JPH07134548A - Data ciphering system - Google Patents
Data ciphering systemInfo
- Publication number
- JPH07134548A JPH07134548A JP5279556A JP27955693A JPH07134548A JP H07134548 A JPH07134548 A JP H07134548A JP 5279556 A JP5279556 A JP 5279556A JP 27955693 A JP27955693 A JP 27955693A JP H07134548 A JPH07134548 A JP H07134548A
- Authority
- JP
- Japan
- Prior art keywords
- data
- key
- portable device
- external storage
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
Description
【0001】[0001]
【産業上の利用分野】本発明は、計算機システムの外部
記憶媒体に格納されるデータの暗号化及び複合化を行う
データ暗号化システムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a data encryption system for encrypting and decrypting data stored in an external storage medium of a computer system.
【0002】[0002]
【従来の技術】近年、コンピュータシステムのOA化及
び電子化に伴い、1つのコンピュータシステムに対して
多数の利用者がアクセスするようになってきた。このた
め、機密データを授受する際に他人に漏洩する虞れがあ
る。このため、外部記憶媒体に対して機密データを格納
する場合には、暗号化により機密データを保持する必要
がある。2. Description of the Related Art In recent years, as computer systems have become OA and electronic, many users have come to access one computer system. Therefore, there is a possibility that the confidential data may be leaked to another person when the confidential data is transmitted and received. Therefore, when storing confidential data in the external storage medium, it is necessary to retain the confidential data by encryption.
【0003】このような外部記憶媒体に格納されるデー
タを暗号化するデータ暗号化システムとして、例えば、
特開平3−261798号公報がある。このシステムでは、計
算機に設けたデータ鍵生成回路がデータの暗号化及び復
号化のための鍵のみを生成するる。そして、この鍵を外
部記憶装置内のデータ暗号化回路及びデータ復号化回路
に送る。さらに、データ暗号化回路及びデータ復号化回
路がデータの暗号化及び復号化を行うことにより、計算
機と外部記憶装置との間のデータ転送能力(スループッ
ト)を落とさないようにしている。As a data encryption system for encrypting data stored in such an external storage medium, for example,
There is JP-A-3-261798. In this system, a data key generation circuit provided in a computer generates only a key for encrypting and decrypting data. Then, this key is sent to the data encryption circuit and the data decryption circuit in the external storage device. Further, the data encryption circuit and the data decryption circuit perform encryption and decryption of the data, so that the data transfer capability (throughput) between the computer and the external storage device is not reduced.
【0004】[0004]
【発明が解決しようとする課題】このように、従来の暗
号化システムでは、データの暗号化及び復号化のための
鍵を生成するデータ鍵生成回路とデータの暗号化及び復
号化を行うデータ暗号化回路とを備えていた。これらの
データ鍵生成回路及びデータ暗号回路は、データの機密
を保持するために外部からの攻撃に耐えるように構成さ
れる必要がある。このため、これらの回路にかかるコス
トが問題となる。As described above, in the conventional encryption system, the data key generation circuit for generating the key for the data encryption and the data encryption and the data encryption for the data encryption and the data decryption. It was equipped with a conversion circuit. These data key generation circuit and data encryption circuit need to be configured to withstand external attacks in order to maintain the confidentiality of data. Therefore, the cost of these circuits becomes a problem.
【0005】例えば、大型の計算機を用いた場合には前
記回路にさほどコストはかからないが、ワークステーシ
ョンあるいはパーソナルコンピュータといった小型の計
算機を用いた場合には前記回路にかなりのコストがかか
る。For example, when a large computer is used, the cost of the circuit is low, but when a small computer such as a workstation or a personal computer is used, the cost of the circuit is considerable.
【0006】また、計算機内のデータ鍵生成回路が鍵を
生成してから、外部記憶装置内のデータ暗号化回路に送
らなければならないというオーバヘッドが存在した。さ
らに、小型計算機の場合には、ソフト的なアセクス制御
が大型機に比較して弱い。このため、鍵を生成するため
の秘密情報は計算機内のデータ鍵生成回路に格納するの
ではなく、個人が携帯して必要な時だけ秘密情報を入力
するような構成が望まれていた。Further, there is an overhead that the data key generation circuit in the computer must generate the key and then send the key to the data encryption circuit in the external storage device. Furthermore, in the case of a small computer, the soft access control is weaker than that of a large computer. For this reason, it has been desired that the secret information for generating the key is not stored in the data key generation circuit in the computer but is carried by an individual and the secret information is input only when necessary.
【0007】また、外部記憶媒体に格納されるデータを
暗号化するデータ暗号化システムとして、例えば、特開
昭55−32074号公報があり、その構成を図8に示す。図
8に暗号化システムでは、暗号化鍵を生成するための鍵
が暗号化処理装置3a内に固定の秘密鍵として設定す
る。そして、鍵を固定の秘密鍵により暗号化してこれを
外部記憶媒体6に記憶している。Further, as a data encryption system for encrypting data stored in an external storage medium, there is, for example, Japanese Patent Laid-Open No. 55-32074, and its configuration is shown in FIG. In the encryption system shown in FIG. 8, a key for generating an encryption key is set as a fixed secret key in the encryption processing device 3a. Then, the key is encrypted with a fixed secret key and stored in the external storage medium 6.
【0008】しかし、この公知例では、暗号化処理装置
3a内に固定の鍵が設定されているために次のような問
題があった。装置が大型になった際に、外部記憶媒体6
を他の場所の装置にかける場合には、鍵をどうのように
配送するかという問題があった。However, this known example has the following problem because a fixed key is set in the encryption processing device 3a. When the device becomes large, the external storage medium 6
There was a problem of how to deliver the key when the key was applied to the device at another place.
【0009】また、装置が小型である場合には、装置ご
と盗用される危険性があった。さらに、暗号化された鍵
が外部記憶媒体6に格納されているため、秘密鍵が解読
された場合に被害が大きかった。If the device is small, there is a risk that the device as a whole will be stolen. Further, since the encrypted key is stored in the external storage medium 6, the damage is great when the private key is decrypted.
【0010】本発明は、このような点に鑑みてなされた
もので、その目的とするところは、データの機密を保持
するとともに、機密保持にかかるコストを低減すること
のできるデータ暗号化システムを提供することにある。The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a data encryption system capable of keeping the confidentiality of data and reducing the cost required for keeping the confidentiality. To provide.
【0011】[0011]
【課題を解決するための手段】本発明は、前記課題を解
決するために下記の構成とした。図1は本発明の原理図
である。The present invention has the following constitution in order to solve the above problems. FIG. 1 shows the principle of the present invention.
【0012】本発明のデータ暗号化システムは、データ
を処理する計算機1、この計算機1との間でデータの授
受を行う外部記憶装置2、外部記憶装置2に着脱自在に
接続されるとともに秘密情報を前記外部記憶装置2に入
力する携帯可能装置7を備える。The data encryption system of the present invention is connected to the computer 1 for processing data, the external storage device 2 for exchanging data with the computer 1, and the external storage device 2 in a detachable manner, and secret information. The portable storage device 7 for inputting to the external storage device 2 is provided.
【0013】外部記憶装置2は外部記憶媒体として、例
えば磁気ディスク、磁気テープ、光磁気ディスクなどを
備えている。前記外部記憶装置2は、データ鍵生成手段
12、データ暗号化手段11とを備えるようする。The external storage device 2 is provided with an external storage medium such as a magnetic disk, a magnetic tape, or a magneto-optical disk. The external storage device 2 is provided with a data key generation means 12 and a data encryption means 11.
【0014】データ鍵生成手段12は、前記携帯可能装
置7からの秘密情報をもとに前記データの暗号化及び復
号化のための鍵を生成する。データ暗号化手段11は前
記データ鍵生成手段12により生成された鍵を用いて前
記データの暗号化及び復号化を行う。The data key generation means 12 generates a key for encrypting and decrypting the data based on the secret information from the portable device 7. The data encryption means 11 uses the key generated by the data key generation means 12 to encrypt and decrypt the data.
【0015】ここで、前記携帯可能装置7は、例えば、
スマートカード,ICメモリカードなどである。前記携
帯可能装置7は、パスワード記憶部21、パスワード入
力回路22、比較器23、記憶部24、アクセス制御部
25とを備えるようにする。Here, the portable device 7 is, for example,
Examples include smart cards and IC memory cards. The portable device 7 includes a password storage unit 21, a password input circuit 22, a comparator 23, a storage unit 24, and an access control unit 25.
【0016】パスワード記憶部21は予め定められたパ
スワードを記憶する。パスワード入力回路22は任意の
パスワードを入力する。比較器23は予め定められたパ
スワードと入力されたパスワードとを比較する。The password storage unit 21 stores a predetermined password. The password input circuit 22 inputs an arbitrary password. The comparator 23 compares the predetermined password with the entered password.
【0017】記憶部24は秘密情報を記憶する。アクセ
ス制御部25は入力されたパスワードが予め定められた
パスワードに一致したとき前記記憶部24から秘密情報
を前記データ鍵生成手段12に読み出す。The storage unit 24 stores secret information. The access control unit 25 reads secret information from the storage unit 24 to the data key generation unit 12 when the input password matches a predetermined password.
【0018】さらに、前記外部記憶装置2は、前記携帯
可能装置7からの秘密情報を前記データ鍵生成手段12
に供給する携帯装置インターフェイス13を備えるよう
にしてもよい。Further, the external storage device 2 stores the secret information from the portable device 7 in the data key generation means 12.
May be provided with a portable device interface 13 that supplies
【0019】前記データ暗号鍵は暗号化すべきデータの
ヘッダにより可変されるものであってもよい。The data encryption key may be variable depending on the header of the data to be encrypted.
【0020】[0020]
【作用】本発明によれば、外部記憶装置2にデータ鍵生
成手段12、データ暗号化手段11とを設け、データ鍵
生成手段12が計算機1に対するデータの暗号化及び復
号化のための鍵を生成する。データ暗号化手段11がデ
ータ鍵生成手段12により生成された鍵を用いてデータ
の暗号化及び復号化を行うので、例えば、外部記憶媒体
へのデータの転送速度を犠牲にせずに外部記憶媒体のデ
ータの機密性を確保できる。また、小型の計算機システ
ムにおいても、データ暗号化鍵の機密の保持が低コスト
で実現できる。According to the present invention, the external storage device 2 is provided with the data key generating means 12 and the data encrypting means 11, and the data key generating means 12 provides a key for encrypting and decrypting data for the computer 1. To generate. Since the data encryption means 11 uses the key generated by the data key generation means 12 to encrypt and decrypt the data, for example, the data transfer speed to the external storage medium is not sacrificed and the external storage medium Data confidentiality can be secured. Further, even in a small computer system, the confidentiality of the data encryption key can be maintained at low cost.
【0021】また、計算機1がデータ鍵を暗号化して外
部記憶装置2に転送する必要性もなくなる。さらに、携
帯可能装置7をデータ鍵生成手段12に着脱自在に接続
して、携帯可能装置7から秘密情報を必要な時だけデー
タ鍵生成手段12に入力するので、ファイルの移動の際
に鍵を如何に移動元と移動先との計算機システムで共有
するという問題をなくすことができる。Further, it is not necessary for the computer 1 to encrypt the data key and transfer it to the external storage device 2. Further, since the portable device 7 is detachably connected to the data key generating means 12 and the secret information is inputted from the portable device 7 to the data key generating means 12 only when necessary, the key can be moved when the file is moved. It is possible to eliminate the problem of sharing the source and destination computer systems.
【0022】[0022]
【実施例】以下、本発明のデータ暗号化システムの一実
施例を説明する。図2は本発明のデータ暗号化システム
の実施例の構成ブロック図である。図2に示すシステム
は、外部記憶装置内でデータの暗号化及び復号化のため
の鍵の生成を行う例である。 <実施例の構成>図2において、データを処理する計算
機1には、この計算機1との間でデータの授受を行う外
部記憶装置2が接続される。この外部記憶装置2は例え
ば磁気テープ、磁気ディスク、光磁気ディスクなどであ
る。DESCRIPTION OF THE PREFERRED EMBODIMENTS An embodiment of the data encryption system of the present invention will be described below. FIG. 2 is a configuration block diagram of an embodiment of the data encryption system of the present invention. The system shown in FIG. 2 is an example in which a key for encryption and decryption of data is generated in an external storage device. <Structure of Embodiment> In FIG. 2, an external storage device 2 for exchanging data with the computer 1 is connected to the computer 1 for processing data. The external storage device 2 is, for example, a magnetic tape, a magnetic disk, a magneto-optical disk, or the like.
【0023】この外部記憶装置2には人が携帯すること
のできる携帯可能装置7及び外部記憶媒体6が接続され
ている。この外部記憶装置2は、暗号化処理装置3、計
算機インタフェイス制御部4、外部記憶媒体インターフ
ェイス制御部5とを備えている。To the external storage device 2, a portable device 7 and an external storage medium 6 which can be carried by a person are connected. The external storage device 2 includes an encryption processing device 3, a computer interface control unit 4, and an external storage medium interface control unit 5.
【0024】計算機インタフェイス制御部4は、計算機
1に接続され、計算機1と外部記憶装置2との入出力を
司る。この計算機インターフェイス制御部4には暗号化
処理装置3が接続される。The computer interface control unit 4 is connected to the computer 1 and controls input / output between the computer 1 and the external storage device 2. The encryption processing device 3 is connected to the computer interface control unit 4.
【0025】前記暗号化処理装置3は、計算機1に対す
るデータの暗号化及び復号化を行うものであり、データ
暗号化回路11、データ鍵生成回路12、携帯装置イン
ターフェイス13及び制御回路14とを備えている。The encryption processing device 3 is for encrypting and decrypting data for the computer 1, and comprises a data encryption circuit 11, a data key generation circuit 12, a portable device interface 13 and a control circuit 14. ing.
【0026】携帯装置インターフェイス13は、携帯可
能装置7が接続され、携帯可能装置7と外部記憶装置2
との間の入出力を司る。携帯装置インターフェイス13
にデータ鍵生成回路12が接続される。The portable device interface 13 is connected to the portable device 7, and the portable device 7 and the external storage device 2 are connected.
It controls input and output between and. Mobile device interface 13
The data key generation circuit 12 is connected to.
【0027】データ鍵生成回路12は、携帯装置インタ
ーフェイス13から送られてくる秘密情報に従ってデー
タの暗号化及び復号化を行うための鍵を生成する。デー
タ鍵生成回路12にはデータ暗号化回路11が接続され
る。The data key generation circuit 12 generates a key for encrypting and decrypting data according to the secret information sent from the portable device interface 13. The data encryption circuit 11 is connected to the data key generation circuit 12.
【0028】データ暗号化回路11は、計算機インター
フェイス制御部4からのデータをデータ鍵生成回路12
からのデータ暗号鍵に従って暗号化する。また、データ
暗号化回路11は、外部記憶媒体インターフェイス制御
部5からの暗号化されたデータをデータ鍵生成回路12
からのデータ暗号鍵に従って復号化する。The data encryption circuit 11 uses the data from the computer interface control unit 4 as the data key generation circuit 12
It is encrypted according to the data encryption key from. Further, the data encryption circuit 11 converts the encrypted data from the external storage medium interface control unit 5 into the data key generation circuit 12
Decrypt according to the data encryption key from.
【0029】制御回路14は、例えば、マイクロプロセ
ッサからなり、データ暗号化回路11、データ鍵生成回
路12、携帯装置インターフェイス13を制御するよう
になっている。The control circuit 14 is composed of, for example, a microprocessor and controls the data encryption circuit 11, the data key generation circuit 12, and the portable device interface 13.
【0030】外部記憶インターフェイス制御部5は暗号
化処理装置3と外部記憶媒体6との間の入出力を司る。
外部記憶媒体6は前記制御回路14が制御するためのプ
ログラムを格納するとともに暗号化されたデータを格納
している。The external storage interface controller 5 controls input / output between the encryption processing device 3 and the external storage medium 6.
The external storage medium 6 stores a program to be controlled by the control circuit 14 and also stores encrypted data.
【0031】前記携帯可能装置7は、例えば、スマート
カード,ICメモリカードなどである。また、この携帯
可能装置7は、所有者以外は利用できないようにパスワ
ードなどによるアクセス制御を行なう。The portable device 7 is, for example, a smart card or an IC memory card. The portable device 7 also controls access by a password so that it cannot be used by anyone other than the owner.
【0032】図6は携帯可能装置7の一例を示す図であ
る。携帯可能装置7は、パスワードレジスタ21、パス
ワード入力回路22、比較器23、アクセス制御回路2
5とを備えている。FIG. 6 shows an example of the portable device 7. The portable device 7 includes a password register 21, a password input circuit 22, a comparator 23, and an access control circuit 2.
5 and.
【0033】パスワードレジスタ21は予め定められた
パスワードを格納している。パスワード入力回路22
は、例えば、キーパッドであり、利用者がパスワードを
入力するものである。The password register 21 stores a predetermined password. Password input circuit 22
Is a keypad, for example, for a user to input a password.
【0034】比較器23は、パスワードレジスタ21に
格納されたパスワード値とパスワード入力回路22に入
力されたパスワード値とを比較する。アクセス制御回路
25は、これらのパスワード値が一致した場合に、秘密
情報24を読み出して携帯装置インターフェイス13に
送る。 <実施例の動作>図3は暗号化処理装置の詳細な構成を
示す図である。図6は実施例のデータ格納処理を示すフ
ローチャートである。前記図面を参照して実施例の動作
を説明する。 (データの格納)まず、計算機1からのデータを暗号化
して外部記憶媒体6へ格納する場合について説明する。The comparator 23 compares the password value stored in the password register 21 with the password value input to the password input circuit 22. When these password values match, the access control circuit 25 reads the secret information 24 and sends it to the mobile device interface 13. <Operation of Embodiment> FIG. 3 is a diagram showing a detailed configuration of the encryption processing device. FIG. 6 is a flowchart showing the data storage process of the embodiment. The operation of the embodiment will be described with reference to the drawings. (Data Storage) First, the case where the data from the computer 1 is encrypted and stored in the external storage medium 6 will be described.
【0035】まず、計算機1が外部記憶装置2に対して
計算機インターフェイス制御部4を介してデータの格納
指示を行う(ステップ101)。そして、暗号化処理装
置3は、携帯可能装置7が携帯装置インターフェイス1
3に接続されているか否かのチェックを行う(ステップ
102)。First, the computer 1 instructs the external storage device 2 to store data via the computer interface control unit 4 (step 101). In the encryption processing device 3, the portable device 7 is the portable device interface 1
It is checked whether or not it is connected to No. 3 (step 102).
【0036】ここで、携帯可能装置7が携帯装置インタ
ーフェイス13に接続されていない場合には、計算機1
に携帯可能装置7のセット要求メッセージを表示する
(ステップ103)。Here, when the portable device 7 is not connected to the portable device interface 13, the computer 1
A set request message for the portable device 7 is displayed on the screen (step 103).
【0037】一方、携帯可能装置7が携帯装置インター
フェイス13に接続されている場合には、暗号化処理装
置3内では、携帯装置インターフェイス13が携帯可能
装置7から秘密情報を読み出す(ステップ104)。On the other hand, when the portable device 7 is connected to the portable device interface 13, the portable device interface 13 reads the secret information from the portable device 7 in the encryption processing device 3 (step 104).
【0038】このときの携帯可能装置7からの秘密情報
の読み出しを以下、詳細に説明する。まず、図5に示す
携帯可能装置7では、まず、図示しない電源を動作して
回路をアクティブにする。次に、任意のパスワードがパ
スワード入力回路22から入力される。そして、パスワ
ードレジスタ21から予め定められたパスワード値が読
み出される。比較器23とにより比較される。The reading of the secret information from the portable device 7 at this time will be described in detail below. First, in the portable device 7 shown in FIG. 5, first, a power source (not shown) is operated to activate the circuit. Next, an arbitrary password is input from the password input circuit 22. Then, the predetermined password value is read from the password register 21. It is compared by the comparator 23.
【0039】これらの値が一致した場合には、図3に示
す制御回路14が、計算機インターフェイスからデータ
の格納指示に従って、携帯可能装置インターフェイス1
3を通して携帯可能装置7内のアクセス制御回路25を
通して秘密情報レジスタ24から鍵生成のための秘密情
報を読み出す。When these values match, the control circuit 14 shown in FIG. 3 follows the data storage instruction from the computer interface and the portable device interface 1
3, the secret information for key generation is read from the secret information register 24 through the access control circuit 25 in the portable device 7.
【0040】次に、携帯装置インターフェイス13は、
制御回路14からの制御信号に従って、この秘密情報と
ともにファイル名、乃至日付けなどの乱数をデータ鍵生
成回路12に送る。すなわち、生成された鍵の情報とし
てファイルのヘッダ部分には、ファイル名、乃至は日付
け等の乱数が付加される。Next, the portable device interface 13
According to a control signal from the control circuit 14, a random number such as a file name or date is sent to the data key generation circuit 12 together with the secret information. That is, a file name or a random number such as a date is added to the header portion of the file as the information of the generated key.
【0041】データ鍵生成回路12は、前記秘密情報、
ファイル名に基づきデータ暗号化鍵を生成する(ステッ
プ105)。このデータ暗号化鍵は、制御回路14の制
御信号に従って、データ暗号化回路11に送られる。The data key generation circuit 12 uses the secret information,
A data encryption key is generated based on the file name (step 105). This data encryption key is sent to the data encryption circuit 11 according to the control signal of the control circuit 14.
【0042】さらに、制御回路14は、計算機1からデ
ータを転送するためのレディー信号を送る(ステップ1
06)。計算機1では、レディ信号を受けてデータの転
送を行うので、計算機1からデータが計算機インターフ
ェイス制御部4を通してデータ暗号化回路11に送られ
てくる。そのデータは、データ暗号化回路11により、
データ鍵生成回路12からのデータ暗号化鍵に従って暗
号化される(ステップ107)。Further, the control circuit 14 sends a ready signal for transferring data from the computer 1 (step 1
06). Since the computer 1 receives the ready signal and transfers the data, the data is sent from the computer 1 to the data encryption circuit 11 through the computer interface control unit 4. The data is processed by the data encryption circuit 11.
It is encrypted according to the data encryption key from the data key generation circuit 12 (step 107).
【0043】さらに、この暗号化されたデータは外部記
憶媒体インターフェイス制御部5を介して外部記憶媒体
6に記憶される(ステップ108)。ここでは、記憶媒
体6に格納されるのは、ファイル名などであり、暗号化
された暗号化鍵は格納されない。Further, this encrypted data is stored in the external storage medium 6 via the external storage medium interface control section 5 (step 108). Here, what is stored in the storage medium 6 is a file name or the like, and the encrypted encryption key is not stored.
【0044】なお、データ暗号鍵生成回路の生成アルゴ
リズムの一例として、図4に、内蔵秘密鍵を用いたDE
S(Data Encryp-tion Standard)について示した。DE
Sは、64ビットの平文(暗号文)を入力し、56ビッ
トの鍵の制御のもとに64ビットの暗号文(平文)を出
力するブロック暗号である。As an example of the generation algorithm of the data encryption key generation circuit, the DE using the built-in secret key is shown in FIG.
S (Data Encryp-tion Standard) is shown. DE
S is a block cipher that inputs a 64-bit plaintext (ciphertext) and outputs a 64-bit ciphertext (plaintext) under the control of a 56-bit key.
【0045】DESは64ビットのデータブロックを単
位に暗号化及び復号化する。鍵の長さは56ビット(8
ビットのパリティビットを加えると64ビット)であ
る。暗号アルゴリズムは転置式と換字式とを基本にして
いる。DESの暗号化では、これらの転置と換字とを適
当に組み合わせた処理を繰り返すことにより、平文のビ
ットパターンをかき混ぜ、意味のわからない暗号文に変
換している。また、復号化では、逆にかき混ぜることに
よりもとの平文を復号する。DES encrypts and decrypts in units of 64-bit data blocks. The key length is 56 bits (8
It is 64 bits when the parity bit of the bits is added. Cryptographic algorithms are based on transposition and substitution. In the DES encryption, a process in which these transpositions and substitutions are appropriately combined is repeated to stir the bit patterns of plaintext and convert them into ciphertexts that do not make sense. Further, in the decryption, the original plaintext is decrypted by reversely stirring.
【0046】図4に示す例では、まず、DES32が、
秘密情報レジスタ24に格納された秘密情報(平文)を
内蔵秘密鍵を用いて暗号化することにより、暗号文Ku
を生成する。さらに、DES34が、生成された暗号文
Kuによりファイル名を暗号化してデータ暗号化鍵を生
成する。このようなDESを用いてデータ暗号化鍵を生
成することもできる。 (データの読み出し)次に、暗号化されたデータを外部
記憶媒体6から計算機1に読み出す場合について説明す
る。図7は実施例のデータの読み出し処理を示すフロー
チャートである。In the example shown in FIG. 4, first, the DES 32
By encrypting the secret information (plaintext) stored in the secret information register 24 using the built-in secret key, the ciphertext Ku
To generate. Further, the DES 34 encrypts the file name with the generated ciphertext Ku to generate a data encryption key. A data encryption key can also be generated using such a DES. (Reading of Data) Next, a case of reading the encrypted data from the external storage medium 6 to the computer 1 will be described. FIG. 7 is a flowchart showing the data read processing of the embodiment.
【0047】まず、計算機1が外部記憶装置2に対して
計算機インターフェイス制御部4を介してデータの読み
出し指示を行う(ステップ201)。そして、暗号化処
理装置3は、携帯可能装置7が携帯装置インターフェイ
ス13に接続されているか否かのチェックを行う(ステ
ップ202)。First, the computer 1 issues a data read instruction to the external storage device 2 via the computer interface control unit 4 (step 201). Then, the encryption processing device 3 checks whether or not the portable device 7 is connected to the portable device interface 13 (step 202).
【0048】ここで、携帯可能装置7が携帯装置インタ
ーフェイス13に接続されていない場合には、計算機1
に携帯可能装置7のセット要求メッセージを表示する
(ステップ203)。Here, when the portable device 7 is not connected to the portable device interface 13, the computer 1
A set request message for the portable device 7 is displayed on the screen (step 203).
【0049】一方、携帯可能装置7が携帯装置インター
フェイス13に接続されている場合には、暗号化処理装
置3内では、携帯装置インターフェイス13が携帯可能
装置7から秘密情報を読み出す(ステップ204)。On the other hand, when the portable device 7 is connected to the portable device interface 13, the portable device interface 13 reads the secret information from the portable device 7 in the encryption processing device 3 (step 204).
【0050】制御回路14が、計算機インターフェイス
からデータの読み出し指示に従って、携帯可能装置イン
ターフェイス13を通して携帯可能装置7内のアクセス
制御回路25を通して秘密情報レジスタ24から鍵生成
のための秘密情報を読み出す。The control circuit 14 reads the secret information for key generation from the secret information register 24 through the access control circuit 25 in the portable device 7 through the portable device interface 13 according to the data read instruction from the computer interface.
【0051】次に、携帯装置インターフェイス13は、
制御回路14からの制御信号に従って、この秘密情報を
データ鍵生成回路12に送る。データ鍵生成回路12
は、秘密情報に基づきデータ復号化鍵を生成する(ステ
ップ205)。このデータ復号化鍵は、制御回路14の
制御信号に従って、データ暗号化回路11に送られる。Next, the portable device interface 13
This secret information is sent to the data key generation circuit 12 according to the control signal from the control circuit 14. Data key generation circuit 12
Generates a data decryption key based on the secret information (step 205). This data decryption key is sent to the data encryption circuit 11 according to the control signal of the control circuit 14.
【0052】さらに、制御回路14は、計算機1にデー
タを転送するためのレディー信号を送る(ステップ20
6)。その後に、外部記憶媒体6から外部記憶インター
フェイス制御部5を通して送られてくるデータは、デー
タ暗号化回路11により、データ鍵生成回路12から送
られてくるデータ復号鍵に従って復号される(ステップ
207)。Further, the control circuit 14 sends a ready signal for transferring data to the computer 1 (step 20).
6). After that, the data sent from the external storage medium 6 through the external storage interface control unit 5 is decrypted by the data encryption circuit 11 according to the data decryption key sent from the data key generation circuit 12 (step 207). .
【0053】復号されたデータは、計算機インターフェ
イス制御部4を通して計算機1に送られる(ステップ2
08)。ここで、データ暗号化回路11において、対象
鍵番号として例えば、前記DESあるいは高速データ暗
号アルゴリズム、すなわち、FEAL(Fast DataEncip
herment Algorithm-8)などを用いた場合には、データ暗
号化鍵とデータ復号鍵は同じ値となる。The decrypted data is sent to the computer 1 through the computer interface control unit 4 (step 2).
08). Here, in the data encryption circuit 11, as the target key number, for example, the DES or the high-speed data encryption algorithm, that is, FEAL (Fast DataEncip
When using herment Algorithm-8) etc., the data encryption key and the data decryption key have the same value.
【0054】なお、暗号化及び復号を行うか否かはファ
イルのヘッダにより決定される。このように本実施例に
よれば、外部記憶装置2にデータ鍵生成回路12、デー
タ暗号化回路11とを設け、データ鍵生成回路12が計
算機1に対するデータの暗号化及び復号化のための鍵を
生成する。Whether or not encryption and decryption are performed is determined by the header of the file. As described above, according to this embodiment, the external storage device 2 is provided with the data key generation circuit 12 and the data encryption circuit 11, and the data key generation circuit 12 is a key for encrypting and decrypting data for the computer 1. To generate.
【0055】そして、データ暗号化回路11がデータ鍵
生成回路12により生成された鍵を用いてデータの暗号
化及び復号化を行う。従って、例えば、外部記憶媒体6
へのデータの転送速度を犠牲にせずに外部記憶媒体6の
データの機密性を確保できる。また、本発明を中型また
は小型の計算機システムに適用した場合には、コストを
より低減でき、中型または小型の計算機システムにおけ
る暗号化の需要が拡大する。Then, the data encryption circuit 11 uses the key generated by the data key generation circuit 12 to encrypt and decrypt the data. Therefore, for example, the external storage medium 6
The confidentiality of the data in the external storage medium 6 can be ensured without sacrificing the data transfer speed to the. Further, when the present invention is applied to a medium-sized or small-sized computer system, the cost can be further reduced and the demand for encryption in the medium-sized or small-sized computer system is expanded.
【0056】また、計算機1がデータ鍵を暗号化して外
部記憶装置2に転送する必要性もなくなる。さらに、携
帯可能装置7をデータ鍵生成回路12に着脱自在に接続
して、携帯可能装置7から鍵を生成するための秘密情報
を必要な時だけデータ鍵生成回路12に入力するので、
ファイルの移動の際に鍵を如何に移動元と移動先との計
算機システムで共有するかという問題をなくすことがで
きる。Further, there is no need for the computer 1 to encrypt the data key and transfer it to the external storage device 2. Furthermore, since the portable device 7 is detachably connected to the data key generation circuit 12 and the secret information for generating the key from the portable device 7 is input to the data key generation circuit 12 only when necessary,
It is possible to eliminate the problem of how to share a key between the source and destination computer systems when moving a file.
【0057】例えば、図8に示す従来例に比較して本実
施例は次のような効果がある。実施例では、スマートカ
ードなどの安全性の高い携帯可能装置7を用いて鍵を生
成するので、鍵の配送の問題はなくなる。また、記憶媒
体と携帯可能装置との両方が盗用された場合であって
も、これだけではデータを使用できず、保有者のパスワ
ードなどを知られない限り安全性が確保される。For example, in comparison with the conventional example shown in FIG. 8, this embodiment has the following effects. In the embodiment, since the key is generated by using a highly secure portable device 7 such as a smart card, the problem of key delivery is eliminated. In addition, even if both the storage medium and the portable device are stolen, the data cannot be used and the security is secured unless the owner's password is known.
【0058】また、ファイルのヘッダの一部を用いて鍵
を可変にし、鍵に関する情報は外部記憶媒体6には暗号
化した形でも存在しないため、安全性が確保される。Further, the key is made variable by using a part of the header of the file, and the information regarding the key does not exist in the encrypted form in the external storage medium 6, so that the security is secured.
【0059】[0059]
【発明の効果】本発明によれば、外部記憶装置にデータ
鍵生成手段、データ暗号化手段とを設け、データ鍵生成
手段が計算機に対するデータの暗号化及び復号化のため
の鍵を生成し、データ暗号化手段が生成された鍵を用い
てデータの暗号化及び復号化を行う。According to the present invention, the external storage device is provided with the data key generating means and the data encrypting means, and the data key generating means generates the key for encrypting and decrypting the data for the computer, The data encryption means encrypts and decrypts the data using the generated key.
【0060】従って、外部記憶装置へのデータの転送速
度を犠牲にせずに外部記憶装置のデータの機密性を確保
できるとともに安全性も向上する。また、本発明を中型
または小型の計算機システムに適用した場合には、コス
トをより低減でき、中型または小型の計算機システムに
おける暗号化の需要が拡大する。Therefore, the confidentiality of the data in the external storage device can be secured without sacrificing the data transfer speed to the external storage device, and the security is improved. Further, when the present invention is applied to a medium-sized or small-sized computer system, the cost can be further reduced and the demand for encryption in the medium-sized or small-sized computer system is expanded.
【0061】さらに、本発明では、鍵の元となる情報を
携帯可能装置に格納することにより、ファイルの移動の
際に鍵を如何に移動元と移動先との計算機システムで共
有するかという問題をなくすことができる。Further, according to the present invention, by storing the information as the source of the key in the portable device, the problem of how to share the key between the source and destination computer systems when the file is moved. Can be eliminated.
【図1】本発明の原理図である。FIG. 1 is a principle diagram of the present invention.
【図2】本発明の実施例の構成ブロック図である。FIG. 2 is a configuration block diagram of an embodiment of the present invention.
【図3】暗号化処理装置の構成ブロック図である。FIG. 3 is a configuration block diagram of an encryption processing device.
【図4】データ鍵生成の一例を示す図である。FIG. 4 is a diagram showing an example of data key generation.
【図5】携帯可能装置の構成ブロック図である。FIG. 5 is a configuration block diagram of a portable device.
【図6】実施例のデータの格納処理を示すフローチャー
トである。FIG. 6 is a flowchart showing a data storage process according to the embodiment.
【図7】実施例のデータの読み出し処理を示すフローチ
ャートである。FIG. 7 is a flowchart showing a data read process of the embodiment.
【図8】従来のデータ暗号化システムの一例を示す構成
図である。FIG. 8 is a configuration diagram showing an example of a conventional data encryption system.
1・・計算機 2・・外部記憶装置 3・・暗号化処理装置 4・・計算機インターフェイス制御部 5・・外部記憶媒体インターフェイス制御部 6・・外部記憶媒体 7・・携帯可能装置 11・・データ暗号化回路 12・・データ鍵生成回路 13・・携帯装置インターフェイス 14・・制御回路 21・・パスワードレジスタ 22・・パスワード入力回路 23・・比較器 24・・秘密情報レジスタ 25・・アクセス制御部 1 ... Computer 2 ... External storage device 3 ... Encryption processing device 4 ... Computer interface control unit 5 ... External storage medium interface control unit 6 ... External storage medium 7 ... Portable device 11 ... Data encryption Circuit 12 ... data key generation circuit 13 ... portable device interface 14 ... control circuit 21 ... password register 22 ... password input circuit 23 ... comparator 24 ... secret information register 25 ... access control unit
───────────────────────────────────────────────────── フロントページの続き (72)発明者 秋山 良太 神奈川県川崎市中原区上小田中1015番地 富士通株式会社内 ─────────────────────────────────────────────────── ─── Continued Front Page (72) Inventor Ryota Akiyama 1015 Kamiodanaka, Nakahara-ku, Kawasaki-shi, Kanagawa Fujitsu Limited
Claims (4)
(2)と、 外部記憶装置(2)に着脱自在に接続されるとともに秘
密情報を前記外部記憶装置(2)に入力する携帯可能装
置(7)とを備え、 前記外部記憶装置(2)は、前記携帯可能装置(7)か
らの秘密情報をもとに前記データの暗号化及び復号化の
ための鍵を生成するデータ鍵生成手段(12)と、 前記データ鍵生成手段(12)により生成された鍵を用
いて前記データの暗号化及び復号化を行うデータ暗号化
手段(11)とを備えたことを特徴とするデータ暗号化
システム。1. A computer (1) for processing data, an external storage device (2) for exchanging data with the computer (1), and a detachable connection to the external storage device (2). A portable device (7) for inputting confidential information to the external storage device (2), wherein the external storage device (2) stores the data based on the confidential information from the portable device (7). Data key generation means (12) for generating a key for encryption and decryption, and data encryption for performing encryption and decryption of the data using the key generated by the data key generation means (12) A data encryption system comprising means (11).
(7)は、予め定められたパスワードを記憶するパスワ
ード記憶部(21)と、 任意のパスワードを入力するパスワード入力回路(2
2)と、 予め定められたパスワードと入力されたパスワードとを
比較する比較器(23)と、 前記秘密情報を記憶する記憶部(24)と、 入力されたパスワードが予め定められたパスワードに一
致したとき前記記憶部(24)から秘密情報を前記デー
タ鍵生成手段(12)に読み出すアクセス制御部(2
5)とを備えたことを特徴とするデータ暗号化システ
ム。2. The portable device (7) according to claim 1, wherein the portable device (7) stores a predetermined password and a password input circuit (2) for inputting an arbitrary password.
2), a comparator (23) for comparing a predetermined password with an input password, a storage unit (24) for storing the secret information, and the input password matches the predetermined password. At this time, the access control unit (2) for reading the secret information from the storage unit (24) to the data key generation means (12)
5) A data encryption system comprising:
に、前記外部記憶装置(2)は、前記携帯可能装置
(7)からの秘密情報を前記データ鍵生成手段(12)
に供給する携帯装置インターフェイス(13)を備えた
ことを特徴とするデータ暗号化システム。3. The external storage device (2) according to claim 1 or 2, wherein the secret information from the portable device (7) is stored in the data key generation means (12).
A data encryption system comprising a portable device interface (13) to be supplied to the device.
データ暗号鍵は暗号化すべきデータのヘッダにより可変
されることを特徴とするデータ暗号化システム。4. The data encryption system according to claim 1 or 2, wherein the data encryption key is variable depending on a header of data to be encrypted.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5279556A JPH07134548A (en) | 1993-11-09 | 1993-11-09 | Data ciphering system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5279556A JPH07134548A (en) | 1993-11-09 | 1993-11-09 | Data ciphering system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH07134548A true JPH07134548A (en) | 1995-05-23 |
Family
ID=17612620
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5279556A Pending JPH07134548A (en) | 1993-11-09 | 1993-11-09 | Data ciphering system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH07134548A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003124923A (en) * | 2001-10-15 | 2003-04-25 | Nec Infrontia Corp | Method of storing cipher key in battery |
| WO2006090455A1 (en) * | 2005-02-24 | 2006-08-31 | Fujitsu Limited | Storage device, control method, and program |
| JP2007221785A (en) * | 2006-02-15 | 2007-08-30 | Samsung Electronics Co Ltd | Method and apparatus for executing application automatically according to approach of wireless device |
-
1993
- 1993-11-09 JP JP5279556A patent/JPH07134548A/en active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003124923A (en) * | 2001-10-15 | 2003-04-25 | Nec Infrontia Corp | Method of storing cipher key in battery |
| WO2006090455A1 (en) * | 2005-02-24 | 2006-08-31 | Fujitsu Limited | Storage device, control method, and program |
| JP2007221785A (en) * | 2006-02-15 | 2007-08-30 | Samsung Electronics Co Ltd | Method and apparatus for executing application automatically according to approach of wireless device |
| US9118498B2 (en) | 2006-02-15 | 2015-08-25 | Samsung Electronics Co., Ltd. | Method and apparatus for executing an application automatically according to the approach of wireless device |
| US10492203B2 (en) | 2006-02-15 | 2019-11-26 | Samsung Electronics Co., Ltd. | Method and apparatus for executing an application automatically according to the approach of wireless device |
| US10582505B2 (en) | 2006-02-15 | 2020-03-03 | Samsung Electronics Co., Ltd. | Method and apparatus for executing an application automatically according to the approach of wireless device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3747520B2 (en) | Information processing apparatus and information processing method | |
| EP1440535B1 (en) | Memory encrytion system and method | |
| US7885404B2 (en) | Cryptographic systems and methods supporting multiple modes | |
| JP4703791B2 (en) | Data re-encryption apparatus and method | |
| US6778667B1 (en) | Method and apparatus for integrated ciphering and hashing | |
| EP0002390B1 (en) | Method for cryptographic file security in multiple domain data processing systems | |
| US8983061B2 (en) | Method and apparatus for cryptographically processing data | |
| US5638444A (en) | Secure computer communication method and system | |
| KR100417657B1 (en) | One-way data conversion device and device authentication system | |
| EP1191739B1 (en) | Stream cipher encryption application accelerator and methods thereof | |
| JPH08328962A (en) | System composed of terminal equipment and memory card connected to the same | |
| JPH0969830A (en) | Cipher communication system | |
| WO2006033347A1 (en) | Confidential information processing method, confidential information processing device, and content data reproducing device | |
| US8804953B2 (en) | Extensive ciphertext feedback | |
| US7657034B2 (en) | Data encryption in a symmetric multiprocessor electronic apparatus | |
| JP2001111539A (en) | Cryptographic key generator and cryptographic key transmitting method | |
| US20040117642A1 (en) | Secure media card operation over an unsecured PCI bus | |
| US20020001388A1 (en) | High speed copy protection method | |
| JPH07134548A (en) | Data ciphering system | |
| JPH07140896A (en) | File ciphering method and its device | |
| KR20020071274A (en) | Universal Serial Bus(USB) security secondary storage device using Crypto Chip and Flash memory based on PC | |
| JP2869165B2 (en) | Method of transferring confidential data using IC card | |
| US6802001B1 (en) | Method of incrementally establishing an encryption key | |
| JPH03131139A (en) | Key management system for cryptographic key | |
| JP2007158967A (en) | Information processing apparatus, tamper resistant device, encryption processing method and computer program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20030218 |