JP3831990B2 - 通信データ監査方法および装置 - Google Patents
通信データ監査方法および装置 Download PDFInfo
- Publication number
- JP3831990B2 JP3831990B2 JP26405196A JP26405196A JP3831990B2 JP 3831990 B2 JP3831990 B2 JP 3831990B2 JP 26405196 A JP26405196 A JP 26405196A JP 26405196 A JP26405196 A JP 26405196A JP 3831990 B2 JP3831990 B2 JP 3831990B2
- Authority
- JP
- Japan
- Prior art keywords
- communication data
- computer
- security level
- label
- audit method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Description
【0001】
【発明の属する技術分野】
本発明はコンピュータネットワークにおける通信データの機密性を確保する技術に関する。
【0002】
【従来の技術】
インタネットおよびイントラネットの普及にともない、いわゆるマルチメディアデータやソフトウエア等のプログラム(以下、コンテンツと記す)をネットワークを介して流通させる上で、以下の問題点が生じている。
【0003】
(1) 不特定多数の利用者によるコンテンツ複製
流通の末端である計算機(パーソナルコンピュータ)で、コンテンツの複製が容易にできる。しかも、権利者が末端のPCの状況を監視できないので、知的財産権を主張しづらい。
【0004】
(2) コンテンツの利用時に発生する課金
権利者がネットワークを介してコンテンツを送った段階ではなく、利用者がコンテンツを使用して、初めて対価を権利者に支払う後金方式である。しかし、問題点(1)同様に、権利者が末端の状況を監視できないので、利用者に課金を請求しづらい。
【0005】
このような問題に対処するため、権利者は、自らの情報を電子的なラベルとして添付したコンテンツをネットワークに流通させ、利用者は、コンテンツの使用量に応じ、ラベルに記された権利者に対価を支払う超流通という方式および装置が考案された。超流通は、たとえば
森亮一、河原正治、大瀧保広「超流通:知的財産権処理のための電子技術」、情報処理学会, Vol. 37, No. 2, February, 1996
で開示されている。
【0006】
【発明が解決しようとする課題】
しかし、上記公知例には、イントラネットの設備者(企業)とシステム管理者にとって、以下の不満足な点がある。
【0007】
(1) コンテンツの無断流通を抑制できない
システム管理者は、たとえば、CDーROMやDVDの可搬媒体を用いたインストールする、あるいは、FTPやWWW等の通信プログラムを用いてダウンロードし、コンテンツを蓄積するサーバ装置を用意する。一般利用者は、サーバ装置にアクセスすることで、コンテンツを利用できる。
【0008】
しかし、一般利用者が、システム管理者に無断でコンテンツを導入し、ネットワーク内で流通させる可能性がある。
【0009】
その際に、計画外のコンテンツの導入により、ハードディスクやネットワーク等の計算機資源を浪費し、業務を阻害するケースが発生する。あるいは、ウィルスがネットワークに混入し、データ破損の経済的被害が発生するケースもありうる。
【0010】
システム管理者は、ネットワーク内で、利用者がコンテンツを無断に流通していないことを設備者に証明する必要がある。
【0011】
(2)コンテンツの無断複製行為を抑制できない
権利者と企業の間で、企業内ネットワークに接続した計算機の使用に限り、コンテンツの複製を許すサイトライセンス契約を結ぶ。権利者は、コンテンツの対価が企業から確実に得られる。企業は、一括して契約を結ぶことで、使用料やコンテンツ管理の手間を削減できる。
【0012】
しかし、一般利用者が、システム管理者や権利者に無断でコンテンツを複製し、契約外のネットワークや計算機で利用する可能性がある。その際に、不正が発覚した場合、権利者が契約違反として企業を訴えるケースが生ずる。
【0013】
システム管理者は、ネットワーク内で、利用者がコンテンツを無断に複製していないことを権利者に証明する必要がある。
【0014】
【課題を解決するための手段】
上記目的を達成するために、ラベルをもとに、計算機あるいはネットワークの範囲で有効な機密レベルを検出し、通信データをアクセスあるいは複製した際に、操作者の顔写真あるいは各計算機の操作画面を履歴として記録する。
【0015】
とくに、機密ラベルの検出にあたり、
(1)機密ラベルが未検出の際に、計算機の操作画面に通信データのアクセス禁止を示す勧告メッセージを表示する。
【0016】
(2)ファイアウォール等で暗号化されたラベルを、利用者あるいは計算機ごとに独立した暗号鍵で復号する。
【0017】
であると望ましい。
【0018】
監査用装置をネットワーク上に設ける。
【0019】
この監査用装置は、監査者の公開鍵を生成し、計算機に送信する鍵生成手段と、監査者の公開鍵を用いて暗号化した各計算機の履歴を蓄積する履歴蓄積手段と監査者の秘密鍵で操作履歴を復号する履歴復号手段とで構成する装置が望ましい。
【0020】
監視用装置をネットワーク上に設ける。
【0021】
この監視用装置は、通信データに添付された機密性を示すラベルと監査規則との対応表を記録する規則設定手段と、計算機の問い合わせに応じて、対応表を検索し、通信データに関する履歴採取の必要性の有無を返信する機密判定手段とで構成する装置が望ましい。
【0022】
また、上述したラベル制御を前提とするネットワークに設置するファイアウォールは、機密レベルの低いネットワークから受信した通信データに機密レベルの属性を示すラベルを添付する手段と、機密レベルの低いネットワークに送信する通信データから上記ラベルを削除する手段を有することを特徴とする。
【0023】
とくに、
(1)機密レベルの高いネットワークの少なくとも一つの計算機および少なくとも一人以上の利用者が復号できる暗号化鍵を保有し、通信データとラベルを結合したデータを、上記暗号化鍵を用いて暗号化し、ラベルを暗号化する。
【0024】
(2)暗号化データを復号する復号鍵を所有し、通信データとラベルが含まれる暗号データを、復号鍵を用いて復号し、通信データとラベルとを分離するラベル削除し、通信データを機密レベルの低いネットワークへ送る履歴を機密レベルに応じて蓄積する。
【0025】
であると望ましい。
【0026】
また、ラベル復号用の可搬型カードを各計算機で利用する。
【0027】
この可搬型カードには、利用者ならび機密レベル別に独立した暗号鍵を蓄積し、ファイアウオールで暗号化したラベルならび通信データを復号する際に用いるのが望ましい。
【0028】
【発明の実施の形態】
本発明の実施例を図面を用いてより詳細に述べる。
【0029】
図1は、本発明を施した、計算機におけるコンテンツ監査方法の流れ図である。
【0030】
図1で、111はコンテンツよりラベルを抽出する処理、116は抽出したラベルをもとにコンテンツの機密レベルを判定する処理、121は、利用者のコンテンツの複製操作を検出する処理、122は操作画面を記録する処理である。機密レベルに応じて履歴(操作画面や利用者の顔写真)を記録するかどうかを判定するところに特徴がある。
【0031】
図2は、本発明のラベルを添付するファイルアウォールの1実施例を示したブロック図である。
【0032】
図2において、231はラベルを添付するプログラム、232はラベルとともに通信データを暗号化するプログラム、241はラベルを破棄するプログラム、242はラベルを復号するプログラムである。ファイルアウォール210は、機密レベルの異なるネットワークに接続し、低いレベルのネットワークから送られた通信データを暗号化し、高いレベルのネットワークから送られた通信データを復号するところに特徴がある。
【0033】
図3は、本発明で記録した操作履歴を暗号化し、監査者用のサーバに送信し、蓄積する構成を示したブロック図である。この例は、暗号鍵と復号鍵が異なる非対称暗号方式を用いた実施例である。
【0034】
図3で、361は(監査者の公開鍵321と秘密鍵322を生成し)、公開鍵321を履歴を記録する各計算機に配布する鍵(生成)配布プログラムである。362は各計算機の操作履歴324を蓄積するプログラム、363は操作履歴324を復号し、監査者に提示するプログラムである。図3では、各計算機で暗号化し、監査者サーバに送ることで、業務の機密も守り、かつ、利用者のプライバシも保証するところに特徴がある。
【0035】
図4は、ラベルの判定をネットワーク上の独立したコンテンツ監視装置で行う1実施例の構成を示したブロック図である。
【0036】
図4で、413と463は暗号化通信手段、462は判定手段、460は、ラベルと操作画面の記録の有無の規則をしるした規則表である。この例では、各計算機でいったんラベルを復号し、別の暗号化プログラム413を用いて暗号化し、ラベル判定用にコンテンツ監視装置451に送る。460の規則表をもとに操作履歴の記録の必要性を判定した結果を返すのが特徴である。
【0037】
図5以降は、本発明に関連する装置や手順を示した説明図である。
【0038】
図5は、各計算機でのラベルを検出する手順を示した流れ図である。
【0039】
図6は、計算機とファイアウォールでのラベルを生成、分離するプログラムの配置を示したブロック図である。この例では、ラベルと通信データとを結合し、暗号化してある(カプセル化)データを、解決するのが特徴である。
【0040】
図7は、ファイアウォールで暗号化した通信データを、各計算機で復号する手順を示した流れ図である。この例は、暗号鍵と復号鍵が異なる非対称暗号方式を用いた実施例である。
【0041】
図7で、704は、ファイアウォールにおいて、あらかじめ利用者別あるいは計算機別に登録されている公開鍵が存在しないので、ファイアウォール用に登録してある公開鍵を利用するステップ、714は、各計算機において、復号できない場合に、改めて、自ら復号可能な公開鍵を添付し、ファイアウォールに再送し、再暗号化を依頼するステップである。
【0042】
図8は、各計算機で暗号化した通信データを、ファイアウォールにおいて、復号可能であるかを検査する手順を示した流れ図である。804は、機密の低いネットワークの通信先の公開鍵がないので、ファイアウォール用に登録してある公開鍵を利用するステップ、814は、各計算機において、復号できない場合に、依頼するステップである。
【0043】
図9は、各計算機の構成で、とくに通信データを暗号化を行うための鍵管理に可搬型カードを用いる場合の構成を示したブロック図である。カード921は、ファイアウォールの公開鍵921と利用者の暗号鍵922を内蔵している。この例は対称暗号アルゴリズムと非対称暗号アルゴリズムとをミックスさせたセッション鍵の交換方式の一実施例を示している。914はカード921を読み取る装置である。
【0044】
また、913はディジタルカメラである。CRT912の操作画面930だけでなく、操作者の顔写真を同時に記録するのが目的である。
【0045】
以上の図面を使って、本実施例の詳細な説明をしていく。
【0046】
ラベルを検出する手順について、図1、図2ならび図5を用いて説明する。
【0047】
図2はこのラベルを利用するシステムの全体構成を説明する図である。
【0048】
計算機201は機密レベルの低いネットワーク202(たとえばWAN)、計算機203は202に比べて機密レベルの高いネットワーク204(社内LAN)に接続する。202と204との間にファイアウォール210が存在する。ファイアウォール210には一時記憶装置211(たとえば、磁気ディスク、フラッシュメモリ)が接続し、下記に示すようなプログラムやデータ、鍵等を格納する。
【0049】
計算機201から計算機203に対し、通信データ220を送受信する際に、ラベル241をファイアウォール210で添付あるいは削除する様子を示す。
【0050】
ファイアウォール210は、各通信データの機密性に応じて通信データの配送、通過停止等の処理を行う。具体的には、204内を流れる通信データには、機密性を示すラベルを添付し、計算機203では、このラベルを利用した、アクセス制御を行う。ファイアウォール210には、202から204へ流れる通信データにラベルを添付する手段231、ならびに204から202へ流れる通信データ220から削除する手段241が常駐する。
【0051】
とくに、ラベル241を、計算機203やネットワーク204上で改ざん、盗聴を防ぐ、ラベル暗号化機能も設けることが望ましい。暗号手段243は添付手段231と、復号手段242は破棄手段242と連動する。本実施例では、説明を簡単にするために、非対称暗号を用いた実施例を、以下で説明していく。
【0052】
計算機203の暗号手段243とファイアウォールの復号手段242、計算機203の復号手段233とファイアウォールの暗号手段242とはそれぞれ対応する暗号・復号プログラムである。230、240、244、234は、暗号・復号で使用する鍵である。ファイアウォール210の公開鍵230で暗号化したラベルを計算機203の秘密鍵234で復号する。計算機203の公開鍵244で暗号化したラベルをファイアウォール210の秘密鍵240で復号する。
【0053】
本実施例では、とくに、情報データ220の送信先・受信元のアドレス(たとえばIPアドレス、MACアドレス)、サービスの種類(たとえばポート番号:ニュース、FTP、HTTP等)、送信先・受信元の利用者ID等の属性情報とラベル221との関連を規定した対応表222をファイアウォール210に備えることが望ましい。対応ラベルを複数用意し、きめ細かい制御を行うことが可能となる。
【0054】
図2のシステム構成を踏まえ、図1を用いて、計算機203でのコンテンツ監査方法の流れを説明する。
【0055】
ファイアウォール210からラベル231を添付した通信データ230をダウンロードし(110)、暗号化している場合には復号操作も含め、一定形式でのラベルを抽出する(111)。もし抽出できない場合には(112)、140以下のエラー処理を行う。ラベルの内容、たとえば機密を示す種別、利用できる範囲を読み取り、たとえば暗号化ともに行われたディジタル署名をもとに、ラベルが偽造されるかどうかを判定する(114)。さらに、ラベルをもとに機密レベル判定する(116)。とくにローカルマシンでは判定できない場合には、ネットワーク上のラベル監視サーバ(後述462)に問い合わせる、記述されているラベルと機密レベルとの関係(セキュリティ基準にあわせ、指定されている)を検索する(115、130、131)。
【0056】
機密レベルが判定でき、履歴収集が必要なレベル(たとえば代表的なセキュリティ基準TCSECでは、B1レベル以上)のデータと判定された場合に、監視を開始する(117)。たとえば、キーボードやマウス等の入力により、ダウンロードした通信データに対するインタラクティブな画面操作が行われる。外部システムへの送信(たとえば電子メール、FTP)、ローカルな可搬媒体(たとえば磁気ディスク、ハードディスク)への複写に関する操作を行うことで、OSで規定しているシステム関数、たとえばWindowsでいえばWinsockやFile I/Oが呼ばれることを検出する(121)、あるいは一定時間ごとに、たとえば1分おきに(125)、操作画面のイメージ、Bitmapをファイルに記録する(122)。なお、操作者を写すディジタルカメラが、203に接続されているのならば、画面操作同時に記録することで、一層効果的な履歴を残すことができる。ダウンロードした通信データに関する操作するプログラムを終了する(124)しない場合には、再びステップ121へ戻る(123)。
【0057】
ラベルを用いた機密レベルの判定に関するエラー処理(140、141)について述べる。ラベルを抽出できない、ラベルが偽造である場合には、不正コンテンツであると端末の利用者に警告を表示し、終了か継続するかどうかの判定を求める(140)。利用者が「終了」を選択した場合は、ダウンロードした通信データに関するアクセスを終了する(141)。「継続」を選択した場合は、操作履歴を採ることに利用者が同意したと見なし、ステップ120へ進む。
【0058】
図1におけるラベル抽出処理111を詳細に述べる。とくに、コンテンツ流通に関し、暗号を用いたカプセル化の一実施例を図5および図6を用いて、説明する。
【0059】
抽出処理に対応し、ファイアウォール210でのラベル添付処理を説明する。
【0060】
図6において、通信データ230は、610のコンテンツの本体であるデータ部とコンテンツの属性(シリアル番号、サービスの内容など)を示すヘッダ部611とに分かれる。このような属性のヘッダ部に対応し、添付するラベル612を決定する(本実施例では"Project"というキーワードに対し、"SECRET,R&D"というラベルが対応)ための対応表222に照らしあわるのが、添付手段231である。612を611および610と結合し、公開鍵230を用いて暗号化する。
【0061】
このように暗号化した通信データとラベルを分離するのが、抽出処理111である。基本的には、添付処理に対応して、逆の処理を行う。秘密鍵234を用いて、平文に復号する。図5で、暗号化された通信データかを判定する(501)。判定方法としては、たとえばRFC1847(Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted)で示しているような属性と属性値とを組みとしたタグで判定する方法でおこなう。判定できた場合には、秘密鍵234を用いて復号処理を試み(503)、復号し(504)たのちに、ラベル部分を含んだヘッダ部分(612)の範囲を判定し(505)、切り取った後(506)に、定められたラベルの形式にあわせ(507)、各項目(たとえば、機密レベル、カテゴリ)等の検査(508)を行う。
【0062】
次に、図3を用いて、計算機203のステップ122で一次記憶装置301に記録した履歴323を、暗号化し、収集するシステムの構成を説明する。
【0063】
351は、監査人専用の計算機であり、352はCRT、353は履歴を蓄積する一次記憶装置である。
【0064】
計算機203には、履歴を一次記憶装置301に記憶するプログラム310、301に記憶した履歴323を暗号化するプログラム311、暗号化した履歴を送付するプログラム312を備える。
【0065】
計算機351には、鍵生成ならびに計算機203に鍵配布するプログラム361、履歴をハードディスク353に収集するサーバプログラム362、収集した履歴324を復号し、CRT352に表示するプログラム363を備える。321と322は、プログラム361が生成する暗号鍵である。321は履歴323を暗号化する公開鍵、322は履歴324を復号するための秘密鍵である。あらかじめ、あるいは暗号プログラム311が用いる場合に備えて、鍵321は計算機203に送られ、一次記憶装置301に記憶する。
【0066】
本実施例では、監査者用の公開鍵を使って、暗号化した後に、適宜管理者用の専用装置に送り、履歴の改ざん、盗聴、各計算機でのディスクの消費を防ぐところにある。
【0067】
次に、図4を用いて、計算機203のステップ130で、コンテンツに添付されたラベルを抽出し、サーバ451に問い合わせるシステム構成を説明する。
【0068】
451は、管理者専用の計算機であり、452はCRT、453はラベルと機密レベルとの対応表460を格納する一次記憶装置である。
【0069】
計算機203には、一次記憶装置401に記憶したコンテンツ420ならびにラベル423を復号するプログラム233、コンテンツをラベルを検査するプログラム412、ラベルに関する問い合わせを行う、とくにラベルに関する情報をそのまま暗号化してプログラム413を備える。
【0070】
計算機451には、鍵生成ならびに計算機203に鍵配布するプログラム464、プログラム413からの問い合わせに応じ対応する暗号通信プログラム463、463から呼び出され、暗号化したラベルと機密レベルとの対応表460とを比較し、操作履歴を記録すべきかどうかを判定するプログラム462、プログラム462からさらに呼び出され、CRT452に、機密アクセス違反が発生し、操作履歴を記録するメッセージを表示する警告プログラムを備える。また、対応表460の内容を管理者が設定するなプログラム461も備える。421と422は、プログラム464が生成する暗号鍵である。421はラベル424を暗号化する公開鍵、422はラベル424を復号するための秘密鍵である。あらかじめ、あるいは暗号プログラム413が用いる場合に備えて、鍵421は計算機203に送られ、一次記憶装置401に記憶する。
【0071】
本実施例では、ラベルに対応する機密性の意味付けをネットワーク上の管理者が定めた対応表460上の規則に応じて、動的に変更できるところにある。
【0072】
図7および図8を用いて、ファイアウォール210と計算機203での暗号通信の手順を示す。
【0073】
図7は、ファイアウォール210での暗号プログラム232、計算機203での復号プログラム233の処理を示す。ファイアウォール210に対応表222を備え、行き先の計算機や利用者にあわせて異なる暗号鍵を利用するところに特徴がある。ここでは、ネットワークのパケットのレベルで暗号化を行う例を示す(アプリケーション層での暗号化でも、IPアドレスやポート番号の変わりに、利用者ID等の情報を使って同様にして行うことができる)。
【0074】
まず、コンテンツが流れてきたネットワークの機密レベルを送信元のIPアドレスで判定し(701)、暗号化が必要な場合は、さらに受信先の計算機203のIPアドレスをパケットから抽出し(702)、受信先のIPアドレスに対応した公開鍵230を使って暗号化し(705)、もし公開鍵230がないときには(703)、ファイアウォール210の公開鍵を使って暗号化する(704)。暗号化したパケットを計算機203へ送付する(705)。計算機203では、流れてきたパケットが復号が必要な場合には、公開鍵230に対応する秘密鍵234を用いて復号する(712)。復号できない場合には、ステップ704の処理が行われたと判定し(713)、ファイアウォールに自分の公開鍵230とパケットを送り、ファイアウォール内で、いったんパケットを復号したのちに、公開鍵230で再暗号化する(714)。
【0075】
本実施例では、ファイアウォールに、外部の計算機との通信を頻繁に行わない計算機では、再暗号化処理を設けることで、応答性能とセキュリティを満足できるようにしてあるところに特徴がある。
【0076】
図7と逆に、機密の高いネットワークから低いネットワークへのパケットの流れを制御する、ファイアウォール210での復号プログラム242、計算機203での暗号プログラム243の処理を図8を使って示す。
【0077】
ファイアウォール210に対応表222を備え、行き先の計算機や利用者にあわせて異なる復号鍵を利用するところに特徴がある。ここでは、図7同様にネットワークのパケットのレベルで復号化を行う例を示す。
【0078】
計算機203において、他の計算機へデータを送る場合暗号が必要であると判定し(801)、各計算機のIPアドレスにあわせた公開鍵で暗号化する(805)。送信先がとくに機密レベルが低いネットワーク202に属する計算機201であると判定した場合は(803)、ファイアウォール210の公開鍵230で暗号化する(804)。暗号化した通信データをパケットとして送信する(806)。
【0079】
ファイアウォール210において、送信元の計算機203のIPアドレスをパケットから抽出し、通信データが流れてきたネットワークの機密レベルを送信元のIPアドレスで判定し(811)、ファイアウォールの秘密鍵240を使って復号する(812)。復号できた場合には、ファイアウォールから機密レベルの低いネットワーク202の計算機201へ送付(815)、復号できない場合には、ファイアウォールの通過を許さない(814)。
【0080】
本実施例では、外部の計算機にデータ通信を行う場合は、必ずファイアウォールでファイアウォールで平文に復号し、外部への機密持ち出しを監視できるようにしてあるところに特徴がある。
【0081】
以上、計算機のIPアドレスを利用して、暗号鍵を設定する実施例で述べた。以下では、アプリケーション層の利用者IDを利用して、暗号鍵を設定する別の実施例を述べる。
【0082】
図9は、可搬型媒体(たとえばPCMCIAカード920)を用いて、利用者IDに対応した暗号鍵を管理するシステム構成を説明したブロック図である。計算機203は、ハードディスクやメモリ、CPUを内蔵した本体911、CRT912、ディジタルカメラ913、カードリーダ914、キーボード(マウス)915で構成する。ディジタルカメラ913、カードリーダ914は本体911の付属装置である。
【0083】
CRT912には操作画面930(マルチウィンドウ)が映し出される。キーボード915を用いて操作する操作画面930ならびに、ディジタルカメラ913で写された利用者の顔写真を履歴として記憶する。
【0084】
カード920には、利用者の秘密鍵923ならび公開鍵924と、ファイアウォールの秘密鍵240に対応する公開鍵925とを内蔵し、備えているところが特徴である。ファイアウォールには、公開鍵924のコピーである公開鍵230と、ファイアウォールの秘密鍵240とを備えている。可搬媒体920を用いて、カードリーダ914を備え、プログラム233やプログラム243を常駐する不特定の計算機で利用することで、利便性が増す。
【0085】
【発明の効果】
本発明により従来の問題点が解決される。
【0086】
(1) 契約外のコンテンツの流通を許さない。
【0087】
各計算機で、ラベルを参照し、正規のラベルが添付していないコンテンツの複製や他システムへの転送が不正であることを明確にするので、不正流通の影響を局所化できる。
【0088】
(2) 操作画面を履歴として記録することを示し、利用者の無断複製を抑制できる。
【0089】
利用者に計算機上でコンテンツの複製する操作が履歴として残ること、あわせて無断複製が発覚した際の罰則を示すことで、違反行為を抑制できる。
【0090】
また、操作画面や顔写真をビジュアルな履歴として記録することで、組織外の監査者が、業務の内容に関わらず客観的に不正行為の有無を判定できる別の効果もある。
【0091】
本発明では、組織外の第3者である監査者が作業する専用の監査装置をネットワーク上に設け、各計算機での操作履歴を転送し、蓄積する。
【0092】
この際に、各計算機では監査者の公開暗号鍵を用いて、操作履歴を暗号化する。監査者は、監査要求があった際に初めて、別途厳重に管理した秘密暗号鍵を用いて、蓄積された操作履歴を復号する。このように、各計算機で操作履歴を暗号化し、監査装置に転送することで、監査者以外の利用者や管理者が、操作履歴を参照し、改ざん、隠滅することを防止する。
【0093】
本発明では、組織内の管理者が作業する専用の監視装置をネットワーク上に設け、ラベルに対応し、操作履歴を記録する必要性を監査規則表をもとに判定する。
【0094】
このため、管理者が、組織(ドメイン)内の規範に従い、各計算機でのコンテンツのアクセスや複製の制御や管理ができ、また規範の変更にともなうメンテナンス作業は、監査規則表の書き換えだけですむ。また、監査規則表の設定により、すべてのコンテンツのアクセスや複製について操作履歴をとる必要がなく、操作履歴を蓄積する記憶媒体(ハードディスク)の浪費の防止ならび利用者のプライバシーの保護に対応できるシステム運用が実現できる別の効果もある。
【0095】
本発明では、専用のファイアウォールをネットワーク上に設け、通信データの入出力に対応し、ラベルの生成や破棄処理をおこなう。機密レベルが高いネットワーク(たとえばTCSECのBレベル以上)に属する計算機に、通信データのラベルを読み取る機能(ミドルソフトウエアあるいはOS)を設けている。
【0096】
このため、管理者が、組織(ドメイン)内の規範に従い、ファイアウォールを境に機密レベルが異なるドメイン間でのコンテンツのアクセスや複製の制御ができる。
【0097】
さらに、専用のファイアウォールでは、コンテンツの参照者を限定した暗号化鍵でラベルを暗号化する。しかも、コンテンツを復号できる復号鍵は、通信のたびに内容を変更するセッション鍵を利用者別に配布された可搬型カード(たとえばSmart Card, PCMCIAカード)に格納する。復号したコンテンツは、利用を終えた段階で破棄する。
【0098】
このため、可搬型カードを用いて、コンテンツのファイアウォールから各計算機へのダウンロード(1次コピー)できるが、他システムへの転送やハードディスクへの別名でのファイル格納(2次コピー)を抑制できる。
【図面の簡単な説明】
【図1】計算機におけるコンテンツ監査方法のフローチャート。
【図2】機密レベルが異なるドメインを接続する本発明のファイアウォールのブロック図。
【図3】端末の操作画面の履歴を蓄積する本発明の監査装置のブロック図。
【図4】端末の操作画面の記録の必要性を判定する本発明の監視装置のブロック図。
【図5】各計算機でのラベルを検出する手順を示したフローチャート。
【図6】ラベルを生成し、分離するプログラムの配置を示したブロック図。
【図7】ファイアウォールで暗号化した通信データを、各計算機で復号する手順を示したフローチャート。
【図8】計算機でおいて暗号化した通信データを、ファイアウォールにおいて、復号可能であるかを検査する手順を示したフローチャート。
【図9】本実施例の計算機端末の構成を示したブロック図。
【符号の説明】
201、203…計算機、
210…ファイアウォール、
232、231、241、242…ファイアウォールに常駐するプログラム、
310…履歴記録プログラム、
451…管理者用端末、
351…監査者用端末、
913…カメラ、
920…カード。
【発明の属する技術分野】
本発明はコンピュータネットワークにおける通信データの機密性を確保する技術に関する。
【0002】
【従来の技術】
インタネットおよびイントラネットの普及にともない、いわゆるマルチメディアデータやソフトウエア等のプログラム(以下、コンテンツと記す)をネットワークを介して流通させる上で、以下の問題点が生じている。
【0003】
(1) 不特定多数の利用者によるコンテンツ複製
流通の末端である計算機(パーソナルコンピュータ)で、コンテンツの複製が容易にできる。しかも、権利者が末端のPCの状況を監視できないので、知的財産権を主張しづらい。
【0004】
(2) コンテンツの利用時に発生する課金
権利者がネットワークを介してコンテンツを送った段階ではなく、利用者がコンテンツを使用して、初めて対価を権利者に支払う後金方式である。しかし、問題点(1)同様に、権利者が末端の状況を監視できないので、利用者に課金を請求しづらい。
【0005】
このような問題に対処するため、権利者は、自らの情報を電子的なラベルとして添付したコンテンツをネットワークに流通させ、利用者は、コンテンツの使用量に応じ、ラベルに記された権利者に対価を支払う超流通という方式および装置が考案された。超流通は、たとえば
森亮一、河原正治、大瀧保広「超流通:知的財産権処理のための電子技術」、情報処理学会, Vol. 37, No. 2, February, 1996
で開示されている。
【0006】
【発明が解決しようとする課題】
しかし、上記公知例には、イントラネットの設備者(企業)とシステム管理者にとって、以下の不満足な点がある。
【0007】
(1) コンテンツの無断流通を抑制できない
システム管理者は、たとえば、CDーROMやDVDの可搬媒体を用いたインストールする、あるいは、FTPやWWW等の通信プログラムを用いてダウンロードし、コンテンツを蓄積するサーバ装置を用意する。一般利用者は、サーバ装置にアクセスすることで、コンテンツを利用できる。
【0008】
しかし、一般利用者が、システム管理者に無断でコンテンツを導入し、ネットワーク内で流通させる可能性がある。
【0009】
その際に、計画外のコンテンツの導入により、ハードディスクやネットワーク等の計算機資源を浪費し、業務を阻害するケースが発生する。あるいは、ウィルスがネットワークに混入し、データ破損の経済的被害が発生するケースもありうる。
【0010】
システム管理者は、ネットワーク内で、利用者がコンテンツを無断に流通していないことを設備者に証明する必要がある。
【0011】
(2)コンテンツの無断複製行為を抑制できない
権利者と企業の間で、企業内ネットワークに接続した計算機の使用に限り、コンテンツの複製を許すサイトライセンス契約を結ぶ。権利者は、コンテンツの対価が企業から確実に得られる。企業は、一括して契約を結ぶことで、使用料やコンテンツ管理の手間を削減できる。
【0012】
しかし、一般利用者が、システム管理者や権利者に無断でコンテンツを複製し、契約外のネットワークや計算機で利用する可能性がある。その際に、不正が発覚した場合、権利者が契約違反として企業を訴えるケースが生ずる。
【0013】
システム管理者は、ネットワーク内で、利用者がコンテンツを無断に複製していないことを権利者に証明する必要がある。
【0014】
【課題を解決するための手段】
上記目的を達成するために、ラベルをもとに、計算機あるいはネットワークの範囲で有効な機密レベルを検出し、通信データをアクセスあるいは複製した際に、操作者の顔写真あるいは各計算機の操作画面を履歴として記録する。
【0015】
とくに、機密ラベルの検出にあたり、
(1)機密ラベルが未検出の際に、計算機の操作画面に通信データのアクセス禁止を示す勧告メッセージを表示する。
【0016】
(2)ファイアウォール等で暗号化されたラベルを、利用者あるいは計算機ごとに独立した暗号鍵で復号する。
【0017】
であると望ましい。
【0018】
監査用装置をネットワーク上に設ける。
【0019】
この監査用装置は、監査者の公開鍵を生成し、計算機に送信する鍵生成手段と、監査者の公開鍵を用いて暗号化した各計算機の履歴を蓄積する履歴蓄積手段と監査者の秘密鍵で操作履歴を復号する履歴復号手段とで構成する装置が望ましい。
【0020】
監視用装置をネットワーク上に設ける。
【0021】
この監視用装置は、通信データに添付された機密性を示すラベルと監査規則との対応表を記録する規則設定手段と、計算機の問い合わせに応じて、対応表を検索し、通信データに関する履歴採取の必要性の有無を返信する機密判定手段とで構成する装置が望ましい。
【0022】
また、上述したラベル制御を前提とするネットワークに設置するファイアウォールは、機密レベルの低いネットワークから受信した通信データに機密レベルの属性を示すラベルを添付する手段と、機密レベルの低いネットワークに送信する通信データから上記ラベルを削除する手段を有することを特徴とする。
【0023】
とくに、
(1)機密レベルの高いネットワークの少なくとも一つの計算機および少なくとも一人以上の利用者が復号できる暗号化鍵を保有し、通信データとラベルを結合したデータを、上記暗号化鍵を用いて暗号化し、ラベルを暗号化する。
【0024】
(2)暗号化データを復号する復号鍵を所有し、通信データとラベルが含まれる暗号データを、復号鍵を用いて復号し、通信データとラベルとを分離するラベル削除し、通信データを機密レベルの低いネットワークへ送る履歴を機密レベルに応じて蓄積する。
【0025】
であると望ましい。
【0026】
また、ラベル復号用の可搬型カードを各計算機で利用する。
【0027】
この可搬型カードには、利用者ならび機密レベル別に独立した暗号鍵を蓄積し、ファイアウオールで暗号化したラベルならび通信データを復号する際に用いるのが望ましい。
【0028】
【発明の実施の形態】
本発明の実施例を図面を用いてより詳細に述べる。
【0029】
図1は、本発明を施した、計算機におけるコンテンツ監査方法の流れ図である。
【0030】
図1で、111はコンテンツよりラベルを抽出する処理、116は抽出したラベルをもとにコンテンツの機密レベルを判定する処理、121は、利用者のコンテンツの複製操作を検出する処理、122は操作画面を記録する処理である。機密レベルに応じて履歴(操作画面や利用者の顔写真)を記録するかどうかを判定するところに特徴がある。
【0031】
図2は、本発明のラベルを添付するファイルアウォールの1実施例を示したブロック図である。
【0032】
図2において、231はラベルを添付するプログラム、232はラベルとともに通信データを暗号化するプログラム、241はラベルを破棄するプログラム、242はラベルを復号するプログラムである。ファイルアウォール210は、機密レベルの異なるネットワークに接続し、低いレベルのネットワークから送られた通信データを暗号化し、高いレベルのネットワークから送られた通信データを復号するところに特徴がある。
【0033】
図3は、本発明で記録した操作履歴を暗号化し、監査者用のサーバに送信し、蓄積する構成を示したブロック図である。この例は、暗号鍵と復号鍵が異なる非対称暗号方式を用いた実施例である。
【0034】
図3で、361は(監査者の公開鍵321と秘密鍵322を生成し)、公開鍵321を履歴を記録する各計算機に配布する鍵(生成)配布プログラムである。362は各計算機の操作履歴324を蓄積するプログラム、363は操作履歴324を復号し、監査者に提示するプログラムである。図3では、各計算機で暗号化し、監査者サーバに送ることで、業務の機密も守り、かつ、利用者のプライバシも保証するところに特徴がある。
【0035】
図4は、ラベルの判定をネットワーク上の独立したコンテンツ監視装置で行う1実施例の構成を示したブロック図である。
【0036】
図4で、413と463は暗号化通信手段、462は判定手段、460は、ラベルと操作画面の記録の有無の規則をしるした規則表である。この例では、各計算機でいったんラベルを復号し、別の暗号化プログラム413を用いて暗号化し、ラベル判定用にコンテンツ監視装置451に送る。460の規則表をもとに操作履歴の記録の必要性を判定した結果を返すのが特徴である。
【0037】
図5以降は、本発明に関連する装置や手順を示した説明図である。
【0038】
図5は、各計算機でのラベルを検出する手順を示した流れ図である。
【0039】
図6は、計算機とファイアウォールでのラベルを生成、分離するプログラムの配置を示したブロック図である。この例では、ラベルと通信データとを結合し、暗号化してある(カプセル化)データを、解決するのが特徴である。
【0040】
図7は、ファイアウォールで暗号化した通信データを、各計算機で復号する手順を示した流れ図である。この例は、暗号鍵と復号鍵が異なる非対称暗号方式を用いた実施例である。
【0041】
図7で、704は、ファイアウォールにおいて、あらかじめ利用者別あるいは計算機別に登録されている公開鍵が存在しないので、ファイアウォール用に登録してある公開鍵を利用するステップ、714は、各計算機において、復号できない場合に、改めて、自ら復号可能な公開鍵を添付し、ファイアウォールに再送し、再暗号化を依頼するステップである。
【0042】
図8は、各計算機で暗号化した通信データを、ファイアウォールにおいて、復号可能であるかを検査する手順を示した流れ図である。804は、機密の低いネットワークの通信先の公開鍵がないので、ファイアウォール用に登録してある公開鍵を利用するステップ、814は、各計算機において、復号できない場合に、依頼するステップである。
【0043】
図9は、各計算機の構成で、とくに通信データを暗号化を行うための鍵管理に可搬型カードを用いる場合の構成を示したブロック図である。カード921は、ファイアウォールの公開鍵921と利用者の暗号鍵922を内蔵している。この例は対称暗号アルゴリズムと非対称暗号アルゴリズムとをミックスさせたセッション鍵の交換方式の一実施例を示している。914はカード921を読み取る装置である。
【0044】
また、913はディジタルカメラである。CRT912の操作画面930だけでなく、操作者の顔写真を同時に記録するのが目的である。
【0045】
以上の図面を使って、本実施例の詳細な説明をしていく。
【0046】
ラベルを検出する手順について、図1、図2ならび図5を用いて説明する。
【0047】
図2はこのラベルを利用するシステムの全体構成を説明する図である。
【0048】
計算機201は機密レベルの低いネットワーク202(たとえばWAN)、計算機203は202に比べて機密レベルの高いネットワーク204(社内LAN)に接続する。202と204との間にファイアウォール210が存在する。ファイアウォール210には一時記憶装置211(たとえば、磁気ディスク、フラッシュメモリ)が接続し、下記に示すようなプログラムやデータ、鍵等を格納する。
【0049】
計算機201から計算機203に対し、通信データ220を送受信する際に、ラベル241をファイアウォール210で添付あるいは削除する様子を示す。
【0050】
ファイアウォール210は、各通信データの機密性に応じて通信データの配送、通過停止等の処理を行う。具体的には、204内を流れる通信データには、機密性を示すラベルを添付し、計算機203では、このラベルを利用した、アクセス制御を行う。ファイアウォール210には、202から204へ流れる通信データにラベルを添付する手段231、ならびに204から202へ流れる通信データ220から削除する手段241が常駐する。
【0051】
とくに、ラベル241を、計算機203やネットワーク204上で改ざん、盗聴を防ぐ、ラベル暗号化機能も設けることが望ましい。暗号手段243は添付手段231と、復号手段242は破棄手段242と連動する。本実施例では、説明を簡単にするために、非対称暗号を用いた実施例を、以下で説明していく。
【0052】
計算機203の暗号手段243とファイアウォールの復号手段242、計算機203の復号手段233とファイアウォールの暗号手段242とはそれぞれ対応する暗号・復号プログラムである。230、240、244、234は、暗号・復号で使用する鍵である。ファイアウォール210の公開鍵230で暗号化したラベルを計算機203の秘密鍵234で復号する。計算機203の公開鍵244で暗号化したラベルをファイアウォール210の秘密鍵240で復号する。
【0053】
本実施例では、とくに、情報データ220の送信先・受信元のアドレス(たとえばIPアドレス、MACアドレス)、サービスの種類(たとえばポート番号:ニュース、FTP、HTTP等)、送信先・受信元の利用者ID等の属性情報とラベル221との関連を規定した対応表222をファイアウォール210に備えることが望ましい。対応ラベルを複数用意し、きめ細かい制御を行うことが可能となる。
【0054】
図2のシステム構成を踏まえ、図1を用いて、計算機203でのコンテンツ監査方法の流れを説明する。
【0055】
ファイアウォール210からラベル231を添付した通信データ230をダウンロードし(110)、暗号化している場合には復号操作も含め、一定形式でのラベルを抽出する(111)。もし抽出できない場合には(112)、140以下のエラー処理を行う。ラベルの内容、たとえば機密を示す種別、利用できる範囲を読み取り、たとえば暗号化ともに行われたディジタル署名をもとに、ラベルが偽造されるかどうかを判定する(114)。さらに、ラベルをもとに機密レベル判定する(116)。とくにローカルマシンでは判定できない場合には、ネットワーク上のラベル監視サーバ(後述462)に問い合わせる、記述されているラベルと機密レベルとの関係(セキュリティ基準にあわせ、指定されている)を検索する(115、130、131)。
【0056】
機密レベルが判定でき、履歴収集が必要なレベル(たとえば代表的なセキュリティ基準TCSECでは、B1レベル以上)のデータと判定された場合に、監視を開始する(117)。たとえば、キーボードやマウス等の入力により、ダウンロードした通信データに対するインタラクティブな画面操作が行われる。外部システムへの送信(たとえば電子メール、FTP)、ローカルな可搬媒体(たとえば磁気ディスク、ハードディスク)への複写に関する操作を行うことで、OSで規定しているシステム関数、たとえばWindowsでいえばWinsockやFile I/Oが呼ばれることを検出する(121)、あるいは一定時間ごとに、たとえば1分おきに(125)、操作画面のイメージ、Bitmapをファイルに記録する(122)。なお、操作者を写すディジタルカメラが、203に接続されているのならば、画面操作同時に記録することで、一層効果的な履歴を残すことができる。ダウンロードした通信データに関する操作するプログラムを終了する(124)しない場合には、再びステップ121へ戻る(123)。
【0057】
ラベルを用いた機密レベルの判定に関するエラー処理(140、141)について述べる。ラベルを抽出できない、ラベルが偽造である場合には、不正コンテンツであると端末の利用者に警告を表示し、終了か継続するかどうかの判定を求める(140)。利用者が「終了」を選択した場合は、ダウンロードした通信データに関するアクセスを終了する(141)。「継続」を選択した場合は、操作履歴を採ることに利用者が同意したと見なし、ステップ120へ進む。
【0058】
図1におけるラベル抽出処理111を詳細に述べる。とくに、コンテンツ流通に関し、暗号を用いたカプセル化の一実施例を図5および図6を用いて、説明する。
【0059】
抽出処理に対応し、ファイアウォール210でのラベル添付処理を説明する。
【0060】
図6において、通信データ230は、610のコンテンツの本体であるデータ部とコンテンツの属性(シリアル番号、サービスの内容など)を示すヘッダ部611とに分かれる。このような属性のヘッダ部に対応し、添付するラベル612を決定する(本実施例では"Project"というキーワードに対し、"SECRET,R&D"というラベルが対応)ための対応表222に照らしあわるのが、添付手段231である。612を611および610と結合し、公開鍵230を用いて暗号化する。
【0061】
このように暗号化した通信データとラベルを分離するのが、抽出処理111である。基本的には、添付処理に対応して、逆の処理を行う。秘密鍵234を用いて、平文に復号する。図5で、暗号化された通信データかを判定する(501)。判定方法としては、たとえばRFC1847(Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted)で示しているような属性と属性値とを組みとしたタグで判定する方法でおこなう。判定できた場合には、秘密鍵234を用いて復号処理を試み(503)、復号し(504)たのちに、ラベル部分を含んだヘッダ部分(612)の範囲を判定し(505)、切り取った後(506)に、定められたラベルの形式にあわせ(507)、各項目(たとえば、機密レベル、カテゴリ)等の検査(508)を行う。
【0062】
次に、図3を用いて、計算機203のステップ122で一次記憶装置301に記録した履歴323を、暗号化し、収集するシステムの構成を説明する。
【0063】
351は、監査人専用の計算機であり、352はCRT、353は履歴を蓄積する一次記憶装置である。
【0064】
計算機203には、履歴を一次記憶装置301に記憶するプログラム310、301に記憶した履歴323を暗号化するプログラム311、暗号化した履歴を送付するプログラム312を備える。
【0065】
計算機351には、鍵生成ならびに計算機203に鍵配布するプログラム361、履歴をハードディスク353に収集するサーバプログラム362、収集した履歴324を復号し、CRT352に表示するプログラム363を備える。321と322は、プログラム361が生成する暗号鍵である。321は履歴323を暗号化する公開鍵、322は履歴324を復号するための秘密鍵である。あらかじめ、あるいは暗号プログラム311が用いる場合に備えて、鍵321は計算機203に送られ、一次記憶装置301に記憶する。
【0066】
本実施例では、監査者用の公開鍵を使って、暗号化した後に、適宜管理者用の専用装置に送り、履歴の改ざん、盗聴、各計算機でのディスクの消費を防ぐところにある。
【0067】
次に、図4を用いて、計算機203のステップ130で、コンテンツに添付されたラベルを抽出し、サーバ451に問い合わせるシステム構成を説明する。
【0068】
451は、管理者専用の計算機であり、452はCRT、453はラベルと機密レベルとの対応表460を格納する一次記憶装置である。
【0069】
計算機203には、一次記憶装置401に記憶したコンテンツ420ならびにラベル423を復号するプログラム233、コンテンツをラベルを検査するプログラム412、ラベルに関する問い合わせを行う、とくにラベルに関する情報をそのまま暗号化してプログラム413を備える。
【0070】
計算機451には、鍵生成ならびに計算機203に鍵配布するプログラム464、プログラム413からの問い合わせに応じ対応する暗号通信プログラム463、463から呼び出され、暗号化したラベルと機密レベルとの対応表460とを比較し、操作履歴を記録すべきかどうかを判定するプログラム462、プログラム462からさらに呼び出され、CRT452に、機密アクセス違反が発生し、操作履歴を記録するメッセージを表示する警告プログラムを備える。また、対応表460の内容を管理者が設定するなプログラム461も備える。421と422は、プログラム464が生成する暗号鍵である。421はラベル424を暗号化する公開鍵、422はラベル424を復号するための秘密鍵である。あらかじめ、あるいは暗号プログラム413が用いる場合に備えて、鍵421は計算機203に送られ、一次記憶装置401に記憶する。
【0071】
本実施例では、ラベルに対応する機密性の意味付けをネットワーク上の管理者が定めた対応表460上の規則に応じて、動的に変更できるところにある。
【0072】
図7および図8を用いて、ファイアウォール210と計算機203での暗号通信の手順を示す。
【0073】
図7は、ファイアウォール210での暗号プログラム232、計算機203での復号プログラム233の処理を示す。ファイアウォール210に対応表222を備え、行き先の計算機や利用者にあわせて異なる暗号鍵を利用するところに特徴がある。ここでは、ネットワークのパケットのレベルで暗号化を行う例を示す(アプリケーション層での暗号化でも、IPアドレスやポート番号の変わりに、利用者ID等の情報を使って同様にして行うことができる)。
【0074】
まず、コンテンツが流れてきたネットワークの機密レベルを送信元のIPアドレスで判定し(701)、暗号化が必要な場合は、さらに受信先の計算機203のIPアドレスをパケットから抽出し(702)、受信先のIPアドレスに対応した公開鍵230を使って暗号化し(705)、もし公開鍵230がないときには(703)、ファイアウォール210の公開鍵を使って暗号化する(704)。暗号化したパケットを計算機203へ送付する(705)。計算機203では、流れてきたパケットが復号が必要な場合には、公開鍵230に対応する秘密鍵234を用いて復号する(712)。復号できない場合には、ステップ704の処理が行われたと判定し(713)、ファイアウォールに自分の公開鍵230とパケットを送り、ファイアウォール内で、いったんパケットを復号したのちに、公開鍵230で再暗号化する(714)。
【0075】
本実施例では、ファイアウォールに、外部の計算機との通信を頻繁に行わない計算機では、再暗号化処理を設けることで、応答性能とセキュリティを満足できるようにしてあるところに特徴がある。
【0076】
図7と逆に、機密の高いネットワークから低いネットワークへのパケットの流れを制御する、ファイアウォール210での復号プログラム242、計算機203での暗号プログラム243の処理を図8を使って示す。
【0077】
ファイアウォール210に対応表222を備え、行き先の計算機や利用者にあわせて異なる復号鍵を利用するところに特徴がある。ここでは、図7同様にネットワークのパケットのレベルで復号化を行う例を示す。
【0078】
計算機203において、他の計算機へデータを送る場合暗号が必要であると判定し(801)、各計算機のIPアドレスにあわせた公開鍵で暗号化する(805)。送信先がとくに機密レベルが低いネットワーク202に属する計算機201であると判定した場合は(803)、ファイアウォール210の公開鍵230で暗号化する(804)。暗号化した通信データをパケットとして送信する(806)。
【0079】
ファイアウォール210において、送信元の計算機203のIPアドレスをパケットから抽出し、通信データが流れてきたネットワークの機密レベルを送信元のIPアドレスで判定し(811)、ファイアウォールの秘密鍵240を使って復号する(812)。復号できた場合には、ファイアウォールから機密レベルの低いネットワーク202の計算機201へ送付(815)、復号できない場合には、ファイアウォールの通過を許さない(814)。
【0080】
本実施例では、外部の計算機にデータ通信を行う場合は、必ずファイアウォールでファイアウォールで平文に復号し、外部への機密持ち出しを監視できるようにしてあるところに特徴がある。
【0081】
以上、計算機のIPアドレスを利用して、暗号鍵を設定する実施例で述べた。以下では、アプリケーション層の利用者IDを利用して、暗号鍵を設定する別の実施例を述べる。
【0082】
図9は、可搬型媒体(たとえばPCMCIAカード920)を用いて、利用者IDに対応した暗号鍵を管理するシステム構成を説明したブロック図である。計算機203は、ハードディスクやメモリ、CPUを内蔵した本体911、CRT912、ディジタルカメラ913、カードリーダ914、キーボード(マウス)915で構成する。ディジタルカメラ913、カードリーダ914は本体911の付属装置である。
【0083】
CRT912には操作画面930(マルチウィンドウ)が映し出される。キーボード915を用いて操作する操作画面930ならびに、ディジタルカメラ913で写された利用者の顔写真を履歴として記憶する。
【0084】
カード920には、利用者の秘密鍵923ならび公開鍵924と、ファイアウォールの秘密鍵240に対応する公開鍵925とを内蔵し、備えているところが特徴である。ファイアウォールには、公開鍵924のコピーである公開鍵230と、ファイアウォールの秘密鍵240とを備えている。可搬媒体920を用いて、カードリーダ914を備え、プログラム233やプログラム243を常駐する不特定の計算機で利用することで、利便性が増す。
【0085】
【発明の効果】
本発明により従来の問題点が解決される。
【0086】
(1) 契約外のコンテンツの流通を許さない。
【0087】
各計算機で、ラベルを参照し、正規のラベルが添付していないコンテンツの複製や他システムへの転送が不正であることを明確にするので、不正流通の影響を局所化できる。
【0088】
(2) 操作画面を履歴として記録することを示し、利用者の無断複製を抑制できる。
【0089】
利用者に計算機上でコンテンツの複製する操作が履歴として残ること、あわせて無断複製が発覚した際の罰則を示すことで、違反行為を抑制できる。
【0090】
また、操作画面や顔写真をビジュアルな履歴として記録することで、組織外の監査者が、業務の内容に関わらず客観的に不正行為の有無を判定できる別の効果もある。
【0091】
本発明では、組織外の第3者である監査者が作業する専用の監査装置をネットワーク上に設け、各計算機での操作履歴を転送し、蓄積する。
【0092】
この際に、各計算機では監査者の公開暗号鍵を用いて、操作履歴を暗号化する。監査者は、監査要求があった際に初めて、別途厳重に管理した秘密暗号鍵を用いて、蓄積された操作履歴を復号する。このように、各計算機で操作履歴を暗号化し、監査装置に転送することで、監査者以外の利用者や管理者が、操作履歴を参照し、改ざん、隠滅することを防止する。
【0093】
本発明では、組織内の管理者が作業する専用の監視装置をネットワーク上に設け、ラベルに対応し、操作履歴を記録する必要性を監査規則表をもとに判定する。
【0094】
このため、管理者が、組織(ドメイン)内の規範に従い、各計算機でのコンテンツのアクセスや複製の制御や管理ができ、また規範の変更にともなうメンテナンス作業は、監査規則表の書き換えだけですむ。また、監査規則表の設定により、すべてのコンテンツのアクセスや複製について操作履歴をとる必要がなく、操作履歴を蓄積する記憶媒体(ハードディスク)の浪費の防止ならび利用者のプライバシーの保護に対応できるシステム運用が実現できる別の効果もある。
【0095】
本発明では、専用のファイアウォールをネットワーク上に設け、通信データの入出力に対応し、ラベルの生成や破棄処理をおこなう。機密レベルが高いネットワーク(たとえばTCSECのBレベル以上)に属する計算機に、通信データのラベルを読み取る機能(ミドルソフトウエアあるいはOS)を設けている。
【0096】
このため、管理者が、組織(ドメイン)内の規範に従い、ファイアウォールを境に機密レベルが異なるドメイン間でのコンテンツのアクセスや複製の制御ができる。
【0097】
さらに、専用のファイアウォールでは、コンテンツの参照者を限定した暗号化鍵でラベルを暗号化する。しかも、コンテンツを復号できる復号鍵は、通信のたびに内容を変更するセッション鍵を利用者別に配布された可搬型カード(たとえばSmart Card, PCMCIAカード)に格納する。復号したコンテンツは、利用を終えた段階で破棄する。
【0098】
このため、可搬型カードを用いて、コンテンツのファイアウォールから各計算機へのダウンロード(1次コピー)できるが、他システムへの転送やハードディスクへの別名でのファイル格納(2次コピー)を抑制できる。
【図面の簡単な説明】
【図1】計算機におけるコンテンツ監査方法のフローチャート。
【図2】機密レベルが異なるドメインを接続する本発明のファイアウォールのブロック図。
【図3】端末の操作画面の履歴を蓄積する本発明の監査装置のブロック図。
【図4】端末の操作画面の記録の必要性を判定する本発明の監視装置のブロック図。
【図5】各計算機でのラベルを検出する手順を示したフローチャート。
【図6】ラベルを生成し、分離するプログラムの配置を示したブロック図。
【図7】ファイアウォールで暗号化した通信データを、各計算機で復号する手順を示したフローチャート。
【図8】計算機でおいて暗号化した通信データを、ファイアウォールにおいて、復号可能であるかを検査する手順を示したフローチャート。
【図9】本実施例の計算機端末の構成を示したブロック図。
【符号の説明】
201、203…計算機、
210…ファイアウォール、
232、231、241、242…ファイアウォールに常駐するプログラム、
310…履歴記録プログラム、
451…管理者用端末、
351…監査者用端末、
913…カメラ、
920…カード。
Claims (8)
- 第一のネットワークと,前記第一のネットワークより機密レベルの高い第二のネットワークとがファイアウォールを介して接続されたシステムにおける,通信データ監査方法であって,
前記第一のネットワークに接続された第一の計算機が,前記ファイアウォールを介して,前記第二のネットワークに接続された第二の計算機へ通信データを送信する際に,前記ファイアウォールは,監査規則を定めた対応表に基づき,前記通信データに添付する機密レベル判定ラベルを決定し,
前記通信データに,前記決定された機密レベル判定ラベルを添付し,
前記第二の計算機は,
前記機密レベル判定ラベルが添付された前記通信データを受信し,
前記機密レベル判定ラベルに基づき,機密レベルを判定し,
前記機密レベルが,所定のレベル以上であれば,当該第二の計算機の利用者による前記通信データへの操作履歴を記録する
ことを特徴とする通信データ監査方法。 - 請求項1に記載の通信データ監査方法において,
前記操作履歴の記録は,操作画面イメージの記録であり,
前記第二の計算機は,前記利用者による前記通信データの複写操作または他装置への送信操作の検出をきっかけとして,または,一定時間毎に,前記操作履歴の記録を行う
ことを特徴とする通信データ監査方法。 - 請求項1に記載の通信データ監査方法において,
前記システムは,前記機密レベル判定ラベルと前記機密レベルとの対応を記憶するラベル監視サーバを備え,
前記第二の計算機は,前記通信データに添付されていた前記機密レベル判定ラベルの機密レベルを判定できない場合には,前記ラベル監視サーバに,該機密レベル判定ラベルの機密レベルを問い合わせる
ことを特徴とする通信データ監査方法。 - 請求項1に記載の通信データ監査方法において,
前記第二の計算機は,受信した前記通信データから前記機密レベル判定ラベルを抽出できない場合,または,抽出した前記機密レベル判定ラベルが偽造されていると判定した場合には,
当該第二の計算機の前記利用者への警告画面を表示し,処理を継続するかどうかの判断を求め,
前記利用者が「継続」を選択した場合は,前記操作履歴の記録を開始する
ことを特徴とする通信データ監査方法。 - 請求項1に記載の通信データ監査方法において,
前記対応表は,前記第一の計算機と前記第二の計算機のアドレス,サービスの種類,前記第一の計算機と前記第二の計算機の利用者のID,からなる送信元と送信先の属性と,前記機密レベル判定ラベルとの関連を規定する
ことを特徴とする通信データ監査方法。 - 請求項5に記載の通信データ監査方法において,
前記対応表は,さらに,前記通信データの属性と前記機密レベル判定ラベルとの関連を規定する
ことを特徴とする通信データ監査方法。 - 請求項1に記載の通信データ監査方法において,
抽出した前記機密レベル判定ラベルに基づいて機密レベルを判定できない場合に,前記第二の計算機の操作画面に,前記通信データへのアクセス禁止を勧告するメッセージを表示する
ことを特徴とする通信データ監査方法。 - 請求項1に記載の通信データ監査方法において,
前記システムは,監査者用サーバを備え,
前記第二の計算機は,記録した前記操作履歴を暗号化して前記監査者用サーバに送信し,
前記監査者用サーバは,
暗号化された前記操作履歴を蓄積し,
蓄積された,前記暗号化された前記操作履歴を復号し,前記監査者に提示する
ことを特徴とする通信データ監査方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP26405196A JP3831990B2 (ja) | 1996-10-04 | 1996-10-04 | 通信データ監査方法および装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP26405196A JP3831990B2 (ja) | 1996-10-04 | 1996-10-04 | 通信データ監査方法および装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH10111855A JPH10111855A (ja) | 1998-04-28 |
| JP3831990B2 true JP3831990B2 (ja) | 2006-10-11 |
Family
ID=17397869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP26405196A Expired - Fee Related JP3831990B2 (ja) | 1996-10-04 | 1996-10-04 | 通信データ監査方法および装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3831990B2 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6587945B1 (en) * | 1998-12-28 | 2003-07-01 | Koninklijke Philips Electronics N.V. | Transmitting reviews with digital signatures |
| CA2410788C (en) * | 2000-06-01 | 2009-01-20 | Safa Soft Co. Ltd | Total system for preventing information outflow from inside |
| JP4051924B2 (ja) | 2001-12-05 | 2008-02-27 | 株式会社日立製作所 | 送信制御可能なネットワークシステム |
| JP3896885B2 (ja) | 2002-03-29 | 2007-03-22 | 富士ゼロックス株式会社 | メーリングリストサーバおよびそのメール再送方法 |
| JP4511164B2 (ja) * | 2003-12-08 | 2010-07-28 | 三菱電機株式会社 | 鍵管理装置、端末装置及びプロキシ装置 |
| JP4701706B2 (ja) * | 2004-12-22 | 2011-06-15 | 富士ゼロックス株式会社 | 情報処理装置、方法、及びプログラム |
| JP2006221617A (ja) * | 2005-01-17 | 2006-08-24 | Toshiba Corp | 監査ログ管理機能を有する医用機器 |
| US7832003B2 (en) * | 2005-04-28 | 2010-11-09 | Microsoft Corporation | Walled gardens |
| JP5041516B2 (ja) * | 2007-01-22 | 2012-10-03 | 力 松田 | コンピュータの画面監視用usbメモリ |
| JP4952531B2 (ja) * | 2007-11-19 | 2012-06-13 | 富士通株式会社 | 記録装置、記録プログラム、および記録方法 |
-
1996
- 1996-10-04 JP JP26405196A patent/JP3831990B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH10111855A (ja) | 1998-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10769252B2 (en) | Method and apparatus for watermarking of digital content, method for extracting information | |
| USRE44364E1 (en) | Method of encrypting information for remote access while maintaining access control | |
| US8275709B2 (en) | Digital rights management of content when content is a future live event | |
| US8918633B2 (en) | Information processing device, information processing system, and program | |
| US6873975B1 (en) | Content usage control system, content usage apparatus, computer readable recording medium with program recorded for computer to execute usage method | |
| RU2463721C2 (ru) | Способ отправки электронного файла | |
| KR20010088917A (ko) | 디지털 정보 보안 방법 및 그 시스템 | |
| JP3453842B2 (ja) | セキュアシステム | |
| JP2007241513A (ja) | 機器監視装置 | |
| JPH07295798A (ja) | ソフトウェア・オブジェクトの配布を可能にするための方法および装置 | |
| WO2002023797A1 (en) | System for establishing an audit trail to protect objects distributed over a network | |
| JPH117241A (ja) | 電子透かしを利用するデジタルコンテンツ管理システム | |
| JP2004171207A (ja) | データ保護・保管方法/サーバ | |
| JP3831990B2 (ja) | 通信データ監査方法および装置 | |
| KR100440037B1 (ko) | 문서보안 시스템 | |
| JP2002041347A (ja) | 情報提供システムおよび装置 | |
| JPH11265317A (ja) | 著作権保護システム | |
| JPH088851A (ja) | 情報配布システムおよび情報配布方法 | |
| JP4471129B2 (ja) | 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム | |
| JP3765145B2 (ja) | 電子情報配布方法 | |
| JPH11203128A (ja) | デジタルソフトウェア配布システム、端末装置および記録媒体 | |
| JP3636087B2 (ja) | 個人情報提供システム、個人情報提供方法、および個人情報提供プログラム | |
| JP2007226545A (ja) | 情報管理装置、情報管理方法および情報管理プログラム | |
| KR100998596B1 (ko) | 분산 자료 통합 백업 시스템 | |
| JP2008269544A (ja) | 利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060131 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060314 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20060417 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060515 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060627 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060710 |
|
| LAPS | Cancellation because of no payment of annual fees |