JP2011151690A - 暗号キー管理システム - Google Patents
暗号キー管理システム Download PDFInfo
- Publication number
- JP2011151690A JP2011151690A JP2010012662A JP2010012662A JP2011151690A JP 2011151690 A JP2011151690 A JP 2011151690A JP 2010012662 A JP2010012662 A JP 2010012662A JP 2010012662 A JP2010012662 A JP 2010012662A JP 2011151690 A JP2011151690 A JP 2011151690A
- Authority
- JP
- Japan
- Prior art keywords
- file
- encryption
- key
- encryption key
- client terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】ファイルの暗号化を実施する場合、人的な作業であった暗号キーの生成とそのキーを復号時まで記憶し続ける行為をシステム化する事。
【解決手段】本発明の暗号キー管理システムは、乱数などで生成した暗号キーを使ってファイルの暗号化を実施する機能を持ったクライアント端末とネットワークで接続され、暗号キーと暗号化ファイルのファイル属性であるファイルサイズとタイムスタンプを関連付けして記録する事を特徴とした暗号キーを管理するデータベースからなるサーバ端末から構成される。
復号キーが必要になった時、クライアント端末にあるアプリケーションに暗号化ファイルを提示する事でそのファイル属性を取得出来るから、それをもってサーバ端末のデータベースから関連付けされた復号キーを容易に求める事が可能となった。これによりよると暗号化ファイルを任意なファイル名に変更されても当該システムは問題なく復号キーを求める事が出来る。
【選択図】 図1
【解決手段】本発明の暗号キー管理システムは、乱数などで生成した暗号キーを使ってファイルの暗号化を実施する機能を持ったクライアント端末とネットワークで接続され、暗号キーと暗号化ファイルのファイル属性であるファイルサイズとタイムスタンプを関連付けして記録する事を特徴とした暗号キーを管理するデータベースからなるサーバ端末から構成される。
復号キーが必要になった時、クライアント端末にあるアプリケーションに暗号化ファイルを提示する事でそのファイル属性を取得出来るから、それをもってサーバ端末のデータベースから関連付けされた復号キーを容易に求める事が可能となった。これによりよると暗号化ファイルを任意なファイル名に変更されても当該システムは問題なく復号キーを求める事が出来る。
【選択図】 図1
Description
本発明は、ファイル暗号化における暗号キー管理システムに関する。
盗用、記憶媒体の紛失などで情報漏洩を避けるために少しでも個人情報が入ったファイルがあれば暗号化を実施されるようになってきた。一般的に暗号化の専用プログラムを起動して暗号化を実施する時、その過程で暗号キーを求められるのでキーを考え出して暗号化を終えるが、そこで使用した暗号キーは目的のファイルが復号されるまでの間は記憶し続けなければならないと言う問題があった。この状況はコンピュータを利用して高度なセキュリティ技術を利用する過程において、旧来の人的な作業がセキュリティの重要な部分に残存して関与している事になる。この結果、暗号化を実施すべきファイルの数が多くなると安易な暗号キーを使い回したり、あるいは暗号キーをメモに残すなど暗号化によって得た機密性を劣化させる原因となっている。
特開2005−80131号公報
特開2007−67968号公報
本発明は、このような暗号化に伴う人的な作業をシステム化する事によって問題点を解決するためになされるものであり、より多くのファイルの暗号化が脆弱性を招く事なく容易に実施されことを目的としている。
本発明における暗号キー管理システムは、クライアント端末とネットワークを介して接続されたサーバ端末とを備えた暗号キー管理システムであって、
前記クライアント端末は、暗号化を実施する対象ファイルのパス名とファイル名を取得する手段と、乱数などによるワンタイムキーを生成する手段と、ワンタイムキーを暗号キーとしてファイルの暗号化を実施する手段と、前記暗号化の実施で生成された暗号化ファイルのファイル名とファイルサイズとタイムスタンプからなるファイル属性を取得する手段と、取得したファイル属性と前記暗号化の際に使用された暗号キーと事前に設定されたクライアント端末固有の利用者識別コードをネットワークを介してサーバ端末に送信しデータベース登録を要求をする手段から構成される暗号化を実施するための一連のプロセスと、
前記クライアント端末にあって該暗号キー管理システムによって過去に暗号化されたファイルのファイル属性を取得する手段と、前記サーバに対してそこで取得したファイル属性と利用者識別コードを送信して暗号キー(復号キーとも言う)を要求する手段と、要求の結果として前記サーバから受信して得られた復号キーを表示する手段から構成される復号キーを求めるための一連のプロセスを持った暗号管理操作プログラムがインストールされ、
前記サーバ端末は、暗号化を実施するための一連のプロセスによりクライアント端末から受信したファイル属性と暗号キーと利用者識別コードからなるデータベース登録の要求を受付て暗号キーを管理するデータベースに登録する手段と、復号キーを求めるための一連のプロセスによってクライアント端末から受信したファイル属性のうちファイルサイズとタイムスタンプと利用者識別コードが一致する暗号キー(復号キーとも言う)をデータベースから取得し、復号キーを要求元のクライアント端末へ通知する手段を有する暗号キー管理データベースシステムがインストールされた暗号キー管理システムである。
前記クライアント端末は、暗号化を実施する対象ファイルのパス名とファイル名を取得する手段と、乱数などによるワンタイムキーを生成する手段と、ワンタイムキーを暗号キーとしてファイルの暗号化を実施する手段と、前記暗号化の実施で生成された暗号化ファイルのファイル名とファイルサイズとタイムスタンプからなるファイル属性を取得する手段と、取得したファイル属性と前記暗号化の際に使用された暗号キーと事前に設定されたクライアント端末固有の利用者識別コードをネットワークを介してサーバ端末に送信しデータベース登録を要求をする手段から構成される暗号化を実施するための一連のプロセスと、
前記クライアント端末にあって該暗号キー管理システムによって過去に暗号化されたファイルのファイル属性を取得する手段と、前記サーバに対してそこで取得したファイル属性と利用者識別コードを送信して暗号キー(復号キーとも言う)を要求する手段と、要求の結果として前記サーバから受信して得られた復号キーを表示する手段から構成される復号キーを求めるための一連のプロセスを持った暗号管理操作プログラムがインストールされ、
前記サーバ端末は、暗号化を実施するための一連のプロセスによりクライアント端末から受信したファイル属性と暗号キーと利用者識別コードからなるデータベース登録の要求を受付て暗号キーを管理するデータベースに登録する手段と、復号キーを求めるための一連のプロセスによってクライアント端末から受信したファイル属性のうちファイルサイズとタイムスタンプと利用者識別コードが一致する暗号キー(復号キーとも言う)をデータベースから取得し、復号キーを要求元のクライアント端末へ通知する手段を有する暗号キー管理データベースシステムがインストールされた暗号キー管理システムである。
前記クライアント端末においてファイルの暗号化を実施する手段は該暗号キー管理システムの外部にあって、コマンドラインを利用して暗号化の実施可能な外部プログラムを利用する手段としてもよい。
ファイルの暗号化を実施する手段は該暗号キー管理システムの外部にあって、コマンドラインを利用して暗号化の実施可能な外部プログラムを利用する手段としてもよい。
ファイルの暗号化を実施する手段は該暗号キー管理システムの外部にあって、コマンドラインを利用して暗号化の実施可能な外部プログラムを利用する手段としてもよい。
以上の構成からなる暗号キー管理システムは、
クライアント端末にあって暗号化を必要とするファイルに対して、
暗号管理操作プログラムにそのファイルを認識させるだけで、暗号キーを複雑なワンタイムキーとして生成し暗号化の実施を自動化した。
この暗号化の際に、暗号化で生成された暗号化ファイルのファイル属性と利用者識別コードと使用された暗号キー(復号キーとも言う)からなる情報をネットワークを介してサーバ端末のデータベースに自動で収納する。
クライアント端末にあって暗号化を必要とするファイルに対して、
暗号管理操作プログラムにそのファイルを認識させるだけで、暗号キーを複雑なワンタイムキーとして生成し暗号化の実施を自動化した。
この暗号化の際に、暗号化で生成された暗号化ファイルのファイル属性と利用者識別コードと使用された暗号キー(復号キーとも言う)からなる情報をネットワークを介してサーバ端末のデータベースに自動で収納する。
クライアント端末で過去に暗号管理操作プログラムを使い暗号化したファイルに対して復号キーが必要になった時、
暗号管理操作プログラムにそのファイルを認識させる行為だけで、該システムはそのファイル属性を取得し、利用者識別コードとともにサーバ端末にあるデータベースから、利用者識別コードとファイル属性のうちファイルサイズとタイムスタンプに一致する復号キーを求め、クライアント端末に表示する事を可能とした。
暗号管理操作プログラムにそのファイルを認識させる行為だけで、該システムはそのファイル属性を取得し、利用者識別コードとともにサーバ端末にあるデータベースから、利用者識別コードとファイル属性のうちファイルサイズとタイムスタンプに一致する復号キーを求め、クライアント端末に表示する事を可能とした。
これによると暗号化ファイルに対して内容を秘匿する目的で任意なファイル名に変更あるいは偽装されてもデータベースの検索ではファイル名を使用しないので当該システムは問題なく機能する特徴がある。
暗号化ファイル名を任意なファイル名に変更あるいは偽装されても、過去にデータベースへ登録された復号キーを検索し抽出するのにそのファイルサイズとタイムスタンプと言うファイル生成時から固有のファイル属性の一部をキーとして利用する事を特徴としているので、暗号化されたファイル名に依存する事がない。ここでファイルサイズを検索のキーとして利用する目的は、別のクライアント端末を担当した利用者が退職などの理由で不在となり、復号キーが登録されたデータベースのデータを引き継ぐ際に利用者識別コードを別のコードに付け替える事もあり、まれに同時刻のタイムスタンプが存在する可能性があるのでその問題を回避する目的で利用される。
上記のように構成された本発明の暗号キー管理システムによれば、ファイルの暗号化を実施する時は暗号化のキーを考える必要もなく複雑なキーが自動で生成されて暗号化され、復号キーが必要になれば暗号化したファイルを該暗号キー管理システムに提示する行為だけで容易に求めることが可能となった。また暗号化されたファイルを安全の目的でファイル名を任意に偽装されても、復号キーの検索機能に影響なく利用出来る。
以下、実施の形態について図面を参照して実施形態を説明する。
図1は、該暗号キー管理システムを説明する為のシステム全体の構成を示す。
本発明における暗号キー管理システムは、クライアント端末01とサーバ端末02とそれらをネットワーク03によって接続されている。ここでのネットワーク03はインターネットでもイントラネットでもよい。
クライアント端末01には、暗号キー管理システムのクライアント側のアプリケーションである暗号管理操作プログラム04があり、GUI(Graphical User Interface)などを利用してクライアント端末01の利用者による操作を可能にしている。
サーバ端末02には、暗号キーを管理するデータベースがあり、それを管理する暗号キー管理データベースシステム05があってクライアント端末01とネットワークを介して、連携した処理を可能にしている。
サーバ端末02には、暗号キーを管理するデータベースがあり、それを管理する暗号キー管理データベースシステム05があってクライアント端末01とネットワークを介して、連携した処理を可能にしている。
またクライアント端末01には、クライアント端末固有の利用者IDなど利用者識別コードが事前にセットしてある。
この実施例ではクライアント端末01には、一般に流通し単独で暗号化やその複合を実施する事ができ、かつコマンドラインを通じても同様に暗号化の実施が可能な外部の暗号化実行処理プログラム06が事前にイントスールされ実行可能な状態におかれている。
暗号管理操作プログラム04は、フォーム画面などを利用して暗号化実行命令ボタン10と復号キー要求ボタン11を配置して、利用者がそれぞれの目的にあった処理を実行出来る環境としている。
サーバ端末02には、該暗号キー管理システムのサーバ側のアプリケーションであるデータベース12とそのデータベースをコントロールするプログラムから構成した暗号キー管理データベースシステム05がインストールされ、クライアント端末01とネットワーク03を介して情報を交換できるように配置されている。
クライアント端末01において暗号化前のファイル07があり、このファイルの暗号化を実施する場合を説明する。
暗号化前のファイル07を暗号管理操作プログラム04のショートカット上にドラッグ&ドロップして起動する、あるいは暗号管理操作プログラム04を起動してダイアログボックスなどを利用してその所在であるパス名とファイル名を暗号管理操作プログラム04に伝達する。
この状態で利用者により暗号化実行命令ボタン10が押されると、暗号キーの元になる乱数などを使ったワンタイムキーを生成し、暗号管理操作プログラム04の内部から暗号化実行処理プログラム06に対して暗号化の対象となるパス名とファイル名と前記で生成した暗号キーなど必要なパラメータを付けたコマンドラインを作成し起動し、暗号化を実行させる。
暗号管理操作プログラム04は暗号化ファイル08が生成された事を確認し、そのファイル属性であるファイル名とファイルサイズとタイムスタンプを取得する。
取得したファイル属性と暗号キーと利用者識別コードをセットにして、ネットワーク03を介してサーバ端末02内にある暗号キー管理データベースシステム05に暗号キー登録の要求として送信する。
暗号キー管理データベースシステム05は前記暗号キー登録の要求を受信するとデータベース12に対して受信したファイル属性と暗号キーと利用者識別コードを登録して暗号化実行命令ボタン10の処理を終える。
クライアント端末01において該暗号キー管理システムを利用し過去に暗号化を実施した暗号化ファイル09があり、このファイルの復号キーを取得する場合を説明する。
過去の暗号化ファイル09を暗号管理操作プログラム04のショートカット上にドラッグ&ドロップして起動する、あるいは暗号管理操作プログラム04を起動してダイアログボックスなどを利用してそのパス名とファイル名を暗号管理操作プログラム04に伝達する。
この状態で利用者により復号キー要求ボタン11が押されると、暗号管理操作プログラム04は過去の暗号化ファイル09のファイル属性であるファイル名とファイルサイズとタイムスタンプを取得する。
ファイル属性が取得されると、復号キーの検索に必要な利用者識別コードとファイルサイズとタイムスタンプをセットにしてネットワーク03を介し暗号キー管理データベースシステム05にデータベース検索の要求として送信る。
暗号キー管理データベースシステム05は前記の要求を受信すると、データベース12から利用者識別コードとファイルサイズとタイムスタンプに関連付けられた復号キーの検索を行い、該当する復号キーをネットワーク03を経由し要求元であるクライアント端末01の暗号管理操作プログラム04へ送信する。
この場合安全を考慮し、復号キーは別途設定されたクライアント端末01の利用者の携帯電話へメール送信し、クライアント端末01へは復号キーは指定先へメールされた事を知らせる通知を送信しても良い。
暗号管理操作プログラム04は受信した復号キーをGUIを利用して表示し復号キー要求ボタン11の処理を終える。
これによって得た復号キーは、利用者によって暗号化実行処理プログラム06がインストールされた任意のコンピュータにて復号が実施できる事になる。
01 クライアント端末
02 サーバ端末
03 ネットワーク
04 暗号管理操作プログラム
05 暗号キー管理データベースシステム
06 暗号化実行プログラム
07 暗号化前のファイル
08 暗号化ファイル
09 過去の暗号化ファイル
10 暗号化実行命令ボタン
11 復号キー要求ボタン
12 データベース
02 サーバ端末
03 ネットワーク
04 暗号管理操作プログラム
05 暗号キー管理データベースシステム
06 暗号化実行プログラム
07 暗号化前のファイル
08 暗号化ファイル
09 過去の暗号化ファイル
10 暗号化実行命令ボタン
11 復号キー要求ボタン
12 データベース
Claims (1)
- クライアント端末とネットワークを介して接続されたサーバ端末とを備えた暗号キー管理システムであって、
前記クライアント端末は、暗号化を実施する対象ファイルのバス名とファイル名を取得する手段と、
乱数などによるワンタイムキーを生成する手段と、
ワンタイムキーを暗号キーとしてファイルの暗号化を実施する手段と、
前記暗号化の実施で生成された暗号化ファイルのファイル名とファイルサイズとタイムスタンプからなるファイル属性を取得する手段と、
取得したファイル属性と前記暗号化の際に使用された暗号キーと事前に登録したクライアント端末固有の利用者識別コードをネットワークを介してサーバ端末に送信し暗号キーを管理するデータベースに登録を要求をする手段から構成される暗号化を実施するための一連のプロセスと、
前記クライアント端末にあって該システムにり過去に暗号化されたファイルのファイル属性を取得する手段と、
取得したファイル属性と利用者識別コードを送信して暗号キー(復号キーとも言う)を要求する手段と、
要求の結果として前記サーバから受信して得られた復号キーを表示するための一連のプロセスを持ち、
前記サーバ端末は、暗号化を実施するための一連のプロセスの過程でクライアント端末から受信し登録要求されたファイル属性と暗号キーと利用者識別コードからなる情報をデータベースに登録する手段と、
復号キーを求めるための一連のプロセスによってクライアント端末から受信し要求され復号キーにおいて、利用者識別コードとファイル属性のうちファイルサイズとタイムスタンプに一致する復号キーをデータベースから取得し、復号キーを要求元のクライアント端末へ返信あるいはメールなどを使って伝達する手段を有する暗号キー管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010012662A JP2011151690A (ja) | 2010-01-24 | 2010-01-24 | 暗号キー管理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010012662A JP2011151690A (ja) | 2010-01-24 | 2010-01-24 | 暗号キー管理システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2011151690A true JP2011151690A (ja) | 2011-08-04 |
Family
ID=44538271
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010012662A Pending JP2011151690A (ja) | 2010-01-24 | 2010-01-24 | 暗号キー管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2011151690A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114302177A (zh) * | 2021-11-18 | 2022-04-08 | 中国船舶重工集团公司第七0九研究所 | 一种面向流媒体存储系统的数据安全管理方法及系统 |
| CN114401426A (zh) * | 2021-12-31 | 2022-04-26 | 珠海迈科智能科技股份有限公司 | 一种动态密钥的生成方法及其系统 |
| CN115757191A (zh) * | 2023-01-05 | 2023-03-07 | 广州市千钧网络科技有限公司 | 一种数据处理方法和装置 |
-
2010
- 2010-01-24 JP JP2010012662A patent/JP2011151690A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114302177A (zh) * | 2021-11-18 | 2022-04-08 | 中国船舶重工集团公司第七0九研究所 | 一种面向流媒体存储系统的数据安全管理方法及系统 |
| CN114302177B (zh) * | 2021-11-18 | 2024-02-06 | 中国船舶重工集团公司第七0九研究所 | 一种面向流媒体存储系统的数据安全管理方法及系统 |
| CN114401426A (zh) * | 2021-12-31 | 2022-04-26 | 珠海迈科智能科技股份有限公司 | 一种动态密钥的生成方法及其系统 |
| CN114401426B (zh) * | 2021-12-31 | 2023-05-05 | 珠海迈科智能科技股份有限公司 | 一种动态密钥的生成方法及其系统 |
| CN115757191A (zh) * | 2023-01-05 | 2023-03-07 | 广州市千钧网络科技有限公司 | 一种数据处理方法和装置 |
| CN115757191B (zh) * | 2023-01-05 | 2023-05-16 | 广州市千钧网络科技有限公司 | 一种数据处理方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8565422B2 (en) | Method and system for enryption key versioning and key rotation in a multi-tenant environment | |
| USRE49194E1 (en) | Method and apparatus for controlling access to encrypted data | |
| JP5679018B2 (ja) | データベース暗号化システムと方法及びプログラム | |
| US8489889B1 (en) | Method and apparatus for restricting access to encrypted data | |
| US9065593B2 (en) | Securing speech recognition data | |
| US8621036B1 (en) | Secure file access using a file access server | |
| WO2013069770A1 (ja) | データベース装置と方法及びプログラム | |
| JP2016510962A (ja) | 暗号化ネットワークストレージスペース | |
| CN109271798A (zh) | 敏感数据处理方法及系统 | |
| CN107040520B (zh) | 一种云计算数据共享系统及方法 | |
| CN103914520B (zh) | 数据查询方法、终端设备和服务器 | |
| US11902425B2 (en) | Encrypted search with a public key | |
| US20160210596A1 (en) | Method, device and system for controlling presentation of application | |
| CN109120576B (zh) | 数据分享方法及装置、计算机设备及存储介质 | |
| JP2011151690A (ja) | 暗号キー管理システム | |
| JP6064511B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、プログラム | |
| CN112287371A (zh) | 一种存储工业数据的方法、装置和计算机设备 | |
| TWI428752B (zh) | 電子檔案傳遞系統、具解密功能的行動通信裝置及相關的電腦程式產品 | |
| TWI649661B (zh) | 合成文件存取技術 | |
| JP6307610B2 (ja) | データ改竄検知装置、データ改竄検知方法、及びプログラム | |
| WO2015045512A1 (ja) | データ暗号化装置、データ暗号化プログラム及びデータ暗号化方法 | |
| CN110830252B (zh) | 数据加密的方法、装置、设备和存储介质 | |
| US20210006634A1 (en) | Secure and private web browsing system and method | |
| US9537842B2 (en) | Secondary communications channel facilitating document security | |
| JP6778033B2 (ja) | 持ち出しファイル簡易暗号化システムおよび持ち出しファイル簡易暗号化プログラム |