情報処理システム
【課題】セキュリティを保ちサーバを介してPC端末のデータを携帯端末で共有する情報システムを提供する。
【解決手段】初回ソルト及びPCIDの生成・保存、ソルトの初回送信及びPCIDのハッシュ値の毎回送信、セッションキー及びIVの毎回生成・送信、セッションキーの毎回破棄、パスワードの保存及びそのハッシュ値の毎回送信、セッションキー及びIVを用いたデータの暗号化及び送信、ソルト及びパスワードを用いたセッションキーの暗号化及び送信を行うPC端末1と、ソルトの保存及び毎回送信、パスワードの毎回送信を行う携帯端末2と、ユーザ認証、PC認証、及びSSL通信、ソルト、パスワード、セッションキー、及びIVを用いた復号化データの送信とソルトの破棄、IV、暗号化されたデータ、セッションキー、パスワード、及びPCIDの保存・管理を行うネットワークサーバとで構成される。
【解決手段】初回ソルト及びPCIDの生成・保存、ソルトの初回送信及びPCIDのハッシュ値の毎回送信、セッションキー及びIVの毎回生成・送信、セッションキーの毎回破棄、パスワードの保存及びそのハッシュ値の毎回送信、セッションキー及びIVを用いたデータの暗号化及び送信、ソルト及びパスワードを用いたセッションキーの暗号化及び送信を行うPC端末1と、ソルトの保存及び毎回送信、パスワードの毎回送信を行う携帯端末2と、ユーザ認証、PC認証、及びSSL通信、ソルト、パスワード、セッションキー、及びIVを用いた復号化データの送信とソルトの破棄、IV、暗号化されたデータ、セッションキー、パスワード、及びPCIDの保存・管理を行うネットワークサーバとで構成される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上のサーバを介してPC端末のデータを携帯端末で共有する情報システムに関し、詳しくは、セキュリティを確保してPC端末のデータをネットワーク上のサーバに保管し、ファイルの階層構造を維持したまま保管したデータを携帯端末により取り出す情報システムに関するものである。
【背景技術】
【0002】
従来より、ネットワークに接続されたPC(パーソナルコンピュータ)端末にリモート端末によりアクセスし、アクセスしたPCのデスクトップ画面をリモート端末に表示して、リモート操作によりファイルアクセスを含むほぼ全てのアクセスを可能としたアプリケーションが知られており、リモート端末として携帯電話が使用可能なものもある。
また、近年、携帯電話の処理能力の進歩や画面表示解像度の向上に伴い、フルブラウジング可能なWebブラウザを搭載したものが出現し、スクロール等によりPC画面用に構成されたWebページを表示できるようになってきている。さらにPC用で作成されたワープロ(文書作成:ワードプロセッサー)、表計算、プレゼンテーション、印刷イメージによるドキュメントファイル等の各種アプリケーションのビューア(表示ソフトウェア)も出現しており、PCで作成したデータを携帯電話で表示し、さらには加工するという、各種アプリケーションやそのデータをPCと携帯電話との区別なくシームレスに取り扱う機会が増えてくることが予想される。
このようなネットワーク上でデータを取り扱う際にセキュリティに注意を払うことは、現在必須事項であり、ネットワーク上でパケットをプロトコルレベルで暗号化して処理する通信システムとしてSSL(Secure Sockets Layer)が知られており、データそのものの暗号化システムとしてはPGP(Pretty Good Privacy)等が使用されている。
ネットワークを介してデータを共有するシステムとして、ユーザ情報によってアクセスを制御し、ネットワークを介して配布されたアプリケーションによってユーザが作成したデータをアップロードする機能と、アップロードされたデータを他のユーザがダウンロードする機能を実現し、データの共有を可能とするという情報処理技術が特許文献1に開示されている。
【0003】
【特許文献1】特開2005−275705号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、従来技術においては、ユビキタス時代を迎えて、PC端末と携帯端末との相補・融合関係を構築して、「どこでもデスクトップ」と称されるような、携帯端末からPC端末にアクセスしてファイルやフォルダを共有する場合に、PC端末、携帯端末、及びサーバ等により構成されるネットワークデータ共有システムにおいて、各端末或いはサーバ単独での認証、暗号化等のセキュリティは或る程度保持されているものの、システム全体のネットワークセキュリティのレベルとしては不完全であり、盗聴、なりすまし、改鼠、破壊等を目的とする侵入を必ずしも排除できていないというという問題があった。
【0005】
そこで、本発明は、データを保管するサーバにアクセスする際にPC端末に対して乱数ベースのユーザ認証を用いると共に、PC端末により生成された暗号化情報と暗号化されたデータとをPC端末から受け取ったサーバが携帯端末にデータを送信したその都度復号化に必要な暗号化情報をサーバより廃棄するように構成して、情報漏洩を排除できる情報システムを提供することを目的としている。
【課題を解決するための手段】
【0006】
上記目的を達成するため、請求項1に記載の発明は、通信ネットワーク上のネットワークサーバを介してPC端末のデータを携帯端末で共有する情報システムであって、
PC端末は、ソルトを初回生成して保存し該ソルトをネットワークサーバへ初回送信するソルト処理手段と、PCIDを初回生成して保存し該PCIDをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するPCID処理手段と、セッションキーをデータ送信の都度毎回生成してデータ送信後に該セッションキーを毎回破棄する共通鍵処理手段と、ブロック暗号用のイニシャルベクター(IV)をデータ送信の都度毎回生成して該IVを前記ネットワークサーバへ毎回送信するするIV処理手段と、ユーザが設定したパスワードを保存して該パスワードをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するパスワード処理手段と、前記セッションキー及びIVを用いてデータを共通鍵暗号で暗号化し、暗号化されたデータを送信すると共に、前記ソルト及びパスワードを用いて前記セッションキーを暗号化し、暗号化されたセッションキー及び前記IVをデータ送信の都度前記ネットワークサーバへ毎回送信する暗号化処理手段と、を有し、
携帯端末は、前記ソルトを画面メモ機能等の記憶手段により該携帯端末に保存するソルト保存手段と、保存された前記ソルトを前記ネットワークサーバへログイン時に毎回送信するソルト送信手段と、ユーザが入力したパスワードを前記ネットワークサーバへのアクセスの都度毎回送信するパスワード送信手段と、を有し、
前記ネットワークサーバは、前記PC端末との間でSSL通信を行うPC用SSL通信処理手段と、前記PC端末より受信しハッシュ関数で暗号化されたPCID及びパスワードを用いてPC認証を行うPCID認証手段と、前記携帯端末からのログインの受付け及びユーザ認証を行う携帯用ベーシック認証手段と、前記携帯端末との間でSSL通信を行う携帯用SSL通信処理手段と、前記PC端末より受信したセッションキー及びIVと、前記携帯端末より受信したソルト及びパスワードとを用いて暗号化データの復号化処理を行う復号化処理手段と、前記PC端末より受信した暗号化されたデータ、IV、暗号化されたセッションキー、ハッシュ関数で暗号化されたパスワード、及びハッシュ関数で暗号化されたPCIDの保存・管理を行うデータベースサーバと、を有することを特徴とする。
また、請求項2に記載の前記PC端末は、前記ソルト処理手段及びPCID処理手段により乱数を用いてソルトとPCIDを生成し、生成されたPCIDをハッシュ関数で暗号化し、携帯端末のメールアドレス、ハッシュ関数で暗号化されたパスワードと共に該ソルト及びハッシュ関数で暗号化されたPCIDを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記PCID認証手段におけるPCID及びパスワードによるユーザ認証に問題がなければ前記PC端末より受信した前記PCID、ソルト、携帯端末のメールアドレス、及びパスワードからなる各認証情報をデータベースに格納した後、ユーザIDとワンタイム変数を引数としたログイン用URLを記載した電子メールを前記携帯端末のメールアドレス宛に送信し、前記PCID認証手段におけるPC端末より受信したハッシュ関数で暗号化されたPCID及びパスワードによるユーザ認証に問題なければ、前記PC端末より受信したデータをデータベースに格納することを特徴とする。
また、請求項3に記載の前記PC端末は、ユーザにより指定された該PC端末内の各監視フォルダ及びファイルの情報を取得し、画像ファイルの携帯端末表示用へのデータ変換と文書ファイルのテキスト抽出とを行い前記フォルダ名及びファイル名と共に暗号化対象のデータとし、前記ソルト及びパスワードを用いたPBE暗号により暗号化されたハッシュ値を得てセッションキーを暗号化し、暗号化されたセッションキーとブロック暗号用IVを用いて前記暗号化対象のデータを共通鍵暗号方式で暗号化したデータと、作成日付、更新日付等の属性情報とをハッシュ関数で暗号化された前記PCID及びパスワードの認証情報と共に前記ネットワークサーバへSSL通信により送信することを特徴とする。
また、請求項4に記載の前記携帯端末は、前記ネットワークサーバから送信された電子メールに記載されたURLにアクセスし、
前記ネットワークサーバは、前記携帯端末より受信したユーザIDを基にデータベースからワンタイム変数を抽出してリクエストURLの引数のワンタイム変数と一致していることを確認した上で前記ユーザIDを基にデータベースより前記ソルトを抽出し、該ソルトをWebページのhiddenタグに埋め込んでログイン画面を形成し該携帯端末にSSL通信により送信した後、当該ソルトをデータベースより削除することを特徴とする。
また、請求項5に記載の前記携帯端末は、前記ネットワークサーバより受信したログイン画面で、ユーザIDと前記PC端末で設定したパスワード入力があると、前記hiddenタグに埋め込まれたソルトと共に該ユーザID及びパスワードを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記携帯用ベーシック認証手段で携帯端末より受信したユーザIDを基にデータベースからハッシュ関数で暗号化されたパスワードを抽出して、前記携帯用ベーシック認証手段で携帯端末より受信したパスワードをハッシュ関数で暗号化した値と一致していることを確認した上で、受信した前記ソルト及びパスワードを基に要求に応じた各監視フォルダ及びファイルの復号化処理を行い、復号化された各監視フォルダ及びファイルを携帯端末のWebブラウザ上で階層構造を再現できるデータとして前記携帯端末へSSL通信により送信することを特徴とする。
【発明の効果】
【0007】
本発明によれば、PBEを用いることで、パスワードとソルトの両方がそろわなければデータの復号化は不可能であることから、どちらか片一方を他人が取得したとしても、データの復号化はできず、従来より共有鍵方式の欠点とされていた鍵の受け渡し問題を、PBEを用いることで鍵の基となるパスワードとソルトに分け、ソルトのみを最初のログイン時にSSL送信で渡し、携帯端末の機能である画面メモ等の記録方式でソルトを携帯端末に保存し、サーバはソルトを破棄することで、ソルトが他人に取得されることがないようにし、また、パスワードはハッシュ関数で暗号化されて保存されていることから、不正侵入等によりパスワード情報が盗まれても、基のパスワードを復号化することはできず、ネットワークサーバ経由でPCのデータを安全に携帯端末から参照することができるという効果がある。
【発明を実施するための最良の形態】
【0008】
以下、本発明の実施の形態について図を参照して説明する。
図1は、本発明の一実施形態による情報システムの構成図であり、図2は、図1に示す情報システムの機能を示す構成図である。
図1、図2において、1、10はPCデータ用収集クライアントのPC端末であり、図2に示す10はその機能を実現するPCアプリケーションを説明したものである。PC端末1は、PC端末1内部に搭載するセキュリティ用のPCアプリケーションとして、最初に乱数によるソルトの初回生成とPC端末1内の記憶装置(図示せず)への保存とを行い、サーバへプレーン(暗号化しない平文)でソルトを送信するソルト処理手段11、乱数によるPCID(PC端末の識別ID)の初回生成とPC端末1内の記憶装置への保存とを行い、生成されたPCIDを毎回ハッシュ関数で暗号化してサーバへ送信するPCID処理手段12、セッションキー(共通鍵)を毎回生成し送信終了の都度毎回破棄する共通鍵処理手段13、IV(イニシャルベクター)を毎回生成してサーバへ送信するIV処理手段14、パスワードを保存すると共に毎回ハッシュ関数で暗号化してサーバへ送信するパスワード処理手段15、セッションキーとIVを用いてデータを共通鍵暗号で暗号化し、暗号化されたデータを毎回サーバへ送信すると共に、ソルト及びパスワードを用いてセッションキーを暗号化し、暗号化されたセッションキーとブロック暗号用IVを毎回サーバへ送信する暗号化処理手段16、を搭載している。
【0009】
パスワードを基とするPBE(Password Based Encryption)暗号は、パスワードを一種の鍵データと見なし、この鍵データを基に暗号化鍵を生成するもので、各文字の下位8ビットだけを使用するPKCS#5や、各文字の16ビット全てを使用するPKCS#5等が知られている。
パスワード暗号化の際には、単にパスワードをMD(Message Digest)5等のハッシュアルゴリズム(ハッシュ関数)により得られたハッシュ値(ダイジェスト値)を使用する代わりに、パスワードに前もって8バイト程度のデータ(ソルト)を追加してダイジェスト値を求めることにより、より攪乱された鍵を生成することができる。また、ハッシュ関数を繰り返し適用することもある。
【0010】
共通鍵(セッションキー)は、対称暗号方式に属する鍵であり、対称鍵、共有鍵、秘密鍵等とも呼ばれる。対称暗号方式としてはIBM社が開発した秘密鍵暗号方式のDES(Data Encryption Standard)、アメリカ政府標準技術局(NIST)によって選定され、DESに代わる次世代暗号標準としてベルギーの数学者によって開発された秘密鍵暗号化アルゴリズムのラインダール(Rijndael)を用いたAES(Advanced Encryption Standard)、NTTが開発したFEAL(Fast data Encipherment ALgorithm)、スイス工科大学で開発されたIDEA(International Data Encryption Algorithm)、Ron Rivest氏によって開発されたRC(Ron’s Code)シリーズ等が挙げられる。
【0011】
また、よく出現する文字組の頻度を基に、統計的手法により暗号が破られる可能性を避けるために、ブロック間に依存関係を待たせるなどの各種方法が提案されており、例えばCBCモードの場合、
・平文(プレーン)データをブロックごとに分けておく(m1、m2、…)。
・初期ベクトルと称するブロック長に等しいデータIV(イニシャルベクター)を用意する。
・m1とIVの排他的論理輪を暗号化する(c1)。
・m2とc1の排他的論理輪を暗号化する(c2)。
・m3とc2の排他的論理輪を暗号化する(c3)。
・以降、同様の処理を繰り返し、得られたc1、c2、…をつなげたものを暗号文とする。
このCBCモード(ECBモード:単純にブロックごとに暗号化する方法)を改善し、暗号文中のある箇所が正しく送信できなくても誤りの伝播を避けることができるCFBモードやOFBモードが存在する。
【0012】
ソルト処理手段11は、初期設定の際に疑似乱数発生器により乱数のソルトを生成し、PC端末1内の記憶装置に永続保存する。このソルトは初回時プレーンでサーバに送信される。
PCID処理手段12は、乱数或いはユニークID生成アルゴリズムによりPCIDを生成してPC端末1内部に永続保存し、ハッシュ関数で暗号化したハッシュ値をサーバに送信する。サーバに送信されるPCIDは毎回ハッシュ関数で暗号化される。
共通鍵処理手段13は、データ送信の際に、乱数により毎回セッションキー(共通鍵)を生成し、データ送信終了時点で毎回破棄する。このとき生成されたセッションキーは、データを暗号化する際の共通鍵暗号の鍵としてIVと共に使用され、同時にソルト及びパスワードにより暗号化されてブロック暗号用のIVと共にデータ送信の際にサーバに毎回プレーン送信される。
IV処理手段14は、上述のように、最初の平文ブロックを暗号化する際、1つ前のブロックは存在しないので、代わりにビット列を初期ベクトル(IV)として挿入するもので、データ送信の際に、このIVを毎回生成しサーバにプレーン送信する。
パスワード処理手段15は、ユーザが任意に設定したパスワードをPC端末1内に保存し、一方向ハッシュ関数に入力して暗号化されたハッシュ値を得てデータ送信の際に毎回サーバに送信する。このパスワードはソルトが加えられハッシュ関数で暗号化されてセッションキーを暗号化する鍵として用いられる。
【0013】
暗号化処理手段16は、共通鍵処理手段13で生成されたセッションキーとIV処理手段14で生成されたIVを用いてデータを共通鍵暗号で暗号化してプレーン送信すると共に、ソルト処理手段11で生成されたソルト及びユーザが設定したパスワードを用いてセッションキーを暗号化し、暗号化されたセッションキーとIVを毎回プレーン送信する。
ここで、PC端末1に保存されたソルトとパスワードが盗まれた場合、他人がデータを復号化することが可能になるが、ソルトとパスワードはPC端末1内にのみ保存されているものなので、PC1端末に直接アクセスしてデータを盗まれることと同じことになり、本システムにおける欠点ではない。
【0014】
2、20はWebブラウザを備えた携帯電話等の携帯端末であり、図2に示す20はPC端末1がサーバに保管したデータを受信・取得する機能を実現する携帯端末のアプリケーションを説明したものである。携帯端末2は、Webブラウザ機能を備えており、画面メモ機能等を用いてサーバから取得したソルトを携帯端末2内に保存するソルト保存手段21、保存されたソルトを用いて携帯端末2からサーバにアクセスする際のログイン時に毎回プレーンで送信するソルト送信手段22、ユーザが入力したパスワードをデータ要求の都度毎回プレーン送信するパスワード送信手段23、ユーザ認証後に送られてきたソルトとパスワードを基にサーバが送信した復号化データを受信するデータ受信手段24、サーバから送信された暗号化されたままのデータを受信し携帯端末2側でデータの復号を行う復号化処理手段25、を有している。
【0015】
8はネットワークサーバであり、PC用Webサーバ3、携帯用Webサーバ4、データベース(DB)サーバ5、及びこれらのサーバと連携して必要な機能を実現するアプリケーションサーバ7、の各サーバで構成され、通信ネットワーク9を介してPC端末1及び携帯端末2に接続されるサーバ群である。
PC用Webサーバ3、30は、公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数等を組み合わせ、プロトコルレベルでセキュリティを保つSSLによるSSL通信処理手段31、ハッシュ関数で暗号化されたPCID及びパスワードを用いた乱数ベースのPCID認証を行うPCID認証手段32、を有しており、他人による推測が困難な乱数ベースのPCID認証を用いることで、ベーシック認証の欠点である「なりすまし」を防止できる。ただし、PC端末1に保存されているPCIDが盗まれると、他人による「なりすまし」は可能になるが、PCIDはPC端末1にのみ保存されているものなので、PC端末1に直接アクセスしてデータを盗まれることと同じことになり、本システムにおける欠点ではない。
【0016】
なお、PC端末1に関する説明では暗号化されたデータとの対比として各種情報をプレーンで送信すると記載した箇所があるが、上記の通りSSL通信によりプロトコルレベルのセキュリティを併用する構成とすることも勿論可能である。SSLは、HTTP(HTTPS:Hypertext Transfer Protocol Security)等の上位のプロトコルを利用するアプリケーションからは、特に意識することなく透過的に利用することができる。現在SSLは、SSL3.0を基に改良が加えられたTLS(Transport Layer Security)1.0がRFC(Request For Comment)2246としてIETF(Internet Engineering Task Force)で標準化されている。
【0017】
DBサーバ5、50は、ソルト、パスワード、セッションキー、IVを用いた共通鍵暗号で暗号化したデータの保存、ブロック暗号用イニシャルベクター(IV)の保存、共通鍵暗号で暗号化したセッションキーの保存、一方向ハッシュ関数で暗号化したパスワードの保存、一方向ハッシュ関数で暗号化したPCIDの保存、等をデータベース6に対して行うもので、夫々暗号化要素を分散保存する。これによって、万一データベース6からデータが漏洩しても、構成要素単体では、例えば復号化にはソルトとパスワードが必要等により、復号化できないので情報の漏洩を防ぐことができる。
【0018】
携帯用Webサーバ4、40は、ユーザ名とパスワードによりベーシック認証を行うベーシック認証手段41、SSL通信処理手段42、PC端末1より受信したセッションキー及びIVと、携帯端末1より受信したソルト及びパスワードとを用いて暗号データを共通鍵暗号方式により復号化処理する復号化処理手段43、を有している。復号化処理に失敗した場合は認証を拒否する。従って、仮に、パスワードが漏れたり推測されたりしても、ソルトが保存されている本人の端末以外からはアクセス不可能であることから、セキュリティが保証される。
【0019】
一方、71はデータ検索用のインデックスデータを保管する検索用(タームインデックス)保存手段であり、72はPC端末1または携帯端末2からの検索要求に応答し、検索語句をタームに分解して、各タームを一方向ハッシュ関数等により暗号化し、検索エンジン用タームインデックスとしてデータベース6内に保管された暗号化インデックスデータを検索して取り出し、検索語句との一致度を計算する機能を有する検索用計算手段である。検索用計算手段72による計算が終了したら、復号化処理手段43にその情報を渡し、復号化処理が引き継がれる。
【0020】
次に、図3、図4を参照して処理動作について説明する。
図3は、図1に示す情報システムの端末及びサーバの処理のフロー図であり、図4は、図1に示す情報システムの端末及びサーバ間の通信手順を示す図である。
図3を参照すると、先ず、PC端末1でアプリケーションソフトを起動し、データを共有する携帯端末2の携帯メールアドレスを指定し、パスワードを設定して、PC端末1と携帯端末2とでデータを共有する監視フォルダを指定する(ステップS101)。
続いて、PC端末1は、乱数によりID(PCID)とソルトを生成し、そのままPC端末1内に保存する。ソルトはそのまま、PCIDはハッシュ関数で暗号化し、携帯メールアドレス、ハッシュ関数で暗号化されたパスワードと共に、ネットワークサーバ8にSSLで送信する(ステップS102)。
この間の処理は、図4ではPC端末1からPC用Webサーバ3(ネットワークサーバ8)への通信(S11)の内容である。
【0021】
ネットワークサーバ8は、PC端末1からハッシュ関数で暗号化されて送信されたPCID及びパスワードによるユーザ認証に問題がなければ、これらの各認証情報(PCID、ソルト、携帯メールアドレス、パスワード)をデータベース6に格納する(ステップS103)。
PC端末1から受信した各認証情報をデータベース6に格納後、データベース6からオートインクリメントされるユーザIDを取得してPC端末1に返送すると共に、ユーザIDとワンタイム変数を引数としたログイン用URL(Uniform Resource Locator)を記載した電子メールを生成して携帯メールアドレス宛に送信し(ステップS104)、携帯端末2にアクセス可能になったことを通知する。
この間の通信手順は、図4に示すPC用Webサーバ3とDBサーバ5との通信(S12、S13)と、PC用Webサーバ3からPC端末1への通信(S14)、及びPC用Webサーバ3から携帯端末2への通信(S15)である。
【0022】
次に、PC端末1は、ユーザにより監視フォルダとして指定されたフォルダ以下にある階層のフォルダ及びファイルの情報を取得して暗号化する。その際、画像ファイルは携帯電話の表示画面に適した表示サイズに変換して暗号化する。また、文書ファイルはその中からテキスト抽出を行い暗号化する。フォルダ及びファイルの共通処理として、フォルダ及びファイル名の暗号化も合わせて行う。データの暗号化にはパスワードを一種の鍵データと見なして暗号化鍵を生成するBPEを用い、上記暗号化処理手段16で説明したように、ソルト、パスワード、暗号化されたセッションキー、及びブロック暗号用IVを用い、AES等の秘密鍵方式で暗号化する(ステップS105)。
この暗号化されたファイル名とその内容、暗号化されたフォルダ名、各フォルダ及びファイルの作成日付、更新日付等の情報を認証情報(ハッシュ関数で暗号化されたPCID及びパスワード)と共にネットワークサーバ8にSSLで送信する(ステップS106)。
これが図4に示すPC端末1からPC用Webサーバ3への通信(S16)である。
【0023】
ネットワークサーバ8は、ステップS106でPC端末1からハッシュ関数で暗号化されて送信されたPCIDとパスワードによるユーザ認証に問題が無ければ、PC端末1から受信したデータをデータベース6に格納して、PC端末1からのデータ受信が完了したことを記述した電子メールを生成して携帯端末2宛に送信して通知する(ステップS107)。
これが図4に示すPC用Webサーバ3とDBサーバ5との通信(S17、S18)と、PC用Webサーバ3から携帯端末2への通信(S19)である。
【0024】
続いて、PC端末1は、ログオフ或いはシャットダウンするか否かに応じ(ステップS108)、継続する場合は、指定された各監視フォルダの状態監視を継続し、変化があったらサーバに通知する(ステップS110)。ログオフ或いはシャットダウン後、再度PC端末1を立ち上げると起動と同時にアプリケーションソフトが常駐し(ステップS109)、ステップS110のフォルダ監視状態に入る。
これが図4に示すPC端末1からPC用Webサーバ3への通信(S20)と、PC用Webサーバ3からDBサーバ5への通信(S21)である。
【0025】
次に、携帯端末2は、最初のネットワークサーバ8へのアクセスである場合(ステップS111)、ネットワークサーバ8から送信された電子メールに記載されているユーザIDとワンタイム変数を引数としたログイン用URLにアクセスする(ステップS112)。
これが図4に示す携帯端末2から携帯用Webサーバ4への通信(S22)である。
【0026】
ネットワークサーバ8は、携帯端末2からログインページにアクセスがあったら、ユーザIDをキーにしてデータベース6から対応するワンタイム変数を抽出し、リクエストURLの引数のワンタイム変数とDB6から抽出したワンタイム変数とが一致していることを確認した上で、ユーザIDをキーにしてDBからソルトを抽出し、抽出したソルトをhiddenタグに埋め込んでログイン画面を形成したWebページを生成して携帯端末2に送信する。その直後にソルトはDBから削除する(ステップS113)。
これが図4に示すDBサーバ5から携帯用Webサーバ4への通信(S23)と、携帯用Webサーバ4から携帯端末2への通信(S24)である。
【0027】
携帯端末2は、ネットワークサーバ8からソルトがhiddenタグに埋め込まれて送信されたログイン画面のWebページを、画面メモ機能により携帯端末2内に保存し(ステップS114)、保存された画面メモを呼び出し、ログインボタンをクリックしてネットワークサーバ8とSSL通信を行う。携帯端末2のWeb表示画面ではユーザIDとパスワードを聞かれる。その際、このログイン画面に表示されていたユーザIDとPC端末1で設定したパスワードを入力する。この時Webページのhiddenタグに埋め込まれているソルトも同時にネットワークサーバ8にPOSTされる(ステップS115)。一旦画面メモ機能によりログイン画面を保存した場合、次回アクセスの際はステップS112、S114の処理を省略してステップS115の処理に移ることができる。
なお、HTTP及びHTTPSによるデータの送信にはURLの引数として送信されるGET命令と、URLとは別に送信されるPOST命令があり、Webページのフォームタグ内で指定される。よりセキュリティを保つにはURLとは別にデータが送信されるPOST命令が望ましい。
この処理は、図4では、携帯端末2から携帯用Webサーバ4への通信(S25)である。
【0028】
ネットワークサーバ8は、SSL通信で接続しに来ている送信元及び送信先のIPアドレスを基に接続クライアントを判断し、図4で言うところのPC用Webサーバ3と携帯用Webサーバ4に振り分け(ステップS116)、携帯端末2なら、携帯端末2から送信されたユーザIDを基にデータベース6から対応するハッシュ関数で暗号化されたパスワードを抽出し、携帯端末2から受信したパスワードをハッシュ関数で暗号化した値とデータベース6から抽出したパスワードと比較し、ユーザ認証を行う。ユーザ認証に問題がなければ、次に、携帯端末2からPOSTされたソルトとパスワードを基に、要求に応じた各監視フォルダ以下のフォルダ及びファイルをデータベース6から取り出し、取り出されたデータの復号化処理を行い、各監視フォルダの階層構造を携帯ブラウザで再現できるデータにして携帯端末2に送信する。なお、復号化処理に失敗すると認証を拒否するので、ユーザIDとパスワードを他人が取得しても、本人の携帯端末2に保存されているソルトがわからない限りログインできない。(ステップS117)。
この処理は、図4では、DBサーバ5から携帯用Webサーバ4への通信(S26)と、携帯用Webサーバ4から携帯端末2への通信(S27)である。
【0029】
ネットワークサーバ8から各監視フォルダの内容を受信した携帯端末2では、フォルダ及びファイルの階層構造が再現され、操作に応じて、ワンタイムセッション変数を引数にしてセッション情報を保持し、ネットワークサーバ8との認証と復号化処理依頼を行う(ステップS118)。
また、ネットワークサーバ8は、ステップS116の判断で接続がPC端末1の場合は、PC端末1から通知された情報に基づき、データベース6の内容を更新する(ステップS120)。
このようにして、PC端末1のフォルダ及びファイルのデータが、セキュリティを保ちながらネットワークを介して携帯端末2にその階層構造を維持して再現され、「どこでもデスクトップ」が実現される。
【0030】
以上、本実施形態では、携帯端末2として、例えば、「iモード」、「EZweb」等の、携帯電話に搭載され携帯サイトを閲覧する「携帯ブラウザ」を使用する端末を想定してきたが、PC端末1やネットワークサーバ8との連携によりWeb機能を更に拡大しようというものであればどのような形態でもよく、Webサイトを閲覧できるモバイル機器も携帯電話に限らない。例えば、携帯ゲーム機「PSP」にもWebブラウザが搭載されている。また、携帯電話にも内蔵された無線LAN機能を使用すれば、各場所、各施設内に設置されてきているアクセスポイントを介して外出先からでもアクセスでき、PC端末内に保存されているデータを、階層構造を保持したまま携帯端末で共有することが可能になる。
【0031】
さらに、本実施形態では、Webサイトを閲覧できる携帯端末を想定してきたが、ソルトをhiddenタグに格納する代わりに、例えば「iアプリ」等のアプリケーションを実行できる携帯端末に対して、ソルトをアプリケーションに埋め込むか、アプリケーションがソルトを携帯端末内で参照できる形で、携帯端末内でのソルト保管ないし参照手段を持つアプリケーションを配布することにより、復号化処理も携帯端末で行うことができ、復号化処理を携帯端末内で完結させることで、より高度なセキュリティを保つことが可能になる。
【図面の簡単な説明】
【0032】
【図1】本発明の一実施形態による情報システムの構成図である。
【図2】図1に示す情報システムの機能を示す構成図である。
【図3】図1に示す情報システムの端末及びサーバの処理のフロー図である。
【図4】図1に示す情報システムの端末及びサーバ間の通信手順を示す図である。
【符号の説明】
【0033】
1、10 PC端末(PCデータ収集クライアント、PCアプリケーション)
2、20 携帯端末(携帯端末アプリケーション)
3 PC用Webサーバ
4 携帯用Webサーバ
5、50 DB(データベース)サーバ
6 データベース
7 アプリケーションサーバ
8 ネットワークサーバ
9 通信ネットワーク
11 ソルト処理手段
12 PCID処理手段
13 共通鍵(セッションキー)処理手段
14 IV(イニシャルベクター)処理手段
15 パスワード処理手段
16 暗号化処理手段
21 ソルト保存手段
22 ソルト送信手段
23 パスワード送信手段
24 データ受信手段
25、43 復号化処理手段
30 PC用Webサーバ
40 携帯用Webサーバ
41 ベーシック認証手段
31、42 SSL通信処理手段
32 PCID認証手段
51 暗号化データ保存手段
52 IV保存手段
53 暗号化セッションキー保存手段
54 暗号化パスワード保存手段
55 暗号化PCID保存手段
71 検索用保存手段(検索エンジン)
72 検索用計算手段(検索エンジン)
【技術分野】
【0001】
本発明は、ネットワーク上のサーバを介してPC端末のデータを携帯端末で共有する情報システムに関し、詳しくは、セキュリティを確保してPC端末のデータをネットワーク上のサーバに保管し、ファイルの階層構造を維持したまま保管したデータを携帯端末により取り出す情報システムに関するものである。
【背景技術】
【0002】
従来より、ネットワークに接続されたPC(パーソナルコンピュータ)端末にリモート端末によりアクセスし、アクセスしたPCのデスクトップ画面をリモート端末に表示して、リモート操作によりファイルアクセスを含むほぼ全てのアクセスを可能としたアプリケーションが知られており、リモート端末として携帯電話が使用可能なものもある。
また、近年、携帯電話の処理能力の進歩や画面表示解像度の向上に伴い、フルブラウジング可能なWebブラウザを搭載したものが出現し、スクロール等によりPC画面用に構成されたWebページを表示できるようになってきている。さらにPC用で作成されたワープロ(文書作成:ワードプロセッサー)、表計算、プレゼンテーション、印刷イメージによるドキュメントファイル等の各種アプリケーションのビューア(表示ソフトウェア)も出現しており、PCで作成したデータを携帯電話で表示し、さらには加工するという、各種アプリケーションやそのデータをPCと携帯電話との区別なくシームレスに取り扱う機会が増えてくることが予想される。
このようなネットワーク上でデータを取り扱う際にセキュリティに注意を払うことは、現在必須事項であり、ネットワーク上でパケットをプロトコルレベルで暗号化して処理する通信システムとしてSSL(Secure Sockets Layer)が知られており、データそのものの暗号化システムとしてはPGP(Pretty Good Privacy)等が使用されている。
ネットワークを介してデータを共有するシステムとして、ユーザ情報によってアクセスを制御し、ネットワークを介して配布されたアプリケーションによってユーザが作成したデータをアップロードする機能と、アップロードされたデータを他のユーザがダウンロードする機能を実現し、データの共有を可能とするという情報処理技術が特許文献1に開示されている。
【0003】
【特許文献1】特開2005−275705号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、従来技術においては、ユビキタス時代を迎えて、PC端末と携帯端末との相補・融合関係を構築して、「どこでもデスクトップ」と称されるような、携帯端末からPC端末にアクセスしてファイルやフォルダを共有する場合に、PC端末、携帯端末、及びサーバ等により構成されるネットワークデータ共有システムにおいて、各端末或いはサーバ単独での認証、暗号化等のセキュリティは或る程度保持されているものの、システム全体のネットワークセキュリティのレベルとしては不完全であり、盗聴、なりすまし、改鼠、破壊等を目的とする侵入を必ずしも排除できていないというという問題があった。
【0005】
そこで、本発明は、データを保管するサーバにアクセスする際にPC端末に対して乱数ベースのユーザ認証を用いると共に、PC端末により生成された暗号化情報と暗号化されたデータとをPC端末から受け取ったサーバが携帯端末にデータを送信したその都度復号化に必要な暗号化情報をサーバより廃棄するように構成して、情報漏洩を排除できる情報システムを提供することを目的としている。
【課題を解決するための手段】
【0006】
上記目的を達成するため、請求項1に記載の発明は、通信ネットワーク上のネットワークサーバを介してPC端末のデータを携帯端末で共有する情報システムであって、
PC端末は、ソルトを初回生成して保存し該ソルトをネットワークサーバへ初回送信するソルト処理手段と、PCIDを初回生成して保存し該PCIDをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するPCID処理手段と、セッションキーをデータ送信の都度毎回生成してデータ送信後に該セッションキーを毎回破棄する共通鍵処理手段と、ブロック暗号用のイニシャルベクター(IV)をデータ送信の都度毎回生成して該IVを前記ネットワークサーバへ毎回送信するするIV処理手段と、ユーザが設定したパスワードを保存して該パスワードをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するパスワード処理手段と、前記セッションキー及びIVを用いてデータを共通鍵暗号で暗号化し、暗号化されたデータを送信すると共に、前記ソルト及びパスワードを用いて前記セッションキーを暗号化し、暗号化されたセッションキー及び前記IVをデータ送信の都度前記ネットワークサーバへ毎回送信する暗号化処理手段と、を有し、
携帯端末は、前記ソルトを画面メモ機能等の記憶手段により該携帯端末に保存するソルト保存手段と、保存された前記ソルトを前記ネットワークサーバへログイン時に毎回送信するソルト送信手段と、ユーザが入力したパスワードを前記ネットワークサーバへのアクセスの都度毎回送信するパスワード送信手段と、を有し、
前記ネットワークサーバは、前記PC端末との間でSSL通信を行うPC用SSL通信処理手段と、前記PC端末より受信しハッシュ関数で暗号化されたPCID及びパスワードを用いてPC認証を行うPCID認証手段と、前記携帯端末からのログインの受付け及びユーザ認証を行う携帯用ベーシック認証手段と、前記携帯端末との間でSSL通信を行う携帯用SSL通信処理手段と、前記PC端末より受信したセッションキー及びIVと、前記携帯端末より受信したソルト及びパスワードとを用いて暗号化データの復号化処理を行う復号化処理手段と、前記PC端末より受信した暗号化されたデータ、IV、暗号化されたセッションキー、ハッシュ関数で暗号化されたパスワード、及びハッシュ関数で暗号化されたPCIDの保存・管理を行うデータベースサーバと、を有することを特徴とする。
また、請求項2に記載の前記PC端末は、前記ソルト処理手段及びPCID処理手段により乱数を用いてソルトとPCIDを生成し、生成されたPCIDをハッシュ関数で暗号化し、携帯端末のメールアドレス、ハッシュ関数で暗号化されたパスワードと共に該ソルト及びハッシュ関数で暗号化されたPCIDを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記PCID認証手段におけるPCID及びパスワードによるユーザ認証に問題がなければ前記PC端末より受信した前記PCID、ソルト、携帯端末のメールアドレス、及びパスワードからなる各認証情報をデータベースに格納した後、ユーザIDとワンタイム変数を引数としたログイン用URLを記載した電子メールを前記携帯端末のメールアドレス宛に送信し、前記PCID認証手段におけるPC端末より受信したハッシュ関数で暗号化されたPCID及びパスワードによるユーザ認証に問題なければ、前記PC端末より受信したデータをデータベースに格納することを特徴とする。
また、請求項3に記載の前記PC端末は、ユーザにより指定された該PC端末内の各監視フォルダ及びファイルの情報を取得し、画像ファイルの携帯端末表示用へのデータ変換と文書ファイルのテキスト抽出とを行い前記フォルダ名及びファイル名と共に暗号化対象のデータとし、前記ソルト及びパスワードを用いたPBE暗号により暗号化されたハッシュ値を得てセッションキーを暗号化し、暗号化されたセッションキーとブロック暗号用IVを用いて前記暗号化対象のデータを共通鍵暗号方式で暗号化したデータと、作成日付、更新日付等の属性情報とをハッシュ関数で暗号化された前記PCID及びパスワードの認証情報と共に前記ネットワークサーバへSSL通信により送信することを特徴とする。
また、請求項4に記載の前記携帯端末は、前記ネットワークサーバから送信された電子メールに記載されたURLにアクセスし、
前記ネットワークサーバは、前記携帯端末より受信したユーザIDを基にデータベースからワンタイム変数を抽出してリクエストURLの引数のワンタイム変数と一致していることを確認した上で前記ユーザIDを基にデータベースより前記ソルトを抽出し、該ソルトをWebページのhiddenタグに埋め込んでログイン画面を形成し該携帯端末にSSL通信により送信した後、当該ソルトをデータベースより削除することを特徴とする。
また、請求項5に記載の前記携帯端末は、前記ネットワークサーバより受信したログイン画面で、ユーザIDと前記PC端末で設定したパスワード入力があると、前記hiddenタグに埋め込まれたソルトと共に該ユーザID及びパスワードを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記携帯用ベーシック認証手段で携帯端末より受信したユーザIDを基にデータベースからハッシュ関数で暗号化されたパスワードを抽出して、前記携帯用ベーシック認証手段で携帯端末より受信したパスワードをハッシュ関数で暗号化した値と一致していることを確認した上で、受信した前記ソルト及びパスワードを基に要求に応じた各監視フォルダ及びファイルの復号化処理を行い、復号化された各監視フォルダ及びファイルを携帯端末のWebブラウザ上で階層構造を再現できるデータとして前記携帯端末へSSL通信により送信することを特徴とする。
【発明の効果】
【0007】
本発明によれば、PBEを用いることで、パスワードとソルトの両方がそろわなければデータの復号化は不可能であることから、どちらか片一方を他人が取得したとしても、データの復号化はできず、従来より共有鍵方式の欠点とされていた鍵の受け渡し問題を、PBEを用いることで鍵の基となるパスワードとソルトに分け、ソルトのみを最初のログイン時にSSL送信で渡し、携帯端末の機能である画面メモ等の記録方式でソルトを携帯端末に保存し、サーバはソルトを破棄することで、ソルトが他人に取得されることがないようにし、また、パスワードはハッシュ関数で暗号化されて保存されていることから、不正侵入等によりパスワード情報が盗まれても、基のパスワードを復号化することはできず、ネットワークサーバ経由でPCのデータを安全に携帯端末から参照することができるという効果がある。
【発明を実施するための最良の形態】
【0008】
以下、本発明の実施の形態について図を参照して説明する。
図1は、本発明の一実施形態による情報システムの構成図であり、図2は、図1に示す情報システムの機能を示す構成図である。
図1、図2において、1、10はPCデータ用収集クライアントのPC端末であり、図2に示す10はその機能を実現するPCアプリケーションを説明したものである。PC端末1は、PC端末1内部に搭載するセキュリティ用のPCアプリケーションとして、最初に乱数によるソルトの初回生成とPC端末1内の記憶装置(図示せず)への保存とを行い、サーバへプレーン(暗号化しない平文)でソルトを送信するソルト処理手段11、乱数によるPCID(PC端末の識別ID)の初回生成とPC端末1内の記憶装置への保存とを行い、生成されたPCIDを毎回ハッシュ関数で暗号化してサーバへ送信するPCID処理手段12、セッションキー(共通鍵)を毎回生成し送信終了の都度毎回破棄する共通鍵処理手段13、IV(イニシャルベクター)を毎回生成してサーバへ送信するIV処理手段14、パスワードを保存すると共に毎回ハッシュ関数で暗号化してサーバへ送信するパスワード処理手段15、セッションキーとIVを用いてデータを共通鍵暗号で暗号化し、暗号化されたデータを毎回サーバへ送信すると共に、ソルト及びパスワードを用いてセッションキーを暗号化し、暗号化されたセッションキーとブロック暗号用IVを毎回サーバへ送信する暗号化処理手段16、を搭載している。
【0009】
パスワードを基とするPBE(Password Based Encryption)暗号は、パスワードを一種の鍵データと見なし、この鍵データを基に暗号化鍵を生成するもので、各文字の下位8ビットだけを使用するPKCS#5や、各文字の16ビット全てを使用するPKCS#5等が知られている。
パスワード暗号化の際には、単にパスワードをMD(Message Digest)5等のハッシュアルゴリズム(ハッシュ関数)により得られたハッシュ値(ダイジェスト値)を使用する代わりに、パスワードに前もって8バイト程度のデータ(ソルト)を追加してダイジェスト値を求めることにより、より攪乱された鍵を生成することができる。また、ハッシュ関数を繰り返し適用することもある。
【0010】
共通鍵(セッションキー)は、対称暗号方式に属する鍵であり、対称鍵、共有鍵、秘密鍵等とも呼ばれる。対称暗号方式としてはIBM社が開発した秘密鍵暗号方式のDES(Data Encryption Standard)、アメリカ政府標準技術局(NIST)によって選定され、DESに代わる次世代暗号標準としてベルギーの数学者によって開発された秘密鍵暗号化アルゴリズムのラインダール(Rijndael)を用いたAES(Advanced Encryption Standard)、NTTが開発したFEAL(Fast data Encipherment ALgorithm)、スイス工科大学で開発されたIDEA(International Data Encryption Algorithm)、Ron Rivest氏によって開発されたRC(Ron’s Code)シリーズ等が挙げられる。
【0011】
また、よく出現する文字組の頻度を基に、統計的手法により暗号が破られる可能性を避けるために、ブロック間に依存関係を待たせるなどの各種方法が提案されており、例えばCBCモードの場合、
・平文(プレーン)データをブロックごとに分けておく(m1、m2、…)。
・初期ベクトルと称するブロック長に等しいデータIV(イニシャルベクター)を用意する。
・m1とIVの排他的論理輪を暗号化する(c1)。
・m2とc1の排他的論理輪を暗号化する(c2)。
・m3とc2の排他的論理輪を暗号化する(c3)。
・以降、同様の処理を繰り返し、得られたc1、c2、…をつなげたものを暗号文とする。
このCBCモード(ECBモード:単純にブロックごとに暗号化する方法)を改善し、暗号文中のある箇所が正しく送信できなくても誤りの伝播を避けることができるCFBモードやOFBモードが存在する。
【0012】
ソルト処理手段11は、初期設定の際に疑似乱数発生器により乱数のソルトを生成し、PC端末1内の記憶装置に永続保存する。このソルトは初回時プレーンでサーバに送信される。
PCID処理手段12は、乱数或いはユニークID生成アルゴリズムによりPCIDを生成してPC端末1内部に永続保存し、ハッシュ関数で暗号化したハッシュ値をサーバに送信する。サーバに送信されるPCIDは毎回ハッシュ関数で暗号化される。
共通鍵処理手段13は、データ送信の際に、乱数により毎回セッションキー(共通鍵)を生成し、データ送信終了時点で毎回破棄する。このとき生成されたセッションキーは、データを暗号化する際の共通鍵暗号の鍵としてIVと共に使用され、同時にソルト及びパスワードにより暗号化されてブロック暗号用のIVと共にデータ送信の際にサーバに毎回プレーン送信される。
IV処理手段14は、上述のように、最初の平文ブロックを暗号化する際、1つ前のブロックは存在しないので、代わりにビット列を初期ベクトル(IV)として挿入するもので、データ送信の際に、このIVを毎回生成しサーバにプレーン送信する。
パスワード処理手段15は、ユーザが任意に設定したパスワードをPC端末1内に保存し、一方向ハッシュ関数に入力して暗号化されたハッシュ値を得てデータ送信の際に毎回サーバに送信する。このパスワードはソルトが加えられハッシュ関数で暗号化されてセッションキーを暗号化する鍵として用いられる。
【0013】
暗号化処理手段16は、共通鍵処理手段13で生成されたセッションキーとIV処理手段14で生成されたIVを用いてデータを共通鍵暗号で暗号化してプレーン送信すると共に、ソルト処理手段11で生成されたソルト及びユーザが設定したパスワードを用いてセッションキーを暗号化し、暗号化されたセッションキーとIVを毎回プレーン送信する。
ここで、PC端末1に保存されたソルトとパスワードが盗まれた場合、他人がデータを復号化することが可能になるが、ソルトとパスワードはPC端末1内にのみ保存されているものなので、PC1端末に直接アクセスしてデータを盗まれることと同じことになり、本システムにおける欠点ではない。
【0014】
2、20はWebブラウザを備えた携帯電話等の携帯端末であり、図2に示す20はPC端末1がサーバに保管したデータを受信・取得する機能を実現する携帯端末のアプリケーションを説明したものである。携帯端末2は、Webブラウザ機能を備えており、画面メモ機能等を用いてサーバから取得したソルトを携帯端末2内に保存するソルト保存手段21、保存されたソルトを用いて携帯端末2からサーバにアクセスする際のログイン時に毎回プレーンで送信するソルト送信手段22、ユーザが入力したパスワードをデータ要求の都度毎回プレーン送信するパスワード送信手段23、ユーザ認証後に送られてきたソルトとパスワードを基にサーバが送信した復号化データを受信するデータ受信手段24、サーバから送信された暗号化されたままのデータを受信し携帯端末2側でデータの復号を行う復号化処理手段25、を有している。
【0015】
8はネットワークサーバであり、PC用Webサーバ3、携帯用Webサーバ4、データベース(DB)サーバ5、及びこれらのサーバと連携して必要な機能を実現するアプリケーションサーバ7、の各サーバで構成され、通信ネットワーク9を介してPC端末1及び携帯端末2に接続されるサーバ群である。
PC用Webサーバ3、30は、公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数等を組み合わせ、プロトコルレベルでセキュリティを保つSSLによるSSL通信処理手段31、ハッシュ関数で暗号化されたPCID及びパスワードを用いた乱数ベースのPCID認証を行うPCID認証手段32、を有しており、他人による推測が困難な乱数ベースのPCID認証を用いることで、ベーシック認証の欠点である「なりすまし」を防止できる。ただし、PC端末1に保存されているPCIDが盗まれると、他人による「なりすまし」は可能になるが、PCIDはPC端末1にのみ保存されているものなので、PC端末1に直接アクセスしてデータを盗まれることと同じことになり、本システムにおける欠点ではない。
【0016】
なお、PC端末1に関する説明では暗号化されたデータとの対比として各種情報をプレーンで送信すると記載した箇所があるが、上記の通りSSL通信によりプロトコルレベルのセキュリティを併用する構成とすることも勿論可能である。SSLは、HTTP(HTTPS:Hypertext Transfer Protocol Security)等の上位のプロトコルを利用するアプリケーションからは、特に意識することなく透過的に利用することができる。現在SSLは、SSL3.0を基に改良が加えられたTLS(Transport Layer Security)1.0がRFC(Request For Comment)2246としてIETF(Internet Engineering Task Force)で標準化されている。
【0017】
DBサーバ5、50は、ソルト、パスワード、セッションキー、IVを用いた共通鍵暗号で暗号化したデータの保存、ブロック暗号用イニシャルベクター(IV)の保存、共通鍵暗号で暗号化したセッションキーの保存、一方向ハッシュ関数で暗号化したパスワードの保存、一方向ハッシュ関数で暗号化したPCIDの保存、等をデータベース6に対して行うもので、夫々暗号化要素を分散保存する。これによって、万一データベース6からデータが漏洩しても、構成要素単体では、例えば復号化にはソルトとパスワードが必要等により、復号化できないので情報の漏洩を防ぐことができる。
【0018】
携帯用Webサーバ4、40は、ユーザ名とパスワードによりベーシック認証を行うベーシック認証手段41、SSL通信処理手段42、PC端末1より受信したセッションキー及びIVと、携帯端末1より受信したソルト及びパスワードとを用いて暗号データを共通鍵暗号方式により復号化処理する復号化処理手段43、を有している。復号化処理に失敗した場合は認証を拒否する。従って、仮に、パスワードが漏れたり推測されたりしても、ソルトが保存されている本人の端末以外からはアクセス不可能であることから、セキュリティが保証される。
【0019】
一方、71はデータ検索用のインデックスデータを保管する検索用(タームインデックス)保存手段であり、72はPC端末1または携帯端末2からの検索要求に応答し、検索語句をタームに分解して、各タームを一方向ハッシュ関数等により暗号化し、検索エンジン用タームインデックスとしてデータベース6内に保管された暗号化インデックスデータを検索して取り出し、検索語句との一致度を計算する機能を有する検索用計算手段である。検索用計算手段72による計算が終了したら、復号化処理手段43にその情報を渡し、復号化処理が引き継がれる。
【0020】
次に、図3、図4を参照して処理動作について説明する。
図3は、図1に示す情報システムの端末及びサーバの処理のフロー図であり、図4は、図1に示す情報システムの端末及びサーバ間の通信手順を示す図である。
図3を参照すると、先ず、PC端末1でアプリケーションソフトを起動し、データを共有する携帯端末2の携帯メールアドレスを指定し、パスワードを設定して、PC端末1と携帯端末2とでデータを共有する監視フォルダを指定する(ステップS101)。
続いて、PC端末1は、乱数によりID(PCID)とソルトを生成し、そのままPC端末1内に保存する。ソルトはそのまま、PCIDはハッシュ関数で暗号化し、携帯メールアドレス、ハッシュ関数で暗号化されたパスワードと共に、ネットワークサーバ8にSSLで送信する(ステップS102)。
この間の処理は、図4ではPC端末1からPC用Webサーバ3(ネットワークサーバ8)への通信(S11)の内容である。
【0021】
ネットワークサーバ8は、PC端末1からハッシュ関数で暗号化されて送信されたPCID及びパスワードによるユーザ認証に問題がなければ、これらの各認証情報(PCID、ソルト、携帯メールアドレス、パスワード)をデータベース6に格納する(ステップS103)。
PC端末1から受信した各認証情報をデータベース6に格納後、データベース6からオートインクリメントされるユーザIDを取得してPC端末1に返送すると共に、ユーザIDとワンタイム変数を引数としたログイン用URL(Uniform Resource Locator)を記載した電子メールを生成して携帯メールアドレス宛に送信し(ステップS104)、携帯端末2にアクセス可能になったことを通知する。
この間の通信手順は、図4に示すPC用Webサーバ3とDBサーバ5との通信(S12、S13)と、PC用Webサーバ3からPC端末1への通信(S14)、及びPC用Webサーバ3から携帯端末2への通信(S15)である。
【0022】
次に、PC端末1は、ユーザにより監視フォルダとして指定されたフォルダ以下にある階層のフォルダ及びファイルの情報を取得して暗号化する。その際、画像ファイルは携帯電話の表示画面に適した表示サイズに変換して暗号化する。また、文書ファイルはその中からテキスト抽出を行い暗号化する。フォルダ及びファイルの共通処理として、フォルダ及びファイル名の暗号化も合わせて行う。データの暗号化にはパスワードを一種の鍵データと見なして暗号化鍵を生成するBPEを用い、上記暗号化処理手段16で説明したように、ソルト、パスワード、暗号化されたセッションキー、及びブロック暗号用IVを用い、AES等の秘密鍵方式で暗号化する(ステップS105)。
この暗号化されたファイル名とその内容、暗号化されたフォルダ名、各フォルダ及びファイルの作成日付、更新日付等の情報を認証情報(ハッシュ関数で暗号化されたPCID及びパスワード)と共にネットワークサーバ8にSSLで送信する(ステップS106)。
これが図4に示すPC端末1からPC用Webサーバ3への通信(S16)である。
【0023】
ネットワークサーバ8は、ステップS106でPC端末1からハッシュ関数で暗号化されて送信されたPCIDとパスワードによるユーザ認証に問題が無ければ、PC端末1から受信したデータをデータベース6に格納して、PC端末1からのデータ受信が完了したことを記述した電子メールを生成して携帯端末2宛に送信して通知する(ステップS107)。
これが図4に示すPC用Webサーバ3とDBサーバ5との通信(S17、S18)と、PC用Webサーバ3から携帯端末2への通信(S19)である。
【0024】
続いて、PC端末1は、ログオフ或いはシャットダウンするか否かに応じ(ステップS108)、継続する場合は、指定された各監視フォルダの状態監視を継続し、変化があったらサーバに通知する(ステップS110)。ログオフ或いはシャットダウン後、再度PC端末1を立ち上げると起動と同時にアプリケーションソフトが常駐し(ステップS109)、ステップS110のフォルダ監視状態に入る。
これが図4に示すPC端末1からPC用Webサーバ3への通信(S20)と、PC用Webサーバ3からDBサーバ5への通信(S21)である。
【0025】
次に、携帯端末2は、最初のネットワークサーバ8へのアクセスである場合(ステップS111)、ネットワークサーバ8から送信された電子メールに記載されているユーザIDとワンタイム変数を引数としたログイン用URLにアクセスする(ステップS112)。
これが図4に示す携帯端末2から携帯用Webサーバ4への通信(S22)である。
【0026】
ネットワークサーバ8は、携帯端末2からログインページにアクセスがあったら、ユーザIDをキーにしてデータベース6から対応するワンタイム変数を抽出し、リクエストURLの引数のワンタイム変数とDB6から抽出したワンタイム変数とが一致していることを確認した上で、ユーザIDをキーにしてDBからソルトを抽出し、抽出したソルトをhiddenタグに埋め込んでログイン画面を形成したWebページを生成して携帯端末2に送信する。その直後にソルトはDBから削除する(ステップS113)。
これが図4に示すDBサーバ5から携帯用Webサーバ4への通信(S23)と、携帯用Webサーバ4から携帯端末2への通信(S24)である。
【0027】
携帯端末2は、ネットワークサーバ8からソルトがhiddenタグに埋め込まれて送信されたログイン画面のWebページを、画面メモ機能により携帯端末2内に保存し(ステップS114)、保存された画面メモを呼び出し、ログインボタンをクリックしてネットワークサーバ8とSSL通信を行う。携帯端末2のWeb表示画面ではユーザIDとパスワードを聞かれる。その際、このログイン画面に表示されていたユーザIDとPC端末1で設定したパスワードを入力する。この時Webページのhiddenタグに埋め込まれているソルトも同時にネットワークサーバ8にPOSTされる(ステップS115)。一旦画面メモ機能によりログイン画面を保存した場合、次回アクセスの際はステップS112、S114の処理を省略してステップS115の処理に移ることができる。
なお、HTTP及びHTTPSによるデータの送信にはURLの引数として送信されるGET命令と、URLとは別に送信されるPOST命令があり、Webページのフォームタグ内で指定される。よりセキュリティを保つにはURLとは別にデータが送信されるPOST命令が望ましい。
この処理は、図4では、携帯端末2から携帯用Webサーバ4への通信(S25)である。
【0028】
ネットワークサーバ8は、SSL通信で接続しに来ている送信元及び送信先のIPアドレスを基に接続クライアントを判断し、図4で言うところのPC用Webサーバ3と携帯用Webサーバ4に振り分け(ステップS116)、携帯端末2なら、携帯端末2から送信されたユーザIDを基にデータベース6から対応するハッシュ関数で暗号化されたパスワードを抽出し、携帯端末2から受信したパスワードをハッシュ関数で暗号化した値とデータベース6から抽出したパスワードと比較し、ユーザ認証を行う。ユーザ認証に問題がなければ、次に、携帯端末2からPOSTされたソルトとパスワードを基に、要求に応じた各監視フォルダ以下のフォルダ及びファイルをデータベース6から取り出し、取り出されたデータの復号化処理を行い、各監視フォルダの階層構造を携帯ブラウザで再現できるデータにして携帯端末2に送信する。なお、復号化処理に失敗すると認証を拒否するので、ユーザIDとパスワードを他人が取得しても、本人の携帯端末2に保存されているソルトがわからない限りログインできない。(ステップS117)。
この処理は、図4では、DBサーバ5から携帯用Webサーバ4への通信(S26)と、携帯用Webサーバ4から携帯端末2への通信(S27)である。
【0029】
ネットワークサーバ8から各監視フォルダの内容を受信した携帯端末2では、フォルダ及びファイルの階層構造が再現され、操作に応じて、ワンタイムセッション変数を引数にしてセッション情報を保持し、ネットワークサーバ8との認証と復号化処理依頼を行う(ステップS118)。
また、ネットワークサーバ8は、ステップS116の判断で接続がPC端末1の場合は、PC端末1から通知された情報に基づき、データベース6の内容を更新する(ステップS120)。
このようにして、PC端末1のフォルダ及びファイルのデータが、セキュリティを保ちながらネットワークを介して携帯端末2にその階層構造を維持して再現され、「どこでもデスクトップ」が実現される。
【0030】
以上、本実施形態では、携帯端末2として、例えば、「iモード」、「EZweb」等の、携帯電話に搭載され携帯サイトを閲覧する「携帯ブラウザ」を使用する端末を想定してきたが、PC端末1やネットワークサーバ8との連携によりWeb機能を更に拡大しようというものであればどのような形態でもよく、Webサイトを閲覧できるモバイル機器も携帯電話に限らない。例えば、携帯ゲーム機「PSP」にもWebブラウザが搭載されている。また、携帯電話にも内蔵された無線LAN機能を使用すれば、各場所、各施設内に設置されてきているアクセスポイントを介して外出先からでもアクセスでき、PC端末内に保存されているデータを、階層構造を保持したまま携帯端末で共有することが可能になる。
【0031】
さらに、本実施形態では、Webサイトを閲覧できる携帯端末を想定してきたが、ソルトをhiddenタグに格納する代わりに、例えば「iアプリ」等のアプリケーションを実行できる携帯端末に対して、ソルトをアプリケーションに埋め込むか、アプリケーションがソルトを携帯端末内で参照できる形で、携帯端末内でのソルト保管ないし参照手段を持つアプリケーションを配布することにより、復号化処理も携帯端末で行うことができ、復号化処理を携帯端末内で完結させることで、より高度なセキュリティを保つことが可能になる。
【図面の簡単な説明】
【0032】
【図1】本発明の一実施形態による情報システムの構成図である。
【図2】図1に示す情報システムの機能を示す構成図である。
【図3】図1に示す情報システムの端末及びサーバの処理のフロー図である。
【図4】図1に示す情報システムの端末及びサーバ間の通信手順を示す図である。
【符号の説明】
【0033】
1、10 PC端末(PCデータ収集クライアント、PCアプリケーション)
2、20 携帯端末(携帯端末アプリケーション)
3 PC用Webサーバ
4 携帯用Webサーバ
5、50 DB(データベース)サーバ
6 データベース
7 アプリケーションサーバ
8 ネットワークサーバ
9 通信ネットワーク
11 ソルト処理手段
12 PCID処理手段
13 共通鍵(セッションキー)処理手段
14 IV(イニシャルベクター)処理手段
15 パスワード処理手段
16 暗号化処理手段
21 ソルト保存手段
22 ソルト送信手段
23 パスワード送信手段
24 データ受信手段
25、43 復号化処理手段
30 PC用Webサーバ
40 携帯用Webサーバ
41 ベーシック認証手段
31、42 SSL通信処理手段
32 PCID認証手段
51 暗号化データ保存手段
52 IV保存手段
53 暗号化セッションキー保存手段
54 暗号化パスワード保存手段
55 暗号化PCID保存手段
71 検索用保存手段(検索エンジン)
72 検索用計算手段(検索エンジン)
【特許請求の範囲】
【請求項1】
通信ネットワーク上のネットワークサーバを介してPC端末のデータを携帯端末で共有する情報システムであって、
PC端末は、
ソルトを初回生成して保存し該ソルトをネットワークサーバへ初回送信するソルト処理手段と、
PCIDを初回生成して保存し該PCIDをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するPCID処理手段と、
セッションキーをデータ送信の都度毎回生成してデータ送信後に該セッションキーを毎回破棄する共通鍵処理手段と、
ブロック暗号用のイニシャルベクター(IV)をデータ送信の都度毎回生成して該IVを前記ネットワークサーバへ毎回送信するするIV処理手段と、
ユーザが設定したパスワードを保存して該パスワードをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するパスワード処理手段と、
前記セッションキー及びIVを用いてデータを共通鍵暗号で暗号化し、暗号化されたデータを送信すると共に、前記ソルト及びパスワードを用いて前記セッションキーを暗号化し、暗号化されたセッションキー及び前記IVをデータ送信の都度前記ネットワークサーバへ毎回送信する暗号化処理手段と、を有し、
携帯端末は、
前記ソルトを画面メモ機能等の記憶手段により該携帯端末に保存するソルト保存手段と、
保存された前記ソルトを前記ネットワークサーバへログイン時に毎回送信するソルト送信手段と、
ユーザが入力したパスワードを前記ネットワークサーバへのアクセスの都度毎回送信するパスワード送信手段と、を有し、
前記ネットワークサーバは、
前記PC端末との間でSSL通信を行うPC用SSL通信処理手段と、
前記PC端末より受信しハッシュ関数で暗号化されたPCID及びパスワードを用いてPC認証を行うPCID認証手段と、
前記携帯端末からのログインの受付け及びユーザ認証を行う携帯用ベーシック認証手段と、
前記携帯端末との間でSSL通信を行う携帯用SSL通信処理手段と、
前記PC端末より受信したセッションキー及びIVと、前記携帯端末より受信したソルト及びパスワードとを用いて暗号化データの復号化処理を行う復号化処理手段と、
前記PC端末より受信した暗号化されたデータ、IV、暗号化されたセッションキー、ハッシュ関数で暗号化されたパスワード、及びハッシュ関数で暗号化されたPCIDの保存・管理を行うデータベースサーバと、を有することを特徴とする情報処理システム。
【請求項2】
前記PC端末は、前記ソルト処理手段及びPCID処理手段により乱数を用いてソルトとPCIDを生成し、生成されたPCIDをハッシュ関数で暗号化し、携帯端末のメールアドレス、ハッシュ関数で暗号化されたパスワードと共に該ソルト及びハッシュ関数で暗号化されたPCIDを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記PCID認証手段におけるPCID及びパスワードによるユーザ認証に問題がなければ前記PC端末より受信した前記PCID、ソルト、携帯端末のメールアドレス、及びパスワードからなる各認証情報をデータベースに格納した後、ユーザIDとワンタイム変数を引数としたログイン用URLを記載した電子メールを前記携帯端末のメールアドレス宛に送信し、
前記PCID認証手段におけるPC端末より受信したハッシュ関数で暗号化されたPCID及びパスワードによるユーザ認証に問題なければ、前記PC端末より受信したデータをデータベースに格納することを特徴とする請求項1に記載の情報処理システム。
【請求項3】
前記PC端末は、ユーザにより指定された該PC端末内の各監視フォルダ及びファイルの情報を取得し、画像ファイルの携帯端末表示用へのデータ変換と文書ファイルのテキスト抽出とを行い前記フォルダ名及びファイル名と共に暗号化対象のデータとし、
前記ソルト及びパスワードを用いたPBE暗号により暗号化されたハッシュ値を得てセッションキーを暗号化し、暗号化されたセッションキーとブロック暗号用IVを用いて前記暗号化対象のデータを共通鍵暗号方式で暗号化したデータと、作成日付、更新日付等の属性情報とをハッシュ関数で暗号化された前記PCID及びパスワードの認証情報と共に前記ネットワークサーバへSSL通信により送信することを特徴とする請求項1に記載の情報処理システム。
【請求項4】
前記携帯端末は、前記ネットワークサーバから送信された電子メールに記載されたURLにアクセスし、
前記ネットワークサーバは、前記携帯端末より受信したユーザIDを基にデータベースからワンタイム変数を抽出してリクエストURLの引数のワンタイム変数と一致していることを確認した上で前記ユーザIDを基にデータベースより前記ソルトを抽出し、該ソルトをWebページのhiddenタグに埋め込んでログイン画面を形成し該携帯端末にSSL通信により送信した後、当該ソルトをデータベースより削除することを特徴とする請求項2に記載の情報処理システム。
【請求項5】
前記携帯端末は、前記ネットワークサーバより受信したログイン画面で、ユーザIDと前記PC端末で設定したパスワード入力があると、前記hiddenタグに埋め込まれたソルトと共に該ユーザID及びパスワードを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記携帯用ベーシック認証手段で携帯端末より受信したユーザIDを基にデータベースからハッシュ関数で暗号化されたパスワードを抽出し、前記携帯用ベーシック認証手段で携帯端末より受信したパスワードをハッシュ関数で暗号化した値と一致していることを確認した上で、受信した前記ソルト及びパスワードを基に要求に応じた各監視フォルダ及びファイルの復号化処理を行い、復号化された各監視フォルダ及びファイルを携帯端末のWebブラウザ上で階層構造を再現できるデータとして前記携帯端末へSSL通信により送信することを特徴とする請求項4に記載の情報処理システム。
【請求項1】
通信ネットワーク上のネットワークサーバを介してPC端末のデータを携帯端末で共有する情報システムであって、
PC端末は、
ソルトを初回生成して保存し該ソルトをネットワークサーバへ初回送信するソルト処理手段と、
PCIDを初回生成して保存し該PCIDをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するPCID処理手段と、
セッションキーをデータ送信の都度毎回生成してデータ送信後に該セッションキーを毎回破棄する共通鍵処理手段と、
ブロック暗号用のイニシャルベクター(IV)をデータ送信の都度毎回生成して該IVを前記ネットワークサーバへ毎回送信するするIV処理手段と、
ユーザが設定したパスワードを保存して該パスワードをハッシュ関数で暗号化した値をデータ送信の都度前記ネットワークサーバへ毎回送信するパスワード処理手段と、
前記セッションキー及びIVを用いてデータを共通鍵暗号で暗号化し、暗号化されたデータを送信すると共に、前記ソルト及びパスワードを用いて前記セッションキーを暗号化し、暗号化されたセッションキー及び前記IVをデータ送信の都度前記ネットワークサーバへ毎回送信する暗号化処理手段と、を有し、
携帯端末は、
前記ソルトを画面メモ機能等の記憶手段により該携帯端末に保存するソルト保存手段と、
保存された前記ソルトを前記ネットワークサーバへログイン時に毎回送信するソルト送信手段と、
ユーザが入力したパスワードを前記ネットワークサーバへのアクセスの都度毎回送信するパスワード送信手段と、を有し、
前記ネットワークサーバは、
前記PC端末との間でSSL通信を行うPC用SSL通信処理手段と、
前記PC端末より受信しハッシュ関数で暗号化されたPCID及びパスワードを用いてPC認証を行うPCID認証手段と、
前記携帯端末からのログインの受付け及びユーザ認証を行う携帯用ベーシック認証手段と、
前記携帯端末との間でSSL通信を行う携帯用SSL通信処理手段と、
前記PC端末より受信したセッションキー及びIVと、前記携帯端末より受信したソルト及びパスワードとを用いて暗号化データの復号化処理を行う復号化処理手段と、
前記PC端末より受信した暗号化されたデータ、IV、暗号化されたセッションキー、ハッシュ関数で暗号化されたパスワード、及びハッシュ関数で暗号化されたPCIDの保存・管理を行うデータベースサーバと、を有することを特徴とする情報処理システム。
【請求項2】
前記PC端末は、前記ソルト処理手段及びPCID処理手段により乱数を用いてソルトとPCIDを生成し、生成されたPCIDをハッシュ関数で暗号化し、携帯端末のメールアドレス、ハッシュ関数で暗号化されたパスワードと共に該ソルト及びハッシュ関数で暗号化されたPCIDを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記PCID認証手段におけるPCID及びパスワードによるユーザ認証に問題がなければ前記PC端末より受信した前記PCID、ソルト、携帯端末のメールアドレス、及びパスワードからなる各認証情報をデータベースに格納した後、ユーザIDとワンタイム変数を引数としたログイン用URLを記載した電子メールを前記携帯端末のメールアドレス宛に送信し、
前記PCID認証手段におけるPC端末より受信したハッシュ関数で暗号化されたPCID及びパスワードによるユーザ認証に問題なければ、前記PC端末より受信したデータをデータベースに格納することを特徴とする請求項1に記載の情報処理システム。
【請求項3】
前記PC端末は、ユーザにより指定された該PC端末内の各監視フォルダ及びファイルの情報を取得し、画像ファイルの携帯端末表示用へのデータ変換と文書ファイルのテキスト抽出とを行い前記フォルダ名及びファイル名と共に暗号化対象のデータとし、
前記ソルト及びパスワードを用いたPBE暗号により暗号化されたハッシュ値を得てセッションキーを暗号化し、暗号化されたセッションキーとブロック暗号用IVを用いて前記暗号化対象のデータを共通鍵暗号方式で暗号化したデータと、作成日付、更新日付等の属性情報とをハッシュ関数で暗号化された前記PCID及びパスワードの認証情報と共に前記ネットワークサーバへSSL通信により送信することを特徴とする請求項1に記載の情報処理システム。
【請求項4】
前記携帯端末は、前記ネットワークサーバから送信された電子メールに記載されたURLにアクセスし、
前記ネットワークサーバは、前記携帯端末より受信したユーザIDを基にデータベースからワンタイム変数を抽出してリクエストURLの引数のワンタイム変数と一致していることを確認した上で前記ユーザIDを基にデータベースより前記ソルトを抽出し、該ソルトをWebページのhiddenタグに埋め込んでログイン画面を形成し該携帯端末にSSL通信により送信した後、当該ソルトをデータベースより削除することを特徴とする請求項2に記載の情報処理システム。
【請求項5】
前記携帯端末は、前記ネットワークサーバより受信したログイン画面で、ユーザIDと前記PC端末で設定したパスワード入力があると、前記hiddenタグに埋め込まれたソルトと共に該ユーザID及びパスワードを前記ネットワークサーバへSSL通信により送信し、
前記ネットワークサーバは、前記携帯用ベーシック認証手段で携帯端末より受信したユーザIDを基にデータベースからハッシュ関数で暗号化されたパスワードを抽出し、前記携帯用ベーシック認証手段で携帯端末より受信したパスワードをハッシュ関数で暗号化した値と一致していることを確認した上で、受信した前記ソルト及びパスワードを基に要求に応じた各監視フォルダ及びファイルの復号化処理を行い、復号化された各監視フォルダ及びファイルを携帯端末のWebブラウザ上で階層構造を再現できるデータとして前記携帯端末へSSL通信により送信することを特徴とする請求項4に記載の情報処理システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2007−142504(P2007−142504A)
【公開日】平成19年6月7日(2007.6.7)
【国際特許分類】
【出願番号】特願2005−329449(P2005−329449)
【出願日】平成17年11月14日(2005.11.14)
【出願人】(504421361)株式会社コトハコ (2)
【Fターム(参考)】
【公開日】平成19年6月7日(2007.6.7)
【国際特許分類】
【出願日】平成17年11月14日(2005.11.14)
【出願人】(504421361)株式会社コトハコ (2)
【Fターム(参考)】
[ Back to top ]