专利名称:具备加密数据变换装置的服务器的制作方法
技术领域:
本发明涉及为确保个人信息的机密性利用加密数据变换装置的公共服务器及利用加密数据解码装置的终端。
背景技术:
历来,面向实现电子自治体的计算机系统的开发一直在进展。为使居民或企业可以经因特网访问自治体的电子申请系统等等,严格的安全管理是不可缺少的,防火墙及网上门户(Portal)认证等的功能及认证基础等的基础设施是必需的。另外,为了与24小时对应,对系统整体的运用状况及安全的状态的监视也很重要。另外,为使与金融机构的协作顺利进行,结算基础的整备也是必需的。
但是可以认为,这种设备及基础设施的导入、整备要是对于每一个自治体都进行的话,在预算上是非常困难的,并且也很难确保设备的设置空间。于是,可以认为,多数自治体是构筑公共使用的公共中心,在该公共中心中处理共通的事务,各自治体的计算机终端与其后台相连接,处理各自治体固有的业务。在该共用中心中设置的电子自治体公共服务器(以下简称为“自治体公共服务器”)是以电子申请系统为核心的Web服务器,通过在多个自治体之间统一和共用,可节约计算机系统的构筑和运行所需要的成本。这样的计算机系统的一例公开于日本特开2001-142956号公报中。
但是,比如,在电子申请系统中,自治体公共服务器与居民用来向自治体进行申请的申请用终端是经过因特网相连接。并且,和各自治体的职员接受居民的申请的电子自治体用终端(以下简称为“自治体用终端”)是经专线连接。于是,申请数据是从申请用终端流向自治体公共服务器后再从自治体公共服务器流向自治体用终端。此时,为了使流过网络的申请数据不会泄漏给第三者,使用加密技术。就是说,在申请用终端中,居民输入的申请数据(平文数据)利用通用的加密协议加密而发送到自治体公共服务器。之后,在自治体公共服务器中,将接收到的加密数据临时进行解码,该解码后的平文数据,利用各自治体专用的加密协议加密后发送到自治体用终端。并且,在自治体用终端,对接收到的加密数据进行解码,经过解码的该申请数据供自治体的职员参照执行处理程序。其中,在自治体公共服务器中,有一段居民的申请数据临时成为平文数据的过程,个人信息有可能泄漏。就是说,这种电子申请系统,包含的问题是存在安全漏洞(安全上的弱点)。
发明内容
于是,本发明有鉴于上述问题,其目的在于提供一种可以消除电子自治体公共服务器的安全漏洞,使加密协议不同的终端之间的数据中继在安全性方面可以安全地进行的措施。
为解决上述问题的本发明是由将居民或企业用来向自治体进行申请所使用的终端、自治体用来接受居民或企业的申请所使用的电子自治体用终端、在申请用终端及电子自治体用终端之间由网络连接并进行申请数据的中继的电子自治体公共服务器构成的电子自治体系统中利用加密数据变换装置的电子自治体公共服务器及利用加密数据解码装置的电子自治体用终端。加密数据变换装置及加密数据解码装置的特征在于是确保在其装置内部保持的数据的机密性的装置。
电子自治体公共服务器的加密数据变换装置从作为从申请用终端接收到的利用第一加密方式加密的申请数据的第一加密数据生成利用第二加密方式加密的第二加密数据。作为该生成步骤,首先,将第一加密数据利用第一加密方式进行解码。之后,将该解码的平文数据利用第二加密方式进行加密。利用这样的步骤可以生成第二加密数据,但在该过程中出现了平文数据。于是,加密数据变换装置具有保护出现的该平文数据的内容不能从装置外部参照的功能。
电子自治体用终端的加密数据解码装置,将电子自治体公共服务器接收到的以规定的加密方式(第二加密方式)加密的申请数据利用该加密方式解码并保持该解码的平文数据。该保持的平文数据,由申请数据显示单元进行显示,但必须禁止其以外的访问。于是,加密数据解码装置具有保护该保持平文数据的内容不能从装置外部参照的功能。
另外,作为电子自治体公共服务器的申请数据的存储方法,申请数据本身,将在利用第二加密方式加密的数据上附加作为申请数据固有编号的数据编号的数据作为第二加密数据进行存储。另一方面,将由该申请数据的数据编号、包含申请目标的自治体名及申请目的的属性信息和与第二加密方式相对应的密钥编号构成的参照记录进行累积并作为参照表进行存储。于是,作为申请数据的发送方法,将来自电子自治体用终端的申请数据要求信息(数据编号及密钥编号)和参照表进行比对。在该比对的结果为存在一致的参照记录时,就将与数据编号相对应的第二加密数据发送到电子自治体用终端。由此可以在确保申请数据的机密性的同时,发送与各电子自治体用终端分别对应的申请数据。
另外,在权利要求范围中的“申请用终端”、“电子自治体用终端”、“电子自治体公共服务器”及“电子自治体系统”分别与下述的用来实施本发明的实施方式中的|“居民用终端”、“自治体用终端”、“自治体公共服务器”及“电子申请系统”相当。
图1为示出本发明的实施方式的电子申请系统的构成的示图。
图2为示出本发明的实施方式的数据的结构的示图。
图3为示出本发明的实施方式的数据的结构的示图。
图4为示出本发明的实施方式的申请数据的存储动作的示图。
图5为示出本发明的实施方式的申请数据的取得的动作的示图。
具体实施例方式
下面参照附图对本发明的实施方式予以详细说明。
《电子申请系统的构成与概要》首先,参照图1,对本发明的实施方式的电子申请系统的构成和概要进行说明。电子申请系统由自治体公共服务器1、多个居民用终端3和多个自治体用终端4构成。自治体公共服务器1和居民用终端3经因特网或专线等的第一网络5相连接。另外,自治体公共服务器1和自治体用终端4经作为专线的第二网络6相连接。作为电子申请系统的概要,居民利用居民用终端3输入给自治体的申请数据。于是,该输入的申请数据经第一网络5发送到自治体公共服务器1。在自治体公共服务器1中,接收到的该申请数据临时存放于规定的存储单元中。另一方面,自治体的职员,利用自治体用终端4,经过第二网络6取得存放于自治体公共服务器1中的申请数据中的与自己所属的自治体的部署或负担的手续业务相关联的申请数据。于是,根据取得的该申请数据执行处理手续。其中,自治体用终端4取得存放于自治体公共服务器1中的申请数据的方式大致区分有两种。一种称为推送(Push)型,是将申请数据从自治体公共服务器1向自治体用终端4单方交付。另外一种称为拉出(Pull)型,是自治体用终端4要求自治体公共服务器1发送申请数据,并且回应这一要求,自治体公共服务器1向自治体用终端4发送申请数据。本发明的实施方式,采用拉出型方式,在后述的动作的说明中予以详述。
自治体公共服务器1是在多个自治体的共用中心等之中设置的Web服务器,通过在自治体之间使成为电子申请系统的核心的服务器统一和共用,可节约计算机系统的构筑和运行所需要的成本。自治体公共服务器1的构成包括第一网络连接单元11;加密数据变换装置2;参照表生成单元12;参照表存储单元13;加密数据存储单元14;第二网络连接单元15;参照表检索单元16及数据访问控制单元17。
第一网络连接单元11是经第一网络5与多个居民用终端3相连接,收发加密数据等的单元,是利用网络连接机器实现的。加密数据变换装置2输入来自第一网络连接单元11的利用外部协议的加密数据,将利用内部协议的加密数据输出到加密数据存储单元14。就是说,具有将利用外部协议的加密数据变换为利用内部协议的加密数据的功能。此处所说的外部协议是在居民用终端3和自治体公共服务器1之间使用的通用的加密协议,比如,可应用SSL(安全套接协议层)等。另一方面,所说的内部协议是在自治体公共服务器1和各自治体用终端4之间使用的专用的加密协议,也可以依各自治体用终端4而异。比如,可应用公共密钥加密方式或公开密钥加密方式等。另外,加密数据变换装置2具有从输入的加密数据生成自治体用终端4参照的参照记录并将生成的该参照记录输出到参照表生成单元12的功能。
参照表生成单元12输入来自加密数据变换装置2的参照记录并将该输入的参照记录添加到存储于参照表存储单元13中的参照表。另外,参照表存储单元13及加密数据存储单元14是由非易失性的硬盘装置或闪存实现的。还有,第二网络连接单元15是经第二网络6与多个自治体用终端4相连接,收发加密数据等的单元,是利用网络连接机器实现的。参照表检索单元16按照从自治体用终端4经第二网络6及第二网络连接单元15接收到的参照表要求信息来检索存储于参照表存储单元13中的参照表。于是,将检索到的该参照表经第二网络连接单元15及第二网络6发送到自治体用终端4。数据访问控制单元17在与从自治体用终端4经第二网络6及第二网络连接单元15接收到的信息相对应的参照记录存在于参照表存储单元13中时,就从加密数据存储单元14取得与该信息相对应的加密数据并取得的该加密数据经第二网络连接单元15及第二网络6发送到自治体用终端4。另外,数据访问控制单元17,具有累积自治体用终端4产生的数据访问的日志信息。此外,参照表生成单元12、参照表检索单元16及数据访问控制单元17是通过由CPU(中央处理单元)执行存储于规定的存储器中的程序而实现的。
加密数据变换装置2,一般可以利用称为HSM(硬件安全模块)实现。HSM是以插入PC(个人计算机)及服务器的数据总线的端口及驱动器的形式在物理上确保加密模块及数据的机密性的装置。根据安全级别的不同,可具有极高的抗篡改性(tamper-resistant,保护数据防止非法访问的功能),附加物理密钥,附加密钥的备份功能。
本发明的实施方式的加密数据变换装置2,可实现特别是组装到自治体公共服务器1中的将利用外部协议的加密数据变换为利用内部协议的加密数据的同时,确保在此时临时解码的平文数据的机密性的功能。另外,为了应用于自治体的申请系统,与一个申请数据相对应,自治体用终端4也一并实现生成在自治体用终端4取得该申请数据之前参照的参照记录的功能。生成此参照记录的功能,由于是通过作为自治体的职员用户设定后述的属性信息及密钥编号的对应表而实现的,可以说是由个别用户设定的功能。
另外,加密数据变换装置2,在可以实现以上说明的功能时,不一定必须是HSM,也可以是其他硬件或软件。
如图1所示,加密数据变换装置2的构成包括第一数据解码单元21;平文数据存储单元22;对应表存储单元23;参照记录生成单元24;参照记录存储单元25及第二数据加密单元26。第一数据解码单元21,从第一网络连接单元11输入加密数据,将该输入的加密数据解码并将该解码的平文数据存储于平文数据存储单元22中。对应表存储单元23,对在该平文数据(申请数据)中包含的属性信息及显示出与在自治体公共服务器1及各自治体用终端4之间使用的密钥程序固有的密钥编号的对应关系的属性信息及密钥编号对应表(以下简称为“对应表”)进行存储。参照记录生成单元24,通过在存储于平文数据存储单元22中的平文数据的一部分上附加利用对应表对应赋予该平文数据的属性信息的密钥编号而生成参照记录。于是,将生成的该参照记录存储于参照记录存储单元25中。参照记录存储单元25,将存储的该参照记录输出到参照表生成单元12。第二数据加密单元26备有作为在各自治体用终端4之间使用的加密程序(实现利用内部协议加密的程序)的密钥程序,具有可利用该密钥程序固有的密钥编号启动分别对应的密钥程序,从而生成加密数据的功能。具体言之,输入存储于参照记录存储单元25中的参照记录的密钥编号,将与该输入的密钥编号相对应的密钥程序启动并将存储于平文数据存储单元22中的平文数据加密。于是,将该加密数据输出到加密数据存储单元14。另外,平文数据存储单元22、对应表存储单元23及参照记录存储单元25是由RAM(随机存取存储器)等存储器实现的。另外,第一数据解码单元21、参照记录生成单元24及第二数据加密单元26是通过由CPU执行存储于规定的存储器中的程序而实现的。
居民用终端3是居民用来向自治体进行各种申请的终端。具体言之,既可以是居民自家所有的PC,也可以是在自治体的工作地点设置的申请用终端。如图1所示,居民用终端3由申请数据输入单元31;第一数据加密单元32以及网络连接单元33构成。申请数据输入单元31,在提供居民可以输入申请数据的画面的同时,将输入的申请数据变成规定的格式平文数据输出到第一数据加密单元32。主要是由显示画面、鼠标等定点设备、键盘等实现,但一部分也由CPU执行程序进行处理。第一数据加密单元32,按照居民用终端3和自治体公共服务器1之间使用的外部协议进行数据的加密。具体言之,将从申请数据输入单元31输入的平文数据进行加密并将该加密数据输出到网络连接单元33。第一数据加密单元32,由CPU执行程序处理而实现。网络连接单元33,经第一网络5与自治体公共服务器1连接,将从第一数据加密单元32输入的加密数据进行发送等等。利用网络连接机器实现。
自治体用终端4是各自治体的职员参照来自居民的申请数据并根据该参照的申请数据用来进行手续处理的PC终端。既可以是在各自治体的工作地点,也可以是在设置自治体公共服务器1的共用中心。如图1所示,自治体用终端4的构成包括网络连接单元41;参照表要求单元42;参照表显示单元43;第二数据解码单元44以及申请数据显示单元45。网络连接单元41是经第二网络6与自治体公共服务器1相连接,收发加密数据等的单元,是利用网络连接机器实现的。参照表要求单元42是自治体职员用来确认现在存储于自治体公共服务器1中的申请数据的单元,既可以要求全件,也可以要求检索自己所属的自治体的参照表。自治体的职员输入检索条件等等,另外,还输入表示输入完成的意思显示。于是,参照表要求单元42,将根据该输入内容的参照表要求信息经网络连接单元41及第二网络6发送到自治体公共服务器1。参照表显示单元43是显示对该参照表要求信息的自治体公共服务器1的应答,即显示参照表的检索结果的单元。由显示器画面等实现。于是,自治体的职员,浏览该参照表,选择应该要求取得的申请数据的数据编号。于是,将所选择的数据编号等发送到自治体公共服务器1。可以说这意味着参照表显示单元43也是申请数据要求单元。
第二数据解码单元44,回应对数据编号等的发送的自治体公共服务器1,即将申请数据进行加密的加密数据输入。于是,将该输入的加密数据利用本身的密钥程序进行解码。于是,将该解码的(申请数据)输出到申请数据显示单元45。第二数据解码单元44,既可以由CPU执行程序进行处理而实现,也可以利用前面所说明的HSM(此处为加密数据解码装置)实现。在利用HSM实现时,因为不能从HSM的外部参照保持申请数据的存储器的内容,可以确保申请数据的机密性。申请数据显示单元45是显示从第二数据解码单元44输入的平文数据的单元。另外,参照表要求单元42、参照表显示单元43及申请数据显示单元45是由显示画面、鼠标等定点设备、键盘等实现。
《数据的结构和概要》参照图2及图3,对本发明的实施方式的电子申请系统处理的数据的结构(格式)和概要予以说明。
在图2中示出平文数据7、对应表8、参照记录9及参照表10。平文数据7是居民用终端3的申请数据输入单元31生成的申请数据,是自治体公共服务器1中的加密数据变换装置2的平文数据存储单元22存储的平文数据,并且是自治体用终端4的申请数据显示单元45显示的申请数据。平文数据7的构成包括数据编号、申请日期、属性信息A、属性信息B及申请信息。数据编号是申请数据固有的编号,比如,使用居民为输入申请数据从居民用终端3登录到自治体公共服务器1时由自治体公共服务器1向居民用终端3送回的表示访问顺序的数字数据等。申请日期是输入申请数据的日期,是居民用终端3赋予的由本身的时钟功能输入的日期。属性信息A示出申请目标的自治体名。属性信息B示出申请的目的。申请信息是相应于该申请目的所必需的个人信息等。属性信息A、属性信息B及申请信息由居民从居民用终端3输入。
对应表8是由自治体公共服务器1中的加密数据变换装置2的对应表存储单元23存储,供参照记录生成单元24参照的表。对应表8,由密钥编号、属性信息A及属性信息B构成。密钥编号是实现内部协议的密钥程序的固有编号,对应该电子申请系统所使用的密钥程序设定。所以,密钥编号也与自治体用终端4的第二数据解码单元44相对应,由属性信息A及属性信息B确定。然而,有时由于居民输入错误及网络障碍等使属性信息A及属性信息B的组合在对应表8中不存在。为了处理这种情况,设置密钥编号ERR。与此密钥编号ERR相对应的数据解码单元,不是在自治体用终端4,而是在自治体公共服务器1中设置的可以由具有规定权限的职员使用的用来参照该申请数据。
参照记录9是由参照记录生成单元24生成,由参照记录存储单元25进行存储的。参照记录9的构成包括数据编号、申请日期、属性信息A、属性信息B及密钥编号。换言之,是从平文数据7去除申请信息,添加密钥编号的记录。
参照表10是由自治体公共服务器1中的参照表生成单元12生成,由参照表存储单元13进行存储的。并且,是自治体用终端4中的参照表要求单元42要求,由参照表显示单元43进行显示的。参照表10累积参照记录9。但是,密钥编号可在自治体公共服务器1的内部进行参照,但不能在自治体公共服务器1的外部进行参照。因此,参照表显示单元43,取得去除了密钥编号的参照表进行显示。
在图3中示出密钥程序11及加密数据12。密钥程序11是实现利用内部协议的数据加密的程序,设置于第二数据加密单元26中。密钥程序11由密钥编号及程序构成。程序以成为密钥程序执行形式的状态与密钥编号相对应地进行保持。
加密数据12,是由第二数据加密单元26输出,由加密数据存储单元14进行存储的数据。加密数据12由数据编号及加密正文构成。加密正文是将平文数据7加密而成。在该加密正文上附加数据编号就成为加密数据12。通过在加密正文上附加数据编号可使参照表10和加密数据12通过数据编号相互对应。
《电子申请系统的动作》接着,利用图4及图5对本发明的实施方式的电子申请系统的动作予以说明(适当参照图1至图3)。图4为示出在居民输入给自治体的申请数据之后一直到该输入申请数据存储于自治体公共服务器1中为止的动作的流程图。首先,在居民用终端3中,居民输入给自治体的申请数据(步骤S201)。此时,作为申请数据,在平文数据7之中,输入作为申请目标的自治体名的属性信息A,作为申请的目的的属性信息B以及作为根据申请的目的所必需的个人信息等的申请信息。于是,申请数据输入单元31生成规定格式的平文数据7(步骤S202)。在平文数据之中,将数据编号设定为表示在登录到自治体公共服务器1时的访问顺序的数字数据。申请日期设定为由PC的时钟功能输入的日期。属性信息A、属性信息B及申请信息设定为居民输入的信息。之后,第一数据加密单元32按照外部协议对申请数据输入单元31生成的平文数据7进行加密(步骤S203)。接着,网络连接单元33,将该加密数据经第一网络5发送到自治体公共服务器1(步骤S204)。
在自治体公共服务器1中,首先,第一网络连接单元11接收加密数据(步骤S205)。于是,加密数据变换装置2的第一数据解码单元21,将该加密数据按照外部协议进行解码,并将该解码的平文数据7存储于平文数据存储单元22中(步骤S206)。之后,参照记录生成单元24,将包含于该平文数据7中的属性信息A及属性信息B和存储于对应表存储单元23中的对应表8进行比对(步骤S207)。作为该比对结果,在存在与对应表8一致的属性信息A及属性信息B的组合时(步骤S208的“是”),就生成包含与该组合相对应的密钥编号的参照记录9并存储于参照记录存储单元25中(步骤S209)。作为该生成步骤,从平文数据7中去除申请信息,添加对应的密钥编号。在不存在与对应表8一致的属性信息A及属性信息B的组合时(步骤S208的“否”),就生成包含表示不一致错误的密钥编号ERR的参照记录9并存储于参照记录存储单元25中(步骤S210)。作为该生成步骤,从平文数据7中去除申请信息,添加对应的密钥编号ERR。
接着,第二数据加密单元26,输入存储于参照记录存储单元25中的参照记录9及存储于平文数据存储单元22中的平文数据7。利用与该参照记录9的密钥编号相对应的密钥程序(实现利用内部协议的加密的程序),将该平文数据7加密并将该加密数据12存储于加密数据存储单元14中((步骤S211)。此时,存储的加密数据12是在对平文数据7进行加密的加密正文上附加数据编号后形成的。此外,参照表生成单元12,从参照记录存储单元25输入参照记录9并将输入的参照记录9添加到存储于参照表存储单元13中的参照表10中(步骤S212)。作为该添加步骤,从参照表存储单元13输入现在的参照表10,在该输入的参照表10的最后添加参照记录9,并将添加该参照记录9后的新参照表10存储于参照表存储单元13中。通过以上的方式,在输入到居民用终端3的申请数据,作为利用内部协议的加密数据12,存储于自治体公共服务器1的加密数据存储单元14中的同时,将该申请数据的参照记录,添加到参照表存储单元13。就是说,成为可以从自治体用终端4取得申请数据的状态。
图5为示出自治体的职员利用自治体用终端4,在要求参照表10之后一直到参照申请数据为止的动作的流程图。首先,在自治体用终端4中,职员要求参照表(步骤S301)。既可以输入要参照整个参照表的意思,也可以通过输入关于属性信息A及属性信息B的检索条件集中于应该参照的对象。于是,参照表要求单元42,按照职员输入的内容生成参照表要求信息,并将生成的该参照表要求信息经网络连接单元41发送到自治体公共服务器1(步骤S302)。
在自治体公共服务器1中,第二网络连接单元15,接收参照表要求信息(步骤S303),并将该接收到的参照表要求信息输出到参照表检索单元16。参照表检索单元16,从第二网络连接单元15输入参照表要求信息,并按照该输入的参照表要求信息对存储于参照表存储单元13中的参照表10进行检索(步骤S304)。于是,将作为该检索结果的参照表(原来存储的参照表10的全部或一部分)经第二网络连接单元15发送到自治体用终端4(步骤S305)。此时,在该发送的参照表上未附加密钥编号。
在自治体用终端4中,网络连接单元41,接收参照表(步骤S306)并将接收到的该参照表输出到参照表显示单元43。参照表显示单元43,从网络连接单元41输入参照表并将该输入的参照表显示(步骤S307)。于是,职员利用显示的参照表,一边浏览属性信息A、属性信息B一边通过操作鼠标选择取得申请数据的数据编号(步骤S308)。参照表显示单元43,将选择的该数据编号和与该自治体用终端4的第二数据解码单元44相对应的密钥编号经网络连接单元41发送到自治体公共服务器1(步骤S309)。
在自治体公共服务器1中,第二网络连接单元15,接收数据编号及密钥编号(步骤S310)并将接收到的该数据编号及密钥编号输出到数据访问控制单元17。于是,数据访问控制单元17,从第二网络连接单元15输入数据编号及密钥编号,并将该输入的数据编号及密钥编号与存储于参照表存储单元13中的参照表10进行比对(步骤S311)。作为该比对结果,在参照表10中存在与数据编号及密钥编号一致的参照记录时(步骤S312的“是”),就从加密数据存储单元14输入与该数据编号相对应的加密数据12,并将输入的参照表生成单元12的一部分数据经第二网络连接单元15发送到自治体用终端4(步骤S313)。此时,发送的加密数据为从加密数据12除去数据编号后的加密文。在参照表10中不存在与数据编号及密钥编号一致的参照记录时(步骤S312的“否”),就将出错消息发送到自治体用终端4(步骤S314)。并且,数据访问控制单元17,添加自治体用终端4的访问登录信息(步骤S315)。
在自治体用终端4中,在网络连接单元41接收到加密数据时(步骤S316),就将接收到的该加密数据输出到第二数据解码单元44。第二数据解码单元44,从网络连接单元41输入加密数据,利用内部协议对该输入的加密数据进行解码,经过解码的该申请数据(平文数据)在申请数据显示单元45上显示(步骤S317)。于是,职员参照显示于申请数据显示单元45上的申请数据(步骤S318),进行规定的处理手续。另一方面,在网络连接单元41接受出错消息时(步骤S319),将该出错消息显示于未图示的规定的显示单元(步骤S320)。于是,职员参照显示的该出错消息(步骤S321),调查导致该出错消息的原因。
以上针对本发明的实施方式进行了说明,但是可以将实现图1所示的各单元的程序记录于计算机可读记录媒体上,通过将记录于该记录媒体上的程序读入到计算机并执行而实现本发明的实施方式的电子申请系统。此处所说的计算机系统包含OS(操作系统)等软件及外围机器等硬件。
《其他实施方式》以上示出本发明的一优选实施例,但本发明并不限定于上述实施例,在不脱离本发明的精神的范围内可进行适当的变更,比如,为了强化对于各自治体用终端4的安全性,自治体公共服务器1的参照表检索单元16,在接收到来自自治体用终端4的参照表信息时,属性信息A也可以将作为该参照表要求信息的发送来源的参照记录作为对象范围进行检索。据此,即使是内部协议对同一自治体用终端4存在多个时,申请数据(加密数据)也不会发送到本来的申请目标以外的终端。
根据本发明,因为电子自治体公共服务器中的加密数据变换装置可确保平文数据的机密性,电子自治体公共服务器,可在加密协议不同的申请用终端和电子自治体用终端之间在安全性方面进行可靠的申请数据中继。
同样,因为电子自治体用终端的加密数据解码装置可确保平文数据的机密性,可以保护申请数据避免申请数据的显示以外的访问。
另外,因为电子自治体公共服务器在确保申请数据的机密性的同时,可以发送与电子自治体用终端各自对应的申请数据,所以可以向居民或企业提供能够实现可靠的个人信息保护的电子自治系统。
权利要求
1.一种具备加密数据变换装置的服务器,该服务器是电子自治体系统中利用加密数据变换装置的电子自治体公共服务器,该电子自治体系统由居民或企业向自治体进行申请所使用的申请用终端、自治体接受居民或企业的申请所使用的电子自治体用终端、与上述申请用终端及上述电子自治体用终端之间由网络进行连接并进行申请数据的中继的电子自治体公共服务器构成,其特征在于,该服务器包括第一网络连接单元,经第一网络与上述申请用终端相连接,从该申请用终端接收作为以第一加密方式加密的申请数据的第一加密数据;加密数据变换装置,从上述第一网络连接单元输入上述第一加密数据,输出作为以第二加密方式加密的申请数据的第二加密数据,并且确保保持于该装置的内部的数据的机密性;加密数据存储单元,从上述加密数据变换装置输入上述第二加密数据,存储该输入的第二加密数据;以及第二网络连接单元,经第二网络与上述电子自治体用终端相连接,从上述加密数据存储单元输入上述第二加密数据,将该输入的第二加密数据发送到上述电子自治体用终端。
2.如权利要求1所述的具备加密数据变换装置的服务器,其特征在于,上述加密数据变换装置包括数据解码单元,从上述第一网络连接单元输入上述第一加密数据,以第一加密方式将该输入的第一加密数据进行解码,并将该解码的平文数据输出;平文数据存储单元,从上述数据解码单元输入上述平文数据并存储该输入的平文数据;以及数据加密单元,从上述平文数据存储单元输入上述平文数据,以上述第二加密方式将该输入的平文数据进行加密并将该加密的第二加密数据输出到上述加密数据存储单元。
3.如权利要求2所述的具备加密数据变换装置的服务器,其特征在于,上述平文数据的构成至少包括作为申请数据固有的编号的数据编号、包含申请目标的自治体名及申请目的的属性信息;以及作为对应于该申请目的所必需的信息的申请信息;上述加密数据变换装置还包括存储表示上述属性信息和作为以上述第二加密方式所固有的编号的密钥编号的对应关系的对应表的对应表存储单元;从上述平文数据存储单元输入上述数据编号及上述属性信息,并通过将该输入的属性信息和在上述对应表存储单元中存储的对应表进行比对从而确定与该属性信息相对应的密钥编号,将该输入的数据编号及属性信息和所确定的密钥编号组合后作为参照记录进行输出的参照记录生成单元;从上述参照记录生成单元输入上述参照记录并将该输入的参照记录进行存储的参照记录存储单元;上述数据加密单元利用在存储于上述参照记录存储单元中的参照记录中包含的密钥编号确定上述第二加密方式,将在以确定的该第二加密方式所加密的数据上附加上述数据编号后的数据作为上述第二加密数据输出到上述加密数据存储单元;上述自治体公共服务器还包括从上述参照记录存储单元输入参照记录,通过将该输入的参照记录添加到该时点的参照表而生成新参照表的参照表生成单元,以及输入上述参照表生成单元生成的参照表并将该输入的参照表进行存储的参照表存储单元。
4.如权利要求3所述的具备加密数据变换装置的服务器,其特征在于,上述自治体公共服务器还包括参照表检索单元,上述电子自治体用终端经上述第二网络连接单元接收至少包含检索条件的参照表要求信息,按照该所接收到的参照表要求信息检索存储于上述参照表存储单元中的参照表并将该检索结果经上述第二网络连接单元发送到上述电子自治体用终端;以及数据访问控制单元,经上述第二网络连接单元从上述电子自治体用终端接收作为申请数据要求信息的上述数据编号及上述密钥编号,当与该所接收到的数据编号及密钥编号一致的参照记录存在于上述参照表中时,从上述加密数据存储单元输入与该数据编号相对应的第二加密数据并将该输入的第二加密数据经上述第二网络连接单元发送到上述电子自治体用终端。
5.一种具有加密数据解码装置的终端,该终端是电子自治体系统中利用加密数据解码装置的电子自治体用终端,该电子自治体系统由居民或企业向自治体进行申请所使用的申请用终端、自治体接受居民或企业的申请所使用的电子自治体用终端、与上述申请用终端及上述电子自治体用终端之间由网络进行连接并进行申请数据的中继的电子自治体公共服务器构成,其特征在于,该电子自治体用终端包括网络连接单元,经网络与上述电子自治体公共服务器相连接,从该电子自治体公共服务器接收作为以规定的加密方式加密的申请数据的加密数据;加密数据解码装置,从上述网络连接单元输入上述加密数据,对该输入的加密数据以上述规定的加密方式解码并将该经过解码的申请数据输出,并且确保保持于该装置内部的数据的机密性;申请数据显示单元,从上述加密数据解码装置输入上述申请数据,并将该输入的申请数据进行显示。
6.如权利要求5所述的具备加密数据解码装置的终端,其特征在于,参照表是存储在上述自治体公共服务器中保持多个至少由作为申请数据固有的编号的数据编号、与包含申请目标的自治体名及申请目的的属性信息的组合的表;上述电子自治体用终端还包括参照表要求单元,根据由自治体的职员的操作所输入的上述参照表的检索条件制成参照表要求信息,将该所制成的参照表要求信息经上述网络连接单元发送到上述电子自治体公共服务器;参照表显示单元,从上述电子自治体公共服务器经上述网络连接单元接收作为对上述参照表要求信息的应答的参照表并将该接收到的参照表进行显示;以及申请数据要求单元,经上述网络连接单元,将上述自治体的职员通过从上述所显示的参照表中选择的数据编号及作为上述加密数据解码装置的加密方式所固有的编号的密钥编号发送到上述电子自治体公共服务器,从而要求申请数据。
全文摘要
本发明涉及具备加密数据变换装置的服务器。根据本发明的电子申请系统由自治体公共服务器(1)、多个居民用终端(3)和多个自治体用终端(4)构成。自治体公共服务器(1)的构成包括第一网络连接单元(11);加密数据变换装置(2);参照表生成单元(12);参照表存储单元(13);加密数据存储单元(14);第二网络连接单元(15);参照表检索单元(16)及数据访问控制单元(17)。加密数据变换装置(2)具有在将利用外部协议的加密数据变换为利用内部协议的加密数据的同时,确保在该时临时(一段时间)解码的平文数据的机密性的功能。另外,与一个申请数据相对应,自治体用终端(4)生成在自治体用终端(4)取得该申请数据之前参照的参照记录。
文档编号G06Q50/00GK1604521SQ20041008325
公开日2005年4月6日 申请日期2004年9月29日 优先权日2003年10月1日
发明者武田旬, 篠田隆志, 甲斐隆嗣 申请人:株式会社日立制作所