JP6082589B2 - 暗号鍵管理プログラム、データ管理システム - Google Patents

暗号鍵管理プログラム、データ管理システム Download PDF

Info

Publication number
JP6082589B2
JP6082589B2 JP2012280469A JP2012280469A JP6082589B2 JP 6082589 B2 JP6082589 B2 JP 6082589B2 JP 2012280469 A JP2012280469 A JP 2012280469A JP 2012280469 A JP2012280469 A JP 2012280469A JP 6082589 B2 JP6082589 B2 JP 6082589B2
Authority
JP
Japan
Prior art keywords
key
encryption
encrypted
user
shared key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012280469A
Other languages
English (en)
Other versions
JP2014127721A (ja
Inventor
誠 青柳
誠 青柳
稔 藤本
稔 藤本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2012280469A priority Critical patent/JP6082589B2/ja
Priority to US13/944,946 priority patent/US9088557B2/en
Publication of JP2014127721A publication Critical patent/JP2014127721A/ja
Application granted granted Critical
Publication of JP6082589B2 publication Critical patent/JP6082589B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Description

本発明は、クラウドストレージを用いてデータファイルを管理する技術に関する。
近年、コンシューマ向けに提供されていたパブリッククラウドストレージサービスを業務利用することの検討が始まっている。パブリッククラウドストレージサービスが提供するファイル共有機能は、クラウドストレージを利用するメリットの1つとなっている。しかしながら、パブリッククラウドストレージを業務利用する際にセキュリティ面の不安を抱くユーザが多く、現状は個人での利用用途に留まっている。そのためセキュリティ対策の1つとして、クラウドストレージに格納するファイルを暗号化して運用する方式が考えられている。これに関連して、クラウドストレージに格納するファイルを暗号化することに対応したソフトウェア製品が販売されているが、パブリッククラウドストレージサービスのファイル共有機能と暗号化を両立させている製品は少ない。
下記特許文献1には、クラウドストレージを利用せずに暗号化したファイルを複数人で共有する場合において、暗号化されたファイルをリムーバブルメディアに保存し、あらかじめ許可したユーザグループが使用するコンピュータ上のみでファイルを復号することができるシステムが記載されている。
特開2007−11511号公報
上記特許文献1に記載されているような、リムーバブルメディアによるファイル交換においては、情報を自グループ外に持ち運ぶ場合、暗号化ファイルを格納したリムーバブルメディアを持ち運ぶ必要がある。そのため、紛失や故障等が発生するとデータそのものが復元できなくなる。また、暗号化されたファイルを複数人間で同時に共有する場合、人数分のリムーバブルメディアを用意して配布し、暗号化パスワード等、復号のための情報を事前に通知しておく必要がある。そのため、即時性、利便性、安全性などの観点で課題がある。さらには、暗号化されたファイルとパスワード等の復号のための情報の2つが入手できればそのファイルを復号することができるため、セキュリティ面で課題がある。
次に、リムーバブルメディアによるファイル共有の代替手段としてクラウドストレージを使用することを考える。パブリッククラウドストレージサービスが提供するファイル共有機能を利用すると、自グループ内外の人間との間でファイルを共有することができる。しかし、クラウドストレージを運営するサービス事業者の運営ミスによる情報漏えい、あるいはクラウドストレージに対するハッキング等によるリスクなどが考えられるため、さらなるセキュリティ対策が必要となっている。
クラウドストレージに対するセキュリティ対策としては、クラウドストレージ上に格納されたファイルを暗号化することが考えられる。しかし、パスワードによるファイルの暗号化は、ファイル共有するために複数人にパスワードを公開する必要があり、安全面に課題がある。また、クラウドストレージ全体を暗号化する手法も考えられるが、共有ファイルを提供する者がアクセス権設定を誤ると容易に情報漏えいにつながる可能性がある。
本発明は、上記のような課題に鑑みてなされたものであり、クラウドストレージの利便性を大きく損なうことなく、クラウドストレージが提供するファイル共有機能のセキュリティを確保することを目的とする。
本発明に係る暗号鍵管理プログラムは、ユーザグループ内で共有するグループ共有鍵をさらにユーザの認証情報で暗号化して暗号化グループ共有鍵として保存しておき、ユーザからリクエストがあるとそのユーザに対応する暗号化グループ共有鍵を返信する。
本発明に係る暗号鍵管理プログラムによれば、クラウドストレージの利便性を大きく損なうことなく、安全性を高めることができる。
データ管理システム1000の構成図である。 管理サーバ100の詳細を示す機能ブロック図である。 管理サーバ100によるユーザ認証処理を説明する図である。 クライアント端末200がデータファイル212を暗号化してクラウドストレージ300に格納する処理を説明する図である。 クライアント端末200がデータファイル212をクラウドストレージ300から取得して復号化する処理を説明する図である。 クライアント端末200のOS上におけるファイルシステムの構成図である。 クライアント端末200が暗号化フォルダ230内に格納された新たなデータファイルをクラウドストレージ300に送信する処理を説明するフローチャートである。 クライアント端末200がクラウドストレージ300から暗号化データファイルをダウンロードする処理を説明するフローチャートである。
図1は、本発明に係るデータ管理システム1000の構成図である。データ管理システム1000は、管理サーバ100、クライアント端末200、クラウドストレージ300を有し、これらは例えばインターネットなどのネットワーク400を介して接続されている。
管理サーバ100は、クライアント端末200を利用するユーザのユーザIDと各ユーザが所属するグループを管理する認証サーバとして動作する。また、後述の図2で説明するように、クライアント端末200がデータファイルを暗号化する際に使用する暗号鍵を管理する。
クライアント端末200は、管理サーバ100から取得した暗号鍵を用いてデータファイルを暗号化し、暗号化後のデータファイルをクラウドストレージ300に格納する。また、管理サーバ100から取得した暗号鍵を用いて、クラウドストレージ300から取得した暗号化データファイルを復号化する。クライアント端末200が管理サーバ100から暗号鍵を取得する際には、管理サーバ100による認証を受ける必要がある。説明の簡易のため、クラウドストレージ300にアクセスする際には必ずしも認証は必要でないものとするが、認証処理を設けてもよい。クライアント端末200は、例えばパーソナルコンピュータ210やモバイル端末220などのコンピュータである。以下では総称してクライアント端末200とする。
クラウドストレージ300は、クライアント端末200が暗号化したデータファイルを格納する。クラウドストレージ300は、ネットワーク400に接続された記憶装置によって構成されており、ネットワーク400を介してデータを読み書きすることができる。クラウドストレージ300を提供している事業者は、管理サーバ100(およびその構成要素)やクライアント端末200が所属する事業者とは必ずしも同じではない。
図2は、管理サーバ100の詳細を示す機能ブロック図である。管理サーバ100は、クライアント端末200がデータファイルを暗号化する際に使用する暗号鍵を、ユーザ毎の認証を用いて暗号化した上で管理し、クライアント端末200からのリクエストに応じてその暗号鍵を暗号化したままで送信する。
管理サーバ100は、プライベート鍵暗号化部110、グループ共有鍵暗号化部120、システム共有鍵暗号化部130、PW鍵暗号化部140、暗号鍵送信部150、データベース160を備える。暗号鍵送信部150はさらに、認証部151と送信部152を備える。データベース160以外の機能部については、後述の図3以降で改めて説明する。
データベース160は、クライアント端末200がデータファイルを暗号化する際に使用する暗号鍵を管理するデータベースである。この暗号鍵は3種類存在する。プライベート鍵1612は、クライアント端末200を使用する各ユーザ固有の暗号鍵である。グループ共有鍵1614は、クライアント端末200を使用するユーザが所属するユーザグループ内で共有する暗号鍵である。システム共有鍵1616は、データ管理システム1000内で共有する暗号鍵である。
データベース160は、ユーザ毎の認証情報を用いて上記3種類の鍵を暗号化し、ユーザ毎に設けたユーザテーブル161内の各レコードとして格納する。ここでは説明を簡易化するため、管理サーバ100はパスワードによって各ユーザを認証するものと仮定し、そのパスワードを暗号鍵(以下ではPW鍵1618と呼ぶ)として上記3種類の暗号鍵を暗号化するものとする。レコード1611、1613、1615は、それぞれプライベート鍵1612、グループ共有鍵1614、システム共有鍵1616をPW鍵1618によって暗号化したデータである。
ユーザテーブル161はさらに、ユーザ毎のPW鍵1618を、システム管理者のみが管理する管理鍵162によって暗号化し、レコード1617として格納する。管理鍵162は、ユーザテーブル161とは別の記憶領域に保持する。例えばセッション管理領域に格納することができる。PW鍵1618を複製して管理することにより、ユーザがパスワードを忘れた場合であっても、管理者が管理鍵162を用いてPW鍵1618を復号した上で、これを用いてプライベート鍵1612、グループ共有鍵1614、システム共有鍵1616をそれぞれ復号し、新たなパスワードを発行してそのパスワードにより各暗号鍵を再暗号化することができる。すなわち、図2に示すように暗号鍵を2重に暗号化している場合であっても、認証情報を再発行することができる。
データベース160は、ハードディスク装置などの記憶装置を用いて構成することができる。その他の機能部は、これらの機能を実現する回路デバイスなどのハードウェアを用いて構成することもできるし、これらの機能を実装したプログラムをCPU(Central Processing Unit)などの演算装置が実行することによって実現することもできる。プログラムによって実現する場合、これら機能部は「暗号鍵管理プログラム」に相当し、コンピュータ読取可能な記憶媒体(例えば、メモリ、ハードディスク、SSD(Solid State Drive)等の記録装置、ICカード、SDカード、DVD等の記録媒体)に格納することができる。管理サーバ100は、「暗号鍵管理装置」に相当する。
図3は、管理サーバ100によるユーザ認証処理を説明する図である。図3(a)は新たなユーザを登録する処理、図3(b)は登録後のユーザを認証する処理を説明する。以下ではuser_Aに関する処理を例として各処理を説明する。
クライアント端末200のユーザであるuser_Aは、管理サーバ100にアクセスし、user_Aを新規ユーザとして登録するよう依頼する。このとき、user_Aが所属すべきユーザグループであるGroup_Aを併せて指定してもよいし、所属グループについては管理サーバ100に委譲してもよい。さらに、user_Aを認証するために用いるパスワードを併せて指定してもよい。以下では管理サーバ100がパスワードを自動的に発行するものと仮定する。
認証部151は、クライアント端末200から新規ユーザであるuser_Aを登録するよう要求するリクエストを受け取ると、user_Aに対応するパスワードuser_A_PWを発行し、その対応関係を保持する。以後user_Aは、パスワードuser_A_PWを用いて管理サーバ100にログインすることができる。新規ユーザを登録する処理は自動化してもよいし、管理者が介在してそのユーザを新規登録してもよいか否かを判断した後に登録するようにしてもよい。
認証部151は、user_A固有のプライベート鍵1612を例えば乱数によって生成する。Group_Aが新規グループである場合は、同様にGroup_A固有のグループ共有鍵1614を例えば乱数によって生成する。システム共有鍵1616と管理鍵162はあらかじめ適当な手法によって生成しておく。
プライベート鍵暗号化部110は、パスワードuser_A_PWまたはこれから一意に導出した値をPW鍵1618としてプライベート鍵1612を暗号化し、レコード1611としてユーザテーブル161に格納する。user_Aとレコード1611の対応関係は、例えばuser_AのユーザIDをレコード1611と対応付けることによって定義してもよいし、ユーザ毎にユーザテーブル161を作成することによって定義してもよい。
グループ共有鍵暗号化部120、システム共有鍵暗号化部130も同様に、PW鍵1618を用いてそれぞれグループ共有鍵1614とシステム共有鍵1616を暗号化し、それぞれレコード1613、1615として格納する。PW鍵暗号化部140は、PW鍵1618を複製して管理鍵162によって暗号化し、レコード1617として格納する。
クライアント端末200のユーザがデータファイルを暗号化または復号化するときは、まず管理サーバ100にログインして各暗号鍵を取得する必要がある。ユーザはクライアント端末200を介して管理サーバ100にユーザIDuser_Aとパスワードuser_A_PWを送信する。認証部151はそのユーザIDとパスワードを用いて認証処理を実施する。認証許可する場合は、送信部152がそのユーザに対応するプライベート鍵1612、グループ共有鍵1614、システム共有鍵1616をデータベース160から読み出し、クライアント端末200に送信する。ただしこれら3つの鍵は、PW鍵1618によって暗号化されたままである。
図4は、クライアント端末200がデータファイル212を暗号化してクラウドストレージ300に格納(アップロード)する処理を説明する図である。ここではuser_Aのみがデータファイル212を使用する場合を想定する。
ユーザはデータファイル212をクラウドストレージ300に格納する前に、あらかじめ図3で説明したように管理サーバ100にログインして各暗号鍵を取得しておく。クライアント端末200は、パスワードuser_A_PWを用いて管理サーバ100から取得した各レコードを復号し、3つの暗号鍵を取得する。データファイル212はuser_A専用であるため、ユーザはデータファイル212を暗号化するための暗号鍵としてプライベート鍵1612を選択する。クライアント端末200はプライベート鍵1612を用いてデータファイル212を暗号化し、暗号化データファイル211を作成する。クライアント端末200は、暗号化データファイル211をクラウドストレージ300に格納(送信)する。
同様に、Group_Aに属するユーザ間でデータファイル212を共有する場合は、ユーザはデータファイル212を暗号化するための暗号鍵としてグループ共有鍵1614を選択する。Group_Aに属さないユーザとの間でデータファイル212を共有する場合は、ユーザはデータファイル212を暗号化するための暗号鍵としてシステム共有鍵1616を選択する。クライアント端末200は選択された暗号鍵を用いてデータファイル212を暗号化し、クラウドストレージ300に格納する。
クライアント端末200は、データファイル212を暗号化する際に、上記3種類の暗号鍵のうちいずれの種類のものを用いたかを示す情報を、暗号化データファイル211内に埋め込む。ただし暗号鍵の種類が分かれば足りるため、個々の暗号鍵そのものを個別に特定する情報を埋め込む必要はない。
図5は、クライアント端末200がデータファイル212をクラウドストレージ300から取得(ダウンロード)して復号化する処理を説明する図である。ここでは図4と同様に、user_Aのみがデータファイル212を使用する場合を想定する。
ユーザはデータファイル212をクラウドストレージ300から取得する前に、図4と同様にあらかじめ各暗号鍵を管理サーバ100から取得する。クライアント端末200は各暗号鍵を復号する。
ユーザはクライアント端末200を介してクラウドストレージ300にアクセスし、暗号化データファイル211を取得する。暗号化データファイル211内には、同ファイルが各ユーザ固有の暗号鍵を用いて暗号化されている旨を示す情報が埋め込まれている。したがってクライアント端末200は、user_Aのプライベート鍵1612を用いて暗号化データファイル211を復号するよう試みる。暗号化データファイル211がuser_Aのプライベート鍵1612によって暗号化されている場合は、データファイル212を復号化することができる。
同様に、データファイル212がGroup_Aに属するユーザ間で共有するファイルである場合は、クライアント端末200はグループ共有鍵1614を用いてデータファイル212を復号化し、データファイル212がGroup_Aに属さないユーザとの間で共有するファイルである場合は、クライアント端末200はシステム共有鍵1616を用いてデータファイル212を復号化する。
user_Aがクラウドストレージ300に格納した暗号化データファイル211を別のユーザ(例えばuser_B)が取得する場合もあり得る。この場合クライアント端末200は、user_Bに対応するプライベート鍵1612、グループ共有鍵1614、システム共有鍵1616を取得しているので、これらを用いて暗号化データファイル211を復号することを試みる。このときの処理パターンについて以下に説明する。
(処理パターン1)データファイル212がuser_A固有のプライベート鍵1612によって暗号化されている場合は、クライアント端末200はデータファイル212を復号することができない。
(処理パターン2)user_Aとuser_Bが同じグループ(例えばGroup_A)に所属し、かつデータファイル212がGroup_Aに属するユーザ間で共有するグループ共有鍵1614によって暗号化されている場合は、user_Bに対応するグループ共有鍵1614を用いてデータファイル212を復号化することができる。
(処理パターン3)データファイル212がシステム共有鍵1616を用いて暗号化されている場合は、user_Bに対応するシステム共有鍵1616を用いてデータファイル212を復号化することができる。
図6は、クライアント端末200のOS(オペレーティングシステム)上におけるファイルシステムの構成図である。クライアント端末200は、図4〜図5で説明したように個々のデータファイル212を暗号化または復号化することができるが、ユーザがその都度暗号鍵を選択するなどの作業が発生するため、ユーザにとって負担が生じる。そこでクライアント端末200は、ファイルシステム上の所定フォルダ以下に格納したデータファイルを一括して暗号化または復号化し、さらにはクラウドストレージ300との間でファイルを同期化することができる。図6はそのフォルダ構成例を説明するものである。クライアント端末200のファイルシステムは、同期フォルダ220と暗号化フォルダ230を有する。
同期フォルダ220は、クライアント端末200がクラウドストレージ300に送信し、またはクライアント端末200がクラウドストレージ300から取得したデータファイルを格納するフォルダである。クライアント端末200は、同期フォルダ220を常時監視しており、同期フォルダ220内に新たなデータファイルが格納されると、そのデータファイルをクラウドストレージ300に送信する。またクライアント端末200は、必要に応じて定期的にクラウドストレージ300に接続し、新たな暗号化データファイルが存在する場合はダウンロードして同期フォルダ220内に格納する。
同期フォルダ220内には、サブフォルダを設けることができる。同期フォルダ220内のフォルダ/ファイル構成とクラウドストレージ300上のフォルダ/ファイル構成は同期させることが望ましい。
クライアント端末200が複数のクラウドストレージ300を利用する場合は、同期フォルダ220内に、各クラウドストレージ300に対応するサブフォルダを設け、クラウドストレージ300毎に同期処理を実施することができる。図6に示すサブフォルダ221と222は、2つのクラウドストレージ300(CloudStorageA、CloudStorageB)に対応する。
暗号化フォルダ230は、クライアント端末200がクラウドストレージ300に送信する前に暗号化すべきデータファイルを格納し、またはクラウドストレージ300から取得した暗号化データファイルを復号したデータファイルを格納するフォルダである。クライアント端末200は、暗号化フォルダ230を常時監視しており、暗号化フォルダ230内に新たなデータファイルが格納されると、そのデータファイルを暗号化して同期フォルダ220に格納する。同期フォルダ220に格納されたデータファイルは、上述のようにクラウドストレージ300へ送信される。またクライアント端末200は、同期フォルダ220内に新たな暗号化データファイルが格納されると、その暗号化データファイルを復号化して暗号化フォルダ230に格納する。
クライアント端末200は、暗号化フォルダ230内のフォルダ/ファイル構成を、同期フォルダ220内のファイル/フォルダ構成と同期させる。したがって、同期フォルダ220内に複数のクラウドストレージ300毎のサブフォルダが存在する場合は、暗号化フォルダ230内にも同じフォルダ構成を作成する。サブフォルダ231と232は、それぞれサブフォルダ221と222に対応する。ただしファイルの拡張子については、暗号化されているか否かを区別するため適当に変更することができる。図6においては、暗号化されているデータファイルには元の「ファイル名+拡張子」に加えて拡張子「.crypto」を付与した例を示した。
次に、使用する暗号鍵を区別する手法について説明する。クラウドストレージ300は一般に、データファイルを共有すべきユーザをフォルダ毎に指定する機能を備えている。そこでクライアント端末200は、クラウドストレージ300上の各フォルダに格納されているデータファイルを共有すべきユーザをクラウドストレージ300に問い合わせ、その結果に応じて使用すべき暗号鍵を特定する。例えばGroup_A内で共有すべきデータファイルを格納するフォルダ内のデータファイルについてはGroup_A固有のグループ共有鍵1614を用いて暗号化する。図6においては、サブフォルダ232内のフォルダ「ShareA」がこれに相当する。グループをまたがって共有すべきデータファイルについてはシステム共有鍵1616を用いて暗号化する。図6には示していないが、システム共有鍵1616に対応するフォルダを設けることができる。これらに当てはまらないデータファイルについてはプライベート鍵1612を用いて暗号化する。
クライアント端末200がクラウドストレージ300から新たな暗号化データファイルを取得した際には、図5において説明したように、いずれの種類の暗号鍵を用いるべきかを示す情報が暗号化データファイル内に埋め込まれているので、その情報に対応する暗号鍵を用いて暗号化データファイルを復号することができる。あるいはデータファイルを暗号化する場合と同様に、例えばGroup_A内で共有すべきデータファイルを格納するフォルダ内のデータファイルについてはGroup_A固有のグループ共有鍵1614を用いて復号化してもよい。
暗号化データファイル内に埋め込まれている情報とフォルダの間の対応関係が矛盾する場合は、どのように処理すべきかを別途設定ファイルなどに定義しておき、その設定にしたがって処理すればよい。例えば、Group_A内で共有すべきデータファイルを格納するフォルダ内に、プライベート鍵1612を用いて暗号化されている旨の情報が埋め込まれている暗号化データファイルが格納されている場合は、プライベート鍵1612とグループ共有鍵1614を双方用いて復号化を試行し、復号に成功した方を採用することができる。あるいはその暗号化データファイルについては復号化せずそのまま暗号化フォルダ230内に格納することもできる。この処理は、後述するステップS805〜S810において適用することができる。
図7は、クライアント端末200が暗号化フォルダ230内に格納された新たなデータファイルをクラウドストレージ300に送信する処理を説明するフローチャートである。以下、図7の各ステップについて説明する。
(図7:ステップS701)
ユーザはクライアント端末200を介して認証情報(ユーザIDとパスワード)を入力し、必要に応じてグループ情報(当該ユーザが所属するグループID)を指定して、管理サーバ100に送信する。
(図7:ステップS702〜S703)
管理サーバ100の認証部151は、クライアント端末200から受け取った認証情報を用いてユーザ認証を実施する(S702)。認証拒否する場合はその旨を示す応答をクライアント端末200に送信し、クライアント端末200はユーザ認証に失敗した旨を示すダイアログを画面表示して、本フローチャートは終了する。認証許可する場合はステップS704へ進む。
(図7:ステップS704)
送信部152は、データベース160から当該ユーザに対応するプライベート鍵1612、グループ共通鍵1614、システム共有鍵1616を取得し、クライアント端末200に送信する。ただし図3で説明したように、これら3つの鍵はPW鍵1618によって暗号化されているので、クライアント端末200は当該ユーザの認証情報を用いてこれら暗号鍵を復号化する。
(図7:ステップS705)
クライアント端末200は、同期フォルダ220内に格納されているファイル構成と暗号化フォルダ230内に格納されているファイル構成を比較し、同期フォルダ230内に格納されているファイル構成に追加や更新が発生しているか否かを判定する。追加や更新が発生している場合はステップS706へ進み、発生していない場合はステップS707へスキップする。
(図7:ステップS706)
クライアント端末200は、暗号化データファイルに埋め込まれた情報に基づき、対応する暗号鍵を用いてその暗号化データファイルを復号し、暗号化フォルダ230にコピーする。同期フォルダ230内の暗号化データファイルが削除されていた場合は、暗号化フォルダ230内の対応するデータファイルを削除する。
(図7:ステップS707)
クライアント端末200は、暗号化フォルダ230内のファイル構成に追加や更新があったかを定期的に確認する。追加や更新が発生している場合はステップS708へ進み、発生していない場合はステップS709へスキップする。
(図7:ステップS708)
クライアント端末200は、暗号化フォルダ230内において追加または更新されたデータファイルを対応する暗号鍵で暗号化し、同期フォルダ220にコピーする。クライアント端末200は、同期フォルダ220にコピーされた暗号化データファイルをクラウドストレージ300にアップロードする。
(図7:ステップS709〜S710)
クライアント端末200は、ユーザがログアウトしたか否かを判定し(S710)、ログアウトした場合は暗号化フォルダ230の監視を終了する。ログアウトしていない場合はステップS705に戻って同様の処理を繰り返す(S710)。
図8は、クライアント端末200がクラウドストレージ300から暗号化データファイルをダウンロードする処理を説明するフローチャートである。ステップS801〜S804は図7のステップS701〜S704と同様であるため、以下ではステップS805以降のみについて説明する。
(図8:ステップS805)
クライアント端末200は、クラウドストレージ300からダウンロードした暗号化データファイルを、同期フォルダ220に格納する。クライアント端末200は、クラウドストレージ300からダウンロードした暗号化データファイルに埋め込まれた識別情報を確認することにより、復号化処理において使用すべき暗号鍵を特定する。
(図8:ステップS806〜S810)
クライアント端末200は、ステップS805における判定結果に基づき、対応する暗号鍵を用いて暗号化データファイルを復号化する。復号化によって得られたデータファイルは、暗号化フォルダ230内の対応するフォルダに格納される。
<本発明のまとめ>
以上のように、本発明における管理サーバ100は、同じユーザグループ内に属するユーザ間で共有するグループ共有鍵1614を各ユーザのPW鍵1618によって暗号化したレコード1613を保持し、クライアント端末200からのリクエストに応じて各ユーザに対応するレコード1613を送信する。グループ共有鍵1614はグループ内で共通であるため、それぞれ異なるPW鍵1618によって暗号化されていたとしても、同じグループに属するユーザは同じグループ共有鍵1614を取得することができる。これにより、グループ内の他ユーザとの間で暗号化データファイル211を共有する場合であっても、パスワードを互いに通知する必要がなくなるので、クラウドストレージ300の利便性を保ちつつ、クラウドストレージ300上のデータファイルを暗号化してセキュリティを高めることができる。
また、本発明における管理サーバ100によれば、クラウドストレージ300上の暗号化データファイル211、管理サーバ100上で管理する暗号化された各暗号鍵、ユーザのみが知り得るパスワード等の認証情報の3要素のうちいずれか2つが漏えいしたとしても、3つの要素が全て揃わない限り、暗号化データファイル211を復号することができない。そのため、データ管理システム1000全体としてセキュリティを向上させることができる。この特性は、いずれの暗号鍵についても共通である。
また、本発明におけるクライアント端末200は、同期フォルダ220内と暗号化フォルダ230内それぞれにおいて、各クラウドストレージ300に対応するサブフォルダを設け、クラウドストレージ300毎にデータファイルを各フォルダと同期させる。これにより、クラウドストレージ300毎の仕様差異の影響を受けずに、統一した操作感とインタフェースで複数の異なるクラウドストレージ300を利用することができる。
また、本発明におけるクライアント端末200は、クラウドストレージ300上においてデータファイルを共有すべきユーザについてのルールをクラウドストレージ300に問い合わせ、そのルールに対応するフォルダ毎に設定された暗号鍵を用いてデータファイルを暗号化または復号化する。これにより、ユーザはどのフォルダに格納すれば他ユーザとデータファイルを共有することができるかのみを意識すればよく、各データファイルをどの暗号鍵で暗号化するかについて意識する必要がないため、パスワードを用いて個々のデータファイルを暗号化する場合と比較して利便性がよい。また、パスワードを他ユーザに伝える必要がないため、セキュリティ面でも好ましい。
また、本発明におけるクライアント端末200は、データファイル212を暗号化する際に、いずれの種類の暗号鍵を用いたかを示す情報を暗号化データファイル211内に埋め込んでおき、暗号化データファイル211を復号化する際にその情報を参照して対応する暗号鍵を用いる。これにより、ユーザは暗号鍵の種類や暗号方式を逐一選択する必要がなくなるので、ユーザにとっての利便性を向上させることができる。
<本発明の変形例>
本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。上記実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることもできる。また、ある実施形態の構成に他の実施形態の構成を加えることもできる。また、各実施形態の構成の一部について、他の構成を追加・削除・置換することもできる。
例えば、上記実施形態においては、暗号鍵と復号鍵が同一である暗号方式を前提としたが、暗号鍵と復号鍵が異なる場合(例えば公開鍵暗号方式)においても適用することができる。この場合は、管理サーバ100が暗号鍵と復号鍵のペアをそれぞれ管理しておき、クライアント端末200は暗号鍵と復号鍵のいずれを必要とするかを管理サーバ100へ通知するようにすればよい。
また、上記実施形態においては、ユーザを認証するための認証情報としてパスワードを例示したが、クライアント端末200が各暗号鍵を復号することができれば、その他の認証情報を用いることもできる。
また、上記実施形態においては、フォルダ構成としてWindows(登録商標)を想定したが、その他のOS上においても同様の仕組みを提供することができる。
100:管理サーバ、110:プライベート鍵暗号化部、120:グループ共有鍵暗号化部、130:システム共有鍵暗号化部、140:PW鍵暗号化部、150:暗号鍵送信部、160:データベース、1612:プライベート鍵、1614:グループ共有鍵、1616:システム共有鍵、1618:PW鍵、162:管理鍵、200:クライアント端末、300:クラウドストレージ、400:ネットワーク。

Claims (13)

  1. 暗号鍵を管理する処理をコンピュータに実行させる暗号鍵管理プログラムであって、前記コンピュータに、
    複数のユーザが所属するグループ内で共有する暗号鍵であるグループ共有鍵を、各前記ユーザを認証するために用いる認証情報を用いて暗号化した、暗号化グループ共有鍵を生成し、記憶装置にその暗号化グループ共有鍵を格納するグループ共有鍵暗号化ステップ、
    暗号鍵を送信するよう要求するリクエストを受信すると、前記リクエストを発行したクライアント端末に対してユーザ認証を実施し、認証許可する場合はそのユーザに対応する前記暗号化グループ共有鍵を前記リクエストに対する返信として送信する暗号鍵送信ステップ、
    を実行させ
    前記グループ共有鍵暗号化ステップにおいて、前記コンピュータに、
    前記暗号化グループ共有鍵を復号して得た前記グループ共有鍵が前記グループ毎に異なる暗号鍵となるように、前記暗号化グループ共有鍵を生成させ、
    前記暗号鍵管理プログラムはさらに、前記コンピュータに、
    いずれの前記グループにも属さないユーザが使用する暗号鍵であるシステム共有鍵を、各前記ユーザを認証するために用いる認証情報を用いて暗号化した、暗号化システム共有鍵を生成し、記憶装置にその暗号化システム共有鍵を格納するシステム共有鍵暗号化ステップを実行させ、
    前記暗号鍵送信ステップにおいては、前記コンピュータに、
    前記ユーザ認証において認証許可する場合は、そのユーザに対応する前記暗号化システム共有鍵を、前記リクエストに対する返信として前記暗号化グループ共有鍵と併せて送信させる
    ことを特徴とする暗号鍵管理プログラム。
  2. 前記コンピュータに、
    各前記ユーザのみが使用する暗号鍵であるプライベート鍵を、各前記ユーザを認証するために用いる認証情報を用いて暗号化した、暗号化プライベート鍵を生成し、記憶装置にその暗号化プライベート鍵を格納するプライベート鍵暗号化ステップを実行させ、
    前記暗号鍵送信ステップにおいては、前記コンピュータに、
    前記ユーザ認証において認証許可する場合は、そのユーザに対応する前記暗号化プライベート鍵を、前記リクエストに対する返信として前記暗号化グループ共有鍵と併せて送信させる
    を実行させることを特徴とする請求項記載の暗号鍵管理プログラム。
  3. 前記コンピュータに、
    前記グループ共有鍵を暗号化する際に用いる暗号鍵を、各前記ユーザおよび各前記グループについて共通に使用する暗号鍵である管理鍵を用いて暗号化し、前記記憶装置に格納するステップを実行させる
    ことを特徴とする請求項記載の暗号鍵管理プログラム。
  4. 請求項1記載の暗号鍵管理プログラムを格納したことを特徴とする記憶媒体。
  5. 暗号鍵を管理する暗号鍵管理装置であって、
    複数のユーザが所属するグループ内で共有する暗号鍵であるグループ共有鍵を、各前記ユーザを認証するために用いる認証情報を用いて暗号化した、暗号化グループ共有鍵を生成し、記憶装置にその暗号化グループ共有鍵を格納するグループ共有鍵暗号化部、
    暗号鍵を送信するよう要求するリクエストを受信すると、前記リクエストを発行したクライアント端末に対してユーザ認証を実施し、認証許可する場合はそのユーザに対応する前記暗号化グループ共有鍵を前記リクエストに対する返信として送信する暗号鍵送信部、
    を備え
    前記グループ共有鍵暗号化部は、
    前記暗号化グループ共有鍵を復号して得た前記グループ共有鍵が前記グループ毎に異なる暗号鍵となるように、前記暗号化グループ共有鍵を生成し、
    前記暗号鍵管理装置はさらに、
    いずれの前記グループにも属さないユーザが使用する暗号鍵であるシステム共有鍵を、各前記ユーザを認証するために用いる認証情報を用いて暗号化した、暗号化システム共有鍵を生成し、記憶装置にその暗号化システム共有鍵を格納するシステム共有鍵暗号化部を備え、
    前記暗号鍵送信部は、
    前記ユーザ認証において認証許可する場合は、そのユーザに対応する前記暗号化システム共有鍵を、前記リクエストに対する返信として前記暗号化グループ共有鍵と併せて送信する
    ことを特徴とする暗号鍵管理装置。
  6. 請求項1記載の暗号鍵管理プログラムを実行するサーバと、
    前記サーバに対して前記リクエストを発行するクライアント端末と、
    を有することを特徴とするデータ管理システム。
  7. 前記クライアント端末は、
    前記リクエストに対する返信として受信した前記暗号化グループ共有鍵を、前記認証情報を用いて復号化することにより、前記グループ共有鍵を取得し、
    前記グループ共有鍵を用いてデータを暗号化した上で、その暗号化した前記データをストレージサーバへ格納する
    ことを特徴とする請求項記載のデータ管理システム。
  8. 前記クライアント端末は、
    前記データを前記サーバから取得し、前記認証情報を用いて復号化することにより取得した前記グループ共有鍵を用いて、そのデータを復号化する
    ことを特徴とする請求項記載のデータ管理システム。
  9. 請求項記載の暗号鍵管理プログラムを実行するサーバと、
    前記サーバに対して前記リクエストを発行するクライアント端末と、
    を有し、
    前記クライアント端末は、
    前記リクエストに対する返信として受信した前記暗号化グループ共有鍵と前記暗号化プライベート鍵を、前記認証情報を用いて復号化することにより、前記グループ共有鍵と前記プライベート鍵を取得し、
    前記グループ共有鍵または前記プライベート鍵を用いてデータを暗号化した上で、その暗号化した前記データをストレージサーバへ格納し、
    前記グループ共有鍵を用いて前記データを暗号化する場合は、複数のユーザが所属するグループ内で共有する暗号鍵を用いて前記データを暗号化した旨を示す第1情報を前記データ内に埋め込み、
    前記プライベート鍵を用いて前記データを暗号化する場合は、各前記ユーザのみが使用する暗号鍵を用いて前記プライベート鍵を暗号化した旨を示す第2情報を前記データ内に埋め込む
    ことを特徴とするデータ管理システム。
  10. 前記クライアント端末は、
    前記データを前記サーバから取得するとともに、前記認証情報を用いて復号化することにより前記グループ共有鍵と前記プライベート鍵を取得し、
    前記第1情報が前記データ内に埋め込まれている場合は、前記グループ共有鍵を用いて前記データを復号化し、
    前記第2情報が前記データ内に埋め込まれている場合は、前記プライベート鍵を用いて前記データを復号化する
    ことを特徴とする請求項記載のデータ管理システム。
  11. 前記クライアント端末は、
    ファイルシステム上の第1フォルダ内に格納されているデータは前記グループ共有鍵を用いて暗号化した上で、その暗号化した前記データをストレージサーバへ格納し、
    前記ファイルシステム上の第2フォルダ内に格納されているデータは前記プライベート鍵を用いて暗号化した上で、その暗号化した前記データをストレージサーバへ格納する
    ことを特徴とする請求項記載のデータ管理システム。
  12. 前記クライアント端末は、
    前記ファイルシステム上の第3フォルダ内に格納されているデータは前記グループ共有鍵を用いて復号化し、
    前記ファイルシステム上の第4フォルダ内に格納されているデータは前記プライベート鍵を用いて復号化する
    ことを特徴とする請求項記載のデータ管理システム。
  13. 前記暗号鍵管理プログラムと前記ストレージサーバは、異なる事業者に属する
    ことを特徴とする請求項記載のデータ管理システム。
JP2012280469A 2012-12-25 2012-12-25 暗号鍵管理プログラム、データ管理システム Active JP6082589B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012280469A JP6082589B2 (ja) 2012-12-25 2012-12-25 暗号鍵管理プログラム、データ管理システム
US13/944,946 US9088557B2 (en) 2012-12-25 2013-07-18 Encryption key management program, data management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012280469A JP6082589B2 (ja) 2012-12-25 2012-12-25 暗号鍵管理プログラム、データ管理システム

Publications (2)

Publication Number Publication Date
JP2014127721A JP2014127721A (ja) 2014-07-07
JP6082589B2 true JP6082589B2 (ja) 2017-02-15

Family

ID=50976125

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012280469A Active JP6082589B2 (ja) 2012-12-25 2012-12-25 暗号鍵管理プログラム、データ管理システム

Country Status (2)

Country Link
US (1) US9088557B2 (ja)
JP (1) JP6082589B2 (ja)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9407440B2 (en) 2013-06-20 2016-08-02 Amazon Technologies, Inc. Multiple authority data security and access
KR101475462B1 (ko) * 2013-08-14 2014-12-23 브레인즈스퀘어(주) 사용자의 암호화 키로 암호화된 파일을 클라우드 스토리지와 동기화하는 시스템
KR101418797B1 (ko) * 2013-11-04 2014-07-11 (주)세이퍼존 안전한 클라우드 서비스를 위한 보안키장치, 보안 클라우드 서비스 제공 시스템 및 보안 클라우드 서비스 제공방법
US9641488B2 (en) * 2014-02-28 2017-05-02 Dropbox, Inc. Advanced security protocol for broadcasting and synchronizing shared folders over local area network
US10382430B2 (en) 2014-07-28 2019-08-13 Encryptier Co., Ltd. User information management system; user information management method; program, and recording medium on which it is recorded, for management server; program, and recording medium on which it is recorded, for user terminal; and program, and recording medium on which it is recorded, for service server
JP6470006B2 (ja) * 2014-10-10 2019-02-13 株式会社エヌ・ティ・ティ・データ 共有認証情報更新システム
CN104539602B (zh) * 2014-12-22 2017-12-26 北京航空航天大学 一种应用于云存储中的安全密钥管理方法
CN106470104B (zh) 2015-08-20 2020-02-07 阿里巴巴集团控股有限公司 用于生成共享密钥的方法、装置、终端设备及系统
US10311240B1 (en) 2015-08-25 2019-06-04 Google Llc Remote storage security
US9985782B2 (en) 2015-11-24 2018-05-29 Red Hat, Inc. Network bound decryption with offline encryption
US9596079B1 (en) 2016-04-14 2017-03-14 Wickr Inc. Secure telecommunications
WO2017187552A1 (ja) 2016-04-27 2017-11-02 三菱電機株式会社 属性連携装置、転送システム、属性連携方法及び属性連携プログラム
US10853510B2 (en) 2016-06-12 2020-12-01 Apple Inc. Association of address with cloud services account
US10776502B2 (en) 2016-06-12 2020-09-15 Apple Inc. Diversification of public keys
US20180077125A1 (en) * 2016-09-09 2018-03-15 Quirklogic, Inc. Method and system for securely sharing content
US10810185B2 (en) 2016-09-22 2020-10-20 At&T Intellectual Property I, L.P. Temporary shared storage
US20200012766A1 (en) * 2017-04-01 2020-01-09 Fujian Foxit Software Development Joint Stock Co., Ltd. Method for automatically giving alarm after encrypted document is leaked
US11115193B2 (en) 2017-12-29 2021-09-07 Intel Corporation Technologies for internet of things key management
CN110765439B (zh) * 2018-08-17 2023-01-31 安天科技集团股份有限公司 一种移动存储加密认证的方法、装置及存储介质
WO2020223425A1 (en) * 2019-05-01 2020-11-05 Powch, LLC Identification verification and authentication system
US11595207B2 (en) 2020-12-23 2023-02-28 Dropbox, Inc. Utilizing encryption key exchange and rotation to share passwords via a shared folder
CN112988888B (zh) * 2021-02-19 2024-05-07 平安科技(深圳)有限公司 密钥管理方法、装置、电子设备及存储介质
US20230199483A1 (en) * 2021-12-17 2023-06-22 Lenovo (Singapore) Pte. Ltd. Deriving a key based on an edge enabler client identifier
CN114826644A (zh) * 2022-02-15 2022-07-29 杭州瑞网广通信息技术有限公司 一种数据保护加密管理系统
US11979489B1 (en) * 2022-05-10 2024-05-07 Amazon Technologies, Inc. Database with encryption key rotation

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6694025B1 (en) * 1999-06-02 2004-02-17 Koninklijke Philips Electronics N.V. Method and apparatus for secure distribution of public/private key pairs
JP2002009762A (ja) * 2000-06-26 2002-01-11 Sony Corp 情報処理システム、情報処理方法、および情報処理装置、並びにプログラム提供媒体
JP3662828B2 (ja) * 2000-10-04 2005-06-22 北陸日本電気ソフトウェア株式会社 ファイル暗号化システム
US8335915B2 (en) * 2002-05-14 2012-12-18 Netapp, Inc. Encryption based security system for network storage
US6931133B2 (en) * 2002-09-03 2005-08-16 Verisign, Inc. Method and system of securely escrowing private keys in a public key infrastructure
JP4586383B2 (ja) * 2004-03-02 2010-11-24 沖電気工業株式会社 ファイルの暗号化方法、ファイルの復号化方法、および制御プログラム
JP4597784B2 (ja) * 2005-06-09 2010-12-15 シャープ株式会社 データ処理装置
JP4662138B2 (ja) 2005-06-28 2011-03-30 株式会社日立ソリューションズ 情報漏洩防止方法及びシステム
KR100957121B1 (ko) * 2008-02-22 2010-05-13 성균관대학교산학협력단 키 분배 방법 및 인증 서버
JP2012205088A (ja) * 2011-03-25 2012-10-22 Toshiba Corp ノード及びグループ鍵更新方法

Also Published As

Publication number Publication date
JP2014127721A (ja) 2014-07-07
US20140181514A1 (en) 2014-06-26
US9088557B2 (en) 2015-07-21

Similar Documents

Publication Publication Date Title
JP6082589B2 (ja) 暗号鍵管理プログラム、データ管理システム
US11647007B2 (en) Systems and methods for smartkey information management
US11475137B2 (en) Distributed data storage by means of authorisation token
AU2013101722A4 (en) Data security management system
US11329962B2 (en) Pluggable cipher suite negotiation
US9843446B2 (en) System and method for rotating client security keys
JP5777630B2 (ja) ドキュメント共有のための方法及び装置
US9608813B1 (en) Key rotation techniques
US8042163B1 (en) Secure storage access using third party capability tokens
US9973481B1 (en) Envelope-based encryption method
US8997198B1 (en) Techniques for securing a centralized metadata distributed filesystem
JP6678457B2 (ja) データセキュリティサービス
US20140281526A1 (en) Secure Network Storage
JP6371184B2 (ja) データ管理システム、データ管理方法、及びクライアント端末
US10116442B2 (en) Data storage apparatus, data updating system, data processing method, and computer readable medium
EP2942899B1 (en) Information processing method, trust server and cloud server
JP2011076505A (ja) 情報処理システム及び情報処理方法
US9754118B2 (en) Performing an operation on a data storage
US10691815B2 (en) Attribute linkage apparatus, transfer system, attribute linkage method and computer readable medium
JP5586397B2 (ja) セキュア・ネットワーク・ストレージ・システム、方法、クライアント装置、サーバ装置、及びプログラム
JP6778033B2 (ja) 持ち出しファイル簡易暗号化システムおよび持ち出しファイル簡易暗号化プログラム
Sundaresan et al. Different Perspectives of Cloud Security

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150911

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160729

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160809

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170117

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170123

R150 Certificate of patent or registration of utility model

Ref document number: 6082589

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250