JP6125196B2 - ネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体 - Google Patents

ネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体 Download PDF

Info

Publication number
JP6125196B2
JP6125196B2 JP2012240862A JP2012240862A JP6125196B2 JP 6125196 B2 JP6125196 B2 JP 6125196B2 JP 2012240862 A JP2012240862 A JP 2012240862A JP 2012240862 A JP2012240862 A JP 2012240862A JP 6125196 B2 JP6125196 B2 JP 6125196B2
Authority
JP
Japan
Prior art keywords
electronic data
server
network
communication protocol
network system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012240862A
Other languages
English (en)
Other versions
JP2014092801A (ja
Inventor
幸市郎 小路
幸市郎 小路
智幸 川出
智幸 川出
宜子 井上
宜子 井上
友治 ▲すけ▼川
友治 ▲すけ▼川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Science Park Corp
Original Assignee
Science Park Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Science Park Corp filed Critical Science Park Corp
Priority to JP2012240862A priority Critical patent/JP6125196B2/ja
Publication of JP2014092801A publication Critical patent/JP2014092801A/ja
Application granted granted Critical
Publication of JP6125196B2 publication Critical patent/JP6125196B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワーク上の記録媒体に保存される電子データを暗号化して保存するためのネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体に関する。具体的には、ネットワーク・クラウド・サービスに利用される電子データを暗号化して保存するためのネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体に関する。
近年は、ユーザの電子データをネットワーク上のデータベースやストレージ等に保存するシステム、いわゆるクラウドシステムが普及している。クラウドシステムの例としては、ウェブメールサービスが広く普及しており、その他、ネットワークストレージに写真、動画、文書ファイル等の電子データを保存するネットワークストレージサービス、ネットワークストレージサービスを利用して複数のユーザでファイルを共有して閲覧、編集するファイル共有サービスも普及している。
また、近年は、ソーシャル・ネットワーク・サービスが世界中に人気があり、ソーシャル・ネットワーク・サービスに参加しているユーザの個人データやユーザデータ等の電子データはネットワーク上のストレージに格納されている。電子計算機と、ネットワーク上のサーバとの間のデータ通信は、通信データを暗号化して送受信している。電子計算機では、電子データが所定の通信プロトコルに従って、暗号化されてサーバへ送信される。サーバでは、この暗号化された電子データを、復号化して、記録装置に保存している。結果的に、電子データは、ネットワーク上の記録装置には、暗号化されずに記録されている。
例えば、Google Apps等のクラウドサービスを利用したウェブベースシステムでは、ユーザ端末とクラウド端末との間の通信は、SSL(Secure Socket Layer)通信によってネットワーク通信路のデータが暗号化されており、そのセキュリティは確保され、電子データは保護されている。このセキュリティが確保されたデータは、クラウド端末に到達すると、復号化されて、ストレージに格納される。言い換えると、クラウドサーバの記憶装置に保存する際には、サーバ側のSSLを通過することで、暗号化されていない元の電子データ、いわゆる平文データとなる。
この中で、電子データのセキュリティを目的とする電子データ管理システム等が多数開示されている。例えば、特許文献1には、クライアントのファイルを暗号化してウェブファイルサーバに送信するための、電子ファイル管理システムが開示されている。ファイルをウェブファイルサーバに格納した段階でもファイル自身を暗号化している。クライアントは、既存の標準ウェブブラウザ機能に加えて、暗号フィルタ処理部とリダイレクトドライバを追加した構成になっている。
クライアントは、標準のウェブブラウザによるウェブファイルサーバ等のサーバ又は他のクライアントとの間で、平文ファイルをTCP/IPによるHTTP通信を可能にし、ファイルを暗号化し、ウェブファイルサーバのデータベースに保存している。クライアントによる電子ファイルの管理・利用およびクライアントがアクセス権を許可した第三者のみが暗号化した電子ファイルを解読、利用できるようにしている。
また、特許文献2は、オンラインサービス事業者に対する機密情報の秘匿と、このオンラインサービスを利用する組織が負担するシステム運用コストの低減とを両立するデータ保護システムを開示している。このシステムは、クライアント端末のブラウザが、オンラインサービスサーバへデータを送信する際に、その組織内のネットワークを介して、鍵管理サーバから暗号スクリプトと暗号鍵を取得し、暗号スクリプトを実行して入力データの暗号化済データを取得し、その取得した暗号化済データをオンラインサービスサーバへ送信し、オンラインサービスサーバから受信したデータ表示画面を描画する際に、鍵管理サーバから復号スクリプトと暗号鍵を取得し、復号スクリプトを実行して表示データの復号済データを取得し、その手段により取得した復号済データを使用してデータ表示画面を描画する手段を備えている。
特開2011−216034号公報 特開2010−72916号公報
しかながら、クラウドシステムは、未だに、ネットワーク上に保存した電子データのセキュリティが不十分なことが指摘されている。特に、サーバやデータベースの管理を行っている事業者や管理者等による不正行為やシステム不具合によるデータ流出等への対策が不十分である。上述のクラウドサービスは、普及し始めているとは言え、ユーザ側からみると安心して利用できる環境が十分に備えられていない。上述の特許文献等のような従来技術は、ブラウザに特別な機能を追加したり、又は、特定のアプリケーションソフトウェアに依存してユーザデータを暗号化したりするものである。
クラウドサーバやウェブサーバ側でも、電子データの暗号化等の作業を行っている。又は、クラウドサービスでは、ユーザデータは、ネットワークストレージに暗号化されずに平文データのまま保存されている。これらの平文データは、ネットワークストレージを管理する事業者や管理者等が閲覧できる可能性もあり、ユーザ側からみると不安である。よって、上述のように、クラウドデータベース、サーバの記憶装置内の電子データの保護が課題になっている。
本発明は上述のような技術背景のもとになされたものであり、下記の目的を達成する。
本発明の目的は、クラウドサービスで利用されるユーザの電子データのセキュリティを確保するためのネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体を提供する
本発明の他の目的は、ユーザ端末上で動作するアプリケーションプログラムや、サーバ等に依存しないで、クラウドサービスで利用されるユーザデータの電子データのセキュリティを確保するためのネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体を提供する
本発明は、前記目的を達成するため、次の手段を採る。
本発明のネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体を提供する。
本発明のネットワークシステム用電子データの管理方法は、
ユーザ端末からネットワークを介してサーバに接続し、前記ユーザ端末がネットワークサービスを受けるとき、前記ネットワークサービスの電子データを管理するためのネットワークシステム用電子データの管理方法において、
前記ネットワークサービス用のネットワークサービス用アプリケーションプログラムを前記ユーザ端末上に動作させ、
プロキシサーバの機能を有し、OSI参照モデルのTransport Layer Securityとアプリケーションプログラムとの間に位置するセキュリティプログラムが暗号化手段と復号化手段を備え、
前記ネットワークサービス用アプリケーションプログラムから前記サーバに第1電子データを所定の通信プロトコルに従って送信するとき、
前記通信プロトコルの中の前記第1電子データを含む本文を、前記暗号化手段によって、暗号化し、
前記暗号化された前記第1電子データを含む前記通信プロトコルを前記サーバに送信し、
前記サーバは、前記暗号化された前記第1電子データを、前記サーバに内蔵又は接続された記憶手段に保存し、
前記ネットワークサービス用アプリケーションプログラムは、前記サーバから第2電子データを前記通信プロトコルに従って受信するとき、
前記通信プロトコルの中の前記第2電子データを含む本文が暗号化されている場合、前記第2電子データを前記復号化手段によって、復号化し、
前記復号化された前記第2電子データを前記ネットワークサービス用アプリケーションプログラムに送信する
ことを特徴とする。
本発明のネットワークシステム用電子データの管理プログラムは、
ユーザ端末からネットワークを介してサーバに接続して、前記ユーザ端末がネットワークサービスを受けるとき、前記ネットワークサービスの電子データのセキュリティを確保するためのネットワークシステム用電子データ管理プログラムであって、
前記ネットワークシステム用電子データ管理プログラムは、プロキシサーバの機能を有し、OSI参照モデルのTransport Layer Securityとアプリケーションプログラムとの間に位置し、
前記ユーザ端末上に動作する、前記ネットワークサービス用のネットワークサービス用アプリケーションプログラムから前記サーバに第1電子データを所定の通信プロトコルに従って送信するとき、
前記ネットワークシステム用電子データ管理プログラムは、
前記通信プロトコルを受信するステップ、
前記通信プロトコルを解析するステップ、
前記通信プロトコルから前記第1電子データを抽出するステップ、
前記第1電子データを暗号化して暗号化第1電子データを作成するステップ、
前記暗号化第1電子データを前記通信プロトコルに組み込ステップ、及び、
前記暗号化第1電子データを含む前記通信プロトコルを前記サーバに送信するステップ
からなり、
前記サーバから第2電子データを前記通信プロトコルに従って前記ネットワークサービス用アプリケーションプログラムに送信したとき、
前記ネットワークシステム用電子データ管理プログラムは、
該通信プロトコルを受信するステップ、
該通信プロトコルを解析するステップ、
該通信プロトコルから前記第2電子データを抽出するステップ、
前記第2電子データが暗号化されている場合、前記第2電子データを復号化して復号化第2電子データを作成するステップ、
前記復号化第2電子データを前記通信プロトコルに組み込むステップ、及び、
前記復号化第2電子データを含む前記通信プロトコルを前記ネットワークサービス用アプリケーションプログラムに送信するステップ
からなることを特徴とする。
本発明のネットワークシステム用電子データの管理プログラムの記録媒体は、上述のネットワークシステム用電子データの管理プログラムを記録したネットワークシステム用電子データの管理プログラムの記録媒体であると良い。
本発明のネットワークシステムは、
ユーザ端末と、
サーバと、
前記サーバに内蔵又は接続されている記憶手段と、及び、
前記ユーザ端末と前記サーバを接続し、データ通信をするためのネットワークとを含んで構成され、
前記ユーザ端末が前記ネットワークを介して前記サーバに接続して、前記サーバが提供するネットワークサービスを受けるネットワークシステムであって、
前記ユーザ端末から、前記サーバに、第1電子データを所定の通信プロトコルに従って送信するとき、
前記ユーザ端末に内蔵又は接続され、プロキシサーバの機能を有し、OSI参照モデルのTransport Layer Securityとアプリケーションプログラムとの間に位置するセキュリティ手段は、
前記通信プロトコルを受信する受信手段と、
前記通信プロトコルを解析する解析手段と、
前記通信プロトコルから前記第1電子データを抽出する抽出手段と、
前記第1電子データを暗号化して暗号化第1電子データを作成する暗号化手段と、
前記暗号化第1電子データを前記通信プロトコルに組み込組み込み手段と、及び、
前記暗号化第1電子データを含む前記通信プロトコルを前記サーバに送信する送信手段と、
からなり、
前記サーバは、
前記通信プロトコルを受信する手段と、
前記通信プロトコルに含まれる前記暗号化第1電子データを抽出する手段と、及び、
前記抽出された前記暗号化第1電子データを、前記記憶手段に保存する保存手段と
を有し、
前記サーバから、前記ユーザ端末に、第2電子データを所定の通信プロトコルに従って送信するとき、
前記セキュリティ手段は、
前記通信プロトコルを受信する受信手段と、
前記通信プロトコルを解析する解析手段と、
前記通信プロトコルから前記第2電子データを抽出する抽出手段と、
前記第2電子データが暗号化されている場合、前記第2電子データを復号化して復号化第2電子データを作成する復号化手段と、
前記復号化第2電子データを前記通信プロトコルに組み込む組み込み手段と、及び
前記復号化第2電子データを含む前記通信プロトコルを前記ユーザ端末に送信する送信手段
からなる
ことを特徴とする。
本発明のネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体は、次の特徴を更に有する。
前記ネットワークサービス用アプリケーションプログラムは、ウェブブラウザであると良い。
前記サーバは、ウェブサーバであると良い。
前記サーバ又は前記ネットワークサービス又は前記ウェブサーバは、前記ネットワーク・クラウド・サービスを提供するサーバであると良い。
前記ユーザ端末は、スタンドアローン電子計算機、ノートパソコン、携帯電話機、スマートフォン、ネットブック、タブレットコンピュータ、及び、シンクライアント端末の中から選択される1計算機であると良い。
更に、前記ユーザ端末は、仮想環境で稼働する仮想マシンでも良い。
本発明によると、次の効果が奏される。
本発明によると、クラウドサービスで利用されるユーザデータを暗号化して、ユーザ端末からサーバへ送信し、ユーザデータは暗号化されたままデータベースに格納されるようになり、課題のユーザデータのセキュリティが確保された。
本発明によると、ユーザ端末上で動作するウェブブラウザからウェブサーバに送信されるマークアップ言語で記述された送信データのボディ部を暗号化するので、ユーザデータは暗号化されたままデータベースに格納され、ユーザデータのセキュリティが確保された。
また、本発明によると、プロキシ機能を備えたセキュリティ手段又はセキュリティソフトウェアを利用して、ユーザデータを暗号化するので、クラウドサービスにアクセスするウェブブラウザと独立し、それに依存せず、ユーザデータもサーバにも依存しない、ウェブデータベース等に保存されるようになった。
図1は、本発明の第1の実施の形態のネットワークシステム1の概要を示す概念図である。 図2は、ユーザ端末3の構成の一例を図示しているブロック図である。 図3は、本発明の第1の実施の形態のネットワークシステム1のユーザ端末3とウェブサーバ4のデータ通信の概要図示した概念図である。 図4は、本発明の第1の実施の形態のネットワークシステム1において、コンテンツのアップロード開始から完了までの流れの例を示すフローチャートである。 図5は、本発明の第1の実施の形態のネットワークシステム1において、コンテンツのダウンロード開始から完了までの流れの例を示すフローチャートである。 図6は、ユーザ端末3とウェブサーバ4がプロキシサーバ8を介した通信の概要を示す概念図である。 図7は、ウェブブラウザ31からウェブサーバ4へのアップロード及びダウンロードを行う際、セキュリティプログラム32の処理の流れの例を示すフローチャートである。 図8は、HTTPのヘッダを解析する流れの例を示すフローチャートである。 図9は、HTTPのボディを解析する流れの例を示すフローチャートである。 図10は、SSL接続の流れの例を示すフローチャートである。 図11は、インターネット上の通常の通信において、ユーザ端末3とウェブサーバ4の通信の概要を示す概念図である。
〔第1の実施の形態〕
図1は、本発明の第1の実施の形態のネットワークシステム1の概要を示す概念図である。ネットワークシステム1は、ネットワーク2、ネットワーク2にアクセス可能なユーザ端末3、ウェブサーバ4、ウェブデータベース5等からなる。ネットワークシステム1は、ユーザデータをネットワーク2上の記憶装置又はウェブデータベース5に保存するとき、暗号化して保存するものである。
ユーザデータとは、ユーザ6が利用する電子データである。ユーザデータは特に限定しないが、テキストファイル、静止画ファイル、映像ファイル、Word, pdf等の各種のフォーマットの文書ファイル、コンピュータプログラムコードのファイル、又は実行可能なファイル(.exeファイル)等の任意の形式のファイルである。ユーザデータは、マークアップ言語の記述に変更され、ユーザ6が利用するユーザ端末3から、ネットワーク2上のウェブサーバ4に送信されてウェブデータベース5に保存される。
ネットワーク2は、公知の任意の有線又は無線の通信ネットワークであるが、ローカルエリアネットワーク(LAN)又はインターネットであることが好ましい。本実施の形態において、ネットワーク2は、インターネットとして説明する。ユーザ端末3は、ユーザ6が操作し、利用するための電子計算機である。ユーザ端末3は、入力装置、出力装置、中央処理装置、主記憶装置等を備えた汎用の電子計算機である。
図2のブロック図には、ユーザ端末3の構成の一例を図示している。ユーザ端末3は、図2に図示したように、電子計算機本体100、それに内蔵された主記憶装置101、中央処理ユニット(CPU)102、入力インターフェース103、出力インターフェース104、及び、入力装置105、出力装置106等を備える。また、ユーザ端末3は、補助記憶装置109、補助記憶装置109用の補助記憶装置用インターフェース108も備える。更に、ユーザ端末3は、ネットワークインターフェース110と、ネットワークカード111も備える。
主記憶装置101、CPU102、入力インターフェース103、出力インターフェース104は、バス107で互いに接続されて、このバス108を経由して、互いにデータの送受信を行う。主記憶装置101は、RAM等の記憶装置である。CPU102は、ユーザ端末3の動作を制御するもので、主記憶装置101に格納されたプログラムによって、そのプログラムの命令を順序処理し実行しながら、ユーザ端末3の動作を制御する。マウス、キーボード等の入力装置105は、入力インターフェース103に接続される。
ユーザ端末3は、ハードディスクドライブ等の補助記憶装置109を有する。補助記憶装置109には、アプリケーションプログラムやユーザデータ等が格納される。補助記憶装置109は、本例では、電子計算機本体100に内蔵されているが、入力装置105や出力装置106のように外付けの記憶装置であることができる。ユーザ端末3に接続されるアプリケーションプログラムやユーザのデータ等が格納される。
ユーザ端末3において、オペレーティングシステムは、通常、補助記憶装置109から呼び出されて、主記憶装置101に展開されて、CPU102によって処理されることで動作する。また、ウェブブラウザ等のアプリケーションプログラムも、通常、補助記憶装置109から呼び出されて、主記憶装置101に展開されて、動作する。ネットワークカード111は、ユーザ端末3を他の電子計算機、ネットワーク2、ネットワーク2に接続するための装置に接続するためのデバイスである。ネットワークカード111は、有線のLANに接続するためのLANカードである。
また、ネットワークカード111は、図1に図示したように、ワイヤレスゲートウェイ7のような無線装置、無線LANアクセスポイント等に接続するための無線LANカードであることができる。更に、ユーザ端末3は、ネットワークインターフェース110とネットワークカード111のように、通信用のボード等の他の装置に接続するための他のインターフェースを多数備える。そのインターフェースの種類や動作は、本発明の趣旨ではないので、詳細の説明は省略する。
図1に図示したウェブサーバ4は、ウェブデータベース5を格納した汎用サーバである。ウェブデータベース5は、ユーザ6が利用するユーザデータを格納し、保存するためのデータベースである。ウェブデータベース5はウェブサーバ4が提供するクラウドサービスの場合は、クラウドデータベースとも言うことができる。本実施の形態においては、ウェブデータベース5は、クラウドデータベースを含め、ユーザデータを含むものであれば任意のデータベースを意味する。
ユーザ端末3は、ネットワーク2に直接接続されることが可能であるが、ワイヤレスゲートウェイ7、プロキシサーバ8、ルータ9等を介して接続されることが一般的である。本実施の形態においては、ユーザ端末3がネットワーク2に接続されることが発明の趣旨ではないので、詳細な説明は省略する。ユーザ端末3は、スマートフォン10等の携帯端末であることもできる。ユーザ端末3は、スマートフォン10等のネットワーク2にアクセスする機能を持つ携帯端末を含むものとする。
従来は、ユーザ端末3とウェブサーバ4とのデータ通信は、通信データを暗号化して互いに送受信している。ユーザ端末3では、ユーザデータが所定の通信プロトコルに従って、暗号化されてウェブサーバ4へ送信される。ウェブサーバ4では、この暗号化されたユーザデータを、復号化して、ウェブデータベース5に保存している。結果的に、ユーザデータは、ネットワーク2上のウェブデータベース5には、暗号化されずに記録される。
本発明は、ユーザ端末3から送信されたユーザデータを暗号化して、ウェブデータベース5に保存する機能を提供するものである。クラウドサービスとしては、テキスト、画像等のデータをHTML等の特定のフォーマットに変換して提供するサービスや、HTML等の特定のフォーマットで記述されたデータを提供する単なるウェブサービスと違い、ユーザデータをネットワークストレージに保存するものである。ネットワークストレージは、ウェブデータベース5等のウェブサーバ4からアクセス可能な記録装置である。
ユーザ6の操作に応答し、ユーザ端末3は、ウェブサーバ4を介して、ウェブデータベース5にアクセスして、ユーザデータを閲覧、編集、ダウンロード、及び削除することができる。また、同じく、ユーザ6は、新規のユーザデータを、ウェブデータベース5にアップロードして保存することができる。このようなクラウドサービスの例としては、現在広く普及し始めているウェブメールサービス、ウェブストレージサービス、ファイル共有サービス等が例示できるが、クラウドサービスはこれらに限定されない。
更に、クラウドサービスの例としては、ソーシャルネットワーク、そのユーザのデータも含むことができる。
図3は、ネットワークシステム1のユーザ端末3とウェブサーバ4のデータ通信の概要図示した概念図である。ユーザ6は、ウェブサーバ4から提供されるクラウドサービスを受ける。ユーザ6は、ユーザ端末3を利用してこのクラウドサービスを受ける。まず、ユーザ6は、ユーザ端末3上にクラウドサービス用のアプリケーションプログラムを起動させる。
このようなアプリケーションプログラムとしては、限定されないが、ウェブブラウザが最適である。無論、同じ通信機能を有するものであれば、ウェブブラウザ以外のアプリケーションソフトでも構わない。本実施の形態では、図3に図示したように、ウェブブラウザ31として説明する。ユーザ6の操作により、ユーザ端末3はウェブブラウザ31を起動させる。ウェブブラウザ31が起動すると、ユーザは、ウェブサーバ4のクラウドサービスのURLアドレス又はIPアドレスを入れて、ウェブサーバ4から提供されるサービスにアクセスする。
クラウドサービスのログイン画面がユーザ端末3の画面上に表示されると、そこに適当なユーザ名とパスワードを入れてログインする。ウェブブラウザ31とウェブサーバ4の間の通信は、所定の通信プロトコルに従って行われる。通信プロトコルは、クラウドサービスに利用できるものであれば、既知の任意の通信プロトコルが利用できる。通信プロトコルは、通信するレイヤによって、また、用途によって、様々なプロトコルが利用されている。
国際標準化機構(ISO)によって策定されたOSI参照モデル(Open Systems Interconnection reference model)は、電子計算機や通信機器の通信機能を7つの階層構造に分割して定義したモデルで、現在もっとも普及している。この7階層は、次の表1に示す通り、物理デバイスに近い階層からアプリケーションプログラムの階層まで、物理層、データリンク層、ネットワーク層、トランスポート層、セッション層、プレゼンテーション層、及びアプリケーション層になっている。
表1には、通信プロトコルの代表的なものを、OSI(Open Systems Interconnection)参照モデルの7階層それぞれに例示している。OSI参照モデルは、国際標準化機構によって策定されたもので、電子計算機の通信機能を階層構造に分割したモデルである。
Figure 0006125196
本実施の形態においては、限定されないが、このOSI参照モデルに採用された通信プロトコルを利用する。しかし、本発明は、通信プロトコル自体の発明ではないので、OSI参照モデルの7階層の通信プロトコル全てについて記述せず、特に、本発明の実施に必要なものだけについて説明する。図3に図示したTLS(Transport Layer Security)33は、セキュリティが要求される通信に利用されるプロトコルである。TLS33は、その前身のセキュリティ通信用のプロトコルであるSSL(Secure Socket Layer)と呼ばれることがある。
TLS33は、コネクション型のトランスポート層プロトコルの上位に位置し、通常はトランスポート層プロトコルのTCPをラッピングする形で利用される。TLS33は、特にアプリケーション層プロトコルのHTTP(HyperText Transfer Protocol)での利用を意識して設計されている。HTTPは、ウェブブラウザ31とウェブサーバ4の間でHTML等のコンテンツの送受信に用いられる通信プロトコルである。TLS33は、アプリケーション層の特定のプロトコルには依存しない特徴を持つ。
本実施の形態では、特に区別しない限り、TLS33は、SSLを含む。TLS33は、インターネットで広く使われているWWWやFTP等のユーザデータを暗号化し、プライバシーに関わる情報、クレジットカード番号、企業秘密等に係るデータを、ユーザ端末3とウェブサーバ4の間に安全に送受信することができる。TLS33は、公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数等のセキュリティ技術を組み合わせ、データの盗聴、改ざん、なりすまし等を防ぐことができる。
TLS33は、セッション層とトランスポート層の境界で動作し、HTTPやFTP等の上位のプロトコルを利用するアプリケーションソフトウェアから、特に意識することなく透過的に利用することができる。図3に図示したウェブブラウザ31、サーバプログラム41は、アプリケーション層で動作する。TLS33、TLS43は、TLSプロトコルであり、ウェブブラウザ31とウェブサーバ4との間のセキュリティ通信を提供する。図3に図示したネットワーク層34とネットワーク層44は、OSI参照モデルのネットワーク層である。
本発明は、ユーザ端末3のウェブブラウザ31とTLS33の間に位置し、ユーザデータを暗号化し、暗号化されたユーザデータを復号化するためのセキュリティプログラム32を提供する。セキュリティプログラム32は、ウェブサーバ4に送信されるユーザデータ(クラウドデータ)を自動的に暗号化し、ウェブサーバ4から送信されてきた暗号化されたユーザデータを自動的に復号化する。セキュリティプログラム32は、ウェブブラウザ31とウェブサーバ4間で通信するHTTPプロトコル又はHTTPSプロトコルのデータを解析する機能を持つ。
具体的に、セキュリティプログラム32は、HTTP又はHTTPSのヘッダの内容及びボディの内容を解析し、アップロード及びダウンロードするユーザデータのみの暗号化又は復号化をそれぞれ行う。言い換えると、セキュリティプログラム32は、HTTP又はHTTPSのヘッダ及びボディを解析し、その本文のユーザデータを暗号化又は復号化する。
図4は、ネットワークシステム1において、コンテンツのアップロード開始から完了までの流れの例を示すフローチャートである。ウェブブラウザ31は、HTTPプロトコルを利用して、アップロード要求であるPOST要求を、ウェブサーバ4に対して行う。ウェブブラウザ31から送信されたPOST要求は、通常、要約すると、ネットワーク層43とネットワーク層44を介して、ウェブサーバ4に送信される。しかし、本実施の形態において、セキュリティプログラム32は、このPOST要求を受け取り、POST要求の内容を分析する。
そして、セキュリティプログラム32は分析後、HTTPのボディ内のユーザデータを暗号化する。その後、POST要求はウェブサーバ4へ送信される。ウェブサーバ4において、POST要求は、通常通り処理され、返事がウェブブラウザ31へ送信される。この返事を示すアップロード完了の通知がウェブサーバ4から、ウェブブラウザ31へ送信される。セキュリティプログラム32がこのアップロード完了の通知を受信して、その内容を解析し、本文が暗号化されている場合、その暗号化された本文を復号化する。
通常は、アップロード要求に対するウェブサーバ4の返事は、本文にユーザデータがなく、要求を承認する等のような、ネットワーク層34のプロトコルやHTTPプロトコル上の決まったやり取りが行われている。そのため、一般的には、セキュリティプログラム32はHTTPのボディの本文を復号化する必要がない。ウェブブラウザ31は、セキュリティを要する通信の場合、上述のPOST要求で、ウェブサーバ4と接続された後、セキュリティ通信を提供するHTTPSプロトコルで、通信し始める。
そのとき、ウェブブラウザ31は、セキュリティ通信の要求をするためのCONNECT要求を発行して、ウェブサーバ4へ送信する。セキュリティプログラム32は、このウェブブラウザ31から発行されたCONNECT要求を受信して、内容を解析する。そして、セキュリティプログラム32は、ウェブサーバ4との間で、SSL認証を行う。この認証が成功すると、セキュリティプログラム32は、ウェブブラウザ31にSSL通信が可能である旨の通知をする。
この認証が成功しない場合、セキュリティプログラム32は、ウェブブラウザ31にSSL通信が不可である旨の通知をする。ウェブブラウザ31はこの不可の通知を受け取った場合は、セキュリティ通信を停止させ、画面にメッセージする等してユーザ6に通知する。ウェブブラウザ31にSSL通信が可能である旨の通知を受信すると、ユーザデータをアップロードするためにPOST要求を発行して、サーバ4へ送信する。セキュリティプログラム32は、このPOST要求を受信して、その内容を解析する。
そして、セキュリティプログラム32は、POST要求のHTTPの本文を暗号化する。セキュリティプログラム32は、本文が暗号化されたPOST要求を、ウェブサーバ4へ送信する。ウェブサーバ4は、このPOST要求に指定された処理をして、その処理結果のアップロード完了通知をウェブブラウザ31へ送信する。セキュリティプログラム32がこのアップロード完了の通知を受信して、その内容を解析し、本文が暗号化されている場合、その暗号化された本文を復号化する。
セキュリティプログラム32は、このアップロード完了の通知をウェブブラウザ31へ送信する。ウェブブラウザ31は、このアップロード完了の通知を受信して、一連のアップロードの動作が完了する。
図5は、コンテンツのダウンロード開始から完了までの流れの例を示すフローチャートである。ウェブブラウザ31は、HTTPプロトコルを利用して、ダウンロードを要求するためのGET要求を、ウェブサーバ4に対して行う。
ウェブブラウザ31から送信されたGET要求は、通常、ネットワーク層43とネットワーク層44を介して、ウェブサーバ4に送信される。しかし、本実施の形態において、セキュリティプログラム32は、このGET要求を受け取り、GET要求の内容を分析する。そして、セキュリティプログラム32は分析後、HTTPのボディのユーザデータを暗号化する。その後、POST要求はウェブサーバ4へ送信される。ウェブサーバ4においては、GET要求は通常通り処理され、応答がウェブブラウザ31へ送信される。
この応答を示すダウンロード完了の通知がウェブサーバ4から、ウェブブラウザ31へ送信される。セキュリティプログラム32がこのダウンロード完了の通知を受信して、その内容を解析し、本文が暗号化されている場合、その暗号化された本文を復号化する。通常は、アップロード要求に対するウェブサーバ4の応答は、本文にユーザデータなく、要求を承認等のような、ネットワーク層34のプロトコルやHTTPプロトコル上の決まったやり取りが行われている。
そのため、セキュリティプログラム32はHTTPの本文を復号化する必要がない。ウェブブラウザ31は、セキュリティを要する通信の場合、上述のGET要求で、ウェブサーバ4と接続した後、セキュリティ通信を提供するHTTPSプロトコルで、通信し始める。そのとき、ウェブブラウザ31は、セキュリティ通信を要求するCONNECT要求を、ウェブサーバ4へ発行して送信する。セキュリティプログラム32は、このウェブブラウザ31から発行されたCONNECT要求を受信して、内容を解析する。
そして、セキュリティプログラム32は、ウェブサーバ4との間で、SSL認証を行う。この認証が成功すると、セキュリティプログラム32は、ウェブブラウザ31にSSL通信が可能である旨の通知をする。この認証が成功しない場合、セキュリティプログラム32は、ウェブブラウザ31にSSL通信が不可である旨の通知をする。ウェブブラウザ31はこの不可の通知を受け取った場合は、セキュリティ通信を停止させ、画面にメッセージする等してユーザ6に通知する。
ウェブブラウザ31にSSL通信が可能である旨の通知を受信すると、ユーザデータをダウンロードするためにGET要求を発行して、サーバ4へ送信する。セキュリティプログラム32は、このGET要求を受信して、その内容を解析する。そして、セキュリティプログラム32は、GET要求のHTTPの本文を暗号化する。セキュリティプログラム32は、本文が暗号化されたGET要求を、ウェブサーバ4へ送信する。ウェブサーバ4は、このGET要求に指定された処理をする。
このとき、ウェブサーバ4は、ウェブデータベース5から指定されたユーザデータを検索し、検索結果のユーザデータを含むHTTPをウェブブラウザ4へ送信する。セキュリティプログラム32は、HTTPの内容分析し、そのボディにあるユーザデータが暗号化されている場合は、復号化し、ウェブブラウザ31へ送信する。ウェブブラウザ31は、要求されたユーザデータを全て受信し終わると、ウェブサーバ4は、ダウンロード完了通知をウェブブラウザ31へ送信する。
セキュリティプログラム32がこのダウンロード完了の通知を受信して、その内容を解析し、本文が暗号化されている場合、その暗号化された本文を復号化する。セキュリティプログラム32は、このダウンロード完了の通知をウェブブラウザ31へ送信する。ウェブブラウザ31は、このダウンロード完了の通知を受信して、一連のダウンロードの動作が完了する。
〔プロキシサーバとしての機能〕
通常のHTTP/HTTPSの通信は、ウェブクライアントのウェブブラウザ31からウェブサーバ4へリクエストを送信することを、「HTTPリクエスト」と定義し、ウェブサーバ4からウェブクライアントのウェブブラウザ31にレスポンスを返すことを「HTTPレスポンス」と定義する。セキュリティプログラム32では、ウェブクライアント側でプロキシサーバとして動作するように位置し、「HTTPリクエスト」及び「HTTPレスポンス」の監視を行う。
インターネット上の通常の通信は、図11に図示したように、ユーザ端末3はHTTPリクエストを発行し、ウェブサーバ4へ送信し、ウェブサーバ4はこのHTTPリクエストを処理して、その結果を示すHTTPレスポンスをユーザ端末3へ送信する。プロキシサーバを介した通信は、図6に図示したように、ユーザ端末3とウェブサーバ4の間に、プロキシサーバ8が介在する。この場合、ユーザ端末3はHTTPリクエストを発行し、ウェブサーバ4又はプロキシサーバ8へ送信するが、このHTTPリクエストをプロキシサーバ8が受信する。
プロキシサーバ8は、このHTTPリクエストを、プロキシサーバ8からウェブサーバ4へのHTTPリクエストに書き換えして、ウェブサーバ4へ送信する。ウェブサーバ4は、プロキシサーバ8が発行したこのHTTPリクエストを処理して、その結果を示すHTTPレスポンスを、プロキシサーバ8へ送信する。プロキシサーバ8は、ウェブサーバ4が発行したこのHTTPレスポンスを受信する。プロキシサーバ8は、このHTTPレスポンスを、プロキシサーバ8からユーザ端末3へのHTTPレスポンスに書き換えして、ユーザ端末34へ送信する。
セキュリティプログラム32は、プロキシサーバの上で動作する。すなわち、セキュリティプログラム32は、HTTPSの通信に用いられるウェブクライアント及びウェブサーバ4の証明書を使用しHTTPリクエスト及びHTTPレスポンスのデータを書き換えることで、HTTPリクエスト及びHTTPレスポンスのボディ内のユーザデータの暗号化又は復号化を行う。以下、このセキュリティプログラムの動作を具体的に説明する。
図6は、セキュリティプログラム32がプロキシサーバ8として機能する概要を示すブロック図である。
プロキシサーバ8はユーザ端末3から発行されたHTTPリクエストを受信し、その内容を解析する。そして、このHTTPリクエストを、プロキシサーバ8からウェブサーバ4に対する新規のHTTPリクエストに変換して書き換える。この書き換えのとき、ユーザ端末3からのHTTPリクエストの本文が暗号化される。ウェブサーバ4は、プロキシサーバ8からのHTTPリクエストを処理し、その処理結果を示すHTTPレスポンスをプロキシサーバ8へ送信する。
プロキシサーバ8は、このHTTPレスポンスを受信して、その内容を分析する。そして、このHTTPレスポンスを、プロキシサーバ8からユーザ端末31に対する新規のHTTPレスポンスに変換して書き換える。この書き換えのとき、ウェブサーバ4からのHTTPレスポンスの本文が復号化され。図6に破線で図示したように、ユーザ端末3、言い換えるとウェブブラウザ31、からみると、ユーザ端末3はサーバ4に対してHTTPリクエストを発行し、その返事のHTTPレスポンスを受け取っている。
また、このプロキシサーバ8を介する通信は、図6に図示したように、ユーザ端末3とプロキシサーバ8間は、プロキシサーバ8が発行するプロキシサーバ証明書を用いた通信が行われる。また、プロキシサーバ8とウェブサーバ4間は、ウェブサーバ4が発行するウェブサーバ証明書を用いた通信が行われる。よって、ユーザ端末3とプロキシサーバ8間と、プロキシサーバ8とウェブサーバ4間は、別々の独立したHTTP通信になる。
セキュリティプログラム32がプロキシサーバ8として機能することで、セキュリティプログラム32は、ユーザ端末3上に動作する特定のアプリケーションプログラムに依存せず、また、特定のウェブサーバ4、クラウドサービス等に依存しない。ユーザ端末3側、ユーザ6側からみると、ユーザデータは、暗号化されてウェブサーバ4へ送信され、ウェブデータベース5に暗号化されて保存されるため、ユーザデータの漏洩に心配する必要なく、ウェブサーバ4側の管理者も、ウェブデータベース5にアクセスできる者もこのユーザデータを見ても、暗号化されているので、意味がわからず、データセキュリティが確保できる。
〔HTTP/HTTPSのヘッダとボディの構造〕
以下、HTTP/HTTPSの本文を暗号化する具体的な例を示す。ウェブブラウザ31から、ネットワーク2上のファイルストレージサービスを提供するアップロードサイト(http://firestorage.co.jpの例)に、テキストファイルを「text.txt」をアップロードした際の、HTTPの例を以下に示す。次の表2に示すように、HTTPのデータは、基本的に、「HTTPリクエスト行」、「HTTPヘッダ行」、「HTTPボディ」、「HTTPフッタ」から構成される。
ユーザデータのテキスト部分は、「text.txt」ファイルの「TEST TEST」部分になっている。HTTPプロトコルは、「text.txt」ファイルの内容の「TEST TEST」のバイナリをBlowfish暗号方式で、暗号・復号を行う。また、表2の中で、「[\r\n]」のコードは、改行コードを示し、空白行になる。
Figure 0006125196
HTTP/HTTPSの通信に用いられる各種の命令や関数は、関連の仕様書を参考することで容易に把握することができるが、ここで、特に関連性のある命令、関数について説明する。次の表3は、「HTTPリクエスト行」に用いられる主な命令と関数を示している。
Figure 0006125196
次の表4は、リクエストヘッダフィールド構造に用いられる主な命令と関数を示している。
Figure 0006125196
〔HTTP/HTTPSプロトコルの解析〕
図7は、ウェブブラウザ31からウェブサーバ4へのアップロード及びダウンロードを行う際、セキュリティプログラム32の処理の流れを示す図である。当該図7を用いて、当該セキュリティプログラム32の処理の流れを以下に説明する。ウェブブラウザ31からHTTPリクエストが発行されると、それをセキュリティプログラム32が受信する(ステップ100)。セキュリティプログラム32は、HTTPリクエストの内容を分析し、通信の種類を判定する(ステップ101)。
CONNECTの場合、セキュリティプログラム32は、ウェブサーバ4へSSL通信の接続要求を出し、SSL認証をして、ハンドシェイクする(ステップ102)。言い換えると、HTTPリクエストにCONNECTが付加される場合は、HTTPSプロトコルを用いたセキュリティのSSL通信になる。その後、HTTPヘッダの解析を行う(ステップ103)。POST要求又はGET要求の場合、HTTPヘッダの解析を行う(ステップ103)。
HTTPリクエストがPOST要求の場合、主にアップロードに関連する通信になる。HTTPリクエストにGET要求が付加されている場合は、主にダウンロードに関連する通信になる。HTTPヘッダの解析で、対象のHTTPである否かを判定する(ステップ104)。対象外のHTTPの場合、セキュリティプログラム32は、そのHTTPプロトコルをウェブサーバ4に送信する(ステップ108)。対象のHTTPの場合、セキュリティプログラム32は、そのHTTPのボディを解析する(ステップ105)。
セキュリティプログラム32は、HTTPプロトコルからボディ部を判別し、HTTPのボディの暗号化する(ステップ107)。その後、セキュリティプログラム32は、そのHTTPプロトコルをウェブサーバ4に送信する(ステップ108)。ステップ106で、HTTPプロトコルが対象外のリクエストの場合は、セキュリティプログラム32はHTTPプロトコルをウェブサーバ4に送信する(ステップ108)。
図8は、図7のステップ103における、HTTPヘッダを解析する流れの例を示すフローチャートである。セキュリティプログラム32は、図7のステップ103に示したように、HTTPプロトコルからHTTPヘッダの内容を取得する(ステップ120)。HTTPヘッダの”Content-Type”と”CONTENT-Length”の行を分析する(ステップ121)。セキュリティプログラム32は、”CONTENT-Length”の内容を確認し、それが”0”であるか否かを確認する(ステップ122)。
“0”の場合は、HTTPヘッダの解析を終了させる(ステップ122→終了)。“0”ではない場合は、”Content-Type”の内容からboundary情報を取得する(ステップ123)。boundary情報は、HTTPの本文に複数の種類データある場合、その境を示すデータである。そして、boundary情報を保存して、HTTPヘッダの解析を終了させる(ステップ123→終了)。
図9は、HTTPボディを解析する流れの例を示すフローチャートである。この例のHTTPボディの解析は、図7のフローチャートのステップ105〜107である。セキュリティプログラム32は、図8に例示したHTTPヘッダ解析で取得したboundary情報から、ファイル名を検索する(ステップ130)。上述の表2の例では、ファイル名は、” test.txt”である。このファイル名の検索で、ファイル名が見つからない場合、検索結果が「NULL」を返し、HTTPボディの解析を終了する(ステップ131→終了)。
このファイル名の検索で、ファイル名が見つかった場合、検索結果が「NULL」ではなくなる。そして、セキュリティプログラム32は、ファイル名を取得し、次の改行コード検索する(ステップ132)。そして、セキュリティプログラム32は、HTTPのボディをBlowfish形式で暗号化する。表2の例で、HTTPのボディは、「TEST TEST」になっており、この部分を、暗号化する(ステップ133)。HTTPがウェブサーバ4からの場合は、このHTTPのボディが暗号されており、セキュリティプログラム32は、これを復号化する。
まとめると、POST要求の場合は、HTTPのボディを暗号化し、GET要求の場合はHTTPのボディを復号化する。そして、HTTPのボディの解析が終了する(ステップ133→終了)。図10は、SSL接続の流れの例を示すフローチャートである。このSSL接続は図7のフローチャートのステップ102である。セキュリティプログラム32はユーザ端末3とSSL接続を確立する。その後、セキュリティプログラム32は、ウェブサーバ4とSSL接続を確立する。これにより、ユーザ端末3とウェブサーバ4は、仮想的に、SSL通信できる、SSL接続が確立する。
上述のように、セキュリティプログラム32は、ユーザ端末3上に動作するアプリケーションプログラムであるが、図6に図示したようにプロキシサーバ8として機能している。図6には、プロキシサーバ8を、ユーザ端末3から独立した別の電子計算機として図示している。しかし、本発明のネットワークシステム1を実現するには、プロキシサーバ8はユーザ端末3内に動作する仮想プロキシサーバであることが好ましい。よって、セキュリティプログラム32は、ユーザ端末3内に動作するプログラムで、仮想プロキシサーバの機能を持つプログラムである。
無論、このような実装は、セキュリティプログラム32をユーザ端末3から独立したプロキシサーバとして動作することを限定しない。むしろ、セキュリティプログラム32は、ユーザ端末3から独立したプロキシサーバとして動作することも本発明の別の実施の形態となる。上述のように、ユーザ端末3としては、スタンドアローン電子計算機やノートパソコン等のような汎用の電子計算機、又は、スマートフォン10を例に説明しました。しかし、ユーザ端末3は、上述のユーザ端末3の機能を実現するものであれば、携帯電話機、ネットブック、タブレットコンピュータであることができる。更に、同じく、ユーザ端末3は、仮想環境で稼働する仮想マシン又はシンクライアント端末であることもできる。
本発明は、ウェブサーバを有しネットワークサービス提供するクラウドサービス等の分野で利用すると良い。
1…ネットワークシステム
2…ネットワーク
3…ユーザ端末
4…ウェブサーバ
5…ウェブデータベース
6…ユーザ
7…ワイヤレスゲートウェイ
8…プロキシサーバ
9…ルータ
10…スマートフォン
31…ウェブブラウザ
32…セキュリティプログラム
33,43…TLS
34…ネットワーク層
41…サーバプログラム
44…ネットワーク層
100…電子計算機本体
101…主記憶装置
102…中央処理ユニット(CPU)
103…入力インターフェース
104…出力インターフェース
105…入力装置
106…出力装置
107…バス
108…補助記憶装置用インターフェース
109…補助記憶装置
109a…ファイルシステムドライバ
110…ネットワークインターフェース
111…ネットワークカード

Claims (12)

  1. ユーザ端末からネットワークを介してサーバに接続し、前記ユーザ端末がネットワークサービスを受けるとき、前記ネットワークサービスの電子データを管理するためのネットワークシステム用電子データの管理方法において、
    前記ネットワークサービス用のネットワークサービス用アプリケーションプログラムを前記ユーザ端末上に動作させ、
    プロキシサーバの機能を有し、OSI参照モデルのTransport Layer Securityとアプリケーションプログラムとの間に位置するセキュリティプログラムが暗号化手段と復号化手段を備え、
    前記ネットワークサービス用アプリケーションプログラムから前記サーバに第1電子データを所定の通信プロトコルに従って送信するとき、
    前記通信プロトコルの中の前記第1電子データを含む本文を、前記暗号化手段によって、暗号化し、
    前記暗号化された前記第1電子データを含む前記通信プロトコルを前記サーバに送信し、
    前記サーバは、前記暗号化された前記第1電子データを、前記サーバに内蔵又は接続された記憶手段に保存し、
    前記ネットワークサービス用アプリケーションプログラムは、前記サーバから第2電子データを前記通信プロトコルに従って受信するとき、
    前記通信プロトコルの中の前記第2電子データを含む本文が暗号化されている場合、前記第2電子データを前記復号化手段によって、復号化し、
    前記復号化された前記第2電子データを前記ネットワークサービス用アプリケーションプログラムに送信する
    ことを特徴とするネットワークシステム用電子データの管理方法。
  2. 請求項1に記載のネットワークシステム用電子データの管理方法において、
    前記ネットワークサービス用アプリケーションプログラムは、ウェブブラウザであり、
    前記サーバは、ウェブサーバである
    ことを特徴とするネットワークシステム用電子データの管理方法。
  3. 請求項2に記載のネットワークシステム用電子データの管理方法において、
    前記ネットワークサービスは、ネットワーク・クラウド・サービスであり、
    前記ウェブサーバは、前記ネットワーク・クラウド・サービスを提供するサーバである
    ことを特徴とするネットワークシステム用電子データの管理方法。
  4. 請求項1乃至3の中から選択される1項に記載のネットワークシステム用電子データの管理方法において、
    前記ユーザ端末は、スタンドアローン電子計算機、ノートパソコン、携帯電話機、スマートフォン、ネットブック、タブレットコンピュータ、及び、シンクライアント端末の中から選択される1計算機である
    ことを特徴とするネットワークシステム用電子データの管理方法。
  5. ユーザ端末からネットワークを介してサーバに接続して、前記ユーザ端末がネットワークサービスを受けるとき、前記ネットワークサービスの電子データのセキュリティを確保するためのネットワークシステム用電子データ管理プログラムであって、
    前記ネットワークシステム用電子データ管理プログラムは、プロキシサーバの機能を有し、OSI参照モデルのTransport Layer Securityとアプリケーションプログラムとの間に位置し、
    前記ユーザ端末上に動作する、前記ネットワークサービス用のネットワークサービス用アプリケーションプログラムから前記サーバに第1電子データを所定の通信プロトコルに従って送信するとき、
    前記ネットワークシステム用電子データ管理プログラムは、
    前記通信プロトコルを受信するステップ、
    前記通信プロトコルを解析するステップ、
    前記通信プロトコルから前記第1電子データを抽出するステップ、
    前記第1電子データを暗号化して暗号化第1電子データを作成するステップ、
    前記暗号化第1電子データを前記通信プロトコルに組み込むステップ、及び、
    前記暗号化第1電子データを含む前記通信プロトコルを前記サーバに送信するステップ
    からなり、
    前記サーバから第2電子データを前記通信プロトコルに従って前記ネットワークサービス用アプリケーションプログラムに送信したとき、
    前記ネットワークシステム用電子データ管理プログラムは、
    該通信プロトコルを受信するステップ、
    該通信プロトコルを解析するステップ、
    該通信プロトコルから前記第2電子データを抽出するステップ、
    前記第2電子データが暗号化されている場合、前記第2電子データを復号化して復号化第2電子データを作成するステップ、
    前記復号化第2電子データを前記通信プロトコルに組み込むステップ、及び、
    前記復号化第2電子データを含む前記通信プロトコルを前記ネットワークサービス用アプリケーションプログラムに送信するステップ
    からなることを特徴とするネットワークシステム用電子データの管理プログラム。
  6. 請求項5に記載のネットワークシステム用電子データの管理プログラムにおいて、
    前記ネットワークサービス用アプリケーションプログラムは、ウェブブラウザである
    ことを特徴とするネットワークシステム用電子データの管理プログラム。
  7. 請求項5に記載のネットワークシステム用電子データの管理プログラムにおいて、
    前記ネットワークサービスは、ネットワーク・クラウド・サービスである
    ことを特徴とするネットワークシステム用電子データの管理プログラム。
  8. 請求項5に記載のネットワークシステム用電子データの管理プログラムにおいて、
    前記ユーザ端末は、スタンドアローン電子計算機、ノートパソコン、携帯電話機、スマートフォン、ネットブック、タブレットコンピュータ、及び、シンクライアント端末の中から選択される1計算機である
    ことを特徴とするネットワークシステム用電子データの管理プログラム。
  9. 請求項5乃至8の中から選択される1項に記載の前記ネットワークシステム用電子データの管理プログラムを記録したネットワークシステム用電子データの管理プログラムの記録媒体。
  10. ユーザ端末と、
    サーバと、
    前記サーバに内蔵又は接続されている記憶手段と、及び、
    前記ユーザ端末と前記サーバを接続し、データ通信をするためのネットワークとを含んで構成され、
    前記ユーザ端末が前記ネットワークを介して前記サーバに接続して、前記サーバが提供するネットワークサービスを受けるネットワークシステムであって、
    前記ユーザ端末から、前記サーバに、第1電子データを所定の通信プロトコルに従って送信するとき、
    前記ユーザ端末に内蔵又は接続され、プロキシサーバの機能を有し、OSI参照モデルのTransport Layer Securityとアプリケーションプログラムとの間に位置するセキュリティ手段は、
    前記通信プロトコルを受信する受信手段と、
    前記通信プロトコルを解析する解析手段と、
    前記通信プロトコルから前記第1電子データを抽出する抽出手段と、
    前記第1電子データを暗号化して暗号化第1電子データを作成する暗号化手段と、
    前記暗号化第1電子データを前記通信プロトコルに組み込む組み込み手段と、及び、
    前記暗号化第1電子データを含む前記通信プロトコルを前記サーバに送信する送信手段と、
    からなり、
    前記サーバは、
    前記通信プロトコルを受信する手段と、
    前記通信プロトコルに含まれる前記暗号化第1電子データを抽出する手段と、及び、
    前記抽出された前記暗号化第1電子データを、前記記憶手段に保存する保存手段と
    を有し、
    前記サーバから、前記ユーザ端末に、第2電子データを所定の通信プロトコルに従って送信するとき、
    前記セキュリティ手段は、
    前記通信プロトコルを受信する受信手段と、
    前記通信プロトコルを解析する解析手段と、
    前記通信プロトコルから前記第2電子データを抽出する抽出手段と、
    前記第2電子データが暗号化されている場合、前記第2電子データを復号化して復号化第2電子データを作成する復号化手段と、
    前記復号化第2電子データを前記通信プロトコルに組み込む組み込み手段と、及び
    前記復号化第2電子データを含む前記通信プロトコルを前記ユーザ端末に送信する送信手段
    からなる
    ことを特徴とするネットワークシステム。
  11. 請求項10に記載のネットワークシステムにおいて、
    前記ネットワークサービスは、ネットワーク・クラウド・サービスであり、
    前記サーバは、前記ネットワーク・クラウド・サービスを提供するクラウドサーバである
    ことを特徴とするネットワークシステム。
  12. 請求項10に記載のネットワークシステムにおいて、
    前記ユーザ端末は、スタンドアローン電子計算機、ノートパソコン、携帯電話機、スマートフォン、ネットブック、タブレットコンピュータ、及び、シンクライアント端末の中から選択される1計算機である
    ことを特徴とするネットワークシステム。
JP2012240862A 2012-10-31 2012-10-31 ネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体 Active JP6125196B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012240862A JP6125196B2 (ja) 2012-10-31 2012-10-31 ネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012240862A JP6125196B2 (ja) 2012-10-31 2012-10-31 ネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体

Publications (2)

Publication Number Publication Date
JP2014092801A JP2014092801A (ja) 2014-05-19
JP6125196B2 true JP6125196B2 (ja) 2017-05-10

Family

ID=50936868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012240862A Active JP6125196B2 (ja) 2012-10-31 2012-10-31 ネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体

Country Status (1)

Country Link
JP (1) JP6125196B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111125763B (zh) * 2019-12-24 2022-09-20 百度在线网络技术(北京)有限公司 隐私数据的处理方法、装置、设备和介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005309846A (ja) * 2004-04-22 2005-11-04 Web Agent:Kk データベース保護システム
JP2006004321A (ja) * 2004-06-21 2006-01-05 Base Technology Inc セキュリティシステム
JP2010072916A (ja) * 2008-09-18 2010-04-02 Hitachi Software Eng Co Ltd データ保護システム及びデータ保護方法

Also Published As

Publication number Publication date
JP2014092801A (ja) 2014-05-19

Similar Documents

Publication Publication Date Title
JP7175550B2 (ja) 鍵を有するリソースロケーター
JP6787952B2 (ja) 要求によって供給される鍵を用いたデータセキュリティ
JP6844876B2 (ja) ネットワークを介した機密データの安全なデータ取得
CA2849911C (en) Implementation of secure communications in a support system
US10313112B2 (en) Browser security module
US8438622B2 (en) Methods and apparatus for authorizing access to data
TWI362871B (en) System and method for mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server
US20130117555A1 (en) Method and system for data encryption and decryption in data transmission through the web
US20150007269A1 (en) Delegating authentication for a web service
CN102469080A (zh) 实现通行证用户安全登录应用客户端的方法和系统
US20120023158A1 (en) Method for secure transfer of multiple small messages
CN107463848B (zh) 一种面向应用的密文搜索方法、装置、代理服务器和系统
CN104506530B (zh) 一种网络数据处理方法及装置、数据发送方法及装置
US8520840B2 (en) System, method and computer product for PKI (public key infrastructure) enabled data transactions in wireless devices connected to the internet
CN108701200B (zh) 改善的存储系统
JP6623321B2 (ja) ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体
JP6125196B2 (ja) ネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体
JP4734941B2 (ja) カプセル化サーバ
EP3200420B1 (en) Providing communications security to an end-to-end communication connection
CN114244569B (zh) Ssl vpn远程访问方法、系统和计算机设备
JP6167598B2 (ja) 情報処理装置、情報処理方法、および、コンピュータ・プログラム
JP2006094019A (ja) コンピュータ・システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151006

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160810

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160823

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161024

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170307

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170405

R150 Certificate of patent or registration of utility model

Ref document number: 6125196

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250