JP6960874B2 - Management device, specific program, specific method, management system - Google Patents
Management device, specific program, specific method, management system Download PDFInfo
- Publication number
- JP6960874B2 JP6960874B2 JP2018052973A JP2018052973A JP6960874B2 JP 6960874 B2 JP6960874 B2 JP 6960874B2 JP 2018052973 A JP2018052973 A JP 2018052973A JP 2018052973 A JP2018052973 A JP 2018052973A JP 6960874 B2 JP6960874 B2 JP 6960874B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- group
- affiliation
- user
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、ネットワーク上のリソースに対するアクセスを制御する管理装置、特定プログラム、特定方法、管理システムに関する。 The present invention relates to a management device, a specific program, a specific method, and a management system that control access to resources on a network.
従来、ネットワーク上のリソースに対してアクセスを要求したユーザの所属先を特定する装置が知られている。特許文献1には、予め記憶された組織情報に基づいて、アクセスを要求したユーザの所属先を特定する技術が記載されている。 Conventionally, a device for identifying the affiliation of a user who has requested access to a resource on a network has been known. Patent Document 1 describes a technique for identifying the affiliation of a user who has requested access based on the organization information stored in advance.
一般的に、アクセス権限が設定されたリソースを管理する装置は、企業の組織構造に対応させた組織情報と、当該組織情報に紐付く組織ごとの権限情報とを記憶している。この場合において、特許文献1のような技術においては、アクセス権限の付与対象ごとに、企業の組織構造に対応させた組織情報を作成しなければならず、組織構造が大規模である程、組織情報を管理する負担が大きかった。 Generally, the device that manages the resource for which the access authority is set stores the organizational information corresponding to the organizational structure of the company and the authority information for each organization associated with the organizational information. In this case, in a technology such as Patent Document 1, it is necessary to create organizational information corresponding to the organizational structure of a company for each object to which access authority is granted, and the larger the organizational structure, the more the organization. The burden of managing information was heavy.
そこで、本発明はこれらの点に鑑みてなされたものであり、組織情報を管理する負担を軽減することができる管理装置、特定プログラム、特定方法、及び管理システムを提供することを目的とする。 Therefore, the present invention has been made in view of these points, and an object of the present invention is to provide a management device, a specific program, a specific method, and a management system capable of reducing the burden of managing organizational information.
本発明の第1の態様に係る管理装置は、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を取得する取得部と、前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定する特定部と、を有する。 The management device according to the first aspect of the present invention provides an electronic certificate including a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the groups and users. It has an acquisition unit to be acquired and a specific unit that specifies the hierarchical structure of the group to which the user belongs based on the digital certificate.
前記特定部は、前記電子証明書に電子署名がされていることを条件として、前記ユーザが所属する前記集団の階層構造を特定してもよい。
前記特定部は、前記電子署名の署名元が、前記電子証明書が示す前記集団を管理する管理者であることを条件として、前記ユーザが所属する前記集団の階層構造を特定してもよい。
The specific unit may specify the hierarchical structure of the group to which the user belongs, provided that the digital certificate is digitally signed.
The specific unit may specify the hierarchical structure of the group to which the user belongs, provided that the signature source of the electronic signature is the administrator who manages the group indicated by the digital certificate.
前記管理装置は、前記ユーザが利用するリソースを記憶する記憶部と、前記ユーザが所属する前記集団の階層構造に、前記リソースに対するアクセスが許可された前記集団が含まれていることを条件として、前記リソースに対するアクセスを許可する判定部と、をさらに有してもよい。 The management device is provided on the condition that the storage unit that stores the resources used by the user and the group to which the user belongs includes the group to which access to the resource is permitted. It may further have a determination unit that permits access to the resource.
前記判定部は、前記ユーザが所属する前記集団が、前記リソースに対するアクセスが許可された前記集団から所定の階層以内であることを条件として、アクセスを許可してもよい。
前記特定部は、前記電子証明書が、有効ではない前記電子証明書であることを示す失効情報に含まれていないことを条件として、前記ユーザが所属する前記集団の階層構造を特定してもよい。
The determination unit may permit access on condition that the group to which the user belongs is within a predetermined hierarchy from the group to which access to the resource is permitted.
The specific unit may specify the hierarchical structure of the group to which the user belongs, provided that the digital certificate is not included in the revocation information indicating that the digital certificate is not valid. good.
本発明の第2の態様に係る端末は、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成する証明書生成部と、前記電子証明書をユーザに付与する証明書付与部と、を有する。 The terminal according to the second aspect of the present invention generates an electronic certificate including a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the groups and users. It has a certificate generation unit to be used, and a certificate granting unit to give the digital certificate to the user.
前記証明書付与部は、電子署名がされた前記電子証明書を前記ユーザに付与してもよい。
前記電子証明書は、集団の管理者を証明する管理者証明書を含み、前記証明書生成部は、前記管理者証明書に対応する前記集団所属証明書と、前記管理者証明書に対応する前記ユーザ所属証明書とを含む電子証明書を生成してもよい。
The certificate granting unit may grant the user an electronically signed digital certificate.
The digital certificate includes an administrator certificate certifying the administrator of the group, and the certificate generator corresponds to the group affiliation certificate corresponding to the administrator certificate and the administrator certificate. An electronic certificate including the user affiliation certificate may be generated.
本発明の第3の態様に係る特定プログラムは、コンピュータを、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を取得する取得部、及び前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定する特定部、として機能させる。 The specific program according to the third aspect of the present invention is an electronic computer including a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the groups and users. It functions as an acquisition unit for acquiring a certificate and a specific unit for specifying the hierarchical structure of the group to which the user belongs based on the electronic certificate.
本発明の第4の態様に係る特定方法は、コンピュータが実行する、複数の集団間における所属関係を証明する集団所属証明書と、前記集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を取得するステップと、前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定するステップと、を有する。 The specific method according to the fourth aspect of the present invention includes a group affiliation certificate that certifies the affiliation relationship between a plurality of groups and a user affiliation certificate that certifies the affiliation relationship between the group and the user, which is executed by a computer. It has a step of acquiring an electronic certificate including the above, and a step of specifying a hierarchical structure of the group to which the user belongs based on the electronic certificate.
本発明の第5の態様に係る付与プログラムは、コンピュータを、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成する証明書生成部、及び前記電子証明書をユーザに付与する証明書付与部、として機能させる。 The granting program according to the fifth aspect of the present invention is an electronic computer including a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the groups and users. It functions as a certificate generation unit that generates a certificate and a certificate granting unit that grants the digital certificate to a user.
本発明の第6の態様に係る付与方法は、コンピュータが実行する、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成するステップと、前記電子証明書をユーザに付与するステップと、を有する。 The granting method according to the sixth aspect of the present invention includes a group affiliation certificate that certifies the affiliation relationship between a plurality of groups and a user affiliation certificate that certifies the affiliation relationship between the groups and users, which is executed by a computer. It has a step of generating a including electronic certificate and a step of granting the electronic certificate to a user.
本発明の第7の態様に係る管理システムは、電子証明書を付与する付与者が使用する付与端末と、電子証明書を付与される被付与者が使用する被付与端末と、リソースを管理する管理装置と、を有する管理システムであって、前記付与端末は、複数の集団間における所属関係を証明する集団所属証明書と、前記集団及び前記被付与者間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成する証明書生成部と、前記電子証明書を前記被付与端末に付与する証明書付与部と、を有し、前記管理装置は、前記被付与端末から、前記集団所属証明書と、前記ユーザ所属証明書とを含む電子証明書を取得する取得部と、前記電子証明書に基づいて、前記被付与者が所属する前記集団の階層構造を特定する特定部と、を有する。 The management system according to the seventh aspect of the present invention manages the granting terminal used by the grantor who grants the digital certificate, the granting terminal used by the grantee who is granted the digital certificate, and resources. A management system having a management device, wherein the granting terminal is a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the group and the grantee. The management device has a certificate generation unit that generates an electronic certificate including a document and a certificate granting unit that grants the digital certificate to the grant terminal, and the management device is said to be from the grant terminal. An acquisition unit that acquires a group affiliation certificate and an electronic certificate including the user affiliation certificate, and a specific unit that specifies the hierarchical structure of the group to which the grantee belongs based on the electronic certificate. Have.
本発明によれば、組織情報を管理する負担を軽減することができるという効果を奏する。 According to the present invention, it is possible to reduce the burden of managing organizational information.
[管理システムSの概要]
図1は、管理システムSの概要を説明するための図である。管理システムSは、複数の集団及びユーザ間の所属関係を証明する電子証明書に基づいて、ネットワーク上のリソースに対するユーザからのアクセスを制御するシステムである。集団は、例えば、企業における組織(本部、部、課、グループ等)、プロジェクトチームにおける組織(プロジェクト、サブプロジェクト等)である。また、集団は、例えば、家族や学校等であってもよい。
[Overview of management system S]
FIG. 1 is a diagram for explaining an outline of the management system S. The management system S is a system that controls access from users to resources on the network based on an electronic certificate that certifies the affiliation relationship between a plurality of groups and users. A group is, for example, an organization in a company (headquarters, department, section, group, etc.), an organization in a project team (project, subproject, etc.). The group may be, for example, a family or a school.
管理システムSは、付与端末1と、被付与端末2と、管理装置3とを有する。付与端末1は、電子証明書を付与する付与者が使用する端末であり、例えばコンピュータである。付与者は、例えば、組織に所属する組織長である。被付与端末2は、電子証明書を付与される被付与者が使用する端末であり、例えばコンピュータである。被付与者は、例えば、組織に所属する従業員である。なお、付与者は、自身に電子証明書を付与することにより被付与者にもなりうる。管理装置3は、リソースを管理する装置であり、例えばサーバである。リソースは、例えば、ユーザが作成したファイル(書類、画像等)、フォルダ等である。 The management system S includes a granting terminal 1, a granting terminal 2, and a management device 3. The granting terminal 1 is a terminal used by a grantor who grants an electronic certificate, for example, a computer. The grantor is, for example, the head of the organization belonging to the organization. The grantee terminal 2 is a terminal used by the grantee who is given the digital certificate, and is, for example, a computer. The grantee is, for example, an employee belonging to the organization. The grantor can also be the grantee by granting the digital certificate to himself / herself. The management device 3 is a device that manages resources, for example, a server. Resources are, for example, user-created files (documents, images, etc.), folders, and the like.
図1においては、サブプロジェクトYが、プロジェクトXに所属し、付与者(例えばプロジェクトXのマネージャー)が使用する付与端末1が、プロジェクトXに所属し、被付与者(例えばサブプロジェクトYのリーダー)が使用する被付与端末2が、サブプロジェクトYに所属し、プロジェクトXが、管理装置3(例えば書類を共有するサーバ)を有することを前提として説明する。この場合、管理装置3には、プロジェクトXに対してアクセスを許可するアクセス権限が設定されている。 In FIG. 1, the subproject Y belongs to the project X, and the grant terminal 1 used by the grantor (for example, the manager of the project X) belongs to the project X and the grantee (for example, the leader of the subproject Y). The description will be made on the premise that the granted terminal 2 used by the project belongs to the subproject Y and the project X has a management device 3 (for example, a server for sharing documents). In this case, the management device 3 is set with an access authority for permitting access to the project X.
はじめに、付与者は、被付与者に電子証明書を発行する。具体的には、付与端末1は、まず、被付与者に付与する電子証明書を生成する(図1の(1))。この場合における電子証明書には、少なくとも、サブプロジェクトYがプロジェクトXに所属することを証明する集団所属証明書、及び被付与者がサブプロジェクトYに所属することを証明するユーザ所属証明書の2種類の電子証明書が含まれている。そして、付与端末1は、生成した電子証明書を被付与端末2に送信することにより、被付与者に対して電子証明書を付与する(図1の(2))。 First, the grantor issues a digital certificate to the grantee. Specifically, the granting terminal 1 first generates an electronic certificate to be granted to the grantee ((1) in FIG. 1). The digital certificate in this case includes at least a group affiliation certificate certifying that subproject Y belongs to project X and a user affiliation certificate certifying that the grantee belongs to subproject Y. Includes a type of digital certificate. Then, the granting terminal 1 grants the digital certificate to the grantee by transmitting the generated digital certificate to the grantee terminal 2 ((2) in FIG. 1).
続いて、電子証明書を付与された被付与者は、管理装置3にアクセスして、書類を閲覧等する操作を行う。この場合、まず、被付与端末2は、管理装置3に管理されている書類に対するアクセスを要求する(図1の(3))。このとき、被付与端末2は、管理装置3にアクセスを要求するとともに、付与端末1から付与された電子証明書を送信する。 Subsequently, the grantee who has been granted the digital certificate accesses the management device 3 and performs an operation such as viewing a document. In this case, first, the granting terminal 2 requests access to the documents managed by the management device 3 ((3) in FIG. 1). At this time, the granting terminal 2 requests access to the management device 3 and transmits the digital certificate granted by the granting terminal 1.
管理装置3は、被付与端末2から送信された電子証明書を取得すると、取得した電子証明書に基づいて、被付与者が所属するサブプロジェクトYの階層構造を特定する(図1の(4))。「サブプロジェクトYの階層構造」は、サブプロジェクトYが属する組織に存在する最上位の階層から最下位の階層までの間に存在する複数の集団のうち、サブプロジェクトYが下位の階層に位置する複数の集団間の上下関係を示す。例えば、最上位階層の集団であるプロジェクトXに所属するサブプロジェクトが複数存在する場合、「プロジェクトX−サブプロジェクトY」が「サブプロジェクトYの階層構造」である。 When the management device 3 acquires the digital certificate transmitted from the grantee terminal 2, the management device 3 identifies the hierarchical structure of the subproject Y to which the grantee belongs based on the acquired digital certificate ((4) in FIG. 1). )). In the "hierarchical structure of subproject Y", subproject Y is located in the lower hierarchy among a plurality of groups existing between the highest hierarchy and the lowest hierarchy existing in the organization to which the subproject Y belongs. Shows the hierarchical relationship between multiple groups. For example, when there are a plurality of subprojects belonging to project X, which is a group of the highest hierarchy, "project X-subproject Y" is "hierarchical structure of subproject Y".
管理装置3は、図1の(4)において特定したサブプロジェクトYの階層構造と、管理装置3に設定されているアクセス権限とに基づいて、被付与端末2に対して、アクセスを許可するか否かを判定する。この場合、管理装置3は、特定したサブプロジェクトYの階層構造に、アクセス権限が示すプロジェクトXが含まれていることから、書類に対するアクセスを許可する(図1の(5))。 Whether the management device 3 permits access to the granted terminal 2 based on the hierarchical structure of the subproject Y specified in (4) of FIG. 1 and the access authority set in the management device 3. Judge whether or not. In this case, since the management device 3 includes the project X indicated by the access authority in the hierarchical structure of the specified subproject Y, the management device 3 permits access to the document ((5) in FIG. 1).
その後、被付与者は、被付与端末2を用いて、管理装置3に管理されている書類を閲覧等する。このように、管理システムSでは、組織の全体構造を管理することなく、あるユーザが別のユーザに付与した、複数の集団及びユーザ間の所属関係を証明する電子証明書に基づいて、アクセスを制御する。これにより管理システムSは、組織情報を管理する負担を軽減できる。
以下、付与端末1、被付与端末2、及び管理装置3の構成について説明する。
After that, the grantee uses the grant terminal 2 to browse the documents managed by the management device 3. In this way, in the management system S, access is performed based on an electronic certificate given by one user to another user to prove the affiliation relationship between a plurality of groups and users without managing the entire structure of the organization. Control. As a result, the management system S can reduce the burden of managing the organization information.
Hereinafter, the configurations of the granting terminal 1, the granting terminal 2, and the management device 3 will be described.
[付与端末1、被付与端末2、及び管理装置3の構成]
図2は、付与端末1、被付与端末2、及び管理装置3の構成を示す図である。付与端末1は、通信部11と、記憶部12と、制御部13とを有する。
通信部11は、ネットワークに接続するためのインターフェイスであり、例えばLANコントローラを含んで構成されている。
[Configuration of Granted Terminal 1, Granted Terminal 2, and Management Device 3]
FIG. 2 is a diagram showing the configurations of the grant terminal 1, the grant terminal 2, and the management device 3. The granting terminal 1 has a
The
記憶部12は、ROM(Read Only Memory)、RAM(Random Access Memory)及びハードディスク等の記憶媒体である。記憶部12は、制御部13が実行するプログラムを記憶している。
制御部13は、例えばCPU(Central Processing Unit)である。制御部13は、記憶部12に記憶されたプログラムを実行することにより、鍵生成部131、証明書生成部132、署名部133、及び証明書付与部134として機能する。
The
The
被付与端末2は、通信部21と、記憶部22と、制御部23とを有する。
通信部21は、ネットワークに接続するためのインターフェイスであり、例えばLANコントローラを含んで構成されている。
The granted terminal 2 has a
The
記憶部22は、ROM、RAM及びハードディスク等の記憶媒体である。記憶部22は、制御部23が実行するプログラムを記憶している。
制御部13は、例えばCPUである。制御部23は、記憶部22に記憶されたプログラムを実行することにより、証明書管理部231及び暗号化部232として機能する。
The
The
管理装置3は、通信部31と、記憶部32と、制御部33とを有する。
通信部31は、ネットワークに接続するためのインターフェイスであり、例えばLANコントローラを含んで構成されている。
The management device 3 has a
The
記憶部32は、ROM、RAM及びハードディスク等の記憶媒体である。記憶部32は、制御部33が実行するプログラムを記憶している。また、記憶部32は、ユーザが利用するリソースを記憶する。
制御部33は、例えばCPUである。制御部33は、記憶部32に記憶されたプログラムを実行することにより、取得部331、特定部332、及び判定部333として機能する。
以下、付与端末1、被付与端末2、及び管理装置3それぞれの制御部が実行する処理について説明する。
The
The
Hereinafter, the processes executed by the control units of the granting terminal 1, the granting terminal 2, and the management device 3 will be described.
[電子証明書を発行する処理(1)]
図3は、付与端末1及び被付与端末2の所属関係と、リソースに設定されたアクセス権限とを模式的に表した図である。図3に示すように、A会社を第1階層とした場合、A会社の直下の階層である第2階層として、B本部がA会社に所属している。また、B本部の直下の階層である第3階層として、C部がB本部に所属している。また、C部の直下の階層である第4階層として、DグループがC部に所属している。
[Process for issuing digital certificate (1)]
FIG. 3 is a diagram schematically showing the affiliation relationship between the grant terminal 1 and the grant terminal 2 and the access authority set for the resource. As shown in FIG. 3, when company A is the first layer, the B headquarters belongs to company A as the second layer, which is the layer directly below company A. In addition, as the third layer, which is the layer directly below the B headquarters, the C department belongs to the B headquarters. In addition, Group D belongs to Department C as the fourth layer, which is the level directly below Department C.
管理装置3には、リソースR1、R2、R3、R4が記憶されている。リソースR1のアクセス権限には、A会社に対してアクセスを許可する設定がされ、リソースR2のアクセス権限には、B本部に対してアクセスを許可する設定がされ、リソースR3のアクセス権限には、C部に対してアクセスを許可する設定がされ、リソースR4のアクセス権限には、Dグループに対してアクセスを許可する設定がされている。リーダーFが使用する端末は、部長Eが使用する付与端末1eから電子証明書を付与される場合に被付与端末2fとなり、メンバーGが使用する2gに電子証明書を付与する場合に付与端末1fとなる。以下、図4、図6、図8、及び図9について、図3に示す所属関係及びアクセス権限に基づいて説明する。 Resources R1, R2, R3, and R4 are stored in the management device 3. The access authority of resource R1 is set to allow access to company A, the access authority of resource R2 is set to allow access to headquarters B, and the access authority of resource R3 is set to allow access. The C part is set to allow access, and the access authority of the resource R4 is set to allow access to the D group. The terminal used by the reader F is the granted terminal 2f when the digital certificate is given by the granting terminal 1e used by the manager E, and the granting terminal 1f when the digital certificate is given to the 2g used by the member G. It becomes. Hereinafter, FIGS. 4, 6, 8 and 9 will be described based on the affiliation relationship and access authority shown in FIG.
図4は、電子証明書を発行する処理の流れの一例を模式的に表した図である。図4においては、部長Eが使用する付与端末1eが、リーダーFが使用する被付与端末2fに電子証明書を付与する流れを示している。リーダーFは、Dグループに所属しており、さらにDグループを管理するためにC部に所属するように電子証明書が付与される。 FIG. 4 is a diagram schematically showing an example of the flow of processing for issuing a digital certificate. FIG. 4 shows a flow in which the granting terminal 1e used by the manager E grants the digital certificate to the granting terminal 2f used by the reader F. Leader F belongs to the D group, and is given an electronic certificate so as to belong to the C department in order to manage the D group.
まず、付与端末1eは、電子証明書に用いる鍵を生成する。具体的には、付与端末1eの鍵生成部131は、電子証明書に用いる秘密鍵及び公開鍵を生成する。秘密鍵は、外部に公開しない鍵であり、公開鍵は、外部に公開する鍵である。鍵生成部131が生成した鍵は、鍵を識別する鍵識別情報を含む。
First, the granting terminal 1e generates a key to be used for the digital certificate. Specifically, the
図4に示す例において、鍵生成部131は、部長E用鍵として、部長E用の秘密鍵及び公開鍵を生成する(図4の(1))。また、鍵生成部131は、C部用鍵として、C部用の秘密鍵及び公開鍵を生成する(図4の(2))。また、鍵生成部131は、リーダーF用鍵として、リーダーF用の秘密鍵及び公開鍵を生成する(図4の(3))。なお、リーダーFが使用する被付与端末2fが、リーダーF用鍵を生成してもよい。この場合、付与端末1eの鍵生成部131は、被付与端末2fによって生成されたリーダーF用鍵のうち、リーダーF用の公開鍵を取得する。
In the example shown in FIG. 4, the
鍵生成部131は、生成した部長E用の公開鍵、C部用の公開鍵、及びリーダーF用の公開鍵を、管理装置3に送信する(図4の(4))。なお、鍵生成部131は、被付与者に電子証明書が付与されるときに、当該電子証明書に関連する各公開鍵を管理装置3に送信してもよい。
The
続いて、付与端末1eは、電子証明書を生成する。具体的には、付与端末1eの証明書生成部132は、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成する。より具体的には、証明書生成部132は、集団の管理者を証明する管理者証明書に対応する集団所属証明書と、当該管理者証明書に対応するユーザ所属証明書とを含む電子証明書を生成する。
Subsequently, the granting terminal 1e generates an electronic certificate. Specifically, the
図4に示す例において、証明書生成部132は、まず、リーダーFがC部に所属することを証明するユーザ所属証明書を生成し(図4の(5))、生成したユーザ所属証明書に対応する管理者証明書として、C部の管理者が部長Eであることを示す管理者証明書を生成する(図4の(6))。管理者証明書は予め生成されてもよい。
In the example shown in FIG. 4, the
図5は、電子証明書の内容を模式的に表した図である。図5(a)は、ユーザ所属証明書の内容を表し、図5(b)は、管理者証明書の内容を表している。図5(a)に示すユーザ所属証明書には、電子証明書の区分を示す「区分」項目と、所属される集団を示す「被従属」項目と、所属するユーザを示す「従属」項目とが含まれる。図5(a)に示す「区分」項目には、当該電子証明書がユーザ所属証明書であることが示されている。図4に示す例において、図5(a)に示すユーザ所属証明書の「被従属」項目には、C部用の公開鍵の鍵識別情報が示され、「従属」項目には、リーダーF用の公開鍵の鍵識別情報が示されている。 FIG. 5 is a diagram schematically showing the contents of the digital certificate. FIG. 5A shows the contents of the user affiliation certificate, and FIG. 5B shows the contents of the administrator certificate. The user affiliation certificate shown in FIG. 5A includes a "classification" item indicating the classification of the digital certificate, a "subordinate" item indicating the group to which the digital certificate belongs, and a "dependent" item indicating the user to which the digital certificate belongs. Is included. The "classification" item shown in FIG. 5A indicates that the digital certificate is a user affiliation certificate. In the example shown in FIG. 4, the "subordinate" item of the user affiliation certificate shown in FIG. 5A shows the key identification information of the public key for the C part, and the "dependent" item is the leader F. The key identification information of the public key for is shown.
図5(b)に示す管理者証明書には、「区分」項目と、管理者を示す「管理者」項目と、管理者が所属する集団を示す「集団」項目とが含まれる。図5(b)に示す「区分」項目には、当該電子証明書が管理者証明書であることが示されている。図4に示す例において、図5(b)に示す管理者証明書の「管理者」項目には、部長E用の公開鍵の鍵識別情報が示され、「集団」項目には、C部用の公開鍵の鍵識別情報が示されている。 The administrator certificate shown in FIG. 5B includes a "classification" item, an "administrator" item indicating an administrator, and a "group" item indicating a group to which the administrator belongs. The "Category" item shown in FIG. 5B indicates that the digital certificate is an administrator certificate. In the example shown in FIG. 4, the "administrator" item of the administrator certificate shown in FIG. 5 (b) shows the key identification information of the public key for the manager E, and the "group" item shows the C part. The key identification information of the public key for is shown.
ここで、管理者証明書に対応するユーザ所属証明書とは、例えば、ユーザ所属証明書に含まれる「被従属」項目に示される鍵識別情報と、管理者証明書に含まれる「集団」項目に示される鍵識別情報とが一致する関係である。証明書生成部132は、ユーザ所属証明書に対して、管理者証明書を識別する証明書識別情報を含めることにより、明示的に管理者証明書を対応付けてもよい。
Here, the user affiliation certificate corresponding to the administrator certificate is, for example, the key identification information shown in the "subordinate" item included in the user affiliation certificate and the "group" item included in the administrator certificate. It is a relationship that matches the key identification information shown in. The
図4に戻り、付与端末1eの署名部133は、生成されたユーザ所属証明書に対して、部長E用の秘密鍵を用いて電子署名を行い、生成された管理者証明書に対して、C部用の秘密鍵を用いて電子署名を行う。ユーザ所属証明書の電子署名には、部長E用の公開鍵の鍵識別情報が含まれ、管理者証明書の電子署名には、C部用の公開鍵の鍵識別情報が含まれている。
Returning to FIG. 4, the
続いて、証明書生成部132は、B本部がA会社に所属すること、及びC部がB本部に所属することを証明する2つの集団所属証明書と、当該2つの集団所属証明書それぞれに対応する2つの管理者証明書とを、付与端末1eの記憶部12から取得する(図4の(7))。このようにして、証明書生成部132は、ユーザ所属証明書と、集団所属証明書と、それぞれの証明書に対応する管理者証明書とを含む電子証明書を生成する。
Subsequently, the
そして、付与端末1eの証明書付与部134は、通信部11を介して、電子署名がされた電子証明書及びリーダーF用鍵(リーダーF用の公開鍵及び秘密鍵)を、被付与端末2fに送信する(図4の(8))。被付与端末2fの証明書管理部231は、付与端末1eから送信された電子証明書及びリーダーF用鍵を取得し、被付与端末2fの記憶部22に記憶させる。このようにして、証明書付与部134は、電子証明書をリーダーFに付与する。
Then, the
[電子証明書を発行する処理(2)]
図6及び図8は、電子証明書を発行する処理の流れの一例を模式的に表した図である。図6及び図8においては、リーダーFが使用する端末が、メンバーGが使用する被付与端末2gに電子証明書を付与する流れを示している。リーダーFが使用する端末は、メンバーGに電子証明書を付与するために、付与端末1fとして機能する。
[Process for issuing digital certificate (2)]
6 and 8 are diagrams schematically showing an example of the flow of processing for issuing a digital certificate. 6 and 8 show a flow in which the terminal used by the reader F grants the digital certificate to the granted
まず、付与端末1fの鍵生成部131は、電子証明書に用いる秘密鍵及び公開鍵を生成する。図6に示す例において、鍵生成部131は、Dグループ用鍵として、Dグループ用の秘密鍵及び公開鍵を生成する(図6の(1))。鍵生成部131は、生成したDグループ用の公開鍵を、通信部11を介して、管理装置3に送信する(図6の(2))。
First, the
また、鍵生成部131は、通信部11を介して、生成したDグループ用の公開鍵を部長Eが使用する付与端末1eに送信する(図6の(3))。鍵生成部131は、例えば、リーダーFがC部に所属することを証明するユーザ所属証明書に対応する、C部の管理者が部長Eであることを証明する管理者証明書に基づいて、生成したDグループ用鍵を付与端末1eに送信する。
Further, the
続いて、部長Eが使用する付与端末1eは、リーダーFに付与する電子証明書を生成する。具体的には、付与端末1eの証明書生成部132は、記憶部12から取得した管理者証明書と、当該管理者証明書に対応する集団所属証明書とを含む電子証明書を生成する。図6に示す例において、証明書生成部132は、DグループがC部に所属することを証明する集団所属証明書を生成する(図6の(4))。
Subsequently, the granting terminal 1e used by the manager E generates an electronic certificate to be granted to the reader F. Specifically, the
図7は、電子証明書の内容を模式的に表した図である。図7(a)は、集団所属証明書の内容を表し、図7(b)は、管理者証明書の内容を表している。図7(a)に示す集団所属証明書には、「区分」項目と、「被従属」項目と、所属する集団を示す「従属」項目とが含まれる。図7(a)に示す「区分」項目には、当該電子証明書が集団所属証明書であることが示されている。図7(a)に示す集団所属証明書の「被従属」項目には、C部用の公開鍵の鍵識別情報が示され、「従属」項目には、Dグループ用の公開鍵の鍵識別情報が示されている。 FIG. 7 is a diagram schematically showing the contents of the digital certificate. FIG. 7A shows the contents of the group affiliation certificate, and FIG. 7B shows the contents of the administrator certificate. The group affiliation certificate shown in FIG. 7A includes a "classification" item, a "subordinate" item, and a "subordinate" item indicating the group to which the group belongs. The "classification" item shown in FIG. 7A indicates that the digital certificate is a group affiliation certificate. The "subordinate" item of the group affiliation certificate shown in FIG. 7A shows the key identification information of the public key for the C part, and the "dependent" item shows the key identification of the public key for the D group. Information is shown.
ここで、管理者証明書に対応する集団所属証明書とは、例えば、集団所属証明書に含まれる「被従属」項目に示される鍵識別情報と、管理者証明書に含まれる「集団」項目に示される鍵識別情報とが一致する関係である。図7(b)に示す管理者証明書の「集団」には、当該管理者証明書に対応する図7(a)に示す集団所属証明書の「被従属」項目に示されている鍵識別情報に一致する、C部用の公開鍵の鍵識別情報が示されている。証明書生成部132は、集団所属証明書に対して、管理者証明書を識別する証明書識別情報を含めることにより、明示的に管理者証明書を対応付けてもよい。
Here, the group affiliation certificate corresponding to the administrator certificate is, for example, the key identification information shown in the "subordinate" item included in the group affiliation certificate and the "group" item included in the administrator certificate. It is a relationship that matches the key identification information shown in. The "group" of the administrator certificate shown in FIG. 7 (b) includes the key identification shown in the "subordinate" item of the group affiliation certificate shown in FIG. 7 (a) corresponding to the administrator certificate. The key identification information of the public key for part C, which matches the information, is shown. The
図6に戻り、付与端末1eの署名部133は、部長E用の秘密鍵を用いて、生成した集団所属証明書に電子署名を行う。電子署名には、部長E用の公開鍵の鍵識別情報が含まれている。付与端末1eの証明書付与部134は、生成した電子証明書を被付与端末2fに送信する(図6の(5))。具体的には、証明書付与部134は、生成された集団所属証明書と、記憶部12から取得された、当該集団所属証明書に対応する管理者証明書とを含む電子証明書を被付与端末2fに送信する。リーダーFが使用する被付与端末2fの証明書管理部231は、付与端末1eから送信された電子証明書を取得し、記憶部22に記憶させる。
Returning to FIG. 6, the
続いて、リーダーFが使用する付与端末1fの鍵生成部131は、メンバーGに付与するメンバーG用鍵として、メンバーG用の秘密鍵及び公開鍵を生成する(図8の(6))。なお、メンバーGが使用する被付与端末2gが、メンバーG用鍵を生成してもよい。付与端末1fの鍵生成部131は、生成したメンバーG用の公開鍵を、通信部11を介して、管理装置3に送信する(図8の(7))。
Subsequently, the
続いて、付与端末1fの証明書生成部132は、メンバーGに付与する電子証明書として、集団所属証明書と、ユーザ所属証明書と、管理者証明書とを生成する。図8に示す例として、証明書生成部132は、まず、メンバーGがDグループに所属することを証明するユーザ所属証明書を生成し(図8の(8))、生成したユーザ所属証明書に対応する管理者証明書として、Dグループの管理者がリーダーFであることを証明する管理者証明書を生成する(図8の(9))。
Subsequently, the
この場合におけるユーザ所属証明書の「被従属」項目には、Dグループ用の公開鍵の鍵識別情報が示され、「従属」項目には、メンバーG用の公開鍵の鍵識別情報が示されている。また、管理者証明書の「管理者」項目には、リーダーF用の公開鍵の鍵識別情報が示され、「集団」項目には、Dグループ用の公開鍵の鍵識別情報が示されている。付与端末1fの署名部133は、リーダーF用の秘密鍵を用いて、生成したユーザ所属証明書に電子署名を行い、Dグループ用の秘密鍵を用いて、管理者証明書に電子署名を行う。ユーザ所属証明書の電子署名には、リーダーF用の公開鍵の鍵識別情報が含まれ、管理者証明書の電子署名には、Dグループ用の公開鍵の鍵識別情報が含まれている。
In this case, the "subordinate" item of the user affiliation certificate shows the key identification information of the public key for the D group, and the "subordinate" item shows the key identification information of the public key for the member G. ing. Further, the "administrator" item of the administrator certificate shows the key identification information of the public key for the leader F, and the "group" item shows the key identification information of the public key for the D group. There is. The
続いて、付与端末1fの証明書生成部132は、B本部がA会社に所属すること、C部がB本部に所属すること、及びDグループがC部に所属することを証明する3つの集団所属証明書と、当該3つの集団所属証明書それぞれに対応する3つの管理者証明書とを、付与端末1fの記憶部12から取得する(図8の(10))。このようにして、証明書生成部132は、ユーザ所属証明書、集団所属証明書、及びそれぞれの証明書に対応する管理者証明書を含む電子証明書を生成する。
Subsequently, the
そして、付与端末1fの証明書付与部134は、通信部11を介して、生成した電子証明書を被付与端末2gに送信する。具体的には、証明書付与部134は、通信部11を介して、電子署名がされた電子証明書及びメンバーG用鍵(メンバーG用の公開鍵及び秘密鍵)を、被付与端末2gに送信する(図8の(11))。被付与端末2gの証明書管理部231は、付与端末1fから送信された電子証明書及びメンバーG用鍵を取得し、被付与端末2gの記憶部22に記憶させる。このようにして、付与端末1fの証明書付与部134は、電子証明書をメンバーGに付与する。
Then, the
[アクセスを制御する処理]
図9は、リソースに対するアクセスを制御する流れの一例を模式的に表した図である。図9においては、管理装置3が、メンバーGが使用する被付与端末2gからのリソースR3(C部にアクセス権限が付与されているリソース)に対するアクセスを制御する流れを示している。この場合における管理装置3は、リソースR3に限らず、リソースR1、R2、R4のいずれであってもよい。
[Process to control access]
FIG. 9 is a diagram schematically showing an example of a flow for controlling access to a resource. FIG. 9 shows a flow in which the management device 3 controls access to the resource R3 (the resource to which the access authority is given to the C unit) from the granted
まず、被付与端末2gは、管理装置3に記憶されているリソースR3に対するアクセスを要求する(図9の(1))。具体的には、被付与端末2gは、証明書管理部231が、記憶部22から取得したユーザ所属証明書、集団所属証明書、及び各証明書に対応する管理者証明書を含む電子証明書を送信するとともに、管理装置3にリソースR3に対するアクセスを要求する。
First, the granted terminal 2g requests access to the resource R3 stored in the management device 3 ((1) in FIG. 9). Specifically, the granted
図9に示す例において、ユーザ所属証明書には、メンバーG及びDグループ間の所属関係が示されており、集団所属証明書には、A会社及びB本部間の所属関係、B本部及びC部間の所属関係、C部及びDグループ間の所属関係がそれぞれ示されている。 In the example shown in FIG. 9, the user affiliation certificate shows the affiliation relationship between the members G and D groups, and the group affiliation certificate shows the affiliation relationship between company A and B headquarters, B headquarters and C. The affiliation relationship between departments and the affiliation relationship between departments C and D are shown respectively.
管理装置3の取得部331は、通信部31を介して、被付与端末2gからのアクセス要求とともに送信された集団所属証明書と、ユーザ所属証明書と、管理者証明書とを含む電子証明書を取得する(図9の(2))。続いて、管理装置3の特定部332は、取得部331が取得した電子証明書に基づいて、ユーザが所属する集団の階層構造を特定する(図9の(3))。具体的には、特定部332は、電子証明書に電子署名がされていることを条件として、ユーザが所属する集団の階層構造を特定する。より具体的には、特定部は、電子署名の署名元が、電子証明書が示す集団を管理する管理者であることを条件として、ユーザが所属する集団の階層構造を特定する。
The
図9に示す例において、特定部332は、ユーザ所属証明書の電子署名が示すリーダーF用の公開鍵の鍵識別情報と、当該ユーザ所属証明書に対応する管理者証明書が示すDグループの管理者であるリーダーF用の公開鍵の鍵識別情報とが一致することを条件として、メンバーGが所属するDグループの階層構造を特定する。この場合における「Dグループの階層構造」は、Dグループが、A会社に属する集団の一つであるB本部の下位階層の集団の一つであるC部に属していることを示し、例えば、「A会社−B本部−C部−Dグループ」のようにDグループの階層構造を特定する。このようにすることで、特定部332は、改ざんされた電子証明書に基づいてリソースにアクセスされることを抑止することができる。
In the example shown in FIG. 9, the
ところで、企業においては、組織改変により組織構造が変わったり、人事異動によりユーザが所属する組織が変わったりする場合がある。そこで、特定部332は、電子証明書が、有効ではない電子証明書であることを示す失効情報に含まれていないことを条件として、ユーザが所属する集団の階層構造を特定してもよい。特定部332は、例えば、失効された電子証明書を管理する不図示の失効情報管理サーバに、ユーザ所属証明書又は集団所属証明書が有効であるか否かを問い合わせ、問い合わせた電子証明書が失効情報に含まれていない旨の通知を受けたことを条件として、ユーザが所属する集団の階層構造を特定してもよい。また、特定部332は、例えば、失効情報管理サーバから失効情報を取得し、取得した失効情報にユーザ所属証明書等が含まれていないか否かを判定してもよい。このようにすることで、特定部332は、有効ではない電子証明書に基づいてユーザが所属する集団の階層構造を特定してしまう事態を防止することができる。
By the way, in a company, the organizational structure may change due to organizational changes, or the organization to which the user belongs may change due to personnel changes. Therefore, the
続いて、管理装置3の判定部333は、特定部332が特定したユーザが所属する集団の階層構造が、リソースに対するアクセスが許可された集団に関連していることを条件として、リソースR3に対するアクセスを許可する。具体的には、判定部333は、ユーザが所属する集団の階層構造に、リソースに対するアクセスが許可された集団が含まれていることを条件として、リソースR3に対するアクセスを許可する。
Subsequently, the
図9に示す例において、判定部333は、まず、アクセスを要求した被付与端末2gに権限があるか否かを判定する(図9の(4))。この場合、判定部333は、メンバーGがDグループに所属し、DグループがC部に所属することを特定した特定情報に、リソースR3に対するアクセスが許可されたC部が含まれるので、被付与端末2gに権限があると判定する。判定部333は、被付与端末2gに権限があると判定すると、確認用文字列を生成し、生成した確認用文字列を被付与端末2gに送信することにより、アクセスを要求した端末が、電子証明書が示すメンバーGが使用する被付与端末2gであることの証明を要求する(図9の(5))。確認用文字列は、ランダムに生成された文字列である。
In the example shown in FIG. 9, the
被付与端末2gの暗号化部232は、記憶部22に記憶されているメンバーG用の秘密鍵を用いて、管理装置3から送信された確認用文字列を暗号化する(図9の(6))。具体的には、暗号化部232は、管理装置3から送信された確認用文字列を、ハッシュ関数を用いてハッシュ値を算出し、記憶部22に記憶されているメンバーG用の秘密鍵を用いて、算出したハッシュ値を暗号化する。暗号化部232は、通信部21を介して、暗号化した確認用文字列を管理装置3に送信することにより、電子証明書が示すメンバーGが使用する被付与端末2gであることを証明する(図9の(7))。
The
管理装置3の判定部333は、被付与端末2gから送信された、暗号化された確認用文字列を確認する(図9の(8))。具体的には、判定部333は、まず、記憶部32に記憶されている、電子証明書に含まれるユーザ所属証明書が示すメンバーG用の公開鍵を用いて、暗号化された確認用文字列を復号し、復号した確認用文字列と、被付与端末2gに送信した確認用文字列とを比較する。より具体的には、判定部333は、復号した確認用文字列であるハッシュ値と、被付与端末2gに送信した確認用文字列を、ハッシュ関数を用いて算出したハッシュ値とが一致するか否かを判定する。
The
そして、判定部333は、復号した確認用文字列と、被付与端末2gに送信した確認用文字列とが一致すると判定した場合に、アクセスを要求した被付与端末2gに対して、リソースR3のアクセスを許可する(図9の(9))。このようにして、管理装置3は、リソースに対するアクセスを制御する。管理装置3は、C部の上位組織にアクセスが許可されたリソースR1、R2に対しても、上述のような処理を行うことによってアクセスを制御する。
Then, when the
ところで、下位の階層に集団が存在する上位の階層の集団に所属するユーザにとって、管理装置3に記憶させたリソースR1、R2を、下位の階層の集団に所属するユーザに見られたくない場合がある。そこで、管理装置3の判定部333は、ユーザが所属する集団が、リソースに対するアクセスが許可された集団から所定の階層以内であることを条件として、アクセスを許可してもよい。具体的には、判定部333は、リソースに対するアクセスが許可された集団からユーザが所属する集団までの所属関係を証明する集団所属証明書の数が、所定の閾値以内であることを条件として、アクセスを許可してもよい。
By the way, a user belonging to a group in a higher hierarchy having a group in a lower hierarchy may not want the resources R1 and R2 stored in the management device 3 to be seen by a user belonging to the group in the lower hierarchy. be. Therefore, the
例えば、図3に示すB本部に対してアクセスが許可されたリソースR2を管理装置3に記憶させたユーザが、当該リソースR2に対するアクセスを許可したB本部から1階層以内とする設定を行い、部長Eが使用する端末が、被付与端末2eとしてリソースR2に対するアクセスを要求したとする。この場合、判定部333は、リソースに対するアクセスが許可されたB本部から、部長Eが所属するC部までの所属関係を証明する集団所属証明書の数が、C部がB本部に所属することを証明する集団所属証明書の1つであることから、設定された1階層以内の条件を満たすとして、リソースR2に対するアクセスを許可する。
For example, the user who stores the resource R2 that is permitted to access the resource R2 shown in FIG. 3 in the management device 3 is set to be within one layer from the B headquarters that is permitted to access the resource R2, and is the manager. It is assumed that the terminal used by E requests access to the resource R2 as the granted terminal 2e. In this case, the
一方、例えば、図3に示すB本部に対してアクセスが許可されたリソースR2を管理装置3に記憶させたユーザが、当該リソースR2に対するアクセスを許可したB本部から1階層以内とする設定を行い、メンバーGが使用する被付与端末2gが、リソースR2に対するアクセスを要求したとする。この場合、リソースに対するアクセスが許可されたB本部から、メンバーGが所属するDグループまでの所属関係を証明する集団所属証明書の数が、C部がB本部に所属することを証明する集団所属証明書と、DグループがC部に所属することを証明する集団所属証明書との2つとなる。したがって、判定部333は、設定された1階層以内の条件を満たさないとして、被付与端末2gからのアクセスを許可しない。このようにすることで、判定部333は、企業の組織構造に対応させた組織情報に基づいてアクセス権限が設定されたように、詳細なアクセス権限を設定させることができる。
On the other hand, for example, the user who stores the resource R2 that is permitted to access the resource R2 shown in FIG. 3 in the management device 3 is set to be within one layer from the B headquarters that is permitted to access the resource R2. It is assumed that the granted
[管理システムSの処理(1)]
管理システムSにおける処理の流れについて説明する。図10は、管理システムSにおける電子証明書を発行する処理の流れを示すフローチャートである。本フローチャートにおいては、図8に示すリーダーF(付与者)が、メンバーG(被付与者)に電子証明書を付与する処理の流れを示す。付与者が使用する付与端末1には、一以上の集団所属証明書と、当該一以上の集団所属証明書それぞれに対応する一以上の管理者証明書とが記憶部12に記憶されている。また、付与端末1には、生成したリーダーF用鍵(付与者用鍵)とDグループ用鍵(従属集団用鍵)とが記憶部12に記憶されている。以上のような付与端末1の状態を前提として、本フローチャートについて説明する。
[Processing of management system S (1)]
The processing flow in the management system S will be described. FIG. 10 is a flowchart showing a flow of processing for issuing a digital certificate in the management system S. In this flowchart, the flow of the process in which the leader F (granter) shown in FIG. 8 grants the digital certificate to the member G (grantee) is shown. In the granting terminal 1 used by the grantor, one or more group affiliation certificates and one or more administrator certificates corresponding to each of the one or more group affiliation certificates are stored in the
図12は、電子証明書を発行する画面を模式的に表した図である。図12に示す画面f1は、付与端末1fのディスプレイに表示された電子証明書を発行するための画面である。図12に示す画面f1には、電子証明書を付与する被付与者を選択する被付与者選択項目f11と、電子証明書を付与する被付与者を所属させる集団を選択する集団選択項目f12とが表示されている。 FIG. 12 is a diagram schematically showing a screen for issuing a digital certificate. The screen f1 shown in FIG. 12 is a screen for issuing the digital certificate displayed on the display of the granting terminal 1f. On the screen f1 shown in FIG. 12, a grantee selection item f11 for selecting the grantee to whom the digital certificate is granted, and a group selection item f12 for selecting the group to which the grantee to whom the digital certificate belongs belong. Is displayed.
リーダーFは、例えば、画面f1において、被付与者選択項目f11から「メンバーG」を選択し、集団選択項目f12から「A会社−B本部−C部−Dグループ」を選択して、設定ボタンを押下する操作を行う。付与者が、このような簡単な操作を行うことにより、被付与者選択項目f11において選択された被付与者に対して電子証明書が付与される。付与者が、図12に示す画面f1の設定ボタンを押下したことを契機として、図11に示すフローチャートの処理が開始される。 For example, on the screen f1, the leader F selects "member G" from the grantee selection item f11, selects "company A-B headquarters-C department-D group" from the group selection item f12, and sets the setting button. Perform the operation of pressing. By performing such a simple operation, the grantor grants the digital certificate to the grantee selected in the grantee selection item f11. When the grantor presses the setting button on the screen f1 shown in FIG. 12, the processing of the flowchart shown in FIG. 11 is started.
まず、鍵生成部131は、電子証明書に用いる鍵として、秘密鍵及び公開鍵を含む、被付与者用鍵(メンバーG用鍵)を生成する(S10)。鍵生成部131は、通信部11を介して、生成した被付与者用の公開鍵を管理装置3に送信する(S20)。
First, the
続いて、証明書生成部132は、管理者証明書を生成する(S30)。具体的には、証明書生成部132は、「管理者」項目において付与者用の公開鍵の鍵識別情報を示し、「集団」項目において従属集団用の公開鍵の鍵識別情報を示した管理者証明書を生成する。署名部133は、生成された管理者証明書に、従属集団用の秘密鍵を用いて、電子署名を実行する(S40)。管理者証明書の電子署名には、従属集団用の公開鍵の鍵識別情報が含まれている。
Subsequently, the
続いて、証明書生成部132は、ユーザ所属証明書を生成する(S50)。具体的には、証明書生成部132は、「被従属」項目において従属集団用の公開鍵の鍵識別情報を示し、「従属」項目において被付与者用の公開鍵の鍵識別情報を示したユーザ所属証明書を生成する。署名部133は、生成されたユーザ所属証明書に、付与者用の秘密鍵を用いて、電子署名を実行する(S60)。ユーザ所属証明書の電子署名には、付与者用の公開鍵の鍵識別情報が含まれている。
Subsequently, the
続いて、証明書生成部132は、一以上の集団所属証明書と、当該一以上の集団所属証明書それぞれに対応する一以上の管理者証明書とを、記憶部12から取得する(S70)。このようにして、証明書生成部132は、ユーザ所属証明書、集団所属証明書、及びそれぞれの証明書に対応する管理者証明書を含む電子証明書を生成する。そして、証明書付与部134は、通信部11を介して、電子署名がされた電子証明書及び被付与者用鍵(被付与者用の公開鍵及び秘密鍵)を、被付与端末2に送信する(S80)。
Subsequently, the
[管理システムSの処理(2)]
図11は、管理システムSにおけるアクセスを制御する処理の流れを示すシーケンス図である。まず、被付与端末2が、管理装置3が管理するリソースにアクセスする場合において、被付与端末2の証明書管理部231は、記憶部22に記憶されているユーザ所属証明書、集団所属証明書、及び各証明書に対応する管理者証明書を含む電子証明書を取得する(S110)。被付与端末2は、証明書管理部231が取得した電子証明書を送信するとともに、管理装置3が管理するリソースに対するアクセスを要求する。
[Processing of management system S (2)]
FIG. 11 is a sequence diagram showing a flow of processing for controlling access in the management system S. First, when the granted terminal 2 accesses the resource managed by the management device 3, the
管理装置3の取得部331は、被付与端末2gからのアクセス要求とともに送信された集団所属証明書と、ユーザ所属証明書と、管理者証明書とを含む電子証明書を取得する。特定部332は、取得部331が取得した、複数の集団所属証明書と、1つのユーザ所属証明書とを含む電子証明書に基づいて、ユーザが所属する集団の階層構造を特定する(S120)。
The
続いて、判定部333は、ユーザが所属する集団に権限があるか否かを判定する。具体的には、判定部333は、ユーザが所属する集団の階層構造に、リソースに対するアクセスが許可された集団が含まれているか否かを判定する。判定部333は、ユーザが所属する集団の階層構造に、リソースに対するアクセスが許可された集団が含まれていないと判定した場合(S130においてNOの場合)、リソースに対するアクセスを許可せずに処理を終了する。一方、判定部333は、ユーザが所属する集団の階層構造に、リソースに対するアクセスが許可された集団が含まれていると判定した場合(S130においてYESの場合)、確認用文字列を生成し(S140)、被付与端末2に送信する。
Subsequently, the
被付与端末2の暗号化部232は、管理装置3から送信された確認用文字列を取得すると、被付与者用の秘密鍵を用いて、取得した確認用文字列を暗号化する(S150)。暗号化部232は、暗号化した確認用文字列を管理装置3に送信する。
When the
管理装置3の判定部333は、被付与端末2から送信された暗号化された確認用文字列を、被付与者用の公開鍵を用いて復号する(S160)。判定部333は、復号した確認用文字列と、被付与端末2に送信した確認用文字列とが一致するか否かを判定する。判定部333は、復号した確認用文字列と、被付与端末2に送信した確認用文字列とが一致しないと判定した場合(S170においてNOの場合)、リソースに対するアクセスを許可せずに処理を終了する。一方、判定部333は、復号した確認用文字列と、被付与端末2に送信した確認用文字列とが一致すると判定した場合(S170においてYESの場合)、リソースに対するアクセスを許可する。これにより、被付与端末2は、リソースにアクセスすることが可能となる。
The
[本実施の形態における効果]
以上説明したとおり、本実施の形態に係る管理システムSは、付与端末1が複数の集団及びユーザ間の所属関係を証明する電子証明書を被付与端末2に付与する。そして、管理装置3は、被付与端末2からのアクセスの要求に対して、電子証明書に基づいてユーザが所属する集団の階層構造を特定し、特定した集団の階層構造にアクセスが許可された集団が含まれていることを条件として、リソースに対するアクセスを許可する。このようにすることで、管理システムSは、管理装置3が、複数の集団及びユーザ間の所属関係を予め記憶しておくことなく、電子証明書が証明する所属関係に基づいて、リソースに対するアクセスを制御することができる。その結果、管理装置3を管理する管理者は、組織情報を管理する負担を軽減することができる。
[Effects in this embodiment]
As described above, in the management system S according to the present embodiment, the granting terminal 1 grants the granting terminal 2 an electronic certificate certifying the affiliation relationship between a plurality of groups and users. Then, the management device 3 specifies the hierarchical structure of the group to which the user belongs based on the digital certificate in response to the access request from the granted terminal 2, and the access is permitted to the hierarchical structure of the specified group. Allow access to resources, provided that the population is included. By doing so, the management system S accesses the resource based on the affiliation relationship proved by the electronic certificate without the management device 3 memorizing the affiliation relationship between the plurality of groups and users in advance. Can be controlled. As a result, the manager who manages the management device 3 can reduce the burden of managing the organization information.
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されず、その要旨の範囲内で種々の変形及び変更が可能である。例えば、装置の分散・統合の具体的な実施の形態は、以上の実施の形態に限られず、その全部又は一部について、任意の単位で機能的又は物理的に分散・統合して構成することができる。また、複数の実施の形態の任意の組み合わせによって生じる新たな実施の形態も、本発明の実施の形態に含まれる。組み合わせによって生じる新たな実施の形態の効果は、もとの実施の形態の効果を合わせ持つ。 Although the present invention has been described above using the embodiments, the technical scope of the present invention is not limited to the scope described in the above embodiments, and various modifications and changes can be made within the scope of the gist thereof. be. For example, the specific embodiment of the distribution / integration of the device is not limited to the above embodiment, and all or a part thereof may be functionally or physically distributed / integrated in any unit. Can be done. Also included in the embodiments of the present invention are new embodiments resulting from any combination of the plurality of embodiments. The effect of the new embodiment produced by the combination has the effect of the original embodiment together.
上述の実施の形態では、集団として企業における組織を例示したが、本発明は所属関係を定義できるその他の集団についても適用できる。例えばある家族が所有するサーバに、家族の子どもが通う学校の生徒のアクセスを許可したい場合には、家族を上位の集団とし、学校を下位の集団と定義する。上述の実施の形態と同様に、学校の生徒の端末へ電子証明書を付与することによって、学校の生徒の端末に対して家族が所有するサーバへのアクセスを許可することができる。 In the above-described embodiment, an organization in a company is illustrated as a group, but the present invention can be applied to other groups whose affiliation can be defined. For example, if you want to allow the server owned by a family to access the students of the school that the children of the family attend, the family is defined as the upper group and the school is defined as the lower group. Similar to the above embodiment, by giving the electronic certificate to the terminal of the school student, the terminal of the school student can be allowed to access the server owned by the family.
1 付与端末
11 通信部
12 記憶部
13 制御部
131 鍵生成部
132 証明書生成部
133 署名部
134 証明書付与部
2 被付与端末
21 通信部
22 記憶部
23 制御部
231 証明書管理部
232 暗号化部
3 管理装置
31 通信部
32 記憶部
33 制御部
331 取得部
332 特定部
333 判定部
1
Claims (9)
前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定する特定部と、
前記ユーザが所属する前記集団が、前記ユーザが利用するリソースに対するアクセスが許可された前記集団から所定の階層以内であることを条件として、前記リソースに対するアクセスを許可する判定部と、
を有する管理装置。 An acquisition unit that acquires an electronic certificate including a group affiliation certificate that certifies the affiliation relationship between a plurality of groups and a user affiliation certificate that certifies the affiliation relationship between the groups and users.
Based on the digital certificate, a specific unit that specifies the hierarchical structure of the group to which the user belongs, and
A determination unit that permits access to the resource, provided that the group to which the user belongs is within a predetermined hierarchy from the group that is permitted to access the resource used by the user.
Management device with.
請求項1に記載の管理装置。 The specific unit specifies the hierarchical structure of the group to which the user belongs, provided that the digital certificate is digitally signed.
The management device according to claim 1.
請求項2に記載の管理装置。 The specific unit specifies the hierarchical structure of the group to which the user belongs, provided that the signature source of the electronic signature is the administrator who manages the group indicated by the digital certificate.
The management device according to claim 2.
請求項1から3のいずれか一項に記載の管理装置。 The specific unit identifies the hierarchical structure of the group to which the user belongs, provided that the digital certificate is not included in the revocation information indicating that the digital certificate is not valid.
The management device according to any one of claims 1 to 3.
複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を取得する取得部、
前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定する特定部、及び
前記ユーザが所属する前記集団が、前記ユーザが利用するリソースに対するアクセスが許可された前記集団から所定の階層以内であることを条件として、前記リソースに対するアクセスを許可する判定部、
として機能させるための特定プログラム。 Computer,
Acquisition unit that acquires an electronic certificate including a group affiliation certificate that certifies the affiliation relationship between a plurality of groups and a user affiliation certificate that certifies the affiliation relationship between the group and the user .
Based on the digital certificate, a specific unit that specifies the hierarchical structure of the group to which the user belongs, and
A determination unit that permits access to the resource, provided that the group to which the user belongs is within a predetermined hierarchy from the group to which access to the resource used by the user is permitted.
A specific program to function as.
複数の集団間における所属関係を証明する集団所属証明書と、前記集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を取得するステップと、
前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定するステップと、
前記ユーザが所属する前記集団が、前記ユーザが利用するリソースに対するアクセスが許可された前記集団から所定の階層以内であることを条件として、前記リソースに対するアクセスを許可するステップと、
を有する特定方法。 Computer runs,
A step of acquiring an electronic certificate including a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the group and the user.
A step of identifying the hierarchical structure of the group to which the user belongs based on the digital certificate, and
A step of permitting access to the resource, provided that the group to which the user belongs is within a predetermined hierarchy from the group to which access to the resource used by the user is permitted.
Specific method with.
前記付与端末は、
複数の集団間における所属関係を証明する集団所属証明書と、前記集団及び前記被付与者間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成する証明書生成部と、
前記電子証明書を前記被付与端末に付与する証明書付与部と、
を有し、
前記管理装置は、
前記被付与端末から、前記集団所属証明書と、前記ユーザ所属証明書とを含む電子証明書を取得する取得部と、
前記電子証明書に基づいて、前記被付与者が所属する前記集団の階層構造を特定する特定部と、
前記被付与者が所属する前記集団が、前記被付与者が利用するリソースに対するアクセスが許可された前記集団から所定の階層以内であることを条件として、前記リソースに対するアクセスを許可する判定部と、
を有する、管理システム。 A management system having a granting terminal used by a grantor who grants a digital certificate, a granting terminal used by a grantor who is granted a digital certificate, and a management device for managing resources.
The granting terminal is
A certificate generator that generates an electronic certificate including a group affiliation certificate that certifies the affiliation relationship between a plurality of groups and a user affiliation certificate that certifies the affiliation relationship between the group and the grantee.
A certificate granting unit that grants the digital certificate to the granted terminal, and
Have,
The management device is
An acquisition unit that acquires an electronic certificate including the group affiliation certificate and the user affiliation certificate from the granted terminal.
Based on the digital certificate, a specific unit that specifies the hierarchical structure of the group to which the grantee belongs, and
A determination unit that permits access to the resource, provided that the group to which the grantee belongs is within a predetermined hierarchy from the group that is permitted to access the resource used by the grantee.
Has a management system.
請求項7に記載の管理システム。 The certificate provider provides the said electronic certificate with an electronic signature to the grantee,
The management system according to claim 7.
前記証明書生成部は、前記管理者証明書に対応する前記集団所属証明書と、前記管理者証明書に対応する前記ユーザ所属証明書とを含む電子証明書を生成する、
請求項7又は8に記載の管理システム。 The digital certificate includes an administrator certificate certifying the administrator of the group.
The certificate generation unit generates an electronic certificate including the group affiliation certificate corresponding to the administrator certificate and the user affiliation certificate corresponding to the administrator certificate.
The management system according to claim 7 or 8.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018052973A JP6960874B2 (en) | 2018-03-20 | 2018-03-20 | Management device, specific program, specific method, management system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018052973A JP6960874B2 (en) | 2018-03-20 | 2018-03-20 | Management device, specific program, specific method, management system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019164683A JP2019164683A (en) | 2019-09-26 |
| JP6960874B2 true JP6960874B2 (en) | 2021-11-05 |
Family
ID=68066204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018052973A Active JP6960874B2 (en) | 2018-03-20 | 2018-03-20 | Management device, specific program, specific method, management system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6960874B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7100330B1 (en) * | 2020-10-06 | 2022-07-13 | 株式会社Gfs | Stamp management method, stamp management device, program, and information processing method |
| CN114329626B (en) * | 2021-12-28 | 2025-11-04 | 福建新大陆支付技术有限公司 | A hierarchical management and control method and system for POS terminal applications |
| WO2025057527A1 (en) * | 2023-09-12 | 2025-03-20 | 日本電気株式会社 | Server device, system, server device control method, and storage medium |
| JP7776038B1 (en) * | 2025-03-31 | 2025-11-26 | Toppanホールディングス株式会社 | Management device, management system, management method, and program |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000148012A (en) * | 1998-11-12 | 2000-05-26 | Fuji Xerox Co Ltd | Device and method for authentication |
| JP2001326632A (en) * | 2000-05-17 | 2001-11-22 | Fujitsu Ltd | Distributed group management system and method |
| JP2005339055A (en) * | 2004-05-25 | 2005-12-08 | Ntt Docomo Inc | Access control apparatus and access control method |
| JP4795776B2 (en) * | 2005-11-04 | 2011-10-19 | 東芝ソリューション株式会社 | Service providing system, apparatus and program |
| JP5126968B2 (en) * | 2008-02-26 | 2013-01-23 | 日本電信電話株式会社 | Authentication / authorization system, authentication / authorization method |
-
2018
- 2018-03-20 JP JP2018052973A patent/JP6960874B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019164683A (en) | 2019-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6960874B2 (en) | Management device, specific program, specific method, management system | |
| JP7559358B2 (en) | Service provision system, information processing system, and method for allocating usage rights | |
| CN115176247A (en) | Delegation using paired decentralized identifiers | |
| CN108629160B (en) | Document management systems and processing equipment | |
| JP4728610B2 (en) | Access control list attachment system, original content creator terminal, policy server, original content data management server, program, and recording medium | |
| US11587084B2 (en) | Decentralized identification anchored by decentralized identifiers | |
| US11480945B2 (en) | Production device for production of an object for user permitted to print pre-defined number of copies of the object including encrypted token, and decrypted by the production device for determining user access right | |
| US12306994B2 (en) | User-centric data management system | |
| JP2023143661A (en) | Artwork management method, computer, and program | |
| CN110741371B (en) | Information processing equipment, protection processing equipment and user terminals | |
| JP2018156410A (en) | Information processing apparatus and program | |
| JP2004213265A (en) | Electronic document management device, document creator device, document viewer device, electronic document management method, and electronic document management system | |
| JP2012034329A (en) | Digital data content certification system | |
| LU101620B1 (en) | Issuing verifiable pairwise claims | |
| JP2006048220A (en) | Method and program for assigning security attributes of electronic document | |
| Uikey et al. | RBACA: role-based access control architecture for multi-domain cloud environment | |
| Marillonnet et al. | Personal information self-management: A survey of technologies supporting administrative services | |
| JP2019003477A (en) | Information processing system, control method, and program thereof | |
| JP2005165777A (en) | Information processing apparatus, information processing method, and program | |
| KR20220043532A (en) | A method and server for supporting the provision of financial services | |
| JP7835915B2 (en) | credential signing device and credential signing program | |
| JP7835916B2 (en) | credential signing device and credential signing program | |
| JP7032626B1 (en) | Book data storage device | |
| JP2021157250A (en) | Document management system, processing terminal device and control device | |
| Georgiadis et al. | Healthcare teams over the Internet: programming a certificate-based approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200306 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210105 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201225 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20210224 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210430 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210914 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211012 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6960874 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |