JP2021087132A - マスター鍵の作成方法及びマスター鍵の作成システム - Google Patents

マスター鍵の作成方法及びマスター鍵の作成システム Download PDF

Info

Publication number
JP2021087132A
JP2021087132A JP2019215586A JP2019215586A JP2021087132A JP 2021087132 A JP2021087132 A JP 2021087132A JP 2019215586 A JP2019215586 A JP 2019215586A JP 2019215586 A JP2019215586 A JP 2019215586A JP 2021087132 A JP2021087132 A JP 2021087132A
Authority
JP
Japan
Prior art keywords
cloud
party
master key
user
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019215586A
Other languages
English (en)
Other versions
JP6854872B1 (ja
Inventor
鈴木 徹也
Tetsuya Suzuki
徹也 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2019215586A priority Critical patent/JP6854872B1/ja
Application granted granted Critical
Publication of JP6854872B1 publication Critical patent/JP6854872B1/ja
Publication of JP2021087132A publication Critical patent/JP2021087132A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】クラウド上にあるクラウド使用者のマスター鍵を、クラウドサービス提供者側から取り出すことや変更することを防止できるマスター鍵の作成方法及びマスター鍵の作成システムを提供する。【解決手段】方法は、クラウドサービス提供者のクラウド上に構築した使用者クラウド領域と、第三者がクラウドサービス提供者のクラウド上に構築した第三者クラウド領域とを論理的にリンクさせて、第三者が使用者クラウド領域にアップロード及びダウンロードを実行することが可能に構成された状態で、使用者が第三者にマスター鍵の作成を依頼した場合に、第三者はマスター鍵を暗号化するためのラップ鍵を使用者クラウド領域で作成しダウンロードする。第三者のデータセンター内に設けられたマスター鍵作成装置にて作成されたマスター鍵を、ダウンロードしたラップ鍵で暗号化処理されたマスター鍵を、第三者が使用者クラウド領域にアップロードする。【選択図】図5

