JP6031467B2 - Web情報アクセスシステムとその開示ポリシー判定方法 - Google Patents

Web情報アクセスシステムとその開示ポリシー判定方法 Download PDF

Info

Publication number
JP6031467B2
JP6031467B2 JP2014080463A JP2014080463A JP6031467B2 JP 6031467 B2 JP6031467 B2 JP 6031467B2 JP 2014080463 A JP2014080463 A JP 2014080463A JP 2014080463 A JP2014080463 A JP 2014080463A JP 6031467 B2 JP6031467 B2 JP 6031467B2
Authority
JP
Japan
Prior art keywords
information
menu
access
policy
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014080463A
Other languages
English (en)
Other versions
JP2015201097A (ja
Inventor
高橋 誠治
誠治 高橋
芳浩 吉田
芳浩 吉田
麻美 宮島
麻美 宮島
一雄 森村
一雄 森村
恒子 倉
恒子 倉
前田 裕二
裕二 前田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014080463A priority Critical patent/JP6031467B2/ja
Publication of JP2015201097A publication Critical patent/JP2015201097A/ja
Application granted granted Critical
Publication of JP6031467B2 publication Critical patent/JP6031467B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

この発明は、情報保有者たるユーザがWeb上に保有する個人情報を他のユーザに開示する機能を備えるWeb情報アクセスシステムとその開示ポリシー判定方法に関する。
近年、医療や介護等のヘルスケアの分野では、効率的な医療又は介護の実現のため、複数の医療機関による分業および連携が行われるようになっている。このような状況下では、同一の患者に関する患者情報が複数の医療機関に散在することになるため、異なる複数の医療機関、診療科又は医療従事者が、他の医療機関で管理されている患者情報に対し適切なアクセス制御の下でアクセスできるようにする必要がある。
そこで、ユーザ関係を管理するユーザ関係管理サーバを設け、利用者端末の要求に応じてサービス連携サーバからデータプロバイドサーバ上の個人情報に対しアクセスする場合に、上記ユーザ関係管理サーバに記憶されているユーザ間の関係を表す情報と、データプロバイドサーバ上のアクセス制御ルール情報をもとに、アクセス要求元の利用者がその患者の掛り付け医であるか否かを判定し、このアクセス制御判定の結果がOKであれば、要求された個人情報へのアクセスを許可するシステムが提案されている(例えば特許文献1を参照)。また、同様の手法によりWeb上のコンテンツを共有する方法も提案されている(例えば特許文献2を参照)。
特許4871991号公報 特開2011−238208号公報
ところが、特許文献1及び2に記載されたアクセス制御システムには以下のような解決すべき課題があった。すなわち、自身の個人情報を他者に開示する際、情報保有者は情報の開示範囲を表すポリシーを設定するが、このポリシーの設定内容と、情報の開示を求める被開示者が指定する要求の内容とは必ずしも一致するとは限らない。例えば、情報開示者が自身の氏名は開示対象にしても生年月日は開示対象としていない場合に、被開示者が単に利用者情報というメニューを指定すると、両者の情報の粒度が異なるためポリシーチェックは行われない。そのため、被開示者は開示を要求する場合にポリシーとして設定された開示対象を事前に把握した上で開示対象を指定しなければならず、操作上の負担が大きかった。
この発明は上記事情に着目してなされたもので、その目的とするところは、情報保有者が指定したポリシーと被開示者が要求する開示対象との間の情報の粒度が異なる場合でも、適切なポリシーチェックを可能とし、これにより開示判定の信頼性を維持しつつ被開示者の操作負担の軽減を図ったWeb情報アクセスシステムとその開示ポリシー判定方法を提供することにある。
上記目的を達成するためにこの発明の1つの観点は、Web情報毎に情報の内容をその属性と関連付けた状態で管理するリソースサーバと、前記Web情報にアクセスするためのメニューを含むWebアプリケーションを管理するアプリケーションサーバと、前記Web情報に対するアクセス条件を表すポリシー情報を管理するポリシー管理サーバと、前記Web情報に対しアクセスする際に使用するユーザ端末との間を、ネットワークを介して接続したWeb情報アクセスシステムにあって、前記ポリシー管理サーバに、前記Web情報の複数の属性のうちアクセスの許可対象となる属性をポリシー情報に含めて記憶しておく。この状態で、前記ユーザ端末から前記Web情報にアクセスするためのメニューを指定するアクセス要求が送信されると、前記ポリシー管理サーバにより、前記記憶されたポリシー情報に基づいて、前記アクセス要求により指定されたメニューの中に、前記許可対象として設定された属性を全て含むメニューが存在するか否かを判定し、存在する場合に当該メニューに含まれる許可対象の属性を前記リソースサーバに通知する。これに対しリソースサーバでは、前記ポリシー管理サーバから通知された許可対象の属性に関連付けられた情報の内容を読み出して、前記アプリケーションサーバへ送信し、前記アプリケーションサーバでは、前記リソースサーバから送られた情報の内容にアクセスするためのメニューを表示したメニュー画面情報を生成し、前記ユーザ端末に送信するようにしたものである。
また、この発明の1つの観点は以下のような態様を備えることを特徴とする。
第1の態様は、前記ユーザ端末から送信されたアクセス要求を前記Webアプリケーションサーバを介して受信した場合に、前記リソースサーバにより、セッションIDを発行して当該セッションIDを付与したアクセストークン提示要求を前記アプリケーションサーバを介して前記ポリシー管理サーバへ送信する。これに対しポリシー管理サーバでは、前記アクセストークン提示要求により指定されたメニューの中に、許可対象として設定された属性を全て含むメニューが存在するか否かを前記ポリシー情報をもとに判定し、存在する場合にアクセストークンを生成して前記アプリケーションサーバを介して前記リソースサーバへ送信する。前記リソースサーバでは、前記ポリシー管理サーバから受信したアクセストークンと前記送信したアクセストークン提示要求との整合性を前記セッションIDをもとに検証した後、前記受信したアクセストークンを前記ポリシー管理サーバへ送信する。前記ポリシー管理サーバでは、当該受信したアクセストークンと前記生成したアクセストークンとの整合性を検証した後、その検証結果を前記リソースサーバに通知する。リソースサーバでは、前記検証結果を受信した場合に、前記返送されたアクセストークンと引き換えに、前記許可対象の属性に関連付けられた情報の内容を読み出して、前記アプリケーションサーバへ送信するようにしたものである。
第3の態様は、前記ポリシー管理サーバにより、前記記憶されたポリシー情報に基づいて、前記アクセス要求により指定されたメニューの中に、前記許可対象として設定された属性を全て含むメニューが存在するか否かを判定し、存在しなかった場合にはエラーメッセージを生成して前記ユーザ端末へ通知するようにしたものである。
この発明の1つの観点によれば、ユーザ端末からWeb情報にアクセスするためのメニューを指定するアクセス要求が送信されると、当該アクセス要求により指定されたメニューの中に、事前に許可対象として設定された属性を全て含むメニューが存在するか否かがポリシー情報をもとに判定される。そして、ポリシー情報に設定された属性を全て含むメニューが存在する場合に、当該メニューが表示された操作画面が生成されたユーザ端末に提示される。このため、被開示者がアクセス要求としてメニューを指定した場合でも、当該要求がポリシー情報を満たすか否かを確実に判定することができる。すなわち、被開示者が指定したアクセス要求とポリシー情報との間の情報の粒度が異なる場合でも、適切に開示の許否判定を行うことが可能となる。したがって、被開示者はアクセスを要求する際に、要求として入力する情報の粒度をポリシー情報の粒度に合わせる必要がなくなり、これによりアクセス要求の入力操作を簡単に行うことが可能となる。
第1の態様によれば、被開示者のアクセス要求の発生から、当該アクセス要求のポリシーチェック、リソースサーバによる開示対象情報の送信までの開示ポリシー判定手順が、アクセストークンを用いた情報転送手順を使用して行われる。このため、この発明に係る開示ポリシーの判定手順を、新たなプロトコルを使用することなく、既存のプロトコルを利用して実行することが可能となり、汎用のシステムにそのまま適用することが可能となる。
第2の態様によれば、アクセス要求により指定されたメニューの中に、許可対象として設定された属性を全て含むメニューが存在しなかった場合に、その理由を含むエラーメッセージが生成されて被開示者に提示される。このため、被開示者は、自身が指定したアクセス要求が拒否された理由を明確に知ることができる。
すなわちこの発明の1つの観点によれば、情報保有者が指定したポリシーと被開示者が要求する開示対象との間の情報の粒度が異なる場合でも、適切なポリシーチェックを可能とし、これにより開示判定の信頼性を維持しつつ被開示者の操作負担の軽減を図ったWeb情報アクセスシステムとその開示ポリシー判定方法を提供することができる。
この発明の一実施形態に係るWeb情報アクセスシステムの機能構成を示すブロック図。 図1に示したシステムにおける、開示ポリシー判定制御の概要を示す図。 図1に示したシステムのポリシー管理サーバが管理するユーザ情報の一例を示す図。 図1に示したシステムのポリシー管理サーバが管理するユーザのポリシー情報の一例を示す図。 図1に示したシステムのポリシー管理サーバが管理するメニュー管理情報の一例を示す図。 図1に示したシステムのポリシー管理サーバが管理するアクセストークン情報の一例を示す図。 図1に示したWebアプリサーバが管理するユーザ情報の一例を示す図。 図1に示したシステムのリソースサーバが管理するセッション情報の一例を示す図。 図1に示したシステムのリソースサーバが保存するリソース情報の一例を示す図。 図1に示したシステムにおける開示ポリシー判定手順を含むアクセス制御の処理手順と処理内容の前半部分を示すシーケンス図。 図1に示したシステムにおける開示ポリシー判定手順を含むアクセス制御の処理手順と処理内容の後半部分を示すシーケンス図。
以下、図面を参照してこの発明に係わる実施形態を説明する。
[一実施形態]
図1は、この発明の一実施形態に係るWeb情報アクセスシステムの機能構成を示すブロック図である。
