通信情報記録から暗号化されたEメールを復号し蓄積する方法とこれを利用したシステム
【課題】通信記録の分析装置において暗号化されたメールの内容を参照可能にする。
【解決手段】データ抽出復元格納機構2がデータベース(通信パケットテーブル)1からEメールを構築、そのデータ内に鍵データがあった場合、この鍵データを鍵格納域3に格納し、鍵登録機構4が暗号化復号システム5に鍵データの登録処理を依頼する。データ抽出復元格納機構2が構築したEメール内に暗号データがある場合、暗号データを暗号データ格納域7に格納し、データ抽出復元格納機構2が暗号化復号システム5に暗号データの復号処理を依頼する。暗号化復号システム5が復号したデータは復号データ格納域8に格納され、データ抽出復元格納機構2がこのデータをデータベース(Eメール抽出データテーブル)9に格納することで実現する。
【解決手段】データ抽出復元格納機構2がデータベース(通信パケットテーブル)1からEメールを構築、そのデータ内に鍵データがあった場合、この鍵データを鍵格納域3に格納し、鍵登録機構4が暗号化復号システム5に鍵データの登録処理を依頼する。データ抽出復元格納機構2が構築したEメール内に暗号データがある場合、暗号データを暗号データ格納域7に格納し、データ抽出復元格納機構2が暗号化復号システム5に暗号データの復号処理を依頼する。暗号化復号システム5が復号したデータは復号データ格納域8に格納され、データ抽出復元格納機構2がこのデータをデータベース(Eメール抽出データテーブル)9に格納することで実現する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は通信分野における通信記録の分析装置に関する発明である。
【背景技術】
【0002】
従来、パケット内の情報が登録されたデータベースから特定のデータを構築する方法は特許文献1に記載される方法及び装置が知られている。本発明は特許文献1の方法を踏まえた発明である。
【0003】
【特許文献1】特願2005−26991号
【発明の開示】
【発明が解決しようとする課題】
【0004】
特許文献1に記載された方法でEメールの内容を再生することができる。
再生されたデータは通信記録の分析に利用されネットワーク管理者にとって便利な反面、内容が暗号化されていないため情報漏洩のリスクと隣り合わせの状態にあった。
監視対象となるネットワーク内においてEメールの内容を暗号化する要求はあったが、暗号化されたEメールの流通を許すとネットワーク内に流れるEメールの内容は不明になる問題があった。
例えば、利用者のパソコンがコンピュータ・ウィルスに感染し、このウィルスがEメールを使い社内の情報を持ち出した場合、内容が暗号化されているためネットワーク管理者はこれを発見できない。
【0005】
ネットワーク内の通信内容を監視対象にでき、かつ、暗号データを含むEメールを管理できる手段の作成が課題となった。
【課題を解決するための手段】
【0006】
図1は本発明の構成を示すブロック図である。
本発明は、通信のパケット内の情報が登録されたデータベース「データベース(通信パケットテーブル)1」からデータを読み取りEメール等のデータを構築する「データ抽出復元格納機構2」とEメール内の鍵データを格納する「鍵格納域3」とこのデータを「暗号化復号システム5」に登録する「鍵登録機構4」と「暗号化復号システム5」が登録した鍵に与える鍵識別コード及び鍵データの所有者のEメールアドレスと鍵データが格納される「鍵マスタファイル6」により構成される。
【0007】
以降、「データ抽出復元格納機構2」が「データベース(通信パケットテーブル)1」からEメールを構築した際、内容に暗号データがあった場合、このデータを「暗号データ格納域7」に格納し「暗号化復号システム5」に復号させる。「暗号化復号システム5」により復号されたデータは「復号データ格納域8」に格納され、「データ抽出復元格納機構2」が「復号データ格納域8」のデータを「データベース(Eメール抽出データテーブル)9」に格納することにより実現する。
【発明の効果】
【0008】
本発明を利用することで暗号データを有するEメールをネットワーク内で流通させることができ、ネットワーク内の監視能力を落とすことなく、社内の情報機密レベルを向上させることができる。
【発明を実施するための最良の形態】
【0009】
Eメールで暗号データをやり取りする場合、図13に示す項の順に行われる。
共通鍵暗号方式では鍵データが漏れた場合、Eメール内の暗号データ全てが復号されるリスクがあり、現状のネットワーク監視のレベルと大差ないことになる。ネットワーク管理者以外の者に鍵が渡った場合のリスクが大きい。本発明の方式はこの鍵でも使える形になっている。
【0010】
一方公開鍵暗号方式は現実的である。この方式は利用者ごとに鍵を持つため利用者固有の鍵とみなすことができる。1つの鍵が漏れてもその鍵の所有者以外には影響を与えない。加えて公開鍵は秘密鍵で暗号化されたデータでしか復号できない。公開鍵で暗号化されたデータは復号できない。さらにリスクは半減する。
【0011】
「暗号化復号システム5」は鍵そのものの管理システムであるのに本発明では「鍵マスタファイル6」を余分に設定している。その理由は鍵データの配布を行う鍵サーバに対応するためである。鍵サーバからまとめて定義情報を「鍵マスタファイル6」に設定する。図11は「鍵マスタファイル6」の構成を示すが、「暗号化復号システム5」に未登録のデータは項2の「鍵識別コード」が空になっている。すでに登録済みの鍵データには対応する「鍵識別コード」があるのでこれと区別することができる。「データ抽出復元格納機構2」が起動された時、「鍵識別コード」が空の新規の鍵データがあれば「暗号化復号システム5」へデータを登録することができる。
【0012】
「鍵マスタファイル6」の存在により、Eメール内の暗号データの復号の幅が広がることになる。これは本発明の特徴でもある。
【0013】
暗号データの運用はEメール全体を暗号化するのではなく、図9に示すようにEメール本文に組み込む形が現実的である。
【実施例】
【0014】
以下、本発明の実施形態を図1〜図12に基づいて説明する。
【0015】
図1は本発明の構成を示すブロック図である。
「データベース(通信パケットテーブル)1」は通信のパケット内の情報が登録されたデータベースであり、「データ抽出復元格納機構2」が中心になり、このデータベースからEメールを取り出す。
【0016】
「鍵登録機構4」は「データ抽出復元格納機構2」から呼び出され、「鍵格納域3」に格納された鍵データを「暗号化復号システム5」へ登録する役割と、「暗号化復号システム5」が鍵データを登録した後に通知する鍵識別コードと鍵データの所有者のEメールアドレスを「データ抽出復元格納機構2」へ知らせる役割を担う。
【0017】
Eメール内の暗号データは「データ抽出復元格納機構2」により「暗号データ格納域7」に格納され、「暗号化復号システム5」がこれを復号する。復号されたデータは「復号データ格納域8」に格納され「データ抽出復元格納機構2」がこのデータを「データベース(Eメール抽出データテーブル)9」に格納する形となる。
【0018】
「データ抽出復元格納機構2」は10分間隔という定期的な起動の他、「データベース(通信パケットテーブル)1」の最初又は途中の時刻から処理を開始するものとする。
【0019】
起動された「データ抽出復元格納機構2」の処理の流れ図を図2に示す。
【0020】
処理ステップ1で「新規鍵の登録処理」を行う。
これは、鍵サーバからまとめて定義情報を「鍵マスタファイル6」に設定された場合の処理であり、処理に先立ちあらかじめ「暗号化復号システム5」に鍵データを登録しておく処理である。図6に「新規鍵の登録処理」の流れ図を示す。
【0021】
処理ステップ24で、「データ抽出復元格納機構2」が「鍵マスタファイル6」を読む。レコードの内容は図11に示す構成になっている。新規鍵データは図11の項4「鍵データ」に内容が格納されており、図11の項2、項3は空の状態にある。処理ステップ25へ進む。
【0022】
処理ステップ25で、読み込みが終了したか判定する。
YESの場合、処理を終了し復帰する。
NOの場合、処理ステップ26へ進む。
【0023】
処理ステップ26で、「鍵識別コード(図11の項2)」が空か判定する。
YESの場合、処理ステップ27へ進む。
NOの場合、処理ステップ24へ戻る。
【0024】
処理ステップ27で、「データ抽出復元格納機構2」が鍵データ(図11の項4)を「鍵格納域3」に格納し、「鍵登録機構4」に登録処理を依頼する。処理ステップ28へ進む。
【0025】
処理ステップ28で、「鍵登録機構4」が「鍵格納域3」にある鍵データを「暗号化復号システム5」に登録し、鍵データの所有者のEメールアドレスと鍵識別コードを取得する。
「データ抽出復元格納機構2」が「鍵登録機構4」から通知されたEメールアドレス(図11の項3)と鍵識別コード(図11の項2)を「鍵マスタファイル6」に格納する。
【0026】
なお、図11の項5の「パスワード」は暗号データの復号時に使用されるものである。運用によって使用されない場合がある。
「新規鍵の登録処理」を復帰すると図2に戻り処理ステップ2へ進む。
【0027】
処理ステップ2で、「データ抽出復元格納機構2」が「データベース(通信パケットテーブル)1」からデータを読み込む。図10に「データベース(通信パケットテーブル)1」の構成を示す。処理ステップ3へ進む。
【0028】
処理ステップ3で、処理が終端まで到達したか判定する。
YESの場合、処理を終了する。
NOの場合、処理ステップ4へ進む。
【0029】
処理ステップ4で、「データ抽出復元格納機構2」が「データベース(通信パケットテーブル)1」から通信データを組み立てる。
通信データは通常複数の通信パケットに分割されているので、これを結合する必要がある。結合した結果出来上がるデータは例えば図7及び図8、図9の内容になる。処理ステップ5へ進む。
【0030】
処理ステップ5で、Eメールか判定する。
YESの場合、処理ステップ6へ進む。
NOの場合、処理ステップ2へ戻る。
Eメールの判定は「データベース(通信パケットテーブル)1」内のデータである「送信元PORT番号(図10の項6)」又は「送信先PORT番号(図10の項8)」が25であるかで判断する。
最近はPORT番号80を使ったWEBメールがある。この場合の判定はPORT番号に加え、処理ステップ4で構築したデータ内に「Subject:」を先頭に置く行があり、かつ「boundary=」を含む行があるか等で判定する。
【0031】
処理ステップ6で、データ内に鍵データがあるか判定する。
YESの場合、処理ステップ7へ進む。
NOの場合、処理ステップ8へ進む。
鍵データとは図8に示すように鍵データの始まりと終わりを示す「−−−−−BEGIN PGP PUBLIC KEY BLOCK−−−−−」行と「−−−−−END PGP PUBLIC KEY BLOCK−−−−−」行の間のデータのこと。鍵データの始まりと終わりを示す行が含まれているか判定する。
【0032】
処理ステップ7で、「鍵登録処理」を行う。
図3に「鍵登録処理」の流れ図を示す。
【0033】
処理ステップ9で、「データ抽出復元格納機構2」が「鍵マスタファイル6」を読む。
この場合、ステップ10で判定ができるようEメール内の鍵データと「鍵マスタファイル6」の全レコードの「鍵データ(図11の項4)」を比較しておく。処理ステップ10へ進む。
【0034】
処理ステップ10で、「鍵マスタファイル6」に同じ鍵データがあるか判定する。
YESの場合、処理を終了し復帰する。
NOの場合、処理ステップ11へ進む。
【0035】
処理ステップ11で、「データ抽出復元格納機構2」が鍵データを「鍵格納域3」に格納し、「鍵登録機構4」に登録処理を依頼する。処理ステップ12へ進む。
【0036】
処理ステップ12で、「鍵登録機構4」が「鍵格納域3」にある鍵データを「暗号化復号システム5」に登録し、鍵データの所有者のEメールアドレスと鍵識別コードを取得する。処理ステップ13へ進む。
【0037】
処理ステップ13で「データ抽出復元格納機構2」が鍵データ(図11の項4)と「鍵登録機構4」から通知されたEメールアドレス(図11の項3)と鍵識別コード(図11の項2)を「鍵マスタファイル6」に追加する。
「鍵登録処理」を復帰すると図2に戻り、処理ステップ8へ進む。
【0038】
処理ステップ8で、「メール取り出し処理」を行い、処理ステップ2へ戻る。
図4に「メール取り出し処理」の流れ図を示す。
【0039】
処理ステップ14で、Eメールの本文内に暗号データがあるか判定する。
YESの場合、処理ステップ15へ進む。
NOの場合、処理ステップ23へ進む。
暗号データとは図9に示すように暗号データの始まりと終わりを示す「−−−−−BEGIN PGP MESSAGE−−−−−」行と「−−−−−END PGP MESSAGE−−−−−」行の間のデータのこと。暗号データの始まりと終わりを示す行が含まれているか判定する。
【0040】
処理ステップ15で、Eメールから送信元Eメールアドレスを取り出す。
図7に示す行の中で「MAIL FROM:」又は「SEND FROM:」又は「SAML FROM:」又は「SOML FROM:」から始まる行のデータを取り出す。処理ステップ16へ進む。
【0041】
処理ステップ16で、「データ抽出復元格納機構2」が「鍵マスタファイル6」を参照し送信元Eメールアドレスに一致するデータがあるか検索する。図11の項3「Eメールアドレス」を検索する。処理ステップ17へ進む。
【0042】
処理ステップ17で、一致するデータがあるか判定する。
YESの場合、処理ステップ18へ進む。
NOの場合、処理ステップ23へ進む。
【0043】
処理ステップ18で、「データ抽出復元格納機構2」が暗号データを「暗号データ格納域7」に格納し「暗号化復号システム5」に復号を依頼する。処理ステップ19へ進む。
【0044】
処理ステップ19で、復号に成功したか判定する。
YESの場合、処理ステップ20へ進む。
NOの場合、処理ステップ23へ進む。
成功した場合、復号されたデータは「復号データ格納域8」に格納される。
【0045】
処理ステップ20で、「復号データ格納域8」に鍵データがあるか判定する。
YESの場合、処理ステップ21へ進む。
NOの場合、処理ステップ22へ進む。
【0046】
処理ステップ21で、「鍵登録処理」を行う。処理ステップ22へ進む。
「鍵登録処理」はすでに説明した。
【0047】
処理ステップ22で、「データ抽出復元格納機構2」が「復号データ格納域8」のデータを取り出し、さらにEメールから各情報を取り出し「データベース(Eメール抽出データテーブル)9」に格納する。
「データベース(Eメール抽出データテーブル)9」は図12に示す構成である。
「復号データ格納域8」のデータは図12の項16「復号後のデータ」に格納される。
【0048】
処理ステップ23で、「データ抽出復元格納機構2」がEメールから各情報を取り出し、「データベース(Eメール抽出データテーブル)9」に格納する。
「データベース(Eメール抽出データテーブル)9」は図12に示す構成である。
【0049】
「メール取り出し処理」が終了すると図2に戻り、処理ステップ2へ進む。
【0050】
以上で実施例の説明を終わる。「暗号化復号システム5」の種類が変われば、暗号データの始まりと終わりを示す行、鍵データの始まりと終わりを示す行が対応して変化するが、この部分が変更されても本発明は同様に機能することを最後に加えておく。
【産業上の利用可能性】
【0051】
本発明を利用することでネットワーク内の通信内容の監視レベルを落とすことなく、Eメールでの暗号データの流通が可能となり、ネットワーク内の情報機密性を向上させることができる。
【図面の簡単な説明】
【0052】
【図1】本発明の構成を示すブロック図
【図2】本発明の処理の手順を示す図
【図3】鍵登録処理の手順を示す図
【図4】メール取り出し処理の手順を示す図
【図5】メール取り出し処理の手順を示す図(続き)
【図6】新規鍵の登録処理の手順を示す図
【図7】Eメールのタイトル行より前の部分の図
【図8】Eメールのタイトル行から後の部分、鍵データを含む場合の図
【図9】Eメールのタイトル行から後の部分、暗号データを含む場合の図
【図10】データベース(通信パケットテーブル)の構成要素図
【図11】鍵マスタファイルの構成要素図
【図12】データベース(Eメール抽出データテーブル)の構成要素図
【図13】公開鍵暗号方式を使ったEメールの送付手順を示す図
【技術分野】
【0001】
本発明は通信分野における通信記録の分析装置に関する発明である。
【背景技術】
【0002】
従来、パケット内の情報が登録されたデータベースから特定のデータを構築する方法は特許文献1に記載される方法及び装置が知られている。本発明は特許文献1の方法を踏まえた発明である。
【0003】
【特許文献1】特願2005−26991号
【発明の開示】
【発明が解決しようとする課題】
【0004】
特許文献1に記載された方法でEメールの内容を再生することができる。
再生されたデータは通信記録の分析に利用されネットワーク管理者にとって便利な反面、内容が暗号化されていないため情報漏洩のリスクと隣り合わせの状態にあった。
監視対象となるネットワーク内においてEメールの内容を暗号化する要求はあったが、暗号化されたEメールの流通を許すとネットワーク内に流れるEメールの内容は不明になる問題があった。
例えば、利用者のパソコンがコンピュータ・ウィルスに感染し、このウィルスがEメールを使い社内の情報を持ち出した場合、内容が暗号化されているためネットワーク管理者はこれを発見できない。
【0005】
ネットワーク内の通信内容を監視対象にでき、かつ、暗号データを含むEメールを管理できる手段の作成が課題となった。
【課題を解決するための手段】
【0006】
図1は本発明の構成を示すブロック図である。
本発明は、通信のパケット内の情報が登録されたデータベース「データベース(通信パケットテーブル)1」からデータを読み取りEメール等のデータを構築する「データ抽出復元格納機構2」とEメール内の鍵データを格納する「鍵格納域3」とこのデータを「暗号化復号システム5」に登録する「鍵登録機構4」と「暗号化復号システム5」が登録した鍵に与える鍵識別コード及び鍵データの所有者のEメールアドレスと鍵データが格納される「鍵マスタファイル6」により構成される。
【0007】
以降、「データ抽出復元格納機構2」が「データベース(通信パケットテーブル)1」からEメールを構築した際、内容に暗号データがあった場合、このデータを「暗号データ格納域7」に格納し「暗号化復号システム5」に復号させる。「暗号化復号システム5」により復号されたデータは「復号データ格納域8」に格納され、「データ抽出復元格納機構2」が「復号データ格納域8」のデータを「データベース(Eメール抽出データテーブル)9」に格納することにより実現する。
【発明の効果】
【0008】
本発明を利用することで暗号データを有するEメールをネットワーク内で流通させることができ、ネットワーク内の監視能力を落とすことなく、社内の情報機密レベルを向上させることができる。
【発明を実施するための最良の形態】
【0009】
Eメールで暗号データをやり取りする場合、図13に示す項の順に行われる。
共通鍵暗号方式では鍵データが漏れた場合、Eメール内の暗号データ全てが復号されるリスクがあり、現状のネットワーク監視のレベルと大差ないことになる。ネットワーク管理者以外の者に鍵が渡った場合のリスクが大きい。本発明の方式はこの鍵でも使える形になっている。
【0010】
一方公開鍵暗号方式は現実的である。この方式は利用者ごとに鍵を持つため利用者固有の鍵とみなすことができる。1つの鍵が漏れてもその鍵の所有者以外には影響を与えない。加えて公開鍵は秘密鍵で暗号化されたデータでしか復号できない。公開鍵で暗号化されたデータは復号できない。さらにリスクは半減する。
【0011】
「暗号化復号システム5」は鍵そのものの管理システムであるのに本発明では「鍵マスタファイル6」を余分に設定している。その理由は鍵データの配布を行う鍵サーバに対応するためである。鍵サーバからまとめて定義情報を「鍵マスタファイル6」に設定する。図11は「鍵マスタファイル6」の構成を示すが、「暗号化復号システム5」に未登録のデータは項2の「鍵識別コード」が空になっている。すでに登録済みの鍵データには対応する「鍵識別コード」があるのでこれと区別することができる。「データ抽出復元格納機構2」が起動された時、「鍵識別コード」が空の新規の鍵データがあれば「暗号化復号システム5」へデータを登録することができる。
【0012】
「鍵マスタファイル6」の存在により、Eメール内の暗号データの復号の幅が広がることになる。これは本発明の特徴でもある。
【0013】
暗号データの運用はEメール全体を暗号化するのではなく、図9に示すようにEメール本文に組み込む形が現実的である。
【実施例】
【0014】
以下、本発明の実施形態を図1〜図12に基づいて説明する。
【0015】
図1は本発明の構成を示すブロック図である。
「データベース(通信パケットテーブル)1」は通信のパケット内の情報が登録されたデータベースであり、「データ抽出復元格納機構2」が中心になり、このデータベースからEメールを取り出す。
【0016】
「鍵登録機構4」は「データ抽出復元格納機構2」から呼び出され、「鍵格納域3」に格納された鍵データを「暗号化復号システム5」へ登録する役割と、「暗号化復号システム5」が鍵データを登録した後に通知する鍵識別コードと鍵データの所有者のEメールアドレスを「データ抽出復元格納機構2」へ知らせる役割を担う。
【0017】
Eメール内の暗号データは「データ抽出復元格納機構2」により「暗号データ格納域7」に格納され、「暗号化復号システム5」がこれを復号する。復号されたデータは「復号データ格納域8」に格納され「データ抽出復元格納機構2」がこのデータを「データベース(Eメール抽出データテーブル)9」に格納する形となる。
【0018】
「データ抽出復元格納機構2」は10分間隔という定期的な起動の他、「データベース(通信パケットテーブル)1」の最初又は途中の時刻から処理を開始するものとする。
【0019】
起動された「データ抽出復元格納機構2」の処理の流れ図を図2に示す。
【0020】
処理ステップ1で「新規鍵の登録処理」を行う。
これは、鍵サーバからまとめて定義情報を「鍵マスタファイル6」に設定された場合の処理であり、処理に先立ちあらかじめ「暗号化復号システム5」に鍵データを登録しておく処理である。図6に「新規鍵の登録処理」の流れ図を示す。
【0021】
処理ステップ24で、「データ抽出復元格納機構2」が「鍵マスタファイル6」を読む。レコードの内容は図11に示す構成になっている。新規鍵データは図11の項4「鍵データ」に内容が格納されており、図11の項2、項3は空の状態にある。処理ステップ25へ進む。
【0022】
処理ステップ25で、読み込みが終了したか判定する。
YESの場合、処理を終了し復帰する。
NOの場合、処理ステップ26へ進む。
【0023】
処理ステップ26で、「鍵識別コード(図11の項2)」が空か判定する。
YESの場合、処理ステップ27へ進む。
NOの場合、処理ステップ24へ戻る。
【0024】
処理ステップ27で、「データ抽出復元格納機構2」が鍵データ(図11の項4)を「鍵格納域3」に格納し、「鍵登録機構4」に登録処理を依頼する。処理ステップ28へ進む。
【0025】
処理ステップ28で、「鍵登録機構4」が「鍵格納域3」にある鍵データを「暗号化復号システム5」に登録し、鍵データの所有者のEメールアドレスと鍵識別コードを取得する。
「データ抽出復元格納機構2」が「鍵登録機構4」から通知されたEメールアドレス(図11の項3)と鍵識別コード(図11の項2)を「鍵マスタファイル6」に格納する。
【0026】
なお、図11の項5の「パスワード」は暗号データの復号時に使用されるものである。運用によって使用されない場合がある。
「新規鍵の登録処理」を復帰すると図2に戻り処理ステップ2へ進む。
【0027】
処理ステップ2で、「データ抽出復元格納機構2」が「データベース(通信パケットテーブル)1」からデータを読み込む。図10に「データベース(通信パケットテーブル)1」の構成を示す。処理ステップ3へ進む。
【0028】
処理ステップ3で、処理が終端まで到達したか判定する。
YESの場合、処理を終了する。
NOの場合、処理ステップ4へ進む。
【0029】
処理ステップ4で、「データ抽出復元格納機構2」が「データベース(通信パケットテーブル)1」から通信データを組み立てる。
通信データは通常複数の通信パケットに分割されているので、これを結合する必要がある。結合した結果出来上がるデータは例えば図7及び図8、図9の内容になる。処理ステップ5へ進む。
【0030】
処理ステップ5で、Eメールか判定する。
YESの場合、処理ステップ6へ進む。
NOの場合、処理ステップ2へ戻る。
Eメールの判定は「データベース(通信パケットテーブル)1」内のデータである「送信元PORT番号(図10の項6)」又は「送信先PORT番号(図10の項8)」が25であるかで判断する。
最近はPORT番号80を使ったWEBメールがある。この場合の判定はPORT番号に加え、処理ステップ4で構築したデータ内に「Subject:」を先頭に置く行があり、かつ「boundary=」を含む行があるか等で判定する。
【0031】
処理ステップ6で、データ内に鍵データがあるか判定する。
YESの場合、処理ステップ7へ進む。
NOの場合、処理ステップ8へ進む。
鍵データとは図8に示すように鍵データの始まりと終わりを示す「−−−−−BEGIN PGP PUBLIC KEY BLOCK−−−−−」行と「−−−−−END PGP PUBLIC KEY BLOCK−−−−−」行の間のデータのこと。鍵データの始まりと終わりを示す行が含まれているか判定する。
【0032】
処理ステップ7で、「鍵登録処理」を行う。
図3に「鍵登録処理」の流れ図を示す。
【0033】
処理ステップ9で、「データ抽出復元格納機構2」が「鍵マスタファイル6」を読む。
この場合、ステップ10で判定ができるようEメール内の鍵データと「鍵マスタファイル6」の全レコードの「鍵データ(図11の項4)」を比較しておく。処理ステップ10へ進む。
【0034】
処理ステップ10で、「鍵マスタファイル6」に同じ鍵データがあるか判定する。
YESの場合、処理を終了し復帰する。
NOの場合、処理ステップ11へ進む。
【0035】
処理ステップ11で、「データ抽出復元格納機構2」が鍵データを「鍵格納域3」に格納し、「鍵登録機構4」に登録処理を依頼する。処理ステップ12へ進む。
【0036】
処理ステップ12で、「鍵登録機構4」が「鍵格納域3」にある鍵データを「暗号化復号システム5」に登録し、鍵データの所有者のEメールアドレスと鍵識別コードを取得する。処理ステップ13へ進む。
【0037】
処理ステップ13で「データ抽出復元格納機構2」が鍵データ(図11の項4)と「鍵登録機構4」から通知されたEメールアドレス(図11の項3)と鍵識別コード(図11の項2)を「鍵マスタファイル6」に追加する。
「鍵登録処理」を復帰すると図2に戻り、処理ステップ8へ進む。
【0038】
処理ステップ8で、「メール取り出し処理」を行い、処理ステップ2へ戻る。
図4に「メール取り出し処理」の流れ図を示す。
【0039】
処理ステップ14で、Eメールの本文内に暗号データがあるか判定する。
YESの場合、処理ステップ15へ進む。
NOの場合、処理ステップ23へ進む。
暗号データとは図9に示すように暗号データの始まりと終わりを示す「−−−−−BEGIN PGP MESSAGE−−−−−」行と「−−−−−END PGP MESSAGE−−−−−」行の間のデータのこと。暗号データの始まりと終わりを示す行が含まれているか判定する。
【0040】
処理ステップ15で、Eメールから送信元Eメールアドレスを取り出す。
図7に示す行の中で「MAIL FROM:」又は「SEND FROM:」又は「SAML FROM:」又は「SOML FROM:」から始まる行のデータを取り出す。処理ステップ16へ進む。
【0041】
処理ステップ16で、「データ抽出復元格納機構2」が「鍵マスタファイル6」を参照し送信元Eメールアドレスに一致するデータがあるか検索する。図11の項3「Eメールアドレス」を検索する。処理ステップ17へ進む。
【0042】
処理ステップ17で、一致するデータがあるか判定する。
YESの場合、処理ステップ18へ進む。
NOの場合、処理ステップ23へ進む。
【0043】
処理ステップ18で、「データ抽出復元格納機構2」が暗号データを「暗号データ格納域7」に格納し「暗号化復号システム5」に復号を依頼する。処理ステップ19へ進む。
【0044】
処理ステップ19で、復号に成功したか判定する。
YESの場合、処理ステップ20へ進む。
NOの場合、処理ステップ23へ進む。
成功した場合、復号されたデータは「復号データ格納域8」に格納される。
【0045】
処理ステップ20で、「復号データ格納域8」に鍵データがあるか判定する。
YESの場合、処理ステップ21へ進む。
NOの場合、処理ステップ22へ進む。
【0046】
処理ステップ21で、「鍵登録処理」を行う。処理ステップ22へ進む。
「鍵登録処理」はすでに説明した。
【0047】
処理ステップ22で、「データ抽出復元格納機構2」が「復号データ格納域8」のデータを取り出し、さらにEメールから各情報を取り出し「データベース(Eメール抽出データテーブル)9」に格納する。
「データベース(Eメール抽出データテーブル)9」は図12に示す構成である。
「復号データ格納域8」のデータは図12の項16「復号後のデータ」に格納される。
【0048】
処理ステップ23で、「データ抽出復元格納機構2」がEメールから各情報を取り出し、「データベース(Eメール抽出データテーブル)9」に格納する。
「データベース(Eメール抽出データテーブル)9」は図12に示す構成である。
【0049】
「メール取り出し処理」が終了すると図2に戻り、処理ステップ2へ進む。
【0050】
以上で実施例の説明を終わる。「暗号化復号システム5」の種類が変われば、暗号データの始まりと終わりを示す行、鍵データの始まりと終わりを示す行が対応して変化するが、この部分が変更されても本発明は同様に機能することを最後に加えておく。
【産業上の利用可能性】
【0051】
本発明を利用することでネットワーク内の通信内容の監視レベルを落とすことなく、Eメールでの暗号データの流通が可能となり、ネットワーク内の情報機密性を向上させることができる。
【図面の簡単な説明】
【0052】
【図1】本発明の構成を示すブロック図
【図2】本発明の処理の手順を示す図
【図3】鍵登録処理の手順を示す図
【図4】メール取り出し処理の手順を示す図
【図5】メール取り出し処理の手順を示す図(続き)
【図6】新規鍵の登録処理の手順を示す図
【図7】Eメールのタイトル行より前の部分の図
【図8】Eメールのタイトル行から後の部分、鍵データを含む場合の図
【図9】Eメールのタイトル行から後の部分、暗号データを含む場合の図
【図10】データベース(通信パケットテーブル)の構成要素図
【図11】鍵マスタファイルの構成要素図
【図12】データベース(Eメール抽出データテーブル)の構成要素図
【図13】公開鍵暗号方式を使ったEメールの送付手順を示す図
【特許請求の範囲】
【請求項1】
通信のパケット内の情報が登録されたデータベースと暗号データを復号する暗号化復号システムを有し、通信のパケット内の情報が登録されたデータベースからEメールを構築した時、暗号に使用する鍵データを読み取り、これを暗号化復号システムに登録し、この時与えられた鍵識別コードと鍵データの所有者のEメールアドレスと鍵データをファイルに記録する特徴を有し、以降、通信のパケット内の情報が登録されたデータベースからEメールが構築され、Eメールの内容に暗号データが含まれていた場合、Eメールの送信元Eメールアドレスが上記記録したファイル内に存在するか調べ、存在した場合、この暗号データを暗号化復号システムにより復号し、復号されたデータをEメールの内容と共にデータベースに格納する点を特徴に持つ通信解析システム。
【請求項1】
通信のパケット内の情報が登録されたデータベースと暗号データを復号する暗号化復号システムを有し、通信のパケット内の情報が登録されたデータベースからEメールを構築した時、暗号に使用する鍵データを読み取り、これを暗号化復号システムに登録し、この時与えられた鍵識別コードと鍵データの所有者のEメールアドレスと鍵データをファイルに記録する特徴を有し、以降、通信のパケット内の情報が登録されたデータベースからEメールが構築され、Eメールの内容に暗号データが含まれていた場合、Eメールの送信元Eメールアドレスが上記記録したファイル内に存在するか調べ、存在した場合、この暗号データを暗号化復号システムにより復号し、復号されたデータをEメールの内容と共にデータベースに格納する点を特徴に持つ通信解析システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2007−233982(P2007−233982A)
【公開日】平成19年9月13日(2007.9.13)
【国際特許分類】
【出願番号】特願2006−89337(P2006−89337)
【出願日】平成18年2月27日(2006.2.27)
【出願人】(504039959)
【Fターム(参考)】
【公開日】平成19年9月13日(2007.9.13)
【国際特許分類】
【出願日】平成18年2月27日(2006.2.27)
【出願人】(504039959)
【Fターム(参考)】
[ Back to top ]