JP2020053747A - Electronic file creation device, electronic data processing device, electronic data management system, electronic data management method, and program - Google Patents
Electronic file creation device, electronic data processing device, electronic data management system, electronic data management method, and program Download PDFInfo
- Publication number
- JP2020053747A JP2020053747A JP2018178735A JP2018178735A JP2020053747A JP 2020053747 A JP2020053747 A JP 2020053747A JP 2018178735 A JP2018178735 A JP 2018178735A JP 2018178735 A JP2018178735 A JP 2018178735A JP 2020053747 A JP2020053747 A JP 2020053747A
- Authority
- JP
- Japan
- Prior art keywords
- electronic data
- electronic
- user
- unit
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
この発明は、電子データへのアクセスを管理するための電子ファイル作成装置、電子データ処理装置、電子データ管理システム、電子データ管理方法、及びプログラムに関する。 The present invention relates to an electronic file creation device, an electronic data processing device, an electronic data management system, an electronic data management method, and a program for managing access to electronic data.
電子データの利用方法として、電子データをネットワーク上のサーバに保管して、汎用のコンピュータ端末からアクセスする、または、電子データをUSBメモリ、DVD媒体等で汎用のコンピュータ端末に配布する交換する方法がある。これらの利用方法は、電子データの利便性を高める一方、意図しないユーザに電子データを利用されたりする危険がある。このような危険に対して、電子データの利用を許可することができる機能やユーザやコンピュータ端末の状況を定義した設定情報をそれぞれのコンピュータ端末に配布する技術がある。この技術では、利用者端末上の制御システムが、配布された設定条件に従って、電子データの利用の許可、禁止を判断する(例えば、特許文献1参照)。配布される設定条件は、例えば、使用可能な機能が、関数型暗号(例えば、非特許文献1参照)などによりユーザID等をパラメータとして暗号化されたものなどである。 As a method of using the electronic data, a method of storing the electronic data in a server on a network and accessing it from a general-purpose computer terminal, or exchanging the electronic data to a general-purpose computer terminal via a USB memory, a DVD medium, or the like is used. is there. While these usage methods increase the convenience of electronic data, there is a risk that unintended users may use the electronic data. In response to such a danger, there is a technique of distributing to each computer terminal a function for permitting use of electronic data and setting information defining the status of a user or a computer terminal. In this technique, a control system on a user terminal determines whether to permit or prohibit the use of electronic data according to the distributed setting conditions (for example, see Patent Document 1). The setting condition to be distributed is, for example, a condition in which a usable function is encrypted using a user ID or the like as a parameter by functional encryption (for example, see Non-Patent Document 1).
電子データに含まれる情報をどのユーザが利用して良いかは、電子データ毎に異なる。しかし、特許文献1に記載の技術では、端末ごとに配布される設定情報を使用するため、無数に生成されて配布されるそれぞれの電子データ毎に、電子データのアクセスを制御することが困難であるという課題があった。また、電子データのアクセスを行う全ての端末に設定情報を配信する必要が有るため、設定情報の維持、管理が困難であるという課題もあった。この発明は、上記のような課題を解決するためのものであり、配布されるそれぞれの電子データ毎に、電子データのアクセスの制御を行うことができる電子ファイル作成装置、電子データ処理装置、電子データ管理システム、電子データ管理方法、及びプログラムを得るものである。 Which user can use the information included in the electronic data differs for each electronic data. However, in the technology described in Patent Document 1, since setting information distributed to each terminal is used, it is difficult to control access to electronic data for each electronic data generated and distributed countlessly. There was a problem that there was. Further, since it is necessary to distribute the setting information to all terminals that access the electronic data, there is a problem that it is difficult to maintain and manage the setting information. An object of the present invention is to solve the problems as described above, and for each electronic data to be distributed, an electronic file creation device, an electronic data processing device, an electronic data processing device capable of controlling access to electronic data. A data management system, an electronic data management method, and a program are obtained.
この発明に係る電子ファイル作成装置は、決められたユーザに限り電子データに対する実行が許可される限定操作を、前記限定操作が許可される前記ユーザを定めたユーザ条件にもとづいて制御するための、制御コードを含む電子ファイルを作成する、電子ファイル作成装置であって、前記限定操作に必要な補助データが暗号化された、前記ユーザ条件で許可されたユーザにより復号可能な前記制御コードを生成する、制御コード生成部と、前記電子データと前記制御コードとを含む前記電子ファイルを作成するファイル作成部とを備えるものである。 An electronic file creation device according to the present invention is configured to control a limited operation in which execution of electronic data is permitted only for a predetermined user based on a user condition that defines the user to whom the limited operation is permitted. An electronic file creation device for creating an electronic file including a control code, wherein the control code is generated in which auxiliary data necessary for the limited operation is encrypted and can be decrypted by a user authorized under the user condition. , A control code generator, and a file creator that creates the electronic file including the electronic data and the control code.
この発明に係る電子データ処理装置は、電子データに対する実行が、決められたユーザに限り許可される限定操作を、前記電子データと同じ電子ファイルに含まれる、前記限定操作に必要な補助データが暗号化された、実行が許可される前記ユーザに限り復号可能な、制御コードを用いて実行する電子データ処理装置であって、前記限定操作を実行させる前記ユーザに対応するユーザ対応情報を取得する対応情報取得部と、前記電子ファイルに含まれる前記制御コードを、前記ユーザ対応情報に基づき復号する制御コード復号部と、前記制御コード復号部によって得られた前記補助データを使用して、前記限定操作を実行する実行部とを備えるものである。 According to the electronic data processing device of the present invention, the limited operation permitted to be performed on the electronic data only by a specified user is included in the same electronic file as the electronic data, and the auxiliary data necessary for the limited operation is encrypted. An electronic data processing device that executes using a control code and that can be decrypted only by the user who is permitted to execute, and obtains user association information corresponding to the user who executes the limited operation. An information acquisition unit, a control code decoding unit that decodes the control code included in the electronic file based on the user correspondence information, and the limited operation using the auxiliary data obtained by the control code decoding unit. And an execution unit for executing
この発明に係る電子データ管理システムは、決められたユーザに限り電子データに対する実行が許可される限定操作を、前記限定操作が許可される前記ユーザを定めたユーザ条件にもとづいて制御するための、制御コードを含む電子ファイルを作成する、電子ファイル作成装置であって、前記限定操作に必要な補助データが暗号化された、前記ユーザ条件で許可されたユーザにより復号可能な前記制御コードを生成する、制御コード生成部、および前記電子データと前記制御コードとを含む前記電子ファイルを作成するファイル作成部を有するデータファイル作成装置と、前記限定操作を、前記制御コードを用いて実行する電子データ処理装置であって、前記限定操作を実行させる前記ユーザに対応するユーザ対応情報を取得する対応情報取得部と、前記電子ファイルに含まれる前記制御コードを、前記ユーザ対応情報に基づき復号する制御コード復号部と、前記制御コード復号部によって得られた前記補助データを使用して、前記限定操作を実行する実行部とを有する電子データ処理装置とを備えを備えるものである。 The electronic data management system according to the present invention, for controlling a limited operation that is allowed to be performed on electronic data only to a predetermined user, based on a user condition that defines the user that is allowed to perform the limited operation, An electronic file creation device for creating an electronic file including a control code, wherein the control code is generated in which auxiliary data necessary for the limited operation is encrypted and can be decrypted by a user authorized under the user condition. , A control code generator, and a data file creator having a file creator for creating the electronic file including the electronic data and the control code, and an electronic data processing for executing the limited operation using the control code A correspondence information acquisition device for acquiring user correspondence information corresponding to the user who executes the limited operation. Unit, a control code decoding unit for decoding the control code included in the electronic file based on the user correspondence information, and performing the limiting operation using the auxiliary data obtained by the control code decoding unit And an electronic data processing device having an execution unit that performs the processing.
この発明に係る電子データ管理方法は、決められたユーザに限り電子データに対する実行が許可される限定操作を、前記限定操作が許可される前記ユーザを定めたユーザ条件にもとづいて制御するための、制御コードを含む電子ファイルを作成するために、前記限定操作に必要な補助データが暗号化された、前記ユーザ条件で許可されたユーザにより復号可能な前記制御コードを生成し、制御コード生成部、および前記電子データと前記制御コードとを含む前記電子ファイルを作成し、前記限定操作を、前記制御コードを用いて実行するために、前記限定操作を実行させる前記ユーザに対応するユーザ対応情報を取得し、前記電子ファイルに含まれる前記制御コードを、前記ユーザ対応情報に基づき復号し、記制御コード復号部によって得られた前記補助データを使用して、前記限定操作を実行するものである。 The electronic data management method according to the present invention is for controlling a limited operation in which execution of the electronic data is permitted only for a predetermined user based on a user condition that defines the user in which the limited operation is permitted, In order to create an electronic file including a control code, the auxiliary data required for the limited operation is encrypted, and the control code that can be decrypted by a user permitted by the user condition is generated, a control code generation unit, And creating the electronic file including the electronic data and the control code, and acquiring the user correspondence information corresponding to the user who executes the limited operation in order to execute the limited operation using the control code. The control code included in the electronic file is decoded based on the user correspondence information, and is obtained by the control code decoding unit. Using said auxiliary data, and executes the limitation operation.
