JP2004015495A5 - - Google Patents
Download PDFInfo
- Publication number
- JP2004015495A5 JP2004015495A5 JP2002167148A JP2002167148A JP2004015495A5 JP 2004015495 A5 JP2004015495 A5 JP 2004015495A5 JP 2002167148 A JP2002167148 A JP 2002167148A JP 2002167148 A JP2002167148 A JP 2002167148A JP 2004015495 A5 JP2004015495 A5 JP 2004015495A5
- Authority
- JP
- Japan
- Prior art keywords
- group
- service
- attribute certificate
- group attribute
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Description
さらに、本発明の第5の側面は、
ユーザデバイスのサービス受領権限を管理する権限管理処理を実行せしめるコンピュータ・プログラムであって、
サービス提供先デバイスからサービス利用権限確認処理に適用する属性証明書として、特定機器または特定ユーザの集合からなるグループに対応して設定されるグループ識別情報を格納情報とするとともに発行者の電子署名の付加されたグループ属性証明書を受信するデータ受信ステップと、
前記グループ属性証明書の署名検証による改竄有無の検証を実行するとともに、該グループ属性証明書に格納されたグループ識別情報に基づいて、サービス許容グループであるか否かの審査を行い、該審査に基づくサービス提供可否の判定を実行するグループ属性証明書検証処理ステップと、
を有することを特徴とするコンピュータ・プログラムにある。
さらに、本発明の第6の側面は、
サービス提供デバイスのサービス受領権限を管理する権限管理方法において、
サービス受領デバイスは、
複数の機器から構成されるグループへの登録を行い、
前記グループに対して付与されるグループ識別情報を格納し、
前記サービス受領デバイスが前記グループに属することを証明するグループ属性証明書を有し、
サービス提供デバイスは、
前記サービス受領デバイスから前記グループ属性証明書の提示を受け、
前記グループ属性証明書の改竄有無の検証を行い、
前記グループ属性証明書の前記グループ識別情報に基づいて、グループ属性を検査し、
前記サービス受領デバイスが、前記サービス提供デバイスの属する同一のグループである場合に、前記サービス受領デバイスにサービス提供を行うことを特徴とする権限管理方法にある。
さらに、本発明の第7の側面は、
サービス提供デバイスのサービス受領権限を管理する権限管理システムにおいて、
サービス受領デバイスは、
複数の機器から構成されるグループへの登録を行い、
前記グループに対して付与されるグループ識別情報を格納し、
前記サービス受領デバイスが前記グループに属することを証明するグループ属性証明書を有し、
サービス提供デバイスは、
前記サービス受領デバイスから前記グループ属性証明書の提示を受け、
前記グループ属性証明書の改竄有無の検証を行い、
前記グループ属性証明書の前記グループ識別情報に基づいて、グループ属性を検査し、
前記サービス受領デバイスが、前記サービス提供デバイスの属する同一のグループである場合に、前記サービス受領デバイスにサービス提供を行うことを特徴とする権限管理方法にある。
さらに、本発明の第8の側面は、
サービス提供デバイスから、サービス受領権限に応じてサービスを受けるサービス受領デバイスにおいて、
複数のサービス受領機器から構成されるグループへの登録を行い、
前記グループに対して付与されるグループ識別情報を格納し、
前記サービス受領デバイスが前記グループに属することを証明するグループ属性証明書を有し、
サービス要求に伴い前記グループ属性証明書を、前記サービス提供デバイスに提供し、
前記サービス提供デバイスにおいて、前記グループ属性証明書が改竄されていないことが検証され、前記グループ属性証明書に基づいて、前記グループに属していることが確認され、前記サービスを受領権限を許可されることを特徴とするサービス受領デバイスにある。
さらに、本発明の第9の側面は、
サービス提供デバイスから、サービス受領権限に応じてサービスを受けるサービス受領方法において、
複数のサービス受領機器から構成されるグループへの登録を行い、
前記グループに対して付与されるグループ識別情報を格納し、
前記サービス受領デバイスが前記グループに属することを証明するグループ属性証明書を有し、
サービス要求に伴い前記グループ属性証明書を、前記サービス提供デバイスに提供し、
前記サービス提供デバイスにおいて、前記グループ属性証明書が改竄されていないことが検証され、前記グループ属性証明書に基づいて、前記グループに属していることが確認され、前記サービスを受領権限を許可されることを特徴とするサービス受領方法にある。
さらに、本発明の第10の側面は、
サービス提供デバイスから、サービス受領権限に応じてサービス受領処理を実行するプログラムにおいて、
複数のサービス受領機器から構成されるグループへの登録を行い、
前記グループに対して付与されるグループ識別情報を格納し、
前記サービス受領デバイスが前記グループに属することを証明するグループ属性証明書を有し、
サービス要求に伴い前記グループ属性証明書を、前記サービス提供デバイスに提供し、
前記サービス提供デバイスにおいて、前記グループ属性証明書が改竄されていないことが検証され、前記グループ属性証明書に基づいて、前記グループに属していることが確認され、前記サービスを受領権限を許可されることを特徴とするサービス受領方法にある。
さらに、本発明の第11の側面は、
サービス受領デバイスのサービス受領権限を管理するサービス提供デバイスにおいて、
サービス受領デバイスから、サービス受領可能な複数のサービス受領デバイスから構成されるグループに属することを証明するグループ属性証明書を受領し、
前記グループ属性証明書の改竄有無の検証を行い、
前記グループ属性証明書から、前記グループを識別するグループ識別情報を取得し、
前記グループ識別情報に基づいて、前記グループ属性を検査し、
前記サービス受領デバイスが、前記サービス提供デバイスの属する同一のグループである場合に、前記サービス受領デバイスにサービス提供を行うことを特徴とするサービス提供デバイスにある。
さらに、本発明の第12の側面は、
サービス受領デバイスのサービス受領権限を管理する権限管理方法において、
サービス受領デバイスから、サービス受領可能な複数のサービス受領デバイスから構成されるグループに属することを証明するグループ属性証明書を受領し、
前記グループ属性証明書の改竄有無の検証を行い、
前記グループ属性証明書から、前記グループを識別するグループ識別情報を取得し、
前記グループ識別情報に基づいて、前記グループ属性を検査し、
前記サービス受領デバイスが、前記サービス提供デバイスの属する同一のグループである場合に、前記サービス受領デバイスにサービス提供を行うことを特徴とするサービス権限管理方法にある。
さらに、本発明の第13の側面は、
サービス受領デバイスのサービス受領権限管理処理を、サービス提供デバイスに行わせる権限管理プログラムにおいて、
サービス受領デバイスから、サービス受領可能な複数のサービス受領デバイスから構成されるグループに属することを証明するグループ属性証明書を受領し、
前記グループ属性証明書の改竄有無の検証を行い、
前記グループ属性証明書から、前記グループを識別するグループ識別情報を取得し、
前記グループ識別情報に基づいて、前記グループ属性を検査し、
前記サービス受領デバイスが、前記サービス提供デバイスの属する同一のグループである場合に、前記サービス受領デバイスにサービス提供を行うことを特徴とする権限管理プログラムにある。
Furthermore, the fifth aspect of the present invention is
A computer program that executes an authority management process that manages the service reception authority of a user device, comprising:
As the attribute certificate applied from the service providing destination device to the service usage authority confirmation process, group identification information set corresponding to a group consisting of a specific device or a group of specific users is stored information and the electronic signature of the issuer A data receiving step of receiving the attached group attribute certificate;
While performing verification of the presence or absence of tampering by the signature verification of the group attribute certificate, based on the group identification information stored in the group attribute certificate, it is examined whether it is a service permitted group or not, Group attribute certificate verification processing step of executing determination of service provision availability based on:
A computer program characterized by having:
Furthermore, the sixth aspect of the present invention is
In an authority management method for managing service reception authority of a service providing device,
The service receiving device is
Register to a group consisting of multiple devices,
Storing group identification information given to the group;
Have a group attribute certificate that proves that the service receiving device belongs to the group;
The service providing device is
Receiving the presentation of the group attribute certificate from the service receiving device;
Verify the falsification of the group attribute certificate,
Checking the group attribute based on the group identification information of the group attribute certificate;
The method may further include providing service to the service receiving device when the service receiving device is the same group to which the service providing device belongs.
Furthermore, the seventh aspect of the present invention is
In the authority management system that manages the service reception authority of the service providing device,
The service receiving device is
Register to a group consisting of multiple devices,
Storing group identification information given to the group;
Have a group attribute certificate that proves that the service receiving device belongs to the group;
The service providing device is
Receiving the presentation of the group attribute certificate from the service receiving device;
Verify the falsification of the group attribute certificate,
Checking the group attribute based on the group identification information of the group attribute certificate;
The method may further include providing service to the service receiving device when the service receiving device is the same group to which the service providing device belongs.
Furthermore, the eighth aspect of the present invention is
The service receiving device receives the service according to the service receiving authority from the service providing device,
Register to a group consisting of multiple service receiving devices,
Storing group identification information given to the group;
Have a group attribute certificate that proves that the service receiving device belongs to the group;
Providing the group attribute certificate to the service providing device along with the service request;
In the service providing device, it is verified that the group attribute certificate is not falsified, it is confirmed that it belongs to the group based on the group attribute certificate, and the service authorization is granted. The service receiving device is characterized by
Furthermore, the ninth aspect of the present invention is
In a service receiving method for receiving a service according to a service receiving authority from a service providing device,
Register to a group consisting of multiple service receiving devices,
Storing group identification information given to the group;
Have a group attribute certificate that proves that the service receiving device belongs to the group;
Providing the group attribute certificate to the service providing device along with the service request;
In the service providing device, it is verified that the group attribute certificate is not falsified, it is confirmed that it belongs to the group based on the group attribute certificate, and the service authorization is granted. It is in the service receipt method that is characterized.
Furthermore, the tenth aspect of the present invention is
In a program that executes service reception processing according to service reception authority from a service providing device,
Register to a group consisting of multiple service receiving devices,
Storing group identification information given to the group;
Have a group attribute certificate that proves that the service receiving device belongs to the group;
Providing the group attribute certificate to the service providing device along with the service request;
In the service providing device, it is verified that the group attribute certificate is not falsified, it is confirmed that it belongs to the group based on the group attribute certificate, and the service authorization is granted. It is in the service receipt method that is characterized.
Furthermore, the eleventh aspect of the present invention is
In the service providing device that manages the service receiving authority of the service receiving device,
Receiving from the service receiving device a group attribute certificate certifying that it belongs to a group consisting of a plurality of service receiving devices capable of service receiving,
Verify the falsification of the group attribute certificate,
Acquiring group identification information identifying the group from the group attribute certificate;
Checking the group attribute based on the group identification information;
The service providing device may provide service to the service receiving device if the service receiving device is the same group to which the service providing device belongs.
Furthermore, the twelfth aspect of the present invention is
In an authority management method for managing service reception authority of a service reception device,
Receiving from the service receiving device a group attribute certificate certifying that it belongs to a group consisting of a plurality of service receiving devices capable of service receiving,
Verify the falsification of the group attribute certificate,
Acquiring group identification information identifying the group from the group attribute certificate;
Checking the group attribute based on the group identification information;
The service authority management method according to the present invention is characterized in that when the service receiving device belongs to the same group to which the service providing device belongs, the service receiving device is provided with a service.
Furthermore, a thirteenth aspect of the present invention is
In an authority management program which causes a service providing device to perform service acceptance authority management processing of a service reception device,
Receiving from the service receiving device a group attribute certificate certifying that it belongs to a group consisting of a plurality of service receiving devices capable of service receiving,
Verify the falsification of the group attribute certificate,
Acquiring group identification information identifying the group from the group attribute certificate;
Checking the group attribute based on the group identification information;
The authority management program may provide service to the service receiving device if the service receiving device is the same group to which the service providing device belongs.
Claims (31)
サービス受領エンティテイとしてのユーザデバイスは、
特定機器または特定ユーザの集合からなるグループに対応して設定されるグループ識別情報を格納情報とするとともに発行者の電子署名の付加されたグループ属性証明書を有し、
サービス提供エンティテイとしてのサービスプロバイダは、
前記ユーザデバイスから提示されるグループ属性証明書の署名検証による改竄有無の検証を実行するとともに、該グループ属性証明書に格納されたグループ識別情報に基づいて、サービス許容グループであるか否かの審査を行い、該審査に基づくサービス提供可否の判定を実行する構成を有することを特徴とする権限管理システム。An authority management system that manages service acceptance authority of user devices,
The user device as a service receiving entity is
And storing group identification information set corresponding to a group consisting of a specific device or a set of specific users as storage information and having a group attribute certificate to which an issuer's electronic signature is added,
The service provider as a service provider entity is
Verification of presence / absence of falsification by signature verification of the group attribute certificate presented from the user device is performed, and examination as to whether or not it is a service acceptable group based on the group identification information stored in the group attribute certificate An authority management system having a configuration for performing the service provision determination based on the examination.
グループ属性証明書発行エンティテイとユーザデバイス間における相互認証の成立、および、発行対象としての機器またはユーザが前記サービスプロバイダにより許容された発行ポリシーに従っていることを条件として、機器またはユーザに対応するユーザデバイスに対して発行する証明書であることを特徴とする請求項1に記載の権限管理システム。The group attribute certificate is
A group attribute certificate issuing entity and a user device corresponding to the device or user, provided that mutual authentication between the user device and the device is established, and that the device or user as an issue object complies with the issuance policy accepted by the service provider The authority management system according to claim 1, wherein the authority management system is a certificate issued to the server.
グループ属性証明書発行エンティテイにおいて、ユーザデバイスが既に有する既発行のグループ属性証明書についての検証成立を条件として行なう構成であることを特徴とする請求項1に記載の権限管理システム。The new group attribute certificate issuance process is
2. The authority management system according to claim 1, wherein the group attribute certificate issuing entity is configured to perform verification of the already issued group attribute certificate of the user device as a condition.
前記グループ識別子と、グループに属するメンバに対する許容サービス情報を対応付けたグループ情報データベースを有し、前記ユーザデバイスから提示されるグループ属性証明書に格納されたグループ識別情報に基づいて、前記グループ情報データベースを検索して、サービス提供の可否についての判定処理を実行する構成であることを特徴とする請求項1に記載の権限管理システム。The service provider
The group information database includes a group information database in which the group identifier is associated with permitted service information for members belonging to the group, and the group identification information stored in the group attribute certificate presented from the user device. The rights management system according to claim 1, wherein the right management system is configured to search for and execute a determination process as to whether or not the service can be provided.
前記ユーザデバイスから提示される複数の異なるグループ定義に基づく複数のグループ属性証明書から取得される複数の異なるグループ識別情報に基づいて、サービス許容対象であるか否かの審査を各々実行し、全てのグループ識別情報がサービス許容対象であることの判定を条件としてサービス提供可の判定処理を実行する構成を有することを特徴とする請求項1に記載の権限管理システム。The service provider
Each of the plurality of different group identification information acquired from the plurality of different group definitions based on the plurality of different group definitions presented from the user device is subjected to the examination of whether or not the service is permitted, and all 2. The authority management system according to claim 1, further comprising a configuration for executing the process of determining whether the service can be provided, on condition that the group identification information of is a service allowance target.
前記ユーザデバイスから機器をグループのメンバとしたグループ定義に基づく第1のグループ属性証明書から取得される第1のグループ識別情報に基づいて、サービス許容対象であるか否かの審査を行うとともに、ユーザをグループのメンバとしたグループ定義に基づく第2のグループ属性証明書から取得される第2のグループ識別情報に基づいて、サービス許容対象であるか否かの審査を行い、全てのグループ識別情報がサービス許容対象であることの判定を条件としてサービス提供可の判定処理を実行する構成を有することを特徴とする請求項1に記載の権限管理システム。The service provider
Based on first group identification information acquired from a first group attribute certificate based on a group definition in which the device is a member of the group from the user device, examination as to whether the service is permitted or not is performed. Based on the second group identification information acquired from the second group attribute certificate based on the group definition in which the user is a member of the group, a judgment is made as to whether or not the service is permitted, and all group identification information 2. The authority management system according to claim 1, further comprising a configuration for executing the service provision possibility determination process on condition that the determination is that the service is an object of service allowance.
前記サービスプロバイダとの通信を実行する機器としてのエンドエンティテイ、および個人識別デバイスとしてのユーザ識別デバイスを含み、
前記グループ属性証明書は、前記エンドエンティテイおよびユーザ識別デバイス各々に対して個別に発行され、グループ属性証明書発行エンティテイと前記エンドエンティテイ、またはユーザ識別デバイスとの相互認証成立を条件とした発行処理がなされる構成であることを特徴とする請求項1に記載の権限管理システム。The user device is
An end entity as an apparatus for performing communication with the service provider, and a user identification device as a personal identification device;
The group attribute certificate is issued individually to each of the end entity and the user identification device, and is issued on condition that mutual authentication between the group attribute certificate issuance entity and the end entity or the user identification device is established. The rights management system according to claim 1, characterized in that the processing is performed.
属性証明書中の属性情報フィールドに、グループ識別子を格納した構成であることを特徴とする請求項1に記載の権限管理システム。The group attribute certificate is an attribute certificate issued by an attribute certificate authority,
2. The authority management system according to claim 1, wherein a group identifier is stored in an attribute information field in the attribute certificate.
前記サービスプロバイダは、
前記グループ属性証明書の検証に際し、前記リンク情報によって取得される公開鍵証明書の検証を併せて実行する構成であることを特徴とする請求項1に記載の権限管理システム。The group attribute certificate is configured to store link information on a public key certificate corresponding to the group attribute certificate,
The service provider
2. The authority management system according to claim 1, wherein verification of the public key certificate acquired by the link information is executed together at the time of verification of the group attribute certificate.
サービス提供先デバイスからサービス利用権限確認処理に適用する属性証明書として、特定機器または特定ユーザの集合からなるグループに対応して設定されるグループ識別情報を格納情報とするとともに発行者の電子署名の付加されたグループ属性証明書を受信するデータ受信部と、
前記グループ属性証明書の署名検証による改竄有無の検証を実行するとともに、該グループ属性証明書に格納されたグループ識別情報に基づいて、サービス許容グループであるか否かの審査を行い、該審査に基づくサービス提供可否の判定を実行するグループ属性証明書検証処理部と、
を有することを特徴とする情報処理装置。An information processing apparatus that executes data processing as service provision processing;
As the attribute certificate applied from the service providing destination device to the service usage authority confirmation process, group identification information set corresponding to a group consisting of a specific device or a group of specific users is stored information and the electronic signature of the issuer A data receiving unit for receiving the attached group attribute certificate;
While performing verification of the presence or absence of tampering by the signature verification of the group attribute certificate, based on the group identification information stored in the group attribute certificate, it is examined whether it is a service permitted group or not, A group attribute certificate verification processing unit that executes determination of service provision availability based on:
An information processing apparatus comprising:
前記グループ識別子と、グループに属するメンバに対する許容サービス情報を対応付けたグループ情報データベースを有し、
前記グループ属性証明書検証処理部は、
前記サービス提供先デバイスから提示されるグループ属性証明書に格納されたグループ識別情報に基づいて、前記グループ情報データベースを検索して、サービス提供の可否についての判定処理を実行する構成であることを特徴とする請求項10に記載の情報処理装置。The information processing apparatus is
A group information database in which the group identifier is associated with permitted service information for members belonging to the group;
The group attribute certificate verification processing unit
The group information database is searched based on the group identification information stored in the group attribute certificate presented from the service provision destination device, and a determination process as to whether or not the service can be provided is executed. The information processing apparatus according to claim 10, wherein
前記ユーザデバイスから提示される複数の異なるグループ定義に基づく複数のグループ属性証明書から取得される複数の異なるグループ識別情報に基づいて、サービス許容対象であるか否かの審査を行い、該審査に基づくサービス提供可否の判定処理を実行する構成を有することを特徴とする請求項10に記載の情報処理装置。The group attribute certificate verification processing unit
Based on a plurality of different group identification information acquired from a plurality of group attribute certificates based on a plurality of different group definitions presented from the user device, examination as to whether or not the service is permitted is performed. 11. The information processing apparatus according to claim 10, wherein the information processing apparatus is configured to execute a service provision possibility determination process based on the above.
サービス受領エンティテイとしてのユーザデバイスにおける実行ステップとして、
特定機器または特定ユーザの集合からなるグループに対応して設定されるグループ識別情報を格納情報とするとともに発行者の電子署名の付加されたグループ属性証明書をサービス提供エンティテイとしてのサービスプロバイダに送信するステップを有し、
前記サービスプロバイダにおける実行ステップとして、
前記ユーザデバイスから提示されるグループ属性証明書の署名検証による改竄有無の検証を実行するとともに、該グループ属性証明書に格納されたグループ識別情報に基づいて、サービス許容グループであるか否かの審査を行い、該審査に基づくサービス提供可否の判定を実行するステップ、
を有することを特徴とする権限管理方法。An authority management method for managing service reception authority of user devices,
As an execution step on the user device as a service receiving entity:
Store the group identification information set corresponding to the group consisting of a specific device or a group of specific users, and send the group attribute certificate with the electronic signature of the issuer added to the service provider as a service providing entity Have a step,
As an execution step at the service provider:
Verification of presence / absence of falsification by signature verification of the group attribute certificate presented from the user device is performed, and examination as to whether or not it is a service acceptable group based on the group identification information stored in the group attribute certificate To perform the service provision determination based on the examination,
An authority management method characterized by having:
機器またはユーザに対応するユーザデバイスに対して前記グループ属性証明書を発行するグループ属性証明書発行処理ステップを有し、
該グループ属性証明書発行処理ステップは、
グループ属性証明書発行エンティテイとユーザデバイス間における相互認証の成立、および、発行対象としての機器またはユーザが前記サービスプロバイダにより許容された発行ポリシーに従っていることを条件として、機器またはユーザに対応するユーザデバイスに対してグループ属性証明書を発行する処理ステップであることを特徴とする請求項13に記載の権限管理方法。Further, in the authority management method,
A group attribute certificate issuance processing step of issuing the group attribute certificate to a user device corresponding to a device or a user;
The group attribute certificate issuing process step
A group attribute certificate issuing entity and a user device corresponding to the device or user, provided that mutual authentication between the user device and the device is established, and that the device or user as an issue object complies with the issuance policy accepted by the service provider The authority management method according to claim 13, characterized in that it is a processing step of issuing a group attribute certificate with respect to.
ユーザデバイスが既に有する既発行のグループ属性証明書についての検証処理ステップを含み、該検証の成立を条件としてグループ属性証明書の発行を行なうことを特徴とする請求項14に記載の権限管理方法。The group attribute certificate issuing process step
15. The authority management method according to claim 14, further comprising the step of verifying the group attribute certificate already issued by the user device, and issuing the group attribute certificate on condition that the verification is established.
前記グループ識別子と、グループに属するメンバに対する許容サービス情報を対応付けたグループ情報データベースを有し、前記ユーザデバイスから提示されるグループ属性証明書に格納されたグループ識別情報に基づいて、前記グループ情報データベースを検索して、サービス提供の可否についての判定処理を実行することを特徴とする請求項13に記載の権限管理方法。The service provider
The group information database includes a group information database in which the group identifier is associated with permitted service information for members belonging to the group, and the group identification information stored in the group attribute certificate presented from the user device. 14. The authority management method according to claim 13, wherein the determination process is performed by searching for and determining whether the service can be provided.
前記ユーザデバイスから提示される複数の異なるグループ定義に基づく複数のグループ属性証明書から取得される複数の異なるグループ識別情報に基づいて、サービス許容対象であるか否かの審査を各々実行し、全てのグループ識別情報がサービス許容対象であることの判定を条件としてサービス提供可の判定処理を実行することを特徴とする請求項13に記載の権限管理方法。The service provider
Each of the plurality of different group identification information acquired from the plurality of different group definitions based on the plurality of different group definitions presented from the user device is subjected to the examination of whether or not the service is permitted, and all 14. The authority management method according to claim 13, wherein the determination processing as to whether the service can be provided is executed on condition that the group identification information is a service permission target.
前記ユーザデバイスから機器をグループのメンバとしたグループ定義に基づく第1のグループ属性証明書から取得される第1のグループ識別情報に基づいて、サービス許容対象であるか否かの審査を行うとともに、ユーザをグループのメンバとしたグループ定義に基づく第2のグループ属性証明書から取得される第2のグループ識別情報に基づいて、サービス許容対象であるか否かの審査を行い、全てのグループ識別情報がサービス許容対象であることの判定を条件としてサービス提供可の判定処理を実行することを特徴とする請求項13に記載の権限管理方法。The service provider
Based on first group identification information acquired from a first group attribute certificate based on a group definition in which the device is a member of the group from the user device, examination as to whether the service is permitted or not is performed. Based on the second group identification information acquired from the second group attribute certificate based on the group definition in which the user is a member of the group, a judgment is made as to whether or not the service is permitted, and all group identification information The right management method according to claim 13, characterized in that the process of judging whether the service can be provided is executed on condition that the judgment is that the server is a service allowance object.
前記サービスプロバイダは、
前記グループ属性証明書の検証に際し、前記リンク情報によって取得される公開鍵証明書の検証を併せて実行することを特徴とする請求項13に記載の権限管理方法。The group attribute certificate is configured to store link information on a public key certificate corresponding to the group attribute certificate,
The service provider
The authority management method according to claim 13, wherein when verifying the group attribute certificate, verification of a public key certificate acquired by the link information is executed together.
サービス提供先デバイスからサービス利用権限確認処理に適用する属性証明書として、特定機器または特定ユーザの集合からなるグループに対応して設定されるグループ識別情報を格納情報とするとともに発行者の電子署名の付加されたグループ属性証明書を受信する証明書受信ステップと、
前記グループ属性証明書の署名検証による改竄有無の検証を実行するとともに、該グループ属性証明書に格納されたグループ識別情報に基づいて、サービス許容グループであるか否かの審査を行い、該審査に基づくサービス提供可否の判定を実行するグループ属性証明書検証処理ステップと、
を有することを特徴とする情報処理方法。An information processing method in an information processing apparatus that executes data processing as service provision processing,
As the attribute certificate applied from the service providing destination device to the service usage authority confirmation process, group identification information set corresponding to a group consisting of a specific device or a group of specific users is stored information and the electronic signature of the issuer A certificate receiving step of receiving the attached group attribute certificate;
While performing verification of the presence or absence of tampering by the signature verification of the group attribute certificate, based on the group identification information stored in the group attribute certificate, it is examined whether it is a service permitted group or not, Group attribute certificate verification processing step of executing determination of service provision availability based on:
An information processing method characterized by comprising:
前記グループ識別子と、グループに属するメンバに対する許容サービス情報を対応付けたグループ情報データベースを有し、
前記グループ属性証明書検証処理ステップは、
前記サービス提供先デバイスから提示されるグループ属性証明書に格納されたグループ識別情報に基づいて、前記グループ情報データベースを検索して、サービス提供の可否についての判定処理を実行するステップを含むことを特徴とする請求項20に記載の情報処理方法。The information processing apparatus is
A group information database in which the group identifier is associated with permitted service information for members belonging to the group;
The group attribute certificate verification process step
The group information database is searched based on the group identification information stored in the group attribute certificate presented from the service provision destination device, and a step of performing a determination process as to whether or not the service can be provided is characterized. The information processing method according to claim 20, wherein the information processing is performed.
前記ユーザデバイスから提示される複数の異なるグループ定義に基づく複数のグループ属性証明書から取得される複数の異なるグループ識別情報に基づいて、サービス許容対象であるか否かの審査を各々実行し、全てのグループ識別情報がサービス許容対象であることの判定を条件として基づくサービス提供可の判定処理を実行するステップを含むことを特徴とする請求項20に記載の情報処理方法。The group attribute certificate verification process step
Each of the plurality of different group identification information acquired from the plurality of different group definitions based on the plurality of different group definitions presented from the user device is subjected to the examination of whether or not the service is permitted, and all 21. The information processing method according to claim 20, further comprising the step of performing a service provision possibility determination process based on a determination that the group identification information is a service allowance target.
サービス提供先デバイスからサービス利用権限確認処理に適用する属性証明書として、特定機器または特定ユーザの集合からなるグループに対応して設定されるグループ識別情報を格納情報とするとともに発行者の電子署名の付加されたグループ属性証明書を受信するデータ受信ステップと、
前記グループ属性証明書の署名検証による改竄有無の検証を実行するとともに、該グループ属性証明書に格納されたグループ識別情報に基づいて、サービス許容グループであるか否かの審査を行い、該審査に基づくサービス提供可否の判定を実行するグループ属性証明書検証処理ステップと、
を有することを特徴とするコンピュータ・プログラム。A computer program that executes an authority management process that manages the service reception authority of a user device, comprising:
As the attribute certificate applied from the service providing destination device to the service usage authority confirmation process, group identification information set corresponding to a group consisting of a specific device or a group of specific users is stored information and the electronic signature of the issuer A data receiving step of receiving the attached group attribute certificate;
While performing verification of the presence or absence of tampering by the signature verification of the group attribute certificate, based on the group identification information stored in the group attribute certificate, it is examined whether it is a service permitted group or not, Group attribute certificate verification processing step of executing determination of service provision availability based on:
A computer program characterized by having:
サービス受領デバイスは、
複数の機器から構成されるグループへの登録を行い、
前記グループに対して付与されるグループ識別情報を格納し、
前記サービス受領デバイスが前記グループに属することを証明するグループ属性証明書を有し、
サービス提供デバイスは、
前記サービス受領デバイスから前記グループ属性証明書の提示を受け、
前記グループ属性証明書の改竄有無の検証を行い、
前記グループ属性証明書の前記グループ識別情報に基づいて、グループ属性を検査し、
前記サービス受領デバイスが、前記サービス提供デバイスの属する同一のグループである場合に、前記サービス受領デバイスにサービス提供を行うことを特徴とする権限管理方法。In an authority management method for managing service reception authority of a service providing device,
The service receiving device is
Register to a group consisting of multiple devices,
Storing group identification information given to the group;
Have a group attribute certificate that proves that the service receiving device belongs to the group;
The service providing device is
Receiving the presentation of the group attribute certificate from the service receiving device;
Verify the falsification of the group attribute certificate,
Checking the group attribute based on the group identification information of the group attribute certificate;
A method of managing rights according to claim 1, wherein when the service receiving device belongs to the same group to which the service providing device belongs, the service receiving device is provided with a service.
サービス受領デバイスは、
複数の機器から構成されるグループへの登録を行い、
前記グループに対して付与されるグループ識別情報を格納し、
前記サービス受領デバイスが前記グループに属することを証明するグループ属性証明書を有し、
サービス提供デバイスは、
前記サービス受領デバイスから前記グループ属性証明書の提示を受け、
前記グループ属性証明書の改竄有無の検証を行い、
前記グループ属性証明書の前記グループ識別情報に基づいて、グループ属性を検査し、
前記サービス受領デバイスが、前記サービス提供デバイスの属する同一のグループである場合に、前記サービス受領デバイスにサービス提供を行うことを特徴とする権限管理方法。In the authority management system that manages the service reception authority of the service providing device,
The service receiving device is
Register to a group consisting of multiple devices,
Storing group identification information given to the group;
Have a group attribute certificate that proves that the service receiving device belongs to the group;
The service providing device is
Receiving the presentation of the group attribute certificate from the service receiving device;
Verify the falsification of the group attribute certificate,
Checking the group attribute based on the group identification information of the group attribute certificate;
A method of managing rights according to claim 1, wherein when the service receiving device belongs to the same group to which the service providing device belongs, the service receiving device is provided with a service.
複数のサービス受領機器から構成されるグループへの登録を行い、
前記グループに対して付与されるグループ識別情報を格納し、
前記サービス受領デバイスが前記グループに属することを証明するグループ属性証明書を有し、
サービス要求に伴い前記グループ属性証明書を、前記サービス提供デバイスに提供し、
前記サービス提供デバイスにおいて、前記グループ属性証明書が改竄されていないことが検証され、前記グループ属性証明書に基づいて、前記グループに属していることが確認され、前記サービスを受領権限を許可されることを特徴とするサービス受領デバイス。The service receiving device receives the service according to the service receiving authority from the service providing device,
Register to a group consisting of multiple service receiving devices,
Storing group identification information given to the group;
Have a group attribute certificate that proves that the service receiving device belongs to the group;
Providing the group attribute certificate to the service providing device along with the service request;
In the service providing device, it is verified that the group attribute certificate is not falsified, it is confirmed that it belongs to the group based on the group attribute certificate, and the service authorization is granted. A service receiving device characterized by:
複数のサービス受領機器から構成されるグループへの登録を行い、
前記グループに対して付与されるグループ識別情報を格納し、
前記サービス受領デバイスが前記グループに属することを証明するグループ属性証明書を有し、
サービス要求に伴い前記グループ属性証明書を、前記サービス提供デバイスに提供し、
前記サービス提供デバイスにおいて、前記グループ属性証明書が改竄されていないことが検証され、前記グループ属性証明書に基づいて、前記グループに属していることが確認され、前記サービスを受領権限を許可されることを特徴とするサービス受領方法。In a service receiving method for receiving a service according to a service receiving authority from a service providing device,
Register to a group consisting of multiple service receiving devices,
Storing group identification information given to the group;
Have a group attribute certificate that proves that the service receiving device belongs to the group;
Providing the group attribute certificate to the service providing device along with the service request;
In the service providing device, it is verified that the group attribute certificate is not falsified, it is confirmed that it belongs to the group based on the group attribute certificate, and the service authorization is granted. A service receiving method characterized by
複数のサービス受領機器から構成されるグループへの登録を行い、
前記グループに対して付与されるグループ識別情報を格納し、
前記サービス受領デバイスが前記グループに属することを証明するグループ属性証明書を有し、
サービス要求に伴い前記グループ属性証明書を、前記サービス提供デバイスに提供し、
前記サービス提供デバイスにおいて、前記グループ属性証明書が改竄されていないことが検証され、前記グループ属性証明書に基づいて、前記グループに属していることが確認され、前記サービスを受領権限を許可されることを特徴とするサービス受領方法。In a program that executes service reception processing according to service reception authority from a service providing device,
Register to a group consisting of multiple service receiving devices,
Storing group identification information given to the group;
Have a group attribute certificate that proves that the service receiving device belongs to the group;
Providing the group attribute certificate to the service providing device along with the service request;
In the service providing device, it is verified that the group attribute certificate is not falsified, it is confirmed that it belongs to the group based on the group attribute certificate, and the service authorization is granted. A service receiving method characterized by
サービス受領デバイスから、サービス受領可能な複数のサービス受領デバイスから構成されるグループに属することを証明するグループ属性証明書を受領し、
前記グループ属性証明書の改竄有無の検証を行い、
前記グループ属性証明書から、前記グループを識別するグループ識別情報を取得し、
前記グループ識別情報に基づいて、前記グループ属性を検査し、
前記サービス受領デバイスが、前記サービス提供デバイスの属する同一のグループである場合に、前記サービス受領デバイスにサービス提供を行うことを特徴とするサービス提供デバイス。In the service providing device that manages the service receiving authority of the service receiving device,
Receiving from the service receiving device a group attribute certificate certifying that it belongs to a group consisting of a plurality of service receiving devices capable of service receiving,
Verify the falsification of the group attribute certificate,
Acquiring group identification information identifying the group from the group attribute certificate;
Checking the group attribute based on the group identification information;
A service providing device providing service to the service receiving device if the service receiving device is the same group to which the service providing device belongs.
サービス受領デバイスから、サービス受領可能な複数のサービス受領デバイスから構成されるグループに属することを証明するグループ属性証明書を受領し、
前記グループ属性証明書の改竄有無の検証を行い、
前記グループ属性証明書から、前記グループを識別するグループ識別情報を取得し、
前記グループ識別情報に基づいて、前記グループ属性を検査し、
前記サービス受領デバイスが、前記サービス提供デバイスの属する同一のグループである場合に、前記サービス受領デバイスにサービス提供を行うことを特徴とするサービス権限管理方法。In an authority management method for managing service reception authority of a service reception device,
Receiving from the service receiving device a group attribute certificate certifying that it belongs to a group consisting of a plurality of service receiving devices capable of service receiving,
Verify the falsification of the group attribute certificate,
Acquiring group identification information identifying the group from the group attribute certificate;
Checking the group attribute based on the group identification information;
A service authority management method, comprising: providing a service to the service receiving device when the service receiving device is the same group to which the service providing device belongs.
サービス受領デバイスから、サービス受領可能な複数のサービス受領デバイスから構成されるグループに属することを証明するグループ属性証明書を受領し、
前記グループ属性証明書の改竄有無の検証を行い、
前記グループ属性証明書から、前記グループを識別するグループ識別情報を取得し、
前記グループ識別情報に基づいて、前記グループ属性を検査し、
前記サービス受領デバイスが、前記サービス提供デバイスの属する同一のグループである場合に、前記サービス受領デバイスにサービス提供を行うことを特徴とする権限管理プログラム。In an authority management program which causes a service providing device to perform service acceptance authority management processing of a service reception device,
Receiving from the service receiving device a group attribute certificate certifying that it belongs to a group consisting of a plurality of service receiving devices capable of service receiving,
Verify the falsification of the group attribute certificate,
Acquiring group identification information identifying the group from the group attribute certificate;
Checking the group attribute based on the group identification information;
An authority management program providing service to the service receiving device when the service receiving device is the same group to which the service providing device belongs.
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002167148A JP2004015495A (en) | 2002-06-07 | 2002-06-07 | Authority management system, information processing apparatus and method therefor, as well as computer program |
| PCT/JP2003/006585 WO2003105400A1 (en) | 2002-06-07 | 2003-05-27 | Data processing system, data processing device, data processing method, and computer program |
| EP03733088A EP1505765A4 (en) | 2002-06-07 | 2003-05-27 | Data processing system, data processing device, data processing method, and computer program |
| CN03818944.5A CN1675879A (en) | 2002-06-07 | 2003-05-27 | Data processing system, data processing device, data processing method, and computer program |
| US10/517,060 US20060106836A1 (en) | 2002-06-07 | 2003-05-27 | Data processing system, data processing device, data processing method, and computer program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002167148A JP2004015495A (en) | 2002-06-07 | 2002-06-07 | Authority management system, information processing apparatus and method therefor, as well as computer program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004015495A JP2004015495A (en) | 2004-01-15 |
| JP2004015495A5 true JP2004015495A5 (en) | 2005-05-19 |
Family
ID=30434481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002167148A Pending JP2004015495A (en) | 2002-06-07 | 2002-06-07 | Authority management system, information processing apparatus and method therefor, as well as computer program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004015495A (en) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7340769B2 (en) * | 2005-01-07 | 2008-03-04 | Cisco Technology, Inc. | System and method for localizing data and devices |
| US10026071B2 (en) | 2012-10-19 | 2018-07-17 | Sony Corporation | Communication device, service providing device, and communication server |
| CA3041255C (en) * | 2016-11-16 | 2024-03-12 | Motorola Solutions, Inc. | Method and apparatus for providing a role-based query bot |
| US20200220865A1 (en) * | 2019-01-04 | 2020-07-09 | T-Mobile Usa, Inc. | Holistic module authentication with a device |
| JP7215342B2 (en) * | 2019-06-06 | 2023-01-31 | 富士通株式会社 | COMMUNICATION PROGRAM, COMMUNICATION METHOD, AND COMMUNICATION DEVICE |
| CN116720174B (en) * | 2023-08-11 | 2023-10-24 | 蒲惠智造科技股份有限公司 | OA office system-based account generation authority intelligent classification supervision method |
| CN117112506B (en) * | 2023-10-25 | 2024-01-12 | 湖南云档信息科技有限公司 | Multimedia archive application method, system and storage medium |
-
2002
- 2002-06-07 JP JP2002167148A patent/JP2004015495A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108805703B (en) | rights management system | |
| EP2053777B1 (en) | A certification method, system, and device | |
| CN102438013B (en) | Hardware based credential distribution | |
| US6189146B1 (en) | System and method for software licensing | |
| JP6574168B2 (en) | Terminal identification method, and method, system, and apparatus for registering machine identification code | |
| US9059982B2 (en) | Authentication federation system and ID provider device | |
| US7171662B1 (en) | System and method for software licensing | |
| JP5572209B2 (en) | Electronic ticket processing method and apparatus | |
| CN108122109B (en) | Electronic credential identity management method and device | |
| US20130246281A1 (en) | Service providing system and unit device | |
| US20100312810A1 (en) | Secure identification of music files | |
| US20090048853A1 (en) | Permission based field service management system | |
| JP2018501567A (en) | Device verification method and equipment | |
| JP2010518493A5 (en) | ||
| CN104361266A (en) | Copyright protection method and system of digital contents | |
| JP2007529056A5 (en) | ||
| CN104573493B (en) | A kind of method for protecting software and system | |
| JP2007213373A (en) | Personal information disclosure route browsing system and personal information disclosure route verifying method | |
| CN109493212A (en) | Reference management method, device, electronic equipment and computer readable storage medium | |
| CN114172663B (en) | Business right determining method and device based on block chain, storage medium and electronic equipment | |
| JP5278495B2 (en) | Device information transmission method, device information transmission device, device information transmission program | |
| JP2004015495A5 (en) | ||
| KR20100071679A (en) | System and method for identification with i-pin and electric wallet | |
| JP4711824B2 (en) | Business administrator terminal, environmental management station terminal, network operator terminal, business operator terminal, business administrator terminal control method, environmental management station terminal control method, network operator terminal control method, and business operator program | |
| CN105099680A (en) | Method of authenticating user identity according to digital certificate and device |