JP2008061230A - Data protection management system, and method thereof - Google Patents

Data protection management system, and method thereof Download PDF

Info

Publication number
JP2008061230A
JP2008061230A JP2007196367A JP2007196367A JP2008061230A JP 2008061230 A JP2008061230 A JP 2008061230A JP 2007196367 A JP2007196367 A JP 2007196367A JP 2007196367 A JP2007196367 A JP 2007196367A JP 2008061230 A JP2008061230 A JP 2008061230A
Authority
JP
Japan
Prior art keywords
data
encryption key
entrance
key data
admission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007196367A
Other languages
Japanese (ja)
Other versions
JP5067058B2 (en
Inventor
Shokei Kagota
将慶 籠田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2007196367A priority Critical patent/JP5067058B2/en
Publication of JP2008061230A publication Critical patent/JP2008061230A/en
Application granted granted Critical
Publication of JP5067058B2 publication Critical patent/JP5067058B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a system capable of decrypting and browsing encrypted information only within a security protected area. <P>SOLUTION: The present invention relates to a data protection management system comprised of an entering/leaving gate device which detects entering, transmits entering data including encryption key data to an IC card, detecting leaving and issuing an entering data erasing instruction to the IC card; the IC card which receives and records the entering data from the entering/leaving gate device, accepts an encryption key data transmission request from an information processing apparatus and redirects the encryption key data included in the entering data; and the information processing apparatus which stores encryption utilization data, accepts input of an encryption utilization data decryption demand, issues an encryption key data transmission request to the IC card, receives the encryption key data and decrypts the stored encryption utilization data into utilization data. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、安全保護された領域において、データを暗号化してデータ保護管理するシステム、および、その方法に関するものである。   The present invention relates to a system and a method for data protection management by encrypting data in a secure area.

従来から、情報を暗号化することで、情報内容を秘匿・保護して、情報の漏洩を防いでいる。   Conventionally, by encrypting information, information content is concealed and protected, and information leakage is prevented.

たとえば、特許文献1には、暗号情報の復号や、情報を暗号化するために、暗号の公開鍵を、ICカードに記録して配布する技術が開示されている。(従来技術1)
特開2001−273468号公報(3ページ、図3、4) For example, Patent Document 1 discloses a technique for recording and distributing an encryption public key on an IC card in order to decrypt encryption information and encrypt information. (Prior art 1)
JP 2001-273468 A (3 pages, FIGS. 3 and 4)

ところで、従来技術1では、安全保護領域(たとえば、セキュリティルーム)にて配布した暗号鍵データを、領域の外に持ち出すことが可能なので、セキュリティルームの外で、暗号鍵データを使用して、暗号化された情報を復号できてしまうというという問題点があった。また、入手した暗号鍵データは、ICカードに残るので、次回以降は、暗号鍵データを入手しなくても、復号ができてしまうというという欠点があった。   By the way, in the prior art 1, the encryption key data distributed in the security protection area (for example, the security room) can be taken out of the area. Therefore, the encryption key data is used outside the security room for encryption. There was a problem that the converted information could be decrypted. Further, since the obtained encryption key data remains in the IC card, there is a disadvantage that decryption can be performed without obtaining the encryption key data from the next time.

本発明はこのような従来技術を考慮してなされたものであって、本発明の課題は、安全保護領域の中だけで暗号化された情報を復号して閲覧できるシステムを提供することである。   The present invention has been made in consideration of such a conventional technique, and an object of the present invention is to provide a system that can decrypt and browse encrypted information only in the security protection area. .

本発明は、以下のような解決手段により、前記課題を解決する。すなわち、請求項1の発明は、接触型、または、非接触型ICカードと、情報処理装置と、入退場門装置と、から構成されるデータ保護管理システムであって、前記入退場門装置は、暗号鍵データを記憶する記憶手段と、入場を検知して、前記暗号鍵データを含む入場データを、ICカードに、送信する入場データ送信手段と、退場を検知して、入場データ消去指示を、ICカードに、発行する入場データ消去指示手段と、を備える入退場門装置であって、前記ICカードは、入退場門装置から、入場データを受信して、記録する入場データ受信記録手段と、情報処理装置から、暗号鍵データ送信要求を受け付けて、入場データに含まれる暗号鍵データを返信する暗号鍵データ返信手段と、入場データ消去指示を受け付けて、入場データを消去する入場データ消去手段と、を備えるICカードであって、前記情報処理装置は、暗号化利用データを記憶する記憶手段と、暗号化利用データ復号請求の入力を受け付けて、ICカードに、暗号鍵データ送信要求を発行して、暗号鍵データを受信する暗号鍵データ受信手段と、受信した暗号鍵データを用いて、前記記憶された暗号化利用データを、利用データに復号する復号手段と、を備える処理装置である、ことを特徴とするデータ保護管理システムある。   The present invention solves the above problems by the following means. Specifically, the invention of claim 1 is a data protection management system comprising a contact type or non-contact type IC card, an information processing device, and an entrance / exit gate device, wherein the entrance / exit gate device is A storage means for storing encryption key data; and an entry data transmission means for detecting entry and transmitting the entry data including the encryption key data to the IC card; An entrance / exit gate device comprising an entry data erasure instruction means to be issued to the IC card, wherein the IC card receives entrance data from the entrance / exit gate device and records the entrance data Receiving an encryption key data transmission request from the information processing device and returning an encryption key data return means for returning the encryption key data included in the entrance data; The information processing apparatus accepts an input of a request for decryption of encrypted use data and an encryption key, and stores the encryption key in the IC card. An encryption key data receiving means for issuing a data transmission request and receiving the encryption key data; and a decrypting means for decrypting the stored encrypted usage data into the usage data using the received encryption key data. A data protection management system characterized in that the data protection management system is provided.

ここで、配布された暗号鍵データは、安全保護管理領域の外に、持ち出すことができない。   Here, the distributed encryption key data cannot be taken out of the security management area.

請求項2の発明は、前記入退場門装置は、前記記憶手段が、安全保護管理領域を特定する情報を有する暗号鍵データを記憶する、装置であって、前記ICカードは、前記記憶手段が、安全保護管理領域を特定する情報と対応づけられた暗号鍵データを含む入場データを記憶する、ICカードである、ことを特徴とする請求項1に記載のデータ保護管理システムである。   According to a second aspect of the present invention, the entrance / exit gate device is a device in which the storage means stores encryption key data having information for specifying a security management area, and the IC card has the storage means The data protection management system according to claim 1, wherein the data protection management system is an IC card that stores entrance data including encryption key data associated with information for specifying a security protection management area.

ここで、安全保護管理領域を特定する情報を有する暗号鍵データを用いることで、指定された安全保護管理領域以外では、暗号鍵データを使用することができないようにすることが可能である。言い換えると、安全保護管理領域ごとに、暗号鍵データを変更してもよい。   Here, by using the encryption key data having information for specifying the security management area, it is possible to prevent the encryption key data from being used outside the designated security management area. In other words, the encryption key data may be changed for each security management area.

請求項3の発明は、前記情報処理装置と前記入退場門装置とは、ネットワーク接続されたデータ保護管理システムであって、前記情報処理装置は、暗号鍵データを生成する暗号鍵生成手段と、前記生成された暗号鍵データを入退場門装置に送信する暗号鍵送信手段と、を備える処理装置であって、前記入退場門装置は、情報処理装置から、暗号鍵データを受信して、これを用いて、記憶されている暗号鍵データを更新する暗号鍵更新手段、を備える入退場門装置である、ことを特徴とする請求項1、または、請求項2に記載のデータ保護管理システムである。   The invention of claim 3 is a data protection management system in which the information processing device and the entrance / exit gate device are network-connected, and the information processing device includes encryption key generation means for generating encryption key data; An encryption key transmitting means for transmitting the generated encryption key data to the entrance / exit gate device, wherein the entrance / exit gate device receives the encryption key data from the information processing device, and The data protection management system according to claim 1, wherein the entrance / exit gate device comprises an encryption key update means for updating stored encryption key data using is there.

請求項4の発明は、記憶された暗号鍵データと、記憶された暗号化利用データと、を用いるデータ保護管理方法であって、入場を検知して、暗号鍵データを含む入場データを、送信する入場データ送信ステップと、入場データを受信して、記録する入場データ受信記録ステップと、暗号鍵データ送信要求を発行して、前記記録された入場データが持つ暗号鍵データを受信する暗号鍵データ受信ステップと、受信した暗号鍵データを用いて、前記記憶された暗号化利用データを、利用データに復号する復号ステップと、退場を検知して、入場データ消去指示を、発行する入場データ消去指示ステップと、入場データ消去指示を受け付けて、入場データを消去する入場データ消去ステップと、を含んだ手順でなされることを特徴とするデータ保護管理方法である。   The invention of claim 4 is a data protection management method using stored encryption key data and stored encrypted use data, and detects the entrance and transmits the entrance data including the encryption key data. The admission data transmission step, the admission data reception recording step for receiving and recording the admission data, and the encryption key data for issuing the encryption key data transmission request and receiving the encryption key data possessed by the recorded admission data A receiving step; a decrypting step for decrypting the stored encrypted usage data into usage data using the received encryption key data; and an entry data erasing instruction for issuing an entry data erasing instruction upon detecting exit Data protection characterized in that it includes a step and an admission data erasure step for receiving admission data erasure instructions and erasing admission data. It is a management method.

請求項5の発明は、前記記憶された暗号鍵データは、安全保護管理領域を特定する情報を有する暗号鍵データであって、前記入場データ送信ステップは、入場を検知して、安全保護管理領域を特定する情報を対応付けた暗号鍵データを含む入場データを、送信する、手順でなされることを特徴とする請求項4に記載のデータ保護管理方法である。   According to a fifth aspect of the present invention, the stored encryption key data is encryption key data having information for specifying a security management area, and the admission data transmission step detects the entrance and detects the security management area. The data protection management method according to claim 4, wherein the data protection management method is performed by a procedure of transmitting admission data including encryption key data associated with information for specifying a password.

請求項6の発明は、暗号鍵データを生成する暗号鍵生成ステップと、前記生成された暗号鍵データを用いて、前記記憶されている暗号鍵データを更新する暗号鍵更新ステップと、を含んだ手順でなされることを特徴とする請求項4、または、請求項5に記載のデータ保護管理方法である。   The invention of claim 6 includes an encryption key generation step for generating encryption key data, and an encryption key update step for updating the stored encryption key data using the generated encryption key data. 6. The data protection management method according to claim 4, wherein the data protection management method is performed in a procedure.

請求項7の発明は、コンピュータに組込むことによって、コンピュータを請求項1から、請求項3までのいずれか1項に記載のデータ保護管理システムとして動作させるコンピュータプログラムである。   The invention of claim 7 is a computer program that causes a computer to operate as the data protection management system according to any one of claims 1 to 3 by being incorporated in the computer.

請求項8の発明は、請求項7に記載のコンピュータプログラムを記録したコンピュータ読取り可能な記録媒体である。   The invention according to claim 8 is a computer-readable recording medium in which the computer program according to claim 7 is recorded.

本願発明によれば、安全保護領域(たとえば、セキュリティルーム)にて配布した暗号鍵データを、領域の外に持ち出すことを防止することが可能である。また、暗号鍵データを、適宜変更して利用することが可能となる。   According to the present invention, it is possible to prevent the encryption key data distributed in the security protection area (for example, security room) from being taken out of the area. In addition, the encryption key data can be changed and used as appropriate.

(実施例)
以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。図1は、データ保護管理システム1の概要を説明する図である。 (Example)
Hereinafter, embodiments of the present invention will be described in more detail with reference to the drawings. FIG. 1 is a diagram for explaining the outline of the data protection management system 1.

データ保護管理システム1は、接触型、または、非接触型ICカード100と、情報処理装置300と、入退場門装置500と、から構成される。   The data protection management system 1 includes a contact-type or non-contact-type IC card 100, an information processing device 300, and an entrance / exit gate device 500.

入退場門装置500は、入退場門に設置された装置であり、ICカード100の接近を検知して、記憶している暗号鍵データ591を含む入場データ195をICカード100に送信する機能を有している。入退場門装置500は、安全保護管理領域700に設置される。   The entrance / exit gate device 500 is a device installed at the entrance / exit gate, and has a function of detecting the approach of the IC card 100 and transmitting the entrance data 195 including the stored encryption key data 591 to the IC card 100. Have. The entrance / exit gate device 500 is installed in the safety protection management area 700.

ICカード100は、安全保護領域に入場する各人が保持するカードであり、入退場門装置500から送信される入場データ195を受信して記憶する。入場データ195は安全保護管理領域を特定する情報と対応づけられた暗号鍵データ591を含むデータである。   The IC card 100 is a card held by each person who enters the safety protection area, and receives and stores the entrance data 195 transmitted from the entrance / exit gate device 500. The entrance data 195 is data including encryption key data 591 associated with information specifying the security management area.

情報処理装置300は、暗号化された利用データである暗号化利用データ395を記憶しており、ICカード100から受け取った暗号鍵データ591を利用して暗号化利用データ395を利用データに復号する機能を有している。   The information processing apparatus 300 stores encrypted usage data 395 that is encrypted usage data, and uses the encryption key data 591 received from the IC card 100 to decrypt the encrypted usage data 395 into usage data. It has a function.

図2は、データ保護管理システム1の処理の流れを説明する図である。   FIG. 2 is a diagram for explaining the processing flow of the data protection management system 1.

入退場門装置500は、安全保護管理領域700への入場を検知して、暗号鍵データ591を含む入場データ195を、ICカード100に送信する(図2(1))。ICカード100は、入退場門装置500から、入場データ195を受信して記録する(同(2))。   The entrance / exit gate device 500 detects entry into the security management area 700 and transmits the entry data 195 including the encryption key data 591 to the IC card 100 (FIG. 2 (1)). The IC card 100 receives and records the entrance data 195 from the entrance / exit gate device 500 ((2)).

ICカード100の保持者は、情報処理装置300内に記録された暗号化利用データ395を利用する場合、ICカード100を、情報処理装置300に接続されたICカード読取装置に読み取らせるとともに、暗号化利用データ395を利用する旨の指示を情報処理装置300に対して行う。この指示を、情報処理装置300では、暗号化利用データ復号請求の入力であると認識する。
情報処理装置300は、暗号化利用データ復号請求の入力を受け付けて、ICカード100に、暗号鍵データ送信要求を発行する(同(11))。ICカード100は、情報処理装置300から、暗号鍵データ送信要求を受け付けて、入場データ195に含まれる暗号鍵データ591を返信する(同(12))。 When the holder of the IC card 100 uses the encrypted usage data 395 recorded in the information processing apparatus 300, the IC card 100 is read by the IC card reading apparatus connected to the information processing apparatus 300 and the encryption is performed. The information processing apparatus 300 is instructed to use the computerized usage data 395. The information processing apparatus 300 recognizes this instruction as an input of an encrypted use data decryption request.
The information processing apparatus 300 accepts the input of the encrypted use data decryption request and issues an encryption key data transmission request to the IC card 100 ((11)). The IC card 100 receives the encryption key data transmission request from the information processing device 300 and returns the encryption key data 591 included in the entrance data 195 ((12)).

情報処理装置300は、ICカード100から、暗号鍵データ591を受信する(同(13))。情報処理装置300は、受信した暗号鍵データ591を用いて、暗号化利用データ395を、利用データに復号する(同(14))。これにより、ICカード100の保持者は、復号された利用データを情報処理装置300において利用可能となる。   The information processing apparatus 300 receives the encryption key data 591 from the IC card 100 ((13)). The information processing apparatus 300 uses the received encryption key data 591 to decrypt the encrypted use data 395 into use data ((14)). Thereby, the holder of the IC card 100 can use the decrypted usage data in the information processing apparatus 300.

利用データの利用が終わったら、ICカード100の保持者は、ICカード100を、情報処理装置300に接続されたICカード読取装置から離して持ち去ることになる。情報処理装置300は、ICカード100が、ICカード読取装置から離されたことを認識すると、前記受信した暗号鍵データ591を用いて、利用データを暗号化する(同(15))。   When the use data has been used, the holder of the IC card 100 takes the IC card 100 away from the IC card reader connected to the information processing apparatus 300. When the information processing device 300 recognizes that the IC card 100 is separated from the IC card reading device, the information processing device 300 encrypts the usage data using the received encryption key data 591 ((15)).

入退場門装置500は、安全保護管理領域700からの退場を検知して、入場データ消去指示を、ICカード100に発行する(同(21))。   The entrance / exit gate device 500 detects exit from the security protection management area 700 and issues an entrance data deletion instruction to the IC card 100 ((21)).

ICカード100は、入退場門装置500から、入場データ消去指示を受け付けて、入場データ195を消去する(同(22))。   The IC card 100 receives an entry data erasure instruction from the entrance / exit gate device 500 and erases the entry data 195 ((22)).

このように、配布された暗号鍵データ591は、安全保護管理領域700の外に、持ち出すことができないという効果が得られる。   In this way, the distributed encryption key data 591 can be brought out of the security management area 700.

なお、上記の例では、暗号と復号を同一の鍵で行う共通鍵方式に従ったものであるので、暗号鍵データ591は、復号鍵としての役割も有している。しかし、本発明は、共通鍵方式に限定されず、公開鍵方式を用いても良い。この場合は、暗号鍵データ591に代えて復号鍵データを用い、情報処理装置300は別途暗号鍵データを記憶しておく必要がある。   In the above example, the encryption key data 591 also has a role as a decryption key because it complies with a common key method in which encryption and decryption are performed with the same key. However, the present invention is not limited to the common key method, and a public key method may be used. In this case, decryption key data is used instead of the encryption key data 591 and the information processing apparatus 300 needs to store the encryption key data separately.

ちなみに、異なる安全保護管理領域700は、異なる暗号鍵データ591を使用してもよい。このことにより、安全保護管理領域700ごとに、異なる暗号鍵データ591を用いるので、安全性を高めることができるという利点がある。   Incidentally, different encryption key data 591 may be used in different security management areas 700. Thus, since different encryption key data 591 is used for each security protection management area 700, there is an advantage that safety can be improved.

図3は、データ保護管理システム1の詳細な構成図である。データ保護管理システム1は、接触型、または、非接触型ICカード100と、情報処理装置300と、入退場門装置500と、から構成される。   FIG. 3 is a detailed configuration diagram of the data protection management system 1. The data protection management system 1 includes a contact-type or non-contact-type IC card 100, an information processing device 300, and an entrance / exit gate device 500.

ICカード100は、入場データ受信記録手段170と、暗号鍵データ返信手段140と、入場データ消去手段180と、記憶手段190と、を備える。記憶手段190は、入退場門装置500から受信した入場データ195を記憶する。   The IC card 100 includes an entrance data reception / recording unit 170, an encryption key data return unit 140, an entrance data erasing unit 180, and a storage unit 190. The storage unit 190 stores the entrance data 195 received from the entrance / exit gate device 500.

入場データ195は、安全保護管理領域を特定する情報195bと暗号鍵データ591と対応付けたデータである。   The entrance data 195 is data associated with the information 195b specifying the security management area and the encryption key data 591.

入場データ受信記録手段170は、入退場門装置500から、入場データ195を受信して記憶手段190に記録する機能を有している。   The entrance data reception / recording means 170 has a function of receiving the entrance data 195 from the entrance / exit gate device 500 and recording it in the storage means 190.

暗号鍵データ返信手段140は、情報処理装置300から、暗号鍵データ送信要求を受け付けて、入場データ195に含まれる暗号鍵データ591を返信する機能を有している。   The encryption key data return means 140 has a function of receiving an encryption key data transmission request from the information processing apparatus 300 and returning the encryption key data 591 included in the entrance data 195.

入場データ消去手段180は、入場データ消去指示を受け付けて、入場データ195を消去する機能を有している。   The admission data erasure means 180 has a function of accepting an admission data erasure instruction and erasing the admission data 195.

入退場門装置500は、入場データ送信手段570と、入場データ消去指示手段580と、記憶手段590と、を備える。記憶手段590は、暗号鍵データ591を記憶している。   The entrance / exit gate device 500 includes an entrance data transmission unit 570, an entrance data deletion instruction unit 580, and a storage unit 590. The storage unit 590 stores encryption key data 591.

入場データ送信手段570は、安全保護管理領域700への入場を検知して、暗号鍵データ591を含む入場データ195を、ICカード100に送信する。安全保護管理領域700への入場の検知は、具体的には、ICカード100が入退場門装置500に接近したことを検知し、そのICカード100内に、入場データ195が記録されていないことを認識することにより行う。   The admission data transmission means 570 detects admission to the security management area 700 and transmits admission data 195 including encryption key data 591 to the IC card 100. Specifically, the entry to the security management area 700 is detected by detecting that the IC card 100 has approached the entrance / exit gate device 500 and that the entry data 195 is not recorded in the IC card 100. By recognizing

入場データ消去指示手段580は、安全保護管理領域700からの退場を検知して、入場データ消去指示を、ICカード100に発行する。安全保護管理領域700からの退場の検知は、具体的には、ICカード100が入退場門装置500に接近したことを検知し、そのICカード100内に、入場データ195が記録されていることを認識することにより行う。   The admission data erasure instruction means 580 detects exit from the security protection management area 700 and issues an admission data erasure instruction to the IC card 100. Specifically, the detection of the exit from the security management area 700 is that the IC card 100 has approached the entrance / exit gate device 500, and the entrance data 195 is recorded in the IC card 100. By recognizing

情報処理装置300は、暗号鍵データ受信手段340と、復号手段350と、暗号化手段360と、記憶手段390と、を備える。記憶手段390は、暗号化利用データ395を記憶している。   The information processing apparatus 300 includes an encryption key data reception unit 340, a decryption unit 350, an encryption unit 360, and a storage unit 390. The storage unit 390 stores encrypted usage data 395.

暗号鍵データ受信手段340は、暗号化利用データ復号請求の入力を受け付けて、ICカード100に暗号鍵データ送信要求を発行して、暗号鍵データ591を受信する機能を有している。   The encryption key data receiving unit 340 has a function of receiving an encryption request data decryption request, issuing an encryption key data transmission request to the IC card 100, and receiving the encryption key data 591.

復号手段350は、ICカード100から受信した暗号鍵データ591を用いて、前記記憶された暗号化利用データ395を、利用データに復号する機能を有している。   The decrypting means 350 has a function of decrypting the stored encrypted usage data 395 into usage data using the encryption key data 591 received from the IC card 100.

暗号化手段360は、前記受信した暗号鍵データ591を用いて、利用データを暗号化する機能を有している。   The encryption unit 360 has a function of encrypting usage data using the received encryption key data 591.

入場データ受信記録手段170と、暗号鍵データ返信手段140と、入場データ消去手段180と、暗号鍵データ受信手段340と、復号手段350と、暗号化手段360と、入場データ送信手段570と、入場データ消去指示手段580は、コンピュータプログラムにより実現される。入場データ195と、暗号化利用データ395と、暗号鍵データ591は、コンピュータプログラムが可読なデータである。記憶手段190と、記憶手段390と、記憶手段590は、メモリである。   Entrance data reception recording means 170, encryption key data return means 140, entrance data erasure means 180, encryption key data reception means 340, decryption means 350, encryption means 360, entrance data transmission means 570, entrance The data erasure instruction unit 580 is realized by a computer program. The admission data 195, the encryption usage data 395, and the encryption key data 591 are data that can be read by a computer program. The storage unit 190, the storage unit 390, and the storage unit 590 are memories.

図4は、入場データ195の構造と例である。入場データ195の項目は、安全保護領域を特定する情報195bと、暗号鍵データ591と、から構成される。なお、安全保護領域を特定する情報195bと、暗号鍵データ591は、対応付けられている。   FIG. 4 shows the structure and example of the admission data 195. The entry data 195 includes information 195b for specifying a security area and encryption key data 591. Note that the information 195b specifying the security protection area and the encryption key data 591 are associated with each other.

次に、変形例を説明する。定期的に変更する暗号鍵データ591を、用いる変形例を説明する。   Next, a modified example will be described. A modification in which the encryption key data 591 that is periodically changed will be described.

図5は、適宜変更される暗号鍵データを用いるデータ保護管理システム2の全体構成を説明する図である。適宜変更される暗号鍵データを用いるデータ保護管理システム2は、接触型、または、非接触型ICカード100と、ネットワーク接続された情報処理装置300と入退場門装置500とから構成される。   FIG. 5 is a diagram for explaining the overall configuration of the data protection management system 2 that uses encryption key data that is appropriately changed. The data protection management system 2 using encryption key data that is changed as appropriate includes a contact type or non-contact type IC card 100, an information processing apparatus 300 and an entrance / exit gate apparatus 500 connected to a network.

ICカード100は、入場データ195を記憶する。情報処理装置300は、暗号化利用データ395を記憶する。入退場門装置500は、暗号鍵データ591を記憶する。入退場門装置500は、安全保護管理領域700に設置される。以上は、図1と同じである。   The IC card 100 stores entrance data 195. The information processing apparatus 300 stores encrypted usage data 395. The entrance / exit gate device 500 stores encryption key data 591. The entrance / exit gate device 500 is installed in the safety protection management area 700. The above is the same as FIG.

図6は、適宜変更される暗号鍵データを用いるデータ保護管理システム2の処理の流れを説明する図である。   FIG. 6 is a diagram for explaining a processing flow of the data protection management system 2 using encryption key data that is changed as appropriate.

情報処理装置300は、暗号鍵データ591を生成する(図6(1))。情報処理装置300は、前記生成された暗号鍵データ591を入退場門装置500に送信する(同(2))。   The information processing apparatus 300 generates encryption key data 591 (FIG. 6 (1)). The information processing apparatus 300 transmits the generated encryption key data 591 to the entrance / exit gate apparatus 500 ((2)).

入退場門装置500は、情報処理装置300から、暗号鍵データ591を受信して、これを用いて、記憶されている暗号鍵データ591を更新する(同(3))。   The entrance / exit gate device 500 receives the encryption key data 591 from the information processing device 300, and updates the stored encryption key data 591 using the same (3).

なお、図6の(11)から(12)は、図2の(1)から(2)と同じである。同様に、図6の(21)から(25)は、図2の(11)から(15)と同じである。また、図6の(31)から(32)は、図2の(21)から(22)と同じである。   Note that (11) to (12) in FIG. 6 are the same as (1) to (2) in FIG. Similarly, (21) to (25) in FIG. 6 are the same as (11) to (15) in FIG. Also, (31) to (32) in FIG. 6 are the same as (21) to (22) in FIG.

図7は、適宜変更される暗号鍵データを用いるデータ保護管理システム2の詳細な構成図である。   FIG. 7 is a detailed configuration diagram of the data protection management system 2 using encryption key data that is appropriately changed.

適宜変更される暗号鍵データを用いるデータ保護管理システム2は、接触型、または、非接触型ICカード100と、ネットワーク接続された情報処理装置300と入退場門装置500と、から構成される。   The data protection management system 2 using encryption key data that is changed as appropriate includes a contact type or non-contact type IC card 100, a network-connected information processing device 300, and an entrance / exit gate device 500.

ICカード100の手段の構成は、図3のICカード100の手段の構成と、同じである。   The configuration of the means of the IC card 100 is the same as the configuration of the means of the IC card 100 of FIG.

入退場門装置500の手段の構成は、図3の入退場門装置500の手段の構成に、暗号鍵更新手段520を追加したものである。   The configuration of the means of the entrance / exit gate device 500 is obtained by adding an encryption key update unit 520 to the configuration of the means of the entrance / exit gate device 500 of FIG.

暗号鍵更新手段520は、情報処理装置300から、暗号鍵データ591を受信して、これを用いて、記憶されている暗号鍵データ591を更新する機能を有している。   The encryption key update unit 520 has a function of receiving the encryption key data 591 from the information processing apparatus 300 and using this to update the stored encryption key data 591.

情報処理装置300は、図3の情報処理装置300の手段の構成に、暗号鍵生成手段310と、暗号鍵送信手段320と、を追加したものである。   The information processing apparatus 300 is obtained by adding an encryption key generation means 310 and an encryption key transmission means 320 to the configuration of the means of the information processing apparatus 300 of FIG.

暗号鍵生成手段310は、暗号鍵データ591を生成する機能を有している。暗号鍵送信手段320は、前記生成された暗号鍵データ591を入退場門装置500に送信する機能を有している。   The encryption key generation unit 310 has a function of generating encryption key data 591. The encryption key transmission unit 320 has a function of transmitting the generated encryption key data 591 to the entrance / exit gate device 500.

暗号鍵更新手段520と、暗号鍵生成手段310と、暗号鍵送信手段320と、は、コンピュータプログラムにより実現される。それ以外の手段の実現方法は、図3と同じである。   The encryption key update unit 520, the encryption key generation unit 310, and the encryption key transmission unit 320 are realized by a computer program. The other means are the same as in FIG.

以上詳しく説明したように、本願発明によれば、安全保護領域(たとえば、セキュリティルーム)にて配布した暗号鍵データを、領域の外に持ち出すことを防止することが可能となった。また、暗号鍵データを、適宜変更して利用することが可能となった。   As described above in detail, according to the present invention, it is possible to prevent the encryption key data distributed in the security protection area (for example, the security room) from being taken out of the area. Also, the encryption key data can be changed and used as appropriate.

データ保護管理システム1の全体構成図である。1 is an overall configuration diagram of a data protection management system 1. FIG. データ保護管理システム1の処理の流れを説明する図である。It is a figure explaining the flow of a process of the data protection management system. データ保護管理システム1の詳細な構成図である。1 is a detailed configuration diagram of a data protection management system 1. FIG. 入場データ195の構造と例を示す図である。It is a figure which shows the structure and example of entrance data 195. (変形例)データ保護管理システム2の全体構成図である。(Modification) FIG. 6 is an overall configuration diagram of a data protection management system 2. (変形例)データ保護管理システム2の処理の流れを説明する図である。(Modification) FIG. 10 is a diagram for explaining the processing flow of the data protection management system 2. (変形例)データ保護管理システム2の詳細な構成図である。(Modification) FIG. 6 is a detailed configuration diagram of the data protection management system 2.

符号の説明Explanation of symbols

1 データ保護管理システム
2 適宜変更される暗号鍵データを用いるデータ保護管理システム
100 ICカード
170 入場データ受信記録手段
140 暗号鍵データ返信手段
180 入場データ消去手段
190 記憶手段
195 入場データ
300 情報処理装置
310 暗号鍵生成手段
320 暗号鍵送信手段
340 暗号鍵データ受信手段
350 復号手段
360 暗号化手段
390 記憶手段
395 暗号化利用データ
500 入退場門装置
520 暗号鍵更新手段
570 入場データ送信手段
580 入場データ消去指示手段
590 記憶手段
591 暗号鍵データ DESCRIPTION OF SYMBOLS 1 Data protection management system 2 Data protection management system 100 using encryption key data changed suitably IC card 170 Entrance data reception recording means 140 Encryption key data return means 180 Entrance data erasure means 190 Storage means 195 Entrance data 300 Information processing apparatus 310 Encryption key generation means 320 Encryption key transmission means 340 Encryption key data reception means 350 Decryption means 360 Encryption means 390 Storage means 395 Encrypted usage data 500 Entrance / exit gate device 520 Encryption key update means 570 Entrance data transmission means 580 Entrance data deletion instruction Means 590 Storage means 591 Encryption key data

Claims (8)

接触型、または、非接触型ICカードと、情報処理装置と、入退場門装置と、から構成されるデータ保護管理システムであって、
前記入退場門装置は、
暗号鍵データを記憶する記憶手段と、
入場を検知して、前記暗号鍵データを含む入場データを、ICカードに、送信する入場データ送信手段と、
退場を検知して、入場データ消去指示を、ICカードに、発行する入場データ消去指示手段と、
を備える入退場門装置であって、
前記ICカードは、
入退場門装置から、入場データを受信して、記録する入場データ受信記録手段と、
情報処理装置から、暗号鍵データ送信要求を受け付けて、入場データに含まれる暗号鍵データを返信する暗号鍵データ返信手段と、
入場データ消去指示を受け付けて、入場データを消去する入場データ消去手段と、
を備えるICカードであって、
前記情報処理装置は、
暗号化利用データを記憶する記憶手段と、
暗号化利用データ復号請求の入力を受け付けて、ICカードに、暗号鍵データ送信要求を発行して、暗号鍵データを受信する暗号鍵データ受信手段と、
受信した暗号鍵データを用いて、前記記憶された暗号化利用データを、利用データに復号する復号手段と、
を備える処理装置である、
ことを特徴とするデータ保護管理システム。 A data protection management system comprising a contact type or non-contact type IC card, an information processing device, and an entrance / exit gate device,
The entrance / exit gate device is:
Storage means for storing encryption key data;
An admission data transmission means for detecting admission and transmitting admission data including the encryption key data to the IC card;
An entry data erasure instruction means for detecting an exit and issuing an entry data erasure instruction to the IC card;
An entrance / exit gate device comprising:
The IC card is
An entrance data reception recording means for receiving and recording entrance data from the entrance / exit gate device;
An encryption key data return means for receiving an encryption key data transmission request from the information processing device and returning the encryption key data included in the entrance data;
An admission data erasure means for accepting an admission data erasure instruction and erasing the admission data;
An IC card comprising:
The information processing apparatus includes:
Storage means for storing encrypted usage data;
An encryption key data receiving means for receiving an encryption key data decryption request, issuing an encryption key data transmission request to the IC card, and receiving the encryption key data;
Decryption means for decrypting the stored encrypted use data into use data using the received encryption key data;
A processing device comprising:
A data protection management system characterized by that. 前記入退場門装置は、
前記記憶手段が、安全保護管理領域を特定する情報を有する暗号鍵データを記憶する、
装置であって、
前記ICカードは、
前記記憶手段が、安全保護管理領域を特定する情報と対応づけられた暗号鍵データを含む入場データを記憶する、
ICカードである、
ことを特徴とする請求項1に記載のデータ保護管理システム。 The entrance / exit gate device is:
The storage means stores encryption key data having information for specifying a security management area;
A device,
The IC card is
The storage means stores admission data including encryption key data associated with information specifying a security management area;
IC card
The data protection management system according to claim 1. 前記情報処理装置と前記入退場門装置とは、ネットワーク接続されたデータ保護管理システムであって、
前記情報処理装置は、
暗号鍵データを生成する暗号鍵生成手段と、
前記生成された暗号鍵データを入退場門装置に送信する暗号鍵送信手段と、
を備える処理装置であって、
前記入退場門装置は、
情報処理装置から、暗号鍵データを受信して、これを用いて、記憶されている暗号鍵データを更新する暗号鍵更新手段、
を備える入退場門装置である、
ことを特徴とする請求項1、または、請求項2に記載のデータ保護管理システム。 The information processing device and the entrance / exit gate device are network-connected data protection management systems,
The information processing apparatus includes:
Encryption key generation means for generating encryption key data;
Encryption key transmitting means for transmitting the generated encryption key data to the entrance / exit gate device;
A processing apparatus comprising:
The entrance / exit gate device is:
Encryption key update means for receiving encryption key data from the information processing apparatus and updating the stored encryption key data using the encryption key data,
It is an entrance / exit gate device comprising,
The data protection management system according to claim 1 or claim 2, characterized by that. 記憶された暗号鍵データと、記憶された暗号化利用データと、を用いるデータ保護管理方法であって、
入場を検知して、暗号鍵データを含む入場データを、送信する入場データ送信ステップと、
入場データを受信して、記録する入場データ受信記録ステップと、
暗号鍵データ送信要求を発行して、前記記録された入場データが持つ暗号鍵データを受信する暗号鍵データ受信ステップと、
受信した暗号鍵データを用いて、前記記憶された暗号化利用データを、利用データに復号する復号ステップと、
退場を検知して、入場データ消去指示を、発行する入場データ消去指示ステップと、
入場データ消去指示を受け付けて、入場データを消去する入場データ消去ステップと、
を含んだ手順でなされることを特徴とするデータ保護管理方法。 A data protection management method using stored encryption key data and stored encrypted use data,
An admission data transmission step of detecting admission and transmitting admission data including encryption key data; and
An admission data receiving and recording step of receiving and recording admission data; and
An encryption key data receiving step of issuing an encryption key data transmission request and receiving the encryption key data of the recorded entrance data;
A decryption step of decrypting the stored encrypted usage data into usage data using the received encryption key data;
Detecting the exit, and issuing an entrance data erase instruction step to issue an entrance data erase instruction,
An admission data erasure step for accepting an admission data erasure instruction and erasing the admission data;
A data protection management method characterized in that the method is performed by a procedure including: 前記記憶された暗号鍵データは、安全保護管理領域を特定する情報を有する暗号鍵データであって、
前記入場データ送信ステップは、入場を検知して、安全保護管理領域を特定する情報を対応付けた暗号鍵データを含む入場データを、送信する、
手順でなされることを特徴とする請求項4に記載のデータ保護管理方法。 The stored encryption key data is encryption key data having information for specifying a security management area,
The admission data transmission step detects admission and transmits admission data including encryption key data associated with information for specifying a security management area.
5. The data protection management method according to claim 4, wherein the data protection management method is performed in a procedure. 暗号鍵データを生成する暗号鍵生成ステップと、
前記生成された暗号鍵データを用いて、前記記憶されている暗号鍵データを更新する暗号鍵更新ステップと、
を含んだ手順でなされることを特徴とする請求項4、または、請求項5に記載のデータ保護管理方法。 An encryption key generation step for generating encryption key data;
An encryption key update step of updating the stored encryption key data using the generated encryption key data;
6. The data protection management method according to claim 4, wherein the data protection management method is performed by a procedure including: コンピュータに組込むことによって、コンピュータを請求項1から、請求項3までのいずれか1項に記載のデータ保護管理システムとして動作させるコンピュータプログラム。 The computer program which makes a computer operate | move as a data protection management system of any one of Claim 1- Claim 3 by incorporating in a computer. 請求項7に記載のコンピュータプログラムを記録したコンピュータ読取り可能な記録媒体。 A computer-readable recording medium on which the computer program according to claim 7 is recorded.
JP2007196367A 2006-07-31 2007-07-27 Data protection management system and method Active JP5067058B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007196367A JP5067058B2 (en) 2006-07-31 2007-07-27 Data protection management system and method

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2006207668 2006-07-31
JP2006207668 2006-07-31
JP2007196367A JP5067058B2 (en) 2006-07-31 2007-07-27 Data protection management system and method

Publications (2)

Publication Number Publication Date
JP2008061230A true JP2008061230A (en) 2008-03-13
JP5067058B2 JP5067058B2 (en) 2012-11-07

Family

ID=39243411

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007196367A Active JP5067058B2 (en) 2006-07-31 2007-07-27 Data protection management system and method

Country Status (1)

Country Link
JP (1) JP5067058B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008278093A (en) * 2007-04-27 2008-11-13 Dainippon Printing Co Ltd Management system and data management method
JP2009294886A (en) * 2008-06-05 2009-12-17 Hitachi Ltd Information equipment management system, information processor and ic card

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002262351A (en) * 2001-02-28 2002-09-13 Ntt Docomo Inc Configuration of communication service area in mobile communication system, information distribution method and its mobile communication system
JP2004088375A (en) * 2002-08-27 2004-03-18 Dainippon Printing Co Ltd Public key encryption processing system and method
JP2005117516A (en) * 2003-10-10 2005-04-28 Hitachi Ltd Mobile communication terminal and contents distribution system
JP2005236341A (en) * 2004-02-17 2005-09-02 Hitachi Ltd Mobile communication terminal, program for mobile communication terminal and signal processing system employing the same
WO2006009158A1 (en) * 2004-07-20 2006-01-26 Matsushita Electric Industrial Co., Ltd. Reproduction control device, gate device, and reproduction control system
JP2008033455A (en) * 2006-07-26 2008-02-14 Matsushita Electric Ind Co Ltd Content concealing system, terminal, and content concealing method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002262351A (en) * 2001-02-28 2002-09-13 Ntt Docomo Inc Configuration of communication service area in mobile communication system, information distribution method and its mobile communication system
JP2004088375A (en) * 2002-08-27 2004-03-18 Dainippon Printing Co Ltd Public key encryption processing system and method
JP2005117516A (en) * 2003-10-10 2005-04-28 Hitachi Ltd Mobile communication terminal and contents distribution system
JP2005236341A (en) * 2004-02-17 2005-09-02 Hitachi Ltd Mobile communication terminal, program for mobile communication terminal and signal processing system employing the same
WO2006009158A1 (en) * 2004-07-20 2006-01-26 Matsushita Electric Industrial Co., Ltd. Reproduction control device, gate device, and reproduction control system
JP2008033455A (en) * 2006-07-26 2008-02-14 Matsushita Electric Ind Co Ltd Content concealing system, terminal, and content concealing method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008278093A (en) * 2007-04-27 2008-11-13 Dainippon Printing Co Ltd Management system and data management method
JP2009294886A (en) * 2008-06-05 2009-12-17 Hitachi Ltd Information equipment management system, information processor and ic card

Also Published As

Publication number Publication date
JP5067058B2 (en) 2012-11-07

Similar Documents

Publication Publication Date Title
KR100753932B1 (en) contents encryption method, system and method for providing contents through network using the encryption method
ES2180941T3 (en) CONTROL SYSTEM / ACCESS ENCRYPTION.
US8200964B2 (en) Method and apparatus for accessing an encrypted file system using non-local keys
KR960015239A (en) A method of loading a protected storage area in an information processing apparatus and a combination thereof
DE60136137D1 (en) Super encrypted storage and recovery of media programs with keys generated by a smart card
JP2010268417A (en) Recording device, and content-data playback system
US20050246551A1 (en) System and method for rendering selective presentation of documents
CN103345601A (en) Identity recording and verification system based on radio frequency
US20140245375A1 (en) Document authority management system, terminal device, document authority management method, and computer-readable recording medium
TW200622623A (en) Memory information protection system, semiconductor memory and method of protecting memory information
JP5073312B2 (en) IC tag system
JP2007108833A (en) Device for storing a plurality of passwords and password management method
JP2005295408A (en) Enciphering device, decoding device, enciphering and decoding system, and key information updating system
CN101099207B (en) Portable data support with watermark function
JP5067058B2 (en) Data protection management system and method
CN103177224A (en) Data protection method and device used for terminal external storage card
US8320570B2 (en) Apparatus and method for generating secret key
CN101795194B (en) Method for protecting multi-digital certificate of intelligent card
JP2008312156A (en) Information processing apparatus, encryption processing method, and encryption processing program
KR101485968B1 (en) Method for accessing to encoded files
CN103699853A (en) Smart SD (secure digital memory card) and control system and control method thereof
JP2003091240A (en) Method for managing enciphered information
JP2009177368A (en) Potable electronic device
CN102426635A (en) Display device for file information, display method and system
JP4919046B2 (en) Management system and data management method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100520

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120207

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120409

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120515

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120629

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120717

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120730

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150824

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5067058

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150