JP2007142504A - Information processing system - Google Patents

Information processing system Download PDF

Info

Publication number
JP2007142504A
JP2007142504A JP2005329449A JP2005329449A JP2007142504A JP 2007142504 A JP2007142504 A JP 2007142504A JP 2005329449 A JP2005329449 A JP 2005329449A JP 2005329449 A JP2005329449 A JP 2005329449A JP 2007142504 A JP2007142504 A JP 2007142504A
Authority
JP
Japan
Prior art keywords
terminal
password
salt
encrypted
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005329449A
Other languages
Japanese (ja)
Inventor
Manabu Yamauchi
内 学 山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KOTOHACO KK
Original Assignee
KOTOHACO KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KOTOHACO KK filed Critical KOTOHACO KK
Priority to JP2005329449A priority Critical patent/JP2007142504A/en
Publication of JP2007142504A publication Critical patent/JP2007142504A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an information system wherein a mobile terminal shares data of a PC terminal with the PC terminal via a server while keeping the security. <P>SOLUTION: The information processing system includes: the PC terminal 1 that carries out generation and storage of a first time salt and a PCID (ID unique to a PC), first time transmission of the salt and every time transmission of a hash value of the PCID, every time generation and transmission of a session key and an IV, storage of a password and every time transmission of its hash value, encryption and transmission of data using the session key and the IV, and encryption and transmission of the session key using the salt and the password; the mobile terminal 2 for carrying out storage and every time transmission of the salt and every time transmission of the password; and the network server for executing user authentication, PC authentication and SSL transmission of decoded data using the salt, the password, the session key and the IV and discarding of the salt, and storage and management of the IV, encrypted data, the session key, the password and the PCID. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ネットワーク上のサーバを介してPC端末のデータを携帯端末で共有する情報システムに関し、詳しくは、セキュリティを確保してPC端末のデータをネットワーク上のサーバに保管し、ファイルの階層構造を維持したまま保管したデータを携帯端末により取り出す情報システムに関するものである。   The present invention relates to an information system for sharing data of a PC terminal with a mobile terminal via a server on a network. More specifically, the present invention relates to an information system that secures security and stores PC terminal data in a server on a network. It is related with the information system which takes out the data stored with maintaining with the portable terminal.

従来より、ネットワークに接続されたPC(パーソナルコンピュータ)端末にリモート端末によりアクセスし、アクセスしたPCのデスクトップ画面をリモート端末に表示して、リモート操作によりファイルアクセスを含むほぼ全てのアクセスを可能としたアプリケーションが知られており、リモート端末として携帯電話が使用可能なものもある。
また、近年、携帯電話の処理能力の進歩や画面表示解像度の向上に伴い、フルブラウジング可能なWebブラウザを搭載したものが出現し、スクロール等によりPC画面用に構成されたWebページを表示できるようになってきている。さらにPC用で作成されたワープロ(文書作成:ワードプロセッサー)、表計算、プレゼンテーション、印刷イメージによるドキュメントファイル等の各種アプリケーションのビューア(表示ソフトウェア)も出現しており、PCで作成したデータを携帯電話で表示し、さらには加工するという、各種アプリケーションやそのデータをPCと携帯電話との区別なくシームレスに取り扱う機会が増えてくることが予想される。
このようなネットワーク上でデータを取り扱う際にセキュリティに注意を払うことは、現在必須事項であり、ネットワーク上でパケットをプロトコルレベルで暗号化して処理する通信システムとしてSSL(Secure Sockets Layer)が知られており、データそのものの暗号化システムとしてはPGP(Pretty Good Privacy)等が使用されている。
ネットワークを介してデータを共有するシステムとして、ユーザ情報によってアクセスを制御し、ネットワークを介して配布されたアプリケーションによってユーザが作成したデータをアップロードする機能と、アップロードされたデータを他のユーザがダウンロードする機能を実現し、データの共有を可能とするという情報処理技術が特許文献1に開示されている。 Conventionally, a PC (personal computer) terminal connected to a network is accessed by a remote terminal, and the desktop screen of the accessed PC is displayed on the remote terminal, enabling almost all accesses including file access by remote operation. Some applications are known and mobile phones can be used as remote terminals.
In recent years, with the progress of the processing capability of mobile phones and the improvement of screen display resolution, those equipped with a web browser capable of full browsing have appeared, and it is possible to display a web page configured for a PC screen by scrolling or the like. It is becoming. In addition, viewers (display software) for various applications such as word processors (document creation: word processors) created for PCs, spreadsheets, presentations, document files with print images, etc. have appeared, and data created on PCs can be viewed on mobile phones. Opportunities for seamless handling of various applications and data, such as display and processing, without distinction between PCs and mobile phones are expected to increase.
It is currently essential to pay attention to security when handling data on such a network, and SSL (Secure Sockets Layer) is known as a communication system that encrypts and processes packets on the network at the protocol level. PGP (Pretty Good Privacy) or the like is used as an encryption system for the data itself.
As a system for sharing data over a network, access is controlled by user information, and the function of uploading data created by a user through an application distributed over the network, and other users download the uploaded data Patent Document 1 discloses an information processing technique that realizes a function and enables data sharing.

特開2005−275705号公報JP 2005-275705 A

しかしながら、従来技術においては、ユビキタス時代を迎えて、PC端末と携帯端末との相補・融合関係を構築して、「どこでもデスクトップ」と称されるような、携帯端末からPC端末にアクセスしてファイルやフォルダを共有する場合に、PC端末、携帯端末、及びサーバ等により構成されるネットワークデータ共有システムにおいて、各端末或いはサーバ単独での認証、暗号化等のセキュリティは或る程度保持されているものの、システム全体のネットワークセキュリティのレベルとしては不完全であり、盗聴、なりすまし、改鼠、破壊等を目的とする侵入を必ずしも排除できていないというという問題があった。   However, in the prior art, in the ubiquitous era, a complementary / fusion relationship between a PC terminal and a portable terminal is established, and a file is accessed by accessing the PC terminal from a portable terminal, which is called “anywhere desktop”. In a network data sharing system composed of PC terminals, portable terminals, servers, etc., when sharing files and folders, although security such as authentication and encryption at each terminal or server alone is maintained to some extent However, the level of network security of the entire system is incomplete, and there has been a problem that intrusions aimed at eavesdropping, spoofing, falsification, destruction, etc. have not necessarily been eliminated.

そこで、本発明は、データを保管するサーバにアクセスする際にPC端末に対して乱数ベースのユーザ認証を用いると共に、PC端末により生成された暗号化情報と暗号化されたデータとをPC端末から受け取ったサーバが携帯端末にデータを送信したその都度復号化に必要な暗号化情報をサーバより廃棄するように構成して、情報漏洩を排除できる情報システムを提供することを目的としている。   Therefore, the present invention uses random number-based user authentication for a PC terminal when accessing a server that stores data, and also transmits encrypted information generated by the PC terminal and encrypted data from the PC terminal. It is an object of the present invention to provide an information system which can be configured so that encrypted information necessary for decryption is discarded from the server each time the received server transmits data to the mobile terminal, thereby eliminating information leakage.

上記目的を達成するため、請求項1に記載の発明は、通信ネットワーク上のネットワークサーバを介してPC端末のデータを携帯端末で共有する情報システムであって、
PC端末は、ソルトを初回生成して保存し該ソルトをネットワークサーバへ初回送信するソルト処理手段と、PCIDを初回生成して保存し該PCIDをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するPCID処理手段と、セッションキーをデータ送信の都度毎回生成してデータ送信後に該セッションキーを毎回破棄する共通鍵処理手段と、ブロック暗号用のイニシャルベクター(IV)をデータ送信の都度毎回生成して該IVを前記ネットワークサーバへ毎回送信するするIV処理手段と、ユーザが設定したパスワードを保存して該パスワードをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するパスワード処理手段と、前記セッションキー及びIVを用いてデータを共通鍵暗号で暗号化し、暗号化されたデータを送信すると共に、前記ソルト及びパスワードを用いて前記セッションキーを暗号化し、暗号化されたセッションキー及び前記IVをデータ送信の都度前記ネットワークサーバへ毎回送信する暗号化処理手段と、を有し、
携帯端末は、前記ソルトを画面メモ機能等の記憶手段により該携帯端末に保存するソルト保存手段と、保存された前記ソルトを前記ネットワークサーバへログイン時に毎回送信するソルト送信手段と、ユーザが入力したパスワードを前記ネットワークサーバへのアクセスの都度毎回送信するパスワード送信手段と、を有し、
前記ネットワークサーバは、前記PC端末との間でSSL通信を行うPC用SSL通信処理手段と、前記PC端末より受信しハッシュ関数で暗号化されたPCID及びパスワードを用いてPC認証を行うPCID認証手段と、前記携帯端末からのログインの受付け及びユーザ認証を行う携帯用ベーシック認証手段と、前記携帯端末との間でSSL通信を行う携帯用SSL通信処理手段と、前記PC端末より受信したセッションキー及びIVと、前記携帯端末より受信したソルト及びパスワードとを用いて暗号化データの復号化処理を行う復号化処理手段と、前記PC端末より受信した暗号化されたデータ、IV、暗号化されたセッションキー、ハッシュ関数で暗号化されたパスワード、及びハッシュ関数で暗号化されたPCIDの保存・管理を行うデータベースサーバと、を有することを特徴とする。
また、請求項2に記載の前記PC端末は、前記ソルト処理手段及びPCID処理手段により乱数を用いてソルトとPCIDを生成し、生成されたPCIDをハッシュ関数で暗号化し、携帯端末のメールアドレス、ハッシュ関数で暗号化されたパスワードと共に該ソルト及びハッシュ関数で暗号化されたPCIDを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記PCID認証手段におけるPCID及びパスワードによるユーザ認証に問題がなければ前記PC端末より受信した前記PCID、ソルト、携帯端末のメールアドレス、及びパスワードからなる各認証情報をデータベースに格納した後、ユーザIDとワンタイム変数を引数としたログイン用URLを記載した電子メールを前記携帯端末のメールアドレス宛に送信し、前記PCID認証手段におけるPC端末より受信したハッシュ関数で暗号化されたPCID及びパスワードによるユーザ認証に問題なければ、前記PC端末より受信したデータをデータベースに格納することを特徴とする。
また、請求項3に記載の前記PC端末は、ユーザにより指定された該PC端末内の各監視フォルダ及びファイルの情報を取得し、画像ファイルの携帯端末表示用へのデータ変換と文書ファイルのテキスト抽出とを行い前記フォルダ名及びファイル名と共に暗号化対象のデータとし、前記ソルト及びパスワードを用いたPBE暗号により暗号化されたハッシュ値を得てセッションキーを暗号化し、暗号化されたセッションキーとブロック暗号用IVを用いて前記暗号化対象のデータを共通鍵暗号方式で暗号化したデータと、作成日付、更新日付等の属性情報とをハッシュ関数で暗号化された前記PCID及びパスワードの認証情報と共に前記ネットワークサーバへSSL通信により送信することを特徴とする。
また、請求項4に記載の前記携帯端末は、前記ネットワークサーバから送信された電子メールに記載されたURLにアクセスし、
前記ネットワークサーバは、前記携帯端末より受信したユーザIDを基にデータベースからワンタイム変数を抽出してリクエストURLの引数のワンタイム変数と一致していることを確認した上で前記ユーザIDを基にデータベースより前記ソルトを抽出し、該ソルトをWebページのhiddenタグに埋め込んでログイン画面を形成し該携帯端末にSSL通信により送信した後、当該ソルトをデータベースより削除することを特徴とする。
また、請求項5に記載の前記携帯端末は、前記ネットワークサーバより受信したログイン画面で、ユーザIDと前記PC端末で設定したパスワード入力があると、前記hiddenタグに埋め込まれたソルトと共に該ユーザID及びパスワードを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記携帯用ベーシック認証手段で携帯端末より受信したユーザIDを基にデータベースからハッシュ関数で暗号化されたパスワードを抽出して、前記携帯用ベーシック認証手段で携帯端末より受信したパスワードをハッシュ関数で暗号化した値と一致していることを確認した上で、受信した前記ソルト及びパスワードを基に要求に応じた各監視フォルダ及びファイルの復号化処理を行い、復号化された各監視フォルダ及びファイルを携帯端末のWebブラウザ上で階層構造を再現できるデータとして前記携帯端末へSSL通信により送信することを特徴とする。 In order to achieve the above object, an invention according to claim 1 is an information system for sharing data of a PC terminal with a portable terminal via a network server on a communication network,
The PC terminal generates and stores a salt for the first time, stores the salt for the first time to the network server, and generates and stores the PCID for the first time, and encrypts the PCID with a hash function each time the data is transmitted. PCID processing means for transmitting to the network server each time, common key processing means for generating a session key each time data is transmitted and discarding the session key after data transmission, and initial vector (IV) for block cipher transmission An IV processing means for generating and transmitting the IV to the network server each time, and storing a password set by the user and encrypting the password with a hash function to the network server each time data is transmitted. Using the password processing means to send each time and the session key and IV Encrypting the data with a common key cipher and transmitting the encrypted data, encrypting the session key using the salt and password, and transmitting the encrypted session key and the IV each time the data is transmitted to the network. Encryption processing means for transmitting to the server each time,
The portable terminal has a salt storage means for storing the salt in the portable terminal by a storage means such as a screen memo function, a salt transmission means for transmitting the stored salt every time when logging in to the network server, and a user input Password transmitting means for transmitting a password each time the network server is accessed, and
The network server includes an SSL communication processing unit for PC that performs SSL communication with the PC terminal, and a PCID authentication unit that performs PC authentication using a PCID and password received from the PC terminal and encrypted with a hash function A portable basic authentication means for accepting login from the portable terminal and performing user authentication, a portable SSL communication processing means for performing SSL communication with the portable terminal, a session key received from the PC terminal, and Decryption processing means for decrypting encrypted data using the IV and the salt and password received from the mobile terminal, encrypted data received from the PC terminal, IV, encrypted session Storage and management of keys, passwords encrypted with a hash function, and PCIDs encrypted with a hash function And having a, a database server to carry out.
The PC terminal according to claim 2, wherein the salt processing unit and the PCID processing unit generate a salt and a PCID using a random number, encrypt the generated PCID with a hash function, Send the PCID encrypted with the salt and hash function together with the password encrypted with the hash function to the network server by SSL communication,
The network server stores each authentication information including the PCID received from the PC terminal, the salt, the e-mail address of the portable terminal, and the password in the database if there is no problem in the user authentication by the PCID and password in the PCID authentication means. Thereafter, the PCID encrypted with the hash function received from the PC terminal in the PCID authentication means is transmitted to the e-mail address of the portable terminal by sending an e-mail describing the login URL with the user ID and the one-time variable as arguments. If there is no problem with user authentication using a password, data received from the PC terminal is stored in a database.
Further, the PC terminal according to claim 3 acquires information on each monitoring folder and file in the PC terminal designated by the user, converts the data for displaying the image file to the portable terminal, and the text of the document file Extraction is performed as data to be encrypted together with the folder name and file name, a hash value encrypted by PBE encryption using the salt and password is obtained to encrypt a session key, and an encrypted session key The PCID and password authentication information obtained by encrypting the data to be encrypted using the block cipher IV with a common key encryption method and the attribute information such as the creation date and the update date with a hash function And transmitting to the network server by SSL communication.
The portable terminal according to claim 4 accesses a URL described in an e-mail transmitted from the network server,
The network server extracts a one-time variable from the database based on the user ID received from the mobile terminal and confirms that it matches the one-time variable in the argument of the request URL. The salt is extracted from a database, the salt is embedded in a hidden tag of a Web page, a login screen is formed, transmitted to the mobile terminal by SSL communication, and then the salt is deleted from the database.
In addition, when the portable terminal according to claim 5 receives a user ID and a password set in the PC terminal on the login screen received from the network server, the user ID together with the salt embedded in the hidden tag is included. And the password to the network server via SSL communication,
The network server extracts a password encrypted with a hash function from a database based on the user ID received from the portable terminal by the portable basic authentication means, and the password received from the portable terminal by the portable basic authentication means After confirming that it matches the value encrypted with the hash function, the decryption processing of each monitoring folder and file according to the request is performed based on the received salt and password, and each decrypted The monitoring folder and the file are transmitted to the portable terminal by SSL communication as data capable of reproducing the hierarchical structure on the web browser of the portable terminal.

本発明によれば、PBEを用いることで、パスワードとソルトの両方がそろわなければデータの復号化は不可能であることから、どちらか片一方を他人が取得したとしても、データの復号化はできず、従来より共有鍵方式の欠点とされていた鍵の受け渡し問題を、PBEを用いることで鍵の基となるパスワードとソルトに分け、ソルトのみを最初のログイン時にSSL送信で渡し、携帯端末の機能である画面メモ等の記録方式でソルトを携帯端末に保存し、サーバはソルトを破棄することで、ソルトが他人に取得されることがないようにし、また、パスワードはハッシュ関数で暗号化されて保存されていることから、不正侵入等によりパスワード情報が盗まれても、基のパスワードを復号化することはできず、ネットワークサーバ経由でPCのデータを安全に携帯端末から参照することができるという効果がある。   According to the present invention, by using PBE, it is impossible to decrypt data unless both the password and the salt are prepared. The key delivery problem that has been considered a disadvantage of the shared key method cannot be divided into password and salt, which is the basis of the key by using PBE, and only the salt is passed by SSL transmission at the first login. The salt is stored in the mobile terminal using a screen memo recording method, which is a function of, and the server discards the salt so that it cannot be obtained by others, and the password is encrypted with a hash function Therefore, even if password information is stolen due to unauthorized intrusion, etc., the original password cannot be decrypted. Data there is an effect that can be referenced from the secure portable terminal.

以下、本発明の実施の形態について図を参照して説明する。
図1は、本発明の一実施形態による情報システムの構成図であり、図2は、図1に示す情報システムの機能を示す構成図である。
図1、図2において、1、10はPCデータ用収集クライアントのPC端末であり、図2に示す10はその機能を実現するPCアプリケーションを説明したものである。PC端末1は、PC端末1内部に搭載するセキュリティ用のPCアプリケーションとして、最初に乱数によるソルトの初回生成とPC端末1内の記憶装置(図示せず)への保存とを行い、サーバへプレーン(暗号化しない平文)でソルトを送信するソルト処理手段11、乱数によるPCID(PC端末の識別ID)の初回生成とPC端末1内の記憶装置への保存とを行い、生成されたPCIDを毎回ハッシュ関数で暗号化してサーバへ送信するPCID処理手段12、セッションキー(共通鍵)を毎回生成し送信終了の都度毎回破棄する共通鍵処理手段13、IV(イニシャルベクター)を毎回生成してサーバへ送信するIV処理手段14、パスワードを保存すると共に毎回ハッシュ関数で暗号化してサーバへ送信するパスワード処理手段15、セッションキーとIVを用いてデータを共通鍵暗号で暗号化し、暗号化されたデータを毎回サーバへ送信すると共に、ソルト及びパスワードを用いてセッションキーを暗号化し、暗号化されたセッションキーとブロック暗号用IVを毎回サーバへ送信する暗号化処理手段16、を搭載している。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a configuration diagram of an information system according to an embodiment of the present invention, and FIG. 2 is a configuration diagram showing functions of the information system shown in FIG.
1 and 2, reference numerals 1 and 10 denote PC terminals of a PC data collection client, and reference numeral 10 shown in FIG. 2 describes a PC application that realizes the function. As a PC application for security installed in the PC terminal 1, the PC terminal 1 first generates a salt by random numbers for the first time and stores it in a storage device (not shown) in the PC terminal 1, and then sends a plain to the server. The salt processing means 11 for transmitting the salt in (plain text not encrypted), the initial generation of the PCID (identification ID of the PC terminal) by a random number and the storage in the storage device in the PC terminal 1 are performed, and the generated PCID is each time PCID processing means 12 encrypted with a hash function and transmitted to the server, a session key (common key) is generated each time, and a common key processing means 13 that is discarded every time transmission ends, an IV (initial vector) is generated every time and sent to the server IV processing means 14 for sending, password processing means 1 for saving the password and encrypting it with a hash function each time and sending it to the server , Encrypts the data with the common key encryption using the session key and IV, sends the encrypted data to the server each time, encrypts the session key with the salt and password, and encrypts the encrypted session key and block An encryption processing means 16 for transmitting the encryption IV to the server every time is installed.

パスワードを基とするPBE(Password Based Encryption)暗号は、パスワードを一種の鍵データと見なし、この鍵データを基に暗号化鍵を生成するもので、各文字の下位8ビットだけを使用するPKCS#5や、各文字の16ビット全てを使用するPKCS#5等が知られている。
パスワード暗号化の際には、単にパスワードをMD(Message Digest)5等のハッシュアルゴリズム(ハッシュ関数)により得られたハッシュ値(ダイジェスト値)を使用する代わりに、パスワードに前もって8バイト程度のデータ(ソルト)を追加してダイジェスト値を求めることにより、より攪乱された鍵を生成することができる。また、ハッシュ関数を繰り返し適用することもある。 PBE (Password Based Encryption) encryption based on a password regards a password as a kind of key data, and generates an encryption key based on this key data. PKCS # that uses only the lower 8 bits of each character 5 and PKCS # 5 that use all 16 bits of each character are known.
In the case of password encryption, instead of simply using a hash value (digest value) obtained by a hash algorithm (hash function) such as MD (Message Digest) 5, data of about 8 bytes in advance ( A more perturbed key can be generated by adding a salt to obtain the digest value. A hash function may be applied repeatedly.

共通鍵(セッションキー)は、対称暗号方式に属する鍵であり、対称鍵、共有鍵、秘密鍵等とも呼ばれる。対称暗号方式としてはIBM社が開発した秘密鍵暗号方式のDES(Data Encryption Standard)、アメリカ政府標準技術局(NIST)によって選定され、DESに代わる次世代暗号標準としてベルギーの数学者によって開発された秘密鍵暗号化アルゴリズムのラインダール(Rijndael)を用いたAES(Advanced Encryption Standard)、NTTが開発したFEAL(Fast data Encipherment ALgorithm)、スイス工科大学で開発されたIDEA(International Data Encryption Algorithm)、Ron Rivest氏によって開発されたRC(Ron’s Code)シリーズ等が挙げられる。   The common key (session key) is a key belonging to a symmetric encryption method, and is also called a symmetric key, a shared key, a secret key, or the like. As a symmetric encryption method, DES (Data Encryption Standard), a secret key encryption method developed by IBM, was selected by the National Institute of Standards and Technology (NIST), and developed by a Belgian mathematician as a next-generation encryption standard to replace DES. AES (Advanced Encryption Standard) using the private key encryption algorithm Rijndahl, FEAL (Fast data Encipherment Algorithm), developed by NTT, and IDEA (Dr. RC (Ron's Code) series, etc. developed by him.

また、よく出現する文字組の頻度を基に、統計的手法により暗号が破られる可能性を避けるために、ブロック間に依存関係を待たせるなどの各種方法が提案されており、例えばCBCモードの場合、
・平文(プレーン)データをブロックごとに分けておく(m1、m2、…)。
・初期ベクトルと称するブロック長に等しいデータIV(イニシャルベクター)を用意する。
・m1とIVの排他的論理輪を暗号化する(c1)。
・m2とc1の排他的論理輪を暗号化する(c2)。
・m3とc2の排他的論理輪を暗号化する(c3)。
・以降、同様の処理を繰り返し、得られたc1、c2、…をつなげたものを暗号文とする。
このCBCモード(ECBモード:単純にブロックごとに暗号化する方法)を改善し、暗号文中のある箇所が正しく送信できなくても誤りの伝播を避けることができるCFBモードやOFBモードが存在する。 In addition, various methods such as waiting for dependency between blocks have been proposed in order to avoid the possibility of encryption being broken by a statistical method based on the frequency of frequently appearing character sets. If
・ Plain text data is divided into blocks (m1, m2,...).
Prepare data IV (initial vector) equal to the block length called the initial vector.
Encrypt the exclusive logical ring of m1 and IV (c1).
Encrypt the exclusive logical ring of m2 and c1 (c2).
Encrypt the exclusive logical ring of m3 and c2 (c3).
Thereafter, the same processing is repeated, and the obtained concatenation of c1, c2,.
There are CFB modes and OFB modes that improve this CBC mode (ECB mode: a method of simply encrypting each block) and can avoid error propagation even if a certain part in the ciphertext cannot be transmitted correctly.

ソルト処理手段11は、初期設定の際に疑似乱数発生器により乱数のソルトを生成し、PC端末1内の記憶装置に永続保存する。このソルトは初回時プレーンでサーバに送信される。
PCID処理手段12は、乱数或いはユニークID生成アルゴリズムによりPCIDを生成してPC端末1内部に永続保存し、ハッシュ関数で暗号化したハッシュ値をサーバに送信する。サーバに送信されるPCIDは毎回ハッシュ関数で暗号化される。
共通鍵処理手段13は、データ送信の際に、乱数により毎回セッションキー(共通鍵)を生成し、データ送信終了時点で毎回破棄する。このとき生成されたセッションキーは、データを暗号化する際の共通鍵暗号の鍵としてIVと共に使用され、同時にソルト及びパスワードにより暗号化されてブロック暗号用のIVと共にデータ送信の際にサーバに毎回プレーン送信される。
IV処理手段14は、上述のように、最初の平文ブロックを暗号化する際、1つ前のブロックは存在しないので、代わりにビット列を初期ベクトル(IV)として挿入するもので、データ送信の際に、このIVを毎回生成しサーバにプレーン送信する。
パスワード処理手段15は、ユーザが任意に設定したパスワードをPC端末1内に保存し、一方向ハッシュ関数に入力して暗号化されたハッシュ値を得てデータ送信の際に毎回サーバに送信する。このパスワードはソルトが加えられハッシュ関数で暗号化されてセッションキーを暗号化する鍵として用いられる。 The salt processing means 11 generates a salt of a random number by a pseudo random number generator at the time of initial setting, and permanently stores it in a storage device in the PC terminal 1. This salt is sent to the server on the plain at the first time.
The PCID processing means 12 generates a PCID by a random number or unique ID generation algorithm, stores it permanently in the PC terminal 1, and transmits a hash value encrypted by a hash function to the server. The PCID transmitted to the server is encrypted with a hash function every time.
The common key processing means 13 generates a session key (common key) with random numbers every time data is transmitted, and discards it every time data transmission ends. The session key generated at this time is used together with the IV as a common key encryption key when encrypting the data, and simultaneously encrypted with a salt and a password and transmitted to the server together with the block cipher IV every time the data is transmitted. Plain transmission.
As described above, when the first plaintext block is encrypted, the IV processing means 14 inserts a bit string as an initial vector (IV) instead because there is no previous block. Then, this IV is generated every time and is transmitted to the server in a plain manner.
The password processing means 15 stores a password arbitrarily set by the user in the PC terminal 1, inputs it into a one-way hash function, obtains an encrypted hash value, and transmits it to the server every time data is transmitted. This password is salted and encrypted with a hash function and used as a key to encrypt the session key.

暗号化処理手段16は、共通鍵処理手段13で生成されたセッションキーとIV処理手段14で生成されたIVを用いてデータを共通鍵暗号で暗号化してプレーン送信すると共に、ソルト処理手段11で生成されたソルト及びユーザが設定したパスワードを用いてセッションキーを暗号化し、暗号化されたセッションキーとIVを毎回プレーン送信する。
ここで、PC端末1に保存されたソルトとパスワードが盗まれた場合、他人がデータを復号化することが可能になるが、ソルトとパスワードはPC端末1内にのみ保存されているものなので、PC1端末に直接アクセスしてデータを盗まれることと同じことになり、本システムにおける欠点ではない。 The encryption processing means 16 encrypts the data with the common key encryption using the session key generated by the common key processing means 13 and the IV generated by the IV processing means 14 and transmits the data in plain, and the salt processing means 11 The session key is encrypted using the generated salt and the password set by the user, and the encrypted session key and IV are transmitted in a plain manner every time.
Here, when the salt and password stored in the PC terminal 1 are stolen, it becomes possible for another person to decrypt the data, but the salt and password are stored only in the PC terminal 1, This is the same as accessing the PC1 terminal directly and stealing data, and is not a drawback in this system.

2、20はWebブラウザを備えた携帯電話等の携帯端末であり、図2に示す20はPC端末1がサーバに保管したデータを受信・取得する機能を実現する携帯端末のアプリケーションを説明したものである。携帯端末2は、Webブラウザ機能を備えており、画面メモ機能等を用いてサーバから取得したソルトを携帯端末2内に保存するソルト保存手段21、保存されたソルトを用いて携帯端末2からサーバにアクセスする際のログイン時に毎回プレーンで送信するソルト送信手段22、ユーザが入力したパスワードをデータ要求の都度毎回プレーン送信するパスワード送信手段23、ユーザ認証後に送られてきたソルトとパスワードを基にサーバが送信した復号化データを受信するデータ受信手段24、サーバから送信された暗号化されたままのデータを受信し携帯端末2側でデータの復号を行う復号化処理手段25、を有している。   2 and 20 are mobile terminals such as a mobile phone equipped with a Web browser, and 20 shown in FIG. 2 is an application of a mobile terminal that realizes the function of receiving and acquiring data stored in the server by the PC terminal 1 It is. The mobile terminal 2 has a Web browser function, and a salt storage unit 21 that stores the salt acquired from the server using the screen memo function or the like in the mobile terminal 2, and the server from the mobile terminal 2 using the stored salt. The salt transmission means 22 that transmits in plain each time when logging in to access the password, the password transmission means 23 that transmits the password input by the user every time a data request is made, and the server based on the salt and password sent after user authentication Data receiving means 24 for receiving the decrypted data transmitted from the server, and decryption processing means 25 for receiving the encrypted data transmitted from the server and decrypting the data on the portable terminal 2 side. .

8はネットワークサーバであり、PC用Webサーバ3、携帯用Webサーバ4、データベース(DB)サーバ5、及びこれらのサーバと連携して必要な機能を実現するアプリケーションサーバ7、の各サーバで構成され、通信ネットワーク9を介してPC端末1及び携帯端末2に接続されるサーバ群である。
PC用Webサーバ3、30は、公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数等を組み合わせ、プロトコルレベルでセキュリティを保つSSLによるSSL通信処理手段31、ハッシュ関数で暗号化されたPCID及びパスワードを用いた乱数ベースのPCID認証を行うPCID認証手段32、を有しており、他人による推測が困難な乱数ベースのPCID認証を用いることで、ベーシック認証の欠点である「なりすまし」を防止できる。ただし、PC端末1に保存されているPCIDが盗まれると、他人による「なりすまし」は可能になるが、PCIDはPC端末1にのみ保存されているものなので、PC端末1に直接アクセスしてデータを盗まれることと同じことになり、本システムにおける欠点ではない。 Reference numeral 8 denotes a network server, which is composed of a PC Web server 3, a portable Web server 4, a database (DB) server 5, and an application server 7 that realizes necessary functions in cooperation with these servers. A server group connected to the PC terminal 1 and the mobile terminal 2 via the communication network 9.
The PC web servers 3 and 30 combine public key encryption, private key encryption, digital certificate, hash function, etc., and SSL communication processing means 31 using SSL that maintains security at the protocol level, PCID encrypted with the hash function, and PCID authentication means 32 for performing random number-based PCID authentication using a password and using random number-based PCID authentication that is difficult to guess by others can prevent “spoofing” that is a drawback of basic authentication. . However, if the PCID stored in the PC terminal 1 is stolen, “spoofing” by another person becomes possible. However, since the PCID is stored only in the PC terminal 1, the PCID 1 is directly accessed to transfer the data. This is the same as being stolen and not a drawback of the system.

なお、PC端末1に関する説明では暗号化されたデータとの対比として各種情報をプレーンで送信すると記載した箇所があるが、上記の通りSSL通信によりプロトコルレベルのセキュリティを併用する構成とすることも勿論可能である。SSLは、HTTP(HTTPS:Hypertext Transfer Protocol Security)等の上位のプロトコルを利用するアプリケーションからは、特に意識することなく透過的に利用することができる。現在SSLは、SSL3.0を基に改良が加えられたTLS(Transport Layer Security)1.0がRFC(Request For Comment)2246としてIETF(Internet Engineering Task Force)で標準化されている。   In the description of the PC terminal 1, there is a place where various information is transmitted as a plane in contrast to the encrypted data. However, as described above, protocol level security is also used in combination with SSL communication. Is possible. SSL can be used transparently without any particular attention from an application using a higher-level protocol such as HTTP (HTTP: Hypertext Transfer Protocol Security). Currently, SSL (Transport Layer Security) 1.0, which has been improved based on SSL 3.0, is standardized by IETF (Internet Engineering Task Force) as RFC (Request For Comment) 2246.

DBサーバ5、50は、ソルト、パスワード、セッションキー、IVを用いた共通鍵暗号で暗号化したデータの保存、ブロック暗号用イニシャルベクター(IV)の保存、共通鍵暗号で暗号化したセッションキーの保存、一方向ハッシュ関数で暗号化したパスワードの保存、一方向ハッシュ関数で暗号化したPCIDの保存、等をデータベース6に対して行うもので、夫々暗号化要素を分散保存する。これによって、万一データベース6からデータが漏洩しても、構成要素単体では、例えば復号化にはソルトとパスワードが必要等により、復号化できないので情報の漏洩を防ぐことができる。   The DB servers 5 and 50 store salt, password, session key, data encrypted with the common key encryption using IV, store the initial vector (IV) for block encryption, and store the session key encrypted with the common key encryption. The database 6 is stored, stored with a password encrypted with a one-way hash function, and stored with a PCID encrypted with a one-way hash function, and the encrypted elements are stored in a distributed manner. As a result, even if data leaks from the database 6, it is possible to prevent leakage of information because the constituent elements alone cannot be decrypted because, for example, a salt and a password are necessary for decryption.

携帯用Webサーバ4、40は、ユーザ名とパスワードによりベーシック認証を行うベーシック認証手段41、SSL通信処理手段42、PC端末1より受信したセッションキー及びIVと、携帯端末1より受信したソルト及びパスワードとを用いて暗号データを共通鍵暗号方式により復号化処理する復号化処理手段43、を有している。復号化処理に失敗した場合は認証を拒否する。従って、仮に、パスワードが漏れたり推測されたりしても、ソルトが保存されている本人の端末以外からはアクセス不可能であることから、セキュリティが保証される。   The portable web servers 4 and 40 include a basic authentication unit 41 that performs basic authentication using a user name and a password, an SSL communication processing unit 42, a session key and IV received from the PC terminal 1, and a salt and password received from the portable terminal 1. And a decryption processing means 43 for decrypting the encrypted data by a common key encryption method. If the decryption process fails, authentication is rejected. Therefore, even if the password is leaked or guessed, access is not possible from a terminal other than the terminal where the salt is stored, so that security is ensured.

一方、71はデータ検索用のインデックスデータを保管する検索用(タームインデックス)保存手段であり、72はPC端末1または携帯端末2からの検索要求に応答し、検索語句をタームに分解して、各タームを一方向ハッシュ関数等により暗号化し、検索エンジン用タームインデックスとしてデータベース6内に保管された暗号化インデックスデータを検索して取り出し、検索語句との一致度を計算する機能を有する検索用計算手段である。検索用計算手段72による計算が終了したら、復号化処理手段43にその情報を渡し、復号化処理が引き継がれる。   On the other hand, 71 is a search (term index) storing means for storing index data for data search, and 72 is in response to a search request from the PC terminal 1 or the portable terminal 2, and decomposes the search phrase into terms, Search calculation having a function of encrypting each term with a one-way hash function or the like, searching and retrieving the encrypted index data stored in the database 6 as a search engine term index, and calculating the degree of coincidence with the search term Means. When the calculation by the search calculation means 72 is completed, the information is passed to the decryption processing means 43, and the decryption process is taken over.

次に、図3、図4を参照して処理動作について説明する。
図3は、図1に示す情報システムの端末及びサーバの処理のフロー図であり、図4は、図1に示す情報システムの端末及びサーバ間の通信手順を示す図である。
図3を参照すると、先ず、PC端末1でアプリケーションソフトを起動し、データを共有する携帯端末2の携帯メールアドレスを指定し、パスワードを設定して、PC端末1と携帯端末2とでデータを共有する監視フォルダを指定する(ステップS101)。
続いて、PC端末1は、乱数によりID(PCID)とソルトを生成し、そのままPC端末1内に保存する。ソルトはそのまま、PCIDはハッシュ関数で暗号化し、携帯メールアドレス、ハッシュ関数で暗号化されたパスワードと共に、ネットワークサーバ8にSSLで送信する(ステップS102)。
この間の処理は、図4ではPC端末1からPC用Webサーバ3(ネットワークサーバ8)への通信(S11)の内容である。 Next, the processing operation will be described with reference to FIGS.
FIG. 3 is a flowchart of processing of the terminal and server of the information system shown in FIG. 1, and FIG. 4 is a diagram showing a communication procedure between the terminal and server of the information system shown in FIG.
Referring to FIG. 3, first, application software is started on the PC terminal 1, the mobile mail address of the mobile terminal 2 sharing the data is specified, a password is set, and data is transferred between the PC terminal 1 and the mobile terminal 2. A monitoring folder to be shared is designated (step S101).
Subsequently, the PC terminal 1 generates an ID (PCID) and a salt with a random number, and stores them in the PC terminal 1 as they are. The salt is kept as it is, and the PCID is encrypted with a hash function, and transmitted to the network server 8 by SSL together with the mobile mail address and the password encrypted with the hash function (step S102).
The processing during this time is the content of communication (S11) from the PC terminal 1 to the PC Web server 3 (network server 8) in FIG.

ネットワークサーバ8は、PC端末1からハッシュ関数で暗号化されて送信されたPCID及びパスワードによるユーザ認証に問題がなければ、これらの各認証情報(PCID、ソルト、携帯メールアドレス、パスワード)をデータベース6に格納する(ステップS103)。
PC端末1から受信した各認証情報をデータベース6に格納後、データベース6からオートインクリメントされるユーザIDを取得してPC端末1に返送すると共に、ユーザIDとワンタイム変数を引数としたログイン用URL(Uniform Resource Locator)を記載した電子メールを生成して携帯メールアドレス宛に送信し(ステップS104)、携帯端末2にアクセス可能になったことを通知する。
この間の通信手順は、図4に示すPC用Webサーバ3とDBサーバ5との通信(S12、S13)と、PC用Webサーバ3からPC端末1への通信(S14)、及びPC用Webサーバ3から携帯端末2への通信(S15)である。 If there is no problem in the user authentication using the PCID and password encrypted by the hash function from the PC terminal 1, the network server 8 stores these authentication information (PCID, salt, mobile mail address, password) in the database 6. (Step S103).
After each authentication information received from the PC terminal 1 is stored in the database 6, a user ID that is auto-incremented from the database 6 is acquired and returned to the PC terminal 1, and a login URL with the user ID and a one-time variable as arguments An e-mail describing (Uniform Resource Locator) is generated and transmitted to the mobile mail address (step S104), and the mobile terminal 2 is notified that it can be accessed.
The communication procedure during this period includes the communication between the PC Web server 3 and the DB server 5 shown in FIG. 4 (S12, S13), the communication from the PC Web server 3 to the PC terminal 1 (S14), and the PC Web server. 3 is communication (S15) from 3 to the portable terminal 2.

次に、PC端末1は、ユーザにより監視フォルダとして指定されたフォルダ以下にある階層のフォルダ及びファイルの情報を取得して暗号化する。その際、画像ファイルは携帯電話の表示画面に適した表示サイズに変換して暗号化する。また、文書ファイルはその中からテキスト抽出を行い暗号化する。フォルダ及びファイルの共通処理として、フォルダ及びファイル名の暗号化も合わせて行う。データの暗号化にはパスワードを一種の鍵データと見なして暗号化鍵を生成するBPEを用い、上記暗号化処理手段16で説明したように、ソルト、パスワード、暗号化されたセッションキー、及びブロック暗号用IVを用い、AES等の秘密鍵方式で暗号化する(ステップS105)。
この暗号化されたファイル名とその内容、暗号化されたフォルダ名、各フォルダ及びファイルの作成日付、更新日付等の情報を認証情報(ハッシュ関数で暗号化されたPCID及びパスワード)と共にネットワークサーバ8にSSLで送信する(ステップS106)。
これが図4に示すPC端末1からPC用Webサーバ3への通信(S16)である。 Next, the PC terminal 1 acquires and encrypts information on folders and files in the hierarchy below the folder designated as the monitoring folder by the user. At that time, the image file is converted into a display size suitable for the display screen of the mobile phone and encrypted. The document file is encrypted by extracting text from the document file. As common processing for folders and files, encryption of folders and file names is also performed. For data encryption, a BPE that generates an encryption key by regarding a password as a kind of key data is used. As described in the encryption processing means 16, a salt, a password, an encrypted session key, and a block are used. Using the encryption IV, encryption is performed by a secret key method such as AES (step S105).
The network server 8 includes information such as the encrypted file name and its contents, the encrypted folder name, the creation date and update date of each folder and file together with the authentication information (PCID and password encrypted with a hash function). Is transmitted by SSL (step S106).
This is the communication (S16) from the PC terminal 1 to the PC Web server 3 shown in FIG.

ネットワークサーバ8は、ステップS106でPC端末1からハッシュ関数で暗号化されて送信されたPCIDとパスワードによるユーザ認証に問題が無ければ、PC端末1から受信したデータをデータベース6に格納して、PC端末1からのデータ受信が完了したことを記述した電子メールを生成して携帯端末2宛に送信して通知する(ステップS107)。
これが図4に示すPC用Webサーバ3とDBサーバ5との通信(S17、S18)と、PC用Webサーバ3から携帯端末2への通信(S19)である。 If there is no problem in the user authentication using the PCID and password encrypted by the hash function from the PC terminal 1 in step S106, the network server 8 stores the data received from the PC terminal 1 in the database 6, An e-mail describing the completion of data reception from the terminal 1 is generated and transmitted to the portable terminal 2 for notification (step S107).
This is the communication (S17, S18) between the PC Web server 3 and the DB server 5 and the communication from the PC Web server 3 to the portable terminal 2 (S19) shown in FIG.

続いて、PC端末1は、ログオフ或いはシャットダウンするか否かに応じ(ステップS108)、継続する場合は、指定された各監視フォルダの状態監視を継続し、変化があったらサーバに通知する(ステップS110)。ログオフ或いはシャットダウン後、再度PC端末1を立ち上げると起動と同時にアプリケーションソフトが常駐し(ステップS109)、ステップS110のフォルダ監視状態に入る。
これが図4に示すPC端末1からPC用Webサーバ3への通信(S20)と、PC用Webサーバ3からDBサーバ5への通信(S21)である。 Subsequently, the PC terminal 1 continues monitoring the status of each designated monitoring folder according to whether to log off or shut down (step S108), and notifies the server if there is a change (step S108). S110). When the PC terminal 1 is started up again after logoff or shutdown, the application software becomes resident at the same time as activation (step S109), and the folder monitoring state of step S110 is entered.
This is communication (S20) from the PC terminal 1 to the PC Web server 3 and communication from the PC Web server 3 to the DB server 5 (S21) shown in FIG.

次に、携帯端末2は、最初のネットワークサーバ8へのアクセスである場合(ステップS111)、ネットワークサーバ8から送信された電子メールに記載されているユーザIDとワンタイム変数を引数としたログイン用URLにアクセスする(ステップS112)。
これが図4に示す携帯端末2から携帯用Webサーバ4への通信(S22)である。 Next, when the mobile terminal 2 is the first access to the network server 8 (step S111), the login is performed with the user ID and the one-time variable described in the e-mail transmitted from the network server 8 as arguments. The URL is accessed (step S112).
This is communication (S22) from the portable terminal 2 to the portable Web server 4 shown in FIG.

ネットワークサーバ8は、携帯端末2からログインページにアクセスがあったら、ユーザIDをキーにしてデータベース6から対応するワンタイム変数を抽出し、リクエストURLの引数のワンタイム変数とDB6から抽出したワンタイム変数とが一致していることを確認した上で、ユーザIDをキーにしてDBからソルトを抽出し、抽出したソルトをhiddenタグに埋め込んでログイン画面を形成したWebページを生成して携帯端末2に送信する。その直後にソルトはDBから削除する(ステップS113)。
これが図4に示すDBサーバ5から携帯用Webサーバ4への通信(S23)と、携帯用Webサーバ4から携帯端末2への通信(S24)である。 When the mobile server 2 accesses the login page, the network server 8 extracts the corresponding one-time variable from the database 6 using the user ID as a key, and extracts the one-time variable as an argument of the request URL and the one-time extracted from the DB 6. After confirming that the variables match, the mobile terminal 2 extracts a salt from the DB using the user ID as a key, embeds the extracted salt in a hidden tag to generate a web page that forms a login screen, and generates a web page. Send to. Immediately after that, the salt is deleted from the DB (step S113).
This is communication (S23) from the DB server 5 to the portable Web server 4 and communication (S24) from the portable Web server 4 to the portable terminal 2 shown in FIG.

携帯端末2は、ネットワークサーバ8からソルトがhiddenタグに埋め込まれて送信されたログイン画面のWebページを、画面メモ機能により携帯端末2内に保存し(ステップS114)、保存された画面メモを呼び出し、ログインボタンをクリックしてネットワークサーバ8とSSL通信を行う。携帯端末2のWeb表示画面ではユーザIDとパスワードを聞かれる。その際、このログイン画面に表示されていたユーザIDとPC端末1で設定したパスワードを入力する。この時Webページのhiddenタグに埋め込まれているソルトも同時にネットワークサーバ8にPOSTされる(ステップS115)。一旦画面メモ機能によりログイン画面を保存した場合、次回アクセスの際はステップS112、S114の処理を省略してステップS115の処理に移ることができる。
なお、HTTP及びHTTPSによるデータの送信にはURLの引数として送信されるGET命令と、URLとは別に送信されるPOST命令があり、Webページのフォームタグ内で指定される。よりセキュリティを保つにはURLとは別にデータが送信されるPOST命令が望ましい。
この処理は、図4では、携帯端末2から携帯用Webサーバ4への通信(S25)である。 The mobile terminal 2 stores the login screen web page sent from the network server 8 with the salt embedded in the hidden tag in the mobile terminal 2 using the screen memo function (step S114), and calls the stored screen memo. Click the login button to perform SSL communication with the network server 8. On the Web display screen of the portable terminal 2, the user ID and password are asked. At that time, the user ID displayed on the login screen and the password set in the PC terminal 1 are input. At this time, the salt embedded in the hidden tag of the Web page is also posted to the network server 8 at the same time (step S115). Once the login screen is saved by the screen memo function, the processing of steps S112 and S114 can be omitted and the processing can be shifted to step S115 at the next access.
Note that transmission of data by HTTP and HTTPS includes a GET command transmitted as an argument of the URL and a POST command transmitted separately from the URL, which are specified in the form tag of the Web page. In order to maintain more security, a POST command that transmits data separately from the URL is desirable.
This process is communication (S25) from the portable terminal 2 to the portable Web server 4 in FIG.

ネットワークサーバ8は、SSL通信で接続しに来ている送信元及び送信先のIPアドレスを基に接続クライアントを判断し、図4で言うところのPC用Webサーバ3と携帯用Webサーバ4に振り分け(ステップS116)、携帯端末2なら、携帯端末2から送信されたユーザIDを基にデータベース6から対応するハッシュ関数で暗号化されたパスワードを抽出し、携帯端末2から受信したパスワードをハッシュ関数で暗号化した値とデータベース6から抽出したパスワードと比較し、ユーザ認証を行う。ユーザ認証に問題がなければ、次に、携帯端末2からPOSTされたソルトとパスワードを基に、要求に応じた各監視フォルダ以下のフォルダ及びファイルをデータベース6から取り出し、取り出されたデータの復号化処理を行い、各監視フォルダの階層構造を携帯ブラウザで再現できるデータにして携帯端末2に送信する。なお、復号化処理に失敗すると認証を拒否するので、ユーザIDとパスワードを他人が取得しても、本人の携帯端末2に保存されているソルトがわからない限りログインできない。(ステップS117)。
この処理は、図4では、DBサーバ5から携帯用Webサーバ4への通信(S26)と、携帯用Webサーバ4から携帯端末2への通信(S27)である。 The network server 8 determines the connection client based on the IP address of the transmission source and the transmission destination that are coming to connect by SSL communication, and distributes them to the PC Web server 3 and the portable Web server 4 as shown in FIG. (Step S116) In the case of the mobile terminal 2, the password encrypted with the corresponding hash function is extracted from the database 6 based on the user ID transmitted from the mobile terminal 2, and the password received from the mobile terminal 2 is extracted with the hash function. User authentication is performed by comparing the encrypted value with the password extracted from the database 6. If there is no problem in the user authentication, then, based on the salt and password posted from the portable terminal 2, the folders and files under each monitoring folder according to the request are extracted from the database 6 and the extracted data is decrypted. Processing is performed, and the hierarchical structure of each monitoring folder is converted to data that can be reproduced by the mobile browser and transmitted to the mobile terminal 2. If the decryption process fails, authentication is rejected. Therefore, even if another person obtains the user ID and password, it is impossible to log in unless the salt stored in the mobile terminal 2 is known. (Step S117).
In FIG. 4, this processing is communication from the DB server 5 to the portable Web server 4 (S26) and communication from the portable Web server 4 to the portable terminal 2 (S27).

ネットワークサーバ8から各監視フォルダの内容を受信した携帯端末2では、フォルダ及びファイルの階層構造が再現され、操作に応じて、ワンタイムセッション変数を引数にしてセッション情報を保持し、ネットワークサーバ8との認証と復号化処理依頼を行う(ステップS118)。
また、ネットワークサーバ8は、ステップS116の判断で接続がPC端末1の場合は、PC端末1から通知された情報に基づき、データベース6の内容を更新する(ステップS120)。
このようにして、PC端末1のフォルダ及びファイルのデータが、セキュリティを保ちながらネットワークを介して携帯端末2にその階層構造を維持して再現され、「どこでもデスクトップ」が実現される。 In the mobile terminal 2 that has received the contents of each monitoring folder from the network server 8, the hierarchical structure of the folders and files is reproduced, and according to the operation, the session information is held with the one-time session variable as an argument, Authentication and decryption processing requests are made (step S118).
In addition, when the connection is the PC terminal 1 in the determination in step S116, the network server 8 updates the contents of the database 6 based on the information notified from the PC terminal 1 (step S120).
In this way, the folder and file data of the PC terminal 1 are reproduced in the portable terminal 2 while maintaining the security, maintaining the hierarchical structure through the network, and “desktop everywhere” is realized.

以上、本実施形態では、携帯端末2として、例えば、「iモード」、「EZweb」等の、携帯電話に搭載され携帯サイトを閲覧する「携帯ブラウザ」を使用する端末を想定してきたが、PC端末1やネットワークサーバ8との連携によりWeb機能を更に拡大しようというものであればどのような形態でもよく、Webサイトを閲覧できるモバイル機器も携帯電話に限らない。例えば、携帯ゲーム機「PSP」にもWebブラウザが搭載されている。また、携帯電話にも内蔵された無線LAN機能を使用すれば、各場所、各施設内に設置されてきているアクセスポイントを介して外出先からでもアクセスでき、PC端末内に保存されているデータを、階層構造を保持したまま携帯端末で共有することが可能になる。   As described above, in the present embodiment, the mobile terminal 2 is assumed to be a terminal that uses a “mobile browser” that is installed in a mobile phone and browses a mobile site, such as “i-mode” and “EZweb”. Any form may be used as long as it is intended to further expand the Web function in cooperation with the terminal 1 and the network server 8, and the mobile device that can browse the Web site is not limited to the mobile phone. For example, a mobile browser “PSP” is also equipped with a Web browser. In addition, if the wireless LAN function built into the cellular phone is used, data stored in the PC terminal can be accessed from outside via the access points installed in each place and facility. Can be shared by portable terminals while maintaining the hierarchical structure.

さらに、本実施形態では、Webサイトを閲覧できる携帯端末を想定してきたが、ソルトをhiddenタグに格納する代わりに、例えば「iアプリ」等のアプリケーションを実行できる携帯端末に対して、ソルトをアプリケーションに埋め込むか、アプリケーションがソルトを携帯端末内で参照できる形で、携帯端末内でのソルト保管ないし参照手段を持つアプリケーションを配布することにより、復号化処理も携帯端末で行うことができ、復号化処理を携帯端末内で完結させることで、より高度なセキュリティを保つことが可能になる。   Furthermore, in this embodiment, a portable terminal that can browse a website has been assumed, but instead of storing the salt in a hidden tag, the salt is applied to a portable terminal that can execute an application such as “i-appli”. Decryption processing can also be performed on the mobile terminal by embedding it in or distributing an application with salt storage or reference means in the mobile terminal so that the application can refer to the salt within the mobile terminal. By completing the processing in the portable terminal, it becomes possible to maintain higher security.

本発明の一実施形態による情報システムの構成図である。It is a block diagram of the information system by one Embodiment of this invention. 図1に示す情報システムの機能を示す構成図である。It is a block diagram which shows the function of the information system shown in FIG. 図1に示す情報システムの端末及びサーバの処理のフロー図である。It is a flowchart of a process of the terminal and server of the information system shown in FIG. 図1に示す情報システムの端末及びサーバ間の通信手順を示す図である。It is a figure which shows the communication procedure between the terminal of the information system shown in FIG. 1, and a server.

符号の説明Explanation of symbols

1、10 PC端末(PCデータ収集クライアント、PCアプリケーション)
2、20 携帯端末(携帯端末アプリケーション)
3 PC用Webサーバ
4 携帯用Webサーバ
5、50 DB(データベース)サーバ
6 データベース
7 アプリケーションサーバ
8 ネットワークサーバ
9 通信ネットワーク
11 ソルト処理手段
12 PCID処理手段
13 共通鍵(セッションキー)処理手段
14 IV(イニシャルベクター)処理手段
15 パスワード処理手段
16 暗号化処理手段
21 ソルト保存手段
22 ソルト送信手段
23 パスワード送信手段
24 データ受信手段
25、43 復号化処理手段
30 PC用Webサーバ
40 携帯用Webサーバ
41 ベーシック認証手段
31、42 SSL通信処理手段
32 PCID認証手段
51 暗号化データ保存手段
52 IV保存手段
53 暗号化セッションキー保存手段
54 暗号化パスワード保存手段
55 暗号化PCID保存手段
71 検索用保存手段(検索エンジン)
72 検索用計算手段(検索エンジン) 1, 10 PC terminal (PC data collection client, PC application)
2, 20 Mobile terminal (mobile terminal application)
3 PC Web Server 4 Portable Web Server 5, 50 DB (Database) Server 6 Database 7 Application Server 8 Network Server 9 Communication Network 11 Salt Processing Unit 12 PCID Processing Unit 13 Common Key (Session Key) Processing Unit 14 IV (Initial) Vector) processing means 15 password processing means 16 encryption processing means 21 salt storage means 22 salt transmission means 23 password transmission means 24 data reception means 25, 43 decryption processing means 30 PC web server 40 portable web server 41 basic authentication means 31, 42 SSL communication processing means 32 PCID authentication means 51 Encrypted data storage means 52 IV storage means 53 Encrypted session key storage means 54 Encrypted password storage means 55 Encrypted PC ID storage means 71 Search storage means (search engine)
72 Calculation means for search (search engine)

Claims (5)

通信ネットワーク上のネットワークサーバを介してPC端末のデータを携帯端末で共有する情報システムであって、
PC端末は、
ソルトを初回生成して保存し該ソルトをネットワークサーバへ初回送信するソルト処理手段と、
PCIDを初回生成して保存し該PCIDをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するPCID処理手段と、
セッションキーをデータ送信の都度毎回生成してデータ送信後に該セッションキーを毎回破棄する共通鍵処理手段と、
ブロック暗号用のイニシャルベクター(IV)をデータ送信の都度毎回生成して該IVを前記ネットワークサーバへ毎回送信するするIV処理手段と、
ユーザが設定したパスワードを保存して該パスワードをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するパスワード処理手段と、
前記セッションキー及びIVを用いてデータを共通鍵暗号で暗号化し、暗号化されたデータを送信すると共に、前記ソルト及びパスワードを用いて前記セッションキーを暗号化し、暗号化されたセッションキー及び前記IVをデータ送信の都度前記ネットワークサーバへ毎回送信する暗号化処理手段と、を有し、
携帯端末は、
前記ソルトを画面メモ機能等の記憶手段により該携帯端末に保存するソルト保存手段と、
保存された前記ソルトを前記ネットワークサーバへログイン時に毎回送信するソルト送信手段と、
ユーザが入力したパスワードを前記ネットワークサーバへのアクセスの都度毎回送信するパスワード送信手段と、を有し、
前記ネットワークサーバは、
前記PC端末との間でSSL通信を行うPC用SSL通信処理手段と、
前記PC端末より受信しハッシュ関数で暗号化されたPCID及びパスワードを用いてPC認証を行うPCID認証手段と、
前記携帯端末からのログインの受付け及びユーザ認証を行う携帯用ベーシック認証手段と、
前記携帯端末との間でSSL通信を行う携帯用SSL通信処理手段と、
前記PC端末より受信したセッションキー及びIVと、前記携帯端末より受信したソルト及びパスワードとを用いて暗号化データの復号化処理を行う復号化処理手段と、
前記PC端末より受信した暗号化されたデータ、IV、暗号化されたセッションキー、ハッシュ関数で暗号化されたパスワード、及びハッシュ関数で暗号化されたPCIDの保存・管理を行うデータベースサーバと、を有することを特徴とする情報処理システム。 An information system for sharing data of a PC terminal with a mobile terminal via a network server on a communication network,
PC terminal
A salt processing means for generating and storing the salt for the first time and transmitting the salt to the network server for the first time;
PCID processing means for generating and storing a PCID for the first time, and transmitting a value obtained by encrypting the PCID with a hash function to the network server every time data is transmitted;
A common key processing means for generating a session key each time data is transmitted and discarding the session key after data transmission;
An IV processing means for generating an initial vector (IV) for block encryption every time data is transmitted and transmitting the IV to the network server each time;
A password processing means for storing a password set by a user and transmitting a value obtained by encrypting the password with a hash function to the network server each time data is transmitted;
The session key and IV are used to encrypt data using a common key encryption, and the encrypted data is transmitted, and the session key is encrypted using the salt and password, and the encrypted session key and IV And an encryption processing means for transmitting to the network server every time data is transmitted,
Mobile devices
Salt storage means for storing the salt in the portable terminal by storage means such as a screen memo function;
A salt transmission means for transmitting the stored salt every time when logging in to the network server;
Password transmitting means for transmitting the password entered by the user each time the network server is accessed, and
The network server is
SSL communication processing means for PC for performing SSL communication with the PC terminal;
PCID authentication means for performing PC authentication using a PCID and password received from the PC terminal and encrypted with a hash function;
Portable basic authentication means for accepting login from the portable terminal and performing user authentication;
Portable SSL communication processing means for performing SSL communication with the portable terminal;
Decryption processing means for decrypting encrypted data using the session key and IV received from the PC terminal and the salt and password received from the mobile terminal;
A database server for storing and managing the encrypted data received from the PC terminal, the IV, the encrypted session key, the password encrypted with the hash function, and the PCID encrypted with the hash function; An information processing system comprising: 前記PC端末は、前記ソルト処理手段及びPCID処理手段により乱数を用いてソルトとPCIDを生成し、生成されたPCIDをハッシュ関数で暗号化し、携帯端末のメールアドレス、ハッシュ関数で暗号化されたパスワードと共に該ソルト及びハッシュ関数で暗号化されたPCIDを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記PCID認証手段におけるPCID及びパスワードによるユーザ認証に問題がなければ前記PC端末より受信した前記PCID、ソルト、携帯端末のメールアドレス、及びパスワードからなる各認証情報をデータベースに格納した後、ユーザIDとワンタイム変数を引数としたログイン用URLを記載した電子メールを前記携帯端末のメールアドレス宛に送信し、
前記PCID認証手段におけるPC端末より受信したハッシュ関数で暗号化されたPCID及びパスワードによるユーザ認証に問題なければ、前記PC端末より受信したデータをデータベースに格納することを特徴とする請求項1に記載の情報処理システム。 The PC terminal generates a salt and a PCID using random numbers by the salt processing means and the PCID processing means, encrypts the generated PCID with a hash function, and encrypts the e-mail address of the mobile terminal and the password encrypted with the hash function A PCID encrypted with the salt and hash function is transmitted to the network server by SSL communication,
The network server stores each authentication information including the PCID received from the PC terminal, the salt, the e-mail address of the portable terminal, and the password in the database if there is no problem in the user authentication by the PCID and password in the PCID authentication means. After that, an e-mail describing a login URL with a user ID and a one-time variable as an argument is sent to the e-mail address of the mobile terminal,
2. The data received from the PC terminal is stored in a database if there is no problem in user authentication based on the PCID and password encrypted with the hash function received from the PC terminal in the PCID authentication means. Information processing system. 前記PC端末は、ユーザにより指定された該PC端末内の各監視フォルダ及びファイルの情報を取得し、画像ファイルの携帯端末表示用へのデータ変換と文書ファイルのテキスト抽出とを行い前記フォルダ名及びファイル名と共に暗号化対象のデータとし、
前記ソルト及びパスワードを用いたPBE暗号により暗号化されたハッシュ値を得てセッションキーを暗号化し、暗号化されたセッションキーとブロック暗号用IVを用いて前記暗号化対象のデータを共通鍵暗号方式で暗号化したデータと、作成日付、更新日付等の属性情報とをハッシュ関数で暗号化された前記PCID及びパスワードの認証情報と共に前記ネットワークサーバへSSL通信により送信することを特徴とする請求項1に記載の情報処理システム。 The PC terminal obtains information on each monitoring folder and file in the PC terminal designated by the user, performs data conversion of the image file for portable terminal display and text extraction of the document file, and the folder name and The data to be encrypted along with the file name,
A hash value encrypted by PBE encryption using the salt and password is obtained to encrypt a session key, and the data to be encrypted is shared using the encrypted session key and block cipher IV. 2. The data encrypted in step (b) and attribute information such as a creation date and an update date are transmitted to the network server together with the PCID and password authentication information encrypted by a hash function by SSL communication. Information processing system described in 1. 前記携帯端末は、前記ネットワークサーバから送信された電子メールに記載されたURLにアクセスし、
前記ネットワークサーバは、前記携帯端末より受信したユーザIDを基にデータベースからワンタイム変数を抽出してリクエストURLの引数のワンタイム変数と一致していることを確認した上で前記ユーザIDを基にデータベースより前記ソルトを抽出し、該ソルトをWebページのhiddenタグに埋め込んでログイン画面を形成し該携帯端末にSSL通信により送信した後、当該ソルトをデータベースより削除することを特徴とする請求項2に記載の情報処理システム。 The mobile terminal accesses the URL described in the e-mail transmitted from the network server,
The network server extracts a one-time variable from the database based on the user ID received from the mobile terminal and confirms that it matches the one-time variable in the argument of the request URL. 3. The salt is extracted from a database, the salt is embedded in a hidden tag of a web page, a login screen is formed and transmitted to the mobile terminal by SSL communication, and then the salt is deleted from the database. Information processing system described in 1. 前記携帯端末は、前記ネットワークサーバより受信したログイン画面で、ユーザIDと前記PC端末で設定したパスワード入力があると、前記hiddenタグに埋め込まれたソルトと共に該ユーザID及びパスワードを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記携帯用ベーシック認証手段で携帯端末より受信したユーザIDを基にデータベースからハッシュ関数で暗号化されたパスワードを抽出し、前記携帯用ベーシック認証手段で携帯端末より受信したパスワードをハッシュ関数で暗号化した値と一致していることを確認した上で、受信した前記ソルト及びパスワードを基に要求に応じた各監視フォルダ及びファイルの復号化処理を行い、復号化された各監視フォルダ及びファイルを携帯端末のWebブラウザ上で階層構造を再現できるデータとして前記携帯端末へSSL通信により送信することを特徴とする請求項4に記載の情報処理システム。 When there is a user ID and a password set in the PC terminal on the login screen received from the network server, the portable terminal transmits the user ID and password to the network server together with the salt embedded in the hidden tag. Send by communication,
The network server extracts a password encrypted with a hash function from a database based on the user ID received from the portable terminal by the portable basic authentication means, and obtains the password received from the portable terminal by the portable basic authentication means. After confirming that it matches the value encrypted with the hash function, each monitoring folder and file are decrypted according to the request based on the received salt and password, and each decrypted monitoring 5. The information processing system according to claim 4, wherein the folder and the file are transmitted to the portable terminal by SSL communication as data capable of reproducing a hierarchical structure on a web browser of the portable terminal.
JP2005329449A 2005-11-14 2005-11-14 Information processing system Pending JP2007142504A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005329449A JP2007142504A (en) 2005-11-14 2005-11-14 Information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005329449A JP2007142504A (en) 2005-11-14 2005-11-14 Information processing system

Publications (1)

Publication Number Publication Date
JP2007142504A true JP2007142504A (en) 2007-06-07

Family

ID=38204893

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005329449A Pending JP2007142504A (en) 2005-11-14 2005-11-14 Information processing system

Country Status (1)

Country Link
JP (1) JP2007142504A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009098889A (en) * 2007-10-16 2009-05-07 Buffalo Inc Data management device, data management method, and data management program
US9497170B2 (en) 2013-03-27 2016-11-15 International Business Machines Corporation Computer assisted name-based aggregation system for identifying names of anonymized data
KR101754308B1 (en) * 2013-10-04 2017-07-07 한국전자통신연구원 Method for management sensitive data of mobile and escrow server for performing the method
CN111708658A (en) * 2020-06-09 2020-09-25 孟磊 Judicial-assisted case data risk management system and application method thereof
CN111835509A (en) * 2020-05-20 2020-10-27 成都盛拓源科技有限公司 Anti-loss one-way encryption method and device based on hash function and password
CN113390499A (en) * 2021-05-21 2021-09-14 山东金钟科技集团股份有限公司 Digital weighing sensor anti-cheating method, sensor, equipment and storage medium
CN113676443A (en) * 2015-09-21 2021-11-19 华为终端有限公司 Login information input method, login information storage method and related device
CN114008585A (en) * 2019-06-18 2022-02-01 甲骨文国际公司 Parallel generation of pseudorandom number sequences using multiple generators with initial state of salt processing

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009098889A (en) * 2007-10-16 2009-05-07 Buffalo Inc Data management device, data management method, and data management program
US9497170B2 (en) 2013-03-27 2016-11-15 International Business Machines Corporation Computer assisted name-based aggregation system for identifying names of anonymized data
KR101754308B1 (en) * 2013-10-04 2017-07-07 한국전자통신연구원 Method for management sensitive data of mobile and escrow server for performing the method
CN113676443A (en) * 2015-09-21 2021-11-19 华为终端有限公司 Login information input method, login information storage method and related device
CN114008585A (en) * 2019-06-18 2022-02-01 甲骨文国际公司 Parallel generation of pseudorandom number sequences using multiple generators with initial state of salt processing
CN111835509A (en) * 2020-05-20 2020-10-27 成都盛拓源科技有限公司 Anti-loss one-way encryption method and device based on hash function and password
CN111835509B (en) * 2020-05-20 2023-04-07 成都盛拓源科技有限公司 Anti-loss one-way encryption method and device based on hash function and password
CN111708658A (en) * 2020-06-09 2020-09-25 孟磊 Judicial-assisted case data risk management system and application method thereof
CN111708658B (en) * 2020-06-09 2024-05-24 孟磊 Judicial auxiliary case data risk management system and application method thereof
CN113390499A (en) * 2021-05-21 2021-09-14 山东金钟科技集团股份有限公司 Digital weighing sensor anti-cheating method, sensor, equipment and storage medium
CN113390499B (en) * 2021-05-21 2023-09-08 山东金钟科技集团股份有限公司 Anti-cheating method for digital weighing sensor, equipment and storage medium

Similar Documents

Publication Publication Date Title
US8898482B2 (en) Encryption system using clients and untrusted servers
US9686243B1 (en) Encrypted universal resource identifier (URI) based messaging
KR101302135B1 (en) Method and apparetus for encoding/decoding partial of data
US20020191797A1 (en) Secure ephemeral decryptability
WO2020019387A1 (en) Method for acquiring video resource file, and management system
US20110302410A1 (en) Secure document delivery
US8484459B2 (en) Secure transfer of information
US20110197059A1 (en) Securing out-of-band messages
JP2004288169A (en) Network connection system
WO2020019478A1 (en) Communication data encryption method and apparatus
US7725716B2 (en) Methods and systems for encrypting, transmitting, and storing electronic information and files
JP5140026B2 (en) Database processing method, database processing program, and encryption apparatus
JP2007142504A (en) Information processing system
JP2004072151A (en) Terminal with file encryption function
JP6131644B2 (en) Information processing apparatus and information processing system
JP2023532976A (en) Method and system for verification of user identity
JP4637612B2 (en) Identification information generation management device, system, and program
JP2005222488A (en) User authentication system, information distribution server and user authentication method
JP2004112571A (en) Mobile communication terminal, encryption system, mobile communication method, and encryption method
JP2004349775A (en) Mobile terminal having secrecy communication function and information processing system employing the mobile terminal
CN114844848B (en) Local data storage method and terminal for instant messaging application
JP6167598B2 (en) Information processing apparatus, information processing method, and computer program
US9189638B1 (en) Systems and methods for multi-function and multi-purpose cryptography
KR20130113910A (en) Apparatus and method for protecting access certification data
JP2019179960A (en) File operation management system and file operation management method