JP2017112604A - 対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法 - Google Patents

対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法 Download PDF

Info

Publication number
JP2017112604A
JP2017112604A JP2016220313A JP2016220313A JP2017112604A JP 2017112604 A JP2017112604 A JP 2017112604A JP 2016220313 A JP2016220313 A JP 2016220313A JP 2016220313 A JP2016220313 A JP 2016220313A JP 2017112604 A JP2017112604 A JP 2017112604A
Authority
JP
Japan
Prior art keywords
digital data
user
encryption
key
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016220313A
Other languages
English (en)
Inventor
ドン・ギル・イ
Dong Gill Lee
ワン・ウォン・ハン
Wang Won Han
ジェ・ヤウル・イ
Jae Yawl Lee
キュ・ヨル・イ
Kyu Yeol Lee
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
UNIINFO CO Ltd
Original Assignee
UNIINFO CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by UNIINFO CO Ltd filed Critical UNIINFO CO Ltd
Publication of JP2017112604A publication Critical patent/JP2017112604A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Abstract

【課題】対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法を提供する。【解決手段】本発明は、容量の大きいユーザーのデジタルデータには暗/復号化演算速度の速い対称鍵暗号化方法を適用し、前記暗号化方法に使用された容量の小さい対称鍵に対しては非対称鍵二重暗号化方法を適用することにより、暗/復号化の速度を著しく向上させてユーザーに利便性を提供することができる方法を提供する。【選択図】図2

Description

本発明は、対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法に係り、さらに詳しくは、デジタルデータの暗号化に使用される非対称鍵二重暗号化方法の代わりに対称鍵暗号化方法を適用し、前記対称鍵暗号化方法に使用された対称鍵に対してのみ非対称鍵二重暗号化方法を適用することにより、前記デジタルデータの機密性をそのまま維持し、暗/復号化の速度を著しく向上させる方法に関する。
最近、スマート時代の到来、インターネットの普及及び情報通信技術の急激な発展により、クラウドコンピューティング技術が発展しており、ユーザーまたは企業は個別に保存していたデジタルデータをクラウドベースのストレージまたはWebハードなどのオンラインストレージに保存して時間と空間の制約なく常にデジタルデータをダウンロードして所望の作業を行うことができる環境が用意されている。
このような環境により、前記オンラインストレージを利用するユーザーまたは企業が急激に増加しており、これにより前記オンラインストレージに保存されたデジタルデータに対するセキュリティ上の問題が大きく台頭している。
前記オンラインストレージに保存されるデジタルデータは、個人秘密情報、財務情報、顧客情報、取引記録などの様々な情報を含む重要なビジネス価値を持つ情報である可能性があり、このようなデジタルデータを保護しなければならない重要性が益々大きくなっている。
重要なビジネス価値を持つデジタルデータの存在は、ハッカーや第3者による攻撃の対象とならざるを得ず、このような攻撃により前記デジタルデータが流出した場合、関連組織の財政及びユーザーまたは企業のイメージに大きな被害を与えることが自明である。
また、デジタルデータへの攻撃の脅威は、ファイアウォールの外のネットワークで行われることもあるが、最近では、認可された内部者による流出事故が頻繁に発生しており、これに対するセキュリティが絶対的に必要になった。
このようなデジタルデータを保護するために、ITインフラストラクチャでは、基本的にデジタルデータの暗号化を使用する。前記暗号化は、数学的なプロセスを介してある情報を意味のない文字の羅列に変えることをいい、財貨的価値のあるデジタルデータを分からない2進数に変えることによりハッカーや第3者の攻撃から前記デジタルデータを保護することにその目的がある。
また、前記デジタルデータを暗号化する方法としては、対称鍵を利用した暗号化方法及び非対称鍵を利用した暗号化方法がある。
前記対称鍵を利用した暗号化方法は、前記暗号化に使用される暗号化鍵と復号化に使用される復号化鍵とが同一であり、前記鍵は、送信者と受信者以外には露出しないように管理されなければならない。また、前記対称鍵を利用した暗号化方法は、暗/復号化に対する演算速度が速くて効率の良い暗号システムを構築することができるという長所がある。
しかし、前記対称鍵を利用した暗号化方法は、前記暗/復号化鍵を送信者と受信者が共有しなければならないので、上述したように内部者によるデータ流出が発生するおそれがあるという欠点がある。
このような問題を解決するために、前記非対称鍵を利用した暗号化方法が登場した。前記非対称鍵を利用した暗号化方法は、前記対称鍵を利用した暗号化方法とは異なり、データに対する暗/復号化を互いに異なる鍵を用いて行う。つまり、データを送信する送信者は公開された場所に簡単にアクセスが可能な公開鍵を用いて暗号化し、データを受信する受信者は自分だけの秘密鍵を用いて復号化することで、前記送信者と受信者との間で同じ暗/復号化鍵を共有する必要がなく、データに対する機密性を確保することができるという長所がある。
しかし、前記非対称鍵を利用した暗号化方法は、対称鍵を利用した暗号化方法に比べて、暗/復号化に使用される鍵の長さが長く、暗/復号化に対する演算速度が非常に遅いので、暗/復号化すべきデジタルデータの容量が大きければ大きいほど、暗/復号化時間が幾何級数的に増えるという短所がある。
最近では、デジタルデータに対する確実な機密性を提供するために、互いに異なるユーザーの鍵でデジタルデータを二重暗号化する非対称鍵二重暗号化方法が登場したが、既存の遅い暗/復号化に対する実行速度を克服していない。
したがって、本発明では、容量の大きいユーザーのデジタルデータには、暗/復号化演算速度の速い対称鍵暗号化方法を適用し、前記対称鍵暗号化方式に使用された容量の少ない対称鍵に対してのみ非対称鍵二重暗号化方法を適用することにより、ユーザーが自分のデジタルデータを使用するために暗/復号化の速度を著しく向上させてユーザーに利便性を提供することができる方法を提供しようとする。
以下、本発明の技術分野に存在する先行技術について簡単に説明し、次いで本発明が前記先行技術に比べて差別的に解決しようとする技術的事項について説明する。
まず、韓国登録特許第1527329号(2015年6月2日)は、データ暗号化装置及びその方法に関するもので、ホワイトボックス暗号(White−Box Cryptography、WBC)ベースの暗号化のための暗号鍵と該暗号鍵とは異なる対称鍵を決定する鍵決定部;及び前記WBCベースの暗号化を利用し、前記対称鍵と一緒に対称鍵ベースの暗号化を利用して前記データの暗号文を生成する暗号化部を含むデータ暗号化装置及びその方法に関するものである。
また、韓国登録特許第1374594号(2014年3月10日)は、クラウドストレージのためのセキュリティシステム及びその運用方法に関するもので、ユーザー端末とクラウドストレージサービスプロバイダーとの間で暗号化鍵を生成し管理するセキュリティサービスサーバを含むことにより、暗号化鍵の流出問題を防止することができるクラウドストレージのためのセキュリティシステムに関するものである。
これらの先行技術は、特定の暗号化方法及び鍵管理のための技術を適用してユーザーのデータに対するセキュリティ及び機密性を提供するという点において、本発明と一部類似する点があるが、これに対し、本発明は、デジタルデータ暗号化に使用される非対称鍵二重暗号化方法の代わりに対称鍵暗号化方法を適用するとともに、前記対称鍵暗号化方法に使用された対称鍵にのみ非対称鍵二重暗号化方法を適用することにより、データの機密性を維持し、暗/復号化にかかる速度を著しく向上させてユーザーに利便性を提供することができる技術的特徴については記載も示唆もしていない。
韓国登録特許第1527329号 韓国登録特許第1374594号
本発明は、かかる問題点を解決するためになされたもので、その目的は、一般にデジタルデータの暗号化に使用される非対称鍵二重暗号化方法を対称鍵暗号化方法で代替し、前記対称鍵暗号化方法に使用された対称鍵に対してのみ非対称鍵二重暗号化方法を適用することにより、暗/復号化の速度を著しく向上させてユーザーに利便性を提供することにある。
本発明の一実施例に係るデジタルデータの暗号化速度を改善する方法は、デジタルデータに対して対称鍵で暗号化する段階と、前記暗号化に使用された対称鍵を非対称鍵で二重暗号化する段階とを含むことを特徴とする。
また、前記暗号化はユーザーのクライアントで行われ、前記暗号化されたデジタルデータと前記二重暗号化された対称鍵はデジタルデータ金庫に保存されることを特徴とする。
また、前記対称鍵にはユーザーの対称鍵が使用され、前記二重暗号化には前記ユーザーの公開鍵と前記デジタルデータ金庫の公開鍵が使用されることを特徴とする。
また、デジタルデータの復号化速度を改善する方法は、デジタルデータを対称鍵で暗号化し、前記対称鍵をさらに非対称鍵で二重暗号化した場合、前記暗号化されたデジタルデータの復号化速度を改善する方法において、前記対称鍵を非対称鍵で二重復号化する段階と、前記二重復号化された対称鍵を用いて、前記暗号化されたデジタルデータを復号化する段階とを含むことを特徴とする。
また、前記暗号化されたデジタルデータは、ユーザーのクライアントで復号化され、前記二重暗号化された対称鍵は、デジタルデータ金庫で秘密鍵によって1次的に復号化され、さらに2次的にユーザーの公開鍵によって二重暗号化されてユーザーのクライアントに伝送されることを特徴とする。
また、前記ユーザーのクライアントに伝送された二重暗号化された対称鍵は、前記ユーザーのクライアントでユーザーの秘密鍵によって二重復号化されることを特徴とする。
また、デジタルデータの暗号化速度を改善するシステムは、デジタルデータを管理するデータ管理部、及びデジタルデータに対して対称鍵で暗号化し、前記暗号化に使用した対称鍵を非対称鍵で二重暗号化するセキュリティ管理部を含むことを特徴とする。
また、前記暗号化はユーザーのクライアントで行われ、前記暗号化されたデジタルデータと前記二重暗号化された対称鍵はデジタルデータ金庫に保存されることを特徴とする。
また、前記対称鍵にはクライアントに対するユーザーの対称鍵が使用され、前記二重暗号化には前記ユーザーの公開鍵と前記デジタルデータ金庫の公開鍵が使用されることを特徴とする。
また、デジタルデータの復号化速度を改善するシステムは、デジタルデータを対称鍵で暗号化し、前記対称鍵をさらに非対称鍵で二重暗号化して、前記暗号化されたデジタルデータの復号化速度を改善するシステムにおいて、前記デジタルデータを管理するデータ管理部と、前記対称鍵を非対称鍵で二重復号化し、前記二重復号化された対称鍵を用いて、前記暗号化されたデジタルデータを復号化するセキュリティ管理部を含むことを特徴とする。
また、前記暗号化されたデジタルデータは、ユーザーのクライアントで復号化され、前記二重暗号化された対称鍵は、デジタルデータ金庫で秘密鍵によって1次的に復号化され、さらに2次的にユーザーの公開鍵によって二重暗号化されてユーザーのクライアントに伝送されることを特徴とする。
また、前記ユーザーのクライアントに伝送された二重暗号化された対称鍵は、前記ユーザーのクライアントでユーザーの秘密鍵によって二重復号化されることを特徴とする。
本発明は、対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法に関するもので、一般にデジタルデータの暗号化に使用される非対称鍵二重暗号化方法を対称鍵暗号化方法で代替して適用し、前記対称鍵暗号化方法に使用された対称鍵に対しては非対称鍵二重暗号化方法を適用することにより、前記デジタルデータに対する機密性をそのまま維持するだけでなく、暗/復号化の速度を著しく向上させてユーザーに利便性を提供することができるという効果がある。
本発明の従来技術によるオンライン保存システムを説明するための例示図である。 本発明の一実施例に係る対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法を適用したクラウドベースのデジタルデータ金庫システムを概略的に説明するための概念図である。 本発明の一実施例に係る対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法を適用したクラウドベースのデジタルデータ金庫システムにおいて、ユーザーがデジタルデータをアップロードする方法を説明するための例示図である。 本発明の一実施例に係る対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法を適用したクラウドベースのデジタルデータ金庫システムにおいて、ユーザーがデジタルデータをダウンロードする方法を説明するための例示図である。 本発明の一実施例に係るユーザークライアントの構成を示すブロック図である。 本発明の一実施例に係るデジタルデータ金庫の構成を示すブロック図である。 本発明の一実施例に係るユーザーのデジタルデータをアップロード及びダウンロードする手順を示すフローチャートである。
以下、本発明の好適な実施例を添付図面に基づいて詳細に説明する。各図面に提示された同じ参照符号は同じ部材を示す。
図1は本発明の従来技術に係るオンライン保存システムを説明するための例示図である。
図1に示すように、従来のオンライン保存システムは、ユーザーのクライアントから二重暗号化されてアップロードされるユーザーのデジタルデータを保存するオンラインストレージのサーバー、及び前記サーバーに受信されたユーザーのデジタルデータを格納するデータベース(図示せず)を含んで構成される。
また、前記クライアントは、前記オンラインストレージからストレージの公開鍵の提供を受けた後、前記ユーザーの公開鍵で前記ユーザーのデジタルデータを1次暗号化し、前記提供されたストレージの公開鍵で前記1次暗号化したユーザーのデジタルデータを2次暗号化する。その後、前記クライアントは、前記二重暗号化したユーザーのデジタルデータをオンラインストレージにアップロードして前記オンラインストレージのサーバーを介してデータベースに格納できるようにする。
また、前記クライアントから既に保存されたユーザーのデジタルデータに対するダウンロード要求がある場合、前記オンラインストレージは、二重暗号化されたユーザーのデジタルデータを自分の秘密鍵を用いて1次復号化した後、ユーザーの公開鍵で暗号化して前記クライアントへ伝送する。
また、前記クライアントは、前記オンラインストレージから受信したユーザーのデジタルデータをユーザーの秘密鍵で二重復号化することにより、当該データを復号化して前記ユーザーが使用できるようにする。
上述したように、前記クライアントと前記オンラインストレージの互いに異なる鍵で前記ユーザーのデータを非対称鍵二重暗/復号化することにより、前記ユーザーのデジタルデータに対して確実な機密性を提供することができるという長所がある。
しかし、前記非対称鍵二重暗/復号化方法は、対称鍵を利用した暗/復号化方法よりも最小7倍、最大125倍遅く、前記暗/復号化を行うべきユーザーのデータが大きければ大きいほど、前記非対称鍵二重暗/復号化にかかる時間が幾何級数的に増えるという短所がある。
これにより、ユーザーのデータは、暗/復号化速度の速い対称鍵暗号化方法で暗/復号化し、前記暗/復号化に使用される対称鍵を非対称鍵暗号化方法で二重暗/復号化することにより、ユーザーのデータに対する機密性をそのまま維持し、暗/復号化の速度を著しく向上させる方法及びシステムを提供しようとする。
図2は本発明の一実施例に係る対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法を適用したクラウドベースのデジタルデータ金庫システムを概略的に説明するための概念図である。
図2に示すように、対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法を適用したクラウドベースのデジタルデータ金庫システムは、ユーザークライアント200、前記クライアント200からユーザーの暗号化されたデジタルデータの伝送を受けてリポジトリに保存するデジタルデータ金庫100と、前記暗号化されたユーザーのデジタルデータを保存するデジタルデータリポジトリ300と、前記ユーザーのデジタルデータに対するメタデータである電子記録リストを保存するメタデータリポジトリ400と、ユーザーの情報を保存するユーザープロファイルリポジトリ500とを含んで構成される。
また、前記クライアント200は、ユーザーのデジタルデータを前記デジタルデータ金庫100に伝送する前に、当該デジタルデータに対する電子記録リストを生成する。
また、前記クライアント200は、前記デジタルデータをユーザーの対称鍵で対称鍵暗号化方法によって暗号化し、前記電子記録リストを前記ユーザーの公開鍵で非対称鍵暗号化方法によって暗号化して前記デジタルデータ金庫100へ伝送する。
一方、前記電子記録リストは、該当ユーザーのデジタルデータに対するファイル名(例:Test.docx)と、前記デジタルデータ金庫100から提供される当該暗号化されたデジタルデータに対する識別子(例えば10001などの2進数)とを含んで構成できる。
また、前記クライアント200は、前記対称鍵暗号化に使用されたユーザーの対称鍵を前記ユーザーの公開鍵で非対称鍵暗号化方法によって1次暗号化し、前記デジタルデータ金庫100から提供されるデジタルデータ金庫100の公開鍵で非対称鍵暗号化方法によって2次暗号化して前記デジタルデータ金庫100へ伝送する。
また、前記クライアント200は、前記ユーザーの公開鍵を、前記デジタルデータ金庫100に登録し、何時何処でも前記ユーザーが様々な端末を介してダウンロードして使用するようにすることができる。
一方、上述した対称鍵暗号化方法は、DES(Data Encryption Standard)、3−DES、AES(Advanced Encryption Standard)、SEED暗号化、ARIA(Academy、Research Institute、Agency)またはMASK暗号化などを含む対称型暗/復号化方法の少なくとも一つを選択して実行でき、前記非対称鍵暗号化方法は、RSA(Rivest Shamir Adleman)、DSA(Digital Signature Algorith)などを含む非対称型暗/復号化方法の少なくとも一つを選択して実行できる。
また、前記デジタルデータ金庫100は、前記暗号化されたユーザーのデジタルデータ、電子記録リスト及び二重暗号化されたユーザーの対称鍵を受信した場合には、前記暗号化されたユーザーのデジタルデータ、前記二重暗号化されたユーザーの対称鍵及び前記電子記録リストに対する識別子をそれぞれ発行し、これをマッピングした管理テーブルを生成する。
また、前記デジタルデータ金庫100は、前記デジタルデータリポジトリ300に前記暗号化されたユーザーのデジタルデータと前記二重暗号化された対称鍵を保存し、前記メタデータリポジトリ400には、前記管理テーブル及び前記暗号化された電子記録リストを保存する。
一方、前記デジタルデータ金庫100で生成した管理テーブルは、暗号化されたデジタルデータ、電子記録リスト及び二重暗号化された対称鍵に対するそれぞれの名前(例:OBJ1.obj)と、前記暗号化されたデジタルデータ、電子記録リスト及び二重暗号化された対称鍵がそれぞれ保存された位置(例えば、/usr/storage1)で構成できる。
また、前記デジタルデータ金庫100は、前記暗号化されたユーザーのデジタルデータに対して発行した識別子を前記クライアント200へ伝送し、前記識別子に基づいて前記ユーザーが前記クライアント200を介して前記デジタルデータ金庫100に保存されたユーザーのデジタルデータを常にダウンロードして使用できるようにする。
このように、本発明の一実施例に係る対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法を適用したデジタルデータ金庫システムは、容量の大きいユーザーのデジタルデータに対して対称鍵暗号化を行い、前記対称鍵を非対称鍵で二重暗号化する。これにより、暗/復号化の速度が相当遅い従来のオンライン保存システムとは異なり、ユーザーのデータに対する機密性及びセキュリティ性をそのまま維持し、暗/復号化の速度を著しく向上させることができるという効果がある。
図3は本発明の一実施例に係る対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法を適用したデジタルデータ金庫システムにおいて、ユーザーがデジタルデータをアップロードする方法を説明するための例示図である。
図3に示すように、前記ユーザーがクライアント200を介して前記デジタルデータ金庫100にユーザーのデジタルデータをアップロードする方法は、まず、ユーザーが前記デジタルデータ金庫100に保存する少なくとも一つのデジタルデータを前記クライアント200を介して選択する。
一方、前記クライアント200は、ユーザーが前記デジタルデータ金庫100を利用することができるようにPCまたはモバイル形態のGUI(Graphic User Interface)プログラムをいい、前記デジタルデータ金庫100から提供される或いはアプリストアからダウンロードされるアプリ(Application、App)などのアプリケーションの形で実現できる。
次に、前記クライアント200は、前記選択した少なくとも一つのデジタルデータを前記ユーザーの対称鍵を利用してそれぞれ暗号化する。
また、前記クライアント200は、前記暗号化に使用された対称鍵を前記ユーザーの公開鍵で1次暗号化し、前記デジタルデータ金庫100に要求して受信したデジタルデータ金庫の公開鍵で2次暗号化することにより、前記対称鍵を二重暗号化する。
その後、前記クライアント200は、否認防止と前記データの無欠性のために、二重暗号化されたユーザーの対称鍵及び暗号化されたユーザーのデジタルデータに対してデジタル署名を行い、前記デジタル署名を前記デジタルデータ金庫100の公開鍵で暗号化する。
次いで、前記暗号化されたデジタル署名、二重暗号化されたユーザーの対称鍵及び暗号化されたユーザーのデジタルデータを前記デジタルデータ金庫100に伝送する。
その後、前記デジタルデータ金庫100は、前記受信した暗号化されたデジタル署名を、前記デジタルデータ金庫100の秘密鍵で復号化し、既に登録して保存したユーザーの公開鍵で前記復号化したデジタル署名を検証して当該ユーザーの身元を確認する。
次に、前記デジタルデータ金庫100は、前記受信した暗号化されたユーザーのデジタルデータと二重暗号化されたユーザーの対称鍵に対する識別子をそれぞれ発行し、前記発行した識別子、前記暗号化されたユーザーのデジタルデータ及び前記二重暗号化された対称鍵をそれぞれマッピングした管理テーブルを生成する。
一方、前記管理テーブルは、前記暗号化されたユーザーのデジタルデータと二重暗号化されたユーザーの対称鍵に、前記発行した識別子をそれぞれマッピングして記録したメタデータである。
また、前記管理テーブルは、当該暗号化されたデジタルデータと当該二重暗号化された対称鍵の名前、及び前記暗号化されたデータ及び二重暗号化された対称鍵にそれぞれ発行された識別子を含んで構成される。
また、前記デジタルデータ金庫100は、前記暗号化されたデジタルデータと二重暗号化された対称鍵を前記デジタルデータリポジトリ300に保存し、前記生成した管理テーブルは、前記メタデータリポジトリ400に保存する。
次に、前記デジタルデータ金庫100は、前記暗号化されたユーザーのデジタルデータに発行した識別子を前記デジタルデータ金庫100の秘密鍵で1次暗号化し、前記ユーザーの公開鍵で2次暗号化して前記クライアント200へ伝送する。
その後、前記クライアント200は、前記デジタルデータ金庫100から前記暗号化されたデータに対する二重暗号化された識別子を受信した場合、前記受信した二重暗号化された識別子を前記ユーザーの秘密鍵で1次復号化し、前記デジタルデータ金庫100の公開鍵で2次復号化し、当該ユーザーのデジタルデータに対する識別子を取得する。
次いで、前記デジタルデータ金庫100を既に保存した電子記録リストを要求して受信する。
その後、前記クライアント200は、前記受信した電子記録リストを前記ユーザーの秘密鍵を用いて復号化し、この復号化された電子記録リストに、前記伝送したデータのファイル名と前記取得した識別子をマッピングして記録し、アップデートする。
次に、前記アップデートした電子記録リストを前記ユーザーの公開鍵で暗号化し、前記デジタルデータ金庫100へ伝送する。
その後、前記暗号化された電子記録リストを受信した前記デジタルデータ金庫100は、既に保存された当該ユーザーの暗号化された電子記録リストを、前記受信した暗号化された電子記録リストで交替して保存することにより、前記暗号化された電子記録リストをアップデートすることができる。
一方、前記クライアント200で生成したユーザーのデジタルデータに対する電子記録リストを前記デジタルデータ金庫100に保存する理由は、前記ユーザーのクライアント200に備えられたストレージの制限的な容量を克服し、前記ユーザーが様々な端末を介して前記デジタルデータ金庫100に接続してユーザーのデジタルデータをダウンロードするか、或いは新しいデジタルデータをアップロードすることができるようにするためである。つまり、端末の制限なく何時、何処でもユーザーが様々な端末を介して前記デジタルデータ金庫100を利用することができる。
もちろん、前記ユーザーは、前記デジタルデータ金庫100を利用するためには、前記デジタルデータ金庫100に接続して加入手順を行い、ユーザーの認証を行わなければならないのは当然である。
また、前記ユーザーのデジタルデータは、テキスト文書、イメージ、動画、またはこれらの組み合わせを含み、PC、スマートフォン、タブレットPCまたはノートPCなど、前記ユーザーが利用する様々な端末に保存できるすべてのデータファイルを意味する。
図4は本発明の一実施例に係る対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法を適用したデジタルデータ金庫システムにおいて、ユーザーがデジタルデータをダウンロードする方法を説明するための例示図である。
図4に示すように、前記ユーザーが前記デジタルデータ金庫100から自分のデジタルデータをダウンロードする方法は、まず、前記ユーザーが前記クライアント200を介して前記デジタルデータ金庫100に接続して前記デジタルデータ金庫100に保存したユーザーのデジタルデータに対する暗号化された電子記録リストを要求する。
次に、前記デジタルデータ金庫100は、前記生成した管理テーブルを参照して当該ユーザーの暗号化された電子記録リストを前記メタデータリポジトリ400から抽出した後、前記ユーザーのクライアント200へ伝送する。
その後、前記クライアント200は、前記ユーザーの秘密鍵で前記受信した電子記録リストに対する復号化を行い、この復号化した電子記録リストを参照して、前記ユーザーがダウンロードを希望するデジタルデータに対するファイルの名前にマッピングされている識別子を抽出した後、否認防止とデータの無欠性のためにデジタル署名をする。
次に、前記デジタル署名を、前記デジタルデータ金庫100の公開鍵で暗号化した後、前記暗号化されたデジタル署名と前記抽出した識別子を前記デジタルデータ金庫100へ伝送して当該識別子に対する前記ユーザーの暗号化されたデジタルデータを要求する。
次いで、前記デジタルデータ金庫100は、前記受信した暗号化されたデジタル署名を、前記デジタルデータ金庫100の秘密鍵で復号化し、前記メタデータリポジトリ400に既に保存したユーザーの公開鍵で、前記復号化したデジタル署名を検証することにより、前記ユーザーの身元を確認する。
その後、前記生成した管理テーブルを参照して、前記受信した識別子に該当する暗号化されたユーザーのデータと二重暗号化されたユーザーの対称鍵を検索及び抽出する。
次に、前記デジタルデータ金庫100は、前記抽出したユーザーの対称鍵を前記デジタルデータ金庫100の秘密鍵で1次的に復号化し、さらに前記ユーザーの公開鍵で2次的に二重暗号化した後、前記抽出した暗号化されたユーザーのデジタルデータ、前記二重暗号化したユーザーの対称鍵に対してデジタル署名をする。
その後、前記デジタル署名を、前記ユーザーの公開鍵で暗号化した後、前記暗号化されたユーザーのデジタルデータ及び二重暗号化された対称鍵と一緒に前記ユーザークライアント200へ伝送する。
次いで、前記クライアント200は、前記受信した暗号化されたデジタル署名を前記ユーザーの秘密鍵で復号化し、前記復号化したデジタル署名を前記デジタルデータ金庫100の公開鍵で検証する。
次に、前記受信した二重暗号化されたユーザーの対称鍵を前記ユーザーの秘密鍵を用いて二重復号化過程によって復号化する。
その後、前記クライアント200は、前記復号化した対称鍵を用いて、前記受信した暗号化されたユーザーのデジタルデータを復号化することにより、前記ユーザーが当該デジタルデータを使用することができるようにする。
図5は本発明の一実施例に係るユーザークライアントの構成を示すブロック図である。
図5に示すように、ユーザークライアント200は、ユーザーにユーザーインターフェースを提供するユーザーインターフェース部210、ユーザーのデジタルデータを管理するデータ管理部220、前記ユーザーのデータに対して暗/復号化を行うセキュリティ管理部230、及びデジタルデータ金庫100との間で暗号化されたデータを送信/受信するための通信インターフェース部240を含んで構成される。
また、前記ユーザークライアント200は、前記デジタルデータ金庫100で提供されるアプリなどのアプリケーションの形で、前記ユーザーの端末にインストールされて実現できる。
また、前記ユーザーインターフェース部210は、クライアントグラフィックス処理のためのGUI(Graphic User Interface)を提供する。これにより、前記ユーザーは、前記クライアント200を視覚的に簡便に操作して前記デジタルデータ金庫100を利用するための様々な機能を制御することができる。
また、前記データ管理部220は、前記デジタルデータ金庫100に関連するユーザーのデジタルデータを処理し、前記デジタルデータ金庫100に保存するユーザーの少なくとも一つのデータを、前記クライアント200に備えられたストレージから選択して読み取ったり、前記デジタルデータ金庫100から伝送されたユーザーのデジタルデータを前記ストレージに保存したり、前記ユーザーが当該デジタルデータを利用したりすることができるようにする。
また、前記データ管理部220は、前記デジタルデータ金庫200に保存するデータに対する電子記録リストに対して生成、追加、修正、削除またはこれらの組み合わせに対する機能を行い、前記生成した電子記録リストを保存して管理する。
また、前記データ管理部220は、前記ユーザーの公開鍵を前記デジタルデータ金庫100に登録し、前記登録したユーザーの公開鍵を前記デジタルデータ金庫100に要求して受信する機能を提供する。
また、前記データ管理部220は、前記デジタルデータ金庫100からデジタルデータ金庫の公開鍵を要求して受信し、前記受信したデジタルデータ金庫100の公開鍵を前記セキュリティ管理部230に提供する。
また、前記セキュリティ管理部230は、否認防止とデータの無欠性のためにデジタル署名をする。
また、前記セキュリティ管理部230は、データを暗号化する暗号化部231、及びデータを復号化する復号化部232を含んで構成される。
また、前記暗号化部231は、前記データ管理部220で選択された少なくとも一つのデジタルデータに対してユーザーの対称鍵で暗号化し、該対称鍵をユーザーの公開鍵及び前記デジタルデータ金庫100の公開鍵で二重暗号化して前記デジタルデータ金庫100へ伝送する。
一方、前記暗号化部231は、容量の大きいユーザーのデータに対して対称鍵暗号化を行い、前記ユーザーのデータに比べて容量が著しく小さい当該暗号化に使用された対称鍵に対して非対称鍵二重暗号化を行う。これにより、前記ユーザーの対称鍵がハッカーまたは第三者によって容易に流出しないようにして前記ユーザーのデータに対する不正なアクセスを事前に遮断し、データに対する機密性をそのまま維持するとともに前記ユーザーのデータの暗/復号化にかかる時間を著しく減らすことができるという効果がある。
また、前記暗号化部231は、データ管理部220で生成した電子記録リスト、または前記データ管理部200でアップデートした電子記録リストを前記ユーザーの公開鍵で暗号化して前記デジタルデータ金庫100へ伝送する。
また、前記復号化部232は、前記ユーザーが前記クライアント200を介して前記デジタルデータ金庫100に保存されたユーザーの特定のデジタルデータをダウンロードする場合に受信される前記電子記録リスト、二重暗号化されたユーザーの対称鍵、及び暗号化されたユーザーのデジタルデータを復号化する。
また、前記復号化部232は、前記受信した電子記録リストをユーザーの秘密鍵で復号化する。
一方、前記二重暗号化されたユーザーの対称鍵は、前記デジタルデータ金庫100から、前記金庫100の秘密鍵で1次的に復号化され、さらに2次的にユーザーの公開鍵で二重暗号化されて前記クライアント200へ伝送され、前記復号化部232は、前記受信した二重暗号化された対称鍵をユーザーの秘密鍵で二重復号化する。
また、前記復号化部232は、前記復号化したユーザーの対称鍵で、前記受信したユーザーのデジタルデータを復号化してユーザーが使用できるようにする。
図6は本発明の一実施例に係るデジタルデータ金庫の構成を示すブロック図である。
図6に示すように、デジタルデータ金庫100は、ネットワーク接続に関連する処理を担当するネットワーク通信サービス提供部110と、前記デジタルデータ金庫100が共通に必要とする機能を提供する共通サービス提供部120と、暗号化されたユーザーのデジタルデータ及び管理テーブルを保存/管理するデータ管理部130と、ユーザーのセキュリティに関連する機能を提供するセキュリティ管理部140と、ユーザーの暗号化されたデータが保存されるデジタルデータリポジトリ400を管理するストレージ管理部150とを含んで構成される。
また、前記デジタルデータ金庫100は、前記デジタルデータ金庫100に関連したメタデータを保存するメタデータリポジトリ400、前記デジタルデータ金庫100にアクセスするための最小限のユーザーに対する情報を保存するユーザープロファイルリポジトリ500、及び前記ユーザーの暗号化されたデータを保存するクラウドベースのデジタルデータリポジトリ300を備える。
また、前記ネットワーク通信サービス提供部110は、前記ユーザークライアント200とのネットワーク接続に関連する処理を担当する。
また、前記ネットワーク通信サービス提供部110は、前記デジタルデータ金庫100とユーザークライアント200が暗号化通信を行う場合には、前記デジタルデータ金庫100とユーザークライアント200との間で送信/受信されるパケットに対する暗号化を行う。
また、前記ネットワーク通信サービス提供部110は、前記デジタルデータ金庫100に接続したユーザー(ユーザーのクライアント)のセッションを管理し、前記ユーザークライアント200のデジタルデータに対するアップロードまたはダウンロードを含む様々な要求を処理する。
また、前記ネットワーク通信サービス提供部110は、前記デジタルデータ金庫100と前記ユーザークライアント200との間で送信/受信されるメッセージを管理し、Web上で情報のやりとりを行うことができるHTTPプロトコル、及び前記HTTPを介してXMLベースのメッセージをネットワーク上で交換することができるSOAPプロトコルを提供し、現在接続されているネットワークのプロパティに関する情報を提供することができる。
また、前記共通サービス提供部120は、前記デジタルデータ金庫100の各構成部分から発生するエラー/例外に対する処理機能、ユーザーのログイン記録、全体システムをモニタリングするシステムモニタリング機能、前記ユーザーごとに課金を徴収するメータリング/ビリング機能、複数のユーザーから要求された複数の作業を同時に行うことができるようにするバッチハンドリング機能、及び前記デジタルデータ金庫システムに対する設定情報を提供することができる。
また、前記データ管理部130は、ユーザーのデータに対する暗号化及び復号化を行う暗/復号化モジュール131と、前記ユーザーの暗号化されたデジタルデータ、二重暗号化されたユーザーの対称鍵及び前記ユーザーの電子記録リストに対してそれぞれ識別子を発行する識別子発行モジュール132と、管理テーブルを生成、保存及び管理するメタデータ管理モジュール133と、ユーザーの暗号化されたデジタルデータを保存し、或いは検索及び抽出して当該ユーザーに提供するデータ管理モジュール134とを含んで構成される。
また、前記識別子発行モジュール132は、前記ユーザークライアント200からユーザーのデジタルデータを前記デジタルデータ金庫100にアップロードするために、前記ユーザーの暗号化されたデジタルデータ、ユーザーの二重暗号化された対称鍵及び電子記録リストを受信した場合、前記受信した暗号化されたデジタルデータ、前記二重暗号化された対称鍵及び電子記録リストにそれぞれ識別子を発行する。
また、前記暗/復号化モジュール131は、前記発行した識別子をデジタルデータ金庫100の秘密鍵で1次的に非対称鍵暗号化し、前記ユーザーの公開鍵で2次的に非対称鍵暗号化して前記ユーザークライアント200へ伝送する。
また、前記メタデータ管理モジュール133は、前記暗号化されたデジタルデータ、二重暗号化された対称鍵、及び電子記録リストに発行された識別子をそれぞれマッピングした管理テーブルを生成し、前記生成した管理テーブルを前記メタデータリポジトリ400に保存する。
また、前記メタデータ管理モジュール133は、前記ユーザークライアント200からアップデートされた電子記録リストを受信する場合には、既存に保存されたユーザーの電子記録リストを代替して保存することによりアップデートする。
また、前記データ管理モジュール134は、前記受信したユーザーの暗号化されたデジタルデータ及び二重暗号化された対称鍵を前記デジタルデータリポジトリ300に保存する。
また、前記ユーザークライアント200から特定のデータに対する識別子を受信し、当該識別子にマッピングされたユーザーの特定のデジタルデータのダウンロードに対する要求がある場合、前記データ管理モジュール134は、既に生成した管理テーブルを参照して、前記受信した識別子に該当する暗号化されたユーザーのデジタルデータと当該暗号化されたデジタルデータに対する二重暗号化された対称鍵を前記デジタルデータリポジトリ300から抽出する。
また、前記暗/復号化モジュール131は、前記抽出した二重暗号化された対称鍵を前記デジタルデータ金庫100の秘密鍵で1次的に復号化した後、前記ユーザーの公開鍵で2次的に暗号化して前記対称鍵を二重暗号化する。
また、前記デジタルデータ金庫100は、前記二重暗号化したユーザーの対称鍵及び前記抽出したユーザーのデジタルデータを前記ユーザークライアント200へ伝送し、前記ユーザークライアント200が前記デジタルデータを復号化して使用することができるようにする。
また、前記セキュリティ管理部140は、ユーザーのアカウントを管理するユーザーアカウント管理モジュール141と、デジタル署名を検証するデジタル署名検証モジュール142と、ユーザーの認証を処理するユーザー認証モジュール143と、ユーザーのデジタルデータに対するアクセスを制御するアクセス制御モジュール144と、前記ユーザーの公開鍵、前記デジタルデータ金庫100の公開鍵及び秘密鍵を管理する鍵管理モジュール145と、ユーザー情報を暗号化するユーザー情報暗号化モジュール146とを含んで構成される。
また、前記ユーザーアカウント管理モジュール141は、前記ユーザーが前記デジタルデータ金庫100を利用するために加入するときに提供したユーザーごとのID、パスワード及びその他のユーザー情報を管理する。
また、前記ユーザーアカウント管理モジュール141は、前記デジタルデータ金庫100にユーザーの加入または脱退によるユーザーのアカウントを生成または削除して前記ユーザーのアカウントを管理する。
また、前記デジタル署名検証モジュール142は、前記ユーザークライアント200から暗号化されたユーザーのデジタルデータ、二重暗号化された対称鍵及び電子記録リストに対する否認防止とデータの無欠性のために行ったデジタル署名を前記ユーザーの公開鍵を用いて検証する。
一方、前記ユーザークライアント200で行われたデジタル署名は、ユーザーの身元を証明する一つの方法であって、前記デジタルデータ金庫100の公開鍵で暗号化されて伝送される。
また、前記ユーザー認証モジュール143は、前記デジタルデータ金庫100に対するユーザーの認証を処理し、前記ユーザーのクライアント200から前記ユーザーのユーザーID及びパスワードを含むユーザー情報を受信して、前記ユーザーがデジタルデータ金庫100を利用するために加入するときに提供したユーザー情報と比較してユーザーの認証要求を処理する。
また、前記アクセス制御モジュール144は、前記ユーザー認証を行ったユーザーに対して当該ユーザーのデジタルデータへのアクセスを許可するか、或いは前記ユーザーの認証を行っていないユーザーまたは第三者がデジタルデータにアクセスすることを拒否する。
また、前記鍵管理モジュール145は、前記ユーザークライアント200から当該ユーザーの公開鍵の提供を受けて保存及び管理し、前記ユーザーが様々な端末を介して前記ユーザーの公開鍵を常に利用することができるようにする。
また、前記鍵管理モジュール145は、前記デジタルデータ金庫100の公開鍵を保存管理し、前記ユーザーが前記デジタルデータ金庫100の公開鍵を常に利用することができるようにする。
一方、前記鍵管理モジュール145は、前記デジタルデータ金庫100の秘密鍵も保存管理することができる。
また、前記ユーザー情報暗号化モジュール146は、前記ユーザーのID、パスワードを含むユーザーの情報を暗号化してユーザープロファイルリポジトリ500に保存する。
また、前記ストレージ管理部150は、前記少なくとも一つのデジタルデータリポジトリ300、前記メタデータリポジトリ400、及び前記ユーザープロファイルリポジトリ500を管理する。
また、前記ストレージ管理部150は、前記ユーザーが、暗号化されたデジタルデータを前記デジタルデータ金庫100の提供するデジタルデータリポジトリ300ではなく、第3のオンラインストレージに保存しようとする場合にも、前記ストレージ管理部150を介してマウント及び保存することができる。
図7は本発明の一実施例に係るユーザーのデジタルデータをアップロード及びダウンロードする手順を示すフローチャートである。
図7に示すように、前記ユーザーのデジタルデータをアップロード及びダウンロードする手順は、まず、前記ユーザーが前記ユーザークライアント200を介してデジタルデータ金庫100に接続してユーザー認証を行い、ログインする(S100)。
次に、前記ユーザーのデジタルデータをアップロードするために、前記クライアント200は、アップロードするユーザーのデジタルデータをユーザーの対称鍵で対称鍵暗号化し、前記暗号化に使用された対称鍵を二重暗号化して、デジタル署名をする。また、前記デジタル署名を前記デジタルデータ金庫100の公開鍵で暗号化して、前記二重暗号化した対称鍵、前記暗号化したデジタルデータ及び前記暗号化したデジタル署名をデジタルデータ金庫100に伝送する(S110)。
一方、前記対称鍵は、前記デジタルデータの暗号化に使用されたユーザーの対称鍵を、前記ユーザーの公開鍵で非対称鍵暗号化方法によって1次暗号化し、前記デジタルデータ金庫100から提供されたデジタルデータ金庫100の公開鍵で非対称鍵暗号化方法によって2次暗号化することにより、二重暗号化される。
次に、前記デジタルデータ金庫100は、前記受信した暗号化されたデジタル署名を、前記デジタルデータ金庫100の秘密鍵で復号化し、既に登録したユーザーの公開鍵で検証してユーザーの身元を確認する。また、前記ユーザーの身元が確認された場合には、前記受信したユーザーの暗号化されたデジタルデータと二重暗号化された対称鍵に対してそれぞれ識別子を発行し、マッピングした管理テーブルを生成し、前記暗号化されたデジタルデータと二重暗号化されたユーザーの対称鍵は前記デジタルデータリポジトリ300に保存し、前記生成した管理テーブルは前記メタデータリポジトリ400に保存する(S111)。
一方、前記デジタルデータ金庫100の公開鍵及び前記ユーザーの公開鍵は、前記デジタルデータ金庫100に保存して登録することにより、前記ユーザーが必要に応じて何時でもダウンロードして使用することができるようにする。
また、前記管理テーブルは、前記発行した識別子、当該暗号化されたデジタルデータ及び二重暗号化された対称鍵をそれぞれマッピングして記録したメタデータである。
次に、前記デジタルデータ金庫100は、前記暗号化されたデジタルデータに発行した識別子を二重暗号化して前記ユーザークライアント200へ伝送する(S112)。
一方、前記識別子は、前記デジタルデータ金庫100を介して前記デジタルデータ金庫100の秘密鍵で1次暗号化され、前記ユーザーの公開鍵で2次暗号化される。
次に、前記ユーザークライアント200は、前記二重暗号化された識別子を受信した場合には、前記デジタルデータ金庫100に当該ユーザーの暗号化された電子記録リストを要求して受信し、前記電子記録リストと識別子を復号化する(S113)。
一方、前記二重暗号化された識別子は、前記ユーザーの秘密鍵で1次復号化され、前記デジタルデータ金庫100の秘密鍵で2次復号化される。また、前記電子記録リストは前記ユーザーの秘密鍵で復号化される。
次に、前記ユーザークライアント200は、前記復号化された識別子を前記復号化された電子記録リストに追加してアップデートし、このアップデートされた電子記録リストを前記ユーザーの公開鍵で暗号化した後、前記デジタルデータ金庫100へ伝送する(S114)。
一方、前記デジタルデータ金庫100は、前記受信した暗号化された電子記録リストをアップデートして保存する。
前記ユーザーのデジタルデータをダウンロードする手順は、次のとおりである。まず、前記ユーザーは、前記ユーザークライアント200を介して前記デジタルデータ金庫100に接続してユーザー認証を行い、ログインする(S100)。
その後、前記ユーザークライアント200は、前記デジタルデータ金庫100に電子記録リストを要求して受信した後、電子記録リストを前記ユーザーの秘密鍵を用いて復号化する(S120)。
次に、前記クライアント200は、前記復号化された電子記録リストからダウンロードするユーザーのデジタルデータとマッピングされた識別子を抽出してデジタル署名をする。また、前記デジタル署名を、前記デジタルデータ金庫100の公開鍵で暗号化した後、前記抽出した識別子と一緒に前記デジタルデータ金庫100へ伝送する(S121)。
その後、前記デジタルデータ金庫100は、前記受信した暗号化されたデジタル署名を、前記デジタルデータ金庫100の秘密鍵で復号化し、この復号化されたデジタル署名を前記ユーザーの公開鍵で検証して、当該ユーザーの身元を確認する。また、前記ユーザーの身元が確認された場合には、前記受信した識別子に該当する暗号化されたデジタルデータと二重暗号化された対称鍵を検索して抽出する(S122)。
次に、前記デジタルデータ金庫100は、前記抽出した二重暗号化された対称鍵を前記デジタルデータ金庫100の秘密鍵で1次的に復号化し、前記ユーザーの公開鍵で2次的に二重暗号化した後、デジタル署名をする。また、前記デジタル署名を前記ユーザーの公開鍵で暗号化し、前記抽出した暗号化されたユーザーのデジタルデータ、前記二重暗号化された対称鍵、及び前記暗号化されたデジタル署名を前記クライアント200に伝送する。
その後、前記ユーザークライアント200は、前記受信した暗号化されたデジタル署名を前記ユーザーの秘密鍵で復号化して、前記デジタルデータ金庫100の公開鍵で、前記復号化されたデジタルデータを検証する。また、前記受信した二重暗号化された対称鍵を前記ユーザーの秘密鍵で二重復号化して当該対称鍵を取得する。次に、前記取得された対称鍵を用いて、前記受信したデジタルデータを復号化して前記ユーザーが使用できるようにする(S124)。
上述したように、対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法は、容量の大きいユーザーのデジタルデータに対して暗/復号化の速度が速い対称鍵暗号化方法を適用し、容量の小さい前記対称鍵に対して非対称鍵暗号化方法を適用することにより、前記ユーザーのデジタルデータの機密性をそのまま維持するとともに、暗/復号化の速度を著しく向上させることができるという効果がある。
また、本発明の対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法は、上述したクラウドベースのデジタルデータ金庫システムだけでなく、データを送信/受信する様々なシステムで適用できるのはもちろんである。
以上、本発明に係る好適な実施例を中心に述べたが、本発明の技術的思想はこれに限定されるものではない。本発明の各構成要素は、同じ目的及び効果の達成のために、本発明の技術的範囲内で変更または修正を加えることができるだろう。
また、本発明の好適な実施例について図示及び説明したが、本発明は、上述した特定の実施例に限定されるものではなく、請求の範囲で請求する本発明の要旨を逸脱することなく、当該発明の属する技術分野における通常の知識を有する者によって多様な変形実施が可能であり、それらの変形実施は本発明の技術的思想や展望から個別的に理解されてはならない。
100 デジタルデータ金庫
110 ネットワーク通信サービス提供部
120 共通サービス提供部
130 データ管理部
131 暗/復号化モジュール
132 識別子発行モジュール
133 メタデータ管理モジュール
134 データ管理モジュール
140 セキュリティ管理部
141 ユーザーアカウント管理モジュール
142 デジタル署名検証モジュール
143 ユーザー認証モジュール
144 アクセス制御モジュール
145 鍵管理モジュール
146 ユーザー情報暗号化モジュール
150 ストレージ管理部
200 ユーザークライアント
210 ユーザーインターフェース部
220 データ管理部
230 セキュリティ管理部
231 暗号化部
232 復号化部
240 通信インターフェース部
300 デジタルデータリポジトリ
400 メタデータリポジトリ
500 ユーザープロファイルリポジトリ

Claims (12)

  1. デジタルデータに対して対称鍵で暗号化する段階と、
    前記暗号化に使用した対称鍵を非対称鍵で二重暗号化する段階とを含むことを特徴とする、デジタルデータの暗号化速度を改善する方法。
  2. 前記暗号化はユーザーのクライアントで行われ、
    前記暗号化されたデジタルデータと前記二重暗号化された対称鍵はデジタルデータ金庫に保存されることを特徴とする、請求項1に記載のデジタルデータの暗号化速度を改善する方法。
  3. 前記対称鍵にはユーザーの対称鍵が使用され、
    前記二重暗号化には前記ユーザーの公開鍵と前記デジタルデータ金庫の公開鍵が使用されることを特徴とする、請求項2に記載のデジタルデータの暗号化速度を改善する方法。
  4. デジタルデータを対称鍵で暗号化し、前記対称鍵をさらに非対称鍵で二重暗号化した場合、前記暗号化されたデジタルデータの復号化速度を改善する方法において、
    前記対称鍵を非対称鍵で二重復号化する段階と、
    前記二重復号化された対称鍵を用いて、前記暗号化されたデジタルデータを復号化する段階とを含むことを特徴とする、デジタルデータの復号化速度を改善する方法。
  5. 前記暗号化されたデジタルデータは、ユーザーのクライアントで復号化され、
    前記二重暗号化された対称鍵は、デジタルデータ金庫で秘密鍵によって1次的に復号化され、さらに2次的にユーザーの公開鍵によって二重暗号化されてユーザーのクライアントへ伝送されることを特徴とする、請求項4に記載のデジタルデータの復号化速度を改善する方法。
  6. 前記ユーザーのクライアントに伝送された二重暗号化された対称鍵は、
    前記ユーザーのクライアントでユーザーの秘密鍵によって二重復号化されることを特徴とする、請求項5に記載のデジタルデータの復号化速度を改善する方法。
  7. デジタルデータを管理するデータ管理部、及び
    デジタルデータに対して対称鍵で暗号化し、前記暗号化に使用した対称鍵を非対称鍵で二重暗号化するセキュリティ管理部を含むことを特徴とする、デジタルデータの暗号化速度を改善するシステム。
  8. 前記暗号化はユーザーのクライアントで行われ、
    前記暗号化されたデジタルデータと前記二重暗号化された対称鍵はデジタルデータ金庫に保存されることを特徴とする、請求項7に記載のデジタルデータの暗号化速度を改善するシステム。
  9. 前記対称鍵にはクライアントに対するユーザーの対称鍵が使用され、
    前記二重暗号化には前記ユーザーの公開鍵と前記デジタルデータ金庫の公開鍵が使用されることを特徴とする、請求項8に記載のデジタルデータの暗号化速度を改善するシステム。
  10. デジタルデータを対称鍵で暗号化し、前記対称鍵をさらに非対称鍵で二重暗号化して、前記暗号化されたデジタルデータの復号化速度を改善するシステムにおいて、
    前記デジタルデータを管理するデータ管理部と、
    前記対称鍵を非対称鍵で二重復号化し、前記二重復号化された対称鍵を用いて、前記暗号化されたデジタルデータを復号化するセキュリティ管理部とを含むことを特徴とする、デジタルデータの復号化速度を改善するシステム。
  11. 前記暗号化されたデジタルデータは、ユーザーのクライアントで復号化され、
    前記二重暗号化された対称鍵は、デジタルデータ金庫で秘密鍵によって1次的に復号化され、さらに2次的にユーザーの公開鍵によって二重暗号化されてユーザーのクライアントへ伝送されることを特徴とする、請求項10に記載のデジタルデータの復号化速度を改善するシステム。
  12. 前記ユーザーのクライアントに伝送された二重暗号化された対称鍵は、前記ユーザーのクライアントでユーザーの秘密鍵によって二重復号化されることを特徴とする、請求項11に記載のデジタルデータの復号化速度を改善するシステム。
JP2016220313A 2015-12-16 2016-11-11 対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法 Pending JP2017112604A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2015-0180109 2015-12-16
KR1020150180109A KR101648364B1 (ko) 2015-12-16 2015-12-16 대칭키 암호화와 비대칭키 이중 암호화를 복합적으로 적용한 암/복호화 속도개선 방법

Publications (1)

Publication Number Publication Date
JP2017112604A true JP2017112604A (ja) 2017-06-22

Family

ID=56854595

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016220313A Pending JP2017112604A (ja) 2015-12-16 2016-11-11 対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法

Country Status (3)

Country Link
JP (1) JP2017112604A (ja)
KR (1) KR101648364B1 (ja)
CN (1) CN107070856A (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102349682B1 (ko) * 2017-03-13 2022-01-11 주식회사 엘지유플러스 증강현실을 이용한 금고 서비스 방법 및 이를 제공하는 이동단말기
CN108880859B (zh) * 2018-05-23 2022-01-28 北京五八信息技术有限公司 升级文件的配置方法、装置、服务器、终端及存储介质
US11451380B2 (en) * 2019-07-12 2022-09-20 Red Hat, Inc. Message decryption dependent on third-party confirmation of a condition precedent
KR20210044581A (ko) * 2019-10-15 2021-04-23 곽호림 블록체인 기반 암호화폐 상속 방법 및 장치
KR102573032B1 (ko) * 2019-11-11 2023-09-01 주식회사 빅스터 데이터 이중암복호화 기반 보안 강화 블록체인 시스템
CN112149168A (zh) * 2020-10-10 2020-12-29 中育数据(广州)科技有限公司 一种文件数据加密方法、装置及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007088614A (ja) * 2005-09-20 2007-04-05 Mitsubishi Electric Corp コンテンツ暗号化装置およびコンテンツ復号化装置
JP2015213288A (ja) * 2014-04-14 2015-11-26 株式会社テララコード研究所 光学コード、情報伝達方法、及び認証方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020041857A (ko) * 2000-11-29 2002-06-05 오경수 공개키 기반구조에서 개인키 이동과 로밍서비스를 위한이중암호화 및 송/수신방법
US7181016B2 (en) * 2003-01-27 2007-02-20 Microsoft Corporation Deriving a symmetric key from an asymmetric key for file encryption or decryption
CN102117395A (zh) * 2009-12-31 2011-07-06 英华达(上海)电子有限公司 电子数字信息的版权保护方法和系统、电子终端
CN102377560A (zh) * 2010-08-19 2012-03-14 北京韩美智恒科技有限公司 一种移动通信终端数据加密方法及装置
KR101516114B1 (ko) * 2014-02-13 2015-05-04 부경대학교 산학협력단 인증서 기반 프록시 재암호화 방법 및 이를 위한 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007088614A (ja) * 2005-09-20 2007-04-05 Mitsubishi Electric Corp コンテンツ暗号化装置およびコンテンツ復号化装置
JP2015213288A (ja) * 2014-04-14 2015-11-26 株式会社テララコード研究所 光学コード、情報伝達方法、及び認証方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
中村 勝洋 ほか: "ETCにおけるセキュリティ技術", NEC技報, vol. 第50巻 第7号, JPN6017049050, 25 July 1997 (1997-07-25), pages 156 - 161, ISSN: 0003706211 *
村中 宏彰 ほか: "オフィスにおける既存システムとの連携によるセキュアなプリンティングシステムのサーバレス化の提案と評価", 電子情報通信学会技術研究報告, vol. 109, no. 379, JPN6017049047, 14 January 2010 (2010-01-14), JP, pages 69 - 74, ISSN: 0003706209 *
池野 信一 ほか, 現代暗号理論, vol. 初版第6刷, JPN6013056566, 15 November 1997 (1997-11-15), JP, pages 54 - 56, ISSN: 0003846774 *
関 一則 ほか: "暗号を利用した新しいソフトウェア流通形態の提案", 情報処理学会研究報告, vol. 93, no. 64, JPN6017049049, 20 July 1993 (1993-07-20), JP, pages 19 - 28, ISSN: 0003706210 *

Also Published As

Publication number Publication date
CN107070856A (zh) 2017-08-18
KR101648364B1 (ko) 2016-08-16

Similar Documents

Publication Publication Date Title
US10069806B2 (en) Secure transfer and use of secret material in a shared environment
US9832016B2 (en) Methods, systems and computer program product for providing verification code recovery and remote authentication
US11233658B2 (en) Digital transaction signing for multiple client devices using secured encrypted private keys
US10263962B2 (en) User authentication over networks
RU2718689C2 (ru) Управление конфиденциальной связью
EP3090520B1 (en) System and method for securing machine-to-machine communications
US9852300B2 (en) Secure audit logging
EP2954448B1 (en) Provisioning sensitive data into third party network-enabled devices
CN101605137B (zh) 安全分布式文件系统
US11196561B2 (en) Authorized data sharing using smart contracts
JP2017112604A (ja) 対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法
US10462112B1 (en) Secure distributed authentication data
US11757625B2 (en) Multi-factor-protected private key distribution
US11783091B2 (en) Executing entity-specific cryptographic code in a cryptographic coprocessor
US20210194694A1 (en) Data processing system
US20190305940A1 (en) Group shareable credentials
Malik et al. Cloud computing security improvement using Diffie Hellman and AES
US20210111901A1 (en) Executing entity-specific cryptographic code in a trusted execution environment
Chang et al. A dependable storage service system in cloud environment
Gagged et al. Improved secure dynamic bit standard technique for a private cloud platform to address security challenges
Abu-Tair et al. Transparent Encryption for IoT Using Offline Key Exchange over Public Blockchains
Barrios et al. Secure Key Distribution Prototype Based on Kerberos
EP4042630A1 (en) Executing entity-specific cryptographic code in a cryptographic coprocessor
CN117716666A (zh) 用于向用户提供自主身份云服务的方法、云服务方法、云服务器、自主身份方法
SUDARSHAN et al. PANDA: Public Auditing For Shared Data with Efficient User Revocation in the Cloud

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180322

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180730