この発明に係るプログラムは、コンピュータに、決められたユーザに限り電子データに対する実行が許可される限定操作を、前記限定操作が許可される前記ユーザを定めたユーザ条件に基づいて制御するための、制御コードを含む電子ファイルを作成するために、前記限定操作に必要な補助データが暗号化された、前記ユーザ条件で許可されたユーザにより復号可能な前記制御コードを生成させ、制御コード生成部、および前記電子データと前記制御コードとを含む前記電子ファイルを作成させるものである。 The program according to the present invention, the computer, for controlling a limited operation that is allowed to execute the electronic data only to a predetermined user, based on a user condition that determines the user that the limited operation is allowed, In order to create an electronic file including the control code, the auxiliary data required for the limited operation is encrypted, the control code is generated by the user authorized by the user conditions, and the control code is generated. And creating the electronic file including the electronic data and the control code.
この発明に係る他のプログラムは、コンピュータに、電子データに対する実行が、決められたユーザに限り許可される限定操作を、前記電子データと同じ電子ファイルに含まれる、前記限定操作に必要な補助データが暗号化された、実行が許可される前記ユーザに限り復号可能な、制御コードを用いて実行させるプログラムであって、前記限定操作を実行させる前記ユーザに対応するユーザ対応情報を取得させ、前記電子ファイルに含まれる前記制御コードを、前記ユーザ対応情報に基づき復号させ、前記制御コード復号部によって得られた前記補助データを使用して、前記限定操作を実行させるものである。 Another program according to the present invention provides a computer with a limited operation permitted to be performed only on a predetermined user, for an electronic data, the auxiliary data necessary for the limited operation included in the same electronic file as the electronic data. Is an encrypted program that can be decrypted only by the user whose execution is permitted, and is executed by using a control code, wherein the user corresponding information corresponding to the user who executes the limited operation is obtained, The control code included in the electronic file is decoded based on the user correspondence information, and the limiting operation is executed using the auxiliary data obtained by the control code decoding unit.
本発明によれば、配布されるそれぞれの電子データ毎に、電子データのアクセスの制御を行うことができる。 According to the present invention, it is possible to control access to electronic data for each electronic data to be distributed.
実施の形態1.
以下、この発明の実施の形態1について、図1〜図12を用いて説明する。図1は、この発明の実施の形態1に係る電子データ管理システムの概念を表す概念図である。図1に示すとおり、電子データ管理システムは、電子ファイル作成装置100と電子データ処理装置200とを備えている。
Embodiment 1 FIG.
Hereinafter, a first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a conceptual diagram illustrating a concept of an electronic data management system according to Embodiment 1 of the present invention. As shown in FIG. 1, the electronic data management system includes an electronic
電子ファイル作成装置100は、電子ファイル300を作成する。電子ファイル300には、電子データ310と、制御コード320とが含まれている。制御コード320は、例えば、読込、保存、印刷等の電子データ310に対する操作を制御するためのコードである。読込、保存、印刷等の操作の実行は、電子データを保護するために、決められたユーザに限り許可される。このため、読込、保存、印刷等の操作を、限定操作とも呼ぶ。
The electronic
電子ファイル作成装置100は、制御コード320を含む電子ファイル300を作成する。制御コード320は、決められたユーザに限り電子データ310に対する実行が許可される限定操作を、限定操作が許可されるユーザを定めたユーザ条件に基づいて制御するためのコードである。このため、電子ファイル作成装置100は、制御コード生成部1010とファイル作成部1020とを備えている。制御コード生成部1010は、限定操作に必要な補助データが暗号化された、ユーザ条件で許可されたユーザにより復号可能な制御コード320を生成する。ファイル作成部1020は、電子データ310と制御コード320とを含む前記電子ファイル300を作成する。
The electronic
電子データ処理装置200は、制御情報320を使用して、電子データ310に対する操作を実行する。電子データ処理装置200は、電子データ310に対する実行が、決められたユーザに限り許可される限定操作を、電子データ310と同じ電子ファイル300に含まれる、制御コード310を用いて実行する。電子データ処理装置200は、対応情報収集部2010と、制御コード復号部2020と、実行部2030とを備えている。
Electronic
対応情報収集部2010は、限定操作を実行させるユーザに対応するユーザ対応情報を取得する。制御コード復号部2020は、電子ファイルに含まれる制御コード320を、ユーザ対応情報に基づき復号する。実行部2030は、制御コード復号部2020によって得られた補助データを使用して、限定操作を実行する。制御コード20は、ユーザ条件により許可されたユーザのユーザ対応情報により復号可能である。このため、ユーザ条件で許可されたユーザのみが補助データを使用して限定操作を実行することができる。
The correspondence
なお、後述するとおり、電子データ管理システムでは、公開鍵暗号の一種である関数型暗号を使用する。このため、制御コード生成部1010は、関数型暗号のマスタ公開鍵を使用して補助データを暗号化する。また、制御コード復号部2020は、関数型暗号の、それぞれのユーザに対応するユーザ復号鍵により制御コードを復号する。つまり、ユーザ対応情報としては、関数型暗号の、それぞれのユーザに対応するユーザ復号鍵が使用される。
As will be described later, the electronic data management system uses functional cryptography, which is a type of public key cryptography. Therefore, the control
図2は、この発明の実施の形態1に係る電子データ管理システムに係る機器の構成を示す図である。電子データ管理システムは、電子ファイル作成装置100と電子データ処理装置200とを備える。電子ファイル作成装置100および電子データ処理装置200は、ネットワーク500で接続された利用者端末400上や400A上であっても、ネットワーク500に接続されて無い利用者端末400B上であってもそれぞれ動作させることが可能である。図2は、利用者端末400上で電子ファイル作成装置100が動作し、利用者端末400、400A、400B上で電子データ処理装置200が動作する例を示している。利用者端末400はそれぞれ文書データベース410を備えている。
FIG. 2 is a diagram showing a configuration of a device according to the electronic data management system according to the first embodiment of the present invention. The electronic data management system includes an electronic
電子ファイル作成装置100は、それぞれ文書データベース410上に、電子データ310を含む電子ファイル300を作成する。電子ファイル300はまた、電子データ310に対する閲覧、データの保存等の操作に必要な制御コードを含む。電子ファイル作成装置100が作成した電子ファイル300は、ネットワーク500や記憶媒体等を介して、他の利用者端末400Aや400Bに配信される。それぞれの利用者端末400Aや400Bでは、配信された電子ファイル300をそれぞれの文書データベース410に記憶する。
The electronic
アプリケーションプログラム420は、文書作成、表計算、プレゼンテ−ションなどの汎用のプログラムである。アプリケーションプログラム420は、利用者端末400、400A、400B上で動作することが可能である。アプリケーションプログラム420は、電子データ処理装置200を介して文書データベース410が記憶している電子ファイル300の電子データに対して閲覧、データの保存等の操作を行う。電子ファイル300中の電子データは、暗号化されている。このため、アプリケーションプログラム420は、電子ファイル300に対して直接閲覧、データの保存等の操作を行うことができない。
The application program 420 is a general-purpose program such as document creation, spreadsheet, and presentation. The application program 420 can operate on the
電子データ処理装置200は、アプリケーションプログラム420と電子ファイル300との間でデータの変換を行なう。電子データ処理装置200は、電子ファイル300の電子データ310をアプリケーションプログラム420で使用するために復号する。また、電子データ処理装置200は、アプリケーションプログラム420のデータを電子ファイル300に保存するために暗号化する。さらに、電子データ処理装置200は、電子ファイル300が含む制御コードに基づいて、アプリケーションプログラム420が電子データを閲覧したり更新したりするための、電子データに対する読み出しや保存等の操作を実行したり中止したりする。
The electronic
電子ファイル作成装置100は、電子ファイルが含む制御コード320を、鍵サーバ600が提供する暗号鍵により暗号化している。また、電子データ処理装置200は、電子ファイル300が含む制御コード320を、鍵管理サーバ600が提供する復号鍵により復号する。鍵管理サーバ600は、互いに対応する暗号鍵と復号鍵とを生成する。鍵管理サーバ600は、ネットワーク500または記憶媒体等を介して、生成した暗号鍵と復号鍵とをそれぞれの利用者端末400、400A、400Bに配信する。図2において、電子ファイル300が配信され、必要な暗号鍵または復号鍵が配信された状態であれば、利用者端末400Bは、他の利用者端末400、400Aや鍵管理サーバ600と接続されていなくても良い。
The electronic
図3は、電子ファイル作成装置100および電子データ処理装置200の利用者端末400上のプログラムとの関係を示す図である。オペレーティングシステム430は、利用者端末400の管理を行っている。ファイル管理システム440はオペレーティングシステム430の一部である。ファイル管理システム440は、利用者端末400上のソフトウェアからの要求に応じて、文書データベース410に対してファイルへのデータの保存、ファイルからのデータの読込等を行う。
FIG. 3 is a diagram showing the relationship between the electronic
電子ファイル作成装置100は、ファイル管理システム440のファイルにデータを保存する機能を使用して、文書データベース410に電子ファイル300を作成する。電子ファイル作成装置100は、ファイル管理システム440が有するファイルにデータを保存する機能と、電子ファイル作成装置100が有する保存するデータを暗号化する機能とにより、電子ファイル作成操作を構成する。
The electronic
電子データ処理装置200は、ファイル管理システム440が有するファイルにデータを保存する機能やファイルからデータを読み出す機能等を使用する。電子データ処理装置200は、ファイル管理システム440が有するファイルからデータを読み込む機能と、電子データ処理装置200が有する読み込んだデータを復号する機能、制御コードを復号する機能、および補助データを使用して操作を実行する機能とにより、電子ファイル300からデータを読み込む操作を構成する。
The electronic
同様に、電子データ処理装置200は、ファイル管理システム440が有するファイルにデータを保存する機能と、電子データ処理装置200が有するデータを暗号化する機能、補助データを使用して実行する機能、および新たな補助データを生成する機能により、電子ファイル300にデータ310を保存する処理を構成する。
Similarly, the electronic
アプリケーションプログラム420は、文書データベース410上のファイルに対してデータの保存や読込を行う場合、オペレーティングシステム430を通じてファイル管理システム440に操作の実行を要求する。電子データ処理装置200は、アプリケーションプログラム420からファイル管理システム440に対する操作の要求をフックすることで検出する。検出した要求が電子ファイル300のデータを対象とする場合、電子データ処理装置200は、電子ファイル300へのデータの保存や読込等の処理を実行する。検出した要求が電子ファイル300でないファイルのデータを対象とする場合、電子データ処理装置200は動作を中止して、ファイル管理システム440に要求された操作を行わせる。
When saving or reading data in a file on the
関数型鍵取得部450は、鍵管理サーバ600から暗号鍵を取得して、電子ファイル作成装置100に提供する。また、関数型鍵取得部450は、鍵管理サーバ600から暗号鍵および復号鍵を取得して、電子データ処理装置200に提供する。
The functional key acquisition unit 450 acquires an encryption key from the key management server 600 and provides the encryption key to the electronic
なお、図3において、電子ファイル作成装置100についても、電子データ処理装置200と同様に、アプリケーションプログラム420からファイル管理システム440に対するファイル保存の操作の要求をフックして、電子ファイル300を作成する処理を実行する構成としても良い。
In FIG. 3, the electronic
図4は、鍵管管理サーバ600の構成を示す図である。鍵管理サーバ600は、公開鍵暗号の一種である関数型暗号の互いに対応するマスタ公開鍵とユーザ復号鍵とを生成する。マスタ公開鍵は、全てのユーザに共通な暗号用の鍵である。ユーザ復号鍵は、それぞれのユーザ固有の、復号用の鍵である。鍵管理サーバ600は、マスタ鍵生成部610と復号鍵生成部620とを備えている。マスタ鍵生成部610は、互いに対応するマスタ公開鍵とマスタ秘密鍵とを生成する。復号鍵生成部620は、それぞれのユーザの属性とマスタ秘密鍵とをもとに、それぞれのユーザに対応するユーザ復号鍵を生成する。
FIG. 4 is a diagram showing a configuration of the key pipe management server 600. The key management server 600 generates a master public key and a user decryption key that correspond to each other in functional cryptography, which is a type of public key cryptography. The master public key is an encryption key common to all users. The user decryption key is a decryption key unique to each user. The key management server 600 includes a master
図5は、電子ファイル作成装置100の構成を示す図である。電子ファイル作成装置100は、文書データ取得部110と、電子データ暗号化部120と、ユーザ条件取得部130と、有効期間取得部140と、公開鍵取得部150と、関数型暗号処理部160と、認証コード付与部170と、ファイル作成部180とを備えている。図1における制御コード生成部1010は、ユーザ条件取得部130と、有効期間取得部140と、公開鍵取得部150と、関数型暗号処理部160と、認証コード付与部170とを備えている。ファイル作成部1020は、ファイル作成部180と同等である。
FIG. 5 is a diagram showing a configuration of the electronic
文書データ取得部110は、電子ファイル300に保存する文書データを取得する。保存する文書データは、ユーザが、電子ファイル作成装置100を起動する際に指定する。電子データ暗号化部120は、保存するための電子データ310を作成する。電子データ310は、平文である文書データを、電子データ暗号鍵を使用して共通鍵暗号方式により暗号化したものである。ユーザ条件取得部130は、電子ファイル300に対する保存、読込等の操作それぞれについて、操作の実行が許可されるユーザを定めたユーザ条件を取得する。ユーザ条件は、ユーザ条件取得部130において利用者端末400の利用者が入力しても良いし、別途入力されたものをユーザ条件取得部130が取得しても良い。
The document
有効期間取得部140は、電子データに対する操作の実行が許可される期間を定めた有効期間データと、操作の実行を許可するか否かが有効期間データに基づいて判定されるユーザを定めた有効期間設定条件とを取得する。有効期間データおよび有効期間設定条件は、有効期間取得部140において利用者端末400の利用者が入力しても良いし、別途入力されたものを有効期間取得部140が取得しても良い。
The validity period acquiring unit 140 includes validity period data that defines a period during which the execution of the operation on the electronic data is permitted, and validity period data that determines whether the user is permitted to perform the operation based on the validity period data. Get the period setting condition. The validity period data and the validity period setting condition may be input by the user of the
公開鍵取得部150は、鍵管理サーバ600から、マスタ公開鍵を取得する。関数型暗号処理部160は、電子データに対する処理に使用する補助データを暗号化して、制御コードを生成する。補助データは、電子データを復号するための電子データ復号鍵または、電子データ復号鍵を生成するための電子データ復号鍵生成パラメータを含む。また、補助データは、認証コードを作成するための認証用鍵または認証用鍵を生成するための認証用鍵生成パラメータを含む。それぞれの補助データは、関数型暗号処理部160内部で生成される。なお、電子データ復号鍵生成パラメータや認証用鍵生成パラメータは、例えば、共通鍵暗号における初期乱数種や、公開鍵暗号における素数の組などである。
The public
関数型暗号処理部160は、補助データを、マスタ公開鍵とユーザ条件とを使用して暗号化する。関数型暗号処理部160はまた、電子データ暗号化部120で使用する電子データ暗号鍵および認証用コード付与部170で使用する認証用鍵も生成する。さらに、関数型暗号処理部160は、有効期間データを、マスタ公開鍵と有効期間設定条件とを使用して暗号化して、有効期間暗号データを生成する。
The functional
認証用コード付与部170は、電子データ310に対する改竄を検出するための電子データ認証コードを、電子データ310をもとに認証用鍵を使用して生成する。また、認証用コード付与部170は、関数型暗号処理部160が生成した制御コード、有効期間暗号データ、および電子データ認証コードを含む制御情報から、認証用鍵により制御情報認証データを生成する。認証用コード付与部170は、制御情報と制御情報認証データとを含むヘッダ情報を生成する。ファイル作成部180は、ファイル管理システム440を介して、作成部電子データ暗号化部120が生成した電子データと認証用コード付与部170が生成したヘッダとを含む電子ファイル300を文書データベース410に作成する。
The authentication
ここで、図6〜図9により、関数型暗号処理部160の機能について詳細に説明する。関数型暗号処理部160は、公開鍵暗号の一種である関数型暗号を用いて、補助データおよび有効期間データの暗号化を行う。関数型暗号では、公開鍵暗号の例えばRSA暗号と同様に、暗号化にはマスタ公開鍵を使用する。関数型暗号では、復号にはユーザ毎に異なる、ユーザ復号鍵を使用する。関数型暗号は、RSA暗号などの従来の公開鍵暗号とは異なり、ファイルの暗号化時および復号時には、例えば図6で示すようなユーザ条件、有効期間設定条件を使用する。
Here, the function of the functional
図6は、ユーザ条件および有効期間設定条件の例を示す。ユーザ条件は、「読込」、「保存」、「印刷」等の電子データに対するそれぞれの操作について、操作の実行が許可されるユーザを定めたものである。図6において、「可」は、操作が許可されること、「不可」は、操作が禁止されることを表す。 FIG. 6 shows an example of the user condition and the validity period setting condition. The user condition defines a user who is permitted to execute an operation for each operation on electronic data such as “read”, “save”, and “print”. In FIG. 6, “permitted” indicates that the operation is permitted, and “impossible” indicates that the operation is prohibited.
例えば、図6において、「読込」操作のユーザ条件は、「利用者A or 利用者B or 利用者C or 利用者D」である。これは、ユーザA、ユーザB、ユーザC、およびユーザDには「読込」操作の実行が許可されるが、ユーザEには、「読込」操作が禁止されることを表す。同様に、「保存」操作のユーザ条件は、「利用者A or 利用者B」である。これは、ユーザAおよびユーザBには「保存」操作の実行が許可されるが、ユーザC、ユーザD、およびユーザEには「保存」操作が禁止されることを表す。 For example, in FIG. 6, the user condition of the “read” operation is “user A or user B or user C or user D”. This means that the user A, the user B, the user C, and the user D are permitted to perform the “read” operation, but the user E is prohibited from performing the “read” operation. Similarly, the user condition of the “save” operation is “user A or user B”. This means that the execution of the “save” operation is permitted for the users A and B, but the “save” operation is prohibited for the users C, D and E.
有効期間設定条件は、操作の実行が許可されるユーザそれぞれについて、操作の実行が許可される期間が「有効期間」により制限されるユーザを定めたものである。図6において、「無」は、操作の実行が許可される期間が「有効期間」により制限されないことを表す。「有」は、操作の実行が許可される期間が「有効期間」により制限されることを表す。 The validity period setting condition defines, for each user who is permitted to execute the operation, a user whose period during which the operation is permitted is limited by the “valid period”. In FIG. 6, “absent” indicates that the period during which the execution of the operation is permitted is not limited by the “valid period”. “Yes” indicates that the period during which the execution of the operation is permitted is limited by the “valid period”.
例えば、図6において、有効期間設定条件は、「利用者D」である。これは、ユーザA,ユーザB、ユーザCについては、「読込」、「保存」、「印刷」等の操作について、ユーザ条件が「可」である操作は、「有効期間」により制限されずに許可されることを表す。また、ユーザDについては、「読込」、「保存」、「印刷」等の操作について、ユーザ条件が「可」である操作は、「有効期間」に限って許可されることを表す。なお、ユーザEについては、「読込」、「保存」、「印刷」全て「不可」であり、許可される操作が無い。このような場合、ユーザEについては、「有」「無」どちらに設定されていても、許可される操作が無いことに変わりは無い。 For example, in FIG. 6, the validity period setting condition is “user D”. This means that, for the users A, B, and C, operations such as “read”, “save”, and “print” are not restricted by “valid period” for operations whose user condition is “permitted”. Indicates that permission is granted. In addition, for the user D, for operations such as “read”, “save”, and “print”, an operation whose user condition is “permitted” is permitted only for a “valid period”. Note that for the user E, “read”, “save”, and “print” are all “impossible”, and no operation is permitted. In such a case, there is no change in the operation permitted for the user E regardless of whether the user E is set to “Yes” or “No”.
関数型暗号処理部160は、補助データをマスタ公開鍵により暗号化する際に、図6で示す「利用者A or 利用者B or 利用者C or 利用者D」のような論理式をパラメータとして用いる。また、それぞれのユーザは、鍵管理サーバ600より、ユーザを表す属性情報「利用者A」などがパラメータとして設定されているユーザ復号鍵を取得する。ユーザが、関数型暗号処理部160が暗号化した制御コードを復号する際には、ユーザ復号鍵に埋め込まれているパラメータ「利用者A」が、ユーザ条件の論理式「利用者A or 利用者B or 利用者C or 利用者D」を満たす場合に、暗号文を復号鍵で復号可能となる。
When encrypting the auxiliary data with the master public key, the functional
つまり、関数型暗号処理部160は、ユーザそれぞれに対応する複数の復号鍵の内の、ユーザ条件を満たすユーザに対応する復号鍵により復号可能な制御コードを生成する。また、同様に、関数型暗号処理部160は、ユーザそれぞれに対応する複数の復号鍵の内の、有効期間設定条件を満たすユーザに対応する復号鍵により復号可能な有効期間暗号データを生成する。
That is, the functional
図7は、関数型暗号処理部160の機能を表す。図7(a)は、関数型暗号処理部160の制御コードを生成する機能を表す。関数型暗号処理部160は、公開鍵取得部150が鍵管理サーバ600から取得したマスタ公開鍵と、ユーザ条件取得部130が取得したユーザ条件とをもとに、制御コードを生成する。なお、制御コードで暗号化される電子データ復号鍵(共通鍵)および認証用鍵(MAC鍵)は、関数型暗号処理部160の内部で生成される。
FIG. 7 shows the function of the functional
関数型暗号処理部160は、生成した電子データ復号鍵で復号可能な電子データを生成するための電子データ暗号鍵を電子データ暗号化部120に提供する。電子データ暗号化部120は、共通鍵暗号方式により暗号化を行う。このため、電子データ暗号鍵と電子データ復号鍵とは同じ鍵である。関数型暗号処理部160は、電子データ復号鍵と同じ共通鍵である電子データ暗号鍵を電子データ暗号化部120に提供する。
The functional
図7(b)は、関数型暗号処理部160の有効期間暗号データを生成する機能を表す。関数型暗号処理部160は、公開鍵取得部150が鍵管理サーバ600から取得したマスタ公開鍵と、有効期間取得部140が取得した有効期間設定条件とをもとに、有効期間暗号データを生成する。なお、有効期間暗号データで暗号化される有効期間データは、有効期間取得部140が取得する。
FIG. 7B shows a function of the functional
図8は、関数型暗号処理部160の構成の例である。図8は、関数型暗号処理部160が図7(a)及び図7(b)の機能を備えるための構成の例を示す。
FIG. 8 is an example of a configuration of the functional
図8(a)は、補助データが電子データ復号鍵と認証用鍵とを含む場合の関数型暗号処理部160の構成の例を示す。図8(a)において、関数型暗号処理部160は、共通鍵生成部161、認証用鍵生成部162、補助データ暗号化部163、および有効期間暗号化部164を有している。
FIG. 8A shows an example of the configuration of the functional
共通鍵生成部161は、電子データを暗号化及び復号するための共通鍵を生成し、電子データ暗号化部120および補助データ暗号化部163に出力する。生成された共通鍵は、電子データ暗号化鍵でもあり、電子データ復号鍵でもある。認証用鍵生成部162は、認証用コードを生成するための認証用鍵(MAC鍵)を生成し、認証コード付与部170および補助データ暗号化部163に出力する。
The common
補助データ暗号化部163は、共通鍵およびMAC鍵を含む補助データを、マスタ公開鍵とユーザ条件とを用いて暗号化する。また、補助データ暗号化部163は、制御コードを生成して認証コード付与部170に出力する。制御コードは、ユーザ条件を満たすユーザに対応するユーザ復号鍵により復号可能である。有効期間暗号化部164は、有効期間データをマスタ公開鍵と有効期間設定条件とを用いて暗号化し、有効期間暗号データを生成して認証コード付与部170に出力する。有効期間暗号データは、有効期間設定条件を満たすユーザに対応するユーザ復号鍵により復号可能である。
The auxiliary
図8(b)は、補助データが電子データ復号鍵生成パラメータと認証用鍵生成パラメータとを含む場合の関数型暗号処理部160の構成の例を示す。図8(b)において、関数型暗号処理部160Aは、共通鍵生成部161A、認証用鍵生成部162A、補助データ暗号化部163、有効期間暗号化部164、および鍵生成パラメータ算出部165を有している。
FIG. 8B shows an example of the configuration of the functional
鍵生成パラメータ算出部165は、共通鍵を生成するための電子データ復号鍵生成パラメータおよび認証用鍵を生成するための認証用鍵生成パラメータを生成する。共通鍵生成部161Aは、電子データ復号鍵生成パラメータをもとに電子データを暗号化及び復号するための共通鍵を生成し、電子データ暗号化部120に出力する。認証用鍵生成部162Aは、認証用鍵生成パラメータをもとに認証用コードを生成するための認証用鍵(MAC鍵)を生成し、認証コード付与部170に出力する。
The key generation parameter calculation unit 165 generates an electronic data decryption key generation parameter for generating a common key and an authentication key generation parameter for generating an authentication key. The common key generation unit 161A generates a common key for encrypting and decrypting electronic data based on the electronic data decryption key generation parameter, and outputs the generated common key to the electronic
処理用暗号化部163は、電子データ復号鍵生成パラメータおよび認証用鍵生成パラメータを含む補助データを、マスタ公開鍵とユーザ条件とを用いて暗号化し、制御コードを生成して認証コード付与部170に出力する。制御コードは、ユーザ条件を満たすユーザに対応するユーザ復号鍵により復号可能である。有効期間暗号化部164は、有効期間データをマスタ公開鍵と有効期間設定条件とを用いて暗号化し、有効期間暗号データを生成して認証コード付与部170に出力する。有効期間暗号データは、有効期間設定条件を満たすユーザに対応するユーザ復号鍵により復号可能である。
The
図9は、認証コード付与部170の構成を表す。認証コード付与部170は、電子データ認証コード生成部171、制御情報生成部172、制及び御情報認証コード生成部173を備えている。電子データ認証コード生成部171は、関数型暗号処理部160が生成したMAC鍵を使用して、電子データから電子データ認証コードを生成する。制御情報生成部172は、制御コード、有効期間暗号データ、および電子データ認証コードを含む制御情報を生成する。制御情報認証コード生成部173は、MAC鍵を使用して、制御情報から制御情報認証コードを生成する。
FIG. 9 shows a configuration of the authentication
制御情報は、制御コード、有効期間暗号データ、電子データ認証コードを含んでいる。このため、制御情報認証コード生成部173が生成する制御情報認証コードは、制御コード、有効期間暗号データ、電子データ認証コードそれぞれに基づいている。このため、制御情報認証コードは、制御コード、有効期間暗号データ、電子データ認証コードそれぞれに対する改竄を検出することができる。制御情報および制御情報認証コードは、ファイル作成部180により電子ファイル300のヘッダに記憶される。
The control information includes a control code, valid period encryption data, and an electronic data authentication code. Therefore, the control information authentication code generated by the control information authentication
図10は、電子ファイル作成装置100の動作を表すフローチャートである。電子ファイル作成装置100は、平文で作成されたデータをもとに電子ファイル300を作成する。最初に、電子ファイル作成装置100は、保存対象のデータに対するユーザ条件、有効期間、および有効期間設定条件を取得する(ST101)。ユーザ条件、有効期間、および有効期間設定条件は、ST101において設定画面により設定しても良いし、予め作成された情報を取得しても良い。
FIG. 10 is a flowchart showing the operation of the electronic
次に、電子ファイル作成装置100は、関数型暗号のマスタ公開鍵から、電子データの暗号及び復号に使用する共通鍵、認証用データの生成に使用するMAC鍵を生成する。電子ファイル作成装置100は、ユーザ条件とマスタ公開鍵とを使用して共通鍵とMAC鍵とを暗号化する。また、電子ファイル作成装置100は、有効期間設定条件とマスタ公開鍵とを使用して有効期間データを暗号化する(ST102)。
Next, the electronic
ST102により生成した共通鍵により、電子ファイル作成装置100は、平文データを暗号化して電子データを作成する(ST103)。電子ファイル作成装置100は、ST102で生成したMAC鍵を使用して、ST103により作成した電子データに基づいて、電子データ認証コードを生成する(ST104)。電子ファイル作成装置100は、ST102で生成した制御コード、有効期間暗号データ、および電子データ認証データをまとめて制御情報とし(ST105)、さらに、制御情報にST102で生成したMAC鍵を使用して、ST105により作成した制御情報に基づいて、制御情報認証コードを生成する(ST106)。
Using the common key generated in ST102, electronic
電子ファイル作成装置100は、ST105で生成した制御情報とST106で生成した制御情報認証コードとをヘッダ部に、ST103で生成した電子データ310をデータ部にそれぞれ含む電子ファイル300を作成する。
The electronic
図11は、電子ファイル作成装置100のハードウェア構成の一例を示すブロック図である。利用者端末400は、図10に示すように、制御部491、主記憶部492、補助記憶部493、操作部494、表示部495および送受信部496を備える。主記憶部492、補助記憶部493、操作部494、表示部495および送受信部496はいずれも内部バス490を介して制御部491に接続されている。
FIG. 11 is a block diagram illustrating an example of a hardware configuration of the electronic
制御部491はCPU(Central Processing Unit)等から構成される。制御部491は、補助記憶部493に記憶されている制御プログラム497に従って、電子ファイル作成装置100および電子データ処理装置200の操作を実行する。
The
主記憶部492はRAM(Random-Access Memory)等から構成される。補助記憶部493に記憶されている制御プログラム497は、制御部491が実行する際に、主記憶部492にロードされる。また、主記憶部4920は、制御部491の作業領域として用いられる。
The
補助記憶部493は、フラッシュメモリ、ハードディスク、DVD−RAM(Digital Versatile Disc Random-Access Memory)、DVD−RW(Digital Versatile Disc ReWritable)等の不揮発性メモリから構成される。補助記憶部493は、電子ファイル作成装置100および電子データ処理装置200の操作を制御部491に行わせるためのプログラムをあらかじめ記憶し、また、制御部491の指示に従って、このプログラムが記憶するデータを制御部491に供給する。また、補助記憶部493は、制御部491から供給されたデータや、制御部491が使用するデータを記憶する。電子ファイル300を記憶する文書データベース410は、補助記憶部493に構成される。
The
操作部494は、キーボードおよびマウスなどのポインティングデバイス等で構成される。制御プログラム497の実行に関するオペレータからの開始、強制停止、再起動などの指示は、操作部494から入力され、内部バス490を介して制御部491に伝達される。
The
表示部495は、CRT(Cathode Ray Tube)またはLCD(Liquid Crystal Display)などから構成されている。プログラムの実行状況、異常の表示等は、表示部495に表示される。
The
送受信部496は、ネットワークに接続する網終端装置または無線通信装置、およびそれらと接続するシリアルインタフェースまたはLAN(Local Area Network)インタフェースから構成されている。例えば、関数型暗号マスタ公開鍵などの外部から供給されるデータは、送受信部496を経由して電子ファイル作成装置100に供給される。また、電子ファイル300は、送受信部496を経由して利用者端末400から利用者端末400Aや利用者端末400Bに配信される。
The transmission /
図10のフローチャートに示されるそれぞれのステップは、制御プログラム497が、制御部491、主記憶部492、外部記憶部493、操作部494、表示部495および送受信部496などを資源として用いて処理することによって実行される。
Each step shown in the flowchart of FIG. 10 is processed by the
以上のように、この発明の実施の形態1に係る電子ファイル作成装置においては、電子データ310と電子データ310に対する操作または操作の制御のために使用する制御コード320とが同じ電子ファイル300に記憶されている。このため、電子ファイル300により、電子データ310それぞれに応じて電子データ310に対するアクセス管理を行うことができる。また、制御コード320はユーザ条件を満たすユーザにより復号可能であるため、ユーザ条件を設定することで、それぞれのユーザ毎に電子データへのアクセスを管理することができる。
As described above, in the electronic file creation device according to Embodiment 1 of the present invention, electronic data 310 and control code 320 used for operation or control of operation on electronic data 310 are stored in the same
具体的には、補助データとして電子データ310を復号するための電子データ復号鍵または、電子データ復号鍵を生成するための電子データ復号鍵生成パラメータが含まれているため、ユーザ条件を満たすユーザのみが電子データを復号できるようにすることができる。また、補助データとして電子データや制御コードの認証コードを作成するための認証用鍵または認証用鍵を生成するための認証用鍵生成パラメータが含まれているため、ユーザ条件を満たすユーザのみが電子データや制御コードに改竄がないことを確認して使用することができる。 Specifically, since an electronic data decryption key for decrypting the electronic data 310 or an electronic data decryption key generation parameter for generating the electronic data decryption key is included as auxiliary data, only a user who satisfies the user condition is included. Can decrypt electronic data. Also, since an authentication key for generating an authentication code for electronic data or a control code or an authentication key generation parameter for generating an authentication key is included as auxiliary data, only a user who satisfies the user conditions is electronically authorized. It can be used after confirming that there is no falsification of data or control code.
なお、上記説明において、電子データ暗号化部120は、共通鍵暗号アルゴリズムを用いて暗号化を行うが、公開鍵暗号アルゴリズムを用いて暗号化を行っても構わない。例えば、電子データ暗号化部120が公開鍵暗号アルゴリズムを用いる場合、関数型暗号処理部160は、公開鍵暗号の互いに対応する公開暗号鍵と秘密復号鍵とを生成し、公開暗号鍵を電子データ暗号化部120に供給し、秘密復号鍵を補助データとして暗号化すれば良い。
In the above description, the electronic
さらに、上記説明において、関数型暗号処理部160は、関数型暗号アルゴリズムを用いて補助データを、ユーザ条件を満たすユーザにより復号可能となるよう暗号化をしている。しかし、関数型暗号処理部160は、ユーザ条件を満たすユーザにより復号可能となるよう暗号化をするのであれば、関数型暗号アルゴリズム以外の暗号アルゴリズムを使用しても良い。例えば、従来の公開鍵暗号アルゴリズムにおいて、互いに対応する公開暗号鍵と秘密復号鍵の組をユーザの数だけ生成することが困難でなければ、ユーザ条件を満たすユーザに対応する複数の公開暗号鍵それぞれでユーザ条件を暗号化しても良い。
Further, in the above description, the functional
また、上記説明において、制御情報および制御情報認証コードは、ファイル作成部180により電子ファイルのヘッダに記憶されるとしたが、電子データ310と同じ電子ファイル300に含まれるのであれば、ファイルの何処に記憶されていても構わない。
In the above description, the control information and the control information authentication code are stored in the header of the electronic file by the
実施の形態2.
実施の形態2に係る電子データ処理装置について、図12〜図16を用いて説明する。図12は、実施の形態2に係る電子データ処理装置の構成を示す図である。図12は、電子データの読込を実行する電子データ処理装置200の構成を表す。電子データ処理装置200は、アプリケーションプログラム420からの電子データの「読込」の操作への要求を検出する。検出された「読込」の要求で対象としている電子ファイル300に制御コード320が有るか無いかを判定する。電子ファイル300に制御コード320が有る場合、電子データ処理装置200は、電子ファイル300に対する読込操作を実行する。
An electronic data processing device according to the second embodiment will be described with reference to FIGS. FIG. 12 is a diagram illustrating a configuration of an electronic data processing device according to the second embodiment. FIG. 12 shows a configuration of an electronic
電子データ処理装置200は、電子ファイル300から電子データ310を読み込む操作を実行する。電子データ310を読み込む操作は、ファイル管理システム440が有する、ファイルからデータを読み込む機能と、電子データ処理装置200が有する読み込んだデータを復号する機能、制御情報を作成する機能および制御情報に基づいて処理を実行したり中断したりする機能で構成される。
The electronic
図12において、電子データ処理装置200は、要求検出部201、処理判定部202、要求応答部203、関連データ取得部210、復号鍵取得部220、関数型復号処理部230、電子データ取得部240、判定部250、実行制御部260、および電子データ復号部270を備えている。
12, the electronic
図1における対応情報取得部2010は、図12における復号鍵取得部220を含む。図1における制御コード復号部2020は、図12における関数型復号処理230を含む。図1における実行部2030は、図12における電子データ取得部240、判定部250、実行制御部260、電子データ復号部270、および要求応答部203を含む。
The correspondence
要求検出部201は、アプリケーションプログラム420からの、ファイル管理システム430への、電子データ310に対する操作の実行の要求を検出する。処理判断部202は、検出された「読込」の要求で対象としているファイルが電子ファイル300かどうかを確認する。要求応答部203は、アプリケーションプログラム420に対して、電子データ310を電子データ復号部270で復号した結果を回答する。
The
関連データ取得部210は、電子ファイル300のヘッダ部に記憶されているデータを取得する。電子ファイル300のヘッダ部には、制御コード、有効期間暗号データ、電子データ認証コードを含む制御情報と、制御情報認証コードとが含まれている。このため、関連データ取得部210は、補助データ暗号データを取得する補助データ暗号データ取得部、有効期間暗号データを取得する有効期間暗号データ取得部、電子データ認証コードを取得する電子データ認証コード取得部、制御情報を取得する制御情報取得部、および制御情報認証コードを取得する制御情報認証コード取得部としての機能を備えている。
The related
復号鍵取得部220は、鍵管理サーバ600から、関数型暗号のユーザ復号鍵を取得する。ユーザ復号鍵は、アプリケーションプログラム420により操作の要求を行ったユーザに対応する復号鍵である。関数型復号処理部230は、電子ファイル300に含まれる制御コード320を復号して、電子データ310を復号可能な電子データ復号鍵または電子データ復号鍵を生成するための電子データ復号鍵生成パラメータを生成する。また、関数型復号処理部230は、電子ファイル300に含まれる制御320コードを復号して、電子ファイルに対する改竄を検出するための認証用鍵(MAC鍵)または認証用鍵を生成するための認証用鍵生成パラメータを生成する。
The decryption
電子データ取得部240は、電子ファイル300から、電子データ310を取得する。判定部250は、関数型復号処理部230の復号結果をもとに、「読込」操作の実行または中止を判定する。実行制御部260は、判定部の判定結果に従い、ファイル管理システム440を使用した電子データ310の読込の実行または中止を行う。電子データ復号部270は、判定部250が実行すると判断した場合、ファイル管理システム430の「読込」操作により読み込まれた電子データ310を復号する。
The electronic
ここで、図13および図14により、関数型復号処理部230について説明する。図13は、関数型復号処理部230の機能を表す。図13(a)は、関数型復号処理部230の制御コードを復号する機能を表す。補助データは、関数型暗号処理部160が図8(a)のように構成されている場合、電子データ復号鍵(共通鍵)と認証用鍵(MAC鍵)とを含む。この場合、関数型暗号処理部230は、復号鍵取得部220が鍵管理サーバ600から取得したユーザ復号鍵により、制御コード320を復号し、共通鍵とMAC鍵とを生成する。
Here, the functional decoding processing unit 230 will be described with reference to FIGS. FIG. 13 illustrates the function of the functional decryption processing unit 230. FIG. 13A illustrates the function of the functional decoding processing unit 230 for decoding the control code. When the functional
また、補助データは、関数型暗号処理部160が図8(b)のように構成されている場合、電子データ復号鍵生成パラメータと認証用鍵生成パラメータとを含む。この場合、関数型暗号処理部230は、復号鍵取得部220が鍵管理サーバ600から取得したユーザ復号鍵により、制御コードを復号し、電子データ復号鍵生成パラメータと認証用鍵生成パラメータとを生成する。関数型暗号処理部230は、さらに電子データ復号鍵生成パラメータから共通鍵を生成し、認証用鍵生成パラメータからMAC鍵を生成する。
When the functional
図13(b)は、関数型復号処理部230の有効期間暗号データを復号する機能を表す。関数型復号処理部230は、復号鍵取得部220が鍵管理サーバ600から取得したユーザ復号鍵により、有効期間暗号データを復号する。
FIG. 13B shows a function of the functional decryption processing unit 230 for decrypting the validity period encrypted data. The functional decryption processing unit 230 decrypts the validity period encrypted data using the user decryption key acquired by the decryption
図14は、関数型復号処理部230の構成の例である。図14(a)は、補助データが共通鍵とMAC鍵とを含む場合の関数型復号処理部230の構成の例である。関数型復号処理部230は、例えば、補助データ復号部231および有効期間復号部232を有している。
FIG. 14 is an example of the configuration of the functional decryption processing unit 230. FIG. 14A is an example of the configuration of the functional decryption processing unit 230 when the auxiliary data includes a common key and a MAC key. The functional decoding unit 230 has, for example, an auxiliary
補助データ復号部231は、制御コードをユーザ復号鍵により復号する。ユーザ復号鍵に埋め込まれているパラメータ「利用者A」などが、ユーザ条件を満たすとき、補助データ復号部231は、制御コードから共通鍵およびMAC鍵を含む補助データを生成する。また、補助データ復号部231は、復号が正常に行われたかどうかを示す復号成功/失敗を出力する。有効期間復号部232は、有効期間データをユーザ復号鍵により復号する。ユーザ復号鍵に埋め込まれているパラメータ「利用者A」などが、有効期間設定条件を満たすとき、有効期間復号部232は、有効期間暗号データから有効期間データを生成する。
The auxiliary
図14(b)は、補助データが電子データ復号鍵生成パラメータと認証用鍵生成パラメータとを含む場合の関数型復号処理部230の構成の例である。関数型復号処理部230は、補助データ復号部231、有効期間復号部232、共通鍵生成部233、および認証用鍵生成部234を有している。
FIG. 14B is an example of the configuration of the functional decryption processing unit 230 when the auxiliary data includes an electronic data decryption key generation parameter and an authentication key generation parameter. The functional decryption processing unit 230 includes an auxiliary
補助データ復号部231は、制御コードをユーザ復号鍵により復号する。ユーザ復号鍵に埋め込まれているパラメータ「利用者A」などが、ユーザ条件を満たすとき、補助データ復号部231は、制御コードから電子データ復号鍵生成パラメータおよび認証用鍵生成パラメータを含む補助データを生成する。また、補助データ復号部231は、復号が正常に行われたかどうかを示す復号成功/失敗を出力する。
The auxiliary
共通鍵生成部233は、補助データ復号部231が生成した電子データ復号鍵生成パラメータをもとに電子データ310を復号するための共通鍵を生成する。共通鍵生成部233は、電子ファイル作成装置100の共通鍵生成部161と同等である。このため、共通鍵生成部233は、同じ電子データ復号鍵生成パラメータから共通鍵生成部161と同じ電子データ復号鍵を生成する。
The common key generation unit 233 generates a common key for decrypting the electronic data 310 based on the electronic data decryption key generation parameter generated by the auxiliary
認証用鍵生成部234は、補助データ復号部231が生成した認証用鍵生成パラメータをもとに認証用鍵を生成する。認証用鍵生成部234は、電子ファイル作成装置100の認証用鍵生成部162と同等である。このため、認証用鍵生成部234は、同じ認証用鍵生成パラメータから認証用鍵生成部162と同じ認証用鍵を生成する。有効期間復号部232については、図14(a)と同様である。
The authentication key generation unit 234 generates an authentication key based on the authentication key generation parameter generated by the auxiliary
図15は、判定部250の構成を表す。判定部250は、制御情報認証コード算出部251、制御情報改竄検出部、電子データ認証コード算出部253、および電子データ改竄検出部254を有する。
FIG. 15 illustrates a configuration of the
制御情報認証コード算出部251は、認証用鍵(MAC鍵)を使用して、関連データ取得部210が取得した電子ファイル300の制御データについて制御データ認証コードを算出する。制御情報認証コード算出部251は、制御データ認証コードを算出するために、関数型復号処理部230が復号した、または関数型復号処理部230が復号した認証用鍵生成パラメータから生成された、認証用鍵(MAC鍵)を使用する。
The control information authentication code calculation unit 251 calculates a control data authentication code for the control data of the
制御情報改竄検出部252は、制御情報認証コード算出部251が算出した認証コードと関連データ取得部210が取得した電子ファイルの制御情報認証コードとを比較して、制御情報すなわち制御コード、有効期間暗号データ、電子データ認証コードについての改竄を検出する。
The control information tampering detection unit 252 compares the authentication code calculated by the control information authentication code calculation unit 251 with the control information authentication code of the electronic file acquired by the related
電子データ認証コード算出部253は、電子データ取得部240が取得した電子ファイルの電子データ310について電子データ認証コードを算出する。電子データ認証コード算出部253は、電子データ認証コードを算出するために、関数型復号処理部230が復号した、または関数型復号処理部230が復号した認証用鍵生成パラメータから生成された、認証用鍵(MAC鍵)を使用する。
The electronic data authentication code calculation unit 253 calculates an electronic data authentication code for the electronic data 310 of the electronic file acquired by the electronic
電子データ竄検出部254は、電子データ認証コード算出部253が算出した認証コードと電子データ取得部240が取得した電子ファイルの電子データ310とを比較して、電子データ310についての改竄を検出する。
The electronic data tampering
許可/禁止判定部255は、制御情報の改竄検出結果および電子データ310の改竄検出結果において改竄が検出されず、関数型復号部の復号成功/失敗が復号成功であった場合、さらに有効期間が設定されてないか、または操作の要求が有効期間内にされている場合に、要求された操作を許可すると判定する。また、それ以外の場合には、要求された操作を禁止すると判定する。 The permission / prohibition determining unit 255 determines that the falsification is not detected in the falsification detection result of the control information and the falsification detection result of the electronic data 310 and that the success / failure of the functional decoding unit is a successful decoding. If it is not set or the operation request is made within the validity period, it is determined that the requested operation is permitted. Otherwise, it is determined that the requested operation is prohibited.
図16は、電子データ処理装置200の動作を表すフローチャートである。電子データ処理装置200は、起動されると、要求されている操作が、制御コード320の有る電子ファイル300に対する操作であるかどうかを判定する(ST201)。制御コード320が無い場合(ST201で「無」)、操作を終了する。制御コード320が有る場合(ST201で「有」)、ST202以下の処理を行う。
FIG. 16 is a flowchart showing the operation of the electronic
電子データ処理装置200は、電子ファイル300のヘッダの情報を取得する(ST202)。次に、電子データ処理装置200は、関数型暗号のユーザ復号鍵により、制御コードと有効期間暗号データの復号を行う(ST203)。ST203の処理により、ファイルの読込処理の要求を行ったユーザが処理条件を満たす場合、電子データ復号鍵、認証用鍵、有効期限データが生成される。
Electronic
電子データ処理装置200は、ST203で生成された認証用鍵を使用して、電子ファイル300の制御情報について、制御情報認証コードを算出する(ST204)。また、電子データ処理装置200は、ST203で生成された認証用鍵を使用して、電子ファイル300の電子データ310について、電子データ認証コードを算出する(ST205)。電子データ処理装置200は、電子ファイル300が含む電子データ認証コードと算出した電子データ認証コードとの比較、電子ファイルが含む制御情報認証コードと算出した制御情報認証コードとの比較により、電子データ310や制御情報の改竄を検出する(ST206)。
Electronic
改竄が検出された場合(ST206で「改竄有」)、電子データ処理装置200は、アプリケーションプログラム420に対してエラー(閲覧不可)を通知して(ST207)操作を終了する。改竄が検出されなかった場合(ST206で「改竄無」)、電子データ処理装置200は、関数型復号処理の復号結果および有効期限をもとに処理の実行/中止を判定する(ST208)。ST208で中止と判定した場合(ST208で「中止」)、電子データ処理装置200は、アプリケーションプログラム420に対してエラー(閲覧不可)を通知して(ST207)終了する。ST208で実行と判定した場合(ST208で「実行」)、電子データ処理装置200は、電子データ310の復号を行い(ST209)、復号したデータをアプリケーションプログラムに出力して(ST210)終了する。アプリケーションプログラムに出力されたデータは、アプリケーションプログラムで、閲覧用に表示される。
If tampering is detected ("tampering" in ST206), electronic
なお、電子データ処理装置200のハードウェア構成は、図11と同様である。図16のフローチャートに示されるそれぞれのステップは、制御プログラム497が、制御部491、主記憶部492、外部記憶部493、操作部494、表示部495および送受信部496などを資源として用いて処理することによって実行される。
Note that the hardware configuration of the electronic
以上のように、この発明の実施の形態2に係る電子ファイル作成装置においては、電子データ310と電子データ310に対する操作または操作の制御のために使用する制御コード320とが同じ電子ファイル300に記憶されている。このため、電子ファイル300により、電子データ310それぞれに応じて電子データ310に対するアクセス管理を行うことができる。また、制御コード320はユーザ条件を満たすユーザにより復号可能であるため、ユーザ条件を設定することで、それぞれのユーザ毎に電子データ310へのアクセスを管理することができる。
As described above, in the electronic file creation device according to
実施の形態3.
実施の形態3に係る電子データ処理装置について、図17〜図19を用いて説明する。図17は、実施の形態3に係る電子データ処理装置の構成を示す図である。図17に示す電子データ処理装置200Aは、読取を行った電子データ310や、電子データ310をもとに編集したデータを元の電子ファイルまたは新たな電子ファイルに保存する操作を実行する。電子データ処理装置200Aは、アプリケーションプログラム420からの電子データ310の「保存」の要求を検出して、操作を開始する。
Embodiment 3 FIG.
The electronic data processing device according to the third embodiment will be described with reference to FIGS. FIG. 17 is a diagram illustrating a configuration of an electronic data processing device according to the third embodiment. The electronic
電子データ処理装置200Aは、ファイル管理システム440が有するファイルにデータを保存する機能と、電子データ処理装置200が有する、制御情報に基づいて操作を実行したり中断したりする機能、データを暗号化して新たな電子データ310を生成する機能、および新たな電子データ310に対する操作を行うための新たな制御情報を作成する機能とにより、電子ファイルにデータを保存する操作を実行する。
The electronic
図17において、電子データ処理装置200Aは、要求検出部201A、処理判定部202、要求応答部203A、関連データ取得部210、復号鍵取得部220、関数型復号処理部230A、電子データ取得部240、判定部250、実行制御部260A、電子データ復号部270、および電子ファイル作成部100Aを備えている。
17, an electronic
要求検出部201Aは、アプリケーションプログラム420からの、保存操作の要求を検出する。関数型復号処理部230Aは、電子ファイルに含まれる、保存操作についての制御コードを復号して、電子データ310を復号するための共通鍵と、電子ファイルに対する改竄を検出するためのMAC鍵とを生成する。実行制御部260Aは、判定部の判定結果に従い、電子ファイル作成部100Aによる電子データ310の保存の実行または中止を行う。電子ファイル作成部100Aは、ユーザから指定されたデータをもとに新たな電子データ310を作成して、元の電子ファイルまたは新たな電子ファイルに保存する。要求応答部203Aは、アプリケーションプログラム420からの要求に対して、判定部250の判定結果に基づき、保存操作を許可する場合は正常終了を、保存操作を禁止する場合は、エラーを応答する。その他の構成については、電子データ処理装置200の構成と同様である。
The
図18は、電子ファイル作成部100Aの構成を示す図である。電子ファイル作成部100Aは、文書データ取得部110Aと、電子データ暗号化部120と、ユーザ条件取得部130Aと、有効期間取得部140Aと、公開鍵取得部150と、関数型暗号処理部160と、認証コード付与部170と、ファイル作成部180とを備えている。
FIG. 18 is a diagram illustrating a configuration of the electronic
文書データ取得部110Aは、アプリケーションプログラム420から、ファイルに保存するデータを取得する。ユーザ条件取得部130Aは、保存するデータに関する新たなユーザ条件を取得する。有効期間取得部140Aは、保存するデータに関する新たな有効期間と有効期間設定条件とを取得する。その他の構成については、電子ファイル作成装置100と同様である。
The document data acquisition unit 110A acquires data to be stored in a file from the application program 420. The user
図19は、電子データ処理装置200Aの動作を表すフローチャートである。電子データ処理装置200Aは、アプリケーションプログラム420からファイルシステム440へのファイルの保存の要求を検出して動作を開始する(ST201A)。起動すると、電子データ処理装置200Aは、電子ファイルのヘッダの情報を取得する(ST202)。次に、電子データ処理装置200Aは、関数型暗号のユーザ復号鍵により、制御コードと有効期間暗号データの復号を行う(ST203A)。ST203Aの処理により、ファイルの保存の要求を行ったユーザが処理条件を満たす場合、電子データ復号鍵、認証用鍵、有効期限データが生成される。ST204〜ST208の処理については、電子データ処理装置200の動作と同じである。
FIG. 19 is a flowchart illustrating the operation of the electronic
電子データ処理装置200Aは、保存処理を許可する場合(ST208で「処理許可」)、アプリケーションプログラム420から、保存する対象のデータ(平文データ)を取得する(ST211)。次に、電子データ処理装置200Aは、新たに保存するデータのための、新たなユーザ条件、新たな有効期間、新たな有効期間設定条件を取得する(ST101A)。ST102以後の処理については、電子ファイル作成装置100の動作と同様である。
When the storage processing is permitted ("processing permitted" in ST208), electronic
以上のように、この発明の実施の形態3に係る電子データ処理装置においては、電子データ310と電子データ310に対する操作または前記操作の制御のために使用する制御コードとが同じ電子ファイルに記憶されているため、電子データ310それぞれに応じて電子データ310を保存する操作を行うことができる。また、制御コードはユーザ条件を満たすユーザにより復号可能であるため、ユーザ条件を設定することで、それぞれのユーザ毎に電子データ310への操作を実行することができる。さらに、電子ファイルに新たな電子データ310に対する制御コードを保存することが可能である。このため、配布された電子データ310に対してアクセスできるユーザの更新を、それぞれの端末上で、処理を許可されたユーザによって、容易に更新することができる。 As described above, in the electronic data processing device according to the third embodiment of the present invention, electronic data 310 and an operation on electronic data 310 or a control code used for controlling the operation are stored in the same electronic file. Therefore, an operation of saving the electronic data 310 can be performed according to each of the electronic data 310. Further, since the control code can be decoded by a user who satisfies the user condition, an operation on the electronic data 310 can be executed for each user by setting the user condition. Further, it is possible to store a control code for new electronic data 310 in an electronic file. Therefore, the update of the user who can access the distributed electronic data 310 can be easily updated on each terminal by the user who is permitted to perform the process.
実施の形態4.
実施の形態4に係る電子データ処理装置について、図20〜図22を用いて説明する。実施の形態4では、1つのユーザ群に属するユーザが使用するための電子ファイルを、異なるユーザ群に属するユーザが使用するための電子ファイルに変換して保存する。2つのユーザ群ではそれぞれ他のユーザ群への漏洩を防止するため、マスタ公開鍵とユーザ復号鍵の互いに異なる組合せを使用する。
Embodiment 4 FIG.
An electronic data processing device according to the fourth embodiment will be described with reference to FIGS. In the fourth embodiment, an electronic file used by a user belonging to one user group is converted into an electronic file used by a user belonging to a different user group and stored. Each of the two user groups uses a different combination of the master public key and the user decryption key in order to prevent leakage to the other user groups.
図20は、実施の形態4に係る電子データ処理装置の構成を示す図である。図20おいて、電子データ処理装置200Bは、要求検出部201A、処理判定部202、要求応答部203A、関連データ取得部210、復号鍵取得部220、関数型復号処理部230A、電子データ取得部240、判定部250、実行制御部260A、電子データ復号部270、および電子ファイル作成部100Bを備えている。
FIG. 20 is a diagram showing a configuration of the electronic data processing device according to the fourth embodiment. 20, an electronic data processing device 200B includes a
電子ファイル作成部100Bは、元の電子ファイルの電子データ310をもとにした新たな電子データ310を、元の電子ファイルを使用するユーザのユーザ群(以後、第1のユーザ群という)とは異なるユーザ群(以後、第2のユーザ群という)に属するユーザが使用するための電子ファイルに変換して保存する。その他の構成については、電子データ処理装置200Aの構成と同様である。
The electronic
図21は、電子ファイル作成部100Bの構成を示す図である。電子ファイル作成部100Bは、文書データ取得部110Aと、電子データ暗号化部120と、ユーザ条件取得部130Bと、有効期間取得部140Bと、公開鍵取得部150Aと、関数型暗号処理部160と、認証コード付与部170と、ファイル作成部180とを備えている。
FIG. 21 is a diagram illustrating the configuration of the electronic
ユーザ条件取得部130Bは、第2のユーザ群に関する新たなユーザ条件を取得する。有効期間取得部140BAは、第2のユーザ群に関する新たな有効期間データと有効期間設定条件とを取得する。公開鍵取得部150Aは、その他の構成については、電子ファイル作成部100Aと同様である。
The user condition acquisition unit 130B acquires a new user condition for the second user group. The validity period acquiring unit 140BA acquires new validity period data and validity period setting conditions for the second user group. Other configurations of the public
図22は、電子データ処理装置200Bの動作を表すフローチャートである。電子データ処理装置200Bは、ST101Bにおいて、第2のユーザ群に関する新たなユーザ条件、新たな有効期間、および有効期間設定条件を取得する。電子データ処理装置200Bは、ST102Bにおいて、第2のユーザ群に関する新たな公開鍵により、新たな制御コード、新たな有効期間暗号データを生成する。その他の処理については、電子データ処理装置200Aの動作と同様である。
FIG. 22 is a flowchart illustrating the operation of the electronic data processing device 200B. In ST101B, electronic data processing device 200B acquires a new user condition, a new validity period, and a validity period setting condition for the second user group. In ST102B, electronic data processing device 200B generates a new control code and new validity period encrypted data using a new public key for the second user group. Other processing is the same as the operation of the electronic
以上のように、この発明の実施の形態4に係る電子データ処理装置においては、電子データを複数の異なるユーザ群で使用する場合、ユーザ群に合わせたアクセス管理を行うことが可能な電子ファイルを作成することができる。 As described above, in the electronic data processing apparatus according to Embodiment 4 of the present invention, when electronic data is used by a plurality of different user groups, an electronic file capable of performing access management according to the user groups is used. Can be created.
100 電子ファイル作成装置、100A、100B 電子ファイル作成部、110、110A 文書データ取得部、120 電子データ暗号化部、130、130A、130B ユーザ条件取得部、140、140A、140B 有効期間取得部、150、150A 公開鍵取得部、160 関数型暗号処理部、161 共通鍵生成部、162 認証用鍵生成部、163 補助データ暗号化部、164 有効期間暗号化部、170 認証コード付与部、171 電子データ認証コード生成部、172 制御情報生成部、173 制御情報認証コード生成部、180 ファイル作成部、200、200A、200B 電子データ処理装置、201、201A 要求検出部、202 処理判定部、203、203A 要求応答部、210 関連データ取得部、220復号鍵取得部、230、230A 関数型復号処理部、231 補助データ復号部、232 有効期間復号部、233 共通鍵生成部、234 認証用鍵生成部、240 電子データ取得部、250 判定部、251 制御情報認証コード算出部、252 制御情報改竄検出部、253 電子データ認証コード算出部、254 電子データ改竄検出部、260、260A 実行制御部、270 制御データ復号部、300 電子ファイル、310 電子データ、320 制御コード、400、400A、400B 利用者端末、410文書データベース、420 アプリケーションプログラム、430 オペレーティングシステム、440 ファイル管理システム、450 関数型鍵取得部、500 ネットワーク、600 鍵管理サーバ、610 マスタ鍵生成部、620 復号鍵生成部、1010 制御コード生成部、1020 ファイル作成部、2010 対応情報取得部、2020
制御コード復号部、2030 実行部。
Reference Signs List 100 electronic file creation device, 100A, 100B electronic file creation unit, 110, 110A document data acquisition unit, 120 electronic data encryption unit, 130, 130A, 130B user condition acquisition unit, 140, 140A, 140B validity period acquisition unit, 150 , 150A public key acquisition unit, 160 functional encryption processing unit, 161 common key generation unit, 162 authentication key generation unit, 163 auxiliary data encryption unit, 164 valid period encryption unit, 170 authentication code assignment unit, 171 electronic data Authentication code generation unit, 172 Control information generation unit, 173 Control information authentication code generation unit, 180 File creation unit, 200, 200A, 200B Electronic data processing device, 201, 201A Request detection unit, 202 Processing determination unit, 203, 203A request Response unit, 210 related data acquisition unit, 220 decryption key acquisition , 230, 230A Functional decryption processing unit, 231 auxiliary data decryption unit, 232 valid period decryption unit, 233 common key generation unit, 234 authentication key generation unit, 240 electronic data acquisition unit, 250 determination unit, 251 control information authentication Code calculation unit, 252 Control information tampering detection unit, 253 Electronic data authentication code calculation unit, 254 Electronic data tampering detection unit, 260, 260A Execution control unit, 270 Control data decryption unit, 300 Electronic file, 310 Electronic data, 320 Control code , 400, 400A, 400B user terminal, 410 document database, 420 application program, 430 operating system, 440 file management system, 450 functional key acquisition unit, 500 network, 600 key management server, 610 master key generation unit, 620 decryption Key generator , 1010 control code generation unit, 1020 file generation unit, 2010 correspondence information acquisition unit, 2020
Control code decoding unit, 2030 execution unit.
Claims (15)
前記限定操作を実行させる前記ユーザに対応するユーザ対応情報を取得させ、前記電子ファイルに含まれる前記制御コードを、前記ユーザ対応情報に基づき復号させ、前記制御コード復号部によって得られた前記補助データを使用して、前記限定操作を実行させるプログラム。 The computer is permitted to execute the limited operation that is permitted only for a predetermined user to execute on the electronic data, the auxiliary data necessary for the limited operation is included in the same electronic file as the electronic data, and the execution is permitted. A program that can be decrypted only by the user to be executed using a control code,
The control data contained in the electronic file is decoded based on the user correspondence information, and the auxiliary data obtained by the control code decoding unit is obtained. A program for executing the limited operation using
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018178735A JP7159747B2 (en) | 2018-09-25 | 2018-09-25 | Electronic file creation device, electronic data processing device, electronic data management system, electronic data management method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018178735A JP7159747B2 (en) | 2018-09-25 | 2018-09-25 | Electronic file creation device, electronic data processing device, electronic data management system, electronic data management method, and program |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2020053747A true JP2020053747A (en) | 2020-04-02 |
JP2020053747A5 JP2020053747A5 (en) | 2021-06-10 |
JP7159747B2 JP7159747B2 (en) | 2022-10-25 |
Family
ID=69997747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018178735A Active JP7159747B2 (en) | 2018-09-25 | 2018-09-25 | Electronic file creation device, electronic data processing device, electronic data management system, electronic data management method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7159747B2 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012256140A (en) * | 2011-06-08 | 2012-12-27 | Dainippon Printing Co Ltd | Electronic book browsing system |
-
2018
- 2018-09-25 JP JP2018178735A patent/JP7159747B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012256140A (en) * | 2011-06-08 | 2012-12-27 | Dainippon Printing Co Ltd | Electronic book browsing system |
Non-Patent Citations (1)
Title |
---|
JOHN WHITINGTON, PDF構造解説, vol. 初版, JPN6022007677, 22 May 2012 (2012-05-22), pages 137 - 144, ISSN: 0004715676 * |
Also Published As
Publication number | Publication date |
---|---|
JP7159747B2 (en) | 2022-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109862041B (en) | Digital identity authentication method, equipment, device, system and storage medium | |
US10439804B2 (en) | Data encrypting system with encryption service module and supporting infrastructure for transparently providing encryption services to encryption service consumer processes across encryption service state changes | |
CN106664202B (en) | Method, system and computer readable medium for providing encryption on multiple devices | |
US20110276490A1 (en) | Security service level agreements with publicly verifiable proofs of compliance | |
US20140270179A1 (en) | Method and system for key generation, backup, and migration based on trusted computing | |
KR101982237B1 (en) | Method and system for data sharing using attribute-based encryption in cloud computing | |
US11831753B2 (en) | Secure distributed key management system | |
JP2009089045A (en) | Apparatus and program for selecting encryption module | |
US10771261B1 (en) | Extensible unified multi-service certificate and certificate revocation list management | |
US11190346B2 (en) | Secure device ownership transfer using an ephemeral device transfer token generated using elliptic curve cryptography | |
CN112118245B (en) | Key management method, system and equipment | |
US20150143107A1 (en) | Data security tools for shared data | |
CN111132150A (en) | Method and device for protecting data, storage medium and electronic equipment | |
JP6976405B2 (en) | Access control system and its programs | |
JP2007020065A (en) | Decryption backup method, decryption restoration method, attestation device, individual key setting machine, user terminal, backup equipment, encryption backup program, decryption restoration program | |
JP2005286402A (en) | Server and program for encryption key management terminal and program for acquiring encryption key system and method for encryption key management | |
JP2010200210A (en) | Key management device, key utilization system, key operation system, key management method, and key management program | |
CN115766270A (en) | File decryption method, file encryption method, key management method, device and equipment | |
JP2020053747A (en) | Electronic file creation device, electronic data processing device, electronic data management system, electronic data management method, and program | |
CN109933994B (en) | Data hierarchical storage method and device and computing equipment | |
JP5677194B2 (en) | Content sales management apparatus, content sales system, computer program, and content sales management method | |
KR20160128170A (en) | Device, server and method for providing a secret key encryption and restore | |
TW201941561A (en) | Method and apparatus for managing passwords, and computer storage medium | |
JP2008035449A (en) | Data distributing method using self-decryption file and information processing system using the same | |
JP2013179473A (en) | Account generation management system, account generation management server, account generation management method, account generation management program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210419 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210419 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220128 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220301 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20220427 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220428 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220913 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220926 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7159747 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |