ホーム > 特許ランキング > 銓安智慧科技股▲分▼有限公司
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024043587
(43)【公開日】2024-04-01
(54)【発明の名称】ファイル共有システム及び方法
(51)【国際特許分類】
G09C 1/00 20060101AFI20240325BHJP
G06F 21/60 20130101ALI20240325BHJP
G06F 21/31 20130101ALI20240325BHJP
G06F 21/62 20130101ALI20240325BHJP
【FI】
G09C1/00 630D
G09C1/00 630E
G09C1/00 630A
G06F21/60 320
G06F21/31
G06F21/62 309
【審査請求】有
【請求項の数】14
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2023150847
(22)【出願日】2023-09-19
(31)【優先権主張番号】63/407,764
(32)【優先日】2022-09-19
(33)【優先権主張国・地域又は機関】US
(71)【出願人】
【識別番号】521473815
【氏名又は名称】銓安智慧科技股▲分▼有限公司
(74)【代理人】
【識別番号】100084375
【弁理士】
【氏名又は名称】板谷 康夫
(74)【代理人】
【識別番号】100142077
【弁理士】
【氏名又は名称】板谷 真之
(72)【発明者】
【氏名】梁家榮
(72)【発明者】
【氏名】林志宏
(72)【発明者】
【氏名】蕭志平
(72)【発明者】
【氏名】蘇▲ユー▼潔
(72)【発明者】
【氏名】鄭嘉信
(72)【発明者】
【氏名】王敦厚
(72)【発明者】
【氏名】蔡孟▲チャオ▼
(72)【発明者】
【氏名】林岳瑾
(57)【要約】 (修正有)
【課題】アクセス権管理の下でのファイル共有のためのシステム及び方法を提供する。
【解決手段】ファイル共有システムは、鍵管理ユニットとファイル保存ユニットを含む。鍵管理ユニットは、第1ユーザの登録要求に応じて第1ユーザ識別子と第1公開鍵との間の対応を認識し、第1ファイルを第1暗号化ファイルに暗号化するための第1鍵材料を生成し、第1ユーザから第1ファイルへのアクセス権要求の受信後、第1ユーザ識別子、第1ファイル識別子、第1公開鍵及び第1鍵材料に従って第1認証情報を生成する。ファイル保存ユニットは、第1暗号化ファイル及び第1認証情報を保存する。第1ユーザは、第1ユーザ識別子、第1ファイル識別子及び第1秘密鍵を使用して第1認証情報から第1鍵材料を取り出し、その第1鍵材料を使用して第1暗号化ファイルを第1ファイルに復号化する。
【選択図】図1
【解決手段】ファイル共有システムは、鍵管理ユニットとファイル保存ユニットを含む。鍵管理ユニットは、第1ユーザの登録要求に応じて第1ユーザ識別子と第1公開鍵との間の対応を認識し、第1ファイルを第1暗号化ファイルに暗号化するための第1鍵材料を生成し、第1ユーザから第1ファイルへのアクセス権要求の受信後、第1ユーザ識別子、第1ファイル識別子、第1公開鍵及び第1鍵材料に従って第1認証情報を生成する。ファイル保存ユニットは、第1暗号化ファイル及び第1認証情報を保存する。第1ユーザは、第1ユーザ識別子、第1ファイル識別子及び第1秘密鍵を使用して第1認証情報から第1鍵材料を取り出し、その第1鍵材料を使用して第1暗号化ファイルを第1ファイルに復号化する。
【選択図】図1
【特許請求の範囲】
【請求項1】
少なくとも第1ファイル及び第1ユーザと共に使用されるように適応されたファイル共有システムであって、前記第1ファイルは第1ファイル識別子に対応し、前記第1ユーザは非対称型の第1鍵ペアを有し、前記第1鍵ペアは少なくとも第1ユーザ識別子、第1公開鍵及び第1秘密鍵を含み、
前記第1ユーザの登録要求に応答して、前記第1ユーザ識別子と前記第1公開鍵との間の対応を認識し、前記第1ファイルを第1暗号化ファイルに暗号化するための第1鍵材料を生成し、前記第1ユーザから前記第1ファイルへのアクセス権要求の受信後、前記第1ユーザ識別子、第1ファイル識別子、第1公開鍵及び第1鍵材料に従って第1認証情報を生成する鍵管理ユニットと、
前記第1暗号化ファイル及び第1認証情報を保存するために前記鍵管理ユニットと通信するファイル保存ユニットと、を備え、
前記第1ユーザは、前記第1ユーザ識別子、第1ファイル識別子及び第1秘密鍵を使用して前記第1認証情報から前記第1鍵材料を取り出し、該第1鍵材料を使用して前記第1暗号化ファイルを前記第1ファイルに復号化することを特徴とするファイル共有システム。
前記第1ユーザの登録要求に応答して、前記第1ユーザ識別子と前記第1公開鍵との間の対応を認識し、前記第1ファイルを第1暗号化ファイルに暗号化するための第1鍵材料を生成し、前記第1ユーザから前記第1ファイルへのアクセス権要求の受信後、前記第1ユーザ識別子、第1ファイル識別子、第1公開鍵及び第1鍵材料に従って第1認証情報を生成する鍵管理ユニットと、
前記第1暗号化ファイル及び第1認証情報を保存するために前記鍵管理ユニットと通信するファイル保存ユニットと、を備え、
前記第1ユーザは、前記第1ユーザ識別子、第1ファイル識別子及び第1秘密鍵を使用して前記第1認証情報から前記第1鍵材料を取り出し、該第1鍵材料を使用して前記第1暗号化ファイルを前記第1ファイルに復号化することを特徴とするファイル共有システム。
【請求項2】
前記鍵管理ユニットは、前記第1ファイルの一部に基づいてハッシュアルゴリズムを実行し、前記第1鍵材料として乱数を生成することを特徴とする請求項1に記載のファイル共有システム。
【請求項3】
前記第1認証情報は、前記第1暗号化ファイルの拡張データとして保存されることを特徴とする請求項1に記載のファイル共有システム。
【請求項4】
前記第1認証情報は、認証情報データに特化した保存ゾーンに格納され、該認証情報データに特化した保存ゾーンは、前記第1ユーザ識別子及び第1ファイル識別子に従って前記第1ユーザにより検索可能であることを特徴とする請求項1に記載のファイル共有システム。
【請求項5】
前記第1ユーザの確認を実行するために前記第1ユーザ及び鍵管理ユニットと通信し、その確認結果に応じて、前記第1ユーザからの前記第1ファイルへのアクセス権要求の処理を前記鍵管理ユニットに通知する身元確認ユニットを更に備えたことを特徴とする請求項1に記載のファイル共有システム。
【請求項6】
第2ユーザと共に使用されるように適応され、前記第2ユーザは、非対称型の第2鍵ペアを有し、前記第2鍵ペアは、少なくとも第2ユーザ識別子、第2公開鍵及び第2秘密鍵を含み、前記鍵管理ユニットは、前記第2ユーザの登録要求に応答して前記第2ユーザ識別子と第2公開鍵との間の対応を認識し、前記第2ユーザから前記第1ファイルへのアクセス権要求の受信後に、前記第2ユーザ識別子、第1ファイル識別子、第2公開鍵及び第1鍵材料に従って第2認証情報を生成し、前記第2認証情報は、前記ファイル保存ユニットに保存されて前記第1暗号化ファイルと関連付けられ、前記第2ユーザは、前記第2ユーザ識別子、第1ファイル識別子及び第2秘密鍵を使用して前記第1認証情報から前記第1鍵材料を取り出し、該第1鍵材料を使用して前記第1暗号化ファイルを前記第1ファイルに復号化することを特徴とする請求項1に記載のファイル共有システム。
【請求項7】
鍵管理ユニット、第1ファイル及び第1ユーザと共に使用されるように適応されたファイル共有方法であって、前記第1ファイルは第1ファイル識別子に対応し、前記第1ユーザは非対称型の第1鍵ペアを有し、前記第1鍵ペアは少なくとも第1ユーザ識別子、第1公開鍵及び第1秘密鍵を含み、
前記鍵管理ユニットは、前記第1ユーザの登録要求に応答して前記第1ユーザ識別子と前記第1公開鍵との間の対応を認識し、
前記鍵管理ユニットは、前記第1ファイルを第1暗号化ファイルに暗号化するための第1鍵材料を生成し、
前記鍵管理ユニットは、前記第1ユーザから前記第1ファイルへのアクセス権要求の受信後、前記第1ユーザ識別子、第1ファイル識別子、第1公開鍵及び第1鍵材料に従って第1認証情報を生成し、
前記第1暗号化ファイル及び第1認証情報を保存し、
前記第1ユーザは、前記第1ユーザ識別子、第1ファイル識別子及び第1秘密鍵を使用して前記第1認証情報から前記第1鍵材料を取り出し、該第1鍵材料を使用して前記第1暗号化ファイルを前記第1ファイルに復号化することを特徴とするファイル共有方法。
前記鍵管理ユニットは、前記第1ユーザの登録要求に応答して前記第1ユーザ識別子と前記第1公開鍵との間の対応を認識し、
前記鍵管理ユニットは、前記第1ファイルを第1暗号化ファイルに暗号化するための第1鍵材料を生成し、
前記鍵管理ユニットは、前記第1ユーザから前記第1ファイルへのアクセス権要求の受信後、前記第1ユーザ識別子、第1ファイル識別子、第1公開鍵及び第1鍵材料に従って第1認証情報を生成し、
前記第1暗号化ファイル及び第1認証情報を保存し、
前記第1ユーザは、前記第1ユーザ識別子、第1ファイル識別子及び第1秘密鍵を使用して前記第1認証情報から前記第1鍵材料を取り出し、該第1鍵材料を使用して前記第1暗号化ファイルを前記第1ファイルに復号化することを特徴とするファイル共有方法。
【請求項8】
第2ユーザと共に使用されるように更に適応され、
前記第2ユーザは、非対称型の第2鍵ペアを有し、
前記第2鍵ペアは、少なくとも第2ユーザ識別子、第2公開鍵及び第2秘密鍵を含み、
前記鍵管理ユニットは、前記第2ユーザの登録要求に応答して前記第2ユーザ識別子と前記第2公開鍵との間の対応を認識し、
前記鍵管理ユニットは、前記第2ユーザから前記第1ファイルへのアクセス権要求の受信後、前記第2ユーザ識別子、第1ファイル識別子、第2公開鍵及び第1鍵材料に従って第2認証情報を生成し、
前記第2認証情報は、ファイル保存ユニットに保存され、前記第1暗号化ファイルに関連付けられ、
前記第2ユーザは、前記第2ユーザ識別子、第1ファイル識別子及び第2秘密鍵を使用して前記第1認証情報から前記第1鍵材料を取り出し、該第1鍵材料を使用して前記第1暗号化ファイルを前記第1ファイルに復号化することを特徴とする請求項7に記載のファイル共有方法。
前記第2ユーザは、非対称型の第2鍵ペアを有し、
前記第2鍵ペアは、少なくとも第2ユーザ識別子、第2公開鍵及び第2秘密鍵を含み、
前記鍵管理ユニットは、前記第2ユーザの登録要求に応答して前記第2ユーザ識別子と前記第2公開鍵との間の対応を認識し、
前記鍵管理ユニットは、前記第2ユーザから前記第1ファイルへのアクセス権要求の受信後、前記第2ユーザ識別子、第1ファイル識別子、第2公開鍵及び第1鍵材料に従って第2認証情報を生成し、
前記第2認証情報は、ファイル保存ユニットに保存され、前記第1暗号化ファイルに関連付けられ、
前記第2ユーザは、前記第2ユーザ識別子、第1ファイル識別子及び第2秘密鍵を使用して前記第1認証情報から前記第1鍵材料を取り出し、該第1鍵材料を使用して前記第1暗号化ファイルを前記第1ファイルに復号化することを特徴とする請求項7に記載のファイル共有方法。
【請求項9】
鍵管理ユニット及び第1ユーザにより所有され第2ユーザと共有される特定ファイルと共に使用されるように適応されたファイル共有方法であって、前記特定ファイルはファイル識別子に対応し、前記第1ユーザは、第1ユーザ識別子、第1システム公開鍵及び第1システム秘密鍵を有し、前記第2ユーザは、第2ユーザ識別子、第2システム公開鍵及び第2システム秘密鍵を有し、
前記鍵管理ユニットは、前記第1ユーザの第1登録要求に応答して前記第1ユーザ識別子と前記第1システム公開鍵との間の対応を認識し、前記第2ユーザの第2登録要求に応答して前記第2ユーザ識別子と前記第2システム公開鍵との間の対応を認識し、
前記鍵管理ユニットは、前記特定ファイル及び第1ユーザによる前記特定ファイルへのアクセス権要求を確認し、前記アクセス権要求は、前記第2ユーザ識別子及びファイル識別子を含み、
前記鍵管理ユニットは、前記特定ファイルを暗号化ファイルに暗号化するための特定鍵材料を生成し、前記アクセス権要求、第2システム公開鍵及び特定鍵材料の前記第2ユーザ識別子及びファイル識別子に従って特定認証情報を生成し、
前記暗号化ファイル及び特定認証情報を保存し、
前記第2ユーザは、前記第2ユーザ識別子、ファイル識別子及び第2システム秘密鍵を使用して前記特定認証情報から前記特定鍵材料を取り出し、該特定鍵材料を使用して前記暗号化ファイルを前記特定ファイルに復号化することを特徴とするファイル共有方法。
前記鍵管理ユニットは、前記第1ユーザの第1登録要求に応答して前記第1ユーザ識別子と前記第1システム公開鍵との間の対応を認識し、前記第2ユーザの第2登録要求に応答して前記第2ユーザ識別子と前記第2システム公開鍵との間の対応を認識し、
前記鍵管理ユニットは、前記特定ファイル及び第1ユーザによる前記特定ファイルへのアクセス権要求を確認し、前記アクセス権要求は、前記第2ユーザ識別子及びファイル識別子を含み、
前記鍵管理ユニットは、前記特定ファイルを暗号化ファイルに暗号化するための特定鍵材料を生成し、前記アクセス権要求、第2システム公開鍵及び特定鍵材料の前記第2ユーザ識別子及びファイル識別子に従って特定認証情報を生成し、
前記暗号化ファイル及び特定認証情報を保存し、
前記第2ユーザは、前記第2ユーザ識別子、ファイル識別子及び第2システム秘密鍵を使用して前記特定認証情報から前記特定鍵材料を取り出し、該特定鍵材料を使用して前記暗号化ファイルを前記特定ファイルに復号化することを特徴とするファイル共有方法。
【請求項10】
前記第1ユーザは、第1認証公開鍵及び第1認証秘密鍵を更に有し、前記第2ユーザは、第2認証公開鍵及び第2認証秘密鍵を更に有し、前記鍵管理ユニットは、前記第1ユーザの第1登録要求に応答して前記第1ユーザ識別子と前記第1認証公開鍵との間の対応を認識し、前記第2ユーザの第2登録要求に応答して前記第2ユーザ識別子と前記第2認証公開鍵との間の対応を認識し、前記鍵管理ユニットは、前記第2ユーザが前記特定ファイルへのアクセスを許可される前に、前記第2ユーザの確認を実行することを特徴とする請求項9に記載のファイル共有方法。
【請求項11】
前記鍵管理ユニットは、前記第2ユーザに対して特定バイト列をランダムに生成し、前記第2認証秘密鍵及び特定バイト列から導出されるデジタル署名を前記第2ユーザに要求し、
前記鍵管理ユニットは、前記第2ユーザが前記鍵管理ユニットから前記特定認証情報を要求する資格があるか否かを決定するために、前記第2認証公開鍵で前記デジタル署名の認証を実行することを特徴とする請求項10に記載のファイル共有方法。
前記鍵管理ユニットは、前記第2ユーザが前記鍵管理ユニットから前記特定認証情報を要求する資格があるか否かを決定するために、前記第2認証公開鍵で前記デジタル署名の認証を実行することを特徴とする請求項10に記載のファイル共有方法。
【請求項12】
鍵管理ユニット、第1ユーザ、第2ユーザ及び該第2ユーザにより所有される特定ファイルと共に使用されるように適応されたファイル共有方法であって、
前記第1ユーザの確認を実行し、
前記第1ユーザが確認をパスした後、該第1ユーザからの要求に応答して前記第2ユーザに対応する第2ユーザ識別子、前記特定ファイルに対応するファイル識別子及び確認パスコードを生成し、
前記確認パスコードを前記第2ユーザに伝送し、
前記ファイル識別子に対応する鍵材料を生成し、
前記鍵管理ユニットにアクセス権要求を発行し、該アクセス権要求は、前記ファイル識別子及び前記第1ユーザに対応する第1ユーザ識別子を含み、
前記ファイル識別子、第1ユーザ識別子及び第1ユーザの第1公開鍵に従って認証情報を生成し、
前記確認パスコードに基づいて前記第2ユーザの確認を実行し、
前記鍵材料を使用して、前記特定ファイルを暗号化ファイルに暗号化し、
前記認証情報及び暗号化ファイルを保存することを特徴とするファイル共有方法。
前記第1ユーザの確認を実行し、
前記第1ユーザが確認をパスした後、該第1ユーザからの要求に応答して前記第2ユーザに対応する第2ユーザ識別子、前記特定ファイルに対応するファイル識別子及び確認パスコードを生成し、
前記確認パスコードを前記第2ユーザに伝送し、
前記ファイル識別子に対応する鍵材料を生成し、
前記鍵管理ユニットにアクセス権要求を発行し、該アクセス権要求は、前記ファイル識別子及び前記第1ユーザに対応する第1ユーザ識別子を含み、
前記ファイル識別子、第1ユーザ識別子及び第1ユーザの第1公開鍵に従って認証情報を生成し、
前記確認パスコードに基づいて前記第2ユーザの確認を実行し、
前記鍵材料を使用して、前記特定ファイルを暗号化ファイルに暗号化し、
前記認証情報及び暗号化ファイルを保存することを特徴とするファイル共有方法。
【請求項13】
前記確認をパスした第1ユーザは、仮ユーザ及び仮ユーザエージェントを確立するよう前記鍵管理ユニットに要求し、前記仮ユーザ及び仮ユーザエージェントは、仮公開-秘密鍵ペア及び前記仮ユーザに伝送される前記確認パスコードに対応し、前記仮ユーザは前記第2ユーザを表し、前記鍵管理ユニットは、前記鍵材料を用いて前記特定ファイルを暗号化ファイルに暗号化するよう前記仮ユーザエージェントに要求し、前記認証情報及び暗号化ファイルを保存することを特徴とする請求項12に記載のファイル共有方法。
【請求項14】
前記第1ユーザが前記特定ファイルにアクセスすると、前記第1鍵材料は、前記第1ユーザ識別子、ファイル識別子及び第1ユーザの秘密鍵を有する認証情報から取り出され、前記暗号化ファイルを前記特定ファイルに復号化するのに用いられることを特徴とする請求項12に記載のファイル共有方法。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、シリアル番号63/407,764を有し、2022年9月19日に出願された先の仮出願(その実体は、参照として本明細書に組み込まれる)の利益を主張する非仮出願である。
【0002】
本発明は、ファイル共有のためのシステム及び方法に関し、特に、アクセス権管理の下でのファイル共有のためのシステム及び方法に関する。
【背景技術】
【0003】
ファイル共有のためクラウド保存スペースにデジタルデータファイルを保存することは、ユーザにとってごく一般的なことである。そのため、恣意的なアクセスからクラウド保存スペース内のデジタルデータファイルを効果的に保護するため、排他的なアクセス権が、デジタルデータファイルにアクセスするユーザに必要とされる。すなわち、デジタルデータファイルは、前もってユーザのみが知っている鍵で暗号化され、次いで、デジタルデータファイルの元データを首尾良く取り出すために、その鍵でユーザにより復号化され得る。
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記保護方法では、ユーザが唯一の固有鍵を所有していることを保証するのが重要である。このような状況では、あるユーザにより所有されるデジタルデータファイルに対する鍵は、同じデジタルデータファイルに対する別のユーザにより所有される鍵とは異なり且つ独立しているので、ユーザとファイルとの間のペアリング結合に関して膨大な暗号化データが存在する。そのため、望ましくないことに膨大な保存スペースが必要とされる。
【0005】
従来、アクセス制御リストが、データアクセスのために一般的に設定される。しかしながら、アクセス制御リストのデータ量は、一般的に膨大なN人のユーザと膨大なF個のファイルがファイルシステムに関連付けられているので、数え切れないほどのN×F個になり得る。そのため、オペレーティングシステムは、アクセス権に基づいてユーザをグループ化することがある。言い換えれば、管理は、ユーザ、グループ及びファイル/ディレクトリに従って実行される。このような管理は、アクセス制御リストの機構を実現可能にするものの、ID詐欺やアクセス権改ざんのようなセキュリティ問題をもたらす。
【0006】
更に、一般的なファイル共有プロセスでは、ファイル共有者がリモートサーバ又は保存メディア内のファイルにアクセスできるように、共有されるファイルは、ファイル共有者に既知のリモートサーバ又は保存メディアにファイル所有者によりまずアップロードされる。ファイルが不正アクセスから保護される場合には、ファイル共有者がファイルに正常にアクセスできるように、ファイルに対する排他的アクセス権を設定する又はファイルに固有の暗号化鍵を確立する必要がある。多くのファイル所有者がファイルをアップロードし、同時に多くのファイル共有者が関わると、ファイル所有者からの多数の多様な暗号化鍵が、許可されたユーザのみが正しいファイルにアクセスできるよう区別及び管理される必要がある。このような管理は、複雑で非現実的である。
【0007】
そこで、本発明は、上記欠点を克服するためのファイル共有システム及び方法を提供する。
【課題を解決するための手段】
【0008】
本発明の第1態様では、ファイル共有システムは、少なくとも第1ファイル及び第1ユーザと共に使用されるように適応される。前記第1ファイルは第1ファイル識別子に対応し、前記第1ユーザは非対称型の第1鍵ペアを有し、前記第1鍵ペアは少なくとも第1ユーザ識別子、第1公開鍵及び第1秘密鍵を含む。本システムは、前記第1ユーザの登録要求に応答して、前記第1ユーザ識別子と前記第1公開鍵との間の対応を認識し、前記第1ファイルを第1暗号化ファイルに暗号化するための第1鍵材料を生成し、前記第1ユーザから前記第1ファイルへのアクセス権要求の受信後、前記第1ユーザ識別子、第1ファイル識別子、第1公開鍵及び第1鍵材料に従って第1認証情報を生成する鍵管理ユニットと、前記第1暗号化ファイル及び第1認証情報を保存するために前記鍵管理ユニットと通信するファイル保存ユニットと、を備え、前記第1ユーザは、前記第1ユーザ識別子、第1ファイル識別子及び第1秘密鍵を使用して前記第1認証情報から前記第1鍵材料を取り出し、該第1鍵材料を使用して前記第1暗号化ファイルを前記第1ファイルに復号化する。
【0009】
本発明の第2態様では、ファイル共有方法は、鍵管理ユニット、第1ファイル及び第1ユーザと共に使用されるように適応し、前記第1ファイルは、第1ファイル識別子に対応する。前記第1ユーザは、非対称型の第1鍵ペアを有する。前記第1鍵ペアは、少なくとも第1ユーザ識別子、第1公開鍵及び第1秘密鍵を含む。本方法において前記鍵管理ユニットは、前記第1ユーザの登録要求に応答して前記第1ユーザ識別子と前記第1公開鍵との間の対応を認識し、前記鍵管理ユニットは、前記第1ファイルを第1暗号化ファイルに暗号化するための第1鍵材料を生成し、前記鍵管理ユニットは、前記第1ユーザから前記第1ファイルへのアクセス権要求の受信後、前記第1ユーザ識別子、第1ファイル識別子、第1公開鍵及び第1鍵材料に従って第1認証情報を生成し、前記第1暗号化ファイル及び第1認証情報を保存し、前記第1ユーザは、前記第1ユーザ識別子、第1ファイル識別子及び第1秘密鍵を使用して前記第1認証情報から前記第1鍵材料を取り出し、該第1鍵材料を使用して前記第1暗号化ファイルを前記第1ファイルに復号化する。
【0010】
本発明の第3態様では、ファイル共有方法は、鍵管理ユニット及び第1ユーザにより所有され第2ユーザと共有される特定ファイルと共に使用されるように適応される。前記特定ファイルは、ファイル識別子に対応する。前記第1ユーザは、第1ユーザ識別子、第1システム公開鍵及び第1システム秘密鍵を有する。前記第2ユーザは、第2ユーザ識別子、第2システム公開鍵及び第2システム秘密鍵を有する。本方法において前記鍵管理ユニットは、前記第1ユーザの第1登録要求に応答して前記第1ユーザ識別子と前記第1システム公開鍵との間の対応を認識し、前記第2ユーザの第2登録要求に応答して前記第2ユーザ識別子と前記第2システム公開鍵との間の対応を認識し、前記鍵管理ユニットは、前記特定ファイル及び第1ユーザによる前記特定ファイルへのアクセス権要求を確認し、前記アクセス権要求は、前記第2ユーザ識別子及びファイル識別子を含み、前記鍵管理ユニットは、前記特定ファイルを暗号化ファイルに暗号化するための特定鍵材料を生成し、前記アクセス権要求、第2システム公開鍵及び特定鍵材料の前記第2ユーザ識別子及びファイル識別子に従って特定認証情報を生成し、前記暗号化ファイル及び特定認証情報を保存し、前記第2ユーザは、前記第2ユーザ識別子、ファイル識別子及び第2システム秘密鍵を使用して前記特定認証情報から前記特定鍵材料を取り出し、該特定鍵材料を使用して前記暗号化ファイルを前記特定ファイルに復号化する。
【0011】
本発明の第4態様では、ファイル共有方法は、鍵管理ユニット、第1ユーザ、第2ユーザ及び該第2ユーザにより所有される特定ファイルと共に使用されるように適応される。本方法では前記第1ユーザの確認を実行し、前記第1ユーザが確認をパスした後、該第1ユーザからの要求に応答して前記第2ユーザに対応する第2ユーザ識別子、前記特定ファイルに対応するファイル識別子及び確認パスコードを生成し、前記確認パスコードを前記第2ユーザに伝送し、前記ファイル識別子に対応する鍵材料を生成し、前記鍵管理ユニットにアクセス権要求を発行し、該アクセス権要求は、前記ファイル識別子及び前記第1ユーザに対応する第1ユーザ識別子を含み、前記ファイル識別子、第1ユーザ識別子及び第1ユーザの第1公開鍵に従って認証情報を生成し、前記確認パスコードに基づいて前記第2ユーザの確認を実行し、前記鍵材料を使用して、前記特定ファイルを暗号化ファイルに暗号化し、前記認証情報及び暗号化ファイルを保存する。
【図面の簡単な説明】
【0012】
本発明は、以下の詳細な説明及び添付の図面を参照することで、当業者にはより容易に明確になるであろう。
【0013】
【図1】本発明の実施形態に係るファイル共有システムを示す概略ブロック図。
【0014】
【図2】本発明の別の実施形態に係るファイル共有システムを示す概略ブロック図。
【0015】
【図3】本発明の実施形態に係るファイル共有方法を概略的に示すフローチャート。
【0016】
【図4】本発明の更なる実施形態に係るファイル共有システムを示す概略ブロック図。
【発明を実施するための形態】
【0017】
本発明を、以下の実施形態を参照してより具体的に説明する。本発明の好ましい実施形態に関する以下の説明は、例示及び説明のみを目的としてここに提示されていることに留意されたい。これは、本発明を開示されたそのものの形態に徹底又は限定することを意図していない。
【0018】
図1を参照すると、本発明の実施形態に係るファイル共有システムが概略的に示されている。このファイル共有システムは、鍵管理ユニット11及びファイル保存ユニット12を含み、複数のファイルと複数のユーザとの間で用いられ得る。鍵管理ユニット11は、限定されるものではないが、例えば、クラウドサーバである。ファイル保存ユニット12は、限定されるものではないが、例えば、クラウドストレージ又はネットワーク接続ストレージ(NAS)である。ファイルは、限定されるものではないが、例えば、保存及び伝送可能なデジタルデータファイルである。ユーザは、限定されるものではないが、例えば、コンピュータ、スマートフォン又は他の適切な情報デバイスである。説明のために図1のファイル共有システムでは、第1ユーザ101、第2ユーザ102、第1ファイル131及び第2ファイル132が例示されている。第1ファイル131は、第1ファイル識別子(F-ID)に対応し、第2ファイル132は、第2ファイル識別子に対応する。第1ユーザ101は、任意の適切な従来手段又は新たに開発された手段によって、非対称型の排他的な第1鍵ペアを生成する。第1鍵ペアは、少なくとも第1ユーザ識別子(U-ID)、第1公開鍵及び第1秘密鍵を含む。同様に、第2ユーザ102は、任意の適切な従来手段又は新たに開発された手段によって、非対称型の排他的な第2鍵ペアを生成する。第2鍵ペアは、少なくとも第2ユーザ識別子(U-ID)、第2公開鍵及び第2秘密鍵を含む。
【0019】
第1ユーザ101からの登録要求に応答して、鍵管理ユニット11は、第1ユーザ識別子と第1公開鍵との対応を認識する。そして、鍵管理ユニット11は、第1ファイル131を第1暗号化ファイル141に暗号化するための第1鍵材料を生成し、第1鍵材料と第1ファイル識別子とを関連付けて第1識別子鍵ペア(F-ID、key_material)を生成する。鍵管理ユニット11は、更に、第1ユーザ101から第1ファイル131へのアクセス権要求を受信した後、第1ユーザ識別子、第1ファイル識別子、第1公開鍵及び第1鍵材料に従って第1認証情報1411を生成する。アクセス権要求は、第1ユーザ識別子及び第1ファイル識別子を含む。第1暗号化ファイル141及び対応する第1認証情報1411は、ファイル保存ユニット12に保存される。そして、第1ファイル131にアクセスするために第1ユーザ101は、第1ユーザ識別子、第1ファイル識別子及び第1秘密鍵を使用して第1認証情報1411から第1鍵材料を取り出し、その第1鍵材料を使用して第1暗号化ファイル141を第1ファイル131に復号化する。
【0020】
同様に、第2ユーザ102からの登録要求に応答して、鍵管理ユニット11は、第2ユーザ識別子と第2公開鍵との対応を認識する。そして、鍵管理ユニット11は、第2ユーザ102から第1ファイル131へのアクセス権要求を受信した後、第2ユーザ識別子、第1ファイル識別子、第2公開鍵及び第1鍵材料に従って第2認証情報1412を生成する。アクセス権要求は、第2ユーザ識別子及び第1ファイル識別子を含む。また、第1暗号化ファイル141及び対応する第2認証情報1412は、ファイル保存ユニット12に保存される。そして、第1ファイル131にアクセスするために第2ユーザ102は、第2ユーザ識別子、第1ファイル識別子及び第2秘密鍵を使用して第2認証情報1412から第1鍵材料を取り出し、その第1鍵材料を使用して第1暗号化ファイル141を第1ファイル131に復号化する。
【0021】
第1ユーザ101が第2ファイル132にアクセスしようとする別の例では、鍵管理ユニット11は、第2ファイル132を第2暗号化ファイル142に暗号化するための第2鍵材料を更に生成し、その第2鍵材料を第2ファイル識別子と関連付けて第2識別子鍵ペアを生成する。鍵管理ユニット11は、更に、第1ユーザ101から第2ファイル132へのアクセス権要求を受信した後、第1ユーザ識別子、第2ファイル識別子、第1公開鍵及び第2鍵材料に従って第3認証情報1421を生成する。アクセス権要求は、第1ユーザ識別子及び第2ファイル識別子を含む。第2暗号化ファイル142及び対応する第3認証情報1421は、ファイル保存ユニット12に保存される。そして、第2ファイル132にアクセスするために第1ユーザ101は、第1ユーザ識別子、第2ファイル識別子及び第1秘密鍵を使用して第3認証情報1421から第2鍵材料を取り出し、その第2鍵材料を使用して第2暗号化ファイル142を第2ファイル132に復号化する。
【0022】
更なる例では、鍵管理ユニット11は、第2ユーザ102から第2ファイル132へのアクセス権要求を受信した後、第2ユーザ識別子、第2ファイル識別子、第2公開鍵及び第2鍵材料に従って第4認証情報1422を生成する。アクセス権要求は、第2ユーザ識別子及び第2ファイル識別子を含む。第2暗号化ファイル142及び対応する第4認証情報1422も、ファイル保存ユニット12に保存される。そして、第2ファイル132にアクセスするために第2ユーザ102は、第2ユーザ識別子、第2ファイル識別子及び第2秘密鍵を使用して第4認証情報1422から第2鍵材料を取り出し、その第2鍵材料を使用して第2暗号化ファイル142を第2ファイル132に復号化する。
【0023】
実施形態では、第1ファイル識別子及び第2ファイル識別子は、それぞれハッシュアルゴリズムによって第1ファイルの一部及び第2ファイルの一部に従って鍵管理ユニット11により生成される。例えば、ファイル識別子は、ファイルのファイル名に従って生成される。実施形態では、第1鍵材料及び第2鍵材料は、鍵管理ユニット11によって生成された乱数である。実施形態では、第1認証情報及び第2認証情報は、第1暗号化ファイル及び第2暗号化ファイル各々の拡張データとして保存される。実施形態では、第1認証情報及び第2認証情報並びに他の認証情報は、認証情報データに固有の保存ゾーン120に保存される。実施形態では、保存ゾーン120は、ファイル保存ユニット12内に構成され、後にファイルにアクセスするためにユーザ識別子及びファイル識別子に基づいて許可されたユーザにより検索可能となっている。実施形態では、ファイル保存ユニット12は、ローカル記憶デバイス又は複数のクラウド記憶デバイスにより構成される。
【0024】
本発明の別の実施形態に係るファイル共有システムが概略的に示された図2を参照されたい。本実施形態でのファイル共有システムは、図1に例示したファイル共有システムと同様に、鍵管理ユニット11と、鍵管理ユニット11と通信するファイル保存ユニット12と、を含む。本実施形態でのファイル共有システムは、鍵管理ユニット11と通信する身元確認ユニット15を更に含む。例えば、身元確認ユニット15は、ファイル131、132にアクセスしようとするユーザ101、102の身元確認を実行する。身元確認が失敗した場合、鍵管理ユニット11は、ファイル131、132へのユーザ101、102のアクセス権要求を拒否する。一方、ユーザ101、102が身元確認をパスした場合、鍵管理ユニット11は、ユーザ101、102からファイル131、132へのアクセス権要求を処理するように通知される。その後、ユーザ識別子、ファイル識別子、公開鍵及び鍵材料に従った認証情報の生成が、鍵管理ユニット11により実行され得る。認証アルゴリズムは、当技術分野で一般的に使用されるアカウント-パスワードセットであるFIDO準拠物理的セキュリティ鍵(例えば、USB鍵)若しくは任意の他の適切な従来アルゴリズム又は新たに開発されたアルゴリズムで実施され得る。身元確認ユニット15は、例えば、鍵管理ユニット11と同じサーバの同じチップに統合されてもよい。言い換えれば、身元確認ユニット15は、鍵管理ユニット11のサブモジュールとして構成されてもよい。
【0025】
図3を参照されたい。本発明に係るファイル共有方法のフローチャートが示されている。ステップ301において、鍵管理ユニット11は、共有されるファイル31を暗号化ファイル32に暗号化するための鍵材料を生成する。ステップ302において、鍵管理ユニット11は、ユーザ30から登録要求を受信する。登録要求から鍵管理ユニット11は、ユーザ30のユーザ識別子と公開鍵との対応(U-ID、public_key)を認識することができる。ステップ303において、ユーザ30は、ファイル31の情報、例えば、ファイル識別子(F-ID)へのアクセス権を要求するために鍵管理ユニット11にアクセス権要求を発行し、アクセス権要求は、ユーザ30に対応するユーザ識別子及びファイル31に対応するファイル識別子を含む。ステップ304において、鍵管理ユニット11は、アクセス権要求の受信後、ユーザ識別子、ファイル識別子、公開鍵及び鍵材料に従って認証情報を生成する。次いで、認証情報は、ステップ305又はステップ306で示される2つの例示的方法の1つで保存される。ステップ305では、認証情報は、暗号化ファイルの拡張データとして保存される。例えば、認証情報及び暗号化ファイルは、同じ保存ゾーンに保存され、互いに関連付けられる。ステップ306では、認証情報は、認証情報に特異的な保存ゾーン320に保存される。保存ゾーン320は、例えば、ローカル記憶デバイスで実施される又は複数のクラウド記憶デバイスで構成されるファイル保存ユニット12の一部であってもよい。実施形態では、保存ゾーンは、ユーザ識別子及びファイル識別子に基づいて許可されたユーザによって検索可能となっている。
【0026】
上述したファイル共有システム及び方法の実施形態によれば、鍵管理下におけるファイルアクセス権の管理が改善され得る。このファイル共有システムは、システムを複雑化することなく、複数のユーザ間でファイルを保護することができる。本方法は、ファイル所有者とファイル共有者との区別を利用して両者間の管理を行うため、管理がパスワード識別無しに実行され得る。ファイル所有者は、元ファイルを鍵管理ユニットに伝送して暗号化ファイルに暗号化する権限を有する者として定義され、ファイル共有者は、暗号化ファイルを復号化するための認証情報を取得する権限を有する者として定義される。本発明によれば、1つのファイルが複数のファイル所有者及び複数のファイル共有者に対応することが可能で、ユーザがファイル所有者の役割又はファイル共有者の役割のいずれかを果たすことが可能である。ファイル所有者は、暗号化される元ファイルを鍵管理ユニットにアップロードする権利を有し、ファイル共有者は、身元確認をパスした後、そのファイルに固有の認証情報を取得する資格を有する。
【0027】
実施形態では、ファイル共有システムの各ユーザは、2種の鍵ペアを持つ。1つは、システム公開鍵(Sys_Public)及びシステム秘密鍵(Sys_Private)を含む鍵ペアであり、もう1つは、認証公開鍵(Auth_Public)及び認証秘密鍵(Auth_Private)を含む鍵ペアである。ユーザ識別子(U-ID)及び2つの公開鍵(Auth_Public、Sys_Public)は、組み合わされて鍵管理ユニット11の登録データ(U-ID、Auth_Public)及び(U-ID、Sys_Public)を形成する。従って、ファイル所有者による鍵管理ユニット11への元ファイル又は復号化されていないファイルの伝送前に、ファイル所有者は、アクセス権要求を通じてファイル所有者及びファイル共有者を鍵管理ユニット11に通知し得る。更に、ファイル所有者は、例えば、特定の保存ゾーンに保存されている又は関連する暗号化ファイルと共に保存されているといった認証情報の保存オプションを鍵管理ユニット11に通知し得る。
【0028】
従って、鍵管理ユニット11は、全てのファイルアクセス者(「ファイル所有者」及び「ファイル共有者」を含み得る)に対して「ファイル所有者」の役割を果たすユーザからのアクセス権要求及び認証情報の保存ポリシーを受信した後、ファイルを暗号化するために上述したファイル共有システム及び方法を使用することができる。鍵管理ユニット11は、次にファイルを暗号化して暗号化ファイルを形成するために鍵材料を生成する。暗号化ファイルに対応する1つ又は複数の認証情報は、アクセス権要求の内容に基づいて生成され、1つ又は複数の認証情報が、アクセス権を有する1つ又は複数のファイルアクセス者に対応する。すべてのファイルアクセス者及び暗号化ファイルの認証情報は、その後、保存ポリシーに従って保存されて1人又は複数のファイルアクセス者による問い合わせ及びアクセスに利用され得る。
【0029】
このようにして、「ファイル共有者」の役割を果たすユーザがファイルにアクセスする前に、鍵管理ユニット11(又は身元確認ユニット15)は、例えば、以下のプロセスにより最初にファイルアクセス者を検証する。鍵管理ユニット11は、バイト列をランダムに生成し、ファイルアクセス者の認証秘密鍵(Auth_Private)に基づいて対応するデジタル署名を生成するようファイルアクセス者に求め、鍵管理ユニット11が、署名認証に認証秘密鍵(Auth_Private)を使用できるようにする。このようにして、認証されたファイルアクセス者だけが、鍵管理ユニット11から対応する認証情報を要求する権利を持つ。
【0030】
更に、ファイルにアクセスする認証ファイルアクセス者は、鍵管理ユニット11(又はファイル保存ユニット12)にユーザ識別子及びファイル識別子(U-ID、F-ID)を提供することによって対応する認証情報を要求することができる。この要求は、2つのシナリオを引き起こし、1つは要求された認証情報が存在せず、これはファイルアクセス者がファイルにアクセスする権利を持っていないことを意味し、もう1つは要求された認証情報が存在し、ファイルアクセス者がそこから認証情報を抽出するために自身のシステム秘密鍵(Sys_Private)を使用することができる。ファイルアクセス者は、自身のシステム秘密鍵に従って認証情報から鍵材料を抽出し、得られた暗号化ファイルを復号化して元ファイルの内容にアクセスすることができる。また、「ファイル所有者」は、鍵管理ユニット11にアクセス権の変更要求を出すことができる。身元確認をパスした「ファイル所有者」に対して、鍵管理ユニット11は、鍵管理ユニット11の管理ポリシーに従って、変更要求の内容に係る1つ又は複数の認証情報を再生成し、該当する認証情報を更新することができる。
【0031】
更に、上述したファイル共有システム及び方法の技術的枠組みを応用して、ファイル共有手順を変更することによりファイルアップロードセキュリティを強化する方法を更に開発することができる。実施形態では、本方法は、ファイル共有手順の調整を備えた「単一ファイルマルチアクセス者保護メカニズム」を採用し、ファイル共有の受信者が分かっている限りファイル作成前であっても、ファイル所有者がファイル作成の後に同ファイルをアップロードして同ファイルを安全に共有可能とすることを保証する。
【0032】
図4は、本発明の更なる実施形態に係るファイル共有システムを概略的に示す。この実施形態では、第1ユーザ101(例えば、上記で定義した「ファイル共有者」)は、「ファイル所有者」(非登録ユーザであってもよい)が特定ファイルをアップロードしようとしていることを知っている。従って、「ファイル共有者」は、身元確認ユニット15(又は鍵管理ユニット11)による身元確認を完了した後、「ファイル所有者」を表す仮ユーザ41及びその独自のユーザ識別子(U-ID)を生成すると共に、共有されるファイルを表すファイル識別子(F-ID)を生成するよう鍵管理ユニット11に要求する。これにより、独自なペア(U-ID、F-ID)が形成される。ファイル共有者は、仮ユーザ41の代わりに仮想の仮ユーザエージェント42を作成し、十分に強力な確認パスコードを用いて対応する仮公開-秘密鍵ペア(Sys_Public、Sys_Private)を生成するよう鍵管理ユニット11に更に要求し得る。仮公開-秘密鍵ペア及び確認パスコード又は代替的に秘密鍵及び確認パスコードのみは、仮ユーザ41、すなわち、「ファイル所有者」に送信される。このようにして、共有されるファイルがアップロードされる前に、鍵管理ユニット11は、まず、ペア(U-ID、F-ID)に含まれるファイル識別子(F-ID)に基づいて対応する鍵材料を生成することができる。更に、1つ又は複数の認証されたファイル共有者は、ファイル識別子(F-ID)に基づいて鍵管理ユニット11にアクセス権要求を更に発行することができる。アクセス権要求は、ファイル識別子及びファイル共有者のユーザ識別子を含む。鍵管理ユニット11は、次に、ファイル識別子、ユーザ識別子及びユーザの第1公開鍵に基づいて対応する認証情報を生成する。
【0033】
仮ユーザ41(すなわち、ファイル所有者)が共有されるファイルをアップロードする準備ができると、ユーザが仮ユーザ41であることを予め知っている鍵管理ユニット11は、身元確認ユニット15(又は鍵管理ユニット11)を通じて身元確認パスコードを認証することができる。そして、鍵管理ユニット11自身(又は仮ユーザエージェント42)は、上述と同じやり方で鍵材料を用いて共有されるファイルを暗号化し、その後、管理ポリシーに従ってすべてのファイル共有者の認証情報及び暗号化されたファイルを保存する。このように「ファイル所有者」は、登録ユーザである必要はなく、ファイルをアップロードするために仮ユーザ41の身元を用いる。なお、仮ユーザ41、仮ユーザエージェント42、仮公開-秘密鍵ペア及び身元確認パスコードに関連付けられた権利は、期限を有する。期限が切れると、仮ユーザ41、仮ユーザエージェント42、仮公開-秘密鍵ペア及び身元確認パスコードは、身元確認ユニット15(又は鍵管理ユニット11)により無効となる。アクセス権要求に関わるファイル共有者については、それらの全てが、「単一ファイル複数アクセス者保護機構」に従ってファイルにアクセスすることができる。このように、ファイル共有は、ファイル所有者だけでなくファイル共有者によっても開始され得る。このため、複雑な暗号化設定又はアクセス権設定のミスを回避し、管理コストを大幅に低減することができる。
【0034】
本発明は、現時点で最も実用的で好ましいと考えられる実施形態の観点から説明したが、本発明が開示された実施形態に限定される必要はないことを理解されたい。一方、本発明は、添付の特許請求の範囲の精神及び範囲内に含まれる様々な変更及び類似の構成を含むことを意図しており、このような変更及び類似の構成をすべて包含するように最も広い解釈が与えられる。
【図1】
【図2】
【図3】
【図4】
【外国語明細書】