[go: up one dir, main page]

JP5339970B2 - Information processing system, information processing method, and information processing program - Google Patents

Information processing system, information processing method, and information processing program Download PDF

Info

Publication number
JP5339970B2
JP5339970B2 JP2009055881A JP2009055881A JP5339970B2 JP 5339970 B2 JP5339970 B2 JP 5339970B2 JP 2009055881 A JP2009055881 A JP 2009055881A JP 2009055881 A JP2009055881 A JP 2009055881A JP 5339970 B2 JP5339970 B2 JP 5339970B2
Authority
JP
Japan
Prior art keywords
key information
terminal
information
key
notification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009055881A
Other languages
Japanese (ja)
Other versions
JP2010212922A (en
Inventor
収 河野
資治 布田
陽一 長嶺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu FIP Corp
Original Assignee
Fujitsu FIP Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu FIP Corp filed Critical Fujitsu FIP Corp
Priority to JP2009055881A priority Critical patent/JP5339970B2/en
Publication of JP2010212922A publication Critical patent/JP2010212922A/en
Application granted granted Critical
Publication of JP5339970B2 publication Critical patent/JP5339970B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワーク接続する端末が保有するデータのセキュリティを高める技術に関する。   The present invention relates to a technique for enhancing the security of data held by a terminal connected to a network.

従来、インターネットにアクセスする装置において取り扱うデータのセキュリティ管理は重要なテーマであり、これに関しては種々の技術的提案がされている(特許文献1等)。   Conventionally, security management of data handled in an apparatus accessing the Internet has been an important theme, and various technical proposals have been made in this regard (Patent Document 1 and the like).

一方、ユーザが使用するPC端末においては、情報漏洩等のセキュリティ強化のため一定のキーによる暗号化が用いられることがあり、大別すると、次の2通りの暗号化の措置が取られている。まず1つ目は個別のデータファイル毎に暗号化キーを設定することであり、2つ目は暗号化システムにより全てのデータを一律に暗号化処理して管理することである。   On the other hand, in a PC terminal used by a user, encryption with a certain key may be used for security enhancement such as information leakage. Broadly speaking, the following two types of encryption measures are taken. . The first is to set an encryption key for each individual data file, and the second is to uniformly encrypt and manage all data by the encryption system.

特表2004−503969号公報Special table 2004-503969 gazette

しかし、上記技術においては、個別に暗号化を設定する場合、設定したパスワードを忘れてしまうことが多く、また、システム全体を任意のキーで一律に暗号化した場合、一旦暗号キーが漏洩すると全データを再暗号化する等の対応が必要になるという問題点がある。   However, in the above technology, when individually setting encryption, the set password is often forgotten, and when the entire system is uniformly encrypted with an arbitrary key, once the encryption key leaks, There is a problem that it is necessary to take measures such as re-encrypting the data.

また、通常、データの利用はネットワークに接続されたPC端末を使用して行うが、暗号化されていない秘密情報を電子メールに添付して送付したり、許可されたネットワーク拠点以外に秘密情報を持ち出されることによって、情報漏洩が発生するといった問題もある。   In addition, data is usually used using a PC terminal connected to the network, but unencrypted confidential information is attached to an e-mail and sent, or confidential information is not sent to authorized network locations. There is also a problem that information leakage occurs when it is taken out.

さらには、PC端末固有の識別情報、例えばIPアドレス等、を用いて秘密情報を暗号化することも考えられるが、意図しない第三者の成りすましによる秘密情報の漏洩を防止することが出来ないという問題点もある。   Furthermore, it may be possible to encrypt confidential information using identification information unique to the PC terminal, such as an IP address, but it is impossible to prevent leakage of confidential information due to unintended third party impersonation. There are also problems.

そこで、本発明では、上記問題点に鑑み、予め定める所定のネットワーク内でのみ秘密データの使用を可能とし、当該ネットワーク外へ秘密データの漏洩を防止する情報処理システム、情報処理方法および情報処理プログラムを提供することを目的とする。   Accordingly, in the present invention, in view of the above problems, an information processing system, an information processing method, and an information processing program that enable use of secret data only within a predetermined network and prevent leakage of secret data outside the network. The purpose is to provide.

開示の情報処理システムでは、上記のような情報漏洩問題を解決する仕組みとして、ネットワーク上でユニークとなるキーを元に管理された暗号化キーでファイルの暗号化及び復号化を行うことで、ネットワーク外への情報漏洩を防止する仕組みを採用する。当該仕組みを採用することによって、ネットワークユニークキーに対応した暗号化キーで暗号化されるため、ネットワーク外に持ち出された秘密データが不正に使用されることを防止することができる。また、ユーザ端末のネットワーク接続により自動的に暗号化及び復号化が行われるため、ユーザが暗号化キーを意識する必要が無く、暗号化キーの忘却の問題、暗号化キーの漏洩の問題を防止することができる。   In the disclosed information processing system, as a mechanism for solving the information leakage problem as described above, a file is encrypted and decrypted with an encryption key managed based on a unique key on the network. Adopt a mechanism to prevent information leakage to the outside. By adopting this mechanism, encryption is performed with an encryption key corresponding to the network unique key, so that it is possible to prevent unauthorized use of secret data taken out of the network. In addition, since encryption and decryption are performed automatically when the user terminal is connected to the network, there is no need for the user to be aware of the encryption key, preventing the problem of forgetting the encryption key and the problem of leakage of the encryption key. can do.

開示の情報処理システムでは、予め定める所定のネットワーク内でのみ秘密データの使用を可能とし、当該ネットワーク外へ秘密データの漏洩を防止することができる。   In the disclosed information processing system, the secret data can be used only within a predetermined network, and leakage of the secret data to the outside of the network can be prevented.

本実施の形態に係る端末のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the terminal which concerns on this Embodiment. 本実施の形態に係る認証サーバのハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the authentication server which concerns on this Embodiment. 本実施の形態に係る鍵情報格納サーバのハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the key information storage server which concerns on this Embodiment. 本実施の形態に係る情報処理システムの動作原理を説明する図である。It is a figure explaining the principle of operation of the information processing system concerning this embodiment. 本実施の形態に係る鍵情報DBの一例を示す図である。It is a figure which shows an example of key information DB which concerns on this Embodiment. 本実施の形態に係る情報処理システムによる処理例のフローチャートである。It is a flowchart of the example of a process by the information processing system which concerns on this Embodiment.

図面を参照しながら、本発明を実施するための最良の形態について説明する。
(本実施の形態に係る情報処理システムのハードウェア構成例)
図1−3を用いて、本実施の形態に係る情報処理システム100を構成する端末200、認証サーバ400、鍵情報格納サーバ600のハードウェア構成例を説明する。 The best mode for carrying out the present invention will be described with reference to the drawings.
(Hardware configuration example of information processing system according to the present embodiment)
A hardware configuration example of the terminal 200, the authentication server 400, and the key information storage server 600 included in the information processing system 100 according to the present embodiment will be described with reference to FIG.

端末200は、CPU(Central Processing Unit)310、ROM(Read-Only Memory)320、RAM(Random Access Memory)330、HDD(Hard Disc Drive)340、通信I/F(InterFace)350、表示装置360を有する。   The terminal 200 includes a CPU (Central Processing Unit) 310, a ROM (Read-Only Memory) 320, a RAM (Random Access Memory) 330, an HDD (Hard Disc Drive) 340, a communication I / F (InterFace) 350, and a display device 360. Have.

CPU310は、ROM320に記憶されたプログラムを実行する装置であり、RAM330に展開(ロード)されたデータを、プログラムの命令に従って演算処理し、端末200全体を制御する。ROM320は、CPU310が実行するプログラムやデータを記憶している。RAM330は、CPU310でROM320に記憶されたプログラムを実行する際に、実行するプログラムやデータが展開(ロード)され、演算の間、演算データを一時的に保持する。HDD340は、基本ソフトウェアであるOS(Operating System)、本実施の形態に係るアプリケーションプログラムなどを、関連するデータとともに記憶する装置である。   The CPU 310 is a device that executes a program stored in the ROM 320. The CPU 310 performs arithmetic processing on data expanded (loaded) in the RAM 330 in accordance with a program instruction, and controls the entire terminal 200. The ROM 320 stores programs and data executed by the CPU 310. When the program stored in the ROM 320 is executed by the CPU 310, the RAM 330 is loaded (loaded) with the program and data to be executed, and temporarily holds the operation data during the operation. The HDD 340 is a device that stores an OS (Operating System) that is basic software, an application program according to the present embodiment, and the like together with related data.

通信I/F350は、通信ネットワークを介して接続された他の通信制御機能を備えた周辺機器(認証サーバ400等)と情報(データ)を送受信するためのインタフェースである。端末200は、通信I/F350を介してLAN(Local Area Network)に接続され、TCP/IP(Transmission Control Protocol / Internet Protocol)などの通信プロトコルに従って、LANに接続された認証サーバ400又は鍵情報格納サーバ600とデータの送受信を行う。   The communication I / F 350 is an interface for transmitting / receiving information (data) to / from peripheral devices (such as the authentication server 400) having other communication control functions connected via a communication network. The terminal 200 is connected to a LAN (Local Area Network) via a communication I / F 350 and stores an authentication server 400 or key information connected to the LAN according to a communication protocol such as TCP / IP (Transmission Control Protocol / Internet Protocol). Data is transmitted to and received from the server 600.

表示装置360は、ハードキーによるキースイッチやLCD(Liquid Crystal Display)等で構成され、端末200が有する機能をユーザが利用する際や各種設定を行う際のユーザインタフェースとして機能する装置である。   The display device 360 includes a key switch using a hard key, an LCD (Liquid Crystal Display), and the like, and functions as a user interface when the user uses the functions of the terminal 200 or when performing various settings.

認証サーバ400は、CPU510、ROM520、RAM530、HDD540、通信I/F550、表示装置560を有する。各装置の機能については、端末200と同様である。   The authentication server 400 includes a CPU 510, a ROM 520, a RAM 530, an HDD 540, a communication I / F 550, and a display device 560. The function of each device is the same as that of the terminal 200.

鍵情報格納サーバ600は、CPU710、ROM720、RAM730、HDD740、通信I/F750、表示装置760を有する。各装置の機能については、端末200と同様である。   The key information storage server 600 includes a CPU 710, a ROM 720, a RAM 730, an HDD 740, a communication I / F 750, and a display device 760. The function of each device is the same as that of the terminal 200.

端末200、認証サーバ400、及び鍵情報格納サーバ600が有する各手段による処理は、CPU310、510、710が、ROM320、520、720又はHDD340、540、740に記憶された各手段による処理に対応するプログラムを実行することにより実現される形態としても良いし、当該手段の処理をハードウェアで実現する形態としても良い。   The processing by each unit included in the terminal 200, the authentication server 400, and the key information storage server 600 corresponds to the processing by each unit stored in the ROM 320, 520, 720 or the HDD 340, 540, 740 by the CPU 310, 510, 710. It is good also as a form implement | achieved by running a program, and good also as a form which implement | achieves the process of the said means by hardware.

(本実施の形態に係る情報処理システムの動作原理)
図4を用いて、本実施の形態に係る情報処理システム100の動作原理について説明する。図4で示すように情報処理システム100は、端末200、認証サーバ400、鍵情報格納サーバ600を有する。ここで、端末200は、インターネットやLANのようなネットワークに接続した状態で使用する端末装置であり、例えば、ユーザによって直接操作されるPC端末である。また、認証サーバ400は、ユーザが端末200をネットワークに接続させて使用する場合、端末200をネットワークに接続させて良いか否かを判定(認証)する装置である。認証サーバ400による認証は、どのような方法を用いても良く、例えば、SIP(Session Initiation Protocol)に従い行われる形態としても良い。 (Operation principle of information processing system according to this embodiment)
The operation principle of the information processing system 100 according to the present embodiment will be described with reference to FIG. As illustrated in FIG. 4, the information processing system 100 includes a terminal 200, an authentication server 400, and a key information storage server 600. Here, the terminal 200 is a terminal device that is used while connected to a network such as the Internet or a LAN, for example, a PC terminal that is directly operated by a user. The authentication server 400 is a device that determines (authenticates) whether or not the terminal 200 can be connected to the network when the user uses the terminal 200 connected to the network. Any method may be used for authentication by the authentication server 400. For example, the authentication server 400 may be configured in accordance with SIP (Session Initiation Protocol).

端末200は、鍵情報取得要求手段210、復号化手段220、暗号化手段230、暗号化対象データ240を有する。暗号化対象データ240は、例えば、HDD340に保存されるデータであり、データのセキュリティを高めるため暗号化が施される。また、暗号化対象データ240は、端末200外のファイルサーバに保存され、端末200上における情報処理の対象とする形態であっても良い。   The terminal 200 includes a key information acquisition request unit 210, a decryption unit 220, an encryption unit 230, and encryption target data 240. The encryption target data 240 is, for example, data stored in the HDD 340, and is encrypted to increase data security. Further, the encryption target data 240 may be stored in a file server outside the terminal 200 and may be a target of information processing on the terminal 200.

鍵情報取得要求手段210は、認証サーバ400に対し、鍵情報格納サーバ600から、暗号化対象データ240を復号化するための鍵情報を取得するよう要求する。ここで、鍵情報取得要求手段210による要求には、端末200・認証サーバ400間でデータ通信を行う際使用する通信経路を識別する通信経路識別情報を含むものとする。また、鍵情報取得要求手段210は、SIPに従い行われるネットワーク接続要求として行われる形態であっても良い。   The key information acquisition request unit 210 requests the authentication server 400 to acquire key information for decrypting the encryption target data 240 from the key information storage server 600. Here, the request by the key information acquisition request unit 210 includes communication path identification information for identifying a communication path used when data communication is performed between the terminal 200 and the authentication server 400. The key information acquisition request unit 210 may be configured as a network connection request made in accordance with SIP.

ここで通信経路識別情報とは、端末200・認証サーバ400間を接続する回線の回線番号であっても良く、鍵情報取得要求手段210による要求を発信する際に使用する電話回線の電話番号であっても良い。さらに通信経路識別情報は、これら回線番号又は電話番号と端末200の識別情報とを組み合わせた情報であっても良い。こうすることにより、暗号化によるセキュリティの度合いを高めることができる。一方、端末200・認証サーバ400間は、無線回線によって接続される形態でも良く、有線回線によって接続される形態でも良い。   Here, the communication path identification information may be a line number of a line connecting the terminal 200 and the authentication server 400, and is a telephone number of a telephone line used when a request by the key information acquisition request unit 210 is transmitted. There may be. Further, the communication path identification information may be information that combines these line number or telephone number and the identification information of the terminal 200. By doing so, the degree of security by encryption can be increased. On the other hand, the terminal 200 and the authentication server 400 may be connected via a wireless line or may be connected via a wired line.

復号化手段220は、鍵情報通知手段610により通知された鍵情報を用いて、暗号化された暗号化対象データ240を復号化する。暗号化手段230は、鍵情報通知手段610により通知された鍵情報を用いて、復号化された暗号化対象データ240を再暗号化する。復号化手段220及び暗号化手段230は、暗号化対象データ240の復号化又は暗号化を終えたタイミングで、鍵情報通知手段610により通知された鍵情報を消去する形態であっても良い。   The decryption unit 220 decrypts the encrypted data 240 to be encrypted using the key information notified by the key information notification unit 610. The encryption unit 230 re-encrypts the decrypted data to be encrypted 240 using the key information notified by the key information notification unit 610. The decryption unit 220 and the encryption unit 230 may be configured to delete the key information notified by the key information notification unit 610 at the timing when the decryption or encryption of the encryption target data 240 is completed.

認証サーバ400は、識別情報取得手段410、鍵情報通知要求手段420を有する。識別情報取得手段410は、鍵情報取得要求手段210による要求から、通信経路識別情報と端末情報とを抽出する。例えば、端末200からSIPによるネットワーク接続要求があった場合、当該接続要求から回線番号等を抽出する。   The authentication server 400 includes an identification information acquisition unit 410 and a key information notification request unit 420. The identification information acquisition unit 410 extracts communication path identification information and terminal information from the request by the key information acquisition request unit 210. For example, when there is a SIP network connection request from the terminal 200, a line number or the like is extracted from the connection request.

鍵情報通知要求手段420は、鍵情報格納サーバ600に対し、識別情報取得手段410により取得した通信経路識別情報を通知すると共に、当該通信経路識別情報に対応する鍵情報を通知するよう要求する。   The key information notification request unit 420 notifies the key information storage server 600 of the communication path identification information acquired by the identification information acquisition unit 410 and also requests the key information corresponding to the communication path identification information.

鍵情報格納サーバ600は、鍵情報通知手段610、鍵情報DB620を有する。図5を用いて、鍵情報DB620の一例を説明する。図5で示すように、鍵情報DB620においては、ネットワークユニークキーである通信経路識別情報(例えば、回線番号等)と鍵情報とが関連付けて保持されている。図5では、例えば、回線番号「1000015」に対応する鍵情報は「aaabbbccc」であり、回線番号「2000023」に対応する鍵情報は「ddeefff」である。また、回線番号「1000015」「1000011」のような複数の回線番号と、鍵情報「aaabbbccc」のような特定の鍵情報とを対応付けることで、同じセキュリティレベルとしたい各拠点をグループ化して管理することができる。   The key information storage server 600 includes a key information notification unit 610 and a key information DB 620. An example of the key information DB 620 will be described with reference to FIG. As shown in FIG. 5, in the key information DB 620, communication path identification information (for example, a line number) that is a network unique key and key information are held in association with each other. In FIG. 5, for example, the key information corresponding to the line number “1000015” is “aaabbbccc”, and the key information corresponding to the line number “2000023” is “ddeeffff”. Further, by associating a plurality of line numbers such as line numbers “1000015” and “1000011” with specific key information such as key information “aaabbbccc”, the bases desired to have the same security level are grouped and managed. be able to.

鍵情報通知手段610は、鍵情報通知要求手段420により通知された通信経路識別情報を鍵情報DB620内で検索し、当該通信経路識別情報と対応付けて保持されている鍵情報を抽出する。その後、鍵情報通知手段610は、端末200に、抽出した鍵情報を通知する。ここで、鍵情報通知手段610は、認証サーバ400を介して、当該鍵情報を端末200に通知する形態としても良く、認証サーバ400を介さず、当該鍵情報を直接端末200に通知する形態としても良い。   The key information notification unit 610 searches the key information DB 620 for the communication path identification information notified by the key information notification request unit 420, and extracts the key information held in association with the communication path identification information. Thereafter, the key information notifying unit 610 notifies the terminal 200 of the extracted key information. Here, the key information notifying unit 610 may be configured to notify the terminal 200 of the key information via the authentication server 400, or may be configured to notify the terminal 200 of the key information directly without using the authentication server 400. Also good.

上記のような動作原理に基づき、情報処理システム100では、ネットワークユニークキーに対応した暗号化キーでデータが暗号化されるため、所定のネットワーク外に持ち出されたデータが不正に使用されることを防止することができる。また、情報処理システム100では、利用者端末の接続により自動的に暗号化及び復号化が行われるため、利用者が暗号化キーを意識する必要が無く、暗号化キーを忘却する問題、暗号化キーの漏洩に伴う問題を防止することができる。   Based on the operation principle as described above, the information processing system 100 encrypts data with an encryption key corresponding to a network unique key, so that data taken out of a predetermined network is illegally used. Can be prevented. Further, in the information processing system 100, since encryption and decryption are automatically performed by connection of a user terminal, there is no need for the user to be aware of the encryption key, the problem of forgetting the encryption key, encryption Problems associated with key leakage can be prevented.

(本実施の形態に係る情報処理システムによる処理例)
図6を用いて、情報処理システム100による処理例を説明する。S10で端末200が備える暗号化ツールが起動する。ここで、端末200は、図4で示すように、例えばHDD340内に暗号化済みの暗号化対象データ240を保持している。 (Processing example by information processing system according to the present embodiment)
A processing example by the information processing system 100 will be described with reference to FIG. In S10, the encryption tool included in the terminal 200 is activated. Here, as illustrated in FIG. 4, the terminal 200 holds encrypted data 240 that has been encrypted, for example, in the HDD 340.

S20で鍵情報取得要求手段210が、認証サーバ400に対し、鍵情報格納サーバ600から、暗号化対象データ240を復号化するための鍵情報を取得するよう要求する。ここで、鍵情報取得要求手段210は、SIPに従い行われるネットワーク接続要求として行われる形態であっても良く、規定はITU−T NGNリリース1に従うものとする。   In S20, the key information acquisition request unit 210 requests the authentication server 400 to acquire key information for decrypting the encryption target data 240 from the key information storage server 600. Here, the key information acquisition request unit 210 may be performed as a network connection request performed in accordance with SIP, and the specification conforms to ITU-T NGN Release 1.

S30で識別情報取得手段410が、鍵情報取得要求手段210による要求から、通信経路識別情報として回線番号「1000015」を取得するものとする。   In step S30, the identification information acquisition unit 410 acquires the line number “1000015” as the communication path identification information from the request by the key information acquisition request unit 210.

さらに、S30で鍵情報通知要求手段420が、鍵情報格納サーバ600に対し、識別情報取得手段410により取得した回線番号「1000015」と端末情報とを通知すると共に、当該回線番号に対応する鍵情報を通知するよう要求する。   In S30, the key information notification request unit 420 notifies the key information storage server 600 of the line number “1000015” acquired by the identification information acquisition unit 410 and the terminal information, and the key information corresponding to the line number. Request to be notified.

S40で鍵情報通知手段610が、鍵情報通知要求手段420により通知された回線番号「1000015」、端末情報及び鍵情報の通知要求を取得する。S50で鍵情報通知手段610が、図5で示す鍵情報DB620内において回線番号「1000015」を検索し、回線番号「1000015」と関連付けて保持されている鍵情報「aaabbbccc」を鍵情報DB620から抽出する。鍵情報DB620内に回線番号「1000015」が無い場合、S50で鍵情報通知手段610が、その旨を端末200に通知する。この場合は、暗号化対象データ240は復号化できないため、ユーザは当該データを操作することができない。   In S <b> 40, the key information notification unit 610 acquires the notification of the line number “1000015”, terminal information, and key information notified by the key information notification request unit 420. In step S50, the key information notifying unit 610 searches the key information DB 620 shown in FIG. 5 for the line number “1000015”, and extracts the key information “aaabbbccc” stored in association with the line number “1000015” from the key information DB 620. To do. If there is no line number “1000015” in the key information DB 620, the key information notification unit 610 notifies the terminal 200 of that fact in S50. In this case, since the encryption target data 240 cannot be decrypted, the user cannot operate the data.

S60で鍵情報通知手段610が、S50で抽出した鍵情報「aaabbbccc」を端末200に通知する。S70で復号化手段220が、鍵情報通知手段610により通知された鍵情報「aaabbbccc」を取得する。S80で復号化手段220が、取得した鍵情報「aaabbbccc」を用いて、暗号化された暗号化対象データ240を復号化する。この処理によって、暗号化対象データ240はユーザによる処理が可能な状態となった。また、S70で暗号化手段230が、鍵情報通知手段610により通知された鍵情報「aaabbbccc」を取得し、S80で暗号化手段230が、取得した鍵情報「aaabbbccc」を用いて、暗号化対象データ240を暗号化しても良い。この処理によって、暗号化対象データ240は正規の鍵情報による復号化を行わない限りユーザによる処理が不能な状態となる。   In step S60, the key information notifying unit 610 notifies the terminal 200 of the key information “aaabbbccc” extracted in step S50. In S <b> 70, the decryption unit 220 obtains the key information “aaabbbccc” notified by the key information notification unit 610. In S80, the decryption means 220 decrypts the encrypted data to be encrypted 240 using the acquired key information “aaabbbccc”. With this processing, the encryption target data 240 is ready for processing by the user. In S70, the encryption unit 230 obtains the key information “aaabbbccc” notified by the key information notification unit 610. In S80, the encryption unit 230 uses the obtained key information “aaabbbccc” to perform encryption. Data 240 may be encrypted. As a result of this processing, the encryption target data 240 is in a state where it cannot be processed by the user unless it is decrypted with the regular key information.

S90で復号化手段220又は暗号化手段230が、取得した鍵情報「aaabbbccc」を消去する。この処理によって、鍵情報の意図しない漏洩を防止する。そして、S100で端末200が備える暗号化ツールが終了する。   In S90, the decryption means 220 or the encryption means 230 deletes the acquired key information “aaabbbccc”. This process prevents unintentional leakage of key information. And the encryption tool with which the terminal 200 is provided is complete | finished by S100.

上記処理に基づき、情報処理システム100では、ネットワークユニークキーに対応した暗号化キーでデータが暗号化されるため、所定のネットワーク外に持ち出されたデータが不正に使用されることを防止することができる。また、情報処理システム100では、利用者端末の接続により自動的に暗号化及び復号化が行われるため、利用者が暗号化キーを意識する必要が無く、暗号化キーを忘却する問題、暗号化キーの漏洩に伴う問題を防止することができる。   Based on the above processing, in the information processing system 100, the data is encrypted with the encryption key corresponding to the network unique key, so that it is possible to prevent unauthorized use of the data taken out of the predetermined network. it can. Further, in the information processing system 100, since encryption and decryption are automatically performed by connection of a user terminal, there is no need for the user to be aware of the encryption key, the problem of forgetting the encryption key, encryption Problems associated with key leakage can be prevented.

以上、本発明の実施の形態について詳述したが、本発明は係る特定の実施の形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲において、種々の変形・変更が可能である。   Although the embodiment of the present invention has been described in detail above, the present invention is not limited to the specific embodiment, and various modifications are possible within the scope of the gist of the present invention described in the claims.・ Change is possible.

100 情報処理システム
200 端末
210 鍵情報取得要求手段
220 復号化手段
230 暗号化手段
240 暗号化対象データ
310、510、710 CPU
320、520、720 ROM
330、530、730 RAM
340、540、740 HDD
350、550、750 通信I/F
360、560、760 表示装置
400 認証サーバ
410 識別情報取得手段
420 鍵情報通知要求手段
600 鍵情報格納サーバ
610 鍵情報通知手段
620 鍵情報DB DESCRIPTION OF SYMBOLS 100 Information processing system 200 Terminal 210 Key information acquisition request means 220 Decryption means 230 Encryption means 240 Encryption object data 310, 510, 710 CPU
320, 520, 720 ROM
330, 530, 730 RAM
340, 540, 740 HDD
350, 550, 750 Communication I / F
360, 560, 760 Display device 400 Authentication server 410 Identification information acquisition means 420 Key information notification request means 600 Key information storage server 610 Key information notification means 620 Key information DB

Claims (7)

暗号化されたデータを有する端末と、該端末のネットワーク接続の可否を判定する認証サーバと、該端末と該認証サーバとを接続する回線経路を識別する回線番号と該データを復号化するための鍵情報とを関連付けて保持する鍵情報格納サーバと、を有する情報処理システムであって、
前記認証サーバは、
前記回線経路を介した前記端末による前記鍵情報の取得要求から、前記回線番号を取得する識別情報取得手段と、
前記識別情報取得手段により取得した前記回線番号を含む鍵情報の通知を要求する鍵情報通知要求手段と、を有し、
前記鍵情報格納サーバは、
複数の異なる前記回線番号と、一つの前記鍵情報とを関連付けて記憶した記憶手段と、
前記鍵情報通知要求手段により鍵情報の通知が要求されると、該鍵情報の通知に含まれる前記回線番号に関連付けられた前記鍵情報を、前記端末に通知する鍵情報通知手段を有し、
前記端末は、
前記鍵情報通知手段により通知された前記鍵情報を用いて、前記データを復号化する復号化手段を有することを特徴とする情報処理システム。 A terminal having encrypted data; an authentication server for determining whether or not the terminal can connect to the network; a line number for identifying a line path connecting the terminal and the authentication server; and decrypting the data An information processing system having a key information storage server that associates and holds key information,
The authentication server is
Identification information acquisition means for acquiring the line number from the key information acquisition request by the terminal via the line path;
Key information notification requesting means for requesting notification of key information including the line number acquired by the identification information acquiring means,
The key information storage server
Storage means for storing a plurality of different line numbers and one key information in association with each other,
When the notification of the key information is Ru required by the key information notification request means, the key information associated with the line number contained in the notification of said key information, a key information notifying unit that notifies the terminal,
The terminal
An information processing system comprising decryption means for decrypting the data using the key information notified by the key information notification means. 前記回線番号は、該回線番号と、前記端末による鍵情報の取得要求を発信する際に使用する電話回線の電話番号とを組み合わせた情報であることを特徴とする請求項1に記載の情報処理システム。 The line number information according to claim 1, wherein the said line number, that the information of a combination of a telephone number of the telephone line used when transmitting a request to acquire the key information by the terminal Processing system. 前記端末による鍵情報の取得要求は、前記認証サーバに対して行う前記ネットワーク接続の認証要求であることを特徴とする請求項1又は2に記載の情報処理システム。   The information processing system according to claim 1, wherein the key information acquisition request by the terminal is an authentication request for the network connection made to the authentication server. 前記ネットワーク接続の認証要求は、SIP(Session Initiation Protocol)に従い行われることを特徴とする請求項3に記載の情報処理システム。   The information processing system according to claim 3, wherein the network connection authentication request is made according to SIP (Session Initiation Protocol). 前記端末は、さらに、
前記鍵情報通知手段により通知された前記鍵情報を用いて、暗号化対象データを暗号化する暗号化手段を有することを特徴とする請求項1乃至4の何れか一に記載の情報処理システム。 The terminal further includes
5. The information processing system according to claim 1, further comprising an encryption unit configured to encrypt data to be encrypted using the key information notified by the key information notification unit. 暗号化されたデータを有する端末と、該端末のネットワーク接続の可否を判定する認証サーバと、該端末と該認証サーバとを接続する回線経路を識別する回線番号と該データを復号化するための鍵情報とを関連付けて保持する鍵情報格納サーバと、を有する情報処理システムにおける情報処理方法であって、
前記認証サーバは、
識別情報取得手段が、前記通信経路を介した前記端末による前記鍵情報の取得要求から、前記回線番号を取得するステップと、
鍵情報通知要求手段が、前記識別情報取得手段により取得した前記回線番号を含む前記鍵情報の通知を要求するステップと、を有し、
前記鍵情報格納サーバは、
複数の異なる前記回線番号と、一つの前記鍵情報とを関連付けて記憶するステップと、
鍵情報通知手段が、前記鍵情報通知要求手段により鍵情報の通知が要求さると、該鍵情報の通知に含まれる前記回線番号に関連付けられた前記鍵情報を、前記端末に通知するステップを有し、
前記端末は、
復号化手段が、前記鍵情報通知手段により通知された前記鍵情報を用いて、前記データを復号化するステップを有することを特徴とする情報処理方法。 A terminal having encrypted data; an authentication server for determining whether or not the terminal can connect to the network; a line number for identifying a line path connecting the terminal and the authentication server; and decrypting the data An information processing method in an information processing system having a key information storage server that associates and holds key information,
The authentication server is
An identification information obtaining unit obtaining the line number from an acquisition request for the key information by the terminal via the communication path;
A key information notification requesting unit requesting notification of the key information including the line number acquired by the identification information acquiring unit,
The key information storage server
Associating and storing a plurality of different line numbers and one key information;
The key information notifying unit, the notification of the key information is Ru requested by the key information notification request means, the key information associated with the line number contained in the notification of said key information, a step of notifying the terminal Have
The terminal
An information processing method comprising: a step of decrypting the data by using the key information notified by the key information notifying unit. コンピュータに、請求項6に記載の情報処理方法を実行させるための情報処理プログラム。   An information processing program for causing a computer to execute the information processing method according to claim 6.
JP2009055881A 2009-03-10 2009-03-10 Information processing system, information processing method, and information processing program Expired - Fee Related JP5339970B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009055881A JP5339970B2 (en) 2009-03-10 2009-03-10 Information processing system, information processing method, and information processing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009055881A JP5339970B2 (en) 2009-03-10 2009-03-10 Information processing system, information processing method, and information processing program

Publications (2)

Publication Number Publication Date
JP2010212922A JP2010212922A (en) 2010-09-24
JP5339970B2 true JP5339970B2 (en) 2013-11-13

Family

ID=42972667

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009055881A Expired - Fee Related JP5339970B2 (en) 2009-03-10 2009-03-10 Information processing system, information processing method, and information processing program

Country Status (1)

Country Link
JP (1) JP5339970B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015001817A (en) * 2013-06-14 2015-01-05 ソニー株式会社 Information processing device, information processing method, and program

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3263878B2 (en) * 1993-10-06 2002-03-11 日本電信電話株式会社 Cryptographic communication system
JPH1127253A (en) * 1997-07-07 1999-01-29 Hitachi Ltd Key recovery system, key recovery device, storage medium storing key recovery program, and key recovery method
JP3562647B2 (en) * 1999-02-25 2004-09-08 順子 杉中 Mobile communication body
JP2005277663A (en) * 2004-03-24 2005-10-06 Faith Inc Content distribution system, content recorder, content player, portable terminal and server
JP4119416B2 (en) * 2004-10-29 2008-07-16 エヌ・ティ・ティ・コミュニケーションズ株式会社 Document management system, document management server, document reproduction terminal, document management method, document reproduction method, document management program, and document reproduction program
JP2006331204A (en) * 2005-05-27 2006-12-07 Ntt Resonant Inc Authentication method and authentication system
JP4752062B2 (en) * 2006-04-07 2011-08-17 国立大学法人信州大学 Terminal connection device and server connection restriction device on public line for performing access restriction
JP4750765B2 (en) * 2007-08-02 2011-08-17 日本電信電話株式会社 Authentication processing system, authentication device, authentication processing method, and authentication processing program
JP5309496B2 (en) * 2007-08-09 2013-10-09 日本電気株式会社 Authentication system and authentication method

Also Published As

Publication number Publication date
JP2010212922A (en) 2010-09-24

Similar Documents

Publication Publication Date Title
US10462114B2 (en) System and associated software for providing advanced data protections in a defense-in-depth system by integrating multi-factor authentication with cryptographic offloading
KR102330538B1 (en) Roaming content wipe actions across devices
EP2820792B1 (en) Method of operating a computing device, computing device and computer program
EP2820793B1 (en) Method of operating a computing device, computing device and computer program
US9961048B2 (en) System and associated software for providing advanced data protections in a defense-in-depth system by integrating multi-factor authentication with cryptographic offloading
US20120173881A1 (en) Method &amp; Apparatus for Remote Information Capture, Storage, and Retrieval
US9954834B2 (en) Method of operating a computing device, computing device and computer program
KR20140037476A (en) System for preventing outflow of file and a method executing the system
US20210314304A1 (en) Network Monitoring Apparatus, and Remote Encryption and Remote Activation Method, Device and System Thereof
TW201251482A (en) Apparatus and methods for storing electronic access clients
JP2009060384A (en) System and device for image communication
EP2096573A2 (en) Authentication device, biological information management apparatus, authentication system and authentication method
TWI573079B (en) Information security management system and method for electronic document
JP5678150B2 (en) User terminal, key management system, and program
JP6800165B2 (en) Cryptography method and encryption system
JP5339970B2 (en) Information processing system, information processing method, and information processing program
JP2016201032A (en) Terminal management system, terminal management apparatus, and terminal management method
US11489820B2 (en) Method for secure storage, in a network, of a container image in a container registry
JP2006260027A (en) Quarantine system and quarantine method using VPN and firewall
JP2008134871A (en) Medical information providing system and providing server
JP6334275B2 (en) Authentication device, authentication method, authentication program, and authentication system
JP2008035449A (en) Data distributing method using self-decryption file and information processing system using the same
JP4202980B2 (en) Module starter, method and system
JP5105914B2 (en) File encryption system and file encryption method
JPH11220462A (en) Cipher processing unit, decoding processing unit and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111014

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130115

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130307

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130716

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130806

R150 Certificate of patent or registration of utility model

Ref document number: 5339970

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees