JP2012147506A - Encryption key setting method, network system, management device, information processing terminal, and encryption key setting program - Google Patents
Encryption key setting method, network system, management device, information processing terminal, and encryption key setting program Download PDFInfo
- Publication number
- JP2012147506A JP2012147506A JP2012109491A JP2012109491A JP2012147506A JP 2012147506 A JP2012147506 A JP 2012147506A JP 2012109491 A JP2012109491 A JP 2012109491A JP 2012109491 A JP2012109491 A JP 2012109491A JP 2012147506 A JP2012147506 A JP 2012147506A
- Authority
- JP
- Japan
- Prior art keywords
- information
- key
- management
- encrypted
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は情報処理端末に記憶される情報を暗号化(復号化)するためのセキュリティ鍵を管理装置で一括管理する技術に関する。 The present invention relates to a technique for collectively managing a security key for encrypting (decrypting) information stored in an information processing terminal using a management device.
パーソナルコンピュータ(以下、PCと言う)等の記憶装置(例えばハードディスク)には、ユーザにとって重要なデータ(個人情報等)が記憶されている。従って、記憶データの漏洩を防止することが望まれており、例えばデータの読み出し、書き込みを禁止することが望まれている。そこで特許文献1のデータ保護装置では、暗号鍵を用いて暗号化したデータを複数のブロックに分割し、配列を変更してからハードディスクに記憶する構成が開示されている。この構成によれば、暗号鍵が漏洩したとしても、データを解読することが困難である。 Data (personal information or the like) important for the user is stored in a storage device (for example, a hard disk) such as a personal computer (hereinafter referred to as a PC). Therefore, it is desired to prevent leakage of stored data. For example, it is desired to prohibit reading and writing of data. Therefore, the data protection device disclosed in Patent Document 1 discloses a configuration in which data encrypted using an encryption key is divided into a plurality of blocks, the arrangement is changed, and then stored in a hard disk. According to this configuration, even if the encryption key is leaked, it is difficult to decrypt the data.
また、特許文献1の装置では、マスタキー(例えばリムーバブルメディア等)が装着されていないときは、ハードディスクがPCに認識されない構成であるため、PCだけではデータを読み出すことができず、セキュリティ性が高い。 Further, in the apparatus of Patent Document 1, when a master key (for example, removable media) is not attached, the hard disk is not recognized by the PC, and therefore data cannot be read out by the PC alone, and the security is high. .
しかしながら、近年、ノート型PCの普及により、PCを持ち歩く機会が多くなっている。ユーザがPCにマスタキーをセットした状態で外出先で放置する(盗難される)と、情報漏洩の危険性が有った。また、マスタキーとしてリムーバブルメディアを用いた場合、マスタキーの持ち運びが容易であるために、ユーザがこのマスタキーを放置する、盗難されるなどの可能性が高く、依然として情報漏洩の危険性が有った。 However, in recent years, with the spread of notebook PCs, there are many opportunities to carry PCs. If the user left the device with the master key set on the PC (stolen), there was a risk of information leakage. In addition, when a removable medium is used as a master key, it is easy to carry the master key, so there is a high possibility that the user will leave the master key or be stolen, and there is still a risk of information leakage.
本発明は、上述の問題点に鑑みて、万が一PCが盗難されたとしても情報が漏洩する可能性が極めて低い、高度のセキュリティ性を有する暗号鍵設定方法を提供することを目的とする。 In view of the above problems, an object of the present invention is to provide an encryption key setting method having a high degree of security that is extremely unlikely to leak information even if a PC is stolen.
本発明の暗号鍵設定方法は、情報処理端末の記憶部に記憶される情報を暗号化する場合に用いられる暗号鍵を設定する暗号鍵設定方法であって、前記情報処理端末が、情報を暗号化する端末用公開鍵および当該端末用公開鍵によって暗号化された情報を復号する端末用秘密鍵を生成し、前記端末用公開鍵および暗号鍵設定要求を、管理装置に送信する要求送信ステップと、前記管理装置が、前記端末用公開鍵および前記暗号鍵設定要求を受信したとき、情報を暗号化する管理用公開鍵および当該管理用公開鍵によって暗号化された情報を復号する管理用秘密鍵を生成し、該情報処理端末に前記管理用公開鍵を送信する公開鍵送信ステップと、前記情報処理端末が、自身の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信する暗号化情報送信ステップと、前記管理装置が、前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報に対応する暗号鍵を生成する暗号鍵生成ステップと、前記管理装置が、該管理装置に備えた記憶部に前記暗号鍵を前記復号情報と共に記憶する暗号鍵記憶ステップと、前記管理装置が、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信する暗号鍵送信ステップと、前記情報処理端末が、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて該情報処理端末の記憶部に記憶される所定の情報を暗号化する暗号化ステップと、からなり、前記情報処理端末は、前記暗号化情報送信ステップにおいて、前記暗号化情報に、当該情報処理端末に接続されているリムーバブルメディアのデバイス情報を含めて送信し、前記管理装置は、前記暗号鍵生成ステップにおいて、前記固有の情報および前記デバイス情報を用いて前記暗号鍵を生成することを特徴とする。 An encryption key setting method of the present invention is an encryption key setting method for setting an encryption key used when encrypting information stored in a storage unit of an information processing terminal, wherein the information processing terminal encrypts information. A request transmission step of generating a terminal public key to be converted and a terminal secret key for decrypting information encrypted by the terminal public key, and transmitting the terminal public key and the encryption key setting request to the management device; When the management device receives the terminal public key and the encryption key setting request, the management public key that encrypts information and the management secret key that decrypts the information encrypted by the management public key A public key transmitting step for transmitting the management public key to the information processing terminal, and the information processing terminal generates encrypted information obtained by encrypting its own unique information with the management public key. Said An encryption information transmission step for transmitting to the physical device; and an encryption key for generating a decryption information by decrypting the encrypted information with the management secret key and generating a cipher key corresponding to the decryption information A generating step; an encryption key storing step in which the management device stores the encryption key together with the decryption information in a storage unit provided in the management device; and the management device encrypts the data using the terminal public key. An encryption key transmission step of transmitting an encryption key to the information processing terminal; and the information processing terminal decrypts the encrypted encryption key using the terminal private key, and uses the decrypted encryption key to transmit the information. An encryption step for encrypting predetermined information stored in the storage unit of the processing terminal, wherein the information processing terminal connects the encryption information to the information processing terminal in the encryption information transmission step. It is transmitted including device information of the removable media is, the management device, in the encryption key generating step, and generating the encryption key using the unique information and the device information.
この発明では、情報処理端末(PC)が自身の公開鍵と秘密鍵を生成する。この端末用公開鍵と設定要求パケットを管理装置に送信する。管理装置(サーバ)は、自身の公開鍵と秘密鍵を生成し、上記設定要求パケットを受信したときにこの管理用公開鍵を送信する。なお、公開鍵と秘密鍵は、それぞれ一度だけ生成するようにしてもよいし、暗号鍵設定毎に生成するようにしてもよい。情報処理端末は、自身の固有の情報(PC構成情報等)を上記管理用公開鍵を用いて暗号化する。その後、管理装置に、暗号化済の固有情報を送信する。管理装置は、暗号化済の固有情報を上記管理用秘密鍵を用いて復号化する。その後、固有情報と対になる暗号鍵(セキュリティ鍵)を生成し、管理装置内の記憶部に固有情報と共に記憶する。暗号鍵は、固有情報から作成してもよいし、その時の時刻情報など、他の情報を用いてランダムに生成してもよい。管理装置は、端末用公開鍵を用いて暗号鍵を暗号化して送信する。情報処理端末は、端末用秘密鍵を用いて暗号鍵を復号し、所定のデータ(フォルダ)を暗号化する。また、セキュリティ鍵の生成に用いられる情報には、リムーバブルメディア(USBメモリ等)のデバイス情報が含まれる。このデバイス情報を含めることで、リムーバブルメディアが接続されていない状態で管理装置に解除要求パケットと固有情報を送信したとしても、固有情報が鍵生成時と異なるために復号化することができない。 In this invention, the information processing terminal (PC) generates its own public key and private key. The terminal public key and the setting request packet are transmitted to the management apparatus. The management device (server) generates its own public key and secret key, and transmits this management public key when receiving the setting request packet. The public key and the private key may be generated only once, or may be generated for each encryption key setting. The information processing terminal encrypts its own unique information (PC configuration information or the like) using the management public key. Thereafter, the encrypted unique information is transmitted to the management apparatus. The management device decrypts the encrypted unique information using the management secret key. Thereafter, an encryption key (security key) paired with the unique information is generated and stored together with the unique information in a storage unit in the management apparatus. The encryption key may be created from the unique information, or may be randomly generated using other information such as time information at that time. The management device encrypts and transmits the encryption key using the terminal public key. The information processing terminal decrypts the encryption key by using the terminal secret key and encrypts predetermined data (folder). The information used for generating the security key includes device information of removable media (USB memory or the like). By including this device information, even if the release request packet and the unique information are transmitted to the management apparatus in a state where the removable medium is not connected, the unique information cannot be decrypted because the unique information is different from the key generation time.
また、上記発明において、前記情報処理端末は、予め、前記管理用公開鍵と異なる第2公開鍵を取り込み、前記管理装置は、予め、前記第2公開鍵によって暗号化された情報を復号する第2秘密鍵を取り込み、前記暗号鍵設定要求を受信したとき、前記管理用公開鍵に替えて応答情報を送信し、前記情報処理端末は、前記応答情報を受信したとき、自身の固有の情報を前記第2公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、前記管理装置は、前記第2公開鍵で暗号化した暗号化情報を前記第2秘密鍵で復号して復号情報を生成することも可能である。 In the above invention, the information processing terminal takes in a second public key different from the management public key in advance, and the management apparatus decrypts information encrypted in advance with the second public key. 2 When the private key is captured and the encryption key setting request is received, response information is transmitted instead of the management public key, and when the response information is received, the information processing terminal transmits its own unique information. Encrypted information encrypted with the second public key is generated and transmitted to the management device, and the management device decrypts the encrypted information encrypted with the second public key with the second secret key. It is also possible to generate decryption information.
この発明では、情報処理端末に予め公開鍵(第2公開鍵)を設定しておく。予め公開鍵を設定するには、USBメモリ等のネットワーク接続以外の手段で入手するなど、どのような方法であってもよい。管理装置は、この第2公開鍵と対になる秘密鍵(第2秘密鍵)を設定しておく。管理装置は、情報処理端末から設定要求パケットを受信したとき、公開鍵は送信せずに応答のみを行う。情報処理端末は、応答を受信したとき、自身の固有の情報を第2公開鍵を用いて暗号化する。その後、暗号化済みの固有情報を送信する。管理装置は、暗号化済みの固有情報を第2秘密鍵を用いて復号する。 In this invention, a public key (second public key) is set in advance in the information processing terminal. In order to set the public key in advance, any method may be used such as obtaining the public key by means other than a network connection such as a USB memory. The management apparatus sets a secret key (second secret key) that is paired with the second public key. When the management device receives the setting request packet from the information processing terminal, the management device does not transmit the public key and performs only a response. When the information processing terminal receives the response, the information processing terminal encrypts its own unique information using the second public key. Thereafter, the encrypted unique information is transmitted. The management device decrypts the encrypted unique information using the second secret key.
また、上記発明において、前記情報処理端末は、端末用公開鍵とともに暗号解除要求を、前記管理装置に送信し、前記管理装置は、前記暗号解除要求を受信したとき、該情報処理端末に管理用公開鍵を送信し、前記情報処理端末は、自身の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、前記管理装置は、前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報で前記管理装置に備えた記憶部を参照し、前記復号情報に対応する暗号鍵を読み出し、該暗号鍵を前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、前記情報処理端末は、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて暗号化された所定の情報を復号化することも可能である。 In the above invention, the information processing terminal transmits a descrambling request together with a terminal public key to the management device, and the management device receives the descrambling request from the information processing terminal for management. The public key is transmitted, and the information processing terminal generates encrypted information obtained by encrypting its own unique information with the management public key, and transmits the encrypted information to the management device. Is decrypted with the management secret key to generate decryption information, the storage unit provided in the management device is referred to with the decryption information, the encryption key corresponding to the decryption information is read, and the encryption key is used for the terminal An encryption key encrypted using a public key is transmitted to the information processing terminal, and the information processing terminal decrypts the encrypted encryption key using the terminal private key and uses the decrypted encryption key The encrypted information. It is also possible to reduction.
この発明では、情報処理端末が暗号解除要求を送信する。管理装置は、暗号解除要求を受信すると、再び管理用公開鍵を送信する。情報処理端末は、固有情報を、受信した管理用公開鍵を用いて暗号化し、管理装置に送信する。管理装置は、管理用秘密鍵を用いて固有情報を復号し、この固有情報で記憶部を参照する。その結果、固有情報と対になる暗号鍵を読み出し、端末用公開鍵を用いて暗号化する。管理装置は、暗号化した暗号鍵を情報処理端末に送信する。情報処理端末は、端末用秘密鍵を用いて暗号鍵を復号し、所定のデータ(フォルダ)を復号化する。 In the present invention, the information processing terminal transmits a descrambling request. When receiving the descrambling request, the management device transmits the management public key again. The information processing terminal encrypts the unique information using the received management public key and transmits the encrypted information to the management apparatus. The management device decrypts the unique information using the management secret key, and refers to the storage unit using this unique information. As a result, the encryption key paired with the unique information is read and encrypted using the terminal public key. The management device transmits the encrypted encryption key to the information processing terminal. The information processing terminal decrypts the encryption key by using the terminal secret key, and decrypts predetermined data (folder).
また、上記発明において、前記情報処理端末は、端末用公開鍵とともに暗号解除要求を、前記管理装置に送信し、前記管理装置は、前記暗号解除要求を受信したとき、該情報処理端末に応答情報を送信し、前記情報処理端末は、自身の固有の情報を前記第2公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、前記管理装置は、前記第2公開鍵で暗号化した暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報で前記管理装置に備えた記憶部を参照し、前記復号情報に対応する暗号鍵を読み出し、該暗号鍵を前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、前記情報処理端末は、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて暗号化された所定の情報を復号化することも可能である。 In the above invention, the information processing terminal transmits a descrambling request together with a terminal public key to the management device, and the management device receives response information from the information processing terminal when the descrambling request is received. The information processing terminal generates encrypted information obtained by encrypting its own unique information with the second public key, and transmits the encrypted information to the management device. The management device uses the second public key. Decrypt the encrypted encryption information with the management secret key to generate decryption information, refer to the storage unit provided in the management device with the decryption information, read the encryption key corresponding to the decryption information, and An encryption key obtained by encrypting an encryption key using the terminal public key is transmitted to the information processing terminal, and the information processing terminal decrypts the encrypted encryption key using the terminal secret key, and Encrypted using the decrypted encryption key It is also possible to decode the predetermined information.
この発明では、情報処理端末が暗号解除要求を送信する。管理装置は、暗号解除要求を受信すると、再び応答情報を送信する。情報処理端末は、固有情報を、取得済みの第2公開鍵を用いて暗号化し、管理装置に送信する。管理装置は、第2秘密鍵を用いて固有情報を復号し、この固有情報で記憶部を参照する。その結果、固有情報と対になる暗号鍵を読み出し、端末用公開鍵を用いて暗号化する。管理装置は、暗号化した暗号鍵を情報処理端末に送信する。情報処理端末は、端末用秘密鍵を用いて暗号鍵を復号し、所定のデータ(フォルダ)を復号化する。 In the present invention, the information processing terminal transmits a descrambling request. When receiving the descrambling request, the management device transmits response information again. The information processing terminal encrypts the unique information using the acquired second public key and transmits it to the management apparatus. The management device decrypts the unique information using the second secret key, and refers to the storage unit using this unique information. As a result, the encryption key paired with the unique information is read and encrypted using the terminal public key. The management device transmits the encrypted encryption key to the information processing terminal. The information processing terminal decrypts the encryption key by using the terminal secret key, and decrypts predetermined data (folder).
また、本発明のネットワークシステムは、所定の情報を記憶する記憶手段を備えた情報処理端末、および前記情報処理端末に接続される管理装置を備えたネットワークシステムであって、前記情報処理端末は、情報を暗号化する端末用公開鍵、および当該端末用公開鍵によって暗号化された情報を復号する端末用秘密鍵を生成する端末用鍵生成手段と、前記端末用公開鍵、および暗号鍵設定要求を前記管理装置に送信する端末送信手段と、を備え、前記管理装置は、情報を暗号化する管理用公開鍵、および前記管理用公開鍵によって暗号化された情報を復号する管理用秘密鍵を生成する管理用鍵生成手段と、前記情報処理端末から暗号鍵設定要求を受信したとき、前記管理用公開鍵を送信する管理送信手段と、を備え、前記端末送信手段は、該情報処理端末の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、前記管理装置は、前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報に対応する暗号鍵を生成する暗号鍵生成手段と、前記暗号鍵を前記復号情報と共に記憶する管理記憶手段と、を備え、前記管理送信手段は、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、前記情報処理端末は、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて該情報処理端末の記憶手段に記憶される所定の情報を暗号化する鍵設定手段を備え、前記端末送信手段は、前記暗号化情報に、当該情報処理端末に接続されているリムーバブルメディアのデバイス情報を含めて送信し、前記暗号鍵生成手段は、前記固有の情報および前記デバイス情報を用いて前記暗号鍵を生成することを特徴とする。 Further, the network system of the present invention is a network system including an information processing terminal including a storage unit that stores predetermined information, and a management device connected to the information processing terminal, and the information processing terminal includes: A terminal public key for encrypting information, a terminal key generating means for generating a terminal private key for decrypting information encrypted with the terminal public key, the terminal public key, and an encryption key setting request Terminal transmitting means for transmitting information to the management device, the management device having a management public key for encrypting information and a management secret key for decrypting the information encrypted by the management public key A management key generating means for generating, and a management transmitting means for transmitting the management public key when an encryption key setting request is received from the information processing terminal. Generates encrypted information obtained by encrypting unique information of the information processing terminal with the management public key and transmits the encrypted information to the management device. The management device decrypts the encrypted information with the management secret key. An encryption key generating means for generating decryption information and generating an encryption key corresponding to the decryption information; and a management storage means for storing the encryption key together with the decryption information. An encryption key encrypted using a public key is transmitted to the information processing terminal, and the information processing terminal decrypts the encrypted encryption key using the terminal private key and uses the decrypted encryption key And a key setting means for encrypting predetermined information stored in the storage means of the information processing terminal, wherein the terminal transmission means is a removable media device connected to the information processing terminal in the encrypted information Include information Transmitted, the encryption key generation means, and generates the encryption key using the unique information and the device information.
また、本発明は、上記発明において、前記情報処理端末は、予め、前記管理用公開鍵と異なる第2公開鍵を取り込む公開鍵取り込み手段を備え、前記管理用鍵生成手段は、予め、前記第2公開鍵によって暗号化された情報を復号する第2秘密鍵を取り込み、前記管理送信手段は、前記暗号鍵設定要求を受信したとき、前記管理用公開鍵に替えて応答情報を送信し、前記端末送信手段は、前記応答情報を受信したとき、自身の固有の情報を前記第2公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、前記暗号鍵生成手段は、前記第2公開鍵で暗号化した暗号化情報を前記第2秘密鍵で復号して復号情報を生成することを特徴とする。 In the present invention, the information processing terminal includes public key fetching means for fetching a second public key different from the management public key in advance, and the management key generating means 2 captures a second secret key for decrypting information encrypted with the public key, and when the management transmission means receives the encryption key setting request, transmits the response information instead of the management public key, When the terminal transmission means receives the response information, it generates encrypted information obtained by encrypting its own unique information with the second public key, and transmits the encrypted information to the management apparatus. The encryption key generation means The decryption information is generated by decrypting the encrypted information encrypted with the second public key with the second secret key.
また、本発明は、上記発明において、前記端末送信手段は、端末用公開鍵とともに暗号解除要求を、前記管理装置に送信し、前記管理送信手段は、前記暗号解除要求を受信したとき、該情報処理端末に管理用公開鍵を送信し、前記端末送信手段は、自身の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、前記暗号鍵生成手段は、前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報で前記管理記憶手段を参照し、前記復号情報に対応する暗号鍵を読み出し、前記管理送信手段は、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、前記鍵設定手段は、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて暗号化された所定の情報を復号化することを特徴とする。 Further, the present invention is the above invention, wherein the terminal transmitting means transmits a descrambling request together with a terminal public key to the management device, and the management transmitting means receives the descrambling request when the information is received. The management public key is transmitted to the processing terminal, and the terminal transmission unit generates encrypted information obtained by encrypting its own unique information with the management public key, and transmits the encrypted information to the management device, thereby generating the encryption key Means decrypts the encrypted information with the management secret key to generate decryption information, refers to the management storage means with the decryption information, reads an encryption key corresponding to the decryption information, and the management transmission means Transmits the encryption key encrypted using the terminal public key to the information processing terminal, and the key setting means decrypts the encrypted encryption key using the terminal secret key and performs the decryption. Encrypted using the specified encryption key. Characterized by decoding a predetermined information.
また、本発明は、上記発明において、前記端末送信手段は、端末用公開鍵とともに暗号解除要求を、前記管理装置に送信し、前記管理用送信手段は、前記暗号解除要求を受信したとき、該情報処理端末に応答情報を送信し、前記端末送信手段は、自身の固有の情報を前記第2公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、前記暗号鍵生成手段は、前記第2公開鍵で暗号化した暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報で前記管理記憶手段を参照し、前記復号情報に対応する暗号鍵を読み出し、前記管理送信手段は、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、前記鍵設定手段は、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて暗号化された所定の情報を復号化することを特徴とする。 Further, the present invention is the above invention, wherein the terminal transmitting means transmits a descrambling request together with a terminal public key to the management device, and the management transmitting means receives the descrambling request, Response information is transmitted to the information processing terminal, and the terminal transmission means generates encrypted information obtained by encrypting its own unique information with the second public key, and transmits the encrypted information to the management apparatus. Decrypts the encrypted information encrypted with the second public key with the management secret key, generates decryption information, refers to the management storage means with the decryption information, and corresponds to the decryption information The management transmission means transmits the encryption key encrypted using the terminal public key to the information processing terminal, and the key setting means uses the encrypted encryption key as the terminal secret key. Decrypted using the decrypted cipher Characterized by decoding a predetermined information encrypted with.
本発明の管理装置は、所定の情報を記憶する記憶手段を備えた情報処理端末に接続され、該所定の情報を暗号化、または復号化するための暗号鍵を設定する管理装置であって、前記情報処理端末で生成され、情報を暗号化する端末用公開鍵、および暗号鍵設定要求を受信する端末要求受信手段、情報を暗号化する管理用公開鍵、および前記管理用公開鍵によって暗号化された情報を復号する管理用秘密鍵を生成する管理用鍵生成手段、前記情報処理端末から暗号鍵設定要求を受信したとき、前記管理用公開鍵を送信する管理送信手段、前記情報処理端末にて前記管理用公開鍵を用いて暗号化された暗号化情報を受信する暗号化情報受信手段、前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報に対応する暗号鍵を生成する暗号鍵生成手段、前記暗号鍵を前記復号情報と共に記憶する管理記憶手段、を備え、前記管理送信手段は、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、前記暗号化情報は、前記情報処理端末の固有の情報、および前記情報処理端末に接続されているリムーバブルメディアのデバイス情報、が含まれ、前記暗号鍵生成手段は、前記固有の情報および前記デバイス情報を用いて前記暗号鍵を生成することを特徴とする。 A management apparatus of the present invention is a management apparatus that is connected to an information processing terminal including a storage unit that stores predetermined information and sets an encryption key for encrypting or decrypting the predetermined information. Generated by the information processing terminal and encrypted by the terminal public key for encrypting information and the terminal request receiving means for receiving the encryption key setting request, the management public key for encrypting the information, and the management public key A management key generating unit for generating a management secret key for decrypting the received information, a management transmitting unit for transmitting the management public key when receiving an encryption key setting request from the information processing terminal, and the information processing terminal Encrypted information receiving means for receiving encrypted information encrypted using the management public key, decrypting the encrypted information with the management private key, generating decrypted information, and corresponding to the decrypted information Encryption key Encryption key generation means for generating, and management storage means for storing the encryption key together with the decryption information, wherein the management transmission means transmits the encryption key encrypted using the terminal public key to the information processing terminal. And the encryption information includes information specific to the information processing terminal and device information of a removable medium connected to the information processing terminal, and the encryption key generation means includes the unique information and the information The encryption key is generated using device information.
本発明の情報処理端末は、所定の情報を記憶する記憶手段を備え、管理装置に接続される情報処理端末であって、情報を暗号化する端末用公開鍵、および前記端末用公開鍵によって暗号化された情報を復号する端末用秘密鍵を生成する端末用鍵生成手段、前記端末用公開鍵、および暗号鍵設定要求を前記管理装置に送信する端末要求送信手段、前記管理装置によって生成され、情報を暗号化する管理用公開鍵を受信する管理用公開鍵受信手段、該情報処理端末の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信する暗号化情報送信手段、前記管理用公開鍵で暗号化した暗号化情報を復号した復号情報に対応する暗号鍵であって、前記管理装置によって前記端末用公開鍵によって暗号化された暗号鍵を受信する暗号鍵受信手段、前記暗号化された暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて前記記憶手段に記憶される所定の情報を暗号化する鍵設定手段、を備え、前記暗号化情報送信手段は、前記暗号化情報に、当該情報処理端末に接続されているリムーバブルメディアのデバイス情報を含めて送信し、前記暗号鍵は、前記固有の情報および前記デバイス情報を用いて生成されたことを特徴とする。 An information processing terminal of the present invention is an information processing terminal that includes storage means for storing predetermined information and is connected to a management device, and is encrypted by a terminal public key that encrypts information and the terminal public key A terminal key generating means for generating a terminal secret key for decrypting the converted information, a terminal public key, a terminal request transmitting means for transmitting an encryption key setting request to the management apparatus, and the management apparatus. Management public key receiving means for receiving a management public key for encrypting information, generating encrypted information obtained by encrypting unique information of the information processing terminal with the management public key, and transmitting the encrypted information to the management device Encrypted information transmitting means, receiving an encryption key corresponding to decryption information obtained by decrypting the encrypted information encrypted with the management public key and encrypted by the management device with the terminal public key Key setting means for decrypting the encrypted encryption key using the terminal private key and encrypting predetermined information stored in the storage means using the decrypted encryption key And the encryption information transmitting means transmits the encryption information including device information of a removable medium connected to the information processing terminal, and the encryption key includes the unique information and the device. It is generated using information.
本発明の暗号鍵設定プログラムは、情報処理端末の記憶部に記憶される情報を暗号化する場合に用いられる暗号鍵を前記情報処理端末、および前記情報処理端末に接続される管理装置に設定させる暗号鍵設定プログラムであって、前記情報処理端末に、情報を暗号化する端末用公開鍵、端末用秘密鍵を生成させる端末用鍵生成手順と、前記端末用公開鍵とともに暗号鍵設定要求を、前記管理装置に送信させる端末送信手順と、前記管理装置に、情報を暗号化する管理用公開鍵、管理用秘密鍵を生成させる管理用鍵生成手順と、前記情報処理端末に管理用公開鍵を送信させる管理用鍵送信手順と、前記情報処理端末に、自身の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信させる暗号化情報送信手順と、前記管理装置に、前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報に対応する暗号鍵を生成させる暗号鍵生成手順と、該管理装置に備えた記憶部に前記暗号鍵を前記復号情報と共に記憶させる記憶手順と、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信させる暗号鍵送信手順と、前記情報処理端末に、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号させる暗号鍵復号化手順と、当該復号した暗号鍵を用いて該情報処理端末の記憶部に記憶される所定の情報を暗号化させる暗号化手順と、を実行させ、前記暗号化情報送信手順は、前記暗号化情報に、当該情報処理端末に接続されているリムーバブルメディアのデバイス情報を含めて送信させる手順を含み、前記暗号鍵生成手順は、前記固有の情報および前記デバイス情報を用いて前記暗号鍵を生成させる手順を含むことを特徴とする。 The encryption key setting program of the present invention causes the information processing terminal and a management apparatus connected to the information processing terminal to set an encryption key used when encrypting information stored in the storage unit of the information processing terminal. An encryption key setting program, wherein the information processing terminal generates a terminal public key for encrypting information, a terminal key generation procedure for generating a terminal secret key, and an encryption key setting request together with the terminal public key, A terminal transmission procedure for transmitting to the management device; a management public key for encrypting information to the management device; a management key generation procedure for generating a management secret key; and a management public key for the information processing terminal. A management key transmission procedure for transmission, and an encryption information transmission procedure for causing the information processing terminal to generate encrypted information obtained by encrypting its own unique information with the management public key and to transmit to the management device; An encryption key generation procedure for causing the management device to decrypt the encrypted information with the management secret key to generate decryption information and generate an encryption key corresponding to the decryption information, and a storage unit provided in the management device A storage procedure for storing the encryption key together with the decryption information, an encryption key transmission procedure for transmitting the encryption key encrypted using the terminal public key to the information processing terminal, and Key decryption procedure for decrypting the encrypted encryption key using the terminal private key, and encryption for encrypting predetermined information stored in the storage unit of the information processing terminal using the decrypted encryption key The encryption information transmission procedure includes a procedure for transmitting the encryption information including device information of a removable medium connected to the information processing terminal, and the encryption key generation procedure includes: Characterized in that it comprises the steps of generating the encryption key using the unique information and the device information.
以上のように、この発明によれば、管理装置によって設定されたセキュリティ鍵によって所定データを暗号化、復号化するため、PCを外出先に持ち歩いたとしても、第三者にデータ内容を解読されるおそれは極めて少ない。 As described above, according to the present invention, since the predetermined data is encrypted and decrypted with the security key set by the management apparatus, even if the PC is carried away, the data content can be decrypted by a third party. There is very little possibility that
また、リムーバブルメディアが接続されていない状態で管理装置に解除要求パケットと固有情報を送信したとしても、固有情報が鍵生成時と異なるために復号化することができないため、セキュリティ性が向上する。 Even if the release request packet and the unique information are transmitted to the management apparatus in a state where the removable medium is not connected, the unique information cannot be decrypted because the unique information is different from that at the time of key generation, so that security is improved.
以下、本発明の実施形態のネットワークシステムについて図を用いて詳細に説明する。本実施形態のネットワークシステムは、会社内等に設置される管理サーバが、接続される複数のPC内に記憶されているデータ(フォルダ)を暗号化(復号化)するためのセキュリティ鍵を集中管理するものである。
図1は、本実施形態に係るネットワークシステムの構成を示すブロック図である。このネットワークシステムは、管理サーバ10、および管理サーバ10に接続される複数のPC20を備えている。図2に管理サーバ10の構成を示し、図3にPC20の構成を示す。
Hereinafter, a network system according to an embodiment of the present invention will be described in detail with reference to the drawings. In the network system of this embodiment, a management server installed in a company or the like centrally manages security keys for encrypting (decrypting) data (folders) stored in a plurality of connected PCs. To do.
FIG. 1 is a block diagram showing a configuration of a network system according to the present embodiment. This network system includes a
管理サーバ10は、会社内等に設置され、各PC20を管理する集中管理装置である。管理サーバ10は、CPU101、RAM102、記憶部103、WANポート104、タイマ105、有線LANポート106、無線インタフェース107、表示部108、および操作部109を備えている。各構成部はバスを介して接続されている。
The
CPU101は、管理サーバ10を統括的に制御する。記憶部103は、管理サーバ10の種々の処理を行うためのプログラムを記憶している。CPU101は、この記憶部103に記憶されているプログラムを読み出してRAM102に展開することで種々の処理を行う。
The
また、記憶部103は、この管理サーバ10に接続される各PC20の情報(割り当てたIPアドレスなど)、各PC20に設定するセキュリティ鍵、等を記憶している。
The
WANポート104は、インターネットへ接続するインタフェースである。
タイマ105は、CPU101が各種の処理を実行した時間や各処理の実行から経過した時間を計測する。この計測結果はRAM102に一時的に記憶される。
The
The
有線LANポート106は、有線LANと接続するインタフェースであり、管理サーバ10は、有線LANアダプタを備えたPC等とこの有線LANポート106、およびLANケーブルを介して接続される。
The wired
無線インタフェース107は、無線LANに用いられる電波を送受信する送受信機である。管理サーバ10は、この無線インタフェース107を介してもPCとデータの送受信を行うことが可能である。
The
表示部108は、汎用ディスプレイ(LCD等)であり、管理サーバ10の処理内容を表示する。ユーザはこの表示部108の画面を見て管理サーバ10の操作を行う。なお、表示部108は、図示するように内蔵である場合に限らず、外付けであってもよい。
The
操作部109は、ユーザが管理サーバ10に指示を行うためのユーザインタフェースであり、例えばマウスやキーボードなどにより構成される。
The
図3において、PC20は、汎用のパーソナルコンピュータであり、CPU201、RAM202、記憶部203、汎用インタフェース204、有線LANアダプタ205、無線LANアダプタ206、表示部207、および操作部208を備えている。各構成部はバス介して接続されている。
In FIG. 3, the
CPU201は、PC20を統括的に制御する。記憶部203は、PC20の種々の処理を行うためのプログラムを記憶している。CPU101は、この記憶部203に記憶されているプログラムを読み出してRAM202に展開することで種々の処理を行う。
The
記憶部203には、ユーザ個々の重要な情報(個人情報等)が記憶される。
The
汎用インタフェース204は、例えばUSBインタフェースにより構成され、PC20の種々の外部周辺機器を接続するインタフェースである。この汎用インターフェース204には、例えばリムーバブルメディア(USBメモリ)が接続される。
The general-
有線LANアダプタ205は、有線LANと接続するインタフェースであり、PC20は、有線LANアダプタ205、およびLANケーブルを介して管理サーバ10と接続される。
The wired
無線インタフェース206は、無線LANに用いられる電波を送受信する送受信機である。PC20は、この無線インタフェース206を介しても管理サーバ10とデータの送受信を行うことが可能である。
The
表示部207は、汎用のディスプレイ(LCD等)であり、PC20の処理内容を表示する。ユーザはこの表示部207の画面を見てPC20の操作を行う。なお、表示部207は、図示するように内蔵である場合に限らず、外付けであってもよい。
The
操作部208は、ユーザがPC20に指示を行うためのユーザインタフェースであり、例えばマウスやキーボードなどにより構成される。
The
上述のように、この管理サーバ10は、各PC20のセキュリティ鍵を管理する。ユーザがPC20を管理サーバ10に接続する(有線LANアダプタにLANケーブルを接続する等)と、管理サーバ10は各PC20にセキュリティ鍵を設定し、これを送信する。PC20は、受信したセキュリティ鍵を用いて記憶部203内の所定のデータ(フォルダ)を暗号化する。暗号化したデータは、管理サーバ10が再び送信するセキュリティ鍵でのみ復号化することが可能である。セキュリティ鍵は、64ビットまたは128ビットの任意の文字列を用いた強固な鍵であり、このセキュリティ鍵が漏洩しなければ第三者にデータ内容を解読されるおそれは極めて少ない。
As described above, the
本実施形態のネットワークシステムは、このセキュリティ鍵が漏洩するおそれが極めて少なく、管理サーバ10が一括して各PC10の鍵を管理することができるものである。以下、ネットワークシステムにおいて各PC10にセキュリティ鍵を設定する処理について説明する。なお、この実施形態においては、PC10のOS(Operating System)、および管理サーバ10のOSに、下記の種々の処理を行うためのプログラムをインストールする。無論、プログラムを既にインストールしたPCを用いるようにしてもよい。
The network system of the present embodiment is extremely unlikely to leak this security key, and the
図4に管理サーバ10とPC20のセキュリティ鍵設定処理のフローチャートを示す。なお、図4〜図7において管理サーバ10側と記載しているのは管理サーバ10のCPU101が行う処理であり、PC20側と記載しているのはPC20のCPU201が行う処理である。各PC20のユーザがセキュリティ鍵交付要求の操作を行う(PC20をLANに接続する、または操作部208で特定フォルダの暗号化を指示する)と(s101)、PC20は自身の公開鍵C1と秘密鍵C1を生成する(102)。公開鍵C1と秘密鍵C1は一対のものであり、この公開鍵C1で暗号化されたデータは秘密鍵C1でのみ復号できる。公開鍵C1、および秘密鍵C1は、ランダムに生成される。その後、生成した公開鍵C1と設定要求パケットを管理サーバ10に送信する(s103)。
FIG. 4 shows a flowchart of the security key setting process of the
管理サーバ10は、上記設定要求パケットと公開鍵C1を受信すると(s201)、管理サーバ10自身の公開鍵S1と秘密鍵S1を生成する(s202)。公開鍵S1、および秘密鍵S1もランダムに生成される。その後、公開鍵S1を設定要求パケットを送信したPC20に送信する(s203)。
When receiving the setting request packet and the public key C1 (s201), the
PC20は、管理サーバ10から公開鍵S1を受信し(s104)、この公開鍵S1が単一の管理サーバから送信されたものであるか否かを判断する(s105)。PC20が無線LANで管理サーバ10に接続されている場合、例えば管理サーバ10と同種の(同機能を有する)サーバを第三者が設置していたとすると、このサーバからも応答がなされる場合が有る。そこでPC20は、複数の応答が有った場合に処理を中断する。これにより第三者のサーバに接続されることがなく、所謂サーバのなりすまし行為を防止できる。なお、PC20は、複数の応答が有った場合に、処理を中断する旨のパケットを管理サーバ10に送信するようにしてもよい。また、PC20の表示部207に処理中断の情報を表示するなどしてユーザにキャンセル通知を行ってもよい。さらに、無線LANで接続されている場合は、処理を中断する旨のパケットを送信した後、電波受信強度を下げて、再度s101から処理を繰り返すようにしてもよい。この場合、応答が単一となるまでs101の処理から繰り返すこととなる。
The
単一の管理サーバ10から受信した場合、PC20は、受信した公開鍵S1を用いて、自身の固有情報を暗号化する(s106)。固有情報は、PC20の構成情報、ユーザ情報等により構成される。その後暗号化した固有情報を管理サーバ10に送信する(s107)。
When receiving from the
管理サーバ10は、上記暗号化された情報を受信し(s204)、自身の秘密鍵S1を用いてこれを復号化する(s205)。さらに、復号化したPC20の固有情報を用いて、そのPC20(のユーザ)専用のセキュリティ鍵を作成する(s206)。なお、セキュリティ鍵は固有情報に加え、さらにその時の時刻情報、乱数等を組み合わせてランダムに作成される。時刻情報はタイマ105から読み出される。したがって、万が一固有情報を第三者が傍受したとしても、セキュリティ鍵の推定に用いられることはない。その後、管理サーバ10は、セキュリティ鍵を固有情報と対応付けて記憶部103に記憶する(s207)。管理サーバ10は、セキュリティ鍵をPC20の公開鍵C1を用いて暗号化し(s208)、これをPC20に送信する(s209)。
The
PC20は、暗号化されたセキュリティ鍵を受信し(s108)、自身の秘密鍵C1を用いて復号化する(s109)。最後に、セキュリティ鍵を用いて記憶部203内の所定のデータ(フォルダ)を暗号化する(s110)。なお、このセキュリティ鍵は、暗号化後PC20によって消去されるようにしてもよいし、PC20がLANから切断された時に消去されるようにしてもよい。暗号化された後は、管理サーバ10が復号化用のセキュリティ鍵を送信するまでは暗号化されたデータ内容を読み出すことはできない。すなわち、この状態でPC20を外部に持ち歩き、第三者がPC20の記憶部203を参照しても、当該データ内容を読み出すことは不可能である。
The
次に、図5に管理サーバ10とPC20の復号化処理のフローチャートを示す。まず、各PC20のユーザが暗号化されたデータの復号化要求の操作を行う(PC20をLANに接続する、または操作部208を用いて暗号化されたデータやフォルダを指定する)と(s301)、PC20は自身の公開鍵C1と秘密鍵C1を生成する(302)。これらの公開鍵C1、秘密鍵C1は、図4で示した処理における公開鍵C1、および秘密鍵C1と同一であってもよいし、異なる鍵であってもよい。その後、生成した公開鍵C1と解除要求パケットを管理サーバ10に送信する(s303)。
Next, FIG. 5 shows a flowchart of the decryption process of the
管理サーバ10は、上記解除要求パケットと公開鍵C1を受信すると(s401)、管理サーバ10自身の公開鍵S1と秘密鍵S1を生成する(s402)。この公開鍵S1、および秘密鍵S1も図4で示した処理における公開鍵S1、および秘密鍵S1と同一であってもよいし、異なる鍵であってもよい。その後、公開鍵S1を解除要求パケットを送信したPC20に送信する(s403)。
When receiving the release request packet and the public key C1 (s401), the
PC20は、管理サーバ10から公開鍵S1を受信し(s304)、この公開鍵S1が単一の管理サーバから送信されたものであるか否かを判断する(s305)。この場合においても第三者のサーバに接続されることを防止するためである。なお、図4の処理と同様にPC20は、複数の応答が有った場合に、処理を中断する旨のパケットを管理サーバ10に送信するようにしてもよいし、PC20の表示部207に処理中断の情報を表示するなどしてユーザにキャンセル通知を行ってもよい。さらに、無線LANで接続されている場合は、処理を中断する旨のパケットを送信した後、電波受信強度を下げて、再度s301から処理を繰り返すようにしてもよい。
The
単一の管理サーバ10から受信した場合、PC20は、受信した公開鍵S1を用いて、自身の固有情報を暗号化する(s306)。固有情報は、図4の処理における固有情報と同一であり、PC20の構成情報、ユーザ情報等により構成される。その後暗号化した固有情報を管理サーバ10に送信する(s307)。
When received from the
管理サーバ10は、上記暗号化された情報を受信し(s404)、自身の秘密鍵S1を用いてこれを復号化する(s405)。さらに、復号化したPC20の固有情報を用いて、記憶部103に記憶されているそのPC20用のセキュリティ鍵を照合する(s406)。なお、そのPC20の固有情報が記憶部103に記憶されていない、またはその固有情報に対応するセキュリティ鍵が記憶されていない場合は、処理を中断する旨のパケットをPC20に送信するようにしてもよい。
The
その後、管理サーバ10は、記憶部103に記憶されている固有情報に対応付けられたセキュリティ鍵を読み出す(s407)。管理サーバ10は、セキュリティ鍵をPC20の公開鍵C1を用いて暗号化し(s408)、これをPC20に送信する(s409)。
Thereafter, the
PC20は、暗号化されたセキュリティ鍵を受信し(s308)、自身の秘密鍵C1を用いて復号化する(s309)。最後に、セキュリティ鍵を用いて記憶部203内の所定のデータ(フォルダ)を復号化する(s310)。これによりユーザは、暗号化されていたデータ内容を読み出すことが可能となる。なお、このセキュリティ鍵は、復号化後、またはPC20がLANから切断された時にPC20自身によって消去されるようにしてもよい。また、一定時間毎に管理サーバ10が暗号化指示パケットを送信し、PC20が図4の処理(s102〜s110)を行うようにして、所定データ(フォルダ)を一定時間毎に自動的に暗号化するようにしてもよい。一定時間毎に暗号化されるため、PC20を外出先に持ち歩く場合に、所定データは暗号化された状態となっている。
The
また、復号時に用いられるセキュリティ鍵は、暗号時と共通鍵であってもよいし、対応する(異なる)鍵であってもよい。異なる鍵を用いる場合には、管理サーバ10が、暗号時にセキュリティ鍵を生成した時(図4のs207)に、これに対応する復号用セキュリティ鍵を生成しておく。
Further, the security key used at the time of decryption may be a common key used at the time of encryption or a corresponding (different) key. When a different key is used, when the
以上のようにして、所定データを暗号化、復号化するため、PCを外出先に持ち歩いたとしても、第三者にデータ内容を解読されるおそれは極めて少ない。また、セキュリティ鍵は会社内等に設置した管理サーバで一括管理されるため、リムーバブルメディアのように外出先でセキュリティ鍵を紛失する(盗難される)おそれは極めて小さい。なお、上記の公開鍵C1(公開鍵S1)と秘密鍵C1(秘密鍵S1)は、一度生成した後、同じ鍵を用いるようにしてもよい。2回目以降は鍵の生成を行う処理を省略することで、処理速度が向上する。 As described above, since the predetermined data is encrypted and decrypted, even if the PC is carried away, there is very little possibility of the data content being decrypted by a third party. Further, since the security key is collectively managed by a management server installed in the company or the like, there is very little risk that the security key will be lost (stolen) on the go like a removable medium. The public key C1 (public key S1) and the secret key C1 (secret key S1) may be generated once and then used as the same key. From the second time onwards, the processing speed is improved by omitting the key generation processing.
また、本発明においては、以下のような応用例が可能である。図6は、応用例に係る管理サーバ10とPC20のセキュリティ鍵設定処理を示すフローチャートである。この応用例において、各PC20は、予め管理サーバ10の公開鍵S1を取得済みの状態である。予め公開鍵を取得するには、USBメモリ等のネットワーク接続以外の手段で入手するなど、どのような方法であってもよい。
In the present invention, the following application examples are possible. FIG. 6 is a flowchart showing security key setting processing of the
各PC20のユーザがセキュリティ鍵交付要求の操作を行う(PC20をLANに接続する、または操作部208で特定フォルダの暗号化を指示する)と(s501)、PC20は自身の公開鍵C1と秘密鍵C1を生成する(502)。これらの公開鍵C1、秘密鍵C1についても、図4で示した処理における公開鍵C1、および秘密鍵C1と同一であってもよいし、異なる鍵であってもよい。その後、生成した公開鍵C1、設定要求パケット、および公開鍵を取得済みである旨を示す情報(公開鍵取得済みパケット)、を管理サーバ10に送信する(s503)。
When the user of each
管理サーバ10は、上記設定要求パケット、公開鍵C1、公開鍵取得済みパケットを受信すると(s601)、公開鍵S2に対応する秘密鍵S2を読み出す(s602)。この応用例において秘密鍵S2は、記憶部103に予め記憶されている。なお、秘密鍵S2についても外部から取り込むようにしてもよい。公開鍵S2と秘密鍵S2は一対のものであり、公開鍵S2で暗号化されたデータは秘密鍵S2でのみ復号できる。その後、応答情報を設定要求パケットを送信したPC20に送信する(s603)。
When receiving the setting request packet, the public key C1, and the public key acquired packet (s601), the
PC20は、管理サーバ10から応答情報を受信し(s504)、この応答情報が単一の管理サーバから送信されたものであるか否かを判断する(s505)。この場合においても第三者のサーバに接続されることを防止するためである。なお、図4の処理と同様にPC20は、複数の応答が有った場合に、処理を中断する旨のパケットを管理サーバ10に送信するようにしてもよいし、PC20の表示部207に処理中断の情報を表示するなどしてユーザにキャンセル通知を行ってもよい。さらに、無線LANで接続されている場合は、処理を中断する旨のパケットを送信した後、電波受信強度を下げて、再度s501から処理を繰り返すようにしてもよい。
The
単一の管理サーバ10から受信した場合、PC20は、取得済みの公開鍵S2を用いて、自身の固有情報を暗号化する(s506)。固有情報は、PC20の構成情報、ユーザ情報等により構成される。その後暗号化した固有情報を管理サーバ10に送信する(s507)。
When received from the
管理サーバ10は、上記暗号化された情報を受信し(s604)、秘密鍵S2を用いてこれを復号化する(s605)。さらに、復号化したPC20の固有情報を用いて、そのPC20(のユーザ)専用のセキュリティ鍵を作成する(s606)。セキュリティ鍵は固有情報に加え、さらにその時の時刻情報、乱数等を組み合わせてランダムに作成される。その後、管理サーバ10は、セキュリティ鍵を固有情報と対応付けて記憶部103に記憶する(s607)。管理サーバ10は、セキュリティ鍵をPC20の公開鍵C1を用いて暗号化し(s608)、これをPC20に送信する(s609)。
The
PC20は、暗号化されたセキュリティ鍵を受信し(s508)、自身の秘密鍵C1を用いて復号化する(s509)。最後に、セキュリティ鍵を用いて記憶部203内の所定のデータ(フォルダ)を暗号化する(s510)。
The
次に、図7に応用例における管理サーバ10とPC20の復号化処理のフローチャートを示す。まず、各PC20のユーザが暗号化されたデータの復号化要求の操作を行う(PC20をLANに接続する、または操作部208を用いて暗号化されたデータやフォルダを指定する)と(s701)、PC20は自身の公開鍵C1と秘密鍵C1を生成する(702)。これらの公開鍵C1、秘密鍵C1についても、図4で示した処理における公開鍵C1、および秘密鍵C1と同一であってもよいし、異なる鍵であってもよい。その後、生成した公開鍵C1、解除要求パケット、および公開鍵取得済みパケット、を管理サーバ10に送信する(s703)。
Next, FIG. 7 shows a flowchart of the decryption processing of the
管理サーバ10は、上記解除要求パケット、公開鍵C1、公開鍵取得済みパケットを受信すると(s801)、公開鍵S2に対応する秘密鍵S2を読み出す(s802)。上述したように、秘密鍵S2は、予め記憶部103に記憶されている。その後、解除要求パケットを送信したPC20に応答情報を送信する(s803)。
When receiving the release request packet, the public key C1, and the public key acquired packet (s801), the
PC20は、管理サーバ10から応答情報を受信し(s704)、この応答情報が単一の管理サーバから送信されたものであるか否かを判断する(s705)。この場合においても第三者のサーバに接続されることを防止するためである。なお、図6の処理と同様にPC20は、複数の応答が有った場合に、処理を中断する旨のパケットを管理サーバ10に送信するようにしてもよいし、PC20の表示部207に処理中断の情報を表示するなどしてユーザにキャンセル通知を行ってもよい。さらに、無線LANで接続されている場合は、処理を中断する旨のパケットを送信した後、電波受信強度を下げて、再度s701から処理を繰り返すようにしてもよい。
The
単一の管理サーバ10から受信した場合、PC20は、取得済みの公開鍵S2を用いて、自身の固有情報を暗号化する(s706)。固有情報は、図6の処理における固有情報と同一であり、PC20の構成情報、ユーザ情報等により構成される。その後暗号化した固有情報を管理サーバ10に送信する(s707)。
When received from the
管理サーバ10は、上記暗号化された情報を受信し(s804)、秘密鍵S2を用いてこれを復号化する(s805)。さらに、復号化したPC20の固有情報を用いて、記憶部103に記憶されているそのPC20用のセキュリティ鍵を照合する(s806)。なお、そのPC20の固有情報が記憶部103に記憶されていない、またはその固有情報に対応するセキュリティ鍵が記憶されていない場合は、処理を中断する旨のパケットをPC20に送信するようにしてもよい。
The
その後、管理サーバ10は、記憶部103に記憶されている固有情報に対応付けられたセキュリティ鍵を読み出す(s807)。管理サーバ10は、セキュリティ鍵をPC20の公開鍵C1を用いて暗号化し(s808)、これをPC20に送信する(s809)。
Thereafter, the
PC20は、暗号化されたセキュリティ鍵を受信し(s708)、自身の秘密鍵C1を用いて復号化する(s709)。最後に、セキュリティ鍵を用いて記憶部203内の所定のデータ(フォルダ)を復号化する(s710)。これによりユーザは、暗号化されていたデータ内容を読み出すことが可能となる。
The
以上のようにして、応用例においても、セキュリティ鍵が管理サーバ10によって管理される。この応用例においては、予めPC20が公開鍵S2を取得しており、管理サーバ10とPC20との間で公開鍵を送受信することがないため、さらにセキュリティ性が向上する。
As described above, also in the application example, the security key is managed by the
なお、本実施形態において、PC20と管理サーバ10が1対1で通信を行う態様を示したが、PC20は、設定要求パケット(解除要求パケット)を送信する際に、ブロードキャストで送信するようにしてもよい。この場合、管理サーバ10は、他のPC20と通常のネットワーク通信を行いながら新たなPC20にIPアドレスを割り当てる処理を行うDHCP(Dynamic Host Configuration Protocol)サーバの機能を実現するものである。
In the present embodiment, the
なお、セキュリティ鍵の生成時に、各PC20の固有情報としてPC20の構成情報を用いるが、この構成情報には、PC20の汎用インターフェース204に接続されているリムーバブルメディア(USBメモリ等)のデバイス情報を含めるようにしてもよい。このデバイス情報を含めることで、リムーバブルメディアが接続されていない状態で管理サーバ10に解除要求パケットと固有情報を送信したとしても、固有情報が鍵生成時と異なるために復号化することができない。したがって、リムーバブルメディアが第2の鍵として利用することが実現できる。
Note that, when generating the security key, the configuration information of the
10−管理サーバ
20−PC
10-Management server 20-PC
Claims (11)
前記情報処理端末が、情報を暗号化する端末用公開鍵および当該端末用公開鍵によって暗号化された情報を復号する端末用秘密鍵を生成し、前記端末用公開鍵および暗号鍵設定要求を、管理装置に送信する要求送信ステップと、
前記管理装置が、前記端末用公開鍵および前記暗号鍵設定要求を受信したとき、情報を暗号化する管理用公開鍵および当該管理用公開鍵によって暗号化された情報を復号する管理用秘密鍵を生成し、該情報処理端末に前記管理用公開鍵を送信する公開鍵送信ステップと、
前記情報処理端末が、自身の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信する暗号化情報送信ステップと、
前記管理装置が、前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報に対応する暗号鍵を生成する暗号鍵生成ステップと、
前記管理装置が、該管理装置に備えた記憶部に前記暗号鍵を前記復号情報と共に記憶する暗号鍵記憶ステップと、
前記管理装置が、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信する暗号鍵送信ステップと、
前記情報処理端末が、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて該情報処理端末の記憶部に記憶される所定の情報を暗号化する暗号化ステップと、
からなり、
前記情報処理端末は、前記暗号化情報送信ステップにおいて、前記暗号化情報に、当該情報処理端末に接続されているリムーバブルメディアのデバイス情報を含めて送信し、
前記管理装置は、前記暗号鍵生成ステップにおいて、前記固有の情報および前記デバイス情報を用いて前記暗号鍵を生成することを特徴とする暗号鍵設定方法。 An encryption key setting method for setting an encryption key used when encrypting information stored in a storage unit of an information processing terminal,
The information processing terminal generates a terminal public key for encrypting information and a terminal secret key for decrypting information encrypted with the terminal public key, and sends the terminal public key and encryption key setting request. A request sending step to send to the management device;
When the management device receives the terminal public key and the encryption key setting request, a management public key for encrypting information and a management private key for decrypting information encrypted by the management public key Generating and transmitting the management public key to the information processing terminal;
The information processing terminal generates encrypted information obtained by encrypting its own unique information with the management public key and transmits the encrypted information to the management device; and
The management device generates decryption information by decrypting the encrypted information with the management secret key, and generates an encryption key corresponding to the decryption information; and
An encryption key storage step in which the management device stores the encryption key together with the decryption information in a storage unit provided in the management device;
An encryption key transmission step in which the management device transmits an encryption key encrypted with the terminal public key to the information processing terminal;
The information processing terminal decrypts the encrypted encryption key using the terminal secret key, and encrypts predetermined information stored in the storage unit of the information processing terminal using the decrypted encryption key An encryption step;
Consists of
In the encrypted information transmission step, the information processing terminal transmits the encrypted information including device information of a removable medium connected to the information processing terminal,
The management apparatus, in the encryption key generation step, generates the encryption key using the unique information and the device information.
前記管理装置は、予め、前記第2公開鍵によって暗号化された情報を復号する第2秘密鍵を取り込み、前記暗号鍵設定要求を受信したとき、前記管理用公開鍵に替えて応答情報を送信し、
前記情報処理端末は、前記応答情報を受信したとき、自身の固有の情報を前記第2公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、前記管理装置は、前記第2公開鍵で暗号化した暗号化情報を前記第2秘密鍵で復号して復号情報を生成する請求項1に記載の暗号鍵設定方法。 The information processing terminal takes in a second public key different from the management public key in advance,
The management device takes in a second secret key for decrypting information encrypted with the second public key in advance, and transmits response information instead of the management public key when receiving the encryption key setting request And
When the information processing terminal receives the response information, the information processing terminal generates encrypted information obtained by encrypting its own unique information with the second public key, and transmits the encrypted information to the management device. 2. The encryption key setting method according to claim 1, wherein decryption information is generated by decrypting the encrypted information encrypted with the two public keys with the second secret key.
前記管理装置は、前記暗号解除要求を受信したとき、該情報処理端末に管理用公開鍵を送信し、
前記情報処理端末は、自身の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、
前記管理装置は、前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報で前記管理装置に備えた記憶部を参照し、前記復号情報に対応する暗号鍵を読み出し、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、
前記情報処理端末は、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて暗号化された所定の情報を復号化する請求項1に記載の暗号鍵設定方法。 The information processing terminal sends a descrambling request together with a terminal public key to the management device,
The management device, when receiving the descrambling request, transmits a management public key to the information processing terminal,
The information processing terminal generates encrypted information obtained by encrypting its own unique information with the management public key, and transmits the encrypted information to the management device.
The management apparatus decrypts the encrypted information with the management secret key to generate decryption information, refers to a storage unit provided in the management apparatus with the decryption information, and obtains an encryption key corresponding to the decryption information. Read, send the encryption key encrypted using the terminal public key to the information processing terminal,
The encryption according to claim 1, wherein the information processing terminal decrypts the encrypted encryption key using the terminal private key, and decrypts the predetermined information encrypted using the decrypted encryption key. Key setting method.
前記管理装置は、前記暗号解除要求を受信したとき、該情報処理端末に応答情報を送信し、
前記情報処理端末は、自身の固有の情報を前記第2公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、
前記管理装置は、前記第2公開鍵で暗号化した暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報で前記管理装置に備えた記憶部を参照し、前記復号情報に対応する暗号鍵を読み出し、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、
前記情報処理端末は、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて暗号化された所定の情報を復号化する請求項2に記載の暗号鍵設定方法。 The information processing terminal sends a descrambling request together with a terminal public key to the management device,
When the management device receives the descrambling request, it sends response information to the information processing terminal,
The information processing terminal generates encrypted information obtained by encrypting its own unique information with the second public key, and transmits the encrypted information to the management device.
The management device generates decryption information by decrypting the encrypted information encrypted with the second public key with the management secret key, refers to a storage unit provided in the management device with the decryption information, and Read the encryption key corresponding to the decryption information, send the encryption key encrypted using the terminal public key to the information processing terminal,
The encryption according to claim 2, wherein the information processing terminal decrypts the encrypted encryption key using the terminal private key and decrypts the predetermined information encrypted using the decrypted encryption key. Key setting method.
前記情報処理端末は、情報を暗号化する端末用公開鍵、および当該端末用公開鍵によって暗号化された情報を復号する端末用秘密鍵を生成する端末用鍵生成手段と、
前記端末用公開鍵、および暗号鍵設定要求を前記管理装置に送信する端末送信手段と、を備え、
前記管理装置は、情報を暗号化する管理用公開鍵、および前記管理用公開鍵によって暗号化された情報を復号する管理用秘密鍵を生成する管理用鍵生成手段と、
前記情報処理端末から暗号鍵設定要求を受信したとき、前記管理用公開鍵を送信する管理送信手段と、を備え、
前記端末送信手段は、該情報処理端末の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、
前記管理装置は、前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報に対応する暗号鍵を生成する暗号鍵生成手段と、
前記暗号鍵を前記復号情報と共に記憶する管理記憶手段と、を備え、
前記管理送信手段は、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、
前記情報処理端末は、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて該情報処理端末の記憶手段に記憶される所定の情報を暗号化する鍵設定手段を備え、
前記端末送信手段は、前記暗号化情報に、当該情報処理端末に接続されているリムーバブルメディアのデバイス情報を含めて送信し、
前記暗号鍵生成手段は、前記固有の情報および前記デバイス情報を用いて前記暗号鍵を生成することを特徴とするネットワークシステム。 An information processing terminal comprising a storage means for storing predetermined information, and a network system comprising a management device connected to the information processing terminal,
The information processing terminal includes: a terminal public key for encrypting information; and a terminal key generating unit for generating a terminal private key for decrypting information encrypted with the terminal public key.
Terminal transmission means for transmitting the terminal public key and the encryption key setting request to the management device,
The management device includes a management public key that encrypts information, and a management key generation unit that generates a management private key that decrypts information encrypted with the management public key;
A management transmission means for transmitting the management public key when an encryption key setting request is received from the information processing terminal;
The terminal transmission means generates encrypted information obtained by encrypting information unique to the information processing terminal with the management public key, and transmits the encrypted information to the management device.
The management device decrypts the encrypted information with the management secret key to generate decryption information, and generates an encryption key corresponding to the decryption information;
Management storage means for storing the encryption key together with the decryption information,
The management transmission means transmits an encryption key encrypted using the terminal public key to the information processing terminal,
The information processing terminal decrypts the encrypted encryption key using the terminal secret key, and encrypts predetermined information stored in the storage unit of the information processing terminal using the decrypted encryption key Key setting means,
The terminal transmission means transmits the encryption information including device information of a removable medium connected to the information processing terminal,
The network system characterized in that the encryption key generation means generates the encryption key using the unique information and the device information.
前記管理用鍵生成手段は、予め前記第2公開鍵によって暗号化された情報を復号する第2秘密鍵を取り込み、
前記管理送信手段は、前記暗号鍵設定要求を受信したとき、前記管理用公開鍵に替えて応答情報を送信し、
前記端末送信手段は、前記応答情報を受信したとき、自身の固有の情報を前記第2公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、
前記暗号鍵生成手段は、前記第2公開鍵で暗号化した暗号化情報を前記第2秘密鍵で復号して復号情報を生成する請求項5に記載のネットワークシステム。 The information processing terminal includes a public key fetching unit that fetches a second public key different from the management public key in advance,
The management key generating means takes in a second secret key for decrypting information previously encrypted with the second public key,
The management transmission means, when receiving the encryption key setting request, transmits response information instead of the management public key,
The terminal transmission means, when receiving the response information, generates encrypted information obtained by encrypting its own unique information with the second public key, and transmits the encrypted information to the management device,
6. The network system according to claim 5, wherein the encryption key generation unit generates decryption information by decrypting the encrypted information encrypted with the second public key with the second secret key.
前記管理送信手段は、前記暗号解除要求を受信したとき、該情報処理端末に管理用公開鍵を送信し、
前記端末送信手段は、自身の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、
前記暗号鍵生成手段は、前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報で前記管理記憶手段を参照し、前記復号情報に対応する暗号鍵を読み出し、
前記管理送信手段は、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、
前記鍵設定手段は、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて暗号化された所定の情報を復号化する請求項5に記載のネットワークシステム。 The terminal transmission means transmits a descrambling request together with a terminal public key to the management device,
The management transmission means transmits a management public key to the information processing terminal when receiving the descrambling request,
The terminal transmission means generates encrypted information obtained by encrypting its own unique information with the management public key and transmits the encrypted information to the management device,
The encryption key generating means generates decryption information by decrypting the encrypted information with the management secret key, refers to the management storage means with the decryption information, and reads an encryption key corresponding to the decryption information,
The management transmission means transmits an encryption key encrypted using the terminal public key to the information processing terminal,
The network according to claim 5, wherein the key setting unit decrypts the encrypted encryption key using the terminal secret key, and decrypts predetermined information encrypted using the decrypted encryption key. system.
前記管理送信手段は、前記暗号解除要求を受信したとき、該情報処理端末に応答情報を送信し、
前記端末送信手段は、自身の固有の情報を前記第2公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信し、
前記暗号鍵生成手段は、前記第2公開鍵で暗号化した暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報で前記管理記憶手段を参照し、前記復号情報に対応する暗号鍵を読み出し、
前記管理送信手段は、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、
前記鍵設定手段は、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて暗号化された所定の情報を復号化する請求項6に記載のネットワークシステム。 The terminal transmission means transmits a descrambling request together with a terminal public key to the management device,
The management transmission means transmits response information to the information processing terminal when receiving the descrambling request,
The terminal transmission means generates encrypted information obtained by encrypting its own unique information with the second public key, and transmits the encrypted information to the management device.
The encryption key generation means generates decryption information by decrypting the encrypted information encrypted with the second public key with the management secret key, refers to the management storage means with the decryption information, and Read the encryption key corresponding to
The management transmission means transmits an encryption key encrypted using the terminal public key to the information processing terminal,
The network according to claim 6, wherein the key setting unit decrypts the encrypted encryption key using the terminal secret key, and decrypts predetermined information encrypted using the decrypted encryption key. system.
前記情報処理端末で生成され、情報を暗号化する端末用公開鍵、および暗号鍵設定要求を受信する端末要求受信手段、
情報を暗号化する管理用公開鍵、および前記管理用公開鍵によって暗号化された情報を復号する管理用秘密鍵を生成する管理用鍵生成手段、
前記情報処理端末から暗号鍵設定要求を受信したとき、前記管理用公開鍵を送信する管理送信手段、
前記情報処理端末にて前記管理用公開鍵を用いて暗号化された暗号化情報を受信する暗号化情報受信手段、
前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報に対応する暗号鍵を生成する暗号鍵生成手段、
前記暗号鍵を前記復号情報と共に記憶する管理記憶手段、を備え、
前記管理送信手段は、前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信し、
前記暗号化情報は、前記情報処理端末の固有の情報、および前記情報処理端末に接続されているリムーバブルメディアのデバイス情報、が含まれ、
前記暗号鍵生成手段は、前記固有の情報および前記デバイス情報を用いて前記暗号鍵を生成することを特徴とする管理装置。 A management device connected to an information processing terminal having storage means for storing predetermined information and setting an encryption key for encrypting or decrypting the predetermined information;
A terminal public key that is generated by the information processing terminal and encrypts information, and a terminal request receiving means for receiving an encryption key setting request;
A management public key for encrypting information, and a management key generating means for generating a management private key for decrypting the information encrypted by the management public key;
A management transmission means for transmitting the management public key when an encryption key setting request is received from the information processing terminal;
Encrypted information receiving means for receiving encrypted information encrypted using the management public key in the information processing terminal;
An encryption key generating means for generating decryption information by decrypting the encrypted information with the management secret key, and generating an encryption key corresponding to the decryption information;
Management storage means for storing the encryption key together with the decryption information,
The management transmission means transmits an encryption key encrypted using the terminal public key to the information processing terminal,
The encrypted information includes information specific to the information processing terminal, and device information of a removable medium connected to the information processing terminal,
The management apparatus characterized in that the encryption key generation means generates the encryption key using the unique information and the device information.
情報を暗号化する端末用公開鍵、および前記端末用公開鍵によって暗号化された情報を復号する端末用秘密鍵を生成する端末用鍵生成手段、
前記端末用公開鍵、および暗号鍵設定要求を前記管理装置に送信する端末要求送信手段、
前記管理装置によって生成され、情報を暗号化する管理用公開鍵を受信する管理用公開鍵受信手段、
該情報処理端末の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信する暗号化情報送信手段、
前記管理用公開鍵で暗号化した暗号化情報を復号した復号情報に対応する暗号鍵であって、前記管理装置によって前記端末用公開鍵によって暗号化された暗号鍵を受信する暗号鍵受信手段、
前記暗号化された暗号鍵を前記端末用秘密鍵を用いて復号し、当該復号した暗号鍵を用いて前記記憶手段に記憶される所定の情報を暗号化する鍵設定手段、
を備え、
前記暗号化情報送信手段は、前記暗号化情報に、当該情報処理端末に接続されているリムーバブルメディアのデバイス情報を含めて送信し、
前記暗号鍵は、前記固有の情報および前記デバイス情報を用いて生成されたことを特徴とする情報処理端末。 An information processing terminal provided with storage means for storing predetermined information and connected to a management device,
A terminal public key for encrypting information, and a terminal key generating means for generating a terminal private key for decrypting information encrypted by the terminal public key,
A terminal request transmission means for transmitting the terminal public key and an encryption key setting request to the management device;
A management public key receiving means for receiving a management public key for encrypting information generated by the management device;
Encrypted information transmitting means for generating encrypted information obtained by encrypting unique information of the information processing terminal with the management public key and transmitting the encrypted information to the management device;
An encryption key receiving means for receiving an encryption key corresponding to decryption information obtained by decrypting encrypted information encrypted with the management public key, the encryption key being encrypted by the management device with the terminal public key;
Key setting means for decrypting the encrypted encryption key using the terminal private key and encrypting predetermined information stored in the storage means using the decrypted encryption key;
With
The encrypted information transmitting means transmits the encrypted information including device information of a removable medium connected to the information processing terminal,
The information processing terminal, wherein the encryption key is generated using the unique information and the device information.
前記情報処理端末に、情報を暗号化する端末用公開鍵、端末用秘密鍵を生成させる端末用鍵生成手順と、
前記端末用公開鍵とともに暗号鍵設定要求を、前記管理装置に送信させる端末送信手順と、
前記管理装置に、情報を暗号化する管理用公開鍵、管理用秘密鍵を生成させる管理用鍵生成手順と、
前記情報処理端末に管理用公開鍵を送信させる管理用鍵送信手順と、
前記情報処理端末に、自身の固有の情報を前記管理用公開鍵で暗号化した暗号化情報を生成して前記管理装置に送信させる暗号化情報送信手順と、
前記管理装置に、前記暗号化情報を前記管理用秘密鍵で復号して復号情報を生成し、前記復号情報に対応する暗号鍵を生成させる暗号鍵生成手順と、
該管理装置に備えた記憶部に前記暗号鍵を前記復号情報と共に記憶させる記憶手順と、
前記端末用公開鍵を用いて暗号化した暗号鍵を前記情報処理端末に送信させる暗号鍵送信手順と、
前記情報処理端末に、前記暗号化した暗号鍵を前記端末用秘密鍵を用いて復号させる暗号鍵復号化手順と、
当該復号した暗号鍵を用いて該情報処理端末の記憶部に記憶される所定の情報を暗号化させる暗号化手順と、
を実行させ、
前記暗号化情報送信手順は、前記暗号化情報に、当該情報処理端末に接続されているリムーバブルメディアのデバイス情報を含めて送信させる手順を含み、
前記暗号鍵生成手順は、前記固有の情報および前記デバイス情報を用いて前記暗号鍵を生成させる手順を含むことを特徴とする暗号鍵設定プログラム。 An encryption key setting program that causes the information processing terminal and a management device connected to the information processing terminal to set an encryption key used when encrypting information stored in a storage unit of the information processing terminal,
A terminal key generation procedure for causing the information processing terminal to generate a terminal public key for encrypting information and a terminal secret key;
A terminal transmission procedure for causing the management apparatus to transmit an encryption key setting request together with the terminal public key;
A management key generation procedure for causing the management device to generate a management public key for encrypting information and a management secret key;
A management key transmission procedure for causing the information processing terminal to transmit a management public key;
An encrypted information transmission procedure for causing the information processing terminal to generate encrypted information obtained by encrypting its own unique information with the management public key and transmitting the encrypted information to the management device;
An encryption key generation procedure for causing the management device to generate the decryption information by decrypting the encryption information with the management secret key, and to generate an encryption key corresponding to the decryption information;
A storage procedure for storing the encryption key together with the decryption information in a storage unit provided in the management device;
An encryption key transmission procedure for causing the information processing terminal to transmit an encryption key encrypted using the terminal public key;
An encryption key decryption procedure for causing the information processing terminal to decrypt the encrypted encryption key using the terminal private key;
An encryption procedure for encrypting predetermined information stored in the storage unit of the information processing terminal using the decrypted encryption key;
And execute
The encrypted information transmission procedure includes a procedure for transmitting the encrypted information including device information of a removable medium connected to the information processing terminal,
The encryption key generation program includes a procedure for generating the encryption key using the unique information and the device information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012109491A JP5320484B2 (en) | 2012-05-11 | 2012-05-11 | Encryption key setting method, network system, management apparatus, information processing terminal, and encryption key setting program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012109491A JP5320484B2 (en) | 2012-05-11 | 2012-05-11 | Encryption key setting method, network system, management apparatus, information processing terminal, and encryption key setting program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006030994A Division JP5054317B2 (en) | 2006-02-08 | 2006-02-08 | Encryption key setting method, network system, management apparatus, information processing terminal, and encryption key setting program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012147506A true JP2012147506A (en) | 2012-08-02 |
JP5320484B2 JP5320484B2 (en) | 2013-10-23 |
Family
ID=46790505
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012109491A Active JP5320484B2 (en) | 2012-05-11 | 2012-05-11 | Encryption key setting method, network system, management apparatus, information processing terminal, and encryption key setting program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5320484B2 (en) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09179768A (en) * | 1995-12-21 | 1997-07-11 | Olympus Optical Co Ltd | File ciphering system and file deciphering system |
JPH11346209A (en) * | 1998-06-02 | 1999-12-14 | Toshiba Corp | Enciphering system in network computing system and cryptographic key management method in the same system and storage medium |
JP2001351323A (en) * | 2000-04-04 | 2001-12-21 | Sony Corp | Information recorder, information reproducer, information recording method, information reproducing method and program providing medium |
JP2002185444A (en) * | 2000-12-14 | 2002-06-28 | Fuji Xerox Co Ltd | Network system |
JP2002353954A (en) * | 2001-05-25 | 2002-12-06 | Nippon Shinpan Co Ltd | System and method of communication |
JP2004208184A (en) * | 2002-12-26 | 2004-07-22 | Matsushita Electric Ind Co Ltd | Secret key management device, secret key management method, and secret key management program |
JP2005051614A (en) * | 2003-07-30 | 2005-02-24 | Mitsui Sumitomo Insurance Co Ltd | Information management system, key distribution server, information management method, and program |
JP2006018545A (en) * | 2004-07-01 | 2006-01-19 | Fdk Corp | Usb module |
-
2012
- 2012-05-11 JP JP2012109491A patent/JP5320484B2/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09179768A (en) * | 1995-12-21 | 1997-07-11 | Olympus Optical Co Ltd | File ciphering system and file deciphering system |
JPH11346209A (en) * | 1998-06-02 | 1999-12-14 | Toshiba Corp | Enciphering system in network computing system and cryptographic key management method in the same system and storage medium |
JP2001351323A (en) * | 2000-04-04 | 2001-12-21 | Sony Corp | Information recorder, information reproducer, information recording method, information reproducing method and program providing medium |
JP2002185444A (en) * | 2000-12-14 | 2002-06-28 | Fuji Xerox Co Ltd | Network system |
JP2002353954A (en) * | 2001-05-25 | 2002-12-06 | Nippon Shinpan Co Ltd | System and method of communication |
JP2004208184A (en) * | 2002-12-26 | 2004-07-22 | Matsushita Electric Ind Co Ltd | Secret key management device, secret key management method, and secret key management program |
JP2005051614A (en) * | 2003-07-30 | 2005-02-24 | Mitsui Sumitomo Insurance Co Ltd | Information management system, key distribution server, information management method, and program |
JP2006018545A (en) * | 2004-07-01 | 2006-01-19 | Fdk Corp | Usb module |
Also Published As
Publication number | Publication date |
---|---|
JP5320484B2 (en) | 2013-10-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104144049B (en) | A kind of encryption communication method, system and device | |
US9246678B2 (en) | Secure cloud storage and encryption management system | |
KR101891420B1 (en) | Content protection for data as a service (daas) | |
EP3565210B1 (en) | Method, relevant device and system for processing network key | |
US8984295B2 (en) | Secure access to electronic devices | |
CN106411504B (en) | Data encryption system, method and device | |
WO2020224171A1 (en) | Data security apparatus and method, electronic device, and storage medium | |
CN105993146A (en) | Secure session capability using public-key cryptography without access to the private key | |
EP3537652A1 (en) | Method for securely controlling smart home appliance and terminal device | |
KR20120051344A (en) | Portable integrated security memory device and service processing apparatus and method using the same | |
JP5054317B2 (en) | Encryption key setting method, network system, management apparatus, information processing terminal, and encryption key setting program | |
EP3720042B1 (en) | Method and device for determining trust state of tpm, and storage medium | |
CN114024711A (en) | Data transmission method and device and computer readable storage medium | |
CN111585998B (en) | Audit data secure transmission method and system | |
CN110495153A (en) | The encryption data in the state of pre-association | |
US20140115322A1 (en) | Method, apparatus and system for performing proxy transformation | |
WO2017141468A1 (en) | Identification information transfer system and identification information decryption method | |
JP6348273B2 (en) | Information processing system | |
WO2016078382A1 (en) | Hsm enciphered message synchronization implementation method, apparatus and system | |
JP5320484B2 (en) | Encryption key setting method, network system, management apparatus, information processing terminal, and encryption key setting program | |
JP4222132B2 (en) | Software providing method and system | |
KR102512871B1 (en) | Centralized private key management method for multiple user devices related to a single public key | |
KR20190007336A (en) | Method and apparatus for generating end-to-end security channel, and method and apparatus for transmitting/receiving secure information using security channel | |
CN109543367B (en) | Quantum encryption-based software authorization method and device and storage medium | |
JP6800165B2 (en) | Cryptography method and encryption system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120511 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130702 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130712 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5320484 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |