JP5984560B2 - Access control system - Google Patents
Access control system Download PDFInfo
- Publication number
- JP5984560B2 JP5984560B2 JP2012170454A JP2012170454A JP5984560B2 JP 5984560 B2 JP5984560 B2 JP 5984560B2 JP 2012170454 A JP2012170454 A JP 2012170454A JP 2012170454 A JP2012170454 A JP 2012170454A JP 5984560 B2 JP5984560 B2 JP 5984560B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- access right
- access
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、電子メールの宛先に指定された受信者に限定して、電子メール送信者のデータへアクセスを許可するアクセス制御システムに関する。 The present invention relates to an access control system that permits access to data of an e-mail sender only for a recipient designated as an e-mail destination.
従来、特許文献1には、電子メールの発信者の個人情報を電子メールの着信者へ公開する個人情報管理システムが提案されている。この個人情報管理システムは、電子メールを発信する発信端末と、電子メールを受信する着信端末と、発信者の個人情報を登録する個人情報管理サーバとを有する。発信端末は、発信者の個人情報にパスワードを設定して個人情報管理サーバに予め登録し、着信者にその個人情報を公開する場合、そのパスワードを電子メールに記入して着信端末に発信する。着信端末は、受信した電子メールに記入されたパスワードを個人情報管理サーバに提示して発信者の個人情報の取得を要求する。個人情報管理サーバは、発信者の個人情報に設定されたパスワードと、着信端末から提示されたパスワードが一致すると、発信者の個人情報を着信端末に送信している。 Conventionally, Patent Document 1 proposes a personal information management system that discloses personal information of an e-mail sender to an e-mail recipient. This personal information management system includes a transmitting terminal that transmits electronic mail, an incoming terminal that receives electronic mail, and a personal information management server that registers personal information of the sender. The sending terminal sets a password for the personal information of the caller and registers it in the personal information management server in advance. When the personal information is disclosed to the callee, the sending terminal writes the password in an e-mail and sends it to the receiving terminal. The receiving terminal presents the password entered in the received e-mail to the personal information management server and requests acquisition of the personal information of the sender. When the password set in the caller's personal information matches the password presented from the receiving terminal, the personal information management server transmits the caller's personal information to the receiving terminal.
特許文献1に記載された個人情報管理システムは、発信者の個人情報を着信者に公開することができる。しかしながら、着信者が発信端末から受信した電子メールを第三者に転送した場合、その転送された電子メールを受信した第三者も発信者の個人情報を参照することが可能となる。そのため、特許文献1に記載された個人情報管理システムは、発信者が意図していない者、この場合転送した電子メールの着信者にまで個人情報が公開されてしまうこととなっていた。 The personal information management system described in Patent Document 1 can disclose the sender's personal information to the recipient. However, when the callee transfers the e-mail received from the calling terminal to a third party, the third party who has received the transferred e-mail can also refer to the caller's personal information. For this reason, the personal information management system described in Patent Document 1 discloses personal information to those who are not intended by the caller, in this case, the recipient of the transferred e-mail.
そこで、本発明は、電子メールの送信者が意図した範囲、すなわち、当該電子メールを直接受信した利用者に制限して送信者のデータを公開するアクセス制御システムを提供することを目的とする。 Therefore, an object of the present invention is to provide an access control system that publishes sender data by limiting the range intended by the sender of the email, that is, the user who directly received the email.
かかる課題を解決するために、本発明は、電子メールの送信者のデータへのアクセスを当該電子メールの宛先に当該送信者によって指定された受信者に限定して許可するアクセス制御システムであって、電子メールアドレスに対応させてデータを記憶した記憶部と、送信者の電子メールアドレスを設定した送信者に発行された第一の電子証明書を用いて電子メールの宛先メールアドレスに署名したアクセス権ファイル及び公開要求者の電子メールアドレスを含む公開要求を受信する通信部と、アクセス権ファイルの署名検証を行ない検証成功か否かの判定を行う署名検証手段と、署名検証手段が検証成功と判定し、且つ、前記宛先メールアドレスと前記公開要求者の電子メールアドレスが一致すると前記第一の電子証明書に含まれる電子メールアドレスに対応する前記データへのアクセスを許可し、一致しない場合は不許可とするアクセス制御手段を有するデータサーバを含むアクセス制御システムを提供する。
かかる構成により、本発明は電子メールを直接受信した利用者に限定してデータへのアクセスを、セキュリティ性を高く許可することができる。
In order to solve such a problem, the present invention is an access control system that permits access to data of a sender of an electronic mail limited to a recipient designated by the sender as a destination of the electronic mail. Access that has signed the e-mail destination e-mail address using the storage unit that stores the data corresponding to the e-mail address and the first electronic certificate issued to the sender who set the e-mail address of the sender A communication unit that receives a publishing request including the right file and the e-mail address of the publishing requester, a signature verifying unit that performs signature verification of the access right file and determines whether or not the verification is successful, And when the destination email address matches the email address of the requester, the email included in the first electronic certificate To allow access to the data corresponding to the address, if they do not match provides an access control system including a data server having access control means for disallowed.
With such a configuration, the present invention can permit access to data with high security only for a user who directly receives an e-mail.
また、好適には、公開要求が、公開要求者の電子メールアドレスを設定した公開要求者に発行された第二の電子証明書を用いて署名されており、署名検証手段は、前記公開要求の第二の電子証明書による署名の検証と前記アクセス権ファイルの署名の検証とがともに成功すると検証成功と判断する。かかる構成により、公開要求者の確認をよりセキュリティ性を高めて行なうことができる。 Preferably, the publishing request is signed using a second electronic certificate issued to the publishing requester who has set the e-mail address of the publishing requester. If both the verification of the signature by the second electronic certificate and the verification of the signature of the access right file are successful, it is determined that the verification is successful. With this configuration, the disclosure requester can be confirmed with higher security.
更に好適には、アクセス権ファイルには、第一の電子証明書を用いて署名したデータを特定するデータIDを含めて、アクセス制御手段がデータIDにて特定されたデータへのアクセスを許可することにより、送信者の電子メールアドレスのみでは識別できない複数のデータがある場合であっても、データIDにより識別して公開できるようになる。 More preferably, the access right file includes the data ID for specifying the data signed using the first electronic certificate, and the access control means permits access to the data specified by the data ID. Thus, even when there is a plurality of data that cannot be identified only by the sender's e-mail address, it can be identified and disclosed by the data ID.
また、かかるアクセス制御システムは、送信者の電子メールアドレスを設定した送信者に発行された第一の電子証明書を予め記憶し、電子メールを作成する際に、第一の電子証明書を用いて当該電子メールの宛先電子メールアドレスに署名してアクセス権ファイルを生成するアクセス権ファイル生成手段と、作成したアクセス権ファイルを添付して電子メールを宛先電子メールアドレスに対して送信する電子メール手段を有する第一通信装置を有するのが好ましい。かかる構成により、データサーバは、第一通信装置において作成されたアクセス権ファイルを含む公開要求を受信し、アクセス権ファイルに記載された電子メールの宛先電子メールアドレスの利用者に限定してデータへのアクセスを許可する。 In addition, the access control system stores in advance a first electronic certificate issued to a sender who has set the sender's email address, and uses the first electronic certificate when creating an email. An access right file generating means for generating an access right file by signing the destination e-mail address of the e-mail, and an e-mail means for transmitting the e-mail to the destination e-mail address with the created access right file attached It is preferable to have a first communication device having With this configuration, the data server receives the publication request including the access right file created in the first communication device, and sends the data to the data limited to the user of the e-mail destination e-mail address described in the access right file. Allow access.
また、かかるアクセス制御システムは、公開要求者の電子メールアドレスを設定した公開要求者に発行された前記第二の電子証明書を予め記憶し、アクセス権ファイルが添付された電子メールを受信してデータの公開を要求する際に、第二の電子証明書を用いてアクセス権ファイルに署名した公開要求を生成する公開要求生成手段と、当該公開要求をデータサーバに送信してデータを取得するデータ取得手段を有する第二通信装置を有するのが好ましい。かかる構成により、データサーバは、第二通信装置からアクセス権ファイルを含む公開要求を受信し、アクセス権ファイルに記載された電子メールの宛先電子メールアドレスの利用者に限定してデータへのアクセスを許可する。 In addition, the access control system stores in advance the second electronic certificate issued to the public requester who sets the public requester's e-mail address, and receives the e-mail attached with the access right file. Publication request generating means for generating a publication request for signing an access right file using the second electronic certificate when requesting publication of data, and data for acquiring the data by sending the publication request to the data server It is preferable to have a second communication device having acquisition means. With this configuration, the data server receives a publishing request including the access right file from the second communication device, and accesses the data only to users of the destination e-mail address of the e-mail described in the access right file. To give permission.
本発明に係るアクセス制御システムは、電子メールを直接受信した利用者に制限して送信者のデータを公開することができるという効果を奏する。 The access control system according to the present invention has an effect that the data of the sender can be disclosed to the users who have directly received the e-mail.
以下、本発明の一実施形態であるアクセス制御システムについて図を参照しつつ説明する。
図1は、本発明の一実施形態によるアクセス制御システムを含むネットワークシステム構成を示す図である。図1に示すように、ネットワークシステム1は、3つの通信装置2とデータサーバ3とがネットワーク4を介して接続されている。
通信装置2は、ネットワーク4を介して電子メールの送受信をすることができる端末である。また、受信した電子メールの送信者に関するデータをデータサーバ3にアクセスして参照するための機能も有している。
本実施の形態においては、3つの通信装置2はそれぞれ、通信装置2−Sが電子メールの送信者端末、通信装置2−Rが電子メールを受信するとともに受信した電子メールを通信装置2−FRに転送する受信者端末、通信装置2-FRが転送された電子メールを受信する転送メール受信端末としての役割を担うので、区別して符号をそれぞれ付与している。
データサーバ3は、送信者に関するデータを予め記憶しており、アクセス権ファイルを用いてデータへのアクセスを制御し、データを提供する。
ネットワーク4は、インターネット・イントラネット等で構成されるネットワークである。
Hereinafter, an access control system according to an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram showing a network system configuration including an access control system according to an embodiment of the present invention. As shown in FIG. 1, in the network system 1, three
The
In the present embodiment, each of the three
The
The network 4 is a network configured by the Internet / intranet or the like.
通信装置2の構成について、図2を参照して詳細に説明する。なお、通信装置2−S、2−R、2-FRは基本的に構成が同じであるため、代表して通信装置2として、図を用いて説明する。なお、各通信装置2には、その利用者の個々に発行される後述する電子証明書100が記憶されている。通信装置2は、通信部21と、表示部22と、操作部23と、記憶部24と、制御部25とを有する。
The configuration of the
通信部21は、ネットワーク4に通信装置2を接続するためのインターフェース回路及びそのドライバソフトウェア等で構成される。そして、通信部21は、制御部25の制御に従って、メールサーバ(不図示)を介して電子メール300を送受信する。また、通信部21は、データサーバ3へデータ503を要求する公開要求400を送信し、その結果として、データ503又は拒否通知を受信し、制御部25へ渡す。
The
表示部22は、液晶ディスプレイ、有機ELディスプレイなどの表示デバイスで構成され、電子メール300の作成画面、電子メール300の内容表示画面、データ503の表示画面等を表示する。
The
操作部23は、通信装置2の利用者が通信装置2を操作するための操作インターフェースである。操作部23は、キーボード、テンキー等の入力デバイスで構成され、利用者からの各種操作を受け付け、それらの操作に対応する信号を制御部25へ出力する。
なお、表示部22及び操作部23をタッチパネルディスプレイで一体として構成してもよい。その場合、タッチパネルディスプレイに利用者が各種操作を入力するためのキーボード画面を表示することにより、操作部23の機能を実現できる。操作部23は、そのキーボード画面を利用者が操作することにより、それらの操作に対応する信号を制御部25へ出力する。
The
In addition, you may comprise the
記憶部24は、半導体メモリ、磁気記録媒体及びそのアクセス装置並びに光記録媒体及びそのアクセス装置のうちの少なくとも一つを有する。そして、記憶部24は、通信装置2を制御するためのコンピュータプログラム、各種パラメータ及びデータなどを記憶する。また、記憶部24は、通信装置2の利用者を所有者として認証局(不図示)から発行された電子証明書100を記憶する。
The
ここで、図3を参照して、電子証明書100のファイル形式を説明する。電子証明書100は、例えばPKCS(Public-Key Cryptography Standards)#12に準拠するファイル形式を有し、その電子証明書100の所有者の秘密鍵110と、公開鍵証明書120とを含む。所有者の秘密鍵110は、所有者以外の人物が使用できないようにパスワードで保護されている。公開鍵証明書120は、公開鍵121とその所有者を証明するものであり、例えばITU−TのPKIの規格X.509に準拠する形式を有する。公開鍵証明書120は、所有者の秘密鍵110と対になる公開鍵121、所有者の名前122、所有者を識別する識別情報である所有者の電子メールアドレス123、公開鍵証明書120を発行した認証局の名前124、証明書の有効期間125、シリアルナンバー126等を含む。なお、この公開鍵証明書120は、予め第三者認証機関である認証局によって発行されている。
Here, the file format of the
図2に戻って、制御部25は、一個または複数個のプロセッサ及びその周辺回路を有する。制御部25は、電子メール300の送信処理と電子メール300の受信処理を実施する。制御部25は、そのプロセッサ上で動作するソフトウェアにより実装される機能モジュールとして、電子メール手段251と、電子メール手段251の機能を支援する送信プラグインと受信プラグインを有する。送信プラグインには、アクセス権ファイル生成手段252と、S/MIME署名手段253を有している。受信プラグインには、S/MIME検証手段254と、公開要求生成手段255と、データ取得手段256を有する。なお、制御部25が有するこれらの各部は、独立した集積回路、ファームウェア、マイクロプロセッサなどで構成されてもよい。
Returning to FIG. 2, the
電子メール手段251は、送信者が操作部23から入力した電子メール300の本文303、電子メール300の宛先メールアドレス302、各種添付ファイルなどからなる電子メール300を作成し、通信部21を介して電子メール300を送信する送信機能と、通信部21を介して電子メール300を受信、表示可能にする受信機能を持ち各種プラグインソフトと連携するいわゆるメールソフトである。なお、電子メール300については、図5を参照して後述する。
The e-mail means 251 creates an
アクセス権ファイル生成手段252は、送信者による電子メール300の送信操作にて起動され、アクセス権ファイル200を生成する。具体的には、電子メール手段251が作成した電子メール300の本文303に含まれるデータ公開URL303aと、電子メール300のヘッダに含まれる宛先メールアドレス302を抽出する。なお、データ公開URL303aは、データ503を記憶するデータサーバ3のアドレスとデータ503を識別するデータID502を連結したURLとなっている。抽出したデータ公開URL303aと宛先メールアドレス302を署名対象として、記憶部24の送信者の電子証明書100を用いて署名し、署名値に公開鍵証明書120を合わせてアクセス権ファイル200の署名データ203を生成する。そして、アクセス権ファイル生成手段252は、データ公開URL303aと、宛先メールアドレス302と、アクセス権ファイル署名データ203とを含むアクセス権ファイル200を生成する。そして、アクセス権ファイル生成手段252は、電子メール300にかかるアクセス権ファイル200を添付する。なお、本実施の形態では、データ公開URL303aをアクセス権ファイル200に記載しているが、データ公開URL303aを電子メール300の受信者に知らせる方法があれば省略してもよい。
The access right
ここで、図4を参照し、アクセス権ファイル200のファイル形式について説明する。アクセス権ファイル200は、データ公開URL201と、宛先メールアドレス202と、アクセス権ファイル署名データ203から構成されている。データ公開URL201は、電子メールの本文から抽出したデータ公開URL303aである。宛先メールアドレス202は、電子メール300のヘッダから抽出した宛先メールアドレス302である。アクセス権ファイル署名データ203は、送信者の電子証明書100による署名値203aと、署名属性203bと、送信者の公開鍵証明書203cとを含む。電子証明書100による署名値203aは署名対象であるデータ公開URL201と宛先メールアドレス202のハッシュ値を送信者の電子証明書100に記載された秘密鍵110で暗号化した値である。署名属性203bは、署名した時刻を含む。送信者の公開鍵証明書203cは、図3で説明した公開鍵証明書120である。
Here, the file format of the access
図2に戻って、S/MIME署名手段253は、送信者による電子メール300の送信操作にて起動し、S/MIME(Secure Multipurpose Internet Mail Extensions)の規格に従って、通信部21を介して送信する直前の状態の電子メール300に送信者の電子証明書100を用いて署名する。
Returning to FIG. 2, the S / MIME signing means 253 is activated by a transmission operation of the
ここで、図5を参照して、S/MIMEの規格に従って署名された電子メール300のデータ形式を説明する。電子メール300は、送信元メールアドレス301、宛先メールアドレス302、本文303、添付ファイルのアクセス権ファイル200、S/MIMEの署名データ304からなるデータ形式をとっている。
送信元メールアドレス301は、電子証明書100にある所有者の電子メールアドレス123を抽出して設定される。なお、かかる送信元メールアドレス301の設定は、送信者が手動にて電子メールアドレスを入力しても良いが、この場合は所有者の電子メールアドレス123との一致が確認されることが設定の条件となる。
また、宛先メールアドレス302は、任意のメール送信先の電子メールアドレスを送信者が入力または選択することで設定される。
S/MIMEの規格に従った署名では、電子メール300の本文303と添付ファイルであるアクセス権ファイル200とが署名対象となる。S/MIMEの署名値は、S/MIMEの署名対象のハッシュ値を送信者の電子証明書100に記載された秘密鍵110で暗号化した値である。S/MIMEの署名値と送信者の公開鍵証明書120とがS/MIMEの署名データ304として電子メール300のフッタ部分に付加され、S/MIMEの署名データ304は電子メール300の添付ファイルの一種として扱われる。
なお、電子メール300の本文303には、データサーバ3に予め登録された送信者のデータ503を開示するウェブページのURLである、データ公開URL303aが含まれる。データ公開URL303aは、例えばデータサーバ3のアドレスと、データ503を識別するデータID502から構成されている。本実施の形態では、データ公開URL303aを記憶部24に予め記憶しており、送信者が本文303を入力する際に記憶部24から選択入力する。なお、送信者が操作部23から本文303に手動入力するようにしても良い。本実施の形態では、データ公開URL303aを本文303に記載しているが、これに限られることなく、電子メールの受信者へ伝達できればどのような方法を採用しても良い。
Here, with reference to FIG. 5, the data format of the
The
The
In the signature according to the S / MIME standard, the
The
図2に戻って、受信プラグインの一部であるS/MIME検証手段254は、操作部23から電子メール300の表示操作があると起動し、S/MIMEの規格に従って署名された電子メール300のS/MIME署名データ304を用いて検証を実施する。これにより、電子メール300の本文303と添付されているアクセス権ファイル200が送信中に改竄されていないか、電子メール300の送信者のなりすましがないかを確認する。
Returning to FIG. 2, the S /
公開要求生成手段255は、操作部23から受信者が受信した電子メール300のデータ503の公開を要求する操作により起動し、データ503の公開を要求するための公開要求400を作成する。すなわち、受信した電子メール300に添付されているアクセス権ファイル200に受信者の電子証明書100を用いて署名して署名データ401を生成し、アクセス権ファイル200と生成した署名データ401とを含む公開要求400を生成する。
The publication
ここで、図6を参照して、公開要求400のデータ形式を説明する。公開要求400は、アクセス権ファイル200と、このアクセス権ファイル200に電子証明書100を用いて署名した署名データ401とで構成される。公開要求400の署名データ401は、電子証明書100による署名値401aと、署名属性401bと、公開鍵証明書401cとを含む。署名値401aは署名対象であるアクセス権ファイル200全体のハッシュ値を電子証明書100に記載された秘密鍵110で暗号化した値である。署名属性401bは、署名した時刻を含む。公開鍵証明書401cは、図3で説明した公開鍵証明書120である。
Here, the data format of the
図2に戻って、データ取得手段256は、利用者が操作部23からデータの公開を要求するデータ取得操作を行うと公開要求生成手段255と共に起動され、公開要求生成手段255が生成した公開要求400を通信部21・ネットワーク4を介してデータサーバ3に送信し、データの取得・表示を行なう。具体的には、利用者が、電子メール300の本文303に記載されたデータ公開URL303aの選択操作を操作部23から行なうと、通信部21・ネットワーク4を介してデータ503の保管先であるデータサーバ3にアクセスし、公開要求400を送信する。そして、データサーバ3にて、公開要求400を用いて後述するアクセス制御処理がなされ、許可されればデータ503を受信し表示部22に表示する。なお、データサーバ3でのアクセス制御の結果が拒否の場合は、その旨を受信し表示することとなる。
Returning to FIG. 2, the
本実施の形態では、データサーバ3へアクセスする際に、電子メール300の本文303に記載されたデータ公開URL303aを選択操作しているが、これに限られることなく、データサーバ3にアクセスする専用のアクセスボタンを事前に用意しておき、これを選択するようにしても良い。また、データ公開URL303aを本文に記載しない他の方式でデータ公開URLを得た場合は他の入力画面からデータ公開URLを手動入力してもよい。
In this embodiment, when accessing the
次に、通信装置2の処理フローについて、図7および図8を参照しつつ説明する。電子メール300の送信処理、受信処理およびデータの参照処理の順に述べる。
Next, the processing flow of the
図7は、電子メール300を送信する処理のフローを示している。この処理は、電子メール手段251が起動されており、操作部23にて電子メール作成の開始操作が入力されると開始する。
先ず、ステップS301では、送信者が操作部23から入力指定した送信先の電子メールアドレスである宛先メールアドレス302、及び本文303を、電子メール手段251が電子メール300のデータ形式に設定する。なお、本文303に含まれるデータ公開URL303aは、利用者が操作部23を用いて記憶部24に記憶されているデータ公開URL303aを選択して入力される。
次に、電子メール手段251は、記憶部24に送信者の電子証明書100が記憶されているか否かを判定する(ステップS302)。記憶部24に送信者の電子証明書100が記憶されている場合(ステップS302−Yes)、電子メール300の送信元メールアドレス301として、送信者の電子証明書100の公開鍵証明書120に記載された電子メールアドレス123を電子メール300のデータ形式の送信元メールアドレス301に設定する(ステップS303)。
FIG. 7 shows a flow of processing for transmitting the
First, in step S301, the e-mail means 251 sets the
Next, the
次に、電子メール手段251は、アクセス権ファイル生成手段252を呼出してアクセス権ファイル200を生成する。具体的には、作成中の電子メール300のデータ形式に設定された本文303からデータ公開URL303aを抽出し、アクセス権ファイル200のファイル形式のデータ公開URL201に設定する。また、作成中の電子メール300のデータ形式に設定された宛先メールアドレス302を抽出し、アクセス権ファイル200のファイル形式の宛先メールアドレス202に設定する(ステップS304)。そして、データ公開URL201と、宛先メールアドレス202を署名対象として記憶部24の電子証明書100を用いて署名してアクセス権ファイル200の署名データ203を生成しアクセス権ファイル200のファイル形式に設定する。ここで、アクセス権ファイル200の署名データ203には、電子証明書による署名値203aと署名属性203bが含まれている。更に、電子証明書100に含まれる公開鍵証明書120をアクセス権ファイル200のファイル形式の公開鍵証明書203cに設定し、アクセス権ファイル200を生成する(ステップS305)。そして、アクセス権ファイル生成手段252は、生成したアクセス権ファイル200を作成中の電子メール300のデータ形式における添付ファイルとして添付する(ステップS306)。
次に、電子メール手段251は、S/MIME署名手段253を呼出し、かかるS/MIME署名手段253が、アクセス権ファイル200が添付された作成中の電子メール300を対象にS/MIMEの規格に従って記憶部24の電子証明書100を用いて署名してS/MIMEの署名データ304を作成するとともに、作成中の電子メール300のフッタ部に設定する(ステップS307)。
そして、電子メール手段251は、アクセス権ファイル200が添付されてS/MIMEの署名データ304がついた電子メール300を、通信部21を介して宛先メールアドレス302に対して送信し(ステップS308)、一連の電子メール送信処理のステップを終了する。なお、簡単化のためにフローに記載していないが、ステップS304において、データ公開URL303aを抽出できない場合、その旨を表示部22に表示させて、一連の処理のステップを終了する。また、ステップS305及びステップS307において、記憶部24の電子証明書100を用いて署名を行う際に、送信者が秘密鍵110の保護パスワードの入力画面でパスワードを間違えたり、入力待ちでタイムアウトしたりするなどして署名処理に失敗すると、その旨を表示部22に表示させて、一連の処理のステップを終了する。
Next, the
Next, the e-mail means 251 calls the S / MIME signature means 253, and the S / MIME signature means 253 targets the
Then, the e-mail means 251 transmits the
一方、ステップS302において記憶部24に送信者の電子証明書100が記憶されていない場合(ステップS302−No)、電子メール手段251は、作成した電子メール300の送信元メールアドレス301として、送信者が使用中の電子メールアドレス、すなわち、電子メール手段251に予め設定されている標準の送信元メールアドレスを設定し(ステップS309)、電子メール300を送信し(ステップS308)、一連の電子メール送信処理のステップを終了する。つまり、送信者の電子証明書100が記憶されていない場合は、電子メールにアクセス権ファイルを添付せず、S/MIMEによる署名も実施しない。
On the other hand, if the sender's
ところで、送信者が電子メール300を新規作成するのではなく、受信した電子メール300を転送する場合について説明する。かかる場合は、転送メールの本文には受信した電子メール300の本文303が引用され、受信した電子メール300に添付されていたアクセス権ファイル200を添付ファイルとした状態で図7のフローが適用される。この際、この送信者により新たにアクセス権ファイル200が作成されるが、受信した電子メール300のアクセス権ファイル200とは別名で、2つ目のアクセス権ファイル200が添付され、この状態でS/MIME署名されて転送メールが作成されることになる。
本実施の形態とは異なる方式で転送メールを作成する方法としては、受信した電子メール300自体を添付ファイルの形式にして転送することがある。この場合においても、転送メールの本文303に送信者によってデータ公開URL303aが記載されていれば、図7のフローが適用される。つまり、新たに作成されたアクセス権ファイル200と受信した電子メール300とが添付された状態でS/MIME署名されることになる。
By the way, the case where the sender does not create a
As a method of creating a transfer mail by a method different from the present embodiment, there is a case where the received
次に、受信した電子メール300を表示する処理を説明する。まず、電子メール手段251は、操作部23を介した受信者の操作によって、受信した電子メール300が選択されて、電子メール300の内容を表示する指示を取得すると処理を開始し、まず、選択された電子メール300のS/MIME署名データ304の有無を判定する。S/MIME署名データ304がある場合は、S/MIME検証手段254が電子メール300のS/MIMEの署名データ304の検証を実施し、表示部22にその結果を表示する。かかる検証方法の詳細は、一般的な方法であるので、ここでの説明は省略する。なお、S/MIME署名データ304がない場合は、電子メール手段251は、電子メール300の内容を表示部22にそのまま表示する。
Next, a process for displaying the received
次に、図8を参照し、受信した電子メール300で示された電子メール300の送信者のデータ503を取得する処理のフローを説明する。電子メール手段251が起動されており、一つの電子メール300が選択されている状態であるとする。なお、受信者により電子メール300が選択されると、電子メール手段251は、S/MIME検証手段254を起動して、かかるS/MIME検証手段254が、電子メール300のS/MIMEの署名データ304を検証する。なお、S/MIMEの署名データ304の検証結果が検証失敗である場合は、その旨を表示し、図8の一連の処理を行わないようにしてもよい。
ステップS401では、電子メール300の本文303に記載されたデータ公開URL303aが受信者の操作に従って選択されることで、電子メール手段251、公開要求生成手段255およびデータ取得手段256が協働して、データ503の公開を要求する処理を開始する。
ステップS402では、電子メール手段251は、記憶部24に受信者の電子証明書100が記憶されているか否かを判定する。記憶部24に受信者の電子証明書100が記憶されている場合(ステップS402−Yes)、公開要求生成手段255は、電子メール300に添付されているアクセス権ファイル200に記憶部24の電子証明書100を用いて署名した公開要求の署名データ401を生成する(ステップS403)。次に、公開要求生成手段255は、アクセス権ファイル200と、生成した公開要求の署名データ401とを含む公開要求400を作成し、データ取得手段256は通信部21を介して公開要求400を受信者によって操作されたデータ公開URL303aで示されるデータサーバ3に送信する(ステップS404)。そして、データサーバ3からの公開要求400への応答を待つ(ステップS405)。具体的には、データ取得手段256は、送信後にタイマ(不図示)を起動してデータサーバ3からの公開要求400への応答をポーリングし、データサーバ3から公開要求400への応答を受信すると(ステップS405−Yes)、データ取得手段256は、データ503を受信したか否かを判定する(ステップS407)。データ503を受信すると(ステップS407−Yes)、データ取得手段256は、受信したデータ503を表示部22に表示し(ステップS408)、一連の処理のステップを終了する。一方、データ503を受信せず、すなわち拒否通知を受信すると(ステップS407−No)、データ取得手段256は、データ503を取得できなかった旨を表示部22に表示し(ステップS409)、一連の処理のステップを終了する。
Next, a flow of processing for acquiring the
In step S401, the
In step S <b> 402, the
ステップS405においてデータサーバ3からの公開要求400への応答を受信していないとき(ステップS405−No)、データ取得手段256は、タイマにより所定時間が経過していないかどうかを確認し(ステップS406)、まだ所定時間を経過していなければ(ステップS406−No)、ステップS405へ戻る。すでに所定時間を経過していれば(ステップS406−Yes)、公開要求400に対しタイムアウトした旨を表示部22に表示し(ステップS410)、一連の処理のステップを終了する。
また、ステップS402において記憶部24に受信者の電子証明書100が記憶されていない場合(ステップS402−No)、公開要求生成手段255は、公開要求400を作成できない旨を表示部22に表示させ(ステップS411)、一連の処理のステップを終了する。
なお、ステップS403おいて、記憶部24の電子証明書100を用いて署名を行う際に、受信者が秘密鍵110の保護パスワードの入力画面でパスワードを間違えたり、タイムアウトしたりするなどして署名処理に失敗すると、その旨を表示部22に表示させて、一連の処理のステップを終了する。また、電子メール300にアクセス権ファイル200が添付されていない場合、そもそも署名対象が存在しないため、ステップS403おいて、署名処理に失敗するのはいうまでもない。
When the response to the
If the recipient's
In step S403, when signing using the
次に、データサーバ3の構成について、図9を参照して説明する。
データサーバ3は、利用者のデータを記憶するサーバである。また、データサーバ3は、通信装置2からデータ503の公開を要求する公開要求400を受信すると、その通信装置2の利用者がそのデータ503の閲覧を許可された利用者であるか否かを判定し、許可された利用者である場合に限りその通信装置2へデータ503を送信する。データサーバ3は、通信部31と、記憶部32と、制御部33とを有する。
Next, the configuration of the
The
通信部31は、ネットワーク4にデータサーバ3を接続するためのインターフェース回路及びそのドライバソフトウェア等で構成される。通信部31は、通信装置2から公開要求400をネットワーク4を介して受信し制御部33へ渡すとともに、制御部33の制御に従って公開要求400に対する応答であるデータ503または拒否通知をネットワーク4を介して通信装置2へ送信する。
The
記憶部32は、半導体メモリ、磁気記録媒体及びそのアクセス装置並びに光記録媒体及びそのアクセス装置から構成されている。そして、記憶部32は、データサーバ3を制御するためのコンピュータプログラム、各種パラメータ及びデータなどを記憶する。また、記憶部32は、利用者のデータ503を、利用者の電子メールアドレス501とデータID502に関連付けて記憶させたデータテーブル500を記憶している。
The
図10に、データテーブル500を示す。データテーブル500では、電子メールアドレス501と、データID502と、データ503と、アクセス回数504とが関連付けて一行一レコードとして記憶される。本実施形態では、電子メールアドレス501として利用者の公開鍵証明書100に記載された利用者が利用する電子メールアドレス123が記憶される。また、データID502として、データ503のファイル名が記憶され、データ503は、利用者の氏名、楽曲データ、日記などの任意のデータが予め記憶されている。また、アクセス回数504は、データサーバ3がデータ503を読み出して通信装置2に送信した回数が記憶される。なお、利用者の電子メールアドレス501とデータID502が常に1対1に対応していれば、データID502を省略しても良い。
FIG. 10 shows the data table 500. In the data table 500, the
制御部33は、一個または複数個のプロセッサ及びその周辺回路を有する。そして、制御部33は、データ503の公開要求400に対するアクセス制御処理を行う。制御部33は、そのプロセッサ上で動作するソフトウェアにより実装される機能モジュールとして、アクセス制御手段331と、署名検証手段332とを有する。なお、制御部33が有するこれらの各部は、独立した集積回路、ファームウェア、マイクロプロセッサなどで構成されてもよい。
The control unit 33 has one or a plurality of processors and their peripheral circuits. Then, the control unit 33 performs an access control process for the
アクセス制御手段331は、通信部31を介して公開要求400を受信すると、署名検証手段332と協働して、通信装置2の利用者がデータ503の閲覧を許可された利用者か否かを判定し、閲覧を許可された利用者であればデータ503を通信装置2へ送信し、通信装置2の利用者がデータ503の閲覧を許可された利用者でなければ拒否通知を通信部31からネットワーク4経由にて通信装置2へ送信する手段である。
When the
署名検証手段332は、アクセス制御手段331からの署名検証要求に基づいて、公開要求400の署名検証および公開要求400に含まれるアクセス権ファイル200の署名検証を行う。
The
次に、データサーバ3におけるアクセス制御手段331によるアクセス制御処理について、図11のフロー図を参照して詳細に説明する。図11の処理は、データサーバ3が通信装置2からデータ公開URL303aに対するアクセスの要求を受信すると開始する。
Next, access control processing by the access control means 331 in the
アクセス制御手段331は、アクセスの要求において、公開要求400が含まれるか否かを判定する(ステップS501)。ここで、アクセスの要求に公開要求400が含まれない場合(ステップS501−No)、アクセス制御手段331は、アクセスが不適切でアクセス権限なしと判定する(ステップS502)。
The
一方、公開要求400を受信した場合(ステップS501−Yes)、アクセス制御手段331は、署名検証手段332に公開要求の署名データ401の検証を実施させる(ステップS503)。すなわち、この検証は、データ503の公開を要求した利用者を確認するとともに、当該利用者が公開要求400に含まれるアクセス権ファイル200が改竄されていないことを保証することとなる。具体的には、署名検証手段332は、図6の公開要求の署名データ401から電子証明書による署名値401aと、公開鍵証明書401c(120)の公開鍵121とを読み出し、公開鍵121を用いて電子証明書による署名値401aを復号してハッシュ値を求める。さらに、署名検証手段332は、公開要求の署名データ401の署名対象であるアクセス権ファイル200のハッシュ値を算出する。そして、署名検証手段332は、署名値から求めたハッシュ値と署名対象から算出したハッシュ値とを比較し、一致していればアクセス権ファイル200に改竄はないと判断する。さらに、署名検証手段332は、公開要求の署名データ401の公開鍵証明書401cが有効か否かを、公開鍵証明書401cに記載された証明書の有効期間125、及び、認証局の名前124に記載された認証局から取得した電子証明書失効情報により公開鍵証明書401cが有効期間前に失効していないかを確認し、判定する。かかる公開鍵証明書401cにより、公開を要求した利用者を所有者の電子メールアドレス123を用いて確認できる。
ここで、電子証明書失効情報は、電子証明書を発行した認証局が自局で発行した各電子証明書が有効期間内に失効させられたか、すなわち電子証明書が有効であるか否かを管理するものである。電子証明書失効情報には、証明書の有効期間内に失効した公開鍵証明書のシリアルナンバー126と失効した日時とが含まれる。この電子証明書失効情報は認証局によって定期的に更新され、署名検証を行う通信装置等の要求に応じて供給される。
署名検証手段332は、アクセス権ファイル200に改竄がなく、かつ公開鍵証明書203cが有効であれば検証成功と判定し、それ以外は検証失敗と判定し、判定結果をアクセス制御手段331へ出力する。なお、セキュリティ性がやや落ちるが、アクセス権ファイル200の改竄がないことを検証できたことで検証成功と判定するようにしてもよい。
On the other hand, when the
Here, the electronic certificate revocation information indicates whether each electronic certificate issued by the certification authority that issued the electronic certificate has been revoked within the validity period, that is, whether or not the electronic certificate is valid. It is something to manage. The electronic certificate revocation information includes the
The
次に、ステップS504に進み、アクセス制御手段331は、公開要求の署名データ401の検証が成功したか否かを判定する。ここで、公開要求の署名データ401の検証に失敗した場合(ステップS504−No)、アクセス制御手段331は、公開要求の署名検証失敗によりアクセス権限なしと判定する(ステップS502)。
In step S504, the
一方、公開要求の署名データ401の検証に成功した場合(ステップS504−Yes)、アクセス制御手段331は、署名検証手段332に、アクセス権ファイル署名データ203の検証を実施させる(ステップS505)。すなわち、かかる検証は、電子メール300の送信元メールアドレス301を確認できるとともに、当該電子メール300の宛先メールアドレス302が改竄されていないことを保証することとなる。そして、電子メール300の送信元メールアドレス301と宛先メールアドレス302が強固に結びついていることを担保できる。具体的には、署名検証手段332は、図4のアクセス権ファイル200のアクセス権ファイル署名データ203から電子証明書による署名値203aと、公開鍵証明書203c(120)の公開鍵121とを読み出し、公開鍵121を用いて電子証明書による署名値203aを復号してハッシュ値を求める。さらに、署名検証手段322は、アクセス権ファイル署名データ203のデータ公開URL201および宛先メールアドレス202のハッシュ値を算出する。
そして、アクセス権ファイル署名データ203の電子証明書による署名値203aを復号して求めたハッシュ値と、アクセス権ファイル署名データ203の署名対象であるデータ公開URL201と宛先メールアドレス202から算出したハッシュ値とを比較する。一致していれば電子メール300の送信者が生成したアクセス権ファイル200、すなわちアクセス権ファイル200に含まれる宛先メールアドレス202およびデータ公開URL201について改竄がないことが保証される。さらに、署名検証手段332は、アクセス権ファイル署名データ203の公開鍵証明書203cが有効か否かを、公開鍵証明書203cに記載された証明書の有効期間125、及び、認証局の名前124に記載された認証局から取得した電子証明書失効情報により公開鍵証明書203cが有効期間前で失効していないかを確認し、判定する。
公開鍵証明書203cが有効であれば、当該公開鍵証明書120の所有者の電子メールアドレス123を用いて、電子メール300の送信者が署名したことを確認できる。
署名検証手段332は、署名対象のデータ公開URL201と宛先メールアドレス202に改竄がなく、かつ公開鍵証明書203cが有効であればアクセス権ファイル署名データ203の検証成功と判定し、その他であれば検証失敗と判定し、判定結果をアクセス制御手段331へ出力する。
On the other hand, when the verification of the
Then, a hash value obtained by decrypting the
If the public
The
そして、アクセス制御手段331は、アクセス権ファイル署名データ203の検証が成功したか否かを判定する(ステップS506)。ここで、アクセス権ファイル署名データ203の検証が失敗した場合(ステップS506−No)、アクセス制御手段331は、公開要求の署名検証失敗によりアクセス権限なしと判定する(ステップS502)。
一方、アクセス権ファイル署名データ203の署名の検証が成功した場合(ステップS506−Yes)、ステップS507に進む。
Then, the access control means 331 determines whether or not the access right
On the other hand, if the verification of the signature of the access right
ステップS507では、アクセス制御手段331がアクセス権ファイル200に記載された宛先メールアドレス202と、公開要求の署名データ401に含まれる公開鍵証明書401cにある所有者の電子メールアドレス123とを照合する。ここで、アクセス制御手段331は、アクセス権ファイル200に記載された宛先メールアドレス202と、所有者の電子メールアドレス123とが一致しない場合(ステップS508−No)、アクセス権限なしと判定する(ステップS502)。このように、データサーバ3がアクセスを許可するための情報を予め登録することなく、受信した公開要求400にてアクセス権限の有無を判定できる。
In step S507, the
一方、アクセス権ファイル200に記載された宛先メールアドレス202と、公開要求の署名データ401に含まれる公開鍵証明書401cにある所有者の電子メールアドレス123とが一致した場合(ステップS508−Yes)、アクセス制御手段331は、アクセス権限ありと判定し(ステップS509)、データ503へのアクセスを許可する。ちなみに、公開要求400における公開鍵証明書401c(120)の所有者の電子メールアドレス123とアクセス権ファイル200に記載された宛先メールアドレス202とが一致するということは、電子メール300の送信者が指定した受信者が公開を要求していることを担保していることを意味する。
On the other hand, when the
そして、アクセス制御手段331は、記憶部32のデータテーブル500から、対応するデータ503を読み出す(ステップS510)。具体的には、アクセス制御手段331は、アクセス権ファイル200にある公開鍵証明書203cに記載された所有者の電子メールアドレス123が電子メールアドレス501と一致し、且つ、アクセス権ファイル200のデータ公開URL201に含まれるデータIDがデータID502と一致するレコードをデータテーブル500から検索し特定する。そして、アクセス制御手段331は、特定したレコードにあるデータ503を読み出し、通信部31を介して通信装置2に送信するとともに当該レコードのアクセス回数504をインクリメントし(ステップS511)、一連のステップを終了する。
Then, the
また、ステップS502でアクセス権限なしと判定されると、アクセス制御手段331は、拒否通知を、通信部31を介して通信装置2に送信し(ステップS512)、一連のステップを終了する。
If it is determined in step S502 that there is no access authority, the
これらの一連の処理により、データサーバ3は、アクセス権ファイル200で指定した宛先メールアドレス202により特定される利用者が使用する通信装置2に対してデータ503を送信することができる。
Through a series of these processes, the
以下、通信装置2及びデータサーバ3がどのように協働で動作するか、ネットワークシステム1全体の動作例を説明する。ここでは、通信装置2−Sの利用者甲(以下、単に「甲」という。)が電子メールAを通信装置2−Rの利用者乙(以下、単に「乙」という。)に送信し、更に、乙が受信した電子メールAを通信装置2−FRの利用者丙(以下、単に「丙」という。)へ転送メールBとして送信したとする。また、甲は「kou@***.co.jp」、乙は「otsu@***.co.jp」、丙は「hei@***.co.jp」を電子メールアドレスとして使用している。更に、甲・乙・丙は、予め使用している電子メールアドレスを所有者の電子メールアドレス123とする電子証明書100の発行をそれぞれ受け記憶部24に記憶しているものとする。
また、図10に示すように、データテーブル500には、甲のデータは、電子メールアドレス501の列に「kou@***.co.jp」として1行目及び2行目に設定されている。そして、データID502としてデータ503を区別して2種類「xxx.zip」と「yyy.zip」が設定されている。なお、データ503は、「データ1」と「データ2」として示す。乙のデータは、電子メールアドレス501の列に「otsu@***.co.jp」として3行目に設定されている。そして、データID502として1種類の「abc.zip」が設定されている。なお、乙のデータ503は「データ3」として示す。なお、丙は、データを登録していない。
Hereinafter, an operation example of the entire network system 1 will be described as to how the
In addition, as shown in FIG. 10, in the data table 500, the data of A is set in the first and second lines as “kou@***.co.jp” in the column of the
図12を参照して、ネットワークシステム1の全体動作を説明する。先ず、甲が乙に電子メールAを送信し、乙が甲のデータを参照する動作を説明する(ステップS101〜ステップS117)。
先ず、甲は乙に対し、電子メールAを図7にて説明したステップにしたがって送信する。すなわち、甲は、乙の電子メールアドレス「otsu@***.co.jp」を宛先メールアドレス302とし、電子メールAの本文303にデータ公開URL303aとして、「https://www.data.***.co.jp/xxx.zip」を記載した電子メールAを作成する。送信元メールアドレス301に電子証明書100の所有者の電子メールアドレス123である「kou@***.co.jp」を読み出して設定する。そして、本文303に記載されたデータ公開URL303a「https://www.data.***.co.jp/xxx.zip」と宛先メールアドレス302「otsu@***.co.jp」からアクセス権ファイル200Aを作成し、通信装置2−Sから通信装置2−Rへ電子メールAを送信する(ステップS101)。ちなみに、データ公開URL303aの前段部である「https://www.data.***.co.jp」は、データサーバ3のアドレスであり、後段の「xxx.zip」はデータID502である。
The overall operation of the network system 1 will be described with reference to FIG. First, the operation in which Party A transmits E-mail A to Party B and Party B refers to the data of Party A will be described (steps S101 to S117).
First, Party A sends E-mail A to Party B according to the steps described in FIG. That is, Party A uses “Otsu@***.co.jp” as its
次に、電子メールAを受信した乙は、電子メールAの送信者である甲のデータ503を取得するべく、図8にて説明したステップにしたがってデータサーバ3へアクセスする(ステップS102,S111)。具体的には、電子メールAを通信装置2−Rにて受信し(ステップS102)、乙は通信装置2−Rの表示部22に表示された電子メールAの内容を参照する。そして、乙は、本文303に記載されたデータ公開URL303a「https://www.data.***.co.jp/xxx.zip」を選択し、電子メールAに含まれるアクセス権ファイル200Aに自己の電子メールアドレス「otsu@***.co.jp」を所有者の電子メールアドレス123とした電子証明書100にて署名して公開要求400を作成する。次に、データサーバ3へアクセスし、公開要求400をデータサーバ3へ送信する(ステップS111)。
Next, the second party who received the electronic mail A accesses the
データサーバ3は、通信装置2−Rから公開要求400を受信すると(ステップS112)、図11の処理に従ってアクセス可否を判定する(ステップS113〜ステップS115)。すなわち、受信した公開要求400が改竄等なされていないことを検証し、且つ、アクセス権ファイル200Aの宛先メールアドレス202である「otsu@***.co.jp」と当該公開要求の署名データ401の公開鍵証明書401cの電子メールアドレス123「otsu@***.co.jp」が一致することを確認する。これにより、甲が電子メールAを作成した際に設定した宛先メールアドレスと、データの公開を要求している乙を証明する電子証明書にある電子メールアドレスの一致を確実に確認できる(ステップS113)。本例では一致するので、アクセスが許可される。
When the
次に、データサーバ3は、アクセス権ファイル200Aのデータ公開URL201の後段である「xxx.zip」及び公開鍵証明書203cの所有者の電子メールアドレス123から「kou@***.co.jp」を抽出する。そして、電子メールアドレス501の列が「kou@***.co.jp」であり、且つデータID502の列が「xxx.zip」であるデータテーブル500のレコードを検索し特定する。図10の例では、最上段のレコードが該当し、当該レコードの中にあるデータ503の「データ1」を特定し、データテーブル500から読み出す(ステップS114)。
その後、通信装置2−Rへ取得したデータ503である「データ1」を送信し、当該レコードのアクセス回数504をインクリメントする(ステップS115)。
データ503である「データ1」を受信した通信装置2−Rは、「データ1」を表示部22へ表示する。この表示により、乙は甲のデータ503である「データ1」を閲覧することができる(ステップS116、ステップS117)。
Next, the
Thereafter, “data 1” which is the acquired
The communication device 2-R that has received “data 1” that is
このように、データサーバ3は、甲が指定した宛先メールアドレスにより特定される利用者である乙からの公開要求に対してアクセスを許可でき、データを乙へ送信することができる。
In this way, the
次に、乙が甲から受信した電子メールAを丙に転送した場合について、ステップS201〜ステップS216を参照して説明する。なお、乙は電子メールAを丙に転送するときに自身のデータのアクセス権を与えるものとする。
乙は丙に対し、電子メールAから図7にて説明したステップにしたがって転送メールBを作成し送信する。すなわち、乙は、丙の電子メールアドレス「hei@***.co.jp」を宛先メールアドレス302とし、受信した電子メールAの本文を本文303に引用し、受信した電子メールAに添付されているアクセス権ファイル200Aを添付する。なお、ここで、乙はアクセス権ファイル200Aを添付することなく削除しておいても良い。
そして、転送メールBの送信元メールアドレス301に乙の電子証明書100の所有者の電子メールアドレス123である「otsu@***.co.jp」を読み出して設定する。そして、本文303に記載されたデータ公開URL303a「https://www.data.***.co.jp/abc.zip」と宛先メールアドレス302「hei@***.co.jp」から転送メールのアクセス権ファイル200Bを作成して添付し、通信装置2−Rから通信装置2−FRへ転送メールBを送信する(ステップS201)。ちなみに、データ公開URL303aの前段部である「https://www.data.***.co.jp」は、データサーバ3のアドレスであり、後段の「abc.zip」はデータID502である。
Next, the case where the e-mail A received from Party A is transferred to the bag will be described with reference to steps S201 to S216. It should be noted that the second party grants the right to access his / her data when the electronic mail A is transferred to the bag.
B creates and sends forward mail B from E-mail A according to the steps described in FIG. In other words, the second party quotes the e-mail address “hei@***.co.jp” as the
Then, “otsu@***.co.jp” that is the
次に、転送メールBを受信した丙が、元の電子メール300の送信者である甲のデータ503を取得しようとした場合について説明する。なお、転送メールBの送信者の乙のデータを取得する場合は、前述のステップS111〜ステップS117の処理と同様であり、表示されるのが「データ3」であるので説明を省略する。
先ず、丙は、転送メールBを通信装置2−FRにて受信(ステップS202)した後、甲のデータ503を取得するべく、図8にて説明したステップにしたがってデータサーバ3へアクセスする(ステップS211)。具体的には、丙は、本文303に引用記載されたデータ公開URL303a「https://www.data.***.co.jp/xxx.zip」を選択し、転送メールBに含まれる甲が作成したアクセス権ファイル200Aに自己の電子メールアドレス「hei@***.co.jp」を所有者の電子メールアドレス123とした電子証明書100にて署名して公開要求400を作成する。次に、データサーバ3へアクセスし、公開要求400をデータサーバ3へ送信する(ステップS211)。
Next, a case where the bag that has received the forward mail B tries to acquire the
First, after receiving the forwarded mail B by the communication device 2-FR (step S202), Sakai accesses the
データサーバ3は、通信装置2−FRから公開要求400を受信すると(ステップS212)、図11の処理に従ってアクセス可否を判定する(ステップS213、ステップS214)。すなわち、受信した公開要求400が改竄等なされていないことを検証できる。更に、アクセス権ファイル200Aの宛先メールアドレス202である「otsu@***.co.jp」と当該公開要求の署名データ401の公開鍵証明書401cの電子メールアドレス123「hei@***.co.jp」が不一致であることを確認できる。これにより、甲が電子メールAを作成した際に設定した乙の宛先メールアドレスと、データの公開を要求している丙を証明する電子証明書にある電子メールアドレスが一致していないので、このアクセスを拒否することができる(ステップS213)。そして、データサーバ3は、通信装置2−FRへは判定結果として拒否通知を送信する(ステップS214)。
「拒否通知」を受信した通信装置2−FRは、データを取得できなかった旨を表示部22へ表示する。これにより、丙は甲のデータ503を閲覧することができない。(ステップS215、ステップS216)。
When the
The communication device 2-FR that has received the “rejection notification” displays on the
このように、データサーバ3は、甲が指定した宛先メールアドレス以外からの公開要求はアクセスを許可せず、データ503を守ることができる。
In this way, the
以上説明してきたように、本発明の一つの実施形態に係るアクセス制御システムによれば、電子メールを直接受信した利用者のみにそのデータを公開するようにし、転送メールを受信する利用者、すなわち、電子メールが転送された第三者へのデータの公開を制限することができる。 As described above, according to the access control system according to one embodiment of the present invention, the data is disclosed only to the user who directly receives the e-mail, and the user who receives the forwarded mail, that is, , The disclosure of data to a third party to whom the e-mail has been transferred can be restricted.
本発明はこれらの実施形態に限定されるものではない。例えば、本実施形態では、公開要求を生成する際に、公開要求を送信する通信装置において、記憶部に記憶された電子証明書を用いてアクセス権ファイルに署名して公開要求の署名データを生成する例を示したが、公開要求者の確認を厳格に行なう必要がない場合は、公開要求の署名データの生成処理は省略することも可能である。 The present invention is not limited to these embodiments. For example, in the present embodiment, when generating a public request, the communication device that transmits the public request uses the electronic certificate stored in the storage unit to generate the signature data of the public request by signing the access right file. However, if it is not necessary to strictly check the disclosure requester, the generation process of the signature data for the disclosure request can be omitted.
その場合、公開要求を送信する通信装置は、図8のステップS402に示した、電子証明書があるか否かの判定処理と、ステップS403に示した署名データの生成処理を省略する。そしてステップS404では、公開要求に、署名データの代わりに、電子メールの受信者が通常利用する電子メールアドレスを含めて送信する。 In this case, the communication apparatus that transmits the publication request omits the determination process for determining whether there is an electronic certificate and the signature data generation process illustrated in step S403, which are illustrated in step S402 in FIG. In step S404, the publishing request is transmitted including the e-mail address normally used by the e-mail recipient instead of the signature data.
一方、データサーバは、図11のステップS503及びS504に示した、公開要求の署名データの検証処理を省略する。そしてステップS507では、データサーバは、アクセス権ファイルに記載された宛先メールアドレスと、公開要求に含まれる公開要求者が通常利用する電子メールアドレスとを照合する。 On the other hand, the data server omits the verification processing of the signature data of the publication request shown in steps S503 and S504 in FIG. In step S507, the data server collates the destination email address described in the access right file with the email address normally used by the disclosure requester included in the disclosure request.
また、データサーバは、アクセス権ファイル署名データの検証処理において、署名時刻と現在時刻を対比し、アクセス権ファイルへの送信者の署名からの経過時間が所定の閲覧有効期間内であるか否かを判定する処理を追加し、送信者の署名から一定期間経過するとデータの閲覧を禁止するようにしてもよい。これにより、送信者から電子メールが送られてから一定期間経過すると、データの公開を制限することができる。 In addition, the data server compares the signature time with the current time in the verification process of the access right file signature data, and determines whether or not the elapsed time from the sender's signature to the access right file is within a predetermined valid viewing period. May be added, and data browsing may be prohibited after a certain period of time has elapsed since the sender's signature. Accordingly, the disclosure of data can be restricted after a certain period of time has elapsed since the e-mail was sent from the sender.
また、データサーバは、データのアクセス回数をカウントし、累積アクセス数を管理しているが、このアクセス回数を公開要求の署名データに含まれる公開鍵証明書の電子メールアドレスごとに管理し、その公開鍵証明書の電子メールアドレスについてのアクセス回数が一定期間に予め定めた有効回数を超えた場合にデータを送信しないようにしてもよい。これにより、特定の利用者から一定回数データへアクセスされた場合に、データの公開を制限することができる。 The data server counts the number of data accesses and manages the cumulative number of accesses. The number of accesses is managed for each e-mail address of the public key certificate included in the signature data of the publication request. Data may not be transmitted when the number of accesses to the e-mail address of the public key certificate exceeds a predetermined number of valid times in a certain period. Thereby, when the data is accessed a certain number of times by a specific user, the disclosure of the data can be restricted.
また、データサーバは、予め設定された特定の利用者による公開要求に対してはデータを送信しないようにしてもよい。その場合、データを公開する電子メールの送信者は、通信装置からデータの送信を禁止する利用者の電子メールアドレスのリストをデータサーバに予め登録しておく。そして、データサーバは、公開要求の署名データに含まれる公開鍵証明書の電子メールアドレスがそのリストに記載された電子メールアドレスと一致する場合、データを送信しない。これにより、データを公開する電子メールの送信者は、アクセス権ファイルを送信した後に状況が変化して特定の利用者へデータの公開を禁止する必要が生じた場合に、その公開を制限することができる。 Further, the data server may not transmit data in response to a public request by a specific user set in advance. In that case, the sender of the e-mail that publishes the data registers in advance in the data server a list of e-mail addresses of users who are prohibited from transmitting data from the communication device. Then, the data server does not transmit data when the electronic mail address of the public key certificate included in the signature data of the public request matches the electronic mail address described in the list. This allows senders of e-mails who publish data to restrict the publishing when the situation changes after sending the access rights file and it becomes necessary to prohibit the data from being released to specific users. Can do.
また、データサーバは、送信者の通信装置が送信した電子メールの本文とアクセス権ファイルとが対応するものであるか否かを確認し、対応する場合に限り公開要求者の通信装置にデータを送信するようにしてもよい。この場合、データを公開する電子メールの送信者の通信装置からS/MIME署名付きの電子メールを送信すると共にS/MIME署名に使用したハッシュ値を予めデータサーバに送信しておく。一方、公開要求者の通信装置は、S/MIME署名を検証する際に求めたハッシュ値を公開要求に含めてデータサーバに送信する。データサーバは、データを公開する電子メールの送信者の通信装置から受信したハッシュ値と公開要求者の通信装置から受信したハッシュ値とが一致している場合に限りデータを送信し、一致しない場合はデータを送信しない。
あるいは、データを公開する電子メールの送信者の通信装置は、電子メールの本文のハッシュ値を算出し、算出したハッシュ値をアクセス権ファイルに含めておく。一方、公開要求者の通信装置は、取得した電子メールの本文のハッシュ値を算出し、算出したハッシュ値を公開要求に含めてデータサーバに送信する。データサーバは、アクセス権ファイルに含まれるハッシュ値と公開要求者の通信装置から受信したハッシュ値とが一致している場合に限りデータを送信し、一致しない場合はデータを送信しない。
これらにより、データを公開する送信者が送信した電子メールを受信していない利用者へデータを公開することを防止できるので、セキュリティ性をさらに高めることができる。
In addition, the data server confirms whether or not the body text of the email transmitted by the sender's communication device and the access right file correspond to each other, and if the data server supports the data server, the data server sends the data You may make it transmit. In this case, an e-mail with an S / MIME signature is transmitted from the communication device of the e-mail sender that publishes the data, and the hash value used for the S / MIME signature is transmitted to the data server in advance. On the other hand, the communication device of the disclosure requester includes the hash value obtained when verifying the S / MIME signature in the disclosure request and transmits it to the data server. The data server sends data only if the hash value received from the communication device of the sender of the e-mail that publishes the data matches the hash value received from the communication device of the disclosure requester. Does not send data.
Alternatively, the communication device of the e-mail sender who publishes data calculates a hash value of the body of the e-mail and includes the calculated hash value in the access right file. On the other hand, the communication device of the disclosure requester calculates a hash value of the body text of the acquired electronic mail, and includes the calculated hash value in the disclosure request and transmits it to the data server. The data server transmits data only when the hash value included in the access right file matches the hash value received from the communication device of the disclosure requester, and does not transmit data when they do not match.
As a result, it is possible to prevent the data from being disclosed to users who have not received the electronic mail transmitted by the sender who discloses the data, so that the security can be further improved.
また、アクセス権ファイルに含める宛先メールアドレスをRSA等の暗号方式により暗号化してもよい。これにより、宛先メールアドレスが第三者に漏洩するおそれがなくなり、セキュリティ性をさらに高めることができる。 Further, the destination mail address included in the access right file may be encrypted by an encryption method such as RSA. Thereby, there is no possibility that the destination mail address is leaked to a third party, and the security can be further improved.
また、データ公開URLは、データサーバのアドレスとデータIDを連結したURLとする例を説明したが、これを省略・変形してもよい。
たとえば、データIDを省略したデータ公開URLにしてもよい。あるデータサーバにおいて利用者の電子メールアドレスに割り当てられるデータが一つのみである場合、データサーバがアクセス権ファイルに含まれる公開鍵証明書に記載された電子メールアドレスから対応するデータを特定することができ、データIDは省略可能である。
また、データサーバのアドレスを省略したデータ公開URLにしてもよい。データサーバが一つのみである場合、公開要求の送信先を固定することができ、データサーバのアドレスは省略可能である。
そして、データサーバが一つのみで利用者の電子メールアドレスに割り当てられるデータも一つである場合、利用者のデータは唯一一つとして特定でき、電子データ公開URLを省略してもよい。
In addition, although the example in which the data disclosure URL is a URL obtained by concatenating the address of the data server and the data ID has been described, this may be omitted or modified.
For example, it may be a data disclosure URL in which the data ID is omitted. When there is only one data assigned to the user's email address in a data server, the data server must identify the corresponding data from the email address described in the public key certificate included in the access right file. The data ID can be omitted.
Alternatively, the data public URL may be omitted from the data server address. When there is only one data server, the transmission destination of the publication request can be fixed, and the address of the data server can be omitted.
If there is only one data server and one data is assigned to the user's e-mail address, the user data can be specified as only one, and the electronic data disclosure URL may be omitted.
また、送信者の通信装置にてアクセス権ファイルを生成する際、アクセス権ファイルに記載されているデータ公開URLは、電子メールの本文から抽出したデータ公開URLである例にて実施の形態を説明した。しかしながら、これに限られることはなく、アクセス権ファイルを作成する際に、送信者に対しデータ公開URLの手動入力を求めて入力させてもよいし、データ公開URLを予め記憶させておき、これを読み出してアクセス権ファイルに選択して設定してもよい。 In addition, when the access right file is generated in the communication device of the sender, the data disclosure URL described in the access right file is an example of the data disclosure URL extracted from the body of the e-mail, and the embodiment will be described. did. However, the present invention is not limited to this, and when creating the access right file, the sender may be asked to input the data disclosure URL manually, or the data disclosure URL may be stored in advance and stored. May be selected and set in the access right file.
また、一つの通信装置が、電子メールを送信する機能と、電子メールを受信してデータを閲覧するためにデータサーバからデータを取得する機能の両方の機能を備える場合を説明したが、一方の機能だけを持つようにしてもよい。その場合は、通信装置の制御部において、電子メール手段に送信プラグイン又は受信プラグインのいずれか一方を備えれば実現できる。 In addition, the case where one communication device has both a function of transmitting an e-mail and a function of acquiring data from a data server for receiving the e-mail and browsing the data has been described. It may have only functions. In that case, the control unit of the communication apparatus can be realized if the electronic mail means is provided with either a transmission plug-in or a reception plug-in.
また、アクセス制御システムは通信装置として携帯電話を使用してもよい。その場合、各通信装置は、W−CDMA、CDMA2000またはLTE(Long Term Evolution)等の携帯電話の通信規格に従って、基地局装置及び携帯電話網を介して他の通信装置と通信する。データサーバは、携帯電話網に接続され、携帯電話網を介して、送信者の通信装置からデータの登録を受け付けるとともに、公開要求者の通信装置から公開要求を受け付けてその公開要求を検証し、検証に成功するとデータを公開要求者の通信装置に送信する。 The access control system may use a mobile phone as a communication device. In this case, each communication device communicates with another communication device via the base station device and the mobile phone network in accordance with a mobile phone communication standard such as W-CDMA, CDMA2000, or LTE (Long Term Evolution). The data server is connected to the mobile phone network, accepts registration of data from the communication device of the sender via the mobile phone network, accepts a public request from the communication device of the public requester, verifies the public request, If the verification is successful, the data is transmitted to the communication device of the disclosure requester.
このように、当業者は、本発明の範囲内で、実施される形態に合わせて様々な変更を行うことができる。 As described above, those skilled in the art can make various modifications in accordance with the embodiment to be implemented within the scope of the present invention.
1 ネットワークシステム
2(2−S、2−R、2−FR) 通信装置
3 データサーバ
4 ネットワーク
21、31 通信部
22 表示部
23 操作部
24、32 記憶部
25、33 制御部
251 電子メール手段
252 アクセス権ファイル生成手段
253 S/MIME署名手段
254 S/MIME検証手段
255 公開要求生成手段
256 データ取得手段
331 アクセス制御手段
332 署名検証手段
DESCRIPTION OF SYMBOLS 1 Network system 2 (2-S, 2-R, 2-FR)
Claims (4)
前記第一通信装置は、
送信者の電子メールアドレスを含み、当該送信者に発行された第一の電子証明書を予め記憶する装置記憶部と、
前記送信者により作成された電子メールのヘッダから宛先メールアドレスを抽出し、前記第一の電子証明書を用いて前記宛先メールアドレスに署名してアクセス権ファイルを生成するアクセス権ファイル生成手段と、
作成したアクセス権ファイルを添付して前記電子メールを前記宛先メールアドレスに対して送信する電子メール手段と、を有し、
前記データサーバは、
電子メールアドレスに対応させてデータを記憶した記憶部と、
前記アクセス権ファイル及び公開要求者の電子メールアドレスを含む公開要求を受信する通信部と、
前記アクセス権ファイルの署名検証を行ない検証成功か否かの判定を行う署名検証手段と、
前記署名検証手段が検証成功と判定し、且つ、前記宛先メールアドレスと前記公開要求者の電子メールアドレスが一致すると前記第一の電子証明書に含まれる電子メールアドレスに対応する前記データへのアクセスを許可し、一致しない場合は不許可とするアクセス制御手段と、を有することを特徴としたアクセス制御システム。 An access control system that includes a first communication device and a data server, and permits access to data of an e-mail sender only to recipients of an e-mail address specified by the sender. There,
The first communication device is
A device storage unit that pre-stores the first electronic certificate issued to the sender, including the sender's email address;
An access right file generating means for extracting a destination mail address from the header of the e-mail created by the sender, signing the destination mail address using the first electronic certificate, and generating an access right file;
E-mail means for sending the e-mail to the destination e-mail address with the created access right file attached,
The data server is
A storage unit storing data corresponding to an email address;
A communication unit that receives a public request including the e-mail address of the access right file and the public requester,
Signature verification means for performing signature verification of the access right file and determining whether the verification is successful;
Access to the data corresponding to the e-mail address included in the first electronic certificate when the signature verification means determines that the verification is successful and the destination e-mail address matches the e-mail address of the public requester allow, if they do not match the access control system characterized by having an access control means for disallowed.
前記署名検証手段は、前記公開要求の第二の電子証明書による署名の検証と前記アクセス権ファイルの署名の検証とがともに成功すると検証成功と判断する請求項1に記載のアクセス制御システム。 The public request includes an e-mail address of the public requester has been signed with the second electronic certificate issued to the public requester,
The access control system according to claim 1, wherein the signature verification unit determines that the verification is successful if both the verification of the signature by the second electronic certificate of the publication request and the verification of the signature of the access right file are successful.
前記アクセス制御手段は、前記データIDにて特定されたデータへのアクセスを許可する請求項1または請求項2に記載のアクセス制御システム。 The access right file includes a data ID that identifies the data signed using the first electronic certificate,
The access control system according to claim 1, wherein the access control unit permits access to the data specified by the data ID.
前記アクセス権ファイルが添付された電子メールを受信して前記データの公開を要求する際に、前記第二の電子証明書を用いて前記アクセス権ファイルに署名した前記公開要求を生成する公開要求生成手段と、
当該公開要求を前記データサーバに送信してデータを取得するデータ取得手段を有する第二通信装置を含む請求項2または請求項3に記載のアクセス制御システム。 Further comprising an electronic mail address of the public requester stores in advance the second electronic certificate issued to the public requester,
When requesting the release of the data receives the e-mail in which the access right file is attached, the public request generator wherein generating a public request that signed the access right file using the second digital certificate Means,
Access control system according to claim 2 or claim 3 including a second communication device having a data acquisition means for acquiring data and transmits the disclosure request to the data server.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012170454A JP5984560B2 (en) | 2012-07-31 | 2012-07-31 | Access control system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012170454A JP5984560B2 (en) | 2012-07-31 | 2012-07-31 | Access control system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014030154A JP2014030154A (en) | 2014-02-13 |
| JP5984560B2 true JP5984560B2 (en) | 2016-09-06 |
Family
ID=50202449
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012170454A Active JP5984560B2 (en) | 2012-07-31 | 2012-07-31 | Access control system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5984560B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6738022B2 (en) * | 2017-03-28 | 2020-08-12 | 富士通クライアントコンピューティング株式会社 | Information processing apparatus, information processing method, and information processing program |
| JP6932157B2 (en) * | 2019-06-27 | 2021-09-08 | デジタルア−ツ株式会社 | Information processing equipment, information processing methods, and information processing programs |
| JP7803770B2 (en) * | 2022-04-11 | 2026-01-21 | ダイハツ工業株式会社 | Information notification system, information notification method, and information notification application program |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002163235A (en) * | 2000-11-28 | 2002-06-07 | Mitsubishi Electric Corp | Access right transfer device, shared resource management system, and access right setting method |
-
2012
- 2012-07-31 JP JP2012170454A patent/JP5984560B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014030154A (en) | 2014-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2012334829C1 (en) | Secure messaging | |
| US8782409B2 (en) | Confidential message exchange using benign, context-aware cover message generation | |
| US12192367B2 (en) | Supporting the decryption of encrypted data | |
| US9530013B2 (en) | Supporting the use of a secret key | |
| CN104702580B (en) | More communication channel Certificate Authority plateform systems and method | |
| WO2019148717A1 (en) | Device and method for verifying request validity, and computer readable storage medium | |
| CN106663152A (en) | Systems and methods for controlling media distribution | |
| JP5984560B2 (en) | Access control system | |
| KR102171377B1 (en) | Method of login control | |
| CN108352983B (en) | Information communication system, recording medium, and information communication method | |
| JP2014154131A (en) | Authentication system and authentication method | |
| JP2018010377A (en) | Information processing system and program | |
| JP5417026B2 (en) | Password notification device and password notification system | |
| KR20070062632A (en) | How to provide mobile message and file security through encryption | |
| JP2008071216A (en) | Information transmission system, information transmission computer and program | |
| JP3821829B1 (en) | Data management apparatus, data management method, data management program, and data management system | |
| CA3004973A1 (en) | Encrypted push message viewing system | |
| KR101987579B1 (en) | Method and system for sending and receiving of secure mail based on webmail using by otp and diffie-hellman key exchange | |
| JP2008047003A (en) | Information transmission system, information transmission computer and program | |
| JP2008311714A (en) | E-mail communication apparatus and gateway apparatus | |
| KR20070049512A (en) | How to provide security function through cellular message encryption | |
| JP2006174089A (en) | Key management device | |
| HK1256337B (en) | Information communication system, recording medium , and information communication method | |
| JP2005286460A (en) | Decryption apparatus | |
| NZ625590B2 (en) | Secure messaging |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150311 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160126 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160325 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160705 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160802 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5984560 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |