JP2016192715A - Encryption key management system and encryption key management method - Google Patents
Encryption key management system and encryption key management method Download PDFInfo
- Publication number
- JP2016192715A JP2016192715A JP2015072484A JP2015072484A JP2016192715A JP 2016192715 A JP2016192715 A JP 2016192715A JP 2015072484 A JP2015072484 A JP 2015072484A JP 2015072484 A JP2015072484 A JP 2015072484A JP 2016192715 A JP2016192715 A JP 2016192715A
- Authority
- JP
- Japan
- Prior art keywords
- key
- user
- authentication
- password
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本実施形態は、暗号鍵管理システムおよび暗号鍵管理方法
に関する。
The present embodiment relates to an encryption key management system and an encryption key management method.
近年、個人情報などの秘匿したい情報(以下、秘匿情報という。)について、ユーザ認証により情報を保護できるだけでなく、データベースの複製やHDDの抜き取り(2次記憶の詐取)、又はバックアップメディアの盗難(3次記憶の詐取)など、2次記憶や3次記憶に保存された情報が詐取された場合あっても秘匿情報を保護できるシステムが求められている。 In recent years, not only can information be protected by user authentication for confidential information such as personal information (hereinafter referred to as confidential information), but also database replication, HDD extraction (secondary storage fraud), or backup media theft ( There is a need for a system that can protect confidential information even if information stored in secondary storage or tertiary storage is stolen, such as fraud of tertiary storage.
このような要求に対し、データサーバ側で秘匿情報を暗号化して保存し、その暗号化に使用した暗号鍵をアプリケーションサーバ側に保存するシステムなどが知られているが、両サーバの2次記憶の情報が詐取されてしまうと、暗号化された秘匿情報を暗号鍵で復号することが可能になってしまう。 In response to such a request, a system is known in which confidential information is encrypted and stored on the data server side, and the encryption key used for the encryption is stored on the application server side. If this information is fraudulent, it becomes possible to decrypt the encrypted confidential information with the encryption key.
そこで、システムを利用するユーザ自身しか知り得ない情報(例えばパスワード)から作成した暗号鍵(鍵ハッシュ)をシステム内に保存する手法が有効となっている。 Therefore, a technique for storing an encryption key (key hash) created from information (for example, a password) that only the user who uses the system knows in the system is effective.
しかしながら、従来技術においては、ユーザが認証後にシステムを利用しながら、並行してパスワードを変更した場合には、認証時に作成した暗号鍵(以下、旧暗号鍵という。)と、パスワード変更によって新たに作成された暗号鍵(以下、新暗号鍵という。)の内容が異なってしまう。この結果、旧暗号鍵を用いて秘匿された情報(保護データ)を新暗号鍵で復号しようとすると失敗してしまうため、復号時のエラーを回避するためには再認証を行った上で新暗号鍵を作成しなければならず、作業効率の低下を招くという問題があった。 However, in the prior art, when a user changes a password in parallel while using the system after authentication, an encryption key created at the time of authentication (hereinafter referred to as an old encryption key) and a new password are changed. The contents of the created encryption key (hereinafter referred to as the new encryption key) are different. As a result, if information that has been concealed using the old encryption key (protected data) is decrypted with the new encryption key, it will fail. To avoid errors during decryption, new authentication will be performed after re-authentication. There was a problem that the encryption key had to be created and the work efficiency was reduced.
そこで、本発明は、上記従来技術の問題に鑑み、認証されたユーザがシステムを利用している際に、並行してパスワードの変更があった場合に、再認証を実行することなく、パスワード変更前の旧暗号鍵によって暗号化された保護データを継続して復号可能にするものである。 Therefore, in view of the above-described problems of the prior art, the present invention changes the password without executing re-authentication when the password is changed in parallel when the authenticated user uses the system. The protection data encrypted with the previous old encryption key can be continuously decrypted.
本実施形態の暗号鍵管理システムは、マスター鍵により保護データを暗号化および復号化するサーバと、ユーザIDおよびパスワードを含む入力情報に基づいて前記サーバにネットワークを介してユーザ認証を要求するとともに、前記保護データの暗号化および復号化を要求するユーザ端末と、を備える暗号鍵管理システムであって、前記サーバが、前記ユーザID、前記パスワードから算出されたパスワードハッシュ、および前記パスワードハッシュのリビジョンを関連付けたユーザ情報を記憶するユーザ情報記憶手段と、前記ユーザID、前記パスワードから算出された鍵ハッシュにより前記マスター鍵を暗号化した暗号化済鍵、および前記リビジョンを関連付けた鍵情報を記憶する鍵情報記憶手段と、前記入力情報と前記ユーザ情報とを照合して前記ユーザ認証が完了した場合に、認証IDを発行するとともに、この認証IDに対して、前記ユーザID、前記リビジョン、前記鍵ハッシュ、および認証時刻を関連付けた認証情報を生成し、保持する認証手段と、前記パスワードを新たなパスワードへ変更する場合に、前記認証情報に含まれる前記ユーザIDと前記リビジョンの組合せを検索キーとして前記鍵情報から取得した前記暗号化済鍵を、前記鍵ハッシュで復号して前記マスター鍵を取得するとともに、前記新たなパスワードと前記マスター鍵に基づいて新たな暗号化済鍵を作成し、前記ユーザID、前記新たなパスワードに係る新たなリビジョン、および前記新たな暗号化済鍵を関連付けた新たな鍵情報を同一の前記ユーザIDに係る他の鍵情報と併存した状態で前記鍵情報記憶手段へ保存する鍵再暗号化手段と、を有することを特徴とする。 The encryption key management system according to the present embodiment requests the server for user authentication via the network based on the input information including the server that encrypts and decrypts the protected data with the master key and the user ID and the password, A user terminal that requests encryption and decryption of the protected data, wherein the server includes the user ID, a password hash calculated from the password, and a revision of the password hash. User information storage means for storing associated user information, an encrypted key obtained by encrypting the master key using a key hash calculated from the user ID and the password, and a key for storing key information associated with the revision Information storage means, the input information and the user information; When the user authentication is completed by collation, an authentication ID is issued, and authentication information in which the user ID, the revision, the key hash, and the authentication time are associated with the authentication ID is generated and held. And when the password is changed to a new password, the encrypted key acquired from the key information using the combination of the user ID and the revision included in the authentication information as a search key, Decrypting with a hash to obtain the master key, creating a new encrypted key based on the new password and the master key, the user ID, a new revision for the new password, and the The new key information associated with the new encrypted key is stored together with other key information related to the same user ID. And having a key re-encryption unit for storing the key information storing means.
以下、本実施形態に係る暗号鍵管理システムについて図面を参照して詳細に説明する。 Hereinafter, the encryption key management system according to the present embodiment will be described in detail with reference to the drawings.
図1は、一実施形態に係る暗号鍵管理システムの全体構成の一例を示すブロック図である。同図に示されるように、暗号鍵管理システムは、ユーザ端末1、認証サーバ2、ユーザDB3、アプリケーションサーバ4、およびデータサーバ5が通信ネットワークNWを介して接続されることで構成されている。
FIG. 1 is a block diagram illustrating an example of the overall configuration of an encryption key management system according to an embodiment. As shown in the figure, the encryption key management system is configured by connecting a
各装置は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、入力装置、表示装置、HDD(Hard Disk Drive)などの大容量の記憶装置、および通信装置などから構成されたコンピュータであり、台数はそれぞれ任意である。また、本システムでは複数台のサーバを含んでいるが、一台あるいは複数台のサーバに適宜統合あるいは分散した上でネットワーク接続してもよい。 Each device includes a CPU (Central Processing Unit), a ROM (Read Only Memory), a RAM (Random Access Memory), an input device, a display device, an HDD (Hard Disk Drive), and a large-capacity storage device, and a communication device. It is a configured computer, and the number of each is arbitrary. Further, although the present system includes a plurality of servers, it may be connected to the network after being appropriately integrated or distributed to one or a plurality of servers.
ユーザ端末1は、ユーザがデータ編集作業などに用いるパーソナルコンピュータなどの情報端末であり、認証依頼手段11、データ参照依頼手段12、データ登録依頼手段13、パスワード変更依頼手段14を有している。
The
認証依頼手段11は、認証サーバ2に対してユーザIDおよびパスワードを含む入力情報を送信し、ユーザ認証処理を要求する。データ参照依頼手段12は、ユーザ認証の完了後、認証情報に基づいてアプリケーションサーバ4に接続し、データサーバ5内で管理されている保護データの参照処理を要求する。
The authentication request unit 11 transmits input information including a user ID and a password to the
データ登録依頼手段13は、認証情報に基づいてアプリケーションサーバ4に接続し、データサーバ5へ保護データの登録処理を要求する。パスワード変更依頼手段14は、認証サーバ2に対して既存のパスワードから新たなパスワードへの変更処理を要求する。
The data
認証サーバ2は、認証処理を実行するサーバコンピュータであり、認証情報提供手段22、パスワード変更手段23、認証維持手段24、認証情報確認手段25、鍵掃除手段26、認証削除手段27を有している。
The
認証手段21は、入力情報に含まれるユーザIDおよびパスワードから算出した新たなパスワードハッシュを、ユーザDB3が記憶するユーザ情報と照合してユーザ認証を行う。認証手段21は、ユーザ認証が完了(成功)した場合に、固有の認証IDを発行するとともに、この認証IDに対して、ユーザごとに固有なユーザID、パスワードの世代番号であるリビジョン、鍵ハッシュ、および認証時刻を関連付けた認証情報を生成し、保持する。尚、鍵ハッシュは、所定のハッシュ関数を用いて算出するものとする。
The
図2は、認証情報の一例を示す図である。ここでは、認証情報が、認証IDごとに、ユーザID、リビジョン、鍵ハッシュ、最後に認証情報にアクセスした時刻を関連付けた情報であることが示されている。鍵ハッシュは、鍵用のハッシュ関数Hk(x)を用いて算出する。ハッシュ関数Hk(x)のxとしては、パスワードの平文Pn_m(n:ユーザ番号,m:リビジョン番号)が使用されている。 FIG. 2 is a diagram illustrating an example of authentication information. Here, it is shown that the authentication information is information that associates the user ID, revision, key hash, and last access time of the authentication information for each authentication ID. The key hash is calculated using a key hash function Hk (x). The password plaintext Pn_m (n: user number, m: revision number) is used as x of the hash function Hk (x).
認証情報提供手段22は、アプリケーションサーバ4から認証IDを受信した場合に、当該認証IDの認証情報をアプリケーションサーバ4に提供する。
パスワード変更手段23は、ユーザ端末1からパスワードの変更要求があった場合に、ユーザID、新たなパスワードから算出したパスワードハッシュ、およびパスワードのリビジョンからなる新たなユーザ情報をユーザDB3に送信し、ユーザ情報を更新する。また、パスワード変更手段23は、ユーザID、現時点のパスワードのリビジョンと鍵ハッシュ、新たなパスワードに基づく鍵ハッシュをユーザDB3へ送信し、新たな鍵情報の登録を行う。
When receiving the authentication ID from the
When there is a password change request from the
認証維持手段24は、アプリケーションサーバ4が保持する認証情報の認証IDを受信した場合に、受信した認証IDに基づいて認証サーバ2内で保持する認証情報を検索し、認証IDが一致する認証情報の時刻を現在時刻に更新することで認証を維持する。
認証情報確認手段25は、鍵掃除手段26から受信したユーザIDとリビジョンの組合せ情報に対応する認証情報が認証サーバ2内に存在するか否かを確認し、組合せごとの確認結果を鍵掃除手段26へ送信する。
When the
The authentication
鍵掃除手段26は、ユーザDB3が記憶する鍵情報を参照して、ユーザIDとリビジョンの組合せ情報を抽出し、認証情報確認手段25へ定期的に送信する。そして、鍵掃除手段26は、認証情報確認手段25からの応答情報として、認証サーバ2内に存在しない鍵情報があった場合には、この鍵情報を削除する。
認証削除手段27は、認証サーバ2側で保持している認証情報の時刻と現在時刻を定期的に比較し、所定のタイムアウト時間が経過した認証情報を削除する。
The
The authentication deletion means 27 periodically compares the time of the authentication information held on the
ユーザDB3は、認証サーバ2における認証処理、データサーバ5におけるデータ書込み・読取処理にそれぞれ必要な情報を記憶するデータベースであり、ユーザ情報記憶手段31、鍵情報記憶手段32、鍵再暗号化手段33を有している。
The
ユーザ情報記憶手段31は、ユーザを特定するユーザID、パスワードハッシュ、リビジョンを関連付けたユーザ情報を記憶する。図3は、ユーザ情報の一例を示す図である。パスワードハッシュは、パスワード用のハッシュ関数Hp(x)を用いて算出する。ハッシュ関数Hp(x)のxとしては、パスワードの平文Pn_m(n:ユーザ番号,m:リビジョン番号)が使用されている。 The user information storage unit 31 stores user information that associates a user ID, a password hash, and a revision that specify a user. FIG. 3 is a diagram illustrating an example of user information. The password hash is calculated using a hash function Hp (x) for password. The password plaintext Pn_m (n: user number, m: revision number) is used as x of the hash function Hp (x).
鍵情報記憶手段32は、ユーザID、リビジョン、および暗号化済鍵を関連付けた鍵情報を記憶する。図4は、鍵情報の一例を示す図である。暗号化済鍵は、鍵用の関数Ck(x,y)を用いて算出されている。ここでは、関数Ck(x,y)のxには鍵ハッシュ、yにはマスター鍵(共通鍵)Mが使用されている。 The key information storage unit 32 stores key information in which the user ID, the revision, and the encrypted key are associated with each other. FIG. 4 is a diagram illustrating an example of key information. The encrypted key is calculated using the key function Ck (x, y). Here, a key hash is used for x of the function Ck (x, y), and a master key (common key) M is used for y.
鍵再暗号化手段33は、ユーザ認証で入力されたパスワードを新たなパスワードへ変更する場合に、認証情報に含まれるユーザIDとリビジョンの組合せを検索キーとして鍵情報から取得した暗号化済鍵を、認証情報に含まれる鍵ハッシュで復号してマスター鍵を取得するとともに、新たなパスワードとマスター鍵に基づいて新たな暗号化済鍵を作成し、ユーザID、新たなパスワードに係る新たなリビジョン、および新たな暗号化済鍵を関連付けた新たな鍵情報を同一のユーザIDに係る他の鍵情報と併存した状態で鍵情報記憶手段32へ保存する。 The key re-encryption means 33, when changing the password entered in the user authentication to a new password, uses the encrypted key acquired from the key information using the combination of the user ID and the revision included in the authentication information as a search key. , Decrypting with the key hash included in the authentication information to obtain the master key, creating a new encrypted key based on the new password and master key, the user ID, a new revision related to the new password, The new key information associated with the new encrypted key is stored in the key information storage unit 32 in a state where the new key information coexists with other key information related to the same user ID.
また、鍵再暗号化手段33は、ユーザ端末1側から共通の認証IDに対して認証時と異なる他のユーザIDおよび他のパスワードを関連付けるパスワード変更要求があった場合に、他のパスワードから他の鍵ハッシュを生成するとともに、認証サーバ2に保持されている認証情報から共通の認証IDに関連付けられているユーザID、鍵ハッシュを取得してマスター鍵を復号し、このマスター鍵により他の鍵ハッシュを暗号化した他の暗号化済鍵、他のユーザID、および他のパスワードのリビジョンを組み合わせた他の鍵情報を鍵情報記憶手段32に保存する。
Also, the key re-encryption means 33 receives a password change request for associating another common user ID and another password with the common authentication ID from the
アプリケーションサーバ4は、種々のアプリケーション(図示省略する)の実行によりユーザ端末1に対してサービスを提供するサーバコンピュータであり、データ登録手段41、認証情報参照手段42、データ参照手段43、認証維持依頼手段44、認証削除手段45を有している。
The
データ登録手段41は、認証済みのユーザ端末1からデータ登録要求があった場合に、受信データをデータサーバ5へ登録する。
認証情報参照手段42は、アプリケーションの実行に伴って認証情報が必要になった場合に、認証サーバ2に対して認証情報の参照を要求する。
The
The authentication
データ参照手段43は、認証済みのユーザ端末1からデータ参照要求があった場合に、データサーバ5から保護データを取得し、ユーザ端末1へ返信する。
認証維持依頼手段44は、アプリケーションサーバ4側で保持している認証情報の認証IDを認証サーバ2へ定期的に送信し、認証維持を要求する。認証削除手段45は、アプリケーションサーバ4側で保持している認証情報の時刻と現在時刻を定期的に比較し、所定のタイムアウト時間が経過した認証情報を削除する。
When there is a data reference request from the authenticated
The authentication
データサーバ5は、保護データを管理するサーバコンピュータであり、保護データ記憶手段51、データ書込手段52、データ読取手段53を有している。
The
保護データ記憶手段51は、ユーザ端末1からアプリケーションサーバ4を介して登録要求のあった保護データを暗号化してデータIDごとに記憶する。図5は、保護データの一例を示す図である。ここでは、保護データを特定するデータIDに対して保護データをカラムごとにデータ用の関数Cd(x,y)により暗号化して関連付けて記憶している。ここでは、関数Cd(x,y)のxはマスター鍵M、yはDn_mデータの平文(n:データ番号,m:カラム)となっている。
The protection data storage means 51 encrypts the protection data requested for registration from the
データ書込手段52は、ユーザ端末1からアプリケーションサーバ4を介して取得したデータを鍵情報から復号したマスター鍵により暗号化し、これを保護データとして保護データ記憶手段51に書き込む。データ読取手段53は、保護データ記憶手段51から暗号化された保護データを読取り、鍵情報の暗号化済鍵から復号したマスター鍵で復号してアプリケーションサーバ4へ送信する。
The data writing means 52 encrypts the data acquired from the
続いて、暗号鍵管理システムを構成する装置間の処理の流れを具体的に説明する。
(1)ユーザ認証処理
図6は、ユーザ認証処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1の認証依頼手段11を用いて、ユーザID[U1]とパスワード[P1_1]を入力すると、ユーザ端末1は、認証サーバ2の認証手段21に対して、ユーザID[U1]、パスワード[P1_1]とともに認証を要求する。
Subsequently, the flow of processing between devices constituting the encryption key management system will be specifically described.
(1) User Authentication Processing FIG. 6 is an explanatory diagram of user authentication processing. As shown in the figure, when the user inputs the user ID [U1] and the password [P1_1] using the authentication request unit 11 of the
認証手段21は、ユーザID[U1]、及びパスワード[P1_1]から生成したパスワードハッシュ[Hp(P1_1)]を、ユーザDB3が保持するユーザ情報と突き合わせることにより、ユーザを認証する。ユーザ情報には、ユーザID[U1]、パスワードハッシュ[Hp(P1_1)]のほか、パスワードハッシュの更新回数を表す、リビジョン[R1]を持つ。
The
認証に成功すると、認証手段21は、認証処理毎に付与する認証ID[A1]、ユーザID[U1]、リビジョン[R1]、認証時刻[T1]、パスワード[P1_1]から生成した鍵ハッシュ[Hk(P1_1)]の組を認証情報に新規追加し、認証ID[A1]を認証依頼手段11に応答する。
If the authentication is successful, the
(2)保護データ登録処理
図7は、保護データ登録処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のデータ登録依頼手段13を用いて、認証ID[A1]とともに、登録データキー[D1]、登録データ値[D1_1]、[D1_2]を入力すると、ユーザ端末1は、アプリケーションサーバ4のデータ登録手段41に対して、認証ID[A1]、登録データキー[D2]、登録データ値[D2_1]、[D2_2]とともにデータ登録を要求する。
(2) Protection Data Registration Process FIG. 7 is an explanatory diagram of the protection data registration process. As shown in the figure, the user inputs the registration data key [D1], the registration data value [D1_1], and [D1_2] together with the authentication ID [A1] using the data
データ登録手段41は、認証情報参照手段42に認証ID[A1]を与えることにより、認証サーバ2の認証情報提供手段22を介して、認証ID[A1]に紐付く、ユーザID[U1]、リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]を取得し、アプリケーションサーバ4内の認証情報にそれらを新規追加する。
The
次に、データ登録手段41は、データサーバ5のデータ書込手段52に対して、ユーザID[U1]、リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]、登録データキー[D2]、登録データ値[D2_1]、[D2_2]を与え、保護データの登録を要求する。
Next, the
データ書込手段52は、ユーザDB3が保持する鍵情報の中から、ユーザID[U1]、リビジョン[R1]に紐付く、暗号化済鍵[Ck(Hk(P1_1),M)]を取得し、鍵ハッシュ[Hk(P1_1)]を用いてマスター鍵[M]を復号する。
The data writing means 52 acquires the encrypted key [Ck (Hk (P1_1), M)] associated with the user ID [U1] and the revision [R1] from the key information held by the
次に、データ書込手段52は、マスター鍵[M]を用いて登録データ値[D2_1]、[D2_2]を暗号化し、それぞれ[Cd(M, D2_1)]、[Cd(M, D2_2)]として保護データに登録する。 Next, the data writing means 52 encrypts the registered data values [D2_1] and [D2_2] using the master key [M], and [Cd (M, D2_1)] and [Cd (M, D2_2)], respectively. As registered in protected data.
(3)保護データ取得処理
図8は、保護データ取得処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のデータ参照依頼手段12を用いて、認証ID[A1]とともに、参照データキー[D1]を入力すると、ユーザ端末1は、アプリケーションサーバ4のデータ参照手段43に対し、認証ID[A1]、参照データキー[D1]とともにデータ参照を要求する。
(3) Protection Data Acquisition Processing FIG. 8 is an explanatory diagram of protection data acquisition processing. As shown in the figure, when the user inputs the reference data key [D1] together with the authentication ID [A1] using the data
データ参照手段43は、認証情報参照手段42に認証ID[A1]を与えることにより、認証サーバ2の認証情報提供手段22を介して、認証ID[A1]に紐付く、ユーザID[U1]、リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]を取得し、アプリケーションサーバ4内の認証情報にそれを新規追加する。
The data reference means 43 gives the authentication ID [A1] to the authentication information reference means 42, and thereby associates the user ID [U1] with the authentication ID [A1] via the authentication
次に、データ参照手段43は、データサーバ5のデータ読取手段53に対して、ユーザID[U1]、リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]、参照データキー[D1]を与え、保護データの参照を要求する。
Next, the data reference means 43 gives the user ID [U1], the revision [R1], the key hash [Hk (P1_1)], and the reference data key [D1] to the data reading means 53 of the
データ読取手段53は、ユーザDB3が保持する鍵情報の中から、ユーザID[U1]、リビジョン[R1]に紐付く、暗号化済鍵[Ck(Hk(P1_1),M)]を取得し、鍵ハッシュ[Hk(P1_1)]を用いてマスター鍵[M]を復号する。次に、データ読取手段53は、マスター鍵[M]を用いて保護データが保持する[Cd(M, D1_1)]、[Cd(M, D1_2)]を復号し、それぞれ参照データ値[D1_1]、[D1_2]としてデータ参照手段43に応答する。最後に、データ参照手段43は、受け取った参照データ値[D1_1]、[D1_2]をデータ参照依頼手段12に応答する。
The data reading means 53 obtains an encrypted key [Ck (Hk (P1_1), M)] associated with the user ID [U1] and the revision [R1] from the key information held by the
(4)第1のパスワード変更処理
図9は、同一ユーザの要求によるパスワード変更処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のパスワード変更依頼手段14を用いて、認証ID[A1]とともに、ログインユーザ自身のユーザID(以下、自ユーザIDという。)[U1]、新パスワード[P1_2]を入力すると、ユーザ端末1は、認証サーバ2のパスワード変更手段23に対し、認証ID[A1]、ユーザID[U1]、[P1_2]とともにパスワード変更を要求する。
(4) First Password Change Process FIG. 9 is an explanatory diagram of a password change process requested by the same user. As shown in the figure, the user uses the password
パスワード変更手段23は、自身が保持する認証情報の中から、認証ID[A1]に紐付く、自ユーザID[U1]、変更前のパスワード(以下、旧パスワードという。)のリビジョン(以下、旧リビジョンという。)[R1]、旧パスワード[P1_1]から生成した鍵ハッシュ[Hk(P1_1)]を取得し、さらに[P1_2]から鍵ハッシュ[Hk(P1_2)]を生成する。
The
次に、パスワード変更手段23は、ユーザDB3の鍵再暗号化手段33に対して、ユーザID[U1]、リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]、ユーザID[U1]、鍵ハッシュ[Hk(P1_2)]を与え、マスター鍵[M]の再暗号化を要求する。
Next, the
鍵再暗号化手段33は、ユーザDB3が保持する鍵情報の中から、ユーザID[U1]、リビジョン[R1]に紐付く、旧暗号化済鍵[Ck(Hk(P1_1),M)]を取得し、鍵ハッシュ[Hk(P1_1)]を用いてマスター鍵[M]を復号する。また、ユーザID[U1]に紐付くリビジョンのうち、最新の旧リビジョン[R1]を取得する。
The key re-encryption means 33 obtains the old encrypted key [Ck (Hk (P1_1), M)] associated with the user ID [U1] and the revision [R1] from the key information held by the
次に、鍵再暗号化手段33は、マスター鍵[M]を[Hk(P1_2)]を用いて暗号化し、生成された新暗号化済鍵[Ck(Hk(P1_2),M)]、ユーザID[U1]、及び新リビジョン[R2]を鍵情報に新規追加する。 Next, the key re-encryption means 33 encrypts the master key [M] using [Hk (P1_2)], the generated new encrypted key [Ck (Hk (P1_2), M)], the user ID [U1] and new revision [R2] are newly added to the key information.
最後に、パスワード変更手段23は、ユーザDB3が保持するユーザ情報に存在する、ユーザID[U1]に紐付くリビジョン[R1]、パスワードハッシュ[Hp(P1_1)]を、鍵再暗号化手段33から応答として受け取ったリビジョン[R2]、新パスワード[P1_2]から生成したパスワードハッシュ[Hp(P1_2)]で上書更新し、パスワード変更依頼手段14に応答する。
Finally, the
(5)第2のパスワード変更処理
図10は、他のユーザの要求によるパスワード変更処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のパスワード変更依頼手段14を用いて、認証ID[A1]とともに、ログインユーザ以外のユーザID(以下、他ユーザIDという。)[U2]、新パスワード[P2_6]を入力すると、ユーザ端末1は、認証サーバ2のパスワード変更手段23に、認証ID[A1]、他ユーザID[U2]、新パスワード[P2_6]とともにパスワード変更を要求する。
(5) Second Password Change Processing FIG. 10 is an explanatory diagram of password change processing according to another user's request. As shown in the figure, the user uses the password
認証サーバ2のパスワード変更手段23は、自身が保持する認証情報の中から、認証ID[A1]に紐付く、自ユーザID[U1]、自リビジョン[R1]、自パスワード[P1_1]から生成した鍵ハッシュ[Hk(P1_1)]を取得し、さらに[P2_6]から鍵ハッシュ[Hk(P2_6)]を生成する。次に、パスワード変更手段23は、ユーザDB3の鍵再暗号化手段33に対して、ユーザID[U1]、自リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]、他ユーザID[U2]、[Hk(P2_6)]を与え、マスター鍵[M]の再暗号化を要求する。
The password changing means 23 of the
ユーザDB3の鍵再暗号化手段33は、ユーザDB3が保持する鍵情報の中から、ユーザID[U1]、自リビジョン[R1]に紐付く、自暗号化済鍵[Ck(Hk(P1_1),M)]を取得し、鍵ハッシュ[Hk(P1_1)]を用いてマスター鍵[M]を復号する。また、[U2]に紐付くリビジョンのうち、最新の旧リビジョン[R5]を取得する。次に、鍵再暗号化手段33は、鍵ハッシュ[Hk(P2_6)]を用いてマスター鍵[M]を暗号化し、生成された新暗号化済鍵[Ck(Hk(P2_6),M)]、他ユーザID[U2]、及び新リビジョン[R6]の組合せを鍵情報に新規追加する。
The key re-encryption means 33 of the
最後に、認証サーバ2のパスワード変更手段23は、ユーザDB3のユーザ情報記憶手段31が保持するユーザ情報内に存在する、他ユーザID[U2]に紐付くリビジョン[R5]、パスワードハッシュ[Hp(P2_5)]を、鍵再暗号化手段33から応答として受け取った[R6]、[P2_6]から生成したパスワードハッシュ[Hp(P2_6)]で上書更新し、パスワード変更依頼手段14に応答する。
Finally, the
管理者などの上位ユーザが下位の一般ユーザのパスワードを変更するような場合に、他人に設定する新しいパスワードで鍵を暗号化する必要があるが、この鍵を自身のパスワードを用いて取得し、他人の新しいパスワードを使って暗号化を行い、他人が新しいパスワードを使用した際に鍵を取得できるようにしている。仕組は本人のパスワードを変更する場合(上記(5))と同じであり、処理の対象が他人のユーザ情報に変わるだけである。 When a higher-level user such as an administrator changes the password of a lower-level general user, it is necessary to encrypt the key with a new password set for others, but this key is acquired using its own password, It encrypts with another person's new password so that the key can be obtained when someone else uses the new password. The mechanism is the same as when changing the password of the person ((5) above), and the processing target is simply changed to the user information of another person.
(6)認証維持処理
図11は、認証維持処理の説明図である。同図に示されるように、アプリケーションサーバ4の認証維持依頼手段44は、定期的に、自機が保持する認証情報の中から、現在使用されているものを抽出し、対応する時刻を現在時刻で上書更新する。また、認証維持依頼手段44は、定期的に、認証サーバ2の認証維持手段24に、自機が保持する認証情報に含まれる認証ID([A1]、[A2])とともに認証維持を要求する。
(6) Authentication Maintenance Process FIG. 11 is an explanatory diagram of the authentication maintenance process. As shown in the figure, the authentication
認証サーバ2の認証維持手段24は、アプリケーションサーバ4(認証維持依頼手段44)から与えられた認証ID[A1]、[A2]と自機が保持する認証情報を突き合わせ、同一認証IDに紐付く時刻を現在時刻[T6]で上書更新し、認証維持依頼手段44に応答する。
The authentication maintaining means 24 of the
(7)鍵情報掃除処理
図12は、鍵情報掃除処理の説明図である。同図に示されるように、認証サーバ2の鍵掃除手段26は、定期的に、ユーザDB3が保持する鍵情報の中から、古いリビジョンをユーザIDに紐付けて取得する。
(7) Key Information Cleaning Process FIG. 12 is an explanatory diagram of the key information cleaning process. As shown in the figure, the key cleaning means 26 of the
次に、鍵掃除手段26は、同サーバの認証情報確認手段25及び他の認証サーバ2´(認証情報確認手段25)のそれぞれに対して、取得したユーザIDと旧リビジョンの組([U1],[R3])、([U1],[R4])、([U2],[R3])が認証情報に含まれていないことの確認を要求する。 Next, the key cleaning means 26 sets the acquired user ID and the old revision ([U1]) for each of the authentication information confirmation means 25 and other authentication server 2 '(authentication information confirmation means 25) of the server. , [R3]), ([U1], [R4]), and ([U2], [R3]) are requested to confirm that they are not included in the authentication information.
認証情報確認手段25は、与えられたユーザIDと旧リビジョンの組と認証情報を突き合わせ、存在の確認結果([U1],[R3],true)、([U1],[R4],false)、([U2],[R3],false)を鍵掃除手段26に応答する。 The authentication information confirmation means 25 matches the given user ID and the old revision pair with the authentication information, and the existence confirmation result ([U1], [R3], true), ([U1], [R4], false) , ([U2], [R3], false) are returned to the key cleaning means 26.
最後に、鍵掃除手段26は、認証情報に存在しないことが判明した、ユーザIDと旧リビジョンの組([U1],[R4])、([U2],[R3])を鍵情報から削除する。過去のリビジョンの暗号化済鍵が使われなくなったことを確認してユーザDB3から削除することで、不要になった古いデータがユーザDB3内に保存され続けることを防ぐことができる。尚、他の認証サーバ2´においても同様の処理が行われるものとする。
Finally, the key cleaning means 26 deletes the pair ([U1], [R4]) and ([U2], [R3]) of the user ID and the old revision, which are found not to exist in the authentication information, from the key information. To do. By confirming that the encrypted key of the past revision is no longer used and deleting it from the
(8)認証情報削除処理
図13は、認証情報削除処理の説明図である。同図に示されるように、認証サーバ2(又はアプリケーションサーバ4)の認証削除手段27(又は認証削除手段45)は、定期的に、自機が保持する認証情報の中から、時刻が現在時刻から一定時間以上古い、すなわち、最後の認証から一定時間以上経過した情報を削除する。
(8) Authentication Information Deletion Process FIG. 13 is an explanatory diagram of the authentication information deletion process. As shown in the figure, the authentication deletion means 27 (or authentication deletion means 45) of the authentication server 2 (or application server 4) periodically checks the current time from the authentication information held by itself. Information that is older than a certain time since the last authentication, that is, information that has passed a certain time since the last authentication is deleted.
以下、上記のように構成された暗号鍵管理システムの一連の動作を説明する。図14は、一実施形態に係る暗号鍵管理システムにおけるパスワード変更時の動作の一例を示すシーケンス図である。 Hereinafter, a series of operations of the encryption key management system configured as described above will be described. FIG. 14 is a sequence diagram illustrating an example of an operation when changing a password in the encryption key management system according to the embodiment.
先ず、ユーザ端末1が、ユーザからの入力情報{ユーザID_1,パスワード_1}を認証サーバ2に送信し、認証要求を行う(S101)。
次に、認証サーバ2は、パスワード_1に基づいて鍵ハッシュを作成し(S102)、保持している認証情報において同ユーザIDに関連付けられた最新リビジョン_1の鍵ハッシュ_1と比較する(S103)。比較結果が一致すると、認証サーバ2は、認証ID{認証ID_1}をユーザ端末1へ返信する(S104)。
First, the
Next, the
次に、ユーザ端末1は、認証ID{認証ID_1}に基づいてアプリケーションサーバ4に接続要求を行う(S105)。
次に、アプリケーションサーバ4が、認証ID{認証ID_1}に基づいて認証サーバ2に認証情報の参照を要求すると(S106)、認証サーバ2は認証ID{認証ID_1}、リビジョン{リビジョン_1}、鍵ハッシュ{鍵ハッシュ_1}を含む認証情報を返信する(S107)。そして、アプリケーションサーバ4は、ユーザ端末1に接続完了を通知する(S108)。
Next, the
Next, when the
次に、ユーザ端末1´が、同一ユーザからの入力情報{ユーザID_1,パスワード_1}を認証サーバ2に送信し、認証要求を行うと(S109)、認証サーバ2は、入力パスワード{パスワード_1}に基づいて鍵ハッシュを作成し(S110)、保持している認証情報において同ユーザIDに関連付けられたリビジョン{リビジョン_1}の鍵ハッシュ{鍵ハッシュ_1}と比較する(S111)。比較結果が一致すると、認証サーバ2は、S104とは異なる認証情報{認証ID_2}をユーザ端末1´へ返信する(S112)。
Next, when the
次に、ユーザ端末1´が、{認証ID_2,パスワード_2}を含むパスワードの変更要求を認証サーバ2へ送信すると(S113)、認証サーバ2は、{パスワード_2}による鍵ハッシュ{鍵ハッシュ_2}を作成し、変更後のリビジョン{リビジョン_2}および鍵ハッシュ{鍵ハッシュ_2}をメモリ領域(図示省略する)に保持する(S114)。
Next, when the
次に、認証サーバ2は、ユーザDB3に対して{ユーザID_1}に関連付けられている{リビジョン_1,鍵ハッシュ_1}、{リビジョン_2,鍵ハッシュ_2}を送信し、鍵再暗号化を要求する(S115)。従来技術との違いは、ここで新しいパスワードの鍵ハッシュ{鍵ハッシュ_2}で復号できる暗号化済鍵を作成するだけでなく、古いパスワードの鍵ハッシュ{鍵ハッシュ_1}で復号できる暗号化済鍵を残すことである。
Next, the
次に、ユーザDB3は、鍵再暗号化が完了すると、これを認証サーバ2へ通知する(S116)。すなわち、この時点では二つのユーザ端末1、ユーザ端末1´がそれぞれ異なる認証IDで認証済みとなっている。
Next, when the key re-encryption is completed, the
次に、最初に認証済みのユーザ端末1が、アプリケーションサーバ4に対してデータ参照を要求すると(S117)、アプリケーションサーバ4はデータサーバ5に{リビジョン_1,鍵ハッシュ_1}を送信し、データ読取を要求する(S118)。
Next, when the first authenticated
次に、ユーザDB3は、データサーバ5に鍵ハッシュ{鍵ハッシュ_1}で復号可能な暗号化済鍵の送信を要求し(S119)、これをユーザDB3が返信する(S120)。
Next, the
次に、データサーバ5は、鍵ハッシュ{鍵ハッシュ_1}により暗号化済鍵を復号してマスター鍵を取得し(S121)、このマスター鍵により保護データを復号して読取り(S122)、読取データをアプリケーションサーバ4へ送信する(S123)。
そして、アプリケーションサーバ4は、ユーザ端末1にデータ参照を開始させる(S124)。
Next, the
Then, the
このように、本実施形態に係る暗号鍵管理システムによれば、以下のような効果を奏する。
(1)認証されたユーザがシステムを利用している際に、並行してパスワードの変更があった場合でも、再認証を実行することなく、パスワード変更前のパスワードのリビジョンとユーザIDの組合せに係る暗号化済鍵によって保護データを継続して復号可能となる。例えば、ユーザ端末1が複数のアプリケーションサーバ4に接続されているような場合でも、アプリケーションサーバ4ごとに再認証を行う必要が無くなる利点がある。
(2)同一認証IDの認証情報を利用中の他のユーザによってパスワードが変更された場合にも、認証済みのユーザは継続して保護データの登録・読取作業を行うことができる。
(3)古い鍵ハッシュに基づいて開始された処理に時間がかかる場合や、アプリケーションサーバの台数が多い場合であっても、パスワード変更による暗号関連情報の同期のために、再認証、ロック、処理完了待ち等が発生せず、操作性が向上する。
As described above, the encryption key management system according to the present embodiment has the following effects.
(1) When an authenticated user uses the system, even if the password is changed in parallel, the combination of the password revision before the password change and the user ID is performed without performing re-authentication. With this encrypted key, the protected data can be continuously decrypted. For example, even when the
(2) Even when the password is changed by another user who is using the authentication information of the same authentication ID, the authenticated user can continue to register and read the protection data.
(3) Re-authentication, locking, and processing to synchronize encryption-related information by changing passwords, even when processing started based on old key hashes takes time or when the number of application servers is large There is no waiting for completion and the operability is improved.
以上、本発明の実施形態を説明したが、本実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。この新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。本実施形態およびその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。 As mentioned above, although embodiment of this invention was described, this embodiment is shown as an example and is not intending limiting the range of invention. The novel embodiment can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the scope of the invention. This embodiment and its modifications are included in the scope and gist of the invention, and are included in the invention described in the claims and the equivalents thereof.
1…ユーザ端末、
2…認証サーバ、
3…ユーザDB、
4…アプリケーションサーバ、
5…データサーバ、
11…認証依頼手段、
12…データ参照依頼手段、
13…データ登録依頼手段、
14…パスワード変更依頼手段、
21…認証手段、
22…認証情報提供手段、
23…パスワード変更手段、
24…認証維持手段、
25…認証情報確認手段、
26…鍵掃除手段、
27…認証削除手段、
31…ユーザ情報記憶手段、
32…鍵情報記憶手段、
33…鍵再暗号化手段、
41…データ登録手段、
42…認証情報参照手段、
43…データ参照手段、
44…認証維持依頼手段、
45…認証削除手段、
51…保護データ記憶手段、
52…データ書込手段、
53…データ読取手段。
1 ... user terminal,
2 ... Authentication server,
3 ... User DB
4 ... Application server,
5 ... Data server,
11: Authentication request means,
12: Data reference request means,
13: Data registration request means,
14 ... Password change request means,
21 ... Authentication means,
22: Authentication information providing means,
23 ... Password change means,
24. Authentication maintenance means,
25. Authentication information confirmation means,
26 ... Key cleaning means,
27. Authentication deletion means,
31 ... User information storage means,
32. Key information storage means,
33. Key re-encryption means,
41. Data registration means,
42: Authentication information reference means,
43. Data reference means,
44 ... Authentication maintenance request means,
45. Authentication deletion means,
51. Protection data storage means,
52. Data writing means,
53: Data reading means.
Claims (5)
ユーザIDおよびパスワードを含む入力情報に基づいて前記サーバにユーザ認証を要求するとともに、前記保護データの暗号化および復号化を要求するユーザ端末と、を備え、
前記サーバが、
前記ユーザID、前記パスワードから算出されたパスワードハッシュ、および前記パスワードハッシュのリビジョンを関連付けたユーザ情報を記憶するユーザ情報記憶手段と、
前記ユーザID、前記パスワードから算出された鍵ハッシュにより前記マスター鍵を暗号化した暗号化済鍵、および前記リビジョンを関連付けた鍵情報を記憶する鍵情報記憶手段と、
前記入力情報と前記ユーザ情報とを照合して前記ユーザ認証が完了した場合に、認証IDを発行するとともに、この認証IDに対して、前記ユーザID、前記リビジョン、前記鍵ハッシュ、および認証時刻を関連付けた認証情報を生成し、保持する認証手段と、
前記パスワードを新たなパスワードへ変更する場合に、前記認証情報に含まれる前記ユーザIDと前記リビジョンの組合せを検索キーとして前記鍵情報から取得した前記暗号化済鍵を、前記鍵ハッシュで復号して前記マスター鍵を取得するとともに、前記新たなパスワードと前記マスター鍵に基づいて新たな暗号化済鍵を作成し、前記ユーザID、前記新たなパスワードに係る新たなリビジョン、および前記新たな暗号化済鍵を関連付けた新たな鍵情報を同一の前記ユーザIDに係る他の鍵情報と併存した状態で前記鍵情報記憶手段へ保存する鍵再暗号化手段と、
を有することを特徴とする暗号鍵管理システム。 A server that encrypts and decrypts the protected data with a master key;
Requesting the server for user authentication based on input information including a user ID and a password, and a user terminal requesting encryption and decryption of the protection data,
The server is
User information storage means for storing user information associated with the user ID, a password hash calculated from the password, and a revision of the password hash;
Key information storage means for storing the user ID, an encrypted key obtained by encrypting the master key with a key hash calculated from the password, and key information associated with the revision;
When the user authentication is completed by comparing the input information with the user information, an authentication ID is issued, and the user ID, the revision, the key hash, and the authentication time are set for the authentication ID. An authentication means for generating and storing the associated authentication information;
When the password is changed to a new password, the encrypted key acquired from the key information using the combination of the user ID and the revision included in the authentication information as a search key is decrypted with the key hash. Obtaining the master key and creating a new encrypted key based on the new password and the master key, the user ID, a new revision related to the new password, and the new encrypted key A key re-encryption unit that stores new key information associated with a key in the key information storage unit in a state of coexisting with other key information related to the same user ID;
An encryption key management system comprising:
前記サーバが、前記ユーザID、前記パスワードから算出されたパスワードハッシュ、および前記パスワードハッシュのリビジョンを関連付けたユーザ情報を記憶領域へ記憶するユーザ情報記憶ステップと、
前記ユーザID、前記パスワードから算出された鍵ハッシュにより前記マスター鍵を暗号化した暗号化済鍵、および前記リビジョンを関連付けた鍵情報を前記記憶領域へ記憶する鍵情報記憶ステップと、
前記入力情報と前記ユーザ情報とを照合して前記ユーザ認証が完了した場合に、認証IDを発行するとともに、この認証IDに対して、前記ユーザID、前記リビジョン、前記鍵ハッシュ、および認証時刻を関連付けた認証情報を生成し、保持する認証ステップと、
前記ユーザ認証で入力された前記パスワードを新たなパスワードへ変更する場合に、前記認証情報に含まれる前記ユーザIDと前記リビジョンの組合せを検索キーとして前記鍵情報から取得した前記暗号化済鍵を、前記認証情報に含まれる前記鍵ハッシュで復号して前記マスター鍵を取得するとともに、前記新たなパスワードと前記マスター鍵に基づいて新たな暗号化済鍵を作成し、前記ユーザID、前記新たなパスワードに係る新たなリビジョン、および前記新たな暗号化済鍵を関連付けた新たな鍵情報を同一の前記ユーザIDに係る他の鍵情報と併存した状態で前記記憶領域へ保存する鍵再暗号化ステップと、
を有することを特徴とする暗号鍵管理方法。 A server that encrypts and decrypts protected data with a master key, and a user terminal that requests user authentication to the server based on input information including a user ID and a password, and requests encryption and decryption of the protected data An encryption key management method in a computer system comprising:
A user information storage step in which the server stores, in a storage area, user information associated with the user ID, a password hash calculated from the password, and a revision of the password hash;
A key information storage step of storing in the storage area key information associated with the user ID, an encrypted key obtained by encrypting the master key with a key hash calculated from the password, and the revision;
When the user authentication is completed by comparing the input information with the user information, an authentication ID is issued, and the user ID, the revision, the key hash, and the authentication time are set for the authentication ID. An authentication step for generating and maintaining associated authentication information;
When changing the password entered in the user authentication to a new password, the encrypted key acquired from the key information using a combination of the user ID and the revision included in the authentication information as a search key, The master key is obtained by decrypting with the key hash included in the authentication information, and a new encrypted key is created based on the new password and the master key, and the user ID, the new password Re-encrypting the new revision associated with the new encrypted key and storing the new key information associated with the new encrypted key in the storage area in a state where the new key information is associated with the other key information associated with the same user ID; ,
An encryption key management method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015072484A JP6426520B2 (en) | 2015-03-31 | 2015-03-31 | Encryption key management system and encryption key management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015072484A JP6426520B2 (en) | 2015-03-31 | 2015-03-31 | Encryption key management system and encryption key management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016192715A true JP2016192715A (en) | 2016-11-10 |
JP6426520B2 JP6426520B2 (en) | 2018-11-21 |
Family
ID=57245729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015072484A Expired - Fee Related JP6426520B2 (en) | 2015-03-31 | 2015-03-31 | Encryption key management system and encryption key management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6426520B2 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021505034A (en) * | 2017-11-29 | 2021-02-15 | フィンガープリント カーズ アクティエボラーグ | Two-step intensive collation of fingerprints |
CN113079001A (en) * | 2021-03-08 | 2021-07-06 | 北京忆芯科技有限公司 | Key updating method, information processing apparatus, and key updating device |
US20220138290A1 (en) * | 2019-03-18 | 2022-05-05 | Qrypted Technology Pte Ltd | Method and system for a secure transaction |
CN115037450A (en) * | 2021-11-19 | 2022-09-09 | 荣耀终端有限公司 | Data protection method and electronic equipment |
CN116527236A (en) * | 2023-06-29 | 2023-08-01 | 深圳市亲邻科技有限公司 | Information change verification method and system for encryption card |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11139985B2 (en) * | 2018-12-04 | 2021-10-05 | Journey.ai | Receiving information through a zero-knowledge data management network |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0530103A (en) * | 1991-07-23 | 1993-02-05 | Fujitsu Ltd | Password setting system by remote control |
JP2001516913A (en) * | 1997-09-16 | 2001-10-02 | マイクロソフト コーポレイション | Encrypted file system and method |
JP2002009754A (en) * | 2000-06-21 | 2002-01-11 | Sony Corp | Information recording device, information reproducing device, encryption processing key revision method, and program providing medium |
JP2005063439A (en) * | 2003-08-19 | 2005-03-10 | Internatl Business Mach Corp <Ibm> | Apparatus, system, and method for authorized remote access to a target system |
JP2006268719A (en) * | 2005-03-25 | 2006-10-05 | Nec Corp | Password authentication system and method |
JP2008257691A (en) * | 2007-01-30 | 2008-10-23 | Technology Properties Ltd | System and method for storage device data encryption and data access |
JP2011256561A (en) * | 2010-06-07 | 2011-12-22 | Toyota Infotechnology Center Co Ltd | Key device, lock control device, control program and control method |
-
2015
- 2015-03-31 JP JP2015072484A patent/JP6426520B2/en not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0530103A (en) * | 1991-07-23 | 1993-02-05 | Fujitsu Ltd | Password setting system by remote control |
JP2001516913A (en) * | 1997-09-16 | 2001-10-02 | マイクロソフト コーポレイション | Encrypted file system and method |
JP2002009754A (en) * | 2000-06-21 | 2002-01-11 | Sony Corp | Information recording device, information reproducing device, encryption processing key revision method, and program providing medium |
JP2005063439A (en) * | 2003-08-19 | 2005-03-10 | Internatl Business Mach Corp <Ibm> | Apparatus, system, and method for authorized remote access to a target system |
JP2006268719A (en) * | 2005-03-25 | 2006-10-05 | Nec Corp | Password authentication system and method |
JP2008257691A (en) * | 2007-01-30 | 2008-10-23 | Technology Properties Ltd | System and method for storage device data encryption and data access |
JP2011256561A (en) * | 2010-06-07 | 2011-12-22 | Toyota Infotechnology Center Co Ltd | Key device, lock control device, control program and control method |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021505034A (en) * | 2017-11-29 | 2021-02-15 | フィンガープリント カーズ アクティエボラーグ | Two-step intensive collation of fingerprints |
JP7391843B2 (en) | 2017-11-29 | 2023-12-05 | フィンガープリント カーズ アナカタム アイピー アクチボラグ | Two-step intensive fingerprint matching |
US20220138290A1 (en) * | 2019-03-18 | 2022-05-05 | Qrypted Technology Pte Ltd | Method and system for a secure transaction |
CN113079001A (en) * | 2021-03-08 | 2021-07-06 | 北京忆芯科技有限公司 | Key updating method, information processing apparatus, and key updating device |
CN113079001B (en) * | 2021-03-08 | 2023-03-10 | 北京忆芯科技有限公司 | Key updating method, information processing apparatus, and key updating device |
CN115037450A (en) * | 2021-11-19 | 2022-09-09 | 荣耀终端有限公司 | Data protection method and electronic equipment |
CN116527236A (en) * | 2023-06-29 | 2023-08-01 | 深圳市亲邻科技有限公司 | Information change verification method and system for encryption card |
CN116527236B (en) * | 2023-06-29 | 2023-09-19 | 深圳市亲邻科技有限公司 | Information change verification method and system for encryption card |
Also Published As
Publication number | Publication date |
---|---|
JP6426520B2 (en) | 2018-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6547079B1 (en) | Registration / authorization method, device and system | |
EP3195555B1 (en) | Secure key management for roaming protected content | |
CN106462718B (en) | Store the rapid data protection of equipment | |
JP6426520B2 (en) | Encryption key management system and encryption key management method | |
EP3216188B1 (en) | Roaming content wipe actions across devices | |
JP4902207B2 (en) | System and method for managing multiple keys for file encryption and decryption | |
US8111828B2 (en) | Management of cryptographic keys for securing stored data | |
US10469253B2 (en) | Methods and apparatus for migrating keys | |
US8856530B2 (en) | Data storage incorporating cryptographically enhanced data protection | |
US20200259637A1 (en) | Management and distribution of keys in distributed environments | |
CN113545006A (en) | Remote authorized access locked data storage device | |
JP6049914B2 (en) | Cryptographic system, key generation device, and re-encryption device | |
US20220200791A1 (en) | Method for encrypting and storing computer files and associated encryption and storage device | |
US20170351871A1 (en) | Data Owner Controlled Data Storage Privacy Protection Technique | |
CN113557689A (en) | Initializing data storage devices with manager devices | |
CN113383511A (en) | Recovery key for unlocking a data storage device | |
JP5035873B2 (en) | Encryption / decryption processing method and program for shared encryption file | |
CN113383510A (en) | Multi-role unlocking of data storage devices | |
WO2018043466A1 (en) | Data extraction system, data extraction method, registration device, and program | |
JP7230293B2 (en) | Management server, management system, management method, and program | |
KR102289478B1 (en) | System and method for providing electronic signature service | |
CN108345801B (en) | Ciphertext database-oriented middleware dynamic user authentication method and system | |
JPH11331145A (en) | Information sharing system, information preserving device, information processing method and recording medium therefor | |
CN113316915A (en) | Unlocking a data storage device | |
KR20160128170A (en) | Device, server and method for providing a secret key encryption and restore |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180118 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180911 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180925 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181025 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6426520 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |