JP2005286402A - Server and program for encryption key management terminal and program for acquiring encryption key system and method for encryption key management - Google Patents

Server and program for encryption key management terminal and program for acquiring encryption key system and method for encryption key management Download PDF

Info

Publication number
JP2005286402A
JP2005286402A JP2004093308A JP2004093308A JP2005286402A JP 2005286402 A JP2005286402 A JP 2005286402A JP 2004093308 A JP2004093308 A JP 2004093308A JP 2004093308 A JP2004093308 A JP 2004093308A JP 2005286402 A JP2005286402 A JP 2005286402A
Authority
JP
Japan
Prior art keywords
user
encryption key
file
identifier
storage device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004093308A
Other languages
Japanese (ja)
Other versions
JP4587688B2 (en
Inventor
Yuichiro Kumazaki
裕一郎 熊崎
Hiroyuki Kusuhara
寛之 楠原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IT SERVICE KK
Trinity Security Systems Inc
Original Assignee
IT SERVICE KK
Trinity Security Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IT SERVICE KK, Trinity Security Systems Inc filed Critical IT SERVICE KK
Priority to JP2004093308A priority Critical patent/JP4587688B2/en
Publication of JP2005286402A publication Critical patent/JP2005286402A/en
Application granted granted Critical
Publication of JP4587688B2 publication Critical patent/JP4587688B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an encryption key management server having a higher security intensity. <P>SOLUTION: The server is provided with a user information synchronization means 22 for receiving at least any one of the user name of a user and a department/section to which the user belongs to from a user authentication server 1, and storing the received information as user information 22; a means for generating key information 23 so that the identifier of a file capable of reading any one of the user name or the belonging department/section and an encryption key for making the file into a plain text are correlated to any one of the user name and the belonging department/section, and storing the generated information 23; and a key providing means 24 for reading key information 53 on the basis of an acquiring request of the encryption key to be received from a user terminal 5 of a user if log-in of the user is authenticated by the server 1, extracting the identifier of the file correlated to the user name and the user's belonging department/section and the encryption key, and transmitting them to the user terminal 5. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、複数の端末から参照可能な共有ファイルの暗号鍵を管理する暗号鍵管理サーバ及び暗号鍵管理プログラム、暗号鍵を取得する暗号鍵取得端末及び暗号鍵取得プログラム、暗号鍵管理サーバ及び暗号鍵取得端末における暗号鍵管理システム及び暗号鍵管理方法に関する。   The present invention relates to an encryption key management server and an encryption key management program for managing an encryption key of a shared file that can be referenced from a plurality of terminals, an encryption key acquisition terminal and an encryption key acquisition program for acquiring an encryption key, an encryption key management server, and an encryption The present invention relates to an encryption key management system and an encryption key management method in a key acquisition terminal.

近年の情報機器の発達に伴い、会社や団体などの組織の業務においても日常的にパーソナルコンピュータなどの情報機器が利用されている。各個人にコンピュータが割り当てられ、顧客向けの提案資料や研究報告の作成などの実務を行うのみならず、書類の回付や、検閲などにも利用される場合がある。この様な場合、複数のコンピュータから当該ファイルにアクセスできることが求められる。   With the development of information devices in recent years, information devices such as personal computers are used on a daily basis in the work of organizations such as companies and organizations. A computer is assigned to each individual and may be used not only for making proposals and research reports for customers, but also for distributing documents and for censorship. In such a case, it is required that the file can be accessed from a plurality of computers.

例えば組織においては、コンピュータが参加するネットワークドメインの中にファイルサーバを設け、複数のクライアントからファイルサーバ内に設定された共有フォルダ及び共有ファイルにアクセスすることができる。これらのフォルダやファイルは、その属性に応じてアクセスできる人が制限されていることが好ましい。このアクセス権は、ユーザ毎に設けられても良いし、ユーザの役職や部署毎に設けられても良い。   For example, in an organization, a file server is provided in a network domain in which computers participate, and a shared folder and a shared file set in the file server can be accessed from a plurality of clients. It is preferable that those who can access these folders and files are limited according to their attributes. This access right may be provided for each user, or may be provided for each user's job title or department.

情報漏洩を阻止し所定の人のみが閲覧できるように、これらのフォルダやファイルは暗号鍵で暗号化されているのが好ましい。例えば暗号化されたファイルが、アクセス権を持たない第三者によって不正に取得されたとしても、暗号鍵がなければそのファイルを復号化することができず、情報漏洩という最悪の事態を回避することができる。   These folders and files are preferably encrypted with an encryption key so that information leakage is prevented and only a predetermined person can view. For example, even if an encrypted file is illegally acquired by a third party without access rights, the file cannot be decrypted without the encryption key, avoiding the worst situation of information leakage be able to.

しかし、フォルダやファイル毎に暗号鍵が設定され、クライアントからそのフォルダやファイルにアクセスする度に暗号鍵を入力させるのは困難となる問題がある。暗号強度を高くするためには暗号鍵のビット数を増やしたり暗号鍵に利用する文字や記号の種類を増やすことが一般的であるが、暗号強度を高くするとその一方で暗号鍵を記憶しにくくなってしまう。従って、フォルダやファイル毎に暗号鍵が設定されていても、ユーザはそれぞれに対する暗号鍵を記憶することが困難である。又、ユーザや役職及び部課毎に暗号鍵が設定される場合もあり、ユーザ自身でファイルやフォルダ毎に全ての暗号鍵を記憶したり管理することは困難である。   However, an encryption key is set for each folder or file, and it is difficult to input the encryption key every time the client accesses the folder or file. In order to increase the encryption strength, it is common to increase the number of bits of the encryption key or increase the types of characters and symbols used for the encryption key. However, if the encryption strength is increased, it is difficult to memorize the encryption key. turn into. Therefore, even if an encryption key is set for each folder or file, it is difficult for the user to store the encryption key for each folder or file. Also, an encryption key may be set for each user, job title, and department, and it is difficult for the user to store and manage all the encryption keys for each file or folder.

ここで、アプリケーションプログラムからのファイル操作要求をフックし、自動的に暗号化復号化を行い、暗号化の対象とするディレクトリと暗号化したファイルを復号可能なユーザーリストを予めユーザ毎に設定したグループ暗号方法がある(例えば、特許文献1)。更に特許文献1に記載のグループ暗号方法においては、グループ鍵を生成して端末に返送する。特許文献1に記載の方法においては、復号しても良いユーザリストを組み込み、不正なユーザが復号を試みても復号できなくすることができる。
特開平10−260903号公報 Here, a group in which a file operation request from an application program is hooked, encryption / decryption is automatically performed, and a directory to be encrypted and a user list capable of decrypting the encrypted file are set for each user in advance. There is an encryption method (for example, Patent Document 1). Furthermore, in the group encryption method described in Patent Document 1, a group key is generated and returned to the terminal. In the method described in Patent Document 1, a user list that can be decrypted is incorporated, so that even if an unauthorized user tries to decrypt, it is impossible to decrypt.
JP-A-10-260903

しかし、特許文献1に記載のグループ暗号方法においては、ユーザリストに基づいて暗号鍵を返送しているので、ユーザが一度暗号鍵を取得してしまうと、不正なユーザに暗号鍵が盗まれた場合でも、ファイルを復号化できてしまう問題点がある。これに伴い、よりセキュリティ強度の高い暗号鍵の管理方法が求められている。   However, in the group encryption method described in Patent Document 1, since the encryption key is returned based on the user list, once the user obtains the encryption key, the encryption key is stolen by an unauthorized user. Even in this case, there is a problem that the file can be decrypted. Accordingly, a method for managing encryption keys with higher security strength is required.

そこで、本発明は、よりセキュリティ強度の高い暗号鍵管理サーバ、暗号鍵管理プログラム、暗号鍵取得端末、暗号鍵取得プログラム、暗号鍵管理システム及び暗号鍵管理方法を提供することを目的としている。   Accordingly, an object of the present invention is to provide an encryption key management server, an encryption key management program, an encryption key acquisition terminal, an encryption key acquisition program, an encryption key management system, and an encryption key management method with higher security strength.

上記課題を解決するために、本発明の第1の特徴に係る暗号鍵管理サーバは、ユーザのユーザ識別子及びユーザの所属する所属部課の少なくとも一つをユーザ認証サーバから受信し、ユーザ情報として記憶装置に記憶する手段と、記憶装置からユーザ情報を読み出すとともに、ユーザ識別子及び所属部課の少なくとも一つが読み出すことのできるファイルの識別子と、ファイルを平文化する暗号鍵とが、ユーザ識別子及び所属部課の少なくとも一つに関連づけて鍵情報を生成し記憶装置に記憶する手段と、ユーザ認証サーバによりユーザのログインが認証された場合、ユーザのユーザ端末から受信する暗号鍵の取得リクエストに基づいて、記憶装置から鍵情報を読み出し、ユーザのユーザ識別子及びユーザの所属部課に関連づけられたファイルの識別子と暗号鍵を抽出して、ユーザ端末に送信する手段とを備える。   In order to solve the above-described problem, the encryption key management server according to the first feature of the present invention receives at least one of the user identifier of the user and the department to which the user belongs from the user authentication server and stores it as user information. Means for storing in the device, reading user information from the storage device, and an identifier of the file that can be read by at least one of the user identifier and the affiliated department, and an encryption key for normalizing the file include the user identifier and the affiliated department A means for generating key information in association with at least one and storing it in the storage device, and a storage device based on an acquisition request for an encryption key received from the user terminal of the user when the user authentication server authenticates the login of the user The key information is read from the file, and the file associated with the user identifier and the user's department Extracts identifier and the encryption key, and means for transmitting to the user terminal.

ここで、ユーザ識別子とは、ユーザ名やユーザIDなど、ユーザを一意に識別する文言のことである。又、ユーザの所属部課とは、ユーザが所属する部署は勿論のこと、部署に関係ないワークグループや役職などのユーザ属性に関する情報全てを含む。   Here, the user identifier is a word that uniquely identifies the user, such as a user name or a user ID. The user's department section includes not only the department to which the user belongs, but also all information related to user attributes such as work groups and job titles not related to the department.

このような本発明の第1の特徴に係る暗号鍵管理サーバによれば、ユーザ認証サーバにおけるユーザの認証に基づいて暗号鍵を提供することができる。また、ファイル識別子毎の暗号鍵がユーザ端末の記憶装置に記憶されるので、ユーザはファイルやフォルダ毎に暗号鍵を記憶する必要がない。   According to the encryption key management server according to the first feature of the present invention, an encryption key can be provided based on user authentication in the user authentication server. In addition, since the encryption key for each file identifier is stored in the storage device of the user terminal, the user does not need to store the encryption key for each file or folder.

又、ファイルは、複数のユーザ端末によって接続可能なファイルサーバに記憶され、ユーザ識別子及び所属部課の少なくとも一つに関連づけられた暗号鍵で保護される共有ファイルであることが好ましい。   The file is preferably a shared file that is stored in a file server that can be connected by a plurality of user terminals and is protected by an encryption key associated with at least one of the user identifier and the assigned department.

これによると、複数のユーザ端末からアクセス可能な共有ファイルにおいて、その複数のユーザ端末に安全に暗号鍵を配布することができる。   According to this, in a shared file accessible from a plurality of user terminals, the encryption key can be securely distributed to the plurality of user terminals.

又、ファイルは、ユーザ端末内部の記憶装置に記憶され、暗号鍵で保護される保護ファイルであることが好ましい。   The file is preferably a protected file stored in a storage device inside the user terminal and protected by an encryption key.

これによると、保護ファイルを暗号化した暗号鍵も暗号鍵管理サーバで管理されるので、ユーザの退職後や急なアクシデントが発生した場合でも、管理者等は暗号鍵を読み出すことにより保護ファイルにアクセスすることができる。   According to this, since the encryption key that encrypts the protected file is also managed by the encryption key management server, even if the user leaves the company or a sudden accident occurs, the administrator etc. can read the encryption key into the protected file by reading the encryption key. Can be accessed.

又、ファイルは、ユーザ端末内部の記憶装置に記憶され、暗号鍵で平文化される第2の暗号鍵で保護される保護ファイルであることが好ましい。   The file is preferably a protected file that is stored in a storage device inside the user terminal and protected by a second encryption key that is plainly stored with the encryption key.

これによると、暗号鍵をユーザが容易に記憶できる文言にし、第2の暗号鍵を保護ファイルのセキュリティ強度を考慮した複雑な文言にすることができるので、暗号鍵と第2の暗号鍵によりより高いセキュリティ強度を実現することができる。   According to this, since the encryption key can be easily worded by the user and the second encryption key can be complicated wording considering the security strength of the protected file, the encryption key and the second encryption key can be used. High security strength can be realized.

本発明の第2の特徴に係る暗号鍵管理プログラムは、ユーザのユーザ識別子及びユーザの所属する所属部課の少なくとも一つをユーザ認証サーバから受信し、ユーザ情報として記憶装置に記憶するステップと、記憶装置からユーザ情報を読み出すとともに、ユーザ識別子及び所属部課の少なくとも一つが読み出すことのできるファイルの識別子と、ファイルを平文化する暗号鍵とが、ユーザ識別子及び所属部課の少なくとも一つに関連づけて鍵情報を生成し記憶装置に記憶するステップと、ユーザ認証サーバによりユーザのログインが認証された場合、ユーザのユーザ端末から受信する暗号鍵の取得リクエストに基づいて、記憶装置から鍵情報を読み出し、ユーザのユーザ識別子及びユーザの所属部課に関連づけられたファイルの識別子と暗号鍵を抽出して、ユーザ端末に送信するステップとをコンピュータに実行させる。   The encryption key management program according to the second aspect of the present invention includes a step of receiving at least one of a user identifier of a user and a department to which the user belongs from a user authentication server, and storing the received information as user information in a storage device; The user information is read from the device, and the file identifier that can be read by at least one of the user identifier and the assigned department, and the encryption key for normalizing the file are associated with at least one of the user identifier and the assigned department. And when the user authentication server authenticates the login of the user, the key information is read from the storage device based on the encryption key acquisition request received from the user terminal of the user, User identifier and identifier of the file associated with the user's department Extracting the key to perform the steps on a computer to be transmitted to the user terminal.

又、ファイルは、複数のユーザ端末によって接続可能なファイルサーバに記憶され、ユーザ識別子及び所属部課の少なくとも一つに関連づけられた暗号鍵で保護される共有ファイルであることが好ましい。   The file is preferably a shared file that is stored in a file server that can be connected by a plurality of user terminals and is protected by an encryption key associated with at least one of the user identifier and the assigned department.

又、ファイルは、ユーザ端末内部の記憶装置に記憶され、暗号鍵で保護される保護ファイルであることが好ましい。   The file is preferably a protected file stored in a storage device inside the user terminal and protected by an encryption key.

又、ファイルは、ユーザ端末内部の記憶装置に記憶され、暗号鍵で平文化される第2の暗号鍵で保護される保護ファイルであることが好ましい。   The file is preferably a protected file that is stored in a storage device inside the user terminal and protected by a second encryption key that is plainly stored with the encryption key.

本発明の第3の特徴に係る暗号鍵取得端末は、ユーザによって入力装置から入力されたユーザ識別子及びパスワードをユーザ認証サーバに送信し、ユーザ認証サーバにおけるユーザの認証を依頼する手段と、ユーザ認証サーバによってユーザが認証されたことを検知すると、暗号鍵管理サーバにユーザ識別子を送信し、暗号鍵管理サーバから、ユーザが読み出すことのできるファイルの識別子とファイルを平文化する暗号鍵とを受信して、ファイルの識別子と暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶する手段と、ユーザ端末でファイルを読み出す場合、記憶装置から鍵情報を読み出して、ファイルの識別子に関連づけられた暗号鍵を抽出し、ファイルを読み出すとともに暗号鍵で平文化する手段とを備える。   An encryption key acquisition terminal according to a third aspect of the present invention includes: means for transmitting a user identifier and a password input by a user from an input device to a user authentication server, and requesting user authentication in the user authentication server; When the server detects that the user has been authenticated, it sends a user identifier to the encryption key management server, and receives from the encryption key management server a file identifier that can be read by the user and an encryption key that standardizes the file. Means for associating a file identifier with an encryption key to generate key information and storing it in a storage device; and when reading a file at a user terminal, the key information is read from the storage device and the encryption key associated with the file identifier And means for reading out the file and plain-writing with the encryption key.

本発明の第4の特徴に係る暗号鍵取得プログラムは、ユーザによって入力装置から入力されたユーザ識別子及びパスワードをユーザ認証サーバに送信し、ユーザ認証サーバにおけるユーザの認証を依頼するステップと、ユーザ認証サーバによってユーザが認証されたことを検知すると、暗号鍵管理サーバにユーザ識別子を送信し、暗号鍵管理サーバから、ユーザが読み出すことのできるファイルの識別子とファイルを平文化する暗号鍵とを受信して、ファイルの識別子と暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶するステップと、ユーザ端末でファイルを読み出す場合、記憶装置から鍵情報を読み出して、ファイルの識別子に関連づけられた暗号鍵を抽出し、ファイルを読み出すとともに暗号鍵で平文化するステップとをコンピュータに実行させる。   An encryption key acquisition program according to a fourth aspect of the present invention includes a step of transmitting a user identifier and a password input by a user from an input device to a user authentication server, requesting user authentication in the user authentication server, and user authentication When the server detects that the user has been authenticated, it sends a user identifier to the encryption key management server, and receives from the encryption key management server a file identifier that can be read by the user and an encryption key that standardizes the file. The step of generating the key information by associating the file identifier with the encryption key and storing it in the storage device, and when reading the file at the user terminal, the key information is read from the storage device and the encryption key associated with the file identifier Extracting the file, reading the file, and plain-printing with the encryption key To be executed in.

本発明の第5の特徴に係る暗号鍵管理システムは、ユーザを認証するユーザ認証サーバと、ユーザ認証サーバにユーザの認証を依頼する暗号鍵取得端末を備える暗号鍵管理システムにおいて、ユーザ識別子及びパスワードが関連づけられて記憶された第1のユーザ情報を記憶装置から読み出すとともに、ユーザによって入力されたユーザ識別子に関連づけられたパスワードを第1のユーザ情報から抽出し、抽出されたパスワードと、ユーザ端末から送信されたパスワードとを比較して、一致している場合、ユーザを認証したことを暗号鍵取得端末に送信する手段を備えたユーザ認証サーバと、ユーザによって入力装置から入力されたユーザ識別子及びパスワードをユーザ認証サーバに送信し、ユーザ認証サーバにおけるユーザの認証を依頼する手段と、ユーザ認証サーバによってユーザが認証されたことを検知すると、暗号鍵管理サーバにユーザ識別子を送信し、暗号鍵管理サーバから、ユーザが読み出すことのできるファイルの識別子とファイルを平文化する暗号鍵とを受信して、ファイルの識別子と暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶する手段と、ファイルを読み出す場合、記憶装置から鍵情報を読み出して、ファイルの識別子に関連づけられた暗号鍵を抽出し、ファイルを読み出すとともに暗号鍵で平文化する手段とを備えた暗号鍵取得端末と、暗号鍵取得端末からユーザ識別子を受信すると、記憶装置に記憶され第1のユーザ情報と同期された第2のユーザ情報に基づいて生成されたユーザが読み出すことのできるファイルの識別子とファイルを平文化する暗号鍵とがユーザ識別子に関連づけられて記憶された鍵情報を記憶装置から読み出すとともに、ユーザ識別子に関連づけられたファイルの識別子及び暗号鍵を抽出し、暗号鍵取得端末に送信する手段を備えた暗号鍵管理サーバとを備える。   According to a fifth aspect of the present invention, there is provided an encryption key management system comprising: a user authentication server that authenticates a user; and an encryption key management system that includes an encryption key acquisition terminal that requests the user authentication server to authenticate the user. Is read from the storage device, the password associated with the user identifier input by the user is extracted from the first user information, the extracted password and the user terminal Compared with the transmitted password, if they match, the user authentication server provided with means for transmitting the fact that the user has been authenticated to the encryption key acquisition terminal, and the user identifier and password input from the input device by the user To the user authentication server and request user authentication on the user authentication server. If the user and the user authentication server detect that the user is authenticated, the user identifier is transmitted to the encryption key management server, and the file identifier that can be read by the user from the encryption key management server and the encryption that unifies the file. Means for receiving the key and associating the file identifier with the encryption key to generate key information and storing it in the storage device; when reading the file, the key information is read from the storage device and associated with the file identifier An encryption key acquisition terminal having means for extracting an encryption key, reading a file, and plaintating with the encryption key, and receiving a user identifier from the encryption key acquisition terminal, stored in the storage device and synchronized with the first user information The file identifier and the file that can be read by the user generated based on the generated second user information are plainly displayed. The encryption key is provided with means for reading out the key information stored in association with the user identifier from the storage device, extracting the file identifier and encryption key associated with the user identifier, and transmitting them to the encryption key acquisition terminal. A key management server.

本発明の第6の特徴に係る暗号鍵管理方法は、ユーザによって入力されたユーザ識別子及びパスワードが、ユーザ端末からユーザ認証サーバに送信されるステップと、ユーザ認証サーバにおいて、ユーザ識別子及びパスワードが関連づけられて記憶された第1のユーザ情報をユーザ認証サーバの記憶装置から読み出すとともに、ユーザによって入力されたユーザ識別子に関連づけられたパスワードを第1のユーザ情報から抽出し、抽出されたパスワードと、ユーザ端末から送信されたパスワードとを比較して、一致している場合、ユーザを認証したことをユーザ端末に送信するステップと、ユーザ端末においてユーザが認証されたことを検知すると、ユーザ識別子を暗号鍵管理サーバに送信するステップと、暗号鍵管理サーバにおいてユーザ識別子を受信すると、第1のユーザ情報と同期された暗号鍵管理サーバの記憶装置に記憶された第2のユーザ情報に基づいて生成されたユーザが読み出すことのできるファイルの識別子と、ファイルを平文化する暗号鍵とがユーザ識別子に関連づけられて記憶された鍵情報を暗号鍵管理サーバの記憶装置から読み出すとともに、ユーザ識別子に関連づけられたファイルの識別子及び暗号鍵を抽出し、ユーザ端末に送信するステップと、ユーザ端末において、ユーザ識別子に関連づけられたファイルの識別子及び暗号鍵を受信すると、ユーザ端末の記憶装置に鍵情報として記憶するステップと、ユーザ端末でファイルを読み出す場合、ユーザ端末の記憶装置から鍵情報を読み出して、ファイルの識別子に関連づけられた暗号鍵を抽出し、ファイルを読み出すとともに暗号鍵で平文化するステップとを備える。   The encryption key management method according to the sixth aspect of the present invention relates to the step of transmitting the user identifier and password input by the user from the user terminal to the user authentication server, and associating the user identifier and password with the user authentication server. The first user information stored in the user authentication server is read out from the storage device of the user authentication server, and the password associated with the user identifier input by the user is extracted from the first user information. The password transmitted from the terminal is compared, and if they match, the step of transmitting the fact that the user has been authenticated to the user terminal, and if the user terminal detects that the user has been authenticated, the user identifier is encrypted. Sending to the management server and the user at the encryption key management server When the bespoke is received, the identifier of the file that can be read by the user generated based on the second user information stored in the storage device of the encryption key management server synchronized with the first user information, and the file The key information stored in association with the user identifier is read from the storage device of the encryption key management server, and the file identifier and encryption key associated with the user identifier are extracted and transmitted to the user terminal. And receiving the file identifier and encryption key associated with the user identifier at the user terminal, storing them as key information in the storage device of the user terminal, and storing the user terminal when reading the file at the user terminal Reads key information from the device, extracts the encryption key associated with the file identifier, And a step of plaintext with the encryption key reads the.

従って本発明によれば、よりセキュリティ強度の高い暗号鍵管理サーバ、暗号鍵管理プログラム、暗号鍵取得端末、暗号鍵取得プログラム、暗号鍵管理システム及び暗号鍵管理方法を提供することができる。   Therefore, according to the present invention, it is possible to provide an encryption key management server, an encryption key management program, an encryption key acquisition terminal, an encryption key acquisition program, an encryption key management system, and an encryption key management method with higher security strength.

次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。   Next, embodiments of the present invention will be described with reference to the drawings. In the following description of the drawings, the same or similar parts are denoted by the same or similar reference numerals.

(第1の実施の形態)
図1に示すように、本発明の第1の実施の形態に係る暗号鍵管理システムは、ユーザ認証サーバ1、暗号鍵管理サーバ2、ファイルサーバ3、鍵管理者端末4、ユーザ端末5及び6を備えている。これらの端末は、社内LANなどの通信ネットワーク7により相互に接続されている。 (First embodiment)
As shown in FIG. 1, the encryption key management system according to the first embodiment of the present invention includes a user authentication server 1, an encryption key management server 2, a file server 3, a key manager terminal 4, and user terminals 5 and 6. It has. These terminals are connected to each other by a communication network 7 such as an in-house LAN.

図2に示すように、本発明の最良の実施の形態に係る暗号鍵管理サーバ2は、中央処理制御装置101、ROM(Read Only Memory)102、RAM(Random Access Memory)103及び入出力インタフェース109が、バス110を介して接続されている。入出力インタフェース109には、入力装置104、表示装置105、通信制御装置106、記憶装置107及びリムーバブルディスク108が接続されている。   As shown in FIG. 2, the encryption key management server 2 according to the preferred embodiment of the present invention includes a central processing control device 101, a ROM (Read Only Memory) 102, a RAM (Random Access Memory) 103, and an input / output interface 109. Are connected via the bus 110. An input device 104, a display device 105, a communication control device 106, a storage device 107, and a removable disk 108 are connected to the input / output interface 109.

中央処理制御装置101は、入力装置104からの入力信号に基づいてROM102から暗号鍵管理サーバ2を起動するためのブートプログラムを読み出して実行し、更に記憶装置107に記憶されたオペレーティングシステムを読み出す。更に中央処理制御装置101は、入力装置104や通信制御装置106などの入力信号に基づいて、各種装置の制御を行ったり、RAM103や記憶装置107などに記憶されたプログラム及びデータを読み出してRAM103にロードするとともに、RAM103から読み出されたプログラムのコマンドに基づいて、データの計算又は加工など、後述する一連の処理を実現する処理装置である。   The central processing control device 101 reads and executes a boot program for starting the encryption key management server 2 from the ROM 102 based on an input signal from the input device 104, and further reads an operating system stored in the storage device 107. Further, the central processing control device 101 controls various devices based on input signals from the input device 104, the communication control device 106, etc., and reads programs and data stored in the RAM 103, the storage device 107, etc. into the RAM 103. A processing device that loads and implements a series of processes to be described later, such as data calculation or processing, based on a program command read from the RAM 103.

入力装置104は、操作者が各種の操作を入力するキーボード、マウスなどの入力デバイスにより構成されており、操作者の操作に基づいて入力信号を作成し、入出力インタフェース109及びバス110を介して中央処理制御装置101に送信される。表示装置105は、CRT(Cathode Ray Tube)ディスプレイや液晶ディスプレイなどであり、中央処理制御装置101からバス110及び入出力インタフェース109を介して表示装置105において表示させる出力信号を受信し、例えば中央処理制御装置101の処理結果などを表示する装置である。通信制御装置106は、LANカードやモデムなどの装置であり、暗号鍵管理サーバ2をインターネットやLANなどの通信ネットワークに接続する装置である。通信制御装置106を介して通信ネットワークと送受信したデータは入力信号又は出力信号として、入出力インタフェース及びバス110を介して中央処理制御装置101に送受信される。   The input device 104 includes input devices such as a keyboard and a mouse through which an operator inputs various operations. The input device 104 generates an input signal based on the operation of the operator, and inputs via the input / output interface 109 and the bus 110. It is transmitted to the central processing control apparatus 101. The display device 105 is a CRT (Cathode Ray Tube) display, a liquid crystal display, or the like. The display device 105 receives an output signal to be displayed on the display device 105 from the central processing control device 101 via the bus 110 and the input / output interface 109. It is a device that displays the processing result of the control device 101 and the like. The communication control device 106 is a device such as a LAN card or a modem, and is a device that connects the encryption key management server 2 to a communication network such as the Internet or a LAN. Data transmitted / received to / from the communication network via the communication control device 106 is transmitted / received to / from the central processing control device 101 via the input / output interface and bus 110 as an input signal or an output signal.

記憶装置107は磁気ディスク装置であって、中央処理制御装置101で実行されるプログラムやデータが記憶されている。リムーバブルディスク108は、光ディスクやフレキシブルディスクのことであり、ディスクドライブによって読み書きされた信号は、入出力インタフェース109及びバス110を介して中央処理制御装置101に送受信される。   The storage device 107 is a magnetic disk device, and stores programs and data executed by the central processing control device 101. The removable disk 108 is an optical disk or a flexible disk, and signals read / written by the disk drive are transmitted / received to / from the central processing control apparatus 101 via the input / output interface 109 and the bus 110.

本発明の最良の実施の形態に係る暗号鍵管理サーバ2の記憶装置107には、暗号鍵管理プログラムが記憶されるとともに、第2のユーザ情報22、鍵情報23などの情報が記憶される。又、暗号鍵管理プログラムが暗号鍵管理サーバ2の中央処理制御装置101に読み込まれ実行されることによって、ユーザ情報同期手段21及び鍵提供手段24が暗号鍵管理サーバ2に実装される。   The storage device 107 of the encryption key management server 2 according to the preferred embodiment of the present invention stores an encryption key management program and information such as second user information 22 and key information 23. Further, the user information synchronization means 21 and the key providing means 24 are installed in the encryption key management server 2 by the encryption key management program being read and executed by the central processing control device 101 of the encryption key management server 2.

この様に、暗号鍵管理サーバ2は、例えば一般的なコンピュータに暗号鍵管理プログラムなどのソフトウェアプログラムがインストールされ、そのソフトウェアプログラムが中央処理制御装置において実行されることにより実現される。ユーザ認証サーバ1、ファイルサーバ3、鍵管理者端末4、ユーザ端末5及び6も同様に、一般的なコンピュータに所定のソフトウェアプログラムがインストールされ、そのソフトウェアプログラムが中央処理制御装置において実行されることにより実現される。   In this way, the encryption key management server 2 is realized by installing a software program such as an encryption key management program in a general computer and executing the software program in the central processing control device. Similarly, for the user authentication server 1, the file server 3, the key manager terminal 4, and the user terminals 5 and 6, a predetermined software program is installed in a general computer, and the software program is executed in the central processing control device. It is realized by.

ユーザ認証サーバ1は、ユーザ端末5及び6、鍵管理者端末4などから送信されたユーザ名やパスワードに基づいて、通信ネットワーク7上に設けられた管理ドメインへのユーザ端末5及び6、鍵管理者端末4などのログインを認証するサーバであって、第1のユーザ情報11、ユーザ認証手段12を備える。   The user authentication server 1 includes user terminals 5 and 6 to a management domain provided on the communication network 7 based on user names and passwords transmitted from the user terminals 5 and 6 and the key manager terminal 4 and the key management. 1 is a server for authenticating login of the user terminal 4 or the like, and includes first user information 11 and user authentication means 12.

ここで、ユーザ名は、ユーザの名前に限らず、ユーザIDなどのユーザを一意に識別できる文言であれば良い。例えば、ユーザ名としては、「administrator」、「guest」、「kumazaki」などの文言が例に挙げられ、ユーザIDとしては、「S-XXXXXXX-111」などの文言が例に挙げられる。   Here, the user name is not limited to the user name, but may be any wording that can uniquely identify the user such as a user ID. For example, examples of the user name include “administrator”, “guest”, and “kumazaki”, and examples of the user ID include “S-XXXXXXX-111”.

第1のユーザ情報11は、図3に示すように、ユーザ認証サーバ1が管理する通信ネットワーク7にアクセス可能なユーザ毎に、ユーザの所属部署、ユーザのファイルやフォルダに対するアクセス権限、ユーザの通信ネットワーク7へのアクセスに必要なログインパスワードなどが記憶されている。ここでは、ユーザの所属部課が記憶されているが、その他にも所属部課に関係なく設定されたワークグループや役職に応じてアクセス権限が設定される場合、ユーザの役職なども記憶されても良い。   As shown in FIG. 3, the first user information 11 includes, for each user who can access the communication network 7 managed by the user authentication server 1, the user's department, the access authority to the user's file or folder, and the user's communication. A login password necessary for accessing the network 7 is stored. Here, the department to which the user belongs is stored, but in addition, when the access authority is set according to the set work group or title regardless of the department to which the user belongs, the title of the user may also be stored. .

ユーザ認証手段12は、ユーザ名及びパスワードが関連づけられて記憶された第1のユーザ情報11を記憶装置から読み出すとともに、ユーザによって入力されたユーザ名に関連づけられたパスワードを第1のユーザ情報11から抽出し、抽出されたパスワードと、ユーザ端末から送信されたパスワードとを比較して、一致している場合、ユーザを認証したことをユーザ端末5又は6(暗号鍵取得端末)又は鍵管理者端末4に送信する手段である。   The user authentication means 12 reads out the first user information 11 stored in association with the user name and password from the storage device, and reads the password associated with the user name input by the user from the first user information 11. The extracted password and the password transmitted from the user terminal are compared, and if they match, the user terminal 5 or 6 (encryption key acquisition terminal) or key manager terminal indicates that the user has been authenticated. 4 is a means to transmit to

暗号鍵管理サーバ2は、ユーザ情報同期手段21、第2のユーザ情報22、鍵情報23及び鍵提供手段24を備えている。   The encryption key management server 2 includes user information synchronization means 21, second user information 22, key information 23, and key provision means 24.

ユーザ情報同期手段21は、ユーザ認証サーバ1のユーザ情報11から、ユーザ名及び所属部課のみに係る情報をダウンロードし、第2のユーザ情報22を作成して、記憶装置107に記憶する手段である。ユーザ情報同期手段21は、予め設定された時間に起動され自動的に実行されても良いし、鍵管理者端末4などの入力装置から入力された指示に基づいて実行されても良い。第1のユーザ情報11に記憶されたログインパスワードは、ユーザ認証サーバ1独自のセキュリティ情報なので、暗号鍵管理サーバ2のユーザ情報同期手段21は、ログインパスワードはダウンロードせず、共有フォルダや共有ファイルなどのアクセス権の設定や暗号鍵の設定に必要なユーザ情報及び所属部課などのユーザの属性情報などのみを抽出してダウンロードする。   The user information synchronization unit 21 is a unit that downloads information related to only the user name and the assigned department from the user information 11 of the user authentication server 1, creates second user information 22, and stores the second user information 22 in the storage device 107. . The user information synchronization means 21 may be started and automatically executed at a preset time, or may be executed based on an instruction input from an input device such as the key manager terminal 4. Since the login password stored in the first user information 11 is security information unique to the user authentication server 1, the user information synchronization means 21 of the encryption key management server 2 does not download the login password, and does not download the login password. Only user information necessary for setting access rights and encryption keys, and user attribute information such as departments are extracted and downloaded.

ここで第2のユーザ情報22は、ユーザ認証サーバ1の記憶装置に記憶された第1のユーザ情報11と同期されたユーザ情報である。第2のユーザ情報22は、図4に示すように、ユーザ名及び所属部課が記憶されており、これらの情報は、ユーザ認証サーバ1の第1のユーザ情報11と同期している。   Here, the second user information 22 is user information synchronized with the first user information 11 stored in the storage device of the user authentication server 1. As shown in FIG. 4, the second user information 22 stores a user name and department, and these information are synchronized with the first user information 11 of the user authentication server 1.

鍵情報23は、例えば、鍵管理者端末4から入力されたフォルダやファイル毎の権限に基づいて、記憶装置107から第2のユーザ情報22を読み出すとともに、ユーザ名及び所属部課の少なくとも一つが読み出すことのできるファイルの識別子と、ファイルを平文化する暗号鍵とが、ユーザ名及び所属部課の少なくとも一つに関連づけて生成され、記憶装置107に記憶された情報である。鍵情報23は、図5に示す様に、所属部課又はユーザ名毎に、対象となるフォルダ又はファイルと、そのフォルダ又はファイルへのアクセス権限、及び暗号鍵が関連づけられて記憶されている。ここでのアクセス権限は、ファイルを読み出す権限、ファイルを更新する権限など、ユーザが実行可能なアクション毎に設定され、それに基づいて暗号鍵が記憶されても良い。又、鍵情報23において、第1のユーザ情報11では存在しない新たなグループを独自に作成して、それにユーザ名を関連づけて、ファイルやフォルダへのアクセス権限を設定しても良い。鍵情報23において、ユーザ毎にファイルやフォルダへアクセスできるか否かを設定しても良いし、図5に示したようなアクセス権限の項目を設けず、ユーザ毎にアクセスできるファイルやフォルダのみが登録されるようにしても良い。   The key information 23 reads, for example, the second user information 22 from the storage device 107 based on the authority for each folder or file input from the key manager terminal 4, and at least one of the user name and the assigned department section. An identifier of the file that can be used and an encryption key for plainly locating the file are information that is generated in association with at least one of the user name and the assigned department and is stored in the storage device 107. As shown in FIG. 5, the key information 23 is stored in association with a target folder or file, an access right to the folder or file, and an encryption key for each department or user name. The access authority here is set for each action that can be executed by the user, such as an authority to read a file and an authority to update a file, and the encryption key may be stored based on the action. Further, in the key information 23, a new group that does not exist in the first user information 11 may be created independently, and a user name may be associated with the new group to set an access authority to a file or folder. In the key information 23, whether or not a file or folder can be accessed for each user may be set, or only the files and folders that can be accessed for each user without providing an access authority item as shown in FIG. It may be registered.

鍵提供手段24は、ユーザ認証サーバ1によりユーザのログインが認証された場合、ユーザのユーザ端末5又は6から受信する暗号鍵の取得リクエストに基づいて、記憶装置107から鍵情報23を読み出し、ユーザのユーザ名及びユーザの所属部課に関連づけられたファイルの識別子と暗号鍵を抽出して、ユーザ端末5又は6に送信する手段である。鍵提供手段24は、例えばユーザ端末5からログインしているユーザのユーザ名を含む暗号鍵の取得リクエストを受信すると、鍵情報23を読み出して、ユーザがアクセス可能なファイル又はフォルダの識別子と、その暗号鍵を抽出してユーザ端末5に送信する。更に、ユーザ情報22を参照して、ユーザが所属している所属部課などの属性に付与されたアクセス権限を読み出して、その所属部課でアクセス可能に設定されたファイル又はフォルダの識別子とその暗号鍵を抽出してユーザ端末5に送信するのが好ましい。   When the user authentication server 1 authenticates the login of the user, the key providing unit 24 reads the key information 23 from the storage device 107 based on the encryption key acquisition request received from the user terminal 5 or 6 of the user. The file identifier and the encryption key associated with the user name and the user's department are extracted and transmitted to the user terminal 5 or 6. For example, when receiving an encryption key acquisition request including the user name of the logged-in user from the user terminal 5, the key providing unit 24 reads the key information 23, and identifies the file or folder accessible by the user, The encryption key is extracted and transmitted to the user terminal 5. Furthermore, referring to the user information 22, the access authority given to the attribute such as the department to which the user belongs is read out, and the identifier of the file or folder set to be accessible by the department and the encryption key Is preferably extracted and transmitted to the user terminal 5.

鍵提供手段24で設定されるユーザがアクセス可能なファイルは、複数のユーザ端末5又は6などによって接続可能なファイルサーバ3に記憶され、ユーザ名及び所属部課の少なくとも一つに関連づけられた暗号鍵で保護される共有ファイル又は共有フォルダである。   The file that can be accessed by the user set by the key providing means 24 is stored in the file server 3 that can be connected by a plurality of user terminals 5 or 6 and is associated with at least one of the user name and the department to which the user belongs. It is a shared file or folder that is protected by.

ファイルサーバ3は、複数のユーザ端末5又は6などからアクセス可能な共有ファイル31が記憶された記憶装置を備えている。この共有ファイル31は、通常のファイルと同様に、フォルダやディレクトリなどが関連づけられて記憶されている。共有ファイル31は、例えばユーザ端末5のユーザとユーザ端末6のユーザの二人が読み書きの権限を持っているとすると、ユーザ端末5で書き込まれたファイルをユーザ端末6で読み出すことができる。   The file server 3 includes a storage device in which a shared file 31 accessible from a plurality of user terminals 5 or 6 is stored. The shared file 31 is stored in association with a folder, a directory, or the like, like a normal file. The shared file 31 can be read by the user terminal 6 if the user of the user terminal 5 and the user of the user terminal 6 have read / write authority, for example.

鍵管理者端末4は、共有ファイル暗号化手段41及び権限設定手段42を備えている。   The key manager terminal 4 includes shared file encryption means 41 and authority setting means 42.

共有ファイル暗号化手段41は、ファイルサーバ3の記憶装置に記憶された共有ファイル31を、ファイル又はフォルダ毎に設定された暗号鍵で暗号化する手段である。暗号化に利用された暗号鍵は、暗号鍵管理サーバ2の鍵情報23で管理される。   The shared file encryption unit 41 is a unit that encrypts the shared file 31 stored in the storage device of the file server 3 with an encryption key set for each file or folder. The encryption key used for encryption is managed by the key information 23 of the encryption key management server 2.

権限設定手段42は、ユーザ又は所属部課、ファイル又はフォルダ毎に暗号鍵を設定し、鍵情報を生成して、暗号鍵管理サーバ2の記憶装置107に鍵情報23として記憶する手段である。暗号鍵管理サーバ2の鍵情報23は、鍵管理者端末4の管理によって、ユーザやファイル毎のアクセス権限が設定されて暗号鍵を関連づけて作成されても良い。又、第2のユーザ情報22や、予め設定された共有ファイル31へのアクセス権限などから暗号鍵管理サーバ2自身によって生成されても良い。   The authority setting unit 42 is a unit that sets an encryption key for each user, department, file, or folder, generates key information, and stores it as the key information 23 in the storage device 107 of the encryption key management server 2. The key information 23 of the encryption key management server 2 may be created by associating the encryption key with the access authority for each user or file set by the management of the key administrator terminal 4. Alternatively, the encryption key management server 2 itself may generate the information based on the second user information 22 or a preset access authority to the shared file 31.

ユーザ端末5は、ユーザ認証依頼手段51、鍵取得手段52、鍵情報53及び共有ファイル復号化手段54を備えている。ユーザ端末6もユーザ端末5と同様の構成を備える。   The user terminal 5 includes a user authentication request unit 51, a key acquisition unit 52, key information 53, and a shared file decryption unit 54. The user terminal 6 has the same configuration as the user terminal 5.

ユーザ認証依頼手段51は、ユーザによって入力装置から入力されたユーザ名及びパスワードをユーザ認証サーバ1に送信し、ユーザ認証サーバ1におけるユーザの認証を依頼する手段51である。   The user authentication request unit 51 is a unit 51 that transmits the user name and password input from the input device by the user to the user authentication server 1 and requests user authentication in the user authentication server 1.

鍵取得手段52は、ユーザ認証サーバ1によってユーザが認証されたことを検知すると、暗号鍵管理サーバ2にユーザ名を送信し、暗号鍵管理サーバ2から、ユーザが読み出すことのできるファイルの識別子とファイルを平文化する暗号鍵とを受信して、ファイルの識別子と暗号鍵を関連づけて鍵情報53を生成し記憶装置に記憶する手段である。鍵取得手段52は、ユーザ認証依頼手段51によって送信されたユーザの認証依頼の結果を受信したことをフックして実行されても良いし、ユーザ端末5又は6が通信ネットワーク7へログオンできたことを検知して実行されても良い。この様に鍵取得手段52は、ユーザ端末5又は6がユーザ認証サーバ1によって認証されたことを確認した後に実行されるのが好ましい。   When the key acquisition unit 52 detects that the user is authenticated by the user authentication server 1, the key acquisition unit 52 transmits the user name to the encryption key management server 2, and the identifier of the file that can be read from the encryption key management server 2 by the user It is a means for receiving an encryption key for plain file and generating key information 53 by associating the identifier of the file with the encryption key and storing it in the storage device. The key acquisition means 52 may be executed by hooking the reception result of the user authentication request transmitted by the user authentication request means 51, or the user terminal 5 or 6 has been able to log on to the communication network 7. May be executed upon detection. As described above, the key acquisition unit 52 is preferably executed after confirming that the user terminal 5 or 6 is authenticated by the user authentication server 1.

鍵情報53は、共有ファイル31に記憶されたファイル又はフォルダ毎に設定された暗号鍵が記憶されている。   The key information 53 stores an encryption key set for each file or folder stored in the shared file 31.

共有ファイル復号化手段54は、ユーザ端末5で共有ファイル31のファイルを読み出す場合、記憶装置から鍵情報53を読み出して、ファイルの識別子に関連づけられた暗号鍵を抽出し、ファイルを読み出すとともに暗号鍵で平文化する手段である。例えば共有ファイル復号化手段54は、暗号化されたファイルやフォルダのディスク入出力命令をフックして自動的に暗号化又は復号化処理を行うことによりユーザが行う操作を最小限にしている。例えば、暗号化されたファイルがディスクから読み出されメモリに格納されるときにディスク入出力命令をフックして復号化され、メモリに格納されたファイルをディスクに書き込むときにディスク入出力命令をフックして暗号化する。   When the file of the shared file 31 is read by the user terminal 5, the shared file decryption unit 54 reads the key information 53 from the storage device, extracts the encryption key associated with the file identifier, reads the file and reads the encryption key. It is a means to make a peaceful culture. For example, the shared file decryption unit 54 minimizes the operation performed by the user by hooking a disk input / output command of an encrypted file or folder and automatically performing encryption or decryption processing. For example, when an encrypted file is read from the disk and stored in the memory, it is decrypted by hooking the disk input / output instruction, and when the file stored in the memory is written to the disk, the disk input / output instruction is hooked. And encrypt.

次に図6を参照して、本発明の第1の実施の形態に係る暗号鍵管理システムの処理について説明する。ここでは、ユーザ端末5が暗号鍵を取得する場合について説明するが、ユーザ端末6についても同様である。   Next, processing of the encryption key management system according to the first embodiment of the present invention will be described with reference to FIG. Here, the case where the user terminal 5 obtains the encryption key will be described, but the same applies to the user terminal 6.

まず、ステップS101において、ユーザ端末5のユーザ認証依頼手段51によってユーザ認証サーバ1へ認証依頼が送信される。このとき、ユーザ端末5においては、例えばユーザによって入力装置から入力されたユーザ名及びログインパスワードに基づいてログインリクエストメッセージを生成し、ユーザ認証サーバ1に送信する。   First, in step S <b> 101, an authentication request is transmitted to the user authentication server 1 by the user authentication request unit 51 of the user terminal 5. At this time, in the user terminal 5, for example, a login request message is generated based on a user name and a login password input from the input device by the user and transmitted to the user authentication server 1.

ユーザ認証サーバ1は、ユーザ端末5からログインリクエストメッセージを受信すると、第1のユーザ情報11を参照してユーザ名とパスワードが合致しているか否かを判定し、ステップS102においてその認証結果をユーザ端末5に送信する。ここでは、ユーザ認証サーバ1がユーザ端末5のユーザを認証できた場合について説明する。   When receiving the login request message from the user terminal 5, the user authentication server 1 refers to the first user information 11 to determine whether or not the user name and the password match, and in step S102, the authentication result is displayed as the user Transmit to terminal 5. Here, a case where the user authentication server 1 can authenticate the user of the user terminal 5 will be described.

ユーザ端末5において、認証結果を受信するとネットワークにログインするとともに、ステップS103において、鍵取得手段52によってユーザ端末5のユーザが認証された認証結果がフックされる。ステップS103において認証結果がフックされると、鍵取得手段52はステップS104において、暗号鍵管理サーバ2対して共有ファイルの暗号鍵の取得リクエストを送信する。このとき鍵取得手段52は、ユーザ端末5にログオンしたユーザ名を暗号鍵管理サーバ2に送信する。暗号鍵管理サーバ2は、ユーザ端末5から共有ファイル暗号鍵リクエストを受信すると、鍵提供手段24によって受信したユーザ名に基づいて、このユーザがアクセス可能な共有ファイルや共有フォルダの識別子、即ちファイル名やフォルダ名と、それらを暗号化又は復号化する暗号鍵とが鍵情報23から抽出される。更に、ステップS105において鍵提供手段24は、共有ファイルの識別子と暗号鍵とをユーザ端末5に対応づけて送信し、ユーザ端末5の鍵取得手段52は鍵情報53として記憶装置に記憶する。   When the user terminal 5 receives the authentication result, the user terminal 5 logs in to the network, and in step S103, the authentication result obtained by authenticating the user of the user terminal 5 by the key acquisition unit 52 is hooked. When the authentication result is hooked in step S103, the key acquisition means 52 transmits a shared file encryption key acquisition request to the encryption key management server 2 in step S104. At this time, the key acquisition means 52 transmits the user name logged on to the user terminal 5 to the encryption key management server 2. When the encryption key management server 2 receives the shared file encryption key request from the user terminal 5, based on the user name received by the key providing unit 24, the identifier of the shared file or shared folder accessible by the user, that is, the file name And the folder name and the encryption key for encrypting or decrypting them are extracted from the key information 23. Furthermore, in step S105, the key providing unit 24 transmits the shared file identifier and the encryption key in association with the user terminal 5, and the key obtaining unit 52 of the user terminal 5 stores the key information 53 in the storage device.

一方、ユーザ端末5のユーザによって入力装置から、ファイルサーバ3に記憶された共有ファイル31へのアクセスが指示されると、ステップS106において、ユーザ端末5は入力装置から入力された共有ファイル31の識別子をファイルサーバ3に送信して、共有ファイルを取得するリクエストを送信する。ファイルサーバ3は、ステップS107において受信した共有ファイルリクエストの共有ファイル識別子に基づいて共有ファイル31から共有ファイル識別子に該当するファイルを抽出し、ユーザ端末5に送信する。ここで送信される共有ファイルは、暗号化されたファイルである。   On the other hand, when the user of the user terminal 5 gives an instruction to access the shared file 31 stored in the file server 3 from the input device, in step S106, the user terminal 5 identifies the shared file 31 input from the input device. Is transmitted to the file server 3, and a request for acquiring the shared file is transmitted. The file server 3 extracts a file corresponding to the shared file identifier from the shared file 31 based on the shared file identifier of the shared file request received in step S <b> 107 and transmits the file to the user terminal 5. The shared file transmitted here is an encrypted file.

次に、ステップS108において、共有ファイルのディスク入出力命令をフックして鍵情報53から当該ファイルの暗号鍵を読み出して復号化し、更に共有ファイルを暗号鍵で暗号化してディスクに書き込む。   Next, in step S108, the disk input / output command for the shared file is hooked, the encryption key of the file is read from the key information 53 and decrypted, and the shared file is encrypted with the encryption key and written to the disk.

この様に本発明の最良の実施の形態においてはユーザ認証サーバ1で認証されたユーザに対して暗号鍵を送信している。これにより、ユーザ認証サーバ1と暗号鍵管理サーバ2との二つのサーバによる認証が可能となり、セキュリティ強度を格段に向上させることができる。   As described above, in the preferred embodiment of the present invention, the encryption key is transmitted to the user authenticated by the user authentication server 1. Thereby, authentication by two servers, the user authentication server 1 and the encryption key management server 2, becomes possible, and the security strength can be remarkably improved.

又、ユーザ認証と鍵管理とを別々のサーバで実現することにより、それぞれのサーバに管理者を配置することができる。そのため、管理者を買収するなど不正な手段でファイルへのアクセス権を得ようとした場合、二人の管理者を共に買収する必要が発生するため、買収等の攻撃への耐久性を向上させることができる。   Also, by implementing user authentication and key management on separate servers, an administrator can be placed on each server. Therefore, if you try to acquire access rights to the file by unauthorized means such as acquiring an administrator, you will need to acquire two administrators together, which improves durability against attacks such as acquisition be able to.

更に、通常はネットワークへログインするためのユーザ認証と暗号鍵を取得するためのユーザ認証との二つの段階を経るところ、ネットワークへのログインのみで暗号鍵を取得することができるため、ユーザの利便性や操作性を飛躍的に向上させることができる。更に、ネットワークへログインするためのパスワードのみを記憶すれば良く、ユーザはファイルやフォルダ毎に暗号鍵を記憶する必要がないメリットも享受することができる。更に、暗号鍵がユーザ端末5の記憶装置に記憶されユーザが記憶する必要がないので、暗号鍵をより複雑により長くすることができる。   In addition, usually through two stages of user authentication for logging in to the network and user authentication for acquiring the encryption key, the encryption key can be acquired only by logging in to the network. Performance and operability can be dramatically improved. Furthermore, only the password for logging in to the network needs to be stored, and the user can also enjoy the advantage of not having to store the encryption key for each file or folder. Furthermore, since the encryption key is stored in the storage device of the user terminal 5 and does not need to be stored by the user, the encryption key can be made longer and more complicated.

この様に本発明の最良の実施の形態に係る暗号鍵管理システムによれば、更にセキュリティ強度を高く暗号鍵を管理することができる。   As described above, according to the encryption key management system according to the preferred embodiment of the present invention, the encryption key can be managed with higher security strength.

(第2の実施の形態)
次に、図7を参照して本発明の第2の実施の形態に係る暗号鍵管理システムについて説明する。 (Second Embodiment)
Next, an encryption key management system according to the second embodiment of the present invention will be described with reference to FIG.

本発明の第2の実施の形態に係る暗号鍵管理システムは、ユーザ端末5内に保護ファイル55を備えており、暗号鍵管理サーバ2で保護ファイル55の暗号鍵を管理する点が異なる。   The encryption key management system according to the second embodiment of the present invention includes a protection file 55 in the user terminal 5, and is different in that the encryption key management server 2 manages the encryption key of the protection file 55.

即ち、本発明の第2の実施の形態に係るユーザ端末5は、保護ファイル55、保護ファイル復号化手段56、保護ファイル暗号鍵57、保護ファイル暗号鍵アップロード手段58を備えている。   That is, the user terminal 5 according to the second embodiment of the present invention includes a protected file 55, a protected file decryption unit 56, a protected file encryption key 57, and a protected file encryption key upload unit 58.

保護ファイル55は、ユーザ端末5内部の記憶装置に記憶され、保護ファイル暗号鍵57で保護されるファイルである。保護ファイル55を読み出す場合、ユーザに保護ファイル暗号鍵を入力させ一時的に記憶装置に記憶され、更にこの保護ファイル暗号鍵57で保護ファイル55を復号化されてメモリに読み込まれる。ユーザ端末5を複数のユーザで利用する場合、ユーザ毎に保護ファイル55及び保護ファイル暗号鍵57が設定されるのが好ましい。   The protected file 55 is a file that is stored in a storage device inside the user terminal 5 and protected by the protected file encryption key 57. When reading the protected file 55, the user inputs the protected file encryption key and temporarily stores it in the storage device, and the protected file 55 is decrypted with the protected file encryption key 57 and read into the memory. When the user terminal 5 is used by a plurality of users, the protected file 55 and the protected file encryption key 57 are preferably set for each user.

保護ファイル暗号鍵57は、保護ファイル55を復号化又は暗号化するための暗号鍵である。保護ファイル暗号鍵57は、ユーザによって入力されることにより、保護ファイル暗号鍵57に記憶される。   The protected file encryption key 57 is an encryption key for decrypting or encrypting the protected file 55. The protected file encryption key 57 is stored in the protected file encryption key 57 by being input by the user.

保護ファイル暗号鍵アップロード手段58は、保護ファイル暗号鍵57に記憶された暗号鍵を暗号鍵管理サーバ2にアップロードする手段である。暗号鍵管理サーバ2は、保護ファイル暗号鍵57に基づくデータを受信すると、鍵情報23にその保護ファイル暗号鍵を記憶する。ユーザ毎に保護ファイル55を設定した場合、ユーザ毎に保護ファイル暗号鍵が記憶されるのが好ましい。保護ファイル暗号鍵アップロード手段58は、ユーザ端末5が通信ネットワーク7に接続されユーザ認証サーバ1によって認証されたときに、暗号鍵管理サーバ2にアップロードするのが好ましい。   The protected file encryption key upload means 58 is means for uploading the encryption key stored in the protection file encryption key 57 to the encryption key management server 2. When receiving the data based on the protected file encryption key 57, the encryption key management server 2 stores the protected file encryption key in the key information 23. When the protection file 55 is set for each user, a protection file encryption key is preferably stored for each user. The protected file encryption key upload means 58 preferably uploads to the encryption key management server 2 when the user terminal 5 is connected to the communication network 7 and authenticated by the user authentication server 1.

又、第2の暗号鍵を設定することにより2段階の暗号化を経て保護ファイル55を暗号化しても良い。例えば、保護ファイル暗号鍵57に記憶された暗号鍵で第2の暗号鍵(図示せず)を平文化し、平文化された第2の暗号鍵で保護ファイル55を暗号化する様にしても良い。このとき保護ファイル55は、ユーザ端末5内部の記憶装置に記憶され、保護ファイル暗号鍵57で平文化される第2の暗号鍵で保護される。   Alternatively, the protection file 55 may be encrypted through two-stage encryption by setting a second encryption key. For example, a second encryption key (not shown) is plainly written with the encryption key stored in the protection file encryption key 57, and the protection file 55 is encrypted with the plainly-written second encryption key. good. At this time, the protection file 55 is stored in the storage device inside the user terminal 5 and is protected with the second encryption key that is plainly stored with the protection file encryption key 57.

これによれば、2重に暗号化して保護ファイル55を保護するだけでなく、ユーザが入力する保護ファイル暗号鍵をユーザ自身が記憶できる程度の暗号鍵を設定し、保護ファイル暗号鍵を入力するとともに第2の暗号鍵を復号化できるので、第2の暗号鍵のビット数を増やしたり利用する文字数を増やすなど、複雑にすることができる。これにより、保護ファイル55はより高いセキュリティレベルで保護される。   According to this, in addition to protecting the protection file 55 by double encryption, an encryption key is set so that the user can store the protection file encryption key input by the user, and the protection file encryption key is input. In addition, since the second encryption key can be decrypted, the number of bits of the second encryption key can be increased or the number of characters to be used can be increased. Thereby, the protection file 55 is protected at a higher security level.

この様に本発明の第2の実施の形態に係る暗号鍵管理システムによれば、ユーザ端末5に保護ファイルを設けることにより、一つのコンピュータを複数で共有する場合でも高いセキュリティを確保することができる。   As described above, according to the encryption key management system according to the second embodiment of the present invention, by providing a protection file in the user terminal 5, it is possible to ensure high security even when a plurality of computers are shared. it can.

更に、保護ファイル暗号価値を暗号鍵管理サーバ2にアップロードすることにより、ユーザ端末5のユーザが退職した後や不慮の事故があった場合でも、暗号鍵管理サーバ2の管理者によって保護ファイル55の暗号鍵を読み出すことによって、保護ファイル55へアクセスすることができる。   Further, by uploading the protected file encryption value to the encryption key management server 2, even if the user of the user terminal 5 retires or there is an accident, the administrator of the encryption key management server 2 stores the protection file 55. By reading the encryption key, the protected file 55 can be accessed.

(その他の実施の形態)
上記のように、本発明の第1及び第2の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。 (Other embodiments)
As described above, the first and second embodiments of the present invention have been described. However, it should not be understood that the description and drawings constituting a part of this disclosure limit the present invention. From this disclosure, various alternative embodiments, examples, and operational techniques will be apparent to those skilled in the art.

本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。   It goes without saying that the present invention includes various embodiments not described herein. Therefore, the technical scope of the present invention is defined only by the invention specifying matters according to the scope of claims reasonable from the above description.

本発明の第1の実施の形態に係る暗号鍵管理システムのシステム構成図である。It is a system configuration figure of the encryption key management system concerning a 1st embodiment of the present invention. 本発明の第1の実施の形態に係る暗号鍵管理サーバの構成図である。It is a block diagram of the encryption key management server which concerns on the 1st Embodiment of this invention. 本発明の第1の実施の形態に係るユーザ認証サーバが管理するユーザ情報の一例である。It is an example of the user information which the user authentication server which concerns on the 1st Embodiment of this invention manages. 本発明の第1の実施の形態に係る暗号鍵管理サーバが管理するユーザ情報の一例である。It is an example of the user information which the encryption key management server which concerns on the 1st Embodiment of this invention manages. 本発明の第1の実施の形態に係る暗号鍵管理サーバが管理する鍵情報の一例である。It is an example of the key information which the encryption key management server which concerns on the 1st Embodiment of this invention manages. 本発明の第1の実施の形態に係る暗号鍵管理システムの処理を示したシーケンス図である。It is the sequence diagram which showed the process of the encryption key management system which concerns on the 1st Embodiment of this invention. 本発明の第2の実施の形態に係る暗号鍵管理システムのシステム構成図である。It is a system configuration figure of the encryption key management system concerning a 2nd embodiment of the present invention.

符号の説明Explanation of symbols

1…ユーザ認証サーバ
2…暗号鍵管理サーバ
3…ファイルサーバ
4…鍵管理者端末
5,6…ユーザ端末
7…通信ネットワーク
11…第1のユーザ情報
12…ユーザ認証手段
21…ユーザ情報同期手段
22…第2のユーザ情報
23…鍵情報
24…鍵提供手段
31…共有ファイル
41…共有ファイル暗号化手段
42…権限設定手段
51…ユーザ認証依頼手段
52…鍵取得手段
53…鍵情報
54…共有ファイル復号化手段
55…保護ファイル
56…保護ファイル復号化手段
57…保護ファイル暗号鍵
58…保護ファイル暗号鍵アップロード手段
101…中央処理制御装置
102…ROM
103…RAM
104…入力装置
105…表示装置
106…通信制御装置
107…記憶装置
108…リムーバブルディスク
109…入出力インタフェース
110…バス

DESCRIPTION OF SYMBOLS 1 ... User authentication server 2 ... Encryption key management server 3 ... File server 4 ... Key manager terminal 5, 6 ... User terminal 7 ... Communication network 11 ... First user information 12 ... User authentication means 21 ... User information synchronization means 22 ... Second user information 23 ... Key information 24 ... Key providing means 31 ... Shared file 41 ... Shared file encryption means 42 ... Authority setting means 51 ... User authentication request means 52 ... Key acquisition means 53 ... Key information 54 ... Shared file Decryption means 55 ... Protected file 56 ... Protected file decryption means 57 ... Protected file encryption key 58 ... Protected file encryption key upload means 101 ... Central processing controller 102 ... ROM
103 ... RAM
104 ... Input device 105 ... Display device 106 ... Communication control device 107 ... Storage device 108 ... Removable disk 109 ... Input / output interface 110 ... Bus

Claims (12)

ユーザのユーザ識別子及び前記ユーザの所属する所属部課の少なくとも一つをユーザ認証サーバから受信し、ユーザ情報として記憶装置に記憶する手段と、
前記記憶装置から前記ユーザ情報を読み出すとともに、前記ユーザ識別子及び前記所属部課の少なくとも一つが読み出すことのできるファイルの識別子と、前記ファイルを平文化する暗号鍵とが、前記ユーザ識別子及び所属部課の少なくとも一つに関連づけて鍵情報を生成し前記記憶装置に記憶する手段と、
前記ユーザ認証サーバによりユーザのログインが認証された場合、前記ユーザのユーザ端末から受信する前記暗号鍵の取得リクエストに基づいて、前記記憶装置から鍵情報を読み出し、前記ユーザの前記ユーザ識別子及び前記ユーザの前記所属部課に関連づけられた前記ファイルの識別子と前記暗号鍵を抽出して、前記ユーザ端末に送信する手段
とを備えることを特徴とする暗号鍵管理サーバ。 Means for receiving from the user authentication server at least one of the user identifier of the user and the department to which the user belongs, and storing it in the storage device as user information;
The user information is read from the storage device, and at least one of the user identifier and the assigned department section can be read, and an encryption key for plainly writing the file includes at least the user identifier and the assigned department section. Means for generating key information in association with one and storing it in the storage device;
When the user authentication is authenticated by the user authentication server, the key information is read from the storage device based on the encryption key acquisition request received from the user terminal of the user, and the user identifier of the user and the user An encryption key management server, comprising: means for extracting an identifier of the file and the encryption key associated with the belonging department and transmitting them to the user terminal. 前記ファイルは、複数の前記ユーザ端末によって接続可能なファイルサーバに記憶され、前記ユーザ識別子及び所属部課の少なくとも一つに関連づけられた暗号鍵で保護される共有ファイルであることを特徴とする請求項1に記載の暗号鍵管理サーバ。   The file is a shared file stored in a file server connectable by a plurality of user terminals and protected by an encryption key associated with at least one of the user identifier and a department to which the user belongs. 1. The encryption key management server according to 1. 前記ファイルは、前記ユーザ端末内部の記憶装置に記憶され、前記暗号鍵で保護される保護ファイルであることを特徴とする請求項1又は2に記載の暗号鍵管理サーバ。   The encryption key management server according to claim 1, wherein the file is a protected file stored in a storage device inside the user terminal and protected by the encryption key. 前記ファイルは、前記ユーザ端末内部の記憶装置に記憶され、前記暗号鍵で平文化される第2の暗号鍵で保護される保護ファイルであることを特徴とする請求項1又は2に記載の暗号鍵管理サーバ。   3. The encryption according to claim 1, wherein the file is a protected file that is stored in a storage device inside the user terminal and protected by a second encryption key that is plainly stored with the encryption key. Key management server. ユーザのユーザ識別子及び前記ユーザの所属する所属部課の少なくとも一つをユーザ認証サーバから受信し、ユーザ情報として記憶装置に記憶するステップと、
前記記憶装置から前記ユーザ情報を読み出すとともに、前記ユーザ識別子及び前記所属部課の少なくとも一つが読み出すことのできるファイルの識別子と、前記ファイルを平文化する暗号鍵とが、前記ユーザ識別子及び所属部課の少なくとも一つに関連づけて鍵情報を生成し前記記憶装置に記憶するステップと、
前記ユーザ認証サーバによりユーザのログインが認証された場合、前記ユーザのユーザ端末から受信する前記暗号鍵の取得リクエストに基づいて、前記記憶装置から鍵情報を読み出し、前記ユーザの前記ユーザ識別子及び前記ユーザの前記所属部課に関連づけられた前記ファイルの識別子と前記暗号鍵を抽出して、前記ユーザ端末に送信するステップ
とをコンピュータに実行させることを特徴とする暗号鍵管理プログラム。 Receiving at least one of the user identifier of the user and the department to which the user belongs from the user authentication server, and storing it in a storage device as user information;
The user information is read from the storage device, and at least one of the user identifier and the assigned department section can be read, and an encryption key for plainly writing the file includes at least the user identifier and the assigned department section. Generating key information in association with one and storing it in the storage device;
When the user authentication is authenticated by the user authentication server, the key information is read from the storage device based on the encryption key acquisition request received from the user terminal of the user, and the user identifier of the user and the user An encryption key management program for causing a computer to execute the step of extracting the identifier of the file and the encryption key associated with the belonging department of the user and transmitting them to the user terminal. 前記ファイルは、複数の前記ユーザ端末によって接続可能なファイルサーバに記憶され、前記ユーザ識別子及び所属部課の少なくとも一つに関連づけられた暗号鍵で保護される共有ファイルであることを特徴とする請求項5に記載の暗号鍵管理プログラム。   The file is a shared file stored in a file server connectable by a plurality of user terminals and protected by an encryption key associated with at least one of the user identifier and a department to which the user belongs. 5. The encryption key management program according to 5. 前記ファイルは、前記ユーザ端末内部の記憶装置に記憶され、前記暗号鍵で保護される保護ファイルであることを特徴とする請求項5又は6に記載の暗号鍵管理プログラム。   7. The encryption key management program according to claim 5, wherein the file is a protected file stored in a storage device inside the user terminal and protected by the encryption key. 前記ファイルは、前記ユーザ端末内部の記憶装置に記憶され、前記暗号鍵で平文化される第2の暗号鍵で保護される保護ファイルであることを特徴とする請求項5又は6に記載の暗号鍵管理プログラム。   The encryption according to claim 5 or 6, wherein the file is a protected file that is stored in a storage device inside the user terminal and protected by a second encryption key that is plainly stored with the encryption key. Key management program. ユーザによって入力装置から入力されたユーザ識別子及びパスワードをユーザ認証サーバに送信し、前記ユーザ認証サーバにおける前記ユーザの認証を依頼する手段と、
前記ユーザ認証サーバによって前記ユーザが認証されたことを検知すると、暗号鍵管理サーバに前記ユーザ識別子を送信し、前記暗号鍵管理サーバから、前記ユーザが読み出すことのできるファイルの識別子と前記ファイルを平文化する暗号鍵とを受信して、前記ファイルの識別子と前記暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶する手段と、
前記ユーザ端末で前記ファイルを読み出す場合、前記記憶装置から前記鍵情報を読み出して、前記ファイルの識別子に関連づけられた前記暗号鍵を抽出し、前記ファイルを読み出すとともに前記暗号鍵で平文化する手段
とを備えることを特徴とする暗号鍵取得端末。 Means for transmitting a user identifier and a password input from an input device by a user to a user authentication server, and requesting authentication of the user in the user authentication server;
When detecting that the user is authenticated by the user authentication server, the user identifier is transmitted to an encryption key management server, and the identifier of the file that can be read by the user and the file are averaged from the encryption key management server. Means for receiving an encryption key to culture, associating the identifier of the file with the encryption key to generate key information and storing it in a storage device;
Means for reading out the file at the user terminal, reading out the key information from the storage device, extracting the encryption key associated with the identifier of the file, reading out the file and unambiguously using the encryption key; An encryption key acquisition terminal comprising: ユーザによって入力装置から入力されたユーザ識別子及びパスワードをユーザ認証サーバに送信し、前記ユーザ認証サーバにおける前記ユーザの認証を依頼するステップと、
前記ユーザ認証サーバによって前記ユーザが認証されたことを検知すると、暗号鍵管理サーバに前記ユーザ識別子を送信し、前記暗号鍵管理サーバから、前記ユーザが読み出すことのできるファイルの識別子と前記ファイルを平文化する暗号鍵とを受信して、前記ファイルの識別子と前記暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶するステップと、
前記ユーザ端末で前記ファイルを読み出す場合、前記記憶装置から前記鍵情報を読み出して、前記ファイルの識別子に関連づけられた前記暗号鍵を抽出し、前記ファイルを読み出すとともに前記暗号鍵で平文化するステップ
とをコンピュータに実行させることを特徴とする暗号鍵取得プログラム。 Transmitting a user identifier and password input from an input device by a user to a user authentication server, and requesting authentication of the user in the user authentication server;
When detecting that the user is authenticated by the user authentication server, the user identifier is transmitted to an encryption key management server, and the identifier of the file that can be read by the user and the file are averaged from the encryption key management server. Receiving an encryption key to culture, associating the identifier of the file with the encryption key to generate key information and storing it in a storage device;
When reading the file at the user terminal, reading the key information from the storage device, extracting the encryption key associated with the identifier of the file, reading the file and plain-printing with the encryption key; An encryption key acquisition program for causing a computer to execute ユーザを認証するユーザ認証サーバと、前記ユーザ認証サーバに前記ユーザの認証を依頼する暗号鍵取得端末を備える暗号鍵管理システムにおいて、
ユーザ識別子及びパスワードが関連づけられて記憶された第1のユーザ情報を記憶装置から読み出すとともに、前記ユーザによって入力された前記ユーザ識別子に関連づけられたパスワードを前記第1のユーザ情報から抽出し、抽出されたパスワードと、前記ユーザ端末から送信されたパスワードとを比較して、一致している場合、前記ユーザを認証したことを前記暗号鍵取得端末に送信する手段
を備えたユーザ認証サーバと、
前記ユーザによって入力装置から入力されたユーザ識別子及びパスワードを前記ユーザ認証サーバに送信し、前記ユーザ認証サーバにおける前記ユーザの認証を依頼する手段と、
前記ユーザ認証サーバによって前記ユーザが認証されたことを検知すると、暗号鍵管理サーバに前記ユーザ識別子を送信し、前記暗号鍵管理サーバから、前記ユーザが読み出すことのできるファイルの識別子と前記ファイルを平文化する暗号鍵とを受信して、前記ファイルの識別子と前記暗号鍵を関連づけて鍵情報を生成し記憶装置に記憶する手段と、
前記ファイルを読み出す場合、前記記憶装置から前記鍵情報を読み出して、前記ファイルの識別子に関連づけられた前記暗号鍵を抽出し、前記ファイルを読み出すとともに前記暗号鍵で平文化する手段
とを備えた暗号鍵取得端末と、
前記暗号鍵取得端末から前記ユーザ識別子を受信すると、記憶装置に記憶され前記第1のユーザ情報と同期された第2のユーザ情報に基づいて生成された前記ユーザが読み出すことのできるファイルの識別子と前記ファイルを平文化する暗号鍵とが前記ユーザ識別子に関連づけられて記憶された鍵情報を記憶装置から読み出すとともに、前記ユーザ識別子に関連づけられた前記ファイルの識別子及び暗号鍵を抽出し、前記暗号鍵取得端末に送信する手段
を備えた暗号鍵管理サーバ
とを備えることを特徴とする暗号鍵管理システム。 In an encryption key management system comprising a user authentication server that authenticates a user, and an encryption key acquisition terminal that requests the user authentication server to authenticate the user,
First user information stored in association with a user identifier and a password is read from the storage device, and a password associated with the user identifier input by the user is extracted from the first user information and extracted. A user authentication server comprising means for transmitting, to the encryption key acquisition terminal, the fact that the user has been authenticated if the password and the password transmitted from the user terminal match,
Means for transmitting a user identifier and password input from the input device by the user to the user authentication server, and requesting authentication of the user in the user authentication server;
When detecting that the user is authenticated by the user authentication server, the user identifier is transmitted to an encryption key management server, and the identifier of the file that can be read by the user and the file are averaged from the encryption key management server. Means for receiving an encryption key to culture, associating the identifier of the file with the encryption key to generate key information and storing it in a storage device;
When reading the file, the key information is read from the storage device, the encryption key associated with the identifier of the file is extracted, the file is read, and means for reading out the file with the encryption key is provided. A key acquisition terminal;
When the user identifier is received from the encryption key acquisition terminal, an identifier of the file that can be read by the user generated based on the second user information stored in the storage device and synchronized with the first user information; And reading out key information stored in association with the user identifier from the storage device, and extracting the identifier and encryption key of the file associated with the user identifier, and An encryption key management system comprising: an encryption key management server comprising means for transmitting to an acquisition terminal. ユーザによって入力されたユーザ識別子及びパスワードが、ユーザ端末からユーザ認証サーバに送信されるステップと、
前記ユーザ認証サーバにおいて、前記ユーザ識別子及びパスワードが関連づけられて記憶された第1のユーザ情報を前記ユーザ認証サーバの記憶装置から読み出すとともに、前記ユーザによって入力された前記ユーザ識別子に関連づけられたパスワードを前記第1のユーザ情報から抽出し、抽出されたパスワードと、前記ユーザ端末から送信されたパスワードとを比較して、一致している場合、前記ユーザを認証したことを前記ユーザ端末に送信するステップと、
前記ユーザ端末において前記ユーザが認証されたことを検知すると、前記ユーザ識別子を暗号鍵管理サーバに送信するステップと、
前記暗号鍵管理サーバにおいて前記ユーザ識別子を受信すると、前記第1のユーザ情報と同期された前記暗号鍵管理サーバの記憶装置に記憶された第2のユーザ情報に基づいて生成された前記ユーザが読み出すことのできるファイルの識別子と、前記ファイルを平文化する暗号鍵とが前記ユーザ識別子に関連づけられて記憶された鍵情報を前記暗号鍵管理サーバの記憶装置から読み出すとともに、前記ユーザ識別子に関連づけられた前記ファイルの識別子及び暗号鍵を抽出し、前記ユーザ端末に送信するステップと、
前記ユーザ端末において、前記ユーザ識別子に関連づけられた前記ファイルの識別子及び暗号鍵を受信すると、前記ユーザ端末の記憶装置に鍵情報として記憶するステップと、
前記ユーザ端末で前記ファイルを読み出す場合、前記ユーザ端末の記憶装置から前記鍵情報を読み出して、前記ファイルの識別子に関連づけられた前記暗号鍵を抽出し、前記ファイルを読み出すとともに前記暗号鍵で平文化するステップ
とを備えることを特徴とする暗号鍵管理方法。

A user identifier and a password input by the user are transmitted from the user terminal to the user authentication server;
In the user authentication server, the first user information stored in association with the user identifier and password is read from the storage device of the user authentication server, and the password associated with the user identifier input by the user is A step of extracting from the first user information, comparing the extracted password with the password transmitted from the user terminal, and transmitting the fact that the user has been authenticated to the user terminal if they match. When,
When detecting that the user is authenticated at the user terminal, transmitting the user identifier to an encryption key management server;
When the user identifier is received at the encryption key management server, the user generated based on the second user information stored in the storage device of the encryption key management server synchronized with the first user information is read. And the key information stored in association with the user identifier is read from the storage device of the encryption key management server and is associated with the user identifier. Extracting the identifier and encryption key of the file and transmitting them to the user terminal;
In the user terminal, when receiving the identifier and encryption key of the file associated with the user identifier, storing the key information in the storage device of the user terminal;
When reading out the file at the user terminal, the key information is read out from the storage device of the user terminal, the encryption key associated with the identifier of the file is extracted, the file is read out, and the plaintext is read with the encryption key. An encryption key management method comprising the steps of:

JP2004093308A 2004-03-26 2004-03-26 Encryption key management server, encryption key management program, encryption key acquisition terminal, encryption key acquisition program, encryption key management system, and encryption key management method Expired - Lifetime JP4587688B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004093308A JP4587688B2 (en) 2004-03-26 2004-03-26 Encryption key management server, encryption key management program, encryption key acquisition terminal, encryption key acquisition program, encryption key management system, and encryption key management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004093308A JP4587688B2 (en) 2004-03-26 2004-03-26 Encryption key management server, encryption key management program, encryption key acquisition terminal, encryption key acquisition program, encryption key management system, and encryption key management method

Publications (2)

Publication Number Publication Date
JP2005286402A true JP2005286402A (en) 2005-10-13
JP4587688B2 JP4587688B2 (en) 2010-11-24

Family

ID=35184365

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004093308A Expired - Lifetime JP4587688B2 (en) 2004-03-26 2004-03-26 Encryption key management server, encryption key management program, encryption key acquisition terminal, encryption key acquisition program, encryption key management system, and encryption key management method

Country Status (1)

Country Link
JP (1) JP4587688B2 (en)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007189325A (en) * 2006-01-11 2007-07-26 Oki Electric Ind Co Ltd Encryption system
JP2007200059A (en) * 2006-01-27 2007-08-09 Oki Electric Ind Co Ltd Method and system for collecting and referring to system log, computer and program for collecting system log, and computer and program for referring to system log
JP2008085448A (en) * 2006-09-26 2008-04-10 Hitachi Software Eng Co Ltd Encryption/decryption processing method for shared encryption file, and program thereof
JP2008090543A (en) * 2006-09-29 2008-04-17 Fujitsu Ltd Information processor, its control method, and program
JP2008226225A (en) * 2007-03-12 2008-09-25 Teruten Inc Drm content reproduction method and device therefor
JP2008228033A (en) * 2007-03-14 2008-09-25 Nec Personal Products Co Ltd System and method for file encryption
JP4538838B1 (en) * 2009-08-18 2010-09-08 システムインテリジェント株式会社 Virtual thin client device, virtual thin client system, virtual thin client program, and virtual thin client method
JP2011076378A (en) * 2009-09-30 2011-04-14 Hitachi Solutions Ltd System and method for managing document
JP2014176030A (en) * 2013-03-12 2014-09-22 Ricoh Co Ltd Information processing apparatus and information processing system
US9769132B2 (en) 2012-12-20 2017-09-19 Mitsubishi Electric Corporation Control system for securely protecting a control program when editing, executing and transmitting the control program
CN110969423A (en) * 2019-11-28 2020-04-07 重庆市科学技术研究院 Management system and management method of science and technology sharing platform

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000010930A (en) * 1998-06-24 2000-01-14 Hitachi Ltd Access control method for network system
JP2002369972A (en) * 2001-03-09 2002-12-24 Microsoft Corp Identification of multiple users of online console type game
US20030070068A1 (en) * 2001-10-05 2003-04-10 Alexander Medvinsky Method and system for providing client privacy when requesting content from a public server

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000010930A (en) * 1998-06-24 2000-01-14 Hitachi Ltd Access control method for network system
JP2002369972A (en) * 2001-03-09 2002-12-24 Microsoft Corp Identification of multiple users of online console type game
US20030070068A1 (en) * 2001-10-05 2003-04-10 Alexander Medvinsky Method and system for providing client privacy when requesting content from a public server

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN7010000161, Larry J. Hughes, Jr. 著/長原宏冶 監訳, "インターネット・エキサイティングテクノロジーシリーズ インターネットセキュリティ", 19970221, 初版, p.94−101, JP, 株式会社インプレス *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007189325A (en) * 2006-01-11 2007-07-26 Oki Electric Ind Co Ltd Encryption system
JP2007200059A (en) * 2006-01-27 2007-08-09 Oki Electric Ind Co Ltd Method and system for collecting and referring to system log, computer and program for collecting system log, and computer and program for referring to system log
JP2008085448A (en) * 2006-09-26 2008-04-10 Hitachi Software Eng Co Ltd Encryption/decryption processing method for shared encryption file, and program thereof
JP2008090543A (en) * 2006-09-29 2008-04-17 Fujitsu Ltd Information processor, its control method, and program
JP2008226225A (en) * 2007-03-12 2008-09-25 Teruten Inc Drm content reproduction method and device therefor
JP2008228033A (en) * 2007-03-14 2008-09-25 Nec Personal Products Co Ltd System and method for file encryption
JP4538838B1 (en) * 2009-08-18 2010-09-08 システムインテリジェント株式会社 Virtual thin client device, virtual thin client system, virtual thin client program, and virtual thin client method
JP2011039953A (en) * 2009-08-18 2011-02-24 System Intelligent Kk Device, system, program and method for integrating virtual thin client
JP2011076378A (en) * 2009-09-30 2011-04-14 Hitachi Solutions Ltd System and method for managing document
US9769132B2 (en) 2012-12-20 2017-09-19 Mitsubishi Electric Corporation Control system for securely protecting a control program when editing, executing and transmitting the control program
JP2014176030A (en) * 2013-03-12 2014-09-22 Ricoh Co Ltd Information processing apparatus and information processing system
CN110969423A (en) * 2019-11-28 2020-04-07 重庆市科学技术研究院 Management system and management method of science and technology sharing platform

Also Published As

Publication number Publication date
JP4587688B2 (en) 2010-11-24

Similar Documents

Publication Publication Date Title
CN108322461B (en) Method, system, device, equipment and medium for automatically logging in application program
JP5620781B2 (en) Information processing apparatus, control method thereof, and program
US7802112B2 (en) Information processing apparatus with security module
US8533469B2 (en) Method and apparatus for sharing documents
US20070074038A1 (en) Method, apparatus and program storage device for providing a secure password manager
EP2251810B1 (en) Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method
CN100495421C (en) Authentication protection method based on USB device
CN102227734A (en) Client computer for protecting confidential file, server computer therefor, method therefor, and computer program
US20170099144A1 (en) Embedded encryption platform comprising an algorithmically flexible multiple parameter encryption system
US10630722B2 (en) System and method for sharing information in a private ecosystem
US11924333B2 (en) Secure and robust decentralized ledger based data management
WO2006001153A1 (en) File managing program
EP3185465A1 (en) A method for encrypting data and a method for decrypting data
US7412603B2 (en) Methods and systems for enabling secure storage of sensitive data
JP4587688B2 (en) Encryption key management server, encryption key management program, encryption key acquisition terminal, encryption key acquisition program, encryption key management system, and encryption key management method
JP4947562B2 (en) Key information management device
US20150006881A1 (en) Securing an Encryption Key of a User Device While Preserving Simplified User Experience
JP7079528B2 (en) Service provision system and service provision method
JP4521514B2 (en) Medical information distribution system, information access control method thereof, and computer program
JP2007179357A (en) Method for installing computer program
JP2008217300A (en) System and method for encrypting and decrypting file with biological information
WO2010103800A1 (en) Server, terminal, program, and service providing method
JP2008035449A (en) Data distributing method using self-decryption file and information processing system using the same
JP5730488B2 (en) Information processing system
Corella et al. An example of a derived credentials architecture

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070223

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100525

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100722

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100810

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100907

R150 Certificate of patent or registration of utility model

Ref document number: 4587688

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130917

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250