JP2016005031A - Encryption key management device and encryption key management method - Google Patents

Encryption key management device and encryption key management method Download PDF

Info

Publication number
JP2016005031A
JP2016005031A JP2014122608A JP2014122608A JP2016005031A JP 2016005031 A JP2016005031 A JP 2016005031A JP 2014122608 A JP2014122608 A JP 2014122608A JP 2014122608 A JP2014122608 A JP 2014122608A JP 2016005031 A JP2016005031 A JP 2016005031A
Authority
JP
Japan
Prior art keywords
key
user
password
encrypted
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014122608A
Other languages
Japanese (ja)
Other versions
JP6092159B2 (en
Inventor
健児 伊藤
Kenji Ito
健児 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2014122608A priority Critical patent/JP6092159B2/en
Priority to PCT/JP2014/083099 priority patent/WO2015190014A1/en
Publication of JP2016005031A publication Critical patent/JP2016005031A/en
Application granted granted Critical
Publication of JP6092159B2 publication Critical patent/JP6092159B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an encryption key management method which enables encrypted data to be decrypted even if a user forgets a password.SOLUTION: When a user terminal requests reset of a password and an administrator terminal approves the request, an encryption key management device converts a password of an administrator into a password key 211 of the administrator by means of a unidirectional function, decrypts an encrypted user password key 222 and acquires a password key 201 of a user. Next, the encryption key management device uses the password key 201 of the user to decrypt an encrypted user key 200 and acquires a user key 202. The encryption key management device then converts a password of a new user into the password key 201 of the new user by means of a unidirectional function, encrypts the user key 202, regenerates the encrypted user key 200 and uses the password key 211 of the administrator to encrypt the password key 201 of the new user and regenerates the encrypted user password key 222.

Description

本発明は、データの暗号化および暗号データ(暗号化されたデータ)の復号のために用いられる暗号鍵を管理する暗号鍵管理装置および暗号鍵管理方法に関する。   The present invention relates to an encryption key management apparatus and an encryption key management method for managing an encryption key used for data encryption and decryption of encrypted data (encrypted data).

従来、データの暗号化および暗号データの復号(以下、データの暗号化・復号という。)のために用いられる暗号鍵としてパスワードから一方向関数で変換したものを利用することで、利用者が記憶しているパスワードが分からなければ暗号鍵を生成できないようにし、暗号データを第三者から守る技術が一般的に利用されている。ただし、パスワードを変更した場合、変更前のパスワードを元に生成された暗号鍵で暗号化された暗号データは変更後のパスワードを用いて復号することができなくなる。   Conventionally, a user stores data by using a one-way function converted from a password as an encryption key used for data encryption and decryption of encrypted data (hereinafter referred to as data encryption / decryption). A technique is generally used in which an encryption key cannot be generated unless the password is known, and the encryption data is protected from a third party. However, when the password is changed, the encrypted data encrypted with the encryption key generated based on the password before the change cannot be decrypted using the password after the change.

そこで、特許文献1は、パスワードを一方向関数等で変換してパスワード鍵を生成し、それとは別にデータの暗号化・復号のための暗号鍵として乱数を元にデータ用暗号鍵を生成し、そのデータ用暗号鍵をパスワード鍵で暗号化したものを保存する技術を開示する。この技術によれば、パスワードが分からなければデータ用暗号鍵を取り出すことができないため、暗号データを復号することができない。そして、パスワードを変更する場合、変更前のパスワードを用いてデータ用暗号鍵を取り出し、変更後のパスワードを用いてそれを再度暗号化して保存し直せば、変更前のパスワードを用いて暗号化された暗号データでも変更後のパスワードを用いて復号することができる。   Therefore, Patent Document 1 generates a password key by converting a password with a one-way function or the like, and separately generates a data encryption key based on a random number as an encryption key for data encryption / decryption, A technique for storing the data encryption key encrypted with a password key is disclosed. According to this technique, since the data encryption key cannot be extracted unless the password is known, the encrypted data cannot be decrypted. And when changing the password, if you take out the data encryption key using the password before the change, encrypt it again using the password after the change, and save it again, it will be encrypted using the password before the change. Even encrypted data can be decrypted using the changed password.

特開2004−201038号公報JP 2004-201038 A

従来技術では、暗号データを入手しうる第三者が暗号データを入手し、暗号鍵(またはデータ用暗号鍵)の生成ロジックを知っていたとしても、第三者は正当なユーザのみが知りうるパスワードを知らないため、暗号データを復号することができない。
ただし、第三者によって不正に取得されることを防ぐため、通常パスワードは保存されない。このため、正当なユーザでもパスワードを忘却した場合、パスワードを知る手段がないため、暗号データを復号することができなくなり、利便性が悪い。
なお、ここで言う第三者とはたとえば、メールシステムであればメールサーバの管理者権限をもつユーザ、あるいはWebシステムであればWebサーバの管理者権限をもつユーザなどである。 In the prior art, even if a third party who can obtain encrypted data obtains the encrypted data and knows the generation logic of the encryption key (or data encryption key), the third party can be known only by a legitimate user. The encrypted data cannot be decrypted because the password is not known.
However, in order to prevent unauthorized acquisition by a third party, passwords are not normally stored. For this reason, even if a legitimate user forgets the password, since there is no means for knowing the password, the encrypted data cannot be decrypted, which is inconvenient.
The third party referred to here is, for example, a user who has a mail server administrator authority in the case of a mail system, or a user who has a Web server administrator authority in the case of a Web system.

また、パスワードの忘却の危険を回避するためパスワードに変わりうる方法としてICカードのようなデバイスに暗号鍵生成のための情報を保持、あるいは指紋や静脈といった生体情報をデジタル化したものから暗号鍵を生成する技術も存在する。しかしながらICカードリーダや生体認証用デバイスの利用が必須であり、ユーザが記憶しているパスワードほど手軽に利用できるものはない。   In order to avoid the risk of password forgetting, as a method that can be changed to a password, information for generating an encryption key is held in a device such as an IC card, or a biometric information such as a fingerprint or a vein is digitized to obtain an encryption key. There are also techniques to generate. However, use of an IC card reader or a biometric authentication device is essential, and there is nothing that can be used as easily as a password stored by a user.

本発明の目的は、正当なユーザがパスワードを忘却した場合でも、特段のデバイスを利用せず、高いセキュリティレベルを保った状態で、暗号データを復号することができる暗号鍵管理装置および暗号鍵管理方法を提供することである。   An object of the present invention is to provide an encryption key management apparatus and encryption key management capable of decrypting encrypted data while maintaining a high security level without using a special device even when a legitimate user forgets the password. Is to provide a method.

上記課題を解決するために、本発明の暗号鍵管理装置は、
第1のユーザのパスワードから変換された第1のユーザのパスワード鍵を用いて前記第1のユーザのデータの暗号化および暗号化されたデータの復号に用いられるユーザ鍵が暗号化された暗号化済みユーザ鍵と、第2のユーザのパスワードから変換された第2のユーザのパスワード鍵を用いて前記第1のユーザのパスワード鍵が暗号化された暗号化済みユーザパスワード鍵とを格納する鍵管理データベースと、
第1の端末から、新しい前記第1のユーザのパスワードを含むパスワードリセット要求情報を受信するパスワードリセット要求受信手段と、
前記パスワードリセット要求受信手段がパスワードリセット要求情報を受信すると、当該パスワードリセット要求情報を送信した前記第1のユーザを特定するユーザ特定情報を含むパスワードリセット承認要求情報を第2の端末に送信するパスワードリセット承認要求情報送信手段と、
前記第2の端末から、第2のユーザのパスワードを含むパスワードリセット承認通知情報を受信すると、当該パスワードリセット承認通知情報に含まれる第2のユーザのパスワードを変換し、前記第2のユーザのパスワード鍵を生成する第2のユーザのパスワード鍵生成手段と、
前記鍵管理データベースから前記暗号化済みユーザパスワード鍵を読み出し、前記第2のユーザのパスワード鍵生成手段によって生成された第2のユーザのパスワード鍵を用いて、読み出した前記暗号化済みユーザパスワード鍵を復号し、前記第1のユーザのパスワード鍵を取得する第1のユーザのパスワード鍵取得手段と、
前記鍵管理データベースから前記暗号化済みユーザ鍵を読み出し、前記第1のユーザのパスワード鍵取得手段によって取得された第1のユーザのパスワード鍵を用いて、読み出した前記暗号化済みユーザ鍵を復号し、前記ユーザ鍵を取得するユーザ鍵取得手段と、
前記パスワードリセット要求受信手段によって受信されたパスワードリセット要求情報に含まれる第1のユーザのパスワードを変換し、新しい第1のユーザのパスワード鍵を生成する第1のユーザのパスワード鍵生成手段と、
前記第1のユーザのパスワード鍵生成手段によって生成された第1のユーザのパスワード鍵を用いて、前記ユーザ鍵取得手段によって取得されたユーザ鍵を暗号化して新しい暗号化済みユーザ鍵を生成し、前記鍵管理データベースに格納されている暗号化済みユーザ鍵を当該新しい暗号化済みユーザ鍵で更新する暗号化済みユーザ鍵更新手段と、
前記第2のユーザのパスワード鍵生成手段によって生成された第2のユーザのパスワード鍵を用いて、前記第1のユーザのパスワード鍵生成手段によって生成された第1のユーザのパスワード鍵を暗号化して新しい暗号化済みユーザパスワード鍵を生成し、前記鍵管理データベースに格納されている暗号化済みユーザパスワード鍵を当該新しい暗号化済みユーザパスワード鍵で更新する暗号化済みユーザパスワード鍵更新手段と、
を備えることを特徴とする。 In order to solve the above problems, the encryption key management device of the present invention provides:
Encryption in which a user key used for encrypting the data of the first user and decrypting the encrypted data is encrypted using the password key of the first user converted from the password of the first user. Management for storing a stored user key and an encrypted user password key obtained by encrypting the password key of the first user using the password key of the second user converted from the password of the second user A database,
Password reset request receiving means for receiving password reset request information including a new password of the first user from the first terminal;
When the password reset request receiving means receives the password reset request information, the password for transmitting the password reset approval request information including the user specifying information for specifying the first user who has transmitted the password reset request information to the second terminal Reset approval request information transmission means;
When password reset approval notification information including the password of the second user is received from the second terminal, the password of the second user included in the password reset approval notification information is converted, and the password of the second user is converted. A second user password key generating means for generating a key;
The encrypted user password key is read from the key management database, and the read encrypted user password key is read using the second user password key generated by the second user password key generation means. First user password key obtaining means for decrypting and obtaining the first user password key;
The encrypted user key is read from the key management database, and the read encrypted user key is decrypted by using the first user password key acquired by the first user password key acquisition means. User key acquisition means for acquiring the user key;
A first user password key generation unit that converts a password of the first user included in the password reset request information received by the password reset request reception unit and generates a new first user password key;
Using the first user password key generated by the first user password key generating means to encrypt the user key acquired by the user key acquiring means to generate a new encrypted user key; An encrypted user key update means for updating the encrypted user key stored in the key management database with the new encrypted user key;
Using the second user password key generated by the second user password key generation means, the first user password key generated by the first user password key generation means is encrypted. An encrypted user password key update means for generating a new encrypted user password key and updating the encrypted user password key stored in the key management database with the new encrypted user password key;
It is characterized by providing.

好ましくは、本発明の暗号鍵管理装置は、
前記鍵管理データベースが、前記第2のユーザのパスワード鍵を用いて管理鍵が暗号化された暗号化済み管理鍵を格納しており、
前記鍵管理データベースに格納されている暗号化済みユーザパスワード鍵が、前記管理鍵を用いて暗号化されており、
前記第1のユーザのパスワード鍵取得手段が、前記鍵管理データベースから前記暗号化済み管理鍵を読み出し、前記第2のユーザのパスワード鍵生成手段によって生成された第2のユーザのパスワード鍵を用いて、読み出した前記暗号化済み管理鍵を復号して管理鍵を取得し、前記鍵管理データベースから前記暗号化済みユーザパスワード鍵を読み出し、前記取得した管理鍵を用いて読み出した前記暗号化済みユーザパスワード鍵を復号して前記第1のユーザのパスワード鍵を取得し、
前記暗号化済みユーザパスワード鍵更新手段が、前記第1のユーザのパスワード鍵取得手段によって第2のユーザのパスワード鍵を用いて取得された管理鍵を用いて、前記第1のユーザのパスワード鍵生成手段によって生成された第1のユーザのパスワード鍵を暗号化して新しい暗号化済みユーザパスワード鍵を生成する、
ことを特徴とする。 Preferably, the encryption key management device of the present invention is
The key management database stores an encrypted management key obtained by encrypting a management key using the password key of the second user;
The encrypted user password key stored in the key management database is encrypted using the management key,
The first user's password key acquisition means reads the encrypted management key from the key management database, and uses the second user's password key generated by the second user's password key generation means. Decrypting the read encrypted management key to obtain a management key, reading the encrypted user password key from the key management database, and reading the encrypted user password using the obtained management key Decrypting the key to obtain the password key of the first user;
The encrypted user password key update means generates the first user password key using the management key obtained by using the second user password key by the first user password key obtaining means. Encrypting the first user's password key generated by the means to generate a new encrypted user password key;
It is characterized by that.

また、本発明の暗号鍵管理方法は、
第1のユーザのパスワードから変換された第1のユーザのパスワード鍵を用いて前記第1のユーザのデータの暗号化および暗号化されたデータの復号に用いられるユーザ鍵が暗号化された暗号化済みユーザ鍵と、第2のユーザのパスワードから変換された第2のユーザのパスワード鍵を用いて前記第1のユーザのパスワード鍵が暗号化された暗号化済みユーザパスワード鍵とを格納する鍵管理データベースを有する暗号鍵管理装置における暗号鍵管理方法であって、
第1の端末から、新しい前記第1のユーザのパスワードを含むパスワードリセット要求情報を受信するパスワードリセット要求受信ステップと、
前記パスワードリセット要求情報を受信すると、当該パスワードリセット要求情報を送信した前記第1のユーザを特定するユーザ特定情報を含むパスワードリセット承認要求情報を第2の端末に送信するパスワードリセット承認要求情報送信ステップと、
前記第2の端末から、第2のユーザのパスワードを含むパスワードリセット承認通知情報を受信すると、当該パスワードリセット承認通知情報に含まれる第2のユーザのパスワードを変換し、前記第2のユーザのパスワード鍵を生成する第2のユーザのパスワード鍵生成ステップと、
前記鍵管理データベースから前記暗号化済みユーザパスワード鍵を読み出し、前記第2のユーザのパスワード鍵生成ステップにおいて生成された第2のユーザのパスワード鍵を用いて、読み出した前記暗号化済みユーザパスワード鍵を復号し、前記第1のユーザのパスワード鍵を取得する第1のユーザのパスワード鍵取得ステップと、
前記鍵管理データベースから前記暗号化済みユーザ鍵を読み出し、前記第1のユーザのパスワード鍵取得ステップにおいて取得された第1のユーザのパスワード鍵を用いて、読み出した前記暗号化済みユーザ鍵を復号し、前記ユーザ鍵を取得するユーザ鍵取得ステップと、
前記パスワードリセット要求受信ステップにおいて受信されたパスワードリセット要求情報に含まれる第1のユーザのパスワードを変換し、新しい第1のユーザのパスワード鍵を生成する第1のユーザのパスワード鍵生成ステップと、
前記第1のユーザのパスワード鍵生成ステップにおいて生成された第1のユーザのパスワード鍵を用いて、前記ユーザ鍵取得ステップにおいて取得されたユーザ鍵を暗号化して新しい暗号化済みユーザ鍵を生成し、前記鍵管理データベースに格納されている暗号化済みユーザ鍵を当該新しい暗号化済みユーザ鍵で更新する暗号化済みユーザ鍵更新ステップと、
前記第2のユーザのパスワード鍵生成ステップにおいて生成された第2のユーザのパスワード鍵を用いて、前記第1のユーザのパスワード鍵生成ステップにおいて生成された第1のユーザのパスワード鍵を暗号化して新しい暗号化済みユーザパスワード鍵を生成し、前記鍵管理データベースに格納されている暗号化済みユーザパスワード鍵を当該新しい暗号化済みユーザパスワード鍵で更新する暗号化済みユーザパスワード鍵更新ステップと、
を備えることを特徴とする。 In addition, the encryption key management method of the present invention includes:
Encryption in which a user key used for encrypting the data of the first user and decrypting the encrypted data is encrypted using the password key of the first user converted from the password of the first user. Management for storing a stored user key and an encrypted user password key obtained by encrypting the password key of the first user using the password key of the second user converted from the password of the second user An encryption key management method in an encryption key management apparatus having a database,
A password reset request receiving step of receiving password reset request information including a new password of the first user from the first terminal;
Upon receiving the password reset request information, a password reset approval request information transmission step of transmitting to the second terminal password reset approval request information including user specifying information for specifying the first user who has transmitted the password reset request information When,
When password reset approval notification information including the password of the second user is received from the second terminal, the password of the second user included in the password reset approval notification information is converted, and the password of the second user is converted. A second user password key generating step for generating a key;
The encrypted user password key is read from the key management database, and the read encrypted user password key is read using the second user password key generated in the second user password key generation step. A first user password key obtaining step of decrypting and obtaining the first user password key;
The encrypted user key is read from the key management database, and the read encrypted user key is decrypted using the first user password key acquired in the first user password key acquisition step. , A user key obtaining step for obtaining the user key;
A first user password key generating step of converting a password of the first user included in the password reset request information received in the password reset request receiving step and generating a new first user password key;
Using the first user password key generated in the first user password key generation step to generate a new encrypted user key by encrypting the user key acquired in the user key acquisition step; An encrypted user key update step of updating the encrypted user key stored in the key management database with the new encrypted user key;
The first user password key generated in the first user password key generation step is encrypted using the second user password key generated in the second user password key generation step. An encrypted user password key update step of generating a new encrypted user password key and updating the encrypted user password key stored in the key management database with the new encrypted user password key;
It is characterized by providing.

本発明によれば、正当なユーザがパスワードを忘却した場合でも、特段のデバイスを利用せず、暗号データを復号することができる。   According to the present invention, even when a legitimate user forgets the password, the encrypted data can be decrypted without using a special device.

本発明の実施形態に係る暗号鍵管理装置を含む暗号システムの構成の一例を示す図である。It is a figure which shows an example of a structure of the encryption system containing the encryption key management apparatus which concerns on embodiment of this invention. 暗号鍵管理装置によって管理される複数の暗号鍵の一例を示す図である。It is a figure which shows an example of the some encryption key managed by the encryption key management apparatus. 鍵暗号部による暗号鍵の生成フローの一例を示す図である。It is a figure which shows an example of the production | generation flow of the encryption key by a key encryption part. 暗号鍵管理装置におけるパスワードリセット処理の流れの一例を示す図である。It is a figure which shows an example of the flow of the password reset process in an encryption key management apparatus.

以下、本発明の実施形態に係る暗号鍵管理装置および暗号鍵管理方法について図面を参照しながら説明する。なお、実施形態を説明する全図において、共通の構成要素には同一の符号を付し、繰り返しの説明を省略する。   Hereinafter, an encryption key management apparatus and an encryption key management method according to embodiments of the present invention will be described with reference to the drawings. In all the drawings for explaining the embodiments, common constituent elements are denoted by the same reference numerals, and repeated explanation is omitted.

図1は、本発明の実施形態に係る暗号鍵管理装置を含む暗号システムの構成の一例を示す。
暗号システムは、ユーザ端末100と、管理者端末110と、暗号鍵管理装置120とを有する。ユーザ端末100と管理者端末110と暗号鍵管理装置120とは、ネットワーク130に接続されており、相互に通信することができる。
ユーザ端末100は、暗号データの所有者であるユーザによって使用される。ユーザ端末100は、CPU(Central Processing Unit)と、RAM(Random Access Memory)等で構成される主メモリと、ハードディスク等で構成される記憶装置と、デイスプレイやスピーカ等で構成される出力装置と、キーボードやマウス等で構成される入力装置とを有する。
ユーザ端末100の記憶装置には端末プログラムが格納されている。ユーザ端末100のCPUが記憶装置から端末プログラムを主メモリに読み出して実行することで、個人識別情報受付部101と、鍵復号部102と、暗号部103と、復号部104と、パスワードリセット要求部105との各部の機能が実現される。
個人識別情報受付部101は、ユーザによって入力される認証ID(Identifier)とパスワードを受け付け、それらを暗号鍵管理装置120に送信する。暗号鍵管理装置120は、認証に成功すると、暗号化済みユーザ鍵を返す。
鍵復号部102は、暗号鍵管理装置120から送信される暗号化済みユーザ鍵を復号し、ユーザ鍵を取得する。
暗号部103は、ユーザ鍵を用いて当該ユーザのデータを暗号化する。
復号部104は、ユーザ鍵を用いて暗号化された当該ユーザのデータを復号する。
パスワードリセット要求部105は、ユーザがパスワードを忘却した時やパスワードを更新する時に新しいパスワードを受け付け、そのパスワードを含むパスワードリセット要求情報を暗号鍵管理装置120に送信する。パスワードリセット要求部105の行う処理については後で図4を参照しながら説明する。
なお、ユーザ端末100は本発明の第1の端末の一例であり、ユーザ端末100を使用するユーザは本発明の第1のユーザの一例である。 FIG. 1 shows an example of the configuration of an encryption system including an encryption key management device according to an embodiment of the present invention.
The encryption system includes a user terminal 100, an administrator terminal 110, and an encryption key management device 120. The user terminal 100, the administrator terminal 110, and the encryption key management device 120 are connected to the network 130 and can communicate with each other.
The user terminal 100 is used by a user who is an owner of encrypted data. The user terminal 100 includes a CPU (Central Processing Unit), a main memory including a RAM (Random Access Memory), a storage device including a hard disk, an output device including a display and a speaker, And an input device including a keyboard and a mouse.
A terminal program is stored in the storage device of the user terminal 100. The CPU of the user terminal 100 reads the terminal program from the storage device into the main memory and executes it, so that the personal identification information receiving unit 101, the key decryption unit 102, the encryption unit 103, the decryption unit 104, and the password reset request unit The function of each part with 105 is realized.
The personal identification information receiving unit 101 receives an authentication ID (Identifier) and a password input by the user, and transmits them to the encryption key management apparatus 120. If the authentication is successful, the encryption key management device 120 returns the encrypted user key.
The key decryption unit 102 decrypts the encrypted user key transmitted from the encryption key management apparatus 120 and acquires the user key.
The encryption unit 103 encrypts the user data using the user key.
The decrypting unit 104 decrypts the user data encrypted using the user key.
The password reset request unit 105 receives a new password when the user forgets the password or updates the password, and transmits password reset request information including the password to the encryption key management apparatus 120. The processing performed by the password reset request unit 105 will be described later with reference to FIG.
The user terminal 100 is an example of the first terminal of the present invention, and the user who uses the user terminal 100 is an example of the first user of the present invention.

管理者端末110は、ユーザ側管理者によって使用される。ユーザ側管理者は、ユーザとは別のユーザであり、暗号鍵管理装置120の管理者(システム管理者)とは異なる。管理者端末110は、ユーザ端末100と同様に、CPUと、主メモリと、記憶装置と、出力装置と、入力装置とを有する。
なお、本暗号システムのユーザを複数のグループにグループ分けし、グループごとに異なるユーザ側管理者及び管理者端末110を置いてもよい。
管理者端末110の記憶装置には管理者端末プログラムが格納されている。管理者端末110のCPUが記憶装置から管理者端末プログラムを主メモリに読み出して実行することで、個人識別情報受付部101と、鍵復号部102と、暗号部103と、復号部104と、パスワードリセット承認部115との各部の機能が実現される。個人識別情報受付部101と鍵復号部102と暗号部103と復号部104はユーザ端末100のものと同一である。
パスワードリセット承認部115は、ユーザ側管理者がパスワードリセットを承認して自分のパスワードを入力すると、そのパスワードを含むパスワードリセット承認通知情報を暗号鍵管理装置120に送信する。パスワードリセット承認部115の行う処理については後で図4を参照しながら説明する。
なお、管理者端末110は本発明の第2の端末の一例であり、管理者端末110を使用するユーザ側管理者は本発明の第2のユーザの一例である。 The administrator terminal 110 is used by a user-side administrator. The user-side administrator is a user different from the user, and is different from the administrator (system administrator) of the encryption key management apparatus 120. Similarly to the user terminal 100, the administrator terminal 110 includes a CPU, a main memory, a storage device, an output device, and an input device.
Note that the users of this cryptographic system may be grouped into a plurality of groups, and a different user-side administrator and administrator terminal 110 may be placed for each group.
An administrator terminal program is stored in the storage device of the administrator terminal 110. The CPU of the administrator terminal 110 reads the administrator terminal program from the storage device into the main memory and executes it, so that the personal identification information receiving unit 101, the key decryption unit 102, the encryption unit 103, the decryption unit 104, and the password Functions of each unit with the reset approval unit 115 are realized. The personal identification information receiving unit 101, the key decryption unit 102, the encryption unit 103, and the decryption unit 104 are the same as those of the user terminal 100.
When the user-side administrator approves the password reset and inputs his / her password, the password reset approval unit 115 transmits password reset approval notification information including the password to the encryption key management device 120. The processing performed by the password reset approval unit 115 will be described later with reference to FIG.
The administrator terminal 110 is an example of the second terminal of the present invention, and the user-side administrator who uses the administrator terminal 110 is an example of the second user of the present invention.

暗号鍵管理装置120は、CPUと、RAM等で構成される主メモリと、ハードディスク等で構成される記憶装置とを有する。
暗号鍵管理装置120の記憶装置には暗号鍵管理プログラムと、ユーザ情報・鍵管理DB(データベース)125とが格納されている。暗号鍵管理装置120のCPUが記憶装置から暗号鍵管理プログラムを主メモリに読み出して実行することで、認証部121と、鍵暗号部122と、鍵送信部123と、パスワードリセット部124との各部の機能が実現される。
ユーザ情報・鍵管理DB(データベース)125は、図2に示すように、認証データ140と、暗号化済みユーザ鍵200と、暗号化済み管理ユーザ鍵210と、暗号化済み管理鍵220と、暗号化済みユーザパスワード鍵222とを格納する。
認証データ140は、パスワードを一方向関数等によって変換したものである。認証部121は、ユーザ端末100または管理者端末110から認証IDとパスワードを受信すると、受信したパスワードを認証データと同一の方法で変換し、変換されたパスワードが認証データと一致するか否かにより、正当なユーザか否かを判別する。
鍵暗号部122は、暗号化済みユーザ鍵200と、暗号化済み管理ユーザ鍵210と、暗号化済み管理鍵220と、暗号化済みユーザパスワード鍵222とを生成する。鍵暗号部122による暗号鍵の生成フローについては、後で詳細に説明する。
鍵送信部123は、認証部121によって正当なユーザであると認証されると、そのユーザの暗号化済みユーザ鍵200をユーザ情報・鍵管理DB125から読み出し、それをユーザ端末100に送信する。
パスワードリセット部124は、ユーザ端末100からパスワードリセット要求情報を受信すると、古いパスワードをリセットし、新しいパスワードを有効にする。パスワードリセット部124の行う処理については、後で図4を参照しながら説明する。
なお、ユーザ情報・鍵管理DB(データベース)125は本発明の鍵管理データベースの一例である。 The encryption key management device 120 has a CPU, a main memory composed of a RAM and the like, and a storage device composed of a hard disk and the like.
The storage device of the encryption key management device 120 stores an encryption key management program and a user information / key management DB (database) 125. The CPU of the encryption key management device 120 reads out the encryption key management program from the storage device to the main memory and executes it, so that each unit of the authentication unit 121, the key encryption unit 122, the key transmission unit 123, and the password reset unit 124 The function is realized.
As shown in FIG. 2, the user information / key management DB (database) 125 includes authentication data 140, an encrypted user key 200, an encrypted management user key 210, an encrypted management key 220, and an encryption key. Stored user password key 222 is stored.
The authentication data 140 is obtained by converting a password using a one-way function or the like. When the authentication unit 121 receives the authentication ID and password from the user terminal 100 or the administrator terminal 110, the authentication unit 121 converts the received password by the same method as the authentication data, and determines whether or not the converted password matches the authentication data. It is determined whether or not the user is a valid user.
The key encryption unit 122 generates an encrypted user key 200, an encrypted management user key 210, an encrypted management key 220, and an encrypted user password key 222. The encryption key generation flow by the key encryption unit 122 will be described in detail later.
When the authentication unit 121 authenticates the user as a valid user, the key transmission unit 123 reads the user's encrypted user key 200 from the user information / key management DB 125 and transmits it to the user terminal 100.
Upon receiving password reset request information from the user terminal 100, the password reset unit 124 resets the old password and validates the new password. The processing performed by the password reset unit 124 will be described later with reference to FIG.
The user information / key management DB (database) 125 is an example of the key management database of the present invention.

次に、図2に示す暗号化済みユーザ鍵200と、暗号化済み管理ユーザ鍵210と、暗号化済み管理鍵220と、暗号化済みユーザパスワード鍵222とについて詳細に説明する。
ユーザのパスワード鍵201は、ユーザのパスワードを一方向関数等で変換したものである。ユーザの認証データとユーザのパスワード鍵201は、異なる方法で変換されており、異なるものである。ユーザ鍵202は、ユーザのデータを暗号化・復号するための暗号鍵である。ユーザ鍵202は、乱数を利用して生成される。暗号化済みユーザ鍵200は、ユーザのパスワード鍵201を用いてユーザ鍵202を暗号化したものである。
管理者のパスワード鍵211は、ユーザ側管理者のパスワードを一方向関数等で変換したものである。ユーザ側管理者の認証データと管理者のパスワード鍵211も異なる方法で変換されており、異なるものである。管理者ユーザ鍵212は、ユーザ側管理者のデータを暗号化・復号するための暗号鍵である。管理者ユーザ鍵212は、乱数を利用して生成される。暗号化済み管理ユーザ鍵210は、管理者のパスワード鍵211を用いて管理者ユーザ鍵212を暗号化したものである。
管理鍵221は、乱数を利用して生成される。暗号化済み管理鍵220は、管理者のパスワード鍵211を用いて管理鍵221を暗号したものである。
暗号化済みユーザパスワード鍵222は、管理鍵221を用いてユーザのパスワード鍵201を暗号化したものである。
なお、暗号化されないままの状態の生のユーザのパスワード鍵201、ユーザ鍵202、管理者のパスワード鍵211、管理者ユーザ鍵212、管理鍵221は、いずれもユーザ情報・鍵管理DB125に保持されない。これによって、システム管理者の恣意、不正等によるパスワードや鍵の使用、操作を防止することができる。
また、ユーザ側管理者はユーザ情報・鍵管理DB125にアクセスできないため、管理者のパスワード鍵211を使用して、管理鍵221、ユーザのパスワード鍵201、ユーザ鍵202等を取り出すことはできない。
これによって、ユーザ、ユーザ側管理者、システム管理者は相互に独立性を保つことができ、システム全体として高いセキュリティレベルを保持することができる。 Next, the encrypted user key 200, the encrypted management user key 210, the encrypted management key 220, and the encrypted user password key 222 shown in FIG. 2 will be described in detail.
The user password key 201 is obtained by converting the user password by a one-way function or the like. The user authentication data and the user password key 201 are converted by different methods and are different. The user key 202 is an encryption key for encrypting / decrypting user data. The user key 202 is generated using a random number. The encrypted user key 200 is obtained by encrypting the user key 202 using the user password key 201.
The administrator password key 211 is obtained by converting the password of the user-side administrator using a one-way function or the like. The authentication data of the user side administrator and the password key 211 of the administrator are also converted by different methods and are different. The administrator user key 212 is an encryption key for encrypting / decrypting data on the user side administrator. The administrator user key 212 is generated using a random number. The encrypted management user key 210 is obtained by encrypting the administrator user key 212 using the administrator password key 211.
The management key 221 is generated using a random number. The encrypted management key 220 is obtained by encrypting the management key 221 using the administrator's password key 211.
The encrypted user password key 222 is obtained by encrypting the user password key 201 using the management key 221.
Note that none of the raw user password key 201, user key 202, administrator password key 211, administrator user key 212, and management key 221 is stored in the user information / key management DB 125 without being encrypted. . As a result, it is possible to prevent the use or operation of a password or key due to the arbitrary or unauthorized use of the system administrator.
Further, since the administrator on the user side cannot access the user information / key management DB 125, the management key 221, the user password key 201, the user key 202, etc. cannot be extracted using the administrator password key 211.
As a result, the user, the user-side administrator, and the system administrator can maintain independence from each other, and can maintain a high security level as a whole system.

図3は、鍵暗号部122による暗号鍵の生成フローの一例を示す図である。
(1)暗号化済みユーザ鍵200の生成
鍵暗号部122は、ユーザのパスワード301を一方向関数により変換し、ユーザのパスワード鍵201を生成する。また、鍵暗号部122は、乱数からユーザ鍵202を生成する。そして、鍵暗号部122は、ユーザのパスワード鍵201を用いてユーザ鍵202を暗号化することで暗号化済みユーザ鍵200を生成する。
鍵暗号部122は、生成された暗号化済みユーザ鍵200をユーザ情報・鍵管理DB125に登録する。 FIG. 3 is a diagram illustrating an example of an encryption key generation flow by the key encryption unit 122.
(1) Generation of Encrypted User Key 200 The key encryption unit 122 generates a user password key 201 by converting the user password 301 using a one-way function. The key encryption unit 122 generates the user key 202 from the random number. Then, the key encryption unit 122 generates the encrypted user key 200 by encrypting the user key 202 using the user password key 201.
The key encryption unit 122 registers the generated encrypted user key 200 in the user information / key management DB 125.

(2)暗号化済み管理ユーザ鍵210と暗号化済み管理鍵220の生成
鍵暗号部122は、管理者のパスワード302を一方向関数により変換し、管理者のパスワード鍵211を生成する。また、鍵暗号部122は、乱数から管理者ユーザ鍵212を生成する。そして、管理者のパスワード鍵211で管理者ユーザ鍵212を暗号化することで暗号化済み管理ユーザ鍵210を生成する。
このとき、同時に、鍵暗号部122は、乱数から管理鍵221を生成する。そして、鍵暗号部122は、管理者のパスワード鍵211で管理鍵221を暗号化することで、暗号化済み管理鍵220を生成する。
鍵暗号部122は、生成された暗号化済み管理ユーザ鍵210と暗号化済み管理鍵220をユーザ情報・鍵管理DB125に登録する。 (2) Generation of Encrypted Management User Key 210 and Encrypted Management Key 220 The key encryption unit 122 converts the administrator password 302 using a one-way function to generate the administrator password key 211. In addition, the key encryption unit 122 generates an administrator user key 212 from the random number. Then, by encrypting the administrator user key 212 with the administrator's password key 211, an encrypted management user key 210 is generated.
At the same time, the key encryption unit 122 generates the management key 221 from the random number. Then, the key encryption unit 122 generates the encrypted management key 220 by encrypting the management key 221 with the administrator's password key 211.
The key encryption unit 122 registers the generated encrypted management user key 210 and the encrypted management key 220 in the user information / key management DB 125.

(3)暗号化済みユーザパスワード鍵222の生成
鍵暗号部122は、管理鍵221を用いて、ユーザのパスワード鍵201を暗号化することで、暗号化済みユーザパスワード鍵222を生成する。
鍵暗号部122は、生成された暗号化済みユーザパスワード鍵222をユーザ情報・鍵管理DB125に登録する。 (3) Generation of Encrypted User Password Key 222 The key encryption unit 122 generates the encrypted user password key 222 by encrypting the user password key 201 using the management key 221.
The key encryption unit 122 registers the generated encrypted user password key 222 in the user information / key management DB 125.

次に、データ暗号化・復号処理について説明する。
データを暗号化または暗号データを復号するとき、ユーザは最初にユーザ端末100の入力部から認証IDとパスワードを入力する。ユーザ端末100の個人識別情報受付部101は、認証IDとパスワードを受け付けると、それらを暗号鍵管理装置120に送信する。
暗号鍵管理装置120の認証部121は、認証IDとパスワードを受信すると、受信したパスワードを認証データ140と同一の方法で変換し、変換されたパスワードが認証データ140と一致するか否かにより、正当なユーザか否かを判別する。
鍵送信部123は、認証部121が正当なユーザと判別した場合、ユーザ情報・鍵管理DB125に保存されている暗号化済みユーザ鍵200を取り出し、それをユーザ端末100に送信する。
ユーザ端末100の鍵復号部102は、暗号化済みユーザ鍵200を受信すると、パスワードから一方向関数でユーザのパスワード鍵201を生成し、暗号化済みユーザ鍵200をユーザのパスワード鍵201を用いて復号し、ユーザ鍵202を得る。
データの暗号化の場合、暗号部103は、ユーザ鍵202を用いて平文データを暗号化し、暗号データを得る。
一方、暗号データの復号の場合、復号部104は、ユーザ鍵202を用いて暗号データを復号し、平文データを得る。 Next, data encryption / decryption processing will be described.
When encrypting data or decrypting encrypted data, the user first inputs an authentication ID and password from the input unit of the user terminal 100. Upon receiving the authentication ID and password, the personal identification information receiving unit 101 of the user terminal 100 transmits them to the encryption key management device 120.
Upon receiving the authentication ID and password, the authentication unit 121 of the encryption key management apparatus 120 converts the received password by the same method as the authentication data 140, and whether or not the converted password matches the authentication data 140, It is determined whether or not the user is valid.
When the authentication unit 121 determines that the user is a valid user, the key transmission unit 123 extracts the encrypted user key 200 stored in the user information / key management DB 125 and transmits it to the user terminal 100.
When receiving the encrypted user key 200, the key decryption unit 102 of the user terminal 100 generates a user password key 201 from the password using a one-way function, and uses the user password key 201 for the encrypted user key 200. The user key 202 is obtained by decrypting.
In the case of data encryption, the encryption unit 103 encrypts plaintext data using the user key 202 to obtain encrypted data.
On the other hand, in the case of decrypting encrypted data, the decrypting unit 104 decrypts the encrypted data using the user key 202 to obtain plain text data.

図4は、暗号鍵管理装置120におけるパスワードリセット処理の流れの一例を示す。
パスワード更新時およびパスワード忘却時に、ユーザはユーザ端末100の入力装置を用いて新しいパスワードを入力する。ユーザ端末100のパスワードリセット要求部105は、新しいパスワードを受け付けると、そのパスワードを含むパスワードリセット要求情報を暗号鍵管理装置120に送信する。
暗号鍵管理装置120のパスワードリセット部124は、ユーザ端末100からパスワードリセット要求情報を受信する(S101)と、管理者端末110に、認証ID等のユーザを特定するユーザ特定情報を含むパスワードリセット承認要求情報を送信する(S102)。
管理者端末110のパスワードリセット承認部115は、暗号鍵管理装置120から送信されたパスワードリセット承認要求情報を受信すると、ユーザ特定情報で特定されるユーザのパスワードリセットを承認するか否かを問い合わせる問合せ情報を出力装置に表示等する。ユーザ側管理者がパスワードリセットを承認して管理者のパスワード302を入力すると、パスワードリセット承認部115は、管理者のパスワード302を含むパスワードリセット承認通知情報を暗号鍵管理装置120に送信する。
暗号鍵管理装置120のパスワードリセット部124は、管理者端末110からパスワードリセット承認通知情報を受信する(S103)と、鍵暗号部122に管理者のパスワード302を渡して、暗号化済みユーザ鍵200と暗号化済みユーザパスワード鍵222を生成し直すことを要求する(S104)。 FIG. 4 shows an example of the flow of password reset processing in the encryption key management apparatus 120.
When updating the password or forgetting the password, the user inputs a new password using the input device of the user terminal 100. When the password reset request unit 105 of the user terminal 100 accepts a new password, the password reset request unit 105 transmits password reset request information including the password to the encryption key management apparatus 120.
When the password reset unit 124 of the encryption key management device 120 receives the password reset request information from the user terminal 100 (S101), the password reset approval including the user identification information for identifying the user such as the authentication ID is given to the administrator terminal 110. Request information is transmitted (S102).
When the password reset approval unit 115 of the administrator terminal 110 receives the password reset approval request information transmitted from the encryption key management device 120, the inquiry for inquiring whether to approve the password reset of the user specified by the user specifying information. Information is displayed on an output device. When the user-side administrator approves the password reset and inputs the administrator password 302, the password reset approval unit 115 transmits password reset approval notification information including the administrator password 302 to the encryption key management device 120.
When the password reset unit 124 of the encryption key management device 120 receives the password reset approval notification information from the administrator terminal 110 (S103), the password reset unit 124 passes the administrator password 302 to the key encryption unit 122 and the encrypted user key 200. And requesting to regenerate the encrypted user password key 222 (S104).

パスワードリセット部124から要求を受けると、鍵暗号部122は、パスワードリセット承認通知情報に含まれる管理者のパスワード302を一方向関数により変換し、管理者のパスワード鍵211を生成する(S105)。次に、鍵暗号部122は、暗号化済み管理鍵220をユーザ情報・鍵管理DB125から読み出し、管理者のパスワード鍵211を用いてそれを復号し、管理鍵221を取得する(S106)。そして、鍵暗号部122は、暗号化済みユーザパスワード鍵222をユーザ情報・鍵管理DB125から読み出し、管理鍵221を用いてそれを復号し、ユーザのパスワード鍵201を取得する(S107)。なお、パスワード更新の場合、鍵暗号部122は、認証部121が認証に使用したユーザのパスワード301を一方向関数により変換し、ユーザのパスワード鍵201を生成してもよい。
そして、鍵暗号部122は、暗号化済みユーザ鍵200をユーザ情報・鍵管理DB125から読み出し、ユーザのパスワード鍵201を用いてそれを復号し、ユーザ鍵202を取得する(S108)。 Upon receiving the request from the password reset unit 124, the key encryption unit 122 converts the administrator password 302 included in the password reset approval notification information using a one-way function, and generates the administrator password key 211 (S105). Next, the key encryption unit 122 reads the encrypted management key 220 from the user information / key management DB 125, decrypts it using the administrator's password key 211, and obtains the management key 221 (S106). Then, the key encryption unit 122 reads the encrypted user password key 222 from the user information / key management DB 125, decrypts it using the management key 221, and obtains the user password key 201 (S107). In the case of password update, the key encryption unit 122 may generate the user password key 201 by converting the user password 301 used for authentication by the authentication unit 121 using a one-way function.
The key encryption unit 122 reads the encrypted user key 200 from the user information / key management DB 125, decrypts it using the user's password key 201, and obtains the user key 202 (S108).

次に、鍵暗号部122は、パスワードリセット要求情報に含まれる新しいユーザのパスワード301を一方向関数により変換し、新しいユーザのパスワード鍵201を生成する(S109)。そして、鍵暗号部122は、新しいユーザのパスワード鍵201を用いてステップS108で取得したユーザ鍵202を暗号化して新しい暗号化済みユーザ鍵200を生成し、ユーザ情報・鍵管理DB125の暗号化済みユーザ鍵200を新しい暗号化済みユーザ鍵200で更新する(S110)。
同時に、鍵暗号部122は、ステップS106で取得した管理鍵201を用いて、ステップS109で生成した新しいユーザのパスワード鍵201を暗号化して新しい暗号化済みユーザパスワード鍵222を生成し、ユーザ情報・鍵管理DB125の暗号化済みユーザパスワード鍵222を新しい暗号化済みユーザパスワード鍵222で更新する(S111)。 Next, the key encryption unit 122 converts the new user password 301 included in the password reset request information by a one-way function, and generates a new user password key 201 (S109). Then, the key encryption unit 122 generates a new encrypted user key 200 by encrypting the user key 202 acquired in step S108 using the password key 201 of the new user, and the user information / key management DB 125 has already been encrypted. The user key 200 is updated with the new encrypted user key 200 (S110).
At the same time, the key encryption unit 122 encrypts the new user password key 201 generated in step S109 by using the management key 201 acquired in step S106 to generate a new encrypted user password key 222. The encrypted user password key 222 of the key management DB 125 is updated with the new encrypted user password key 222 (S111).

なお、ステップS101は本発明のパスワードリセット要求受信手段によって実現されるパスワードリセット要求受信ステップの一例であり、ステップS102は本発明のパスワードリセット承認要求情報送信手段によって実現されるパスワードリセット承認要求情報送信ステップの一例であり、ステップS103とS105は本発明の第2のユーザのパスワード鍵生成手段によって実現される第2のユーザのパスワード鍵生成ステップの一例であり、ステップS106とS107は本発明の第1のユーザのパスワード鍵取得手段によって実現される第1のユーザのパスワード鍵取得ステップの一例であり、ステップS108は本発明のユーザ鍵取得手段によって実現されるユーザ鍵取得ステップの一例であり、ステップS109は本発明の第1のユーザのパスワード鍵生成手段によって実現される第1のユーザのパスワード鍵生成ステップの一例であり、ステップS110は本発明の暗号化済みユーザ鍵更新手段によって実現される暗号化済みユーザ鍵更新ステップの一例であり、ステップS111は本発明の暗号化済みユーザパスワード鍵更新手段によって実現される暗号化済みユーザパスワード鍵更新ステップの一例である。   Step S101 is an example of a password reset request receiving step realized by the password reset request receiving means of the present invention, and step S102 is a password reset approval request information transmission realized by the password reset approval request information transmitting means of the present invention. Steps S103 and S105 are examples of the second user password key generation step realized by the second user password key generation means of the present invention, and steps S106 and S107 are steps of the present invention. 1 is an example of a first user password key acquisition step realized by a user password key acquisition means, and step S108 is an example of a user key acquisition step realized by a user key acquisition means of the present invention. S109 of the present invention FIG. 11 is an example of a first user password key generation step realized by one user password key generation unit, and step S110 is an encrypted user key update step realized by the encrypted user key update unit of the present invention. Step S111 is an example of an encrypted user password key update step realized by the encrypted user password key update means of the present invention.

また、ユーザ側管理者もユーザの一人である。管理者端末110にパスワードリセット要求部105を付加し、ユーザ側管理者(以下、第1のユーザ側管理者という。)とは別のユーザ側管理者である第2のユーザ側管理者を設ける。そして、第1のユーザ側管理者と第2のユーザ側管理者をそれぞれユーザとユーザ側管理者みなして、上述したパスワードリセット処理を行うことにより、第1のユーザ側管理者のパスワード(管理者のパスワード302)をリセットすることも可能である。
ただし、この場合、元々のユーザのパスワード鍵201を取得するために必要な管理鍵221(以下、ユーザ管理鍵という。)も、第1のユーザ側管理者が忘却等により失った管理者のパスワード302から変換された管理者のパスワード鍵211によって暗号化済み管理鍵220(以下、第1のユーザ側管理者の暗号化済み管理鍵220という。)として暗号化されている。このため、第1のユーザ側管理者の暗号化済み管理鍵220も生成し直す必要がある。 The user side administrator is also one of the users. A password reset request unit 105 is added to the administrator terminal 110 to provide a second user-side administrator who is a user-side administrator different from the user-side administrator (hereinafter referred to as the first user-side administrator). . Then, the first user-side administrator and the second user-side administrator are regarded as the user and the user-side administrator, respectively, and the password (administrator) of the first user-side administrator is performed by performing the password reset process described above. It is also possible to reset the password 302).
However, in this case, the management key 221 (hereinafter referred to as the user management key) necessary for acquiring the original user password key 201 is also the password of the administrator lost by the first user administrator due to forgetting or the like. The encrypted management key 220 (hereinafter referred to as the first user-side administrator's encrypted management key 220) is encrypted by the administrator's password key 211 converted from 302. For this reason, it is also necessary to regenerate the encrypted management key 220 of the first user side administrator.

このために、例えば、ユーザ情報・鍵管理DB125に、第2のユーザ側管理者の使用する管理者のパスワード鍵211(以下、第2のユーザ側管理者のパスワード鍵211という。)を用いてユーザ管理鍵が暗号化された暗号化済み管理鍵(以下、第2のユーザ側管理者の暗号化済みユーザ管理鍵という。)も事前に保持しておく。すなわち、ユーザ情報・鍵管理DB125に、ユーザ管理鍵が暗号化されたものとして、第1のユーザ側管理者の暗号化済み管理鍵220と第2のユーザ側管理者の暗号化済みユーザ管理鍵を2重に保存する。
そして、鍵暗号部122は、上述したステップS105で生成した第2のユーザ側管理者のパスワード鍵211を用いて第2のユーザ側管理者の暗号化済みユーザ管理鍵を復号してユーザ管理鍵を取得する。次に、鍵暗号部122は、新しい管理者(この場合、第1のユーザ側管理者)のパスワード鍵211を用いてユーザ管理鍵を暗号化し直して新しい第1のユーザ側管理者の暗号化済み管理鍵220を生成し直す。そして、鍵暗号部122は、ユーザ情報・鍵管理DB125に登録されている第1のユーザ側管理者の暗号化済み管理鍵220を、生成された第1のユーザ側管理者の暗号化済み管理鍵220で更新する。 For this purpose, for example, the administrator's password key 211 used by the second user-side administrator (hereinafter referred to as the second user-side administrator's password key 211) is used in the user information / key management DB 125. An encrypted management key obtained by encrypting the user management key (hereinafter referred to as an encrypted user management key of the second user-side administrator) is also held in advance. That is, it is assumed that the user management key is encrypted in the user information / key management DB 125, and the encrypted user management key 220 of the first user side administrator and the encrypted user management key of the second user side administrator are stored. Is stored twice.
Then, the key encryption unit 122 decrypts the encrypted user management key of the second user-side administrator by using the password key 211 of the second user-side administrator generated in step S105 described above, and the user management key To get. Next, the key encryption unit 122 re-encrypts the user management key using the password key 211 of the new administrator (in this case, the first user-side administrator) and encrypts the new first user-side administrator. The generated management key 220 is regenerated. Then, the key encryption unit 122 generates the encrypted management key 220 of the first user-side administrator generated by the first user-side administrator registered in the user information / key management DB 125. Update with key 220.

また、上記とは別の方法で第1のユーザ側管理者の暗号化済み管理鍵220を生成し直すことができる。すなわち、鍵暗号部122は、第1のユーザ側管理者と第2のユーザ側管理者をそれぞれユーザとユーザ側管理者とみなしてパスワードリセット処理を行うことにより、ステップS107でユーザのパスワード鍵201を取得する。このユーザのパスワード鍵201は、第1のユーザ側管理者の使用する管理者のパスワード鍵211(以下、第1のユーザ側管理者のパスワード鍵211という。)である。従って、鍵暗号部122は、これを用いて第1のユーザ側管理者の暗号化済み管理鍵220を復号し、ユーザ管理鍵を取得することができる。以下、上記と同様にして、鍵暗号部122は、新しい第1のユーザ側管理者の暗号化済み管理鍵220を生成し直し、ユーザ情報・鍵管理DB125に登録されている第1のユーザ側管理者の暗号化済み管理鍵220を更新する。   Further, the encrypted management key 220 of the first user side administrator can be regenerated by a method different from the above. That is, the key encryption unit 122 performs the password reset process by regarding the first user-side administrator and the second user-side administrator as the user and the user-side administrator, respectively, and thereby the user password key 201 in step S107. To get. The user password key 201 is an administrator password key 211 (hereinafter referred to as a first user administrator password key 211) used by the first user administrator. Therefore, the key encryption unit 122 can use this to decrypt the encrypted management key 220 of the first user-side administrator and acquire the user management key. Thereafter, in the same manner as described above, the key encryption unit 122 regenerates the encrypted first management key 220 of the first user-side administrator, and the first user side registered in the user information / key management DB 125 The administrator's encrypted management key 220 is updated.

なお、ユーザ側管理者が自らのパスワードを忘却した場合でなくても、長期間継続して同じパスワードを用いているとパスワード漏えいのリスクが高まるため、定期的に(例えば数ヶ月に1回)管理者パスワードを更新する、という運用形態を採ることもありうる。
ただしこの場合は、管理者は変更前のパスワードを覚えているため、第2の管理者を設定しなくても、例えば管理者端末110から新旧の管理者パスワードを暗号鍵管理装置120に送信すれば、変更前の管理者のパスワード鍵211を用いて管理鍵221を復号できる。
なお、管理鍵221を全く使用せずに、ユーザのパスワード鍵201を管理者のパスワード鍵211を用いて直接暗号化したものをユーザ情報・鍵管理DB125に保存する、という構成としてもよい。
ただし、上記のように、管理者のパスワード鍵211の変更が定期的に発生しうる運用形態の場合、全ユーザの暗号化済みユーザパスワード鍵222を変更前の管理者のパスワード鍵211で復号し、変更後の管理者のパスワード鍵211で再暗号化する、というオーバヘッドがその都度発生する。この点、管理鍵221を変更することは、通常の運用では予定されていないので、管理鍵221を用いてユーザのパスワード鍵201を暗号化しておけば、全ユーザの暗号化済みユーザパスワード鍵222に対して一斉に復号、再暗号化を行う、というような余分なオーバヘッドは発生しない。 Even if the administrator on the user's side forgets his / her password, using the same password for a long time increases the risk of password leakage, so regularly (for example, once every few months) It is possible to adopt an operation mode in which the administrator password is updated.
However, in this case, since the administrator remembers the password before the change, for example, the new and old administrator passwords can be transmitted from the administrator terminal 110 to the encryption key management device 120 without setting the second administrator. For example, the management key 221 can be decrypted using the password key 211 of the administrator before the change.
A configuration in which the user password key 201 directly encrypted using the administrator password key 211 is stored in the user information / key management DB 125 without using the management key 221 at all is also possible.
However, as described above, in an operation mode in which the administrator password key 211 can be changed periodically, the encrypted user password key 222 of all users is decrypted with the administrator password key 211 before the change. Then, the overhead of re-encrypting with the changed administrator password key 211 occurs each time. In this regard, since changing the management key 221 is not planned in normal operation, if the user password key 201 is encrypted using the management key 221, the encrypted user password key 222 for all users is encrypted. There is no extra overhead such as simultaneous decryption and re-encryption.

また、上述した実施形態では、鍵暗号部122はユーザのパスワード301を一方向関数により変換し、ユーザのパスワード鍵201を生成するとしたが、鍵暗号部122はユーザのパスワード301を暗号化により変換してユーザのパスワード鍵201を生成してもよい。同様に、鍵暗号部122は、管理者のパスワード302を暗号化により変換して管理者のパスワード鍵211を生成してもよい。   In the above-described embodiment, the key encryption unit 122 converts the user password 301 by a one-way function to generate the user password key 201. However, the key encryption unit 122 converts the user password 301 by encryption. Thus, the user password key 201 may be generated. Similarly, the key encryption unit 122 may generate the administrator password key 211 by converting the administrator password 302 by encryption.

以上説明したように、本発明によれば、正当なユーザは、パスワードを忘却しても、特段のデバイスを利用せずに、そのパスワードをリセットし、新しいパスワードを用いてユーザ鍵を取り出し、暗号データの復号、平文データの暗号化を行うことが可能になる。
また、パスワードの更新に際しては必ずユーザ側管理者の承認を必要とすることにより、不正なユーザからのパスワード更新要求、及びシステム管理者の恣意等によるパスワード更新を排除できる。
更に、ユーザ側管理者はユーザ情報・鍵管理DB125にアクセスできないようにしたため、ユーザ側管理者自身もユーザ鍵等を使用することができない。
従って、本発明によれば、第三者からの不正アクセス等防止のみならず、内部者であるユーザ、ユーザ側管理者、システム管理者相互間の関係においても独立性を保つことができ、結果として、高いセキュリティレベルを保持した状態で、ユーザパスワードの更新が実現できる。 As described above, according to the present invention, even if a valid user forgets the password, the password is reset without using a special device, the user key is extracted using the new password, and the encryption is performed. Data decryption and plaintext data encryption can be performed.
In addition, when the password is always updated, the approval of the user-side administrator is required, so that the password update request from an unauthorized user and the password update due to the system administrator's allegation can be eliminated.
Furthermore, since the user-side administrator cannot access the user information / key management DB 125, the user-side administrator cannot use the user key or the like.
Therefore, according to the present invention, it is possible not only to prevent unauthorized access from a third party, but also to maintain independence in the relationship among users who are insiders, user-side administrators, and system administrators. As a result, the user password can be updated while maintaining a high security level.

100…ユーザ端末、101…個人識別情報受付部、102…鍵復号部、103…暗号部、104…復号部、105…パスワードリセット要求部、110…管理者端末、115…パスワードリセット承認部、120…暗号鍵管理装置、121…認証部、122…鍵暗号部、123…鍵送信部、124…パスワードリセット部、125…ユーザ情報・鍵管理DB(データベース)、130…ネットワーク、140…認証データ、200…暗号化済みユーザ鍵、201…ユーザのパスワード鍵、202…ユーザ鍵、210…暗号化済み管理ユーザ鍵、211…管理者のパスワード鍵、212…管理者ユーザ鍵、220…暗号化済み管理鍵、221…管理鍵、222…暗号化済みユーザパスワード鍵   DESCRIPTION OF SYMBOLS 100 ... User terminal, 101 ... Personal identification information reception part, 102 ... Key decryption part, 103 ... Encryption part, 104 ... Decryption part, 105 ... Password reset request part, 110 ... Administrator terminal, 115 ... Password reset approval part, 120 DESCRIPTION OF SYMBOLS ... Encryption key management apparatus 121 ... Authentication part 122 ... Key encryption part 123 ... Key transmission part 124 ... Password reset part 125 ... User information and key management DB (database), 130 ... Network, 140 ... Authentication data, 200 ... encrypted user key 201 ... user password key 202 ... user key 210 ... encrypted management user key 211 ... administrator password key 212 ... administrator user key 220 ... encrypted management Key, 221 ... management key, 222 ... encrypted user password key

Claims (3)

第1のユーザのパスワードから変換された第1のユーザのパスワード鍵を用いて前記第1のユーザのデータの暗号化および暗号化されたデータの復号に用いられるユーザ鍵が暗号化された暗号化済みユーザ鍵と、第2のユーザのパスワードから変換された第2のユーザのパスワード鍵を用いて前記第1のユーザのパスワード鍵が暗号化された暗号化済みユーザパスワード鍵とを格納する鍵管理データベースと、
第1の端末から、新しい前記第1のユーザのパスワードを含むパスワードリセット要求情報を受信するパスワードリセット要求受信手段と、
前記パスワードリセット要求受信手段がパスワードリセット要求情報を受信すると、当該パスワードリセット要求情報を送信した前記第1のユーザを特定するユーザ特定情報を含むパスワードリセット承認要求情報を第2の端末に送信するパスワードリセット承認要求情報送信手段と、
前記第2の端末から、第2のユーザのパスワードを含むパスワードリセット承認通知情報を受信すると、当該パスワードリセット承認通知情報に含まれる第2のユーザのパスワードを変換し、前記第2のユーザのパスワード鍵を生成する第2のユーザのパスワード鍵生成手段と、
前記鍵管理データベースから前記暗号化済みユーザパスワード鍵を読み出し、前記第2のユーザのパスワード鍵生成手段によって生成された第2のユーザのパスワード鍵を用いて、読み出した前記暗号化済みユーザパスワード鍵を復号し、前記第1のユーザのパスワード鍵を取得する第1のユーザのパスワード鍵取得手段と、
前記鍵管理データベースから前記暗号化済みユーザ鍵を読み出し、前記第1のユーザのパスワード鍵取得手段によって取得された第1のユーザのパスワード鍵を用いて、読み出した前記暗号化済みユーザ鍵を復号し、前記ユーザ鍵を取得するユーザ鍵取得手段と、
前記パスワードリセット要求受信手段によって受信されたパスワードリセット要求情報に含まれる第1のユーザのパスワードを変換し、新しい第1のユーザのパスワード鍵を生成する第1のユーザのパスワード鍵生成手段と、
前記第1のユーザのパスワード鍵生成手段によって生成された第1のユーザのパスワード鍵を用いて、前記ユーザ鍵取得手段によって取得されたユーザ鍵を暗号化して新しい暗号化済みユーザ鍵を生成し、前記鍵管理データベースに格納されている暗号化済みユーザ鍵を当該新しい暗号化済みユーザ鍵で更新する暗号化済みユーザ鍵更新手段と、
前記第2のユーザのパスワード鍵生成手段によって生成された第2のユーザのパスワード鍵を用いて、前記第1のユーザのパスワード鍵生成手段によって生成された第1のユーザのパスワード鍵を暗号化して新しい暗号化済みユーザパスワード鍵を生成し、前記鍵管理データベースに格納されている暗号化済みユーザパスワード鍵を当該新しい暗号化済みユーザパスワード鍵で更新する暗号化済みユーザパスワード鍵更新手段と、
を備えることを特徴とする暗号鍵管理装置。 Encryption in which a user key used for encrypting the data of the first user and decrypting the encrypted data is encrypted using the password key of the first user converted from the password of the first user. Management for storing a stored user key and an encrypted user password key obtained by encrypting the password key of the first user using the password key of the second user converted from the password of the second user A database,
Password reset request receiving means for receiving password reset request information including a new password of the first user from the first terminal;
When the password reset request receiving means receives the password reset request information, the password for transmitting the password reset approval request information including the user specifying information for specifying the first user who has transmitted the password reset request information to the second terminal Reset approval request information transmission means;
When password reset approval notification information including the password of the second user is received from the second terminal, the password of the second user included in the password reset approval notification information is converted, and the password of the second user is converted. A second user password key generating means for generating a key;
The encrypted user password key is read from the key management database, and the read encrypted user password key is read using the second user password key generated by the second user password key generation means. First user password key obtaining means for decrypting and obtaining the first user password key;
The encrypted user key is read from the key management database, and the read encrypted user key is decrypted by using the first user password key acquired by the first user password key acquisition means. User key acquisition means for acquiring the user key;
A first user password key generation unit that converts a password of the first user included in the password reset request information received by the password reset request reception unit and generates a new first user password key;
Using the first user password key generated by the first user password key generating means to encrypt the user key acquired by the user key acquiring means to generate a new encrypted user key; An encrypted user key update means for updating the encrypted user key stored in the key management database with the new encrypted user key;
Using the second user password key generated by the second user password key generation means, the first user password key generated by the first user password key generation means is encrypted. An encrypted user password key update means for generating a new encrypted user password key and updating the encrypted user password key stored in the key management database with the new encrypted user password key;
An encryption key management device comprising: 前記鍵管理データベースが、前記第2のユーザのパスワード鍵を用いて管理鍵が暗号化された暗号化済み管理鍵を格納しており、
前記鍵管理データベースに格納されている暗号化済みユーザパスワード鍵が、前記管理鍵を用いて暗号化されており、
前記第1のユーザのパスワード鍵取得手段が、前記鍵管理データベースから前記暗号化済み管理鍵を読み出し、前記第2のユーザのパスワード鍵生成手段によって生成された第2のユーザのパスワード鍵を用いて、読み出した前記暗号化済み管理鍵を復号して管理鍵を取得し、前記鍵管理データベースから前記暗号化済みユーザパスワード鍵を読み出し、前記取得した管理鍵を用いて読み出した前記暗号化済みユーザパスワード鍵を復号して前記第1のユーザのパスワード鍵を取得し、
前記暗号化済みユーザパスワード鍵更新手段が、前記第1のユーザのパスワード鍵取得手段によって第2のユーザのパスワード鍵を用いて取得された管理鍵を用いて、前記第1のユーザのパスワード鍵生成手段によって生成された第1のユーザのパスワード鍵を暗号化して新しい暗号化済みユーザパスワード鍵を生成する、
ことを特徴とする請求項1に記載の暗号鍵管理装置。 The key management database stores an encrypted management key obtained by encrypting a management key using the password key of the second user;
The encrypted user password key stored in the key management database is encrypted using the management key,
The first user's password key acquisition means reads the encrypted management key from the key management database, and uses the second user's password key generated by the second user's password key generation means. Decrypting the read encrypted management key to obtain a management key, reading the encrypted user password key from the key management database, and reading the encrypted user password using the obtained management key Decrypting the key to obtain the password key of the first user;
The encrypted user password key update means generates the first user password key using the management key obtained by using the second user password key by the first user password key obtaining means. Encrypting the first user's password key generated by the means to generate a new encrypted user password key;
The encryption key management apparatus according to claim 1. 第1のユーザのパスワードから変換された第1のユーザのパスワード鍵を用いて前記第1のユーザのデータの暗号化および暗号化されたデータの復号に用いられるユーザ鍵が暗号化された暗号化済みユーザ鍵と、第2のユーザのパスワードから変換された第2のユーザのパスワード鍵を用いて前記第1のユーザのパスワード鍵が暗号化された暗号化済みユーザパスワード鍵とを格納する鍵管理データベースを有する暗号鍵管理装置における暗号鍵管理方法であって、
第1の端末から、新しい前記第1のユーザのパスワードを含むパスワードリセット要求情報を受信するパスワードリセット要求受信ステップと、
前記パスワードリセット要求情報を受信すると、当該パスワードリセット要求情報を送信した前記第1のユーザを特定するユーザ特定情報を含むパスワードリセット承認要求情報を第2の端末に送信するパスワードリセット承認要求情報送信ステップと、
前記第2の端末から、第2のユーザのパスワードを含むパスワードリセット承認通知情報を受信すると、当該パスワードリセット承認通知情報に含まれる第2のユーザのパスワードを変換し、前記第2のユーザのパスワード鍵を生成する第2のユーザのパスワード鍵生成ステップと、
前記鍵管理データベースから前記暗号化済みユーザパスワード鍵を読み出し、前記第2のユーザのパスワード鍵生成ステップにおいて生成された第2のユーザのパスワード鍵を用いて、読み出した前記暗号化済みユーザパスワード鍵を復号し、前記第1のユーザのパスワード鍵を取得する第1のユーザのパスワード鍵取得ステップと、
前記鍵管理データベースから前記暗号化済みユーザ鍵を読み出し、前記第1のユーザのパスワード鍵取得ステップにおいて取得された第1のユーザのパスワード鍵を用いて、読み出した前記暗号化済みユーザ鍵を復号し、前記ユーザ鍵を取得するユーザ鍵取得ステップと、
前記パスワードリセット要求受信ステップにおいて受信されたパスワードリセット要求情報に含まれる第1のユーザのパスワードを変換し、新しい第1のユーザのパスワード鍵を生成する第1のユーザのパスワード鍵生成ステップと、
前記第1のユーザのパスワード鍵生成ステップにおいて生成された第1のユーザのパスワード鍵を用いて、前記ユーザ鍵取得ステップにおいて取得されたユーザ鍵を暗号化して新しい暗号化済みユーザ鍵を生成し、前記鍵管理データベースに格納されている暗号化済みユーザ鍵を当該新しい暗号化済みユーザ鍵で更新する暗号化済みユーザ鍵更新ステップと、
前記第2のユーザのパスワード鍵生成ステップにおいて生成された第2のユーザのパスワード鍵を用いて、前記第1のユーザのパスワード鍵生成ステップにおいて生成された第1のユーザのパスワード鍵を暗号化して新しい暗号化済みユーザパスワード鍵を生成し、前記鍵管理データベースに格納されている暗号化済みユーザパスワード鍵を当該新しい暗号化済みユーザパスワード鍵で更新する暗号化済みユーザパスワード鍵更新ステップと、
を備えることを特徴とする暗号鍵管理方法。 Encryption in which a user key used for encrypting the data of the first user and decrypting the encrypted data is encrypted using the password key of the first user converted from the password of the first user. Management for storing a stored user key and an encrypted user password key obtained by encrypting the password key of the first user using the password key of the second user converted from the password of the second user An encryption key management method in an encryption key management apparatus having a database,
A password reset request receiving step of receiving password reset request information including a new password of the first user from the first terminal;
Upon receiving the password reset request information, a password reset approval request information transmission step of transmitting to the second terminal password reset approval request information including user specifying information for specifying the first user who has transmitted the password reset request information When,
When password reset approval notification information including the password of the second user is received from the second terminal, the password of the second user included in the password reset approval notification information is converted, and the password of the second user is converted. A second user password key generating step for generating a key;
The encrypted user password key is read from the key management database, and the read encrypted user password key is read using the second user password key generated in the second user password key generation step. A first user password key obtaining step of decrypting and obtaining the first user password key;
The encrypted user key is read from the key management database, and the read encrypted user key is decrypted using the first user password key acquired in the first user password key acquisition step. , A user key obtaining step for obtaining the user key;
A first user password key generating step of converting a password of the first user included in the password reset request information received in the password reset request receiving step and generating a new first user password key;
Using the first user password key generated in the first user password key generation step to generate a new encrypted user key by encrypting the user key acquired in the user key acquisition step; An encrypted user key update step of updating the encrypted user key stored in the key management database with the new encrypted user key;
The first user password key generated in the first user password key generation step is encrypted using the second user password key generated in the second user password key generation step. An encrypted user password key update step of generating a new encrypted user password key and updating the encrypted user password key stored in the key management database with the new encrypted user password key;
An encryption key management method comprising:
JP2014122608A 2014-06-13 2014-06-13 Encryption key management apparatus and encryption key management method Active JP6092159B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2014122608A JP6092159B2 (en) 2014-06-13 2014-06-13 Encryption key management apparatus and encryption key management method
PCT/JP2014/083099 WO2015190014A1 (en) 2014-06-13 2014-12-15 Encryption key management device and encryption key management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014122608A JP6092159B2 (en) 2014-06-13 2014-06-13 Encryption key management apparatus and encryption key management method

Publications (2)

Publication Number Publication Date
JP2016005031A true JP2016005031A (en) 2016-01-12
JP6092159B2 JP6092159B2 (en) 2017-03-08

Family

ID=54833134

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014122608A Active JP6092159B2 (en) 2014-06-13 2014-06-13 Encryption key management apparatus and encryption key management method

Country Status (2)

Country Link
JP (1) JP6092159B2 (en)
WO (1) WO2015190014A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11212922A (en) * 1998-01-22 1999-08-06 Hitachi Ltd Password management and recovery system
US20030182584A1 (en) * 2002-03-22 2003-09-25 John Banes Systems and methods for setting and resetting a password
JP2004201038A (en) * 2002-12-18 2004-07-15 Internatl Business Mach Corp <Ibm> Data storage device, information processing apparatus mounted therewith, and data processing method and program thereof
JP2008148095A (en) * 2006-12-12 2008-06-26 Buffalo Inc Storage device and user authentication method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11212922A (en) * 1998-01-22 1999-08-06 Hitachi Ltd Password management and recovery system
US20030182584A1 (en) * 2002-03-22 2003-09-25 John Banes Systems and methods for setting and resetting a password
JP2004201038A (en) * 2002-12-18 2004-07-15 Internatl Business Mach Corp <Ibm> Data storage device, information processing apparatus mounted therewith, and data processing method and program thereof
JP2008148095A (en) * 2006-12-12 2008-06-26 Buffalo Inc Storage device and user authentication method

Also Published As

Publication number Publication date
WO2015190014A1 (en) 2015-12-17
JP6092159B2 (en) 2017-03-08

Similar Documents

Publication Publication Date Title
CN106104562B (en) System and method for securely storing and recovering confidential data
CN1939028B (en) Accessing protected data on network storage from multiple devices
US8423764B2 (en) Method and apparatus for key revocation in an attribute-based encryption scheme
US10469253B2 (en) Methods and apparatus for migrating keys
JP5670272B2 (en) Information processing apparatus, server apparatus, and program
WO2021076868A1 (en) Systems and methods for re-using cold storage keys
JP6426520B2 (en) Encryption key management system and encryption key management method
CN101924739A (en) Method for encrypting, storing and retrieving software certificate and private key
CN100514333C (en) Data base safety access method and system
JP4794970B2 (en) Secret information protection method and communication apparatus
JP2017108237A (en) System, terminal device, control method and program
KR102053993B1 (en) Method for Authenticating by using Certificate
CN113282945B (en) Intelligent lock authority management method and device, electronic equipment and storage medium
CN106790185B (en) CP-ABE-based method and device for safely accessing authority dynamic update centralized information
JP6092159B2 (en) Encryption key management apparatus and encryption key management method
CN113779629A (en) Key file sharing method and device, processor chip and server
CN108345801B (en) Ciphertext database-oriented middleware dynamic user authentication method and system
JP6293617B2 (en) Authentication control system, control server, authentication control method, program
JP6165044B2 (en) User authentication apparatus, system, method and program
KR20200067987A (en) Method of login control
CN114726544B (en) Method and system for acquiring digital certificate
JP6470006B2 (en) Shared authentication information update system
KR101449680B1 (en) Method and Server for user authentication
JP5739078B1 (en) Server apparatus, communication method, and program
JP2017079421A (en) Information distribution system, information distribution device, information distribution method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170104

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170208

R150 Certificate of patent or registration of utility model

Ref document number: 6092159

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250