Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4778798B2 - Data management device - Google Patents
[go: Go Back, main page]

JP4778798B2 - Data management device - Google Patents

Data management device Download PDF

Info

Publication number
JP4778798B2
JP4778798B2 JP2006017138A JP2006017138A JP4778798B2 JP 4778798 B2 JP4778798 B2 JP 4778798B2 JP 2006017138 A JP2006017138 A JP 2006017138A JP 2006017138 A JP2006017138 A JP 2006017138A JP 4778798 B2 JP4778798 B2 JP 4778798B2
Authority
JP
Japan
Prior art keywords
key
encryption
encrypted
data block
unique
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006017138A
Other languages
Japanese (ja)
Other versions
JP2007199974A (en
Inventor
充男 藤本
岳雄 島田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2006017138A priority Critical patent/JP4778798B2/en
Publication of JP2007199974A publication Critical patent/JP2007199974A/en
Application granted granted Critical
Publication of JP4778798B2 publication Critical patent/JP4778798B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、電子データを安全に保存するための技術に関する。   The present invention relates to a technique for safely storing electronic data.

従来、ネットワークで接続されたサーバに、電子データを保存し、必要に応じてサーバから取り出す電子データの管理システムが知られている。このようなシステムでは、電子データのセキュリティを高めるために、サーバは、電子データを暗号化して保持している。   2. Description of the Related Art Conventionally, electronic data management systems that store electronic data in a server connected via a network and retrieve the data from the server as needed are known. In such a system, in order to increase the security of electronic data, the server holds the electronic data encrypted.

そこで、本発明の目的は、電子データの漏洩に対するセキュリティを向上させることである。   Accordingly, an object of the present invention is to improve security against leakage of electronic data.

本発明の一実施態様に従う、データブロックを暗号化して保存するデータ管理装置は、第1キーを記憶する第1記憶手段と、前記データブロック、前記データブロックに対応したユニークキー、及び第2キーの入力を受け付ける第1の受付手段と、前記ユニークキーに基づいて暗号キーを生成する手段と、前記第1の受付手段が受け付けたユニークキーに対応したデータブロックを、前記生成された暗号キーで暗号化するとともに、前記データブロックを消去する第1暗号化手段と、前記暗号キーを前記第2キーで暗号化するとともに、前記暗号キーを消去する第2暗号化手段と、前記第2キーを、前記第1記憶手段に記憶されている第1キーで暗号化するとともに、前記第2キーを消去する第3暗号化手段と、前記第1暗号化手段で暗号化されたデータブロックと、前記第2の暗号化手段で暗号化された暗号キーと、前記第3の暗号化手段で暗号化された第2キーとを記憶する第2記憶手段と、を備える。そして、前記暗号化されたデータブロックは、前記暗号化された暗号キーと対応付けられて前記第2記憶手段に記憶されている。   According to an embodiment of the present invention, a data management device for encrypting and storing a data block includes a first storage unit that stores a first key, the data block, a unique key corresponding to the data block, and a second key A first receiving means for receiving the input, a means for generating an encryption key based on the unique key, and a data block corresponding to the unique key received by the first receiving means with the generated encryption key. A first encryption unit for encrypting and erasing the data block; a second encryption unit for encrypting the encryption key with the second key; and a second encryption unit for erasing the encryption key; The third encryption means for encrypting with the first key stored in the first storage means and erasing the second key, and the encryption with the first encryption means Provided that the data blocks, the encryption key encrypted by the second encryption means, second storage means for storing a second key encrypted with the third encryption means. The encrypted data block is stored in the second storage means in association with the encrypted encryption key.

好適な実施形態では、前記第2記憶手段には、さらに、前記ユニークキーが記憶されていてもよい。この場合、前記ユニークキーは、前記暗号化されたデータブロックまたは前記暗号化された前記暗号化された暗号キーと対応付けて記憶されている。   In a preferred embodiment, the second storage means may further store the unique key. In this case, the unique key is stored in association with the encrypted data block or the encrypted encryption key.

好適な実施形態では、前記第1の受付手段は、複数のデータブロックと、各データブロックにそれぞれ対応付けられている複数のユニークキーを受け付け、前記暗号キー生成手段は、前記複数のユニークキーに基づいて、複数の暗号キーを生成し、前記第1の暗号化手段は、各データブロックを、それぞれ対応する暗号キーで暗号化し、前記第2暗号化手段は、各暗号キーを暗号化するとともに、各暗号キーを消去し、前記第2の記憶手段には、暗号化された複数のデータブロックが、それぞれ対応する暗号化された暗号キーと対応付けられて記憶されているようにしてもよい。   In a preferred embodiment, the first receiving unit receives a plurality of data blocks and a plurality of unique keys respectively associated with the data blocks, and the encryption key generating unit receives the plurality of unique keys. And generating a plurality of encryption keys, wherein the first encryption means encrypts each data block with a corresponding encryption key, and the second encryption means encrypts each encryption key and The encryption keys may be erased, and the second storage means may store a plurality of encrypted data blocks in association with the corresponding encrypted encryption keys. .

好適な実施形態では、前記複数のデータブロックは、予め複数のグループにグループ化されていて、前記第1記憶手段には、グループごとに異なる複数の第1キーが記憶されていて、前記第1の受付手段が受け付けたユニークキーまたは第2キーに基づいて前記複数のグループの中から一のグループを特定し、当該特定されたグループに対応した第1キーを第1記憶手段から取得するグループ判別手段をさらに備えてもよい。この場合、前記第3暗号化手段は、前記グループ判別手段が取得した第1キーを用いて暗号化する。   In a preferred embodiment, the plurality of data blocks are grouped in advance into a plurality of groups, and the first storage means stores a plurality of first keys different for each group, Group identification that identifies one group from among the plurality of groups based on the unique key or the second key received by the receiving means, and obtains the first key corresponding to the specified group from the first storage means Means may further be provided. In this case, the third encryption means encrypts using the first key acquired by the group determination means.

好適な実施形態では、前記複数のデータブロックは、予め複数のグループにグループ化されていて、前記第1記憶手段には、グループごとに異なる複数の第1キーが記憶されていてもよい。この場合、前記第1記憶手段に記憶されている第1キーで、前記第2記憶手段に記憶されている暗号化された第2キーを復号する第1復号手段と、一のユニークキーを含み、当該ユニークキーに対応するデータブロックの取得を要求する取得要求を受け付ける第2の受付手段と、前記第1復号手段で復号された第2キーで、前記第2の受付手段が受け付けた取得要求に含まれているユニークキーに対応する、暗号化された暗号キーを復号する第2復号手段と、前記第2復号手段により復号された暗号キーで、前記暗号化されたデータブロックを復号する第3復号手段と、前記第2の受付手段が受け付けた取得要求に含まれるユニークキーに基づいて前記複数のグループの中から一のグループを特定し、当該特定されたグループに対応した第1キーを第1記憶手段から取得するグループ判別手段と、をさらに備える。そして、前記第1復号手段は、前記グループ判別手段が取得した第1キーを用いて復号するようにしてもよい。   In a preferred embodiment, the plurality of data blocks may be grouped in advance into a plurality of groups, and the first storage unit may store a plurality of first keys different for each group. In this case, the first key stored in the first storage means includes a first decryption means for decrypting the encrypted second key stored in the second storage means, and one unique key. An acquisition request received by the second receiving means by a second receiving means for receiving an acquisition request for requesting acquisition of a data block corresponding to the unique key and a second key decrypted by the first decrypting means. A second decryption unit for decrypting the encrypted encryption key corresponding to the unique key included in the first key, and a second decryption unit for decrypting the encrypted data block with the encryption key decrypted by the second decryption unit. A first decoding unit that identifies one group from the plurality of groups based on a unique key included in the acquisition request received by the third decryption unit and the second reception unit, and that corresponds to the identified group; Further comprising a group determination unit configured to acquire over from the first storage means. The first decryption unit may decrypt the first key acquired by the group determination unit.

前記第1記憶手段に記憶されている第1キーで、前記第2記憶手段に記憶されている暗号化された第2キーを復号する第1復号手段と、一のユニークキーを含み、当該ユニークキーに対応するデータブロックの取得を要求する取得要求を受け付ける第2の受付手段と、前記第1復号手段で復号された第2キーで、前記第2の受付手段が受け付けた取得要求に含まれているユニークキーに対応する、暗号化された暗号キーを復号する第2復号手段と、前記第2復号手段により復号された暗号キーで、前記暗号化されたデータブロックを復号する第3復号手段と、前記第3の復号手段で復号されたデータブロックを、前記取得要求に対する応答として出力する手段と、をさらに備えていてもよい。   A first decryption means for decrypting an encrypted second key stored in the second storage means with a first key stored in the first storage means; Included in the acquisition request received by the second receiving means by the second receiving means for receiving an acquisition request for requesting acquisition of the data block corresponding to the key and the second key decrypted by the first decrypting means. Second decryption means for decrypting the encrypted encryption key corresponding to the unique key, and third decryption means for decrypting the encrypted data block with the encryption key decrypted by the second decryption means And a means for outputting the data block decoded by the third decoding means as a response to the acquisition request.

好適な実施形態では、前記第1記憶手段に記憶されている第1キーで、前記第2記憶手段に記憶されている暗号化された第2キーを復号する第1復号手段と、一のユニークキーを含み、当該ユニークキーに対応するデータブロックの取得を要求する取得要求を受け付ける第2の受付手段と、前記第1復号手段で復号された第2キーで、前記第2の受付手段が受け付けた取得要求に含まれているユニークキーに対応する、暗号化された暗号キーを復号する第2復号手段と、前記第2復号手段により復号された暗号キーで、前記暗号化されたデータブロックを復号する第3復号手段と、前記第3の復号手段で復号されたデータブロックを、前記取得要求に対する応答として出力する手段と、をさらに備えていてもよい。そして、前記複数のデータブロックは、予め複数のグループにグループ化されていて、前記第1記憶手段には、グループごとに異なる複数の第1キーが記憶されていて、前記第2の受付手段が受け付けた取得要求に含まれるユニークキーに基づいて前記複数のグループの中から一のグループを特定し、当該特定されたグループに対応した第1キーを第1記憶手段から取得するグループ判別手段をさらに備えるようにしてもよい。この場合、前記第1復号手段は、前記グループ判別手段が取得した第1キーを用いて復号する。   In a preferred embodiment, the first decryption means for decrypting the encrypted second key stored in the second storage means with the first key stored in the first storage means, and one unique The second accepting unit accepts the second accepting unit for accepting an acquisition request for obtaining the data block corresponding to the unique key, and the second key decrypted by the first decrypting unit. A second decryption unit for decrypting the encrypted encryption key corresponding to the unique key included in the obtained acquisition request, and the encrypted data block with the encryption key decrypted by the second decryption unit. Third decoding means for decoding and means for outputting the data block decoded by the third decoding means as a response to the acquisition request may be further provided. The plurality of data blocks are grouped into a plurality of groups in advance, and the first storage unit stores a plurality of first keys different for each group, and the second receiving unit stores Group discriminating means for identifying one group from the plurality of groups based on a unique key included in the received acquisition request and acquiring a first key corresponding to the identified group from the first storage means; You may make it prepare. In this case, the first decryption means decrypts using the first key acquired by the group discrimination means.

以下、本発明の一実施形態に係るデータ管理システムについて、図面を参照して説明する。   Hereinafter, a data management system according to an embodiment of the present invention will be described with reference to the drawings.

図1は、本実施形態に係るデータ管理システムの全体構成を示す。   FIG. 1 shows an overall configuration of a data management system according to the present embodiment.

本システムは、データの管理を行うセンタサーバ1と、暗号化のための第1キーを記憶した第1キー格納サーバ3と、ユーザ端末5とを備える。   The system includes a center server 1 that manages data, a first key storage server 3 that stores a first key for encryption, and a user terminal 5.

センタサーバ1、第1キー格納サーバ3、及びユーザ端末5は、いずれも例えば汎用的なコンピュータシステムにより構成され、以下に説明する各サーバ1,3及びユーザ端末5内の個々の構成要素または機能は、例えば、コンピュータプログラムを実行することにより実現される。   The center server 1, the first key storage server 3, and the user terminal 5 are all configured by, for example, a general-purpose computer system, and individual components or functions in the servers 1, 3 and the user terminal 5 described below. Is realized, for example, by executing a computer program.

センタサーバ1は、ユーザの機密データファイルなど、ブロック化された種々の電子データを管理する。例えば、センタサーバ1は、複数のユーザ端末5から各ユーザのデータファイルの登録要求を受け付け、データファイルを暗号化して記憶する。そして、いずれかのユーザ端末5から、暗号化して保持しているデータファイルの取得要求を受け付けると、そのデータファイルを復号して提供する。なお、データファイルの取得要求は、データファイルの登録要求を行ったユーザ端末5と同一のユーザ端末5から行うこともできるし、異なるユーザ端末5から行うこともできる。   The center server 1 manages various blocked electronic data such as a user's confidential data file. For example, the center server 1 receives a registration request for each user's data file from a plurality of user terminals 5 and stores the encrypted data file. Then, when an acquisition request for a data file encrypted and held is received from any user terminal 5, the data file is decrypted and provided. The data file acquisition request can be made from the same user terminal 5 as the user terminal 5 that made the data file registration request, or can be made from a different user terminal 5.

なお、暗号化して保存されるデータファイルは、例えば、ワープロで作成された文書ファイル、プレゼンテーション用のファイル、ドローツールで描かれた図面などのファイル、あるいは写真などの画像ファイル、およびそれらのPDFファイルなどであってもよい。   The data files that are encrypted and saved include, for example, a document file created with a word processor, a file for presentation, a file such as a drawing drawn with a draw tool, or an image file such as a photo, and a PDF file thereof. It may be.

図2は、センタサーバ1の機能構成を示す。   FIG. 2 shows a functional configuration of the center server 1.

センタサーバ1は、3つの暗号処理部(第1暗号処理部11、第2暗号処理部12、第3暗号処理部13)と、3つの復号処理部(第1復号処理部21、第2復号処理部22、第3復号処理部23)と、暗号化されたデータを格納するデータ記憶部15と、グループ判定部17と、ネットワークインタフェース19とを備える。   The center server 1 includes three cryptographic processing units (first cryptographic processing unit 11, second cryptographic processing unit 12, and third cryptographic processing unit 13) and three decryption processing units (first decryption processing unit 21, second decryption processing unit 13). A processing unit 22, a third decryption processing unit 23), a data storage unit 15 that stores encrypted data, a group determination unit 17, and a network interface 19.

ネットワークインタフェース19は、ユーザ端末5とのデータ入出力を行う。   The network interface 19 performs data input / output with the user terminal 5.

例えば、ネットワークインタフェース19は、ユーザ端末5からデータファイルの登録要求を受け付ける。この登録要求には、データファイル100の他、このデータファイル100に対応付けられているユニークキー200と、このデータファイルの属するグループの第2キー300とが含まれている。   For example, the network interface 19 receives a data file registration request from the user terminal 5. In addition to the data file 100, the registration request includes a unique key 200 associated with the data file 100 and a second key 300 of the group to which the data file belongs.

また、ネットワークインタフェース19は、ユーザ端末5からデータファイルの取得要求を受け付ける。この取得要求には、ユーザが取り出したいデータファイル100に対応するユニークキー200が含まれている。ネットワークインタフェース19は、データファイルの取得要求に対する応答として、復号されたデータファイル100をユーザ端末5へ送信する。   Further, the network interface 19 receives a data file acquisition request from the user terminal 5. This acquisition request includes the unique key 200 corresponding to the data file 100 that the user wants to retrieve. The network interface 19 transmits the decrypted data file 100 to the user terminal 5 as a response to the data file acquisition request.

ここで、データファイル100のグループ化について説明する。本実施形態では、データファイル100を複数のグループにグルーピングして管理することができる。そして、各グループには、それぞれグループ別の第1キー400及び第2キー300が割り当てられている。   Here, the grouping of the data file 100 will be described. In the present embodiment, the data file 100 can be managed by being grouped into a plurality of groups. Each group is assigned a first key 400 and a second key 300 for each group.

そこで、グループ判定部17は、ユニークキー200あるいは第2キー300から、それらが属するグループを特定する。そして、グループ判定部17は、特定されたグループの第1キーを第1キー格納サーバ3の記憶部31から取得する。   Therefore, the group determination unit 17 specifies the group to which the unique key 200 or the second key 300 belongs. Then, the group determination unit 17 acquires the first key of the identified group from the storage unit 31 of the first key storage server 3.

第1暗号処理部11は、データファイル100を、そのデータファイル100に対応する所定の暗号キー205で暗号化する。この暗号キー205は、第1暗号処理部11がユニークキー200を所定の規則に基づいて変換して生成したものである。この暗号キー205の生成は、例えば、ユニークキー200に所定の桁数の乱数を付加したり、所定の変換テーブルなどを用いて行ってもよい。なお、第1暗号処理部の暗号化には、暗号キー205ではなくユニークキー200そのものを利用してもよい。   The first encryption processing unit 11 encrypts the data file 100 with a predetermined encryption key 205 corresponding to the data file 100. The encryption key 205 is generated by the first encryption processing unit 11 converting the unique key 200 based on a predetermined rule. The encryption key 205 may be generated, for example, by adding a random number with a predetermined number of digits to the unique key 200 or using a predetermined conversion table. In addition, you may utilize the unique key 200 itself instead of the encryption key 205 for encryption of a 1st encryption process part.

第1暗号処理部11により暗号化されたデータファイル150は、データ記憶部15に格納される。一方、暗号化前のデータファイル100は消去され、センタサーバ1内には保持されない。   The data file 150 encrypted by the first encryption processing unit 11 is stored in the data storage unit 15. On the other hand, the data file 100 before encryption is erased and is not held in the center server 1.

第2暗号処理部12は、暗号キー205を、その暗号キー205に対応するユニークキー200が属するグループの第2キー300で暗号化し、暗号化された暗号キー250をデータ記憶部15に格納する。この暗号化が終了すると、暗号化前の暗号キー205は消去され、センタサーバ1内には保持されない。   The second encryption processing unit 12 encrypts the encryption key 205 with the second key 300 of the group to which the unique key 200 corresponding to the encryption key 205 belongs, and stores the encrypted encryption key 250 in the data storage unit 15. . When this encryption is completed, the encryption key 205 before encryption is erased and is not held in the center server 1.

ここで、データ記憶部15において、暗号化された暗号キー250は、暗号化前のユニークキー200と対応付けて記憶されている。さらに、暗号化された暗号キー250は、暗号化前のユニークキー200と対応するデータファイル100が暗号化された、暗号化データファイル150とも対応付けて記憶されている。   Here, in the data storage unit 15, the encrypted encryption key 250 is stored in association with the unique key 200 before encryption. Further, the encrypted encryption key 250 is stored in association with the encrypted data file 150 obtained by encrypting the data file 100 corresponding to the unique key 200 before encryption.

第3暗号処理部13は、第2キー300を第1キー400で暗号化して、データ記憶部15に格納する。この暗号化が終了すると、暗号化前の第2キー300は消去され、センタサーバ1内には保持されない。   The third encryption processing unit 13 encrypts the second key 300 with the first key 400 and stores it in the data storage unit 15. When this encryption is completed, the second key 300 before encryption is erased and is not held in the center server 1.

第3暗号処理部13が暗号化に用いる第1キー400は、グループ判定部17が第1キー格納サーバ3から取得したものであり、ここで暗号化される第2キー300の属するグループに対応するものである。   The first key 400 used for encryption by the third encryption processing unit 13 is acquired by the group determination unit 17 from the first key storage server 3, and corresponds to the group to which the second key 300 to be encrypted belongs. To do.

第1〜第3の暗号処理部11〜13の処理により、データ記憶部15には、暗号化されたデータファイル150、暗号化された暗号キー250(暗号化されたデータファイル150の暗号化に用いた暗号キー205が暗号化されたもの)、及び暗号化された第2キー350(暗号化された暗号キー250の暗号化に用いた第2キー300が暗号化されたもの)が格納される。   By the processing of the first to third encryption processing units 11 to 13, the data storage unit 15 stores the encrypted data file 150 and the encrypted encryption key 250 (for encrypting the encrypted data file 150). The encrypted encryption key 205 used) and the encrypted second key 350 (encrypted second key 300 used for encrypting the encrypted encryption key 250) are stored. The

一方で、暗号キーと、データファイルの登録要求に含まれていた、暗号化される前のデータファイル100及び第2キー300とは、センタサーバ1には保持されていない。さらに、第1キー400は、データ記憶部15とは別に管理されている。これにより、データ記憶部15の記憶内容が流出したとしても、データファイル100の復号は困難である。   On the other hand, the encryption key and the data file 100 and the second key 300 before being encrypted included in the data file registration request are not held in the center server 1. Further, the first key 400 is managed separately from the data storage unit 15. As a result, even if the stored contents of the data storage unit 15 are leaked, it is difficult to decrypt the data file 100.

第1復号処理部21は、第1キー格納サーバ3の第1キー400で、データ記憶部15に記憶されている暗号化された第2キー350を復号する。ここで、復号に用いる第1キー400は、データファイル取得要求に含まれるユニークキー220に基づいてグループ判定部17が取得した第1キー400であり、データファイル取得要求に係るデータファイルが属するグループに対応するものである。   The first decryption processing unit 21 decrypts the encrypted second key 350 stored in the data storage unit 15 with the first key 400 of the first key storage server 3. Here, the first key 400 used for decryption is the first key 400 acquired by the group determination unit 17 based on the unique key 220 included in the data file acquisition request, and the group to which the data file related to the data file acquisition request belongs. It corresponds to.

第3復号処理部23は、第2復号処理部22で復号された暗号キー205を用いて、復号前にデータ記憶部15において対応付けて記憶されていた暗号化されたデータファイル150を復号する。そして、復号によって得られたデータファイル110は、ネットワークインタフェース19を介してユーザ端末5へ送信される。   The third decryption processing unit 23 uses the encryption key 205 decrypted by the second decryption processing unit 22 to decrypt the encrypted data file 150 stored in association with the data storage unit 15 before decryption. . The data file 110 obtained by decryption is transmitted to the user terminal 5 via the network interface 19.

図3は、ユーザ端末5からデータファイルの登録要求を受けたときのセンタサーバ1の処理手順を示すフローチャートである。   FIG. 3 is a flowchart showing a processing procedure of the center server 1 when a data file registration request is received from the user terminal 5.

まず、ネットワークインタフェース19がデータファイルの登録要求を受け付けると、第1暗号処理部11が、その登録要求に含まれるユニークキー200を変換した暗号キー205で、その登録要求に含まれるデータファイル100を暗号化する(S11)。デーファイル100の暗号化が終了すると、第1暗号処理部11が、暗号化前のデータファイル100を消去する。   First, when the network interface 19 receives a registration request for a data file, the first encryption processing unit 11 uses the encryption key 205 obtained by converting the unique key 200 included in the registration request to store the data file 100 included in the registration request. Encryption is performed (S11). When the encryption of the data file 100 is completed, the first encryption processing unit 11 erases the data file 100 before encryption.

次に、第2暗号処理部12が、登録要求に含まれる第2キー300で、データファイル100の暗号化に使用した暗号キー205を暗号化する(S12)。暗号キー205の暗号化が終了すると、第2暗号処理部12が暗号化前の暗号キー205を消去する。   Next, the second encryption processing unit 12 encrypts the encryption key 205 used for encrypting the data file 100 with the second key 300 included in the registration request (S12). When the encryption of the encryption key 205 is completed, the second encryption processing unit 12 erases the encryption key 205 before encryption.

そして、暗号化されたデータファイル150と暗号化された暗号キー205とユニークキー200とを対応付けてデータ記憶部15に格納する(S13)。   Then, the encrypted data file 150, the encrypted encryption key 205, and the unique key 200 are associated with each other and stored in the data storage unit 15 (S13).

グループ判定部17は、登録要求に含まれている第2キー300またはユニークキー200に基づいて、これらの属するグループを特定し、特定されたグループの第1キー400を第1キー格納サーバ3から取得する(S14)。   Based on the second key 300 or the unique key 200 included in the registration request, the group determination unit 17 identifies the group to which these groups belong, and the first key 400 of the identified group is obtained from the first key storage server 3. Obtain (S14).

第3暗号処理部13が、上記処理で取得した第1キー400で、ユニークキー200の暗号化に使用した第2キー300を暗号化する(S15)。第2キー300の暗号化が終了すると、第3暗号処理部13が暗号化前の第2キー300を消去する。   The third encryption processing unit 13 encrypts the second key 300 used for encrypting the unique key 200 with the first key 400 acquired in the above process (S15). When the encryption of the second key 300 is completed, the third encryption processing unit 13 erases the second key 300 before encryption.

そして、暗号化された第2キー350をデータ記憶部15に格納する(S16)。   Then, the encrypted second key 350 is stored in the data storage unit 15 (S16).

これにより、データファイルの登録が完了し、センタサーバ1に暗号化された状態で、かつ、高いセキュリティ強度でデータファイルが保持される。   As a result, the registration of the data file is completed, and the data file is held in the encrypted state in the center server 1 with high security strength.

図4は、ユーザ端末5からデータファイルの取得要求を受けたときのセンタサーバ1の処理手順を示すフローチャートである。   FIG. 4 is a flowchart showing a processing procedure of the center server 1 when a data file acquisition request is received from the user terminal 5.

まず、ネットワークインタフェース19がデータファイルの取得要求を受け付けると、その取得要求に含まれているユニークキー220に基づいて、グループ判定部17がこのユニークキー220の属するグループを特定し、特定されたグループの第1キー400を第1キー格納サーバ3から取得する(S21)。   First, when the network interface 19 receives a data file acquisition request, the group determination unit 17 specifies a group to which the unique key 220 belongs based on the unique key 220 included in the acquisition request. The first key 400 is acquired from the first key storage server 3 (S21).

第1復号処理部21が、ここで取得した第1キー400に基づいて、同じグループの暗号化された第2キー350を復号する(S22)。   The first decryption processing unit 21 decrypts the encrypted second key 350 of the same group based on the first key 400 acquired here (S22).

第2復号処理部22が、復号された第2キー310に基づいて、データファイルの取得要求に含まれているユニークキー220と対応付けて記憶されている暗号化された暗号キー250を復号する(S23)。   Based on the decrypted second key 310, the second decryption processing unit 22 decrypts the encrypted encryption key 250 stored in association with the unique key 220 included in the data file acquisition request. (S23).

そして、復号された暗号キー205が復号される前にデータ記憶部15で対応付けられていた暗号化されたデータファイル150を、ステップS23で復号された暗号キー205で復号する(S24)。   Then, the encrypted data file 150 associated with the data storage unit 15 before the decrypted encryption key 205 is decrypted is decrypted with the encryption key 205 decrypted in step S23 (S24).

復号されたデータファイル110が、ユーザ端末5へ送信される(S25)。   The decrypted data file 110 is transmitted to the user terminal 5 (S25).

上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。   The above-described embodiments of the present invention are examples for explaining the present invention, and are not intended to limit the scope of the present invention only to those embodiments. Those skilled in the art can implement the present invention in various other modes without departing from the gist of the present invention.

例えば、上述した第1キー格納サーバは、必ずしもサーバでなくてもよく、例えば、第1キーを格納した可搬型の記憶媒体であって、暗号化処理を行う際に、センターサーバに接続されるものであってもよい。さらには、第1キーは、必ずしも記憶媒体に格納されていなくてもよく、必要に応じて管理者等が入力するようにしてもよい。   For example, the above-described first key storage server does not necessarily have to be a server. For example, the first key storage server is a portable storage medium that stores the first key, and is connected to the center server when performing encryption processing. It may be a thing. Furthermore, the first key is not necessarily stored in the storage medium, and may be input by an administrator or the like as necessary.

本発明の一実施形態に係るデータ管理システムの全体構成を示す。1 shows an overall configuration of a data management system according to an embodiment of the present invention. センタサーバ1の機能構成を示す。The function structure of the center server 1 is shown. データファイルの登録要求を受けたときの処理手順を示すフローチャートである。It is a flowchart which shows the process sequence when the registration request of a data file is received. データファイルの取得要求を受けたときの処理手順を示すフローチャートである。It is a flowchart which shows the process sequence when the acquisition request of a data file is received.

符号の説明Explanation of symbols

1 センタサーバ
3 第1キー格納サーバ
5 ユーザ端末
11、12、13 暗号処理部
15 データ記憶部
17 グループ判定部
19 ネットワークインタフェース
21、22、23 復号処理部
DESCRIPTION OF SYMBOLS 1 Center server 3 1st key storage server 5 User terminal 11, 12, 13 Encryption processing part 15 Data storage part 17 Group determination part 19 Network interface 21, 22, 23 Decryption processing part

Claims (8)

データブロックを暗号化して保存するデータ管理装置であって
端末装置から、前記データブロック、前記データブロックに対応したユニークキー、及び第2キーの入力を受け付ける第1の受付手段と、
前記端末装置とは異なる外部の装置から第1キーを取得する取得手段と、
前記ユニークキーに基づいて暗号キーを生成する手段と、
前記第1の受付手段が受け付けたユニークキーに対応したデータブロックを、前記生成された暗号キーで暗号化するとともに、前記データブロックを消去する第1暗号化手段と、
前記暗号キーを前記第2キーで暗号化するとともに、前記暗号キーを消去する第2暗号化手段と、
前記第2キーを、前記取得手段が取得した第1キーで暗号化するとともに、前記第2キーを消去する第3暗号化手段と、
前記第1暗号化手段で暗号化されたデータブロックと、前記第2の暗号化手段で暗号化された暗号キーと、前記第3の暗号化手段で暗号化された第2キーとを記憶する第2記憶手段と、を備え、
前記暗号化されたデータブロックは、前記暗号化された暗号キーと対応付けられて前記第2記憶手段に記憶されていることを特徴とするデータ管理装置。
A data management device for encrypting and storing data blocks ,
First receiving means for receiving input of the data block, a unique key corresponding to the data block, and a second key from a terminal device ;
Obtaining means for obtaining a first key from an external device different from the terminal device;
Means for generating an encryption key based on the unique key;
A first encryption unit for encrypting a data block corresponding to the unique key received by the first reception unit with the generated encryption key and erasing the data block;
A second encryption means for encrypting the encryption key with the second key and erasing the encryption key;
A third encryption means for encrypting the second key with the first key obtained by the obtaining means and erasing the second key;
The data block encrypted by the first encryption means, the encryption key encrypted by the second encryption means, and the second key encrypted by the third encryption means are stored. Second storage means,
The data management apparatus, wherein the encrypted data block is stored in the second storage unit in association with the encrypted encryption key.
前記第2記憶手段には、さらに、前記ユニークキーが記憶されていて、
前記ユニークキーは、前記暗号化されたデータブロックまたは前記暗号化された暗号キーと対応付けて記憶されていることを特徴とする請求項1記載のデータ管理装置。
The second storage means further stores the unique key,
2. The data management apparatus according to claim 1, wherein the unique key is stored in association with the encrypted data block or the encrypted encryption key.
前記第1の受付手段は、複数のデータブロックと、各データブロックにそれぞれ対応付けられている複数のユニークキーを受け付け、
前記暗号キー生成手段は、前記複数のユニークキーに基づいて、複数の暗号キーを生成し、
前記第1の暗号化手段は、各データブロックを、それぞれ対応する暗号キーで暗号化し、
前記第2暗号化手段は、各暗号キーを暗号化するとともに、暗号化されていない各暗号キーを消去し、
前記第2の記憶手段には、暗号化された複数のデータブロックが、それぞれ対応する暗号化された暗号キーと対応付けられて記憶されていることを特徴とする請求項1または2記載のデータ管理装置。
The first receiving means receives a plurality of data blocks and a plurality of unique keys respectively associated with the data blocks,
The encryption key generation means generates a plurality of encryption keys based on the plurality of unique keys,
The first encryption means encrypts each data block with a corresponding encryption key,
The second encryption means encrypts each encryption key and erases each unencrypted encryption key;
The data according to claim 1 or 2, wherein the second storage means stores a plurality of encrypted data blocks in association with corresponding encrypted encryption keys. Management device.
前記複数のデータブロックは、予め複数のグループにグループ化され、各グループにはそれぞれ異なる第1キーが設定されていて、
前記第1の受付手段が受け付けたユニークキーまたは第2キーに基づいて前記複数のグループの中から一のグループを特定するグループ判別手段をさらに備え、
前記取得手段は、前記グループ判別手段によって特定されたグループに対応した第1キーを取得し、
前記第3暗号化手段は、前記取得手段が取得した、前記グループ判別手段によって特定されたグループに対応した第1キーを用いて暗号化することを特徴とする請求項3に記載されたデータ管理装置。
The plurality of data blocks are previously grouped into a plurality of groups, and a different first key is set for each group ,
Further comprising a group discriminator Ru JP Teisu one group from the plurality of groups based on the unique key or the second key the first reception unit receives,
The acquisition means acquires a first key corresponding to the group specified by the group determination means,
4. The data management according to claim 3, wherein the third encryption unit encrypts using the first key acquired by the acquisition unit and corresponding to the group specified by the group determination unit. apparatus.
前記取得手段が取得した第1キーで、前記第2記憶手段に記憶されている暗号化された第2キーを復号する第1復号手段と、
一のユニークキーを含み、当該ユニークキーに対応するデータブロックの取得を要求する取得要求を受け付ける第2の受付手段と、
前記第1復号手段で復号された第2キーで、前記第2の受付手段が受け付けた取得要求に含まれているユニークキーに対応する、暗号化された暗号キーを復号する第2復号手段と、
前記第2復号手段により復号された暗号キーで、前記暗号化されたデータブロックを復号する第3復号手段と、
前記第3の復号手段で復号されたデータブロックを、前記取得要求に対する応答として出力する手段と、をさらに備える請求項1または2記載のデータ管理装置。
First decryption means for decrypting the encrypted second key stored in the second storage means with the first key obtained by the obtaining means ;
A second accepting unit that accepts an acquisition request that includes one unique key and requests acquisition of a data block corresponding to the unique key;
Second decryption means for decrypting an encrypted encryption key corresponding to the unique key included in the acquisition request received by the second reception means with the second key decrypted by the first decryption means; ,
Third decryption means for decrypting the encrypted data block with the encryption key decrypted by the second decryption means;
The data management apparatus according to claim 1, further comprising means for outputting the data block decoded by the third decoding means as a response to the acquisition request.
前記複数のデータブロックは、予め複数のグループにグループ化され、各グループにはそれぞれ異なる第1キーが設定されていて
前記取得手段が取得した第1キーで、前記第2記憶手段に記憶されている暗号化された第2キーを復号する第1復号手段と、
一のユニークキーを含み、当該ユニークキーに対応するデータブロックの取得を要求する取得要求を受け付ける第2の受付手段と、
前記第1復号手段で復号された第2キーで、前記第2の受付手段が受け付けた取得要求に含まれているユニークキーに対応する、暗号化された暗号キーを復号する第2復号手段と、
前記第2復号手段により復号された暗号キーで、前記暗号化されたデータブロックを復号する第3復号手段と、
前記第2の受付手段が受け付けた取得要求に含まれるユニークキーに基づいて前記複数のグループの中から一のグループを特定するグループ判別手段と、をさらに備え、
前記取得手段は、前記グループ判別手段によって特定されたグループに対応した第1キーを取得し、
前記第1復号手段は、前記取得手段が取得した、前記グループ判別手段によって特定されたグループに対応した第1キーを用いて復号することを特徴とする請求項3記載のデータ管理装置。
The plurality of data blocks are previously grouped into a plurality of groups, and a different first key is set for each group ,
First decryption means for decrypting the encrypted second key stored in the second storage means with the first key obtained by the obtaining means ;
A second accepting unit that accepts an acquisition request that includes one unique key and requests acquisition of a data block corresponding to the unique key;
Second decryption means for decrypting an encrypted encryption key corresponding to the unique key included in the acquisition request received by the second reception means with the second key decrypted by the first decryption means; ,
Third decryption means for decrypting the encrypted data block with the encryption key decrypted by the second decryption means;
Additionally and a group discriminator Ru JP Teisu one group from the plurality of groups based on the unique key the second receiving unit is included in the acquisition request received,
The acquisition means acquires a first key corresponding to the group specified by the group determination means,
Said first decoding means, the acquisition means has acquired, the data management system of claim 3, wherein the decoding by using the first key that corresponds to the group identified by the group discriminator.
データブロックを暗号化して保存する、コンピュータによるデータ管理方法であって
コンピュータが、
端末装置から、データブロック、当該データブロックに対応したユニークキー及び第2の入力を受け付けるステップと、
前記端末装置とは異なる外部の装置から第1キーを取得するステップと、
前記ユニークキーに基づいて暗号キーを生成するステップと、
前記データブロックを、前記暗号キーで暗号化するとともに、当該暗号化に係る暗号化前のデータブロックを消去するステップと、
前記暗号キーを前記第2キーで暗号化するとともに、当該暗号キーを消去するステップと、
前記第2キーを、前記取得した第1キーで暗号化するとともに、暗号化前の第2キーを消去するステップと、
前記暗号化されたデータブロックと、前記暗号化された暗号キーと、前記暗号化された第2キーとを第2記憶手段に記憶するステップと、を備え、
前記第2記憶手段に記憶するステップでは、
前記暗号化されたデータブロックは、暗号化された暗号キーと対応付けて前記第2記憶手段に記憶されることを特徴とするデータ管理方法。
A data management method by a computer that encrypts and stores data blocks ,
Computer
Receiving a data block, a unique key corresponding to the data block, and a second input from the terminal device ;
Obtaining a first key from an external device different from the terminal device;
Generating an encryption key based on the unique key;
Encrypting the data block with the encryption key and erasing the unencrypted data block according to the encryption; and
Encrypting the encryption key with the second key and erasing the encryption key;
Encrypting the second key with the acquired first key and erasing the second key before encryption;
Storing the encrypted data block, the encrypted encryption key, and the encrypted second key in a second storage means,
In the step of storing in the second storage means,
The data management method, wherein the encrypted data block is stored in the second storage means in association with an encrypted encryption key.
複数のデータブロックを暗号化して保存するためのコンピュータプログラムであって、
コンピュータに実行されると
端末装置から、データブロック、当該データブロックに対応したユニークキー及び第2の入力を受け付けるステップと、
前記端末装置とは異なる外部の装置から第1キーを取得するステップと、
前記ユニークキーに基づいて暗号キーを生成するステップと、
前記データブロックを、前記暗号キーで暗号化するとともに、当該暗号化に係る暗号化前のデータブロックを消去するステップと、
前記暗号キーを前記第2キーで暗号化するとともに、当該暗号キーを消去するステップと、
前記第2キーを、前記取得した第1キーで暗号化するとともに、暗号化前の第2キーを消去するステップと、
前記暗号化されたデータブロックと、前記暗号化された暗号キーと、前記暗号化された第2キーとを第2記憶手段に記憶するステップとが、前記コンピュータにより行われ、
前記第2記憶手段に記憶するステップでは、
前記暗号化されたデータブロックは、暗号化された暗号キーと対応付けて前記第2記憶手段に記憶されることを特徴とするコンピュータプログラム。
A computer program for encrypting and storing a plurality of data blocks,
When executed on a computer ,
Receiving a data block, a unique key corresponding to the data block, and a second input from the terminal device ;
Obtaining a first key from an external device different from the terminal device;
Generating an encryption key based on the unique key;
Encrypting the data block with the encryption key and erasing the unencrypted data block according to the encryption; and
Encrypting the encryption key with the second key and erasing the encryption key;
Encrypting the second key with the acquired first key and erasing the second key before encryption;
The step of storing the encrypted data block, the encrypted encryption key, and the encrypted second key in a second storage means is performed by the computer,
In the step of storing in the second storage means,
The computer program, wherein the encrypted data block is stored in the second storage means in association with an encrypted encryption key.
JP2006017138A 2006-01-26 2006-01-26 Data management device Expired - Fee Related JP4778798B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006017138A JP4778798B2 (en) 2006-01-26 2006-01-26 Data management device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006017138A JP4778798B2 (en) 2006-01-26 2006-01-26 Data management device

Publications (2)

Publication Number Publication Date
JP2007199974A JP2007199974A (en) 2007-08-09
JP4778798B2 true JP4778798B2 (en) 2011-09-21

Family

ID=38454540

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006017138A Expired - Fee Related JP4778798B2 (en) 2006-01-26 2006-01-26 Data management device

Country Status (1)

Country Link
JP (1) JP4778798B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5953886B2 (en) * 2012-03-30 2016-07-20 富士通株式会社 Storage method, acquisition method, creation method, storage device, acquisition device, creation device, storage program, acquisition program, and creation program

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5870477A (en) * 1993-09-29 1999-02-09 Pumpkin House Incorporated Enciphering/deciphering device and method, and encryption/decryption communication system
JPH09179768A (en) * 1995-12-21 1997-07-11 Olympus Optical Co Ltd File ciphering system and file deciphering system
JPH09247141A (en) * 1996-03-05 1997-09-19 Hitachi Ltd Group encryption method
JP2004072151A (en) * 2002-08-01 2004-03-04 Mitsubishi Electric Corp Terminal device having file encryption function
JP2005080145A (en) * 2003-09-03 2005-03-24 Victor Co Of Japan Ltd Reproducing apparatus management method, content data reproducing apparatus, content data distribution apparatus, and recording medium
JP2005209181A (en) * 2003-12-25 2005-08-04 Sorun Corp File management system and management method
JP2004141873A (en) * 2004-01-09 2004-05-20 Hitachi Hometec Ltd Garbage processing machine
JP2005318162A (en) * 2004-04-28 2005-11-10 Atsushi Hata Information leakage preventing system

Also Published As

Publication number Publication date
JP2007199974A (en) 2007-08-09

Similar Documents

Publication Publication Date Title
RU2006138021A (en) METHOD AND DEVICE FOR OBTAINING AND DELETING INFORMATION REGARDING OBJECTS OF DIGITAL RIGHTS
US8392723B2 (en) Information processing apparatus and computer readable medium for preventing unauthorized operation of a program
JP6930053B2 (en) Data encryption method and system using device authentication key
CN103220295A (en) Document encryption and decryption method, device and system
JP2009105566A (en) Distribution management device and distribution management program
CN111131282B (en) Request encryption method and device, electronic equipment and storage medium
JP2000347566A (en) Content management device, content user terminal, and computer-readable recording medium recording program
JP6149749B2 (en) Information processing apparatus, information processing system, and program
JP4597784B2 (en) Data processing device
CN101383825A (en) Method, apparatus and terminal implementing computer file ciphering
CN113779629A (en) Key file sharing method, device, processor chip and server
JP4778798B2 (en) Data management device
KR101467402B1 (en) Method for managing fax data received through network and apparatus using the same
JP4795800B2 (en) Insurance data management device
JP2005130261A (en) Image forming apparatus, its control method, and its control program
JP2009207061A (en) Removable device, log collection method, program and recording medium
JP2006285697A (en) File management method and file management system
CN106341227A (en) Protective password resetting method, device and system based on decryption cryptograph of server
JP2007181011A (en) Data sharing device
CN105634727A (en) Cloud service data encryption and decryption methods and apparatus for electric vehicle
JP6492832B2 (en) ENCRYPTION DEVICE, ENCRYPTION METHOD, ENCRYPTION PROGRAM, DATA STRUCTURE, AND ENCRYPTION SYSTEM
JP2008042718A (en) Image reading system, information processing apparatus, image reading apparatus, and program
JP4864566B2 (en) Attribute authentication method, key management device, service providing destination device, service providing source device, and attribute authentication system
KR101474744B1 (en) Apparatus and method for managing usim data of device by using mobile trusted module
JP5631164B2 (en) Multi-cluster distributed processing control system, representative client terminal, multi-cluster distributed processing control method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081008

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110329

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110330

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110614

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110704

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140708

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees