JP2010148022A - Cryptographic key management system - Google Patents
Cryptographic key management system Download PDFInfo
- Publication number
- JP2010148022A JP2010148022A JP2008325991A JP2008325991A JP2010148022A JP 2010148022 A JP2010148022 A JP 2010148022A JP 2008325991 A JP2008325991 A JP 2008325991A JP 2008325991 A JP2008325991 A JP 2008325991A JP 2010148022 A JP2010148022 A JP 2010148022A
- Authority
- JP
- Japan
- Prior art keywords
- key
- encrypted
- encryption
- information
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、暗号化通信を行う際の暗号鍵の管理システムおよび方法、当該管理システムを含む暗号化情報送受信システムおよび方法、コンピュータに当該方法を実行させるためのコンピュータプログラム、同コンピュータプログラムを格納した記憶媒体に関するものである。 The present invention stores an encryption key management system and method when performing encrypted communication, an encrypted information transmission / reception system and method including the management system, a computer program for causing a computer to execute the method, and the computer program The present invention relates to a storage medium.
コンピュータ通信を介して送受信されるデータや、磁気テープ、各種ディスク、フラッシュメモリ等の記憶媒体に格納して受け渡されるデータの秘密性を担保するために、データの暗号化が行われる。暗号方式は、共通鍵暗号方式と公開鍵暗号方式に大別される。共通鍵暗号方式は、暗号化に用いた鍵と同一の鍵によって復号される暗号方式であり、公開鍵暗号方式は、暗号化に用いた鍵とは異なる(しかし暗号化に用いた鍵と特定の関係を有する)鍵によって復号される暗号方式である。これらいずれの暗号方式を用いる場合にも、鍵の管理のためのシステム及び方法が重要になる。 Data is encrypted in order to ensure the confidentiality of data transmitted and received via computer communications and data stored in a storage medium such as a magnetic tape, various disks, and flash memory. Encryption schemes are broadly classified into common key cryptosystems and public key cryptosystems. The common key encryption method is an encryption method that is decrypted with the same key as the key used for encryption, and the public key encryption method is different from the key used for encryption (but specified as the key used for encryption). This is an encryption method that is decrypted with a key. Regardless of which encryption method is used, a system and method for key management are important.
図1は、共通鍵暗号方式を利用した場合を例にとって、暗号化と復号の概念を説明したものである。送信元10は、送信すべき文書等のデータの平文ファイル12a(暗号化されていない情報からなるファイル)を暗号化のためのコンピュータプログラムを用いて暗号化16aして、暗号化ファイル18(暗号化された情報を含むファイル)を作成する。暗号化の際、鍵14と称する特定のデータを用いて暗号化を行うが、これは、同一の手順(コンピュータプログラム)を用いて暗号化する場合にも、鍵を変更することによって、異なる暗号化を実行するためである。図1では、鍵として、文字列又は16進数「1234567890ABCDEF」を例示した。
FIG. 1 illustrates the concept of encryption and decryption taking the case of using a common key cryptosystem as an example. The
暗号化ファイル18は、通信手段によって送信先に伝送されるか、媒体に記入されて当該媒体が送信先20に配達される。送信先20では、暗号化に用いた鍵14と同一の鍵14を用いて暗号化ファイル18を復号16bして、平文ファイル12bを得る。平文ファイル12bは、送信元10が暗号化して送った元の平文ファイル12aと同一である。この手順において、送信先20が復号を行うためには、送信元10が暗号化に用いた鍵14を知っていることが必要なので、当該鍵14を記載した暗号鍵通知書30は、手紙やファックス等、別の通信手段によって、通常は事前に通知される。
The
図2は、上記の手順で行われる従来の暗号通信における問題点を説明するための概念図である。暗号通信を行う送信元は、通常複数の送信先、例えばA銀行40、B生命保険41、C銀行42、D印刷43との間で暗号通信を行っており、送信先ごとに異なる鍵44を用いて暗号化された暗号化ファイル48が送信される。また、鍵44は、長期間にわたって同一のものを使用すことは安全上好ましくないので、一定期間また不定期間で更新されるのが一般的である。さらには、同一の取引先であっても、部署によってあるいは業務内容によって異なる鍵44を用いる場合もある。したがって、送信先、日付、業務内容ごとにことなる鍵44を適切に(間違えずに)記録し、使用することは極めて煩雑な作業である。また、この煩雑さは、暗号通信を受ける送信先においても同様である。
FIG. 2 is a conceptual diagram for explaining a problem in the conventional encryption communication performed in the above procedure. The transmission source that performs cryptographic communication normally performs cryptographic communication with a plurality of transmission destinations, for example, A
暗号に関連する鍵を管理することを目的とした提案が、特開平11−27252号公報(特許文献1)でなされている。同公報に記載された発明は、公開鍵方式の暗号通信において秘密情報が特定の日時に公開される必要がある場合に用いられる暗号鍵管理システムに関するものであって、送信元では暗号化情報に公開日時を添付して送信先に配布し、復号鍵管理装置が暗号鍵と指定した公開日時とを対応付けて記憶しておき、指定した公開日時になった時点で復号鍵を配布するというものである。
特許文献1に記載された発明は、公開日時になると復号鍵が配布される点においてある程度省力化を図ることが可能であるが、上述の課題、すなわち、送信先、日付、業務内容ごとに異なる鍵44を適切に(間違えずに)記録し、使用する管理者の負担を軽減するものではない。
The invention described in
上記の点に鑑みて、本発明は、主として複数の送信先に対して暗号化された情報を送信することを含む暗号システムにおいて、鍵の管理を簡便、安全にかつ間違いなく行うことができるシステム、方法等を提供することを目的とする。 In view of the above points, the present invention is a system that can perform key management simply, safely, and definitely without fail in an encryption system that mainly includes transmitting encrypted information to a plurality of destinations. The purpose is to provide a method and the like.
本発明は、相手先特定情報と鍵情報を対応付けて記憶し、送信元または送信先の業務システムに対して、前記相手先特定情報と対応付けられた鍵を、マスターキーによって暗号化して該相手先特定情報と共に送出する暗号鍵管理システムを提供する。 The present invention stores the partner identification information and key information in association with each other, and encrypts the key associated with the partner identification information with a master key for the transmission source or transmission destination business system. Provided is an encryption key management system that is transmitted together with partner identification information.
相手先特定情報とは、暗号化された鍵を特定することができる情報であって、例えば、通信の相手先、相手先の部署、業務種別のように、暗号化された情報を送受信する者が、送受信の際には具体的に把握している情報であるのが好ましい。プロジェクト名称、プロジェクトメンバーの名称、通信種別のようなものであっても良い。「鍵」は、一般に平文と呼ばれる通信文の暗号化または復号のための鍵である。共通鍵暗号方式の場合は暗号鍵と復号鍵は同一であるし、公開鍵暗号方式の場合は両者は一定の関係を有するが異なる。送信元及び送信先は、対象となる送信に関する限り暗号化を行った送信する側と、暗号化情報を復号する側であるが、双方向に暗号通信を行う場合には、ある通信に関しては送信元であるものが、他の暗号通信に関しては送信先になることがある。 The partner identification information is information that can identify an encrypted key. For example, a person who transmits and receives encrypted information such as a communication partner, a partner department, and a business type. However, it is preferable that the information is specifically grasped at the time of transmission / reception. It may be something like a project name, a project member name, or a communication type. The “key” is a key for encrypting or decrypting a communication text generally called plain text. In the case of the common key cryptosystem, the encryption key and the decryption key are the same. In the case of the public key cryptosystem, both have a certain relationship but are different. The transmission source and the transmission destination are the transmission side that performs encryption and the side that decrypts the encrypted information as far as the target transmission is concerned. The original may be the destination for other cryptographic communications.
業務システムは、暗号化と復号(解読)を行うために送信側あるいは受信側に設置されたコンピュータシステムである。対応付けられたとは、相手先特定情報に基づいて鍵を検索可能なことを意味しており、例えば、相手先特定情報と鍵とが同一のレコード内の所定の位置に記載されている場合などが該当するが、これに限定されない。本明細書では、暗号鍵管理システムが送出する、マスターキーによって暗号化された鍵と相手先特定情報とを含む情報を、連携ファイルと称することにする。マスターキーは、鍵の暗号化に用いる鍵の意味である。マスターキーによる鍵(以降、単に「鍵」と記載した場合は、通信文の暗号化又は復号のための鍵を言うものとする)の暗号化は、例えば、マスターキーと鍵との排他的論理和を取ることによる暗号化のような比較的簡便なものであってもよいし、AES、RSAのような高度のものであっても良い。マスターキーは、頻繁に更新されるものであってもよいし、暗号鍵管理システムにおいて固有のものであって、初期登録時から変更しないものであっても良い。 The business system is a computer system installed on the transmission side or the reception side in order to perform encryption and decryption (decryption). Corresponding means that the key can be searched based on the partner identification information, for example, when the partner identification information and the key are described in a predetermined position in the same record, etc. However, it is not limited to this. In this specification, information including a key encrypted by a master key and partner identification information sent from the encryption key management system is referred to as a linkage file. The master key means a key used for key encryption. The encryption of a key by a master key (hereinafter simply described as “key” means a key for encrypting or decrypting a communication message) is performed by, for example, exclusive logic between the master key and the key. It may be relatively simple such as encryption by taking the sum, or may be advanced such as AES or RSA. The master key may be updated frequently, or may be unique in the encryption key management system and not changed from the time of initial registration.
鍵をマスターキーによって暗号化して該相手先特定情報と共に送出するとは、送出された情報にマスターキーによって暗号化した鍵と相手先特定情報とが含まれていることを意味する。相手先特定情報は、別途暗号化されていても良いが、暗号化は、固定されたマスターキーとの排他的論理和のように比較的簡便に元情報を取り出せるものが取り扱い上便宜である。相手先特定情報は、暗号化されない状態で送出されても良い。 Encrypting a key with a master key and sending it together with the partner identification information means that the transmitted information includes the key encrypted with the master key and the partner identification information. The partner identification information may be separately encrypted. However, it is convenient for handling that the original information can be extracted relatively easily like exclusive OR with a fixed master key. The partner identification information may be sent in an unencrypted state.
上記の暗号鍵管理システムによって送出された情報には、相手先特定情報が含まれているので、当該情報を受け取った側は、相手先特定情報を手がかりに、例えば、通信の相手先、相手先の部署、業務種別を指定して、送出された鍵(マスターキーによって暗号化された鍵)を特定することが可能である。さらに、マスターキーが既知であるかマスターキーを受け取っていれば、マスターキーを用いて暗号化された鍵を復号して、鍵を取得し、暗号化又は復号に用いることができる。すなわち、暗号化された情報を送受信する者が、送受信の際には具体的に把握している情報にもとづいて鍵を取得できるために、鍵情報の一覧表からの検索作業(当該一覧表は相手先特定情報ごとの鍵の値が記載されており、安全のために頻繁に更新される)から開放されることになる。 Since the information sent by the encryption key management system includes the partner identification information, the side receiving the information uses the partner identification information as a clue, for example, the communication partner, partner It is possible to specify the transmitted key (key encrypted by the master key) by designating the department and the business type. Furthermore, if the master key is known or has been received, the key encrypted using the master key can be decrypted to obtain the key, which can be used for encryption or decryption. That is, since a person who transmits / receives encrypted information can acquire a key based on information that is specifically grasped at the time of transmission / reception, a search operation from the key information list (the list is The key value for each destination specific information is described and is frequently updated for safety).
上記暗号鍵管理システムは、さらにマスターキーを暗号化して送出するのが好ましい。この時、マスターキーの暗号化は、相手先特定情報によって特定される通信に対して固有の値(少なくとも頻繁には変更しない値)であるのが好ましい。暗号鍵管理システムに固有の値とマスターキーとの排他的論理和による暗号化のような簡便な暗号方式によるものが、マスターキーの解読に伴う煩雑さを軽減するためには便利である。 The encryption key management system preferably further encrypts the master key and sends it out. At this time, the encryption of the master key is preferably a unique value (at least a value that does not change frequently) for the communication specified by the partner specifying information. A simple encryption method such as encryption by exclusive OR of a value unique to the encryption key management system and the master key is convenient for reducing the complexity associated with the decryption of the master key.
上記の構成によれば、マスターキーもまた暗号鍵管理システムから受け取ることができるので、暗号化又は復号を行う業務システムオペレータは、暗号鍵を記憶、保存して、案件ごとに間違えずに使用するという煩雑さから開放される。 According to the above configuration, since the master key can also be received from the encryption key management system, the business system operator who performs encryption or decryption stores and saves the encryption key and uses it without mistake for each case. It is freed from the complexity.
さらに、本発明はさらに、受信した連携ファイルを用いて、暗号化された鍵を前記相手先特定情報に基づいて特定し、前記マスターキーを用いて該特定された鍵を復号し、該復号した鍵を用いて、平文を暗号化または暗号文を復号する業務システムを起動するサブシステムを含むことができる。 Furthermore, the present invention further specifies an encrypted key based on the destination identification information using the received cooperation file, decrypts the identified key using the master key, and decrypts the key A subsystem that activates a business system that encrypts plaintext or decrypts ciphertext using a key can be included.
前記相手先特定情報には、送信元を特定する情報、送信元の部署を特定する情報、送信先を特定する情報、送信先の部署を特定する情報、業務内容を特定する情報のうちの少なくとも1つが含まれるのが好ましい。 The destination identification information includes at least one of information identifying a transmission source, information identifying a transmission source department, information identifying a transmission destination, information identifying a transmission destination department, and information identifying business contents. Preferably one is included.
送信元と送信先の組に対して鍵が設定される(時間経過による鍵の更新を除けば、同一の送信元と送信先の組み合わせに対しては同一の鍵が使用される)場合には、相手先特定情報には送信元を特定する情報と送信先を特定する情報が含まれるのが好ましい。 When a key is set for a source / destination pair (the same key is used for the same source / destination combination, except for key updates over time) The destination identification information preferably includes information for identifying the transmission source and information for identifying the transmission destination.
マスターキーによる暗号化は共通鍵暗号方式で行われてもよい。共通鍵暗号方式が用いられている場合には、鍵の暗号化に用いられたマスターキーを取得すれば、マスターキーを直接用いることによって鍵を得ることができる。マスターキーによる暗号化は、公開鍵暗号方式によるものであっても良い。この場合、暗号鍵管理システムから鍵情報を受け取る側が、暗号鍵管理システムに対して公開鍵としてマスターキーを渡しておけば(必ずしも、第三者に対してマスターキーを公開する必要はない)、マスターキーが第三者に知得された場合にも、前記鍵情報を受け取る側以外は鍵を取得することができないので、通信の安全性は一層高い。 The encryption with the master key may be performed by a common key encryption method. When the common key cryptosystem is used, if the master key used for key encryption is acquired, the key can be obtained by directly using the master key. The encryption using the master key may be based on a public key encryption method. In this case, if the side receiving the key information from the encryption key management system passes the master key as a public key to the encryption key management system (it is not always necessary to disclose the master key to a third party). Even when the master key is acquired by a third party, since the key cannot be acquired by anyone other than the side receiving the key information, the security of communication is further increased.
本発明はまた、前記の暗号鍵管理システムに加えて、さらに、
暗号化された鍵を前記相手先特定情報に基づいて特定し、前記マスターキーを用いて該特定された鍵を復号し、該復号した鍵を用いて平文を暗号化し、前記相手先特定情報を平文で加えて暗号ファイルとして送出する送信側業務システムと、
暗号ファイルを受信し、暗号化された鍵を前記相手先特定情報に基づいて特定し、前記マスターキーを用いて該特定された鍵を復号し、該復号した鍵を用いて前記暗号ファイルを復号する受信側業務システムとを含む暗号化情報送受信システムを提示する。
In addition to the above encryption key management system, the present invention further includes:
An encrypted key is specified based on the destination specifying information, the specified key is decrypted using the master key, a plaintext is encrypted using the decrypted key, and the destination specifying information is Sending business system that sends out as an encrypted file in addition to plain text,
Receiving an encrypted file, identifying an encrypted key based on the destination identification information, decrypting the identified key using the master key, and decrypting the encrypted file using the decrypted key An encrypted information transmission / reception system including a receiving business system is presented.
平文とは、暗号化されていない通信文である。上記暗号化情報送受信システムにおいては、送信側業務システムと受信側業務システムのオペレータは、それぞれ、相手先特定情報を特定すれば暗号化及び復号が可能になるので、鍵の秘匿性と操作の簡便性を両立させることができる。 Plain text is a communication text that is not encrypted. In the encrypted information transmission / reception system, since the operators of the transmission-side business system and the reception-side business system can each encrypt and decrypt if the other party identification information is specified, the confidentiality of the key and the simple operation. Sex can be made compatible.
本発明は、さらに、相手先特定情報と鍵情報を対応付けて記憶し、送信元または送信先の業務システムに対して、前記相手先特定情報と対応付けられた鍵を、マスターキーによって暗号化して該相手先特定情報と共に送出する暗号鍵管理方法を提供する。 The present invention further stores destination identification information and key information in association with each other, and encrypts the key associated with the destination identification information with a master key for a transmission source or transmission destination business system. Thus, an encryption key management method is provided that is transmitted together with the destination identification information.
上記の方法によれば、相手先特定情報によって鍵を検索することが可能なので、鍵管理システムの鍵管理者は、上記送出された情報の受信側における鍵を相手先特定情報ごとに管理する労力が著しく軽減される。 According to the above method, since it is possible to search for a key based on the destination identification information, the key manager of the key management system has the effort to manage the key on the receiving side of the transmitted information for each destination identification information. Is significantly reduced.
さらに、送信側では、暗号化された鍵を前記相手先特定情報に基づいて特定し、前記マスターキーを用いて該特定された鍵を復号し、該復号した鍵を用いて平文を暗号化し、前記相手先特定情報を平文で加えて暗号ファイルを作成して送出し、
受信側では、暗号ファイルを受信し、暗号化された鍵を前記相手先特定情報に基づいて特定し、前記マスターキーを用いて該特定された鍵を復号し、該復号した鍵を用いて前記暗号ファイルを復号する暗号化情報送受信方法を提供する。
Further, on the transmission side, the encrypted key is identified based on the destination identification information, the identified key is decrypted using the master key, and the plaintext is encrypted using the decrypted key, Add the destination specific information in plain text to create and send an encrypted file,
On the receiving side, the encrypted file is received, the encrypted key is specified based on the destination identification information, the specified key is decrypted using the master key, and the decrypted key is used to decrypt the specified key. Provided is an encrypted information transmission / reception method for decrypting an encrypted file.
本発明はまた、前記暗号鍵管理方法を、暗号鍵管理システムに実行させるコンピュータプログラム、前記暗号化情報送受信方法を暗号鍵管理システム、送信側業務システムおよび受信側業務システムに実行させるコンピュータプログラム、さらには、上記コンピュータプログラムを格納したコンピュータによって読み取り可能な記憶媒体を提供する。 The present invention also provides a computer program that causes the encryption key management system to execute the encryption key management method, a computer program that causes the encryption key management system, the transmission-side business system, and the reception-side business system to execute the encryption information transmission / reception method, Provides a computer-readable storage medium storing the computer program.
以下に、実施例に基づいて本発明を説明するが、実施例は発明の理解を容易にするために具体的な形態を例示したものであって、本発明は、以下に記載する実施例に限定されるものではないことは言うまでもない。 Hereinafter, the present invention will be described based on examples. However, the examples illustrate specific modes for facilitating understanding of the invention, and the present invention is not limited to the examples described below. Needless to say, it is not limited.
図3は、本発明の1つの実施例に基づいて送信側又は受信側のオペレータと各業務システムが、暗号鍵管理システムから鍵を受け取る流れを模式的に示したものである。暗号鍵管理システム100は、鍵管理データベース120と、これに対してアクセスして情報の読み出し書き込みを行う鍵管理サーバ110とを有しており、システム管理者130によって管理されている。
FIG. 3 schematically shows a flow of receiving a key from the encryption key management system by the transmission side or reception side operator and each business system based on one embodiment of the present invention. The encryption
暗号鍵管理者135は、実際は複数の業務(業務A、B、C)それぞれの鍵管理者135a、135b、135cを含んでおり、暗号鍵は業務ごとに異なる。暗号鍵管理者135は、暗号鍵を新たに設定した場合は、当該鍵を鍵管理データベース120に登録すると共に、当該暗号鍵を記載した暗号鍵通知書220a、220b、220cを相手先に送付、あるいは送信する。また、鍵の変更、削除、照会、出力についても同様である。
The encryption
暗号鍵管理システム100から事前にバッチ処理で連携ファイル410とマスターキーファイル400を出力し、業務システムに送付しておく(図4、5を参照)。図4は、連携ファイル410が、暗号鍵管理システム100から送信元の各業務システム200に送られる流れを示しており、図5は、連携ファイル410が、暗号鍵管理システム100から送信先の各業務システム300に送られる流れを示している。この場合、各業務システム200、300とでは、マスターキーは同一でないのが好ましい。各業務システム200、300では、業務オペレーター210、310がコマンドを起動することで暗号化処理を行う。該コマンドには、暗号化された鍵を特定することができる相手先特定情報(例えば、通信の相手先、相手先の部署、業務種別)が含まれている。暗号管理システム100は、バッチ処理または暗号鍵管理者による出力に応じて、相手先特定情報と暗号化された鍵情報とを含む連携ファイルを作成して依頼のあった業務オペレータ210の属する送信元業務システム200に対して連携ファイル410を送出する。暗号鍵管理者が業務オペレータ210の属する送信元業務システム200に対して連携ファイル410を送信しても良い。また、各業務システム200、300が相手先の業務システムであった場合で、相手先が別に暗号鍵管理システムを使用していた場合には、暗号鍵管理システム100は相手先の暗号鍵管理システムに連携ファイルを送ることもできる。
The
このように、暗号管理システム100には複数の業務システムが接続されており、複数の業務システムのために複数の暗号鍵を適切に取り扱うことが本暗号管理システムの特徴のひとつであるが、以下では、説明の便宜上、1つの業務システムと暗号管理システムとのデータの授受について説明する。
As described above, a plurality of business systems are connected to the
図4は、暗号化を行って暗号ファイルを送出する送信元業務システム200に対する暗号鍵管理システムからの鍵の送付について示した概念図である。暗号鍵管理システム100は、鍵情報140とマスターキー150を記憶しており、これらの情報を送出することができる。この際、マスターキー150については、暗号鍵管理システム100が固有に有する値とマスターキー150との値の排他的論理和を計算してマスターキーファイル400として受け渡す。この操作によって、マスターキー150そのものを受け渡すのに比較して安全性を確保することができ、また、業務システムの側では前記固有の値と排他的論理和の計算によってマスターキー150を取得することができるので、演算の負担は小さい。
FIG. 4 is a conceptual diagram showing key transmission from the encryption key management system to the transmission
一方、鍵情報については、マスターキー150によって鍵を例えばAES暗号化し、相手先特定情報と共に1つのレコードとして連携ファイル410として送出する。この場合、作成の日付、時刻等については別途連携ファイルのヘッダレコードに書き込んでもよい。マスターキーファイル400と連携ファイル410は連続したファイルとしてもよいし、それぞれに相手先特定情報を持たせておけば独立のファイルとしても良い。
On the other hand, the key information is, for example, AES encrypted with the
マスターキーファイル400と連携ファイル410を受け取った業務システムでは、連携ファイルの鍵情報から相手先特定情報に基づいて1つを特定し、マスターキーファイル400に対して前記暗号鍵管理システムが固有に有する値とマスターキーファイル400の排他的論理和演算によってマスターキー150を取得し、当該マスターキー150を用いて連携ファイルに含まれるAES暗号化された鍵を復号して暗号化に用いるべき鍵を取得する。次に、送信すべき平文を当該鍵を用いて暗号化して、ヘッダに相手先特定情報を書き込んで送信先に対して送出する。
In the business system that has received the
図5は、暗号ファイル260を受け取った送信先業務システム300が、暗号鍵管理システム100から鍵情報を取得して暗号ファイル260の復号を行う流れを説明した概念図である。送信先業務システム300は、暗号ファイル260を受信すると、ヘッダの部分から相手先特定情報を読み出し、事前に送付されているマスターキーファイルと連携ファイルから鍵を取得する。
FIG. 5 is a conceptual diagram illustrating a flow in which the
送信先業務システム300では、前記した送信元業務システム200と同様の手順によってマスターキーファイル400からマスターキーを取得し、当該マスターキーを用いて連携ファイル410から鍵を取得する。その後は、当該鍵を用いて暗号ファイルを復号して平文ファイル360を得る。
In the transmission
図6は、暗号鍵管理システム100においてマスターキーデータベース150と鍵情報データベース140が作成される流れを示したものである。マスターキーはシステム管理者130が入力し、鍵情報は鍵管理者135が入力する。ただし、鍵情報は暗号鍵管理システム100の側で発行して相手先に連絡するものでも良い。
FIG. 6 shows a flow of creating the
図7は、暗号鍵管理システム100において、マスターキーファイル400と連携ファイル410が発行されるまでの手順を示すフロー図である。バッチ処理や鍵管理者の出力指示に基づいて、暗号鍵管理システム100では鍵情報データベースからマスターキーを抽出して402、システム固有値との排他的論理和によって値を変換し404、変換されたマスターキーをマスターキーファイル400として送出する。マスターキーが相手先特定情報によらず同じ値であれば、相手先特定情報に基づいてマスターキーを抽出する必要がないことはもちろんである。一方、暗号鍵については、該当鍵管理者が設定した暗号鍵抽出条件によって暗号鍵を暗号鍵データベースから抽出し413、マスターキーを利用してAES暗号化して連携ファイルに書き込む416。連携ファイル410には、相手先特定情報を平文で記載しておく。
FIG. 7 is a flowchart showing a procedure until the
図8は、業務システムでの処理の流れを、送信元の業務システムを例に示したフロー図である。まず、マスターキーファイル400の値をシステム固有値で逆変換(排他的論理演算)してマスターキーを取得し236、平文ファイル250を取得して、これを鍵によって暗号化して暗号化ファイル260を作成する。この時、ヘッダーには相手先特定情報を書き込む。
FIG. 8 is a flowchart showing an example of a transmission-source business system as a processing flow in the business system. First, the
上記のような処理の流れによって、通信の相手先、相手先の部署、業務種別の、あるいは、プロジェクト名称、プロジェクトメンバーの名称、通信種別(つまり相手先特定情報)ごとに設定され、かつ、必要に応じて更新される鍵を確実に用いて暗号化ファイルの伝送や媒体交換を行うことが可能になる。 It is set according to the processing flow as described above, and is set for each communication partner, partner department, business type, or project name, project member name, communication type (that is, partner identification information), and necessary. Accordingly, it is possible to transmit the encrypted file and exchange the medium by reliably using the key updated in accordance with the above.
10 送信元
14 暗号鍵
20 送信先
30 暗号鍵通知書
100 暗号鍵管理システム
130 システム管理者
135 鍵管理者
140 鍵情報
150 マスターキー
200 送信元業務システム
210 業務のオペレータ
250 平文ファイル
260 暗号ファイル
300 送信先業務システム
340 復号ソフト
360 平文ファイル
400 マスターキーファイル
410 連携ファイル
DESCRIPTION OF
360
Claims (12)
暗号化された鍵を前記相手先特定情報に基づいて特定し、前記マスターキーを用いて該特定された鍵を復号し、該復号した鍵を用いて平文を暗号化し、前記相手先特定情報を平文で加えて暗号ファイルとして送出する送信側業務システムと、
暗号ファイルを受信し、暗号化された鍵を前記相手先特定情報に基づいて特定し、前記マスターキーを用いて該特定された鍵を復号し、該復号した鍵を用いて前記暗号ファイルを復号する受信側業務システムとを含む暗号化情報送受信システム。 In addition to the encryption key management system according to any one of claims 1 to 6,
An encrypted key is specified based on the destination specifying information, the specified key is decrypted using the master key, a plaintext is encrypted using the decrypted key, and the destination specifying information is Sending business system that sends out as an encrypted file in addition to plain text,
Receiving an encrypted file, identifying an encrypted key based on the destination identification information, decrypting the identified key using the master key, and decrypting the encrypted file using the decrypted key An encrypted information transmission / reception system including a receiving business system.
受信側では、暗号ファイルを受信し、暗号化された鍵を前記相手先特定情報に基づいて特定し、前記マスターキーを用いて該特定された鍵を復号し、該復号した鍵を用いて前記暗号ファイルを復号する暗号化情報送受信方法。 Further, on the transmission side, the encrypted key is identified based on the destination identification information, the identified key is decrypted using the master key, and the plaintext is encrypted using the decrypted key, Add the destination specific information in plain text to create and send an encrypted file,
On the receiving side, the encrypted file is received, the encrypted key is specified based on the destination identification information, the specified key is decrypted using the master key, and the decrypted key is used to decrypt the specified key. Encrypted information transmission / reception method for decrypting encrypted files.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008325991A JP5344905B2 (en) | 2008-12-22 | 2008-12-22 | Encryption key management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008325991A JP5344905B2 (en) | 2008-12-22 | 2008-12-22 | Encryption key management system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010148022A true JP2010148022A (en) | 2010-07-01 |
JP5344905B2 JP5344905B2 (en) | 2013-11-20 |
Family
ID=42567933
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008325991A Active JP5344905B2 (en) | 2008-12-22 | 2008-12-22 | Encryption key management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5344905B2 (en) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH02244925A (en) * | 1989-03-17 | 1990-09-28 | Kokusai Denshin Denwa Co Ltd <Kdd> | Method and device for cipher key communication |
JPH07162693A (en) * | 1993-12-13 | 1995-06-23 | Ricoh Elemex Corp | Ciphered multi-address data transmitter-receiver and adapter |
JPH11168459A (en) * | 1997-10-03 | 1999-06-22 | Hitachi Ltd | Method for delivering ciphering and deciphering key in broadcast cryptographic communication |
JP2000124893A (en) * | 1998-10-16 | 2000-04-28 | Hitachi Ltd | Conversion method for enciphering/decoding algorithm, and transmitter and receiver in cipher communication system |
JP2002044071A (en) * | 2000-05-16 | 2002-02-08 | Hitachi Ltd | Receiving method |
JP2002314527A (en) * | 2001-04-18 | 2002-10-25 | Pumpkin House:Kk | Encryption system and its control method, key management server and client used in the encryption system, and their control method |
JP2003204323A (en) * | 2000-12-21 | 2003-07-18 | Yasumasa Uyama | Secret communication method |
JP2005006347A (en) * | 2004-07-20 | 2005-01-06 | Fuji Xerox Co Ltd | Device and method for decoding and reproducing confidential information |
JP2006048651A (en) * | 2004-07-01 | 2006-02-16 | Matsushita Electric Ind Co Ltd | Network print system and facsimile communication system |
JP2007295366A (en) * | 2006-04-26 | 2007-11-08 | Nippon Telegr & Teleph Corp <Ntt> | Encrypted message transmission/reception method and system, and transmitter device, receiver device, key server |
-
2008
- 2008-12-22 JP JP2008325991A patent/JP5344905B2/en active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH02244925A (en) * | 1989-03-17 | 1990-09-28 | Kokusai Denshin Denwa Co Ltd <Kdd> | Method and device for cipher key communication |
JPH07162693A (en) * | 1993-12-13 | 1995-06-23 | Ricoh Elemex Corp | Ciphered multi-address data transmitter-receiver and adapter |
JPH11168459A (en) * | 1997-10-03 | 1999-06-22 | Hitachi Ltd | Method for delivering ciphering and deciphering key in broadcast cryptographic communication |
JP2000124893A (en) * | 1998-10-16 | 2000-04-28 | Hitachi Ltd | Conversion method for enciphering/decoding algorithm, and transmitter and receiver in cipher communication system |
JP2002044071A (en) * | 2000-05-16 | 2002-02-08 | Hitachi Ltd | Receiving method |
JP2003204323A (en) * | 2000-12-21 | 2003-07-18 | Yasumasa Uyama | Secret communication method |
JP2002314527A (en) * | 2001-04-18 | 2002-10-25 | Pumpkin House:Kk | Encryption system and its control method, key management server and client used in the encryption system, and their control method |
JP2006048651A (en) * | 2004-07-01 | 2006-02-16 | Matsushita Electric Ind Co Ltd | Network print system and facsimile communication system |
JP2005006347A (en) * | 2004-07-20 | 2005-01-06 | Fuji Xerox Co Ltd | Device and method for decoding and reproducing confidential information |
JP2007295366A (en) * | 2006-04-26 | 2007-11-08 | Nippon Telegr & Teleph Corp <Ntt> | Encrypted message transmission/reception method and system, and transmitter device, receiver device, key server |
Non-Patent Citations (3)
Title |
---|
CSNB199700204001; 辻井 重男: 暗号と情報セキュリティ 初版, 19900329, p.150〜154, 株式会社昭晃堂 * |
JPN6013000229; 辻井 重男: 暗号と情報セキュリティ 初版, 19900329, p.150〜154, 株式会社昭晃堂 * |
JPN6013000230; D. W. Davies et al: ネットワーク・セキュリティ 初版, 19851205, p.136〜142, 日経マグロウヒル社 * |
Also Published As
Publication number | Publication date |
---|---|
JP5344905B2 (en) | 2013-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100530275C (en) | Information processing device, printing device, print data transmission method, printing method, | |
US20090063860A1 (en) | Printer driver that encrypts print data | |
WO2016136024A1 (en) | Key replacement direction control system, and key replacement direction control method | |
JP2004086894A5 (en) | ||
EP3465976B1 (en) | Secure messaging | |
JP2007257527A (en) | Printing system and control method | |
KR102285885B1 (en) | Symmetric quantum encryption key based encryption device for wireless data communication | |
US11314877B2 (en) | Public key encrypted network printing | |
WO2015050030A1 (en) | Cryptographic processing method, cryptographic system, and server | |
JP4328748B2 (en) | Key update method, key-isolated encryption system, and terminal device | |
JP4000183B1 (en) | File encryption management system and method for implementing the system | |
JP5344905B2 (en) | Encryption key management system | |
JP2005159556A (en) | Method for limiting number of content utilization frequency, content utilization terminal, content utilization system, computer program, and computer-readable recording medium | |
JP6792191B2 (en) | Information transmission method, information processing method, program, decoding method, program | |
JP4562200B2 (en) | Cryptographic management apparatus, cryptographic management method and cryptographic management program in the apparatus | |
JP2005184222A (en) | Work flow system and client terminal thereof | |
JP4974863B2 (en) | File management system, file management method and program | |
JP6519601B2 (en) | Information processing apparatus, information processing method, device, method of updating encryption key, system and program | |
US20080104682A1 (en) | Secure Content Routing | |
JP7086163B1 (en) | Data processing system | |
JP6864884B2 (en) | Encrypted data management system, encrypted data management program and encrypted data management method | |
KR100742806B1 (en) | Print data communication with data encryption and decryption | |
JP6492832B2 (en) | ENCRYPTION DEVICE, ENCRYPTION METHOD, ENCRYPTION PROGRAM, DATA STRUCTURE, AND ENCRYPTION SYSTEM | |
JP2000036808A (en) | Transmission reception data encryption/decoding system | |
JP4947487B2 (en) | Information management host, information management apparatus, and information processing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111014 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121227 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130115 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130312 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130806 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130813 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5344905 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |