JP3684266B2 - 暗号化された共有データのアクセス制御方法及びシステム - Google Patents
暗号化された共有データのアクセス制御方法及びシステム Download PDFInfo
- Publication number
- JP3684266B2 JP3684266B2 JP10750196A JP10750196A JP3684266B2 JP 3684266 B2 JP3684266 B2 JP 3684266B2 JP 10750196 A JP10750196 A JP 10750196A JP 10750196 A JP10750196 A JP 10750196A JP 3684266 B2 JP3684266 B2 JP 3684266B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- data
- server
- public
- department
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、暗号化されたデータのアクセス制御方法に係わり、特に暗号化されたデータを同一のアクセス権をもったユーザの間で共有するときのアクセス制御方法に関する。
【0002】
【従来の技術】
端末装置とサーバ装置との間で暗号通信する方法として、例えば特開平3−243035号公報は、共通鍵暗号方式に従ってデータをデータ鍵によって暗号化し、データ鍵を公開鍵暗号方式の公開鍵によって暗号化して送信する暗号通信システムを開示する。データの暗号化と復号には同一のデータ鍵を用いるためにデータの暗号化と復号処理が高速に行われる。
【0003】
図8は、上記暗号通信システムの構成を示す図である。各端末装置90は、ユーザの数だけの公開個人鍵PP1,PP2,・・・と端末ごとの秘密鍵TS1,TS2,・・・を保持する。サーバ91は、端末対応の公開鍵TP1,TP2,・・・とユーザの数だけの秘密個人鍵PS1,PS2,・・・を保持する。鍵管理装置92は、公開マスタ鍵MP及び秘密マスタ鍵MSを保持する。秘密個人鍵は、公開マスタ鍵MPによって暗号化されている。図中で記号X(Y)は、対象Xが鍵Yによって暗号化されていることを示す。対象Xはデータ、データ鍵、秘密個人鍵などである。端末装置90からサーバ91を利用するユーザ1に対して暗号通信するときには、端末装置90で発生させたデータ鍵EKをユーザ1の公開個人鍵PP1によって暗号化してEK(PP1)となったデータ鍵をサーバ91へ送信する。サーバ91にはユーザ1だけがアクセス権を有する領域に秘密個人鍵PS1(MP)が保持されているので、ユーザ1はこの秘密個人鍵PS1(MP)にアクセスし、サーバ91及び鍵管理装置92がPS1(MP)を復号した後の秘密個人鍵PS1を用いてデータ鍵EK(PP1)を復号し、得られたデータ鍵EKによって端末装置90からサーバ91へ送られたデータDT(EK)を復号することができる。サーバ91から端末装置90に暗号通信するときには、サーバ91で発生させたデータ鍵EKを端末の公開鍵TP1によって暗号化してEK(TP1)となったデータ鍵を端末装置90へ送信する。端末装置90では秘密鍵TS1を用いてデータ鍵EK(TP1)を復号し、得られたデータ鍵EKによってサーバ91から端末装置90へ送られたデータDT(EK)を復号することができる。鍵管理装置92は外部から読み出すことができない公開マスタ鍵MPによって秘密個人鍵PSを暗号化し、秘密マスタ鍵MSによって秘密個人鍵PS(MP)を復号する。
【0004】
【発明が解決しようとする課題】
上記従来技術は、暗号通信技術を使って安全にデータの登録と参照を可能とするが、暗号通信は個人対個人の通信に限られており、同一のデータ参照権を有するユーザグループの間でデータを共有するという考え方は見当らない。一方機密性が求められるデータを共有する技術として、強制アクセス制御と呼ばれる技術が知られているが、この技術は特別なオペレーティングシステムによる制御が必要とされ、特定の計算機ハードウェア及びオペレーティングシステムの下でなければ利用できなかった。特別なハードウェアやオペレーティングシステムを導入することなく、安全性の高い暗号通信技術を利用して機密性のあるデータをユーザグループの間で共有する技術が望まれている。
【0005】
本発明の目的は、暗号化されたデータをユーザグループの間で安全に共有するアクセス制御方法を提供することにある。
【0006】
【課題を解決するための手段】
本発明は、複数の端末装置とサーバ装置とがネットワークによって接続されるシステムのアクセス制御方法であって、端末装置側に公開個人鍵と対応する秘密個人鍵とを保持し、サーバ側に機密区分の各レベルに対応して公開部門鍵とそれぞれ対応する秘密部門鍵とを保持する。端末装置では共通鍵暗号方式に従ってデータを暗号化し、指定された機密区分に対応する公開部門鍵を用いてデータ鍵を暗号化して、暗号化されたデータとデータ鍵とをサーバへ送信し、サーバによって記憶装置に格納する。サーバに格納された共有データをアクセスするときには、端末装置によってサーバからデータとデータ鍵とを取得し、公開個人鍵と受け取ったデータ鍵とをサーバへ送信し、サーバによって秘密部門鍵を用いてデータ鍵を復号し、公開個人鍵を用いて復号したデータ鍵を暗号化して端末装置へ送信し、端末装置によって秘密個人鍵を用いてデータ鍵を復号し、復号したデータ鍵によって取得したデータを復号する。
【0007】
【発明の実施の形態】
以下、本発明のアクセス制御システムの一実施形態について図面を用いて説明する。
【0008】
図1は、本実施形態のシステムの構成図である。端末装置3はデータを入力及び出力する装置である。サーバ5は入力されたデータ及びデータ鍵を格納するとともに、データの機密区分に従って部門鍵(ドメインの鍵)を格納する装置である。鍵管理装置8は、部門鍵を復号するためのマスタ鍵を格納し、秘密マスタ鍵によって部門鍵を復号する装置である。本実施形態では、データの暗号化/復号にはともに同一の鍵を用いる共通鍵暗号方式を適用する。またデータを暗号化するときの鍵であるデータ鍵の暗号化/復号にはそれぞれ異なる鍵を用いる公開鍵暗号方式を適用する。
【0009】
端末装置3に接続される記憶装置11は、個人鍵として公開個人鍵111と秘密個人鍵112とを格納する。入出力部12は図示しないキーボード/表示装置/記憶装置のような入出力装置からのデータの入出力を制御する制御部である。データ鍵生成部13は、共通鍵暗号方式に従ってデータ鍵を生成する処理部である。データ暗号化部14は、共通鍵暗号方式に従って入力されたデータを生成されたデータ鍵によって暗号化する処理部である。データ鍵暗号化部15は、公開鍵暗号方式に従って生成されたデータ鍵を公開部門鍵221によって暗号化する処理部である。個人鍵アクセス部16は、記憶装置11の個人鍵へのアクセスを制御する制御部である。データ鍵復号部17は、公開鍵暗号方式に従ってサーバ5から受け取ったデータ鍵を秘密個人鍵112によって復号する処理部である。データ復号部18は、共通鍵暗号方式に従って復号されたデータ鍵によってデータを復号する処理部である。通信制御部19は、ネットワークを介して端末装置3とサーバ5との間に公開部門鍵221、データ211、データ鍵212及び公開個人鍵111を送受信するよう制御する制御部である。なお端末装置3にはこの他に個人鍵を生成する処理部が存在する。
【0010】
サーバ5に接続される記憶装置21は、データ211及びデータ鍵212を格納する。データ211は共通鍵暗号方式に従ってデータ鍵EKによって暗号化された状態で格納され、データ鍵212は公開鍵暗号方式に従って公開部門鍵221によって暗号化された状態で格納される。また記憶装置22は、部門鍵として公開部門鍵221及び秘密部門鍵222を格納する。秘密部門鍵222は公開鍵暗号方式に従って公開マスタ鍵711で暗号化された状態で格納される。参照・登録権テーブル23は、各ユーザのグループについてデータ参照時及びデータ登録時の機密区分のレベルを登録するものであり、サーバ5に接続される記憶装置上に格納される。データ及びデータ鍵アクセス部24は、記憶装置21上のデータ211及びデータ鍵212へのアクセスを制御する制御部である。部門鍵アクセス部26は、記憶装置22上の部門鍵へのアクセスを制御する制御部である。参照・登録権判定部25は、参照・登録権テーブル23を参照して各ユーザが要求するデータ参照及び登録が妥当か否かを判定する処理部である。通信制御部27は、ネットワークを介して端末装置3との間の通信を制御するほかに、ネットワークを介して鍵管理装置8との間に公開個人鍵111、データ鍵及び秘密部門鍵222を送受信するよう制御する制御部である。なおサーバ5には端末装置3を利用するユーザに通常のサービスを提供するモードと、通常のサービスを停止してサーバ5の記憶装置22上の部門鍵を更新するメンテナンスモードとの2つのモードがある。サーバ5がメンテナンスモードのときには、図示しない部門鍵を更新する処理部が動作し、図示しない入出力部から入力されるデータに従って部門鍵を更新する。
【0011】
鍵管理装置8に接続される記憶装置71は、マスタ鍵として公開マスタ鍵711及び秘密マスタ鍵712を格納する。マスタ鍵アクセス部72は、記憶装置71上のマスタ鍵へのアクセスを制御する制御部である。秘密部門鍵復号部73は、公開鍵暗号方式に従って秘密マスタ鍵712により秘密部門鍵222を復号し、復号された秘密部門鍵によってデータ鍵212を復号する処理部である。データ鍵暗号化部74は、復号されたデータ鍵を公開個人鍵111によって暗号化する処理部である。通信制御部75は、ネットワークを介して通信制御部27との間の通信を制御する制御部である。なお鍵管理装置8には通常のサービスを提供するモードと、記憶装置71上のマスタ鍵を更新するメンテナンスモードとの2つのモードがあるが、サーバ5と鍵管理装置8とは同時には同じモードでなければならない。鍵管理装置8がメンテナンスモードのときには、図示しないマスタ鍵を更新する処理部が動作し、鍵管理装置8内の図示しない入出力部から入力されるデータに従ってマスタ鍵を更新する。
【0012】
端末装置3、サーバ5及び鍵管理装置8は、例えばパソコンのような情報処理装置であり、各制御部及び処理部はハードウェアによって又はこの情報処理装置の記憶装置に格納するプログラムを実行することによって実現される。
【0013】
図2は、データをデータ鍵によって暗号化し、暗号化されたデータとデータ鍵を記憶装置21に格納するまでの端末装置3及びサーバ5の処理の流れを示すフローチャートである。端末装置3の入出力部12は、例えばファイルのようにまとまったデータとその機密区分を入力する(ステップ31)。データ鍵生成部13は、データ鍵EKを生成する(ステップ32)。データ鍵は乱数、日付等を種データとしてこれから生成される。次にデータ暗号化部14は入力されたデータを生成されたデータ鍵によって暗号化する(ステップ33)。次にデータ鍵暗号化部15は、通信制御部19を介してサーバ5へ公開部門鍵の送信要求を送信する(ステップ34)。この送信要求は機密区分の指定を含んでいる。サーバ5の通信制御部27は、この要求を受信し(ステップ51)、ユーザの認証をした後、参照・登録権判定部25は参照・登録権テーブル23を参照して要求されたデータの登録が妥当か否かを判定する(ステップ52)。要求が妥当であれば、部門鍵アクセス部26を介して指定された機密区分に対応する公開部門鍵221を取り出して端末装置3へ送信する(ステップ53)。データ鍵暗号化部15は、通信制御部19を介してこの公開部門鍵221を受信し(ステップ35)、データ鍵EKをこの公開部門鍵221によって暗号化する(ステップ36)。次にデータ暗号化部14及びデータ鍵暗号化部15は、それぞれ暗号化されたデータDT(EK)及び暗号化されたデータ鍵EK(DP)を通信制御部19を介してサーバ5へ送信する(ステップ37)。通信制御部27は、このデータ及びデータ鍵を受信し、データ及びデータ鍵アクセス部24を介してそれぞれデータ211及びデータ鍵212として両者を対応づけて記憶装置21に格納する(ステップ54)。
【0014】
図3a及び図3bは、サーバ5に格納されたデータを参照するときの端末装置3、サーバ5及び鍵管理装置8の処理の流れを示すフローチャートである。端末装置3の入出力部12は、対象となるデータの名称、例えばファイル名を入力し、通信制御部19を介してサーバ5へデータ要求を送信する(ステップ41)。サーバ5の通信制御部27は、この要求を受信し(ステップ61)、ユーザの認証をした後、参照・登録権判定部25は、参照・登録権テーブル23を参照して要求されたデータの参照が妥当か否かを判定する(ステップ62)。要求が妥当であれば、データ鍵アクセス部24は、指定されたデータ211と対応するデータ鍵212とを送信する(ステップ63)。入出力部12は、このデータ211及びデータ鍵212を受信し(ステップ42)、個人鍵アクセス部16を介して公開個人鍵111を取り出し(ステップ43)、この公開個人鍵111及び受信したデータ鍵212を通信制御部19を介してサーバ5へ送信する(ステップ44)。通信制御部27はこの公開個人鍵111及びデータ鍵212を受信し(ステップ64)、部門鍵アクセス部26は秘密部門鍵222を取り出して(ステップ65)、端末装置3から受け取った公開個人鍵111とデータ鍵212並びに取り出した秘密部門鍵222を通信制御部27を介して鍵管理装置8へ送信する(ステップ66)。鍵管理装置8の秘密部門鍵復号部73は、通信制御部75を介してこれらの情報を受信し(ステップ81)、マスタ鍵アクセス部72を介して秘密マスタ鍵712を取り出し(ステップ82)、秘密マスタ鍵712によって秘密部門鍵222を復号し(ステップ83)、復号された秘密部門鍵DSでデータ鍵212を復号する(ステップ84)。次にデータ鍵暗号化部74は、公開個人鍵111によって得られたデータ鍵EKを暗号化し(ステップ85)、通信制御部75を介してサーバ5へこのデータ鍵EK(PP)を送信する(ステップ86)。通信制御部27はこのデータ鍵を受信し(ステップ67)、端末装置3へ転送する(ステップ68)。端末装置3のデータ鍵復号部17は、通信制御部19を介してこのデータ鍵EK(PP)を受信し(ステップ45)、個人鍵アクセス部16を介して秘密個人鍵112を取り出し(ステップ46)、データ鍵EK(PP)を秘密個人鍵112によって復号する(ステップ47)。次にデータ復号部18は得られたデータ鍵EKによって先に受信したデータ211を復号し(ステップ48)、入出力部12が復号されたデータを出力装置に出力する(ステップ49)。
【0015】
図4は、データ211、データ鍵212と機密区分との関連を説明する図である。機密区分は、レベル1,レベル2,・・・のように区分される。機密区分の各レベルは、後述するようにユーザのグループと関連付けられており、各ユーザグループは参照・登録権テーブル23に登録されているレベルの部門鍵しか利用できない。データ鍵によって暗号化されたデータ211は、機密区分とは独立である。公開部門鍵221及び秘密部門鍵222は、それぞれ機密区分のレベルに対応して設定されるので、公開部門鍵221によって暗号化され、秘密部門鍵222によって復号されるデータ鍵212は、機密区分のいずれかのレベルに対応して登録される。
【0016】
図5は、データの参照又は登録に先立って行うユーザの認証処理の例を説明する図である。サーバ5は、各ユーザのユーザ名とパスワードとの対応テーブル、認証用公開鍵及び認証用秘密鍵を記憶装置に保持する。端末装置3は入力されたユーザ名(ユーザコード)をサーバ5へ送信する。サーバ5の図示しない認証処理部は、このテーブルを参照してユーザ名が登録してあれば、認証用公開鍵IPを端末装置3へ送信する。端末装置3は入力されたパスワードをこの認証用公開鍵で暗号化してサーバ5へ送る。サーバ5は、暗号化されたパスワードPWA(IP)を認証用秘密鍵ISで復号してパスワードPWAを得て、テーブル上のユーザ名Aに対応するパスワードPWAと照合する。パスワードが一致すれば、サーバ5は操作を許可するメッセージを端末装置3へ送信し、端末装置3はデータの参照又は登録の要求を送信する。なお認証用公開鍵及び認証用秘密鍵は適当な頻度で新しい鍵に変更されるものとする。
【0017】
図6は、参照・登録権判定部25が行うデータの参照権及び登録権を判定する処理の具体例を説明する図である。ユーザの認証処理に使用されるユーザ名とパスワードの対応テーブルは、各ユーザごとにそのユーザの属するユーザグループの識別子を保持している。また参照・登録権テーブル23は、各グループごとにデータ参照を許可する機密区分のレベルとデータ登録を許可する機密区分のレベルとを設定する。データ登録権のあるユーザはそのデータを更新することもできる。例えばユーザ名Aのユーザは、ユーザグループG1に属するので、機密区分がレベル1のデータしか参照できない。また機密区分がレベル1のデータしか登録できない。またデータ鍵の機密区分を変更する場合には、ユーザは変更前のデータの参照権と変更後のデータの登録権を必要とする。例えば機密区分をレベル1からレベル2に変更する場合には、グループGpに属するユーザのようにレベル1のデータの参照権とレベル2のデータの登録権が必要である。図6の例において機密区分のレベルnは、他システムへデータを転送する権限を設定する。従って例えばグループGkに属するユーザのようにレベルnのデータについて登録権のあるユーザのみが他システムへデータを転送できる。
【0018】
上記実施形態によれば、サーバ5に格納されるデータ鍵212は機密区分に対応して暗号化されるとともに参照・登録権テーブル23に従って参照・登録権のチェックを行うので、その機密区分をもったデータについて参照・登録権のあるユーザだけがそのデータを参照・登録できる。特に機密性の高いレベルのデータが機密性の低いレベルのデータに書き換えられることがないように参照・登録権テーブル23の機密区分のレベルを機密性の程度に応じて設定し、各ユーザグループに許可する機密区分のレベルを制限することによって、機密性の高いデータのセキュリティを強化できる。またユーザはいずれかのユーザグループに属するので、そのユーザグループに対して許可される機密区分をもったデータを共有することができる。データ鍵212は機密区分に対応しているが、データ211は機密区分から独立しているので、ネットワークを介してデータ211を伝送したりデータ211を復号することなくデータ鍵EK(DP)の機密区分を変更することが可能である。ステップ84でデータ鍵212が復号された後は、データ鍵EKは機密区分から独立となる。そしてステップ85で公開個人鍵によって暗号化されてネットワークを介して端末装置3まで伝送されるので、ネットワーク伝送中のデータ鍵EKの盗聴は実質的に無効である。またサーバ5の管理者は秘密マスタ鍵222を復号できず、従ってデータ鍵212を復号できず、実質的にデータ211にアクセスできない。さらに本発明は、オペレーティングシステムに依存せずアプリケーションプログラムのレベルで実現できるので、特定のハードウェアやオペレーティングシステムには依存しないアクセス制御が可能である。
【0019】
図7は、本発明を適用するシステム形態の例を示す図である。システムA及びシステムBは、それぞれ端末装置3,3’、サーバ5,5’及び鍵管理装置8,8’から構成され、システムAとシステムBは通信網を介して接続されている。
【0020】
公開部門鍵221及び対となる秘密部門鍵222を機密区分ごとに設けておくことによってデータ鍵212が機密区分の役割を果たし、その機密区分のデータについてアクセス権をもつユーザグループの間でデータを共有できる。またデータDT1(EK1)に対応するデータ鍵EK1(DP1)の公開部門鍵221をDP2に変更する場合には、端末装置3から元のデータ鍵212と変更後の機密区分とをサーバ5へ送信し、サーバ5は秘密部門鍵DS1(MP)、データ鍵EK1(DP1)及び公開部門鍵DP2を鍵管理装置8へ送信し、鍵管理装置8は秘密マスタ鍵MSによって秘密部門鍵DS1(MP)を復号しDS1を得る。次にDS1を用いてデータ鍵EK1(DP1)を復号しEK1とした後、新たな公開部門鍵DP2によってデータ鍵EK1を再度暗号化してデータ鍵EK1(DP2)を得る。これを受けたサーバ5は記憶装置21に格納されるデータ鍵EK1(DP1)をデータ鍵EK1(DP2)によって更新する。これによってデータDT1(EK1)を復号することなくデータの機密区分を変更できる。システムAからシステムBにデータを伝送する場合も同様にデータ鍵EK1(DP1)について上記と同様の手順を実行し他システムBの公開部門鍵DP1’によって再暗号化することによって安全に他システムBへデータを伝送することができる。
【0021】
以上述べたように、データの参照と登録、データの機密区分の変更、他システムへデータ伝送する場合には必ずサーバ5が介入してユーザの認証に続いてデータ操作の権限をチェックするので、権限のない人間が不正にデータを取得したり勝手にデータを配布する操作を防止することができる。またサーバ5から端末装置3へ送信するデータ及びデータ鍵が盗聴されたとしても、データ鍵は公開部門鍵又は公開個人鍵によって暗号化されているので秘密部門鍵又は秘密個人鍵を知らなければ復号できず、従ってデータの機密性を確保できることが理解される。
【0022】
なお上記実施形態では、鍵管理装置8をサーバ5から独立した装置として設けたが、サーバ5側の記憶装置21、記憶装置22、データ及びデータ鍵アクセス部24、参照・登録権判定部25、部門鍵アクセス部26と鍵管理装置8の記憶装置71、マスタ鍵アクセス部72、秘密部門鍵復号部73、データ鍵暗号化部74とが独立した関係に保たれるならば、鍵管理装置8の各処理部及びデータ部をサーバ内に設けてもよい。なおサーバ5の管理者に信頼を置くのであれば、マスタ鍵を設けず秘密部門鍵DSを暗号化しないものとしてもよい。また上記実施形態では1つのサーバ5に対して1台の鍵管理装置8及び1つのマスタ鍵を設けたが、複数のサーバ5と鍵管理装置8の各々について複数のマスタ鍵を設けることも可能である。また複数台のサーバ5に対して1台の鍵管理装置8を設けることも可能である。また本実施形態に示したユーザ認証方式はあくまで一つの例であり、ケルベロス認証等の他の個人認証技術を使うことが可能である。
【0023】
【発明の効果】
以上説明したように本発明によれば、暗号通信技術を用いてユーザグループの間で安全にデータを共有でき、しかも特別なハードウェアやオペレーティングシステムに依存しないアクセス制御を実現できる。
【図面の簡単な説明】
【図1】実施形態のアクセス制御システムの構成図である。
【図2】実施形態のデータ登録時の端末装置3及びサーバ5の処理の流れを示すフローチャートである。
【図3a】実施形態のデータ参照時の端末装置3及びサーバ5の処理の流れを示すフローチャートである。
【図3b】実施形態のデータ参照時の鍵管理装置8の処理の流れを示すフローチャートである。
【図4】データ、データ鍵及び機密区分の関連を説明する図である。
【図5】ユーザ認証処理の例を説明する図である。
【図6】実施形態のデータの参照権及び登録権を判定する処理を説明する図である。
【図7】本発明を適用するシステム形態の例を示す図である。
【図8】従来の暗号通信システムの構成を示す図である。
【符号の説明】
3:端末装置、5:サーバ、8:鍵管理装置、13:データ鍵生成部、14:データ暗号化部、15:データ鍵暗号化部、17:データ鍵復号部、18:データ復号部、23:参照・登録権テーブル、25:参照・登録権判定部、73:秘密部門鍵復号部、74:データ鍵暗号化部、111:公開個人鍵、112:秘密個人鍵、211:データ、212:データ鍵、221:公開部門鍵、222:秘密部門鍵、711:公開マスタ鍵、712:秘密マスタ鍵
【発明の属する技術分野】
本発明は、暗号化されたデータのアクセス制御方法に係わり、特に暗号化されたデータを同一のアクセス権をもったユーザの間で共有するときのアクセス制御方法に関する。
【0002】
【従来の技術】
端末装置とサーバ装置との間で暗号通信する方法として、例えば特開平3−243035号公報は、共通鍵暗号方式に従ってデータをデータ鍵によって暗号化し、データ鍵を公開鍵暗号方式の公開鍵によって暗号化して送信する暗号通信システムを開示する。データの暗号化と復号には同一のデータ鍵を用いるためにデータの暗号化と復号処理が高速に行われる。
【0003】
図8は、上記暗号通信システムの構成を示す図である。各端末装置90は、ユーザの数だけの公開個人鍵PP1,PP2,・・・と端末ごとの秘密鍵TS1,TS2,・・・を保持する。サーバ91は、端末対応の公開鍵TP1,TP2,・・・とユーザの数だけの秘密個人鍵PS1,PS2,・・・を保持する。鍵管理装置92は、公開マスタ鍵MP及び秘密マスタ鍵MSを保持する。秘密個人鍵は、公開マスタ鍵MPによって暗号化されている。図中で記号X(Y)は、対象Xが鍵Yによって暗号化されていることを示す。対象Xはデータ、データ鍵、秘密個人鍵などである。端末装置90からサーバ91を利用するユーザ1に対して暗号通信するときには、端末装置90で発生させたデータ鍵EKをユーザ1の公開個人鍵PP1によって暗号化してEK(PP1)となったデータ鍵をサーバ91へ送信する。サーバ91にはユーザ1だけがアクセス権を有する領域に秘密個人鍵PS1(MP)が保持されているので、ユーザ1はこの秘密個人鍵PS1(MP)にアクセスし、サーバ91及び鍵管理装置92がPS1(MP)を復号した後の秘密個人鍵PS1を用いてデータ鍵EK(PP1)を復号し、得られたデータ鍵EKによって端末装置90からサーバ91へ送られたデータDT(EK)を復号することができる。サーバ91から端末装置90に暗号通信するときには、サーバ91で発生させたデータ鍵EKを端末の公開鍵TP1によって暗号化してEK(TP1)となったデータ鍵を端末装置90へ送信する。端末装置90では秘密鍵TS1を用いてデータ鍵EK(TP1)を復号し、得られたデータ鍵EKによってサーバ91から端末装置90へ送られたデータDT(EK)を復号することができる。鍵管理装置92は外部から読み出すことができない公開マスタ鍵MPによって秘密個人鍵PSを暗号化し、秘密マスタ鍵MSによって秘密個人鍵PS(MP)を復号する。
【0004】
【発明が解決しようとする課題】
上記従来技術は、暗号通信技術を使って安全にデータの登録と参照を可能とするが、暗号通信は個人対個人の通信に限られており、同一のデータ参照権を有するユーザグループの間でデータを共有するという考え方は見当らない。一方機密性が求められるデータを共有する技術として、強制アクセス制御と呼ばれる技術が知られているが、この技術は特別なオペレーティングシステムによる制御が必要とされ、特定の計算機ハードウェア及びオペレーティングシステムの下でなければ利用できなかった。特別なハードウェアやオペレーティングシステムを導入することなく、安全性の高い暗号通信技術を利用して機密性のあるデータをユーザグループの間で共有する技術が望まれている。
【0005】
本発明の目的は、暗号化されたデータをユーザグループの間で安全に共有するアクセス制御方法を提供することにある。
【0006】
【課題を解決するための手段】
本発明は、複数の端末装置とサーバ装置とがネットワークによって接続されるシステムのアクセス制御方法であって、端末装置側に公開個人鍵と対応する秘密個人鍵とを保持し、サーバ側に機密区分の各レベルに対応して公開部門鍵とそれぞれ対応する秘密部門鍵とを保持する。端末装置では共通鍵暗号方式に従ってデータを暗号化し、指定された機密区分に対応する公開部門鍵を用いてデータ鍵を暗号化して、暗号化されたデータとデータ鍵とをサーバへ送信し、サーバによって記憶装置に格納する。サーバに格納された共有データをアクセスするときには、端末装置によってサーバからデータとデータ鍵とを取得し、公開個人鍵と受け取ったデータ鍵とをサーバへ送信し、サーバによって秘密部門鍵を用いてデータ鍵を復号し、公開個人鍵を用いて復号したデータ鍵を暗号化して端末装置へ送信し、端末装置によって秘密個人鍵を用いてデータ鍵を復号し、復号したデータ鍵によって取得したデータを復号する。
【0007】
【発明の実施の形態】
以下、本発明のアクセス制御システムの一実施形態について図面を用いて説明する。
【0008】
図1は、本実施形態のシステムの構成図である。端末装置3はデータを入力及び出力する装置である。サーバ5は入力されたデータ及びデータ鍵を格納するとともに、データの機密区分に従って部門鍵(ドメインの鍵)を格納する装置である。鍵管理装置8は、部門鍵を復号するためのマスタ鍵を格納し、秘密マスタ鍵によって部門鍵を復号する装置である。本実施形態では、データの暗号化/復号にはともに同一の鍵を用いる共通鍵暗号方式を適用する。またデータを暗号化するときの鍵であるデータ鍵の暗号化/復号にはそれぞれ異なる鍵を用いる公開鍵暗号方式を適用する。
【0009】
端末装置3に接続される記憶装置11は、個人鍵として公開個人鍵111と秘密個人鍵112とを格納する。入出力部12は図示しないキーボード/表示装置/記憶装置のような入出力装置からのデータの入出力を制御する制御部である。データ鍵生成部13は、共通鍵暗号方式に従ってデータ鍵を生成する処理部である。データ暗号化部14は、共通鍵暗号方式に従って入力されたデータを生成されたデータ鍵によって暗号化する処理部である。データ鍵暗号化部15は、公開鍵暗号方式に従って生成されたデータ鍵を公開部門鍵221によって暗号化する処理部である。個人鍵アクセス部16は、記憶装置11の個人鍵へのアクセスを制御する制御部である。データ鍵復号部17は、公開鍵暗号方式に従ってサーバ5から受け取ったデータ鍵を秘密個人鍵112によって復号する処理部である。データ復号部18は、共通鍵暗号方式に従って復号されたデータ鍵によってデータを復号する処理部である。通信制御部19は、ネットワークを介して端末装置3とサーバ5との間に公開部門鍵221、データ211、データ鍵212及び公開個人鍵111を送受信するよう制御する制御部である。なお端末装置3にはこの他に個人鍵を生成する処理部が存在する。
【0010】
サーバ5に接続される記憶装置21は、データ211及びデータ鍵212を格納する。データ211は共通鍵暗号方式に従ってデータ鍵EKによって暗号化された状態で格納され、データ鍵212は公開鍵暗号方式に従って公開部門鍵221によって暗号化された状態で格納される。また記憶装置22は、部門鍵として公開部門鍵221及び秘密部門鍵222を格納する。秘密部門鍵222は公開鍵暗号方式に従って公開マスタ鍵711で暗号化された状態で格納される。参照・登録権テーブル23は、各ユーザのグループについてデータ参照時及びデータ登録時の機密区分のレベルを登録するものであり、サーバ5に接続される記憶装置上に格納される。データ及びデータ鍵アクセス部24は、記憶装置21上のデータ211及びデータ鍵212へのアクセスを制御する制御部である。部門鍵アクセス部26は、記憶装置22上の部門鍵へのアクセスを制御する制御部である。参照・登録権判定部25は、参照・登録権テーブル23を参照して各ユーザが要求するデータ参照及び登録が妥当か否かを判定する処理部である。通信制御部27は、ネットワークを介して端末装置3との間の通信を制御するほかに、ネットワークを介して鍵管理装置8との間に公開個人鍵111、データ鍵及び秘密部門鍵222を送受信するよう制御する制御部である。なおサーバ5には端末装置3を利用するユーザに通常のサービスを提供するモードと、通常のサービスを停止してサーバ5の記憶装置22上の部門鍵を更新するメンテナンスモードとの2つのモードがある。サーバ5がメンテナンスモードのときには、図示しない部門鍵を更新する処理部が動作し、図示しない入出力部から入力されるデータに従って部門鍵を更新する。
【0011】
鍵管理装置8に接続される記憶装置71は、マスタ鍵として公開マスタ鍵711及び秘密マスタ鍵712を格納する。マスタ鍵アクセス部72は、記憶装置71上のマスタ鍵へのアクセスを制御する制御部である。秘密部門鍵復号部73は、公開鍵暗号方式に従って秘密マスタ鍵712により秘密部門鍵222を復号し、復号された秘密部門鍵によってデータ鍵212を復号する処理部である。データ鍵暗号化部74は、復号されたデータ鍵を公開個人鍵111によって暗号化する処理部である。通信制御部75は、ネットワークを介して通信制御部27との間の通信を制御する制御部である。なお鍵管理装置8には通常のサービスを提供するモードと、記憶装置71上のマスタ鍵を更新するメンテナンスモードとの2つのモードがあるが、サーバ5と鍵管理装置8とは同時には同じモードでなければならない。鍵管理装置8がメンテナンスモードのときには、図示しないマスタ鍵を更新する処理部が動作し、鍵管理装置8内の図示しない入出力部から入力されるデータに従ってマスタ鍵を更新する。
【0012】
端末装置3、サーバ5及び鍵管理装置8は、例えばパソコンのような情報処理装置であり、各制御部及び処理部はハードウェアによって又はこの情報処理装置の記憶装置に格納するプログラムを実行することによって実現される。
【0013】
図2は、データをデータ鍵によって暗号化し、暗号化されたデータとデータ鍵を記憶装置21に格納するまでの端末装置3及びサーバ5の処理の流れを示すフローチャートである。端末装置3の入出力部12は、例えばファイルのようにまとまったデータとその機密区分を入力する(ステップ31)。データ鍵生成部13は、データ鍵EKを生成する(ステップ32)。データ鍵は乱数、日付等を種データとしてこれから生成される。次にデータ暗号化部14は入力されたデータを生成されたデータ鍵によって暗号化する(ステップ33)。次にデータ鍵暗号化部15は、通信制御部19を介してサーバ5へ公開部門鍵の送信要求を送信する(ステップ34)。この送信要求は機密区分の指定を含んでいる。サーバ5の通信制御部27は、この要求を受信し(ステップ51)、ユーザの認証をした後、参照・登録権判定部25は参照・登録権テーブル23を参照して要求されたデータの登録が妥当か否かを判定する(ステップ52)。要求が妥当であれば、部門鍵アクセス部26を介して指定された機密区分に対応する公開部門鍵221を取り出して端末装置3へ送信する(ステップ53)。データ鍵暗号化部15は、通信制御部19を介してこの公開部門鍵221を受信し(ステップ35)、データ鍵EKをこの公開部門鍵221によって暗号化する(ステップ36)。次にデータ暗号化部14及びデータ鍵暗号化部15は、それぞれ暗号化されたデータDT(EK)及び暗号化されたデータ鍵EK(DP)を通信制御部19を介してサーバ5へ送信する(ステップ37)。通信制御部27は、このデータ及びデータ鍵を受信し、データ及びデータ鍵アクセス部24を介してそれぞれデータ211及びデータ鍵212として両者を対応づけて記憶装置21に格納する(ステップ54)。
【0014】
図3a及び図3bは、サーバ5に格納されたデータを参照するときの端末装置3、サーバ5及び鍵管理装置8の処理の流れを示すフローチャートである。端末装置3の入出力部12は、対象となるデータの名称、例えばファイル名を入力し、通信制御部19を介してサーバ5へデータ要求を送信する(ステップ41)。サーバ5の通信制御部27は、この要求を受信し(ステップ61)、ユーザの認証をした後、参照・登録権判定部25は、参照・登録権テーブル23を参照して要求されたデータの参照が妥当か否かを判定する(ステップ62)。要求が妥当であれば、データ鍵アクセス部24は、指定されたデータ211と対応するデータ鍵212とを送信する(ステップ63)。入出力部12は、このデータ211及びデータ鍵212を受信し(ステップ42)、個人鍵アクセス部16を介して公開個人鍵111を取り出し(ステップ43)、この公開個人鍵111及び受信したデータ鍵212を通信制御部19を介してサーバ5へ送信する(ステップ44)。通信制御部27はこの公開個人鍵111及びデータ鍵212を受信し(ステップ64)、部門鍵アクセス部26は秘密部門鍵222を取り出して(ステップ65)、端末装置3から受け取った公開個人鍵111とデータ鍵212並びに取り出した秘密部門鍵222を通信制御部27を介して鍵管理装置8へ送信する(ステップ66)。鍵管理装置8の秘密部門鍵復号部73は、通信制御部75を介してこれらの情報を受信し(ステップ81)、マスタ鍵アクセス部72を介して秘密マスタ鍵712を取り出し(ステップ82)、秘密マスタ鍵712によって秘密部門鍵222を復号し(ステップ83)、復号された秘密部門鍵DSでデータ鍵212を復号する(ステップ84)。次にデータ鍵暗号化部74は、公開個人鍵111によって得られたデータ鍵EKを暗号化し(ステップ85)、通信制御部75を介してサーバ5へこのデータ鍵EK(PP)を送信する(ステップ86)。通信制御部27はこのデータ鍵を受信し(ステップ67)、端末装置3へ転送する(ステップ68)。端末装置3のデータ鍵復号部17は、通信制御部19を介してこのデータ鍵EK(PP)を受信し(ステップ45)、個人鍵アクセス部16を介して秘密個人鍵112を取り出し(ステップ46)、データ鍵EK(PP)を秘密個人鍵112によって復号する(ステップ47)。次にデータ復号部18は得られたデータ鍵EKによって先に受信したデータ211を復号し(ステップ48)、入出力部12が復号されたデータを出力装置に出力する(ステップ49)。
【0015】
図4は、データ211、データ鍵212と機密区分との関連を説明する図である。機密区分は、レベル1,レベル2,・・・のように区分される。機密区分の各レベルは、後述するようにユーザのグループと関連付けられており、各ユーザグループは参照・登録権テーブル23に登録されているレベルの部門鍵しか利用できない。データ鍵によって暗号化されたデータ211は、機密区分とは独立である。公開部門鍵221及び秘密部門鍵222は、それぞれ機密区分のレベルに対応して設定されるので、公開部門鍵221によって暗号化され、秘密部門鍵222によって復号されるデータ鍵212は、機密区分のいずれかのレベルに対応して登録される。
【0016】
図5は、データの参照又は登録に先立って行うユーザの認証処理の例を説明する図である。サーバ5は、各ユーザのユーザ名とパスワードとの対応テーブル、認証用公開鍵及び認証用秘密鍵を記憶装置に保持する。端末装置3は入力されたユーザ名(ユーザコード)をサーバ5へ送信する。サーバ5の図示しない認証処理部は、このテーブルを参照してユーザ名が登録してあれば、認証用公開鍵IPを端末装置3へ送信する。端末装置3は入力されたパスワードをこの認証用公開鍵で暗号化してサーバ5へ送る。サーバ5は、暗号化されたパスワードPWA(IP)を認証用秘密鍵ISで復号してパスワードPWAを得て、テーブル上のユーザ名Aに対応するパスワードPWAと照合する。パスワードが一致すれば、サーバ5は操作を許可するメッセージを端末装置3へ送信し、端末装置3はデータの参照又は登録の要求を送信する。なお認証用公開鍵及び認証用秘密鍵は適当な頻度で新しい鍵に変更されるものとする。
【0017】
図6は、参照・登録権判定部25が行うデータの参照権及び登録権を判定する処理の具体例を説明する図である。ユーザの認証処理に使用されるユーザ名とパスワードの対応テーブルは、各ユーザごとにそのユーザの属するユーザグループの識別子を保持している。また参照・登録権テーブル23は、各グループごとにデータ参照を許可する機密区分のレベルとデータ登録を許可する機密区分のレベルとを設定する。データ登録権のあるユーザはそのデータを更新することもできる。例えばユーザ名Aのユーザは、ユーザグループG1に属するので、機密区分がレベル1のデータしか参照できない。また機密区分がレベル1のデータしか登録できない。またデータ鍵の機密区分を変更する場合には、ユーザは変更前のデータの参照権と変更後のデータの登録権を必要とする。例えば機密区分をレベル1からレベル2に変更する場合には、グループGpに属するユーザのようにレベル1のデータの参照権とレベル2のデータの登録権が必要である。図6の例において機密区分のレベルnは、他システムへデータを転送する権限を設定する。従って例えばグループGkに属するユーザのようにレベルnのデータについて登録権のあるユーザのみが他システムへデータを転送できる。
【0018】
上記実施形態によれば、サーバ5に格納されるデータ鍵212は機密区分に対応して暗号化されるとともに参照・登録権テーブル23に従って参照・登録権のチェックを行うので、その機密区分をもったデータについて参照・登録権のあるユーザだけがそのデータを参照・登録できる。特に機密性の高いレベルのデータが機密性の低いレベルのデータに書き換えられることがないように参照・登録権テーブル23の機密区分のレベルを機密性の程度に応じて設定し、各ユーザグループに許可する機密区分のレベルを制限することによって、機密性の高いデータのセキュリティを強化できる。またユーザはいずれかのユーザグループに属するので、そのユーザグループに対して許可される機密区分をもったデータを共有することができる。データ鍵212は機密区分に対応しているが、データ211は機密区分から独立しているので、ネットワークを介してデータ211を伝送したりデータ211を復号することなくデータ鍵EK(DP)の機密区分を変更することが可能である。ステップ84でデータ鍵212が復号された後は、データ鍵EKは機密区分から独立となる。そしてステップ85で公開個人鍵によって暗号化されてネットワークを介して端末装置3まで伝送されるので、ネットワーク伝送中のデータ鍵EKの盗聴は実質的に無効である。またサーバ5の管理者は秘密マスタ鍵222を復号できず、従ってデータ鍵212を復号できず、実質的にデータ211にアクセスできない。さらに本発明は、オペレーティングシステムに依存せずアプリケーションプログラムのレベルで実現できるので、特定のハードウェアやオペレーティングシステムには依存しないアクセス制御が可能である。
【0019】
図7は、本発明を適用するシステム形態の例を示す図である。システムA及びシステムBは、それぞれ端末装置3,3’、サーバ5,5’及び鍵管理装置8,8’から構成され、システムAとシステムBは通信網を介して接続されている。
【0020】
公開部門鍵221及び対となる秘密部門鍵222を機密区分ごとに設けておくことによってデータ鍵212が機密区分の役割を果たし、その機密区分のデータについてアクセス権をもつユーザグループの間でデータを共有できる。またデータDT1(EK1)に対応するデータ鍵EK1(DP1)の公開部門鍵221をDP2に変更する場合には、端末装置3から元のデータ鍵212と変更後の機密区分とをサーバ5へ送信し、サーバ5は秘密部門鍵DS1(MP)、データ鍵EK1(DP1)及び公開部門鍵DP2を鍵管理装置8へ送信し、鍵管理装置8は秘密マスタ鍵MSによって秘密部門鍵DS1(MP)を復号しDS1を得る。次にDS1を用いてデータ鍵EK1(DP1)を復号しEK1とした後、新たな公開部門鍵DP2によってデータ鍵EK1を再度暗号化してデータ鍵EK1(DP2)を得る。これを受けたサーバ5は記憶装置21に格納されるデータ鍵EK1(DP1)をデータ鍵EK1(DP2)によって更新する。これによってデータDT1(EK1)を復号することなくデータの機密区分を変更できる。システムAからシステムBにデータを伝送する場合も同様にデータ鍵EK1(DP1)について上記と同様の手順を実行し他システムBの公開部門鍵DP1’によって再暗号化することによって安全に他システムBへデータを伝送することができる。
【0021】
以上述べたように、データの参照と登録、データの機密区分の変更、他システムへデータ伝送する場合には必ずサーバ5が介入してユーザの認証に続いてデータ操作の権限をチェックするので、権限のない人間が不正にデータを取得したり勝手にデータを配布する操作を防止することができる。またサーバ5から端末装置3へ送信するデータ及びデータ鍵が盗聴されたとしても、データ鍵は公開部門鍵又は公開個人鍵によって暗号化されているので秘密部門鍵又は秘密個人鍵を知らなければ復号できず、従ってデータの機密性を確保できることが理解される。
【0022】
なお上記実施形態では、鍵管理装置8をサーバ5から独立した装置として設けたが、サーバ5側の記憶装置21、記憶装置22、データ及びデータ鍵アクセス部24、参照・登録権判定部25、部門鍵アクセス部26と鍵管理装置8の記憶装置71、マスタ鍵アクセス部72、秘密部門鍵復号部73、データ鍵暗号化部74とが独立した関係に保たれるならば、鍵管理装置8の各処理部及びデータ部をサーバ内に設けてもよい。なおサーバ5の管理者に信頼を置くのであれば、マスタ鍵を設けず秘密部門鍵DSを暗号化しないものとしてもよい。また上記実施形態では1つのサーバ5に対して1台の鍵管理装置8及び1つのマスタ鍵を設けたが、複数のサーバ5と鍵管理装置8の各々について複数のマスタ鍵を設けることも可能である。また複数台のサーバ5に対して1台の鍵管理装置8を設けることも可能である。また本実施形態に示したユーザ認証方式はあくまで一つの例であり、ケルベロス認証等の他の個人認証技術を使うことが可能である。
【0023】
【発明の効果】
以上説明したように本発明によれば、暗号通信技術を用いてユーザグループの間で安全にデータを共有でき、しかも特別なハードウェアやオペレーティングシステムに依存しないアクセス制御を実現できる。
【図面の簡単な説明】
【図1】実施形態のアクセス制御システムの構成図である。
【図2】実施形態のデータ登録時の端末装置3及びサーバ5の処理の流れを示すフローチャートである。
【図3a】実施形態のデータ参照時の端末装置3及びサーバ5の処理の流れを示すフローチャートである。
【図3b】実施形態のデータ参照時の鍵管理装置8の処理の流れを示すフローチャートである。
【図4】データ、データ鍵及び機密区分の関連を説明する図である。
【図5】ユーザ認証処理の例を説明する図である。
【図6】実施形態のデータの参照権及び登録権を判定する処理を説明する図である。
【図7】本発明を適用するシステム形態の例を示す図である。
【図8】従来の暗号通信システムの構成を示す図である。
【符号の説明】
3:端末装置、5:サーバ、8:鍵管理装置、13:データ鍵生成部、14:データ暗号化部、15:データ鍵暗号化部、17:データ鍵復号部、18:データ復号部、23:参照・登録権テーブル、25:参照・登録権判定部、73:秘密部門鍵復号部、74:データ鍵暗号化部、111:公開個人鍵、112:秘密個人鍵、211:データ、212:データ鍵、221:公開部門鍵、222:秘密部門鍵、711:公開マスタ鍵、712:秘密マスタ鍵
Claims (5)
- 公開個人鍵と対応する秘密個人鍵とを保持する複数の端末装置と、機密区分の各レベルに対応して公開部門鍵とそれぞれ対応する秘密部門鍵とを保持するサーバとがネットワークによって接続されるシステムのアクセス制御方法であって、
端末装置によってデータ鍵を生成し、該データ鍵を用いてデータを暗号化し、指定された機密区分に対応する公開部門鍵を用いて該データ鍵を暗号化し、暗号化されたデータとデータ鍵とを該サーバへ送信し、
該サーバによって該データと該データ鍵とを共有データとして記憶装置に格納し、
端末装置によって該サーバから該データと該データ鍵とを取得し、公開個人鍵と受け取った該データ鍵とを該サーバへ送信し、
該サーバによって該秘密部門鍵を用いて該データ鍵を復号し、該公開個人鍵を用いて復号したデータ鍵を暗号化して該端末装置へ送信し、
該端末装置によって秘密個人鍵を用いて該データ鍵を復号し、復号したデータ鍵によって取得した該データを復号することを特徴とする暗号化された共有データのアクセス制御方法。 - 該端末装置によって該データと該データ鍵とを取得する前に、該サーバによってユーザが属するユーザグループと該ユーザグループに許可されるデータ参照の機密区分とから該データを参照する権限の有無を判定することを特徴とする請求項1記載の暗号化された共有データのアクセス制御方法。
- さらに該端末装置によって該サーバから該データ鍵を取得し、受け取った該データ鍵と変更後の機密区分とを該サーバへ送信し、
該サーバによって該秘密部門鍵を用いて受け取った該データ鍵を復号し、指定された機密区分に対応する公開部門鍵によって復号したデータ鍵を暗号化し、該記憶装置に格納される元の該データ鍵を変更後の暗号化したデータ鍵によって更新することを特徴とする請求項1記載の暗号化された共有データのアクセス制御方法。 - 公開個人鍵と対応する秘密個人鍵とを保持する複数の端末装置と、機密区分の各レベルに対応して公開部門鍵とそれぞれ対応する秘密部門鍵とを保持するサーバとがネットワークによって接続されるシステムのアクセス制御方法であって、
端末装置によってデータ鍵を生成し、該データ鍵を用いてデータを暗号化し指定された機密区分に対応する公開部門鍵を用いて該データ鍵を暗号化し、暗号化されたデータとデータ鍵とを該サーバへ送信し、
該サーバによって該データと該データ鍵とを共有データとして記憶装置に格納し、
端末装置によって該サーバから該データと該データ鍵とを取得し、公開個人鍵と受け取った該データ鍵とを該サーバへ送信し、
該サーバに接続される鍵管理装置によって該秘密部門鍵を用いて該データ鍵を復号し、該公開個人鍵を用いて復号したデータ鍵を暗号化して該サーバを経由して該端末装置へ送信し、
該端末装置によって秘密個人鍵を用いて該データ鍵を復号し、復号したデータ鍵によって取得した該データを復号することを特徴とする暗号化された共有データのアクセス制御方法。 - 公開個人鍵と対応する秘密個人鍵とを保持する複数の端末装置と、機密区分の各レベルに対応して公開部門鍵とそれぞれ対応する秘密部門鍵とを保持するサーバとがネットワークによって接続されるアクセス制御システムであって、
該端末装置は、データ鍵を生成し、該データ鍵を用いてデータを暗号化し指定された機密区分に対応する公開部門鍵を用いて該データ鍵を暗号化し、暗号化されたデータとデータ鍵とを該サーバへ送信する手段と、該サーバから該データと該データ鍵とを取得し、公開個人鍵と受け取った該データ鍵とを該サーバへ送信する手段とを有し、
該サーバは、該データと該データ鍵とを共有データとして記憶装置に格納する手段と、該秘密部門鍵を用いて該データ鍵を復号し、該公開個人鍵を用いて復号したデータ鍵を暗号化して該端末装置へ送信する手段とを有し、
該端末装置は、さらに秘密個人鍵を用いて受信した該データ鍵を復号し、復号したデータ鍵によって取得した該データを復号する手段を有することを特徴とする暗号化された共有データのアクセス制御システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP10750196A JP3684266B2 (ja) | 1996-04-26 | 1996-04-26 | 暗号化された共有データのアクセス制御方法及びシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP10750196A JP3684266B2 (ja) | 1996-04-26 | 1996-04-26 | 暗号化された共有データのアクセス制御方法及びシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH09294120A JPH09294120A (ja) | 1997-11-11 |
JP3684266B2 true JP3684266B2 (ja) | 2005-08-17 |
Family
ID=14460817
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP10750196A Expired - Fee Related JP3684266B2 (ja) | 1996-04-26 | 1996-04-26 | 暗号化された共有データのアクセス制御方法及びシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3684266B2 (ja) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4353552B2 (ja) * | 1998-06-18 | 2009-10-28 | 富士通株式会社 | コンテンツサーバ,端末装置及びコンテンツ送信システム |
JP2000124887A (ja) * | 1998-10-14 | 2000-04-28 | Fuji Xerox Co Ltd | グループ単位の暗号化・復号方法および署名方法ならびに装置 |
JP4089171B2 (ja) * | 2001-04-24 | 2008-05-28 | 株式会社日立製作所 | 計算機システム |
JP3984570B2 (ja) * | 2003-02-12 | 2007-10-03 | 株式会社パンプキンハウス | 署名/検証システムにおける鍵管理サーバおよび検証装置を制御するプログラム |
JP3919700B2 (ja) * | 2003-06-06 | 2007-05-30 | 株式会社モバイル・テクニカ | 暗号システム及びその暗号文処理方法 |
EP1927060B1 (en) | 2005-08-09 | 2019-10-09 | Nexsan Technologies Canada Inc. | Data archiving method and system |
JP4489044B2 (ja) * | 2006-03-27 | 2010-06-23 | 株式会社リコー | 情報記録装置、情報記録方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 |
US9407440B2 (en) * | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
JP6907491B2 (ja) * | 2016-09-20 | 2021-07-21 | コニカミノルタ株式会社 | 情報共有サーバー、情報共有システム及びプログラム |
-
1996
- 1996-04-26 JP JP10750196A patent/JP3684266B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JPH09294120A (ja) | 1997-11-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10803194B2 (en) | System and a method for management of confidential data | |
JP5265744B2 (ja) | 導出鍵を用いたセキュアメッセージングシステム | |
EP1101317B1 (en) | Method and apparatuses for secure distribution of public/private key pairs | |
US7688975B2 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
US6317829B1 (en) | Public key cryptography based security system to facilitate secure roaming of users | |
US7685421B2 (en) | System and method for initializing operation for an information security operation | |
US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
JP3776619B2 (ja) | 暗号通信端末、暗号通信センター装置、暗号通信システム及び記憶媒体 | |
CN111600875B (zh) | 基于数据源和数据主隐藏的匿名数据共享方法及*** | |
US20070240226A1 (en) | Method and apparatus for user centric private data management | |
Gittler et al. | The DCE security service | |
US20050027979A1 (en) | Secure transmission of data within a distributed computer system | |
EP1501238B1 (en) | Method and system for key distribution comprising a step of authentication and a step of key distribution using a KEK (key encryption key) | |
JPH07325785A (ja) | ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ | |
MXPA02008919A (es) | Sistema automatico de proteccion de identidad con verificacion remota de terceras partes. | |
US20020147917A1 (en) | Distribution of secured information | |
JPH08320847A (ja) | パスワード管理システム | |
JP3684266B2 (ja) | 暗号化された共有データのアクセス制御方法及びシステム | |
JPH10336172A (ja) | 電子認証用公開鍵の管理方法 | |
JP2001111538A (ja) | 通信システムとその方法、通信装置およびicカード | |
EP1185024B1 (en) | System, method, and program for managing a user key used to sign a message for a data processing system | |
JP2001285286A (ja) | 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置 | |
JPH09130376A (ja) | 利用者パスワード認証方法 | |
JPH0756796A (ja) | データベース管理装置のセキュリティ装置 | |
JP2002135239A (ja) | 暗号化データ配信サービスシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050524 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050530 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090603 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |