專利名稱:秘密信息管理裝置、信息處理裝置以及秘密信息管理系統的制作方法
技術領域:
本發明涉及用于分散并管理秘密密鑰的技術。
背景技術:
以往,使用秘密分散技術來實施了秘密密鑰備份方式。這是如下技術通過將秘密密鑰分割成多個秘密密鑰片斷,并由多個管理者分別 保管各秘密密鑰片斷,可以秘密地保持秘密密鑰的內容,并且安全地進行備份(例如,非專 利文獻1)。在該方式中,除了將秘密密鑰分割成幾個這樣的分割數N、即管理者的人數以外, 還可以指定如果將其中的幾個秘密密鑰片斷(管理者)到齊則能夠復原秘密密鑰這樣的可 復原數k,所以具有例如通過設為k < N,即使一個管理者丟失了秘密密鑰片斷,也可以復原 秘密密鑰這樣的特征。另外,還提出了如下秘密分散技術通過研究將所分割的秘密密鑰片斷分發給管 理者的分發方法,可以通過任意的管理者的組合來復原秘密密鑰(例如,專利文獻1)。在該方式中,在存在N個管理者Pl PN時,指定如下訪問結構指定了可以通過 哪個管理者具有的秘密密鑰片斷的組合來復原秘密密鑰的訪問結構。例如,在存在3名(P1、P2、P3)管理者時,表示在秘密密鑰復原中需要2名管理者 具有的秘密密鑰片斷,且其中的一人是管理者Pl的情況下,如{{P1、P2}、{P1、P3}}那樣指 定訪問結構。然后,根據訪問結構對秘密密鑰進行秘密分散,從而分割成N個秘密密鑰片斷。然后,對各管理者委托秘密密鑰片斷,從而僅在由訪問結構指定的組合的管理者 到齊時,可以復原秘密密鑰。另一方面,在近年來的企業內信息系統中,正在利用基于角色的訪問控制 (Role-Based Access Control, RBAC)(例如,非專利文獻 2)。這是根據工作上的作用、組織結構來規定角色,并對角色指定訪問權限的構造。進而,通過使角色具有層次結構,可以進行權限的繼承。另外,通過對角色登記用戶,可以進行針對用戶的訪問控制。即使產生了人事變動,僅變更針對角色的用戶登記即可,所以適合于企業內信息 系統。例如,作為角色,制作部長角色、科長角色,對部長角色提供進行結算的權限,對科 長角色提供制作付款單據的權限。然后,在部長角色中登記用戶“田中部長”,在科長角色中 登記用戶“鈴木科長”和“佐藤科長”。由此,能夠進行鈴木科長、佐藤科長可以制作付款單 據,田中部長可以進行結算這樣的訪問控制。另外,通過使部長角色繼承科長角色的權限, 可以使田中部長也能夠實施單據制作。另外,在高橋成為新科長的情況下,可以僅通過在科 長角色中登記高橋科長,來簡單地修正訪問權限。專利文獻1 日本特開2002-217891號公報第5頁 10頁
:A. Shamir"How to Share a Secret"Communications of the ACM、 v. 22n. 11、p. 612-613、Nov. 1979非專禾丨J文獻 2 :David F. Ferraiolo>D. Richard Kuhn>Ramaswamy Chandramouli 著 "Role-Based AccessControl,,ARTECH HOUSE、INC. ,2003 年、P6 1
發明內容
在以往的秘密密鑰備份方式中,在存在N個管理者Pl PN時,指定了可以通過哪 個管理者具有的秘密密鑰片斷的組合來復原秘密密鑰。但是,由于在企業內信息系統中正在采用RBAC,所以考慮關于秘密密鑰備份也使 用由RBAC規定的角色來指定訪問結構。此處,由于一般對角色登記多個管理者,所以有可能在訪問結構中重復指定角色 這一點與以往不同。在以往的秘密分散方式中,以由訪問結構指定的管理者Pl PN是不同的管理者 為前提,所以沒有設想對訪問結構的管理者的組合指定同一角色。因此,在重復指定了同一角色時,存在無法判斷如何進行秘密分散來生成秘密密 鑰片斷,并按照什么樣的組合將秘密密鑰片斷分發給管理者才好這樣的課題。例如,在如果1名部長和2名科長具有的秘密密鑰片斷到齊則可以復原秘密密鑰 的情況下,作為訪問結構指定為{部長角色、科長角色、科長角色}。然后,設按照以往的秘密分散方式生成了部長用秘密密鑰片斷、科長用秘密密鑰 片斷A、科長用秘密密鑰片斷B。此處,產生將科長用秘密密鑰片斷A ·Β應該按照什么樣的組合分發給科長這樣的 問題。作為情形1,在將科長用秘密密鑰片斷A · B這兩方分別分發給鈴木科長、佐藤科 長、高橋科長的情況下,如果田中部長、和鈴木/佐藤/高橋科長中的某1名科長到齊,則秘 密密鑰片斷到齊,所以可以對秘密密鑰進行解密。這偏離了在1名部長和2名科長到齊的情況下才能對秘密密鑰進行解密這樣的條 件,而可以通過更少的人數來復原秘密密鑰,所以安全上并不優選。作為情形2,考慮將科長用秘密密鑰片斷A · B中的某一個分發給各科長的情形。此處,設對鈴木科長分發科長用秘密密鑰片斷Α,對佐藤/高橋科長分發秘密密鑰 片斷B。在該情況下,在田中部長、鈴木科長、佐藤科長這3名到齊的情況下可以復原秘密 密鑰,但在田中部長、佐藤科長、高橋科長這3名中,秘密密鑰片斷不足,所以產生無法復原 秘密密鑰這樣的問題。如上所述,存在如下課題由以往的訪問結構指定的管理者是以通過完全不同的 管理者Pi PN的組合來指定為前提,在指定了重復的角色的情況下,無法判斷如何分發秘 密密鑰片斷才好。本發明的主要目的之一為解決上述那樣的課題,其主要目的在于,即使在使用利 用角色指定了訪問結構的基于角色的訪問結構的情況下,也安全地實現秘密密鑰備份。本發明的秘密信息管理裝置,從多個用戶中抽出成為從秘密信息分割的2個以上的分割秘密信息的管理者的用戶,該秘密信息管理裝置的特征在于,具有用戶角色信息取得部,取得表示多個用戶分別具備的角色的用戶角色信息;指定角色信息取得部,取得將2個以上的角色表示為指定角色的指定角色信息; 以及用戶抽出部,對所述用戶角色信息所表示的各用戶的角色與所述指定角色信息所表示的各指定角色進行比較,針對每個指定角色抽出具備符合的角色的用戶,按照指定角 色的組合來對所抽出的用戶進行組合,生成成為分割秘密信息的管理者的用戶的組合。其特征在于,所述指定角色信息取得部存在取得對至少2個指定角色重復表示同 一角色的指定角色信息的情況,所述用戶抽出部在所述指定角色信息重復表示同一角色的情況下,針對作為同一 角色的至少2個指定角色分別抽出用戶,并且從成為分割秘密信息的管理者的用戶的組合 中,去除對作為同一角色的至少2個指定角色分配了同一用戶的組合。其特征在于,所述用戶角色信息取得部存在取得表示具備2個以上的角色的用戶 的用戶角色信息的情況, 所述秘密信息管理裝置還具有同時組合禁止角色信息取得部,該同時組合禁止角 色信息取得部取得將禁止分配同一用戶的2個以上的角色表示為同時組合禁止角色的同 時組合禁止角色信息,所述用戶抽出部針對每個指定角色抽出用戶,并且從成為分割秘密信息的管理者 的用戶的組合中,去除對與同時組合禁止角色相應的至少2個指定角色分配了同一用戶的組合。其特征在于,所述用戶角色信息取得部存在取得表示具備上位角色的用戶的用戶 角色信息的情況,其中,該上位角色包含1個以上的其他角色作為下位角色,所述秘密信息管理裝置還具有包含關系信息取得部,該包含關系信息取得部取得 表示上位角色與下位角色的包含關系的包含關系信息,所述用戶抽出部根據包含關系信息所表示的包含關系,在指定角色信息中將某一 個下位角色表示為指定角色的情況下,導出作為指定角色的下位角色的上位角色,抽出具 備與作為指定角色的下位角色符合的角色的用戶,并且與該下位角色對應起來抽出具備與 作為指定角色的下位角色的上位角色符合的角色的用戶。其特征在于,所述秘密信息管理裝置還具有同時組合禁止角色信息取得部,該同 時組合禁止角色信息取得部取得將禁止分配同一用戶的2個以上的角色表示為同時組合 禁止角色的同時組合禁止角色信息,所述用戶抽出部在下位角色包含于同時組合禁止角色中的情況下,從成為分割秘 密信息的管理者的用戶的組合中,去除對同時組合禁止角色中包含的下位角色的上位角色 以及同時組合禁止角色中包含的其他某一個指定角色分配了同一用戶的組合。其特征在于,所述秘密信息管理裝置還具有秘密信息分割部,該秘密信息分割部 根據由所述用戶抽出部生成的成為分割秘密信息的管理者的用戶的組合,生成分割秘密信 肩、ο本發明的信息處理裝置,具有訪問控制策略信息取得部,取得表示執行者角色與 1個以上的許可者角色的多個組合的訪問控制策略信息,其中,該執行者角色是被許可針對限制了訪問的秘密信息的訪問的角色,該許可者角色是對所述執行者角色許可針對所述秘密信息的訪問的角色;執行用戶信息取得部,取得執行用戶信息,該執行用戶信息將執行針對所述秘密 信息的訪問的執行用戶所具備的1個以上的角色表示為執行用戶角色;許可用戶信息取得部,取得許可用戶信息,該許可用戶信息將對所述執行用戶許 可了針對所述秘密信息的訪問的許可用戶所具備的1個以上的角色表示為許可用戶角色; 以及組合抽出部,抽出在所述訪問控制策略信息所表示的組合中的如下組合執行者 角色與所述執行用戶信息所表示的執行用戶角色一致、且各許可者角色與所述許可用戶信 息所表示的許可用戶角色中的某一個一致的組合。其特征在于,所述執行用戶信息取得部存在如下情況取得作為執行用戶角色表 示將1個以上的其他角色包含為下位角色的上位角色的執行用戶信息的情況,所述信息處理裝置還具有包含關系信息取得部,該包含關系信息取得部取得表示 上位角色與下位角色的包含關系的包含關系信息,所述組合抽出部根據所述包含關系信息所表示的包含關系,判斷執行者角色是否 與執行用戶角色的下位角色相應,在執行者角色與執行用戶角色的下位角色相應的情況 下,判斷和該執行者角色所組合的各許可者角色是否與許可用戶角色中的某一個一致。其特征在于,所述許可用戶信息取得部存在如下情況取得作為許可用戶角色表 示將1個以上的其他角色包含為下位角色的上位角色的許可用戶信息的情況,所述信息處理裝置還具有包含關系信息取得部,該包含關系信息取得部取得表示 上位角色與下位角色的包含關系的包含關系信息,所述組合抽出部根據所述包含關系信息所表示的包含關系,判斷各許可者角色是 否與許可用戶角色的下位角色相應,并抽出如下組合所有許可者角色的至少一部分與許 可用戶角色的下位角色相應、且剩余的許可者角色與許可用戶角色一致的組合。本發明的信息處理裝置,具有訪問控制策略信息取得部,取得表示執行者角色與1個以上的許可者角色的多個 組合的訪問控制策略信息,其中,該執行者角色是被許可針對限制了訪問的秘密信息的訪 問的角色,該許可者角色是對所述執行者角色許可針對所述秘密信息的訪問的角色;執行用戶信息取得部,取得執行用戶信息,該執行用戶信息將執行針對所述秘密 信息的訪問的執行用戶所具備的1個以上的角色表示為執行用戶角色;許可用戶信息取得部,取得許可用戶信息,該許可用戶信息將對所述執行用戶許 可了針對所述秘密信息的訪問的許可用戶所具備的1個以上的角色表示為許可用戶角色; 以及組合抽出部,抽出在所述訪問控制策略信息所表示的組合中的如下組合執行者 角色以及各許可者角色與所述執行用戶信息所表示的執行用戶角色以及所述許可用戶信 息所表示的許可用戶角色中的某一個一致的組合。其特征在于,所述執行用戶信息取得部存在如下情況取得作為執行用戶角色表 示將1個以上的其他角色包含為下位角色的上位角色的執行用戶信息的情況,所述許可用戶信息取得部存在如下情況取得作為許可用戶角色表示將1個以上的其他角色包含為下位角色的上位角色的許可用戶信息的情況, 所述信息處理裝置還具有包含關系信息取得部,該包含關系信息取得部取得表示 上位角色與下位角色的包含關系的包含關系信息,所述組合抽出部根據所述包含關系信息所表示的包含關系,判斷執行者角色以及 各許可者角色是否與執行用戶角色的下位角色以及許可用戶角色的下位角色中的某一個 相應,并抽出如下組合執行者角色以及所有許可者角色的至少一部分與執行用戶角色的 下位角色以及許可用戶角色的下位角色中的某一個相應、且執行者角色以及所有許可者角 色中的剩余部分與執行用戶角色以及許可用戶角色中的某一個一致的組合。其特征在于,所述組合抽出部根據抽出的組合所表示的角色,生成指定角色信息, 該指定角色信息將從所述秘密信息分割的2個以上的分割秘密信息的管理者的角色表示 為指定角色。本發明的秘密信息管理系統,具有訪問控制策略信息取得部,取得表示執行者角色與1個以上的許可者角色的多個 組合的訪問控制策略信息,其中,該執行者角色是被許可針對限制了訪問的秘密信息的訪 問的角色,該許可者角色是對所述執行者角色許可針對所述秘密信息的訪問的角色;執行用戶信息取得部,取得執行用戶信息,該執行用戶信息將執行針對所述秘密 信息的訪問的執行用戶所具備的1個以上的角色表示為執行用戶角色;許可用戶信息取得部,取得許可用戶信息,該許可用戶信息將對所述執行用戶許 可了針對所述秘密信息的訪問的許可用戶所具備的1個以上的角色表示為許可用戶角色;組合抽出部,該組合抽出部抽出在所述訪問控制策略信息所表示的組合中的如下 組合執行者角色與所述執行用戶信息所表示的執行用戶角色一致、且各許可者角色與所 述許可用戶信息所表示的許可用戶角色中的某一個一致的組合;該組合抽出部根據抽出的 組合所表示的角色,生成指定角色信息,其中,該指定角色信息將從所述秘密信息分割的2 個以上的分割秘密信息的管理者的角色表示為指定角色;用戶角色信息取得部,取得表示多個用戶分別具備的角色的用戶角色信息;指定角色信息取得部,取得由所述組合抽出部生成的指定角色信息;用戶抽出部,對所述用戶角色信息所表示的各用戶的角色與所述指定角色信息所 表示的各指定角色進行比較,針對每個指定角色抽出具備符合的角色的用戶,按照指定角 色的組合來對所抽出的用戶進行組合,生成成為分割秘密信息的管理者的用戶的組合;以 及秘密信息分割部,根據由所述用戶抽出部生成的成為分割秘密信息的管理者的用 戶的組合,生成分割秘密信息。本發明的秘密信息管理系統,具有訪問控制策略信息取得部,取得表示執行者角色與1個以上的許可者角色的多個 組合的訪問控制策略信息,其中,該執行者角色是被許可針對限制了訪問的秘密信息的訪 問的角色,該許可者角色是對所述執行者角色許可針對所述秘密信息的訪問的角色;執行用戶信息取得部,取得執行用戶信息,該執行用戶信息將執行針對所述秘密 信息的訪問的執行用戶所具備的1個以上的角色表示為執行用戶角色;許可用戶信息取得部,取得許可用戶信息,該許可用戶信息將對所述執行用戶許可了針對所述秘密信息的訪問的許可用戶所具備的1個以上的角色表示為許可用戶角色; 以及組合抽出部,該組合抽出部抽出在所述訪問控制策略信息所表示的組合中的如下 組合執行者角色以及各許可者角色與所述執行用戶信息所表示的執行用戶角色以及所述 許可用戶信息所表示的許可用戶角色中的某一個一致的組合;該組合抽出部根據抽出的組 合所表示的角色,生成指定角色信息,其中,該指定角色信息將從所述秘密信息分割的2個 以上的分割秘密信息的管理者的角色表示為指定角色;用戶角色信息取得部,取得表示多個用戶分別具備的角色的用戶角色信息;指定角色信息取得部,取得由所述組合抽出部生成的指定角色信息;
用戶抽出部,對所述用戶角色信息所表示的各用戶的角色與所述指定角色信息所 表示的各指定角色進行比較,針對每個指定角色抽出具備符合的角色的用戶,按照指定角 色的組合來對所抽出的用戶進行組合,生成成為分割秘密信息的管理者的用戶的組合;以 及秘密信息分割部,根據由所述用戶抽出部生成的成為分割秘密信息的管理者的用 戶的組合,生成分割秘密信息。其特征在于,所述用戶抽出部生成將所生成的用戶的組合與各用戶具備的角色一 起表示的組合抽出信息,所述秘密信息管理裝置還具有角色信息刪除部,從所述組合抽出信息中刪除各用戶的角色的信息;重復用戶信息共用化部,在所述組合抽出信息中存在重復組合了相同用戶的組合 的情況下,從該組合中去除用戶的重復;重復組合刪除部,在所述組合抽出信息中存在僅用戶的顯示順序不同而組合了相 同用戶的2個以上的組合的情況下,去除所重復的組合;以及無效化組合刪除部,在所述組合抽出信息中,某一個用戶的組合包含于其他用戶 的組合中的情況下,去除包含于其他組合中的組合。根據本發明,根據各用戶具備的角色和指定角色的組合,抽出成為分割秘密信息 的管理者的用戶的組合,所以即使在使用利用角色來指定了訪問結構的基于角色的訪問結 構的情況下,也可以安全地實現秘密密鑰備份。
圖1是示出實施方式1的秘密密鑰備份裝置的結構例的圖。圖2是示出實施方式1的備份參加用戶一覽的結構例的圖。圖3是示出實施方式1的備份參加用戶一覽的例子的圖。圖4是示出實施方式1的基于角色的訪問結構的結構例的圖。圖5是示出實施方式1的基于角色的訪問結構的例子的圖。圖6是示出實施方式1的角色層次信息的結構例的圖。圖7是示出實施方式1的角色層次信息的例子的圖。圖8是示出實施方式1的同時有效化禁止角色組合的結構例的圖。圖9是示出實施方式1的同時有效化禁止角色組合的例子的圖。
圖10是示出實施方式1的所抽出的可復原組合的結構例的圖。圖11是示出實施方式1的所抽出的可復原組合(抽出全部組合)的例子的圖。圖12是示出實施方式1的所抽出的可復原組合(同一用戶·角色刪除后)的例 子的圖。圖13是示出實施方式1的所抽出的可復原組合(同時有效化禁止角色刪除后) 的例子的圖。圖14是示出實施方式1的所抽出的可復原組合(角色信息刪 除后)的例子的圖。圖15是示出實施方式1的所抽出的可復原組合(重復用戶信息共用化后)的例 子的圖。圖16是示出實施方式1的所抽出的可復原組合(重復組合刪除后)的例子的圖。圖17是示出實施方式1的所抽出的可復原組合(無效化組合刪除后)的例子的 圖。圖18是示出實施方式1的秘密密鑰備份裝置的動作例的流程圖。圖19是示出實施方式1的備份參加用戶一覽的例子的圖。圖20是示出實施方式1的秘密密鑰備份裝置的硬件結構例的流程圖。圖21是示出實施方式2的秘密密鑰備份系統的結構例的圖。圖22是示出實施方式2的備份許可用戶一覽的結構例的圖。圖23是示出實施方式2的訪問控制策略的結構例的圖。圖24是示出實施方式2的訪問控制策略的例子的圖。圖25是示出實施方式2的備份執行用戶信息的例子的圖。圖26是示出實施方式2的秘密密鑰備份系統的動作例的流程圖。(附圖標記說明)101 秘密密鑰備份裝置;102 備份參加用戶一覽取得部;103 基于角色的訪問 結構取得部;104 角色層次信息取得部;105 同時有效化禁止角色組合取得部;106 備份 對象秘密密鑰取得部;107 所有組合生成部;108 同一用戶·角色刪除部;109 同時有效 化禁止角色刪除部;110 角色信息刪除部;111 重復用戶信息共用化部;112 重復組合刪 除部;113 無效化組合刪除部;114 一般訪問結構秘密分散部;2101 基于角色的訪問結 構生成裝置;2102 訪問控制策略;2103 備份執行用戶信息;2104 備份許可用戶一覽; 2105 訪問控制策略取得部;2106 備份執行用戶信息取得部;2107 備份許可用戶一覽取 得部;2108 備份權限抽出部;2109 有效訪問權限抽出部;2110 基于角色的訪問結構生 成部;3000 秘密密鑰備份系統。
