認証装置、情報システム、および認証方法
【課題】情報システムを利用するユーザに関するプライバシ情報の保護が可能となる。
【解決手段】情報システム1において、サービス提供装置200は、端末100が記憶部140に記憶している、平文と暗号文とを1対多の関係で暗号化する暗号方式の暗号化鍵141およびユーザIDを共通に、暗号化鍵DB221に記憶している。端末100は、サービス提供装置200にアクセスする時、その暗号化鍵141を用いて、ユーザIDを毎回異なるようにして暗号化し、パスワードとともにサービス提供装置200に送信する。サービス提供装置200は、認証装置300を用いて、暗号化したユーザID(暗号化ユーザID)に対して認証を行うとともに、ユーザIDの代わりに暗号化ユーザIDを用いてログをシステムログ223に記憶する。また、認証装置300も、ユーザIDの代わりに暗号化ユーザIDを用いて認証に関するログを認証ログ322に記憶する。
【解決手段】情報システム1において、サービス提供装置200は、端末100が記憶部140に記憶している、平文と暗号文とを1対多の関係で暗号化する暗号方式の暗号化鍵141およびユーザIDを共通に、暗号化鍵DB221に記憶している。端末100は、サービス提供装置200にアクセスする時、その暗号化鍵141を用いて、ユーザIDを毎回異なるようにして暗号化し、パスワードとともにサービス提供装置200に送信する。サービス提供装置200は、認証装置300を用いて、暗号化したユーザID(暗号化ユーザID)に対して認証を行うとともに、ユーザIDの代わりに暗号化ユーザIDを用いてログをシステムログ223に記憶する。また、認証装置300も、ユーザIDの代わりに暗号化ユーザIDを用いて認証に関するログを認証ログ322に記憶する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報システムを利用したときに蓄積されるログからユーザのプライバシ情報が顕在化することを防止する技術に関する。
【背景技術】
【0002】
ユーザの使用する端末からサービス要求を受け付けて、その要求に対応するサービスを提供するサーバ等の情報システムでは、一般的に、サービス要求を受け付ける際に、そのユーザが登録済みか否かを確認するための認証処理が実行される。この認証処理は、情報システムの機密性を担保するだけでなく、認証結果に応じて、ユーザへのサービス提供の可不可の判定に利用される。
【0003】
情報システムは、認証処理を行ったときの処理内容に関するログや、サービス提供を行ったときの処理内容に関するログを保管する機能を備えている。そのため、特定のユーザに関するログが収集されて解析されると、そのユーザの生活パターンや嗜好傾向等のプライバシ情報が顕在化する。つまり、ログの漏洩にともなうプライバシ情報の顕在化が、ユーザの不利益となる可能性がある。
【0004】
ログは、情報システムに限られて取得されるものではなく、認証処理だけを実行する認証装置においても、情報システムと同様に蓄積される。
【0005】
このようなログの漏洩にともなうプライバシ情報の顕在化に対処するために、特許文献1では、ログに書き込まれている情報を非機密情報と機密情報との2つに分けて、機密情報に対して第1の暗号化処理を実行する。さらに、システム管理者がログを解析可能とするために、機密情報の中から特定のユーザを識別可能なユーザ識別情報(ユーザID)に対して第2の暗号化処理を実行する技術が開示されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−312156号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
特許文献1の技術では、ユーザIDは第2の暗号化処理によって暗号化されているため、そのユーザIDが誰のものであるかを特定することはできなくなっている。しかしながら、暗号化されたユーザIDは、常に同じであるため、その暗号化されたユーザIDを用いて名寄せを行うと、その暗号化されたユーザIDのユーザの生活パターンや嗜好傾向等のプライバシ情報が顕在化してしまうという問題がある。ここでの名寄せは、そのIDに基づいて、個人情報を収集することである。
【0008】
そこで、本発明では、情報システムを利用するユーザに関するプライバシ情報の保護を可能とする認証装置、情報処理装置、および認証方法を提供することを課題とする。
【課題を解決するための手段】
【0009】
前記課題を解決するために、本発明に係る認証装置または情報システムは、平文と暗号文とを1対多の関係で暗号化する暗号化方式の暗号化鍵を端末との間で共有し、ユーザの使用する端末において当該暗号化鍵を用いて暗号化処理ごとに異なるように暗号化されたユーザID(以降、暗号化ユーザIDと称す。)を受信したとき、その受信した暗号化ユーザIDのままで認証を行うとともに、暗号化ユーザIDを含むログを記憶することを特徴とする。
【発明の効果】
【0010】
本発明によれば、情報システムを利用するユーザに関するプライバシ情報の保護が可能となる。
【図面の簡単な説明】
【0011】
【図1】本実施形態における情報システムの構成例を示す図である。
【図2】暗号化鍵DBに記憶される暗号化鍵情報の一例を示す図である。
【図3】システムログの一例を示す図である。
【図4】リポジトリに記憶されるユーザ識別情報の一例を示す図である。
【図5】認証ログの一例を示す図である。
【図6】ユーザ情報DBに記憶される登録情報の一例を示す図である。
【図7】本実施形態における情報システムの処理シーケンス例を示す図である。
【図8】変形例における情報システムの構成例を示す図である。
【発明を実施するための形態】
【0012】
次に、本発明を実施するための形態(以降、「本実施形態」と称す。)について、適宜図面を参照しながら詳細に説明する。
【0013】
(情報システムの概要)
図1は、本実施形態における情報システム1の構成例を示している。情報システム1では、端末100(100A,100B)、サービス提供装置200、および認証装置300が、ネットワーク400を介して、通信可能に接続されている。
【0014】
端末100(100A,100B)は、ユーザが使用するものであって、例えば、パソコン、携帯電話、携帯情報端末等である。図1では、端末100は2台しか記載していないが、3台以上であっても構わない。
【0015】
サービス提供装置200は、例えば、サービス処理を実行するサーバ、計算機等であって、端末100を使用するユーザからのサービス要求を受け付ける際に、そのユーザの認証処理を認証装置300に実行させて、認証装置300から受信した認証結果に応じてサービス処理を実行する。
【0016】
認証装置300は、サービス提供装置200がサービス要求を受け付ける際に、そのサービス要求を行ったユーザに関して認証処理を実行する。
ネットワーク400は、有線網、無線網、または有線網と無線網との組み合わせによって構成されている。
なお、端末100、サービス提供装置200、および認証装置300の機能の詳細については後記する。
【0017】
次に、情報システム1の動作の概要について、以下に説明する。
ユーザが、サービス提供装置200にユーザ登録を行うために、端末100Aを介してユーザ登録の要求をサービス提供装置200に送信する。サービス提供装置200は、ユーザ登録の要求を送信してきた端末100Aに、ユーザを識別するユーザID(第1のユーザ識別情報)および暗号化鍵を送信する。端末100Aは、受信した暗号化鍵を、暗号化鍵141として記憶部140に記憶する。また、その暗号化鍵は、サービス提供装置200の記憶部220の暗号化鍵DB221にも、図2に示すように、ユーザIDと関連付けられて記憶される。
【0018】
次に、ユーザが、端末100Aを介して、ユーザ情報の登録のために、受信したユーザID(第1のユーザ識別情報)を暗号化鍵141を用いて暗号化した暗号化ユーザIDと、ユーザが任意に決めたパスワード(第2のユーザ識別情報)とをサービス提供装置200に送信する。
【0019】
なお、本実施形態で使用する暗号化鍵141の暗号化方式は、検索可能暗号方式(例えば、吉野他,“DB向け検索可能暗号方式の検討(2)”,SCIS 2011,IEICE,1月(2011年)参照)を用いることを想定している。この検索可能暗号方式は、平文と暗号文とが1対多の関係で暗号化するものである。したがって、端末100Aは、暗号化鍵141を用いて、暗号化処理ごとにユーザIDを異なった暗号化ユーザIDとして生成することができる。なお、この検索可能暗号方式は、暗号化ユーザID同士をマッチングすることによって、同じユーザIDから生成されたもの(ユーザIDが一致するもの)か否かが判定可能となっている。
【0020】
また、サービス提供装置200は、端末100Aから受信した暗号化ユーザIDおよびパスワードを、認証装置300に送信する。認証装置300は、受信した暗号化ユーザIDおよびパスワードを、記憶部320のリポジトリ321(図5参照)に記憶する。
【0021】
次に、ユーザが、端末100Aを介して、ユーザ情報(例えば、ユーザID、氏名、性別、年齢、住所等)をサービス提供装置200に送信する。サービス提供装置200は、受信したユーザ情報および暗号化ユーザIDを、ユーザ情報DB222(図3参照)に記憶する。
【0022】
そして、ユーザ登録終了後に、改めてサービス提供装置200にサービス処理を要求する場合には、端末100Aは、入力されたユーザIDに対して暗号化鍵141を用いて前回(ユーザ登録時)とは異なる暗号化ユーザIDを生成し、入力されたパスワードとともにサービス提供装置200に送信する。すなわち、端末100Aから送信される暗号化ユーザIDは、暗号化処理ごとに異なっている。
【0023】
そして、サービス提供装置200は、端末100Aから受信した暗号化ユーザIDおよびパスワードを認証装置300に送信する。認証装置300は、リポジトリ321(図5参照)に既に記憶されている暗号化ユーザIDと受信した暗号化ユーザIDとのマッチングを行って、一致すると判定した暗号化ユーザIDに関連付けられたパスワードを抽出する。そして、認証装置300は、抽出したパスワードと受信したパスワードとを照合して、その照合結果を認証結果として認証ログ322(図6参照)に記憶するとともに、認証結果をサービス提供装置200に送信する。なお、認証ログ322は、暗号化ユーザIDを含むログを記憶している。
【0024】
次に、サービス提供装置200は、認証装置300から受信した認証結果が認証成功を示すものであればサービス処理を実行する。また、サービス提供装置200は、認証結果が認証失敗を示すものであれば、サービス処理を実行しない。また、サービス提供装置200は、暗号化ユーザIDを含むログをシステムログ223(図4参照)に記憶する。
【0025】
前記したように、サービス提供装置200および認証装置300に記憶されるログ情報は、同じユーザIDに対して、異なる暗号化ユーザIDを用いている。そのため、本実施形態における情報システム1は、特定のユーザに関するログの名寄せを防止でき、情報システム1を利用するユーザに関するプライバシ情報の顕在化を防止することが可能となる。
【0026】
以降では、情報システム1を構成する各装置の機能例の詳細について、図1〜6を用いて説明する。
【0027】
(端末の機能)
端末100は、図示しないCPU(Central Processing Unit)およびメインメモリによって種々の処理を実行する処理部110、アプリケーションプログラム等を記憶する記憶部140、入力部120、および通信部130を備えている。
【0028】
処理部110は、記憶部140に記憶されているアプリケーションプログラムをメインメモリに展開して、暗号化処理部111を具現化するものである。また、処理部110は、入力部120、通信部130、記憶部140との間の情報の送受信の制御を司る。
暗号化処理部111は、ユーザによって入力部120を介して入力されたユーザIDを、記憶部140に記憶している暗号化鍵141を用いて暗号化するものである。
【0029】
入力部120は、ユーザによって操作されるキーボードやマウス等が接続されるインタフェースであって、インタフェースを介して入力される情報を受け付けるものである。
通信部130は、通信インタフェースであって、ネットワーク400に情報を送出するとともに、ネットワーク400から種々の情報を受信するものである。
【0030】
記憶部140は、ハードディスク等の記憶媒体であって、アプリケーションプログラムや暗号化鍵141を記憶している。暗号化鍵141は、端末100とサービス提供装置200との間で共有され、ユーザ登録時に、サービス提供装置200から配布される。
【0031】
(サービス提供装置の機能)
サービス提供装置200は、図示しないCPUおよびメインメモリによって種々の処理を実行する処理部210、アプリケーションプログラム等を記憶する記憶部220、および通信部230を備えている。サービス提供装置200は、端末100からサービス要求を受け付け、認証装置300の認証結果に基づいて、サービス処理を実行する。
【0032】
記憶部220は、暗号化鍵DB221、ユーザ情報DB222、およびシステムログ223を記憶している。
暗号化鍵DB221は、サービス処理部212によってその情報の登録や更新が行われ、図2に示すように、ユーザIDと暗号化鍵とを関連付けて記憶している。ユーザIDおよび暗号化鍵は、ユーザがユーザ登録の要求をしてきたユーザ登録時に、サービス処理部212によって配布されるものである。つまり、ユーザIDおよび暗号化鍵141は、端末100とサービス提供装置200との間で共有される。
【0033】
ユーザ情報DB222は、ユーザ情報の登録時にユーザが登録したユーザに関する情報である。例えば、図3に示すように、ユーザ情報DB222は、サービス処理部212によってその情報の登録や更新が行われ、暗号化ユーザID、性別、年齢、住所、および連携先システムIDを関連付けて記憶している。ここで、暗号化ユーザIDは、ユーザ情報の登録時に端末100から受信したものである。また、連携先システムIDは、同じ暗号化鍵を用いて認証が行える複数のシステムの識別情報(システム1〜4)を表している。そして、図3の表の最も右側の欄は、ユーザがそのシステムに登録した名前である。ただし、n/aは、登録がないことを表している。
【0034】
システムログ223は、サービス提供装置200がユーザに対して実行した処理内容に関するログを記憶している。図4に示すように、例えば、システムログ223は、サービス処理部212によってその情報の登録や更新が行われ、暗号化ユーザID、アクセスした時刻、および処理内容を関連付けて記憶している。なお、図4は、同一のユーザIDに対応する暗号化ユーザIDをピックアップして表している。つまり、暗号化ユーザIDを見ただけでは、同一のユーザIDであることは分からないようになっている。
【0035】
処理部210は、記憶部220に記憶されているアプリケーションプログラムをメインメモリに展開して、ログ検索部211およびサービス処理部212を具現化するものである。また、処理部210は、記憶部220や通信部230との間での情報の送受信制御を司る。
【0036】
ログ検索部211は、サービス提供装置200の管理者が特定のユーザ(特定のユーザID)についてログを収集するための検索処理を実行するものである。ログ検索部211は、検索するユーザIDの入力を受信し、暗号化鍵DB221(図2参照)を参照して、当該ユーザIDに関連付けられた暗号化鍵を抽出し、その暗号化鍵を用いてユーザIDを暗号化した暗号化ユーザIDにマッチングする(に一致すると判定した)暗号化ユーザIDを含むログ情報を、システムログ223から収集する。
【0037】
サービス処理部212は、ユーザ登録時に端末100からのアクセスを受け付け、ユーザIDや暗号化鍵の配布、暗号化鍵DB221、ユーザ情報DB222、およびシステム
ログ223の情報の登録・更新を行うものである。また、サービス処理部212は、端末100から受信した暗号化ユーザIDおよびパスワードを認証装置300に送信し、認証装置300から認証結果を受信し、その認証結果に基づいて、サービス処理を実行する。具体的には、サービス処理部212は、認証成功であれば、ユーザ登録時に登録されているサービス処理を実行し、認証失敗であれば、サービス処理を実行せずにエラー(警告)メッセージを端末100Aに送信する。また、サービス処理部212は、サービス提供装置200における処理内容をシステムログ223に記憶する。
【0038】
通信部230は、通信インタフェースであって、ネットワーク400に情報を送出するとともに、ネットワーク400から種々の情報を受信するものである。
【0039】
(認証装置の機能)
認証装置300は、図示しないCPUおよびメインメモリによって種々の処理を実行する処理部310、アプリケーションプログラム等を記憶する記憶部320、および通信部330を備えている。認証装置300は、サービス提供装置200からの暗号化ユーザIDおよびパスワードを受信し、認証処理を行って、その認証結果をサービス提供装置200に送信する。
【0040】
記憶部320は、リポジトリ321および認証ログ322を記憶している。
リポジトリ321は、図5に示すように、ユーザ登録時に、サービス提供装置200を介して端末100から送信されてきた暗号化ユーザIDおよびパスワードを関連付けて記憶している。リポジトリ321は、認証処理部311によって、その情報の登録や更新が行われる。
【0041】
認証ログ322は、ユーザの認証処理を実行したときの認証結果をログとして記憶している。例えば、認証ログ322は、図6に示すように、暗号化ユーザID、認証処理を行った時刻、認証結果を関連付けて記憶している。認証ログ322は、認証処理部311によって、その情報の登録や更新が行われる。
【0042】
処理部310は、記憶部320に記憶されているアプリケーションプログラムをメインメモリに展開して、認証処理部311、ID検索部312、および認証情報検証部313を具現化するものである。また、処理部310は、記憶部320や通信部330との間での情報の送受信制御を司る。
【0043】
認証処理部311は、サービス提供装置200から受信した暗号化ユーザIDを、ID検索部312に送信し、ID検索部312によって抽出された当該暗号化ユーザIDに関連付けられたパスワードを受信するものである。次に、認証処理部311は、ID検索部312が抽出したパスワードを認証情報検証部313に送信し、ID検索部312が抽出したパスワードと端末100から受信したパスワードとを照合した照合結果を認証情報検証部313から受信する。そして、認証処理部311は、受信した照合結果に基づいて認証成功または認証失敗を判定し、その判定結果を認証結果としてサービス提供装置200に送信する。
【0044】
ID検索部312は、認証処理部311から受信した暗号化ユーザIDとリポジトリ321(図5参照)に記憶されている暗号化ユーザIDとのマッチングを実行し、マッチングした(一致すると判定した)暗号化ユーザIDに関連付けられたパスワードを抽出し、その抽出したパスワードを、認証処理部311に送信するものである。
【0045】
認証情報検証部313は、ID検索部312が抽出したパスワードと、端末100から受信したパスワードとを照合し、その照合結果を認証処理部311に送信するものである。
また、通信部330は、通信インタフェースであって、ネットワーク400に情報を送出するとともに、ネットワーク400から種々の情報を受信するものである。
【0046】
(情報システムの処理シーケンス)
次に、端末100、サービス提供装置200、および認証装置300の間で実行される処理シーケンス例について、図7を用いて説明する(適宜、図1〜6参照)。
【0047】
まず、ユーザ登録時における処理シーケンスとして、ステップS701〜S707について、一例として、ユーザID:200のユーザの場合で説明する。なお、ユーザID(ユーザID:200)と暗号化鍵141(暗号化鍵:skdiajem)が既に端末100およびサービス提供装置200との間で共有されていて、図2に示す暗号化鍵DB221への登録も終了しているものとする。
【0048】
ステップS701では、端末100の暗号化処理部111は、ユーザID:200を暗号化した暗号化ユーザID(8akmeiajs)およびパスワード(m2ai$qs3)をサービス提供装置200に送信する。
ステップS702では、サービス提供装置200のサービス処理部212は、受信した暗号化ユーザID(8akmeiajs)およびパスワード(m2ai$qs3)を、認証装置300に送信する。
【0049】
ステップS703では、認証装置300の認証処理部311は、受信した暗号化ユーザID(8akmeiajs)およびパスワード(m2ai$qs3)をリポジトリ321に記憶する。
ステップS704では、認証装置300の認証処理部311は、リポジトリ321への記憶が終了したことを示す登録済の通知をサービス提供装置200に送信する。
【0050】
ステップS705では、サービス提供装置200のサービス処理部212は、登録済の通知を受信した後、ユーザ情報の入力を促すユーザ情報入力指示を端末100に送信する。
ステップS706では、端末100の処理部110は、入力部120を介して受け付けたユーザ情報をサービス提供装置200に送信する。
【0051】
ステップS707では、サービス提供装置200のサービス処理部212は、受信したユーザ情報をユーザ情報DB222に記憶する。また、サービス処理部212は、システムログ223(図4参照)にログ(暗号化ユーザID:8akmeiajs、時刻:2011/01/09 12:34、処理内容:ユーザ登録成功)を記憶する。
なお、ステップS707より後の処理については図示を省略しているが、サービス提供装置200のサービス処理部212が、登録終了の通知を端末100に送信して、処理を終了する。
【0052】
次に、ユーザ登録終了後に、改めてユーザID:200のユーザがサービス提供装置200にアクセスした時(1回目のサービス要求時)の処理シーケンスとして、ステップS710〜S718について、説明する。
【0053】
ステップS710では、端末100の暗号化処理部111は、ユーザID:200を暗号化した暗号化ユーザID(oke;03ld)およびパスワード(m2ai$qs3)をサービス提供装置200に送信する。
ステップS711では、サービス提供装置200のサービス処理部212は、受信した暗号化ユーザID(oke;03ld)およびパスワード(m2ai$qs3)を、認証装置300に送信する。そして、認証装置300の認証処理部311は、サービス提供装置200から受信した暗号化ユーザID(oke;03ld)を、ID検索部312に送信する。
【0054】
ステップS712では、認証装置300のID検索部312は、認証処理部311から受信した暗号化ユーザID(oke;03ld)と、リポジトリ321に記憶している暗号化ユーザIDとのマッチングを行う。
ステップS713では、認証装置300のID検索部312は、リポジトリ321(図5参照)を参照して、そのマッチングした暗号化ユーザID(8akmeiajs)に関連付けられたパスワード(m2ai$qs3)を抽出する。そして、ID検索部312は、抽出したパスワードを認証処理部311に送信する。また、認証装置300の認証処理部311は、ID検索部312が抽出したパスワードおよび端末100から受信したパスワードを認証情報検証部313に送信する。
【0055】
ステップS714では、認証情報検証部313は、ID検索部312が抽出したパスワードと、端末100から受信したパスワード(m2ai$qs3)とを照合する。そして、認証情報検証部313は、ID検索部312が抽出したパスワードと端末100から受信したパスワード(m2ai$qs3)とが一致していれば、照合一致を示す照合結果を認証処理部311に送信する。また、認証情報検証部313は、ID検索部312が抽出したパスワードと端末100から受信したパスワード(m2ai$qs3)とが一致していなければ、照合不一致を示す照合結果を認証処理部311に送信する。
【0056】
ステップS715では、認証装置300の認証処理部311は、照合一致を示す照合結果を受信した場合、認証成功であることを示す認証結果をサービス提供装置200に送信する。なお、図示していないが、認証処理部311は、照合不一致を示す照合結果を受信した場合、認証失敗であることを示す認証結果をサービス提供装置200に送信する。
【0057】
ステップS716では、サービス提供装置200のサービス処理部212は、端末100に対してサービス提供(例えば、閲覧や修正等のサービス処理)を行う。
なお、ステップS717では、認証装置300の認証処理部311は、ログ(暗号化ユーザID:oke;03ld、時刻:2011/01/10 15:34、認証結果:認証成功)を認証ログ322(図6参照)に記憶する。
また、ステップS718では、サービス提供装置200のサービス処理部212は、システムログ223(図4参照)に処理内容のログ(暗号化ユーザID:oke;03ld、時刻:2011/01/10 15:36、処理内容:〇〇閲覧)(暗号化ユーザID:oke;03ld、時刻:2011/01/10 15:39、処理内容:〇×修正)を記憶する。
【0058】
なお、ステップS718より後の処理については図示を省略しているが、サービス提供装置200のサービス処理部212が、サービス終了の通知を端末100に送信して、処理を終了する。
【0059】
1回目のサービス要求が終了した後、ユーザID:200のユーザが改めてサービス提供装置200にアクセスした時(2回目のサービス要求時)の処理シーケンスは、図示を省略するが、端末100から送信される暗号化ユーザIDが、例えば1回目のときとは異なって「1,eimae,」となる以外は、ステップS710〜S718の処理と同様である。
そして、システムログ223(図4参照)には、処理内容のログとして(暗号化ユーザID:1,eimae,、時刻:2011/01/11 16:35、処理内容:〇△連携)が記憶される。また、認証ログ322(図6参照)には、ログとして(暗号化ユーザID:1,eimae,、時刻:2011/01/11 16:34、認証結果:認証成功)が記憶される。
【0060】
(変形例)
本実施形態の変形例の情報処理装置500の構成について、図8を用いて説明する。
図8に示すように、情報処理装置500は、図1に示したサービス提供装置200の各部をサービス提供部201(破線)とし、認証装置300の各部を認証部301(破線)として、サービス提供装置200の機能と認証装置300の機能とを併合して一つの装置を構成した状態を表している。なお、変形例において、図1と同じ機能を備えるブロックには同じ符号を付し、説明を省略する。
【0061】
以上、本実施形態における情報システム1は、端末100とサービス提供装置200とに共通の暗号化鍵141とユーザIDとを記憶している。なお、暗号化鍵141の暗号化方式は、平文と暗号文とを1対多の関係で暗号化する検索可能暗号方式である。端末100は、サービス提供装置200にアクセスするとき、ユーザIDを暗号化鍵141によって暗号化した暗号化ユーザIDとパスワードとを送信する。暗号化ユーザIDは、暗号化処理ごとに異なる。サービス提供装置200は、暗号化ユーザIDに対して、認証装置300を用いて認証を行うとともに、ユーザIDの代わりに暗号化ユーザIDを用いてログを記憶する。また、認証装置300は、ユーザIDの代わりに暗号化ユーザIDを用いてログを記憶する。したがって、情報システム1を構成するサービス提供装置200および認証装置300は、端末100において暗号化処理を実行するごとに異なる暗号化ユーザIDをそのまま用いているので、特定のユーザに関するログの収集を防止できる、すなわち、情報システム1を利用するユーザに関するプライバシ情報の顕在化を防止することが可能となる。また、変形例の情報処理装置500は、サービス提供装置200および認証装置300それぞれの機能を併合したものであるので、情報システム1と同様の効果を有する。
【0062】
なお、サービス提供装置200の管理者が、サービス提供装置200の維持管理のために、特定のユーザIDに関してログの検索を行う場合には、ログ検索部211は、管理者の入力したユーザIDを受信して、そのユーザIDにマッチングする暗号化ユーザIDに対応するログ情報を収集する。なお、ログの検索に用いる検索鍵は、検索の安全性向上のため、図2の暗号化鍵DB221に記憶されている暗号鍵とは異なるものであっても構わない。
【0063】
例えば、図2の暗号化鍵DB221のユーザID:200のユーザについての情報を検索する場合、暗号化ユーザIDが、図3のユーザ情報DB222では「74kdrhak」、図4のシステムログ223では「8akmeiajs」、「oke;03ld」、「1,eimae,」、図5のリポジトリ321では「8akmeiajs」、図6に示す認証ログ322では「oke;03ld」、「1,eimae,」であり、それらの暗号化ユーザIDに関連付けられたログ情報が収集できる。
【0064】
また、本実施形態では、端末100から暗号化ユーザIDとパスワードとを送信する場合で説明したが、パスワードの代わりに、生体認証用の情報であっても構わない。
【0065】
また、本実施形態では、ユーザ登録時にサービス提供装置200から暗号化鍵を送信する場合で説明したが、他の方法(例えば、端末100から送信する場合や、端末100及びサービス提供装置200で同じものを生成する等)を用いて共有しても構わない。
【符号の説明】
【0066】
1,1a 情報システム
100(100A,100B) 端末
110,210,210a,310 処理部
111 暗号化処理部
140,220,220a,320 記憶部
141 暗号化鍵
200 サービス提供装置
201 サービス提供部
211 ログ検索部
212 サービス処理部
221 暗号化鍵DB
222 ユーザ情報DB
223 システムログ
300 認証装置
301 認証部
311 認証処理部
312 ID検索部
313 認証情報検証部
321 リポジトリ
322 認証ログ
500 情報処理装置
【技術分野】
【0001】
本発明は、情報システムを利用したときに蓄積されるログからユーザのプライバシ情報が顕在化することを防止する技術に関する。
【背景技術】
【0002】
ユーザの使用する端末からサービス要求を受け付けて、その要求に対応するサービスを提供するサーバ等の情報システムでは、一般的に、サービス要求を受け付ける際に、そのユーザが登録済みか否かを確認するための認証処理が実行される。この認証処理は、情報システムの機密性を担保するだけでなく、認証結果に応じて、ユーザへのサービス提供の可不可の判定に利用される。
【0003】
情報システムは、認証処理を行ったときの処理内容に関するログや、サービス提供を行ったときの処理内容に関するログを保管する機能を備えている。そのため、特定のユーザに関するログが収集されて解析されると、そのユーザの生活パターンや嗜好傾向等のプライバシ情報が顕在化する。つまり、ログの漏洩にともなうプライバシ情報の顕在化が、ユーザの不利益となる可能性がある。
【0004】
ログは、情報システムに限られて取得されるものではなく、認証処理だけを実行する認証装置においても、情報システムと同様に蓄積される。
【0005】
このようなログの漏洩にともなうプライバシ情報の顕在化に対処するために、特許文献1では、ログに書き込まれている情報を非機密情報と機密情報との2つに分けて、機密情報に対して第1の暗号化処理を実行する。さらに、システム管理者がログを解析可能とするために、機密情報の中から特定のユーザを識別可能なユーザ識別情報(ユーザID)に対して第2の暗号化処理を実行する技術が開示されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−312156号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
特許文献1の技術では、ユーザIDは第2の暗号化処理によって暗号化されているため、そのユーザIDが誰のものであるかを特定することはできなくなっている。しかしながら、暗号化されたユーザIDは、常に同じであるため、その暗号化されたユーザIDを用いて名寄せを行うと、その暗号化されたユーザIDのユーザの生活パターンや嗜好傾向等のプライバシ情報が顕在化してしまうという問題がある。ここでの名寄せは、そのIDに基づいて、個人情報を収集することである。
【0008】
そこで、本発明では、情報システムを利用するユーザに関するプライバシ情報の保護を可能とする認証装置、情報処理装置、および認証方法を提供することを課題とする。
【課題を解決するための手段】
【0009】
前記課題を解決するために、本発明に係る認証装置または情報システムは、平文と暗号文とを1対多の関係で暗号化する暗号化方式の暗号化鍵を端末との間で共有し、ユーザの使用する端末において当該暗号化鍵を用いて暗号化処理ごとに異なるように暗号化されたユーザID(以降、暗号化ユーザIDと称す。)を受信したとき、その受信した暗号化ユーザIDのままで認証を行うとともに、暗号化ユーザIDを含むログを記憶することを特徴とする。
【発明の効果】
【0010】
本発明によれば、情報システムを利用するユーザに関するプライバシ情報の保護が可能となる。
【図面の簡単な説明】
【0011】
【図1】本実施形態における情報システムの構成例を示す図である。
【図2】暗号化鍵DBに記憶される暗号化鍵情報の一例を示す図である。
【図3】システムログの一例を示す図である。
【図4】リポジトリに記憶されるユーザ識別情報の一例を示す図である。
【図5】認証ログの一例を示す図である。
【図6】ユーザ情報DBに記憶される登録情報の一例を示す図である。
【図7】本実施形態における情報システムの処理シーケンス例を示す図である。
【図8】変形例における情報システムの構成例を示す図である。
【発明を実施するための形態】
【0012】
次に、本発明を実施するための形態(以降、「本実施形態」と称す。)について、適宜図面を参照しながら詳細に説明する。
【0013】
(情報システムの概要)
図1は、本実施形態における情報システム1の構成例を示している。情報システム1では、端末100(100A,100B)、サービス提供装置200、および認証装置300が、ネットワーク400を介して、通信可能に接続されている。
【0014】
端末100(100A,100B)は、ユーザが使用するものであって、例えば、パソコン、携帯電話、携帯情報端末等である。図1では、端末100は2台しか記載していないが、3台以上であっても構わない。
【0015】
サービス提供装置200は、例えば、サービス処理を実行するサーバ、計算機等であって、端末100を使用するユーザからのサービス要求を受け付ける際に、そのユーザの認証処理を認証装置300に実行させて、認証装置300から受信した認証結果に応じてサービス処理を実行する。
【0016】
認証装置300は、サービス提供装置200がサービス要求を受け付ける際に、そのサービス要求を行ったユーザに関して認証処理を実行する。
ネットワーク400は、有線網、無線網、または有線網と無線網との組み合わせによって構成されている。
なお、端末100、サービス提供装置200、および認証装置300の機能の詳細については後記する。
【0017】
次に、情報システム1の動作の概要について、以下に説明する。
ユーザが、サービス提供装置200にユーザ登録を行うために、端末100Aを介してユーザ登録の要求をサービス提供装置200に送信する。サービス提供装置200は、ユーザ登録の要求を送信してきた端末100Aに、ユーザを識別するユーザID(第1のユーザ識別情報)および暗号化鍵を送信する。端末100Aは、受信した暗号化鍵を、暗号化鍵141として記憶部140に記憶する。また、その暗号化鍵は、サービス提供装置200の記憶部220の暗号化鍵DB221にも、図2に示すように、ユーザIDと関連付けられて記憶される。
【0018】
次に、ユーザが、端末100Aを介して、ユーザ情報の登録のために、受信したユーザID(第1のユーザ識別情報)を暗号化鍵141を用いて暗号化した暗号化ユーザIDと、ユーザが任意に決めたパスワード(第2のユーザ識別情報)とをサービス提供装置200に送信する。
【0019】
なお、本実施形態で使用する暗号化鍵141の暗号化方式は、検索可能暗号方式(例えば、吉野他,“DB向け検索可能暗号方式の検討(2)”,SCIS 2011,IEICE,1月(2011年)参照)を用いることを想定している。この検索可能暗号方式は、平文と暗号文とが1対多の関係で暗号化するものである。したがって、端末100Aは、暗号化鍵141を用いて、暗号化処理ごとにユーザIDを異なった暗号化ユーザIDとして生成することができる。なお、この検索可能暗号方式は、暗号化ユーザID同士をマッチングすることによって、同じユーザIDから生成されたもの(ユーザIDが一致するもの)か否かが判定可能となっている。
【0020】
また、サービス提供装置200は、端末100Aから受信した暗号化ユーザIDおよびパスワードを、認証装置300に送信する。認証装置300は、受信した暗号化ユーザIDおよびパスワードを、記憶部320のリポジトリ321(図5参照)に記憶する。
【0021】
次に、ユーザが、端末100Aを介して、ユーザ情報(例えば、ユーザID、氏名、性別、年齢、住所等)をサービス提供装置200に送信する。サービス提供装置200は、受信したユーザ情報および暗号化ユーザIDを、ユーザ情報DB222(図3参照)に記憶する。
【0022】
そして、ユーザ登録終了後に、改めてサービス提供装置200にサービス処理を要求する場合には、端末100Aは、入力されたユーザIDに対して暗号化鍵141を用いて前回(ユーザ登録時)とは異なる暗号化ユーザIDを生成し、入力されたパスワードとともにサービス提供装置200に送信する。すなわち、端末100Aから送信される暗号化ユーザIDは、暗号化処理ごとに異なっている。
【0023】
そして、サービス提供装置200は、端末100Aから受信した暗号化ユーザIDおよびパスワードを認証装置300に送信する。認証装置300は、リポジトリ321(図5参照)に既に記憶されている暗号化ユーザIDと受信した暗号化ユーザIDとのマッチングを行って、一致すると判定した暗号化ユーザIDに関連付けられたパスワードを抽出する。そして、認証装置300は、抽出したパスワードと受信したパスワードとを照合して、その照合結果を認証結果として認証ログ322(図6参照)に記憶するとともに、認証結果をサービス提供装置200に送信する。なお、認証ログ322は、暗号化ユーザIDを含むログを記憶している。
【0024】
次に、サービス提供装置200は、認証装置300から受信した認証結果が認証成功を示すものであればサービス処理を実行する。また、サービス提供装置200は、認証結果が認証失敗を示すものであれば、サービス処理を実行しない。また、サービス提供装置200は、暗号化ユーザIDを含むログをシステムログ223(図4参照)に記憶する。
【0025】
前記したように、サービス提供装置200および認証装置300に記憶されるログ情報は、同じユーザIDに対して、異なる暗号化ユーザIDを用いている。そのため、本実施形態における情報システム1は、特定のユーザに関するログの名寄せを防止でき、情報システム1を利用するユーザに関するプライバシ情報の顕在化を防止することが可能となる。
【0026】
以降では、情報システム1を構成する各装置の機能例の詳細について、図1〜6を用いて説明する。
【0027】
(端末の機能)
端末100は、図示しないCPU(Central Processing Unit)およびメインメモリによって種々の処理を実行する処理部110、アプリケーションプログラム等を記憶する記憶部140、入力部120、および通信部130を備えている。
【0028】
処理部110は、記憶部140に記憶されているアプリケーションプログラムをメインメモリに展開して、暗号化処理部111を具現化するものである。また、処理部110は、入力部120、通信部130、記憶部140との間の情報の送受信の制御を司る。
暗号化処理部111は、ユーザによって入力部120を介して入力されたユーザIDを、記憶部140に記憶している暗号化鍵141を用いて暗号化するものである。
【0029】
入力部120は、ユーザによって操作されるキーボードやマウス等が接続されるインタフェースであって、インタフェースを介して入力される情報を受け付けるものである。
通信部130は、通信インタフェースであって、ネットワーク400に情報を送出するとともに、ネットワーク400から種々の情報を受信するものである。
【0030】
記憶部140は、ハードディスク等の記憶媒体であって、アプリケーションプログラムや暗号化鍵141を記憶している。暗号化鍵141は、端末100とサービス提供装置200との間で共有され、ユーザ登録時に、サービス提供装置200から配布される。
【0031】
(サービス提供装置の機能)
サービス提供装置200は、図示しないCPUおよびメインメモリによって種々の処理を実行する処理部210、アプリケーションプログラム等を記憶する記憶部220、および通信部230を備えている。サービス提供装置200は、端末100からサービス要求を受け付け、認証装置300の認証結果に基づいて、サービス処理を実行する。
【0032】
記憶部220は、暗号化鍵DB221、ユーザ情報DB222、およびシステムログ223を記憶している。
暗号化鍵DB221は、サービス処理部212によってその情報の登録や更新が行われ、図2に示すように、ユーザIDと暗号化鍵とを関連付けて記憶している。ユーザIDおよび暗号化鍵は、ユーザがユーザ登録の要求をしてきたユーザ登録時に、サービス処理部212によって配布されるものである。つまり、ユーザIDおよび暗号化鍵141は、端末100とサービス提供装置200との間で共有される。
【0033】
ユーザ情報DB222は、ユーザ情報の登録時にユーザが登録したユーザに関する情報である。例えば、図3に示すように、ユーザ情報DB222は、サービス処理部212によってその情報の登録や更新が行われ、暗号化ユーザID、性別、年齢、住所、および連携先システムIDを関連付けて記憶している。ここで、暗号化ユーザIDは、ユーザ情報の登録時に端末100から受信したものである。また、連携先システムIDは、同じ暗号化鍵を用いて認証が行える複数のシステムの識別情報(システム1〜4)を表している。そして、図3の表の最も右側の欄は、ユーザがそのシステムに登録した名前である。ただし、n/aは、登録がないことを表している。
【0034】
システムログ223は、サービス提供装置200がユーザに対して実行した処理内容に関するログを記憶している。図4に示すように、例えば、システムログ223は、サービス処理部212によってその情報の登録や更新が行われ、暗号化ユーザID、アクセスした時刻、および処理内容を関連付けて記憶している。なお、図4は、同一のユーザIDに対応する暗号化ユーザIDをピックアップして表している。つまり、暗号化ユーザIDを見ただけでは、同一のユーザIDであることは分からないようになっている。
【0035】
処理部210は、記憶部220に記憶されているアプリケーションプログラムをメインメモリに展開して、ログ検索部211およびサービス処理部212を具現化するものである。また、処理部210は、記憶部220や通信部230との間での情報の送受信制御を司る。
【0036】
ログ検索部211は、サービス提供装置200の管理者が特定のユーザ(特定のユーザID)についてログを収集するための検索処理を実行するものである。ログ検索部211は、検索するユーザIDの入力を受信し、暗号化鍵DB221(図2参照)を参照して、当該ユーザIDに関連付けられた暗号化鍵を抽出し、その暗号化鍵を用いてユーザIDを暗号化した暗号化ユーザIDにマッチングする(に一致すると判定した)暗号化ユーザIDを含むログ情報を、システムログ223から収集する。
【0037】
サービス処理部212は、ユーザ登録時に端末100からのアクセスを受け付け、ユーザIDや暗号化鍵の配布、暗号化鍵DB221、ユーザ情報DB222、およびシステム
ログ223の情報の登録・更新を行うものである。また、サービス処理部212は、端末100から受信した暗号化ユーザIDおよびパスワードを認証装置300に送信し、認証装置300から認証結果を受信し、その認証結果に基づいて、サービス処理を実行する。具体的には、サービス処理部212は、認証成功であれば、ユーザ登録時に登録されているサービス処理を実行し、認証失敗であれば、サービス処理を実行せずにエラー(警告)メッセージを端末100Aに送信する。また、サービス処理部212は、サービス提供装置200における処理内容をシステムログ223に記憶する。
【0038】
通信部230は、通信インタフェースであって、ネットワーク400に情報を送出するとともに、ネットワーク400から種々の情報を受信するものである。
【0039】
(認証装置の機能)
認証装置300は、図示しないCPUおよびメインメモリによって種々の処理を実行する処理部310、アプリケーションプログラム等を記憶する記憶部320、および通信部330を備えている。認証装置300は、サービス提供装置200からの暗号化ユーザIDおよびパスワードを受信し、認証処理を行って、その認証結果をサービス提供装置200に送信する。
【0040】
記憶部320は、リポジトリ321および認証ログ322を記憶している。
リポジトリ321は、図5に示すように、ユーザ登録時に、サービス提供装置200を介して端末100から送信されてきた暗号化ユーザIDおよびパスワードを関連付けて記憶している。リポジトリ321は、認証処理部311によって、その情報の登録や更新が行われる。
【0041】
認証ログ322は、ユーザの認証処理を実行したときの認証結果をログとして記憶している。例えば、認証ログ322は、図6に示すように、暗号化ユーザID、認証処理を行った時刻、認証結果を関連付けて記憶している。認証ログ322は、認証処理部311によって、その情報の登録や更新が行われる。
【0042】
処理部310は、記憶部320に記憶されているアプリケーションプログラムをメインメモリに展開して、認証処理部311、ID検索部312、および認証情報検証部313を具現化するものである。また、処理部310は、記憶部320や通信部330との間での情報の送受信制御を司る。
【0043】
認証処理部311は、サービス提供装置200から受信した暗号化ユーザIDを、ID検索部312に送信し、ID検索部312によって抽出された当該暗号化ユーザIDに関連付けられたパスワードを受信するものである。次に、認証処理部311は、ID検索部312が抽出したパスワードを認証情報検証部313に送信し、ID検索部312が抽出したパスワードと端末100から受信したパスワードとを照合した照合結果を認証情報検証部313から受信する。そして、認証処理部311は、受信した照合結果に基づいて認証成功または認証失敗を判定し、その判定結果を認証結果としてサービス提供装置200に送信する。
【0044】
ID検索部312は、認証処理部311から受信した暗号化ユーザIDとリポジトリ321(図5参照)に記憶されている暗号化ユーザIDとのマッチングを実行し、マッチングした(一致すると判定した)暗号化ユーザIDに関連付けられたパスワードを抽出し、その抽出したパスワードを、認証処理部311に送信するものである。
【0045】
認証情報検証部313は、ID検索部312が抽出したパスワードと、端末100から受信したパスワードとを照合し、その照合結果を認証処理部311に送信するものである。
また、通信部330は、通信インタフェースであって、ネットワーク400に情報を送出するとともに、ネットワーク400から種々の情報を受信するものである。
【0046】
(情報システムの処理シーケンス)
次に、端末100、サービス提供装置200、および認証装置300の間で実行される処理シーケンス例について、図7を用いて説明する(適宜、図1〜6参照)。
【0047】
まず、ユーザ登録時における処理シーケンスとして、ステップS701〜S707について、一例として、ユーザID:200のユーザの場合で説明する。なお、ユーザID(ユーザID:200)と暗号化鍵141(暗号化鍵:skdiajem)が既に端末100およびサービス提供装置200との間で共有されていて、図2に示す暗号化鍵DB221への登録も終了しているものとする。
【0048】
ステップS701では、端末100の暗号化処理部111は、ユーザID:200を暗号化した暗号化ユーザID(8akmeiajs)およびパスワード(m2ai$qs3)をサービス提供装置200に送信する。
ステップS702では、サービス提供装置200のサービス処理部212は、受信した暗号化ユーザID(8akmeiajs)およびパスワード(m2ai$qs3)を、認証装置300に送信する。
【0049】
ステップS703では、認証装置300の認証処理部311は、受信した暗号化ユーザID(8akmeiajs)およびパスワード(m2ai$qs3)をリポジトリ321に記憶する。
ステップS704では、認証装置300の認証処理部311は、リポジトリ321への記憶が終了したことを示す登録済の通知をサービス提供装置200に送信する。
【0050】
ステップS705では、サービス提供装置200のサービス処理部212は、登録済の通知を受信した後、ユーザ情報の入力を促すユーザ情報入力指示を端末100に送信する。
ステップS706では、端末100の処理部110は、入力部120を介して受け付けたユーザ情報をサービス提供装置200に送信する。
【0051】
ステップS707では、サービス提供装置200のサービス処理部212は、受信したユーザ情報をユーザ情報DB222に記憶する。また、サービス処理部212は、システムログ223(図4参照)にログ(暗号化ユーザID:8akmeiajs、時刻:2011/01/09 12:34、処理内容:ユーザ登録成功)を記憶する。
なお、ステップS707より後の処理については図示を省略しているが、サービス提供装置200のサービス処理部212が、登録終了の通知を端末100に送信して、処理を終了する。
【0052】
次に、ユーザ登録終了後に、改めてユーザID:200のユーザがサービス提供装置200にアクセスした時(1回目のサービス要求時)の処理シーケンスとして、ステップS710〜S718について、説明する。
【0053】
ステップS710では、端末100の暗号化処理部111は、ユーザID:200を暗号化した暗号化ユーザID(oke;03ld)およびパスワード(m2ai$qs3)をサービス提供装置200に送信する。
ステップS711では、サービス提供装置200のサービス処理部212は、受信した暗号化ユーザID(oke;03ld)およびパスワード(m2ai$qs3)を、認証装置300に送信する。そして、認証装置300の認証処理部311は、サービス提供装置200から受信した暗号化ユーザID(oke;03ld)を、ID検索部312に送信する。
【0054】
ステップS712では、認証装置300のID検索部312は、認証処理部311から受信した暗号化ユーザID(oke;03ld)と、リポジトリ321に記憶している暗号化ユーザIDとのマッチングを行う。
ステップS713では、認証装置300のID検索部312は、リポジトリ321(図5参照)を参照して、そのマッチングした暗号化ユーザID(8akmeiajs)に関連付けられたパスワード(m2ai$qs3)を抽出する。そして、ID検索部312は、抽出したパスワードを認証処理部311に送信する。また、認証装置300の認証処理部311は、ID検索部312が抽出したパスワードおよび端末100から受信したパスワードを認証情報検証部313に送信する。
【0055】
ステップS714では、認証情報検証部313は、ID検索部312が抽出したパスワードと、端末100から受信したパスワード(m2ai$qs3)とを照合する。そして、認証情報検証部313は、ID検索部312が抽出したパスワードと端末100から受信したパスワード(m2ai$qs3)とが一致していれば、照合一致を示す照合結果を認証処理部311に送信する。また、認証情報検証部313は、ID検索部312が抽出したパスワードと端末100から受信したパスワード(m2ai$qs3)とが一致していなければ、照合不一致を示す照合結果を認証処理部311に送信する。
【0056】
ステップS715では、認証装置300の認証処理部311は、照合一致を示す照合結果を受信した場合、認証成功であることを示す認証結果をサービス提供装置200に送信する。なお、図示していないが、認証処理部311は、照合不一致を示す照合結果を受信した場合、認証失敗であることを示す認証結果をサービス提供装置200に送信する。
【0057】
ステップS716では、サービス提供装置200のサービス処理部212は、端末100に対してサービス提供(例えば、閲覧や修正等のサービス処理)を行う。
なお、ステップS717では、認証装置300の認証処理部311は、ログ(暗号化ユーザID:oke;03ld、時刻:2011/01/10 15:34、認証結果:認証成功)を認証ログ322(図6参照)に記憶する。
また、ステップS718では、サービス提供装置200のサービス処理部212は、システムログ223(図4参照)に処理内容のログ(暗号化ユーザID:oke;03ld、時刻:2011/01/10 15:36、処理内容:〇〇閲覧)(暗号化ユーザID:oke;03ld、時刻:2011/01/10 15:39、処理内容:〇×修正)を記憶する。
【0058】
なお、ステップS718より後の処理については図示を省略しているが、サービス提供装置200のサービス処理部212が、サービス終了の通知を端末100に送信して、処理を終了する。
【0059】
1回目のサービス要求が終了した後、ユーザID:200のユーザが改めてサービス提供装置200にアクセスした時(2回目のサービス要求時)の処理シーケンスは、図示を省略するが、端末100から送信される暗号化ユーザIDが、例えば1回目のときとは異なって「1,eimae,」となる以外は、ステップS710〜S718の処理と同様である。
そして、システムログ223(図4参照)には、処理内容のログとして(暗号化ユーザID:1,eimae,、時刻:2011/01/11 16:35、処理内容:〇△連携)が記憶される。また、認証ログ322(図6参照)には、ログとして(暗号化ユーザID:1,eimae,、時刻:2011/01/11 16:34、認証結果:認証成功)が記憶される。
【0060】
(変形例)
本実施形態の変形例の情報処理装置500の構成について、図8を用いて説明する。
図8に示すように、情報処理装置500は、図1に示したサービス提供装置200の各部をサービス提供部201(破線)とし、認証装置300の各部を認証部301(破線)として、サービス提供装置200の機能と認証装置300の機能とを併合して一つの装置を構成した状態を表している。なお、変形例において、図1と同じ機能を備えるブロックには同じ符号を付し、説明を省略する。
【0061】
以上、本実施形態における情報システム1は、端末100とサービス提供装置200とに共通の暗号化鍵141とユーザIDとを記憶している。なお、暗号化鍵141の暗号化方式は、平文と暗号文とを1対多の関係で暗号化する検索可能暗号方式である。端末100は、サービス提供装置200にアクセスするとき、ユーザIDを暗号化鍵141によって暗号化した暗号化ユーザIDとパスワードとを送信する。暗号化ユーザIDは、暗号化処理ごとに異なる。サービス提供装置200は、暗号化ユーザIDに対して、認証装置300を用いて認証を行うとともに、ユーザIDの代わりに暗号化ユーザIDを用いてログを記憶する。また、認証装置300は、ユーザIDの代わりに暗号化ユーザIDを用いてログを記憶する。したがって、情報システム1を構成するサービス提供装置200および認証装置300は、端末100において暗号化処理を実行するごとに異なる暗号化ユーザIDをそのまま用いているので、特定のユーザに関するログの収集を防止できる、すなわち、情報システム1を利用するユーザに関するプライバシ情報の顕在化を防止することが可能となる。また、変形例の情報処理装置500は、サービス提供装置200および認証装置300それぞれの機能を併合したものであるので、情報システム1と同様の効果を有する。
【0062】
なお、サービス提供装置200の管理者が、サービス提供装置200の維持管理のために、特定のユーザIDに関してログの検索を行う場合には、ログ検索部211は、管理者の入力したユーザIDを受信して、そのユーザIDにマッチングする暗号化ユーザIDに対応するログ情報を収集する。なお、ログの検索に用いる検索鍵は、検索の安全性向上のため、図2の暗号化鍵DB221に記憶されている暗号鍵とは異なるものであっても構わない。
【0063】
例えば、図2の暗号化鍵DB221のユーザID:200のユーザについての情報を検索する場合、暗号化ユーザIDが、図3のユーザ情報DB222では「74kdrhak」、図4のシステムログ223では「8akmeiajs」、「oke;03ld」、「1,eimae,」、図5のリポジトリ321では「8akmeiajs」、図6に示す認証ログ322では「oke;03ld」、「1,eimae,」であり、それらの暗号化ユーザIDに関連付けられたログ情報が収集できる。
【0064】
また、本実施形態では、端末100から暗号化ユーザIDとパスワードとを送信する場合で説明したが、パスワードの代わりに、生体認証用の情報であっても構わない。
【0065】
また、本実施形態では、ユーザ登録時にサービス提供装置200から暗号化鍵を送信する場合で説明したが、他の方法(例えば、端末100から送信する場合や、端末100及びサービス提供装置200で同じものを生成する等)を用いて共有しても構わない。
【符号の説明】
【0066】
1,1a 情報システム
100(100A,100B) 端末
110,210,210a,310 処理部
111 暗号化処理部
140,220,220a,320 記憶部
141 暗号化鍵
200 サービス提供装置
201 サービス提供部
211 ログ検索部
212 サービス処理部
221 暗号化鍵DB
222 ユーザ情報DB
223 システムログ
300 認証装置
301 認証部
311 認証処理部
312 ID検索部
313 認証情報検証部
321 リポジトリ
322 認証ログ
500 情報処理装置
【特許請求の範囲】
【請求項1】
ユーザを識別する第1のユーザ識別情報を、平文と暗号文とを1対多の関係で暗号化する暗号化方式の暗号化鍵を用いて暗号化した暗号化ユーザ識別情報と、前記ユーザを識別する第2のユーザ識別情報と、を関連付けて登録したリポジトリ情報を記憶している記憶部と、
前記暗号化鍵を用いて暗号化処理ごとに異なるように暗号化された前記暗号化ユーザ識別情報と、前記第2のユーザ識別情報とを受信する通信部と、
前記リポジトリ情報に登録されている前記暗号化ユーザ識別情報の中から、前記通信部が受信した前記暗号化ユーザ識別情報に一致すると判定される前記暗号化ユーザ識別情報を抽出し、その抽出した前記暗号化ユーザ識別情報に関連付けられている前記第2のユーザ識別情報を抽出するID検索部と、
前記ID検索部が抽出した前記第2のユーザ識別情報と、前記通信部が受信した前記第2のユーザ識別情報とを比較して、双方が一致するか不一致かを照合する認証情報検証部と、
前記照合結果が不一致を示す場合、認証結果として認証失敗と判定する認証処理部と、
を備えることを特徴とする認証装置。
【請求項2】
前記認証処理部は、前記認証結果と前記暗号化ユーザ識別情報とを関連付けてログを記憶すること
を特徴とする請求項1に記載の認証装置。
【請求項3】
請求項1に記載の認証装置と
その認証装置と通信可能に接続され、
前記ユーザの使用する端末から前記暗号化鍵を用いて暗号化処理ごとに異なるように暗号化された前記第1のユーザ識別情報を示す前記暗号化ユーザ識別情報と、前記第2のユーザ識別情報とを受信する第2の通信部と、
前記第2の通信部が受信した前記暗号化ユーザ識別情報および前記第2のユーザ識別情報を前記認証装置に送信し、前記認証装置から前記認証結果を取得し、前記認証結果に対応する処理を実行するとともに、前記暗号化ユーザ識別情報を含む処理内容のログを記憶するサービス処理部と
を備える情報処理装置と、
で構成されることを特徴とする情報システム。
【請求項4】
ユーザの認証処理を実行する認証装置における認証方法であって、
前記認証装置は、
ユーザを識別する第1のユーザ識別情報を、平文と暗号文とを1対多の関係で暗号化する暗号化方式の暗号化鍵を用いて暗号化した暗号化ユーザ識別情報と、前記ユーザを識別する第2のユーザ識別情報と、を関連付けて登録したリポジトリ情報を記憶している記憶部を備え、
前記暗号化鍵を用いて暗号化処理ごとに異なるように暗号化された前記暗号化ユーザ識別情報と、前記第2のユーザ識別情報とを受信する通信ステップと、
前記リポジトリ情報に登録されている前記暗号化ユーザ識別情報の中から、前記通信ステップで受信した前記暗号化ユーザ識別情報に一致すると判定される前記暗号化ユーザ識別情報を抽出し、その抽出した前記暗号化ユーザ識別情報に関連付けられている前記第2のユーザ識別情報を抽出するID検索ステップと、
前記ID検索ステップで抽出した前記第2のユーザ識別情報と、前記通信ステップで受信した前記第2のユーザ識別情報とを比較して、双方が一致するか不一致かを照合する認証情報検証ステップと、
前記照合結果が不一致を示す場合認証結果として認証失敗と判定する認証処理ステップと、
を実行することを特徴とする認証方法。
【請求項5】
前記認証処理ステップでは、前記認証結果と前記暗号化ユーザ識別情報とを関連付けてログを記憶すること
を特徴とする請求項4に記載の認証方法。
【請求項1】
ユーザを識別する第1のユーザ識別情報を、平文と暗号文とを1対多の関係で暗号化する暗号化方式の暗号化鍵を用いて暗号化した暗号化ユーザ識別情報と、前記ユーザを識別する第2のユーザ識別情報と、を関連付けて登録したリポジトリ情報を記憶している記憶部と、
前記暗号化鍵を用いて暗号化処理ごとに異なるように暗号化された前記暗号化ユーザ識別情報と、前記第2のユーザ識別情報とを受信する通信部と、
前記リポジトリ情報に登録されている前記暗号化ユーザ識別情報の中から、前記通信部が受信した前記暗号化ユーザ識別情報に一致すると判定される前記暗号化ユーザ識別情報を抽出し、その抽出した前記暗号化ユーザ識別情報に関連付けられている前記第2のユーザ識別情報を抽出するID検索部と、
前記ID検索部が抽出した前記第2のユーザ識別情報と、前記通信部が受信した前記第2のユーザ識別情報とを比較して、双方が一致するか不一致かを照合する認証情報検証部と、
前記照合結果が不一致を示す場合、認証結果として認証失敗と判定する認証処理部と、
を備えることを特徴とする認証装置。
【請求項2】
前記認証処理部は、前記認証結果と前記暗号化ユーザ識別情報とを関連付けてログを記憶すること
を特徴とする請求項1に記載の認証装置。
【請求項3】
請求項1に記載の認証装置と
その認証装置と通信可能に接続され、
前記ユーザの使用する端末から前記暗号化鍵を用いて暗号化処理ごとに異なるように暗号化された前記第1のユーザ識別情報を示す前記暗号化ユーザ識別情報と、前記第2のユーザ識別情報とを受信する第2の通信部と、
前記第2の通信部が受信した前記暗号化ユーザ識別情報および前記第2のユーザ識別情報を前記認証装置に送信し、前記認証装置から前記認証結果を取得し、前記認証結果に対応する処理を実行するとともに、前記暗号化ユーザ識別情報を含む処理内容のログを記憶するサービス処理部と
を備える情報処理装置と、
で構成されることを特徴とする情報システム。
【請求項4】
ユーザの認証処理を実行する認証装置における認証方法であって、
前記認証装置は、
ユーザを識別する第1のユーザ識別情報を、平文と暗号文とを1対多の関係で暗号化する暗号化方式の暗号化鍵を用いて暗号化した暗号化ユーザ識別情報と、前記ユーザを識別する第2のユーザ識別情報と、を関連付けて登録したリポジトリ情報を記憶している記憶部を備え、
前記暗号化鍵を用いて暗号化処理ごとに異なるように暗号化された前記暗号化ユーザ識別情報と、前記第2のユーザ識別情報とを受信する通信ステップと、
前記リポジトリ情報に登録されている前記暗号化ユーザ識別情報の中から、前記通信ステップで受信した前記暗号化ユーザ識別情報に一致すると判定される前記暗号化ユーザ識別情報を抽出し、その抽出した前記暗号化ユーザ識別情報に関連付けられている前記第2のユーザ識別情報を抽出するID検索ステップと、
前記ID検索ステップで抽出した前記第2のユーザ識別情報と、前記通信ステップで受信した前記第2のユーザ識別情報とを比較して、双方が一致するか不一致かを照合する認証情報検証ステップと、
前記照合結果が不一致を示す場合認証結果として認証失敗と判定する認証処理ステップと、
を実行することを特徴とする認証方法。
【請求項5】
前記認証処理ステップでは、前記認証結果と前記暗号化ユーザ識別情報とを関連付けてログを記憶すること
を特徴とする請求項4に記載の認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−244284(P2012−244284A)
【公開日】平成24年12月10日(2012.12.10)
【国際特許分類】
【出願番号】特願2011−110310(P2011−110310)
【出願日】平成23年5月17日(2011.5.17)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成22年度 総務省「大規模仮想化サーバ環境における情報セキュリティ対策技術の研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成24年12月10日(2012.12.10)
【国際特許分類】
【出願日】平成23年5月17日(2011.5.17)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成22年度 総務省「大規模仮想化サーバ環境における情報セキュリティ対策技術の研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]