JP2005020105A - Communication unit, information communication system, and information communication method - Google Patents

Communication unit, information communication system, and information communication method Download PDF

Info

Publication number
JP2005020105A
JP2005020105A JP2003178693A JP2003178693A JP2005020105A JP 2005020105 A JP2005020105 A JP 2005020105A JP 2003178693 A JP2003178693 A JP 2003178693A JP 2003178693 A JP2003178693 A JP 2003178693A JP 2005020105 A JP2005020105 A JP 2005020105A
Authority
JP
Japan
Prior art keywords
data
communication unit
encrypted data
password
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2003178693A
Other languages
Japanese (ja)
Inventor
Naoto Takano
直人 高野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2003178693A priority Critical patent/JP2005020105A/en
Publication of JP2005020105A publication Critical patent/JP2005020105A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent leakage of data and falsification of data in a communication unit at a data transmission side or a communication unit at a data receiver side. <P>SOLUTION: The communication unit includes: an HD 170 for storing received encrypted data; an HD 160 for storing the transmitted encryption data; an information processing apparatus 110 for writing the received encrypted data in the HD 170 and for reading the encrypted data being a transmission object from the HD 160; an information processing apparatus 120 for reading the encrypted data stored in the HD 170 and decrypting the encrypted data by using a private key; an authentication means 130 for authenticating a password attached to the data decrypted by the information processing apparatus 120 and a password transmitted in advance; an information processing apparatus 130 for reading the encrypted data which are stored in the HD 170 and the password of which is confirmed for the coincidence with the password transmitted in advance by the authentication means 130, and writing the encrypted data being the transmission object to the HD 160; and a reset means 123 for resetting the encrypted data read by the information processing apparatus 120. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明が属する技術分野】
本発明は、通信ユニット、情報通信システムおよび情報通信方法に関し、特に、データを暗号化して送信する通信ユニット、情報通信システムおよび情報通信方法に関する。
【0002】
【従来の技術】
従来、データ通信の際に、送信対象のデータの秘匿性を保持するために、データを送受信するのに先立って、ネットワーク接続されている他の通信ユニットとの間で、暗号化されたデータを復号化するための公開キーを交換しておき、データ送信側から暗号化したデータを送信し、データ受信側で送信されてきたデータを公開キーを用いて復号化していた。
【0003】
このような手法を採用するデータ転送方法について、特許文献1に記載がある。特許文献1には、送信部は、相手側の通信装置の受信部に公開キーを配送する。そして、通信電文を、受信側の通信装置の公開キーにより暗号化処理して送出する。当該通信電文を受信した受信部は、当該通信電文を、当該受信側の通信装置の秘密キーにより復号化処理して解読を行う、と記載されている。
【0004】
【特許文献1】
特開平09−093240号公報
【発明が解決しようとする課題】
しかし、従来の技術では、データ送信側の通信ユニットとデータ受信側の通信ユニットとを結ぶネットワークではデータの秘匿性が保持されるものの、データ送信側の通信ユニットあるいはデータ受信側の通信ユニットでは、ハッキング等により、データの秘匿性が保持されず、データが漏洩する場合があった。また、漏洩したデータが改ざんされることもあった。
【0005】
そこで、本発明は、データ送信側の通信ユニットあるいはデータ受信側の通信ユニットにおけるデータの漏洩、データの改ざんを防止することを課題とする。
【0006】
【課題を解決するための手段】
上記課題を解決するために、本発明は、データを送受信するのに先立って、ネットワーク接続されている他の通信ユニットとの間で、データを暗号化するための公開キーを交換するとともに、データの受信時には初回の当該データの受信前に前記他の通信ユニットに対して秘匿性が保持されるルートを通じて前記データに付加させるパスワードを送り、かつ当該他の通信ユニットに対して送信対象のデータに前記パスワードを付加してから自己の公開キーを用いて暗号化してなる暗号化データを作成するように促し、実際に当該他の通信ユニットから送信されてきた前記暗号化データを自己の公開キーに対応する秘密キーを用いて復号化を行い、データの送信時には当該送信前に前記他の通信ユニットから秘匿性が保持されるルートを通じて送信されたパスワードを付加した送信対象のデータを当該他の通信ユニットの公開キーを用いて暗号化することによって作成した暗号化データを前記他の通信ユニットに対して送信する通信ユニットであって、前記他の通信ユニットから送信された暗号化データを記憶する第1の記憶部と、前記他の通信ユニットに送信する暗号化データを記憶する第2の記憶部と、前記他の通信ユニットから送信された暗号化データを前記第1の記憶部に書き込むとともに前記他の通信ユニットに送信する暗号化データを前記第2の記憶部から読み出す第1の情報処理装置と、前記第1の記憶部に記憶されている暗号化データを読み出して前記自己の秘密キーを用いて復号化する第2の情報処理装置と、前記第2の情報処理装置によって復号化されたデータに付加されていたパスワードとあらかじめ前記他の通信ユニットに送ったパスワードとを認証する認証手段と、前記認証手段によってパスワード相互の一致が確認されたときに前記第1の記憶部に記憶されている暗号化データを復号化したデータを取得するとともに前記他の通信ユニットへ送信する暗号化データを前記第2の記憶部に書き込む第3の情報処理装置とを備える。
【0007】
また、前記認証手段は、ディスプレイ、プリンタ、スピーカ、前記パスワードをパスするフィルタのいずれかである。
【0008】
さらに、本発明の情報通信システムは、上記通信ユニットを複数備え、当該通信ユニット相互をネットワークで接続してなる。
【0009】
さらにまた、本発明は、データを送受信するのに先立って、ネットワーク接続されている通信ユニット間で、データを暗号化するための公開キーを交換するとともに、初回の当該データの送受信前にデータ送信先の通信ユニットからデータ送信元の通信ユニットに対して秘匿性が保持されるルートを通じて前記データに付加させるパスワードを送り、前記データ送信元の通信ユニットで、前記パスワードを付加した送信対象のデータを前記データ送信先の通信ユニットの公開キーを用いて暗号化することによって作成した暗号化データを、前記データ送信先の通信ユニットに対して送信するとともに、前記データ送信先の通信ユニットで、前記データ送信元の通信ユニットから送信されてきた暗号化データを自己の公開キーに対応する秘密キーを用いて復号化を行う情報通信方法であって、前記データ送信元の通信ユニットは、第1の情報処理装置によって、前記データ送信先の通信ユニットへ送信する暗号化データを第1の記憶部に書き込み、前記ネットワークに直接接続している第2の情報処理装置によって、前記第1の記憶部に記憶してある暗号化データを読み出し、前記データ送信先の通信ユニットは、前記ネットワークに直接接続している第3の情報処理装置によって、前記データ送信元の通信ユニットから送信されてきた暗号化データを第2の記憶部に書き込み、第4の情報処理装置によって、前記第2の記憶部に記憶してある暗号化データの復号化を行い、前記第4の情報処理装置によって復号化されたデータに付加されていたパスワードとあらかじめ送っているパスワードとが一致した場合に、第5の情報処理装置によって、前記第2の記憶部に記憶されている暗号化データを復号化したデータを取得する。
【0010】
【発明を実施するための形態】
以下、本発明を実施するための形態について、図面を参照して説明する。
【0011】
(実施形態1)
図1は、本発明の実施形態1の情報通信システムの模式的な構成を示すブロック図である。
【0012】
図1には、以下説明する通信ユニット100と通信ユニット200とが、インターネット、アナログ電話回線、ISDN電話回線、DSL、CATV、光ファイバ、ether−Net、10BASE−T、100BASE−T、赤外線、無線などのネットワーク300を通じて接続されており、相互にデータ通信を行えるようにしている。
【0013】
また、情報処理装置130と情報処理装置140、150とは、互にデータの入出力を行えるように、ローカルエリアネットワーク(以下、「LAN」と称する。)180あるいはイントラネットなどによって接続されている。
【0014】
通信ユニット100側と通信ユニット200側との間では、データを送受信するのに先立って、それぞれ、一対の公開キーと秘密キーとを作成する。公開キーはデータを暗号化する際に用い、秘密キーは暗号化されているデータを復号化する際に用いる。そして、相互に公開キーを交換してある。
【0015】
通信ユニット100、200は、ともに、データ送信元となる場合には、送信対象のデータと後述するパスワードとを、相手方の公開キーを用いて暗号化することによって作成した暗号化データを、データ送信先である通信ユニット200、100に対して送信する。一方、通信ユニット100、200は、ともに、データ送信先となる場合には、通信ユニット200、100で通信ユニット100、200から送信された暗号化データを受信して、自己の秘密キーを用いて復号化を行う。こうして、ネットワーク300上におけるデータの漏洩を防止している。
【0016】
さらに、本実施形態では、たとえば通信ユニット100から通信ユニット200に対してデータを送信する場合には、通信ユニット200から通信ユニット100宛てに、秘匿性が保持されるルートを通じて送信対象のデータに付加させるパスワードを送るようにしている。
【0017】
具体的には、初回のデータを送受信するのに先立って、パスワードをデータの受信側の通信ユニットからデータの送信側の通信ユニットに送っておくようにしている。秘匿性が保持されるルートには、たとえば記憶媒体を通じた郵送によるルート、ネットワーク300およびこれ以外の電話線等のネットワークによるルートがある。
【0018】
また、これに代えて、たとえば通信ユニット100は、通信ユニット200向けのパスワードを通信ユニット200の公開鍵で施錠し、通信ユニット200にメールすることでパスワードを通信ユニット200へ送るようにしてもよく、さらには通信ユニット100側でホームページを有している場合には、通信ユニット200の公開鍵で施錠したパスワードを、そのホームページに掲載するようしてもよい。<b>
</b>
【0019】
通信ユニット100は、以下説明する情報処理装置110〜130と、ハードディスク(以下、「HD」と称する。)160、170と、パスワードパスフィルタ190とを有している。
【0020】
情報処理装置110は、通信ユニット200から送信された暗号化データをHD170に書き込むとともに、通信ユニット200への送信対象の暗号化データをHD160から読み出すものである。
【0021】
情報処理装置120は、HD170に記憶されている暗号化データを読み出して、その暗号化データを自己の秘密キーで復号化し、復号化したデータおよびパスワードをパスワードパスフィルタ190へ出力するものである。
【0022】
情報処理装置130は、情報処理装置120によって読み出された暗号化データに付随するパスワードと予め通信ユニット200へ送っているパスワードとの認証を行い、暗号化データの送信元が通信ユニット100であるという確認をしたときに、HD170に記憶されているデータを読み出すとともに、通信ユニット200への送信対象の暗号化データをHD160に書き込むものである。
【0023】
HD160は、通信ユニット200宛てに送信する暗号化データを記憶するものである。
【0024】
HD170は、通信ユニット200から送信された暗号化データを記憶するものである。
【0025】
なお、HD160、170は、記憶媒体としての例示であり、DVD−RAM、半導体ディスク等のような外部記憶装置と称される記憶媒体を用いるようにしてもよい。
【0026】
パスワードパスフィルタ190は、パスワードの認証を情報処理装置130で行えるようにするために、パスワードだけを通し、他の属性のデータを通さないようするものである。パスワードパスフィルタ190は、情報処理装置120、130に設けられているたとえばプリンタポート、USBポートに接続されている。
【0027】
なお、パスワードパスフィルタ190に代えて、ディスプレイ、プリンタ、スピーカなどのように、通信ユニットのユーザに対してパスワードを可視、可聴等によって報知可能なものを備え、ユーザが目視等によってパスワードの認証を行うようにしてもよい。パスワードパスフィルタ190としてはたとえばキャラクタデータだけを通すキャラクタパスフィルタを用いることができる。
【0028】
通信ユニット200は、それぞれ情報処理装置110〜130に相当する情報処理装置210〜230と、HD160、170に相当するHD260、270と、パスワードパスフィルタ190に相当するパスワードパスフィルタ290とを有している。
【0029】
図2は、図1に示す通信ユニット100の模式的な内部構成を示すブロック図である。なお、通信ユニット200も通信ユニット100と同様の構成としている。
【0030】
図2に示すように、情報処理装置130は、以下説明するCPU131と、メモリ132と、パスワード受取手段133と、パスワード更新手段134と、リセット命令手段135と、認証手段136、USBポート137と、第1ヘッド138と、第2ヘッド139とを備えている。
【0031】
CPU131は、HD170から読み出した暗号化データの復号化処理を含む、種々の演算を実行することにより情報処理装置130本体の動作の制御を司るものである。
【0032】
メモリ132は、主としてCPU131で実行するプログラムやデータを格納してあるものである。
【0033】
【0034】
パスワード受取手段133は、情報処理装置120側から出力される、通信ユニット200から送信された暗号化データに付随するパスワードを受け取るものである。
【0035】
パスワード更新手段134は、通信ユニット200に送信する暗号化データを、たとえば乱数等を用いて更新するものである。なお、パスワードの更新は、たとえば内部犯行、すなわち情報処理装置130本体を不正操作することなどによるパスワードの漏洩に対処するために、暗号化データの交換の度にあるいは定期的に行うようにしている。
【0036】
リセット命令手段135は、第2ヘッド139によって、通信ユニット200から送信された暗号化データ読み出した後に、情報処理装置120で読み出してある、通信ユニット200からの暗号化データと復号化後のデータおよびパスワードとをリセットする、あるいは情報処理装置120をリブートするように命令するものである。
【0037】
認証手段136は、あらかじめ通信ユニット200に送っているパスワードとパスワード受取手段133によって入力したパスワードとが一致しているか否かの認証を行うものである。
【0038】
USBポート137は、既述のように、パスワードパスフィルタ190と情報処理装置130本体とを接続するポートである。
【0039】
第1ヘッド138は、通信ユニット200に送信する暗号化データをHD160に書き込むことが可能なヘッドである。CPU131からの命令に応じて、暗号化データの書き込み位置にシークされ、通信ユニット200へ送信する暗号化データの書き込みが行われる。なお、第1ヘッド138は、ハード的に通信ユニット200に送信する暗号化データをHD160に書き込みする専用ヘッドとしてもよいし、汎用的なヘッドをソフト的に制御して通信ユニット200に送信する暗号化データをHD160に書き込む専用としてもよい。
【0040】
第2ヘッド139は、通信ユニット200から送信されHD170に記憶されている暗号化データを消去することが可能または読み出しすることが可能なヘッドである。認証手段136によってパスワード相互が一致していると判定されたことを条件として、CPU131からの命令に応じて、暗号化データの消去位置または読み出し位置にシークして、通信ユニット200から送信された暗号化データの消去または読み出しが行われる。なお、第2ヘッド139は、通信ユニット200から送信されHD170に記憶されている暗号化データを消去または読み出しする専用ヘッドとしてもよいし、汎用的なヘッドをソフト的に制御して通信ユニット200から送信されHD170に記憶されている暗号化データの消去専用または読み出し専用としてもよい。
【0041】
情報処理装置110は、以下説明するCPU111と、メモリ112と、第1ヘッド113と、第2ヘッド114とを備えている。
【0042】
CPU111は、種々の演算を実行することにより情報処理装置110本体の動作の制御を司るものである。
【0043】
メモリ112は、主としてCPU111で実行するプログラムやデータを格納してあるものである。
【0044】
第1ヘッド113は、HD160に記憶されている、通信ユニット200に送信する暗号化データを読み出しすることが可能なヘッドである。CPU111からの命令に応じて、暗号化データの読み出し位置にシークされ、通信ユニット200へ送信する暗号化データの読み出しが行われる。
【0045】
第2ヘッド114は、通信ユニット200から送信された暗号化データをHD170に書き込むことが可能なヘッドである。CPU111からの命令に応じて、第2ヘッド114をデータの書き込み位置にシークされ、通信ユニット200から送信された暗号化データの書き込みが行われる。
【0046】
なお、第1ヘッド113、第2ヘッド114は、それぞれ第1ヘッド138、第2ヘッド139と同様に、ハード的に実現してもよい、ソフト的に実現してもよい。
【0047】
情報処理装置120は、以下説明するCPU121と、メモリ122と、リセット手段123と、パスワード出力手段124と、プリンタポート128と、ヘッド129とを備えている。
【0048】
CPU121は、HD170から読み出した暗号化データの復号化処理を含む、種々の演算を実行することにより情報処理装置120本体の動作の制御を司るものである。
【0049】
メモリ122は、主としてCPU121で実行するプログラムやデータを格納してあるものである。
【0050】
リセット手段123は、リセット命令手段135からの命令に従って、HD170から読み出してある、通信ユニット200からの暗号化データと復号化後のデータおよびパスワードとをリセットする、あるいは情報処理装置120本体をリブートするものである。なお、リセット手段123とリセット命令手段135とに代えて、情報処理装置130で暗号化データを取得したことを検知する検知手段と検知手段による検知に応じて情報処理装置120側で自発的に情報処理装置120本体をリブート等する手段とを備えるようにしてもよい。
【0051】
パスワード出力手段124は、通信ユニット200から送信された暗号化データに付随するパスワードを出力するためのものである。
【0052】
プリンタポート128は、既述のように、パスワードパスフィルタ190と情報処理装置120本体とを接続するポートである。
【0053】
ヘッド129は、通信ユニット200から送信されHD170に記憶されている暗号化データを読み出し可能なヘッドである。CPU121からの命令に応じて、暗号化データの読み出し位置にシークされ、通信ユニット200から送信された暗号化データの読み出しが行われる。ヘッド129による動作は、第1ヘッド138、第2ヘッド139等と同様に、ハード的に実現してもよい、ソフト的に実現してもよい。
【0054】
なお、第1ヘッド113、ヘッド129は、それぞれ、数秒毎にHD160、170にアクセスして、暗号化データが書き込まれているか否かを判定し、暗号化データが書き込まれている場合には、それを読み出すようにしている。あるいは、たとえば第2ヘッド114、第1ヘッド138による暗号化データの書き込み完了をトリガとして光を出射する光出射器と、この光出射器から出射される光を受光可能な位置に光入射器を備えるようにして、光入射器で光を検知したことを条件として第1ヘッド113、ヘッド129によって暗号化データを読み出すようにしている。または、第2ヘッド114、第1ヘッド138による暗号化データの書き込み完了をトリガとしてフラグが書き換えられるステータスレジスタを設け、第1ヘッド113、ヘッド129側で、数秒毎にステータスレジスタにアクセスすることによって、暗号化データが書き込まれているか否かを判定し、暗号化データが書き込まれている場合には、それを読み出すようにしている。
【0055】
こうして、CPU111、131相互を接続することなく、HD160、170の暗号化データの書き込み完了後に、暗号化データを読み出し可能としている。
【0056】
図3は、図1、図2に示す情報通信システムの動作の説明図である。なお、ここでは、情報処理装置150から情報処理装置240に向けてデータを送信する場合を例に動作の説明を行う。太線で図示している接続線は、データの流れを示す。
【0057】
まず、既述のように、通信ユニット100、200間で相互の公開キーを交換するとともに、通信ユニット200から通信ユニット100宛にパスワードを送信しておく。
【0058】
この状態で、情報処理装置150は、送信対象のデータを情報処理装置130へLAN180を介して出力する。
【0059】
情報処理装置130は、情報処理装置150から出力された送信対象のデータに、通信ユニット200から得られたパスワードをCPU131等によって付加する。そして、これらを、通信ユニット200側の公開キーを用いて暗号化することによって暗号化データを作成する。作成した暗号化データは、CPU131、第1ヘッド138等を用いてHD160に書き込む。
【0060】
なお、2回目以降のデータの送受信の際には、上記パスワードを送信対象のデータに付加するか、パスワード更新手段134によって更新されたパスワードを送信対象のデータに付加することになる。
【0061】
ちなみに、情報処理装置140、150側に、通信ユニット200から送られたパスワードを出力しておくとともに、情報処理装置140、150側で通信ユニット200側の公開キーを記憶しておき、情報処理装置140、150側で暗号化データを作成可能とし、暗号化データを情報処理装置140、150から情報処理装置130へ出力するようにしてもよい。
【0062】
ここで、本実施形態では、第1ヘッド113は、HD160に定期的にアクセスして、暗号化データが書き込まれているか否かを判定しており、ここでは暗号化データをHD160に書き込みを行ったので、この暗号化データが第1ヘッド113によって読み出される。そして、読み出された暗号化データは、図示しない送信手段およびネットワーク300を通じて、通信ユニット100側から通信ユニット200側へと送信される。
【0063】
通信ユニット200側では、情報処理装置210によって、通信ユニット100側からの暗号化データが受信され、HD270に書き込まれる。
【0064】
つづいて、情報処理装置220は、HD270への暗号化データの書き込み完了を検知すると、この暗号化データを読み出す。読み出した暗号化データは、自己の秘密キーを用いて復号化する。こうして、情報処理装置150から送信されたデータおよびパスワードを取得する。ひきつづき、情報処理装置220は、取得したデータおよびパスワードを、プリンタポート128等を介してパスワードパスフィルタ290へ出力する。
【0065】
パスワードパスフィルタ290は、情報処理装置220から出力されたデータおよびパスワードを入力すると、キャラクタデータ以外の属性のデータを除去することによって、パスワードを情報処理装置230へ出力する。
【0066】
情報処理装置230は、パスワードパスフィルタ290から出力されたパスワードを入力すると、このパスワードとあらかじめ通信ユニット100へ送ってあるパスワードとを認証手段136によって認証する。
【0067】
認証の結果、パスワード相互が一致していない場合には、HD270に書き込まれている暗号化データは所要のものでなく、たとえばウィルスを含んでいる可能性もあるので、情報処理装置230は、HD270に記憶されている暗号化データをデリートするとともに、情報処理装置220に対してHD270から読み出した暗号化データ等のデリート命令をする。なお、図示しない報知手段によって、暗号化データが所要のものでない旨を、通信ユニット200のユーザに報知するようにしてもよい。
【0068】
一方、パスワード相互が一致している場合には、HD270に書き込まれている暗号化データは所要のものであるので、情報処理装置230は、この暗号化データをHD270から読み出して、自己の秘密キーによって復号化する。
【0069】
なお、情報処理装置220ですでに暗号化データが復号化されていることとHD270で使用するチャネル数を3チャネルから2チャネルに減らせるということとを考慮して、パスワードパスフィルタ290を含むルートと並列に情報処理装置220、230間を直接接続可能な別ルートを設けておき、情報処理装置230は、パスワード相互が一致している場合にだけ物理的に別ルートを開通させ、情報処理装置220で復号化されたデータを別ルートを介して入力するようにしてもよい。こうすると、情報処理装置230にネットワーク300の外部からの進入を防止しつつ、情報処理装置230で通信ユニット100側からのデータを取得することができる。
【0070】
その後、情報処理装置230は、LAN280を通じて情報処理装置240宛に復号化済みのデータを出力する。それから、情報処理装置220に対して暗号化データ等をリセットするように命令する。さらに、パスワードを更新することによって、次のデータ通信の際に使用するパスワードを用意して、更新したパスワードと更新前のパスワードとを情報処理装置130へ送信しておく。
【0071】
情報処理装置220は、情報処理装置230からの命令に従って、HD270から読み出した暗号化データ等をリセットして、次回、通信ユニット100から送信されてくる暗号化データの入力を可能とする。
【0072】
また、情報処理装置130は、更新前後のパスワードを受信すると、更新前のパスワードを更新後のパスワードに書き換え、次回からのデータの送信時には更新後のパスワードを付加するようにするともに、次回からのデータの受信時の認証を行えるようにする。
【0073】
以上説明したように、本実施形態では、通信ユニット100、200間で種々のデータの送受信をする際に、外部から情報処理装置130、230に対する進入を防止している。
【0074】
(実施形態2)
本発明の実施形態2として、図1に示す情報通信システムを、会員制ホームページの維持・管理に用いる場合を例に説明する。この会員制ホームページには、ホームページの管理者側のEメールアドレスが掲載されており、会員と管理者側との間でEメールの送受信を行えるようにしている。
【0075】
図1に示す情報通信システムを、たとえば会員制ホームページの維持・管理に用いる場合には、会員制ホームページのシステム管理者側と会員との間で公開キーの交換をし、会員制ホームページのシステム管理者から会員に対してパスワードを発送等しておく。
【0076】
そして、会員制ホームページのシステム管理者側は、会員制ホームページに掲載する情報等を会員が閲覧可能とするために、その情報等を暗号化してから第1ヘッド138によりHD160へ書込む。
【0077】
このホームページを閲覧しようとする会員は、ネットワーク300を介して通信ユニット100にアクセスする。これにより、情報処理装置110ではHD160に書き込まれている情報等を第1ヘッド113で読み出して、会員側へ送信する。会員は、自己の秘密キーを用いて、通信ユニット100から送信されてきた情報等を復号化することによって、その情報等を閲覧可能とする。
【0078】
この場合、第1ヘッド113は、読み出し専用ヘッドであるため、HD160に書き込まれている情報等が、会員を含む第三者、すなわち外部から改ざんされることはない。
【0079】
また、会員制ホームページに掲載している情報処理装置110に付随するEメールアドレス宛てに、会員からEメールを送信しようとする場合には、通信ユニット100側から発送されているパスワードを付加したEメールの情報を通信ユニット100の公開キーで暗号化して、ネットワーク300を経由して通信ユニット100へ送信する。
【0080】
この後の処理は、実施形態1で説明したとおり、送信されてきたEメールのHD170への書き込みを情報処理装置110で行い、HD170に書き込みされているEメールの復号化を情報処理装置120で行い、復号化されたパスワードと発送しているパスワードとの認証を情報処理装置130で行い、認証確認ができたことを条件としてHD170に書き込みされているEメールの復号化をたとえば情報処理装置130で行う。このため、Eメールの内容は外部に曝されることがないし、改ざんされることもない。
【0081】
また、本実施形態では、会員制ホームページの維持・管理に用いる場合を例に説明したが、たとえば公共工事の入札をオンラインで行う場合にも適用できる。この場合にも、入札状況が外部に漏れることがないし、改ざんされることもない。
【0082】
(実施形態3)
図4は、本発明の実施形態3の情報通信システムの模式的な構成を示すブロック図である。なお、図4において、図2に示す部分と同様の部分には同一符号を付している。
【0083】
図4に示すように、本実施形態では、図1等に示すHD160、170に代えてHD200を備えるとともに、第1ヘッド138および第2ヘッド139に代えてヘッド210を備え、第1ヘッド113および第2ヘッド114に代えてヘッド220を備えている。
【0084】
HD200は、HD160に相当する第1領域201と、HD170に相当する第2領域202とが形成されている。
【0085】
ヘッド210は、第1領域201に情報の書き込みが可能であり、かつ第2領域202から情報の読み出しが可能なヘッドである。
【0086】
ヘッド220は、第1領域201から情報の読み出しが可能であり、かつ第2領域202に情報の書き込みが可能なヘッドである。
【0087】
ヘッド129は、第2領域202から情報の読み出しが可能なヘッドである。
【0088】
なお、ヘッド210、220、129は、その専用機能をハード的に実現してもよいし、ソフト的に実現してもよい。
【0089】
本実施形態では、HD200とヘッド210、220とを備え、情報処理装置110、130でヘッド210、220に対して時間多重制御を行うことで、既述の効果を維持しつつ、部品数を減らすことによる情報通信システムの小型化・低廉化を実現している。
【0090】
(実施形態4)
本発明の実施形態4では、実施形態3で説明したHD200に第1領域201と第2領域202とを形成することなく、実施形態1の情報通信システムと同様の効果を奏する情報通信システムについて説明する。
【0091】
本実施形態の情報通信システムでは、HD200に記憶されている全てのファイルに、各ヘッド210、220、129で扱えるファイルを特定するためのフラグを、各ヘッド210、220、129がHD200にファイルを書き込む際に、割り当てるようにしている。
【0092】
これらのフラグとしては、たとえばフラグA〜Cを用意しておき、下記のように割り当てるようにしている。なお、用意するフラグの数は3つに限定されず、各ヘッド210、220、129で扱えるファイルの特定要件を細分化して、4つ以上としてもよい。
【0093】
上記のように、ヘッド220は、フラグAが割り当てられたファイルだけを読み出し可能である。なお、書き込みの際には、ファイルにフラグBを割り当てる。
【0094】
ヘッド210は、いずれのフラグが割り当てられたファイルであっても読み出し可能である。なお、書き込みの際には、ファイルにフラグA〜Cのいずれであっても割り当て可能である。
【0095】
さらに、ヘッド210は、既存のファイルに割り当てられているフラグの変更を行うことも可能であり、情報処理装置110はたとえばフラグBを割り当ててから書き込みしたファイルを読み出して、再度HD200に書き込みする際には、フラグCを割り当ててから、HD200に書き込むことができる。
【0096】
ヘッド129は、フラグCが割り当てられたファイルだけを読み出し可能である。
【0097】
なお、ヘッド210、220、129は、その専用機能をハード的に実現してもよいし、ソフト的に実現してもよい。
【0098】
本実施形態では、部品数の削減による情報通信システムの小型化・低廉化の実現のみならず、HD200という汎用的なHDを備えることで、さらなる情報通信システムの低廉化を実現している。
【0099】
以上、本発明の各実施形態では、複数の情報処理装置110〜130等を含む情報通信システム100、200を例に説明したが、情報通信システム100、200は、たとえば半導体化して作り上げるようにしてもよい。
【0100】
また、HD160、HD170、HD260、HD270、HD200、とそれらの持つヘッドは既存の1ヘッドハードディスクに、複数の入出力チャネルを持つ例えば時間多重制御基盤を付加する事によってその専用機能を実現してもよい。
【0101】
【発明の効果】
以上説明したように、本発明によると、データ送信側の通信ユニットあるいはデータ受信側の通信ユニットに備える記憶部に、ネットワークを通じて送信されてきた情報が書き込まれた後には、その情報をネットワークに接続されている外部の通信ユニットから読み出しを行えないようにしているので、データの漏洩、データの改ざんを防止することができる。
【図面の簡単な説明】
【図1】本発明の実施形態1の情報通信システムの模式的な構成を示すブロック図である。
【図2】図1に示す通信ユニット100の模式的な内部構成を示すブロック図である。
【図3】図1、図2に示す情報通信システムの動作の説明図である。
【図4】本発明の実施形態3の情報通信システムの模式的な構成を示すブロック図である。
【符号の説明】
110〜150、210〜250 情報処理装置
160、170、260、270 HD
190、290 パスワードパスフィルタ
111、121、131 CPU
112、122、132 メモリ
123 リセット手段
124 パスワード出力手段
128 プリンタポート
133 パスワード受取手段
134 パスワード更新手段
135 リセット命令手段
113、138 第1ヘッド
114、139 第2ヘッド
136 認証手段
137 USBポート[0001]
[Technical field to which the invention belongs]
The present invention relates to a communication unit, an information communication system, and an information communication method, and more particularly, to a communication unit, an information communication system, and an information communication method for encrypting and transmitting data.
[0002]
[Prior art]
Conventionally, in order to maintain the confidentiality of data to be transmitted during data communication, encrypted data is exchanged with other communication units connected to the network prior to data transmission / reception. The public key for decryption is exchanged, the encrypted data is transmitted from the data transmission side, and the data transmitted on the data reception side is decrypted using the public key.
[0003]
A data transfer method employing such a method is described in Patent Document 1. In Patent Document 1, a transmission unit delivers a public key to a reception unit of a communication device on the other side. Then, the communication message is transmitted after being encrypted with the public key of the receiving communication device. It is described that the receiving unit that has received the communication message decrypts the communication message with the private key of the communication device on the receiving side.
[0004]
[Patent Document 1]
JP 09-093240 A [Problems to be solved by the invention]
However, in the conventional technology, although the confidentiality of data is maintained in the network connecting the communication unit on the data transmission side and the communication unit on the data reception side, in the communication unit on the data transmission side or the communication unit on the data reception side, Data confidentiality may not be maintained due to hacking or the like, and data may leak. In addition, the leaked data was sometimes falsified.
[0005]
Accordingly, an object of the present invention is to prevent data leakage and data tampering in a data transmission side communication unit or a data reception side communication unit.
[0006]
[Means for Solving the Problems]
In order to solve the above-mentioned problems, the present invention exchanges a public key for encrypting data with another communication unit connected to a network before transmitting / receiving data, and Before receiving the data for the first time, a password to be added to the data is sent to the other communication unit through a route that maintains confidentiality, and the data to be transmitted is sent to the other communication unit. Prompt to create encrypted data that is encrypted using its own public key after adding the password, and use the encrypted data actually transmitted from the other communication unit as its own public key The corresponding secret key is used for decryption, and at the time of data transmission, the route is kept confidential from the other communication unit before the transmission. A communication unit that transmits encrypted data created by encrypting data to be transmitted with the received password added using the public key of the other communication unit to the other communication unit, A first storage unit that stores encrypted data transmitted from the other communication unit, a second storage unit that stores encrypted data transmitted to the other communication unit, and a transmission from the other communication unit A first information processing apparatus that writes the encrypted data to the first storage unit and reads encrypted data to be transmitted to the other communication unit from the second storage unit; and A second information processing device that reads out the stored encrypted data and decrypts it using the private key of the device; and the data decrypted by the second information processing device Authentication means for authenticating the added password and the password sent to the other communication unit in advance, and the encryption stored in the first storage unit when the mutual match of the password is confirmed by the authentication means And a third information processing device that obtains data obtained by decrypting the encrypted data and writes the encrypted data to be transmitted to the other communication unit in the second storage unit.
[0007]
The authentication means is any one of a display, a printer, a speaker, and a filter that passes the password.
[0008]
Furthermore, the information communication system of the present invention includes a plurality of the communication units, and the communication units are connected to each other via a network.
[0009]
Furthermore, the present invention exchanges a public key for encrypting data between the communication units connected to the network before transmitting / receiving data, and transmits data before transmitting / receiving the data for the first time. A password to be added to the data is sent from the previous communication unit to the data transmission source communication unit through a confidential route, and the transmission target data to which the password is added is transmitted by the data transmission source communication unit. The encrypted data created by encrypting using the public key of the data transmission destination communication unit is transmitted to the data transmission destination communication unit, and at the data transmission destination communication unit, the data The encrypted data transmitted from the communication unit of the transmission source is stored in the secret key corresponding to its own public key. The data transmission source communication unit uses the first information processing apparatus to transmit encrypted data to be transmitted to the data transmission destination communication unit with a first storage unit. The encrypted data stored in the first storage unit is read out by the second information processing apparatus directly connected to the network and the data transmission destination communication unit is directly connected to the network. The encrypted information transmitted from the data transmission source communication unit is written to the second storage unit by the third information processing apparatus, and the fourth information processing apparatus stores the encrypted data in the second storage unit. The stored encrypted data is decrypted, and the password added to the data decrypted by the fourth information processing apparatus and the previously sent password are sent. When the word and match, the fifth information processing apparatus, to acquire the decrypted data encrypted data stored in the second storage unit.
[0010]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments for carrying out the present invention will be described with reference to the drawings.
[0011]
(Embodiment 1)
FIG. 1 is a block diagram showing a schematic configuration of the information communication system according to the first embodiment of the present invention.
[0012]
In FIG. 1, a communication unit 100 and a communication unit 200 described below are connected to the Internet, an analog telephone line, an ISDN telephone line, DSL, CATV, optical fiber, ether-Net, 10BASE-T, 100BASE-T, infrared, and wireless. Are connected through a network 300 such that data communication can be performed with each other.
[0013]
The information processing apparatus 130 and the information processing apparatuses 140 and 150 are connected to each other via a local area network (hereinafter referred to as “LAN”) 180 or an intranet so that data can be input and output.
[0014]
Between the communication unit 100 side and the communication unit 200 side, a pair of a public key and a secret key are created before data transmission / reception. The public key is used when encrypting data, and the secret key is used when decrypting encrypted data. Public keys are exchanged with each other.
[0015]
When both of the communication units 100 and 200 are data transmission sources, encrypted data created by encrypting data to be transmitted and a password to be described later using the other party's public key is transmitted as data. It transmits with respect to the communication unit 200,100 which is a tip. On the other hand, when both the communication units 100 and 200 are data transmission destinations, the communication units 200 and 100 receive the encrypted data transmitted from the communication units 100 and 200 and use their own secret keys. Decrypt. Thus, data leakage on the network 300 is prevented.
[0016]
Furthermore, in this embodiment, for example, when data is transmitted from the communication unit 100 to the communication unit 200, the data is added to the transmission target data from the communication unit 200 to the communication unit 100 through a route that maintains confidentiality. I send a password to make it.
[0017]
Specifically, prior to sending and receiving the first data, the password is sent from the data receiving communication unit to the data sending communication unit. Examples of routes that maintain confidentiality include routes by mail via a storage medium, and routes by a network such as the network 300 and other telephone lines.
[0018]
Alternatively, for example, the communication unit 100 may lock the password for the communication unit 200 with the public key of the communication unit 200 and send the password to the communication unit 200 by mailing to the communication unit 200. Further, when the communication unit 100 has a home page, a password locked with the public key of the communication unit 200 may be posted on the home page. <B>
</ B>
[0019]
The communication unit 100 includes information processing apparatuses 110 to 130 described below, hard disks (hereinafter referred to as “HD”) 160 and 170, and a password pass filter 190.
[0020]
The information processing apparatus 110 writes encrypted data transmitted from the communication unit 200 to the HD 170 and reads encrypted data to be transmitted to the communication unit 200 from the HD 160.
[0021]
The information processing apparatus 120 reads the encrypted data stored in the HD 170, decrypts the encrypted data with its own secret key, and outputs the decrypted data and password to the password path filter 190.
[0022]
The information processing apparatus 130 authenticates the password associated with the encrypted data read by the information processing apparatus 120 and the password sent to the communication unit 200 in advance, and the transmission source of the encrypted data is the communication unit 100. Is read out, the data stored in the HD 170 is read out, and the encrypted data to be transmitted to the communication unit 200 is written into the HD 160.
[0023]
The HD 160 stores encrypted data to be transmitted to the communication unit 200.
[0024]
The HD 170 stores the encrypted data transmitted from the communication unit 200.
[0025]
The HDs 160 and 170 are examples of storage media, and a storage medium called an external storage device such as a DVD-RAM or a semiconductor disk may be used.
[0026]
The password pass filter 190 passes only the password and does not pass data of other attributes so that the authentication of the password can be performed by the information processing apparatus 130. The password pass filter 190 is connected to, for example, a printer port or a USB port provided in the information processing apparatuses 120 and 130.
[0027]
Instead of the password pass filter 190, a password, such as a display, a printer, a speaker, etc., that can notify the password of the communication unit to the user of the communication unit by visual, audible, etc. is provided. You may make it perform. As the password pass filter 190, for example, a character pass filter that passes only character data can be used.
[0028]
The communication unit 200 includes information processing apparatuses 210 to 230 corresponding to the information processing apparatuses 110 to 130, HDs 260 and 270 corresponding to HDs 160 and 170, and a password path filter 290 corresponding to the password path filter 190, respectively. Yes.
[0029]
FIG. 2 is a block diagram showing a schematic internal configuration of the communication unit 100 shown in FIG. Note that the communication unit 200 has the same configuration as the communication unit 100.
[0030]
As shown in FIG. 2, the information processing apparatus 130 includes a CPU 131, a memory 132, a password receiving unit 133, a password updating unit 134, a reset command unit 135, an authentication unit 136, a USB port 137, which will be described below. A first head 138 and a second head 139 are provided.
[0031]
The CPU 131 controls the operation of the main body of the information processing apparatus 130 by executing various operations including decryption processing of encrypted data read from the HD 170.
[0032]
The memory 132 stores programs and data mainly executed by the CPU 131.
[0033]
[0034]
The password receiving unit 133 receives a password attached to the encrypted data transmitted from the communication unit 200 and output from the information processing apparatus 120 side.
[0035]
The password updating unit 134 updates the encrypted data transmitted to the communication unit 200 using, for example, a random number. The password is updated every time the encrypted data is exchanged or periodically in order to cope with, for example, an internal crime, that is, a leakage of the password due to an unauthorized operation of the information processing apparatus 130 main body. .
[0036]
The reset command unit 135 reads the encrypted data transmitted from the communication unit 200 by the second head 139 and then the encrypted data from the communication unit 200 and the decrypted data read by the information processing device 120. This command instructs to reset the password or reboot the information processing apparatus 120.
[0037]
The authentication unit 136 authenticates whether the password sent to the communication unit 200 in advance matches the password input by the password receiving unit 133.
[0038]
As described above, the USB port 137 is a port for connecting the password pass filter 190 and the information processing apparatus 130 main body.
[0039]
The first head 138 is a head that can write encrypted data to be transmitted to the communication unit 200 to the HD 160. In response to a command from the CPU 131, the encrypted data to be transmitted to the communication unit 200 is written to the encrypted data writing position. The first head 138 may be a dedicated head that writes encrypted data to be transmitted to the communication unit 200 in hardware to the HD 160, or an encryption that is transmitted to the communication unit 200 by controlling a general-purpose head in software. It is also possible to exclusively write the digitized data to the HD 160.
[0040]
The second head 139 is a head capable of erasing or reading encrypted data transmitted from the communication unit 200 and stored in the HD 170. On the condition that the authentication means 136 determines that the passwords match each other, the encrypted data transmitted from the communication unit 200 is sought in accordance with a command from the CPU 131 and sought to the erasure position or read position of the encrypted data. The erasure data is erased or read out. The second head 139 may be a dedicated head for erasing or reading the encrypted data transmitted from the communication unit 200 and stored in the HD 170, or the general-purpose head may be controlled by software to control from the communication unit 200. The encrypted data transmitted and stored in the HD 170 may be dedicated to erasure or read-only.
[0041]
The information processing apparatus 110 includes a CPU 111, a memory 112, a first head 113, and a second head 114 described below.
[0042]
The CPU 111 controls the operation of the information processing apparatus 110 main body by executing various calculations.
[0043]
The memory 112 mainly stores programs and data executed by the CPU 111.
[0044]
The first head 113 is a head that can read encrypted data stored in the HD 160 and transmitted to the communication unit 200. In response to a command from the CPU 111, seek to the read position of the encrypted data and read of the encrypted data transmitted to the communication unit 200.
[0045]
The second head 114 is a head that can write the encrypted data transmitted from the communication unit 200 to the HD 170. In response to a command from the CPU 111, the second head 114 is sought to the data write position, and the encrypted data transmitted from the communication unit 200 is written.
[0046]
Note that the first head 113 and the second head 114 may be realized in hardware or in software, like the first head 138 and the second head 139, respectively.
[0047]
The information processing apparatus 120 includes a CPU 121, a memory 122, a reset unit 123, a password output unit 124, a printer port 128, and a head 129 described below.
[0048]
The CPU 121 controls the operation of the main body of the information processing apparatus 120 by executing various operations including the decryption process of the encrypted data read from the HD 170.
[0049]
The memory 122 stores programs and data mainly executed by the CPU 121.
[0050]
The reset unit 123 resets the encrypted data from the communication unit 200 and the decrypted data and password read from the HD 170 according to the command from the reset command unit 135, or reboots the information processing apparatus 120 main body. Is. In place of the reset unit 123 and the reset command unit 135, the information processing device 120 voluntarily receives information in accordance with detection by the information processing device 130 and detection by the detection unit. Means for rebooting the processing device 120 main body may be provided.
[0051]
The password output means 124 is for outputting a password accompanying the encrypted data transmitted from the communication unit 200.
[0052]
The printer port 128 is a port for connecting the password pass filter 190 and the information processing apparatus 120 main body as described above.
[0053]
The head 129 is a head that can read the encrypted data transmitted from the communication unit 200 and stored in the HD 170. In response to a command from the CPU 121, seek to the read position of the encrypted data and read of the encrypted data transmitted from the communication unit 200 is performed. The operation by the head 129 may be realized by hardware or software, similarly to the first head 138, the second head 139, and the like.
[0054]
The first head 113 and the head 129 access the HD 160 and 170 every few seconds to determine whether or not encrypted data is written, and when encrypted data is written, I read it. Alternatively, for example, a light emitter that emits light triggered by the completion of writing of encrypted data by the second head 114 and the first head 138, and a light injector at a position where the light emitted from the light emitter can be received. As described above, the encrypted data is read out by the first head 113 and the head 129 on condition that the light is detected by the light injector. Alternatively, by providing a status register in which the flag is rewritten with the completion of writing of the encrypted data by the second head 114 and the first head 138 as a trigger, and accessing the status register every few seconds on the first head 113 and head 129 side Then, it is determined whether or not the encrypted data is written. If the encrypted data is written, it is read out.
[0055]
In this manner, the encrypted data can be read after the writing of the encrypted data of the HDs 160 and 170 is completed without connecting the CPUs 111 and 131 to each other.
[0056]
FIG. 3 is an explanatory diagram of the operation of the information communication system shown in FIGS. Here, the operation will be described using an example in which data is transmitted from the information processing apparatus 150 to the information processing apparatus 240. A connection line illustrated by a bold line indicates a data flow.
[0057]
First, as described above, a mutual public key is exchanged between the communication units 100 and 200, and a password is transmitted from the communication unit 200 to the communication unit 100.
[0058]
In this state, the information processing apparatus 150 outputs the transmission target data to the information processing apparatus 130 via the LAN 180.
[0059]
The information processing apparatus 130 adds the password obtained from the communication unit 200 to the transmission target data output from the information processing apparatus 150 by the CPU 131 or the like. Then, these are encrypted using the public key on the communication unit 200 side to create encrypted data. The created encrypted data is written to the HD 160 using the CPU 131, the first head 138, and the like.
[0060]
In the second and subsequent data transmission / reception, the password is added to the transmission target data, or the password updated by the password update unit 134 is added to the transmission target data.
[0061]
Incidentally, the password sent from the communication unit 200 is output to the information processing apparatuses 140 and 150, and the public key of the communication unit 200 is stored on the information processing apparatuses 140 and 150, so that the information processing apparatus The encrypted data may be created on the 140 and 150 sides, and the encrypted data may be output from the information processing apparatuses 140 and 150 to the information processing apparatus 130.
[0062]
Here, in this embodiment, the first head 113 periodically accesses the HD 160 to determine whether or not encrypted data is written. Here, the encrypted data is written to the HD 160. Therefore, this encrypted data is read by the first head 113. Then, the read encrypted data is transmitted from the communication unit 100 side to the communication unit 200 side through a transmission unit (not shown) and the network 300.
[0063]
On the communication unit 200 side, the encrypted data from the communication unit 100 side is received by the information processing device 210 and written to the HD 270.
[0064]
Subsequently, when the information processing apparatus 220 detects the completion of writing of the encrypted data to the HD 270, the information processing apparatus 220 reads the encrypted data. The read encrypted data is decrypted using its own secret key. In this way, the data and password transmitted from the information processing apparatus 150 are acquired. Subsequently, the information processing apparatus 220 outputs the acquired data and password to the password pass filter 290 via the printer port 128 or the like.
[0065]
When the data and password output from information processing device 220 are input, password pass filter 290 outputs the password to information processing device 230 by removing data with attributes other than character data.
[0066]
When the information processing device 230 receives the password output from the password pass filter 290, the authentication unit 136 authenticates the password and the password sent to the communication unit 100 in advance.
[0067]
If the passwords do not match as a result of the authentication, the encrypted data written in the HD 270 is not required and may contain, for example, a virus. Deletes the encrypted data stored in the information processing apparatus 220 and issues a delete instruction to the information processing apparatus 220 such as the encrypted data read from the HD 270. Note that the notification unit (not shown) may notify the user of the communication unit 200 that the encrypted data is not required.
[0068]
On the other hand, if the passwords match, the encrypted data written in the HD 270 is necessary, so the information processing device 230 reads the encrypted data from the HD 270 and uses its own private key. Decrypt by.
[0069]
In consideration of the fact that the encrypted data has already been decrypted by the information processing device 220 and that the number of channels used by the HD 270 can be reduced from 3 channels to 2 channels, the route including the password path filter 290 is included. In parallel with the information processing apparatuses 220 and 230, another route that can be directly connected is provided, and the information processing apparatus 230 physically opens another route only when the passwords match each other. The data decrypted at 220 may be input via another route. In this way, data from the communication unit 100 side can be acquired by the information processing device 230 while preventing the information processing device 230 from entering from the outside of the network 300.
[0070]
Thereafter, the information processing device 230 outputs the decrypted data to the information processing device 240 via the LAN 280. Then, it instructs the information processing apparatus 220 to reset the encrypted data or the like. Furthermore, by updating the password, a password to be used for the next data communication is prepared, and the updated password and the password before the update are transmitted to the information processing apparatus 130.
[0071]
The information processing device 220 resets the encrypted data read from the HD 270 in accordance with an instruction from the information processing device 230, and enables the input of the encrypted data transmitted from the communication unit 100 next time.
[0072]
In addition, when the information processing apparatus 130 receives the password before and after the update, the information processing apparatus 130 rewrites the password before the update with the password after the update, and adds the updated password when transmitting data from the next time. Enable authentication when receiving data.
[0073]
As described above, in this embodiment, when various types of data are transmitted and received between the communication units 100 and 200, entry to the information processing apparatuses 130 and 230 from the outside is prevented.
[0074]
(Embodiment 2)
As a second embodiment of the present invention, the case where the information communication system shown in FIG. 1 is used for maintenance / management of a membership homepage will be described as an example. This membership system home page contains an email address on the administrator side of the home page, so that emails can be sent and received between the member and the administrator side.
[0075]
When the information communication system shown in FIG. 1 is used, for example, for maintenance and management of a membership system homepage, the public key is exchanged between the system administrator of the membership website and the member, and system management of the membership website is performed. The password is sent from the subscriber to the member.
[0076]
Then, the system administrator of the membership system home page encrypts the information etc. and writes it on the HD 160 by the first head 138 so that the members can browse the information etc. posted on the membership system home page.
[0077]
A member who wants to browse this home page accesses the communication unit 100 via the network 300. As a result, the information processing apparatus 110 reads the information written in the HD 160 with the first head 113 and transmits it to the member side. The member can browse the information and the like by decrypting the information and the like transmitted from the communication unit 100 using his / her private key.
[0078]
In this case, since the first head 113 is a read-only head, the information written in the HD 160 is not falsified from a third party including members, that is, from the outside.
[0079]
In addition, when an e-mail is to be transmitted from a member to an e-mail address attached to the information processing apparatus 110 posted on the member system homepage, an E with a password sent from the communication unit 100 side added. The mail information is encrypted with the public key of the communication unit 100 and transmitted to the communication unit 100 via the network 300.
[0080]
In the subsequent processing, as described in the first embodiment, the information processing apparatus 110 performs writing of the transmitted e-mail to the HD 170, and decrypts the e-mail written to the HD 170 by the information processing apparatus 120. The information processing device 130 authenticates the decrypted password and the sent password, and decrypts the e-mail written in the HD 170 on the condition that the authentication has been confirmed. To do. For this reason, the content of the e-mail is not exposed to the outside and is not falsified.
[0081]
Further, in the present embodiment, the case where the membership system homepage is used for maintenance / management has been described as an example, but the present invention can also be applied to a case where, for example, bidding for public works is performed online. In this case as well, the bidding situation does not leak to the outside and is not falsified.
[0082]
(Embodiment 3)
FIG. 4 is a block diagram showing a schematic configuration of the information communication system according to the third embodiment of the present invention. In FIG. 4, the same parts as those shown in FIG.
[0083]
As shown in FIG. 4, in this embodiment, HD 200 is provided instead of HD 160, 170 shown in FIG. 1 and the like, and head 210 is provided instead of first head 138 and second head 139, and first head 113 and A head 220 is provided instead of the second head 114.
[0084]
In the HD 200, a first area 201 corresponding to the HD 160 and a second area 202 corresponding to the HD 170 are formed.
[0085]
The head 210 is a head that can write information in the first area 201 and can read information from the second area 202.
[0086]
The head 220 is a head that can read information from the first area 201 and can write information to the second area 202.
[0087]
The head 129 is a head that can read information from the second region 202.
[0088]
The heads 210, 220, and 129 may realize their dedicated functions in hardware or in software.
[0089]
In the present embodiment, the HD 200 and the heads 210 and 220 are provided, and the information processing apparatuses 110 and 130 perform time multiplexing control on the heads 210 and 220, thereby reducing the number of components while maintaining the above-described effects. This makes it possible to reduce the size and cost of information communication systems.
[0090]
(Embodiment 4)
In the fourth embodiment of the present invention, an information communication system that provides the same effects as the information communication system of the first embodiment without forming the first area 201 and the second area 202 in the HD 200 described in the third embodiment will be described. To do.
[0091]
In the information communication system of the present embodiment, flags for specifying files that can be handled by the heads 210, 220, and 129 are set in all the files stored in the HD 200, and files are stored in the HD 200 by the heads 210, 220, and 129. It is assigned when writing.
[0092]
As these flags, for example, flags A to C are prepared and assigned as follows. The number of flags to be prepared is not limited to three, and the specific requirements of the files that can be handled by each head 210, 220, 129 may be subdivided to be four or more.
[0093]
As described above, the head 220 can read only the file to which the flag A is assigned. When writing, a flag B is assigned to the file.
[0094]
The head 210 can read any file to which any flag is assigned. In writing, any of the flags A to C can be assigned to a file.
[0095]
Furthermore, the head 210 can also change the flag assigned to the existing file. For example, the information processing apparatus 110 reads the file written after assigning the flag B and writes it to the HD 200 again. Can be written to the HD 200 after the flag C is assigned.
[0096]
The head 129 can read only the file to which the flag C is assigned.
[0097]
The heads 210, 220, and 129 may realize their dedicated functions in hardware or in software.
[0098]
In this embodiment, not only the information communication system is reduced in size and cost by reducing the number of parts, but also the information communication system is further reduced in price by providing a general-purpose HD such as HD200.
[0099]
As described above, in each embodiment of the present invention, the information communication systems 100 and 200 including the plurality of information processing apparatuses 110 to 130 and the like have been described as examples. However, the information communication systems 100 and 200 are formed as semiconductors, for example. Also good.
[0100]
HD160, HD170, HD260, HD270, and HD200, and their heads, can realize their dedicated functions by adding, for example, a time multiplexing control base having a plurality of input / output channels to an existing one-head hard disk. Good.
[0101]
【The invention's effect】
As described above, according to the present invention, after the information transmitted through the network is written in the storage unit provided in the communication unit on the data transmission side or the communication unit on the data reception side, the information is connected to the network. Since data is not read from an external communication unit, data leakage and data tampering can be prevented.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a schematic configuration of an information communication system according to a first embodiment of the present invention.
FIG. 2 is a block diagram showing a schematic internal configuration of the communication unit 100 shown in FIG.
3 is an explanatory diagram of the operation of the information communication system shown in FIGS. 1 and 2. FIG.
FIG. 4 is a block diagram showing a schematic configuration of an information communication system according to a third embodiment of the present invention.
[Explanation of symbols]
110-150, 210-250 Information processing device 160, 170, 260, 270 HD
190, 290 Password path filter 111, 121, 131 CPU
112, 122, 132 Memory 123 Reset means 124 Password output means 128 Printer port 133 Password receiving means 134 Password update means 135 Reset command means 113, 138 First head 114, 139 Second head 136 Authentication means 137 USB port

Claims (4)

データを送受信するのに先立って、ネットワーク接続されている他の通信ユニットとの間で、データを暗号化するための公開キーを交換するとともに、
データの受信時には初回の当該データの受信前に前記他の通信ユニットに対して秘匿性が保持されるルートを通じて前記データに付加させるパスワードを送り、かつ当該他の通信ユニットに対して送信対象のデータに前記パスワードを付加してから自己の公開キーを用いて暗号化してなる暗号化データを作成するように促し、実際に当該他の通信ユニットから送信されてきた前記暗号化データを自己の公開キーに対応する秘密キーを用いて復号化を行い、
データの送信時には当該送信前に前記他の通信ユニットから秘匿性が保持されるルートを通じて送信されたパスワードを付加した送信対象のデータを当該他の通信ユニットの公開キーを用いて暗号化することによって作成した暗号化データを前記他の通信ユニットに対して送信する通信ユニットであって、
前記他の通信ユニットから送信された暗号化データを記憶する第1の記憶部と、
前記他の通信ユニットに送信する暗号化データを記憶する第2の記憶部と、
前記他の通信ユニットから送信された暗号化データを前記第1の記憶部に書き込むとともに前記他の通信ユニットに送信する暗号化データを前記第2の記憶部から読み出す第1の情報処理装置と、
前記第1の記憶部に記憶されている暗号化データを読み出して前記自己の秘密キーを用いて復号化する第2の情報処理装置と、
前記第2の情報処理装置によって復号化されたデータに付加されていたパスワードとあらかじめ前記他の通信ユニットに送ったパスワードとを認証する認証手段と、
前記認証手段によってパスワード相互の一致が確認されたときに前記第1の記憶部に記憶されている暗号化データを復号化したデータを取得するとともに前記他の通信ユニットへ送信する暗号化データを前記第2の記憶部に書き込む第3の情報処理装置とを備えることを特徴とする通信ユニット。Prior to sending and receiving data, a public key for encrypting data is exchanged with other communication units connected to the network,
At the time of data reception, before receiving the data for the first time, a password to be added to the data is sent to the other communication unit through a route that maintains confidentiality, and the data to be transmitted to the other communication unit To create encrypted data that is encrypted using its own public key after adding the password to the encrypted public data, and transmits the encrypted data actually transmitted from the other communication unit to its own public key. Decrypt using the private key corresponding to
By encrypting the data to be transmitted to which the password transmitted from the other communication unit is transmitted through the route that keeps the confidentiality before the transmission using the public key of the other communication unit. A communication unit that transmits the created encrypted data to the other communication unit,
A first storage unit that stores encrypted data transmitted from the other communication unit;
A second storage unit for storing encrypted data to be transmitted to the other communication unit;
A first information processing apparatus that writes encrypted data transmitted from the other communication unit to the first storage unit and reads encrypted data to be transmitted to the other communication unit from the second storage unit;
A second information processing apparatus that reads out the encrypted data stored in the first storage unit and decrypts the encrypted data using the private key;
Authentication means for authenticating the password added to the data decrypted by the second information processing apparatus and the password sent to the other communication unit in advance;
When the authentication means confirms that the passwords match each other, the encrypted data that is obtained by decrypting the encrypted data stored in the first storage unit and is transmitted to the other communication unit is obtained. A communication unit comprising: a third information processing device that writes to the second storage unit. 前記認証手段は、ディスプレイ、プリンタ、スピーカ、前記パスワードをパスするフィルタのいずれかであることを特徴とする請求項1記載の通信ユニット。The communication unit according to claim 1, wherein the authentication unit is any one of a display, a printer, a speaker, and a filter that passes the password. 請求項1または2記載の通信ユニットを複数備え、当該通信ユニット相互をネットワークで接続してなる情報通信システム。An information communication system comprising a plurality of communication units according to claim 1 or 2, wherein the communication units are connected to each other via a network. データを送受信するのに先立って、ネットワーク接続されている通信ユニット間で、データを暗号化するための公開キーを交換するとともに、初回の当該データの送受信前にデータ送信先の通信ユニットからデータ送信元の通信ユニットに対して秘匿性が保持されるルートを通じて前記データに付加させるパスワードを送り、
前記データ送信元の通信ユニットで、前記パスワードを付加した送信対象のデータを前記データ送信先の通信ユニットの公開キーを用いて暗号化することによって作成した暗号化データを、前記データ送信先の通信ユニットに対して送信するとともに、
前記データ送信先の通信ユニットで、前記データ送信元の通信ユニットから送信されてきた暗号化データを自己の公開キーに対応する秘密キーを用いて復号化を行う情報通信方法であって、
前記データ送信元の通信ユニットは、
第1の情報処理装置によって、前記データ送信先の通信ユニットへ送信する暗号化データを第1の記憶部に書き込み、
前記ネットワークに直接接続している第2の情報処理装置によって、前記第1の記憶部に記憶してある暗号化データを読み出し、
前記データ送信先の通信ユニットは、
前記ネットワークに直接接続している第3の情報処理装置によって、前記データ送信元の通信ユニットから送信されてきた暗号化データを第2の記憶部に書き込み、
第4の情報処理装置によって、前記第2の記憶部に記憶してある暗号化データの復号化を行い、
前記第4の情報処理装置によって復号化されたデータに付加されていたパスワードとあらかじめ送っているパスワードとが一致した場合に、第5の情報処理装置によって、前記第2の記憶部に記憶されている暗号化データを復号化したデータを取得することを特徴とする情報通信方法。Prior to data transmission / reception, a public key for data encryption is exchanged between communication units connected to the network, and data is transmitted from the data transmission destination communication unit before the first data transmission / reception. Send a password to be added to the data through a route that maintains confidentiality to the original communication unit,
In the communication unit of the data transmission source, the encrypted data created by encrypting the data to be transmitted with the password added using the public key of the communication unit of the data transmission destination is used as the communication of the data transmission destination. Send to the unit,
An information communication method for decrypting encrypted data transmitted from the data transmission source communication unit using a secret key corresponding to its own public key in the data transmission destination communication unit,
The communication unit of the data transmission source is
The first information processing device writes the encrypted data to be transmitted to the data transmission destination communication unit in the first storage unit,
Read the encrypted data stored in the first storage unit by the second information processing apparatus directly connected to the network,
The data transmission destination communication unit is:
Write the encrypted data transmitted from the data transmission source communication unit to the second storage unit by the third information processing apparatus directly connected to the network,
The fourth information processing device decrypts the encrypted data stored in the second storage unit,
When the password added to the data decrypted by the fourth information processing apparatus matches the password sent in advance, the fifth information processing apparatus stores the password in the second storage unit. An information communication method characterized by acquiring data obtained by decrypting encrypted data.
JP2003178693A 2003-06-23 2003-06-23 Communication unit, information communication system, and information communication method Withdrawn JP2005020105A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003178693A JP2005020105A (en) 2003-06-23 2003-06-23 Communication unit, information communication system, and information communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003178693A JP2005020105A (en) 2003-06-23 2003-06-23 Communication unit, information communication system, and information communication method

Publications (1)

Publication Number Publication Date
JP2005020105A true JP2005020105A (en) 2005-01-20

Family

ID=34180233

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003178693A Withdrawn JP2005020105A (en) 2003-06-23 2003-06-23 Communication unit, information communication system, and information communication method

Country Status (1)

Country Link
JP (1) JP2005020105A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008094802A1 (en) * 2007-01-30 2008-08-07 Mcm Portfolio Llc System and method of storage device data encryption and data access
US7876894B2 (en) 2006-11-14 2011-01-25 Mcm Portfolio Llc Method and system to provide security implementation for storage devices
CN107852330A (en) * 2015-11-11 2018-03-27 高野直人 The sending/receiving system of file

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7876894B2 (en) 2006-11-14 2011-01-25 Mcm Portfolio Llc Method and system to provide security implementation for storage devices
WO2008094802A1 (en) * 2007-01-30 2008-08-07 Mcm Portfolio Llc System and method of storage device data encryption and data access
CN107852330A (en) * 2015-11-11 2018-03-27 高野直人 The sending/receiving system of file
US20180239917A1 (en) * 2015-11-11 2018-08-23 Naoto Takano File transmitting and receiving system

Similar Documents

Publication Publication Date Title
US9461819B2 (en) Information sharing system, computer, project managing server, and information sharing method used in them
US7912223B2 (en) Method and apparatus for data protection
JP4902207B2 (en) System and method for managing multiple keys for file encryption and decryption
JP3516591B2 (en) Data storage method and system and data storage processing recording medium
JP4668619B2 (en) Device key
US8918633B2 (en) Information processing device, information processing system, and program
US9762548B2 (en) Controlling encrypted data stored on a remote storage device
JP2003228519A (en) Method and architecture for providing pervasive security for digital asset
JP2003173284A (en) Network system capable of transmission control
US11570155B2 (en) Enhanced secure encryption and decryption system
JP2009245443A (en) Information processing device, information processing system, and program
JP3727819B2 (en) Database sharing system
JP2004070674A (en) Data protecting device, data protecting method and program in electronic data interchange system
JPH09200194A (en) Device and method for security communication
TW200905516A (en) Method and system for protecting file data against divulgence
JP2008160485A (en) Document management system, document managing method, document management server, work terminal, and program
US6944300B2 (en) Method for migrating a base chip key from one computer system to another
JP2004070875A (en) Secure system
JP2007199978A (en) Information processor, portable terminal equipment, and information processing execution control method
JP2005020105A (en) Communication unit, information communication system, and information communication method
JP2005012379A (en) Communication unit and system and method for communicating information
JPH11331145A (en) Information sharing system, information preserving device, information processing method and recording medium therefor
JP2008147946A (en) Authentication method, authentication system, and external recording medium
US11876797B2 (en) Multi-factor geofencing system for secure encryption and decryption system
JP2008171116A (en) Storage device and its access control system

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20060905