JP2009232012A - 機密データ通信システム及びプログラム - Google Patents
機密データ通信システム及びプログラム Download PDFInfo
- Publication number
- JP2009232012A JP2009232012A JP2008072971A JP2008072971A JP2009232012A JP 2009232012 A JP2009232012 A JP 2009232012A JP 2008072971 A JP2008072971 A JP 2008072971A JP 2008072971 A JP2008072971 A JP 2008072971A JP 2009232012 A JP2009232012 A JP 2009232012A
- Authority
- JP
- Japan
- Prior art keywords
- organization
- transmission source
- data
- confidential data
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】 ユーザが任意の組織に所属する他のユーザに送信する機密データの内容を事前にまたは事後に、送信元ユーザが所属する組織の管理者がチェック可能にすること。
【解決手段】 送信元装置が、暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって前記ユーザ鍵を暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段を備え、機密データ管理者装置が、送信元装置から受信した第2の暗号データを前記組織鍵によって送信元ユーザのユーザ鍵を復号し、そのユーザ鍵によって前記第1の暗号データから機密データを復号する復号手段を備える。
【選択図】 図1
【解決手段】 送信元装置が、暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって前記ユーザ鍵を暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段を備え、機密データ管理者装置が、送信元装置から受信した第2の暗号データを前記組織鍵によって送信元ユーザのユーザ鍵を復号し、そのユーザ鍵によって前記第1の暗号データから機密データを復号する復号手段を備える。
【選択図】 図1
Description
本発明は、機密データ通信システムに関し、機密データを暗号鍵で暗号化し、データ交換に用いる通信システムに関するものである。
機密情報を含むデータを他のユーザに送信する場合、受け渡し過程での情報漏洩を防止するための手段として、データを暗号化して送信することが考えられる。
データを暗号化する際、通常、ユーザが指定した暗号鍵、または予め生成したユーザ固有の暗号鍵を用いて暗号化を行い、暗号鍵を知っているユーザのみがデータを復号できるようにする。
一方、社内システムを考えた場合、ユーザが送信するデータを管理者がチェックし、管理者が許可したデータのみを送信できるようにしたい場合がある。例えばユーザが電子メールを送信する場合、管理者が内容をチェックし、機密データなど不適切なデータが含まれていないかどうかを確認することが考えられる。
データを暗号化する際、通常、ユーザが指定した暗号鍵、または予め生成したユーザ固有の暗号鍵を用いて暗号化を行い、暗号鍵を知っているユーザのみがデータを復号できるようにする。
一方、社内システムを考えた場合、ユーザが送信するデータを管理者がチェックし、管理者が許可したデータのみを送信できるようにしたい場合がある。例えばユーザが電子メールを送信する場合、管理者が内容をチェックし、機密データなど不適切なデータが含まれていないかどうかを確認することが考えられる。
しかし、送信するデータが暗号化されている場合、暗号データを復号できるのは暗号鍵を所有しているユーザのみであり、暗号鍵を知らされていない管理者は復号することができない場合がある。そのため、データを暗号化して送信するシステムを社内システムで利用する場合、管理者による内容のチェックといった仕組みを適用することができないという問題がある。
この問題に対し、機密データを暗号化した後、暗号化に用いた鍵を直接所有していなくても復号を行うことができるようにした技術として、例えば、下記特許文献1のものがある。
下記特許文献1に記載のものは、ユーザが暗号鍵を紛失した場合のために暗号鍵をサーバに保管しておく方式をとっている。ユーザが暗号鍵を紛失した場合、サーバに保管した暗号鍵を使用して暗号データの復号を行っている。
下記特許文献1に記載のものは、ユーザが暗号鍵を紛失した場合のために暗号鍵をサーバに保管しておく方式をとっている。ユーザが暗号鍵を紛失した場合、サーバに保管した暗号鍵を使用して暗号データの復号を行っている。
ユーザが暗号化したデータを管理者が復号し、チェックを行うことができる方法として、ユーザがデータを暗号化する際、使用する暗号鍵をサーバに保管しておき、管理者が必要なときにその暗号鍵をダウンロードして復号に使用する方法が考えられる。
しかし、この方法では、暗号鍵のデータベース上にユーザ毎の暗号鍵を登録するため、鍵の管理が複雑になる。また、ユーザと管理者が対応づけられていないため、あるユーザの暗号鍵をサーバに登録した場合、そのユーザが暗号化したデータをすべての管理者が復号できてしまうという問題がある。
さらに、ユーザと管理者を対応づけたとしても、ユーザまたは管理者が所属を異動した場合、ユーザが新たに所属した組織の管理者は、ユーザが異動する前に暗号化したデータを復号できてしまうという問題が発生する。
しかし、この方法では、暗号鍵のデータベース上にユーザ毎の暗号鍵を登録するため、鍵の管理が複雑になる。また、ユーザと管理者が対応づけられていないため、あるユーザの暗号鍵をサーバに登録した場合、そのユーザが暗号化したデータをすべての管理者が復号できてしまうという問題がある。
さらに、ユーザと管理者を対応づけたとしても、ユーザまたは管理者が所属を異動した場合、ユーザが新たに所属した組織の管理者は、ユーザが異動する前に暗号化したデータを復号できてしまうという問題が発生する。
本発明の目的は、ユーザが任意の組織に所属する他のユーザに送信する、あるいは送信した機密データの内容を事前に、または事後に、送信元ユーザが所属する組織の機密データ管理権限を持つ管理者がチェックすることができる機密データ通信システム及びプログラムを提供することにある。
上記目的を達成するために、本発明に係る機密データ通信システムは、送信元装置において機密データを暗号化して任意の組織の送信先装置及び送信元装置と同一組織の機密データ管理者装置に送信する機密データ通信システムであって、
前記送信元装置が、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって前記ユーザ鍵を暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段を備え、
前記機密データ管理者装置が、
前記送信元装置から受信した第2の暗号データを前記組織鍵によって送信元ユーザのユーザ鍵を復号し、そのユーザ鍵によって前記第1の暗号データから機密データを復号する復号手段を備えることを特徴とする。
前記送信元装置が、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって前記ユーザ鍵を暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段を備え、
前記機密データ管理者装置が、
前記送信元装置から受信した第2の暗号データを前記組織鍵によって送信元ユーザのユーザ鍵を復号し、そのユーザ鍵によって前記第1の暗号データから機密データを復号する復号手段を備えることを特徴とする。
また、前記任意の組織の送信先装置が、
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段を備えることを特徴とする。
また、送信元装置において機密データを暗号化して任意の組織の送信先装置及び送信元装置と同一組織の機密データ管理者装置に送信する機密データ通信システムであって、
前記送信元装置が、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって暗号化対象の機密データを暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段を備え、
前記機密データ管理者装置が、
前記送信元装置から受信した第2の暗号データから前記組織鍵によって機密データを復号する復号手段を備えることを特徴とする。
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段を備えることを特徴とする。
また、送信元装置において機密データを暗号化して任意の組織の送信先装置及び送信元装置と同一組織の機密データ管理者装置に送信する機密データ通信システムであって、
前記送信元装置が、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって暗号化対象の機密データを暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段を備え、
前記機密データ管理者装置が、
前記送信元装置から受信した第2の暗号データから前記組織鍵によって機密データを復号する復号手段を備えることを特徴とする。
また、前記任意の組織の送信先装置が、
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段を備えることを特徴とする。
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段を備えることを特徴とする。
本発明に係るコンピュータプログラムは、送信元装置において機密データを暗号化して任意の組織の送信先装置及び送信元装置と同一組織の機密データ管理者装置に送信する機密データ通信システムに使用するコンピュータプログラムであって、
前記送信元装置を、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって前記ユーザ鍵を暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段として機能させ、
前記機密データ管理者装置を、
前記送信元装置から受信した第2の暗号データを前記組織鍵によって送信元ユーザのユーザ鍵を復号し、そのユーザ鍵によって前記第1の暗号データから機密データを復号する復号手段として機能させることを特徴とする。
前記送信元装置を、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって前記ユーザ鍵を暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段として機能させ、
前記機密データ管理者装置を、
前記送信元装置から受信した第2の暗号データを前記組織鍵によって送信元ユーザのユーザ鍵を復号し、そのユーザ鍵によって前記第1の暗号データから機密データを復号する復号手段として機能させることを特徴とする。
また、前記任意の組織の送信先装置を、
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段として機能させることを特徴とする。
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段として機能させることを特徴とする。
また、送信元装置において機密データを暗号化して任意の組織の送信先装置及び送信元装置と同一組織の機密データ管理者装置に送信する機密データ通信システムに用いるコンピュータプログラムであって、
前記送信元装置を、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって暗号化対象の機密データを暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段として機能させ、
前記機密データ管理者装置を、
前記送信元装置から受信した第2の暗号データから前記組織鍵によって機密データを復号する復号手段として機能させることを特徴とする。
また、前記任意の組織の送信先装置を、
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段として機能させることを特徴とする。
前記送信元装置を、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって暗号化対象の機密データを暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段として機能させ、
前記機密データ管理者装置を、
前記送信元装置から受信した第2の暗号データから前記組織鍵によって機密データを復号する復号手段として機能させることを特徴とする。
また、前記任意の組織の送信先装置を、
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段として機能させることを特徴とする。
本発明によれば、機密データを任意組織の他のユーザへ送信する場合、送信元ユーザは機密データを暗号化して送信するが、その際、ユーザ固有のユーザ鍵の他に、ユーザが所属する組織の組織鍵でも復号できる暗号データを作成する。これにより、送信元ユーザが作成した暗号化された機密データを送信元ユーザの管理者が受信した場合、管理者は自分の組織の組織鍵を用いて機密データを復号し、内容を事前に、または事後にチェックすることができる。そして、送信元ユーザが送信した機密データ内に不適切な機密データが含まれていることが事前に判明した場合、その送信を停止させることができる。
また、1つの組織について1つの組織鍵を用意するだけでありため、その管理も容易である。
また、送信元ユーザが暗号化時に所属する組織の組織鍵で暗号化を行うことで、送信元ユーザがデータを暗号化した時に所属していた組織の管理者のみが機密データを復号することができる。送信元ユーザが異なる組織に異動した場合、それ以降に暗号化する機密データは新しい組織の組織鍵で暗号化するため、元の組織の管理者は復号できなくなる。
また、1つの組織について1つの組織鍵を用意するだけでありため、その管理も容易である。
また、送信元ユーザが暗号化時に所属する組織の組織鍵で暗号化を行うことで、送信元ユーザがデータを暗号化した時に所属していた組織の管理者のみが機密データを復号することができる。送信元ユーザが異なる組織に異動した場合、それ以降に暗号化する機密データは新しい組織の組織鍵で暗号化するため、元の組織の管理者は復号できなくなる。
以下、本発明を適用した機密データ通信システムの実施の形態について図面を参照して詳細に説明する。
図1は、本発明に係る機密データ通信システムの実施の形態を示すシステム構成図である。
本実施形態のシステムは、送信元ユーザや各ユーザが所属する組織の機密データの管理者が機密データの暗号化に使用する組織鍵を管理するサーバマシン10、組織Aに所属する送信元ユーザが使用する送信元クライアントマシン20、同じく組織Aに所属する機密データの管理者が使用する管理者クライアントマシン30、組織Aまたは組織Xなどの任意組織に所属し、送信元クライアントマシン20から暗号化された機密データを受信する送信先クライアントマシン40によって構成されている。
図1は、本発明に係る機密データ通信システムの実施の形態を示すシステム構成図である。
本実施形態のシステムは、送信元ユーザや各ユーザが所属する組織の機密データの管理者が機密データの暗号化に使用する組織鍵を管理するサーバマシン10、組織Aに所属する送信元ユーザが使用する送信元クライアントマシン20、同じく組織Aに所属する機密データの管理者が使用する管理者クライアントマシン30、組織Aまたは組織Xなどの任意組織に所属し、送信元クライアントマシン20から暗号化された機密データを受信する送信先クライアントマシン40によって構成されている。
サーバマシン10は、組織鍵管理装置101と組織鍵テーブル102を備え、組織毎の組織鍵を組織鍵テーブル102に格納し、各組織に所属するクライアントマシン20,30からの要求あるいはユーザ認証時に配布する。
各組織の組織鍵は、機密データの管理者が組織毎に固有のものを作成し、組織鍵管理装置101に送信して組織鍵テーブル102に登録する。
図2は組織鍵テーブル102に登録されたデータの例を示す図であり、組織鍵識別子201、組織名202、組織鍵203、状態204から成る情報が登録される。
状態204は、組織鍵203が有効化、失効済みかといった状態を示すものである。
なお、組織鍵識別子201は登録しなくてもよい。
各組織の組織鍵は、機密データの管理者が組織毎に固有のものを作成し、組織鍵管理装置101に送信して組織鍵テーブル102に登録する。
図2は組織鍵テーブル102に登録されたデータの例を示す図であり、組織鍵識別子201、組織名202、組織鍵203、状態204から成る情報が登録される。
状態204は、組織鍵203が有効化、失効済みかといった状態を示すものである。
なお、組織鍵識別子201は登録しなくてもよい。
一方、送信元クライアントマシン20は機密データの暗号装置201を備え、機密データをユーザ固有の暗号鍵(以下、ユーザ鍵Ku)で暗号化すると共に、自身が所属する組織Aに固有の暗号鍵(以下、組織鍵Ks)でユーザ鍵Kuを暗号化し、これらの暗号データ204を送信先クライアントマシン40及び自組織Aの管理者クライアントマシン30に送信する。
この場合、暗号化した機密データを事前に管理者のチェックを受けてから送信先クライアントマシン40に送信することが管理規則等によって定められている場合、送信元クライアントマシン20のユーザは機密データDをユーザ鍵Kuによって暗号化した暗号データKu{D}とユーザ鍵Kuを自組織Aの組織鍵Ksnで暗号化した暗号データKsn{Ku}を生成し、管理者クライアントマシン30に送信する。
この場合、暗号化した機密データを事前に管理者のチェックを受けてから送信先クライアントマシン40に送信することが管理規則等によって定められている場合、送信元クライアントマシン20のユーザは機密データDをユーザ鍵Kuによって暗号化した暗号データKu{D}とユーザ鍵Kuを自組織Aの組織鍵Ksnで暗号化した暗号データKsn{Ku}を生成し、管理者クライアントマシン30に送信する。
管理者クライアントマシン30では、組織鍵Ksnで暗号データKsn{Ku}からユーザ鍵Kuを復号し、その復号したユーザ鍵Kuを用いて暗号データKu{D}から機密データDを復号し、表示装置などに出力し、管理者に提示する。
事前チェックを受けることが定められていない場合、送信元クライアントマシン20は暗号データKu{D}とKsn{Ku}を送信先クライアントマシン40と管理者クライアントマシン30に並列に送信する。
事前チェックを受けることが定められていない場合、送信元クライアントマシン20は暗号データKu{D}とKsn{Ku}を送信先クライアントマシン40と管理者クライアントマシン30に並列に送信する。
送信先クライアントマシン40では、送信元ユーザから予め通知されているユーザ鍵Kuを用いて暗号データKu{D}から機密データDを復号する。また、管理者クライアントマシン30では、組織鍵Ksnで暗号データKsn{Ku}からユーザ鍵Kuを復号し、その復号したユーザ鍵Kuを用いて暗号データKu{D}から機密データDを復号し、機密データの内容を管理者に事後チェックさせる。
事後チェックを行う場合、送信先クライアントマシン40に対しては組織鍵Ksnで暗号データKsn{Ku}を送信する必要はない。
事後チェックを行う場合、送信先クライアントマシン40に対しては組織鍵Ksnで暗号データKsn{Ku}を送信する必要はない。
送信元クライアントマシン20で暗号化したデータ構造の例を図3(a)に示す。
ここで、送信元クライアントマシン20のユーザが2つの組織n、mに所属し、これら2つの組織の管理者による機密データのチェックを受けることが必要である場合には、図3(b)に示すように、各組織n,mの組織鍵Ksn、Ksmによりユーザ鍵Kuを暗号化し、その暗号データKsn{Ku}、Ksm{Ku}を生成し、各組織n,mの管理者クライアントマシンに送信してチェックを受けるようにする。
ここで、送信元クライアントマシン20のユーザが2つの組織n、mに所属し、これら2つの組織の管理者による機密データのチェックを受けることが必要である場合には、図3(b)に示すように、各組織n,mの組織鍵Ksn、Ksmによりユーザ鍵Kuを暗号化し、その暗号データKsn{Ku}、Ksm{Ku}を生成し、各組織n,mの管理者クライアントマシンに送信してチェックを受けるようにする。
なお、図1において、送信元クライアントマシン20には復号装置を図示していないが、他の送信元から受信した暗号データを復号する復号装置を備えていることは言うまでもない。
同様に、送信先クライアントマシン40には暗号装置、復号装置を図示していないが、他の送信元から受信した暗号データを復号する復号装置、他の送信先に暗号データを送信するための暗号装置を備えていることは言うまでもない。
また、管理者クライアントマシン30には、暗号装置を図示していないが、他の送信先に暗号データを送信するための暗号装置を備えていることは言うまでもない。
同様に、送信先クライアントマシン40には暗号装置、復号装置を図示していないが、他の送信元から受信した暗号データを復号する復号装置、他の送信先に暗号データを送信するための暗号装置を備えていることは言うまでもない。
また、管理者クライアントマシン30には、暗号装置を図示していないが、他の送信先に暗号データを送信するための暗号装置を備えていることは言うまでもない。
図4は、送信元クライアントマシン20における暗号装置201の暗号処理の手順を示すフローチャートである。
まず、組織鍵Ksnを取得済みか否かを判定し(ステップ401)、取得済みでなかった場合には、サーバマシン10におけるユーザ認証を受け、組織鍵をKsnを取得する(ステップ402)。
組織鍵を取得済みであった場合には、暗号化対象の機密データDをユーザ鍵Kuで暗号化し、暗号化データKu{D}を生成する(ステップ403)。
次に、ユーザ鍵Kuをユーザが所属する組織の組織鍵Ksnで暗号化し、暗号化ユーザ鍵Ksn{Ku}を生成する(ステップ404)。
但し、ユーザがm個の組織に所属し、m個の組織の管理者によるチェックを受ける必要がある場合、組織毎の暗号化ユーザ鍵Ksn{Ku}を生成する。
次に、暗号データKu{D}と暗号化ユーザ鍵Ksn{Ku}とを送信先クライアントマシン40、管理者クライアントマシン30に送信する(ステップ405)。
まず、組織鍵Ksnを取得済みか否かを判定し(ステップ401)、取得済みでなかった場合には、サーバマシン10におけるユーザ認証を受け、組織鍵をKsnを取得する(ステップ402)。
組織鍵を取得済みであった場合には、暗号化対象の機密データDをユーザ鍵Kuで暗号化し、暗号化データKu{D}を生成する(ステップ403)。
次に、ユーザ鍵Kuをユーザが所属する組織の組織鍵Ksnで暗号化し、暗号化ユーザ鍵Ksn{Ku}を生成する(ステップ404)。
但し、ユーザがm個の組織に所属し、m個の組織の管理者によるチェックを受ける必要がある場合、組織毎の暗号化ユーザ鍵Ksn{Ku}を生成する。
次に、暗号データKu{D}と暗号化ユーザ鍵Ksn{Ku}とを送信先クライアントマシン40、管理者クライアントマシン30に送信する(ステップ405)。
図5は、管理者クライアントマシン300における復号装置301の復号処理の手順を示すフローチャートである。
まず、サーバマシン10における管理者認証を受け、管理者自身が所属する組織鍵Ksnを取得する(ステップ501)。
次に、組織鍵Ksnを取得できたか否かを判定し(ステップ502)、取得できなかった場合には、正規の管理者ではないことになるので復号不可メッセージを表示して終了する(ステップ507)。
組織鍵Ksnを取得できた場合には、送信元クライアントマシン20から受信した暗号化ユーザ鍵Ksn{ku}を自組織の組織鍵Ksnで復号する(ステップ503)。
次に、ユーザ鍵Kuを復号できたか否かを判定し(ステップ504)、復号できなかった場合には、復号不可メッセージを表示して終了する(ステップ507)。
ユーザ鍵Kuを復号できた場合には、復号したユーザ鍵Kuで暗号化データKu{D}を復号する(ステップ505)。そして、復号結果のデータDを表示する(ステップ506)。
管理者は復号結果のデータDを見て不適切なものが無いかをチェックする。
まず、サーバマシン10における管理者認証を受け、管理者自身が所属する組織鍵Ksnを取得する(ステップ501)。
次に、組織鍵Ksnを取得できたか否かを判定し(ステップ502)、取得できなかった場合には、正規の管理者ではないことになるので復号不可メッセージを表示して終了する(ステップ507)。
組織鍵Ksnを取得できた場合には、送信元クライアントマシン20から受信した暗号化ユーザ鍵Ksn{ku}を自組織の組織鍵Ksnで復号する(ステップ503)。
次に、ユーザ鍵Kuを復号できたか否かを判定し(ステップ504)、復号できなかった場合には、復号不可メッセージを表示して終了する(ステップ507)。
ユーザ鍵Kuを復号できた場合には、復号したユーザ鍵Kuで暗号化データKu{D}を復号する(ステップ505)。そして、復号結果のデータDを表示する(ステップ506)。
管理者は復号結果のデータDを見て不適切なものが無いかをチェックする。
図6は、暗号化データの他の例を示す図である。
図3の暗号化データ構造では、ユーザ鍵Kuを組織鍵Ksnで暗号化した暗号データKsn{Ku}を管理者クライアントマシン30に送信し、管理者クライアントマシン30においてユーザ鍵を復号し、その復号したユーザ鍵Kuで機密データDを復号するという2段構えの復号手順を採用しており、2段階の復号処理によって処理時間が長くなるという恐れがある。また、暗号化するとは言え、ユーザ鍵自体を送付するので、セキュリティ上のリスクが相対的に大きくなる恐れがある。
そこで、図6のデータ構造では、機密データDを組織鍵Ksnによって暗号化し、その暗号データKsn{D}と、ユーザ鍵Kuで暗号化した暗号データKu{D}とを管理者クライアントマシン30に送信してチェックを受けるようにする。
この場合、送信元クライアントマシン20のユーザが2つの組織n、mに所属し、これら2つの組織の管理者による機密データのチェックを受けることが必要である場合には、図6(b)に示すように、各組織n,mの組織鍵Ksn、Ksmにより機密データDを暗号化し、その暗号データKsn{D}、Ksm{D}を生成し、各組織n,mの管理者クライアントマシンに送信してチェックを受けるようにする。
図3の暗号化データ構造では、ユーザ鍵Kuを組織鍵Ksnで暗号化した暗号データKsn{Ku}を管理者クライアントマシン30に送信し、管理者クライアントマシン30においてユーザ鍵を復号し、その復号したユーザ鍵Kuで機密データDを復号するという2段構えの復号手順を採用しており、2段階の復号処理によって処理時間が長くなるという恐れがある。また、暗号化するとは言え、ユーザ鍵自体を送付するので、セキュリティ上のリスクが相対的に大きくなる恐れがある。
そこで、図6のデータ構造では、機密データDを組織鍵Ksnによって暗号化し、その暗号データKsn{D}と、ユーザ鍵Kuで暗号化した暗号データKu{D}とを管理者クライアントマシン30に送信してチェックを受けるようにする。
この場合、送信元クライアントマシン20のユーザが2つの組織n、mに所属し、これら2つの組織の管理者による機密データのチェックを受けることが必要である場合には、図6(b)に示すように、各組織n,mの組織鍵Ksn、Ksmにより機密データDを暗号化し、その暗号データKsn{D}、Ksm{D}を生成し、各組織n,mの管理者クライアントマシンに送信してチェックを受けるようにする。
図7は、図6(a)の暗号化データ構造を採用した場合における送信元クライアントマシン20における暗号装置201の暗号処理の手順を示すフローチャートである。
まず、組織鍵Ksnを取得済みか否かを判定し(ステップ701)、取得済みでなかった場合には、サーバマシン10におけるユーザ認証を受け、組織鍵をKsnを取得する(ステップ702)。
組織鍵を取得済みであった場合には、暗号化対象の機密データDをユーザ鍵Kuで暗号化し、暗号データKu{D}を生成する(ステップ703)。
次に、機密データDをユーザが所属する組織の組織鍵Ksnで暗号化し、暗号データKsn{D}を生成する(ステップ704)。
但し、ユーザがm個の組織に所属し、m個の組織の管理者によるチェックを受ける必要がある場合、組織毎の暗号化ユーザ鍵Ksn{Ku}を生成する。
次に、暗号データKu{D}と暗号データKsn{D}とを送信先クライアントマシン40、管理者クライアントマシン30に送信する(ステップ705)。
まず、組織鍵Ksnを取得済みか否かを判定し(ステップ701)、取得済みでなかった場合には、サーバマシン10におけるユーザ認証を受け、組織鍵をKsnを取得する(ステップ702)。
組織鍵を取得済みであった場合には、暗号化対象の機密データDをユーザ鍵Kuで暗号化し、暗号データKu{D}を生成する(ステップ703)。
次に、機密データDをユーザが所属する組織の組織鍵Ksnで暗号化し、暗号データKsn{D}を生成する(ステップ704)。
但し、ユーザがm個の組織に所属し、m個の組織の管理者によるチェックを受ける必要がある場合、組織毎の暗号化ユーザ鍵Ksn{Ku}を生成する。
次に、暗号データKu{D}と暗号データKsn{D}とを送信先クライアントマシン40、管理者クライアントマシン30に送信する(ステップ705)。
図8は、図6(a)の暗号化データ構造を採用した場合における管理者クライアントマシン300における復号装置301の復号処理の手順を示すフローチャートである。
まず、サーバマシン10における管理者認証を受け、管理者自身が所属する組織鍵Ksnを取得する(ステップ801)。
次に、組織鍵Ksnを取得できたか否かを判定し(ステップ802)、取得できなかった場合には、正規の管理者ではないことになるので復号不可メッセージを表示して終了する(ステップ805)。
組織鍵Ksnを取得できた場合には、送信元クライアントマシン20から受信した暗号データKsn{D}を自組織の組織鍵Ksnで復号する(ステップ803)。
次に、復号結果のデータDを表示する(ステップ804)。
管理者は復号結果のデータDを見て不適切なものが無いかをチェックする。
まず、サーバマシン10における管理者認証を受け、管理者自身が所属する組織鍵Ksnを取得する(ステップ801)。
次に、組織鍵Ksnを取得できたか否かを判定し(ステップ802)、取得できなかった場合には、正規の管理者ではないことになるので復号不可メッセージを表示して終了する(ステップ805)。
組織鍵Ksnを取得できた場合には、送信元クライアントマシン20から受信した暗号データKsn{D}を自組織の組織鍵Ksnで復号する(ステップ803)。
次に、復号結果のデータDを表示する(ステップ804)。
管理者は復号結果のデータDを見て不適切なものが無いかをチェックする。
以上のように、本発明によれば、送信元から他のユーザに機密データを送信する場合、機密データをチェックする管理者のクライアントマシンに対し、暗号化した機密データを管理者の組織鍵で復号可能なようなデータ構造で送信し、管理権限を有する管理者がチェック可能なように構成したため、自組織のユーザが不適切な機密データを外部に送信していないかどうかを事前にまたは事後にチェックし、機密データの管理を厳重にすることができる。
また、1つの組織について1つの組織鍵を用意するだけでありため、その管理も容易である。
また、送信元ユーザが暗号化時に所属する組織の組織鍵で暗号化を行うことで、送信元ユーザがデータを暗号化した時に所属していた組織の管理者のみが機密データを復号することができる。送信元ユーザが異なる組織に異動した場合、それ以降に暗号化する機密データは新しい組織の組織鍵で暗号化するため、元の組織の管理者は復号できなくなる。
なお、暗号データを生成する場合、機密データDをランダムに生成したランダム鍵Krで暗号化して暗号データKr{D}を生成し、ランダム鍵Krを組織鍵Ksnで暗号化して暗号化ランダム鍵Ksn{Kr}を生成して管理者に送信し、管理者では、ランダム鍵Krを組織鍵Ksnで復号し、その復号したランダム鍵Krによって機密データを復号するようにしてもよい。
また、1つの組織について1つの組織鍵を用意するだけでありため、その管理も容易である。
また、送信元ユーザが暗号化時に所属する組織の組織鍵で暗号化を行うことで、送信元ユーザがデータを暗号化した時に所属していた組織の管理者のみが機密データを復号することができる。送信元ユーザが異なる組織に異動した場合、それ以降に暗号化する機密データは新しい組織の組織鍵で暗号化するため、元の組織の管理者は復号できなくなる。
なお、暗号データを生成する場合、機密データDをランダムに生成したランダム鍵Krで暗号化して暗号データKr{D}を生成し、ランダム鍵Krを組織鍵Ksnで暗号化して暗号化ランダム鍵Ksn{Kr}を生成して管理者に送信し、管理者では、ランダム鍵Krを組織鍵Ksnで復号し、その復号したランダム鍵Krによって機密データを復号するようにしてもよい。
10 サーバマシン
20 送信元クライアントマシン
30 管理者クライアントマシン
40 送信先クライアントマシン
101 組織鍵管理装置
102 組織鍵テーブル
201 暗号装置
301 復号装置
20 送信元クライアントマシン
30 管理者クライアントマシン
40 送信先クライアントマシン
101 組織鍵管理装置
102 組織鍵テーブル
201 暗号装置
301 復号装置
Claims (8)
- 送信元装置において機密データを暗号化して任意の組織の送信先装置及び送信元装置と同一組織の機密データ管理者装置に送信する機密データ通信システムであって、
前記送信元装置が、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって前記ユーザ鍵を暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段を備え、
前記機密データ管理者装置が、
前記送信元装置から受信した第2の暗号データを前記組織鍵によって送信元ユーザのユーザ鍵を復号し、そのユーザ鍵によって前記第1の暗号データから機密データを復号する復号手段を備えることを特徴とする機密データ通信システム。 - 前記任意の組織の送信先装置が、
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段を備えることを特徴とする請求項1に記載の機密データ通信システム。 - 送信元装置において機密データを暗号化して任意の組織の送信先装置及び送信元装置と同一組織の機密データ管理者装置に送信する機密データ通信システムであって、
前記送信元装置が、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって暗号化対象の機密データを暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段を備え、
前記機密データ管理者装置が、
前記送信元装置から受信した第2の暗号データから前記組織鍵によって機密データを復号する復号手段を備えることを特徴とする機密データ通信システム。 - 前記任意の組織の送信先装置が、
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段を備えることを特徴とする請求項2に記載の機密データ通信システム。 - 送信元装置において機密データを暗号化して任意の組織の送信先装置及び送信元装置と同一組織の機密データ管理者装置に送信する機密データ通信システムに使用するコンピュータプログラムであって、
前記送信元装置を、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって前記ユーザ鍵を暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段として機能させ、
前記機密データ管理者装置を、
前記送信元装置から受信した第2の暗号データを前記組織鍵によって送信元ユーザのユーザ鍵を復号し、そのユーザ鍵によって前記第1の暗号データから機密データを復号する復号手段として機能させることを特徴とする機密データ通信システムに用いるコンピュータプログラム。 - 前記任意の組織の送信先装置を、
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段として機能させることを特徴とする請求項5に記載の機密データ通信システムに用いるコンピュータプログラム。 - 送信元装置において機密データを暗号化して任意の組織の送信先装置及び送信元装置と同一組織の機密データ管理者装置に送信する機密データ通信システムに用いるコンピュータプログラムであって、
前記送信元装置を、
暗号化対象の機密データを送信元ユーザに固有のユーザ鍵によって暗号化した第1の暗号データを生成して任意の組織の送信先装置に送信すると共に、当該送信元ユーザが所属する組織に固有の組織鍵によって暗号化対象の機密データを暗号化した第2の暗号データを生成し、前記機密データ管理者装置に送信する暗号化手段として機能させ、
前記機密データ管理者装置を、
前記送信元装置から受信した第2の暗号データから前記組織鍵によって機密データを復号する復号手段として機能させることを特徴とする機密データ通信システムに用いるコンピュータプログラム。 - 前記任意の組織の送信先装置を、
前記前記送信元装置から予め通知されたユーザ鍵によって前記送信元装置から受信した第1の暗号データから前記機密データを復号する復号手段として機能させることを特徴とする請求項7に記載の機密データ通信システムに用いるコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008072971A JP2009232012A (ja) | 2008-03-21 | 2008-03-21 | 機密データ通信システム及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008072971A JP2009232012A (ja) | 2008-03-21 | 2008-03-21 | 機密データ通信システム及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009232012A true JP2009232012A (ja) | 2009-10-08 |
Family
ID=41246952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008072971A Pending JP2009232012A (ja) | 2008-03-21 | 2008-03-21 | 機密データ通信システム及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009232012A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015228098A (ja) * | 2014-05-30 | 2015-12-17 | 凸版印刷株式会社 | Otp生成システム、及び携帯通信端末 |
| JP2016522658A (ja) * | 2013-06-20 | 2016-07-28 | アマゾン テクノロジーズ インコーポレイテッド | 複数許可データセキュリティ及びアクセス |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0946330A (ja) * | 1995-07-28 | 1997-02-14 | Toshiba Corp | 電子メール暗号化装置及び電子メール転送装置 |
| JPH10173643A (ja) * | 1996-12-06 | 1998-06-26 | Hitachi Ltd | 情報アクセス制御方式 |
| WO2002067512A1 (fr) * | 2001-02-19 | 2002-08-29 | Fujitsu Limited | Technique de filtrage de paquets et systeme securise de communication de paquets |
| JP2007215087A (ja) * | 2006-02-13 | 2007-08-23 | Canon Inc | 拠点監視装置、情報処理装置、画像形成装置監視システム、拠点監視方法、情報処理方法および記憶媒体 |
-
2008
- 2008-03-21 JP JP2008072971A patent/JP2009232012A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0946330A (ja) * | 1995-07-28 | 1997-02-14 | Toshiba Corp | 電子メール暗号化装置及び電子メール転送装置 |
| JPH10173643A (ja) * | 1996-12-06 | 1998-06-26 | Hitachi Ltd | 情報アクセス制御方式 |
| WO2002067512A1 (fr) * | 2001-02-19 | 2002-08-29 | Fujitsu Limited | Technique de filtrage de paquets et systeme securise de communication de paquets |
| JP2007215087A (ja) * | 2006-02-13 | 2007-08-23 | Canon Inc | 拠点監視装置、情報処理装置、画像形成装置監視システム、拠点監視方法、情報処理方法および記憶媒体 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016522658A (ja) * | 2013-06-20 | 2016-07-28 | アマゾン テクノロジーズ インコーポレイテッド | 複数許可データセキュリティ及びアクセス |
| JP2017069988A (ja) * | 2013-06-20 | 2017-04-06 | アマゾン テクノロジーズ インコーポレイテッド | 複数許可データセキュリティ及びアクセス |
| US10090998B2 (en) | 2013-06-20 | 2018-10-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
| JP2015228098A (ja) * | 2014-05-30 | 2015-12-17 | 凸版印刷株式会社 | Otp生成システム、及び携帯通信端末 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11451386B2 (en) | Method and system for many-to-many symmetric cryptography and a network employing the same | |
| US11271730B2 (en) | Systems and methods for deployment, management and use of dynamic cipher key systems | |
| US8813247B1 (en) | Providing cryptographic security for objective-oriented programming files | |
| US20150067330A1 (en) | Method and system for network data access | |
| US20100017599A1 (en) | Secure digital content management using mutating identifiers | |
| EP2677682A1 (en) | Key management system | |
| US20220311609A1 (en) | Content management systems and methods using proxy reencryption | |
| JPH11275068A (ja) | 鍵管理サーバ、チャットシステムの端末装置、チャットシステム及び記録媒体 | |
| CN104735070B (zh) | 一种通用的异构加密云间的数据共享方法 | |
| US7359518B2 (en) | Distribution of secured information | |
| JP6072806B2 (ja) | グループメンバによるグループ秘密の管理 | |
| Varsha et al. | Using attribute-based encryption with advanced encryption standard for secure and scalable sharing of personal health records in cloud | |
| CN107409043B (zh) | 基于中央加密的存储数据对产品的分布式处理 | |
| JP4794970B2 (ja) | 秘密情報の保護方法及び通信装置 | |
| JPH10107832A (ja) | 暗号同報メールシステム | |
| JP2006279269A (ja) | 情報管理装置、情報管理システム、ネットワークシステム、ユーザ端末、及びこれらのプログラム | |
| JP4437310B2 (ja) | 公衆ネットワークを用いて専用仮想ネットワークを生成する方法 | |
| JP2009232012A (ja) | 機密データ通信システム及びプログラム | |
| JP3984570B2 (ja) | 署名/検証システムにおける鍵管理サーバおよび検証装置を制御するプログラム | |
| JP2001285286A (ja) | 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置 | |
| JP4698261B2 (ja) | 暗号通信システムと方法、及びプログラム | |
| JP2006229279A (ja) | 機密データ送受信方法およびシステム | |
| WO2021009866A1 (ja) | データ配信システム、データ処理装置、及びプログラム | |
| JPH11187008A (ja) | 暗号鍵の配送方法 | |
| JP5643251B2 (ja) | 秘密情報通知システム、秘密情報通知方法、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100714 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120328 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120405 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120724 |