Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6711042B2 - Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method - Google Patents
[go: Go Back, main page]

JP6711042B2 - Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method - Google Patents

Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method Download PDF

Info

Publication number
JP6711042B2
JP6711042B2 JP2016049446A JP2016049446A JP6711042B2 JP 6711042 B2 JP6711042 B2 JP 6711042B2 JP 2016049446 A JP2016049446 A JP 2016049446A JP 2016049446 A JP2016049446 A JP 2016049446A JP 6711042 B2 JP6711042 B2 JP 6711042B2
Authority
JP
Japan
Prior art keywords
user
file
data
encryption
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2016049446A
Other languages
Japanese (ja)
Other versions
JP2017167614A (en
Inventor
義宏 北山
義宏 北山
充 和氣
充 和氣
雅一 岩下
雅一 岩下
武田 和幸
和幸 武田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2016049446A priority Critical patent/JP6711042B2/en
Publication of JP2017167614A publication Critical patent/JP2017167614A/en
Application granted granted Critical
Publication of JP6711042B2 publication Critical patent/JP6711042B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、復号プログラム、暗号化プログラム、復号装置、暗号化装置、復号方法、および暗号化方法に関する。 The present invention relates to a decryption program, an encryption program, a decryption device, an encryption device, a decryption method, and an encryption method.

従来、正当な権限を有さない者によるデータのコピーを抑止するため、データを暗号化し、暗号化した暗号化データに対応するパスワードが入力された際に、暗号化データを復号する技術がある。関連する先行技術として、例えば、本人認証情報、処理権限者情報、機器認証情報、拡張子の情報を暗号化した復号先証明書を用いて、復号プログラム、異なる暗号鍵で多段階暗号化されたヘッダ、暗号データを含む自己復号暗号ファイルを生成出力するものがある。また、認証者が、情報提供者から通知を受けた、情報ごとの暗号鍵と該暗号鍵に対応する復号鍵を生成し、暗号鍵を情報提供者に、情報の識別子と該情報の暗号鍵に対応する復号鍵を、該情報への参照権限のある情報参照者に通知する技術がある。 Conventionally, there is a technique for encrypting data and for decrypting the encrypted data when a password corresponding to the encrypted data is input in order to prevent the data from being copied by a person without proper authority. .. As related prior art, for example, a multi-step encryption is performed with a decryption program and different encryption keys by using a decryption destination certificate that is obtained by encrypting principal authentication information, processing authority information, device authentication information, and extension information. There is one that generates and outputs a self-decryption code file including a header and encrypted data. Also, the authenticator generates an encryption key for each information and a decryption key corresponding to the encryption key, which has been notified from the information provider, and sends the encryption key to the information provider, the identifier of the information and the encryption key of the information. There is a technique of notifying the information reference person who has the authority to refer to the information about the decryption key corresponding to.

特開2008−136117号公報JP, 2008-136117, A 特開2002−374237号公報JP, 2002-374237, A

しかしながら、従来技術によれば、正当な権限を有さない者が、暗号化データを復号することができ、データが不正にコピーされる場合がある。具体的には、パスワードを知る者であればどのような者でも暗号化データを復号することができるため、例えば、ファイルシステムやWebシステムで設定した範囲を超える正当な権限を有さない者が、暗号化データを復号し、平文のデータを不正に得る場合がある。 However, according to the conventional technique, a person who does not have the proper authority can decrypt the encrypted data, and the data may be illegally copied. Specifically, since anyone who knows the password can decrypt the encrypted data, for example, a person who does not have the proper authority exceeding the range set in the file system or the Web system can , The encrypted data may be decrypted and plaintext data may be illegally obtained.

1つの側面では、本発明は、データが不正にコピーされることを抑制することができる復号プログラム、暗号化プログラム、復号装置、暗号化装置、復号方法、および暗号化方法を提供することを目的とする。 In one aspect, the present invention aims to provide a decryption program, an encryption program, a decryption device, an encryption device, a decryption method, and an encryption method that can prevent unauthorized copying of data. And

本発明の一側面によれば、利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報と暗号化された暗号化データとを含むファイルを復号する操作を受け付けた場合、アクセス情報に基づいて、認証装置にアクセスし、認証装置にアクセスしたことによる応答を受け付け、かつ、システムにおける操作の操作者のアカウントの識別情報を受け付けた場合、認証装置の認証方式に応じた識別情報を含む認証要求を、認証装置に送信し、認証要求に対する応答によって操作者がシステムを正当に利用可能であることが示される場合、暗号化データを復号する復号プログラム、復号装置、および復号方法が提案される。 According to an aspect of the present invention, when a user accepts an operation of decrypting a file including access information to an authentication device that authenticates that a system can be legally used and encrypted encrypted data. When the authentication device is accessed based on the access information, the response due to the access to the authentication device is accepted, and the identification information of the account of the operator of the system is accepted, the authentication method of the authentication device is satisfied. A decryption program that decrypts encrypted data, a decryption device, and a decryption device that transmits an authentication request including identification information to an authentication device, and when a response to the authentication request indicates that the operator can legally use the system A method is proposed.

また、本発明の他の側面によれば、利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報を記憶する記憶部にアクセス可能なコンピュータに、データを暗号化する操作を受け付けた場合、データを暗号化し、データを暗号化した暗号化データと、アクセス情報とを含むファイルを生成する、暗号化プログラム、暗号化装置、暗号化方法が提案される。 According to another aspect of the present invention, data is encrypted in a computer that can access a storage unit that stores access information to an authentication device that authenticates that a user can legally use the system. When an operation is accepted, an encryption program, an encryption device, and an encryption method are proposed which encrypt data and generate a file including encrypted data obtained by encrypting the data and access information.

本発明の一態様によれば、データが不正にコピーされることを抑制することができるという効果を奏する。 According to one aspect of the present invention, it is possible to prevent data from being illegally copied.

図1は、本実施の形態にかかる暗号化方法および復号方法の動作例を示す説明図である。FIG. 1 is an explanatory diagram showing an operation example of the encryption method and the decryption method according to the present embodiment. 図2は、ファイルシステム200の構成例を示す説明図である。FIG. 2 is an explanatory diagram showing a configuration example of the file system 200. 図3は、ファイルサーバ201のハードウェア構成例を示す説明図である。FIG. 3 is an explanatory diagram showing a hardware configuration example of the file server 201. 図4は、ユーザ端末204のハードウェア構成例を示す説明図である。FIG. 4 is an explanatory diagram showing a hardware configuration example of the user terminal 204. 図5は、ファイルサーバ201の機能構成例を示す説明図である。FIG. 5 is an explanatory diagram showing a functional configuration example of the file server 201. 図6は、自己復号ファイル522のデータ構造の一例を示す説明図である。FIG. 6 is an explanatory diagram showing an example of the data structure of the self-decoding file 522. 図7は、自己復号ファイル522の機能構成例を示す説明図である。FIG. 7 is an explanatory diagram showing a functional configuration example of the self-decoding file 522. 図8は、暗号化処理手順の一例を示すフローチャートである。FIG. 8 is a flowchart showing an example of the encryption processing procedure. 図9は、復号処理手順の一例を示すフローチャートである。FIG. 9 is a flowchart showing an example of the decoding processing procedure.

以下に図面を参照して、開示の復号プログラム、暗号化プログラム、復号装置、暗号化装置、復号方法、および暗号化方法の実施の形態を詳細に説明する。 Embodiments of the disclosed decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method will be described in detail below with reference to the drawings.

図1は、本実施の形態にかかる暗号化方法および復号方法の動作例を示す説明図である。図1に示すシステム100は、暗号化装置101と、復号装置102と、認証装置103とを含む。システム100は、例えば、ファイルシステムや、Webシステムである。 FIG. 1 is an explanatory diagram showing an operation example of the encryption method and the decryption method according to the present embodiment. The system 100 shown in FIG. 1 includes an encryption device 101, a decryption device 102, and an authentication device 103. The system 100 is, for example, a file system or a Web system.

暗号化装置101は、コピーを禁止するデータを暗号化するコンピュータである。暗号化装置101は、例えば、サーバである。コピーを禁止するデータは、ファイルでもよいし、ファイルの一部のデータでもよい。 The encryption device 101 is a computer that encrypts data whose copying is prohibited. The encryption device 101 is, for example, a server. The data whose copying is prohibited may be a file or a part of the data of the file.

復号装置102は、暗号化データを復号するコンピュータである。復号装置102は、例えば、PC(Personal Computer)やサーバである。認証装置103は、システム100を利用しようとする利用者が、システム100を正当に利用可能であることを認証するコンピュータである。 The decryption device 102 is a computer that decrypts encrypted data. The decryption device 102 is, for example, a PC (Personal Computer) or a server. The authentication device 103 is a computer that authenticates that a user who intends to use the system 100 can legally use the system 100.

ここで、正当な権限があれば、コピーを禁止するデータを容易にコピーすることができる。そして、コピーしたデータは、正当な権限を有さないユーザでも読み書きすることができてしまう。これを抑止するため、例えば、コピーを禁止するデータを暗号化し、暗号化した暗号化データに対応するパスワードを入力しないと、暗号化した暗号化データを復号できなくすることが考えられる。 Here, if you have the proper authority, you can easily copy the data whose copying is prohibited. Then, the copied data can be read and written by a user who does not have the proper authority. In order to prevent this, for example, it is conceivable that the encrypted encrypted data cannot be decrypted unless the data for which copying is prohibited is encrypted and the password corresponding to the encrypted encrypted data is not input.

しかしながら、暗号化データに対応するパスワードを知る者であれば、どのような者でも暗号化データを復号することができる。従って、例えば、ファイルシステムやWebシステムで設定した範囲を超える正当な権限を有さない者が、暗号化データを復号し、平文のデータを不正に得る場合がある。また、コピーを禁止するデータの正当な権限を有する者は、暗号化データに対応するパスワードを記憶しておかなければならず、手間がかかる。 However, anyone who knows the password corresponding to the encrypted data can decrypt the encrypted data. Therefore, for example, a person who does not have the proper authority exceeding the range set by the file system or the Web system may decrypt the encrypted data and illegally obtain the plaintext data. In addition, a person who has the proper authority for the data whose copying is prohibited must store the password corresponding to the encrypted data, which is troublesome.

そこで、本実施の形態では、認証装置103のIP(Internet Protocol)アドレス等と暗号化データを含むファイルの復号時に、IPアドレスによりアクセスした認証装置103が認証した際に、暗号化データを復号する方法について説明する。 Therefore, in the present embodiment, when the file including the IP (Internet Protocol) address of the authentication device 103 and the encrypted data is decrypted, the encrypted data is decrypted when the authentication device 103 accessed by the IP address authenticates. The method will be described.

図1を用いて、暗号化装置101と復号装置102との動作例について説明する。図1の上部では、暗号化装置101による暗号化の動作例を示し、図1の下部では、復号装置102による復号の動作例を示す。本実施の形態では、コピーを禁止するデータを暗号対象とする。以下、コピーを禁止するデータを、「暗号対象ファイル」と呼称する。 An operation example of the encryption device 101 and the decryption device 102 will be described with reference to FIG. The upper part of FIG. 1 shows an operation example of encryption by the encryption device 101, and the lower part of FIG. 1 shows an operation example of decryption by the decryption device 102. In the present embodiment, the data whose copying is prohibited is the encryption target. Hereinafter, the data whose copying is prohibited will be referred to as “encryption target file”.

(暗号化の動作例)
図1の上部で示すように、暗号化装置101は、認証装置103へのアクセス情報111を記憶する。アクセス情報111は、認証装置103へのアクセスの方法を示す情報である。例えば、認証装置103のIPアドレスやドメイン名である。そして、図1の(1)で示すように、暗号化装置101は、暗号対象ファイル112を暗号化する操作を受け付けた場合、暗号対象ファイル112を暗号化する。このとき、暗号化装置101は、共通鍵を生成し、生成した共通鍵で暗号対象ファイル112を暗号化することが好ましい。または、暗号化装置101は、所定の共通鍵を用いて暗号対象ファイル112を暗号化してもよい。
(Example of encryption operation)
As shown in the upper part of FIG. 1, the encryption device 101 stores access information 111 to the authentication device 103. The access information 111 is information indicating a method of accessing the authentication device 103. For example, the IP address or domain name of the authentication device 103. Then, as shown in (1) of FIG. 1, when the encryption device 101 receives an operation of encrypting the encryption target file 112, the encryption device 101 encrypts the encryption target file 112. At this time, the encryption device 101 preferably generates a common key and encrypts the encryption target file 112 with the generated common key. Alternatively, the encryption device 101 may encrypt the encryption target file 112 using a predetermined common key.

次に、暗号化装置101は、図1の(2)で示すように、暗号対象ファイル112を暗号化した暗号化データ113と、アクセス情報111とを含む暗号化ファイル114を生成する。また、暗号化装置101は、暗号対象ファイル112のアクセス権限を有するユーザの識別情報の一覧を、暗号化ファイル114に含めてもよい。また、暗号化装置101は、共通鍵を生成した場合、暗号化ファイル114に共通鍵を含める。さらに、暗号化装置101は、暗号化データ113を復号する復号プログラムを、暗号化ファイル114に含め、かつ、暗号化ファイル114を、実行形式のファイルとしてもよい。 Next, the encryption device 101 generates an encrypted file 114 including the encrypted data 113 obtained by encrypting the encryption target file 112 and the access information 111, as shown in (2) of FIG. Further, the encryption device 101 may include a list of identification information of users who have access authority to the encryption target file 112 in the encryption file 114. When the encryption device 101 generates the common key, the encryption file 114 includes the common key in the encrypted file 114. Furthermore, the encryption device 101 may include a decryption program for decrypting the encrypted data 113 in the encrypted file 114, and the encrypted file 114 may be an executable file.

(復号の動作例)
図1の(3)で示すように、復号装置102は、暗号化ファイル114を復号する操作を受け付けた場合、アクセス情報111に基づいて、認証装置103にアクセスする。アクセスを受け付けた認証装置103は、図1の(4)で示すように、アクセスに対する応答を行う。応答の内容は、例えば、認証方式に関する情報である。認証方式としては、例えば、HTTP(Hypertext Transfer Protocol)で定義されるBasic認証や、Digest認証が挙げられる。
(Example of decryption operation)
As shown in (3) of FIG. 1, when the decryption apparatus 102 receives an operation of decrypting the encrypted file 114, it accesses the authentication apparatus 103 based on the access information 111. The authentication device 103 that has accepted the access responds to the access, as indicated by (4) in FIG. The content of the response is, for example, information about the authentication method. Examples of the authentication method include Basic authentication defined by HTTP (Hypertext Transfer Protocol) and Digest authentication.

応答を受け付け、かつ、システム100における操作者のアカウントの識別情報121を受け付けた場合、復号装置102は、図1の(5)で示すように、認証装置103の認証方式に応じた認証要求を送信する。ここで、復号装置102は、システム100における操作者のアカウントの識別情報121を、操作者の入力によって受け付ける。ここで、アカウントとは、サービスやコンピュータにログインするための権利である。操作者のアカウントの識別情報121は、操作者のアカウントID(IDentifier)である。そして、認証要求には、操作者のアカウントIDを含む。また、認証要求には、システム100における操作者のアカウントのパスワードが含まれてもよい。例えば、復号装置102は、アクセスに対する応答により、システム100のアカウントIDとパスワードとを入力させるダイアログを表示する。そして、復号装置102は、操作者の操作によって入力されたアカウントIDとパスワードとを受け付けて、認証要求として認証装置103に送信する。 When the response is accepted and the identification information 121 of the operator's account in the system 100 is accepted, the decryption apparatus 102 issues an authentication request according to the authentication method of the authentication apparatus 103, as shown in (5) of FIG. Send. Here, the decryption device 102 receives the identification information 121 of the account of the operator in the system 100 by the input of the operator. Here, an account is a right to log in to a service or a computer. The operator's account identification information 121 is the operator's account ID (IDentifier). Then, the authentication request includes the account ID of the operator. Further, the authentication request may include the password of the account of the operator in the system 100. For example, the decryption device 102 displays a dialog for inputting the account ID and password of the system 100 in response to the access. Then, the decryption device 102 receives the account ID and the password input by the operation of the operator, and sends them to the authentication device 103 as an authentication request.

認証要求を受け付けた認証装置103は、認証要求に基づいて、操作者がシステム100を正当に利用可能であるか否かを判断し、図1の(6)で示すように、認証要求に対する応答を行う。具体的には、認証装置103は、認証装置103が記憶する操作者のアカウントIDおよびパスワードと、認証要求に含まれるアカウントIDおよびパスワードとが同一であれば、操作者がシステム100を正当に利用可能であると判断する。そして、認証装置103は、操作者がシステム100を正当に利用可能であることを示す結果を、認証要求に対する結果として応答する。また、認証装置103は、認証装置103が記憶する操作者のアカウントIDおよびパスワードと、認証要求に含まれる操作者のアカウントIDおよびパスワードとが異なれば、操作者がシステム100を正当に利用可能でないと判断する。そして、認証装置103は、操作者がシステム100を正当に利用可能でないことを示す結果を、認証要求に対する結果として応答する。 The authentication device 103 that has received the authentication request determines whether or not the operator can legally use the system 100 based on the authentication request, and as shown in (6) of FIG. 1, responds to the authentication request. I do. Specifically, the authentication apparatus 103 allows the operator to legally use the system 100 if the account ID and password of the operator stored in the authentication apparatus 103 are the same as the account ID and password included in the authentication request. Judge that it is possible. Then, the authentication apparatus 103 responds with a result indicating that the operator can legally use the system 100 as a result of the authentication request. Further, in the authentication apparatus 103, if the account ID and password of the operator stored in the authentication apparatus 103 are different from the account ID and password of the operator included in the authentication request, the operator cannot legally use the system 100. To judge. Then, the authentication device 103 responds with a result indicating that the system 100 is not legally available to the operator as a result of the authentication request.

応答を受け付けた復号装置102は、応答によって操作者がシステム100を正当に利用可能であることが示される場合、図1の(7)で示すように、暗号化データ113を復号する。復号した結果、復号装置102は、暗号対象ファイル112を得る。このように、復号装置102は、システム100のアカウントを有さない者、すなわち、システム100の正当な利用者でない者は、暗号化データ113を暗号化することができない。従って、復号装置102は、暗号対象ファイル112の漏洩を抑え、暗号対象ファイル112の不正コピーを抑制することができる。 When the response indicates that the operator can legally use the system 100, the decryption device 102 that has received the response decrypts the encrypted data 113, as indicated by (7) in FIG. 1. As a result of the decryption, the decryption device 102 obtains the encryption target file 112. As described above, the decryption apparatus 102 cannot encrypt the encrypted data 113 by a person who does not have an account of the system 100, that is, a person who is not an authorized user of the system 100. Therefore, the decryption device 102 can suppress the leakage of the encryption target file 112 and the unauthorized copy of the encryption target file 112.

また、暗号化ファイル114には、暗号対象ファイル112のアクセス権限を有するユーザの識別情報の一覧が含まれていてもよい。この場合、復号装置102は、応答によって操作者がファイルシステム200を正当に利用可能であることが示され、かつ、操作者の識別情報が一覧に含まれていれば、暗号化データ113を復号する。 Further, the encrypted file 114 may include a list of identification information of users who have the access authority to the encryption target file 112. In this case, the decryption apparatus 102 decrypts the encrypted data 113 if the response indicates that the operator can legally use the file system 200 and the identification information of the operator is included in the list. To do.

また、暗号化ファイル114には、共通鍵が含まれてもよい。この場合、復号装置102は、暗号化ファイル114に含まれる共通鍵を用いて、暗号化データ113を復号する。 Further, the encrypted file 114 may include a common key. In this case, the decryption device 102 decrypts the encrypted data 113 using the common key included in the encrypted file 114.

また、暗号化ファイル114には、暗号化データ113を復号する復号プログラムが含まれており、かつ、復号装置102が実行可能な実行形式のファイルであってもよい。この場合、復号装置102は、暗号化ファイル114を実行することにより、暗号化データ113を復号する。次に、システム100が、ファイルシステムである場合の一例を、図2を用いて説明する。 Further, the encrypted file 114 may be an executable file that includes a decryption program for decrypting the encrypted data 113 and is executable by the decryption apparatus 102. In this case, the decryption device 102 decrypts the encrypted data 113 by executing the encrypted file 114. Next, an example in which the system 100 is a file system will be described with reference to FIG.

図2は、ファイルシステム200の構成例を示す説明図である。ファイルシステム200は、ファイルサーバ201と、認証サーバ202と、グループ管理サーバ203と、ユーザ端末204−1、2、…とを含む。ファイルサーバ201〜ユーザ端末204は、それぞれ、LAN(Local Area Network)、WAN(Wide Area Network)等のネットワーク210により接続される。ファイルサーバ201は、図1で示した暗号化装置101に相当する。また、ユーザ端末204は、図1で示した復号装置102に相当する。また、認証サーバ202は、図1で示した認証装置103に相当する。 FIG. 2 is an explanatory diagram showing a configuration example of the file system 200. The file system 200 includes a file server 201, an authentication server 202, a group management server 203, and user terminals 204-1, 2,... The file server 201 to the user terminal 204 are connected by a network 210 such as a LAN (Local Area Network) and a WAN (Wide Area Network). The file server 201 corresponds to the encryption device 101 shown in FIG. The user terminal 204 corresponds to the decoding device 102 shown in FIG. The authentication server 202 corresponds to the authentication device 103 shown in FIG.

ファイルサーバ201は、ファイルを保持、管理するサーバである。認証サーバ202は、ファイルシステム200の正当な利用者であることを認証する。グループ管理サーバ203は、複数のグループの各々のグループに属するユーザのIDを管理する。ここで、グループは、ファイルのアクセス権限を有するユーザをグループ化したものである。ユーザ端末204−1、2、…は、ファイルシステム200を利用するユーザによって操作されるコンピュータである。 The file server 201 is a server that holds and manages files. The authentication server 202 authenticates that the file system 200 is an authorized user. The group management server 203 manages IDs of users who belong to each of the plurality of groups. Here, the group is a group of users having file access authority. The user terminals 204-1, 2,... Are computers operated by users who use the file system 200.

ファイルサーバ201が管理するファイルについて説明する。ファイルには、そのファイルのアクセス権限を有するグループのIDが対応付けられている。例えば、あるファイルのアクセス権限は、あるファイルが属するフォルダのアクセス権限を承継したものである。また、あるファイルの管理者が、あるファイルのアクセス権限を個別に設定してもよい。そして、ファイルに対応付けられるグループの例としては、あるファイルに対応付けられるグループは、例えば、ある開発部署を示すグループが対応付けられており、他のファイルに対応付けられるグループは、他の開発部署を示すグループが対応付けられる。 Files managed by the file server 201 will be described. The file is associated with the ID of the group having the access right to the file. For example, the access right of a file inherits the access right of the folder to which the file belongs. Further, the administrator of a certain file may individually set the access authority of the certain file. As an example of a group associated with a file, a group associated with a certain file is associated with a group indicating a certain development department, and a group associated with another file is associated with another development group. A group indicating a department is associated.

次に、ファイルサーバ201のハードウェア構成について図3を用いて説明し、ユーザ端末204のハードウェア構成について図3を用いて説明する。 Next, the hardware configuration of the file server 201 will be described with reference to FIG. 3, and the hardware configuration of the user terminal 204 will be described with reference to FIG.

(ファイルサーバ201のハードウェア構成例)
図3は、ファイルサーバ201のハードウェア構成例を示す説明図である。図2において、ファイルサーバ201は、CPU301と、ROM(Read−Only Memory)302と、RAM(Random Access Memory)303と、を含む。また、ファイルサーバ201は、ディスクドライブ304およびディスク305と、通信インターフェース306と、を含む。また、CPU301〜ディスクドライブ304、通信インターフェース306はバス307によってそれぞれ接続される。
(Example of hardware configuration of file server 201)
FIG. 3 is an explanatory diagram showing a hardware configuration example of the file server 201. 2, the file server 201 includes a CPU 301, a ROM (Read-Only Memory) 302, and a RAM (Random Access Memory) 303. The file server 201 also includes a disk drive 304, a disk 305, and a communication interface 306. Further, the CPU 301 to the disk drive 304 and the communication interface 306 are connected by a bus 307.

CPU301は、ファイルサーバ201の全体の制御を司る演算処理装置である。ROM302は、ブートプログラムなどのプログラムを記憶する不揮発性メモリである。RAM303は、CPU301のワークエリアとして使用される揮発性メモリである。 The CPU 301 is an arithmetic processing unit that controls the entire file server 201. The ROM 302 is a non-volatile memory that stores programs such as a boot program. The RAM 303 is a volatile memory used as a work area of the CPU 301.

ディスクドライブ304は、CPU301の制御に従ってディスク305に対するデータのリードおよびライトを制御する制御装置である。ディスクドライブ304には、例えば、磁気ディスクドライブ、光ディスクドライブ、ソリッドステートドライブなどを採用することができる。ディスク305は、ディスクドライブ304の制御で書き込まれたデータを記憶する不揮発性メモリである。例えばディスクドライブ304が磁気ディスクドライブである場合、ディスク305には、磁気ディスクを採用することができる。また、ディスクドライブ304が光ディスクドライブである場合、ディスク305には、光ディスクを採用することができる。また、ディスクドライブ304がソリッドステートドライブである場合、ディスク305には、半導体素子によって形成された半導体メモリ、いわゆる半導体ディスクを採用することができる。 The disk drive 304 is a control device that controls reading and writing of data with respect to the disk 305 under the control of the CPU 301. As the disk drive 304, for example, a magnetic disk drive, an optical disk drive, a solid state drive or the like can be adopted. The disk 305 is a non-volatile memory that stores data written under the control of the disk drive 304. For example, when the disk drive 304 is a magnetic disk drive, a magnetic disk can be used as the disk 305. When the disc drive 304 is an optical disc drive, an optical disc can be used as the disc 305. When the disk drive 304 is a solid state drive, the disk 305 may be a semiconductor memory formed of semiconductor elements, that is, a so-called semiconductor disk.

通信インターフェース306は、ネットワーク210と内部のインターフェースを司り、他の装置からのデータの入出力を制御する制御装置である。具体的に、通信インターフェース306は、通信回線を通じてネットワーク210を介して他の装置に接続される。通信インターフェース306には、例えば、モデムやLANアダプタなどを採用することができる。 The communication interface 306 is a control device that administers an internal interface with the network 210 and controls input/output of data from/to another device. Specifically, the communication interface 306 is connected to another device via the network 210 through a communication line. For the communication interface 306, for example, a modem or LAN adapter can be adopted.

また、ファイルサーバ201の管理者が、ファイルサーバ201を直接操作する場合、ファイルサーバ201は、ディスプレイ、キーボード、マウスといったハードウェアを有してもよい。 In addition, when the administrator of the file server 201 directly operates the file server 201, the file server 201 may have hardware such as a display, a keyboard, and a mouse.

(ユーザ端末204のハードウェア構成例)
図4は、ユーザ端末204のハードウェア構成例を示す説明図である。ユーザ端末204は、CPU401と、ROM402と、RAM403と、ディスクドライブ404と、ディスク405と、通信インターフェース406と、ディスプレイ407と、キーボード408と、マウス409と、機器接続インターフェース410とを含む。また、CPU401〜ディスクドライブ404と、通信インターフェース406〜機器接続インターフェース410とは、バス411によってそれぞれ接続される。
(Example of hardware configuration of user terminal 204)
FIG. 4 is an explanatory diagram showing a hardware configuration example of the user terminal 204. The user terminal 204 includes a CPU 401, a ROM 402, a RAM 403, a disk drive 404, a disk 405, a communication interface 406, a display 407, a keyboard 408, a mouse 409, and a device connection interface 410. Further, the CPU 401 to the disk drive 404 and the communication interface 406 to the device connection interface 410 are connected by a bus 411.

CPU401は、ユーザ端末204の全体の制御を司る演算処理装置である。ROM402は、ブートプログラムなどのプログラムを記憶する不揮発性メモリである。RAM403は、CPU401のワークエリアとして使用される揮発性メモリである。 The CPU 401 is an arithmetic processing unit that controls the entire user terminal 204. The ROM 402 is a non-volatile memory that stores programs such as a boot program. The RAM 403 is a volatile memory used as a work area of the CPU 401.

ディスクドライブ404は、CPU401の制御に従ってディスク405に対するデータのリードおよびライトを制御する制御装置である。ディスクドライブ404には、例えば、磁気ディスクドライブ、光ディスクドライブ、ソリッドステートドライブなどを採用することができる。ディスク405は、ディスクドライブ404の制御で書き込まれたデータを記憶する不揮発性メモリである。例えばディスクドライブ404が磁気ディスクドライブである場合、ディスク405には、磁気ディスクを採用することができる。また、ディスクドライブ404が光ディスクドライブである場合、ディスク405には、光ディスクを採用することができる。また、ディスクドライブ404がソリッドステートドライブである場合、ディスク405には、半導体ディスクを採用することができる。 The disk drive 404 is a control device that controls the reading and writing of data with respect to the disk 405 under the control of the CPU 401. As the disk drive 404, for example, a magnetic disk drive, an optical disk drive, a solid state drive or the like can be adopted. The disk 405 is a non-volatile memory that stores data written under the control of the disk drive 404. For example, when the disk drive 404 is a magnetic disk drive, a magnetic disk can be used as the disk 405. When the disc drive 404 is an optical disc drive, an optical disc can be adopted as the disc 405. When the disk drive 404 is a solid state drive, a semiconductor disk can be used as the disk 405.

通信インターフェース406は、ネットワーク210と内部のインターフェースを司り、外部装置からのデータの入出力を制御する制御装置である。具体的に、通信インターフェース406は、通信回線を通じてネットワーク210を介して他の装置に接続される。通信インターフェース406には、例えば、モデムやLANアダプタなどを採用することができる。 The communication interface 406 is a control device that administers an internal interface with the network 210 and controls input/output of data from/to an external device. Specifically, the communication interface 406 is connected to another device via the network 210 through a communication line. As the communication interface 406, for example, a modem or a LAN adapter can be adopted.

ディスプレイ407は、マウスカーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータを表示する装置である。ディスプレイ407には、例えば、CRT(Cathode Ray Tube)、TFT(Thin Film Transistor)液晶ディスプレイ、プラズマディスプレイなどを採用することができる。 The display 407 is a device that displays data such as a document, an image, and functional information, including a mouse cursor, an icon, or a tool box. As the display 407, for example, a CRT (Cathode Ray Tube), a TFT (Thin Film Transistor) liquid crystal display, a plasma display, or the like can be adopted.

キーボード408は、文字、数字、各種指示などの入力のためのキーを有し、データの入力を行う装置である。また、キーボード408は、タッチパネル式の入力パッドやテンキーなどであってもよい。マウス409は、マウスカーソルの移動や範囲選択、あるいはウィンドウの移動やサイズの変更などを行う装置である。マウス409は、ポインティングデバイスとして同様に機能を有するものであれば、トラックボールやジョイスティックなどであってもよい。 The keyboard 408 is a device that has keys for inputting characters, numbers, various instructions, etc., and inputs data. Further, the keyboard 408 may be a touch panel type input pad, a numeric keypad, or the like. The mouse 409 is a device for moving a mouse cursor, selecting a range, moving a window, or changing a size. The mouse 409 may be a trackball, a joystick, or the like as long as it has a similar function as a pointing device.

機器接続インターフェース410は、ユーザ端末204と周辺機器とを接続し、接続した周辺機器を制御する制御装置である。例えば、機器接続インターフェース410は、USB(Universal Serial Bus)等を採用することができる。そして、機器接続インターフェース410には、例えば、機器接続インターフェース410がUSBである場合にはUSBフラッシュドライブ421や、メモリカードリーダライタ422を接続することができる。 The device connection interface 410 is a control device that connects the user terminal 204 and peripheral devices and controls the connected peripheral devices. For example, the device connection interface 410 may be a USB (Universal Serial Bus) or the like. Then, for example, when the device connection interface 410 is a USB, a USB flash drive 421 or a memory card reader/writer 422 can be connected to the device connection interface 410.

USBフラッシュドライブ421は、電力を供給しなくてもデータを保持可能な不揮発性の半導体メモリであるフラッシュメモリを内蔵し、フラッシュメモリの制御および機器接続インターフェース410との通信を行うドライブ装置を含めた装置である。メモリカードリーダライタ422は、メモリカード423に対するデータのリードおよびライトを制御する制御装置である。メモリカード423は、カード型の記録媒体である。メモリカード423には、フラッシュメモリが内蔵される。 The USB flash drive 421 has a built-in flash memory which is a non-volatile semiconductor memory capable of holding data without supplying power, and includes a drive device for controlling the flash memory and communicating with the device connection interface 410. It is a device. The memory card reader/writer 422 is a control device that controls reading and writing of data with respect to the memory card 423. The memory card 423 is a card-type recording medium. The memory card 423 has a built-in flash memory.

(ファイルサーバ201の機能構成例)
図5は、ファイルサーバ201の機能構成例を示す説明図である。ファイルサーバ201は、制御部500を有する。制御部500は、鍵生成部501と、暗号化部502と、取得部503と、ファイル生成部504と、を含む。制御部500は、記憶装置に記憶されたプログラムをCPU301が実行することにより、各部の機能を実現する。記憶装置とは、具体的には、例えば、図3に示したROM302、RAM303、ディスク305などである。また、各部の処理結果は、CPU301のレジスタや、CPU301のキャッシュメモリ、RAM303等に格納される。
(Example of functional configuration of file server 201)
FIG. 5 is an explanatory diagram showing a functional configuration example of the file server 201. The file server 201 has a control unit 500. The control unit 500 includes a key generation unit 501, an encryption unit 502, an acquisition unit 503, and a file generation unit 504. The control unit 500 realizes the function of each unit by the CPU 301 executing the program stored in the storage device. Specifically, the storage device is, for example, the ROM 302, the RAM 303, the disk 305, or the like illustrated in FIG. The processing result of each unit is stored in the register of the CPU 301, the cache memory of the CPU 301, the RAM 303, or the like.

また、ファイルサーバ201は、記憶部510にアクセス可能である。記憶部510は、RAM303、ディスク305といった記憶装置である。そして、記憶部510は、アクセス情報511と、復号プログラム512とを記憶する。アクセス情報511は、認証サーバ202へのアクセスの方法を示す情報である。例えば、アクセス情報511は、認証サーバ202のIPアドレスや、ドメイン名、MAC(Media Access Control)アドレス等である。復号プログラム512は、暗号化部502が暗号化する暗号化ファイルを復号するプログラムである。 Further, the file server 201 can access the storage unit 510. The storage unit 510 is a storage device such as the RAM 303 and the disk 305. Then, the storage unit 510 stores the access information 511 and the decryption program 512. The access information 511 is information indicating a method of accessing the authentication server 202. For example, the access information 511 is an IP address of the authentication server 202, a domain name, a MAC (Media Access Control) address, or the like. The decryption program 512 is a program that decrypts the encrypted file encrypted by the encryption unit 502.

また、ファイルサーバ201は、グループ管理サーバ203にアクセス可能である。そして、グループ管理サーバ203は、複数のグループの各々のグループに属するユーザのアカウントIDを記憶する。 Further, the file server 201 can access the group management server 203. Then, the group management server 203 stores the account IDs of the users who belong to each of the plurality of groups.

鍵生成部501は、コピーを禁止するファイルである暗号対象ファイル521を暗号化する操作を受け付けた場合、共通鍵を生成する。例えば、鍵生成部501は、乱数に基づいて、共通鍵を生成する。乱数の生成法には、例えば、線形合同法、メルセンヌ・ツイスタ等がある。または、鍵生成部501は、ファイルサーバ201内の電気回路の熱雑音を利用して、乱数を生成してもよい。 When the key generation unit 501 receives an operation of encrypting the encryption target file 521, which is a file whose copying is prohibited, the key generation unit 501 generates a common key. For example, the key generation unit 501 generates a common key based on a random number. Examples of random number generation methods include the linear congruential method and Mersenne Twister. Alternatively, the key generation unit 501 may generate a random number by using thermal noise of an electric circuit in the file server 201.

暗号化部502は、暗号対象ファイル521を暗号化する操作を受け付けた場合、暗号対象ファイル521を暗号化する。また、暗号化部502は、鍵生成部501が生成した共通鍵を用いて暗号対象ファイル521を暗号化してもよい。 When the encryption unit 502 receives an operation to encrypt the encryption target file 521, the encryption unit 502 encrypts the encryption target file 521. The encryption unit 502 may also encrypt the encryption target file 521 using the common key generated by the key generation unit 501.

取得部503は、操作を受け付けた場合、グループ管理サーバ203から、暗号対象ファイル521に対応付けられたグループに属するユーザのアカウントIDの一覧を取得する。取得するアカウントIDの数は、1つの場合もあるし、複数の場合もある。ユーザのアカウントIDの一覧を、「ユーザリスト」と呼称する。 When receiving the operation, the acquisition unit 503 acquires, from the group management server 203, a list of account IDs of users belonging to the group associated with the encryption target file 521. The number of account IDs to be acquired may be one or may be plural. A list of user account IDs is called a “user list”.

ファイル生成部504は、暗号対象ファイル521を暗号化した暗号対象ファイル521と、アクセス情報511とを含むファイルを生成する。また、ファイル生成部504は、暗号対象ファイル521と、アクセス情報511と、取得部503が取得したユーザリストとを含むファイルを生成してもよい。 The file generation unit 504 generates a file including the encryption target file 521 obtained by encrypting the encryption target file 521 and the access information 511. The file generation unit 504 may also generate a file including the encryption target file 521, the access information 511, and the user list acquired by the acquisition unit 503.

また、ファイル生成部504は、暗号対象ファイル521と、アクセス情報511と、取得部503が取得したユーザリストと、復号プログラム512とを含む実行形式のファイルを生成してもよい。 The file generation unit 504 may also generate an executable file including the encryption target file 521, the access information 511, the user list acquired by the acquisition unit 503, and the decryption program 512.

次に、生成された自己復号ファイル522のデータ構造の一例について、図6を用いて説明する。 Next, an example of the data structure of the generated self-decoding file 522 will be described with reference to FIG.

図6は、自己復号ファイル522のデータ構造の一例を示す説明図である。自己復号ファイル522は、復号プログラム512と、共通鍵601と、アクセス情報511と、ユーザリスト602と、暗号化ファイル603とを含む。 FIG. 6 is an explanatory diagram showing an example of the data structure of the self-decoding file 522. The self-decryption file 522 includes a decryption program 512, a common key 601, access information 511, a user list 602, and an encrypted file 603.

復号プログラム512は、暗号化ファイル603を復号するプログラムである。例えば、ファイル生成部504は、記憶部510に記憶されている復号プログラム512を読み出す。そして、ファイル生成部504は、復号プログラム512と鍵生成部501が生成した共通鍵601とのデータサイズに基づいて、自己復号ファイル522内における共通鍵601の格納位置を決定し、決定した格納位置を復号プログラム512の内部に設定する。これにより、復号プログラム512は、決定した格納位置により、自己復号ファイル522から共通鍵601を読み出すことができる。同様に、ファイル生成部504は、アクセス情報511、ユーザリスト602、暗号化ファイル603の格納位置を決定し、各格納位置を復号プログラム512の内部に設定する。 The decryption program 512 is a program that decrypts the encrypted file 603. For example, the file generation unit 504 reads the decryption program 512 stored in the storage unit 510. Then, the file generation unit 504 determines the storage position of the common key 601 in the self-decryption file 522 based on the data size of the decryption program 512 and the common key 601 generated by the key generation unit 501, and the determined storage position Is set inside the decryption program 512. Accordingly, the decryption program 512 can read the common key 601 from the self-decryption file 522 according to the determined storage position. Similarly, the file generation unit 504 determines the storage location of the access information 511, the user list 602, and the encrypted file 603, and sets each storage location inside the decryption program 512.

共通鍵601は、暗号化と復号との際に用いられる鍵情報である。ここで、共通鍵601は、セキュリティ向上のため、自己復号ファイル522の作成の度に異なるデータとなることが好ましい。 The common key 601 is key information used for encryption and decryption. Here, it is preferable that the common key 601 be different data each time the self-decryption file 522 is created, in order to improve security.

ユーザリスト602は、暗号対象ファイル521にアクセス可能なユーザのリストである。このユーザリスト602に登録されたユーザが、暗号化ファイル603を復号可能なユーザとなる。暗号化ファイル603は、暗号対象ファイル521を暗号化したファイルである。 The user list 602 is a list of users who can access the encryption target file 521. The users registered in the user list 602 are the users who can decrypt the encrypted file 603. The encrypted file 603 is a file obtained by encrypting the encryption target file 521.

(自己復号ファイル522の機能構成例)
図7は、自己復号ファイル522の機能構成例を示す説明図である。ユーザ端末204は、制御部700を有する。制御部700は、アクセス部701と、送信部702と、復号部703と、を含む。ここで、アクセス部701〜復号部703は、自己復号ファイル522に含まれる復号プログラム512を、CPU401が実行することにより実現される機能である。復号プログラム512は、ディスク405、USBフラッシュドライブ421、メモリカード423等に格納されている。CPU401は、復号プログラム512を実行時には、ディスク405、USBフラッシュドライブ421、メモリカード423等に格納されている自己復号ファイル522を、RAM403に展開する。また、アクセス部701〜復号部703の処理結果は、CPU401のレジスタや、CPU401のキャッシュメモリ、RAM403等に格納される。
(Example of functional configuration of self-decoding file 522)
FIG. 7 is an explanatory diagram showing a functional configuration example of the self-decoding file 522. The user terminal 204 has a control unit 700. The control unit 700 includes an access unit 701, a transmission unit 702, and a decoding unit 703. Here, the access unit 701 to the decryption unit 703 are functions realized by the CPU 401 executing the decryption program 512 included in the self-decryption file 522. The decryption program 512 is stored in the disk 405, the USB flash drive 421, the memory card 423, or the like. When executing the decryption program 512, the CPU 401 expands the self-decryption file 522 stored in the disk 405, the USB flash drive 421, the memory card 423, etc. in the RAM 403. The processing results of the access unit 701 to the decryption unit 703 are stored in the register of the CPU 401, the cache memory of the CPU 401, the RAM 403, etc.

また、ユーザ端末204は、記憶部710にアクセス可能である。記憶部710は、RAM403といった記憶装置である。そして、記憶部710は、アクセス情報511、共通鍵601、ユーザリスト602、暗号化ファイル603を有する。アクセス情報511、共通鍵601、ユーザリスト602、暗号化ファイル603は、RAM403に展開された自己復号ファイル522に含まれる。 In addition, the user terminal 204 can access the storage unit 710. The storage unit 710 is a storage device such as the RAM 403. The storage unit 710 has access information 511, a common key 601, a user list 602, and an encrypted file 603. The access information 511, the common key 601, the user list 602, and the encrypted file 603 are included in the self-decryption file 522 expanded in the RAM 403.

復号プログラム512は、自己復号ファイル522を実行する操作を受け付けた場合、自己復号ファイル522を実行することにより、アクセス部701〜復号部703の処理を実行する。 When the decryption program 512 receives an operation to execute the self-decryption file 522, the decryption program 512 executes the self-decryption file 522 to execute the processes of the access unit 701 to the decryption unit 703.

アクセス部701は、自己復号ファイル522を復号する操作を受け付けた場合、アクセス情報により認証サーバ202にアクセスする。 When the access unit 701 receives an operation of decrypting the self-decryption file 522, the access unit 701 accesses the authentication server 202 using the access information.

送信部702は、認証サーバ202にアクセスしたことによる応答を受け付け、かつ、ファイルシステム200における操作者のアカウントIDを受け付けた場合、認証サーバ202の認証方式に応じた認証要求を、認証サーバ202に送信する。認証要求には、操作者のアカウントIDが含まれる。また、認証要求には、操作者のアカウントIDとパスワードとが含まれてもよい。認証要求に含める情報は、認証サーバ202からの応答の内容によって決められる。 When the transmission unit 702 receives a response due to accessing the authentication server 202 and also receives the account ID of the operator in the file system 200, the transmission unit 702 sends an authentication request according to the authentication method of the authentication server 202 to the authentication server 202. Send. The authentication request includes the account ID of the operator. The authentication request may include the operator's account ID and password. The information included in the authentication request is determined by the content of the response from the authentication server 202.

復号部703は、認証要求に対する応答によって操作者が正当であることが示される場合、暗号化ファイル603を復号する。また、復号部703は、認証要求に対する応答によって操作者が正当であることが示され、かつ、操作者のアカウントのIDがユーザリスト602に含まれるユーザのIDと一致する場合、暗号化ファイル603を復号してもよい。また、復号部703は、認証要求に対する応答によって操作者が正当であることが示される場合、暗号化ファイル603を、共通鍵601を用いて復号してもよい。 The decryption unit 703 decrypts the encrypted file 603 when the response to the authentication request indicates that the operator is valid. Further, when the response to the authentication request indicates that the operator is valid, and the ID of the operator's account matches the ID of the user included in the user list 602, the decryption unit 703 encrypts the file 603. May be decrypted. Further, the decryption unit 703 may decrypt the encrypted file 603 using the common key 601 when the response to the authentication request indicates that the operator is valid.

図8は、暗号化処理手順の一例を示すフローチャートである。暗号化処理は、ファイルサーバ201によって実行される。 FIG. 8 is a flowchart showing an example of the encryption processing procedure. The encryption process is executed by the file server 201.

ファイルサーバ201は、暗号対象ファイル521に対するユーザの暗号化の指示を受け付ける(ステップS801)。次に、ファイルサーバ201は、共通鍵601を生成する(ステップS802)。そして、ファイルサーバ201は、暗号対象ファイル521に対応付けられたアクセス権限リストを取得する(ステップS803)。 The file server 201 receives the user's encryption instruction for the encryption target file 521 (step S801). Next, the file server 201 generates the common key 601 (step S802). Then, the file server 201 acquires the access authority list associated with the encryption target file 521 (step S803).

アクセス権限リストには、暗号対象ファイル521のアクセス権限を有するグループのIDや、ユーザのIDが含まれる。また、アクセス権限リストは、暗号対象ファイル521に含まれていてもよいし、暗号対象ファイル521に対応付けられていてもよい。アクセス権限リストをどのように管理するかは、ファイルサーバ201によって決められる。 The access authority list includes the ID of the group having the access authority to the encryption target file 521 and the ID of the user. Further, the access authority list may be included in the encryption target file 521 or may be associated with the encryption target file 521. How to manage the access authority list is determined by the file server 201.

次に、ファイルサーバ201は、取得したアクセス権限リストにグループが存在するか否かを判断する(ステップS804)。取得したアクセス権限リストにグループが存在する場合(ステップS804:Yes)、ファイルサーバ201は、グループ管理サーバ203から、存在したグループに属するユーザのリストを取得する(ステップS805)。 Next, the file server 201 determines whether or not a group exists in the acquired access authority list (step S804). If a group exists in the acquired access authority list (step S804: Yes), the file server 201 acquires a list of users who belong to the existing group from the group management server 203 (step S805).

ステップS805の処理終了後、または、取得したアクセス権限リストにグループが存在しない場合(ステップS804:No)、ファイルサーバ201は、暗号対象ファイル521に対する、アクセス可能なユーザリスト602を生成する(ステップS806)。具体的には、ファイルサーバ201は、グループが存在した場合、存在したグループに属するユーザのIDと、アクセス権限リストに含まれたユーザのIDとを、ユーザリスト602に含める。また、ファイルサーバ201は、グループが存在しない場合、アクセス権限リストに含まれたユーザのIDを、ユーザリスト602に含める。 After the processing of step S805 is completed, or when the acquired access authority list does not include a group (step S804: No), the file server 201 generates an accessible user list 602 for the encryption target file 521 (step S806). ). Specifically, when the group exists, the file server 201 includes, in the user list 602, the IDs of the users belonging to the existing group and the IDs of the users included in the access authority list. If the group does not exist, the file server 201 includes the user ID included in the access authority list in the user list 602.

そして、ファイルサーバ201は、暗号対象ファイルを、生成した共通鍵601で暗号化する(ステップS807)。次に、ファイルサーバ201は、暗号化した暗号化ファイル603と、復号プログラム512と、共通鍵601と、アクセス情報511と、ユーザリスト602とを含めた、実行形式の自己復号ファイル522を生成する(ステップS808)。ステップS808の処理終了後、ファイルサーバ201は、暗号化処理を終了する。 Then, the file server 201 encrypts the encryption target file with the generated common key 601 (step S807). Next, the file server 201 generates an executable self-decryption file 522 including the encrypted file 603 that has been encrypted, the decryption program 512, the common key 601, the access information 511, and the user list 602. (Step S808). After the processing of step S808 ends, the file server 201 ends the encryption processing.

図9は、復号処理手順の一例を示すフローチャートである。復号処理は、自己復号ファイル522を実行することによって実行される。ユーザ端末204は、自己復号ファイル522を実行することにより、自己復号ファイル522に含まれる復号プログラム512を実行する(ステップS901)。以降の処理は、ユーザ端末204が、復号プログラム512を実行することにより実現される処理である。従って、以降の処理の実行主体を、復号プログラム512として記載する。 FIG. 9 is a flowchart showing an example of the decoding processing procedure. The decryption process is executed by executing the self-decryption file 522. The user terminal 204 executes the self-decryption file 522, thereby executing the decryption program 512 included in the self-decryption file 522 (step S901). The subsequent process is a process realized by the user terminal 204 executing the decryption program 512. Therefore, the execution subject of the subsequent processing is described as the decryption program 512.

復号プログラム512は、自己復号ファイル522に含まれるアクセス情報511を読み出す(ステップS902)。次に、復号プログラム512は、読み出したアクセス情報511に基づいて、認証サーバ202にアクセスする(ステップS903)。アクセスに対する応答を受け付けた復号プログラム512は、操作者のアカウントIDとパスワードとを受け付ける(ステップS904)。そして、復号プログラム512は、認証サーバ202の認証方式に応じた操作者の認証要求を、認証サーバ202に送信する(ステップS905)。 The decryption program 512 reads the access information 511 included in the self-decryption file 522 (step S902). Next, the decryption program 512 accesses the authentication server 202 based on the read access information 511 (step S903). The decryption program 512 that has received the response to the access receives the account ID and password of the operator (step S904). Then, the decryption program 512 transmits an operator authentication request corresponding to the authentication method of the authentication server 202 to the authentication server 202 (step S905).

次に、復号プログラム512は、認証要求に対する応答が成功を示すか否かを判断する(ステップS906)。認証要求に対する応答が成功を示す場合(ステップS906:Yes)、すなわち、操作者がファイルシステム200の正当な利用者である場合、復号プログラム512は、操作者を、認証ユーザとして特定する。そして、復号プログラム512は、自己復号ファイルに含まれるユーザリスト602を読み出す(ステップS907)。次に、復号プログラム512は、読み出したユーザリスト602に、認証ユーザが存在するか否かを判断する(ステップS908)。認証ユーザが存在する場合(ステップS908:Yes)、復号プログラム512は、自己復号ファイル522に含まれる共通鍵601を読み出す(ステップS909)。そして、復号プログラム512は、読み出した共通鍵を用いて、自己復号ファイルに含まれる暗号化ファイル603を復号する(ステップS910)。そして、復号プログラム512は、復号処理を終了する。 Next, the decryption program 512 determines whether the response to the authentication request indicates success (step S906). When the response to the authentication request indicates success (step S906: Yes), that is, when the operator is an authorized user of the file system 200, the decryption program 512 identifies the operator as an authenticated user. Then, the decryption program 512 reads the user list 602 included in the self-decryption file (step S907). Next, the decryption program 512 determines whether or not the authenticated user exists in the read user list 602 (step S908). When the authenticated user exists (step S908: Yes), the decryption program 512 reads the common key 601 included in the self-decryption file 522 (step S909). Then, the decryption program 512 decrypts the encrypted file 603 included in the self-decrypted file using the read common key (step S910). Then, the decryption program 512 ends the decryption process.

一方、認証要求に対する応答が成功を示さない場合(ステップS906:No)、すなわち、操作者がファイルシステム200の正当な利用者でない場合、または、認証ユーザが存在しない場合(ステップS908:No)、復号プログラム512は、暗号化ファイル603を復号せずに復号処理を終了する。 On the other hand, if the response to the authentication request does not indicate success (step S906: No), that is, if the operator is not an authorized user of the file system 200, or if there is no authenticated user (step S908: No), The decryption program 512 ends the decryption process without decrypting the encrypted file 603.

以上説明したように、ユーザ端末204は、アクセス情報511および暗号化ファイル603を含む自己復号ファイル522の復号時に、アクセス情報511によりアクセスした認証サーバ202が操作者を認証した際に、暗号化ファイル603を復号する。このように、ユーザ端末204は、ファイルシステム200にログインできない者、すなわち、ファイルシステム200の正当な利用者でない者は、暗号化ファイル603を暗号化することができない。従って、ユーザ端末204は、暗号対象ファイル521の漏洩を抑え、暗号対象ファイル521の不正コピーを抑制することができる。このように、暗号対象ファイル521の不正コピーを抑制することができるため、ユーザ端末204は、セキュリティ性を向上させることができる。また、ユーザ端末204の操作者は、暗号化ファイル603ごとのパスワードを覚えなくてよくなるため、利便性を向上させることができる。 As described above, the user terminal 204 encrypts the self-decryption file 522 including the access information 511 and the encrypted file 603 when the authentication server 202 accessed by the access information 511 authenticates the operator. Decrypt 603. In this way, the user terminal 204 cannot encrypt the encrypted file 603 by a person who cannot log in to the file system 200, that is, a person who is not an authorized user of the file system 200. Therefore, the user terminal 204 can suppress the leakage of the encryption target file 521 and the unauthorized copy of the encryption target file 521. As described above, since the illegal copy of the encryption target file 521 can be suppressed, the user terminal 204 can improve the security. In addition, the operator of the user terminal 204 does not have to remember the password for each encrypted file 603, which improves convenience.

また、ユーザ端末204は、認証サーバ202が認証し、かつ、自己復号ファイル522に含まれるユーザリスト602に、操作者のIDが含まれていれば、暗号化ファイル603を復号してもよい。これにより、ユーザ端末204は、暗号対象ファイル521にアクセス権限がある者だけが暗号化ファイル603を復号することができる。 Further, the user terminal 204 may decrypt the encrypted file 603 if the authentication server 202 authenticates and the user list 602 included in the self-decryption file 522 includes the operator ID. As a result, the user terminal 204 can decrypt the encrypted file 603 only by the person who has the access authority to the encryption target file 521.

また、例えば、暗号化時点では、暗号対象ファイル521にアクセス権限を有するグループに属していた者が、自己復号ファイル522を持ち出して退社したとする。この場合、この退社者が操作するPCは、認証サーバ202にアクセスできなかったり、または、認証サーバ202が操作者を認証しなかったりするため、暗号化ファイル603を復号することができない。従って、ユーザ端末204は、暗号対象ファイル521の持ち出しを抑制することができる。 Further, for example, at the time of encryption, it is assumed that a person who belongs to a group having an access right to the encryption target file 521 takes out the self-decryption file 522 and leaves the company. In this case, the PC operated by this employee cannot access the authentication server 202, or the authentication server 202 does not authenticate the operator, so the encrypted file 603 cannot be decrypted. Therefore, the user terminal 204 can prevent the encryption target file 521 from being taken out.

また、例えば、暗号化時点では、暗号対象ファイル521にアクセス権限を有するグループに属していない者が、暗号化後にグループに加入したとする。この場合、この加入者が操作するユーザ端末204は、自己復号ファイル522に含まれるユーザリスト602に、加入者のIDが含まれていないため、暗号化ファイル603を復号しない。従って、ユーザ端末204は、例えば、過去のプロジェクト等、加入者とは関係のないファイルの漏洩を抑えることができる。 Further, for example, at the time of encryption, it is assumed that a person who does not belong to a group having access authority to the encryption target file 521 joins the group after encryption. In this case, the user terminal 204 operated by this subscriber does not decrypt the encrypted file 603 because the user list 602 included in the self-decryption file 522 does not include the subscriber ID. Therefore, the user terminal 204 can suppress the leakage of files unrelated to the subscriber, such as past projects.

また、ユーザ端末204は、実行形式のファイルである自己復号ファイル522を実行することにより、暗号化ファイル603を復号してもよい。これにより、ユーザ端末204に予め復号プログラム512をインストールしなくてよく、復号プログラム512が解析されるリスクを低減することができる。 Further, the user terminal 204 may decrypt the encrypted file 603 by executing the self-decryption file 522 which is an executable file. As a result, it is not necessary to install the decryption program 512 in the user terminal 204 in advance, and the risk of the decryption program 512 being analyzed can be reduced.

また、ユーザ端末204は、自己復号ファイル522に含まれる共通鍵601を用いて、暗号化ファイル603を復号してもよい。このように、自己復号ファイル522に含まれる共通鍵601を用いて暗号化ファイル603を復号することにより、ユーザ端末204に、所定の共通鍵を用意しておくよりも、共通鍵601が漏洩されるリスクを低減することができる。 Further, the user terminal 204 may decrypt the encrypted file 603 using the common key 601 included in the self-decryption file 522. In this way, by decrypting the encrypted file 603 using the common key 601 included in the self-decryption file 522, the common key 601 is leaked to the user terminal 204 rather than preparing a predetermined common key. Can reduce the risk of

また、ユーザ端末204は、認証サーバ202が認証方式としてパスワードを要求した場合、認証要求の際に、操作者のアカウントIDおよびパスワードを含めてもよい。このように、ユーザ端末204は、認証サーバ202が要求する認証方式に応じて復号処理を行うことができる。 Further, when the authentication server 202 requests a password as an authentication method, the user terminal 204 may include the operator's account ID and password in the authentication request. In this way, the user terminal 204 can perform the decryption processing according to the authentication method requested by the authentication server 202.

また、ファイルサーバ201は、アクセス情報511および暗号化ファイル603を含む自己復号ファイル522を生成してもよい。これにより、ファイルサーバ201は、ファイルシステム200の正当な利用者である者だけが復号することができるファイルを生成することができる。 The file server 201 may also generate a self-decryption file 522 including the access information 511 and the encrypted file 603. As a result, the file server 201 can generate a file that can be decrypted only by an authorized user of the file system 200.

また、ファイルサーバ201は、さらに、ユーザリスト602を、自己復号ファイル522に含めてもよい。これにより、ファイルサーバ201は、ファイルシステム200の正当な利用者であり、かつ、暗号対象ファイル521にアクセス権限がある者だけが暗号化ファイル603を復号することができるファイルを生成することができる。 In addition, the file server 201 may further include the user list 602 in the self-decryption file 522. As a result, the file server 201 can generate a file in which only the authorized user of the file system 200 and who has the access authority to the encryption target file 521 can decrypt the encrypted file 603. ..

また、ファイルサーバ201は、さらに、復号プログラム512を、自己復号ファイル522に含めてもよい。これにより、ファイルサーバ201は、暗号化ファイル603を復号するコンピュータに復号プログラム512をインストールさせておかなくてよくなり、復号プログラム512が解析される恐れを低減することができる。また、暗号化ファイル603を復号するコンピュータの操作者の負担を低減することができる。 Further, the file server 201 may further include the decryption program 512 in the self-decryption file 522. As a result, the file server 201 does not need to have the decryption program 512 installed on the computer that decrypts the encrypted file 603, and the risk of the decryption program 512 being analyzed can be reduced. Further, the burden on the operator of the computer that decrypts the encrypted file 603 can be reduced.

また、ファイルサーバ201は、さらに、生成した共通鍵601を、自己復号ファイル522に含めてもよい。これにより、ファイルサーバ201は、暗号化ファイル603を復号するコンピュータに予め共通鍵を記憶させておくことに比べて、共通鍵が漏洩されるリスクを低減することができる。 Further, the file server 201 may further include the generated common key 601 in the self-decryption file 522. As a result, the file server 201 can reduce the risk of leaking the common key as compared with storing the common key in the computer that decrypts the encrypted file 603 in advance.

なお、本実施の形態で説明した復号方法、暗号化方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。本復号プログラム、暗号化プログラムは、ハードディスク、フレキシブルディスク、CD−ROM(Compact Disc−Read Only Memory)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また本復号プログラム、暗号化プログラムは、インターネット等のネットワークを介して配布してもよい。 The decryption method and the encryption method described in the present embodiment can be realized by executing a prepared program on a computer such as a personal computer or a workstation. The decryption program and the encryption program are recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD-ROM (Compact Disc-Read Only Memory), and a DVD (Digital Versatile Disk), and are recorded from the recording medium by the computer. It is executed by being read. The decryption program and the encryption program may be distributed via a network such as the Internet.

上述した実施の形態に関し、さらに以下の付記を開示する。 Regarding the above-described embodiment, the following supplementary notes are further disclosed.

(付記1)コンピュータに、
利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報と暗号化された暗号化データとを含むファイルを復号する操作を受け付けた場合、前記アクセス情報に基づいて、前記認証装置にアクセスし、
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、
前記認証要求に対する応答によって前記操作者が前記システムを正当に利用可能であることが示される場合、前記暗号化データを復号する、
処理を実行させることを特徴とする復号プログラム。
(Appendix 1) For the computer,
When the user accepts the operation of decrypting the file including the access information to the authentication device that authenticates that the system can be legally used and the encrypted data that has been encrypted, based on the access information, Access the authenticator,
When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
Decrypt the encrypted data if the response to the authentication request indicates that the operator can legitimately use the system,
A decryption program that executes processing.

(付記2)前記ファイルには、前記暗号化データを復号可能なユーザの識別情報が含まれ、
前記復号する処理は、
前記認証要求に対する応答によって前記操作者が前記システムを正当に利用可能であることが示され、かつ、前記操作者のアカウントの識別情報と前記ユーザの識別情報とが一致する場合、前記暗号化データを復号する、
ことを特徴とする付記1に記載の復号プログラム。
(Supplementary Note 2) The file includes identification information of a user who can decrypt the encrypted data,
The decoding process is
If the response to the authentication request indicates that the operator can legally use the system, and the identification information of the account of the operator and the identification information of the user match, the encrypted data To decrypt the
The decryption program according to appendix 1, characterized in that.

(付記3)前記ファイルは、前記コンピュータが実行可能な実行形式のファイルであって、
前記コンピュータに、
前記ファイルを実行する操作を受け付けた場合、前記ファイルを実行することにより、前記アクセスする処理と前記送信する処理と前記復号する処理とを実行させることを特徴とする付記1または2に記載の復号プログラム。
(Supplementary Note 3) The file is an executable file executable by the computer,
On the computer,
Decoding according to appendix 1 or 2, characterized in that, when an operation for executing the file is accepted, the file is executed to execute the access processing, the transmission processing, and the decoding processing. program.

(付記4)前記ファイルには、前記暗号化データを暗号化した際に用いられた共通鍵が含まれ、
前記復号する処理は、
前記認証要求に対する応答によって前記操作者が前記システムを正当に利用可能であることが示される場合、前記暗号化データを、前記共通鍵を用いて復号する、
ことを特徴とする付記1〜3のいずれか一つに記載の復号プログラム。
(Supplementary Note 4) The file includes a common key used when the encrypted data is encrypted,
The decoding process is
When the response to the authentication request indicates that the operator can legally use the system, the encrypted data is decrypted using the common key.
The decryption program according to any one of appendices 1 to 3, characterized in that.

(付記5)前記認証要求は、前記システムにおける前記操作の操作者のアカウントの識別情報およびパスワードを有することを特徴とする付記1〜4のいずれか一つに記載の復号プログラム。 (Supplementary note 5) The decryption program according to any one of Supplementary notes 1 to 4, wherein the authentication request includes identification information and a password of an account of an operator of the operation in the system.

(付記6)利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報を記憶する記憶部にアクセス可能なコンピュータに、
データを暗号化する操作を受け付けた場合、前記データを暗号化し、
前記データを暗号化した暗号化データと、前記アクセス情報とを含むファイルを生成する、
処理を実行させることを特徴とする暗号化プログラム。
(Supplementary Note 6) A computer that can access a storage unit that stores access information to an authentication device that authenticates that a user can legally use the system,
When the operation to encrypt the data is accepted, the data is encrypted,
A file including encrypted data obtained by encrypting the data and the access information is generated,
An encryption program characterized by executing processing.

(付記7)前記データは、前記データのアクセス権限を有するユーザをグループ化したグループに対応付けられており、
前記記憶部は、複数のグループの各々のグループに属するユーザの識別情報を記憶しており、
前記コンピュータに、
前記操作を受け付けた場合、前記記憶部から、前記データに対応付けられたグループに属するユーザの識別情報を取得する、処理を実行させ、
前記生成する処理は、
前記暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報とを含むファイルを生成する、
ことを特徴とする付記6に記載の暗号化プログラム。
(Supplementary Note 7) The data is associated with a group obtained by grouping users who have access authority to the data,
The storage unit stores identification information of users who belong to each of a plurality of groups,
On the computer,
When the operation is accepted, the identification information of the user belonging to the group associated with the data is acquired from the storage unit, and the process is executed,
The process to generate is
Generating a file including the encrypted data, the access information, and the acquired identification information of the user,
The encryption program according to appendix 6, characterized in that.

(付記8)前記記憶部は、暗号化されたデータを復号する復号プログラムを記憶しており、
前記生成する処理は、
前記暗号化データと、前記アクセス情報と、前記復号プログラムとを含む実行形式のファイルを生成する、
ことを特徴とする付記6または7に記載の暗号化プログラム。
(Supplementary Note 8) The storage unit stores a decryption program for decrypting encrypted data,
The process to generate is
An executable file including the encrypted data, the access information, and the decryption program is generated,
The encryption program according to appendix 6 or 7, characterized in that.

(付記9)前記コンピュータに、
前記操作を受け付けた場合、共通鍵を生成する、処理を実行させ、
前記暗号化する処理は、
生成した前記共通鍵を用いて前記データを暗号化し、
前記ファイルを生成する処理は、
前記データを暗号化した暗号化データと、前記アクセス情報と、前記共通鍵とを含むファイルを生成する、
ことを特徴とする付記6〜8のいずれか一つに記載の暗号化プログラム。
(Supplementary note 9) In the computer,
When the operation is accepted, a common key is generated, processing is executed,
The encryption process is
Encrypting the data using the generated common key,
The process of generating the file is
A file including encrypted data obtained by encrypting the data, the access information, and the common key is generated,
The encryption program according to any one of appendices 6 to 8, characterized in that.

(付記10)利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報と暗号化された暗号化データとを含むファイルを復号する操作を受け付けた場合、前記アクセス情報に基づいて、前記認証装置にアクセスし、
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、
前記認証要求に対する応答によって前記操作者が前記システムを正当に利用可能であることが示される場合、前記暗号化データを復号する、
制御部を有することを特徴とする復号装置。
(Supplementary Note 10) When the user accepts the operation of decrypting the file including the access information to the authentication device that authenticates that the system can be legally used and the encrypted data that has been encrypted, Based on the access to the authentication device,
When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
Decrypt the encrypted data if the response to the authentication request indicates that the operator can legitimately use the system,
A decoding device having a control unit.

(付記11)利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報を記憶する記憶部と、
データを暗号化する操作を受け付けた場合、前記データを暗号化し、前記データを暗号化した暗号化データと、前記アクセス情報とを含むファイルを生成する制御部と、
を有することを特徴とする暗号化装置。
(Supplementary Note 11) A storage unit that stores access information to an authentication device that authenticates that a user can legally use the system,
A control unit that, when an operation of encrypting data is accepted, encrypts the data, and generates a file including the encrypted data obtained by encrypting the data and the access information,
An encryption device comprising:

(付記12)コンピュータが、
利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報と暗号化された暗号化データとを含むファイルを復号する操作を受け付けた場合、前記アクセス情報に基づいて、前記認証装置にアクセスし、
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、
前記認証要求に対する応答によって前記操作者が前記システムを正当に利用可能であることが示される場合、前記暗号化データを復号する、
処理を実行することを特徴とする復号方法。
(Appendix 12) The computer
When the user accepts the operation of decrypting the file including the access information to the authentication device that authenticates that the system can be legally used and the encrypted data that has been encrypted, based on the access information, Access the authenticator,
When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
Decrypt the encrypted data if the response to the authentication request indicates that the operator can legitimately use the system,
A decoding method characterized by executing processing.

(付記13)利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報を記憶する記憶部にアクセス可能なコンピュータが、
データを暗号化する操作を受け付けた場合、前記データを暗号化し、
前記データを暗号化した暗号化データと、前記アクセス情報とを含むファイルを生成する、
処理を実行することを特徴とする暗号化方法。
(Supplementary Note 13) A computer capable of accessing a storage unit that stores access information to an authentication device that authenticates that a user can legally use the system,
When the operation to encrypt the data is accepted, the data is encrypted,
A file including encrypted data obtained by encrypting the data and the access information is generated,
An encryption method characterized by performing processing.

100 システム
101 暗号化装置
102 復号装置
103 認証装置
111 アクセス情報
112 暗号対象ファイル
113 暗号化データ
114 暗号化ファイル
121 識別情報
200 ファイルシステム
201 ファイルサーバ
202 認証サーバ
204 ユーザ端末
500 制御部
501 鍵生成部
502 暗号化部
503 取得部
504 ファイル生成部
510 記憶部
511 アクセス情報
512 復号プログラム
521 暗号対象ファイル
522 自己復号ファイル
700 制御部
701 アクセス部
702 送信部
703 復号部
710 記憶部
100 system 101 encryption device 102 decryption device 103 authentication device 111 access information 112 encryption target file 113 encrypted data 114 encrypted file 121 identification information 200 file system 201 file server 202 authentication server 204 user terminal 500 control unit 501 key generation unit 502 Encryption unit 503 Acquisition unit 504 File generation unit 510 Storage unit 511 Access information 512 Decryption program 521 File to be encrypted 522 Self-decryption file 700 Control unit 701 Access unit 702 Transmission unit 703 Decryption unit 710 Storage unit

Claims (10)

コンピュータに、
利用者が現時点においてシステムを正当に利用可能と設定されていることを認証する認証装置へのアクセス情報と暗号化された暗号化データと前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザの識別情報とを含むファイルを復号する操作を受け付けた場合、前記アクセス情報に基づいて、前記認証装置にアクセスし、
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、
前記認証要求に対する応答によって前記操作者が現時点において前記システムを正当に利用可能と設定されている利用者であることが示され、かつ、前記操作者のアカウントの識別情報と前記ユーザの識別情報とが一致し、前記操作者が前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザであることが示される場合、前記暗号化データを復号する、
処理を実行させることを特徴とする復号プログラム。
On the computer,
Setting allows decrypting the encrypted data at the time of the user the encrypted access information and encrypted data to the authentication device for authenticating that it is set as legally available system at the present time When the operation of decrypting the file including the identification information of the user who has been performed is accepted, based on the access information, the authentication device is accessed,
When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
The response to the authentication request indicates that the operator is a user who is legally set to use the system at the present time , and the identification information of the operator account and the identification information of the user. There match, if the operator is Ru shown is a user that has been set and can decrypt the encrypted data at the time of the encryption, to decrypt the encrypted data,
A decryption program that executes processing.
前記ファイルは、前記コンピュータが実行可能な実行形式のファイルであって、The file is an executable file executable by the computer,
前記コンピュータに、On the computer,
前記ファイルを実行する操作を受け付けた場合、前記ファイルを実行することにより、前記アクセスする処理と前記送信する処理と前記復号する処理とを実行させることを特徴とする請求項1に記載の復号プログラム。The decryption program according to claim 1, wherein when an operation of executing the file is accepted, the access process, the transmission process, and the decryption process are executed by executing the file. ..
前記ファイルには、前記暗号化データを暗号化した際に用いられた共通鍵が含まれ、The file includes a common key used when the encrypted data is encrypted,
前記復号する処理は、The decoding process is
前記認証要求に対する応答によって前記操作者が現時点において前記システムを正当に利用可能と設定されている利用者であることが示され、かつ、前記操作者のアカウントの識別情報と前記ユーザの識別情報とが一致し、前記操作者が前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザであることが示される場合、前記暗号化データを、前記共通鍵を用いて復号する、The response to the authentication request indicates that the operator is a user who is legally set to use the system at the present time, and the identification information of the operator account and the identification information of the user. And the operator is a user who has been set to be able to decrypt the encrypted data at the time of the encryption, the encrypted data is decrypted using the common key,
ことを特徴とする請求項1または2に記載の復号プログラム。The decryption program according to claim 1 or 2, characterized in that.
利用者が認証装置へのアクセスの時点においてシステムを正当に利用可能と設定されていることを認証する前記認証装置へのアクセス情報と、データのアクセス権限を有するユーザをグループ化した複数のグループの各々のグループに属するユーザの識別情報とを記憶する記憶部にアクセス可能なコンピュータに、Access information to the authentication device that authenticates that the user is authorized to use the system at the time of access to the authentication device, and a plurality of groups that group users who have data access authority. A computer that can access a storage unit that stores identification information of users who belong to each group,
前記複数のグループのいずれかのグループに対応付けられたデータを暗号化する操作を受け付けた場合、前記データを暗号化し、When an operation of encrypting data associated with any one of the plurality of groups is accepted, the data is encrypted,
前記記憶部から、前記データに対応付けられた前記いずれかのグループに属し、前記暗号化の時点において前記データのアクセス権限を有するユーザの識別情報を取得し、From the storage unit, obtain identification information of a user who belongs to any one of the groups associated with the data and has access authority to the data at the time of the encryption,
前記データを暗号化した暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報とを含むファイルを生成する、A file including encrypted data obtained by encrypting the data, the access information, and the acquired identification information of the user is generated,
処理を実行させることを特徴とする暗号化プログラム。An encryption program characterized by executing processing.
前記記憶部は、暗号化されたデータを復号する復号プログラムを記憶しており、The storage unit stores a decryption program for decrypting encrypted data,
前記生成する処理は、The process to generate is
前記暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報と、前記復号プログラムとを含む実行形式のファイルを生成する、Generating an executable file including the encrypted data, the access information, the acquired user identification information, and the decryption program,
ことを特徴とする請求項4に記載の暗号化プログラム。The encryption program according to claim 4, wherein.
前記コンピュータに、On the computer,
前記操作を受け付けた場合、共通鍵を生成する、処理を実行させ、When the operation is accepted, a common key is generated, processing is executed,
前記暗号化する処理は、The encryption process is
生成した前記共通鍵を用いて前記データを暗号化し、Encrypting the data using the generated common key,
前記ファイルを生成する処理は、The process of generating the file is
前記データを暗号化した暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報と、前記共通鍵とを含むファイルを生成する、A file including encrypted data obtained by encrypting the data, the access information, the acquired identification information of the user, and the common key is generated,
ことを特徴とする請求項4または5に記載の暗号化プログラム。The encryption program according to claim 4 or 5, characterized in that.
利用者が現時点においてシステムを正当に利用可能と設定されていることを認証する認証装置へのアクセス情報と暗号化された暗号化データと前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザの識別情報とを含むファイルを復号する操作を受け付けた場合、前記アクセス情報に基づいて、前記認証装置にアクセスし、Access information to the authentication device that authenticates that the user is legally available to use the system, encrypted encrypted data, and the encrypted data can be decrypted at the time of the encryption When the operation of decrypting the file including the identification information of the user who has been performed is accepted, based on the access information, the authentication device is accessed,
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
前記認証要求に対する応答によって前記操作者が現時点において前記システムを正当に利用可能と設定されている利用者であることが示され、かつ、前記操作者のアカウントの識別情報と前記ユーザの識別情報とが一致し、前記操作者が前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザであることが示される場合、前記暗号化データを復号する、The response to the authentication request indicates that the operator is a user who is legally set to use the system at the present time, and the identification information of the operator account and the identification information of the user. And the operator is a user who is set to be able to decrypt the encrypted data at the time of the encryption, the encrypted data is decrypted,
制御部を有することを特徴とする復号装置。A decoding device having a control unit.
利用者が認証装置へのアクセスの時点においてシステムを正当に利用可能と設定されていることを認証する前記認証装置へのアクセス情報と、データのアクセス権限を有するユーザをグループ化した複数のグループの各々のグループに属するユーザの識別情報とを記憶する記憶部と、Access information to the authentication device that authenticates that the user is authorized to use the system at the time of access to the authentication device, and a plurality of groups that group users who have data access authority. A storage unit that stores identification information of users who belong to each group,
前記複数のグループのいずれかのグループに対応付けられたデータを暗号化する操作を受け付けた場合、前記データを暗号化し、前記記憶部から、前記データに対応付けられた前記いずれかのグループに属し、前記暗号化の時点において前記データのアクセス権限を有するユーザの識別情報を取得し、前記データを暗号化した暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報とを含むファイルを生成する制御部と、When an operation of encrypting data associated with any one of the plurality of groups is accepted, the data is encrypted, and the storage unit belongs to any one of the groups associated with the data. A file including identification data of a user who has access authority to the data at the time of the encryption and encrypted data obtained by encrypting the data, the access information, and the identification information of the acquired user. A control unit to generate,
を有することを特徴とする暗号化装置。An encryption device comprising:
コンピュータが、Computer
利用者が現時点においてシステムを正当に利用可能と設定されていることを認証する認証装置へのアクセス情報と暗号化された暗号化データと前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザの識別情報とを含むファイルを復号する操作を受け付けた場合、前記アクセス情報に基づいて、前記認証装置にアクセスし、Access information to the authentication device that authenticates that the user is legally available to use the system, encrypted encrypted data, and the encrypted data can be decrypted at the time of the encryption When the operation of decrypting the file including the identification information of the user who has been performed is accepted, based on the access information, the authentication device is accessed,
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
前記認証要求に対する応答によって前記操作者が現時点において前記システムを正当に利用可能と設定されている利用者であることが示され、かつ、前記操作者のアカウントの識別情報と前記ユーザの識別情報とが一致し、前記操作者が前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザであることが示される場合、前記暗号化データを復号する、The response to the authentication request indicates that the operator is a user who is legally set to use the system at the present time, and the identification information of the operator account and the identification information of the user. And the operator is a user who is set to be able to decrypt the encrypted data at the time of the encryption, the encrypted data is decrypted,
処理を実行することを特徴とする復号方法。A decoding method characterized by executing processing.
利用者が認証装置へのアクセスの時点においてシステムを正当に利用可能と設定されていることを認証する前記認証装置へのアクセス情報と、データのアクセス権限を有するユーザをグループ化した複数のグループの各々のグループに属するユーザの識別情報とを記憶する記憶部にアクセス可能なコンピュータが、Access information to the authentication device that authenticates that the user is authorized to use the system at the time of access to the authentication device, and a plurality of groups that group users who have data access authority. A computer that can access a storage unit that stores identification information of users belonging to each group,
前記複数のグループのいずれかのグループに対応付けられたデータを暗号化する操作を受け付けた場合、前記データを暗号化し、When an operation of encrypting data associated with any one of the plurality of groups is accepted, the data is encrypted,
前記記憶部から、前記データに対応付けられた前記いずれかのグループに属し、前記暗号化の時点において前記データのアクセス権限を有するユーザの識別情報を取得し、From the storage unit, obtain identification information of a user who belongs to any one of the groups associated with the data and has access authority to the data at the time of the encryption,
前記データを暗号化した暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報とを含むファイルを生成する、A file including encrypted data obtained by encrypting the data, the access information, and the acquired identification information of the user is generated,
処理を実行することを特徴とする暗号化方法。An encryption method characterized by performing processing.
JP2016049446A 2016-03-14 2016-03-14 Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method Expired - Fee Related JP6711042B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016049446A JP6711042B2 (en) 2016-03-14 2016-03-14 Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016049446A JP6711042B2 (en) 2016-03-14 2016-03-14 Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method

Publications (2)

Publication Number Publication Date
JP2017167614A JP2017167614A (en) 2017-09-21
JP6711042B2 true JP6711042B2 (en) 2020-06-17

Family

ID=59913365

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016049446A Expired - Fee Related JP6711042B2 (en) 2016-03-14 2016-03-14 Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method

Country Status (1)

Country Link
JP (1) JP6711042B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108270787B (en) * 2018-01-16 2020-11-03 深圳市道通科技股份有限公司 Data decryption method and device and electronic equipment
JP6937887B2 (en) * 2018-02-21 2021-09-22 三菱電機株式会社 In-vehicle function access control system, in-vehicle device and in-vehicle function access control method
JP7127585B2 (en) * 2019-03-12 2022-08-30 オムロン株式会社 Safety system and maintenance method
CN114417378B (en) * 2021-12-30 2025-01-28 华南理工大学 Key exchange or public key encryption optimization method and system based on Mersenne number

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8627489B2 (en) * 2003-10-31 2014-01-07 Adobe Systems Incorporated Distributed document version control
JP4303730B2 (en) * 2006-01-06 2009-07-29 株式会社日立製作所 Data linkage system and data linkage device
JP3955906B1 (en) * 2006-09-27 2007-08-08 クオリティ株式会社 Software management system and software management program
JP5393556B2 (en) * 2010-03-26 2014-01-22 株式会社日立ソリューションズ Internal / external document protection system

Also Published As

Publication number Publication date
JP2017167614A (en) 2017-09-21

Similar Documents

Publication Publication Date Title
KR101878149B1 (en) Device, system, and method of secure entry and handling of passwords
WO2022041806A1 (en) Authentication method, apparatus and device, and computer-readable storage medium
CN100395679C (en) Software authorization and protection device and method
EP2251810B1 (en) Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method
US20150143107A1 (en) Data security tools for shared data
JP2016177551A (en) Output device, program, output system, and output method
JP7565868B2 (en) DATA MANAGEMENT SYSTEM, DATA MANAGEMENT METHOD, AND DATA MANAGEMENT PROGRAM
JP6123353B2 (en) Document authority management system, terminal device, document authority management method, and program
US20070074038A1 (en) Method, apparatus and program storage device for providing a secure password manager
CN104834840B (en) Cipher code protection method based on mapping drift technology
WO2019082442A1 (en) Data registration method, data decoding method, data structure, computer, and program
JP6711042B2 (en) Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method
JP2012074079A (en) Information processor, information processing system and program
US20080172750A1 (en) Self validation of user authentication requests
CN105577644A (en) Encryption and authentication method and system
JP6357091B2 (en) Information processing apparatus and computer program
JP5494171B2 (en) File management system, storage server, client, file management method and program
JP2005286402A (en) Server and program for encryption key management terminal and program for acquiring encryption key system and method for encryption key management
JP2009181598A (en) Information processing device for digital rights management
JP4791193B2 (en) Information processing apparatus, portable terminal apparatus, and information processing execution control method
JP2006190050A (en) Multitask execution system and multitask execution method
JP7790745B2 (en) Data management device, data management system, data management method and program
US20250036785A1 (en) Data processing apparatus, data processing method, and computer readable recording medium
JP2004280236A (en) Authority management device, authority setting device, data file, authority management method, and program therefor
JP2011175562A (en) System and method for managing restriction of terminal use, and recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200428

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200511

R150 Certificate of patent or registration of utility model

Ref document number: 6711042

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees