたトークン81を用いてコンテンツサーバ50cにアクセスする際の動作を説明するシーケンス図である。
ユーザ端末30bのトークン利用処理手段42は、コンテンツサーバ50cにアクセスするための利用証明書87を生成し(S141)、トークン81と利用証明書87をコンテンツサーバ50cに送信する(S142)。
【0075】
コンテンツサーバ50cのデータ通信手段53が、トークン81と利用証明書87を受信すると、利用トークン検証手段56は、トークン81を権限管理サーバ10cの公開鍵で検証し、利用証明書検証手段57は、利用証明書87をユーザ端末30bのトークン利用公開鍵で検証する(S143)。
コンテンツサーバ50cのアクセス権の確認要求手段58は、2つの検証に合格したことを確認したら、トークン81の譲渡および利用履歴が正当であるかの確認要求を権限管理サーバ10cに対して行うために、トークン81と利用証明書87を権限管理サーバ10cに送信する(S144)。
【0076】
権限管理サーバ10cの利用トークン検証処理手段19は、データ通信部13を介してトークン81と利用証明書87を受信し、今までに利用されたことがあるトークンでないか、などのデータベースとの整合性チェックを行い、トークン81の有効性を確認する(S145)。
さらに、権限管理サーバ10cのユーザ正当性確認要求手段20は、譲渡履歴と利用者履歴が正しいか否かを各権限管理サーバ10bに問い合わせるために、利用証明書87に含まれる暗号化された譲渡証明書と利用ユーザ名(仮名ID)を権限管理サーバ10bに送信する(S146)。
【0077】
権限管理サーバ10bのユーザ正当性確認手段21は、暗号化された譲渡証明書と利用ユーザ名(仮名ID)を受信し、暗号化された譲渡証明書を権限管理サーバ10bのみが知る秘密鍵で復号する。ユーザ正当性確認手段21は、復号した譲渡証明書83の譲渡先ユーザ名と利用ユーザ名(仮名ID)が同一ユーザのものか否かを確認する(S147)。
権限管理サーバ10bのユーザ正当性確認要求手段20は、同一ユーザであることを確認できたら、譲渡証明書83に含まれる暗号化された発行証明書と譲渡元ユーザ名(仮名ID)を権限管理サーバ10aに送信する(S148)。
【0078】
権限管理サーバ10aのユーザ正当性確認手段21は、暗号化された発行証明書と譲渡元ユーザ名(仮名ID)を受信し、暗号化された発行証明書を権限管理サーバ10aのみが知る秘密鍵で復号する。ユーザ正当性確認手段21は、復号した発行証明書82のトークン要求ユーザ名と譲渡元ユーザ名(仮名ID)が同一ユーザのものか否かを確認する(S149)。
同一ユーザであることを確認できたら、権限管理サーバ10aの発行証明書検証のユーザ正当性確認応答手段22は、その確認結果と発行証明書82に含まれているトークンのハッシュ値と発行時に記憶しておいたトークン発行要求をしたユーザの仮名IDを権限管理サーバ10bに返信する(S150)。
【0079】
権限管理サーバ10bの譲渡証明書検証のユーザ正当性確認応答手段23は、権限管理サーバ10aから受信した確認結果が合格であることを確認したら、利用ユーザの仮名IDを生成し(S151)、ユーザの正当性確認結果、トークンのハッシュ値、トークン発行要求ユーザの仮名ID、利用ユーザの仮名IDを権限管理サーバ10cに返信する(S152)。
【0080】
権限管理サーバ10cのアクセス権の確認応答手段24は、ユーザの正当性確認結果、利用証明書に含まれていたトークンのハッシュ値、トークン発行要求ユーザの仮名ID、利用ユーザの仮名IDを受信し、利用証明書87がトークン81に対する利用証明書であることを確認するために、トークンのハッシュ値が正しいことを検証する。また、何らかの不正行為が発生した場合に、不正行為を行った者を追跡するために、仮名IDをデータベースに保存する(S153)。
アクセス権の確認応答手段24は、ユーザの正当性確認結果、トークンの有効性確認結果をコンテンツサーバ50cに返信する(S154)。
コンテンツサーバ50cのアクセス可否決定手段59は、ユーザの正当性確認結果、トークンの有効性確認結果を受信し、ユーザ端末30bからのアクセス要求を許可するか否かを決定する(S155)。
【0081】
上記の動作例において、トークンの譲渡先ユーザ端末が事前に譲渡元ユーザの譲渡用公開鍵証明書を取得し署名検証用鍵記憶部に保管しておく形態のほか、譲渡元のユーザ端末が譲渡証明書と一緒に譲渡用公開鍵証明書を譲渡先のユーザ端末に送信するようにしても良い。
同様に、コンテンツサーバが事前にトークン利用公開鍵証明書を用意しておく形態のほか、トークンを利用するユーザ端末が利用証明書と一緒にトークン利用公開鍵証明書をコンテンツサーバに送信するようにしても良い。
【0082】
また、コンテンツサーバ50cがユーザ端末30bから送信されたトークン81と利用証明書87を検証せずに、権限管理サーバ10cに送信し、権限管理サーバ10cでトークン81および利用証明書87の検証を行うようにしても良い。そうすることで、コンテンツサーバ50cは署名検証用鍵やトークンの記憶もトークンや利用証明書の検証も行わずにすむ。そのため、コンテンツサーバ50cの構成を単純にし、また、コンテンツサーバ50cの負荷を軽減することができる。
【0083】
トークンの譲渡は、2回以上行うこともできる。この場合、2回目以降の譲渡を行うユーザ端末は、図10(b)の譲渡証明書84を譲渡先のユーザ端末に送信する。譲渡証明書84は、図10(a)の譲渡証明書83の暗号化された発行証明書の代わりに暗号化されたトークンの譲渡元のユーザ端末から取得した譲渡証明書(この譲渡証明書には暗号化された発行証明書が含まれている)が含まれている。
そして、トークンを利用するユーザ端末は、利用証明書87を生成し、目的のコンテンツサーバに送信する。
トークンと利用証明書87を受信したコンテンツサーバは、図8と同様の手順で、譲渡証明書または利用証明書を発行したユーザ端末が属する権限管理サーバに証明書の検証を順次依頼する。
【0084】
権限管理システム70において、トークンの発行を受けたユーザ端末がトークンを譲渡することなく自ら使用することもできる。ここでは、ユーザ端末30aが取得したトークンをコンテンツサーバ50cに送信してコンテンツサーバ50cにアクセスする場合を例に説明する。なお、ユーザ端末30aがトークンを取得するまでの動作は、図6と同じである。
図12は、このような場合の権限管理システム70の動作を示すシーケンス図である。
ユーザ端末30aのトークン利用処理手段42は、コンテンツサーバ50cにアクセスするための利用証明書87を生成し(S161)、トークン81と利用証明書87をコンテンツサーバ50cに送信する(S162)。
【0085】
コンテンツサーバ50cのデータ通信手段53が、トークン81と利用証明書87を受信すると、利用トークン検証手段56は、トークン81を権限管理サーバ10cの公開鍵で検証し、利用証明書検証手段57は、利用証明書87をユーザ端末30aのトークン利用公開鍵で検証する(S163)。
コンテンツサーバ50cのアクセス権の確認要求手段58は、2つの検証に合格したことを確認したら、トークン81の譲渡および利用履歴が正当であるかの確認要求を権限管理サーバ10cに対して行うために、トークン81と利用証明書87を権限管理サーバ10cに送信する(S164)。
【0086】
権限管理サーバ10cの利用トークン検証処理手段19は、データ通信部13を介してトークン81と利用証明書87を受信し、今までに利用されたことがあるトークンでないか、などのデータベースとの整合性チェックを行い、トークン81の有効性を確認する(S165)。
さらに、権限管理サーバ10cのユーザ正当性確認要求手段20は、利用者履歴が正しいか否かを各権限管理サーバ10aに問い合わせるために、利用証明書87に含まれる暗号化された発行証明書と利用ユーザ名(仮名ID)を権限管理サーバ10aに送信する(S166)。
【0087】
権限管理サーバ10aのユーザ正当性確認手段21は、暗号化された発行証明書と利用ユーザ名(仮名ID)を受信し、暗号化された発行証明書を権限管理サーバ10aのみが知る秘密鍵で復号する。ユーザ正当性確認手段21は、復号した発行証明書82のトークン要求ユーザ名と利用ユーザ名(仮名ID)が同一ユーザのものか否かを確認する(S169)。
同一ユーザであることを確認できたら、権限管理サーバ10aの発行証明書検証のユーザ正当性確認応答手段22は、その確認結果と発行証明書82に含まれているトークンのハッシュ値と発行時に記憶しておいたトークン発行要求をしたユーザの仮名IDを権限管理サーバ10cに返信する(S170)。
【0088】
権限管理サーバ10cのアクセス権の確認応答手段24は、ユーザの正当性確認結果、利用証明書に含まれていたトークンのハッシュ値、トークン発行要求ユーザの仮名ID、利用ユーザの仮名IDを受信し、利用証明書87がトークン81に対する利用証明書であることを確認するために、トークンのハッシュ値が正しいことを検証する。また、何らかの不正行為が発生した場合に、不正行為を行った者を追跡するために、仮名IDをデータベースに保存する(S173)。
アクセス権の確認応答手段24は、ユーザの正当性確認結果、トークンの有効性確認結果をコンテンツサーバ50cに返信する(S174)。
コンテンツサーバ50cのアクセス可否決定手段59は、ユーザの正当性確認結果、トークンの有効性確認結果を受信し、ユーザ端末30aからのアクセス要求を許可するか否かを決定する(S175)。
【0089】
ここで、1回目の譲渡が行われたときの譲渡証明書83のデータ構造と譲渡されずに利用されたときの利用証明書86のデータ構造は本質的に同じため、どちらか一方の証明書に代替することが出来る。同様に、2回目以降の譲渡が行われたときの譲渡証明書84と1回以上譲渡が行われたときの利用証明書87はどちらか一方に統一して代替することが出来る。同様に、譲渡用公開鍵証明書とトークン利用公開鍵証明書を代替することが出来る。
【0090】
次に、権限譲渡システム1の効果について説明する。
第1の効果は、コンテンツサーバへのアクセスを管理する権限管理サーバを有するシステムが複数あるような環境において各々のコンテンツサーバに所属するユーザが他システムのコンテンツサーバを利用する場合に、権限管理サーバで管理するユーザ情報を他システムの権限管理サーバに漏らさずに、他システムのコンテンツサーバにアクセスできることである。
その理由は、他システムを利用する場合、他システムで利用するための仮名ユーザ名および他システムで利用するための署名生成用鍵を用いて利用証明書を生成し、他システムの権限管理サーバでも利用証明書を見ることが出来るが、その利用証明書に含まれるユーザ情報、および検証に用いるためのトークン利用公開鍵証明書に含まれるユーザ情報は他システムで利用するための仮のユーザ名であるために、他システムの権限管理サーバには正式なユーザ情報は漏れない。一方で、利用証明書の正当性の検証は、ユーザが所属する権限管理システムで行われ、その結果は利用された側の権限管理システムに通知されるので、ユーザは他人のトークンを利用できない。
また、発行証明書に譲渡元ユーザ所属する権限管理サーバの公開鍵で暗号化するのは、ユーザ間で譲渡を繰り返していくにつれて、他システムで利用する仮のユーザ名が、2つ先以上の譲渡先ユーザ、つまり譲渡先ユーザのさらに次の譲渡先ユーザ等、さらに、他システムの権限管理サーバにも見ることが出来てしまうことを防ぐためである。かりに2つ先以降の譲渡先のユーザや他システムの権限管理サーバが譲渡元の仮のユーザ名を知っていた場合、誰から譲渡されたトークンであるかが容易に追跡できてしまう。
同様に、譲渡証明書に譲渡元ユーザ所属する権限管理サーバの公開鍵で暗号化するのも2つ先以上の譲渡先ユーザや他システムの権限管理サーバに仮のユーザ名が漏れることを防ぐことにある。
【0091】
第2の効果は、異なるシステムに所属するユーザ間でアクセス権限の譲渡を行った場合でも、ユーザ情報を漏らさずに、譲渡されたアクセス権限を利用できることである。
その理由は、他システムを利用する場合、他システムで利用するための仮のユーザ名および他システムで利用するための署名生成用鍵を用いて、譲渡証明書を生成し、他システムの権限管理サーバでも譲渡証明書を見ることが出来るが、その譲渡証明書に含まれるユーザ情報、および検証に用いるための譲渡用公開鍵証明書に含まれるユーザ情報は他システムで利用するための仮のユーザ名であるために、他システムの権限管理サーバには正式なユーザ情報は漏れない。
【0092】
第3の効果は、トークンの不正利用・不正譲渡された場合は不正を行ったユーザを追跡することが出来る。
その理由は、譲渡証明書の正当性の検証は、ユーザが所属する権限管理システムで行われ、その結果は利用された側の権限管理システムに通知されるが、正当性の結果と共に、仮名IDが利用された側の権限管理システムに通知されるので、なんらかのトークンの不正利用・不正譲渡がなされた場合はその仮名IDを各権限管理サーバに問い合わせることで不正を行ったユーザを追跡することが出来る。
【図面の簡単な説明】
【0093】
【図1】本発明の一実施形態である権限管理システムの全体図である。
【図2】権限譲渡システムの動作の概要を説明する図である。
【図3】権限管理サーバの機能ブロック図である。
【図4】ユーザ端末の機能ブロック図である。
【図5】コンテンツサーバの機能ブロック図である。
【図6】権限譲渡システムのトークン発行動作を示すシーケンス図である。
【図7】権限譲渡システムのトークン譲渡動作を示すシーケンス図である。
【図8】権限譲渡システムのトークン利用動作を示すシーケンス図である。
【図9】図9(a)は、トークンのデータ構造例を示す図である。図9(b)は、発行証明書のデータ構造例を示す図である。
【図10】図10(a)および図10(b)は、譲渡証明書のデータ構造例を示す図である。図10(c)は、譲渡用公開鍵証明書のデータ構造例を示す図である。
【図11】図11(a)および図11(b)は、利用証明書のデータ構造例を示す図である。図11(c)は、トークン利用公開鍵証明書のデータ構造例を示す図である。
【図12】権限管理システムのトークン利用動作を示すシーケンス図である。
【符号の説明】
【0094】
1、2、3 サブシステム
10a、10b、10c 権限管理サーバ
16 トークン発行依頼処理手段
17 トークン発行処理手段
18 発行証明書生成処理手段
19 利用トークン検証手段
20 ユーザ正当性確認要求手段
21 ユーザ正当性確認手段
22 発行証明書検証のユーザ正当性確認応答手段
23 譲渡証明書検証のユーザ正当性確認応答手段
24 アクセス権の確認応答手段
25 ユーザ情報記憶部
26 署名生成用鍵記憶部
27 トークン記憶部
28 暗号復号鍵記憶部
29 署名検証用鍵記憶部
30a、30b、30c ユーザ端末
36 トークン発行要求手段
37 発行トークン検証手段
38 発行証明書検証手段
39 トークン譲渡処理手段
40 トークン譲渡検証手段
41 譲渡証明書検証手段
42 トークン利用処理手段
43 ユーザ情報記憶部
44 署名検証用鍵記憶部
45 トークン記憶部
46 発行証明書記憶部
47 署名生成用鍵記憶部
48 譲渡証明書記憶部
50a、50b、50c コンテンツサーバ
56 利用トークン検証手段
57 利用証明書検証手段
58 アクセス権の確認要求手段
59 アクセス可否決定手段
60 署名検証用鍵記憶部
61 トークン記憶部
70 権限管理システム
【特許請求の範囲】
【請求項1】
利用者による資源へのアクセス権限を管理する権限管理サーバにおいて、
前記利用者が前記権限管理サーバの管理下にない外部資源にアクセスする際に用い、前記権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部資源のアクセス権限を管理する外部権限管理サーバに前記仮名識別情報を送信し、前記仮名識別情報に対応する前記利用者に前記外部資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、
前記トークンを前記利用者が使用する利用者端末に送信するトークン送信手段とを備えたことを特徴とした権限管理サーバ。
【請求項2】
前記トークン送信手段は、前記トークンのハッシュ値と前記仮名識別情報と前記権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を前記利用者端末に送信する機能を備え、
前記権限管理サーバの公開鍵で暗号化した前記発行証明書と平文の前記仮名識別情報を含む利用証明書を前記外部権限管理サーバから受信したときに作動し、前記暗号化された発行証明書を前記公開鍵に対応する秘密鍵で復号し、前記暗号化された発行証明書に含まれる前記仮名識別情報と前記平文の仮名識別情報とが一致するか否かを判定し、その判定結果を前記外部権限管理サーバに送信する利用者正当性検証手段とを備えたことを特徴とした請求項1に記載の権限管理サーバ。
【請求項3】
前記利用証明書には、前記仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名が付され、
前記前記トークン利用署名鍵に対応するトークン利用公開鍵と前記仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段を備えたことを特徴とした請求項2に記載の権限管理サーバ。
【請求項4】
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバと前記外部資源に対するアクセス権限を管理する外部限管理サーバと、前記利用者が使用する利用者端末と前記外部資源を保持する資源サーバとを備えた権限管理システムにおいて、
前記利用側権限管理サーバは、
前記利用者が前記外部資源にアクセスする際に用い、前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記外部資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、
前記トークンを前記利用者端末に送信するトークン送信手段とを備え、
前記利用者端末は、
前記トークンを前記資源サーバに送信するトークン利用処理手段を備え、
前記外部権限管理サーバは、
前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン発行手段を備え、
前記外部権限管理サーバと前記資源サーバのいずれか一方または両方は、前記トークンを受信したときに作動し、前記受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証手段を備えたことを特徴とした権限管理システム。
【請求項5】
前記トークン送信手段は、前記トークンのハッシュ値と前記仮名識別情報と前記利用側権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を前記利用者端末に送信する機能を備え、
前記トークン利用処理手段は、前記利用側権限管理サーバの公開鍵で暗号化した前記発行証明書と平文の前記仮名識別情報を含む利用証明書を生成し前記資源サーバに送信する機能を備え、
前記外部権限管理サーバは、
前記資源サーバから前記証明書と前記トークンを受信したときに作動し、前記利用証明書を前記利用側権限管理サーバに送信して前記利用証明書を送信した利用者の正当性の検証を依頼する検証依頼手段とを備え
前記利用側権限管理サーバは、
前記利用証明書を前記外部権限管理サーバから受信したときに作動し、前記暗号化された発行証明書を前記公開鍵に対応する秘密鍵で復号し、前記暗号化された発行証明書に含まれる前記仮名識別情報と前記平文の仮名識別情報とが一致するか否かを判定し、その判定結果を前記外部権限管理サーバに送信する利用者正当性検証手段とを備えたことを特徴とした請求項4に記載の権限管理システム。
【請求項6】
前記利用証明書には、前記仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名が付され、
前記利用側権限管理サーバは、
前記前記トークン利用署名鍵に対応するトークン利用公開鍵と前記仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段を備え、
前記外部権限管理サーバと前記資源サーバのいずれか一方または両方は、
前記利用証明書を受信したときに作動し、前記トークン利用公開鍵証明書から取得した前記トークン利用公開鍵を用いて前記利用証明書の正当性を検証する利用証明書検証手段を備えたことを特徴とした請求項5に記載の権限管理システム。
【請求項7】
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバと前記外部資源に対するアクセス権限を管理する外部限管理サーバと、前記利用者が使用する利用者端末と、前記外部資源を保持する資源サーバと、前記利用者により前記外部資源へのアクセス権限を譲渡された譲渡先利用者が利用する譲渡先利用者端末と、前記譲渡先利用者を管理する譲渡先権限管理サーバとを備えた権限管理システムにおいて、
前記利用側権限管理サーバは、
前記利用者が前記外部資源にアクセスする際に用い、前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、
前記トークンを前記利用者端末に送信するトークン送信手段とを備え、
前記利用者端末は、
前記トークンを前記譲渡先利用者端末に送信するトークン譲渡手段を備え、
前記譲渡先利用者端末は、
前記トークンを前記外部資源を保持する資源サーバに送信するトークン利用処理手段を備え、
前記外部権限管理サーバは、
前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン発行手段を備え、
前記外部権限管理サーバと前記資源サーバのいずれか一方または両方は、前記トークンを受信したときに作動し、受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証手段を備えたことを特徴とした権限管理システム。
【請求項8】
前記トークン送信手段は、前記トークンのハッシュ値と前記仮名識別情報と前記利用側権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を前記利用者端末に送信する機能を備え、
前記トークン譲渡手段は、前記利用側権限管理サーバの公開鍵で暗号化された前記発行証明書と平文の前記仮名識別情報とを含む譲渡証明書を生成し前記譲渡先利用者端末に送信する機能を備え、
前記トークン利用処理手段は、前記譲渡先権限管理サーバの公開鍵で暗号化された前記譲渡証明書と前記譲渡先利用者が前記譲渡先権限管理サーバの管理下の資源にアクセスするために用いる識別情報とは異なる平文の譲渡先利用者仮名識別情報とを含む利用証明書を生成し前記トークンと共に前記資源サーバに送信する機能を備え、
前記外部権限管理サーバは、
前記資源サーバから前記利用証明書と前記トークンを受信したときに作動し、前記利用証明書を前記譲渡先権限管理サーバに送信して前記利用証明書を送信した利用者の正当性の検証を依頼する検証依頼手段を備え、
前記譲渡先権限管理サーバは、
前記利用証明書を前記外部権限管理サーバから受信したときに作動し、前記暗号化された譲渡証明書を前記譲渡先権限管理サーバの公開鍵に対応する秘密鍵で復号し、前記暗号化された譲渡証明書に含まれる前記譲渡先利用者仮名識別情報と前記平文の譲渡先利用者仮名識別情報とが一致するか否かを判定する利用者正当性判定手段と、
前記復号した譲渡証明書を前記利用側権限管理サーバに送信し前記譲渡証明書を送信した利用者の正当性の検証を依頼する利用者正当性検証依頼手段と、
前記利用者正当性判定手段による判定結果と、前記利用者正当性検証依頼手段による依頼に対する前記利用側権限管理サーバからの応答を前記外部権限管理サーバに送信する応答手段とを備え、
前記利用側権限管理サーバは、
前記譲渡証明書を前記譲渡先権限管理サーバから受信したときに作動し、前記暗号化された発行証明書を前記利用側権限管理サーバの公開鍵に対応する秘密鍵で複合し、前記暗号化された発行証明書に含まれる前記仮名識別情報と前記平文の仮名識別情報とが一致するか否かを判定し、その判定結果を前記譲渡先権限管理サーバに送信する確認応答手段とを備えたことを特徴とした請求項7に記載の権限管理システム。
【請求項9】
前記譲渡証明書には、前記仮名識別情報に対応するトークン譲渡署名鍵を用いたデジタル署名が付され、
前記利用証明書には、前記譲渡先利用者仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名が付され、
前記利用側権限管理サーバは、
前記前記トークン譲渡署名鍵に対応するトークン譲渡公開鍵と前記仮名識別情報を含むトークン譲渡公開鍵証明書を生成するトークン譲渡公開鍵証明書生成手段を備え、
前記譲渡先権限管理サーバは、
前記前記トークン利用署名鍵に対応するトークン利用公開鍵と前記譲渡先利用者仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段と、
前記譲渡証明書を受信したときに作動し、前記トークン譲渡公開鍵証明書から取得した前記トークン譲渡公開鍵を用いて前記譲渡証明書の正当性を検証する譲渡証明書検証手段を備え、
前記外部権限管理サーバと前記資源サーバのいずれか一方または両方は、
前記利用証明書を受信したときに作動し、前記トークン利用公開鍵証明書から取得した前記トークン利用公開鍵を用いて前記利用証明書の正当性を検証する利用証明書検証手段
を備えたことを特徴とした請求項8に記載の権限管理システム。
【請求項10】
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバが、前記利用者が前記外部資源にアクセスする際に用い前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求ステップと、
前記外部権限管理サーバが前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン発行ステップと、
前記利用側権限管理サーバが、前記トークンを前記利用者が使用する利用者端末に送信するトークン送信ステップと、
前記利用者端末が、前記トークンを前記外部資源を保持する資源サーバに送信するトークン利用処理ステップと、
前記外部権限管理サーバが前記トークンを受信したときに作動し、前記受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証ステップを備えたことを特徴とした権限管理方法。
【請求項11】
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバが、前記利用者が前記外部資源にアクセスする際に用い前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求ステップと、
前記外部権限管理サーバが、前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン送信ステップと、
前記利用側権限管理サーバが、前記トークンを前記利用者が使用する利用者端末に送信するトークン送信ステップと、
前記利用者端末は、前記利用者から前記トークン譲渡される譲渡先利用者が利用する譲渡先利用者端末に前記トークンを送信するトークン譲渡ステップと、
前記譲渡先利用者端末が、前記トークンを前記外部資源を保持する資源サーバに送信するトークン利用処理ステップと、
前記外部権限管理サーバが前記トークンを受信したときに作動し、前記受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証ステップとを備えたことを特徴とした権限管理方法。
【請求項12】
コンピュータに、
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバが、前記利用者が前記外部資源にアクセスする際に用い前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求機能と、
前記外部権限管理サーバが前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン発行機能と、
前記利用側権限管理サーバが、前記トークンを前記利用者が使用する利用者端末に送信するトークン送信機能と、
前記利用者端末が、前記トークンを前記外部資源を保持する資源サーバに送信するトークン利用処理機能と、
前記外部権限管理サーバが前記トークンを受信したときに作動し、前記受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証機能とを実行させることを特徴とした権限管理プログラム。
【請求項13】
コンピュータに、
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバが、前記利用者が前記外部資源にアクセスする際に用い前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求機能と、
前記外部権限管理サーバが、前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン発行機能と、
前記利用側権限管理サーバが、前記トークンを前記利用者が使用する利用者端末に送信するトークン送信機能と、
前記利用者端末は、前記利用者から前記トークン譲渡される譲渡先利用者が利用する譲渡先利用者端末に前記トークンを送信するトークン譲渡機能と、
前記譲渡先利用者端末が、前記トークンを前記外部資源を保持する資源サーバに送信するトークン利用処理機能と、
前記外部権限管理サーバが前記トークンを受信したときに作動し、前記受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証機能とを実行させることを特徴とした権限管理プログラム。
【請求項1】
利用者による資源へのアクセス権限を管理する権限管理サーバにおいて、
前記利用者が前記権限管理サーバの管理下にない外部資源にアクセスする際に用い、前記権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部資源のアクセス権限を管理する外部権限管理サーバに前記仮名識別情報を送信し、前記仮名識別情報に対応する前記利用者に前記外部資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、
前記トークンを前記利用者が使用する利用者端末に送信するトークン送信手段とを備えたことを特徴とした権限管理サーバ。
【請求項2】
前記トークン送信手段は、前記トークンのハッシュ値と前記仮名識別情報と前記権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を前記利用者端末に送信する機能を備え、
前記権限管理サーバの公開鍵で暗号化した前記発行証明書と平文の前記仮名識別情報を含む利用証明書を前記外部権限管理サーバから受信したときに作動し、前記暗号化された発行証明書を前記公開鍵に対応する秘密鍵で復号し、前記暗号化された発行証明書に含まれる前記仮名識別情報と前記平文の仮名識別情報とが一致するか否かを判定し、その判定結果を前記外部権限管理サーバに送信する利用者正当性検証手段とを備えたことを特徴とした請求項1に記載の権限管理サーバ。
【請求項3】
前記利用証明書には、前記仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名が付され、
前記前記トークン利用署名鍵に対応するトークン利用公開鍵と前記仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段を備えたことを特徴とした請求項2に記載の権限管理サーバ。
【請求項4】
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバと前記外部資源に対するアクセス権限を管理する外部限管理サーバと、前記利用者が使用する利用者端末と前記外部資源を保持する資源サーバとを備えた権限管理システムにおいて、
前記利用側権限管理サーバは、
前記利用者が前記外部資源にアクセスする際に用い、前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記外部資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、
前記トークンを前記利用者端末に送信するトークン送信手段とを備え、
前記利用者端末は、
前記トークンを前記資源サーバに送信するトークン利用処理手段を備え、
前記外部権限管理サーバは、
前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン発行手段を備え、
前記外部権限管理サーバと前記資源サーバのいずれか一方または両方は、前記トークンを受信したときに作動し、前記受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証手段を備えたことを特徴とした権限管理システム。
【請求項5】
前記トークン送信手段は、前記トークンのハッシュ値と前記仮名識別情報と前記利用側権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を前記利用者端末に送信する機能を備え、
前記トークン利用処理手段は、前記利用側権限管理サーバの公開鍵で暗号化した前記発行証明書と平文の前記仮名識別情報を含む利用証明書を生成し前記資源サーバに送信する機能を備え、
前記外部権限管理サーバは、
前記資源サーバから前記証明書と前記トークンを受信したときに作動し、前記利用証明書を前記利用側権限管理サーバに送信して前記利用証明書を送信した利用者の正当性の検証を依頼する検証依頼手段とを備え
前記利用側権限管理サーバは、
前記利用証明書を前記外部権限管理サーバから受信したときに作動し、前記暗号化された発行証明書を前記公開鍵に対応する秘密鍵で復号し、前記暗号化された発行証明書に含まれる前記仮名識別情報と前記平文の仮名識別情報とが一致するか否かを判定し、その判定結果を前記外部権限管理サーバに送信する利用者正当性検証手段とを備えたことを特徴とした請求項4に記載の権限管理システム。
【請求項6】
前記利用証明書には、前記仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名が付され、
前記利用側権限管理サーバは、
前記前記トークン利用署名鍵に対応するトークン利用公開鍵と前記仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段を備え、
前記外部権限管理サーバと前記資源サーバのいずれか一方または両方は、
前記利用証明書を受信したときに作動し、前記トークン利用公開鍵証明書から取得した前記トークン利用公開鍵を用いて前記利用証明書の正当性を検証する利用証明書検証手段を備えたことを特徴とした請求項5に記載の権限管理システム。
【請求項7】
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバと前記外部資源に対するアクセス権限を管理する外部限管理サーバと、前記利用者が使用する利用者端末と、前記外部資源を保持する資源サーバと、前記利用者により前記外部資源へのアクセス権限を譲渡された譲渡先利用者が利用する譲渡先利用者端末と、前記譲渡先利用者を管理する譲渡先権限管理サーバとを備えた権限管理システムにおいて、
前記利用側権限管理サーバは、
前記利用者が前記外部資源にアクセスする際に用い、前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求手段と、
前記トークンを前記利用者端末に送信するトークン送信手段とを備え、
前記利用者端末は、
前記トークンを前記譲渡先利用者端末に送信するトークン譲渡手段を備え、
前記譲渡先利用者端末は、
前記トークンを前記外部資源を保持する資源サーバに送信するトークン利用処理手段を備え、
前記外部権限管理サーバは、
前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン発行手段を備え、
前記外部権限管理サーバと前記資源サーバのいずれか一方または両方は、前記トークンを受信したときに作動し、受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証手段を備えたことを特徴とした権限管理システム。
【請求項8】
前記トークン送信手段は、前記トークンのハッシュ値と前記仮名識別情報と前記利用側権限管理サーバを識別する情報を含む発行証明書を生成しこの発行証明書を前記利用者端末に送信する機能を備え、
前記トークン譲渡手段は、前記利用側権限管理サーバの公開鍵で暗号化された前記発行証明書と平文の前記仮名識別情報とを含む譲渡証明書を生成し前記譲渡先利用者端末に送信する機能を備え、
前記トークン利用処理手段は、前記譲渡先権限管理サーバの公開鍵で暗号化された前記譲渡証明書と前記譲渡先利用者が前記譲渡先権限管理サーバの管理下の資源にアクセスするために用いる識別情報とは異なる平文の譲渡先利用者仮名識別情報とを含む利用証明書を生成し前記トークンと共に前記資源サーバに送信する機能を備え、
前記外部権限管理サーバは、
前記資源サーバから前記利用証明書と前記トークンを受信したときに作動し、前記利用証明書を前記譲渡先権限管理サーバに送信して前記利用証明書を送信した利用者の正当性の検証を依頼する検証依頼手段を備え、
前記譲渡先権限管理サーバは、
前記利用証明書を前記外部権限管理サーバから受信したときに作動し、前記暗号化された譲渡証明書を前記譲渡先権限管理サーバの公開鍵に対応する秘密鍵で復号し、前記暗号化された譲渡証明書に含まれる前記譲渡先利用者仮名識別情報と前記平文の譲渡先利用者仮名識別情報とが一致するか否かを判定する利用者正当性判定手段と、
前記復号した譲渡証明書を前記利用側権限管理サーバに送信し前記譲渡証明書を送信した利用者の正当性の検証を依頼する利用者正当性検証依頼手段と、
前記利用者正当性判定手段による判定結果と、前記利用者正当性検証依頼手段による依頼に対する前記利用側権限管理サーバからの応答を前記外部権限管理サーバに送信する応答手段とを備え、
前記利用側権限管理サーバは、
前記譲渡証明書を前記譲渡先権限管理サーバから受信したときに作動し、前記暗号化された発行証明書を前記利用側権限管理サーバの公開鍵に対応する秘密鍵で複合し、前記暗号化された発行証明書に含まれる前記仮名識別情報と前記平文の仮名識別情報とが一致するか否かを判定し、その判定結果を前記譲渡先権限管理サーバに送信する確認応答手段とを備えたことを特徴とした請求項7に記載の権限管理システム。
【請求項9】
前記譲渡証明書には、前記仮名識別情報に対応するトークン譲渡署名鍵を用いたデジタル署名が付され、
前記利用証明書には、前記譲渡先利用者仮名識別情報に対応するトークン利用署名鍵を用いたデジタル署名が付され、
前記利用側権限管理サーバは、
前記前記トークン譲渡署名鍵に対応するトークン譲渡公開鍵と前記仮名識別情報を含むトークン譲渡公開鍵証明書を生成するトークン譲渡公開鍵証明書生成手段を備え、
前記譲渡先権限管理サーバは、
前記前記トークン利用署名鍵に対応するトークン利用公開鍵と前記譲渡先利用者仮名識別情報を含むトークン利用公開鍵証明書を生成するトークン利用公開鍵証明書生成手段と、
前記譲渡証明書を受信したときに作動し、前記トークン譲渡公開鍵証明書から取得した前記トークン譲渡公開鍵を用いて前記譲渡証明書の正当性を検証する譲渡証明書検証手段を備え、
前記外部権限管理サーバと前記資源サーバのいずれか一方または両方は、
前記利用証明書を受信したときに作動し、前記トークン利用公開鍵証明書から取得した前記トークン利用公開鍵を用いて前記利用証明書の正当性を検証する利用証明書検証手段
を備えたことを特徴とした請求項8に記載の権限管理システム。
【請求項10】
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバが、前記利用者が前記外部資源にアクセスする際に用い前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求ステップと、
前記外部権限管理サーバが前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン発行ステップと、
前記利用側権限管理サーバが、前記トークンを前記利用者が使用する利用者端末に送信するトークン送信ステップと、
前記利用者端末が、前記トークンを前記外部資源を保持する資源サーバに送信するトークン利用処理ステップと、
前記外部権限管理サーバが前記トークンを受信したときに作動し、前記受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証ステップを備えたことを特徴とした権限管理方法。
【請求項11】
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバが、前記利用者が前記外部資源にアクセスする際に用い前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求ステップと、
前記外部権限管理サーバが、前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン送信ステップと、
前記利用側権限管理サーバが、前記トークンを前記利用者が使用する利用者端末に送信するトークン送信ステップと、
前記利用者端末は、前記利用者から前記トークン譲渡される譲渡先利用者が利用する譲渡先利用者端末に前記トークンを送信するトークン譲渡ステップと、
前記譲渡先利用者端末が、前記トークンを前記外部資源を保持する資源サーバに送信するトークン利用処理ステップと、
前記外部権限管理サーバが前記トークンを受信したときに作動し、前記受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証ステップとを備えたことを特徴とした権限管理方法。
【請求項12】
コンピュータに、
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバが、前記利用者が前記外部資源にアクセスする際に用い前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求機能と、
前記外部権限管理サーバが前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン発行機能と、
前記利用側権限管理サーバが、前記トークンを前記利用者が使用する利用者端末に送信するトークン送信機能と、
前記利用者端末が、前記トークンを前記外部資源を保持する資源サーバに送信するトークン利用処理機能と、
前記外部権限管理サーバが前記トークンを受信したときに作動し、前記受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証機能とを実行させることを特徴とした権限管理プログラム。
【請求項13】
コンピュータに、
自己の管理下にない外部資源への利用者によるアクセスを管理する利用側権限管理サーバが、前記利用者が前記外部資源にアクセスする際に用い前記利用側権限管理サーバの管理下にある資源へのアクセスに使用する識別情報とは異なる仮名識別情報を生成し、前記外部権限管理サーバに前記仮名識別情報を送信し、前記利用者に前記管理外資源へのアクセス権を付与するトークンの発行を要求するトークン発行要求機能と、
前記外部権限管理サーバが、前記トークンを生成して前記利用側権限管理サーバに送信すると共に前記トークンに関する情報をトークン記憶部に記憶するトークン発行機能と、
前記利用側権限管理サーバが、前記トークンを前記利用者が使用する利用者端末に送信するトークン送信機能と、
前記利用者端末は、前記利用者から前記トークン譲渡される譲渡先利用者が利用する譲渡先利用者端末に前記トークンを送信するトークン譲渡機能と、
前記譲渡先利用者端末が、前記トークンを前記外部資源を保持する資源サーバに送信するトークン利用処理機能と、
前記外部権限管理サーバが前記トークンを受信したときに作動し、前記受信したトークンと前記トークン記憶部に記憶されている情報を照合して前記トークンが前記外部権限管理サーバにより前記利用者に対して発行されたものであるか否かを検証するトークン検証機能とを実行させることを特徴とした権限管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2007−226470(P2007−226470A)
【公開日】平成19年9月6日(2007.9.6)
【国際特許分類】
【出願番号】特願2006−45922(P2006−45922)
【出願日】平成18年2月22日(2006.2.22)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成17年度、総務省委託研究「認証機能を具備するサービスプラットフォーム技術の研究開発」によるもの、産業活力再生特別措置法第30条の適用を受ける特許出願
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成19年9月6日(2007.9.6)
【国際特許分類】
【出願日】平成18年2月22日(2006.2.22)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成17年度、総務省委託研究「認証機能を具備するサービスプラットフォーム技術の研究開発」によるもの、産業活力再生特別措置法第30条の適用を受ける特許出願
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]