TOP
|
特許
|
意匠
|
商標
特許ウォッチ
Twitter
他の特許を見る
10個以上の画像は省略されています。
公開番号
2025037394
公報種別
公開特許公報(A)
公開日
2025-03-18
出願番号
2023144303
出願日
2023-09-06
発明の名称
利用者認可システム及び利用者認可方法
出願人
株式会社日立製作所
代理人
弁理士法人サンネクスト国際特許事務所
主分類
G06F
21/62 20130101AFI20250311BHJP(計算;計数)
要約
【課題】データの提供部が、その提供先までに経由するコンポーネントに関する情報を把握するとともに、当該データへのアクセス可否を判断する利用者認可システム及び利用者認可方法を提供する。
【解決手段】利用者認可システムは、要求に応じて提供されうるデータの提供元と提供先及び中継コンポーネントを含む複数のエンティティの認証情報、属性情報及び発行済み資格情報を管理する認証部70と、一のエンティティの資格情報と、他のエンティティの資格情報と、を基に、委任項を含む資格情報を生成し、要求に応じて複数のエンティティのうちの特定のエンティティに対して提供する資格情報生成部であるSTS(Security Token Service)30と、を備え、STSは、STSによって生成された資格情報を基に、資格情報を受け取った特定のエンティティに対して、上述した要求が経由する他のエンティティに関する情報を提供する。
【選択図】図8
特許請求の範囲
【請求項1】
要求に応じて提供されうるデータの提供元と提供先、及び前記要求が経由しうる中継コンポーネントという要求のやり取りに関係する複数のエンティティに関する認証情報、属性情報及び発行済み資格情報を管理し、前記複数のエンティティの認証を行う認証部と、
前記複数のエンティティのうちの一のエンティティの資格情報と他のエンティティの資格情報とを基に、委任項を含む資格情報を生成し、前記要求に応じて前記複数のエンティティのうちの特定のエンティティに対して提供する資格情報生成部と、を備え、
前記資格情報生成部は、
前記資格情報生成部によって生成された前記資格情報を基に、前記資格情報を受け取った前記特定のエンティティに対して、前記要求に応じて経由する他のエンティティに関する情報を提供する
ことを特徴とする利用者認可システム。
続きを表示(約 1,500 文字)
【請求項2】
前記資格情報生成部は、
前記要求に応じて経由する前記他のエンティティに関する情報を前記資格情報に含めて前記特定のエンティティに対して提供する
ことを特徴とする請求項1に記載の利用者認可システム。
【請求項3】
前記資格情報生成部によって生成された前記資格情報を基に、認可ポリシーに基づいて、前記データの提供元へのアクセス可否を判断する認可部を備える、
ことを特徴とする請求項1または請求項2に記載の利用者認可システム。
【請求項4】
前記資格情報生成部は、
前記要求に応じて経由する他のエンティティに関する情報を保有しており、
経路記録要求を受け取ると、前記特定のエンティティに対して、前記他のエンティティに関する情報を提供する
ことを特徴とする請求項1に記載の利用者認可システム。
【請求項5】
前記特定のエンティティは、
提供された前記他のエンティティに関する情報を用いて、前記要求に応じて経由する他のエンティティを把握する
ことを特徴とする請求項4に記載の利用者認可システム。
【請求項6】
要求に応じて提供されうるデータの提供元と提供先、及び前記要求が経由しうる中継コンポーネントという要求のやり取りに関する複数のエンティティに関する認証情報、属性情報及び発行済み資格情報を利用者認可システムの認証部が管理し、前記複数のエンティティの認証を行う認証ステップと、
前記利用者認可システムの資格情報生成部が、前記複数のエンティティのうちの一のエンティティの資格情報と他のエンティティの資格情報とを基に、委任項を含む資格情報を生成し、前記要求に応じて前記複数のエンティティのうちの特定のエンティティに対して提供する資格情報生成ステップと、を有し、
前記資格情報生成ステップでは、