具體實施例方式(實施方式1)在本實施方式中,說明如下技術在使用利用角色來指定了訪問結構的基于角色 的訪問結構的情況下,參照參加到備份中的用戶、和由該用戶進行有效化的有效化角色,得 到與以往的訪問結構同樣地按照用戶單位指定的基于用戶的訪問結構,從而使用以往的秘 密分散技術來安全地實現秘密密鑰備份。圖1是本實施方式的秘密密鑰備份裝置101的功能結構圖。
秘密密鑰備份裝置101是從多個用戶中抽出成為從秘密密鑰(秘密信息)分割的2個以上的秘密密鑰片斷(分割秘密信息)的管理者的用戶的裝置,是秘密信息管理裝置的 例子。在圖1中,備份參加用戶一覽取得部102取得表示參加到備份中的用戶的一覽、 和由該用戶進行有效化的有效化角色的一覽的備份參加用戶一覽信息201(以下,稱為備 份參加用戶一覽201)。在后面將詳細敘述,備份參加用戶一覽201是如圖2以及圖3所示,表示多個用戶 分別進行有效化的角色的信息,是用戶角色信息的例子。另外,備份參加用戶一覽取得部102是用戶角色信息取得部的例子。基于角色的訪問結構取得部103取得作為可以復原秘密密鑰的角色的組合的基 于角色的訪問結構信息202(以下,稱為基于角色的訪問結構202)。在后面將詳細敘述,基于角色的訪問結構202是如圖4以及圖5所示,將2個以上 的角色表示為可復原組合的信息,是指定角色信息的例子。另外,將可復原組合中包含的角色稱為指定角色。基于角色的訪問結構取得部103是指定角色信息取得部的例子。角色層次信息取得部104取得與在由RBAC規定的角色之間關聯起來的層次結構 相關的角色層次信息203。在后面將詳細敘述,角色層次信息203是如圖6以及圖7所示,表示上位角色與下 位角色的包含關系的信息,是包含關系信息的例子。即,存在備份參加用戶一覽201中示出的用戶的角色承襲了其他角色(作為下位 角色而包含)的情況。這樣,在某用戶使承襲了其他角色的上位角色有效化的情況下,優選使上位的角 色有效化的用戶還能夠利用下位角色的權限而使訪問權限的管理變得容易。因此,使用示 出了角色之間的承襲關系的角色層次信息203。另外,角色層次信息取得部104是包含關系信息取得部的例子。同時有效化禁止角色組合取得部105取得表示用戶不得同時進行有效化的角色 的組合的同時有效化禁止角色組合信息204(以下,稱為同時有效化禁止角色組合204)。在后面將詳細敘述,同時有效化禁止角色組合204是如圖8以及圖9所示,將禁止 同一用戶同時進行有效化的2個以上的角色表示為同時有效化禁止角色(同時組合禁止角 色)的信息,是同時組合禁止角色信息的例子。S卩,存在在備份參加用戶一覽201中出現使2個以上的角色有效化的用戶的情況, 在這樣的情況下,為了不對2個以上的角色重復分配同一用戶,使用示出了用戶不得同時 進行有效化的角色的組合的同時有效化禁止角色組合204。另外,同時有效化禁止角色組合取得部105是同時組合禁止角色信息取得部的例子。另外,為了即使在某用戶使承襲了其他角色的上位角色有效化的情況下,也不對2 個以上的角色重復分配同一用戶,需要考慮角色之間的承襲關系(包含關系)。因此,還對 示出了角色之間的承襲關系的角色層次信息203進行對照,來判斷是否相應于同時有效化 禁止角色的組合。
備份對象秘密密鑰取得部106取得用戶想要進行備份的秘密密鑰205。所有組合生成部107通過對基于角色的訪問結構202中包含的角色應用備份參加用戶一覽201中記載的用戶,生成作為有可能能夠復原秘密密鑰的用戶的所有組合的、所 有組合抽出結果。即,所有組合生成部107對備份參加用戶一覽201中示出的各用戶的角色、與基于 角色的訪問結構202中示出的各指定角色進行比較,針對每個指定角色抽出使符合的角色 有效化的用戶,按照指定角色的組合來組合所抽出的用戶,而生成成為秘密密鑰片斷的管 理者的用戶的組合。所有組合生成部107在將某下位角色作為指定角色而表示于基于角色的訪問結 構202中的情況下,導出作為指定角色的下位角色的上位角色,抽出使所導出的上位角色 有效化的用戶,并且與該下位角色對應起來抽出使上位角色有效化的用戶。所有組合生成部107是用戶抽出部的例子。同一用戶·角色刪除部108,在所有組合抽出結果中,屬于某角色的用戶重復出現 了的情況下,刪除該條目,而生成同一用戶·角色刪除結果。S卩,存在在基于角色的訪問結構202中對至少2個指定角色重復示出了同一角色 的情況(在圖5的例子中,組合編號Nol),在該情況下,所有組合生成部107對作為同一角 色的2個以上的指定角色(RoleA和RoleA)分別抽出用戶,但同一用戶 角色刪除部108 去除對作為同一角色的2個以上的指定角色(RoleA和RoleA)分配了同一用戶的組合。另外,如上所述,在下位角色是指定角色的情況下,所有組合生成部107還一并將 該下位角色的上位角色也作為用戶的抽出對象,但其結果,存在對作為同一角色的2個以 上的指定角色分配同一用戶的情況。例如,在RoleD是RoleA的上位角色,指定角色是“RoleA和RoleA”的情況下,對 “RoleA和RoleA”,重復抽出與RoleD相應的同一用戶,生成同一用戶的組合。在這樣的情 況下,同一用戶·角色刪除部108也排除同一用戶的組合。同時有效化禁止角色刪除部109,在同一用戶·角色刪除結果中,某用戶使多個由 同時有效化禁止角色組合204指定的組合的角色有效化的情況下,刪除該條目,而生成同 時有效化禁止角色刪除結果。另外,在基于角色的訪問結構202中,示出了不同的指定角色的組合(在圖5的例 子中,組合編號No2)的情況下,在同一用戶使多個角色有效化的情況下,即使是不同的指 定角色,所有組合生成部107也重復抽出同一用戶。在這樣的情況下,同時有效化禁止角色 刪除部109去除對與同時有效化禁止角色組合204相應的2個以上的指定角色分配了同一 用戶的組合。另外,如上所述,在下位角色是指定角色的情況下,所有組合生成部107將該下位 角色的上位角色也一并作為用戶的抽出對象。此時,在同時有效化禁止角色組合204中示 出了下位角色的情況下,同時有效化禁止角色刪除部109去除對該上位角色和同時有效化 禁止角色組合204的其他角色分配了同一用戶的組合。另外,同一用戶·角色刪除部108也是用戶抽出部的例子。角色信息刪除部110,雖然在同時有效化禁止角色刪除結果中,還一并記載有用戶 所屬的角色,但刪除該角色信息,而生成角色信息刪除結果。
重復用戶信息共用化部111在角色信息刪除結果中的各條目中出現了同一用戶 的情況下,通過將其作為重復而去除,來生成重復用戶信息共用化結果。重復組合刪除部112,在重復用戶信息共用化結果中,去除僅用戶信息的記載順序 不同而表示相同的用戶的組合的重復組合,從而生成重復組合刪除結果。
無效化組合刪除部113,在重復組合刪除結果的條目中,去除包含在其他條目中示 出的用戶的組合中、作為可以備份的用戶的組合而沒有意義的組合,從而生成使用用戶信 息來記載的基于用戶的訪問結構。一般訪問結構秘密分散部114是用于根據基于用戶的訪問結構,對秘密密鑰205 進行秘密分散的功能。S卩,一般訪問結構秘密分散部114分割作為秘密信息的秘密密鑰205,而生成秘密 密鑰片斷(分割秘密信息)。一般訪問結構秘密分散部114是秘密信息分割部的例子。接下來,根據圖18,對本實施方式的秘密密鑰備份裝置101的動作進行說明。首先在S1801中,備份參加用戶一覽取得部102取得示出了參加到系統或者應用 程序所管理的備份中的用戶的一覽、和由該用戶進行有效化的角色的一覽的備份參加用戶 一覽 201。圖2示出該備份參加用戶一覽201的結構。備份參加用戶一覽201列舉出在備份中列出的參加用戶名2011、和各參加用戶進 行了激活化的有效化角色2012的對。在圖3所示的例子中,能夠示出使角色RoleC激活化的用戶UserC參加、或者使角 色RoleA和角色RoleB同時有效化的用戶UserA參加的情況等。接下來,在S1802中,基于角色的訪問結構取得部103從系統或者應用程序所管理 的安全策略中,取得作為可以復原秘密密鑰205的角色(指定角色)的組合的基于角色的 訪問結構202。圖4示出該基于角色的訪問結構202的結構。基于角色的訪問結構202由表示條目的編號的組合的編號、和使用角色和AND/OR 等算子來記述的可復原組合構成。在圖5所示的例子中,在組合編號Nol中是指定成在角色RoleA的用戶存在2名 的情況下,可以復原秘密密鑰205的例子,在組合編號No2中是指定成通過角色RoleA的用 戶必需被列出、進而角色RoleB的用戶、角色RoleC的用戶或者角色RoleD的用戶中的某2 名被列出,可以復原秘密密鑰205的例子。接下來,在S1803中,角色層次信息取得部104從系統或者應用程序所管理的安全 策略中,取得在由RBAC規定的角色之間關聯起來的角色層次信息203。圖6示出該角色層次信息203的結構。角色層次信息203由作為定義層次結構的對象的角色、和表示繼承哪個角色的繼 承源角色構成。角色意味著還可以承擔繼承源角色的職責。例如,如圖7所示,記載為角色是RoleD、繼承源角色是RoleA的情況下,意味著屬 于角色RoleD中的用戶還可以承擔角色RoleA的職責。
即,RoleD是上位角色,RoleA是下位角色,RoleD包含RoleA。接下來,在S1804中,同時有效化禁止角色組合取得部105從系統或者應用程序所 管理的安全策略中,取得表示用戶不得同時進行有效化的角色的組合的同時有效化禁止角 色組合204。
圖8示出該同時有效化禁止角色組合204的結構。同時有效化禁止角色組合204由表示條目的編號的禁止編號、以及使用角色和不 得同時進行有效化的角色數來記述的禁止角色組合構成。在圖9所示的例子中,在禁止編號Nol中是指定為角色RoleA、角色RoleB、和角色 RoleC中的2個以上的角色不得同時進行有效化的例子,在禁止編號No2中是指定為角色 RoleA、角色RoleC和角色RoleD中的直至2個角色可以同時進行有效化,但3個以上不得 同時進行有效化的例子。接下來,在S1805中,備份對象秘密密鑰取得部106取得用戶想要進行備份的秘密 密鑰205,而作為系統或者應用程序所管理的秘密信息。該秘密密鑰205可以是例如公知的RSA(Rivest-Shamir-Adleman)(注冊商標)密 碼的秘密密鑰,或者也可以是AES (AdvancedEncryption Standard,高級加密標準)密碼的密鑰。接下來,在S1806中,所有組合生成部107對基于角色的訪問結構202中包含的指 定角色,應用備份參加用戶一覽201中記載的用戶和有效化角色,從而生成作為有可能可 以復原秘密密鑰205的用戶的所有組合的、所有組合抽出結果。此時,如果對角色定義了層次結構,則還考慮該層次結構來應用用戶和有效化角 色。另外,用括號還一并記載由本來的基于角色的訪問結構202指定的指定角色。圖10示出該所有組合抽出結果(組合抽出信息)的結構。所有組合抽出結果由表示條目的編號的組合的編號;和列舉了用戶、有效化角色、 和指定角色的可復原組合構成。圖11所示的例子是根據圖3的例子、圖5的例子、圖7的例子制作出的所有組合 抽出結果。例如,在圖5的組合編號Nol中,指定了指定角色RoleA和指定角色RoleA,在圖 3的例子中,參加用戶名UserA和參加用戶名UserD具有有效化角色RoleA,所以生成圖11 的組合編號Nol、No2、No3、No4這4個條目的組合。另外,UserAiRoleA(RoleA)是指,可以行使角色RoleA的權限的用戶UserA被設 置成本來的基于角色的訪問結構202的指定角色RoleA。此處,在組合編號Nol、No4中,對指定角色RoleA重復設置了同一用戶,但在接下 來的步驟中刪除重復,所以在該步驟中不必介意重復,而列舉出所有組合。對于圖11的組合編號No5 Nol2,也同樣地生成。另外,角色RoleD/RoleE/RoleF 由于繼承了角色RoleA,所以也可以作為屬于角色RoleA中的用戶進行處理,但由于不存在 使角色RoleD/RoleE/RoleF有效化的用戶,所以不會對所有組合抽出結果造成影響。另一方面,如果如圖19所示UserA使RoleD有效化,則對于UserA,針對圖5的組 合Nol,作為與RoleA符合而抽出,針對圖5的組合No2,作為與RoleA、RoleB以及RoleD符 合而抽出。接下來,在S1807中,同一用戶 角色刪除部108在所有組合抽出結果的各條目中重復出現了屬于某有效化角色或者指定角色中的用戶的情況下,刪除該條目,而生成同一 用戶·角色刪除結果。另外,在對角色定義了層次結構的情況下,將處于父子關系的有效化角色、指定角 色也視為同一角色而刪除重復。同一用戶·角色刪除結果的結構與圖8相同,僅保存的值不同。圖12是根據圖11刪除了包含同一用戶·角色的條目的結果,圖11的組合編號 Nol 重復利用 了 UserAORoleA (RoleA),并且組合編號 No4 重復利用 了 UserDORoleA (RoleA), 所以對其進行檢測并刪除。在本例子中,有效化角色和指定角色兩方都相同,但也可以在將 某一個可以視為相同的情況下刪除。另外,如果如圖19所示UserA使RoleD有效化,則根據繼承關系,對于圖5的組合 Nol,在所有組合抽出結果中包含2個“UserAORoIeD(RoleA) +UserAiRoleD(RoleA) ”這樣的 條目,但由同一用戶·角色刪除部108,刪除該2個條目。接下來,在S1808中,同時有效化禁止角色刪除部109,在同一用戶 角色刪除結果 中,某用戶使多個由圖9的同時有效化禁止角色組合204指定的組合的角色有效化的情況 下,刪除該條目,而生成同時有效化禁止角色刪除結果。另外,在對角色定義了層次結構的情況下,針對處于父子關系的角色,也與同時有 效化禁止角色的條件進行比較,如果有被禁止的組合,則刪除該條目。同時有效化禁止角色刪除結果的結構與圖10相同,僅保存的值不同。圖13是根 據圖12刪除利用了同時有效化禁止角色的條目而得到的結果,對于圖12的組合編號No5 和No6,用戶UserA使角色RoleA和角色RoleB同時有效化,但在圖9的同時有效化禁止角 色組合204的禁止編號Nol中,角色RoleA和角色RoleB的同時有效化被禁止,所以對其進 行檢測而刪除。另外,如果如圖19所示UserA使RoleD有效化,則根據繼承關系,對于圖5的組 合 No2,在所有組合抽出結果中包含"UserAORoleD (RoleA) +UserAiRoleB (RoleB) +UserBi RoleC (RoleC) ”、"UserAiRoleD (RoleA) +UserAiRoleB (RoleB) +UserAiRoleD (RoleD) ”這樣 的條目,但在圖9的同時有效化禁止角色組合204的禁止編號Nol中,角色RoleA和角色 RoleB的同時有效化被禁止,所以由同時有效化禁止角色刪除部109刪除這些條目。接下來,在S1809中,角色信息刪除部110,雖然在同時有效化禁止角色刪除結果 中還一并記載有用戶所屬的有效化角色(@之后的角色)和指定角色(括號內的角色),但 刪除該其角色信息,來生成角色信息刪除結果。角色信息刪除結果的結構與圖10相同,不同之處在于,作為可復原組合僅使用用 戶信息進行了指定。圖14是根據圖13刪除了角色信息的結果,以往是使用用戶名/角色的對,但是刪 除了角色信息的結果,僅通過用戶名指定了可復原組合。接下來,在S1810中,重復用戶信息共用化部111在角色信息刪除結果中的各條目 中出現了同一用戶的情況下,將其作為重復而去除,從而生成重復用戶信息共用化結果。重復用戶信息共用化結果的結構與圖10相同,作為可復原組合僅使用用戶信息 來指定這一點不同。圖15是根據圖14去除重復出現的用戶而得到的結果,在圖14的組合編號No7和Noll中在可復原組合中重復出現了用戶UserB,所以刪除該重復,削減成用戶UserB僅出現 1次。接下來,在S1811中,重復組合刪除部112,在重復用戶信息共用化結果中,去除僅 用戶信息的記載順序不同而表示相同的用戶的組合的重復組合,從而生成重復組合刪除結^ ο重復組合刪除結果的結構與圖10相同,作為可復原組合僅使用用戶信息來進行 了指定這一點不同。圖16是根據圖15刪除用戶的記載順序不同的組合而得到的結果,在圖15的組合 編號No2和No3中,僅用戶UserA和用戶UserD的記載順序不同,所以去除該重復。 接下來,在S1812中,無效化組合刪除部113,在重復組合刪除結果的條目中,去除 包含在其他條目中示出的用戶的組合中、而作為可以備份的用戶的組合沒有意義的組合, 從而生成使用用戶信息來記載的基于用戶的訪問結構。基于用戶的訪問結構的結構與圖10相同,作為可復原組合僅使用用戶信息來進 行指定這一點不同。圖17是根據圖16刪除包含在其他條目中的條目而得到的結果,由于圖16的組合 編號NoS是如果在組合編號No7中可以復原密鑰,則自動成立,所以視為包含在No7中而刪 除。同樣地,組合編號No9和組合編號NolO包含在組合編號No2中,組合編號Nol2包 含在組合編號Noll中,所以刪除。最后,在S1813中,一般訪問結構秘密分散部114根據基于用戶的訪問結構,對秘 密密鑰205進行秘密分散。通過將圖17所示的用用戶信息記載的訪問結構作為輸入來提供,可以按照以往 技術來進行秘密分散,所以使用這些技術根據秘密密鑰205來生成秘密密鑰片斷。然后,對在圖2中接收到的參加用戶分發該秘密密鑰片斷。當然,即使是圖2中記 載的用戶,對圖17的可復原組合中沒有出現的用戶,也可存在沒有所分發的秘密密鑰片斷 的情況。另外,在分發中,例如,通過LAN(Local Area Network,局域網)等網絡、與裝置連 接的IC卡或USB存儲器等連接端子、PCI總線等擴展卡連接總線等,對成為對象的用戶配 送秘密密鑰片斷。另外,在所有組合生成部107中生成的所有組合抽出結果中,與用戶信息一起一 并記載了在基于角色的訪問結構202中記載的指定角色(括號內的角色)、和由用戶進行有 效化的有效化角色(@之后的角色)。在想要簡化算法的情況下,也可以僅記載指定角色、有效化角色中的某一個。特別 在不支持角色層次結構的情況下,可以削減處理數據量,所以是有效的。另外,在基于角色的訪問結構是單純的結構的情況下,也可以不一并記載指定角 色、有效化角色,而僅列舉出用戶信息。另外,在本方式中假設在角色中存在層次結構、同時有效化禁止角色,但根據RBAC 的軟件,還有不支持角色層次結構、同時有效化禁止角色的軟件。在該情況下,也可以省略所有組合生成部107、同一用戶·角色刪除部108、同時有效化禁止角色刪除部109中的使用了角色層次結構的處理、同時有效化禁止角色刪除部 109中的檢測同時有效化禁止角色的處理。另外,在本方式中,在確定了參加到備份中的用戶是誰之后,對該用戶生成所有組 合抽出結果。代替地,也可以設為備份參加用戶一覽取得部102取得屬于角色中的所有用戶信 息,不論是否在備份中列出,都通過所有組合生成部107使用所有用戶信息來生成所有組合。另外,對于同一用戶·角色刪除部108和同時有效化禁止角色刪除部109,其處理 順序不分先后,所以也可以對圖1中記載的次序進行交換。關于重復用戶信息共用化部111、重復組合刪除部112、無效化組合刪除部113, 其處理順序也不分先后,所以只要是在從所有組合生成部107到一般訪問結構秘密分散部 114之間,則也可以在任意部分中實施處理。對于同時有效化禁止角色組合取得部105,只要是在同時有效化禁止角色刪除部 109的處理之前,則也可以在任意部分中實施。對于備份對象秘密密鑰取得部106,只要是在一般訪問結構秘密分散部114的處 理實施前,則也可以在任意部分中實施。另外,在本實施方式中,根據由用戶進行有效化的角色信息來進行了處理,但也可 以加上系統代替用戶而自動地設為有效的角色信息來進行處理。另外,也可以使用管理者 對用戶分配的角色、即對用戶登記的角色的信息來進行處理。如上所述,在使用角色來指定了訪問結構的情況下,使用作為參加到秘密密鑰備 份中的用戶、和該用戶進行激活化的角色的一覽的備份參加用戶一覽201的信息,生成使 用用戶信息來指定的訪問結構,所以可以使用僅支持使用用戶信息記載的基于用戶的訪問 結構的以往的秘密分散技術來進行秘密密鑰的備份。另外,從使處理步驟明確化的觀點出發,將步驟S1806、步驟S1807、步驟S1808分 別記載為不同的步驟。但是,從存儲器使用量削減、處理速度提高等觀點來看,也可以同時 執行所述3個步驟。即,也可以在生成所有組合抽出結果的過程S1806中,不生成同一用 戶 角色重復的條目,進而,也不生成包括同時有效化禁止角色的條目。在該情況下,雖然 所有組合抽出結果是成為非常大的表,但由于可以不生成它而直接生成同時有效化禁止角 色刪除結果,所以實現存儲器使用量的削減、處理速度提高。另外,在步驟S1806中生成的所有組合抽出結果、在步驟S1807中生成的同一用 戶 角色刪除結果、在步驟S1808中生成的同時有效化禁止角色刪除結果、在步驟S1809中 生成的角色信息刪除結果、在步驟S1810中生成的重復用戶信息共用化結果、在步驟S1811 中生成的重復組合刪除結果、在步驟S1812中生成的基于用戶的訪問結構是空的情況下, 不存在分割秘密信息的組合,因此設為錯誤。另外,通過在RBAC模型中對角色定義層次結構,可以進行權限的繼承,而考慮用 戶進行激活化的角色的層次結構來生成所有組合抽出結果,所以即使在利用了角色層次結 構的情況下,也可以正確地解釋基于角色的訪問結構202來生成基于用戶的訪問結構,對 秘密密鑰進行秘密分散而生成秘密密鑰片斷。另外,由于選擇并利用在備份中列出的用戶信息,所以可以削減基于用戶的訪問結構的復雜度,與對所登記的所有用戶分發秘密密鑰片斷的情況相比,可以削減秘密密鑰 片斷的生成處理、片斷數。另外,在同一用戶 角色刪除部108中,對屬于某有效化角色或者指定角色中的用 戶被重復計數的情形進行檢測,所以可以消除一個用戶被計數為多個用戶而得到比設想更 多的秘密密鑰片斷的危險。另外,在同時有效化禁止角色刪除部109中,在秘密密鑰備份時進行同時有效化 禁止角色的利用檢查,對禁止角色的組合進行檢測 刪除,所以可以支持由NIST RBAC模型 定義的Dynamic SoD策略。另外,在角色信息刪除部110、重復用戶信息共用化部111、重復組合刪除部112、 無效化組合刪除部中,抽出刪除角色信息而僅通過用戶信息指定的訪問結構,進行重復、包 含關系的檢查來刪除不需要的條目,所以可以生成基于用戶的訪問結構,可以使用具有作 為以往技術的一般訪問結構的秘密分散方式根據秘密密鑰來生成秘密密鑰片斷。(實施方式2) 實施方式1是將作為可以復原秘密密鑰的角色的組合的、基于角色的訪問結構作 為輸入而接收到的情況下的秘密密鑰備份方式。但是,在RBAC中使用訪問控制策略信息(以下,還簡稱為訪問控制策略)來管 理訪問權限,所以系統管理者必須無矛盾地維護訪問控制策略和基于角色的訪問結構這2 個。因此,在本實施方式2中,說明如下技術在使用RBAC時,根據記述了對管理者、一 般用戶等操作者許可的操作的訪問控制策略,來自動地生成基于角色的訪問結構,從而不 需要基于角色的訪問結構的管理。圖21是本實施方式的秘密密鑰備份系統3000的功能結構圖。基于角色的訪問結構生成裝置2101是用于根據記述了對管理者、一般用戶等操 作者許可的操作的訪問控制策略信息,自動地生成基于角色的訪問結構的裝置。作為向實 施方式1中示出的秘密密鑰備份裝置101的追加功能而利用。在圖21中,秘密密鑰205、角色層次信息203、備份對象秘密密鑰取得部106、角色 層次信息取得部104與實施方式1相同,所以省略說明。訪問控制策略2102是記述了對管理者、一般用戶等操作者許可的操作(以下,稱 為訪問權限)的信息,是與本裝置一起使用的RBAC系統中利用的信息。訪問權限一般如圖23、圖24所示,由表示“對誰”的許可角色名(將許可角色還稱 為執行者角色)、表示“把什么,,的許可操作對象、以及表示“怎么做”的許可操作內容來構 成。進而,選擇性地指定了多個表示所許可的“條件”的許可者。該許可者并非用戶名而是通過角色(許可者角色)指定,有時在不需要許可的情 況下不指定。另外,此處記載的許可者角色的數量N是可變的,所以針對每個系統是不同的 值。通過列舉出多個它們的訪問權限,而構成了訪問控制策略2102。這樣,訪問控制策略2102是將針對限制了訪問的秘密密鑰(秘密信息)的訪問被 許可的許可角色、和對許可角色許可針對秘密密鑰的訪問的1個以上的許可者角色的組合 示出多個的信息。
備份執行用戶信息2103是想要執行備份處理的用戶的執行用戶名、和該用戶進 行有效化的有效化角色的一覽。如圖25所示,是由可以確定用戶個人的執行用戶名、和作為用戶進行了有效化的 角色的有效化角色1 有效化角色M構成的信息。此處記載的有效化角色的數量M是用戶 進行了有效化的角色的數量,所以是根據進行備份時的狀況而變化的值。
這樣,備份執行用戶信息2103是表示執行針對秘密密鑰的訪問的執行用戶的有 效化角色(執行用戶角色)的信息,是執行用戶信息的例子。備份許可用戶一覽2104是將許可了備份執行用戶進行備份的用戶的用戶名、和 在進行了許可時有效化的有效化角色的組合作為一覽表的信息。如圖22所示,是將許可了備份的用戶的許可用戶名、和在許可用戶進行了許可時 有效化的有效化角色的對作為一覽表的結構。這樣,備份許可用戶一覽2104是表示對執行用戶許可了針對秘密密鑰的訪問的 許可用戶的有效化角色(許可用戶角色)的信息,是許可用戶信息的例子。訪問控制策略取得部2105是取得訪問控制策略2102的功能。訪問控制策略取得部2105是訪問控制策略信息取得部的例子。備份執行用戶信息取得部2106是取得備份執行用戶信息2103的功能。備份執行用戶信息取得部2106是執行用戶信息取得部的例子。備份許可用戶一覽取得部2107是取得備份許可用戶一覽2104的功能。備份許可用戶一覽取得部2107是許可用戶信息取得部的例子。備份權限抽出部2108是用于在訪問控制策略2102中記載的各種訪問權限中,僅 抽出記載了與備份相關的訪問權限的信息的功能。為了進行抽出,從備份對象秘密密鑰取得部106中收領秘密密鑰。然后,僅抽出訪 問控制策略2102的、許可操作對象表示所收領的秘密密鑰、并且許可操作內容表示備份操 作的信息。將通過該抽出得到的結果以下稱為“訪問權限一覽(備份權限抽出結果)”。有效訪問權限抽出部2109是根據從所述備份權限抽出部2108接收的訪問權 限一覽(備份權限抽出結果),考慮備份執行用戶信息2103、備份許可用戶一覽2104、 角色層次信息203,而抽出可以用作用于生成基于角色的訪問結構的源信息(original information)的訪問權限的功能。將通過該抽出得到的結果以下稱為“訪問權限一覽(有 效訪問權限抽出結果)”。基于角色的訪問結構生成部2110是用于根據由有效訪問權限抽出部2109抽出的 訪問權限一覽(有效訪問權限抽出結果),生成基于角色的訪問結構的功能。所制作的基于 角色的訪問結構與實施方式1所示的結構相同。備份部101相當于實施方式1中示出的秘密密鑰備份裝置101,由以下部分構成 備份參加用戶一覽取得部、基于角色的訪問結構取得部、角色層次信息取得部、同時有效化 禁止角色組合取得部、備份對象秘密密鑰取得部、所有組合生成部、同一用戶 角色刪除部、 同時有效化禁止角色刪除部、角色信息刪除部、重復用戶信息共用化部、重復組合刪除部、 無效化組合刪除部、一般訪問結構秘密分散部。由于與實施方式1相同,所以省略詳細說明。接下來,根據圖26,對本實施方式的秘密密鑰備份系統3000的動作進行說明。
首先在S2601中,訪問控制策略取得部2105從系統或者應用程序所管理的安全策 略中,取得訪問控制策略2102。圖23示出該訪問控制策略2102的結構。訪問控制策略2102是列舉出由許可角色名、許可操作內容、許可操作對象、許可 者1至許可者N構成的訪問權限的一覽表。許可角色名是指定將訪問權限分配給哪個角色的信息。許可操作內容是表示許可什么樣的操作的信息。許可操作對象是表示定義針對秘密密鑰、日志信息等什么樣的信息的訪問權限的 fn息ο許可者1至許可者N是表示該訪問權限在存在哪個角色的許可時將訪問權限視為 有效的信息。在圖24所示的例子的第1行中,使由許可角色名指定的RoleA有效化的用戶,擁 有對由許可操作對象指定的秘密密鑰1實施許可操作內容中示出的備份的訪問權限,是限 于如由許可者1指定那樣屬于RoleA中的用戶提供了進行備份的許可的情況(在如第2 行那樣存在多個許可者角色的情況下,限于屬于所有許可者角色中的用戶提供了許可的情 況)這樣的訪問權限。這樣的訪問權限成為一覽表的形式而構成訪問控制策略2102。接下來,在S2602中,備份執行用戶信息取得部2106取得與想要執行系統或者應 用程序所管理的備份處理的用戶相關的備份執行用戶信息2103。圖25示出該備份執行用戶信息2103的結構。備份執行用戶信息2103由執行用戶名和有效化角色1至有效化角色M構成。執行用戶名表示想要執行備份處理的用戶的用戶名。另外,有效化角色1至有效 化角色M是用戶進行有效化的角色的一覽。接下來,在S2603中,備份許可用戶一覽取得部2107從系統或者應用程序所管理 的安全策略中,取得對在S2602中取得的備份執行用戶信息2103中包含的用戶進行備份這 樣的操作,許可其備份處理的許可者的角色的一覽即備份許可用戶一覽2104。針對每個執行用戶、操作對象(秘密密鑰1等)、操作內容(備份等),存在備份許 可用戶一覽2104。圖22示出備份許可用戶一覽2104的結構。備份許可用戶一覽2104是列舉出許可用戶名和有效化角色的對的一覽表。許可用戶名是對備份執行用戶進行備份這樣的操作,許可了其備份處理的許可者 的用戶名。有效化角色是在許可用戶進行了備份的許可時有效化的角色。接下來,在S2604中,角色層次信息取得部104從系統或者應用程序所管理的安全 策略中,取得在由RBAC規定的角色之間關聯起來的角色層次信息203。該角色層次信息203的結構與實施方式1中示出的角色層次信息203相同,所以 省略說明。接下來,在S2605中,備份對象秘密密鑰取得部106從系統或者應用程序所管理的 安全策略中,取得用戶想要進行備份的秘密密鑰。
22
如實施方式1所示,該秘密密鑰可以是例如公知的RSA(注冊商標)密碼的秘密密 鑰,或者也可以是AES密碼的共用密鑰。接下來,在S2606中,備份權限抽出部2108,在S2601中取得的訪問控制策略2102 中記載的各種訪問權限中,僅抽出與備份相關的訪問權限。在抽出中,僅抽出訪問控制策略2102的、許可操作對象表示在S2605中取得的秘 密密鑰、并且許可操作內容表示備份操作的信息。該抽出是訪問權限一覽(備份權限抽出結果),結構與訪問控制策略2102相同。接下來,在S2607中,有效訪問權限抽出部2109從在S2606中生成的訪問權限一 覽(備份權限抽出結果)中,考慮備份執行用戶信息2103、備份許可用戶一覽2104、角色層 次信息203,抽出可以用作用于生成基于角色的訪問結構的源信息的訪問權限一覽(有效 訪問權限抽出結果)。示出兩個該抽出算法的主要的例子。最初的抽出方式例1是進行嚴密的檢查的方式。首先,從備份執行用戶信息2103中取得有效化角色1 有效化角色M,抽出與在 S2606中生成的訪問權限一覽(備份權限抽出結果)的許可角色名一致的角色。此時,考慮角色層次信息203,還包括訪問權限一覽(備份權限抽出結果)的許可 角色名與用戶進行有效化的有效化角色1 有效化角色M的下位角色相應的情況,視為一 致而抽出。進而,確認許可者1 許可者N中記載的所有角色是否記載于備份許可用戶一覽 2104的有效化角色中的某一個中,而僅在包含時抽出。此時,考慮角色層次信息203,還包括許可者1 許可者N中記載的角色與備份許 可用戶進行有效化的有效化角色的下位角色相應的情況,視為一致而抽出。另外,在許可者1至許可者N中,關于沒有指定角色的許可者無需進行比較處理, 而僅針對指定的許可者進行比較處理即可。通過以上操作,生成為了生成基于角色的訪問結構而所需的訪問權限一覽(有效 訪問權限抽出結果)。抽出方式例2是使比較條件緩和的方式,是不區分執行用戶和許可用戶而進行抽 出的方式。具體而言,是如下方式僅抽出在S2606中生成的訪問權限一覽(備份權限抽出結 果)的許可角色名和許可者1至許可者N的全部包含在備份執行用戶信息2103中記載的 有效化角色1 有效化角色M、或者備份許可用戶一覽2104的有效化角色中的某一方中的 訪問權限。因此,許可角色名也可以包含在備份許可用戶一覽2104的有效化角色中的某一 個中,許可者1至許可者N的全部也可以包含在備份執行用戶信息2103中記載的有效化角 色1 有效化角色M中。此時,考慮角色層次信息203,在許可角色名和許可者1 許可者N中記載的角色 的上位角色與備份執行用戶信息2103中記載的有效化角色1 有效化角色M、或者、備份許 可用戶一覽2104的有效化角色一致的情況下,也抽出。另外,在從許可者1至許可者N中,關于沒有指定角色的許可者,無需進行比較處理,而僅針對指定的許可者進行比較處理即可。通過以上操作,生成為了生成基于角色的訪問結構而所需的訪問權限一覽(有效 訪問權限抽出結果)。接下來,在S2608中,基于角色的訪問結構生成部2110根據在S2607中生成的訪 問權限一覽(有效訪問權限抽出結果),生成基于角色的訪問結構。具體而言,從訪問權限一覽(有效訪問權限抽出結果)中取出一個訪問權限。將該訪問權限中記載的許可角色名和許可者1至許可者N視為可以復原秘密密鑰 的角色的組合。S卩,成為構成圖4中所示的基于角色的訪問結構的表中的1行的要素。其中,在存在{RoleB、RoleC}、{RoleC、RoleD}、{RoleB、RoleD}這樣的組合的情況 下,如果如“2of {RoleB、RoleC、RoleD} ”那樣省略記載,則還可以削減數據量。對訪問權限一覽(有效訪問權限抽出結果)中包含的所有訪問權限進行同樣的變 換而得到的結構成為基于角色的訪問結構。最后,在S2609中,備份部101通過實施方式1中示出的方法,除了在S2608中生 成的基于角色的訪問結構以外,還將系統或者應用程序所管理的備份參加用戶一覽、角色 層次信息、同時有效化禁止角色組合、秘密密鑰作為輸入而接收,生成秘密密鑰片斷。另外,在圖23中示出了訪問控制策略2102的結構,但訪問控制策略2102的結構 根據系統而各種各樣。因此,還考慮省略了許可操作內容、許可操作對象的情形。在該情況下,也可以在S2606中省略許可操作內容、許可操作對象的比較。另外,同樣地,在不存在許可者1至許可者N的要素的訪問控制策略2102的情況 下,設為在S2607和S2608中沒有指定許可者來進行處理即可。另外,在圖25中示出的備份執行用戶信息2103中包括執行用戶名,這是因為在實 際系統中將執行用戶名和有效化角色1至有效化角色M關聯起來管理的情況較多,所以如 此記載。但是,由于在本方式的處理中不需要執行用戶名,所以也可以從備份執行用戶信 息2103中刪除。另外,在圖22中示出的備份許可用戶一覽2104中,使用了將許可用戶名和有效化 角色的組設為表的一覽。但是,由于在本方式的處理中不需要許可用戶名,所以也可以是僅 由有效化角色構成的備份許可用戶一覽2104。另外,在圖22中示出的備份許可用戶一覽2104是將許可用戶名和有效化角色的 組設為表的一覽。如果同一許可用戶根據多個角色提供了許可的情況下,通過如下那樣的 方法來列舉即可。S卩,(1)在有效化角色中列舉多個角色信息(在1個記錄中列舉多個角色信息)。 (2)作為對有效化角色僅指定1個角色的補償,而列舉許可用戶名和有效化角色的多個組 (對1個記錄指定1個角色,并且設置多個記錄)。另外,在圖25中示出的備份執行用戶信息2103的有效化角色1至有效化角色N、 在圖22中示出的備份許可用戶一覽2104的有效化角色中,記載了用戶明示地進行了有效 化的角色信息的情況較多,但也可以記載系統代替用戶而自動地設為有效的角色信息。另外,也可以將管理者對用戶分配的角色、即對用戶登記的角色的信息記載為有效化角色。另外,S2601、S2602、S2603、S2604、S2605是分別獨立的處理,所以無需按照記載的 順序來執行。在S2606之前執行S2601,在S2607之前執行S2602,在S2607之前執行S2603, 在S2607之前執行S2604,在S2606之前執行S2605即可。另外,在S2605中,例示了備份對象秘密密鑰取得部將RSA(注冊商標)密碼的秘 密密鑰、AES密碼的共用密鑰作為輸入而接收,但只要所接收的信息是進行備份的信息,則 不必就是密碼算法的密鑰。例如,也可以是機密文檔、顧客信息等信息。另外,在S2606中,備份權限抽出部2108僅實施基于許可操作內容和許可操作對 象的縮小,而制作出結構上與訪問控制策略2102同樣的訪問權限一覽(備份權限抽出結 果)。但是,在以后的處理中,不需要許可操作內容和許可操作對象的信息,所以也可以是 從訪問控制策略2102中刪除了許可操作內容和許可操作對象的結構。關于訪問權限一覽 (有效訪問權限抽出結果)的結構也是同樣的。另外,在S2606中,備份權限抽出部2108在S2601中取得的訪問控制策略2102中 記載的各種訪問權限中,僅抽出了與備份相關的訪問權限。其原因為,示出的是在秘密信息 管理裝置中對秘密密鑰進行備份的情況的例子。如果分別定義了備份和還原的權限,則也 可以代替地抽出還原權限來進行處理。另外,在進行秘密分散來取得秘密信息的操作中,考 慮到每個系統中稱為不同的名稱,所以需要通過適合于該系統的操作名來進行檢索。另外,在S2607中在有效訪問權限抽出部2109中,根據備份執行用戶信息2103、備 份許可用戶一覽2104、和角色層次信息203抽出了有效的訪問權限,但對此也可以還考慮 同時有效化禁止角色組合來進行縮小。另外,在本實施方式中,針對在訪問權限一覽(備份權限抽出結果)中記述的許可 角色以及許可者角色,將備份執行用戶信息中包含的角色以及備份許可用戶一覽中包含的 角色進行對照,而生成基于角色的訪問結構。代替地,也可以根據在訪問權限一覽(備份權限抽出結果)中記述的許可角色以 及許可者角色來生成基于角色的訪問結構。例如,也可以根據圖24的第1行的記錄來生成{R0leA、R0leA}這樣的基于角色的 訪問結構,或者根據第2行的記錄來生成{R0leA、R0leB、R0leC}這樣的基于角色的訪問結 構。另外,在步驟S2606中生成的訪問權限一覽(備份權限抽出結果)、在步驟S2607 中生成的訪問權限一覽(有效訪問權限抽出結果)、在步驟S2608中生成的基于角色的訪問 結構是空的情況下,不存在分割秘密信息的組合,從而設為錯誤。如上所述,依據在訪問控制策略2102中指定的許可備份的訪問權限,根據備份執 行用戶信息2103、備份許可用戶一覽2104、角色層次信息203來生成基于角色的訪問結構, 所以只要僅維護訪問控制策略2102,就可以自動地計算出可以復原秘密密鑰的角色的組 合,靈活地進行秘密密鑰的備份。另外,由于考慮用戶進行有效化的角色的層次結構、進行了備份的許可的用戶進 行有效化的角色的層次結構來生成訪問權限一覽(有效訪問權限抽出結果),所以即使在 利用了角色層次結構的情況下,也可以正確且自動地生成基于角色的訪問結構,對秘密密 鑰進行秘密分散而生成秘密密鑰片斷。
25
另外,由于選擇并利用實施了備份的用戶、進行了許可的用戶的信息,所以可以 減少所生成的基于角色的訪問結構的復雜度,所以與對在訪問控制策略2102中登記了備 份的訪問權限的所有用戶分發秘密密鑰片斷的情況相比,可以削減秘密密鑰片斷的生成處 理、片斷數。最后,對實施方式1、2所示的秘密密鑰備份裝置101以及基于角色的訪問結構生 成裝置2101 (以下,稱為秘密密鑰備份裝置101等)的硬件結構例進行說明。圖20是示出實施方式1、2所示的秘密密鑰備份裝置101等硬件資源的一個例子 的圖。另外,圖20的結構僅示出秘密密鑰備份裝置101等硬件結構的一個例子,秘密密 鑰備份裝置101等硬件結構不限于圖20記載的結構,而也可以是其他結構。在圖20中,秘密密鑰備份裝置101等具備執行程序的CPU911 (Central ProcessingUnit,還稱為中央處理裝置、處理裝置、運算裝置、微處理器、微型計算機、處理 器)OCPU911 經由總線 912,例如,與 ROM (Read Only Memory) 913、RAM (Random Access Memory) 914、通信板(communicationboard) 915、顯示裝置 901、鍵盤 902、鼠標 903、磁盤裝 置920連接,對這些硬件設備進行控制。進而,CPU911也可以與 FDD904 (Flexible Disk Drive)、高密度盤裝置 905 (CDD)、 打印機裝置906、掃描儀裝置907連接。另外,也可以代替磁盤裝置920,而使用光盤裝置、 存儲卡(注冊商標)讀寫裝置等存儲裝置。RAM914是易失性存儲器的一個例子。R0M913、FDD904、⑶D905、磁盤裝置920的存 儲介質是非易失性存儲器的一個例子。它們是存儲裝置的一個例子。通信板915、鍵盤902、鼠標903、掃描儀裝置907、FDD904等是輸入裝置的一個例子。另外,通信板915、顯示裝置901、打印機裝置906等是輸出裝置的一個例子。例如,通信板915與LAN(局域網)、因特網、WAN(廣域網)等連接。在磁盤裝置920中,存儲了操作系統921 (OS)、視窗系統(windowsystem) 922、程序 群923、文件群924。CPU911利用操作系統921、視窗系統922來執行程序群923的程序。另外,在RAM914中,暫時保存了使CPU911執行的操作系統921的程序、應用程序 的程序中的至少一部分。另外,在RAM914中,保存了由CPU911進行的處理中所需的各種數據。另夕卜,在R0M913 中,保存了 BIOS (Basic Input Output System,基本輸入輸出系 統)程序,在磁盤裝置920中,保存了引導程序(bootprogram)。在秘密密鑰備份裝置101等起動時,執行R0M913的BIOS程序以及磁盤裝置920 的引導程序,通過BIOS程序以及引導程序,起動操作系統921。在所述程序群923中,存儲了執行在實施方式1、2的說明中說明為“ 部”的功能 的程序。由CPU911讀出并執行程序。在文件群924中,也可以包括備份參加用戶一覽201、基于角色的訪問結構202、角 色層次信息203、同時有效化禁止角色組合204、秘密密鑰205、訪問控制策略2102、備份執
26行用戶信息2103、備份許可用戶一覽2104。另外,所抽出的用戶的組合(圖10 圖17)、訪問權限一覽(備份權限抽出結果) 以及訪問權限一覽(有效訪問權限抽出結果)等被存儲在RAM914、磁盤裝置920、未圖示的 高速緩存存儲器、緩沖存儲器、寄存器等中。進而,根據秘密密鑰205生成的秘密密鑰片斷也被存儲在RAM914、磁盤裝置920、 未圖示的高速緩存存儲器、緩沖存儲器、寄存器等中。另外,在文件群924中,將表示在實施方式1、2的說明中說明為“ 的判斷”、“ 的 取得”、“ 的抽出”、“ 的比較”、“ 的刪除”、“ 的更新”、“ 的設定”、“ 的登記”、“ 的
檢測”等的處理的結果的信息、數據、信號值、變量值、參數存儲為“ 文件”、“ 數據庫”的 各項目。“ 文件”、“ 數據庫”被存儲在盤、存儲器等記錄介質中。由CPU911經由讀寫電 路將存儲在盤、存儲器等存儲介質中的信息、數據、信號值、變量值、參數讀出到主存儲器、 高速緩存存儲器中,而用于抽出·檢索·參照·比較·運算·計算·處理·編輯 輸出 印 刷·顯示等CPU的動作中。在抽出·檢索·參照·比較·運算·計算·處理·編輯·輸出·印刷·顯示的CPU 的動作的期間,信息、數據、信號值、變量值、參數被暫時存儲在主存儲器、寄存器、高速緩存 存儲器、緩沖存儲器等中。另外,在實施方式1、2中說明的流程圖的箭頭的部分主要表示數據、信號的輸入 輸出,數據、信號值被記錄在RAM914的存儲器、FDD904的軟盤、⑶D905的高密度盤、磁盤裝 置920的磁盤、其他光盤、迷你盤(mini disk)、DVD等記錄介質中。另外,通過總線912、信 號線、電纜、其他傳送介質來在線(online)傳送數據、信號。另外,在實施方式1、2的說明中說明為“ 部”的部分既可以是“ 電路”、“ 裝 置”、“ 機器”,并且也可以是“ 步驟”、“ 程序”、“ 處理”。即,說明為“ 部”的部分也 可以通過存儲在R0M913中的固件來實現。或者,也可以僅通過軟件,或者僅通過元件·器 件·基板·布線等硬件,或者通過軟件和硬件的組合,進而通過與固件的組合來實施。固 件和軟件作為程序而被存儲在磁盤、軟盤、光盤、高密度盤、迷你盤、DVD等記錄介質中。由 CPU911讀出并由CPU911執行程序。即,程序使計算機作為實施方式1、2的“ 部”而發揮 功能。或者,使計算機執行實施方式1、2的“ 部”的步驟、方法。這樣,實施方式1、2所示的秘密密鑰備份裝置101等是具備作為處理裝置的CPU、 作為存儲裝置的存儲器、磁盤等、作為輸入裝置的鍵盤、鼠標、通信板等、作為輸出裝置的顯 示裝置、通信板等的計算機,使用這些處理裝置、存儲裝置、輸入裝置、輸出裝置來實現如上 所述作為“ 部”示出的功能。
2權利要求
一種秘密信息管理裝置,從多個用戶中抽出成為從秘密信息分割的2個以上的分割秘密信息的管理者的用戶,該秘密信息管理裝置的特征在于,具有用戶角色信息取得部,取得表示多個用戶分別具備的角色的用戶角色信息;指定角色信息取得部,取得將2個以上的角色表示為指定角色的指定角色信息;以及用戶抽出部,對所述用戶角色信息所表示的各用戶的角色與所述指定角色信息所表示的各指定角色進行比較,針對每個指定角色抽出具備符合的角色的用戶,按照指定角色的組合來對所抽出的用戶進行組合,生成成為分割秘密信息的管理者的用戶的組合。
2.根據權利要求1所述的秘密信息管理裝置,其特征在于,所述指定角色信息取得部存在取得對至少2個指定角色重復表示同一角色的指定角 色信息的情況,所述用戶抽出部在所述指定角色信息重復表示同一角色的情況下,針對作為同一角色 的至少2個指定角色分別抽出用戶,并且從成為分割秘密信息的管理者的用戶的組合中, 去除對作為同一角色的至少2個指定角色分配了同一用戶的組合。
3.根據權利要求1所述的秘密信息管理裝置,其特征在于,所述用戶角色信息取得部存在取得表示具備2個以上的角色的用戶的用戶角色信息 的情況,所述秘密信息管理裝置還具有同時組合禁止角色信息取得部,該同時組合禁止角色信 息取得部取得將禁止分配同一用戶的2個以上的角色表示為同時組合禁止角色的同時組 合禁止角色信息,所述用戶抽出部針對每個指定角色抽出用戶,并且從成為分割秘密信息的管理者的 用戶的組合中,去除對與同時組合禁止角色相應的至少2個指定角色分配了同一用戶的組I=I ο
4.根據權利要求1所述的秘密信息管理裝置,其特征在于,所述用戶角色信息取得部存在取得表示具備上位角色的用戶的用戶角色信息的情況, 其中,該上位角色包含1個以上的其他角色作為下位角色,所述秘密信息管理裝置還具有包含關系信息取得部,該包含關系信息取得部取得表示 上位角色與下位角色的包含關系的包含關系信息,所述用戶抽出部根據包含關系信息所表示的包含關系,在指定角色信息中將某一個下 位角色表示為指定角色的情況下,導出作為指定角色的下位角色的上位角色,抽出具備與 作為指定角色的下位角色符合的角色的用戶,并且與該下位角色對應起來抽出具備與作為 指定角色的下位角色的上位角色符合的角色的用戶。
5.根據權利要求4所述的秘密信息管理裝置,其特征在于,所述秘密信息管理裝置還具有同時組合禁止角色信息取得部,該同時組合禁止角色信 息取得部取得將禁止分配同一用戶的2個以上的角色表示為同時組合禁止角色的同時組 合禁止角色信息,所述用戶抽出部在下位角色包含于同時組合禁止角色中的情況下,從成為分割秘密信 息的管理者的用戶的組合中,去除對同時組合禁止角色中包含的下位角色的上位角色以及 同時組合禁止角色中包含的其他某一個指定角色分配了同一用戶的組合。
6.根據權利要求1所述的秘密信息管理裝置,其特征在于,所述秘密信息管理裝置還具有秘密信息分割部,該秘密信息分割部根據由所述用戶抽 出部生成的成為分割秘密信息的管理者的用戶的組合,生成分割秘密信息。
7.一種信息處理裝置,具有訪問控制策略信息取得部,取得表示執行者角色與1個以上的許可者角色的多個組合 的訪問控制策略信息,其中,該執行者角色是被許可針對限制了訪問的秘密信息的訪問的 角色,該許可者角色是對所述執行者角色許可針對所述秘密信息的訪問的角色;執行用戶信息取得部,取得執行用戶信息,該執行用戶信息將執行針對所述秘密信息 的訪問的執行用戶所具備的1個以上的角色表示為執行用戶角色;許可用戶信息取得部,取得許可用戶信息,該許可用戶信息將對所述執行用戶許可了 針對所述秘密信息的訪問的許可用戶所具備的1個以上的角色表示為許可用戶角色;以及 組合抽出部,抽出在所述訪問控制策略信息所表示的組合中的如下組合執行者角色 與所述執行用戶信息所表示的執行用戶角色一致、且各許可者角色與所述許可用戶信息所 表示的許可用戶角色中的某一個一致的組合。
8.根據權利要求7所述的信息處理裝置,其特征在于,所述執行用戶信息取得部存在如下情況取得作為執行用戶角色表示將1個以上的其 他角色包含為下位角色的上位角色的執行用戶信息的情況,所述信息處理裝置還具有包含關系信息取得部,該包含關系信息取得部取得表示上位 角色與下位角色的包含關系的包含關系信息,所述組合抽出部根據所述包含關系信息所表示的包含關系,判斷執行者角色是否與執 行用戶角色的下位角色相應,在執行者角色與執行用戶角色的下位角色相應的情況下,判 斷和該執行者角色所組合的各許可者角色是否與許可用戶角色中的某一個一致。
9.根據權利要求7所述的信息處理裝置,其特征在于,所述許可用戶信息取得部存在如下情況取得作為許可用戶角色表示將1個以上的其 他角色包含為下位角色的上位角色的許可用戶信息的情況,所述信息處理裝置還具有包含關系信息取得部,該包含關系信息取得部取得表示上位 角色與下位角色的包含關系的包含關系信息,所述組合抽出部根據所述包含關系信息所表示的包含關系,判斷各許可者角色是否與 許可用戶角色的下位角色相應,并抽出如下組合所有許可者角色的至少一部分與許可用 戶角色的下位角色相應、且剩余的許可者角色與許可用戶角色一致的組合。
10.一種信息處理裝置,具有訪問控制策略信息取得部,取得表示執行者角色與1個以上的許可者角色的多個組合 的訪問控制策略信息,其中,該執行者角色是被許可針對限制了訪問的秘密信息的訪問的 角色,該許可者角色是對所述執行者角色許可針對所述秘密信息的訪問的角色;執行用戶信息取得部,取得執行用戶信息,該執行用戶信息將執行針對所述秘密信息 的訪問的執行用戶所具備的1個以上的角色表示為執行用戶角色;許可用戶信息取得部,取得許可用戶信息,該許可用戶信息將對所述執行用戶許可了 針對所述秘密信息的訪問的許可用戶所具備的1個以上的角色表示為許可用戶角色;以及 組合抽出部,抽出在所述訪問控制策略信息所表示的組合中的如下組合執行者角色 以及各許可者角色與所述執行用戶信息所表示的執行用戶角色以及所述許可用戶信息所表示的許可用戶角色中的某一個一致的組合。
11.根據權利要求10所述的信息處理裝置,其特征在于,所述執行用戶信息取得部存在如下情況取得作為執行用戶角色表示將1個以上的其 他角色包含為下位角色的上位角色的執行用戶信息的情況,所述許可用戶信息取得部存在如下情況取得作為許可用戶角色表示將1個以上的其 他角色包含為下位角色的上位角色的許可用戶信息的情況,所述信息處理裝置還具有包含關系信息取得部,該包含關系信息取得部取得表示上位 角色與下位角色的包含關系的包含關系信息,所述組合抽出部根據所述包含關系信息所表示的包含關系,判斷執行者角色以及各許 可者角色是否與執行用戶角色的下位角色以及許可用戶角色的下位角色中的某一個相應, 并抽出如下組合執行者角色以及所有許可者角色的至少一部分與執行用戶角色的下位角 色以及許可用戶角色的下位角色中的某一個相應、且執行者角色以及所有許可者角色中的 剩余部分與執行用戶角色以及許可用戶角色中的某一個一致的組合。
12.根據權利要求7所述的信息處理裝置,其特征在于,所述組合抽出部根據抽出的組合所表示的角色,生成指定角色信息,該指定角色信息 將從所述秘密信息分割的2個以上的分割秘密信息的管理者的角色表示為指定角色。
13.—種秘密信息管理系統,具有訪問控制策略信息取得部,取得表示執行者角色與1個以上的許可者角色的多個組合 的訪問控制策略信息,其中,該執行者角色是被許可針對限制了訪問的秘密信息的訪問的 角色,該許可者角色是對所述執行者角色許可針對所述秘密信息的訪問的角色;執行用戶信息取得部,取得執行用戶信息,該執行用戶信息將執行針對所述秘密信息 的訪問的執行用戶所具備的1個以上的角色表示為執行用戶角色;許可用戶信息取得部,取得許可用戶信息,該許可用戶信息將對所述執行用戶許可了 針對所述秘密信息的訪問的許可用戶所具備的1個以上的角色表示為許可用戶角色;組合抽出部,該組合抽出部抽出在所述訪問控制策略信息所表示的組合中的如下組 合執行者角色與所述執行用戶信息所表示的執行用戶角色一致、且各許可者角色與所述 許可用戶信息所表示的許可用戶角色中的某一個一致的組合;該組合抽出部根據抽出的組 合所表示的角色,生成指定角色信息,其中,該指定角色信息將從所述秘密信息分割的2個 以上的分割秘密信息的管理者的角色表示為指定角色;用戶角色信息取得部,取得表示多個用戶分別具備的角色的用戶角色信息; 指定角色信息取得部,取得由所述組合抽出部生成的指定角色信息; 用戶抽出部,對所述用戶角色信息所表示的各用戶的角色與所述指定角色信息所表示 的各指定角色進行比較,針對每個指定角色抽出具備符合的角色的用戶,按照指定角色的 組合來對所抽出的用戶進行組合,生成成為分割秘密信息的管理者的用戶的組合;以及秘密信息分割部,根據由所述用戶抽出部生成的成為分割秘密信息的管理者的用戶的 組合,生成分割秘密信息。
14.一種秘密信息管理系統,具有訪問控制策略信息取得部,取得表示執行者角色與1個以上的許可者角色的多個組合 的訪問控制策略信息,其中,該執行者角色是被許可針對限制了訪問的秘密信息的訪問的角色,該許可者角色是對所述執行者角色許可針對所述秘密信息的訪問的角色;執行用戶信息取得部,取得執行用戶信息,該執行用戶信息將執行針對所述秘密信息 的訪問的執行用戶所具備的1個以上的角色表示為執行用戶角色;許可用戶信息取得部,取得許可用戶信息,該許可用戶信息將對所述執行用戶許可了 針對所述秘密信息的訪問的許可用戶所具備的1個以上的角色表示為許可用戶角色;以及 組合抽出部,該組合抽出部抽出在所述訪問控制策略信息所表示的組合中的如下組 合執行者角色以及各許可者角色與所述執行用戶信息所表示的執行用戶角色以及所述許 可用戶信息所表示的許可用戶角色中的某一個一致的組合;該組合抽出部根據抽出的組合 所表示的角色,生成指定角色信息,其中,該指定角色信息將從所述秘密信息分割的2個以 上的分割秘密信息的管理者的角色表示為指定角色;用戶角色信息取得部,取得表示多個用戶分別具備的角色的用戶角色信息; 指定角色信息取得部,取得由所述組合抽出部生成的指定角色信息; 用戶抽出部,對所述用戶角色信息所表示的各用戶的角色與所述指定角色信息所表示 的各指定角色進行比較,針對每個指定角色抽出具備符合的角色的用戶,按照指定角色的 組合來對所抽出的用戶進行組合,生成成為分割秘密信息的管理者的用戶的組合;以及秘密信息分割部,根據由所述用戶抽出部生成的成為分割秘密信息的管理者的用戶的 組合,生成分割秘密信息。
15.根據權利要求1所述的秘密信息管理裝置,其特征在于,所述用戶抽出部生成將所生成的用戶的組合與各用戶具備的角色一起表示的組合抽 出信息,所述秘密信息管理裝置還具有角色信息刪除部,從所述組合抽出信息中刪除各用戶的角色的信息; 重復用戶信息共用化部,在所述組合抽出信息中存在重復組合了相同用戶的組合的情 況下,從該組合中去除用戶的重復;重復組合刪除部,在所述組合抽出信息中存在僅用戶的顯示順序不同而組合了相同用 戶的2個以上的組合的情況下,去除所重復的組合;以及無效化組合刪除部,在所述組合抽出信息中,某一個用戶的組合包含于其他用戶的組 合中的情況下,去除包含于其他組合中的組合。
全文摘要
即使在使用利用角色來指定了訪問結構的基于角色的訪問結構的情況下也安全地實現秘密密鑰備份。所有組合生成部107取得作為備份參加用戶的一覽和該用戶進行有效化的有效化角色的一覽的備份參加用戶一覽201、和作為可以復原秘密密鑰205的指定角色的組合的基于角色的訪問結構202,對指定角色應用備份參加用戶一覽201中記載的用戶,來生成作為有可能復原秘密密鑰的用戶的所有組合的所有組合抽出結果,同一用戶·角色刪除部108等從所有組合抽出結果中刪除重復示出了同一用戶的組合等,一般訪問結構秘密分散部114從秘密密鑰生成秘密密鑰片斷,對排除了重復的用戶的組合分散秘密密鑰片斷。
文檔編號H04L9/08GK101965709SQ20098010833
公開日2011年2月2日 申請日期2009年3月5日 優先權日2008年3月10日
發明者服部充洋, 松田規, 米田健 申請人:三菱電機株式會社