JP6711042B2 - Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method - Google Patents
Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method Download PDFInfo
- Publication number
- JP6711042B2 JP6711042B2 JP2016049446A JP2016049446A JP6711042B2 JP 6711042 B2 JP6711042 B2 JP 6711042B2 JP 2016049446 A JP2016049446 A JP 2016049446A JP 2016049446 A JP2016049446 A JP 2016049446A JP 6711042 B2 JP6711042 B2 JP 6711042B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- file
- data
- encryption
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、復号プログラム、暗号化プログラム、復号装置、暗号化装置、復号方法、および暗号化方法に関する。 The present invention relates to a decryption program, an encryption program, a decryption device, an encryption device, a decryption method, and an encryption method.
従来、正当な権限を有さない者によるデータのコピーを抑止するため、データを暗号化し、暗号化した暗号化データに対応するパスワードが入力された際に、暗号化データを復号する技術がある。関連する先行技術として、例えば、本人認証情報、処理権限者情報、機器認証情報、拡張子の情報を暗号化した復号先証明書を用いて、復号プログラム、異なる暗号鍵で多段階暗号化されたヘッダ、暗号データを含む自己復号暗号ファイルを生成出力するものがある。また、認証者が、情報提供者から通知を受けた、情報ごとの暗号鍵と該暗号鍵に対応する復号鍵を生成し、暗号鍵を情報提供者に、情報の識別子と該情報の暗号鍵に対応する復号鍵を、該情報への参照権限のある情報参照者に通知する技術がある。 Conventionally, there is a technique for encrypting data and for decrypting the encrypted data when a password corresponding to the encrypted data is input in order to prevent the data from being copied by a person without proper authority. .. As related prior art, for example, a multi-step encryption is performed with a decryption program and different encryption keys by using a decryption destination certificate that is obtained by encrypting principal authentication information, processing authority information, device authentication information, and extension information. There is one that generates and outputs a self-decryption code file including a header and encrypted data. Also, the authenticator generates an encryption key for each information and a decryption key corresponding to the encryption key, which has been notified from the information provider, and sends the encryption key to the information provider, the identifier of the information and the encryption key of the information. There is a technique of notifying the information reference person who has the authority to refer to the information about the decryption key corresponding to.
しかしながら、従来技術によれば、正当な権限を有さない者が、暗号化データを復号することができ、データが不正にコピーされる場合がある。具体的には、パスワードを知る者であればどのような者でも暗号化データを復号することができるため、例えば、ファイルシステムやWebシステムで設定した範囲を超える正当な権限を有さない者が、暗号化データを復号し、平文のデータを不正に得る場合がある。 However, according to the conventional technique, a person who does not have the proper authority can decrypt the encrypted data, and the data may be illegally copied. Specifically, since anyone who knows the password can decrypt the encrypted data, for example, a person who does not have the proper authority exceeding the range set in the file system or the Web system can , The encrypted data may be decrypted and plaintext data may be illegally obtained.
1つの側面では、本発明は、データが不正にコピーされることを抑制することができる復号プログラム、暗号化プログラム、復号装置、暗号化装置、復号方法、および暗号化方法を提供することを目的とする。 In one aspect, the present invention aims to provide a decryption program, an encryption program, a decryption device, an encryption device, a decryption method, and an encryption method that can prevent unauthorized copying of data. And
本発明の一側面によれば、利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報と暗号化された暗号化データとを含むファイルを復号する操作を受け付けた場合、アクセス情報に基づいて、認証装置にアクセスし、認証装置にアクセスしたことによる応答を受け付け、かつ、システムにおける操作の操作者のアカウントの識別情報を受け付けた場合、認証装置の認証方式に応じた識別情報を含む認証要求を、認証装置に送信し、認証要求に対する応答によって操作者がシステムを正当に利用可能であることが示される場合、暗号化データを復号する復号プログラム、復号装置、および復号方法が提案される。 According to an aspect of the present invention, when a user accepts an operation of decrypting a file including access information to an authentication device that authenticates that a system can be legally used and encrypted encrypted data. When the authentication device is accessed based on the access information, the response due to the access to the authentication device is accepted, and the identification information of the account of the operator of the system is accepted, the authentication method of the authentication device is satisfied. A decryption program that decrypts encrypted data, a decryption device, and a decryption device that transmits an authentication request including identification information to an authentication device, and when a response to the authentication request indicates that the operator can legally use the system A method is proposed.
また、本発明の他の側面によれば、利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報を記憶する記憶部にアクセス可能なコンピュータに、データを暗号化する操作を受け付けた場合、データを暗号化し、データを暗号化した暗号化データと、アクセス情報とを含むファイルを生成する、暗号化プログラム、暗号化装置、暗号化方法が提案される。 According to another aspect of the present invention, data is encrypted in a computer that can access a storage unit that stores access information to an authentication device that authenticates that a user can legally use the system. When an operation is accepted, an encryption program, an encryption device, and an encryption method are proposed which encrypt data and generate a file including encrypted data obtained by encrypting the data and access information.
本発明の一態様によれば、データが不正にコピーされることを抑制することができるという効果を奏する。 According to one aspect of the present invention, it is possible to prevent data from being illegally copied.
以下に図面を参照して、開示の復号プログラム、暗号化プログラム、復号装置、暗号化装置、復号方法、および暗号化方法の実施の形態を詳細に説明する。 Embodiments of the disclosed decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method will be described in detail below with reference to the drawings.
図1は、本実施の形態にかかる暗号化方法および復号方法の動作例を示す説明図である。図1に示すシステム100は、暗号化装置101と、復号装置102と、認証装置103とを含む。システム100は、例えば、ファイルシステムや、Webシステムである。
FIG. 1 is an explanatory diagram showing an operation example of the encryption method and the decryption method according to the present embodiment. The
暗号化装置101は、コピーを禁止するデータを暗号化するコンピュータである。暗号化装置101は、例えば、サーバである。コピーを禁止するデータは、ファイルでもよいし、ファイルの一部のデータでもよい。
The
復号装置102は、暗号化データを復号するコンピュータである。復号装置102は、例えば、PC(Personal Computer)やサーバである。認証装置103は、システム100を利用しようとする利用者が、システム100を正当に利用可能であることを認証するコンピュータである。
The
ここで、正当な権限があれば、コピーを禁止するデータを容易にコピーすることができる。そして、コピーしたデータは、正当な権限を有さないユーザでも読み書きすることができてしまう。これを抑止するため、例えば、コピーを禁止するデータを暗号化し、暗号化した暗号化データに対応するパスワードを入力しないと、暗号化した暗号化データを復号できなくすることが考えられる。 Here, if you have the proper authority, you can easily copy the data whose copying is prohibited. Then, the copied data can be read and written by a user who does not have the proper authority. In order to prevent this, for example, it is conceivable that the encrypted encrypted data cannot be decrypted unless the data for which copying is prohibited is encrypted and the password corresponding to the encrypted encrypted data is not input.
しかしながら、暗号化データに対応するパスワードを知る者であれば、どのような者でも暗号化データを復号することができる。従って、例えば、ファイルシステムやWebシステムで設定した範囲を超える正当な権限を有さない者が、暗号化データを復号し、平文のデータを不正に得る場合がある。また、コピーを禁止するデータの正当な権限を有する者は、暗号化データに対応するパスワードを記憶しておかなければならず、手間がかかる。 However, anyone who knows the password corresponding to the encrypted data can decrypt the encrypted data. Therefore, for example, a person who does not have the proper authority exceeding the range set by the file system or the Web system may decrypt the encrypted data and illegally obtain the plaintext data. In addition, a person who has the proper authority for the data whose copying is prohibited must store the password corresponding to the encrypted data, which is troublesome.
そこで、本実施の形態では、認証装置103のIP(Internet Protocol)アドレス等と暗号化データを含むファイルの復号時に、IPアドレスによりアクセスした認証装置103が認証した際に、暗号化データを復号する方法について説明する。
Therefore, in the present embodiment, when the file including the IP (Internet Protocol) address of the
図1を用いて、暗号化装置101と復号装置102との動作例について説明する。図1の上部では、暗号化装置101による暗号化の動作例を示し、図1の下部では、復号装置102による復号の動作例を示す。本実施の形態では、コピーを禁止するデータを暗号対象とする。以下、コピーを禁止するデータを、「暗号対象ファイル」と呼称する。
An operation example of the
(暗号化の動作例)
図1の上部で示すように、暗号化装置101は、認証装置103へのアクセス情報111を記憶する。アクセス情報111は、認証装置103へのアクセスの方法を示す情報である。例えば、認証装置103のIPアドレスやドメイン名である。そして、図1の(1)で示すように、暗号化装置101は、暗号対象ファイル112を暗号化する操作を受け付けた場合、暗号対象ファイル112を暗号化する。このとき、暗号化装置101は、共通鍵を生成し、生成した共通鍵で暗号対象ファイル112を暗号化することが好ましい。または、暗号化装置101は、所定の共通鍵を用いて暗号対象ファイル112を暗号化してもよい。
(Example of encryption operation)
As shown in the upper part of FIG. 1, the
次に、暗号化装置101は、図1の(2)で示すように、暗号対象ファイル112を暗号化した暗号化データ113と、アクセス情報111とを含む暗号化ファイル114を生成する。また、暗号化装置101は、暗号対象ファイル112のアクセス権限を有するユーザの識別情報の一覧を、暗号化ファイル114に含めてもよい。また、暗号化装置101は、共通鍵を生成した場合、暗号化ファイル114に共通鍵を含める。さらに、暗号化装置101は、暗号化データ113を復号する復号プログラムを、暗号化ファイル114に含め、かつ、暗号化ファイル114を、実行形式のファイルとしてもよい。
Next, the
(復号の動作例)
図1の(3)で示すように、復号装置102は、暗号化ファイル114を復号する操作を受け付けた場合、アクセス情報111に基づいて、認証装置103にアクセスする。アクセスを受け付けた認証装置103は、図1の(4)で示すように、アクセスに対する応答を行う。応答の内容は、例えば、認証方式に関する情報である。認証方式としては、例えば、HTTP(Hypertext Transfer Protocol)で定義されるBasic認証や、Digest認証が挙げられる。
(Example of decryption operation)
As shown in (3) of FIG. 1, when the
応答を受け付け、かつ、システム100における操作者のアカウントの識別情報121を受け付けた場合、復号装置102は、図1の(5)で示すように、認証装置103の認証方式に応じた認証要求を送信する。ここで、復号装置102は、システム100における操作者のアカウントの識別情報121を、操作者の入力によって受け付ける。ここで、アカウントとは、サービスやコンピュータにログインするための権利である。操作者のアカウントの識別情報121は、操作者のアカウントID(IDentifier)である。そして、認証要求には、操作者のアカウントIDを含む。また、認証要求には、システム100における操作者のアカウントのパスワードが含まれてもよい。例えば、復号装置102は、アクセスに対する応答により、システム100のアカウントIDとパスワードとを入力させるダイアログを表示する。そして、復号装置102は、操作者の操作によって入力されたアカウントIDとパスワードとを受け付けて、認証要求として認証装置103に送信する。
When the response is accepted and the
認証要求を受け付けた認証装置103は、認証要求に基づいて、操作者がシステム100を正当に利用可能であるか否かを判断し、図1の(6)で示すように、認証要求に対する応答を行う。具体的には、認証装置103は、認証装置103が記憶する操作者のアカウントIDおよびパスワードと、認証要求に含まれるアカウントIDおよびパスワードとが同一であれば、操作者がシステム100を正当に利用可能であると判断する。そして、認証装置103は、操作者がシステム100を正当に利用可能であることを示す結果を、認証要求に対する結果として応答する。また、認証装置103は、認証装置103が記憶する操作者のアカウントIDおよびパスワードと、認証要求に含まれる操作者のアカウントIDおよびパスワードとが異なれば、操作者がシステム100を正当に利用可能でないと判断する。そして、認証装置103は、操作者がシステム100を正当に利用可能でないことを示す結果を、認証要求に対する結果として応答する。
The
応答を受け付けた復号装置102は、応答によって操作者がシステム100を正当に利用可能であることが示される場合、図1の(7)で示すように、暗号化データ113を復号する。復号した結果、復号装置102は、暗号対象ファイル112を得る。このように、復号装置102は、システム100のアカウントを有さない者、すなわち、システム100の正当な利用者でない者は、暗号化データ113を暗号化することができない。従って、復号装置102は、暗号対象ファイル112の漏洩を抑え、暗号対象ファイル112の不正コピーを抑制することができる。
When the response indicates that the operator can legally use the
また、暗号化ファイル114には、暗号対象ファイル112のアクセス権限を有するユーザの識別情報の一覧が含まれていてもよい。この場合、復号装置102は、応答によって操作者がファイルシステム200を正当に利用可能であることが示され、かつ、操作者の識別情報が一覧に含まれていれば、暗号化データ113を復号する。
Further, the
また、暗号化ファイル114には、共通鍵が含まれてもよい。この場合、復号装置102は、暗号化ファイル114に含まれる共通鍵を用いて、暗号化データ113を復号する。
Further, the
また、暗号化ファイル114には、暗号化データ113を復号する復号プログラムが含まれており、かつ、復号装置102が実行可能な実行形式のファイルであってもよい。この場合、復号装置102は、暗号化ファイル114を実行することにより、暗号化データ113を復号する。次に、システム100が、ファイルシステムである場合の一例を、図2を用いて説明する。
Further, the
図2は、ファイルシステム200の構成例を示す説明図である。ファイルシステム200は、ファイルサーバ201と、認証サーバ202と、グループ管理サーバ203と、ユーザ端末204−1、2、…とを含む。ファイルサーバ201〜ユーザ端末204は、それぞれ、LAN(Local Area Network)、WAN(Wide Area Network)等のネットワーク210により接続される。ファイルサーバ201は、図1で示した暗号化装置101に相当する。また、ユーザ端末204は、図1で示した復号装置102に相当する。また、認証サーバ202は、図1で示した認証装置103に相当する。
FIG. 2 is an explanatory diagram showing a configuration example of the
ファイルサーバ201は、ファイルを保持、管理するサーバである。認証サーバ202は、ファイルシステム200の正当な利用者であることを認証する。グループ管理サーバ203は、複数のグループの各々のグループに属するユーザのIDを管理する。ここで、グループは、ファイルのアクセス権限を有するユーザをグループ化したものである。ユーザ端末204−1、2、…は、ファイルシステム200を利用するユーザによって操作されるコンピュータである。
The
ファイルサーバ201が管理するファイルについて説明する。ファイルには、そのファイルのアクセス権限を有するグループのIDが対応付けられている。例えば、あるファイルのアクセス権限は、あるファイルが属するフォルダのアクセス権限を承継したものである。また、あるファイルの管理者が、あるファイルのアクセス権限を個別に設定してもよい。そして、ファイルに対応付けられるグループの例としては、あるファイルに対応付けられるグループは、例えば、ある開発部署を示すグループが対応付けられており、他のファイルに対応付けられるグループは、他の開発部署を示すグループが対応付けられる。
Files managed by the
次に、ファイルサーバ201のハードウェア構成について図3を用いて説明し、ユーザ端末204のハードウェア構成について図3を用いて説明する。
Next, the hardware configuration of the
(ファイルサーバ201のハードウェア構成例)
図3は、ファイルサーバ201のハードウェア構成例を示す説明図である。図2において、ファイルサーバ201は、CPU301と、ROM(Read−Only Memory)302と、RAM(Random Access Memory)303と、を含む。また、ファイルサーバ201は、ディスクドライブ304およびディスク305と、通信インターフェース306と、を含む。また、CPU301〜ディスクドライブ304、通信インターフェース306はバス307によってそれぞれ接続される。
(Example of hardware configuration of file server 201)
FIG. 3 is an explanatory diagram showing a hardware configuration example of the
CPU301は、ファイルサーバ201の全体の制御を司る演算処理装置である。ROM302は、ブートプログラムなどのプログラムを記憶する不揮発性メモリである。RAM303は、CPU301のワークエリアとして使用される揮発性メモリである。
The
ディスクドライブ304は、CPU301の制御に従ってディスク305に対するデータのリードおよびライトを制御する制御装置である。ディスクドライブ304には、例えば、磁気ディスクドライブ、光ディスクドライブ、ソリッドステートドライブなどを採用することができる。ディスク305は、ディスクドライブ304の制御で書き込まれたデータを記憶する不揮発性メモリである。例えばディスクドライブ304が磁気ディスクドライブである場合、ディスク305には、磁気ディスクを採用することができる。また、ディスクドライブ304が光ディスクドライブである場合、ディスク305には、光ディスクを採用することができる。また、ディスクドライブ304がソリッドステートドライブである場合、ディスク305には、半導体素子によって形成された半導体メモリ、いわゆる半導体ディスクを採用することができる。
The
通信インターフェース306は、ネットワーク210と内部のインターフェースを司り、他の装置からのデータの入出力を制御する制御装置である。具体的に、通信インターフェース306は、通信回線を通じてネットワーク210を介して他の装置に接続される。通信インターフェース306には、例えば、モデムやLANアダプタなどを採用することができる。
The
また、ファイルサーバ201の管理者が、ファイルサーバ201を直接操作する場合、ファイルサーバ201は、ディスプレイ、キーボード、マウスといったハードウェアを有してもよい。
In addition, when the administrator of the
(ユーザ端末204のハードウェア構成例)
図4は、ユーザ端末204のハードウェア構成例を示す説明図である。ユーザ端末204は、CPU401と、ROM402と、RAM403と、ディスクドライブ404と、ディスク405と、通信インターフェース406と、ディスプレイ407と、キーボード408と、マウス409と、機器接続インターフェース410とを含む。また、CPU401〜ディスクドライブ404と、通信インターフェース406〜機器接続インターフェース410とは、バス411によってそれぞれ接続される。
(Example of hardware configuration of user terminal 204)
FIG. 4 is an explanatory diagram showing a hardware configuration example of the
CPU401は、ユーザ端末204の全体の制御を司る演算処理装置である。ROM402は、ブートプログラムなどのプログラムを記憶する不揮発性メモリである。RAM403は、CPU401のワークエリアとして使用される揮発性メモリである。
The
ディスクドライブ404は、CPU401の制御に従ってディスク405に対するデータのリードおよびライトを制御する制御装置である。ディスクドライブ404には、例えば、磁気ディスクドライブ、光ディスクドライブ、ソリッドステートドライブなどを採用することができる。ディスク405は、ディスクドライブ404の制御で書き込まれたデータを記憶する不揮発性メモリである。例えばディスクドライブ404が磁気ディスクドライブである場合、ディスク405には、磁気ディスクを採用することができる。また、ディスクドライブ404が光ディスクドライブである場合、ディスク405には、光ディスクを採用することができる。また、ディスクドライブ404がソリッドステートドライブである場合、ディスク405には、半導体ディスクを採用することができる。
The
通信インターフェース406は、ネットワーク210と内部のインターフェースを司り、外部装置からのデータの入出力を制御する制御装置である。具体的に、通信インターフェース406は、通信回線を通じてネットワーク210を介して他の装置に接続される。通信インターフェース406には、例えば、モデムやLANアダプタなどを採用することができる。
The
ディスプレイ407は、マウスカーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータを表示する装置である。ディスプレイ407には、例えば、CRT(Cathode Ray Tube)、TFT(Thin Film Transistor)液晶ディスプレイ、プラズマディスプレイなどを採用することができる。 The display 407 is a device that displays data such as a document, an image, and functional information, including a mouse cursor, an icon, or a tool box. As the display 407, for example, a CRT (Cathode Ray Tube), a TFT (Thin Film Transistor) liquid crystal display, a plasma display, or the like can be adopted.
キーボード408は、文字、数字、各種指示などの入力のためのキーを有し、データの入力を行う装置である。また、キーボード408は、タッチパネル式の入力パッドやテンキーなどであってもよい。マウス409は、マウスカーソルの移動や範囲選択、あるいはウィンドウの移動やサイズの変更などを行う装置である。マウス409は、ポインティングデバイスとして同様に機能を有するものであれば、トラックボールやジョイスティックなどであってもよい。
The keyboard 408 is a device that has keys for inputting characters, numbers, various instructions, etc., and inputs data. Further, the keyboard 408 may be a touch panel type input pad, a numeric keypad, or the like. The
機器接続インターフェース410は、ユーザ端末204と周辺機器とを接続し、接続した周辺機器を制御する制御装置である。例えば、機器接続インターフェース410は、USB(Universal Serial Bus)等を採用することができる。そして、機器接続インターフェース410には、例えば、機器接続インターフェース410がUSBである場合にはUSBフラッシュドライブ421や、メモリカードリーダライタ422を接続することができる。
The
USBフラッシュドライブ421は、電力を供給しなくてもデータを保持可能な不揮発性の半導体メモリであるフラッシュメモリを内蔵し、フラッシュメモリの制御および機器接続インターフェース410との通信を行うドライブ装置を含めた装置である。メモリカードリーダライタ422は、メモリカード423に対するデータのリードおよびライトを制御する制御装置である。メモリカード423は、カード型の記録媒体である。メモリカード423には、フラッシュメモリが内蔵される。
The
(ファイルサーバ201の機能構成例)
図5は、ファイルサーバ201の機能構成例を示す説明図である。ファイルサーバ201は、制御部500を有する。制御部500は、鍵生成部501と、暗号化部502と、取得部503と、ファイル生成部504と、を含む。制御部500は、記憶装置に記憶されたプログラムをCPU301が実行することにより、各部の機能を実現する。記憶装置とは、具体的には、例えば、図3に示したROM302、RAM303、ディスク305などである。また、各部の処理結果は、CPU301のレジスタや、CPU301のキャッシュメモリ、RAM303等に格納される。
(Example of functional configuration of file server 201)
FIG. 5 is an explanatory diagram showing a functional configuration example of the
また、ファイルサーバ201は、記憶部510にアクセス可能である。記憶部510は、RAM303、ディスク305といった記憶装置である。そして、記憶部510は、アクセス情報511と、復号プログラム512とを記憶する。アクセス情報511は、認証サーバ202へのアクセスの方法を示す情報である。例えば、アクセス情報511は、認証サーバ202のIPアドレスや、ドメイン名、MAC(Media Access Control)アドレス等である。復号プログラム512は、暗号化部502が暗号化する暗号化ファイルを復号するプログラムである。
Further, the
また、ファイルサーバ201は、グループ管理サーバ203にアクセス可能である。そして、グループ管理サーバ203は、複数のグループの各々のグループに属するユーザのアカウントIDを記憶する。
Further, the
鍵生成部501は、コピーを禁止するファイルである暗号対象ファイル521を暗号化する操作を受け付けた場合、共通鍵を生成する。例えば、鍵生成部501は、乱数に基づいて、共通鍵を生成する。乱数の生成法には、例えば、線形合同法、メルセンヌ・ツイスタ等がある。または、鍵生成部501は、ファイルサーバ201内の電気回路の熱雑音を利用して、乱数を生成してもよい。
When the
暗号化部502は、暗号対象ファイル521を暗号化する操作を受け付けた場合、暗号対象ファイル521を暗号化する。また、暗号化部502は、鍵生成部501が生成した共通鍵を用いて暗号対象ファイル521を暗号化してもよい。
When the
取得部503は、操作を受け付けた場合、グループ管理サーバ203から、暗号対象ファイル521に対応付けられたグループに属するユーザのアカウントIDの一覧を取得する。取得するアカウントIDの数は、1つの場合もあるし、複数の場合もある。ユーザのアカウントIDの一覧を、「ユーザリスト」と呼称する。
When receiving the operation, the
ファイル生成部504は、暗号対象ファイル521を暗号化した暗号対象ファイル521と、アクセス情報511とを含むファイルを生成する。また、ファイル生成部504は、暗号対象ファイル521と、アクセス情報511と、取得部503が取得したユーザリストとを含むファイルを生成してもよい。
The
また、ファイル生成部504は、暗号対象ファイル521と、アクセス情報511と、取得部503が取得したユーザリストと、復号プログラム512とを含む実行形式のファイルを生成してもよい。
The
次に、生成された自己復号ファイル522のデータ構造の一例について、図6を用いて説明する。
Next, an example of the data structure of the generated self-
図6は、自己復号ファイル522のデータ構造の一例を示す説明図である。自己復号ファイル522は、復号プログラム512と、共通鍵601と、アクセス情報511と、ユーザリスト602と、暗号化ファイル603とを含む。
FIG. 6 is an explanatory diagram showing an example of the data structure of the self-
復号プログラム512は、暗号化ファイル603を復号するプログラムである。例えば、ファイル生成部504は、記憶部510に記憶されている復号プログラム512を読み出す。そして、ファイル生成部504は、復号プログラム512と鍵生成部501が生成した共通鍵601とのデータサイズに基づいて、自己復号ファイル522内における共通鍵601の格納位置を決定し、決定した格納位置を復号プログラム512の内部に設定する。これにより、復号プログラム512は、決定した格納位置により、自己復号ファイル522から共通鍵601を読み出すことができる。同様に、ファイル生成部504は、アクセス情報511、ユーザリスト602、暗号化ファイル603の格納位置を決定し、各格納位置を復号プログラム512の内部に設定する。
The
共通鍵601は、暗号化と復号との際に用いられる鍵情報である。ここで、共通鍵601は、セキュリティ向上のため、自己復号ファイル522の作成の度に異なるデータとなることが好ましい。
The
ユーザリスト602は、暗号対象ファイル521にアクセス可能なユーザのリストである。このユーザリスト602に登録されたユーザが、暗号化ファイル603を復号可能なユーザとなる。暗号化ファイル603は、暗号対象ファイル521を暗号化したファイルである。
The
(自己復号ファイル522の機能構成例)
図7は、自己復号ファイル522の機能構成例を示す説明図である。ユーザ端末204は、制御部700を有する。制御部700は、アクセス部701と、送信部702と、復号部703と、を含む。ここで、アクセス部701〜復号部703は、自己復号ファイル522に含まれる復号プログラム512を、CPU401が実行することにより実現される機能である。復号プログラム512は、ディスク405、USBフラッシュドライブ421、メモリカード423等に格納されている。CPU401は、復号プログラム512を実行時には、ディスク405、USBフラッシュドライブ421、メモリカード423等に格納されている自己復号ファイル522を、RAM403に展開する。また、アクセス部701〜復号部703の処理結果は、CPU401のレジスタや、CPU401のキャッシュメモリ、RAM403等に格納される。
(Example of functional configuration of self-decoding file 522)
FIG. 7 is an explanatory diagram showing a functional configuration example of the self-
また、ユーザ端末204は、記憶部710にアクセス可能である。記憶部710は、RAM403といった記憶装置である。そして、記憶部710は、アクセス情報511、共通鍵601、ユーザリスト602、暗号化ファイル603を有する。アクセス情報511、共通鍵601、ユーザリスト602、暗号化ファイル603は、RAM403に展開された自己復号ファイル522に含まれる。
In addition, the
復号プログラム512は、自己復号ファイル522を実行する操作を受け付けた場合、自己復号ファイル522を実行することにより、アクセス部701〜復号部703の処理を実行する。
When the
アクセス部701は、自己復号ファイル522を復号する操作を受け付けた場合、アクセス情報により認証サーバ202にアクセスする。
When the
送信部702は、認証サーバ202にアクセスしたことによる応答を受け付け、かつ、ファイルシステム200における操作者のアカウントIDを受け付けた場合、認証サーバ202の認証方式に応じた認証要求を、認証サーバ202に送信する。認証要求には、操作者のアカウントIDが含まれる。また、認証要求には、操作者のアカウントIDとパスワードとが含まれてもよい。認証要求に含める情報は、認証サーバ202からの応答の内容によって決められる。
When the
復号部703は、認証要求に対する応答によって操作者が正当であることが示される場合、暗号化ファイル603を復号する。また、復号部703は、認証要求に対する応答によって操作者が正当であることが示され、かつ、操作者のアカウントのIDがユーザリスト602に含まれるユーザのIDと一致する場合、暗号化ファイル603を復号してもよい。また、復号部703は、認証要求に対する応答によって操作者が正当であることが示される場合、暗号化ファイル603を、共通鍵601を用いて復号してもよい。
The
図8は、暗号化処理手順の一例を示すフローチャートである。暗号化処理は、ファイルサーバ201によって実行される。
FIG. 8 is a flowchart showing an example of the encryption processing procedure. The encryption process is executed by the
ファイルサーバ201は、暗号対象ファイル521に対するユーザの暗号化の指示を受け付ける(ステップS801)。次に、ファイルサーバ201は、共通鍵601を生成する(ステップS802)。そして、ファイルサーバ201は、暗号対象ファイル521に対応付けられたアクセス権限リストを取得する(ステップS803)。
The
アクセス権限リストには、暗号対象ファイル521のアクセス権限を有するグループのIDや、ユーザのIDが含まれる。また、アクセス権限リストは、暗号対象ファイル521に含まれていてもよいし、暗号対象ファイル521に対応付けられていてもよい。アクセス権限リストをどのように管理するかは、ファイルサーバ201によって決められる。
The access authority list includes the ID of the group having the access authority to the
次に、ファイルサーバ201は、取得したアクセス権限リストにグループが存在するか否かを判断する(ステップS804)。取得したアクセス権限リストにグループが存在する場合(ステップS804:Yes)、ファイルサーバ201は、グループ管理サーバ203から、存在したグループに属するユーザのリストを取得する(ステップS805)。
Next, the
ステップS805の処理終了後、または、取得したアクセス権限リストにグループが存在しない場合(ステップS804:No)、ファイルサーバ201は、暗号対象ファイル521に対する、アクセス可能なユーザリスト602を生成する(ステップS806)。具体的には、ファイルサーバ201は、グループが存在した場合、存在したグループに属するユーザのIDと、アクセス権限リストに含まれたユーザのIDとを、ユーザリスト602に含める。また、ファイルサーバ201は、グループが存在しない場合、アクセス権限リストに含まれたユーザのIDを、ユーザリスト602に含める。
After the processing of step S805 is completed, or when the acquired access authority list does not include a group (step S804: No), the
そして、ファイルサーバ201は、暗号対象ファイルを、生成した共通鍵601で暗号化する(ステップS807)。次に、ファイルサーバ201は、暗号化した暗号化ファイル603と、復号プログラム512と、共通鍵601と、アクセス情報511と、ユーザリスト602とを含めた、実行形式の自己復号ファイル522を生成する(ステップS808)。ステップS808の処理終了後、ファイルサーバ201は、暗号化処理を終了する。
Then, the
図9は、復号処理手順の一例を示すフローチャートである。復号処理は、自己復号ファイル522を実行することによって実行される。ユーザ端末204は、自己復号ファイル522を実行することにより、自己復号ファイル522に含まれる復号プログラム512を実行する(ステップS901)。以降の処理は、ユーザ端末204が、復号プログラム512を実行することにより実現される処理である。従って、以降の処理の実行主体を、復号プログラム512として記載する。
FIG. 9 is a flowchart showing an example of the decoding processing procedure. The decryption process is executed by executing the self-
復号プログラム512は、自己復号ファイル522に含まれるアクセス情報511を読み出す(ステップS902)。次に、復号プログラム512は、読み出したアクセス情報511に基づいて、認証サーバ202にアクセスする(ステップS903)。アクセスに対する応答を受け付けた復号プログラム512は、操作者のアカウントIDとパスワードとを受け付ける(ステップS904)。そして、復号プログラム512は、認証サーバ202の認証方式に応じた操作者の認証要求を、認証サーバ202に送信する(ステップS905)。
The
次に、復号プログラム512は、認証要求に対する応答が成功を示すか否かを判断する(ステップS906)。認証要求に対する応答が成功を示す場合(ステップS906:Yes)、すなわち、操作者がファイルシステム200の正当な利用者である場合、復号プログラム512は、操作者を、認証ユーザとして特定する。そして、復号プログラム512は、自己復号ファイルに含まれるユーザリスト602を読み出す(ステップS907)。次に、復号プログラム512は、読み出したユーザリスト602に、認証ユーザが存在するか否かを判断する(ステップS908)。認証ユーザが存在する場合(ステップS908:Yes)、復号プログラム512は、自己復号ファイル522に含まれる共通鍵601を読み出す(ステップS909)。そして、復号プログラム512は、読み出した共通鍵を用いて、自己復号ファイルに含まれる暗号化ファイル603を復号する(ステップS910)。そして、復号プログラム512は、復号処理を終了する。
Next, the
一方、認証要求に対する応答が成功を示さない場合(ステップS906:No)、すなわち、操作者がファイルシステム200の正当な利用者でない場合、または、認証ユーザが存在しない場合(ステップS908:No)、復号プログラム512は、暗号化ファイル603を復号せずに復号処理を終了する。
On the other hand, if the response to the authentication request does not indicate success (step S906: No), that is, if the operator is not an authorized user of the
以上説明したように、ユーザ端末204は、アクセス情報511および暗号化ファイル603を含む自己復号ファイル522の復号時に、アクセス情報511によりアクセスした認証サーバ202が操作者を認証した際に、暗号化ファイル603を復号する。このように、ユーザ端末204は、ファイルシステム200にログインできない者、すなわち、ファイルシステム200の正当な利用者でない者は、暗号化ファイル603を暗号化することができない。従って、ユーザ端末204は、暗号対象ファイル521の漏洩を抑え、暗号対象ファイル521の不正コピーを抑制することができる。このように、暗号対象ファイル521の不正コピーを抑制することができるため、ユーザ端末204は、セキュリティ性を向上させることができる。また、ユーザ端末204の操作者は、暗号化ファイル603ごとのパスワードを覚えなくてよくなるため、利便性を向上させることができる。
As described above, the
また、ユーザ端末204は、認証サーバ202が認証し、かつ、自己復号ファイル522に含まれるユーザリスト602に、操作者のIDが含まれていれば、暗号化ファイル603を復号してもよい。これにより、ユーザ端末204は、暗号対象ファイル521にアクセス権限がある者だけが暗号化ファイル603を復号することができる。
Further, the
また、例えば、暗号化時点では、暗号対象ファイル521にアクセス権限を有するグループに属していた者が、自己復号ファイル522を持ち出して退社したとする。この場合、この退社者が操作するPCは、認証サーバ202にアクセスできなかったり、または、認証サーバ202が操作者を認証しなかったりするため、暗号化ファイル603を復号することができない。従って、ユーザ端末204は、暗号対象ファイル521の持ち出しを抑制することができる。
Further, for example, at the time of encryption, it is assumed that a person who belongs to a group having an access right to the
また、例えば、暗号化時点では、暗号対象ファイル521にアクセス権限を有するグループに属していない者が、暗号化後にグループに加入したとする。この場合、この加入者が操作するユーザ端末204は、自己復号ファイル522に含まれるユーザリスト602に、加入者のIDが含まれていないため、暗号化ファイル603を復号しない。従って、ユーザ端末204は、例えば、過去のプロジェクト等、加入者とは関係のないファイルの漏洩を抑えることができる。
Further, for example, at the time of encryption, it is assumed that a person who does not belong to a group having access authority to the
また、ユーザ端末204は、実行形式のファイルである自己復号ファイル522を実行することにより、暗号化ファイル603を復号してもよい。これにより、ユーザ端末204に予め復号プログラム512をインストールしなくてよく、復号プログラム512が解析されるリスクを低減することができる。
Further, the
また、ユーザ端末204は、自己復号ファイル522に含まれる共通鍵601を用いて、暗号化ファイル603を復号してもよい。このように、自己復号ファイル522に含まれる共通鍵601を用いて暗号化ファイル603を復号することにより、ユーザ端末204に、所定の共通鍵を用意しておくよりも、共通鍵601が漏洩されるリスクを低減することができる。
Further, the
また、ユーザ端末204は、認証サーバ202が認証方式としてパスワードを要求した場合、認証要求の際に、操作者のアカウントIDおよびパスワードを含めてもよい。このように、ユーザ端末204は、認証サーバ202が要求する認証方式に応じて復号処理を行うことができる。
Further, when the
また、ファイルサーバ201は、アクセス情報511および暗号化ファイル603を含む自己復号ファイル522を生成してもよい。これにより、ファイルサーバ201は、ファイルシステム200の正当な利用者である者だけが復号することができるファイルを生成することができる。
The
また、ファイルサーバ201は、さらに、ユーザリスト602を、自己復号ファイル522に含めてもよい。これにより、ファイルサーバ201は、ファイルシステム200の正当な利用者であり、かつ、暗号対象ファイル521にアクセス権限がある者だけが暗号化ファイル603を復号することができるファイルを生成することができる。
In addition, the
また、ファイルサーバ201は、さらに、復号プログラム512を、自己復号ファイル522に含めてもよい。これにより、ファイルサーバ201は、暗号化ファイル603を復号するコンピュータに復号プログラム512をインストールさせておかなくてよくなり、復号プログラム512が解析される恐れを低減することができる。また、暗号化ファイル603を復号するコンピュータの操作者の負担を低減することができる。
Further, the
また、ファイルサーバ201は、さらに、生成した共通鍵601を、自己復号ファイル522に含めてもよい。これにより、ファイルサーバ201は、暗号化ファイル603を復号するコンピュータに予め共通鍵を記憶させておくことに比べて、共通鍵が漏洩されるリスクを低減することができる。
Further, the
なお、本実施の形態で説明した復号方法、暗号化方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。本復号プログラム、暗号化プログラムは、ハードディスク、フレキシブルディスク、CD−ROM(Compact Disc−Read Only Memory)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また本復号プログラム、暗号化プログラムは、インターネット等のネットワークを介して配布してもよい。 The decryption method and the encryption method described in the present embodiment can be realized by executing a prepared program on a computer such as a personal computer or a workstation. The decryption program and the encryption program are recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD-ROM (Compact Disc-Read Only Memory), and a DVD (Digital Versatile Disk), and are recorded from the recording medium by the computer. It is executed by being read. The decryption program and the encryption program may be distributed via a network such as the Internet.
上述した実施の形態に関し、さらに以下の付記を開示する。 Regarding the above-described embodiment, the following supplementary notes are further disclosed.
(付記1)コンピュータに、
利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報と暗号化された暗号化データとを含むファイルを復号する操作を受け付けた場合、前記アクセス情報に基づいて、前記認証装置にアクセスし、
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、
前記認証要求に対する応答によって前記操作者が前記システムを正当に利用可能であることが示される場合、前記暗号化データを復号する、
処理を実行させることを特徴とする復号プログラム。
(Appendix 1) For the computer,
When the user accepts the operation of decrypting the file including the access information to the authentication device that authenticates that the system can be legally used and the encrypted data that has been encrypted, based on the access information, Access the authenticator,
When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
Decrypt the encrypted data if the response to the authentication request indicates that the operator can legitimately use the system,
A decryption program that executes processing.
(付記2)前記ファイルには、前記暗号化データを復号可能なユーザの識別情報が含まれ、
前記復号する処理は、
前記認証要求に対する応答によって前記操作者が前記システムを正当に利用可能であることが示され、かつ、前記操作者のアカウントの識別情報と前記ユーザの識別情報とが一致する場合、前記暗号化データを復号する、
ことを特徴とする付記1に記載の復号プログラム。
(Supplementary Note 2) The file includes identification information of a user who can decrypt the encrypted data,
The decoding process is
If the response to the authentication request indicates that the operator can legally use the system, and the identification information of the account of the operator and the identification information of the user match, the encrypted data To decrypt the
The decryption program according to appendix 1, characterized in that.
(付記3)前記ファイルは、前記コンピュータが実行可能な実行形式のファイルであって、
前記コンピュータに、
前記ファイルを実行する操作を受け付けた場合、前記ファイルを実行することにより、前記アクセスする処理と前記送信する処理と前記復号する処理とを実行させることを特徴とする付記1または2に記載の復号プログラム。
(Supplementary Note 3) The file is an executable file executable by the computer,
On the computer,
Decoding according to appendix 1 or 2, characterized in that, when an operation for executing the file is accepted, the file is executed to execute the access processing, the transmission processing, and the decoding processing. program.
(付記4)前記ファイルには、前記暗号化データを暗号化した際に用いられた共通鍵が含まれ、
前記復号する処理は、
前記認証要求に対する応答によって前記操作者が前記システムを正当に利用可能であることが示される場合、前記暗号化データを、前記共通鍵を用いて復号する、
ことを特徴とする付記1〜3のいずれか一つに記載の復号プログラム。
(Supplementary Note 4) The file includes a common key used when the encrypted data is encrypted,
The decoding process is
When the response to the authentication request indicates that the operator can legally use the system, the encrypted data is decrypted using the common key.
The decryption program according to any one of appendices 1 to 3, characterized in that.
(付記5)前記認証要求は、前記システムにおける前記操作の操作者のアカウントの識別情報およびパスワードを有することを特徴とする付記1〜4のいずれか一つに記載の復号プログラム。 (Supplementary note 5) The decryption program according to any one of Supplementary notes 1 to 4, wherein the authentication request includes identification information and a password of an account of an operator of the operation in the system.
(付記6)利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報を記憶する記憶部にアクセス可能なコンピュータに、
データを暗号化する操作を受け付けた場合、前記データを暗号化し、
前記データを暗号化した暗号化データと、前記アクセス情報とを含むファイルを生成する、
処理を実行させることを特徴とする暗号化プログラム。
(Supplementary Note 6) A computer that can access a storage unit that stores access information to an authentication device that authenticates that a user can legally use the system,
When the operation to encrypt the data is accepted, the data is encrypted,
A file including encrypted data obtained by encrypting the data and the access information is generated,
An encryption program characterized by executing processing.
(付記7)前記データは、前記データのアクセス権限を有するユーザをグループ化したグループに対応付けられており、
前記記憶部は、複数のグループの各々のグループに属するユーザの識別情報を記憶しており、
前記コンピュータに、
前記操作を受け付けた場合、前記記憶部から、前記データに対応付けられたグループに属するユーザの識別情報を取得する、処理を実行させ、
前記生成する処理は、
前記暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報とを含むファイルを生成する、
ことを特徴とする付記6に記載の暗号化プログラム。
(Supplementary Note 7) The data is associated with a group obtained by grouping users who have access authority to the data,
The storage unit stores identification information of users who belong to each of a plurality of groups,
On the computer,
When the operation is accepted, the identification information of the user belonging to the group associated with the data is acquired from the storage unit, and the process is executed,
The process to generate is
Generating a file including the encrypted data, the access information, and the acquired identification information of the user,
The encryption program according to appendix 6, characterized in that.
(付記8)前記記憶部は、暗号化されたデータを復号する復号プログラムを記憶しており、
前記生成する処理は、
前記暗号化データと、前記アクセス情報と、前記復号プログラムとを含む実行形式のファイルを生成する、
ことを特徴とする付記6または7に記載の暗号化プログラム。
(Supplementary Note 8) The storage unit stores a decryption program for decrypting encrypted data,
The process to generate is
An executable file including the encrypted data, the access information, and the decryption program is generated,
The encryption program according to appendix 6 or 7, characterized in that.
(付記9)前記コンピュータに、
前記操作を受け付けた場合、共通鍵を生成する、処理を実行させ、
前記暗号化する処理は、
生成した前記共通鍵を用いて前記データを暗号化し、
前記ファイルを生成する処理は、
前記データを暗号化した暗号化データと、前記アクセス情報と、前記共通鍵とを含むファイルを生成する、
ことを特徴とする付記6〜8のいずれか一つに記載の暗号化プログラム。
(Supplementary note 9) In the computer,
When the operation is accepted, a common key is generated, processing is executed,
The encryption process is
Encrypting the data using the generated common key,
The process of generating the file is
A file including encrypted data obtained by encrypting the data, the access information, and the common key is generated,
The encryption program according to any one of appendices 6 to 8, characterized in that.
(付記10)利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報と暗号化された暗号化データとを含むファイルを復号する操作を受け付けた場合、前記アクセス情報に基づいて、前記認証装置にアクセスし、
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、
前記認証要求に対する応答によって前記操作者が前記システムを正当に利用可能であることが示される場合、前記暗号化データを復号する、
制御部を有することを特徴とする復号装置。
(Supplementary Note 10) When the user accepts the operation of decrypting the file including the access information to the authentication device that authenticates that the system can be legally used and the encrypted data that has been encrypted, Based on the access to the authentication device,
When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
Decrypt the encrypted data if the response to the authentication request indicates that the operator can legitimately use the system,
A decoding device having a control unit.
(付記11)利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報を記憶する記憶部と、
データを暗号化する操作を受け付けた場合、前記データを暗号化し、前記データを暗号化した暗号化データと、前記アクセス情報とを含むファイルを生成する制御部と、
を有することを特徴とする暗号化装置。
(Supplementary Note 11) A storage unit that stores access information to an authentication device that authenticates that a user can legally use the system,
A control unit that, when an operation of encrypting data is accepted, encrypts the data, and generates a file including the encrypted data obtained by encrypting the data and the access information,
An encryption device comprising:
(付記12)コンピュータが、
利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報と暗号化された暗号化データとを含むファイルを復号する操作を受け付けた場合、前記アクセス情報に基づいて、前記認証装置にアクセスし、
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、
前記認証要求に対する応答によって前記操作者が前記システムを正当に利用可能であることが示される場合、前記暗号化データを復号する、
処理を実行することを特徴とする復号方法。
(Appendix 12) The computer
When the user accepts the operation of decrypting the file including the access information to the authentication device that authenticates that the system can be legally used and the encrypted data that has been encrypted, based on the access information, Access the authenticator,
When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
Decrypt the encrypted data if the response to the authentication request indicates that the operator can legitimately use the system,
A decoding method characterized by executing processing.
(付記13)利用者がシステムを正当に利用可能であることを認証する認証装置へのアクセス情報を記憶する記憶部にアクセス可能なコンピュータが、
データを暗号化する操作を受け付けた場合、前記データを暗号化し、
前記データを暗号化した暗号化データと、前記アクセス情報とを含むファイルを生成する、
処理を実行することを特徴とする暗号化方法。
(Supplementary Note 13) A computer capable of accessing a storage unit that stores access information to an authentication device that authenticates that a user can legally use the system,
When the operation to encrypt the data is accepted, the data is encrypted,
A file including encrypted data obtained by encrypting the data and the access information is generated,
An encryption method characterized by performing processing.
100 システム
101 暗号化装置
102 復号装置
103 認証装置
111 アクセス情報
112 暗号対象ファイル
113 暗号化データ
114 暗号化ファイル
121 識別情報
200 ファイルシステム
201 ファイルサーバ
202 認証サーバ
204 ユーザ端末
500 制御部
501 鍵生成部
502 暗号化部
503 取得部
504 ファイル生成部
510 記憶部
511 アクセス情報
512 復号プログラム
521 暗号対象ファイル
522 自己復号ファイル
700 制御部
701 アクセス部
702 送信部
703 復号部
710 記憶部
100
Claims (10)
利用者が現時点においてシステムを正当に利用可能と設定されていることを認証する認証装置へのアクセス情報と暗号化された暗号化データと前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザの識別情報とを含むファイルを復号する操作を受け付けた場合、前記アクセス情報に基づいて、前記認証装置にアクセスし、
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、
前記認証要求に対する応答によって前記操作者が現時点において前記システムを正当に利用可能と設定されている利用者であることが示され、かつ、前記操作者のアカウントの識別情報と前記ユーザの識別情報とが一致し、前記操作者が前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザであることが示される場合、前記暗号化データを復号する、
処理を実行させることを特徴とする復号プログラム。 On the computer,
Setting allows decrypting the encrypted data at the time of the user the encrypted access information and encrypted data to the authentication device for authenticating that it is set as legally available system at the present time When the operation of decrypting the file including the identification information of the user who has been performed is accepted, based on the access information, the authentication device is accessed,
When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
The response to the authentication request indicates that the operator is a user who is legally set to use the system at the present time , and the identification information of the operator account and the identification information of the user. There match, if the operator is Ru shown is a user that has been set and can decrypt the encrypted data at the time of the encryption, to decrypt the encrypted data,
A decryption program that executes processing.
前記コンピュータに、On the computer,
前記ファイルを実行する操作を受け付けた場合、前記ファイルを実行することにより、前記アクセスする処理と前記送信する処理と前記復号する処理とを実行させることを特徴とする請求項1に記載の復号プログラム。The decryption program according to claim 1, wherein when an operation of executing the file is accepted, the access process, the transmission process, and the decryption process are executed by executing the file. ..
前記復号する処理は、The decoding process is
前記認証要求に対する応答によって前記操作者が現時点において前記システムを正当に利用可能と設定されている利用者であることが示され、かつ、前記操作者のアカウントの識別情報と前記ユーザの識別情報とが一致し、前記操作者が前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザであることが示される場合、前記暗号化データを、前記共通鍵を用いて復号する、The response to the authentication request indicates that the operator is a user who is legally set to use the system at the present time, and the identification information of the operator account and the identification information of the user. And the operator is a user who has been set to be able to decrypt the encrypted data at the time of the encryption, the encrypted data is decrypted using the common key,
ことを特徴とする請求項1または2に記載の復号プログラム。The decryption program according to claim 1 or 2, characterized in that.
前記複数のグループのいずれかのグループに対応付けられたデータを暗号化する操作を受け付けた場合、前記データを暗号化し、When an operation of encrypting data associated with any one of the plurality of groups is accepted, the data is encrypted,
前記記憶部から、前記データに対応付けられた前記いずれかのグループに属し、前記暗号化の時点において前記データのアクセス権限を有するユーザの識別情報を取得し、From the storage unit, obtain identification information of a user who belongs to any one of the groups associated with the data and has access authority to the data at the time of the encryption,
前記データを暗号化した暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報とを含むファイルを生成する、A file including encrypted data obtained by encrypting the data, the access information, and the acquired identification information of the user is generated,
処理を実行させることを特徴とする暗号化プログラム。An encryption program characterized by executing processing.
前記生成する処理は、The process to generate is
前記暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報と、前記復号プログラムとを含む実行形式のファイルを生成する、Generating an executable file including the encrypted data, the access information, the acquired user identification information, and the decryption program,
ことを特徴とする請求項4に記載の暗号化プログラム。The encryption program according to claim 4, wherein.
前記操作を受け付けた場合、共通鍵を生成する、処理を実行させ、When the operation is accepted, a common key is generated, processing is executed,
前記暗号化する処理は、The encryption process is
生成した前記共通鍵を用いて前記データを暗号化し、Encrypting the data using the generated common key,
前記ファイルを生成する処理は、The process of generating the file is
前記データを暗号化した暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報と、前記共通鍵とを含むファイルを生成する、A file including encrypted data obtained by encrypting the data, the access information, the acquired identification information of the user, and the common key is generated,
ことを特徴とする請求項4または5に記載の暗号化プログラム。The encryption program according to claim 4 or 5, characterized in that.
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
前記認証要求に対する応答によって前記操作者が現時点において前記システムを正当に利用可能と設定されている利用者であることが示され、かつ、前記操作者のアカウントの識別情報と前記ユーザの識別情報とが一致し、前記操作者が前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザであることが示される場合、前記暗号化データを復号する、The response to the authentication request indicates that the operator is a user who is legally set to use the system at the present time, and the identification information of the operator account and the identification information of the user. And the operator is a user who is set to be able to decrypt the encrypted data at the time of the encryption, the encrypted data is decrypted,
制御部を有することを特徴とする復号装置。A decoding device having a control unit.
前記複数のグループのいずれかのグループに対応付けられたデータを暗号化する操作を受け付けた場合、前記データを暗号化し、前記記憶部から、前記データに対応付けられた前記いずれかのグループに属し、前記暗号化の時点において前記データのアクセス権限を有するユーザの識別情報を取得し、前記データを暗号化した暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報とを含むファイルを生成する制御部と、When an operation of encrypting data associated with any one of the plurality of groups is accepted, the data is encrypted, and the storage unit belongs to any one of the groups associated with the data. A file including identification data of a user who has access authority to the data at the time of the encryption and encrypted data obtained by encrypting the data, the access information, and the identification information of the acquired user. A control unit to generate,
を有することを特徴とする暗号化装置。An encryption device comprising:
利用者が現時点においてシステムを正当に利用可能と設定されていることを認証する認証装置へのアクセス情報と暗号化された暗号化データと前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザの識別情報とを含むファイルを復号する操作を受け付けた場合、前記アクセス情報に基づいて、前記認証装置にアクセスし、Access information to the authentication device that authenticates that the user is legally available to use the system, encrypted encrypted data, and the encrypted data can be decrypted at the time of the encryption When the operation of decrypting the file including the identification information of the user who has been performed is accepted, based on the access information, the authentication device is accessed,
前記認証装置にアクセスしたことによる応答を受け付け、かつ、前記システムにおける前記操作の操作者のアカウントの識別情報を受け付けた場合、前記認証装置の認証方式に応じた前記識別情報を含む認証要求を、前記認証装置に送信し、When a response is received by accessing the authentication device, and when the identification information of the account of the operator of the operation in the system is received, an authentication request including the identification information according to the authentication method of the authentication device, Sent to the authentication device,
前記認証要求に対する応答によって前記操作者が現時点において前記システムを正当に利用可能と設定されている利用者であることが示され、かつ、前記操作者のアカウントの識別情報と前記ユーザの識別情報とが一致し、前記操作者が前記暗号化の時点において前記暗号化データを復号可能と設定されていたユーザであることが示される場合、前記暗号化データを復号する、The response to the authentication request indicates that the operator is a user who is legally set to use the system at the present time, and the identification information of the operator account and the identification information of the user. And the operator is a user who is set to be able to decrypt the encrypted data at the time of the encryption, the encrypted data is decrypted,
処理を実行することを特徴とする復号方法。A decoding method characterized by executing processing.
前記複数のグループのいずれかのグループに対応付けられたデータを暗号化する操作を受け付けた場合、前記データを暗号化し、When an operation of encrypting data associated with any one of the plurality of groups is accepted, the data is encrypted,
前記記憶部から、前記データに対応付けられた前記いずれかのグループに属し、前記暗号化の時点において前記データのアクセス権限を有するユーザの識別情報を取得し、From the storage unit, obtain identification information of a user who belongs to any one of the groups associated with the data and has access authority to the data at the time of the encryption,
前記データを暗号化した暗号化データと、前記アクセス情報と、取得した前記ユーザの識別情報とを含むファイルを生成する、A file including encrypted data obtained by encrypting the data, the access information, and the acquired identification information of the user is generated,
処理を実行することを特徴とする暗号化方法。An encryption method characterized by performing processing.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016049446A JP6711042B2 (en) | 2016-03-14 | 2016-03-14 | Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016049446A JP6711042B2 (en) | 2016-03-14 | 2016-03-14 | Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017167614A JP2017167614A (en) | 2017-09-21 |
| JP6711042B2 true JP6711042B2 (en) | 2020-06-17 |
Family
ID=59913365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016049446A Expired - Fee Related JP6711042B2 (en) | 2016-03-14 | 2016-03-14 | Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6711042B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108270787B (en) * | 2018-01-16 | 2020-11-03 | 深圳市道通科技股份有限公司 | Data decryption method and device and electronic equipment |
| JP6937887B2 (en) * | 2018-02-21 | 2021-09-22 | 三菱電機株式会社 | In-vehicle function access control system, in-vehicle device and in-vehicle function access control method |
| JP7127585B2 (en) * | 2019-03-12 | 2022-08-30 | オムロン株式会社 | Safety system and maintenance method |
| CN114417378B (en) * | 2021-12-30 | 2025-01-28 | 华南理工大学 | Key exchange or public key encryption optimization method and system based on Mersenne number |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8627489B2 (en) * | 2003-10-31 | 2014-01-07 | Adobe Systems Incorporated | Distributed document version control |
| JP4303730B2 (en) * | 2006-01-06 | 2009-07-29 | 株式会社日立製作所 | Data linkage system and data linkage device |
| JP3955906B1 (en) * | 2006-09-27 | 2007-08-08 | クオリティ株式会社 | Software management system and software management program |
| JP5393556B2 (en) * | 2010-03-26 | 2014-01-22 | 株式会社日立ソリューションズ | Internal / external document protection system |
-
2016
- 2016-03-14 JP JP2016049446A patent/JP6711042B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017167614A (en) | 2017-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101878149B1 (en) | Device, system, and method of secure entry and handling of passwords | |
| WO2022041806A1 (en) | Authentication method, apparatus and device, and computer-readable storage medium | |
| CN100395679C (en) | Software authorization and protection device and method | |
| EP2251810B1 (en) | Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method | |
| US20150143107A1 (en) | Data security tools for shared data | |
| JP2016177551A (en) | Output device, program, output system, and output method | |
| JP7565868B2 (en) | DATA MANAGEMENT SYSTEM, DATA MANAGEMENT METHOD, AND DATA MANAGEMENT PROGRAM | |
| JP6123353B2 (en) | Document authority management system, terminal device, document authority management method, and program | |
| US20070074038A1 (en) | Method, apparatus and program storage device for providing a secure password manager | |
| CN104834840B (en) | Cipher code protection method based on mapping drift technology | |
| WO2019082442A1 (en) | Data registration method, data decoding method, data structure, computer, and program | |
| JP6711042B2 (en) | Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method | |
| JP2012074079A (en) | Information processor, information processing system and program | |
| US20080172750A1 (en) | Self validation of user authentication requests | |
| CN105577644A (en) | Encryption and authentication method and system | |
| JP6357091B2 (en) | Information processing apparatus and computer program | |
| JP5494171B2 (en) | File management system, storage server, client, file management method and program | |
| JP2005286402A (en) | Server and program for encryption key management terminal and program for acquiring encryption key system and method for encryption key management | |
| JP2009181598A (en) | Information processing device for digital rights management | |
| JP4791193B2 (en) | Information processing apparatus, portable terminal apparatus, and information processing execution control method | |
| JP2006190050A (en) | Multitask execution system and multitask execution method | |
| JP7790745B2 (en) | Data management device, data management system, data management method and program | |
| US20250036785A1 (en) | Data processing apparatus, data processing method, and computer readable recording medium | |
| JP2004280236A (en) | Authority management device, authority setting device, data file, authority management method, and program therefor | |
| JP2011175562A (en) | System and method for managing restriction of terminal use, and recording medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181210 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191016 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191112 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200109 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200428 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200511 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6711042 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |