JP2005286402A - Server and program for encryption key management terminal and program for acquiring encryption key system and method for encryption key management - Google Patents
Server and program for encryption key management terminal and program for acquiring encryption key system and method for encryption key management Download PDFInfo
- Publication number
- JP2005286402A JP2005286402A JP2004093308A JP2004093308A JP2005286402A JP 2005286402 A JP2005286402 A JP 2005286402A JP 2004093308 A JP2004093308 A JP 2004093308A JP 2004093308 A JP2004093308 A JP 2004093308A JP 2005286402 A JP2005286402 A JP 2005286402A
- Authority
- JP
- Japan
- Prior art keywords
- user
- encryption key
- file
- identifier
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、複数の端末から参照可能な共有ファイルの暗号鍵を管理する暗号鍵管理サーバ及び暗号鍵管理プログラム、暗号鍵を取得する暗号鍵取得端末及び暗号鍵取得プログラム、暗号鍵管理サーバ及び暗号鍵取得端末における暗号鍵管理システム及び暗号鍵管理方法に関する。 The present invention relates to an encryption key management server and an encryption key management program for managing an encryption key of a shared file that can be referenced from a plurality of terminals, an encryption key acquisition terminal and an encryption key acquisition program for acquiring an encryption key, an encryption key management server, and an encryption The present invention relates to an encryption key management system and an encryption key management method in a key acquisition terminal.
近年の情報機器の発達に伴い、会社や団体などの組織の業務においても日常的にパーソナルコンピュータなどの情報機器が利用されている。各個人にコンピュータが割り当てられ、顧客向けの提案資料や研究報告の作成などの実務を行うのみならず、書類の回付や、検閲などにも利用される場合がある。この様な場合、複数のコンピュータから当該ファイルにアクセスできることが求められる。 With the development of information devices in recent years, information devices such as personal computers are used on a daily basis in the work of organizations such as companies and organizations. A computer is assigned to each individual and may be used not only for making proposals and research reports for customers, but also for distributing documents and for censorship. In such a case, it is required that the file can be accessed from a plurality of computers.
例えば組織においては、コンピュータが参加するネットワークドメインの中にファイルサーバを設け、複数のクライアントからファイルサーバ内に設定された共有フォルダ及び共有ファイルにアクセスすることができる。これらのフォルダやファイルは、その属性に応じてアクセスできる人が制限されていることが好ましい。このアクセス権は、ユーザ毎に設けられても良いし、ユーザの役職や部署毎に設けられても良い。 For example, in an organization, a file server is provided in a network domain in which computers participate, and a shared folder and a shared file set in the file server can be accessed from a plurality of clients. It is preferable that those who can access these folders and files are limited according to their attributes. This access right may be provided for each user, or may be provided for each user's job title or department.
情報漏洩を阻止し所定の人のみが閲覧できるように、これらのフォルダやファイルは暗号鍵で暗号化されているのが好ましい。例えば暗号化されたファイルが、アクセス権を持たない第三者によって不正に取得されたとしても、暗号鍵がなければそのファイルを復号化することができず、情報漏洩という最悪の事態を回避することができる。 These folders and files are preferably encrypted with an encryption key so that information leakage is prevented and only a predetermined person can view. For example, even if an encrypted file is illegally acquired by a third party without access rights, the file cannot be decrypted without the encryption key, avoiding the worst situation of information leakage be able to.
しかし、フォルダやファイル毎に暗号鍵が設定され、クライアントからそのフォルダやファイルにアクセスする度に暗号鍵を入力させるのは困難となる問題がある。暗号強度を高くするためには暗号鍵のビット数を増やしたり暗号鍵に利用する文字や記号の種類を増やすことが一般的であるが、暗号強度を高くするとその一方で暗号鍵を記憶しにくくなってしまう。従って、フォルダやファイル毎に暗号鍵が設定されていても、ユーザはそれぞれに対する暗号鍵を記憶することが困難である。又、ユーザや役職及び部課毎に暗号鍵が設定される場合もあり、ユーザ自身でファイルやフォルダ毎に全ての暗号鍵を記憶したり管理することは困難である。 However, an encryption key is set for each folder or file, and it is difficult to input the encryption key every time the client accesses the folder or file. In order to increase the encryption strength, it is common to increase the number of bits of the encryption key or increase the types of characters and symbols used for the encryption key. However, if the encryption strength is increased, it is difficult to memorize the encryption key. turn into. Therefore, even if an encryption key is set for each folder or file, it is difficult for the user to store the encryption key for each folder or file. Also, an encryption key may be set for each user, job title, and department, and it is difficult for the user to store and manage all the encryption keys for each file or folder.
ここで、アプリケーションプログラムからのファイル操作要求をフックし、自動的に暗号化復号化を行い、暗号化の対象とするディレクトリと暗号化したファイルを復号可能なユーザーリストを予めユーザ毎に設定したグループ暗号方法がある(例えば、特許文献1)。更に特許文献1に記載のグループ暗号方法においては、グループ鍵を生成して端末に返送する。特許文献1に記載の方法においては、復号しても良いユーザリストを組み込み、不正なユーザが復号を試みても復号できなくすることができる。
しかし、特許文献1に記載のグループ暗号方法においては、ユーザリストに基づいて暗号鍵を返送しているので、ユーザが一度暗号鍵を取得してしまうと、不正なユーザに暗号鍵が盗まれた場合でも、ファイルを復号化できてしまう問題点がある。これに伴い、よりセキュリティ強度の高い暗号鍵の管理方法が求められている。
However, in the group encryption method described in
そこで、本発明は、よりセキュリティ強度の高い暗号鍵管理サーバ、暗号鍵管理プログラム、暗号鍵取得端末、暗号鍵取得プログラム、暗号鍵管理システム及び暗号鍵管理方法を提供することを目的としている。 Accordingly, an object of the present invention is to provide an encryption key management server, an encryption key management program, an encryption key acquisition terminal, an encryption key acquisition program, an encryption key management system, and an encryption key management method with higher security strength.
上記課題を解決するために、本発明の第1の特徴に係る暗号鍵管理サーバは、ユーザのユーザ識別子及びユーザの所属する所属部課の少なくとも一つをユーザ認証サーバから受信し、ユーザ情報として記憶装置に記憶する手段と、記憶装置からユーザ情報を読み出すとともに、ユーザ識別子及び所属部課の少なくとも一つが読み出すことのできるファイルの識別子と、ファイルを平文化する暗号鍵とが、ユーザ識別子及び所属部課の少なくとも一つに関連づけて鍵情報を生成し記憶装置に記憶する手段と、ユーザ認証サーバによりユーザのログインが認証された場合、ユーザのユーザ端末から受信する暗号鍵の取得リクエストに基づいて、記憶装置から鍵情報を読み出し、ユーザのユーザ識別子及びユーザの所属部課に関連づけられたファイルの識別子と暗号鍵を抽出して、ユーザ端末に送信する手段とを備える。 In order to solve the above-described problem, the encryption key management server according to the first feature of the present invention receives at least one of the user identifier of the user and the department to which the user belongs from the user authentication server and stores it as user information. Means for storing in the device, reading user information from the storage device, and an identifier of the file that can be read by at least one of the user identifier and the affiliated department, and an encryption key for normalizing the file include the user identifier and the affiliated department A means for generating key information in association with at least one and storing it in the storage device, and a storage device based on an acquisition request for an encryption key received from the user terminal of the user when the user authentication server authenticates the login of the user The key information is read from the file, and the file associated with the user identifier and the user's department Extracts identifier and the encryption key, and means for transmitting to the user terminal.
ここで、ユーザ識別子とは、ユーザ名やユーザIDなど、ユーザを一意に識別する文言のことである。又、ユーザの所属部課とは、ユーザが所属する部署は勿論のこと、部署に関係ないワークグループや役職などのユーザ属性に関する情報全てを含む。 Here, the user identifier is a word that uniquely identifies the user, such as a user name or a user ID. The user's department section includes not only the department to which the user belongs, but also all information related to user attributes such as work groups and job titles not related to the department.
このような本発明の第1の特徴に係る暗号鍵管理サーバによれば、ユーザ認証サーバにおけるユーザの認証に基づいて暗号鍵を提供することができる。また、ファイル識別子毎の暗号鍵がユーザ端末の記憶装置に記憶されるので、ユーザはファイルやフォルダ毎に暗号鍵を記憶する必要がない。 According to the encryption key management server according to the first feature of the present invention, an encryption key can be provided based on user authentication in the user authentication server. In addition, since the encryption key for each file identifier is stored in the storage device of the user terminal, the user does not need to store the encryption key for each file or folder.
又、ファイルは、複数のユーザ端末によって接続可能なファイルサーバに記憶され、ユーザ識別子及び所属部課の少なくとも一つに関連づけられた暗号鍵で保護される共有ファイルであることが好ましい。 The file is preferably a shared file that is stored in a file server that can be connected by a plurality of user terminals and is protected by an encryption key associated with at least one of the user identifier and the assigned department.
これによると、複数のユーザ端末からアクセス可能な共有ファイルにおいて、その複数のユーザ端末に安全に暗号鍵を配布することができる。 According to this, in a shared file accessible from a plurality of user terminals, the encryption key can be securely distributed to the plurality of user terminals.
又、ファイルは、ユーザ端末内部の記憶装置に記憶され、暗号鍵で保護される保護ファイルであることが好ましい。 The file is preferably a protected file stored in a storage device inside the user terminal and protected by an encryption key.
これによると、保護ファイルを暗号化した暗号鍵も暗号鍵管理サーバで管理されるので、ユーザの退職後や急なアクシデントが発生した場合でも、管理者等は暗号鍵を読み出すことにより保護ファイルにアクセスすることができる。 According to this, since the encryption key that encrypts the protected file is also managed by the encryption key management server, even if the user leaves the company or a sudden accident occurs, the administrator etc. can read the encryption key into the protected file by reading the encryption key. Can be accessed.
又、ファイルは、ユーザ端末内部の記憶装置に記憶され、暗号鍵で平文化される第2の暗号鍵で保護される保護ファイルであることが好ましい。 The file is preferably a protected file that is stored in a storage device inside the user terminal and protected by a second encryption key that is plainly stored with the encryption key.
これによると、暗号鍵をユーザが容易に記憶できる文言にし、第2の暗号鍵を保護ファイルのセキュリティ強度を考慮した複雑な文言にすることができるので、暗号鍵と第2の暗号鍵によりより高いセキュリティ強度を実現することができる。 According to this, since the encryption key can be easily worded by the user and the second encryption key can be complicated wording considering the security strength of the protected file, the encryption key and the second encryption key can be used. High security strength can be realized.
本発明の第2の特徴に係る暗号鍵管理プログラムは、ユーザのユーザ識別子及びユーザの所属する所属部課の少なくとも一つをユーザ認証サーバから受信し、ユーザ情報として記憶装置に記憶するステップと、記憶装置からユーザ情報を読み出すとともに、ユーザ識別子及び所属部課の少なくとも一つが読み出すことのできるファイルの識別子と、ファイルを平文化する暗号鍵とが、ユーザ識別子及び所属部課の少なくとも一つに関連づけて鍵情報を生成し記憶装置に記憶するステップと、ユーザ認証サーバによりユーザのログインが認証された場合、ユーザのユーザ端末から受信する暗号鍵の取得リクエストに基づいて、記憶装置から鍵情報を読み出し、ユーザのユーザ識別子及びユーザの所属部課に関連づけられたファイルの識別子と暗号鍵を抽出して、ユーザ端末に送信するステップとをコンピュータに実行させる。 The encryption key management program according to the second aspect of the present invention includes a step of receiving at least one of a user identifier of a user and a department to which the user belongs from a user authentication server, and storing the received information as user information in a storage device; The user information is read from the device, and the file identifier that can be read by at least one of the user identifier and the assigned department, and the encryption key for normalizing the file are associated with at least one of the user identifier and the assigned department. And when the user authentication server authenticates the login of the user, the key information is read from the storage device based on the encryption key acquisition request received from the user terminal of the user, User identifier and identifier of the file associated with the user's department Extracting the key to perform the steps on a computer to be transmitted to the user terminal.
又、ファイルは、複数のユーザ端末によって接続可能なファイルサーバに記憶され、ユーザ識別子及び所属部課の少なくとも一つに関連づけられた暗号鍵で保護される共有ファイルであることが好ましい。 The file is preferably a shared file that is stored in a file server that can be connected by a plurality of user terminals and is protected by an encryption key associated with at least one of the user identifier and the assigned department.
又、ファイルは、ユーザ端末内部の記憶装置に記憶され、暗号鍵で保護される保護ファイルであることが好ましい。 The file is preferably a protected file stored in a storage device inside the user terminal and protected by an encryption key.
又、ファイルは、ユーザ端末内部の記憶装置に記憶され、暗号鍵で平文化される第2の暗号鍵で保護される保護ファイルであることが好ましい。 The file is preferably a protected file that is stored in a storage device inside the user terminal and protected by a second encryption key that is plainly stored with the encryption key.
本発明の第3の特徴に係る暗号鍵取得端末は、ユーザによって入力装置から入力されたユーザ識別子及びパスワードをユーザ認証サーバに送信し、ユーザ認証サーバにおけるユーザの認証を依頼する手段と、ユーザ認証サーバによってユーザが認証されたことを検知すると、暗号鍵管理サーバにユーザ識別子を送信し、暗号鍵管理サーバから、ユーザが読み出すことのできるファイルの識別子とファイルを平文化する暗号鍵とを受信して、ファイルの識別子と暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶する手段と、ユーザ端末でファイルを読み出す場合、記憶装置から鍵情報を読み出して、ファイルの識別子に関連づけられた暗号鍵を抽出し、ファイルを読み出すとともに暗号鍵で平文化する手段とを備える。 An encryption key acquisition terminal according to a third aspect of the present invention includes: means for transmitting a user identifier and a password input by a user from an input device to a user authentication server, and requesting user authentication in the user authentication server; When the server detects that the user has been authenticated, it sends a user identifier to the encryption key management server, and receives from the encryption key management server a file identifier that can be read by the user and an encryption key that standardizes the file. Means for associating a file identifier with an encryption key to generate key information and storing it in a storage device; and when reading a file at a user terminal, the key information is read from the storage device and the encryption key associated with the file identifier And means for reading out the file and plain-writing with the encryption key.
本発明の第4の特徴に係る暗号鍵取得プログラムは、ユーザによって入力装置から入力されたユーザ識別子及びパスワードをユーザ認証サーバに送信し、ユーザ認証サーバにおけるユーザの認証を依頼するステップと、ユーザ認証サーバによってユーザが認証されたことを検知すると、暗号鍵管理サーバにユーザ識別子を送信し、暗号鍵管理サーバから、ユーザが読み出すことのできるファイルの識別子とファイルを平文化する暗号鍵とを受信して、ファイルの識別子と暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶するステップと、ユーザ端末でファイルを読み出す場合、記憶装置から鍵情報を読み出して、ファイルの識別子に関連づけられた暗号鍵を抽出し、ファイルを読み出すとともに暗号鍵で平文化するステップとをコンピュータに実行させる。 An encryption key acquisition program according to a fourth aspect of the present invention includes a step of transmitting a user identifier and a password input by a user from an input device to a user authentication server, requesting user authentication in the user authentication server, and user authentication When the server detects that the user has been authenticated, it sends a user identifier to the encryption key management server, and receives from the encryption key management server a file identifier that can be read by the user and an encryption key that standardizes the file. The step of generating the key information by associating the file identifier with the encryption key and storing it in the storage device, and when reading the file at the user terminal, the key information is read from the storage device and the encryption key associated with the file identifier Extracting the file, reading the file, and plain-printing with the encryption key To be executed in.
本発明の第5の特徴に係る暗号鍵管理システムは、ユーザを認証するユーザ認証サーバと、ユーザ認証サーバにユーザの認証を依頼する暗号鍵取得端末を備える暗号鍵管理システムにおいて、ユーザ識別子及びパスワードが関連づけられて記憶された第1のユーザ情報を記憶装置から読み出すとともに、ユーザによって入力されたユーザ識別子に関連づけられたパスワードを第1のユーザ情報から抽出し、抽出されたパスワードと、ユーザ端末から送信されたパスワードとを比較して、一致している場合、ユーザを認証したことを暗号鍵取得端末に送信する手段を備えたユーザ認証サーバと、ユーザによって入力装置から入力されたユーザ識別子及びパスワードをユーザ認証サーバに送信し、ユーザ認証サーバにおけるユーザの認証を依頼する手段と、ユーザ認証サーバによってユーザが認証されたことを検知すると、暗号鍵管理サーバにユーザ識別子を送信し、暗号鍵管理サーバから、ユーザが読み出すことのできるファイルの識別子とファイルを平文化する暗号鍵とを受信して、ファイルの識別子と暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶する手段と、ファイルを読み出す場合、記憶装置から鍵情報を読み出して、ファイルの識別子に関連づけられた暗号鍵を抽出し、ファイルを読み出すとともに暗号鍵で平文化する手段とを備えた暗号鍵取得端末と、暗号鍵取得端末からユーザ識別子を受信すると、記憶装置に記憶され第1のユーザ情報と同期された第2のユーザ情報に基づいて生成されたユーザが読み出すことのできるファイルの識別子とファイルを平文化する暗号鍵とがユーザ識別子に関連づけられて記憶された鍵情報を記憶装置から読み出すとともに、ユーザ識別子に関連づけられたファイルの識別子及び暗号鍵を抽出し、暗号鍵取得端末に送信する手段を備えた暗号鍵管理サーバとを備える。 According to a fifth aspect of the present invention, there is provided an encryption key management system comprising: a user authentication server that authenticates a user; and an encryption key management system that includes an encryption key acquisition terminal that requests the user authentication server to authenticate the user. Is read from the storage device, the password associated with the user identifier input by the user is extracted from the first user information, the extracted password and the user terminal Compared with the transmitted password, if they match, the user authentication server provided with means for transmitting the fact that the user has been authenticated to the encryption key acquisition terminal, and the user identifier and password input from the input device by the user To the user authentication server and request user authentication on the user authentication server. If the user and the user authentication server detect that the user is authenticated, the user identifier is transmitted to the encryption key management server, and the file identifier that can be read by the user from the encryption key management server and the encryption that unifies the file. Means for receiving the key and associating the file identifier with the encryption key to generate key information and storing it in the storage device; when reading the file, the key information is read from the storage device and associated with the file identifier An encryption key acquisition terminal having means for extracting an encryption key, reading a file, and plaintating with the encryption key, and receiving a user identifier from the encryption key acquisition terminal, stored in the storage device and synchronized with the first user information The file identifier and the file that can be read by the user generated based on the generated second user information are plainly displayed. The encryption key is provided with means for reading out the key information stored in association with the user identifier from the storage device, extracting the file identifier and encryption key associated with the user identifier, and transmitting them to the encryption key acquisition terminal. A key management server.
本発明の第6の特徴に係る暗号鍵管理方法は、ユーザによって入力されたユーザ識別子及びパスワードが、ユーザ端末からユーザ認証サーバに送信されるステップと、ユーザ認証サーバにおいて、ユーザ識別子及びパスワードが関連づけられて記憶された第1のユーザ情報をユーザ認証サーバの記憶装置から読み出すとともに、ユーザによって入力されたユーザ識別子に関連づけられたパスワードを第1のユーザ情報から抽出し、抽出されたパスワードと、ユーザ端末から送信されたパスワードとを比較して、一致している場合、ユーザを認証したことをユーザ端末に送信するステップと、ユーザ端末においてユーザが認証されたことを検知すると、ユーザ識別子を暗号鍵管理サーバに送信するステップと、暗号鍵管理サーバにおいてユーザ識別子を受信すると、第1のユーザ情報と同期された暗号鍵管理サーバの記憶装置に記憶された第2のユーザ情報に基づいて生成されたユーザが読み出すことのできるファイルの識別子と、ファイルを平文化する暗号鍵とがユーザ識別子に関連づけられて記憶された鍵情報を暗号鍵管理サーバの記憶装置から読み出すとともに、ユーザ識別子に関連づけられたファイルの識別子及び暗号鍵を抽出し、ユーザ端末に送信するステップと、ユーザ端末において、ユーザ識別子に関連づけられたファイルの識別子及び暗号鍵を受信すると、ユーザ端末の記憶装置に鍵情報として記憶するステップと、ユーザ端末でファイルを読み出す場合、ユーザ端末の記憶装置から鍵情報を読み出して、ファイルの識別子に関連づけられた暗号鍵を抽出し、ファイルを読み出すとともに暗号鍵で平文化するステップとを備える。 The encryption key management method according to the sixth aspect of the present invention relates to the step of transmitting the user identifier and password input by the user from the user terminal to the user authentication server, and associating the user identifier and password with the user authentication server. The first user information stored in the user authentication server is read out from the storage device of the user authentication server, and the password associated with the user identifier input by the user is extracted from the first user information. The password transmitted from the terminal is compared, and if they match, the step of transmitting the fact that the user has been authenticated to the user terminal, and if the user terminal detects that the user has been authenticated, the user identifier is encrypted. Sending to the management server and the user at the encryption key management server When the bespoke is received, the identifier of the file that can be read by the user generated based on the second user information stored in the storage device of the encryption key management server synchronized with the first user information, and the file The key information stored in association with the user identifier is read from the storage device of the encryption key management server, and the file identifier and encryption key associated with the user identifier are extracted and transmitted to the user terminal. And receiving the file identifier and encryption key associated with the user identifier at the user terminal, storing them as key information in the storage device of the user terminal, and storing the user terminal when reading the file at the user terminal Reads key information from the device, extracts the encryption key associated with the file identifier, And a step of plaintext with the encryption key reads the.
従って本発明によれば、よりセキュリティ強度の高い暗号鍵管理サーバ、暗号鍵管理プログラム、暗号鍵取得端末、暗号鍵取得プログラム、暗号鍵管理システム及び暗号鍵管理方法を提供することができる。 Therefore, according to the present invention, it is possible to provide an encryption key management server, an encryption key management program, an encryption key acquisition terminal, an encryption key acquisition program, an encryption key management system, and an encryption key management method with higher security strength.
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。 Next, embodiments of the present invention will be described with reference to the drawings. In the following description of the drawings, the same or similar parts are denoted by the same or similar reference numerals.
(第1の実施の形態)
図1に示すように、本発明の第1の実施の形態に係る暗号鍵管理システムは、ユーザ認証サーバ1、暗号鍵管理サーバ2、ファイルサーバ3、鍵管理者端末4、ユーザ端末5及び6を備えている。これらの端末は、社内LANなどの通信ネットワーク7により相互に接続されている。
(First embodiment)
As shown in FIG. 1, the encryption key management system according to the first embodiment of the present invention includes a
図2に示すように、本発明の最良の実施の形態に係る暗号鍵管理サーバ2は、中央処理制御装置101、ROM(Read Only Memory)102、RAM(Random Access Memory)103及び入出力インタフェース109が、バス110を介して接続されている。入出力インタフェース109には、入力装置104、表示装置105、通信制御装置106、記憶装置107及びリムーバブルディスク108が接続されている。
As shown in FIG. 2, the encryption
中央処理制御装置101は、入力装置104からの入力信号に基づいてROM102から暗号鍵管理サーバ2を起動するためのブートプログラムを読み出して実行し、更に記憶装置107に記憶されたオペレーティングシステムを読み出す。更に中央処理制御装置101は、入力装置104や通信制御装置106などの入力信号に基づいて、各種装置の制御を行ったり、RAM103や記憶装置107などに記憶されたプログラム及びデータを読み出してRAM103にロードするとともに、RAM103から読み出されたプログラムのコマンドに基づいて、データの計算又は加工など、後述する一連の処理を実現する処理装置である。
The central
入力装置104は、操作者が各種の操作を入力するキーボード、マウスなどの入力デバイスにより構成されており、操作者の操作に基づいて入力信号を作成し、入出力インタフェース109及びバス110を介して中央処理制御装置101に送信される。表示装置105は、CRT(Cathode Ray Tube)ディスプレイや液晶ディスプレイなどであり、中央処理制御装置101からバス110及び入出力インタフェース109を介して表示装置105において表示させる出力信号を受信し、例えば中央処理制御装置101の処理結果などを表示する装置である。通信制御装置106は、LANカードやモデムなどの装置であり、暗号鍵管理サーバ2をインターネットやLANなどの通信ネットワークに接続する装置である。通信制御装置106を介して通信ネットワークと送受信したデータは入力信号又は出力信号として、入出力インタフェース及びバス110を介して中央処理制御装置101に送受信される。
The
記憶装置107は磁気ディスク装置であって、中央処理制御装置101で実行されるプログラムやデータが記憶されている。リムーバブルディスク108は、光ディスクやフレキシブルディスクのことであり、ディスクドライブによって読み書きされた信号は、入出力インタフェース109及びバス110を介して中央処理制御装置101に送受信される。
The
本発明の最良の実施の形態に係る暗号鍵管理サーバ2の記憶装置107には、暗号鍵管理プログラムが記憶されるとともに、第2のユーザ情報22、鍵情報23などの情報が記憶される。又、暗号鍵管理プログラムが暗号鍵管理サーバ2の中央処理制御装置101に読み込まれ実行されることによって、ユーザ情報同期手段21及び鍵提供手段24が暗号鍵管理サーバ2に実装される。
The
この様に、暗号鍵管理サーバ2は、例えば一般的なコンピュータに暗号鍵管理プログラムなどのソフトウェアプログラムがインストールされ、そのソフトウェアプログラムが中央処理制御装置において実行されることにより実現される。ユーザ認証サーバ1、ファイルサーバ3、鍵管理者端末4、ユーザ端末5及び6も同様に、一般的なコンピュータに所定のソフトウェアプログラムがインストールされ、そのソフトウェアプログラムが中央処理制御装置において実行されることにより実現される。
In this way, the encryption
ユーザ認証サーバ1は、ユーザ端末5及び6、鍵管理者端末4などから送信されたユーザ名やパスワードに基づいて、通信ネットワーク7上に設けられた管理ドメインへのユーザ端末5及び6、鍵管理者端末4などのログインを認証するサーバであって、第1のユーザ情報11、ユーザ認証手段12を備える。
The
ここで、ユーザ名は、ユーザの名前に限らず、ユーザIDなどのユーザを一意に識別できる文言であれば良い。例えば、ユーザ名としては、「administrator」、「guest」、「kumazaki」などの文言が例に挙げられ、ユーザIDとしては、「S-XXXXXXX-111」などの文言が例に挙げられる。 Here, the user name is not limited to the user name, but may be any wording that can uniquely identify the user such as a user ID. For example, examples of the user name include “administrator”, “guest”, and “kumazaki”, and examples of the user ID include “S-XXXXXXX-111”.
第1のユーザ情報11は、図3に示すように、ユーザ認証サーバ1が管理する通信ネットワーク7にアクセス可能なユーザ毎に、ユーザの所属部署、ユーザのファイルやフォルダに対するアクセス権限、ユーザの通信ネットワーク7へのアクセスに必要なログインパスワードなどが記憶されている。ここでは、ユーザの所属部課が記憶されているが、その他にも所属部課に関係なく設定されたワークグループや役職に応じてアクセス権限が設定される場合、ユーザの役職なども記憶されても良い。
As shown in FIG. 3, the
ユーザ認証手段12は、ユーザ名及びパスワードが関連づけられて記憶された第1のユーザ情報11を記憶装置から読み出すとともに、ユーザによって入力されたユーザ名に関連づけられたパスワードを第1のユーザ情報11から抽出し、抽出されたパスワードと、ユーザ端末から送信されたパスワードとを比較して、一致している場合、ユーザを認証したことをユーザ端末5又は6(暗号鍵取得端末)又は鍵管理者端末4に送信する手段である。
The user authentication means 12 reads out the
暗号鍵管理サーバ2は、ユーザ情報同期手段21、第2のユーザ情報22、鍵情報23及び鍵提供手段24を備えている。
The encryption
ユーザ情報同期手段21は、ユーザ認証サーバ1のユーザ情報11から、ユーザ名及び所属部課のみに係る情報をダウンロードし、第2のユーザ情報22を作成して、記憶装置107に記憶する手段である。ユーザ情報同期手段21は、予め設定された時間に起動され自動的に実行されても良いし、鍵管理者端末4などの入力装置から入力された指示に基づいて実行されても良い。第1のユーザ情報11に記憶されたログインパスワードは、ユーザ認証サーバ1独自のセキュリティ情報なので、暗号鍵管理サーバ2のユーザ情報同期手段21は、ログインパスワードはダウンロードせず、共有フォルダや共有ファイルなどのアクセス権の設定や暗号鍵の設定に必要なユーザ情報及び所属部課などのユーザの属性情報などのみを抽出してダウンロードする。
The user
ここで第2のユーザ情報22は、ユーザ認証サーバ1の記憶装置に記憶された第1のユーザ情報11と同期されたユーザ情報である。第2のユーザ情報22は、図4に示すように、ユーザ名及び所属部課が記憶されており、これらの情報は、ユーザ認証サーバ1の第1のユーザ情報11と同期している。
Here, the
鍵情報23は、例えば、鍵管理者端末4から入力されたフォルダやファイル毎の権限に基づいて、記憶装置107から第2のユーザ情報22を読み出すとともに、ユーザ名及び所属部課の少なくとも一つが読み出すことのできるファイルの識別子と、ファイルを平文化する暗号鍵とが、ユーザ名及び所属部課の少なくとも一つに関連づけて生成され、記憶装置107に記憶された情報である。鍵情報23は、図5に示す様に、所属部課又はユーザ名毎に、対象となるフォルダ又はファイルと、そのフォルダ又はファイルへのアクセス権限、及び暗号鍵が関連づけられて記憶されている。ここでのアクセス権限は、ファイルを読み出す権限、ファイルを更新する権限など、ユーザが実行可能なアクション毎に設定され、それに基づいて暗号鍵が記憶されても良い。又、鍵情報23において、第1のユーザ情報11では存在しない新たなグループを独自に作成して、それにユーザ名を関連づけて、ファイルやフォルダへのアクセス権限を設定しても良い。鍵情報23において、ユーザ毎にファイルやフォルダへアクセスできるか否かを設定しても良いし、図5に示したようなアクセス権限の項目を設けず、ユーザ毎にアクセスできるファイルやフォルダのみが登録されるようにしても良い。
The
鍵提供手段24は、ユーザ認証サーバ1によりユーザのログインが認証された場合、ユーザのユーザ端末5又は6から受信する暗号鍵の取得リクエストに基づいて、記憶装置107から鍵情報23を読み出し、ユーザのユーザ名及びユーザの所属部課に関連づけられたファイルの識別子と暗号鍵を抽出して、ユーザ端末5又は6に送信する手段である。鍵提供手段24は、例えばユーザ端末5からログインしているユーザのユーザ名を含む暗号鍵の取得リクエストを受信すると、鍵情報23を読み出して、ユーザがアクセス可能なファイル又はフォルダの識別子と、その暗号鍵を抽出してユーザ端末5に送信する。更に、ユーザ情報22を参照して、ユーザが所属している所属部課などの属性に付与されたアクセス権限を読み出して、その所属部課でアクセス可能に設定されたファイル又はフォルダの識別子とその暗号鍵を抽出してユーザ端末5に送信するのが好ましい。
When the
鍵提供手段24で設定されるユーザがアクセス可能なファイルは、複数のユーザ端末5又は6などによって接続可能なファイルサーバ3に記憶され、ユーザ名及び所属部課の少なくとも一つに関連づけられた暗号鍵で保護される共有ファイル又は共有フォルダである。
The file that can be accessed by the user set by the key providing means 24 is stored in the
ファイルサーバ3は、複数のユーザ端末5又は6などからアクセス可能な共有ファイル31が記憶された記憶装置を備えている。この共有ファイル31は、通常のファイルと同様に、フォルダやディレクトリなどが関連づけられて記憶されている。共有ファイル31は、例えばユーザ端末5のユーザとユーザ端末6のユーザの二人が読み書きの権限を持っているとすると、ユーザ端末5で書き込まれたファイルをユーザ端末6で読み出すことができる。
The
鍵管理者端末4は、共有ファイル暗号化手段41及び権限設定手段42を備えている。
The
共有ファイル暗号化手段41は、ファイルサーバ3の記憶装置に記憶された共有ファイル31を、ファイル又はフォルダ毎に設定された暗号鍵で暗号化する手段である。暗号化に利用された暗号鍵は、暗号鍵管理サーバ2の鍵情報23で管理される。
The shared
権限設定手段42は、ユーザ又は所属部課、ファイル又はフォルダ毎に暗号鍵を設定し、鍵情報を生成して、暗号鍵管理サーバ2の記憶装置107に鍵情報23として記憶する手段である。暗号鍵管理サーバ2の鍵情報23は、鍵管理者端末4の管理によって、ユーザやファイル毎のアクセス権限が設定されて暗号鍵を関連づけて作成されても良い。又、第2のユーザ情報22や、予め設定された共有ファイル31へのアクセス権限などから暗号鍵管理サーバ2自身によって生成されても良い。
The
ユーザ端末5は、ユーザ認証依頼手段51、鍵取得手段52、鍵情報53及び共有ファイル復号化手段54を備えている。ユーザ端末6もユーザ端末5と同様の構成を備える。
The
ユーザ認証依頼手段51は、ユーザによって入力装置から入力されたユーザ名及びパスワードをユーザ認証サーバ1に送信し、ユーザ認証サーバ1におけるユーザの認証を依頼する手段51である。
The user
鍵取得手段52は、ユーザ認証サーバ1によってユーザが認証されたことを検知すると、暗号鍵管理サーバ2にユーザ名を送信し、暗号鍵管理サーバ2から、ユーザが読み出すことのできるファイルの識別子とファイルを平文化する暗号鍵とを受信して、ファイルの識別子と暗号鍵を関連づけて鍵情報53を生成し記憶装置に記憶する手段である。鍵取得手段52は、ユーザ認証依頼手段51によって送信されたユーザの認証依頼の結果を受信したことをフックして実行されても良いし、ユーザ端末5又は6が通信ネットワーク7へログオンできたことを検知して実行されても良い。この様に鍵取得手段52は、ユーザ端末5又は6がユーザ認証サーバ1によって認証されたことを確認した後に実行されるのが好ましい。
When the
鍵情報53は、共有ファイル31に記憶されたファイル又はフォルダ毎に設定された暗号鍵が記憶されている。
The
共有ファイル復号化手段54は、ユーザ端末5で共有ファイル31のファイルを読み出す場合、記憶装置から鍵情報53を読み出して、ファイルの識別子に関連づけられた暗号鍵を抽出し、ファイルを読み出すとともに暗号鍵で平文化する手段である。例えば共有ファイル復号化手段54は、暗号化されたファイルやフォルダのディスク入出力命令をフックして自動的に暗号化又は復号化処理を行うことによりユーザが行う操作を最小限にしている。例えば、暗号化されたファイルがディスクから読み出されメモリに格納されるときにディスク入出力命令をフックして復号化され、メモリに格納されたファイルをディスクに書き込むときにディスク入出力命令をフックして暗号化する。
When the file of the shared
次に図6を参照して、本発明の第1の実施の形態に係る暗号鍵管理システムの処理について説明する。ここでは、ユーザ端末5が暗号鍵を取得する場合について説明するが、ユーザ端末6についても同様である。
Next, processing of the encryption key management system according to the first embodiment of the present invention will be described with reference to FIG. Here, the case where the
まず、ステップS101において、ユーザ端末5のユーザ認証依頼手段51によってユーザ認証サーバ1へ認証依頼が送信される。このとき、ユーザ端末5においては、例えばユーザによって入力装置から入力されたユーザ名及びログインパスワードに基づいてログインリクエストメッセージを生成し、ユーザ認証サーバ1に送信する。
First, in step S <b> 101, an authentication request is transmitted to the
ユーザ認証サーバ1は、ユーザ端末5からログインリクエストメッセージを受信すると、第1のユーザ情報11を参照してユーザ名とパスワードが合致しているか否かを判定し、ステップS102においてその認証結果をユーザ端末5に送信する。ここでは、ユーザ認証サーバ1がユーザ端末5のユーザを認証できた場合について説明する。
When receiving the login request message from the
ユーザ端末5において、認証結果を受信するとネットワークにログインするとともに、ステップS103において、鍵取得手段52によってユーザ端末5のユーザが認証された認証結果がフックされる。ステップS103において認証結果がフックされると、鍵取得手段52はステップS104において、暗号鍵管理サーバ2対して共有ファイルの暗号鍵の取得リクエストを送信する。このとき鍵取得手段52は、ユーザ端末5にログオンしたユーザ名を暗号鍵管理サーバ2に送信する。暗号鍵管理サーバ2は、ユーザ端末5から共有ファイル暗号鍵リクエストを受信すると、鍵提供手段24によって受信したユーザ名に基づいて、このユーザがアクセス可能な共有ファイルや共有フォルダの識別子、即ちファイル名やフォルダ名と、それらを暗号化又は復号化する暗号鍵とが鍵情報23から抽出される。更に、ステップS105において鍵提供手段24は、共有ファイルの識別子と暗号鍵とをユーザ端末5に対応づけて送信し、ユーザ端末5の鍵取得手段52は鍵情報53として記憶装置に記憶する。
When the
一方、ユーザ端末5のユーザによって入力装置から、ファイルサーバ3に記憶された共有ファイル31へのアクセスが指示されると、ステップS106において、ユーザ端末5は入力装置から入力された共有ファイル31の識別子をファイルサーバ3に送信して、共有ファイルを取得するリクエストを送信する。ファイルサーバ3は、ステップS107において受信した共有ファイルリクエストの共有ファイル識別子に基づいて共有ファイル31から共有ファイル識別子に該当するファイルを抽出し、ユーザ端末5に送信する。ここで送信される共有ファイルは、暗号化されたファイルである。
On the other hand, when the user of the
次に、ステップS108において、共有ファイルのディスク入出力命令をフックして鍵情報53から当該ファイルの暗号鍵を読み出して復号化し、更に共有ファイルを暗号鍵で暗号化してディスクに書き込む。
Next, in step S108, the disk input / output command for the shared file is hooked, the encryption key of the file is read from the
この様に本発明の最良の実施の形態においてはユーザ認証サーバ1で認証されたユーザに対して暗号鍵を送信している。これにより、ユーザ認証サーバ1と暗号鍵管理サーバ2との二つのサーバによる認証が可能となり、セキュリティ強度を格段に向上させることができる。
As described above, in the preferred embodiment of the present invention, the encryption key is transmitted to the user authenticated by the
又、ユーザ認証と鍵管理とを別々のサーバで実現することにより、それぞれのサーバに管理者を配置することができる。そのため、管理者を買収するなど不正な手段でファイルへのアクセス権を得ようとした場合、二人の管理者を共に買収する必要が発生するため、買収等の攻撃への耐久性を向上させることができる。 Also, by implementing user authentication and key management on separate servers, an administrator can be placed on each server. Therefore, if you try to acquire access rights to the file by unauthorized means such as acquiring an administrator, you will need to acquire two administrators together, which improves durability against attacks such as acquisition be able to.
更に、通常はネットワークへログインするためのユーザ認証と暗号鍵を取得するためのユーザ認証との二つの段階を経るところ、ネットワークへのログインのみで暗号鍵を取得することができるため、ユーザの利便性や操作性を飛躍的に向上させることができる。更に、ネットワークへログインするためのパスワードのみを記憶すれば良く、ユーザはファイルやフォルダ毎に暗号鍵を記憶する必要がないメリットも享受することができる。更に、暗号鍵がユーザ端末5の記憶装置に記憶されユーザが記憶する必要がないので、暗号鍵をより複雑により長くすることができる。
In addition, usually through two stages of user authentication for logging in to the network and user authentication for acquiring the encryption key, the encryption key can be acquired only by logging in to the network. Performance and operability can be dramatically improved. Furthermore, only the password for logging in to the network needs to be stored, and the user can also enjoy the advantage of not having to store the encryption key for each file or folder. Furthermore, since the encryption key is stored in the storage device of the
この様に本発明の最良の実施の形態に係る暗号鍵管理システムによれば、更にセキュリティ強度を高く暗号鍵を管理することができる。 As described above, according to the encryption key management system according to the preferred embodiment of the present invention, the encryption key can be managed with higher security strength.
(第2の実施の形態)
次に、図7を参照して本発明の第2の実施の形態に係る暗号鍵管理システムについて説明する。
(Second Embodiment)
Next, an encryption key management system according to the second embodiment of the present invention will be described with reference to FIG.
本発明の第2の実施の形態に係る暗号鍵管理システムは、ユーザ端末5内に保護ファイル55を備えており、暗号鍵管理サーバ2で保護ファイル55の暗号鍵を管理する点が異なる。
The encryption key management system according to the second embodiment of the present invention includes a protection file 55 in the
即ち、本発明の第2の実施の形態に係るユーザ端末5は、保護ファイル55、保護ファイル復号化手段56、保護ファイル暗号鍵57、保護ファイル暗号鍵アップロード手段58を備えている。
That is, the
保護ファイル55は、ユーザ端末5内部の記憶装置に記憶され、保護ファイル暗号鍵57で保護されるファイルである。保護ファイル55を読み出す場合、ユーザに保護ファイル暗号鍵を入力させ一時的に記憶装置に記憶され、更にこの保護ファイル暗号鍵57で保護ファイル55を復号化されてメモリに読み込まれる。ユーザ端末5を複数のユーザで利用する場合、ユーザ毎に保護ファイル55及び保護ファイル暗号鍵57が設定されるのが好ましい。
The protected file 55 is a file that is stored in a storage device inside the
保護ファイル暗号鍵57は、保護ファイル55を復号化又は暗号化するための暗号鍵である。保護ファイル暗号鍵57は、ユーザによって入力されることにより、保護ファイル暗号鍵57に記憶される。
The protected
保護ファイル暗号鍵アップロード手段58は、保護ファイル暗号鍵57に記憶された暗号鍵を暗号鍵管理サーバ2にアップロードする手段である。暗号鍵管理サーバ2は、保護ファイル暗号鍵57に基づくデータを受信すると、鍵情報23にその保護ファイル暗号鍵を記憶する。ユーザ毎に保護ファイル55を設定した場合、ユーザ毎に保護ファイル暗号鍵が記憶されるのが好ましい。保護ファイル暗号鍵アップロード手段58は、ユーザ端末5が通信ネットワーク7に接続されユーザ認証サーバ1によって認証されたときに、暗号鍵管理サーバ2にアップロードするのが好ましい。
The protected file encryption key upload means 58 is means for uploading the encryption key stored in the protection
又、第2の暗号鍵を設定することにより2段階の暗号化を経て保護ファイル55を暗号化しても良い。例えば、保護ファイル暗号鍵57に記憶された暗号鍵で第2の暗号鍵(図示せず)を平文化し、平文化された第2の暗号鍵で保護ファイル55を暗号化する様にしても良い。このとき保護ファイル55は、ユーザ端末5内部の記憶装置に記憶され、保護ファイル暗号鍵57で平文化される第2の暗号鍵で保護される。
Alternatively, the protection file 55 may be encrypted through two-stage encryption by setting a second encryption key. For example, a second encryption key (not shown) is plainly written with the encryption key stored in the protection
これによれば、2重に暗号化して保護ファイル55を保護するだけでなく、ユーザが入力する保護ファイル暗号鍵をユーザ自身が記憶できる程度の暗号鍵を設定し、保護ファイル暗号鍵を入力するとともに第2の暗号鍵を復号化できるので、第2の暗号鍵のビット数を増やしたり利用する文字数を増やすなど、複雑にすることができる。これにより、保護ファイル55はより高いセキュリティレベルで保護される。 According to this, in addition to protecting the protection file 55 by double encryption, an encryption key is set so that the user can store the protection file encryption key input by the user, and the protection file encryption key is input. In addition, since the second encryption key can be decrypted, the number of bits of the second encryption key can be increased or the number of characters to be used can be increased. Thereby, the protection file 55 is protected at a higher security level.
この様に本発明の第2の実施の形態に係る暗号鍵管理システムによれば、ユーザ端末5に保護ファイルを設けることにより、一つのコンピュータを複数で共有する場合でも高いセキュリティを確保することができる。
As described above, according to the encryption key management system according to the second embodiment of the present invention, by providing a protection file in the
更に、保護ファイル暗号価値を暗号鍵管理サーバ2にアップロードすることにより、ユーザ端末5のユーザが退職した後や不慮の事故があった場合でも、暗号鍵管理サーバ2の管理者によって保護ファイル55の暗号鍵を読み出すことによって、保護ファイル55へアクセスすることができる。
Further, by uploading the protected file encryption value to the encryption
(その他の実施の形態)
上記のように、本発明の第1及び第2の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
(Other embodiments)
As described above, the first and second embodiments of the present invention have been described. However, it should not be understood that the description and drawings constituting a part of this disclosure limit the present invention. From this disclosure, various alternative embodiments, examples, and operational techniques will be apparent to those skilled in the art.
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。 It goes without saying that the present invention includes various embodiments not described herein. Therefore, the technical scope of the present invention is defined only by the invention specifying matters according to the scope of claims reasonable from the above description.
1…ユーザ認証サーバ
2…暗号鍵管理サーバ
3…ファイルサーバ
4…鍵管理者端末
5,6…ユーザ端末
7…通信ネットワーク
11…第1のユーザ情報
12…ユーザ認証手段
21…ユーザ情報同期手段
22…第2のユーザ情報
23…鍵情報
24…鍵提供手段
31…共有ファイル
41…共有ファイル暗号化手段
42…権限設定手段
51…ユーザ認証依頼手段
52…鍵取得手段
53…鍵情報
54…共有ファイル復号化手段
55…保護ファイル
56…保護ファイル復号化手段
57…保護ファイル暗号鍵
58…保護ファイル暗号鍵アップロード手段
101…中央処理制御装置
102…ROM
103…RAM
104…入力装置
105…表示装置
106…通信制御装置
107…記憶装置
108…リムーバブルディスク
109…入出力インタフェース
110…バス
DESCRIPTION OF
103 ... RAM
104 ...
Claims (12)
前記記憶装置から前記ユーザ情報を読み出すとともに、前記ユーザ識別子及び前記所属部課の少なくとも一つが読み出すことのできるファイルの識別子と、前記ファイルを平文化する暗号鍵とが、前記ユーザ識別子及び所属部課の少なくとも一つに関連づけて鍵情報を生成し前記記憶装置に記憶する手段と、
前記ユーザ認証サーバによりユーザのログインが認証された場合、前記ユーザのユーザ端末から受信する前記暗号鍵の取得リクエストに基づいて、前記記憶装置から鍵情報を読み出し、前記ユーザの前記ユーザ識別子及び前記ユーザの前記所属部課に関連づけられた前記ファイルの識別子と前記暗号鍵を抽出して、前記ユーザ端末に送信する手段
とを備えることを特徴とする暗号鍵管理サーバ。 Means for receiving from the user authentication server at least one of the user identifier of the user and the department to which the user belongs, and storing it in the storage device as user information;
The user information is read from the storage device, and at least one of the user identifier and the assigned department section can be read, and an encryption key for plainly writing the file includes at least the user identifier and the assigned department section. Means for generating key information in association with one and storing it in the storage device;
When the user authentication is authenticated by the user authentication server, the key information is read from the storage device based on the encryption key acquisition request received from the user terminal of the user, and the user identifier of the user and the user An encryption key management server, comprising: means for extracting an identifier of the file and the encryption key associated with the belonging department and transmitting them to the user terminal.
前記記憶装置から前記ユーザ情報を読み出すとともに、前記ユーザ識別子及び前記所属部課の少なくとも一つが読み出すことのできるファイルの識別子と、前記ファイルを平文化する暗号鍵とが、前記ユーザ識別子及び所属部課の少なくとも一つに関連づけて鍵情報を生成し前記記憶装置に記憶するステップと、
前記ユーザ認証サーバによりユーザのログインが認証された場合、前記ユーザのユーザ端末から受信する前記暗号鍵の取得リクエストに基づいて、前記記憶装置から鍵情報を読み出し、前記ユーザの前記ユーザ識別子及び前記ユーザの前記所属部課に関連づけられた前記ファイルの識別子と前記暗号鍵を抽出して、前記ユーザ端末に送信するステップ
とをコンピュータに実行させることを特徴とする暗号鍵管理プログラム。 Receiving at least one of the user identifier of the user and the department to which the user belongs from the user authentication server, and storing it in a storage device as user information;
The user information is read from the storage device, and at least one of the user identifier and the assigned department section can be read, and an encryption key for plainly writing the file includes at least the user identifier and the assigned department section. Generating key information in association with one and storing it in the storage device;
When the user authentication is authenticated by the user authentication server, the key information is read from the storage device based on the encryption key acquisition request received from the user terminal of the user, and the user identifier of the user and the user An encryption key management program for causing a computer to execute the step of extracting the identifier of the file and the encryption key associated with the belonging department of the user and transmitting them to the user terminal.
前記ユーザ認証サーバによって前記ユーザが認証されたことを検知すると、暗号鍵管理サーバに前記ユーザ識別子を送信し、前記暗号鍵管理サーバから、前記ユーザが読み出すことのできるファイルの識別子と前記ファイルを平文化する暗号鍵とを受信して、前記ファイルの識別子と前記暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶する手段と、
前記ユーザ端末で前記ファイルを読み出す場合、前記記憶装置から前記鍵情報を読み出して、前記ファイルの識別子に関連づけられた前記暗号鍵を抽出し、前記ファイルを読み出すとともに前記暗号鍵で平文化する手段
とを備えることを特徴とする暗号鍵取得端末。 Means for transmitting a user identifier and a password input from an input device by a user to a user authentication server, and requesting authentication of the user in the user authentication server;
When detecting that the user is authenticated by the user authentication server, the user identifier is transmitted to an encryption key management server, and the identifier of the file that can be read by the user and the file are averaged from the encryption key management server. Means for receiving an encryption key to culture, associating the identifier of the file with the encryption key to generate key information and storing it in a storage device;
Means for reading out the file at the user terminal, reading out the key information from the storage device, extracting the encryption key associated with the identifier of the file, reading out the file and unambiguously using the encryption key; An encryption key acquisition terminal comprising:
前記ユーザ認証サーバによって前記ユーザが認証されたことを検知すると、暗号鍵管理サーバに前記ユーザ識別子を送信し、前記暗号鍵管理サーバから、前記ユーザが読み出すことのできるファイルの識別子と前記ファイルを平文化する暗号鍵とを受信して、前記ファイルの識別子と前記暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶するステップと、
前記ユーザ端末で前記ファイルを読み出す場合、前記記憶装置から前記鍵情報を読み出して、前記ファイルの識別子に関連づけられた前記暗号鍵を抽出し、前記ファイルを読み出すとともに前記暗号鍵で平文化するステップ
とをコンピュータに実行させることを特徴とする暗号鍵取得プログラム。 Transmitting a user identifier and password input from an input device by a user to a user authentication server, and requesting authentication of the user in the user authentication server;
When detecting that the user is authenticated by the user authentication server, the user identifier is transmitted to an encryption key management server, and the identifier of the file that can be read by the user and the file are averaged from the encryption key management server. Receiving an encryption key to culture, associating the identifier of the file with the encryption key to generate key information and storing it in a storage device;
When reading the file at the user terminal, reading the key information from the storage device, extracting the encryption key associated with the identifier of the file, reading the file and plain-printing with the encryption key; An encryption key acquisition program for causing a computer to execute
ユーザ識別子及びパスワードが関連づけられて記憶された第1のユーザ情報を記憶装置から読み出すとともに、前記ユーザによって入力された前記ユーザ識別子に関連づけられたパスワードを前記第1のユーザ情報から抽出し、抽出されたパスワードと、前記ユーザ端末から送信されたパスワードとを比較して、一致している場合、前記ユーザを認証したことを前記暗号鍵取得端末に送信する手段
を備えたユーザ認証サーバと、
前記ユーザによって入力装置から入力されたユーザ識別子及びパスワードを前記ユーザ認証サーバに送信し、前記ユーザ認証サーバにおける前記ユーザの認証を依頼する手段と、
前記ユーザ認証サーバによって前記ユーザが認証されたことを検知すると、暗号鍵管理サーバに前記ユーザ識別子を送信し、前記暗号鍵管理サーバから、前記ユーザが読み出すことのできるファイルの識別子と前記ファイルを平文化する暗号鍵とを受信して、前記ファイルの識別子と前記暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶する手段と、
前記ファイルを読み出す場合、前記記憶装置から前記鍵情報を読み出して、前記ファイルの識別子に関連づけられた前記暗号鍵を抽出し、前記ファイルを読み出すとともに前記暗号鍵で平文化する手段
とを備えた暗号鍵取得端末と、
前記暗号鍵取得端末から前記ユーザ識別子を受信すると、記憶装置に記憶され前記第1のユーザ情報と同期された第2のユーザ情報に基づいて生成された前記ユーザが読み出すことのできるファイルの識別子と前記ファイルを平文化する暗号鍵とが前記ユーザ識別子に関連づけられて記憶された鍵情報を記憶装置から読み出すとともに、前記ユーザ識別子に関連づけられた前記ファイルの識別子及び暗号鍵を抽出し、前記暗号鍵取得端末に送信する手段
を備えた暗号鍵管理サーバ
とを備えることを特徴とする暗号鍵管理システム。 In an encryption key management system comprising a user authentication server that authenticates a user, and an encryption key acquisition terminal that requests the user authentication server to authenticate the user,
First user information stored in association with a user identifier and a password is read from the storage device, and a password associated with the user identifier input by the user is extracted from the first user information and extracted. A user authentication server comprising means for transmitting, to the encryption key acquisition terminal, the fact that the user has been authenticated if the password and the password transmitted from the user terminal match,
Means for transmitting a user identifier and password input from the input device by the user to the user authentication server, and requesting authentication of the user in the user authentication server;
When detecting that the user is authenticated by the user authentication server, the user identifier is transmitted to an encryption key management server, and the identifier of the file that can be read by the user and the file are averaged from the encryption key management server. Means for receiving an encryption key to culture, associating the identifier of the file with the encryption key to generate key information and storing it in a storage device;
When reading the file, the key information is read from the storage device, the encryption key associated with the identifier of the file is extracted, the file is read, and means for reading out the file with the encryption key is provided. A key acquisition terminal;
When the user identifier is received from the encryption key acquisition terminal, an identifier of the file that can be read by the user generated based on the second user information stored in the storage device and synchronized with the first user information; And reading out key information stored in association with the user identifier from the storage device, and extracting the identifier and encryption key of the file associated with the user identifier, and An encryption key management system comprising: an encryption key management server comprising means for transmitting to an acquisition terminal.
前記ユーザ認証サーバにおいて、前記ユーザ識別子及びパスワードが関連づけられて記憶された第1のユーザ情報を前記ユーザ認証サーバの記憶装置から読み出すとともに、前記ユーザによって入力された前記ユーザ識別子に関連づけられたパスワードを前記第1のユーザ情報から抽出し、抽出されたパスワードと、前記ユーザ端末から送信されたパスワードとを比較して、一致している場合、前記ユーザを認証したことを前記ユーザ端末に送信するステップと、
前記ユーザ端末において前記ユーザが認証されたことを検知すると、前記ユーザ識別子を暗号鍵管理サーバに送信するステップと、
前記暗号鍵管理サーバにおいて前記ユーザ識別子を受信すると、前記第1のユーザ情報と同期された前記暗号鍵管理サーバの記憶装置に記憶された第2のユーザ情報に基づいて生成された前記ユーザが読み出すことのできるファイルの識別子と、前記ファイルを平文化する暗号鍵とが前記ユーザ識別子に関連づけられて記憶された鍵情報を前記暗号鍵管理サーバの記憶装置から読み出すとともに、前記ユーザ識別子に関連づけられた前記ファイルの識別子及び暗号鍵を抽出し、前記ユーザ端末に送信するステップと、
前記ユーザ端末において、前記ユーザ識別子に関連づけられた前記ファイルの識別子及び暗号鍵を受信すると、前記ユーザ端末の記憶装置に鍵情報として記憶するステップと、
前記ユーザ端末で前記ファイルを読み出す場合、前記ユーザ端末の記憶装置から前記鍵情報を読み出して、前記ファイルの識別子に関連づけられた前記暗号鍵を抽出し、前記ファイルを読み出すとともに前記暗号鍵で平文化するステップ
とを備えることを特徴とする暗号鍵管理方法。
A user identifier and a password input by the user are transmitted from the user terminal to the user authentication server;
In the user authentication server, the first user information stored in association with the user identifier and password is read from the storage device of the user authentication server, and the password associated with the user identifier input by the user is A step of extracting from the first user information, comparing the extracted password with the password transmitted from the user terminal, and transmitting the fact that the user has been authenticated to the user terminal if they match. When,
When detecting that the user is authenticated at the user terminal, transmitting the user identifier to an encryption key management server;
When the user identifier is received at the encryption key management server, the user generated based on the second user information stored in the storage device of the encryption key management server synchronized with the first user information is read. And the key information stored in association with the user identifier is read from the storage device of the encryption key management server and is associated with the user identifier. Extracting the identifier and encryption key of the file and transmitting them to the user terminal;
In the user terminal, when receiving the identifier and encryption key of the file associated with the user identifier, storing the key information in the storage device of the user terminal;
When reading out the file at the user terminal, the key information is read out from the storage device of the user terminal, the encryption key associated with the identifier of the file is extracted, the file is read out, and the plaintext is read with the encryption key. An encryption key management method comprising the steps of:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004093308A JP4587688B2 (en) | 2004-03-26 | 2004-03-26 | Encryption key management server, encryption key management program, encryption key acquisition terminal, encryption key acquisition program, encryption key management system, and encryption key management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004093308A JP4587688B2 (en) | 2004-03-26 | 2004-03-26 | Encryption key management server, encryption key management program, encryption key acquisition terminal, encryption key acquisition program, encryption key management system, and encryption key management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005286402A true JP2005286402A (en) | 2005-10-13 |
JP4587688B2 JP4587688B2 (en) | 2010-11-24 |
Family
ID=35184365
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004093308A Expired - Lifetime JP4587688B2 (en) | 2004-03-26 | 2004-03-26 | Encryption key management server, encryption key management program, encryption key acquisition terminal, encryption key acquisition program, encryption key management system, and encryption key management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4587688B2 (en) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007189325A (en) * | 2006-01-11 | 2007-07-26 | Oki Electric Ind Co Ltd | Encryption system |
JP2007200059A (en) * | 2006-01-27 | 2007-08-09 | Oki Electric Ind Co Ltd | Method and system for collecting and referring to system log, computer and program for collecting system log, and computer and program for referring to system log |
JP2008085448A (en) * | 2006-09-26 | 2008-04-10 | Hitachi Software Eng Co Ltd | Encryption/decryption processing method for shared encryption file, and program thereof |
JP2008090543A (en) * | 2006-09-29 | 2008-04-17 | Fujitsu Ltd | Information processor, its control method, and program |
JP2008226225A (en) * | 2007-03-12 | 2008-09-25 | Teruten Inc | Drm content reproduction method and device therefor |
JP2008228033A (en) * | 2007-03-14 | 2008-09-25 | Nec Personal Products Co Ltd | System and method for file encryption |
JP4538838B1 (en) * | 2009-08-18 | 2010-09-08 | システムインテリジェント株式会社 | Virtual thin client device, virtual thin client system, virtual thin client program, and virtual thin client method |
JP2011076378A (en) * | 2009-09-30 | 2011-04-14 | Hitachi Solutions Ltd | System and method for managing document |
JP2014176030A (en) * | 2013-03-12 | 2014-09-22 | Ricoh Co Ltd | Information processing apparatus and information processing system |
US9769132B2 (en) | 2012-12-20 | 2017-09-19 | Mitsubishi Electric Corporation | Control system for securely protecting a control program when editing, executing and transmitting the control program |
CN110969423A (en) * | 2019-11-28 | 2020-04-07 | 重庆市科学技术研究院 | Management system and management method of science and technology sharing platform |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000010930A (en) * | 1998-06-24 | 2000-01-14 | Hitachi Ltd | Access control method for network system |
JP2002369972A (en) * | 2001-03-09 | 2002-12-24 | Microsoft Corp | Identification of multiple users of online console type game |
US20030070068A1 (en) * | 2001-10-05 | 2003-04-10 | Alexander Medvinsky | Method and system for providing client privacy when requesting content from a public server |
-
2004
- 2004-03-26 JP JP2004093308A patent/JP4587688B2/en not_active Expired - Lifetime
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000010930A (en) * | 1998-06-24 | 2000-01-14 | Hitachi Ltd | Access control method for network system |
JP2002369972A (en) * | 2001-03-09 | 2002-12-24 | Microsoft Corp | Identification of multiple users of online console type game |
US20030070068A1 (en) * | 2001-10-05 | 2003-04-10 | Alexander Medvinsky | Method and system for providing client privacy when requesting content from a public server |
Non-Patent Citations (1)
Title |
---|
JPN7010000161, Larry J. Hughes, Jr. 著/長原宏冶 監訳, "インターネット・エキサイティングテクノロジーシリーズ インターネットセキュリティ", 19970221, 初版, p.94−101, JP, 株式会社インプレス * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007189325A (en) * | 2006-01-11 | 2007-07-26 | Oki Electric Ind Co Ltd | Encryption system |
JP2007200059A (en) * | 2006-01-27 | 2007-08-09 | Oki Electric Ind Co Ltd | Method and system for collecting and referring to system log, computer and program for collecting system log, and computer and program for referring to system log |
JP2008085448A (en) * | 2006-09-26 | 2008-04-10 | Hitachi Software Eng Co Ltd | Encryption/decryption processing method for shared encryption file, and program thereof |
JP2008090543A (en) * | 2006-09-29 | 2008-04-17 | Fujitsu Ltd | Information processor, its control method, and program |
JP2008226225A (en) * | 2007-03-12 | 2008-09-25 | Teruten Inc | Drm content reproduction method and device therefor |
JP2008228033A (en) * | 2007-03-14 | 2008-09-25 | Nec Personal Products Co Ltd | System and method for file encryption |
JP4538838B1 (en) * | 2009-08-18 | 2010-09-08 | システムインテリジェント株式会社 | Virtual thin client device, virtual thin client system, virtual thin client program, and virtual thin client method |
JP2011039953A (en) * | 2009-08-18 | 2011-02-24 | System Intelligent Kk | Device, system, program and method for integrating virtual thin client |
JP2011076378A (en) * | 2009-09-30 | 2011-04-14 | Hitachi Solutions Ltd | System and method for managing document |
US9769132B2 (en) | 2012-12-20 | 2017-09-19 | Mitsubishi Electric Corporation | Control system for securely protecting a control program when editing, executing and transmitting the control program |
JP2014176030A (en) * | 2013-03-12 | 2014-09-22 | Ricoh Co Ltd | Information processing apparatus and information processing system |
CN110969423A (en) * | 2019-11-28 | 2020-04-07 | 重庆市科学技术研究院 | Management system and management method of science and technology sharing platform |
Also Published As
Publication number | Publication date |
---|---|
JP4587688B2 (en) | 2010-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108322461B (en) | Method, system, device, equipment and medium for automatically logging in application program | |
JP5620781B2 (en) | Information processing apparatus, control method thereof, and program | |
US7802112B2 (en) | Information processing apparatus with security module | |
US8533469B2 (en) | Method and apparatus for sharing documents | |
US20070074038A1 (en) | Method, apparatus and program storage device for providing a secure password manager | |
EP2251810B1 (en) | Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method | |
CN100495421C (en) | Authentication protection method based on USB device | |
CN102227734A (en) | Client computer for protecting confidential file, server computer therefor, method therefor, and computer program | |
US20170099144A1 (en) | Embedded encryption platform comprising an algorithmically flexible multiple parameter encryption system | |
US10630722B2 (en) | System and method for sharing information in a private ecosystem | |
US11924333B2 (en) | Secure and robust decentralized ledger based data management | |
WO2006001153A1 (en) | File managing program | |
EP3185465A1 (en) | A method for encrypting data and a method for decrypting data | |
US7412603B2 (en) | Methods and systems for enabling secure storage of sensitive data | |
JP4587688B2 (en) | Encryption key management server, encryption key management program, encryption key acquisition terminal, encryption key acquisition program, encryption key management system, and encryption key management method | |
JP4947562B2 (en) | Key information management device | |
US20150006881A1 (en) | Securing an Encryption Key of a User Device While Preserving Simplified User Experience | |
JP7079528B2 (en) | Service provision system and service provision method | |
JP4521514B2 (en) | Medical information distribution system, information access control method thereof, and computer program | |
JP2007179357A (en) | Method for installing computer program | |
JP2008217300A (en) | System and method for encrypting and decrypting file with biological information | |
WO2010103800A1 (en) | Server, terminal, program, and service providing method | |
JP2008035449A (en) | Data distributing method using self-decryption file and information processing system using the same | |
JP5730488B2 (en) | Information processing system | |
Corella et al. | An example of a derived credentials architecture |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070223 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100525 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100722 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100810 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100907 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4587688 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130917 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |