秘密情報アクセス認証システム及びその方法
【課題】ファイルアクセスを特定エリア内にのみ限定することにより、もし秘密情報が流出した場合でも情報にアクセスすることが出来ず情報の漏洩を防止する。
【解決手段】クライアント10からの復号キー要求がネットワーク装置20を介して管理サーバ30に送信される過程において、クライアント10ではなくネットワーク装置20がロケーション情報を復号キー要求に付加し、管理サーバ30に復号キー要求が到達した場合に記録しているロケーション情報と復号キー要求に係るロケーション情報と対比して同一である場合に復号キーをクライアント10に送信しているので、特定のパケットとなる復号キー要求をクライアント10から受けてロケーション情報を付加するネットワーク装置20を経由した場合にだけ管理サーバ30から復号キーがクライアント10に送信されて秘密情報のアクセスが特定エリア内に限定できる。
【解決手段】クライアント10からの復号キー要求がネットワーク装置20を介して管理サーバ30に送信される過程において、クライアント10ではなくネットワーク装置20がロケーション情報を復号キー要求に付加し、管理サーバ30に復号キー要求が到達した場合に記録しているロケーション情報と復号キー要求に係るロケーション情報と対比して同一である場合に復号キーをクライアント10に送信しているので、特定のパケットとなる復号キー要求をクライアント10から受けてロケーション情報を付加するネットワーク装置20を経由した場合にだけ管理サーバ30から復号キーがクライアント10に送信されて秘密情報のアクセスが特定エリア内に限定できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パーソナルコンピュータ(PC)等の情報端末内の磁気記憶装置(ハードディスク)などの記憶装置に格納されたファイルなどの情報へのアクセス認証の方式に関する。
【0002】
特に、情報漏洩が厳禁とされる秘密情報を特定エリア内でのみアクセス可能とする情報アクセスの認証方式に関する。
【背景技術】
【0003】
近年、企業活動において扱われる秘密情報の安全性確保への対策が重要課題となっており、特にパーソナルコンピュータ(PC)内に格納される情報の流出,漏洩が問題となっている。
【0004】
一般的な企業では、例えば、次のセキュリティ対策が施されている。
・入退出管理システムによるアクセス制限:秘密情報を扱うエリア(建物、フロア、部屋)への入室時にパスワードを必要とする
また、PCのハードディスク内に格納された重要秘密情報(ファイル)へのアクセスする際のセキュリティ対策としては次の技術が用いられている。
・PCログイン時のユーザ認証によるアクセス制限
・データファイルその物に“読み取り”,“書込み”のパスワード設定を行うことによるアクセス制限
・データファイルを暗号化し復号化のパスワード設定を行うことによるアクセス制限
現状の情報流出、漏洩問題を鑑みると図12に示すように、これまでは入退出管理等のセキュリティ対策が施された場所(セキュリティエリア)内で秘密情報を使用していたのに対し、PCなどの機器の小型化が進んで出張時に秘密情報の入った機器を持ち歩く事(外部持ち出し)が一般的に行われるようになった。その結果、移動中の盗難,紛失事故が後をたたない。
【0005】
また、機器の小型化は人目につくことなく秘密情報を持ち出すことを容易にしており、悪意を持った利用者の情報の持ち出しを防止することは難しい。
さらに、IDやパスワード等のセキュリティ対策が施されたPCや秘密情報であっても、対策が不十分であったり、パスワードが第三者に容易に類推されやすかったり、パスワードを解読されたりすることにより情報漏洩をまねく危険性が非常に高い。
【0006】
このような問題を解決する手段として、例えば、複数のパスワード項目をランダムに表示し、これに対応したパスワードを入力させてその正解率によって認証を許可し、それを一定時間経過後に再認証することによりセキュリティを高める特許文献1に開示される認証方法なども提案されている。
【0007】
また、チャットサーバに接続した同一チャネル上のクライアント同士がリアルタイムにメッセージをやり取りするチャットシステムにおいて、同一チャネル上のクライアント間でのセキュリティを向上させることを目的としたチャットシステムが特許文献2に開示されている。この特許文献2のチャットシステムは、チャットクライアントが鍵管理サーバにチャネル秘密鍵を要求し、管理サーバは該当チャネルの秘密鍵を作成し、チャットクライアントから受け付けた公開鍵を用いて暗号化してチャットサーバを介してチャットクライアントに送信し、チャットクライアントは管理サーバに送出した公開鍵に対応する秘密鍵で受信した暗号化済みのチャネル秘密鍵を復号化し、チャネル秘密鍵を用いて同一チャネルのチャットクライアント同士がメッセージをやり取りする。そうすることで、チャットサーバ若しくはチャットクライアント間のネットワーク装置、チャットサーバとチャットクライアント間のネットワーク装置で第三者がチャットクライアントの送出したメッセージを取得できたとしても、取得したメッセージは暗号化されており、内容を閲覧することができない。
【特許文献1】特開平11−328118号公報
【特許文献2】特開2005−39868号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
従来の認証方式では、いずれも利用者側(人,機器内部)に認証のキーとなるID/パスワードの情報があり、利用者に悪意を持った者が居ない(情報漏洩しない)ということを前提としていることになる。
【0009】
その為、利用者が故意に秘密情報を持ち出した場合や、悪意をもった第三者が何らかの方法でIDとパスワードを入手した場合は、秘密情報へのアクセスが可能となり、秘密情報ファイル,PC本体の持ち出し、その後の情報漏洩を防ぐことが出来ない。
【0010】
また、特開平11−328118号公報に開示される認証方法においてもセキュリティを高めることは可能であるが利用者側に認証のキー情報があるため、悪意を持った利用者による秘密情報の持ち出し,情報漏洩対策としては不十分である。
【0011】
このような課題を踏まえ、本発明では秘密情報へのアクセス認証に利用者個人が入力する認証のキー(ID/パスワード)を不要とし、ファイルアクセスを特定エリア内にのみ限定することにより、もし秘密情報が外部に流出した場合でも情報にアクセスすることが出来ず、情報の漏洩を防止することを目的とする。
さらに、本発明では、データ(ファイル)単位,利用者(ユーザ)単位や、時間単位といった細かなアクセスレベルの設定を可能とすることを目的とする。
【課題を解決するための手段】
【0012】
本発明に係る秘密情報アクセス認証方式は、クライアントの情報端末内に格納され、外部流出,情報漏洩が厳禁とされる秘密情報ファイルへのアクセスにおいて、クライアントの復号化エージェント機能として動作し、クライアントのOS,アプリ等と連携すると同時に、暗号化された秘密情報ファイルの復号キー払出し要求/応答処理状態の管理を行う「処理状態管理処理」手段と、秘密情報ファイルの復号キー払出し要求を行う「復号キー要求処理」手段と、払出された復号キーを受信する「復号キー受信処理」手段と、ネットワーク装置のロケーション情報付加機能として動作し、クライアントの情報端末からの復号キー払出し要求に応じて自装置内に持つ一意の「ロケーション情報」の付加を行う「ロケーション情報付加処理」手段と、復号キー払出し要求に対する応答受信時において、クライアントへの復号キーの中継を行う「復号キー中継処理」手段と、その一連の復号キー払出し要求/応答処理状態の管理を行う「処理状態管理処理」手段と、管理サーバの復号キー管理機能として動作し、ネットワーク装置経由で受け取ったロケーション情報を含むクライアントからの復号キー払出し要求と、「許可情報管理テーブル」内に予め設定されたロケーション情報を比較し、一致した場合のみ復号キーの払出しを許可し、その処理結果を記録する「ロケーション情報チェック処理」手段と、「ロケーション情報チェック処理」の復号キー払出し許可時に予め登録された復号キーを「復号キー情報」から抽出しクライアントへ送信する「復号キー送信処理」手段と、クライアント−ネットワーク装置間の復号キー払出し要求/応答処理を「MACレベルの通信で行う」手段と、ネットワーク装置−管理サーバ間の復号キー払出し要求/応答処理を「IPレベルの通信で行う」手段を備えたものである。
【0013】
また、本発明に係る秘密情報アクセス認証方式は必要に応じて、管理サーバの復号キー管理機能として動作し、ネットワーク装置経由で受け取ったクライアントからの復号キー払出し要求の自装置内受付時間と、「許可情報管理テーブル」内に予め設定されたロケーション情報+時間帯情報を参照し、ロケーションが一致した時間帯情報内の要求にのみ復号キーの払出しを許可する「ロケーション情報チェック処理」手段を備えたものである。
【0014】
(1)ロケーション情報を用いた認証システム
本発明に係る秘密情報アクセス認証システムは、クライアントが暗号化されている秘密情報を復号化する復号キーを管理サーバに要求し、管理サーバが当該要求に対して認証を経てクライアントに対して復号キーを送信する秘密情報アクセス認証システムにおいて、受信情報の宛先アドレスを参照して適切なポートに送出するネットワーク装置を具備し、クライアントは、復号キーをネットワーク装置に対して要求する復号キー要求処理部と、ネットワーク装置からの復号キーを受信する復号キー受信処理部とを含み、ネットワーク装置は、クライアントからの復号キーの要求に記録しているロケーション情報を付加して管理サーバに復号キーを要求するロケーション情報付加処理部と、管理サーバからの復号キーの応答を中継してクライアントに送信する復号キー中継処理部とを含み、管理サーバは、記録しているロケーション情報とネットワーク装置からの復号キー要求に係るロケーション情報とを比較するロケーション情報チェック処理部と、ロケーション情報が同一である場合に記録している復号キーをネットワーク装置に対して送信する復号キー送信処理部とを含むものである。
【0015】
このように本発明においては、クライアントからの復号キー要求がネットワーク装置を介して管理サーバに送信される過程において、クライアントではなくネットワーク装置がロケーション情報を復号キー要求に付加し、管理サーバに復号キー要求が到達した場合に記録しているロケーション情報と復号キー要求に係るロケーション情報と対比して同一である場合に復号キーをクライアントに送信しているので、特定のパケットとなる復号キー要求をクライアントから受けてロケーション情報を付加するネットワーク装置を経由した場合にだけ管理サーバから復号キーがクライアントに送信され、前記ネットワーク装置を経由していない復号キー要求が管理サーバに処理されたとしても復号キーを得ることができず、秘密情報のアクセスが特定エリア内に限定できるという効果を奏する。
クライアントは、クライアントコンピュータである。
【0016】
(2)ユーザ情報も用いた認証システム
本発明に係る秘密情報アクセス認証システムは必要に応じて、クライアントが復号キー要求時にユーザ情報を含ませ、ネットワーク装置は、クライアントからのユーザ情報を含んだ復号キー要求を受けて、管理サーバにユーザ情報を含んだ復号キー要求を行い、管理サーバは、ロケーション情報だけでなくユーザ情報も記録しておき、ネットワーク装置からの復号キー要求に係るロケーション情報及びユーザ情報と記録しているロケーション情報及びユーザ情報を比較し、ロケーション情報及びユーザ情報が同一である場合に記録している復号キーをネットワーク装置に対して応答するものである。
【0017】
このように本発明においては、クライアントが復号キーにユーザ情報を含ませ、管理サーバでロケーション情報と共にユーザ情報も対比して同一である場合に復号キーをクライアントに送信しているので、ユーザ単位での秘密情報へのアクセス制御が可能となるという効果を有する。ユーザ情報毎に復号キーを管理サーバが記録し、該当ユーザ情報を含む復号キー要求の場合には該当ユーザ情報の復号キーをクライアントに送信する構成としてもよい。
【0018】
(3)秘密情報の属性情報も用いた認証システム
本発明に係る秘密情報アクセス認証システムは必要に応じて、クライアントが復号キー要求時に秘密情報の属性情報を含ませ、ネットワーク装置は、クライアントからの秘密情報の属性情報を含んだ復号キー要求を受けて、管理サーバに秘密情報の属性情報を含んだ復号キー要求を行い、管理サーバは、ロケーション情報だけでなく秘密情報の属性情報も記録しておき、ネットワーク装置からの復号キー要求に係るロケーション情報及び秘密情報の属性情報と記録しているロケーション情報及び秘密情報の属性情報を比較し、ロケーション情報及び秘密情報の属性情報が同一である場合に記録している復号キーをネットワーク装置に対して応答するものである。
【0019】
このように本発明においては、クライアントが復号キーに秘密情報の属性情報を含ませ、管理サーバでロケーション情報と共に秘密情報の属性情報も対比して同一である場合に復号キーをクライアントに送信しているので、秘密情報の属性情報単位での秘密情報へのアクセス制御が可能となるという効果を有する。秘密情報の属性情報毎に復号キーを管理サーバが記録し、該当秘密情報の属性情報を含む復号キー要求の場合には該当秘密情報の属性情報の復号キーをクライアントに送信する構成としてもよい。
秘密情報の属性情報は、例えば、秘密情報がファイル形式である場合にはファイルの属性情報であり、ファイル名、ファイルサイズ、ファイル作成日、ファイル更新日、ファイル印刷日などが該当する。
【0020】
(4)復号キー要求受付時間も用いた認証システム
本発明に係る秘密情報アクセス認証システムは必要に応じて、管理サーバはネットワーク装置経由のクライアントからの復号キー要求を受け付けた時間を取得し、管理サーバは前記ロケーション情報チェック処理部による条件を満たし、且つ、前記復号キー要求の受付時間が記録している復号キー要求受付時間帯に属する場合に復号キーをネットワーク装置に対して応答するものである。
【0021】
このように本発明においては、クライアントからの管理サーバへの復号キー要求が所定時間帯である場合に復号キーをクライアントに送信し、他方、クライアントからの管理サーバへの復号キー要求が所定時間帯でない場合に復号キーをクライアントに送信しないので、時間帯での秘密情報へのアクセス制御が可能となる。
復号キー要求受付時間帯は、ユーザ情報、秘密情報の属性情報毎に相違させることができる。例えば、Aさんは「8:00〜12:00」、Bさんは「13:00〜18:00」に復号キーを取得することができる。
【0022】
(5)ブロードキャストドメインによる復号キー要求の送信
本発明に係る秘密情報アクセス認証システムは必要に応じて、クライアントとネットワーク装置の間はデータリンク層で通信し、クライアントからのネットワーク装置への復号キー要求の宛先アドレスはブロードキャストアドレスであるものである。
具体的には、CSMA/CD方式による媒体アクセス制御(MAC:Media Access Control)を行うLAN、つまり、イーサネット(登録商標)でクライアントとネットワーク装置が通信し、クライアントからのネットワーク装置への復号キー要求の宛先アドレスが「FF:FF:FF:FF:FF:FF」である。
【0023】
このような構成とすることで、ブロードキャストを中継するリピータやリピータ・ハブ、ブリッジ、スイッチング・ハブで構成されるブロードキャストドメイン内に前記ネットワーク装置がある場合に、このブロードキャストドメイン内にクライアントがある場合のみ、クライアントはネットワーク装置を中継して復号キーを管理サーバから取得することができる。
【0024】
以上のように本発明は、システムとして把握することができる他、方法又はプログラムとして把握することができる。
これら前記の発明の概要は、本発明に必須となる特徴を列挙したものではなく、これら複数の特徴のサブコンビネーションも発明となり得る。
【発明を実施するための最良の形態】
【0025】
(本発明の第1の実施形態)
[1.システム構成]
[1.1 クライアント]
図1は実施形態の原理概要図である。図1において、クライアントは共通鍵暗号方式にて暗号化されているファイルを保持し、エージェント機能がインストールされている。その共通鍵は予め管理サーバ上に登録されておりユーザは知ることが出来ない状態となっている。以後、この暗号化されているファイルを秘密情報ファイルと呼ぶ。なお、本実施形態では共通鍵暗号方式を暗号方式として採用した例を説示するが、他の暗号方式でも鍵となる復号キーがあれば本発明を適用することができ、例えば、公開鍵暗号方式で公開鍵で秘密情報が暗号されている場合に管理サーバに保持している秘密鍵で復号する場合にも適用することができる。
【0026】
クライアント(コンピュータ)10は、OS(Operating System)16a、アプリケーション部16b、暗号/復号化機能部16c、処理状態管理処理部11、処理状態管理テーブル12、復号キー要求処理部13、データ送受信部14及び復号キー受信処理部15を具備する。また、クライアントは復号化対象の秘密情報(暗号化)ファイル16dを記録している。
【0027】
アプリケーション部16bは、秘密情報ファイル16を復号化したファイルを操作(閲覧、編集、消去など)するための機能を有する。
処理状態管理処理部11は、クライアント10の処理状態を管理する処理状態管理テーブル12を参照、更新する機能を有する。
【0028】
処理状態管理テーブル12は、図2に示すように、暗号化ファイル毎のプロセス識別子となるプロセス情報、送信元MACアドレス、処理タイムアウトまでの残時間であるタイマー情報、「要求処理中」であるか否かのステータスを少なくとも示す処理ステータス、復号キー情報、ログインユーザー名などのユーザ情報及びフォルダパスとファイル名などのファイル情報のフィールドを有する。要求される復号キー処理毎に各フィールドの組み合せに値が格納されたものが処理状態管理処理部11により作成される。なお、タイマー情報の代わりに、復号キー要求を送出した時刻を記録し、現在時刻から処理タイムアウトまでの残時間を求める構成であってもよい。
【0029】
復号キー要求処理部13は、データ送受信部14を介して、ネットワーク装置20に対して秘密情報ファイル16を復号するための復号キーを要求する機能を有する。この復号キー要求処理部13が、[1.4.1 クライアントからネットワーク装置への要求(MAC)フォーマット]のデータ部を作成する。ただし、本実施形態では、ユーザ情報及びファイル情報は使用せず、それぞれ後記する第2の実施形態、第3の実施形態で使用する。なお、本実施形態でもユーザ情報及びファイル情報のフィールドにも値を格納し、管理サーバ30側ではユーザ情報及びファイル情報毎の復号キーを記録し、復号キー要求に係るユーザ情報及びファイル情報に基づき対応する復号キーをクライアント10に送信する構成にすることもでき、ユーザ情報及びファイル情報毎の復号キーとなって高いセキュリティを確立することができる。
【0030】
データ送受信部14は、クライアント10からのデータを指定した送信先に送信し、逆に、クライアント10以外からのデータを送信先がクライアント10であるものを受信する機能を有する。ネットワークに接続するためのインタフェースは後説するようにLANインタフェース131であり、また、後説する図6の通りクライアント10はMACレベルのパケットを送出する。ネットワーク装置20に復号キーを要求する場合のタイプが「認証」であるパケットの宛先アドレスは、ブロードキャストアドレスであり、ネットワーク装置20のブロードキャストドメイン内でないとクライアント10からのブロードキャストをネットワーク装置20が受け取ることができない。
【0031】
復号キー受信処理部15は、データ送受信部14を介して、ネットワーク装置20からの復号キーを受信する機能を有する。
暗号/復号化機能部16cは、秘密情報ファイル16を共通鍵復号方式で取得した復号キーを用いて復号し、逆に、ファイルを所定の共通鍵暗号方式で暗号する機能を有する。なお、共通鍵暗号方式においては暗号も復号も同じ共通鍵で行う。
【0032】
[1.2 ネットワーク装置]
ネットワーク装置20は、データ送受信部21、ロケーション情報付加処理部22、ロケーション情報記憶部23、処理状態管理処理部24、処理状態管理テーブル25、データ送受信部26及び復号キー中継処理部27を具備する。
データ送受信部21は、クライアント10からのデータを直接的(クライアント10のネットワークインタフェースとネットワーク装置20のポートがLANケーブルで接続されている)又は間接的(クライアント10とネットワーク装置20の間に他の1以上のネットワーク機器(リピータ、リピータ・ハブ、ブリッジ、スイッチング・ハブ)が配設され、そのネットワーク機器を中継している)に受信し、クライアント10へのデータを直接的又は間接的に送信する機能を有する。
【0033】
ロケーション情報付加処理部22は、特定のパケットに対してロケーション情報記憶部23が記録しているロケーション情報を付加し、管理サーバ30に対して復号キーを要求する機能を有する。
ロケーション情報は、ネットワーク装置のホスト情報、ネットワーク装置のMACアドレス情報及びネットワーク装置のシステムロケーション情報からなる。ネットワーク装置のシステムロケーション情報はネットワーク管理者が設定するものであり、例えば、「本館2F」などである。
【0034】
処理状態管理処理部24は、ネットワーク装置20の処理状態を管理する処理状態管理テーブル25を参照、更新する機能を有する。
処理状態管理テーブル25は、図4に示す通り、前記処理状態管理テーブル12と同様に、暗号キー情報を除くフィールドを有する。要求される復号キー処理毎に各フィールドの組み合せに値が格納されたものが処理状態管理処理部24により作成される。
【0035】
データ送受信部26は、管理サーバ30へのデータを直接的又は間接的に送信し、管理サーバ30からのデータを直接的又は間接的に受信する機能を有する。
復号キー中継処理部27は、データ送受信部26を介して管理サーバ30から受信した復号キーをクライアント10に中継する機能を有する。
本実施形態において、ネットワーク装置20は、具体的には、L2スイッチ(HUB)であり、クライアント10とはMACレベルで通信し、管理サーバ30とは(例えば、SNMP(Simple Network Management Protocol)のように)IP層で通信する。
【0036】
[1.3 管理サーバ]
管理サーバ30は、データ送受信部31、ロケーション情報チェック処理部32、許可情報管理テーブル33、ファイルアクセスログ部34、復号キー送信処理部35及び復号キー情報記憶部36を具備する。
データ送受信部31は、管理サーバ30からのデータを指定した送信先に送信し、逆に、管理サーバ30以外からのデータを送信先が管理サーバ30であるものを受信する機能を有する。
【0037】
ロケーション情報チェック処理部32は、データ送受信部31を介して受信した特定のパケットのロケーション情報を取り出し、許可情報管理テーブル33に記録されているロケーション情報を比較して同一であるとき、復号キーの払出を許可する機能を有する。
【0038】
許可情報管理テーブル33は、図5に示す通り、ネットワーク装置のホスト情報、ネットワーク装置のMACアドレス情報、ネットワーク装置のシステムロケーション情報、アクセス可能な時刻情報などの時間帯情報、ログインユーザー名などのユーザ情報及びフォルダパスとファイル名などのファイル情報のフィールドを有する。各フィールドの組み合せに値を格納したものがネットワーク装置20毎に用意される。本実施形態においては、ユーザ情報、ファイル情報及び時間帯情報は使用せず、それぞれ第2の実施形態、第3の実施形態、第4の実施形態で使用するため、本実施形態では値を格納する必要はない。
【0039】
ファイルアクセスログ部34は、ロケーション情報チェック処理部32の比較結果を記録する機能を有する。例えば、ネットワーク装置20の識別情報(送信元IPアドレス)、プロセス情報、送信元MACアドレス、比較結果(OK又はNG)及び比較結果時刻を記録する。
復号キー送信処理部35は、ロケーション情報チェック処理部32の復号キー払出許可を受け、復号キー情報記憶部36に記録されている復号キーを払い出しし、ネットワーク装置20宛てにデータ送受信部31を介して送信する機能を有する。
【0040】
[1.4 フレームフォーマット]
[1.4.1 クライアントからネットワーク装置への要求(MAC)フォーマット]
クライアント10からネットワーク装置20へ送信される要求フォーマットは、図6に示すように、宛先アドレス(ブロードキャストアドレス)、送信元アドレス(クライアントのMACアドレス)、タイプ(認証)及びデータのフィールドを有する。要求フォーマットのタイプが認証であることにより、ネットワーク装置20は他のパケットと区別した処理を実行することができる。つまり、ネットワーク装置20はクライアント10からの復号キー要求のパケットは本発明を適用することで新たに付与された機能を用いて処理し、他のパケットは本発明を適用する前から具備する一般的な構成要素で中継する。データのフィールドは、さらに、プロセス情報、送信元MACアドレス(クライアントのMACアドレス)、復号キー情報(空、NULL)、ユーザ情報及びファイル情報のフィールドを有する。
【0041】
[1.4.2 ネットワーク装置から管理サーバへの要求(IP)フォーマット]
ネットワーク装置20から管理サーバ30への要求フォーマットは、図7に示すように、送信元IPアドレス(ネットワーク装置のIPアドレス)、宛先IPアドレス(管理サーバのIPアドレス)などのIPヘッダ及びデータのフィールドを有する。データのフィールドは、さらに、プロセス情報、送信元MACアドレス、復号キー情報、ユーザ情報、ファイル情報、ホスト情報、MACアドレス情報及びSNMPのシステムロケーション情報のフィールドを有する。プロセス情報、送信元MACアドレス、復号キー情報、ユーザ情報及びファイル情報は、クライアントからネットワーク装置への要求フォーマットのフィールドの値をそのまま引き継ぐ。ホスト情報、MACアドレス情報及びSNMPのシステムロケーション情報は、ネットワーク装置20のロケーション情報付加処理部22が付加する。なお、宛先IPアドレスに格納される管理サーバのIPアドレスは予めネットワーク装置20に設定されるものとする。また、複数の管理サーバのIPアドレスの設定を受け付け、その中の一の管理サーバ30に送信する構成であってもよく、さらには、後説するタイムアウトの度に他の管理サーバ30に送信する構成であってもよい。
【0042】
[1.4.3 管理サーバからネットワーク装置への応答(IP)フォーマット]
管理サーバ30からネットワーク装置20への応答フォーマットは、図8に示すように、フィールドとしては図7と同様であるが、送信元IPアドレス(管理サーバ)、送信先IPアドレス(ネットワーク装置)及び復号キー情報(空、NULLではなく実際の復号キーが格納されている)のフィールドに格納されている値が異なる。他のフィールドに格納されている値は図7と同様である。したがって、管理サーバ30はネットワーク装置20からの要求フォーマットのパケットを複製して必要なフィールドに値を格納する。
【0043】
[1.4.4 ネットワーク装置からクライアントへの応答(MAC)フォーマット]
ネットワーク装置20からクライアント10への応答フォーマットは、図9に示すように、フィールドとしては図6と同様であるが、送信先MACアドレス(クライアント)、送信元MACアドレス(ネットワーク装置)及び復号キー情報(空、NULLではなく実際の復号キーが格納されている)のフィールドに格納されている値が異なる。他のフィールドに格納されている値は図6と同様である。したがって、ネットワーク装置20はクライアント10からの要求フォーマットのパケットを複製して必要なフィールドに値を格納する。
【0044】
[2.ハードウェア構成]
図10は本実施形態に係るクライアントを構築したコンピュータのハードウェア構成図である。
ファイルアクセス認証システムのクライアント10が構築されるコンピュータ100は、CPU(Central Processing Unit)101、RAM(Random Access Memory)102、ROM(Read Only Memory)103、外部記憶装置であるHDD(Hard Disk Drive)104、CD−ROM(Compact Disc Read Only Memory)からデータを読み出すCD−ROMドライブ105、入力装置であるマウス111及びキーボード112、出力装置であるディスプレイ121とスピーカー122、並びに、ネットワークに接続するためのLANインタフェース131からなる。
【0045】
CD−ROM等の外部記憶媒体に記録されている復号化エージェントプログラムをコンピュータ100のHDD104に複製し、復号化エージェントプログラムが読み出し可能となって実行できる状態とする所謂インストールを行うことでコンピュータ100上にファイルアクセス認証システムのクライアント10が構築されることになる。
【0046】
[3.動作]
本実施形態に係るファイルアクセス認証システムの動作について図11に基づき説明する。
クライアント10が、拡張子による関連付けなどのOSの機能を使用して、秘密情報ファイルを使用者にダブルクリックされると(S101)、関連付けされたエージェントが秘密情報ファイルを引数として起動される(S102)。ここでは、エージェントが秘密情報ファイルに対する使用者のアクセスをトリガとして起動したが、クライアント10に常駐した構成であってもよい。
【0047】
エージェントでは、処理状態管理処理部11にてこの秘密情報ファイルの管理を行うこととなる。処理状態管理処理部11が処理状態管理テーブル12(図2)上の処理ステータスを「要求処理中」に設定し(S103)、その後、復号キー要求処理部13が秘密情報ファイルを復号化するための復号キーをスイッチングHUBなどのネットワーク装置20に対して問い合わせる(S104)。この問い合わせに係るデータを「復号キー要求」と呼ぶ。このとき、データ送受信部14により、ネットワークを介して通信を行うが、そのプロトコルはMAC(L2)をベースとした前説した新規のフレームフォーマット(図6)を使用し、通信そのものはIEEE802.3に基づいた既存の技術を使用する。
【0048】
ネットワーク装置20上のロケーション情報付加処理部22はデータ送受信部21より復号キー要求を受け取ると(S111)、ロケーション情報記憶部23に保持している自身のロケーション情報(図3)であるSNMP用のロケーション情報やホスト名、自身のMACアドレス情報などを読み出し、復号キー要求に付加する(S112)。なお、例示したSNMP用のロケーション情報、ホスト名及び自身のMACアドレス情報の全てを付加することは必ずしも必要ではない。処理状態管理テーブル25(図4)上の処理ステータスを「要求処理中」に処理状態管理処理部24にて設定する(S113)。データ送受信部26によりTCP/IP通信(図7)を使用して管理サーバ30に問い合わせる(S114)。
【0049】
管理サーバ30上のロケーション情報チェック処理部32ではデータ送受信部31より復号キー要求を受け取ると(S121)、予め設定しておいた許可情報管理テーブル33(図5)を検索し、ロケーション情報が登録されているかをチェックする(S122)。そのチェックの結果を判定し(S123)、登録されていない場合、ログファイル上に復号キー要求上の情報や要求日時などを失敗したとしてファイルアクセスログ部34が記録して終了する(S126)。その後、ネットワーク装置20やクライアント10では後述するタイムアウト処理により、秘密情報ファイルの復号が失敗することになる。
【0050】
前記S123でロケーション情報チェック処理部32にて登録されていることが確認された場合は、予め復号キー情報記憶部36に登録されている秘密情報ファイルを復号化するための復号キーを復号キー送信処理部35により抽出し(S124)、データ送受信部31によりTCP/IP通信(図8)を使用してネットワーク装置20に回答する(S125)。以後、この回答に係るデータを「復号キー応答」と呼ぶ。また、復号キー要求上の情報や要求日時などを成功したとしてログファイル上への記録も行うため、S126に移行する。
【0051】
復号キー要求を送出(S114)後のネットワーク装置20では、復号キー応答の待ち状態となっており(S131)、そのタイムアウトが発生した場合、処理状態管理処理部24にて処理状態管理テーブル25(図4)を削除して処理を終了する(S135)。その後、クライアント10では後述するタイムアウト処理により、秘密情報ファイルの復号が失敗することになる。
【0052】
ネットワーク装置20でデータ送受信部26を経由して復号キー応答を受け取った場合は、処理状態管理処理部24にて、処理状態管理テーブル25(図4)上の処理ステータスを検索し(S132)、要求処理中か否かを判断する(S133)。処理状態管理テーブル25には複数のフィールドの組み合せがあるため、例えば、復号キー応答内のプロセス情報及び送信元MACアドレスにより一意に特定して要求処理中か否かを判断する。要求処理中でない場合は、復号キー応答を無視し復号キー応答の待ち状態を継続するため、S131に戻る。
【0053】
前記S133で処理状態管理処理部24にて要求処理中であることが判明した場合は、復号キー中継処理部27にて、復号キー要求と同様にMAC(L2)をベースとした新規のフレームフォーマット(図9)に復号キーを乗せ換えてデータ送受信部21から復号キー応答をクライアント10に対して送信する(S134)。また、その際には処理状態管理処理にて処理状態管理テーブル(図4)の削除も行われる(S135)。
【0054】
復号キー要求を送出(S104)後のクライアント10では、エージェント上の処理状態管理処理部11により、復号キー応答の待ち状態となっている。タイムアウトがあるため、処理状態管理処理部11が復号キー待ちか否かを判断し(S141)、そのタイムアウトが発生した場合、ディスプレイにエラー表示をするなどのエラー処理を行い(S161)終了する。
【0055】
データ送受信部14を経由して復号キー応答を受け取ったエージェント上の復号キー受信処理部15では、復号キーを処理状態管理処理部11に受け渡し、受け取った処理状態管理処理部11では、処理状態管理テーブル12(図2)上の処理ステータスを検索し(S142)、要求処理中であるか否かを判断する(S143)。前記S132及びS133と同様に、処理状態管理テーブル12には複数のフィールドの組み合せがあるため、例えば、復号キー応答内のプロセス情報及び送信元MACアドレスにより一意に特定して要求処理中か否かを判断する。要求処理中でない場合は、復号キー応答を無視し復号キー応答の待ち状態を継続するためS141に戻る。
【0056】
前記S143で処理状態管理処理部11にて要求処理中であることが判明した場合は、その復号キーを使用して暗号/復号化機能部16cが秘密情報ファイルをテンポラリファイルに復号する(S144)。復号処理が成功したか否かを判断し(S145)、このときに復号処理が失敗した場合は、ディスプレイにエラー表示をするなどのエラー処理を行った(S161)後、受け取った復号キーと処理状態管理テーブル(図2)を削除して(S153、S154)処理を終了する。
【0057】
S145で復号処理が成功したと判断した場合は、復号化されたテンポラリファイルを引数として該当するアプリケーション部16bを起動する(S146)。この場合、拡張子による関連付けを使用して、アプリケーションの種別毎に拡張子を変えたり、ファイルとアプリケーションとの関係を別途予め登録しておくことで、複数のアプリケーションにも対応させることが可能となる。
【0058】
尚、この復号化処理やアプリケーションの起動は既存の技術を使用して実現され、この実施例のように一旦テンポラリファイルに復号化する方法でも、OS上のファイルシステムに組み込む形で物理ファイルとのIO部分で暗号/復号化処理を行う方法(例示として、マザーボード上に配設しているメインメモリとHDDの間に(ATAインタフェース、ブリッジ、バス)、鍵を用いて暗号/復号を行う暗号/復号用のチップを配設し、そのチップに復号キーを渡した場合にだけ適切に復号してメインメモリ上に秘密情報を展開する構成とする)でも、拡張子による関連付けを行わず直接復号化プログラム(エージェント)を起動する方法でもよい。(その場合はテンポラリファイルを使用して後述の削除処理まで一括で行わせる必要がある)
【0059】
アプリケーション部16bが終了した場合、テンポラリファイルが更新されているかのチェックを行い、更新されていない場合は、受け取った復号キーと処理状態管理テーブル(図2)を削除して(S153、S154)処理を終了し、更新されている場合は、復号キーを使用して暗号/復号化機能部16cでテンポラリファイルを新たな秘密情報ファイルを書き換える形にて暗号化し(S152)、その後更新する。その後、テンポラリファイルと復号キーと処理状態管理テーブル(図2)を削除して(S153、S154)全ての処理が終了となる。
【0060】
(本発明の第2の実施形態)
前記第1の実施形態において、復号キー要求(図6、9)や復号キー応答(図7、8)にユーザ情報を付加しておき、管理サーバ30上のロケーション情報チェック処理部32にて、予め許可情報管理テーブル33(図5)に設定してあるユーザ情報,ロケーション情報と合わせて検索、チェック(S122)、判定(S123)することで、ユーザ単位にアクセス権を変えておくことが可能となる。つまり、復号キー要求に係るロケーション情報のみが許可情報管理テーブル33に記録されているロケーション情報と同一であっても、復号キー要求に係るユーザ情報がない場合、又は、復号キーに要求に係るユーザ情報が許可情報管理テーブル33に記録されているユーザ情報と異なる場合には、管理サーバ30は復号キーを送信しない。ここで、クライアント10はWindows(登録商標)などOSのユーザ情報(OSに登録しているユーザ情報、ログイン情報)を使用してもエージェントにて別途指定するユーザ情報(エージェントに設定しているユーザ情報)を用いてもかまわない。
【0061】
また、ネットワーク装置20の処理状態管理部24や、クライアント10の処理状態管理部11で使用する処理状態管理テーブル25、12(図2、6)にもユーザ情報を付加しておき、処理状態管理テーブル検索時にユーザ情報も含めて検索することで、ユーザ単位のアクセス制限を可能にしている。
【0062】
(本発明の第3の実施形態)
前記第1の実施形態において、復号キー要求(図6、9)や復号キー応答(図7、8)にファイル情報を付加しておき、管理サーバ30上のロケーション情報チェック処理部32にて、予め許可情報管理テーブル33(図5)に設定してあるファイル情報,ロケーション情報と合わせて検索、チェック(S122)、判定(S123)することで、ファイル単位にアクセス権を変えておくことが可能となる。つまり、復号キー要求に係るロケーション情報のみが許可情報管理テーブル33に記録されているロケーション情報と同一であっても、復号キー要求に係るファイル情報がない場合、又は、復号キーに要求に係るファイル情報が許可情報管理テーブル33に記録されているファイル情報と異なる場合には、管理サーバ30は復号キーを送信しない。
【0063】
また、ネットワーク装置20の処理状態管理部24や、クライアント10の処理状態管理部11で使用する処理状態管理テーブル25、12(図2、6)にもファイル情報を付加しておき、処理状態管理テーブル検索時にファイル情報にて検索することで、ファイル単位のアクセス制限を可能にしている。
【0064】
(本発明の第4の実施形態)
前記第1の実施形態において、管理サーバ30上のロケーション情報チェック処理部32で、許可情報管理テーブル33(図5)をロケーション情報で検索することと共に、復号キーの払い出しの時間が予め許可情報管理テーブル33に登録されている時間帯内かもチェックすることで、復号キーの払い出し時間を制限することが可能となる。つまり、復号キー要求に係るロケーション情報のみが許可情報管理テーブル33に記録されているロケーション情報と同一であっても、復号キーの払い出しの時間が許可情報管理テーブル33に記録されている時間帯内でない場合には、管理サーバ30は復号キーを送信しない。
【0065】
(その他の実施形態)
[パケットのデータ部にクライアントのアドレスが格納される場合]
前記第1の実施形態では、クライアント10からの復号キー要求のパケットにクライアント10のMACアドレスが格納され、ネットワーク装置20を経て管理サーバ30が復号キー応答のパケットにクライアント10のMACアドレスを含んでネットワーク装置20に返し、ネットワーク装置20が復号キー応答のパケットをクライアント10に送信する場合には復号キー応答のパケットに含まれるクライアント10のMACアドレスを用いて送信する構成であるので、ネットワーク装置20がクライアント10からの復号キー要求を保持しなくとも、管理サーバ30からの復号キーの応答をクライアント10にネットワーク装置20が送信することができる。ここで、クライアント10からの復号キー要求のパケットにクライアント10のMACアドレスが格納されていない場合であっても、ネットワーク装置20が復号キー要求のパケットのヘッダ情報からクライアント10のMACアドレスを取得してデータ部に格納する場合も同様である。
【0066】
復号キーの要求パケット内にクライアント10のMACアドレスが格納されていない構成の場合、復号キーの要求パケット内のクライアント10のMACアドレスをネットワーク装置20上で復号キーの応答パケットを識別可能な情報(プロセス情報、送信元IPアドレス、ファイル情報、ユーザ情報又はこれらの組み合せ)と共に記録し、その復号キーの応答パケットを識別可能な情報を復号キーの要求パケットに含み、管理サーバ30からの復号キーの応答パケットにも含ませてネットワーク装置20上で識別可能な情報を用いて対応するクライアント10のMACアドレスを取得してクライアント10に復号キー応答を送信する構成であってもよい。
【0067】
[管理サーバによるクライアントへの直接的な復号キーの送信]
前記各実施形態においては、復号キー要求時はクライアント10からネットワーク装置20を経て管理サーバ30へ到達し、復号キーの応答時は管理サーバ30から復号キー要求時と同じネットワーク装置20を経てクライアント10に到達しているが、復号キーの応答時には管理サーバ30が復号キー要求時のパケットのデータ部から送信元MACアドレスを用いて直接クライアント10に送信する構成であってもよい。復号キー要求時のネットワーク装置20はタイムアウトにより処理状態管理テーブルの該当データは削除される。
【0068】
以上の前記各実施形態により本発明を説明したが、本発明の技術的範囲は実施形態に記載の範囲には限定されず、これら各実施形態に多様な変更又は改良を加えることが可能である。そして、かような変更又は改良を加えた実施の形態も本発明の技術的範囲に含まれる。このことは、特許請求の範囲及び課題を解決する手段からも明らかなことである。
【図面の簡単な説明】
【0069】
【図1】本発明の実施形態の原理概要図である。
【図2】本発明の実施形態の処理状態管理テーブル例(復号化エージェント機能)の説明図である。
【図3】本発明の実施形態のロケーション情報例の説明図である。
【図4】本発明の実施形態の処理状態管理テーブル例(ロケーション情報付加機能)の説明図である。
【図5】本発明の実施形態の許可情報管理テーブル例の説明図である。
【図6】本発明の実施形態の要求(MAC)フォーマット例の説明図である。
【図7】本発明の実施形態の要求(IP)フォーマット例の説明図である。
【図8】本発明の実施形態の応答(IP)フォーマット例の説明図である。
【図9】本発明の実施形態の応答(MAC)フォーマット例の説明図である。
【図10】本発明の実施形態に係るクライアントを構築したコンピュータのハードウェア構成図である。
【図11】本発明の実施形態のフロー及びシーケンス例の説明図である。
【図12】情報流出、漏洩の従来例を示した図である。
【符号の説明】
【0070】
10 クライアント
11 処理状態管理処理部
12 処理状態管理テーブル
13 復号キー要求処理部
14 データ送受信部
15 復号キー受信処理部
16a OS部
16b アプリケーション部
16c 暗号/復号化機能部
16d 秘密情報(暗号化)ファイル
20 ネットワーク装置
21 データ送受信部
22 ロケーション情報付加処理部
23 ロケーション情報記憶部
24 処理状態管理処理部
25 処理状態管理テーブル
26 データ送受信部
27 復号キー中継処理部
30 管理サーバ
31 データ送受信部
32 ロケーション情報チェック処理部
33 許可情報管理テーブル
34 ファイルアクセスログ部
35 復号キー送信処理部
36 復号キー情報記憶部
100 コンピュータ
101 CPU
102 RAM
103 ROM
104 HDD
105 CD−ROMドライブ
111 マウス
112 キーボード
121 ディスプレイ
122 スピーカー
131 LANインタフェース
【技術分野】
【0001】
本発明は、パーソナルコンピュータ(PC)等の情報端末内の磁気記憶装置(ハードディスク)などの記憶装置に格納されたファイルなどの情報へのアクセス認証の方式に関する。
【0002】
特に、情報漏洩が厳禁とされる秘密情報を特定エリア内でのみアクセス可能とする情報アクセスの認証方式に関する。
【背景技術】
【0003】
近年、企業活動において扱われる秘密情報の安全性確保への対策が重要課題となっており、特にパーソナルコンピュータ(PC)内に格納される情報の流出,漏洩が問題となっている。
【0004】
一般的な企業では、例えば、次のセキュリティ対策が施されている。
・入退出管理システムによるアクセス制限:秘密情報を扱うエリア(建物、フロア、部屋)への入室時にパスワードを必要とする
また、PCのハードディスク内に格納された重要秘密情報(ファイル)へのアクセスする際のセキュリティ対策としては次の技術が用いられている。
・PCログイン時のユーザ認証によるアクセス制限
・データファイルその物に“読み取り”,“書込み”のパスワード設定を行うことによるアクセス制限
・データファイルを暗号化し復号化のパスワード設定を行うことによるアクセス制限
現状の情報流出、漏洩問題を鑑みると図12に示すように、これまでは入退出管理等のセキュリティ対策が施された場所(セキュリティエリア)内で秘密情報を使用していたのに対し、PCなどの機器の小型化が進んで出張時に秘密情報の入った機器を持ち歩く事(外部持ち出し)が一般的に行われるようになった。その結果、移動中の盗難,紛失事故が後をたたない。
【0005】
また、機器の小型化は人目につくことなく秘密情報を持ち出すことを容易にしており、悪意を持った利用者の情報の持ち出しを防止することは難しい。
さらに、IDやパスワード等のセキュリティ対策が施されたPCや秘密情報であっても、対策が不十分であったり、パスワードが第三者に容易に類推されやすかったり、パスワードを解読されたりすることにより情報漏洩をまねく危険性が非常に高い。
【0006】
このような問題を解決する手段として、例えば、複数のパスワード項目をランダムに表示し、これに対応したパスワードを入力させてその正解率によって認証を許可し、それを一定時間経過後に再認証することによりセキュリティを高める特許文献1に開示される認証方法なども提案されている。
【0007】
また、チャットサーバに接続した同一チャネル上のクライアント同士がリアルタイムにメッセージをやり取りするチャットシステムにおいて、同一チャネル上のクライアント間でのセキュリティを向上させることを目的としたチャットシステムが特許文献2に開示されている。この特許文献2のチャットシステムは、チャットクライアントが鍵管理サーバにチャネル秘密鍵を要求し、管理サーバは該当チャネルの秘密鍵を作成し、チャットクライアントから受け付けた公開鍵を用いて暗号化してチャットサーバを介してチャットクライアントに送信し、チャットクライアントは管理サーバに送出した公開鍵に対応する秘密鍵で受信した暗号化済みのチャネル秘密鍵を復号化し、チャネル秘密鍵を用いて同一チャネルのチャットクライアント同士がメッセージをやり取りする。そうすることで、チャットサーバ若しくはチャットクライアント間のネットワーク装置、チャットサーバとチャットクライアント間のネットワーク装置で第三者がチャットクライアントの送出したメッセージを取得できたとしても、取得したメッセージは暗号化されており、内容を閲覧することができない。
【特許文献1】特開平11−328118号公報
【特許文献2】特開2005−39868号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
従来の認証方式では、いずれも利用者側(人,機器内部)に認証のキーとなるID/パスワードの情報があり、利用者に悪意を持った者が居ない(情報漏洩しない)ということを前提としていることになる。
【0009】
その為、利用者が故意に秘密情報を持ち出した場合や、悪意をもった第三者が何らかの方法でIDとパスワードを入手した場合は、秘密情報へのアクセスが可能となり、秘密情報ファイル,PC本体の持ち出し、その後の情報漏洩を防ぐことが出来ない。
【0010】
また、特開平11−328118号公報に開示される認証方法においてもセキュリティを高めることは可能であるが利用者側に認証のキー情報があるため、悪意を持った利用者による秘密情報の持ち出し,情報漏洩対策としては不十分である。
【0011】
このような課題を踏まえ、本発明では秘密情報へのアクセス認証に利用者個人が入力する認証のキー(ID/パスワード)を不要とし、ファイルアクセスを特定エリア内にのみ限定することにより、もし秘密情報が外部に流出した場合でも情報にアクセスすることが出来ず、情報の漏洩を防止することを目的とする。
さらに、本発明では、データ(ファイル)単位,利用者(ユーザ)単位や、時間単位といった細かなアクセスレベルの設定を可能とすることを目的とする。
【課題を解決するための手段】
【0012】
本発明に係る秘密情報アクセス認証方式は、クライアントの情報端末内に格納され、外部流出,情報漏洩が厳禁とされる秘密情報ファイルへのアクセスにおいて、クライアントの復号化エージェント機能として動作し、クライアントのOS,アプリ等と連携すると同時に、暗号化された秘密情報ファイルの復号キー払出し要求/応答処理状態の管理を行う「処理状態管理処理」手段と、秘密情報ファイルの復号キー払出し要求を行う「復号キー要求処理」手段と、払出された復号キーを受信する「復号キー受信処理」手段と、ネットワーク装置のロケーション情報付加機能として動作し、クライアントの情報端末からの復号キー払出し要求に応じて自装置内に持つ一意の「ロケーション情報」の付加を行う「ロケーション情報付加処理」手段と、復号キー払出し要求に対する応答受信時において、クライアントへの復号キーの中継を行う「復号キー中継処理」手段と、その一連の復号キー払出し要求/応答処理状態の管理を行う「処理状態管理処理」手段と、管理サーバの復号キー管理機能として動作し、ネットワーク装置経由で受け取ったロケーション情報を含むクライアントからの復号キー払出し要求と、「許可情報管理テーブル」内に予め設定されたロケーション情報を比較し、一致した場合のみ復号キーの払出しを許可し、その処理結果を記録する「ロケーション情報チェック処理」手段と、「ロケーション情報チェック処理」の復号キー払出し許可時に予め登録された復号キーを「復号キー情報」から抽出しクライアントへ送信する「復号キー送信処理」手段と、クライアント−ネットワーク装置間の復号キー払出し要求/応答処理を「MACレベルの通信で行う」手段と、ネットワーク装置−管理サーバ間の復号キー払出し要求/応答処理を「IPレベルの通信で行う」手段を備えたものである。
【0013】
また、本発明に係る秘密情報アクセス認証方式は必要に応じて、管理サーバの復号キー管理機能として動作し、ネットワーク装置経由で受け取ったクライアントからの復号キー払出し要求の自装置内受付時間と、「許可情報管理テーブル」内に予め設定されたロケーション情報+時間帯情報を参照し、ロケーションが一致した時間帯情報内の要求にのみ復号キーの払出しを許可する「ロケーション情報チェック処理」手段を備えたものである。
【0014】
(1)ロケーション情報を用いた認証システム
本発明に係る秘密情報アクセス認証システムは、クライアントが暗号化されている秘密情報を復号化する復号キーを管理サーバに要求し、管理サーバが当該要求に対して認証を経てクライアントに対して復号キーを送信する秘密情報アクセス認証システムにおいて、受信情報の宛先アドレスを参照して適切なポートに送出するネットワーク装置を具備し、クライアントは、復号キーをネットワーク装置に対して要求する復号キー要求処理部と、ネットワーク装置からの復号キーを受信する復号キー受信処理部とを含み、ネットワーク装置は、クライアントからの復号キーの要求に記録しているロケーション情報を付加して管理サーバに復号キーを要求するロケーション情報付加処理部と、管理サーバからの復号キーの応答を中継してクライアントに送信する復号キー中継処理部とを含み、管理サーバは、記録しているロケーション情報とネットワーク装置からの復号キー要求に係るロケーション情報とを比較するロケーション情報チェック処理部と、ロケーション情報が同一である場合に記録している復号キーをネットワーク装置に対して送信する復号キー送信処理部とを含むものである。
【0015】
このように本発明においては、クライアントからの復号キー要求がネットワーク装置を介して管理サーバに送信される過程において、クライアントではなくネットワーク装置がロケーション情報を復号キー要求に付加し、管理サーバに復号キー要求が到達した場合に記録しているロケーション情報と復号キー要求に係るロケーション情報と対比して同一である場合に復号キーをクライアントに送信しているので、特定のパケットとなる復号キー要求をクライアントから受けてロケーション情報を付加するネットワーク装置を経由した場合にだけ管理サーバから復号キーがクライアントに送信され、前記ネットワーク装置を経由していない復号キー要求が管理サーバに処理されたとしても復号キーを得ることができず、秘密情報のアクセスが特定エリア内に限定できるという効果を奏する。
クライアントは、クライアントコンピュータである。
【0016】
(2)ユーザ情報も用いた認証システム
本発明に係る秘密情報アクセス認証システムは必要に応じて、クライアントが復号キー要求時にユーザ情報を含ませ、ネットワーク装置は、クライアントからのユーザ情報を含んだ復号キー要求を受けて、管理サーバにユーザ情報を含んだ復号キー要求を行い、管理サーバは、ロケーション情報だけでなくユーザ情報も記録しておき、ネットワーク装置からの復号キー要求に係るロケーション情報及びユーザ情報と記録しているロケーション情報及びユーザ情報を比較し、ロケーション情報及びユーザ情報が同一である場合に記録している復号キーをネットワーク装置に対して応答するものである。
【0017】
このように本発明においては、クライアントが復号キーにユーザ情報を含ませ、管理サーバでロケーション情報と共にユーザ情報も対比して同一である場合に復号キーをクライアントに送信しているので、ユーザ単位での秘密情報へのアクセス制御が可能となるという効果を有する。ユーザ情報毎に復号キーを管理サーバが記録し、該当ユーザ情報を含む復号キー要求の場合には該当ユーザ情報の復号キーをクライアントに送信する構成としてもよい。
【0018】
(3)秘密情報の属性情報も用いた認証システム
本発明に係る秘密情報アクセス認証システムは必要に応じて、クライアントが復号キー要求時に秘密情報の属性情報を含ませ、ネットワーク装置は、クライアントからの秘密情報の属性情報を含んだ復号キー要求を受けて、管理サーバに秘密情報の属性情報を含んだ復号キー要求を行い、管理サーバは、ロケーション情報だけでなく秘密情報の属性情報も記録しておき、ネットワーク装置からの復号キー要求に係るロケーション情報及び秘密情報の属性情報と記録しているロケーション情報及び秘密情報の属性情報を比較し、ロケーション情報及び秘密情報の属性情報が同一である場合に記録している復号キーをネットワーク装置に対して応答するものである。
【0019】
このように本発明においては、クライアントが復号キーに秘密情報の属性情報を含ませ、管理サーバでロケーション情報と共に秘密情報の属性情報も対比して同一である場合に復号キーをクライアントに送信しているので、秘密情報の属性情報単位での秘密情報へのアクセス制御が可能となるという効果を有する。秘密情報の属性情報毎に復号キーを管理サーバが記録し、該当秘密情報の属性情報を含む復号キー要求の場合には該当秘密情報の属性情報の復号キーをクライアントに送信する構成としてもよい。
秘密情報の属性情報は、例えば、秘密情報がファイル形式である場合にはファイルの属性情報であり、ファイル名、ファイルサイズ、ファイル作成日、ファイル更新日、ファイル印刷日などが該当する。
【0020】
(4)復号キー要求受付時間も用いた認証システム
本発明に係る秘密情報アクセス認証システムは必要に応じて、管理サーバはネットワーク装置経由のクライアントからの復号キー要求を受け付けた時間を取得し、管理サーバは前記ロケーション情報チェック処理部による条件を満たし、且つ、前記復号キー要求の受付時間が記録している復号キー要求受付時間帯に属する場合に復号キーをネットワーク装置に対して応答するものである。
【0021】
このように本発明においては、クライアントからの管理サーバへの復号キー要求が所定時間帯である場合に復号キーをクライアントに送信し、他方、クライアントからの管理サーバへの復号キー要求が所定時間帯でない場合に復号キーをクライアントに送信しないので、時間帯での秘密情報へのアクセス制御が可能となる。
復号キー要求受付時間帯は、ユーザ情報、秘密情報の属性情報毎に相違させることができる。例えば、Aさんは「8:00〜12:00」、Bさんは「13:00〜18:00」に復号キーを取得することができる。
【0022】
(5)ブロードキャストドメインによる復号キー要求の送信
本発明に係る秘密情報アクセス認証システムは必要に応じて、クライアントとネットワーク装置の間はデータリンク層で通信し、クライアントからのネットワーク装置への復号キー要求の宛先アドレスはブロードキャストアドレスであるものである。
具体的には、CSMA/CD方式による媒体アクセス制御(MAC:Media Access Control)を行うLAN、つまり、イーサネット(登録商標)でクライアントとネットワーク装置が通信し、クライアントからのネットワーク装置への復号キー要求の宛先アドレスが「FF:FF:FF:FF:FF:FF」である。
【0023】
このような構成とすることで、ブロードキャストを中継するリピータやリピータ・ハブ、ブリッジ、スイッチング・ハブで構成されるブロードキャストドメイン内に前記ネットワーク装置がある場合に、このブロードキャストドメイン内にクライアントがある場合のみ、クライアントはネットワーク装置を中継して復号キーを管理サーバから取得することができる。
【0024】
以上のように本発明は、システムとして把握することができる他、方法又はプログラムとして把握することができる。
これら前記の発明の概要は、本発明に必須となる特徴を列挙したものではなく、これら複数の特徴のサブコンビネーションも発明となり得る。
【発明を実施するための最良の形態】
【0025】
(本発明の第1の実施形態)
[1.システム構成]
[1.1 クライアント]
図1は実施形態の原理概要図である。図1において、クライアントは共通鍵暗号方式にて暗号化されているファイルを保持し、エージェント機能がインストールされている。その共通鍵は予め管理サーバ上に登録されておりユーザは知ることが出来ない状態となっている。以後、この暗号化されているファイルを秘密情報ファイルと呼ぶ。なお、本実施形態では共通鍵暗号方式を暗号方式として採用した例を説示するが、他の暗号方式でも鍵となる復号キーがあれば本発明を適用することができ、例えば、公開鍵暗号方式で公開鍵で秘密情報が暗号されている場合に管理サーバに保持している秘密鍵で復号する場合にも適用することができる。
【0026】
クライアント(コンピュータ)10は、OS(Operating System)16a、アプリケーション部16b、暗号/復号化機能部16c、処理状態管理処理部11、処理状態管理テーブル12、復号キー要求処理部13、データ送受信部14及び復号キー受信処理部15を具備する。また、クライアントは復号化対象の秘密情報(暗号化)ファイル16dを記録している。
【0027】
アプリケーション部16bは、秘密情報ファイル16を復号化したファイルを操作(閲覧、編集、消去など)するための機能を有する。
処理状態管理処理部11は、クライアント10の処理状態を管理する処理状態管理テーブル12を参照、更新する機能を有する。
【0028】
処理状態管理テーブル12は、図2に示すように、暗号化ファイル毎のプロセス識別子となるプロセス情報、送信元MACアドレス、処理タイムアウトまでの残時間であるタイマー情報、「要求処理中」であるか否かのステータスを少なくとも示す処理ステータス、復号キー情報、ログインユーザー名などのユーザ情報及びフォルダパスとファイル名などのファイル情報のフィールドを有する。要求される復号キー処理毎に各フィールドの組み合せに値が格納されたものが処理状態管理処理部11により作成される。なお、タイマー情報の代わりに、復号キー要求を送出した時刻を記録し、現在時刻から処理タイムアウトまでの残時間を求める構成であってもよい。
【0029】
復号キー要求処理部13は、データ送受信部14を介して、ネットワーク装置20に対して秘密情報ファイル16を復号するための復号キーを要求する機能を有する。この復号キー要求処理部13が、[1.4.1 クライアントからネットワーク装置への要求(MAC)フォーマット]のデータ部を作成する。ただし、本実施形態では、ユーザ情報及びファイル情報は使用せず、それぞれ後記する第2の実施形態、第3の実施形態で使用する。なお、本実施形態でもユーザ情報及びファイル情報のフィールドにも値を格納し、管理サーバ30側ではユーザ情報及びファイル情報毎の復号キーを記録し、復号キー要求に係るユーザ情報及びファイル情報に基づき対応する復号キーをクライアント10に送信する構成にすることもでき、ユーザ情報及びファイル情報毎の復号キーとなって高いセキュリティを確立することができる。
【0030】
データ送受信部14は、クライアント10からのデータを指定した送信先に送信し、逆に、クライアント10以外からのデータを送信先がクライアント10であるものを受信する機能を有する。ネットワークに接続するためのインタフェースは後説するようにLANインタフェース131であり、また、後説する図6の通りクライアント10はMACレベルのパケットを送出する。ネットワーク装置20に復号キーを要求する場合のタイプが「認証」であるパケットの宛先アドレスは、ブロードキャストアドレスであり、ネットワーク装置20のブロードキャストドメイン内でないとクライアント10からのブロードキャストをネットワーク装置20が受け取ることができない。
【0031】
復号キー受信処理部15は、データ送受信部14を介して、ネットワーク装置20からの復号キーを受信する機能を有する。
暗号/復号化機能部16cは、秘密情報ファイル16を共通鍵復号方式で取得した復号キーを用いて復号し、逆に、ファイルを所定の共通鍵暗号方式で暗号する機能を有する。なお、共通鍵暗号方式においては暗号も復号も同じ共通鍵で行う。
【0032】
[1.2 ネットワーク装置]
ネットワーク装置20は、データ送受信部21、ロケーション情報付加処理部22、ロケーション情報記憶部23、処理状態管理処理部24、処理状態管理テーブル25、データ送受信部26及び復号キー中継処理部27を具備する。
データ送受信部21は、クライアント10からのデータを直接的(クライアント10のネットワークインタフェースとネットワーク装置20のポートがLANケーブルで接続されている)又は間接的(クライアント10とネットワーク装置20の間に他の1以上のネットワーク機器(リピータ、リピータ・ハブ、ブリッジ、スイッチング・ハブ)が配設され、そのネットワーク機器を中継している)に受信し、クライアント10へのデータを直接的又は間接的に送信する機能を有する。
【0033】
ロケーション情報付加処理部22は、特定のパケットに対してロケーション情報記憶部23が記録しているロケーション情報を付加し、管理サーバ30に対して復号キーを要求する機能を有する。
ロケーション情報は、ネットワーク装置のホスト情報、ネットワーク装置のMACアドレス情報及びネットワーク装置のシステムロケーション情報からなる。ネットワーク装置のシステムロケーション情報はネットワーク管理者が設定するものであり、例えば、「本館2F」などである。
【0034】
処理状態管理処理部24は、ネットワーク装置20の処理状態を管理する処理状態管理テーブル25を参照、更新する機能を有する。
処理状態管理テーブル25は、図4に示す通り、前記処理状態管理テーブル12と同様に、暗号キー情報を除くフィールドを有する。要求される復号キー処理毎に各フィールドの組み合せに値が格納されたものが処理状態管理処理部24により作成される。
【0035】
データ送受信部26は、管理サーバ30へのデータを直接的又は間接的に送信し、管理サーバ30からのデータを直接的又は間接的に受信する機能を有する。
復号キー中継処理部27は、データ送受信部26を介して管理サーバ30から受信した復号キーをクライアント10に中継する機能を有する。
本実施形態において、ネットワーク装置20は、具体的には、L2スイッチ(HUB)であり、クライアント10とはMACレベルで通信し、管理サーバ30とは(例えば、SNMP(Simple Network Management Protocol)のように)IP層で通信する。
【0036】
[1.3 管理サーバ]
管理サーバ30は、データ送受信部31、ロケーション情報チェック処理部32、許可情報管理テーブル33、ファイルアクセスログ部34、復号キー送信処理部35及び復号キー情報記憶部36を具備する。
データ送受信部31は、管理サーバ30からのデータを指定した送信先に送信し、逆に、管理サーバ30以外からのデータを送信先が管理サーバ30であるものを受信する機能を有する。
【0037】
ロケーション情報チェック処理部32は、データ送受信部31を介して受信した特定のパケットのロケーション情報を取り出し、許可情報管理テーブル33に記録されているロケーション情報を比較して同一であるとき、復号キーの払出を許可する機能を有する。
【0038】
許可情報管理テーブル33は、図5に示す通り、ネットワーク装置のホスト情報、ネットワーク装置のMACアドレス情報、ネットワーク装置のシステムロケーション情報、アクセス可能な時刻情報などの時間帯情報、ログインユーザー名などのユーザ情報及びフォルダパスとファイル名などのファイル情報のフィールドを有する。各フィールドの組み合せに値を格納したものがネットワーク装置20毎に用意される。本実施形態においては、ユーザ情報、ファイル情報及び時間帯情報は使用せず、それぞれ第2の実施形態、第3の実施形態、第4の実施形態で使用するため、本実施形態では値を格納する必要はない。
【0039】
ファイルアクセスログ部34は、ロケーション情報チェック処理部32の比較結果を記録する機能を有する。例えば、ネットワーク装置20の識別情報(送信元IPアドレス)、プロセス情報、送信元MACアドレス、比較結果(OK又はNG)及び比較結果時刻を記録する。
復号キー送信処理部35は、ロケーション情報チェック処理部32の復号キー払出許可を受け、復号キー情報記憶部36に記録されている復号キーを払い出しし、ネットワーク装置20宛てにデータ送受信部31を介して送信する機能を有する。
【0040】
[1.4 フレームフォーマット]
[1.4.1 クライアントからネットワーク装置への要求(MAC)フォーマット]
クライアント10からネットワーク装置20へ送信される要求フォーマットは、図6に示すように、宛先アドレス(ブロードキャストアドレス)、送信元アドレス(クライアントのMACアドレス)、タイプ(認証)及びデータのフィールドを有する。要求フォーマットのタイプが認証であることにより、ネットワーク装置20は他のパケットと区別した処理を実行することができる。つまり、ネットワーク装置20はクライアント10からの復号キー要求のパケットは本発明を適用することで新たに付与された機能を用いて処理し、他のパケットは本発明を適用する前から具備する一般的な構成要素で中継する。データのフィールドは、さらに、プロセス情報、送信元MACアドレス(クライアントのMACアドレス)、復号キー情報(空、NULL)、ユーザ情報及びファイル情報のフィールドを有する。
【0041】
[1.4.2 ネットワーク装置から管理サーバへの要求(IP)フォーマット]
ネットワーク装置20から管理サーバ30への要求フォーマットは、図7に示すように、送信元IPアドレス(ネットワーク装置のIPアドレス)、宛先IPアドレス(管理サーバのIPアドレス)などのIPヘッダ及びデータのフィールドを有する。データのフィールドは、さらに、プロセス情報、送信元MACアドレス、復号キー情報、ユーザ情報、ファイル情報、ホスト情報、MACアドレス情報及びSNMPのシステムロケーション情報のフィールドを有する。プロセス情報、送信元MACアドレス、復号キー情報、ユーザ情報及びファイル情報は、クライアントからネットワーク装置への要求フォーマットのフィールドの値をそのまま引き継ぐ。ホスト情報、MACアドレス情報及びSNMPのシステムロケーション情報は、ネットワーク装置20のロケーション情報付加処理部22が付加する。なお、宛先IPアドレスに格納される管理サーバのIPアドレスは予めネットワーク装置20に設定されるものとする。また、複数の管理サーバのIPアドレスの設定を受け付け、その中の一の管理サーバ30に送信する構成であってもよく、さらには、後説するタイムアウトの度に他の管理サーバ30に送信する構成であってもよい。
【0042】
[1.4.3 管理サーバからネットワーク装置への応答(IP)フォーマット]
管理サーバ30からネットワーク装置20への応答フォーマットは、図8に示すように、フィールドとしては図7と同様であるが、送信元IPアドレス(管理サーバ)、送信先IPアドレス(ネットワーク装置)及び復号キー情報(空、NULLではなく実際の復号キーが格納されている)のフィールドに格納されている値が異なる。他のフィールドに格納されている値は図7と同様である。したがって、管理サーバ30はネットワーク装置20からの要求フォーマットのパケットを複製して必要なフィールドに値を格納する。
【0043】
[1.4.4 ネットワーク装置からクライアントへの応答(MAC)フォーマット]
ネットワーク装置20からクライアント10への応答フォーマットは、図9に示すように、フィールドとしては図6と同様であるが、送信先MACアドレス(クライアント)、送信元MACアドレス(ネットワーク装置)及び復号キー情報(空、NULLではなく実際の復号キーが格納されている)のフィールドに格納されている値が異なる。他のフィールドに格納されている値は図6と同様である。したがって、ネットワーク装置20はクライアント10からの要求フォーマットのパケットを複製して必要なフィールドに値を格納する。
【0044】
[2.ハードウェア構成]
図10は本実施形態に係るクライアントを構築したコンピュータのハードウェア構成図である。
ファイルアクセス認証システムのクライアント10が構築されるコンピュータ100は、CPU(Central Processing Unit)101、RAM(Random Access Memory)102、ROM(Read Only Memory)103、外部記憶装置であるHDD(Hard Disk Drive)104、CD−ROM(Compact Disc Read Only Memory)からデータを読み出すCD−ROMドライブ105、入力装置であるマウス111及びキーボード112、出力装置であるディスプレイ121とスピーカー122、並びに、ネットワークに接続するためのLANインタフェース131からなる。
【0045】
CD−ROM等の外部記憶媒体に記録されている復号化エージェントプログラムをコンピュータ100のHDD104に複製し、復号化エージェントプログラムが読み出し可能となって実行できる状態とする所謂インストールを行うことでコンピュータ100上にファイルアクセス認証システムのクライアント10が構築されることになる。
【0046】
[3.動作]
本実施形態に係るファイルアクセス認証システムの動作について図11に基づき説明する。
クライアント10が、拡張子による関連付けなどのOSの機能を使用して、秘密情報ファイルを使用者にダブルクリックされると(S101)、関連付けされたエージェントが秘密情報ファイルを引数として起動される(S102)。ここでは、エージェントが秘密情報ファイルに対する使用者のアクセスをトリガとして起動したが、クライアント10に常駐した構成であってもよい。
【0047】
エージェントでは、処理状態管理処理部11にてこの秘密情報ファイルの管理を行うこととなる。処理状態管理処理部11が処理状態管理テーブル12(図2)上の処理ステータスを「要求処理中」に設定し(S103)、その後、復号キー要求処理部13が秘密情報ファイルを復号化するための復号キーをスイッチングHUBなどのネットワーク装置20に対して問い合わせる(S104)。この問い合わせに係るデータを「復号キー要求」と呼ぶ。このとき、データ送受信部14により、ネットワークを介して通信を行うが、そのプロトコルはMAC(L2)をベースとした前説した新規のフレームフォーマット(図6)を使用し、通信そのものはIEEE802.3に基づいた既存の技術を使用する。
【0048】
ネットワーク装置20上のロケーション情報付加処理部22はデータ送受信部21より復号キー要求を受け取ると(S111)、ロケーション情報記憶部23に保持している自身のロケーション情報(図3)であるSNMP用のロケーション情報やホスト名、自身のMACアドレス情報などを読み出し、復号キー要求に付加する(S112)。なお、例示したSNMP用のロケーション情報、ホスト名及び自身のMACアドレス情報の全てを付加することは必ずしも必要ではない。処理状態管理テーブル25(図4)上の処理ステータスを「要求処理中」に処理状態管理処理部24にて設定する(S113)。データ送受信部26によりTCP/IP通信(図7)を使用して管理サーバ30に問い合わせる(S114)。
【0049】
管理サーバ30上のロケーション情報チェック処理部32ではデータ送受信部31より復号キー要求を受け取ると(S121)、予め設定しておいた許可情報管理テーブル33(図5)を検索し、ロケーション情報が登録されているかをチェックする(S122)。そのチェックの結果を判定し(S123)、登録されていない場合、ログファイル上に復号キー要求上の情報や要求日時などを失敗したとしてファイルアクセスログ部34が記録して終了する(S126)。その後、ネットワーク装置20やクライアント10では後述するタイムアウト処理により、秘密情報ファイルの復号が失敗することになる。
【0050】
前記S123でロケーション情報チェック処理部32にて登録されていることが確認された場合は、予め復号キー情報記憶部36に登録されている秘密情報ファイルを復号化するための復号キーを復号キー送信処理部35により抽出し(S124)、データ送受信部31によりTCP/IP通信(図8)を使用してネットワーク装置20に回答する(S125)。以後、この回答に係るデータを「復号キー応答」と呼ぶ。また、復号キー要求上の情報や要求日時などを成功したとしてログファイル上への記録も行うため、S126に移行する。
【0051】
復号キー要求を送出(S114)後のネットワーク装置20では、復号キー応答の待ち状態となっており(S131)、そのタイムアウトが発生した場合、処理状態管理処理部24にて処理状態管理テーブル25(図4)を削除して処理を終了する(S135)。その後、クライアント10では後述するタイムアウト処理により、秘密情報ファイルの復号が失敗することになる。
【0052】
ネットワーク装置20でデータ送受信部26を経由して復号キー応答を受け取った場合は、処理状態管理処理部24にて、処理状態管理テーブル25(図4)上の処理ステータスを検索し(S132)、要求処理中か否かを判断する(S133)。処理状態管理テーブル25には複数のフィールドの組み合せがあるため、例えば、復号キー応答内のプロセス情報及び送信元MACアドレスにより一意に特定して要求処理中か否かを判断する。要求処理中でない場合は、復号キー応答を無視し復号キー応答の待ち状態を継続するため、S131に戻る。
【0053】
前記S133で処理状態管理処理部24にて要求処理中であることが判明した場合は、復号キー中継処理部27にて、復号キー要求と同様にMAC(L2)をベースとした新規のフレームフォーマット(図9)に復号キーを乗せ換えてデータ送受信部21から復号キー応答をクライアント10に対して送信する(S134)。また、その際には処理状態管理処理にて処理状態管理テーブル(図4)の削除も行われる(S135)。
【0054】
復号キー要求を送出(S104)後のクライアント10では、エージェント上の処理状態管理処理部11により、復号キー応答の待ち状態となっている。タイムアウトがあるため、処理状態管理処理部11が復号キー待ちか否かを判断し(S141)、そのタイムアウトが発生した場合、ディスプレイにエラー表示をするなどのエラー処理を行い(S161)終了する。
【0055】
データ送受信部14を経由して復号キー応答を受け取ったエージェント上の復号キー受信処理部15では、復号キーを処理状態管理処理部11に受け渡し、受け取った処理状態管理処理部11では、処理状態管理テーブル12(図2)上の処理ステータスを検索し(S142)、要求処理中であるか否かを判断する(S143)。前記S132及びS133と同様に、処理状態管理テーブル12には複数のフィールドの組み合せがあるため、例えば、復号キー応答内のプロセス情報及び送信元MACアドレスにより一意に特定して要求処理中か否かを判断する。要求処理中でない場合は、復号キー応答を無視し復号キー応答の待ち状態を継続するためS141に戻る。
【0056】
前記S143で処理状態管理処理部11にて要求処理中であることが判明した場合は、その復号キーを使用して暗号/復号化機能部16cが秘密情報ファイルをテンポラリファイルに復号する(S144)。復号処理が成功したか否かを判断し(S145)、このときに復号処理が失敗した場合は、ディスプレイにエラー表示をするなどのエラー処理を行った(S161)後、受け取った復号キーと処理状態管理テーブル(図2)を削除して(S153、S154)処理を終了する。
【0057】
S145で復号処理が成功したと判断した場合は、復号化されたテンポラリファイルを引数として該当するアプリケーション部16bを起動する(S146)。この場合、拡張子による関連付けを使用して、アプリケーションの種別毎に拡張子を変えたり、ファイルとアプリケーションとの関係を別途予め登録しておくことで、複数のアプリケーションにも対応させることが可能となる。
【0058】
尚、この復号化処理やアプリケーションの起動は既存の技術を使用して実現され、この実施例のように一旦テンポラリファイルに復号化する方法でも、OS上のファイルシステムに組み込む形で物理ファイルとのIO部分で暗号/復号化処理を行う方法(例示として、マザーボード上に配設しているメインメモリとHDDの間に(ATAインタフェース、ブリッジ、バス)、鍵を用いて暗号/復号を行う暗号/復号用のチップを配設し、そのチップに復号キーを渡した場合にだけ適切に復号してメインメモリ上に秘密情報を展開する構成とする)でも、拡張子による関連付けを行わず直接復号化プログラム(エージェント)を起動する方法でもよい。(その場合はテンポラリファイルを使用して後述の削除処理まで一括で行わせる必要がある)
【0059】
アプリケーション部16bが終了した場合、テンポラリファイルが更新されているかのチェックを行い、更新されていない場合は、受け取った復号キーと処理状態管理テーブル(図2)を削除して(S153、S154)処理を終了し、更新されている場合は、復号キーを使用して暗号/復号化機能部16cでテンポラリファイルを新たな秘密情報ファイルを書き換える形にて暗号化し(S152)、その後更新する。その後、テンポラリファイルと復号キーと処理状態管理テーブル(図2)を削除して(S153、S154)全ての処理が終了となる。
【0060】
(本発明の第2の実施形態)
前記第1の実施形態において、復号キー要求(図6、9)や復号キー応答(図7、8)にユーザ情報を付加しておき、管理サーバ30上のロケーション情報チェック処理部32にて、予め許可情報管理テーブル33(図5)に設定してあるユーザ情報,ロケーション情報と合わせて検索、チェック(S122)、判定(S123)することで、ユーザ単位にアクセス権を変えておくことが可能となる。つまり、復号キー要求に係るロケーション情報のみが許可情報管理テーブル33に記録されているロケーション情報と同一であっても、復号キー要求に係るユーザ情報がない場合、又は、復号キーに要求に係るユーザ情報が許可情報管理テーブル33に記録されているユーザ情報と異なる場合には、管理サーバ30は復号キーを送信しない。ここで、クライアント10はWindows(登録商標)などOSのユーザ情報(OSに登録しているユーザ情報、ログイン情報)を使用してもエージェントにて別途指定するユーザ情報(エージェントに設定しているユーザ情報)を用いてもかまわない。
【0061】
また、ネットワーク装置20の処理状態管理部24や、クライアント10の処理状態管理部11で使用する処理状態管理テーブル25、12(図2、6)にもユーザ情報を付加しておき、処理状態管理テーブル検索時にユーザ情報も含めて検索することで、ユーザ単位のアクセス制限を可能にしている。
【0062】
(本発明の第3の実施形態)
前記第1の実施形態において、復号キー要求(図6、9)や復号キー応答(図7、8)にファイル情報を付加しておき、管理サーバ30上のロケーション情報チェック処理部32にて、予め許可情報管理テーブル33(図5)に設定してあるファイル情報,ロケーション情報と合わせて検索、チェック(S122)、判定(S123)することで、ファイル単位にアクセス権を変えておくことが可能となる。つまり、復号キー要求に係るロケーション情報のみが許可情報管理テーブル33に記録されているロケーション情報と同一であっても、復号キー要求に係るファイル情報がない場合、又は、復号キーに要求に係るファイル情報が許可情報管理テーブル33に記録されているファイル情報と異なる場合には、管理サーバ30は復号キーを送信しない。
【0063】
また、ネットワーク装置20の処理状態管理部24や、クライアント10の処理状態管理部11で使用する処理状態管理テーブル25、12(図2、6)にもファイル情報を付加しておき、処理状態管理テーブル検索時にファイル情報にて検索することで、ファイル単位のアクセス制限を可能にしている。
【0064】
(本発明の第4の実施形態)
前記第1の実施形態において、管理サーバ30上のロケーション情報チェック処理部32で、許可情報管理テーブル33(図5)をロケーション情報で検索することと共に、復号キーの払い出しの時間が予め許可情報管理テーブル33に登録されている時間帯内かもチェックすることで、復号キーの払い出し時間を制限することが可能となる。つまり、復号キー要求に係るロケーション情報のみが許可情報管理テーブル33に記録されているロケーション情報と同一であっても、復号キーの払い出しの時間が許可情報管理テーブル33に記録されている時間帯内でない場合には、管理サーバ30は復号キーを送信しない。
【0065】
(その他の実施形態)
[パケットのデータ部にクライアントのアドレスが格納される場合]
前記第1の実施形態では、クライアント10からの復号キー要求のパケットにクライアント10のMACアドレスが格納され、ネットワーク装置20を経て管理サーバ30が復号キー応答のパケットにクライアント10のMACアドレスを含んでネットワーク装置20に返し、ネットワーク装置20が復号キー応答のパケットをクライアント10に送信する場合には復号キー応答のパケットに含まれるクライアント10のMACアドレスを用いて送信する構成であるので、ネットワーク装置20がクライアント10からの復号キー要求を保持しなくとも、管理サーバ30からの復号キーの応答をクライアント10にネットワーク装置20が送信することができる。ここで、クライアント10からの復号キー要求のパケットにクライアント10のMACアドレスが格納されていない場合であっても、ネットワーク装置20が復号キー要求のパケットのヘッダ情報からクライアント10のMACアドレスを取得してデータ部に格納する場合も同様である。
【0066】
復号キーの要求パケット内にクライアント10のMACアドレスが格納されていない構成の場合、復号キーの要求パケット内のクライアント10のMACアドレスをネットワーク装置20上で復号キーの応答パケットを識別可能な情報(プロセス情報、送信元IPアドレス、ファイル情報、ユーザ情報又はこれらの組み合せ)と共に記録し、その復号キーの応答パケットを識別可能な情報を復号キーの要求パケットに含み、管理サーバ30からの復号キーの応答パケットにも含ませてネットワーク装置20上で識別可能な情報を用いて対応するクライアント10のMACアドレスを取得してクライアント10に復号キー応答を送信する構成であってもよい。
【0067】
[管理サーバによるクライアントへの直接的な復号キーの送信]
前記各実施形態においては、復号キー要求時はクライアント10からネットワーク装置20を経て管理サーバ30へ到達し、復号キーの応答時は管理サーバ30から復号キー要求時と同じネットワーク装置20を経てクライアント10に到達しているが、復号キーの応答時には管理サーバ30が復号キー要求時のパケットのデータ部から送信元MACアドレスを用いて直接クライアント10に送信する構成であってもよい。復号キー要求時のネットワーク装置20はタイムアウトにより処理状態管理テーブルの該当データは削除される。
【0068】
以上の前記各実施形態により本発明を説明したが、本発明の技術的範囲は実施形態に記載の範囲には限定されず、これら各実施形態に多様な変更又は改良を加えることが可能である。そして、かような変更又は改良を加えた実施の形態も本発明の技術的範囲に含まれる。このことは、特許請求の範囲及び課題を解決する手段からも明らかなことである。
【図面の簡単な説明】
【0069】
【図1】本発明の実施形態の原理概要図である。
【図2】本発明の実施形態の処理状態管理テーブル例(復号化エージェント機能)の説明図である。
【図3】本発明の実施形態のロケーション情報例の説明図である。
【図4】本発明の実施形態の処理状態管理テーブル例(ロケーション情報付加機能)の説明図である。
【図5】本発明の実施形態の許可情報管理テーブル例の説明図である。
【図6】本発明の実施形態の要求(MAC)フォーマット例の説明図である。
【図7】本発明の実施形態の要求(IP)フォーマット例の説明図である。
【図8】本発明の実施形態の応答(IP)フォーマット例の説明図である。
【図9】本発明の実施形態の応答(MAC)フォーマット例の説明図である。
【図10】本発明の実施形態に係るクライアントを構築したコンピュータのハードウェア構成図である。
【図11】本発明の実施形態のフロー及びシーケンス例の説明図である。
【図12】情報流出、漏洩の従来例を示した図である。
【符号の説明】
【0070】
10 クライアント
11 処理状態管理処理部
12 処理状態管理テーブル
13 復号キー要求処理部
14 データ送受信部
15 復号キー受信処理部
16a OS部
16b アプリケーション部
16c 暗号/復号化機能部
16d 秘密情報(暗号化)ファイル
20 ネットワーク装置
21 データ送受信部
22 ロケーション情報付加処理部
23 ロケーション情報記憶部
24 処理状態管理処理部
25 処理状態管理テーブル
26 データ送受信部
27 復号キー中継処理部
30 管理サーバ
31 データ送受信部
32 ロケーション情報チェック処理部
33 許可情報管理テーブル
34 ファイルアクセスログ部
35 復号キー送信処理部
36 復号キー情報記憶部
100 コンピュータ
101 CPU
102 RAM
103 ROM
104 HDD
105 CD−ROMドライブ
111 マウス
112 キーボード
121 ディスプレイ
122 スピーカー
131 LANインタフェース
【特許請求の範囲】
【請求項1】
クライアントが暗号化されている秘密情報を復号化する復号キーを管理サーバに要求し、管理サーバが当該要求に対して認証を経てクライアントに対して復号キーを送信する秘密情報アクセス認証システムにおいて、
受信情報の宛先アドレスを参照して適切なポートに送出するネットワーク装置を具備し、
クライアントは、復号キーをネットワーク装置に対して要求する復号キー要求処理部と、ネットワーク装置からの復号キーを受信する復号キー受信処理部とを含み、
ネットワーク装置は、クライアントからの復号キーの要求に記録しているロケーション情報を付加して管理サーバに復号キーを要求するロケーション情報付加処理部と、管理サーバからの復号キーの応答を中継してクライアントに送信する復号キー中継処理部とを含み、
管理サーバは、記録しているロケーション情報とネットワーク装置からの復号キー要求に係るロケーション情報とを比較するロケーション情報チェック処理部と、ロケーション情報が同一である場合に記録している復号キーをネットワーク装置に対して送信する復号キー送信処理部とを含む秘密情報アクセス認証システム。
【請求項2】
クライアントが復号キー要求時にユーザ情報を含ませ、
ネットワーク装置は、クライアントからのユーザ情報を含んだ復号キー要求を受けて、管理サーバにユーザ情報を含んだ復号キー要求を行い、
管理サーバは、ロケーション情報だけでなくユーザ情報も記録しておき、ネットワーク装置からの復号キー要求に係るロケーション情報及びユーザ情報と記録しているロケーション情報及びユーザ情報を比較し、ロケーション情報及びユーザ情報が同一である場合に記録している復号キーをネットワーク装置に対して応答する
前記請求項1に記載の秘密情報アクセス認証システム。
【請求項3】
クライアントが復号キー要求時に秘密情報の属性情報を含ませ、
ネットワーク装置は、クライアントからの秘密情報の属性情報を含んだ復号キー要求を受けて、管理サーバに秘密情報の属性情報を含んだ復号キー要求を行い、
管理サーバは、ロケーション情報だけでなく秘密情報の属性情報も記録しておき、ネットワーク装置からの復号キー要求に係るロケーション情報及び秘密情報の属性情報と記録しているロケーション情報及び秘密情報の属性情報を比較し、ロケーション情報及び秘密情報の属性情報が同一である場合に記録している復号キーをネットワーク装置に対して応答する
前記請求項1に記載の秘密情報アクセス認証システム。
【請求項4】
管理サーバはネットワーク装置経由のクライアントからの復号キー要求を受け付けた時間を取得し、
管理サーバは前記ロケーション情報チェック処理部による条件を満たし、且つ、前記復号キー要求の受付時間が記録している復号キー要求受付時間帯に属する場合に復号キーをネットワーク装置に対して応答する
前記請求項1ないし3のいずれかに記載の秘密情報アクセス認証システム。
【請求項5】
クライアントとネットワーク装置の間はデータリンク層で通信し、
クライアントからのネットワーク装置への復号キー要求の宛先アドレスはブロードキャストアドレスである
前記請求項1ないし4のいずれかに記載の秘密情報アクセス認証システム。
【請求項6】
クライアントが暗号化されている秘密情報を復号化する復号キーを管理サーバに要求し、管理サーバが当該要求に対して認証を経てクライアントに対して復号キーを送信する秘密情報アクセス認証方法において、
クライアントは、受信情報の宛先アドレスを参照して適切なポートに送出するネットワーク装置に対して、復号キーを要求する復号キー要求処理ステップと、
ネットワーク装置がクライアントからの復号キーの要求に記録しているロケーション情報を付加して管理サーバに復号キーを要求するロケーション情報付加処理ステップと、
管理サーバが、記録しているロケーション情報とネットワーク装置からの復号キー要求に係るロケーション情報とを比較するロケーション情報チェック処理ステップと、
管理サーバが、ロケーション情報が同一である場合に記録している復号キーをネットワーク装置に対して送信する復号キー送信処理ステップと、
ネットワーク装置が復号キーの応答を中継してクライアントに送信する復号キー中継処理ステップと、
クライアントがネットワーク装置からの復号キーを受信する復号キー受信処理ステップとを含む秘密情報アクセス認証方法。
【請求項1】
クライアントが暗号化されている秘密情報を復号化する復号キーを管理サーバに要求し、管理サーバが当該要求に対して認証を経てクライアントに対して復号キーを送信する秘密情報アクセス認証システムにおいて、
受信情報の宛先アドレスを参照して適切なポートに送出するネットワーク装置を具備し、
クライアントは、復号キーをネットワーク装置に対して要求する復号キー要求処理部と、ネットワーク装置からの復号キーを受信する復号キー受信処理部とを含み、
ネットワーク装置は、クライアントからの復号キーの要求に記録しているロケーション情報を付加して管理サーバに復号キーを要求するロケーション情報付加処理部と、管理サーバからの復号キーの応答を中継してクライアントに送信する復号キー中継処理部とを含み、
管理サーバは、記録しているロケーション情報とネットワーク装置からの復号キー要求に係るロケーション情報とを比較するロケーション情報チェック処理部と、ロケーション情報が同一である場合に記録している復号キーをネットワーク装置に対して送信する復号キー送信処理部とを含む秘密情報アクセス認証システム。
【請求項2】
クライアントが復号キー要求時にユーザ情報を含ませ、
ネットワーク装置は、クライアントからのユーザ情報を含んだ復号キー要求を受けて、管理サーバにユーザ情報を含んだ復号キー要求を行い、
管理サーバは、ロケーション情報だけでなくユーザ情報も記録しておき、ネットワーク装置からの復号キー要求に係るロケーション情報及びユーザ情報と記録しているロケーション情報及びユーザ情報を比較し、ロケーション情報及びユーザ情報が同一である場合に記録している復号キーをネットワーク装置に対して応答する
前記請求項1に記載の秘密情報アクセス認証システム。
【請求項3】
クライアントが復号キー要求時に秘密情報の属性情報を含ませ、
ネットワーク装置は、クライアントからの秘密情報の属性情報を含んだ復号キー要求を受けて、管理サーバに秘密情報の属性情報を含んだ復号キー要求を行い、
管理サーバは、ロケーション情報だけでなく秘密情報の属性情報も記録しておき、ネットワーク装置からの復号キー要求に係るロケーション情報及び秘密情報の属性情報と記録しているロケーション情報及び秘密情報の属性情報を比較し、ロケーション情報及び秘密情報の属性情報が同一である場合に記録している復号キーをネットワーク装置に対して応答する
前記請求項1に記載の秘密情報アクセス認証システム。
【請求項4】
管理サーバはネットワーク装置経由のクライアントからの復号キー要求を受け付けた時間を取得し、
管理サーバは前記ロケーション情報チェック処理部による条件を満たし、且つ、前記復号キー要求の受付時間が記録している復号キー要求受付時間帯に属する場合に復号キーをネットワーク装置に対して応答する
前記請求項1ないし3のいずれかに記載の秘密情報アクセス認証システム。
【請求項5】
クライアントとネットワーク装置の間はデータリンク層で通信し、
クライアントからのネットワーク装置への復号キー要求の宛先アドレスはブロードキャストアドレスである
前記請求項1ないし4のいずれかに記載の秘密情報アクセス認証システム。
【請求項6】
クライアントが暗号化されている秘密情報を復号化する復号キーを管理サーバに要求し、管理サーバが当該要求に対して認証を経てクライアントに対して復号キーを送信する秘密情報アクセス認証方法において、
クライアントは、受信情報の宛先アドレスを参照して適切なポートに送出するネットワーク装置に対して、復号キーを要求する復号キー要求処理ステップと、
ネットワーク装置がクライアントからの復号キーの要求に記録しているロケーション情報を付加して管理サーバに復号キーを要求するロケーション情報付加処理ステップと、
管理サーバが、記録しているロケーション情報とネットワーク装置からの復号キー要求に係るロケーション情報とを比較するロケーション情報チェック処理ステップと、
管理サーバが、ロケーション情報が同一である場合に記録している復号キーをネットワーク装置に対して送信する復号キー送信処理ステップと、
ネットワーク装置が復号キーの応答を中継してクライアントに送信する復号キー中継処理ステップと、
クライアントがネットワーク装置からの復号キーを受信する復号キー受信処理ステップとを含む秘密情報アクセス認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2008−141581(P2008−141581A)
【公開日】平成20年6月19日(2008.6.19)
【国際特許分類】
【出願番号】特願2006−327032(P2006−327032)
【出願日】平成18年12月4日(2006.12.4)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成20年6月19日(2008.6.19)
【国際特許分類】
【出願日】平成18年12月4日(2006.12.4)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]