JPH10111855A - 通信データ監査方法および装置 - Google Patents

通信データ監査方法および装置

Info

Publication number
JPH10111855A
JPH10111855A JP8264051A JP26405196A JPH10111855A JP H10111855 A JPH10111855 A JP H10111855A JP 8264051 A JP8264051 A JP 8264051A JP 26405196 A JP26405196 A JP 26405196A JP H10111855 A JPH10111855 A JP H10111855A
Authority
JP
Japan
Prior art keywords
communication data
label
computer
network
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP8264051A
Other languages
English (en)
Other versions
JP3831990B2 (ja
Inventor
Seiichi Domyo
誠一 道明
Makoto Sato
真 佐藤
Kazuo Takaragi
和夫 宝木
Akira Nanba
電 難波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP26405196A priority Critical patent/JP3831990B2/ja
Publication of JPH10111855A publication Critical patent/JPH10111855A/ja
Application granted granted Critical
Publication of JP3831990B2 publication Critical patent/JP3831990B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【課題】イントラネットのシステム管理者は、コンテン
ツをイントラネット内で流通させるにあたり、以下の課
題をもつ。 (1) 契約外コンテンツの無断流通の抑制 (2) コンテンツの無断複製行為の抑制 【解決手段】(1) 企業独自のラベルを設け、ネットワー
ク内のコンテンツ流通を制御する。 (2) コンテンツ複製の操作画面ならびに利用者の顔写真
を履歴として記録する。 (3) とくに、(1)のラベルの種類に応じ、(2)の履歴を記
録する方法や管理形態を決定する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はコンピュータネット
ワークにおける通信データの機密性を確保する技術に関
する。
【0002】
【従来の技術】インタネットおよびイントラネットの普
及にともない、いわゆるマルチメディアデータやソフト
ウエア等のプログラム(以下、コンテンツと記す)をネ
ットワークを介して流通させる上で、以下の問題点が生
じている。
【0003】(1) 不特定多数の利用者によるコンテンツ
複製 流通の末端である計算機(パーソナルコンピュータ)
で、コンテンツの複製が容易にできる。しかも、権利者
が末端のPCの状況を監視できないので、知的財産権を
主張しづらい。
【0004】(2) コンテンツの利用時に発生する課金 権利者がネットワークを介してコンテンツを送った段階
ではなく、利用者がコンテンツを使用して、初めて対価
を権利者に支払う後金方式である。しかし、問題点(1)
同様に、権利者が末端の状況を監視できないので、利用
者に課金を請求しづらい。
【0005】このような問題に対処するため、権利者
は、自らの情報を電子的なラベルとして添付したコンテ
ンツをネットワークに流通させ、利用者は、コンテンツ
の使用量に応じ、ラベルに記された権利者に対価を支払
う超流通という方式および装置が考案された。超流通
は、たとえば森亮一、河原正治、大瀧保広「超流通:知
的財産権処理のための電子技術」、情報処理学会, Vol.
37, No. 2, February, 1996で開示されている。
【0006】
【発明が解決しようとする課題】しかし、上記公知例に
は、イントラネットの設備者(企業)とシステム管理者
にとって、以下の不満足な点がある。
【0007】(1) コンテンツの無断流通を抑制できない システム管理者は、たとえば、CDーROMやDVDの
可搬媒体を用いたインストールする、あるいは、FTP
やWWW等の通信プログラムを用いてダウンロードし、
コンテンツを蓄積するサーバ装置を用意する。一般利用
者は、サーバ装置にアクセスすることで、コンテンツを
利用できる。
【0008】しかし、一般利用者が、システム管理者に
無断でコンテンツを導入し、ネットワーク内で流通させ
る可能性がある。
【0009】その際に、計画外のコンテンツの導入によ
り、ハードディスクやネットワーク等の計算機資源を浪
費し、業務を阻害するケースが発生する。あるいは、ウ
ィルスがネットワークに混入し、データ破損の経済的被
害が発生するケースもありうる。
【0010】システム管理者は、ネットワーク内で、利
用者がコンテンツを無断に流通していないことを設備者
に証明する必要がある。
【0011】(2)コンテンツの無断複製行為を抑制でき
ない 権利者と企業の間で、企業内ネットワークに接続した計
算機の使用に限り、コンテンツの複製を許すサイトライ
センス契約を結ぶ。権利者は、コンテンツの対価が企業
から確実に得られる。企業は、一括して契約を結ぶこと
で、使用料やコンテンツ管理の手間を削減できる。
【0012】しかし、一般利用者が、システム管理者や
権利者に無断でコンテンツを複製し、契約外のネットワ
ークや計算機で利用する可能性がある。その際に、不正
が発覚した場合、権利者が契約違反として企業を訴える
ケースが生ずる。
【0013】システム管理者は、ネットワーク内で、利
用者がコンテンツを無断に複製していないことを権利者
に証明する必要がある。
【0014】
【課題を解決するための手段】上記目的を達成するため
に、ラベルをもとに、計算機あるいはネットワークの範
囲で有効な機密レベルを検出し、通信データをアクセス
あるいは複製した際に、操作者の顔写真あるいは各計算
機の操作画面を履歴として記録する。
【0015】とくに、機密ラベルの検出にあたり、 (1)機密ラベルが未検出の際に、計算機の操作画面に
通信データのアクセス禁止を示す勧告メッセージを表示
する。
【0016】(2)ファイアウォール等で暗号化された
ラベルを、利用者あるいは計算機ごとに独立した暗号鍵
で復号する。
【0017】であると望ましい。
【0018】監査用装置をネットワーク上に設ける。
【0019】この監査用装置は、監査者の公開鍵を生成
し、計算機に送信する鍵生成手段と、監査者の公開鍵を
用いて暗号化した各計算機の履歴を蓄積する履歴蓄積手
段と監査者の秘密鍵で操作履歴を復号する履歴復号手段
とで構成する装置が望ましい。
【0020】監視用装置をネットワーク上に設ける。
【0021】この監視用装置は、通信データに添付され
た機密性を示すラベルと監査規則との対応表を記録する
規則設定手段と、計算機の問い合わせに応じて、対応表
を検索し、通信データに関する履歴採取の必要性の有無
を返信する機密判定手段とで構成する装置が望ましい。
【0022】また、上述したラベル制御を前提とするネ
ットワークに設置するファイアウォールは、機密レベル
の低いネットワークから受信した通信データに機密レベ
ルの属性を示すラベルを添付する手段と、機密レベルの
低いネットワークに送信する通信データから上記ラベル
を削除する手段を有することを特徴とする。
【0023】とくに、 (1)機密レベルの高いネットワークの少なくとも一つ
の計算機および少なくとも一人以上の利用者が復号でき
る暗号化鍵を保有し、通信データとラベルを結合したデ
ータを、上記暗号化鍵を用いて暗号化し、ラベルを暗号
化する。
【0024】(2)暗号化データを復号する復号鍵を所
有し、通信データとラベルが含まれる暗号データを、復
号鍵を用いて復号し、通信データとラベルとを分離する
ラベル削除し、通信データを機密レベルの低いネットワ
ークへ送る履歴を機密レベルに応じて蓄積する。
【0025】であると望ましい。
【0026】また、ラベル復号用の可搬型カードを各計
算機で利用する。
【0027】この可搬型カードには、利用者ならび機密
レベル別に独立した暗号鍵を蓄積し、ファイアウオール
で暗号化したラベルならび通信データを復号する際に用
いるのが望ましい。
【0028】
【発明の実施の形態】本発明の実施例を図面を用いてよ
り詳細に述べる。
【0029】図1は、本発明を施した、計算機における
コンテンツ監査方法の流れ図である。
【0030】図1で、111はコンテンツよりラベルを
抽出する処理、116は抽出したラベルをもとにコンテ
ンツの機密レベルを判定する処理、121は、利用者の
コンテンツの複製操作を検出する処理、122は操作画
面を記録する処理である。機密レベルに応じて履歴(操
作画面や利用者の顔写真)を記録するかどうかを判定す
るところに特徴がある。
【0031】図2は、本発明のラベルを添付するファイ
ルアウォールの1実施例を示したブロック図である。
【0032】図2において、231はラベルを添付する
プログラム、232はラベルとともに通信データを暗号
化するプログラム、241はラベルを破棄するプログラ
ム、242はラベルを復号するプログラムである。ファ
イルアウォール210は、機密レベルの異なるネットワ
ークに接続し、低いレベルのネットワークから送られた
通信データを暗号化し、高いレベルのネットワークから
送られた通信データを復号するところに特徴がある。
【0033】図3は、本発明で記録した操作履歴を暗号
化し、監査者用のサーバに送信し、蓄積する構成を示し
たブロック図である。この例は、暗号鍵と復号鍵が異な
る非対称暗号方式を用いた実施例である。
【0034】図3で、361は(監査者の公開鍵321
と秘密鍵322を生成し)、公開鍵321を履歴を記録
する各計算機に配布する鍵(生成)配布プログラムであ
る。362は各計算機の操作履歴324を蓄積するプロ
グラム、363は操作履歴324を復号し、監査者に提
示するプログラムである。図3では、各計算機で暗号化
し、監査者サーバに送ることで、業務の機密も守り、か
つ、利用者のプライバシも保証するところに特徴があ
る。
【0035】図4は、ラベルの判定をネットワーク上の
独立したコンテンツ監視装置で行う1実施例の構成を示
したブロック図である。
【0036】図4で、413と463は暗号化通信手
段、462は判定手段、460は、ラベルと操作画面の
記録の有無の規則をしるした規則表である。この例で
は、各計算機でいったんラベルを復号し、別の暗号化プ
ログラム413を用いて暗号化し、ラベル判定用にコン
テンツ監視装置451に送る。460の規則表をもとに
操作履歴の記録の必要性を判定した結果を返すのが特徴
である。
【0037】図5以降は、本発明に関連する装置や手順
を示した説明図である。
【0038】図5は、各計算機でのラベルを検出する手
順を示した流れ図である。
【0039】図6は、計算機とファイアウォールでのラ
ベルを生成、分離するプログラムの配置を示したブロッ
ク図である。この例では、ラベルと通信データとを結合
し、暗号化してある(カプセル化)データを、解決する
のが特徴である。
【0040】図7は、ファイアウォールで暗号化した通
信データを、各計算機で復号する手順を示した流れ図で
ある。この例は、暗号鍵と復号鍵が異なる非対称暗号方
式を用いた実施例である。
【0041】図7で、704は、ファイアウォールにお
いて、あらかじめ利用者別あるいは計算機別に登録され
ている公開鍵が存在しないので、ファイアウォール用に
登録してある公開鍵を利用するステップ、714は、各
計算機において、復号できない場合に、改めて、自ら復
号可能な公開鍵を添付し、ファイアウォールに再送し、
再暗号化を依頼するステップである。
【0042】図8は、各計算機で暗号化した通信データ
を、ファイアウォールにおいて、復号可能であるかを検
査する手順を示した流れ図である。804は、機密の低
いネットワークの通信先の公開鍵がないので、ファイア
ウォール用に登録してある公開鍵を利用するステップ、
814は、各計算機において、復号できない場合に、依
頼するステップである。
【0043】図9は、各計算機の構成で、とくに通信デ
ータを暗号化を行うための鍵管理に可搬型カードを用い
る場合の構成を示したブロック図である。カード921
は、ファイアウォールの公開鍵921と利用者の暗号鍵
922を内蔵している。この例は対称暗号アルゴリズム
と非対称暗号アルゴリズムとをミックスさせたセッショ
ン鍵の交換方式の一実施例を示している。914はカー
ド921を読み取る装置である。
【0044】また、913はディジタルカメラである。
CRT912の操作画面930だけでなく、操作者の顔
写真を同時に記録するのが目的である。
【0045】以上の図面を使って、本実施例の詳細な説
明をしていく。
【0046】ラベルを検出する手順について、図1、図
2ならび図5を用いて説明する。
【0047】図2はこのラベルを利用するシステムの全
体構成を説明する図である。
【0048】計算機201は機密レベルの低いネットワ
ーク202(たとえばWAN)、計算機203は202
に比べて機密レベルの高いネットワーク204(社内L
AN)に接続する。202と204との間にファイアウ
ォール210が存在する。ファイアウォール210には
一時記憶装置211(たとえば、磁気ディスク、フラッ
シュメモリ)が接続し、下記に示すようなプログラムや
データ、鍵等を格納する。
【0049】計算機201から計算機203に対し、通
信データ220を送受信する際に、ラベル241をファ
イアウォール210で添付あるいは削除する様子を示
す。
【0050】ファイアウォール210は、各通信データ
の機密性に応じて通信データの配送、通過停止等の処理
を行う。具体的には、204内を流れる通信データに
は、機密性を示すラベルを添付し、計算機203では、
このラベルを利用した、アクセス制御を行う。ファイア
ウォール210には、202から204へ流れる通信デ
ータにラベルを添付する手段231、ならびに204か
ら202へ流れる通信データ220から削除する手段2
41が常駐する。
【0051】とくに、ラベル241を、計算機203や
ネットワーク204上で改ざん、盗聴を防ぐ、ラベル暗
号化機能も設けることが望ましい。暗号手段243は添
付手段231と、復号手段242は破棄手段242と連
動する。本実施例では、説明を簡単にするために、非対
称暗号を用いた実施例を、以下で説明していく。
【0052】計算機203の暗号手段243とファイア
ウォールの復号手段242、計算機203の復号手段2
33とファイアウォールの暗号手段242とはそれぞれ
対応する暗号・復号プログラムである。230、24
0、244、234は、暗号・復号で使用する鍵であ
る。ファイアウォール210の公開鍵230で暗号化し
たラベルを計算機203の秘密鍵234で復号する。計
算機203の公開鍵244で暗号化したラベルをファイ
アウォール210の秘密鍵240で復号する。
【0053】本実施例では、とくに、情報データ220
の送信先・受信元のアドレス(たとえばIPアドレス、
MACアドレス)、サービスの種類(たとえばポート番
号:ニュース、FTP、HTTP等)、送信先・受信元
の利用者ID等の属性情報とラベル221との関連を規
定した対応表222をファイアウォール210に備える
ことが望ましい。対応ラベルを複数用意し、きめ細かい
制御を行うことが可能となる。
【0054】図2のシステム構成を踏まえ、図1を用い
て、計算機203でのコンテンツ監査方法の流れを説明
する。
【0055】ファイアウォール210からラベル231
を添付した通信データ230をダウンロードし(11
0)、暗号化している場合には復号操作も含め、一定形
式でのラベルを抽出する(111)。もし抽出できない
場合には(112)、140以下のエラー処理を行う。
ラベルの内容、たとえば機密を示す種別、利用できる範
囲を読み取り、たとえば暗号化ともに行われたディジタ
ル署名をもとに、ラベルが偽造されるかどうかを判定す
る(114)。さらに、ラベルをもとに機密レベル判定
する(116)。とくにローカルマシンでは判定できな
い場合には、ネットワーク上のラベル監視サーバ(後述
462)に問い合わせる、記述されているラベルと機密
レベルとの関係(セキュリティ基準にあわせ、指定され
ている)を検索する(115、130、131)。
【0056】機密レベルが判定でき、履歴収集が必要な
レベル(たとえば代表的なセキュリティ基準TCSEC
では、B1レベル以上)のデータと判定された場合に、
監視を開始する(117)。たとえば、キーボードやマ
ウス等の入力により、ダウンロードした通信データに対
するインタラクティブな画面操作が行われる。外部シス
テムへの送信(たとえば電子メール、FTP)、ローカ
ルな可搬媒体(たとえば磁気ディスク、ハードディス
ク)への複写に関する操作を行うことで、OSで規定し
ているシステム関数、たとえばWindowsでいえばWinsock
やFile I/Oが呼ばれることを検出する(121)、ある
いは一定時間ごとに、たとえば1分おきに(125)、
操作画面のイメージ、Bitmapをファイルに記録する(1
22)。なお、操作者を写すディジタルカメラが、20
3に接続されているのならば、画面操作同時に記録する
ことで、一層効果的な履歴を残すことができる。ダウン
ロードした通信データに関する操作するプログラムを終
了する(124)しない場合には、再びステップ121
へ戻る(123)。
【0057】ラベルを用いた機密レベルの判定に関する
エラー処理(140、141)について述べる。ラベル
を抽出できない、ラベルが偽造である場合には、不正コ
ンテンツであると端末の利用者に警告を表示し、終了か
継続するかどうかの判定を求める(140)。利用者が
「終了」を選択した場合は、ダウンロードした通信データ
に関するアクセスを終了する(141)。「継続」を選択
した場合は、操作履歴を採ることに利用者が同意したと
見なし、ステップ120へ進む。
【0058】図1におけるラベル抽出処理111を詳細
に述べる。とくに、コンテンツ流通に関し、暗号を用い
たカプセル化の一実施例を図5および図6を用いて、説
明する。
【0059】抽出処理に対応し、ファイアウォール21
0でのラベル添付処理を説明する。
【0060】図6において、通信データ230は、61
0のコンテンツの本体であるデータ部とコンテンツの属
性(シリアル番号、サービスの内容など)を示すヘッダ
部611とに分かれる。このような属性のヘッダ部に対
応し、添付するラベル612を決定する(本実施例で
は"Project"というキーワードに対し、"SECRET,R&D"と
いうラベルが対応)ための対応表222に照らしあわる
のが、添付手段231である。612を611および6
10と結合し、公開鍵230を用いて暗号化する。
【0061】このように暗号化した通信データとラベル
を分離するのが、抽出処理111である。基本的には、
添付処理に対応して、逆の処理を行う。秘密鍵234を
用いて、平文に復号する。図5で、暗号化された通信デ
ータかを判定する(501)。判定方法としては、たと
えばRFC1847(Security Multiparts for MIME: Multipar
t/Signed and Multipart/Encrypted)で示しているよう
な属性と属性値とを組みとしたタグで判定する方法でお
こなう。判定できた場合には、秘密鍵234を用いて復
号処理を試み(503)、復号し(504)たのちに、
ラベル部分を含んだヘッダ部分(612)の範囲を判定
し(505)、切り取った後(506)に、定められた
ラベルの形式にあわせ(507)、各項目(たとえば、
機密レベル、カテゴリ)等の検査(508)を行う。
【0062】次に、図3を用いて、計算機203のステ
ップ122で一次記憶装置301に記録した履歴323
を、暗号化し、収集するシステムの構成を説明する。
【0063】351は、監査人専用の計算機であり、3
52はCRT、353は履歴を蓄積する一次記憶装置で
ある。
【0064】計算機203には、履歴を一次記憶装置3
01に記憶するプログラム310、301に記憶した履
歴323を暗号化するプログラム311、暗号化した履
歴を送付するプログラム312を備える。
【0065】計算機351には、鍵生成ならびに計算機
203に鍵配布するプログラム361、履歴をハードデ
ィスク353に収集するサーバプログラム362、収集
した履歴324を復号し、CRT352に表示するプロ
グラム363を備える。321と322は、プログラム
361が生成する暗号鍵である。321は履歴323を
暗号化する公開鍵、322は履歴324を復号するため
の秘密鍵である。あらかじめ、あるいは暗号プログラム
311が用いる場合に備えて、鍵321は計算機203
に送られ、一次記憶装置301に記憶する。
【0066】本実施例では、監査者用の公開鍵を使っ
て、暗号化した後に、適宜管理者用の専用装置に送り、
履歴の改ざん、盗聴、各計算機でのディスクの消費を防
ぐところにある。
【0067】次に、図4を用いて、計算機203のステ
ップ130で、コンテンツに添付されたラベルを抽出
し、サーバ451に問い合わせるシステム構成を説明す
る。
【0068】451は、管理者専用の計算機であり、4
52はCRT、453はラベルと機密レベルとの対応表
460を格納する一次記憶装置である。
【0069】計算機203には、一次記憶装置401に
記憶したコンテンツ420ならびにラベル423を復号
するプログラム233、コンテンツをラベルを検査する
プログラム412、ラベルに関する問い合わせを行う、
とくにラベルに関する情報をそのまま暗号化してプログ
ラム413を備える。
【0070】計算機451には、鍵生成ならびに計算機
203に鍵配布するプログラム464、プログラム41
3からの問い合わせに応じ対応する暗号通信プログラム
463、463から呼び出され、暗号化したラベルと機
密レベルとの対応表460とを比較し、操作履歴を記録
すべきかどうかを判定するプログラム462、プログラ
ム462からさらに呼び出され、CRT452に、機密
アクセス違反が発生し、操作履歴を記録するメッセージ
を表示する警告プログラムを備える。また、対応表46
0の内容を管理者が設定するなプログラム461も備え
る。421と422は、プログラム464が生成する暗
号鍵である。421はラベル424を暗号化する公開
鍵、422はラベル424を復号するための秘密鍵であ
る。あらかじめ、あるいは暗号プログラム413が用い
る場合に備えて、鍵421は計算機203に送られ、一
次記憶装置401に記憶する。
【0071】本実施例では、ラベルに対応する機密性の
意味付けをネットワーク上の管理者が定めた対応表46
0上の規則に応じて、動的に変更できるところにある。
【0072】図7および図8を用いて、ファイアウォー
ル210と計算機203での暗号通信の手順を示す。
【0073】図7は、ファイアウォール210での暗号
プログラム232、計算機203での復号プログラム2
33の処理を示す。ファイアウォール210に対応表2
22を備え、行き先の計算機や利用者にあわせて異なる
暗号鍵を利用するところに特徴がある。ここでは、ネッ
トワークのパケットのレベルで暗号化を行う例を示す
(アプリケーション層での暗号化でも、IPアドレスや
ポート番号の変わりに、利用者ID等の情報を使って同
様にして行うことができる)。
【0074】まず、コンテンツが流れてきたネットワー
クの機密レベルを送信元のIPアドレスで判定し(70
1)、暗号化が必要な場合は、さらに受信先の計算機2
03のIPアドレスをパケットから抽出し(702)、
受信先のIPアドレスに対応した公開鍵230を使って
暗号化し(705)、もし公開鍵230がないときには
(703)、ファイアウォール210の公開鍵を使って
暗号化する(704)。暗号化したパケットを計算機2
03へ送付する(705)。計算機203では、流れて
きたパケットが復号が必要な場合には、公開鍵230に
対応する秘密鍵234を用いて復号する(712)。復
号できない場合には、ステップ704の処理が行われた
と判定し(713)、ファイアウォールに自分の公開鍵
230とパケットを送り、ファイアウォール内で、いっ
たんパケットを復号したのちに、公開鍵230で再暗号
化する(714)。
【0075】本実施例では、ファイアウォールに、外部
の計算機との通信を頻繁に行わない計算機では、再暗号
化処理を設けることで、応答性能とセキュリティを満足
できるようにしてあるところに特徴がある。
【0076】図7と逆に、機密の高いネットワークから
低いネットワークへのパケットの流れを制御する、ファ
イアウォール210での復号プログラム242、計算機
203での暗号プログラム243の処理を図8を使って
示す。
【0077】ファイアウォール210に対応表222を
備え、行き先の計算機や利用者にあわせて異なる復号鍵
を利用するところに特徴がある。ここでは、図7同様に
ネットワークのパケットのレベルで復号化を行う例を示
す。
【0078】計算機203において、他の計算機へデー
タを送る場合暗号が必要であると判定し(801)、各
計算機のIPアドレスにあわせた公開鍵で暗号化する
(805)。送信先がとくに機密レベルが低いネットワ
ーク202に属する計算機201であると判定した場合
は(803)、ファイアウォール210の公開鍵230
で暗号化する(804)。暗号化した通信データをパケ
ットとして送信する(806)。
【0079】ファイアウォール210において、送信元
の計算機203のIPアドレスをパケットから抽出し、
通信データが流れてきたネットワークの機密レベルを送
信元のIPアドレスで判定し(811)、ファイアウォ
ールの秘密鍵240を使って復号する(812)。復号
できた場合には、ファイアウォールから機密レベルの低
いネットワーク202の計算機201へ送付(81
5)、復号できない場合には、ファイアウォールの通過
を許さない(814)。
【0080】本実施例では、外部の計算機にデータ通信
を行う場合は、必ずファイアウォールでファイアウォー
ルで平文に復号し、外部への機密持ち出しを監視できる
ようにしてあるところに特徴がある。
【0081】以上、計算機のIPアドレスを利用して、
暗号鍵を設定する実施例で述べた。以下では、アプリケ
ーション層の利用者IDを利用して、暗号鍵を設定する
別の実施例を述べる。
【0082】図9は、可搬型媒体(たとえばPCMCI
Aカード920)を用いて、利用者IDに対応した暗号
鍵を管理するシステム構成を説明したブロック図であ
る。計算機203は、ハードディスクやメモリ、CPU
を内蔵した本体911、CRT912、ディジタルカメ
ラ913、カードリーダ914、キーボード(マウス)
915で構成する。ディジタルカメラ913、カードリ
ーダ914は本体911の付属装置である。
【0083】CRT912には操作画面930(マルチ
ウィンドウ)が映し出される。キーボード915を用い
て操作する操作画面930ならびに、ディジタルカメラ
913で写された利用者の顔写真を履歴として記憶す
る。
【0084】カード920には、利用者の秘密鍵923
ならび公開鍵924と、ファイアウォールの秘密鍵24
0に対応する公開鍵925とを内蔵し、備えているとこ
ろが特徴である。ファイアウォールには、公開鍵924
のコピーである公開鍵230と、ファイアウォールの秘
密鍵240とを備えている。可搬媒体920を用いて、
カードリーダ914を備え、プログラム233やプログ
ラム243を常駐する不特定の計算機で利用すること
で、利便性が増す。
【0085】
【発明の効果】本発明により従来の問題点が解決され
る。
【0086】(1) 契約外のコンテンツの流通を許さな
い。
【0087】各計算機で、ラベルを参照し、正規のラベ
ルが添付していないコンテンツの複製や他システムへの
転送が不正であることを明確にするので、不正流通の影
響を局所化できる。
【0088】(2) 操作画面を履歴として記録することを
示し、利用者の無断複製を抑制できる。
【0089】利用者に計算機上でコンテンツの複製する
操作が履歴として残ること、あわせて無断複製が発覚し
た際の罰則を示すことで、違反行為を抑制できる。
【0090】また、操作画面や顔写真をビジュアルな履
歴として記録することで、組織外の監査者が、業務の内
容に関わらず客観的に不正行為の有無を判定できる別の
効果もある。
【0091】本発明では、組織外の第3者である監査者
が作業する専用の監査装置をネットワーク上に設け、各
計算機での操作履歴を転送し、蓄積する。
【0092】この際に、各計算機では監査者の公開暗号
鍵を用いて、操作履歴を暗号化する。監査者は、監査要
求があった際に初めて、別途厳重に管理した秘密暗号鍵
を用いて、蓄積された操作履歴を復号する。このよう
に、各計算機で操作履歴を暗号化し、監査装置に転送す
ることで、監査者以外の利用者や管理者が、操作履歴を
参照し、改ざん、隠滅することを防止する。
【0093】本発明では、組織内の管理者が作業する専
用の監視装置をネットワーク上に設け、ラベルに対応
し、操作履歴を記録する必要性を監査規則表をもとに判
定する。
【0094】このため、管理者が、組織(ドメイン)内
の規範に従い、各計算機でのコンテンツのアクセスや複
製の制御や管理ができ、また規範の変更にともなうメン
テナンス作業は、監査規則表の書き換えだけですむ。ま
た、監査規則表の設定により、すべてのコンテンツのア
クセスや複製について操作履歴をとる必要がなく、操作
履歴を蓄積する記憶媒体(ハードディスク)の浪費の防
止ならび利用者のプライバシーの保護に対応できるシス
テム運用が実現できる別の効果もある。
【0095】本発明では、専用のファイアウォールをネ
ットワーク上に設け、通信データの入出力に対応し、ラ
ベルの生成や破棄処理をおこなう。機密レベルが高いネ
ットワーク(たとえばTCSECのBレベル以上)に属
する計算機に、通信データのラベルを読み取る機能(ミ
ドルソフトウエアあるいはOS)を設けている。
【0096】このため、管理者が、組織(ドメイン)内
の規範に従い、ファイアウォールを境に機密レベルが異
なるドメイン間でのコンテンツのアクセスや複製の制御
ができる。
【0097】さらに、専用のファイアウォールでは、コ
ンテンツの参照者を限定した暗号化鍵でラベルを暗号化
する。しかも、コンテンツを復号できる復号鍵は、通信
のたびに内容を変更するセッション鍵を利用者別に配布
された可搬型カード(たとえばSmart Card, PCMCIAカー
ド)に格納する。復号したコンテンツは、利用を終えた
段階で破棄する。
【0098】このため、可搬型カードを用いて、コンテ
ンツのファイアウォールから各計算機へのダウンロード
(1次コピー)できるが、他システムへの転送やハード
ディスクへの別名でのファイル格納(2次コピー)を抑
制できる。
【図面の簡単な説明】
【図1】計算機におけるコンテンツ監査方法のフローチ
ャート。
【図2】機密レベルが異なるドメインを接続する本発明
のファイアウォールのブロック図。
【図3】端末の操作画面の履歴を蓄積する本発明の監査
装置のブロック図。
【図4】端末の操作画面の記録の必要性を判定する本発
明の監視装置のブロック図。
【図5】各計算機でのラベルを検出する手順を示したフ
ローチャート。
【図6】ラベルを生成し、分離するプログラムの配置を
示したブロック図。
【図7】ファイアウォールで暗号化した通信データを、
各計算機で復号する手順を示したフローチャート。
【図8】計算機でおいて暗号化した通信データを、ファ
イアウォールにおいて、復号可能であるかを検査する手
順を示したフローチャート。
【図9】本実施例の計算機端末の構成を示したブロック
図。
【符号の説明】
201、203…計算機、 210…ファイアウォール、 232、231、241、242…ファイアウォールに
常駐するプログラム、 310…履歴記録プログラム、 451…管理者用端末、 351…監査者用端末、 913…カメラ、 920…カード。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 難波 電 神奈川県川崎市麻生区王禅寺1099番地株式 会社日立製作所システム開発研究所内

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】ネットワークに複数の計算機を接続し、 前記計算機の相互間で、通信データならびに前記通信デ
    ータに関するラベルを転送し前記ラベルを参照し、前記
    通信データの機密レベルを判定する計算機の通信データ
    監査方法において、 前記ラベルをもとに、前記計算機あるいは前記ネットワ
    ークの範囲で有効な機密レベルを検出するステップと、
    通信データをアクセスあるいは複製するステップと、操
    作者の顔写真あるいは各計算機の操作画面を履歴として
    記録するステップとを含むことを特徴とする通信データ
    監査方法。
  2. 【請求項2】異なる機密レベルを設定したネットワーク
    間を流れる通信データを一時的に蓄積するファイアウォ
    ールであって、機密レベルの高いネットワークに接続す
    る計算機が、通信データ蓄積装置として利用するファイ
    アウォールにおいて、 機密レベルの低いネットワークから受信した通信データ
    に機密レベルの属性を示すラベルを添付する手段と、機
    密レベルの低いネットワークに送信する通信データから
    前記ラベルを削除する手段を有することを特徴とするフ
    ァイアウォール。
  3. 【請求項3】複数の計算機と監査装置とをネットワーク
    で接続し、前記計算機での通信データのアクセスおよび
    複製の操作履歴を監査者に提示する通信データ監査装置
    において、監査者の公開鍵を生成し、前記計算機に送信
    する鍵生成手段と、操作者の顔写真および画面内容の暗
    号化した操作履歴を蓄積する履歴蓄積手段と、監査者の
    秘密鍵で操作履歴を復号する履歴復号手段とで構成する
    ことを特徴とする通信データ監査装置。
  4. 【請求項4】複数の計算機と監視装置とをネットワーク
    で接続し、前記計算機での通信データのアクセスおよび
    複製の操作履歴を監視する通信データ監視装置におい
    て、通信データに添付された機密ラベルと、監査規則の
    対応表を記録する規則設定手段と各計算機の問い合わせ
    に応じて、上記対応表を検索し、上記通信データに関す
    る履歴採取の必要の有無を返信する機密判定手段とで構
    成することを特徴とする通信データ監視装置。
  5. 【請求項5】請求項1において、機密レベルを示すラベ
    ルが未検出の際に、計算機の操作画面に通信データのア
    クセス禁止を示す勧告メッセージを表示するステップを
    有する通信データ監査方法。
  6. 【請求項6】請求項1において、利用者あるいは計算機
    ごとに独立した暗号鍵で、ラベルならびに通信データを
    復号するステップを有する通信データ監査方法。
  7. 【請求項7】請求項2において、機密レベルの低いネッ
    トワークの計算機から送られた通信データを蓄積する手
    段であって、機密レベルの高いネットワークの少なくと
    も一つの計算機および少なくとも一人の利用者が復号で
    きる暗号化鍵を保有し、通信データとラベルを結合した
    データを、前記暗号化鍵を用いて暗号化し、ラベルを暗
    号化するラベル添付手段を含むファイアウォール。
  8. 【請求項8】請求項2において、機密レベルの高いネッ
    トワークの計算機から送られた暗号化データを蓄積する
    手段であって、上記暗号化データを復号する復号鍵を所
    有し、通信データとラベルが含まれる暗号データを、前
    記復号鍵を用いて復号し、前記通信データと前記ラベル
    とを分離するラベル削除手段と前記通信データを機密レ
    ベルの低いネットワークへ送る履歴を機密レベルに応じ
    て蓄積する手段を含むファイアウォール。
  9. 【請求項9】複数の計算機とファイアウォールとをネッ
    トワークで接続し、 通信データとラベルを受信する計算機に接続する可搬型
    カードであって、暗号化された前記通信データとラベル
    を復号する際に用いる可搬型カードで、利用者ならび機
    密レベルごとに独立し、ファイアウォールとのセッショ
    ンで生成した暗号鍵を蓄積する可搬型カード。
JP26405196A 1996-10-04 1996-10-04 通信データ監査方法および装置 Expired - Fee Related JP3831990B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP26405196A JP3831990B2 (ja) 1996-10-04 1996-10-04 通信データ監査方法および装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP26405196A JP3831990B2 (ja) 1996-10-04 1996-10-04 通信データ監査方法および装置

Publications (2)

Publication Number Publication Date
JPH10111855A true JPH10111855A (ja) 1998-04-28
JP3831990B2 JP3831990B2 (ja) 2006-10-11

Family

ID=17397869

Family Applications (1)

Application Number Title Priority Date Filing Date
JP26405196A Expired - Fee Related JP3831990B2 (ja) 1996-10-04 1996-10-04 通信データ監査方法および装置

Country Status (1)

Country Link
JP (1) JP3831990B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002533824A (ja) * 1998-12-28 2002-10-08 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ デジタル署名を伴う審査書の伝送
JP2003535398A (ja) * 2000-06-01 2003-11-25 サファソフト カンパニー リミテッド 統合内部情報流出防止システム
JP2005175615A (ja) * 2003-12-08 2005-06-30 Mitsubishi Electric Corp 鍵管理装置、端末装置及びプロキシ装置
US7047407B2 (en) 2001-12-05 2006-05-16 Hitachi, Ltd. Network system enabling transmission control
JP2006180228A (ja) * 2004-12-22 2006-07-06 Fuji Xerox Co Ltd 情報処理装置、方法、及びプログラム
JP2006221617A (ja) * 2005-01-17 2006-08-24 Toshiba Corp 監査ログ管理機能を有する医用機器
US7302563B2 (en) 2002-03-29 2007-11-27 Fuji Xerox Co., Ltd. Mailing list server and mail re-sending method thereof
JP2008176707A (ja) * 2007-01-22 2008-07-31 Tsutomu Matsuda コンピュータの画面監視用usbメモリ
JP2008539660A (ja) * 2005-04-28 2008-11-13 マイクロソフト コーポレーション 壁で囲まれたガーデン
JP2009123143A (ja) * 2007-11-19 2009-06-04 Fujitsu Ltd 記録装置、記録プログラム、および記録方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002533824A (ja) * 1998-12-28 2002-10-08 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ デジタル署名を伴う審査書の伝送
JP2003535398A (ja) * 2000-06-01 2003-11-25 サファソフト カンパニー リミテッド 統合内部情報流出防止システム
US7047407B2 (en) 2001-12-05 2006-05-16 Hitachi, Ltd. Network system enabling transmission control
US7302563B2 (en) 2002-03-29 2007-11-27 Fuji Xerox Co., Ltd. Mailing list server and mail re-sending method thereof
JP2005175615A (ja) * 2003-12-08 2005-06-30 Mitsubishi Electric Corp 鍵管理装置、端末装置及びプロキシ装置
JP2006180228A (ja) * 2004-12-22 2006-07-06 Fuji Xerox Co Ltd 情報処理装置、方法、及びプログラム
JP4701706B2 (ja) * 2004-12-22 2011-06-15 富士ゼロックス株式会社 情報処理装置、方法、及びプログラム
JP2006221617A (ja) * 2005-01-17 2006-08-24 Toshiba Corp 監査ログ管理機能を有する医用機器
JP2008539660A (ja) * 2005-04-28 2008-11-13 マイクロソフト コーポレーション 壁で囲まれたガーデン
JP2013030169A (ja) * 2005-04-28 2013-02-07 Microsoft Corp 壁で囲まれたガーデン
JP2008176707A (ja) * 2007-01-22 2008-07-31 Tsutomu Matsuda コンピュータの画面監視用usbメモリ
JP2009123143A (ja) * 2007-11-19 2009-06-04 Fujitsu Ltd 記録装置、記録プログラム、および記録方法

Also Published As

Publication number Publication date
JP3831990B2 (ja) 2006-10-11

Similar Documents

Publication Publication Date Title
US7047407B2 (en) Network system enabling transmission control
US8141159B2 (en) Method and system for protecting confidential information
US8918633B2 (en) Information processing device, information processing system, and program
EP2000940A1 (en) Equipment monitoring device
US20020046350A1 (en) Method and system for establishing an audit trail to protect objects distributed over a network
US20110119371A1 (en) Device data management system
JPH10326287A (ja) デジタルコンテンツ管理システム及びデジタルコンテンツ管理装置
JP3453842B2 (ja) セキュアシステム
TWI493950B (zh) 條件式電子文件權限控管系統及方法
RU2463721C2 (ru) Способ отправки электронного файла
KR20010088917A (ko) 디지털 정보 보안 방법 및 그 시스템
WO2006017205A2 (en) Record management of secured email
CN109063499B (zh) 一种灵活可配置的电子档案区域授权方法及系统
JP2004171207A (ja) データ保護・保管方法/サーバ
US20110093587A1 (en) Device data management system
JP3831990B2 (ja) 通信データ監査方法および装置
JP2002041347A (ja) 情報提供システムおよび装置
JPH11265317A (ja) 著作権保護システム
KR20030084798A (ko) 문서보안 시스템
JP5601840B2 (ja) ネットワークへの情報流出防止装置
JP4471129B2 (ja) 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム
CN111046405A (zh) 一种数据处理方法、装置、设备及存储介质
JP3636087B2 (ja) 個人情報提供システム、個人情報提供方法、および個人情報提供プログラム
KR101032134B1 (ko) 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템제공 방법
KR100998596B1 (ko) 분산 자료 통합 백업 시스템

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060314

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060627

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060710

LAPS Cancellation because of no payment of annual fees