JPWO2009022376A1 - Authentication processing system, authentication processing method, and program - Google Patents

Authentication processing system, authentication processing method, and program Download PDF

Info

Publication number
JPWO2009022376A1
JPWO2009022376A1 JP2009527969A JP2009527969A JPWO2009022376A1 JP WO2009022376 A1 JPWO2009022376 A1 JP WO2009022376A1 JP 2009527969 A JP2009527969 A JP 2009527969A JP 2009527969 A JP2009527969 A JP 2009527969A JP WO2009022376 A1 JPWO2009022376 A1 JP WO2009022376A1
Authority
JP
Japan
Prior art keywords
access
authentication
file
encrypted file
folder
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009527969A
Other languages
Japanese (ja)
Other versions
JP4801777B2 (en
Inventor
友二 中川
友二 中川
健一 浅見
健一 浅見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Publication of JPWO2009022376A1 publication Critical patent/JPWO2009022376A1/en
Application granted granted Critical
Publication of JP4801777B2 publication Critical patent/JP4801777B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

セキュリティとして強固であり、かつ、ユーザにとって使い勝手の良い認証処理を提供する。本発明では、機密フォルダからの暗号ファイル読み出し、或いは、機密フォルダへのファイルの書き込みの際に、ファイルI/Oを検知してブロックし、認証を行う。認証が成功すれば、ファイルI/Oのブロックを解除して、機密フォルダに設定された共通の鍵を用いて、読み出すべき暗号ファイルの復号、書き込むべきファイルの暗号化を行う。復号されたファイルは、アプリケーションを介してユーザに提供され、暗号化されたファイルは、機密フォルダに書き込まれる。この一連の処理は、同一の機密フォルダであってもユーザのログイン毎に実行される。つまり、前回のログインにおいて認証処理が成功し、ある機密フォルダのファイルI/Oが許可されたとしても、一旦ログアウトしてしまえば、次のログイン時に再度認証処理が実行される。It provides authentication processing that is robust as a security and easy to use for users. In the present invention, when reading an encrypted file from a confidential folder or writing a file to the confidential folder, the file I / O is detected and blocked to perform authentication. If the authentication is successful, the file I / O block is released, and the encrypted file to be read is decrypted and the file to be written is encrypted using the common key set in the confidential folder. The decrypted file is provided to the user via the application, and the encrypted file is written in the confidential folder. This series of processing is executed every time the user logs in even in the same confidential folder. That is, even if the authentication process is successful at the previous login and the file I / O of a certain confidential folder is permitted, once the user logs out, the authentication process is executed again at the next login.

Description

本発明は、認証処理システム、及び認証処理方法、並びに認証処理プログラムに関し、例えば、暗号ファイルが存在するフォルダに対してファイルアクセスをする場合に、ユーザが実際に暗号ファイルの使用を開始した時点で、ユーザのファイル操作と同期し、フォルダ単位の認証を可能とするオンデマンドの認証処理に関するものである。   The present invention relates to an authentication processing system, an authentication processing method, and an authentication processing program. For example, when file access is made to a folder in which an encrypted file exists, the user actually starts using the encrypted file. The present invention relates to on-demand authentication processing that enables authentication in units of folders in synchronization with user file operations.

認証処理システムにおいて、ユーザに認証を求めるのは、PCログイン時やシステム開始時にシステムとして一回認証を行うことが一般的である。一方で、フォルダ毎に鍵情報が異なるフォルダ単位でのアクセスコントロールを有する暗号処理システムと併用する場合においては、フォルダ毎に認証処理を行うことが求められる。システム開始時に全てのフォルダの認証処理を行うことは可能だが、正当なユーザが実際に使用しないフォルダに対する認証を行い、以後アクセス可能な状態にしておくと、害意あるユーザの不正使用のリスクが大きくなる。また、実際に使用しないフォルダの鍵情報を事前にPCに格納しておくことは、セキュリティ的にリスクを伴う。更に、鍵情報が無い状態で暗号ファイルへのアクセスを許すことは、暗号データが復号されずに、ユーザ操作を誤るとファイル破壊を引き起こす可能性もある。   In an authentication processing system, the user is generally required to authenticate once as a system at the time of PC login or system start. On the other hand, in the case of using together with an encryption processing system having access control in units of folders with different key information for each folder, it is required to perform authentication processing for each folder. Although it is possible to perform authentication for all folders at the time of system startup, if a legitimate user authenticates a folder that is not actually used and then makes it accessible, there is a risk of unauthorized use by a malicious user. growing. In addition, storing key information of a folder that is not actually used in the PC in advance involves a security risk. Furthermore, allowing access to the encrypted file without the key information may cause the file to be destroyed if a user operation is mistaken without the encrypted data being decrypted.

従って、ユーザが暗号ファイル使用を開始する前は暗号ファイルへのアクセスを禁止し、ユーザがファイル使用を開始した時点で認証処理を行い、認証処理成功後に初めて鍵情報をPCにダウンロードし、暗号ファイルへのアクセスを可能とする何らかの技術が必要になる。   Therefore, before the user starts using the encrypted file, access to the encrypted file is prohibited, authentication processing is performed when the user starts using the file, and the key information is downloaded to the PC for the first time after the authentication processing is successful. Some technology that allows access to

このような、暗号ファイル使用開始時に認証を行って鍵情報ファイルを用いてデータファイルを復号する方式として、例えば特許文献1が提案されている。特許文献1では、暗号化されたデータファイルと、それに対応する鍵情報ファイルをICカードに格納し、データファイルを開く時に認証を行って鍵情報ファイルを用いてデータファイルを復号するシステムである。
特開2005−352961号公報 For example, Patent Document 1 is proposed as a method for performing authentication at the start of use of an encrypted file and decrypting a data file using a key information file. In Patent Document 1, an encrypted data file and a corresponding key information file are stored in an IC card, and authentication is performed when the data file is opened, and the data file is decrypted using the key information file.
JP-A-2005-352961

しかしながら、特許文献1では、システムにデータファイルと鍵となるファイルとを個々に持たせているため、鍵となる情報を外部から認識する事が可能である。従って、害意あるユーザが、この鍵情報を他のICカードに移し変える等の手段を用いて、データファイルを不正に使用することができてしまう。   However, in Patent Document 1, since the system has a data file and a key file individually, it is possible to recognize key information from the outside. Therefore, a malicious user can illegally use the data file by using means such as transferring this key information to another IC card.

また、PCログイン時やシステム開始時ではなく、ユーザのファイル操作と同期してフォルダ認証を行う場合には、暗号ファイルへのファイルアクセスを検知する、認証処理が完了するまでファイルアクセスをブロックする、認証結果に応じてファイルアクセスの許可・禁止を行う、といったファイルアクセス単位での動的な認証処理を行う必要がある。ところが、このようなファイル単位の認証は、セキュリティとしては強固となるものの、ユーザにとって使い勝手の悪いものとなってしまう。   In addition, when performing folder authentication in synchronization with the user's file operation, not at the time of PC login or system start, the file access to the encrypted file is detected, and the file access is blocked until the authentication process is completed. It is necessary to perform dynamic authentication processing in units of file access, such as permitting / prohibiting file access according to the authentication result. However, although such file-based authentication is strong as security, it is inconvenient for the user.

本発明はこのような状況に鑑みてなされたものであり、セキュリティとして強固であり、かつ、ユーザにとって使い勝手の良い認証処理を提供するものである。   The present invention has been made in view of such a situation, and provides an authentication process that is robust as a security and easy to use for a user.

上記課題を解決するために、本発明では、機密フォルダからの暗号ファイル読み出し、或いは、機密フォルダへのファイルの書き込みの際に、ファイルI/Oを検知してブロックし、認証を行う。認証が成功すれば、ファイルI/Oのブロックを解除して、機密フォルダに設定された共通の鍵を用いて、読み出すべき暗号ファイルの復号、書き込むべきファイルの暗号化を行う。復号されたファイルは、アプリケーションを介してユーザに提供され、暗号化されたファイルは、機密フォルダに書き込まれる。この一連の処理は、同一の機密フォルダであってもユーザのログイン毎に実行される。つまり、前回のログインにおいて認証処理が成功し、ある機密フォルダのファイルI/Oが許可されたとしても、一旦ログアウトしてしまえば、次のログイン時に再度認証処理が実行される。   In order to solve the above-described problem, in the present invention, when reading an encrypted file from a confidential folder or writing a file to the confidential folder, the file I / O is detected and blocked, and authentication is performed. If the authentication is successful, the file I / O block is released, and the encrypted file to be read is decrypted and the file to be written is encrypted using the common key set in the confidential folder. The decrypted file is provided to the user via the application, and the encrypted file is written in the confidential folder. This series of processing is executed every time the user logs in even in the same confidential folder. That is, even if the authentication process is successful at the previous login and file I / O of a certain confidential folder is permitted, once the user logs out, the authentication process is executed again at the next login.

即ち、本発明による認証処理システムは、プログラムを実行するコンピュータを用いて、フォルダ内に格納されている暗号ファイルへのアクセス時に認証処理を実行する、認証処理システムである。そして、暗号ファイルは、フォルダ毎に共通の暗号鍵で暗号化されている。当該認証処理システムは、暗号ファイルへのアクセスを検知するアクセス検知手段と、アクセス検知手段が暗号ファイルへのアクセスを検知した場合に、暗号ファイルへのアクセスを一時的にブロックするアクセスブロック手段と、アクセスがブロックされた状態で、認証処理を実行する認証手段と、認証処理の結果が認証成功の場合、暗号ファイルへのアクセスブロックを解除して暗号化ファイルへのアクセスを許可し、認証処理の結果が認証失敗の場合、暗号ファイルへのアクセスを禁止する、アクセス許可手段と、共通の暗号鍵を用いて、アクセスが許可された暗号ファイルを復号する暗号処理手段と、を備える。   In other words, the authentication processing system according to the present invention is an authentication processing system that executes authentication processing when accessing an encrypted file stored in a folder using a computer that executes a program. The encrypted file is encrypted with a common encryption key for each folder. The authentication processing system includes an access detection unit that detects access to an encrypted file, an access block unit that temporarily blocks access to the encrypted file when the access detection unit detects access to the encrypted file, When access is blocked, the authentication means that executes the authentication process, and if the result of the authentication process is successful, the access block to the encrypted file is released and the access to the encrypted file is permitted. When the result is an authentication failure, an access permission unit for prohibiting access to the encrypted file and an encryption processing unit for decrypting the encrypted file permitted to access using a common encryption key are provided.

当該認証処理システムは、さらに、アクセス検知手段が暗号ファイルへのアクセスを検知した場合に、暗号ファイルが属するフォルダの認証状態を判定する認証状態判定手段を備え、認証状態が「未認証」及び「認証中」の場合、アクセスブロック手段が、暗号化ファイルへのアクセスを一時的にブロックし、認証状態が「認証済」の場合、暗号処理手段が、共通の暗号鍵を用いて前記暗号ファイルを復号する。なお、認証手段は、認証処理を、ユーザのログイン毎に実行する。   The authentication processing system further includes an authentication state determination unit that determines an authentication state of a folder to which the encrypted file belongs when the access detection unit detects an access to the encrypted file, and the authentication states are “unauthenticated” and “ If it is `` authenticating '', the access block means temporarily blocks access to the encrypted file. If the authentication status is `` authenticated '', the encryption processing means uses the common encryption key to delete the encrypted file. Decrypt. The authentication unit executes the authentication process for each user login.

当該認証処理システムは、さらに、暗号ファイルに対する認証処理開始のタイミングを管理する認証タイミング管理手段を備え、アクセス検知手段は、複数のフォルダに含まれる各暗号ファイルへのそれぞれのアクセスを検知し、認証タイミング管理手段は、各暗号ファイルに対する認証処理開始についてのタイムアウト発生を検知し、タイムアウトとなった暗号ファイルへのアクセスを禁止する。また、当該認証処理システムは、さらに、暗号ファイルに対する認証処理の時間を監視し、タイムアウトとなった認証処理に対応する暗号ファイルへのアクセスを禁止する認証処理時間管理手段を備える。   The authentication processing system further includes an authentication timing management means for managing the timing of starting the authentication process for the encrypted file, and the access detecting means detects each access to each encrypted file included in the plurality of folders, and performs authentication. The timing management means detects the occurrence of a timeout at the start of authentication processing for each encrypted file, and prohibits access to the encrypted file that has timed out. The authentication processing system further includes an authentication processing time management unit that monitors the time of authentication processing for the encrypted file and prohibits access to the encrypted file corresponding to the time-out authentication processing.

当該認証処理システムにおいて、アクセス検知手段は、一のフォルダに含まれる複数の暗号ファイルへのそれぞれのアクセスを検知し、アクセス許可手段は、複数の暗号ファイルのうち最初にアクセスされた暗号ファイルへの認証処理が成功した場合に、複数の暗号ファイルに対する全てのアクセスブロックを解除する。また、アクセス許可手段は、最初にアクセスされた暗号ファイルへの認証処理が失敗の場合に、複数の暗号ファイルに対する全てのアクセスを禁止する。   In the authentication processing system, the access detection unit detects each access to a plurality of encrypted files included in one folder, and the access permission unit determines whether the first access to the encrypted file among the plurality of encrypted files is performed. When the authentication process is successful, all access blocks for a plurality of encrypted files are released. The access permission unit prohibits all accesses to the plurality of encrypted files when the authentication process for the first accessed encrypted file fails.

本発明による認証処理システムは、プログラムを実行するコンピュータを用いて、機密フォルダ内にファイルを書き込むときに認証処理を実行する、認証処理システムであって、機密フォルダ内のファイルは、共通の暗号鍵で暗号化されるようになっている。そして、当該認証処理システムは、機密フォルダへのファイル書き込み動作を検知するアクセス検知手段と、アクセス検知手段がファイル書き込み動作を検知した場合に、ファイルの書き込みを一時的にブロックするアクセスブロック手段と、書き込みがブロックされた状態で、認証処理を実行する認証手段と、認証処理の結果が認証成功の場合、書き込みのブロックを解除し、認証処理の結果が認証失敗の場合、機密フォルダに対するファイルの書き込みを禁止する、アクセス許可手段と、共通の暗号鍵を用いて、ブロック解除されたファイルを暗号化して、機密フォルダに書き込む暗号処理手段と、を備える。   An authentication processing system according to the present invention is an authentication processing system that executes authentication processing when a file is written in a confidential folder using a computer that executes a program, and the files in the confidential folder have a common encryption key. It comes to be encrypted with. The authentication processing system includes an access detection unit that detects a file writing operation to the confidential folder, and an access block unit that temporarily blocks file writing when the access detection unit detects a file writing operation; Authentication means that executes authentication processing with writing blocked, and if the authentication processing result is authentication successful, the writing block is released, and if the authentication processing result is authentication failure, the file is written to the confidential folder. Access permission means for prohibiting the encryption, and encryption processing means for encrypting the unblocked file using a common encryption key and writing it in the confidential folder.

本発明は、さらに、コンピュータを上述の認証処理システムとして機能させるプログラム、及び上述の認証処理システムに対応する認証処理方法を提供する。   The present invention further provides a program for causing a computer to function as the above-described authentication processing system, and an authentication processing method corresponding to the above-described authentication processing system.

さらなる本発明の特徴は、以下本発明を実施するための最良の形態および添付図面によって明らかになるものである。   Further features of the present invention will become apparent from the best mode for carrying out the present invention and the accompanying drawings.

本発明によれば、暗号ファイルが存在するフォルダに対してファイルアクセスする場合に、ユーザが実際にファイルの使用を開始した時点で、ユーザのファイル操作と同期してフォルダ毎の認証を行うことで、不正アクセスのリスクを軽減する。また、ユーザが実際に必要な鍵情報のみをPCに格納することでセキュリティリスクを軽減することが可能になる。   According to the present invention, when a file is accessed to a folder in which an encrypted file exists, authentication is performed for each folder in synchronization with the user's file operation when the user actually starts using the file. , Reduce the risk of unauthorized access. Further, it is possible to reduce the security risk by storing only the key information actually necessary for the user in the PC.

本発明の実施形態による認証処理システムの概略構成を示す図である。It is a figure which shows schematic structure of the authentication processing system by embodiment of this invention. フォルダ認証処理を説明するためのフローチャートである。It is a flowchart for demonstrating a folder authentication process. 複数フォルダ認証の概念を説明するための図である。It is a figure for demonstrating the concept of multiple folder authentication. 複数フォルダ認証処理を説明するためのフローチャートである。It is a flowchart for demonstrating a multiple folder authentication process. 複数ファイルアクセス時のフォルダ認証の概念を説明するための図である。It is a figure for demonstrating the concept of the folder authentication at the time of multiple file access. 複数ファイルアクセス時のフォルダ認証処理を説明するためのフローチャートである。It is a flowchart for demonstrating the folder authentication process at the time of multiple file access.

符号の説明Explanation of symbols

1…クライアント端末
2…ファイルサーバ
3…認証サーバ
4…ネットワーク
5…利用者
11…フォルダ認証処理ドライバ
12…暗号処理プログラム部
13…上位アプリケーション
14…リダイレクタ
15…クライアントサービス部
100…認証処理システムDESCRIPTION OF SYMBOLS 1 ... Client terminal 2 ... File server 3 ... Authentication server 4 ... Network 5 ... User 11 ... Folder authentication processing driver 12 ... Cryptographic processing program part 13 ... High-order application 14 ... Redirector 15 ... Client service part 100 ... Authentication processing system

本発明は、暗号ファイルが存在するフォルダに対してファイルアクセスする場合に、ユーザが実際にファイルの使用を開始した時点(ファイルをクリックしたり、カーソルをファイル上に合わせたとき)で、ユーザのファイル操作と同期して、フォルダ毎の認証を提供することを可能とするオンデマンドの認証処理システムを提供する。   In the present invention, when a file is accessed to a folder where an encrypted file exists, the user actually starts using the file (when the user clicks on the file or moves the cursor over the file). Provided is an on-demand authentication processing system capable of providing authentication for each folder in synchronization with file operations.

以下、本発明による実施形態について添付図面を用いて詳細に説明する。なお、本発明による実施形態は本発明を実現する上での一例に過ぎず、本発明はこれによって限定されるものではなく、発明の本質を逸脱しない範囲で変更又は/及び改良することができる。   Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. The embodiment according to the present invention is only an example for realizing the present invention, and the present invention is not limited thereto, and can be changed or / and improved without departing from the essence of the invention. .

<認証処理システムの構成>
図1は、本発明の実施形態に係る認証処理システム100の概略構成を示すブロック図である。認証処理システム100は、フォルダ認証及び暗号ファイルの暗号化・復号化等を行うクライアント端末1と、暗号ファイルを保存するファイルサーバ2と、暗号ファイルアクセスのためのユーザ認証を行う認証サーバ3とを備え、それぞれがネットワーク4で接続されて構成されている。なお、クライアント端末1に、認証サーバ3で実行する認証プログラム及びファイルサーバ2のフォルダに対応する機密フォルダを持たせる構成を採用しても良い。<Configuration of authentication processing system>
FIG. 1 is a block diagram showing a schematic configuration of an authentication processing system 100 according to an embodiment of the present invention. The authentication processing system 100 includes a client terminal 1 that performs folder authentication and encryption / decryption of an encrypted file, a file server 2 that stores an encrypted file, and an authentication server 3 that performs user authentication for accessing the encrypted file. Each of which is connected by a network 4. Note that a configuration may be adopted in which the client terminal 1 has an authentication program executed by the authentication server 3 and a confidential folder corresponding to the folder of the file server 2.

クライアント端末1では、フォルダ単位で同一フォルダ内のファイルに対する認証(以下、「フォルダ認証」という)を行うフォルダ認証処理ドライバ11と、暗号ファイルの暗号・復号処理を行う暗号処理プログラム部12と、ユーザ5等によって起動される上位アプリケーション13と、指定されたファイルをネットワーク上のファイルサーバ2から検索して読み込んでくるリダイレクタ14と、フォルダ認証を制御するクライアントサービス部15等が稼動している。   In the client terminal 1, a folder authentication processing driver 11 that performs authentication (hereinafter referred to as “folder authentication”) for files in the same folder in units of folders, an encryption processing program unit 12 that performs encryption / decryption processing of encrypted files, and a user A higher-level application 13 activated by 5 or the like, a redirector 14 that retrieves a specified file from the file server 2 on the network, and a client service unit 15 that controls folder authentication are operating.

ファイルサーバ2には、暗号ファイル22が格納される共有機密フォルダ21が存在している。   The file server 2 has a shared secret folder 21 in which the encrypted file 22 is stored.

認証サーバ3は、クライアントサービス部15と相互に通信し、ユーザ認証を実行する。クライアントサービス部15は、入力部17からユーザ5によって入力されたパスワード等を認証サーバ3に引渡して認証要求をする。認証サーバ3は、その認証要求に従って、ユーザ認証を実行し、その成否をクライアントサービス部15に通知する。   The authentication server 3 communicates with the client service unit 15 and performs user authentication. The client service unit 15 hands over the password input by the user 5 from the input unit 17 to the authentication server 3 and makes an authentication request. The authentication server 3 executes user authentication in accordance with the authentication request and notifies the client service unit 15 of the success or failure.

<暗号ファイルへのアクセス>
次に、ユーザ5がネットワーク上の共有機密フォルダ21に格納されている暗号ファイル22をアクセスする手順について説明する。<Access to encrypted files>
Next, a procedure for the user 5 to access the encrypted file 22 stored in the shared secret folder 21 on the network will be described.

ユーザ5が、クライアント端末1の上位アプリケーション13を介して共有機密フォルダ21の暗号ファイル22にアクセスした場合、フォルダ認証処理ドライバ11がファイルI/Oを検知する。フォルダ認証処理ドライバ11は共有機密フォルダ21の認証状態を、認証状態管理テーブル19を用いてチェックし、未認証の場合は検知したファイルI/Oを一時的にブロックする。ここで、認証状態管理テーブル19は、アクセスした暗号ファイルが属するフォルダに対して認証が完了しているか否かを管理するテーブルであり、フォルダ識別情報に対応して、認証中、認証済の状態を格納している。例えば、テーブル中にあるフォルダの識別情報がなければ当該フォルダは未認証の状態であることが分かるようにしても良いし、ファイルサーバにある全てのフォルダの識別情報を取得して認証済・未認証を管理するようにしても良い。なお、この認証状態管理テーブル19は、正規ユーザ5のログアウトによってリセットされ、再度ログインしたときに各フォルダの認証状態の管理が再開される。つまり、フォルダ認証は1回のログイン中にのみ有効であり、ログアウトして次のログインが行われれば、前回にフォルダ認証済であっても再度フォルダ認証されるのである。   When the user 5 accesses the encrypted file 22 of the shared confidential folder 21 via the upper application 13 of the client terminal 1, the folder authentication processing driver 11 detects the file I / O. The folder authentication processing driver 11 checks the authentication status of the shared secret folder 21 using the authentication status management table 19 and temporarily blocks the detected file I / O if it is not authenticated. Here, the authentication status management table 19 is a table for managing whether or not the authentication to the folder to which the accessed encrypted file belongs has been completed. Is stored. For example, if there is no identification information of a folder in the table, it may be understood that the folder is in an unauthenticated state, or the identification information of all folders in the file server is acquired and authenticated / unauthenticated. Authentication may be managed. The authentication status management table 19 is reset when the authorized user 5 logs out, and the management of the authentication status of each folder is resumed when logging in again. In other words, folder authentication is effective only during one login, and if the next login is performed after logout, the folder authentication is performed again even if the folder has been authenticated previously.

フォルダ認証処理ドライバ11は、クライアントサービス部15に対して、共有機密フォルダ21の認証要求を通知する。そして、クライアントサービス部15は、画面表示部16、入力部17を介して、ユーザ5に認証のためにパスワード等の入力を要求する。パスワード等を受取ったクライアントサービス部15は、認証サーバ3に問合せて認証を要求し、認証がOKの場合は共有機密フォルダ21の暗号鍵18を取得して認証結果とともにフォルダ認証処理ドライバ11に渡す。   The folder authentication processing driver 11 notifies the client service unit 15 of an authentication request for the shared secret folder 21. Then, the client service unit 15 requests the user 5 to input a password or the like for authentication via the screen display unit 16 and the input unit 17. The client service unit 15 that has received the password or the like makes an inquiry to the authentication server 3 to request authentication. If the authentication is OK, the client service unit 15 acquires the encryption key 18 of the shared secret folder 21 and passes it to the folder authentication processing driver 11 together with the authentication result. .

認証結果が成功である場合、フォルダ認証処理ドライバ11は、一時的にブロック中のファイルI/Oのブロックを解除する。フォルダ認証処理ドライバ11は、ファイルI/Oをリダイレクタ14に伝える。   If the authentication result is successful, the folder authentication processing driver 11 temporarily releases the blocked file I / O block. The folder authentication processing driver 11 informs the redirector 14 of file I / O.

ファイルI/Oを受け取ったリダイレクタ14は、ファイルI/Oが読み込みの場合、ファサーバ2を検索して、共有機密フォルダ21内の暗号ファイル22の暗号データを読み込んで、フォルダ認証処理ドライバ11に引き渡す。なお、ファイルI/Oが書き込みの場合、リダイレクタ14は、共有機密フォルダ21に書き込むべき暗号データをファイルとして格納する。   The redirector 14 that has received the file I / O searches the faserver 2 when the file I / O is read, reads the encrypted data of the encrypted file 22 in the shared confidential folder 21, and delivers it to the folder authentication processing driver 11. . When the file I / O is a write, the redirector 14 stores the encrypted data to be written in the shared secret folder 21 as a file.

フォルダ認証処理ドライバ11は、受け取った暗号データと、先にクライアントサービス部15から受け取った暗号鍵18を暗号処理プログラム部12に引き渡す。暗号処理プログラム部12は暗号鍵18を使用して、暗号データを復号する。フォルダ認証処理ドライバ11は、復号データを上位アプリケーション13に引き渡す。   The folder authentication processing driver 11 delivers the received encryption data and the encryption key 18 received from the client service unit 15 to the encryption processing program unit 12. The encryption processing program unit 12 uses the encryption key 18 to decrypt the encrypted data. The folder authentication processing driver 11 delivers the decrypted data to the upper application 13.

<フォルダ認証処理>
図2は、フォルダ認証処理を説明するためのフローチャートである。フォルダ認証処理では、フォルダ認証処理ドライバ11がファイルI/O検知後に共有機密フォルダの認証状態を判別し、ファイルI/Oを制御し、フォルダ認証を行っている。<Folder authentication process>
FIG. 2 is a flowchart for explaining folder authentication processing. In the folder authentication process, the folder authentication process driver 11 determines the authentication state of the shared secret folder after detecting the file I / O, controls the file I / O, and performs folder authentication.

まず、ユーザ5によって共有機密フォルダ21の暗号ファイルに関してアクセスが開始されると、フォルダ認証処理ドライバ11が、共有機密フォルダ21の暗号ファイル22に関するファイルI/Oを検知する(S201)。そして、フォルダ認証処理ドライバ11は、認証状態管理テーブル19の内容をチェックすることにより暗号ファイルが格納されている共有機密フォルダの認証状態を判定する(S202)。認証状態が「未認証」の場合には処理はステップS203に、認証状態が「認証中」の場合には処理はステップS210に、認証状態が「認証済」の場合には処理はステップS216に、それぞれ移行する。   First, when access to the encrypted file in the shared secret folder 21 is started by the user 5, the folder authentication processing driver 11 detects file I / O related to the encrypted file 22 in the shared secret folder 21 (S201). Then, the folder authentication processing driver 11 determines the authentication status of the shared secret folder in which the encrypted file is stored by checking the contents of the authentication status management table 19 (S202). If the authentication state is “unauthenticated”, the process goes to step S203. If the authentication state is “authenticating”, the process goes to step S210. If the authentication state is “authenticated”, the process goes to step S216. , Migrate each.

認証状態が「未認証」状態の場合は、フォルダ認証処理ドライバ11は、ファイルI/Oを一時的にブロックし(S203)、認証開始をクライアントサービス部15に通知する(S204)。クライアントサービス部15は認証要求を認証サーバ3に通知し、認証サーバ3は、入力されたパスワード等に基づいて認証を行う。   If the authentication state is “unauthenticated”, the folder authentication processing driver 11 temporarily blocks the file I / O (S203), and notifies the client service unit 15 of the start of authentication (S204). The client service unit 15 notifies the authentication server 3 of an authentication request, and the authentication server 3 performs authentication based on the input password or the like.

フォルダ認証処理ドライバ11は、クライアントサービス部15を介して、認証結果を受信する(S205)。また、フォルダ認証処理ドライバ11は、受信した認証結果を確認し、認証結果判定を行い(S206)、認証成功の場合はファイルI/Oのブロックを解除して(S207)、暗号処理プログラム部12が、暗号ファイルの暗号/復号処理を行う(S208)。認証失敗の場合は、フォルダ認証処理ドライバ11は、ファイルI/Oをアクセスエラーにする(S209)。アクセスエラーは、例えば、画面表示部16に表示等され、ユーザ5に通知される。   The folder authentication processing driver 11 receives the authentication result via the client service unit 15 (S205). In addition, the folder authentication processing driver 11 confirms the received authentication result, determines the authentication result (S206), and if the authentication is successful, releases the block of the file I / O (S207), and the encryption processing program unit 12 However, encryption / decryption processing of the encrypted file is performed (S208). If the authentication fails, the folder authentication processing driver 11 sets the file I / O as an access error (S209). For example, the access error is displayed on the screen display unit 16 and notified to the user 5.

認証状態が「認証中」状態の場合は、フォルダ認証処理ドライバ11は、未認証状態と同様にファイルI/Oを一時的にブロックする(S210)。ただし、既に認証処理を開始しているので、クライアントサービス部15への認証開始要求は行わない。また、認証結果を受信した後の処理(S211乃至S215)は、「未認証」状態の場合の処理と同一になるので、ここでは説明を省略する。   When the authentication state is “authenticating”, the folder authentication processing driver 11 temporarily blocks the file I / O as in the unauthenticated state (S210). However, since the authentication process has already been started, an authentication start request to the client service unit 15 is not made. Further, the processing after receiving the authentication result (S211 to S215) is the same as the processing in the “unauthenticated” state, and thus the description thereof is omitted here.

認証状態が「認証済み」の場合は、フォルダ認証処理ドライバ11は、ファイルI/Oのブロック処理等を行わずに、暗号処理プログラム部12が暗号ファイルの暗号/復号(S216)のみ行う。   When the authentication state is “authenticated”, the folder authentication processing driver 11 performs only encryption / decryption (S216) of the encrypted file by the encryption processing program unit 12 without performing file I / O block processing or the like.

<複数フォルダへの同時アクセス発生時の処理>
複数の共有機密フォルダへの同時アクセスが発生した場合は、フォルダ認証処理はシリアライズ化して処理される。図3は、複数の共有機密フォルダ(A〜E)に対する認証処理が同時に発生した場合の処理を示した概念図である。図4は、シリアライズ化されたフォルダ認証処理を説明するためのフローチャートである。なお、図4は図2の(X)の処理が複数発生する場合に対応する。また、図3の参照番号と図4のステップの番号は対応している。<Processing when simultaneous access to multiple folders occurs>
When simultaneous access to a plurality of shared secret folders occurs, the folder authentication process is serialized. FIG. 3 is a conceptual diagram showing processing when authentication processing for a plurality of shared secret folders (A to E) occurs simultaneously. FIG. 4 is a flowchart for explaining the serialized folder authentication process. FIG. 4 corresponds to the case where a plurality of processes in FIG. Also, the reference numbers in FIG. 3 correspond to the step numbers in FIG.

図3では、フォルダAが認証処理中で、フォルダB、C及びDが認証待ちのときに、フォルダE内の暗号ファイルへのアクセスが開始された状態が想定されている。フォルダE内の暗号ファイルへのアクセスが開始されると、暗号ファイルへのファイルI/Oが検知される(S401)。このとき、認証中のフォルダ数が所定値以上の場合(S402)には、即座にアクセスが拒否される(S410)。フォルダ数が所定値未満の場合には、フォルダEは認証処理開始キューに入り(S403)、認証開始まで待機する(S404)。待機時間は予め決められており、タイムアウトの場合には(S405)、該当するフォルダ内の暗号ファイルへのアクセスは拒否される(S410)。図3で示されるように、フォルダキューはFIFOのように、入力された順番にタイムアウトか否か、或いは認証処理開始の判断がなされ、キューから出力されるようになっている。認証処理が開始されると(S406)、フォルダは、認証が成功すれば(S409)アクセス可能(S411)となり、認証処理に所定時間以上かかってしまったり(S407)、認証に失敗する(S408)と、当該フォルダ内の暗号ファイルへのアクセスは拒否される(S410)。   In FIG. 3, it is assumed that access to the encrypted file in the folder E is started when the folder A is in authentication processing and the folders B, C, and D are waiting for authentication. When access to the encrypted file in the folder E is started, file I / O to the encrypted file is detected (S401). At this time, if the number of folders being authenticated is greater than or equal to a predetermined value (S402), access is immediately denied (S410). If the number of folders is less than the predetermined value, the folder E enters the authentication process start queue (S403) and waits until the authentication starts (S404). The waiting time is determined in advance, and in the case of timeout (S405), access to the encrypted file in the corresponding folder is denied (S410). As shown in FIG. 3, the folder queue is output from the queue after it is determined whether or not it is timed out in the input order, or authentication processing start is performed, like a FIFO. When the authentication process is started (S406), if the authentication is successful (S409), the folder becomes accessible (S411), and the authentication process takes more than a predetermined time (S407), or the authentication fails (S408). Then, access to the encrypted file in the folder is denied (S410).

図3の内容をフローチャートで示すと、図4のようになる。共有機密フォルダ内の暗号ファイルへのアクセスが発生した場合、フォルダ認証処理ドライバ11は、暗号ファイルへのファイルI/Oを検知する(S401)。認証中フォルダ数が最大値を超えた場合は、当該フォルダ内の暗号ファイルへのアクセスは拒否される(S402)。   The content of FIG. 3 is shown in a flowchart in FIG. When access to the encrypted file in the shared confidential folder occurs, the folder authentication processing driver 11 detects file I / O to the encrypted file (S401). If the number of folders being authenticated exceeds the maximum value, access to the encrypted file in the folder is denied (S402).

認証フォルダ数が最大値未満であれば、フォルダ認証処理ドライバ11は、当該フォルダを認証処理開始キューに入力する(S403)。既に認証中の共有機密フォルダが存在した場合は、認証処理開始キューで待機する。フォルダ認証処理ドライバ11は、「認証開始待ち」のフォルダについてタイムアウトが発生したか否か監視して、その発生の有無を判断する(S405)。タイムアウトが発生した場合は、当該フォルダ内の暗号ファイルへのアクセスは拒否される(S410)。   If the number of authentication folders is less than the maximum value, the folder authentication processing driver 11 inputs the folder into the authentication processing start queue (S403). If there is a shared secret folder that has already been authenticated, it waits in the authentication processing start queue. The folder authentication processing driver 11 monitors whether or not a timeout has occurred for the “waiting for authentication start” folder, and determines whether or not such a timeout has occurred (S405). If a timeout has occurred, access to the encrypted file in the folder is denied (S410).

フォルダ認証処理ドライバ11は、認証処理開始が可能になった共有機密フォルダを、認証処理開始キューから出力して(S406)、認証処理を開始する。また、フォルダ認証処理ドライバ11は、当該フォルダに関して、「認証処理」タイムアウトが発生したか否か監視して、その発生の有無を判断する(S407)。タイムアウトの場合、当該フォルダ内の暗号ファイルへのアクセスが拒否される(S410)。また、フォルダ認証処理ドライバ11は、認証の成否を判断し(S412)、認証が失敗した場合もアクセスが拒否される(S410)。認証が成功した場合はアクセス許可にして、暗号処理プログラム部12が、暗号ファイルの暗号/復号処理を行う(S411)。   The folder authentication processing driver 11 outputs the shared secret folder for which authentication processing can be started from the authentication processing start queue (S406), and starts the authentication processing. Further, the folder authentication processing driver 11 monitors whether or not an “authentication processing” timeout has occurred for the folder, and determines whether or not the folder has occurred (S407). In the case of timeout, access to the encrypted file in the folder is denied (S410). Further, the folder authentication processing driver 11 determines whether or not the authentication is successful (S412), and if the authentication fails, the access is rejected (S410). If the authentication is successful, access is permitted and the encryption processing program unit 12 performs encryption / decryption processing of the encrypted file (S411).

<同一フォルダ内の複数ファイルアクセス時の処理>
図5は、共有機密フォルダ内の複数の暗号ファイルに対して、同時にファイルI/Oが発生した場合のフォルダ認証処理を示した概念図である。図6は、図5に相当するフォルダ認証処理を説明するためのフローチャートである。なお、図6は図2の(Y)の処理が複数発生する場合に対応する。<Processing when accessing multiple files in the same folder>
FIG. 5 is a conceptual diagram showing folder authentication processing when file I / O occurs simultaneously for a plurality of encrypted files in the shared secret folder. FIG. 6 is a flowchart for explaining the folder authentication process corresponding to FIG. Note that FIG. 6 corresponds to the case where a plurality of processes in FIG.

図5において、フォルダ認証処理ドライバ11は、フォルダAに対する最初のファイルI/Oを検知した時点でクライアントサービス部15に認証開始を要求する。また、認証処理中にフォルダAに対する2番目、3番目のファイルI/Oが発生した場合、フォルダ認証処理ドライバ11は、これら継続ファイルI/Oも一時的にブロックする。そして、フォルダ認証処理ドライバ11は、クライアントサービス部15からフォルダAの認証結果を受け取った時点で、認証結果が成功であれば、ブロック中の全てのファイルI/Oを解放し、全てのファイルI/Oをリダイレクタ14に伝える。認証結果が失敗であれば、ブロック中の全てのファイルI/Oがアクセスエラーとなる。   In FIG. 5, the folder authentication processing driver 11 requests the client service unit 15 to start authentication when the first file I / O for the folder A is detected. Further, when the second and third file I / Os for the folder A occur during the authentication process, the folder authentication process driver 11 temporarily blocks these continuous file I / Os. When the folder authentication processing driver 11 receives the authentication result of the folder A from the client service unit 15 and the authentication result is successful, the folder authentication processing driver 11 releases all the file I / Os in the block and all the file I / Os. Tell / O to redirector 14. If the authentication result is unsuccessful, all file I / Os in the block result in access errors.

図6のフローチャートを参照すると、まず、フォルダ認証処理ドライバ11は、あるフォルダ(例えば、フォルダA)に対する最初のファイルI/Oをブロックする。また、認証処理が完了前に、当該フォルダ(フォルダA)に対して続けて2番目、3番目のファイルI/O発生した場合は、フォルダ認証処理ドライバ11は、これら継続ファイルI/Oも一時的にブロックする(S601)。そして、ブロックしたファイルI/Oは対象フォルダ毎に待ちリストに追加される。ここでは、フォルダAの待ちリストに1〜3番目までのファイルI/Oがリスト化される(S602)。   Referring to the flowchart of FIG. 6, first, the folder authentication processing driver 11 blocks the first file I / O for a certain folder (for example, folder A). In addition, if the second and third file I / Os are continuously generated for the folder (folder A) before the authentication process is completed, the folder authentication process driver 11 also temporarily stores these continuous file I / Os. Block (S601). The blocked file I / O is added to the waiting list for each target folder. Here, the first to third file I / Os are listed in the waiting list of folder A (S602).

フォルダ認証処理ドライバ11は、クライアントサービス部15からフォルダAの認証結果を受け取った(S603)時点で、認証処理の成否を判断し(S604)、認証結果が成功であれば、ブロック中の一番目のファイルI/Oを解放し、リダイレクタ14に伝える(S605)。そして、フォルダ認証処理ドライバ11はアクセス対象の暗号ファイルを取得し、暗号処理プログラム部12が当該暗号ファイルを復号する(S606)。なお、これは暗号ファイル読み出し処理の説明であるが、ファイル書き込みの場合も、認証成功後、ファイルが暗号化されて当該フォルダ(フォルダA)への書き込みが可能となる。   When the folder authentication processing driver 11 receives the authentication result of the folder A from the client service unit 15 (S603), the folder authentication processing driver 11 determines the success or failure of the authentication processing (S604). The file I / O is released and transmitted to the redirector 14 (S605). Then, the folder authentication processing driver 11 acquires the encryption file to be accessed, and the encryption processing program unit 12 decrypts the encryption file (S606). Although this is an explanation of the encrypted file reading process, even in the case of file writing, after successful authentication, the file is encrypted and can be written to the folder (folder A).

認証結果が失敗であれば、フォルダ認証処理ドライバ11は、ブロック中の一番目のファイルI/Oをアクセスエラーにする(S607)。   If the authentication result is unsuccessful, the folder authentication processing driver 11 sets the first file I / O in the block as an access error (S607).

続いて、フォルダ認証処理ドライバ11は、リスト化されているブロック中のファイルI/Oの有無を確認し(S608)、リストに残っている場合は、ブロック中の全てのファイルI/O(図5のこのケースは2番目、3番目のファイルI/O)に対して、認証結果に基づいた処理を行う(S604〜S608)。   Subsequently, the folder authentication processing driver 11 checks the presence / absence of file I / O in the listed block (S608), and if it remains in the list, all the file I / O in the block (see FIG. In this case, the second and third file I / O are processed based on the authentication result (S604 to S608).

<実施形態のまとめ>
本実施形態では、機密フォルダからの暗号ファイル読み出し、或いは、機密フォルダへのファイルの書き込みの際に、ファイルI/Oを検知してブロックし、認証を行う。認証が成功すれば、ファイルI/Oのブロックを解除して、機密フォルダに設定された共通の鍵を用いて、読み出すべき暗号ファイルの復号、書き込むべきファイルの暗号化を行う。復号されたファイルは、アプリケーションを介してユーザに提供され、暗号化されたファイルは、機密フォルダに書き込まれる。このようにすることにより、機密フォルダに対して暗号ファイルの書き込み及び読み出しをする場合に、ユーザが実際にファイルの使用・格納を開始した時点で、フォルダ毎の認証を行うことが可能になる。また、同一フォルダに含まれる暗号ファイルについて、共通の鍵で暗号化・復号化することができるので、ユーザにとってファイル毎に別の鍵で暗号化・復号化するよりも使い勝手がよい。<Summary of Embodiment>
In this embodiment, when reading an encrypted file from a confidential folder or writing a file to the confidential folder, the file I / O is detected and blocked, and authentication is performed. If the authentication is successful, the file I / O block is released, and the encrypted file to be read is decrypted and the file to be written is encrypted using the common key set in the confidential folder. The decrypted file is provided to the user via the application, and the encrypted file is written in the confidential folder. In this way, when writing and reading an encrypted file to and from a confidential folder, it becomes possible to perform authentication for each folder when the user actually starts using and storing the file. Further, since encrypted files included in the same folder can be encrypted / decrypted with a common key, it is more convenient for the user than encrypting / decrypting with different keys for each file.

上記一連の処理は、同一の機密フォルダであってもユーザのログイン毎に実行される。つまり、前回のログインにおいて認証処理が成功し、ある機密フォルダのファイルI/Oが許可されたとしても、一旦ログアウトしてしまえば、次のログイン時に再度認証処理が実行される。このようにすることにより、一度認証してしまえばそれ以降ずっと当該フォルダ内のファイルにアクセスできて、正当でないユーザ(害意を有したユーザ)によるアクセスの脅威に晒されるリスクも極めて低くなる。   The above-described series of processing is executed every time a user logs in even if the same confidential folder is used. That is, even if the authentication process is successful at the previous login and file I / O of a certain confidential folder is permitted, once the user logs out, the authentication process is executed again at the next login. In this way, once authenticated, the files in the folder can be accessed all the time thereafter, and the risk of being exposed to an access threat by an unauthorized user (a malicious user) is extremely low.

また、当該認証処理システムでは、ファイルI/Oに対する認証処理開始のタイミングを管理する。そして、複数のフォルダに含まれるファイルI/Oを検知した場合には、各ファイルI/Oに対する認証処理開始についてのタイムアウト発生を検知し、タイムアウトとなったファイルI/Oに対応するフォルダへのアクセス(ファイルの書き込み及び読み出し)を禁止する。このようにすることにより、複数のフォルダに対するファイルI/Oを効率よく管理することができ、ファイルI/Oの渋滞発生も防止することができるようになる。   Further, the authentication processing system manages the timing of the start of authentication processing for file I / O. When a file I / O included in a plurality of folders is detected, the occurrence of a timeout at the start of authentication processing for each file I / O is detected, and the folder corresponding to the file I / O that has timed out is detected. Access (file writing and reading) is prohibited. In this way, file I / O for a plurality of folders can be managed efficiently, and the occurrence of traffic congestion of file I / O can be prevented.

さらに、当該認証処理システムは、ファイルI/Oに対する認証処理の時間を監視し、タイムアウトとなった認証処理に対応するフォルダへのアクセス(ファイルの書き込み及び読み出し)を禁止する。これにより、何かの不具合等により認証処理に時間が掛かる場合に、別のファイルI/Oに対する認証処理に移行することができるようになるので、処理を効率よく進めることができるようになる。   Further, the authentication processing system monitors the time of authentication processing for the file I / O, and prohibits access (file writing and reading) to the folder corresponding to the authentication processing that has timed out. As a result, when the authentication process takes time due to some trouble or the like, the process can be shifted to the authentication process for another file I / O, so that the process can be efficiently performed.

また、当該認証処理システムにおいて、一のフォルダに対して、複数のファイルI/Oが発生する場合もある。そこで、このような場合、その複数のファイルI/Oを検知してそれらを一時的にブロックする。そして、複数のファイルI/Oのうち最初にファイルI/Oへの認証処理が成功した場合に、他のファイルI/Oに対する全てのブロックを解除する。また、最初のファイルI/Oへの認証処理が失敗の場合には、他のファイルI/Oの全てが禁止する。また、このように、1つのフォルダに対して複数のファイルI/Oがあった場合に、1つのファイルI/Oが許可(不許可)となれば、継続する別のファイルI/Oも許可(不許可)にしているので、ユーザを混乱させることもない。   In the authentication processing system, a plurality of file I / Os may occur for one folder. Therefore, in such a case, the plurality of file I / Os are detected and temporarily blocked. Then, when the authentication process to the file I / O is successful first among the plurality of file I / Os, all blocks for the other file I / Os are released. When the authentication process for the first file I / O fails, all other file I / Os are prohibited. In addition, when there are a plurality of file I / Os for one folder as described above, if one file I / O is permitted (not permitted), another file I / O to be continued is also permitted. (Disallowed) does not confuse the user.

なお、本発明は、実施形態の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をシステム或は装置に提供し、そのシステム或は装置のコンピュータ(又はCPUやMPU)が記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フロッピィ(登録商標)ディスク、CD−ROM、DVD−ROM、ハードディスク、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。   The present invention can also be realized by a program code of software that realizes the functions of the embodiments. In this case, a storage medium in which the program code is recorded is provided to the system or apparatus, and the computer (or CPU or MPU) of the system or apparatus reads the program code stored in the storage medium. In this case, the program code itself read from the storage medium realizes the functions of the above-described embodiment, and the program code itself and the storage medium storing the program code constitute the present invention. As a storage medium for supplying such program code, for example, floppy (registered trademark) disk, CD-ROM, DVD-ROM, hard disk, optical disk, magneto-optical disk, CD-R, magnetic tape, non-volatile A memory card, ROM, or the like is used.

また、プログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。さらに、記憶媒体から読み出されたプログラムコードが、コンピュータ上のメモリに書きこまれた後、そのプログラムコードの指示に基づき、コンピュータのCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。   Also, based on the instruction of the program code, an OS (operating system) running on the computer performs part or all of the actual processing, and the functions of the above-described embodiments are realized by the processing. May be. Further, after the program code read from the storage medium is written in the memory on the computer, the computer CPU or the like performs part or all of the actual processing based on the instruction of the program code. Thus, the functions of the above-described embodiments may be realized.

また、実施の形態の機能を実現するソフトウェアのプログラムコードがネットワークを介して配信されることにより、システム又は装置のハードディスクやメモリ等の記憶手段又はCD-RW、CD-R等の記憶媒体に格納され、そのシステム又は装置のコンピュータ(又はCPUやMPU)が当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行することによっても、達成されるようにしてもよい。   In addition, the program code of the software that realizes the functions of the embodiment is distributed via a network, so that it is stored in a storage means such as a hard disk or memory of a system or apparatus or a storage medium such as a CD-RW or CD-R. It may also be achieved by the computer (or CPU or MPU) of the system or apparatus reading and executing the program code stored in the storage means or the storage medium.

Claims (12)

プログラムを実行するコンピュータを用いて、フォルダ内に格納されている暗号ファイルへのアクセス時に認証処理を実行する、認証処理システムであって、
前記暗号ファイルは、フォルダ毎に共通の暗号鍵で暗号化されており、
前記暗号ファイルへのアクセスを検知するアクセス検知手段と、
前記アクセス検知手段が前記暗号ファイルへのアクセスを検知した場合に、前記暗号ファイルへのアクセスを一時的にブロックするアクセスブロック手段と、
前記アクセスがブロックされた状態で、認証処理を実行する認証手段と、
前記認証処理の結果が認証成功の場合、前記暗号ファイルへのアクセスブロックを解除して前記暗号化ファイルへのアクセスを許可し、前記認証処理の結果が認証失敗の場合、前記暗号ファイルへのアクセスを禁止する、アクセス許可手段と、
前記共通の暗号鍵を用いて、アクセスが許可された暗号ファイルを復号する暗号処理手段と、
を備えることを特徴とする認証処理システム。An authentication processing system that executes authentication processing when accessing a cryptographic file stored in a folder using a computer that executes a program,
The encrypted file is encrypted with a common encryption key for each folder,
Access detection means for detecting access to the encrypted file;
An access blocking means for temporarily blocking access to the encrypted file when the access detecting means detects access to the encrypted file;
Authentication means for executing an authentication process in a state where the access is blocked;
If the result of the authentication process is authentication success, the access block to the encrypted file is released and access to the encrypted file is permitted. If the result of the authentication process is authentication failure, access to the encrypted file is permitted. Prohibit access, access permission means,
An encryption processing means for decrypting an encrypted file permitted to be accessed using the common encryption key;
An authentication processing system comprising: さらに、前記アクセス検知手段が前記暗号ファイルへのアクセスを検知した場合に、前記暗号ファイルが属する前記フォルダの認証状態を判定する認証状態判定手段を備え、
前記認証状態が「未認証」及び「認証中」の場合、前記アクセスブロック手段が、前記暗号化ファイルへのアクセスを一時的にブロックし、
前記認証状態が「認証済」の場合、前記暗号処理手段が、前記共通の暗号鍵を用いて前記暗号ファイルを復号することを特徴とする請求項1に記載の認証処理システム。Further, when the access detection unit detects access to the encrypted file, the access detection unit includes an authentication state determination unit that determines an authentication state of the folder to which the encrypted file belongs
When the authentication status is “unauthenticated” and “authenticating”, the access block means temporarily blocks access to the encrypted file,
2. The authentication processing system according to claim 1, wherein, when the authentication state is “authenticated”, the encryption processing unit decrypts the encrypted file using the common encryption key. 前記アクセス検知手段は、一のフォルダに含まれる複数の暗号ファイルへのそれぞれのアクセスを検知し、
前記アクセス許可手段は、前記複数の暗号ファイルのうち最初にアクセスされた暗号ファイルへの認証処理が成功した場合に、前記複数の暗号ファイルに対する全てのアクセスブロックを解除し、前記最初にアクセスされた暗号ファイルへの認証処理が失敗の場合に、前記複数の暗号ファイルに対する全てのアクセスを禁止することを特徴とする請求項1又は2に記載の認証処理システム。The access detection means detects each access to a plurality of encrypted files included in one folder,
The access permission unit releases all access blocks for the plurality of encrypted files when the authentication process to the first accessed encrypted file among the plurality of encrypted files succeeds, and the first access is made 3. The authentication processing system according to claim 1, wherein when an authentication process for an encrypted file fails, all accesses to the plurality of encrypted files are prohibited. さらに、前記暗号ファイルに対する認証処理開始のタイミングを管理する認証タイミング管理手段を備え、
前記アクセス検知手段は、複数のフォルダに含まれる各暗号ファイルへのそれぞれのアクセスを検知し、
前記認証タイミング管理手段は、前記各暗号ファイルに対する認証処理開始についてのタイムアウト発生を検知し、タイムアウトとなった暗号ファイルへのアクセスを禁止することを特徴とする請求項1乃至3の何れか1項に記載の認証処理システム。Furthermore, an authentication timing management means for managing the timing of starting the authentication process for the encrypted file is provided,
The access detection means detects each access to each encrypted file included in a plurality of folders,
4. The authentication timing management unit according to any one of claims 1 to 3, wherein the authentication timing management unit detects occurrence of a timeout at the start of authentication processing for each encrypted file and prohibits access to the encrypted file that has timed out. The authentication processing system described in 1. さらに、前記暗号ファイルに対する認証処理の時間を監視し、タイムアウトとなった認証処理に対応する暗号ファイルへのアクセスを禁止する認証処理時間管理手段を備えることを特徴とする請求項1乃至4の何れか1項に記載の認証処理システム。   5. The authentication processing time management means for monitoring an authentication processing time for the encryption file and prohibiting access to the encryption file corresponding to the authentication processing that has timed out. The authentication processing system according to claim 1. コンピュータを、フォルダ内に格納されている暗号ファイルへのアクセス時に認証処理を実行する認証処理システムとして機能させるためのプログラムであって、
前記暗号ファイルは、フォルダ毎に共通の暗号鍵で暗号化されており、
前記コンピュータを、
前記暗号ファイルへのアクセスを検知するアクセス検知手段と、
前記アクセス検知手段が前記暗号ファイルへのアクセスを検知した場合に、前記暗号ファイルへのアクセスを一時的にブロックするアクセスブロック手段と、
前記アクセスがブロックされた状態で、認証処理を実行する認証手段と、
前記認証処理の結果が認証成功の場合、前記暗号ファイルへのアクセスブロックを解除して前記暗号化ファイルへのアクセスを許可し、前記認証処理の結果が認証失敗の場合、前記暗号ファイルへのアクセスを禁止する、アクセス許可手段と、
前記共通の暗号鍵を用いて、アクセスが許可された暗号ファイルを復号する暗号処理手段と、として機能させるためのプログラム。A program for causing a computer to function as an authentication processing system that executes authentication processing when accessing an encrypted file stored in a folder,
The encrypted file is encrypted with a common encryption key for each folder,
The computer,
Access detection means for detecting access to the encrypted file;
An access blocking means for temporarily blocking access to the encrypted file when the access detecting means detects access to the encrypted file;
Authentication means for executing an authentication process in a state where the access is blocked;
If the result of the authentication process is authentication success, the access block to the encrypted file is released and access to the encrypted file is permitted. If the result of the authentication process is authentication failure, access to the encrypted file is permitted. Prohibit access, access permission means,
A program for functioning as encryption processing means for decrypting an encrypted file permitted to be accessed using the common encryption key. さらに、前記コンピュータを、前記アクセス検知手段が前記暗号ファイルへのアクセスを検知した場合に、前記暗号ファイルが属する前記フォルダの認証状態を判定する認証状態判定手段として機能させ、
前記認証状態が「未認証」及び「認証中」の場合、前記アクセスブロック手段が、前記暗号化ファイルへのアクセスを一時的にブロックし、
前記認証状態が「認証済」の場合、前記暗号処理手段が、前記共通の暗号鍵を用いて前記暗号ファイルを復号することを特徴とする請求項6に記載のプログラム。Further, when the access detection unit detects access to the encrypted file, the computer functions as an authentication state determination unit that determines an authentication state of the folder to which the encrypted file belongs,
When the authentication status is “unauthenticated” and “authenticating”, the access block means temporarily blocks access to the encrypted file,
The program according to claim 6, wherein, when the authentication state is “authenticated”, the encryption processing unit decrypts the encrypted file using the common encryption key. 前記アクセス検知手段は、一のフォルダに含まれる複数の暗号ファイルへのそれぞれのアクセスを検知し、
前記アクセス許可手段は、前記複数の暗号ファイルのうち最初にアクセスされた暗号ファイルへの認証処理が成功した場合に、前記複数の暗号ファイルに対する全てのアクセスブロックを解除し、前記最初にアクセスされた暗号ファイルへの認証処理が失敗の場合に、前記複数の暗号ファイルに対する全てのアクセスを禁止することを特徴とする請求項6又は7に記載のプログラム。The access detection means detects each access to a plurality of encrypted files included in one folder,
The access permission unit releases all access blocks for the plurality of encrypted files when the authentication process to the first accessed encrypted file among the plurality of encrypted files succeeds, and the first access is made The program according to claim 6 or 7, wherein when the authentication process to the encrypted file fails, all access to the plurality of encrypted files is prohibited. さらに、前記コンピュータを、前記暗号ファイルに対する認証処理開始のタイミングを管理する認証タイミング管理手段として機能させ、
前記アクセス検知手段は、複数のフォルダに含まれる各暗号ファイルへのそれぞれのアクセスを検知し、
前記認証タイミング管理手段は、前記各暗号ファイルに対する認証処理開始についてのタイムアウト発生を検知し、タイムアウトとなった暗号ファイルへのアクセスを禁止することを特徴とする請求項6乃至8の何れか1項に記載のプログラム。Further, the computer is caused to function as an authentication timing management means for managing the timing of the authentication process start for the encrypted file,
The access detection means detects each access to each encrypted file included in a plurality of folders,
9. The authentication timing management unit according to any one of claims 6 to 8, wherein the authentication timing management unit detects occurrence of a timeout at the start of authentication processing for each encrypted file and prohibits access to the encrypted file that has timed out. The program described in. さらに、前記コンピュータを、前記暗号ファイルに対する認証処理の時間を監視し、タイムアウトとなった認証処理に対応する暗号ファイルへのアクセスを禁止する認証処理時間管理手段として機能させることを特徴とする請求項6乃至9の何れか1項に記載のプログラム。   Further, the computer is caused to function as an authentication processing time management unit that monitors an authentication processing time for the encrypted file and prohibits access to the encrypted file corresponding to the time-out authentication processing. The program according to any one of 6 to 9. プログラムを実行するコンピュータを用いて、フォルダ内に格納されている暗号ファイルへのアクセス時に認証処理を実行する、認証処理方法であって、
前記暗号ファイルは、フォルダ毎に共通の暗号鍵で暗号化されており、
アクセス検知手段が、前記暗号ファイルへのアクセスを検知する工程と、
前記アクセス検知手段が前記暗号ファイルへのアクセスを検知した場合に、アクセスブロック手段が、前記暗号ファイルへのアクセスを一時的にブロックする工程と、
認証手段が、前記アクセスがブロックされた状態で、認証処理を実行する工程と、
アクセス許可手段が、前記認証処理の結果が認証成功の場合、前記暗号ファイルへのアクセスブロックを解除して前記暗号化ファイルへのアクセスを許可し、前記認証処理の結果が認証失敗の場合、前記暗号ファイルへのアクセスを禁止する工程と、
暗号処理手段が、前記共通の暗号鍵を用いて、アクセスが許可された暗号ファイルを復号する工程と、
を備えることを特徴とする認証処理方法。An authentication processing method for executing an authentication process when accessing a cryptographic file stored in a folder using a computer that executes a program,
The encrypted file is encrypted with a common encryption key for each folder,
An access detecting means for detecting access to the encrypted file;
An access block means temporarily blocking access to the encrypted file when the access detecting means detects access to the encrypted file;
An authenticating unit executing an authentication process in a state where the access is blocked;
An access permission unit, if the result of the authentication process is successful, releases the access block to the encrypted file and permits access to the encrypted file; if the result of the authentication process is an authentication failure, A process of prohibiting access to the encrypted file;
An encryption processing unit decrypting an encrypted file permitted to be accessed using the common encryption key;
An authentication processing method comprising: プログラムを実行するコンピュータを用いて、機密フォルダ内にファイルを書き込むときに認証処理を実行する、認証処理システムであって、
前記機密フォルダ内のファイルは、共通の暗号鍵で暗号化されるようになっており、
前記機密フォルダへのファイル書き込み動作を検知するアクセス検知手段と、
前記アクセス検知手段が前記ファイル書き込み動作を検知した場合に、前記ファイルの書き込みを一時的にブロックするアクセスブロック手段と、
前記書き込みがブロックされた状態で、認証処理を実行する認証手段と、
前記認証処理の結果が認証成功の場合、前記書き込みのブロックを解除し、前記認証処理の結果が認証失敗の場合、前記機密フォルダに対する前記ファイルの書き込みを禁止する、アクセス許可手段と、
前記共通の暗号鍵を用いて、前記ブロック解除されたファイルを暗号化して、前記機密フォルダに書き込む暗号処理手段と、
を備えることを特徴とする認証処理システム。An authentication processing system that executes authentication processing when writing a file in a confidential folder using a computer that executes a program,
The files in the confidential folder are encrypted with a common encryption key,
Access detecting means for detecting a file writing operation to the confidential folder;
Access block means for temporarily blocking writing of the file when the access detecting means detects the file writing operation;
Authentication means for executing authentication processing in a state where the writing is blocked;
An access permission means for releasing the block of writing when the result of the authentication processing is successful, and prohibiting writing of the file to the confidential folder when the result of the authentication processing is authentication failure;
Using the common encryption key, encrypting the unblocked file and writing to the confidential folder;
An authentication processing system comprising:
JP2009527969A 2007-08-10 2007-08-10 Authentication processing system, authentication processing method, and program Expired - Fee Related JP4801777B2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2007/065721 WO2009022376A1 (en) 2007-08-10 2007-08-10 Authentication process system, authentication process method, and program

Publications (2)

Publication Number Publication Date
JPWO2009022376A1 true JPWO2009022376A1 (en) 2010-11-11
JP4801777B2 JP4801777B2 (en) 2011-10-26

Family

ID=40350440

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009527969A Expired - Fee Related JP4801777B2 (en) 2007-08-10 2007-08-10 Authentication processing system, authentication processing method, and program

Country Status (2)

Country Link
JP (1) JP4801777B2 (en)
WO (1) WO2009022376A1 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09204330A (en) * 1995-10-26 1997-08-05 Hitachi Ltd Device and method for ciphering and deciphering information
JP3989579B2 (en) * 1997-01-20 2007-10-10 株式会社ブロードリーフ Computer system
US6272631B1 (en) * 1997-06-30 2001-08-07 Microsoft Corporation Protected storage of core data secrets
JP3717135B2 (en) * 1997-07-14 2005-11-16 富士通株式会社 Multiple WWW server cooperation system, multiple WWW server cooperation method, and recording medium
RU2316121C2 (en) * 2004-03-02 2008-01-27 Самсунг Электроникс Ко., Лтд. Device and method for providing notification about operation status of digital rights management

Also Published As

Publication number Publication date
JP4801777B2 (en) 2011-10-26
WO2009022376A1 (en) 2009-02-19

Similar Documents

Publication Publication Date Title
CN109923548B (en) Method, system and computer program product for implementing data protection by supervising process access to encrypted data
US7487366B2 (en) Data protection program and data protection method
EP2932430B1 (en) Encryption-based data access management
US8489889B1 (en) Method and apparatus for restricting access to encrypted data
AU2008341026C1 (en) System and method for securing data
JP5270694B2 (en) Client computer, server computer thereof, method and computer program for protecting confidential file
EP1953670A2 (en) System and method of storage device data encryption and data access
US20070011469A1 (en) Secure local storage of files
US20070011749A1 (en) Secure clipboard function
WO2007008808A2 (en) Maintaining security for file copy operations
JP2007325274A (en) System and method for inter-process data communication
US10164980B1 (en) Method and apparatus for sharing data from a secured environment
US20170201528A1 (en) Method for providing trusted service based on secure area and apparatus using the same
JP2007199978A (en) Information processor, portable terminal equipment, and information processing execution control method
JP4801777B2 (en) Authentication processing system, authentication processing method, and program
WO2023090157A1 (en) Data processing device, data processing method, and computer-readable recording medium
KR100981301B1 (en) Method and Apparatus Useful for Preventing Sensitive Information from Flowing Out in Personal Computer
KR101839699B1 (en) Method for maintaining security without exposure authentication information, and secure usb system
Johnson et al. Securing stored data
Edge et al. Encrypting Files and Volumes

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100113

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100122

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110802

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110805

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140812

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees