管理サーバ及びプログラム
【課題】データベース装置を利用する利用者への成り済まし、あるいは利用者自身の悪意による不正がアクセスを防止し、更にデータベース利用予定を用いて予定時間外の不測のアクセスも排除する。
【解決手段】事前処理として利用者鍵と管理者鍵を生成し、それぞれ利用者端末と管理者端末に送信し、これらの鍵を用いた暗号化により暗号化データベースユーザ登録情報を生成しておき、実際のデータベースへのアクセスの際に、それぞれ利用者端末と管理者端末から受信した利用者鍵と管理者鍵を用いて、暗号化データベースユーザ登録情報を復号し(S1806)、いずれも不正な鍵でない場合にデータベース装置に新たなユーザ登録を求める(S1807)。
【解決手段】事前処理として利用者鍵と管理者鍵を生成し、それぞれ利用者端末と管理者端末に送信し、これらの鍵を用いた暗号化により暗号化データベースユーザ登録情報を生成しておき、実際のデータベースへのアクセスの際に、それぞれ利用者端末と管理者端末から受信した利用者鍵と管理者鍵を用いて、暗号化データベースユーザ登録情報を復号し(S1806)、いずれも不正な鍵でない場合にデータベース装置に新たなユーザ登録を求める(S1807)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データベース装置へのアクセスを管理する管理サーバに係り、秘密情報の漏洩に係る不正アクセスを防止する技術に関する。
【背景技術】
【0002】
近年、個人情報等の秘密情報の漏洩が社会的に問題となっている。従来のセキュリティシステムは、アクセス権限を有する利用者以外の他人による不正アクセスを防止することを主眼としていた。
【0003】
しかし、実際にはアクセス権限を有する利用者自身による悪意の流出も多く見られる。企業責任をとして、これのような事態を未然に防ぐ必要がある
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平5−150852号公報
【特許文献2】特開2002−196965号公報
【特許文献3】特開平11−212919号公報
【特許文献4】特開2001−236259号公報
【特許文献5】特開昭61−97756号公報
【特許文献6】国際公開第01/82086号
【発明の概要】
【発明が解決しようとする課題】
【0005】
そこで、本発明は、このような問題を解決し、秘密情報の漏洩に係る不正アクセスを防止することを主な目的とする。
【課題を解決するための手段】
【0006】
本発明に係る管理サーバは、
ユーザ登録された利用者に対してデータを提供するデータベース装置と、データベース装置を利用する利用者が操作する利用者端末と、利用者によるデータベース装置の利用を管理する管理者が操作する管理者端末とに接続する管理サーバであって、以下の要素を有することを特徴とする
(1)利用者がデータベース装置を利用する事前処理として、利用者固有の利用者鍵を生成する利用者鍵生成部
(2)利用者がデータベース装置を利用する事前処理として、生成した利用者鍵を利用者端末に送信する利用者鍵送信部
(3)利用者がデータベース装置を利用する事前処理として、管理者固有の管理者鍵を生成する管理者鍵生成部
(4)利用者がデータベース装置を利用する事前処理として、生成した管理者鍵を管理者端末に送信する管理者鍵送信部
(5)利用者がデータベース装置を利用する事前処理として、データベース装置に新たにユーザ登録するためのデータベースユーザ登録情報を生成するデータベースユーザ登録情報生成部
(6)利用者がデータベース装置を利用する事前処理として、生成したデータベースユーザ登録情報を、生成した利用者鍵と生成した管理者鍵とを用いて、復号の際に暗号化時の利用者鍵と復号時の利用者鍵の一致の判定と、暗号化時の管理者鍵と復号時の管理者鍵の一致の判定とを可能とする暗号化ロジックで暗号化して、暗号結果として暗号化データベースユーザ登録情報を生成するデータベースユーザ登録情報暗号化部
(7)暗号結果として生成した暗号化データベースユーザ登録情報を記憶する暗号化データベースユーザ登録情報記憶部
(8)利用者がデータベース装置を利用する際に、利用者端末から、当該利用者端末からデータベース装置へのアクセスを開始する要求を、利用者鍵と併せて受信するアクセス開始要求受付部
(9)利用者がデータベース装置を利用する際に、管理者端末から管理者鍵を受信する管理者鍵受信部
(10)利用者がデータベース装置を利用する際に、暗号化データベースユーザ登録情報記憶部で記憶している暗号化データベースユーザ登録情報を、前記要求と併せて受信した利用者鍵と前記受信した管理者鍵とを用いて、暗号化時の利用者鍵と復号時の利用者鍵が一致するかの判定と、暗号化時の管理者鍵と復号時の管理者鍵が一致するかの判定とを行う復号ロジックにより復号し、いずれも一致した場合に復号結果としてデータベースユーザ登録情報を得るデータベースユーザ登録情報復号部
(11)利用者がデータベース装置を利用する際に、データベース装置に対して、復号結果として得たデータベースユーザ登録情報を含む、新たなユーザ登録を求めるクリエイトユーザ命令を送信するクリエイトユーザ要求部。
【0007】
データベースユーザ登録情報復号部は、暗号化データベースユーザ登録情報を前記受信した管理者鍵を用いて復号し、復号結果として一次復号データベースユーザ登録情報を得て、
管理サーバは、更に、復号結果として得た一次復号データベースユーザ登録情報を利用者端末に送信する一次復号データベースユーザ登録情報送信部を有することを特徴とする。
【0008】
管理サーバは、更に、以下の要素を有することを特徴とする
(12)利用者がデータベース装置を利用するデータベース利用予定を記憶するデータベース利用予定記憶部
(13)利用者がデータベース装置を利用している際に、当該利用者のデータベース利用予定の利用終了予定日時を経過したことを判定するデータベース利用予定終了判定部
(14)利用終了予定日時を経過した場合に、データベース装置に対して、当該データベース利用予定に係るユーザ登録の削除を求めるドロップユーザ命令を送信するドロップユーザ要求部。
【0009】
管理サーバは、更に、以下の要素を有することを特徴とする
(15)利用者がデータベース装置を利用する事前処理として、利用者端末から、利用者がデータベース装置を利用するデータベース利用予定を受信するデータベース利用予定入力部
(16)受信したデータベース利用予定を記憶するデータベース利用予定記憶部
(17)利用者がデータベース装置を利用する事前処理として、データベース利用予定記憶部に記憶しているデータベース利用予定に対する承認の依頼を管理者端末に送信し、管理者端末から承認結果を受信し、データベース利用予定記憶部に記憶しているデータベース利用予定を承認されたものと判別できるようにするデータベース利用予定承認依頼部
(18)利用者がデータベース装置を利用する際に、承認されたデータベース利用予定内であるかを判定するデータベース利用判定部。
【0010】
管理サーバは、更に、利用者がデータベース装置を利用するデータベース利用予定を、複数のデータベース利用単位に分けて記憶するデータベース利用予定記憶部を有し、
前記利用者鍵生成部は、データ利用単位毎に別個の利用者鍵を生成し、
前記データベースユーザ登録情報生成部は、データベース利用単位毎に別個のデータベースユーザ登録情報を生成し、
前記データベースユーザ登録情報暗号化部は、データベース利用単位毎に、前記生成した管理者鍵とともに当該別個の利用者鍵を用い、当該別個のデータベースユーザ登録情報を暗号化し、
当該データベース利用予定記憶部は、暗号化データベースユーザ登録情報記憶部として、暗号結果として生成した暗号化データベースユーザ登録情報をデータベース利用単位毎に記憶し、
前記データベースユーザ登録情報復号部は、現時点を含むデータ利用単位に対応する暗号化データベースユーザ登録情報を復号することを特徴とする。
【0011】
本発明に係るプログラムは、
ユーザ登録された利用者に対してデータを提供するデータベース装置と、データベース装置を利用する利用者が操作する利用者端末と、利用者によるデータベース装置の利用を管理する管理者が操作する管理者端末とに接続する管理サーバとなるコンピュータに、以下の手順を実行させるためのプログラムであることを特徴とする
(1)利用者がデータベース装置を利用する事前処理として、利用者固有の利用者鍵を生成する利用者鍵生成処理手順
(2)利用者がデータベース装置を利用する事前処理として、生成した利用者鍵を利用者端末に送信する利用者鍵送信処理手順
(3)利用者がデータベース装置を利用する事前処理として、管理者固有の管理者鍵を生成する管理者鍵生成処理手順
(4)利用者がデータベース装置を利用する事前処理として、生成した管理者鍵を管理者端末に送信する管理者鍵送信処理手順
(5)利用者がデータベース装置を利用する事前処理として、データベース装置に新たにユーザ登録するためのデータベースユーザ登録情報を生成するデータベースユーザ登録情報生成処理手順
(6)利用者がデータベース装置を利用する事前処理として、生成したデータベースユーザ登録情報を、生成した利用者鍵と生成した管理者鍵とを用いて、復号の際に暗号化時の利用者鍵と復号時の利用者鍵の一致の判定と、暗号化時の管理者鍵と復号時の管理者鍵の一致の判定とを可能とする暗号化ロジックで暗号化して、暗号結果として暗号化データベースユーザ登録情報を生成し、記憶するデータベースユーザ登録情報暗号化処理手順
(7)利用者がデータベース装置を利用する際に、利用者端末から、当該利用者端末からデータベース装置へのアクセスを開始する要求を、利用者鍵と併せて受信するアクセス開始要求受付処理手順
(8)利用者がデータベース装置を利用する際に、管理者端末から管理者鍵を受信する管理者鍵受信処理手順
(9)利用者がデータベース装置を利用する際に、データベースユーザ登録情報暗号化処理手順で記憶した暗号化データベースユーザ登録情報を、前記要求と併せて受信した利用者鍵と前記受信した管理者鍵とを用いて、暗号化時の利用者鍵と復号時の利用者鍵が一致するかの判定と、暗号化時の管理者鍵と復号時の管理者鍵が一致するかの判定とを行う復号ロジックにより復号し、いずれも一致した場合に復号結果としてデータベースユーザ登録情報を得るデータベースユーザ登録情報復号処理手順
(10)利用者がデータベース装置を利用する際に、データベース装置に対して、復号結果として得たデータベースユーザ登録情報を含む、新たなユーザ登録を求めるクリエイトユーザ命令を送信するクリエイトユーザ要求処理手順。
【発明の効果】
【0012】
本発明によれば、事前処理として利用者鍵と管理者鍵を生成し、それぞれ利用者端末と管理者端末に送信し、これらの鍵を用いた暗号化により暗号化データベースユーザ登録情報を生成しておき、実際のデータベースへのアクセスの際に、それぞれ利用者端末と管理者端末から受信した利用者鍵と管理者鍵を用いて、暗号化データベースユーザ登録情報を復号し、いずれも不正な鍵でない場合にデータベース装置に新たなユーザ登録を求めるので、利用者の成り済まし、あるいは利用者自身の悪意による不正なアクセスを防止できる。データベース利用予定を用いた安全機構を有するので、不測のアクセスも排除できる。
【図面の簡単な説明】
【0013】
【図1】ネットワーク環境を示す図である。
【図2】利用者による事前処理に係る管理サーバの構成を示す図である。
【図3】利用者による事前処理フローを示す図である。
【図4】データベース利用予定入力画面を示す図である。
【図5】利用者鍵生成処理フローを示す図である。
【図6】データベース利用予定記憶部の構成を示す図である。
【図7】データベース利用単位と利用者鍵のテーブルの例を示す図である。
【図8】管理者による事前処理に係る管理サーバの構成を示す図である。
【図9】管理者による事前処理フローを示す図である。
【図10】管理者鍵生成処理フローを示す図である。
【図11】管理単位と管理者鍵のテーブルの例を示す図である。
【図12】データベース利用予定承認依頼処理フローを示す図である。
【図13】データベース利用予定承認画面を示す図である。
【図14】データベースユーザ登録情報生成処理フローを示す図である。
【図15】データベースユーザ登録情報暗号化部の構成を示す図である。
【図16】データベースユーザ登録情報暗号化処理フローを示す図である。
【図17】データベースアクセス開始時の処理に係る管理サーバの構成を示す図である。
【図18】データベースアクセス開始時の処理フローを示す図である。
【図19】データベースユーザ登録情報復号部の構成を示す図である。
【図20】データベースユーザ登録情報復号処理フローを示す図である。
【図21】データアクセス時の処理に係る利用者端末の構成を示す図である。
【図22】データアクセス時の利用者端末の処理フローを示す図である。
【図23】利用者端末からのデータアクセス終了時の処理に係る管理サーバの構成を示す図である。
【図24】利用者端末からのデータアクセス終了時の処理フローを示す図である。
【図25】データベース利用予定オーバー時の処理に係る管理サーバの構成を示す図である。
【図26】データベース利用予定オーバー時の処理フローを示す図である。
【図27】各装置のハードウェア構成を示す図である。
【発明を実施するための形態】
【0014】
実施の形態1.
データベースの操作に関する一定の知識を有する者が、データベースへアクセスするためのユーザ情報(以下の例では、データベースユーザ名、データベースユーザパスワード)を知っていれば、業務用アプリケーションを利用しなくても、当該ユーザ情報を用いて直接データベースにアクセスし、秘密の情報を盗み出すことができることに鑑み、本発明は、その改善策としてユーザ情報を動的に変更する。
【0015】
図1は、ネットワーク環境を示す図である。ローカルエリアネットワーク(ネットワークの例)には、データベース装置1、管理サーバ2、管理者端末3、及び利用者端末4が接続されている。データベース装置1には、個人情報等の秘匿情報を含む情報群を管理している。利用者は、担当業務など本来の適正な目的においてデータベース装置1から情報を引き出し、または情報を格納させるために、利用者端末4を操作して、データベース装置1にアクセスする。管理サーバ2は、利用者端末4からデータベース装置1への不正なアクセスを防止し、適正なアクセスのみを実行させるように管理を行う。
【0016】
本管理システムでは、まず利用者端末4を操作する利用者による事前処理と、管理者端末3を操作する管理者による事前処理を行う必要がある。例えば月末に、利用者が翌月のデータベース装置1の利用予定を申請し、管理者が各利用者毎に翌月分の申請を当月内に承認する作業に相当する。
【0017】
まず、利用者による事前処理について説明する。図2は、利用者による事前処理に係る管理サーバの構成を示す図である。管理サーバ2は、この処理の為に、システム利用者認証部201、データベース利用予定入力部202、データベース利用予定記憶部203、利用者鍵生成部204、及び利用者鍵送信部205の要素を有している。
【0018】
図3は、利用者による事前処理フローを示す図である。利用者認証処理(S301)では、通常のシステム同様に、利用者が本管理システムを用いる権限を有しているかをチェックする。
【0019】
利用者端末4は、本管理システムの適正な利用者として認証を受ける為のシステム利用者IDとシステム利用者パスワードの入力を利用者に促すシステム利用者認証情報入力画面を表示し、操作部を介してシステム利用者IDとシステム利用者パスワードを受付ける。そして、受け付けたシステム利用者IDとシステム利用者パスワードを管理サーバ2に送信する。システム利用者認証部201による利用者認証処理(S301)では、利用者端末4からシステム利用者IDとシステム利用者パスワードを受信し、予め登録してあるシステム利用者IDとシステム利用者パスワードの組み合わせのいずれかと一致するか判断する。一致する場合には、認証成功の旨を利用者端末4に返信し、処理の続行を許可する。不一致の場合には、認証失敗の旨を利用者端末4に返信し、処理を中断させる。尚、ここで用いるシステム利用者認証情報、つまりシステム利用者IDとシステム利用者パスワードは、後述するデータベースで管理するデータベースユーザ登録情報とは関連の無いものである。
【0020】
利用者端末4では、認証成功の旨の通知を受けると、データベース利用予定設定部(図示せず)により、利用者にデータベース利用予定の入力を促すデータベース利用予定設定画面を表示し、データベース利用予定を受付ける。そして、受け付けたデータベース利用予定を管理サーバ2に送信する。
【0021】
図4は、データベース利用予定入力画面を示す図である。この画面では、利用者が業務のためにデータベースにアクセスする時間帯、つまり利用開始予定日時と利用終了予定日時(データベース利用単位という。)を指定するように構成されている。これらの日付と時間帯のリストをデータベース利用予定として扱う。データベース利用予定として、就業予定を用いることも考えられる。就業中に、常にデータベースを用いる業務形態の場合には、就業予定を直接データベース利用予定とすることが合理的である。
【0022】
データベース利用予定入力部202によるデータベース利用予定入力処理(S302)では、利用者端末4から上述のデータベース利用予定を受信し、データベース利用予定記憶部203に記憶させる。
【0023】
次に、利用者鍵生成部204による利用者鍵生成処理(S303)を行う。図5は、利用者鍵生成処理フローを示す図である。データベース利用予定に含まれるデータベース利用単位毎に以下の処理を繰り返す(S501)。例えば乱数により、無作為に選択した文字あるいは数字からなる数字・文字列を生成する(S502)。そして、生成した文字・数字列を、利用者鍵として、当該データベース利用単位と対応付けてデータベース利用予定記憶部203に記憶させる(S503)。これらの処理を、すべてのデータベース利用単位について終えた時点で終了する(S504)。つまり、データベース利用単位毎に、個別の無作為な利用者鍵を生成する。
【0024】
ここで、データベース利用予定記憶部について説明する。図6は、データベース利用予定記憶部の構成を示す図である。システム利用者毎にテーブルを有している。このテーブルのヘッダには、当該システム利用者のIDが格納され、データベース利用単位毎のレコードを有している。レコードには、データベース利用単位603の他に、承認602、利用者鍵604、暗号化データベースユーザ名605、暗号化データベースユーザパスワード606の項目を有しているが、利用者鍵生成の時点では、まだ承認602、暗号化データベースユーザ名605、及び暗号化データベースユーザパスワード606の項目の領域は用いていない。承認602には、後に管理者が行う承認の結果が格納される。暗号化データベースユーザ名605と暗号化データベースユーザパスワード606の組み合わせは、後述する暗号化データベースユーザ登録情報の例である。データベースユーザ名とデータベースユーザパスワードを一体として暗号化する場合には、605と606の区別なく、一体として暗号化された暗号化データベースユーザ登録情報が格納される。
【0025】
そして、図3に示すように利用者鍵送信部205による利用者鍵送信処理(S304)を行う。この処理では、データベース利用単位毎に対応する利用者鍵を利用者端末4に返信する。この例では、これらをテーブルの形式で転送する。図7は、データベース利用単位と利用者鍵のテーブルの例を示す図である。図に示すように、各データベース利用単位に対応する利用者鍵が格納されている。利用者は、このようにして受信した利用者鍵について、守秘義務を負い、他人に知られないように管理する。利用者鍵は、後に、利用者が予定に従ってデータベース装置1にアクセスする際に必要になる。
【0026】
次に、管理者による事前処理について説明する。図8は、管理者による事前処理に係る管理サーバの構成を示す図である。管理サーバ2は、この処理の為に、更にシステム管理者認証部801、管理者鍵生成部802、生成管理者鍵記憶部803、管理者鍵送信部804、データベース利用予定承認依頼部805、データベースユーザ登録情報生成部806、データベースユーザ登録情報暗号化部807、利用者鍵削除部808、及び管理者鍵削除部809の要素を有している。
【0027】
図9は、管理者による事前処理フローを示す図である。システム管理者認証処理(S901)では、管理者として本管理システムを用いる権限を有しているかをチェックする。
【0028】
管理者端末3は、本管理システムの適正な管理者として認証を受ける為のシステム管理者IDとシステム管理者パスワードの入力を促すシステム管理者認証情報入力画面を表示し、システム管理者IDとシステム管理者パスワードを受付ける。そして、受け付けたシステム管理者IDとシステム管理者パスワードを管理サーバ2に送信する。システム管理者認証部801によるシステム管理者認証処理(S901)では、管理者端末3からシステム管理者IDとシステム管理者パスワードを受信し、予め登録してあるシステム管理者IDとシステム管理者パスワードと一致するか判断する。一致する場合には、認証成功の旨を管理者端末3に返信し、処理の続行を許可する。不一致の場合には、認証失敗の旨を管理者端末3に返信し、処理を中断させる。尚、ここで用いるシステム管理者認証情報、つまりシステム管理者IDとシステム管理者パスワードは、後述するデータベースで管理するデータベースユーザ登録情報とは関連の無いものである。
【0029】
システム管理者の認証に成功すると、管理者鍵生成部802による管理者鍵生成処理(S902)を行う。
【0030】
図10は、管理者鍵生成処理フローを示す図である。管理者鍵の有効期間(例えば、日付と時間で特定し、あるいは日、週、月単位で特定する。)である管理単位毎に以下の処理を繰り返す(S1001)。乱数により、無作為に選択した文字あるいは数字からなる数字・文字列を生成し(S1002)、生成した文字・数字列を、管理者鍵として、当該管理単位と対応付けて記憶させる(S1003)。そして、すべての管理単位について処理時点で終了する(S1004)。つまり、データベース利用単位毎に、個別の無作為な利用者鍵を生成する。
【0031】
管理者鍵送信部804による管理者鍵送信処理(S903)で、生成した管理者鍵を管理単位に対応付けて管理サーバ2に返信する。この例では、これらをテーブルの形式で転送する。図11は、管理単位と管理者鍵のテーブルの例を示す図である。図に示すように、日付と時間で特定された各管理単位に対応する管理者鍵が格納されている。管理者は、このようにして受信した管理者鍵について、守秘義務を負い、他人に知られないように管理する。管理者鍵は、管理者が自ら承認した予定に従って利用者が実際にデータベース装置1へアクセスする際に、そのアクセスを承認するために用いられる。
【0032】
そして、図9に示すようにシステム利用者毎にS905〜S908の処理を繰り返す(S904)。
【0033】
データベース利用予定承認依頼部805によるデータベース利用予定承認依頼処理(S905)を行う。この処理では、管理者に、各利用者が申請したデータベース利用予定の承認を登録させる。図12は、データベース利用予定承認依頼処理フローを示す図である。まず、システム利用者IDに対応するシステム利用者氏名を取得する(S1201)。システム利用者氏名は、システム利用者テーブル(図示せず)に予めシステム利用者IDに対応付けて記憶されている。また、データベース利用予定記憶部203からシステム利用者IDに対応するデータベース利用予定を取得する(S1202)。そして、システム利用者IDとシステム利用者氏名とデータベース利用予定を含み、データベース利用単位毎の承認可否を入力可能なデータベース利用予定承認画面を生成する(S1203)。
【0034】
図13は、データベース利用予定承認画面を示す図である。この例では、承認ボックスをチェックすることにより、承認(承認可)を指示するように構成されている。チェックしない場合には、否認(承認否)を指示することになる。
【0035】
データベース利用予定承認依頼部805から、このデータベース利用予定承認画面を管理者端末3へ送信し(S1204)、管理者端末3からデータベース利用単位毎の承認可否を受信し、データベース利用単位に対応付けて承認可否(承認結果)をデータベース利用予定記憶部に記憶させる(S1205)。この例に拠らず、承認否のデータベース利用単位を削除し、承認可のデータベース利用単位のみを残すことによって、データベース利用予定記憶部に記憶しているデータベース利用予定を承認されたものと判別できるようにしてもよい。
【0036】
次に、図9に示すようにデータベースユーザ登録情報生成部806によるデータベースユーザ登録情報生成処理(S906)を行う。この処理で、データベースユーザ名とデータベースユーザパスワードからなるデータベースユーザ登録情報を生成する。データベースユーザ登録情報は、データベース装置にアクセスする為に必要な情報である。図14は、データベースユーザ登録情報生成処理フローを示す図である。乱数により、無作為に選択した文字あるいは数字からなる数字・文字列を生成し(S1401)、生成した文字・数字列を、データベースユーザ名とする(S1402)。また、乱数により、無作為に選択した文字あるいは数字からなる数字・文字列を生成し(S1403)、生成した文字・数字列を、データベースユーザパスワードとする(S1404)。
【0037】
次に、図9に示すようにデータベースユーザ登録情報暗号化部807によるデータベースユーザ登録情報暗号化処理(S907)を行う。この処理では、データベースユーザ登録情報を利用者鍵と管理者鍵で暗号化する。
【0038】
図15は、データベースユーザ登録情報暗号化部の構成を示す図である。データベースユーザ登録情報を利用者鍵で暗号化して、一次暗号化データベースユーザ登録情報を生成する利用者暗号化部1501と、生成した一次暗号化データベースユーザ登録情報を管理者鍵で暗号化して、二次暗号化データベースユーザ登録情報を生成する管理者暗号化部1502とを含んでいる。これらの要素で行う暗号化の方式として、2つの入力データ(データベースユーザ名とデータベースユーザパスワード)を連結させて、一体として暗号化してもよいし、2つの入力データ(データベースユーザ名とデータベースユーザパスワード)をそれぞれ別に暗号化して、得られた2つの出力データ(暗号化データベースユーザ名と暗号化データベースユーザパスワード)の組み合わせを暗号化データ(暗号化データベースユーザ登録情報)として扱ってもよい。
【0039】
また、これらの要素は、暗号化データを不正な鍵(暗号化時の鍵と異なる鍵)で復号しようとした場合には、不正を検出できる暗号化/復号ロジックを用いる。つまり、復号の際に暗号化時の利用者鍵と復号時の利用者鍵の一致の判定と、暗号化時の管理者鍵と復号時の管理者鍵の一致の判定とを可能とする暗号化を行う。例えば、暗号化処理のいずれかの段階で、暗号時の利用者鍵そのもの、あるいは暗号時の利用者鍵を一意に表すデータを含めて暗号処理する。そして、復号の際に、暗号時の利用者鍵あるいは一意のデータを抽出し、復号時の利用者鍵あるいは復号時の利用者鍵を一意に表すデータと比較することにより、不正を検出することができる。また、不正な鍵による復号を行おうとすると、処理上の矛盾が生じるようなロジックであっても構わない。
【0040】
図16は、データベースユーザ登録情報暗号化処理フローを示す図である。まず、利用者暗号化部1501により、データベースユーザ名とデータベースユーザパスワードからなるデータベースユーザ登録情報を、利用者鍵を用いて暗号化し、一次暗号化データベースユーザ登録情報を得る(S1601)。次に、管理者暗号化部1502により、一次暗号化データベースユーザ登録情報を、更に管理者鍵で暗号化し、二次暗号化データベースユーザ登録情報を得る(S1602)。そして、二次暗号化データベースユーザ登録情報を、当該処理の出力データである暗号化データベースユーザ登録情報とする(S1603)。
【0041】
利用者鍵削除部808による利用者鍵削除処理(S908)を行う。この処理では、上述のデータベースユーザ登録情報暗号化処理で用いた当該利用者の利用者鍵をデータベース利用予定記憶部203から削除する。
そして、すべてのシステム利用者について処理した時点でループ制御を終了し(S909)、管理者鍵削除部809による管理者鍵削除処理(S910)を行う。この処理では、上述のデータベースユーザ登録情報暗号化処理(S907)で用いた管理者鍵を生成管理者鍵記憶部803から削除する。
【0042】
上述のようにして、利用者及び管理者による事前準備が完了する。
【0043】
続いて、実際に利用者がデータベースにアクセスする際の処理について説明する。本管理システムでは、データベース利用単位毎に、データベース装置1に対してクリエイトユーザを要求し、データベース利用単位内においてのみ有効とする別個のデータベースユーザ名とデータベースユーザパスワードをデータベース装置1に登録する。以下、データベースアクセス開始時の処理について説明する。
【0044】
図17は、データベースアクセス開始時の処理に係る管理サーバの構成を示す図である。管理サーバ2は、この処理の為に、更にアクセス開始要求受付部1701、利用者鍵記憶部1702、データベース利用予定判定部1703、アクセス承認依頼部1704、管理者鍵受信部1705、管理者鍵記憶部1706、データベースユーザ登録情報復号部1707、クリエイトユーザ要求部1708、及び一次復号データベースユーザ登録情報送信部1709の要素を有する。
【0045】
図18は、データベースアクセス開始時の処理フローを示す図である。まず、前述と同様に、システム利用者認証部201によるシステム利用者認証処理(S1801)を行う。
【0046】
利用者端末4では、認証成功の旨の通知を受けると、アクセス開始要求指示部(図示せず)により、利用者に利用者鍵の入力とアクセス開始要求の指示を促すアクセス開始要求指示画面を表示し、操作部を介して利用者鍵とアクセス開始要求の指示を受け付ける。このとき、利用者は、事前処理で取得したリストから現時点を含むデータベース利用単位を特定し、当該データベース利用単位に対応する利用者鍵を入力する。そして、利用者端末4は、受け付けた利用者鍵を含むアクセス開始要求を管理サーバ2に送信する。
【0047】
アクセス開始要求受付部1701によるアクセス開始要求受付処理(S1802)では、利用者端末4から上述の利用者鍵を含むアクセス開始要求を受信する。そして、システム利用者認証部201から取得したシステム利用者IDと対応付けて利用者鍵を利用者鍵記憶部1702に記憶させる。
【0048】
次に、データベース利用予定判定部1703によるデータベース利用予定判定処理(S1803)を行う。この処理では、データベース利用予定通りであるか否かを判定する。その為に、システム利用者認証部201からシステム利用者IDを取得し、当該システム利用者IDに対応するテーブルをデータベース利用予定記憶部203から特定する。そして、内部のカレンダー/タイマー部(図示せず)から当日付と現時刻を取得して、現時点が、そのテーブルのデータベース利用予定のいずれかのデータベース利用単位に含まれるかを判定する。データベース利用予定に該当する場合、つまり現時点がいずれかのデータベース利用単位に含まれる場合には、処理を継続する。一方、データベース利用予定に該当しない場合、つまり現時点がいずれのデータベース利用単位にも含まれない場合には、処理を中断し、終了する。
【0049】
次に、アクセス承認依頼部1704によるアクセス承認依頼処理(S1804)を行う。この処理では、管理者に、利用者が実際にデータベースにアクセスすることの承認を依頼する。その為に、アクセス承認依頼部1704は、システム利用者テーブル(図示せず)からシステム利用者IDに対応するシステム利用者氏名を取得し、システム利用者IDとシステム利用者氏名を含み、アクセス承認可否を入力可能なアクセス承認画面(図示せず)を生成し、管理者端末3に送信する。そして、管理者端末3からデータベース利用単位毎の承認可否を受信し、承認(承認可)の場合には、処理を続行し、否認(承認否)の場合には、中断し、処理を終了する。
【0050】
次に、管理者鍵受信部1705による管理者鍵受信処理(S1805)を行う。この処理では、事前処理で付与した管理者鍵の返信を求める。その為、管理者端末3へ管理者鍵の入力を促す管理者鍵入力画面(図示せず)を生成し、管理者端末3に送信する。
【0051】
管理者端末3は、管理者鍵入力画面を受信して、これを表示し、管理者鍵を受け付ける。このとき、管理者は、事前処理で取得したリストから現時点を含む管理単位を特定し、当該管理単位に対応する管理者鍵を入力する。そして、管理者端末3は、受け付けた管理者鍵を管理サーバ2に送信する。
【0052】
管理者鍵受信部1705は、管理サーバ2から管理者鍵を受信し、受信した管理者鍵を管理者鍵記憶部1706に記憶させる。
【0053】
次に、データベースユーザ登録情報復号部1707によるデータベースユーザ登録情報復号処理(S1806)を行う。この処理では、暗号化データベースユーザ登録情報を管理者鍵と利用者鍵で復号する。
【0054】
図19は、データベースユーザ登録情報復号部の構成を示す図である。暗号化データベースユーザ登録情報を管理者鍵で復号し、一次復号データベースユーザ登録情報を生成する管理者復号部1901と、生成した一次復号データベースユーザ登録情報を利用者鍵で復号し、二次復号データベースユーザ登録情報を生成する利用者復号部1902とを含んでいる。前述の暗号化の際に、2つの入力データ(データベースユーザ名とデータベースユーザパスワード)を連結させて、一体として暗号化している場合には、これらの復号部は、暗号化データを一体として復号する。また、2つの入力データ(データベースユーザ名とデータベースユーザパスワード)をそれぞれ別に暗号化して、得られた2つの出力データ(暗号化データベースユーザ名と暗号化データベースユーザパスワード)の組み合わせを暗号化データ(暗号化データベースユーザ登録情報)として扱っている場合には、暗号化データを2つに分けて、それぞれを復号する。
【0055】
これらの復号部は前述の通り、暗号化データを不正な鍵で復号しようとした場合には、不正を検出できる暗号化/復号ロジックを用いている。つまり、暗号化時の利用者鍵と復号時の利用者鍵が一致するかの判定と、暗号化時の管理者鍵と復号時の管理者鍵が一致するかの判定とを行う復号ロジックにより復号する。
【0056】
図20は、データベースユーザ登録情報復号処理フローを示す図である。管理者鍵記憶部1706から管理者鍵を読み出し、データベース利用予定記憶部203の当該システム利用者IDのテーブルから、現時点を含むデータベース利用単位に対応する暗号化データベースユーザ登録情報を読み出し、暗号化データベースユーザ登録情報を管理者鍵で復号し、一次復号データベースユーザ登録情報を得る(S2001)。このとき、復号に用いる管理者鍵が当該暗号化データベースを生成した際の管理者鍵と一致していない場合には、当該復号処理で不正を検出し、ステータスを失敗として終了する。一方、復号に用いる管理者鍵が当該暗号化データベースを生成した際の管理者鍵と一致している場合には、当該復号処理で正当を検出し、ステータスを成功として処理を続行する。次に、一次復号データベースユーザ登録情報を、更に利用者鍵で復号し、二次復号データベースユーザ登録情報を得る(S2002)。このとき、復号に用いる利用者鍵が当該暗号化データベースを生成した際の利用者鍵と一致していない場合には、当該復号処理で不正を検出し、ステータスを失敗として終了する。一方、復号に用いる利用者鍵が当該暗号化データベースを生成した際の利用者鍵と一致している場合には、当該復号処理で正当を検出し、ステータスを成功とする。最後に、二次復号データベースユーザ登録情報を、当該処理の出力データであるデータベースユーザ登録情報として、データベースユーザ名とデータベースユーザパスワードを特定する(S2003)。一体として復号した場合には、暗号化の際の連結方式に従って、復号結果をデータベースユーザ名とデータベースユーザパスワードに分割する。別々に復号した場合には、それぞれの復号結果をデータベースユーザ名とデータベースユーザパスワードとする。
【0057】
図18に示すように、データベースユーザ登録情報復号処理が成功すると、クリエイトユーザ要求部1708によるクリエイトユーザ要求処理(S1807)を行う。この処理では、データベース装置1に対してクリエイトユーザの命令を送信し、新たなユーザ登録(アカウント生成)を依頼する。クリエイトユーザ命令には、前述の処理で求めたデータベースユーザ名とデータベースユーザパスワードを含める。これにより、以降このデータベースユーザ名とデータベースユーザパスワードを用いて、データベース装置1にログインできるようになる。
【0058】
最後に、一次復号データベースユーザ登録情報送信部1709による一次復号データベースユーザ登録情報送信処理(S1808)を行う。この処理では、図20のS2001で得た一次復号データベースユーザ登録情報を利用者端末4に送信する。
【0059】
上述の処理が成功することにより、利用者端末4からデータベース装置1へのアクセスが可能になる。
【0060】
図21は、データアクセス時の処理に係る利用者端末の構成を示す図である。利用者端末4は、この処理の為に、一次復号データベースユーザ登録情報受信部2101、利用者鍵入力部2102、利用者復号部2103、データベースログイン要求部2104、データベースアクセス要求部2105、及びデータベースログアウト要求部2106の要素を有する。
【0061】
図22は、データアクセス時の利用者端末の処理フローを示す図である。まず、一次復号データベースユーザ登録情報受信部2101による一次復号データベースユーザ登録情報受信処理(S2201)を行う。この処理では、図18に示した一次復号データベースユーザ登録情報送信処理(S1808)により送出された一次復号データベースユーザ登録情報を受信する。
【0062】
次に、利用者鍵入力部2102による利用者鍵入力処理(S2202)を行う。この処理では、利用者に利用者鍵の入力を促し、利用者鍵を受け付ける。このときも、利用者は、現時点を含むデータベース利用単位に対応する利用者鍵を入力させる。改めて入力せずに、前述の処理でアクセス開始要求指示画面に対して入力した利用者鍵を用いてもよい。
【0063】
次に、利用者復号部2103による利用者復号処理(S2203)を行う。この処理では、一次復号データベースユーザ登録情報を、利用者鍵で復号し、二次復号データベースユーザ登録情報を得る。このとき、復号に用いる利用者鍵が当該暗号化データベースを生成した際の利用者鍵と一致していない場合には、当該復号処理で不正を検出し、ステータスを失敗として終了する。一方、復号に用いる利用者鍵が当該暗号化データベースを生成した際の利用者鍵と一致している場合には、当該復号処理で正当を検出し、ステータスを成功とする。そして、二次復号データベースユーザ登録情報を、当該処理の出力データあるデータベースユーザ登録情報として、データベースユーザ名とデータベースユーザパスワードを特定する。一体として復号した場合には、暗号化の際の連結方式に従って、復号結果をデータベースユーザ名とデータベースユーザパスワードに分割する。別々に復号した場合には、それぞれの復号結果をデータベースユーザ名とデータベースユーザパスワードとする。
【0064】
そして、データベースログイン要求部2104によるデータベースログイン処理(S2204)を行う。この処理では、データベースユーザ名とデータベースユーザパスワードを渡して、データベース装置1にログインする。
【0065】
続いて、データベースアクセス要求部2105によるデータベースアクセス処理(S2205)を行う。この処理では、例えばデータベース装置1のデータを取得し、あるいはデータを書き込むことができる。
【0066】
データベース装置1へのアクセスを終える場合に、データベースログアウト要求部2106によるデータベースログアウト処理(S2206)を行う。ログアウト命令を送信して、終了する。
【0067】
データベース利用単位内でのデータベースへのデータアクセスを終えると、利用者は、データベース装置1に登録したユーザ(アカウント)を削除するための操作を行う。
【0068】
図23は、利用者端末からのデータアクセス終了時の処理に係る管理サーバの構成を示す図である。管理サーバ2は、この処理の為に、更にアクセス終了通知受付部2301、及びドロップユーザ要求部2302の要素を有する。
【0069】
図24は、利用者端末からのデータアクセス終了時の処理フローを示す図である。アクセス終了通知受付部2301によるアクセス終了通知受付処理(S2401)で、利用者端末4からアクセス終了通知(利用者鍵を含むこともある)を受信する。次に、データベースユーザ登録情報復号部1707によるデータベースユーザ登録情報復号処理(S2402)を行う。この処理では、システム利用者IDに対応する暗号化データベースユーザ登録情報をデータベース利用予定記憶部203から読み出し、管理者鍵記憶部1706に記憶している管理者鍵と、アクセス終了通知受付部2301でアクセス終了通知と併せて受信した利用者鍵を用いて、暗号化データベースユーザ登録情報を復号する。アクセス終了通知受付部2301で利用者鍵を受信する代わりに、利用者鍵記憶部1702でシステム利用者IDに対応付けて記憶している利用者鍵を読み出して用いてもよい。
【0070】
データベースユーザ登録情報復号部1707の処理は、前述と同様である。この例によらず、S2402を省略し、前述のデータベースユーザ登録情報復号部1707の処理(図18のS1806)で得た復号結果を用いてもよい。
【0071】
そして、ドロップユーザ要求部2302によるドロップユーザ要求処理(S2403)を行う。この処理により、データベース装置1に対して、データベースユーザ登録情報復号部1707の復号処理で得たデータベースユーザ名とデータベースユーザパスワードを含むドロップユーザ命令を送信する。これにより、データベース装置1のユーザ登録(アカウント)が削除される。
【0072】
実施の形態2.
前述の処理では、利用者自身がデータベース利用単位内でのデータベース装置1へのアクセスの終了を意識して自らデータアクセス終了時の処理を指示したが、データベース利用単位の利用終了予定日時を経過した時点で、管理サーバ2が自動的にユーザ登録(アカウント)を削除するようにすることもできる。
【0073】
図25は、データベース利用予定オーバー時の処理に係る管理サーバの構成を示す図である。管理サーバ2は、この処理の為に、更にデータベース利用予定終了判定部2501を有する。
【0074】
図26は、データベース利用予定オーバー時の処理フローを示す図である。まず、データベース利用予定終了判定部2501によるデータベース利用予定終了判定処理(S2601)を行う。この処理では、システム利用者IDに対応するデータベース利用単位をデータベース利用予定記憶部203から取得し、その終了時点を経過したか判定する。経過した場合には、データベースユーザ登録情報復号部1707によるデータベースユーザ登録情報復号処理(S2602)を行う。この処理では、システム利用者IDと当該データベース利用単位に対応する暗号化データベースユーザ登録情報をデータベース利用予定記憶部203から読み出し、管理者鍵記憶部1706に記憶している管理者鍵と、利用者鍵記憶部1702でシステム利用者IDに対応付けて記憶している利用者鍵を用いて、暗号化データベースユーザ登録情報を復号する。データベースユーザ登録情報復号部1707の処理は、前述と同様である。この例によらず、S2602を省略し、前述のデータベースユーザ登録情報復号部1707の処理(図18のS1806)で得た復号結果を用いてもよい。
【0075】
続いて、ドロップユーザ要求部2302によるドロップユーザ要求処理(S2603)を行う。この処理により、データベース装置1に対して、データベースユーザ登録情報復号部1707の復号処理で得たデータベースユーザ名とデータベースユーザパスワードを含むドロップユーザ命令を送信する。これにより、データベース装置1のユーザ登録(アカウント)が削除される。
【0076】
データベース装置1、管理サーバ2、管理者端末3、及び利用者端末4は、コンピュータであり、各要素はプログラムにより処理を実行することができる。また、プログラムを記憶媒体に記憶させ、記憶媒体からコンピュータに読み取られるようにすることができる。
【0077】
図27は、データベース装置1、管理サーバ2、管理者端末3、及び利用者端末4のハードウェア構成例を示す図である。バスに、演算装置2701、データ記憶装置2702、メモリ2703、通信インターフェース2704が接続されている。データ記憶装置2702は、例えばROM(Read Only Memory)やハードディスクである。メモリ2703は、通常RAM(Random Access Memory)である。
【0078】
プログラムは、通常データ記憶装置2702に記憶されており、メモリ2703にロードされた状態で、順次演算装置2701に読み込まれ処理を行う。通信インターフェース2704は、ローカルエリアネットワークを介する通信に用いられる。
【0079】
本発明によれば、データベース登録情報は外部には知らされず、利用者及び管理者は、データベース登録情報を知り得ないので、直接データベース装置にアクセスすることはできない。また、管理者鍵と利用者鍵が揃わなければ、データベース装置にユーザ登録されないので、利用者鍵を知りえる者(利用鍵を盗んだ他人あるいは悪意のある当人)のみでは、データベース装置へアクセスすることができない。つまり、仮にデータベース装置に対する不正アクセスが発覚した場合には、利用者及び管理者の共犯関係が推測される。
【0080】
また、鍵が適正な場合に、一次復号データベース登録情報を利用者端末に送信し、利用者端末側でこれを利用者鍵を用いて復号することにより、データベース登録情報を得ることができるので、唯一その利用者端末からのデータベース装置へのログインが可能となる。
【0081】
データベース利用予定を越えた場合には、強制的にユーザ登録を削除するので、予定時間外の不正なアクセスを防止できる。また、利用者や管理者の退職後に、これらの者のユーザ登録情報が放置される事態は生じ得ない。
【0082】
管理者が承認したデータベース利用予定以外のアクセス開始要求は、自動的に拒否するので、予定時間外の不正なアクセスを防止できる。
【0083】
データベース利用予定を複数のデータベース利用単位に分割し、それぞれに異なるデータベースユーザ登録情報と利用者鍵を用いるので、データベース利用単位の都度、新たなガードが設けられことになる。つまり、秘密を守るキーとなる情報が動的に更新されることにより、常に安全性が担保される。
【0084】
データベースユーザ登録情報が生成され、用いられるには、以下の条件を満たすことが必要になる。
(1)その利用者の利用予定が登録されていること
(2)利用予定が管理者により承認されていること
(3)利用が、その利用者の利用予定内のものであること
(4)利用者の利用開始要求が利用予定内になされていること
(5)利用者によるアクセス終了通知がなされていないこと
(6)管理サーバによる強制終了がなされていないこと
【符号の説明】
【0085】
1 データベース装置、2 管理サーバ、3 管理者端末、4 利用者端末、201 システム利用者認証部、202 データベース利用予定入力部、203 データベース利用予定記憶部、204 利用者鍵生成部、205 利用者鍵送信部、801 システム管理者認証部、802 管理者鍵生成部、803 生成管理者鍵記憶部、804 管理者鍵送信部、805 データベース利用予定承認依頼部、806 データベースユーザ登録情報生成部、807 データベースユーザ登録情報暗号化部、808 利用者鍵削除部、809 管理者鍵削除部、1501 利用者暗号化部、1502 管理者暗号化部、1701 アクセス開始要求受付部、1702 利用者鍵記憶部、1703 データベース利用予定判定部、1704 アクセス承認依頼部、1705 管理者鍵受信部、1706 管理者鍵記憶部、1707 データベースユーザ登録情報復号部、1708 クリエイトユーザ要求部、1709 一次復号データベースユーザ登録情報送信部、1901 管理者復号部、1902 利用者復号部、2101 一次復号データベースユーザ登録情報受信部、2102 利用者鍵入力部、2103 利用者復号部、2104 データベースログイン要求部、2105 データベースアクセス要求部、2106 データベースログアウト要求部、2301 アクセス終了通知受付部、2302 ドロップユーザ要求部、2501 データベース利用予定終了判定部。
【技術分野】
【0001】
本発明は、データベース装置へのアクセスを管理する管理サーバに係り、秘密情報の漏洩に係る不正アクセスを防止する技術に関する。
【背景技術】
【0002】
近年、個人情報等の秘密情報の漏洩が社会的に問題となっている。従来のセキュリティシステムは、アクセス権限を有する利用者以外の他人による不正アクセスを防止することを主眼としていた。
【0003】
しかし、実際にはアクセス権限を有する利用者自身による悪意の流出も多く見られる。企業責任をとして、これのような事態を未然に防ぐ必要がある
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平5−150852号公報
【特許文献2】特開2002−196965号公報
【特許文献3】特開平11−212919号公報
【特許文献4】特開2001−236259号公報
【特許文献5】特開昭61−97756号公報
【特許文献6】国際公開第01/82086号
【発明の概要】
【発明が解決しようとする課題】
【0005】
そこで、本発明は、このような問題を解決し、秘密情報の漏洩に係る不正アクセスを防止することを主な目的とする。
【課題を解決するための手段】
【0006】
本発明に係る管理サーバは、
ユーザ登録された利用者に対してデータを提供するデータベース装置と、データベース装置を利用する利用者が操作する利用者端末と、利用者によるデータベース装置の利用を管理する管理者が操作する管理者端末とに接続する管理サーバであって、以下の要素を有することを特徴とする
(1)利用者がデータベース装置を利用する事前処理として、利用者固有の利用者鍵を生成する利用者鍵生成部
(2)利用者がデータベース装置を利用する事前処理として、生成した利用者鍵を利用者端末に送信する利用者鍵送信部
(3)利用者がデータベース装置を利用する事前処理として、管理者固有の管理者鍵を生成する管理者鍵生成部
(4)利用者がデータベース装置を利用する事前処理として、生成した管理者鍵を管理者端末に送信する管理者鍵送信部
(5)利用者がデータベース装置を利用する事前処理として、データベース装置に新たにユーザ登録するためのデータベースユーザ登録情報を生成するデータベースユーザ登録情報生成部
(6)利用者がデータベース装置を利用する事前処理として、生成したデータベースユーザ登録情報を、生成した利用者鍵と生成した管理者鍵とを用いて、復号の際に暗号化時の利用者鍵と復号時の利用者鍵の一致の判定と、暗号化時の管理者鍵と復号時の管理者鍵の一致の判定とを可能とする暗号化ロジックで暗号化して、暗号結果として暗号化データベースユーザ登録情報を生成するデータベースユーザ登録情報暗号化部
(7)暗号結果として生成した暗号化データベースユーザ登録情報を記憶する暗号化データベースユーザ登録情報記憶部
(8)利用者がデータベース装置を利用する際に、利用者端末から、当該利用者端末からデータベース装置へのアクセスを開始する要求を、利用者鍵と併せて受信するアクセス開始要求受付部
(9)利用者がデータベース装置を利用する際に、管理者端末から管理者鍵を受信する管理者鍵受信部
(10)利用者がデータベース装置を利用する際に、暗号化データベースユーザ登録情報記憶部で記憶している暗号化データベースユーザ登録情報を、前記要求と併せて受信した利用者鍵と前記受信した管理者鍵とを用いて、暗号化時の利用者鍵と復号時の利用者鍵が一致するかの判定と、暗号化時の管理者鍵と復号時の管理者鍵が一致するかの判定とを行う復号ロジックにより復号し、いずれも一致した場合に復号結果としてデータベースユーザ登録情報を得るデータベースユーザ登録情報復号部
(11)利用者がデータベース装置を利用する際に、データベース装置に対して、復号結果として得たデータベースユーザ登録情報を含む、新たなユーザ登録を求めるクリエイトユーザ命令を送信するクリエイトユーザ要求部。
【0007】
データベースユーザ登録情報復号部は、暗号化データベースユーザ登録情報を前記受信した管理者鍵を用いて復号し、復号結果として一次復号データベースユーザ登録情報を得て、
管理サーバは、更に、復号結果として得た一次復号データベースユーザ登録情報を利用者端末に送信する一次復号データベースユーザ登録情報送信部を有することを特徴とする。
【0008】
管理サーバは、更に、以下の要素を有することを特徴とする
(12)利用者がデータベース装置を利用するデータベース利用予定を記憶するデータベース利用予定記憶部
(13)利用者がデータベース装置を利用している際に、当該利用者のデータベース利用予定の利用終了予定日時を経過したことを判定するデータベース利用予定終了判定部
(14)利用終了予定日時を経過した場合に、データベース装置に対して、当該データベース利用予定に係るユーザ登録の削除を求めるドロップユーザ命令を送信するドロップユーザ要求部。
【0009】
管理サーバは、更に、以下の要素を有することを特徴とする
(15)利用者がデータベース装置を利用する事前処理として、利用者端末から、利用者がデータベース装置を利用するデータベース利用予定を受信するデータベース利用予定入力部
(16)受信したデータベース利用予定を記憶するデータベース利用予定記憶部
(17)利用者がデータベース装置を利用する事前処理として、データベース利用予定記憶部に記憶しているデータベース利用予定に対する承認の依頼を管理者端末に送信し、管理者端末から承認結果を受信し、データベース利用予定記憶部に記憶しているデータベース利用予定を承認されたものと判別できるようにするデータベース利用予定承認依頼部
(18)利用者がデータベース装置を利用する際に、承認されたデータベース利用予定内であるかを判定するデータベース利用判定部。
【0010】
管理サーバは、更に、利用者がデータベース装置を利用するデータベース利用予定を、複数のデータベース利用単位に分けて記憶するデータベース利用予定記憶部を有し、
前記利用者鍵生成部は、データ利用単位毎に別個の利用者鍵を生成し、
前記データベースユーザ登録情報生成部は、データベース利用単位毎に別個のデータベースユーザ登録情報を生成し、
前記データベースユーザ登録情報暗号化部は、データベース利用単位毎に、前記生成した管理者鍵とともに当該別個の利用者鍵を用い、当該別個のデータベースユーザ登録情報を暗号化し、
当該データベース利用予定記憶部は、暗号化データベースユーザ登録情報記憶部として、暗号結果として生成した暗号化データベースユーザ登録情報をデータベース利用単位毎に記憶し、
前記データベースユーザ登録情報復号部は、現時点を含むデータ利用単位に対応する暗号化データベースユーザ登録情報を復号することを特徴とする。
【0011】
本発明に係るプログラムは、
ユーザ登録された利用者に対してデータを提供するデータベース装置と、データベース装置を利用する利用者が操作する利用者端末と、利用者によるデータベース装置の利用を管理する管理者が操作する管理者端末とに接続する管理サーバとなるコンピュータに、以下の手順を実行させるためのプログラムであることを特徴とする
(1)利用者がデータベース装置を利用する事前処理として、利用者固有の利用者鍵を生成する利用者鍵生成処理手順
(2)利用者がデータベース装置を利用する事前処理として、生成した利用者鍵を利用者端末に送信する利用者鍵送信処理手順
(3)利用者がデータベース装置を利用する事前処理として、管理者固有の管理者鍵を生成する管理者鍵生成処理手順
(4)利用者がデータベース装置を利用する事前処理として、生成した管理者鍵を管理者端末に送信する管理者鍵送信処理手順
(5)利用者がデータベース装置を利用する事前処理として、データベース装置に新たにユーザ登録するためのデータベースユーザ登録情報を生成するデータベースユーザ登録情報生成処理手順
(6)利用者がデータベース装置を利用する事前処理として、生成したデータベースユーザ登録情報を、生成した利用者鍵と生成した管理者鍵とを用いて、復号の際に暗号化時の利用者鍵と復号時の利用者鍵の一致の判定と、暗号化時の管理者鍵と復号時の管理者鍵の一致の判定とを可能とする暗号化ロジックで暗号化して、暗号結果として暗号化データベースユーザ登録情報を生成し、記憶するデータベースユーザ登録情報暗号化処理手順
(7)利用者がデータベース装置を利用する際に、利用者端末から、当該利用者端末からデータベース装置へのアクセスを開始する要求を、利用者鍵と併せて受信するアクセス開始要求受付処理手順
(8)利用者がデータベース装置を利用する際に、管理者端末から管理者鍵を受信する管理者鍵受信処理手順
(9)利用者がデータベース装置を利用する際に、データベースユーザ登録情報暗号化処理手順で記憶した暗号化データベースユーザ登録情報を、前記要求と併せて受信した利用者鍵と前記受信した管理者鍵とを用いて、暗号化時の利用者鍵と復号時の利用者鍵が一致するかの判定と、暗号化時の管理者鍵と復号時の管理者鍵が一致するかの判定とを行う復号ロジックにより復号し、いずれも一致した場合に復号結果としてデータベースユーザ登録情報を得るデータベースユーザ登録情報復号処理手順
(10)利用者がデータベース装置を利用する際に、データベース装置に対して、復号結果として得たデータベースユーザ登録情報を含む、新たなユーザ登録を求めるクリエイトユーザ命令を送信するクリエイトユーザ要求処理手順。
【発明の効果】
【0012】
本発明によれば、事前処理として利用者鍵と管理者鍵を生成し、それぞれ利用者端末と管理者端末に送信し、これらの鍵を用いた暗号化により暗号化データベースユーザ登録情報を生成しておき、実際のデータベースへのアクセスの際に、それぞれ利用者端末と管理者端末から受信した利用者鍵と管理者鍵を用いて、暗号化データベースユーザ登録情報を復号し、いずれも不正な鍵でない場合にデータベース装置に新たなユーザ登録を求めるので、利用者の成り済まし、あるいは利用者自身の悪意による不正なアクセスを防止できる。データベース利用予定を用いた安全機構を有するので、不測のアクセスも排除できる。
【図面の簡単な説明】
【0013】
【図1】ネットワーク環境を示す図である。
【図2】利用者による事前処理に係る管理サーバの構成を示す図である。
【図3】利用者による事前処理フローを示す図である。
【図4】データベース利用予定入力画面を示す図である。
【図5】利用者鍵生成処理フローを示す図である。
【図6】データベース利用予定記憶部の構成を示す図である。
【図7】データベース利用単位と利用者鍵のテーブルの例を示す図である。
【図8】管理者による事前処理に係る管理サーバの構成を示す図である。
【図9】管理者による事前処理フローを示す図である。
【図10】管理者鍵生成処理フローを示す図である。
【図11】管理単位と管理者鍵のテーブルの例を示す図である。
【図12】データベース利用予定承認依頼処理フローを示す図である。
【図13】データベース利用予定承認画面を示す図である。
【図14】データベースユーザ登録情報生成処理フローを示す図である。
【図15】データベースユーザ登録情報暗号化部の構成を示す図である。
【図16】データベースユーザ登録情報暗号化処理フローを示す図である。
【図17】データベースアクセス開始時の処理に係る管理サーバの構成を示す図である。
【図18】データベースアクセス開始時の処理フローを示す図である。
【図19】データベースユーザ登録情報復号部の構成を示す図である。
【図20】データベースユーザ登録情報復号処理フローを示す図である。
【図21】データアクセス時の処理に係る利用者端末の構成を示す図である。
【図22】データアクセス時の利用者端末の処理フローを示す図である。
【図23】利用者端末からのデータアクセス終了時の処理に係る管理サーバの構成を示す図である。
【図24】利用者端末からのデータアクセス終了時の処理フローを示す図である。
【図25】データベース利用予定オーバー時の処理に係る管理サーバの構成を示す図である。
【図26】データベース利用予定オーバー時の処理フローを示す図である。
【図27】各装置のハードウェア構成を示す図である。
【発明を実施するための形態】
【0014】
実施の形態1.
データベースの操作に関する一定の知識を有する者が、データベースへアクセスするためのユーザ情報(以下の例では、データベースユーザ名、データベースユーザパスワード)を知っていれば、業務用アプリケーションを利用しなくても、当該ユーザ情報を用いて直接データベースにアクセスし、秘密の情報を盗み出すことができることに鑑み、本発明は、その改善策としてユーザ情報を動的に変更する。
【0015】
図1は、ネットワーク環境を示す図である。ローカルエリアネットワーク(ネットワークの例)には、データベース装置1、管理サーバ2、管理者端末3、及び利用者端末4が接続されている。データベース装置1には、個人情報等の秘匿情報を含む情報群を管理している。利用者は、担当業務など本来の適正な目的においてデータベース装置1から情報を引き出し、または情報を格納させるために、利用者端末4を操作して、データベース装置1にアクセスする。管理サーバ2は、利用者端末4からデータベース装置1への不正なアクセスを防止し、適正なアクセスのみを実行させるように管理を行う。
【0016】
本管理システムでは、まず利用者端末4を操作する利用者による事前処理と、管理者端末3を操作する管理者による事前処理を行う必要がある。例えば月末に、利用者が翌月のデータベース装置1の利用予定を申請し、管理者が各利用者毎に翌月分の申請を当月内に承認する作業に相当する。
【0017】
まず、利用者による事前処理について説明する。図2は、利用者による事前処理に係る管理サーバの構成を示す図である。管理サーバ2は、この処理の為に、システム利用者認証部201、データベース利用予定入力部202、データベース利用予定記憶部203、利用者鍵生成部204、及び利用者鍵送信部205の要素を有している。
【0018】
図3は、利用者による事前処理フローを示す図である。利用者認証処理(S301)では、通常のシステム同様に、利用者が本管理システムを用いる権限を有しているかをチェックする。
【0019】
利用者端末4は、本管理システムの適正な利用者として認証を受ける為のシステム利用者IDとシステム利用者パスワードの入力を利用者に促すシステム利用者認証情報入力画面を表示し、操作部を介してシステム利用者IDとシステム利用者パスワードを受付ける。そして、受け付けたシステム利用者IDとシステム利用者パスワードを管理サーバ2に送信する。システム利用者認証部201による利用者認証処理(S301)では、利用者端末4からシステム利用者IDとシステム利用者パスワードを受信し、予め登録してあるシステム利用者IDとシステム利用者パスワードの組み合わせのいずれかと一致するか判断する。一致する場合には、認証成功の旨を利用者端末4に返信し、処理の続行を許可する。不一致の場合には、認証失敗の旨を利用者端末4に返信し、処理を中断させる。尚、ここで用いるシステム利用者認証情報、つまりシステム利用者IDとシステム利用者パスワードは、後述するデータベースで管理するデータベースユーザ登録情報とは関連の無いものである。
【0020】
利用者端末4では、認証成功の旨の通知を受けると、データベース利用予定設定部(図示せず)により、利用者にデータベース利用予定の入力を促すデータベース利用予定設定画面を表示し、データベース利用予定を受付ける。そして、受け付けたデータベース利用予定を管理サーバ2に送信する。
【0021】
図4は、データベース利用予定入力画面を示す図である。この画面では、利用者が業務のためにデータベースにアクセスする時間帯、つまり利用開始予定日時と利用終了予定日時(データベース利用単位という。)を指定するように構成されている。これらの日付と時間帯のリストをデータベース利用予定として扱う。データベース利用予定として、就業予定を用いることも考えられる。就業中に、常にデータベースを用いる業務形態の場合には、就業予定を直接データベース利用予定とすることが合理的である。
【0022】
データベース利用予定入力部202によるデータベース利用予定入力処理(S302)では、利用者端末4から上述のデータベース利用予定を受信し、データベース利用予定記憶部203に記憶させる。
【0023】
次に、利用者鍵生成部204による利用者鍵生成処理(S303)を行う。図5は、利用者鍵生成処理フローを示す図である。データベース利用予定に含まれるデータベース利用単位毎に以下の処理を繰り返す(S501)。例えば乱数により、無作為に選択した文字あるいは数字からなる数字・文字列を生成する(S502)。そして、生成した文字・数字列を、利用者鍵として、当該データベース利用単位と対応付けてデータベース利用予定記憶部203に記憶させる(S503)。これらの処理を、すべてのデータベース利用単位について終えた時点で終了する(S504)。つまり、データベース利用単位毎に、個別の無作為な利用者鍵を生成する。
【0024】
ここで、データベース利用予定記憶部について説明する。図6は、データベース利用予定記憶部の構成を示す図である。システム利用者毎にテーブルを有している。このテーブルのヘッダには、当該システム利用者のIDが格納され、データベース利用単位毎のレコードを有している。レコードには、データベース利用単位603の他に、承認602、利用者鍵604、暗号化データベースユーザ名605、暗号化データベースユーザパスワード606の項目を有しているが、利用者鍵生成の時点では、まだ承認602、暗号化データベースユーザ名605、及び暗号化データベースユーザパスワード606の項目の領域は用いていない。承認602には、後に管理者が行う承認の結果が格納される。暗号化データベースユーザ名605と暗号化データベースユーザパスワード606の組み合わせは、後述する暗号化データベースユーザ登録情報の例である。データベースユーザ名とデータベースユーザパスワードを一体として暗号化する場合には、605と606の区別なく、一体として暗号化された暗号化データベースユーザ登録情報が格納される。
【0025】
そして、図3に示すように利用者鍵送信部205による利用者鍵送信処理(S304)を行う。この処理では、データベース利用単位毎に対応する利用者鍵を利用者端末4に返信する。この例では、これらをテーブルの形式で転送する。図7は、データベース利用単位と利用者鍵のテーブルの例を示す図である。図に示すように、各データベース利用単位に対応する利用者鍵が格納されている。利用者は、このようにして受信した利用者鍵について、守秘義務を負い、他人に知られないように管理する。利用者鍵は、後に、利用者が予定に従ってデータベース装置1にアクセスする際に必要になる。
【0026】
次に、管理者による事前処理について説明する。図8は、管理者による事前処理に係る管理サーバの構成を示す図である。管理サーバ2は、この処理の為に、更にシステム管理者認証部801、管理者鍵生成部802、生成管理者鍵記憶部803、管理者鍵送信部804、データベース利用予定承認依頼部805、データベースユーザ登録情報生成部806、データベースユーザ登録情報暗号化部807、利用者鍵削除部808、及び管理者鍵削除部809の要素を有している。
【0027】
図9は、管理者による事前処理フローを示す図である。システム管理者認証処理(S901)では、管理者として本管理システムを用いる権限を有しているかをチェックする。
【0028】
管理者端末3は、本管理システムの適正な管理者として認証を受ける為のシステム管理者IDとシステム管理者パスワードの入力を促すシステム管理者認証情報入力画面を表示し、システム管理者IDとシステム管理者パスワードを受付ける。そして、受け付けたシステム管理者IDとシステム管理者パスワードを管理サーバ2に送信する。システム管理者認証部801によるシステム管理者認証処理(S901)では、管理者端末3からシステム管理者IDとシステム管理者パスワードを受信し、予め登録してあるシステム管理者IDとシステム管理者パスワードと一致するか判断する。一致する場合には、認証成功の旨を管理者端末3に返信し、処理の続行を許可する。不一致の場合には、認証失敗の旨を管理者端末3に返信し、処理を中断させる。尚、ここで用いるシステム管理者認証情報、つまりシステム管理者IDとシステム管理者パスワードは、後述するデータベースで管理するデータベースユーザ登録情報とは関連の無いものである。
【0029】
システム管理者の認証に成功すると、管理者鍵生成部802による管理者鍵生成処理(S902)を行う。
【0030】
図10は、管理者鍵生成処理フローを示す図である。管理者鍵の有効期間(例えば、日付と時間で特定し、あるいは日、週、月単位で特定する。)である管理単位毎に以下の処理を繰り返す(S1001)。乱数により、無作為に選択した文字あるいは数字からなる数字・文字列を生成し(S1002)、生成した文字・数字列を、管理者鍵として、当該管理単位と対応付けて記憶させる(S1003)。そして、すべての管理単位について処理時点で終了する(S1004)。つまり、データベース利用単位毎に、個別の無作為な利用者鍵を生成する。
【0031】
管理者鍵送信部804による管理者鍵送信処理(S903)で、生成した管理者鍵を管理単位に対応付けて管理サーバ2に返信する。この例では、これらをテーブルの形式で転送する。図11は、管理単位と管理者鍵のテーブルの例を示す図である。図に示すように、日付と時間で特定された各管理単位に対応する管理者鍵が格納されている。管理者は、このようにして受信した管理者鍵について、守秘義務を負い、他人に知られないように管理する。管理者鍵は、管理者が自ら承認した予定に従って利用者が実際にデータベース装置1へアクセスする際に、そのアクセスを承認するために用いられる。
【0032】
そして、図9に示すようにシステム利用者毎にS905〜S908の処理を繰り返す(S904)。
【0033】
データベース利用予定承認依頼部805によるデータベース利用予定承認依頼処理(S905)を行う。この処理では、管理者に、各利用者が申請したデータベース利用予定の承認を登録させる。図12は、データベース利用予定承認依頼処理フローを示す図である。まず、システム利用者IDに対応するシステム利用者氏名を取得する(S1201)。システム利用者氏名は、システム利用者テーブル(図示せず)に予めシステム利用者IDに対応付けて記憶されている。また、データベース利用予定記憶部203からシステム利用者IDに対応するデータベース利用予定を取得する(S1202)。そして、システム利用者IDとシステム利用者氏名とデータベース利用予定を含み、データベース利用単位毎の承認可否を入力可能なデータベース利用予定承認画面を生成する(S1203)。
【0034】
図13は、データベース利用予定承認画面を示す図である。この例では、承認ボックスをチェックすることにより、承認(承認可)を指示するように構成されている。チェックしない場合には、否認(承認否)を指示することになる。
【0035】
データベース利用予定承認依頼部805から、このデータベース利用予定承認画面を管理者端末3へ送信し(S1204)、管理者端末3からデータベース利用単位毎の承認可否を受信し、データベース利用単位に対応付けて承認可否(承認結果)をデータベース利用予定記憶部に記憶させる(S1205)。この例に拠らず、承認否のデータベース利用単位を削除し、承認可のデータベース利用単位のみを残すことによって、データベース利用予定記憶部に記憶しているデータベース利用予定を承認されたものと判別できるようにしてもよい。
【0036】
次に、図9に示すようにデータベースユーザ登録情報生成部806によるデータベースユーザ登録情報生成処理(S906)を行う。この処理で、データベースユーザ名とデータベースユーザパスワードからなるデータベースユーザ登録情報を生成する。データベースユーザ登録情報は、データベース装置にアクセスする為に必要な情報である。図14は、データベースユーザ登録情報生成処理フローを示す図である。乱数により、無作為に選択した文字あるいは数字からなる数字・文字列を生成し(S1401)、生成した文字・数字列を、データベースユーザ名とする(S1402)。また、乱数により、無作為に選択した文字あるいは数字からなる数字・文字列を生成し(S1403)、生成した文字・数字列を、データベースユーザパスワードとする(S1404)。
【0037】
次に、図9に示すようにデータベースユーザ登録情報暗号化部807によるデータベースユーザ登録情報暗号化処理(S907)を行う。この処理では、データベースユーザ登録情報を利用者鍵と管理者鍵で暗号化する。
【0038】
図15は、データベースユーザ登録情報暗号化部の構成を示す図である。データベースユーザ登録情報を利用者鍵で暗号化して、一次暗号化データベースユーザ登録情報を生成する利用者暗号化部1501と、生成した一次暗号化データベースユーザ登録情報を管理者鍵で暗号化して、二次暗号化データベースユーザ登録情報を生成する管理者暗号化部1502とを含んでいる。これらの要素で行う暗号化の方式として、2つの入力データ(データベースユーザ名とデータベースユーザパスワード)を連結させて、一体として暗号化してもよいし、2つの入力データ(データベースユーザ名とデータベースユーザパスワード)をそれぞれ別に暗号化して、得られた2つの出力データ(暗号化データベースユーザ名と暗号化データベースユーザパスワード)の組み合わせを暗号化データ(暗号化データベースユーザ登録情報)として扱ってもよい。
【0039】
また、これらの要素は、暗号化データを不正な鍵(暗号化時の鍵と異なる鍵)で復号しようとした場合には、不正を検出できる暗号化/復号ロジックを用いる。つまり、復号の際に暗号化時の利用者鍵と復号時の利用者鍵の一致の判定と、暗号化時の管理者鍵と復号時の管理者鍵の一致の判定とを可能とする暗号化を行う。例えば、暗号化処理のいずれかの段階で、暗号時の利用者鍵そのもの、あるいは暗号時の利用者鍵を一意に表すデータを含めて暗号処理する。そして、復号の際に、暗号時の利用者鍵あるいは一意のデータを抽出し、復号時の利用者鍵あるいは復号時の利用者鍵を一意に表すデータと比較することにより、不正を検出することができる。また、不正な鍵による復号を行おうとすると、処理上の矛盾が生じるようなロジックであっても構わない。
【0040】
図16は、データベースユーザ登録情報暗号化処理フローを示す図である。まず、利用者暗号化部1501により、データベースユーザ名とデータベースユーザパスワードからなるデータベースユーザ登録情報を、利用者鍵を用いて暗号化し、一次暗号化データベースユーザ登録情報を得る(S1601)。次に、管理者暗号化部1502により、一次暗号化データベースユーザ登録情報を、更に管理者鍵で暗号化し、二次暗号化データベースユーザ登録情報を得る(S1602)。そして、二次暗号化データベースユーザ登録情報を、当該処理の出力データである暗号化データベースユーザ登録情報とする(S1603)。
【0041】
利用者鍵削除部808による利用者鍵削除処理(S908)を行う。この処理では、上述のデータベースユーザ登録情報暗号化処理で用いた当該利用者の利用者鍵をデータベース利用予定記憶部203から削除する。
そして、すべてのシステム利用者について処理した時点でループ制御を終了し(S909)、管理者鍵削除部809による管理者鍵削除処理(S910)を行う。この処理では、上述のデータベースユーザ登録情報暗号化処理(S907)で用いた管理者鍵を生成管理者鍵記憶部803から削除する。
【0042】
上述のようにして、利用者及び管理者による事前準備が完了する。
【0043】
続いて、実際に利用者がデータベースにアクセスする際の処理について説明する。本管理システムでは、データベース利用単位毎に、データベース装置1に対してクリエイトユーザを要求し、データベース利用単位内においてのみ有効とする別個のデータベースユーザ名とデータベースユーザパスワードをデータベース装置1に登録する。以下、データベースアクセス開始時の処理について説明する。
【0044】
図17は、データベースアクセス開始時の処理に係る管理サーバの構成を示す図である。管理サーバ2は、この処理の為に、更にアクセス開始要求受付部1701、利用者鍵記憶部1702、データベース利用予定判定部1703、アクセス承認依頼部1704、管理者鍵受信部1705、管理者鍵記憶部1706、データベースユーザ登録情報復号部1707、クリエイトユーザ要求部1708、及び一次復号データベースユーザ登録情報送信部1709の要素を有する。
【0045】
図18は、データベースアクセス開始時の処理フローを示す図である。まず、前述と同様に、システム利用者認証部201によるシステム利用者認証処理(S1801)を行う。
【0046】
利用者端末4では、認証成功の旨の通知を受けると、アクセス開始要求指示部(図示せず)により、利用者に利用者鍵の入力とアクセス開始要求の指示を促すアクセス開始要求指示画面を表示し、操作部を介して利用者鍵とアクセス開始要求の指示を受け付ける。このとき、利用者は、事前処理で取得したリストから現時点を含むデータベース利用単位を特定し、当該データベース利用単位に対応する利用者鍵を入力する。そして、利用者端末4は、受け付けた利用者鍵を含むアクセス開始要求を管理サーバ2に送信する。
【0047】
アクセス開始要求受付部1701によるアクセス開始要求受付処理(S1802)では、利用者端末4から上述の利用者鍵を含むアクセス開始要求を受信する。そして、システム利用者認証部201から取得したシステム利用者IDと対応付けて利用者鍵を利用者鍵記憶部1702に記憶させる。
【0048】
次に、データベース利用予定判定部1703によるデータベース利用予定判定処理(S1803)を行う。この処理では、データベース利用予定通りであるか否かを判定する。その為に、システム利用者認証部201からシステム利用者IDを取得し、当該システム利用者IDに対応するテーブルをデータベース利用予定記憶部203から特定する。そして、内部のカレンダー/タイマー部(図示せず)から当日付と現時刻を取得して、現時点が、そのテーブルのデータベース利用予定のいずれかのデータベース利用単位に含まれるかを判定する。データベース利用予定に該当する場合、つまり現時点がいずれかのデータベース利用単位に含まれる場合には、処理を継続する。一方、データベース利用予定に該当しない場合、つまり現時点がいずれのデータベース利用単位にも含まれない場合には、処理を中断し、終了する。
【0049】
次に、アクセス承認依頼部1704によるアクセス承認依頼処理(S1804)を行う。この処理では、管理者に、利用者が実際にデータベースにアクセスすることの承認を依頼する。その為に、アクセス承認依頼部1704は、システム利用者テーブル(図示せず)からシステム利用者IDに対応するシステム利用者氏名を取得し、システム利用者IDとシステム利用者氏名を含み、アクセス承認可否を入力可能なアクセス承認画面(図示せず)を生成し、管理者端末3に送信する。そして、管理者端末3からデータベース利用単位毎の承認可否を受信し、承認(承認可)の場合には、処理を続行し、否認(承認否)の場合には、中断し、処理を終了する。
【0050】
次に、管理者鍵受信部1705による管理者鍵受信処理(S1805)を行う。この処理では、事前処理で付与した管理者鍵の返信を求める。その為、管理者端末3へ管理者鍵の入力を促す管理者鍵入力画面(図示せず)を生成し、管理者端末3に送信する。
【0051】
管理者端末3は、管理者鍵入力画面を受信して、これを表示し、管理者鍵を受け付ける。このとき、管理者は、事前処理で取得したリストから現時点を含む管理単位を特定し、当該管理単位に対応する管理者鍵を入力する。そして、管理者端末3は、受け付けた管理者鍵を管理サーバ2に送信する。
【0052】
管理者鍵受信部1705は、管理サーバ2から管理者鍵を受信し、受信した管理者鍵を管理者鍵記憶部1706に記憶させる。
【0053】
次に、データベースユーザ登録情報復号部1707によるデータベースユーザ登録情報復号処理(S1806)を行う。この処理では、暗号化データベースユーザ登録情報を管理者鍵と利用者鍵で復号する。
【0054】
図19は、データベースユーザ登録情報復号部の構成を示す図である。暗号化データベースユーザ登録情報を管理者鍵で復号し、一次復号データベースユーザ登録情報を生成する管理者復号部1901と、生成した一次復号データベースユーザ登録情報を利用者鍵で復号し、二次復号データベースユーザ登録情報を生成する利用者復号部1902とを含んでいる。前述の暗号化の際に、2つの入力データ(データベースユーザ名とデータベースユーザパスワード)を連結させて、一体として暗号化している場合には、これらの復号部は、暗号化データを一体として復号する。また、2つの入力データ(データベースユーザ名とデータベースユーザパスワード)をそれぞれ別に暗号化して、得られた2つの出力データ(暗号化データベースユーザ名と暗号化データベースユーザパスワード)の組み合わせを暗号化データ(暗号化データベースユーザ登録情報)として扱っている場合には、暗号化データを2つに分けて、それぞれを復号する。
【0055】
これらの復号部は前述の通り、暗号化データを不正な鍵で復号しようとした場合には、不正を検出できる暗号化/復号ロジックを用いている。つまり、暗号化時の利用者鍵と復号時の利用者鍵が一致するかの判定と、暗号化時の管理者鍵と復号時の管理者鍵が一致するかの判定とを行う復号ロジックにより復号する。
【0056】
図20は、データベースユーザ登録情報復号処理フローを示す図である。管理者鍵記憶部1706から管理者鍵を読み出し、データベース利用予定記憶部203の当該システム利用者IDのテーブルから、現時点を含むデータベース利用単位に対応する暗号化データベースユーザ登録情報を読み出し、暗号化データベースユーザ登録情報を管理者鍵で復号し、一次復号データベースユーザ登録情報を得る(S2001)。このとき、復号に用いる管理者鍵が当該暗号化データベースを生成した際の管理者鍵と一致していない場合には、当該復号処理で不正を検出し、ステータスを失敗として終了する。一方、復号に用いる管理者鍵が当該暗号化データベースを生成した際の管理者鍵と一致している場合には、当該復号処理で正当を検出し、ステータスを成功として処理を続行する。次に、一次復号データベースユーザ登録情報を、更に利用者鍵で復号し、二次復号データベースユーザ登録情報を得る(S2002)。このとき、復号に用いる利用者鍵が当該暗号化データベースを生成した際の利用者鍵と一致していない場合には、当該復号処理で不正を検出し、ステータスを失敗として終了する。一方、復号に用いる利用者鍵が当該暗号化データベースを生成した際の利用者鍵と一致している場合には、当該復号処理で正当を検出し、ステータスを成功とする。最後に、二次復号データベースユーザ登録情報を、当該処理の出力データであるデータベースユーザ登録情報として、データベースユーザ名とデータベースユーザパスワードを特定する(S2003)。一体として復号した場合には、暗号化の際の連結方式に従って、復号結果をデータベースユーザ名とデータベースユーザパスワードに分割する。別々に復号した場合には、それぞれの復号結果をデータベースユーザ名とデータベースユーザパスワードとする。
【0057】
図18に示すように、データベースユーザ登録情報復号処理が成功すると、クリエイトユーザ要求部1708によるクリエイトユーザ要求処理(S1807)を行う。この処理では、データベース装置1に対してクリエイトユーザの命令を送信し、新たなユーザ登録(アカウント生成)を依頼する。クリエイトユーザ命令には、前述の処理で求めたデータベースユーザ名とデータベースユーザパスワードを含める。これにより、以降このデータベースユーザ名とデータベースユーザパスワードを用いて、データベース装置1にログインできるようになる。
【0058】
最後に、一次復号データベースユーザ登録情報送信部1709による一次復号データベースユーザ登録情報送信処理(S1808)を行う。この処理では、図20のS2001で得た一次復号データベースユーザ登録情報を利用者端末4に送信する。
【0059】
上述の処理が成功することにより、利用者端末4からデータベース装置1へのアクセスが可能になる。
【0060】
図21は、データアクセス時の処理に係る利用者端末の構成を示す図である。利用者端末4は、この処理の為に、一次復号データベースユーザ登録情報受信部2101、利用者鍵入力部2102、利用者復号部2103、データベースログイン要求部2104、データベースアクセス要求部2105、及びデータベースログアウト要求部2106の要素を有する。
【0061】
図22は、データアクセス時の利用者端末の処理フローを示す図である。まず、一次復号データベースユーザ登録情報受信部2101による一次復号データベースユーザ登録情報受信処理(S2201)を行う。この処理では、図18に示した一次復号データベースユーザ登録情報送信処理(S1808)により送出された一次復号データベースユーザ登録情報を受信する。
【0062】
次に、利用者鍵入力部2102による利用者鍵入力処理(S2202)を行う。この処理では、利用者に利用者鍵の入力を促し、利用者鍵を受け付ける。このときも、利用者は、現時点を含むデータベース利用単位に対応する利用者鍵を入力させる。改めて入力せずに、前述の処理でアクセス開始要求指示画面に対して入力した利用者鍵を用いてもよい。
【0063】
次に、利用者復号部2103による利用者復号処理(S2203)を行う。この処理では、一次復号データベースユーザ登録情報を、利用者鍵で復号し、二次復号データベースユーザ登録情報を得る。このとき、復号に用いる利用者鍵が当該暗号化データベースを生成した際の利用者鍵と一致していない場合には、当該復号処理で不正を検出し、ステータスを失敗として終了する。一方、復号に用いる利用者鍵が当該暗号化データベースを生成した際の利用者鍵と一致している場合には、当該復号処理で正当を検出し、ステータスを成功とする。そして、二次復号データベースユーザ登録情報を、当該処理の出力データあるデータベースユーザ登録情報として、データベースユーザ名とデータベースユーザパスワードを特定する。一体として復号した場合には、暗号化の際の連結方式に従って、復号結果をデータベースユーザ名とデータベースユーザパスワードに分割する。別々に復号した場合には、それぞれの復号結果をデータベースユーザ名とデータベースユーザパスワードとする。
【0064】
そして、データベースログイン要求部2104によるデータベースログイン処理(S2204)を行う。この処理では、データベースユーザ名とデータベースユーザパスワードを渡して、データベース装置1にログインする。
【0065】
続いて、データベースアクセス要求部2105によるデータベースアクセス処理(S2205)を行う。この処理では、例えばデータベース装置1のデータを取得し、あるいはデータを書き込むことができる。
【0066】
データベース装置1へのアクセスを終える場合に、データベースログアウト要求部2106によるデータベースログアウト処理(S2206)を行う。ログアウト命令を送信して、終了する。
【0067】
データベース利用単位内でのデータベースへのデータアクセスを終えると、利用者は、データベース装置1に登録したユーザ(アカウント)を削除するための操作を行う。
【0068】
図23は、利用者端末からのデータアクセス終了時の処理に係る管理サーバの構成を示す図である。管理サーバ2は、この処理の為に、更にアクセス終了通知受付部2301、及びドロップユーザ要求部2302の要素を有する。
【0069】
図24は、利用者端末からのデータアクセス終了時の処理フローを示す図である。アクセス終了通知受付部2301によるアクセス終了通知受付処理(S2401)で、利用者端末4からアクセス終了通知(利用者鍵を含むこともある)を受信する。次に、データベースユーザ登録情報復号部1707によるデータベースユーザ登録情報復号処理(S2402)を行う。この処理では、システム利用者IDに対応する暗号化データベースユーザ登録情報をデータベース利用予定記憶部203から読み出し、管理者鍵記憶部1706に記憶している管理者鍵と、アクセス終了通知受付部2301でアクセス終了通知と併せて受信した利用者鍵を用いて、暗号化データベースユーザ登録情報を復号する。アクセス終了通知受付部2301で利用者鍵を受信する代わりに、利用者鍵記憶部1702でシステム利用者IDに対応付けて記憶している利用者鍵を読み出して用いてもよい。
【0070】
データベースユーザ登録情報復号部1707の処理は、前述と同様である。この例によらず、S2402を省略し、前述のデータベースユーザ登録情報復号部1707の処理(図18のS1806)で得た復号結果を用いてもよい。
【0071】
そして、ドロップユーザ要求部2302によるドロップユーザ要求処理(S2403)を行う。この処理により、データベース装置1に対して、データベースユーザ登録情報復号部1707の復号処理で得たデータベースユーザ名とデータベースユーザパスワードを含むドロップユーザ命令を送信する。これにより、データベース装置1のユーザ登録(アカウント)が削除される。
【0072】
実施の形態2.
前述の処理では、利用者自身がデータベース利用単位内でのデータベース装置1へのアクセスの終了を意識して自らデータアクセス終了時の処理を指示したが、データベース利用単位の利用終了予定日時を経過した時点で、管理サーバ2が自動的にユーザ登録(アカウント)を削除するようにすることもできる。
【0073】
図25は、データベース利用予定オーバー時の処理に係る管理サーバの構成を示す図である。管理サーバ2は、この処理の為に、更にデータベース利用予定終了判定部2501を有する。
【0074】
図26は、データベース利用予定オーバー時の処理フローを示す図である。まず、データベース利用予定終了判定部2501によるデータベース利用予定終了判定処理(S2601)を行う。この処理では、システム利用者IDに対応するデータベース利用単位をデータベース利用予定記憶部203から取得し、その終了時点を経過したか判定する。経過した場合には、データベースユーザ登録情報復号部1707によるデータベースユーザ登録情報復号処理(S2602)を行う。この処理では、システム利用者IDと当該データベース利用単位に対応する暗号化データベースユーザ登録情報をデータベース利用予定記憶部203から読み出し、管理者鍵記憶部1706に記憶している管理者鍵と、利用者鍵記憶部1702でシステム利用者IDに対応付けて記憶している利用者鍵を用いて、暗号化データベースユーザ登録情報を復号する。データベースユーザ登録情報復号部1707の処理は、前述と同様である。この例によらず、S2602を省略し、前述のデータベースユーザ登録情報復号部1707の処理(図18のS1806)で得た復号結果を用いてもよい。
【0075】
続いて、ドロップユーザ要求部2302によるドロップユーザ要求処理(S2603)を行う。この処理により、データベース装置1に対して、データベースユーザ登録情報復号部1707の復号処理で得たデータベースユーザ名とデータベースユーザパスワードを含むドロップユーザ命令を送信する。これにより、データベース装置1のユーザ登録(アカウント)が削除される。
【0076】
データベース装置1、管理サーバ2、管理者端末3、及び利用者端末4は、コンピュータであり、各要素はプログラムにより処理を実行することができる。また、プログラムを記憶媒体に記憶させ、記憶媒体からコンピュータに読み取られるようにすることができる。
【0077】
図27は、データベース装置1、管理サーバ2、管理者端末3、及び利用者端末4のハードウェア構成例を示す図である。バスに、演算装置2701、データ記憶装置2702、メモリ2703、通信インターフェース2704が接続されている。データ記憶装置2702は、例えばROM(Read Only Memory)やハードディスクである。メモリ2703は、通常RAM(Random Access Memory)である。
【0078】
プログラムは、通常データ記憶装置2702に記憶されており、メモリ2703にロードされた状態で、順次演算装置2701に読み込まれ処理を行う。通信インターフェース2704は、ローカルエリアネットワークを介する通信に用いられる。
【0079】
本発明によれば、データベース登録情報は外部には知らされず、利用者及び管理者は、データベース登録情報を知り得ないので、直接データベース装置にアクセスすることはできない。また、管理者鍵と利用者鍵が揃わなければ、データベース装置にユーザ登録されないので、利用者鍵を知りえる者(利用鍵を盗んだ他人あるいは悪意のある当人)のみでは、データベース装置へアクセスすることができない。つまり、仮にデータベース装置に対する不正アクセスが発覚した場合には、利用者及び管理者の共犯関係が推測される。
【0080】
また、鍵が適正な場合に、一次復号データベース登録情報を利用者端末に送信し、利用者端末側でこれを利用者鍵を用いて復号することにより、データベース登録情報を得ることができるので、唯一その利用者端末からのデータベース装置へのログインが可能となる。
【0081】
データベース利用予定を越えた場合には、強制的にユーザ登録を削除するので、予定時間外の不正なアクセスを防止できる。また、利用者や管理者の退職後に、これらの者のユーザ登録情報が放置される事態は生じ得ない。
【0082】
管理者が承認したデータベース利用予定以外のアクセス開始要求は、自動的に拒否するので、予定時間外の不正なアクセスを防止できる。
【0083】
データベース利用予定を複数のデータベース利用単位に分割し、それぞれに異なるデータベースユーザ登録情報と利用者鍵を用いるので、データベース利用単位の都度、新たなガードが設けられことになる。つまり、秘密を守るキーとなる情報が動的に更新されることにより、常に安全性が担保される。
【0084】
データベースユーザ登録情報が生成され、用いられるには、以下の条件を満たすことが必要になる。
(1)その利用者の利用予定が登録されていること
(2)利用予定が管理者により承認されていること
(3)利用が、その利用者の利用予定内のものであること
(4)利用者の利用開始要求が利用予定内になされていること
(5)利用者によるアクセス終了通知がなされていないこと
(6)管理サーバによる強制終了がなされていないこと
【符号の説明】
【0085】
1 データベース装置、2 管理サーバ、3 管理者端末、4 利用者端末、201 システム利用者認証部、202 データベース利用予定入力部、203 データベース利用予定記憶部、204 利用者鍵生成部、205 利用者鍵送信部、801 システム管理者認証部、802 管理者鍵生成部、803 生成管理者鍵記憶部、804 管理者鍵送信部、805 データベース利用予定承認依頼部、806 データベースユーザ登録情報生成部、807 データベースユーザ登録情報暗号化部、808 利用者鍵削除部、809 管理者鍵削除部、1501 利用者暗号化部、1502 管理者暗号化部、1701 アクセス開始要求受付部、1702 利用者鍵記憶部、1703 データベース利用予定判定部、1704 アクセス承認依頼部、1705 管理者鍵受信部、1706 管理者鍵記憶部、1707 データベースユーザ登録情報復号部、1708 クリエイトユーザ要求部、1709 一次復号データベースユーザ登録情報送信部、1901 管理者復号部、1902 利用者復号部、2101 一次復号データベースユーザ登録情報受信部、2102 利用者鍵入力部、2103 利用者復号部、2104 データベースログイン要求部、2105 データベースアクセス要求部、2106 データベースログアウト要求部、2301 アクセス終了通知受付部、2302 ドロップユーザ要求部、2501 データベース利用予定終了判定部。
【特許請求の範囲】
【請求項1】
ユーザ登録された利用者に対してデータを提供するデータベース装置と、データベース装置を利用する利用者が操作する利用者端末と、利用者によるデータベース装置の利用を管理する管理者が操作する管理者端末とに接続する管理サーバであって、以下の要素を有することを特徴とする管理サーバ
(1)利用者がデータベース装置を利用する事前処理として、利用者固有の利用者鍵を生成する利用者鍵生成部
(2)利用者がデータベース装置を利用する事前処理として、生成した利用者鍵を利用者端末に送信する利用者鍵送信部
(3)利用者がデータベース装置を利用する事前処理として、管理者固有の管理者鍵を生成する管理者鍵生成部
(4)利用者がデータベース装置を利用する事前処理として、生成した管理者鍵を管理者端末に送信する管理者鍵送信部
(5)利用者がデータベース装置を利用する事前処理として、データベース装置に新たにユーザ登録するためのデータベースユーザ登録情報を生成するデータベースユーザ登録情報生成部
(6)利用者がデータベース装置を利用する事前処理として、生成したデータベースユーザ登録情報を、前記生成した利用者鍵を用いて、復号の際に暗号化時の利用者鍵と復号時の利用者鍵の一致の判定を可能とする暗号化ロジックで暗号化して一次暗号化データベースユーザ登録情報を生成し、生成した一次暗号化データベースユーザ登録情報を、前記生成した管理者鍵を用いて、復号の際に暗号化時の管理者鍵と復号時の管理者鍵の一致の判定を可能とする暗号化ロジックで暗号化して二次暗号化データベースユーザ登録情報を生成し、生成した二次暗号化データベースユーザ登録情報を暗号結果である暗号化データベースユーザ登録情報とするデータベースユーザ登録情報暗号化部
(7)暗号結果として生成した暗号化データベースユーザ登録情報を記憶する暗号化データベースユーザ登録情報記憶部
(8)利用者がデータベース装置を利用する際に、利用者端末から、当該利用者端末からデータベース装置へのアクセスを開始する要求を、利用者鍵と併せて受信するアクセス開始要求受付部
(9)利用者がデータベース装置を利用する際に、管理者端末から管理者鍵を受信する管理者鍵受信部
(10)利用者がデータベース装置を利用する際に、暗号化データベースユーザ登録情報記憶部で記憶している暗号化データベースユーザ登録情報を、前記受信した管理者鍵を用いて、暗号化時の管理者鍵と復号時の管理者鍵が一致するかの判定を行う復号ロジックにより復号して一次復号データベースユーザ登録情報を生成し、生成した一次復号データベースユーザ登録情報を、前記要求と併せて受信した利用者鍵を用いて、暗号化時の利用者鍵と復号時の利用者鍵が一致するかの判定を行う復号ロジックにより復号して二次復号データベースユーザ登録情報を生成し、管理者鍵同士及び利用者鍵同士が一致した場合に、生成した二次復号データベースユーザ登録情報を復号結果であるデータベースユーザ登録情報とするデータベースユーザ登録情報復号部
(11)利用者がデータベース装置を利用する際に、データベース装置に対して、復号結果として得たデータベースユーザ登録情報を含む、新たなユーザ登録を求めるクリエイトユーザ命令を送信するクリエイトユーザ要求部
(12)利用者がデータベース装置を利用する際に、前記一次復号データベースユーザ登録情報を利用者端末に送信する一次復号データベースユーザ登録情報送信部。
【請求項2】
管理サーバは、更に、以下の要素を有することを特徴とする請求項1記載の管理サーバ
(19)利用者がデータベース装置を利用するデータベース利用予定を記憶するデータベース利用予定記憶部
(20)利用者がデータベース装置を利用している際に、当該利用者のデータベース利用
予定の利用終了予定日時を経過したことを判定するデータベース利用予定終了判定部
(21)利用終了予定日時を経過した場合に、データベース装置に対して、当該データベース利用予定に係るユーザ登録の削除を求めるドロップユーザ命令を送信するドロップユーザ要求部。
【請求項3】
管理サーバは、更に、以下の要素を有することを特徴とする請求項1記載の管理サーバ
(22)利用者がデータベース装置を利用する事前処理として、利用者端末から、利用者がデータベース装置を利用するデータベース利用予定を受信するデータベース利用予定入力部
(23)受信したデータベース利用予定を記憶するデータベース利用予定記憶部
(24)利用者がデータベース装置を利用する事前処理として、データベース利用予定記憶部に記憶しているデータベース利用予定に対する承認の依頼を管理者端末に送信し、管理者端末から承認結果を受信し、データベース利用予定記憶部に記憶しているデータベース利用予定を承認されたものと判別できるようにするデータベース利用予定承認依頼部
(25)利用者がデータベース装置を利用する際に、承認されたデータベース利用予定内であるかを判定するデータベース利用判定部。
【請求項4】
ユーザ登録された利用者に対してデータを提供するデータベース装置と、データベース装置を利用する利用者が操作する利用者端末と、利用者によるデータベース装置の利用を管理する管理者が操作する管理者端末とに接続する管理サーバとなるコンピュータに、以下の手順を実行させるためのプログラム
(1)利用者がデータベース装置を利用する事前処理として、利用者固有の利用者鍵を生成する利用者鍵生成手順
(2)利用者がデータベース装置を利用する事前処理として、生成した利用者鍵を利用者端末に送信する利用者鍵送信手順
(3)利用者がデータベース装置を利用する事前処理として、管理者固有の管理者鍵を生成する管理者鍵生成手順
(4)利用者がデータベース装置を利用する事前処理として、生成した管理者鍵を管理者端末に送信する管理者鍵送信手順
(5)利用者がデータベース装置を利用する事前処理として、データベース装置に新たにユーザ登録するためのデータベースユーザ登録情報を生成するデータベースユーザ登録情報生成手順
(6)利用者がデータベース装置を利用する事前処理として、生成したデータベースユーザ登録情報を、前記生成した利用者鍵を用いて、復号の際に暗号化時の利用者鍵と復号時の利用者鍵の一致の判定を可能とする暗号化ロジックで暗号化して一次暗号化データベースユーザ登録情報を生成し、生成した一次暗号化データベースユーザ登録情報を、前記生成した管理者鍵を用いて、復号の際に暗号化時の管理者鍵と復号時の管理者鍵の一致の判定を可能とする暗号化ロジックで暗号化して二次暗号化データベースユーザ登録情報を生成し、生成した二次暗号化データベースユーザ登録情報を暗号結果である暗号化データベースユーザ登録情報とするデータベースユーザ登録情報暗号化手順
(7)暗号結果として生成した暗号化データベースユーザ登録情報を記憶する暗号化データベースユーザ登録情報記憶手順
(8)利用者がデータベース装置を利用する際に、利用者端末から、当該利用者端末からデータベース装置へのアクセスを開始する要求を、利用者鍵と併せて受信するアクセス開始要求受付手順
(9)利用者がデータベース装置を利用する際に、管理者端末から管理者鍵を受信する管理者鍵受信手順
(10)利用者がデータベース装置を利用する際に、暗号化データベースユーザ登録情報記憶部で記憶している暗号化データベースユーザ登録情報を、前記受信した管理者鍵を用いて、暗号化時の管理者鍵と復号時の管理者鍵が一致するかの判定を行う復号ロジックにより復号して一次復号データベースユーザ登録情報を生成し、生成した一次復号データベースユーザ登録情報を、前記要求と併せて受信した利用者鍵を用いて、暗号化時の利用者鍵と復号時の利用者鍵が一致するかの判定を行う復号ロジックにより復号して二次復号データベースユーザ登録情報を生成し、管理者鍵同士及び利用者鍵同士が一致した場合に、生成した二次復号データベースユーザ登録情報を復号結果であるデータベースユーザ登録情報とするデータベースユーザ登録情報復号手順
(11)利用者がデータベース装置を利用する際に、データベース装置に対して、復号結果として得たデータベースユーザ登録情報を含む、新たなユーザ登録を求めるクリエイトユーザ命令を送信するクリエイトユーザ要求手順
(12)利用者がデータベース装置を利用する際に、前記一次復号データベースユーザ登録情報を利用者端末に送信する一次復号データベースユーザ登録情報送信手順。
【請求項1】
ユーザ登録された利用者に対してデータを提供するデータベース装置と、データベース装置を利用する利用者が操作する利用者端末と、利用者によるデータベース装置の利用を管理する管理者が操作する管理者端末とに接続する管理サーバであって、以下の要素を有することを特徴とする管理サーバ
(1)利用者がデータベース装置を利用する事前処理として、利用者固有の利用者鍵を生成する利用者鍵生成部
(2)利用者がデータベース装置を利用する事前処理として、生成した利用者鍵を利用者端末に送信する利用者鍵送信部
(3)利用者がデータベース装置を利用する事前処理として、管理者固有の管理者鍵を生成する管理者鍵生成部
(4)利用者がデータベース装置を利用する事前処理として、生成した管理者鍵を管理者端末に送信する管理者鍵送信部
(5)利用者がデータベース装置を利用する事前処理として、データベース装置に新たにユーザ登録するためのデータベースユーザ登録情報を生成するデータベースユーザ登録情報生成部
(6)利用者がデータベース装置を利用する事前処理として、生成したデータベースユーザ登録情報を、前記生成した利用者鍵を用いて、復号の際に暗号化時の利用者鍵と復号時の利用者鍵の一致の判定を可能とする暗号化ロジックで暗号化して一次暗号化データベースユーザ登録情報を生成し、生成した一次暗号化データベースユーザ登録情報を、前記生成した管理者鍵を用いて、復号の際に暗号化時の管理者鍵と復号時の管理者鍵の一致の判定を可能とする暗号化ロジックで暗号化して二次暗号化データベースユーザ登録情報を生成し、生成した二次暗号化データベースユーザ登録情報を暗号結果である暗号化データベースユーザ登録情報とするデータベースユーザ登録情報暗号化部
(7)暗号結果として生成した暗号化データベースユーザ登録情報を記憶する暗号化データベースユーザ登録情報記憶部
(8)利用者がデータベース装置を利用する際に、利用者端末から、当該利用者端末からデータベース装置へのアクセスを開始する要求を、利用者鍵と併せて受信するアクセス開始要求受付部
(9)利用者がデータベース装置を利用する際に、管理者端末から管理者鍵を受信する管理者鍵受信部
(10)利用者がデータベース装置を利用する際に、暗号化データベースユーザ登録情報記憶部で記憶している暗号化データベースユーザ登録情報を、前記受信した管理者鍵を用いて、暗号化時の管理者鍵と復号時の管理者鍵が一致するかの判定を行う復号ロジックにより復号して一次復号データベースユーザ登録情報を生成し、生成した一次復号データベースユーザ登録情報を、前記要求と併せて受信した利用者鍵を用いて、暗号化時の利用者鍵と復号時の利用者鍵が一致するかの判定を行う復号ロジックにより復号して二次復号データベースユーザ登録情報を生成し、管理者鍵同士及び利用者鍵同士が一致した場合に、生成した二次復号データベースユーザ登録情報を復号結果であるデータベースユーザ登録情報とするデータベースユーザ登録情報復号部
(11)利用者がデータベース装置を利用する際に、データベース装置に対して、復号結果として得たデータベースユーザ登録情報を含む、新たなユーザ登録を求めるクリエイトユーザ命令を送信するクリエイトユーザ要求部
(12)利用者がデータベース装置を利用する際に、前記一次復号データベースユーザ登録情報を利用者端末に送信する一次復号データベースユーザ登録情報送信部。
【請求項2】
管理サーバは、更に、以下の要素を有することを特徴とする請求項1記載の管理サーバ
(19)利用者がデータベース装置を利用するデータベース利用予定を記憶するデータベース利用予定記憶部
(20)利用者がデータベース装置を利用している際に、当該利用者のデータベース利用
予定の利用終了予定日時を経過したことを判定するデータベース利用予定終了判定部
(21)利用終了予定日時を経過した場合に、データベース装置に対して、当該データベース利用予定に係るユーザ登録の削除を求めるドロップユーザ命令を送信するドロップユーザ要求部。
【請求項3】
管理サーバは、更に、以下の要素を有することを特徴とする請求項1記載の管理サーバ
(22)利用者がデータベース装置を利用する事前処理として、利用者端末から、利用者がデータベース装置を利用するデータベース利用予定を受信するデータベース利用予定入力部
(23)受信したデータベース利用予定を記憶するデータベース利用予定記憶部
(24)利用者がデータベース装置を利用する事前処理として、データベース利用予定記憶部に記憶しているデータベース利用予定に対する承認の依頼を管理者端末に送信し、管理者端末から承認結果を受信し、データベース利用予定記憶部に記憶しているデータベース利用予定を承認されたものと判別できるようにするデータベース利用予定承認依頼部
(25)利用者がデータベース装置を利用する際に、承認されたデータベース利用予定内であるかを判定するデータベース利用判定部。
【請求項4】
ユーザ登録された利用者に対してデータを提供するデータベース装置と、データベース装置を利用する利用者が操作する利用者端末と、利用者によるデータベース装置の利用を管理する管理者が操作する管理者端末とに接続する管理サーバとなるコンピュータに、以下の手順を実行させるためのプログラム
(1)利用者がデータベース装置を利用する事前処理として、利用者固有の利用者鍵を生成する利用者鍵生成手順
(2)利用者がデータベース装置を利用する事前処理として、生成した利用者鍵を利用者端末に送信する利用者鍵送信手順
(3)利用者がデータベース装置を利用する事前処理として、管理者固有の管理者鍵を生成する管理者鍵生成手順
(4)利用者がデータベース装置を利用する事前処理として、生成した管理者鍵を管理者端末に送信する管理者鍵送信手順
(5)利用者がデータベース装置を利用する事前処理として、データベース装置に新たにユーザ登録するためのデータベースユーザ登録情報を生成するデータベースユーザ登録情報生成手順
(6)利用者がデータベース装置を利用する事前処理として、生成したデータベースユーザ登録情報を、前記生成した利用者鍵を用いて、復号の際に暗号化時の利用者鍵と復号時の利用者鍵の一致の判定を可能とする暗号化ロジックで暗号化して一次暗号化データベースユーザ登録情報を生成し、生成した一次暗号化データベースユーザ登録情報を、前記生成した管理者鍵を用いて、復号の際に暗号化時の管理者鍵と復号時の管理者鍵の一致の判定を可能とする暗号化ロジックで暗号化して二次暗号化データベースユーザ登録情報を生成し、生成した二次暗号化データベースユーザ登録情報を暗号結果である暗号化データベースユーザ登録情報とするデータベースユーザ登録情報暗号化手順
(7)暗号結果として生成した暗号化データベースユーザ登録情報を記憶する暗号化データベースユーザ登録情報記憶手順
(8)利用者がデータベース装置を利用する際に、利用者端末から、当該利用者端末からデータベース装置へのアクセスを開始する要求を、利用者鍵と併せて受信するアクセス開始要求受付手順
(9)利用者がデータベース装置を利用する際に、管理者端末から管理者鍵を受信する管理者鍵受信手順
(10)利用者がデータベース装置を利用する際に、暗号化データベースユーザ登録情報記憶部で記憶している暗号化データベースユーザ登録情報を、前記受信した管理者鍵を用いて、暗号化時の管理者鍵と復号時の管理者鍵が一致するかの判定を行う復号ロジックにより復号して一次復号データベースユーザ登録情報を生成し、生成した一次復号データベースユーザ登録情報を、前記要求と併せて受信した利用者鍵を用いて、暗号化時の利用者鍵と復号時の利用者鍵が一致するかの判定を行う復号ロジックにより復号して二次復号データベースユーザ登録情報を生成し、管理者鍵同士及び利用者鍵同士が一致した場合に、生成した二次復号データベースユーザ登録情報を復号結果であるデータベースユーザ登録情報とするデータベースユーザ登録情報復号手順
(11)利用者がデータベース装置を利用する際に、データベース装置に対して、復号結果として得たデータベースユーザ登録情報を含む、新たなユーザ登録を求めるクリエイトユーザ命令を送信するクリエイトユーザ要求手順
(12)利用者がデータベース装置を利用する際に、前記一次復号データベースユーザ登録情報を利用者端末に送信する一次復号データベースユーザ登録情報送信手順。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【公開番号】特開2009−134764(P2009−134764A)
【公開日】平成21年6月18日(2009.6.18)
【国際特許分類】
【出願番号】特願2009−63769(P2009−63769)
【出願日】平成21年3月17日(2009.3.17)
【分割の表示】特願2004−373892(P2004−373892)の分割
【原出願日】平成16年12月24日(2004.12.24)
【出願人】(394013002)三菱電機インフォメーションシステムズ株式会社 (251)
【Fターム(参考)】
【公開日】平成21年6月18日(2009.6.18)
【国際特許分類】
【出願日】平成21年3月17日(2009.3.17)
【分割の表示】特願2004−373892(P2004−373892)の分割
【原出願日】平成16年12月24日(2004.12.24)
【出願人】(394013002)三菱電機インフォメーションシステムズ株式会社 (251)
【Fターム(参考)】
[ Back to top ]