JP2020113835A - Encryption device, decryption device, key generation device, information processing device, and program - Google Patents
Encryption device, decryption device, key generation device, information processing device, and program Download PDFInfo
- Publication number
- JP2020113835A JP2020113835A JP2019001759A JP2019001759A JP2020113835A JP 2020113835 A JP2020113835 A JP 2020113835A JP 2019001759 A JP2019001759 A JP 2019001759A JP 2019001759 A JP2019001759 A JP 2019001759A JP 2020113835 A JP2020113835 A JP 2020113835A
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- base data
- data
- key
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims description 74
- 238000000034 method Methods 0.000 claims description 132
- 230000008569 process Effects 0.000 claims description 118
- 238000012545 processing Methods 0.000 claims description 93
- 238000004891 communication Methods 0.000 claims description 69
- 230000005540 biological transmission Effects 0.000 claims description 17
- 230000006378 damage Effects 0.000 claims description 13
- 230000006870 function Effects 0.000 description 29
- 238000012790 confirmation Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 11
- 239000007787 solid Substances 0.000 description 5
- 230000004044 response Effects 0.000 description 4
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 210000003462 vein Anatomy 0.000 description 1
Images
Abstract
Description
本発明は、暗号化装置、復号装置、鍵生成装置、情報処理装置及びプログラムに関し、特に暗号データ及び平文データを生成する技術に関する。 The present invention relates to an encryption device, a decryption device, a key generation device, an information processing device and a program, and more particularly to a technique for generating encrypted data and plaintext data.
従来、ネットワークに接続される情報処理装置や、オフィスなどに設置され複数のユーザーに利用される情報処理装置などに、秘匿しておきたいデータを記憶させる際、当該データが他人に見られたり、改竄されないようにするための技術として様々な技術が提案されている。例えば特許文献1には、プログラム内に隠蔽された複数の秘密鍵に基づいて暗号鍵を生成し、当該暗号鍵を用いてデータを暗号化することでセキュリティを確保する技術が開示されている。
Conventionally, when storing data to be kept secret in an information processing device connected to a network or an information processing device installed in an office and used by a plurality of users, the data may be seen by others, Various techniques have been proposed as techniques for preventing tampering. For example,
しかし、特許文献1の情報処理装置は、その内部に、データを暗号化する際に用いる暗号鍵を保持することになる。そのため、例えば、情報処理装置がネットワークに接続されている場合、悪意ある第三者に不正にアクセスされて内部の暗号鍵を盗まれるといった事態が生じる可能性がある。また、暗号鍵と復号鍵が共通する共通鍵方式を用いていることも考えられる。そのような場合には、暗号鍵が盗まれると、その暗号鍵を用いて暗号化されたデータを復号することができ、悪意ある第三者は暗号化されたデータの中身を見たり、改竄したりできるという問題がある。
However, the information processing device of
また、悪意ある第三者に暗号鍵が盗まれることを防止するため、例えば、ユーザー自身がパスワード(暗号鍵)を記憶しておくなど、情報処理装置に暗号鍵を保持させないことも考えられる。この場合、情報処理装置に暗号鍵を保持させないため、情報処理装置から暗号鍵が盗まれるという可能性はない。しかし、ユーザーがパスワード(暗号鍵)を忘れてしまうと、情報処理装置に、暗号化されたデータを復号させることができなくなってしまうという問題がある。 Further, in order to prevent the cryptographic key from being stolen by a malicious third party, it is conceivable that the information processing device does not hold the cryptographic key, for example, the user stores the password (encryption key). In this case, since the information processing device does not hold the encryption key, there is no possibility that the encryption key will be stolen from the information processing device. However, if the user forgets the password (encryption key), there is a problem in that the information processing device cannot decrypt the encrypted data.
そこで本発明は、上記課題を解決するためになされたものであり、データを暗号化する際に用いた暗号鍵を情報処理装置内に保持せず、しかも暗号化されたデータを復号する際に、ユーザーによるパスワード入力などを必要とすることなく、暗号化されたデータを復号することが可能な暗号化装置、復号装置、鍵生成装置、情報処理装置及びプログラムを提供することを目的とする。 Therefore, the present invention has been made in order to solve the above problems, and does not hold the encryption key used when encrypting the data in the information processing device, but also when decrypting the encrypted data. It is an object of the present invention to provide an encryption device, a decryption device, a key generation device, an information processing device, and a program that can decrypt encrypted data without requiring a user to input a password.
上記目的を達成するため、請求項1に係る発明は、暗号化装置であって、ベースデータを取得するベースデータ取得手段と、ユーザーを認証する認証処理を行う認証手段と、前記ベースデータと前記認証処理において認証されたユーザーのユーザー情報とに基づいて生成される暗号鍵を取得する暗号鍵取得手段と、前記暗号鍵取得手段によって取得される前記暗号鍵を使用し、データを暗号化する暗号化手段と、前記暗号化手段によって使用された前記暗号鍵を破棄する暗号鍵破棄手段と、前記暗号化手段によって生成された暗号データに、前記ベースデータを特定可能な付加情報を付加して出力する出力手段と、を備えることを特徴とする構成である。
In order to achieve the above-mentioned object, the invention according to
請求項2に係る発明は、請求項1の暗号化装置において、前記付加情報は、前記ベースデータであることを特徴とする構成である。 According to a second aspect of the present invention, in the encryption device according to the first aspect, the additional information is the base data.
請求項3に係る発明は、請求項1又は2の暗号化装置において、前記ベースデータは、乱数であることを特徴とする構成である。
The invention according to
請求項4に係る発明は、請求項1乃至3のいずれかの暗号化装置において、前記ベースデータは、日時を示す情報を含むことを特徴とする構成である。
The invention according to claim 4 is the encryption apparatus according to any one of
請求項5に係る発明は、請求項1乃至4のいずれかの暗号化装置において、前記認証手段は、ユーザーの生体情報を取得して前記認証処理を行うことを特徴とする構成である。 According to a fifth aspect of the present invention, in the encryption device according to any one of the first to fourth aspects, the authentication unit acquires the biometric information of the user and performs the authentication process.
請求項6に係る発明は、請求項1乃至5のいずれかの暗号化装置において、前記ユーザー情報は、前記認証処理において取得される認証情報であることを特徴とする構成である。 According to a sixth aspect of the invention, in the encryption device according to any one of the first to fifth aspects, the user information is authentication information acquired in the authentication processing.
請求項7に係る発明は、請求項1乃至6のいずれかの暗号化装置において、他の機器と通信を行う通信手段と、前記ベースデータ取得手段によって取得される前記ベースデータを、前記他の装置に送信するベースデータ送信手段と、を更に備え、前記暗号鍵取得手段は、前記ユーザー情報と前記ベースデータ送信手段によって送信される前記ベースデータとに基づいて生成される前記暗号鍵を、前記通信手段を介して前記他の機器から取得することを特徴とする構成である。 According to a seventh aspect of the present invention, in the encryption device according to any one of the first to sixth aspects, a communication unit that communicates with another device and the base data acquired by the base data acquisition unit are stored in the other device. Further comprising a base data transmitting unit for transmitting to the device, wherein the encryption key obtaining unit is configured to generate the encryption key based on the user information and the base data transmitted by the base data transmitting unit. The configuration is characterized in that it is acquired from the other device via a communication unit.
請求項8に係る発明は、請求項7の暗号化装置において、前記通信手段は、前記他の機器が所定距離の範囲内にあるときに前記他の機器と1対1の近距離無線通信を行うことを特徴とする構成である。 According to an eighth aspect of the present invention, in the encryption device according to the seventh aspect, the communication unit performs one-to-one short-range wireless communication with the other device when the other device is within a predetermined distance range. This configuration is characterized by being performed.
請求項9に係る発明は、請求項1乃至6のいずれかの暗号化装置において、前記ユーザー情報と前記ベースデータとに基づいて前記暗号鍵を生成する暗号鍵生成手段と、を更に備え、前記暗号鍵取得手段は前記暗号鍵生成手段から前記暗号鍵を取得することを特徴とする構成である。
The invention according to claim 9 is the encryption device according to any one of
請求項10に係る発明は、請求項9の暗号化装置において、前記暗号鍵生成手段は、前記暗号鍵のデータ長を所定のデータ長とすることを特徴とする構成である。 According to a tenth aspect of the present invention, in the encryption device of the ninth aspect, the encryption key generating means sets the data length of the encryption key to a predetermined data length.
請求項11に係る発明は、復号装置であって、ユーザーを認証する認証処理を行う認証手段と、ベースデータと前記認証処理において認証されたユーザーのユーザー情報とに基づいて生成される暗号鍵によって暗号化された暗号データを入力する入力手段と、前記暗号データに付加される付加情報から前記ベースデータを特定する特定手段と、前記ユーザー情報と前記特定手段によって特定される前記ベースデータとに基づいて生成される復号鍵を取得する復号鍵取得手段と、前記復号鍵取得手段によって取得される前記復号鍵を使用し、前記暗号データを復号して平文データを生成する復号手段と、を備えることを特徴とする構成である。 According to an eleventh aspect of the present invention, there is provided a decryption device, which comprises an authentication means for performing an authentication process for authenticating a user, and an encryption key generated based on base data and user information of the user authenticated in the authentication process. Based on input means for inputting encrypted encrypted data, specifying means for specifying the base data from additional information added to the encrypted data, and the user information and the base data specified by the specifying means. A decryption key obtaining unit that obtains a decryption key generated by the decryption key, and a decryption unit that uses the decryption key obtained by the decryption key obtaining unit to decrypt the encrypted data to generate plaintext data. The configuration is characterized by.
請求項12に係る発明は、請求項11の復号装置において、前記認証手段は、ユーザーの生体情報を取得して前記認証処理を行うことを特徴とする構成である。 According to a twelfth aspect of the present invention, in the decryption device according to the eleventh aspect, the authentication unit acquires the biometric information of the user and performs the authentication process.
請求項13に係る発明は、請求項11又は12の復号装置において、前記ユーザー情報は、前記認証処理において取得される認証情報であることを特徴とする構成である。 According to a thirteenth aspect of the present invention, in the decryption device according to the eleventh or twelfth aspect, the user information is authentication information acquired in the authentication processing.
請求項14に係る発明は、請求項11乃至13のいずれかの復号装置において、他の機器と通信を行う通信手段と、前記特定手段によって特定される前記ベースデータを、前記他の装置に送信するベースデータ送信手段と、を更に備え、前記復号鍵取得手段は、前記ユーザー情報と前記特定手段によって特定される前記ベースデータとに基づいて生成される前記復号鍵を、前記通信手段を介して前記他の機器から取得することを特徴とする構成である。 According to a fourteenth aspect of the present invention, in the decoding device according to any one of the eleventh to thirteenth aspects, a communication unit that communicates with another device, and the base data specified by the specifying unit are transmitted to the other device. Further comprising: base data transmitting means, wherein the decryption key acquisition means, via the communication means, the decryption key generated based on the user information and the base data identified by the identifying means. The configuration is characterized in that it is acquired from the other device.
請求項15に係る発明は、請求項14の復号装置において、前記通信手段は、前記他の機器が所定距離の範囲内にあるときに前記他の機器と1対1の近距離無線通信を行うことを特徴とする構成である。 According to a fifteenth aspect of the present invention, in the decoding device according to the fourteenth aspect, the communication unit performs one-to-one short-range wireless communication with the other device when the other device is within a predetermined distance range. This is a feature.
請求項16に係る発明は、請求項11乃至13のいずれかの復号装置において、前記ユーザー情報と前記特定手段によって特定される前記ベースデータとに基づいて前記復号鍵を生成する復号鍵生成手段と、を更に備え、前記復号鍵取得手段は、前記復号鍵生成手段から前記復号鍵を取得することを特徴とする構成である。 According to a sixteenth aspect of the present invention, in the decryption device according to any one of the eleventh to thirteenth aspects, a decryption key generation unit that generates the decryption key based on the user information and the base data identified by the identification unit. Further, the decryption key acquisition means acquires the decryption key from the decryption key generation means.
請求項17に係る発明は、請求項16の復号装置において、前記復号鍵生成手段は、前記復号鍵のデータ長を所定のデータ長とすることを特徴とする構成である。 According to a seventeenth aspect of the present invention, in the decryption device of the sixteenth aspect, the decryption key generating means sets the data length of the decryption key to a predetermined data length.
請求項18に係る発明は、情報処理装置であって、ベースデータを取得するベースデータ取得手段と、ユーザーを認証する認証処理を行う認証手段と、前記ベースデータと前記認証処理において認証されたユーザーのユーザー情報とに基づいて生成される暗号鍵を取得する暗号鍵取得手段と、前記暗号鍵取得手段によって取得される前記暗号鍵を使用し、データを暗号化する暗号化手段と、前記暗号化手段によって使用された前記暗号鍵を破棄する暗号鍵破棄手段と、前記暗号化手段によって生成された暗号データに、前記ベースデータを特定可能な付加情報を付加する出力手段と、前記付加情報を参照して前記ベースデータを特定する特定手段と、前記ユーザー情報と前記特定手段によって特定される前記ベースデータとに基づいて生成される復号鍵を取得する復号鍵取得手段と、前記復号鍵取得手段によって取得される前記復号鍵を使用し、前記暗号データを復号して平文データを生成する復号手段と、を備えることを特徴とする構成である。
The invention according to
請求項19に係る発明は、暗号鍵生成装置であって、ベースデータを取得するベースデータ取得手段と、ユーザーを認証する認証処理を行う認証手段と、前記ベースデータと前記認証処理において認証されたユーザーのユーザー情報とに基づいて暗号鍵を生成する暗号鍵生成手段と、前記暗号鍵生成手段によって生成された前記暗号鍵を出力する鍵出力手段と、を備えることを特徴とする構成である。 The invention according to claim 19 is an encryption key generating device, wherein base data acquisition means for acquiring base data, authentication means for performing authentication processing for authenticating a user, and authentication in the base data and the authentication processing The configuration is characterized by including an encryption key generation unit that generates an encryption key based on user information of a user, and a key output unit that outputs the encryption key generated by the encryption key generation unit.
請求項20に係る発明は、プログラムであって、コンピュータに、ベースデータを取得するベースデータ取得ステップと、ユーザーを認証する認証処理を行う認証ステップと、前記ベースデータと前記認証ステップにおいて認証されたユーザーのユーザー情報とに基づいて生成される暗号鍵を取得する暗号鍵取得ステップと、前記暗号鍵取得ステップにおいて取得される前記暗号鍵を使用し、データを暗号化する暗号化ステップと、前記暗号化ステップにおいて使用された前記暗号鍵を破棄する暗号鍵破棄ステップと、前記暗号化ステップにおいて生成された暗号データに、前記ベースデータを特定可能な付加情報を付加して出力する出力ステップと、を実行させることを特徴とする構成である。
The invention according to
請求項21に係る発明は、プログラムであって、コンピュータに、ユーザーを認証する認証処理を行う認証ステップと、ベースデータと前記認証ステップにおいて認証されたユーザーのユーザー情報とに基づいて生成される暗号鍵によって暗号化された暗号データを入力する入力ステップと、前記暗号データに付加される付加情報から前記ベースデータを特定する特定ステップと、前記ユーザー情報と前記特定ステップにおいて特定される前記ベースデータとに基づいて生成される復号鍵を取得する復号鍵取得ステップと、前記復号鍵取得ステップにおいて取得される前記復号鍵を使用し、前記暗号データを復号して平文データを生成する復号ステップと、を実行させることを特徴とする構成である。
The invention according to
本発明によれば、データを暗号化する際に用いた暗号鍵を情報処理装置内に保持せず、暗号化されたデータを復号する際に、ユーザーによるパスワード入力などを必要とすることなく、暗号化されたデータを復号することができる。 According to the present invention, the encryption key used when encrypting the data is not held in the information processing device, and when decrypting the encrypted data, the user does not need to input a password, The encrypted data can be decrypted.
以下、本発明に関する好ましい実施形態について図面を参照しつつ詳細に説明する。尚、以下に説明する実施形態において互いに共通する要素には同一符号を付しており、それらについての重複する説明は省略する。 Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the drawings. In the embodiments described below, elements common to each other are designated by the same reference numerals, and a duplicate description thereof will be omitted.
(第1実施形態)
図1は、本発明の第1実施形態である情報処理システム1による処理の概念を例示する図である。図1(a)は、情報処理システム1による暗号化処理の概念を例示する図である。情報処理システム1は、暗号化装置2と、復号装置3と、鍵生成装置4とを備えている。暗号化装置2及び復号装置3は、例えばオフィスなどのローカル環境に設置される。また、暗号化装置2及び復号装置3は、LAN(Local Area Network)などのネットワーク5を介して相互に通信を行うことができる構成である。鍵生成装置4は、例えばユーザーの腕などに装着されるウェアラブルデバイスであり、NFC(Near Field Communication)やBluetooth(登録商標)などの規格に基づいて暗号化装置2及び復号装置3と近距離無線通信を行うことができる構成である。尚、暗号化装置2と鍵生成装置4との間で通信を確立させる際、ユーザーは、例えば腕など体の一部に装着した鍵生成装置4を暗号化装置2に近づける必要がある。
(First embodiment)
FIG. 1 is a diagram illustrating the concept of processing by the
暗号化装置2は、例えば一般的なパーソナルコンピュータ(PC)で構成され、画像データやその他のデータを暗号化することにより暗号データ90を生成することができる装置である。暗号化装置2は、生成した暗号データ90を、ネットワーク5を介して復号装置3に送信する。尚、暗号化装置2は、パーソナルコンピュータに限られず、タブレット端末やスマートフォンなどで構成される装置であっても構わない。
The
鍵生成装置4は、ベースデータ91とユーザー情報とを使用して、暗号鍵92及び、暗号データ90を復号するための復号鍵93を生成することができる装置である。ここで、ベースデータ91とは、暗号鍵92及び復号鍵93を生成するために必要なデータである。例えばベースデータ91は、暗号化装置2によって生成される乱数などのランダムなデータである。またユーザー情報とは、暗号鍵92及び復号鍵93を生成するために必要なデータであり、鍵生成装置4によって認証されるユーザーに関する情報である。例えばユーザー情報は、ユーザー毎に登録されるユーザーIDなどであり、鍵生成装置4の所定の記憶領域に予めユーザーもしくは管理者などによって登録される情報である。暗号鍵92及び復号鍵93は所定の鍵生成アルゴリズムに基づいて生成され、暗号鍵92の生成時と復号鍵93の生成時とで、用いられるベースデータ91及びユーザー情報が同一である場合、暗号鍵92と復号鍵93とは一対の鍵となる。暗号鍵92と復号鍵93とが一対の鍵である場合、当該暗号鍵92で暗号化した暗号データ90は、当該復号鍵93によって復号することができる。
The key generation device 4 is a device that can generate an
また、鍵生成装置4は、生体情報などの認証情報を取得してユーザー認証を行うことができる装置である。上述したように、本実施形態の鍵生成装置4は、ユーザーの腕に装着されるリストバンド型のウェアラブルデバイスである。本実施形態の鍵生成装置4は、ユーザーの心拍情報を認証情報として取得して認証処理を行う。尚、鍵生成装置4はリストバンド型のウェアラブルデバイスに限られない。ユーザーの虹彩情報を取得可能なメガネ型のウェアラブルデバイスや、ユーザーの指紋情報を取得する携帯可能な指紋認証装置などであっても構わない。その場合、鍵生成装置4はユーザーの虹彩情報や指紋情報を認証情報として取得する。 The key generation device 4 is a device that can acquire authentication information such as biometric information and perform user authentication. As described above, the key generation device 4 of the present embodiment is a wristband type wearable device worn on the arm of the user. The key generation device 4 of the present embodiment acquires the heartbeat information of the user as authentication information and performs authentication processing. The key generation device 4 is not limited to a wristband type wearable device. It may be a glasses-type wearable device capable of acquiring the user's iris information, a portable fingerprint authentication device capable of acquiring the user's fingerprint information, or the like. In that case, the key generation device 4 acquires the user's iris information and fingerprint information as authentication information.
本実施形態の暗号化装置2は、データを暗号化するための暗号鍵92を保持していない。そこで、暗号化装置2は、鍵生成装置4から暗号鍵92を取得することによって、データの暗号化を行う。例えば、暗号化装置2は、ユーザーからデータを暗号化する指示を受け付けると、まずユーザーの認証処理を行う。ここでは、暗号化装置2が鍵生成装置4に認証確認要求を送信する。認証確認要求を受信した鍵生成装置4は、ユーザーの認証情報を取得してユーザー認証を行い、その結果を暗号化装置2に送信する。認証に成功した場合には、暗号化装置2は、鍵生成装置4から暗号鍵92を取得するために鍵生成装置4にベースデータ91を送信する。
The
鍵生成装置4は、暗号化装置2からベースデータ91を受信すると、所定の記憶領域に記憶される認証ユーザーに関するユーザー情報を取得する。鍵生成装置4は、所定の鍵生成アルゴリズムに基づいて、ベースデータ91及び所定の記憶領域から取得したユーザー情報を用いて暗号鍵92を生成する。暗号鍵92を生成すると、鍵生成装置4は生成した暗号鍵92を暗号化装置2に送信する。
Upon receiving the
暗号化装置2は、鍵生成装置4から暗号鍵92を受信すると、受信した暗号鍵92を用いてデータの暗号化を行う。この際、暗号化装置2は、所定の暗号化アルゴリズムに基づいて暗号データ90を生成する。暗号データ90を生成した後、暗号化装置2は、当該暗号データ90を生成する際に使用した暗号鍵92を破棄する。暗号鍵92を破棄することで、暗号鍵92が盗まれることを防ぐことができる。
When the
次に、暗号化装置2は生成した暗号データ90を出力または保存する。本実施形態では、暗号化装置2が生成した暗号データ90を復号装置3に送信する場合について説明する。暗号化装置2は、生成した暗号データ90を復号装置3に送信する場合、暗号鍵92のもととなったベースデータ91を、暗号データ90に付加して送信する。このベースデータ91は、暗号データ90を生成する際に用いられる暗号鍵92の生成時に使用されるとともに、暗号データ90を復号する際に用いられる復号鍵93の生成時にも使用される。
Next, the
図1(b)は、情報処理システム1による復号処理の概念を例示する図である。復号装置3は、暗号化装置2によって暗号化された暗号データ90を復号することにより、平文データを生成することができる装置である。復号装置3は、例えばMFP(Multifunction Peripherals)などの画像形成装置によって構成され、コピー機能、スキャン機能、印刷機能及びFAX機能など画像処理に関する複数の機能を有している。尚、本実施形態では復号装置3が画像処理に関する複数の機能を有している画像処理装置である場合を説明するが、これに限られるものではない。復号装置3は、画像処理に関する機能を有していないPCなどの情報処理装置であっても構わない。
FIG. 1B is a diagram exemplifying the concept of the decoding process by the
復号装置3は、暗号データ90を復号するための復号鍵93を装置内部に保持していない。そこで、復号装置3は鍵生成装置4から復号鍵93を取得することによって、暗号データ90を復号する。復号装置3は、ユーザーによる暗号データ90の復号指示を受け付けると、まずユーザーの認証処理を行う。ここでは、復号装置3が鍵生成装置4に認証確認要求を送信する。認証確認要求を受信した鍵生成装置4は、ユーザーの認証情報を取得してユーザー認証を行い、その結果を復号装置3に送信する。認証に成功した場合には、復号装置3は、鍵生成装置4から復号鍵93を取得するために、復号鍵93の生成に必要なベースデータ91を鍵生成装置4に送信する。このベースデータ91は、暗号化装置2から受信する暗号データ90に付加されているものであり、暗号鍵92を生成する際に使用されたベースデータ91と同一のデータである。
The
鍵生成装置4は、復号装置3からベースデータ91を受信すると、所定の記憶領域に記憶される認証ユーザーに関するユーザー情報を取得する。このとき、暗号化処理を指示したユーザーと、復号処理を指示したユーザーとが同一であれば、所定の記憶領域から取得されるユーザー情報は同一のものとなる。次に、鍵生成装置4は、所定の鍵生成アルゴリズムに基づいて、ベースデータ91及びユーザー情報を用いて復号鍵93を生成する。この復号鍵93は、暗号化処理を指示したユーザーと、復号処理を指示したユーザーとが同一であれば、暗号鍵92と対になる復号鍵93となる。これは、同一のベースデータ91及びユーザー情報に基づいて、暗号鍵92及び復号鍵93が生成されるためである。復号鍵93を生成すると、鍵生成装置4は生成した復号鍵93を復号装置3に送信する。
Upon receiving the
復号装置3は、鍵生成装置4から復号鍵93を受信すると、受信した復号鍵93を使用して暗号データ90の復号処理を行う。上述したとおり、ここで使用される復号鍵93は、暗号データ90を暗号化した暗号鍵92と対になるものである。そのため、復号装置3は、受信した復号鍵93を使用して当該暗号データ90を復号し、平文データを生成することができるのである。
When the
上述したように、本実施形態の情報処理システム1は、暗号化処理を指示したユーザーと復号処理を指示するユーザーとが同一である場合、暗号データ90を復号するための復号鍵93を生成することが可能である。以下、このような情報処理システム1について更に詳しく説明する。
As described above, the
まず、暗号化装置2について詳しく説明する。図2は、暗号化装置2のハードウェア構成及び機能構成の一例を示す図である。暗号化装置2は、そのハードウェア構成として、通信インタフェース20、カラー液晶ディスプレイなどで構成される表示部21、キーボードやマウス、タッチパネルなどで構成される操作部22、記憶部23及び制御部24を備えており、これらがデータバス25を介して相互にデータの入出力を行うことができる構成である。
First, the
通信インタフェース20は、暗号化装置2をネットワーク5に接続するためのインタフェースである。暗号化装置2は、この通信インタフェース20を介して復号装置3と通信を行う。また、通信インタフェース20は、近距離無線通信部20aを備えている。暗号化装置2は、この近距離無線通信部20aを介して鍵生成装置4と1対1の近距離無線通信を行う。1対1の近距離無線通信で鍵生成装置4とデータの入出力を行うことにより、セキュリティを確保しつつ、無線通信を行うことが可能となる。
The
記憶部23は、例えばハードディスクドライブ(HDD)又はソリッドステートドライブ(SSD)で構成される不揮発性の記憶手段である。この記憶部23には暗号化プログラム100が記憶される。
The
制御部24は、図示を省略するCPUやメモリなどを備えて構成される。CPUは記憶部23に記憶される暗号化プログラム100を実行するためのものである。メモリは、CPUが暗号化プログラム100を実行する際に発生する一時的なデータなどを記憶するためのものである。制御部24のCPUによって、暗号化プログラム100が実行されると、制御部24は、認証部260、ベースデータ生成部261、ベースデータ取得部262、ベースデータ送信部263、暗号鍵取得部264、暗号化実行部265、出力部266及び暗号鍵破棄部267として機能する、以下、これら各部の詳細について説明する。
The
認証部260は、ユーザーを認証する認証処理を行う処理部である。本実施形態の認証部260は、鍵生成装置4と通信を行って認証処理を行う。上述したように本実施形態の鍵生成装置4は、ユーザーの心拍情報を認証情報として取得し、取得した認証情報をもとにユーザーを認証することが可能である。ユーザーによって暗号化処理の指示が行われると、認証部260は暗号化処理を指示したユーザーが装着している鍵生成装置4と通信を行う。そして、認証部260は鍵生成装置4に認証確認要求を送信する。認認証確認要求を受信した鍵生成装置4は、ユーザーの認証情報を取得してユーザー認証を行い、認証の結果を暗号化装置2に送信する。鍵生成装置4において行われるユーザー認証の結果、認証部260が認証成功通知を受信した場合、認証部260はユーザーの認証に成功したと判断する。認証部260はユーザーの認証に成功したと判断した場合、ベースデータ生成部261にベースデータを生成するよう指示する。一方、認証部260が認証失敗通知を受信した場合、認証部260はユーザーの認証に失敗したと判断する。この場合、認証部260はベースデータ生成部261にベースデータ生成の指示を行わない。尚、認証部260が認証失敗通知を受信した場合、認証部260はユーザー認証に失敗したことをユーザーに通知するための画像を表示部21に表示させるようにしてもよい。これにより、ユーザーは自身の認証に失敗したことを把握することができる。
The
ベースデータ生成部261は、ベースデータ91を生成する処理部である。ベースデータ生成部261は、認証部260からベースデータ生成の指示を入力すると、ベースデータ91を生成する。この際、ベースデータ生成部261は、毎回異なるベースデータ91を生成することが好ましい。ベースデータ91を毎回異なるデータとして生成することにより、それに応じてベースデータ91とユーザー情報とに基づいて生成される暗号鍵92も毎回異なるようになる。データの暗号化を行う度に異なる暗号鍵92を生成することで、セキュリティを強化することができるからである。ベースデータ生成部261は、暗号化処理毎に異なるベースデータ91を生成するために、例えば、乱数を生成し、生成した乱数をベースデータ91としてもよい。また、ベースデータ生成部261は、所定のデータに現在の日時を示す情報を含ませたものをベースデータ91としてもよい。そして、ベースデータ生成部261は、ベースデータ91を生成すると、生成したベースデータ91をベースデータ取得部262に出力する。
The base
ベースデータ取得部262は、ベースデータ91を取得する処理部である。ベースデータ取得部262は、ベースデータ生成部261からベースデータ91を取得すると、当該ベースデータ91をベースデータ送信部263に出力する。
The base
ベースデータ送信部263は、ベースデータ取得部262によって取得されるベースデータ91を、鍵生成装置4に送信する処理部である。ベースデータ送信部263は、ベースデータ取得部262からベースデータ91を入力すると、入力したベースデータ91を鍵生成装置4に送信する。
The base
暗号鍵取得部264は、ベースデータ91と認証ユーザーのユーザー情報とに基づいて生成される暗号鍵92を取得する処理部である。本実施形態の暗号鍵取得部264は、鍵生成装置4から暗号鍵92を取得する。暗号鍵取得部264は、暗号鍵92を鍵生成装置4から取得すると、取得した暗号鍵92を暗号化実行部265に出力する。
The encryption
暗号化実行部265は、例えばユーザーによって指定されたデータを暗号化対象データとして取得し、そのデータに対する暗号化処理を行う。このとき、暗号化実行部265は、暗号鍵取得部264によって取得される暗号鍵92を使用してデータを暗号化する。暗号化実行部265は、暗号鍵92を使用し、所定の暗号化アルゴリズムに基づいてデータを暗号化し暗号データ90を生成する。暗号化実行部265は、暗号データ90を生成すると、当該暗号データ90を出力部266に出力する。
The
暗号鍵破棄部267は、暗号化実行部265によって暗号データ90が生成された際に機能し、暗号化実行部265によって暗号データ90が生成される際に使用された暗号鍵92を破棄する処理部である。暗号鍵92を破棄することにより、暗号化装置2に使用済みの暗号鍵92を保持させないようにする。そうすることで、暗号鍵92が他人に盗まれるような事態を防止することが可能である。暗号鍵92が盗まれないようにすることにより、悪意ある第三者による閲覧や内容の改竄を防ぐことができるのである。
The encryption
出力部266は、暗号化実行部265によって生成された暗号データ90に、ベースデータ91を特定可能な付加情報を付加して、暗号データ90及び付加情報を復号装置3に出力する処理部である。暗号化実行部265によって暗号データ90が生成されると、暗号データ90の生成に使用された暗号鍵92は暗号鍵破棄部267によって破棄される。そのため、暗号データ90を復号する際には、暗号鍵92を生成する際に使用されたベースデータ91とユーザー情報とに基づいて復号鍵93を生成する必要がある。そこで、本実施形態では、暗号鍵92を生成する際に使用されたベースデータ91を特定可能な付加情報を暗号データ90に付加して、復号装置3に暗号データ90とともに送信する。それにより、復号装置3は、復号鍵93の生成に必要なベースデータ91を特定することができるのである。尚、本実施形態では、付加情報としてベースデータ91自体を付加する場合を例示する。付加情報としてベースデータ91を付加することで、付加情報に基づいてベースデータ91を特定するための処理を省略することができる。
The
次に、復号装置3について詳しく説明する。図3は、復号装置3のハードウェア構成及び機能構成の一例を示す図である。復号装置3は、そのハードウェア構成として、通信インタフェース30、操作パネル31、記憶部32、原稿の画像を光学的に読み取るスキャナ部33、印刷出力を行うプリンタ部34、図示を省略する公衆電話網を介してFAXデータの送受信を行うFAX部35及び制御部36を備えており、これらがデータバス37を介して相互にデータの入出力を行うことができる構成である。
Next, the
通信インタフェース30は、復号装置3をネットワーク5に接続するためのインタフェースである。復号装置3は、この通信インタフェース30を介して暗号化装置2と通信を行う。また、通信インタフェース30は、近距離無線通信部30aを備えている。復号装置3は、この近距離無線通信部30aを介して鍵生成装置4と1対1の近距離無線通信を行う。1対1の近距離無線通信で鍵生成装置4とデータの入出力を行うことにより、セキュリティを確保しつつ、無線通信を行うことが可能となる
The
操作パネル31は、表示部31aと操作部31bとを備えている。表示部31aは、例えばカラー液晶ディスプレイなどによって構成され、ユーザーに対して操作を促すための各種の操作画面を表示する。操作部31bは、表示部31aの画面上に配置されるタッチパネルキーや表示部31aの画面周囲に配置される押しボタンキーなどによって構成され、ユーザーによる操作を受け付ける。
The
記憶部32は、例えばハードディスクドライブ(HDD)又はソリッドステートドライブ(SSD)で構成される不揮発性の記憶手段である。この記憶部32には、基本プログラム101、復号プログラム102、暗号データ90及び暗号データ90に関連付けられたベースデータ91が記憶される。
The
制御部36は、図示を省略するCPUやメモリなどを備えて構成される。CPUは、記憶部32に記憶される基本プログラム101及び復号プログラム102を実行するためのものである。メモリは、CPUが基本プログラム101及び復号プログラム102を実行する際に発生する一時的なデータなどを記憶するためのものである。制御部36のCPUが基本プログラム101を実行することで、復号装置3は、コピー機能や印刷機能など画像処理に関する複数の機能を有する画像処理装置として機能する。
The
また、制御部36のCPUによって復号プログラム102が実行されると、制御部36は、入力部361、認証部362、ベースデータ特定部363、ベースデータ送信部364、復号鍵取得部365及び復号実行部366として機能する。以下、これら各部の詳細について説明する。
When the
入力部361は、暗号データ90と、暗号データ90に付加される付加情報とを入力する処理部である。本実施形態の入力部361は、暗号データ90と、暗号データ90に付加される付加情報を通信インタフェース30を介して暗号化装置2から入力する。尚、本実施形態の付加情報はベースデータ91である。入力部361は、暗号データ90と付加情報とを入力すると、暗号データ90と付加情報とを関連付けて記憶部32に保存する。例えば入力部361は、記憶部32に保存する暗号データ90毎にフォルダを作成し、作成したフォルダの中に対応する暗号データ90及び付加情報を保存するようにする。
The
認証部362は、ユーザーを認証する認証処理を行う処理部である。本実施形態の認証部362は、鍵生成装置4と通信を行って認証処理を行う。上述したように本実施形態の鍵生成装置4は、ユーザーの心拍情報を認証情報として取得し、取得した認証情報をもとに認証処理を行う。ユーザーによる復号処理の指示が受け付けられると、認証部362が機能する。認証部362は、復号処理を指示したユーザーが装着している鍵生成装置4と通信を行う。そして、認証部362は鍵生成装置4に認証確認要求を送信する。認証確認要求を受信した鍵生成装置4は、ユーザーの認証情報を取得してユーザー認証を行い、認証の結果を復号装置3に送信する。鍵生成装置4において行われるユーザー認証の結果、認証部362が認証成功通知を受信した場合、認証部362はユーザーの認証に成功したと判断する。認証部362はユーザーの認証に成功したと判断した場合、ベースデータ特定部363に対してベースデータ特定の指示を行う。これにより、認証部362は、ベースデータ特定部363に、復号処理の対象となる暗号データ90の復号に必要なベースデータ91を特定させる。一方、認証確認要求に対する返信として、認証部362が認証失敗通知を受信した場合、認証部362はユーザーの認証に失敗したと判断する。この場合、認証部362はベースデータ特定部363にベースデータ特定の指示を行わない。尚、認証部362が認証失敗通知を受信した場合、認証部362はユーザー認証に失敗したことをユーザーに通知するための画像を表示部31aに表示させるようにしてもよい。これにより、ユーザーは自身の認証に失敗したことを把握することができる。
The
ベースデータ特定部363は、暗号データ90に付加されている付加情報に基づいて、当該暗号データ90を復号する際に必要となるベースデータ91を特定する処理部である。ベースデータ特定部363は、認証部362からベースデータ特定の指示を入力すると、ベースデータ91を特定するための処理を行う。本実施形態では、付加情報であるベースデータ91は、暗号データ90に関連づけられて記憶部32に記憶されている。上述したとおり、例えば、ベースデータ91は、記憶部32の所定記憶領域内に作成される各暗号データ90のフォルダ内に、対応する暗号データ90とともに保存される。そのため、ベースデータ特定部363は、暗号データ90に関連付けられているベースデータ91を、当該暗号データ90を復号する際に必要となるベースデータ91であると特定することができる。ベースデータ特定部363は、暗号データ90を復号するために必要なベースデータ91を特定すると、特定したベースデータ91をベースデータ送信部364に出力する。
The base
ベースデータ送信部364は、ベースデータ特定部363によって特定されるベースデータ91を鍵生成装置4に送信する処理部である。ベースデータ送信部364は、ベースデータ特定部363からベースデータ91を入力すると、当該ベースデータ91を鍵生成装置4に送信する。
The base
復号鍵取得部365は、認証部362がユーザーの認証に成功したと判断した場合に機能し、認証されたユーザーに関するユーザー情報とベースデータ特定部363によって特定されるベースデータ91とに基づいて生成される復号鍵93を取得する処理部である。本実施形態の復号鍵取得部365は、鍵生成装置4によって生成される復号鍵93を鍵生成装置4から取得する。復号鍵取得部365は、復号鍵93を鍵生成装置4から取得すると、取得した復号鍵93を復号実行部366に出力する。
The decryption
復号実行部366は、復号鍵取得部365によって取得される復号鍵93を使用して暗号データ90を復号する処理部である。復号実行部366は、復号鍵93を使用し、所定の復号アルゴリズムに基づいて暗号データ90を復号することにより平文データを生成する。例えば、平文データが画像データである場合、復号装置3は、平文データに基づく画像を表示部31aに表示したり、平文データに基づく印刷出力を行ったりすることが可能となる。
The
次に、鍵生成装置4について詳しく説明する。図4は、鍵生成装置4のハードウェア構成及び機能構成の一例を示す図である。鍵生成装置4は、そのハードウェア構成として、近距離無線通信部40、認証情報取得部41、記憶部42及び制御部43を備えており、これらがデータバス44を介して相互にデータの入出力を行うことができる構成である。
Next, the key generation device 4 will be described in detail. FIG. 4 is a diagram showing an example of a hardware configuration and a functional configuration of the key generation device 4. The key generation device 4 includes, as its hardware configuration, a short-distance
近距離無線通信部40は、鍵生成装置4が暗号化装置2又は復号装置3と1対1の近距離無線通信を行うためのインタフェースである。
The short-range
認証情報取得部41は、ユーザーの認証情報を取得するものである。上述したように、本実施形態の認証情報取得部41は、鍵生成装置4を装着したユーザーの心拍情報を認証情報として取得する。認証情報取得部41は、取得した認証情報を後述する認証部362に出力する。
The authentication
記憶部42は、例えばソリッドステートドライブ(SSD)で構成される不揮発性の記憶手段である。この記憶部42には、鍵生成プログラム103及びユーザー情報94が記憶される。
The
ユーザー情報94には、鍵生成装置4を所持するユーザーに関する様々な情報がユーザーや管理者などによって予め登録されている。例えば、ユーザー情報94には、ユーザーID、所属部署及び生年月日などのユーザーを識別(特定)するための識別情報が登録される。また、ユーザー情報94には、ユーザーの心拍情報、静脈情報、指紋情報及び虹彩情報などの生体情報が登録されていてもよい。また、ユーザー情報94には、秘密鍵(パスワード)などの暗号鍵92及び復号鍵93を生成するとき専用の情報が登録されていてもよい。また、複数のユーザーによって構成される例えば所属部署のようなグループがある場合、当該グループに属する複数のユーザーに共通のユーザー情報94を割り当てるようにしてもよい。このようにすることで、グループに属するユーザーの指示によって暗号化された暗号データ90を、グループに属する他のユーザーの指示によって復号することが可能となり、複数のユーザーで共通の仕事などを行う際の利便性を向上させることができるのである。
In the
制御部43は、図示を省略するCPUやメモリなどを備えて構成される。CPUは記憶部42に記憶される鍵生成プログラム103を実行するためのものである。メモリは、CPUが鍵生成プログラム103を実行する際に発生する一時的なデータなどを記憶するためのものである。制御部43のCPUが鍵生成プログラム103を実行することにより、制御部43は、認証部431、ベースデータ取得部432、鍵生成部433及び鍵出力部434として機能する。以下、これら各部の詳細について説明する。
The
認証部431は、ユーザーを認証する認証処理を行う処理部である。認証部431は、暗号化装置2又は復号装置3から認証確認要求を受信すると、認証情報取得部41を機能させ、ユーザーの認証情報を取得する。本実施形態では、認証処理をユーザーの心拍情報に基づいて行うため、認証情報取得部41にユーザーの認証情報として、心拍情報を取得させる。認証部431は、認証情報取得部41から入力する認証情報が、記憶部42に記憶されるユーザー情報94に登録されている情報と一致するか否かを判別することにより、ユーザー認証を行う。認証情報取得部41から入力する認証情報がユーザー情報94に登録されている情報と一致する場合、認証処理は成功する。この場合、認証部431は、認証成功通知を暗号化装置2又は復号装置3に送信する。一方、認証情報取得部41から入力する認証情報がユーザー情報94に登録されている情報と一致しない場合、認証処理は失敗する。この場合、認証部431は、認証失敗通知を暗号化装置2又は復号装置3に送信する。
The
ベースデータ取得部432は、ベースデータ91を取得する処理部である。本実施形態のベースデータ取得部432は、暗号化装置2及び復号装置3からベースデータ91を取得する。ベースデータ取得部432は、ベースデータ91を取得すると、鍵生成部433に出力する。
The base
鍵生成部433は、ユーザーの認証処理に成功した場合に機能する。鍵生成部433は、ベースデータ取得部432によって取得されるベースデータ91と認証されたユーザーのユーザー情報94とを使用して暗号鍵92又は復号鍵93を生成する処理部である。鍵生成部433は、ベースデータ取得部432からベースデータ91を取得すると、記憶部42に記憶される認証ユーザーに関するユーザー情報94を取得する。尚、本実施形態では、ユーザー情報94が複数の情報を含む場合、複数の情報のうちのどの情報を、暗号鍵92及び復号鍵93の生成に使用するかを予め決定しているものとする。この場合、鍵生成部433は、ユーザー情報94のうち鍵の生成に使用する際に必要な情報のみを取得するようにしてもよい。また、鍵生成部433によって取得される情報は、必ずしも記憶部42に記憶されるユーザー情報94に含まれる情報でなくてもよい。具体的には、認証情報取得部41によって取得される認証情報、すなわち本実施形態では心拍情報を、暗号鍵92及び復号鍵93を生成するための情報としてもよい。この場合、すでに認証情報取得部41によって認証情報は取得されているため、認証処理の後に、鍵生成部433が記憶部42からユーザー情報94を別途取得する必要がなくなる。認証情報取得部41によって取得される認証情報を鍵の生成に使用する情報とする場合、鍵生成部433はベースデータ91と認証情報取得部41によって取得される認証情報とを使用して暗号鍵92又は復号鍵93を生成することができる。
The
鍵生成部433は、所定の鍵生成アルゴリズムに基づいて暗号鍵92及び復号鍵93の生成を行う。鍵生成部433によって生成される暗号鍵92及び復号鍵93のデータ長は所定のデータ長に統一される。所定の鍵生成アルゴリズムは、暗号鍵92の生成時と復号鍵93の生成時とで、使用されるベースデータ91及びユーザー情報94が同一である場合、当該暗号鍵92で暗号化された暗号データ90を復号することができる復号鍵93を生成するアルゴリズムであればよい。ただし、暗号鍵92と対になる復号鍵93とが共通である共通鍵方式を採用することが好ましい。例えば、ベースデータ91を所定のハッシュ関数に入力することでハッシュ値を算出し、所定の暗号化アルゴリズムに基づいて、ユーザー情報94を秘密鍵として使用して当該ハッシュ値を暗号化した電子署名を、暗号鍵92及び復号鍵93とするようなアルゴリズムである。共通鍵方式が好ましい理由は、暗号鍵92と対になる復号鍵93とが異なる公開鍵方式を採用する場合、共通鍵方式を採用する場合と比べて暗号化装置2がデータを暗号化する際の暗号化アルゴリズムが複雑になり、暗号化装置2の負荷が大きくなってしまうからである。鍵生成部433は、生成した暗号鍵92又は復号鍵93を、鍵出力部434に出力する。
The
鍵出力部434は、鍵生成部433によって生成された暗号鍵92又は復号鍵93を出力する処理部である。本実施形態の鍵出力部434は、鍵生成部433によって暗号鍵92が生成された場合、暗号鍵92を暗号化装置2に送信する。また、鍵出力部434は、鍵生成部433によって復号鍵93が生成された場合、復号鍵93を復号装置3に送信する。
The
次に、本実施形態の情報処理システム1を構成する暗号化装置2、復号装置3及び鍵生成装置4の動作を説明する。図5は、情報処理システム1がデータを暗号化する際の動作プロセスの一例を示す図である。暗号化装置2から所定距離の範囲内に鍵生成装置4が位置する場合、暗号化装置2は、鍵生成装置4と1対1の近距離無線通信状態を確立する(プロセスP1)。ユーザーが所定の操作を行うことにより暗号化の指示を行うと、暗号化装置2はユーザーからの指示に基づいて暗号化処理を受け付ける(プロセスP2)。暗号化処理を受け付けると、暗号化装置2は暗号化の指示を入力したユーザーの認証確認要求を鍵生成装置4に送信する(プロセスP3)。鍵生成装置4は認証確認要求を受信すると、認証処理を開始する(プロセスP4)。鍵生成装置4は、ユーザーの心拍情報を認証情報として取得し、ユーザー情報94に登録されている心拍情報と一致するか否かを確認する。認証処理の結果、取得した心拍情報がユーザー情報94に登録されている心拍情報と一致する場合、認証処理は成功する。この場合、鍵生成装置4はユーザーの認証が成功したことを知らせる認証成功通知を暗号化装置2に送信する(プロセスP5)。
Next, the operations of the
暗号化装置2は、認証成功通知を受信すると、ベースデータ91を生成する(プロセスP6)。そして暗号化装置2は、生成したべースデータ91を鍵生成装置4に送信する(プロセスP7)。鍵生成装置4は、ベースデータ91を受信すると、認証されたユーザーのユーザー情報94を取得し、ベースデータ91とユーザー情報94とに基づいて暗号鍵92を生成する(プロセスP8)。その後、鍵生成装置4は、生成した暗号鍵92を暗号化装置2に送信する(プロセスP9)。暗号化装置2は、暗号鍵92を受信すると、暗号鍵92を使用してデータを暗号化し、暗号データ90を生成する(プロセスP10)。暗号データ90を生成した後、暗号化装置2は暗号データ90を生成する際に使用した暗号鍵92を破棄する(プロセスP11)。そして、暗号化装置2は、暗号データ90に、暗号鍵92を生成する際に使用したベースデータ91を付加情報として付加し、暗号データ90及びベースデータ91を復号装置3に送信する(プロセスP12)。復号装置3は、受信した暗号データ90及びベースデータ91を、互いに関連付けた状態で保存する。
Upon receiving the authentication success notification, the
次に、復号装置3及び鍵生成装置4の動作を説明する。図6は、情報処理システム1が暗号データ90を復号する際の動作プロセスの一例を示す図である。復号装置3から所定距離の範囲内に鍵生成装置4が位置する場合、復号装置3は鍵生成装置4と1対1の近距離無線通信状態を確立する(プロセスP20)。ユーザーが所定の操作を行うことにより復号の指示を行うと、復号装置3はユーザー操作に基づいて暗号データ90を復号する処理の指示を受け付ける(プロセスP21)。復号処理の指示を受け付けると、復号装置3は復号の指示を入力したユーザーの認証確認要求を鍵生成装置4に送信する(プロセスP22)。鍵生成装置4は認証確認要求を受信すると、認証処理を開始する(プロセスP23)。鍵生成装置4は、ユーザーの心拍情報を認証情報として取得し、ユーザー情報94に登録されている心拍情報と一致するか否かを確認する。認証処理の結果、取得した心拍情報がユーザー情報94に登録されている心拍情報と一致する場合、ユーザーの認証処理は成功する。この場合、鍵生成装置4はユーザーの認証が成功したことを知らせる認証成功通知を復号装置3に送信する(プロセスP24)。
Next, operations of the
復号装置3は、認証成功通知を受信すると、復号処理の対象となる暗号データ90を復号するための復号鍵93を生成するために必要なベースデータ91を、付加情報に基づいて特定する(プロセスP25)。復号装置3は、特定したベースデータ91を鍵生成装置4に送信する(プロセスP26)。鍵生成装置4は、ベースデータ91を受信すると、認証されたユーザーのユーザー情報94を取得し、ベースデータ91とユーザー情報94とに基づいて復号鍵93を生成する(プロセスP27)。鍵生成装置4は、生成した復号鍵93を復号装置3に送信する(プロセスP28)。復号装置3は、復号鍵93を受信すると、受信した復号鍵93を使用して暗号データ90を復号することにより、平文データを生成する(プロセスP29)。
Upon receiving the authentication success notification, the
次に、暗号化装置2における具体的な動作の一例について説明する。図7は、暗号化装置2において行われる暗号化処理の処理手順の一例を示すフローチャートである。この処理は、ユーザーからの暗号化の指示に基づいて暗号化処理を開始することに伴い行われる処理である。この処理を開始すると、暗号化装置2は、鍵生成装置4との接続状態が確立されているか否かを確認する(ステップS11)。鍵生成装置4と近距離無線通信状態が確立されていない場合(ステップS11でNO)、暗号化装置2は、鍵生成装置4と近距離無線通信状態が確立されるまで待機する。一方、鍵生成装置4と近距離無線通信状態が確立されている場合(ステップS11でYES)、暗号化装置2は、認証処理を開始する(ステップS12)。この認証処理は、暗号化装置2が認証確認要求を鍵生成装置4に送信することによって行われる。認証確認要求に対して、鍵生成装置4から認証失敗通知を受信した場合(ステップS13でNO)、暗号化処理は終了する。一方、鍵生成装置4から認証成功通知を受信した場合(ステップS13でYES)、暗号化装置2はベースデータ91を生成して取得する(ステップS14)。そして、暗号化装置2は、取得したベースデータ91を鍵生成装置4に送信する(ステップS15)。
Next, an example of a specific operation in the
次に、暗号化装置2は、鍵生成装置4から暗号鍵92を受信するまで待機する(ステップS16)。鍵生成装置4から暗号鍵92を受信した場合(ステップS16でYES)、暗号化装置2は、受信した暗号鍵92を使用してデータを暗号化することにより、暗号データ90を生成する(ステップS17)。そして暗号化装置2は、暗号データ90を生成する際に使用した暗号鍵92を破棄する(ステップS18)。暗号化装置2は、当該暗号データ90を暗号化するために使用した暗号鍵92を生成する基となったベースデータ91を、付加情報として暗号データ90に付加して出力、又は暗号データ90に関連づけて保存する(ステップS19)。そして、暗号化装置2は暗号化処理を終了する。尚、本実施形態の暗号化装置2は、生成した暗号データ90にベースデータ91を付加して復号装置3に送信する。
Next, the
次に復号装置3における具体的な動作の一例について説明する。図8は、復号装置3において行われる復号処理の処理手順の一例を示すフローチャートである。この処理は、ユーザーからの復号の指示に基づいて復号処理を開始することに伴い行われる処理である。まず、復号装置3は、鍵生成装置4との接続状態が確立されているか否かを確認する(ステップS21)。鍵生成装置4との近距離無線通信状態が確立されていない場合(ステップS21でNO)、復号装置3は、鍵生成装置4との近距離無線通信状態が確立されるまで待機する。一方、鍵生成装置4との近距離無線通信状態が確立されている場合(ステップS21でYES)、復号装置3は、認証処理を開始する(ステップS22)。この認証処理は、復号装置3が認証確認要求を鍵生成装置4に送信することによって行われる。認証確認要求に対して、鍵生成装置4から認証失敗通知を受信した場合(ステップS23でNO)、復号処理は終了する。一方、鍵生成装置4から認証成功通知を受信した場合(ステップS23でYES)、復号装置3は、暗号データ90に付加されている付加情報に基づきベースデータ91を特定する(ステップS24)。復号装置3は、特定したベースデータ91を鍵生成装置4に送信する(ステップS25)。復号装置3は、鍵生成装置4から復号鍵93を受信するまで待機する(ステップS26)。鍵生成装置4から復号鍵93を受信すると(ステップS26でYES)、復号装置3は、受信した復号鍵93を使用して暗号データ90を復号することにより、平文データを生成する(ステップS27)。そして、復号装置3は復号処理を終了する。
Next, an example of a specific operation in the
次に鍵生成装置4における具体的な動作の一例について説明する。図9は、鍵生成装置4において行われる鍵生成処理の処理手順の一例を示すフローチャートである。この処理は、暗号化装置2又は復号装置3から送信される認証確認要求を受信することに伴い行われる処理である。まず鍵生成装置4は、ユーザーの認証情報を取得する(ステップS31)。本実施形態では、鍵生成装置4はユーザーの心拍情報を取得する。そして鍵生成装置4は、ユーザーから取得した認証情報がユーザー情報94に登録されている情報と一致するか否かを判断することにより認証処理を行う(ステップS32)。本実施形態では、鍵生成装置4によって取得されるユーザーの心拍情報が、ユーザー情報94に登録されているユーザーの心拍情報と一致するか否かを確認する。認証処理の結果、ユーザーから取得する認証情報がユーザー情報94と一致しない場合、認証処理は失敗する。認証処理に失敗した場合(ステップS33でNO)、鍵生成装置4は、認証失敗通知を暗号化装置2又は復号装置3に送信する(ステップS39)。そして、鍵生成処理を終了する。一方、認証処理の結果、ユーザーから取得する認証情報がユーザー情報94と一致する場合、認証処理は成功する。認証に成功した場合(ステップS33でYES)、鍵生成装置4は認証成功通知を暗号化装置2又は復号装置3に送信する(ステップS34)。
Next, an example of a specific operation in the key generation device 4 will be described. FIG. 9 is a flowchart showing an example of a processing procedure of the key generation processing performed in the key generation device 4. This process is a process performed in response to receiving the authentication confirmation request transmitted from the
次に、鍵生成装置4は、暗号化装置2又は復号装置3からベースデータ91を受信するまで待機する(ステップS35)。暗号化装置2又は復号装置3からベースデータ91を受信すると(ステップS35でYES)、鍵生成装置4は、認証ユーザーに関するユーザー情報94を記憶部42から取得する(ステップS36)。そして、鍵生成装置4は、所定の鍵生成アルゴリズムに基づいて、ベースデータ91及びユーザー情報94を使用して暗号鍵92又は復号鍵93を生成する(ステップS37)。ステップS37において暗号鍵92を生成した場合、鍵生成装置4は、生成した暗号鍵92を暗号化装置2に送信する(ステップ38)。一方、ステップS37において復号鍵93を生成した場合、鍵生成装置4は、生成した復号鍵93を復号装置3に送信する(ステップS38)。そして、鍵生成処理を終了する。
Next, the key generation device 4 waits until it receives the
上述したように、本実施形態の情報処理システム1は、使用済みの暗号鍵92を破棄することにより、暗号化装置2に暗号鍵92を保持させないようにすることが可能となる。したがって、暗号鍵92が他人に盗まれる可能性は無くなり、セキュリティを確保することができる。情報処理システム1は、暗号鍵92を生成する際に使用したベースデータ91を特定可能な付加情報を暗号データ90に付加したうえで暗号データ90を保存する。また、情報処理システム1は、暗号データ90を復号する際、復号鍵93を生成するのに必要なベースデータ91を、付加情報に基づいて特定することができる。そして、本実施形態の情報処理システム1は、暗号鍵92を生成した際に使用したベースデータ91と、暗号鍵92を生成した際に使用したユーザー情報94とを使用して、当該暗号鍵92と対になる復号鍵93を生成することができる。そのため、暗号鍵92を生成した際に使用したユーザー情報94を取得することができれば、情報処理システム1は、暗号鍵92と対になる復号鍵93を生成して暗号データ90を復号することができる。このユーザー情報94は、情報処理システム1に認証されるユーザー毎又はグループ毎に登録される情報である。そのため、暗号化処理を指示したユーザーと、復号処理を指示したユーザーとが、同一ユーザー又は同一グループに所属するユーザーである場合、当該ユーザーは、情報処理システム1による認証処理を経るだけで、平文データの確認や編集を行うことができるのである。また、本実施形態の復号装置3は、MFPなどの画像形成装置で構成されている。本発明によれば、暗号化処理を指示したユーザーと、復号処理を指示したユーザーとが同一ユーザー又は同一グループに所属するユーザーでないと暗号データ90を復号することができない。そのため、秘匿性の高い文書を暗号化した暗号データ90を復号装置3に記憶している場合でも、悪意ある第三者の復号指示によって暗号データ90が復号されることがない。したがって、平文データに基づいて印刷出力が行われることにより、秘匿性の高い文書を盗まれるといったことを防止することができるのである。
As described above, the
(第2実施形態)
次に、本発明の第2実施形態について説明する。上述した第1実施形態では、暗号化処理を行う暗号化装置2と、復号処理を行う復号装置3とが別の装置である形態について説明した。本実施形態では暗号化装置2と復号装置3とが一体となった情報処理装置について説明する。
(Second embodiment)
Next, a second embodiment of the present invention will be described. In the above-described first embodiment, the mode in which the
図10は、本実施形態の情報処理システム1aによる処理の概念を例示する図である。情報処理システム1aは、情報処理装置6と鍵生成装置4とを備えている。情報処理装置6は、第1実施形態において説明した暗号化装置2及び復号装置3が一体となった装置である。鍵生成装置4は、第1実施形態において説明した鍵生成装置4と同様である。情報処理装置6及び鍵生成装置4は互いに近距離無線通信を行うことができる構成である。
FIG. 10 is a diagram illustrating the concept of processing by the information processing system 1a of the present embodiment. The information processing system 1a includes an
情報処理装置6は、例えば一般的なパーソナルコンピュータ(PC)で構成され、画像データやその他のデータを暗号化して暗号データ90を生成することができる装置である。また、情報処理装置6は、暗号データ90を復号して平文データを生成することができる装置である。尚、情報処理装置6は、パーソナルコンピュータに限られず、タブレット端末やスマートフォンで構成される装置であっても構わないし、MFPなどの画像処理装置であっても構わない。
The
情報処理装置6は、ユーザーによって暗号化処理の指示が行われると、ユーザーの認証処理を行う。認証に成功したと判断した場合、情報処理装置6は、鍵生成装置4にベースデータ91を送信し、鍵生成装置4から暗号鍵92を取得する。情報処理装置6は、鍵生成装置4から暗号鍵92を受信すると、受信した暗号鍵92を使用してデータを暗号化することにより暗号データ90を生成する。また、情報処理装置6は、ユーザーによって復号処理の指示が行われると、ユーザーの認証処理を行う。認証に成功したと判断した場合、情報処理装置6は、鍵生成装置4にベースデータ91を送信し、鍵生成装置4から復号鍵93を取得する。情報処理装置6は、鍵生成装置4から復号鍵93を受信すると、受信した復号鍵93を使用して暗号データ90を復号することにより平文データを生成する。以下、このような情報処理装置6について更に詳しく説明する。
The
図11は、情報処理装置6のハードウェア構成及び機能構成の一例を示す図である。情報処理装置6は、そのハードウェア構成として、通信インタフェース60、表示部61、操作部62、記憶部63及び制御部64を備えており、これらがデータバス65を介して相互にデータの入出力を行うことができる構成である。
FIG. 11 is a diagram illustrating an example of a hardware configuration and a functional configuration of the
通信インタフェース60、表示部61及び操作部62については、第1実施形態において説明した通信インタフェース20、表示部21及び操作部22と同様である。
The
記憶部63は、例えばハードディスクドライブ(HDD)又はソリッドステートドライブ(SSD)で構成される不揮発性の記憶手段である。この記憶部23にはプログラム100a、暗号データ90及びベースデータ91が記憶される。
The
制御部64は、図示を省略するCPUやメモリなどを備えて構成される。制御部64のCPUによってプログラム100aが実行されると、制御部64は、認証部640、ベースデータ生成部641、ベースデータ取得部642、ベースデータ送信部643、暗号鍵取得部644、暗号化実行部645、出力部646、暗号鍵破棄部647、ベースデータ特定部648、復号鍵取得部649及び復号実行部650として機能する。以下、これら各部の詳細について説明する。
The
認証部640は、ユーザーを認証する認証処理を行う処理部である。認証部640は、ユーザーからの暗号化処理又は復号処理の指示を受け付けると、機能する。認証部640は、鍵生成装置4と通信を行って、鍵生成装置4に認証確認要求を行う。暗号化処理を指示したユーザーの認証成功を確認できた場合、認証部640は、ベースデータ生成部641にベースデータ91を生成するよう指示する。また、復号処理を指示したユーザーの認証成功を確認できた場合、認証部640は、ベースデータ特定部648にベースデータ91を特定するよう指示する。
The
ベースデータ生成部641は、認証部640からベースデータ生成の指示を入力することに伴って機能し、ベースデータ91を生成する処理部である。ベースデータ生成部641は、認証部640からベースデータ生成の指示を入力すると、ベースデータ91を生成し、生成したベースデータ91をベースデータ取得部642に出力する。
The base
ベースデータ取得部642は、ベースデータ生成部641からベースデータ91を取得する処理部である。ベースデータ取得部642は、ベースデータ生成部641からベースデータ91を取得すると、取得したベースデータ91をベースデータ送信部643に出力する。
The base
ベースデータ送信部643は、ベースデータ取得部642によって取得されるベースデータ91又は後述するベースデータ特定部648によって特定されるベースデータ91を、鍵生成装置4に送信する処理部である。ベースデータ送信部643は、ベースデータ取得部642又はベースデータ特定部648からベースデータ91を入力すると、入力したベースデータ91を鍵生成装置4に送信する。
The base
暗号鍵取得部644は、ベースデータ91と認証されたユーザーのユーザー情報94とに基づいて生成される暗号鍵92を鍵生成装置4から取得する処理部である。暗号鍵取得部644は、暗号鍵92を鍵生成装置4から取得すると、取得した暗号鍵92を暗号化実行部645に出力する。
The encryption
暗号化実行部645は、暗号鍵取得部644によって取得される暗号鍵92を使用して、データを暗号化する処理部である。暗号化実行部645は、暗号鍵92を使用し、所定の暗号化アルゴリズムに基づいてデータを暗号化することにより、暗号データ90を生成する。暗号化実行部645は、暗号データ90を生成すると、生成した暗号データ90を出力部646に出力する。
The
出力部646は、暗号化実行部645によって生成された暗号データ90に、その暗号データ90を生成する際に用いた暗号鍵92を生成するもととなったベースデータ91を付加して記憶部63に保存する処理部である。このとき、暗号データ90とベースデータ91は互いに関連づけられて、記憶部63に保存される。例えば出力部646は、記憶部63に保存する各暗号データ90に対応するフォルダを作成し、対応するフォルダの中に暗号データ90及びベースデータ91を保存するようにする。尚、出力部646は、暗号データ90とベースデータ91とを、記憶部63に保存せずに、図示しない他の装置に出力するようにしてもよい。
The
暗号鍵破棄部647は、暗号化実行部645によって使用された暗号鍵92を破棄する処理部である。暗号鍵破棄部647は、暗号化実行部645によって暗号データ90が生成された際に機能し、暗号化実行部645によって使用された暗号鍵92を破棄する。
The encryption
ベースデータ特定部648は、認証部640からベースデータ91の特定指示を入力した際に機能する。ベースデータ特定部648は、暗号データ90に付加される付加情報に基づいて、ベースデータ91を特定する処理部である。ベースデータ特定部648は、認証部640からベースデータ特定の指示を入力すると、ベースデータ91を特定する。本実施形態では、暗号データ90には付加情報としてベースデータ91が付加されている。したがって、ベースデータ91と暗号データ90は、互いに関連づけられて記憶部63に記憶されている。そのため、ベースデータ特定部648は、暗号データ90に関連付けられているベースデータ91を、当該暗号データ90を復号する際に用いる復号鍵93を生成するために必要なベースデータ91であると特定する。ベースデータ特定部648は、暗号データ90を復号する際に用いる復号鍵93を生成するために必要なベースデータ91を特定すると、特定したベースデータ91をベースデータ送信部643に出力する。
The base
復号鍵取得部649は、認証されたユーザーのユーザー情報94とベースデータ特定部648によって特定されるベースデータ91とに基づいて生成される復号鍵93を鍵生成装置4から取得する処理部である。復号鍵取得部649は、復号鍵93を鍵生成装置4から取得すると、取得した復号鍵93を復号実行部650に出力する。
The decryption
復号実行部650は、復号鍵取得部649によって鍵生成装置4から取得される復号鍵93を使用して暗号データ90を復号する処理部である。復号実行部650は、復号鍵93を使用し、所定の復号アルゴリズムに基づいて暗号データ90を復号することにより、平文データを生成する。
The
上述したように、本実施形態の情報処理システム1aは、暗号化装置2と復号装置3とが一体となった情報処理装置6を備えている。これにより、ユーザーは情報処理装置6に対して所定の操作を行うことで、暗号化処理又は復号処理を指示することができる。すなわち、暗号化装置2と復号装置3とが別の装置である場合と比べて、同一の装置でデータの暗号化及び復号を行うことができるといったメリットがある。
As described above, the information processing system 1a of this embodiment includes the
尚、本実施形態において上述した点以外については、第1実施形態で説明したものと同様であるため、説明を省略する。 Except for the points described above, the present embodiment is the same as the one described in the first embodiment, and therefore the description is omitted.
(第3実施形態)
次に、本発明の第3実施形態について説明する。上述した第1実施形態では、暗号化処理を行う暗号化装置2と、復号処理を行う復号装置3と、暗号鍵92及び復号鍵93を生成する鍵生成装置4とがそれぞれ別の装置である形態について説明した。本実施形態では、暗号化装置2と復号装置3と鍵生成装置4とが一体となった情報処理装置について説明する。
(Third Embodiment)
Next, a third embodiment of the present invention will be described. In the above-described first embodiment, the
本実施形態の情報処理装置は、例えば一般的なパーソナルコンピュータ(PC)で構成され、ベースデータ91及びユーザー情報94を使用して暗号鍵92を生成し、画像データやその他のデータを、暗号鍵92を用いて暗号化することにより、暗号データ90を生成することができる装置である。また、情報処理装置は、ベースデータ91及びユーザー情報94を使用して復号鍵93を生成し、生成した復号鍵93を用いて暗号データ90を復号することにより、平文データを生成することができる装置である。尚、情報処理装置は、パーソナルコンピュータに限られず、タブレット端末やスマートフォンで構成される装置であっても構わないし、MFPなどの画像処理装置であっても構わない。
The information processing apparatus of the present embodiment is composed of, for example, a general personal computer (PC), uses the
図12は、情報処理装置7のハードウェア構成及び機能構成の一例を示す図である。情報処理装置7は、そのハードウェア構成として、通信インタフェース71、表示部72、操作部73、認証情報取得部74、記憶部75及び制御部76を備えており、これらがデータバス77を介して相互にデータの入出力を行うことができる構成である。
FIG. 12 is a diagram illustrating an example of a hardware configuration and a functional configuration of the
通信インタフェース71、表示部72及び操作部73については、第1実施形態において説明した通信インタフェース20、表示部21及び操作部22と同様である。尚、通信インタフェース71は、近距離無線通信部を備えていないものであっても構わない。
The
認証情報取得部74は、ユーザーの認証情報を取得するものである。認証情報取得部74は、ユーザーの心拍情報を認証情報として取得するものであってもよいし、他の認証情報を取得するものであっても構わない。例えば認証情報取得部74は、ユーザーの指紋情報を認証情報として取得する生体情報取得装置や、ユーザーが所持するICカードからユーザーIDなどの認証情報を取得するカードリーダー装置などであってもよい。ただし、セキュリティ強化の観点から、認証情報取得部74は生体認証装置とすることが好ましい。
The authentication
記憶部75は、例えばハードディスクドライブ(HDD)又はソリッドステートドライブ(SSD)で構成される不揮発性の記憶手段である。この記憶部75にはプログラム100b、ユーザー情報94、暗号データ90及びベースデータ91が記憶される。
The
制御部76は図示を省略するCPUやメモリなどを備えて構成される。制御部76のCPUによってプログラム100bが実行されると、制御部76は、認証部760、ベースデータ生成部761、ベースデータ取得部762、鍵生成部763、暗号鍵取得部764、暗号化実行部765,出力部766、暗号鍵破棄部767、ベースデータ特定部768、復号鍵取得部769及び復号実行部770として機能する。以下、これら各部の詳細について説明する。
The
認証部760は、ユーザーを認証する認証処理を行う処理部である。認証部760は、ユーザーによる暗号化処理又は復号処理の指示を受け付けることに伴って機能する。認証部760は、認証処理を開始すると、認証情報取得部74を機能させ、ユーザーの認証情報を取得する。認証情報取得部74から入力する認証情報がユーザー情報94に登録されている情報と一致する場合、認証部760は認証に成功したと判断する。暗号化処理を指示したユーザーが認証された場合、認証部760は、ベースデータ生成部761にベースデータ91を生成するよう指示する。また、復号処理を指示したユーザーが認証された場合、認証部760はベースデータ特定部768にベースデータ91を特定するよう指示する。
The
ベースデータ生成部761は、ベースデータ91を生成する処理部である。ベースデータ生成部761は、認証部760からベースデータ生成の指示を入力すると、ベースデータ91を生成し、生成したベースデータ91をベースデータ取得部762に出力する。
The base
ベースデータ取得部762は、ベースデータ91を取得する処理部である。ベースデータ取得部762は、ベースデータ生成部761又は後述するベースデータ特定部768からベースデータ91を取得すると、取得したベースデータ91を鍵生成部763に出力する。
The base
鍵生成部763は、ベースデータ取得部762によって取得されるベースデータ91と認証されたユーザーのユーザー情報94とに基づいて、暗号鍵92又は復号鍵93を生成する処理部である。鍵生成部763は、ベースデータ取得部762からベースデータ91を取得すると、記憶部75に記憶される認証されたユーザーに関するユーザー情報94を取得する。そして、鍵生成部763は、所定の鍵生成アルゴリズムに基づいて、ベースデータ91とユーザー情報94とを使用して暗号鍵92又は復号鍵93を生成する。暗号鍵92を生成した場合、鍵生成部763は、生成した暗号鍵92を暗号鍵取得部764に出力する。一方、復号鍵93を生成した場合、鍵生成部763は、生成した復号鍵93を復号鍵取得部769に出力する。
The
暗号鍵取得部764は、暗号鍵92を生成する際に機能する。暗号鍵取得部764は、ベースデータ91と認証されたユーザーのユーザー情報94とに基づいて生成される暗号鍵92を鍵生成部763から取得する処理部である。暗号鍵取得部764は、暗号鍵92を鍵生成部763から取得すると、取得した暗号鍵92を暗号化実行部765に出力する。
The encryption
暗号化実行部765は、暗号鍵取得部764によって取得される暗号鍵92を使用してデータを暗号化する処理部である。暗号化実行部765は、暗号鍵92を使用し、所定の暗号化アルゴリズムに基づいてデータを暗号化することにより、暗号データ90を生成する。暗号化実行部765は、暗号データ90を生成すると、生成した暗号データ90を出力部766に出力する。
The
出力部766は、暗号化実行部765によって生成された暗号データ90に、ベースデータ91を付加して記憶部75に保存する処理部である。例えば出力部766は、記憶部75に各暗号データ90に対応するフォルダを作成し、対応するフォルダの中に暗号データ90及びベースデータ91を保存するようにする。尚、暗号データ90及びベースデータ91は互いに関連づけられて記憶される。尚、出力部766は、暗号データ90及びベースデータ91を記憶部75に保存せず、他の装置に出力しても構わない。
The
暗号鍵破棄部767は、暗号化実行部765によって使用された暗号鍵92を破棄する処理部である。暗号鍵破棄部767は、暗号化実行部765によって暗号データ90が生成された際に機能し、暗号化実行部765によって暗号データ90が生成される際に使用された暗号鍵92を破棄する。
The encryption
ベースデータ特定部768は、暗号データ90に付加される付加情報から、復号鍵93を生成するために必要となるベースデータ91を特定する処理部である。ベースデータ特定部768は、認証部760からベースデータ特定の指示を入力すると、復号鍵93を生成するために必要なベースデータ91を特定する。本実施形態では、暗号データ90に付加情報として付加されているベースデータ91と暗号データ90は互いに関連づけられて記憶部75に記憶されている。そのため、ベースデータ特定部768は暗号データ90に関連付けられているベースデータ91を、当該暗号データ90を復号する際に用いる復号鍵93を生成するために必要となるベースデータ91であると特定する。ベースデータ特定部768は、暗号データ90を復号するために用いる復号鍵93を生成するために必要なベースデータ91を特定すると、特定したベースデータ91をベースデータ取得部762に出力する。
The base
復号鍵取得部769は、認証されたユーザーのユーザー情報94とベースデータ特定部768によって特定されるベースデータ91とに基づいて生成される復号鍵93を、鍵生成部763から取得する処理部である。復号鍵取得部769は、復号鍵93を鍵生成部763から取得すると、取得した復号鍵93を復号実行部770に出力する。
The decryption
復号実行部770は、復号鍵取得部769によって取得される復号鍵93を使用して暗号データ90を復号する処理部である。復号実行部770は、復号鍵93を使用し、所定の復号アルゴリズムに基づいて暗号データ90を復号することにより平文データを生成する。
The
上述したように、本実施形態の情報処理装置7は、暗号化装置2と復号装置3と鍵生成装置4とが一体となっている。そのため、暗号鍵92及び復号鍵93の生成、暗号化処理及び復号処理を同一の装置で行うことが可能である。したがって、これらのすべての処理を情報処理装置7で行う場合は、これらの処理をそれぞれ別の装置(暗号化装置2、復号装置3及び鍵生成装置4)で行う場合と比べて、各装置間で通信を行う必要がなくなり、各装置にかかる負荷を軽減することができる。また、各装置間でベースデータ91などの情報を送受信する際に、第三者に傍受されるといった事態を回避することができ、高いセキュリティを実現することが可能となる。
As described above, in the
尚、本実施形態において上述した点以外については、第1実施形態又は第2実施形態で説明したものと同様であるため、説明を省略する。 Except for the points described above, the present embodiment is the same as the one described in the first embodiment or the second embodiment, and therefore the description is omitted.
(変形例)
以上、本発明に関する幾つかの実施形態について説明した。しかし、本発明は、上記各実施形態において説明した内容のものに限られるものではなく、種々の変形例が適用可能である。
(Modification)
The embodiments of the present invention have been described above. However, the present invention is not limited to the contents described in each of the above embodiments, and various modifications can be applied.
上記実施形態では、暗号鍵92のもととなったベースデータ91を特定するための付加情報が、暗号鍵92を生成する際に使用したベースデータ91そのものである場合を例示したが、これに限られるものではない。例えば付加情報は、ベースデータ91を所定の暗号化アルゴリズムに基づいて暗号化したものであってもよい。この場合、出力部によって所定の暗号化アルゴリズムに基づいてベースデータ91が暗号化されて付加情報が生成され、ベースデータ特定部が当該付加情報を所定の復号アルゴリズムに基づいて復号することでベースデータ91を特定することができればよい。
In the above embodiment, the case where the additional information for specifying the
上記実施形態では、暗号化プログラム100、プログラム100a、プログラム100b、復号プログラム102及び鍵生成プログラム103が情報処理装置7などに予めインストールされている場合を例示した。しかし、暗号化プログラム100、プログラム100a、プログラム100b、復号プログラム102及び鍵生成プログラム103は、情報処理装置7などに予めインストールされているものに限られず、それ単独で取引の対象となるものであっても構わない。この場合、暗号化プログラム100、プログラム100a、プログラム100b、復号プログラム102及び鍵生成プログラム103は、インターネットなどを介してユーザー自身がダウンロードする形態で情報処理装置7などに提供されるものであっても良いし、CD−ROMなどのコンピュータ読み取り可能な記録媒体に記録された状態で情報処理装置7などに提供されるものであっても構わない。
In the above embodiment, the case where the
1 情報処理システム
2 暗号化装置(暗号化装置)
3 復号装置(復号装置)
4 鍵生成装置(暗号鍵生成装置)
6 情報処理装置(情報処理装置)
20 通信インタフェース(通信手段)
20a 近距離無線通信部(通信手段)
30 通信インタフェース(通信手段)
30a 近距離無線通信部(通信手段)
40 近距離無線通信部(通信手段)
41 認証情報取得部(認証手段)
90 暗号データ
91 ベースデータ
92 暗号鍵
93 復号鍵
94 ユーザー情報
95 付加情報
100 暗号化プログラム(プログラム)
100a プログラム
100b プログラム
102 復号プログラム(プログラム)
103 鍵生成プログラム
260 認証部(認証手段)
261 ベースデータ生成部
262 ベースデータ取得部(ベースデータ取得手段)
263 ベースデータ送信部(ベースデータ送信手段)
264 暗号鍵取得部(暗号鍵取得手段)
265 暗号化実行部(暗号化手段)
266 出力部(出力手段)
267 暗号鍵破棄部(暗号鍵破棄手段)
361 入力部(入力手段)
362 認証部(認証手段)
363 ベースデータ特定部(特定手段)
364 ベースデータ送信部(ベースデータ送信手段)
365 復号鍵取得部(復号鍵取得手段)
366 復号実行部(復号手段)
431 認証部(認証手段)
432 ベースデータ取得部(ベースデータ取得手段)
433 鍵生成部(暗号鍵生成手段、復号鍵生成手段)
434 鍵出力部(鍵出力手段)
640 認証部(認証手段)
642 ベースデータ取得部(ベースデータ取得手段)
644 暗号鍵取得部(暗号鍵取得手段)
645 暗号化実行部(暗号化実行手段)
646 出力部(出力手段)
647 暗号鍵破棄部(暗号鍵破棄手段)
648 ベースデータ特定部(特定手段)
649 復号鍵取得部(復号鍵取得手段)
650 復号実行部(復号手段)
1
3 Decoding device (decoding device)
4 Key generation device (encryption key generation device)
6 Information processing device (information processing device)
20 Communication interface (communication means)
20a Short-distance wireless communication unit (communication means)
30 Communication interface (communication means)
30a Short-distance wireless communication unit (communication means)
40 Short-distance wireless communication unit (communication means)
41 Authentication information acquisition unit (authentication means)
90
103
261 Base
263 Base Data Transmission Unit (Base Data Transmission Means)
H.264 encryption key acquisition unit (encryption key acquisition means)
265 encryption execution unit (encryption means)
266 Output unit (output means)
267 Cryptographic Key Discarding Unit (Cryptographic Key Discarding Means)
361 Input unit (input means)
362 Authentication unit (authentication means)
363 Base data identification unit (identification means)
364 Base data transmission unit (base data transmission means)
365 Decryption Key Acquisition Unit (Decryption Key Acquisition Means)
366 Decoding execution unit (decoding means)
431 Authentication unit (authentication means)
432 Base data acquisition unit (base data acquisition means)
433 Key generation unit (encryption key generation means, decryption key generation means)
434 Key Output Unit (Key Output Means)
640 Authentication unit (authentication means)
642 Base data acquisition unit (base data acquisition means)
644 Encryption key acquisition unit (encryption key acquisition means)
645 Encryption execution unit (encryption execution means)
646 Output unit (output means)
647 encryption key destruction unit (encryption key destruction means)
648 Base data identification unit (identification means)
649 Decryption key acquisition unit (decryption key acquisition means)
650 Decoding execution unit (decoding means)
Claims (21)
ユーザーを認証する認証処理を行う認証手段と、
前記ベースデータと前記認証処理において認証されたユーザーのユーザー情報とに基づいて生成される暗号鍵を取得する暗号鍵取得手段と、
前記暗号鍵取得手段によって取得される前記暗号鍵を使用し、データを暗号化する暗号化手段と、
前記暗号化手段によって使用された前記暗号鍵を破棄する暗号鍵破棄手段と、
前記暗号化手段によって生成された暗号データに、前記ベースデータを特定可能な付加情報を付加して出力する出力手段と、
を備えることを特徴とする暗号化装置。 Base data acquisition means for acquiring base data,
An authentication method that performs authentication processing to authenticate the user,
An encryption key acquisition unit that acquires an encryption key generated based on the base data and user information of a user authenticated in the authentication process,
Encryption means for encrypting data using the encryption key acquired by the encryption key acquisition means,
Encryption key destruction means for destroying the encryption key used by the encryption means,
Output means for adding the additional information capable of specifying the base data to the encrypted data generated by the encryption means, and outputting the added information.
An encryption device comprising:
前記ベースデータ取得手段によって取得される前記ベースデータを、前記他の装置に送信するベースデータ送信手段と、
を更に備え、
前記暗号鍵取得手段は、前記ユーザー情報と前記ベースデータ送信手段によって送信される前記ベースデータとに基づいて生成される前記暗号鍵を、前記通信手段を介して前記他の機器から取得することを特徴とする請求項1乃至6のいずれかに記載の暗号化装置。 Communication means for communicating with other devices,
Base data transmitting means for transmitting the base data acquired by the base data acquiring means to the other device,
Further equipped with,
The encryption key acquisition means may acquire the encryption key generated based on the user information and the base data transmitted by the base data transmission means from the other device via the communication means. The encryption device according to any one of claims 1 to 6, which is characterized.
を更に備え、
前記暗号鍵取得手段は前記暗号鍵生成手段から前記暗号鍵を取得することを特徴とする請求項1乃至6のいずれかに記載の暗号化装置。 Encryption key generation means for generating the encryption key based on the user information and the base data,
Further equipped with,
7. The encryption device according to claim 1, wherein the encryption key acquisition unit acquires the encryption key from the encryption key generation unit.
ベースデータと前記認証処理において認証されたユーザーのユーザー情報とに基づいて生成される暗号鍵によって暗号化された暗号データを入力する入力手段と、
前記暗号データに付加される付加情報から前記ベースデータを特定する特定手段と、
前記ユーザー情報と前記特定手段によって特定される前記ベースデータとに基づいて生成される復号鍵を取得する復号鍵取得手段と、
前記復号鍵取得手段によって取得される前記復号鍵を使用し、前記暗号データを復号して平文データを生成する復号手段と、
を備えることを特徴とする復号装置。 An authentication method that performs authentication processing to authenticate the user,
Input means for inputting the encrypted data encrypted by the encryption key generated based on the base data and the user information of the user authenticated in the authentication processing,
Specifying means for specifying the base data from additional information added to the encrypted data,
Decryption key acquisition means for acquiring a decryption key generated based on the user information and the base data identified by the identification means,
Decryption means for decrypting the encrypted data to generate plaintext data by using the decryption key acquired by the decryption key acquisition means,
A decoding device comprising:
前記特定手段によって特定される前記ベースデータを、前記他の装置に送信するベースデータ送信手段と、
を更に備え、
前記復号鍵取得手段は、前記ユーザー情報と前記特定手段によって特定される前記ベースデータとに基づいて生成される前記復号鍵を、前記通信手段を介して前記他の機器から取得することを特徴とする請求項11乃至13のいずれかに記載の復号装置。 Communication means for communicating with other devices,
Base data transmission means for transmitting the base data identified by the identification means to the other device,
Further equipped with,
The decryption key acquisition unit acquires the decryption key generated based on the user information and the base data identified by the identification unit, from the other device via the communication unit. The decoding device according to any one of claims 11 to 13.
を更に備え、
前記復号鍵取得手段は、前記復号鍵生成手段から前記復号鍵を取得することを特徴とする請求項11乃至13のいずれかに記載の復号装置。 Decryption key generating means for generating the decryption key based on the user information and the base data identified by the identifying means,
Further equipped with,
14. The decryption device according to claim 11, wherein the decryption key acquisition unit acquires the decryption key from the decryption key generation unit.
ユーザーを認証する認証処理を行う認証手段と、
前記ベースデータと前記認証処理において認証されたユーザーのユーザー情報とに基づいて生成される暗号鍵を取得する暗号鍵取得手段と、
前記暗号鍵取得手段によって取得される前記暗号鍵を使用し、データを暗号化する暗号化手段と、
前記暗号化手段によって使用された前記暗号鍵を破棄する暗号鍵破棄手段と、
前記暗号化手段によって生成された暗号データに、前記ベースデータを特定可能な付加情報を付加する出力手段と、
前記付加情報を参照して前記ベースデータを特定する特定手段と、
前記ユーザー情報と前記特定手段によって特定される前記ベースデータとに基づいて生成される復号鍵を取得する復号鍵取得手段と、
前記復号鍵取得手段によって取得される前記復号鍵を使用し、前記暗号データを復号して平文データを生成する復号手段と、
を備えることを特徴とする情報処理装置。 Base data acquisition means for acquiring base data,
An authentication method that performs authentication processing to authenticate the user,
An encryption key acquisition unit that acquires an encryption key generated based on the base data and user information of a user authenticated in the authentication process,
Encryption means for encrypting data using the encryption key acquired by the encryption key acquisition means,
Encryption key destruction means for destroying the encryption key used by the encryption means,
Output means for adding additional information capable of specifying the base data to the encrypted data generated by the encryption means,
Specifying means for specifying the base data by referring to the additional information,
Decryption key acquisition means for acquiring a decryption key generated based on the user information and the base data identified by the identification means,
Decryption means for decrypting the encrypted data to generate plaintext data by using the decryption key acquired by the decryption key acquisition means,
An information processing apparatus comprising:
ユーザーを認証する認証処理を行う認証手段と、
前記ベースデータと前記認証処理において認証されたユーザーのユーザー情報とに基づいて暗号鍵を生成する暗号鍵生成手段と、
前記暗号鍵生成手段によって生成された前記暗号鍵を出力する鍵出力手段と、
を備えることを特徴とする暗号鍵生成装置。 Base data acquisition means for acquiring base data,
An authentication method that performs authentication processing to authenticate the user,
An encryption key generating unit that generates an encryption key based on the base data and user information of a user authenticated in the authentication process,
Key output means for outputting the encryption key generated by the encryption key generation means,
An encryption key generation device comprising:
ベースデータを取得するベースデータ取得ステップと、
ユーザーを認証する認証処理を行う認証ステップと、
前記ベースデータと前記認証ステップにおいて認証されたユーザーのユーザー情報とに基づいて生成される暗号鍵を取得する暗号鍵取得ステップと、
前記暗号鍵取得ステップにおいて取得される前記暗号鍵を使用し、データを暗号化する暗号化ステップと、
前記暗号化ステップにおいて使用された前記暗号鍵を破棄する暗号鍵破棄ステップと、
前記暗号化ステップにおいて生成された暗号データに、前記ベースデータを特定可能な付加情報を付加して出力する出力ステップと、
を実行させることを特徴とするプログラム。 On the computer,
A base data acquisition step for acquiring base data,
An authentication step that performs authentication processing to authenticate the user,
An encryption key acquisition step of acquiring an encryption key generated based on the base data and the user information of the user authenticated in the authentication step,
An encryption step of encrypting data using the encryption key obtained in the encryption key obtaining step;
An encryption key destruction step of destroying the encryption key used in the encryption step,
An output step of adding the additional information capable of identifying the base data to the encrypted data generated in the encryption step and outputting the added data.
A program characterized by causing to execute.
ユーザーを認証する認証処理を行う認証ステップと、
ベースデータと前記認証ステップにおいて認証されたユーザーのユーザー情報とに基づいて生成される暗号鍵によって暗号化された暗号データを入力する入力ステップと、
前記暗号データに付加される付加情報から前記ベースデータを特定する特定ステップと、
前記ユーザー情報と前記特定ステップにおいて特定される前記ベースデータとに基づいて生成される復号鍵を取得する復号鍵取得ステップと、
前記復号鍵取得ステップにおいて取得される前記復号鍵を使用し、前記暗号データを復号して平文データを生成する復号ステップと、
を実行させることを特徴とするプログラム。 On the computer,
An authentication step that performs authentication processing to authenticate the user,
An input step of inputting encrypted data encrypted by an encryption key generated based on the base data and the user information of the user authenticated in the authentication step;
A specifying step of specifying the base data from additional information added to the encrypted data;
A decryption key obtaining step of obtaining a decryption key generated based on the user information and the base data identified in the identifying step,
A decryption step of decrypting the encrypted data to generate plaintext data using the decryption key obtained in the decryption key obtaining step;
A program characterized by causing to execute.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019001759A JP2020113835A (en) | 2019-01-09 | 2019-01-09 | Encryption device, decryption device, key generation device, information processing device, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019001759A JP2020113835A (en) | 2019-01-09 | 2019-01-09 | Encryption device, decryption device, key generation device, information processing device, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2020113835A true JP2020113835A (en) | 2020-07-27 |
Family
ID=71665983
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019001759A Pending JP2020113835A (en) | 2019-01-09 | 2019-01-09 | Encryption device, decryption device, key generation device, information processing device, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2020113835A (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1079729A (en) * | 1996-02-21 | 1998-03-24 | Card Koole Service Kk | Common key communication method |
JP2000358025A (en) * | 1999-06-15 | 2000-12-26 | Nec Corp | Information processing method, information processor and recording medium storing information processing program |
JP2004208073A (en) * | 2002-12-25 | 2004-07-22 | Sony Corp | Radio communication system |
JP2012080152A (en) * | 2010-09-30 | 2012-04-19 | Mitsubishi Space Software Kk | Encryption system, encryption apparatus, decryption apparatus, encryption system program and encryption method |
US20160034707A1 (en) * | 2014-07-31 | 2016-02-04 | Samsung Electronics Co., Ltd. | Method and device for encrypting or decrypting content |
-
2019
- 2019-01-09 JP JP2019001759A patent/JP2020113835A/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1079729A (en) * | 1996-02-21 | 1998-03-24 | Card Koole Service Kk | Common key communication method |
JP2000358025A (en) * | 1999-06-15 | 2000-12-26 | Nec Corp | Information processing method, information processor and recording medium storing information processing program |
JP2004208073A (en) * | 2002-12-25 | 2004-07-22 | Sony Corp | Radio communication system |
JP2012080152A (en) * | 2010-09-30 | 2012-04-19 | Mitsubishi Space Software Kk | Encryption system, encryption apparatus, decryption apparatus, encryption system program and encryption method |
US20160034707A1 (en) * | 2014-07-31 | 2016-02-04 | Samsung Electronics Co., Ltd. | Method and device for encrypting or decrypting content |
Non-Patent Citations (3)
Title |
---|
上野 博司: "Web Authentication API", WEB+DB PRESS, vol. 107, JPN6022006204, 7 November 2018 (2018-11-07), JP, pages 112 - 120, ISSN: 0004823112 * |
加藤 圭佑: "作って学ぶ WebAuthn", WEB+DB PRESS, vol. 114, JPN6022006205, 4 January 2020 (2020-01-04), JP, pages 40 - 67, ISSN: 0004823114 * |
柴田 陽一: "メカニズムベースPKI−指紋からの秘密鍵動的生成", 情報処理学会論文誌, vol. 第45巻,第8号, JPN6021045019, 15 August 2004 (2004-08-15), JP, pages 1833 - 1844, ISSN: 0004823113 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4562464B2 (en) | Information processing device | |
JP6399382B2 (en) | Authentication system | |
US10848304B2 (en) | Public-private key pair protected password manager | |
US10423798B2 (en) | Mobile device authenticated print | |
JP7278802B2 (en) | Service use device, method, and program | |
WO2005091149A1 (en) | Backup device, backed-up device, backup intermediation device, backup system, backup method, data restoration method, program, and recording medium | |
JP7151928B2 (en) | AUTHENTICATION SERVER, AUTHENTICATION SERVER CONTROL METHOD AND PROGRAM | |
WO2017050152A1 (en) | Password security system adopted by mobile apparatus and secure password entering method thereof | |
WO2019019153A1 (en) | Scheme for generating, storing and using private key | |
JP2022117456A (en) | Message transmission system with hardware security module | |
JP7124988B2 (en) | AUTHENTICATION SERVER, AUTHENTICATION SYSTEM, AUTHENTICATION SERVER CONTROL METHOD AND PROGRAM | |
KR102625879B1 (en) | Method for generating key in crypto system using biometric information | |
JP4657706B2 (en) | Authority management system, authentication server, authority management method, and authority management program | |
WO2017029708A1 (en) | Personal authentication system | |
WO2015124798A2 (en) | Method & system for enabling authenticated operation of a data processing device | |
US20220271933A1 (en) | System and method for device to device secret backup and recovery | |
JP2020113835A (en) | Encryption device, decryption device, key generation device, information processing device, and program | |
WO2021205661A1 (en) | Authentication server, authentication system, authentication server control method, and storage medium | |
CN115280716A (en) | Sensitive data management device, program, and storage medium | |
JP2007150780A (en) | Enciphering method, apparatus and program | |
JP2007150466A (en) | Portable terminal and data decryption system | |
JP7248184B2 (en) | Server, system, method and program | |
JP2019047325A (en) | Authentication system | |
JP4586383B2 (en) | File encryption method, file decryption method, and control program | |
WO2021205659A1 (en) | Authentication server, authentication system, method for controlling authentication server, and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210915 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220615 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220712 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220906 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20221213 |