Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6960874B2 - Management device, specific program, specific method, management system - Google Patents
[go: Go Back, main page]

JP6960874B2 - Management device, specific program, specific method, management system - Google Patents

Management device, specific program, specific method, management system Download PDF

Info

Publication number
JP6960874B2
JP6960874B2 JP2018052973A JP2018052973A JP6960874B2 JP 6960874 B2 JP6960874 B2 JP 6960874B2 JP 2018052973 A JP2018052973 A JP 2018052973A JP 2018052973 A JP2018052973 A JP 2018052973A JP 6960874 B2 JP6960874 B2 JP 6960874B2
Authority
JP
Japan
Prior art keywords
certificate
group
affiliation
user
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018052973A
Other languages
Japanese (ja)
Other versions
JP2019164683A (en
Inventor
純一 田淵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2018052973A priority Critical patent/JP6960874B2/en
Publication of JP2019164683A publication Critical patent/JP2019164683A/en
Application granted granted Critical
Publication of JP6960874B2 publication Critical patent/JP6960874B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワーク上のリソースに対するアクセスを制御する管理装置、特定プログラム、特定方法、管理システムに関する。 The present invention relates to a management device, a specific program, a specific method, and a management system that control access to resources on a network.

従来、ネットワーク上のリソースに対してアクセスを要求したユーザの所属先を特定する装置が知られている。特許文献1には、予め記憶された組織情報に基づいて、アクセスを要求したユーザの所属先を特定する技術が記載されている。 Conventionally, a device for identifying the affiliation of a user who has requested access to a resource on a network has been known. Patent Document 1 describes a technique for identifying the affiliation of a user who has requested access based on the organization information stored in advance.

特開2011−076569号公報Japanese Unexamined Patent Publication No. 2011-0765669

一般的に、アクセス権限が設定されたリソースを管理する装置は、企業の組織構造に対応させた組織情報と、当該組織情報に紐付く組織ごとの権限情報とを記憶している。この場合において、特許文献1のような技術においては、アクセス権限の付与対象ごとに、企業の組織構造に対応させた組織情報を作成しなければならず、組織構造が大規模である程、組織情報を管理する負担が大きかった。 Generally, the device that manages the resource for which the access authority is set stores the organizational information corresponding to the organizational structure of the company and the authority information for each organization associated with the organizational information. In this case, in a technology such as Patent Document 1, it is necessary to create organizational information corresponding to the organizational structure of a company for each object to which access authority is granted, and the larger the organizational structure, the more the organization. The burden of managing information was heavy.

そこで、本発明はこれらの点に鑑みてなされたものであり、組織情報を管理する負担を軽減することができる管理装置、特定プログラム、特定方法、及び管理システムを提供することを目的とする。 Therefore, the present invention has been made in view of these points, and an object of the present invention is to provide a management device, a specific program, a specific method, and a management system capable of reducing the burden of managing organizational information.

本発明の第1の態様に係る管理装置は、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を取得する取得部と、前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定する特定部と、を有する。 The management device according to the first aspect of the present invention provides an electronic certificate including a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the groups and users. It has an acquisition unit to be acquired and a specific unit that specifies the hierarchical structure of the group to which the user belongs based on the digital certificate.

前記特定部は、前記電子証明書に電子署名がされていることを条件として、前記ユーザが所属する前記集団の階層構造を特定してもよい。
前記特定部は、前記電子署名の署名元が、前記電子証明書が示す前記集団を管理する管理者であることを条件として、前記ユーザが所属する前記集団の階層構造を特定してもよい。
The specific unit may specify the hierarchical structure of the group to which the user belongs, provided that the digital certificate is digitally signed.
The specific unit may specify the hierarchical structure of the group to which the user belongs, provided that the signature source of the electronic signature is the administrator who manages the group indicated by the digital certificate.

前記管理装置は、前記ユーザが利用するリソースを記憶する記憶部と、前記ユーザが所属する前記集団の階層構造に、前記リソースに対するアクセスが許可された前記集団が含まれていることを条件として、前記リソースに対するアクセスを許可する判定部と、をさらに有してもよい。 The management device is provided on the condition that the storage unit that stores the resources used by the user and the group to which the user belongs includes the group to which access to the resource is permitted. It may further have a determination unit that permits access to the resource.

前記判定部は、前記ユーザが所属する前記集団が、前記リソースに対するアクセスが許可された前記集団から所定の階層以内であることを条件として、アクセスを許可してもよい。
前記特定部は、前記電子証明書が、有効ではない前記電子証明書であることを示す失効情報に含まれていないことを条件として、前記ユーザが所属する前記集団の階層構造を特定してもよい。
The determination unit may permit access on condition that the group to which the user belongs is within a predetermined hierarchy from the group to which access to the resource is permitted.
The specific unit may specify the hierarchical structure of the group to which the user belongs, provided that the digital certificate is not included in the revocation information indicating that the digital certificate is not valid. good.

本発明の第2の態様に係る端末は、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成する証明書生成部と、前記電子証明書をユーザに付与する証明書付与部と、を有する。 The terminal according to the second aspect of the present invention generates an electronic certificate including a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the groups and users. It has a certificate generation unit to be used, and a certificate granting unit to give the digital certificate to the user.

前記証明書付与部は、電子署名がされた前記電子証明書を前記ユーザに付与してもよい。
前記電子証明書は、集団の管理者を証明する管理者証明書を含み、前記証明書生成部は、前記管理者証明書に対応する前記集団所属証明書と、前記管理者証明書に対応する前記ユーザ所属証明書とを含む電子証明書を生成してもよい。
The certificate granting unit may grant the user an electronically signed digital certificate.
The digital certificate includes an administrator certificate certifying the administrator of the group, and the certificate generator corresponds to the group affiliation certificate corresponding to the administrator certificate and the administrator certificate. An electronic certificate including the user affiliation certificate may be generated.

本発明の第3の態様に係る特定プログラムは、コンピュータを、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を取得する取得部、及び前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定する特定部、として機能させる。 The specific program according to the third aspect of the present invention is an electronic computer including a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the groups and users. It functions as an acquisition unit for acquiring a certificate and a specific unit for specifying the hierarchical structure of the group to which the user belongs based on the electronic certificate.

本発明の第4の態様に係る特定方法は、コンピュータが実行する、複数の集団間における所属関係を証明する集団所属証明書と、前記集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を取得するステップと、前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定するステップと、を有する。 The specific method according to the fourth aspect of the present invention includes a group affiliation certificate that certifies the affiliation relationship between a plurality of groups and a user affiliation certificate that certifies the affiliation relationship between the group and the user, which is executed by a computer. It has a step of acquiring an electronic certificate including the above, and a step of specifying a hierarchical structure of the group to which the user belongs based on the electronic certificate.

本発明の第5の態様に係る付与プログラムは、コンピュータを、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成する証明書生成部、及び前記電子証明書をユーザに付与する証明書付与部、として機能させる。 The granting program according to the fifth aspect of the present invention is an electronic computer including a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the groups and users. It functions as a certificate generation unit that generates a certificate and a certificate granting unit that grants the digital certificate to a user.

本発明の第6の態様に係る付与方法は、コンピュータが実行する、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成するステップと、前記電子証明書をユーザに付与するステップと、を有する。 The granting method according to the sixth aspect of the present invention includes a group affiliation certificate that certifies the affiliation relationship between a plurality of groups and a user affiliation certificate that certifies the affiliation relationship between the groups and users, which is executed by a computer. It has a step of generating a including electronic certificate and a step of granting the electronic certificate to a user.

本発明の第7の態様に係る管理システムは、電子証明書を付与する付与者が使用する付与端末と、電子証明書を付与される被付与者が使用する被付与端末と、リソースを管理する管理装置と、を有する管理システムであって、前記付与端末は、複数の集団間における所属関係を証明する集団所属証明書と、前記集団及び前記被付与者間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成する証明書生成部と、前記電子証明書を前記被付与端末に付与する証明書付与部と、を有し、前記管理装置は、前記被付与端末から、前記集団所属証明書と、前記ユーザ所属証明書とを含む電子証明書を取得する取得部と、前記電子証明書に基づいて、前記被付与者が所属する前記集団の階層構造を特定する特定部と、を有する。 The management system according to the seventh aspect of the present invention manages the granting terminal used by the grantor who grants the digital certificate, the granting terminal used by the grantee who is granted the digital certificate, and resources. A management system having a management device, wherein the granting terminal is a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the group and the grantee. The management device has a certificate generation unit that generates an electronic certificate including a document and a certificate granting unit that grants the digital certificate to the grant terminal, and the management device is said to be from the grant terminal. An acquisition unit that acquires a group affiliation certificate and an electronic certificate including the user affiliation certificate, and a specific unit that specifies the hierarchical structure of the group to which the grantee belongs based on the electronic certificate. Have.

本発明によれば、組織情報を管理する負担を軽減することができるという効果を奏する。 According to the present invention, it is possible to reduce the burden of managing organizational information.

管理システムの概要を説明するための図である。It is a figure for demonstrating the outline of a management system. 付与端末、被付与端末、及び管理装置の構成を示す図である。It is a figure which shows the structure of the grant terminal, the grant terminal, and the management device. 付与端末及び被付与端末の所属関係と、リソースに設定されたアクセス権限とを模式的に表した図である。It is a figure which schematically represented the affiliation relationship of the grant terminal and the grant terminal, and the access authority set to the resource. 電子証明書を発行する処理の流れの一例を模式的に表した図である。It is a figure which represented an example of the process flow of issuing an electronic certificate schematically. 電子証明書の内容を模式的に表した図である。It is a figure which represented the contents of the electronic certificate schematically. 電子証明書を発行する処理の流れの一例を模式的に表した図である。It is a figure which represented an example of the process flow of issuing an electronic certificate schematically. 電子証明書の内容を模式的に表した図である。It is a figure which represented the contents of the electronic certificate schematically. 電子証明書を発行する処理の流れの一例を模式的に表した図である。It is a figure which represented an example of the process flow of issuing an electronic certificate schematically. リソースに対するアクセスを制御する流れの一例を模式的に表した図である。It is a figure which represented an example of the flow which controls access to a resource typically. 管理システムにおける電子証明書を発行する処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process of issuing a digital certificate in a management system. 管理システムにおけるアクセスを制御する処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the process which controls access in a management system. 電子証明書を発行する画面を模式的に表した図である。It is a figure which represented typically the screen which issues a digital certificate.

[管理システムSの概要]
図1は、管理システムSの概要を説明するための図である。管理システムSは、複数の集団及びユーザ間の所属関係を証明する電子証明書に基づいて、ネットワーク上のリソースに対するユーザからのアクセスを制御するシステムである。集団は、例えば、企業における組織(本部、部、課、グループ等)、プロジェクトチームにおける組織(プロジェクト、サブプロジェクト等)である。また、集団は、例えば、家族や学校等であってもよい。
[Overview of management system S]
FIG. 1 is a diagram for explaining an outline of the management system S. The management system S is a system that controls access from users to resources on the network based on an electronic certificate that certifies the affiliation relationship between a plurality of groups and users. A group is, for example, an organization in a company (headquarters, department, section, group, etc.), an organization in a project team (project, subproject, etc.). The group may be, for example, a family or a school.

管理システムSは、付与端末1と、被付与端末2と、管理装置3とを有する。付与端末1は、電子証明書を付与する付与者が使用する端末であり、例えばコンピュータである。付与者は、例えば、組織に所属する組織長である。被付与端末2は、電子証明書を付与される被付与者が使用する端末であり、例えばコンピュータである。被付与者は、例えば、組織に所属する従業員である。なお、付与者は、自身に電子証明書を付与することにより被付与者にもなりうる。管理装置3は、リソースを管理する装置であり、例えばサーバである。リソースは、例えば、ユーザが作成したファイル(書類、画像等)、フォルダ等である。 The management system S includes a granting terminal 1, a granting terminal 2, and a management device 3. The granting terminal 1 is a terminal used by a grantor who grants an electronic certificate, for example, a computer. The grantor is, for example, the head of the organization belonging to the organization. The grantee terminal 2 is a terminal used by the grantee who is given the digital certificate, and is, for example, a computer. The grantee is, for example, an employee belonging to the organization. The grantor can also be the grantee by granting the digital certificate to himself / herself. The management device 3 is a device that manages resources, for example, a server. Resources are, for example, user-created files (documents, images, etc.), folders, and the like.

図1においては、サブプロジェクトYが、プロジェクトXに所属し、付与者(例えばプロジェクトXのマネージャー)が使用する付与端末1が、プロジェクトXに所属し、被付与者(例えばサブプロジェクトYのリーダー)が使用する被付与端末2が、サブプロジェクトYに所属し、プロジェクトXが、管理装置3(例えば書類を共有するサーバ)を有することを前提として説明する。この場合、管理装置3には、プロジェクトXに対してアクセスを許可するアクセス権限が設定されている。 In FIG. 1, the subproject Y belongs to the project X, and the grant terminal 1 used by the grantor (for example, the manager of the project X) belongs to the project X and the grantee (for example, the leader of the subproject Y). The description will be made on the premise that the granted terminal 2 used by the project belongs to the subproject Y and the project X has a management device 3 (for example, a server for sharing documents). In this case, the management device 3 is set with an access authority for permitting access to the project X.

はじめに、付与者は、被付与者に電子証明書を発行する。具体的には、付与端末1は、まず、被付与者に付与する電子証明書を生成する(図1の(1))。この場合における電子証明書には、少なくとも、サブプロジェクトYがプロジェクトXに所属することを証明する集団所属証明書、及び被付与者がサブプロジェクトYに所属することを証明するユーザ所属証明書の2種類の電子証明書が含まれている。そして、付与端末1は、生成した電子証明書を被付与端末2に送信することにより、被付与者に対して電子証明書を付与する(図1の(2))。 First, the grantor issues a digital certificate to the grantee. Specifically, the granting terminal 1 first generates an electronic certificate to be granted to the grantee ((1) in FIG. 1). The digital certificate in this case includes at least a group affiliation certificate certifying that subproject Y belongs to project X and a user affiliation certificate certifying that the grantee belongs to subproject Y. Includes a type of digital certificate. Then, the granting terminal 1 grants the digital certificate to the grantee by transmitting the generated digital certificate to the grantee terminal 2 ((2) in FIG. 1).

続いて、電子証明書を付与された被付与者は、管理装置3にアクセスして、書類を閲覧等する操作を行う。この場合、まず、被付与端末2は、管理装置3に管理されている書類に対するアクセスを要求する(図1の(3))。このとき、被付与端末2は、管理装置3にアクセスを要求するとともに、付与端末1から付与された電子証明書を送信する。 Subsequently, the grantee who has been granted the digital certificate accesses the management device 3 and performs an operation such as viewing a document. In this case, first, the granting terminal 2 requests access to the documents managed by the management device 3 ((3) in FIG. 1). At this time, the granting terminal 2 requests access to the management device 3 and transmits the digital certificate granted by the granting terminal 1.

管理装置3は、被付与端末2から送信された電子証明書を取得すると、取得した電子証明書に基づいて、被付与者が所属するサブプロジェクトYの階層構造を特定する(図1の(4))。「サブプロジェクトYの階層構造」は、サブプロジェクトYが属する組織に存在する最上位の階層から最下位の階層までの間に存在する複数の集団のうち、サブプロジェクトYが下位の階層に位置する複数の集団間の上下関係を示す。例えば、最上位階層の集団であるプロジェクトXに所属するサブプロジェクトが複数存在する場合、「プロジェクトX−サブプロジェクトY」が「サブプロジェクトYの階層構造」である。 When the management device 3 acquires the digital certificate transmitted from the grantee terminal 2, the management device 3 identifies the hierarchical structure of the subproject Y to which the grantee belongs based on the acquired digital certificate ((4) in FIG. 1). )). In the "hierarchical structure of subproject Y", subproject Y is located in the lower hierarchy among a plurality of groups existing between the highest hierarchy and the lowest hierarchy existing in the organization to which the subproject Y belongs. Shows the hierarchical relationship between multiple groups. For example, when there are a plurality of subprojects belonging to project X, which is a group of the highest hierarchy, "project X-subproject Y" is "hierarchical structure of subproject Y".

管理装置3は、図1の(4)において特定したサブプロジェクトYの階層構造と、管理装置3に設定されているアクセス権限とに基づいて、被付与端末2に対して、アクセスを許可するか否かを判定する。この場合、管理装置3は、特定したサブプロジェクトYの階層構造に、アクセス権限が示すプロジェクトXが含まれていることから、書類に対するアクセスを許可する(図1の(5))。 Whether the management device 3 permits access to the granted terminal 2 based on the hierarchical structure of the subproject Y specified in (4) of FIG. 1 and the access authority set in the management device 3. Judge whether or not. In this case, since the management device 3 includes the project X indicated by the access authority in the hierarchical structure of the specified subproject Y, the management device 3 permits access to the document ((5) in FIG. 1).

その後、被付与者は、被付与端末2を用いて、管理装置3に管理されている書類を閲覧等する。このように、管理システムSでは、組織の全体構造を管理することなく、あるユーザが別のユーザに付与した、複数の集団及びユーザ間の所属関係を証明する電子証明書に基づいて、アクセスを制御する。これにより管理システムSは、組織情報を管理する負担を軽減できる。
以下、付与端末1、被付与端末2、及び管理装置3の構成について説明する。
After that, the grantee uses the grant terminal 2 to browse the documents managed by the management device 3. In this way, in the management system S, access is performed based on an electronic certificate given by one user to another user to prove the affiliation relationship between a plurality of groups and users without managing the entire structure of the organization. Control. As a result, the management system S can reduce the burden of managing the organization information.
Hereinafter, the configurations of the granting terminal 1, the granting terminal 2, and the management device 3 will be described.

[付与端末1、被付与端末2、及び管理装置3の構成]
図2は、付与端末1、被付与端末2、及び管理装置3の構成を示す図である。付与端末1は、通信部11と、記憶部12と、制御部13とを有する。
通信部11は、ネットワークに接続するためのインターフェイスであり、例えばLANコントローラを含んで構成されている。
[Configuration of Granted Terminal 1, Granted Terminal 2, and Management Device 3]
FIG. 2 is a diagram showing the configurations of the grant terminal 1, the grant terminal 2, and the management device 3. The granting terminal 1 has a communication unit 11, a storage unit 12, and a control unit 13.
The communication unit 11 is an interface for connecting to a network, and is configured to include, for example, a LAN controller.

記憶部12は、ROM(Read Only Memory)、RAM(Random Access Memory)及びハードディスク等の記憶媒体である。記憶部12は、制御部13が実行するプログラムを記憶している。
制御部13は、例えばCPU(Central Processing Unit)である。制御部13は、記憶部12に記憶されたプログラムを実行することにより、鍵生成部131、証明書生成部132、署名部133、及び証明書付与部134として機能する。
The storage unit 12 is a storage medium such as a ROM (Read Only Memory), a RAM (Random Access Memory), and a hard disk. The storage unit 12 stores a program executed by the control unit 13.
The control unit 13 is, for example, a CPU (Central Processing Unit). The control unit 13 functions as a key generation unit 131, a certificate generation unit 132, a signature unit 133, and a certificate granting unit 134 by executing the program stored in the storage unit 12.

被付与端末2は、通信部21と、記憶部22と、制御部23とを有する。
通信部21は、ネットワークに接続するためのインターフェイスであり、例えばLANコントローラを含んで構成されている。
The granted terminal 2 has a communication unit 21, a storage unit 22, and a control unit 23.
The communication unit 21 is an interface for connecting to a network, and is configured to include, for example, a LAN controller.

記憶部22は、ROM、RAM及びハードディスク等の記憶媒体である。記憶部22は、制御部23が実行するプログラムを記憶している。
制御部13は、例えばCPUである。制御部23は、記憶部22に記憶されたプログラムを実行することにより、証明書管理部231及び暗号化部232として機能する。
The storage unit 22 is a storage medium such as a ROM, RAM, and a hard disk. The storage unit 22 stores a program executed by the control unit 23.
The control unit 13 is, for example, a CPU. The control unit 23 functions as the certificate management unit 231 and the encryption unit 232 by executing the program stored in the storage unit 22.

管理装置3は、通信部31と、記憶部32と、制御部33とを有する。
通信部31は、ネットワークに接続するためのインターフェイスであり、例えばLANコントローラを含んで構成されている。
The management device 3 has a communication unit 31, a storage unit 32, and a control unit 33.
The communication unit 31 is an interface for connecting to a network, and is configured to include, for example, a LAN controller.

記憶部32は、ROM、RAM及びハードディスク等の記憶媒体である。記憶部32は、制御部33が実行するプログラムを記憶している。また、記憶部32は、ユーザが利用するリソースを記憶する。
制御部33は、例えばCPUである。制御部33は、記憶部32に記憶されたプログラムを実行することにより、取得部331、特定部332、及び判定部333として機能する。
以下、付与端末1、被付与端末2、及び管理装置3それぞれの制御部が実行する処理について説明する。
The storage unit 32 is a storage medium such as a ROM, RAM, and a hard disk. The storage unit 32 stores a program executed by the control unit 33. In addition, the storage unit 32 stores resources used by the user.
The control unit 33 is, for example, a CPU. The control unit 33 functions as an acquisition unit 331, a specific unit 332, and a determination unit 333 by executing the program stored in the storage unit 32.
Hereinafter, the processes executed by the control units of the granting terminal 1, the granting terminal 2, and the management device 3 will be described.

[電子証明書を発行する処理(1)]
図3は、付与端末1及び被付与端末2の所属関係と、リソースに設定されたアクセス権限とを模式的に表した図である。図3に示すように、A会社を第1階層とした場合、A会社の直下の階層である第2階層として、B本部がA会社に所属している。また、B本部の直下の階層である第3階層として、C部がB本部に所属している。また、C部の直下の階層である第4階層として、DグループがC部に所属している。
[Process for issuing digital certificate (1)]
FIG. 3 is a diagram schematically showing the affiliation relationship between the grant terminal 1 and the grant terminal 2 and the access authority set for the resource. As shown in FIG. 3, when company A is the first layer, the B headquarters belongs to company A as the second layer, which is the layer directly below company A. In addition, as the third layer, which is the layer directly below the B headquarters, the C department belongs to the B headquarters. In addition, Group D belongs to Department C as the fourth layer, which is the level directly below Department C.

管理装置3には、リソースR1、R2、R3、R4が記憶されている。リソースR1のアクセス権限には、A会社に対してアクセスを許可する設定がされ、リソースR2のアクセス権限には、B本部に対してアクセスを許可する設定がされ、リソースR3のアクセス権限には、C部に対してアクセスを許可する設定がされ、リソースR4のアクセス権限には、Dグループに対してアクセスを許可する設定がされている。リーダーFが使用する端末は、部長Eが使用する付与端末1eから電子証明書を付与される場合に被付与端末2fとなり、メンバーGが使用する2gに電子証明書を付与する場合に付与端末1fとなる。以下、図4、図6、図8、及び図9について、図3に示す所属関係及びアクセス権限に基づいて説明する。 Resources R1, R2, R3, and R4 are stored in the management device 3. The access authority of resource R1 is set to allow access to company A, the access authority of resource R2 is set to allow access to headquarters B, and the access authority of resource R3 is set to allow access. The C part is set to allow access, and the access authority of the resource R4 is set to allow access to the D group. The terminal used by the reader F is the granted terminal 2f when the digital certificate is given by the granting terminal 1e used by the manager E, and the granting terminal 1f when the digital certificate is given to the 2g used by the member G. It becomes. Hereinafter, FIGS. 4, 6, 8 and 9 will be described based on the affiliation relationship and access authority shown in FIG.

図4は、電子証明書を発行する処理の流れの一例を模式的に表した図である。図4においては、部長Eが使用する付与端末1eが、リーダーFが使用する被付与端末2fに電子証明書を付与する流れを示している。リーダーFは、Dグループに所属しており、さらにDグループを管理するためにC部に所属するように電子証明書が付与される。 FIG. 4 is a diagram schematically showing an example of the flow of processing for issuing a digital certificate. FIG. 4 shows a flow in which the granting terminal 1e used by the manager E grants the digital certificate to the granting terminal 2f used by the reader F. Leader F belongs to the D group, and is given an electronic certificate so as to belong to the C department in order to manage the D group.

まず、付与端末1eは、電子証明書に用いる鍵を生成する。具体的には、付与端末1eの鍵生成部131は、電子証明書に用いる秘密鍵及び公開鍵を生成する。秘密鍵は、外部に公開しない鍵であり、公開鍵は、外部に公開する鍵である。鍵生成部131が生成した鍵は、鍵を識別する鍵識別情報を含む。 First, the granting terminal 1e generates a key to be used for the digital certificate. Specifically, the key generation unit 131 of the granting terminal 1e generates a private key and a public key used for the digital certificate. The private key is a key that is not disclosed to the outside, and the public key is a key that is disclosed to the outside. The key generated by the key generation unit 131 includes key identification information for identifying the key.

図4に示す例において、鍵生成部131は、部長E用鍵として、部長E用の秘密鍵及び公開鍵を生成する(図4の(1))。また、鍵生成部131は、C部用鍵として、C部用の秘密鍵及び公開鍵を生成する(図4の(2))。また、鍵生成部131は、リーダーF用鍵として、リーダーF用の秘密鍵及び公開鍵を生成する(図4の(3))。なお、リーダーFが使用する被付与端末2fが、リーダーF用鍵を生成してもよい。この場合、付与端末1eの鍵生成部131は、被付与端末2fによって生成されたリーダーF用鍵のうち、リーダーF用の公開鍵を取得する。 In the example shown in FIG. 4, the key generation unit 131 generates a private key and a public key for the manager E as the key for the manager E ((1) in FIG. 4). Further, the key generation unit 131 generates a private key and a public key for the C unit as the key for the C unit ((2) in FIG. 4). Further, the key generation unit 131 generates a private key and a public key for the reader F as the key for the reader F ((3) in FIG. 4). The given terminal 2f used by the reader F may generate the key for the reader F. In this case, the key generation unit 131 of the granting terminal 1e acquires the public key for the reader F among the reader F keys generated by the granting terminal 2f.

鍵生成部131は、生成した部長E用の公開鍵、C部用の公開鍵、及びリーダーF用の公開鍵を、管理装置3に送信する(図4の(4))。なお、鍵生成部131は、被付与者に電子証明書が付与されるときに、当該電子証明書に関連する各公開鍵を管理装置3に送信してもよい。 The key generation unit 131 transmits the generated public key for the manager E, the public key for the C unit, and the public key for the reader F to the management device 3 ((4) in FIG. 4). The key generation unit 131 may transmit each public key related to the digital certificate to the management device 3 when the digital certificate is given to the grantee.

続いて、付与端末1eは、電子証明書を生成する。具体的には、付与端末1eの証明書生成部132は、複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成する。より具体的には、証明書生成部132は、集団の管理者を証明する管理者証明書に対応する集団所属証明書と、当該管理者証明書に対応するユーザ所属証明書とを含む電子証明書を生成する。 Subsequently, the granting terminal 1e generates an electronic certificate. Specifically, the certificate generation unit 132 of the granting terminal 1e is an electronic device including a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the groups and users. Generate a certificate. More specifically, the certificate generation unit 132 is an electronic certificate including a group affiliation certificate corresponding to an administrator certificate certifying the administrator of the group and a user affiliation certificate corresponding to the administrator certificate. Generate a book.

図4に示す例において、証明書生成部132は、まず、リーダーFがC部に所属することを証明するユーザ所属証明書を生成し(図4の(5))、生成したユーザ所属証明書に対応する管理者証明書として、C部の管理者が部長Eであることを示す管理者証明書を生成する(図4の(6))。管理者証明書は予め生成されてもよい。 In the example shown in FIG. 4, the certificate generation unit 132 first generates a user affiliation certificate certifying that the leader F belongs to the C unit ((5) in FIG. 4), and the generated user affiliation certificate. As an administrator certificate corresponding to the above, an administrator certificate indicating that the administrator of the C department is the manager E is generated ((6) in FIG. 4). The administrator certificate may be generated in advance.

図5は、電子証明書の内容を模式的に表した図である。図5(a)は、ユーザ所属証明書の内容を表し、図5(b)は、管理者証明書の内容を表している。図5(a)に示すユーザ所属証明書には、電子証明書の区分を示す「区分」項目と、所属される集団を示す「被従属」項目と、所属するユーザを示す「従属」項目とが含まれる。図5(a)に示す「区分」項目には、当該電子証明書がユーザ所属証明書であることが示されている。図4に示す例において、図5(a)に示すユーザ所属証明書の「被従属」項目には、C部用の公開鍵の鍵識別情報が示され、「従属」項目には、リーダーF用の公開鍵の鍵識別情報が示されている。 FIG. 5 is a diagram schematically showing the contents of the digital certificate. FIG. 5A shows the contents of the user affiliation certificate, and FIG. 5B shows the contents of the administrator certificate. The user affiliation certificate shown in FIG. 5A includes a "classification" item indicating the classification of the digital certificate, a "subordinate" item indicating the group to which the digital certificate belongs, and a "dependent" item indicating the user to which the digital certificate belongs. Is included. The "classification" item shown in FIG. 5A indicates that the digital certificate is a user affiliation certificate. In the example shown in FIG. 4, the "subordinate" item of the user affiliation certificate shown in FIG. 5A shows the key identification information of the public key for the C part, and the "dependent" item is the leader F. The key identification information of the public key for is shown.

図5(b)に示す管理者証明書には、「区分」項目と、管理者を示す「管理者」項目と、管理者が所属する集団を示す「集団」項目とが含まれる。図5(b)に示す「区分」項目には、当該電子証明書が管理者証明書であることが示されている。図4に示す例において、図5(b)に示す管理者証明書の「管理者」項目には、部長E用の公開鍵の鍵識別情報が示され、「集団」項目には、C部用の公開鍵の鍵識別情報が示されている。 The administrator certificate shown in FIG. 5B includes a "classification" item, an "administrator" item indicating an administrator, and a "group" item indicating a group to which the administrator belongs. The "Category" item shown in FIG. 5B indicates that the digital certificate is an administrator certificate. In the example shown in FIG. 4, the "administrator" item of the administrator certificate shown in FIG. 5 (b) shows the key identification information of the public key for the manager E, and the "group" item shows the C part. The key identification information of the public key for is shown.

ここで、管理者証明書に対応するユーザ所属証明書とは、例えば、ユーザ所属証明書に含まれる「被従属」項目に示される鍵識別情報と、管理者証明書に含まれる「集団」項目に示される鍵識別情報とが一致する関係である。証明書生成部132は、ユーザ所属証明書に対して、管理者証明書を識別する証明書識別情報を含めることにより、明示的に管理者証明書を対応付けてもよい。 Here, the user affiliation certificate corresponding to the administrator certificate is, for example, the key identification information shown in the "subordinate" item included in the user affiliation certificate and the "group" item included in the administrator certificate. It is a relationship that matches the key identification information shown in. The certificate generation unit 132 may explicitly associate the administrator certificate with the user affiliation certificate by including the certificate identification information that identifies the administrator certificate.

図4に戻り、付与端末1eの署名部133は、生成されたユーザ所属証明書に対して、部長E用の秘密鍵を用いて電子署名を行い、生成された管理者証明書に対して、C部用の秘密鍵を用いて電子署名を行う。ユーザ所属証明書の電子署名には、部長E用の公開鍵の鍵識別情報が含まれ、管理者証明書の電子署名には、C部用の公開鍵の鍵識別情報が含まれている。 Returning to FIG. 4, the signature unit 133 of the granting terminal 1e digitally signs the generated user affiliation certificate using the private key for the manager E, and the generated administrator certificate is subjected to a digital signature. Digitally sign using the private key for part C. The digital signature of the user affiliation certificate includes the key identification information of the public key for the manager E, and the digital signature of the administrator certificate includes the key identification information of the public key for the C department.

続いて、証明書生成部132は、B本部がA会社に所属すること、及びC部がB本部に所属することを証明する2つの集団所属証明書と、当該2つの集団所属証明書それぞれに対応する2つの管理者証明書とを、付与端末1eの記憶部12から取得する(図4の(7))。このようにして、証明書生成部132は、ユーザ所属証明書と、集団所属証明書と、それぞれの証明書に対応する管理者証明書とを含む電子証明書を生成する。 Subsequently, the certificate generation unit 132 has two group affiliation certificates certifying that the B headquarters belongs to the A company and the C department belongs to the B headquarters, and each of the two group affiliation certificates. The corresponding two administrator certificates are obtained from the storage unit 12 of the granting terminal 1e ((7) in FIG. 4). In this way, the certificate generation unit 132 generates an electronic certificate including a user affiliation certificate, a group affiliation certificate, and an administrator certificate corresponding to each certificate.

そして、付与端末1eの証明書付与部134は、通信部11を介して、電子署名がされた電子証明書及びリーダーF用鍵(リーダーF用の公開鍵及び秘密鍵)を、被付与端末2fに送信する(図4の(8))。被付与端末2fの証明書管理部231は、付与端末1eから送信された電子証明書及びリーダーF用鍵を取得し、被付与端末2fの記憶部22に記憶させる。このようにして、証明書付与部134は、電子証明書をリーダーFに付与する。 Then, the certificate granting unit 134 of the granting terminal 1e transfers the digitally signed digital certificate and the reader F key (public key and private key for the reader F) to the granting terminal 2f via the communication unit 11. ((8) in FIG. 4). The certificate management unit 231 of the grant terminal 2f acquires the digital certificate and the reader F key transmitted from the grant terminal 1e and stores them in the storage unit 22 of the grant terminal 2f. In this way, the certificate granting unit 134 grants the digital certificate to the reader F.

[電子証明書を発行する処理(2)]
図6及び図8は、電子証明書を発行する処理の流れの一例を模式的に表した図である。図6及び図8においては、リーダーFが使用する端末が、メンバーGが使用する被付与端末2gに電子証明書を付与する流れを示している。リーダーFが使用する端末は、メンバーGに電子証明書を付与するために、付与端末1fとして機能する。
[Process for issuing digital certificate (2)]
6 and 8 are diagrams schematically showing an example of the flow of processing for issuing a digital certificate. 6 and 8 show a flow in which the terminal used by the reader F grants the digital certificate to the granted terminal 2g used by the member G. The terminal used by the reader F functions as the granting terminal 1f in order to grant the digital certificate to the member G.

まず、付与端末1fの鍵生成部131は、電子証明書に用いる秘密鍵及び公開鍵を生成する。図6に示す例において、鍵生成部131は、Dグループ用鍵として、Dグループ用の秘密鍵及び公開鍵を生成する(図6の(1))。鍵生成部131は、生成したDグループ用の公開鍵を、通信部11を介して、管理装置3に送信する(図6の(2))。 First, the key generation unit 131 of the granting terminal 1f generates a private key and a public key used for the digital certificate. In the example shown in FIG. 6, the key generation unit 131 generates a private key and a public key for the D group as the D group key ((1) in FIG. 6). The key generation unit 131 transmits the generated public key for the D group to the management device 3 via the communication unit 11 ((2) in FIG. 6).

また、鍵生成部131は、通信部11を介して、生成したDグループ用の公開鍵を部長Eが使用する付与端末1eに送信する(図6の(3))。鍵生成部131は、例えば、リーダーFがC部に所属することを証明するユーザ所属証明書に対応する、C部の管理者が部長Eであることを証明する管理者証明書に基づいて、生成したDグループ用鍵を付与端末1eに送信する。 Further, the key generation unit 131 transmits the generated public key for the D group to the granting terminal 1e used by the manager E via the communication unit 11 ((3) in FIG. 6). The key generation unit 131 is based on, for example, an administrator certificate certifying that the administrator of the C unit is the manager E, which corresponds to a user affiliation certificate certifying that the leader F belongs to the C unit. The generated D group key is transmitted to the granting terminal 1e.

続いて、部長Eが使用する付与端末1eは、リーダーFに付与する電子証明書を生成する。具体的には、付与端末1eの証明書生成部132は、記憶部12から取得した管理者証明書と、当該管理者証明書に対応する集団所属証明書とを含む電子証明書を生成する。図6に示す例において、証明書生成部132は、DグループがC部に所属することを証明する集団所属証明書を生成する(図6の(4))。 Subsequently, the granting terminal 1e used by the manager E generates an electronic certificate to be granted to the reader F. Specifically, the certificate generation unit 132 of the granting terminal 1e generates an electronic certificate including an administrator certificate acquired from the storage unit 12 and a group affiliation certificate corresponding to the administrator certificate. In the example shown in FIG. 6, the certificate generation unit 132 generates a group affiliation certificate certifying that the D group belongs to the C unit ((4) in FIG. 6).

図7は、電子証明書の内容を模式的に表した図である。図7(a)は、集団所属証明書の内容を表し、図7(b)は、管理者証明書の内容を表している。図7(a)に示す集団所属証明書には、「区分」項目と、「被従属」項目と、所属する集団を示す「従属」項目とが含まれる。図7(a)に示す「区分」項目には、当該電子証明書が集団所属証明書であることが示されている。図7(a)に示す集団所属証明書の「被従属」項目には、C部用の公開鍵の鍵識別情報が示され、「従属」項目には、Dグループ用の公開鍵の鍵識別情報が示されている。 FIG. 7 is a diagram schematically showing the contents of the digital certificate. FIG. 7A shows the contents of the group affiliation certificate, and FIG. 7B shows the contents of the administrator certificate. The group affiliation certificate shown in FIG. 7A includes a "classification" item, a "subordinate" item, and a "subordinate" item indicating the group to which the group belongs. The "classification" item shown in FIG. 7A indicates that the digital certificate is a group affiliation certificate. The "subordinate" item of the group affiliation certificate shown in FIG. 7A shows the key identification information of the public key for the C part, and the "dependent" item shows the key identification of the public key for the D group. Information is shown.

ここで、管理者証明書に対応する集団所属証明書とは、例えば、集団所属証明書に含まれる「被従属」項目に示される鍵識別情報と、管理者証明書に含まれる「集団」項目に示される鍵識別情報とが一致する関係である。図7(b)に示す管理者証明書の「集団」には、当該管理者証明書に対応する図7(a)に示す集団所属証明書の「被従属」項目に示されている鍵識別情報に一致する、C部用の公開鍵の鍵識別情報が示されている。証明書生成部132は、集団所属証明書に対して、管理者証明書を識別する証明書識別情報を含めることにより、明示的に管理者証明書を対応付けてもよい。 Here, the group affiliation certificate corresponding to the administrator certificate is, for example, the key identification information shown in the "subordinate" item included in the group affiliation certificate and the "group" item included in the administrator certificate. It is a relationship that matches the key identification information shown in. The "group" of the administrator certificate shown in FIG. 7 (b) includes the key identification shown in the "subordinate" item of the group affiliation certificate shown in FIG. 7 (a) corresponding to the administrator certificate. The key identification information of the public key for part C, which matches the information, is shown. The certificate generation unit 132 may explicitly associate the administrator certificate with the group affiliation certificate by including the certificate identification information that identifies the administrator certificate.

図6に戻り、付与端末1eの署名部133は、部長E用の秘密鍵を用いて、生成した集団所属証明書に電子署名を行う。電子署名には、部長E用の公開鍵の鍵識別情報が含まれている。付与端末1eの証明書付与部134は、生成した電子証明書を被付与端末2fに送信する(図6の(5))。具体的には、証明書付与部134は、生成された集団所属証明書と、記憶部12から取得された、当該集団所属証明書に対応する管理者証明書とを含む電子証明書を被付与端末2fに送信する。リーダーFが使用する被付与端末2fの証明書管理部231は、付与端末1eから送信された電子証明書を取得し、記憶部22に記憶させる。 Returning to FIG. 6, the signature unit 133 of the granting terminal 1e digitally signs the generated group affiliation certificate using the private key for the director E. The electronic signature includes the key identification information of the public key for the manager E. The certificate granting unit 134 of the granting terminal 1e transmits the generated digital certificate to the granting terminal 2f ((5) in FIG. 6). Specifically, the certificate granting unit 134 grants an electronic certificate including the generated group affiliation certificate and the administrator certificate corresponding to the group affiliation certificate obtained from the storage unit 12. Send to terminal 2f. The certificate management unit 231 of the grant terminal 2f used by the reader F acquires the digital certificate transmitted from the grant terminal 1e and stores it in the storage unit 22.

続いて、リーダーFが使用する付与端末1fの鍵生成部131は、メンバーGに付与するメンバーG用鍵として、メンバーG用の秘密鍵及び公開鍵を生成する(図8の(6))。なお、メンバーGが使用する被付与端末2gが、メンバーG用鍵を生成してもよい。付与端末1fの鍵生成部131は、生成したメンバーG用の公開鍵を、通信部11を介して、管理装置3に送信する(図8の(7))。 Subsequently, the key generation unit 131 of the granting terminal 1f used by the leader F generates a private key and a public key for the member G as the key for the member G to be given to the member G ((6) in FIG. 8). The given terminal 2g used by the member G may generate the key for the member G. The key generation unit 131 of the granting terminal 1f transmits the generated public key for the member G to the management device 3 via the communication unit 11 ((7) in FIG. 8).

続いて、付与端末1fの証明書生成部132は、メンバーGに付与する電子証明書として、集団所属証明書と、ユーザ所属証明書と、管理者証明書とを生成する。図8に示す例として、証明書生成部132は、まず、メンバーGがDグループに所属することを証明するユーザ所属証明書を生成し(図8の(8))、生成したユーザ所属証明書に対応する管理者証明書として、Dグループの管理者がリーダーFであることを証明する管理者証明書を生成する(図8の(9))。 Subsequently, the certificate generation unit 132 of the granting terminal 1f generates a group affiliation certificate, a user affiliation certificate, and an administrator certificate as electronic certificates to be given to the member G. As an example shown in FIG. 8, the certificate generation unit 132 first generates a user affiliation certificate certifying that the member G belongs to the D group ((8) in FIG. 8), and the generated user affiliation certificate. As an administrator certificate corresponding to the above, an administrator certificate certifying that the administrator of the D group is the leader F is generated ((9) in FIG. 8).

この場合におけるユーザ所属証明書の「被従属」項目には、Dグループ用の公開鍵の鍵識別情報が示され、「従属」項目には、メンバーG用の公開鍵の鍵識別情報が示されている。また、管理者証明書の「管理者」項目には、リーダーF用の公開鍵の鍵識別情報が示され、「集団」項目には、Dグループ用の公開鍵の鍵識別情報が示されている。付与端末1fの署名部133は、リーダーF用の秘密鍵を用いて、生成したユーザ所属証明書に電子署名を行い、Dグループ用の秘密鍵を用いて、管理者証明書に電子署名を行う。ユーザ所属証明書の電子署名には、リーダーF用の公開鍵の鍵識別情報が含まれ、管理者証明書の電子署名には、Dグループ用の公開鍵の鍵識別情報が含まれている。 In this case, the "subordinate" item of the user affiliation certificate shows the key identification information of the public key for the D group, and the "subordinate" item shows the key identification information of the public key for the member G. ing. Further, the "administrator" item of the administrator certificate shows the key identification information of the public key for the leader F, and the "group" item shows the key identification information of the public key for the D group. There is. The signature unit 133 of the granting terminal 1f digitally signs the generated user affiliation certificate using the private key for the reader F, and digitally signs the administrator certificate using the private key for the D group. .. The digital signature of the user affiliation certificate includes the key identification information of the public key for the reader F, and the electronic signature of the administrator certificate includes the key identification information of the public key for the D group.

続いて、付与端末1fの証明書生成部132は、B本部がA会社に所属すること、C部がB本部に所属すること、及びDグループがC部に所属することを証明する3つの集団所属証明書と、当該3つの集団所属証明書それぞれに対応する3つの管理者証明書とを、付与端末1fの記憶部12から取得する(図8の(10))。このようにして、証明書生成部132は、ユーザ所属証明書、集団所属証明書、及びそれぞれの証明書に対応する管理者証明書を含む電子証明書を生成する。 Subsequently, the certificate generation unit 132 of the granting terminal 1f is a group of three certifying that the B headquarters belongs to the A company, the C department belongs to the B headquarters, and the D group belongs to the C department. The affiliation certificate and the three administrator certificates corresponding to each of the three group affiliation certificates are acquired from the storage unit 12 of the granting terminal 1f ((10) in FIG. 8). In this way, the certificate generation unit 132 generates a user affiliation certificate, a group affiliation certificate, and an electronic certificate including an administrator certificate corresponding to each certificate.

そして、付与端末1fの証明書付与部134は、通信部11を介して、生成した電子証明書を被付与端末2gに送信する。具体的には、証明書付与部134は、通信部11を介して、電子署名がされた電子証明書及びメンバーG用鍵(メンバーG用の公開鍵及び秘密鍵)を、被付与端末2gに送信する(図8の(11))。被付与端末2gの証明書管理部231は、付与端末1fから送信された電子証明書及びメンバーG用鍵を取得し、被付与端末2gの記憶部22に記憶させる。このようにして、付与端末1fの証明書付与部134は、電子証明書をメンバーGに付与する。 Then, the certificate granting unit 134 of the granting terminal 1f transmits the generated digital certificate to the granting terminal 2g via the communication unit 11. Specifically, the certificate granting unit 134 transfers the digitally signed digital certificate and the member G key (public key and private key for member G) to the granted terminal 2g via the communication unit 11. It is transmitted ((11) in FIG. 8). The certificate management unit 231 of the grant terminal 2g acquires the digital certificate and the member G key transmitted from the grant terminal 1f and stores them in the storage unit 22 of the grant terminal 2g. In this way, the certificate granting unit 134 of the granting terminal 1f grants the digital certificate to the member G.

[アクセスを制御する処理]
図9は、リソースに対するアクセスを制御する流れの一例を模式的に表した図である。図9においては、管理装置3が、メンバーGが使用する被付与端末2gからのリソースR3(C部にアクセス権限が付与されているリソース)に対するアクセスを制御する流れを示している。この場合における管理装置3は、リソースR3に限らず、リソースR1、R2、R4のいずれであってもよい。
[Process to control access]
FIG. 9 is a diagram schematically showing an example of a flow for controlling access to a resource. FIG. 9 shows a flow in which the management device 3 controls access to the resource R3 (the resource to which the access authority is given to the C unit) from the granted terminal 2g used by the member G. The management device 3 in this case is not limited to the resource R3, and may be any of the resources R1, R2, and R4.

まず、被付与端末2gは、管理装置3に記憶されているリソースR3に対するアクセスを要求する(図9の(1))。具体的には、被付与端末2gは、証明書管理部231が、記憶部22から取得したユーザ所属証明書、集団所属証明書、及び各証明書に対応する管理者証明書を含む電子証明書を送信するとともに、管理装置3にリソースR3に対するアクセスを要求する。 First, the granted terminal 2g requests access to the resource R3 stored in the management device 3 ((1) in FIG. 9). Specifically, the granted terminal 2g is an electronic certificate including a user affiliation certificate, a group affiliation certificate, and an administrator certificate corresponding to each certificate acquired by the certificate management unit 231 from the storage unit 22. Is transmitted, and the management device 3 is requested to access the resource R3.

図9に示す例において、ユーザ所属証明書には、メンバーG及びDグループ間の所属関係が示されており、集団所属証明書には、A会社及びB本部間の所属関係、B本部及びC部間の所属関係、C部及びDグループ間の所属関係がそれぞれ示されている。 In the example shown in FIG. 9, the user affiliation certificate shows the affiliation relationship between the members G and D groups, and the group affiliation certificate shows the affiliation relationship between company A and B headquarters, B headquarters and C. The affiliation relationship between departments and the affiliation relationship between departments C and D are shown respectively.

管理装置3の取得部331は、通信部31を介して、被付与端末2gからのアクセス要求とともに送信された集団所属証明書と、ユーザ所属証明書と、管理者証明書とを含む電子証明書を取得する(図9の(2))。続いて、管理装置3の特定部332は、取得部331が取得した電子証明書に基づいて、ユーザが所属する集団の階層構造を特定する(図9の(3))。具体的には、特定部332は、電子証明書に電子署名がされていることを条件として、ユーザが所属する集団の階層構造を特定する。より具体的には、特定部は、電子署名の署名元が、電子証明書が示す集団を管理する管理者であることを条件として、ユーザが所属する集団の階層構造を特定する。 The acquisition unit 331 of the management device 3 is an electronic certificate including a group affiliation certificate, a user affiliation certificate, and an administrator certificate transmitted together with an access request from the granted terminal 2g via the communication unit 31. ((2) in FIG. 9). Subsequently, the identification unit 332 of the management device 3 specifies the hierarchical structure of the group to which the user belongs based on the digital certificate acquired by the acquisition unit 331 ((3) in FIG. 9). Specifically, the identification unit 332 specifies the hierarchical structure of the group to which the user belongs, provided that the digital certificate is digitally signed. More specifically, the specific unit specifies the hierarchical structure of the group to which the user belongs, provided that the signature source of the electronic signature is the administrator who manages the group indicated by the digital certificate.

図9に示す例において、特定部332は、ユーザ所属証明書の電子署名が示すリーダーF用の公開鍵の鍵識別情報と、当該ユーザ所属証明書に対応する管理者証明書が示すDグループの管理者であるリーダーF用の公開鍵の鍵識別情報とが一致することを条件として、メンバーGが所属するDグループの階層構造を特定する。この場合における「Dグループの階層構造」は、Dグループが、A会社に属する集団の一つであるB本部の下位階層の集団の一つであるC部に属していることを示し、例えば、「A会社−B本部−C部−Dグループ」のようにDグループの階層構造を特定する。このようにすることで、特定部332は、改ざんされた電子証明書に基づいてリソースにアクセスされることを抑止することができる。 In the example shown in FIG. 9, the specific unit 332 refers to the key identification information of the public key for the reader F indicated by the electronic signature of the user affiliation certificate and the D group indicated by the administrator certificate corresponding to the user affiliation certificate. The hierarchical structure of the D group to which the member G belongs is specified on condition that the key identification information of the public key for the leader F who is the administrator matches. The "hierarchical structure of the D group" in this case indicates that the D group belongs to the C department, which is one of the lower hierarchy groups of the B headquarters, which is one of the groups belonging to the A company. Specify the hierarchical structure of Group D as "Company A-Headquarters B-Department C-Group D". By doing so, the specific unit 332 can prevent the resource from being accessed based on the falsified digital certificate.

ところで、企業においては、組織改変により組織構造が変わったり、人事異動によりユーザが所属する組織が変わったりする場合がある。そこで、特定部332は、電子証明書が、有効ではない電子証明書であることを示す失効情報に含まれていないことを条件として、ユーザが所属する集団の階層構造を特定してもよい。特定部332は、例えば、失効された電子証明書を管理する不図示の失効情報管理サーバに、ユーザ所属証明書又は集団所属証明書が有効であるか否かを問い合わせ、問い合わせた電子証明書が失効情報に含まれていない旨の通知を受けたことを条件として、ユーザが所属する集団の階層構造を特定してもよい。また、特定部332は、例えば、失効情報管理サーバから失効情報を取得し、取得した失効情報にユーザ所属証明書等が含まれていないか否かを判定してもよい。このようにすることで、特定部332は、有効ではない電子証明書に基づいてユーザが所属する集団の階層構造を特定してしまう事態を防止することができる。 By the way, in a company, the organizational structure may change due to organizational changes, or the organization to which the user belongs may change due to personnel changes. Therefore, the specific unit 332 may specify the hierarchical structure of the group to which the user belongs, provided that the digital certificate is not included in the revocation information indicating that the digital certificate is an invalid digital certificate. The specific unit 332 inquires, for example, whether the user affiliation certificate or the group affiliation certificate is valid to the revocation information management server (not shown) that manages the revoked digital certificate, and the inquired electronic certificate is received. The hierarchical structure of the group to which the user belongs may be specified on condition that the notification that the user is not included in the revocation information is received. Further, the specific unit 332 may, for example, acquire revocation information from the revocation information management server and determine whether or not the acquired revocation information includes a user affiliation certificate or the like. By doing so, the specific unit 332 can prevent a situation in which the specific unit 332 specifies the hierarchical structure of the group to which the user belongs based on an invalid digital certificate.

続いて、管理装置3の判定部333は、特定部332が特定したユーザが所属する集団の階層構造が、リソースに対するアクセスが許可された集団に関連していることを条件として、リソースR3に対するアクセスを許可する。具体的には、判定部333は、ユーザが所属する集団の階層構造に、リソースに対するアクセスが許可された集団が含まれていることを条件として、リソースR3に対するアクセスを許可する。 Subsequently, the determination unit 333 of the management device 3 accesses the resource R3 on the condition that the hierarchical structure of the group to which the user specified by the specific unit 332 belongs is related to the group to which the access to the resource is permitted. Allow. Specifically, the determination unit 333 permits access to the resource R3 on the condition that the hierarchical structure of the group to which the user belongs includes the group to which the access to the resource is permitted.

図9に示す例において、判定部333は、まず、アクセスを要求した被付与端末2gに権限があるか否かを判定する(図9の(4))。この場合、判定部333は、メンバーGがDグループに所属し、DグループがC部に所属することを特定した特定情報に、リソースR3に対するアクセスが許可されたC部が含まれるので、被付与端末2gに権限があると判定する。判定部333は、被付与端末2gに権限があると判定すると、確認用文字列を生成し、生成した確認用文字列を被付与端末2gに送信することにより、アクセスを要求した端末が、電子証明書が示すメンバーGが使用する被付与端末2gであることの証明を要求する(図9の(5))。確認用文字列は、ランダムに生成された文字列である。 In the example shown in FIG. 9, the determination unit 333 first determines whether or not the granted terminal 2g that has requested access has authority ((4) in FIG. 9). In this case, the determination unit 333 is granted because the specific information that identifies that the member G belongs to the D group and the D group belongs to the C unit includes the C unit that is permitted to access the resource R3. It is determined that the terminal 2g has authority. When the determination unit 333 determines that the granted terminal 2g has authority, it generates a confirmation character string and transmits the generated confirmation character string to the granted terminal 2g, so that the terminal requesting access is electronic. Request proof that it is the granted terminal 2g used by the member G indicated by the certificate ((5) in FIG. 9). The confirmation character string is a randomly generated character string.

被付与端末2gの暗号化部232は、記憶部22に記憶されているメンバーG用の秘密鍵を用いて、管理装置3から送信された確認用文字列を暗号化する(図9の(6))。具体的には、暗号化部232は、管理装置3から送信された確認用文字列を、ハッシュ関数を用いてハッシュ値を算出し、記憶部22に記憶されているメンバーG用の秘密鍵を用いて、算出したハッシュ値を暗号化する。暗号化部232は、通信部21を介して、暗号化した確認用文字列を管理装置3に送信することにより、電子証明書が示すメンバーGが使用する被付与端末2gであることを証明する(図9の(7))。 The encryption unit 232 of the granted terminal 2g encrypts the confirmation character string transmitted from the management device 3 by using the private key for the member G stored in the storage unit 22 ((6) in FIG. 9). )). Specifically, the encryption unit 232 calculates a hash value of the confirmation character string transmitted from the management device 3 by using a hash function, and stores the private key for the member G stored in the storage unit 22. Use to encrypt the calculated hash value. The encryption unit 232 transmits the encrypted confirmation character string to the management device 3 via the communication unit 21 to prove that it is the granted terminal 2g used by the member G indicated by the digital certificate. ((7) in FIG. 9).

管理装置3の判定部333は、被付与端末2gから送信された、暗号化された確認用文字列を確認する(図9の(8))。具体的には、判定部333は、まず、記憶部32に記憶されている、電子証明書に含まれるユーザ所属証明書が示すメンバーG用の公開鍵を用いて、暗号化された確認用文字列を復号し、復号した確認用文字列と、被付与端末2gに送信した確認用文字列とを比較する。より具体的には、判定部333は、復号した確認用文字列であるハッシュ値と、被付与端末2gに送信した確認用文字列を、ハッシュ関数を用いて算出したハッシュ値とが一致するか否かを判定する。 The determination unit 333 of the management device 3 confirms the encrypted confirmation character string transmitted from the granted terminal 2g ((8) in FIG. 9). Specifically, the determination unit 333 first uses the public key for member G stored in the storage unit 32 and indicated by the user affiliation certificate included in the electronic certificate to encrypt the confirmation character. The column is decoded, and the decoded confirmation character string is compared with the confirmation character string transmitted to the granted terminal 2g. More specifically, does the determination unit 333 match the hash value, which is the decrypted confirmation character string, with the hash value calculated by using the hash function for the confirmation character string transmitted to the granted terminal 2g? Judge whether or not.

そして、判定部333は、復号した確認用文字列と、被付与端末2gに送信した確認用文字列とが一致すると判定した場合に、アクセスを要求した被付与端末2gに対して、リソースR3のアクセスを許可する(図9の(9))。このようにして、管理装置3は、リソースに対するアクセスを制御する。管理装置3は、C部の上位組織にアクセスが許可されたリソースR1、R2に対しても、上述のような処理を行うことによってアクセスを制御する。 Then, when the determination unit 333 determines that the decoded confirmation character string and the confirmation character string transmitted to the grant terminal 2g match, the resource R3 requests access to the grant terminal 2g. Allow access ((9) in FIG. 9). In this way, the management device 3 controls access to the resource. The management device 3 also controls access to the resources R1 and R2 that are permitted to be accessed by the upper organization of the C unit by performing the above-mentioned processing.

ところで、下位の階層に集団が存在する上位の階層の集団に所属するユーザにとって、管理装置3に記憶させたリソースR1、R2を、下位の階層の集団に所属するユーザに見られたくない場合がある。そこで、管理装置3の判定部333は、ユーザが所属する集団が、リソースに対するアクセスが許可された集団から所定の階層以内であることを条件として、アクセスを許可してもよい。具体的には、判定部333は、リソースに対するアクセスが許可された集団からユーザが所属する集団までの所属関係を証明する集団所属証明書の数が、所定の閾値以内であることを条件として、アクセスを許可してもよい。 By the way, a user belonging to a group in a higher hierarchy having a group in a lower hierarchy may not want the resources R1 and R2 stored in the management device 3 to be seen by a user belonging to the group in the lower hierarchy. be. Therefore, the determination unit 333 of the management device 3 may permit access on condition that the group to which the user belongs is within a predetermined hierarchy from the group to which access to the resource is permitted. Specifically, the determination unit 333 is subject to the condition that the number of group affiliation certificates certifying the affiliation relationship from the group to which access to the resource is permitted to the group to which the user belongs is within a predetermined threshold value. Access may be granted.

例えば、図3に示すB本部に対してアクセスが許可されたリソースR2を管理装置3に記憶させたユーザが、当該リソースR2に対するアクセスを許可したB本部から1階層以内とする設定を行い、部長Eが使用する端末が、被付与端末2eとしてリソースR2に対するアクセスを要求したとする。この場合、判定部333は、リソースに対するアクセスが許可されたB本部から、部長Eが所属するC部までの所属関係を証明する集団所属証明書の数が、C部がB本部に所属することを証明する集団所属証明書の1つであることから、設定された1階層以内の条件を満たすとして、リソースR2に対するアクセスを許可する。 For example, the user who stores the resource R2 that is permitted to access the resource R2 shown in FIG. 3 in the management device 3 is set to be within one layer from the B headquarters that is permitted to access the resource R2, and is the manager. It is assumed that the terminal used by E requests access to the resource R2 as the granted terminal 2e. In this case, the determination unit 333 has the number of group affiliation certificates certifying the affiliation relationship from the B headquarters to which the manager E belongs to the C division to which the access to the resource is permitted, and the C division belongs to the B headquarters. Since it is one of the group affiliation certificates that certifies, access to the resource R2 is permitted assuming that the conditions within the set one layer are satisfied.

一方、例えば、図3に示すB本部に対してアクセスが許可されたリソースR2を管理装置3に記憶させたユーザが、当該リソースR2に対するアクセスを許可したB本部から1階層以内とする設定を行い、メンバーGが使用する被付与端末2gが、リソースR2に対するアクセスを要求したとする。この場合、リソースに対するアクセスが許可されたB本部から、メンバーGが所属するDグループまでの所属関係を証明する集団所属証明書の数が、C部がB本部に所属することを証明する集団所属証明書と、DグループがC部に所属することを証明する集団所属証明書との2つとなる。したがって、判定部333は、設定された1階層以内の条件を満たさないとして、被付与端末2gからのアクセスを許可しない。このようにすることで、判定部333は、企業の組織構造に対応させた組織情報に基づいてアクセス権限が設定されたように、詳細なアクセス権限を設定させることができる。 On the other hand, for example, the user who stores the resource R2 that is permitted to access the resource R2 shown in FIG. 3 in the management device 3 is set to be within one layer from the B headquarters that is permitted to access the resource R2. It is assumed that the granted terminal 2g used by the member G requests access to the resource R2. In this case, the number of group affiliation certificates certifying the affiliation relationship from the B headquarters to which access to the resource is permitted to the D group to which the member G belongs is the group affiliation certifying that the C department belongs to the B headquarters. There are two types: a certificate and a group affiliation certificate that certifies that Group D belongs to Department C. Therefore, the determination unit 333 does not allow access from the granted terminal 2g, assuming that the condition within the set one layer is not satisfied. By doing so, the determination unit 333 can set the detailed access authority as if the access authority was set based on the organizational information corresponding to the organizational structure of the company.

[管理システムSの処理(1)]
管理システムSにおける処理の流れについて説明する。図10は、管理システムSにおける電子証明書を発行する処理の流れを示すフローチャートである。本フローチャートにおいては、図8に示すリーダーF(付与者)が、メンバーG(被付与者)に電子証明書を付与する処理の流れを示す。付与者が使用する付与端末1には、一以上の集団所属証明書と、当該一以上の集団所属証明書それぞれに対応する一以上の管理者証明書とが記憶部12に記憶されている。また、付与端末1には、生成したリーダーF用鍵(付与者用鍵)とDグループ用鍵(従属集団用鍵)とが記憶部12に記憶されている。以上のような付与端末1の状態を前提として、本フローチャートについて説明する。
[Processing of management system S (1)]
The processing flow in the management system S will be described. FIG. 10 is a flowchart showing a flow of processing for issuing a digital certificate in the management system S. In this flowchart, the flow of the process in which the leader F (granter) shown in FIG. 8 grants the digital certificate to the member G (grantee) is shown. In the granting terminal 1 used by the grantor, one or more group affiliation certificates and one or more administrator certificates corresponding to each of the one or more group affiliation certificates are stored in the storage unit 12. Further, in the grant terminal 1, the generated leader F key (granter key) and D group key (subordinate group key) are stored in the storage unit 12. This flowchart will be described on the premise of the state of the granting terminal 1 as described above.

図12は、電子証明書を発行する画面を模式的に表した図である。図12に示す画面f1は、付与端末1fのディスプレイに表示された電子証明書を発行するための画面である。図12に示す画面f1には、電子証明書を付与する被付与者を選択する被付与者選択項目f11と、電子証明書を付与する被付与者を所属させる集団を選択する集団選択項目f12とが表示されている。 FIG. 12 is a diagram schematically showing a screen for issuing a digital certificate. The screen f1 shown in FIG. 12 is a screen for issuing the digital certificate displayed on the display of the granting terminal 1f. On the screen f1 shown in FIG. 12, a grantee selection item f11 for selecting the grantee to whom the digital certificate is granted, and a group selection item f12 for selecting the group to which the grantee to whom the digital certificate belongs belong. Is displayed.

リーダーFは、例えば、画面f1において、被付与者選択項目f11から「メンバーG」を選択し、集団選択項目f12から「A会社−B本部−C部−Dグループ」を選択して、設定ボタンを押下する操作を行う。付与者が、このような簡単な操作を行うことにより、被付与者選択項目f11において選択された被付与者に対して電子証明書が付与される。付与者が、図12に示す画面f1の設定ボタンを押下したことを契機として、図11に示すフローチャートの処理が開始される。 For example, on the screen f1, the leader F selects "member G" from the grantee selection item f11, selects "company A-B headquarters-C department-D group" from the group selection item f12, and sets the setting button. Perform the operation of pressing. By performing such a simple operation, the grantor grants the digital certificate to the grantee selected in the grantee selection item f11. When the grantor presses the setting button on the screen f1 shown in FIG. 12, the processing of the flowchart shown in FIG. 11 is started.

まず、鍵生成部131は、電子証明書に用いる鍵として、秘密鍵及び公開鍵を含む、被付与者用鍵(メンバーG用鍵)を生成する(S10)。鍵生成部131は、通信部11を介して、生成した被付与者用の公開鍵を管理装置3に送信する(S20)。 First, the key generation unit 131 generates a grantee key (member G key) including a private key and a public key as a key used for the digital certificate (S10). The key generation unit 131 transmits the generated public key for the grantee to the management device 3 via the communication unit 11 (S20).

続いて、証明書生成部132は、管理者証明書を生成する(S30)。具体的には、証明書生成部132は、「管理者」項目において付与者用の公開鍵の鍵識別情報を示し、「集団」項目において従属集団用の公開鍵の鍵識別情報を示した管理者証明書を生成する。署名部133は、生成された管理者証明書に、従属集団用の秘密鍵を用いて、電子署名を実行する(S40)。管理者証明書の電子署名には、従属集団用の公開鍵の鍵識別情報が含まれている。 Subsequently, the certificate generation unit 132 generates an administrator certificate (S30). Specifically, the certificate generation unit 132 shows the key identification information of the public key for the grantor in the "administrator" item, and shows the key identification information of the public key for the subordinate group in the "group" item. Generate a person certificate. The signature unit 133 executes a digital signature on the generated administrator certificate by using the private key for the subordinate group (S40). The digital signature of the administrator certificate contains the key identification information of the public key for the subordinate group.

続いて、証明書生成部132は、ユーザ所属証明書を生成する(S50)。具体的には、証明書生成部132は、「被従属」項目において従属集団用の公開鍵の鍵識別情報を示し、「従属」項目において被付与者用の公開鍵の鍵識別情報を示したユーザ所属証明書を生成する。署名部133は、生成されたユーザ所属証明書に、付与者用の秘密鍵を用いて、電子署名を実行する(S60)。ユーザ所属証明書の電子署名には、付与者用の公開鍵の鍵識別情報が含まれている。 Subsequently, the certificate generation unit 132 generates a user affiliation certificate (S50). Specifically, the certificate generation unit 132 shows the key identification information of the public key for the dependent group in the "subordinate" item, and shows the key identification information of the public key for the grantee in the "subordinate" item. Generate user affiliation certificate. The signature unit 133 executes a digital signature on the generated user affiliation certificate by using the private key for the grantor (S60). The digital signature of the user affiliation certificate includes the key identification information of the public key for the grantor.

続いて、証明書生成部132は、一以上の集団所属証明書と、当該一以上の集団所属証明書それぞれに対応する一以上の管理者証明書とを、記憶部12から取得する(S70)。このようにして、証明書生成部132は、ユーザ所属証明書、集団所属証明書、及びそれぞれの証明書に対応する管理者証明書を含む電子証明書を生成する。そして、証明書付与部134は、通信部11を介して、電子署名がされた電子証明書及び被付与者用鍵(被付与者用の公開鍵及び秘密鍵)を、被付与端末2に送信する(S80)。 Subsequently, the certificate generation unit 132 acquires one or more group affiliation certificates and one or more administrator certificates corresponding to each of the one or more group affiliation certificates from the storage unit 12 (S70). .. In this way, the certificate generation unit 132 generates a user affiliation certificate, a group affiliation certificate, and an electronic certificate including an administrator certificate corresponding to each certificate. Then, the certificate granting unit 134 transmits the electronically signed digital certificate and the grantee key (public key and private key for the grantee) to the grantee terminal 2 via the communication unit 11. (S80).

[管理システムSの処理(2)]
図11は、管理システムSにおけるアクセスを制御する処理の流れを示すシーケンス図である。まず、被付与端末2が、管理装置3が管理するリソースにアクセスする場合において、被付与端末2の証明書管理部231は、記憶部22に記憶されているユーザ所属証明書、集団所属証明書、及び各証明書に対応する管理者証明書を含む電子証明書を取得する(S110)。被付与端末2は、証明書管理部231が取得した電子証明書を送信するとともに、管理装置3が管理するリソースに対するアクセスを要求する。
[Processing of management system S (2)]
FIG. 11 is a sequence diagram showing a flow of processing for controlling access in the management system S. First, when the granted terminal 2 accesses the resource managed by the management device 3, the certificate management unit 231 of the granted terminal 2 has a user affiliation certificate and a group affiliation certificate stored in the storage unit 22. , And obtain an electronic certificate including the administrator certificate corresponding to each certificate (S110). The grant terminal 2 transmits the digital certificate acquired by the certificate management unit 231 and requests access to the resource managed by the management device 3.

管理装置3の取得部331は、被付与端末2gからのアクセス要求とともに送信された集団所属証明書と、ユーザ所属証明書と、管理者証明書とを含む電子証明書を取得する。特定部332は、取得部331が取得した、複数の集団所属証明書と、1つのユーザ所属証明書とを含む電子証明書に基づいて、ユーザが所属する集団の階層構造を特定する(S120)。 The acquisition unit 331 of the management device 3 acquires an electronic certificate including a group affiliation certificate, a user affiliation certificate, and an administrator certificate transmitted together with an access request from the granted terminal 2g. The specific unit 332 specifies the hierarchical structure of the group to which the user belongs based on the digital certificate including the plurality of group affiliation certificates and one user affiliation certificate acquired by the acquisition unit 331 (S120). ..

続いて、判定部333は、ユーザが所属する集団に権限があるか否かを判定する。具体的には、判定部333は、ユーザが所属する集団の階層構造に、リソースに対するアクセスが許可された集団が含まれているか否かを判定する。判定部333は、ユーザが所属する集団の階層構造に、リソースに対するアクセスが許可された集団が含まれていないと判定した場合(S130においてNOの場合)、リソースに対するアクセスを許可せずに処理を終了する。一方、判定部333は、ユーザが所属する集団の階層構造に、リソースに対するアクセスが許可された集団が含まれていると判定した場合(S130においてYESの場合)、確認用文字列を生成し(S140)、被付与端末2に送信する。 Subsequently, the determination unit 333 determines whether or not the group to which the user belongs has authority. Specifically, the determination unit 333 determines whether or not the hierarchical structure of the group to which the user belongs includes a group to which access to the resource is permitted. When the determination unit 333 determines that the hierarchical structure of the group to which the user belongs does not include the group for which access to the resource is permitted (NO in S130), the determination unit 333 performs processing without permitting access to the resource. finish. On the other hand, when the determination unit 333 determines that the hierarchical structure of the group to which the user belongs includes a group to which access to the resource is permitted (YES in S130), the determination unit 333 generates a confirmation character string (when it is determined to be YES in S130). S140), transmission to the grant terminal 2.

被付与端末2の暗号化部232は、管理装置3から送信された確認用文字列を取得すると、被付与者用の秘密鍵を用いて、取得した確認用文字列を暗号化する(S150)。暗号化部232は、暗号化した確認用文字列を管理装置3に送信する。 When the encryption unit 232 of the grant terminal 2 acquires the confirmation character string transmitted from the management device 3, it encrypts the acquired confirmation character string using the private key for the grantee (S150). .. The encryption unit 232 transmits the encrypted confirmation character string to the management device 3.

管理装置3の判定部333は、被付与端末2から送信された暗号化された確認用文字列を、被付与者用の公開鍵を用いて復号する(S160)。判定部333は、復号した確認用文字列と、被付与端末2に送信した確認用文字列とが一致するか否かを判定する。判定部333は、復号した確認用文字列と、被付与端末2に送信した確認用文字列とが一致しないと判定した場合(S170においてNOの場合)、リソースに対するアクセスを許可せずに処理を終了する。一方、判定部333は、復号した確認用文字列と、被付与端末2に送信した確認用文字列とが一致すると判定した場合(S170においてYESの場合)、リソースに対するアクセスを許可する。これにより、被付与端末2は、リソースにアクセスすることが可能となる。 The determination unit 333 of the management device 3 decrypts the encrypted confirmation character string transmitted from the grantee terminal 2 using the public key for the grantee (S160). The determination unit 333 determines whether or not the decoded confirmation character string and the confirmation character string transmitted to the granted terminal 2 match. When the determination unit 333 determines that the decrypted confirmation character string and the confirmation character string transmitted to the granted terminal 2 do not match (NO in S170), the determination unit 333 performs processing without permitting access to the resource. finish. On the other hand, when the determination unit 333 determines that the decrypted confirmation character string and the confirmation character string transmitted to the granted terminal 2 match (YES in S170), the determination unit 333 permits access to the resource. As a result, the granted terminal 2 can access the resource.

[本実施の形態における効果]
以上説明したとおり、本実施の形態に係る管理システムSは、付与端末1が複数の集団及びユーザ間の所属関係を証明する電子証明書を被付与端末2に付与する。そして、管理装置3は、被付与端末2からのアクセスの要求に対して、電子証明書に基づいてユーザが所属する集団の階層構造を特定し、特定した集団の階層構造にアクセスが許可された集団が含まれていることを条件として、リソースに対するアクセスを許可する。このようにすることで、管理システムSは、管理装置3が、複数の集団及びユーザ間の所属関係を予め記憶しておくことなく、電子証明書が証明する所属関係に基づいて、リソースに対するアクセスを制御することができる。その結果、管理装置3を管理する管理者は、組織情報を管理する負担を軽減することができる。
[Effects in this embodiment]
As described above, in the management system S according to the present embodiment, the granting terminal 1 grants the granting terminal 2 an electronic certificate certifying the affiliation relationship between a plurality of groups and users. Then, the management device 3 specifies the hierarchical structure of the group to which the user belongs based on the digital certificate in response to the access request from the granted terminal 2, and the access is permitted to the hierarchical structure of the specified group. Allow access to resources, provided that the population is included. By doing so, the management system S accesses the resource based on the affiliation relationship proved by the electronic certificate without the management device 3 memorizing the affiliation relationship between the plurality of groups and users in advance. Can be controlled. As a result, the manager who manages the management device 3 can reduce the burden of managing the organization information.

以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されず、その要旨の範囲内で種々の変形及び変更が可能である。例えば、装置の分散・統合の具体的な実施の形態は、以上の実施の形態に限られず、その全部又は一部について、任意の単位で機能的又は物理的に分散・統合して構成することができる。また、複数の実施の形態の任意の組み合わせによって生じる新たな実施の形態も、本発明の実施の形態に含まれる。組み合わせによって生じる新たな実施の形態の効果は、もとの実施の形態の効果を合わせ持つ。 Although the present invention has been described above using the embodiments, the technical scope of the present invention is not limited to the scope described in the above embodiments, and various modifications and changes can be made within the scope of the gist thereof. be. For example, the specific embodiment of the distribution / integration of the device is not limited to the above embodiment, and all or a part thereof may be functionally or physically distributed / integrated in any unit. Can be done. Also included in the embodiments of the present invention are new embodiments resulting from any combination of the plurality of embodiments. The effect of the new embodiment produced by the combination has the effect of the original embodiment together.

上述の実施の形態では、集団として企業における組織を例示したが、本発明は所属関係を定義できるその他の集団についても適用できる。例えばある家族が所有するサーバに、家族の子どもが通う学校の生徒のアクセスを許可したい場合には、家族を上位の集団とし、学校を下位の集団と定義する。上述の実施の形態と同様に、学校の生徒の端末へ電子証明書を付与することによって、学校の生徒の端末に対して家族が所有するサーバへのアクセスを許可することができる。 In the above-described embodiment, an organization in a company is illustrated as a group, but the present invention can be applied to other groups whose affiliation can be defined. For example, if you want to allow the server owned by a family to access the students of the school that the children of the family attend, the family is defined as the upper group and the school is defined as the lower group. Similar to the above embodiment, by giving the electronic certificate to the terminal of the school student, the terminal of the school student can be allowed to access the server owned by the family.

1 付与端末
11 通信部
12 記憶部
13 制御部
131 鍵生成部
132 証明書生成部
133 署名部
134 証明書付与部
2 被付与端末
21 通信部
22 記憶部
23 制御部
231 証明書管理部
232 暗号化部
3 管理装置
31 通信部
32 記憶部
33 制御部
331 取得部
332 特定部
333 判定部
1 Grant terminal 11 Communication unit 12 Storage unit 13 Control unit 131 Key generation unit 132 Certificate generation unit 133 Signature unit 134 Certificate granting unit 2 Granted terminal 21 Communication unit 22 Storage unit 23 Control unit 231 Certificate management unit 232 Encryption Unit 3 Management device 31 Communication unit 32 Storage unit 33 Control unit 331 Acquisition unit 332 Specific unit 333 Judgment unit

Claims (9)

複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を取得する取得部と、
前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定する特定部と、
前記ユーザが所属する前記集団が、前記ユーザが利用するリソースに対するアクセスが許可された前記集団から所定の階層以内であることを条件として、前記リソースに対するアクセスを許可する判定部と、
を有する管理装置。
An acquisition unit that acquires an electronic certificate including a group affiliation certificate that certifies the affiliation relationship between a plurality of groups and a user affiliation certificate that certifies the affiliation relationship between the groups and users.
Based on the digital certificate, a specific unit that specifies the hierarchical structure of the group to which the user belongs, and
A determination unit that permits access to the resource, provided that the group to which the user belongs is within a predetermined hierarchy from the group that is permitted to access the resource used by the user.
Management device with.
前記特定部は、前記電子証明書に電子署名がされていることを条件として、前記ユーザが所属する前記集団の階層構造を特定する、
請求項1に記載の管理装置。
The specific unit specifies the hierarchical structure of the group to which the user belongs, provided that the digital certificate is digitally signed.
The management device according to claim 1.
前記特定部は、前記電子署名の署名元が、前記電子証明書が示す前記集団を管理する管理者であることを条件として、前記ユーザが所属する前記集団の階層構造を特定する、
請求項2に記載の管理装置。
The specific unit specifies the hierarchical structure of the group to which the user belongs, provided that the signature source of the electronic signature is the administrator who manages the group indicated by the digital certificate.
The management device according to claim 2.
前記特定部は、前記電子証明書が、有効ではない前記電子証明書であることを示す失効情報に含まれていないことを条件として、前記ユーザが所属する前記集団の階層構造を特定する、
請求項1からのいずれか一項に記載の管理装置。
The specific unit identifies the hierarchical structure of the group to which the user belongs, provided that the digital certificate is not included in the revocation information indicating that the digital certificate is not valid.
The management device according to any one of claims 1 to 3.
コンピュータを、
複数の集団間における所属関係を証明する集団所属証明書と、集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を取得する取得部
前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定する特定部、及び
前記ユーザが所属する前記集団が、前記ユーザが利用するリソースに対するアクセスが許可された前記集団から所定の階層以内であることを条件として、前記リソースに対するアクセスを許可する判定部、
として機能させるための特定プログラム。
Computer,
Acquisition unit that acquires an electronic certificate including a group affiliation certificate that certifies the affiliation relationship between a plurality of groups and a user affiliation certificate that certifies the affiliation relationship between the group and the user .
Based on the digital certificate, a specific unit that specifies the hierarchical structure of the group to which the user belongs, and
A determination unit that permits access to the resource, provided that the group to which the user belongs is within a predetermined hierarchy from the group to which access to the resource used by the user is permitted.
A specific program to function as.
コンピュータが実行する、
複数の集団間における所属関係を証明する集団所属証明書と、前記集団及びユーザ間における所属関係を証明するユーザ所属証明書とを含む電子証明書を取得するステップと、
前記電子証明書に基づいて、前記ユーザが所属する前記集団の階層構造を特定するステップと、
前記ユーザが所属する前記集団が、前記ユーザが利用するリソースに対するアクセスが許可された前記集団から所定の階層以内であることを条件として、前記リソースに対するアクセスを許可するステップと、
を有する特定方法。
Computer runs,
A step of acquiring an electronic certificate including a group affiliation certificate certifying the affiliation relationship between a plurality of groups and a user affiliation certificate certifying the affiliation relationship between the group and the user.
A step of identifying the hierarchical structure of the group to which the user belongs based on the digital certificate, and
A step of permitting access to the resource, provided that the group to which the user belongs is within a predetermined hierarchy from the group to which access to the resource used by the user is permitted.
Specific method with.
電子証明書を付与する付与者が使用する付与端末と、電子証明書を付与される被付与者が使用する被付与端末と、リソースを管理する管理装置と、を有する管理システムであって、
前記付与端末は、
複数の集団間における所属関係を証明する集団所属証明書と、前記集団及び前記被付与者間における所属関係を証明するユーザ所属証明書とを含む電子証明書を生成する証明書生成部と、
前記電子証明書を前記被付与端末に付与する証明書付与部と、
を有し、
前記管理装置は、
前記被付与端末から、前記集団所属証明書と、前記ユーザ所属証明書とを含む電子証明書を取得する取得部と、
前記電子証明書に基づいて、前記被付与者が所属する前記集団の階層構造を特定する特定部と、
前記被付与者が所属する前記集団が、前記被付与者が利用するリソースに対するアクセスが許可された前記集団から所定の階層以内であることを条件として、前記リソースに対するアクセスを許可する判定部と、
を有する、管理システム。
A management system having a granting terminal used by a grantor who grants a digital certificate, a granting terminal used by a grantor who is granted a digital certificate, and a management device for managing resources.
The granting terminal is
A certificate generator that generates an electronic certificate including a group affiliation certificate that certifies the affiliation relationship between a plurality of groups and a user affiliation certificate that certifies the affiliation relationship between the group and the grantee.
A certificate granting unit that grants the digital certificate to the granted terminal, and
Have,
The management device is
An acquisition unit that acquires an electronic certificate including the group affiliation certificate and the user affiliation certificate from the granted terminal.
Based on the digital certificate, a specific unit that specifies the hierarchical structure of the group to which the grantee belongs, and
A determination unit that permits access to the resource, provided that the group to which the grantee belongs is within a predetermined hierarchy from the group that is permitted to access the resource used by the grantee.
Has a management system.
前記証明書付与部は、電子署名がされた前記電子証明書を前記被付与者に付与する、
請求項7に記載の管理システム
The certificate provider provides the said electronic certificate with an electronic signature to the grantee,
The management system according to claim 7.
前記電子証明書は、集団の管理者を証明する管理者証明書を含み、
前記証明書生成部は、前記管理者証明書に対応する前記集団所属証明書と、前記管理者証明書に対応する前記ユーザ所属証明書とを含む電子証明書を生成する、
請求項7又は8に記載の管理システム
The digital certificate includes an administrator certificate certifying the administrator of the group.
The certificate generation unit generates an electronic certificate including the group affiliation certificate corresponding to the administrator certificate and the user affiliation certificate corresponding to the administrator certificate.
The management system according to claim 7 or 8.
JP2018052973A 2018-03-20 2018-03-20 Management device, specific program, specific method, management system Active JP6960874B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018052973A JP6960874B2 (en) 2018-03-20 2018-03-20 Management device, specific program, specific method, management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018052973A JP6960874B2 (en) 2018-03-20 2018-03-20 Management device, specific program, specific method, management system

Publications (2)

Publication Number Publication Date
JP2019164683A JP2019164683A (en) 2019-09-26
JP6960874B2 true JP6960874B2 (en) 2021-11-05

Family

ID=68066204

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018052973A Active JP6960874B2 (en) 2018-03-20 2018-03-20 Management device, specific program, specific method, management system

Country Status (1)

Country Link
JP (1) JP6960874B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7100330B1 (en) * 2020-10-06 2022-07-13 株式会社Gfs Stamp management method, stamp management device, program, and information processing method
CN114329626B (en) * 2021-12-28 2025-11-04 福建新大陆支付技术有限公司 A hierarchical management and control method and system for POS terminal applications
WO2025057527A1 (en) * 2023-09-12 2025-03-20 日本電気株式会社 Server device, system, server device control method, and storage medium
JP7776038B1 (en) * 2025-03-31 2025-11-26 Toppanホールディングス株式会社 Management device, management system, management method, and program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000148012A (en) * 1998-11-12 2000-05-26 Fuji Xerox Co Ltd Device and method for authentication
JP2001326632A (en) * 2000-05-17 2001-11-22 Fujitsu Ltd Distributed group management system and method
JP2005339055A (en) * 2004-05-25 2005-12-08 Ntt Docomo Inc Access control apparatus and access control method
JP4795776B2 (en) * 2005-11-04 2011-10-19 東芝ソリューション株式会社 Service providing system, apparatus and program
JP5126968B2 (en) * 2008-02-26 2013-01-23 日本電信電話株式会社 Authentication / authorization system, authentication / authorization method

Also Published As

Publication number Publication date
JP2019164683A (en) 2019-09-26

Similar Documents

Publication Publication Date Title
JP6960874B2 (en) Management device, specific program, specific method, management system
JP7559358B2 (en) Service provision system, information processing system, and method for allocating usage rights
CN115176247A (en) Delegation using paired decentralized identifiers
CN108629160B (en) Document management systems and processing equipment
JP4728610B2 (en) Access control list attachment system, original content creator terminal, policy server, original content data management server, program, and recording medium
US11587084B2 (en) Decentralized identification anchored by decentralized identifiers
US11480945B2 (en) Production device for production of an object for user permitted to print pre-defined number of copies of the object including encrypted token, and decrypted by the production device for determining user access right
US12306994B2 (en) User-centric data management system
JP2023143661A (en) Artwork management method, computer, and program
CN110741371B (en) Information processing equipment, protection processing equipment and user terminals
JP2018156410A (en) Information processing apparatus and program
JP2004213265A (en) Electronic document management device, document creator device, document viewer device, electronic document management method, and electronic document management system
JP2012034329A (en) Digital data content certification system
LU101620B1 (en) Issuing verifiable pairwise claims
JP2006048220A (en) Method and program for assigning security attributes of electronic document
Uikey et al. RBACA: role-based access control architecture for multi-domain cloud environment
Marillonnet et al. Personal information self-management: A survey of technologies supporting administrative services
JP2019003477A (en) Information processing system, control method, and program thereof
JP2005165777A (en) Information processing apparatus, information processing method, and program
KR20220043532A (en) A method and server for supporting the provision of financial services
JP7835915B2 (en) credential signing device and credential signing program
JP7835916B2 (en) credential signing device and credential signing program
JP7032626B1 (en) Book data storage device
JP2021157250A (en) Document management system, processing terminal device and control device
Georgiadis et al. Healthcare teams over the Internet: programming a certificate-based approach

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200306

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201225

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20210224

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210430

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210914

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211012

R150 Certificate of patent or registration of utility model

Ref document number: 6960874

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150