データ変換システム、鍵サーバ及びそのためのプログラム、及びデータ変換方法
【課題】暗号化光ディスクの鍵ペアの管理は、エンドユーザには負担が大きい。
【解決手段】鍵作成申請文書と、これに関連付けられる鍵ファイルと、文書を管理する文書テーブルを鍵サーバに用意する。クライアントは鍵サーバによって、鍵ファイルの作成状況を確認できると共に、鍵ファイルをダウンロードすることができる。クライアントを操作するユーザは、ダウンロードされる鍵ファイルの在り処を意識せずに、データの暗号化或は復号化を実行できる。
【解決手段】鍵作成申請文書と、これに関連付けられる鍵ファイルと、文書を管理する文書テーブルを鍵サーバに用意する。クライアントは鍵サーバによって、鍵ファイルの作成状況を確認できると共に、鍵ファイルをダウンロードすることができる。クライアントを操作するユーザは、ダウンロードされる鍵ファイルの在り処を意識せずに、データの暗号化或は復号化を実行できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、公開鍵暗号方式に基づくデータの暗号化及び復号化システムに適用して好適な技術に関する。
【背景技術】
【0002】
近年、文書や画像を電子化した電子ファイルを磁気ディスクなどの記録媒体に格納して、納品先に郵送または配送する電子納品が行われている。これらの電子納品において、いわゆる機密情報を電子納品する場合には、高度な機密性を担保するセキュリティ対策を施さなければならない。
【0003】
高度な機密性を担保するセキュリティ対策として、出願人は、公開鍵暗号方式に基づく鍵ペアを作成し、公開鍵をCD−R等の追記録型光ディスクに記録し、この公開鍵を用いてデータを暗号化して追記録型光ディスクに記録する技術を開発した(特許文献1参照)。
【特許文献1】特開2006−20253号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
特許文献1によれば、極めて高度な機密性を光ディスクに実現することができる。
しかし、鍵ペアはデータを搬送する目的に応じてその都度作成されるものである。つまり、暗号化処理を施した光ディスクを作成するに連れて、鍵ペアは増えていく。
この鍵ペアは、特に秘密鍵においては機密性を保持しつつ管理していかなければならない。
暗号化光ディスクを作成するに連れて増え続ける鍵ペアを、機密性を保持しながら管理し続けることは、エンドユーザレベルでは困難である。例えば、管理するパソコンのハードディスクがクラッシュする等で鍵ペアが失われたら、取り返しが付かなくなってしまう。
【0005】
本発明はかかる点に鑑みてなされたものであり、ユーザを鍵ペアの管理から開放し、利便性を向上することができるデータ変換システム、鍵サーバ及びそのためのプログラム、及びデータ変換方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記課題を解決するための本発明は、鍵サーバに、公開鍵暗号方式にて作成される、公開鍵と秘密鍵を含む鍵データを、文書に関連付けて、その文書名と、鍵データの状態の各フィールドを有する文書テーブルを用意する。
そして、鍵サーバは、クライアントに文書テーブルの内容を閲覧可能に表示させ、選択された文書に関連する鍵データをクライアントに送信する。
クライアントは、受信した鍵データを用いて、任意のデータを暗号化すると共に、暗号化されたデータを復号するものである。
【発明の効果】
【0007】
本発明により、ユーザを鍵ペアの管理から開放し、利便性を向上することができるデータ変換システム、鍵サーバ及びそのためのプログラム、及びデータ変換方法を提供できる。
【発明を実施するための最良の形態】
【0008】
以下、本発明の実施の形態を、図1〜図17を参照して説明する。
【0009】
図1は、本発明の実施の形態の例である、光ディスク記録再生システムの全体概略図である。
通常、光ディスクはスタンドアロンのパソコンでデータの記録再生が完結するが、本実施形態の光ディスクは、データを暗号化してディスクに記録し、再生は暗号化したデータの復号を必要とする。その際に、暗号化のための公開鍵及び復号化のための秘密鍵を鍵サーバがデータベース化して管理している。したがって、クライアントのパソコン(以下「クライアントPC」と略す)は鍵サーバから必要な鍵ファイルをダウンロードして、暗号化又は復号化を行う必要がある。つまり、クライアントPCだけでは光ディスクの記録及び再生ができない。そこで、クライアントサーバシステムを構築し、このシステム全体で光ディスクの記録及び再生を行う。
【0010】
本実施形態を説明する前に、本実施形態で使用する光ディスクについて説明する。
本実施形態にて使用する暗号化光ディスクは、ROM領域と追記録領域を有するハイブリッドディスクを構成する、追記録型CD−R媒体である。
ROM領域には、ディスクの状態の検出と、所定のメニュー画面を表示する等のプログラムが格納されている。
暗号化光ディスクにおいて、全てのデータは暗号化された上で記録される。暗号化されたデータは、所定の鍵を用いて復号処理を行ってから再生される。
【0011】
暗号化及び復号化は、周知の公開鍵暗号方式を用いる。
より詳細には、先ず乱数発生機能にて自動生成した共通鍵で対象ファイルを暗号化する。
次に、その共通鍵を公開鍵で暗号化する。
復号の際には、秘密鍵で共通鍵を復号した後、復号された共通鍵で対象ファイルを復号化する。
このような処理を行う理由は、公開鍵による暗号化処理は演算量が膨大で時間がかかることに因る。このため、暗号化処理を行うデータの実体は演算量が少なく高速な共通鍵で暗号化し、その共通鍵を公開鍵で暗号化する。共通鍵はデータ量が少ないので、演算処理が比較的短時間で済む。
実際の暗号化光ディスクでは共通鍵と公開鍵を用いた暗号処理を行っているが、これ以降の説明では共通鍵の説明は省略する。この、共通鍵と公開鍵を併用する暗号化処理は、演算処理速度向上のための技術であり、また周知でもあるからである。これ以降の説明で、「公開鍵によるファイルの暗号化」「秘密鍵によるファイルの復号化」は、共通鍵を介した暗号化或は復号化処理を含むものである。
【0012】
図1はある会社の社屋内部に敷設されている社内LANと、その上に構築されている光ディスク記録再生システムを示す概略図である。
光ディスク記録再生システム101は、社内LAN102を介して、クライアントPC103、104及び105、及び鍵サーバ106により成り立つ。クライアントPC103、104及び105にはそれぞれCD−Rドライブ107が装着されている。
このクライアントサーバシステムは、所定のソフトウェアにて構成される。例えばインターナショナル・ビジネス・マシーンズ・コーポレーションのロータス・ノーツ(「ロータス」及び「ノーツ」共に登録商標)である。
【0013】
図2はクライアントPCの内部ブロック図である。
クライアントPC103は周知のコンピュータ装置である。
バス202上にはCPU203、ROM204、RAM205、ATAPIインターフェース206、NIC207、USBインターフェース208が接続されている。
ATAPIインターフェース206には固定磁気ディスク装置(以下「HDD」と略す)209とCD−Rドライブ(光ディスク装置)107が接続されている。
USBインターフェース208にはキーボード211とマウス212が接続されている。
不揮発性ストレージであるHDD209には、図示しないOSと、鍵データベースクライアントプログラムが格納されている。
なお、後述する光ディスク記録再生プログラムは、暗号化光ディスクのROM領域に格納されているが、光ディスク装置107に暗号化光ディスクを装着すると、一時的にHDD209にコピーされて実行される。
クライアントPC103で稼動するOSは、例えばマイクロソフト社のWindows(登録商標)である。勿論、OSはこれに限られるものではない。
NIC207は社内LAN102に接続されている。
なお、上記構成はごく一般的なパソコンの周辺機器接続例を示すものであり、必ずしもこの形態に固定されるものではない。
ここで、クライアントPC103には必ず光ディスク装置107が接続されている必要があることを記しておく。なお、光ディスク装置107がクライアントPC103に接続されるインターフェースは、ATAPIインターフェース206に限られない。USBインターフェース208でも良いし、周知のSCSI、IEEE1394等でも良い。
【0014】
図3はクライアントPC103内部の機能ブロック図である。
クライアントPC103内では、光ディスク記録再生プログラム302と鍵データベースクライアントプログラム303の、二つのプログラムが別個独立して稼動している。
但し、鍵データベースクライアントプログラム303と光ディスク記録再生プログラム302は、特定ディレクトリ304を介してファイルの読み書きを行っている。
【0015】
鍵サーバ操作部ともいえる鍵データベースクライアントプログラム303は、特定ディレクトリ304に三つのファイルを作成する。社内LAN102を通じて鍵サーバ106から鍵ファイル305をダウンロードし、特定ディレクトリ304に配置する。次に、特定ディレクトリ304にiniファイル306を作成し、iniファイル306の作成完了後、フラグファイル307を作成する。
iniファイル306は比較的小さなサイズのテキストファイルであり、光ディスク記録再生プログラム302の動作を制御する各種情報が記録されている。本実施形態では特に、鍵ファイル305のフルパス名(ファイルの在り処)が記録されている。ファイル名は例えば「CryptDiscAction.ini」である。
フラグファイル307は0バイトのファイルである。光ディスク記録再生プログラム302は、このファイルの有無を検出して、iniファイル306の読み込みを行う。
【0016】
データ変換部ともいえる光ディスク記録再生プログラム302は、特定ディレクトリ304を常時監視している。特定ディレクトリ304上にフラグファイル307を見つけたら、iniファイル306を読み込む。iniファイル306には鍵ファイル305の在り処が書かれているので、当該鍵ファイル305を読み出す。読み出した鍵ファイル305は、任意のファイルの暗号化或は復号化処理に用いられる。
このように、鍵ファイル305を直接読み込まずに、フラグファイル307の存在を監視してからiniファイル306を読み込むのは、安全上の理由による。光ディスク記録再生プログラム302のポーリングのタイミングがiniファイル306の作成途中だった場合、鍵ファイル305のフルパス名を誤った内容で読み込んでしまう虞がある。そこでこれを防ぐために、iniファイル306の作成を完了したときにフラグファイル307を作成し、フラグファイル307の存在をiniファイル306を読み込むきっかけにする。こうすることで、光ディスク記録再生プログラム302がiniファイル306をその作成途中に読み込むことがなくなる。
【0017】
なお、暗号化処理の際、光ディスクの状態によっては、鍵サーバ106から鍵ファイル305を読み出すか、或は光ディスク内に記録されている公開鍵ファイルを読み出すかの、いずれかの動作が選択される。この、公開鍵ファイル及び動作の詳細については後述する。
また、光ディスク記録再生プログラム302は、ユーザによる終了処理の際に、特定ディレクトリ304から鍵ファイル305、iniファイル306及びフラグファイル307を削除する。
【0018】
光ディスク記録再生プログラム302の内部は、大まかに三つの機能よりなる。
ディスク判定部310は、ディスクの記録状態を検出し、それに応じたメニュー画面を表示する。ディスクの記録状態とは、暗号化光ディスクの対記録領域が
・未フォーマット状態(いわゆる「生ディスク」)
・フォーマットが済んでいるが、ファイナライズがされていない状態(追記録可能状態)
・ファイナライズされている状態(追記録不可状態)
の三つである。
記録プログラム308及び再生プログラム309は、ディスク判定部310が生成するメニュー画面によって起動される。
【0019】
記録プログラム308は公開鍵ファイルを読む暗号化部を内包する。暗号化部は公開鍵ファイルを読み込むことで起動し、記録プログラム308の記録機能が有効化する。公開鍵ファイルは、暗号化光ディスクが未フォーマット状態のときは、特定ディレクトリ304から読み込む。暗号化光ディスクがフォーマット済みでファイナライズがされていない状態のときは、暗号化光ディスク(CD−Rドライブ107)から読み込む。
再生プログラム309は秘密鍵を読む復号化部を内包する。復号化部は秘密鍵を読み込むことで起動し、再生プログラム309の再生機能が有効化する。秘密鍵は、特定ディレクトリ304から読み込む。
【0020】
鍵データともいえる鍵ファイル305は、公開鍵暗号方式に則ったものであり、鍵ファイル305の内部には、公開鍵データと秘密鍵データの両方が収められている。
記録プログラムが暗号化光ディスクのフォーマットを行うと、鍵ファイル305の公開鍵データのみをファイル化して、暗号化光ディスクに記録する。これを公開鍵ファイルと呼ぶ。
【0021】
暗号化光ディスクは、未フォーマット状態では、追記録領域に何も書かれていない。
記録プログラム308によってフォーマットを行うと、公開鍵ファイルを追記録領域に書き込む。以後の追記録は、この公開鍵ファイルを用いて暗号化する。
【0022】
図4は鍵サーバ106の内部を機能的に示す概略ブロック図である。
鍵サーバ106もまた、ハードウェアの構成上は、クライアントPC103と同様の、一般的なパソコンと変わらない。
【0023】
HDD等よりなる不揮発性ストレージ402には、文書テーブル403とユーザテーブル404の、二つのテーブルが設けられている。
文書テーブル403は、文書ファイル405のファイル名と、その文書ファイル405にまつわる様々な情報が列挙格納されている。
ユーザテーブル404は、ユーザを一意に識別するユーザIDとパスワードの組等のフィールドが設けられている。これはユーザ認証や、文書作成者或は文書閲覧者を識別するための情報として利用される。
一人のユーザは複数の文書を作成するので、ユーザテーブル404と文書テーブル403との間には、一対多の関係がある。つまり、文書テーブル403のユーザIDフィールドには、同じユーザIDの値のレコードが複数存在する。図4ではこの関係を矢印A411及びA412にて示している。
【0024】
一方、文書テーブル403の各レコードと、文書ファイル405及び鍵ファイル305とは、それぞれ一対一の関係にある。図4ではこの関係を矢印A413にて示している。
また、後述するACL406の各レコードは、文書ファイル405及び鍵ファイル305のファイル名と、アクセスを許されるユーザとのテーブルを構成する。したがって、ACL406のファイル名フィールドには、少なくとも文書ファイル405及び鍵ファイル305のファイル名が格納されている。
【0025】
鍵サーバ106は単に鍵ファイル305を列挙格納しているだけではない。鍵ファイル305はその性格上、限定された者だけが利用可能になっていなければならない。そのためには、多数の鍵ファイル305を多くのユーザに提供する際に、当該鍵ファイル305が誰のものなのか、いつ作られたのか等の、諸元となる情報が必要である。そこで、鍵サーバ106は文書サーバを構成し、鍵ファイル305はその文書からリンクとして管理する形式を採用している。文書の形式はリンクを生成できる形式であればなんでもよい。例えばhtml文書やXML文書が利用可能である。
【0026】
不揮発性ストレージ402には、図示しないOSによってファイルシステムが形成されている。このファイルシステムは、ユーザが作成したファイルに対し、アクセス制御を付与することができる。このアクセス制御の機能はACL(Access Control List)と呼ばれる、公知の技術である。図4中ではACL406を明示的なリスト形式で表示しているが、実際はユーザが任意に作成できるファイルとは異なり、ファイルシステムの中に構築されるものである。
【0027】
文書作成部407は文書ファイル405を作成するユーザインターフェースを提供する。鍵申請者が利用するものである。
文書閲覧部408は文書ファイル405を閲覧するユーザインターフェースを提供する。この文書閲覧部408は、鍵申請者及び承認担当者によって利用される。承認担当者は、多くの場合、鍵申請者の上司や他部門の者が担当となる。
暗号鍵作成部409は文書閲覧部408から起動され、鍵ファイル305を作成する。
暗号鍵作成部409が鍵ファイル305の作成を完了したら、文書閲覧部408はこれを受けて文書テーブル403内の文書状態フィールドの内容を更新する。
【0028】
図5は文書テーブル403の中身の一例である。
ファイル名フィールド502は文書番号でもあり、文書作成部407にて作成された文書ファイル405のファイル名が格納される。文書番号は文書作成部407が自動で生成する。
文書状態フィールド503は前述の通り、文書の状態を示す。つまり、鍵発行申請文書の作成途中(「作成中」)か、鍵発行の承認待ち(「承認依頼中」)か、承認後作成途中段階(「鍵発行待ち」)か、鍵ファイル305の作成が完了したか(「鍵発行完了」)の、いずれかの値が格納される。
利用目的フィールド(簡易説明)504は、鍵申請者が文書作成時に記入する項目である。
最終更新日フィールド505は、文書の状態に応じて変更される、最終更新日時である。
【0029】
図6は鍵データベースクライアントプログラム303が表示する、文書一覧表示画面の一部である。
図5の文書テーブル403の中身に加えて、作成者フィールド602が追加されていることがわかる。作成者はACL406から取得される。
文書閲覧者はこの画面から任意の一つのレコードを選択して、マウスカーソルを合わせ、クリックする。すると、文書の内容が表示される。
【0030】
図7(a)、(b)及び(c)、図8(d)及び(e)は、文書閲覧部408が表示する文書閲覧画面である。なお、図7(c)は画面の一部であり、図7(b)と相違する部分だけを示す。
図7(a)は、申請者が文書を作成中の状態における、文書閲覧部408が表示する文書閲覧画面である。所定のユーザ認証処理を行った後、文書作成部407を起動し、所定の項目を入力して文書作成作業を終了すると、この画面が表示される。ユーザ認証が行われているので、申請者は既にログイン済みのユーザ自身である。
「文書状態」欄706は「1.作成中」という表示になっている。
申請者は、利用目的欄703、CD内容欄704にそれぞれ必要事項を記入する。必要事項記入後、「承認依頼」ボタン705を押すと、文書ファイルが鍵サーバ106内部にて作成されると共に、承認者にメールが送信される。
なお、「編集モード」ボタン707を押すと、文書作成部407が起動され、利用目的欄703、CD内容欄704が編集可能になる。
【0031】
図7(b)は、申請者が図7(a)において文書に必要事項記入後、「承認依頼」ボタン705を押した後の状態における、文書閲覧部408が表示する文書閲覧画面である。
「文書状態」欄716は「2.承認依頼中」という表示になっている。
【0032】
図7(c)は、申請者が図7(a)において文書に必要事項記入後、「承認依頼」ボタン705を押した後、当該文書を承認者が閲覧したときの、文書閲覧画面の一部である。
図7(c)は、基本的には図7(b)と同じだが、申請者には表示されないボタンが幾つかある。それが、「審査」ボタン722、「承認」ボタン723、「非審査・非承認」ボタン724である。
承認者が「審査」ボタン722を押すと、更なる別の承認者へメールが送信される。このとき文書状態は変更されず、別の承認者が当該文書を開くと図7(c)に示す画面になる。
承認者が「承認」ボタン723を押すと、文書閲覧部408は、審査の結果、鍵発行を承認した旨のメールを申請者に送信すると共に、暗号鍵作成部409を起動し、鍵ファイル305を作成させる。
承認者が「非審査・非承認」ボタン724を押すと、文書閲覧部408は、審査の結果、鍵発行を非承認した旨のメールを申請者に送信する。
【0033】
図8(d)は、承認者が図7(c)において鍵発行を承認すべく「承認」ボタン723を押した直後、申請者がメールを受信し、これを受けてすぐに文書を閲覧したときの文書閲覧画面である。このとき、暗号鍵作成部409による鍵ファイル305の作成は完了していない。このため、「文書状態」欄806は「5.鍵発行待ち」という表示になっている。
【0034】
図8(e)は、図8(d)から程なくして暗号鍵作成部409による鍵ファイル305の作成が完了したときに、申請者が文書を閲覧したときの文書閲覧画面である。「文書状態」欄806は「6.鍵発行完了」という表示になっている。
この画面で「鍵の使用」ボタン815を押すと、鍵データベースクライアントプログラム303は、図3にて説明した、鍵ファイル305のダウンロードと、iniファイル306及びフラグファイル307の作成を、特定ディレクトリ304に対して行う。
【0035】
図9は鍵サーバ106を中心に、鍵申請者と鍵承認者(例えば鍵申請者の上司)との手続きの流れと、鍵サーバ106の動作の変化を時系列で表示したフロー図である。図7(a)の状態である。
鍵申請者が文書作成部407を起動し、鍵申請文書を作成する。
次に、「承認依頼」ボタン705を押す(S901)。すると、文書作成部407は文書テーブル403に新規レコードを追加する。当該新規レコードには、
・作成した文書ファイル405のファイル名をファイル名フィールド502に、
・「承認依頼中」を文書状態フィールド503に(T921)、
・鍵申請者によって入力された利用目的の文章(文字列データ)を利用目的フィールド504に、
・文書テーブル403にレコード追加を行った日時を最終更新日フィールド505に
記入する。これが図7(b)の状態である。
次に、鍵サーバは文書作成を受けて、指定した宛先にメールを送信する(S903)。ここでは上司になる。
上司はメールを受信したら、当該文書を閲覧する(S904)。図7(c)の状態である。
鍵サーバ106は上司のクライアントPCから文書閲覧要求を受信して、当該文書の内容を送信し、表示させる(S905)。
上司は文書の内容を見て、適切と判断したら、「承認」ボタン723を押す(S906)。
【0036】
鍵サーバ106は承認のアクションを受信すると、暗号鍵作成部409を起動する(S907)。それと共に、先に追加したレコードの文書状態フィールド503を「鍵発行待ち」と書き換える(T922)。図8(d)の状態である。
程なくして暗号鍵作成部409が鍵作成を完了すると(S908)、鍵ファイル305のリンクを文書ファイル405に記入し、先に追加したレコードの文書状態フィールド503を、「鍵発行完了」と書き換える(T923)。図8(e)の状態である。
その後、鍵申請者は文書を閲覧すると(S909)、文書閲覧要求に呼応して鍵サーバ106は要求された文書の内容を表示する(S910)。鍵申請者は文書に埋め込まれている鍵ファイル305のリンクをクリックして鍵送信要求を鍵サーバに発信する(S911)。すると、鍵サーバ106は鍵ファイル305を鍵申請者のクライアントPCに送信する(S912)。
【0037】
図10(a)及び(b)は、ディスク判定部310が作成する、フォーマット及び記録用メニューの表示画面を示す。
図10(a)は、未フォーマット状態の暗号化光ディスクを光ディスク装置107に装着した直後に、記録プログラムが鍵ファイル305を待っている状態のメニュー画面1001である。
この状態では、「初期化+書き込み」ボタン1002及び「初期化」ボタン1003はグレイアウト(ウィンドウ画面色と同じ灰色の表示で、文字が薄く表示される)され、ボタンとしての機能が無効化されている。
なお、表示メッセージ1004は「未使用の暗号化光ディスクです。鍵ファイルを選択してください。」という表示になっている。これは、別途配布される鍵ファイル作成プログラムにて作成した鍵ファイルを手動で読み込ませることを求めるメッセージであり、過去のプログラムの互換性のための機能である。
【0038】
図10(b)は、図10(a)の状態から鍵ファイル305を読み込んだ状態の画面である。すなわち、鍵データベースクライアントプログラム303が鍵ファイル305を特定ディレクトリ304上にダウンロードし、これを光ディスク記録再生プログラム302内の記録プログラム308が読み込んだ状態である。
記録プログラム308内の暗号化部は、鍵ファイル305に含まれる暗号鍵データを読み込むことで有効化される。そして、これに呼応してグレイアウトされていた「初期化+書き込み」ボタン1002及び「初期化」ボタン1003が明確に表示(縁が表示され、文字が濃く表示される)され、ボタンとしての機能が有効化される。そして、表示メッセージ1005は「鍵が正常に認識されました。」という表示に変更される。
【0039】
図11(c)及び(d)は、ディスク判定部310が作成する記録・再生用メニューの表示画面を示す。
図11(c)は、フォーマットが済んでファイナライズがされていない状態の暗号化光ディスクを光ディスク装置107に装着した直後に、再生プログラム309が鍵ファイル305を待っている状態のメニュー画面1101である。
この状態では、「暗号(書き込み)」ボタン1102は有効であるものの、「復号(読み出し)」ボタン1103はグレイアウトされ、ボタンとしての機能が無効化されている。つまり、一旦フォーマットが済んでいる暗号化光ディスクには、暗号化のための公開鍵ファイルが書き込まれているので、データを暗号化して書き込むことは、任意のCD−Rドライブを備えるパソコンであれば可能である。しかし、復号には秘密鍵が必要になるので、鍵サーバ106から鍵ファイル305を入手して、鍵ファイル305中の秘密鍵データを読み込むまでは、「復号(読み出し)」ボタン1103はグレイアウトされる。
なお、表示メッセージ1104は「暗号する場合は、暗号(書き込み)ボタンを押下してください。復号する場合は、鍵ファイルを選択後、復号(読み出し)ボタンを押下してください。」という表示になっている。これは、別途配布される鍵ファイル作成プログラムにて作成した鍵ファイルを手動で読み込ませることを求めるメッセージであり、過去のプログラムの互換性のための機能である。
【0040】
図11(d)は、(c)の状態から鍵ファイル305を読み込んだ状態の画面である。鍵データベースクライアントプログラム303が鍵ファイル305を特定ディレクトリ上にダウンロードし、これを光ディスク記録再生プログラム302内の再生プログラム309が読み込んだ状態である。
再生プログラム309内の復号化部は、鍵ファイル305を読み込んだことで有効化される。そして、これに呼応してグレイアウトされていた「復号(読み出し)」ボタン1103が明確に表示され、ボタンとしての機能が有効化される。そして、表示メッセージ1105は「対応する鍵ファイルを認識済みです。」という表示に変更される。
【0041】
図12(e)及び(f)は、ディスク判定部310が作成する再生用メニューの表示画面を示す。
図12(e)は、ファイナライズされた状態の暗号化光ディスクを光ディスク装置107に装着した直後に、再生プログラムが鍵ファイル305を待っている状態の画面である。このメニュー画面1201は、ディスク判定部310が作成する。
この状態では、「暗号(書き込み)」ボタン1202及び「復号(読み出し)」ボタン1203はグレイアウトされ、ボタンとしての機能が無効化されている。
なお、表示メッセージ1204は「鍵ファイルを選択してください。」という表示になっている。これは、別途配布される鍵ファイル作成プログラムにて作成した鍵ファイルを手動で読み込ませることを求めるメッセージであり、過去のプログラムの互換性のための機能である。
【0042】
図12(f)は、(e)の状態から鍵ファイル305を読み込んだ状態の画面である。鍵データベースクライアントプログラム303が鍵ファイル305を特定ディレクトリ上にダウンロードし、これを光ディスク記録再生プログラム302内の再生プログラム309が読み込んだ状態である。
再生プログラム309内の復号化部は、鍵ファイル305を読み込んだことで有効化される。そして、これに呼応してグレイアウトされていた「復号(読み出し)」ボタン1203が明確に表示され、ボタンとしての機能が有効化される。そして、表示メッセージ1205は「対応する鍵ファイルを認識済みです。」という表示に変更される。
なお、図12(e)の時点で、光ディスク装置107に装着された暗号化光ディスクは、ファイナライズ済みのディスクである。すなわち、データの記録ができない。したがって、「暗号(書き込み)」ボタン1202は図12(f)の時点でもグレイアウトされたままの状態である。
【0043】
図13は、暗号化光ディスクを光ディスク装置107に装着した直後の、動作のフローである。暗号化光ディスクのROM領域に格納されている自動実行プログラムの動作であり、ディスク判定部310の動作に該当する。
暗号化光ディスクを光ディスク装置107に装着すると、OSが暗号化光ディスクのROM領域に記録されている自動実行プログラムを見つけ、自動実行プログラムを起動する(S1301)。自動実行プログラムは、最初に光ディスクの状態をチェックする(S1302及びS1304)。その結果、暗号化光ディスクの追記録領域が未フォーマット状態であれば(S1302のY)、フォーマット及び記録用メニューを起動する(S1303)。
暗号化光ディスクの追記録領域がフォーマット済みで且つファイナライズが済んでいない状態であれば(S1304のY)、記録及び再生用メニューを起動する(S1305)。
暗号化光ディスクの追記録領域がフォーマット済みで且つファイナライズが済んだ状態であれば(S1304のN)、再生用メニューを起動する(S1306)。
以上、暗号化光ディスクの状態に応じた、ステップS1303、S1305、S1306のいずれかのメニューは、ユーザによる終了操作等によって終了する(S1307)。
【0044】
図14はフォーマット及び記録メニューのフローチャートである。ディスク判定部310の動作を示すものである。
ディスク判定部310は、フォーマット及び記録用メニューとしての動作を開始すると(S1401)、初期画面を表示する(S1402)。図10(a)のメニュー画面1001がこれに該当する。
次に、特定ディレクトリ304にフラグファイル307があるか否かをチェックし続ける(S1403)。
フラグファイル307が見つかったら、iniファイル306を読み(S1404)、iniファイル306に記述されている鍵ファイル305のフルパス名を取得し、鍵ファイル305を読み、暗号化機能を有効化する(S1405)。このとき、メニュー画面1001は図10(b)の状態になる。そして、ファイル記録用画面を表示し(S1406)、終了する(S1407)。
【0045】
図15及び図16は記録・再生用メニューのフローチャートである。ディスク判定部310の動作である。
ディスク判定部310は、記録・再生用メニューとしての動作を開始すると(S1501)、最初に暗号化光ディスクの追記録領域に記録されている、暗号化のための公開鍵ファイルを読み出す(S1502)。そして、暗号化機能を有効化する(S1503)。次に、初期画面を表示する(S1504)。図11(c)のメニュー画面1101がこれに該当する。
これ以降はループ処理である。
「暗号(書き込み)」ボタン1102が押されたことを検出すると(S1605)、暗号化画面(データ記録用画面)を表示済みか否かチェックし(S1606)、未だ起動していなければ起動する(S1607)。
【0046】
次に、復号化のための秘密鍵ファイル305を未だ読んでいないか、検証する(S1608)。未だ読んでいなければ、次に特定ディレクトリ304にフラグファイル307があるか否かをチェックし続ける(S1609)。フラグファイル307が見つかったら、iniファイル306を読み、iniファイル306に記述されている鍵ファイル305のフルパス名を取得し、鍵ファイル305を読み(S1610)、正しい秘密鍵ファイル305であるか否か検証する(S1611)。
正しい秘密鍵ファイル305であれば、復号化機能を起動し、画面を更新し、復号ボタンを有効化する(S1612)。図11(d)のメニュー画面1101がこれに該当する。もし、誤った秘密鍵ファイル305であれば、エラーメッセージのダイアログボックスを表示する(S1613)。
【0047】
「復号(読み出し)」ボタン1103が押されたことを検出すると(S1614)、復号化画面(データ再生用画面)を表示済みか否かチェックし(S1615)、未だ起動していなければ起動する(S1616)。
なお、誤った秘密鍵ファイル305を読んでしまうと、ステップS1608でNになる。このとき、「復号(読み出し)」ボタン1103はグレイアウトされたままなので、ステップS1614は常にNとなる。
【0048】
図17は再生用メニューのフローチャートである。ディスク判定部310の動作を示すものである。
ディスク判定部310は、再生用メニューとしての動作を開始すると(S1701)、初期画面を表示する(S1702)。図12(e)のメニュー画面1201がこれに該当する。
次に、特定ディレクトリ304にフラグファイル307があるか否かをチェックし続ける(S1703)。
フラグファイル307が見つかったら、iniファイル306を読み(S1704)、iniファイル306に記述されている鍵ファイル305のフルパス名を取得し、鍵ファイル305を読み、復号化機能を有効化する(S1705)。このとき、メニュー画面1201は図12(f)の状態になる。そして、ファイル再生用画面を表示し(S1706)、終了する(S1707)。
【0049】
本実施形態には、以下のような応用例が考えられる。
(1)上記実施形態では、光ディスク記録再生プログラム302は鍵データベースクライアントプログラム303とは独立して稼動していた。このため、光ディスク記録再生プログラム302は特定ディレクトリ304をポーリングする必要があった。この代わりに、鍵データベースクライアントプログラム303が光ディスク記録再生プログラム302に対してプロセス間通信を行って、能動的に鍵データベースクライアントプログラム303を制御して、鍵ファイル305等を読み込ませるように構成することもできる。
プロセス間通信は名前付パイプやメッセージ送受信等、様々な形態が考えられる。
【0050】
(2)実施形態のシステムをwebアプリケーションサーバとwebブラウザにて構成することができる。
【0051】
(3)記録媒体は光ディスクに限られない。不揮発性ストレージを構成する交換型記録媒体であれば、可撓性磁気ディスク、固定磁気ディスク、光磁気ディスク等のディスク状記録媒体に留まらず、USBメモリ等のフラッシュメモリも利用可能である。
【0052】
(4)更に、前述のような物理的媒体の存在も必須ではない。例えば電子メール等のメッセージ、特にMIME(Multipurpose Internet Mail Extension:TCP/IPネットワーク上の電子メールにおいて、各国語や画像、音声、動画等を扱うための規格。ヘッダに境界文字列を定義し、添付する各々のメッセージを境界文字列で区切る。)マルチパートメッセージに、本実施形態の鍵サーバを導入し、電子メール送受信プログラム(MUA:Mail Users Agent)が、本実施形態のような暗号化・復号化処理を行うように構成することもできる。この場合、鍵サーバは自ずとwebアプリケーションサーバの形態になり、電子メールメッセージを構成するMIMEマルチパートメッセージには、暗号鍵と暗号メッセージをマルチパート形式で記述することとなる。
【0053】
(5)図4では文書テーブル403と文書ファイル405と鍵ファイル305を夫々別個独立に設けていたが、これらを統合することもできる。
文書ファイル405と鍵ファイル305は、MIMEマルチパートメッセージの形式にて一体化することができる。この場合、鍵データベースクライアントプログラム303は、メッセージ(文書ファイル405)を読むと同時に鍵ファイル305に相当するデータを受信できることとなる。つまり、鍵サーバ106に対し、明示の鍵ファイル305をダウンロードする処理は不要になる。
文書テーブル403と文書ファイル405或は鍵ファイル305は、文書テーブル403の一フィールドとして、文書ファイル405に記述される内容をフィールドの値として格納することができる。
なお、文書テーブル403と文書ファイル405或は鍵ファイル305を統合化する設計を行う際には、ACL406を不揮発性ストレージ402に構築されるファイルシステムとは独立して保持する必要がある。
【0054】
本実施形態においては、光ディスク記録再生システムを開示した。
暗号化光ディスクの記録及び再生に必要な鍵ファイルをサーバで一元管理することにより、鍵ファイルの紛失や漏洩を防止できる。また、クライアントプログラムと光ディスク記録再生プログラムとが鍵ファイルの読み込みにおいて連携する機能を持たせることで、ユーザは鍵ファイルを明示的に保存する等の意識をせずに、データの暗号化及び復号化を実現できる。
【0055】
以上、本発明の実施形態例について説明したが、本発明は上記実施形態例に限定されるものではなく、特許請求の範囲に記載した本発明の要旨を逸脱しない限りにおいて、他の変形例、応用例を含むことは言うまでもない。
【図面の簡単な説明】
【0056】
【図1】本発明の一実施の形態による光ディスク記録再生システムの全体概略図である。
【図2】クライアントPCの内部ブロック図である。
【図3】クライアントPC内部の機能ブロック図である。
【図4】鍵サーバの内部を機能的に示す概略ブロック図である。
【図5】文書テーブルの中身の一例を示す図である。
【図6】鍵データベースクライアントプログラムが表示する、文書一覧表示画面の一部を示す図である。
【図7】文書閲覧部が表示する文書閲覧画面を示す図である。
【図8】文書閲覧部が表示する文書閲覧画面を示す図である。
【図9】鍵申請者と鍵承認者(上司)との手続きの流れと、鍵サーバの動作の変化を時系列で表示したフロー図である。
【図10】記録プログラムの表示画面を示す図である。
【図11】記録・再生プログラムの表示画面を示す図である。
【図12】再生プログラムの表示画面を示す図である。
【図13】暗号化光ディスクを光ディスク装置に装着した直後の動作を示すフローチャートである。
【図14】フォーマット及び記録プログラムのフローチャートである。
【図15】記録・再生プログラムのフローチャートである。
【図16】記録・再生プログラムのフローチャートである。
【図17】再生プログラムのフローチャートである。
【符号の説明】
【0057】
101…光ディスク記録再生システム、102…社内LAN、103、104、105…クライアントPC、106…鍵サーバ、107…CD−Rドライブ、202…バス、203…CPU、204…ROM、205…RAM、206…ATAPIインターフェース、207…NIC、208…USBインターフェース、209…固定磁気ディスク装置、211…キーボード、212…マウス、302…光ディスク記録再生プログラム、303…鍵データベースクライアントプログラム、304…特定ディレクトリ、305…鍵ファイル、306…iniファイル、307…フラグファイル、308…記録プログラム、309…再生プログラム、310…ディスク判定部、402…不揮発性ストレージ、403…文書テーブル、404…ユーザテーブル、405…文書ファイル、406…ACL、407…文書作成部、408…文書閲覧部、409…暗号鍵作成部、502…ファイル名フィールド、503…文書状態フィールド、504…利用目的フィールド、505…最終更新日フィールド、602…作成者フィールド、706、716、806、816…「文書状態」欄、703…利用目的欄、704…CD内容欄、705…「承認依頼」ボタン、707…「編集モード」ボタン、722…「審査」ボタン、723…「承認」ボタン、724…「非審査・非承認」ボタン、815…「鍵の使用」ボタン、1001、1101、1201…メニュー画面、1002…「初期化+書き込み」ボタン、1003…「初期化」ボタン、1004、1005、1104、1105、1204、1205…表示メッセージ、1102、1202…「暗号(書き込み)」ボタン、1103、1203…「復号(読み出し)」ボタン
【技術分野】
【0001】
本発明は、公開鍵暗号方式に基づくデータの暗号化及び復号化システムに適用して好適な技術に関する。
【背景技術】
【0002】
近年、文書や画像を電子化した電子ファイルを磁気ディスクなどの記録媒体に格納して、納品先に郵送または配送する電子納品が行われている。これらの電子納品において、いわゆる機密情報を電子納品する場合には、高度な機密性を担保するセキュリティ対策を施さなければならない。
【0003】
高度な機密性を担保するセキュリティ対策として、出願人は、公開鍵暗号方式に基づく鍵ペアを作成し、公開鍵をCD−R等の追記録型光ディスクに記録し、この公開鍵を用いてデータを暗号化して追記録型光ディスクに記録する技術を開発した(特許文献1参照)。
【特許文献1】特開2006−20253号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
特許文献1によれば、極めて高度な機密性を光ディスクに実現することができる。
しかし、鍵ペアはデータを搬送する目的に応じてその都度作成されるものである。つまり、暗号化処理を施した光ディスクを作成するに連れて、鍵ペアは増えていく。
この鍵ペアは、特に秘密鍵においては機密性を保持しつつ管理していかなければならない。
暗号化光ディスクを作成するに連れて増え続ける鍵ペアを、機密性を保持しながら管理し続けることは、エンドユーザレベルでは困難である。例えば、管理するパソコンのハードディスクがクラッシュする等で鍵ペアが失われたら、取り返しが付かなくなってしまう。
【0005】
本発明はかかる点に鑑みてなされたものであり、ユーザを鍵ペアの管理から開放し、利便性を向上することができるデータ変換システム、鍵サーバ及びそのためのプログラム、及びデータ変換方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記課題を解決するための本発明は、鍵サーバに、公開鍵暗号方式にて作成される、公開鍵と秘密鍵を含む鍵データを、文書に関連付けて、その文書名と、鍵データの状態の各フィールドを有する文書テーブルを用意する。
そして、鍵サーバは、クライアントに文書テーブルの内容を閲覧可能に表示させ、選択された文書に関連する鍵データをクライアントに送信する。
クライアントは、受信した鍵データを用いて、任意のデータを暗号化すると共に、暗号化されたデータを復号するものである。
【発明の効果】
【0007】
本発明により、ユーザを鍵ペアの管理から開放し、利便性を向上することができるデータ変換システム、鍵サーバ及びそのためのプログラム、及びデータ変換方法を提供できる。
【発明を実施するための最良の形態】
【0008】
以下、本発明の実施の形態を、図1〜図17を参照して説明する。
【0009】
図1は、本発明の実施の形態の例である、光ディスク記録再生システムの全体概略図である。
通常、光ディスクはスタンドアロンのパソコンでデータの記録再生が完結するが、本実施形態の光ディスクは、データを暗号化してディスクに記録し、再生は暗号化したデータの復号を必要とする。その際に、暗号化のための公開鍵及び復号化のための秘密鍵を鍵サーバがデータベース化して管理している。したがって、クライアントのパソコン(以下「クライアントPC」と略す)は鍵サーバから必要な鍵ファイルをダウンロードして、暗号化又は復号化を行う必要がある。つまり、クライアントPCだけでは光ディスクの記録及び再生ができない。そこで、クライアントサーバシステムを構築し、このシステム全体で光ディスクの記録及び再生を行う。
【0010】
本実施形態を説明する前に、本実施形態で使用する光ディスクについて説明する。
本実施形態にて使用する暗号化光ディスクは、ROM領域と追記録領域を有するハイブリッドディスクを構成する、追記録型CD−R媒体である。
ROM領域には、ディスクの状態の検出と、所定のメニュー画面を表示する等のプログラムが格納されている。
暗号化光ディスクにおいて、全てのデータは暗号化された上で記録される。暗号化されたデータは、所定の鍵を用いて復号処理を行ってから再生される。
【0011】
暗号化及び復号化は、周知の公開鍵暗号方式を用いる。
より詳細には、先ず乱数発生機能にて自動生成した共通鍵で対象ファイルを暗号化する。
次に、その共通鍵を公開鍵で暗号化する。
復号の際には、秘密鍵で共通鍵を復号した後、復号された共通鍵で対象ファイルを復号化する。
このような処理を行う理由は、公開鍵による暗号化処理は演算量が膨大で時間がかかることに因る。このため、暗号化処理を行うデータの実体は演算量が少なく高速な共通鍵で暗号化し、その共通鍵を公開鍵で暗号化する。共通鍵はデータ量が少ないので、演算処理が比較的短時間で済む。
実際の暗号化光ディスクでは共通鍵と公開鍵を用いた暗号処理を行っているが、これ以降の説明では共通鍵の説明は省略する。この、共通鍵と公開鍵を併用する暗号化処理は、演算処理速度向上のための技術であり、また周知でもあるからである。これ以降の説明で、「公開鍵によるファイルの暗号化」「秘密鍵によるファイルの復号化」は、共通鍵を介した暗号化或は復号化処理を含むものである。
【0012】
図1はある会社の社屋内部に敷設されている社内LANと、その上に構築されている光ディスク記録再生システムを示す概略図である。
光ディスク記録再生システム101は、社内LAN102を介して、クライアントPC103、104及び105、及び鍵サーバ106により成り立つ。クライアントPC103、104及び105にはそれぞれCD−Rドライブ107が装着されている。
このクライアントサーバシステムは、所定のソフトウェアにて構成される。例えばインターナショナル・ビジネス・マシーンズ・コーポレーションのロータス・ノーツ(「ロータス」及び「ノーツ」共に登録商標)である。
【0013】
図2はクライアントPCの内部ブロック図である。
クライアントPC103は周知のコンピュータ装置である。
バス202上にはCPU203、ROM204、RAM205、ATAPIインターフェース206、NIC207、USBインターフェース208が接続されている。
ATAPIインターフェース206には固定磁気ディスク装置(以下「HDD」と略す)209とCD−Rドライブ(光ディスク装置)107が接続されている。
USBインターフェース208にはキーボード211とマウス212が接続されている。
不揮発性ストレージであるHDD209には、図示しないOSと、鍵データベースクライアントプログラムが格納されている。
なお、後述する光ディスク記録再生プログラムは、暗号化光ディスクのROM領域に格納されているが、光ディスク装置107に暗号化光ディスクを装着すると、一時的にHDD209にコピーされて実行される。
クライアントPC103で稼動するOSは、例えばマイクロソフト社のWindows(登録商標)である。勿論、OSはこれに限られるものではない。
NIC207は社内LAN102に接続されている。
なお、上記構成はごく一般的なパソコンの周辺機器接続例を示すものであり、必ずしもこの形態に固定されるものではない。
ここで、クライアントPC103には必ず光ディスク装置107が接続されている必要があることを記しておく。なお、光ディスク装置107がクライアントPC103に接続されるインターフェースは、ATAPIインターフェース206に限られない。USBインターフェース208でも良いし、周知のSCSI、IEEE1394等でも良い。
【0014】
図3はクライアントPC103内部の機能ブロック図である。
クライアントPC103内では、光ディスク記録再生プログラム302と鍵データベースクライアントプログラム303の、二つのプログラムが別個独立して稼動している。
但し、鍵データベースクライアントプログラム303と光ディスク記録再生プログラム302は、特定ディレクトリ304を介してファイルの読み書きを行っている。
【0015】
鍵サーバ操作部ともいえる鍵データベースクライアントプログラム303は、特定ディレクトリ304に三つのファイルを作成する。社内LAN102を通じて鍵サーバ106から鍵ファイル305をダウンロードし、特定ディレクトリ304に配置する。次に、特定ディレクトリ304にiniファイル306を作成し、iniファイル306の作成完了後、フラグファイル307を作成する。
iniファイル306は比較的小さなサイズのテキストファイルであり、光ディスク記録再生プログラム302の動作を制御する各種情報が記録されている。本実施形態では特に、鍵ファイル305のフルパス名(ファイルの在り処)が記録されている。ファイル名は例えば「CryptDiscAction.ini」である。
フラグファイル307は0バイトのファイルである。光ディスク記録再生プログラム302は、このファイルの有無を検出して、iniファイル306の読み込みを行う。
【0016】
データ変換部ともいえる光ディスク記録再生プログラム302は、特定ディレクトリ304を常時監視している。特定ディレクトリ304上にフラグファイル307を見つけたら、iniファイル306を読み込む。iniファイル306には鍵ファイル305の在り処が書かれているので、当該鍵ファイル305を読み出す。読み出した鍵ファイル305は、任意のファイルの暗号化或は復号化処理に用いられる。
このように、鍵ファイル305を直接読み込まずに、フラグファイル307の存在を監視してからiniファイル306を読み込むのは、安全上の理由による。光ディスク記録再生プログラム302のポーリングのタイミングがiniファイル306の作成途中だった場合、鍵ファイル305のフルパス名を誤った内容で読み込んでしまう虞がある。そこでこれを防ぐために、iniファイル306の作成を完了したときにフラグファイル307を作成し、フラグファイル307の存在をiniファイル306を読み込むきっかけにする。こうすることで、光ディスク記録再生プログラム302がiniファイル306をその作成途中に読み込むことがなくなる。
【0017】
なお、暗号化処理の際、光ディスクの状態によっては、鍵サーバ106から鍵ファイル305を読み出すか、或は光ディスク内に記録されている公開鍵ファイルを読み出すかの、いずれかの動作が選択される。この、公開鍵ファイル及び動作の詳細については後述する。
また、光ディスク記録再生プログラム302は、ユーザによる終了処理の際に、特定ディレクトリ304から鍵ファイル305、iniファイル306及びフラグファイル307を削除する。
【0018】
光ディスク記録再生プログラム302の内部は、大まかに三つの機能よりなる。
ディスク判定部310は、ディスクの記録状態を検出し、それに応じたメニュー画面を表示する。ディスクの記録状態とは、暗号化光ディスクの対記録領域が
・未フォーマット状態(いわゆる「生ディスク」)
・フォーマットが済んでいるが、ファイナライズがされていない状態(追記録可能状態)
・ファイナライズされている状態(追記録不可状態)
の三つである。
記録プログラム308及び再生プログラム309は、ディスク判定部310が生成するメニュー画面によって起動される。
【0019】
記録プログラム308は公開鍵ファイルを読む暗号化部を内包する。暗号化部は公開鍵ファイルを読み込むことで起動し、記録プログラム308の記録機能が有効化する。公開鍵ファイルは、暗号化光ディスクが未フォーマット状態のときは、特定ディレクトリ304から読み込む。暗号化光ディスクがフォーマット済みでファイナライズがされていない状態のときは、暗号化光ディスク(CD−Rドライブ107)から読み込む。
再生プログラム309は秘密鍵を読む復号化部を内包する。復号化部は秘密鍵を読み込むことで起動し、再生プログラム309の再生機能が有効化する。秘密鍵は、特定ディレクトリ304から読み込む。
【0020】
鍵データともいえる鍵ファイル305は、公開鍵暗号方式に則ったものであり、鍵ファイル305の内部には、公開鍵データと秘密鍵データの両方が収められている。
記録プログラムが暗号化光ディスクのフォーマットを行うと、鍵ファイル305の公開鍵データのみをファイル化して、暗号化光ディスクに記録する。これを公開鍵ファイルと呼ぶ。
【0021】
暗号化光ディスクは、未フォーマット状態では、追記録領域に何も書かれていない。
記録プログラム308によってフォーマットを行うと、公開鍵ファイルを追記録領域に書き込む。以後の追記録は、この公開鍵ファイルを用いて暗号化する。
【0022】
図4は鍵サーバ106の内部を機能的に示す概略ブロック図である。
鍵サーバ106もまた、ハードウェアの構成上は、クライアントPC103と同様の、一般的なパソコンと変わらない。
【0023】
HDD等よりなる不揮発性ストレージ402には、文書テーブル403とユーザテーブル404の、二つのテーブルが設けられている。
文書テーブル403は、文書ファイル405のファイル名と、その文書ファイル405にまつわる様々な情報が列挙格納されている。
ユーザテーブル404は、ユーザを一意に識別するユーザIDとパスワードの組等のフィールドが設けられている。これはユーザ認証や、文書作成者或は文書閲覧者を識別するための情報として利用される。
一人のユーザは複数の文書を作成するので、ユーザテーブル404と文書テーブル403との間には、一対多の関係がある。つまり、文書テーブル403のユーザIDフィールドには、同じユーザIDの値のレコードが複数存在する。図4ではこの関係を矢印A411及びA412にて示している。
【0024】
一方、文書テーブル403の各レコードと、文書ファイル405及び鍵ファイル305とは、それぞれ一対一の関係にある。図4ではこの関係を矢印A413にて示している。
また、後述するACL406の各レコードは、文書ファイル405及び鍵ファイル305のファイル名と、アクセスを許されるユーザとのテーブルを構成する。したがって、ACL406のファイル名フィールドには、少なくとも文書ファイル405及び鍵ファイル305のファイル名が格納されている。
【0025】
鍵サーバ106は単に鍵ファイル305を列挙格納しているだけではない。鍵ファイル305はその性格上、限定された者だけが利用可能になっていなければならない。そのためには、多数の鍵ファイル305を多くのユーザに提供する際に、当該鍵ファイル305が誰のものなのか、いつ作られたのか等の、諸元となる情報が必要である。そこで、鍵サーバ106は文書サーバを構成し、鍵ファイル305はその文書からリンクとして管理する形式を採用している。文書の形式はリンクを生成できる形式であればなんでもよい。例えばhtml文書やXML文書が利用可能である。
【0026】
不揮発性ストレージ402には、図示しないOSによってファイルシステムが形成されている。このファイルシステムは、ユーザが作成したファイルに対し、アクセス制御を付与することができる。このアクセス制御の機能はACL(Access Control List)と呼ばれる、公知の技術である。図4中ではACL406を明示的なリスト形式で表示しているが、実際はユーザが任意に作成できるファイルとは異なり、ファイルシステムの中に構築されるものである。
【0027】
文書作成部407は文書ファイル405を作成するユーザインターフェースを提供する。鍵申請者が利用するものである。
文書閲覧部408は文書ファイル405を閲覧するユーザインターフェースを提供する。この文書閲覧部408は、鍵申請者及び承認担当者によって利用される。承認担当者は、多くの場合、鍵申請者の上司や他部門の者が担当となる。
暗号鍵作成部409は文書閲覧部408から起動され、鍵ファイル305を作成する。
暗号鍵作成部409が鍵ファイル305の作成を完了したら、文書閲覧部408はこれを受けて文書テーブル403内の文書状態フィールドの内容を更新する。
【0028】
図5は文書テーブル403の中身の一例である。
ファイル名フィールド502は文書番号でもあり、文書作成部407にて作成された文書ファイル405のファイル名が格納される。文書番号は文書作成部407が自動で生成する。
文書状態フィールド503は前述の通り、文書の状態を示す。つまり、鍵発行申請文書の作成途中(「作成中」)か、鍵発行の承認待ち(「承認依頼中」)か、承認後作成途中段階(「鍵発行待ち」)か、鍵ファイル305の作成が完了したか(「鍵発行完了」)の、いずれかの値が格納される。
利用目的フィールド(簡易説明)504は、鍵申請者が文書作成時に記入する項目である。
最終更新日フィールド505は、文書の状態に応じて変更される、最終更新日時である。
【0029】
図6は鍵データベースクライアントプログラム303が表示する、文書一覧表示画面の一部である。
図5の文書テーブル403の中身に加えて、作成者フィールド602が追加されていることがわかる。作成者はACL406から取得される。
文書閲覧者はこの画面から任意の一つのレコードを選択して、マウスカーソルを合わせ、クリックする。すると、文書の内容が表示される。
【0030】
図7(a)、(b)及び(c)、図8(d)及び(e)は、文書閲覧部408が表示する文書閲覧画面である。なお、図7(c)は画面の一部であり、図7(b)と相違する部分だけを示す。
図7(a)は、申請者が文書を作成中の状態における、文書閲覧部408が表示する文書閲覧画面である。所定のユーザ認証処理を行った後、文書作成部407を起動し、所定の項目を入力して文書作成作業を終了すると、この画面が表示される。ユーザ認証が行われているので、申請者は既にログイン済みのユーザ自身である。
「文書状態」欄706は「1.作成中」という表示になっている。
申請者は、利用目的欄703、CD内容欄704にそれぞれ必要事項を記入する。必要事項記入後、「承認依頼」ボタン705を押すと、文書ファイルが鍵サーバ106内部にて作成されると共に、承認者にメールが送信される。
なお、「編集モード」ボタン707を押すと、文書作成部407が起動され、利用目的欄703、CD内容欄704が編集可能になる。
【0031】
図7(b)は、申請者が図7(a)において文書に必要事項記入後、「承認依頼」ボタン705を押した後の状態における、文書閲覧部408が表示する文書閲覧画面である。
「文書状態」欄716は「2.承認依頼中」という表示になっている。
【0032】
図7(c)は、申請者が図7(a)において文書に必要事項記入後、「承認依頼」ボタン705を押した後、当該文書を承認者が閲覧したときの、文書閲覧画面の一部である。
図7(c)は、基本的には図7(b)と同じだが、申請者には表示されないボタンが幾つかある。それが、「審査」ボタン722、「承認」ボタン723、「非審査・非承認」ボタン724である。
承認者が「審査」ボタン722を押すと、更なる別の承認者へメールが送信される。このとき文書状態は変更されず、別の承認者が当該文書を開くと図7(c)に示す画面になる。
承認者が「承認」ボタン723を押すと、文書閲覧部408は、審査の結果、鍵発行を承認した旨のメールを申請者に送信すると共に、暗号鍵作成部409を起動し、鍵ファイル305を作成させる。
承認者が「非審査・非承認」ボタン724を押すと、文書閲覧部408は、審査の結果、鍵発行を非承認した旨のメールを申請者に送信する。
【0033】
図8(d)は、承認者が図7(c)において鍵発行を承認すべく「承認」ボタン723を押した直後、申請者がメールを受信し、これを受けてすぐに文書を閲覧したときの文書閲覧画面である。このとき、暗号鍵作成部409による鍵ファイル305の作成は完了していない。このため、「文書状態」欄806は「5.鍵発行待ち」という表示になっている。
【0034】
図8(e)は、図8(d)から程なくして暗号鍵作成部409による鍵ファイル305の作成が完了したときに、申請者が文書を閲覧したときの文書閲覧画面である。「文書状態」欄806は「6.鍵発行完了」という表示になっている。
この画面で「鍵の使用」ボタン815を押すと、鍵データベースクライアントプログラム303は、図3にて説明した、鍵ファイル305のダウンロードと、iniファイル306及びフラグファイル307の作成を、特定ディレクトリ304に対して行う。
【0035】
図9は鍵サーバ106を中心に、鍵申請者と鍵承認者(例えば鍵申請者の上司)との手続きの流れと、鍵サーバ106の動作の変化を時系列で表示したフロー図である。図7(a)の状態である。
鍵申請者が文書作成部407を起動し、鍵申請文書を作成する。
次に、「承認依頼」ボタン705を押す(S901)。すると、文書作成部407は文書テーブル403に新規レコードを追加する。当該新規レコードには、
・作成した文書ファイル405のファイル名をファイル名フィールド502に、
・「承認依頼中」を文書状態フィールド503に(T921)、
・鍵申請者によって入力された利用目的の文章(文字列データ)を利用目的フィールド504に、
・文書テーブル403にレコード追加を行った日時を最終更新日フィールド505に
記入する。これが図7(b)の状態である。
次に、鍵サーバは文書作成を受けて、指定した宛先にメールを送信する(S903)。ここでは上司になる。
上司はメールを受信したら、当該文書を閲覧する(S904)。図7(c)の状態である。
鍵サーバ106は上司のクライアントPCから文書閲覧要求を受信して、当該文書の内容を送信し、表示させる(S905)。
上司は文書の内容を見て、適切と判断したら、「承認」ボタン723を押す(S906)。
【0036】
鍵サーバ106は承認のアクションを受信すると、暗号鍵作成部409を起動する(S907)。それと共に、先に追加したレコードの文書状態フィールド503を「鍵発行待ち」と書き換える(T922)。図8(d)の状態である。
程なくして暗号鍵作成部409が鍵作成を完了すると(S908)、鍵ファイル305のリンクを文書ファイル405に記入し、先に追加したレコードの文書状態フィールド503を、「鍵発行完了」と書き換える(T923)。図8(e)の状態である。
その後、鍵申請者は文書を閲覧すると(S909)、文書閲覧要求に呼応して鍵サーバ106は要求された文書の内容を表示する(S910)。鍵申請者は文書に埋め込まれている鍵ファイル305のリンクをクリックして鍵送信要求を鍵サーバに発信する(S911)。すると、鍵サーバ106は鍵ファイル305を鍵申請者のクライアントPCに送信する(S912)。
【0037】
図10(a)及び(b)は、ディスク判定部310が作成する、フォーマット及び記録用メニューの表示画面を示す。
図10(a)は、未フォーマット状態の暗号化光ディスクを光ディスク装置107に装着した直後に、記録プログラムが鍵ファイル305を待っている状態のメニュー画面1001である。
この状態では、「初期化+書き込み」ボタン1002及び「初期化」ボタン1003はグレイアウト(ウィンドウ画面色と同じ灰色の表示で、文字が薄く表示される)され、ボタンとしての機能が無効化されている。
なお、表示メッセージ1004は「未使用の暗号化光ディスクです。鍵ファイルを選択してください。」という表示になっている。これは、別途配布される鍵ファイル作成プログラムにて作成した鍵ファイルを手動で読み込ませることを求めるメッセージであり、過去のプログラムの互換性のための機能である。
【0038】
図10(b)は、図10(a)の状態から鍵ファイル305を読み込んだ状態の画面である。すなわち、鍵データベースクライアントプログラム303が鍵ファイル305を特定ディレクトリ304上にダウンロードし、これを光ディスク記録再生プログラム302内の記録プログラム308が読み込んだ状態である。
記録プログラム308内の暗号化部は、鍵ファイル305に含まれる暗号鍵データを読み込むことで有効化される。そして、これに呼応してグレイアウトされていた「初期化+書き込み」ボタン1002及び「初期化」ボタン1003が明確に表示(縁が表示され、文字が濃く表示される)され、ボタンとしての機能が有効化される。そして、表示メッセージ1005は「鍵が正常に認識されました。」という表示に変更される。
【0039】
図11(c)及び(d)は、ディスク判定部310が作成する記録・再生用メニューの表示画面を示す。
図11(c)は、フォーマットが済んでファイナライズがされていない状態の暗号化光ディスクを光ディスク装置107に装着した直後に、再生プログラム309が鍵ファイル305を待っている状態のメニュー画面1101である。
この状態では、「暗号(書き込み)」ボタン1102は有効であるものの、「復号(読み出し)」ボタン1103はグレイアウトされ、ボタンとしての機能が無効化されている。つまり、一旦フォーマットが済んでいる暗号化光ディスクには、暗号化のための公開鍵ファイルが書き込まれているので、データを暗号化して書き込むことは、任意のCD−Rドライブを備えるパソコンであれば可能である。しかし、復号には秘密鍵が必要になるので、鍵サーバ106から鍵ファイル305を入手して、鍵ファイル305中の秘密鍵データを読み込むまでは、「復号(読み出し)」ボタン1103はグレイアウトされる。
なお、表示メッセージ1104は「暗号する場合は、暗号(書き込み)ボタンを押下してください。復号する場合は、鍵ファイルを選択後、復号(読み出し)ボタンを押下してください。」という表示になっている。これは、別途配布される鍵ファイル作成プログラムにて作成した鍵ファイルを手動で読み込ませることを求めるメッセージであり、過去のプログラムの互換性のための機能である。
【0040】
図11(d)は、(c)の状態から鍵ファイル305を読み込んだ状態の画面である。鍵データベースクライアントプログラム303が鍵ファイル305を特定ディレクトリ上にダウンロードし、これを光ディスク記録再生プログラム302内の再生プログラム309が読み込んだ状態である。
再生プログラム309内の復号化部は、鍵ファイル305を読み込んだことで有効化される。そして、これに呼応してグレイアウトされていた「復号(読み出し)」ボタン1103が明確に表示され、ボタンとしての機能が有効化される。そして、表示メッセージ1105は「対応する鍵ファイルを認識済みです。」という表示に変更される。
【0041】
図12(e)及び(f)は、ディスク判定部310が作成する再生用メニューの表示画面を示す。
図12(e)は、ファイナライズされた状態の暗号化光ディスクを光ディスク装置107に装着した直後に、再生プログラムが鍵ファイル305を待っている状態の画面である。このメニュー画面1201は、ディスク判定部310が作成する。
この状態では、「暗号(書き込み)」ボタン1202及び「復号(読み出し)」ボタン1203はグレイアウトされ、ボタンとしての機能が無効化されている。
なお、表示メッセージ1204は「鍵ファイルを選択してください。」という表示になっている。これは、別途配布される鍵ファイル作成プログラムにて作成した鍵ファイルを手動で読み込ませることを求めるメッセージであり、過去のプログラムの互換性のための機能である。
【0042】
図12(f)は、(e)の状態から鍵ファイル305を読み込んだ状態の画面である。鍵データベースクライアントプログラム303が鍵ファイル305を特定ディレクトリ上にダウンロードし、これを光ディスク記録再生プログラム302内の再生プログラム309が読み込んだ状態である。
再生プログラム309内の復号化部は、鍵ファイル305を読み込んだことで有効化される。そして、これに呼応してグレイアウトされていた「復号(読み出し)」ボタン1203が明確に表示され、ボタンとしての機能が有効化される。そして、表示メッセージ1205は「対応する鍵ファイルを認識済みです。」という表示に変更される。
なお、図12(e)の時点で、光ディスク装置107に装着された暗号化光ディスクは、ファイナライズ済みのディスクである。すなわち、データの記録ができない。したがって、「暗号(書き込み)」ボタン1202は図12(f)の時点でもグレイアウトされたままの状態である。
【0043】
図13は、暗号化光ディスクを光ディスク装置107に装着した直後の、動作のフローである。暗号化光ディスクのROM領域に格納されている自動実行プログラムの動作であり、ディスク判定部310の動作に該当する。
暗号化光ディスクを光ディスク装置107に装着すると、OSが暗号化光ディスクのROM領域に記録されている自動実行プログラムを見つけ、自動実行プログラムを起動する(S1301)。自動実行プログラムは、最初に光ディスクの状態をチェックする(S1302及びS1304)。その結果、暗号化光ディスクの追記録領域が未フォーマット状態であれば(S1302のY)、フォーマット及び記録用メニューを起動する(S1303)。
暗号化光ディスクの追記録領域がフォーマット済みで且つファイナライズが済んでいない状態であれば(S1304のY)、記録及び再生用メニューを起動する(S1305)。
暗号化光ディスクの追記録領域がフォーマット済みで且つファイナライズが済んだ状態であれば(S1304のN)、再生用メニューを起動する(S1306)。
以上、暗号化光ディスクの状態に応じた、ステップS1303、S1305、S1306のいずれかのメニューは、ユーザによる終了操作等によって終了する(S1307)。
【0044】
図14はフォーマット及び記録メニューのフローチャートである。ディスク判定部310の動作を示すものである。
ディスク判定部310は、フォーマット及び記録用メニューとしての動作を開始すると(S1401)、初期画面を表示する(S1402)。図10(a)のメニュー画面1001がこれに該当する。
次に、特定ディレクトリ304にフラグファイル307があるか否かをチェックし続ける(S1403)。
フラグファイル307が見つかったら、iniファイル306を読み(S1404)、iniファイル306に記述されている鍵ファイル305のフルパス名を取得し、鍵ファイル305を読み、暗号化機能を有効化する(S1405)。このとき、メニュー画面1001は図10(b)の状態になる。そして、ファイル記録用画面を表示し(S1406)、終了する(S1407)。
【0045】
図15及び図16は記録・再生用メニューのフローチャートである。ディスク判定部310の動作である。
ディスク判定部310は、記録・再生用メニューとしての動作を開始すると(S1501)、最初に暗号化光ディスクの追記録領域に記録されている、暗号化のための公開鍵ファイルを読み出す(S1502)。そして、暗号化機能を有効化する(S1503)。次に、初期画面を表示する(S1504)。図11(c)のメニュー画面1101がこれに該当する。
これ以降はループ処理である。
「暗号(書き込み)」ボタン1102が押されたことを検出すると(S1605)、暗号化画面(データ記録用画面)を表示済みか否かチェックし(S1606)、未だ起動していなければ起動する(S1607)。
【0046】
次に、復号化のための秘密鍵ファイル305を未だ読んでいないか、検証する(S1608)。未だ読んでいなければ、次に特定ディレクトリ304にフラグファイル307があるか否かをチェックし続ける(S1609)。フラグファイル307が見つかったら、iniファイル306を読み、iniファイル306に記述されている鍵ファイル305のフルパス名を取得し、鍵ファイル305を読み(S1610)、正しい秘密鍵ファイル305であるか否か検証する(S1611)。
正しい秘密鍵ファイル305であれば、復号化機能を起動し、画面を更新し、復号ボタンを有効化する(S1612)。図11(d)のメニュー画面1101がこれに該当する。もし、誤った秘密鍵ファイル305であれば、エラーメッセージのダイアログボックスを表示する(S1613)。
【0047】
「復号(読み出し)」ボタン1103が押されたことを検出すると(S1614)、復号化画面(データ再生用画面)を表示済みか否かチェックし(S1615)、未だ起動していなければ起動する(S1616)。
なお、誤った秘密鍵ファイル305を読んでしまうと、ステップS1608でNになる。このとき、「復号(読み出し)」ボタン1103はグレイアウトされたままなので、ステップS1614は常にNとなる。
【0048】
図17は再生用メニューのフローチャートである。ディスク判定部310の動作を示すものである。
ディスク判定部310は、再生用メニューとしての動作を開始すると(S1701)、初期画面を表示する(S1702)。図12(e)のメニュー画面1201がこれに該当する。
次に、特定ディレクトリ304にフラグファイル307があるか否かをチェックし続ける(S1703)。
フラグファイル307が見つかったら、iniファイル306を読み(S1704)、iniファイル306に記述されている鍵ファイル305のフルパス名を取得し、鍵ファイル305を読み、復号化機能を有効化する(S1705)。このとき、メニュー画面1201は図12(f)の状態になる。そして、ファイル再生用画面を表示し(S1706)、終了する(S1707)。
【0049】
本実施形態には、以下のような応用例が考えられる。
(1)上記実施形態では、光ディスク記録再生プログラム302は鍵データベースクライアントプログラム303とは独立して稼動していた。このため、光ディスク記録再生プログラム302は特定ディレクトリ304をポーリングする必要があった。この代わりに、鍵データベースクライアントプログラム303が光ディスク記録再生プログラム302に対してプロセス間通信を行って、能動的に鍵データベースクライアントプログラム303を制御して、鍵ファイル305等を読み込ませるように構成することもできる。
プロセス間通信は名前付パイプやメッセージ送受信等、様々な形態が考えられる。
【0050】
(2)実施形態のシステムをwebアプリケーションサーバとwebブラウザにて構成することができる。
【0051】
(3)記録媒体は光ディスクに限られない。不揮発性ストレージを構成する交換型記録媒体であれば、可撓性磁気ディスク、固定磁気ディスク、光磁気ディスク等のディスク状記録媒体に留まらず、USBメモリ等のフラッシュメモリも利用可能である。
【0052】
(4)更に、前述のような物理的媒体の存在も必須ではない。例えば電子メール等のメッセージ、特にMIME(Multipurpose Internet Mail Extension:TCP/IPネットワーク上の電子メールにおいて、各国語や画像、音声、動画等を扱うための規格。ヘッダに境界文字列を定義し、添付する各々のメッセージを境界文字列で区切る。)マルチパートメッセージに、本実施形態の鍵サーバを導入し、電子メール送受信プログラム(MUA:Mail Users Agent)が、本実施形態のような暗号化・復号化処理を行うように構成することもできる。この場合、鍵サーバは自ずとwebアプリケーションサーバの形態になり、電子メールメッセージを構成するMIMEマルチパートメッセージには、暗号鍵と暗号メッセージをマルチパート形式で記述することとなる。
【0053】
(5)図4では文書テーブル403と文書ファイル405と鍵ファイル305を夫々別個独立に設けていたが、これらを統合することもできる。
文書ファイル405と鍵ファイル305は、MIMEマルチパートメッセージの形式にて一体化することができる。この場合、鍵データベースクライアントプログラム303は、メッセージ(文書ファイル405)を読むと同時に鍵ファイル305に相当するデータを受信できることとなる。つまり、鍵サーバ106に対し、明示の鍵ファイル305をダウンロードする処理は不要になる。
文書テーブル403と文書ファイル405或は鍵ファイル305は、文書テーブル403の一フィールドとして、文書ファイル405に記述される内容をフィールドの値として格納することができる。
なお、文書テーブル403と文書ファイル405或は鍵ファイル305を統合化する設計を行う際には、ACL406を不揮発性ストレージ402に構築されるファイルシステムとは独立して保持する必要がある。
【0054】
本実施形態においては、光ディスク記録再生システムを開示した。
暗号化光ディスクの記録及び再生に必要な鍵ファイルをサーバで一元管理することにより、鍵ファイルの紛失や漏洩を防止できる。また、クライアントプログラムと光ディスク記録再生プログラムとが鍵ファイルの読み込みにおいて連携する機能を持たせることで、ユーザは鍵ファイルを明示的に保存する等の意識をせずに、データの暗号化及び復号化を実現できる。
【0055】
以上、本発明の実施形態例について説明したが、本発明は上記実施形態例に限定されるものではなく、特許請求の範囲に記載した本発明の要旨を逸脱しない限りにおいて、他の変形例、応用例を含むことは言うまでもない。
【図面の簡単な説明】
【0056】
【図1】本発明の一実施の形態による光ディスク記録再生システムの全体概略図である。
【図2】クライアントPCの内部ブロック図である。
【図3】クライアントPC内部の機能ブロック図である。
【図4】鍵サーバの内部を機能的に示す概略ブロック図である。
【図5】文書テーブルの中身の一例を示す図である。
【図6】鍵データベースクライアントプログラムが表示する、文書一覧表示画面の一部を示す図である。
【図7】文書閲覧部が表示する文書閲覧画面を示す図である。
【図8】文書閲覧部が表示する文書閲覧画面を示す図である。
【図9】鍵申請者と鍵承認者(上司)との手続きの流れと、鍵サーバの動作の変化を時系列で表示したフロー図である。
【図10】記録プログラムの表示画面を示す図である。
【図11】記録・再生プログラムの表示画面を示す図である。
【図12】再生プログラムの表示画面を示す図である。
【図13】暗号化光ディスクを光ディスク装置に装着した直後の動作を示すフローチャートである。
【図14】フォーマット及び記録プログラムのフローチャートである。
【図15】記録・再生プログラムのフローチャートである。
【図16】記録・再生プログラムのフローチャートである。
【図17】再生プログラムのフローチャートである。
【符号の説明】
【0057】
101…光ディスク記録再生システム、102…社内LAN、103、104、105…クライアントPC、106…鍵サーバ、107…CD−Rドライブ、202…バス、203…CPU、204…ROM、205…RAM、206…ATAPIインターフェース、207…NIC、208…USBインターフェース、209…固定磁気ディスク装置、211…キーボード、212…マウス、302…光ディスク記録再生プログラム、303…鍵データベースクライアントプログラム、304…特定ディレクトリ、305…鍵ファイル、306…iniファイル、307…フラグファイル、308…記録プログラム、309…再生プログラム、310…ディスク判定部、402…不揮発性ストレージ、403…文書テーブル、404…ユーザテーブル、405…文書ファイル、406…ACL、407…文書作成部、408…文書閲覧部、409…暗号鍵作成部、502…ファイル名フィールド、503…文書状態フィールド、504…利用目的フィールド、505…最終更新日フィールド、602…作成者フィールド、706、716、806、816…「文書状態」欄、703…利用目的欄、704…CD内容欄、705…「承認依頼」ボタン、707…「編集モード」ボタン、722…「審査」ボタン、723…「承認」ボタン、724…「非審査・非承認」ボタン、815…「鍵の使用」ボタン、1001、1101、1201…メニュー画面、1002…「初期化+書き込み」ボタン、1003…「初期化」ボタン、1004、1005、1104、1105、1204、1205…表示メッセージ、1102、1202…「暗号(書き込み)」ボタン、1103、1203…「復号(読み出し)」ボタン
【特許請求の範囲】
【請求項1】
鍵サーバとクライアントから構成されるデータ変換システムであって、
前記鍵サーバは、
文書の文書名と、
前記文書に関連付けられ、公開鍵暗号方式にて作成される、公開鍵と秘密鍵を含む鍵データの状態と
の各フィールドを有する文書テーブルと、
前記文書テーブルと前記文書を閲覧可能に表示する文書閲覧部と、
前記文書閲覧部によって起動され、前記鍵データを作成する暗号鍵作成部と、
前記文書を作成する文書作成部と
を備え、
前記クライアントは、
前記文書作成部及び前記文書閲覧部を操作し、前記文書テーブル及び前記文書を表示し、前記鍵データを受信する鍵サーバ操作部と、
前記鍵サーバ操作部が受信した前記鍵データを読み込み、任意のデータを暗号化すると共に、暗号化されたデータを復号するデータ変換部と
を備えることを特徴とする、データ変換システム。
【請求項2】
前記鍵サーバは更に、
利用者フィールドを備えるユーザテーブルと、
前記利用者フィールドに関連する、前記文書の作成者を記録するACLと
を備え、
前記文書閲覧部は前記鍵サーバ操作部に、前記文書の文書名と、前記鍵データの状態と、前記文書の作成者の各情報を閲覧可能に表示することを特徴とする、請求項1記載のデータ変換システム。
【請求項3】
前記データ変換部は、交換型記録媒体に前記鍵データの公開鍵部分を記録することを特徴とする、請求項1記載のデータ変換システム。
【請求項4】
前記データ変換部は、データを暗号化した暗号化メッセージに前記鍵データの公開鍵部分を添付することを特徴とする、請求項1記載のデータ変換システム。
【請求項5】
文書と、
前記文書に関連付けられ、公開鍵暗号方式にて作成される、公開鍵と秘密鍵を含む鍵データと、
前記文書の文書名と、前記鍵データの状態の各フィールドを有する文書テーブルと、
クライアントに対し、前記文書テーブルと前記文書を閲覧可能に表示する文書閲覧部と、
前記文書閲覧部によって起動され、前記鍵データを作成する暗号鍵作成部と、
前記クライアントの操作に応じて前記文書を作成する文書作成部と
を備える鍵サーバ。
【請求項6】
更に、
利用者フィールドを備えるユーザテーブルと、
前記利用者フィールドに関連する、前記文書の作成者を記録するACLと
を備え、
前記文書閲覧部は前記クライアントに、前記文書の文書名と、前記鍵データの状態と、前記文書の作成者の各情報を閲覧可能に表示することを特徴とする、請求項5記載の鍵サーバ。
【請求項7】
コンピュータに、
文書と、前記文書に関連付けられ、公開鍵暗号方式にて作成される、公開鍵と秘密鍵を含む鍵データと、前記文書の文書名と前記鍵データの状態の各フィールドを有する文書テーブルと
を保持する不揮発性ストレージ機能と、
クライアントの要求に応じて、前記文書テーブルと前記文書の情報を送信する文書閲覧機能と、
前記文書閲覧機能に呼応して前記鍵データを作成する暗号鍵作成機能と、
前記クライアントの要求に応じて前記文書を作成する文書作成機能と
を実現させるためのプログラム。
【請求項8】
前記不揮発性ストレージ機能は更に、
利用者フィールドを備えるユーザテーブルと、
前記利用者フィールドに関連する、前記文書の作成者を記録するACLと
を備え、
前記文書閲覧機能は前記クライアントに、前記文書の文書名と、前記鍵データの状態と、前記文書の作成者の各情報を送信することを特徴とする、請求項7記載のプログラム。
【請求項9】
文書と、前記文書に関連付けられ、公開鍵暗号方式にて作成される、公開鍵と秘密鍵を含む鍵データと、前記文書の文書名と前記鍵データの状態の各フィールドを有する文書テーブルとを不揮発性ストレージに保持するステップと、
クライアントに、前記文書テーブルと前記文書の情報を送信するステップと、
前記クライアントの要求に応じて前記鍵データを作成するステップと、
前記クライアントの要求に応じて前記文書を作成するステップと、
前記文書テーブルから所望の前記文書を選択して表示するステップと、
表示した前記文書に関連付けられている前記鍵データを受信するステップと、
前記鍵データを用いて任意のデータを暗号化するステップと、
前記鍵データを用いて任意の暗号化されたデータを復号するステップと
を含むことを特徴とするデータ変換方法。
【請求項10】
前記不揮発性ストレージは更に、
利用者フィールドを備えるユーザテーブルと、
前記利用者フィールドに関連する、前記文書の作成者を記録するACLと
を備え、
前記文書テーブルと前記文書の情報を送信するステップは、前記クライアントに、前記文書の文書名と、前記鍵データの状態と、前記文書の作成者の各情報を送信することを特徴とする、請求項9記載のデータ変換方法。
【請求項1】
鍵サーバとクライアントから構成されるデータ変換システムであって、
前記鍵サーバは、
文書の文書名と、
前記文書に関連付けられ、公開鍵暗号方式にて作成される、公開鍵と秘密鍵を含む鍵データの状態と
の各フィールドを有する文書テーブルと、
前記文書テーブルと前記文書を閲覧可能に表示する文書閲覧部と、
前記文書閲覧部によって起動され、前記鍵データを作成する暗号鍵作成部と、
前記文書を作成する文書作成部と
を備え、
前記クライアントは、
前記文書作成部及び前記文書閲覧部を操作し、前記文書テーブル及び前記文書を表示し、前記鍵データを受信する鍵サーバ操作部と、
前記鍵サーバ操作部が受信した前記鍵データを読み込み、任意のデータを暗号化すると共に、暗号化されたデータを復号するデータ変換部と
を備えることを特徴とする、データ変換システム。
【請求項2】
前記鍵サーバは更に、
利用者フィールドを備えるユーザテーブルと、
前記利用者フィールドに関連する、前記文書の作成者を記録するACLと
を備え、
前記文書閲覧部は前記鍵サーバ操作部に、前記文書の文書名と、前記鍵データの状態と、前記文書の作成者の各情報を閲覧可能に表示することを特徴とする、請求項1記載のデータ変換システム。
【請求項3】
前記データ変換部は、交換型記録媒体に前記鍵データの公開鍵部分を記録することを特徴とする、請求項1記載のデータ変換システム。
【請求項4】
前記データ変換部は、データを暗号化した暗号化メッセージに前記鍵データの公開鍵部分を添付することを特徴とする、請求項1記載のデータ変換システム。
【請求項5】
文書と、
前記文書に関連付けられ、公開鍵暗号方式にて作成される、公開鍵と秘密鍵を含む鍵データと、
前記文書の文書名と、前記鍵データの状態の各フィールドを有する文書テーブルと、
クライアントに対し、前記文書テーブルと前記文書を閲覧可能に表示する文書閲覧部と、
前記文書閲覧部によって起動され、前記鍵データを作成する暗号鍵作成部と、
前記クライアントの操作に応じて前記文書を作成する文書作成部と
を備える鍵サーバ。
【請求項6】
更に、
利用者フィールドを備えるユーザテーブルと、
前記利用者フィールドに関連する、前記文書の作成者を記録するACLと
を備え、
前記文書閲覧部は前記クライアントに、前記文書の文書名と、前記鍵データの状態と、前記文書の作成者の各情報を閲覧可能に表示することを特徴とする、請求項5記載の鍵サーバ。
【請求項7】
コンピュータに、
文書と、前記文書に関連付けられ、公開鍵暗号方式にて作成される、公開鍵と秘密鍵を含む鍵データと、前記文書の文書名と前記鍵データの状態の各フィールドを有する文書テーブルと
を保持する不揮発性ストレージ機能と、
クライアントの要求に応じて、前記文書テーブルと前記文書の情報を送信する文書閲覧機能と、
前記文書閲覧機能に呼応して前記鍵データを作成する暗号鍵作成機能と、
前記クライアントの要求に応じて前記文書を作成する文書作成機能と
を実現させるためのプログラム。
【請求項8】
前記不揮発性ストレージ機能は更に、
利用者フィールドを備えるユーザテーブルと、
前記利用者フィールドに関連する、前記文書の作成者を記録するACLと
を備え、
前記文書閲覧機能は前記クライアントに、前記文書の文書名と、前記鍵データの状態と、前記文書の作成者の各情報を送信することを特徴とする、請求項7記載のプログラム。
【請求項9】
文書と、前記文書に関連付けられ、公開鍵暗号方式にて作成される、公開鍵と秘密鍵を含む鍵データと、前記文書の文書名と前記鍵データの状態の各フィールドを有する文書テーブルとを不揮発性ストレージに保持するステップと、
クライアントに、前記文書テーブルと前記文書の情報を送信するステップと、
前記クライアントの要求に応じて前記鍵データを作成するステップと、
前記クライアントの要求に応じて前記文書を作成するステップと、
前記文書テーブルから所望の前記文書を選択して表示するステップと、
表示した前記文書に関連付けられている前記鍵データを受信するステップと、
前記鍵データを用いて任意のデータを暗号化するステップと、
前記鍵データを用いて任意の暗号化されたデータを復号するステップと
を含むことを特徴とするデータ変換方法。
【請求項10】
前記不揮発性ストレージは更に、
利用者フィールドを備えるユーザテーブルと、
前記利用者フィールドに関連する、前記文書の作成者を記録するACLと
を備え、
前記文書テーブルと前記文書の情報を送信するステップは、前記クライアントに、前記文書の文書名と、前記鍵データの状態と、前記文書の作成者の各情報を送信することを特徴とする、請求項9記載のデータ変換方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図13】
【図14】
【図15】
【図16】
【図17】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図13】
【図14】
【図15】
【図16】
【図17】
【図10】
【図11】
【図12】
【公開番号】特開2008−181222(P2008−181222A)
【公開日】平成20年8月7日(2008.8.7)
【国際特許分類】
【出願番号】特願2007−12862(P2007−12862)
【出願日】平成19年1月23日(2007.1.23)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成20年8月7日(2008.8.7)
【国際特許分類】
【出願日】平成19年1月23日(2007.1.23)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]