JP2010109919A - Information processing apparatus, encryption/decryption system, and encryption/decryption method - Google Patents

Information processing apparatus, encryption/decryption system, and encryption/decryption method Download PDF

Info

Publication number
JP2010109919A
JP2010109919A JP2008282290A JP2008282290A JP2010109919A JP 2010109919 A JP2010109919 A JP 2010109919A JP 2008282290 A JP2008282290 A JP 2008282290A JP 2008282290 A JP2008282290 A JP 2008282290A JP 2010109919 A JP2010109919 A JP 2010109919A
Authority
JP
Japan
Prior art keywords
key
encryption
data
encrypting
decrypting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008282290A
Other languages
Japanese (ja)
Inventor
Koichiro Kamura
幸一郎 嘉村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2008282290A priority Critical patent/JP2010109919A/en
Publication of JP2010109919A publication Critical patent/JP2010109919A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To surely change a key encrypting key for decrypting an encrypted key obtained by encrypting a key used for encrypting data. <P>SOLUTION: An information processing apparatus includes: a data encrypting module 103 for encrypting a plain text 121A using a disc key; a disc key encrypting module 102 for acquiring key encrypting keys 63A, 63B from key managing virtual machines 60A, 60B to encrypt a disc key 120A using the respective encrypting keys 63A, 63B; a key encrypting key acquisition module 104 for selecting a key management server capable of communication from a plurality of key management servers to acquire a key encrypting key from the selected key management server; a disc key decrypting module 105 for decrypting encrypted disc keys 124A, 124B using the acquired key encrypting key; and a data decrypting module 106 for decrypting an encrypted text 122 using a disc key 120B. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、情報処理装置、暗号/復号システム、および暗号/復号方法に関する。   The present invention relates to an information processing apparatus, an encryption / decryption system, and an encryption / decryption method.

従来、鍵管理サーバから鍵を交換してパソコン内のデータの暗号化/復号化を行うシステムにおいて、システムの可用性を高めるため複数の鍵管理サーバを備える場合、複数の鍵管理サーバ間で鍵管理データの同期をとる方法がとられていた。   Conventionally, in a system for exchanging keys from a key management server and encrypting / decrypting data in a personal computer, when multiple key management servers are provided to increase system availability, key management is performed between the key management servers. A method of synchronizing data was taken.

特許文献1は、データ用鍵を(ユーザごとに)固有の複数の暗号鍵によりそれぞれ暗号化して複数の暗号化データ鍵を作成し、複数の暗号鍵のうちいずれか暗号鍵に対応した復号鍵が入力された場合に、対応する暗号化データ鍵からデータ鍵を復号してデータ暗復号部へ出力することを開示している。
特開2008−53767号公報 Patent Document 1 discloses that a data key is encrypted with a plurality of unique encryption keys (for each user) to create a plurality of encrypted data keys, and a decryption key corresponding to any one of the plurality of encryption keys. Is input, the data key is decrypted from the corresponding encrypted data key and output to the data encryption / decryption unit.
JP 2008-53767 A

ところで、複数の鍵管理サーバ間でデータ用鍵の同期をとる方法では鍵管理サーバ間で鍵データの同期が失敗するなどの障害が発生した場合、鍵データの不一致が発生するとパソコンのデータを復号できなくなるため、サーバを常時動かし、確実にデータの同期をとる必要があった。   By the way, in the method of synchronizing data keys between multiple key management servers, if a failure occurs, such as key data synchronization failure between key management servers, the data on the PC will be decrypted if a key data mismatch occurs. Since it was impossible, it was necessary to keep the server running at all times to ensure data synchronization.

本発明の目的は、鍵を管理するサーバが常時通信を行うことができない環境であっても、確実にデータの暗号化に用いた鍵を暗号化した暗号化鍵を復号するための鍵暗号化鍵を交換することが可能な情報処理装置、暗号/復号システム、および暗号/復号方法を提供することにある。   An object of the present invention is to perform key encryption for securely decrypting an encryption key obtained by encrypting a key used for data encryption even in an environment in which a server that manages keys cannot always communicate. An information processing apparatus, an encryption / decryption system, and an encryption / decryption method capable of exchanging keys are provided.

本発明の一例に係わる情報処理装置は、ネットワークを介して通信を行うための第2ネットワークコントローラと、第1の鍵を用いてデータを暗号化する手段と、前記データを暗号化した暗号データを格納する記憶装置と、複数の鍵管理サーバからそれぞれ鍵暗号化鍵を取得し、前記各鍵暗号化鍵を用いて前記第1の鍵を暗号化する鍵暗号化手段と、前記複数の鍵管理サーバの中から前記ネットワークを介して通信を行うことができる鍵管理サーバを選択し、選択した鍵管理サーバから鍵暗号化鍵を取得する取得手段と、前記取得手段が取得した鍵暗号化鍵を用いて前記暗号化された第1の鍵を復号する暗号化鍵復号手段と、前記暗号化鍵復号手段が復号した第1の鍵を用いて前記記憶装置に格納されている暗号データを復号することによって、前記データを算出するデータ復号手段とを具備することを特徴とする。   An information processing apparatus according to an example of the present invention includes a second network controller for performing communication via a network, means for encrypting data using a first key, and encrypted data obtained by encrypting the data. A storage device to store; a key encryption unit that obtains a key encryption key from each of a plurality of key management servers; and encrypts the first key using each key encryption key; and the plurality of key managements Selecting a key management server capable of communicating via the network from the server, obtaining means for obtaining a key encryption key from the selected key management server, and a key encryption key obtained by the obtaining means An encryption key decrypting unit for decrypting the encrypted first key using the first key decrypted by the encryption key decrypting unit, and decrypting the encrypted data stored in the storage device using the first key decrypted by the encryption key decrypting unit Possibly , Characterized by comprising a data decoding means for calculating the data.

本発明の一例に係わる暗号/復号システムは、ネットワークを介した通信を行うための第1ネットワークコントローラと、鍵暗号化鍵を管理するための鍵管理手段とをそれぞれ有する複数の鍵管理サーバと、前記ネットワークを介した通信を行うための第2ネットワークコントローラと、第1の鍵を用いてデータを暗号化する手段と、前記データを暗号化した暗号データを格納する記憶装置と、複数の鍵管理サーバからそれぞれ鍵暗号化鍵を取得し、前記各鍵暗号化鍵を用いて前記第1の鍵を暗号化する鍵暗号化手段と、前記複数の鍵管理サーバの中から前記ネットワークを介して通信を行うことができる鍵管理サーバを選択し、選択した鍵管理サーバから鍵暗号化鍵を取得する取得手段と、前記取得手段が取得した鍵暗号化鍵を用いて前記暗号化された第1の鍵を復号する暗号化鍵復号手段と、前記暗号化鍵復号手段が復号した第1の鍵を用いて前記記憶装置に格納されている暗号データを復号することによって、前記データを算出するデータ復号手段とを有する情報処理装置とを具備することを特徴とする。   An encryption / decryption system according to an example of the present invention includes a plurality of key management servers each having a first network controller for performing communication via a network and key management means for managing key encryption keys, A second network controller for performing communication via the network; means for encrypting data using a first key; a storage device for storing encrypted data obtained by encrypting the data; and a plurality of key managements A key encryption unit that obtains a key encryption key from each server and encrypts the first key using each key encryption key, and communicates through the network from among the plurality of key management servers Selecting a key management server that can perform the acquisition, acquiring a key encryption key from the selected key management server, and using the key encryption key acquired by the acquisition unit By decrypting the encrypted data stored in the storage device using the encryption key decrypting means for decrypting the encoded first key and the first key decrypted by the encryption key decrypting means, And an information processing device having data decoding means for calculating the data.

本発明によれば、鍵を管理するサーバが常時通信を行うことができない環境であっても、確実にデータの暗号化に用いた鍵を暗号化した暗号化鍵を復号するための鍵暗号化鍵を交換することが可能になる。   According to the present invention, even in an environment in which a key management server cannot always communicate, key encryption for securely decrypting an encryption key obtained by encrypting a key used for data encryption It becomes possible to exchange keys.

本発明の実施の形態を以下に図面を参照して説明する。   Embodiments of the present invention will be described below with reference to the drawings.

図1は、本発明の一実施形態に係わる暗号/復号システムの構成を示す図である。図1に示すように、社内LANに複数のノートブック型パーソナルコンピュータ10A,10B,10C,20A,20Bが接続されている。それぞれのコンピュータ10A,10B,10C,20A,20Bは、バッテリによって駆動することが可能であり、社内LANから離脱した状態で用いられることがある。   FIG. 1 is a diagram showing a configuration of an encryption / decryption system according to an embodiment of the present invention. As shown in FIG. 1, a plurality of notebook personal computers 10A, 10B, 10C, 20A, and 20B are connected to an in-house LAN. Each of the computers 10A, 10B, 10C, 20A, and 20B can be driven by a battery and may be used in a state of being detached from the in-house LAN.

コンピュータ20A,20Bでは、複数の仮想マシンが同時動作し、その中の1台は鍵暗号化鍵管理サーバとして動作する。図2を参照してコンピュータ20A,20Bの構成を説明する。図2は、鍵管理サーバとして動作する仮想マシンを有する情報処理装置の構成を示す図である。   In the computers 20A and 20B, a plurality of virtual machines operate simultaneously, and one of them operates as a key encryption key management server. The configuration of the computers 20A and 20B will be described with reference to FIG. FIG. 2 is a diagram illustrating a configuration of an information processing apparatus having a virtual machine that operates as a key management server.

コンピュータ20A、20Bには、例えば、XENやVMWAREなどで提供される仮想化技術(Virtual Monitor)を実行する環境が整えられている。   The computers 20A and 20B are provided with an environment for executing a virtualization technology (Virtual Monitor) provided by, for example, XEN or VMWARE.

コンピュータ20A,20Bは、ハードウェア層30、仮想マシンモニタ(モニタ手段)40、ユーザ用仮想マシン50、および鍵管理用仮想マシン(鍵管理サーバ)60等を備えている。   The computers 20A and 20B include a hardware layer 30, a virtual machine monitor (monitoring means) 40, a user virtual machine 50, a key management virtual machine (key management server) 60, and the like.

ハードウェア層30は、ネットワークインタフェースカード(NIC)31、ディスプレイ、ハードディスクドライブ(HDD)、キーボード、およびマウス等を有する。ネットワークインタフェースカード31は、ネットワークを介した通信を行うためのコントローラである。   The hardware layer 30 includes a network interface card (NIC) 31, a display, a hard disk drive (HDD), a keyboard, a mouse, and the like. The network interface card 31 is a controller for performing communication via a network.

仮想マシンモニタ40は、ハードウェア層30を管理し、各仮想マシン50,60に対してリソース割り当てを行う。また仮想マシンモニタ40は、仮想マシンの実行スケジュールと仮想マシンからのI/O要求をハードウェア層30へ振り分ける。   The virtual machine monitor 40 manages the hardware layer 30 and allocates resources to the virtual machines 50 and 60. The virtual machine monitor 40 distributes the execution schedule of the virtual machine and the I / O request from the virtual machine to the hardware layer 30.

ユーザ用仮想マシン50は、ユーザオペレーティングシステム(ユーザOS)51、ユーザアプリケーションプログラム(ユーザAPP)52等を有する。ユーザオペレーティングシステム51は、ユーザが一般的に使用する環境を提供するためのオペレーティングシステムである。一般的には、ユーザオペレーティングシステム51としては、ウインドウズ(登録商標)系のオペレーティングシステムが用いられる。ユーザアプリケーションプログラム52は、ユーザオペレーティングシステム51上で動作するアプリケーションソフトウェアである。例えば、ワードプロセッサ、スプレッドシート、プレゼンテーション資料作成ソフト、メーラ、Webブラウザ等である。   The user virtual machine 50 includes a user operating system (user OS) 51, a user application program (user APP) 52, and the like. The user operating system 51 is an operating system for providing an environment generally used by a user. In general, a Windows (registered trademark) operating system is used as the user operating system 51. The user application program 52 is application software that runs on the user operating system 51. For example, a word processor, a spreadsheet, presentation material creation software, a mailer, a Web browser, and the like.

鍵管理用仮想マシン60は、サービスオペレーティングシステム(サービスOS)61、鍵管理アプリケーションプログラム(鍵管理APP)62等を有する。サービスオペレーティングシステム61は、鍵管理アプリケーションプログラム62を動作させるためのオペレーティングシステムである。例えば、Linux(登録商標)がサービスオペレーティングシステム61として用いられる。鍵管理アプリケーションプログラム62は、鍵管理用仮想マシン60に割り当てられたディスクスペース内に格納される鍵暗号化鍵(KEK:Key Encryption Key)を管理する。なお、ユーザ用仮想マシン50内で動作するオペレーティングシステム51およびアプリケーション52等は、鍵管理用仮想マシン60に割り当てられているディスクスペース内のデータに直接アクセすることができない。   The key management virtual machine 60 includes a service operating system (service OS) 61, a key management application program (key management APP) 62, and the like. The service operating system 61 is an operating system for operating the key management application program 62. For example, Linux (registered trademark) is used as the service operating system 61. The key management application program 62 manages a key encryption key (KEK) stored in the disk space allocated to the key management virtual machine 60. Note that the operating system 51, the application 52, and the like operating in the user virtual machine 50 cannot directly access data in the disk space allocated to the key management virtual machine 60.

コンピュータ10A,10B,10Cは、自身が有するデータを暗号化/復号化に用いるディスク鍵を有し、コンピュータ20A,20Bの鍵管理用仮想マシン60のそれぞれが管理する鍵暗号化鍵を用いてディスク鍵を暗号化し、ディスク鍵の秘匿化を図る。ディスク鍵を用いて暗号化されたデータを復号する場合には、コンピュータ20A,20Bの少なくとも一方の鍵管理用仮想マシン60から鍵暗号化鍵を取得し、取得した鍵暗号化鍵を用いて暗号化されたディスク鍵を復号することによってディスク鍵を取得し、ディスク鍵を用いてデータを復号する。   Each of the computers 10A, 10B, and 10C has a disk key that is used for encryption / decryption of the data that the computer 10A, 10B, and 10C has, and the disk is encrypted by using the key encryption key managed by each of the key management virtual machines 60 of the computers 20A and 20B Encrypt the key to keep the disc key secret. When decrypting data encrypted using the disk key, a key encryption key is obtained from the key management virtual machine 60 of at least one of the computers 20A and 20B, and encryption is performed using the obtained key encryption key. The disk key is obtained by decrypting the converted disk key, and the data is decrypted using the disk key.

次に、図3を参照して、ディスク鍵を用いてデータの暗号および復号を行うコンピュータ10A,10B,10Cの構成を説明する。図3は、本発明の一実施形態に係わるディスク鍵を用いてデータの暗号および復号を行うコンピュータ10A,10B,10Cの構成を示すブロック図である。   Next, the configuration of the computers 10A, 10B, and 10C that encrypt and decrypt data using a disk key will be described with reference to FIG. FIG. 3 is a block diagram showing the configuration of the computers 10A, 10B, and 10C that encrypt and decrypt data using a disk key according to an embodiment of the present invention.

図3に示すように、コンピュータ10A,10B,10Cは、ディスク鍵生成モジュール101、ディスク鍵暗号化モジュール102、データ暗号化モジュール103、鍵暗号化鍵取得モジュール104、ディスク鍵復号化モジュール105、データ復号化モジュール106、ハードディスクドライブ(HDD)110、およびネットワークインタフェースカード(NIC)130等を備えている。ディスク鍵生成モジュール101、ディスク鍵暗号化モジュール102、データ暗号化モジュール103、鍵暗号化鍵取得モジュール104、ディスク鍵復号化モジュール105、およびデータ復号化モジュール106は、コンピュータ10A,10B,10Cのそれぞれが有するプロセッサによって実行されるプログラムソフトウェアである。   As shown in FIG. 3, the computers 10A, 10B, and 10C include a disk key generation module 101, a disk key encryption module 102, a data encryption module 103, a key encryption key acquisition module 104, a disk key decryption module 105, data A decryption module 106, a hard disk drive (HDD) 110, a network interface card (NIC) 130, and the like are provided. The disk key generation module 101, the disk key encryption module 102, the data encryption module 103, the key encryption key acquisition module 104, the disk key decryption module 105, and the data decryption module 106 are respectively the computers 10A, 10B, and 10C. Is program software executed by a processor of the computer.

ネットワークインタフェースカード130は、ネットワークを介した通信を行うためのコントローラである。コンピュータ10A,10B,10Cは、ネットワークインタフェースカード130用いてネットワークに接続されている機器と通信を行う。   The network interface card 130 is a controller for performing communication via a network. The computers 10A, 10B, and 10C communicate with devices connected to the network using the network interface card 130.

ディスク鍵生成モジュール101は、例えば乱数を用いてディスク鍵120Aを生成する。図4に示すように、データ暗号化モジュール103は、ディスク鍵120Aを用いて平文121Aを暗号化し、暗号化された暗号文122をハードディスクドライブ110内に格納する。   The disk key generation module 101 generates a disk key 120A using, for example, a random number. As shown in FIG. 4, the data encryption module 103 encrypts the plaintext 121A using the disk key 120A, and stores the encrypted ciphertext 122 in the hard disk drive 110.

ディスク鍵暗号化モジュール102は、鍵管理用仮想マシン60A,60B内で動作する鍵管理アプリケーションプログラム62A,62Bからそれぞれ鍵暗号化鍵63A,63Bを取得する。例えば、鍵管理アプリケーションプログラム62A,62Bとディスク鍵暗号化モジュール102とは、AKE(Authenticated Key Exchange)手順を用いて、鍵暗号化鍵63A,63Bを交換する。   The disk key encryption module 102 acquires the key encryption keys 63A and 63B from the key management application programs 62A and 62B operating in the key management virtual machines 60A and 60B, respectively. For example, the key management application programs 62A and 62B and the disk key encryption module 102 exchange key encryption keys 63A and 63B using an AKE (Authenticated Key Exchange) procedure.

図4に示すように、ディスク鍵暗号化モジュール102は、鍵暗号化鍵63Aを用いてディスク鍵120Aを暗号化し、ディスク鍵120Aを暗号化した第1暗号化ディスク鍵124Aをハードディスクドライブ110に格納する。図4に示すように、ディスク鍵暗号化モジュール102は、鍵暗号化鍵63Bを用いてディスク鍵120Aを暗号化し、ディスク鍵120Aを暗号化した第2暗号化ディスク鍵124Bをハードディスクドライブ110に格納する。また、ディスク鍵暗号化モジュール102は、第1暗号化ディスク鍵124Aのパスと第1暗号化ディスク鍵124Aの生成に用いた鍵暗号化鍵63Aの取得先である鍵管理用仮想マシン60A(コンピュータ20A)との情報と、第2暗号化ディスク鍵124Bのパスと第2暗号化ディスク鍵124Bの生成に用いた鍵暗号化鍵63Bの取得先である鍵管理用仮想マシン60B(コンピュータ20B)との情報とをハードディスクドライブ110内の鍵識別情報123に書き込む。ディスク鍵暗号化モジュール102は、ディスク鍵120Aを鍵暗号化鍵63Aおよび鍵暗号化鍵63Bを用いて暗号化した後、ディスク鍵120Aを削除する。   As shown in FIG. 4, the disk key encryption module 102 encrypts the disk key 120A using the key encryption key 63A, and stores the first encrypted disk key 124A obtained by encrypting the disk key 120A in the hard disk drive 110. To do. As shown in FIG. 4, the disk key encryption module 102 encrypts the disk key 120A using the key encryption key 63B, and stores the second encrypted disk key 124B obtained by encrypting the disk key 120A in the hard disk drive 110. To do. Further, the disk key encryption module 102 is a key management virtual machine 60A (computer) from which the key encryption key 63A used to generate the path of the first encryption disk key 124A and the first encryption disk key 124A is obtained. 20A), the path of the second encryption disk key 124B, and the key management virtual machine 60B (computer 20B) from which the key encryption key 63B used to generate the second encryption disk key 124B is obtained. Are written in the key identification information 123 in the hard disk drive 110. The disk key encryption module 102 encrypts the disk key 120A using the key encryption key 63A and the key encryption key 63B, and then deletes the disk key 120A.

ユーザが暗号文122を復号したい場合、鍵暗号化鍵取得モジュール104は、鍵管理用仮想マシン60A,60Bの中から通信可能な鍵管理用仮想マシンを選択し、選択した鍵管理サーバから鍵暗号化鍵を取得する。例えば、鍵暗号化鍵取得モジュール104は、鍵管理用仮想マシン60A,60Bに優先度を与え、優先度が高い順に通信を試みる。通信が成功した場合、成功した鍵管理用仮想マシン60A,60Bの何れかから鍵暗号化鍵63A,63Bを取得する。鍵暗号化鍵取得モジュール104は、鍵暗号化鍵63A,63Bの何れかである取得した鍵暗号化鍵63と、鍵暗号化鍵63を配布した鍵管理用仮想マシン60の情報とをディスク鍵復号化モジュール105に渡す。なお、例えば、鍵管理用アプリケーションプログラム62A,62Bと鍵暗号化鍵取得モジュール104とは、AKE手順を用いて、鍵暗号化鍵63A,63Bを交換する。   When the user wants to decrypt the ciphertext 122, the key encryption key acquisition module 104 selects a key management virtual machine that can communicate with the key management virtual machines 60A and 60B, and performs key encryption from the selected key management server. Get the activation key. For example, the key encryption key acquisition module 104 gives priority to the key management virtual machines 60A and 60B, and tries communication in descending order of priority. When the communication is successful, the key encryption keys 63A and 63B are acquired from any of the successful key management virtual machines 60A and 60B. The key encryption key acquisition module 104 uses the acquired key encryption key 63, which is one of the key encryption keys 63A and 63B, and the information of the key management virtual machine 60 to which the key encryption key 63 is distributed as a disk key. Pass to the decryption module 105. For example, the key management application programs 62A and 62B and the key encryption key acquisition module 104 exchange the key encryption keys 63A and 63B using the AKE procedure.

ディスク鍵復号化モジュール105は、鍵識別情報123を参照することによって、鍵暗号化鍵63を配布した鍵管理用仮想マシン60の情報に対応する暗号化ディスク鍵124(第1暗号化ディスク鍵124Aおよび第2暗号化ディスク鍵124Bの何れか)のパスを取得する。ディスク鍵復号化モジュール105は、取得したパスに基づいてハードディスクドライブ110から暗号化ディスク鍵を取得する。図5に示すように、ディスク鍵復号化モジュール105は、鍵暗号化鍵取得モジュール104から渡された鍵暗号化鍵63を用いて取得した暗号化ディスク鍵124を復号し、ディスク鍵120Bを算出する。鍵暗号化鍵取得モジュール104は、復号して得られたディスク鍵120Bをデータ復号化モジュール106に渡す。   The disk key decryption module 105 refers to the key identification information 123, thereby encrypting the disk key 124 (the first encrypted disk key 124 </ b> A) corresponding to the information of the key management virtual machine 60 to which the key encryption key 63 has been distributed. And the second encrypted disk key 124B). The disk key decryption module 105 acquires an encrypted disk key from the hard disk drive 110 based on the acquired path. As shown in FIG. 5, the disk key decryption module 105 decrypts the encrypted disk key 124 acquired using the key encryption key 63 passed from the key encryption key acquisition module 104, and calculates the disk key 120B. To do. The key encryption key acquisition module 104 passes the disk key 120B obtained by decryption to the data decryption module 106.

データ復号化モジュール106は、図5に示すように、渡されたディスク鍵120Bを用いて暗号文122を復号し、平文121Bを算出する。   As shown in FIG. 5, the data decryption module 106 decrypts the ciphertext 122 using the passed disk key 120B, and calculates the plaintext 121B.

本実施形態によれば、平文の暗号化に用いた1つのディスク鍵を複数の異なる鍵暗号化鍵にて暗号化して複数の暗号カディス鍵を生成し、コンピュータ自身のハードディスクドライブ内に格納している点が特徴である。このようにすれば、鍵管理用仮想マシン60Aと鍵管理用仮想マシン60Bを独立して稼動することが可能となる。その結果、鍵管理用仮想マシン60A、60Bのどちらかに障害が発生しても片方が稼動していればコンピュータ内の暗号文を復号することができる。また、鍵管理用仮想マシン60Aと鍵管理用仮想マシン60Bとの間で鍵管理データの同期ととる必要がなくなり、信頼性の高い暗号化システムを提供することができる。   According to this embodiment, a single disk key used for plaintext encryption is encrypted with a plurality of different key encryption keys to generate a plurality of cipher caddy keys, which are stored in the hard disk drive of the computer itself. This is a feature. In this way, the key management virtual machine 60A and the key management virtual machine 60B can be operated independently. As a result, even if one of the key management virtual machines 60A and 60B fails, the ciphertext in the computer can be decrypted if one of them is operating. Further, it is not necessary to synchronize the key management data between the key management virtual machine 60A and the key management virtual machine 60B, and a highly reliable encryption system can be provided.

本実施形態のように、鍵管理サーバとして動作する鍵管理用仮想マシン60A,60Bがバッテリ駆動可能なノートブック型パーソナルコンピュータ20A,20B上で動作している場合、コンピュータ20A,20Bの一方を社内LANから離脱して、社外に持ち運ぶことができる。コンピュータ20A,20Bが持ち出されて、コンピュータ10A,10B,10Cがコンピュータ20A,20Bの何れかと通信を行うことができない状況が発生しやすい。よって、本実施形態の構成は、鍵管理サーバとして動作する鍵管理用仮想マシン60A,60Bがバッテリ駆動可能なノートブック型パーソナルコンピュータ20A,20B上で動作している環境下で特に有用である。   When the key management virtual machines 60A and 60B operating as the key management server are operating on the battery-driven notebook personal computers 20A and 20B as in the present embodiment, one of the computers 20A and 20B You can leave the LAN and carry it outside the company. A situation in which the computers 20A, 20B are taken out and the computers 10A, 10B, 10C cannot communicate with any of the computers 20A, 20B tends to occur. Therefore, the configuration of the present embodiment is particularly useful in an environment where the key management virtual machines 60A and 60B that operate as the key management server are operating on the battery-driven notebook personal computers 20A and 20B.

なお、上記実施形態では、鍵管理サーバとして動作する鍵管理用仮想マシンが動作するコンピュータは2台であったが、3台以上であっても良い。   In the above embodiment, the number of computers on which the key management virtual machine that operates as the key management server operates is two, but may be three or more.

なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組み合せてもよい。   Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Further, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, you may combine suitably the component covering different embodiment.

本発明の一実施形態に係わる暗号/復号システムの構成を示す図。The figure which shows the structure of the encryption / decryption system concerning one Embodiment of this invention. 本発明の一実施形態に係わる、鍵管理サーバとして動作する鍵管理用仮想マシンが動作するコンピュータの構成を示す図。The figure which shows the structure of the computer with which the virtual machine for key management which operate | moves as a key management server concerning one Embodiment of this invention operate | moves. 本発明の一実施形態に係わる、ディスク鍵を用いてデータの暗号および復号を行うコンピュータの構成を示すブロック図である。1 is a block diagram illustrating a configuration of a computer that performs encryption and decryption of data using a disk key according to an embodiment of the present invention. 本発明の一実施形態に係わる、ディスク鍵の暗号化処理の説明に用いる図。The figure used for description of encryption processing of a disk key concerning one embodiment of the present invention. 本発明の一実施形態に係わる、ディスク鍵の復号化処理の説明に用いる図。The figure used for description of the decoding process of the disk key concerning one Embodiment of this invention.

符号の説明Explanation of symbols

10A、10B、10C、20A、20B…ノートブック型パーソナルコンピュータ,30…ハードウェア層,31…ネットワークインタフェースカード,40…仮想マシンモニタ,50…ユーザ用仮想マシン,51…ユーザオペレーティングシステム,52…ユーザアプリケーションプログラム,60、60A、60B…鍵管理用仮想マシン,61…サービスオペレーティングシステム,62、62A、62A…鍵管理アプリケーションプログラム,63、63A、63B…鍵暗号化鍵,101…ディスク鍵生成モジュール,102…ディスク鍵暗号化モジュール,103…データ暗号化モジュール,104…鍵暗号化鍵取得モジュール,105…ディスク鍵暗号化モジュール,106…データ復号化モジュール,110…ハードディスクドライブ,120A…ディスク鍵,120B…ディスク鍵,121A、121B…平文,122…暗号文,123…鍵識別情報,124、124A、124B…ディスク鍵,130…ネットワークインタフェースカード。   10A, 10B, 10C, 20A, 20B ... notebook personal computer, 30 ... hardware layer, 31 ... network interface card, 40 ... virtual machine monitor, 50 ... user virtual machine, 51 ... user operating system, 52 ... user Application program, 60, 60A, 60B ... Virtual machine for key management, 61 ... Service operating system, 62, 62A, 62A ... Key management application program, 63, 63A, 63B ... Key encryption key, 101 ... Disk key generation module, DESCRIPTION OF SYMBOLS 102 ... Disk key encryption module, 103 ... Data encryption module, 104 ... Key encryption key acquisition module, 105 ... Disk key encryption module, 106 ... Data decryption module, 110 ... Hard disk Live, 120A ... disk key, 120B ... disk key, 121A, 121B ... plaintext, 122 ... ciphertext, 123 ... key identification information, 124,124A, 124B ... disk key, 130 ... network interface cards.

Claims (10)

ネットワークを介した通信を行うためのネットワークコントローラと、
第1の鍵を用いてデータを暗号化する手段と、
前記データを暗号化した暗号データを格納する記憶装置と、
複数の鍵管理サーバからそれぞれ鍵暗号化鍵を取得し、前記各鍵暗号化鍵を用いて前記第1の鍵を暗号化する鍵暗号化手段と、
前記複数の鍵管理サーバの中から前記ネットワークを介して通信を行うことができる鍵管理サーバを選択し、選択した鍵管理サーバから鍵暗号化鍵を取得する取得手段と、
前記取得手段が取得した鍵暗号化鍵を用いて前記暗号化された第1の鍵を復号する暗号化鍵復号手段と、
前記暗号化鍵復号手段が復号した第1の鍵を用いて前記記憶装置に格納されている暗号データを復号することによって、前記データを算出するデータ復号手段と
を具備することを特徴とする情報処理装置。 A network controller for communication over the network;
Means for encrypting the data using the first key;
A storage device for storing encrypted data obtained by encrypting the data;
Key encryption means for acquiring a key encryption key from each of a plurality of key management servers and encrypting the first key using each of the key encryption keys;
An acquisition unit that selects a key management server capable of performing communication via the network from the plurality of key management servers, and acquires a key encryption key from the selected key management server;
An encryption key decryption means for decrypting the encrypted first key using the key encryption key acquired by the acquisition means;
And data decrypting means for calculating the data by decrypting the encrypted data stored in the storage device using the first key decrypted by the encryption key decrypting means. Processing equipment. 前記第1の鍵を生成する手段を更に具備することを特徴とする請求項1に記載の情報処理装置。   The information processing apparatus according to claim 1, further comprising means for generating the first key. 前記複数の鍵管理サーバが有するそれぞれの鍵暗号化鍵は異なることを特徴とする請求項1に記載の情報処理装置。   The information processing apparatus according to claim 1, wherein each of the plurality of key management servers has a different key encryption key. ネットワークを介した通信を行うための第1ネットワークコントローラと、鍵暗号化鍵を管理するための鍵管理手段とをそれぞれ有する複数の鍵管理サーバと、
前記ネットワークを介した通信を行うための第2ネットワークコントローラと、第1の鍵を用いてデータを暗号化する手段と、前記データを暗号化した暗号データを格納する記憶装置と、複数の鍵管理サーバからそれぞれ鍵暗号化鍵を取得し、前記各鍵暗号化鍵を用いて前記第1の鍵を暗号化する鍵暗号化手段と、前記複数の鍵管理サーバの中から前記ネットワークを介して通信を行うことができる鍵管理サーバを選択し、選択した鍵管理サーバから鍵暗号化鍵を取得する取得手段と、前記取得手段が取得した鍵暗号化鍵を用いて前記暗号化された第1の鍵を復号する暗号化鍵復号手段と、前記暗号化鍵復号手段が復号した第1の鍵を用いて前記記憶装置に格納されている暗号データを復号することによって、前記データを算出するデータ復号手段とを有する情報処理装置と
を具備することを特徴とする暗号/復号システム。 A plurality of key management servers each having a first network controller for performing communication via a network and a key management means for managing key encryption keys;
A second network controller for performing communication via the network; means for encrypting data using a first key; a storage device for storing encrypted data obtained by encrypting the data; and a plurality of key managements A key encryption unit that obtains a key encryption key from each server and encrypts the first key using each key encryption key, and communicates through the network from among the plurality of key management servers An acquisition unit that selects a key management server that can perform the authentication, obtains a key encryption key from the selected key management server, and the first encrypted using the key encryption key acquired by the acquisition unit An encryption key decryption unit that decrypts the key, and a data recovery unit that calculates the data by decrypting the encrypted data stored in the storage device using the first key decrypted by the encryption key decryption unit. Encryption / decryption system characterized by comprising an information processing apparatus having a means. 前記複数の鍵管理サーバが有するそれぞれの鍵暗号化鍵は異なることを特徴とする請求項4に記載の暗号/復号システム。   The encryption / decryption system according to claim 4, wherein each of the plurality of key management servers has a different key encryption key. 前記情報処理装置は、前記第1の鍵を生成する手段を更に具備することを特徴とする請求項4に記載の暗号/復号システム。   5. The encryption / decryption system according to claim 4, wherein the information processing apparatus further includes means for generating the first key. 前記第1ネットワークコントローラを有し、オペレーティングシステムと前記オペレーティングシステム上で動作するプログラムとデータとを備えた複数のソフトウェア資源が一つのハードウェア資源上で同時動作するために各ソフトウェア資源を制御するためのモニタ手段を備えた別の情報処理装置を複数具備し、
前記鍵管理サーバは前記ソフトウェア資源の一つであることを特徴とする請求項4に記載の暗号/復号システム。 A plurality of software resources having the first network controller and having an operating system, a program and data operating on the operating system, and controlling each software resource to operate simultaneously on one hardware resource A plurality of other information processing devices provided with the monitoring means,
5. The encryption / decryption system according to claim 4, wherein the key management server is one of the software resources. 前記別の情報処理装置はバッテリを用いて駆動することが可能であることを特徴とする請求項7に記載の暗号/復号システム。   8. The encryption / decryption system according to claim 7, wherein the other information processing apparatus can be driven using a battery. 第1の鍵を用いてデータを暗号化し、情報法処理装置が、暗号化されたデータを記憶装置に格納し、
複数の鍵管理サーバからそれぞれ鍵暗号化鍵を取得し、前記各鍵暗号化鍵を用いて前記第1の鍵を暗号化して前記記憶装置に格納し、
前記記憶装置に格納されている暗号化されたデータを復号する場合に、前記複数の鍵管理サーバから通信可能な鍵管理サーバを選択し、
選択された鍵管理サーバから鍵暗号化鍵を取得し、
前記取得した鍵暗号化鍵を用いて前記暗号化された第1の鍵を復号し、
前記復号した第1の鍵を用いて前記記憶装置に格納されている暗号化されたデータを復号する
ことを特徴とする暗号/復号方法。 The first key is used to encrypt the data, and the information processing device stores the encrypted data in the storage device;
Obtaining a key encryption key from each of a plurality of key management servers, encrypting the first key using each key encryption key, and storing the first key in the storage device;
When decrypting encrypted data stored in the storage device, select a key management server capable of communication from the plurality of key management servers,
Obtain a key encryption key from the selected key management server,
Decrypting the encrypted first key using the acquired key encryption key;
An encryption / decryption method, comprising: decrypting encrypted data stored in the storage device using the decrypted first key. 前記複数の鍵管理サーバが有するそれぞれの鍵暗号化鍵は異なることを特徴とする請求項9に記載の暗号/復号方法。   10. The encryption / decryption method according to claim 9, wherein each of the plurality of key management servers has a different key encryption key.
JP2008282290A 2008-10-31 2008-10-31 Information processing apparatus, encryption/decryption system, and encryption/decryption method Pending JP2010109919A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008282290A JP2010109919A (en) 2008-10-31 2008-10-31 Information processing apparatus, encryption/decryption system, and encryption/decryption method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008282290A JP2010109919A (en) 2008-10-31 2008-10-31 Information processing apparatus, encryption/decryption system, and encryption/decryption method

Publications (1)

Publication Number Publication Date
JP2010109919A true JP2010109919A (en) 2010-05-13

Family

ID=42298868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008282290A Pending JP2010109919A (en) 2008-10-31 2008-10-31 Information processing apparatus, encryption/decryption system, and encryption/decryption method

Country Status (1)

Country Link
JP (1) JP2010109919A (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11149414A (en) * 1997-09-12 1999-06-02 Hitachi Software Eng Co Ltd Method for preserving data, its system and storage medium for data preservation processing
EP1059761A1 (en) * 1999-06-11 2000-12-13 International Computers Limited Cryptographic key, or other secret material, recovery
WO2007017885A1 (en) * 2005-08-05 2007-02-15 Hewlett-Packard Development Company L.P. System, method and apparatus for decrypting data stored on removable media
US20080063209A1 (en) * 2006-09-07 2008-03-13 International Business Machines Corporation Distributed key store
US20080065889A1 (en) * 2006-09-07 2008-03-13 International Business Machines Corporation Key generation and retrieval using key servers
US20080065882A1 (en) * 2006-09-07 2008-03-13 International Business Machines Corporation Configuring a storage drive to communicate with encryption and key managers

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11149414A (en) * 1997-09-12 1999-06-02 Hitachi Software Eng Co Ltd Method for preserving data, its system and storage medium for data preservation processing
EP1059761A1 (en) * 1999-06-11 2000-12-13 International Computers Limited Cryptographic key, or other secret material, recovery
WO2007017885A1 (en) * 2005-08-05 2007-02-15 Hewlett-Packard Development Company L.P. System, method and apparatus for decrypting data stored on removable media
US20080063209A1 (en) * 2006-09-07 2008-03-13 International Business Machines Corporation Distributed key store
US20080065889A1 (en) * 2006-09-07 2008-03-13 International Business Machines Corporation Key generation and retrieval using key servers
US20080065882A1 (en) * 2006-09-07 2008-03-13 International Business Machines Corporation Configuring a storage drive to communicate with encryption and key managers

Similar Documents

Publication Publication Date Title
CN102271037B (en) Based on the key protectors of online key
US10841089B2 (en) Key managers for distributed computing systems
US8352751B2 (en) Encryption program operation management system and program
CN103069428B (en) Secure virtual machine in insincere cloud infrastructure guides
JP4342595B1 (en) Information processing apparatus, information processing system, and encrypted information management method
JP4405575B2 (en) Encryption management device, decryption management device, and program
US20140380057A1 (en) Method, Server, Host, and System for Protecting Data Security
US20140201533A1 (en) Quorum-based virtual machine security
EP3306509B1 (en) Vtpm-based method and system for virtual machine security and protection
US20080229115A1 (en) Provision of functionality via obfuscated software
EP2251810B1 (en) Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method
CN104618096B (en) Protect method, equipment and the TPM key administrative center of key authorization data
JP2011048661A (en) Virtual server encryption system
CN102609643A (en) Dynamic cryptography protection for virtual machines and key management method thereof
WO2015107641A1 (en) Encryption system, key generating device, re-encryption device, and user terminal
JP2008171076A (en) Job execution device and its control method
JP2006072521A5 (en)
GB2552522A (en) Method and system for encrypting files and storing the encrypted files in a storage file system
US20210194694A1 (en) Data processing system
JP2014078770A (en) Encryption device with access right, cryptographic system with access right, encryption method with access right and encryption program with access right
JP4995667B2 (en) Information processing apparatus, server apparatus, information processing program, and method
CN112287415B (en) USB storage device access control method, system, medium, device and application
JP2009218751A (en) Encrypting device, decoding key information management method, decoding key information management control program, and encryption data storage
JP2010109919A (en) Information processing apparatus, encryption/decryption system, and encryption/decryption method
JP5821040B2 (en) Data management device, data division device, and data restoration device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100326

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120221

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120619