JP2015162785A - Data utilization apparatus, encryption data distribution system, data utilization method, encryption data distribution method, and program - Google Patents

Data utilization apparatus, encryption data distribution system, data utilization method, encryption data distribution method, and program Download PDF

Info

Publication number
JP2015162785A
JP2015162785A JP2014036542A JP2014036542A JP2015162785A JP 2015162785 A JP2015162785 A JP 2015162785A JP 2014036542 A JP2014036542 A JP 2014036542A JP 2014036542 A JP2014036542 A JP 2014036542A JP 2015162785 A JP2015162785 A JP 2015162785A
Authority
JP
Japan
Prior art keywords
encrypted data
key
control unit
decryption key
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014036542A
Other languages
Japanese (ja)
Other versions
JP5877215B2 (en
Inventor
真紀子 青柳
Makiko Aoyanagi
真紀子 青柳
知加良 盛
Shigeru Chikara
盛 知加良
広明 伊坂
Hiroaki Isaka
広明 伊坂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014036542A priority Critical patent/JP5877215B2/en
Publication of JP2015162785A publication Critical patent/JP2015162785A/en
Application granted granted Critical
Publication of JP5877215B2 publication Critical patent/JP5877215B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a data utilization apparatus capable of appropriately operate key information following attribute information that may change with time.SOLUTION: A data utilization apparatus includes: an encryption data control unit that transmits an encryption data request, receives attribute information, encryption data including a decryption condition, and identification information for the encryption data, outputs a decryption key acquisition request, and acquires a decryption key to decrypt the encryption data including the decryption condition; a key control unit that searches for a decryption key, outputs an effective decryption key in the case that the effective decryption key exists, transmits a key generation request in the case that no effective decryption key exists, and receives a decryption key to output the received decryption key; and an attribute control unit that searches for attribute information when having received an attribute information acquisition request, transmits effective attribute information in the case that the effective attribute information exists, and externally receives updated attribute information to transmit the received attribute information in the case that no effective attribute information exists.

Description

本発明は、暗号化されたデータを復号して利用するデータ利用装置、暗号化されたデータを流通する暗号化データ流通システム、データ利用方法、暗号化データ流通方法、プログラムに関する。   The present invention relates to a data utilization apparatus that decrypts and uses encrypted data, an encrypted data distribution system that distributes encrypted data, a data utilization method, an encrypted data distribution method, and a program.

例えば、モバイル端末向けの情報システムにおいて、データの閲覧やアプリケーションの起動といったモバイル端末の機能を制御する際、モバイル端末が利用される環境に応じて、これらの機能を自律的に制御することが要求される場合がある。この場合、モバイル端末(ユーザ)の周囲環境に関する情報(例えば位置情報やセンサ情報)を属性情報として利用することができる。このように取得される属性情報は、時間と共に変化していく可能性がある。属性情報を利用するアプリケーションの例として、接続先IPアドレスの利用により端末の所在を確認するIPサイマルラジオなどが存在する。属性情報を利用するアプリケーションにおいて属性情報を取得する方法等について、非特許文献1に開示されている。   For example, in an information system for a mobile terminal, when controlling functions of the mobile terminal such as data browsing or application activation, it is required to control these functions autonomously according to the environment in which the mobile terminal is used. May be. In this case, information (for example, position information and sensor information) related to the surrounding environment of the mobile terminal (user) can be used as attribute information. The attribute information acquired in this way may change with time. As an example of an application that uses attribute information, there is an IP simulcast radio that confirms the location of a terminal by using a connection destination IP address. Non-Patent Document 1 discloses a method for acquiring attribute information in an application that uses attribute information.

佐藤亮太、知加良盛、奥田哲矢、栢口茂、「スマートフォンにおける利用環境に応じた機能制御機構の実装と評価」、電子情報通信学会技術研究報告、一般社団法人電子情報通信学会、平成25年 2月、第112巻、第466(LOIS2012 69-107)号、pp.203―208Ryota Sato, Yoshimori Chika, Tetsuya Okuda, Shigeru Higuchi, "Implementation and Evaluation of Functional Control Mechanisms for Smartphones in Use Environment", IEICE Technical Report, IEICE, 2013 February, 112, 466 (LOIS2012 69-107), pp. 203-208

非特許文献1には、属性情報を取得する方法については開示されているが、属性情報の管理方法などについては整理されていない。位置情報やセンサ情報は状況により動的に変化する可能性があるため、一度取得した情報を属性情報としてどう扱うかを管理する必要がある。例えば、このように取得した属性情報のキャッシュ/有効期間/更新間隔をどのように管理するかが問題となる。また、取得した属性情報に基づいて鍵生成を行う場合、動的に変化する可能性がある属性情報に追従して鍵情報を適切に運用する必要がある。属性情報としてとりうる条件は多数想定されるため、複数の条件への対応が必要である。   Non-Patent Document 1 discloses a method for acquiring attribute information, but does not organize a method for managing attribute information. Since position information and sensor information may change dynamically depending on the situation, it is necessary to manage how information once acquired is treated as attribute information. For example, the problem is how to manage the cache / valid period / update interval of the attribute information acquired in this way. Further, when key generation is performed based on the acquired attribute information, it is necessary to appropriately operate the key information following attribute information that may change dynamically. Since many conditions that can be taken as attribute information are assumed, it is necessary to deal with a plurality of conditions.

そこで、本発明では、時間と共に変化する可能性のある属性情報に追従して鍵情報を適切に運用することができるデータ利用装置を提供することを目的とする。   Therefore, an object of the present invention is to provide a data utilization apparatus that can appropriately operate key information following attribute information that may change with time.

本発明のデータ利用装置は、暗号化データ制御部と、鍵制御部を含む。   The data utilization apparatus of the present invention includes an encrypted data control unit and a key control unit.

暗号化データ制御部は、暗号化データ要求を暗号化データ送信装置に送信し、暗号化データ送信装置から暗号化データと、当該暗号化データの識別情報とを受信し、復号鍵取得要求を鍵制御部に出力し、鍵制御部から復号鍵を取得して、暗号化データを復号する。   The encrypted data control unit transmits the encrypted data request to the encrypted data transmitting device, receives the encrypted data and the identification information of the encrypted data from the encrypted data transmitting device, and receives the decryption key acquisition request as a key. Output to the control unit, obtain the decryption key from the key control unit, and decrypt the encrypted data.

鍵制御部は、復号鍵取得要求を受信した場合に対応する復号鍵を検索して、該当する復号鍵がある場合には、該当する復号鍵を暗号化データ制御部に出力し、それ以外の場合には時間と共に変化する可能性のある情報である属性情報と、暗号化データの識別情報を組にして、組にした情報を鍵生成要求として鍵生成装置に送信し、鍵生成装置から復号鍵を受信して、受信した復号鍵を暗号化データ制御部に出力する。   The key control unit searches for a corresponding decryption key when receiving a decryption key acquisition request, and if there is a corresponding decryption key, outputs the corresponding decryption key to the encrypted data control unit. In some cases, attribute information, which may change with time, and encrypted data identification information are paired, and the paired information is sent to the key generation device as a key generation request and decrypted from the key generation device. The key is received, and the received decryption key is output to the encrypted data control unit.

本発明のデータ利用装置によれば、時間と共に変化する可能性のある属性情報に追従して鍵情報を適切に運用することができる。   According to the data utilization device of the present invention, key information can be appropriately operated following attribute information that may change over time.

実施例1の暗号化データ流通システムの装置構成を示すブロック図。1 is a block diagram illustrating a device configuration of an encrypted data distribution system according to a first embodiment. 実施例1のデータ利用装置が実行するデータ利用方法の各動作を示すフローチャート。5 is a flowchart showing each operation of a data utilization method executed by the data utilization apparatus according to the first embodiment. 実施例1の暗号化データ流通システムに含まれる各装置の詳細を示すブロック図。FIG. 3 is a block diagram illustrating details of each device included in the encrypted data distribution system according to the first embodiment. 実施例1のデータ利用装置に含まれる各構成の詳細を示すブロック図。FIG. 3 is a block diagram showing details of each configuration included in the data utilization device of the first embodiment. 実施例1のデータ利用装置、暗号化データ送信装置、鍵生成装置に含まれる各構成の詳細を示すブロック図。FIG. 3 is a block diagram illustrating details of each component included in the data use device, the encrypted data transmission device, and the key generation device according to the first embodiment. 実施例1の暗号化データ流通システムの動作の一部を示す第1のシーケンス図。FIG. 4 is a first sequence diagram illustrating a part of the operation of the encrypted data distribution system according to the first embodiment. 実施例1の暗号化データ流通システムの動作の一部を示す第2のシーケンス図。FIG. 5 is a second sequence diagram illustrating a part of the operation of the encrypted data distribution system according to the first embodiment. 実施例1の暗号化データ流通システムの動作の一部を示す第3のシーケンス図。FIG. 9 is a third sequence diagram illustrating a part of the operation of the encrypted data distribution system according to the first embodiment. 実施例1の暗号化データ流通システムの属性情報および復号鍵の更新動作を示す第4のシーケンス図。FIG. 10 is a fourth sequence diagram illustrating an update operation of attribute information and a decryption key of the encrypted data distribution system according to the first embodiment.

以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。   Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.

以下、図1を参照して実施例1の暗号化データ流通システムに含まれる各装置の概略について説明する。図1は、本実施例の暗号化データ流通システム1000の装置構成を示すブロック図である。図1に示すように、本実施例の暗号化データ流通システム1000は、データ利用装置1と、暗号化データ送信装置2と、属性提供装置3と、鍵生成装置4を含む。データ利用装置1と、暗号化データ送信装置2と、属性提供装置3と、鍵生成装置4は、ネットワーク9を介し、無線または有線で通信可能に接続されているものとする。なお、属性提供装置3は場合により省略可能である。データ利用装置1は、暗号化データ制御部11と、鍵制御部12と、属性制御部13を含む。   The outline of each device included in the encrypted data distribution system of the first embodiment will be described below with reference to FIG. FIG. 1 is a block diagram showing a device configuration of an encrypted data distribution system 1000 according to the present embodiment. As illustrated in FIG. 1, the encrypted data distribution system 1000 according to the present exemplary embodiment includes a data utilization device 1, an encrypted data transmission device 2, an attribute providing device 3, and a key generation device 4. It is assumed that the data use device 1, the encrypted data transmission device 2, the attribute providing device 3, and the key generation device 4 are connected to be communicable wirelessly or wired via the network 9. The attribute providing device 3 can be omitted depending on circumstances. The data utilization device 1 includes an encrypted data control unit 11, a key control unit 12, and an attribute control unit 13.

以下、データ利用装置1の動作について説明する。暗号化データ制御部11は、暗号化データ要求を暗号化データ送信装置2に送信し、暗号化データ送信装置2から時間と共に変化する可能性のある情報である属性情報と、復号条件を含む暗号化データと、当該暗号化データの識別情報とを受信し、復号鍵取得要求を鍵制御部12に出力し、鍵制御部12から復号鍵を取得して、復号条件を含む暗号化データを復号する。鍵制御部12は、復号鍵取得要求を受信した場合に対応する復号鍵を検索して、該当する復号鍵がある場合には、該当する復号鍵を暗号化データ制御部11に出力する。鍵制御部12は、それ以外の場合で、復号鍵取得要求に属性情報が含まれていた場合には、取得した属性情報を用い、復号鍵取得要求に属性情報が含まれていなかった場合には属性制御部13から属性情報を取得して、取得した属性情報を用い、属性情報と暗号化データの識別情報の組を鍵生成要求として鍵生成装置4に送信し、鍵生成装置4から復号鍵を受信して、受信した復号鍵を暗号化データ制御部11に出力する。属性制御部13は、暗号化データ送信装置2から属性情報取得要求を受信した場合に属性情報を検索して、有効な属性情報がある場合には、有効な属性情報を暗号化データ送信装置2に送信し、それ以外の場合には外部(属性提供装置3が存在する場合には、属性提供装置3)から最新の属性情報を受信して、受信した属性情報を暗号化データ送信装置2に送信する。   Hereinafter, the operation of the data utilization device 1 will be described. The encrypted data control unit 11 transmits an encrypted data request to the encrypted data transmission device 2, and includes encryption information including attribute information that is information that may change with time from the encrypted data transmission device 2 and a decryption condition. The encrypted data and the identification information of the encrypted data are received, the decryption key acquisition request is output to the key control unit 12, the decryption key is acquired from the key control unit 12, and the encrypted data including the decryption condition is decrypted To do. The key control unit 12 searches for the decryption key corresponding to the reception of the decryption key acquisition request, and outputs the corresponding decryption key to the encrypted data control unit 11 when there is a corresponding decryption key. In other cases, if the attribute information is included in the decryption key acquisition request, the key control unit 12 uses the acquired attribute information, and if the attribute information is not included in the decryption key acquisition request. Acquires attribute information from the attribute control unit 13, uses the acquired attribute information, transmits a set of attribute information and identification information of encrypted data to the key generation device 4 as a key generation request, and decrypts from the key generation device 4 The key is received, and the received decryption key is output to the encrypted data control unit 11. The attribute control unit 13 searches the attribute information when receiving an attribute information acquisition request from the encrypted data transmission device 2. If there is valid attribute information, the attribute control unit 13 determines the valid attribute information. In other cases, the latest attribute information is received from the outside (the attribute providing device 3 if the attribute providing device 3 exists), and the received attribute information is sent to the encrypted data transmitting device 2. Send.

以上に説明したデータ利用装置1の動作を、図2のフローチャートを参照して時系列に従って再度説明する。図2は、本実施例のデータ利用装置1が実行するデータ利用方法の各動作を示すフローチャートである。図2に示すように、まず暗号化データ制御部11は、暗号化データ要求を暗号化データ送信装置2に送信する(S11a)。次に、属性制御部13は、暗号化データ送信装置2から属性情報取得要求を受信した場合に時間と共に変化する可能性のある情報である属性情報を検索して、有効な属性情報がある場合には、有効な属性情報を暗号化データ送信装置2に送信し、それ以外の場合には外部から最新の属性情報を受信して、受信した属性情報を暗号化データ送信装置2に送信する(S13)。次に、暗号化データ制御部11は、暗号化データ送信装置2から属性情報と、復号条件を含む暗号化データと、当該暗号化データの識別情報とを受信し、復号鍵取得要求を鍵制御部12に出力する(S11b)。次に、鍵制御部12は、復号鍵取得要求を受信した場合に、復号条件を含む暗号化データに対応する復号鍵を検索して、該当する復号鍵がある場合には、当該復号鍵を暗号化データ制御部11に出力する(S12)。鍵制御部12は、それ以外の場合で、復号鍵取得要求に属性情報が含まれていた場合には、取得した属性情報を用い、復号鍵取得要求に属性情報が含まれていなかった場合には属性制御部13から属性情報を取得して、取得した属性情報を用い、属性情報と暗号化データの識別情報の組を鍵生成要求として鍵生成装置4に送信し、鍵生成装置4から復号鍵を受信して、受信した復号鍵を暗号化データ制御部11に出力する(S12)。次に、暗号化データ制御部11は、鍵制御部12から復号鍵を取得して、復号条件を含む暗号化データを復号する(S11c)。   The operation of the data utilization apparatus 1 described above will be described again in time series with reference to the flowchart of FIG. FIG. 2 is a flowchart showing each operation of the data utilization method executed by the data utilization apparatus 1 of this embodiment. As shown in FIG. 2, first, the encrypted data control unit 11 transmits an encrypted data request to the encrypted data transmission device 2 (S11a). Next, the attribute control unit 13 searches for attribute information that is information that may change with time when an attribute information acquisition request is received from the encrypted data transmission device 2, and there is valid attribute information. In this case, valid attribute information is transmitted to the encrypted data transmitting apparatus 2, otherwise the latest attribute information is received from the outside, and the received attribute information is transmitted to the encrypted data transmitting apparatus 2 ( S13). Next, the encrypted data control unit 11 receives the attribute information, the encrypted data including the decryption condition, and the identification information of the encrypted data from the encrypted data transmitting apparatus 2, and controls the decryption key acquisition request. The data is output to the unit 12 (S11b). Next, when the decryption key acquisition request is received, the key control unit 12 searches for a decryption key corresponding to the encrypted data including the decryption condition. The data is output to the encrypted data control unit 11 (S12). In other cases, if the attribute information is included in the decryption key acquisition request, the key control unit 12 uses the acquired attribute information, and if the attribute information is not included in the decryption key acquisition request. Acquires attribute information from the attribute control unit 13, uses the acquired attribute information, transmits a set of attribute information and identification information of encrypted data to the key generation device 4 as a key generation request, and decrypts from the key generation device 4 The key is received, and the received decryption key is output to the encrypted data control unit 11 (S12). Next, the encrypted data control unit 11 acquires a decryption key from the key control unit 12 and decrypts the encrypted data including the decryption condition (S11c).

次に、図3を参照して、本実施例の暗号化データ流通システム1000を構成する各装置の各構成について詳しく説明する。図3は、本実施例の暗号化データ流通システム1000に含まれる各装置の詳細を示すブロック図である。なお、以下では、属性提供装置3を外部装置として説明を続けるが、前述したように属性提供装置3は必須ではなく、属性提供機能としてデータ利用装置1内に存在してもよく、最新の属性情報を提供する手段が内部機能あるいは外部装置として1つ以上存在すればよい。図3に示すように、データ利用装置1の暗号化データ制御部11は、暗号化データ要求部111と、暗号化データ取得部112と、暗号化データ復号部113を含む。鍵制御部12は、鍵取得部121と、鍵管理部122を含む。属性制御部13は、属性取得部131と、属性管理部132を含む。暗号化データ送信装置2は、暗号化データ送信部21と、属性要求部22を含む。属性提供装置3は、属性情報送信部31を含む。鍵生成装置4は、鍵生成部41を含む。   Next, with reference to FIG. 3, each structure of each apparatus which comprises the encryption data distribution system 1000 of a present Example is demonstrated in detail. FIG. 3 is a block diagram showing details of each device included in the encrypted data distribution system 1000 of this embodiment. In the following description, the attribute providing device 3 will be described as an external device. However, as described above, the attribute providing device 3 is not essential and may exist in the data using device 1 as an attribute providing function. It is sufficient that at least one means for providing information exists as an internal function or an external device. As illustrated in FIG. 3, the encrypted data control unit 11 of the data utilization device 1 includes an encrypted data request unit 111, an encrypted data acquisition unit 112, and an encrypted data decryption unit 113. The key control unit 12 includes a key acquisition unit 121 and a key management unit 122. The attribute control unit 13 includes an attribute acquisition unit 131 and an attribute management unit 132. The encrypted data transmission device 2 includes an encrypted data transmission unit 21 and an attribute request unit 22. The attribute providing device 3 includes an attribute information transmission unit 31. The key generation device 4 includes a key generation unit 41.

次に、図4、図5を参照して、各構成要件の細部について説明する。図4は、本実施例のデータ利用装置1に含まれる各構成の詳細を示すブロック図である。図5は、本実施例のデータ利用装置1、暗号化データ送信装置2、鍵生成装置4に含まれる各構成の詳細を示すブロック図である。図4に示すように、本実施例の暗号化データ復号部113は、第1復号鍵取得要求部113aと、復号部113bと、復号可否判定部113cを含む。鍵取得部121は、復号鍵出力部121aと、復号鍵検索部121bと、第1属性情報取得要求部121cと、第1鍵生成要求部121dと、第1鍵格納要求部121eと、第2鍵生成要求部121fと、第2鍵格納要求部121gを含む。鍵管理部122は、鍵検索結果通知部122aと、第1鍵格納結果通知部122bと、第1属性情報更新部122cと、保持期間更新部122dと、第2復号鍵取得要求部122eと、第2鍵格納結果通知部122fと、鍵格納部122gを含む。鍵格納部122gには、後述する属性情報と復号鍵が格納されている。属性情報は有効期限情報と共に格納されており、復号鍵は後述する保持期間と共に格納されている。有効期限を超過した属性情報、保持期間を超過した復号鍵は鍵格納部122gから削除される。属性取得部131は、属性情報検索部131aと、第2属性情報取得要求部131bと、属性情報格納要求部131cと、属性送信部131dを含む。   Next, details of each component will be described with reference to FIGS. FIG. 4 is a block diagram showing details of each component included in the data utilization device 1 of this embodiment. FIG. 5 is a block diagram illustrating details of each component included in the data use device 1, the encrypted data transmission device 2, and the key generation device 4 of the present embodiment. As shown in FIG. 4, the encrypted data decryption unit 113 of this embodiment includes a first decryption key acquisition request unit 113a, a decryption unit 113b, and a decryption permission / inhibition determination unit 113c. The key acquisition unit 121 includes a decryption key output unit 121a, a decryption key search unit 121b, a first attribute information acquisition request unit 121c, a first key generation request unit 121d, a first key storage request unit 121e, and a second It includes a key generation request unit 121f and a second key storage request unit 121g. The key management unit 122 includes a key search result notification unit 122a, a first key storage result notification unit 122b, a first attribute information update unit 122c, a retention period update unit 122d, a second decryption key acquisition request unit 122e, A second key storage result notifying unit 122f and a key storage unit 122g are included. The key storage unit 122g stores attribute information and a decryption key, which will be described later. The attribute information is stored together with the expiration date information, and the decryption key is stored together with a retention period described later. The attribute information that has expired and the decryption key that has exceeded the retention period are deleted from the key storage unit 122g. The attribute acquisition unit 131 includes an attribute information search unit 131a, a second attribute information acquisition request unit 131b, an attribute information storage request unit 131c, and an attribute transmission unit 131d.

図5に示すように、属性管理部132は、属性検索結果通知部132aと、属性格納結果通知部132bと、第1属性出力部132cと、第2属性情報更新部132dと、第2属性出力部132eと、属性情報格納部132fを含む。属性情報格納部132fには、後述する属性情報が有効期限情報と共に格納されている。有効期限を超過した属性情報は属性情報格納部132fから削除される。   As shown in FIG. 5, the attribute management unit 132 includes an attribute search result notification unit 132a, an attribute storage result notification unit 132b, a first attribute output unit 132c, a second attribute information update unit 132d, and a second attribute output. Part 132e and attribute information storage part 132f. The attribute information storage unit 132f stores attribute information, which will be described later, together with expiration date information. The attribute information that has expired is deleted from the attribute information storage unit 132f.

暗号化データ送信装置2の暗号化データ送信部21は、第3属性情報取得要求部21aと、データ送信部21bを含む。属性要求部22は、暗号化データ出力部22aと、第4属性情報取得要求部22bを含む。鍵生成装置4の鍵生成部41は、第1復号鍵生成部41aと、第1復号鍵送信部41bと、第2復号鍵生成部41cと、第2復号鍵送信部41dを含む。   The encrypted data transmission unit 21 of the encrypted data transmission device 2 includes a third attribute information acquisition request unit 21a and a data transmission unit 21b. The attribute request unit 22 includes an encrypted data output unit 22a and a fourth attribute information acquisition request unit 22b. The key generation unit 41 of the key generation device 4 includes a first decryption key generation unit 41a, a first decryption key transmission unit 41b, a second decryption key generation unit 41c, and a second decryption key transmission unit 41d.

以下、図6を参照して、本実施例の暗号化データ流通システム1000の動作の一部である第1のシーケンスについて説明する。図6は、本実施例の暗号化データ流通システム1000の動作の一部を示す第1のシーケンス図である。第1のシーケンス図には、本実施例の暗号化データ流通システム1000の動作の全体が記載されているが、途中に含まれる第2シーケンス図、第3シーケンス図に示される動作の詳細については省略してある。なお図中、第1のシーケンス図は「シーケンス(1)」と表され、第2のシーケンス図は「シーケンス(2)」と表され、第3のシーケンス図は「シーケンス(3)」と表される。シーケンス図中の「ref」を付したボックスは、当該ボックス内に示された他のシーケンス図を参照すべきことを示す記号である。また、図中の「alt」を付したボックスは、条件分岐によりボックス内の点線で仕切られた何れかの動作を実行することを示す記号である。   Hereinafter, the first sequence which is a part of the operation of the encrypted data distribution system 1000 according to the present embodiment will be described with reference to FIG. FIG. 6 is a first sequence diagram illustrating a part of the operation of the encrypted data distribution system 1000 according to the present embodiment. In the first sequence diagram, the entire operation of the encrypted data distribution system 1000 of the present embodiment is described, but the details of the operations shown in the second sequence diagram and the third sequence diagram included in the middle are described. It is omitted. In the figure, the first sequence diagram is represented as “sequence (1)”, the second sequence diagram is represented as “sequence (2)”, and the third sequence diagram is represented as “sequence (3)”. Is done. A box with “ref” in a sequence diagram is a symbol indicating that another sequence diagram shown in the box should be referred to. A box with “alt” in the figure is a symbol indicating that any operation divided by a dotted line in the box is executed by a conditional branch.

図6に示すように、まず、暗号化データ要求部111は、暗号化データ要求を暗号化データ送信装置2に送信する(S111)。暗号化データ送信装置2の暗号化データ送信部21の第3属性情報取得要求部21aは、暗号化データ要求を受信した場合に、属性要求部22に属性情報取得要求を送信する(S21a)。属性要求部22は、時間と共に変化する可能性のある情報である属性情報を取得、または受信する(後述する第2のシーケンス)。属性要求部22の暗号化データ出力部22aは取得、または受信した属性情報と、復号条件を含む暗号化データを出力する(S22a)。暗号化データ送信部21のデータ送信部21bは、属性情報と、復号条件を含む暗号化データと、当該暗号化データの識別情報とを暗号化データ制御部11に送信する(S21b)。   As illustrated in FIG. 6, first, the encrypted data request unit 111 transmits an encrypted data request to the encrypted data transmission device 2 (S111). When receiving the encrypted data request, the third attribute information acquisition request unit 21a of the encrypted data transmission unit 21 of the encrypted data transmission device 2 transmits an attribute information acquisition request to the attribute request unit 22 (S21a). The attribute request unit 22 acquires or receives attribute information that is information that may change with time (second sequence described later). The encrypted data output unit 22a of the attribute request unit 22 outputs the acquired or received attribute information and encrypted data including the decryption condition (S22a). The data transmission unit 21b of the encrypted data transmission unit 21 transmits the attribute information, the encrypted data including the decryption condition, and the identification information of the encrypted data to the encrypted data control unit 11 (S21b).

暗号化データ制御部11の暗号化データ取得部112は、暗号化データ送信装置2から属性情報と、復号条件を含む暗号化データと、当該暗号化データの識別情報とを受信し、復号要求を出力する(S112)。暗号化データ復号部113の第1復号鍵取得要求部113aは、復号要求を取得して復号鍵取得要求を鍵制御部12に出力する(S113a)。復号可否判定部113cは復号鍵取得要求(S113a)を実行する前に、取得した属性情報と暗号化データに含まれる復号条件を照合して当該暗号化データの復号可否を判定してもよい。復号可否判定の結果、復号不可となった場合には、復号可否判定部113cは、暗号化データ取得部112に復号不可の結果を返して終了する。鍵制御部12の鍵取得部121は、復号鍵取得要求を受信した場合に、復号鍵を取得、または受信する(後述する第3のシーケンス)。次に、鍵取得部121の復号鍵出力部121aは、取得、または受信した復号鍵を暗号化データ制御部11に出力する(S121a)。次に、暗号化データ制御部11の暗号化データ復号部113の復号部113bは、鍵制御部12から復号鍵を取得して、復号条件を含む暗号化データを復号する(S113b)。以上が第1のシーケンスである。   The encrypted data acquisition unit 112 of the encrypted data control unit 11 receives the attribute information, the encrypted data including the decryption conditions, and the identification information of the encrypted data from the encrypted data transmission device 2, and receives the decryption request. Output (S112). The first decryption key acquisition request unit 113a of the encrypted data decryption unit 113 acquires the decryption request and outputs the decryption key acquisition request to the key control unit 12 (S113a). Before executing the decryption key acquisition request (S113a), the decryptability determination unit 113c may determine whether the encrypted data can be decrypted by comparing the acquired attribute information with the decryption conditions included in the encrypted data. As a result of the determination as to whether or not decryption is possible, the decryption permission / inhibition determination unit 113c returns a result indicating that the decryption is impossible to the encrypted data acquisition unit 112 and ends. When the key acquisition unit 121 of the key control unit 12 receives the decryption key acquisition request, the key acquisition unit 121 acquires or receives the decryption key (a third sequence described later). Next, the decryption key output unit 121a of the key acquisition unit 121 outputs the acquired or received decryption key to the encrypted data control unit 11 (S121a). Next, the decryption unit 113b of the encrypted data decryption unit 113 of the encrypted data control unit 11 acquires the decryption key from the key control unit 12, and decrypts the encrypted data including the decryption conditions (S113b). The above is the first sequence.

次に、図7を参照して、本実施例の暗号化データ流通システム1000の動作の一部である第2のシーケンスについて説明する。図7は、本実施例の暗号化データ流通システム1000の動作の一部を示す第2のシーケンス図である。   Next, a second sequence that is a part of the operation of the encrypted data distribution system 1000 of this embodiment will be described with reference to FIG. FIG. 7 is a second sequence diagram illustrating a part of the operation of the encrypted data distribution system 1000 according to the present embodiment.

第2のシーケンス図は、第1のシーケンス図におけるステップS21aの実行後からスタートする。図7に示すように、属性要求部22の第4属性情報取得要求部22bは、属性制御部13に属性情報取得要求を送信する(S22b)。属性制御部13の属性取得部131の属性情報検索部131aは、属性情報取得要求を受信した場合に、属性管理部132に属性情報検索要求を出力する(S131a)。属性管理部132の属性検索結果通知部132aは、属性情報検索要求を取得して、属性情報格納部132f内の属性情報を検索し、属性情報の検索結果を通知する(S132a)。有効な(有効期限を超過していない)属性情報がある場合には(図中[検索結果:属性情報有り])、属性取得部131の属性送信部131dは、その有効な属性情報を暗号化データ送信装置2に送信する(S131d)。   The second sequence diagram starts after execution of step S21a in the first sequence diagram. As shown in FIG. 7, the fourth attribute information acquisition request unit 22b of the attribute request unit 22 transmits an attribute information acquisition request to the attribute control unit 13 (S22b). When receiving the attribute information acquisition request, the attribute information search unit 131a of the attribute acquisition unit 131 of the attribute control unit 13 outputs the attribute information search request to the attribute management unit 132 (S131a). The attribute search result notification unit 132a of the attribute management unit 132 acquires the attribute information search request, searches the attribute information storage unit 132f for attribute information, and notifies the attribute information search result (S132a). When there is valid attribute information (the expiration date has not been exceeded) ([search result: attribute information exists] in the figure), the attribute transmission unit 131d of the attribute acquisition unit 131 encrypts the valid attribute information. The data is transmitted to the data transmission device 2 (S131d).

一方、それ以外の場合には(図中[検索結果:属性情報無し])、属性取得部131の第2属性情報取得要求部131bは、属性提供装置3に属性情報取得要求を送信する(S131b)。属性提供装置3の属性情報送信部31は、属性制御部13から属性情報取得要求を受信した場合に、属性制御部13に最新の属性情報を送信する(S31)。   On the other hand, in other cases ([search result: no attribute information] in the figure), the second attribute information acquisition request unit 131b of the attribute acquisition unit 131 transmits an attribute information acquisition request to the attribute providing device 3 (S131b). ). When receiving the attribute information acquisition request from the attribute control unit 13, the attribute information transmission unit 31 of the attribute providing device 3 transmits the latest attribute information to the attribute control unit 13 (S31).

属性制御部13の属性取得部131の属性情報格納要求部131cは、属性提供装置3から属性情報を受信して、属性情報格納要求を出力する(S131c)。属性管理部132の属性格納結果通知部132bは、属性情報格納要求を取得して、属性提供装置3から受信した属性情報と、この属性情報に対して新たに設定される有効期限情報を属性情報格納部132fに格納し、その格納結果通知を出力する(S132b)。このとき、属性格納結果通知部132bは、属性情報格納部132f内の有効期限を超過した古い属性情報を破棄する。属性取得部131の属性送信部131dは、格納結果通知を取得して、受信した属性情報を暗号化データ送信装置2に送信する(S131d)。以上が、第2のシーケンスである。第2のシーケンス終了後は、第1のシーケンス図におけるステップS22aから動作が続行する。第2のシーケンスにおけるポイントは、取得した属性情報を有効期限情報と共に管理・保存する点、有効期限を過ぎた属性情報は廃棄処理する点である。本シーケンスは、複数の属性情報の組合せにも対応することができる。   The attribute information storage request unit 131c of the attribute acquisition unit 131 of the attribute control unit 13 receives the attribute information from the attribute providing device 3, and outputs an attribute information storage request (S131c). The attribute storage result notifying unit 132b of the attribute management unit 132 acquires the attribute information storage request and receives the attribute information received from the attribute providing apparatus 3 and the expiration date information newly set for the attribute information. The data is stored in the storage unit 132f and a storage result notification is output (S132b). At this time, the attribute storage result notification unit 132b discards the old attribute information that has exceeded the expiration date in the attribute information storage unit 132f. The attribute transmission unit 131d of the attribute acquisition unit 131 acquires the storage result notification and transmits the received attribute information to the encrypted data transmission device 2 (S131d). The above is the second sequence. After the end of the second sequence, the operation continues from step S22a in the first sequence diagram. The point in the second sequence is that the acquired attribute information is managed and stored together with the expiration date information, and the attribute information that has passed the expiration date is discarded. This sequence can also correspond to a combination of a plurality of attribute information.

次に、図8を参照して、本実施例の暗号化データ流通システム1000の動作の一部である第3のシーケンスについて説明する。図8は、本実施例の暗号化データ流通システム1000の動作の一部を示す第3のシーケンス図である。第3のシーケンス図は、第1のシーケンス図におけるステップS113aの実行後からスタートする。鍵制御部12の鍵取得部121の復号鍵検索部121bは、復号鍵取得要求を取得した場合に復号鍵検索要求を出力する(S121b)。鍵管理部122の鍵検索結果通知部122aは、復号鍵検索要求を取得した場合に、鍵格納部122g内の復号鍵を検索し、復号鍵の検索結果を通知する(S122a)。有効な(保持期間を超過していない)復号鍵がある場合には(図中[検索結果:鍵有り])、第1のシーケンスに戻り、鍵取得部121の復号鍵出力部121aは、取得した復号鍵を暗号化データ制御部11に出力する(S121a)。   Next, a third sequence that is a part of the operation of the encrypted data distribution system 1000 according to the present embodiment will be described with reference to FIG. FIG. 8 is a third sequence diagram illustrating a part of the operation of the encrypted data distribution system 1000 according to the present embodiment. The third sequence diagram starts after execution of step S113a in the first sequence diagram. When the decryption key search unit 121b of the key acquisition unit 121 of the key control unit 12 acquires the decryption key acquisition request, the decryption key search request is output (S121b). When acquiring the decryption key search request, the key search result notifying unit 122a of the key management unit 122 searches for the decryption key in the key storage unit 122g and notifies the search result of the decryption key (S122a). When there is a valid decryption key (the retention period has not been exceeded) ([search result: key present] in the figure), the process returns to the first sequence, and the decryption key output unit 121a of the key acquisition unit 121 acquires The decrypted key is output to the encrypted data control unit 11 (S121a).

一方、それ以外の場合には(図中[検索結果:鍵無し])、さらに2パターンに分岐する。復号鍵取得要求にて属性情報を取得している場合には、その属性情報を用いて鍵生成要求を行う。復号鍵取得要求にて属性情報を取得していない場合には、鍵取得部121の第1属性情報取得要求部121cは、属性情報取得要求を属性制御部13に出力する(S121c)。なお、ステップS121cは、属性制御部13から属性情報をプル型で受信する場合の動作である。属性情報を属性制御部13からプッシュ型で受信する場合には、ステップS121cは省略可能である。属性制御部13の属性管理部132の第1属性出力部132cは、(プル型の場合には属性情報取得要求を取得して、)属性情報格納部132fに格納された属性情報を出力する(S132c)。鍵制御部12の鍵取得部121の第1鍵生成要求部121dは、いずれかの方法で取得した属性情報と、た暗号化データの識別情報の組を鍵生成要求として鍵生成装置4に送信する(S121d)。鍵生成装置4の鍵生成部41の第1復号鍵生成部41aは、鍵制御部12から鍵生成要求を受信した場合に、復号鍵を生成する(S41a)。鍵生成部41の第1復号鍵送信部41bは、生成した復号鍵を鍵制御部12に送信する(S41b)。   On the other hand, in other cases ([search result: no key] in the figure), the process further branches into two patterns. When attribute information is acquired by a decryption key acquisition request, a key generation request is made using the attribute information. When the attribute information is not acquired by the decryption key acquisition request, the first attribute information acquisition request unit 121c of the key acquisition unit 121 outputs the attribute information acquisition request to the attribute control unit 13 (S121c). Note that step S121c is an operation when attribute information is received from the attribute control unit 13 in a pull type. When the attribute information is received from the attribute control unit 13 in the push type, step S121c can be omitted. The first attribute output unit 132c of the attribute management unit 132 of the attribute control unit 13 outputs the attribute information stored in the attribute information storage unit 132f (in the case of a pull type, acquires an attribute information acquisition request) ( S132c). The first key generation request unit 121d of the key acquisition unit 121 of the key control unit 12 transmits a set of attribute information acquired by any method and identification information of the encrypted data to the key generation device 4 as a key generation request. (S121d). The first decryption key generation unit 41a of the key generation unit 41 of the key generation device 4 generates a decryption key when receiving a key generation request from the key control unit 12 (S41a). The first decryption key transmission unit 41b of the key generation unit 41 transmits the generated decryption key to the key control unit 12 (S41b).

鍵制御部12の鍵取得部121の第1鍵格納要求部121eは、鍵生成装置4から復号鍵を受信して、鍵格納要求を出力する(S121e)。鍵管理部122の第1鍵格納結果通知部122bは、鍵格納要求を取得して、鍵生成装置4から受信した復号鍵を、受信した復号鍵に対して新たに設定される保持期間と共に鍵格納部122gに格納し、属性制御部13から取得した属性情報をこれに新たに設定される有効期限情報と共に鍵格納部122gに格納し、その格納結果通知を出力する(S122b)。以上が、第3のシーケンスである。第3のシーケンス終了後は、第1のシーケンス図におけるステップS121aから動作が続行する。第3のシーケンスにおけるポイントは、通常は鍵取得部121は、ローカルにキャッシュされた(鍵格納部122gに格納済みの)復号鍵を利用するが、ローカルに復号鍵が存在しない場合は属性管理部132に新しい属性情報を問い合わせる点、鍵管理部122が取得した復号鍵を保持期間と共に管理・保管する点、復号鍵の保持期間は元となる属性情報の有効期限情報を基に決定される点である。第3のシーケンスがこのように動作することにより、動的に変化する可能性がある属性情報の更新に連携して、対応する復号鍵を最新化することができる。   The first key storage request unit 121e of the key acquisition unit 121 of the key control unit 12 receives the decryption key from the key generation device 4 and outputs a key storage request (S121e). The first key storage result notifying unit 122b of the key management unit 122 obtains the key storage request, and uses the decryption key received from the key generation device 4 as a key along with the retention period newly set for the received decryption key. The attribute information stored in the storage unit 122g and acquired from the attribute control unit 13 is stored in the key storage unit 122g together with the expiration date information newly set therein, and the storage result notification is output (S122b). The above is the third sequence. After the end of the third sequence, the operation continues from step S121a in the first sequence diagram. The point in the third sequence is that the key acquisition unit 121 normally uses a locally cached decryption key (stored in the key storage unit 122g), but if there is no local decryption key, the attribute management unit Inquiring new attribute information to 132, managing and storing the decryption key acquired by the key management unit 122 together with the retention period, and determining the retention period of the decryption key based on the expiration date information of the original attribute information It is. By operating the third sequence in this way, the corresponding decryption key can be updated in cooperation with the update of attribute information that may change dynamically.

次に、図9を参照して、本実施例の暗号化データ流通システム1000の属性情報および復号鍵の更新動作について説明する。図9は、本実施例の暗号化データ流通システム1000の属性情報および復号鍵の更新動作を示す第4のシーケンス図である。図9に示すように、属性制御部13の属性管理部132の第2属性情報更新部132dは、予め定めた有効期限を過ぎた属性情報を破棄し、属性提供装置3から最新の属性情報を取得することで、属性情報を更新する(S132d)。最新の属性情報は、属性情報格納部132fに新たな有効期限情報と共に格納される。属性管理部132の第2属性出力部132eは、更新された属性情報を出力する(S132e)。鍵制御部12の鍵管理部122の第1属性情報更新部122cは、鍵格納部122gに格納された有効期限を過ぎた属性情報を破棄し、新たに属性制御部13から出力された最新の属性情報を取得することで、属性情報を更新する(S122c)。最新の属性情報は、鍵格納部122gに新たな有効期限情報と共に格納される。鍵管理部122の保持期間更新部122dは、復号鍵の保持期間を更新する(S122d)。後述する最新の復号鍵は、鍵格納部122gに新たな保持期間と共に格納される。次に、鍵管理部122の第2復号鍵取得要求部122eは、鍵取得部121に復号鍵取得要求を出力する(S122e)。鍵取得部121の第2鍵生成要求部121fは、鍵生成要求を鍵生成装置4に送信する(S121f)。鍵生成装置4の鍵生成部41の第2復号鍵生成部41cは、鍵制御部12から鍵生成要求を受信した場合に、復号鍵を生成する(S41c)。鍵生成部41の第2復号鍵送信部41dは、生成した復号鍵を鍵制御部12に送信する(S41d)。鍵制御部12の鍵取得部121の第2鍵格納要求部121gは、鍵生成装置4から新たな復号鍵を受信して鍵格納要求を出力する(S121g)。鍵管理部122の第2鍵格納結果通知部122fは、鍵格納要求を取得して、鍵生成装置4から受信した新たな復号鍵を鍵格納部122gに新たな保持期間と共に格納し、その格納結果通知を鍵取得部121に出力する(S122f)。第4のシーケンスにおけるポイントは、属性情報が更新された場合には復号鍵取得要求の有無にかかわらず鍵生成を実施しておく点である。なお、最新情報として保持されるのは属性情報のみでもよく、この場合ステップS122d〜ステップS122fまでの鍵更新のシーケンスは実施しない。鍵管理部では属性情報とその有効期限を更新し、対応する鍵情報を削除し終了する。鍵更新動作を省略すれば、鍵生成処理のオーバヘッドを小さくすることができる。   Next, the attribute information and decryption key update operation of the encrypted data distribution system 1000 of this embodiment will be described with reference to FIG. FIG. 9 is a fourth sequence diagram illustrating the update operation of the attribute information and the decryption key of the encrypted data distribution system 1000 according to this embodiment. As shown in FIG. 9, the second attribute information update unit 132 d of the attribute management unit 132 of the attribute control unit 13 discards attribute information that has passed a predetermined expiration date, and obtains the latest attribute information from the attribute providing device 3. By acquiring, the attribute information is updated (S132d). The latest attribute information is stored in the attribute information storage unit 132f together with new expiration date information. The second attribute output unit 132e of the attribute management unit 132 outputs the updated attribute information (S132e). The first attribute information update unit 122c of the key management unit 122 of the key control unit 12 discards the attribute information that has passed the expiration date stored in the key storage unit 122g and newly outputs the latest information output from the attribute control unit 13. By acquiring the attribute information, the attribute information is updated (S122c). The latest attribute information is stored in the key storage unit 122g together with new expiration date information. The holding period update unit 122d of the key management unit 122 updates the holding period of the decryption key (S122d). The latest decryption key to be described later is stored in the key storage unit 122g together with a new holding period. Next, the second decryption key acquisition request unit 122e of the key management unit 122 outputs a decryption key acquisition request to the key acquisition unit 121 (S122e). The second key generation request unit 121f of the key acquisition unit 121 transmits a key generation request to the key generation device 4 (S121f). The second decryption key generation unit 41c of the key generation unit 41 of the key generation device 4 generates a decryption key when receiving a key generation request from the key control unit 12 (S41c). The second decryption key transmission unit 41d of the key generation unit 41 transmits the generated decryption key to the key control unit 12 (S41d). The second key storage request unit 121g of the key acquisition unit 121 of the key control unit 12 receives a new decryption key from the key generation device 4 and outputs a key storage request (S121g). The second key storage result notifying unit 122f of the key management unit 122 acquires the key storage request, stores the new decryption key received from the key generation device 4 in the key storage unit 122g together with a new holding period, and stores the new decryption key. The result notification is output to the key acquisition unit 121 (S122f). The point in the fourth sequence is that, when the attribute information is updated, key generation is performed regardless of the presence or absence of a decryption key acquisition request. Note that only the attribute information may be held as the latest information. In this case, the key update sequence from step S122d to step S122f is not performed. The key management unit updates the attribute information and its expiration date, deletes the corresponding key information, and ends. If the key update operation is omitted, the overhead of the key generation process can be reduced.

本実施例のデータ利用装置1、暗号化データ流通システム1000によれば、時間と共に変化する可能性のある属性情報(ユーザの周囲環境に関する情報、例えば位置情報、センサ情報など)を適切な間隔で更新したり、一定期間後に消去するなどの機能をもつチェック機構を設けることで、属性情報の適切な運用を保証できる。また、センサ機能などの効率的な運用が実現できる。また、属性情報によって生成される復号鍵の管理機能を設けることでユーザ要求とは非同期に鍵生成を行うことが可能であり、システムの効率化が可能である。また、ユーザ要求時に必ずしも鍵生成装置4との接続を必要としない。また、高機能型暗号(関数型暗号)を利用することで、属性情報を鍵として暗号化データを制御(暗号化/復号化)することができるため、暗号化データの復号制御をより柔軟にすることができる(ユーザ認証を必要としない)。   According to the data utilization apparatus 1 and the encrypted data distribution system 1000 of the present embodiment, attribute information (information related to the user's surrounding environment such as position information and sensor information) that may change with time can be obtained at appropriate intervals. Providing a check mechanism with functions such as updating and erasing after a certain period of time can ensure proper operation of attribute information. In addition, efficient operation such as a sensor function can be realized. Further, by providing a management function for the decryption key generated by the attribute information, it is possible to generate a key asynchronously with the user request, and to improve the efficiency of the system. Further, connection with the key generation device 4 is not necessarily required when a user requests. In addition, by using high-performance encryption (functional encryption), encrypted data can be controlled (encrypted / decrypted) using attribute information as a key, making decryption control of encrypted data more flexible. (No user authentication required).

上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。   The various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.

また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。   Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

Claims (7)

暗号化データ要求を暗号化データ送信装置に送信し、前記暗号化データ送信装置から暗号化データと、当該暗号化データの識別情報とを受信し、復号鍵取得要求を鍵制御部に出力し、前記鍵制御部から復号鍵を取得して、前記暗号化データを復号する暗号化データ制御部と、
前記復号鍵取得要求を受信した場合に対応する前記復号鍵を検索して、該当する前記復号鍵がある場合には、前記該当する復号鍵を前記暗号化データ制御部に出力し、それ以外の場合には時間と共に変化する可能性のある情報である属性情報と、前記暗号化データの識別情報を組にして、前記組にした情報を鍵生成要求として鍵生成装置に送信し、前記鍵生成装置から前記復号鍵を受信して、前記受信した復号鍵を前記暗号化データ制御部に出力する鍵制御部と、
を含むデータ利用装置。 Sending an encrypted data request to the encrypted data transmitting device, receiving the encrypted data and the identification information of the encrypted data from the encrypted data transmitting device, and outputting a decryption key acquisition request to the key control unit, An encrypted data control unit for obtaining a decryption key from the key control unit and decrypting the encrypted data;
The decryption key corresponding to the reception of the decryption key acquisition request is searched, and if there is the corresponding decryption key, the corresponding decryption key is output to the encrypted data control unit, In some cases, attribute information that may change with time and identification information of the encrypted data are paired, and the paired information is transmitted to the key generation apparatus as a key generation request, and the key generation is performed. A key control unit that receives the decryption key from a device and outputs the received decryption key to the encrypted data control unit;
Including data utilization device. データ利用装置と、暗号化データ送信装置と、鍵生成装置を含む暗号化データ流通システムであって、
前記データ利用装置は、暗号化データ制御部と、鍵制御部を含み、
前記暗号化データ制御部は、
暗号化データ要求を前記暗号化データ送信装置に送信し、前記暗号化データ送信装置から暗号化データと、当該暗号化データの識別情報とを受信し、復号鍵取得要求を前記鍵制御部に出力し、前記鍵制御部から復号鍵を取得して、前記暗号化データを復号し、
前記鍵制御部は、
前記復号鍵取得要求を受信した場合に対応する前記復号鍵を検索して、該当する前記復号鍵がある場合には、前記該当する復号鍵を前記暗号化データ制御部に出力し、それ以外の場合には時間と共に変化する可能性のある情報である属性情報と、前記暗号化データの識別情報を組にして、前記組にした情報を鍵生成要求として前記鍵生成装置に送信し、前記鍵生成装置から前記復号鍵を受信して、前記受信した復号鍵を前記暗号化データ制御部に出力し、
前記暗号化データ送信装置は、
前記暗号化データ要求を受信した場合に、前記暗号化データと、当該暗号化データの識別情報とを前記暗号化データ制御部に送信し、
前記鍵生成装置は、
前記鍵制御部から前記鍵生成要求を受信した場合に、前記復号鍵を生成して前記鍵制御部に送信する
暗号化データ流通システム。 An encrypted data distribution system including a data utilization device, an encrypted data transmission device, and a key generation device,
The data utilization device includes an encrypted data control unit and a key control unit,
The encrypted data control unit
Sends an encrypted data request to the encrypted data transmission device, receives encrypted data and identification information of the encrypted data from the encrypted data transmission device, and outputs a decryption key acquisition request to the key control unit And obtaining a decryption key from the key control unit, decrypting the encrypted data,
The key control unit
The decryption key corresponding to the reception of the decryption key acquisition request is searched, and if there is the corresponding decryption key, the corresponding decryption key is output to the encrypted data control unit, In some cases, attribute information, which may change over time, and identification information of the encrypted data are paired, and the paired information is transmitted as a key generation request to the key generation apparatus, and the key Receiving the decryption key from the generation device, and outputting the received decryption key to the encrypted data control unit;
The encrypted data transmission device is:
When the encrypted data request is received, the encrypted data and identification information of the encrypted data are transmitted to the encrypted data control unit,
The key generation device includes:
An encrypted data distribution system that generates the decryption key and transmits it to the key control unit when the key generation request is received from the key control unit. データ利用装置と、暗号化データ送信装置と、属性提供装置と、鍵生成装置を含む暗号化データ流通システムであって、
前記データ利用装置は、暗号化データ制御部と、鍵制御部と、属性制御部を含み、
前記暗号化データ制御部は、
暗号化データ要求を前記暗号化データ送信装置に送信し、前記暗号化データ送信装置から暗号化データと、当該暗号化データの識別情報とを受信し、復号鍵取得要求を前記鍵制御部に出力し、前記鍵制御部から復号鍵を取得して、前記暗号化データを復号し、
前記鍵制御部は、
前記復号鍵取得要求を受信した場合に対応する前記復号鍵を検索して、該当する前記復号鍵がある場合には、前記該当する復号鍵を前記暗号化データ制御部に出力し、それ以外の場合には時間と共に変化する可能性のある情報である属性情報と、前記暗号化データの識別情報を組にして、前記組にした情報を鍵生成要求として前記鍵生成装置に送信し、前記鍵生成装置から前記復号鍵を受信して、前記受信した復号鍵を前記暗号化データ制御部に出力し、
前記属性制御部は、
前記属性提供装置に属性情報取得要求を送信し、前記属性提供装置から前記属性情報を受信し、
前記暗号化データ送信装置は、
前記暗号化データ要求を受信した場合に前記暗号化データと、当該暗号化データの識別情報とを前記暗号化データ制御部に送信し、
前記属性提供装置は、
前記属性制御部から前記属性情報取得要求を受信した場合に、前記属性制御部に最新の前記属性情報を送信し、
前記鍵生成装置は、
前記鍵制御部から前記鍵生成要求を受信した場合に、前記復号鍵を生成して前記鍵制御部に送信する
暗号化データ流通システム。 An encrypted data distribution system including a data utilization device, an encrypted data transmission device, an attribute providing device, and a key generation device,
The data utilization device includes an encrypted data control unit, a key control unit, and an attribute control unit,
The encrypted data control unit
Sends an encrypted data request to the encrypted data transmission device, receives encrypted data and identification information of the encrypted data from the encrypted data transmission device, and outputs a decryption key acquisition request to the key control unit And obtaining a decryption key from the key control unit, decrypting the encrypted data,
The key control unit
The decryption key corresponding to the reception of the decryption key acquisition request is searched, and if there is the corresponding decryption key, the corresponding decryption key is output to the encrypted data control unit, In some cases, attribute information, which may change over time, and identification information of the encrypted data are paired, and the paired information is transmitted as a key generation request to the key generation apparatus, and the key Receiving the decryption key from the generation device, and outputting the received decryption key to the encrypted data control unit;
The attribute control unit
Sending an attribute information acquisition request to the attribute providing device, receiving the attribute information from the attribute providing device;
The encrypted data transmission device is:
When the encrypted data request is received, the encrypted data and identification information of the encrypted data are transmitted to the encrypted data control unit,
The attribute providing device includes:
When the attribute information acquisition request is received from the attribute control unit, the latest attribute information is transmitted to the attribute control unit,
The key generation device includes:
An encrypted data distribution system that generates the decryption key and transmits it to the key control unit when the key generation request is received from the key control unit. 暗号化データ制御部は、
暗号化データ要求を暗号化データ送信装置に送信し、暗号化データと、当該暗号化データの識別情報とを受信し、復号鍵取得要求を鍵制御部に出力し、
前記鍵制御部は、
前記復号鍵取得要求を受信した場合に、対応する復号鍵を検索して、該当する前記復号鍵がある場合には、前記該当する復号鍵を前記暗号化データ制御部に出力し、それ以外の場合には時間と共に変化する可能性のある情報である属性情報と、前記暗号化データの識別情報を組にして、前記組にした情報を鍵生成要求として鍵生成装置に送信し、前記鍵生成装置から前記復号鍵を受信して、前記受信した復号鍵を前記暗号化データ制御部に出力し、
前記暗号化データ制御部は、
前記鍵制御部から前記復号鍵を取得して、前記暗号化データを復号する
データ利用方法。 The encrypted data control unit
Sending the encrypted data request to the encrypted data transmitting device, receiving the encrypted data and the identification information of the encrypted data, outputting the decryption key acquisition request to the key control unit,
The key control unit
When the decryption key acquisition request is received, the corresponding decryption key is searched, and if there is the corresponding decryption key, the corresponding decryption key is output to the encrypted data control unit, In some cases, attribute information that may change with time and identification information of the encrypted data are paired, and the paired information is transmitted to the key generation apparatus as a key generation request, and the key generation is performed. Receiving the decryption key from a device, and outputting the received decryption key to the encrypted data control unit;
The encrypted data control unit
A data utilization method for obtaining the decryption key from the key control unit and decrypting the encrypted data. データ利用装置と、暗号化データ送信装置と、鍵生成装置が実行する暗号化データ流通方法であって、
前記データ利用装置は、暗号化データ制御部と、鍵制御部を含み、
前記暗号化データ制御部は、
暗号化データ要求を前記暗号化データ送信装置に送信し、
前記暗号化データ送信装置は、
暗号化データと、当該暗号化データの識別情報とを前記暗号化データ制御部に送信し、
前記暗号化データ制御部は、
前記暗号化データ送信装置から前記暗号化データと当該暗号化データの識別情報とを受信し、復号鍵取得要求を前記鍵制御部に出力し、
前記鍵制御部は、
前記復号鍵取得要求を受信した場合に対応する復号鍵を検索して、該当する前記復号鍵がある場合には、前記該当する復号鍵を前記暗号化データ制御部に出力し、それ以外の場合には時間と共に変化する可能性のある情報である属性情報と、前記暗号化データの識別情報を組にして、前記組にした情報を鍵生成要求として前記鍵生成装置に送信し、
前記鍵生成装置は、
前記鍵制御部から前記鍵生成要求を受信した場合に、前記復号鍵を生成して前記鍵制御部に送信し、
前記鍵制御部は、
前記鍵生成装置から前記復号鍵を受信して、前記受信した復号鍵を前記暗号化データ制御部に出力し、
前記暗号化データ制御部は、
前記鍵制御部から前記復号鍵を取得して、前記暗号化データを復号する
暗号化データ流通方法。 An encrypted data distribution method executed by a data utilization device, an encrypted data transmission device, and a key generation device,
The data utilization device includes an encrypted data control unit and a key control unit,
The encrypted data control unit
Sending an encrypted data request to the encrypted data transmitting device;
The encrypted data transmission device is:
Sending the encrypted data and identification information of the encrypted data to the encrypted data control unit;
The encrypted data control unit
Receiving the encrypted data and the identification information of the encrypted data from the encrypted data transmitting device, and outputting a decryption key acquisition request to the key control unit;
The key control unit
When a decryption key corresponding to the reception of the decryption key acquisition request is searched and the corresponding decryption key is present, the corresponding decryption key is output to the encrypted data control unit, otherwise Is a set of attribute information, which is information that may change over time, and identification information of the encrypted data, and sends the set information to the key generation device as a key generation request.
The key generation device includes:
When the key generation request is received from the key control unit, the decryption key is generated and transmitted to the key control unit,
The key control unit
Receiving the decryption key from the key generation device, and outputting the received decryption key to the encrypted data control unit;
The encrypted data control unit
An encrypted data distribution method for obtaining the decryption key from the key control unit and decrypting the encrypted data. データ利用装置と、暗号化データ送信装置と、属性提供装置と、鍵生成装置が実行する暗号化データ流通方法であって、
前記データ利用装置は、暗号化データ制御部と、鍵制御部と、属性制御部を含み、
前記暗号化データ制御部は、
暗号化データ要求を前記暗号化データ送信装置に送信し、
前記属性制御部は、
前記属性提供装置に属性情報取得要求を送信し、
前記属性提供装置は、
前記属性制御部から前記属性情報取得要求を受信した場合に、前記属性制御部に最新の、時間と共に変化する可能性のある情報である属性情報を送信し、
前記属性制御部は、
前記属性提供装置から前記属性情報を受信し、
前記暗号化データ送信装置は、
暗号化データと、当該暗号化データの識別情報とを前記暗号化データ制御部に送信し、
前記暗号化データ制御部は、
前記暗号化データ送信装置から前記暗号化データと、当該暗号化データの識別情報とを受信し、復号鍵取得要求を前記鍵制御部に出力し、
前記鍵制御部は、
前記復号鍵取得要求を受信した場合に対応する復号鍵を検索して、該当する前記復号鍵がある場合には、前記該当する復号鍵を前記暗号化データ制御部に出力し、それ以外の場合には前記属性情報と、前記暗号化データの識別情報を組にして、前記組にした情報を鍵生成要求として前記鍵生成装置に送信し、
前記鍵生成装置は、
前記鍵制御部から前記鍵生成要求を受信した場合に、前記復号鍵を生成して前記鍵制御部に送信し、
前記鍵制御部は、
前記鍵生成装置から前記復号鍵を受信して、前記受信した復号鍵を前記暗号化データ制御部に出力し、
前記暗号化データ制御部は、
前記鍵制御部から前記復号鍵を取得して、前記暗号化データを復号する
暗号化データ流通方法。 An encrypted data distribution method executed by a data use device, an encrypted data transmission device, an attribute providing device, and a key generation device,
The data utilization device includes an encrypted data control unit, a key control unit, and an attribute control unit,
The encrypted data control unit
Sending an encrypted data request to the encrypted data transmitting device;
The attribute control unit
Send an attribute information acquisition request to the attribute providing device,
The attribute providing device includes:
When the attribute information acquisition request is received from the attribute control unit, the latest attribute information that is likely to change with time is sent to the attribute control unit,
The attribute control unit
Receiving the attribute information from the attribute providing device;
The encrypted data transmission device is:
Sending the encrypted data and identification information of the encrypted data to the encrypted data control unit;
The encrypted data control unit
Receiving the encrypted data and identification information of the encrypted data from the encrypted data transmitting device, and outputting a decryption key acquisition request to the key control unit;
The key control unit
When a decryption key corresponding to the reception of the decryption key acquisition request is searched and the corresponding decryption key is present, the corresponding decryption key is output to the encrypted data control unit, otherwise The attribute information and the identification information of the encrypted data are paired, and the paired information is transmitted to the key generation apparatus as a key generation request,
The key generation device includes:
When the key generation request is received from the key control unit, the decryption key is generated and transmitted to the key control unit,
The key control unit
Receiving the decryption key from the key generation device, and outputting the received decryption key to the encrypted data control unit;
The encrypted data control unit
An encrypted data distribution method for obtaining the decryption key from the key control unit and decrypting the encrypted data. コンピュータを、請求項1に記載のデータ利用装置として機能させるためのプログラム。   The program for functioning a computer as a data utilization apparatus of Claim 1.
JP2014036542A 2014-02-27 2014-02-27 Data utilization apparatus, encrypted data distribution system, data utilization method, encrypted data distribution method, program Active JP5877215B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014036542A JP5877215B2 (en) 2014-02-27 2014-02-27 Data utilization apparatus, encrypted data distribution system, data utilization method, encrypted data distribution method, program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014036542A JP5877215B2 (en) 2014-02-27 2014-02-27 Data utilization apparatus, encrypted data distribution system, data utilization method, encrypted data distribution method, program

Publications (2)

Publication Number Publication Date
JP2015162785A true JP2015162785A (en) 2015-09-07
JP5877215B2 JP5877215B2 (en) 2016-03-02

Family

ID=54185615

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014036542A Active JP5877215B2 (en) 2014-02-27 2014-02-27 Data utilization apparatus, encrypted data distribution system, data utilization method, encrypted data distribution method, program

Country Status (1)

Country Link
JP (1) JP5877215B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004112042A (en) * 2002-09-13 2004-04-08 Nippon Hoso Kyokai <Nhk> Content deliver system
JP2005063292A (en) * 2003-08-19 2005-03-10 Nec Corp Distributed information access control method, program, transmission equipment, reception equipment and transmission/reception equipment
JP2008109662A (en) * 2006-10-26 2008-05-08 Internatl Business Mach Corp <Ibm> Systems and method for management and auto-generation of encryption key and computer program product
JP2010262583A (en) * 2009-05-11 2010-11-18 Sony Ericsson Mobile Communications Ab Information distribution system, portable device, and information distribution method
JP2012244380A (en) * 2011-05-19 2012-12-10 Mitsubishi Electric Corp Content sale management device and content sale system and computer program and content sale management method
JP5421968B2 (en) * 2011-09-26 2014-02-19 日本電信電話株式会社 TERMINAL DEVICE CONTROL SYSTEM, CONTROL DEVICE, TERMINAL DEVICE, CONTROL METHOD, AND PROGRAM

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004112042A (en) * 2002-09-13 2004-04-08 Nippon Hoso Kyokai <Nhk> Content deliver system
JP2005063292A (en) * 2003-08-19 2005-03-10 Nec Corp Distributed information access control method, program, transmission equipment, reception equipment and transmission/reception equipment
JP2008109662A (en) * 2006-10-26 2008-05-08 Internatl Business Mach Corp <Ibm> Systems and method for management and auto-generation of encryption key and computer program product
JP2010262583A (en) * 2009-05-11 2010-11-18 Sony Ericsson Mobile Communications Ab Information distribution system, portable device, and information distribution method
JP2012244380A (en) * 2011-05-19 2012-12-10 Mitsubishi Electric Corp Content sale management device and content sale system and computer program and content sale management method
JP5421968B2 (en) * 2011-09-26 2014-02-19 日本電信電話株式会社 TERMINAL DEVICE CONTROL SYSTEM, CONTROL DEVICE, TERMINAL DEVICE, CONTROL METHOD, AND PROGRAM

Also Published As

Publication number Publication date
JP5877215B2 (en) 2016-03-02

Similar Documents

Publication Publication Date Title
US10095776B2 (en) Method and system for searching encrypted data
CN101167070B (en) Domain management method and apparatus
US8565422B2 (en) Method and system for enryption key versioning and key rotation in a multi-tenant environment
EP1310923A2 (en) Public key infrastructure (PKI) based system, method, device and program
RU2011150271A (en) PROTECTED AND CONFIDENTIAL STORAGE AND PROCESSING OF BACKUP FOR TRUSTED CALCULATION SERVICES AND DATA
WO2020169126A3 (en) Managing user authorizations for blockchain-based custom clearance services
US20160323100A1 (en) Key generation device, terminal device, and data signature and encryption method
KR20130107298A (en) Managing shared data using a virtual machine
JP6578751B2 (en) Contact management program, contact management system, and contact management method
KR101628195B1 (en) Double backup system using cloud service and method for data management
US8650275B2 (en) Requester-side distributed ID management device, provider-side distributed ID management device, distributed ID management system, and provider-side distributed ID management method
US10949537B2 (en) Secure firmware provisioning and device binding mechanism
RU2009128675A (en) CRYPTOGRAPHIC MANAGEMENT OF ACCESS TO DOCUMENTS
JP5877215B2 (en) Data utilization apparatus, encrypted data distribution system, data utilization method, encrypted data distribution method, program
JP6602575B2 (en) Cloud-based email system and email service method providing improved security
KR20210043906A (en) Method and apparatus for data encryption, method and apparatus for data decrytion
JP2012068988A (en) Secure network storage system, method, client device, server device, and program
US11763038B2 (en) Secured file storage
CN110611674B (en) Protocol interaction method, system and storage medium between different computer systems
JP2008153728A (en) Update information generating device, identification information updating system, identification information updating method, and program
JP2014235708A (en) Information processing apparatus, information processing method, and program
JP2021048518A (en) Information processing device, information processing system, and control method of information processing device
JP2019057784A (en) Electronic device and information communication system
CN113169862A (en) Information processing method, terminal equipment and network system
JP5965360B2 (en) Information processing system, reference device, and reference program

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151027

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160125

R150 Certificate of patent or registration of utility model

Ref document number: 5877215

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150