前記資格情報生成部が、前記資格情報生成部によって生成された前記資格情報を基に、前記資格情報を受け取った前記特定のエンティティに対して、前記要求に応じて経由する他のエンティティに関する情報を提供する
ことを特徴とする利用者認可システムの利用者認可方法。
【請求項7】
前記資格情報生成ステップでは、
前記資格情報生成部が、前記要求に応じて経由する前記他のエンティティに関する情報を前記資格情報に含めて前記特定のエンティティに対して提供する
ことを特徴とする請求項6に記載の利用者認可方法。
【請求項8】
前記利用者認可システムの認可部が、前記資格情報生成部によって生成された前記資格情報を基に、認可ポリシーに基づいて、前記データの提供元へのアクセス可否を判断する認可ステップを有する、
ことを特徴とする請求項6または請求項7に記載の利用者認可方法。
【請求項9】
前記資格情報生成ステップでは、
前記資格情報生成部が、前記要求に応じて経由する他のエンティティに関する情報を保有しており、
経路記録要求を受け取ると、前記特定のエンティティに対して、前記他のエンティティに関する情報を提供する
ことを特徴とする請求項6に記載の利用者認可方法。
【請求項10】
前記特定のエンティティは、
提供された前記他のエンティティに関する情報を用いて、前記要求に応じて経由する他のエンティティを把握する
ことを特徴とする請求項9に記載の利用者認可方法。
発明の詳細な説明
【技術分野】
【0001】
本発明は、利用者認可システム及び利用者認可方法に関し、例えば、保護されたデータ、リソースにアクセスする際の認証認可方式に関する利用者認可システムに適用して好適なものである。
続きを表示(約 2,000 文字)
【背景技術】
【0002】
OpenID Connectなどの標準的な認証認可の枠組みでは、保護されたリソース等にアクセスする際、要求元(人、又は機器)は、自らの資格情報を用いて認証コンポーネントから認証結果を取得し、取得した認証結果を用いて、保護されたリソース等へのアクセス要求をサーバに送信する。
【0003】
サーバは、認可結果を施行するポイントであり、認可コンポーネントに認可可否を問い合わせる。この認可コンポーネントは、認証コンポーネントに認証結果の有効性を問い合わせ、この認証コンポーネントから認証結果が有効である旨の情報を得た場合には、ポリシーに基づいてアクセス要求の認可可否をサーバに返送する。
【0004】
サーバは、認可コンポーネントから得られた認可可否の結果に基づいて、保護されたリソース等へのアクセス要求を処理する(非特許文献1参照)。認証コンポーネントは、アクセス要求の認可可否を判断する際には、所定のポリシーに基づいた判断の処理を行う。その1つとして、属性に基づくアクセス制御を意味するABAC(Attribute Based Access Control)がある。このアクセス制御は、要求元の所属や職位、場所といった属性に基づいて認可可否の判断を行う制御である。
【0005】
要求元の属性を用いてアクセス要求の認可を行う場合、属性の正しさが担保されている必要がある。しかし、認証コンポーネントがそれを担うのは負荷が高くなるため、認証コンポーネントは、別のコンポーネント、例えば、属性認証局と連携する必要がある。
【0006】
また、委任の枠組みを用いて、あるサーバがクライアントの代理としてターゲットサービスにアクセスすることを管理する方法が開示されている。例えば、信頼する第三者機関は、サーバに対して資格情報を発行する際、そのサーバがクライアントの代理としてターゲットサービスにアクセスすることが認可されているかを判断し、この判断の結果に基づいて資格情報を発行する方法が開示されている(特許文献1参照)。
【0007】
近年、組織や分野を跨いだデータ連携の取組が世界各地で行われている。組織や分野を跨いだデータ連携においては、データ発見や認証認可、データのやり取り時のプロトコルの差異など様々な課題が存在する。それらを解決するため、データ連携基盤を構築し、利用者は、コネクタと呼ばれるコンポーネントを介して利用者間で通信を行ったり、データ連携を支援するサービスを利用したりする、というアプローチがCADDE(Connector Architecture for Decentralized Data Exchange)やIDS(International Data Spaces)などで採用されている。CADDEは、分散型データ交換のためのコネクタ・アーキテクチャであり、IDSは欧州を中心として構築が取り組まれているデータ連携構想GAIA-Xの実現形態として考えられているアーキテクチャである。
【0008】
具体的には、データを取得したい利用者(以下、データ利用者とも称する)は、データを取得する際に、自身が利用するデータ連携基盤へのコネクタ(以下、利用者コネクタとも称する)を介して、データを提供する利用者(以下、データ提供者とも称する)が利用するデータ連携基盤へのコネクタ(以下、提供者コネクタとも称する)へデータ取得要求を出す。提供者コネクタは、データ取得要求を解釈し、必要に応じてデータ提供者が管理するデータであって、保護されたデータへアクセスし、アクセスにより得られたデータを利用者コネクタへ渡す。
【0009】
また、データ連携基盤における利用者コネクタ又は提供者コネクタは、データ利用者又はデータ提供者が直接利用するだけではなく、何らかのプログラムが利用する形態が想定されているので、webAPI(Application Programing Interface)を備えている。そのため、データ連携基盤を用いてデータをやり取りする場合、データ利用者からのデータ取得要求は、データ利用者、プログラム、利用者コネクタ、提供者コネクタと、複数のコンポーネントを介して行われることとなる。
【0010】
近年、データ活用への着目の高まりから、データ管理への関心が高まっている。データは、無体物であるため、所有権の対象ではないが、データオーナーシップやデータ主権といった、データの生成に寄与した人がデータの扱いを決めることができるという考え方が主流となってきている。
(【0011】以降は省略されています)
この特許をJ-PlatPatで参照する
関連特許
株式会社日立製作所
バッテリ設備計画システム
1日前
株式会社日立製作所
行動提案システム及び行動提案方法
今日
株式会社日立製作所
管理プログラム、管理方法、および管理装置
今日
株式会社日立製作所
運転危険度判定システム及び運転危険度判定方法
1日前
株式会社日立製作所
計算機システム及び分散トランザクションの制御方法
1日前
株式会社日立製作所
運転実績振り返り支援システムおよび運転実績振り返り支援方法
今日
株式会社日立製作所
情報資産管理装置、情報資産管理システムおよび情報資産管理方法
1日前
個人
情報検索システム
8日前
個人
確率場データ同化演算手法
20日前
キヤノン株式会社
電子機器
7日前
キヤノン株式会社
電子機器
7日前
キヤノン株式会社
電子機器
7日前
個人
不動産情報提供システム
17日前
キヤノン電子株式会社
通信システム
今日
株式会社イノベイト
広告装置
10日前
合同会社IPマネジメント
内部不正対策
15日前
トヨタ自動車株式会社
管理システム
2日前
トヨタ自動車株式会社
作業評価装置
今日
西松建設株式会社
計測システム
6日前
TDK株式会社
等価回路
2日前
株式会社NURSY
再就職の支援装置
1日前
個人
外国為替証拠金取引定期自動売買システム
13日前
個人
公益寄付インタラクティブシステム
今日
株式会社ヒニアラタ
障害者支援システム
15日前
サクサ株式会社
警備サービス管理システム
10日前
株式会社セラク
営農支援システム及び方法
16日前
キオクシア株式会社
電子機器
6日前
大王製紙株式会社
作業管理システム
1日前
NGB株式会社
制御装置
20日前
株式会社インテック
触覚ディスプレイ装置
1日前
富士フイルム株式会社
タッチセンサ
今日
ジャペル株式会社
登録管理システム
6日前
アルプスアルパイン株式会社
入力装置
21日前
キヤノン株式会社
画像処理方法
13日前
トヨタ自動車株式会社
作業種別決定システム
21日前
FCLコンポーネント株式会社
タッチパネル
21日前
続きを見る
他の特許を見る
特許ウォッチ
