专利名称:秘密信息管理装置、信息处理装置以及秘密信息管理系统的制作方法
技术领域:
本发明涉及用于分散并管理秘密密钥的技术。
背景技术:
以往,使用秘密分散技术来实施了秘密密钥备份方式。这是如下技术通过将秘密密钥分割成多个秘密密钥片断,并由多个管理者分别 保管各秘密密钥片断,可以秘密地保持秘密密钥的内容,并且安全地进行备份(例如,非专 利文献1)。在该方式中,除了将秘密密钥分割成几个这样的分割数N、即管理者的人数以外, 还可以指定如果将其中的几个秘密密钥片断(管理者)到齐则能够复原秘密密钥这样的可 复原数k,所以具有例如通过设为k < N,即使一个管理者丢失了秘密密钥片断,也可以复原 秘密密钥这样的特征。另外,还提出了如下秘密分散技术通过研究将所分割的秘密密钥片断分发给管 理者的分发方法,可以通过任意的管理者的组合来复原秘密密钥(例如,专利文献1)。在该方式中,在存在N个管理者Pl PN时,指定如下访问结构指定了可以通过 哪个管理者具有的秘密密钥片断的组合来复原秘密密钥的访问结构。例如,在存在3名(P1、P2、P3)管理者时,表示在秘密密钥复原中需要2名管理者 具有的秘密密钥片断,且其中的一人是管理者Pl的情况下,如{{P1、P2}、{P1、P3}}那样指 定访问结构。然后,根据访问结构对秘密密钥进行秘密分散,从而分割成N个秘密密钥片断。然后,对各管理者委托秘密密钥片断,从而仅在由访问结构指定的组合的管理者 到齐时,可以复原秘密密钥。另一方面,在近年来的企业内信息系统中,正在利用基于角色的访问控制 (Role-Based Access Control, RBAC)(例如,非专利文献 2)。这是根据工作上的作用、组织结构来规定角色,并对角色指定访问权限的构造。进而,通过使角色具有层次结构,可以进行权限的继承。另外,通过对角色登记用户,可以进行针对用户的访问控制。即使产生了人事变动,仅变更针对角色的用户登记即可,所以适合于企业内信息 系统。例如,作为角色,制作部长角色、科长角色,对部长角色提供进行结算的权限,对科 长角色提供制作付款单据的权限。然后,在部长角色中登记用户“田中部长”,在科长角色中 登记用户“铃木科长”和“佐藤科长”。由此,能够进行铃木科长、佐藤科长可以制作付款单 据,田中部长可以进行结算这样的访问控制。另外,通过使部长角色继承科长角色的权限, 可以使田中部长也能够实施单据制作。另外,在高桥成为新科长的情况下,可以仅通过在科 长角色中登记高桥科长,来简单地修正访问权限。专利文献1 日本特开2002-217891号公报第5页 10页
:A. Shamir"How to Share a Secret"Communications of the ACM、 v. 22n. 11、p. 612-613、Nov. 1979非专禾丨J文献 2 :David F. Ferraiolo>D. Richard Kuhn>Ramaswamy Chandramouli 著 "Role-Based AccessControl,,ARTECH HOUSE、INC. ,2003 年、P6 1
发明内容
在以往的秘密密钥备份方式中,在存在N个管理者Pl PN时,指定了可以通过哪 个管理者具有的秘密密钥片断的组合来复原秘密密钥。但是,由于在企业内信息系统中正在采用RBAC,所以考虑关于秘密密钥备份也使 用由RBAC规定的角色来指定访问结构。此处,由于一般对角色登记多个管理者,所以有可能在访问结构中重复指定角色 这一点与以往不同。在以往的秘密分散方式中,以由访问结构指定的管理者Pl PN是不同的管理者 为前提,所以没有设想对访问结构的管理者的组合指定同一角色。因此,在重复指定了同一角色时,存在无法判断如何进行秘密分散来生成秘密密 钥片断,并按照什么样的组合将秘密密钥片断分发给管理者才好这样的课题。例如,在如果1名部长和2名科长具有的秘密密钥片断到齐则可以复原秘密密钥 的情况下,作为访问结构指定为{部长角色、科长角色、科长角色}。然后,设按照以往的秘密分散方式生成了部长用秘密密钥片断、科长用秘密密钥 片断A、科长用秘密密钥片断B。此处,产生将科长用秘密密钥片断A ·Β应该按照什么样的组合分发给科长这样的 问题。作为情形1,在将科长用秘密密钥片断A · B这两方分别分发给铃木科长、佐藤科 长、高桥科长的情况下,如果田中部长、和铃木/佐藤/高桥科长中的某1名科长到齐,则秘 密密钥片断到齐,所以可以对秘密密钥进行解密。这偏离了在1名部长和2名科长到齐的情况下才能对秘密密钥进行解密这样的条 件,而可以通过更少的人数来复原秘密密钥,所以安全上并不优选。作为情形2,考虑将科长用秘密密钥片断A · B中的某一个分发给各科长的情形。此处,设对铃木科长分发科长用秘密密钥片断Α,对佐藤/高桥科长分发秘密密钥 片断B。在该情况下,在田中部长、铃木科长、佐藤科长这3名到齐的情况下可以复原秘密 密钥,但在田中部长、佐藤科长、高桥科长这3名中,秘密密钥片断不足,所以产生无法复原 秘密密钥这样的问题。如上所述,存在如下课题由以往的访问结构指定的管理者是以通过完全不同的 管理者Pi PN的组合来指定为前提,在指定了重复的角色的情况下,无法判断如何分发秘 密密钥片断才好。本发明的主要目的之一为解决上述那样的课题,其主要目的在于,即使在使用利 用角色指定了访问结构的基于角色的访问结构的情况下,也安全地实现秘密密钥备份。本发明的秘密信息管理装置,从多个用户中抽出成为从秘密信息分割的2个以上的分割秘密信息的管理者的用户,该秘密信息管理装置的特征在于,具有用户角色信息取得部,取得表示多个用户分别具备的角色的用户角色信息;指定角色信息取得部,取得将2个以上的角色表示为指定角色的指定角色信息; 以及用户抽出部,对所述用户角色信息所表示的各用户的角色与所述指定角色信息所表示的各指定角色进行比较,针对每个指定角色抽出具备符合的角色的用户,按照指定角 色的组合来对所抽出的用户进行组合,生成成为分割秘密信息的管理者的用户的组合。其特征在于,所述指定角色信息取得部存在取得对至少2个指定角色重复表示同 一角色的指定角色信息的情况,所述用户抽出部在所述指定角色信息重复表示同一角色的情况下,针对作为同一 角色的至少2个指定角色分别抽出用户,并且从成为分割秘密信息的管理者的用户的组合 中,去除对作为同一角色的至少2个指定角色分配了同一用户的组合。其特征在于,所述用户角色信息取得部存在取得表示具备2个以上的角色的用户 的用户角色信息的情况, 所述秘密信息管理装置还具有同时组合禁止角色信息取得部,该同时组合禁止角 色信息取得部取得将禁止分配同一用户的2个以上的角色表示为同时组合禁止角色的同 时组合禁止角色信息,所述用户抽出部针对每个指定角色抽出用户,并且从成为分割秘密信息的管理者 的用户的组合中,去除对与同时组合禁止角色相应的至少2个指定角色分配了同一用户的组合。其特征在于,所述用户角色信息取得部存在取得表示具备上位角色的用户的用户 角色信息的情况,其中,该上位角色包含1个以上的其他角色作为下位角色,所述秘密信息管理装置还具有包含关系信息取得部,该包含关系信息取得部取得 表示上位角色与下位角色的包含关系的包含关系信息,所述用户抽出部根据包含关系信息所表示的包含关系,在指定角色信息中将某一 个下位角色表示为指定角色的情况下,导出作为指定角色的下位角色的上位角色,抽出具 备与作为指定角色的下位角色符合的角色的用户,并且与该下位角色对应起来抽出具备与 作为指定角色的下位角色的上位角色符合的角色的用户。其特征在于,所述秘密信息管理装置还具有同时组合禁止角色信息取得部,该同 时组合禁止角色信息取得部取得将禁止分配同一用户的2个以上的角色表示为同时组合 禁止角色的同时组合禁止角色信息,所述用户抽出部在下位角色包含于同时组合禁止角色中的情况下,从成为分割秘 密信息的管理者的用户的组合中,去除对同时组合禁止角色中包含的下位角色的上位角色 以及同时组合禁止角色中包含的其他某一个指定角色分配了同一用户的组合。其特征在于,所述秘密信息管理装置还具有秘密信息分割部,该秘密信息分割部 根据由所述用户抽出部生成的成为分割秘密信息的管理者的用户的组合,生成分割秘密信 肩、ο本发明的信息处理装置,具有访问控制策略信息取得部,取得表示执行者角色与 1个以上的许可者角色的多个组合的访问控制策略信息,其中,该执行者角色是被许可针对限制了访问的秘密信息的访问的角色,该许可者角色是对所述执行者角色许可针对所述秘密信息的访问的角色;执行用户信息取得部,取得执行用户信息,该执行用户信息将执行针对所述秘密 信息的访问的执行用户所具备的1个以上的角色表示为执行用户角色;许可用户信息取得部,取得许可用户信息,该许可用户信息将对所述执行用户许 可了针对所述秘密信息的访问的许可用户所具备的1个以上的角色表示为许可用户角色; 以及组合抽出部,抽出在所述访问控制策略信息所表示的组合中的如下组合执行者 角色与所述执行用户信息所表示的执行用户角色一致、且各许可者角色与所述许可用户信 息所表示的许可用户角色中的某一个一致的组合。其特征在于,所述执行用户信息取得部存在如下情况取得作为执行用户角色表 示将1个以上的其他角色包含为下位角色的上位角色的执行用户信息的情况,所述信息处理装置还具有包含关系信息取得部,该包含关系信息取得部取得表示 上位角色与下位角色的包含关系的包含关系信息,所述组合抽出部根据所述包含关系信息所表示的包含关系,判断执行者角色是否 与执行用户角色的下位角色相应,在执行者角色与执行用户角色的下位角色相应的情况 下,判断和该执行者角色所组合的各许可者角色是否与许可用户角色中的某一个一致。其特征在于,所述许可用户信息取得部存在如下情况取得作为许可用户角色表 示将1个以上的其他角色包含为下位角色的上位角色的许可用户信息的情况,所述信息处理装置还具有包含关系信息取得部,该包含关系信息取得部取得表示 上位角色与下位角色的包含关系的包含关系信息,所述组合抽出部根据所述包含关系信息所表示的包含关系,判断各许可者角色是 否与许可用户角色的下位角色相应,并抽出如下组合所有许可者角色的至少一部分与许 可用户角色的下位角色相应、且剩余的许可者角色与许可用户角色一致的组合。本发明的信息处理装置,具有访问控制策略信息取得部,取得表示执行者角色与1个以上的许可者角色的多个 组合的访问控制策略信息,其中,该执行者角色是被许可针对限制了访问的秘密信息的访 问的角色,该许可者角色是对所述执行者角色许可针对所述秘密信息的访问的角色;执行用户信息取得部,取得执行用户信息,该执行用户信息将执行针对所述秘密 信息的访问的执行用户所具备的1个以上的角色表示为执行用户角色;许可用户信息取得部,取得许可用户信息,该许可用户信息将对所述执行用户许 可了针对所述秘密信息的访问的许可用户所具备的1个以上的角色表示为许可用户角色; 以及组合抽出部,抽出在所述访问控制策略信息所表示的组合中的如下组合执行者 角色以及各许可者角色与所述执行用户信息所表示的执行用户角色以及所述许可用户信 息所表示的许可用户角色中的某一个一致的组合。其特征在于,所述执行用户信息取得部存在如下情况取得作为执行用户角色表 示将1个以上的其他角色包含为下位角色的上位角色的执行用户信息的情况,所述许可用户信息取得部存在如下情况取得作为许可用户角色表示将1个以上的其他角色包含为下位角色的上位角色的许可用户信息的情况, 所述信息处理装置还具有包含关系信息取得部,该包含关系信息取得部取得表示 上位角色与下位角色的包含关系的包含关系信息,所述组合抽出部根据所述包含关系信息所表示的包含关系,判断执行者角色以及 各许可者角色是否与执行用户角色的下位角色以及许可用户角色的下位角色中的某一个 相应,并抽出如下组合执行者角色以及所有许可者角色的至少一部分与执行用户角色的 下位角色以及许可用户角色的下位角色中的某一个相应、且执行者角色以及所有许可者角 色中的剩余部分与执行用户角色以及许可用户角色中的某一个一致的组合。其特征在于,所述组合抽出部根据抽出的组合所表示的角色,生成指定角色信息, 该指定角色信息将从所述秘密信息分割的2个以上的分割秘密信息的管理者的角色表示 为指定角色。本发明的秘密信息管理系统,具有访问控制策略信息取得部,取得表示执行者角色与1个以上的许可者角色的多个 组合的访问控制策略信息,其中,该执行者角色是被许可针对限制了访问的秘密信息的访 问的角色,该许可者角色是对所述执行者角色许可针对所述秘密信息的访问的角色;执行用户信息取得部,取得执行用户信息,该执行用户信息将执行针对所述秘密 信息的访问的执行用户所具备的1个以上的角色表示为执行用户角色;许可用户信息取得部,取得许可用户信息,该许可用户信息将对所述执行用户许 可了针对所述秘密信息的访问的许可用户所具备的1个以上的角色表示为许可用户角色;组合抽出部,该组合抽出部抽出在所述访问控制策略信息所表示的组合中的如下 组合执行者角色与所述执行用户信息所表示的执行用户角色一致、且各许可者角色与所 述许可用户信息所表示的许可用户角色中的某一个一致的组合;该组合抽出部根据抽出的 组合所表示的角色,生成指定角色信息,其中,该指定角色信息将从所述秘密信息分割的2 个以上的分割秘密信息的管理者的角色表示为指定角色;用户角色信息取得部,取得表示多个用户分别具备的角色的用户角色信息;指定角色信息取得部,取得由所述组合抽出部生成的指定角色信息;用户抽出部,对所述用户角色信息所表示的各用户的角色与所述指定角色信息所 表示的各指定角色进行比较,针对每个指定角色抽出具备符合的角色的用户,按照指定角 色的组合来对所抽出的用户进行组合,生成成为分割秘密信息的管理者的用户的组合;以 及秘密信息分割部,根据由所述用户抽出部生成的成为分割秘密信息的管理者的用 户的组合,生成分割秘密信息。本发明的秘密信息管理系统,具有访问控制策略信息取得部,取得表示执行者角色与1个以上的许可者角色的多个 组合的访问控制策略信息,其中,该执行者角色是被许可针对限制了访问的秘密信息的访 问的角色,该许可者角色是对所述执行者角色许可针对所述秘密信息的访问的角色;执行用户信息取得部,取得执行用户信息,该执行用户信息将执行针对所述秘密 信息的访问的执行用户所具备的1个以上的角色表示为执行用户角色;许可用户信息取得部,取得许可用户信息,该许可用户信息将对所述执行用户许可了针对所述秘密信息的访问的许可用户所具备的1个以上的角色表示为许可用户角色; 以及组合抽出部,该组合抽出部抽出在所述访问控制策略信息所表示的组合中的如下 组合执行者角色以及各许可者角色与所述执行用户信息所表示的执行用户角色以及所述 许可用户信息所表示的许可用户角色中的某一个一致的组合;该组合抽出部根据抽出的组 合所表示的角色,生成指定角色信息,其中,该指定角色信息将从所述秘密信息分割的2个 以上的分割秘密信息的管理者的角色表示为指定角色;用户角色信息取得部,取得表示多个用户分别具备的角色的用户角色信息;指定角色信息取得部,取得由所述组合抽出部生成的指定角色信息;
用户抽出部,对所述用户角色信息所表示的各用户的角色与所述指定角色信息所 表示的各指定角色进行比较,针对每个指定角色抽出具备符合的角色的用户,按照指定角 色的组合来对所抽出的用户进行组合,生成成为分割秘密信息的管理者的用户的组合;以 及秘密信息分割部,根据由所述用户抽出部生成的成为分割秘密信息的管理者的用 户的组合,生成分割秘密信息。其特征在于,所述用户抽出部生成将所生成的用户的组合与各用户具备的角色一 起表示的组合抽出信息,所述秘密信息管理装置还具有角色信息删除部,从所述组合抽出信息中删除各用户的角色的信息;重复用户信息共用化部,在所述组合抽出信息中存在重复组合了相同用户的组合 的情况下,从该组合中去除用户的重复;重复组合删除部,在所述组合抽出信息中存在仅用户的显示顺序不同而组合了相 同用户的2个以上的组合的情况下,去除所重复的组合;以及无效化组合删除部,在所述组合抽出信息中,某一个用户的组合包含于其他用户 的组合中的情况下,去除包含于其他组合中的组合。根据本发明,根据各用户具备的角色和指定角色的组合,抽出成为分割秘密信息 的管理者的用户的组合,所以即使在使用利用角色来指定了访问结构的基于角色的访问结 构的情况下,也可以安全地实现秘密密钥备份。
图1是示出实施方式1的秘密密钥备份装置的结构例的图。图2是示出实施方式1的备份参加用户一览的结构例的图。图3是示出实施方式1的备份参加用户一览的例子的图。图4是示出实施方式1的基于角色的访问结构的结构例的图。图5是示出实施方式1的基于角色的访问结构的例子的图。图6是示出实施方式1的角色层次信息的结构例的图。图7是示出实施方式1的角色层次信息的例子的图。图8是示出实施方式1的同时有效化禁止角色组合的结构例的图。图9是示出实施方式1的同时有效化禁止角色组合的例子的图。
图10是示出实施方式1的所抽出的可复原组合的结构例的图。图11是示出实施方式1的所抽出的可复原组合(抽出全部组合)的例子的图。图12是示出实施方式1的所抽出的可复原组合(同一用户·角色删除后)的例 子的图。图13是示出实施方式1的所抽出的可复原组合(同时有效化禁止角色删除后) 的例子的图。图14是示出实施方式1的所抽出的可复原组合(角色信息删 除后)的例子的图。图15是示出实施方式1的所抽出的可复原组合(重复用户信息共用化后)的例 子的图。图16是示出实施方式1的所抽出的可复原组合(重复组合删除后)的例子的图。图17是示出实施方式1的所抽出的可复原组合(无效化组合删除后)的例子的 图。图18是示出实施方式1的秘密密钥备份装置的动作例的流程图。图19是示出实施方式1的备份参加用户一览的例子的图。图20是示出实施方式1的秘密密钥备份装置的硬件结构例的流程图。图21是示出实施方式2的秘密密钥备份系统的结构例的图。图22是示出实施方式2的备份许可用户一览的结构例的图。图23是示出实施方式2的访问控制策略的结构例的图。图24是示出实施方式2的访问控制策略的例子的图。图25是示出实施方式2的备份执行用户信息的例子的图。图26是示出实施方式2的秘密密钥备份系统的动作例的流程图。(附图标记说明)101 秘密密钥备份装置;102 备份参加用户一览取得部;103 基于角色的访问 结构取得部;104 角色层次信息取得部;105 同时有效化禁止角色组合取得部;106 备份 对象秘密密钥取得部;107 所有组合生成部;108 同一用户·角色删除部;109 同时有效 化禁止角色删除部;110 角色信息删除部;111 重复用户信息共用化部;112 重复组合删 除部;113 无效化组合删除部;114 一般访问结构秘密分散部;2101 基于角色的访问结 构生成装置;2102 访问控制策略;2103 备份执行用户信息;2104 备份许可用户一览; 2105 访问控制策略取得部;2106 备份执行用户信息取得部;2107 备份许可用户一览取 得部;2108 备份权限抽出部;2109 有效访问权限抽出部;2110 基于角色的访问结构生 成部;3000 秘密密钥备份系统。
具体实施例方式(实施方式1)在本实施方式中,说明如下技术在使用利用角色来指定了访问结构的基于角色 的访问结构的情况下,参照参加到备份中的用户、和由该用户进行有效化的有效化角色,得 到与以往的访问结构同样地按照用户单位指定的基于用户的访问结构,从而使用以往的秘 密分散技术来安全地实现秘密密钥备份。图1是本实施方式的秘密密钥备份装置101的功能结构图。
秘密密钥备份装置101是从多个用户中抽出成为从秘密密钥(秘密信息)分割的2个以上的秘密密钥片断(分割秘密信息)的管理者的用户的装置,是秘密信息管理装置的 例子。在图1中,备份参加用户一览取得部102取得表示参加到备份中的用户的一览、 和由该用户进行有效化的有效化角色的一览的备份参加用户一览信息201(以下,称为备 份参加用户一览201)。在后面将详细叙述,备份参加用户一览201是如图2以及图3所示,表示多个用户 分别进行有效化的角色的信息,是用户角色信息的例子。另外,备份参加用户一览取得部102是用户角色信息取得部的例子。基于角色的访问结构取得部103取得作为可以复原秘密密钥的角色的组合的基 于角色的访问结构信息202(以下,称为基于角色的访问结构202)。在后面将详细叙述,基于角色的访问结构202是如图4以及图5所示,将2个以上 的角色表示为可复原组合的信息,是指定角色信息的例子。另外,将可复原组合中包含的角色称为指定角色。基于角色的访问结构取得部103是指定角色信息取得部的例子。角色层次信息取得部104取得与在由RBAC规定的角色之间关联起来的层次结构 相关的角色层次信息203。在后面将详细叙述,角色层次信息203是如图6以及图7所示,表示上位角色与下 位角色的包含关系的信息,是包含关系信息的例子。即,存在备份参加用户一览201中示出的用户的角色承袭了其他角色(作为下位 角色而包含)的情况。这样,在某用户使承袭了其他角色的上位角色有效化的情况下,优选使上位的角 色有效化的用户还能够利用下位角色的权限而使访问权限的管理变得容易。因此,使用示 出了角色之间的承袭关系的角色层次信息203。另外,角色层次信息取得部104是包含关系信息取得部的例子。同时有效化禁止角色组合取得部105取得表示用户不得同时进行有效化的角色 的组合的同时有效化禁止角色组合信息204(以下,称为同时有效化禁止角色组合204)。在后面将详细叙述,同时有效化禁止角色组合204是如图8以及图9所示,将禁止 同一用户同时进行有效化的2个以上的角色表示为同时有效化禁止角色(同时组合禁止角 色)的信息,是同时组合禁止角色信息的例子。S卩,存在在备份参加用户一览201中出现使2个以上的角色有效化的用户的情况, 在这样的情况下,为了不对2个以上的角色重复分配同一用户,使用示出了用户不得同时 进行有效化的角色的组合的同时有效化禁止角色组合204。另外,同时有效化禁止角色组合取得部105是同时组合禁止角色信息取得部的例子。另外,为了即使在某用户使承袭了其他角色的上位角色有效化的情况下,也不对2 个以上的角色重复分配同一用户,需要考虑角色之间的承袭关系(包含关系)。因此,还对 示出了角色之间的承袭关系的角色层次信息203进行对照,来判断是否相应于同时有效化 禁止角色的组合。
备份对象秘密密钥取得部106取得用户想要进行备份的秘密密钥205。所有组合生成部107通过对基于角色的访问结构202中包含的角色应用备份参加用户一览201中记载的用户,生成作为有可能能够复原秘密密钥的用户的所有组合的、所 有组合抽出结果。即,所有组合生成部107对备份参加用户一览201中示出的各用户的角色、与基于 角色的访问结构202中示出的各指定角色进行比较,针对每个指定角色抽出使符合的角色 有效化的用户,按照指定角色的组合来组合所抽出的用户,而生成成为秘密密钥片断的管 理者的用户的组合。所有组合生成部107在将某下位角色作为指定角色而表示于基于角色的访问结 构202中的情况下,导出作为指定角色的下位角色的上位角色,抽出使所导出的上位角色 有效化的用户,并且与该下位角色对应起来抽出使上位角色有效化的用户。所有组合生成部107是用户抽出部的例子。同一用户·角色删除部108,在所有组合抽出结果中,属于某角色的用户重复出现 了的情况下,删除该条目,而生成同一用户·角色删除结果。S卩,存在在基于角色的访问结构202中对至少2个指定角色重复示出了同一角色 的情况(在图5的例子中,组合编号Nol),在该情况下,所有组合生成部107对作为同一角 色的2个以上的指定角色(RoleA和RoleA)分别抽出用户,但同一用户 角色删除部108 去除对作为同一角色的2个以上的指定角色(RoleA和RoleA)分配了同一用户的组合。另外,如上所述,在下位角色是指定角色的情况下,所有组合生成部107还一并将 该下位角色的上位角色也作为用户的抽出对象,但其结果,存在对作为同一角色的2个以 上的指定角色分配同一用户的情况。例如,在RoleD是RoleA的上位角色,指定角色是“RoleA和RoleA”的情况下,对 “RoleA和RoleA”,重复抽出与RoleD相应的同一用户,生成同一用户的组合。在这样的情 况下,同一用户·角色删除部108也排除同一用户的组合。同时有效化禁止角色删除部109,在同一用户·角色删除结果中,某用户使多个由 同时有效化禁止角色组合204指定的组合的角色有效化的情况下,删除该条目,而生成同 时有效化禁止角色删除结果。另外,在基于角色的访问结构202中,示出了不同的指定角色的组合(在图5的例 子中,组合编号No2)的情况下,在同一用户使多个角色有效化的情况下,即使是不同的指 定角色,所有组合生成部107也重复抽出同一用户。在这样的情况下,同时有效化禁止角色 删除部109去除对与同时有效化禁止角色组合204相应的2个以上的指定角色分配了同一 用户的组合。另外,如上所述,在下位角色是指定角色的情况下,所有组合生成部107将该下位 角色的上位角色也一并作为用户的抽出对象。此时,在同时有效化禁止角色组合204中示 出了下位角色的情况下,同时有效化禁止角色删除部109去除对该上位角色和同时有效化 禁止角色组合204的其他角色分配了同一用户的组合。另外,同一用户·角色删除部108也是用户抽出部的例子。角色信息删除部110,虽然在同时有效化禁止角色删除结果中,还一并记载有用户 所属的角色,但删除该角色信息,而生成角色信息删除结果。
重复用户信息共用化部111在角色信息删除结果中的各条目中出现了同一用户 的情况下,通过将其作为重复而去除,来生成重复用户信息共用化结果。重复组合删除部112,在重复用户信息共用化结果中,去除仅用户信息的记载顺序 不同而表示相同的用户的组合的重复组合,从而生成重复组合删除结果。
无效化组合删除部113,在重复组合删除结果的条目中,去除包含在其他条目中示 出的用户的组合中、作为可以备份的用户的组合而没有意义的组合,从而生成使用用户信 息来记载的基于用户的访问结构。一般访问结构秘密分散部114是用于根据基于用户的访问结构,对秘密密钥205 进行秘密分散的功能。S卩,一般访问结构秘密分散部114分割作为秘密信息的秘密密钥205,而生成秘密 密钥片断(分割秘密信息)。一般访问结构秘密分散部114是秘密信息分割部的例子。接下来,根据图18,对本实施方式的秘密密钥备份装置101的动作进行说明。首先在S1801中,备份参加用户一览取得部102取得示出了参加到系统或者应用 程序所管理的备份中的用户的一览、和由该用户进行有效化的角色的一览的备份参加用户 一览 201。图2示出该备份参加用户一览201的结构。备份参加用户一览201列举出在备份中列出的参加用户名2011、和各参加用户进 行了激活化的有效化角色2012的对。在图3所示的例子中,能够示出使角色RoleC激活化的用户UserC参加、或者使角 色RoleA和角色RoleB同时有效化的用户UserA参加的情况等。接下来,在S1802中,基于角色的访问结构取得部103从系统或者应用程序所管理 的安全策略中,取得作为可以复原秘密密钥205的角色(指定角色)的组合的基于角色的 访问结构202。图4示出该基于角色的访问结构202的结构。基于角色的访问结构202由表示条目的编号的组合的编号、和使用角色和AND/OR 等算子来记述的可复原组合构成。在图5所示的例子中,在组合编号Nol中是指定成在角色RoleA的用户存在2名 的情况下,可以复原秘密密钥205的例子,在组合编号No2中是指定成通过角色RoleA的用 户必需被列出、进而角色RoleB的用户、角色RoleC的用户或者角色RoleD的用户中的某2 名被列出,可以复原秘密密钥205的例子。接下来,在S1803中,角色层次信息取得部104从系统或者应用程序所管理的安全 策略中,取得在由RBAC规定的角色之间关联起来的角色层次信息203。图6示出该角色层次信息203的结构。角色层次信息203由作为定义层次结构的对象的角色、和表示继承哪个角色的继 承源角色构成。角色意味着还可以承担继承源角色的职责。例如,如图7所示,记载为角色是RoleD、继承源角色是RoleA的情况下,意味着属 于角色RoleD中的用户还可以承担角色RoleA的职责。
即,RoleD是上位角色,RoleA是下位角色,RoleD包含RoleA。接下来,在S1804中,同时有效化禁止角色组合取得部105从系统或者应用程序所 管理的安全策略中,取得表示用户不得同时进行有效化的角色的组合的同时有效化禁止角 色组合204。
图8示出该同时有效化禁止角色组合204的结构。同时有效化禁止角色组合204由表示条目的编号的禁止编号、以及使用角色和不 得同时进行有效化的角色数来记述的禁止角色组合构成。在图9所示的例子中,在禁止编号Nol中是指定为角色RoleA、角色RoleB、和角色 RoleC中的2个以上的角色不得同时进行有效化的例子,在禁止编号No2中是指定为角色 RoleA、角色RoleC和角色RoleD中的直至2个角色可以同时进行有效化,但3个以上不得 同时进行有效化的例子。接下来,在S1805中,备份对象秘密密钥取得部106取得用户想要进行备份的秘密 密钥205,而作为系统或者应用程序所管理的秘密信息。该秘密密钥205可以是例如公知的RSA(Rivest-Shamir-Adleman)(注册商标)密 码的秘密密钥,或者也可以是AES (AdvancedEncryption Standard,高级加密标准)密码的密钥。接下来,在S1806中,所有组合生成部107对基于角色的访问结构202中包含的指 定角色,应用备份参加用户一览201中记载的用户和有效化角色,从而生成作为有可能可 以复原秘密密钥205的用户的所有组合的、所有组合抽出结果。此时,如果对角色定义了层次结构,则还考虑该层次结构来应用用户和有效化角 色。另外,用括号还一并记载由本来的基于角色的访问结构202指定的指定角色。图10示出该所有组合抽出结果(组合抽出信息)的结构。所有组合抽出结果由表示条目的编号的组合的编号;和列举了用户、有效化角色、 和指定角色的可复原组合构成。图11所示的例子是根据图3的例子、图5的例子、图7的例子制作出的所有组合 抽出结果。例如,在图5的组合编号Nol中,指定了指定角色RoleA和指定角色RoleA,在图 3的例子中,参加用户名UserA和参加用户名UserD具有有效化角色RoleA,所以生成图11 的组合编号Nol、No2、No3、No4这4个条目的组合。另外,UserAiRoleA(RoleA)是指,可以行使角色RoleA的权限的用户UserA被设 置成本来的基于角色的访问结构202的指定角色RoleA。此处,在组合编号Nol、No4中,对指定角色RoleA重复设置了同一用户,但在接下 来的步骤中删除重复,所以在该步骤中不必介意重复,而列举出所有组合。对于图11的组合编号No5 Nol2,也同样地生成。另外,角色RoleD/RoleE/RoleF 由于继承了角色RoleA,所以也可以作为属于角色RoleA中的用户进行处理,但由于不存在 使角色RoleD/RoleE/RoleF有效化的用户,所以不会对所有组合抽出结果造成影响。另一方面,如果如图19所示UserA使RoleD有效化,则对于UserA,针对图5的组 合Nol,作为与RoleA符合而抽出,针对图5的组合No2,作为与RoleA、RoleB以及RoleD符 合而抽出。接下来,在S1807中,同一用户 角色删除部108在所有组合抽出结果的各条目中重复出现了属于某有效化角色或者指定角色中的用户的情况下,删除该条目,而生成同一 用户·角色删除结果。另外,在对角色定义了层次结构的情况下,将处于父子关系的有效化角色、指定角 色也视为同一角色而删除重复。同一用户·角色删除结果的结构与图8相同,仅保存的值不同。图12是根据图11删除了包含同一用户·角色的条目的结果,图11的组合编号 Nol 重复利用 了 UserAORoleA (RoleA),并且组合编号 No4 重复利用 了 UserDORoleA (RoleA), 所以对其进行检测并删除。在本例子中,有效化角色和指定角色两方都相同,但也可以在将 某一个可以视为相同的情况下删除。另外,如果如图19所示UserA使RoleD有效化,则根据继承关系,对于图5的组合 Nol,在所有组合抽出结果中包含2个“UserAORoIeD(RoleA) +UserAiRoleD(RoleA) ”这样的 条目,但由同一用户·角色删除部108,删除该2个条目。接下来,在S1808中,同时有效化禁止角色删除部109,在同一用户 角色删除结果 中,某用户使多个由图9的同时有效化禁止角色组合204指定的组合的角色有效化的情况 下,删除该条目,而生成同时有效化禁止角色删除结果。另外,在对角色定义了层次结构的情况下,针对处于父子关系的角色,也与同时有 效化禁止角色的条件进行比较,如果有被禁止的组合,则删除该条目。同时有效化禁止角色删除结果的结构与图10相同,仅保存的值不同。图13是根 据图12删除利用了同时有效化禁止角色的条目而得到的结果,对于图12的组合编号No5 和No6,用户UserA使角色RoleA和角色RoleB同时有效化,但在图9的同时有效化禁止角 色组合204的禁止编号Nol中,角色RoleA和角色RoleB的同时有效化被禁止,所以对其进 行检测而删除。另外,如果如图19所示UserA使RoleD有效化,则根据继承关系,对于图5的组 合 No2,在所有组合抽出结果中包含"UserAORoleD (RoleA) +UserAiRoleB (RoleB) +UserBi RoleC (RoleC) ”、"UserAiRoleD (RoleA) +UserAiRoleB (RoleB) +UserAiRoleD (RoleD) ”这样 的条目,但在图9的同时有效化禁止角色组合204的禁止编号Nol中,角色RoleA和角色 RoleB的同时有效化被禁止,所以由同时有效化禁止角色删除部109删除这些条目。接下来,在S1809中,角色信息删除部110,虽然在同时有效化禁止角色删除结果 中还一并记载有用户所属的有效化角色(@之后的角色)和指定角色(括号内的角色),但 删除该其角色信息,来生成角色信息删除结果。角色信息删除结果的结构与图10相同,不同之处在于,作为可复原组合仅使用用 户信息进行了指定。图14是根据图13删除了角色信息的结果,以往是使用用户名/角色的对,但是删 除了角色信息的结果,仅通过用户名指定了可复原组合。接下来,在S1810中,重复用户信息共用化部111在角色信息删除结果中的各条目 中出现了同一用户的情况下,将其作为重复而去除,从而生成重复用户信息共用化结果。重复用户信息共用化结果的结构与图10相同,作为可复原组合仅使用用户信息 来指定这一点不同。图15是根据图14去除重复出现的用户而得到的结果,在图14的组合编号No7和Noll中在可复原组合中重复出现了用户UserB,所以删除该重复,削减成用户UserB仅出现 1次。接下来,在S1811中,重复组合删除部112,在重复用户信息共用化结果中,去除仅 用户信息的记载顺序不同而表示相同的用户的组合的重复组合,从而生成重复组合删除结^ ο重复组合删除结果的结构与图10相同,作为可复原组合仅使用用户信息来进行 了指定这一点不同。图16是根据图15删除用户的记载顺序不同的组合而得到的结果,在图15的组合 编号No2和No3中,仅用户UserA和用户UserD的记载顺序不同,所以去除该重复。 接下来,在S1812中,无效化组合删除部113,在重复组合删除结果的条目中,去除 包含在其他条目中示出的用户的组合中、而作为可以备份的用户的组合没有意义的组合, 从而生成使用用户信息来记载的基于用户的访问结构。基于用户的访问结构的结构与图10相同,作为可复原组合仅使用用户信息来进 行指定这一点不同。图17是根据图16删除包含在其他条目中的条目而得到的结果,由于图16的组合 编号NoS是如果在组合编号No7中可以复原密钥,则自动成立,所以视为包含在No7中而删 除。同样地,组合编号No9和组合编号NolO包含在组合编号No2中,组合编号Nol2包 含在组合编号Noll中,所以删除。最后,在S1813中,一般访问结构秘密分散部114根据基于用户的访问结构,对秘 密密钥205进行秘密分散。通过将图17所示的用用户信息记载的访问结构作为输入来提供,可以按照以往 技术来进行秘密分散,所以使用这些技术根据秘密密钥205来生成秘密密钥片断。然后,对在图2中接收到的参加用户分发该秘密密钥片断。当然,即使是图2中记 载的用户,对图17的可复原组合中没有出现的用户,也可存在没有所分发的秘密密钥片断 的情况。另外,在分发中,例如,通过LAN(Local Area Network,局域网)等网络、与装置连 接的IC卡或USB存储器等连接端子、PCI总线等扩展卡连接总线等,对成为对象的用户配 送秘密密钥片断。另外,在所有组合生成部107中生成的所有组合抽出结果中,与用户信息一起一 并记载了在基于角色的访问结构202中记载的指定角色(括号内的角色)、和由用户进行有 效化的有效化角色(@之后的角色)。在想要简化算法的情况下,也可以仅记载指定角色、有效化角色中的某一个。特别 在不支持角色层次结构的情况下,可以削减处理数据量,所以是有效的。另外,在基于角色的访问结构是单纯的结构的情况下,也可以不一并记载指定角 色、有效化角色,而仅列举出用户信息。另外,在本方式中假设在角色中存在层次结构、同时有效化禁止角色,但根据RBAC 的软件,还有不支持角色层次结构、同时有效化禁止角色的软件。在该情况下,也可以省略所有组合生成部107、同一用户·角色删除部108、同时有效化禁止角色删除部109中的使用了角色层次结构的处理、同时有效化禁止角色删除部 109中的检测同时有效化禁止角色的处理。另外,在本方式中,在确定了参加到备份中的用户是谁之后,对该用户生成所有组 合抽出结果。代替地,也可以设为备份参加用户一览取得部102取得属于角色中的所有用户信 息,不论是否在备份中列出,都通过所有组合生成部107使用所有用户信息来生成所有组合。另外,对于同一用户·角色删除部108和同时有效化禁止角色删除部109,其处理 顺序不分先后,所以也可以对图1中记载的次序进行交换。关于重复用户信息共用化部111、重复组合删除部112、无效化组合删除部113, 其处理顺序也不分先后,所以只要是在从所有组合生成部107到一般访问结构秘密分散部 114之间,则也可以在任意部分中实施处理。对于同时有效化禁止角色组合取得部105,只要是在同时有效化禁止角色删除部 109的处理之前,则也可以在任意部分中实施。对于备份对象秘密密钥取得部106,只要是在一般访问结构秘密分散部114的处 理实施前,则也可以在任意部分中实施。另外,在本实施方式中,根据由用户进行有效化的角色信息来进行了处理,但也可 以加上系统代替用户而自动地设为有效的角色信息来进行处理。另外,也可以使用管理者 对用户分配的角色、即对用户登记的角色的信息来进行处理。如上所述,在使用角色来指定了访问结构的情况下,使用作为参加到秘密密钥备 份中的用户、和该用户进行激活化的角色的一览的备份参加用户一览201的信息,生成使 用用户信息来指定的访问结构,所以可以使用仅支持使用用户信息记载的基于用户的访问 结构的以往的秘密分散技术来进行秘密密钥的备份。另外,从使处理步骤明确化的观点出发,将步骤S1806、步骤S1807、步骤S1808分 别记载为不同的步骤。但是,从存储器使用量削减、处理速度提高等观点来看,也可以同时 执行所述3个步骤。即,也可以在生成所有组合抽出结果的过程S1806中,不生成同一用 户 角色重复的条目,进而,也不生成包括同时有效化禁止角色的条目。在该情况下,虽然 所有组合抽出结果是成为非常大的表,但由于可以不生成它而直接生成同时有效化禁止角 色删除结果,所以实现存储器使用量的削减、处理速度提高。另外,在步骤S1806中生成的所有组合抽出结果、在步骤S1807中生成的同一用 户 角色删除结果、在步骤S1808中生成的同时有效化禁止角色删除结果、在步骤S1809中 生成的角色信息删除结果、在步骤S1810中生成的重复用户信息共用化结果、在步骤S1811 中生成的重复组合删除结果、在步骤S1812中生成的基于用户的访问结构是空的情况下, 不存在分割秘密信息的组合,因此设为错误。另外,通过在RBAC模型中对角色定义层次结构,可以进行权限的继承,而考虑用 户进行激活化的角色的层次结构来生成所有组合抽出结果,所以即使在利用了角色层次结 构的情况下,也可以正确地解释基于角色的访问结构202来生成基于用户的访问结构,对 秘密密钥进行秘密分散而生成秘密密钥片断。另外,由于选择并利用在备份中列出的用户信息,所以可以削减基于用户的访问结构的复杂度,与对所登记的所有用户分发秘密密钥片断的情况相比,可以削减秘密密钥 片断的生成处理、片断数。另外,在同一用户 角色删除部108中,对属于某有效化角色或者指定角色中的用 户被重复计数的情形进行检测,所以可以消除一个用户被计数为多个用户而得到比设想更 多的秘密密钥片断的危险。另外,在同时有效化禁止角色删除部109中,在秘密密钥备份时进行同时有效化 禁止角色的利用检查,对禁止角色的组合进行检测 删除,所以可以支持由NIST RBAC模型 定义的Dynamic SoD策略。另外,在角色信息删除部110、重复用户信息共用化部111、重复组合删除部112、 无效化组合删除部中,抽出删除角色信息而仅通过用户信息指定的访问结构,进行重复、包 含关系的检查来删除不需要的条目,所以可以生成基于用户的访问结构,可以使用具有作 为以往技术的一般访问结构的秘密分散方式根据秘密密钥来生成秘密密钥片断。(实施方式2) 实施方式1是将作为可以复原秘密密钥的角色的组合的、基于角色的访问结构作 为输入而接收到的情况下的秘密密钥备份方式。但是,在RBAC中使用访问控制策略信息(以下,还简称为访问控制策略)来管 理访问权限,所以系统管理者必须无矛盾地维护访问控制策略和基于角色的访问结构这2 个。因此,在本实施方式2中,说明如下技术在使用RBAC时,根据记述了对管理者、一 般用户等操作者许可的操作的访问控制策略,来自动地生成基于角色的访问结构,从而不 需要基于角色的访问结构的管理。图21是本实施方式的秘密密钥备份系统3000的功能结构图。基于角色的访问结构生成装置2101是用于根据记述了对管理者、一般用户等操 作者许可的操作的访问控制策略信息,自动地生成基于角色的访问结构的装置。作为向实 施方式1中示出的秘密密钥备份装置101的追加功能而利用。在图21中,秘密密钥205、角色层次信息203、备份对象秘密密钥取得部106、角色 层次信息取得部104与实施方式1相同,所以省略说明。访问控制策略2102是记述了对管理者、一般用户等操作者许可的操作(以下,称 为访问权限)的信息,是与本装置一起使用的RBAC系统中利用的信息。访问权限一般如图23、图24所示,由表示“对谁”的许可角色名(将许可角色还称 为执行者角色)、表示“把什么,,的许可操作对象、以及表示“怎么做”的许可操作内容来构 成。进而,选择性地指定了多个表示所许可的“条件”的许可者。该许可者并非用户名而是通过角色(许可者角色)指定,有时在不需要许可的情 况下不指定。另外,此处记载的许可者角色的数量N是可变的,所以针对每个系统是不同的 值。通过列举出多个它们的访问权限,而构成了访问控制策略2102。这样,访问控制策略2102是将针对限制了访问的秘密密钥(秘密信息)的访问被 许可的许可角色、和对许可角色许可针对秘密密钥的访问的1个以上的许可者角色的组合 示出多个的信息。
备份执行用户信息2103是想要执行备份处理的用户的执行用户名、和该用户进 行有效化的有效化角色的一览。如图25所示,是由可以确定用户个人的执行用户名、和作为用户进行了有效化的 角色的有效化角色1 有效化角色M构成的信息。此处记载的有效化角色的数量M是用户 进行了有效化的角色的数量,所以是根据进行备份时的状况而变化的值。
这样,备份执行用户信息2103是表示执行针对秘密密钥的访问的执行用户的有 效化角色(执行用户角色)的信息,是执行用户信息的例子。备份许可用户一览2104是将许可了备份执行用户进行备份的用户的用户名、和 在进行了许可时有效化的有效化角色的组合作为一览表的信息。如图22所示,是将许可了备份的用户的许可用户名、和在许可用户进行了许可时 有效化的有效化角色的对作为一览表的结构。这样,备份许可用户一览2104是表示对执行用户许可了针对秘密密钥的访问的 许可用户的有效化角色(许可用户角色)的信息,是许可用户信息的例子。访问控制策略取得部2105是取得访问控制策略2102的功能。访问控制策略取得部2105是访问控制策略信息取得部的例子。备份执行用户信息取得部2106是取得备份执行用户信息2103的功能。备份执行用户信息取得部2106是执行用户信息取得部的例子。备份许可用户一览取得部2107是取得备份许可用户一览2104的功能。备份许可用户一览取得部2107是许可用户信息取得部的例子。备份权限抽出部2108是用于在访问控制策略2102中记载的各种访问权限中,仅 抽出记载了与备份相关的访问权限的信息的功能。为了进行抽出,从备份对象秘密密钥取得部106中收领秘密密钥。然后,仅抽出访 问控制策略2102的、许可操作对象表示所收领的秘密密钥、并且许可操作内容表示备份操 作的信息。将通过该抽出得到的结果以下称为“访问权限一览(备份权限抽出结果)”。有效访问权限抽出部2109是根据从所述备份权限抽出部2108接收的访问权 限一览(备份权限抽出结果),考虑备份执行用户信息2103、备份许可用户一览2104、 角色层次信息203,而抽出可以用作用于生成基于角色的访问结构的源信息(original information)的访问权限的功能。将通过该抽出得到的结果以下称为“访问权限一览(有 效访问权限抽出结果)”。基于角色的访问结构生成部2110是用于根据由有效访问权限抽出部2109抽出的 访问权限一览(有效访问权限抽出结果),生成基于角色的访问结构的功能。所制作的基于 角色的访问结构与实施方式1所示的结构相同。备份部101相当于实施方式1中示出的秘密密钥备份装置101,由以下部分构成 备份参加用户一览取得部、基于角色的访问结构取得部、角色层次信息取得部、同时有效化 禁止角色组合取得部、备份对象秘密密钥取得部、所有组合生成部、同一用户 角色删除部、 同时有效化禁止角色删除部、角色信息删除部、重复用户信息共用化部、重复组合删除部、 无效化组合删除部、一般访问结构秘密分散部。由于与实施方式1相同,所以省略详细说明。接下来,根据图26,对本实施方式的秘密密钥备份系统3000的动作进行说明。
首先在S2601中,访问控制策略取得部2105从系统或者应用程序所管理的安全策 略中,取得访问控制策略2102。图23示出该访问控制策略2102的结构。访问控制策略2102是列举出由许可角色名、许可操作内容、许可操作对象、许可 者1至许可者N构成的访问权限的一览表。许可角色名是指定将访问权限分配给哪个角色的信息。许可操作内容是表示许可什么样的操作的信息。许可操作对象是表示定义针对秘密密钥、日志信息等什么样的信息的访问权限的 fn息ο许可者1至许可者N是表示该访问权限在存在哪个角色的许可时将访问权限视为 有效的信息。在图24所示的例子的第1行中,使由许可角色名指定的RoleA有效化的用户,拥 有对由许可操作对象指定的秘密密钥1实施许可操作内容中示出的备份的访问权限,是限 于如由许可者1指定那样属于RoleA中的用户提供了进行备份的许可的情况(在如第2 行那样存在多个许可者角色的情况下,限于属于所有许可者角色中的用户提供了许可的情 况)这样的访问权限。这样的访问权限成为一览表的形式而构成访问控制策略2102。接下来,在S2602中,备份执行用户信息取得部2106取得与想要执行系统或者应 用程序所管理的备份处理的用户相关的备份执行用户信息2103。图25示出该备份执行用户信息2103的结构。备份执行用户信息2103由执行用户名和有效化角色1至有效化角色M构成。执行用户名表示想要执行备份处理的用户的用户名。另外,有效化角色1至有效 化角色M是用户进行有效化的角色的一览。接下来,在S2603中,备份许可用户一览取得部2107从系统或者应用程序所管理 的安全策略中,取得对在S2602中取得的备份执行用户信息2103中包含的用户进行备份这 样的操作,许可其备份处理的许可者的角色的一览即备份许可用户一览2104。针对每个执行用户、操作对象(秘密密钥1等)、操作内容(备份等),存在备份许 可用户一览2104。图22示出备份许可用户一览2104的结构。备份许可用户一览2104是列举出许可用户名和有效化角色的对的一览表。许可用户名是对备份执行用户进行备份这样的操作,许可了其备份处理的许可者 的用户名。有效化角色是在许可用户进行了备份的许可时有效化的角色。接下来,在S2604中,角色层次信息取得部104从系统或者应用程序所管理的安全 策略中,取得在由RBAC规定的角色之间关联起来的角色层次信息203。该角色层次信息203的结构与实施方式1中示出的角色层次信息203相同,所以 省略说明。接下来,在S2605中,备份对象秘密密钥取得部106从系统或者应用程序所管理的 安全策略中,取得用户想要进行备份的秘密密钥。
22
如实施方式1所示,该秘密密钥可以是例如公知的RSA(注册商标)密码的秘密密 钥,或者也可以是AES密码的共用密钥。接下来,在S2606中,备份权限抽出部2108,在S2601中取得的访问控制策略2102 中记载的各种访问权限中,仅抽出与备份相关的访问权限。在抽出中,仅抽出访问控制策略2102的、许可操作对象表示在S2605中取得的秘 密密钥、并且许可操作内容表示备份操作的信息。该抽出是访问权限一览(备份权限抽出结果),结构与访问控制策略2102相同。接下来,在S2607中,有效访问权限抽出部2109从在S2606中生成的访问权限一 览(备份权限抽出结果)中,考虑备份执行用户信息2103、备份许可用户一览2104、角色层 次信息203,抽出可以用作用于生成基于角色的访问结构的源信息的访问权限一览(有效 访问权限抽出结果)。示出两个该抽出算法的主要的例子。最初的抽出方式例1是进行严密的检查的方式。首先,从备份执行用户信息2103中取得有效化角色1 有效化角色M,抽出与在 S2606中生成的访问权限一览(备份权限抽出结果)的许可角色名一致的角色。此时,考虑角色层次信息203,还包括访问权限一览(备份权限抽出结果)的许可 角色名与用户进行有效化的有效化角色1 有效化角色M的下位角色相应的情况,视为一 致而抽出。进而,确认许可者1 许可者N中记载的所有角色是否记载于备份许可用户一览 2104的有效化角色中的某一个中,而仅在包含时抽出。此时,考虑角色层次信息203,还包括许可者1 许可者N中记载的角色与备份许 可用户进行有效化的有效化角色的下位角色相应的情况,视为一致而抽出。另外,在许可者1至许可者N中,关于没有指定角色的许可者无需进行比较处理, 而仅针对指定的许可者进行比较处理即可。通过以上操作,生成为了生成基于角色的访问结构而所需的访问权限一览(有效 访问权限抽出结果)。抽出方式例2是使比较条件缓和的方式,是不区分执行用户和许可用户而进行抽 出的方式。具体而言,是如下方式仅抽出在S2606中生成的访问权限一览(备份权限抽出结 果)的许可角色名和许可者1至许可者N的全部包含在备份执行用户信息2103中记载的 有效化角色1 有效化角色M、或者备份许可用户一览2104的有效化角色中的某一方中的 访问权限。因此,许可角色名也可以包含在备份许可用户一览2104的有效化角色中的某一 个中,许可者1至许可者N的全部也可以包含在备份执行用户信息2103中记载的有效化角 色1 有效化角色M中。此时,考虑角色层次信息203,在许可角色名和许可者1 许可者N中记载的角色 的上位角色与备份执行用户信息2103中记载的有效化角色1 有效化角色M、或者、备份许 可用户一览2104的有效化角色一致的情况下,也抽出。另外,在从许可者1至许可者N中,关于没有指定角色的许可者,无需进行比较处理,而仅针对指定的许可者进行比较处理即可。通过以上操作,生成为了生成基于角色的访问结构而所需的访问权限一览(有效 访问权限抽出结果)。接下来,在S2608中,基于角色的访问结构生成部2110根据在S2607中生成的访 问权限一览(有效访问权限抽出结果),生成基于角色的访问结构。具体而言,从访问权限一览(有效访问权限抽出结果)中取出一个访问权限。将该访问权限中记载的许可角色名和许可者1至许可者N视为可以复原秘密密钥 的角色的组合。S卩,成为构成图4中所示的基于角色的访问结构的表中的1行的要素。其中,在存在{RoleB、RoleC}、{RoleC、RoleD}、{RoleB、RoleD}这样的组合的情况 下,如果如“2of {RoleB、RoleC、RoleD} ”那样省略记载,则还可以削减数据量。对访问权限一览(有效访问权限抽出结果)中包含的所有访问权限进行同样的变 换而得到的结构成为基于角色的访问结构。最后,在S2609中,备份部101通过实施方式1中示出的方法,除了在S2608中生 成的基于角色的访问结构以外,还将系统或者应用程序所管理的备份参加用户一览、角色 层次信息、同时有效化禁止角色组合、秘密密钥作为输入而接收,生成秘密密钥片断。另外,在图23中示出了访问控制策略2102的结构,但访问控制策略2102的结构 根据系统而各种各样。因此,还考虑省略了许可操作内容、许可操作对象的情形。在该情况下,也可以在S2606中省略许可操作内容、许可操作对象的比较。另外,同样地,在不存在许可者1至许可者N的要素的访问控制策略2102的情况 下,设为在S2607和S2608中没有指定许可者来进行处理即可。另外,在图25中示出的备份执行用户信息2103中包括执行用户名,这是因为在实 际系统中将执行用户名和有效化角色1至有效化角色M关联起来管理的情况较多,所以如 此记载。但是,由于在本方式的处理中不需要执行用户名,所以也可以从备份执行用户信 息2103中删除。另外,在图22中示出的备份许可用户一览2104中,使用了将许可用户名和有效化 角色的组设为表的一览。但是,由于在本方式的处理中不需要许可用户名,所以也可以是仅 由有效化角色构成的备份许可用户一览2104。另外,在图22中示出的备份许可用户一览2104是将许可用户名和有效化角色的 组设为表的一览。如果同一许可用户根据多个角色提供了许可的情况下,通过如下那样的 方法来列举即可。S卩,(1)在有效化角色中列举多个角色信息(在1个记录中列举多个角色信息)。 (2)作为对有效化角色仅指定1个角色的补偿,而列举许可用户名和有效化角色的多个组 (对1个记录指定1个角色,并且设置多个记录)。另外,在图25中示出的备份执行用户信息2103的有效化角色1至有效化角色N、 在图22中示出的备份许可用户一览2104的有效化角色中,记载了用户明示地进行了有效 化的角色信息的情况较多,但也可以记载系统代替用户而自动地设为有效的角色信息。另外,也可以将管理者对用户分配的角色、即对用户登记的角色的信息记载为有效化角色。另外,S2601、S2602、S2603、S2604、S2605是分别独立的处理,所以无需按照记载的 顺序来执行。在S2606之前执行S2601,在S2607之前执行S2602,在S2607之前执行S2603, 在S2607之前执行S2604,在S2606之前执行S2605即可。另外,在S2605中,例示了备份对象秘密密钥取得部将RSA(注册商标)密码的秘 密密钥、AES密码的共用密钥作为输入而接收,但只要所接收的信息是进行备份的信息,则 不必就是密码算法的密钥。例如,也可以是机密文档、顾客信息等信息。另外,在S2606中,备份权限抽出部2108仅实施基于许可操作内容和许可操作对 象的缩小,而制作出结构上与访问控制策略2102同样的访问权限一览(备份权限抽出结 果)。但是,在以后的处理中,不需要许可操作内容和许可操作对象的信息,所以也可以是 从访问控制策略2102中删除了许可操作内容和许可操作对象的结构。关于访问权限一览 (有效访问权限抽出结果)的结构也是同样的。另外,在S2606中,备份权限抽出部2108在S2601中取得的访问控制策略2102中 记载的各种访问权限中,仅抽出了与备份相关的访问权限。其原因为,示出的是在秘密信息 管理装置中对秘密密钥进行备份的情况的例子。如果分别定义了备份和还原的权限,则也 可以代替地抽出还原权限来进行处理。另外,在进行秘密分散来取得秘密信息的操作中,考 虑到每个系统中称为不同的名称,所以需要通过适合于该系统的操作名来进行检索。另外,在S2607中在有效访问权限抽出部2109中,根据备份执行用户信息2103、备 份许可用户一览2104、和角色层次信息203抽出了有效的访问权限,但对此也可以还考虑 同时有效化禁止角色组合来进行缩小。另外,在本实施方式中,针对在访问权限一览(备份权限抽出结果)中记述的许可 角色以及许可者角色,将备份执行用户信息中包含的角色以及备份许可用户一览中包含的 角色进行对照,而生成基于角色的访问结构。代替地,也可以根据在访问权限一览(备份权限抽出结果)中记述的许可角色以 及许可者角色来生成基于角色的访问结构。例如,也可以根据图24的第1行的记录来生成{R0leA、R0leA}这样的基于角色的 访问结构,或者根据第2行的记录来生成{R0leA、R0leB、R0leC}这样的基于角色的访问结 构。另外,在步骤S2606中生成的访问权限一览(备份权限抽出结果)、在步骤S2607 中生成的访问权限一览(有效访问权限抽出结果)、在步骤S2608中生成的基于角色的访问 结构是空的情况下,不存在分割秘密信息的组合,从而设为错误。如上所述,依据在访问控制策略2102中指定的许可备份的访问权限,根据备份执 行用户信息2103、备份许可用户一览2104、角色层次信息203来生成基于角色的访问结构, 所以只要仅维护访问控制策略2102,就可以自动地计算出可以复原秘密密钥的角色的组 合,灵活地进行秘密密钥的备份。另外,由于考虑用户进行有效化的角色的层次结构、进行了备份的许可的用户进 行有效化的角色的层次结构来生成访问权限一览(有效访问权限抽出结果),所以即使在 利用了角色层次结构的情况下,也可以正确且自动地生成基于角色的访问结构,对秘密密 钥进行秘密分散而生成秘密密钥片断。
25
另外,由于选择并利用实施了备份的用户、进行了许可的用户的信息,所以可以 减少所生成的基于角色的访问结构的复杂度,所以与对在访问控制策略2102中登记了备 份的访问权限的所有用户分发秘密密钥片断的情况相比,可以削减秘密密钥片断的生成处 理、片断数。最后,对实施方式1、2所示的秘密密钥备份装置101以及基于角色的访问结构生 成装置2101 (以下,称为秘密密钥备份装置101等)的硬件结构例进行说明。图20是示出实施方式1、2所示的秘密密钥备份装置101等硬件资源的一个例子 的图。另外,图20的结构仅示出秘密密钥备份装置101等硬件结构的一个例子,秘密密 钥备份装置101等硬件结构不限于图20记载的结构,而也可以是其他结构。在图20中,秘密密钥备份装置101等具备执行程序的CPU911 (Central ProcessingUnit,还称为中央处理装置、处理装置、运算装置、微处理器、微型计算机、处理 器)OCPU911 经由总线 912,例如,与 ROM (Read Only Memory) 913、RAM (Random Access Memory) 914、通信板(communicationboard) 915、显示装置 901、键盘 902、鼠标 903、磁盘装 置920连接,对这些硬件设备进行控制。进而,CPU911也可以与 FDD904 (Flexible Disk Drive)、高密度盘装置 905 (CDD)、 打印机装置906、扫描仪装置907连接。另外,也可以代替磁盘装置920,而使用光盘装置、 存储卡(注册商标)读写装置等存储装置。RAM914是易失性存储器的一个例子。R0M913、FDD904、⑶D905、磁盘装置920的存 储介质是非易失性存储器的一个例子。它们是存储装置的一个例子。通信板915、键盘902、鼠标903、扫描仪装置907、FDD904等是输入装置的一个例子。另外,通信板915、显示装置901、打印机装置906等是输出装置的一个例子。例如,通信板915与LAN(局域网)、因特网、WAN(广域网)等连接。在磁盘装置920中,存储了操作系统921 (OS)、视窗系统(windowsystem) 922、程序 群923、文件群924。CPU911利用操作系统921、视窗系统922来执行程序群923的程序。另外,在RAM914中,暂时保存了使CPU911执行的操作系统921的程序、应用程序 的程序中的至少一部分。另外,在RAM914中,保存了由CPU911进行的处理中所需的各种数据。另夕卜,在R0M913 中,保存了 BIOS (Basic Input Output System,基本输入输出系 统)程序,在磁盘装置920中,保存了引导程序(bootprogram)。在秘密密钥备份装置101等起动时,执行R0M913的BIOS程序以及磁盘装置920 的引导程序,通过BIOS程序以及引导程序,起动操作系统921。在所述程序群923中,存储了执行在实施方式1、2的说明中说明为“ 部”的功能 的程序。由CPU911读出并执行程序。在文件群924中,也可以包括备份参加用户一览201、基于角色的访问结构202、角 色层次信息203、同时有效化禁止角色组合204、秘密密钥205、访问控制策略2102、备份执
26行用户信息2103、备份许可用户一览2104。另外,所抽出的用户的组合(图10 图17)、访问权限一览(备份权限抽出结果) 以及访问权限一览(有效访问权限抽出结果)等被存储在RAM914、磁盘装置920、未图示的 高速缓存存储器、缓冲存储器、寄存器等中。进而,根据秘密密钥205生成的秘密密钥片断也被存储在RAM914、磁盘装置920、 未图示的高速缓存存储器、缓冲存储器、寄存器等中。另外,在文件群924中,将表示在实施方式1、2的说明中说明为“ 的判断”、“ 的 取得”、“ 的抽出”、“ 的比较”、“ 的删除”、“ 的更新”、“ 的设定”、“ 的登记”、“ 的
检测”等的处理的结果的信息、数据、信号值、变量值、参数存储为“ 文件”、“ 数据库”的 各项目。“ 文件”、“ 数据库”被存储在盘、存储器等记录介质中。由CPU911经由读写电 路将存储在盘、存储器等存储介质中的信息、数据、信号值、变量值、参数读出到主存储器、 高速缓存存储器中,而用于抽出·检索·参照·比较·运算·计算·处理·编辑 输出 印 刷·显示等CPU的动作中。在抽出·检索·参照·比较·运算·计算·处理·编辑·输出·印刷·显示的CPU 的动作的期间,信息、数据、信号值、变量值、参数被暂时存储在主存储器、寄存器、高速缓存 存储器、缓冲存储器等中。另外,在实施方式1、2中说明的流程图的箭头的部分主要表示数据、信号的输入 输出,数据、信号值被记录在RAM914的存储器、FDD904的软盘、⑶D905的高密度盘、磁盘装 置920的磁盘、其他光盘、迷你盘(mini disk)、DVD等记录介质中。另外,通过总线912、信 号线、电缆、其他传送介质来在线(online)传送数据、信号。另外,在实施方式1、2的说明中说明为“ 部”的部分既可以是“ 电路”、“ 装 置”、“ 机器”,并且也可以是“ 步骤”、“ 程序”、“ 处理”。即,说明为“ 部”的部分也 可以通过存储在R0M913中的固件来实现。或者,也可以仅通过软件,或者仅通过元件·器 件·基板·布线等硬件,或者通过软件和硬件的组合,进而通过与固件的组合来实施。固 件和软件作为程序而被存储在磁盘、软盘、光盘、高密度盘、迷你盘、DVD等记录介质中。由 CPU911读出并由CPU911执行程序。即,程序使计算机作为实施方式1、2的“ 部”而发挥 功能。或者,使计算机执行实施方式1、2的“ 部”的步骤、方法。这样,实施方式1、2所示的秘密密钥备份装置101等是具备作为处理装置的CPU、 作为存储装置的存储器、磁盘等、作为输入装置的键盘、鼠标、通信板等、作为输出装置的显 示装置、通信板等的计算机,使用这些处理装置、存储装置、输入装置、输出装置来实现如上 所述作为“ 部”示出的功能。
2权利要求
一种秘密信息管理装置,从多个用户中抽出成为从秘密信息分割的2个以上的分割秘密信息的管理者的用户,该秘密信息管理装置的特征在于,具有用户角色信息取得部,取得表示多个用户分别具备的角色的用户角色信息;指定角色信息取得部,取得将2个以上的角色表示为指定角色的指定角色信息;以及用户抽出部,对所述用户角色信息所表示的各用户的角色与所述指定角色信息所表示的各指定角色进行比较,针对每个指定角色抽出具备符合的角色的用户,按照指定角色的组合来对所抽出的用户进行组合,生成成为分割秘密信息的管理者的用户的组合。
2.根据权利要求1所述的秘密信息管理装置,其特征在于,所述指定角色信息取得部存在取得对至少2个指定角色重复表示同一角色的指定角 色信息的情况,所述用户抽出部在所述指定角色信息重复表示同一角色的情况下,针对作为同一角色 的至少2个指定角色分别抽出用户,并且从成为分割秘密信息的管理者的用户的组合中, 去除对作为同一角色的至少2个指定角色分配了同一用户的组合。
3.根据权利要求1所述的秘密信息管理装置,其特征在于,所述用户角色信息取得部存在取得表示具备2个以上的角色的用户的用户角色信息 的情况,所述秘密信息管理装置还具有同时组合禁止角色信息取得部,该同时组合禁止角色信 息取得部取得将禁止分配同一用户的2个以上的角色表示为同时组合禁止角色的同时组 合禁止角色信息,所述用户抽出部针对每个指定角色抽出用户,并且从成为分割秘密信息的管理者的 用户的组合中,去除对与同时组合禁止角色相应的至少2个指定角色分配了同一用户的组I=I ο
4.根据权利要求1所述的秘密信息管理装置,其特征在于,所述用户角色信息取得部存在取得表示具备上位角色的用户的用户角色信息的情况, 其中,该上位角色包含1个以上的其他角色作为下位角色,所述秘密信息管理装置还具有包含关系信息取得部,该包含关系信息取得部取得表示 上位角色与下位角色的包含关系的包含关系信息,所述用户抽出部根据包含关系信息所表示的包含关系,在指定角色信息中将某一个下 位角色表示为指定角色的情况下,导出作为指定角色的下位角色的上位角色,抽出具备与 作为指定角色的下位角色符合的角色的用户,并且与该下位角色对应起来抽出具备与作为 指定角色的下位角色的上位角色符合的角色的用户。
5.根据权利要求4所述的秘密信息管理装置,其特征在于,所述秘密信息管理装置还具有同时组合禁止角色信息取得部,该同时组合禁止角色信 息取得部取得将禁止分配同一用户的2个以上的角色表示为同时组合禁止角色的同时组 合禁止角色信息,所述用户抽出部在下位角色包含于同时组合禁止角色中的情况下,从成为分割秘密信 息的管理者的用户的组合中,去除对同时组合禁止角色中包含的下位角色的上位角色以及 同时组合禁止角色中包含的其他某一个指定角色分配了同一用户的组合。
6.根据权利要求1所述的秘密信息管理装置,其特征在于,所述秘密信息管理装置还具有秘密信息分割部,该秘密信息分割部根据由所述用户抽 出部生成的成为分割秘密信息的管理者的用户的组合,生成分割秘密信息。
7.一种信息处理装置,具有访问控制策略信息取得部,取得表示执行者角色与1个以上的许可者角色的多个组合 的访问控制策略信息,其中,该执行者角色是被许可针对限制了访问的秘密信息的访问的 角色,该许可者角色是对所述执行者角色许可针对所述秘密信息的访问的角色;执行用户信息取得部,取得执行用户信息,该执行用户信息将执行针对所述秘密信息 的访问的执行用户所具备的1个以上的角色表示为执行用户角色;许可用户信息取得部,取得许可用户信息,该许可用户信息将对所述执行用户许可了 针对所述秘密信息的访问的许可用户所具备的1个以上的角色表示为许可用户角色;以及 组合抽出部,抽出在所述访问控制策略信息所表示的组合中的如下组合执行者角色 与所述执行用户信息所表示的执行用户角色一致、且各许可者角色与所述许可用户信息所 表示的许可用户角色中的某一个一致的组合。
8.根据权利要求7所述的信息处理装置,其特征在于,所述执行用户信息取得部存在如下情况取得作为执行用户角色表示将1个以上的其 他角色包含为下位角色的上位角色的执行用户信息的情况,所述信息处理装置还具有包含关系信息取得部,该包含关系信息取得部取得表示上位 角色与下位角色的包含关系的包含关系信息,所述组合抽出部根据所述包含关系信息所表示的包含关系,判断执行者角色是否与执 行用户角色的下位角色相应,在执行者角色与执行用户角色的下位角色相应的情况下,判 断和该执行者角色所组合的各许可者角色是否与许可用户角色中的某一个一致。
9.根据权利要求7所述的信息处理装置,其特征在于,所述许可用户信息取得部存在如下情况取得作为许可用户角色表示将1个以上的其 他角色包含为下位角色的上位角色的许可用户信息的情况,所述信息处理装置还具有包含关系信息取得部,该包含关系信息取得部取得表示上位 角色与下位角色的包含关系的包含关系信息,所述组合抽出部根据所述包含关系信息所表示的包含关系,判断各许可者角色是否与 许可用户角色的下位角色相应,并抽出如下组合所有许可者角色的至少一部分与许可用 户角色的下位角色相应、且剩余的许可者角色与许可用户角色一致的组合。
10.一种信息处理装置,具有访问控制策略信息取得部,取得表示执行者角色与1个以上的许可者角色的多个组合 的访问控制策略信息,其中,该执行者角色是被许可针对限制了访问的秘密信息的访问的 角色,该许可者角色是对所述执行者角色许可针对所述秘密信息的访问的角色;执行用户信息取得部,取得执行用户信息,该执行用户信息将执行针对所述秘密信息 的访问的执行用户所具备的1个以上的角色表示为执行用户角色;许可用户信息取得部,取得许可用户信息,该许可用户信息将对所述执行用户许可了 针对所述秘密信息的访问的许可用户所具备的1个以上的角色表示为许可用户角色;以及 组合抽出部,抽出在所述访问控制策略信息所表示的组合中的如下组合执行者角色 以及各许可者角色与所述执行用户信息所表示的执行用户角色以及所述许可用户信息所表示的许可用户角色中的某一个一致的组合。
11.根据权利要求10所述的信息处理装置,其特征在于,所述执行用户信息取得部存在如下情况取得作为执行用户角色表示将1个以上的其 他角色包含为下位角色的上位角色的执行用户信息的情况,所述许可用户信息取得部存在如下情况取得作为许可用户角色表示将1个以上的其 他角色包含为下位角色的上位角色的许可用户信息的情况,所述信息处理装置还具有包含关系信息取得部,该包含关系信息取得部取得表示上位 角色与下位角色的包含关系的包含关系信息,所述组合抽出部根据所述包含关系信息所表示的包含关系,判断执行者角色以及各许 可者角色是否与执行用户角色的下位角色以及许可用户角色的下位角色中的某一个相应, 并抽出如下组合执行者角色以及所有许可者角色的至少一部分与执行用户角色的下位角 色以及许可用户角色的下位角色中的某一个相应、且执行者角色以及所有许可者角色中的 剩余部分与执行用户角色以及许可用户角色中的某一个一致的组合。
12.根据权利要求7所述的信息处理装置,其特征在于,所述组合抽出部根据抽出的组合所表示的角色,生成指定角色信息,该指定角色信息 将从所述秘密信息分割的2个以上的分割秘密信息的管理者的角色表示为指定角色。
13.—种秘密信息管理系统,具有访问控制策略信息取得部,取得表示执行者角色与1个以上的许可者角色的多个组合 的访问控制策略信息,其中,该执行者角色是被许可针对限制了访问的秘密信息的访问的 角色,该许可者角色是对所述执行者角色许可针对所述秘密信息的访问的角色;执行用户信息取得部,取得执行用户信息,该执行用户信息将执行针对所述秘密信息 的访问的执行用户所具备的1个以上的角色表示为执行用户角色;许可用户信息取得部,取得许可用户信息,该许可用户信息将对所述执行用户许可了 针对所述秘密信息的访问的许可用户所具备的1个以上的角色表示为许可用户角色;组合抽出部,该组合抽出部抽出在所述访问控制策略信息所表示的组合中的如下组 合执行者角色与所述执行用户信息所表示的执行用户角色一致、且各许可者角色与所述 许可用户信息所表示的许可用户角色中的某一个一致的组合;该组合抽出部根据抽出的组 合所表示的角色,生成指定角色信息,其中,该指定角色信息将从所述秘密信息分割的2个 以上的分割秘密信息的管理者的角色表示为指定角色;用户角色信息取得部,取得表示多个用户分别具备的角色的用户角色信息; 指定角色信息取得部,取得由所述组合抽出部生成的指定角色信息; 用户抽出部,对所述用户角色信息所表示的各用户的角色与所述指定角色信息所表示 的各指定角色进行比较,针对每个指定角色抽出具备符合的角色的用户,按照指定角色的 组合来对所抽出的用户进行组合,生成成为分割秘密信息的管理者的用户的组合;以及秘密信息分割部,根据由所述用户抽出部生成的成为分割秘密信息的管理者的用户的 组合,生成分割秘密信息。
14.一种秘密信息管理系统,具有访问控制策略信息取得部,取得表示执行者角色与1个以上的许可者角色的多个组合 的访问控制策略信息,其中,该执行者角色是被许可针对限制了访问的秘密信息的访问的角色,该许可者角色是对所述执行者角色许可针对所述秘密信息的访问的角色;执行用户信息取得部,取得执行用户信息,该执行用户信息将执行针对所述秘密信息 的访问的执行用户所具备的1个以上的角色表示为执行用户角色;许可用户信息取得部,取得许可用户信息,该许可用户信息将对所述执行用户许可了 针对所述秘密信息的访问的许可用户所具备的1个以上的角色表示为许可用户角色;以及 组合抽出部,该组合抽出部抽出在所述访问控制策略信息所表示的组合中的如下组 合执行者角色以及各许可者角色与所述执行用户信息所表示的执行用户角色以及所述许 可用户信息所表示的许可用户角色中的某一个一致的组合;该组合抽出部根据抽出的组合 所表示的角色,生成指定角色信息,其中,该指定角色信息将从所述秘密信息分割的2个以 上的分割秘密信息的管理者的角色表示为指定角色;用户角色信息取得部,取得表示多个用户分别具备的角色的用户角色信息; 指定角色信息取得部,取得由所述组合抽出部生成的指定角色信息; 用户抽出部,对所述用户角色信息所表示的各用户的角色与所述指定角色信息所表示 的各指定角色进行比较,针对每个指定角色抽出具备符合的角色的用户,按照指定角色的 组合来对所抽出的用户进行组合,生成成为分割秘密信息的管理者的用户的组合;以及秘密信息分割部,根据由所述用户抽出部生成的成为分割秘密信息的管理者的用户的 组合,生成分割秘密信息。
15.根据权利要求1所述的秘密信息管理装置,其特征在于,所述用户抽出部生成将所生成的用户的组合与各用户具备的角色一起表示的组合抽 出信息,所述秘密信息管理装置还具有角色信息删除部,从所述组合抽出信息中删除各用户的角色的信息; 重复用户信息共用化部,在所述组合抽出信息中存在重复组合了相同用户的组合的情 况下,从该组合中去除用户的重复;重复组合删除部,在所述组合抽出信息中存在仅用户的显示顺序不同而组合了相同用 户的2个以上的组合的情况下,去除所重复的组合;以及无效化组合删除部,在所述组合抽出信息中,某一个用户的组合包含于其他用户的组 合中的情况下,去除包含于其他组合中的组合。
全文摘要
即使在使用利用角色来指定了访问结构的基于角色的访问结构的情况下也安全地实现秘密密钥备份。所有组合生成部107取得作为备份参加用户的一览和该用户进行有效化的有效化角色的一览的备份参加用户一览201、和作为可以复原秘密密钥205的指定角色的组合的基于角色的访问结构202,对指定角色应用备份参加用户一览201中记载的用户,来生成作为有可能复原秘密密钥的用户的所有组合的所有组合抽出结果,同一用户·角色删除部108等从所有组合抽出结果中删除重复示出了同一用户的组合等,一般访问结构秘密分散部114从秘密密钥生成秘密密钥片断,对排除了重复的用户的组合分散秘密密钥片断。
文档编号H04L9/08GK101965709SQ20098010833
公开日2011年2月2日 申请日期2009年3月5日 优先权日2008年3月10日
发明者服部充洋, 松田规, 米田健 申请人:三菱电机株式会社