阅读说明：本技术 用于处理属性信息的装置及方法 (Apparatus and method for processing attribute information ) 是由 堀井基史 于 2020-03-30 设计创作，主要内容包括：用于处理属性信息的装置及方法。信息处理装置在其中多个代理分别管理对应实体的属性信息的通信系统中提供与第一实体相对应的第一代理的功能。信息处理装置包括：处理器；以及存储器,其被配置为存储指示第一实体的属性的属性信息。当信息处理装置从与第二实体相对应的第二代理接收到属性请求时,处理器判定属性信息是否包括与第三实体有关的信息。当属性信息包括与第三实体有关的信息时,处理器基于第三实体的关于与第三实体有关的信息的公开的策略来编辑属性信息。处理器向第二代理发送经编辑的属性信息。(An apparatus and method for processing attribute information. An information processing apparatus provides a function of a first agent corresponding to a first entity in a communication system in which a plurality of agents manage attribute information of corresponding entities, respectively. The information processing apparatus includes: a processor; and a memory configured to store attribute information indicating an attribute of the first entity. When the information processing apparatus receives an attribute request from a second agent corresponding to a second entity, the processor determines whether the attribute information includes information about a third entity. When the attribute information includes information related to the third entity, the processor edits the attribute information based on a policy of the third entity regarding disclosure of the information related to the third entity. The processor sends the edited attribute information to the second agent.)

用于处理属性信息的装置及方法

技术领域

本文讨论的实施方式涉及用于处理属性信息的装置及方法。

背景技术

当使用计算机判断个人的可信度时，参考目标人员的属性信息。属性信息可以包括目标人员的姓名、年龄、居住地址、电话号码、电子邮件地址、职业等。在这种情况下，计算机估计目标人员的可信度并根据估计结果执行动作。例如，当目标人员的可信度被估计为高时，计算机向目标人员公开指定信息。

作为相关技术，已经提出了一种方法，其中当存在来自第一用户的、针对与和第一用户有关系的第二用户(在第一用户和第二用户之间存在一个或更多个人)有关的个人信息的信息公开请求时，参考访问控制规则和用户关系列表来判定是否允许向第一用户***息(例如，日本特开2015-201073号公报)。同时，已知一种根据指定格式来打印和输出个人信息的打印装置(例如，日本特开2008-250916号公报)。

在上述可信度的估计中，属性信息可以包括第三人员的信息。例如，从服务器计算机接收到针对属性信息的请求的目标人员向服务器计算机发送目标人员本人的属性信息。此时，在属性信息包括与第三人员有关的信息的情况下，第三人员可能受到不利影响。此问题不仅限于个人信息，还可能出现在与各种实体(个人、组织、IoT装置以及服务)有关的信息方面。

本发明的目的是提供一种用于在网络上保护属性信息的方法。

发明内容

根据实施方式的一个方面，信息处理装置在其中多个代理分别管理对应实体的属性信息的通信系统中提供与第一实体相对应的第一代理的功能。信息处理装置包括：处理器；以及存储器，其被配置为存储指示第一实体的属性的属性信息。当信息处理装置从与第二实体相对应的第二代理接收到属性请求时，处理器判定属性信息是否包括与第三实体有关的信息。当属性信息包括与第三实体有关的信息时，处理器基于第三实体的关于与第三实体有关的信息的公开的策略来编辑属性信息。处理器向第二代理发送经编辑的属性信息。

附图说明

图1例示了发送属性信息的示例；

图2例示了发送属性信息的另一示例；

图3例示了用于处理属性信息的方法的示例；

图4例示了通信系统的示例；

图5A至图5C例示了属性信息的示例；

图6A至图6C例示了策略信息的示例；

图7例示了请求阶段的示例；

图8和图9例示了询问阶段的示例；

图10例示了响应阶段的示例；

图11和图12例示了询问阶段的另一示例；

图13例示了响应阶段的另一示例；

图14例示了显示阶段的示例；

图15A和图15B例示了在终端装置上显示的图形；

图16例示了用于处理属性信息的方法的序列的示例；

图17例示了用于处理属性信息的方法的序列的另一示例；

图18例示了示出了处理代理的示例的流程图；

图19A和图19B例示了用于限制公开范围的方法的示例；

图20例示了用于检测属性信息的不允许公开的方法的示例；

图21例示了用于进行属性信息公开的方法的示例；以及

图22例示了信息处理装置的硬件配置的示例。

具体实施方式

图1例示了发送属性信息的示例。在该示例中，在通信系统中存在多个代理1(1a至1c)。代理1中的每一个是通过使用处理器执行软件程序来实现的。该软件程序包括用于处理属性信息的程序。因此，代理1中的每一个能够通过执行用于处理属性程序的程序来提供用于处理属性信息的功能。另外，代理1中的每一个配备有用于连接到网络100的功能。

代理1中的每一个被提供给相应的实体。在此，实体对应于个人、组织、IoT装置、服务等。在此示例中，实体分别对应于个人(Alice、Bob、Charlie等)。也就是说，代理1a、1b、1c分别执行针对Alice、Bob、Charlie的信息处理。

代理1管理相应实体的属性信息和策略信息。例如，代理1a可访问的存储器存储Alice的属性信息和策略信息，代理1b可访问的存储器存储Bob的属性信息和策略信息。属性信息对应于指示实体的属性的信息，并且在该示例中，其指示用户的个人信息。因此，属性信息包括例如用户的姓名、年龄、居住地址、电话号码、电子邮件地址、职业、个人关系等。策略信息指示属性信息可以被公开的范围。也就是说，策略信息指定允许向其公开属性信息的各方。另外，在属性信息包括多个属性的情况下，策略信息也可以指定允许被公开的属性。

在此，假设Bob请求与Alice开会。在这种情况下，代理1b根据来自Bob的指示向代理1a发送Bob的属性信息。代理1a根据Bob的属性信息估计Bob的可信度。然后，代理1a根据估计结果执行动作。例如，当估计出Bob的可信度高时，代理1a向代理1b发送指示关于会议的许可的消息。

此外，在与代理1相对应的终端装置的用户是“个人”的情况下，属性信息对应于个人信息。另外，虽然与代理1相对应的终端装置的用户在该示例中是“个人”，但是本发明不限于该配置。也就是说，代理1可以对应于任何实体(个人、组织、IoT装置、服务等)。

图2例示了发送属性信息的另一示例。在该示例中，从代理1b向代理1a发送的Bob的属性信息包括与第三方有关的信息。具体来说，Bob的属性信息包括指示Charlie是Bob的同事的信息。

代理1a根据从代理1b接收到的属性信息来估计Bob的可信度。这时，代理1a考虑了Charlie是Bob的同事来估计Bob的可信度。也就是说，代理1a能够考虑Bob的个人关系来估计Bob的可信度。在此，例如，在Charlie是Alice的可信人员的情况下，可以估计Bob也是可信的。

然而，在这种方法中，未经Charlie的许可，Charlie的个人信息将被公开给Alice。至少要向Alice公开Charlie与Bob属于同一组织的事实。也就是说，在这种方法中，可能无法达到对属性信息或个人信息的保护。

实施方式

图3例示了根据本发明的一个实施方式的用于处理属性信息的方法的示例。该方法提供了用于避免未经许可而公开第三方的个人信息的情形的功能。

当向代理1a发送Bob的属性信息时，代理1b判定属性信息是否包括与第三方有关的信息。“第三方”表示不是发送属性信息的发送终端的用户(即，Bob)也不是属性信息被发送至的目的地终端的用户(即，Alice)的实体。在该示例中，Bob的属性信息包括与Charlie有关的信息。具体来说，Bob的属性信息包括指示Charlie是Bob的同事的信息。在这种情况下，代理1b询问Charlie的代理(即，代理1c)是否可以向Alice公开与Charlie有关的信息。

一旦接收到询问，代理1c就参考Charlie的策略信息并创建响应。在此，在代理1c所管理的策略信息中登记有允许向其公开Charlie的属性信息的实体。然而，在该示例中，假设在策略信息中未登记“Alice”。在这种情况下，代理1c创建指示不向Alice公开Charlie的属性信息的响应。然后，代理1c将该响应发送给代理1b。

代理1b根据从代理1c接收到的响应来编辑Bob的属性信息。具体地，代理1b从Bob的属性信息中删除“与Charlie有关的信息”。然后，代理1b向代理1a发送经编辑的属性信息。在这种情况下，代理1a不可能在Bob的属性信息中识别出Charlie的存在。也就是说，Charlie的个人信息没有被公开给Alice。此外，当从代理1c接收到指示允许向Alice公开Charlie的属性信息的响应时，代理1b可以向代理1a发送Bob的属性信息而无需编辑。

如上所述，在用于处理属性信息的方法中，当代理1b向代理1a发送代理1b的用户的属性信息时，代理1b判定属性信息是否包括与第三方有关的信息。然后，当属性信息包括与第三方有关的信息时，代理1b向第三方询问是否允许向代理1a的用户公开与第三方有关的信息。然后，代理1b根据来自第三方的响应编辑属性信息，并将经编辑的属性信息发送给代理1a。因此，避免了未经第三方许可而公开与第三方有关的信息的情形。也就是说，确保了属性信息或个人信息的保护。

图4例示了根据本发明的一个实施方式的通信系统的示例。在该示例中，通信系统包括多个终端装置10和多个信息处理装置20。终端装置10和信息处理装置20中的每一个连接到网络100。

终端装置10在该示例中由用户使用。另外，尽管未在图中示出，但是终端装置10配备有处理器、存储器、通信电路、显示装置、用户接口等。此外，在终端装置10上实现终端应用。终端应用包括通信单元11和显示控制器12。通信单元11提供通信功能。显示控制器12生成要在显示装置上显示的图像数据。终端应用由处理器执行。

信息处理装置20在该示例中用作服务器装置。另外，尽管在图中未示出，但是信息处理装置20配备有处理器、存储器、通信电路等。此外，代理1可以在信息处理装置20中执行。代理1中的每一个被提供给对应的实体。在该示例中，代理1被提供给对应的终端装置10的用户。

代理1包括通信单元21。通信单元21提供通信功能。另外，代理1管理对应用户的属性信息22和策略信息23。属性信息22表示对应用户的属性。在该示例中，属性信息22表示对应用户的个人信息。因此，属性信息22包括例如用户的姓名、年龄、居住地址、电话号码、电子邮件地址、职业、个人关系等。如上所述，策略信息23表示属性信息22可以被公开的范围。此外，代理1管理访问表24。在访问表24中登记有用于标识对应节点的信息。

在如上所述配置的通信系统中，终端装置10根据来自用户的指示进行操作。此时，终端装置10根据需要访问相应的代理。例如，当从Alice接收到与属性信息的处理有关的指示时，终端装置10可以请求与Alice相对应的代理(这里，代理1a)进行处理。以类似的方式，当从Bob接收到与属性信息的处理有关的指示时，终端装置10可以请求与Bob相对应的代理(这里，代理1b)进行处理。

此外，尽管在图4所示的示例中将代理1实现在信息处理装置20中，但是代理1也可以实现在终端装置10中。另外，可以在一个信息处理装置20中实现两个或更多个代理。

图5A至图5C例示了每个实体的属性信息的示例。图5A表示由代理1a管理的Alice的属性信息。图5B表示由代理1b管理的Bob的属性信息。图5C表示由代理1c管理的Charlie的属性信息。属性信息的内容例如由每个实体(即，Alice、Bob、Charlie)来登记。

图6A至图6C例示了每个实体的策略信息的示例。图6A表示由代理1a管理的Alice的策略信息。图6B表示由代理1b管理的Bob的策略信息。图6C表示由代理1c管理的Charlie的策略信息。策略信息的内容例如也由每个实体(即，Alice、Bob、Charlie)来登记。

策略信息指示属性信息的公开范围(即，公开策略)。例如，图6A中呈现的Alice的策略信息的第一记录指示允许向“Bob”公开Alice的“姓名、隶属关系、电话号码、居住地址”。第二记录指示允许向“除Bob以外的用户”公开Alice的“姓名、电话号码、居住地址”。换句话说，第二记录指示不允许向“除Bob以外的用户”公开Alice的隶属关系。此外，“*”代表所有用户的集合，“-”代表用于获得集合的差的操作。此外，稍后将说明“容许跳数”。

图6C中呈现的Charlie的策略信息的第一记录指示不允许向“Alice”公开Charlie的个人信息。第二记录指示允许向“Eric”公开Charlie的“姓名、电话号码、朋友”。

接下来，详细说明图3所示的处理属性信息的方法的过程。在该示例中，用于处理属性信息的方法包括请求阶段、询问阶段、响应阶段和显示阶段。在下面的描述中，假设图3中呈现的Alice向Bob请求属性信息。此外，Alice或与Alice相对应的代理1a可以被称为“请求方”。另外，Bob或与Bob相对应的代理1b可以被称为“目标方”。此外，Bob的属性信息包括与Charlie有关的信息，因此，Charlie或与Charlie相对应的代理1c可以被称为“有关方”。

图7例示了用于处理属性信息的方法的请求阶段的示例。在请求阶段，Alice将图形请求输入到Alice的终端装置10中。图形请求包括用于获得目标人员(即，Bob)的属性信息并将其显示在终端装置10的显示装置上的指示。然后，终端装置10将图形请求转发给与Alice相对应的代理1a。

响应于图形请求，代理1a向与Bob相对应的代理1b发送属性请求。请求方(即，Alice)的属性信息和共享策略信息被附加到属性请求。Alice的属性信息和共享策略信息由代理1a管理。如图5A至图5C或图7所呈现的，Alice的属性信息包括指示Alice的姓名和Alice所属的组织的信息。另外，共享策略信息指示Alice的属性信息中的每个属性的公开范围。在该示例中，共享策略信息指示不允许向除Bob以外的实体公开Alice的属性信息中的“隶属关系”。

图8和图9例示了用于处理属性信息的方法的询问阶段的示例。当代理1b从代理1a接收到图7所呈现的属性请求时，询问阶段开始。

代理1b根据Bob的策略判定是否接受来自Alice的请求。在此，表示Bob的策略的策略信息由代理1b管理。然后，如图6A至图6C所示，Bob的策略信息指示允许向Alice公开Bob的属性信息。因此，代理1b判定接受来自Alice的请求。

接下来，代理1b判定Bob的属性信息是否包括与第三方有关的信息。在该示例中，如图5A至图5C或图8所示，Bob的属性信息包括与Charlie有关的信息和与Dave有关的信息。在这种情况下，代理1b向每个有关方进行关于是否允许向Alice公开该信息的询问。这里，描述向Charlie进行的询问。

代理1b参考访问表并获得用于访问Charlie的端点信息。结果，识别出与Charlie相对应的代理(即，代理1c)。然后，代理1b向代理1c发送询问消息。

询问消息询问是否允许向Alice公开与Charlie有关的信息。因此，询问消息包括Alice的属性信息以便告诉Charlie Alice是什么样的人。然而，代理1b根据Alice的共享策略来编辑Alice的属性信息。在此示例中，Alice的共享策略是“关于Alice的隶属关系，不允许公开给除Bob以外的实体”。因此，代理1b从Alice的属性信息中删除“隶属关系：公司A”。

另外，在Bob的属性信息中，Bob与Charlie之间的关系是“同事”。因此，询问消息询问是否允许向“Alice”公开“Charlie是Bob的同事”。

一旦从代理1b接收到询问消息，代理1c参考Charlie的策略信息并创建响应。在此，在代理1c所管理的Charlie的策略信息中登记有允许向其公开Charlie的属性信息的实体。然而，在此示例中，“Alice”未登记在策略信息中。在这种情况下，代理1c创建指示不向Alice公开Charlie的属性信息的响应。然后，代理1c向代理1b发送该响应。

图10例示了用于处理属性信息的方法的响应阶段的示例。当代理1b从代理1c接收到图9所示的响应时，响应阶段开始。

代理1b根据从每个有关方接收到的响应来编辑Bob的属性信息。在该示例中，从代理1c发送的响应指示将不向Alice公开Charlie的属性信息。在这种情况下，代理1b从Bob的属性信息中删除与Charlie有关的信息。具体地，从Bob的属性信息中删除“同事：Charlie”。然后，代理1b将经编辑的属性信息发送给代理1a。此时，代理1a无法在Bob的属性信息中识别出Charlie的存在。也就是说，Charlie的个人信息没有被公开给Alice。

针对每个有关方执行上述询问阶段和响应阶段。例如，代理1b如图11所示地向进行Dave询问。这时，如图12所示，在由与Dave相对应的代理1d管理的Dave的策略信息中，“Alice”被登记为允许向其公开Dave的属性信息的实体。因此，代理1d创建指示允许向Alice公开Dave的属性信息的响应，并将该响应发送给代理1b。

然后，代理1b根据Dave的策略来编辑Bob的属性信息。例如，在Bob的属性信息中，Dave是Bob的朋友。这里，Dave许可来自Bob的询问。在这种情况下，代理1b不从Bob的属性信息中删除与Dave有关的信息。然后，如图13所示，从代理1b向代理1a发送的Bob的属性信息包括与Dave有关的信息(即，“朋友：Dave”)。

图14例示了用于处理属性信息的方法的显示阶段的示例。当代理1a接收到来自代理1b的响应时，显示阶段开始。

代理1a根据从代理1b接收到的响应来创建目标方的图形。也就是说，代理1a根据Bob的属性信息创建表示Bob的属性的图形。这里，代理1a接收到的Bob的属性信息已经根据有关方的策略进行了编辑。具体地，在Bob的属性信息中，已经删除了与Charlie有关的信息。因此，在由代理1a创建的图形中，Charlie不存在。然后，代理1a将所创建的图形发送给Alice使用的终端装置10。终端装置10在显示装置上显示从代理1a接收到的图形。

图15A和图15B例示了在由Alice使用的终端装置上显示的图形的示例。该图形是根据目标方(即，Bob)的属性信息创建的。

该图形包括节点和边。节点分别代表实体。具体地，各个节点代表目标方和目标方的有关方。此外，边表示节点之间存在关系的状态。具体地，属性信息中的属性值表示指示另一实体的标识符的状态。例如，在图5B所示的示例中，与“朋友”相对应的属性值是“Dave”。因此，在代表Bob的节点和代表Dave的节点之间提供边。另外，各边被赋予了代表对应属性名称(朋友、家人、业务搭档等)的标签。

各个节点的尺寸可以是统一的，但是在该示例中，根据可信度得分来判定尺寸。可信度得分根据属性名称为“可信”的属性值的数量而增加或减少。例如，在作为检查所有代理所拥有的属性信息的结果，属性名称为“可信”的属性值的数量为i并且其中属性值“Bob”的数量为j的情况下，Bob的可信度得分为“j/i”。然而，这是示例，并且可以以任何其它方法来计算可信度得分。

注意，图15A例示了在图3或者图7至图14中所呈现的过程中创建的图形的显示示例。在图3或图7至图14中所示的示例中，在Charlie的策略信息中，Alice未被登记为Charlie的个人信息的允许公开方。也就是说，Charlie不希望向Alice公开自己的个人信息。结果，从代理1b未向代理1a公开Charlie的个人信息，并且与Charlie有关的信息没有显示在Alice的终端装置10上。

此外，图15B例示了在图2所示的过程中创建的图形的显示示例。在图2所示的示例中，代理1b在没有获得Charlie的许可的情况下向代理1a发送包括与Charlie有关的信息的Bob的属性信息。结果，与Charlie有关的信息被显示在Alice的终端装置10上。

图16例示了用于处理属性信息的方法的序列的示例。该序列对应于图7至图10所示的示例。

终端装置10向代理1a发送图形请求。响应于图形请求，代理1a向代理1b发送属性请求。属性请求包括Alice的属性信息和共享策略信息。

代理1b根据Bob的策略判定是否接受所接收的属性请求。当接受所接收的属性请求时，代理1b判定Bob的属性信息是否包括与第三方有关的信息。这里，Bob的属性信息包括与Charlie有关的信息。在这种情况下，代理1b使用访问表24获得Charlie的询问目的地。这里，与Charlie对应的代理1c被识别为Charlie的询问目的地。同时，代理1b根据Alice的策略来编辑Alice的属性信息。然后，代理1b向代理1c进行询问。询问消息包括经编辑的Alice的属性信息。

代理1c根据Charlie的策略来判定是否允许将Charlie的个人信息公开给Alice。然后，代理1c以判定结果响应代理1b。在此示例中，假设允许将Charlie的个人信息公开给Alice。

代理1b根据从代理1c接收到的响应来编辑Bob的属性信息。也就是说，创建对Alice的响应。然后，代理1b将经编辑的Bob的属性信息发送给代理1a。此时，由于允许将Charlie的个人信息公开给Alice，因此经编辑的Bob的属性信息包括与Charlie有关的信息。

一旦识别出Bob的属性信息包括与Charlie有关的信息，代理1a获得Charlie的询问目的地。在此，与Charlie相对应的代理1c被识别为Charlie的询问目的地。然后，代理1a向代理1c发送属性请求。然后，在执行策略检查之后，代理1c向代理1a发送Charlie的属性信息。

代理1a使用收集的属性信息来创建图形。在该示例中，根据从代理1b接收到的Bob的属性信息和从代理1c接收到的Charlie的属性信息来创建图形。然后，代理1a将所创建的图形发送给终端装置10。结果，表示Bob的个人关系的图形被显示在终端装置10的显示装置上。

图17例示了用于处理属性信息的方法的序列的另一示例。在图16所示的序列中，与有关方(即，Charlie)相对应的代理1c向代理1b发送表示是否允许公开的响应。此外，在图17所示的序列中，在允许向Alice公开Charlie的属性信息的情况下，代理1c向代理1b发送Charlie的属性信息。此时，根据需要，除了Charlie的属性信息之外，代理1c还可以向代理1b发送代表Charlie的策略的策略信息。

然后，代理1b创建包括Bob的属性信息和Charlie的属性信息的响应。此时，代理1b可以根据需要编辑Bob的属性信息和/或Charlie的属性信息。例如，当Charlie的策略信息拒绝公开Charlie的属性信息中所包括的多个属性中的一部分属性时，代理1b从Charlie的属性信息中删除拒绝的属性。然后，代理1b向代理1a发送响应。

代理1a根据来自代理1b的响应来创建图形。此外，与图16所示的序列不同，代理1a从代理1b获得Charlie的属性信息。因此，代理1a不需要向代理1c发送属性请求以获得Charlie的属性信息。

图18是例示了代理的处理示例的流程图。此外，该流程图中的处理由从另一代理接收到属性请求的代理执行。在上述示例中，流程图中的处理由与目标方(即，Bob)相对应的代理1b执行。

在S1中，代理从与请求方相对应的代理接收属性请求。属性请求包括请求方的属性信息和共享策略信息。在S2中，代理根据目标方的策略来判定是否接受所接收的属性请求。例如，当请求方登记在目标方的策略信息中时，代理接受所接收的属性请求。

在S3中，代理判定目标方的属性信息是否包括与第三方有关的信息。在下面的描述中，第三方可以被称为“有关方”。当目标方的属性信息包括与有关方有关的信息时，代理在S4中根据请求方的共享策略来编辑请求方的属性信息。在S5中，代理通过参考访问表来识别有关方的询问目的地。在该示例中，有关方的询问目的地对应于与有关方相对应的代理的地址。

在S6中，代理询问有关方是否允许向请求方公开有关方的个人信息。此时，代理向有关方发送在S4中编辑的请求方的属性信息。此后，代理等待来自有关方的响应。

在S7中，代理从有关方接收响应。例如，该响应表示有关方的策略。也就是说，响应指示是否允许向请求方公开有关方的个人信息。在S8中，代理根据有关方的策略编辑目标方的属性信息。例如，当有关方不允许向请求者公开有关方的个人信息时，代理从目标方的属性信息中删除与有关方有关的信息。

在S9中，代理对请求方进行响应。此时，目标方的属性信息被发送给请求方。在此，当已经执行了S4至S8时，根据有关方的策略所编辑的目标方的属性信息被发送到请求方。此外，当不接受所接收的属性请求(S2：否)时，代理可以发送表示将不提供属性信息的消息。

变形例1

图19A和图19B例示了用于限制本公开范围的方法的示例。在该示例中，每个实体的属性信息的公开范围由跳数表示。也就是说，与每个实体相对应的代理保持容许跳数作为策略信息，容许跳数表示对应实体的属性信息允许被转发的跳的次数。

跳数表示实体之间的跳的次数。例如，在图19A和图19B所示的示例中，Charlie是Bob的同事。也就是说，Charlie与Bob直接有关。因此，Charlie和Bob之间的跳数为1。此外，Eric是Charlie的朋友。因此，Eric与Charlie直接有关。因此，Charlie和Eric之间的跳数为1。然而，Eric与Bob不直接有关。也就是说，Eric通过Charlie与Bob有关。因此，Bob和Eric之间的跳数为2。此外，在以下描述中，假设Alice、Bob、Charlie、Dave、Eric分别代表与Alice相对应的代理、与Bob相对应的代理、与Charlie相对应的代理、与Dave相对应的代理和与Eric相对应的代理。

在变形例1中，当分发实体的属性信息时，“容许跳数”和“当前跳数”与属性信息一起被发送。如上所述，容许跳数定义了每个实体的属性信息的公开范围，并且表示相应实体的属性信息允许被转发的跳的次数。当前跳数表示属性信息已经被转发了多少次。也就是说，在转发属性信息的路由上，每个代理将当前跳数增加1。然后，当每个代理从另一代理接收到属性信息时，每个代理通过比较容许跳数和当前跳数来判定是否可以转发属性信息。

在图19A所示的示例中，Alice向Bob发送属性请求。属性请求包括Alice的属性信息和策略信息。在此，在Alice的策略信息中，定义了“容许跳数＝1”。在这种情况下，Alice的属性信息的转发被限制在距属性请求的接收节点(即，Bob)一跳的范围内。

一旦从Alice接收到属性请求，Bob将指示Alice的属性信息的跳数的“当前跳数”初始化为零。此时，“当前跳数：0”小于“容许跳数：1”。在这种情况下，Bob判定可以转发Alice的属性信息。然后，在询问阶段，Bob向Charlie和Dave发送Alice的属性信息。此时，“当前跳数：0”和“容许跳数：1”也与Alice的属性信息一起被发送。此外，可以向目的地代理发送属性信息、当前跳数和容许跳数，或者可以向从目的地代理可参考的服务器发送属性信息、当前跳数和容许跳数。

在询问阶段，Charlie从Bob那里接收Alice的属性信息。然后，Charlie将“当前跳数”从0递增到1。然后，Charlie比较“当前跳数”和“容许跳数”。此时，“当前跳数：1”等于“容许跳数：1”。在这种情况下，Charlie判定不允许转发Alice的属性信息。也就是说，Alice的属性信息不会被转发给Eric。

在图19B所示的示例中，Dave接受来自Bob的询问。在该示例中，响应于来自Bob的询问，Dave向Bob发送Dave的属性信息和策略信息。然而，在Dave的策略信息中定义了“容许跳数＝0”。在这种情况下，不允许转发Dave的属性信息。

也就是说，一旦从Dave接收到属性信息，Bob将表示Dave的属性信息的跳数的“当前跳数”初始化为零。然后，Bob比较“当前跳数”和“容许跳数”。此时，“当前跳数：0”等于“容许跳数：0”。在这种情况下，Bob判定不允许转发Dave的属性信息。因此，Dave的属性信息不会被转发给Alice。

如上所述，在变形例1中，每个实体的属性信息的转发范围被定义为容许跳数。因此，每个实体能够判定其自身属性信息被分发的范围。

变形例2

当从另一实体所接收的属性信息包括与第三方有关的信息(以下称为“有关信息”)时，每个实体可能想要判定第三方是否允许公开有关信息。例如，在图2中，Alice获得Bob的属性信息。属性信息包括指示“Charlie是Bob的同事”的信息。然而，仅凭此信息，Alice无法确定Charlie是否真的是Bob的同事。因此，在变形例2中，提供了用于确定第三方是否已经允许公开与第三方有关的信息的功能。也就是说，变形例2提供了用于检测属性信息的未允许公开(unpermitted disclosure)的功能。

图20例示了用于检测属性信息的未允许公开的方法的示例。在该示例中，对应于Bob的代理1b从对应于Alice的代理1a接收属性信息。这里，Bob的属性信息包括与Charlie有关的信息，因此，代理1b向与Charlie相对应的代理1c进行询问。

代理1c根据Charlie的策略判定是否允许向Alice公开Charlie的属性信息。在此，假设允许向Alice公开Charlie的属性信息。在这种情况下，代理1c向代理1b或从代理1b可参考的服务器发送Charlie的“签名”。签名表明Charlie(或Charlie的代理)已确认来自代理1b的询问。然后，当对来自Alice的属性请求进行响应时，代理1b将Bob的属性信息连同Charlie的签名一起发送给代理1a或从代理1a可参考的服务器。

代理1a接收Charlie的签名以及Bob的属性信息。因此，Alice能够凭借Charlie的许可判定从Bob接收到的与Charlie有关的信息已经被公开。在图20所示的示例中，Alice能够判定Charlie真的是Bob的同事。因此，根据变形例2，所公开的属性信息的可信度提高。

此外，在图20所示的示例中，对于代理1c，优选地是使用基于与Alice有关的信息的密码来创建Charlie的签名。例如，当Alice的属性信息要经由代理1b被转发给代理1c时，代理1c可以通过使用Alice的属性信息或其一部分的加密过程来创建Charlie的签名。

变形例3

当获得指定实体的属性信息时，代理向指定代理进行询问。然而，当存在大量实体时，代理可能接收到许多询问。在这种情况下，代理的响应可能变慢。因此，变形例3提供了用于缓解该问题的功能。

图21例示了用于使属性信息公开的方法的示例。在该示例中，公开了Alice的属性信息。

与Alice相对应的代理1a预先向其它代理发送Alice的属性信息中所包括的多个属性中的一部分属性。在图21所示的示例中，向代理1b、1c发送了Alice的姓名和电子邮件地址。然后，代理1b、1c各自将接收到的信息存储在对应的公共属性数据库中。

之后，代理1b、1c仅通过访问对应的公共属性数据库而无需向代理1a进行询问，就能够获得Alice的属性信息中的一部分。此外，当代理1b、1c想要检查公共属性数据库中所存储的信息是否正确时，它们可以向代理1a进行询问。在这种情况下，代理1b、1c能够通过将公共属性数据库中所存储的信息与通过询问所获得的信息进行比较，来检查公共属性数据库中所存储的信息是否正确。

变形例4

在变形例3中，属性信息被公开。相反，在变形例4中，策略信息被公开。例如，假设Charlie的策略信息已经预先被分发给每个代理。在这种情况下，当代理1b从代理1a接收到图7所呈现的属性请求时，代理1b能够判定是否可以向Alice公开与Charlie有关的信息而无需向代理1c进行询问。也就是说，代理1b能够在无需向代理1c进行询问的情况下根据Charlie的策略编辑Bob的属性信息。

硬件配置

图22例示了信息处理装置20的硬件配置的示例。信息处理装置20配备有处理器31、存储器32、储存装置33、记录介质装置34和通信IF 35。此外，信息处理装置20还可以配备有图22中未示出的其它元件或功能。

处理器31通过执行用于处理存储装置33中存储的属性信息的程序来提供代理1的功能。例如，用于处理属性信息的程序描述了图18所示的流程图中的处理。因此，通过执行用于处理属性信息的程序的处理器31来实现代理1。存储器32用作处理器31的工作区域。此外，与在信息处理装置20上操作的代理相对应的实体的属性信息22和策略信息23以及访问表24存储在储存装置33或存储器32中。

记录介质装置34能够读出可移动记录介质36中所记录的信息或数据。此外，用于处理属性信息的程序也可以从可移动记录介质36给予信息处理装置20。通信IF 35提供用于连接到网络100的接口。此外，可以从连接到网络100的程序服务器向信息处理装置20给予用于处理属性信息的程序。