JP2002014862A - Information access control device and information access control method - Google Patents
Information access control device and information access control methodInfo
- Publication number
- JP2002014862A JP2002014862A JP2000193871A JP2000193871A JP2002014862A JP 2002014862 A JP2002014862 A JP 2002014862A JP 2000193871 A JP2000193871 A JP 2000193871A JP 2000193871 A JP2000193871 A JP 2000193871A JP 2002014862 A JP2002014862 A JP 2002014862A
- Authority
- JP
- Japan
- Prior art keywords
- access
- policy
- personal information
- information
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
(57)【要約】
【課題】 広域的に分散した個人情報に対するアクセス
権限を、その個人情報の所有者本人の意志に基づいてコ
ントロールすることを可能とし、情報プライバシー権を
確保する。
【解決手段】 個人情報の所有者から受け付けたアクセ
スポリシーをルール解析部431によって解析し、外部
アクセス者から送信されてくる属性証明書の内容を属性
情報解析部432によって解析し、論理判断システム4
33によりこの外部アクセス者に対するアクセス権限を
ロール定義部451で定義されたロールとして割り当て
て、アクセス管理インターフェイス部452によりアク
セス制御してデータを利用させる。
(57) [Summary] [PROBLEMS] To enable control of access rights to personal information dispersed over a wide area based on the will of the owner of the personal information, and to secure information privacy rights. SOLUTION: An access policy received from an owner of personal information is analyzed by a rule analysis unit 431, the contents of an attribute certificate transmitted from an external access person are analyzed by an attribute information analysis unit 432, and a logical decision system 4 is analyzed.
The access right to the external access user is assigned as a role defined by the role definition unit 451 by the 33 and the access is controlled by the access management interface unit 452 to use the data.
Description
【0001】[0001]
【発明の属する技術分野】本発明は、データベース中の
個人情報保護を目的とする情報アクセス制御装置および
情報アクセス制御方法に関する。[0001] The present invention relates to an information access control device and an information access control method for protecting personal information in a database.
【0002】[0002]
【従来の技術】昨今のインターネットの普及に基づい
て、インターネット上に個人情報が分散的に存在するよ
うになってきている。たとえば、個人情報を含んだデー
タ群を擁するデータベースシステムがインターネットを
介してアクセス可能な状態となっている。このような個
人情報については、個人情報の所有者本人に情報プライ
バシー権が存在すると考えられ、この情報プライバシー
権の保護を観点とした問題が深刻になってきている。2. Description of the Related Art With the recent spread of the Internet, personal information has been distributed on the Internet in a distributed manner. For example, a database system having a data group including personal information is accessible via the Internet. Regarding such personal information, it is considered that the owner of the personal information has an information privacy right, and the problem in view of protection of the information privacy right is becoming serious.
【0003】個人情報に関する情報プライバシー権は、
「自己情報管理権」と定義され、自己の情報を自分でコ
ントロールできる権利とされている。したがって、前述
したようにインターネット環境で分散的に存在する個人
情報は、個人情報の所有者本人がそれぞれアクセス権に
ついてコントロールすることができるように構成されて
いることが好ましい。[0003] The information privacy right regarding personal information
It is defined as "self-information management right" and is the right to control one's own information. Accordingly, as described above, it is preferable that the personal information distributed in the Internet environment be configured such that the owner of the personal information can control the access right.
【0004】しかしながら、通常のデータベースシステ
ムでは、データベースへのアクセス権限の管理は、デー
タベース管理者が行うように設計されており、データベ
ース中に含まれている個人情報の所有者本人が、自己の
情報に対するアクセス権限をコントロールするように構
成されていない。このため、個人情報の所有者にとって
は、データベース中に含まれる個人情報が意志に反して
公開されることが不都合である場合が生じる。また、デ
ータベース管理者にとっては、データベース中に含まれ
る個人情報を保護するために、守秘責任と運用負荷が大
きくなるという問題がある。However, in a normal database system, the management of the access authority to the database is designed to be performed by the database administrator, and the owner of the personal information included in the database is required to manage his or her own information. Is not configured to control access to. Therefore, it may be inconvenient for the owner of the personal information to disclose the personal information included in the database against his / her will. In addition, for database administrators, there is a problem that confidentiality and operational load increase in order to protect personal information included in the database.
【0005】[0005]
【発明が解決しようとする課題】本発明は、広域的に分
散した個人情報に対するアクセス権限を、その個人情報
の所有者本人の意志に基づいてコントロールすることを
可能とし、情報プライバシー権を確保することを目的と
する。SUMMARY OF THE INVENTION The present invention makes it possible to control the access authority to personal information distributed over a wide area on the basis of the will of the owner of the personal information and secure the information privacy right. The purpose is to:
【0006】[0006]
【課題を解決するための手段】本発明に係る情報アクセ
ス装置は、個人情報を含むデータベースを格納する記憶
手段と、データベース内の個人情報に対するアクセス権
限を設定するためのアクセスポリシーを、個人情報の所
有者から受け付けるアクセスポリシー受付手段と、アク
セスポリシー受付手段で受け付けたアクセスポリシーを
格納するアクセスポリシー記憶手段と、アクセスポリシ
ー記憶手段に格納されているアクセスポリシーに基づい
て、外部からのアクセス者に対して個人情報へのアクセ
スを制御するポリシーエンジンとを備える。An information access apparatus according to the present invention comprises: a storage unit for storing a database containing personal information; and an access policy for setting an access right to the personal information in the database. An access policy receiving means for receiving from the owner, an access policy storing means for storing the access policy received by the access policy receiving means, and an access policy for storing the access policy stored in the access policy storing means. And a policy engine for controlling access to personal information.
