JP2008016014A - Confidential information protection system, confidential information restoring device, and tally generation device - Google Patents
Confidential information protection system, confidential information restoring device, and tally generation device Download PDFInfo
- Publication number
- JP2008016014A JP2008016014A JP2007147942A JP2007147942A JP2008016014A JP 2008016014 A JP2008016014 A JP 2008016014A JP 2007147942 A JP2007147942 A JP 2007147942A JP 2007147942 A JP2007147942 A JP 2007147942A JP 2008016014 A JP2008016014 A JP 2008016014A
- Authority
- JP
- Japan
- Prior art keywords
- tally
- restoration
- information
- confidential information
- control information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、秘密分散法を用いて機密情報を保護する技術に関し、特に、機密情報のセキュリティを高める技術に関する。 The present invention relates to a technique for protecting confidential information using a secret sharing method, and more particularly to a technique for improving security of confidential information.
特許文献1には、秘密分散法により機密情報を保護する技術が開示されている。
秘密分散法は、機密情報からN個のデータ(以下では「電子割符」という。)を生成し、N個の電子割符を複数台の端末装置で分散して保持する。機密情報を復元する際には、複数台の端末装置で分散して保持しているN個の電子割符のうち、K(≦N)個の電子割符を用いれば機密情報を復元することが可能であり、K個未満の電子割符からでは、機密情報を復元することはできないという性質を有する。
In the secret sharing method, N pieces of data (hereinafter referred to as “electronic tally”) are generated from confidential information, and the N pieces of electronic tally are distributed and held by a plurality of terminal devices. When restoring confidential information, it is possible to restore confidential information by using K (≦ N) electronic tally out of N electronic tally distributed and held by a plurality of terminal devices. The secret information cannot be restored from less than K electronic tallys.
また、特許文献2には、電子割符の保管場所を管理する管理情報を分散させることにより、機密情報の機密性を向上させる技術が開示されている。
上記の従来技術では、電子割符から機密情報を復元する機能を有する端末装置であれば、復元に必要な数の電子割符を集めさえすれば、端末装置の処理能力や端末装置を所有するユーザの信頼度等を考慮せず、機密情報を復元することが可能であった。しかしながら、それは、機密情報の機密性保護の観点から、セキュリティに欠けるという問題がある。
そこで本発明は、上記の問題点に鑑みなされたものであって、機密情報の保護をよりセキュリティの高いものにする機密情報保護システム、機密情報復元装置、及び割符生成装置を提供することを目的とする。
In the above prior art, if the terminal device has a function of restoring the confidential information from the electronic tally, as long as the number of electronic tally necessary for the restoration is collected, the processing capability of the terminal device and the user who owns the terminal device It was possible to restore confidential information without considering reliability. However, it has a problem of lack of security from the viewpoint of protecting confidentiality of confidential information.
Accordingly, the present invention has been made in view of the above-described problems, and an object thereof is to provide a confidential information protection system, a confidential information restoration device, and a tally generation device that can protect confidential information with higher security. And
上記の目的を達成するために、本発明は、割符生成装置と複数台の端末装置とから構成され、機密情報を前記複数台の端末装置にて分散して保持する機密情報保護システムであって、前記割符生成装置は、前記機密情報に基づいて、複数個の電子割符を生成する割符生成手段と、各端末装置における前記機密情報の復元に係る条件を示す復元制御情報を、端末装置毎に生成する復元制御情報生成手段とを備え、各端末装置は、前記割符生成装置により生成された電子割符及び復元制御情報を記憶する記憶手段と、必要個数の電子割符を収集する割符収集手段と、前記復元制御情報に基づき、前記機密情報の復元可否を判定する判定手段と、前記判定手段により復元可能と判定された場合のみ、前記記憶手段に記憶されている前記電子割符、及び前記割符収集手段が収集した前記電子割符に基づき、前記機密情報を復元する復元手段とを備えることを特徴とする。 In order to achieve the above object, the present invention is a confidential information protection system that includes a tally generating device and a plurality of terminal devices, and holds confidential information in a distributed manner in the plurality of terminal devices. The tally generating device includes, for each terminal device, tally generating means for generating a plurality of electronic tallys based on the confidential information, and restoration control information indicating conditions relating to the restoration of the confidential information in each terminal device. Each of the terminal devices includes a storage unit that stores the electronic tally generated by the tally generation device and the recovery control information, a tally collection unit that collects a necessary number of electronic tallys, Based on the restoration control information, a determination unit that determines whether or not the confidential information can be restored, and the electronic tally stored in the storage unit only when it is determined by the determination unit that restoration is possible. Based on the electronic tally the tally collecting means collects, characterized by comprising a restoring means for restoring said confidential information.
上記の構成によると、割符生成装置は、各端末装置に対して、電子割符と共に復元制御情報を配布するので、各端末装置は、復元に必要な数の電子割符を取得した場合であっても、復元制御情報を用いた可否判定の結果によっては、機密情報を復元することができない場合がある。復元制御情報は、例えば、復元の許可/不許可を示す情報や、端末装置に要求される処理性能を示す情報等である。 According to the above configuration, the tally generating device distributes the restoration control information together with the electronic tally to each terminal device. Therefore, even if each terminal device acquires the number of electronic tally necessary for restoration. Depending on the result of the determination as to whether or not the restoration control information is used, the confidential information may not be restored. The restoration control information is, for example, information indicating permission / non-permission of restoration, information indicating processing performance required for the terminal device, and the like.
本発明は、上記の様な復元制御情報に基づいて復元可否判定を行うことにより、機密情報を復元する端末装置を適切に管理し、セキュリティの高い機密情報の保護を可能とする。
また、本発明は、機密情報に基づき生成された複数個の電子割符から、前記機密情報を復元する機能を有する機密情報復元装置であって、割符生成装置により生成された1個の電子割符及び前記機密情報の復元に係る条件を示す復元制御情報を記憶している記憶手段と、必要個数の電子割符を収集する割符収集手段と、前記記憶手段に記憶されている前記復元制御情報に基づき、前記機密情報の復元可否を判定する判定手段と、前記判定手段により復元可能と判定された場合のみ、前記記憶手段に記憶されている前記電子割符、及び前記割符収集手段が収集した前記電子割符に基づき、前記機密情報を復元する復元手段とを備えることを特徴とする。
The present invention makes it possible to appropriately manage a terminal device that restores confidential information and to protect confidential information with high security by performing restoration feasibility determination based on the restoration control information as described above.
Further, the present invention is a confidential information restoration device having a function of restoring the confidential information from a plurality of electronic tally generated based on the confidential information, wherein one electronic tally generated by the tally generating device and Based on the restoration control information stored in the storage means, storage means for storing restoration control information indicating a condition relating to restoration of the confidential information, tally collection means for collecting a necessary number of electronic tally, and the storage control information stored in the storage means, The determination means for determining whether or not the confidential information can be restored, and the electronic tally stored in the storage means and the electronic tally collected by the tally collection means only when it is determined that the confidential information can be restored. And a restoring means for restoring the confidential information.
この構成によると、機密情報復元装置は、必要数の電子割符を収集した場合であっても、復元制御情報に基づいて復元可否判定を行い、復元不可であると判定された場合には、機密情報の復元処理を行うことができず、セキュリティの高い機密情報の保護を可能とする。
ここで、前記割符収集手段は、前記必要個数と同数の他の機密情報復元装置から、各他の機密情報復元装置が前記割符生成装置から取得した電子割符及び復元制御情報を取得し、前記復元手段は、前記記憶手段に記憶されている前記電子割符及び前記復元制御情報、並びに、前記割符収集手段が取得した前記電子割符及び前記復元制御情報を用いて、前記機密情報を復元するように構成してもよい。
According to this configuration, the confidential information restoration device determines whether or not restoration is possible based on the restoration control information even if the necessary number of electronic tally is collected. Information restoration processing cannot be performed, and highly secure confidential information can be protected.
Here, the tally collecting means acquires the electronic tally and the restoration control information acquired from the tally generating apparatus by each other confidential information restoring apparatus from the same number of other confidential information restoring apparatuses as the necessary number, and the restoration is performed. The means is configured to restore the confidential information using the electronic tally and the restoration control information stored in the storage means, and the electronic tally and the restoration control information acquired by the tally collection means. May be.
この構成によると、機密情報は、電子割符だけを用いて復元するのではなく、復元制御情報も用いて初めて復元可能となる。即ち、電子割符は復元制御情報に関連付けられた情報であるから、電子割符及び復元制御情報が共に正しい情報でなければ、機密情報復元装置は、正しい機密情報を復元することができない。また、電子割符のみを取得した場合にも、機密情報を復元することができないのは勿論である。 According to this configuration, the confidential information cannot be restored using only the electronic tally, but can be restored only using the restoration control information. That is, since the electronic tally is information associated with the restoration control information, the confidential information restoration apparatus cannot restore the correct confidential information unless both the electronic tally and the restoration control information are correct information. Of course, even if only the electronic tally is acquired, the confidential information cannot be restored.
ここで、前記復元制御情報には、前記機密情報の復元を許可するか否かを示す情報が設定されており、前記判定手段は、前記復元制御情報が復元許可を示す場合に、復元可能と判定し、前記復元制御情報が復元不許可を示す場合に、復元不可能と判定するように構成してもよい。
この構成によると、機密情報復元装置は、復元制御情報が復元不許可を示す場合には、たとえ復元に必要な個数の電子割符を収集した場合であっても、機密情報の復元が禁止される。従って、機密情報の保護の観点から従来の復元装置と比較すると、本発明は、よりセキュリティの高い機密情報の保護を実現できる。
Here, information indicating whether or not the restoration of the confidential information is permitted is set in the restoration control information, and the determination unit determines that restoration is possible when the restoration control information indicates restoration permission. If the restoration control information indicates that restoration is not permitted, it may be determined that restoration is impossible.
According to this configuration, when the restoration control information indicates that restoration is not permitted, the confidential information restoration apparatus is prohibited from restoring confidential information even if the number of electronic tally necessary for restoration is collected. . Therefore, compared with the conventional restoration device from the viewpoint of protection of confidential information, the present invention can realize protection of confidential information with higher security.
ここで、前記復元制御情報には、前記機密情報の復元を許可する装置の性質を示す情報が設定されており、前記機密情報復元装置は、更に、自装置の性質を示す装置特性情報を記憶している装置特性記憶手段を備え、前記判定手段は、前記装置特性情報を読み出し、読み出した前記装置特性情報が、前記復元制御情報が示す性質を満たす場合に復元可能と判定し、読み出した前記装置特性情報が、前記復元制御情報が示す性質を満たさない場合に復元不可能と判定するように構成してもよい。 Here, the restoration control information is set with information indicating the property of the device that permits the restoration of the confidential information, and the confidential information restoring device further stores device characteristic information indicating the property of the device itself. The device characteristic storage means, and the determination means reads the device characteristic information, determines that the read device characteristic information satisfies the property indicated by the restoration control information, determines that restoration is possible, and reads the read The apparatus characteristic information may be determined to be unrecoverable when the property indicated by the restoration control information is not satisfied.
この構成によると、機密情報復元装置は、自装置の装置特性が、復元制御情報が示す装置特性を満たさない場合には、機密情報の復元が禁止される。従って、機密情報の保護の観点から従来の復元装置と比較すると、本発明は、よりセキュリティの高い機密情報の保護を実現できる。
ここで、前記復元制御情報が示す前記性質は、前記機密情報の復元に必要な装置の処理性能を示す情報であって、前記装置特性情報は、自装置の処理性能を示すように構成してもよい。
According to this configuration, the confidential information restoration device is prohibited from restoring the confidential information when the device characteristics of the own device do not satisfy the device characteristics indicated by the restoration control information. Therefore, compared with the conventional restoration device from the viewpoint of protection of confidential information, the present invention can realize protection of confidential information with higher security.
Here, the property indicated by the restoration control information is information indicating the processing performance of the device necessary for restoring the confidential information, and the device characteristic information is configured to indicate the processing performance of the own device. Also good.
この構成によると、機密情報復元装置は、自装置が、機密情報の復元処理に必要な性能を備えていない場合には、機密情報の復元が禁止される。即ち、本発明では、機密情報が正しく復元されることが保障されない場合には、機密情報の復元が禁止することが可能となる。
ここで、前記判定手段は、前記記憶手段に記憶されている前記復元制御情報と、前記割符収集手段により取得された前記復元制御情報とを比較することにより、前記判定を行うように構成してもよい。
According to this configuration, the confidential information restoration device is prohibited from restoring the confidential information when the device does not have the performance necessary for the restoration processing of the confidential information. That is, according to the present invention, when it is not guaranteed that the confidential information is correctly restored, the restoration of the confidential information can be prohibited.
Here, the determination unit is configured to perform the determination by comparing the restoration control information stored in the storage unit and the restoration control information acquired by the tally collection unit. Also good.
この構成によると、機密情報復元装置は、他装置の復元制御情報も用いて復元可否判定を行うことから、複数台の機密情報復元装置にて機密情報を分散保持するシステムにおいては、複数台の機密情報復元装置の内、適切な装置が復元可能と判定される。
ここで、前記復元制御情報には、前記複数個の電子割符を保持する複数個の機密情報復元装置における、前記機密情報復元処理を行う優先度を示す情報が設定されており、前記判定手段は、前記記憶手段に記憶されている前記復元制御情報が示す優先度が、前記割符収集手段により取得された前記復元制御情報が示す優先度より高い場合に復元可能と判定し、前記記憶手段に記憶されている前記復元制御情報が示す優先度が、前記割符収集手段により取得された前記復元制御情報が示す優先度より低い場合に、復元不可能と判定するように構成してもよい。
According to this configuration, since the confidential information restoration device determines whether or not restoration is possible using the restoration control information of the other device, in a system in which confidential information is distributed and held by a plurality of confidential information restoration devices, a plurality of confidential information restoration devices are used. It is determined that an appropriate device can be restored among the confidential information restoration devices.
Here, in the restoration control information, information indicating a priority for performing the confidential information restoration processing in a plurality of confidential information restoration apparatuses holding the plurality of electronic tallys is set, and the determination unit includes If the priority indicated by the restoration control information stored in the storage means is higher than the priority indicated by the restoration control information acquired by the tally collecting means, it is determined that restoration is possible, and is stored in the storage means If the priority indicated by the restored restoration control information is lower than the priority indicated by the restoration control information acquired by the tally collecting means, it may be determined that restoration is impossible.
この構成によると、機密情報復元装置は、自装置の優先度が、他装置の優先度より低く設定されている場合には、機密情報の復元が禁止される。ここで、優先度が、機密情報復元装置自体の信頼性や、機密情報復元装置を所有するユーザの信頼性等に基づき設定されている場合、信頼性の低い装置やユーザに対して、機密情報の復元を禁止することが可能となる。 According to this configuration, the confidential information restoration device is prohibited from restoring the confidential information when the priority of the own device is set lower than the priority of the other device. Here, when the priority is set based on the reliability of the confidential information restoration device itself, the reliability of the user who owns the confidential information restoration device, etc., the confidential information is given to the device or the user with low reliability. Can be prohibited.
ここで、前記機密情報復元装置は、更に、前記判定手段により復元可能であると判定された場合に、前記記憶手段に記憶されている前記復元制御情報が示す前記優先度を更新する復元制御情報更新手段を備えるように構成してもよい。
この構成によると、復元制御情報が更新されるので、機密情報復元装置間の優先度の高低が機密情報の復元に伴って変化する。したがって、機密情報復元処理が、毎回決まった機密情報復元装置にのみ許可される状況が発生するのを防止して、複数台の機密情報復元装置にて、偏りなく復元処理を実行することが可能となる。
Here, the confidential information restoring device further restores the priority indicated by the restoration control information stored in the storage means when it is judged that the judgment means can restore. You may comprise so that an update means may be provided.
According to this configuration, since the restoration control information is updated, the level of priority between the confidential information restoring devices changes as the confidential information is restored. Therefore, it is possible to prevent the situation in which the confidential information restoration processing is permitted only to the confidential information restoration device decided every time, and to perform the restoration processing without any bias in a plurality of confidential information restoration devices. It becomes.
ここで、前記受信手段は、更に、前記割符生成装置から、前記復元制御情報に所定の演算を施して生成された改ざん検出値を受信し、前記判定手段は、前記改ざん検出値を用いて、前記復元制御情報の改ざんの有無を判定し、前記復元制御情報の改ざんが検出された場合には、復元不可能であると判定するように構成してもよい。
本発明における復元制御情報は、機密情報のセキュリティを保護するために復元可否を制御する情報であるから、情報自体の信頼性は重要である。そこで、この構成によると、改ざんされた不正な復元制御情報に基づき、復元可否判定処理が行われることを防止することができる。
Here, the receiving means further receives a falsification detection value generated by performing a predetermined operation on the restoration control information from the tally generation device, and the determination means uses the falsification detection value, It may be configured to determine whether or not the restoration control information has been tampered with and to determine that restoration is not possible when tampering with the restoration control information is detected.
Since the restoration control information in the present invention is information that controls whether restoration is possible in order to protect the security of confidential information, the reliability of the information itself is important. Therefore, according to this configuration, it is possible to prevent the restoration possibility determination process from being performed based on the unauthorized restoration control information that has been tampered with.
ここで、各電子割符は、前記機密情報に対して、複数個の復元制御情報を用いた秘密分散処理を施すことにより生成された情報であって、前記復元手段は、前記記憶手段に記憶されている前記復元制御情報、及び前記収集手段が取得した前記復元制御情報を用いて、複数個の電子割符から前記機密情報を復元するように構成してもよい。
復元制御情報を用いて復元処理を制御する構成を有する場合、復元制御情報を改ざんすることにより、不正な装置による機密情報の復元を可能とさせるような攻撃を受けることが想定される。
Here, each electronic tally is information generated by performing secret sharing processing using a plurality of restoration control information on the confidential information, and the restoration means is stored in the storage means. The confidential information may be restored from a plurality of electronic tally using the restoration control information and the restoration control information acquired by the collection means.
When the restoration control information is used to control the restoration process, it is assumed that the restoration control information is falsified to receive an attack that enables restoration of confidential information by an unauthorized device.
しかし、上記の構成によれば、電子割符は、機密情報に対して、復元制御情報を用いた秘密分散処理を施すことにより生成された情報であるから、仮に復元制御情報が改ざんされ、復元可否判定処理が突破された場合であっても、不正な装置は、その後の機密情報復元処理においては、正しい機密情報を復元することが出来ない。従って、復元制御情報を改ざんする攻撃を無力化することができる。 However, according to the above configuration, the electronic tally is information generated by performing secret sharing processing using the restoration control information on the confidential information. Therefore, the restoration control information is temporarily falsified and can be restored. Even if the determination process is broken, an unauthorized device cannot restore correct confidential information in the subsequent confidential information restoration process. Therefore, it is possible to neutralize an attack that falsifies the restoration control information.
ここで、前記機密情報復元装置は、更に、前記判定手段により復元不可能と判定された場合、前記収集手段が収集した前記電子割符を破棄するデータ制御手段を備えるように構成してもよい。
この構成によると、他装置から取得した電子割符を破棄することにより、ユーザの誤操作等により、機密情報が復元されるのを防止して、確実に、機密情報の復元を禁止することができる。
Here, the confidential information restoration device may further include a data control unit that discards the electronic tally collected by the collection unit when the determination unit determines that restoration is impossible.
According to this configuration, by discarding the electronic tally acquired from the other device, it is possible to prevent the confidential information from being restored due to an erroneous operation of the user or the like, and to reliably prohibit the restoration of the confidential information.
ここで、前記割符収集手段は、前記判定手段により、復元可能と判定された場合に、前記必要個数の電子割符を収集するように構成してもよい。
この構成によると、機密情報復元装置は、「復元不可」と判定された場合には不要となるデータの送受信を抑制し、各機密情報復元装置間において送受信するデータ量を削減することができる。
Here, the tally collection means may be configured to collect the necessary number of electronic tallys when the determination means determines that restoration is possible.
According to this configuration, the confidential information restoring device can suppress transmission / reception of unnecessary data when it is determined that “restoration is impossible”, and can reduce the amount of data transmitted / received between the confidential information restoring devices.
また、本発明は、割符生成装置であって、機密情報に基づいて、複数個の電子割符を生成する割符生成手段と、前記複数個の電子割符の配布先である複数個の端末装置毎に、各端末装置における前記機密情報の復元に係る条件を示す復元制御情報を生成する復元制御情報生成手段と、電子割符及び復元制御情報を、対応する各端末装置へ配布する配布手段とを備えることを特徴とする。 In addition, the present invention is a tally generating device, comprising tally generating means for generating a plurality of electronic tallys based on confidential information, and a plurality of terminal devices to which the plurality of electronic tallys are distributed. A restoration control information generating unit that generates restoration control information indicating a condition relating to restoration of the confidential information in each terminal device, and a distribution unit that distributes the electronic tally and the restoration control information to each corresponding terminal device. It is characterized by.
この構成によると、割符生成装置は、電子割符の配布先である機密情報復元装置に対して、復元の条件を設定することが出来るので、機密情報の復元が無条件に許可される場合と比較して、よりセキュリティの高い機密情報の保護を実現できる。
ここで、前記復元制御情報生成手段は、生成する電子割符の個数、前記機密情報の復元に必要な電子割符の個数、及び前記条件を含む割符生成指示情報に基づき、前記復元制御情報を生成し、前記割符生成手段は、前記機密情報、前記割符生成指示情報、及び前記復元制御情報に基づき、前記電子割符を生成するように構成してもよい。
According to this configuration, the tally generating device can set restoration conditions for the confidential information restoring device to which the electronic tally is distributed, so that the restoration of confidential information is allowed unconditionally. Thus, it is possible to protect confidential information with higher security.
Here, the restoration control information generating means generates the restoration control information based on the number of electronic tally to be generated, the number of electronic tally necessary for restoring the confidential information, and tally generation instruction information including the condition. The tally generation means may be configured to generate the electronic tally based on the confidential information, the tally generation instruction information, and the restoration control information.
この構成によると、割符生成装置は、復元制御情報に基づき電子割符を生成するので、一旦生成された復元制御情報が不正なユーザによって改ざんされるのを防止することができる。それは、改ざんされた復元制御情報を用いては、正しい機密情報を復元することが出来ないからである。
ここで、前記復元制御情報生成手段は、各端末装置における前記機密情報の復元の可否を示す前記復元制御情報を生成するように構成してもよい。
According to this configuration, the tally generating device generates the electronic tally based on the restoration control information, so that the once created restoration control information can be prevented from being tampered with by an unauthorized user. This is because correct confidential information cannot be restored using the altered restoration control information.
Here, the restoration control information generation means may be configured to generate the restoration control information indicating whether or not the confidential information can be restored in each terminal device.
この構成によると、機密情報を分散保持している複数台の機密情報復元装置に対して、個々に、機密情報の復元可否を設定することができる。
ここで、前記復元制御情報生成手段は、各端末装置における前記機密情報の復元の優先度を示す前記復元制御情報を生成するように構成してもよい。
この構成によると、本発明の割符生成装置は、複数台の機密情報復元装置に対して優先度を設定して、優先度に応じた機密情報復元の制御を実現する。例えば、機密情報復元装置自体の信頼性や、機密情報復元装置を所有するユーザの信頼性等に基づき、優先度を設定することにより、信頼性の低い装置やユーザに対して、機密情報の復元を禁止することが可能となる。従って、機密情報のセキュリティ保護の観点から従来の割符生成装置と比較すると、本発明は、よりセキュリティの高い機密情報の保護を実現できる。
According to this configuration, it is possible to individually set whether or not to restore confidential information to a plurality of confidential information restoring apparatuses that hold and distribute confidential information.
Here, the restoration control information generation means may be configured to generate the restoration control information indicating a priority of restoration of the confidential information in each terminal device.
According to this configuration, the tally generating device of the present invention sets priority for a plurality of confidential information restoring devices, and realizes control of restoring confidential information according to the priority. For example, by setting priorities based on the reliability of the confidential information restoration device itself, the reliability of the user who owns the confidential information restoration device, etc., the confidential information is restored to a device or user with low reliability. Can be prohibited. Therefore, compared with the conventional tally generating device from the viewpoint of security protection of confidential information, the present invention can realize protection of confidential information with higher security.
ここで、前記復元制御情報生成手段は、前記機密情報の復元を許可する装置の性質を示す前記復元制御情報を生成するように構成してもよい。
この構成によると、割符生成装置は、各機密情報復元装置の装置特性を考慮した機密情報復元の制御を実現する。
ここで、前記復元制御情報が示す前記性質は、前記機密情報の復元に必要な装置の処理性能であるように構成してもよい。
Here, the restoration control information generation means may be configured to generate the restoration control information indicating a property of a device that permits restoration of the confidential information.
According to this configuration, the tally generating device realizes control for restoring confidential information in consideration of the device characteristics of each confidential information restoring device.
Here, the property indicated by the restoration control information may be configured so as to be a processing performance of an apparatus necessary for restoring the confidential information.
この構成によると、割符生成装置は、機密情報の復元処理に必要な性能を備えていない、即ち、機密情報が正しく復元されることが保障されない機密情報復元装置に対しては、機密情報の復元を禁止することができる。
ここで、前記復元制御情報生成手段は、前記割符生成指示情報に含まれる前記機密情報の復元に必要な電子割符の個数の値を、前記復元制御情報とするように構成してもよい。
According to this configuration, the tally generating device does not have the performance necessary for the restoration processing of the confidential information, that is, for the confidential information restoring device that cannot guarantee that the confidential information is correctly restored, the restoration of the confidential information is performed. Can be prohibited.
Here, the restoration control information generation means may be configured to use the value of the number of electronic tally necessary for restoration of the confidential information included in the tally generation instruction information as the restoration control information.
機密情報から電子割符を生成し、複数台の装置にて電子割符を分散保持する秘密分散法においては、機密情報の復元に必要な電子割符の個数(復元閾値)の値のよって、復元処理に必要な計算量が異なる。従って、本発明では、機密情報の復元に必要な装置の処理性能を、復元閾値の値で現すことが可能であり、これにより、割符生成装置は、既存のデータを復元制御情報とすることができる。 In the secret sharing method in which electronic tally is generated from confidential information and the electronic tally is distributed and held by a plurality of devices, the restoration process is performed depending on the number of electronic tally (restoration threshold) necessary for restoring the confidential information. The amount of calculation required is different. Therefore, in the present invention, it is possible to represent the processing performance of the device necessary for restoring the confidential information by the value of the restoration threshold value, so that the tally generating device can use the existing data as the restoration control information. it can.
ここで、前記割符生成装置は、更に、各復元制御情報に所定の演算を施して、各復元制御情報に対応する改ざん検出値を生成する改ざん検出値生成手段を備え、前記配布手段は、前記電子割符及び前記復元制御情報に加え、前記改ざん検出値を、前記各端末装置へ配布するように構成してもよい。
本発明における復元制御情報は、機密情報のセキュリティを保護するために復元可否を制御する情報であるから、情報自体の信頼性は重要である。そこで、この構成によると、割符生成装置は、改ざん検出値を機密情報復元装置へ送信することにより、改ざんされた不正な復元制御情報に基づき、復元可否判定処理が行われることを防止することができる。
Here, the tally generating device further includes a falsification detection value generation unit that performs a predetermined calculation on each restoration control information and generates a falsification detection value corresponding to each restoration control information, and the distribution unit includes In addition to the electronic tally and the restoration control information, the falsification detection value may be distributed to each terminal device.
Since the restoration control information in the present invention is information that controls whether restoration is possible in order to protect the security of confidential information, the reliability of the information itself is important. Therefore, according to this configuration, the tally generating device can prevent the restoration possibility determination process from being performed based on the unauthorized restoration control information that has been falsified by transmitting the falsification detection value to the confidential information restoration device. it can.
ここで、前記割符生成手段は、前記復元制御情報生成手段により生成された複数個の復元制御情報、及び前記機密情報に基づいて、前記複数個の電子割符を生成するように構成してもよい。
また、前記割符生成手段は、前記機密情報に対して、前記複数個の復元制御情報を用いた秘密分散処理を施すことにより、前記複数個の電子割符を生成するように構成してもよい。
Here, the tally generation unit may be configured to generate the plurality of electronic tallys based on the plurality of restoration control information generated by the restoration control information generation unit and the confidential information. .
In addition, the tally generating unit may be configured to generate the plurality of electronic tally by performing secret sharing processing using the plurality of restoration control information on the confidential information.
復元制御情報を用いて復元処理を制御する構成を有する場合、復元制御情報を改ざんすることにより、不正な装置による機密情報の復元を可能とさせるような攻撃を受けることが想定される。
しかし、上記の構成によれば、割符生成装置が生成する電子割符は、機密情報に対して、復元制御情報を用いた秘密分散処理を施すことにより生成される情報であるから、仮に復元制御情報が改ざんされ、復元可否判定処理が突破された場合であっても、不正な装置は、その後の機密情報復元処理においては、正しい機密情報を復元することが出来ない。従って、復元制御情報を改ざんする攻撃を無力化することができる。
When the restoration control information is used to control the restoration process, it is assumed that the restoration control information is falsified to receive an attack that enables restoration of confidential information by an unauthorized device.
However, according to the above configuration, the electronic tally generated by the tally generating device is information generated by performing secret sharing processing using the recovery control information on the confidential information. Even if falsification is made and the restoration possibility determination process is broken, an unauthorized device cannot restore correct confidential information in the subsequent confidential information restoration process. Therefore, it is possible to neutralize an attack that falsifies the restoration control information.
以下では、本発明の実施の形態として、機密情報保護システム1について、図面を参照して詳細に説明する。
<概要>
ここでは、機密情報保護システム1の概要について説明する。
図1は、機密情報保護システム1の構成を示す図である。同図に示すように、機密情報保護システム1は、割符生成装置10と、5台の機密情報復元装置21、22、23、24、及び25とから構成される。
Hereinafter, as an embodiment of the present invention, a confidential
<Overview>
Here, an outline of the confidential
FIG. 1 is a diagram showing a configuration of the confidential
本実施形態では、具体例として、割符生成装置10は、パーソナルコンピュータであり、機密情報復元装置21及び24は、携帯電話機であり、機密情報復元装置22は、PDA(Personal Digital Assistant)であり、機密情報復元装置23は、ラップトップコンピュータであり、機密情報復元装置25は、割符生成装置10、及び他の機密情報復元装置に装着して用いるメモリカードであるとする。
In the present embodiment, as a specific example, the
割符生成装置10、機密情報復元装置21、22、23、24及び25は、それぞれネットワーク30を介して接続されており、ネットワーク30を介して情報を送受信する。
本実施形態では、機密情報復元装置の数を5台としているが、本発明における機密情報復元装置の台数は5台に限らず、機密情報Sを幾つの装置で分散保持するのかにより変わってくる。
The
In this embodiment, the number of confidential information restoring devices is five, but the number of confidential information restoring devices in the present invention is not limited to five, and varies depending on how many devices the confidential information S is distributed and held. .
割符生成装置10は、機密情報S及び後述する割符生成指示情報に基づき、秘密分散法を用いて5個の割符主データを生成する。また、割符生成装置10は、各機密情報復元装置における機密情報Sの復元に係る条件を含む5個の割符副データを生成する。
そして、割符生成装置10は、割符主データと割符副データとから成る割符データを、1個ずつ機密情報復元装置21、22、23、24、及び25へ配布する。
The
Then, the
割符データから機密情報Sを復元する場合、各機密情報復元装置は、機密情報Sの復元に必要な数の割符データを収集した後に、割符副データを用いて復元可否判定を行う。
各機密情報復元装置は、可否判定の結果、復元可能であると判定した場合には、機密情報Sを復元し、復元不可能であると判定した場合には、機密情報Sの復元処理は行わず、他の機密情報復元装置から取得した割符データを破棄する。
When the confidential information S is restored from the tally data, each confidential information restoration device collects the tally data necessary for restoring the confidential information S and then determines whether or not restoration is possible using the tally sub data.
As a result of determining whether or not each confidential information is restored, each confidential information restoration device restores the confidential information S when it is judged that restoration is possible, and performs restoration processing of the confidential information S when it is judged that restoration is impossible. First, the tally data acquired from another confidential information restoration device is discarded.
<割符生成装置10の構成>
図2は、割符生成装置10の機能的な構成を示す機能ブロック図である。同図に示すように、割符生成装置10は、データ入力部101、データ抽出部102、割符主データ生成部103、割符データ生成部104、及び割符データ送信部105から構成される。
割符生成装置10は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ネットワーク接続ユニット等から構成されるコンピュータシステムである。割符生成装置10は、マイクロプロセッサがコンピュータプログラムに従い動作することにより、その機能を達成する。
<Configuration of
FIG. 2 is a functional block diagram showing a functional configuration of the
Specifically, the
(1)データ入力部101
データ入力部101は、外部からのデータ入力を受け付ける。具体的には、データ入力部101は、機密情報S及び割符生成指示情報の入力を受け付ける。
機密情報Sは、アドレス帳、送受信メール、その他の個人情報、顧客情報、自社製品情報、売り上げ実績情報等の企業の機密情報、暗号化コンテンツを復号するための鍵情報等、機密性を要求される情報である。本発明において、機密情報Sの内容については限定されない。
(1)
The
Confidential information S is required to be confidential, such as address book, sent / received mail, other personal information, customer information, company product information, sales performance information and other company confidential information, key information for decrypting encrypted content, etc. Information. In the present invention, the content of the confidential information S is not limited.
(割符生成指示情報のデータ構成)
図3は、割符生成指示情報の具体例を示している。
同図に示す割符生成指示情報110は、割符生成基本情報120と、装置識別情報及び割符復元許可情報から成る5組のペアとを含む。
5組のペアは、具体的には、装置識別情報ID_0001(130)及び割符復元許可情報131、装置識別情報ID_0002(140)及び割符復元許可情報141、装置識別情報ID_0003(150)及び割符復元許可情報151、装置識別情報ID_0004(160)及び割符復元許可情報161、並びに、装置識別情報ID_0005(170)及び割符復元許可情報171である。
(Data structure of tally generation instruction information)
FIG. 3 shows a specific example of tally generation instruction information.
The tally
Specifically, the five pairs include device identification information ID_0001 (130) and tally
割符生成基本情報120は、割符生成個数N(120a)、復元閾値K(120b)、及び割符復元許可規則情報120cを含む。
割符生成個数Nは、機密情報Sから何個の割符データを生成するかを示す情報である。本実施形態では、5台の機密情報復元装置が存在しているので、生成する割符データは5個である。従って、N=5となる。また、このとき、割符生成指示情報110には、装置識別情報と割符復元許可情報とのペアがN(=5)組含まれる。
The tally generation
The tally generation number N is information indicating how many tally data are generated from the confidential information S. In the present embodiment, since there are five confidential information restoring devices, tally data to be generated is five. Therefore, N = 5. At this time, the tally
復元閾値Kは、何個の割符データから機密情報Sを復元できるように割符データの生成を行うかを示す情報である。本実施形態では、一例としてK=3とする。
割符復元許可規則情報120cは、規則1、規則2、規則3、及び規則4の何れかを示す。割符復元許可規則情報120cは、割符復元許可情報131、141、151、161、及び171が、規則1から規則4までの何れの規則に基づいて設定されているのかを意味する。各規則の詳細については後述する。
The restoration threshold value K is information indicating how many tally data are generated so that the secret information S can be restored from the tally data. In this embodiment, as an example, K = 3.
The tally restoration
装置識別情報は、機密情報復元装置を識別する識別子である。即ち、装置識別情報ID_0001(130)は、機密情報復元装置21の識別子である。装置識別情報ID_0002(140)は、機密情報復元装置22の識別子である。装置識別情報ID_0003(150)は、機密情報復元装置23の識別子である。装置識別情報ID_0004(160)は、機密情報復元装置24の識別子である。装置識別情報ID_0005(170)は、機密情報復元装置25の識別子である。
The device identification information is an identifier for identifying the confidential information restoring device. That is, the device identification information ID_0001 (130) is an identifier of the confidential
割符復元許可情報は、自身と対応付けられた装置識別情報によって識別される機密情報復元装置における、機密情報Sの復元に係る条件を示す。即ち、割符復元許可情報131は、機密情報復元装置21における機密情報Sの復元に係る条件を示す。割符復元許可情報141は、機密情報復元装置22における機密情報Sの復元に係る条件を示す。割符復元許可情報151は、機密情報復元装置23における機密情報Sの復元に係る条件を示す。割符復元許可情報161は、機密情報復元装置24における機密情報Sの復元に係る条件を示す。割符復元許可情報171は、機密情報復元装置25における機密情報Sの復元に係る条件を示す。
The tally restoration permission information indicates a condition relating to restoration of the confidential information S in the confidential information restoring device identified by the device identification information associated with itself. That is, the tally
図4は、割符復元許可情報131のデータ構成を示す図である。同図に示すように、割符復元許可情報131は、128ビットデータであって、数値n(但し、n≦120)を示す8ビットの実効情報ビットサイズ、(120−n)ビットの乱数、及びnビットの実効情報から構成される。
実効情報ビットサイズは、実効情報のデータ長(ビットサイズ)を示している。割符復元許可情報131のうち、実質的な意味を有するのは、実効情報のみである。実効情報には、割符復元許可規則情報120cに設定されている規則(規則1から規則4までの何れか)に応じて、異なる値が設定される。
FIG. 4 is a diagram showing a data structure of the tally
The effective information bit size indicates the data length (bit size) of the effective information. Of the tally
割符復元許可情報131から実効情報を取得する際には、先ず、割符復元許可情報131の先頭8ビットから実効情報ビットサイズ(=n)を読み出し、その後、割符復元許可情報131の末尾からnビット長を抽出することで、実効情報を取得できる。
なお、割符復元許可情報141、151、161、及び171も、割符復元許可情報131と同様のデータ構成を有しており、各割符復元許可情報に含まれる実効情報は、割符復元許可規則情報120cが示す規則(規則1から規則4までの何れか)に応じて、異なる値が設定される。
When acquiring effective information from the tally
The tally
本実施形態では、これ以降、「割符復元許可情報をXに設定する。」ということは、「割符復元許可情報の実効情報をXに設定し、実行情報ビットサイズnを、Xのビットサイズに設定し、残りの(120−n)ビットに、乱数を設定する。」ということを意味するものとする。
以下では、図5を参照して、割符復元許可規則情報120cが示す規則と、その規則に応じて設定される各割符復元許可情報について説明する。
In the present embodiment, after this, “setting the tally restoration permission information to X.” means “setting the effective information of the tally restoration permission information to X and setting the execution information bit size n to the bit size of X. It is set and a random number is set in the remaining (120−n) bits ”.
Hereinafter, with reference to FIG. 5, a rule indicated by the tally restoration
(a)規則1
割符復元許可規則情報120cが「規則1」を示す場合、割符復元許可情報131、141、151、161、及び171には、機密情報復元装置21、22、23、24、及び25に対して、「機密情報Sの復元を許可するか否か」を示す情報が設定される。
本実施形態では、具体例として、
割符復元許可情報131=1(許可する)
割符復元許可情報141=0(許可しない)
割符復元許可情報151=0(許可しない)
割符復元許可情報161=1(許可する)
割符復元許可情報171=0(許可しない)
であるとする。ここで、割符復元許可情報=1は“許可する”を表し、割符復元許可情報=0は“許可しない”ということを表す。この場合、機密情報復元装置21及び24は、機密情報Sの復元が許可され、機密情報復元装置22、23、及び25は、機密情報Sの復元が許可されない。
(A)
When the tally restoration
In this embodiment, as a specific example,
Tally
Tally
Tally
Tally
Tally
Suppose that Here, tally restoration permission information = 1 represents “permitted”, and tally restoration permission information = 0 represents “not permitted”. In this case, the confidential
(b)規則2
割符復元許可規則情報120cが「規則2」を示す場合、割符復元許可情報131、141、151、161、及び171には、機密情報復元装置21、22、23、24、及び25における「機密情報Sを復元する優先順位」を示す情報が設定される。
本実施形態では、具体例として、
割符復元許可情報131=2
割符復元許可情報141=3
割符復元許可情報151=1
割符復元許可情報161=4
割符復元許可情報171=5
であるとする。従って、5台の機密情報復元装置における機密情報Sの復元の優先順位は、上位から下位へ
機密情報復元装置23
機密情報復元装置21
機密情報復元装置22
機密情報復元装置24
機密情報復元装置25
の順である。
(B)
When the tally restoration
In this embodiment, as a specific example,
Tally
Tally
Tally
Tally
Tally
Suppose that Accordingly, the priority order of restoration of the confidential information S in the five confidential information restoration apparatuses is from the upper order to the lower order.
Confidential
Confidential
Confidential
Confidential
In the order.
ここで、優先順位について簡単に説明する。
本実施形態では、復元閾値は、K=3に設定されていることから、機密情報Sの復元処理には、3台の機密情報復元装置が関与し、3個の割符データを基に、機密情報Sが復元される。このとき、3台の機密情報復元装置に対応する割符復元許可情報が示す優先順位が最上位の装置のみが、機密情報Sの復元を許可され、他の2台の装置は、機密情報Sを復元することが出来ない。
Here, the priority order will be briefly described.
In the present embodiment, since the restoration threshold is set to K = 3, the restoration processing of the confidential information S involves three confidential information restoring devices, and the confidential information is based on the three tally data. Information S is restored. At this time, only the device with the highest priority indicated by the tally restoration permission information corresponding to the three confidential information restoring devices is permitted to restore the confidential information S, and the other two devices receive the confidential information S. It cannot be restored.
(c)規則3
割符復元許可規則情報120cが「規則3」を示す場合、割符復元許可情報131、141、151、161、及び171には、「機密情報Sの復元を許可する装置の処理性能」を示す情報が設定される。
ここで、機密情報Sの復元処理に必要な計算量は、復元閾値Kの値によって決まる。具体的には、復元閾値Kの値が大きいほど、復元処理の計算量は増加する。このことから、規則3においては、各割符復元許可情報に、一律に、復元閾値Kの値を設定することとする。
(C)
When the tally restoration
Here, the calculation amount necessary for the restoration process of the confidential information S is determined by the value of the restoration threshold K. Specifically, the larger the value of the restoration threshold K, the greater the calculation amount of the restoration process. Therefore, in
従って、本実施形態では、具体例として、
割符復元許可情報131=3
割符復元許可情報141=3
割符復元許可情報151=3
割符復元許可情報161=3
割符復元許可情報171=3
であるとする。この場合、復元閾値K=3に基づき生成された機密情報Sを復元するだけの計算処理能力のある機密情報復元装置だけが、復元を許可されることになる。
Therefore, in this embodiment, as a specific example,
Tally
Tally
Tally
Tally
Tally
Suppose that In this case, only the confidential information restoration device having the calculation processing capacity to restore the confidential information S generated based on the restoration threshold K = 3 is permitted to be restored.
なお、各機密情報復元装置は、自装置の計算処理性能を復元閾値Kに換算した値(Kが幾つまでの機密情報であれば復号処理が可能であるのかを示す値)を、予め内部に保持しているものとする。これについては後で詳しく述べる。
(d)規則4
割符復元許可規則情報120cが「規則4」を示す場合、割符復元許可情報131、141、151、161、及び171には、機密情報復元装置21、22、23、24、及び25に与えられる「割符データの復元許可ポイント」を示す情報が設定される。
Each confidential information restoration device internally stores a value obtained by converting the calculation processing performance of its own device into a restoration threshold value K (a value indicating how many pieces of confidential information K can be decrypted). It shall be held. This will be described in detail later.
(D)
When the tally restoration
本実施形態では、具体例として、
割符復元許可情報131=3
割符復元許可情報141=2
割符復元許可情報151=3
割符復元許可情報161=4
割符復元許可情報171=1
であるとする。
In this embodiment, as a specific example,
Tally
Tally
Tally
Tally
Tally
Suppose that
ここで、復元許可ポイントは、機密情報Sの復元処理の際に、以下のように用いられる。
復元処理に関与する3台の機密情報復元装置に対応する割符復元許可情報が示すポイント数が、最も高い装置のみが機密情報Sの復元を許可され、他の2台の装置は、機密情報Sを復元することが出来ない。但し、機密情報復元許可情報が示すポイント数は、機密情報復元装置が機密情報Sの復元を行うたびに、1ポイントずつ減じられるという性質を有する。
Here, the restoration permission point is used in the following manner when the confidential information S is restored.
Only the device with the highest point number indicated by the tally restoration permission information corresponding to the three confidential information restoration devices involved in the restoration process is permitted to restore the confidential information S, and the other two devices are classified as confidential information S. Cannot be restored. However, the number of points indicated by the confidential information restoration permission information has a property that it is reduced by one point each time the confidential information restoring device restores the confidential information S.
(2)データ抽出部102
データ抽出部102は、データ入力部101が受け付けた割符生成指示情報110を解析する。
そして、データ抽出部102は、割符生成指示情報110から各データを抽出して、割符主データ生成制御情報210、割符副データ生成制御情報220、及び割符送付先情報230を生成する。
(2)
The
Then, the
図6は、割符主データ生成制御情報210のデータ構成を示す図である。同図に示すように、割符主データ生成制御情報210は、復元閾値K(120b)、割符復元許可情報131、141、151、161、及び171を含む。
データ抽出部102は、生成した割符主データ生成制御情報210を、割符主データ生成部103へ出力する。
FIG. 6 is a diagram showing a data structure of the tally main data
The
図7は、割符副データ生成制御情報220のデータ構成を示す図である。同図に示すように、割符副データ生成制御情報220は、復元閾値K(120b)、割符復元許可規則情報120c、装置識別情報ID_0001(130)と割符復元許可情報131、装置識別情報ID_0002(140)と割符復元許可情報141、装置識別情報ID_0003(150)と割符復元許可情報151、装置識別情報ID_0004(160)と割符復元許可情報161、及び、装置識別情報ID_0005(170)と割符復元許可情報171を含む。
FIG. 7 is a diagram showing a data configuration of the tally sub data
データ抽出部102は、生成した割符副データ生成制御情報220を、割符データ生成部104へ出力する。
図8は、割符送付先情報230のデータ構成を示す図である。同図に示すように、割符送付先情報230は、割符データの送付先となる機密情報復元装置の装置識別情報、及び、その機密情報復元装置のアドレスを対応付けた情報である。具体的には、割符送付先情報230は、装置識別情報ID_0001(130)とアドレス1(132)、装置識別情報ID_0002(140)とアドレス2(142)、装置識別情報ID_0003(150)とアドレス3(152)、装置識別情報ID_0004(160)とアドレス4(162)、及び、装置識別情報ID_0005(170)を含む。
The
FIG. 8 is a diagram showing a data configuration of the
ここで、データ抽出部102は、複数台の機密情報復元装置のそれぞれについて、装置識別情報と送信先情報とを対応付けたリストを、予め内部に保持している。送信先情報は、IPアドレス等、割符生成装置10から各機密情報復元装置へ、ネットワーク30を介してデータを送信するために必要なネットワークアドレスである。
そして、データ抽出部102は、割符生成指示情報110から抽出した装置識別情報ID_0001(130)、ID_0002(140)、ID_0003(150)、及びID_0004(160)のそれぞれに対応する送信先情報であるアドレス1(132)、アドレス2(142)、アドレス3(152)、及びアドレス4(162)を、先のリストから抽出する。
Here, the
Then, the
なお、割符送付先情報230では、装置識別情報ID_0005(170)に対応する送信先情報のフィールドはブランクになっている。これは、割符生成装置10は、ネットワーク30を介して割符データを送信するのではなく、自装置に差し込まれたメモリカード(すなわち、機密情報復元装置25)に、割符データを転送することを示す。
データ抽出部102は、生成した割符送付先情報230を、割符データ送信部105へ出力する。
In the
The
(3)割符主データ生成部103
割符主データ生成部103は、データ入力部101から受け取る機密情報S、及びデータ抽出部102から受け取る割符主データ生成制御情報210に基づき、割符主データYiを生成する。
図9は、割符主データ生成部103の機能的な構成を示す機能ブロック図である。同図に示すように、割符主データ生成部103は、割符用乱数生成部181、第1割符数値生成部182、及び第2割符数値生成部183から構成される。
(3) Tally main
The tally main
FIG. 9 is a functional block diagram showing a functional configuration of the tally main
機密情報Sは、第2割符数値生成部183に入力される。また、割符主データ生成制御情報210のうち、復元閾値K(120b)は、割符用乱数生成部181に入力され、割符復元許可情報131、141、151、161、及び171は、第1割符数値生成部182に入力される。
割符用乱数生成部181は、復元閾値K(120b)に基づいて、割符生成用の乱数を生成する。具体的には、割符用乱数生成部181は、Kの値を読み、K(=3)個の1バイト乱数R1、R2、及びR3を生成する。割符用乱数生成部181は、生成した乱数R1、R2、及びR3を、第2割符数値生成部182に出力する。
The confidential information S is input to the second tally
The tally random
第1割符数値生成部182は、割符復元許可情報131、141、151、161、及び171に基づいて、第1割符数値Xi(i=1、2、…、5)を生成する。具体的には、第1割符数値生成部182は、
C1=割符復元許可情報131
C2=割符復元許可情報141
C3=割符復元許可情報151
C4=割符復元許可情報161
C5=割符復元許可情報171
のそれぞれに対して、一方向性ハッシュ関数Hashを用いてハッシュ値を計算し、
X1=Hash(C1)
X2=Hash(C2)
X3=Hash(C3)
X4=Hash(C4)
X5=Hash(C5)
として、5個の第1割符数値X1、X2、X3、X4、及びX5を生成する。
The first tally
C 1 = tally
C 2 = Tally
C 3 = tally
C 4 = tally
C 5 = tally
For each of the above, a hash value is calculated using a one-way hash function Hash,
X 1 = Hash (C 1 )
X 2 = Hash (C 2 )
X 3 = Hash (C 3 )
X 4 = Hash (C 4 )
X 5 = Hash (C 5 )
As a result, five first tally values X 1 , X 2 , X 3 , X 4 , and X 5 are generated.
ここで、Hash(x)は、入力xに対してハッシュ関数Hashにより計算した1バイトハッシュ値を表す。
第1割符数値生成部182は、生成した第1割符数値X1、X2、X3、X4、及びX5を、第2割符数値生成部183へ出力する。
第2割符数値生成部183は、機密情報Sと、乱数R1、R2、R3と、第1割符数値X1、X2、X3、X4、及びX5とから、割符主データYiを生成する。
Here, Hash (x) represents a 1-byte hash value calculated by the hash function Hash for the input x.
The first tally
The second tally
先ず、第2割符数値生成部183は、Lバイトの機密情報Sをバイト単位に分割して、先頭からS[1]、S[2]、…、S[L]とする。
次に、第2割符数値生成部183は、i=1、2、…、5、及び、m=1、2、…、Lに対して、以下の(数1)を用い、第2割符数値Y1[m]、Y2[m]、…、Y5[m]を求める。
First, the second tally
Next, the second tally
第2割符数値生成部183は、上記のようにして計算された第2割符数値Y1[m]、Y2[m]、…、Y5[m](m=1、2、…、L)を、割符主データとして、割符データ生成部104へ出力する。
The second
なお、本実施形態では、各割符主データを、以下のように、Y1、Y2、Y3、Y4、及びY5と記載することがある。
割符主データY1=Y1[m]=Y1[1]、Y1[2]、…、Y1[L]
割符主データY2=Y2[m]=Y2[1]、Y2[2]、…、Y2[L]
割符主データY3=Y3[m]=Y3[1]、Y3[2]、…、Y3[L]
割符主データY4=Y4[m]=Y4[1]、Y4[2]、…、Y4[L]
割符主データY5=Y5[m]=Y5[1]、Y5[2]、…、Y5[L]
(4)割符データ生成部104
割符データ生成部104は、割符主データ生成部103から、割符主データY1、Y2、Y3、Y4、及びY5を受け取る。
In the present embodiment, each tally main data may be described as Y 1 , Y 2 , Y 3 , Y 4 , and Y 5 as follows.
Tally main data Y 1 = Y 1 [m] = Y 1 [1], Y 1 [2],..., Y 1 [L]
Tally main data Y 2 = Y 2 [m] = Y 2 [1], Y 2 [2],..., Y 2 [L]
Tally main data Y 3 = Y 3 [m] = Y 3 [1], Y 3 [2],..., Y 3 [L]
Tally main data Y 4 = Y 4 [m] = Y 4 [1], Y 4 [2],..., Y 4 [L]
Tally main data Y 5 = Y 5 [m] = Y 5 [1], Y 5 [2],..., Y 5 [L]
(4) Tally
The tally
また、割符データ生成部104は、データ抽出部102から、図7に示した割符副データ生成制御情報220を受け取り、割符副データ生成制御情報220から、5個の割符副データF1、F2、F3、F4、及びF5を生成する。
各割符副データは、各機密情報復元装置と1対1に対応しており、各機密情報復元装置における機密情報Sの復元処理を制御するための情報である。
Further, the tally
Each tally sub-data has a one-to-one correspondence with each confidential information restoration device, and is information for controlling restoration processing of the confidential information S in each confidential information restoration device.
割符副データF1は、機密情報復元装置21に対応しており、復元閾値K(120b)、割符復元許可規則情報120c、装置識別情報ID_0001(130)、及び割符復元許可情報131を含む。
割符副データF2は、機密情報復元装置22に対応しており、復元閾値K(120b)、割符復元許可規則情報120c、装置識別情報ID_0002(140)、及び割符復元許可情報141を含む。
The tally sub data F 1 corresponds to the confidential
Tally sub data F 2 contains corresponds to the confidential
割符副データF3は、機密情報復元装置23に対応しており、復元閾値K(120b)、割符復元許可規則情報120c、装置識別情報ID_0003(150)、及び割符復元許可情報151を含む。
割符副データF4は、機密情報復元装置24に対応しており、復元閾値K(120b)、割符復元許可規則情報120c、装置識別情報ID_0004(160)、及び割符復元許可情報161を含む。
Tally sub data F 3 corresponds to confidential
The tally sub data F 4 corresponds to the confidential
割符副データF5は、機密情報復元装置25に対応しており、復元閾値K(120b)、割符復元許可規則情報120c、装置識別情報ID_0005(170)、及び割符復元許可情報171を含む。
割符データ生成部104は、割符主データY1と割符副データF1とを組にして割符データW1とし、割符主データY2と割符副データF2とを組にして割符データW2とし、割符主データY3と割符副データF3とを組にして割符データW3とし、割符主データY4と割符副データF4とを組にして割符データW4とし、割符主データY5と割符副データF5とを組にして割符データW5とする。
The tally sub-data F 5 corresponds to the confidential
Tally
図10は、割符データW1(240)のデータ構成を示す図である。同図に示すように、割符データW1(240)は、割符主データY1(241)と割符副データF1(242)とから構成される。
割符データ生成部104は、割符データW1、W2、W3、W4、及びW5を、割符データ送信部105へ出力する。
FIG. 10 is a diagram illustrating a data configuration of the tally data W 1 (240). As shown in the figure, the tally data W 1 (240) is composed of tally main data Y 1 (241) and tally sub data F 1 (242).
The tally
(5)割符データ送信部105
割符データ送信部105は、ネットワーク接続ユニット及びメモリカード入出力ユニットから構成される。
割符データ送信部105は、データ抽出部102から、図8に示した割符送付先情報230を受け取る。また、割符データ送信部105は、割符データ生成部104から、割符データW1、W2、W3、W4、及びW5を受け取る。
(5) Tally
The tally
The tally
割符データ送信部105は、各割符データに含まれる装置識別情報を判断し、対応するアドレスを、割符送付先情報230から取得する。割符データ送信部105は、取得したアドレスを送信先として、ネットワーク30を介して、各割符データを送信する。
ここで、割符データ送信部105は、割符送付先情報230から、装置識別情報ID_0005(150)に対応するアドレスを取得できない。アドレスを取得できない場合、割符データ送信部105は、装置識別情報ID_0005(150)により識別される機密情報復元装置25は、メモリカードであると判断する。この場合、割符データ送信部105は、機密情報復元装置25がメモリカードスロットに装着された状態において、割符データW5を、機密情報復元装置25へ転送する。
The tally
Here, the tally
<割符生成処理の動作>
(1)全体の動作
ここでは、図11に示すフローチャートを用いて、割符生成装置10による割符生成処理の動作について説明する。
割符生成処理は、データ入力部101が、機密情報S、及び割符生成指示情報110の入力を受け付けることにより開始する。データ入力部101は、機密情報Sを、割符主データ生成部103へ出力し、割符生成指示情報110を、データ抽出部102へ出力する。
<Operation of tally generation processing>
(1) Overall Operation Here, the operation of tally generation processing by the
The tally generation process starts when the
データ抽出部102は、割符生成指示情報110を解析する(ステップS101)。そして、データ抽出部102は、図6に示した割符主データ生成制御情報210を生成し(ステップS102)、更に、図7に示した割符副データ生成制御情報220を生成する(ステップS103)。
データ抽出部102は、割符主データ生成制御情報210を、割符主データ生成部103へ出力し、割符副データ生成制御情報220を、割符データ生成部104へ出力する。
The
The
また、データ抽出部102は、装置識別情報及び送信先情報を対応付けたリストに基づき、図8に示した割符送付先情報230を生成する(ステップS104)。なお、データ抽出部102は、予め内部に前記リストを保持している。
データ抽出部102は、割符送付先情報230を、割符データ送信部105へ出力する。
Further, the
The
続いて、割符主データ生成部103は、機密情報Sと割符主データ生成制御情報210とに基づき、割符主データYiを生成する(ステップS105)。ここで、i=1、2、…、5である。割符主データYi生成の詳細な動作は後述する。
割符主データ生成部103は、生成した割符主データYiを、割符データ生成部104へ出力する。
Subsequently, the tally main
The tally main
割符データ生成部104は、割符副データ生成制御情報220に基づき、各機密情報復元装置に対応する割符副データFiを生成する(ステップS106)。
次に、割符データ生成部104は、ステップS105で生成した割符主データYiと、ステップS106で生成した割符副データFiとを対応付けて、割符データWiを生成する(ステップS107)。割符データ生成部104は、生成した割符データWiを、割符データ送信部105へ出力する。
The tally
Next, tally
割符データ送信部105は、割符データ生成部104から受け取った割符データWiを、各機密情報復元装置へ配布する(ステップS108)。
具体的には、割符データ送信部105は、ネットワーク30を介して、機密情報復元装置21へ割符データW1を送信し、機密情報復元装置22へ割符データW2を送信し、機密情報復元装置23へ割符データW3を送信し、機密情報復元装置24へ割符データW4を送信する。また、割符データ送信部105は、自装置のメモリカードスロットに装着されている機密情報復元装置25へ、割符データW5を転送する。
Tally
Specifically, tally
(2)割符主データ生成処理の動作
ここでは、図12に示すフローチャートを用いて、割符主データ生成処理の動作について説明する。なお、ここに示す動作は、図11のステップS105の詳細である。
割符主データ生成部103の割符用乱数生成部181は、復元閾値Kと同数の、即ち、3個の1バイト乱数R1、R2、及びR3を生成する(ステップS201)。
(2) Operation of Tally Main Data Generation Processing Here, the operation of the tally main data generation processing will be described using the flowchart shown in FIG. The operation shown here is the details of step S105 in FIG.
The tally random
次に、第1割符数値生成部182は、128ビットのデータである各割符復元許可情報を、
C1=割符復元許可情報131
C2=割符復元許可情報141
C3=割符復元許可情報151
C4=割符復元許可情報161
C5=割符復元許可情報171
とした場合に、Xi=Hash(Ci)を算出して、第1割符数値Xi(i=1、2、…、5)を生成する(ステップS202)。
Next, the first tally numerical
C 1 = tally
C 2 = Tally
C 3 = tally
C 4 = tally
C 5 = tally
In this case, X i = Hash (C i ) is calculated to generate a first tally value X i (i = 1, 2,..., 5) (step S202).
次に、第2割符数値生成部183は、Lバイトの機密情報Sを、1バイト毎に分割して、それぞれを、S[1]、S[2]、…、S[L]とする(ステップS203)。
第2割符数値生成部183は、i=1、2、…、5について、ステップS205からステップS207までの処理を繰り返す(ステップS204、ステップS208)。
第2割符数値生成部183は、m=1、2、…、Lについて、ステップS206の処理を繰り返す(ステップS205、ステップS207)。
Next, the second tally numerical
The second tally
The second tally
第2割符数値生成部183は、
The second
第2割符数値生成部183は、割符主データYiを、割符データ生成部104へ出力する(ステップS209)。
The second tally
ここで、割符主データYiは、
Y1=Y1[m]=Y1[1]、Y1[2]、…、Y1[L]
Y2=Y2[m]=Y2[1]、Y2[2]、…、Y2[L]
Y3=Y3[m]=Y3[1]、Y3[2]、…、Y3[L]
Y4=Y4[m]=Y4[1]、Y4[2]、…、Y4[L]
Y5=Y5[m]=Y5[1]、Y5[2]、…、Y5[L]である。
Here, the tally main data Y i is
Y 1 = Y 1 [m] = Y 1 [1], Y 1 [2],..., Y 1 [L]
Y 2 = Y 2 [m] = Y 2 [1], Y 2 [2],..., Y 2 [L]
Y 3 = Y 3 [m] = Y 3 [1], Y 3 [2],..., Y 3 [L]
Y 4 = Y 4 [m] = Y 4 [1], Y 4 [2],..., Y 4 [L]
Y 5 = Y 5 [m] = Y 5 [1], Y 5 [2],..., Y 5 [L].
<機密情報復元装置21の構成>
ここでは、機密情報復元装置21の構成について説明する。
図13は、機密情報復元装置21の構成を機能的に示す機能ブロック図である。同図に示すように、機密情報復元装置21は、データ送受信部201、割符データ記憶部202、データ制御部203、装置識別情報記憶部204、装置特性情報記憶部205、復元部206、復元可否判定部207、割符副データ更新部208、及び入力部209から構成される。
<Configuration of Confidential
Here, the configuration of the confidential
FIG. 13 is a functional block diagram functionally showing the configuration of the confidential
機密情報復元装置21は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ネットワーク接続ユニット等から構成されるコンピュータシステムである。機密情報復元装置21は、マイクロプロセッサがコンピュータプログラムに従い動作することにより、その機能を達成する。
なお、機密情報復元装置22、23、及び24は、機密情報復元装置21と同様の構成を有する。また、機密情報復元装置25は、メモリカードであるから、機密情報復元装置21の割符データ記憶部202、装置識別情報記憶部204、及び装置特性情報記憶部205に相当する構成要素を備える。機密情報復元装置25は、他装置のメモリカードスロットに装着されることにより、用いられる。
Specifically, the confidential
The confidential
本実施形態では、復元閾値K=3として説明しているため、以下では、5台の機密情報復元装置のうち、機密情報復元装置21、22、及び23から成る3台の装置が、機密情報Sの復元処理に関与するものとして説明する。しかしながら、これは一つの具体例であって、割符データを保持する5台の機密情報復元装置のうち、任意の3台であればどのような組み合わせであってもよい。
In the present embodiment, since the restoration threshold value K = 3 is described, in the following, among the five confidential information restoring devices, three devices including the confidential
(1)データ送受信部201
データ送受信部201は、ネットワーク接続ユニットであり、ネットワーク30を介して、データ制御部203と割符生成装置10、及び、データ制御部203と他の機密情報復元装置の間でデータの送受信を行う。
具体的には、データ送受信部201は、割符生成装置10から、割符データW1を受信する。
(1) Data transmission /
The data transmission /
Specifically, the data transmitting / receiving
また、データ送受信部201は、機密情報復元装置22及び23に対して、割符データW1を送信し、機密情報復元装置22から、割符データW2を受信し、機密情報復元装置23から、割符データW3を受信する。
(2)割符データ記憶部202
割符データ記憶部202は、割符生成装置10から受信した割符データW1を記憶する。
Further, the data transmitting / receiving
(2) Tally
The tally
また、割符データ記憶部202は、復元部206及び復元可否判定部207が機密情報復元処理を行っている間、機密情報復元装置22から受信した割符データW2、及び機密情報復元装置23から受信した割符データW3を一時的に記憶する。
(3)データ制御部203
データ制御部203は、データ送受信部201を介して、割符生成装置10から割符データW1を取得すると、割符データW1の割符副データF1に含まれている装置識別情報と、装置識別情報記憶部204に記憶されている装置識別情報とが一致するか否かを判断する。装置識別情報が一致する場合には、データ制御部203は、取得した割符データW1を、割符データ記憶部202へ書き込む。装置識別情報が一致しない場合には、データ制御部203は、取得した割符データW1を破棄する。
The tally
(3)
When the
また、データ制御部203は、入力部209から機密情報復元要求を受け付けると、データ送受信部201を介して、機密情報復元装置22及び23へ、割符データW2及びW3を要求する。なお、他の機密情報復元装置のネットワークアドレスは、データ制御部203が記憶していてもよいし、データ送受信部201が記憶していてもよい。
また、データ制御部203は、機密情報Sの復元可否判定処理において、復元可否判定部207から「復元不可」を示す情報を受け取ると、割符データ記憶部202から、一時的に記憶していた割符データW2、及びW3を読み出して、破棄する。
In addition, when the
In addition, when the
更に、データ制御部203は、機密情報復元装置21の各部に対するデータ入出力を制御する。なお、本実施形態においては、特に説明しない場合であっても、機密情報復元装置21の各部は、データ制御部203を介してデータの入出力を行う。
(4)装置識別情報記憶部204
装置識別情報記憶部204は、図14に示すように、自装置の識別子である装置識別情報ID_0001を記憶している。
Further, the
(4) Device identification
As shown in FIG. 14, the device identification
(5)装置特性情報記憶部205
装置特性情報記憶部205は、自装置の装置特性を示す情報を記憶している。
本実施形態においては、具体例として、装置特性情報記憶部205は、復元可能最大閾値Kmを記憶している。復元可能最大閾値Kmは、装置の処理性能を、復元閾値に換算した値である。
(5) Device characteristic
The device characteristic
In the present embodiment, as a specific example, device characteristic
即ち、機密情報復元装置21の復元可能最大閾値Kmは、Km=4であるから、機密情報復元装置21は、復元閾値Kが4以下の機密情報を復元できる処理性能を有していることを意味する。
(6)復元部206
復元部206は、復元可否判定部207から、「復元可」を示す情報を受け取ると、割符データ記憶部202に記憶されている割符データW1、W2、及びW3を用いて、以下に示すように、機密情報Sの復元処理を行う。
That is, since the maximum recoverable threshold value K m of the confidential
(6) Restoring
When the
先ず、復元部206は、割符データW1、W2、及びW3から、割符副データF1、F2,及びF3を抽出する。更に、復元部206は、割符副データF1、F2,及びF3に含まれる割符復元許可情報131、141、及び151を抽出する。
ここで、
C1=割符復元許可情報131
C2=割符復元許可情報141
C3=割符復元許可情報151
とすると、復元部206は、C1、C2、及びC3に対する一方向性ハッシュHashを計算して、3個の第1割符数値
X1=Hash(C1)
X2=Hash(C2)
X3=Hash(C3)
を生成する。
First, the
here,
C 1 = tally
C 2 = Tally
C 3 = tally
Then, the
X 2 = Hash (C 2 )
X 3 = Hash (C 3 )
Is generated.
そして、復元部206は、第1割符数値 X1、X2、X3、割符データW1、W2、及びW3に含まれる割符主データY1=Y1[1]、Y1[2]、…、Y1[L]、Y2=Y2[1]、Y2[2]、…、Y2[L]、及びY3=Y3[1]、Y3[2]、…、Y3[L]から、バイト機密情報S[1]、S[2]、…、S[L]を計算する。
ここで、バイト機密情報は、機密情報Sが1バイト毎に分割された値であり、以下の(数3)及び(数4)により計算される。なお、(数3)及び(数4)における加減乗除演算は、全て有限体GF(2^8)上で行うものとする。
Then, the
Here, the byte confidential information is a value obtained by dividing the confidential information S for each byte, and is calculated by the following (Equation 3) and (Equation 4). It should be noted that the addition / subtraction / multiplication / division operations in (Equation 3) and (Equation 4) are all performed on the finite field GF (2 ^ 8).
復元部206は、生成したバイト機密情報S[1]、S[2]、…、S[L]を連結して、機密情報Sを生成する。復元部206は、生成した機密情報Sを出力する。
The
(7)復元可否判定部207
復元可否判定部207は、割符データ記憶部202に記憶されている割符副データF1、F2、F3、及び装置特性情報記憶部205に記憶されている復元可能最大閾値Kmを用いて、機密情報Sの復元可否判定処理を行う。
復元可否判定処理は、割符副データF1に含まれる割符復元許可規則情報120cが示す規則に応じて異なる。
(7)
The restoration
Restoration determination processing is different depending on the rules indicated by the tally restoration
割符復元許可規則情報120cが、「規則1」を示す場合、復元可否判定部207は、割符副データF1に含まれる割符復元許可情報131を用いて、復元可否判定処理を行う。
割符復元許可規則情報120cが、「規則2」又は「規則4」を示す場合、復元可否判定部207は、割符副データF1に含まれる割符復元許可情報131、割符副データF2に含まれる割符復元許可情報141、及び割符副データF3に含まれる割符復元許可情報151を用いて、復元可否判定処理を行う。
Tally restoration
When the tally restoration
割符復元許可規則情報120cが、「規則3」を示す場合、復元可否判定部207は、割符副データF1に含まれる割符復元許可情報131と、復元可能最大閾値Kmとを用いて、復元可否判定処理を行う。
復元可否判定処理の結果、「復元可」と判定した場合には、「復元可」を示す情報を、データ制御部203を介して、復元部206へ出力し、「復元不可」と判定した場合には、「復元不可」を示す情報を、データ制御部203へ出力する。
Tally restoration
When it is determined that “restoration is possible” as a result of the restoration possibility determination process, information indicating “restoration is possible” is output to the
(8)割符副データ更新部208
割符副データ更新部208は、割符復元許可規則情報120cが、「規則4」を示す場合であって、且つ、復元部206にて機密情報Sの復元処理が行われた場合に、割符復元許可情報131に設定されている復元許可ポイントから1を減じて、ポイント数を更新する。
(8) Tally sub
The tally
(9)入力部209
入力部209は、ユーザからの指示を受け付ける入力デバイスを備え、ユーザから、機密情報復元要求を受け付ける。入力部209は、受け付けた機密情報復元要求を、データ制御部203へ出力する。
<機密情報復元処理の動作>
ここでは、図16及び図17に示すフローチャートを用いて、機密情報復元処理の動作について説明する。なお、ここでは、機密情報復元装置21による機密情報復元処理を具体例として用いて説明するが、機密情報復元装置22、23、及び24、並びに、機密情報復元装置25が装着された装置も、ここで説明する動作と同様に動作する。
(9)
The
<Operation of confidential information restoration processing>
Here, the operation of the confidential information restoration process will be described using the flowcharts shown in FIGS. 16 and 17. Here, the confidential information restoring process by the confidential
(1)全体の動作
機密情報復元処理は、入力部209が機密情報復元要求を受け付けることにより開始する。
先ず、データ制御部203は、割符データ記憶部202に記憶されている割符データW1に含まれる割符副データF1から、復元閾値K(120b)を読み出す(ステップS301)。
(1) Overall Operation The confidential information restoration process starts when the
First, the
本実施形態では、K=3であるから、機密情報Sの復元には、自装置が保持している割符データW1を含め、3個の割符データが必要である。そこで、データ制御部203は、データ送受信部201を介して、他の2台の装置から割符データを取得する(ステップS302)。具体的には、データ制御部203は、機密情報復元装置22から割符データW2を取得し、機密情報復元装置23から割符データW3を取得する。
In this embodiment, since K = 3, the restoration of the confidential information S requires three tally data including the tally data W 1 held by the own device. Therefore, the
データ制御部203は、取得した割符データW2、及びW3を、割符データ記憶部202へ書き込む。
次に、復元可否判定部207は、割符副データF1から、割符復元許可規則情報120cを読み出し(ステップS303)、割符復元許可規則情報120cが何れの規則が設定されているのか判断する。
The data control
Next, restore judging
割符復元許可規則情報(120c)に規則1が設定されている場合(ステップS304で「規則1」)、復元可否判定部207は、復元可否判定処理1を行う(ステップS305)。
割符復元許可規則情報(120c)に規則2が設定されている場合(ステップS304で「規則2」)、復元可否判定部207は、復元可否判定処理2を行う(ステップS306)。
When
When
割符復元許可規則情報(120c)に規則3が設定されている場合(ステップS304で「規則3」)、復元可否判定部207は、復元可否判定処理3を行う(ステップS307)。
割符復元許可規則情報(120c)に規則4が設定されている場合(ステップS304で「規則4」)、復元可否判定部207は、復元可否判定処理4を行う(ステップS308)。
When
When the
データ制御部203は、復元可否判定部207から受け取る情報が「復元可」であるか「復元不可」であるか判断する。
「復元不可」である場合(ステップS309でNO)、データ制御部203は、割符データ記憶部202に記憶されている割符データW2、及びW3を読み出して、破棄する(ステップS310)。
The data control
If “restoration is impossible” (NO in step S309), the
「復元可」である場合(ステップS309でYES)、データ制御部203は、復元部206に対して、「復元可」を示す情報を出力する。その後、復元部206は、機密情報復元処理を行い、機密情報Sを生成する(ステップS311)。復元部206は、生成した機密情報Sを出力する(ステップS312)。
続いて、データ制御部203は、割符副データF1から、割符復元許可規則情報(120c)を読み、割符復元許可規則情報(120c)が、規則4を示すか否か判断する。
If “restorable” (YES in step S309), the
Subsequently, the
割符復元許可規則情報(120c)が、規則4以外の規則を示す場合(ステップS313でNO)、機密情報復元処理は終了する。
割符復元許可規則情報(120c)が、規則4を示す場合(ステップS313でYES)、データ制御部203は、割符副データ更新部208に対して、更新指示を出力する。
割符副データ更新部208は、データ制御部203から、割符復元許可情報131の更新指示を受け取ると、割符データ記憶部202から割符副データF1を読み出し、割符副データF1に含まれる割符復元許可情報131が示すポイント数を1を減じて更新する(ステップS314)。
If the tally restoration permission rule information (120c) indicates a rule other than rule 4 (NO in step S313), the confidential information restoration process ends.
When the tally restoration permission rule information (120c) indicates rule 4 (YES in step S313), the
Tally sub
(2)復元可否判定処理1の動作
ここでは、図18に示すフローチャートを用いて、復元可否判定処理1の動作について説明する。なお、ここに示す動作は、図16のステップS305の詳細である。
復元可否判定部207は、割符副データF1に含まれる割符復元許可情報131を読み出し(ステップS131)、読み出した割符復元許可情報131が、「1(許可する)」及び「0(許可しない)」の何れに設定されているか判断する。
(2) Operation of
The restoration
割符復元許可情報131が、「1(許可する)」に設定されている場合(ステップS402でYES)、復元可否判定部207は、データ制御部203へ「復元可」を示す情報を出力する(ステップS403)。
割符復元許可情報131が、「0(許可しない)」に設定されている場合(ステップS402でNO)、復元可否判定部207は、データ制御部203へ「復元不可」を示す情報を出力する(ステップS404)。
When the tally
When the tally
なお、図5に示した例では、割符復元許可情報131は、「1(許可する)」に設定されているから、この例では、復元可否判定部207は、データ制御部203へ「復元可」を示す情報を出力する。
(3)復元可否判定処理2
ここでは、図19に示すフローチャートを用いて、復元可否判定処理2の動作について説明する。なお、ここに示す動作は、図16のステップS306の詳細である。
In the example shown in FIG. 5, the tally
(3)
Here, the operation of the restoration
復元可否判定部207は、自装置の割符データW1に含まれる割符副データF1から、割符復元許可情報131を読み出す(ステップS501)。
次に、復元可否判定部207は、他装置の割符データW2、及びW3に含まれる割符副データF2、及びF3から、割符復元許可情報141、及び151を読み出す(ステップS502)。
The restoration permission /
Next, the restoration
復元可否判定部207は、割符復元許可情報131、141、及び151に設定されている優先順位を比較して、自装置の優先順位が最上位であるか否か判断する。
自装置の優先順位が最上位の場合(ステップS503でYES)、復元可否判定部207は、データ制御部203へ「復元可」を示す情報を出力する(ステップS504)。
自装置の優先順位が最上位でない場合(ステップS503でNO)、復元可否判定部207は、データ制御部203へ「復元不可」を示す情報を出力する(ステップS505)。
The restoration
When the priority order of the own device is the highest (YES in step S503), the restoration
When the priority order of the own apparatus is not the highest (NO in step S503), the restoration
なお、図5に示した例では、割符復元許可情報131は「2」、割符復元許可情報141は、「3」、割符復元許可情報151は、「1」に設定されている。従って、この例では、機密情報復元装置21の優先順位は最上位ではないことから、復元可否判定部207は、データ制御部203へ「復元不可」を示す情報を出力する。
(4)復元可否判定処理3
ここでは、図20に示すフローチャートを用いて、復元可否判定処理3の動作について説明する。なお、ここに示す動作は、図16のステップS307の詳細である。
In the example shown in FIG. 5, the tally
(4)
Here, the operation of the restoration
復元可否判定部207は、割符副データF1に含まれる割符復元許可情報131の値を読み出す(ステップS601)。なお、規則3では、割符復元許可情報131には、復元閾値Kの値が設定されている。
次に、復元可否判定部207は、装置特性情報記憶部205に記憶されている復元可能最大閾値Kmを読み出す(ステップS602)。
Next,
復元可否判定部207は、割符復元許可情報131に設定されているKの値と、復元可能最大閾値Kmの値とを比較する。
Km≧Kの場合(ステップS603でYES)、復元可否判定部207は、データ制御部203へ「復元可」を示す情報を出力する(ステップS604)。
Km<Kの場合(ステップS603でNO)、復元可否判定部207は、データ制御部203へ「復元不可」を示す情報を出力する(ステップS404)。
When K m ≧ K (YES in step S603), the restoration
When K m <K (NO in step S603), the restoration
なお、図5、及び図15に示した例では、K=3、及びKm=4である。従って、この例では、復元可否判定部207は、データ制御部203へ「復元可」を示す情報を出力する。
(5)復元可否判定処理4
ここでは、図21に示すフローチャートを用いて、復元可否判定処理4の動作について説明する。なお、ここに示す動作は、図16のステップS308の詳細である。
In the example shown in FIGS. 5 and 15, K = 3 and K m = 4. Therefore, in this example, the restoration
(5)
Here, the operation of the restoration
復元可否判定部207は、自装置の割符データW1に含まれる割符副データF1から、割符復元許可情報131を読み出す(ステップS701)。
次に、復元可否判定部207は、他装置の割符データW2、及びW3に含まれる割符副データF2、及びF3から、割符復元許可情報141、及び151を読み出す(ステップS702)。
The restoration permission /
Next, the restoration
復元可否判定部207は、割符復元許可情報131、141、及び151に設定されている復元許可ポイントを比較して、自装置のポイント数が最大であるか否か判断する。
自装置のポイント数が最大の場合(ステップS703でYES)、復元可否判定部207は、データ制御部203へ「復元可」を示す情報を出力する(ステップS704)。
自装置のポイント数が最大でない場合(ステップS703でNO)、復元可否判定部207は、データ制御部203へ「復元不可」を示す情報を出力する(ステップS705)。
The restoration
When the number of points of the own device is the maximum (YES in step S703), the restoration
When the number of points of the own device is not the maximum (NO in step S703), the restoration
なお、図5に示した例では、割符復元許可情報131は「3」、割符復元許可情報141は、「2」、割符復元許可情報151は、「3」に設定されている。従って、この例では、機密情報復元装置21が保有するポイント数は、3台の機密情報復元装置が保有するポイント数の、最大のポイント数「3」を有することから、復元可否判定部207は、データ制御部203へ「復元可」を示す情報を出力する。
In the example shown in FIG. 5, the tally
(6)機密情報復元処理
ここでは、図22に示すフローチャートを用いて、機密情報復元処理の動作について説明する。なお、ここに示す動作は、図17のステップS311の詳細である。
復元部206は、割符データ記憶部202に記憶されている割符データWiから、割符主データYiを読み出す(ステップS801)。ここでは、i=1、2、3である。
(6) Confidential Information Restoration Process Here, the operation of the confidential information restoration process will be described using the flowchart shown in FIG. The operation shown here is the details of step S311 in FIG.
Restoring
続いて、復元部206は、割符データ記憶部202に記憶されている割符データW1、W2、及びW3に含まれる割符副データF1、F2、及びF3から、割符復元許可情報131、141、及び151を読み出す。ここで、C1=割符復元許可情報131、C2=割符復元許可情報141、C3=割符復元許可情報151とする(ステップS802)。
復元部206は、
第1割符数値
X1=Hash(C1)
X2=Hash(C2)
X3=Hash(C3)を生成する(ステップS803)。
Subsequently, the
The
First tally value X 1 = Hash (C 1 )
X 2 = Hash (C 2 )
X 3 = Hash (C 3 ) is generated (step S803).
続いて、復元部206は、m=1、2、…、Lについて、ステップS805及びステップS806を繰り返す(ステップS804、ステップS807)。
先ず、復元部206は、
Subsequently, the
First, the
最後に、復元部206は、S[1]、S[2] 、…、S[m]を連結して、機密情報Sを生成する(ステップS808)。
Finally, the
<まとめ>
上記の実施形態では、割符復元許可規則情報を「規則1」に設定すると、機密情報復元装置毎に、機密情報Sの復元を許可するか否かを個別に設定することができる。
割符復元許可規則情報を「規則2」に設定すると、復元処理に参加する機密情報復元装置の中で優先度の高い装置だけに、機密情報Sの復元を許可することができる。ここで、「規則1」の場合には、復元処理に参加する機密情報復元装置の割符復元許可情報が、全て「許可しない」の場合には、どの装置でも機密情報Sを復元できないという状況が起こり得た。しかし、「規則2」の場合には、何れかの機密情報復元装置が、必ず最も優先度の高い装置となるので、そのような状況は起こらない。
<Summary>
In the above embodiment, when the tally restoration permission rule information is set to “
When the tally restoration permission rule information is set to “
割符復元許可規則情報を「規則3」に設定すると、機密情報Sの復元処理を行うだけの処理性能を持つ機密情報復元装置だけに、機密情報Sの復元を許可することができる。ここで、上記の実施形態における(数式2)及び(数式3)で必要な計算回数は、加減算=K^2−1回、乗算=K×(K−2)回、除算=K×(K−1)回であり、復元閾値Kによって決まることがわかる。従って、本実施形態では、機密情報復元処理の計算量及び機密情報復元装置の計算能力を、復元閾値Kの値を以って指標値としている。
When the tally restoration permission rule information is set to “
なお、各機密情報復元装置の復元可能最大閾値Kmは、例えば、各機密情報復元装置が所定の時間内に実行できる計算回数から求められる。即ち、上記の所定の時間内に実行できる計算回数以下の計算回数となる復元閾値Kを、復元可能最大閾値Kmとする。
割符復元許可規則情報を「規則4」に設定すると、復元処理に参加する機密情報復元装置の中で優先度の高い装置(ポイント数の高い装置)だけに、機密情報の復元を許可するようにでき、且つ、過去の復元回数に応じて、優先度を変化させることができる。これにより、毎回同じ機密情報復元装置だけが機密情報Sを復元することになる状況を回避することが可能になる。
The maximum recoverable threshold value K m of each confidential information restoration device is obtained, for example, from the number of calculations that each confidential information restoration device can execute within a predetermined time. That is, the restoration threshold value K that is equal to or less than the number of computations that can be executed within the predetermined time is set as the maximum threshold value K m that can be restored.
When the tally restoration permission rule information is set to “
ここで、請求項に記載の手段と上記の実施形態で説明した構成要素との対応について説明する。
請求項1に記載の割符生成手段は、割符生成装置10の割符主データ生成部103及び割符データ生成部104に相当し、復元制御情報生成手段は、割符データ生成部104に相当する。
Here, the correspondence between the means described in the claims and the components described in the above embodiment will be described.
The tally generating unit according to
また、請求項1及び請求項2に記載の記憶手段は、機密情報復元装置21の割符データ記憶部202に相当し、割符収集手段は、データ制御部203及びデータ送受信部201に相当し、判定手段は、復元可否判定部207に相当し、復元手段は、復元部206に相当する。
請求項5に記載の装置特性情報記憶手段は、機密情報復元装置21の装置特性情報記憶部205に相当する。
Further, the storage means according to
The device characteristic information storage means described in
請求項9に記載の復元制御情報更新手段は、機密情報復元装置21の割符副データ更新部208に相当する。
請求項10に記載の改ざん検出手段は、機密情報復元装置21の復元可否判定部207に相当する。
請求項11に記載のデータ制御手段は、機密情報復元装置21のデータ制御部203に相当する。
The restoration control information update unit according to claim 9 corresponds to the tally sub
The falsification detection means described in
The data control means according to claim 11 corresponds to the
請求項13に記載の割符生成手段は、割符生成装置10の割符主データ生成部103及び割符データ生成部104に相当し、復元制御情報生成手段は、割符データ生成部104に相当し、配布手段は、割符データ送信部105に相当する。
請求項18に記載の改ざん検出値生成手段は、割符生成装置10の割符主データ生成部103に相当する。
The tally generating unit according to claim 13 corresponds to the tally main
The falsification detection value generation means according to claim 18 corresponds to the tally main
<その他の変形例>
ここまで、本発明を上記の実施形態に基づき説明してきたが、本発明は、上記の実施形態に限定されないのは勿論であり、以下のような場合も、本発明に含まれる。
(1)上記の実施形態では、割符復元許可情報は、図4に示したように、実効情報ビットサイズ及び乱数データを含む128ビットデータであって、割符データ生成部104は、128ビットデータの割符復元許可情報に対するハッシュ値を計算することにより、第1割符数値を生成するとしているが、本発明においてはこの構成は必須ではない。割符主データ生成部104は、実効情報のみ対してハッシュ値を計算して、第1割符数値を生成する場合も、本発明に含まれる。
<Other variations>
So far, the present invention has been described based on the above embodiment, but the present invention is not limited to the above embodiment, and the following cases are also included in the present invention.
(1) In the above embodiment, the tally restoration permission information is 128-bit data including the effective information bit size and random number data, as shown in FIG. 4, and the tally
(2)上記の実施形態では、割符副データが復元閾値Kを含んでいるが、これは必須ではない。機密情報Sの復元に必要な割符データの個数(復元閾値Kの値)を、システムに含まれる各機密情報復元装置に予め通知しておき、各機密情報復元装置は、何個の割符データを他の機密情報復元装置から取得すればよいのか分かるようにしておけば、割符副データが復元閾値Kを含まなくてもよい。 (2) In the above embodiment, the tally sub-data includes the restoration threshold K, but this is not essential. The number of tally data necessary for restoration of the confidential information S (value of the restoration threshold K) is notified in advance to each confidential information restoration device included in the system, and each confidential information restoration device transmits how many tally data. The tally sub-data does not have to include the restoration threshold value K if it is understood that it should be obtained from another confidential information restoration device.
(3)上記の実施形態では、割符復元許可規則情報120cが「規則2」及び「規則4」を示す場合、優先度及びポイント数の最も高い装置のみが復元を許可される構成を有するが、本発明は、この構成に限られるものではなく、例えば、優先度及びポイント数の高い方から2つ等、所定数の機密情報復元装置に対して、機密情報Sの復元を許可してもよい。
(3) In the above embodiment, when the tally restoration
また、割符復元許可規則情報120cが「規則4」を示す場合、ポイント数が最大の機密情報復元装置に対してのみ復元を許可するのではなく、ポイント数の大小と関係なく復元を許可するとしても良い。この場合、ポイント数は各装置に対して復元処理を許可する残り回数を表すこととなる。
また、上記の実施形態では、割符復元許可規則情報120cが「規則3」を示す場合、各割符復元許可情報には、機密情報Sの復元処理に必要な装置の計算能力を示す情報として、復元閾値Kの値が設定される構成を有するが、本発明では、装置の計算能力の表し方として、CPUのクロック数やメモリの大きさなどを用いてもよい。
In addition, when the tally restoration
In the above embodiment, when the tally restoration
また、「規則3」の場合、機密情報復元装置の計算能力に限定されず、機密情報復元装置に係る他の装置特性を示すように構成してもよい。例えば、機密情報Sが画像データの場合は、機密情報復元装置が備える表示デバイスの解像度を指標として用い、所定の解像度以下の解像度しか有していない表示デバイスを備える装置に対しては、機密情報Sの復元を禁止するように構成してもよい。また、機密情報Sが動画データの場合は、機密情報復元装置が有する動画データの再生能力を指標として用い、機密情報Sの再生時に、コマ落ち等のエラーが発生する恐れのある装置に対しては、機密情報Sの復元を禁止するように構成してもよい。
Further, in the case of “
更に、機密情報復元装置が所定の能力を有するか否かを指標として用いてもよい。例えば、データの複製能力を有する装置に対しては、機密情報Sの復元を禁止する構成を備えれば、機密情報Sの無断複製を抑制し、機密情報Sを保護することができる。
また、上記の実施形態では、割符復元許可規則情報が「規則4」を示す場合、機密情報復元装置21の割符副データ更新部208が、自装置のポイント数を1減算するとしたが、本発明は、この構成に限られるものではない。本発明は、例えば、割符データから機密情報Sを復元した機密情報復元装置以外の、他の機密情報復元装置に対応するポイント数を増加させる構成であってもよい。この構成によれば、上記実施形態と同様の効果が得られる。
Further, it may be used as an index whether or not the confidential information restoration device has a predetermined capability. For example, if an apparatus having a data replication capability is provided with a configuration that prohibits restoration of the confidential information S, unauthorized copying of the confidential information S can be suppressed and the confidential information S can be protected.
In the above embodiment, when the tally restoration permission rule information indicates “
更に、機密情報復元装置毎に、増減させるポイント数に重み付けを行うように構成してもよい。この構成により、機密情報Sの復元処理を禁止されにくい装置と禁止されやすい装置とを区別して管理することができる。
更に、割符データの作成者の意図により、機密情報毎にポイントの増減の程度を変えることができるように構成しても良い。これにより、割符データの作成者の意図により、機密情報毎にポイントの増減の程度を調節することができる。なお、この場合、増減させるべきポイント数の情報を割符主データと共に機密情報復元装置に与える必要がある。これは、例えば、割符副データに対して、増減させるべきポイント数についての情報を含ませること等により実現できる。
Further, each confidential information restoring device may be configured to weight the number of points to be increased or decreased. With this configuration, it is possible to distinguish and manage a device that is not easily prohibited from restoring the confidential information S and a device that is easily prohibited.
Furthermore, the degree of increase / decrease of points may be changed for each confidential information according to the intention of the creator of tally data. Thereby, the degree of increase / decrease of points can be adjusted for each confidential information according to the intention of the creator of the tally data. In this case, it is necessary to give the information on the number of points to be increased or decreased to the confidential information restoring device together with the tally main data. This can be realized, for example, by including information on the number of points to be increased or decreased with respect to the tally sub data.
また、上記の実施形態では、割符復元許可規則情報が「規則4」を示す場合、機密情報復元装置21の割符副データ更新部208は、自装置の割符副データのみ更新する構成を有するが、本発明は、この構成に限られるものではない。割符副データ更新部208は、自装置の割符副データの更新を行うと共に、データ送受信部201を介して、他の機密情報復元装置の割符副データ更新部に対して、対応する割符副データを更新するよう指示する構成であってもよい。
In the above embodiment, when the tally restoration permission rule information indicates “
この場合、全ての機密情報復元装置において、割符副データが更新されるので、同一の機密情報から生成される割符データに対応する割符副データの状態を、システム内で同期させることができる。
(4)上記の実施形態では、割符生成装置10は、128ビットデータである復元許可情報Ci(i=1、2、…、5)のそれぞれについて、ハッシュ値を計算することにより、1バイトデータである第1割符数値Xiを生成する。そして、割符生成装置10は、第1割符数値Xiを用いて生成された割符主データYiを各機密情報復元装置へ配布するが、第1割符数値Xiについては、配布しないように構成している。
In this case, since the tally sub-data is updated in all the confidential information restoration devices, the state of the tally sub-data corresponding to the tally data generated from the same confidential information can be synchronized in the system.
(4) In the above embodiment, the
これは、各機密情報復元装置側にて、割符復元許可情報Ciに基づき、第1割符数値Xiを生成することが可能であることから、送信データ量を削減するためにこのような構成を有している。
しかし、本発明のシステムでは、割符生成装置10は、第1割符数値生成部182にて生成した第1割符数値Xi自体を、割符主データYiに含めて、各機密情報復元装置へ送信するように構成してもよい。
This is because each confidential information restoration device can generate the first tally numerical value X i based on the tally restoration permission information C i , so that this configuration is used to reduce the transmission data amount. have.
However, in the system of the present invention, the
そして、各機密情報復元装置では、復元可否判定部207による復元可否判定処理において、割符復元許可情報Ciを用いた復元可否判定に先立ち、割符副データFiに含まれる割符復元許可情報Ciに一方向性ハッシュを計算し、計算された値と、割符主データYiに含まれている第1割符数値Xiとを比較することにより、割符復元許可情報Ciの改ざんの有無を判定するように構成してもよい。
In each confidential information restoration device, the tally restoration permission information C i included in the tally sub-data F i is included in the restoration possibility judgment processing by the restoration
復元可否判定部207は、割符復元許可情報Ciの改ざんを検出した場合には、機密情報Sの復元処理を終了し、割符復元許可情報Ciの改ざんを検出しない場合には、上記実施形態で説明した復元可否判定処理を開始するように構成してもよい。なお、改ざん検出処理に用いる値の算出方法は、一方向性ハッシュ値を算出するものに限られず、例えば、暗号化等を用いてもよい。
When the tampering restoration permission information C i is detected to be falsified, the restoration permission /
この構成により、不正な機密情報復元処理を防止することが可能になる。
ここで、上記の実施形態のように、第1割符数値Xiを機密情報復元装置へ送信しない構成では、ハッシュ値比較による割符復元許可情報の改ざん検出処理は行えないが、仮に、割符復元許可情報が改ざんされていると、機密情報復元装置は、正しい第1割符数値Xiを得られず、正しい機密情報Sを復元することができないので、結果として、機密情報Sの不正な復元は防止できる。
With this configuration, it is possible to prevent unauthorized confidential information restoration processing.
Here, in the configuration in which the first tally value X i is not transmitted to the confidential information restoration device as in the above-described embodiment, tampering restoration detection processing of tally restoration permission information by hash value comparison cannot be performed. If the information is falsified, the confidential information restoration device cannot obtain the correct first tally value X i and cannot restore the correct confidential information S. As a result, the confidential information S is prevented from being illegally restored. it can.
また、上記の実施形態において、割符復元許可情報Ciが1バイトの情報である場合には、第1割符数値Xiとして、割符復元許可情報Ciの値そのものを用いてもよい。この場合も、Hash(Ci)を、第1割符数値Xiとした場合と同様に、割符復元許可情報Ciに改ざんがあると、機密情報Sを正しく復元できなくなる。
また、復元許可情報Ciを用いることなく、第1割符数値Xiを生成してもよい。例えば、乱数を生成して、第1割符数値Xiとして用いることが考えられる。なお、この場合には、機密情報Sの復元に用いるために、第1割符数値Xiを割符主データYiに含める必要がある。
In the above embodiment, when the tally restoration permission information C i is 1-byte information, the value of the tally restoration permission information C i itself may be used as the first tally value X i . Also in this case, similarly to the case where Hash (C i ) is set to the first tally value X i , if the tally restoration permission information C i is falsified, the confidential information S cannot be restored correctly.
Further, the first tally value X i may be generated without using the restoration permission information C i . For example, a random number may be generated and used as the first tally value X i . In this case, the first tally numerical value X i needs to be included in the tally main data Y i in order to use it for the restoration of the confidential information S.
また、あるiについては、復元許可情報Ciを用いて生成した第1割符数値Xiを用い、あるiについては、乱数等から生成した第1割符数値Xiを用いるなど、iごとに、第1割符数値Xiの生成に復元許可情報Ciを用いるか否かを切り替えるとしてもよい。
(5)上記の実施形態では、各機密情報復元装置は、復元可否判定処理の時点で、割符主データ及び割符副データを含む割符データの全体を、他の機密情報復元装置と送付し合う構成を有するが、本発明において、この構成は必須ではない。
For each i, the first tally value X i generated using the restoration permission information C i is used, and for some i, the first tally value X i generated from a random number or the like is used. Whether to use the restoration permission information C i for generating the first tally value X i may be switched.
(5) In the above embodiment, each confidential information restoration device sends the entire tally data including the tally main data and the tally sub data to other confidential information restoration devices at the time of restoration feasibility determination processing. However, this configuration is not essential in the present invention.
先ず、機密情報復元装置は、復元可否判定処理に必要な、割符副データのみを送付し合い、復元可否判定処理で「復元可」と判定した場合に、他の機密情報復元装置へ、割符主データを要求して、割符主データを取得するように構成してもよい。これにより、「復元不可」の場合には不要となるデータの送受信を抑制し、各機密情報復元装置間において送受信するデータ量を削減することができる。 First, the confidential information restoration device sends only the tally sub-data necessary for the restoration feasibility judgment process, and when it is judged as “restorable” in the restoration feasibility judgment processing, The data may be requested and the tally main data may be obtained. As a result, transmission / reception of data that is unnecessary in the case of “unrestorable” can be suppressed, and the amount of data transmitted / received between the confidential information restoring devices can be reduced.
(6)また、上記の実施形態では、割符生成装置10は、割符生成指示情報を外部から受け取り、割符生成指示情報から抽出したデータに基づき、各機密情報復元装置に対応する割符副データを生成する構成を有するが、本発明は、この構成に限定されない。割符生成装置10は、予め内部に割符生成指示情報を記憶しておく構成であってもよい。
また、本発明は、各機密情報復元装置が、自装置にて機密情報を復元すると、その旨を割符生成装置10に通知し、割符生成装置10は、各機密情報復元装置からその旨を受け付けると、それを反映させた割符副データを生成するように構成してもよい。
(6) In the above embodiment, the
Further, according to the present invention, when each confidential information restoring device restores the confidential information by itself, the
この構成によると、割符生成装置10は、過去に機密情報を復元した機密情報復元装置に対しては、以後、機密情報の復元がしにくくなる割符副データを生成する等の制御が可能となる。
(7)上記の実施形態では、機密情報復元装置25の具体例としてメモリカードを示したが、これに限られるものではない。例えば、光ディスクや磁気ディスク等の他の記録媒体であってもよい。
According to this configuration, the
(7) Although the memory card is shown as a specific example of the confidential
なお、光ディスク等の場合、データの上書きができない追記型のディスクであることがある。この場合、上記の実施の形態のように、他の機密情報復元装置から受け取った割符データを割符データ記憶部202に一時的に記録すると、割符データの復元を行うたびにディスクの残り容量が減ってしまう。また、BD−ROM等の読み取り専用の記録媒体である場合は、他の装置から受け取った割符データを機密情報復元装置内に一時記録すること自体ができない。従って、機密情報復元装置25が、追記型もしくは読み取り専用の記録媒体である場合は、機密情報復元装置25の情報を利用する装置が、割符データ記憶部202として、メモリの一部を提供することが望ましい。
In the case of an optical disc or the like, it may be a write-once disc that cannot be overwritten with data. In this case, if the tally data received from another confidential information restoration device is temporarily recorded in the tally
また、ポイントの更新を伴う「規則4」は、追記型や読み取り専用の記録媒体には馴染まない。従って、機密情報復元装置25がこれらの記録媒体である場合には、割符副許可情報が「規則4」を示している場合には、処理を中断するとしても良い。ただし、追記型の場合は、ポイントの更新により空き容量が減ることを許容するのであれば、「規則4」を適用することもできる。
Also, “
また、上記の実施形態では、機密情報復元装置25の例であるメモリカードは、割符データ記憶部202、装置識別情報記憶部204、及び装置特性情報記憶部205に相当する構成のみを備えていた。しかし、この構成に限られるものではなく、メモリカード内に所定の処理を行うICチップ等を追加することにより、他の構成要素をメモリカード上に実現することも可能である。この場合、機密情報復元装置25は、自身が接続された装置から電力の供給等は受けるが、機密情報の復元処理自体は機密情報復元装置25内で行うことができる。これにより、機密情報が漏洩する可能性を低減することができる。
In the above embodiment, the memory card that is an example of the confidential
(8)上記の実施形態では、割符復元許可情報は各機密情報復元装置に1つずつ割り当てられていたが、これに限られるものではない。1台の装置に複数個の割符復元許可情報を割り当てるとしても良い。この場合、機密情報復元装置は、所定の基準に従って1つの割符復元許可情報を用いて処理を行う。より具体的な例を挙げると、「規則2」の場合は、最も優先度の大きい割符復元許可情報を用いるなどが考えられる。
(8) In the above embodiment, one tally restoration permission information is assigned to each confidential information restoration device, but the present invention is not limited to this. A plurality of tally restoration permission information may be assigned to one device. In this case, the confidential information restoration device performs processing using one tally restoration permission information according to a predetermined standard. As a more specific example, in the case of “
また、この場合、機密情報復元装置は、自身に割り当てられた複数個の割符復元許可情報を、外部に提供するための情報と自身の処理に使うための情報とに使い分けるとしてもよい。このような制御は、例えば、割符データを与える装置(自装置)による復元も、その割符データを収集した他の装置による復元もできるだけ許可したい場合などに有効である。 Further, in this case, the confidential information restoration apparatus may use a plurality of tally restoration permission information assigned to itself as information to be provided to the outside and information to be used for its own processing. Such control is effective, for example, when it is desired to permit a restoration by a device (self device) that provides tally data and a restoration by another device that collects the tally data as much as possible.
即ち、「規則2」の場合での例を述べると、割符復元許可情報が割り当てられた装置による復元をなるべく許可したい場合には、その機密情報復元装置に対してできるだけ高い優先度を与える必要がある。しかし、この場合、他の装置がこの機密情報復元装置から収集した割符データを用いて機密データの復元を試みる場合、この高い優先度が邪魔となり、他の装置による復元が不可と判断されやすくなってしまう。そこで、このような場合に、外部に出力する割符復元許可情報として低い優先度を与えるとする。このようにすると、割符データに含まれる割符副元許可情報の持つ優先度は低いものとなるので、その割符データを収集して機密情報の復元を行う他の装置も、復元が許可されやすくなる。
That is, in the case of “
なお、上記とは逆に、他の装置に供給する割符復元許可情報の条件を高く、自装置が用いる割符復元許可情報の条件を低くすることで、当該装置による機密情報の復元も、当該装置から割符データを受け取った他の装置による復元も、困難になるよう制御することができる。また、ここでは「規則2」の場合の例を述べたが、他の規則の場合も同様の制御が可能である。
Contrary to the above, the condition of tally restoration permission information supplied to another apparatus is increased, and the condition of tally restoration permission information used by the own apparatus is lowered, so that confidential information can be restored by the apparatus. Restoration by other devices that have received tally data from can also be controlled to be difficult. Although the example in the case of “
(9)上記の実施形態では、機密情報Sの復元処理を許可する装置を、規則1から規則4までの4つの規則を設けて制御する構成を有するが、規則1から規則4までは、あくまで具体例に過ぎない。従って、本発明は、上記に説明した規則1から規則4までの実施形態に限定されず、各装置に対する機密情報復元の可否を示す条件を以って、機密情報復元の可否を制御する構成であればよい。
(9) In the above embodiment, the apparatus that permits the restoration processing of the confidential information S is configured to be controlled by providing four rules from
(10)上記の実施形態では、機密情報復元装置を、携帯電話機や、パーソナルコンピュータ等により実現する具体例を用いて説明したが、本発明における機密情報復元装置は、無線タグやセンサーネットワークにおけるセンサーノード等の小規模なモジュールで実現してもよい。
センサーネットワークとは、通信機能を有する超小型センサー(センサーノード)を用いてネットワークを形成し、各センサーが取得したデータの収集を行うシステムである。センサーノードは、固定的ではなく、人や自動車等がセンサーノードを持って移動することにより、センサーノード自体、移動することが可能であり、形成されるネットワークが動的に変化する。
(10) In the above embodiment, the confidential information restoration device has been described using a specific example that is realized by a mobile phone, a personal computer, or the like. However, the confidential information restoration device according to the present invention is a wireless tag or a sensor in a sensor network. You may implement | achieve with small modules, such as a node.
The sensor network is a system that forms a network using ultra-small sensors (sensor nodes) having a communication function and collects data acquired by each sensor. The sensor node is not fixed, and the sensor node itself can move when a person, a car, or the like moves with the sensor node, and the formed network changes dynamically.
本発明は、無線タグ、センサーノードが保持する秘密鍵から複数個の割符データを生成して、それを複数個の無線タグ、センサーノードで分散保持するように構成してもよい。
無線タグ、センサーノード等を用いたネットワークシステムでは、各無線タグ、各センサーノードは、タグ間、センサーノード間の認証処理、暗号化通信等で用いる秘密鍵を保持する必要がある。しかし、これらの小規模なモジュールは、低コストであるため、比較的低い耐タンパ性しか備えていない。そのため、本発明を用いて秘密鍵を分散させることによって、秘密鍵のセキュリティを保護することができる。
The present invention may be configured such that a plurality of tally data is generated from a secret key held by a wireless tag and a sensor node, and is distributed and held by a plurality of wireless tags and sensor nodes.
In a network system using wireless tags, sensor nodes, and the like, each wireless tag and each sensor node needs to hold a secret key used for authentication processing between tags and between sensor nodes, encrypted communication, and the like. However, these small modules have a relatively low tamper resistance because of their low cost. Therefore, the security of the secret key can be protected by distributing the secret key using the present invention.
(11)上記の実施形態で用いた電子割符方式は、あくまでも一例に過ぎず、他の電子割符方式に対しても同様の構成により適用可能である。
(12)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
(11) The electronic tally system used in the above embodiment is merely an example, and can be applied to other electronic tally systems with the same configuration.
(12) The present invention may be the method described above. Further, the present invention may be a computer program that realizes these methods by a computer, or may be a digital signal composed of the computer program.
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。 The present invention also provides a computer-readable recording medium such as a flexible disk, a hard disk, a CD-ROM, an MO, a DVD, a DVD-ROM, a DVD-RAM, a BD (Blu-ray Disc). ), Recorded in a semiconductor memory or the like. The digital signal may be recorded on these recording media.
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。
In the present invention, the computer program or the digital signal may be transmitted via an electric communication line, a wireless or wired communication line, a network represented by the Internet, a data broadcast, or the like.
The present invention may be a computer system including a microprocessor and a memory, wherein the memory stores the computer program, and the microprocessor operates according to the computer program.
また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(13)本発明の各装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。また、集積回路化の手法はLSIに限るものではなく、専用回路で実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(FieldProgrammable Gate Array)やLSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。
In addition, the program or the digital signal is recorded on the recording medium and transferred, or the program or the digital signal is transferred via the network or the like, and executed by another independent computer system. It is good.
(13) A part or all of the constituent elements constituting each device of the present invention may be constituted by one system LSI (Large Scale Integration). The system LSI is an ultra-multifunctional LSI manufactured by integrating a plurality of components on a single chip, and specifically, a computer system including a microprocessor, ROM, RAM, and the like. . A computer program is stored in the RAM. The system LSI achieves its functions by the microprocessor operating according to the computer program. Further, the method of circuit integration is not limited to LSI, and may be realized with a dedicated circuit. An FPGA (Field Programmable Gate Array) that can be programmed after manufacturing the LSI or a reconfigurable processor that can reconfigure the connection and setting of circuit cells inside the LSI may be used.
更には、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用などが可能性として有り得る。
(14)本発明の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
Furthermore, if integrated circuit technology comes out to replace LSI's as a result of the advancement of semiconductor technology or a derivative other technology, it is naturally also possible to carry out function block integration using this technology. Biotechnology can be applied as a possibility.
(14) A part or all of the constituent elements constituting each device of the present invention may be constituted by an IC card or a single module that can be attached to and detached from each device. The IC card or the module is a computer system including a microprocessor, a ROM, a RAM, and the like. The IC card or the module may include the super multifunctional LSI described above. The IC card or the module achieves its function by the microprocessor operating according to the computer program. This IC card or this module may have tamper resistance.
(15)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。 (15) The above embodiment and the above modifications may be combined.
本発明に係る機密情報保護システム、機密情報復元装置、及び割符生成装置は、機密情報の安全性と柔軟性とを兼ね備えたシステムを提供するサービス業において利用することができる。また、本発明に係る機密情報復元装置及び割符生成装置を製造及び販売する産業において利用することができる。 The confidential information protection system, the confidential information restoring device, and the tally generating device according to the present invention can be used in a service industry that provides a system having both security and flexibility of confidential information. Moreover, it can utilize in the industry which manufactures and sells the confidential information decompression | restoration apparatus and tally production | generation apparatus which concern on this invention.
1 機密情報保護システム
10 割符生成装置
21 機密情報復元装置
22 機密情報復元装置
23 機密情報復元装置
24 機密情報復元装置
25 機密情報復元装置
30 ネットワーク
101 データ入力部
102 データ抽出部
103 割符主データ生成部
104 割符データ生成部
105 割符データ送信部
181 割符用乱数生成部
182 第1割符数値生成部
183 第2割符数値生成部
201 データ送受信部
202 割符データ記憶部
203 データ制御部
204 装置識別情報記憶部
205 装置特性情報記憶部
206 復元部
207 復元可否判定部
208 割符副データ更新部
209 入力部
DESCRIPTION OF
Claims (31)
前記割符生成装置は、
前記機密情報に基づいて、複数個の電子割符を生成する割符生成手段と、
各端末装置における前記機密情報の復元に係る条件を示す復元制御情報を、端末装置毎に生成する復元制御情報生成手段とを備え、
各端末装置は、
前記割符生成装置により生成された電子割符及び復元制御情報を記憶する記憶手段と、
必要個数の電子割符を収集する割符収集手段と、
前記復元制御情報に基づき、前記機密情報の復元可否を判定する判定手段と、
前記判定手段により復元可能と判定された場合のみ、前記記憶手段に記憶されている前記電子割符、及び前記割符収集手段が収集した前記電子割符に基づき、前記機密情報を復元する復元手段とを備える
ことを特徴とする機密情報保護システム。 A confidential information protection system that includes a tally generating device and a plurality of terminal devices, and holds confidential information in a distributed manner in the plurality of terminal devices,
The tally generator is
Tally generating means for generating a plurality of electronic tallys based on the confidential information;
A restoration control information generating means for generating, for each terminal device, restoration control information indicating a condition relating to restoration of the confidential information in each terminal device;
Each terminal device
Storage means for storing electronic tally and restoration control information generated by the tally generating device;
A tally collecting means for collecting a necessary number of electronic tallys;
Determination means for determining whether or not the confidential information can be restored based on the restoration control information;
Only when it is determined by the determination means that restoration is possible, the electronic tally stored in the storage means and the restoration means for restoring the confidential information based on the electronic tally collected by the tally collection means This is a confidential information protection system.
割符生成装置により生成された1個の電子割符及び前記機密情報の復元に係る条件を示す復元制御情報を記憶している記憶手段と、
必要個数の電子割符を収集する割符収集手段と、
前記記憶手段に記憶されている前記復元制御情報に基づき、前記機密情報の復元可否を判定する判定手段と、
前記判定手段により復元可能と判定された場合のみ、前記記憶手段に記憶されている前記電子割符、及び前記割符収集手段が収集した前記電子割符に基づき、前記機密情報を復元する復元手段と
を備えることを特徴とする機密情報復元装置。 A confidential information restoration device having a function of restoring the confidential information from a plurality of electronic tally generated based on the confidential information,
Storage means for storing one electronic tally generated by the tally generating device and restoration control information indicating conditions relating to restoration of the confidential information;
A tally collecting means for collecting a necessary number of electronic tallys;
Determination means for determining whether or not the confidential information can be restored based on the restoration control information stored in the storage means;
Only when it is determined by the determination means that restoration is possible, the electronic tally stored in the storage means, and the restoration means for restoring the confidential information based on the electronic tally collected by the tally collection means. This is a confidential information restoration device.
前記復元手段は、前記記憶手段に記憶されている前記電子割符及び前記復元制御情報、並びに、前記割符収集手段が取得した前記電子割符及び前記復元制御情報を用いて、前記機密情報を復元する
ことを特徴とする請求項2に記載の機密情報復元装置。 The tally collecting means obtains the electronic tally and restoration control information obtained from the tally generating device by each other confidential information restoring device from the same number of other confidential information restoring devices as the required number,
The restoration means restores the confidential information using the electronic tally and the restoration control information stored in the storage means, and the electronic tally and the restoration control information acquired by the tally collection means. The apparatus for restoring confidential information according to claim 2.
前記判定手段は、前記復元制御情報が復元許可を示す場合に、復元可能と判定し、前記復元制御情報が復元不許可を示す場合に、復元不可能と判定する
ことを特徴とする請求項3に記載の機密情報復元装置。 In the restoration control information, information indicating whether to permit restoration of the confidential information is set,
The determination unit determines that restoration is possible when the restoration control information indicates restoration permission, and determines that restoration is not possible when the restoration control information indicates restoration non-permission. The confidential information restoration device described in 1.
前記機密情報復元装置は、更に、
自装置の性質を示す装置特性情報を記憶している装置特性記憶手段を備え、
前記判定手段は、前記装置特性情報を読み出し、読み出した前記装置特性情報が、前記復元制御情報が示す性質を満たす場合に復元可能と判定し、読み出した前記装置特性情報が、前記復元制御情報が示す性質を満たさない場合に復元不可能と判定する
ことを特徴とする請求項3に記載の機密情報復元装置。 In the restoration control information, information indicating a property of a device that permits restoration of the confidential information is set.
The confidential information restoring device further includes:
Device characteristic storage means for storing device characteristic information indicating the properties of the device itself,
The determination unit reads the device characteristic information, determines that the read device characteristic information satisfies the property indicated by the restoration control information, and determines that the restoration is possible. The confidential information restoring device according to claim 3, wherein it is determined that restoration is not possible when the indicated property is not satisfied.
前記装置特性情報は、自装置の処理性能を示す情報である
ことを特徴とする請求項5に記載の機密情報復元装置。 The property indicated by the restoration control information is information indicating processing performance of an apparatus necessary for restoring the confidential information,
6. The confidential information restoring device according to claim 5, wherein the device characteristic information is information indicating processing performance of the device itself.
ことを特徴とする請求項3に記載の機密情報復元装置。 The determination unit performs the determination by comparing the restoration control information stored in the storage unit and the restoration control information acquired by the tally collection unit. The confidential information restoration device described in 1.
前記判定手段は、前記記憶手段に記憶されている前記復元制御情報が示す優先度が、前記割符収集手段により取得された前記復元制御情報が示す優先度より高い場合に復元可能と判定し、前記記憶手段に記憶されている前記復元制御情報が示す優先度が、前記割符収集手段により取得された前記復元制御情報が示す優先度より低い場合に、復元不可能と判定する
ことを特徴とする請求項7に記載の機密情報復元装置。 In the restoration control information, information indicating a priority for performing the confidential information restoration processing in a plurality of confidential information restoration devices holding the plurality of electronic tallys is set,
The determination means determines that restoration is possible when the priority indicated by the restoration control information stored in the storage means is higher than the priority indicated by the restoration control information acquired by the tally collection means, The restoration control information stored in the storage unit is determined to be unrecoverable when the priority indicated by the restoration control information acquired by the tally collection unit is lower than the priority indicated by the restoration control information. Item 8. The confidential information restoring device according to Item 7.
前記判定手段により復元可能であると判定された場合に、前記記憶手段に記憶されている前記復元制御情報が示す前記優先度を更新する復元制御情報更新手段を備える
ことを特徴とする請求項8に記載の機密情報復元装置。 The confidential information restoring device further includes:
The restoration control information update means for updating the priority indicated by the restoration control information stored in the storage means when the judgment means determines that restoration is possible. The confidential information restoration device described in 1.
前記判定手段は、前記改ざん検出値を用いて、前記復元制御情報の改ざんの有無を判定し、前記復元制御情報の改ざんが検出された場合には、復元不可能であると判定する
ことを特徴とする請求項3に記載の機密情報復元装置。 The receiving means further receives, from the tally generating device, a falsification detection value generated by performing a predetermined calculation on the restoration control information,
The determination means determines whether or not the restoration control information has been falsified using the falsification detection value, and determines that restoration is impossible when falsification of the restoration control information is detected. The confidential information restoring device according to claim 3.
前記復元手段は、前記記憶手段に記憶されている前記復元制御情報、及び前記収集手段が取得した前記復元制御情報を用いて、複数個の電子割符から前記機密情報を復元する
ことを特徴とする請求項3に記載の機密情報復元装置。 Each electronic tally is information generated by performing a secret sharing process using a plurality of restoration control information on the confidential information,
The restoration means restores the confidential information from a plurality of electronic tallys using the restoration control information stored in the storage means and the restoration control information acquired by the collection means. The confidential information restoring device according to claim 3.
前記判定手段により復元不可能と判定された場合、前記収集手段が収集した前記電子割符を破棄するデータ制御手段を備える
ことを特徴とする請求項2に記載の機密情報復元装置。 The confidential information restoring device further includes:
The confidential information restoration apparatus according to claim 2, further comprising a data control unit that discards the electronic tally collected by the collection unit when the determination unit determines that the restoration is impossible.
ことを特徴とする請求項2に記載の機密情報復元装置。 The confidential information restoration device according to claim 2, wherein the tally collection unit collects the necessary number of electronic tallys when the determination unit determines that restoration is possible.
前記複数個の電子割符の配布先である複数個の端末装置毎に、各端末装置における前記機密情報の復元に係る条件を示す復元制御情報を生成する復元制御情報生成手段と、
電子割符及び復元制御情報を、対応する各端末装置へ配布する配布手段と
を備えることを特徴とする割符生成装置。 Tally generating means for generating a plurality of electronic tallys based on confidential information;
Restore control information generating means for generating, for each of a plurality of terminal devices to which the plurality of electronic tallys are distributed, restore control information indicating conditions relating to the restoration of the confidential information in each terminal device;
A tally generating apparatus comprising: a distribution unit that distributes electronic tally and restoration control information to each corresponding terminal apparatus.
前記割符生成手段は、前記機密情報、前記割符生成指示情報、及び前記復元制御情報に基づき、前記電子割符を生成する
ことを特徴とする請求項14に記載の割符生成装置。 The restoration control information generating means generates the restoration control information based on the number of electronic tally to be generated, the number of electronic tally necessary for restoring the confidential information, and tally generation instruction information including the condition,
The tally generating device according to claim 14, wherein the tally generating unit generates the electronic tally based on the confidential information, the tally generation instruction information, and the restoration control information.
ことを特徴とする請求項15に記載の割符生成装置。 The tally generation apparatus according to claim 15, wherein the restoration control information generation unit generates the restoration control information indicating whether or not the confidential information can be restored in each terminal device.
ことを特徴とする請求項15に記載の割符生成装置。 The tally generating apparatus according to claim 15, wherein the restoration control information generating unit generates the restoration control information indicating a priority of restoration of the confidential information in each terminal device.
ことを特徴とする請求項15に記載の割符生成装置。 The tally generating apparatus according to claim 15, wherein the restoration control information generating unit generates the restoration control information indicating a property of an apparatus that permits restoration of the confidential information.
ことを特徴とする請求項18に記載の割符生成装置。 The tally generating apparatus according to claim 18, wherein the property indicated by the restoration control information is a processing performance of an apparatus necessary for restoring the confidential information.
ことを特徴とする請求項19に記載の割符生成装置。 The tally according to claim 19, wherein the restoration control information generating means uses the value of the number of electronic tally required for restoring the confidential information included in the tally generation instruction information as the restoration control information. Generator.
各復元制御情報に所定の演算を施して、各復元制御情報に対応する改ざん検出値を生成する改ざん検出値生成手段を備え、
前記配布手段は、前記電子割符及び前記復元制御情報に加え、前記改ざん検出値を、前記各端末装置へ配布する
ことを特徴とする請求項15に記載の割符生成装置。 The tally generating device further includes:
A tamper detection value generating means for performing a predetermined calculation on each restoration control information and generating a tamper detection value corresponding to each restoration control information,
The tally generating apparatus according to claim 15, wherein the distribution unit distributes the tampering detection value to each terminal device in addition to the electronic tally and the restoration control information.
ことを特徴とする請求項14に記載の割符生成装置。 15. The tally generating unit generates the plurality of electronic tallys based on a plurality of restoration control information generated by the restoration control information generating unit and the confidential information. Tally generator.
ことを特徴とする請求項22に記載の割符生成装置。 23. The tally generating unit generates the plurality of electronic tallys by performing secret sharing processing using the plurality of restoration control information on the confidential information. Tally generator.
前記機密情報復元装置は、
割符生成装置により生成された1個の電子割符及び前記機密情報の復元に係る条件を示す復元制御情報を記憶している記憶手段を備え、
前記機密情報復元方法は、
必要個数の電子割符を収集する割符収集ステップと、
前記記憶手段に記憶されている前記復元制御情報に基づき、前記機密情報の復元可否を判定する判定ステップと、
前記判定ステップにより復元可能と判定された場合のみ、前記記憶手段に記憶されている前記電子割符、及び前記割符収集手段が収集した前記電子割符に基づき、前記機密情報を復元する復元ステップとを含む
ことを特徴とする機密情報復元方法。 A confidential information restoration method used in a confidential information restoration apparatus having a function of restoring the confidential information from a plurality of electronic tally generated based on the confidential information,
The confidential information restoring device includes:
A storage means for storing one electronic tally generated by the tally generating device and restoration control information indicating a condition relating to restoration of the confidential information;
The confidential information restoration method includes:
A tally collection step for collecting the required number of electronic tallys;
A determination step for determining whether or not the confidential information can be restored based on the restoration control information stored in the storage means;
A restoration step of restoring the confidential information based on the electronic tally stored in the storage means and the electronic tally collected by the tally collection means only when it is judged that restoration is possible in the determination step. A method for restoring confidential information.
前記機密情報復元装置は、
割符生成装置により生成された1個の電子割符及び前記機密情報の復元に係る条件を示す復元制御情報を記憶している記憶手段を備え、
前記コンピュータプログラムは、
必要個数の電子割符を収集する割符収集ステップと、
前記記憶手段に記憶されている前記復元制御情報に基づき、前記機密情報の復元可否を判定する判定ステップと、
前記判定ステップにより復元可能と判定された場合のみ、前記記憶手段に記憶されている前記電子割符、及び前記割符収集手段が収集した前記電子割符に基づき、前記機密情報を復元する復元ステップとを含む
ことを特徴とするコンピュータプログラム。 A computer program used in a confidential information restoring apparatus having a function of restoring the confidential information from a plurality of electronic tally generated based on the confidential information,
The confidential information restoring device includes:
A storage means for storing one electronic tally generated by the tally generating device and restoration control information indicating a condition relating to restoration of the confidential information;
The computer program is
A tally collection step for collecting the required number of electronic tallys;
A determination step for determining whether or not the confidential information can be restored based on the restoration control information stored in the storage means;
A restoration step of restoring the confidential information based on the electronic tally stored in the storage means and the electronic tally collected by the tally collection means only when it is judged that restoration is possible in the determination step. A computer program characterized by the above.
前記機密情報復元装置は、
割符生成装置により生成された1個の電子割符及び前記機密情報の復元に係る条件を示す復元制御情報を記憶している記憶手段を備え、
前記コンピュータプログラムは、
必要個数の電子割符を収集する割符収集ステップと、
前記記憶手段に記憶されている前記復元制御情報に基づき、前記機密情報の復元可否を判定する判定ステップと、
前記判定ステップにより復元可能と判定された場合のみ、前記記憶手段に記憶されている前記電子割符、及び前記割符収集手段が収集した前記電子割符に基づき、前記機密情報を復元する復元ステップとを含む
ことを特徴とする記録媒体。 A computer-readable recording medium recording a computer program used in a confidential information restoring apparatus having a function of restoring the confidential information from a plurality of electronic tally generated based on the confidential information,
The confidential information restoring device includes:
A storage means for storing one electronic tally generated by the tally generating device and restoration control information indicating a condition relating to restoration of the confidential information;
The computer program is
A tally collection step for collecting the required number of electronic tallys;
A determination step for determining whether or not the confidential information can be restored based on the restoration control information stored in the storage means;
A restoration step of restoring the confidential information based on the electronic tally stored in the storage means and the electronic tally collected by the tally collection means only when it is judged that restoration is possible in the determination step. A recording medium characterized by the above.
割符生成装置により生成された1個の電子割符及び前記機密情報の復元に係る条件を示す復元制御情報を記憶している記憶手段と、
必要個数の電子割符を収集する割符収集手段と、
前記記憶手段に記憶されている前記復元制御情報に基づき、前記機密情報の復元可否を判定する判定手段と、
前記判定手段により復元可能と判定された場合のみ、前記記憶手段に記憶されている前記電子割符、及び前記割符収集手段が収集した前記電子割符に基づき、前記機密情報を復元する復元手段とを備える
を備えることを特徴とする集積回路。 An integrated circuit used in a confidential information restoration apparatus having a function of restoring the confidential information from a plurality of electronic tally generated based on the confidential information,
Storage means for storing one electronic tally generated by the tally generating device and restoration control information indicating conditions relating to restoration of the confidential information;
A tally collecting means for collecting a necessary number of electronic tallys;
Determination means for determining whether or not the confidential information can be restored based on the restoration control information stored in the storage means;
Only when it is determined by the determination means that restoration is possible, the electronic tally stored in the storage means and the restoration means for restoring the confidential information based on the electronic tally collected by the tally collection means An integrated circuit comprising:
機密情報に基づいて、複数個の電子割符を生成する割符生成ステップと、
前記複数個の電子割符の配布先である複数個の端末装置毎に、各端末装置における前記機密情報の復元に係る条件を示す復元制御情報を生成する復元制御情報生成ステップと、
電子割符及び復元制御情報を、対応する各端末装置へ配布する配布ステップと
を含むことを特徴とする割符生成方法。 A tally generation method used in a tally generator,
A tally generating step for generating a plurality of electronic tallys based on the confidential information;
A restoration control information generating step for generating restoration control information indicating a condition relating to restoration of the confidential information in each terminal device for each of a plurality of terminal devices to which the plurality of electronic tallys are distributed;
A tally generation method comprising: a distribution step of distributing electronic tally and restoration control information to each corresponding terminal device.
機密情報に基づいて、複数個の電子割符を生成する割符生成ステップと、
前記複数個の電子割符の配布先である複数個の端末装置毎に、各端末装置における前記機密情報の復元に係る条件を示す復元制御情報を生成する復元制御情報生成ステップと、
電子割符及び復元制御情報を、対応する各端末装置へ配布する配布ステップと
を含むことを特徴とするコンピュータプログラム。 A computer program used in a tally generator,
A tally generating step for generating a plurality of electronic tallys based on the confidential information;
A restoration control information generating step for generating restoration control information indicating a condition relating to restoration of the confidential information in each terminal device for each of a plurality of terminal devices to which the plurality of electronic tallys are distributed;
A computer program comprising: a distribution step of distributing electronic tally and restoration control information to corresponding terminal devices.
前記コンピュータプログラムは、
機密情報に基づいて、複数個の電子割符を生成する割符生成ステップと、
前記複数個の電子割符の配布先である複数個の端末装置毎に、各端末装置における前記機密情報の復元に係る条件を示す復元制御情報を生成する復元制御情報生成ステップと、
電子割符及び復元制御情報を、対応する各端末装置へ配布する配布ステップと
を含むことを特徴とする記録媒体。 A computer-readable recording medium recording a computer program used in a tally generating device,
The computer program is
A tally generating step for generating a plurality of electronic tallys based on the confidential information;
A restoration control information generating step for generating restoration control information indicating a condition relating to restoration of the confidential information in each terminal device for each of a plurality of terminal devices to which the plurality of electronic tallys are distributed;
A distribution step of distributing electronic tally and restoration control information to each corresponding terminal device.
機密情報に基づいて、複数個の電子割符を生成する割符生成手段と、
前記複数個の電子割符の配布先である複数個の端末装置毎に、各端末装置における前記機密情報の復元に係る条件を示す復元制御情報を生成する復元制御情報生成手段と、
電子割符及び復元制御情報を、対応する各端末装置へ配布する配布手段と
を備えることを特徴とする集積回路。 An integrated circuit used in a tally generator,
Tally generating means for generating a plurality of electronic tallys based on confidential information;
Restore control information generating means for generating, for each of a plurality of terminal devices to which the plurality of electronic tallys are distributed, restore control information indicating conditions relating to the restoration of the confidential information in each terminal device;
An integrated circuit comprising: distribution means for distributing electronic tally and restoration control information to each corresponding terminal device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007147942A JP2008016014A (en) | 2006-06-07 | 2007-06-04 | Confidential information protection system, confidential information restoring device, and tally generation device |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006158183 | 2006-06-07 | ||
| JP2007147942A JP2008016014A (en) | 2006-06-07 | 2007-06-04 | Confidential information protection system, confidential information restoring device, and tally generation device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008016014A true JP2008016014A (en) | 2008-01-24 |
Family
ID=39072922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007147942A Withdrawn JP2008016014A (en) | 2006-06-07 | 2007-06-04 | Confidential information protection system, confidential information restoring device, and tally generation device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008016014A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009118801A1 (en) * | 2008-03-28 | 2009-10-01 | パナソニック株式会社 | Software updating apparatus, software updating system, invalidation method, and invalidation program |
| WO2009118800A1 (en) * | 2008-03-28 | 2009-10-01 | パナソニック株式会社 | Software updating apparatus, software updating system, alteration verification method and alteration verification program |
| JP2013131105A (en) * | 2011-12-22 | 2013-07-04 | Japan Research Institute Ltd | Information transfer system and information transfer method |
| JP2014186592A (en) * | 2013-03-25 | 2014-10-02 | Nec Corp | Distributed storage system, node, data managing method, and program |
| JP2015158935A (en) * | 2013-10-23 | 2015-09-03 | 株式会社インテック | Data concealed statistic processing system, statistic processing result providing server device, data input device, program therefor and method |
| JP2020123006A (en) * | 2019-01-29 | 2020-08-13 | 富士通株式会社 | Information processing device, information processing method and information processing program, and terminal |
-
2007
- 2007-06-04 JP JP2007147942A patent/JP2008016014A/en not_active Withdrawn
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009118801A1 (en) * | 2008-03-28 | 2009-10-01 | パナソニック株式会社 | Software updating apparatus, software updating system, invalidation method, and invalidation program |
| WO2009118800A1 (en) * | 2008-03-28 | 2009-10-01 | パナソニック株式会社 | Software updating apparatus, software updating system, alteration verification method and alteration verification program |
| JPWO2009118800A1 (en) * | 2008-03-28 | 2011-07-21 | パナソニック株式会社 | Software update device, software update system, falsification verification method, and falsification verification program |
| JPWO2009118801A1 (en) * | 2008-03-28 | 2011-07-21 | パナソニック株式会社 | Software update device, software update system, invalidation method, and invalidation program |
| US8464347B2 (en) | 2008-03-28 | 2013-06-11 | Panasonic Corporation | Software updating apparatus, software updating system, alteration verification method and alteration verification program |
| US8600896B2 (en) | 2008-03-28 | 2013-12-03 | Panasonic Corporation | Software updating apparatus, software updating system, invalidation method, and invalidation program |
| US9594909B2 (en) | 2008-03-28 | 2017-03-14 | Panasonic Corporation | Software updating apparatus, software updating system, invalidation method, and invalidation program |
| JP2013131105A (en) * | 2011-12-22 | 2013-07-04 | Japan Research Institute Ltd | Information transfer system and information transfer method |
| JP2014186592A (en) * | 2013-03-25 | 2014-10-02 | Nec Corp | Distributed storage system, node, data managing method, and program |
| JP2015158935A (en) * | 2013-10-23 | 2015-09-03 | 株式会社インテック | Data concealed statistic processing system, statistic processing result providing server device, data input device, program therefor and method |
| JP2020123006A (en) * | 2019-01-29 | 2020-08-13 | 富士通株式会社 | Information processing device, information processing method and information processing program, and terminal |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4932033B2 (en) | Software update device, software update system, falsification verification method, and falsification verification program | |
| JP5241818B2 (en) | Terminal | |
| US20070239615A1 (en) | Personal Information Management Device, Distributed Key Storage Device, and Personal Information Management System | |
| WO2010041442A1 (en) | Information processing device, method, program, and integrated circuit | |
| WO2009118801A1 (en) | Software updating apparatus, software updating system, invalidation method, and invalidation program | |
| US20030177094A1 (en) | Authenticatable positioning data | |
| EP2549402B1 (en) | Data processing terminal, confidential data access control method, program, storage medium, and integrated circuit | |
| JP2008016014A (en) | Confidential information protection system, confidential information restoring device, and tally generation device | |
| JP2009003854A (en) | Information security device and information security system | |
| CN103034816B (en) | Access control method, the information display device using this access control method and system | |
| US10126960B2 (en) | Fuse-based anti-replay mechanism | |
| US10127405B2 (en) | Techniques for determining an anti-replay counter for preventing replay attacks | |
| JP2007135170A (en) | Electronic data delivery method | |
| CN104937904A (en) | Copy offload for disparate offload providers | |
| JP2014109826A (en) | Data management mechanism in emergency for wide-area distributed medical information network | |
| US20080005800A1 (en) | Confidential information protection system, confidential information restoring device, and tally generating device | |
| JP6721248B2 (en) | Information management terminal | |
| KR20200127643A (en) | Method and Apparatus for Distributed Processing of Data for Document Management | |
| JP4901311B2 (en) | Data processing apparatus, data processing method, and data processing program | |
| JP5223860B2 (en) | Time information distribution system, time distribution station, terminal, time information distribution method and program | |
| KR20230058647A (en) | Generate private key using location data | |
| JP6939313B2 (en) | Distributed authentication system | |
| CN111400316A (en) | Data acquisition method and device, storage medium and electronic device | |
| US20170372092A1 (en) | Information processing system, terminal, and determination apparatus | |
| US20180262332A1 (en) | Supplies of deficiency of a key in information on a set of keys |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100329 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20110408 |