JP4365389B2 - 可搬メディア取り扱い通信システム - Google Patents
可搬メディア取り扱い通信システム Download PDFInfo
- Publication number
- JP4365389B2 JP4365389B2 JP2006181950A JP2006181950A JP4365389B2 JP 4365389 B2 JP4365389 B2 JP 4365389B2 JP 2006181950 A JP2006181950 A JP 2006181950A JP 2006181950 A JP2006181950 A JP 2006181950A JP 4365389 B2 JP4365389 B2 JP 4365389B2
- Authority
- JP
- Japan
- Prior art keywords
- media
- key
- server
- registration
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、コンピュータが利用する可搬メディア(媒体)に格納されたファイルやデータ等の安全性を確保するための可搬メディア取り扱い通信システムに関する。
組織外への情報漏洩対策として組織内で安全にデータをやりとりする場合に、ファイルサーバにアクセス制限をかけ、限られたユーザだけで情報共有することがある。又、組織外への情報漏洩対策として、FDやCD−Rのような可搬メディアに於いては、暗号化技術を用いることが一般であり、パスワードを知っているユーザのみが共通化して情報を閲覧することができるようになる。
これに関する先行技術文献として、例えば、下記の特許文献1がある。
特開平8−249238号公報
これに関する先行技術文献として、例えば、下記の特許文献1がある。
然しながら、上記特許文献1において、単にアクセス制限をかけるだけでは、情報へのアクセスは制御できるものの、アクセスが許可されたユーザがローカルPCにファイル等をコピーしてしまうことで、そこからFD等を通じて外部に持ち出す可能性がある。
又、可搬媒体やファイルそのものをユーザが暗号化して情報のやりとりをするようなケースに於いては、善意のユーザが必ず暗号化することを前提としており、一方で、悪意のあるユーザが暗号化を行わないという選択肢を残すことになる。仮に暗号化を強制し、暗号化が行なわれたとしても、暗号データを復号するためのパスワードを通知してしまうことで、組織外にいる悪意の第三者に情報を引き渡すことが可能になってしまう。
又、可搬媒体やファイルそのものをユーザが暗号化して情報のやりとりをするようなケースに於いては、善意のユーザが必ず暗号化することを前提としており、一方で、悪意のあるユーザが暗号化を行わないという選択肢を残すことになる。仮に暗号化を強制し、暗号化が行なわれたとしても、暗号データを復号するためのパスワードを通知してしまうことで、組織外にいる悪意の第三者に情報を引き渡すことが可能になってしまう。
以上の現状に鑑み、本発明は、FDやCD−Rといった可搬メディアに機密情報を格納して運用するシステムにおいて、許可された組織内では可搬メディアの内容を暗号化を意識することなく閲覧でき、組織外では、閲覧できないようにした可搬メディア取り扱い通信システムを提供することを目的とする。
上記の課題を解決すべく、本発明は以下の構成を提供する。
請求項1に係る発明は、可搬メディアを着脱自在のクライアントコンピュータと、サーバとが通信自在に接続された可搬メディア取り扱い通信システムであって、
前記クライアントコンピュータは、
許可された組織毎に付与され、クライアントコンピュータに予め格納される組織IDによって、セッション鍵を含む登録用サーバ要求パケットを暗号化して前記サーバに送る機能と、
前記サーバで生成されたメディアIDとメディア登録鍵とを含み、前記セッション鍵によって暗号化された登録用サーバ応答パケットを前記サーバから受信する機能と、
暗号鍵を作成し、前記暗号鍵によって前記可搬メディア内にある既存のファイルを暗号化ファイルにする機能と、
前記暗号鍵を前記組織IDと前記メディア登録鍵とを連結した値で暗号化し、暗号化済み暗号鍵を作成する機能と、
前記暗号化済み暗号鍵と前記メディアIDとを鍵ファイルに収納し、前記鍵ファイルを前記可搬メディア内に格納する機能と、
前記暗号化ファイルの復号時には、前記可搬メディア内に格納される前記鍵ファイルから前記メディアIDを読み込む機能と、
読み込んだ前記メディアIDとセッション鍵を含む復号用サーバ要求パケットを前記サーバに送信する機能と、
前記サーバからメディア登録鍵を含む復号用サーバ応答パケットを受信すると、前記可搬メディアから暗号化済み暗号鍵を読み込み、前記組織IDと前記メディア登録鍵とを連結した値で暗号化済み暗号鍵を復号し、前記暗号鍵を取得する機能と、
前記暗号鍵によって前記暗号化ファイルの復号を行う機能とを備え
前記サーバは、前記登録用サーバ要求パケットを受信すると、メディアIDとメディア登録鍵を生成する機能と、
前記メディアIDとメディア登録鍵とを含む登録用サーバ応答パケットを、前記セッション鍵によって暗号化してクライアントコンピュータに送る機能と、
前記クライアントコンピュータから前記復号用サーバ要求パケットを受信すると、前記サーバが備えるメディアIDデータベースから該当するメディアIDのメディア登録鍵を検索する機能と、
検索されたメディア登録鍵を復号用サーバ応答パケットに格納した上、前記セッション鍵で暗号化して前記クライアントコンピュータに送信する機能とを備えることを特徴とする可搬メディア取り扱い通信システムを提供するものである。
請求項1に係る発明は、可搬メディアを着脱自在のクライアントコンピュータと、サーバとが通信自在に接続された可搬メディア取り扱い通信システムであって、
前記クライアントコンピュータは、
許可された組織毎に付与され、クライアントコンピュータに予め格納される組織IDによって、セッション鍵を含む登録用サーバ要求パケットを暗号化して前記サーバに送る機能と、
前記サーバで生成されたメディアIDとメディア登録鍵とを含み、前記セッション鍵によって暗号化された登録用サーバ応答パケットを前記サーバから受信する機能と、
暗号鍵を作成し、前記暗号鍵によって前記可搬メディア内にある既存のファイルを暗号化ファイルにする機能と、
前記暗号鍵を前記組織IDと前記メディア登録鍵とを連結した値で暗号化し、暗号化済み暗号鍵を作成する機能と、
前記暗号化済み暗号鍵と前記メディアIDとを鍵ファイルに収納し、前記鍵ファイルを前記可搬メディア内に格納する機能と、
前記暗号化ファイルの復号時には、前記可搬メディア内に格納される前記鍵ファイルから前記メディアIDを読み込む機能と、
読み込んだ前記メディアIDとセッション鍵を含む復号用サーバ要求パケットを前記サーバに送信する機能と、
前記サーバからメディア登録鍵を含む復号用サーバ応答パケットを受信すると、前記可搬メディアから暗号化済み暗号鍵を読み込み、前記組織IDと前記メディア登録鍵とを連結した値で暗号化済み暗号鍵を復号し、前記暗号鍵を取得する機能と、
前記暗号鍵によって前記暗号化ファイルの復号を行う機能とを備え
前記サーバは、前記登録用サーバ要求パケットを受信すると、メディアIDとメディア登録鍵を生成する機能と、
前記メディアIDとメディア登録鍵とを含む登録用サーバ応答パケットを、前記セッション鍵によって暗号化してクライアントコンピュータに送る機能と、
前記クライアントコンピュータから前記復号用サーバ要求パケットを受信すると、前記サーバが備えるメディアIDデータベースから該当するメディアIDのメディア登録鍵を検索する機能と、
検索されたメディア登録鍵を復号用サーバ応答パケットに格納した上、前記セッション鍵で暗号化して前記クライアントコンピュータに送信する機能とを備えることを特徴とする可搬メディア取り扱い通信システムを提供するものである。
本発明の請求項1記載の発明によれば、可搬メディアに格納した機密情報を復号するための暗号鍵を組織IDとメディア登録鍵に紐付けられるようになるため、異なる組織IDを持つシステムに持ち込んだ場合には復号できない状態となる。又、悪意を持つユーザによって同一組織IDの環境を作成できたとしてもメディア毎に管理しているメディア登録鍵を入手できないため、可搬メディア内の暗号化ファイルを復号できない状態となり、同一組織内での運用性を維持しつつ、外部組織へのセキュリティを確保することができる。
以下、実施例を示した図面を参照しつつ本発明の実施の形態を説明する。
図1に示すように、本発明の可搬メディア取り扱い通信システムは、FDやCD−R等の可搬自在のメディア101を着脱自在のクライアントコンピュータであるクライアントPC(パーソナルコンピュータ)102と、サーバ103とが通信自在に接続される。尚、クライアントPC102は、1乃至複数台存在するが、説明の都合上、ここでは1台のクライアントPC102について説明する。
図1に示すように、本発明の可搬メディア取り扱い通信システムは、FDやCD−R等の可搬自在のメディア101を着脱自在のクライアントコンピュータであるクライアントPC(パーソナルコンピュータ)102と、サーバ103とが通信自在に接続される。尚、クライアントPC102は、1乃至複数台存在するが、説明の都合上、ここでは1台のクライアントPC102について説明する。
図1及び図2は本発明の動作を説明するためのメディア暗号化、復号化の処理の流れを示すものである。
図1に示すように、許可された組織内に有効なメディア101として暗号化するためには、クライアントPC102からサーバ103に対してメディア101を登録する(ステップS11)。登録する際に、図3に示すサーバ要求パケット500を用いる。サーバ要求パケット500には応答を暗号化するセッション鍵504を含めるとともに、サーバ要求パケット500全体を予めクライアントPC102に格納されている組織ID505で暗号化して送信する。登録用のサーバ要求パケット500である登録用サーバ要求パケット500aの概略図を図6(a)に示す。
図1に示すように、許可された組織内に有効なメディア101として暗号化するためには、クライアントPC102からサーバ103に対してメディア101を登録する(ステップS11)。登録する際に、図3に示すサーバ要求パケット500を用いる。サーバ要求パケット500には応答を暗号化するセッション鍵504を含めるとともに、サーバ要求パケット500全体を予めクライアントPC102に格納されている組織ID505で暗号化して送信する。登録用のサーバ要求パケット500である登録用サーバ要求パケット500aの概略図を図6(a)に示す。
尚、前記サーバ要求パケット500には、セッション鍵504の他に、プロトコルバージョン501、登録又は検索のいずれかを示すリクエストID502、メディアID503が含まれる。
又、メディアID503は、登録時にはサーバ要求パケット500に含まれず、後述する検索要求時のみ含まれる。前記セッション鍵504は、セッション毎に毎回ランダムな値が設定される。従って、登録用サーバ要求パケット500aは、リクエストID502が登録を示す「0」となり、メディアID503は含まれない。
更に、前記組織ID505は、許可された組織内に於いて、同一符号で付与され、許可された組織内のサーバ103及び各クライアントPC102に格納される認識番号である。
又、メディアID503は、登録時にはサーバ要求パケット500に含まれず、後述する検索要求時のみ含まれる。前記セッション鍵504は、セッション毎に毎回ランダムな値が設定される。従って、登録用サーバ要求パケット500aは、リクエストID502が登録を示す「0」となり、メディアID503は含まれない。
更に、前記組織ID505は、許可された組織内に於いて、同一符号で付与され、許可された組織内のサーバ103及び各クライアントPC102に格納される認識番号である。
サーバ103はサーバ要求パケット500を受信すると、図4に示すメディア登録鍵605を自動的に作成したあとメディア登録鍵605をサーバ応答パケット600に含め、更に、セッション鍵504でサーバ応答パケット600全体を暗号化してクライアントPC102に返信する(ステップS12)。登録用のサーバ応答パケット600である登録用サーバ要求パケット600aの概略図を図6(b)に示す。
尚、前記サーバ応答パケット600には、メディア登録鍵605の他に、プロトコルバージョン601、登録又は検索のいずれかを示すリクエストID602、サーバ応答パケット作成が失敗又は成功のいずれかであることを示す結果603、サーバ応答パケット作成に関する詳細をコードで示す詳細コード604、メディアID503が含まれる。
尚、メディアID503は登録時のみ作成され、メディア登録鍵605はメディアID毎に作成される。従って、登録用サーバ応答パケット600aは、リクエストID602が登録を示す「0」となり、メディアID503を含んでいる。
尚、前記サーバ応答パケット600には、メディア登録鍵605の他に、プロトコルバージョン601、登録又は検索のいずれかを示すリクエストID602、サーバ応答パケット作成が失敗又は成功のいずれかであることを示す結果603、サーバ応答パケット作成に関する詳細をコードで示す詳細コード604、メディアID503が含まれる。
尚、メディアID503は登録時のみ作成され、メディア登録鍵605はメディアID毎に作成される。従って、登録用サーバ応答パケット600aは、リクエストID602が登録を示す「0」となり、メディアID503を含んでいる。
ファイルの暗号化には、クライアントPC102によって、図5のフローチャートに示すように、メディア101毎に1つの暗号鍵701を自動的に作成し、メディア101内にある既存のファイル(平文ファイル)702を暗号化ファイル703とする(ステップS13)。暗号鍵701は、クライアントPC102内に格納されている組織ID505とサーバ103から返されたメディア登録鍵605とを連結した値で暗号化し、暗号化済み暗号鍵704とする。そして、暗号化済み暗号鍵704とメディアID503とを鍵ファイル705に収納して、メディア101内に格納する。鍵ファイル705の概略図を図6(c)に示す。
暗号化ファイル703の復号時には、図2に示すように、まずクライアントPC102がメディア101内にある鍵ファイル705からメディアID503を読み込む(ステップS21)。クライアントPC102は図3に示すサーバ要求パケット500によってサーバ103に検索要求を発信する(ステップS22)。復号用のサーバ要求パケット500である復号用サーバ要求パケット500bの概略図を図7(a)に示す。復号用サーバ要求パケット500bは、リクエストID502が検索を示す「1」となり、メディアID503を含んでいる。
サーバ103はクライアントPC102からの検索要求を受けると、サーバ103が管理しているメディアIDデータベース(図示せず)から該当するメディアID503のメディア登録鍵605を検索し、図4に示すサーバ応答パケット600に格納した上、サーバ要求パケット500内にあるセッション鍵504で暗号化してクライアントPC102に返信する(ステップS23)。復号用のサーバ応答パケット600である復号用サーバ要求パケット600bの概略図を図7(b)に示す。復号用サーバ応答パケット600bは、リクエストID602が検索を示す「1」となり、メディアID503を含まない。
クライアントPC102はサーバ応答パケット600を受け取るとメディア101から暗号化済み暗号鍵704を読み込み(ステップS24)、組織ID505とメディア登録鍵605とを連結した値で暗号化済み暗号鍵704を復号し(ステップS25)、実際のファイル復号に必要な鍵となる暗号鍵701を取得するとともに、暗号鍵701によって暗号化ファイル703の復号を行う(ステップS26)。
前述したように、本発明の可搬メディア取り扱い通信システムは、許可された組織内では運用性を損なうことなくメディア101のセキュリティを高めることができ、許可された組織外にメディアが流出した際には不正な情報漏洩を防ぐことが可能となる。
101 メディア
103 サーバ
500a 登録用サーバ要求パケット
500b 復号用サーバ要求パケット
503 メディアID
504 セッション鍵
505 組織ID
600a 登録用サーバ応答パケット
600b 復号用サーバ応答パケット
605 メディア登録鍵
701 暗号鍵
702 既存のファイル
703 暗号化ファイル
704 暗号化済み暗号鍵
705 鍵ファイル
103 サーバ
500a 登録用サーバ要求パケット
500b 復号用サーバ要求パケット
503 メディアID
504 セッション鍵
505 組織ID
600a 登録用サーバ応答パケット
600b 復号用サーバ応答パケット
605 メディア登録鍵
701 暗号鍵
702 既存のファイル
703 暗号化ファイル
704 暗号化済み暗号鍵
705 鍵ファイル
Claims (1)
- 可搬メディアを着脱自在のクライアントコンピュータと、サーバとが通信自在に接続された可搬メディア取り扱い通信システムであって、
前記クライアントコンピュータは、
許可された組織毎に付与され、クライアントコンピュータに予め格納される組織IDによって、セッション鍵を含む登録用サーバ要求パケットを暗号化して前記サーバに送る機能と、
前記サーバで生成されたメディアIDとメディア登録鍵とを含み、前記セッション鍵によって暗号化された登録用サーバ応答パケットを前記サーバから受信する機能と、
暗号鍵を作成し、前記暗号鍵によって前記可搬メディア内にある既存のファイルを暗号化ファイルにする機能と、
前記暗号鍵を前記組織IDと前記メディア登録鍵とを連結した値で暗号化し、暗号化済み暗号鍵を作成する機能と、
前記暗号化済み暗号鍵と前記メディアIDとを鍵ファイルに収納し、前記鍵ファイルを前記可搬メディア内に格納する機能と、
前記暗号化ファイルの復号時には、前記可搬メディア内に格納される前記鍵ファイルから前記メディアIDを読み込む機能と、
読み込んだ前記メディアIDとセッション鍵を含む復号用サーバ要求パケットを前記サーバに送信する機能と、
前記サーバからメディア登録鍵を含む復号用サーバ応答パケットを受信すると、前記可搬メディアから暗号化済み暗号鍵を読み込み、前記組織IDと前記メディア登録鍵とを連結した値で暗号化済み暗号鍵を復号し、前記暗号鍵を取得する機能と、
前記暗号鍵によって前記暗号化ファイルの復号を行う機能とを備え
前記サーバは、前記登録用サーバ要求パケットを受信すると、メディアIDとメディア登録鍵を生成する機能と、
前記メディアIDとメディア登録鍵とを含む登録用サーバ応答パケットを、前記セッション鍵によって暗号化してクライアントコンピュータに送る機能と、
前記クライアントコンピュータから前記復号用サーバ要求パケットを受信すると、前記サーバが備えるメディアIDデータベースから該当するメディアIDのメディア登録鍵を検索する機能と、
検索されたメディア登録鍵を復号用サーバ応答パケットに格納した上、前記セッション鍵で暗号化して前記クライアントコンピュータに送信する機能とを備えることを特徴とする可搬メディア取り扱い通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006181950A JP4365389B2 (ja) | 2006-06-30 | 2006-06-30 | 可搬メディア取り扱い通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006181950A JP4365389B2 (ja) | 2006-06-30 | 2006-06-30 | 可搬メディア取り扱い通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008011386A JP2008011386A (ja) | 2008-01-17 |
| JP4365389B2 true JP4365389B2 (ja) | 2009-11-18 |
Family
ID=39069149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006181950A Active JP4365389B2 (ja) | 2006-06-30 | 2006-06-30 | 可搬メディア取り扱い通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4365389B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100981419B1 (ko) * | 2008-01-31 | 2010-09-10 | 주식회사 팬택 | 디지털 권한 관리를 위한 사용자 도메인 가입방법 및 그정보 교환 방법 |
| JP7143088B2 (ja) | 2018-03-01 | 2022-09-28 | Sky株式会社 | ファイル暗号化システム及びファイル暗号化プログラム |
-
2006
- 2006-06-30 JP JP2006181950A patent/JP4365389B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008011386A (ja) | 2008-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1307819C (zh) | 安全分配公开/秘密密钥对的方法和装置 | |
| KR101522445B1 (ko) | 기밀 파일을 보호하기 위한 클라이언트 컴퓨터, 및 그 서버 컴퓨터, 및 그 방법 및 컴퓨터 프로그램 | |
| CN1967558B (zh) | 图像处理系统,信息处理设备,以及信息处理方法 | |
| CN104662870A (zh) | 数据安全管理系统 | |
| JP2005033778A (ja) | 携帯式安全情報アクセスシステム及びその方法 | |
| JP2009060384A (ja) | 画像通信システムおよび画像通信装置 | |
| JP2006228139A (ja) | セキュリティ管理システム | |
| JP4684714B2 (ja) | ファイル管理システム、及びプログラム | |
| JP4365389B2 (ja) | 可搬メディア取り扱い通信システム | |
| KR101485968B1 (ko) | 암호화된 파일 접근 방법 | |
| JP2012234439A (ja) | 画像処理装置、そのデータ管理方法及びプログラム | |
| JP2006244420A (ja) | 識別情報生成管理装置およびシステムならびにプログラム | |
| JP2005198336A (ja) | 情報管理システム及び情報管理方法 | |
| US20150006881A1 (en) | Securing an Encryption Key of a User Device While Preserving Simplified User Experience | |
| JP5494171B2 (ja) | ファイル管理システム、ストレージサーバ、クライアント、ファイル管理方法およびプログラム | |
| JP3833635B2 (ja) | 情報管理システム、キー配信サーバ、情報管理方法、及びプログラム | |
| JP4679934B2 (ja) | 識別情報生成管理装置およびシステムならびにプログラム | |
| WO2019216847A2 (en) | A sim-based data security system | |
| JP6919484B2 (ja) | 暗号通信方法、暗号通信システム、鍵発行装置、プログラム | |
| KR100382880B1 (ko) | 일회성 암호화 방식을 이용한 인증 시스템 및 방법 | |
| WO2009153974A1 (ja) | データ管理システム、データ管理方法、およびコンピュータプログラム | |
| JP2008035449A (ja) | 自己復号ファイルによるデータ配布方法および該方法を用いた情報処理システム | |
| JP5158625B2 (ja) | 秘密idを格納した外部デバイスを備える暗号化メール送受信システム | |
| JP2008147946A (ja) | 認証方法、認証システム、及び外部記憶媒体 | |
| JP7000961B2 (ja) | ファイル操作管理システムおよびファイル操作管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090120 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090603 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090818 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090820 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120828 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4365389 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150828 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |