通信制御システム
【課題】簡易且つ安価な構成で、蓄積されている電子データを他の媒体に取り出す際に取り出した本人しか利用できないような制御や、取り出された電子データの管理者による強制的に廃棄を可能とする。
【解決手段】電子データ管理サーバが、ポリシサーバ5から得たユーザのポリシーに基づいて配信の可否を判断し、配信するに際しては電子データを暗号化し、ユーザの電子証明書の有効性を検証する証明書有効性検証サーバ7が、ユーザ端末1のユーザアプリケーション2から送られたユーザの電子証明書を受信し、当該電子証明書の有効性を検証した結果、当該電子証明書が失効している場合には、上記ユーザアプリケーション2に対して上記電子データの廃棄を促すことを特徴とする通信制御システムである。
【解決手段】電子データ管理サーバが、ポリシサーバ5から得たユーザのポリシーに基づいて配信の可否を判断し、配信するに際しては電子データを暗号化し、ユーザの電子証明書の有効性を検証する証明書有効性検証サーバ7が、ユーザ端末1のユーザアプリケーション2から送られたユーザの電子証明書を受信し、当該電子証明書の有効性を検証した結果、当該電子証明書が失効している場合には、上記ユーザアプリケーション2に対して上記電子データの廃棄を促すことを特徴とする通信制御システムである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子データ等を保持しているデータベースやファイルサーバ等へのアクセスをアクセス者のポリシー等に基づいて制御し、電子データを暗号化した後に配信する通信制御システムに関する。
【背景技術】
【0002】
従来、ネットワーク上で電子データ等の配布を行う場合に、当該電子データを暗号化して送ることが一般になされているが、当該電子データが重要なドキュメント等である場合には、当該電子データを取得した後においても利用制限をかけることが望まれる。
【0003】
このような点に鑑みて、特許文献1では、サーバが組織構成や利用者ID及び文書に設定された利用規則に基いて、その利用者に対する利用規則を決定し、そして、利用者の公開鍵で暗号化して送り、クライアント装置が上記利用規約に基づいて文書を復号化して利用者に提示する技術が開示されている。
【特許文献1】特開2004−30056号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記特許文献1では、サーバ側で組織構成や利用者ID、利用規約の情報を管理しなければならない。さらに、[発明が解決しようとする課題]に記載されている、“本日辞表を提出した社員がいて、辞表提出後に自分のハードディスク内のコンテンツする利用できない、つまり社外へ情報の持ち出しができなくなるという仕組みをサーバ側に保存している利用規則の変更で実現する”と述べているが、コンテンツを利用する際には、この利用規則をチケットサーバに毎回取得する必要がある。また、この利用規則はコンテンツ毎に用意する必要がある。そのため、この利用規則の管理には、非常に大きな負荷がかかるし、例にあるように社員が退職した場合、その社員に関連した利用規則を全て変更しなければならない。すなわち、蓄積されている電子データを他の媒体に取り出す際に、取り出した本人しか利用できないような制御、取り出された電子データの管理者による強制的な廃棄については非常に管理負荷の大きい仕組みを採用していると言える。
【0005】
さらに、上記文献1では、[解決手段]にあるように、文書ファイルを文書サーバに登録する際に利用規則をチケットサーバに登録するとあることから、既存のファイルサーバやDBに蓄積された電子データの利用について全く言及されていない。
【0006】
本発明の目的とするところは、簡易且つ安価な構成で、既存のファイルサーバやDBに蓄積されている電子データを他の媒体に取り出す際に取り出した本人しか利用できないような制御や、取り出された電子データの管理者による強制的な廃棄を可能とすることにある。特に、ユーザが保持する電子データを一括廃棄する、電子データ毎に廃棄するといったことが可能な点に特徴がある。さらに、この電子データ毎に廃棄するというのは、複数のユーザが保持している際にも、一括廃棄可能となる。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明の第1の態様では、ユーザアプリケーションを実装したユーザ端末と通信自在な通信制御システムにおいて、ユーザ毎のポリシーを管理するポリシーサーバと、電子データを蓄積したファイルサーバと、上記ユーザ端末から電子データ取得リクエストを受けると、上記ポリシーサーバにポリシー取得リクエストを行い、当該ポリシーサーバから得たポリシーに基づいて電子データをユーザ端末に配信してよいか否かを判断し、配信してよいと判断した場合にはファイルサーバより電子データを取得し当該電子データを暗号化した後にユーザ端末に送信するように制御する管理サーバと、を具備することを特徴とする通信制御システムが提供される。
【0008】
第2の態様では、この第1の態様において、ユーザの電子証明書の有効性を検証する証明書有効性検証サーバを更に有し、当該証明書有効性検証サーバが、上記ユーザ端末から送られたユーザの電子証明書を受信し、当該電子証明書の有効性を検証した結果、当該電子証明書が失効している場合には、上記ユーザアプリケーションに対して上記電子データの廃棄を促すことを更に特徴としてもよい。
【0009】
この第2の態様において、上記廃棄とは、上記暗号化された電子データの復号化を禁止することをいうこととしてもよい。
【0010】
この第2の態様において、上記ユーザの電子証明書の有効性については、管理者により失効させることが可能であるようにしてもよい。
【0011】
この第2の態様において、ユーザに配布された電子データのIDとその電子データの暗号化に利用された鍵の電子証明書を管理する鍵、電子データ管理サーバを有することとしてもよい。
【0012】
また、上記第1の態様において、上記管理サーバにおいて、電子データ単位やユーザ単位で電子データを廃棄することを受け付けるインタフェースを保持することを更なる特徴としてもよい。
【発明の効果】
【0013】
本発明によれば、簡易且つ安価な構成で、蓄積されている電子データを他の媒体に取り出す際に取り出した本人しか利用できないような制御や、取り出された電子データの管理者による強制的な廃棄を可能とする通信制御システムを提供することができる。
【発明を実施するための最良の形態】
【0014】
以下、図面を参照して、本発明の実施の形態について説明する。
【0015】
先ず、本発明の第1の実施の形態について説明する。
【0016】
図1は、本発明の第1の実施の形態に係る通信制御システムの構成を示す図である。
【0017】
この図1に示されるように、この通信制御システムは、ユーザアプリケーション2が実装されたユーザ端末1とインターネット等のネットワーク8を介して相互に通信自在な電子データ管理サーバ3、証明書発行・管理サーバ6、証明書有効性検証サーバ7により構成されている。電子データ管理サーバ3は、データベース(以下、DBと称する)/ファイルサーバ4、ポリシーサーバ5とも通信自在となっている。
【0018】
このような構成において、ユーザアプリケーション2は、ユーザ端末1にインストールされOS上で実行される。電子データ管理サーバ3は、ユーザアプリケーション2からのリクエストに基づいてDB/ファイルサーバ4やポリシーサーバ5と情報のやり取りや電子データの暗号化を行う。ポリシーサーバ5は、ネットワーク上のユーザ端末1のQoSやセキュリティ制御機能を一元管理するものであり、ここでは電子データを送信すべきか否かを決定するためのポリシーを管理している。DB/ファイルサーバ4は、電子データを蓄積している。証明書発行・管理サーバ6は、暗号化の鍵や電子証明書を発行する。そして、証明書有効性検証サーバ7は、電子証明書の有効性を検証する。
【0019】
以下、図2のフローチャートを参照して、本発明の第1の実施の形態に係る通信制御システムによる一連の動作を詳細に説明する。
【0020】
ユーザ端末1のユーザアプリケーション2が電子データ管理サーバ3に電子データ取得リクエストを行うと(ステップS1)、電子データ管理サーバ3はポリシーサーバ5にポリシー取得リクエストを行う(ステップS2)。このポリシー取得リクエストにはユーザIDが含まれている。ポリシーサーバ5は、このポリシー取得リクエストを受けると、ユーザIDに対応するポリシーを電子データ管理サーバ3に返信する(ステップS3)。
【0021】
電子データ管理サーバ3は、このポリシーを受信すると、当該ポリシーに基づいて電子データをユーザアプリケーション2に与えてよいか否かを判断し、与えてよいと判断した場合にはDB/ファイルサーバ4にファイル取得リクエストを行う(ステップS4)。
【0022】
そして、DB/ファイルサーバ4は、このリクエストを受けると、該当する電子データであるファイルを電子データ管理サーバ3に送信する(ステップS5)。
【0023】
続いて、電子データ管理サーバ3は、このファイルを暗号化し(ステップS6)、暗号化された電子データをユーザアプリケーション2に送信する(ステップS7)。そして、ユーザアプリケーション2は、暗号化された電子データを復号化し(ステップS8)、こうして電子データの利用を開始する(ステップS9)。
【0024】
以上説明したように、本発明の第1の実施の形態によれば、ユーザIDに対応するポリシーに基づいてファイル取得の可否を判断し、電子データを暗号化してユーザアプリケーション2側に送信することができるので、セキュリティを確保することができる。
【0025】
次に本発明の第2の実施の形態について説明する。
【0026】
これは、暗号化方式として「公開鍵暗号化方式」を採用したものである。
【0027】
基本的な構成は図1と同様であるので、ここでは図1と同一構成については同一符号をもって適宜参照することとし、重複した説明は省略する。
【0028】
以下、図3のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムによる一連の動作を詳細に説明する。
【0029】
ユーザ端末1のユーザアプリケーション2が電子データ管理サーバ3に電子データ取得リクエストを行うと(ステップS11)、電子データ管理サーバ3はポリシーサーバ5にポリシー取得リクエストを行う(ステップS12)。この電子データ取得リクエストにはユーザIDが少なくとも含まれている。ポリシーサーバ5は、ポリシー取得リクエストを受けると、ユーザIDに対応するポリシーを返信する(ステップS13)。電子データ管理サーバ3は、このポリシーを受信すると、当該ポリシーに基づいて電子データをユーザアプリケーション2に与えてよいか否かを判断し、与えてよいと判断した場合にはDB/ファイルサーバ4にファイル取得リクエストを行う(ステップS14)。DB/ファイルサーバ4は、このリクエストを受けると、該当するファイルを送信する(ステップS15)。
【0030】
電子データ管理サーバ3は、電子証明書発行・管理サーバ6に公開鍵、秘密鍵、電子証明書の作成リクエストを行う(ステップS16)。証明書発行・管理サーバ6は、このリクエストを受けると、公開鍵、秘密鍵、電子証明書を作成し、電子データ管理サーバ3に送信する(ステップS17)。尚、電子証明書、鍵ペア(公開鍵・秘密鍵)の作成はユーザ毎であってもファイル毎であってもよいことは勿論である。
【0031】
電子データ管理サーバ3は、この作成した公開鍵で電子データを暗号化し、ユーザの公開鍵で秘密鍵を暗号化し(ステップS18)、作成された公開鍵の電子証明書、暗号化された電子データ、及び暗号化された秘密鍵をユーザアプリケーション2に送信する(ステップS19)。ユーザアプリケーション2は、これらを取得すると作成された公開鍵の電子証明書、ユーザの電子証明書の有効性の検証を証明書有効性検証サーバ7に問い合わせる(ステップS20)。証明書有効性検証サーバ7は、検証結果をユーザアプリケーション2側に送信する(ステップS21)。検証の結果、ユーザの電子証明書が失効していない場合には、ユーザアプリケーション2は、公開鍵で暗号化された秘密鍵の復号化を行い(ステップS22)、復号化された秘密鍵で電子データの復号化を行い(ステップS23)、電子データの利用を開始する(ステップS24)。
【0032】
以上説明したように、本発明の第2の実施の形態によれば、証明書発行・管理サーバ6により作成された公開鍵で電子データを暗号化し、ユーザの公開鍵で暗号化された秘密鍵を併せて送信するようにしているのでセキュリティが確保される。電子データ利用後は、作成された公開鍵で暗号化された電子データのみ保存され、同じ電子データを再度利用する際は、ステップ20より開始するのは勿論である。また、ユーザの電子証明書が失効している場合にはアプリケーション2が暗号化された電子データを復号化しないことから、例えば退職されたユーザが退職後に電子データを閲覧しようとしても、当該ユーザの電子証明書を失効しておけば閲覧不可とすることができる。
【0033】
次に本発明の第3の実施の形態について説明する。
【0034】
これは、暗号化方式として「共通鍵暗号化方式」を採用したものである。
【0035】
基本的な構成は図1と同様であるので、ここでは図1と同一構成については同一符号をもって適宜参照することとし、重複した説明は省略する。
【0036】
以下、図4のフローチャートを参照して、本発明の第3の実施の形態に係る通信制御システムによる一連の動作を詳細に説明する。
【0037】
ユーザ端末1のユーザアプリケーション2が電子データ管理サーバ3に電子データ取得リクエストを行うと(ステップS31)、電子データ管理サーバ3はポリシーサーバ5にポリシー取得リクエストを行う(ステップS32)。電子データ取得リクエストにはユーザIDが含まれている。ポリシーサーバ5は、このポリシー取得リクエストを受けると、ユーザIDに対応するポリシーを返信する(ステップS33)。電子データ管理サーバ3は、このポリシーを受信すると、当該ポリシーに基づいて電子データをユーザアプリケーション2に与えてよいか否かを判断し、与えてよいと判断した場合にはDB/ファイルサーバ4にファイル取得リクエストを行う(ステップS34)。
【0038】
DB/ファイルサーバ4は、このリクエストを受けると、該当するファイルを送信する(ステップS35)。電子データ管理サーバ3は、共通鍵を作成し(ステップS36)、当該共通鍵により電子データを暗号化し(ステップS37)、ユーザの公開鍵により共通鍵を暗号化し(ステップS38)、暗号化された共通鍵、及び暗号化された電子データをユーザアプリケーション2に送信する(ステップS39)。
【0039】
そして、ユーザアプリケーション2は、ユーザ電子証明書の有効性の検証を証明書有効性検証サーバ7に問い合わせる(ステップS40)。証明書有効性検証サーバ7は、検証結果をユーザアプリケーション2側に送信する(ステップS41)。検証の結果、ユーザの電子証明書が有効である場合には、ユーザアプリケーション2は暗号化された共通鍵の復号化を行い(ステップS42)、復号化された共通鍵で電子データの復号化を行い(ステップS43)、電子データの利用が開始される(ステップS44)。
【0040】
以上説明したように、本発明の第3の実施の形態によれば、ユーザの公開鍵で暗号化された電子データを復号化するユーザの秘密鍵をもっているのはユーザだけであるのでセキュリティが更に高められることになる。また、ユーザの電子証明書が失効している場合にはアプリケーション2が暗号化された電子データを復号化しないことから、例えば退職されたユーザが退職後に電子データを閲覧しようとしても、当該ユーザの電子証明書を失効しておけば閲覧不可とすることができる。
【0041】
次に本発明の第4の実施の形態について説明する。
【0042】
これは、暗号化方式として公開鍵暗号化方式を採用したものである。
【0043】
基本的な構成は図5に示される通りである。図1の構成と比較すると、鍵・電子データ管理サーバ9が新たに追加している点のみが相違する。その他の構成は、図1と同様であるので、ここでは図1と同一構成については同一符号をもって適宜参照することとし、重複した説明は省略する。鍵・電子データ管理サーバ9とは、作成された電子証明書と電子データの登録を行うためのものであり、これらを一元管理するものである。
【0044】
以下、図6のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる一連の動作を詳細に説明する。
【0045】
ユーザ端末1のユーザアプリケーション2が電子データ管理サーバ3に電子データ取得リクエストを行うと(ステップS51)、電子データ管理サーバ3はポリシーサーバ5にポリシー取得リクエストを行う(ステップS52)。ポリシーサーバ5は、このポリシー取得リクエストを受けると、ポリシーを返信する(ステップS53)。電子データ管理サーバ3は、このポリシーを受信すると、当該ポリシーに基づいて電子データをユーザアプリケーション2に与えてよいか否かを判断し、与えてよいと判断した場合にはDB/ファイルサーバ4にファイル取得リクエストを行う(ステップS54)。DB/ファイルサーバ4は、このリクエストを受けると、該当するファイルを送信する(ステップS55)。
【0046】
電子データ管理サーバ3は、証明書発行・管理サーバ6に公開鍵、秘密鍵、電子証明書の作成リクエストを行う(ステップS56)。証明書発行・管理サーバ6は、このリクエストを受けると、公開鍵、秘密鍵、電子証明書を作成し、電子データ管理サーバ3に送信する(ステップS57)。尚、電子証明書、鍵ペア(公開鍵・秘密鍵)の作成はユーザ毎であってもファイル毎であってもよい。電子データ管理サーバ3は、この作成した公開鍵で電子データを暗号化し、ユーザの公開鍵で秘密鍵を暗号化し(ステップS58)、作成された電子証明書と電子データを鍵・電子データ管理サーバ9に登録する(ステップS59)。
【0047】
鍵・電子データ管理サーバ9は、登録が完了すると、その旨を電子データ管理サーバ3に返信する(ステップS60)。
【0048】
続いて、電子データ管理サーバ3は、作成された公開鍵の電子証明書、暗号化された電子データ、及び暗号化された秘密鍵をユーザアプリケーション2に送信する(ステップS61)。ユーザアプリケーション2は、これらを取得すると作成された電子証明書、およびユーザ電子証明書の有効性の検証を証明書有効性検証サーバ7に問い合わせる(ステップS62)。証明書有効性検証サーバ7は、検証結果をユーザアプリケーション2側に送信する(ステップS63)。検証の結果、ユーザの電子証明書が失効していない場合には、ユーザアプリケーション2は暗号化された秘密鍵の復号化を行い(ステップS64)、復号化された秘密鍵で電子データの復号化を行い(ステップS65)、こうして電子データの利用が開始される(ステップS66)。
【0049】
以上説明したように、本発明の第4の実施の形態によれば、暗号化された電子データを復号化する秘密鍵をもっているのはユーザだけであるのでセキュリティが更に高められることになる。また、ユーザの電子証明書が失効している場合にはアプリケーション2が暗号化された電子データを復号化しないことから、例えば退職されたユーザが退職後に電子データを閲覧しようとしても、当該ユーザの電子証明書を失効しておけば閲覧不可とすることができる。さらに、作成さえた電子証明書と電子データIDを鍵・電子データ管理サーバ9にて登録を受け付け、一元管理することができる。
【0050】
次に本発明の第5の実施の形態について説明する。
【0051】
基本的な構成は図5と同様であるので、ここでは図5と同一構成については同一符号をもって適宜参照することとし、重複した説明は省略する。
【0052】
以下、図7のフローチャートを参照して、本発明の第5の実施の形態に係る通信制御システムによる一連の動作を詳細に説明する。
管理者より電子データ管理サーバ3に対して電子データ廃棄リクエストがなされると(ステップS71)、電子データ管理サーバ3は当該電子データIDをキーにした該当電子証明書取得リクエストを鍵・電子データ管理サーバ9に対して行う(ステップS72)。
【0053】
鍵・電子データ管理サーバ9は、IDに該当する電子証明書を電子データ管理サーバ3に送信する(ステップS73)。続いて、電子データ管理サーバ3は、電子証明書の失効リクエストを証明書発行・管理サーバ6に対して行う(ステップS74)。
【0054】
証明書発行・管理サーバ6は、このリクエストを受けると、証明書有効性検証サーバ7に対して失効通知を行うと共に(ステップS75)、結果を電子データ管理サーバ3に通知する(ステップS76)。一方、ユーザアプリケーション2より電子証明書の有効性検証の問い合わせが証明書有効性検証サーバ7に対してなされると(ステップS77)、証明書有効性検証サーバ7より検証結果がユーザアプリケーション2まで送られる(ステップS78)。ユーザアプリケーション2は、この電子データが廃棄された旨を通知し(ステップS109)、暗号化された電子データを廃棄することになる(ステップS110)。
【0055】
以上説明したように、本発明の第5の実施の形態によれば、管理者より、廃棄したい電子データが、例えユーザのハードディスクといった外部記憶媒体に格納されていたとしても、電子データを暗号化している公開鍵の電子証明書を取得し、その電子証明書を失効することで、管理者側から、電子データを強制的に廃棄することが可能となる。ユーザ単位で行いたい場合は、ユーザの電子証明書を失効すれば、ユーザ単位で電子データを廃棄することができる。この電子データの廃棄については、例えばユーザアプリケーション2が実装されているユーザ端末1の不図示のハードや媒体に記憶されているデータの削除、ノイズの混入等により実現される。
【0056】
また、強制的な廃棄に替えて暗号化された情報を復号化できないようにしたり、復号化された電子データを保存不可としたりすることもできる。
【0057】
以上、本発明の実施の形態について説明したが、本発明はこれに限定されず、その趣旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。例えば、暗号化方式は、上記したものには限定されないことは勿論である。
【図面の簡単な説明】
【0058】
【図1】本発明の第1〜3の実施の形態に係る通信制御システムの構成を示す図である。
【図2】本発明の第1の実施の形態に係る通信制御システムによる一連の動作を詳細に説明するフローチャートである。
【図3】本発明の第2の実施の形態に係る通信制御システムによる一連の動作を詳細に説明するフローチャートである。
【図4】本発明の第3の実施の形態に係る通信制御システムによる一連の動作を詳細に説明するフローチャートである。
【図5】本発明の第4,5の実施の形態に係る通信制御システムの構成を示す図である。
【図6】本発明の第4の実施の形態に係る通信制御システムによる一連の動作を詳細に説明するフローチャートである。
【図7】本発明の第5の実施の形態に係る通信制御システムによる一連の動作を詳細に説明するフローチャートである。
【符号の説明】
【0059】
1・・・ユーザ端末、2・・・ユーザアプリケーション、3・・・電子データ管理サーバ、4・・・DB/ファイルサーバ、5・・・ポリシーサーバ、6・・・証明書発行・管理サーバ、7・・・証明書有効性検証サーバ、8・・・ネットワーク。
【技術分野】
【0001】
本発明は、電子データ等を保持しているデータベースやファイルサーバ等へのアクセスをアクセス者のポリシー等に基づいて制御し、電子データを暗号化した後に配信する通信制御システムに関する。
【背景技術】
【0002】
従来、ネットワーク上で電子データ等の配布を行う場合に、当該電子データを暗号化して送ることが一般になされているが、当該電子データが重要なドキュメント等である場合には、当該電子データを取得した後においても利用制限をかけることが望まれる。
【0003】
このような点に鑑みて、特許文献1では、サーバが組織構成や利用者ID及び文書に設定された利用規則に基いて、その利用者に対する利用規則を決定し、そして、利用者の公開鍵で暗号化して送り、クライアント装置が上記利用規約に基づいて文書を復号化して利用者に提示する技術が開示されている。
【特許文献1】特開2004−30056号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記特許文献1では、サーバ側で組織構成や利用者ID、利用規約の情報を管理しなければならない。さらに、[発明が解決しようとする課題]に記載されている、“本日辞表を提出した社員がいて、辞表提出後に自分のハードディスク内のコンテンツする利用できない、つまり社外へ情報の持ち出しができなくなるという仕組みをサーバ側に保存している利用規則の変更で実現する”と述べているが、コンテンツを利用する際には、この利用規則をチケットサーバに毎回取得する必要がある。また、この利用規則はコンテンツ毎に用意する必要がある。そのため、この利用規則の管理には、非常に大きな負荷がかかるし、例にあるように社員が退職した場合、その社員に関連した利用規則を全て変更しなければならない。すなわち、蓄積されている電子データを他の媒体に取り出す際に、取り出した本人しか利用できないような制御、取り出された電子データの管理者による強制的な廃棄については非常に管理負荷の大きい仕組みを採用していると言える。
【0005】
さらに、上記文献1では、[解決手段]にあるように、文書ファイルを文書サーバに登録する際に利用規則をチケットサーバに登録するとあることから、既存のファイルサーバやDBに蓄積された電子データの利用について全く言及されていない。
【0006】
本発明の目的とするところは、簡易且つ安価な構成で、既存のファイルサーバやDBに蓄積されている電子データを他の媒体に取り出す際に取り出した本人しか利用できないような制御や、取り出された電子データの管理者による強制的な廃棄を可能とすることにある。特に、ユーザが保持する電子データを一括廃棄する、電子データ毎に廃棄するといったことが可能な点に特徴がある。さらに、この電子データ毎に廃棄するというのは、複数のユーザが保持している際にも、一括廃棄可能となる。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明の第1の態様では、ユーザアプリケーションを実装したユーザ端末と通信自在な通信制御システムにおいて、ユーザ毎のポリシーを管理するポリシーサーバと、電子データを蓄積したファイルサーバと、上記ユーザ端末から電子データ取得リクエストを受けると、上記ポリシーサーバにポリシー取得リクエストを行い、当該ポリシーサーバから得たポリシーに基づいて電子データをユーザ端末に配信してよいか否かを判断し、配信してよいと判断した場合にはファイルサーバより電子データを取得し当該電子データを暗号化した後にユーザ端末に送信するように制御する管理サーバと、を具備することを特徴とする通信制御システムが提供される。
【0008】
第2の態様では、この第1の態様において、ユーザの電子証明書の有効性を検証する証明書有効性検証サーバを更に有し、当該証明書有効性検証サーバが、上記ユーザ端末から送られたユーザの電子証明書を受信し、当該電子証明書の有効性を検証した結果、当該電子証明書が失効している場合には、上記ユーザアプリケーションに対して上記電子データの廃棄を促すことを更に特徴としてもよい。
【0009】
この第2の態様において、上記廃棄とは、上記暗号化された電子データの復号化を禁止することをいうこととしてもよい。
【0010】
この第2の態様において、上記ユーザの電子証明書の有効性については、管理者により失効させることが可能であるようにしてもよい。
【0011】
この第2の態様において、ユーザに配布された電子データのIDとその電子データの暗号化に利用された鍵の電子証明書を管理する鍵、電子データ管理サーバを有することとしてもよい。
【0012】
また、上記第1の態様において、上記管理サーバにおいて、電子データ単位やユーザ単位で電子データを廃棄することを受け付けるインタフェースを保持することを更なる特徴としてもよい。
【発明の効果】
【0013】
本発明によれば、簡易且つ安価な構成で、蓄積されている電子データを他の媒体に取り出す際に取り出した本人しか利用できないような制御や、取り出された電子データの管理者による強制的な廃棄を可能とする通信制御システムを提供することができる。
【発明を実施するための最良の形態】
【0014】
以下、図面を参照して、本発明の実施の形態について説明する。
【0015】
先ず、本発明の第1の実施の形態について説明する。
【0016】
図1は、本発明の第1の実施の形態に係る通信制御システムの構成を示す図である。
【0017】
この図1に示されるように、この通信制御システムは、ユーザアプリケーション2が実装されたユーザ端末1とインターネット等のネットワーク8を介して相互に通信自在な電子データ管理サーバ3、証明書発行・管理サーバ6、証明書有効性検証サーバ7により構成されている。電子データ管理サーバ3は、データベース(以下、DBと称する)/ファイルサーバ4、ポリシーサーバ5とも通信自在となっている。
【0018】
このような構成において、ユーザアプリケーション2は、ユーザ端末1にインストールされOS上で実行される。電子データ管理サーバ3は、ユーザアプリケーション2からのリクエストに基づいてDB/ファイルサーバ4やポリシーサーバ5と情報のやり取りや電子データの暗号化を行う。ポリシーサーバ5は、ネットワーク上のユーザ端末1のQoSやセキュリティ制御機能を一元管理するものであり、ここでは電子データを送信すべきか否かを決定するためのポリシーを管理している。DB/ファイルサーバ4は、電子データを蓄積している。証明書発行・管理サーバ6は、暗号化の鍵や電子証明書を発行する。そして、証明書有効性検証サーバ7は、電子証明書の有効性を検証する。
【0019】
以下、図2のフローチャートを参照して、本発明の第1の実施の形態に係る通信制御システムによる一連の動作を詳細に説明する。
【0020】
ユーザ端末1のユーザアプリケーション2が電子データ管理サーバ3に電子データ取得リクエストを行うと(ステップS1)、電子データ管理サーバ3はポリシーサーバ5にポリシー取得リクエストを行う(ステップS2)。このポリシー取得リクエストにはユーザIDが含まれている。ポリシーサーバ5は、このポリシー取得リクエストを受けると、ユーザIDに対応するポリシーを電子データ管理サーバ3に返信する(ステップS3)。
【0021】
電子データ管理サーバ3は、このポリシーを受信すると、当該ポリシーに基づいて電子データをユーザアプリケーション2に与えてよいか否かを判断し、与えてよいと判断した場合にはDB/ファイルサーバ4にファイル取得リクエストを行う(ステップS4)。
【0022】
そして、DB/ファイルサーバ4は、このリクエストを受けると、該当する電子データであるファイルを電子データ管理サーバ3に送信する(ステップS5)。
【0023】
続いて、電子データ管理サーバ3は、このファイルを暗号化し(ステップS6)、暗号化された電子データをユーザアプリケーション2に送信する(ステップS7)。そして、ユーザアプリケーション2は、暗号化された電子データを復号化し(ステップS8)、こうして電子データの利用を開始する(ステップS9)。
【0024】
以上説明したように、本発明の第1の実施の形態によれば、ユーザIDに対応するポリシーに基づいてファイル取得の可否を判断し、電子データを暗号化してユーザアプリケーション2側に送信することができるので、セキュリティを確保することができる。
【0025】
次に本発明の第2の実施の形態について説明する。
【0026】
これは、暗号化方式として「公開鍵暗号化方式」を採用したものである。
【0027】
基本的な構成は図1と同様であるので、ここでは図1と同一構成については同一符号をもって適宜参照することとし、重複した説明は省略する。
【0028】
以下、図3のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムによる一連の動作を詳細に説明する。
【0029】
ユーザ端末1のユーザアプリケーション2が電子データ管理サーバ3に電子データ取得リクエストを行うと(ステップS11)、電子データ管理サーバ3はポリシーサーバ5にポリシー取得リクエストを行う(ステップS12)。この電子データ取得リクエストにはユーザIDが少なくとも含まれている。ポリシーサーバ5は、ポリシー取得リクエストを受けると、ユーザIDに対応するポリシーを返信する(ステップS13)。電子データ管理サーバ3は、このポリシーを受信すると、当該ポリシーに基づいて電子データをユーザアプリケーション2に与えてよいか否かを判断し、与えてよいと判断した場合にはDB/ファイルサーバ4にファイル取得リクエストを行う(ステップS14)。DB/ファイルサーバ4は、このリクエストを受けると、該当するファイルを送信する(ステップS15)。
【0030】
電子データ管理サーバ3は、電子証明書発行・管理サーバ6に公開鍵、秘密鍵、電子証明書の作成リクエストを行う(ステップS16)。証明書発行・管理サーバ6は、このリクエストを受けると、公開鍵、秘密鍵、電子証明書を作成し、電子データ管理サーバ3に送信する(ステップS17)。尚、電子証明書、鍵ペア(公開鍵・秘密鍵)の作成はユーザ毎であってもファイル毎であってもよいことは勿論である。
【0031】
電子データ管理サーバ3は、この作成した公開鍵で電子データを暗号化し、ユーザの公開鍵で秘密鍵を暗号化し(ステップS18)、作成された公開鍵の電子証明書、暗号化された電子データ、及び暗号化された秘密鍵をユーザアプリケーション2に送信する(ステップS19)。ユーザアプリケーション2は、これらを取得すると作成された公開鍵の電子証明書、ユーザの電子証明書の有効性の検証を証明書有効性検証サーバ7に問い合わせる(ステップS20)。証明書有効性検証サーバ7は、検証結果をユーザアプリケーション2側に送信する(ステップS21)。検証の結果、ユーザの電子証明書が失効していない場合には、ユーザアプリケーション2は、公開鍵で暗号化された秘密鍵の復号化を行い(ステップS22)、復号化された秘密鍵で電子データの復号化を行い(ステップS23)、電子データの利用を開始する(ステップS24)。
【0032】
以上説明したように、本発明の第2の実施の形態によれば、証明書発行・管理サーバ6により作成された公開鍵で電子データを暗号化し、ユーザの公開鍵で暗号化された秘密鍵を併せて送信するようにしているのでセキュリティが確保される。電子データ利用後は、作成された公開鍵で暗号化された電子データのみ保存され、同じ電子データを再度利用する際は、ステップ20より開始するのは勿論である。また、ユーザの電子証明書が失効している場合にはアプリケーション2が暗号化された電子データを復号化しないことから、例えば退職されたユーザが退職後に電子データを閲覧しようとしても、当該ユーザの電子証明書を失効しておけば閲覧不可とすることができる。
【0033】
次に本発明の第3の実施の形態について説明する。
【0034】
これは、暗号化方式として「共通鍵暗号化方式」を採用したものである。
【0035】
基本的な構成は図1と同様であるので、ここでは図1と同一構成については同一符号をもって適宜参照することとし、重複した説明は省略する。
【0036】
以下、図4のフローチャートを参照して、本発明の第3の実施の形態に係る通信制御システムによる一連の動作を詳細に説明する。
【0037】
ユーザ端末1のユーザアプリケーション2が電子データ管理サーバ3に電子データ取得リクエストを行うと(ステップS31)、電子データ管理サーバ3はポリシーサーバ5にポリシー取得リクエストを行う(ステップS32)。電子データ取得リクエストにはユーザIDが含まれている。ポリシーサーバ5は、このポリシー取得リクエストを受けると、ユーザIDに対応するポリシーを返信する(ステップS33)。電子データ管理サーバ3は、このポリシーを受信すると、当該ポリシーに基づいて電子データをユーザアプリケーション2に与えてよいか否かを判断し、与えてよいと判断した場合にはDB/ファイルサーバ4にファイル取得リクエストを行う(ステップS34)。
【0038】
DB/ファイルサーバ4は、このリクエストを受けると、該当するファイルを送信する(ステップS35)。電子データ管理サーバ3は、共通鍵を作成し(ステップS36)、当該共通鍵により電子データを暗号化し(ステップS37)、ユーザの公開鍵により共通鍵を暗号化し(ステップS38)、暗号化された共通鍵、及び暗号化された電子データをユーザアプリケーション2に送信する(ステップS39)。
【0039】
そして、ユーザアプリケーション2は、ユーザ電子証明書の有効性の検証を証明書有効性検証サーバ7に問い合わせる(ステップS40)。証明書有効性検証サーバ7は、検証結果をユーザアプリケーション2側に送信する(ステップS41)。検証の結果、ユーザの電子証明書が有効である場合には、ユーザアプリケーション2は暗号化された共通鍵の復号化を行い(ステップS42)、復号化された共通鍵で電子データの復号化を行い(ステップS43)、電子データの利用が開始される(ステップS44)。
【0040】
以上説明したように、本発明の第3の実施の形態によれば、ユーザの公開鍵で暗号化された電子データを復号化するユーザの秘密鍵をもっているのはユーザだけであるのでセキュリティが更に高められることになる。また、ユーザの電子証明書が失効している場合にはアプリケーション2が暗号化された電子データを復号化しないことから、例えば退職されたユーザが退職後に電子データを閲覧しようとしても、当該ユーザの電子証明書を失効しておけば閲覧不可とすることができる。
【0041】
次に本発明の第4の実施の形態について説明する。
【0042】
これは、暗号化方式として公開鍵暗号化方式を採用したものである。
【0043】
基本的な構成は図5に示される通りである。図1の構成と比較すると、鍵・電子データ管理サーバ9が新たに追加している点のみが相違する。その他の構成は、図1と同様であるので、ここでは図1と同一構成については同一符号をもって適宜参照することとし、重複した説明は省略する。鍵・電子データ管理サーバ9とは、作成された電子証明書と電子データの登録を行うためのものであり、これらを一元管理するものである。
【0044】
以下、図6のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる一連の動作を詳細に説明する。
【0045】
ユーザ端末1のユーザアプリケーション2が電子データ管理サーバ3に電子データ取得リクエストを行うと(ステップS51)、電子データ管理サーバ3はポリシーサーバ5にポリシー取得リクエストを行う(ステップS52)。ポリシーサーバ5は、このポリシー取得リクエストを受けると、ポリシーを返信する(ステップS53)。電子データ管理サーバ3は、このポリシーを受信すると、当該ポリシーに基づいて電子データをユーザアプリケーション2に与えてよいか否かを判断し、与えてよいと判断した場合にはDB/ファイルサーバ4にファイル取得リクエストを行う(ステップS54)。DB/ファイルサーバ4は、このリクエストを受けると、該当するファイルを送信する(ステップS55)。
【0046】
電子データ管理サーバ3は、証明書発行・管理サーバ6に公開鍵、秘密鍵、電子証明書の作成リクエストを行う(ステップS56)。証明書発行・管理サーバ6は、このリクエストを受けると、公開鍵、秘密鍵、電子証明書を作成し、電子データ管理サーバ3に送信する(ステップS57)。尚、電子証明書、鍵ペア(公開鍵・秘密鍵)の作成はユーザ毎であってもファイル毎であってもよい。電子データ管理サーバ3は、この作成した公開鍵で電子データを暗号化し、ユーザの公開鍵で秘密鍵を暗号化し(ステップS58)、作成された電子証明書と電子データを鍵・電子データ管理サーバ9に登録する(ステップS59)。
【0047】
鍵・電子データ管理サーバ9は、登録が完了すると、その旨を電子データ管理サーバ3に返信する(ステップS60)。
【0048】
続いて、電子データ管理サーバ3は、作成された公開鍵の電子証明書、暗号化された電子データ、及び暗号化された秘密鍵をユーザアプリケーション2に送信する(ステップS61)。ユーザアプリケーション2は、これらを取得すると作成された電子証明書、およびユーザ電子証明書の有効性の検証を証明書有効性検証サーバ7に問い合わせる(ステップS62)。証明書有効性検証サーバ7は、検証結果をユーザアプリケーション2側に送信する(ステップS63)。検証の結果、ユーザの電子証明書が失効していない場合には、ユーザアプリケーション2は暗号化された秘密鍵の復号化を行い(ステップS64)、復号化された秘密鍵で電子データの復号化を行い(ステップS65)、こうして電子データの利用が開始される(ステップS66)。
【0049】
以上説明したように、本発明の第4の実施の形態によれば、暗号化された電子データを復号化する秘密鍵をもっているのはユーザだけであるのでセキュリティが更に高められることになる。また、ユーザの電子証明書が失効している場合にはアプリケーション2が暗号化された電子データを復号化しないことから、例えば退職されたユーザが退職後に電子データを閲覧しようとしても、当該ユーザの電子証明書を失効しておけば閲覧不可とすることができる。さらに、作成さえた電子証明書と電子データIDを鍵・電子データ管理サーバ9にて登録を受け付け、一元管理することができる。
【0050】
次に本発明の第5の実施の形態について説明する。
【0051】
基本的な構成は図5と同様であるので、ここでは図5と同一構成については同一符号をもって適宜参照することとし、重複した説明は省略する。
【0052】
以下、図7のフローチャートを参照して、本発明の第5の実施の形態に係る通信制御システムによる一連の動作を詳細に説明する。
管理者より電子データ管理サーバ3に対して電子データ廃棄リクエストがなされると(ステップS71)、電子データ管理サーバ3は当該電子データIDをキーにした該当電子証明書取得リクエストを鍵・電子データ管理サーバ9に対して行う(ステップS72)。
【0053】
鍵・電子データ管理サーバ9は、IDに該当する電子証明書を電子データ管理サーバ3に送信する(ステップS73)。続いて、電子データ管理サーバ3は、電子証明書の失効リクエストを証明書発行・管理サーバ6に対して行う(ステップS74)。
【0054】
証明書発行・管理サーバ6は、このリクエストを受けると、証明書有効性検証サーバ7に対して失効通知を行うと共に(ステップS75)、結果を電子データ管理サーバ3に通知する(ステップS76)。一方、ユーザアプリケーション2より電子証明書の有効性検証の問い合わせが証明書有効性検証サーバ7に対してなされると(ステップS77)、証明書有効性検証サーバ7より検証結果がユーザアプリケーション2まで送られる(ステップS78)。ユーザアプリケーション2は、この電子データが廃棄された旨を通知し(ステップS109)、暗号化された電子データを廃棄することになる(ステップS110)。
【0055】
以上説明したように、本発明の第5の実施の形態によれば、管理者より、廃棄したい電子データが、例えユーザのハードディスクといった外部記憶媒体に格納されていたとしても、電子データを暗号化している公開鍵の電子証明書を取得し、その電子証明書を失効することで、管理者側から、電子データを強制的に廃棄することが可能となる。ユーザ単位で行いたい場合は、ユーザの電子証明書を失効すれば、ユーザ単位で電子データを廃棄することができる。この電子データの廃棄については、例えばユーザアプリケーション2が実装されているユーザ端末1の不図示のハードや媒体に記憶されているデータの削除、ノイズの混入等により実現される。
【0056】
また、強制的な廃棄に替えて暗号化された情報を復号化できないようにしたり、復号化された電子データを保存不可としたりすることもできる。
【0057】
以上、本発明の実施の形態について説明したが、本発明はこれに限定されず、その趣旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。例えば、暗号化方式は、上記したものには限定されないことは勿論である。
【図面の簡単な説明】
【0058】
【図1】本発明の第1〜3の実施の形態に係る通信制御システムの構成を示す図である。
【図2】本発明の第1の実施の形態に係る通信制御システムによる一連の動作を詳細に説明するフローチャートである。
【図3】本発明の第2の実施の形態に係る通信制御システムによる一連の動作を詳細に説明するフローチャートである。
【図4】本発明の第3の実施の形態に係る通信制御システムによる一連の動作を詳細に説明するフローチャートである。
【図5】本発明の第4,5の実施の形態に係る通信制御システムの構成を示す図である。
【図6】本発明の第4の実施の形態に係る通信制御システムによる一連の動作を詳細に説明するフローチャートである。
【図7】本発明の第5の実施の形態に係る通信制御システムによる一連の動作を詳細に説明するフローチャートである。
【符号の説明】
【0059】
1・・・ユーザ端末、2・・・ユーザアプリケーション、3・・・電子データ管理サーバ、4・・・DB/ファイルサーバ、5・・・ポリシーサーバ、6・・・証明書発行・管理サーバ、7・・・証明書有効性検証サーバ、8・・・ネットワーク。
【特許請求の範囲】
【請求項1】
ユーザアプリケーションを実装したユーザ端末と通信自在な通信制御システムにおいて、
ユーザ毎のポリシーを管理するポリシーサーバと、
電子データを蓄積したファイルサーバと、
上記ユーザ端末から電子データ取得リクエストを受けると、上記ポリシーサーバにポリシー取得リクエストを行い、当該ポリシーサーバから得たポリシーに基づいて電子データをユーザ端末に配信してよいか否かを判断し、配信してよいと判断した場合にはファイルサーバより電子データを取得し、当該電子データを暗号化した後にユーザ端末に送信するように制御する管理サーバと、
を具備することを特徴とする通信制御システム。
【請求項2】
ユーザの電子証明書の有効性を検証する証明書有効性検証サーバを更に有し、当該証明書有効性検証サーバが、上記ユーザ端末から送られたユーザの電子証明書を受信し、当該電子証明書の有効性を検証した結果、当該電子証明書が失効している場合には、上記ユーザアプリケーションに対して上記電子データの廃棄を促すことを更に特徴とする請求項1に記載の通信制御システム。
【請求項3】
上記廃棄とは、上記暗号化された電子データの復号化を禁止することをいう請求項2に記載の通信制御システム。
【請求項4】
上記ユーザの電子証明書の有効性については、管理者により失効させることが可能である請求項2に記載の通信制御システム。
【請求項5】
ユーザに配布された電子データのIDとその電子データの暗号化に利用された鍵の電子証明書を管理する鍵、電子データ管理サーバを有することを特徴とする請求項2に記載の通信制御システム。
【請求項6】
上記請求項1記載の管理サーバにおいて、電子データ単位やユーザ単位で電子データを廃棄することを受け付けるインタフェースを保持することを更なる特徴として持つ、請求項1記載の通信制御システム。
【請求項1】
ユーザアプリケーションを実装したユーザ端末と通信自在な通信制御システムにおいて、
ユーザ毎のポリシーを管理するポリシーサーバと、
電子データを蓄積したファイルサーバと、
上記ユーザ端末から電子データ取得リクエストを受けると、上記ポリシーサーバにポリシー取得リクエストを行い、当該ポリシーサーバから得たポリシーに基づいて電子データをユーザ端末に配信してよいか否かを判断し、配信してよいと判断した場合にはファイルサーバより電子データを取得し、当該電子データを暗号化した後にユーザ端末に送信するように制御する管理サーバと、
を具備することを特徴とする通信制御システム。
【請求項2】
ユーザの電子証明書の有効性を検証する証明書有効性検証サーバを更に有し、当該証明書有効性検証サーバが、上記ユーザ端末から送られたユーザの電子証明書を受信し、当該電子証明書の有効性を検証した結果、当該電子証明書が失効している場合には、上記ユーザアプリケーションに対して上記電子データの廃棄を促すことを更に特徴とする請求項1に記載の通信制御システム。
【請求項3】
上記廃棄とは、上記暗号化された電子データの復号化を禁止することをいう請求項2に記載の通信制御システム。
【請求項4】
上記ユーザの電子証明書の有効性については、管理者により失効させることが可能である請求項2に記載の通信制御システム。
【請求項5】
ユーザに配布された電子データのIDとその電子データの暗号化に利用された鍵の電子証明書を管理する鍵、電子データ管理サーバを有することを特徴とする請求項2に記載の通信制御システム。
【請求項6】
上記請求項1記載の管理サーバにおいて、電子データ単位やユーザ単位で電子データを廃棄することを受け付けるインタフェースを保持することを更なる特徴として持つ、請求項1記載の通信制御システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2006−33624(P2006−33624A)
【公開日】平成18年2月2日(2006.2.2)
【国際特許分類】
【出願番号】特願2004−212118(P2004−212118)
【出願日】平成16年7月20日(2004.7.20)
【出願人】(502306660)日本テレコム株式会社 (63)
【Fターム(参考)】
【公開日】平成18年2月2日(2006.2.2)
【国際特許分類】
【出願日】平成16年7月20日(2004.7.20)
【出願人】(502306660)日本テレコム株式会社 (63)
【Fターム(参考)】
[ Back to top ]