JP2020036170A - 情報処理装置、情報処理方法、およびプログラム - Google Patents

情報処理装置、情報処理方法、およびプログラム Download PDF

Info

Publication number
JP2020036170A
JP2020036170A JP2018160678A JP2018160678A JP2020036170A JP 2020036170 A JP2020036170 A JP 2020036170A JP 2018160678 A JP2018160678 A JP 2018160678A JP 2018160678 A JP2018160678 A JP 2018160678A JP 2020036170 A JP2020036170 A JP 2020036170A
Authority
JP
Japan
Prior art keywords
encryption key
information
information processing
shared
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018160678A
Other languages
English (en)
Other versions
JP7077873B2 (ja
Inventor
諒 古川
Ryo Furukawa
諒 古川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2018160678A priority Critical patent/JP7077873B2/ja
Priority to US16/533,939 priority patent/US11349641B2/en
Publication of JP2020036170A publication Critical patent/JP2020036170A/ja
Application granted granted Critical
Publication of JP7077873B2 publication Critical patent/JP7077873B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】ネットワークに安定して接続されなくても、エッジの自律的な再起動と情報の暗号化とを両立し、セキュアかつ継続的なIoTシステムの稼働を可能とする情報処理装置を提供する。【解決手段】信頼済みソフトウェアのみがアクセスできるアクセス制限領域を含み、第一暗号鍵を保管する第一暗号鍵保管部111がアクセス制限領域の内部に構成されるセキュアストレージ11と、複数の分散情報を集約して第二暗号鍵を構築する第二暗号鍵構築部12と、自装置の起動に応じて第二暗号鍵構築部に構築させた第二暗号鍵を出力するセットアップ処理起動部13と、信頼済みソフトウェアとして実行され、セットアップ処理起動部13から取得した第二暗号鍵と、第一暗号鍵保管部111から取得した第一暗号鍵とを用いてEFS暗号鍵を構築し、構築したEFS暗号鍵を用いて暗号化ファイルシステムをセットアップするソフトウェアセットアップ部152とを備える。【選択図】図2

Description

本発明は、情報処理装置、情報処理方法、およびプログラムに関する。特に、本発明は、暗号化領域を含むファイルシステムを利用して情報を保護する情報処理装置、情報処理方法、およびプログラムに関する。
IoT(Internet of Things)とは、様々なモノがインターネットに接続され、モノによるデータの収集や、モノに対するアクチエーションが可能となる仕組みである。IoTシステムにおいては、モノに対応するIoTデバイスとクラウドとの間に、簡易的なデータ処理を行うエッジと呼ばれるコンピュータが配置される。
コンピュータの性能の向上に伴って、AI(Artificial Intelligence)に代表される高負荷なデータ処理をエッジでも実行できるようになった。その結果、エッジにおける即時のデータ処理と、IoTデバイスへの即時の反映とが可能になった。エッジが様々な処理を実行するようになると、その処理に使用されるデータや、処理されたデータ、処理プログラム自体が価値のある情報となってくる。そのため、エッジに対しても高度なセキュリティが求められる。特に、AIのモデルは大きなコストをかけて学習されたものであるため、これらの情報の流出はIoTシステムのユーザにとってリスクとなる。エッジは、工場や都市内に分散して配置されることから、全てのエッジに対して物理的な盗難防止コストをかけることは困難である。そのため、エッジが盗難された際に、エッジ内の情報を保護することが求められている。
パーソナルコンピュータ等の端末装置は、内部に保存された情報を盗難されないように、ハードディスク暗号化や暗号化ファイルシステム等の技術によって保護される。これらの技術によれば、オペレーティングシステム(OS:Operating System)の層で暗号化された情報へのアクセス方法を抽象化することにより、アプリケーションが個別に情報を復号しなくても当該情報にアクセスできる。そのため、これらの技術を用いれば、利便性とセキュリティとが両立する。しかしながら、これらの技術では、暗号化された情報を復号するための復号鍵を得るために、管理者による鍵やパスワードの入力や、管理サーバによる鍵の配布が必要である。
特許文献1には、フルディスク暗号化を利用して暗号化され、OSを記憶する記憶媒体を有するコンピュータデバイスをブート処理する方法について開示されている。
特許文献2には、暗号鍵を事前に管理者(第三者機関)に教えることなく、かつ演算機能を有する記憶媒体を紛失した際にリカバリする暗号鍵を限定できる機密情報管理システムについて開示されている。
特許文献3には、複数の端末装置で共有するデータを暗復号するための暗号鍵を生成する鍵生成装置について開示されている。特許文献3の装置は、公開鍵と秘密鍵とを生成し、第1の分散鍵と第2の分散鍵とからなる1組の分散鍵から秘密鍵を生成することが可能な分散鍵の組を生成する秘密分散法を用いて、第1の分散鍵と第2の分散鍵との組を複数の端末装置の分だけ生成する。特許文献3の装置は、生成された分散鍵の組に含まれる複数の第1の分散鍵のそれぞれを複数の端末装置に1個ずつ配布するとともに、それらの端末装置に公開鍵を配布し、複数の分散鍵の組に含まれる複数の第2の分散鍵をストレージサーバに配布する。
特許文献4には、公開鍵暗号の秘密鍵を分散して登録しておき、紛失時やその他の理由により秘密鍵を復元する必要のあるときに、ある一定以上の数の分散登録情報を集めることにより秘密鍵を復元する秘密鍵分散管理方法について開示されている。特許文献4の方法では、公開鍵暗号の秘密鍵を生成するための分散登録情報を複数の管理装置に分散して登録しておく。
特許第5703391号公報 特開2009−200990号公報 特開2009−103968号公報 特開平10−282881号公報
IoTシステムを構成するエッジは、何らかの要因によりシステムが停止した際に、管理者による介入を必要とせず、自律的に再起動を行って復旧することが求められる。そのため、IoTシステムを構成するエッジに対しては、管理者による入力を必要とする既存技術を適用することは難しい。また、IoTシステムは、エッジからクラウド等で動作する管理サーバへのネットワークが安定的に接続可能な環境でのみ利用されるわけではない。そのため、システムを復旧するために管理サーバとの接続を必要とする場合、ネットワークに接続できなければシステムを復旧できなくなってしまうという問題点があった。
特許文献1の方法では、ディスク暗号化を用いて暗号化された記憶媒体を有するコンピュータデバイスのブート処理時に、ユーザからの資格証明書を受け取る必要がある。そのため、特許文献1の手法には、コンピュータデバイスのブート処理時に、ユーザからの入力が必要になるという問題点があった。また、特許文献1の方法には、暗号化された記憶媒体に含まれるOSを起動することはできるが、暗号化された記憶媒体の一領域を通常のOSからアクセス可能なようにセットアップすることができないという問題点があった。
特許文献2のシステムでは、暗号化された記憶媒体を復号するための鍵を生成するために、暗号化されたセキュアな記憶媒体以外に、ユーザが利用するユーザ演算機が必要である。そのため、特許文献2の手法には、暗号化された記憶媒体を復号するための鍵を生成するために、セキュアとは限らないユーザ演算機を介した情報の入力が必要になるという問題点があった。
特許文献3の手法では、端末装置は、暗号化された共有データを復号する際に、暗号化された共有データと、第1の鍵復元用情報と、ストレージサーバが生成した第2の鍵復元用情報とをストレージサーバから通信ネットワークを介して受信する。そのため、特許文献3の手法には、ネットワークに安定して接続されない状況下では、システムを継続的に稼働できなくなる可能性があるという問題点があった。
特許文献4の方法では、公開鍵暗号の秘密鍵を生成するための分散登録情報を複数の管理装置に分散して登録しておくため、秘密鍵を復元する際には、鍵生成装置が複数の管理装置から分散登録情報を集める必要がある。そのため、特許文献4の方法には、鍵生成装置が複数の管理装置から分散登録情報を集める際に、ネットワークが切断されていると、秘密鍵を復号できないという問題点があった。また、特許文献4の方法には、秘密鍵を生成中の鍵生成装置が盗難されると、暗号化された情報を盗み見られる可能性があるという問題点があった。
本発明の目的は、上述した課題を解決するために、ネットワークに安定して接続されなくても、エッジの自律的な再起動と情報の暗号化とを両立し、セキュアかつ継続的なIoTシステムの稼働を可能とする情報処理装置を提供することにある。
本発明の一態様の情報処理装置は、自装置で実行される信頼済みソフトウェアのみがアクセスできるアクセス制限領域を含み、第一暗号鍵を保管する第一暗号鍵保管手段がアクセス制限領域の内部に構成されるセキュアストレージと、第一暗号鍵によって暗号化された共通暗号鍵である第二暗号鍵を構築するための複数の分散情報を分散して格納する複数の分散情報管理装置からローカルネットワークを介して複数の分散情報を集約し、集約した複数の分散情報を用いて第二暗号鍵を構築する第二暗号鍵構築手段と、共通暗号鍵によって暗号化された処理対象データが記録される暗号化領域を含む暗号化ファイルシステムと、自装置の起動に応じて第二暗号鍵構築手段に第二暗号鍵を構築させ、第二暗号鍵構築手段によって構築された第二暗号鍵を取得し、取得した第二暗号鍵を出力するセットアップ処理起動手段と、信頼済みソフトウェアとして実行され、セットアップ処理起動手段から第二暗号鍵を取得し、第二暗号鍵の取得に合わせて第一暗号鍵保管手段から第一暗号鍵を取得し、第一暗号鍵と第二暗号鍵とを用いて共通暗号鍵を構築し、構築した共通暗号鍵を用いて任意のソフトウェアからアクセス可能な状態に暗号化ファイルシステムをセットアップするソフトウェア実行手段とを備える。
本発明の一態様の情報処理方法においては、情報処理装置が、自装置の起動に応じて、第一暗号鍵によって暗号化された共通暗号鍵である第二暗号鍵を構築するための複数の分散情報を分散して格納する複数の分散情報管理装置からローカルネットワークを介して複数の分散情報を集約し、集約した複数の分散情報を用いて第二暗号鍵を構築し、第二暗号鍵の構築に合わせて、自装置で実行される信頼済みソフトウェアのみがアクセスできるアクセス制限領域の内部の第一暗号鍵保管手段に保管された第一暗号鍵を信頼済みソフトウェアによって取得させ、取得した第一暗号鍵と第二暗号鍵とを用いて共通暗号鍵を信頼済みソフトウェアによって構築させ、共通暗号鍵を用いて、共通暗号鍵によって暗号化された処理対象データが記録される暗号化領域を含む暗号化ファイルシステムを任意のソフトウェアからアクセス可能な状態に信頼済みソフトウェアによってセットアップさせる。
本発明の一態様のプログラムは、自装置の起動に応じて、第一暗号鍵によって暗号化された共通暗号鍵である第二暗号鍵を構築するための複数の分散情報を分散して管理する複数の分散情報管理装置からローカルネットワークを介して複数の分散情報を集約する処理と、集約した複数の分散情報を用いて第二暗号鍵を構築する処理と、第二暗号鍵の構築に合わせて、自装置で実行される信頼済みソフトウェアのみがアクセスできるアクセス制限領域の内部の第一暗号鍵保管手段に保管された第一暗号鍵を取得する処理と、取得した第一暗号鍵と第二暗号鍵とを用いて共通暗号鍵を信頼済みソフトウェアによって構築させる処理と、共通暗号鍵を用いて、共通暗号鍵によって暗号化された処理対象データが記録される暗号化領域を含む暗号化ファイルシステムを任意のソフトウェアからアクセス可能な状態に信頼済みソフトウェアによってセットアップさせる処理とをコンピュータに実行させる。
本発明によれば、ネットワークに安定して接続されなくても、エッジの自律的な再起動と情報の暗号化とを両立し、セキュアかつ継続的なIoTシステムの稼働を可能とする情報処理装置を提供することが可能になる。
本発明の第1の実施形態に係る情報処理システムの構成の一例を示すブロック図である。 本発明の第1の実施形態に係る情報処理装置の構成の一例を示すブロック図である。 本発明の第1の実施形態に係る情報処理装置の第一暗号鍵保管部に格納される第一暗号鍵の一例を示す概念図である。 本発明の第1の実施形態に係る情報処理装置の第二暗号鍵構築部が集約する分散情報の一例を示す概念図である。 本発明の第1の実施形態に係る情報処理装置の第二暗号鍵構築部によって構築される第二暗号鍵の一例を示す概念図である。 本発明の第1の実施形態に係る情報処理装置の暗号化ファイルシステムに格納される暗号化情報の一例を示す概念図である。 本発明の第1の実施形態に係る分散情報管理装置の構成の一例を示すブロック図である。 本発明の第1の実施形態に係る分散情報管理装置に格納される分散情報の別の一例を示す概念図である。 本発明の第1の実施形態に係る情報処理装置の動作の概要について説明するためのフローチャートである。 本発明の第1の実施形態に係る情報処理装置の第二暗号鍵構築部が第二暗号鍵を構築する動作について説明するためのフローチャートである。 本発明の第2の実施形態に係る情報処理装置の構成の一例を示すブロック図である。 本発明の第2の実施形態に係る情報処理装置の第一暗号鍵保管部に格納される暗号化情報の一例を示す図である。 本発明の第2の実施形態に係る情報処理装置の信頼済みソフトウェア署名格納部に格納される署名情報の一例を示す図である。 本発明の第2の実施形態に係る情報処理装置の動作について説明するためのフローチャートである。 本発明の第3の実施形態に係る情報処理装置の構成の一例を示すブロック図である。 本発明の第3の実施形態に係る情報処理装置による配布情報の管理方法について説明するためのフローチャートである。 本発明の第3の実施形態に係る情報処理装置による分散情報の集約方法について説明するためのフローチャートである。 本発明の第4の実施形態に係る情報処理システムの構成の一例を示す概念図である。 本発明の第1〜第3の実施形態に係る情報処理装置を実現するハードウェア構成の一例を示すブロック図である。
以下に、本発明を実施するための形態について図面を用いて説明する。ただし、以下に述べる実施形態には、本発明を実施するために技術的に好ましい限定がされているが、発明の範囲を以下に限定するものではない。以下の実施形態の説明に用いる全図においては、特に理由がない限り、同様箇所には同一符号を付す。また、以下の実施形態において、同様の構成・動作に関しては繰り返しの説明を省略する場合がある。
(第1の実施形態)
まず、本発明の第1の実施形態に係る情報処理システムについて図面を参照しながら説明する。本実施形態の情報処理システムは、記憶領域の保護機能を有し、暗号化ファイルシステムを利用して記憶領域に記憶される情報を保護する情報処理装置を備える。例えば、本実施形態の情報処理装置は、センサや測定器などのデータ取得装置の近傍に配置され、データ取得装置によって取得されるデータを解析する。本実施形態の情報処理装置は、データ取得装置によって取得されるデータのうち必要なデータを、遠隔地に配置されたサーバなどに構成されるデータ処理装置に送信する。
(構成)
図1は、本実施形態の情報処理システム1の構成の概要を示す概念図である。情報処理装置10、ローカルネットワーク120、複数の分散情報管理装置110−1〜Nとを備える(Nは2以上の整数)。
情報処理システム1は、情報処理装置10に記録される情報を暗復号するためのEFS暗号鍵(共通暗号鍵とも呼ぶ)を第一暗号鍵と第二暗号鍵とを用いて暗号化する(EFS:Encrypted File System)。EFS暗号鍵は、一時的に情報を暗復号するための鍵である。第一暗号鍵は、情報処理装置10に含まれるセキュアな隔離領域の内部に保管される。第二暗号鍵は、複数の分散情報に分割され、複数の分散情報管理装置110−1〜Nに分散して保管される。
情報処理装置10は、ローカルネットワーク120を介して複数の分散情報管理装置110−1〜Nと接続される。情報処理装置10は、セキュアな隔離領域を含む。情報処理装置10のセキュアな隔離領域には、EFS暗号鍵を構築するための第一暗号鍵が保管される。情報処理装置10は、複数の分散情報管理装置110−1〜Nから第二暗号鍵の分散情報を受信すると、それらの分散情報を用いて第二暗号鍵を構築する。情報処理装置10は、第二暗号鍵を構築すると、信頼済みソフトウェアが動作するセキュアな隔離領域において、第一共通鍵と第二暗号鍵とを用いて共通暗号鍵を構築する。情報処理装置10は、構築した共通暗号鍵を用いて、暗号化されたファイルシステムを任意のソフトウェアからアクセスできる状態になるようにセットアップする。
複数の分散情報管理装置110−1〜Nのそれぞれは、ローカルネットワーク120を介して情報処理装置10と接続される。複数の分散情報管理装置110−1〜Nのそれぞれには、第二暗号鍵を構築するための分散情報が格納される。情報処理装置10が第二暗号鍵を構築する際、複数の分散情報管理装置110−1〜Nは、情報処理装置10に分散情報を送信する。
複数の分散情報管理装置110−1〜Nのそれぞれに格納される分散情報は、互いに異なるものであってもよいし、重複があってもよい。複数の分散情報管理装置110−1〜Nのうち同じ分散情報を格納する装置がある場合は、同じ分散情報を格納する分散情報管理装置110のうち少なくとも一つから情報処理装置10に分散情報を送信すればよい。
ローカルネットワーク120は、情報処理装置10と複数の分散情報管理装置110−1〜Nとを無線または有線で接続するネットワークである。ローカルネットワーク120は、外部からアクセスできないように、情報処理システム1の専用回線として構成することが好ましい。
以上が、情報処理システム1の構成の概要についての説明である。続いて、情報処理システム1を構成する情報処理装置10および複数の分散情報管理装置110−1〜Nの詳細構成について図面を参照しながら説明する。
〔情報処理装置〕
図2は、情報処理装置10の構成の一例を示すブロック図である。図2のように、情報処理装置10は、セキュアストレージ11、第二暗号鍵構築部12、セットアップ処理起動部13、暗号化ファイルシステム14、および信頼済みソフトウェア実行部15を備える。セキュアストレージ11および信頼済みソフトウェア実行部15の内部には、セキュアな隔離領域(アクセス制限領域とも呼ぶ)が構成される。
セキュアストレージ11は、信頼済みソフトウェア実行部15に接続される。セキュアストレージ11の内部には、セキュアな隔離領域が構成される。セキュアストレージ11は、信頼済みソフトウェア実行部15からアクセスされるストレージである。本実施形態において、セキュアストレージ11は、信頼済みソフトウェア実行部15のみからアクセス可能である。セキュアストレージ11は、第一暗号鍵保管部111を含む。
第一暗号鍵保管部111は、第一暗号鍵を保管する。図3は、第一暗号鍵保管部111が保管する第一暗号鍵の一例(Ck1_edgeA)である。なお、図3の第一暗号鍵は一例であって、第一暗号鍵保管部111が保管する第一暗号鍵を限定するものではない。
第二暗号鍵構築部12は、ローカルネットワーク120を介して複数の分散情報管理装置110−1〜Nに接続されるとともに、セットアップ処理起動部13に接続される。第二暗号鍵構築部12は、暗号化ファイルシステム14をセットアップする際に、複数の分散情報管理装置110−1〜Nに対して、分散情報の送信をリクエストする。第二暗号鍵構築部12は、リクエストに応じた複数の分散情報管理装置110−1〜Nから複数の分散情報を受信する。例えば、情報処理装置10は、暗号化ファイルシステム14をセットアップする際に、複数の分散情報管理装置110−1〜Nに対して分散情報のリクエストを送信し、その要求に応じて送信されてきた分散情報を受信する。
図4は、第二暗号鍵構築部12が取得する複数の分散情報の一例を示す図である。ここで、Div(A、B、C)は、情報AをB個に分散したうちのC個目の分散情報を示す。図4の例では、第二暗号鍵構築部12は、分散情報管理装置110−1〜3のそれぞれから分散情報を受信する。
第二暗号鍵構築部12は、複数の分散情報管理装置110−1〜Nから取得される分散情報を集約し、集約した複数の分散情報を用いて第二暗号鍵を構築する。第二暗号鍵構築部12は、分散情報を生成する方法と対になる方法を用いて第二暗号鍵を構築する。例えば、分散情報を総和することで第二の暗号鍵が得られるように分散情報が構築されている場合、第二暗号鍵構築部12は、全ての分散情報を総和することで第二暗号鍵を構築する。また、例えば、Shamirの秘密分散法に代表される秘密分散技術を用いて分散情報が構築されている場合、第二暗号鍵構築部12は、分散情報を作成した際にパラメータで定めたK個の分散情報を用いて第二暗号鍵を構築する(Kは自然数)。秘密分散技術を用いて構築された分散情報を用いる場合は、全ての分散情報を必要としない。
第二暗号鍵は、一時的に情報を暗復号するための鍵であるEFS暗号鍵を、第一暗号鍵を用いて暗号化したものである。言い換えると、第二暗号鍵は、EFS暗号鍵を、第一暗号鍵がないと復元できない形にした暗号鍵である。
図5は、第二暗号鍵構築部12が構築する第二暗号鍵の一例(Enc(Ck_efs_edgeA、Ck1_edgeA))である。図5の第二暗号鍵Enc(Ck_efs_edgeA、Ck1_edgeA)は、第一暗号鍵Ck1_edgeAを用いて暗号化されたEFS暗号鍵Ck_efs_edgeAに関する暗号化情報である。なお、図5の第二暗号鍵は一例であって、第二暗号鍵構築部12が構築する第二暗号鍵を限定するものではない。
セットアップ処理起動部13は、装置の起動シーケンスの中に差し込まれ、装置が起動する際に呼び出される。セットアップ処理起動部13は、装置が起動すると、第二暗号鍵構築部12に第二暗号鍵を構築させる。セットアップ処理起動部13は、第二暗号鍵構築部12によって構築された第二暗号鍵を信頼済みソフトウェア実行部15に出力し、暗号化ファイルシステム14のセットアップ処理を信頼済みソフトウェア実行部15に開始させる。例えば、セットアップ処理起動部13は、Linux(登録商標)におけるブートシーケンスに登録される。
暗号化ファイルシステム14は、所定の単位で情報(データ)を暗号化して記憶する。例えば、暗号化ファイルシステム14は、ファイル単位やセグメント単位、もしくは複数のファイルをまとめた単位等で情報を暗号化して記憶する。暗号化ファイルシステム14は、装置に接続されているコンピュータメモリにEFS暗号鍵Ck_efs_edgeAを保持する。暗号化ファイルシステム14は、任意のソフトウェアからの情報の読み出しや書き込みを含むアクセス処理が行われる際に、EFS暗号鍵Ck_efs_edgeAを用いて情報の暗復号を行う。
図6は、暗号化ファイルシステム14が格納する暗号化情報の一例である。図6の例では、暗号化ファイルシステム14は、EFS暗号鍵Ck_efs_edgeAを用いてファイル単位で暗号化情報を格納する。図6において、Enc(A、B)は、共通暗号鍵B(EFS暗号鍵)を用いて暗号化された元データAに関する暗号化情報を表す。
信頼済みソフトウェア実行部15(ソフトウェア実行部とも呼ぶ)は、第一暗号鍵Ck1_edgeAと第二暗号鍵Enc(Ck_efs_edgeA、Ck1_edgeA)とを用いてEFS暗号鍵Ck_efs_edgeAを構築する。信頼済みソフトウェア実行部15は、構築されたEFS暗号鍵Ck_efs_edgeAを暗号化ファイルシステム14に出力する。信頼済みソフトウェア実行部15は、任意のソフトウェアがアクセス可能な状態になるように暗号化ファイルシステム14をセットアップする。信頼済みソフトウェア実行部15は、内部で動作するソフトウェアが改ざんされていない信頼済みソフトウェアであることを保証する。
信頼済みソフトウェア実行部15は、EFS暗号鍵構築部151と暗号化ファイルシステムセットアップ部152とを含む。例えば、EFS暗号鍵構築部151および暗号化ファイルシステムセットアップ部152は、信頼済みソフトウェア実行部15で動作するソフトウェアとして構成される。この場合、信頼済みソフトウェア実行部15は、内部で動作するソフトウェア(EFS暗号鍵構築部151および暗号化ファイルシステムセットアップ部152)が改ざんされていない信頼済みソフトウェアであることを保証する。
EFS暗号鍵構築部151(共通暗号鍵構築部とも呼ぶ)は、読み出したセットアップ処理起動部13が正当なプロセスであるかどうかを検証する。EFS暗号鍵構築部151は、そのセットアップ処理起動部13が正当なプロセスであると判断した場合、セキュアストレージ11の第一暗号鍵保管部111から第一暗号鍵Ck1_edgeAを読み出す。EFS暗号鍵構築部151は、第一暗号鍵Ck1_edgeAと、第二暗号鍵Enc(Ck_efs_edgeA、Ck1_edgeA)とを用いて、EFS暗号鍵Ck_efs_edgeAを構築する。EFS暗号鍵構築部151は、構築したEFS暗号鍵Ck_efs_edgeAを暗号化ファイルシステムセットアップ部152に出力する。
暗号化ファイルシステムセットアップ部152(セットアップ部とも呼ぶ)は、EFS暗号鍵構築部151からEFS暗号鍵Ck_efs_edgeAを取得する。暗号化ファイルシステムセットアップ部152は、EFS暗号鍵Ck_efs_edgeAを暗号化ファイルシステム14に出力する。暗号化ファイルシステムセットアップ部152は、任意のソフトウェアから情報の読み出しおよび書き込みができるように暗号化ファイルシステム14をセットアップする。
以上が、情報処理装置10の構成についての説明である。なお、図2〜図3に示す構成は一例であって、情報処理装置10の構成をそのままの形態に限定するものではない。
〔分散情報管理装置〕
図7は、分散情報管理装置110の構成の一例を示すブロック図である。図7のように、分散情報管理装置110は、分散情報格納部113と分散情報送受信部115とを有する。
分散情報格納部113は、分散情報送受信部115と接続される。分散情報格納部113には、第二暗号鍵を構築するための複数の分散情報のうちいずれかが格納される。分散情報格納部113には、分散情報送受信部115からアクセスできる。
分散情報送受信部115は、分散情報格納部113に接続される。また、分散情報送受信部115は、ローカルネットワーク120を介して情報処理装置10に接続される。分散情報送受信部115は、情報処理装置10から分散情報のリクエストを受信すると、そのリクエストに応じて分散情報を分散情報格納部113から取得する。分散情報送受信部115は、リクエストに応じた分散情報を情報処理装置10に送信する。
例えば、エッジAという識別子が付与された情報処理装置10の第二暗号鍵は、5個の分散情報のうち3個の分散情報を用いれば復元できるものとする。このとき、分散情報のリクエストを受けた分散情報管理装置110−1〜Nのうち、第二暗号鍵を復元するための分散情報を格納する分散情報管理装置110は、自装置に格納された分散情報をエッジA(情報処理装置10)に送信する。
図8は、いずれかの分散情報管理装置110の分散情報格納部113に格納される分散情報の一例である。図8は、エッジA、エッジC、エッジD、エッジEというエッジ識別子が付与された複数の情報処理装置10のそれぞれに関して、第一暗号鍵によって暗号化されたEFS暗号鍵の分散情報が分散情報格納部113に格納される例である。図8において、Sep(A、B、C、D)は、情報Aが秘密分散技術によりB個の分散情報に分散され、B個の分散情報のうちC個の分散情報を用いれば情報Aを復元可能である場合のD番目の分散情報を示す。
図8において、分散情報格納部113には、エッジAに関して、Sep(Enc(Ck_efs_edgeA、Ck1_edgeA)、5、3、1)という暗号化情報が格納されている。Sep(Enc(Ck_efs_edgeA、Ck1_edgeA)、5、3、1)という暗号化情報は、5個に分散されたエッジAのEFS暗号鍵の分散情報のうち、エッジAのEFS暗号鍵を復元するのに必要な3個の分散情報の1番目の分散情報を示す。
以上が、分散情報管理装置110の構成についての説明である。なお、図7〜図8に示す構成は一例であって、分散情報管理装置110の構成をそのままの形態に限定するものではない。
(動作)
次に、図面を参照しながら、本実施形態の情報処理装置10の動作の概要について説明する。図9は、情報処理装置10の動作の概要について説明するためのフローチャートである。なお、以下の図9のフローチャートに沿った説明においては、情報処理装置10の構成要素(図2)を動作の主体として説明するが、情報処理装置10を動作の主体として捉えることもできる。
図9において、まず、情報処理装置10が起動されると、セットアップ処理起動部13が呼び出される(ステップS11)。
次に、セットアップ処理起動部13が、第二暗号鍵構築部12を呼び出し、第二暗号鍵構築部12に第二暗号鍵Encを構築させる(ステップS12)。
次に、セットアップ処理起動部13が、第二暗号鍵構築部12から第二暗号鍵を取得する。セットアップ処理起動部13は、取得した第二暗号鍵をEFS暗号鍵構築部151に出力し、EFS暗号鍵構築部151を呼び出す(ステップS13)。
次に、信頼済みソフトウェア実行部15のEFS暗号鍵構築部151が、第一暗号鍵保管部111から第一暗号鍵を取得する(ステップS14)。
次に、EFS暗号鍵構築部151が、第一暗号鍵と、入力された第二暗号鍵とを用いて、EFS暗号鍵を構築する(ステップS15)。EFS暗号鍵構築部151は、構築したEFS暗号鍵を暗号化ファイルシステムセットアップ部152に出力する。
そして、暗号化ファイルシステムセットアップ部152が、EFS暗号鍵を用いて、暗号化ファイルシステム14のセットアップを実行する(ステップS16)。
以上の手順によって、/secureというパスに暗号化ファイルシステムがマウントされると、ソフトウェアが/secureにアクセスする際に、EFS暗号鍵を用いた暗復号がファイル単位で実行される。図4のように暗号化ファイルシステム14に情報が保持されている場合、EFS暗号鍵を用いて、暗号化ファイルを復号することによって、ファイルを正しく読み出すことが可能となる。
以上が、本実施形態の情報処理装置10の動作の概要についての説明である。なお、図9のフローチャートに沿った処理は一例であって、情報処理装置10の動作をそのままの手順に限定するものではない。
〔第二暗号鍵生成処理〕
次に、図10のフローチャートおよび図8に示す分散情報を用いて、図9のフローチャートのステップS12において第二暗号鍵構築部12が第二暗号鍵を構築する動作の一例について説明する。
図10において、まず、第二暗号鍵構築部12が、複数の分散情報管理装置110−1〜Nに対して分散情報をリクエストする(ステップS121)。
次に、第二暗号鍵構築部12は、リクエストに応じて複数の分散情報管理装置110−1〜Nから送信されてくる複数の分散情報を受信する(ステップS122)。このとき、図4に示すように、複数の分散情報が第二暗号鍵構築部12に集約される。
最後に、第二暗号鍵構築部12が、収集した複数の分散情報から第二暗号鍵を構築する(ステップS123)。
以上が、本実施形態の情報処理装置10の第二暗号鍵構築部12の動作の概要についての説明である。なお、図10のフローチャートに沿った処理は一例であって第二暗号鍵構築部12の動作をそのままの手順に限定するものではない。
以上のように、本実施形態の情報処理装置は、第一暗号鍵保管部を含むセキュアストレージ、第二暗号鍵構築部、暗号化ファイルシステム、セットアップ処理起動部、およびソフトウェア実行部を備える。セキュアストレージは、自装置で実行される信頼済みソフトウェアのみがアクセスできるアクセス制限領域を含み、第一暗号鍵を保管する第一暗号鍵保管部がアクセス制限領域の内部に構成される。第二暗号鍵構築部は、第一暗号鍵によって暗号化された共通暗号鍵である第二暗号鍵を構築するための複数の分散情報を分散して格納する複数の分散情報管理装置からローカルネットワークを介して複数の分散情報を集約する。第二暗号鍵構築部は、集約した複数の分散情報を用いて第二暗号鍵を構築する。暗号化ファイルシステムは、共通暗号鍵によって暗号化された処理対象データが記録される暗号化領域を含む。例えば、暗号化ファイルシステムは、共通暗号鍵によってファイルごとに暗号化された処理対象データを記録する。セットアップ処理起動部は、本実施形態の情報処理装置の起動に応じて、第二暗号鍵構築部に第二暗号鍵を構築させ、第二暗号鍵構築部によって構築された第二暗号鍵を取得し、取得した第二暗号鍵を出力する。ソフトウェア実行部は、信頼済みソフトウェアとして実行され、セットアップ処理起動部から第二暗号鍵を取得し、第二暗号鍵の送信元のセットアップ処理起動部が正当なプロセスであるか否かを検証する。ソフトウェア実行部は、セットアップ処理起動部が正当なプロセスである場合に第一暗号鍵保管部から第一暗号鍵を取得し、第一暗号鍵と第二暗号鍵とを用いて共通暗号鍵を構築する。ソフトウェア実行部は、構築した共通暗号鍵を用いて暗号化ファイルシステムを任意のソフトウェアからアクセス可能な状態にセットアップする。
ソフトウェア実行部は、共通暗号鍵構築部とセットアップ部とを有する。共通暗号鍵構築部は、セットアップ処理起動部と第一暗号鍵保管部とに接続される。共通暗号鍵構築部はセットアップ処理起動部から第二暗号鍵を取得し、第二暗号鍵の取得に合わせて第一暗号鍵保管部から第一暗号鍵を取得すると、取得した第一暗号鍵と第二暗号鍵とを用いて共通暗号鍵を構築する。セットアップ部は、共通暗号鍵構築部と暗号化ファイルシステムとに接続される。セットアップ部は、共通暗号鍵構築部から共通暗号鍵を取得し、取得した共通暗号鍵を用いて暗号化ファイルシステムを任意のソフトウェアからアクセス可能な状態にセットアップする。
本実施形態の情報処理装置の動作は、以下のように表現することもできる。本実施形態の情報処理装置の起動時に、セットアップ処理起動部が、第二暗号鍵構築部に第二暗号鍵を構築させ、共通暗号鍵構築部に第二暗号鍵を渡して呼び出す。共通暗号鍵構築部は、読み出したセットアップ処理起動部が正当なプロセスであるかどうかを検証する。共通暗号鍵構築部は、セットアップ処理起動部が正当なプロセスであると判断した場合には、セキュアストレージの第一暗号鍵保管部から第一暗号鍵を読み出し、第一暗号鍵と第二暗号鍵とを用いて共通暗号鍵を構築する。共通暗号鍵構築部は、構築した共通暗号鍵を暗号化ファイルシステムセットアップ部に渡して呼び出す。暗号化ファイルシステムセットアップ部は、暗号化ファイルシステムに共通暗号鍵を渡して暗号化ファイルシステムを任意のソフトウェアからアクセス可能な状態にセットアップする。
本実施形態の情報処理装置は、隔離領域内の信頼済みソフトウェアおよび暗号鍵を用いて、暗号化ファイルシステムをアクセスが可能な状態にセットアップする。そのため、本実施形態の情報処理装置によれば、当該情報処理装置単体で情報の保護とIoT(Internet of Things)システムの継続稼働との両立が可能となる。
本実施形態の情報処理装置は、装置の起動時に、自律的に暗号化ファイルシステムに格納された情報にソフトウェアからアクセスできるようにセットアップされる。そのため、本実施形態の情報処理装置によれば、任意のソフトウェアが暗号化ファイルシステムに格納された情報を活用することが可能となる。
また、本実施形態の情報処理装置では、本装置が盗難された場合であっても、暗号化ファイルシステムに格納された暗号化情報、およびセキュアストレージにより保護された情報しか取得できない。そのため、暗号化情報を復号するための共通暗号鍵が構築されないため、暗号化ファイルシステムに格納された暗号化情報が保護される。
以上のように、本実施形態によれば、情報処理装置が盗難されたとしても、暗号化ファイルシステムに暗号化されて格納される情報の漏洩リスクを低減できる。また、本実施形態によれば、ネットワークが不通であったり、管理者が不在の場合であったりしても、情報の保護を原因とするシステム停止を解消できる。すなわち、本実施形態によれば、IoTシステムにおける情報保護と継続稼働とを両立できる。
さらに、本実施形態によれば、複数の分散情報管理装置に第二暗号鍵を構築するための分散情報を分散させて配置するように構成するため、セキュアな隔離領域にアクセスすることなく、複数の暗号化ファイルシステムを容易に利用することが可能になる。
すなわち、本実施形態によれば、ネットワークに安定して接続されなくても、エッジの自律的な再起動と情報の暗号化とを両立し、セキュアかつ継続的なIoTシステムの稼働を可能とする情報処理装置を提供できる。
(第2の実施形態)
次に、本発明の第2の実施形態に係る情報処理装置について図面を参照しながら説明する。本実施形態の情報処理装置は、信頼済みのOS(Operating System)がソフトウェア署名を検証する点において第1の実施形態とは異なる。
図11は、本実施形態の情報処理装置20の構成の一例を示すブロック図である。図11のように、情報処理装置20は、セキュアストレージ21、第二暗号鍵構築部22、セットアップ処理起動部23、暗号化ファイルシステム24、および信頼済みソフトウェア実行部25を備える。セキュアストレージ21および信頼済みソフトウェア実行部25の内部には、セキュアな隔離領域が構成される。第二暗号鍵構築部22は、ローカルネットワーク220を介して、複数の分散情報管理装置(図示しない)に接続される。
本実施形態の情報処理装置20(図11)は、セキュアストレージ21および信頼済みソフトウェア実行部25の構成が第1の実施形態の情報処理装置10(図2)とは異なる。情報処理装置20(図11)のセキュアストレージ21および信頼済みソフトウェア実行部25以外の構成は、一部の機能を除いて、情報処理装置10(図2)と同様である。そのため、以下においては、情報処理装置10(図2)との相違点について説明する。
図11のように、セキュアストレージ21は、第一暗号鍵保管部211に加えて、信頼済みソフトウェア署名格納部212を含む。セキュアストレージ21は、後述する第三暗号鍵によって一定のルールで構成され、セキュアストレージの内部に暗号化されているデータを暗号化・復号するための暗号鍵である第四暗号鍵によって暗号化されている。すなわち、第一暗号鍵保管部211およびソフトウェア署名格納部212も第四暗号鍵によって暗号化されている。
第一暗号鍵保管部211は、第四暗号鍵を用いて暗号化された第一暗号鍵に関する暗号化情報を保管する。図12は、第一暗号鍵保管部211が保管する暗号化情報Enc(Ck1_edgeA、Ck4_edgeA)の一例である。暗号化情報Enc(Ck1_edgeA、Ck4_edgeA)は、第四暗号鍵(Ck4_edgeA)を用いて暗号化された第一暗号鍵(Ck1_edgeA)に関する暗号化情報である。なお、図12の暗号化情報は一例であって、第一暗号鍵保管部211が保管する暗号化情報を限定するものではない。
信頼済みソフトウェア署名格納部212(署名情報格納部とも呼ぶ)には、信頼済みソフトウェアに対する電子署名である信頼済みソフトウェア署名(署名情報とも呼ぶ)が格納される。信頼済みソフトウェア署名格納部212に格納される信頼済みソフトウェア署名も、第四暗号鍵によって暗号化されている。
図13は、信頼済みソフトウェア署名格納部212に格納される署名情報の一例である。図13において、Sig(A、B)は、Aに対して署名鍵Bを使用して作成された署名を表す。信頼済みソフトウェア署名格納部212には、信頼済みソフトウェアごとに署名情報が格納される。図13の例では、信頼済みソフトウェアに対してハッシュ値をとったものに対して、署名鍵Pk_sig_edgeAを用いて作成された署名情報が信頼済みソフトウェア署名格納部212に格納される。署名鍵Pk_sig_edgeAは、第三暗号鍵K3_edgeAを種として生成される公開鍵暗号の鍵ペア(Pk_sig_edgeA、Pk_var_edgeA)のうち署名用の鍵である。
また、図11のように、信頼済みソフトウェア実行部25は、EFS暗号鍵構築部251および暗号化ファイルシステムセットアップ部252に加えて、耐タンパ性情報格納部253、信頼済みOS254、およびインタフェース部255を含む。
耐タンパ性情報格納部253には、信頼済みソフトウェア署名の検証鍵や、セキュアストレージ21に格納された情報の復号に必要な暗号鍵の生成元となる第三暗号鍵が格納される。耐タンパ性情報格納部253は、耐タンパ性が高められており、信頼済みソフトウェア実行部25の外部からは上書きおよび読み出しができないことが保証される。
信頼済みOS254は、信頼済みソフトウェア署名と第三暗号鍵とを用いて信頼済みソフトウェアを検証する。信頼済みOS254は、正当であると判断された信頼済みソフトウェアのみを動作させ、信頼済みソフトウェアとセキュアストレージ21との読み書きを可能とする。
インタフェース部255は、ソフトウェアと信頼済みソフトウェアとの間における通信機能を提供する。インタフェース部255は、通常のソフトウェア領域の任意のソフトウェアと、信頼済みソフトウェアとの通信を可能とする。
なお、信頼済みソフトウェア実行部25は、図11の構成に限定されず、以下の二つの特徴を持てばよい。一つ目の特徴は、信頼済みソフトウェア実行部25の内部で動作する信頼済みソフトウェアを検証でき、当該信頼済みソフトウェアに対して特定のインタフェースを通してのみ通常のソフトウェア領域からアクセス可能であるという特徴である。二つ目の特徴は、セキュアストレージ21に格納されている情報を内部の信頼済みソフトウェアから呼び出し可能であるという特徴である。これらの特徴を持つ信頼済みソフトウェア実行部25としては、Arm Trust ZoneやIntel SGXなどのように、プロセッサの拡張機能として提供されているものが想定される。ただし、上記の特徴を持つ信頼済みソフトウェア実行部25は、上記のものに限定されない。
以上が、本実施形態の情報処理装置20の構成についての説明である。なお、図11〜図13に示す構成は一例であって、情報処理装置20の構成をそのままの形態に限定するものではない。また、図11に示す構成要素間の接続関係は一例であって、構成要素間の接続関係を限定するものではない。
(動作)
次に、本実施形態の情報処理装置の動作について図面を参照しながら説明する。図14は、本実施形態の情報処理装置の信頼済みソフトウェア実行部25の動作について説明するためのフローチャートである。図14のフローチャートに沿った処理は、図9のフローチャートのステップS14の処理に関する。より具体的には、図14のフローチャートに沿った処理は、信頼済みソフトウェア実行部25が信頼済みソフトウェアであるEFS暗号鍵構築部251を検証し、EFS暗号鍵構築部251が第一暗号鍵保管部211から第一暗号鍵を読み出す動作に関する。
図14において、まず、信頼済みOS254が、第三暗号鍵K3_edgeAを耐タンパ性情報格納部253から読み出す(ステップS21)。
次に、信頼済みOS254が、第三暗号鍵K3_edgeAを種として、鍵ペア(Pk_sig_edgeA、Pk_var_edgeA)および第四暗号鍵Ck4_edgeAを生成する(ステップS22)。
次に、信頼済みOS254が、セキュアストレージ21の信頼済みソフトウェア署名格納部212から、EFS暗号鍵構築部251の署名Sig(Hash(EFS暗号鍵構築部)、Pk_sig_edgeA)を取得する(ステップS23)。
次に、信頼済みOS254が、EFS暗号鍵構築部151のハッシュ値Hash(EFS暗号鍵構築部)を計算する。信頼済みOS254は、当該ハッシュ値と検証鍵Pk_var_edgeAとを用いて、取得した署名Sig(Hash(EFS暗号鍵構築部)、Pk_sig_edgeA)を検証する(ステップS24)。このとき、EFS暗号鍵構築部151が改ざんされていなければ、署名検証が通る。
ここで、信頼済みソフトウェア実行部25が、署名検証が通ったか否かを判定する(ステップS25)。ステップS25において署名検証が通った場合(ステップS25でYes)、信頼済みソフトウェア実行部25は、EFS暗号鍵構築部251の処理を実行する(ステップS26)。
そして、EFS暗号鍵構築部251は、信頼済みOS254によって生成された第四暗号鍵Ck4_edgeAを用いて、第一暗号鍵保管部211に格納されている暗号化情報Enc(Ck1_edgeA、Ck4_edgeA)を復号する(ステップS27)。
一方、ステップS25において署名検証が通らなかった場合(ステップS25でNo)、処理を終了する(ステップS28)。
以上が、信頼済みソフトウェア実行部25が信頼済みソフトウェアであるEFS暗号鍵構築部251を検証し、EFS暗号鍵構築部251が第一暗号鍵保管部211から第一暗号鍵を読み出す動作に関する説明である。EFS暗号鍵構築部251は、図14のフローチャートに沿った手順で読み出された第一暗号鍵と、第二暗号鍵とを用いて、EFS暗号鍵を構築する。この処理は、図9のフローチャートのステップS15の処理に相当する。なお、図14のフローチャートに沿った処理は一例であって、信頼済みソフトウェア実行部25の動作をそのままの手順に限定するものではない。
以上のように、本実施形態の情報処理装置のセキュアストレージのアクセス制限領域の内部には、第一暗号鍵保管部に加えて、第三暗号鍵を基に一定のルールによって生成される署名鍵を用いて生成される信頼済みソフトウェアに対する署名情報が格納される。セキュアストレージは、第三暗号鍵によって一定のルールで構成され、セキュアストレージに暗号化されているデータを暗号化・復号するための第四暗号鍵によって暗号化されている。ソフトウェア実行部は、信頼済みオペレーティングシステム、耐タンパ性情報格納部、およびインタフェース部を有する。信頼済みオペレーティングシステムは、署名情報格納部にアクセス可能である。耐タンパ性情報格納部は、ソフトウェア実行部の外部からの上書きおよび読み出しが制限され、第三暗号鍵が格納される。インタフェース部は、ソフトウェア実行部に含まれる信頼済みソフトウェアと任意のソフトウェアとの間における通信機能を提供する。
ソフトウェア実行部は、セットアップ処理起動部から第二暗号鍵を取得し、第二暗号鍵の取得に合わせて耐タンパ性情報格納部から第三暗号鍵を取得し、取得した第三暗号鍵を用いて署名情報格納部に格納された暗号化された署名情報を復号する。ソフトウェア実行部は、復号された署名情報を用いて自身の内部のソフトウェアの信頼性について検証し、検証結果に基づいて信頼済みソフトウェアを動作させる。
本実施形態の情報処理装置は、信頼済みソフトウェア実行部が、信頼済みソフトウェアであるEFS暗号鍵構築部が改ざんされているか否かを確認する。そして、信頼済みソフトウェア実行部は、改ざんされていないと判定された信頼済みソフトウェアであるEFS暗号鍵構築部によって、装置の起動時に第一暗号鍵と第二暗号鍵とを用いてEFS暗号鍵を構築させる。本実施形態の情報処理装置においては、当該EFS暗号鍵を用いて暗号化ファイルシステムがセットアップされる。そのため、本実施形態の情報処理装置によれば、情報処理装置単体で暗号化ファイルシステムをセットアップできる。その結果、本実施形態の情報処理装置においては、記憶領域上では重要な情報が常に暗号化されている状態であり、情報処理装置単体で起動した場合でも情報へのアクセスを必要とするソフトウェアが適切にアクセスできる状態となる。
すなわち、本実施形態の情報処理装置をエッジとしてIoTシステムに組み込めば、暗号化によって重要な情報を保護しつつ、ネットワークが不通であり、かつ管理者が不在の場合であっても継続的に稼働するIoTシステムを実現できる。
本実施形態の情報処理装置に含まれる暗号化ファイルシステムにおいては、該システム内部の揮発性記憶領域等にEFS暗号鍵を保持する必要がある。基本的に、ファイルシステムは、オペレーティングシステムの特権モードで実行される。そのため、通常の利用者が作成するプロセスからは、暗号化ファイルシステムに保持されるEFS暗号鍵にアクセスできない。
(第3の実施形態)
次に、本発明の第3の実施形態に係る情報処理装置について図面を参照しながら説明する。本実施形態の情報処理装置は、分散情報の配布状況に関する配布情報に基づいて分散情報を管理する点で第1の実施形態の情報処理装置とは異なる。
図15は、本実施形態の情報処理装置30の構成の一例を示すブロック図である。図15のように、情報処理装置30は、セキュアストレージ31、第二暗号鍵構築部32、セットアップ処理起動部33、暗号化ファイルシステム34、および信頼済みソフトウェア実行部35に加えて、分散情報送信部36と配布情報格納部37とを備える。セキュアストレージ31および信頼済みソフトウェア実行部35の内部には、セキュアな隔離領域が構成される。セキュアストレージ31は、第一暗号鍵保管部311を含む。信頼済みソフトウェア実行部35は、EFS暗号鍵構築部351と暗号化ファイルシステムセットアップ部352を含む。第二暗号鍵構築部32および分散情報送信部36は、ローカルネットワーク320を介して、複数の分散情報管理装置(図示しない)に接続される。
本実施形態の情報処理装置30(図15)は、分散情報送信部36および配布情報格納部37を備える点が、第1の実施形態の情報処理装置10(図2)とは異なる。情報処理装置20(図15)の分散情報送信部36および配布情報格納部37以外の構成は、一部の機能を除いて、情報処理装置10(図2)と同様である。そのため、以下においては、情報処理装置10(図2)との相違点について説明する。
分散情報送信部36は、第二暗号鍵の分散情報を分散情報管理装置(図示しない)に送信する。分散情報送信部36は、分散情報の識別情報と、分散情報の送信先の分散情報管理装置の識別情報とを配布情報として配布情報格納部37に格納する。例えば、分散情報送信部36は、第二暗号鍵をN個に分散した分散情報のうちのK番目の分散情報を(N、K)といった配布情報として配布情報格納部37に格納する(Nは自然数、KはN以下の自然数)。
配布情報格納部37には、分散情報送信部36によって送信された分散情報の識別情報と、送信先の分散情報管理装置の識別情報とを含む配布情報が格納される。例えば、配布情報格納部37には、送信先の分散情報管理装置の識別情報として、ローカルネットワーク320におけるホスト名やIP(Internet Protocol)アドレスが格納される。
(動作)
次に、情報処理装置30が分散情報を管理する動作について図面を参照しながら説明する。以下においては、分散情報管理装置に送信した分散情報の配布情報を管理する動作(配布情報管理方法)と、分散情報管理装置に分散された分散情報を集約する動作(分散情報集約方法)とについて説明する。
〔配布情報管理方法〕
図16は、情報処理装置30による配布情報管理方法について説明するためのフローチャートである。
図16において、まず、分散情報送信部36が、複数の分散情報管理装置のうち任意の分散情報管理装置に対して分散情報を送信する(ステップS411)。
次に、分散情報送信部36は、送信した分散情報の識別情報と、送信先の分散情報管理装置の識別情報とを配布情報として配布情報格納部37に格納する(ステップS412)。
以上が、本実施形態の情報処理装置30による配布情報管理方法についての説明である。なお、図16のフローチャートに沿った処理は一例であって、情報処理装置30による配布情報管理方法に関する動作をそのままの手順に限定するものではない。
〔分散情報集約方法〕
図17は、情報処理装置30による分散情報集約方法について説明するためのフローチャートである。図17のフローチャートに沿った処理は、複数の分散情報管理装置から分散情報を集約する動作に関する。
図17において、まず、第二暗号鍵構築部12が、配布情報格納部37を参照し、配布情報格納部37に格納された配布情報に基づいて分散情報をリクエストする分散情報管理装置を決定する(ステップS421)。
第二暗号鍵構築部12は、決定した分散情報管理装置に対して、分散情報のリクエストを送信する(ステップS422)。
第二暗号鍵構築部12は、リクエストに応じて送信されてきた分散情報を集約する(ステップS423)。
以上が、本実施形態の情報処理装置30による分散情報集約方法についての説明である。なお、図17のフローチャートに沿った処理は一例であって、情報処理装置30による分散情報集約方法に関する動作をそのままの手順に限定するものではない。
以上のように、本実施形態の情報処理装置においては、第二暗号鍵の分散情報の配布情報を管理する。そのため、本実施形態の情報処理装置によれば、複数の分散情報管理装置に分散して管理される分散情報を第二暗号鍵構築部が適切に集約し、第二暗号鍵を構築することが可能となる。
(第4の実施形態)
次に、本発明の第4の実施形態の情報処理システムについて図面を参照しながら説明する。本実施形態の情報処理システムは、第1〜第3の実施形態の情報処理装置のうち少なくともいずれかをエッジとして備えるIoTシステムである。本実施形態の情報処理システムは、第1〜第3の実施形態の情報処理装置のうちいずれか1種類によって構成されてもよいし、第1〜第3の実施形態の情報処理装置のうち何種類かを任意に組み合わせることによって構成してもよい。
図18は、本実施形態の情報処理システム4の構成について説明するための概念図である。情報処理システム4は、情報処理装置40、少なくとも一つのデータ取得装置41、ローカルネットワーク42、複数の分散情報管理装置43、およびサーバ45を備える。情報処理装置40とサーバ45とは、インターネットやイントラネットなどのネットワーク47を介して接続される。なお、ネットワーク47をローカルネットワークとして構成する場合は、ネットワーク47を情報処理システム4に加えてもよい。
情報処理装置40は、無線通信または有線通信によってデータ通信可能な複数のデータ取得装置41に接続される。また、情報処理装置40は、ネットワーク47を介してサーバ45に接続される。情報処理装置40は、第1〜第3の実施形態の情報処理装置の少なくともいずれかである。情報処理装置40は、複数のデータ取得装置41によって取得されるデータを受信する。情報処理装置40は、複数のデータ取得装置41からのデータに処理を加え、処理後のデータをネットワーク47経由でサーバ45に送信する。情報処理装置40は、複数のデータ取得装置41からのデータを束ねてからサーバ45に送信することが好ましい。
情報処理システム4を構成する情報処理装置40は、単一であってもよいし、複数であってもよい。情報処理システム4を構成する情報処理装置40が複数ある場合は、それらの情報処理装置40が互いにデータ通信可能に接続されていてもよい。
データ取得装置41は、無線通信または有線通信によってデータ通信可能な情報処理装置40に接続される。データ取得装置41は、設置環境において計測される種々の情報を取得するデバイスである。データ取得装置41は、取得した情報を電気信号(データ)に変換して情報処理装置40に送信する。例えば、データ取得装置41は、温度センサや湿度センサ、圧力センサ、光センサ、地磁気センサ、GPS(Global Positioning System)、加速度センサ、ジャイロセンサ、イメージセンサ、音センサ、距離センサなどといったセンサによって実現される。なお、データ取得装置41は、これらのセンサに関わらず、何らかの情報を取得し、それらの情報を電気信号(データ)に変換して情報処理装置40に送信するデバイスであればよい。
ローカルネットワーク42は、情報処理装置40と複数の分散情報管理装置43とを無線または有線で接続するローカルネットワークである。
分散情報管理装置43は、ローカルネットワーク42を介して情報処理装置40と接続される。分散情報管理装置43には、第二暗号鍵を構築するための分散情報が格納される。情報処理装置40が第二暗号鍵を構築する際、分散情報管理装置43は、情報処理装置40に分散情報を送信する。
サーバ45は、ネットワーク47を介して情報処理装置40に接続される。サーバ45は、情報処理装置40から送信されたデータを受信し、受信したデータを記憶したり、処理したりする。サーバ45は、データセンタやサーバルームなどに設置されたコンピュータやアプリケーションである。
以上が、本実施形態の情報処理システム4の構成についての説明である。なお、情報処理システム4は、IoTシステムを実現しさえすれば、図18に示す構成に限定されない。特に、情報処理システム4は、エッジコンピューティングを可能とするIoTシステムを実現するように構成されることが望ましい。
以上のように、本実施形態の情報処理システムは、第1〜第3の実施形態の情報処理装置の少なくともいずれかと、ローカルネットワークと、第1〜第3の実施形態の分散情報管理装置の少なくともいずれかとを備える。さらに、本実施形態の情報処理システムは、情報処理装置とデータ通信可能に接続されるデータ取得装置と、ネットワークを介して情報処理装置と接続されるサーバとを備える。データ取得装置は、設置環境において計測されるデータを情報処理装置に送信する。サーバは、情報処理装置から送信されるデータを受信し、受信したデータを用いた処理を実行する。
本実施形態の情報処理システムをIoTシステムに適用すれば、情報処理装置(エッジとも呼ぶ)がネットワークに安定して接続されなくても、エッジの自律的な再起動と情報の暗号化とが両立される。そのため、本実施形態によれば、セキュアかつ継続的なIoTシステムの稼働を提供できる。
(ハードウェア)
ここで、本発明の各実施形態に係る情報処理装置の処理を実行するハードウェア構成について、図19の情報処理装置90を一例として挙げて説明する。なお、図19の情報処理装置90は、各実施形態の情報処理装置の処理を実行するための構成例であって、本発明の範囲を限定するものではない。
図19のように、情報処理装置90は、プロセッサ91、主記憶装置92、補助記憶装置93、入出力インタフェース95および通信インタフェース96を備える。図19においては、インタフェースをI/F(Interface)と略して表記する。プロセッサ91、主記憶装置92、補助記憶装置93、入出力インタフェース95および通信インタフェース96は、バス99を介して互いにデータ通信可能に接続される。また、プロセッサ91、主記憶装置92、補助記憶装置93および入出力インタフェース95は、通信インタフェース96を介して、インターネットやイントラネットなどのネットワークに接続される。
プロセッサ91は、補助記憶装置93等に格納されたプログラムを主記憶装置92に展開し、展開されたプログラムを実行する。本実施形態においては、情報処理装置90にインストールされたソフトウェアプログラムを用いる構成とすればよい。プロセッサ91は、本実施形態に係る情報処理装置による処理を実行する。
主記憶装置92は、プログラムが展開される領域を有する。主記憶装置92は、例えばDRAM(Dynamic Random Access Memory)などの揮発性メモリとすればよい。また、MRAM(Magnetoresistive Random Access Memory)などの不揮発性メモリを主記憶装置92として構成・追加してもよい。
補助記憶装置93は、種々のデータを記憶する。補助記憶装置93は、ハードディスクやフラッシュメモリなどのローカルディスクによって構成される。なお、種々のデータを主記憶装置92に記憶させる構成とし、補助記憶装置93を省略することも可能である。
入出力インタフェース95は、情報処理装置90と周辺機器とを接続するためのインタフェースである。通信インタフェース96は、規格や仕様に基づいて、インターネットやイントラネットなどのネットワークを通じて、外部のシステムや装置に接続するためのインタフェースである。入出力インタフェース95および通信インタフェース96は、外部機器と接続するインタフェースとして共通化してもよい。
また、情報処理装置90には、情報を表示するための表示機器を備え付けてもよい。表示機器を備え付ける場合、情報処理装置90には、表示機器の表示を制御するための表示制御装置(図示しない)が備えられていることが好ましい。表示機器は、入出力インタフェース95を介して情報処理装置90に接続すればよい。
また、情報処理装置90には、必要に応じて、ディスクドライブを備え付けてもよい。ディスクドライブは、バス99に接続される。ディスクドライブは、プロセッサ91と図示しない記録媒体(プログラム記録媒体)との間で、記録媒体からのデータ・プログラムの読み出し、情報処理装置90の処理結果の記録媒体への書き込みなどを仲介する。記録媒体は、例えば、CD(Compact Disc)やDVD(Digital Versatile Disc)などの光学記録媒体で実現できる。また、記録媒体は、USB(Universal Serial Bus)メモリやSD(Secure Digital)カードなどの半導体記録媒体や、フレキシブルディスクなどの磁気記録媒体、その他の記録媒体によって実現してもよい。
以上が、本発明の各実施形態に係る情報処理装置を可能とするためのハードウェア構成の一例である。なお、図19のハードウェア構成は、各実施形態に係る情報処理装置の演算処理を実行するためのハードウェア構成の一例であって、本発明の範囲を限定するものではない。また、各実施形態に係る情報処理装置に関する処理をコンピュータに実行させるプログラムも本発明の範囲に含まれる。さらに、各実施形態に係るプログラムを記録したプログラム記録媒体も本発明の範囲に含まれる。
各実施形態の情報処理装置の構成要素は、任意に組み合わせることができる。また、各実施形態の情報処理装置の構成要素は、ソフトウェアによって実現してもよいし、回路によって実現してもよい。
以上、実施形態を参照して本発明を説明してきたが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
1、4 情報処理システム
10、20、30、40 情報処理装置
11、21、31 セキュアストレージ
12、22、32 第二暗号鍵構築部
13、23、33 セットアップ処理起動部
14、24、34 暗号化ファイルシステム
15、25、35 信頼済みソフトウェア実行部
36 分散情報送信部
37 配布情報格納部
41 データ取得装置
42 ローカルネットワーク
43 分散情報管理装置
45 サーバ
110 分散情報管理装置
111、211、311 第一暗号鍵保管部
113 分散情報格納部
115 分散情報送受信部
120、220、320 ローカルネットワーク
151、251、351 EFS暗号鍵構築部
152、252、352 暗号化ファイルシステムセットアップ部
212 信頼済みソフトウェア署名格納部
253 耐タンパ性情報格納部
254 信頼済みOS
255 インタフェース部

Claims (10)

  1. 自装置で実行される信頼済みソフトウェアのみがアクセスできるアクセス制限領域を含み、第一暗号鍵を保管する第一暗号鍵保管手段が前記アクセス制限領域の内部に構成されるセキュアストレージと、
    前記第一暗号鍵によって暗号化された共通暗号鍵である第二暗号鍵を構築するための複数の分散情報を分散して格納する複数の分散情報管理装置からローカルネットワークを介して複数の前記分散情報を集約し、集約した複数の前記分散情報を用いて前記第二暗号鍵を構築する第二暗号鍵構築手段と、
    前記共通暗号鍵によって暗号化された処理対象データが記録される暗号化領域を含む暗号化ファイルシステムと、
    自装置の起動に応じて前記第二暗号鍵構築手段に前記第二暗号鍵を構築させ、前記第二暗号鍵構築手段によって構築された前記第二暗号鍵を取得し、取得した前記第二暗号鍵を出力するセットアップ処理起動手段と、
    前記信頼済みソフトウェアとして実行され、前記セットアップ処理起動手段から前記第二暗号鍵を取得し、前記第二暗号鍵の取得に合わせて前記第一暗号鍵保管手段から前記第一暗号鍵を取得し、前記第一暗号鍵と前記第二暗号鍵とを用いて前記共通暗号鍵を構築し、構築した前記共通暗号鍵を用いて任意のソフトウェアからアクセス可能な状態に前記暗号化ファイルシステムをセットアップするソフトウェア実行手段とを備える情報処理装置。
  2. 前記ソフトウェア実行手段は、
    前記セットアップ処理起動手段と前記第一暗号鍵保管手段とに接続され、前記セットアップ処理起動手段から前記第二暗号鍵を取得し、前記第二暗号鍵の送信元の前記セットアップ処理起動手段が正当なプロセスであるか否かを検証し、前記セットアップ処理起動手段が正当なプロセスである場合に前記第一暗号鍵保管手段から前記第一暗号鍵を取得し、取得した前記第一暗号鍵と前記第二暗号鍵とを用いて前記共通暗号鍵を構築する共通暗号鍵構築手段と、
    前記共通暗号鍵構築手段と前記暗号化ファイルシステムとに接続され、前記共通暗号鍵構築手段から前記共通暗号鍵を取得し、取得した前記共通暗号鍵を用いて任意のソフトウェアからアクセス可能な状態に前記暗号化ファイルシステムをセットアップするセットアップ手段とを有する請求項1に記載の情報処理装置。
  3. 前記暗号化ファイルシステムは、
    前記共通暗号鍵によってファイルごとに暗号化された前記処理対象データを記録する請求項2に記載の情報処理装置。
  4. 前記セキュアストレージは、
    前記アクセス制限領域の内部に、第三暗号鍵を基に一定のルールによって生成される署名鍵を用いて生成される前記信頼済みソフトウェアに対する署名情報が格納される署名情報格納手段を含み、
    前記第三暗号鍵によって一定のルールで構成され、前記セキュアストレージの内部に暗号化されているデータを暗号化・復号するための第四暗号鍵によって暗号化され、
    前記ソフトウェア実行手段は、
    前記署名情報格納手段にアクセス可能な信頼済みオペレーティングシステムと、
    前記ソフトウェア実行手段の外部からの上書きおよび読み出しが制限され、前記第三暗号鍵が格納される耐タンパ性情報格納手段と、
    前記ソフトウェア実行手段に含まれる前記信頼済みソフトウェアと任意のソフトウェアとの間における通信機能を提供するインタフェースとを有する請求項2または3に記載の情報処理装置。
  5. 前記ソフトウェア実行手段は、
    前記セットアップ処理起動手段から前記第二暗号鍵を取得し、前記第二暗号鍵の取得に合わせて前記耐タンパ性情報格納手段から前記第三暗号鍵を取得し、取得した前記第三暗号鍵を用いて前記署名情報格納手段に格納された暗号化された前記署名情報を復号し、復号された前記署名情報を用いて自身の内部のソフトウェアの信頼性について検証し、検証結果に基づいて前記信頼済みソフトウェアを動作させる請求項4に記載の情報処理装置。
  6. 前記第二暗号鍵から分散される複数の前記分散情報を格納先に送信する分散情報送信手段と、
    前記分散情報送信手段によって送信された前記分散情報の識別情報と、前記分散情報の送信先の識別情報とが配布情報として格納される配布情報格納手段とを備え、
    前記分散情報送信手段は、前記分散情報を格納先に送信した際に、送信した前記分散情報に関する前記配布情報を前記配布情報格納手段に格納し、
    前記第二暗号鍵構築手段は、
    前記配布情報格納手段を参照し、前記配布情報格納手段に格納された前記配布情報に基づいて前記分散情報をリクエストする格納先を決定し、決定した格納先に対して前記分散情報のリクエストを送信し、リクエストに応じて送信されてきた前記分散情報を集約する請求項2乃至5のいずれか一項に記載の情報処理装置。
  7. 請求項1乃至6のいずれか一項に記載の情報処理装置と、
    前記第一暗号鍵によって暗号化された前記共通暗号鍵である第二暗号鍵を構築するための複数の前記分散情報のそれぞれを格納する複数の分散情報管理装置と、
    複数の前記分散情報管理装置と前記情報処理装置とを接続するローカルネットワークと
    を備える情報処理システム。
  8. 請求項1乃至6のいずれか一項に記載の情報処理装置と、
    前記第一暗号鍵によって暗号化された前記共通暗号鍵である第二暗号鍵を構築するための複数の前記分散情報のそれぞれを格納する複数の分散情報管理装置と、
    複数の前記分散情報管理装置と前記情報処理装置とを接続するローカルネットワークと、
    前記情報処理装置とデータ通信可能に接続され、設置環境において計測されるデータを前記情報処理装置に送信する少なくとも一つのデータ取得装置と、
    前記ローカルネットワークとは異なるネットワークを介して前記情報処理装置と接続され、前記情報処理装置から送信されるデータを受信し、受信したデータを用いた処理を実行するサーバとを備える情報処理システム。
  9. 情報処理装置が、
    自装置の起動に応じて、第一暗号鍵によって暗号化された共通暗号鍵である第二暗号鍵を構築するための複数の分散情報を分散して格納する複数の分散情報管理装置からローカルネットワークを介して複数の前記分散情報を集約し、
    集約した複数の前記分散情報を用いて前記第二暗号鍵を構築し、
    前記第二暗号鍵の構築に合わせて、自装置で実行される信頼済みソフトウェアのみがアクセスできるアクセス制限領域の内部の第一暗号鍵保管手段に保管された前記第一暗号鍵を前記信頼済みソフトウェアによって取得させ、
    取得した前記第一暗号鍵と前記第二暗号鍵とを用いて前記共通暗号鍵を前記信頼済みソフトウェアによって構築させ、
    前記共通暗号鍵を用いて、前記共通暗号鍵によって暗号化された処理対象データが記録される暗号化領域を含む暗号化ファイルシステムを任意のソフトウェアからアクセス可能な状態に前記信頼済みソフトウェアによってセットアップさせる情報処理方法。
  10. 自装置の起動に応じて、第一暗号鍵によって暗号化された共通暗号鍵である第二暗号鍵を構築するための複数の分散情報を分散して管理する複数の分散情報管理装置からローカルネットワークを介して複数の前記分散情報を集約する処理と、
    集約した複数の前記分散情報を用いて前記第二暗号鍵を構築する処理と、
    前記第二暗号鍵の構築に合わせて、自装置で実行される信頼済みソフトウェアのみがアクセスできるアクセス制限領域の内部の第一暗号鍵保管手段に保管された前記第一暗号鍵を取得する処理と、
    取得した前記第一暗号鍵と前記第二暗号鍵とを用いて前記共通暗号鍵を前記信頼済みソフトウェアによって構築させる処理と、
    前記共通暗号鍵を用いて、前記共通暗号鍵によって暗号化された処理対象データが記録される暗号化領域を含む暗号化ファイルシステムを任意のソフトウェアからアクセス可能な状態に前記信頼済みソフトウェアによってセットアップさせる処理とをコンピュータに実行させるプログラム。
JP2018160678A 2018-08-29 2018-08-29 情報処理装置、情報処理方法、およびプログラム Active JP7077873B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018160678A JP7077873B2 (ja) 2018-08-29 2018-08-29 情報処理装置、情報処理方法、およびプログラム
US16/533,939 US11349641B2 (en) 2018-08-29 2019-08-07 Information processing device, information processing method, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018160678A JP7077873B2 (ja) 2018-08-29 2018-08-29 情報処理装置、情報処理方法、およびプログラム

Publications (2)

Publication Number Publication Date
JP2020036170A true JP2020036170A (ja) 2020-03-05
JP7077873B2 JP7077873B2 (ja) 2022-05-31

Family

ID=69639194

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018160678A Active JP7077873B2 (ja) 2018-08-29 2018-08-29 情報処理装置、情報処理方法、およびプログラム

Country Status (2)

Country Link
US (1) US11349641B2 (ja)
JP (1) JP7077873B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220191019A1 (en) * 2020-12-15 2022-06-16 International Business Machines Corporation Crypto-erasure of data stored in a key per io-enabled device via internal action
CN117459233A (zh) * 2023-12-21 2024-01-26 法琛堂(昆明)医疗科技有限公司 医疗信息多层加密方法、装置、电子设备及存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006018825A (ja) * 2004-06-30 2006-01-19 Microsoft Corp 状態検証を使用した保護されたオペレーティングシステムブートのためのシステムおよび方法
JP2012008641A (ja) * 2010-06-22 2012-01-12 Toshiba Tec Corp セキュリティデバイス及び情報処理装置
US20140089683A1 (en) * 2012-09-26 2014-03-27 Pure Storage, Inc. Multi-drive cooperation to generate an encryption key
JP2016076797A (ja) * 2014-10-03 2016-05-12 達廣 女屋 データ保全におけるセキュリティ構築方法
JP2017519284A (ja) * 2014-06-24 2017-07-13 インテル・コーポレーション ファームウェアセンサレイヤ
US20170357817A1 (en) * 2016-06-10 2017-12-14 Apple Inc. File system metadata protection
US20180115522A1 (en) * 2016-10-25 2018-04-26 Arm Ip Limited Apparatus and methods for increasing security at edge nodes
US20180204007A1 (en) * 2017-01-13 2018-07-19 Vormetric, Inc. Bootloader level encryption for system boot data

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10282881A (ja) 1997-04-04 1998-10-23 Nippon Telegr & Teleph Corp <Ntt> 秘密鍵分散管理方法
JP5046852B2 (ja) 2007-10-24 2012-10-10 Kddi株式会社 鍵生成装置、端末装置、ストレージサーバおよびコンピュータプログラム
CA2714196C (en) * 2007-12-27 2012-03-27 Keiko Ogawa Information distribution system and program for the same
JP2009200990A (ja) 2008-02-25 2009-09-03 Univ Of Tsukuba ディスク暗号鍵の生成及びリカバリ方法並びに機密情報管理システム
US8560845B2 (en) 2011-01-14 2013-10-15 Apple Inc. System and method for tamper-resistant booting
GB2513376A (en) * 2013-04-25 2014-10-29 Ibm Distribution of encrypted information in multiple locations
US11256815B2 (en) * 2018-06-12 2022-02-22 Western Digital Technologies, Inc. Object storage system with secure object replication

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006018825A (ja) * 2004-06-30 2006-01-19 Microsoft Corp 状態検証を使用した保護されたオペレーティングシステムブートのためのシステムおよび方法
JP2012008641A (ja) * 2010-06-22 2012-01-12 Toshiba Tec Corp セキュリティデバイス及び情報処理装置
US20140089683A1 (en) * 2012-09-26 2014-03-27 Pure Storage, Inc. Multi-drive cooperation to generate an encryption key
JP2017519284A (ja) * 2014-06-24 2017-07-13 インテル・コーポレーション ファームウェアセンサレイヤ
JP2016076797A (ja) * 2014-10-03 2016-05-12 達廣 女屋 データ保全におけるセキュリティ構築方法
US20170357817A1 (en) * 2016-06-10 2017-12-14 Apple Inc. File system metadata protection
US20180115522A1 (en) * 2016-10-25 2018-04-26 Arm Ip Limited Apparatus and methods for increasing security at edge nodes
US20180204007A1 (en) * 2017-01-13 2018-07-19 Vormetric, Inc. Bootloader level encryption for system boot data

Also Published As

Publication number Publication date
JP7077873B2 (ja) 2022-05-31
US20200076583A1 (en) 2020-03-05
US11349641B2 (en) 2022-05-31

Similar Documents

Publication Publication Date Title
JP7416775B2 (ja) 周辺デバイス
KR102323763B1 (ko) 호스트 시스템과 데이터 처리 가속기 사이의 보안 통신을 제공하기 위한 방법 및 시스템
CN1535411B (zh) 用于在使用附属的存储设备的计算机系统中提升安全性的方法和系统
KR102340219B1 (ko) 스토리지 디바이스에 대한 신속한 데이터 보호
JP6414863B2 (ja) 仮想化システムにおける暗号復号方法および装置、およびシステム
US9246678B2 (en) Secure cloud storage and encryption management system
US7788487B2 (en) Data processing apparatus
JP6723263B2 (ja) クラウドコンピューティングプロセスの委任のためのシステムおよび方法
US8886964B1 (en) Protecting remote asset against data exploits utilizing an embedded key generator
US11323259B2 (en) Version control for trusted computing
US11841985B2 (en) Method and system for implementing security operations in an input/output device
US9563789B1 (en) Separate cryptographic keys for protecting different operations on data
US20140040631A1 (en) Memory controller, nonvolatile memory device, nonvolatile memory system, and access device
JP2021519564A (ja) セキュアコンピュータシステム
JP7077873B2 (ja) 情報処理装置、情報処理方法、およびプログラム
JP7077872B2 (ja) 情報処理装置、情報処理方法、およびプログラム
CN113485785A (zh) 一种虚拟化可信平台模块实现方法、安全处理器及存储介质
WO2015196525A1 (zh) 加密方法及装置、内核加密数据的操作方法及装置
US11720717B2 (en) System memory information protection with a controller
CN114244565B (zh) 密钥分发方法、装置、设备及存储介质
JP2012014529A (ja) 記憶装置および情報処理装置
Vaswani et al. Confidential Computing within an {AI} Accelerator
CN114006695B (zh) 硬盘数据保护方法、装置、可信平台芯片及电子设备
JP6107286B2 (ja) 分散ストレージシステム、ノード、データ管理方法、及びプログラム
CN117910057A (zh) 可信执行环境的运行方法、计算机架构系统、加密硬盘

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210715

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20211015

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220419

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220502

R151 Written notification of patent or utility model registration

Ref document number: 7077873

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151