JP2004260359A - データ処理装置 - Google Patents
データ処理装置 Download PDFInfo
- Publication number
- JP2004260359A JP2004260359A JP2003046549A JP2003046549A JP2004260359A JP 2004260359 A JP2004260359 A JP 2004260359A JP 2003046549 A JP2003046549 A JP 2003046549A JP 2003046549 A JP2003046549 A JP 2003046549A JP 2004260359 A JP2004260359 A JP 2004260359A
- Authority
- JP
- Japan
- Prior art keywords
- encryption key
- data
- data processing
- encoded
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】ネットワーク上で取り扱われる機密性を有する電子データの保護が可能なデータ処理装置を提供すること。
【解決手段】まず、文書データの作成を行い(S11)、文書データの機密性の有無を判断する(S12)。機密性が有る場合(S12;Y)、文書データを符号化するための暗号キーを親機から入手し(S13)、この暗号キーと、ネットワークセキュリティシステムの暗号キーとが一致しているか否かを照合する(S14)。暗号キーが一致した場合(S14;Y)、暗号IDを暗号キー記憶部に登録する(S15)。そして、暗号キーに子機固有の加工を施し(S16)、この加工された暗号キーを使用して文書データを符号化する(S17)。暗号IDを設定し、(S18)、この暗号IDおよび符号化データをリムーバブルメディアへ格納し(S19)、処理を終了する。
【選択図】 図8
【解決手段】まず、文書データの作成を行い(S11)、文書データの機密性の有無を判断する(S12)。機密性が有る場合(S12;Y)、文書データを符号化するための暗号キーを親機から入手し(S13)、この暗号キーと、ネットワークセキュリティシステムの暗号キーとが一致しているか否かを照合する(S14)。暗号キーが一致した場合(S14;Y)、暗号IDを暗号キー記憶部に登録する(S15)。そして、暗号キーに子機固有の加工を施し(S16)、この加工された暗号キーを使用して文書データを符号化する(S17)。暗号IDを設定し、(S18)、この暗号IDおよび符号化データをリムーバブルメディアへ格納し(S19)、処理を終了する。
【選択図】 図8
Description
【0001】
【発明の属する技術分野】
本発明は、LAN(ローカル・エリア・ネットワーク)、インターネット等のネットワーク上において、データのやり取りを実行するデータ処理装置に係り、特に、機密性を有するデータを扱うデータ処理装置に関する。
【0002】
【従来の技術】
近年、LANやインターネット等のネットワークシステムの普及により、ネットワークを用いて電子文書データを扱うデジタル機器が開発されてきている。
各種ネットワークシステムにおいてこのようなデジタル機器は、公衆回線、あるいはLAN回線等を介して他のデジタル機器と接続され、そして、ある程度自由に互いの保有する電子文書データを共有することが可能となっている。
ところが、このようにして大量の共有データが扱えるようになってきたことに伴い、不正なアクセスによる重要文書データの漏洩等を防止する機密保護の要求が高まってきている。
【0003】
従来、このような機密性を有する電子文書データを安全に管理する技術が下記の特許文献をはじめ種々公開されている。
【特許文献1】
特開2002−15511公報
特許文献1には、機密性を有する電子文書データを安全かつ容易に保護するためのリムーバブルメディアを用いたネットワークセキュリティシステムについて開示されている。このネットワークセキュリティシステムは、リムーバブルメディア上に格納されている認証情報を用いてアクセス権の認証を行い、認証された場合にのみ該リムーバブルメディアにアクセスすることが許可されるようになっている。
【0004】
【発明が解決しようとする課題】
しかしながら、このようにして様々なネットワークセキュリティシステムが開発されているにもかかわらず、ハッカーと呼ばれる他人のシステムに無断で侵入し、内部情報を破壊したり、持ち出したりする犯罪が増加しつつある。
そして、このような電子文書データへの不正アクセスを防止しようと上記特許文献1に開示されているようなネットワークセキュリティシステムを使用したとしても、リムーバブルメディアに重要機密情報と共に認証情報も同時に記録されてしまっているため、リムーバブルメディアの内容が何らかの手段で複製されたり、持ち出されたりして、その認証情報によって格納されている機密情報を読み出されるおそれがあった。
また、電子文書データが持ち出されることにより認証チェックが実施されることなくデータの内容が読み出されるおそれもあった。
そこで本発明は、安全にネットワーク上で取り扱われる機密性を有する電子データを保護することが可能なデータ処理装置を提供することを目的とする。
【0005】
【課題を解決するための手段】
請求項1記載の発明では、データを格納するデバイスを備えたネットワーク接続可能なデータ処理装置において、データを符号化する際に用いる暗号化キーを格納する暗号化キー記憶装置と、前記暗号化キー記憶装置に記憶されている前記暗号化キーが当該データ処理装置においてデータを符号化する際に用いる暗号化キーとして適切であるか否かを照合する暗号化キー照合手段と、前記暗号化キー照合手段により前記暗号化キーが適切であると判断された場合、前記暗号化キーを用いて前記デバイスに格納されているデータを符号化して、符号化データを作成する符号化手段と、前記符号化手段により符号化された符号化データを格納する符号化データ格納装置と、を備えることにより前記目的を達成する。
請求項2記載の発明では、請求項1記載の発明において、前記暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化する復号化手段を備えることにより前記目的を達成する。
【0006】
請求項3記載の発明では、請求項1または請求項2記載の発明において、前記暗号化キーに所定の演算処理を施して、加工暗号化キーを作成する暗号化キー加工手段を備え、前記符号化手段は、前記暗号化キー加工手段によって作成された前記加工暗号化キーを用いてデータを符号化して、符号化データを作成することにより前記目的を達成する。
請求項4記載の発明では、請求項2記載の発明において、前記暗号化キーに所定の演算処理を施して、加工暗号化キーを作成する暗号化キー加工手段を備え、前記復号化手段は、前記暗号化キー加工手段によって作成された前記加工暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化することにより前記目的を達成する。
請求項5記載の発明では、請求項1、請求項2、請求項3または請求項4記載の発明において、同一ネットワーク上に接続された当該データ処理装置のホスト装置と接続可能であって、前記暗号化キー記憶装置は、前記ホスト装置から前記暗号化キーを取得して格納することにより前記目的を達成する。
請求項6記載の発明では、請求項1、請求項2、請求項3、請求項4または請求項5記載の発明において、前記暗号化キーを格納した着脱可能なデバイスを備え、前記暗号化キー記憶装置は、前記着脱可能なデバイスから前記暗号化キーを取得して格納することにより前記目的を達成する。
【0007】
請求項7記載の発明では、データを格納するデバイスを備えたネットワーク接続可能なデータ処理装置において、データを復号化する際に用いる暗号化キーを格納する暗号化キー記憶装置と、符号化された符号化データが格納された符号化データ格納装置と、前記暗号化キー記憶装置に記憶されている前記暗号化キーが当該データ処理装置においてデータを復号化する際に用いる暗号化キーとして適切であるか否かを照合する暗号化キー照合手段と、前記照合手段により前記暗号化キーが適切であると判断された場合、前記暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化する復号化手段と、を備えることにより前記目的を達成する。
請求項8記載の発明では、請求項7記載の発明において、前記暗号化キーに所定の演算処理を施して、加工暗号化キーを作成する暗号化キー加工手段を備え、前記復号化手段は、前記暗号化キー加工手段によって作成された前記加工暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化することにより前記目的を達成する。
請求項9記載の発明では、請求項7または請求項8記載の発明において、同一ネットワーク上に接続された当該データ処理装置のホスト装置と接続可能であって、前記暗号化キー記憶装置は、前記ホスト装置から前記暗号化キーを取得して格納することにより前記目的を達成する。
請求項10記載の発明では、請求項7または請求項8記載の発明において、前記暗号化キーを格納した着脱可能なデバイスを備え、前記暗号化キー記憶装置は、前記着脱可能なデバイスから前記暗号化キーを取得して格納することにより前記目的を達成する。
【0008】
【発明の実施の形態】
以下、本発明のデータ処理装置を用いたネットワークセキュリティシステムにおける好適な実施の形態について、図1から図16を参照して詳細に説明する。
図1は、本実施の形態に係るネットワークセキュリティシステムの概略構成を示した図である。
図1に示すように、ネットワークセキュリティシステムは、複数のデータ処理装置101がネットワーク103を介して接続されている。
データ処理装置101は、ネットワーク接続が可能であり、デバイス102を備えている。このデータ処理装置101では、市販されている文書作成ソフトウエア等により、データの作成、編集等を行った後、デバイス102に、その結果のデータを格納することができるようになっている。
【0009】
デバイス102は、データ処理装置101からアクセスすることが可能な着脱可能なデバイスであり、例えば、リムーバブルハードディスク、コンパクトディスク、MOディスク、メモリカード等である。そのため、このデバイス102は、データ処理装置101から取り出して別の保管場所で管理することができるようになっている。
ネットワーク103は、公衆回線やLAN(ローカル・エリア・ネットワーク)等のネットワーク回路網である。
【0010】
(実施例1)
実施例1において、図1のAに示すデータ処理装置101は、ネットワーク103上にあるシステムの機密保持を管理するための親機であり、システムの暗号キーを保管している。この暗号キーは、機密文書データのカテゴリごとに複数設定することも可能である。
図1のB、C、Dに示すデータ処理装置101は、この親機にアクセスして暗号キーを入手し、この暗号キーで機密文書データの作成、または機密文書データの閲覧等が可能となる。
この時、Aに示す親機は、B、C、Dに示す子機ごとに異なる独自の暗号キーをそれぞれ設定するようにしている。また、各子機は、それぞれ独自の暗号キーを親機から入手し、独自の加工方法で暗号キーを加工し、着脱可能なデバイス102に格納されている符号化データを閲覧することができるようになっている。
【0011】
図2は、本実施の形態に係るデータ処理装置101のブロック構成を示した図である(実施例1)。
図2に示すように、データ処理装置101は、CPU(中央演算処理装置)201、操作部202、表示部203、内部記憶部204、ネットワークI/F(インター・フェース)205、リムーバブルデバイス制御部207からなり、それぞれがバスラインを介して接続されている。
CPU201は、データ処理装置101の動作プログラムに基づいて演算処理を行う装置である。
操作部202は、キーボード、テンキーなどから構成され、操作者がシステムに入るためのパスワードを入力したり、データ処理装置101の持つ機能に対して動作命令を出したり、データをデバイス102に格納したりする命令を入力することができる入力装置である。
【0012】
表示部203は、データ処理装置101の機能一覧、実行中の処理状態、処理結果、リムーバブルメディア213から読み出したデータ、文書作成中のデータ等を表示するための出力装置である。
内部記憶部204は、データ処理装置101の内部に予め搭載されており、CPU201で動作するプログラムを格納したり、CPU201のワーキングメモリ、または、データ作成のプレーンメモリとして使用したり、デバイスから読み込んだデータを展開したりなどの処理を行うためのメモリである。
ネットワークI/F205は、ネットワーク103に接続するためのインターフェースであり、このネットワークI/F205を介することにより、同一のネットワーク103に接続されたデバイス102とデータの送受信が可能となる。
リムーバブルデバイス制御部207は、リムーバブルメディア213にアクセスし、内部情報を読み出したり、書き込んだりする制御を行う。なお、このリムーバブルメディア213は、デバイス102に備えられている複数のリムーバブルデバイスのうちの1つである。
【0013】
次に、リムーバブルデバイス制御部207の構成について説明する。
図2に示すように、リムーバブルデバイス制御部207は、データ制御部208、暗号キー記憶部209、符号化部210、復号化部211、メディア制御部212、暗号キー照合部214および暗号キー加工部215から構成されている。
データ制御部208は、前述した親機(ホスト装置)に接続するためのI/Fを備え、データ処理装置101で作成したデータをリムーバブルメディア213に送信したり、リムーバブルメディア213に格納されているデータを内部記憶部204に読み出すなどのアクセス制御を行う。
また、データ制御部208は、リムーバブルメディア213へのデータの送信、リムーバブルメディア213からのデータの受信などのデータの方向制御も行う。
【0014】
暗号キー記憶部209は、ネットワーク103を介して読み込んだ暗号キーを一時的に格納するメモリである。なお、この暗号キーは符号化データと1対1で対応しており、この暗号キーにより符号化データを生成できるように構成されている。なお、実施例1においてこの暗号キー記憶部209は、揮発性のメモリ素子で構成し、電源が落されてしまうと暗号キー情報が消去されるようになっている。
符号化部210は、データ制御部208が内部記憶部204から読み出したデータをメディア制御部212を介してリムーバブルメディア213に符号化して格納する場合における符号化処理を行う。
この符号化部210は、ネットワーク103を介して読み込んだ暗号キーを一時的に暗号キー記憶部209に格納されている暗号キーを使用して符号化するように構成されている。
例えば、図3に示すように暗号キー記憶部209からの暗号キーを入力A信号とし、この入力A信号を論理回路などから構成される演算器601で加工した値を、データである入力B信号に加算器602により加算し、符号化信号Cとして出力する。
このとき、演算器601における演算で得られた加工データをフィードバックして演算器601に印加するようにしている。
【0015】
復号化部211は、暗号キー記憶部209に記憶されている暗号キーにより符号化部210で符号化されたデータを、同じ暗号キーにより復号化できるように構成されている。
例えば、図4に示すように暗号キー記憶部209からの暗号キーを入力A信号とし、この入力A信号を論理回路などから構成される演算器701で加工した値を、符号化データである入力B信号に減算器702により減算し、復号化信号Cとして出力する。
このとき、演算器701における演算で得られた加工データをフィードバックし演算器701に印加するようにしている。
【0016】
メディア制御部212は、リムーバブルメディア213とのI/Fであり、リムーバブルメディア213の種類応じたI/F回路を構成している。
例えば、図3に示すように暗号キー記憶部209からの暗号キーを入力A信号とし、この入力A信号を論理回路などから構成される演算器601で加工した値を、データである入力B信号に加算器602により加算し、符号化信号Cとして出力する。
このとき、演算器601における演算で得られた加工データをフィードバックして演算器601に印加するようにしている。
【0017】
暗号キー照合部214は、ネットワークセキュリティシステムで使用する暗号キー情報の一覧データが格納されており、暗号キー記憶部209にネットワークを介して、親機であるデータ処理装置101(以下、親機とする)から読み出した暗号キーと、暗号キー情報の一覧データと、を照合する。
そして、照合の結果、これらの暗号キーが不一致すると判断された場合、このアクセスは不正なものと認識され、リムーバブルデバイス制御部207は、リムーバルメディア213の内容へのアクセスを遮断する。
一方、これらの暗号キーが一致であると判断された場合、暗号キーを使用して機密データの符号化、また、復号化を可能にする。このとき、操作者は、ネットワークセキュリティシステムの親機、また子機を利用するためのパスワードが必要となる。同時に、機密文書データへアクセスするためには、ネットワーク103上の暗号キーが記憶された親機へ入るためのパスワードも必要となる。従って、親機とアクセスするためのパスワードを知る操作者にのみ機密文書データへのアクセスが可能となっている。
【0018】
図5は、本実施の形態に係るネットワークI/F205のブロック構成を示した図である。
図5に示すように、ネットワークI/F205は、受信制御部501と送信制御部507によって、それぞれ制御されるデータ受信回路とデータ送信回路に分けられている。
データ受信回路は、ネットワーク103からのデータを受信するレシーバ506、レシーバで受信したデータのノイズを除去するノイズキャンセル505、変調されたデータを復調する復調部504、シリアルデータをパラレルデータに変換するシリパラ変換部503、パラレルデータを格納するキューイングバッファである受信バッファ502により構成されている。そして、これらの各部は、受信制御部501によって制御されている。
【0019】
データ処理装置101の外部には、外部CPU513が設けられている。この外部CPU513を用いることによって、CPUバスに接続されたCPU_I/F512を介して受信バッファ502に格納されたデータを順次読み出すことができるようになっている。
また、データ送信時に使用されるデータ送信回路は、外部CPU513からCPU_I/F512を介して送信バッファ508に書き込まれたデータを、パラシリ変換部509によりパラレルデータをシリアルデータに変換し、変調部510でデータを変調しドライバ511によってネットワーク103に出力されるようになっている。なお、これらの一連の処理は、送信制御部507によって制御されている。
【0020】
次に、このように構成されたネットワークセキュリティシステムにおける動作について説明する。
まず、リムーバブルメディア213へ符号データを書き込む処理について説明する。
データ処理装置101において、文書作成用のソフトウエア、またはデータ描画用のソフトウエア等を用いて、操作部202からの入力により内部記憶部204にデータの入力が行われる。
ここでデータを入力し、これを何らかの記憶装置に登録する場合(例えば、装置内のハードディスクへ格納する場合)、ネットワーク103からの侵入者により作成されたデータの機密性が損なわれたり、あるいは、コンピュータウイルス等により破壊されたりするリスクが生じる。
【0021】
そこで、本実施例では、機密性の高い情報が入ったリムーバブルメディア213と符号化のための暗号キーを別々の場所で管理し、リムーバブルメディア213とそれにアクセス可能なデータ処理装置101を1対1で結び付け、特定のデータ処理装置101でしか、その対応するリムーバブルメディア213にアクセスすることができないようにしている。
暗号キー記憶部209には、データ処理装置101の1台にしかない暗号キーが、予め親機より読み出されて登録されている。この暗号キーは、データ処理装置101を販売した会社の工場において出荷時に設定され、ネットワークセキュリティシステムに侵入したハッカーはもちろん、操作者でさえわからないようにしておくことができる。
例えば、ハード的にCPU201のアドレスバス以外のローカルバス上にあるROM(リード・オンリ・メモリ)領域を外部から見えなくするようにする。
【0022】
本実施例の特徴は、データを符号化、または、復号化するための暗号キーをリムーバブルメディア213に格納されている符号化されたデータと同じメディアに格納しないことにある。
このように暗号キーを管理することにより、符号化されたデータが格納されているリムーバブルメディア213だけでは、その符号化データを復号することができないようにしている。
さらに、同じネットワークセキュリティシステムを持つ他のデータ処理装置101であってもデータ処理装置101の固有の暗号キーが必要であるため、データを符号化した特定のデータ処理装置101でしか復号化することができない。
つまり、符号化データはリムーバブルメディア213に格納し、暗号キーはデータ処理装置101内部記憶部204に格納しておく。
【0023】
図6は、符号化データのフォーマットを示した図である。
図6に示すように、1つの符号化データには、ヘッダとして暗号ID(識別子)が付加されている。この暗号IDは、暗号キーそのものではなく、暗号キーを特定するためのIDである。
この暗号IDは、複数の符号化データがあり、それぞれ暗号キーを異ならせるようにする場合、符号化データと暗号キーを結び付ける働きをする。
従って、符号化データだけでは、このリムーバブルメディア213に記憶されているデータを復号化することができないようになっている。
また、本実施例では、リムーバブルメディア213にはデータを符号化する暗号キーを記憶させないようにしている。そして、リムーバブルメディア213の符号化データを復号する場合、その復号化するための暗号キーが格納されている暗号キー記憶部209が搭載されている機械でしか復号化できないようになっている。
【0024】
図7は、リムーバブルメディア213上の複数の符号化データのフォーマットと、データ処理装置101の暗号キー記憶部209に格納されている暗号キーのフォーマットとを示した図である。
リムーバブルメディア213に複数の符号化データを記憶する場合、それぞれを符号化するための暗号キーに全て異なる暗号キーを用いる方が、より情報の漏洩の危険性を抑制することができるようになっている。
本実施例では、暗号キーごとに暗号ID:ID0〜IDnをそれぞれ付加するようにしている。
図7に示すように、リムーバブルメディア213内部のフォーマットと、暗号キー記憶部209のフォーマットとは、それぞれが1対1に対応している。
【0025】
図8は、本実施の形態に係るネットワークセキュリティシステムにおける、データを符号化してリムーバブルメディア213に格納する処理の手順について示したフローチャートである。
まず、操作者は、データ処理装置101において、文書作成ソフトウエア等を用いて、文書データ(描画データ、数値データなど含む)の作成、編集等を行う(ステップ11)。
次に、操作者は、作成した文書データに対する機密性の有無を操作部202から指定し、データ処理装置101は、その機密性の有無の指定データを検出して、当該文書データに、機密性が有るか否かを判断する(ステップ12)。
【0026】
機密性が有ると判断された場合(ステップ12;Y)、該当する文書データの符号化処理を行う。
詳しくは、データ処理装置101は、文書データを符号化するための暗号キーをネットワーク103を介してネットワークセキュリティシステムの親機から入手する(ステップ13)。
そして、データ処理装置101は、入手した暗号キーと、ネットワークセキュリティシステムの暗号キーとが一致しているか否かを照合する(ステップ14)。具体的な暗号キーの照合方法としては、暗号キーに示される値が論理的な法則に則り生成されているかどうかをチェックする。
【0027】
照合の結果、暗号キーが不一致であった場合(ステップ14;N)、つまり、暗号キーに問題がある場合、入力した暗号キーが不正であると判断し、再度、操作者に暗号キーの入力を促し、ステップ13の処理を繰り返す。そして、さらに入力された暗号キーに対して、再び照合を行い、暗号キーとして問題が無ければ、本文書の暗号キーとして使用することができるようになる。
本実施例では、暗号キーが機密文書ごとに異なるため、扱う暗号キーの数が多くなってしまうが、操作者は、暗号キーそのものを覚えておく必要は無いため、利便性を向上させることができる。
【0028】
照合の結果暗号キーが一致した場合(ステップ14;Y)、データ処理装置101は、暗号キーを登録するために暗号IDを暗号キー記憶部209に登録(格納)する(ステップ15)。
そして、データ処理装置101は、暗号キー記憶部209に格納された暗号キーに、子機固有の加工を施す(ステップ16)。ここでは、例えば、ある値を乗算したり、加算したり減算したりすることにより暗号キーに加工を施すようにしている。
【0029】
次に、データ処理装置101は、加工が施された暗号キーを使用して文書データを符号化する(ステップ17)。
ここで文書データを符号化することにより、親機を頂点とするネットワークセキュリティシステムの中で、子機固有の文書データが符号化データとして生成される。すると、異なる親機を頂点とするネットワークセキュリティシステムはもちろん、同じネットワークセキュリティシステム内の他の子機でさえ、符号化データの内容を閲覧することができなくなる。
文書データを符号化した後、データ処理装置101は、当該符号化データを示す暗号IDを設定する(ステップ18)。
そして、暗号IDおよび符号化データをリムーバブルメディア213へ格納し(ステップ19)、処理を終了する。
【0030】
一方、ステップ12の処理において、機密性が無いと判断された場合(ステップ12;N)、該当する文書データの符号化処理は行わずにステップ18の処理に進む。
なお、機密性が無いと判断された場合には、該文書が符号化されていないことを示すために「暗号ID=0」となるように暗号IDを付加するようにする。
ここでは、「暗号ID=0」で符号化無し、「暗号ID≠0」で符号化を実施していることを示すものとする。符号化されていない文書のヘッダとしては全て「暗号ID=0」が設定されることになる。
【0031】
図9は、リムーバブルメディア213に格納されている符号化データをデータ処理装置101へ読み出す処理の手順を示したフローチャートである。
まず、リムーバブルメディア213に格納されている符号化データ(暗号IDを含む)を読み出す(ステップ21)。ただし、ここで読み出される符号化データには、実際に符号化処理を施されていない文書データが含まれていてもよい。
次に、読み出した符号化データのヘッダとして付加されている暗号IDを検出し、この検出された暗号IDに基づいて、当該符号化データの機密性の有無を判断する(ステップ22)。この判断は、前述のように暗号IDが「0」なのか「0以外」なのかを判断することにより容易に確認することができる。
【0032】
符号化データに機密性を有する場合(ステップ22;Y)、具体的には「暗号ID≠0」である場合、当該符号化データが暗号キーによって符号化されていると認識し、データ処理装置101は、暗号キーによる復号化処理を行う。
詳しくは、データ処理装置101は、文書データを復号化するための暗号キーをネットワーク103を介してネットワークセキュリティシステムの親機から入手する(ステップ23)。
そして、データ処理装置101は、入手した暗号キーと、ネットワークセキュリティシステムの暗号キーとが一致しているか否かを照合する(ステップ24)。具体的な暗号キーの照合方法としては、暗号キーに示される値が論理的な法則に則り生成されているかどうかをチェックする。
【0033】
照合の結果、暗号キーが不一致であった場合(ステップ24;N)、つまり、暗号キーに問題がある場合、入力した暗号キーが不正であると判断し、再度、操作者に暗号キーの入力を促し、ステップ23の処理を繰り返す。そして、さらに入力された暗号キーに対して、再び照合を行い、暗号キーとして問題が無ければ、本文書の暗号キーとして使用することができるようになる。
本実施例では、暗号キーが機密文書ごとに異なるため、扱う暗号キーの数が多くなってしまうが、操作者は、暗号キーそのものを覚えておく必要は無いため、利便性を向上させることができる。
【0034】
照合の結果暗号キーが一致した場合(ステップ24;Y)、データ処理装置101は、暗号キーを登録するために暗号IDを暗号キー記憶部209に登録(格納)する(ステップ25)。
そして、データ処理装置101は、暗号キー記憶部209に格納された暗号キーに、子機固有の加工を施す(ステップ26)。ここでは、例えば、ある値を乗算したり、加算したり減算したりすることにより暗号キーに加工を施すようにしているが、原則として、文書データを符号化した時と同じ加工であれば、問題無い。
【0035】
次に、データ処理装置101は、加工が施された暗号キーを使用して符号化データを復号化する(ステップ27)。
そして、データ処理装置101は、復号化した復号化データを内部記憶部204に展開し(ステップ28)、表示部203等に出力した後、処理を終了する。
これにより操作者は、出力された復号化データを閲覧することができる。
一方、ステップ22の処理において、符号化データに機密性が無い場合(ステップ2;N)、具体的には「暗号ID=0」である場合、当該符号化データが暗号キーによって符号化されていないことを認識し、復号化処理を行わずにステップ28の処理へ進む。
【0036】
このようにして、リムーバブルメディア213へ格納された符号化データは、唯一の暗号キーを保持しているデータ処理装置101でなければ復号化することができない。同じネットワークセキュリティシステムを持つデータ処理装置101であっても符号化した暗号キーを格納している暗号キー記憶部209が無ければ、例え符号化データが格納されているリムーバブルメディア213だけを持ち出したとしても復号化できず、その符号化データを解読することができないようになっている。
【0037】
(実施例2)
実施例2では、リムーバブルメディア213を介して複数のデータ処理装置101間で情報を閲覧する例を説明する。
実施例2に示すネットワークセキュリティシステムでは、基本的に機密性を有するデータをネットワーク103上からアクセスできる記憶装置(例えば固定ハードディスク等)に格納しないようにしている。つまり、実施例2に示すネットワークセキュリティシステムでは、リムーバブルメディア213を機密情報の記憶メディアとして、ネットワーク103上で扱うようにしている。
【0038】
実施例2において、図1のAに示すデータ処理装置101は、ネットワーク103上にあるシステムの機密保持を管理するための親機であり、システムの暗号キーを保管している。この暗号キーは、機密文書データのカテゴリごとに複数設定することも可能である。
図1のB、C、Dに示すデータ処理装置101は、この親機にアクセスして暗号キーを入手し、この暗号キーで機密文書データの閲覧が可能な子機である。
この子機では、実施例1に示したネットワークセキュリティシステムと異なり、親機で作成した機密文書データを装置の表示部で表示することはできるが、子機で機密文書を作成したり、親機からの機密文書に手を加えたりすることはできないようになっている。
【0039】
図10は、本実施の形態に係る子機であるデータ処理装置101(以下、子機とする)のブロック構成を示した図である(実施例2)。なお、実施例1の図2に示したブロックと同じ機能を有するブロックには、同一の符号を付し、重複する説明については省略する。
図10に示すように、本実施例における子機は、リムーバブルデバイス制御部307に符号化部210が存在しない点で、実施例1で示したデータ処理装置101と異なる。従って、本実施例における子機では、符号化データを復号化することはできるが、符号化データを作成して、リムーバブルメディア213に格納することはできない。
また、本実施例における子機にも、揮発メモリで構成される暗号キー記憶部209を備えている。これは、一時的な暗号キーの格納のみを許可し、いつまでも暗号キーが子機内に格納されているような状態を避けるためである。
【0040】
本実施例における子機においてリムーバブルメディア213に格納されている符号化データを閲覧する場合には、まず、ネットワーク103を介して、親機にアクセスし、この親機の暗号キー記憶部209に格納されている暗号IDと暗号キーデータを送信させる。
送信された暗号IDと暗号キーデータを子機の暗号キー記憶部209に格納し、親機と同様にこの暗号キーを使用して符号化データを復号化して出力することができる。また、閲覧後、速やかに子機の暗号キー記憶部209の内容をクリアすることで、子機からはリムーバブルメディア213の内容を読み出すことを不可能にすることができる。
【0041】
また、このような閲覧後の暗号キー記憶部209の内容をクリア処理するプログラムを閲覧ソフトウエアに組込んでおくことにより、いつまでも暗号キーが子機の内部に残ってしまうようなリスクを容易に回避することができる。
このようにネットワークセキュリティシステムを構成することにより、ネットワーク103上から不正に機密情報が持ち出されたり、壊されたりすることがなくなる。さらに機密情報が格納されたリムーバブルメディア213が持ち出されたとしても、そのデータを読み出すことができないため、機密性を有するデータが漏洩することを防止することができる。
前述したように、本実施例における子機において符号化データを閲覧した後、ソフトウエア的にも子機の暗号キー記憶部209の内容をクリアすることは可能である。また、ハードウエア的にも簡単な回路を用いることによって、子機の暗号キー記憶部209の内容をクリアすることも可能である。
【0042】
ここで、この子機の暗号キー記憶部209の内容をクリアする回路について説明する。
図11は、子機の暗号キー記憶部209の内容をクリアする回路の構成を示した図である。
図11に示すように、入力信号Aは、暗号キー記憶部209へのCPUアドレスバスである。この入力信号AによりCPU201によるデータ制御部208へのアクセスが可能となる。
入力信号DIは、暗号キー記憶部209へのCPUデータバスである。出力信号DOは、CPUデータバスへの出力信号である。
また、入力信号Sは、メディア制御部212から暗号キー記憶部209へ印加されている制御信号であり、リムーバブルメディア213がデータ処理装置101に装着されているか否かを検知する信号である。
ここでは、リムーバブルメディア213が装着されている場合、入力信号Sが「L」となり、装着されていない場合、「H」となるように構成されている。
【0043】
S信号が「L」、つまりリムーバブルメディア213が装着されている場合、セレクタ1202、1203によりCPU201からのアクセスが可能になる。
また、S信号が「H」、つまりリムーバブルメディア213が装着されていない場合、カウンタ1201が動作し、暗号キー記憶部209へのアドレスを生成すると同時に、暗号キー記憶部209へのライトデータが「0」となり、暗号キー記憶部209の内部データがクリアされる。
このような回路構成を用いることにより、リムーバルメディア213が装着されている場合のみ、暗号キー記憶部209内部へネットワーク103から読み込んだ暗号キーを格納することができ、また、リムーバルメディア213が装着されていない場合は、暗号キー記憶部209の情報、つまり暗号キーはクリアされることになる。
【0044】
(実施例3)
実施例3では、実施例1で説明したような暗号キーの加工処理を行わずに、機密性を有するデータの作成および閲覧を可能にするネットワークセキュリティシステムについて説明する。
図12は、本実施の形態に係るデータ処理装置101のブロック構成を示した図である(実施例3)。なお、実施例1の図2に示したブロックと同じ機能を有するブロックには、同一の符号を付し、重複する説明については省略する。
図12に示すように、本実施例に示すデータ処理装置101と実施例1に示すデータ処理装置101とでは、リムーバブルデバイス制御部407を構成するブロックに違いがある。
具体的には、本実施例のリムーバブルデバイス制御部407には、暗号キーを加工するための暗号キー加工部215および暗号キー照合部214を備えていない。つまり、本実施例では、暗号キーの加工は行わないようになっている。
また、暗号キー記憶部409は、不揮発性のメモリ素子で構成され、電源が落されても暗号キー情報は保持されたままになるようになっている。
【0045】
次に、このように構成されたネットワークセキュリティシステムにおける動作について説明する。
図13は、本実施の形態に係るネットワークセキュリティシステムにおける、データを符号化してリムーバブルメディア213に格納する処理の手順について示したフローチャートである。
まず、操作者は、データ処理装置101において、文書作成ソフトウエア等を用いて、文書データ(描画データ、数値データなど含む)の作成、編集等を行う(ステップ31)。
次に、操作者は、作成した文書データに対する機密性の有無を操作部202から指定し、データ処理装置101は、その機密性の有無の指定データを検出して、当該文書データに、機密性が有るか否かを判断する(ステップ32)。
【0046】
機密性が有ると判断された場合(ステップ32;Y)、該当する文書データの符号化処理を行う。
詳しくは、データ処理装置101は、文書データを符号化するための暗号キーの入力を操作者に促し暗号キーを入力させ(ステップ33)、入力された暗号キーのデータを受信する。
そして、データ処理装置101は、入力された暗号キーと、ネットワークセキュリティシステムの既存の暗号キーとが一致しているか否かを照合する(ステップ34)。
【0047】
照合の結果、暗号キーが一致した場合(ステップ34;Y)、入力した暗号キーは既に存在することから、再度、操作者に暗号キーの入力を促すためにステップ33の処理を繰り返す。
照合の結果、暗号キーが不一致であった場合(ステップ34;N)、つまり、既存の暗号キーと比較して一致するものがなければ、既存の暗号キーと異なる暗号キーであることが認識され、本文書の暗号キーとして使用される。
暗号キーは機密文書ごと必要となるため数が多くなるが、不揮発性の暗号キー記憶部209に記憶するため、前記したように操作者は暗号キーそのものを覚えておく必要が無い。
【0048】
次に、該暗号キーを登録するために暗号IDを暗号キー記憶部209から読み出す(ステップ35)。
読み出した暗号IDの内、暗号キーが登録されていないIDを検索し、その暗号IDに暗号キーを登録する(ステップ36)。
この登録された入力暗号キーにより作成された文書データを符号化し(ステップ37)、暗号IDをヘッダとして設定する(ステップ38)。
そして、暗号IDおよび符号化データをリムーバブルメディア213へ格納すし(ステップ39)、処理を終了する。
【0049】
一方、ステップ32の処理において、機密性が無いと判断された場合(ステップ32;N)、該当する文書データの符号化処理は行わずにステップ38の処理に進む。
なお、機密性が無いと判断された場合には、該文書が符号化されていないことを示すために「暗号ID=0」となるように暗号IDを付加するようにする。
ここでは、「暗号ID=0」で符号化無し、「暗号ID≠0」で符号化を実施していることを示すものとする。符号化されていない文書のヘッダとしては全て「暗号ID=0」が設定されることになる。
【0050】
図14は、リムーバブルメディア213に格納されている符号化データをデータ処理装置101へ読み出す処理の手順を示したフローチャートである。
まず、リムーバブルメディア213に格納されている符号化データ(暗号IDを含む)を読み出す(ステップ41)。ただし、ここで読み出される符号化データには、実際に符号化処理を施されていない文書データが含まれていてもよい。
次に、読み出した符号化データのヘッダとして付加されている暗号IDを検出し、この検出された暗号IDに基づいて、当該符号化データの機密性の有無を判断する(ステップ42)。この判断は、前述のように暗号IDが「0」なのか「0以外」なのかを判断することにより容易に確認することができる。
【0051】
符号化データに機密性を有する場合(ステップ42;Y)、具体的には「暗号ID≠0」である場合、データ処理装置101は、当該符号化データが暗号キーによって符号化されていると認識し、符号化時に同じ暗号IDとして登録されている暗号キーをデータ処理装置101内の暗号キー記憶部409より検索する(ステップ43)。
そして、検索された暗号キーが登録されている暗号キーと一致するか否かを判断する(ステップ44)。
検索された暗号キーが登録されている暗号キーと一致しない場合(ステップ44;N)、そのまま処理を終了する。
検索された暗号キーが登録されている暗号キーと一致する場合(ステップ44;Y)、データ処理装置101は、暗号キーを暗号キー記憶部409から読み出し(ステップ45)、この暗号キーを用いて、符号化データを復号化する(ステップ46)。
そして、データ処理装置101は、復号化した復号化データを内部記憶部204に展開し(ステップ47)、表示部203等に出力した後、処理を終了する。
これにより操作者は、出力された復号化データを閲覧することができる。
一方、ステップ42の処理において、符号化データに機密性が無い場合(ステップ42;N)、具体的には「暗号ID=0」である場合、当該符号化データが暗号キーによって符号化されていないことを認識し、復号化処理を行わずステップ47の処理へ進む。
【0052】
また、暗号キーを操作者の入力によらず、例えば、データ処理装置101を製造する工場からの出荷時に予め登録させておくことも可能である。つまり、使用する操作者はもちろん、情報を持ち出そうとする第3者も、機密文書データの暗号キーを知ることがなく、データ処理装置101を使用することができる。
操作者が暗号キーを知らなくても、リムーバブルメディア213上の文書の暗号IDとデータ処理装置101内の暗号キー記憶部409の暗号IDが一致すれば、適切な暗号キーを自動的に検索することができるようになる。
このように暗号キー自体を操作者が意識することなく、機密文書の符号化、復号化を実行することができ、しかもリムーバブルメディア213に格納された機密文書は、その格納したデータ処理装置101そのものでしか復号化することができないようになっているため、その機密文書が格納されたリムーバブルメディア213が持ち出されたとしても、その内容を第3者が読み出すことができないようになっている。
【0053】
(実施例4)
実施例4では、リムーバブルメディア213を介して複数のデータ処理装置101間で情報を閲覧する例を説明する。
実施例4に示すネットワークセキュリティシステムでは、基本的に機密性を有するデータをネットワーク103上からアクセスできる記憶装置、例えば固定ハードディスク等に格納しないようにしている。つまり、実施例4に示すネットワークセキュリティシステムでは、リムーバブルメディア213を機密情報の記憶メディアとして、ネットワーク103上で扱うようにしている。
【0054】
実施例4において、図1のAに示すデータ処理装置101は、ネットワーク103上にあるシステムの機密保持を管理するための親機であり、システムの暗号キーを保管している。この暗号キーは、機密文書データのカテゴリごとに複数設定することも可能である。
図1のB、C、Dに示すデータ処理装置101は、この親機にアクセスして暗号キーを入手し、この暗号キーで機密文書データの閲覧が可能な子機である。
この子機では、実施例1に示したネットワークセキュリティシステム異なり、親機で作成した機密文書データを装置の表示部で表示することはできるが、子機で機密文書を作成したり、親機からの機密文書に手を加えたりすることはできないようになっている。
【0055】
図15は、本実施の形態に係る子機であるデータ処理装置101(以下、子機とする)のブロック構成を示した図である(実施例4)。なお、実施例3の図12に示したブロックと同じ機能を有するブロックには、同一の符号を付し、重複する説明については省略する。
図15に示すように、本実施例における子機は、リムーバブルデバイス制御部607に符号化部210が存在しない点で、実施例3で示したデータ処理装置101と異なる。従って、本実施例における子機では、符号化データを復号化することはできるが、符号化データを作成して、リムーバブルメディア213に格納することはできない。
また、本実施例における子機には、揮発メモリで構成される暗号キー記憶部609を備えている。これは、一時的な暗号キーの格納のみを許可し、いつまでも暗号キーが子機内に格納されているような状態を避けるためである。
また、子機の暗号キー記憶部609の内容をクリアするために、前述した子機の暗号キー記憶部209(実施例2)の内容をクリアする回路を用いるようにしてもよい。
【0056】
(実施例5)
図16は、本実施の形態に係るデータ処理装置101のブロック構成を示した図である(実施例5)。なお、実施例3の図12に示したブロックと同じ機能を有するブロックには、同一の符号を付し、重複する説明については省略する。
図16に示すように、実施例5に示すデータ処理装置101では、リムーバブルデバイス制御部707の暗号キー記憶部709を不揮発性のメモリで構成しており、暗号キーを格納しているリムーバブルメディアb214から暗号キーを読み出して、この暗号キー記憶部709に格納するようにしている。
暗号キー記憶部709によりアクセスされるリムーバブルメディアb214は、データ処理装置101固有の暗号キーが操作者の手により予め登録されている。この暗号キーは、情報を扱う管理者、グループによって設定され、システムに侵入したハッカーはもちろん、操作者でさえわからないようにしておくことができる。例えば、ハード的にCPU201のアドレスバス以外のローカルバス上にあるメモリ領域を外部から見えなくするようにする。
【0057】
暗号キーをリムーバブルメディアb214に格納することにより、リムーバブルメディア213へ格納された符号化文書は、唯一の暗号キーを保持している暗号キー格納用のリムーバブルメディアb214に格納されている暗号キーでなければ復号化されることがない。従って、同じネットワークセキュリティシステムを持つデータ処理装置101であっても符号化した暗号キーを格納しているリムーバブルメディアb214が無ければ、例え機密文書が格納されているリムーバブルメディア213だけを持ち出したとしても復号化できず、その機密文書を解読することができないようになっている。
【0058】
【発明の効果】
請求項1記載の発明によれば、データ処理装置の暗号化キー記憶装置に格納されている暗号化キーを用いてデータを符号化することにより、符号化データから符号化された暗号キーを認識することが不可能となるため、データの機密性を確保することができる。
請求項2記載の発明によれば、データ処理装置の暗号化キー記憶装置に格納されている暗号化キーを用いてデータを復号化することにより、不正なデータ処理装置における復号化を防止することができ、データの機密性を適切に確保することができる。
請求項3記載の発明によれば、加工暗号化キーを用いてデータの符号化を行うことにより、データの機密性をより強固にすることができる。
【0059】
請求項4記載の発明によれば、加工暗号化キーを用いてデータの復号化を行うことにより、データの機密性をより有効にすることができる。
請求項5記載の発明によれば、暗号化キーをホスト装置から取得することにより、ホスト装置へのアクセスが可能なデータ処理装置でのみ、データの符号化または復号化を可能とすることができる。
請求項6記載の発明によれば、暗号化キーを着脱可能なデバイスに格納することにより、このデバイスが装着されたデータ処理装置でのみ、データの符号化または復号化を可能とすることができる。
【0060】
請求項7記載の発明によれば、データ処理装置の暗号化キー記憶装置に格納されている暗号化キーを用いてデータを復号化することにより、不正なデータ処理装置における復号化を防止することができ、データの機密性を適切に確保することができる。
請求項8記載の発明によれば、加工暗号化キーを用いてデータの復号化を行うことにより、データの機密性をより有効にすることができる。
請求項9記載の発明によれば、暗号化キーをホスト装置から取得することにより、ホスト装置へのアクセスが可能なデータ処理装置でのみ、データの復号化を可能とすることができる。
請求項10記載の発明によれば、暗号化キーを着脱可能なデバイスに格納することにより、このデバイスが装着されたデータ処理装置でのみ、データ復号化を可能とすることができる。
【図面の簡単な説明】
【図1】本実施の形態に係るネットワークセキュリティシステムの概略構成を示した図である。
【図2】本実施の形態に係るデータ処理装置のブロック構成を示した図である(実施例1)。
【図3】符号化部の回路構成例を示した図である。
【図4】復号化部の回路構成例を示した図である。
【図5】本実施の形態に係るネットワークI/Fのブロック構成を示した図である。
【図6】符号化データのフォーマットを示した図である。
【図7】リムーバブルメディア上の複数の符号化データのフォーマットと、データ処理装置の暗号キー記憶部に格納されている暗号キーのフォーマットとを示した図である。
【図8】本実施の形態に係るネットワークセキュリティシステムにおける、データを符号化してリムーバブルメディアに格納する処理の手順について示したフローチャートである。
【図9】リムーバブルメディアに格納されている符号化データをデータ処理装置へ読み出す処理の手順を示したフローチャートである。
【図10】本実施の形態に係る子機であるデータ処理装置のブロック構成を示した図である(実施例2)。
【図11】子機の暗号キー記憶部の内容をクリアする回路の構成を示した図である。
【図12】本実施の形態に係るデータ処理装置のブロック構成を示した図である(実施例3)
【図13】本実施の形態に係るネットワークセキュリティシステムにおける、データを符号化してリムーバブルメディアに格納する処理の手順について示したフローチャートである。
【図14】リムーバブルメディアに格納されている符号化データをデータ処理装置に読み出す処理の手順を示したフローチャートである。
【図15】本実施の形態に係る子機であるデータ処理装置のブロック構成を示した図である(実施例4)。
【図16】本実施の形態に係る子機であるデータ処理装置のブロック構成を示した図である(実施例5)。
【符号の説明】
101 データ処理装置
102 デバイス
103 ネットワーク
201 CPU
202 操作部
203 表示部
204 内部記憶部
205 ネットワークI/F
207 リムーバブルデバイス制御部
208 データ制御部
209 暗号キー記憶部
210 符号化部
211 復号化部
212 メディア制御部
213 リムーバブルメディア
214 暗号キー照合部
215 暗号キー加工部
【発明の属する技術分野】
本発明は、LAN(ローカル・エリア・ネットワーク)、インターネット等のネットワーク上において、データのやり取りを実行するデータ処理装置に係り、特に、機密性を有するデータを扱うデータ処理装置に関する。
【0002】
【従来の技術】
近年、LANやインターネット等のネットワークシステムの普及により、ネットワークを用いて電子文書データを扱うデジタル機器が開発されてきている。
各種ネットワークシステムにおいてこのようなデジタル機器は、公衆回線、あるいはLAN回線等を介して他のデジタル機器と接続され、そして、ある程度自由に互いの保有する電子文書データを共有することが可能となっている。
ところが、このようにして大量の共有データが扱えるようになってきたことに伴い、不正なアクセスによる重要文書データの漏洩等を防止する機密保護の要求が高まってきている。
【0003】
従来、このような機密性を有する電子文書データを安全に管理する技術が下記の特許文献をはじめ種々公開されている。
【特許文献1】
特開2002−15511公報
特許文献1には、機密性を有する電子文書データを安全かつ容易に保護するためのリムーバブルメディアを用いたネットワークセキュリティシステムについて開示されている。このネットワークセキュリティシステムは、リムーバブルメディア上に格納されている認証情報を用いてアクセス権の認証を行い、認証された場合にのみ該リムーバブルメディアにアクセスすることが許可されるようになっている。
【0004】
【発明が解決しようとする課題】
しかしながら、このようにして様々なネットワークセキュリティシステムが開発されているにもかかわらず、ハッカーと呼ばれる他人のシステムに無断で侵入し、内部情報を破壊したり、持ち出したりする犯罪が増加しつつある。
そして、このような電子文書データへの不正アクセスを防止しようと上記特許文献1に開示されているようなネットワークセキュリティシステムを使用したとしても、リムーバブルメディアに重要機密情報と共に認証情報も同時に記録されてしまっているため、リムーバブルメディアの内容が何らかの手段で複製されたり、持ち出されたりして、その認証情報によって格納されている機密情報を読み出されるおそれがあった。
また、電子文書データが持ち出されることにより認証チェックが実施されることなくデータの内容が読み出されるおそれもあった。
そこで本発明は、安全にネットワーク上で取り扱われる機密性を有する電子データを保護することが可能なデータ処理装置を提供することを目的とする。
【0005】
【課題を解決するための手段】
請求項1記載の発明では、データを格納するデバイスを備えたネットワーク接続可能なデータ処理装置において、データを符号化する際に用いる暗号化キーを格納する暗号化キー記憶装置と、前記暗号化キー記憶装置に記憶されている前記暗号化キーが当該データ処理装置においてデータを符号化する際に用いる暗号化キーとして適切であるか否かを照合する暗号化キー照合手段と、前記暗号化キー照合手段により前記暗号化キーが適切であると判断された場合、前記暗号化キーを用いて前記デバイスに格納されているデータを符号化して、符号化データを作成する符号化手段と、前記符号化手段により符号化された符号化データを格納する符号化データ格納装置と、を備えることにより前記目的を達成する。
請求項2記載の発明では、請求項1記載の発明において、前記暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化する復号化手段を備えることにより前記目的を達成する。
【0006】
請求項3記載の発明では、請求項1または請求項2記載の発明において、前記暗号化キーに所定の演算処理を施して、加工暗号化キーを作成する暗号化キー加工手段を備え、前記符号化手段は、前記暗号化キー加工手段によって作成された前記加工暗号化キーを用いてデータを符号化して、符号化データを作成することにより前記目的を達成する。
請求項4記載の発明では、請求項2記載の発明において、前記暗号化キーに所定の演算処理を施して、加工暗号化キーを作成する暗号化キー加工手段を備え、前記復号化手段は、前記暗号化キー加工手段によって作成された前記加工暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化することにより前記目的を達成する。
請求項5記載の発明では、請求項1、請求項2、請求項3または請求項4記載の発明において、同一ネットワーク上に接続された当該データ処理装置のホスト装置と接続可能であって、前記暗号化キー記憶装置は、前記ホスト装置から前記暗号化キーを取得して格納することにより前記目的を達成する。
請求項6記載の発明では、請求項1、請求項2、請求項3、請求項4または請求項5記載の発明において、前記暗号化キーを格納した着脱可能なデバイスを備え、前記暗号化キー記憶装置は、前記着脱可能なデバイスから前記暗号化キーを取得して格納することにより前記目的を達成する。
【0007】
請求項7記載の発明では、データを格納するデバイスを備えたネットワーク接続可能なデータ処理装置において、データを復号化する際に用いる暗号化キーを格納する暗号化キー記憶装置と、符号化された符号化データが格納された符号化データ格納装置と、前記暗号化キー記憶装置に記憶されている前記暗号化キーが当該データ処理装置においてデータを復号化する際に用いる暗号化キーとして適切であるか否かを照合する暗号化キー照合手段と、前記照合手段により前記暗号化キーが適切であると判断された場合、前記暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化する復号化手段と、を備えることにより前記目的を達成する。
請求項8記載の発明では、請求項7記載の発明において、前記暗号化キーに所定の演算処理を施して、加工暗号化キーを作成する暗号化キー加工手段を備え、前記復号化手段は、前記暗号化キー加工手段によって作成された前記加工暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化することにより前記目的を達成する。
請求項9記載の発明では、請求項7または請求項8記載の発明において、同一ネットワーク上に接続された当該データ処理装置のホスト装置と接続可能であって、前記暗号化キー記憶装置は、前記ホスト装置から前記暗号化キーを取得して格納することにより前記目的を達成する。
請求項10記載の発明では、請求項7または請求項8記載の発明において、前記暗号化キーを格納した着脱可能なデバイスを備え、前記暗号化キー記憶装置は、前記着脱可能なデバイスから前記暗号化キーを取得して格納することにより前記目的を達成する。
【0008】
【発明の実施の形態】
以下、本発明のデータ処理装置を用いたネットワークセキュリティシステムにおける好適な実施の形態について、図1から図16を参照して詳細に説明する。
図1は、本実施の形態に係るネットワークセキュリティシステムの概略構成を示した図である。
図1に示すように、ネットワークセキュリティシステムは、複数のデータ処理装置101がネットワーク103を介して接続されている。
データ処理装置101は、ネットワーク接続が可能であり、デバイス102を備えている。このデータ処理装置101では、市販されている文書作成ソフトウエア等により、データの作成、編集等を行った後、デバイス102に、その結果のデータを格納することができるようになっている。
【0009】
デバイス102は、データ処理装置101からアクセスすることが可能な着脱可能なデバイスであり、例えば、リムーバブルハードディスク、コンパクトディスク、MOディスク、メモリカード等である。そのため、このデバイス102は、データ処理装置101から取り出して別の保管場所で管理することができるようになっている。
ネットワーク103は、公衆回線やLAN(ローカル・エリア・ネットワーク)等のネットワーク回路網である。
【0010】
(実施例1)
実施例1において、図1のAに示すデータ処理装置101は、ネットワーク103上にあるシステムの機密保持を管理するための親機であり、システムの暗号キーを保管している。この暗号キーは、機密文書データのカテゴリごとに複数設定することも可能である。
図1のB、C、Dに示すデータ処理装置101は、この親機にアクセスして暗号キーを入手し、この暗号キーで機密文書データの作成、または機密文書データの閲覧等が可能となる。
この時、Aに示す親機は、B、C、Dに示す子機ごとに異なる独自の暗号キーをそれぞれ設定するようにしている。また、各子機は、それぞれ独自の暗号キーを親機から入手し、独自の加工方法で暗号キーを加工し、着脱可能なデバイス102に格納されている符号化データを閲覧することができるようになっている。
【0011】
図2は、本実施の形態に係るデータ処理装置101のブロック構成を示した図である(実施例1)。
図2に示すように、データ処理装置101は、CPU(中央演算処理装置)201、操作部202、表示部203、内部記憶部204、ネットワークI/F(インター・フェース)205、リムーバブルデバイス制御部207からなり、それぞれがバスラインを介して接続されている。
CPU201は、データ処理装置101の動作プログラムに基づいて演算処理を行う装置である。
操作部202は、キーボード、テンキーなどから構成され、操作者がシステムに入るためのパスワードを入力したり、データ処理装置101の持つ機能に対して動作命令を出したり、データをデバイス102に格納したりする命令を入力することができる入力装置である。
【0012】
表示部203は、データ処理装置101の機能一覧、実行中の処理状態、処理結果、リムーバブルメディア213から読み出したデータ、文書作成中のデータ等を表示するための出力装置である。
内部記憶部204は、データ処理装置101の内部に予め搭載されており、CPU201で動作するプログラムを格納したり、CPU201のワーキングメモリ、または、データ作成のプレーンメモリとして使用したり、デバイスから読み込んだデータを展開したりなどの処理を行うためのメモリである。
ネットワークI/F205は、ネットワーク103に接続するためのインターフェースであり、このネットワークI/F205を介することにより、同一のネットワーク103に接続されたデバイス102とデータの送受信が可能となる。
リムーバブルデバイス制御部207は、リムーバブルメディア213にアクセスし、内部情報を読み出したり、書き込んだりする制御を行う。なお、このリムーバブルメディア213は、デバイス102に備えられている複数のリムーバブルデバイスのうちの1つである。
【0013】
次に、リムーバブルデバイス制御部207の構成について説明する。
図2に示すように、リムーバブルデバイス制御部207は、データ制御部208、暗号キー記憶部209、符号化部210、復号化部211、メディア制御部212、暗号キー照合部214および暗号キー加工部215から構成されている。
データ制御部208は、前述した親機(ホスト装置)に接続するためのI/Fを備え、データ処理装置101で作成したデータをリムーバブルメディア213に送信したり、リムーバブルメディア213に格納されているデータを内部記憶部204に読み出すなどのアクセス制御を行う。
また、データ制御部208は、リムーバブルメディア213へのデータの送信、リムーバブルメディア213からのデータの受信などのデータの方向制御も行う。
【0014】
暗号キー記憶部209は、ネットワーク103を介して読み込んだ暗号キーを一時的に格納するメモリである。なお、この暗号キーは符号化データと1対1で対応しており、この暗号キーにより符号化データを生成できるように構成されている。なお、実施例1においてこの暗号キー記憶部209は、揮発性のメモリ素子で構成し、電源が落されてしまうと暗号キー情報が消去されるようになっている。
符号化部210は、データ制御部208が内部記憶部204から読み出したデータをメディア制御部212を介してリムーバブルメディア213に符号化して格納する場合における符号化処理を行う。
この符号化部210は、ネットワーク103を介して読み込んだ暗号キーを一時的に暗号キー記憶部209に格納されている暗号キーを使用して符号化するように構成されている。
例えば、図3に示すように暗号キー記憶部209からの暗号キーを入力A信号とし、この入力A信号を論理回路などから構成される演算器601で加工した値を、データである入力B信号に加算器602により加算し、符号化信号Cとして出力する。
このとき、演算器601における演算で得られた加工データをフィードバックして演算器601に印加するようにしている。
【0015】
復号化部211は、暗号キー記憶部209に記憶されている暗号キーにより符号化部210で符号化されたデータを、同じ暗号キーにより復号化できるように構成されている。
例えば、図4に示すように暗号キー記憶部209からの暗号キーを入力A信号とし、この入力A信号を論理回路などから構成される演算器701で加工した値を、符号化データである入力B信号に減算器702により減算し、復号化信号Cとして出力する。
このとき、演算器701における演算で得られた加工データをフィードバックし演算器701に印加するようにしている。
【0016】
メディア制御部212は、リムーバブルメディア213とのI/Fであり、リムーバブルメディア213の種類応じたI/F回路を構成している。
例えば、図3に示すように暗号キー記憶部209からの暗号キーを入力A信号とし、この入力A信号を論理回路などから構成される演算器601で加工した値を、データである入力B信号に加算器602により加算し、符号化信号Cとして出力する。
このとき、演算器601における演算で得られた加工データをフィードバックして演算器601に印加するようにしている。
【0017】
暗号キー照合部214は、ネットワークセキュリティシステムで使用する暗号キー情報の一覧データが格納されており、暗号キー記憶部209にネットワークを介して、親機であるデータ処理装置101(以下、親機とする)から読み出した暗号キーと、暗号キー情報の一覧データと、を照合する。
そして、照合の結果、これらの暗号キーが不一致すると判断された場合、このアクセスは不正なものと認識され、リムーバブルデバイス制御部207は、リムーバルメディア213の内容へのアクセスを遮断する。
一方、これらの暗号キーが一致であると判断された場合、暗号キーを使用して機密データの符号化、また、復号化を可能にする。このとき、操作者は、ネットワークセキュリティシステムの親機、また子機を利用するためのパスワードが必要となる。同時に、機密文書データへアクセスするためには、ネットワーク103上の暗号キーが記憶された親機へ入るためのパスワードも必要となる。従って、親機とアクセスするためのパスワードを知る操作者にのみ機密文書データへのアクセスが可能となっている。
【0018】
図5は、本実施の形態に係るネットワークI/F205のブロック構成を示した図である。
図5に示すように、ネットワークI/F205は、受信制御部501と送信制御部507によって、それぞれ制御されるデータ受信回路とデータ送信回路に分けられている。
データ受信回路は、ネットワーク103からのデータを受信するレシーバ506、レシーバで受信したデータのノイズを除去するノイズキャンセル505、変調されたデータを復調する復調部504、シリアルデータをパラレルデータに変換するシリパラ変換部503、パラレルデータを格納するキューイングバッファである受信バッファ502により構成されている。そして、これらの各部は、受信制御部501によって制御されている。
【0019】
データ処理装置101の外部には、外部CPU513が設けられている。この外部CPU513を用いることによって、CPUバスに接続されたCPU_I/F512を介して受信バッファ502に格納されたデータを順次読み出すことができるようになっている。
また、データ送信時に使用されるデータ送信回路は、外部CPU513からCPU_I/F512を介して送信バッファ508に書き込まれたデータを、パラシリ変換部509によりパラレルデータをシリアルデータに変換し、変調部510でデータを変調しドライバ511によってネットワーク103に出力されるようになっている。なお、これらの一連の処理は、送信制御部507によって制御されている。
【0020】
次に、このように構成されたネットワークセキュリティシステムにおける動作について説明する。
まず、リムーバブルメディア213へ符号データを書き込む処理について説明する。
データ処理装置101において、文書作成用のソフトウエア、またはデータ描画用のソフトウエア等を用いて、操作部202からの入力により内部記憶部204にデータの入力が行われる。
ここでデータを入力し、これを何らかの記憶装置に登録する場合(例えば、装置内のハードディスクへ格納する場合)、ネットワーク103からの侵入者により作成されたデータの機密性が損なわれたり、あるいは、コンピュータウイルス等により破壊されたりするリスクが生じる。
【0021】
そこで、本実施例では、機密性の高い情報が入ったリムーバブルメディア213と符号化のための暗号キーを別々の場所で管理し、リムーバブルメディア213とそれにアクセス可能なデータ処理装置101を1対1で結び付け、特定のデータ処理装置101でしか、その対応するリムーバブルメディア213にアクセスすることができないようにしている。
暗号キー記憶部209には、データ処理装置101の1台にしかない暗号キーが、予め親機より読み出されて登録されている。この暗号キーは、データ処理装置101を販売した会社の工場において出荷時に設定され、ネットワークセキュリティシステムに侵入したハッカーはもちろん、操作者でさえわからないようにしておくことができる。
例えば、ハード的にCPU201のアドレスバス以外のローカルバス上にあるROM(リード・オンリ・メモリ)領域を外部から見えなくするようにする。
【0022】
本実施例の特徴は、データを符号化、または、復号化するための暗号キーをリムーバブルメディア213に格納されている符号化されたデータと同じメディアに格納しないことにある。
このように暗号キーを管理することにより、符号化されたデータが格納されているリムーバブルメディア213だけでは、その符号化データを復号することができないようにしている。
さらに、同じネットワークセキュリティシステムを持つ他のデータ処理装置101であってもデータ処理装置101の固有の暗号キーが必要であるため、データを符号化した特定のデータ処理装置101でしか復号化することができない。
つまり、符号化データはリムーバブルメディア213に格納し、暗号キーはデータ処理装置101内部記憶部204に格納しておく。
【0023】
図6は、符号化データのフォーマットを示した図である。
図6に示すように、1つの符号化データには、ヘッダとして暗号ID(識別子)が付加されている。この暗号IDは、暗号キーそのものではなく、暗号キーを特定するためのIDである。
この暗号IDは、複数の符号化データがあり、それぞれ暗号キーを異ならせるようにする場合、符号化データと暗号キーを結び付ける働きをする。
従って、符号化データだけでは、このリムーバブルメディア213に記憶されているデータを復号化することができないようになっている。
また、本実施例では、リムーバブルメディア213にはデータを符号化する暗号キーを記憶させないようにしている。そして、リムーバブルメディア213の符号化データを復号する場合、その復号化するための暗号キーが格納されている暗号キー記憶部209が搭載されている機械でしか復号化できないようになっている。
【0024】
図7は、リムーバブルメディア213上の複数の符号化データのフォーマットと、データ処理装置101の暗号キー記憶部209に格納されている暗号キーのフォーマットとを示した図である。
リムーバブルメディア213に複数の符号化データを記憶する場合、それぞれを符号化するための暗号キーに全て異なる暗号キーを用いる方が、より情報の漏洩の危険性を抑制することができるようになっている。
本実施例では、暗号キーごとに暗号ID:ID0〜IDnをそれぞれ付加するようにしている。
図7に示すように、リムーバブルメディア213内部のフォーマットと、暗号キー記憶部209のフォーマットとは、それぞれが1対1に対応している。
【0025】
図8は、本実施の形態に係るネットワークセキュリティシステムにおける、データを符号化してリムーバブルメディア213に格納する処理の手順について示したフローチャートである。
まず、操作者は、データ処理装置101において、文書作成ソフトウエア等を用いて、文書データ(描画データ、数値データなど含む)の作成、編集等を行う(ステップ11)。
次に、操作者は、作成した文書データに対する機密性の有無を操作部202から指定し、データ処理装置101は、その機密性の有無の指定データを検出して、当該文書データに、機密性が有るか否かを判断する(ステップ12)。
【0026】
機密性が有ると判断された場合(ステップ12;Y)、該当する文書データの符号化処理を行う。
詳しくは、データ処理装置101は、文書データを符号化するための暗号キーをネットワーク103を介してネットワークセキュリティシステムの親機から入手する(ステップ13)。
そして、データ処理装置101は、入手した暗号キーと、ネットワークセキュリティシステムの暗号キーとが一致しているか否かを照合する(ステップ14)。具体的な暗号キーの照合方法としては、暗号キーに示される値が論理的な法則に則り生成されているかどうかをチェックする。
【0027】
照合の結果、暗号キーが不一致であった場合(ステップ14;N)、つまり、暗号キーに問題がある場合、入力した暗号キーが不正であると判断し、再度、操作者に暗号キーの入力を促し、ステップ13の処理を繰り返す。そして、さらに入力された暗号キーに対して、再び照合を行い、暗号キーとして問題が無ければ、本文書の暗号キーとして使用することができるようになる。
本実施例では、暗号キーが機密文書ごとに異なるため、扱う暗号キーの数が多くなってしまうが、操作者は、暗号キーそのものを覚えておく必要は無いため、利便性を向上させることができる。
【0028】
照合の結果暗号キーが一致した場合(ステップ14;Y)、データ処理装置101は、暗号キーを登録するために暗号IDを暗号キー記憶部209に登録(格納)する(ステップ15)。
そして、データ処理装置101は、暗号キー記憶部209に格納された暗号キーに、子機固有の加工を施す(ステップ16)。ここでは、例えば、ある値を乗算したり、加算したり減算したりすることにより暗号キーに加工を施すようにしている。
【0029】
次に、データ処理装置101は、加工が施された暗号キーを使用して文書データを符号化する(ステップ17)。
ここで文書データを符号化することにより、親機を頂点とするネットワークセキュリティシステムの中で、子機固有の文書データが符号化データとして生成される。すると、異なる親機を頂点とするネットワークセキュリティシステムはもちろん、同じネットワークセキュリティシステム内の他の子機でさえ、符号化データの内容を閲覧することができなくなる。
文書データを符号化した後、データ処理装置101は、当該符号化データを示す暗号IDを設定する(ステップ18)。
そして、暗号IDおよび符号化データをリムーバブルメディア213へ格納し(ステップ19)、処理を終了する。
【0030】
一方、ステップ12の処理において、機密性が無いと判断された場合(ステップ12;N)、該当する文書データの符号化処理は行わずにステップ18の処理に進む。
なお、機密性が無いと判断された場合には、該文書が符号化されていないことを示すために「暗号ID=0」となるように暗号IDを付加するようにする。
ここでは、「暗号ID=0」で符号化無し、「暗号ID≠0」で符号化を実施していることを示すものとする。符号化されていない文書のヘッダとしては全て「暗号ID=0」が設定されることになる。
【0031】
図9は、リムーバブルメディア213に格納されている符号化データをデータ処理装置101へ読み出す処理の手順を示したフローチャートである。
まず、リムーバブルメディア213に格納されている符号化データ(暗号IDを含む)を読み出す(ステップ21)。ただし、ここで読み出される符号化データには、実際に符号化処理を施されていない文書データが含まれていてもよい。
次に、読み出した符号化データのヘッダとして付加されている暗号IDを検出し、この検出された暗号IDに基づいて、当該符号化データの機密性の有無を判断する(ステップ22)。この判断は、前述のように暗号IDが「0」なのか「0以外」なのかを判断することにより容易に確認することができる。
【0032】
符号化データに機密性を有する場合(ステップ22;Y)、具体的には「暗号ID≠0」である場合、当該符号化データが暗号キーによって符号化されていると認識し、データ処理装置101は、暗号キーによる復号化処理を行う。
詳しくは、データ処理装置101は、文書データを復号化するための暗号キーをネットワーク103を介してネットワークセキュリティシステムの親機から入手する(ステップ23)。
そして、データ処理装置101は、入手した暗号キーと、ネットワークセキュリティシステムの暗号キーとが一致しているか否かを照合する(ステップ24)。具体的な暗号キーの照合方法としては、暗号キーに示される値が論理的な法則に則り生成されているかどうかをチェックする。
【0033】
照合の結果、暗号キーが不一致であった場合(ステップ24;N)、つまり、暗号キーに問題がある場合、入力した暗号キーが不正であると判断し、再度、操作者に暗号キーの入力を促し、ステップ23の処理を繰り返す。そして、さらに入力された暗号キーに対して、再び照合を行い、暗号キーとして問題が無ければ、本文書の暗号キーとして使用することができるようになる。
本実施例では、暗号キーが機密文書ごとに異なるため、扱う暗号キーの数が多くなってしまうが、操作者は、暗号キーそのものを覚えておく必要は無いため、利便性を向上させることができる。
【0034】
照合の結果暗号キーが一致した場合(ステップ24;Y)、データ処理装置101は、暗号キーを登録するために暗号IDを暗号キー記憶部209に登録(格納)する(ステップ25)。
そして、データ処理装置101は、暗号キー記憶部209に格納された暗号キーに、子機固有の加工を施す(ステップ26)。ここでは、例えば、ある値を乗算したり、加算したり減算したりすることにより暗号キーに加工を施すようにしているが、原則として、文書データを符号化した時と同じ加工であれば、問題無い。
【0035】
次に、データ処理装置101は、加工が施された暗号キーを使用して符号化データを復号化する(ステップ27)。
そして、データ処理装置101は、復号化した復号化データを内部記憶部204に展開し(ステップ28)、表示部203等に出力した後、処理を終了する。
これにより操作者は、出力された復号化データを閲覧することができる。
一方、ステップ22の処理において、符号化データに機密性が無い場合(ステップ2;N)、具体的には「暗号ID=0」である場合、当該符号化データが暗号キーによって符号化されていないことを認識し、復号化処理を行わずにステップ28の処理へ進む。
【0036】
このようにして、リムーバブルメディア213へ格納された符号化データは、唯一の暗号キーを保持しているデータ処理装置101でなければ復号化することができない。同じネットワークセキュリティシステムを持つデータ処理装置101であっても符号化した暗号キーを格納している暗号キー記憶部209が無ければ、例え符号化データが格納されているリムーバブルメディア213だけを持ち出したとしても復号化できず、その符号化データを解読することができないようになっている。
【0037】
(実施例2)
実施例2では、リムーバブルメディア213を介して複数のデータ処理装置101間で情報を閲覧する例を説明する。
実施例2に示すネットワークセキュリティシステムでは、基本的に機密性を有するデータをネットワーク103上からアクセスできる記憶装置(例えば固定ハードディスク等)に格納しないようにしている。つまり、実施例2に示すネットワークセキュリティシステムでは、リムーバブルメディア213を機密情報の記憶メディアとして、ネットワーク103上で扱うようにしている。
【0038】
実施例2において、図1のAに示すデータ処理装置101は、ネットワーク103上にあるシステムの機密保持を管理するための親機であり、システムの暗号キーを保管している。この暗号キーは、機密文書データのカテゴリごとに複数設定することも可能である。
図1のB、C、Dに示すデータ処理装置101は、この親機にアクセスして暗号キーを入手し、この暗号キーで機密文書データの閲覧が可能な子機である。
この子機では、実施例1に示したネットワークセキュリティシステムと異なり、親機で作成した機密文書データを装置の表示部で表示することはできるが、子機で機密文書を作成したり、親機からの機密文書に手を加えたりすることはできないようになっている。
【0039】
図10は、本実施の形態に係る子機であるデータ処理装置101(以下、子機とする)のブロック構成を示した図である(実施例2)。なお、実施例1の図2に示したブロックと同じ機能を有するブロックには、同一の符号を付し、重複する説明については省略する。
図10に示すように、本実施例における子機は、リムーバブルデバイス制御部307に符号化部210が存在しない点で、実施例1で示したデータ処理装置101と異なる。従って、本実施例における子機では、符号化データを復号化することはできるが、符号化データを作成して、リムーバブルメディア213に格納することはできない。
また、本実施例における子機にも、揮発メモリで構成される暗号キー記憶部209を備えている。これは、一時的な暗号キーの格納のみを許可し、いつまでも暗号キーが子機内に格納されているような状態を避けるためである。
【0040】
本実施例における子機においてリムーバブルメディア213に格納されている符号化データを閲覧する場合には、まず、ネットワーク103を介して、親機にアクセスし、この親機の暗号キー記憶部209に格納されている暗号IDと暗号キーデータを送信させる。
送信された暗号IDと暗号キーデータを子機の暗号キー記憶部209に格納し、親機と同様にこの暗号キーを使用して符号化データを復号化して出力することができる。また、閲覧後、速やかに子機の暗号キー記憶部209の内容をクリアすることで、子機からはリムーバブルメディア213の内容を読み出すことを不可能にすることができる。
【0041】
また、このような閲覧後の暗号キー記憶部209の内容をクリア処理するプログラムを閲覧ソフトウエアに組込んでおくことにより、いつまでも暗号キーが子機の内部に残ってしまうようなリスクを容易に回避することができる。
このようにネットワークセキュリティシステムを構成することにより、ネットワーク103上から不正に機密情報が持ち出されたり、壊されたりすることがなくなる。さらに機密情報が格納されたリムーバブルメディア213が持ち出されたとしても、そのデータを読み出すことができないため、機密性を有するデータが漏洩することを防止することができる。
前述したように、本実施例における子機において符号化データを閲覧した後、ソフトウエア的にも子機の暗号キー記憶部209の内容をクリアすることは可能である。また、ハードウエア的にも簡単な回路を用いることによって、子機の暗号キー記憶部209の内容をクリアすることも可能である。
【0042】
ここで、この子機の暗号キー記憶部209の内容をクリアする回路について説明する。
図11は、子機の暗号キー記憶部209の内容をクリアする回路の構成を示した図である。
図11に示すように、入力信号Aは、暗号キー記憶部209へのCPUアドレスバスである。この入力信号AによりCPU201によるデータ制御部208へのアクセスが可能となる。
入力信号DIは、暗号キー記憶部209へのCPUデータバスである。出力信号DOは、CPUデータバスへの出力信号である。
また、入力信号Sは、メディア制御部212から暗号キー記憶部209へ印加されている制御信号であり、リムーバブルメディア213がデータ処理装置101に装着されているか否かを検知する信号である。
ここでは、リムーバブルメディア213が装着されている場合、入力信号Sが「L」となり、装着されていない場合、「H」となるように構成されている。
【0043】
S信号が「L」、つまりリムーバブルメディア213が装着されている場合、セレクタ1202、1203によりCPU201からのアクセスが可能になる。
また、S信号が「H」、つまりリムーバブルメディア213が装着されていない場合、カウンタ1201が動作し、暗号キー記憶部209へのアドレスを生成すると同時に、暗号キー記憶部209へのライトデータが「0」となり、暗号キー記憶部209の内部データがクリアされる。
このような回路構成を用いることにより、リムーバルメディア213が装着されている場合のみ、暗号キー記憶部209内部へネットワーク103から読み込んだ暗号キーを格納することができ、また、リムーバルメディア213が装着されていない場合は、暗号キー記憶部209の情報、つまり暗号キーはクリアされることになる。
【0044】
(実施例3)
実施例3では、実施例1で説明したような暗号キーの加工処理を行わずに、機密性を有するデータの作成および閲覧を可能にするネットワークセキュリティシステムについて説明する。
図12は、本実施の形態に係るデータ処理装置101のブロック構成を示した図である(実施例3)。なお、実施例1の図2に示したブロックと同じ機能を有するブロックには、同一の符号を付し、重複する説明については省略する。
図12に示すように、本実施例に示すデータ処理装置101と実施例1に示すデータ処理装置101とでは、リムーバブルデバイス制御部407を構成するブロックに違いがある。
具体的には、本実施例のリムーバブルデバイス制御部407には、暗号キーを加工するための暗号キー加工部215および暗号キー照合部214を備えていない。つまり、本実施例では、暗号キーの加工は行わないようになっている。
また、暗号キー記憶部409は、不揮発性のメモリ素子で構成され、電源が落されても暗号キー情報は保持されたままになるようになっている。
【0045】
次に、このように構成されたネットワークセキュリティシステムにおける動作について説明する。
図13は、本実施の形態に係るネットワークセキュリティシステムにおける、データを符号化してリムーバブルメディア213に格納する処理の手順について示したフローチャートである。
まず、操作者は、データ処理装置101において、文書作成ソフトウエア等を用いて、文書データ(描画データ、数値データなど含む)の作成、編集等を行う(ステップ31)。
次に、操作者は、作成した文書データに対する機密性の有無を操作部202から指定し、データ処理装置101は、その機密性の有無の指定データを検出して、当該文書データに、機密性が有るか否かを判断する(ステップ32)。
【0046】
機密性が有ると判断された場合(ステップ32;Y)、該当する文書データの符号化処理を行う。
詳しくは、データ処理装置101は、文書データを符号化するための暗号キーの入力を操作者に促し暗号キーを入力させ(ステップ33)、入力された暗号キーのデータを受信する。
そして、データ処理装置101は、入力された暗号キーと、ネットワークセキュリティシステムの既存の暗号キーとが一致しているか否かを照合する(ステップ34)。
【0047】
照合の結果、暗号キーが一致した場合(ステップ34;Y)、入力した暗号キーは既に存在することから、再度、操作者に暗号キーの入力を促すためにステップ33の処理を繰り返す。
照合の結果、暗号キーが不一致であった場合(ステップ34;N)、つまり、既存の暗号キーと比較して一致するものがなければ、既存の暗号キーと異なる暗号キーであることが認識され、本文書の暗号キーとして使用される。
暗号キーは機密文書ごと必要となるため数が多くなるが、不揮発性の暗号キー記憶部209に記憶するため、前記したように操作者は暗号キーそのものを覚えておく必要が無い。
【0048】
次に、該暗号キーを登録するために暗号IDを暗号キー記憶部209から読み出す(ステップ35)。
読み出した暗号IDの内、暗号キーが登録されていないIDを検索し、その暗号IDに暗号キーを登録する(ステップ36)。
この登録された入力暗号キーにより作成された文書データを符号化し(ステップ37)、暗号IDをヘッダとして設定する(ステップ38)。
そして、暗号IDおよび符号化データをリムーバブルメディア213へ格納すし(ステップ39)、処理を終了する。
【0049】
一方、ステップ32の処理において、機密性が無いと判断された場合(ステップ32;N)、該当する文書データの符号化処理は行わずにステップ38の処理に進む。
なお、機密性が無いと判断された場合には、該文書が符号化されていないことを示すために「暗号ID=0」となるように暗号IDを付加するようにする。
ここでは、「暗号ID=0」で符号化無し、「暗号ID≠0」で符号化を実施していることを示すものとする。符号化されていない文書のヘッダとしては全て「暗号ID=0」が設定されることになる。
【0050】
図14は、リムーバブルメディア213に格納されている符号化データをデータ処理装置101へ読み出す処理の手順を示したフローチャートである。
まず、リムーバブルメディア213に格納されている符号化データ(暗号IDを含む)を読み出す(ステップ41)。ただし、ここで読み出される符号化データには、実際に符号化処理を施されていない文書データが含まれていてもよい。
次に、読み出した符号化データのヘッダとして付加されている暗号IDを検出し、この検出された暗号IDに基づいて、当該符号化データの機密性の有無を判断する(ステップ42)。この判断は、前述のように暗号IDが「0」なのか「0以外」なのかを判断することにより容易に確認することができる。
【0051】
符号化データに機密性を有する場合(ステップ42;Y)、具体的には「暗号ID≠0」である場合、データ処理装置101は、当該符号化データが暗号キーによって符号化されていると認識し、符号化時に同じ暗号IDとして登録されている暗号キーをデータ処理装置101内の暗号キー記憶部409より検索する(ステップ43)。
そして、検索された暗号キーが登録されている暗号キーと一致するか否かを判断する(ステップ44)。
検索された暗号キーが登録されている暗号キーと一致しない場合(ステップ44;N)、そのまま処理を終了する。
検索された暗号キーが登録されている暗号キーと一致する場合(ステップ44;Y)、データ処理装置101は、暗号キーを暗号キー記憶部409から読み出し(ステップ45)、この暗号キーを用いて、符号化データを復号化する(ステップ46)。
そして、データ処理装置101は、復号化した復号化データを内部記憶部204に展開し(ステップ47)、表示部203等に出力した後、処理を終了する。
これにより操作者は、出力された復号化データを閲覧することができる。
一方、ステップ42の処理において、符号化データに機密性が無い場合(ステップ42;N)、具体的には「暗号ID=0」である場合、当該符号化データが暗号キーによって符号化されていないことを認識し、復号化処理を行わずステップ47の処理へ進む。
【0052】
また、暗号キーを操作者の入力によらず、例えば、データ処理装置101を製造する工場からの出荷時に予め登録させておくことも可能である。つまり、使用する操作者はもちろん、情報を持ち出そうとする第3者も、機密文書データの暗号キーを知ることがなく、データ処理装置101を使用することができる。
操作者が暗号キーを知らなくても、リムーバブルメディア213上の文書の暗号IDとデータ処理装置101内の暗号キー記憶部409の暗号IDが一致すれば、適切な暗号キーを自動的に検索することができるようになる。
このように暗号キー自体を操作者が意識することなく、機密文書の符号化、復号化を実行することができ、しかもリムーバブルメディア213に格納された機密文書は、その格納したデータ処理装置101そのものでしか復号化することができないようになっているため、その機密文書が格納されたリムーバブルメディア213が持ち出されたとしても、その内容を第3者が読み出すことができないようになっている。
【0053】
(実施例4)
実施例4では、リムーバブルメディア213を介して複数のデータ処理装置101間で情報を閲覧する例を説明する。
実施例4に示すネットワークセキュリティシステムでは、基本的に機密性を有するデータをネットワーク103上からアクセスできる記憶装置、例えば固定ハードディスク等に格納しないようにしている。つまり、実施例4に示すネットワークセキュリティシステムでは、リムーバブルメディア213を機密情報の記憶メディアとして、ネットワーク103上で扱うようにしている。
【0054】
実施例4において、図1のAに示すデータ処理装置101は、ネットワーク103上にあるシステムの機密保持を管理するための親機であり、システムの暗号キーを保管している。この暗号キーは、機密文書データのカテゴリごとに複数設定することも可能である。
図1のB、C、Dに示すデータ処理装置101は、この親機にアクセスして暗号キーを入手し、この暗号キーで機密文書データの閲覧が可能な子機である。
この子機では、実施例1に示したネットワークセキュリティシステム異なり、親機で作成した機密文書データを装置の表示部で表示することはできるが、子機で機密文書を作成したり、親機からの機密文書に手を加えたりすることはできないようになっている。
【0055】
図15は、本実施の形態に係る子機であるデータ処理装置101(以下、子機とする)のブロック構成を示した図である(実施例4)。なお、実施例3の図12に示したブロックと同じ機能を有するブロックには、同一の符号を付し、重複する説明については省略する。
図15に示すように、本実施例における子機は、リムーバブルデバイス制御部607に符号化部210が存在しない点で、実施例3で示したデータ処理装置101と異なる。従って、本実施例における子機では、符号化データを復号化することはできるが、符号化データを作成して、リムーバブルメディア213に格納することはできない。
また、本実施例における子機には、揮発メモリで構成される暗号キー記憶部609を備えている。これは、一時的な暗号キーの格納のみを許可し、いつまでも暗号キーが子機内に格納されているような状態を避けるためである。
また、子機の暗号キー記憶部609の内容をクリアするために、前述した子機の暗号キー記憶部209(実施例2)の内容をクリアする回路を用いるようにしてもよい。
【0056】
(実施例5)
図16は、本実施の形態に係るデータ処理装置101のブロック構成を示した図である(実施例5)。なお、実施例3の図12に示したブロックと同じ機能を有するブロックには、同一の符号を付し、重複する説明については省略する。
図16に示すように、実施例5に示すデータ処理装置101では、リムーバブルデバイス制御部707の暗号キー記憶部709を不揮発性のメモリで構成しており、暗号キーを格納しているリムーバブルメディアb214から暗号キーを読み出して、この暗号キー記憶部709に格納するようにしている。
暗号キー記憶部709によりアクセスされるリムーバブルメディアb214は、データ処理装置101固有の暗号キーが操作者の手により予め登録されている。この暗号キーは、情報を扱う管理者、グループによって設定され、システムに侵入したハッカーはもちろん、操作者でさえわからないようにしておくことができる。例えば、ハード的にCPU201のアドレスバス以外のローカルバス上にあるメモリ領域を外部から見えなくするようにする。
【0057】
暗号キーをリムーバブルメディアb214に格納することにより、リムーバブルメディア213へ格納された符号化文書は、唯一の暗号キーを保持している暗号キー格納用のリムーバブルメディアb214に格納されている暗号キーでなければ復号化されることがない。従って、同じネットワークセキュリティシステムを持つデータ処理装置101であっても符号化した暗号キーを格納しているリムーバブルメディアb214が無ければ、例え機密文書が格納されているリムーバブルメディア213だけを持ち出したとしても復号化できず、その機密文書を解読することができないようになっている。
【0058】
【発明の効果】
請求項1記載の発明によれば、データ処理装置の暗号化キー記憶装置に格納されている暗号化キーを用いてデータを符号化することにより、符号化データから符号化された暗号キーを認識することが不可能となるため、データの機密性を確保することができる。
請求項2記載の発明によれば、データ処理装置の暗号化キー記憶装置に格納されている暗号化キーを用いてデータを復号化することにより、不正なデータ処理装置における復号化を防止することができ、データの機密性を適切に確保することができる。
請求項3記載の発明によれば、加工暗号化キーを用いてデータの符号化を行うことにより、データの機密性をより強固にすることができる。
【0059】
請求項4記載の発明によれば、加工暗号化キーを用いてデータの復号化を行うことにより、データの機密性をより有効にすることができる。
請求項5記載の発明によれば、暗号化キーをホスト装置から取得することにより、ホスト装置へのアクセスが可能なデータ処理装置でのみ、データの符号化または復号化を可能とすることができる。
請求項6記載の発明によれば、暗号化キーを着脱可能なデバイスに格納することにより、このデバイスが装着されたデータ処理装置でのみ、データの符号化または復号化を可能とすることができる。
【0060】
請求項7記載の発明によれば、データ処理装置の暗号化キー記憶装置に格納されている暗号化キーを用いてデータを復号化することにより、不正なデータ処理装置における復号化を防止することができ、データの機密性を適切に確保することができる。
請求項8記載の発明によれば、加工暗号化キーを用いてデータの復号化を行うことにより、データの機密性をより有効にすることができる。
請求項9記載の発明によれば、暗号化キーをホスト装置から取得することにより、ホスト装置へのアクセスが可能なデータ処理装置でのみ、データの復号化を可能とすることができる。
請求項10記載の発明によれば、暗号化キーを着脱可能なデバイスに格納することにより、このデバイスが装着されたデータ処理装置でのみ、データ復号化を可能とすることができる。
【図面の簡単な説明】
【図1】本実施の形態に係るネットワークセキュリティシステムの概略構成を示した図である。
【図2】本実施の形態に係るデータ処理装置のブロック構成を示した図である(実施例1)。
【図3】符号化部の回路構成例を示した図である。
【図4】復号化部の回路構成例を示した図である。
【図5】本実施の形態に係るネットワークI/Fのブロック構成を示した図である。
【図6】符号化データのフォーマットを示した図である。
【図7】リムーバブルメディア上の複数の符号化データのフォーマットと、データ処理装置の暗号キー記憶部に格納されている暗号キーのフォーマットとを示した図である。
【図8】本実施の形態に係るネットワークセキュリティシステムにおける、データを符号化してリムーバブルメディアに格納する処理の手順について示したフローチャートである。
【図9】リムーバブルメディアに格納されている符号化データをデータ処理装置へ読み出す処理の手順を示したフローチャートである。
【図10】本実施の形態に係る子機であるデータ処理装置のブロック構成を示した図である(実施例2)。
【図11】子機の暗号キー記憶部の内容をクリアする回路の構成を示した図である。
【図12】本実施の形態に係るデータ処理装置のブロック構成を示した図である(実施例3)
【図13】本実施の形態に係るネットワークセキュリティシステムにおける、データを符号化してリムーバブルメディアに格納する処理の手順について示したフローチャートである。
【図14】リムーバブルメディアに格納されている符号化データをデータ処理装置に読み出す処理の手順を示したフローチャートである。
【図15】本実施の形態に係る子機であるデータ処理装置のブロック構成を示した図である(実施例4)。
【図16】本実施の形態に係る子機であるデータ処理装置のブロック構成を示した図である(実施例5)。
【符号の説明】
101 データ処理装置
102 デバイス
103 ネットワーク
201 CPU
202 操作部
203 表示部
204 内部記憶部
205 ネットワークI/F
207 リムーバブルデバイス制御部
208 データ制御部
209 暗号キー記憶部
210 符号化部
211 復号化部
212 メディア制御部
213 リムーバブルメディア
214 暗号キー照合部
215 暗号キー加工部
Claims (10)
- データを格納するデバイスを備えたネットワーク接続可能なデータ処理装置において、
データを符号化する際に用いる暗号化キーを格納する暗号化キー記憶装置と、
前記暗号化キー記憶装置に記憶されている前記暗号化キーが当該データ処理装置においてデータを符号化する際に用いる暗号化キーとして適切であるか否かを照合する暗号化キー照合手段と、
前記暗号化キー照合手段により前記暗号化キーが適切であると判断された場合、前記暗号化キーを用いて前記デバイスに格納されているデータを符号化して、符号化データを作成する符号化手段と、
前記符号化手段により符号化された符号化データを格納する符号化データ格納装置と、
を備えたことを特徴とするデータ処理装置。 - 前記暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化する復号化手段を備えたことを特徴とする請求項1記載のデータ処理装置。
- 前記暗号化キーに所定の演算処理を施して、加工暗号化キーを作成する暗号化キー加工手段を備え、
前記符号化手段は、前記暗号化キー加工手段によって作成された前記加工暗号化キーを用いてデータを符号化して、符号化データを作成することを特徴とする請求項1または請求項2記載のデータ処理装置。 - 前記暗号化キーに所定の演算処理を施して、加工暗号化キーを作成する暗号化キー加工手段を備え、
前記復号化手段は、前記暗号化キー加工手段によって作成された前記加工暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化することを特徴とする請求項2記載のデータ処理装置。 - 同一ネットワーク上に接続された当該データ処理装置のホスト装置と接続可能であって、
前記暗号化キー記憶装置は、前記ホスト装置から前記暗号化キーを取得して格納することを特徴とする請求項1、請求項2、請求項3または請求項4記載のデータ処理装置。 - 前記暗号化キーを格納した着脱可能なデバイスを備え、
前記暗号化キー記憶装置は、前記着脱可能なデバイスから前記暗号化キーを取得して格納することを特徴とする請求項1、請求項2、請求項3、請求項4または請求項5記載のデータ処理装置。 - データを格納するデバイスを備えたネットワーク接続可能なデータ処理装置において、
データを復号化する際に用いる暗号化キーを格納する暗号化キー記憶装置と、
符号化された符号化データが格納された符号化データ格納装置と、
前記暗号化キー記憶装置に記憶されている前記暗号化キーが当該データ処理装置においてデータを復号化する際に用いる暗号化キーとして適切であるか否かを照合する暗号化キー照合手段と、
前記照合手段により前記暗号化キーが適切であると判断された場合、前記暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化する復号化手段と、
を備えたことを特徴とするデータ処理装置。 - 前記暗号化キーに所定の演算処理を施して、加工暗号化キーを作成する暗号化キー加工手段を備え、
前記復号化手段は、前記暗号化キー加工手段によって作成された前記加工暗号化キーを用いて、前記符号化データ格納装置に格納された前記符号化データを復号化することを特徴とする請求項7記載のデータ処理装置。 - 同一ネットワーク上に接続された当該データ処理装置のホスト装置と接続可能であって、
前記暗号化キー記憶装置は、前記ホスト装置から前記暗号化キーを取得して格納することを特徴とする請求項7または請求項8記載のデータ処理装置。 - 前記暗号化キーを格納した着脱可能なデバイスを備え、
前記暗号化キー記憶装置は、前記着脱可能なデバイスから前記暗号化キーを取得して格納することを特徴とする請求項7または請求項8記載のデータ処理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003046549A JP2004260359A (ja) | 2003-02-24 | 2003-02-24 | データ処理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003046549A JP2004260359A (ja) | 2003-02-24 | 2003-02-24 | データ処理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004260359A true JP2004260359A (ja) | 2004-09-16 |
Family
ID=33113053
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003046549A Pending JP2004260359A (ja) | 2003-02-24 | 2003-02-24 | データ処理装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004260359A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006227882A (ja) * | 2005-02-17 | 2006-08-31 | Fujitsu Component Ltd | 切替器 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05122217A (ja) * | 1991-10-25 | 1993-05-18 | Nippon Telegr & Teleph Corp <Ntt> | 秘話通信方法 |
JPH1165934A (ja) * | 1997-08-14 | 1999-03-09 | Fujitsu Ltd | 情報処理装置及びプログラム記憶媒体 |
JPH11205304A (ja) * | 1998-01-09 | 1999-07-30 | Nippon Chemicon Corp | プログラムの不正使用防止方法 |
-
2003
- 2003-02-24 JP JP2003046549A patent/JP2004260359A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05122217A (ja) * | 1991-10-25 | 1993-05-18 | Nippon Telegr & Teleph Corp <Ntt> | 秘話通信方法 |
JPH1165934A (ja) * | 1997-08-14 | 1999-03-09 | Fujitsu Ltd | 情報処理装置及びプログラム記憶媒体 |
JPH11205304A (ja) * | 1998-01-09 | 1999-07-30 | Nippon Chemicon Corp | プログラムの不正使用防止方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006227882A (ja) * | 2005-02-17 | 2006-08-31 | Fujitsu Component Ltd | 切替器 |
JP4624126B2 (ja) * | 2005-02-17 | 2011-02-02 | 富士通コンポーネント株式会社 | 切替器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7702922B2 (en) | Physical encryption key system | |
CN100495421C (zh) | 一种基于usb设备的认证保护方法 | |
JP2007013433A (ja) | 暗号化データを送受信する方法及び情報処理システム | |
JP2003058840A (ja) | Rfid搭載コンピュータ記録媒体利用の情報保護管理プログラム | |
JP4662138B2 (ja) | 情報漏洩防止方法及びシステム | |
CN101685425A (zh) | 移动存储设备及实现移动存储设备加密的方法 | |
WO2006004130A1 (ja) | データ管理方法、そのプログラム及びプログラムの記録媒体 | |
WO2007086015A2 (en) | Secure transfer of content ownership | |
KR100750697B1 (ko) | 사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법 | |
US7089424B1 (en) | Peripheral device for protecting data stored on host device and method and system using the same | |
JP2006228139A (ja) | セキュリティ管理システム | |
JP2008005408A (ja) | 記録データ処理装置 | |
JP2007108833A (ja) | 複数パスワード記憶装置及びパスワード管理方法 | |
JPH09200194A (ja) | 安全保護の行われた通信を行うための装置および方法 | |
KR101485968B1 (ko) | 암호화된 파일 접근 방법 | |
KR20080095499A (ko) | 버스 키 공유 방법 및 그 장치 | |
JP5511925B2 (ja) | アクセス権付き暗号化装置、アクセス権付き暗号システム、アクセス権付き暗号化方法およびアクセス権付き暗号化プログラム | |
JP2004070875A (ja) | セキュアシステム | |
JP2008042718A (ja) | 画像読取システム、情報処理装置、画像読取装置およびプログラム | |
JP2007199978A (ja) | 情報処理装置、携帯端末装置及び情報処理実行制御方法 | |
JPH10228374A (ja) | 複製防止を施した計算機カード | |
KR20060107049A (ko) | 문서를 보안화하여 출력하는 장치 및 방법 | |
JP2004260359A (ja) | データ処理装置 | |
JPH11122237A (ja) | 暗号化装置及びデータ保護装置 | |
JP3227536B2 (ja) | キーボード装置およびそれを用いたパスワード認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060201 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090806 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091005 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100604 |