Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5984560B2 - Access control system - Google Patents
[go: Go Back, main page]

JP5984560B2 - Access control system - Google Patents

Access control system Download PDF

Info

Publication number
JP5984560B2
JP5984560B2 JP2012170454A JP2012170454A JP5984560B2 JP 5984560 B2 JP5984560 B2 JP 5984560B2 JP 2012170454 A JP2012170454 A JP 2012170454A JP 2012170454 A JP2012170454 A JP 2012170454A JP 5984560 B2 JP5984560 B2 JP 5984560B2
Authority
JP
Japan
Prior art keywords
data
mail
access right
access
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012170454A
Other languages
Japanese (ja)
Other versions
JP2014030154A (en
Inventor
慎一 宮澤
慎一 宮澤
浩行 伊達
浩行 伊達
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Secom Co Ltd
Original Assignee
Secom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Secom Co Ltd filed Critical Secom Co Ltd
Priority to JP2012170454A priority Critical patent/JP5984560B2/en
Publication of JP2014030154A publication Critical patent/JP2014030154A/en
Application granted granted Critical
Publication of JP5984560B2 publication Critical patent/JP5984560B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、電子メールの宛先に指定された受信者に限定して、電子メール送信者のデータへアクセスを許可するアクセス制御システムに関する。   The present invention relates to an access control system that permits access to data of an e-mail sender only for a recipient designated as an e-mail destination.

従来、特許文献1には、電子メールの発信者の個人情報を電子メールの着信者へ公開する個人情報管理システムが提案されている。この個人情報管理システムは、電子メールを発信する発信端末と、電子メールを受信する着信端末と、発信者の個人情報を登録する個人情報管理サーバとを有する。発信端末は、発信者の個人情報にパスワードを設定して個人情報管理サーバに予め登録し、着信者にその個人情報を公開する場合、そのパスワードを電子メールに記入して着信端末に発信する。着信端末は、受信した電子メールに記入されたパスワードを個人情報管理サーバに提示して発信者の個人情報の取得を要求する。個人情報管理サーバは、発信者の個人情報に設定されたパスワードと、着信端末から提示されたパスワードが一致すると、発信者の個人情報を着信端末に送信している。   Conventionally, Patent Document 1 proposes a personal information management system that discloses personal information of an e-mail sender to an e-mail recipient. This personal information management system includes a transmitting terminal that transmits electronic mail, an incoming terminal that receives electronic mail, and a personal information management server that registers personal information of the sender. The sending terminal sets a password for the personal information of the caller and registers it in the personal information management server in advance. When the personal information is disclosed to the callee, the sending terminal writes the password in an e-mail and sends it to the receiving terminal. The receiving terminal presents the password entered in the received e-mail to the personal information management server and requests acquisition of the personal information of the sender. When the password set in the caller's personal information matches the password presented from the receiving terminal, the personal information management server transmits the caller's personal information to the receiving terminal.

特開2005−51475号公報JP-A-2005-51475

特許文献1に記載された個人情報管理システムは、発信者の個人情報を着信者に公開することができる。しかしながら、着信者が発信端末から受信した電子メールを第三者に転送した場合、その転送された電子メールを受信した第三者も発信者の個人情報を参照することが可能となる。そのため、特許文献1に記載された個人情報管理システムは、発信者が意図していない者、この場合転送した電子メールの着信者にまで個人情報が公開されてしまうこととなっていた。   The personal information management system described in Patent Document 1 can disclose the sender's personal information to the recipient. However, when the callee transfers the e-mail received from the calling terminal to a third party, the third party who has received the transferred e-mail can also refer to the caller's personal information. For this reason, the personal information management system described in Patent Document 1 discloses personal information to those who are not intended by the caller, in this case, the recipient of the transferred e-mail.

そこで、本発明は、電子メールの送信者が意図した範囲、すなわち、当該電子メールを直接受信した利用者に制限して送信者のデータを公開するアクセス制御システムを提供することを目的とする。   Therefore, an object of the present invention is to provide an access control system that publishes sender data by limiting the range intended by the sender of the email, that is, the user who directly received the email.

かかる課題を解決するために、本発明は、電子メールの送信者のデータへのアクセスを当該電子メールの宛先に当該送信者によって指定された受信者に限定して許可するアクセス制御システムであって、電子メールアドレスに対応させてデータを記憶した記憶部と、送信者の電子メールアドレスを設定した送信者に発行された第一の電子証明書を用いて電子メールの宛先メールアドレスに署名したアクセス権ファイル及び公開要求者の電子メールアドレスを含む公開要求を受信する通信部と、アクセス権ファイルの署名検証を行ない検証成功か否かの判定を行う署名検証手段と、署名検証手段が検証成功と判定し、且つ、前記宛先メールアドレスと前記公開要求者の電子メールアドレスが一致すると前記第一の電子証明書に含まれる電子メールアドレスに対応する前記データへのアクセスを許可し、一致しない場合は不許可とするアクセス制御手段を有するデータサーバを含むアクセス制御システムを提供する。
かかる構成により、本発明は電子メールを直接受信した利用者に限定してデータへのアクセスを、セキュリティ性を高く許可することができる。
In order to solve such a problem, the present invention is an access control system that permits access to data of a sender of an electronic mail limited to a recipient designated by the sender as a destination of the electronic mail. Access that has signed the e-mail destination e-mail address using the storage unit that stores the data corresponding to the e-mail address and the first electronic certificate issued to the sender who set the e-mail address of the sender A communication unit that receives a publishing request including the right file and the e-mail address of the publishing requester, a signature verifying unit that performs signature verification of the access right file and determines whether or not the verification is successful, And when the destination email address matches the email address of the requester, the email included in the first electronic certificate To allow access to the data corresponding to the address, if they do not match provides an access control system including a data server having access control means for disallowed.
With such a configuration, the present invention can permit access to data with high security only for a user who directly receives an e-mail.

また、好適には、公開要求が、公開要求者の電子メールアドレスを設定した公開要求者に発行された第二の電子証明書を用いて署名されており、署名検証手段は、前記公開要求の第二の電子証明書による署名の検証と前記アクセス権ファイルの署名の検証とがともに成功すると検証成功と判断する。かかる構成により、公開要求者の確認をよりセキュリティ性を高めて行なうことができる。   Preferably, the publishing request is signed using a second electronic certificate issued to the publishing requester who has set the e-mail address of the publishing requester. If both the verification of the signature by the second electronic certificate and the verification of the signature of the access right file are successful, it is determined that the verification is successful. With this configuration, the disclosure requester can be confirmed with higher security.

更に好適には、アクセス権ファイルには、第一の電子証明書を用いて署名したデータを特定するデータIDを含めて、アクセス制御手段がデータIDにて特定されたデータへのアクセスを許可することにより、送信者の電子メールアドレスのみでは識別できない複数のデータがある場合であっても、データIDにより識別して公開できるようになる。   More preferably, the access right file includes the data ID for specifying the data signed using the first electronic certificate, and the access control means permits access to the data specified by the data ID. Thus, even when there is a plurality of data that cannot be identified only by the sender's e-mail address, it can be identified and disclosed by the data ID.

また、かかるアクセス制御システムは、送信者の電子メールアドレスを設定した送信者に発行された第一の電子証明書を予め記憶し、電子メールを作成する際に、第一の電子証明書を用いて当該電子メールの宛先電子メールアドレスに署名してアクセス権ファイルを生成するアクセス権ファイル生成手段と、作成したアクセス権ファイルを添付して電子メールを宛先電子メールアドレスに対して送信する電子メール手段を有する第一通信装置を有するのが好ましい。かかる構成により、データサーバは、第一通信装置において作成されたアクセス権ファイルを含む公開要求を受信し、アクセス権ファイルに記載された電子メールの宛先電子メールアドレスの利用者に限定してデータへのアクセスを許可する。   In addition, the access control system stores in advance a first electronic certificate issued to a sender who has set the sender's email address, and uses the first electronic certificate when creating an email. An access right file generating means for generating an access right file by signing the destination e-mail address of the e-mail, and an e-mail means for transmitting the e-mail to the destination e-mail address with the created access right file attached It is preferable to have a first communication device having With this configuration, the data server receives the publication request including the access right file created in the first communication device, and sends the data to the data limited to the user of the e-mail destination e-mail address described in the access right file. Allow access.

また、かかるアクセス制御システムは、公開要求者の電子メールアドレスを設定した公開要求者に発行された前記第二の電子証明書を予め記憶し、アクセス権ファイルが添付された電子メールを受信してデータの公開を要求する際に、第二の電子証明書を用いてアクセス権ファイルに署名した公開要求を生成する公開要求生成手段と、当該公開要求をデータサーバに送信してデータを取得するデータ取得手段を有する第二通信装置を有するのが好ましい。かかる構成により、データサーバは、第二通信装置からアクセス権ファイルを含む公開要求を受信し、アクセス権ファイルに記載された電子メールの宛先電子メールアドレスの利用者に限定してデータへのアクセスを許可する。   In addition, the access control system stores in advance the second electronic certificate issued to the public requester who sets the public requester's e-mail address, and receives the e-mail attached with the access right file. Publication request generating means for generating a publication request for signing an access right file using the second electronic certificate when requesting publication of data, and data for acquiring the data by sending the publication request to the data server It is preferable to have a second communication device having acquisition means. With this configuration, the data server receives a publishing request including the access right file from the second communication device, and accesses the data only to users of the destination e-mail address of the e-mail described in the access right file. To give permission.

本発明に係るアクセス制御システムは、電子メールを直接受信した利用者に制限して送信者のデータを公開することができるという効果を奏する。   The access control system according to the present invention has an effect that the data of the sender can be disclosed to the users who have directly received the e-mail.

本発明の一実施形態によるアクセス制御システムを含むネットワークシステム構成を示す図である。It is a figure which shows the network system structure containing the access control system by one Embodiment of this invention. 電子メールを送受信する通信装置の機能ブロック図である。It is a functional block diagram of the communication apparatus which transmits / receives an electronic mail. 電子証明書のファイル形式例を示す模式図である。It is a schematic diagram which shows the file format example of an electronic certificate. アクセス権ファイルのファイル形式例を示す模式図である。It is a schematic diagram which shows the file format example of an access right file. S/MIME署名付き電子メールのデータ形式例を示す模式図である。It is a schematic diagram which shows the data format example of the electronic mail with a S / MIME signature. 公開要求のデータ形式例を示す模式図である。It is a schematic diagram which shows the data format example of a public request. 通信装置における電子メール送信処理のフローチャートである。It is a flowchart of the email transmission process in a communication apparatus. 通信装置におけるデータ閲覧処理のフローチャートである。It is a flowchart of the data browsing process in a communication apparatus. データサーバの機能ブロック図である。It is a functional block diagram of a data server. データテーブルの例を示す模式図である。It is a schematic diagram which shows the example of a data table. データサーバによるアクセス制御処理のフローチャートである。It is a flowchart of the access control process by a data server. アクセス制御システムの全体動作を説明するシーケンス図である。It is a sequence diagram explaining the whole operation | movement of an access control system.

以下、本発明の一実施形態であるアクセス制御システムについて図を参照しつつ説明する。
図1は、本発明の一実施形態によるアクセス制御システムを含むネットワークシステム構成を示す図である。図1に示すように、ネットワークシステム1は、3つの通信装置2とデータサーバ3とがネットワーク4を介して接続されている。
通信装置2は、ネットワーク4を介して電子メールの送受信をすることができる端末である。また、受信した電子メールの送信者に関するデータをデータサーバ3にアクセスして参照するための機能も有している。
本実施の形態においては、3つの通信装置2はそれぞれ、通信装置2−Sが電子メールの送信者端末、通信装置2−Rが電子メールを受信するとともに受信した電子メールを通信装置2−FRに転送する受信者端末、通信装置2-FRが転送された電子メールを受信する転送メール受信端末としての役割を担うので、区別して符号をそれぞれ付与している。
データサーバ3は、送信者に関するデータを予め記憶しており、アクセス権ファイルを用いてデータへのアクセスを制御し、データを提供する。
ネットワーク4は、インターネット・イントラネット等で構成されるネットワークである。
Hereinafter, an access control system according to an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram showing a network system configuration including an access control system according to an embodiment of the present invention. As shown in FIG. 1, in the network system 1, three communication devices 2 and a data server 3 are connected via a network 4.
The communication device 2 is a terminal that can send and receive electronic mail via the network 4. It also has a function for accessing and referring to the data server 3 for data related to the sender of the received electronic mail.
In the present embodiment, each of the three communication devices 2 includes a communication device 2-S that receives the e-mail and a communication device 2-FR that receives the e-mail. Since the communication terminal 2-FR plays a role as a transfer mail receiving terminal that receives the transferred electronic mail, it is given a distinctive code.
The data server 3 stores data related to the sender in advance, controls access to the data using an access right file, and provides the data.
The network 4 is a network configured by the Internet / intranet or the like.

通信装置2の構成について、図2を参照して詳細に説明する。なお、通信装置2−S、2−R、2-FRは基本的に構成が同じであるため、代表して通信装置2として、図を用いて説明する。なお、各通信装置2には、その利用者の個々に発行される後述する電子証明書100が記憶されている。通信装置2は、通信部21と、表示部22と、操作部23と、記憶部24と、制御部25とを有する。   The configuration of the communication device 2 will be described in detail with reference to FIG. Since the communication devices 2-S, 2-R, and 2-FR have basically the same configuration, the communication device 2 will be described as a representative with reference to the drawings. Each communication device 2 stores an electronic certificate 100, which will be described later, issued to each user. The communication device 2 includes a communication unit 21, a display unit 22, an operation unit 23, a storage unit 24, and a control unit 25.

通信部21は、ネットワーク4に通信装置2を接続するためのインターフェース回路及びそのドライバソフトウェア等で構成される。そして、通信部21は、制御部25の制御に従って、メールサーバ(不図示)を介して電子メール300を送受信する。また、通信部21は、データサーバ3へデータ503を要求する公開要求400を送信し、その結果として、データ503又は拒否通知を受信し、制御部25へ渡す。   The communication unit 21 includes an interface circuit for connecting the communication device 2 to the network 4 and its driver software. And the communication part 21 transmits / receives the email 300 via a mail server (not shown) according to control of the control part 25. FIG. In addition, the communication unit 21 transmits a disclosure request 400 requesting the data 503 to the data server 3, and as a result, receives the data 503 or a rejection notification and passes it to the control unit 25.

表示部22は、液晶ディスプレイ、有機ELディスプレイなどの表示デバイスで構成され、電子メール300の作成画面、電子メール300の内容表示画面、データ503の表示画面等を表示する。   The display unit 22 includes a display device such as a liquid crystal display or an organic EL display, and displays a creation screen for the email 300, a content display screen for the email 300, a display screen for data 503, and the like.

操作部23は、通信装置2の利用者が通信装置2を操作するための操作インターフェースである。操作部23は、キーボード、テンキー等の入力デバイスで構成され、利用者からの各種操作を受け付け、それらの操作に対応する信号を制御部25へ出力する。
なお、表示部22及び操作部23をタッチパネルディスプレイで一体として構成してもよい。その場合、タッチパネルディスプレイに利用者が各種操作を入力するためのキーボード画面を表示することにより、操作部23の機能を実現できる。操作部23は、そのキーボード画面を利用者が操作することにより、それらの操作に対応する信号を制御部25へ出力する。
The operation unit 23 is an operation interface for a user of the communication device 2 to operate the communication device 2. The operation unit 23 includes input devices such as a keyboard and a numeric keypad, receives various operations from the user, and outputs signals corresponding to these operations to the control unit 25.
In addition, you may comprise the display part 22 and the operation part 23 integrally with a touchscreen display. In that case, the function of the operation unit 23 can be realized by displaying a keyboard screen for the user to input various operations on the touch panel display. The operation unit 23 outputs signals corresponding to the operations to the control unit 25 when the user operates the keyboard screen.

記憶部24は、半導体メモリ、磁気記録媒体及びそのアクセス装置並びに光記録媒体及びそのアクセス装置のうちの少なくとも一つを有する。そして、記憶部24は、通信装置2を制御するためのコンピュータプログラム、各種パラメータ及びデータなどを記憶する。また、記憶部24は、通信装置2の利用者を所有者として認証局(不図示)から発行された電子証明書100を記憶する。   The storage unit 24 includes at least one of a semiconductor memory, a magnetic recording medium and its access device, and an optical recording medium and its access device. The storage unit 24 stores a computer program, various parameters, data, and the like for controlling the communication device 2. In addition, the storage unit 24 stores the electronic certificate 100 issued from a certificate authority (not shown) with the user of the communication device 2 as the owner.

ここで、図3を参照して、電子証明書100のファイル形式を説明する。電子証明書100は、例えばPKCS(Public-Key Cryptography Standards)#12に準拠するファイル形式を有し、その電子証明書100の所有者の秘密鍵110と、公開鍵証明書120とを含む。所有者の秘密鍵110は、所有者以外の人物が使用できないようにパスワードで保護されている。公開鍵証明書120は、公開鍵121とその所有者を証明するものであり、例えばITU−TのPKIの規格X.509に準拠する形式を有する。公開鍵証明書120は、所有者の秘密鍵110と対になる公開鍵121、所有者の名前122、所有者を識別する識別情報である所有者の電子メールアドレス123、公開鍵証明書120を発行した認証局の名前124、証明書の有効期間125、シリアルナンバー126等を含む。なお、この公開鍵証明書120は、予め第三者認証機関である認証局によって発行されている。   Here, the file format of the electronic certificate 100 will be described with reference to FIG. The electronic certificate 100 has a file format conforming to, for example, PKCS (Public-Key Cryptography Standards) # 12, and includes a private key 110 of the owner of the electronic certificate 100 and a public key certificate 120. The owner's private key 110 is protected by a password so that a person other than the owner cannot use it. The public key certificate 120 proves the public key 121 and its owner. For example, the ITU-T PKI standard X. 509. The public key certificate 120 includes a public key 121 that is paired with the private key 110 of the owner, an owner name 122, an owner e-mail address 123 that is identification information for identifying the owner, and a public key certificate 120. It includes the name 124 of the issued certificate authority, certificate validity period 125, serial number 126, and the like. The public key certificate 120 is issued in advance by a certificate authority that is a third-party certificate authority.

図2に戻って、制御部25は、一個または複数個のプロセッサ及びその周辺回路を有する。制御部25は、電子メール300の送信処理と電子メール300の受信処理を実施する。制御部25は、そのプロセッサ上で動作するソフトウェアにより実装される機能モジュールとして、電子メール手段251と、電子メール手段251の機能を支援する送信プラグインと受信プラグインを有する。送信プラグインには、アクセス権ファイル生成手段252と、S/MIME署名手段253を有している。受信プラグインには、S/MIME検証手段254と、公開要求生成手段255と、データ取得手段256を有する。なお、制御部25が有するこれらの各部は、独立した集積回路、ファームウェア、マイクロプロセッサなどで構成されてもよい。   Returning to FIG. 2, the control unit 25 includes one or a plurality of processors and their peripheral circuits. The control unit 25 performs transmission processing for the email 300 and reception processing for the email 300. The control unit 25 includes an electronic mail unit 251 and a transmission plug-in and a reception plug-in that support the function of the electronic mail unit 251 as functional modules implemented by software operating on the processor. The transmission plug-in includes an access right file generation unit 252 and an S / MIME signature unit 253. The reception plug-in includes an S / MIME verification unit 254, a public request generation unit 255, and a data acquisition unit 256. Note that these units included in the control unit 25 may be configured by independent integrated circuits, firmware, a microprocessor, and the like.

電子メール手段251は、送信者が操作部23から入力した電子メール300の本文303、電子メール300の宛先メールアドレス302、各種添付ファイルなどからなる電子メール300を作成し、通信部21を介して電子メール300を送信する送信機能と、通信部21を介して電子メール300を受信、表示可能にする受信機能を持ち各種プラグインソフトと連携するいわゆるメールソフトである。なお、電子メール300については、図5を参照して後述する。   The e-mail means 251 creates an e-mail 300 including a body 303 of the e-mail 300 input by the sender from the operation unit 23, a destination e-mail address 302 of the e-mail 300, various attached files, and the like via the communication unit 21. The mail software is a so-called mail software that has a transmission function for transmitting the electronic mail 300 and a reception function for receiving and displaying the electronic mail 300 via the communication unit 21 in cooperation with various plug-in software. The email 300 will be described later with reference to FIG.

アクセス権ファイル生成手段252は、送信者による電子メール300の送信操作にて起動され、アクセス権ファイル200を生成する。具体的には、電子メール手段251が作成した電子メール300の本文303に含まれるデータ公開URL303aと、電子メール300のヘッダに含まれる宛先メールアドレス302を抽出する。なお、データ公開URL303aは、データ503を記憶するデータサーバ3のアドレスとデータ503を識別するデータID502を連結したURLとなっている。抽出したデータ公開URL303aと宛先メールアドレス302を署名対象として、記憶部24の送信者の電子証明書100を用いて署名し、署名値に公開鍵証明書120を合わせてアクセス権ファイル200の署名データ203を生成する。そして、アクセス権ファイル生成手段252は、データ公開URL303aと、宛先メールアドレス302と、アクセス権ファイル署名データ203とを含むアクセス権ファイル200を生成する。そして、アクセス権ファイル生成手段252は、電子メール300にかかるアクセス権ファイル200を添付する。なお、本実施の形態では、データ公開URL303aをアクセス権ファイル200に記載しているが、データ公開URL303aを電子メール300の受信者に知らせる方法があれば省略してもよい。   The access right file generation unit 252 is activated by the transmission operation of the electronic mail 300 by the sender, and generates the access right file 200. Specifically, the data disclosure URL 303 a included in the body 303 of the email 300 created by the email means 251 and the destination email address 302 included in the header of the email 300 are extracted. The data disclosure URL 303a is a URL obtained by concatenating the address of the data server 3 that stores the data 503 and the data ID 502 that identifies the data 503. Using the extracted data public URL 303a and the destination mail address 302 as signatures, the sender uses the electronic certificate 100 of the sender in the storage unit 24 to sign, and the signature data of the access right file 200 is combined with the public key certificate 120 in the signature value. 203 is generated. Then, the access right file generation unit 252 generates the access right file 200 including the data disclosure URL 303a, the destination mail address 302, and the access right file signature data 203. Then, the access right file generation unit 252 attaches the access right file 200 related to the electronic mail 300. In this embodiment, the data disclosure URL 303a is described in the access right file 200, but may be omitted if there is a method for notifying the recipient of the electronic mail 300 of the data disclosure URL 303a.

ここで、図4を参照し、アクセス権ファイル200のファイル形式について説明する。アクセス権ファイル200は、データ公開URL201と、宛先メールアドレス202と、アクセス権ファイル署名データ203から構成されている。データ公開URL201は、電子メールの本文から抽出したデータ公開URL303aである。宛先メールアドレス202は、電子メール300のヘッダから抽出した宛先メールアドレス302である。アクセス権ファイル署名データ203は、送信者の電子証明書100による署名値203aと、署名属性203bと、送信者の公開鍵証明書203cとを含む。電子証明書100による署名値203aは署名対象であるデータ公開URL201と宛先メールアドレス202のハッシュ値を送信者の電子証明書100に記載された秘密鍵110で暗号化した値である。署名属性203bは、署名した時刻を含む。送信者の公開鍵証明書203cは、図3で説明した公開鍵証明書120である。   Here, the file format of the access right file 200 will be described with reference to FIG. The access right file 200 includes a data disclosure URL 201, a destination mail address 202, and access right file signature data 203. The data disclosure URL 201 is a data disclosure URL 303a extracted from the body of the e-mail. The destination mail address 202 is the destination mail address 302 extracted from the header of the electronic mail 300. The access right file signature data 203 includes a signature value 203a based on the sender's electronic certificate 100, a signature attribute 203b, and a sender's public key certificate 203c. The signature value 203 a by the electronic certificate 100 is a value obtained by encrypting the hash value of the data disclosure URL 201 and the destination mail address 202 to be signed with the private key 110 described in the sender's electronic certificate 100. The signature attribute 203b includes a signing time. The sender's public key certificate 203c is the public key certificate 120 described with reference to FIG.

図2に戻って、S/MIME署名手段253は、送信者による電子メール300の送信操作にて起動し、S/MIME(Secure Multipurpose Internet Mail Extensions)の規格に従って、通信部21を介して送信する直前の状態の電子メール300に送信者の電子証明書100を用いて署名する。   Returning to FIG. 2, the S / MIME signing means 253 is activated by a transmission operation of the e-mail 300 by the sender, and transmits via the communication unit 21 in accordance with the S / MIME (Secure Multipurpose Internet Mail Extensions) standard. The e-mail 300 in the immediately previous state is signed using the sender's electronic certificate 100.

ここで、図5を参照して、S/MIMEの規格に従って署名された電子メール300のデータ形式を説明する。電子メール300は、送信元メールアドレス301、宛先メールアドレス302、本文303、添付ファイルのアクセス権ファイル200、S/MIMEの署名データ304からなるデータ形式をとっている。
送信元メールアドレス301は、電子証明書100にある所有者の電子メールアドレス123を抽出して設定される。なお、かかる送信元メールアドレス301の設定は、送信者が手動にて電子メールアドレスを入力しても良いが、この場合は所有者の電子メールアドレス123との一致が確認されることが設定の条件となる。
また、宛先メールアドレス302は、任意のメール送信先の電子メールアドレスを送信者が入力または選択することで設定される。
S/MIMEの規格に従った署名では、電子メール300の本文303と添付ファイルであるアクセス権ファイル200とが署名対象となる。S/MIMEの署名値は、S/MIMEの署名対象のハッシュ値を送信者の電子証明書100に記載された秘密鍵110で暗号化した値である。S/MIMEの署名値と送信者の公開鍵証明書120とがS/MIMEの署名データ304として電子メール300のフッタ部分に付加され、S/MIMEの署名データ304は電子メール300の添付ファイルの一種として扱われる。
なお、電子メール300の本文303には、データサーバ3に予め登録された送信者のデータ503を開示するウェブページのURLである、データ公開URL303aが含まれる。データ公開URL303aは、例えばデータサーバ3のアドレスと、データ503を識別するデータID502から構成されている。本実施の形態では、データ公開URL303aを記憶部24に予め記憶しており、送信者が本文303を入力する際に記憶部24から選択入力する。なお、送信者が操作部23から本文303に手動入力するようにしても良い。本実施の形態では、データ公開URL303aを本文303に記載しているが、これに限られることなく、電子メールの受信者へ伝達できればどのような方法を採用しても良い。
Here, with reference to FIG. 5, the data format of the e-mail 300 signed in accordance with the S / MIME standard will be described. The e-mail 300 has a data format composed of a source e-mail address 301, a destination e-mail address 302, a body 303, an attached file access right file 200, and S / MIME signature data 304.
The sender email address 301 is set by extracting the owner email address 123 in the electronic certificate 100. The sender email address 301 may be set manually by the sender, but in this case, a match with the owner email address 123 is confirmed. It becomes a condition.
The destination mail address 302 is set when the sender inputs or selects an e-mail address of an arbitrary mail destination.
In the signature according to the S / MIME standard, the body 303 of the e-mail 300 and the access right file 200 that is an attached file are to be signed. The S / MIME signature value is a value obtained by encrypting the hash value to be signed by S / MIME with the private key 110 described in the electronic certificate 100 of the sender. The S / MIME signature value and the sender's public key certificate 120 are added to the footer portion of the e-mail 300 as S / MIME signature data 304, and the S / MIME signature data 304 is an attached file of the e-mail 300. Treated as a kind.
The body text 303 of the e-mail 300 includes a data disclosure URL 303 a that is a URL of a web page that discloses sender data 503 registered in advance in the data server 3. The data disclosure URL 303a is composed of, for example, an address of the data server 3 and a data ID 502 for identifying the data 503. In the present embodiment, the data disclosure URL 303 a is stored in advance in the storage unit 24, and is selected and input from the storage unit 24 when the sender inputs the text 303. Note that the sender may manually input the text 303 from the operation unit 23. In the present embodiment, the data disclosure URL 303a is described in the text 303, but the present invention is not limited to this, and any method may be adopted as long as it can be transmitted to the recipient of the e-mail.

図2に戻って、受信プラグインの一部であるS/MIME検証手段254は、操作部23から電子メール300の表示操作があると起動し、S/MIMEの規格に従って署名された電子メール300のS/MIME署名データ304を用いて検証を実施する。これにより、電子メール300の本文303と添付されているアクセス権ファイル200が送信中に改竄されていないか、電子メール300の送信者のなりすましがないかを確認する。   Returning to FIG. 2, the S / MIME verification unit 254, which is a part of the reception plug-in, is activated when an operation for displaying the e-mail 300 is performed from the operation unit 23, and the e-mail 300 signed in accordance with the S / MIME standard. The S / MIME signature data 304 is used for verification. As a result, it is confirmed whether the body 303 of the e-mail 300 and the attached access right file 200 have been altered during transmission or whether the sender of the e-mail 300 has been impersonated.

公開要求生成手段255は、操作部23から受信者が受信した電子メール300のデータ503の公開を要求する操作により起動し、データ503の公開を要求するための公開要求400を作成する。すなわち、受信した電子メール300に添付されているアクセス権ファイル200に受信者の電子証明書100を用いて署名して署名データ401を生成し、アクセス権ファイル200と生成した署名データ401とを含む公開要求400を生成する。   The publication request generation unit 255 is activated by an operation for requesting publication of the data 503 of the electronic mail 300 received by the recipient from the operation unit 23, and creates a publication request 400 for requesting publication of the data 503. That is, the access right file 200 attached to the received e-mail 300 is signed using the recipient's electronic certificate 100 to generate the signature data 401, and includes the access right file 200 and the generated signature data 401. A publication request 400 is generated.

ここで、図6を参照して、公開要求400のデータ形式を説明する。公開要求400は、アクセス権ファイル200と、このアクセス権ファイル200に電子証明書100を用いて署名した署名データ401とで構成される。公開要求400の署名データ401は、電子証明書100による署名値401aと、署名属性401bと、公開鍵証明書401cとを含む。署名値401aは署名対象であるアクセス権ファイル200全体のハッシュ値を電子証明書100に記載された秘密鍵110で暗号化した値である。署名属性401bは、署名した時刻を含む。公開鍵証明書401cは、図3で説明した公開鍵証明書120である。   Here, the data format of the publication request 400 will be described with reference to FIG. The publication request 400 includes an access right file 200 and signature data 401 signed with the access right file 200 using the electronic certificate 100. The signature data 401 of the public request 400 includes a signature value 401a based on the electronic certificate 100, a signature attribute 401b, and a public key certificate 401c. The signature value 401 a is a value obtained by encrypting the hash value of the entire access right file 200 to be signed with the private key 110 described in the electronic certificate 100. The signature attribute 401b includes a signing time. The public key certificate 401c is the public key certificate 120 described with reference to FIG.

図2に戻って、データ取得手段256は、利用者が操作部23からデータの公開を要求するデータ取得操作を行うと公開要求生成手段255と共に起動され、公開要求生成手段255が生成した公開要求400を通信部21・ネットワーク4を介してデータサーバ3に送信し、データの取得・表示を行なう。具体的には、利用者が、電子メール300の本文303に記載されたデータ公開URL303aの選択操作を操作部23から行なうと、通信部21・ネットワーク4を介してデータ503の保管先であるデータサーバ3にアクセスし、公開要求400を送信する。そして、データサーバ3にて、公開要求400を用いて後述するアクセス制御処理がなされ、許可されればデータ503を受信し表示部22に表示する。なお、データサーバ3でのアクセス制御の結果が拒否の場合は、その旨を受信し表示することとなる。   Returning to FIG. 2, the data acquisition unit 256 is activated together with the public request generation unit 255 when the user performs a data acquisition operation for requesting data disclosure from the operation unit 23, and the public request generation unit 255 generates the public request. 400 is transmitted to the data server 3 via the communication unit 21 and the network 4 to acquire and display data. Specifically, when the user performs an operation of selecting the data disclosure URL 303 a described in the text 303 of the e-mail 300 from the operation unit 23, the data that is the storage destination of the data 503 via the communication unit 21 and the network 4. The server 3 is accessed and a publication request 400 is transmitted. Then, the data server 3 performs an access control process, which will be described later, using the disclosure request 400, and if permitted, receives the data 503 and displays it on the display unit 22. In addition, when the result of the access control in the data server 3 is refusal, the fact is received and displayed.

本実施の形態では、データサーバ3へアクセスする際に、電子メール300の本文303に記載されたデータ公開URL303aを選択操作しているが、これに限られることなく、データサーバ3にアクセスする専用のアクセスボタンを事前に用意しておき、これを選択するようにしても良い。また、データ公開URL303aを本文に記載しない他の方式でデータ公開URLを得た場合は他の入力画面からデータ公開URLを手動入力してもよい。   In this embodiment, when accessing the data server 3, the data disclosure URL 303 a described in the text 303 of the e-mail 300 is selected, but the present invention is not limited to this. The access button may be prepared in advance and selected. Further, when the data disclosure URL is obtained by another method that does not include the data disclosure URL 303a in the text, the data disclosure URL may be manually input from another input screen.

次に、通信装置2の処理フローについて、図7および図8を参照しつつ説明する。電子メール300の送信処理、受信処理およびデータの参照処理の順に述べる。   Next, the processing flow of the communication device 2 will be described with reference to FIGS. 7 and 8. The transmission process, reception process, and data reference process of the e-mail 300 will be described in this order.

図7は、電子メール300を送信する処理のフローを示している。この処理は、電子メール手段251が起動されており、操作部23にて電子メール作成の開始操作が入力されると開始する。
先ず、ステップS301では、送信者が操作部23から入力指定した送信先の電子メールアドレスである宛先メールアドレス302、及び本文303を、電子メール手段251が電子メール300のデータ形式に設定する。なお、本文303に含まれるデータ公開URL303aは、利用者が操作部23を用いて記憶部24に記憶されているデータ公開URL303aを選択して入力される。
次に、電子メール手段251は、記憶部24に送信者の電子証明書100が記憶されているか否かを判定する(ステップS302)。記憶部24に送信者の電子証明書100が記憶されている場合(ステップS302−Yes)、電子メール300の送信元メールアドレス301として、送信者の電子証明書100の公開鍵証明書120に記載された電子メールアドレス123を電子メール300のデータ形式の送信元メールアドレス301に設定する(ステップS303)。
FIG. 7 shows a flow of processing for transmitting the e-mail 300. This process starts when the e-mail means 251 is activated and an operation for starting e-mail creation is input through the operation unit 23.
First, in step S301, the e-mail means 251 sets the destination e-mail address 302, which is the e-mail address of the transmission destination specified by the sender from the operation unit 23, and the body 303 in the data format of the e-mail 300. The data disclosure URL 303 a included in the text 303 is input by the user selecting the data disclosure URL 303 a stored in the storage unit 24 using the operation unit 23.
Next, the electronic mail unit 251 determines whether or not the sender's electronic certificate 100 is stored in the storage unit 24 (step S302). When the sender's electronic certificate 100 is stored in the storage unit 24 (step S302—Yes), the sender's electronic certificate 100 is described in the public key certificate 120 of the sender's electronic certificate 100 as the sender email address 301 of the email 300. The e-mail address 123 thus set is set as the sender e-mail address 301 in the data format of the e-mail 300 (step S303).

次に、電子メール手段251は、アクセス権ファイル生成手段252を呼出してアクセス権ファイル200を生成する。具体的には、作成中の電子メール300のデータ形式に設定された本文303からデータ公開URL303aを抽出し、アクセス権ファイル200のファイル形式のデータ公開URL201に設定する。また、作成中の電子メール300のデータ形式に設定された宛先メールアドレス302を抽出し、アクセス権ファイル200のファイル形式の宛先メールアドレス202に設定する(ステップS304)。そして、データ公開URL201と、宛先メールアドレス202を署名対象として記憶部24の電子証明書100を用いて署名してアクセス権ファイル200の署名データ203を生成しアクセス権ファイル200のファイル形式に設定する。ここで、アクセス権ファイル200の署名データ203には、電子証明書による署名値203aと署名属性203bが含まれている。更に、電子証明書100に含まれる公開鍵証明書120をアクセス権ファイル200のファイル形式の公開鍵証明書203cに設定し、アクセス権ファイル200を生成する(ステップS305)。そして、アクセス権ファイル生成手段252は、生成したアクセス権ファイル200を作成中の電子メール300のデータ形式における添付ファイルとして添付する(ステップS306)。
次に、電子メール手段251は、S/MIME署名手段253を呼出し、かかるS/MIME署名手段253が、アクセス権ファイル200が添付された作成中の電子メール300を対象にS/MIMEの規格に従って記憶部24の電子証明書100を用いて署名してS/MIMEの署名データ304を作成するとともに、作成中の電子メール300のフッタ部に設定する(ステップS307)。
そして、電子メール手段251は、アクセス権ファイル200が添付されてS/MIMEの署名データ304がついた電子メール300を、通信部21を介して宛先メールアドレス302に対して送信し(ステップS308)、一連の電子メール送信処理のステップを終了する。なお、簡単化のためにフローに記載していないが、ステップS304において、データ公開URL303aを抽出できない場合、その旨を表示部22に表示させて、一連の処理のステップを終了する。また、ステップS305及びステップS307において、記憶部24の電子証明書100を用いて署名を行う際に、送信者が秘密鍵110の保護パスワードの入力画面でパスワードを間違えたり、入力待ちでタイムアウトしたりするなどして署名処理に失敗すると、その旨を表示部22に表示させて、一連の処理のステップを終了する。
Next, the e-mail unit 251 calls the access right file generation unit 252 to generate the access right file 200. Specifically, the data disclosure URL 303 a is extracted from the body 303 set in the data format of the e-mail 300 being created, and is set as the data disclosure URL 201 in the file format of the access right file 200. Also, the destination mail address 302 set in the data format of the e-mail 300 being created is extracted and set as the destination mail address 202 in the file format of the access right file 200 (step S304). Then, the signature data 203 of the access right file 200 is generated by signing the data disclosure URL 201 and the destination mail address 202 using the electronic certificate 100 of the storage unit 24 as a signature target, and set to the file format of the access right file 200. . Here, the signature data 203 of the access right file 200 includes a signature value 203a based on an electronic certificate and a signature attribute 203b. Further, the public key certificate 120 included in the electronic certificate 100 is set in the public key certificate 203c in the file format of the access right file 200, and the access right file 200 is generated (step S305). Then, the access right file generation unit 252 attaches the generated access right file 200 as an attached file in the data format of the electronic mail 300 being created (step S306).
Next, the e-mail means 251 calls the S / MIME signature means 253, and the S / MIME signature means 253 targets the e-mail 300 being created with the access right file 200 attached in accordance with the S / MIME standard. The S / MIME signature data 304 is created by signing using the electronic certificate 100 of the storage unit 24, and set in the footer part of the e-mail 300 being created (step S307).
Then, the e-mail means 251 transmits the e-mail 300 with the access right file 200 attached and the S / MIME signature data 304 to the destination e-mail address 302 via the communication unit 21 (step S308). Then, a series of e-mail transmission processing steps is completed. Although not described in the flow for simplification, if the data disclosure URL 303a cannot be extracted in step S304, that fact is displayed on the display unit 22, and the series of processing steps is terminated. In step S305 and step S307, when signing using the electronic certificate 100 of the storage unit 24, the sender makes a mistake in the password on the protection password input screen of the private key 110, or a timeout occurs while waiting for input. If the signature process fails due to the above, a message to that effect is displayed on the display unit 22 and the series of process steps is terminated.

一方、ステップS302において記憶部24に送信者の電子証明書100が記憶されていない場合(ステップS302−No)、電子メール手段251は、作成した電子メール300の送信元メールアドレス301として、送信者が使用中の電子メールアドレス、すなわち、電子メール手段251に予め設定されている標準の送信元メールアドレスを設定し(ステップS309)、電子メール300を送信し(ステップS308)、一連の電子メール送信処理のステップを終了する。つまり、送信者の電子証明書100が記憶されていない場合は、電子メールにアクセス権ファイルを添付せず、S/MIMEによる署名も実施しない。   On the other hand, if the sender's electronic certificate 100 is not stored in the storage unit 24 in step S302 (step S302-No), the email means 251 sends the sender as the sender email address 301 of the created email 300. Sets an e-mail address in use, that is, a standard transmission source e-mail address preset in the e-mail means 251 (step S309), transmits an e-mail 300 (step S308), and transmits a series of e-mails. The process step ends. That is, when the sender's electronic certificate 100 is not stored, the access right file is not attached to the e-mail, and the signature by S / MIME is not performed.

ところで、送信者が電子メール300を新規作成するのではなく、受信した電子メール300を転送する場合について説明する。かかる場合は、転送メールの本文には受信した電子メール300の本文303が引用され、受信した電子メール300に添付されていたアクセス権ファイル200を添付ファイルとした状態で図7のフローが適用される。この際、この送信者により新たにアクセス権ファイル200が作成されるが、受信した電子メール300のアクセス権ファイル200とは別名で、2つ目のアクセス権ファイル200が添付され、この状態でS/MIME署名されて転送メールが作成されることになる。
本実施の形態とは異なる方式で転送メールを作成する方法としては、受信した電子メール300自体を添付ファイルの形式にして転送することがある。この場合においても、転送メールの本文303に送信者によってデータ公開URL303aが記載されていれば、図7のフローが適用される。つまり、新たに作成されたアクセス権ファイル200と受信した電子メール300とが添付された状態でS/MIME署名されることになる。
By the way, the case where the sender does not create a new e-mail 300 but transfers the received e-mail 300 will be described. In such a case, the flow of FIG. 7 is applied in a state where the body 303 of the received e-mail 300 is cited as the body of the forwarded mail and the access right file 200 attached to the received e-mail 300 is an attached file. The At this time, the access right file 200 is newly created by the sender, but the access right file 200 of the received e-mail 300 is aliased, and the second access right file 200 is attached. / MIME is signed and a forwarded mail is created.
As a method of creating a transfer mail by a method different from the present embodiment, there is a case where the received electronic mail 300 itself is transferred in the form of an attached file. Even in this case, if the data disclosure URL 303a is described in the body 303 of the forwarded mail by the sender, the flow of FIG. 7 is applied. That is, the newly created access right file 200 and the received e-mail 300 are attached with the S / MIME signature.

次に、受信した電子メール300を表示する処理を説明する。まず、電子メール手段251は、操作部23を介した受信者の操作によって、受信した電子メール300が選択されて、電子メール300の内容を表示する指示を取得すると処理を開始し、まず、選択された電子メール300のS/MIME署名データ304の有無を判定する。S/MIME署名データ304がある場合は、S/MIME検証手段254が電子メール300のS/MIMEの署名データ304の検証を実施し、表示部22にその結果を表示する。かかる検証方法の詳細は、一般的な方法であるので、ここでの説明は省略する。なお、S/MIME署名データ304がない場合は、電子メール手段251は、電子メール300の内容を表示部22にそのまま表示する。   Next, a process for displaying the received electronic mail 300 will be described. First, the e-mail unit 251 starts processing when the received e-mail 300 is selected by the operation of the recipient via the operation unit 23 and an instruction to display the contents of the e-mail 300 is acquired. The presence / absence of the S / MIME signature data 304 of the received e-mail 300 is determined. If the S / MIME signature data 304 is present, the S / MIME verification unit 254 verifies the S / MIME signature data 304 of the e-mail 300 and displays the result on the display unit 22. Since the details of the verification method are general methods, description thereof is omitted here. If there is no S / MIME signature data 304, the e-mail means 251 displays the content of the e-mail 300 on the display unit 22 as it is.

次に、図8を参照し、受信した電子メール300で示された電子メール300の送信者のデータ503を取得する処理のフローを説明する。電子メール手段251が起動されており、一つの電子メール300が選択されている状態であるとする。なお、受信者により電子メール300が選択されると、電子メール手段251は、S/MIME検証手段254を起動して、かかるS/MIME検証手段254が、電子メール300のS/MIMEの署名データ304を検証する。なお、S/MIMEの署名データ304の検証結果が検証失敗である場合は、その旨を表示し、図8の一連の処理を行わないようにしてもよい。
ステップS401では、電子メール300の本文303に記載されたデータ公開URL303aが受信者の操作に従って選択されることで、電子メール手段251、公開要求生成手段255およびデータ取得手段256が協働して、データ503の公開を要求する処理を開始する。
ステップS402では、電子メール手段251は、記憶部24に受信者の電子証明書100が記憶されているか否かを判定する。記憶部24に受信者の電子証明書100が記憶されている場合(ステップS402−Yes)、公開要求生成手段255は、電子メール300に添付されているアクセス権ファイル200に記憶部24の電子証明書100を用いて署名した公開要求の署名データ401を生成する(ステップS403)。次に、公開要求生成手段255は、アクセス権ファイル200と、生成した公開要求の署名データ401とを含む公開要求400を作成し、データ取得手段256は通信部21を介して公開要求400を受信者によって操作されたデータ公開URL303aで示されるデータサーバ3に送信する(ステップS404)。そして、データサーバ3からの公開要求400への応答を待つ(ステップS405)。具体的には、データ取得手段256は、送信後にタイマ(不図示)を起動してデータサーバ3からの公開要求400への応答をポーリングし、データサーバ3から公開要求400への応答を受信すると(ステップS405−Yes)、データ取得手段256は、データ503を受信したか否かを判定する(ステップS407)。データ503を受信すると(ステップS407−Yes)、データ取得手段256は、受信したデータ503を表示部22に表示し(ステップS408)、一連の処理のステップを終了する。一方、データ503を受信せず、すなわち拒否通知を受信すると(ステップS407−No)、データ取得手段256は、データ503を取得できなかった旨を表示部22に表示し(ステップS409)、一連の処理のステップを終了する。
Next, a flow of processing for acquiring the sender data 503 of the electronic mail 300 indicated by the received electronic mail 300 will be described with reference to FIG. Assume that the electronic mail means 251 is activated and one electronic mail 300 is selected. When the e-mail 300 is selected by the recipient, the e-mail unit 251 activates the S / MIME verification unit 254, and the S / MIME verification unit 254 performs the S / MIME signature data of the e-mail 300. 304 is verified. If the verification result of the S / MIME signature data 304 is a verification failure, a message to that effect may be displayed and the series of processing in FIG. 8 may not be performed.
In step S401, the electronic mail unit 251, the public request generation unit 255, and the data acquisition unit 256 cooperate with each other by selecting the data public URL 303a described in the text 303 of the electronic mail 300 according to the operation of the recipient. Processing for requesting the disclosure of data 503 is started.
In step S <b> 402, the electronic mail unit 251 determines whether or not the recipient's electronic certificate 100 is stored in the storage unit 24. When the electronic certificate 100 of the recipient is stored in the storage unit 24 (step S402—Yes), the public request generation unit 255 adds the electronic certificate of the storage unit 24 to the access right file 200 attached to the e-mail 300. The signature data 401 of the publication request signed using the certificate 100 is generated (step S403). Next, the publication request generation unit 255 creates a publication request 400 including the access right file 200 and the signature data 401 of the created publication request, and the data acquisition unit 256 receives the publication request 400 via the communication unit 21. It is transmitted to the data server 3 indicated by the data disclosure URL 303a operated by the user (step S404). Then, it waits for a response to the disclosure request 400 from the data server 3 (step S405). Specifically, the data acquisition unit 256 starts a timer (not shown) after transmission, polls a response to the publication request 400 from the data server 3, and receives a response from the data server 3 to the publication request 400. (Step S405-Yes), the data acquisition unit 256 determines whether or not the data 503 has been received (Step S407). When the data 503 is received (step S407-Yes), the data acquisition unit 256 displays the received data 503 on the display unit 22 (step S408), and ends a series of processing steps. On the other hand, if the data 503 is not received, that is, if a rejection notification is received (step S407-No), the data acquisition unit 256 displays on the display unit 22 that the data 503 could not be acquired (step S409), The process step ends.

ステップS405においてデータサーバ3からの公開要求400への応答を受信していないとき(ステップS405−No)、データ取得手段256は、タイマにより所定時間が経過していないかどうかを確認し(ステップS406)、まだ所定時間を経過していなければ(ステップS406−No)、ステップS405へ戻る。すでに所定時間を経過していれば(ステップS406−Yes)、公開要求400に対しタイムアウトした旨を表示部22に表示し(ステップS410)、一連の処理のステップを終了する。
また、ステップS402において記憶部24に受信者の電子証明書100が記憶されていない場合(ステップS402−No)、公開要求生成手段255は、公開要求400を作成できない旨を表示部22に表示させ(ステップS411)、一連の処理のステップを終了する。
なお、ステップS403おいて、記憶部24の電子証明書100を用いて署名を行う際に、受信者が秘密鍵110の保護パスワードの入力画面でパスワードを間違えたり、タイムアウトしたりするなどして署名処理に失敗すると、その旨を表示部22に表示させて、一連の処理のステップを終了する。また、電子メール300にアクセス権ファイル200が添付されていない場合、そもそも署名対象が存在しないため、ステップS403おいて、署名処理に失敗するのはいうまでもない。
When the response to the disclosure request 400 from the data server 3 is not received in step S405 (step S405-No), the data acquisition unit 256 confirms whether a predetermined time has not elapsed by the timer (step S406). ), If the predetermined time has not yet elapsed (step S406—No), the process returns to step S405. If the predetermined time has already elapsed (step S406—Yes), the display unit 22 displays that the publication request 400 has timed out (step S410), and the series of processing steps ends.
If the recipient's electronic certificate 100 is not stored in the storage unit 24 in step S402 (No in step S402), the publication request generation unit 255 displays on the display unit 22 that the publication request 400 cannot be created. (Step S411), a series of processing steps is completed.
In step S403, when signing using the electronic certificate 100 in the storage unit 24, the recipient may make a mistake by entering a wrong password on the input screen for the protection password of the private key 110, or may time out. If the process fails, a message to that effect is displayed on the display unit 22 and the series of process steps is terminated. Needless to say, if the access right file 200 is not attached to the e-mail 300, there is no signature target in the first place, and the signature processing fails in step S403.

次に、データサーバ3の構成について、図9を参照して説明する。
データサーバ3は、利用者のデータを記憶するサーバである。また、データサーバ3は、通信装置2からデータ503の公開を要求する公開要求400を受信すると、その通信装置2の利用者がそのデータ503の閲覧を許可された利用者であるか否かを判定し、許可された利用者である場合に限りその通信装置2へデータ503を送信する。データサーバ3は、通信部31と、記憶部32と、制御部33とを有する。
Next, the configuration of the data server 3 will be described with reference to FIG.
The data server 3 is a server that stores user data. Further, when the data server 3 receives the disclosure request 400 for requesting the disclosure of the data 503 from the communication device 2, the data server 3 determines whether or not the user of the communication device 2 is a user permitted to view the data 503. The data 503 is transmitted to the communication device 2 only when the user is determined and authorized. The data server 3 includes a communication unit 31, a storage unit 32, and a control unit 33.

通信部31は、ネットワーク4にデータサーバ3を接続するためのインターフェース回路及びそのドライバソフトウェア等で構成される。通信部31は、通信装置2から公開要求400をネットワーク4を介して受信し制御部33へ渡すとともに、制御部33の制御に従って公開要求400に対する応答であるデータ503または拒否通知をネットワーク4を介して通信装置2へ送信する。   The communication unit 31 includes an interface circuit for connecting the data server 3 to the network 4 and its driver software. The communication unit 31 receives the publishing request 400 from the communication device 2 via the network 4 and passes it to the control unit 33, and sends data 503 or a rejection notification as a response to the publishing request 400 via the network 4 according to the control of the control unit 33. To the communication device 2.

記憶部32は、半導体メモリ、磁気記録媒体及びそのアクセス装置並びに光記録媒体及びそのアクセス装置から構成されている。そして、記憶部32は、データサーバ3を制御するためのコンピュータプログラム、各種パラメータ及びデータなどを記憶する。また、記憶部32は、利用者のデータ503を、利用者の電子メールアドレス501とデータID502に関連付けて記憶させたデータテーブル500を記憶している。   The storage unit 32 includes a semiconductor memory, a magnetic recording medium and its access device, an optical recording medium and its access device. The storage unit 32 stores a computer program for controlling the data server 3, various parameters, data, and the like. In addition, the storage unit 32 stores a data table 500 in which user data 503 is stored in association with the user's email address 501 and data ID 502.

図10に、データテーブル500を示す。データテーブル500では、電子メールアドレス501と、データID502と、データ503と、アクセス回数504とが関連付けて一行一レコードとして記憶される。本実施形態では、電子メールアドレス501として利用者の公開鍵証明書100に記載された利用者が利用する電子メールアドレス123が記憶される。また、データID502として、データ503のファイル名が記憶され、データ503は、利用者の氏名、楽曲データ、日記などの任意のデータが予め記憶されている。また、アクセス回数504は、データサーバ3がデータ503を読み出して通信装置2に送信した回数が記憶される。なお、利用者の電子メールアドレス501とデータID502が常に1対1に対応していれば、データID502を省略しても良い。   FIG. 10 shows the data table 500. In the data table 500, the e-mail address 501, the data ID 502, the data 503, and the access count 504 are stored in association with each other. In the present embodiment, an e-mail address 123 used by the user described in the user's public key certificate 100 is stored as the e-mail address 501. Further, the file name of the data 503 is stored as the data ID 502, and arbitrary data such as the user's name, music data, and diary is stored in advance as the data 503. The access count 504 stores the number of times the data server 3 has read the data 503 and transmitted it to the communication device 2. Note that the data ID 502 may be omitted if the user's e-mail address 501 and the data ID 502 always correspond one-to-one.

制御部33は、一個または複数個のプロセッサ及びその周辺回路を有する。そして、制御部33は、データ503の公開要求400に対するアクセス制御処理を行う。制御部33は、そのプロセッサ上で動作するソフトウェアにより実装される機能モジュールとして、アクセス制御手段331と、署名検証手段332とを有する。なお、制御部33が有するこれらの各部は、独立した集積回路、ファームウェア、マイクロプロセッサなどで構成されてもよい。   The control unit 33 has one or a plurality of processors and their peripheral circuits. Then, the control unit 33 performs an access control process for the data 503 disclosure request 400. The control unit 33 includes an access control unit 331 and a signature verification unit 332 as functional modules implemented by software that operates on the processor. Note that these units included in the control unit 33 may be configured by independent integrated circuits, firmware, a microprocessor, and the like.

アクセス制御手段331は、通信部31を介して公開要求400を受信すると、署名検証手段332と協働して、通信装置2の利用者がデータ503の閲覧を許可された利用者か否かを判定し、閲覧を許可された利用者であればデータ503を通信装置2へ送信し、通信装置2の利用者がデータ503の閲覧を許可された利用者でなければ拒否通知を通信部31からネットワーク4経由にて通信装置2へ送信する手段である。   When the access control unit 331 receives the publication request 400 via the communication unit 31, in cooperation with the signature verification unit 332, the access control unit 331 determines whether the user of the communication device 2 is a user permitted to view the data 503. If it is determined that the user is permitted to browse, the data 503 is transmitted to the communication device 2, and if the user of the communication device 2 is not permitted to view the data 503, a rejection notice is transmitted from the communication unit 31. It is means for transmitting to the communication device 2 via the network 4.

署名検証手段332は、アクセス制御手段331からの署名検証要求に基づいて、公開要求400の署名検証および公開要求400に含まれるアクセス権ファイル200の署名検証を行う。   The signature verification unit 332 performs signature verification of the publication request 400 and signature verification of the access right file 200 included in the publication request 400 based on the signature verification request from the access control unit 331.

次に、データサーバ3におけるアクセス制御手段331によるアクセス制御処理について、図11のフロー図を参照して詳細に説明する。図11の処理は、データサーバ3が通信装置2からデータ公開URL303aに対するアクセスの要求を受信すると開始する。   Next, access control processing by the access control means 331 in the data server 3 will be described in detail with reference to the flowchart of FIG. The process of FIG. 11 starts when the data server 3 receives a request for access to the data disclosure URL 303a from the communication device 2.

アクセス制御手段331は、アクセスの要求において、公開要求400が含まれるか否かを判定する(ステップS501)。ここで、アクセスの要求に公開要求400が含まれない場合(ステップS501−No)、アクセス制御手段331は、アクセスが不適切でアクセス権限なしと判定する(ステップS502)。   The access control unit 331 determines whether or not the disclosure request 400 is included in the access request (step S501). Here, when the disclosure request 400 is not included in the access request (step S501-No), the access control unit 331 determines that the access is inappropriate and there is no access authority (step S502).

一方、公開要求400を受信した場合(ステップS501−Yes)、アクセス制御手段331は、署名検証手段332に公開要求の署名データ401の検証を実施させる(ステップS503)。すなわち、この検証は、データ503の公開を要求した利用者を確認するとともに、当該利用者が公開要求400に含まれるアクセス権ファイル200が改竄されていないことを保証することとなる。具体的には、署名検証手段332は、図6の公開要求の署名データ401から電子証明書による署名値401aと、公開鍵証明書401c(120)の公開鍵121とを読み出し、公開鍵121を用いて電子証明書による署名値401aを復号してハッシュ値を求める。さらに、署名検証手段332は、公開要求の署名データ401の署名対象であるアクセス権ファイル200のハッシュ値を算出する。そして、署名検証手段332は、署名値から求めたハッシュ値と署名対象から算出したハッシュ値とを比較し、一致していればアクセス権ファイル200に改竄はないと判断する。さらに、署名検証手段332は、公開要求の署名データ401の公開鍵証明書401cが有効か否かを、公開鍵証明書401cに記載された証明書の有効期間125、及び、認証局の名前124に記載された認証局から取得した電子証明書失効情報により公開鍵証明書401cが有効期間前に失効していないかを確認し、判定する。かかる公開鍵証明書401cにより、公開を要求した利用者を所有者の電子メールアドレス123を用いて確認できる。
ここで、電子証明書失効情報は、電子証明書を発行した認証局が自局で発行した各電子証明書が有効期間内に失効させられたか、すなわち電子証明書が有効であるか否かを管理するものである。電子証明書失効情報には、証明書の有効期間内に失効した公開鍵証明書のシリアルナンバー126と失効した日時とが含まれる。この電子証明書失効情報は認証局によって定期的に更新され、署名検証を行う通信装置等の要求に応じて供給される。
署名検証手段332は、アクセス権ファイル200に改竄がなく、かつ公開鍵証明書203cが有効であれば検証成功と判定し、それ以外は検証失敗と判定し、判定結果をアクセス制御手段331へ出力する。なお、セキュリティ性がやや落ちるが、アクセス権ファイル200の改竄がないことを検証できたことで検証成功と判定するようにしてもよい。
On the other hand, when the publication request 400 is received (step S501-Yes), the access control unit 331 causes the signature verification unit 332 to verify the signature data 401 of the publication request (step S503). In other words, this verification confirms the user who has requested the disclosure of the data 503 and ensures that the access right file 200 included in the disclosure request 400 has not been tampered with. Specifically, the signature verification unit 332 reads the signature value 401a based on the electronic certificate and the public key 121 of the public key certificate 401c (120) from the signature data 401 of the public request shown in FIG. The signature value 401a based on the electronic certificate is decrypted to obtain a hash value. Further, the signature verification unit 332 calculates the hash value of the access right file 200 that is the signature target of the signature data 401 of the publication request. The signature verification unit 332 compares the hash value obtained from the signature value with the hash value calculated from the signature target, and determines that the access right file 200 is not falsified if they match. Further, the signature verification unit 332 determines whether the public key certificate 401c of the signature data 401 of the public request is valid, the validity period 125 of the certificate described in the public key certificate 401c, and the name 124 of the certificate authority. It is determined by checking whether the public key certificate 401c has been revoked before the validity period based on the electronic certificate revocation information acquired from the certificate authority described in FIG. By using the public key certificate 401c, the user who has requested the disclosure can be confirmed using the e-mail address 123 of the owner.
Here, the electronic certificate revocation information indicates whether each electronic certificate issued by the certification authority that issued the electronic certificate has been revoked within the validity period, that is, whether or not the electronic certificate is valid. It is something to manage. The electronic certificate revocation information includes the serial number 126 of the public key certificate revoked within the validity period of the certificate and the date and time of revocation. This electronic certificate revocation information is periodically updated by a certificate authority and supplied in response to a request from a communication device or the like that performs signature verification.
The signature verification unit 332 determines that the verification is successful if the access right file 200 is not falsified and the public key certificate 203c is valid, and otherwise determines that the verification fails, and outputs the determination result to the access control unit 331. To do. Note that although the security is slightly lowered, it may be determined that the verification is successful if it is verified that the access right file 200 has not been falsified.

次に、ステップS504に進み、アクセス制御手段331は、公開要求の署名データ401の検証が成功したか否かを判定する。ここで、公開要求の署名データ401の検証に失敗した場合(ステップS504−No)、アクセス制御手段331は、公開要求の署名検証失敗によりアクセス権限なしと判定する(ステップS502)。   In step S504, the access control unit 331 determines whether the verification of the signature data 401 of the publication request has been successful. Here, when the verification of the signature data 401 of the publication request has failed (No in step S504), the access control unit 331 determines that there is no access authority due to the signature verification failure of the publication request (step S502).

一方、公開要求の署名データ401の検証に成功した場合(ステップS504−Yes)、アクセス制御手段331は、署名検証手段332に、アクセス権ファイル署名データ203の検証を実施させる(ステップS505)。すなわち、かかる検証は、電子メール300の送信元メールアドレス301を確認できるとともに、当該電子メール300の宛先メールアドレス302が改竄されていないことを保証することとなる。そして、電子メール300の送信元メールアドレス301と宛先メールアドレス302が強固に結びついていることを担保できる。具体的には、署名検証手段332は、図4のアクセス権ファイル200のアクセス権ファイル署名データ203から電子証明書による署名値203aと、公開鍵証明書203c(120)の公開鍵121とを読み出し、公開鍵121を用いて電子証明書による署名値203aを復号してハッシュ値を求める。さらに、署名検証手段322は、アクセス権ファイル署名データ203のデータ公開URL201および宛先メールアドレス202のハッシュ値を算出する。
そして、アクセス権ファイル署名データ203の電子証明書による署名値203aを復号して求めたハッシュ値と、アクセス権ファイル署名データ203の署名対象であるデータ公開URL201と宛先メールアドレス202から算出したハッシュ値とを比較する。一致していれば電子メール300の送信者が生成したアクセス権ファイル200、すなわちアクセス権ファイル200に含まれる宛先メールアドレス202およびデータ公開URL201について改竄がないことが保証される。さらに、署名検証手段332は、アクセス権ファイル署名データ203の公開鍵証明書203cが有効か否かを、公開鍵証明書203cに記載された証明書の有効期間125、及び、認証局の名前124に記載された認証局から取得した電子証明書失効情報により公開鍵証明書203cが有効期間前で失効していないかを確認し、判定する。
公開鍵証明書203cが有効であれば、当該公開鍵証明書120の所有者の電子メールアドレス123を用いて、電子メール300の送信者が署名したことを確認できる。
署名検証手段332は、署名対象のデータ公開URL201と宛先メールアドレス202に改竄がなく、かつ公開鍵証明書203cが有効であればアクセス権ファイル署名データ203の検証成功と判定し、その他であれば検証失敗と判定し、判定結果をアクセス制御手段331へ出力する。
On the other hand, when the verification of the signature data 401 of the publication request is successful (step S504—Yes), the access control unit 331 causes the signature verification unit 332 to verify the access right file signature data 203 (step S505). That is, such verification can confirm the transmission source mail address 301 of the electronic mail 300 and guarantee that the destination mail address 302 of the electronic mail 300 has not been falsified. Then, it can be ensured that the source mail address 301 and the destination mail address 302 of the e-mail 300 are firmly connected. Specifically, the signature verification unit 332 reads the signature value 203a by the electronic certificate and the public key 121 of the public key certificate 203c (120) from the access right file signature data 203 of the access right file 200 of FIG. The signature value 203a based on the electronic certificate is decrypted using the public key 121 to obtain a hash value. Further, the signature verification unit 322 calculates the data disclosure URL 201 of the access right file signature data 203 and the hash value of the destination mail address 202.
Then, a hash value obtained by decrypting the signature value 203 a of the access right file signature data 203 using the electronic certificate, a hash value calculated from the data disclosure URL 201 and the destination e-mail address 202 that are the signature target of the access right file signature data 203. And compare. If they match, it is guaranteed that the access right file 200 generated by the sender of the e-mail 300, that is, the destination mail address 202 and the data disclosure URL 201 included in the access right file 200 are not falsified. Furthermore, the signature verification unit 332 determines whether the public key certificate 203c of the access right file signature data 203 is valid, the validity period 125 of the certificate described in the public key certificate 203c, and the name 124 of the certificate authority. Whether or not the public key certificate 203c has been revoked before the validity period is determined based on the electronic certificate revocation information acquired from the certificate authority described in (1).
If the public key certificate 203c is valid, the e-mail address 123 of the owner of the public key certificate 120 can be used to confirm that the sender of the e-mail 300 has signed.
The signature verification unit 332 determines that the verification of the access right file signature data 203 is successful if there is no falsification in the data disclosure URL 201 and the destination mail address 202 to be signed and the public key certificate 203c is valid, and otherwise. It is determined that the verification has failed, and the determination result is output to the access control means 331.

そして、アクセス制御手段331は、アクセス権ファイル署名データ203の検証が成功したか否かを判定する(ステップS506)。ここで、アクセス権ファイル署名データ203の検証が失敗した場合(ステップS506−No)、アクセス制御手段331は、公開要求の署名検証失敗によりアクセス権限なしと判定する(ステップS502)。
一方、アクセス権ファイル署名データ203の署名の検証が成功した場合(ステップS506−Yes)、ステップS507に進む。
Then, the access control means 331 determines whether or not the access right file signature data 203 has been successfully verified (step S506). Here, when the verification of the access right file signature data 203 fails (step S506-No), the access control means 331 determines that there is no access authority due to the signature verification failure of the publication request (step S502).
On the other hand, if the verification of the signature of the access right file signature data 203 is successful (step S506-Yes), the process proceeds to step S507.

ステップS507では、アクセス制御手段331がアクセス権ファイル200に記載された宛先メールアドレス202と、公開要求の署名データ401に含まれる公開鍵証明書401cにある所有者の電子メールアドレス123とを照合する。ここで、アクセス制御手段331は、アクセス権ファイル200に記載された宛先メールアドレス202と、所有者の電子メールアドレス123とが一致しない場合(ステップS508−No)、アクセス権限なしと判定する(ステップS502)。このように、データサーバ3がアクセスを許可するための情報を予め登録することなく、受信した公開要求400にてアクセス権限の有無を判定できる。   In step S507, the access control unit 331 compares the destination email address 202 described in the access right file 200 with the owner's email address 123 in the public key certificate 401c included in the signature data 401 of the publication request. . Here, if the destination mail address 202 described in the access right file 200 does not match the owner's e-mail address 123 (No in step S508), the access control means 331 determines that there is no access right (step S508). S502). In this way, the presence / absence of access authority can be determined by the received publication request 400 without registering in advance information for permitting access by the data server 3.

一方、アクセス権ファイル200に記載された宛先メールアドレス202と、公開要求の署名データ401に含まれる公開鍵証明書401cにある所有者の電子メールアドレス123とが一致した場合(ステップS508−Yes)、アクセス制御手段331は、アクセス権限ありと判定し(ステップS509)、データ503へのアクセスを許可する。ちなみに、公開要求400における公開鍵証明書401c(120)の所有者の電子メールアドレス123とアクセス権ファイル200に記載された宛先メールアドレス202とが一致するということは、電子メール300の送信者が指定した受信者が公開を要求していることを担保していることを意味する。   On the other hand, when the destination email address 202 described in the access right file 200 matches the owner's email address 123 in the public key certificate 401c included in the signature data 401 of the publication request (step S508—Yes). The access control means 331 determines that there is an access authority (step S509) and permits access to the data 503. Incidentally, the fact that the e-mail address 123 of the owner of the public key certificate 401c (120) in the public request 400 matches the destination e-mail address 202 described in the access right file 200 means that the sender of the e-mail 300 This means that the specified recipient is assured that the request is made public.

そして、アクセス制御手段331は、記憶部32のデータテーブル500から、対応するデータ503を読み出す(ステップS510)。具体的には、アクセス制御手段331は、アクセス権ファイル200にある公開鍵証明書203cに記載された所有者の電子メールアドレス123が電子メールアドレス501と一致し、且つ、アクセス権ファイル200のデータ公開URL201に含まれるデータIDがデータID502と一致するレコードをデータテーブル500から検索し特定する。そして、アクセス制御手段331は、特定したレコードにあるデータ503を読み出し、通信部31を介して通信装置2に送信するとともに当該レコードのアクセス回数504をインクリメントし(ステップS511)、一連のステップを終了する。   Then, the access control unit 331 reads the corresponding data 503 from the data table 500 of the storage unit 32 (Step S510). Specifically, the access control means 331 determines that the owner's e-mail address 123 described in the public key certificate 203c in the access right file 200 matches the e-mail address 501 and the data in the access right file 200 A record in which the data ID included in the public URL 201 matches the data ID 502 is searched from the data table 500 and specified. Then, the access control unit 331 reads the data 503 in the specified record, transmits the data 503 to the communication device 2 via the communication unit 31, and increments the access count 504 of the record (step S511), and ends the series of steps. To do.

また、ステップS502でアクセス権限なしと判定されると、アクセス制御手段331は、拒否通知を、通信部31を介して通信装置2に送信し(ステップS512)、一連のステップを終了する。   If it is determined in step S502 that there is no access authority, the access control unit 331 transmits a rejection notice to the communication device 2 via the communication unit 31 (step S512), and the series of steps is terminated.

これらの一連の処理により、データサーバ3は、アクセス権ファイル200で指定した宛先メールアドレス202により特定される利用者が使用する通信装置2に対してデータ503を送信することができる。   Through a series of these processes, the data server 3 can transmit the data 503 to the communication device 2 used by the user specified by the destination mail address 202 specified in the access right file 200.

以下、通信装置2及びデータサーバ3がどのように協働で動作するか、ネットワークシステム1全体の動作例を説明する。ここでは、通信装置2−Sの利用者甲(以下、単に「甲」という。)が電子メールAを通信装置2−Rの利用者乙(以下、単に「乙」という。)に送信し、更に、乙が受信した電子メールAを通信装置2−FRの利用者丙(以下、単に「丙」という。)へ転送メールBとして送信したとする。また、甲は「kou@***.co.jp」、乙は「otsu@***.co.jp」、丙は「hei@***.co.jp」を電子メールアドレスとして使用している。更に、甲・乙・丙は、予め使用している電子メールアドレスを所有者の電子メールアドレス123とする電子証明書100の発行をそれぞれ受け記憶部24に記憶しているものとする。
また、図10に示すように、データテーブル500には、甲のデータは、電子メールアドレス501の列に「kou@***.co.jp」として1行目及び2行目に設定されている。そして、データID502としてデータ503を区別して2種類「xxx.zip」と「yyy.zip」が設定されている。なお、データ503は、「データ1」と「データ2」として示す。乙のデータは、電子メールアドレス501の列に「otsu@***.co.jp」として3行目に設定されている。そして、データID502として1種類の「abc.zip」が設定されている。なお、乙のデータ503は「データ3」として示す。なお、丙は、データを登録していない。
Hereinafter, an operation example of the entire network system 1 will be described as to how the communication device 2 and the data server 3 operate in cooperation. Here, the user A of the communication device 2-S (hereinafter simply referred to as “Class A”) transmits the electronic mail A to the user B of the communication device 2-R (hereinafter simply referred to as “B”). Further, it is assumed that the electronic mail A received by the second party is transmitted as the forward mail B to the user 丙 (hereinafter simply referred to as “丙”) of the communication device 2-FR. The e-mail address is “kou@***.co.jp”, “otsu@***.co.jp” is used as the e-mail address, and “hei@***.co.jp” is used as the eaves. ing. Further, it is assumed that Party A, Party B, and 丙 respectively store the issuance of the electronic certificate 100 in which the electronic mail address used in advance is the owner's electronic mail address 123 in the storage unit 24.
In addition, as shown in FIG. 10, in the data table 500, the data of A is set in the first and second lines as “kou@***.co.jp” in the column of the email address 501. Yes. Two types of “xxx.zip” and “yyy.zip” are set as the data ID 502 to distinguish the data 503. The data 503 is indicated as “data 1” and “data 2”. B's data is set in the third row as “otsu@***.co.jp” in the column of the email address 501. One type of “abc.zip” is set as the data ID 502. The data 503 of the second party is indicated as “Data 3”. In addition, Tsuji does not register data.

図12を参照して、ネットワークシステム1の全体動作を説明する。先ず、甲が乙に電子メールAを送信し、乙が甲のデータを参照する動作を説明する(ステップS101〜ステップS117)。
先ず、甲は乙に対し、電子メールAを図7にて説明したステップにしたがって送信する。すなわち、甲は、乙の電子メールアドレス「otsu@***.co.jp」を宛先メールアドレス302とし、電子メールAの本文303にデータ公開URL303aとして、「https://www.data.***.co.jp/xxx.zip」を記載した電子メールAを作成する。送信元メールアドレス301に電子証明書100の所有者の電子メールアドレス123である「kou@***.co.jp」を読み出して設定する。そして、本文303に記載されたデータ公開URL303a「https://www.data.***.co.jp/xxx.zip」と宛先メールアドレス302「otsu@***.co.jp」からアクセス権ファイル200Aを作成し、通信装置2−Sから通信装置2−Rへ電子メールAを送信する(ステップS101)。ちなみに、データ公開URL303aの前段部である「https://www.data.***.co.jp」は、データサーバ3のアドレスであり、後段の「xxx.zip」はデータID502である。
The overall operation of the network system 1 will be described with reference to FIG. First, the operation in which Party A transmits E-mail A to Party B and Party B refers to the data of Party A will be described (steps S101 to S117).
First, Party A sends E-mail A to Party B according to the steps described in FIG. That is, Party A uses “Otsu@***.co.jp” as its destination email address 302 and “https: //www.data.*” as the data disclosure URL 303a in the body 303 of the email A. Create email A with "**. co.jp/xxx.zip". “Kou@***.co.jp”, which is the email address 123 of the owner of the electronic certificate 100, is read and set as the sender email address 301. And access from the data disclosure URL 303a “https: //www.data.***.co.jp/xxx.zip” and the destination mail address 302 “otsu@***.co.jp” described in the text 303 The right file 200A is created, and the electronic mail A is transmitted from the communication device 2-S to the communication device 2-R (step S101). Incidentally, “https: //www.data.***.co.jp”, which is the former part of the data disclosure URL 303a, is the address of the data server 3, and “xxx.zip” which is the latter part is the data ID 502.

次に、電子メールAを受信した乙は、電子メールAの送信者である甲のデータ503を取得するべく、図8にて説明したステップにしたがってデータサーバ3へアクセスする(ステップS102,S111)。具体的には、電子メールAを通信装置2−Rにて受信し(ステップS102)、乙は通信装置2−Rの表示部22に表示された電子メールAの内容を参照する。そして、乙は、本文303に記載されたデータ公開URL303a「https://www.data.***.co.jp/xxx.zip」を選択し、電子メールAに含まれるアクセス権ファイル200Aに自己の電子メールアドレス「otsu@***.co.jp」を所有者の電子メールアドレス123とした電子証明書100にて署名して公開要求400を作成する。次に、データサーバ3へアクセスし、公開要求400をデータサーバ3へ送信する(ステップS111)。   Next, the second party who received the electronic mail A accesses the data server 3 according to the steps described with reference to FIG. 8 in order to acquire the data 503 of the former which is the sender of the electronic mail A (steps S102 and S111). . Specifically, the electronic mail A is received by the communication device 2-R (step S102), and the second party refers to the content of the electronic mail A displayed on the display unit 22 of the communication device 2-R. Then, B selects the data disclosure URL 303a “https: //www.data.***.co.jp/xxx.zip” described in the text 303, and enters the access right file 200A included in the email A. The publication request 400 is created by signing with the electronic certificate 100 having the own electronic mail address “otsu@***.co.jp” as the electronic mail address 123 of the owner. Next, the data server 3 is accessed, and the publication request 400 is transmitted to the data server 3 (step S111).

データサーバ3は、通信装置2−Rから公開要求400を受信すると(ステップS112)、図11の処理に従ってアクセス可否を判定する(ステップS113〜ステップS115)。すなわち、受信した公開要求400が改竄等なされていないことを検証し、且つ、アクセス権ファイル200Aの宛先メールアドレス202である「otsu@***.co.jp」と当該公開要求の署名データ401の公開鍵証明書401cの電子メールアドレス123「otsu@***.co.jp」が一致することを確認する。これにより、甲が電子メールAを作成した際に設定した宛先メールアドレスと、データの公開を要求している乙を証明する電子証明書にある電子メールアドレスの一致を確実に確認できる(ステップS113)。本例では一致するので、アクセスが許可される。   When the data server 3 receives the disclosure request 400 from the communication device 2-R (step S112), the data server 3 determines whether or not access is possible according to the process of FIG. 11 (steps S113 to S115). That is, it is verified that the received publication request 400 has not been tampered with, and “otsu@***.co.jp”, which is the destination email address 202 of the access right file 200A, and the signature data 401 of the publication request. It is confirmed that the e-mail address 123 “otsu@***.co.jp” of the public key certificate 401c of FIG. As a result, it is possible to reliably confirm the match between the destination email address set when the Party A created the email A and the email address in the electronic certificate proving the party requesting the data disclosure (step S113). ). Since they match in this example, access is permitted.

次に、データサーバ3は、アクセス権ファイル200Aのデータ公開URL201の後段である「xxx.zip」及び公開鍵証明書203cの所有者の電子メールアドレス123から「kou@***.co.jp」を抽出する。そして、電子メールアドレス501の列が「kou@***.co.jp」であり、且つデータID502の列が「xxx.zip」であるデータテーブル500のレコードを検索し特定する。図10の例では、最上段のレコードが該当し、当該レコードの中にあるデータ503の「データ1」を特定し、データテーブル500から読み出す(ステップS114)。
その後、通信装置2−Rへ取得したデータ503である「データ1」を送信し、当該レコードのアクセス回数504をインクリメントする(ステップS115)。
データ503である「データ1」を受信した通信装置2−Rは、「データ1」を表示部22へ表示する。この表示により、乙は甲のデータ503である「データ1」を閲覧することができる(ステップS116、ステップS117)。
Next, the data server 3 obtains “kou@***.co.jp” from “xxx.zip” which is the latter stage of the data disclosure URL 201 of the access right file 200A and the e-mail address 123 of the owner of the public key certificate 203c. Is extracted. Then, the record of the data table 500 in which the column of the e-mail address 501 is “kou@***.co.jp” and the column of the data ID 502 is “xxx.zip” is searched and specified. In the example of FIG. 10, the uppermost record corresponds to “data 1” of the data 503 in the record, and is read from the data table 500 (step S114).
Thereafter, “data 1” which is the acquired data 503 is transmitted to the communication device 2-R, and the access count 504 of the record is incremented (step S115).
The communication device 2-R that has received “data 1” that is data 503 displays “data 1” on the display unit 22. By this display, the second party can browse “Data 1” which is the data 503 of the former (Step S116, Step S117).

このように、データサーバ3は、甲が指定した宛先メールアドレスにより特定される利用者である乙からの公開要求に対してアクセスを許可でき、データを乙へ送信することができる。   In this way, the data server 3 can permit access to the public request from the user B who is specified by the destination email address designated by the user A, and can transmit data to the user B.

次に、乙が甲から受信した電子メールAを丙に転送した場合について、ステップS201〜ステップS216を参照して説明する。なお、乙は電子メールAを丙に転送するときに自身のデータのアクセス権を与えるものとする。
乙は丙に対し、電子メールAから図7にて説明したステップにしたがって転送メールBを作成し送信する。すなわち、乙は、丙の電子メールアドレス「hei@***.co.jp」を宛先メールアドレス302とし、受信した電子メールAの本文を本文303に引用し、受信した電子メールAに添付されているアクセス権ファイル200Aを添付する。なお、ここで、乙はアクセス権ファイル200Aを添付することなく削除しておいても良い。
そして、転送メールBの送信元メールアドレス301に乙の電子証明書100の所有者の電子メールアドレス123である「otsu@***.co.jp」を読み出して設定する。そして、本文303に記載されたデータ公開URL303a「https://www.data.***.co.jp/abc.zip」と宛先メールアドレス302「hei@***.co.jp」から転送メールのアクセス権ファイル200Bを作成して添付し、通信装置2−Rから通信装置2−FRへ転送メールBを送信する(ステップS201)。ちなみに、データ公開URL303aの前段部である「https://www.data.***.co.jp」は、データサーバ3のアドレスであり、後段の「abc.zip」はデータID502である。
Next, the case where the e-mail A received from Party A is transferred to the bag will be described with reference to steps S201 to S216. It should be noted that the second party grants the right to access his / her data when the electronic mail A is transferred to the bag.
B creates and sends forward mail B from E-mail A according to the steps described in FIG. In other words, the second party quotes the e-mail address “hei@***.co.jp” as the destination e-mail address 302, quotes the text of the received e-mail A in the text 303, and is attached to the received e-mail A. Attached to the access right file 200A. Here, the second party may delete the access right file 200A without attaching it.
Then, “otsu@***.co.jp” that is the electronic mail address 123 of the owner of the electronic certificate 100 of the second party is read and set as the transmission source mail address 301 of the forward mail B. Then, transfer from the data disclosure URL 303a “https: //www.data.***.co.jp/abc.zip” and the destination mail address 302 “hei@***.co.jp” described in the text 303 The mail access right file 200B is created and attached, and the transfer mail B is transmitted from the communication device 2-R to the communication device 2-FR (step S201). Incidentally, “https: //www.data.***.co.jp”, which is the former part of the data disclosure URL 303a, is the address of the data server 3, and “abc.zip” which is the latter part is the data ID 502.

次に、転送メールBを受信した丙が、元の電子メール300の送信者である甲のデータ503を取得しようとした場合について説明する。なお、転送メールBの送信者の乙のデータを取得する場合は、前述のステップS111〜ステップS117の処理と同様であり、表示されるのが「データ3」であるので説明を省略する。
先ず、丙は、転送メールBを通信装置2−FRにて受信(ステップS202)した後、甲のデータ503を取得するべく、図8にて説明したステップにしたがってデータサーバ3へアクセスする(ステップS211)。具体的には、丙は、本文303に引用記載されたデータ公開URL303a「https://www.data.***.co.jp/xxx.zip」を選択し、転送メールBに含まれる甲が作成したアクセス権ファイル200Aに自己の電子メールアドレス「hei@***.co.jp」を所有者の電子メールアドレス123とした電子証明書100にて署名して公開要求400を作成する。次に、データサーバ3へアクセスし、公開要求400をデータサーバ3へ送信する(ステップS211)。
Next, a case where the bag that has received the forward mail B tries to acquire the data 503 of the former who is the sender of the original electronic mail 300 will be described. In addition, when acquiring the data of the sender of the forwarded mail B, the processing is the same as the processing in steps S111 to S117 described above, and since “Data 3” is displayed, description thereof is omitted.
First, after receiving the forwarded mail B by the communication device 2-FR (step S202), Sakai accesses the data server 3 according to the steps described in FIG. 8 in order to obtain the data 503 of the former (step S202). S211). Specifically, Tsuji selects the data disclosure URL 303a “https: //www.data.***.co.jp/xxx.zip” cited in the text 303, and The access right file 200A created by the client is signed with the electronic certificate 100 having the e-mail address “hei@***.co.jp” as the owner's e-mail address 123, and a publication request 400 is created. Next, the data server 3 is accessed, and the publication request 400 is transmitted to the data server 3 (step S211).

データサーバ3は、通信装置2−FRから公開要求400を受信すると(ステップS212)、図11の処理に従ってアクセス可否を判定する(ステップS213、ステップS214)。すなわち、受信した公開要求400が改竄等なされていないことを検証できる。更に、アクセス権ファイル200Aの宛先メールアドレス202である「otsu@***.co.jp」と当該公開要求の署名データ401の公開鍵証明書401cの電子メールアドレス123「hei@***.co.jp」が不一致であることを確認できる。これにより、甲が電子メールAを作成した際に設定した乙の宛先メールアドレスと、データの公開を要求している丙を証明する電子証明書にある電子メールアドレスが一致していないので、このアクセスを拒否することができる(ステップS213)。そして、データサーバ3は、通信装置2−FRへは判定結果として拒否通知を送信する(ステップS214)。
「拒否通知」を受信した通信装置2−FRは、データを取得できなかった旨を表示部22へ表示する。これにより、丙は甲のデータ503を閲覧することができない。(ステップS215、ステップS216)。
When the data server 3 receives the disclosure request 400 from the communication device 2-FR (step S212), the data server 3 determines whether or not access is possible according to the process of FIG. 11 (steps S213 and S214). That is, it can be verified that the received disclosure request 400 has not been tampered with. Furthermore, “otsu@***.co.jp”, which is the destination email address 202 of the access right file 200A, and the email address 123 “hei@***.co.” Of the public key certificate 401c of the signature data 401 of the publication request. co.jp "can be confirmed to be inconsistent. As a result, the recipient's email address that was set when E-mail A was created does not match the email address in the electronic certificate proving that the data is requested to be published. Access can be denied (step S213). Then, the data server 3 transmits a rejection notification as a determination result to the communication device 2-FR (step S214).
The communication device 2-FR that has received the “rejection notification” displays on the display unit 22 that data could not be acquired. As a result, Samurai cannot view the data 503 of the former. (Step S215, Step S216).

このように、データサーバ3は、甲が指定した宛先メールアドレス以外からの公開要求はアクセスを許可せず、データ503を守ることができる。   In this way, the data server 3 can protect the data 503 without permitting access to a disclosure request from a destination mail address other than that specified by the user A.

以上説明してきたように、本発明の一つの実施形態に係るアクセス制御システムによれば、電子メールを直接受信した利用者のみにそのデータを公開するようにし、転送メールを受信する利用者、すなわち、電子メールが転送された第三者へのデータの公開を制限することができる。   As described above, according to the access control system according to one embodiment of the present invention, the data is disclosed only to the user who directly receives the e-mail, and the user who receives the forwarded mail, that is, , The disclosure of data to a third party to whom the e-mail has been transferred can be restricted.

本発明はこれらの実施形態に限定されるものではない。例えば、本実施形態では、公開要求を生成する際に、公開要求を送信する通信装置において、記憶部に記憶された電子証明書を用いてアクセス権ファイルに署名して公開要求の署名データを生成する例を示したが、公開要求者の確認を厳格に行なう必要がない場合は、公開要求の署名データの生成処理は省略することも可能である。   The present invention is not limited to these embodiments. For example, in the present embodiment, when generating a public request, the communication device that transmits the public request uses the electronic certificate stored in the storage unit to generate the signature data of the public request by signing the access right file. However, if it is not necessary to strictly check the disclosure requester, the generation process of the signature data for the disclosure request can be omitted.

その場合、公開要求を送信する通信装置は、図8のステップS402に示した、電子証明書があるか否かの判定処理と、ステップS403に示した署名データの生成処理を省略する。そしてステップS404では、公開要求に、署名データの代わりに、電子メールの受信者が通常利用する電子メールアドレスを含めて送信する。   In this case, the communication apparatus that transmits the publication request omits the determination process for determining whether there is an electronic certificate and the signature data generation process illustrated in step S403, which are illustrated in step S402 in FIG. In step S404, the publishing request is transmitted including the e-mail address normally used by the e-mail recipient instead of the signature data.

一方、データサーバは、図11のステップS503及びS504に示した、公開要求の署名データの検証処理を省略する。そしてステップS507では、データサーバは、アクセス権ファイルに記載された宛先メールアドレスと、公開要求に含まれる公開要求者が通常利用する電子メールアドレスとを照合する。   On the other hand, the data server omits the verification processing of the signature data of the publication request shown in steps S503 and S504 in FIG. In step S507, the data server collates the destination email address described in the access right file with the email address normally used by the disclosure requester included in the disclosure request.

また、データサーバは、アクセス権ファイル署名データの検証処理において、署名時刻と現在時刻を対比し、アクセス権ファイルへの送信者の署名からの経過時間が所定の閲覧有効期間内であるか否かを判定する処理を追加し、送信者の署名から一定期間経過するとデータの閲覧を禁止するようにしてもよい。これにより、送信者から電子メールが送られてから一定期間経過すると、データの公開を制限することができる。   In addition, the data server compares the signature time with the current time in the verification process of the access right file signature data, and determines whether or not the elapsed time from the sender's signature to the access right file is within a predetermined valid viewing period. May be added, and data browsing may be prohibited after a certain period of time has elapsed since the sender's signature. Accordingly, the disclosure of data can be restricted after a certain period of time has elapsed since the e-mail was sent from the sender.

また、データサーバは、データのアクセス回数をカウントし、累積アクセス数を管理しているが、このアクセス回数を公開要求の署名データに含まれる公開鍵証明書の電子メールアドレスごとに管理し、その公開鍵証明書の電子メールアドレスについてのアクセス回数が一定期間に予め定めた有効回数を超えた場合にデータを送信しないようにしてもよい。これにより、特定の利用者から一定回数データへアクセスされた場合に、データの公開を制限することができる。   The data server counts the number of data accesses and manages the cumulative number of accesses. The number of accesses is managed for each e-mail address of the public key certificate included in the signature data of the publication request. Data may not be transmitted when the number of accesses to the e-mail address of the public key certificate exceeds a predetermined number of valid times in a certain period. Thereby, when the data is accessed a certain number of times by a specific user, the disclosure of the data can be restricted.

また、データサーバは、予め設定された特定の利用者による公開要求に対してはデータを送信しないようにしてもよい。その場合、データを公開する電子メールの送信者は、通信装置からデータの送信を禁止する利用者の電子メールアドレスのリストをデータサーバに予め登録しておく。そして、データサーバは、公開要求の署名データに含まれる公開鍵証明書の電子メールアドレスがそのリストに記載された電子メールアドレスと一致する場合、データを送信しない。これにより、データを公開する電子メールの送信者は、アクセス権ファイルを送信した後に状況が変化して特定の利用者へデータの公開を禁止する必要が生じた場合に、その公開を制限することができる。   Further, the data server may not transmit data in response to a public request by a specific user set in advance. In that case, the sender of the e-mail that publishes the data registers in advance in the data server a list of e-mail addresses of users who are prohibited from transmitting data from the communication device. Then, the data server does not transmit data when the electronic mail address of the public key certificate included in the signature data of the public request matches the electronic mail address described in the list. This allows senders of e-mails who publish data to restrict the publishing when the situation changes after sending the access rights file and it becomes necessary to prohibit the data from being released to specific users. Can do.

また、データサーバは、送信者の通信装置が送信した電子メールの本文とアクセス権ファイルとが対応するものであるか否かを確認し、対応する場合に限り公開要求者の通信装置にデータを送信するようにしてもよい。この場合、データを公開する電子メールの送信者の通信装置からS/MIME署名付きの電子メールを送信すると共にS/MIME署名に使用したハッシュ値を予めデータサーバに送信しておく。一方、公開要求者の通信装置は、S/MIME署名を検証する際に求めたハッシュ値を公開要求に含めてデータサーバに送信する。データサーバは、データを公開する電子メールの送信者の通信装置から受信したハッシュ値と公開要求者の通信装置から受信したハッシュ値とが一致している場合に限りデータを送信し、一致しない場合はデータを送信しない。
あるいは、データを公開する電子メールの送信者の通信装置は、電子メールの本文のハッシュ値を算出し、算出したハッシュ値をアクセス権ファイルに含めておく。一方、公開要求者の通信装置は、取得した電子メールの本文のハッシュ値を算出し、算出したハッシュ値を公開要求に含めてデータサーバに送信する。データサーバは、アクセス権ファイルに含まれるハッシュ値と公開要求者の通信装置から受信したハッシュ値とが一致している場合に限りデータを送信し、一致しない場合はデータを送信しない。
これらにより、データを公開する送信者が送信した電子メールを受信していない利用者へデータを公開することを防止できるので、セキュリティ性をさらに高めることができる。
In addition, the data server confirms whether or not the body text of the email transmitted by the sender's communication device and the access right file correspond to each other, and if the data server supports the data server, the data server sends the data You may make it transmit. In this case, an e-mail with an S / MIME signature is transmitted from the communication device of the e-mail sender that publishes the data, and the hash value used for the S / MIME signature is transmitted to the data server in advance. On the other hand, the communication device of the disclosure requester includes the hash value obtained when verifying the S / MIME signature in the disclosure request and transmits it to the data server. The data server sends data only if the hash value received from the communication device of the sender of the e-mail that publishes the data matches the hash value received from the communication device of the disclosure requester. Does not send data.
Alternatively, the communication device of the e-mail sender who publishes data calculates a hash value of the body of the e-mail and includes the calculated hash value in the access right file. On the other hand, the communication device of the disclosure requester calculates a hash value of the body text of the acquired electronic mail, and includes the calculated hash value in the disclosure request and transmits it to the data server. The data server transmits data only when the hash value included in the access right file matches the hash value received from the communication device of the disclosure requester, and does not transmit data when they do not match.
As a result, it is possible to prevent the data from being disclosed to users who have not received the electronic mail transmitted by the sender who discloses the data, so that the security can be further improved.

また、アクセス権ファイルに含める宛先メールアドレスをRSA等の暗号方式により暗号化してもよい。これにより、宛先メールアドレスが第三者に漏洩するおそれがなくなり、セキュリティ性をさらに高めることができる。   Further, the destination mail address included in the access right file may be encrypted by an encryption method such as RSA. Thereby, there is no possibility that the destination mail address is leaked to a third party, and the security can be further improved.

また、データ公開URLは、データサーバのアドレスとデータIDを連結したURLとする例を説明したが、これを省略・変形してもよい。
たとえば、データIDを省略したデータ公開URLにしてもよい。あるデータサーバにおいて利用者の電子メールアドレスに割り当てられるデータが一つのみである場合、データサーバがアクセス権ファイルに含まれる公開鍵証明書に記載された電子メールアドレスから対応するデータを特定することができ、データIDは省略可能である。
また、データサーバのアドレスを省略したデータ公開URLにしてもよい。データサーバが一つのみである場合、公開要求の送信先を固定することができ、データサーバのアドレスは省略可能である。
そして、データサーバが一つのみで利用者の電子メールアドレスに割り当てられるデータも一つである場合、利用者のデータは唯一一つとして特定でき、電子データ公開URLを省略してもよい。
In addition, although the example in which the data disclosure URL is a URL obtained by concatenating the address of the data server and the data ID has been described, this may be omitted or modified.
For example, it may be a data disclosure URL in which the data ID is omitted. When there is only one data assigned to the user's email address in a data server, the data server must identify the corresponding data from the email address described in the public key certificate included in the access right file. The data ID can be omitted.
Alternatively, the data public URL may be omitted from the data server address. When there is only one data server, the transmission destination of the publication request can be fixed, and the address of the data server can be omitted.
If there is only one data server and one data is assigned to the user's e-mail address, the user data can be specified as only one, and the electronic data disclosure URL may be omitted.

また、送信者の通信装置にてアクセス権ファイルを生成する際、アクセス権ファイルに記載されているデータ公開URLは、電子メールの本文から抽出したデータ公開URLである例にて実施の形態を説明した。しかしながら、これに限られることはなく、アクセス権ファイルを作成する際に、送信者に対しデータ公開URLの手動入力を求めて入力させてもよいし、データ公開URLを予め記憶させておき、これを読み出してアクセス権ファイルに選択して設定してもよい。   In addition, when the access right file is generated in the communication device of the sender, the data disclosure URL described in the access right file is an example of the data disclosure URL extracted from the body of the e-mail, and the embodiment will be described. did. However, the present invention is not limited to this, and when creating the access right file, the sender may be asked to input the data disclosure URL manually, or the data disclosure URL may be stored in advance and stored. May be selected and set in the access right file.

また、一つの通信装置が、電子メールを送信する機能と、電子メールを受信してデータを閲覧するためにデータサーバからデータを取得する機能の両方の機能を備える場合を説明したが、一方の機能だけを持つようにしてもよい。その場合は、通信装置の制御部において、電子メール手段に送信プラグイン又は受信プラグインのいずれか一方を備えれば実現できる。   In addition, the case where one communication device has both a function of transmitting an e-mail and a function of acquiring data from a data server for receiving the e-mail and browsing the data has been described. It may have only functions. In that case, the control unit of the communication apparatus can be realized if the electronic mail means is provided with either a transmission plug-in or a reception plug-in.

また、アクセス制御システムは通信装置として携帯電話を使用してもよい。その場合、各通信装置は、W−CDMA、CDMA2000またはLTE(Long Term Evolution)等の携帯電話の通信規格に従って、基地局装置及び携帯電話網を介して他の通信装置と通信する。データサーバは、携帯電話網に接続され、携帯電話網を介して、送信者の通信装置からデータの登録を受け付けるとともに、公開要求者の通信装置から公開要求を受け付けてその公開要求を検証し、検証に成功するとデータを公開要求者の通信装置に送信する。   The access control system may use a mobile phone as a communication device. In this case, each communication device communicates with another communication device via the base station device and the mobile phone network in accordance with a mobile phone communication standard such as W-CDMA, CDMA2000, or LTE (Long Term Evolution). The data server is connected to the mobile phone network, accepts registration of data from the communication device of the sender via the mobile phone network, accepts a public request from the communication device of the public requester, verifies the public request, If the verification is successful, the data is transmitted to the communication device of the disclosure requester.

このように、当業者は、本発明の範囲内で、実施される形態に合わせて様々な変更を行うことができる。   As described above, those skilled in the art can make various modifications in accordance with the embodiment to be implemented within the scope of the present invention.

1 ネットワークシステム
2(2−S、2−R、2−FR) 通信装置
3 データサーバ
4 ネットワーク
21、31 通信部
22 表示部
23 操作部
24、32 記憶部
25、33 制御部
251 電子メール手段
252 アクセス権ファイル生成手段
253 S/MIME署名手段
254 S/MIME検証手段
255 公開要求生成手段
256 データ取得手段
331 アクセス制御手段
332 署名検証手段
DESCRIPTION OF SYMBOLS 1 Network system 2 (2-S, 2-R, 2-FR) Communication apparatus 3 Data server 4 Network 21, 31 Communication part 22 Display part 23 Operation part 24, 32 Storage part 25, 33 Control part 251 E-mail means 252 Access right file generation means 253 S / MIME signature means 254 S / MIME verification means 255 Public request generation means 256 Data acquisition means 331 Access control means 332 Signature verification means

Claims (4)

第一通信装置及びデータサーバを含み、電子メールの送信者のデータへのアクセスを当該電子メールの宛先に当該送信者によって指定された宛先メールアドレスの受信者に限定して許可するアクセス制御システムであって、
前記第一通信装置は、
送信者の電子メールアドレスを含み、当該送信者に発行された第一の電子証明書を予め記憶する装置記憶部と、
前記送信者により作成された電子メールのヘッダから宛先メールアドレスを抽出し、前記第一の電子証明書を用いて前記宛先メールアドレスに署名してアクセス権ファイルを生成するアクセス権ファイル生成手段と、
作成したアクセス権ファイルを添付して前記電子メールを前記宛先メールアドレスに対して送信する電子メール手段と、を有し、
前記データサーバは、
電子メールアドレスに対応させてデータを記憶した記憶部と、
前記アクセス権ファイル及び公開要求者の電子メールアドレスを含む公開要求を受信する通信部と、
前記アクセス権ファイルの署名検証を行ない検証成功か否かの判定を行う署名検証手段と、
前記署名検証手段が検証成功と判定し、且つ、前記宛先メールアドレスと前記公開要求者の電子メールアドレスが一致すると前記第一の電子証明書に含まれる電子メールアドレスに対応する前記データへのアクセスを許可し、一致しない場合は不許可とするアクセス制御手段と、を有することを特徴としたアクセス制御システム。
An access control system that includes a first communication device and a data server, and permits access to data of an e-mail sender only to recipients of an e-mail address specified by the sender. There,
The first communication device is
A device storage unit that pre-stores the first electronic certificate issued to the sender, including the sender's email address;
An access right file generating means for extracting a destination mail address from the header of the e-mail created by the sender, signing the destination mail address using the first electronic certificate, and generating an access right file;
E-mail means for sending the e-mail to the destination e-mail address with the created access right file attached,
The data server is
A storage unit storing data corresponding to an email address;
A communication unit that receives a public request including the e-mail address of the access right file and the public requester,
Signature verification means for performing signature verification of the access right file and determining whether the verification is successful;
Access to the data corresponding to the e-mail address included in the first electronic certificate when the signature verification means determines that the verification is successful and the destination e-mail address matches the e-mail address of the public requester allow, if they do not match the access control system characterized by having an access control means for disallowed.
前記公開要求は、前記公開要求者の電子メールアドレスを含み、当該公開要求者に発行された第二の電子証明書を用いて署名されており、
前記署名検証手段は、前記公開要求の第二の電子証明書による署名の検証と前記アクセス権ファイルの署名の検証とがともに成功すると検証成功と判断する請求項1に記載のアクセス制御システム。
The public request includes an e-mail address of the public requester has been signed with the second electronic certificate issued to the public requester,
The access control system according to claim 1, wherein the signature verification unit determines that the verification is successful if both the verification of the signature by the second electronic certificate of the publication request and the verification of the signature of the access right file are successful.
前記アクセス権ファイルには、前記第一の電子証明書を用いて署名した前記データを特定するデータIDを含み、
前記アクセス制御手段は、前記データIDにて特定されたデータへのアクセスを許可する請求項1または請求項2に記載のアクセス制御システム。
The access right file includes a data ID that identifies the data signed using the first electronic certificate,
The access control system according to claim 1, wherein the access control unit permits access to the data specified by the data ID.
更に、前記公開要求者の電子メールアドレスを含み、当該公開要求者に発行された第二の電子証明書を予め記憶しており、
前記アクセス権ファイルが添付された電子メールを受信して前記データの公開を要求する際に、前記第二の電子証明書を用いて前記アクセス権ファイルに署名した前記公開要求を生成する公開要求生成手段と、
当該公開要求を前記データサーバに送信してデータを取得するデータ取得手段を有する第二通信装置を含む請求項2または請求項に記載のアクセス制御システム。
Further comprising an electronic mail address of the public requester stores in advance the second electronic certificate issued to the public requester,
When requesting the release of the data receives the e-mail in which the access right file is attached, the public request generator wherein generating a public request that signed the access right file using the second digital certificate Means,
Access control system according to claim 2 or claim 3 including a second communication device having a data acquisition means for acquiring data and transmits the disclosure request to the data server.
JP2012170454A 2012-07-31 2012-07-31 Access control system Active JP5984560B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012170454A JP5984560B2 (en) 2012-07-31 2012-07-31 Access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012170454A JP5984560B2 (en) 2012-07-31 2012-07-31 Access control system

Publications (2)

Publication Number Publication Date
JP2014030154A JP2014030154A (en) 2014-02-13
JP5984560B2 true JP5984560B2 (en) 2016-09-06

Family

ID=50202449

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012170454A Active JP5984560B2 (en) 2012-07-31 2012-07-31 Access control system

Country Status (1)

Country Link
JP (1) JP5984560B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6738022B2 (en) * 2017-03-28 2020-08-12 富士通クライアントコンピューティング株式会社 Information processing apparatus, information processing method, and information processing program
JP6932157B2 (en) * 2019-06-27 2021-09-08 デジタルア−ツ株式会社 Information processing equipment, information processing methods, and information processing programs
JP7803770B2 (en) * 2022-04-11 2026-01-21 ダイハツ工業株式会社 Information notification system, information notification method, and information notification application program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002163235A (en) * 2000-11-28 2002-06-07 Mitsubishi Electric Corp Access right transfer device, shared resource management system, and access right setting method

Also Published As

Publication number Publication date
JP2014030154A (en) 2014-02-13

Similar Documents

Publication Publication Date Title
AU2012334829C1 (en) Secure messaging
US8782409B2 (en) Confidential message exchange using benign, context-aware cover message generation
US12192367B2 (en) Supporting the decryption of encrypted data
US9530013B2 (en) Supporting the use of a secret key
CN104702580B (en) More communication channel Certificate Authority plateform systems and method
WO2019148717A1 (en) Device and method for verifying request validity, and computer readable storage medium
CN106663152A (en) Systems and methods for controlling media distribution
JP5984560B2 (en) Access control system
KR102171377B1 (en) Method of login control
CN108352983B (en) Information communication system, recording medium, and information communication method
JP2014154131A (en) Authentication system and authentication method
JP2018010377A (en) Information processing system and program
JP5417026B2 (en) Password notification device and password notification system
KR20070062632A (en) How to provide mobile message and file security through encryption
JP2008071216A (en) Information transmission system, information transmission computer and program
JP3821829B1 (en) Data management apparatus, data management method, data management program, and data management system
CA3004973A1 (en) Encrypted push message viewing system
KR101987579B1 (en) Method and system for sending and receiving of secure mail based on webmail using by otp and diffie-hellman key exchange
JP2008047003A (en) Information transmission system, information transmission computer and program
JP2008311714A (en) E-mail communication apparatus and gateway apparatus
KR20070049512A (en) How to provide security function through cellular message encryption
JP2006174089A (en) Key management device
HK1256337B (en) Information communication system, recording medium , and information communication method
JP2005286460A (en) Decryption apparatus
NZ625590B2 (en) Secure messaging

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150311

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160705

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160802

R150 Certificate of patent or registration of utility model

Ref document number: 5984560

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250