端末装置制御システム、制御装置、端末装置、制御方法、及びプログラム
【課題】端末装置の利便性を過度に制限することなく、任意の利用環境に応じて端末装置を正しく制御する。
【解決手段】制御装置が、暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて暗号化条件情報に対応する制御情報を暗号化して得られる暗号化制御情報を出力する。端末装置は、自らの利用環境を表す利用環境情報を得、利用環境情報を含む復号鍵生成情報を出力する。鍵管理装置は復号鍵生成情報に対応する復号鍵を生成し、復号鍵を出力する。端末装置は、生成された復号鍵を用いて暗号化制御情報の復号処理を行い、それによって制御情報が得られる場合に当該制御情報を用い、端末装置に特定のサービスの実行を許可するかを決定する。
【解決手段】制御装置が、暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて暗号化条件情報に対応する制御情報を暗号化して得られる暗号化制御情報を出力する。端末装置は、自らの利用環境を表す利用環境情報を得、利用環境情報を含む復号鍵生成情報を出力する。鍵管理装置は復号鍵生成情報に対応する復号鍵を生成し、復号鍵を出力する。端末装置は、生成された復号鍵を用いて暗号化制御情報の復号処理を行い、それによって制御情報が得られる場合に当該制御情報を用い、端末装置に特定のサービスの実行を許可するかを決定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末装置の制御技術に関し、制御装置によって端末装置を遠隔制御する技術に関する。
【背景技術】
【0002】
現在、モバイルPC端末やスマートフォン端末などには、多様なデバイス、アプリケーション、コンテンツが搭載され、それらを用いた多様なサービスの提供が可能となっている。これに加え、モバイルPC端末装置やスマートフォン端末装置などのもつ機動性や常時利用可能性により、利用者はそれらサービスを多様な利用環境で享受することができる。
【0003】
一方で、サービスや利用環境が多様であるがゆえ、利用環境に応じた適切なサービスが提供されない場合に問題となる場合がある。例えば、企業内で利用されるべきアプリケーションやコンテンツが搭載されたモバイルPC端末が企業外へ持ち出されて利用されてしまう場合や、逆に企業内で利用されるべきではないデバイス(カメラデバイスなど)が搭載されたスマートフォン端末装置が企業内へ持ち込まれて利用されてしまう場合などである。
【0004】
このような問題に対し、業務用端末装置を、業務で利用されるデバイスやアプリケーション以外に予め利用できないようにしておくMDM(モバイルデバイス管理)サービスなどがある(例えば、非特許文献1,2参照)。
【0005】
また、IPサイマルラジオ等で利活用が検討されているMLDv2(Multicast Listener Discovery version 2)を用いた地域限定マルチキャストを利用し、コンテンツの利用を制御するサービスが存在する。このサービスでは、サービス利用者のIPアドレス体系などの識別項目を用いてサービス利用者が属する「地域」といった利用環境を判定し、その利用環境に基づいたサービスを提供している(例えば、非特許文献3参照)。
【0006】
同じくコンテンツの利用等を制御する技術としてDRMがある。DRMの一例では、コンテンツを管理するサーバ装置が暗号化コンテンツを端末装置の再生/転送ソフトウェアに提供する。サーバ装置がサービス利用者の認証を行った後に、コンテンツの暗号化に利用された鍵や許諾条件を含むライセンス情報を端末装置の再生/転送ソフトウェアに提供する。再生/転送ソフトウェアは、端末装置の利用環境がライセンス情報に含まれる許諾条件を満たす場合にのみ、暗号化コンテンツを復号して再生する(例えば、非特許文献4参照)。
【0007】
また、Webアプリケーション制御の観点から、Single Sign On(SSO)を実現するSecurity Assertion Markup Language(SAML)などの仕組みが存在している(例えば、非特許文献5参照)。SAMLの枠組みでは、認証サーバ装置(SAML Authority)がサービス利用者の認証を行った後、認証結果を示す認証情報が認可サーバ装置(Policy Decision Point(PDP))に送られ、認可サーバ装置が、認証されたサービス利用者の属性を認証サーバ装置(Attribute Authority)から取得し、その属性についてこのサービス利用者を認可する。サービス提供装置(Service Provider(SP))は、その認可内容を表す認可情報を用いてサービス利用者へ提供するサービスリソース(機能)を制御する。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】”スマートフォン遠隔制御サービス”、[online]、株式会社エヌ・ティ・ティ・ドコモ、[平成23年9月2日検索]、インターネット<http://www.docomo.biz/html/service/remotecontrol/>
【非特許文献2】”スマートフォン遠隔制御サービスサービスガイドライン”、[online]、平成23年7月15日、株式会社エヌ・ティ・ティ・ドコモ、[平成23年9月2日検索]、インターネット<http://www.docomo.biz/pdf/html/service/remotecontrol/pdf_02.pdf>
【非特許文献3】”関西におけるIPラジオの取り組み『IPラジオ-RADIKO』について”、[online]、平成20年3月24日、IPラジオ研究協議会、[平成23年9月2日検索]、インターネット<http://www.iajapan.org/bukai/Net-Cast/event/2008/0324/20080324_koga.pdf>
【非特許文献4】竹松 昇、”ダウンロード販売を支えるデジタル著作権管理技術「DRM」”、[online]、株式会社朋栄アイ・ビー・イー、[平成23年9月2日検索]、インターネット<http://www.mpeg.co.jp/libraries/mpeg_labo/winPC_27.html#1>
【非特許文献5】”Technical Overview of the OASIS Security Assertion Markup Language (SAML) V1.1”、[online]、平成16年5月11日、[平成23年9月2日検索]、インターネット<http://www.oasis-open.org/committees/download.php/6837/sstc-saml-tech-overview-1.1-cd.pdf>
【発明の概要】
【発明が解決しようとする課題】
【0009】
従来の方法では、小さな負担で任意の利用環境に応じて端末装置を柔軟に制御することができない場合がある。
【0010】
非特許文献1,2の方法では、端末装置の利用環境に拘わらず、そこで利用可能なデバイスやアプリケーションが固定的に制限される。すなわちこの方法では、任意の利用環境に応じて端末装置を柔軟に制御することができない。
非特許文献3の方法では、端末装置のどのような利用環境に基づいてサービス提供を行うか(利用条件)がシステム内で固定されており、任意の利用環境に応じて端末装置を制御することが困難であった。
非特許文献4の方法では、ライセンス情報に含まれる許諾条件が端末装置に提供されるため、例えば端末装置側での許諾条件の改ざん検知や暗号化等の処理が別途発生し、さらに、その許諾条件の暗号化等に利用するための秘密鍵等が第三者に詐取されないよう安全に保管する必要があり、その実装コストや運用コストが増大する。
非特許文献5の方法では、認可サーバ装置が認証されたサービス利用者の属性を認証サーバ装置から取得する必要があるため、認証サーバ装置とそれと連携する認可サーバ装置にかかる処理負荷が大きい。すなわち非特許文献4,5の方法では、小さな負担で任意の利用環境に応じて端末装置を柔軟に制御することができない。
【0011】
本発明はこのような点に鑑みてなされたものであり、小さな負担で任意の利用環境に応じて端末装置を柔軟に制御することが可能な技術を提供することを目的とする。
【課題を解決するための手段】
【0012】
任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が任意の端末装置の利用環境を表す暗号化条件情報に対応付けられる。制御装置は、暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて暗号化条件情報に対応する制御情報を暗号化して得られる暗号化制御情報を出力する。端末装置は、暗号化制御情報の入力を受け付け、自らの利用環境を表す利用環境情報を得、利用環境情報を含む復号鍵生成情報を出力する。鍵管理装置は、復号鍵生成情報の入力を受け付け、復号鍵生成情報に対応する復号鍵を生成し、復号鍵を出力する。端末装置は、生成された復号鍵の入力を受け付け、この復号鍵を用いて暗号化制御情報の復号処理を行い、それによって制御情報が得られる場合に当該制御情報を用い、端末装置に特定のサービスの実行を許可するかを決定する。なお、暗号化鍵生成情報と復号鍵生成情報とが予め定められた関係を満たす場合に、復号鍵を用いて暗号化制御情報の復号処理を行うことで制御情報が得られる。
【発明の効果】
【0013】
本発明では、小さな負担で任意の利用環境に応じて端末装置を柔軟に制御できる。
【図面の簡単な説明】
【0014】
【図1】図1は、実施形態の端末装置制御システムの構成を説明するための図である。
【図2】図2A〜2Cは、実施形態の端末装置制御システムの構成を説明するための図である。
【図3】図3A及び3Bは、実施形態の端末装置の表示画面を例示した図である。
【図4】図4は、実施形態の端末制御方法を説明するための図である。
【図5】図5は、実施形態の端末制御方法を説明するための図である。
【図6】図6A〜6Dは、実施形態の変形例の端末装置制御システムの構成を説明するための図である。
【図7】図7は、実施形態の変形例での制御処理を説明するための図である。
【図8】図8は、実施形態の変形例での端末装置の構成を説明するための図である。
【図9】図9A及び9Bは、実施形態の変形例での端末装置の表示画面を例示した図である。
【図10】図10は、実施形態の変形例の端末制御方法を説明するための図である。
【図11】図11は、実施形態の変形例の端末装置制御システムの構成を説明するための図である。
【図12】図12A〜12Dは、実施形態の変形例の端末装置制御システムの構成を説明するための図である。
【発明を実施するための形態】
【0015】
以下、本発明の実施形態を説明する。
〔実施形態の概要〕
最初に実施形態の概要を説明する。
本形態の端末装置制御システムは、例えば、サービスの実行が制御される端末装置、その制御を行う制御装置、及び制御に必要な鍵を管理する鍵管理装置を有する。
【0016】
この例では、任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が、任意の端末装置の利用環境を表す暗号化条件情報に対応付けられる。制御装置は、暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて暗号化条件情報に対応する制御情報を暗号化して得られる暗号化制御情報を出力する。
【0017】
端末装置は、暗号化制御情報入力部で暗号化制御情報の入力を受け付け、利用環境取得部で自らの利用環境を表す利用環境情報を得、復号鍵生成情報出力部で利用環境情報を含む復号鍵生成情報を出力する。
【0018】
鍵管理装置は、復号鍵生成情報入力部で復号鍵生成情報の入力を受け付け、復号鍵生成部で復号鍵生成情報に対応する復号鍵を生成し、復号鍵出力部で復号鍵を出力する。
【0019】
端末装置は、復号鍵生成情報に対して生成された復号鍵の入力を復号鍵入力部で受け付け、制御情報取得部で復号鍵を用いて暗号化制御情報の復号処理を行う。制御情報取得部で制御情報が得られる場合、端末装置の制御情報適用部が当該制御情報を用い、当該端末装置に特定のサービスの実行を許可するかを決定する。
【0020】
本形態では、暗号化鍵生成情報と復号鍵生成情報とが予め定められた関係を満たす場合に、復号鍵を用いて暗号化制御情報の復号処理を行うことで制御情報が得られる。ここで、暗号化鍵生成情報は、制御装置で設定された、暗号化制御情報の復号を許可する端末装置の利用環境に対応し、この制御装置で設定された利用環境は、制御装置で設定された所定の制御情報に対応する。また、復号鍵生成情報は端末装置の実際の利用環境に対応する。この場合、端末装置の実際の利用環境が制御装置で設定された利用環境に対応する場合にのみ、当該端末装置は制御装置で設定された制御情報を得ることができる。言い換えると、暗号化制御情報が復号できることをもって、その制御情報を適用するにふさわしい端末装置を識別したことになる。これにより、端末装置で利用可能なサービスを、端末装置の利用環境に応じて柔軟に制御することが可能となる。
また制御装置は、制御情報に対応付ける利用環境を表す暗号化条件情報を変更するだけで、任意の利用環境に応じて端末装置を制御できる。
さらに制御装置は、端末装置でのサービス利用に関する許諾条件である当該端末装置の利用環境に対応する情報(暗号化条件情報)を端末装置や鍵管理装置に送ることなく、当該利用環境に応じて端末装置を制御することができる。そのため暗号化鍵生成情報の改ざん検知や暗号化等の処理が不要となり、実装コストや運用コストを削減できる。
また、制御装置は暗号化条件情報を鍵管理装置に送る必要がないため、たとえ端末装置でのサービス利用に関する許諾条件が頻繁に変更されるとしても、それに伴って制御装置と鍵管理装置との間の通信処理負荷が増大することはない。
さらに、端末装置に提供されるのは制御情報そのものではなく、それを暗号化して得られる暗号化制御情報である。端末装置が自らの利用環境を偽ることができないと仮定すると、制御装置が設定した利用環境にない端末装置は不正に制御情報を取得することができない。
よって本形態では、小さな負担で任意の利用環境に応じて端末装置を柔軟に制御できる。
【0021】
好ましくは、端末装置の利用環境取得部は、或る期間ごとに新たな利用環境情報を得、復号鍵生成情報出力部は、新たな利用環境情報が得られるたびに、新たな利用環境情報を含む新たな復号鍵生成情報を出力する。鍵管理装置の復号鍵生成情報入力部は、新たな復号鍵生成情報の入力を受け付け、復号鍵生成部は、復号鍵生成情報入力部に新たな復号鍵生成情報が入力されるたびに、新たな復号鍵生成情報に対応する新たな復号鍵を生成し、復号鍵出力部は、新たな復号鍵が生成されるたびに、新たな復号鍵を出力する。端末装置の復号鍵入力部は、新たな復号鍵の入力を受け付け、制御情報取得部は、復号鍵入力部に新たな復号鍵が入力されるたびに、新たな復号鍵を用いて暗号化制御情報の復号処理を行い、制御情報適用部は、制御情報取得部で制御情報が新たに得られるたびに、新たに得られた制御情報を用い、当該端末装置に特定のサービスの実行を許可するか否かを決定する。なお、暗号化鍵生成情報と新たな復号鍵生成情報とが予め定められた関係を満たす場合に、新たな復号鍵を用いて暗号化制御情報の復号処理を行うことで制御情報が得られる。
これにより、動的に変化する端末装置の利用環境に応じ、端末装置で利用可能なサービスを制御できる。
【0022】
この場合に好ましくは、制御装置は、暗号化条件情報に対応する制御情報が新たな制御情報に更新されるたびに、新たな第1付加情報を生成し、暗号化条件情報及び新たな第1付加情報を含む新たな暗号化鍵生成情報に対応する新たな暗号化鍵を用いて新たな制御情報を暗号化して得られる新たな暗号化制御情報を出力する。新たな復号鍵生成情報は、新たな第1付加情報に対して特定の対応関係を持つ新たな第2付加情報をさらに含む。端末装置の制御情報取得部は、新たな復号鍵を用いて新たな暗号化制御情報の復号処理を行い、制御情報適用部は、制御情報取得部で新たな制御情報が得られる場合に当該新たな制御情報を用い、当該端末装置に特定のサービスの実行を許可するか否かを決定する。新たな暗号化鍵生成情報と新たな復号鍵生成情報とが予め定められた関係を満たす場合に、新たな復号鍵を用いて新たな暗号化制御情報の復号処理を行うことで新たな制御情報が得られる。
【0023】
この場合、制御装置は、暗号化条件情報に対応する制御情報が新たな制御情報に更新されるたびに、暗号化条件情報及び新たな第1付加情報を含む新たな暗号化鍵生成情報に対応する新たな暗号化鍵を用いて新たな制御情報を暗号化して得られる新たな暗号化制御情報する。この場合、暗号化条件情報に対応する制御情報が新たな制御情報に更新されるたびに、新たな制御情報を暗号化するための暗号化鍵も更新される。また、新たな復号鍵生成情報が新たな第1付加情報に対して特定の対応関係を持つ新たな第2付加情報をさらに含むため、制御情報が新たな制御情報に更新されるたびに、新たな暗号化制御情報を復号するための復号鍵も新たな復号鍵に更新される。
よって、暗号化条件情報に対応する制御情報が新たな制御情報に更新された場合、古い復号鍵のみを持つ端末装置は新たな制御情報を得ることができない。言い換えると、制御情報が新たな制御情報に更新された場合、その際に生成される新たな第1付加情報に対応する新たな第2付加情報を得られない端末装置は、この新たな制御情報を得ることができない。他方、端末装置が古い復号鍵を保持することができないと仮定すると、新たな第2付加情報を得られ、新たな復号鍵を得ることができる端末装置は、新たな暗号化制御情報を復号することはできても、保持しておいた古い暗号化制御情報を復号することはできない。これによって、多様な制御を利用者の不正を抑制しつつ行うことが可能となる。
【0024】
また、任意の端末装置に特定のサービスの実行を許可するか否かを表す隣接制御情報が、任意の端末装置の利用環境を表す隣接暗号化条件情報に対応し、隣接暗号化条件情報を含む隣接暗号化鍵生成情報に対応する隣接暗号化鍵を用いて隣接暗号化条件情報に対応する隣接制御情報を暗号化して得られる隣接暗号化制御情報を出力する隣接制御装置が存在してもよい。その場合、好ましくは、端末装置の暗号化制御情報入力部は、さらに隣接暗号化制御情報の入力を受け付け、制御情報取得部は、復号鍵を用いて隣接暗号化制御情報の復号処理をさらに行い、制御情報適用部は、制御情報取得部で制御情報及び隣接制御情報が得られる場合に、当該制御情報及び隣接制御情報の中から一つの制御情報又は隣接制御情報を選択し、選択した制御情報又は隣接制御情報を用い、当該端末装置に特定のサービスの実行を許可するか否かを決定する。
【0025】
これにより、制御装置による制御領域と隣接制御装置による制御領域との両方に属する場合であっても、予め定められた基準に従って最適な制御が実行される。例えば、端末装置の制御情報適用部が、制御情報取得部で制御情報及び隣接制御情報が得られる場合に、当該制御情報及び隣接制御情報のうち、最も多くのサービスの実行を拒否する制御情報又は隣接制御情報を選択してもよい。これにより、一方の制御領域では許可されるが他方の制御領域では許可されないサービスの実行が制限され、実行することが不適切な他方の制御領域で当該サービスが実行されてしまう事態を防止できる。或いは、例えば、端末装置の制御情報適用部が、制御情報取得部で制御情報及び隣接制御情報が得られる場合に、当該制御情報及び隣接制御情報のうち、最も多くのサービスの実行を許可する制御情報又は隣接制御情報を選択してもよい。これにより、一方の制御領域で実行すべきであるが他方の制御領域では許可されないサービスの実行が当該一方の制御領域で制限され、当該一方の制御領域で当該サービスが実行されないという事態の発生を抑制できる。
【0026】
好ましくは、特定の領域内に配置された端末装置のみが鍵管理装置と通信可能であり、特定の領域内に配置された端末装置のみに復号鍵が入力される。この場合、端末装置が特定の領域内に存在するか否かによって、その制御内容を変化させることができる。
例えば、端末装置の制御情報取得部において当該端末装置が適用可能な制御情報が得られない場合に、当該端末装置の制御情報適用部が、予め定められたデフォルト制御情報に従い、当該端末装置に特定のサービスの実行を許可するか否かを決定する。これにより、端末装置が特定の領域内に存在するか否かに応じ、端末装置の実際の利用環境に対応する制御情報に基づいた制御がなされるか、デフォルト制御情報に基づいた制御がなされる。
制御装置が、暗号化条件情報によって表される利用環境の種別を表す種別情報をさらに出力し、端末装置の暗号化制御情報入力部が、さらに前記種別情報の入力を受け付け、利用環境取得部が、この種別情報によって表される種別の自らの利用環境を表す利用環境情報を得ることにしてもよい。この場合、制御装置は、サービスの利用を制御するための利用環境の種別を容易に変更することができる。
【0027】
〔実施形態〕
次に、本発明の実施形態を説明する。
本実施形態では、サービス利用者が個人的に保有するスマートフォン端末装置を所属する企業内に持ち込み、そのまま企業内での作業用端末装置として利用する場合を想定する。制御対象となるサービスとしては、コンテンツ、アプリケーション、デバイスなどが想定できるが、本形態ではスマートフォン端末装置にインストールされているアプリケーション(ソフトウェア)を制御対象とする。スマートフォン端末装置が企業外に配置されている場合にはすべてのアプリケーションが利用可とされ、企業内に配置されている場合には企業の端末利用ポリシに適さないアプリケーションが利用不可とされる。本形態では、IDベース暗号方式を利用して制御情報が暗号化される場合を想定する。IDベース暗号方式の一例は、例えば、参考文献1「D.Boneh and M.franklin, Identity-based encryption from the Weil pairing, CRYPT’01, volume 2139 of LNCS, pages 213-229. Springer, 2001.」に開示されている。
【0028】
<構成>
図1に例示するように、本実施形態の端末装置制御システム1は、制御装置11と、端末装置12と、鍵管理装置13を有する。
本形態で例示する制御装置11は、特定の企業によって管理される企業サーバ装置である。本形態の制御装置11は、制御部111と、メモリ112と、記憶部113と、通信部114と、暗号化制御情報生成部115と、処理部116とを有する。これらの各機能部は、例えば、コンピュータに特別なプログラムが読み込まれ、実行されることで構成される。制御装置11は、制御部111の制御のもと各処理を実行し、各処理過程で得られたデータは必要に応じてメモリ112に格納され、他の処理過程で利用される。
【0029】
本形態で例示する端末装置12は、サービス利用者が個人的に保有するスマートフォン端末装置であり、いくつかのアプリケーションがインストールされている。本形態の端末装置12は、制御部121と、メモリ122と、通信部123a(暗号化制御情報入力部)と、通信部123b(復号鍵入力部)と、利用環境取得部124と、復号鍵取得部125と、制御情報取得部126と、制御情報適用部127と、実行部128とを有する。これらの各機能部は、例えば、コンピュータに特別なプログラムが読み込まれ、実行されることで構成される。特に本形態の復号鍵取得部125及び制御情報取得部126は、コンピュータに制御アプリケーション(制御AP)が読み込まれて実行されることで得られる。端末装置12は、制御部121の制御のもと各処理を実行し、各処理過程で得られたデータは必要に応じてメモリ122に格納され、他の処理過程で利用される。
【0030】
本形態で例示する鍵管理装置13は、暗号化や復号に利用される暗号化鍵や復号鍵を管理するサーバ装置である。鍵管理装置13は、制御装置11を管理する企業によって管理されるものであってもよいし、その他の第三者機関によって管理されるものであってもよい。本形態の鍵管理装置13は、制御部131と、メモリ132と、記憶部133と、通信部134と、復号鍵生成部135と、マスタ鍵生成部136を有する。これらの各機能部は、例えば、コンピュータに特別なプログラムが読み込まれ、実行されることで構成される。鍵管理装置13は、制御部131の制御のもと各処理を実行し、各処理過程で得られたデータは必要に応じてメモリ132に格納され、他の処理過程で利用される。
【0031】
制御装置11、端末装置12及び鍵管理装置13は、ネットワークを通じて通信可能に構成されている。ただし、図2A〜2Cに例示するように、本形態では、特定の企業内(図2Cの特定の領域B内)に配置された端末装置12のみが鍵管理装置13とネットワークを通じて通信可能であり、復号鍵を取得できる(図2B)。特定の企業外(図2Cの領域A)に配置された端末装置12は鍵管理装置13と通信不可であり、復号鍵を取得できない(図2A)。端末装置12は、当該特定の企業内に配置されているか否かに拘わらず、ネットワークを通じて制御装置11と通信可能である。
【0032】
<事前処理>
事前処理として、鍵管理装置13のマスタ鍵生成部136がIDベース暗号方式を利用するために必要なマスタ公開鍵とマスタ秘密鍵を生成する。例えば、参考文献1に記載されたIDベース暗号方式を利用するのであれば、マスタ鍵生成部136は、乱数等から生成されたs∈Zq*をマスタ秘密鍵とし、有限体上で定義された位数qの楕円曲線E上の点Pに対するs・P∈Eをマスタ公開鍵Ppubとする。マスタ秘密鍵は記憶部133に格納され、マスタ公開鍵やその他の公開パラメータは公開される。
【0033】
端末装置12の制御情報適用部127に予めデフォルト制御情報を設定しておく。デフォルト制御情報とは、制御情報取得部126で制御情報が得られない場合に適用される制御内容を表す情報である。制御情報取得部126で制御情報が得られない場合、制御情報適用部127は、後述のようにデフォルト制御情報に従い、実行部128に特定のアプリケーションの実行を許可するか否かを決定する。デフォルト制御情報の例は、端末装置12にインストールされたすべてのアプリケーションの実行を実行部128に許可する制御情報、端末装置12にインストールされたすべてのアプリケーションの実行部128による実行を拒否する制御情報、又は、端末装置12にインストールされた予め定められた一部のアプリケーションの実行を実行部128に許可するが他のアプリケーションの実行を拒否する制御情報などである。本形態では、端末装置12にインストールされたすべてのアプリケーションの実行を実行部128に許可する制御情報をデフォルト制御情報とする。
【0034】
<設定処理>
図4に例示するように、制御装置11を管理する特定の企業は、端末装置12にインストールされた特定のアプリケーションの実行を許可するか否かを表す制御情報を生成する。例えば、当該特定の企業内で利用させたいアプリケーションに「実行を許可する」旨を表す「ON」を対応付け、利用させたくないアプリケーションに「実行を拒否する」旨を表す「OFF」を対応付けた情報を制御情報とする。単数個の制御情報のみ設定されてもよいし、複数個の制御情報が設定されてもよい。以下に一つの制御情報を例示する(ファイル名:制御情報1.xml)。
【表1】
【0035】
制御装置11を管理する特定の企業は、さらに端末装置12がどのような利用環境にある場合にどの制御情報を適用するのかを設定し、設定した端末装置12の利用環境を表す暗号化条件情報とその利用環境に対して適用される制御情報を対応付ける。端末装置12の利用環境とは、端末装置12が利用される環境を意味する。端末装置12の利用環境の例は、端末装置12が配置される位置(座標や領域等)、端末装置12が利用される時間(時刻や時間帯等)、端末装置12若しくはそこにインストールされたアプリケーションの利用者又は所有者の性別や所属等の各種属性情報などである。暗号化条件情報の具体例は、GPS装置によって得られる端末装置12の位置情報、端末装置12と無線通信を行う無線LANのアクセスポイントIDであるSSID(Service Set ID)、端末装置12が接続するローカルネットワークに割り当てられたグローバルアドレス(IPアドレス等)、企業内に設置されたタイムサーバ装置から取得する時間情報などである。本形態では、端末装置12が配置される位置をその利用環境とし、端末装置12と無線通信を行う無線LANのアクセスポイントIDであるSSIDを暗号化条件情報とする場合を例示する。
【0036】
どのような種別の利用環境を設定するかがアプリケーションごとやサービスごとに予め定められていてもよいし、制御装置11を管理する特定の企業が任意に定めてもよい。どのような種別の利用環境を設定するかが任意に定められる場合、利用環境の種別(項目)を表す種別情報(ID等)が設定され、種別情報を指定することでどのような種別の利用環境を用いるのかが特定されるものとする。
設定された暗号化条件情報と当該暗号化条件情報に対応付けられた制御情報とは制御装置11の記憶部113に格納される(ステップS101)。
【0037】
鍵管理装置13で設定されたマスタ公開鍵やその他の公開パラメータが制御装置11に送られ、記憶部113に格納される(ステップS102)。
【0038】
制御装置11の暗号化制御情報生成部115は、互いに対応付けられた暗号化条件情報及び制御情報とマスタ公開鍵とを記憶部113から読み込む。暗号化制御情報生成部115は、当該暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用い、当該暗号化条件情報に対応する制御情報を暗号化し、暗号化制御情報を生成する。本形態の暗号化制御情報生成部115は、IDベース暗号方式に則り、マスタ公開鍵を用いて暗号化鍵生成情報に対応する暗号化鍵を生成し、その暗号化鍵を用いて当該制御情報を暗号化して暗号化制御情報を生成する。例えば、参考文献1に記載されたIDベース暗号方式を利用するのであれば、暗号化制御情報は、以下のようになる。
(r・P, M(+)H(gIDr))
ただし、gID=e(MAPID,Ppub)であり、Hはビット列を出力するハッシュ関数Hであり、eはペアリングなどの双線形写像であり、MAPIDは暗号化鍵生成情報を楕円曲線E上に写像した点であり、r∈Zq*は乱数であり、Mは制御情報を表すビット列であり、(+)は排他的論理和演算子である。また暗号化鍵生成情報は、暗号化条件情報のみからなる情報であってもよいし、さらに端末装置12固有のIDや、設定処理が新たに実行されるたびに暗号化制御情報生成部115で新たに生成される第1付加情報(乱数やカウント値等)などを含んでもよい。暗号化鍵生成情報がどのような種別の情報からなるかは予めシステム内で定められているものとする。
【0039】
生成された暗号化制御情報は、端末装置12からの要求に応じて送信できるように記憶部113に格納される。暗号化鍵生成情報が乱数等の第1付加情報を含む場合には、この暗号化制御情報に対応する第1付加情報に対して特定の対応関係を持つ新たな第2付加情報も記憶部113に格納されてもよい。IDベース暗号化方式を用いる本形態では、第2付加情報は第1付加情報に等しい。第1付加情報が更新される場合も同様である。また、当該暗号化鍵生成情報に対応する利用環境の種別を表す種別情報が記憶部113に格納されてもよい。記憶部113に格納された暗号化制御情報や第2付加情報や種別情報などはネットワーク上に公開されてもよく、インデックス等を用いて各端末装置12が自らに対応する暗号化制御情報等を取得できるようにされてもよい(ステップS103)。
【0040】
端末装置12に対応する暗号化制御情報等が格納された領域のアドレス等を含む制御APが生成され、ネットワーク上の任意のサーバ装置にアップロードされる。制御装置11の通信部114は、この制御APが格納された領域のURLの情報を送信し、この情報は端末装置12の通信部123aに受信される。制御装置11の制御部121は、このURLを用いて制御APを取得し、制御APをコンピュータ上で実行させる。本形態では、これによって復号鍵取得部125及び制御情報取得部126が端末装置12に構成される(ステップS104)。
なお、上記の設定処理(ステップS101〜S103)の各処理は、初期設定の際に実行される他、新たな暗号化条件情報に対応する制御情報が設定されるたびや、暗号化条件情報に対応する制御情報が新たな制御情報に更新されるたび等に、それぞれ新たに実行される。また、上記ではステップS104の処理がステップS101〜S104の処理の後に実行される例を示したが、ステップS104の処理とステップS101〜S104の処理とが独立に実行されてもよい。例えば、ステップS101〜S104の処理の前にステップS104の処理が実行されてもよいし、ステップS101〜S104の処理の最終にステップS104の処理が実行されてもよい。
【0041】
<制御処理>
図5に例示するように、制御情報取得部126は、或る期間ごとに(定期的若しくは必要なタイミングごとに)、通信部123aから暗号化制御情報要求を送信させる。必要なタイミングとは、後述する復号処理において既に取得している復号鍵では復号できなかった場合などである(ステップS111)。送信された暗号化制御情報要求は、ネットワークを通じて制御装置11の通信部114で受信され、処理部116に送られる。処理部116は、記憶部113から端末装置12に対応する暗号化制御情報を読み出し、これを通信部114から送信(出力)させる。この暗号化制御情報に対応する前述の第2付加情報や種別情報が記憶部113に格納されているのであれば、暗号化制御情報とともにそれに対応する第2付加情報及び/又は種別情報も送信(出力)される。送信された暗号化制御情報等の情報は、ネットワークを通じて端末装置12の通信部123aで受信され(入力を受け付け)、制御情報取得部126に送られる。第2付加情報や種別情報が受信された場合、これらは復号鍵取得部125に送られる。制御情報取得部126は、送られた暗号化制御情報等を耐タンパなエリアに保存したり、メモリ122などに一時的に保存したりしてもよい(ステップS112)。
【0042】
一方、復号鍵取得部125は或る期間ごとに(定期的又は所定の契機ごとに)、端末装置12の利用環境を表す利用環境情報の取得を利用環境取得部124に要求する(ステップS113)。この要求を受けた利用環境取得部124は、その要求のたびに自身のセンサデバイス等を用いて自身の利用環境を表す利用環境情報を取得する。どのような種別の利用環境情報を取得するかがアプリケーションごとやサービスごとに予め定められている場合、利用環境取得部124は、端末装置12にインストールされているアプリケーションや端末装置12で実行しようとするサービスに対応する種別の利用環境情報を取得する。ステップS112で暗号化制御情報とともに種別情報が送信された場合、利用環境取得部124は、その種別情報によって表される種別の自らの利用環境を表す利用環境情報を得る。本形態の例では、利用環境取得部124は、近くの無線LANのアクセスポイントのSSIDを利用環境情報として取得する。取得された端末装置12の利用環境情報は、復号鍵取得部125に送られる(ステップS114)。
【0043】
端末装置12がネットワークを通じて鍵管理装置13と通信可能である場合、端末装置12の復号鍵取得部125と鍵管理装置13の復号鍵生成部135は、通信部123b,134及びネットワークを通じ、端末装置12のサービス利用者の認証処理を実行する(ステップS115)。端末装置12が鍵管理装置13と通信不可であるか、認証処理に失敗した場合には、ステップS120に進む。
【0044】
認証処理が成功であった場合、復号鍵取得部125は、利用環境情報を含む復号鍵生成情報を復号鍵生成要求とともに通信部123bに送り、通信部123bは、ネットワークを通じて復号鍵生成情報と復号鍵生成要求を鍵管理装置13に送信(出力)する。なお、復号鍵生成情報がどのような種別の情報からなるかは予めシステム内で定められており、その構成は前述の暗号化鍵生成情報に対応する。IDベース暗号方式を用いる本形態の場合、暗号化鍵生成情報と復号鍵生成情報が同一の場合に正しく復号処理がなされるように、復号鍵生成情報が設定される。すなわち、暗号化鍵生成情報が暗号化条件情報のみからなる情報の場合、復号鍵生成情報は利用環境情報のみからなる情報とされる。暗号化鍵生成情報が暗号化条件情報と第1付加情報とからなる情報の場合、復号鍵生成情報は利用環境情報と第2付加情報とからなる情報とされる。暗号化鍵生成情報がさらに端末装置12固有のID等の付加情報を含む場合には、復号鍵生成情報はさらに端末装置12固有のID等の付加情報を含む。復号鍵生成情報と復号鍵生成要求は、鍵管理装置13の通信部134に受信(入力)され、復号鍵生成部135に送られる(ステップS116)。
【0045】
復号鍵生成部135は、記憶部133からマスタ秘密鍵を読み出し、復号鍵生成情報に対応する復号鍵を生成する。本形態の復号鍵生成部135は、IDベース暗号方式に則り、マスタ秘密鍵を用いて復号鍵生成情報に対応する復号鍵を生成する。例えば、参考文献1に記載されたIDベース暗号方式を利用するのであれば、復号鍵生成情報を楕円曲線E上の点MAPIDに写像し、楕円曲線E上で楕円スカラー倍算を行って得られる結果s・MAPIDを復号鍵とする(ステップS117)。生成された復号鍵は通信部134から送信され、ネットワークを経由して、端末装置の通信部123bに受信(入力)され、復号鍵取得部125に送られる(ステップS118)。
【0046】
復号鍵は制御情報取得部126に送られ、制御情報取得部126に格納される。このとき、復号鍵が悪用(意図しない再利用や第三者への流出)されないように、耐タンパなエリアに保存されたり、メモリ122などに一時的に保存されたりしてもよい。
【0047】
制御情報取得部126は、復号鍵を用いて暗号化制御情報の復号を試みる。本形態では、IDベース暗号方式に則り、復号鍵を用いて暗号化制御情報の復号処理を行う。例えば、参考文献1に記載されたIDベース暗号方式を利用するのであれば、制御情報取得部126は、以下の復号処理を行って制御情報Mの取得を試みる。
M(+)H(gIDr)(+)H(e(s・MAPID,r・P))
暗号化鍵生成情報と復号鍵生成情報とが予め定められた関係を満たす場合に、復号鍵を用いて暗号化制御情報の復号処理を行うことで制御情報が得られる。IDベース暗号方式を利用する本形態では、暗号化鍵生成情報と復号鍵生成情報が同一である場合に、暗号化制御情報の復号処理を行うことで制御情報が得られる(ステップS119)
なお、ステップS115〜S119の処理は、或る期間ごとに(定期的又は所定の契機ごとに)新たに実行される。例えば、ステップS111,S112の処理が実行されるたびに(新たな暗号化制御情報が得られるたびに)ステップS115〜S119の処理が新たに実行されてもよいし、ステップS113,S114の処理が実行されるたびに(新たな利用環境情報が得られるたびに)ステップS115〜S119の処理が新たに実行されてもよい。
【0048】
制御情報適用部127は、或る期間ごとに(定期的又は所定の契機ごとに)、制御情報取得部126に対して制御情報を要求する(ステップS120)。例えば、ステップS115〜S119の処理が実行されるたびに、制御情報適用部127が制御情報取得部126に対して制御情報を要求する。
ここでステップS119の復号処理で制御情報が得られていたのであれば、制御情報適用部127は得られた制御情報を制御情報適用部127に送る。一方、ステップS119の復号処理で制御情報が得られていないのであれば、制御情報適用部127は「制御情報が得られなかった」旨の情報を制御情報適用部127に送る。なお、ステップS119の復号処理で制御情報が得られない場合とは、ステップS119の復号処理によって正しく復号がなされなかった場合の他、ステップS115で端末装置12が鍵管理装置13と通信不可であったか認証処理に失敗していた場合も含まれる(ステップS121)。
【0049】
制御情報適用部127は、送られた制御情報や制御情報が得られなかった旨の情報を保持する。このとき、制御情報が悪用(意図しない再利用や第三者への流出)されないように、耐タンパなエリアに制御情報を保存したり、メモリ122などに一時的に制御情報を保存したりしてもよい。
【0050】
制御情報取得部126から制御情報適用部127に制御情報が送られた場合、制御情報適用部127は送られた制御情報を用い、端末装置12にインストールされた特定のアプリケーションの実行を実行部128に許可するか否かを決定する。例えば、制御情報適用部127は、端末装置12にインストールされているアプリケーションのうち、制御情報やデフォルト制御情報で「ON」と指定されているものの実行部128による実行を許可し、「OFF」と指定されているものの実行部128による実行を拒否する。
【0051】
実行部128は、制御情報適用部127の決定に従ってアプリケーションの実行を制御し、利用者によるサービスの利用を制御する。図3Aは、端末装置12にインストールされているすべてのアプリケーション(AP1〜AP9)の実行が許可された場合の端末装置12の表示画面の例である。この例では、すべてのアプリケーション(AP1〜AP9)のアイコンが表示画面に表示され、すべてのアプリケーション(AP1〜AP9)の利用が可能な状態となっている。図3Bは、アプリケーション(AP7〜AP9)の実行は許可されているが、アプリケーション(AP1〜AP6)の実行が拒否された場合の端末装置12の表示画面の例である。この例では、アプリケーション(AP7〜AP9)のアイコンのみが表示画面に表示され、これらのアプリケーション(AP7〜AP9)のみの利用が可能な状態となっている。
なお制御情報の適用後に、それまで保存されていた暗号化制御情報や制御情報、復号鍵などが悪用(意図しない再利用や第三者への流出)されないように、これらの情報が削除されてもよい。
【0052】
一方、制御情報取得部126から制御情報適用部127に「制御情報が得られなかった」旨の情報が送られた場合、制御情報適用部127は前述のデフォルト制御情報に従い、端末装置12にインストールされた特定のアプリケーションの実行を実行部128に許可するか否かを決定し、実行部128はこの決定に従ってアプリケーションの実行を制御する。例えば、端末装置12にインストールされたすべてのアプリケーションの実行を実行部128に許可するデフォルト制御情報を設定しておけば、端末装置12が企業のSSIDが取得されない自宅などに配置されている場合にすべてのアプリケーションの利用を可能とし、端末装置12が企業のSSIDが取得される企業内に配置されている場合に社内ポリシに従ったアプリケーションのみの利用を可能とする、などの制御が可能となる(ステップS122)。
【0053】
〔実施形態の変形例1〕
上述の実施形態では、サービス利用者が個人的に保有する端末装置12を所属する企業内に持ち込み、そのまま企業内での作業用端末装置として利用する場合を想定して説明を行った。しかしながら、これは本発明を限定するものではない。例えば、企業の代わりに映画館を想定すれば、着信音など音を発生するアプリケーションを強制的にOFFにしたり、企業の代わりに電車やバスを想定すれば、通話可能なアプリケーションを「OFF」にしてマナーを守らせたりすることが可能となる。
【0054】
〔実施形態の変形例2〕
サービス利用者が個人的に保有するスマートフォン端末装置をマンガ喫茶などの書籍等を提供する店舗内に持ち込み、その店舗内でのみ書籍等のコンテンツをスマートフォン端末装置で閲覧可能とするサービスに上述の実施形態を転用することもできる。以下では上述の実施形態との相違点を中心に説明する。その他の事項は上述の実施形態で説明した通りである。
【0055】
この場合、上述の実施形態の「企業」が「店舗」に置換される。特定の店舗内に配置された端末装置12のみが制御装置11及び鍵管理装置13とネットワークを通じて通信可能であり、暗号化制御情報及び復号鍵を取得できる(図6B)。特定の店舗外に配置された端末装置12は制御装置11及び鍵管理装置13と通信できず、暗号化制御情報及び復号鍵を取得できない(図6A)。
【0056】
スマートフォン端末装置である端末装置12に予めインストールされた書籍等のコンテンツ用の専用のビューアアプリケーション(アプリケーション)を制御対象とする。この店舗で扱う書籍等のコンテンツはこのビューアアプリケーションを利用しないと閲覧できない専用のフォーマットで保存されているとし、これらのコンテンツは店舗のサーバ装置に保存されているものとする。また、端末装置12が店舗外に配置されている場合には、当該ビューアアプリケーションの利用を不可とし、端末装置12が店舗内に配置されている場合には当該ビューアアプリケーションの利用を可能とする制御情報が設定される。
【0057】
例えば、暗号化対象の制御情報としてビューアアプリケーションの実行を「ON」とする制御情報を設定し、特定の店舗内の領域を表す暗号化条件情報(当該店舗内のSSID等)を含む暗号化鍵生成情報に対応する暗号化鍵を用いて当該制御情報を暗号化して暗号化制御情報が得られるものとする。また、前述のデフォルト制御情報としてビューアアプリケーションの実行を「OFF」とする情報を設定しておく。これにより、店舗内のSSIDを取得できない自宅などに端末装置12が配置されている場合、端末装置12はビューアアプリケーションを実行できず、店舗内のSSID等を取得できる特定の店舗内に端末装置12が配置されている場合、当該端末装置12でビューアアプリケーションを起動し、店舗のサーバ装置に保存された書籍等を閲覧できる。
【0058】
〔実施形態の変形例3〕
サービス利用者が個人的に保有するスマートフォン端末装置を居酒屋などの飲食料を提供する店舗内に持ち込み、その店舗内でのみメニュー等のコンテンツをスマートフォン端末装置で閲覧可能とするサービスに上述の実施形態を転用することもできる。以下では上述の実施形態との相違点を中心に説明する。その他の事項は上述の実施形態で説明した通りである。
【0059】
この場合、上述の実施形態の「企業」が「店舗」に置換される。特定の店舗内に配置された端末装置12のみが制御装置11及び鍵管理装置13とネットワークを通じて通信可能であり、暗号化制御情報及び復号鍵を取得できる(図6B)。特定の店舗外に配置された端末装置12は制御装置11及び鍵管理装置13と通信できず、暗号化制御情報及び復号鍵を取得できない(図6A)。
【0060】
スマートフォン端末装置である端末装置12に予めインストールされたメニュー等のコンテンツ用の専用のビューアアプリケーション(アプリケーション)を制御対象とする。この店舗で扱うメニュー等はこのビューアアプリを利用しないと閲覧できない専用のフォーマットで保存されているとし、メニュー等のコンテンツは店舗のサーバ装置に保存されているものとする。端末装置12が店舗外に配置されている場合には、当該ビューアアプリケーションの利用を不可とし、端末装置12が店舗内に配置されている場合には当該ビューアアプリケーションの利用を可能とする制御情報が設定される。
【0061】
例えば、暗号化対象の制御情報としてビューアアプリケーションの実行を「ON」とする制御情報を設定し、特定の店舗内の領域を表す暗号化条件情報(当該店舗内のSSID等)を含む暗号化鍵生成情報に対応する暗号化鍵を用いて当該制御情報を暗号化して暗号化制御情報が得られるものとする。また、前述のデフォルト制御情報としてビューアアプリケーションの実行を「OFF」とする情報を設定しておく。これにより、キャンペーンなどを実施中の特定の店舗内のSSID等を取得できない別の店舗に端末装置12が配置されている場合、当該端末装置12はビューアアプリケーションを実行できない。或いは、デフォルト制御情報として、特定のキャンペーン対応コンテンツについてビューアアプリケーションの実行を「OFF」とする制御情報を設定しておけば、キャンペーンなどを実施中の特定の店舗内のSSIDを取得できない別の店舗に端末装置12が配置されている場合、当該端末装置12はビューアアプリケーションを実行できても当該キャンペーン対応コンテンツを利用できない。一方、キャンペーンなどを実施中の特定の店舗内に配置された端末装置12はSSIDを取得でき、ビューアアプリケーションを実行でき、キャンペーン対応コンテンツ等を閲覧できる。
【0062】
その他、複数の端末装置12が店舗内に存在する場合、店舗内に存在する複数の端末装置12が互いにP2Pネットワークで接続され、それぞれが保持する制御情報を互いに送受信できるようにしてもよい。何れかの端末装置12で制御情報が得られた場合、得られた制御情報がP2Pネットワークを通じて他の端末装置12に送信される。これにより、何れかの端末装置12で得られた制御情報を他の端末装置12が流用できる。この際、特定の店舗内に配置された複数の端末装置12のみがP2Pネットワークで接続されることにすれば、当該特定の店舗外に配置された端末装置12に制御情報が送信され、当該特定の店舗外に配置された端末装置12でビューアアプリケーションが実行されてしまうことを防止できる。
【0063】
〔実施形態の変形例4〕
サービス利用者が個人的に保有するスマートフォン端末装置を図書館に持ち込み、図書館でリモート勤務行う場合に、そのスマートフォン端末装置を企業内での作業用端末装置と同様にして利用することを可能にするサービスに上述の実施形態を転用することもできる。以下では上述の実施形態との相違点を中心に説明する。その他の事項は上述の実施形態で説明した通りである。
【0064】
特定の企業内にも特定の図書館内にも配置されていない端末装置12は、当該企業が管理する制御装置11とネットワークを通じて通信可能であり、暗号化制御情報を取得できる(図6C)。特定の企業内に配置された端末装置12は、制御装置11及び鍵管理装置13とネットワークを通じて通信可能であり、暗号化制御情報及び復号鍵を取得できる(図6B)。特定の図書館内に配置された端末装置12は、鍵管理装置13とネットワークを通じて通信可能であり、復号鍵を取得できるが、制御装置11とは通信できず、暗号化制御情報を取得できない(図6D)。
【0065】
スマートフォン端末装置である端末装置12に予めインストールされたアプリケーションを制御対象とする。端末装置12が特定の企業外に配置されている場合にはこれらすべてのアプリケーションの利用を可能とし、特定の企業内又は特定の図書館内に配置されている場合には企業の端末利用ポリシに適さないアプリケーションの利用を不可能とする制御情報が設定される。
【0066】
例えば、暗号化対象の制御情報として企業内での利用を許可するアプリケーションの実行を「ON」とし、企業内での利用を拒否するアプリケーションの実行を「OFF」とする制御情報を設定する。また、前述のデフォルト制御情報としてビューアアプリケーションの実行を「OFF」とする情報を設定しておく。特定の企業内の領域を表す暗号化条件情報(当該企業内のSSID等)を含む暗号化鍵生成情報に対応する暗号化鍵を用いて当該制御情報を暗号化して得られる暗号化制御情報と、特定の図書館内の領域を表す暗号化条件情報(当該図書館内のSSID等)を含む暗号化鍵生成情報に対応する暗号化鍵を用いて当該制御情報を暗号化して得られる暗号化制御情報とが、制御装置11から端末装置12に送信される。端末装置12が制御装置11から暗号化制御情報を取得するタイミングは上述の実施形態と同様でよく、例えば、端末装置12が図書館内に配置される前に端末装置12が制御装置11と接続したタイミングなどである。
【0067】
端末装置12は、たとえ制御装置11と通信できない状態であっても事前に取得した暗号化制御情報の復号を試み、何れかの復号処理によって制御情報が得られた場合には得られた制御情報に基づいた制御を実行し、何れの復号処理によっても制御情報が得られなかった場合にはデフォルト制御情報に基づいた制御を行う。これにより、特定の企業や図書館のSSIDが取得されない自宅などに端末装置12が配置されている場合には、当該端末装置12にインストールされたすべてのアプリケーションの利用を可能とし、特定の企業D又は図書館のSSIDが取得される当該企業内や図書館内に端末装置12が配置されている場合には、社内ポリシに従ったアプリケーションのみを利用可能とする、制御が可能となる。
【0068】
〔実施形態の変形例5〕
上述の実施形態では、サービス利用者が個人的に保有する端末装置12にインストールされているアプリケーションを制御対象とし、端末装置12が企業外に配置されている場合にはこれらのすべてのアプリケーションの利用を許可し、企業内に配置されている場合には企業の端末利用ポリシに適さないアプリケーションを利用不可とする制御を例示した。これに加えて、端末装置12に企業の端末利用ポリシに適した勤怠管理アプリケーションがインストールされており、端末装置12が企業内に配置されている場合のみに、端末装置12で勤怠管理アプリケーションの利用を許可する制御がなされてもよい。すなわち、制御対象となるアプリケーションの一つとして勤怠管理アプリケーションが含まれ、端末装置12が企業内に配置されている場合のみに勤怠管理アプリケーションの利用が可能とされる制御がなされてもよい。この企業で扱う勤怠管理情報はこの勤怠管理アプリケーションを利用しないと更新閲覧できない専用のフォーマットで保存されているとし、勤怠管理情報は企業サーバ装置に保存されているものとする。
【0069】
このような処理は上述の実施形態と同様に実行できる。しかしながら、以下ではブラックリストタグ、ホワイトリストタグ、アペンドタグによって利用の許可又は拒否を指定する制御情報を用いる例を示す。以下では上述の実施形態との相違点を中心に説明する。その他の事項は上述の実施形態で説明した通りである。
【0070】
ブラックリストタグによって利用の許可又は拒否を指定する制御情報とは、端末装置12にインストールされ得るアプリケーションを示したリストであって、それらのアプリケーションのうち企業内で利用させたくないアプリケーションのみにブラックリスクタグが対応付けられたリストである。ホワイトリストタグによって利用の許可又は拒否を指定する制御情報とは、端末装置12にインストールされ得るアプリケーションを示したリストであって、それらのアプリケーションのうち企業内で利用させたいアプリケーションのみにホワイトリスクタグが対応付けられたリストである。アペンドタグによって利用の許可又は拒否を指定する制御情報とは、端末装置12にインストールされ得るアプリケーションを示したリストであって、それらのアプリケーションのうち企業内で利用させたいアプリケーションのみにアペンドタグが対応付けられたリストである。ホワイトリストタグ、ブラックリストタグ、アペンドタグの何れかのみが対応付けられている制御情報だけではなく、ホワイトリストタグ、ブラックリストタグ、アペンドタグのうち複数種類のタグが対応付けられている制御情報も許容される。
【0071】
ブラックリストタグのみによって利用の許可又は拒否を指定する制御情報を用いる場合、制御情報適用部127は、ブラックリストタグが対応付けられたアプリケーションの実行を拒否し、ブラックリストタグに対応付けられていないアプリケーションの実行を許可するこれによって、制御情報を作成する企業側が、ユーザ個々が端末装置12にインストールするアプリケーションすべてを把握することなく、企業内で利用を許可しないアプリケーションを明示的に指定し、その他のアプリケーションを利用可とすることができる。
【0072】
ホワイトリストタグのみによって利用の許可又は拒否を指定する制御情報を用いる場合、制御情報適用部127は、ホワイトリストタグが対応付けられたアプリケーションの実行を許可し、ホワイトリストタグに対応付けられていないアプリケーションの実行を拒否するこれによって、制御情報を作成する企業側が、ユーザ個々が端末装置12にインストールするアプリケーションすべてを把握することなく、企業内で利用を許可しないアプリケーションを明示的に指定し、その他のアプリケーションを利用可とすることができる。
【0073】
アペンドタグのみによって利用の許可又は拒否を指定する制御情報を用いる場合、制御情報適用部127は、アペンドタグが対応付けられたアプリケーションの実行を許可し、アペンドタグに対応付けられていないアプリケーションの実行の許可又は拒否を変更しない。
【0074】
ブラックリストタグとホワイトリストタグとが共存する制御情報を用いる場合には、例えば、同一のアプリケーションにブラックリストタグとホワイトリストタグの両方が対応付けられている場合にはブラックリストタグよりホワイトリストタグに基づく制御を優先するなどの優先順位を設けることで、多様な制御情報の設定が可能となる。その他、アペンドタグをブラックリストタグやホワイトリストタグより優先順位を高くするなどの優先順位を設けることで、より多様な制御情報の設定が可能となる。
【0075】
図7を用い、このような制御情報に基づく制御方法を例示する。
図7に例示する制御方法の場合、制御情報適用部127は、端末装置内の全ての制御対象アプリケーションを取得し、その中の各制御対象のアプリケーション(APx)がアペンドリストタグ内にリストされているかを判定する(ステップS210)。アプリケーション(APx)がアペンドリストタグ内にリストされている場合には、アプリケーション(APx)の実行を許可する(ステップS206)。
【0076】
アプリケーション(APx)がアペンドリストタグ内にリストされていない場合、制御情報適用部127は、制御情報にホワイトリストタグが存在するかを判定する(ステップS202)。制御情報にホワイトリストタグが存在する場合、制御情報適用部127は、アプリケーション(APx)がホワイトリストタグ内にリストされているかを判定する(ステップS204)。制御情報適用部127は、アプリケーション(APx)がホワイトリストタグ内にリストされている場合にアプリケーション(APx)の実行を許可し(ステップS206)、リストされていない場合にアプリケーション(APx)の実行を拒否する(ステップS207)。
【0077】
制御情報にホワイトリストタグが存在しない場合、制御情報適用部127は、制御情報にブラックリストタグが存在するかを判定する(ステップS203)。制御情報にブラックリストタグが存在しない場合、制御情報適用部127は、アプリケーション(APx)の実行を許可する(ステップS206)。制御情報にブラックリストタグが存在する場合、制御情報適用部127は、アプリケーション(APx)がブラックリストタグ内にリストされているかを判定する(ステップS205)。制御情報適用部127は、アプリケーション(APx)がブラックリストタグ内にリストされている場合にアプリケーション(APx)の実行を拒否し(ステップS207)、リストされていない場合にアプリケーション(APx)の実行を許可する(ステップS206)。
【0078】
以下に具体的な制御情報を例示して図7に例示した制御方法を説明する。
以下はブラックリストタグによって実行の許可又は拒否を指定する制御情報の例である。
【表2】
この制御情報の場合、アプリケーション(AP1,AP2)の実行が拒否され、その他のアプリケーション(AP3〜AP9)の実行が許可される。
【0079】
以下はホワイトリストタグによって実行の許可又は拒否を指定する制御情報の例である。
【表3】
この制御情報の場合、アプリケーション(AP1,AP2)の実行が許可され、その他のアプリケーション(AP3〜AP9)の実行が拒否される。
【0080】
以下はアペンドリストタグによって実行の許可又は拒否を指定する制御情報の例である。
【表4】
この制御情報の場合、アペンドリストタグによって指定されたアプリケーション(AP4)の実行が許可され、それ以外のアプリケーション(AP1〜AP3,AP5〜AP9)についてはホワイトリストタグに対応する制御が有効となる。結果として、アプリケーション(AP1,AP2,AP4)の実行が許可され、その他のアプリケーション(AP3,AP5〜AP9)の実行が拒否される。
【0081】
以下はアペンドリストタグによって実行の許可又は拒否を指定する他の制御情報の例である。
【表5】
この制御情報の場合、アペンドリストタグによって指定されたアプリケーション(AP2)の実行が許可され、それ以外のアプリケーション(AP1,AP3〜AP9)についてはブラックリストタグに対応する制御が有効となる。結果として、アプリケーション(AP1)の実行が拒否され、その他のアプリケーション(AP2〜AP9)の実行が許可される。
【0082】
以下はブラックリストタグとホワイトリストタグによって実行の許可又は拒否を指定する制御情報の例である。
【表6】
この制御情報の場合、ホワイトリストタグに対応する効果のみが有効となり、ブラックリストタグに対応する効果は無効化される。結果として、アプリケーション(AP1,AP2)の実行が許可され、その他のアプリケーション(AP3〜AP9)の実行が拒否される。
【0083】
〔実施形態の変形例6〕
上述の実施形態では、制御APがコンピュータに読み込まれることで復号鍵取得部125及び制御情報取得部126が得られ、端末装置12にインストールされた各アプリケーションの実行の制御を行った。しかし、制御APを用いるのではなく、端末装置12にインストールされたアプリケーション自身が制御APの機能を持ち(制御アプリケーション内情アプリケーション/制御AP内蔵AP)、制御AP内蔵APがコンピュータに読み込まれることで、復号鍵取得部125、制御情報取得部126、制御情報適用部127及び実行部128が構成されてもよい。この場合には各アプリケーション自身が自らの起動のON、OFFを監視することになる。以下では上述の実施形態との相違点を中心に説明する。その他の事項は上述の実施形態で説明した通りである。
【0084】
この変形例では、上述の実施形態の端末装置制御システム1の端末装置12が図8に例示する端末装置12’に置換される。この例の端末装置12’にはいくつかの制御AP内蔵APがインストールされている。端末装置12’は、制御部121と、メモリ122と、通信部123a(暗号化制御情報入力部)と、通信部123b(復号鍵入力部)と、利用環境取得部124と、復号鍵取得部125と、制御情報取得部126と、制御情報適用部127と、実行部128とを有する。これらの各機能部は、例えば、コンピュータに特別なプログラムが読み込まれ、実行されることで構成される。特に復号鍵取得部125、制御情報取得部126、制御情報適用部127及び実行部128は、コンピュータに制御AP内蔵APが読み込まれて実行されることで得られる。
【0085】
この変形例の事前処理及び設定処理は上述の実施形態と同じである。この変形例の制御処理は、図10に示す通りである。すなわち、端末装置12の復号鍵取得部125、制御情報取得部126、制御情報適用部127及び実行部128によって実行される各ステップが、コンピュータに制御AP内蔵APが読み込まれて得られる端末装置12’の復号鍵取得部125、制御情報取得部126、制御情報適用部127及び実行部128によって実行される。その他は、上述の実施形態で説明したのと同様である。
【0086】
図9A及び9Bは、端末装置12’にインストールされているアプリケーション(AP1〜AP9)のうち、1つのアプリケーション(AP3)が自らのON、OFFを監視する制御AP内蔵APである場合の端末装置12’表示画面の例である。その他のアプリケーションは常に実行可能とされている。図9Aの例では、制御AP内蔵APであるアプリケーション(AP3)の実行が許可されて当該アプリケーション(AP3)が起動し、すべてのアプリケーション(AP1〜AP9)のアイコンが表示画面に表示され、すべてのアプリケーション(AP1〜AP9)の利用が可能な状態となっている。図9Bの例では、制御AP内蔵APであるアプリケーション(AP3)の実行が拒否され、制御AP内蔵APであるアプリケーション(AP3)は起動しておらず、そのアイコンは表示画面に表示されていない。その他のアプリケーション(AP1,AP2,AP4〜AP9)のアイコンは表示画面に表示されている。なお、上記変形例では制御AP内蔵APの起動状態、及びその表示状態について言及したが、上記変形例は起動状態や表示状態に限るものでは無い。例えば、自らアプリケーションを終了する、メッセージをポップアップで表示する、メールを送信する、など制御AP内蔵APの動作の振る舞いを制御する方式も、上記実施形態として存在し得る。
【0087】
〔実施形態の変形例7〕
制御装置11が複数存在し、無線通信等によって端末装置12と通信を行って第1実施形態の処理が実行される場合を想定する。また各制御装置11が端末装置12と接続可能な領域がそれぞれ定められているが、それらの領域が一部で重複しているとする。
【0088】
例えば図11に例示するように、制御装置11及び制御装置11と同様に構成される制御装置11’(隣接制御装置)が存在するものとする。領域Aに配置された端末装置12は何れの制御装置11,11’とも接続できず、暗号化制御情報を取得できない(図12A)。領域Bに配置された端末装置12は制御装置11と接続可能であり、制御装置11から送信された暗号化制御情報を取得できるが制御装置11’から送信された暗号化制御情報(隣接暗号化制御情報)を取得できない(図12B)。領域Cに配置された端末装置12は制御装置11’と接続可能であり、制御装置11’から送信された暗号化制御情報を取得できるが、制御装置11から送信された暗号化制御情報を取得できない(図12C)。領域Dに配置された端末装置12は制御装置11,11’の両方と接続可能であり、制御装置11から送信された暗号化制御情報と制御装置11’から送信された暗号化制御情報とを取得できる。また、領域Aに配置された端末装置12は鍵管理装置13と接続できず、復号鍵を取得できず(図12A)、領域B〜Dに配置された端末装置12は鍵管理装置13に接続でき、復号鍵を取得できる(図12B〜D)。
【0089】
このような場合、領域Bに配置された端末装置12は、制御装置11で設定された制御情報に基づいてアプリケーションの利用を制御し、領域Cに配置された端末装置12は、制御装置11’で設定された制御情報(隣接制御情報)に基づいてアプリケーションの利用を制御し、領域Aに配置された端末装置12は、デフォルト制御情報に基づいてアプリケーションの利用を制御する。一方、領域Dに配置された端末装置12の制御情報取得部126では、制御装置11で設定された制御情報と制御装置11’で設定された制御情報の両方が取得され得る。このような場合、制御情報適用部127は、所定の優先順位に従い、これらの制御情報の中から一つの制御情報を選択し、選択した制御情報を用い、実行部128に特定のアプリケーションの実行を許可するか否かを決定する。
【0090】
例えば、制御情報適用部127は、得られた制御情報のうち、最も多くのアプリケーションの実行を拒否する制御情報(できるだけ「OFF」が多い制御情報)を選択する。或いは、得られた制御情報のうち、最も多くのアプリケーションの実行を許可する制御情報(できるだけ「ON」が多い制御情報)を選択が選択されてもよい。或いは、制御対象のアプリケーションが1つのみである場合、制御情報適用部127は、得られた制御情報のうち、アプリケーションの実行を拒否する制御情報(「OFF」が存在する制御情報)を選択する。その他の優先順位に基づいて制御情報が選択されてもよい。
なお、この変形例は3個以上の制御装置が存在する場合にも適用できる。
【0091】
<実施形態の特徴>
サービス提供者は、サービス利用者の端末装置の利用環境に応じ、当該端末装置で提供されるサービス(コンテンツ、アプリケーション、デバイス)を、適切に制御した状態で利用させることができる。
【0092】
サービス提供者がサービス利用者の端末装置の利用環境に応じて当該端末装置で提供されるサービスの利用を制御する際に、サービス提供者がその端末装置に対応する許諾条件をサービス提供者へ送信する必要がない。これにより、許諾条件を示す情報の保護やそれに伴う秘密鍵等の管理が不要となる。
【0093】
サービス提供者がサービス利用者の端末装置の利用環境に応じて当該端末装置で提供されるサービスの利用を制御する際に制御装置から端末装置に送信される暗号化制御情報の送信を、サービス利用者の認証と独立に実行できる。よってサービスの利用を制御するための情報を送信する機器と、認証処理を実行する機器との間での連携処理が不要であり、システム構築と運用が容易になる。
【0094】
サービス利用者の利用環境を制御するための識別情報は暗号化と復号のアルゴリズムの中に含まれているため、許諾条件をサービス利用者の端末装置へ送信する必要がない。
【0095】
制御装置は制御情報を暗号化して端末装置に送信するため、制御情報の内容が第三者に漏洩したり、利用されたりすることがない。
【0096】
端末装置による制御装置からの暗号化制御情報の取得時に、鍵管理装置(認証サーバ装置)と制御装置(認可サーバ)との間で特別な処理を行う必要がない。制御情報や利用条件が更新された場合にも、鍵管理装置(認証サーバ装置)と制御装置(認可サーバ)との間で特別な処理を行う必要がない。
【0097】
〔その他の変形例等〕
本発明は上述の実施形態に限定されるものではない。例えば、上記実施形態やその変形例では、制御対象のサービスがアプリケーションである場合を例示したが、デバイス,コンテンツその他の端末装置で実行されるサービスが制御対象とされてもよい。また、上述の実施形態等では端末装置がスマートフォン端末である場合を例示したが、携帯電話、携帯情報端末、パーソナルコンピュータ等を端末装置としてもよい。
【0098】
上記実施形態やその変形例では、IDベース暗号方式に則って制御情報を暗号化したが、述語暗号方式(参考文献2「"Predicate Encryption Supporting Disjunctions, Polynomial Equations, and Inner Products," with Amit Sahai and Brent Waters One of 4 papers from Eurocrypt 2008 invited to the Journal of Cryptology」,参考文献3「Allison Lewko, Tatsuaki Okamoto, Amit Sahai, Katsuyuki Takashima and Brent Waters,”Fully Secure Functional Encryption: Attribute-Based Encryption and (Hierarchical) Inner Product Encryption,”Advances in Cryptology-EUROCRYPT 2010, LNCS, 2010, Volume 6110/2010, 62-91」等参照)や関数型暗号方式(参考文献4「Tatsuaki Okamoto, Katsuyuki Takashima,“Fully Secure Functional Encryption with General Relations from the Decisional Linear Assumption,”Advances in Cryptology-CRYPTO 2010, LNCS, 2010, Volume 6223/2010, 191-208」等参照)その他の暗号方式に則って制御情報が暗号化されてもよい。IDベース暗号方式が用いられる場合、暗号化鍵生成情報と復号鍵生成情報とが等しい場合に復号鍵を用いて暗号化制御情報の復号処理を行うことで制御情報が得られた。一方、述語暗号方式が用いられる場合、例えば、暗号化鍵生成情報と復号鍵生成情報とがそれぞれベクトルであり、それらの内積が0となるときに制御情報が得られる(参考文献2,3等)。関数型暗号方式が用いられる場合、例えば、暗号化鍵生成情報と復号鍵生成情報とがそれぞれベクトルの集合であり、内積が0となるベクトルの組に対応する特定の階層的な秘密分散値から秘密値が復元されるときに制御情報が得られる(参考文献4等)。暗号化鍵生成情報や復号鍵生成情報が新たな暗号化鍵生成情報や復号鍵生成情報に更新される場合も同様である。
【0099】
また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。例えば、ステップS111,S112の後にステップS113,S114が実行されるのではなく、ステップS113,S114の後にステップS111,S112が実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
【0100】
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な(non-transitory)記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。
【0101】
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
【0102】
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
【0103】
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
【符号の説明】
【0104】
1 端末装置制御システム
11 制御装置
12 端末装置
13 鍵管理装置
【技術分野】
【0001】
本発明は、端末装置の制御技術に関し、制御装置によって端末装置を遠隔制御する技術に関する。
【背景技術】
【0002】
現在、モバイルPC端末やスマートフォン端末などには、多様なデバイス、アプリケーション、コンテンツが搭載され、それらを用いた多様なサービスの提供が可能となっている。これに加え、モバイルPC端末装置やスマートフォン端末装置などのもつ機動性や常時利用可能性により、利用者はそれらサービスを多様な利用環境で享受することができる。
【0003】
一方で、サービスや利用環境が多様であるがゆえ、利用環境に応じた適切なサービスが提供されない場合に問題となる場合がある。例えば、企業内で利用されるべきアプリケーションやコンテンツが搭載されたモバイルPC端末が企業外へ持ち出されて利用されてしまう場合や、逆に企業内で利用されるべきではないデバイス(カメラデバイスなど)が搭載されたスマートフォン端末装置が企業内へ持ち込まれて利用されてしまう場合などである。
【0004】
このような問題に対し、業務用端末装置を、業務で利用されるデバイスやアプリケーション以外に予め利用できないようにしておくMDM(モバイルデバイス管理)サービスなどがある(例えば、非特許文献1,2参照)。
【0005】
また、IPサイマルラジオ等で利活用が検討されているMLDv2(Multicast Listener Discovery version 2)を用いた地域限定マルチキャストを利用し、コンテンツの利用を制御するサービスが存在する。このサービスでは、サービス利用者のIPアドレス体系などの識別項目を用いてサービス利用者が属する「地域」といった利用環境を判定し、その利用環境に基づいたサービスを提供している(例えば、非特許文献3参照)。
【0006】
同じくコンテンツの利用等を制御する技術としてDRMがある。DRMの一例では、コンテンツを管理するサーバ装置が暗号化コンテンツを端末装置の再生/転送ソフトウェアに提供する。サーバ装置がサービス利用者の認証を行った後に、コンテンツの暗号化に利用された鍵や許諾条件を含むライセンス情報を端末装置の再生/転送ソフトウェアに提供する。再生/転送ソフトウェアは、端末装置の利用環境がライセンス情報に含まれる許諾条件を満たす場合にのみ、暗号化コンテンツを復号して再生する(例えば、非特許文献4参照)。
【0007】
また、Webアプリケーション制御の観点から、Single Sign On(SSO)を実現するSecurity Assertion Markup Language(SAML)などの仕組みが存在している(例えば、非特許文献5参照)。SAMLの枠組みでは、認証サーバ装置(SAML Authority)がサービス利用者の認証を行った後、認証結果を示す認証情報が認可サーバ装置(Policy Decision Point(PDP))に送られ、認可サーバ装置が、認証されたサービス利用者の属性を認証サーバ装置(Attribute Authority)から取得し、その属性についてこのサービス利用者を認可する。サービス提供装置(Service Provider(SP))は、その認可内容を表す認可情報を用いてサービス利用者へ提供するサービスリソース(機能)を制御する。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】”スマートフォン遠隔制御サービス”、[online]、株式会社エヌ・ティ・ティ・ドコモ、[平成23年9月2日検索]、インターネット<http://www.docomo.biz/html/service/remotecontrol/>
【非特許文献2】”スマートフォン遠隔制御サービスサービスガイドライン”、[online]、平成23年7月15日、株式会社エヌ・ティ・ティ・ドコモ、[平成23年9月2日検索]、インターネット<http://www.docomo.biz/pdf/html/service/remotecontrol/pdf_02.pdf>
【非特許文献3】”関西におけるIPラジオの取り組み『IPラジオ-RADIKO』について”、[online]、平成20年3月24日、IPラジオ研究協議会、[平成23年9月2日検索]、インターネット<http://www.iajapan.org/bukai/Net-Cast/event/2008/0324/20080324_koga.pdf>
【非特許文献4】竹松 昇、”ダウンロード販売を支えるデジタル著作権管理技術「DRM」”、[online]、株式会社朋栄アイ・ビー・イー、[平成23年9月2日検索]、インターネット<http://www.mpeg.co.jp/libraries/mpeg_labo/winPC_27.html#1>
【非特許文献5】”Technical Overview of the OASIS Security Assertion Markup Language (SAML) V1.1”、[online]、平成16年5月11日、[平成23年9月2日検索]、インターネット<http://www.oasis-open.org/committees/download.php/6837/sstc-saml-tech-overview-1.1-cd.pdf>
【発明の概要】
【発明が解決しようとする課題】
【0009】
従来の方法では、小さな負担で任意の利用環境に応じて端末装置を柔軟に制御することができない場合がある。
【0010】
非特許文献1,2の方法では、端末装置の利用環境に拘わらず、そこで利用可能なデバイスやアプリケーションが固定的に制限される。すなわちこの方法では、任意の利用環境に応じて端末装置を柔軟に制御することができない。
非特許文献3の方法では、端末装置のどのような利用環境に基づいてサービス提供を行うか(利用条件)がシステム内で固定されており、任意の利用環境に応じて端末装置を制御することが困難であった。
非特許文献4の方法では、ライセンス情報に含まれる許諾条件が端末装置に提供されるため、例えば端末装置側での許諾条件の改ざん検知や暗号化等の処理が別途発生し、さらに、その許諾条件の暗号化等に利用するための秘密鍵等が第三者に詐取されないよう安全に保管する必要があり、その実装コストや運用コストが増大する。
非特許文献5の方法では、認可サーバ装置が認証されたサービス利用者の属性を認証サーバ装置から取得する必要があるため、認証サーバ装置とそれと連携する認可サーバ装置にかかる処理負荷が大きい。すなわち非特許文献4,5の方法では、小さな負担で任意の利用環境に応じて端末装置を柔軟に制御することができない。
【0011】
本発明はこのような点に鑑みてなされたものであり、小さな負担で任意の利用環境に応じて端末装置を柔軟に制御することが可能な技術を提供することを目的とする。
【課題を解決するための手段】
【0012】
任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が任意の端末装置の利用環境を表す暗号化条件情報に対応付けられる。制御装置は、暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて暗号化条件情報に対応する制御情報を暗号化して得られる暗号化制御情報を出力する。端末装置は、暗号化制御情報の入力を受け付け、自らの利用環境を表す利用環境情報を得、利用環境情報を含む復号鍵生成情報を出力する。鍵管理装置は、復号鍵生成情報の入力を受け付け、復号鍵生成情報に対応する復号鍵を生成し、復号鍵を出力する。端末装置は、生成された復号鍵の入力を受け付け、この復号鍵を用いて暗号化制御情報の復号処理を行い、それによって制御情報が得られる場合に当該制御情報を用い、端末装置に特定のサービスの実行を許可するかを決定する。なお、暗号化鍵生成情報と復号鍵生成情報とが予め定められた関係を満たす場合に、復号鍵を用いて暗号化制御情報の復号処理を行うことで制御情報が得られる。
【発明の効果】
【0013】
本発明では、小さな負担で任意の利用環境に応じて端末装置を柔軟に制御できる。
【図面の簡単な説明】
【0014】
【図1】図1は、実施形態の端末装置制御システムの構成を説明するための図である。
【図2】図2A〜2Cは、実施形態の端末装置制御システムの構成を説明するための図である。
【図3】図3A及び3Bは、実施形態の端末装置の表示画面を例示した図である。
【図4】図4は、実施形態の端末制御方法を説明するための図である。
【図5】図5は、実施形態の端末制御方法を説明するための図である。
【図6】図6A〜6Dは、実施形態の変形例の端末装置制御システムの構成を説明するための図である。
【図7】図7は、実施形態の変形例での制御処理を説明するための図である。
【図8】図8は、実施形態の変形例での端末装置の構成を説明するための図である。
【図9】図9A及び9Bは、実施形態の変形例での端末装置の表示画面を例示した図である。
【図10】図10は、実施形態の変形例の端末制御方法を説明するための図である。
【図11】図11は、実施形態の変形例の端末装置制御システムの構成を説明するための図である。
【図12】図12A〜12Dは、実施形態の変形例の端末装置制御システムの構成を説明するための図である。
【発明を実施するための形態】
【0015】
以下、本発明の実施形態を説明する。
〔実施形態の概要〕
最初に実施形態の概要を説明する。
本形態の端末装置制御システムは、例えば、サービスの実行が制御される端末装置、その制御を行う制御装置、及び制御に必要な鍵を管理する鍵管理装置を有する。
【0016】
この例では、任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が、任意の端末装置の利用環境を表す暗号化条件情報に対応付けられる。制御装置は、暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて暗号化条件情報に対応する制御情報を暗号化して得られる暗号化制御情報を出力する。
【0017】
端末装置は、暗号化制御情報入力部で暗号化制御情報の入力を受け付け、利用環境取得部で自らの利用環境を表す利用環境情報を得、復号鍵生成情報出力部で利用環境情報を含む復号鍵生成情報を出力する。
【0018】
鍵管理装置は、復号鍵生成情報入力部で復号鍵生成情報の入力を受け付け、復号鍵生成部で復号鍵生成情報に対応する復号鍵を生成し、復号鍵出力部で復号鍵を出力する。
【0019】
端末装置は、復号鍵生成情報に対して生成された復号鍵の入力を復号鍵入力部で受け付け、制御情報取得部で復号鍵を用いて暗号化制御情報の復号処理を行う。制御情報取得部で制御情報が得られる場合、端末装置の制御情報適用部が当該制御情報を用い、当該端末装置に特定のサービスの実行を許可するかを決定する。
【0020】
本形態では、暗号化鍵生成情報と復号鍵生成情報とが予め定められた関係を満たす場合に、復号鍵を用いて暗号化制御情報の復号処理を行うことで制御情報が得られる。ここで、暗号化鍵生成情報は、制御装置で設定された、暗号化制御情報の復号を許可する端末装置の利用環境に対応し、この制御装置で設定された利用環境は、制御装置で設定された所定の制御情報に対応する。また、復号鍵生成情報は端末装置の実際の利用環境に対応する。この場合、端末装置の実際の利用環境が制御装置で設定された利用環境に対応する場合にのみ、当該端末装置は制御装置で設定された制御情報を得ることができる。言い換えると、暗号化制御情報が復号できることをもって、その制御情報を適用するにふさわしい端末装置を識別したことになる。これにより、端末装置で利用可能なサービスを、端末装置の利用環境に応じて柔軟に制御することが可能となる。
また制御装置は、制御情報に対応付ける利用環境を表す暗号化条件情報を変更するだけで、任意の利用環境に応じて端末装置を制御できる。
さらに制御装置は、端末装置でのサービス利用に関する許諾条件である当該端末装置の利用環境に対応する情報(暗号化条件情報)を端末装置や鍵管理装置に送ることなく、当該利用環境に応じて端末装置を制御することができる。そのため暗号化鍵生成情報の改ざん検知や暗号化等の処理が不要となり、実装コストや運用コストを削減できる。
また、制御装置は暗号化条件情報を鍵管理装置に送る必要がないため、たとえ端末装置でのサービス利用に関する許諾条件が頻繁に変更されるとしても、それに伴って制御装置と鍵管理装置との間の通信処理負荷が増大することはない。
さらに、端末装置に提供されるのは制御情報そのものではなく、それを暗号化して得られる暗号化制御情報である。端末装置が自らの利用環境を偽ることができないと仮定すると、制御装置が設定した利用環境にない端末装置は不正に制御情報を取得することができない。
よって本形態では、小さな負担で任意の利用環境に応じて端末装置を柔軟に制御できる。
【0021】
好ましくは、端末装置の利用環境取得部は、或る期間ごとに新たな利用環境情報を得、復号鍵生成情報出力部は、新たな利用環境情報が得られるたびに、新たな利用環境情報を含む新たな復号鍵生成情報を出力する。鍵管理装置の復号鍵生成情報入力部は、新たな復号鍵生成情報の入力を受け付け、復号鍵生成部は、復号鍵生成情報入力部に新たな復号鍵生成情報が入力されるたびに、新たな復号鍵生成情報に対応する新たな復号鍵を生成し、復号鍵出力部は、新たな復号鍵が生成されるたびに、新たな復号鍵を出力する。端末装置の復号鍵入力部は、新たな復号鍵の入力を受け付け、制御情報取得部は、復号鍵入力部に新たな復号鍵が入力されるたびに、新たな復号鍵を用いて暗号化制御情報の復号処理を行い、制御情報適用部は、制御情報取得部で制御情報が新たに得られるたびに、新たに得られた制御情報を用い、当該端末装置に特定のサービスの実行を許可するか否かを決定する。なお、暗号化鍵生成情報と新たな復号鍵生成情報とが予め定められた関係を満たす場合に、新たな復号鍵を用いて暗号化制御情報の復号処理を行うことで制御情報が得られる。
これにより、動的に変化する端末装置の利用環境に応じ、端末装置で利用可能なサービスを制御できる。
【0022】
この場合に好ましくは、制御装置は、暗号化条件情報に対応する制御情報が新たな制御情報に更新されるたびに、新たな第1付加情報を生成し、暗号化条件情報及び新たな第1付加情報を含む新たな暗号化鍵生成情報に対応する新たな暗号化鍵を用いて新たな制御情報を暗号化して得られる新たな暗号化制御情報を出力する。新たな復号鍵生成情報は、新たな第1付加情報に対して特定の対応関係を持つ新たな第2付加情報をさらに含む。端末装置の制御情報取得部は、新たな復号鍵を用いて新たな暗号化制御情報の復号処理を行い、制御情報適用部は、制御情報取得部で新たな制御情報が得られる場合に当該新たな制御情報を用い、当該端末装置に特定のサービスの実行を許可するか否かを決定する。新たな暗号化鍵生成情報と新たな復号鍵生成情報とが予め定められた関係を満たす場合に、新たな復号鍵を用いて新たな暗号化制御情報の復号処理を行うことで新たな制御情報が得られる。
【0023】
この場合、制御装置は、暗号化条件情報に対応する制御情報が新たな制御情報に更新されるたびに、暗号化条件情報及び新たな第1付加情報を含む新たな暗号化鍵生成情報に対応する新たな暗号化鍵を用いて新たな制御情報を暗号化して得られる新たな暗号化制御情報する。この場合、暗号化条件情報に対応する制御情報が新たな制御情報に更新されるたびに、新たな制御情報を暗号化するための暗号化鍵も更新される。また、新たな復号鍵生成情報が新たな第1付加情報に対して特定の対応関係を持つ新たな第2付加情報をさらに含むため、制御情報が新たな制御情報に更新されるたびに、新たな暗号化制御情報を復号するための復号鍵も新たな復号鍵に更新される。
よって、暗号化条件情報に対応する制御情報が新たな制御情報に更新された場合、古い復号鍵のみを持つ端末装置は新たな制御情報を得ることができない。言い換えると、制御情報が新たな制御情報に更新された場合、その際に生成される新たな第1付加情報に対応する新たな第2付加情報を得られない端末装置は、この新たな制御情報を得ることができない。他方、端末装置が古い復号鍵を保持することができないと仮定すると、新たな第2付加情報を得られ、新たな復号鍵を得ることができる端末装置は、新たな暗号化制御情報を復号することはできても、保持しておいた古い暗号化制御情報を復号することはできない。これによって、多様な制御を利用者の不正を抑制しつつ行うことが可能となる。
【0024】
また、任意の端末装置に特定のサービスの実行を許可するか否かを表す隣接制御情報が、任意の端末装置の利用環境を表す隣接暗号化条件情報に対応し、隣接暗号化条件情報を含む隣接暗号化鍵生成情報に対応する隣接暗号化鍵を用いて隣接暗号化条件情報に対応する隣接制御情報を暗号化して得られる隣接暗号化制御情報を出力する隣接制御装置が存在してもよい。その場合、好ましくは、端末装置の暗号化制御情報入力部は、さらに隣接暗号化制御情報の入力を受け付け、制御情報取得部は、復号鍵を用いて隣接暗号化制御情報の復号処理をさらに行い、制御情報適用部は、制御情報取得部で制御情報及び隣接制御情報が得られる場合に、当該制御情報及び隣接制御情報の中から一つの制御情報又は隣接制御情報を選択し、選択した制御情報又は隣接制御情報を用い、当該端末装置に特定のサービスの実行を許可するか否かを決定する。
【0025】
これにより、制御装置による制御領域と隣接制御装置による制御領域との両方に属する場合であっても、予め定められた基準に従って最適な制御が実行される。例えば、端末装置の制御情報適用部が、制御情報取得部で制御情報及び隣接制御情報が得られる場合に、当該制御情報及び隣接制御情報のうち、最も多くのサービスの実行を拒否する制御情報又は隣接制御情報を選択してもよい。これにより、一方の制御領域では許可されるが他方の制御領域では許可されないサービスの実行が制限され、実行することが不適切な他方の制御領域で当該サービスが実行されてしまう事態を防止できる。或いは、例えば、端末装置の制御情報適用部が、制御情報取得部で制御情報及び隣接制御情報が得られる場合に、当該制御情報及び隣接制御情報のうち、最も多くのサービスの実行を許可する制御情報又は隣接制御情報を選択してもよい。これにより、一方の制御領域で実行すべきであるが他方の制御領域では許可されないサービスの実行が当該一方の制御領域で制限され、当該一方の制御領域で当該サービスが実行されないという事態の発生を抑制できる。
【0026】
好ましくは、特定の領域内に配置された端末装置のみが鍵管理装置と通信可能であり、特定の領域内に配置された端末装置のみに復号鍵が入力される。この場合、端末装置が特定の領域内に存在するか否かによって、その制御内容を変化させることができる。
例えば、端末装置の制御情報取得部において当該端末装置が適用可能な制御情報が得られない場合に、当該端末装置の制御情報適用部が、予め定められたデフォルト制御情報に従い、当該端末装置に特定のサービスの実行を許可するか否かを決定する。これにより、端末装置が特定の領域内に存在するか否かに応じ、端末装置の実際の利用環境に対応する制御情報に基づいた制御がなされるか、デフォルト制御情報に基づいた制御がなされる。
制御装置が、暗号化条件情報によって表される利用環境の種別を表す種別情報をさらに出力し、端末装置の暗号化制御情報入力部が、さらに前記種別情報の入力を受け付け、利用環境取得部が、この種別情報によって表される種別の自らの利用環境を表す利用環境情報を得ることにしてもよい。この場合、制御装置は、サービスの利用を制御するための利用環境の種別を容易に変更することができる。
【0027】
〔実施形態〕
次に、本発明の実施形態を説明する。
本実施形態では、サービス利用者が個人的に保有するスマートフォン端末装置を所属する企業内に持ち込み、そのまま企業内での作業用端末装置として利用する場合を想定する。制御対象となるサービスとしては、コンテンツ、アプリケーション、デバイスなどが想定できるが、本形態ではスマートフォン端末装置にインストールされているアプリケーション(ソフトウェア)を制御対象とする。スマートフォン端末装置が企業外に配置されている場合にはすべてのアプリケーションが利用可とされ、企業内に配置されている場合には企業の端末利用ポリシに適さないアプリケーションが利用不可とされる。本形態では、IDベース暗号方式を利用して制御情報が暗号化される場合を想定する。IDベース暗号方式の一例は、例えば、参考文献1「D.Boneh and M.franklin, Identity-based encryption from the Weil pairing, CRYPT’01, volume 2139 of LNCS, pages 213-229. Springer, 2001.」に開示されている。
【0028】
<構成>
図1に例示するように、本実施形態の端末装置制御システム1は、制御装置11と、端末装置12と、鍵管理装置13を有する。
本形態で例示する制御装置11は、特定の企業によって管理される企業サーバ装置である。本形態の制御装置11は、制御部111と、メモリ112と、記憶部113と、通信部114と、暗号化制御情報生成部115と、処理部116とを有する。これらの各機能部は、例えば、コンピュータに特別なプログラムが読み込まれ、実行されることで構成される。制御装置11は、制御部111の制御のもと各処理を実行し、各処理過程で得られたデータは必要に応じてメモリ112に格納され、他の処理過程で利用される。
【0029】
本形態で例示する端末装置12は、サービス利用者が個人的に保有するスマートフォン端末装置であり、いくつかのアプリケーションがインストールされている。本形態の端末装置12は、制御部121と、メモリ122と、通信部123a(暗号化制御情報入力部)と、通信部123b(復号鍵入力部)と、利用環境取得部124と、復号鍵取得部125と、制御情報取得部126と、制御情報適用部127と、実行部128とを有する。これらの各機能部は、例えば、コンピュータに特別なプログラムが読み込まれ、実行されることで構成される。特に本形態の復号鍵取得部125及び制御情報取得部126は、コンピュータに制御アプリケーション(制御AP)が読み込まれて実行されることで得られる。端末装置12は、制御部121の制御のもと各処理を実行し、各処理過程で得られたデータは必要に応じてメモリ122に格納され、他の処理過程で利用される。
【0030】
本形態で例示する鍵管理装置13は、暗号化や復号に利用される暗号化鍵や復号鍵を管理するサーバ装置である。鍵管理装置13は、制御装置11を管理する企業によって管理されるものであってもよいし、その他の第三者機関によって管理されるものであってもよい。本形態の鍵管理装置13は、制御部131と、メモリ132と、記憶部133と、通信部134と、復号鍵生成部135と、マスタ鍵生成部136を有する。これらの各機能部は、例えば、コンピュータに特別なプログラムが読み込まれ、実行されることで構成される。鍵管理装置13は、制御部131の制御のもと各処理を実行し、各処理過程で得られたデータは必要に応じてメモリ132に格納され、他の処理過程で利用される。
【0031】
制御装置11、端末装置12及び鍵管理装置13は、ネットワークを通じて通信可能に構成されている。ただし、図2A〜2Cに例示するように、本形態では、特定の企業内(図2Cの特定の領域B内)に配置された端末装置12のみが鍵管理装置13とネットワークを通じて通信可能であり、復号鍵を取得できる(図2B)。特定の企業外(図2Cの領域A)に配置された端末装置12は鍵管理装置13と通信不可であり、復号鍵を取得できない(図2A)。端末装置12は、当該特定の企業内に配置されているか否かに拘わらず、ネットワークを通じて制御装置11と通信可能である。
【0032】
<事前処理>
事前処理として、鍵管理装置13のマスタ鍵生成部136がIDベース暗号方式を利用するために必要なマスタ公開鍵とマスタ秘密鍵を生成する。例えば、参考文献1に記載されたIDベース暗号方式を利用するのであれば、マスタ鍵生成部136は、乱数等から生成されたs∈Zq*をマスタ秘密鍵とし、有限体上で定義された位数qの楕円曲線E上の点Pに対するs・P∈Eをマスタ公開鍵Ppubとする。マスタ秘密鍵は記憶部133に格納され、マスタ公開鍵やその他の公開パラメータは公開される。
【0033】
端末装置12の制御情報適用部127に予めデフォルト制御情報を設定しておく。デフォルト制御情報とは、制御情報取得部126で制御情報が得られない場合に適用される制御内容を表す情報である。制御情報取得部126で制御情報が得られない場合、制御情報適用部127は、後述のようにデフォルト制御情報に従い、実行部128に特定のアプリケーションの実行を許可するか否かを決定する。デフォルト制御情報の例は、端末装置12にインストールされたすべてのアプリケーションの実行を実行部128に許可する制御情報、端末装置12にインストールされたすべてのアプリケーションの実行部128による実行を拒否する制御情報、又は、端末装置12にインストールされた予め定められた一部のアプリケーションの実行を実行部128に許可するが他のアプリケーションの実行を拒否する制御情報などである。本形態では、端末装置12にインストールされたすべてのアプリケーションの実行を実行部128に許可する制御情報をデフォルト制御情報とする。
【0034】
<設定処理>
図4に例示するように、制御装置11を管理する特定の企業は、端末装置12にインストールされた特定のアプリケーションの実行を許可するか否かを表す制御情報を生成する。例えば、当該特定の企業内で利用させたいアプリケーションに「実行を許可する」旨を表す「ON」を対応付け、利用させたくないアプリケーションに「実行を拒否する」旨を表す「OFF」を対応付けた情報を制御情報とする。単数個の制御情報のみ設定されてもよいし、複数個の制御情報が設定されてもよい。以下に一つの制御情報を例示する(ファイル名:制御情報1.xml)。
【表1】
【0035】
制御装置11を管理する特定の企業は、さらに端末装置12がどのような利用環境にある場合にどの制御情報を適用するのかを設定し、設定した端末装置12の利用環境を表す暗号化条件情報とその利用環境に対して適用される制御情報を対応付ける。端末装置12の利用環境とは、端末装置12が利用される環境を意味する。端末装置12の利用環境の例は、端末装置12が配置される位置(座標や領域等)、端末装置12が利用される時間(時刻や時間帯等)、端末装置12若しくはそこにインストールされたアプリケーションの利用者又は所有者の性別や所属等の各種属性情報などである。暗号化条件情報の具体例は、GPS装置によって得られる端末装置12の位置情報、端末装置12と無線通信を行う無線LANのアクセスポイントIDであるSSID(Service Set ID)、端末装置12が接続するローカルネットワークに割り当てられたグローバルアドレス(IPアドレス等)、企業内に設置されたタイムサーバ装置から取得する時間情報などである。本形態では、端末装置12が配置される位置をその利用環境とし、端末装置12と無線通信を行う無線LANのアクセスポイントIDであるSSIDを暗号化条件情報とする場合を例示する。
【0036】
どのような種別の利用環境を設定するかがアプリケーションごとやサービスごとに予め定められていてもよいし、制御装置11を管理する特定の企業が任意に定めてもよい。どのような種別の利用環境を設定するかが任意に定められる場合、利用環境の種別(項目)を表す種別情報(ID等)が設定され、種別情報を指定することでどのような種別の利用環境を用いるのかが特定されるものとする。
設定された暗号化条件情報と当該暗号化条件情報に対応付けられた制御情報とは制御装置11の記憶部113に格納される(ステップS101)。
【0037】
鍵管理装置13で設定されたマスタ公開鍵やその他の公開パラメータが制御装置11に送られ、記憶部113に格納される(ステップS102)。
【0038】
制御装置11の暗号化制御情報生成部115は、互いに対応付けられた暗号化条件情報及び制御情報とマスタ公開鍵とを記憶部113から読み込む。暗号化制御情報生成部115は、当該暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用い、当該暗号化条件情報に対応する制御情報を暗号化し、暗号化制御情報を生成する。本形態の暗号化制御情報生成部115は、IDベース暗号方式に則り、マスタ公開鍵を用いて暗号化鍵生成情報に対応する暗号化鍵を生成し、その暗号化鍵を用いて当該制御情報を暗号化して暗号化制御情報を生成する。例えば、参考文献1に記載されたIDベース暗号方式を利用するのであれば、暗号化制御情報は、以下のようになる。
(r・P, M(+)H(gIDr))
ただし、gID=e(MAPID,Ppub)であり、Hはビット列を出力するハッシュ関数Hであり、eはペアリングなどの双線形写像であり、MAPIDは暗号化鍵生成情報を楕円曲線E上に写像した点であり、r∈Zq*は乱数であり、Mは制御情報を表すビット列であり、(+)は排他的論理和演算子である。また暗号化鍵生成情報は、暗号化条件情報のみからなる情報であってもよいし、さらに端末装置12固有のIDや、設定処理が新たに実行されるたびに暗号化制御情報生成部115で新たに生成される第1付加情報(乱数やカウント値等)などを含んでもよい。暗号化鍵生成情報がどのような種別の情報からなるかは予めシステム内で定められているものとする。
【0039】
生成された暗号化制御情報は、端末装置12からの要求に応じて送信できるように記憶部113に格納される。暗号化鍵生成情報が乱数等の第1付加情報を含む場合には、この暗号化制御情報に対応する第1付加情報に対して特定の対応関係を持つ新たな第2付加情報も記憶部113に格納されてもよい。IDベース暗号化方式を用いる本形態では、第2付加情報は第1付加情報に等しい。第1付加情報が更新される場合も同様である。また、当該暗号化鍵生成情報に対応する利用環境の種別を表す種別情報が記憶部113に格納されてもよい。記憶部113に格納された暗号化制御情報や第2付加情報や種別情報などはネットワーク上に公開されてもよく、インデックス等を用いて各端末装置12が自らに対応する暗号化制御情報等を取得できるようにされてもよい(ステップS103)。
【0040】
端末装置12に対応する暗号化制御情報等が格納された領域のアドレス等を含む制御APが生成され、ネットワーク上の任意のサーバ装置にアップロードされる。制御装置11の通信部114は、この制御APが格納された領域のURLの情報を送信し、この情報は端末装置12の通信部123aに受信される。制御装置11の制御部121は、このURLを用いて制御APを取得し、制御APをコンピュータ上で実行させる。本形態では、これによって復号鍵取得部125及び制御情報取得部126が端末装置12に構成される(ステップS104)。
なお、上記の設定処理(ステップS101〜S103)の各処理は、初期設定の際に実行される他、新たな暗号化条件情報に対応する制御情報が設定されるたびや、暗号化条件情報に対応する制御情報が新たな制御情報に更新されるたび等に、それぞれ新たに実行される。また、上記ではステップS104の処理がステップS101〜S104の処理の後に実行される例を示したが、ステップS104の処理とステップS101〜S104の処理とが独立に実行されてもよい。例えば、ステップS101〜S104の処理の前にステップS104の処理が実行されてもよいし、ステップS101〜S104の処理の最終にステップS104の処理が実行されてもよい。
【0041】
<制御処理>
図5に例示するように、制御情報取得部126は、或る期間ごとに(定期的若しくは必要なタイミングごとに)、通信部123aから暗号化制御情報要求を送信させる。必要なタイミングとは、後述する復号処理において既に取得している復号鍵では復号できなかった場合などである(ステップS111)。送信された暗号化制御情報要求は、ネットワークを通じて制御装置11の通信部114で受信され、処理部116に送られる。処理部116は、記憶部113から端末装置12に対応する暗号化制御情報を読み出し、これを通信部114から送信(出力)させる。この暗号化制御情報に対応する前述の第2付加情報や種別情報が記憶部113に格納されているのであれば、暗号化制御情報とともにそれに対応する第2付加情報及び/又は種別情報も送信(出力)される。送信された暗号化制御情報等の情報は、ネットワークを通じて端末装置12の通信部123aで受信され(入力を受け付け)、制御情報取得部126に送られる。第2付加情報や種別情報が受信された場合、これらは復号鍵取得部125に送られる。制御情報取得部126は、送られた暗号化制御情報等を耐タンパなエリアに保存したり、メモリ122などに一時的に保存したりしてもよい(ステップS112)。
【0042】
一方、復号鍵取得部125は或る期間ごとに(定期的又は所定の契機ごとに)、端末装置12の利用環境を表す利用環境情報の取得を利用環境取得部124に要求する(ステップS113)。この要求を受けた利用環境取得部124は、その要求のたびに自身のセンサデバイス等を用いて自身の利用環境を表す利用環境情報を取得する。どのような種別の利用環境情報を取得するかがアプリケーションごとやサービスごとに予め定められている場合、利用環境取得部124は、端末装置12にインストールされているアプリケーションや端末装置12で実行しようとするサービスに対応する種別の利用環境情報を取得する。ステップS112で暗号化制御情報とともに種別情報が送信された場合、利用環境取得部124は、その種別情報によって表される種別の自らの利用環境を表す利用環境情報を得る。本形態の例では、利用環境取得部124は、近くの無線LANのアクセスポイントのSSIDを利用環境情報として取得する。取得された端末装置12の利用環境情報は、復号鍵取得部125に送られる(ステップS114)。
【0043】
端末装置12がネットワークを通じて鍵管理装置13と通信可能である場合、端末装置12の復号鍵取得部125と鍵管理装置13の復号鍵生成部135は、通信部123b,134及びネットワークを通じ、端末装置12のサービス利用者の認証処理を実行する(ステップS115)。端末装置12が鍵管理装置13と通信不可であるか、認証処理に失敗した場合には、ステップS120に進む。
【0044】
認証処理が成功であった場合、復号鍵取得部125は、利用環境情報を含む復号鍵生成情報を復号鍵生成要求とともに通信部123bに送り、通信部123bは、ネットワークを通じて復号鍵生成情報と復号鍵生成要求を鍵管理装置13に送信(出力)する。なお、復号鍵生成情報がどのような種別の情報からなるかは予めシステム内で定められており、その構成は前述の暗号化鍵生成情報に対応する。IDベース暗号方式を用いる本形態の場合、暗号化鍵生成情報と復号鍵生成情報が同一の場合に正しく復号処理がなされるように、復号鍵生成情報が設定される。すなわち、暗号化鍵生成情報が暗号化条件情報のみからなる情報の場合、復号鍵生成情報は利用環境情報のみからなる情報とされる。暗号化鍵生成情報が暗号化条件情報と第1付加情報とからなる情報の場合、復号鍵生成情報は利用環境情報と第2付加情報とからなる情報とされる。暗号化鍵生成情報がさらに端末装置12固有のID等の付加情報を含む場合には、復号鍵生成情報はさらに端末装置12固有のID等の付加情報を含む。復号鍵生成情報と復号鍵生成要求は、鍵管理装置13の通信部134に受信(入力)され、復号鍵生成部135に送られる(ステップS116)。
【0045】
復号鍵生成部135は、記憶部133からマスタ秘密鍵を読み出し、復号鍵生成情報に対応する復号鍵を生成する。本形態の復号鍵生成部135は、IDベース暗号方式に則り、マスタ秘密鍵を用いて復号鍵生成情報に対応する復号鍵を生成する。例えば、参考文献1に記載されたIDベース暗号方式を利用するのであれば、復号鍵生成情報を楕円曲線E上の点MAPIDに写像し、楕円曲線E上で楕円スカラー倍算を行って得られる結果s・MAPIDを復号鍵とする(ステップS117)。生成された復号鍵は通信部134から送信され、ネットワークを経由して、端末装置の通信部123bに受信(入力)され、復号鍵取得部125に送られる(ステップS118)。
【0046】
復号鍵は制御情報取得部126に送られ、制御情報取得部126に格納される。このとき、復号鍵が悪用(意図しない再利用や第三者への流出)されないように、耐タンパなエリアに保存されたり、メモリ122などに一時的に保存されたりしてもよい。
【0047】
制御情報取得部126は、復号鍵を用いて暗号化制御情報の復号を試みる。本形態では、IDベース暗号方式に則り、復号鍵を用いて暗号化制御情報の復号処理を行う。例えば、参考文献1に記載されたIDベース暗号方式を利用するのであれば、制御情報取得部126は、以下の復号処理を行って制御情報Mの取得を試みる。
M(+)H(gIDr)(+)H(e(s・MAPID,r・P))
暗号化鍵生成情報と復号鍵生成情報とが予め定められた関係を満たす場合に、復号鍵を用いて暗号化制御情報の復号処理を行うことで制御情報が得られる。IDベース暗号方式を利用する本形態では、暗号化鍵生成情報と復号鍵生成情報が同一である場合に、暗号化制御情報の復号処理を行うことで制御情報が得られる(ステップS119)
なお、ステップS115〜S119の処理は、或る期間ごとに(定期的又は所定の契機ごとに)新たに実行される。例えば、ステップS111,S112の処理が実行されるたびに(新たな暗号化制御情報が得られるたびに)ステップS115〜S119の処理が新たに実行されてもよいし、ステップS113,S114の処理が実行されるたびに(新たな利用環境情報が得られるたびに)ステップS115〜S119の処理が新たに実行されてもよい。
【0048】
制御情報適用部127は、或る期間ごとに(定期的又は所定の契機ごとに)、制御情報取得部126に対して制御情報を要求する(ステップS120)。例えば、ステップS115〜S119の処理が実行されるたびに、制御情報適用部127が制御情報取得部126に対して制御情報を要求する。
ここでステップS119の復号処理で制御情報が得られていたのであれば、制御情報適用部127は得られた制御情報を制御情報適用部127に送る。一方、ステップS119の復号処理で制御情報が得られていないのであれば、制御情報適用部127は「制御情報が得られなかった」旨の情報を制御情報適用部127に送る。なお、ステップS119の復号処理で制御情報が得られない場合とは、ステップS119の復号処理によって正しく復号がなされなかった場合の他、ステップS115で端末装置12が鍵管理装置13と通信不可であったか認証処理に失敗していた場合も含まれる(ステップS121)。
【0049】
制御情報適用部127は、送られた制御情報や制御情報が得られなかった旨の情報を保持する。このとき、制御情報が悪用(意図しない再利用や第三者への流出)されないように、耐タンパなエリアに制御情報を保存したり、メモリ122などに一時的に制御情報を保存したりしてもよい。
【0050】
制御情報取得部126から制御情報適用部127に制御情報が送られた場合、制御情報適用部127は送られた制御情報を用い、端末装置12にインストールされた特定のアプリケーションの実行を実行部128に許可するか否かを決定する。例えば、制御情報適用部127は、端末装置12にインストールされているアプリケーションのうち、制御情報やデフォルト制御情報で「ON」と指定されているものの実行部128による実行を許可し、「OFF」と指定されているものの実行部128による実行を拒否する。
【0051】
実行部128は、制御情報適用部127の決定に従ってアプリケーションの実行を制御し、利用者によるサービスの利用を制御する。図3Aは、端末装置12にインストールされているすべてのアプリケーション(AP1〜AP9)の実行が許可された場合の端末装置12の表示画面の例である。この例では、すべてのアプリケーション(AP1〜AP9)のアイコンが表示画面に表示され、すべてのアプリケーション(AP1〜AP9)の利用が可能な状態となっている。図3Bは、アプリケーション(AP7〜AP9)の実行は許可されているが、アプリケーション(AP1〜AP6)の実行が拒否された場合の端末装置12の表示画面の例である。この例では、アプリケーション(AP7〜AP9)のアイコンのみが表示画面に表示され、これらのアプリケーション(AP7〜AP9)のみの利用が可能な状態となっている。
なお制御情報の適用後に、それまで保存されていた暗号化制御情報や制御情報、復号鍵などが悪用(意図しない再利用や第三者への流出)されないように、これらの情報が削除されてもよい。
【0052】
一方、制御情報取得部126から制御情報適用部127に「制御情報が得られなかった」旨の情報が送られた場合、制御情報適用部127は前述のデフォルト制御情報に従い、端末装置12にインストールされた特定のアプリケーションの実行を実行部128に許可するか否かを決定し、実行部128はこの決定に従ってアプリケーションの実行を制御する。例えば、端末装置12にインストールされたすべてのアプリケーションの実行を実行部128に許可するデフォルト制御情報を設定しておけば、端末装置12が企業のSSIDが取得されない自宅などに配置されている場合にすべてのアプリケーションの利用を可能とし、端末装置12が企業のSSIDが取得される企業内に配置されている場合に社内ポリシに従ったアプリケーションのみの利用を可能とする、などの制御が可能となる(ステップS122)。
【0053】
〔実施形態の変形例1〕
上述の実施形態では、サービス利用者が個人的に保有する端末装置12を所属する企業内に持ち込み、そのまま企業内での作業用端末装置として利用する場合を想定して説明を行った。しかしながら、これは本発明を限定するものではない。例えば、企業の代わりに映画館を想定すれば、着信音など音を発生するアプリケーションを強制的にOFFにしたり、企業の代わりに電車やバスを想定すれば、通話可能なアプリケーションを「OFF」にしてマナーを守らせたりすることが可能となる。
【0054】
〔実施形態の変形例2〕
サービス利用者が個人的に保有するスマートフォン端末装置をマンガ喫茶などの書籍等を提供する店舗内に持ち込み、その店舗内でのみ書籍等のコンテンツをスマートフォン端末装置で閲覧可能とするサービスに上述の実施形態を転用することもできる。以下では上述の実施形態との相違点を中心に説明する。その他の事項は上述の実施形態で説明した通りである。
【0055】
この場合、上述の実施形態の「企業」が「店舗」に置換される。特定の店舗内に配置された端末装置12のみが制御装置11及び鍵管理装置13とネットワークを通じて通信可能であり、暗号化制御情報及び復号鍵を取得できる(図6B)。特定の店舗外に配置された端末装置12は制御装置11及び鍵管理装置13と通信できず、暗号化制御情報及び復号鍵を取得できない(図6A)。
【0056】
スマートフォン端末装置である端末装置12に予めインストールされた書籍等のコンテンツ用の専用のビューアアプリケーション(アプリケーション)を制御対象とする。この店舗で扱う書籍等のコンテンツはこのビューアアプリケーションを利用しないと閲覧できない専用のフォーマットで保存されているとし、これらのコンテンツは店舗のサーバ装置に保存されているものとする。また、端末装置12が店舗外に配置されている場合には、当該ビューアアプリケーションの利用を不可とし、端末装置12が店舗内に配置されている場合には当該ビューアアプリケーションの利用を可能とする制御情報が設定される。
【0057】
例えば、暗号化対象の制御情報としてビューアアプリケーションの実行を「ON」とする制御情報を設定し、特定の店舗内の領域を表す暗号化条件情報(当該店舗内のSSID等)を含む暗号化鍵生成情報に対応する暗号化鍵を用いて当該制御情報を暗号化して暗号化制御情報が得られるものとする。また、前述のデフォルト制御情報としてビューアアプリケーションの実行を「OFF」とする情報を設定しておく。これにより、店舗内のSSIDを取得できない自宅などに端末装置12が配置されている場合、端末装置12はビューアアプリケーションを実行できず、店舗内のSSID等を取得できる特定の店舗内に端末装置12が配置されている場合、当該端末装置12でビューアアプリケーションを起動し、店舗のサーバ装置に保存された書籍等を閲覧できる。
【0058】
〔実施形態の変形例3〕
サービス利用者が個人的に保有するスマートフォン端末装置を居酒屋などの飲食料を提供する店舗内に持ち込み、その店舗内でのみメニュー等のコンテンツをスマートフォン端末装置で閲覧可能とするサービスに上述の実施形態を転用することもできる。以下では上述の実施形態との相違点を中心に説明する。その他の事項は上述の実施形態で説明した通りである。
【0059】
この場合、上述の実施形態の「企業」が「店舗」に置換される。特定の店舗内に配置された端末装置12のみが制御装置11及び鍵管理装置13とネットワークを通じて通信可能であり、暗号化制御情報及び復号鍵を取得できる(図6B)。特定の店舗外に配置された端末装置12は制御装置11及び鍵管理装置13と通信できず、暗号化制御情報及び復号鍵を取得できない(図6A)。
【0060】
スマートフォン端末装置である端末装置12に予めインストールされたメニュー等のコンテンツ用の専用のビューアアプリケーション(アプリケーション)を制御対象とする。この店舗で扱うメニュー等はこのビューアアプリを利用しないと閲覧できない専用のフォーマットで保存されているとし、メニュー等のコンテンツは店舗のサーバ装置に保存されているものとする。端末装置12が店舗外に配置されている場合には、当該ビューアアプリケーションの利用を不可とし、端末装置12が店舗内に配置されている場合には当該ビューアアプリケーションの利用を可能とする制御情報が設定される。
【0061】
例えば、暗号化対象の制御情報としてビューアアプリケーションの実行を「ON」とする制御情報を設定し、特定の店舗内の領域を表す暗号化条件情報(当該店舗内のSSID等)を含む暗号化鍵生成情報に対応する暗号化鍵を用いて当該制御情報を暗号化して暗号化制御情報が得られるものとする。また、前述のデフォルト制御情報としてビューアアプリケーションの実行を「OFF」とする情報を設定しておく。これにより、キャンペーンなどを実施中の特定の店舗内のSSID等を取得できない別の店舗に端末装置12が配置されている場合、当該端末装置12はビューアアプリケーションを実行できない。或いは、デフォルト制御情報として、特定のキャンペーン対応コンテンツについてビューアアプリケーションの実行を「OFF」とする制御情報を設定しておけば、キャンペーンなどを実施中の特定の店舗内のSSIDを取得できない別の店舗に端末装置12が配置されている場合、当該端末装置12はビューアアプリケーションを実行できても当該キャンペーン対応コンテンツを利用できない。一方、キャンペーンなどを実施中の特定の店舗内に配置された端末装置12はSSIDを取得でき、ビューアアプリケーションを実行でき、キャンペーン対応コンテンツ等を閲覧できる。
【0062】
その他、複数の端末装置12が店舗内に存在する場合、店舗内に存在する複数の端末装置12が互いにP2Pネットワークで接続され、それぞれが保持する制御情報を互いに送受信できるようにしてもよい。何れかの端末装置12で制御情報が得られた場合、得られた制御情報がP2Pネットワークを通じて他の端末装置12に送信される。これにより、何れかの端末装置12で得られた制御情報を他の端末装置12が流用できる。この際、特定の店舗内に配置された複数の端末装置12のみがP2Pネットワークで接続されることにすれば、当該特定の店舗外に配置された端末装置12に制御情報が送信され、当該特定の店舗外に配置された端末装置12でビューアアプリケーションが実行されてしまうことを防止できる。
【0063】
〔実施形態の変形例4〕
サービス利用者が個人的に保有するスマートフォン端末装置を図書館に持ち込み、図書館でリモート勤務行う場合に、そのスマートフォン端末装置を企業内での作業用端末装置と同様にして利用することを可能にするサービスに上述の実施形態を転用することもできる。以下では上述の実施形態との相違点を中心に説明する。その他の事項は上述の実施形態で説明した通りである。
【0064】
特定の企業内にも特定の図書館内にも配置されていない端末装置12は、当該企業が管理する制御装置11とネットワークを通じて通信可能であり、暗号化制御情報を取得できる(図6C)。特定の企業内に配置された端末装置12は、制御装置11及び鍵管理装置13とネットワークを通じて通信可能であり、暗号化制御情報及び復号鍵を取得できる(図6B)。特定の図書館内に配置された端末装置12は、鍵管理装置13とネットワークを通じて通信可能であり、復号鍵を取得できるが、制御装置11とは通信できず、暗号化制御情報を取得できない(図6D)。
【0065】
スマートフォン端末装置である端末装置12に予めインストールされたアプリケーションを制御対象とする。端末装置12が特定の企業外に配置されている場合にはこれらすべてのアプリケーションの利用を可能とし、特定の企業内又は特定の図書館内に配置されている場合には企業の端末利用ポリシに適さないアプリケーションの利用を不可能とする制御情報が設定される。
【0066】
例えば、暗号化対象の制御情報として企業内での利用を許可するアプリケーションの実行を「ON」とし、企業内での利用を拒否するアプリケーションの実行を「OFF」とする制御情報を設定する。また、前述のデフォルト制御情報としてビューアアプリケーションの実行を「OFF」とする情報を設定しておく。特定の企業内の領域を表す暗号化条件情報(当該企業内のSSID等)を含む暗号化鍵生成情報に対応する暗号化鍵を用いて当該制御情報を暗号化して得られる暗号化制御情報と、特定の図書館内の領域を表す暗号化条件情報(当該図書館内のSSID等)を含む暗号化鍵生成情報に対応する暗号化鍵を用いて当該制御情報を暗号化して得られる暗号化制御情報とが、制御装置11から端末装置12に送信される。端末装置12が制御装置11から暗号化制御情報を取得するタイミングは上述の実施形態と同様でよく、例えば、端末装置12が図書館内に配置される前に端末装置12が制御装置11と接続したタイミングなどである。
【0067】
端末装置12は、たとえ制御装置11と通信できない状態であっても事前に取得した暗号化制御情報の復号を試み、何れかの復号処理によって制御情報が得られた場合には得られた制御情報に基づいた制御を実行し、何れの復号処理によっても制御情報が得られなかった場合にはデフォルト制御情報に基づいた制御を行う。これにより、特定の企業や図書館のSSIDが取得されない自宅などに端末装置12が配置されている場合には、当該端末装置12にインストールされたすべてのアプリケーションの利用を可能とし、特定の企業D又は図書館のSSIDが取得される当該企業内や図書館内に端末装置12が配置されている場合には、社内ポリシに従ったアプリケーションのみを利用可能とする、制御が可能となる。
【0068】
〔実施形態の変形例5〕
上述の実施形態では、サービス利用者が個人的に保有する端末装置12にインストールされているアプリケーションを制御対象とし、端末装置12が企業外に配置されている場合にはこれらのすべてのアプリケーションの利用を許可し、企業内に配置されている場合には企業の端末利用ポリシに適さないアプリケーションを利用不可とする制御を例示した。これに加えて、端末装置12に企業の端末利用ポリシに適した勤怠管理アプリケーションがインストールされており、端末装置12が企業内に配置されている場合のみに、端末装置12で勤怠管理アプリケーションの利用を許可する制御がなされてもよい。すなわち、制御対象となるアプリケーションの一つとして勤怠管理アプリケーションが含まれ、端末装置12が企業内に配置されている場合のみに勤怠管理アプリケーションの利用が可能とされる制御がなされてもよい。この企業で扱う勤怠管理情報はこの勤怠管理アプリケーションを利用しないと更新閲覧できない専用のフォーマットで保存されているとし、勤怠管理情報は企業サーバ装置に保存されているものとする。
【0069】
このような処理は上述の実施形態と同様に実行できる。しかしながら、以下ではブラックリストタグ、ホワイトリストタグ、アペンドタグによって利用の許可又は拒否を指定する制御情報を用いる例を示す。以下では上述の実施形態との相違点を中心に説明する。その他の事項は上述の実施形態で説明した通りである。
【0070】
ブラックリストタグによって利用の許可又は拒否を指定する制御情報とは、端末装置12にインストールされ得るアプリケーションを示したリストであって、それらのアプリケーションのうち企業内で利用させたくないアプリケーションのみにブラックリスクタグが対応付けられたリストである。ホワイトリストタグによって利用の許可又は拒否を指定する制御情報とは、端末装置12にインストールされ得るアプリケーションを示したリストであって、それらのアプリケーションのうち企業内で利用させたいアプリケーションのみにホワイトリスクタグが対応付けられたリストである。アペンドタグによって利用の許可又は拒否を指定する制御情報とは、端末装置12にインストールされ得るアプリケーションを示したリストであって、それらのアプリケーションのうち企業内で利用させたいアプリケーションのみにアペンドタグが対応付けられたリストである。ホワイトリストタグ、ブラックリストタグ、アペンドタグの何れかのみが対応付けられている制御情報だけではなく、ホワイトリストタグ、ブラックリストタグ、アペンドタグのうち複数種類のタグが対応付けられている制御情報も許容される。
【0071】
ブラックリストタグのみによって利用の許可又は拒否を指定する制御情報を用いる場合、制御情報適用部127は、ブラックリストタグが対応付けられたアプリケーションの実行を拒否し、ブラックリストタグに対応付けられていないアプリケーションの実行を許可するこれによって、制御情報を作成する企業側が、ユーザ個々が端末装置12にインストールするアプリケーションすべてを把握することなく、企業内で利用を許可しないアプリケーションを明示的に指定し、その他のアプリケーションを利用可とすることができる。
【0072】
ホワイトリストタグのみによって利用の許可又は拒否を指定する制御情報を用いる場合、制御情報適用部127は、ホワイトリストタグが対応付けられたアプリケーションの実行を許可し、ホワイトリストタグに対応付けられていないアプリケーションの実行を拒否するこれによって、制御情報を作成する企業側が、ユーザ個々が端末装置12にインストールするアプリケーションすべてを把握することなく、企業内で利用を許可しないアプリケーションを明示的に指定し、その他のアプリケーションを利用可とすることができる。
【0073】
アペンドタグのみによって利用の許可又は拒否を指定する制御情報を用いる場合、制御情報適用部127は、アペンドタグが対応付けられたアプリケーションの実行を許可し、アペンドタグに対応付けられていないアプリケーションの実行の許可又は拒否を変更しない。
【0074】
ブラックリストタグとホワイトリストタグとが共存する制御情報を用いる場合には、例えば、同一のアプリケーションにブラックリストタグとホワイトリストタグの両方が対応付けられている場合にはブラックリストタグよりホワイトリストタグに基づく制御を優先するなどの優先順位を設けることで、多様な制御情報の設定が可能となる。その他、アペンドタグをブラックリストタグやホワイトリストタグより優先順位を高くするなどの優先順位を設けることで、より多様な制御情報の設定が可能となる。
【0075】
図7を用い、このような制御情報に基づく制御方法を例示する。
図7に例示する制御方法の場合、制御情報適用部127は、端末装置内の全ての制御対象アプリケーションを取得し、その中の各制御対象のアプリケーション(APx)がアペンドリストタグ内にリストされているかを判定する(ステップS210)。アプリケーション(APx)がアペンドリストタグ内にリストされている場合には、アプリケーション(APx)の実行を許可する(ステップS206)。
【0076】
アプリケーション(APx)がアペンドリストタグ内にリストされていない場合、制御情報適用部127は、制御情報にホワイトリストタグが存在するかを判定する(ステップS202)。制御情報にホワイトリストタグが存在する場合、制御情報適用部127は、アプリケーション(APx)がホワイトリストタグ内にリストされているかを判定する(ステップS204)。制御情報適用部127は、アプリケーション(APx)がホワイトリストタグ内にリストされている場合にアプリケーション(APx)の実行を許可し(ステップS206)、リストされていない場合にアプリケーション(APx)の実行を拒否する(ステップS207)。
【0077】
制御情報にホワイトリストタグが存在しない場合、制御情報適用部127は、制御情報にブラックリストタグが存在するかを判定する(ステップS203)。制御情報にブラックリストタグが存在しない場合、制御情報適用部127は、アプリケーション(APx)の実行を許可する(ステップS206)。制御情報にブラックリストタグが存在する場合、制御情報適用部127は、アプリケーション(APx)がブラックリストタグ内にリストされているかを判定する(ステップS205)。制御情報適用部127は、アプリケーション(APx)がブラックリストタグ内にリストされている場合にアプリケーション(APx)の実行を拒否し(ステップS207)、リストされていない場合にアプリケーション(APx)の実行を許可する(ステップS206)。
【0078】
以下に具体的な制御情報を例示して図7に例示した制御方法を説明する。
以下はブラックリストタグによって実行の許可又は拒否を指定する制御情報の例である。
【表2】
この制御情報の場合、アプリケーション(AP1,AP2)の実行が拒否され、その他のアプリケーション(AP3〜AP9)の実行が許可される。
【0079】
以下はホワイトリストタグによって実行の許可又は拒否を指定する制御情報の例である。
【表3】
この制御情報の場合、アプリケーション(AP1,AP2)の実行が許可され、その他のアプリケーション(AP3〜AP9)の実行が拒否される。
【0080】
以下はアペンドリストタグによって実行の許可又は拒否を指定する制御情報の例である。
【表4】
この制御情報の場合、アペンドリストタグによって指定されたアプリケーション(AP4)の実行が許可され、それ以外のアプリケーション(AP1〜AP3,AP5〜AP9)についてはホワイトリストタグに対応する制御が有効となる。結果として、アプリケーション(AP1,AP2,AP4)の実行が許可され、その他のアプリケーション(AP3,AP5〜AP9)の実行が拒否される。
【0081】
以下はアペンドリストタグによって実行の許可又は拒否を指定する他の制御情報の例である。
【表5】
この制御情報の場合、アペンドリストタグによって指定されたアプリケーション(AP2)の実行が許可され、それ以外のアプリケーション(AP1,AP3〜AP9)についてはブラックリストタグに対応する制御が有効となる。結果として、アプリケーション(AP1)の実行が拒否され、その他のアプリケーション(AP2〜AP9)の実行が許可される。
【0082】
以下はブラックリストタグとホワイトリストタグによって実行の許可又は拒否を指定する制御情報の例である。
【表6】
この制御情報の場合、ホワイトリストタグに対応する効果のみが有効となり、ブラックリストタグに対応する効果は無効化される。結果として、アプリケーション(AP1,AP2)の実行が許可され、その他のアプリケーション(AP3〜AP9)の実行が拒否される。
【0083】
〔実施形態の変形例6〕
上述の実施形態では、制御APがコンピュータに読み込まれることで復号鍵取得部125及び制御情報取得部126が得られ、端末装置12にインストールされた各アプリケーションの実行の制御を行った。しかし、制御APを用いるのではなく、端末装置12にインストールされたアプリケーション自身が制御APの機能を持ち(制御アプリケーション内情アプリケーション/制御AP内蔵AP)、制御AP内蔵APがコンピュータに読み込まれることで、復号鍵取得部125、制御情報取得部126、制御情報適用部127及び実行部128が構成されてもよい。この場合には各アプリケーション自身が自らの起動のON、OFFを監視することになる。以下では上述の実施形態との相違点を中心に説明する。その他の事項は上述の実施形態で説明した通りである。
【0084】
この変形例では、上述の実施形態の端末装置制御システム1の端末装置12が図8に例示する端末装置12’に置換される。この例の端末装置12’にはいくつかの制御AP内蔵APがインストールされている。端末装置12’は、制御部121と、メモリ122と、通信部123a(暗号化制御情報入力部)と、通信部123b(復号鍵入力部)と、利用環境取得部124と、復号鍵取得部125と、制御情報取得部126と、制御情報適用部127と、実行部128とを有する。これらの各機能部は、例えば、コンピュータに特別なプログラムが読み込まれ、実行されることで構成される。特に復号鍵取得部125、制御情報取得部126、制御情報適用部127及び実行部128は、コンピュータに制御AP内蔵APが読み込まれて実行されることで得られる。
【0085】
この変形例の事前処理及び設定処理は上述の実施形態と同じである。この変形例の制御処理は、図10に示す通りである。すなわち、端末装置12の復号鍵取得部125、制御情報取得部126、制御情報適用部127及び実行部128によって実行される各ステップが、コンピュータに制御AP内蔵APが読み込まれて得られる端末装置12’の復号鍵取得部125、制御情報取得部126、制御情報適用部127及び実行部128によって実行される。その他は、上述の実施形態で説明したのと同様である。
【0086】
図9A及び9Bは、端末装置12’にインストールされているアプリケーション(AP1〜AP9)のうち、1つのアプリケーション(AP3)が自らのON、OFFを監視する制御AP内蔵APである場合の端末装置12’表示画面の例である。その他のアプリケーションは常に実行可能とされている。図9Aの例では、制御AP内蔵APであるアプリケーション(AP3)の実行が許可されて当該アプリケーション(AP3)が起動し、すべてのアプリケーション(AP1〜AP9)のアイコンが表示画面に表示され、すべてのアプリケーション(AP1〜AP9)の利用が可能な状態となっている。図9Bの例では、制御AP内蔵APであるアプリケーション(AP3)の実行が拒否され、制御AP内蔵APであるアプリケーション(AP3)は起動しておらず、そのアイコンは表示画面に表示されていない。その他のアプリケーション(AP1,AP2,AP4〜AP9)のアイコンは表示画面に表示されている。なお、上記変形例では制御AP内蔵APの起動状態、及びその表示状態について言及したが、上記変形例は起動状態や表示状態に限るものでは無い。例えば、自らアプリケーションを終了する、メッセージをポップアップで表示する、メールを送信する、など制御AP内蔵APの動作の振る舞いを制御する方式も、上記実施形態として存在し得る。
【0087】
〔実施形態の変形例7〕
制御装置11が複数存在し、無線通信等によって端末装置12と通信を行って第1実施形態の処理が実行される場合を想定する。また各制御装置11が端末装置12と接続可能な領域がそれぞれ定められているが、それらの領域が一部で重複しているとする。
【0088】
例えば図11に例示するように、制御装置11及び制御装置11と同様に構成される制御装置11’(隣接制御装置)が存在するものとする。領域Aに配置された端末装置12は何れの制御装置11,11’とも接続できず、暗号化制御情報を取得できない(図12A)。領域Bに配置された端末装置12は制御装置11と接続可能であり、制御装置11から送信された暗号化制御情報を取得できるが制御装置11’から送信された暗号化制御情報(隣接暗号化制御情報)を取得できない(図12B)。領域Cに配置された端末装置12は制御装置11’と接続可能であり、制御装置11’から送信された暗号化制御情報を取得できるが、制御装置11から送信された暗号化制御情報を取得できない(図12C)。領域Dに配置された端末装置12は制御装置11,11’の両方と接続可能であり、制御装置11から送信された暗号化制御情報と制御装置11’から送信された暗号化制御情報とを取得できる。また、領域Aに配置された端末装置12は鍵管理装置13と接続できず、復号鍵を取得できず(図12A)、領域B〜Dに配置された端末装置12は鍵管理装置13に接続でき、復号鍵を取得できる(図12B〜D)。
【0089】
このような場合、領域Bに配置された端末装置12は、制御装置11で設定された制御情報に基づいてアプリケーションの利用を制御し、領域Cに配置された端末装置12は、制御装置11’で設定された制御情報(隣接制御情報)に基づいてアプリケーションの利用を制御し、領域Aに配置された端末装置12は、デフォルト制御情報に基づいてアプリケーションの利用を制御する。一方、領域Dに配置された端末装置12の制御情報取得部126では、制御装置11で設定された制御情報と制御装置11’で設定された制御情報の両方が取得され得る。このような場合、制御情報適用部127は、所定の優先順位に従い、これらの制御情報の中から一つの制御情報を選択し、選択した制御情報を用い、実行部128に特定のアプリケーションの実行を許可するか否かを決定する。
【0090】
例えば、制御情報適用部127は、得られた制御情報のうち、最も多くのアプリケーションの実行を拒否する制御情報(できるだけ「OFF」が多い制御情報)を選択する。或いは、得られた制御情報のうち、最も多くのアプリケーションの実行を許可する制御情報(できるだけ「ON」が多い制御情報)を選択が選択されてもよい。或いは、制御対象のアプリケーションが1つのみである場合、制御情報適用部127は、得られた制御情報のうち、アプリケーションの実行を拒否する制御情報(「OFF」が存在する制御情報)を選択する。その他の優先順位に基づいて制御情報が選択されてもよい。
なお、この変形例は3個以上の制御装置が存在する場合にも適用できる。
【0091】
<実施形態の特徴>
サービス提供者は、サービス利用者の端末装置の利用環境に応じ、当該端末装置で提供されるサービス(コンテンツ、アプリケーション、デバイス)を、適切に制御した状態で利用させることができる。
【0092】
サービス提供者がサービス利用者の端末装置の利用環境に応じて当該端末装置で提供されるサービスの利用を制御する際に、サービス提供者がその端末装置に対応する許諾条件をサービス提供者へ送信する必要がない。これにより、許諾条件を示す情報の保護やそれに伴う秘密鍵等の管理が不要となる。
【0093】
サービス提供者がサービス利用者の端末装置の利用環境に応じて当該端末装置で提供されるサービスの利用を制御する際に制御装置から端末装置に送信される暗号化制御情報の送信を、サービス利用者の認証と独立に実行できる。よってサービスの利用を制御するための情報を送信する機器と、認証処理を実行する機器との間での連携処理が不要であり、システム構築と運用が容易になる。
【0094】
サービス利用者の利用環境を制御するための識別情報は暗号化と復号のアルゴリズムの中に含まれているため、許諾条件をサービス利用者の端末装置へ送信する必要がない。
【0095】
制御装置は制御情報を暗号化して端末装置に送信するため、制御情報の内容が第三者に漏洩したり、利用されたりすることがない。
【0096】
端末装置による制御装置からの暗号化制御情報の取得時に、鍵管理装置(認証サーバ装置)と制御装置(認可サーバ)との間で特別な処理を行う必要がない。制御情報や利用条件が更新された場合にも、鍵管理装置(認証サーバ装置)と制御装置(認可サーバ)との間で特別な処理を行う必要がない。
【0097】
〔その他の変形例等〕
本発明は上述の実施形態に限定されるものではない。例えば、上記実施形態やその変形例では、制御対象のサービスがアプリケーションである場合を例示したが、デバイス,コンテンツその他の端末装置で実行されるサービスが制御対象とされてもよい。また、上述の実施形態等では端末装置がスマートフォン端末である場合を例示したが、携帯電話、携帯情報端末、パーソナルコンピュータ等を端末装置としてもよい。
【0098】
上記実施形態やその変形例では、IDベース暗号方式に則って制御情報を暗号化したが、述語暗号方式(参考文献2「"Predicate Encryption Supporting Disjunctions, Polynomial Equations, and Inner Products," with Amit Sahai and Brent Waters One of 4 papers from Eurocrypt 2008 invited to the Journal of Cryptology」,参考文献3「Allison Lewko, Tatsuaki Okamoto, Amit Sahai, Katsuyuki Takashima and Brent Waters,”Fully Secure Functional Encryption: Attribute-Based Encryption and (Hierarchical) Inner Product Encryption,”Advances in Cryptology-EUROCRYPT 2010, LNCS, 2010, Volume 6110/2010, 62-91」等参照)や関数型暗号方式(参考文献4「Tatsuaki Okamoto, Katsuyuki Takashima,“Fully Secure Functional Encryption with General Relations from the Decisional Linear Assumption,”Advances in Cryptology-CRYPTO 2010, LNCS, 2010, Volume 6223/2010, 191-208」等参照)その他の暗号方式に則って制御情報が暗号化されてもよい。IDベース暗号方式が用いられる場合、暗号化鍵生成情報と復号鍵生成情報とが等しい場合に復号鍵を用いて暗号化制御情報の復号処理を行うことで制御情報が得られた。一方、述語暗号方式が用いられる場合、例えば、暗号化鍵生成情報と復号鍵生成情報とがそれぞれベクトルであり、それらの内積が0となるときに制御情報が得られる(参考文献2,3等)。関数型暗号方式が用いられる場合、例えば、暗号化鍵生成情報と復号鍵生成情報とがそれぞれベクトルの集合であり、内積が0となるベクトルの組に対応する特定の階層的な秘密分散値から秘密値が復元されるときに制御情報が得られる(参考文献4等)。暗号化鍵生成情報や復号鍵生成情報が新たな暗号化鍵生成情報や復号鍵生成情報に更新される場合も同様である。
【0099】
また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。例えば、ステップS111,S112の後にステップS113,S114が実行されるのではなく、ステップS113,S114の後にステップS111,S112が実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
【0100】
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な(non-transitory)記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。
【0101】
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
【0102】
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
【0103】
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
【符号の説明】
【0104】
1 端末装置制御システム
11 制御装置
12 端末装置
13 鍵管理装置
【特許請求の範囲】
【請求項1】
任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が、前記任意の端末装置の利用環境を表す暗号化条件情報に対応し、前記暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて前記暗号化条件情報に対応する前記制御情報を暗号化して得られる暗号化制御情報を出力する制御装置と、
サービスを実行する実行部と、前記暗号化制御情報の入力を受け付ける暗号化制御情報入力部と、自らの利用環境を表す利用環境情報を得る利用環境取得部と、前記利用環境情報を含む復号鍵生成情報を出力する復号鍵生成情報出力部と、前記復号鍵生成情報に対して生成された復号鍵の入力を受け付ける復号鍵入力部と、前記復号鍵を用いて前記暗号化制御情報の復号処理を行う制御情報取得部と、前記制御情報取得部で前記制御情報が得られる場合に当該制御情報を用い、前記実行部に特定のサービスの実行を許可するか否かを決定する制御情報適用部を含む端末装置と、
前記復号鍵生成情報の入力を受け付ける復号鍵生成情報入力部と、前記復号鍵生成情報に対応する前記復号鍵を生成する復号鍵生成部と、前記復号鍵を出力する復号鍵出力部を含む鍵管理装置と、
を有し、
前記暗号化鍵生成情報と前記復号鍵生成情報とが予め定められた関係を満たす場合に、前記復号鍵を用いて前記暗号化制御情報の復号処理を行うことで前記制御情報が得られる、端末装置制御システム。
【請求項2】
請求項1の端末装置制御システムであって、
前記利用環境取得部は、或る期間ごとに新たな利用環境情報を得、
前記復号鍵生成情報出力部は、前記新たな利用環境情報が得られるたびに、前記新たな利用環境情報を含む新たな復号鍵生成情報を出力し、
前記復号鍵生成情報入力部は、前記新たな復号鍵生成情報の入力を受け付け、
前記復号鍵生成部は、前記復号鍵生成情報入力部に前記新たな復号鍵生成情報が入力されるたびに、前記新たな復号鍵生成情報に対応する新たな復号鍵を生成し、
前記復号鍵出力部は、前記新たな復号鍵が生成されるたびに、前記新たな復号鍵を出力し、
前記復号鍵入力部は、前記新たな復号鍵の入力を受け付け、
前記制御情報取得部は、前記復号鍵入力部に前記新たな復号鍵が入力されるたびに、前記新たな復号鍵を用いて前記暗号化制御情報の復号処理を行い、
前記制御情報適用部は、前記制御情報取得部で前記制御情報が新たに得られるたびに、新たに得られた前記制御情報を用い、前記実行部に特定のサービスの実行を許可するか否かを決定し、
前記暗号化鍵生成情報と前記新たな復号鍵生成情報とが予め定められた関係を満たす場合に、前記新たな復号鍵を用いて前記暗号化制御情報の復号処理を行うことで前記制御情報が得られる、端末装置制御システム。
【請求項3】
請求項2の端末装置制御システムであって、
前記制御装置は、前記暗号化条件情報に対応する前記制御情報が新たな制御情報に更新されるたびに、新たな第1付加情報を生成し、前記暗号化条件情報及び前記新たな第1付加情報を含む新たな暗号化鍵生成情報に対応する新たな暗号化鍵を用いて前記新たな制御情報を暗号化して得られる新たな暗号化制御情報を出力し、
前記新たな復号鍵生成情報は、前記新たな第1付加情報に対して特定の対応関係を持つ新たな第2付加情報をさらに含み、
前記制御情報取得部は、前記新たな復号鍵を用いて前記新たな暗号化制御情報の復号処理を行い、
前記制御情報適用部は、前記制御情報取得部で前記新たな制御情報が得られる場合に当該新たな制御情報を用い、前記実行部に特定のサービスの実行を許可するか否かを決定し、
前記新たな暗号化鍵生成情報と前記新たな復号鍵生成情報とが予め定められた関係を満たす場合に、前記新たな復号鍵を用いて前記新たな暗号化制御情報の復号処理を行うことで前記新たな制御情報が得られる、端末装置制御システム。
【請求項4】
請求項1から3の何れかの端末装置制御システムであって、
任意の端末装置に特定のサービスの実行を許可するか否かを表す隣接制御情報が、前記任意の端末装置の利用環境を表す隣接暗号化条件情報に対応し、前記隣接暗号化条件情報を含む隣接暗号化鍵生成情報に対応する隣接暗号化鍵を用いて前記隣接暗号化条件情報に対応する前記隣接制御情報を暗号化して得られる隣接暗号化制御情報を出力する隣接制御装置をさらに有し、
前記暗号化制御情報入力部は、さらに前記隣接暗号化制御情報の入力を受け付け、
前記制御情報取得部は、前記復号鍵を用いて前記隣接暗号化制御情報の復号処理をさらに行い、
前記制御情報適用部は、前記制御情報取得部で前記制御情報及び前記隣接制御情報が得られる場合に、当該制御情報及び隣接制御情報の中から一つの制御情報又は隣接制御情報を選択し、選択した前記制御情報又は前記隣接制御情報を用い、前記実行部に特定のサービスの実行を許可するか否かを決定する、端末装置制御システム。
【請求項5】
請求項4の端末装置制御システムであって、
前記制御情報適用部は、前記制御情報取得部で前記制御情報及び前記隣接制御情報が得られる場合に、当該制御情報及び隣接制御情報のうち、最も多くのサービスの実行を拒否する制御情報又は隣接制御情報を選択する、又は、当該制御情報及び隣接制御情報のうち、最も多くのサービスの実行を許可する制御情報又は隣接制御情報を選択する、端末装置制御システム。
【請求項6】
請求項1から5の何れかの端末装置制御システムであって、
特定の領域内に配置された前記端末装置のみが前記鍵管理装置と通信可能であり、前記特定の領域内に配置された前記端末装置のみに前記復号鍵が入力される、端末装置制御システム。
【請求項7】
請求項1から6の何れかの端末装置制御システムであって、
前記制御情報適用部は、前記制御情報取得部で前記制御情報が得られない場合に、予め定められたデフォルト制御情報に従い、前記実行部に特定のサービスの実行を許可するか否かを決定する、端末装置制御システム。
【請求項8】
請求項1から6の何れかの端末装置制御システムであって、
前記制御装置は、前記暗号化条件情報によって表される利用環境の種別を表す種別情報をさらに出力し、
前記暗号化制御情報入力部は、さらに前記種別情報の入力を受け付け、
前記利用環境取得部は、前記種別情報によって表される種別の自らの利用環境を表す前記利用環境情報を得る、端末装置制御システム。
【請求項9】
任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が、前記任意の端末装置の利用環境を表す暗号化条件情報に対応し、前記暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて前記暗号化条件情報に対応する前記制御情報を暗号化して得られる暗号化制御情報を出力する制御装置。
【請求項10】
サービスを実行する実行部と、
暗号化制御情報の入力を受け付ける暗号化制御情報入力部と、
自らの利用環境を表す利用環境情報を得る利用環境取得部と、
前記利用環境情報を含む復号鍵生成情報を出力する復号鍵生成情報出力部と、
前記復号鍵生成情報に対して生成された復号鍵の入力を受け付ける復号鍵入力部と、
前記復号鍵を用いて前記暗号化制御情報の復号処理を行う制御情報取得部と、
前記制御情報取得部で前記制御情報が得られる場合に当該制御情報を用い、前記実行部に特特定のサービスの実行を許可するか否かを決定する制御情報適用部と、
を有する端末装置。
【請求項11】
任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が、前記任意の端末装置の利用環境を表す暗号化条件情報に対応し、制御装置で、前記暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて前記暗号化条件情報に対応する前記制御情報を暗号化して得られる暗号化制御情報を出力するステップと、
端末装置で、前記暗号化制御情報の入力を受け付けるステップと、
前記端末装置で、前記端末装置の利用環境を表す利用環境情報を得るステップと、
前記端末装置で、前記利用環境情報を含む復号鍵生成情報を出力するステップと、
鍵管理装置で、前記復号鍵生成情報の入力を受け付けるステップと、
前記鍵管理装置で、前記復号鍵生成情報に対応する前記復号鍵を生成するステップと、
前記鍵管理装置で、前記復号鍵を出力するステップと、
前記端末装置で、前記復号鍵の入力を受け付けるステップと、
前記端末装置で、前記復号鍵を用いて前記暗号化制御情報の復号処理を行うステップと、
前記制御情報が得られる場合に、前記端末装置で当該制御情報を用い、前記端末装置に特定のサービスの実行を許可するか否かを決定するステップと、
を有し、
前記暗号化鍵生成情報と前記復号鍵生成情報とが予め定められた関係を満たす場合に、前記復号鍵を用いて前記暗号化制御情報の復号処理を行うことで前記制御情報が得られる、制御方法。
【請求項12】
任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が、前記任意の端末装置の利用環境を表す暗号化条件情報に対応し、制御装置で、前記暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて前記暗号化条件情報に対応する前記制御情報を暗号化して得られる暗号化制御情報を出力する制御方法。
【請求項13】
端末装置の暗号化制御情報入力部で、暗号化制御情報の入力を受け付けるステップと、
前記端末装置の利用環境取得部で、自らの利用環境を表す利用環境情報を得るステップと、
前記端末装置の復号鍵生成情報出力部で、前記利用環境情報を含む復号鍵生成情報を出力するステップと、
前記端末装置の復号鍵入力部で、前記復号鍵生成情報に対して生成された復号鍵の入力を受け付けるステップと、
前記端末装置の制御情報取得部で、前記復号鍵を用いて前記暗号化制御情報の復号処理を行うステップと、
前記端末装置の前記制御情報取得部で前記制御情報が得られる場合に、制御情報適用部で当該制御情報を用い、前記端末装置に特定のサービスの実行を許可するか否かを決定するステップと、
を有する制御方法。
【請求項14】
請求項9の制御装置としてコンピュータを機能させるためのプログラム。
【請求項15】
請求項10の端末装置としてコンピュータを機能させるためのプログラム。
【請求項1】
任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が、前記任意の端末装置の利用環境を表す暗号化条件情報に対応し、前記暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて前記暗号化条件情報に対応する前記制御情報を暗号化して得られる暗号化制御情報を出力する制御装置と、
サービスを実行する実行部と、前記暗号化制御情報の入力を受け付ける暗号化制御情報入力部と、自らの利用環境を表す利用環境情報を得る利用環境取得部と、前記利用環境情報を含む復号鍵生成情報を出力する復号鍵生成情報出力部と、前記復号鍵生成情報に対して生成された復号鍵の入力を受け付ける復号鍵入力部と、前記復号鍵を用いて前記暗号化制御情報の復号処理を行う制御情報取得部と、前記制御情報取得部で前記制御情報が得られる場合に当該制御情報を用い、前記実行部に特定のサービスの実行を許可するか否かを決定する制御情報適用部を含む端末装置と、
前記復号鍵生成情報の入力を受け付ける復号鍵生成情報入力部と、前記復号鍵生成情報に対応する前記復号鍵を生成する復号鍵生成部と、前記復号鍵を出力する復号鍵出力部を含む鍵管理装置と、
を有し、
前記暗号化鍵生成情報と前記復号鍵生成情報とが予め定められた関係を満たす場合に、前記復号鍵を用いて前記暗号化制御情報の復号処理を行うことで前記制御情報が得られる、端末装置制御システム。
【請求項2】
請求項1の端末装置制御システムであって、
前記利用環境取得部は、或る期間ごとに新たな利用環境情報を得、
前記復号鍵生成情報出力部は、前記新たな利用環境情報が得られるたびに、前記新たな利用環境情報を含む新たな復号鍵生成情報を出力し、
前記復号鍵生成情報入力部は、前記新たな復号鍵生成情報の入力を受け付け、
前記復号鍵生成部は、前記復号鍵生成情報入力部に前記新たな復号鍵生成情報が入力されるたびに、前記新たな復号鍵生成情報に対応する新たな復号鍵を生成し、
前記復号鍵出力部は、前記新たな復号鍵が生成されるたびに、前記新たな復号鍵を出力し、
前記復号鍵入力部は、前記新たな復号鍵の入力を受け付け、
前記制御情報取得部は、前記復号鍵入力部に前記新たな復号鍵が入力されるたびに、前記新たな復号鍵を用いて前記暗号化制御情報の復号処理を行い、
前記制御情報適用部は、前記制御情報取得部で前記制御情報が新たに得られるたびに、新たに得られた前記制御情報を用い、前記実行部に特定のサービスの実行を許可するか否かを決定し、
前記暗号化鍵生成情報と前記新たな復号鍵生成情報とが予め定められた関係を満たす場合に、前記新たな復号鍵を用いて前記暗号化制御情報の復号処理を行うことで前記制御情報が得られる、端末装置制御システム。
【請求項3】
請求項2の端末装置制御システムであって、
前記制御装置は、前記暗号化条件情報に対応する前記制御情報が新たな制御情報に更新されるたびに、新たな第1付加情報を生成し、前記暗号化条件情報及び前記新たな第1付加情報を含む新たな暗号化鍵生成情報に対応する新たな暗号化鍵を用いて前記新たな制御情報を暗号化して得られる新たな暗号化制御情報を出力し、
前記新たな復号鍵生成情報は、前記新たな第1付加情報に対して特定の対応関係を持つ新たな第2付加情報をさらに含み、
前記制御情報取得部は、前記新たな復号鍵を用いて前記新たな暗号化制御情報の復号処理を行い、
前記制御情報適用部は、前記制御情報取得部で前記新たな制御情報が得られる場合に当該新たな制御情報を用い、前記実行部に特定のサービスの実行を許可するか否かを決定し、
前記新たな暗号化鍵生成情報と前記新たな復号鍵生成情報とが予め定められた関係を満たす場合に、前記新たな復号鍵を用いて前記新たな暗号化制御情報の復号処理を行うことで前記新たな制御情報が得られる、端末装置制御システム。
【請求項4】
請求項1から3の何れかの端末装置制御システムであって、
任意の端末装置に特定のサービスの実行を許可するか否かを表す隣接制御情報が、前記任意の端末装置の利用環境を表す隣接暗号化条件情報に対応し、前記隣接暗号化条件情報を含む隣接暗号化鍵生成情報に対応する隣接暗号化鍵を用いて前記隣接暗号化条件情報に対応する前記隣接制御情報を暗号化して得られる隣接暗号化制御情報を出力する隣接制御装置をさらに有し、
前記暗号化制御情報入力部は、さらに前記隣接暗号化制御情報の入力を受け付け、
前記制御情報取得部は、前記復号鍵を用いて前記隣接暗号化制御情報の復号処理をさらに行い、
前記制御情報適用部は、前記制御情報取得部で前記制御情報及び前記隣接制御情報が得られる場合に、当該制御情報及び隣接制御情報の中から一つの制御情報又は隣接制御情報を選択し、選択した前記制御情報又は前記隣接制御情報を用い、前記実行部に特定のサービスの実行を許可するか否かを決定する、端末装置制御システム。
【請求項5】
請求項4の端末装置制御システムであって、
前記制御情報適用部は、前記制御情報取得部で前記制御情報及び前記隣接制御情報が得られる場合に、当該制御情報及び隣接制御情報のうち、最も多くのサービスの実行を拒否する制御情報又は隣接制御情報を選択する、又は、当該制御情報及び隣接制御情報のうち、最も多くのサービスの実行を許可する制御情報又は隣接制御情報を選択する、端末装置制御システム。
【請求項6】
請求項1から5の何れかの端末装置制御システムであって、
特定の領域内に配置された前記端末装置のみが前記鍵管理装置と通信可能であり、前記特定の領域内に配置された前記端末装置のみに前記復号鍵が入力される、端末装置制御システム。
【請求項7】
請求項1から6の何れかの端末装置制御システムであって、
前記制御情報適用部は、前記制御情報取得部で前記制御情報が得られない場合に、予め定められたデフォルト制御情報に従い、前記実行部に特定のサービスの実行を許可するか否かを決定する、端末装置制御システム。
【請求項8】
請求項1から6の何れかの端末装置制御システムであって、
前記制御装置は、前記暗号化条件情報によって表される利用環境の種別を表す種別情報をさらに出力し、
前記暗号化制御情報入力部は、さらに前記種別情報の入力を受け付け、
前記利用環境取得部は、前記種別情報によって表される種別の自らの利用環境を表す前記利用環境情報を得る、端末装置制御システム。
【請求項9】
任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が、前記任意の端末装置の利用環境を表す暗号化条件情報に対応し、前記暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて前記暗号化条件情報に対応する前記制御情報を暗号化して得られる暗号化制御情報を出力する制御装置。
【請求項10】
サービスを実行する実行部と、
暗号化制御情報の入力を受け付ける暗号化制御情報入力部と、
自らの利用環境を表す利用環境情報を得る利用環境取得部と、
前記利用環境情報を含む復号鍵生成情報を出力する復号鍵生成情報出力部と、
前記復号鍵生成情報に対して生成された復号鍵の入力を受け付ける復号鍵入力部と、
前記復号鍵を用いて前記暗号化制御情報の復号処理を行う制御情報取得部と、
前記制御情報取得部で前記制御情報が得られる場合に当該制御情報を用い、前記実行部に特特定のサービスの実行を許可するか否かを決定する制御情報適用部と、
を有する端末装置。
【請求項11】
任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が、前記任意の端末装置の利用環境を表す暗号化条件情報に対応し、制御装置で、前記暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて前記暗号化条件情報に対応する前記制御情報を暗号化して得られる暗号化制御情報を出力するステップと、
端末装置で、前記暗号化制御情報の入力を受け付けるステップと、
前記端末装置で、前記端末装置の利用環境を表す利用環境情報を得るステップと、
前記端末装置で、前記利用環境情報を含む復号鍵生成情報を出力するステップと、
鍵管理装置で、前記復号鍵生成情報の入力を受け付けるステップと、
前記鍵管理装置で、前記復号鍵生成情報に対応する前記復号鍵を生成するステップと、
前記鍵管理装置で、前記復号鍵を出力するステップと、
前記端末装置で、前記復号鍵の入力を受け付けるステップと、
前記端末装置で、前記復号鍵を用いて前記暗号化制御情報の復号処理を行うステップと、
前記制御情報が得られる場合に、前記端末装置で当該制御情報を用い、前記端末装置に特定のサービスの実行を許可するか否かを決定するステップと、
を有し、
前記暗号化鍵生成情報と前記復号鍵生成情報とが予め定められた関係を満たす場合に、前記復号鍵を用いて前記暗号化制御情報の復号処理を行うことで前記制御情報が得られる、制御方法。
【請求項12】
任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報が、前記任意の端末装置の利用環境を表す暗号化条件情報に対応し、制御装置で、前記暗号化条件情報を含む暗号化鍵生成情報に対応する暗号化鍵を用いて前記暗号化条件情報に対応する前記制御情報を暗号化して得られる暗号化制御情報を出力する制御方法。
【請求項13】
端末装置の暗号化制御情報入力部で、暗号化制御情報の入力を受け付けるステップと、
前記端末装置の利用環境取得部で、自らの利用環境を表す利用環境情報を得るステップと、
前記端末装置の復号鍵生成情報出力部で、前記利用環境情報を含む復号鍵生成情報を出力するステップと、
前記端末装置の復号鍵入力部で、前記復号鍵生成情報に対して生成された復号鍵の入力を受け付けるステップと、
前記端末装置の制御情報取得部で、前記復号鍵を用いて前記暗号化制御情報の復号処理を行うステップと、
前記端末装置の前記制御情報取得部で前記制御情報が得られる場合に、制御情報適用部で当該制御情報を用い、前記端末装置に特定のサービスの実行を許可するか否かを決定するステップと、
を有する制御方法。
【請求項14】
請求項9の制御装置としてコンピュータを機能させるためのプログラム。
【請求項15】
請求項10の端末装置としてコンピュータを機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2013−74302(P2013−74302A)
【公開日】平成25年4月22日(2013.4.22)
【国際特許分類】
【出願番号】特願2011−209411(P2011−209411)
【出願日】平成23年9月26日(2011.9.26)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成25年4月22日(2013.4.22)
【国際特許分類】
【出願日】平成23年9月26日(2011.9.26)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]