【0007】ここで、アクセスポリシー記憶手段および
ポリシーエンジンは、記憶手段内に格納されているデー
タベースの情報を入出力制御するプロキシサーバ内に設
定することが可能である。また、本発明に係る情報アク
セス制御方法は、個人情報を含むデータベースを格納す
るデータサーバ上のデータを、インターネットを介して
アクセスしてくる外部アクセス者にプロキシサーバを介
して利用させる際の情報アクセス制御方法であって、デ
ータベース内の個人情報に対するアクセス権限を設定す
るためのアクセスポリシーを、個人情報の所有者から受
け付けて、プロキシサーバ上に格納するアクセスポリシ
ー受付段階と、外部アクセス者からのアクセスがあった
場合に、プロキシサーバ内のアクセスポリシーを解析し
て、外部アクセス者のアクセス権限を判別するアクセス
ポリシー解析段階と、解析したアクセス権限に基づいて
外部アクセス者に対してデータベース内の個人情報を利
用させるアクセス制御段階とを備える。Here, the access policy storage means and the policy engine can be set in a proxy server which controls input / output of database information stored in the storage means. In addition, the information access control method according to the present invention provides an information access control method in which data on a data server storing a database including personal information is used by an external access person accessing via the Internet via a proxy server. A control method, wherein an access policy for setting an access right to personal information in a database is received from an owner of the personal information and stored on a proxy server; an access policy receiving step; In the case where there is, an access policy analysis step of analyzing the access policy in the proxy server to determine the access authority of the external access person, and personal information in the database for the external access person based on the analyzed access authority And an access control step of utilizing
【0008】ここで、アクセスポリシー受付段階で受け
付けるアクセスポリシーは、個人情報に対するアクセス
権限をアクセスルールとして定義したポリシーデータに
個人情報の所有者による電子署名を付加したポリシー証
明書で構成することができる。また、ポリシーデータ
は、公開鍵証明書などで認証可能な属性情報に対応付け
てアクセス権限を定義したものとすることができる。Here, the access policy accepted at the access policy accepting stage can be constituted by a policy certificate in which an electronic signature by the owner of the personal information is added to the policy data defining the access right to the personal information as an access rule. . Further, the policy data may define access authority in association with attribute information that can be authenticated by a public key certificate or the like.
【0009】[0009]
【発明の実施の形態】〔概略構成〕本発明の1実施形態
が採用されるシステムについて図1にその概略構成を示
す。個人情報の所有者は、情報所有者端末1によってイ
ンターネットへの接続が可能である。この情報所有者端
末1は、個人情報の所有者が利用可能なパーソナルコン
ピュータによって構成できる。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS [Schematic Configuration] FIG. 1 shows a schematic configuration of a system to which an embodiment of the present invention is applied. The owner of personal information can connect to the Internet through the information owner terminal 1. This information owner terminal 1 can be constituted by a personal computer that can be used by the owner of personal information.
【0010】外部アクセス者は、クライアント端末2に
よってインターネットへの接続が可能となっている。こ
のクライアント端末2も同様にして、外部アクセス者が
利用可能なパーソナルコンピュータで構成できる。デー
タベースを管理する情報システム4は、インターネット
3を介して情報所有者端末1、クライアント端末2、そ
の他の端末とデータのやり取りを行うことが可能となっ
ている。An external access person can connect to the Internet through the client terminal 2. Similarly, the client terminal 2 can be constituted by a personal computer that can be used by an external access person. The information system 4 that manages the database can exchange data with the information owner terminal 1, the client terminal 2, and other terminals via the Internet 3.
【0011】情報システム4は、少なくとも、個人情報
を含むデータベース43、データベース43内のデータ
検索システムを含むデータサーバ42、情報システム4
とインターネット3間のデータの入出力を行うプロキシ
サーバ41を備えている。 〔情報所有者端末〕情報所有者端末1では、データベー
ス43に含まれている個人情報に対するアクセス権限を
設定するためのアクセスルール作成環境11、電子署名
を行うための秘密鍵を管理する秘密鍵管理部12、アク
セスルールとそのアクセスルールの対象となる個人情報
識別と電子署名とを合成したポリシー証明書を作成する
ポリシー証明書作成部13、インターネットとの接続を
行うための通信ソフトなどでなるインターネット接続部
14などを備えている。The information system 4 includes at least a database 43 including personal information, a data server 42 including a data search system in the database 43, and an information system 4.
A proxy server 41 for inputting and outputting data between the Internet and the Internet 3 is provided. [Information Owner Terminal] In the information owner terminal 1, an access rule creation environment 11 for setting an access right to personal information included in the database 43, a secret key management for managing a secret key for performing an electronic signature Unit 12, a policy certificate creation unit 13 for creating a policy certificate combining an access rule, a personal information identification and an electronic signature to be subjected to the access rule, and an Internet such as communication software for connecting to the Internet A connection unit 14 and the like are provided.
【0012】ポリシー証明書作成部13で作成されるポ
リシー証明書の一例を図3に示す。ポリシー証明書5
は、アクセスルール作成環境11で作成されたアクセス
ルール51と、データベース43内の個人情報を特定す
る個人情報識別52と、秘密鍵管理部12で管理される
秘密鍵で暗号化された電子署名53とから構成される。
アクセスルール51、個人情報識別52、電子署名53
は、ITU-T X.500規格に基づいて、それぞれ識別子とし
てDNを備える一意名が付される。FIG. 3 shows an example of a policy certificate created by the policy certificate creating section 13. Policy certificate 5
Are an access rule 51 created in the access rule creation environment 11, a personal information identification 52 for specifying personal information in the database 43, and an electronic signature 53 encrypted with a secret key managed by the secret key management unit 12. It is composed of
Access rule 51, personal information identification 52, digital signature 53
Are assigned unique names each having a DN as an identifier based on the ITU-T X.500 standard.
【0013】アクセスルール51は、たとえば、外部ア
クセス者が提示する属性証明書に記載される属性と、デ
ータやサービスへのアクセス権限に関するロールとの対
応でなり、どのような属性に対してどのようなロールを
与えるかを設定することで構成できる。アクセスルール
51の一例を図4に示す。The access rule 51 is, for example, a correspondence between an attribute described in an attribute certificate presented by an external accessor and a role related to access authority to data and services. It can be configured by setting what role is given. FIG. 4 shows an example of the access rule 51.
【0014】図4では、ディレクトリ"https://www.a.b
/usr/local/apache/htdocs/subarea/"に対するアクセス
制御として、外部アクセス者が提示する属性があるパタ
ーンを持つ場合には、メンバーとしてのロールを与える
というアクセスルールを記述したものである。このディ
レクトリ"https://www.a.b/usr/local/apache/htdocs/s
ubarea/"が、個人情報識別52となる。In FIG. 4, the directory "https: //www.ab
As access control for "/ usr / local / apache / htdocs / subarea /", if there is a pattern with an attribute presented by an external accessor, it describes an access rule to give a role as a member. Directory "https: //www.ab/usr/local/apache/htdocs/s
ubarea / "is the personal information identification 52.
【0015】この例では、〈if〉の〈cond〉節で、外部
アクセス者の提示する属性証明書〈CLIENT#AC〉に対し
て、パターンマッチングを行い、条件を満たしたものに
ついては、〈then〉節で定義されたロールが与えられ
る。属性証明書の組織名"CLIENT#AC#DN#O"が"Fujitsu,
Ltd."にマッチングし、かつ部署名"CLIENT#AC#DN#OU"
が"Staff"または"NML"にマッチングする場合に、member
(can#read, can#modify, can#delete)というロールを与
えることとする。このことにより、属性証明書の組織名
および部署名がマッチングした場合に、この外部アクセ
ス者に対して、読取・変更・削除を許可するアクセス権
限が与えられる。In this example, in the <cond> section of the <if>, a pattern matching is performed on the attribute certificate <CLIENT # AC> presented by the external accessor. The role defined in section> is given. The organization name "CLIENT # AC # DN # O" of the attribute certificate is changed to "Fujitsu,
Ltd. "and the department name" CLIENT # AC # DN # OU "
If "matches""Staff" or "NML"
The role (can # read, can # modify, can # delete) is given. As a result, when the organization name and the department name of the attribute certificate match, the external access person is given access authority to permit reading, changing, and deleting.
【0016】ポリシー証明書51に電子署名を付加する
場合には、"POLICY CERTIFICATE"の欄の次に、"POLICY
CERTIFICATE SIGNATURE"の欄を設け、秘密鍵によって暗
号化された電子署名のデータを配置する。 〔プロキシサーバ〕プロキシサーバ41は、情報所有者
端末1から送信されてくるポリシー証明書5を受け付け
るポリシー受付部44、ポリシー証明書5の内容を記憶
するポリシー記憶部45、ポリシー記憶部45の内容に
基づいてアクセス制御を行うポリシーエンジン47とを
備えている。When an electronic signature is added to the policy certificate 51, the "POLICY CERTIFICATE" field is followed by "POLICY CERTIFICATE".
A column “CERTIFICATE SIGNATURE” is provided, and data of an electronic signature encrypted with a secret key is arranged. [Proxy server] The proxy server 41 receives a policy certificate 5 transmitted from the information owner terminal 1. A policy storage unit 45 for storing the contents of the policy certificate 5; and a policy engine 47 for performing access control based on the contents of the policy storage unit 45.
【0017】ポリシーエンジン47は、ポリシー受付部
44で受け付けたポリシー証明書の内容を解析し、ポリ
シー証明書に含まれるアクセスルールに基づいて外部ア
クセス者2のアクセス権限を割り当てるためのトラスト
エンジン471と、データベース43内のデータに対す
るアクセス制御を行うための既存システムとのインター
フェイス部475とを備えている。The policy engine 47 analyzes the contents of the policy certificate received by the policy receiving section 44, and assigns a trust engine 471 for assigning the access authority of the external accessor 2 based on the access rule included in the policy certificate. And an interface unit 475 with an existing system for controlling access to data in the database 43.
【0018】トラストエンジン471は、ポリシー証明
書5に含まれるアクセスルール51を解析するためのル
ール解析部472、外部アクセス者の属性を解析するた
めの属性情報解析部473、属性情報解析部473で特
定した外部アクセス者の属性とルール解析部472で解
析したアクセスルールに基づいて外部アクセス者に対す
るロールを割り当てる論理判断システム474で構成さ
れる。The trust engine 471 includes a rule analyzer 472 for analyzing the access rule 51 included in the policy certificate 5, an attribute information analyzer 473 for analyzing the attribute of the external access user, and an attribute information analyzer 473. A logical decision system 474 for assigning a role to the external access user based on the specified attribute of the external access user and the access rule analyzed by the rule analysis unit 472.
【0019】外部アクセス者は、データベース43内の
データへのアクセスを行うために、自己の属性を示した
属性証明書と、本人であることを証明するための公開鍵
証明書とをプロキシサーバ4に送信する。属性証明書
は、一定の認証機関によって外部アクセス者がもってい
る属性を証明するものであって、ITU-T X.509属性証明
書に準じたデータ形式で構成され、識別子としてDNを付
した一意名のデータとすることができる。In order to access the data in the database 43, the external accessor sends an attribute certificate indicating his / her own attribute and a public key certificate for certifying the identity to the proxy server 4. Send to An attribute certificate certifies the attributes possessed by an external accessor by a certain certificate authority, and has a data format conforming to the ITU-T X.509 attribute certificate, and is a unique name with a DN as an identifier. Data.
【0020】公開鍵証明書は、ネットワーク上における
本人認証を行うものであって、ITU-T X.509公開鍵証明
書に準じたデータ形式で構成され、識別子としてDNを付
した一意名のデータとすることができる。外部アクセス
者から送信される属性証明書および公開鍵証明書のう
ち、公開鍵証明書は、SSL(Secure Sockets Layer)ま
たはTSL(Transport Layer Security)などのユーザ認
証のレイヤで評価される。ここで本人認証がなされた場
合には、Secure API(Application Program Interfac
e)を通じて外部アクセス者2から送信されてくるデー
タがプロキシサーバ47内のトラストエンジン471に
入力される。このうち、属性証明書のデータは属性情報
解析部473に送信され、そのデータ内容の解析が実行
される。The public key certificate is used to authenticate the user on the network. The public key certificate has a data format conforming to the ITU-T X.509 public key certificate. can do. Of the attribute certificate and the public key certificate transmitted from the external access person, the public key certificate is evaluated by a user authentication layer such as SSL (Secure Sockets Layer) or TSL (Transport Layer Security). If the user is authenticated here, the Secure API (Application Program Interface)
Data transmitted from the external accessor 2 through e) is input to the trust engine 471 in the proxy server 47. Among them, the attribute certificate data is transmitted to the attribute information analysis unit 473, and the data content is analyzed.
【0021】属性証明書の構造の一例を図7に示す。こ
こでは、ITU-T X.509 Attribute Certificate として定
義された属性証明書の例であって、ここでの属性とロー
ルとの対応を定義することによって、ポリシー証明書内
のアクセスルールを設定することができる。論理判断シ
ステム474では、属性情報解析部473で解析した外
部アクセス者の属性と、ルール解析部472で解析した
アクセスルールとから、外部アクセス者に対して割り当
てるアクセス権限を判定し、対応するロールの割り当て
を行う。FIG. 7 shows an example of the structure of the attribute certificate. Here is an example of an attribute certificate defined as an ITU-T X.509 Attribute Certificate. By defining the correspondence between attributes and roles here, setting the access rule in the policy certificate Can be. The logical decision system 474 determines the access right to be assigned to the external access user from the attribute of the external access user analyzed by the attribute information analysis unit 473 and the access rule analyzed by the rule analysis unit 472, and Make an assignment.
【0022】既存システムとのインターフェイス部47
5中のロール定義部476は、ポリシー証明書内で用い
られるロールの定義を予め行うものである。ロールは、
データやサービスへのアクセス権限の集まりに対する名
前を定義するものであって、たとえば、個人の病歴に関
する情報を管理しているシステムにおいて、「主治医」
というロールに対して、個人の病歴の参照やカルテの作
成や記述の追加など、主治医に関する個人情報への一定
のアクセス権限の総体を割り当てるように設定できる。
したがって、ロール定義部476において、アクセス権
限とロールとを対応させたテーブルを作成し、このテー
ブルを管理する。Interface unit 47 for existing system
The role definition unit 476 in 5 is for preliminarily defining a role used in the policy certificate. The role is
Defines the name of a collection of access rights to data and services, for example, "system doctor" in a system that manages information about an individual's medical history
The role can be set to be assigned a certain total access right to the personal information on the attending physician, such as referring to an individual's medical history, creating a medical chart, and adding a description.
Therefore, the role definition unit 476 creates a table in which the access authority is associated with the role, and manages this table.
【0023】アクセス管理インターフェイス部477
は、論理判断システム474の判定した外部アクセス者
2のロールと、ロール定義部476で管理するテーブル
に従ってアクセス権限を判定し、外部アクセス者による
データベース43へのアクセスを制御する。 〔基本動作〕プロキシサーバ47の基本動作を図8に示
す。Access management interface 477
Determines the access authority according to the role of the external access user 2 determined by the logical determination system 474 and the table managed by the role definition unit 476, and controls access to the database 43 by the external access user. [Basic Operation] The basic operation of the proxy server 47 is shown in FIG.
【0024】ステップS1では、個人情報の所有者から
ポリシー登録の要求があったか否かを判別する。情報所
有者端末1からポリシー登録の要求があったと判断した
場合には、ステップS2に移行する。ステップ2では、
情報所有者端末1からのポリシー登録の受付処理を実行
する。ステップS3では、外部アクセス者2からのデー
タベース43へのアクセス要求があったか否かを判別す
る。クライアント端末2からのアクセス要求があった場
合には、ステップS4に移行する。ステップS4では、
アクセスルールに基づいてアクセス制御を行ってクライ
アント端末2に対してデータベース43を利用させる。In step S1, it is determined whether or not a request for policy registration has been made by the owner of personal information. If it is determined that there has been a policy registration request from the information owner terminal 1, the process proceeds to step S2. In step 2,
A process for accepting a policy registration from the information owner terminal 1 is executed. In step S3, it is determined whether or not there is a request for access to the database 43 from the external access person 2. If there is an access request from the client terminal 2, the process proceeds to step S4. In step S4,
The access control is performed based on the access rule, and the client terminal 2 uses the database 43.
【0025】〔ポリシー登録〕個人情報の所有者による
ポリシー登録要求があった場合のポリシー登録処理を図
9に示す。ステップS11では、情報所有者端末1から
送信されるポリシー証明書5を受け付ける。ポリシー証
明書5は、前述したように、アクセスルール51、個人
情報識別52、電子署名53から構成されたものとする
ことができる。[Policy Registration] FIG. 9 shows a policy registration process when a policy registration request is issued by the owner of personal information. In step S11, the policy certificate 5 transmitted from the information owner terminal 1 is accepted. As described above, the policy certificate 5 can be configured from the access rule 51, the personal information identification 52, and the electronic signature 53.
【0026】ステップS12では、電子署名53を解析
する。たとえば、情報所有者の秘密鍵によって暗号化さ
れた電子署名を公開鍵によって復号化することによっ
て、電子署名53を復元することができる。ステップS
13では、電子署名53の内容により正常に個人認証が
なされたか否かを判別する。個人認証が正常になされた
場合にはステップS13に移行し、個人認証に失敗した
場合にはステップS16に移行する。In step S12, the digital signature 53 is analyzed. For example, the digital signature 53 can be restored by decrypting the digital signature encrypted with the private key of the information owner using the public key. Step S
At 13, it is determined whether or not personal authentication has been normally performed based on the content of the electronic signature 53. If the personal authentication has been successfully performed, the process proceeds to step S13. If the personal authentication has failed, the process proceeds to step S16.
【0027】ステップS14では、ポリシー証明書5内
のアクセスルール51の解析を実行する。ここでは、前
述したようなアクセスルール51を個人情報識別52と
ともにポリシー証明書5から抽出する。ステップS15
では、ポリシー証明書5から抽出したアクセスルール5
1を個人情報識別52とともにポリシー記憶部45に格
納する。At step S14, the access rule 51 in the policy certificate 5 is analyzed. Here, the access rule 51 as described above is extracted from the policy certificate 5 together with the personal information identification 52. Step S15
Now, access rule 5 extracted from policy certificate 5
1 is stored in the policy storage unit 45 together with the personal information identification 52.
【0028】ステップS16では、個人認証に失敗した
旨の表示を情報所有者端末1側に送信し処理を終了す
る。 〔アクセス制御〕図8ステップS4におけるアクセス制
御の動作について図10に示す制御フローチャートと、
図11に示すデータフローチャートに基づいて説明す
る。In step S16, a display indicating that personal authentication has failed is transmitted to the information owner terminal 1, and the process is terminated. [Access Control] FIG. 8 is a control flowchart showing the operation of access control in step S4 shown in FIG.
This will be described based on the data flowchart shown in FIG.
【0029】ステップS21では、SSLプロトコルによ
るハンドシェイクを実行する。この場合、図11に示す
ように、クライアント端末2側からサーバに対してアク
セス対象を指定したSSLハンドシェイク要求を行う。こ
れに対応して、サーバ側からSSLハンドシェイク応答を
行うことにより、クライアント端末2とサーバとのセッ
ションを確立する。ここでは、SSLプロトコル中に、ク
ライアント端末2から送信されてくる公開鍵証明書の認
証のネゴシエーションを行い、外部アクセス者の個人認
証を行ってからセッションを確立する。外部アクセス者
の個人認証に成功した場合には、Secure API を通じて
プロキシサーバ47のトラストエンジン471内にその
情報が送信される。個人認証に失敗した場合には、この
旨の通知をクライアント端末2側に送信し、再度アクセ
スの実行を促す。In step S21, a handshake by the SSL protocol is executed. In this case, as shown in FIG. 11, the client terminal 2 issues an SSL handshake request to the server to specify an access target. In response to this, a session between the client terminal 2 and the server is established by performing an SSL handshake response from the server side. Here, during the SSL protocol, authentication of a public key certificate transmitted from the client terminal 2 is negotiated, and personal authentication of an external access person is performed, and then a session is established. When the personal authentication of the external access person succeeds, the information is transmitted to the trust engine 471 of the proxy server 47 through the Secure API. If the personal authentication has failed, a notification to that effect is transmitted to the client terminal 2 side, and the execution of the access is prompted again.
【0030】ステップS21では、SSLハンドシェイク
処理の実行を行っているが、TSLプロトコルによるクラ
イアント−サーバのセッションを確立するように構成す
ることもでき、クライアント端末2の環境に応じてSSL/
TSLプロトコルのいずれにも対応可能とすることもでき
る。ステップS21においてクライアント端末2とサー
バ側とのセッションが確立した場合にはステップS22
に移行する。ステップS22では、クライアント端末2
に対して属性証明書要求を送信する。In step S21, the SSL handshake process is executed. However, it is also possible to establish a client-server session by the TSL protocol.
It can be compatible with any of the TSL protocols. If the session between the client terminal 2 and the server side is established in step S21, step S22
Move to In step S22, the client terminal 2
Send an attribute certificate request to.
【0031】ステップS23では、クライアント端末2
から属性証明書が送信されてきたか否かを判別する。ク
ライアント端末2から属性証明書が送信されてきたと判
断した場合には、ステップS24に移行する。ステップ
S24では、属性証明書の解析を行う。クライアント端
末2から送信されてくる属性証明書は、前述したように
ITU-T X.509標準に準拠したデータ形式とすることがで
き、また、IETF-PKIX 標準に準拠するデータ形式とする
ことも可能である。ここでは、それぞれの属性証明書の
データ形式に基づいて解析することにより、外部アクセ
ス者の属性を判別することが可能となる。In step S23, the client terminal 2
It is determined whether or not the attribute certificate has been transmitted from the. If it is determined that the attribute certificate has been transmitted from the client terminal 2, the process proceeds to step S24. In step S24, the attribute certificate is analyzed. The attribute certificate transmitted from the client terminal 2 is, as described above,
The data format can conform to the ITU-T X.509 standard, and can also conform to the IETF-PKIX standard. Here, by analyzing based on the data format of each attribute certificate, the attribute of the external access user can be determined.
【0032】ステップS25では、属性証明書を解析し
た結果と、アクセス要求のあった個人情報識別52に付
随するアクセスルール51とを比較し、対応するロール
の割り当てを行う。ここでは、前述したように、属性情
報解析部473により解析した外部アクセス者の属性
と、ルール解析部472により解析したアクセスルール
の内容とを論理判断システム474によって判別して、
外部アクセス者に対応するアクセス権限を与えるべくロ
ールの割り当てを行う。ここで外部アクセス者に割り当
てられるロールは、ロール定義部476で予め定義され
たものである。割り当てられたロールは、ロール証明書
としてクライアント端末2に送信される。同時に、この
クライアント端末2からのアクセス要求に対して、割り
当てられたロールに相当するアクセス権限が設定され
る。In step S25, the result of analyzing the attribute certificate is compared with the access rule 51 attached to the personal information identification 52 that has made an access request, and a corresponding role is assigned. Here, as described above, the attribute of the external access person analyzed by the attribute information analysis unit 473 and the contents of the access rule analyzed by the rule analysis unit 472 are determined by the logical determination system 474,
Assign roles to give access rights corresponding to external access users. Here, the role assigned to the external access person is defined in advance by the role definition unit 476. The assigned role is transmitted to the client terminal 2 as a role certificate. At the same time, an access right corresponding to the assigned role is set for the access request from the client terminal 2.
【0033】ステップS26では、クライアント端末2
からの実際のデータアクセスがあったか否かを判別す
る。ここでは、アクセス要求のあった個人情報識別52
に対するデータ表示要求やデータダウンロード要求など
が、クライアント端末2から送信されてきた場合には、
データアクセス要求があったと判断してステップS27
に移行する。In step S26, the client terminal 2
It is determined whether or not there has been actual data access from. Here, the personal information identification 52 for which the access request was made
When a data display request or a data download request is transmitted from the client terminal 2,
It is determined that there is a data access request, and step S27
Move to
【0034】ステップS27では、外部アクセス者に割
り当てられたロールに基づいてアクセス制御を行い、デ
ータベース43内のデータを利用させる。ここでは、個
人情報識別52によって特定される個人情報の一部また
は全部を読み取ることの可・不可、変更することの可・
不可、削除することの可・不可などのアクセス制御をア
クセス管理インターフェイス部477で行い、外部アク
セス者に対するアクセス制限を行う。In step S27, access control is performed based on the role assigned to the external access person, and the data in the database 43 is used. Here, it is possible or impossible to read a part or all of the personal information specified by the personal information identification 52, and it is possible to change the personal information.
The access management interface unit 477 performs access control such as “impossible” or “possible or impossible” to delete, and restricts access to external access users.
【0035】ステップS28では、外部アクセス者から
のアクセスが終了したか否かを判別する。クライアント
端末2からのアクセス終了の旨の信号を受信した場合に
は、この処理を終了する。In step S28, it is determined whether or not the access from the external access user has been completed. When a signal indicating the end of access is received from the client terminal 2, this processing ends.
【0036】[0036]
【発明の効果】本発明によれば、広域的に分散して存在
する既存のデータベースに存在する個人情報へのアクセ
ス制御を、個人情報の所有者本人がアクセスルールとし
て定義することができ、情報プライバシー権の保護を維
持することが可能となる。外部アクセス者に対して、自
動的にアクセス権限を判別させることにより、データベ
ース管理者による運用負荷を低減できる。さらに、アク
セス権限の判別は、個人情報の所有者本人が登録したア
クセスルールに基づくものであり、その判断ロジックを
確実にトレースすることが可能であるため、データベー
ス管理者の守秘責任に基づく負荷も低減することができ
る。According to the present invention, access control to personal information existing in an existing database distributed widely can be defined by the owner of the personal information as an access rule. It is possible to maintain the protection of privacy rights. The operation load on the database administrator can be reduced by allowing the external access user to automatically determine the access authority. Furthermore, the determination of the access authority is based on the access rules registered by the owner of the personal information, and the determination logic can be traced without fail. Can be reduced.
【図1】本発明の概略構成図。FIG. 1 is a schematic configuration diagram of the present invention.
【図2】情報所有者端末の概略構成図。FIG. 2 is a schematic configuration diagram of an information owner terminal.
【図3】ポリシー証明書の概略構成を示す説明図。FIG. 3 is an explanatory diagram showing a schematic configuration of a policy certificate.
【図4】ポリシー証明書の一例を示す説明図。FIG. 4 is an explanatory diagram showing an example of a policy certificate.
【図5】プロキシサーバの概略構成図。FIG. 5 is a schematic configuration diagram of a proxy server.
【図6】プロキシサーバの概略構成図。FIG. 6 is a schematic configuration diagram of a proxy server.
【図7】属性証明書の一例を示す説明図。FIG. 7 is an explanatory diagram showing an example of an attribute certificate.
【図8】サーバ側の動作を示すフローチャート。FIG. 8 is a flowchart showing the operation on the server side.
【図9】サーバ側の動作を示すフローチャート。FIG. 9 is a flowchart showing the operation on the server side.
【図10】サーバ側の動作を示すフローチャート。FIG. 10 is a flowchart showing the operation on the server side.
【図11】アクセス時におけるデータフローチャート。FIG. 11 is a data flowchart at the time of access.
フロントページの続き Fターム(参考) 5B017 AA03 BA07 CA16 5B075 KK43 KK54 KK63 UU08 5B082 EA11 HA08 5B085 AE13 AE23 AE29 BC01 BG07 5B089 GA19 GB02 JB22 KA17 KB13 KC58 Continued on the front page F term (reference) 5B017 AA03 BA07 CA16 5B075 KK43 KK54 KK63 UU08 5B082 EA11 HA08 5B085 AE13 AE23 AE29 BC01 BG07 5B089 GA19 GB02 JB22 KA17 KB13 KC58
Claims (5)
憶手段と、 前記データベース内の個人情報に対するアクセス権限を
設定するためのアクセスポリシーを、前記個人情報の所
有者から受け付けるアクセスポリシー受付手段と、 前記アクセスポリシー受付手段で受け付けたアクセスポ
リシーを格納するアクセスポリシー記憶手段と、 前記アクセスポリシー記憶手段に格納されているアクセ
スポリシーに基づいて、外部からのアクセス者に対して
前記個人情報へのアクセスを制御するポリシーエンジン
と、を備える情報アクセス制御装置。A storage unit for storing a database including personal information; an access policy receiving unit for receiving, from an owner of the personal information, an access policy for setting an access right to the personal information in the database; Access policy storing means for storing an access policy received by the access policy receiving means; and controlling access to the personal information for an external accessor based on the access policy stored in the access policy storing means. An information access control device comprising:
シーエンジンは、前記記憶手段内に格納されているデー
タベースの情報を入出力制御するプロキシサーバ内に設
定されている、請求項1に記載の情報アクセス制御装
置。2. The information access control according to claim 1, wherein said access policy storage means and policy engine are set in a proxy server which controls input / output of database information stored in said storage means. apparatus.
ータサーバ上のデータを、インターネットを介してアク
セスしてくる外部アクセス者にプロキシサーバを介して
利用させる際の情報アクセス制御方法であって、 前記データベース内の個人情報に対するアクセス権限を
設定するためのアクセスポリシーを、前記個人情報の所
有者から受け付けて、前記プロキシサーバ上に格納する
アクセスポリシー受付段階と、 外部アクセス者からのアクセスがあった場合に、前記プ
ロキシサーバ内のアクセスポリシーを解析して、前記外
部アクセス者のアクセス権限を判別するアクセスポリシ
ー解析段階と、 解析したアクセス権限に基づいて前記外部アクセス者に
対して前記データベース内の個人情報を利用させるアク
セス制御段階と、を備える情報アクセス制御方法。3. An information access control method in which data on a data server storing a database containing personal information is used by an external access person accessing via the Internet via a proxy server, Receiving an access policy for setting an access right to personal information in a database from the owner of the personal information and storing the access policy on the proxy server; and receiving an access from an external accessor. Analyzing an access policy in the proxy server to determine an access right of the external accessor; and analyzing personal information in the database for the external accessor based on the analyzed access right. An access control step for utilizing the Access control method.
クセスポリシーは、個人情報に対するアクセス権限をア
クセスルールとして定義したポリシーデータに前記個人
情報の所有者による電子署名を付加したポリシー証明書
でなる、請求項3に記載の情報アクセス制御方法。4. An access policy accepted in an access policy accepting step is a policy certificate in which an electronic signature by an owner of the personal information is added to policy data in which access authority for personal information is defined as an access rule. The information access control method described in 1.
で認証可能な属性情報に対応付けてアクセス権限を定義
したものである、請求項4に記載の情報アクセス制御方
法。5. The information access control method according to claim 4, wherein said policy data defines access authority in association with attribute information that can be authenticated by a public key certificate or the like.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000193871A JP2002014862A (en) | 2000-06-28 | 2000-06-28 | Information access control device and information access control method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000193871A JP2002014862A (en) | 2000-06-28 | 2000-06-28 | Information access control device and information access control method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002014862A true JP2002014862A (en) | 2002-01-18 |
Family
ID=18692787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000193871A Pending JP2002014862A (en) | 2000-06-28 | 2000-06-28 | Information access control device and information access control method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002014862A (en) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004070613A1 (en) * | 2003-02-05 | 2004-08-19 | Sony Corporation | Information processing device, license information recording medium, information processing method, and computer program |
| JP2004295763A (en) * | 2003-03-28 | 2004-10-21 | Internatl Business Mach Corp <Ibm> | Access management system and method, computer executable program for making computer implement the access control management method, and computer readable storage medium with the program stored therein |
| JP2004341896A (en) * | 2003-05-16 | 2004-12-02 | Nippon Telegr & Teleph Corp <Ntt> | Attribute approval device, attribute approval resource management device, and attribute approval device audit statistics server |
| JP2005284703A (en) * | 2004-03-30 | 2005-10-13 | National Institute Of Information & Communication Technology | Medical information distribution system, information access control method thereof, and computer program |
| JP2006216061A (en) * | 2005-02-04 | 2006-08-17 | Soc Francaise Du Radiotelephone | Security-protected management method using cellphone for executing application |
| JP2008140143A (en) * | 2006-12-01 | 2008-06-19 | Sharp Corp | Information processing system, terminal device, and recording medium |
| JP2008524741A (en) * | 2004-12-21 | 2008-07-10 | エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート | System and method for managing and protecting personal information on the Internet |
| JP2008525880A (en) * | 2004-12-22 | 2008-07-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Apparatus and method for controlling personal data |
| JP2008225674A (en) * | 2007-03-09 | 2008-09-25 | Nec Corp | Access right management system, server, and access right management program |
| JP2008538641A (en) * | 2005-04-22 | 2008-10-30 | マイクロソフト コーポレーション | Support description of access control based on credentials |
| US7801915B2 (en) | 2005-09-27 | 2010-09-21 | International Business Machines Corporation | Apparatus for managing confidentiality of information, and method thereof |
| WO2013119563A1 (en) * | 2012-02-09 | 2013-08-15 | Gramboo Inc. | True-ownership of shared data |
| JP2015517144A (en) * | 2012-03-21 | 2015-06-18 | インタートラスト テクノロジーズ コーポレイション | Distributed computing system and method |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1028144A (en) * | 1996-07-12 | 1998-01-27 | Hitachi Ltd | Network configuration method with access control function |
| JPH1125045A (en) * | 1997-06-30 | 1999-01-29 | Nec Corp | Access control method, its device, attribute certificate issuing device, and machine-readable recording medium |
| JPH11212849A (en) * | 1998-01-29 | 1999-08-06 | Hitachi Ltd | Shared file transmission / reception system, access right determination device |
| WO2000019326A1 (en) * | 1998-09-29 | 2000-04-06 | Fujitsu Limited | Method and device for access request processing |
| JP2000122973A (en) * | 1998-10-16 | 2000-04-28 | Fujitsu Ltd | Qualification management method and device |
| JP2000163375A (en) * | 1998-11-30 | 2000-06-16 | Hitachi Ltd | Access right management method between multiple EDI systems |
-
2000
- 2000-06-28 JP JP2000193871A patent/JP2002014862A/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1028144A (en) * | 1996-07-12 | 1998-01-27 | Hitachi Ltd | Network configuration method with access control function |
| JPH1125045A (en) * | 1997-06-30 | 1999-01-29 | Nec Corp | Access control method, its device, attribute certificate issuing device, and machine-readable recording medium |
| JPH11212849A (en) * | 1998-01-29 | 1999-08-06 | Hitachi Ltd | Shared file transmission / reception system, access right determination device |
| WO2000019326A1 (en) * | 1998-09-29 | 2000-04-06 | Fujitsu Limited | Method and device for access request processing |
| JP2000122973A (en) * | 1998-10-16 | 2000-04-28 | Fujitsu Ltd | Qualification management method and device |
| JP2000163375A (en) * | 1998-11-30 | 2000-06-16 | Hitachi Ltd | Access right management method between multiple EDI systems |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004070613A1 (en) * | 2003-02-05 | 2004-08-19 | Sony Corporation | Information processing device, license information recording medium, information processing method, and computer program |
| US7565352B2 (en) | 2003-02-05 | 2009-07-21 | Sony Corporation | Information processing device, license information recording medium, information processing method, and computer program |
| JP2004295763A (en) * | 2003-03-28 | 2004-10-21 | Internatl Business Mach Corp <Ibm> | Access management system and method, computer executable program for making computer implement the access control management method, and computer readable storage medium with the program stored therein |
| JP2004341896A (en) * | 2003-05-16 | 2004-12-02 | Nippon Telegr & Teleph Corp <Ntt> | Attribute approval device, attribute approval resource management device, and attribute approval device audit statistics server |
| JP2005284703A (en) * | 2004-03-30 | 2005-10-13 | National Institute Of Information & Communication Technology | Medical information distribution system, information access control method thereof, and computer program |
| JP2008524741A (en) * | 2004-12-21 | 2008-07-10 | エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート | System and method for managing and protecting personal information on the Internet |
| JP2008525880A (en) * | 2004-12-22 | 2008-07-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Apparatus and method for controlling personal data |
| JP2006216061A (en) * | 2005-02-04 | 2006-08-17 | Soc Francaise Du Radiotelephone | Security-protected management method using cellphone for executing application |
| JP2008538641A (en) * | 2005-04-22 | 2008-10-30 | マイクロソフト コーポレーション | Support description of access control based on credentials |
| US7801915B2 (en) | 2005-09-27 | 2010-09-21 | International Business Machines Corporation | Apparatus for managing confidentiality of information, and method thereof |
| JP2008140143A (en) * | 2006-12-01 | 2008-06-19 | Sharp Corp | Information processing system, terminal device, and recording medium |
| JP2008225674A (en) * | 2007-03-09 | 2008-09-25 | Nec Corp | Access right management system, server, and access right management program |
| WO2013119563A1 (en) * | 2012-02-09 | 2013-08-15 | Gramboo Inc. | True-ownership of shared data |
| US9130941B2 (en) | 2012-02-09 | 2015-09-08 | Gramboo Inc. | Managing a data item |
| US9699192B2 (en) | 2012-02-09 | 2017-07-04 | Gramboo Inc. | True-ownership of shared data |
| JP2015517144A (en) * | 2012-03-21 | 2015-06-18 | インタートラスト テクノロジーズ コーポレイション | Distributed computing system and method |
| US10423453B2 (en) | 2012-03-21 | 2019-09-24 | Intertrust Technologies Corporation | Distributed computation systems and methods |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11899820B2 (en) | Secure identity and profiling system | |
| CN100511203C (en) | Database access control method, control device and proxy processing server device | |
| US6754829B1 (en) | Certificate-based authentication system for heterogeneous environments | |
| US6105131A (en) | Secure server and method of operation for a distributed information system | |
| US6357010B1 (en) | System and method for controlling access to documents stored on an internal network | |
| US6851113B2 (en) | Secure shell protocol access control | |
| US9514459B1 (en) | Identity broker tools and techniques for use with forward proxy computers | |
| JP4109874B2 (en) | Information processing apparatus, control method therefor, program, and recording medium | |
| JPH10269184A (en) | Network system security management method | |
| JP2006164247A (en) | Providing tokens to access federated resources | |
| JPH1125048A (en) | Network system security management method | |
| JP2002014862A (en) | Information access control device and information access control method | |
| US7013388B2 (en) | Vault controller context manager and methods of operation for securely maintaining state information between successive browser connections in an electronic business system | |
| TW200425700A (en) | Policy-based connectivity | |
| JP3833652B2 (en) | Network system, server device, and authentication method | |
| JP6059748B2 (en) | Authentication linkage system and authentication method | |
| US7072969B2 (en) | Information processing system | |
| JP2004110335A (en) | Access control system | |
| CN119030745B (en) | Identity authentication method, device, equipment, storage medium and product applied to voice communication | |
| JP4018450B2 (en) | Document management system, document management apparatus, authentication method, computer readable program, and storage medium | |
| JP2002215585A (en) | Device and method for processing subject name of individual certificate | |
| JP2001202332A (en) | Certification program management system | |
| JP2000227879A (en) | Team data list management device, team data list storage device, team data list processing system, and their recording media | |
| KR102819844B1 (en) | System and method for data sharing with enhanced security through docker and nfs | |
| WO2006092642A1 (en) | Access rights control in a device management system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040323 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070501 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070925 |