このWeb情報アクセスシステムは、リソースサーバ1と、ポリシー管理サーバ2と、Webアプリケーションサーバ3と、ユーザ端末4を、ネットワーク5を介して通信可能に接続したものである。このうち各サーバ1〜3はサーバコンピュータからなり、またユーザ端末4はパーソナルコンピュータ等の固定端末又はスマートフォン等の携帯端末からなる。
先ずWebアプリケーションサーバ3は、ユーザ認証、リソースサーバ1へのアクセス、アクセストークンの要求と提示、開示メニュー情報の生成等の機能を有するもので、制御ユニット31と、記憶ユニット32と、送受信部33を備えている。送受信部33は、リソースサーバ1、ポリシー管理サーバ2及びユーザ端末4との間で、予め決められたプロトコルに従い情報の送受信を行う。
記憶ユニット32は、ユーザ情報記憶部321を有する。ユーザ情報記憶部321には、システムに利用登録をしたユーザのユーザ情報が記憶される。ユーザ情報は、ユーザIDにパスワードを関連付けたものからなる。
制御ユニット31は、認証処理部311と、リソースアクセス部312と、アクセストークン要求部313と、アクセストークン提示部314と、開示メニュー生成部315を有する。これらの制御機能はいずれも図示しないプログラムメモリに格納されたプログラムをCPUに実行させることにより実現される。
認証処理部311は、ユーザ端末4からアクセス要求を受信した場合に、ユーザ情報記憶部321に記憶されたユーザ情報をもとに、ユーザ端末4との間で被開示者の認証手順を実行する。
リソースアクセス部312は、上記認証により被開示者の正当性が確認された場合に、ユーザ端末4から送られたアクセス先へのリクエストをリソースサーバ1へ転送する。アクセス先へのリクエストには、情報保有者の識別情報とリソースの内容を表す情報が含まれる。
アクセストークン要求部313は、リソースサーバ1からアクセストークンの提示要求を受信した場合に、アクセストークンの要求をポリシー管理サーバ2へ送信する。
アクセストークン提示部314と、上記アクセストークン要求の送信に対しポリシー管理サーバ2からアクセストークン値が返送された場合に、このアクセストークン値を上記アクセス先へのリクエストに付与してリソースサーバ1へ送信する。
開示メニュー生成部315は、上記アクセストークンの送信に対しリソースサーバ1から開示対象のリソース情報が送られた場合に、当該リソース情報にアクセス(操作)するためのWebアプリケーションのメニュー画面、つまり開示対象のメニューのみを表示した開示メニュー画面情報を生成し、当該開示メニュー画面情報をユーザ端末4へ送信する。
次にリソースサーバ1は、アクセストークンの提示及び検証を要求する機能と、情報保有者のリソースを提供する機能を備えたもので、上記Webアプリケーションサーバ3と同様に、制御ユニット11と、記憶ユニット12と、送受信部13を備えている。送受信部13は、Webアプリケーションサーバ3、ポリシー管理サーバ2及びユーザ端末4との間で、予め決められたプロトコルに従い情報の送受信を行う。
記憶ユニット11は、セッション情報記憶部121と、リソース情報記憶部122を備えている。セッション情報記憶部121は、セッションIDに関連付けて、Webアプリケーションサーバ3から送られたアクセス先へのリクエストを保存するために使用される。図8はこのセッション情報の記憶例を示す。リソース情報記憶部122は、情報保有者のユーザIDに関連付けて、当該情報保有者の個人情報(リソース情報)を保存するために用いられる。リソース情報は、区分(属性)と内容とに分けて管理される。図9はこのリソース情報の記憶例を示すものである。
制御ユニット11は、アクセストークン提示要求部111と、アクセストークン検証要求部112と、リソース情報提供部113とを有している。これらの制御機能はいずれも図示しないプログラムメモリに格納されたプログラムをCPUに実行させることにより実現される。
アクセストークン提示要求部111は、Webアプリケーションサーバ3からアクセス先へのリクエストを受信した場合に、セッションIDを生成し、このセッションIDに関連付けて上記受信されたリクエストを上記セッション情報記憶部121に保存する。
アクセストークン検証要求部112は、Webアプリケーションサーバ3からアクセストークン情報を受信した場合に、当該アクセストークン情報の内容と、先に受信したアクセス先へのリクエストの内容との整合性を、セッション情報記憶部121に保存されたセッション情報に基づいて検証する。
リソース情報提供部113は、ポリシー管理サーバ2からアクセストークンの検証結果=OKと、開示対象のリソース情報の属性を受信した場合に、当該属性に該当するリソース情報の内容をリソース情報記憶部122から読み出して、Webアプリケーションサーバ3へ送信する。
最後にポリシー管理サーバ2は、ユーザ認証、ポリシーチェック及びアクセストークンの管理を行うもので、上記Webアプリケーションサーバ3及びリソースサーバ1と同様に、制御ユニット21と、記憶ユニット22と、送受信部23を備えている。送受信部23は、リソースサーバ1、Webアプリケーションサーバ3及びユーザ端末4との間で、予め決められたプロトコルに従い情報の送受信を行う。
記憶ユニット21は、ユーザ情報記憶部221と、ポリシー情報記憶部222と、メニュー管理情報記憶部223と、アクセストークン情報記憶部224を有する。
ユーザ情報記憶部221には、システムに利用登録をしたユーザのユーザ情報が記憶される。ユーザ情報は、例えば図3に示すようにユーザIDにパスワードを関連付けたものからなる。
ポリシー情報記憶部222には、リソースサーバ1で管理されている情報保有者の個人情報(リソース情報)に対するアクセス許可条件を表す情報がポリシー情報として記憶される。ポリシー情報は、情報保有者の識別情報と、情報の開示を受けようとするユーザ(被開示者)の識別情報と、開示を許諾したリソース情報の属性を表す情報を含む。図4はその一例を示すものである。
メニュー管理情報記憶部223には、個人情報に対しアクセスするためのWebアプリケーションのメニューと、当該メニューに含まれる個人情報の属性との対応関係を表す情報が記憶される。図5はその一例を示す図である。
アクセストークン情報記憶部224には、被開示者からのアクセス要求に対し生成されるアクセストークン情報が格納される。アクセストークン情報は、被開示者の識別情報と、開示メニューを表す情報と、アクセストークン値と、有効期限を含む。図6にその一例を示す。
制御ユニット21は、認証処理部211と、ポリシーチェック部212と、アクセストークン生成部213と、アクセストークン検証部214を有している。これらの制御機能はいずれも図示しないプログラムメモリに格納されたプログラムをCPUに実行させることにより実現される。
認証処理部211は、Webアプリケーションサーバ3からアクセストークンの要求を受信した場合に、ユーザ情報記憶部221に記憶されたユーザ情報をもとにユーザ端末4との間で被開示者の認証を行う。
ポリシーチェック部212は、上記認証の結果、被開示者の正当性が確認された場合に、上記ポリシー情報記憶部222に格納されているポリシー情報をもとに、上記受信されたアクセストークンの要求に含まれるリソース情報に対し、メニューと属性の両方を考慮したポリシーチェックを行う。
アクセストークン生成部213は、上記ポリシーチェックの結果、アクセストークン要求で指定されたメニューの中にポリシー情報に設定された属性を全て含むメニューがある場合に、アクセストークン値を発行して上記アクセストークン要求の情報と共にアクセストークン情報記憶部224に保存すると共に、アクセストークン値をWebアプリケーションサーバ3へ返送する。
アクセストークン検証部214は、リソースサーバ1からアクセストークン情報が返送された場合に、当該アクセストークン情報の正否を上記アクセストークン情報記憶部224に保存されているアクセストークン情報をもとに検証する。
(動作)
(1)動作の概要
次に、以上のように構成されたシステムにおける、情報保有者の個人情報に対するアクセス制御動作を説明する。図2はUMAプロトコルを利用したアクセス制御動作の全体の流れを示す図である。
なお、ポリシー管理サーバ2のポリシー情報記憶部222には、Webアプリケーションの保有者が自ら設定した、当該Webアプリケーションに対するアクセス許可条件を表すポリシー情報が、ステップST1により事前に登録されているものとして説明を行う。
被開示者がユーザ端末4において、所望の情報保有者の個人情報に対しアクセスするための操作を行うと、ステップST2によりユーザ端末4からWebアプリケーションサーバ3に対しアクセス要求が送信される。Webアプリケーションサーバ3は、上記アクセス要求を受信すると、ステップST3により当該アクセス要求をリソースサーバ1へ転送する。このアクセス要求を受信するとリソースサーバ1は、ステップST4によりアクセストークンの提示要求を送信する。当該アクセストークンの提示要求を受信したWebアプリケーションサーバ3は、ステップST5においてHTTPリダイレクト機能により、上記アクセストークンの要求をユーザ端末4を経由してポリシー管理サーバ2へ転送する。
ポリシー管理サーバ2は、ステップST6において要求元のユーザ端末4との間で認証手順を実行し、ステップST7により、ポリシー情報記憶部222に格納されているポリシー情報をもとに、上記受信されたアクセストークンの要求に含まれるリソース情報に対し、情報の粒度を考慮したポリシーチェック、つまりメニューと属性の両方を考慮したポリシーチェックを行う。具体的には、アクセストークン要求で指定されたメニューの中に、ポリシー情報に設定された属性を全て含むメニューが含まれているか否かを判定する。
上記ポリシーチェックの結果、条件を満たすメニューが存在する場合、ポリシー管理サーバ2はアクセストークンを発行してこれをステップST8によりWebアプリケーションサーバ3へ送信し、Webアプリケーションサーバ3はこのアクセストークンをステップST9によりリソースサーバ1へ転送する。
リソースサーバ1は、上記アクセストークンを受信すると、ステップST10において発行元のポリシー管理サーバ2に対し上記受信したアクセストークンの検証を要求する。ポリシー管理サーバ2は、上記検証を要求されたアクセストークンの検証を行い、その検証結果をステップST11によりリソースサーバ1へ返送する。
リソースサーバ1は、上記検証結果を受信すると、上記アクセストークンに記載された属性に該当する個人情報をリソース情報記憶部122から読み出し、ステップST12によりWebアプリケーションサーバ3へ送信する。Webアプリケーションサーバ3は、上記個人情報を受信すると、当該個人情報を保存した後、当該個人情報にアクセスするための開示メニューを表示した開示メニュー画面情報を生成し、ステップST13によりユーザ端末4へ送信する。
(2)アクセス制御動作の具体例
次に、以上述べたアクセス制御動作の具体例を説明する。図10及び図11はその処理手順と処理内容を示すシーケンス図である。
被開示者が、自身のユーザ端末4においてWebアクセス操作を行うと、ユーザ端末4からWebアプリケーションサーバ3に対し、ステップST2−1によりアクセス指示が送信される。これに対しWebアプリケーションサーバ3は、認証処理部311の制御の下、先ずステップST2−2においてユーザ端末4との間でユーザIDとパスワードを用いた認証処理を実行し、被開示者の正当性が確認されるとその旨をユーザ端末4に通知する。
この通知を受けて、被開示者がアクセス先となる情報保有者の識別情報と、アクセス対象のメニューを入力すると、これらの情報がアクセス要求としてユーザ端末4からWebアプリケーションサーバ3へ送信される。図10では、アクセス要求として、情報保有者=xxxと、リソースメニュー=「利用者情報&介護情報」が送られた場合を例示している。上記アクセス要求を受信するとWebアプリケーションサーバ3は、リソースアクセス部312の制御の下、上記受信したアクセス要求をステップST3によりリソースサーバ1へ転送する。
リソースサーバ1は、上記アクセス要求を受信すると、アクセストークン提示要求部111の制御の下、セッションIDを生成する。そして、このセッションIDに関連付けて、上記アクセス指示に含まれる情報保有者=xxx、及びリソースメニュー=「利用者情報&介護情報」をセッション情報記憶部121に保存した後、ステップST4によりアクセストークンの提示要求をWebアプリケーションサーバ3へ送信する。なお、このアクセストークンの提示要求には、上記セッションID、情報保有者=xxx、及びリソースメニュー=「利用者情報&介護情報」が含まれる。
上記アクセストークンの提示要求を受信すると、Webアプリケーションサーバ3はアクセストークン要求部313の制御の下、ステップST5においてHTTPリダイレクト機能により上記アクセストークンの提示要求に含まれる情報保有者=xxx、及びリソースメニュー=「利用者情報&介護情報」をアクセストークンの要求としてユーザ端末4を介してポリシー管理サーバ2へ転送する。
ポリシー管理サーバ2は、上記アクセストークンの要求を受信すると、先ず認証処理部211の制御の下、ステップST6によりユーザ端末4に対し被開示者のユーザIDとパスワードの送信を求め、ユーザ端末4から受信したユーザIDとパスワードをユーザ情報記憶部221に記憶されたユーザ情報と照合することで、被開示者の正当性を確認する。
そして、被開示者の正当性が確認されると、次にステップST7によりポリシーチェック部212を起動し、このポリシーチェック部212の制御の下で、ポリシー情報記憶部222に格納されているポリシー情報をもとに、上記受信されたアクセストークンの要求に含まれるリソースメニューに対し、メニューと属性の両方を考慮したポリシーチェックを行う。このポリシーチェックにより、アクセストークン要求で指定されたメニューの中に、ポリシー情報に設定された属性を全て含むメニューが含まれているか否かが判定される。その結果、ポリシー情報に設定された属性を全て含むメニューが1つもなかった場合には、エラーとしてその旨をユーザ端末4に通知する。
例えば、いま図4に示したポリシー情報のうち、属性として「氏名」、「入浴支援日」のみが設定され、「生年月日」、「健康状態」が設定されていなかったとすると、メニュー「利用者情報」及び「介護情報」のいずれも全ての属性を含んでいるとは言えないので、この場合はエラーとなる。そして、この場合にはその旨のエラーメッセージを生成してユーザ端末4へ通知する。
これに対し、図4に示したようにポリシー情報に、属性として「氏名」、「生年月日」、「入浴支援日」、「健康状態」が設定されていれば、メニュー「利用者情報」及び「介護情報」のいずれも全ての属性を含んでいると判定される。この場合ポリシー管理サーバ2は、アクセストークン生成部213によりアクセストークン値を発行し、このアクセストークン値を上記アクセストークン要求の情報と共にアクセストークン情報記憶部224に保存すると共に、ステップST8により上記アクセストークン値をWebアプリケーションサーバ3へ返送する。具体的には、図10に示すようにランダムに文字列からなるアクセストークン値=“Ad055vcc3jwr”を発行し、当該アクセストークン値=“Ad055vcc3jwr”をWebアプリケーションサーバ3へ送信する。
Webアプリケーションサーバ3は、上記アクセストークン値=“Ad055vcc3jwr”を受信すると、アクセストークン提示部314により、先にステップST4においてリソースサーバ1から通知された、セッションID=00000001、情報保有者の識別情報=xxx及びリソースメニュー=「利用者情報&介護情報」に、上記アクセストークン値=“Ad055vcc3jwr”を付加し、このアクセストークン情報をリソースサーバ1へ送信する。
リソースサーバ1は、上記アクセストークン情報を受信すると、アクセストークン検証要求部112により、当該受信したアクセストークン情報の内容をセッション情報記憶部121に記憶されたセッション情報と照合し、その整合性をチェックする。具体的には、今回送られたアクセストークン情報に含まれる情報保有者の識別情報=xxx、及びリソースメニュー=「利用者情報&介護情報」を、先にステップST3により送られた情報保有者の識別情報=xxx、及びリソースメニュー=「利用者情報&介護情報」と照合する。そして両情報が一致すれば、ステップST10により上記アクセストークン情報をポリシー管理サーバ2へ送信する。なお、両情報が一致しなかった場合にはエラーとする。
ポリシー管理サーバ2は、アクセストークン検証部214により、上記検証を要求されたアクセストークン情報の検証を行う。具体的には、今回受信したアクセストークン情報に含まれるアクセストークン値=“Ad055vcc3jwr”が、先に発行したアクセストークン値と一致するか、今回受信したアクセストークン情報に含まれる情報保有者の識別情報=xxx及びリソースメニュー=「利用者情報&介護情報」と、先にステップST5により受信したアクセストークンの要求に含まれる情報保有者の識別情報及びリソース情報との間に不整合がないかを検証する。またそれに加えて、アクセストークン情報記憶部224に保存されているアクセストークン情報に含まれる有効期限内であるかを判定する。
そして、全ての条件を満たすことが確認されると、ポリシー管理サーバ2はステップST11により、検証結果=OKと、ポリシー情報記憶部222に記憶されている開示が許諾された属性、例えば図11の例では「氏名」、「生年月日」、「入浴支援日」及び「健康状態」が対象リソースサーバ1へ返送する。なお、上記各判定の1つでも条件を満たさなければ、エラーとする。
リソースサーバ1は、上記検証結果=OKを受信すると、リソース提供部113により、当該検証結果=OKと共に受信した属性に該当する個人情報の内容をリソース情報記憶部122から読み出し、この読み出した個人情報をステップST12によりWebアプリケーションサーバ3へ送信する。Webアプリケーションサーバ3は、リソースサーバ1から上記開示対象の個人情報を受信すると、開示メニュー生成部315の制御の下、当該個人情報にアクセス(操作)するためのWebアプリケーションのメニュー画面、つまり開示対象のメニューのみを表示した開示メニュー画面情報を生成し、当該開示メニュー画面情報をステップST13によりユーザ端末4へ送信する。
例えば、図4に示したように属性「氏名」、「生年月日」、「入浴支援日」及び「健康状態」が開示許諾した属性として設定されている場合には、これらに対しアクセスするための「利用者情報」及び「介護情報」に対応するメニューを表示した開示メニュー画面情報を生成し、当該開示メニュー画面情報をユーザ端末4へ送信する。
ユーザ端末4では、上記送られた開示メニュー画面が表示される。したがって、以後被開示者は、当該メニュー画面に従いWebアプリケーションに対するアクセスが可能となる。例えば、いま開示メニューとして上記したように利用者情報と介護情報のボタン又はリンクが表示されていれば、被開示者は情報保有者に関する個人情報のうち利用者情報と介護情報について閲覧等の操作を行うことが可能となる。
(実施形態の効果)
以上詳述したようにこの発明の一実施形態では、ユーザ端末4からWeb情報にアクセスするためのメニューを指定するアクセス要求が送信された場合に、ポリシー管理サーバ2において、予め記憶されたポリシー情報に基づいて、上記アクセス要求により指定されたメニューの中に、許可対象として設定された属性を全て含むメニューが存在するか否かを判定する。そして、存在すると判定された場合に、当該メニューに含まれる許可対象の属性をリソースサーバ1に通知し、リソースサーバ1において上記通知された許可対象の属性に関連付けられた情報の内容を読み出してアプリケーションサーバ3へ送信し、アプリケーションサーバ3が上記リソースサーバ1から送られた情報の内容にアクセスするためのメニュー画面を生成してユーザ端末4に送信するようにしている。
したがって、被開示者がアクセス要求としてメニューを指定した場合でも、当該要求がポリシー情報を満たすか否かを確実に判定することができる。すなわち、被開示者が指定したアクセス要求とポリシー情報との間の情報の粒度が異なる場合でも、適切に開示の許否判定を行うことが可能となる。したがって、被開示者はアクセスを要求する際に、要求として入力する情報の粒度をポリシー情報の粒度に合わせる必要がなくなり、これによりアクセス要求の入力操作を簡単に行うことが可能となる。
また、被開示者のアクセス要求の発生から、当該アクセス要求のポリシーチェック、リソースサーバ1による開示対象情報の送信までの開示ポリシー判定手順が、アクセストークンを用いた情報転送手順を使用して行われる。このため、開示ポリシーの判定手順を、新たなプロトコルを使用することなく、既存のプロトコルを利用して実行することが可能となり、汎用のシステムにそのまま適用することが可能となる。
さらに、アクセス要求により指定されたメニューの中に、許可対象として設定された属性を全て含むメニューが存在しなかった場合に、その理由を含むエラーメッセージが生成されて被開示者に提示される。このため、被開示者は、自身が指定したアクセス要求が拒否された理由を明確に知ることができる。
[他の実施形態]
前記実施形態では、リソースサーバ1が管理する個人情報として患者の診療や介護に係るヘルスケア情報を取り扱う場合について述べたが、情報保有者の学業成績、勤務成績、業務実績などの情報を取り扱うようにしてもよい。
その他、システムの構成、各サーバにおける処理手順と処理内容等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
1…リソースサーバ、2…ポリシー管理サーバ、3…Webアプリケーションサーバ、4…端末、5…ネットワーク、11,21,31…制御ユニット、12,22,32…記憶ユニット、13,23,33…送受信部、111…アクセストークン提示要求部、112…アクセストークン検証要求部、113…リソース提供部、121…セッション情報記憶部、122…リソース情報記憶部、211…認証処理部、212…ポリシーチェック部、213…アクセストークン生成部、214…アクセストークン検証部、221…ユーザ情報記憶部、222…ポリシー情報記憶部、223…メニュー管理情報記憶部、224…アクセストークン情報記憶部、311…認証処理部、312…リソースアクセス部、313…アクセストークン要求部、314…アクセストークン提示部、315…開示メニュー生成部、321…ユーザ情報記憶部。

Claims (6)

  1. Web情報毎に情報の内容をその属性と関連付けた状態で管理するリソースサーバと、前記Web情報にアクセスするためのメニューを含むWebアプリケーションを管理するアプリケーションサーバと、前記Web情報に対するアクセス条件を表すポリシー情報を管理するポリシー管理サーバと、前記Web情報に対しアクセスする際に使用するユーザ端末との間を、ネットワークを介して接続したWeb情報アクセスシステムであって、
    前記ポリシー管理サーバは、
    前記Web情報の複数の属性のうちアクセスの許可対象となる属性の入力を受け付け、当該入力された属性を前記ポリシー情報に含めて記憶する手段と、
    前記ユーザ端末から前記Web情報にアクセスするためのメニューを指定するアクセス要求が送信された場合に、前記記憶されたポリシー情報に基づいて、前記アクセス要求により指定されたメニューの中に、前記許可対象として設定された属性を全て含むメニューが存在するか否かを判定し、存在する場合に当該メニューに含まれる許可対象の属性を前記リソースサーバに通知する手段と
    を備え、
    前記リソースサーバは、
    前記ポリシー管理サーバから通知された許可対象の属性に関連付けられた情報の内容を読み出して、前記アプリケーションサーバへ送信する手段
    を備え、
    前記アプリケーションサーバは、
    前記リソースサーバから送られた情報の内容にアクセスするためのメニューを表示したメニュー画面情報を生成し、前記ユーザ端末に送信する手段
    を備えるWeb情報アクセスシステム。
  2. 前記リソースサーバは、前記ユーザ端末から送信されたアクセス要求を前記Webアプリケーションサーバを介して受信した場合に、セッションIDを発行して当該セッションIDを付与したアクセストークン提示要求を前記アプリケーションサーバを介して前記ポリシー管理サーバへ送信し、
    前記ポリシー管理サーバは、前記アクセストークン提示要求を受信した場合に、当該提示要求により指定されたメニューの中に、許可対象として設定された属性を全て含むメニューが存在するか否かを前記ポリシー情報をもとに判定し、存在する場合にアクセストークンを生成して前記アプリケーションサーバを介して前記リソースサーバへ送信し、
    前記リソースサーバは、前記ポリシー管理サーバから受信したアクセストークンと前記送信したアクセストークン提示要求との整合性を前記セッションIDをもとに検証した後、前記受信したアクセストークンを前記ポリシー管理サーバへ送信し、
    前記ポリシー管理サーバは、前記アクセストークンを受信した場合に、当該受信したアクセストークンと前記生成したアクセストークンとの整合性を検証した後、その検証結果を前記リソースサーバに通知し、
    前記リソースサーバは、前記検証結果を受信した場合に、前記返送されたアクセストークンと引き換えに、前記許可対象の属性に関連付けられた情報の内容を読み出して、前記アプリケーションサーバへ送信する
    ことを特徴とする請求項1記載のWeb情報アクセスシステム。
  3. 前記ポリシー管理サーバは、前記記憶されたポリシー情報に基づいて、前記アクセス要求により指定されたメニューの中に、前記許可対象として設定された属性を全て含むメニューが存在するか否かを判定し、存在しなかった場合にはエラーメッセージを生成して前記ユーザ端末へ通知することを特徴とする請求項1又は2記載のWeb情報アクセスシステム。
  4. Web情報毎に情報の内容をその属性と関連付けた状態で管理するリソースサーバと、前記Web情報にアクセスするためのメニューを含むWebアプリケーションを管理するアプリケーションサーバと、前記Web情報に対するアクセス条件を表すポリシー情報を管理するポリシー管理サーバと、前記Web情報に対しアクセスする際に使用するユーザ端末との間を、ネットワークを介して接続したWeb情報アクセスシステムが実行する開示ポリシー判定方法であって、
    前記ポリシー管理サーバが、前記Web情報の複数の属性のうちアクセスの許可対象となる属性の入力を受け付け、当該入力された属性を前記ポリシー情報に含めて記憶する過程と、
    前記ポリシー管理サーバが、前記ユーザ端末から前記Web情報にアクセスするためのメニューを指定するアクセス要求が送信された場合に、前記記憶されたポリシー情報に基づいて、前記アクセス要求により指定されたメニューの中に、前記許可対象として設定された属性を全て含むメニューが存在するか否かを判定し、存在する場合に当該メニューに含まれる許可対象の属性を前記リソースサーバに通知する過程と、
    前記リソースサーバが、前記ポリシー管理サーバから通知された許可対象の属性に関連付けられた情報の内容を読み出して、前記アプリケーションサーバへ送信する過程と、
    前記アプリケーションサーバが、前記リソースサーバから送られた情報の内容にアクセスするためのメニューを表示したメニュー画面情報を生成し、前記ユーザ端末に送信する過程と
    を具備することを特徴とする開示ポリシー判定方法。
  5. 前記リソースサーバが、前記ユーザ端末から送信されたアクセス要求を前記Webアプリケーションサーバを介して受信した場合に、セッションIDを発行して当該セッションIDを付与したアクセストークン提示要求を前記アプリケーションサーバを介して前記ポリシー管理サーバへ送信し、
    前記ポリシー管理サーバが、前記アクセストークン提示要求を受信した場合に、当該提示要求により指定されたメニューの中に、許可対象として設定された属性を全て含むメニューが存在するか否かを前記ポリシー情報をもとに判定し、存在する場合にアクセストークンを生成して前記アプリケーションサーバを介して前記リソースサーバへ送信し、
    前記リソースサーバが、前記ポリシー管理サーバから受信したアクセストークンと前記送信したアクセストークン提示要求との整合性を前記セッションIDをもとに検証した後、前記受信したアクセストークンを前記ポリシー管理サーバへ送信し、
    前記ポリシー管理サーバが、前記アクセストークンを受信した場合に、当該受信したアクセストークンと前記生成したアクセストークンとの整合性を検証した後、その検証結果を前記リソースサーバに通知し、
    前記リソースサーバが、前記検証結果を受信した場合に、前記返送されたアクセストークンと引き換えに、前記許可対象の属性に関連付けられた情報の内容を読み出して、前記アプリケーションサーバへ送信する
    ことを特徴とする請求項4記載の開示ポリシー判定方法。
  6. 前記ポリシー管理サーバが、前記記憶されたポリシー情報に基づいて、前記アクセス要求により指定されたメニューの中に、前記許可対象として設定された属性を全て含むメニューが存在するか否かを判定し、存在しなかった場合にはその理由を含むエラーメッセージを生成して前記ユーザ端末へ通知することを特徴とする請求項4又は5記載の開示ポリシー判定方法。
JP2014080463A 2014-04-09 2014-04-09 Web情報アクセスシステムとその開示ポリシー判定方法 Active JP6031467B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014080463A JP6031467B2 (ja) 2014-04-09 2014-04-09 Web情報アクセスシステムとその開示ポリシー判定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014080463A JP6031467B2 (ja) 2014-04-09 2014-04-09 Web情報アクセスシステムとその開示ポリシー判定方法

Publications (2)

Publication Number Publication Date
JP2015201097A JP2015201097A (ja) 2015-11-12
JP6031467B2 true JP6031467B2 (ja) 2016-11-24

Family

ID=54552290

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014080463A Active JP6031467B2 (ja) 2014-04-09 2014-04-09 Web情報アクセスシステムとその開示ポリシー判定方法

Country Status (1)

Country Link
JP (1) JP6031467B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6706965B2 (ja) * 2016-02-24 2020-06-10 株式会社Kddi総合研究所 通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム
JP2021064319A (ja) 2019-10-17 2021-04-22 富士通株式会社 通信プログラム、認可サーバ、および、通信システム
CN117744066B (zh) * 2024-02-20 2024-06-07 蒲惠智造科技股份有限公司 用于srm***的权限控制方法、***、介质及电子设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004102381A (ja) * 2002-09-05 2004-04-02 Sony Corp 情報提供装置および方法、並びにプログラム
JP4764451B2 (ja) * 2008-01-25 2011-09-07 日本電信電話株式会社 属性情報開示システム、属性情報開示方法および属性情報開示処理プログラム

Also Published As

Publication number Publication date
JP2015201097A (ja) 2015-11-12

Similar Documents

Publication Publication Date Title
US11907397B2 (en) Records access and management
JP5865420B2 (ja) Web情報アクセスシステムとそのアクセス権限譲渡方法
AU2017315345B2 (en) Blockchain-based mechanisms for secure health information resource exchange
US9473505B1 (en) Management of third party access privileges to web services
CN105659558B (zh) 计算机实现的方法、授权服务器以及计算机可读存储器
US20170068785A1 (en) Secure real-time health record exchange
CN106341234B (zh) 一种授权方法及装置
JP2022033242A (ja) Bcn(ブロックチェーンネットワーク)を使用したデータ利用方法、システムおよびそのプログラム
TW201528023A (zh) 透過基於雲端的系統促進聯合用戶服務開通的系統及方法
US20130304488A1 (en) Method to support an advanced home services coordination platform
JP5090425B2 (ja) 情報アクセス制御システム及び方法
US20190372767A1 (en) Authenticating a messaging program session
US20160019353A1 (en) Proxy authorization service object oriented system and method
JP6031467B2 (ja) Web情報アクセスシステムとその開示ポリシー判定方法
JP6936763B2 (ja) 電子処方せん管理方法、電子処方せん管理システム、及びプログラム
KR20120036488A (ko) 사용자 단말기 및 이를 이용한 전자 처방전 전송 방법, 전자 처방전 전송 시스템
JP2010186250A (ja) 分散情報アクセスシステム、分散情報アクセス方法及びプログラム
US20160180036A1 (en) Apparatus and method for processing prior authorizations for prescription drugs
JP7230329B2 (ja) 情報処理システム
JP5460681B2 (ja) 情報流通システムとそのアクセス制御方法
JP6921177B2 (ja) 医療情報システム、医療情報装置、医療情報装置の制御方法及び制御プログラム
KR102636860B1 (ko) 일회성 코드를 활용한 디지털 치료제 App 인증/연동 시스템 및 방법
US20140236624A1 (en) Management system for personal health record
KR102636838B1 (ko) 연속 처방 및 다기관 연속 처방을 지원하는 디지털 치료제 플랫폼 시스템 및 디지털 치료제 제공 방법
KR102562365B1 (ko) 블록체인 기반 개인 건강 기록 분석 플랫폼 서비스 제공 방법, 장치 및 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150917

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160830

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160929

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161018

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161024

R150 Certificate of patent or registration of utility model

Ref document number: 6031467

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150