Description

本発明は、クラウド上でデータベースを暗号化及び復号化するために使用するマスター鍵の作成方法及びマスター鍵の作成システムに関する。
現在、クラウド(クラウドコンピューティング)によるデータベース、ストレージ、アプリケーションを始めとする様々なITリソースをオンデマンドで利用することができるサービスが行われている。
通常、クラウドを使用するクラウド使用者(単に、使用者と称する場合もある)は、クラウドサービスを提供しているクラウドサービス提供者と契約を結んで、クラウド上に仮想プライベートクラウド(VPC:Virtual Private Cloud)を構築する。本特許出願の特許請求の範囲及び明細書では、構築された仮想プライベートクラウドを単にクラウド領域と呼んでいる。
契約時にクラウド使用者には、ルート権限と鍵を管理する権限がクラウドサービス提供者から与えられる。ルート権限とは、クラウド領域を初期設定する権限である。この権限により、使用者はクラウド領域内で、例えばデータベースに個人情報、重要情報及び機密情報等の情報を暗号化して保存することが可能になる。データベースの暗号化及び復号化はマスター鍵を用いて行われる。鍵を管理する権限(KMS管理権限)とは、このマスター鍵の保管、管理、作成等を行う権限であり、クラウドサービス提供者側で準備された鍵管理サービス(KMS:Key Management Service)を用いて実行できるように構成されている。
「アマゾンウェブサービス(AWS)とは?」http://aws.amazon.com/jp/about-aws/
ルート権限や鍵を管理する権限はクラウド使用者にのみ与えられ、使用者は鍵管理サービス(KMS)によりマスター鍵の管理、作成、保管等が行うことができる。しかし、クラウド上に置かれているため、クラウドサービス提供者、特にその中のシステムエンジニアは、クラウド使用者が作成したマスター鍵を変更すること、マスター鍵を用いて暗号化したデータを復号化すること等は可能である。そのため、クラウド使用者は、暗号化した重要なデータが、マスター鍵が悪用されることで、改竄されたり盗用されたりすることに常に不安を抱いていた。
本発明は上記課題に鑑みてなされたものであり、その目的は、クラウド領域上にあるクラウド使用者のマスター鍵が、クラウドサービス提供者側から変更すること、使用することが防止できるマスター鍵の作成方法及びマスター鍵の作成システムを提供することにある。
上記目的の達成のため請求項1に記載のマスター鍵の作成方法は、
クラウドサービス提供者のクラウド上にクラウド使用者が構築した使用者クラウド領域と、前記クラウドサービス提供者及び前記クラウド使用者とは異なる第三者が前記クラウドサービス提供者のクラウド上に構築した第三者クラウド領域とを論理的にリンクさせて、前記第三者が前記使用者クラウド領域にアクセスしてアップロード及びダウンロードを実行することが可能に構成された状態で、前記クラウドを使用する前記クラウド使用者が前記クラウド上に構築した前記使用者クラウド領域でデータベースを暗号化及び復号化するために使用するマスター鍵の作成方法であって、
前記クラウド使用者から前記第三者に前記マスター鍵の作成の依頼が有った場合に、前記第三者は、新しく作成するマスター鍵を暗号化処理するためのラップ鍵を前記使用者クラウド領域に作成し、前記第三者が、前記使用者クラウド領域から前記作成したラップ鍵をダウンロードし、ダウンロードした前記ラップ鍵を、前記第三者のデータセンターに設けられたマスター鍵作成装置に入力してマスター鍵を作成し、作成された前記マスター鍵を前記ラップ鍵で暗号化処理し、前記暗号化処理された前記マスター鍵を、前記第三者が前記使用者クラウド領域にアップロードすることを特徴とする。
この方法により、マスター鍵は、クラウド領域上でクラウドサービス提供者が提供する鍵管理サービスを用いて作成されるのではなく、クラウドサービス提供者及びクラウド使用者とは異なる第三者により、第三者が管理・運営するデータセンター内で作成され、使用者クラウド領域にアップロードされる。したがって、クラウド提供者側からは、マスター鍵の作成方法や作成手段を知ることは不可能であるので、アップロードされたマスター鍵を使用することやそれを用いて暗号化した情報を解読することはできない。したがって、クラウド使用者は、クラウド領域上でクラウドサービス提供者側から情報が盗用されることや改変されることを心配することなく、クラウド領域上に置いたデータベースを安心して使用することができる。
請求項2に記載のマスター鍵の作成方法は、請求項1に記載のマスター鍵の作成方法において、
前記マスター鍵は、前記第三者のデータセンターの電磁波遮蔽室で作成されることを特徴とする。
この方法により、マスター鍵の作成時に、外部からの電磁波による電磁波攻撃が防止され信頼性の高いマスター鍵を作成することができる。
請求項3に記載のマスター鍵の作成方法は、請求項1又は2に記載のマスター鍵の作成方法において、
前記マスター鍵は、電子カードに記憶され、前記第三者のデータセンターにバックアップとして保管庫に保管されることを特徴とする。
この方法により、使用者クラウド領域にアップロードされたマスター鍵を安全のためにクラウド領域上で消去したとしても、再度アップロードすることが可能である。したがって、マスター鍵の秘匿性を高めたままで利便性の良い運用が可能である。
上記目的の達成のため請求項4に記載のマスター鍵の作成システムは、
クラウドサービス提供者のクラウド上にクラウド使用者が構築した使用者クラウド領域と、前記クラウドサービス提供者及び前記クラウド使用者とは異なる第三者が前記クラウドサービス提供者のクラウド上に構築した第三者クラウド領域とを論理的にリンクさせて、前記第三者が前記使用者クラウド領域にアクセスしてアップロード及びダウンロードを実行することが可能に構成された状態で、前記クラウドを使用する前記クラウド使用者が前記クラウド上に構築した前記使用者クラウド領域でデータベースを暗号化及び復号化するために使用するマスター鍵の作成システムであって、
前記クラウドサービス提供者のウエブサイトとインターネット介してそれぞれ接続された前記使用者のコンピュータ及び前記第三者のコンピュータと、前記第三者のコンピュータと専用回線を介して接続された前記第三者のデータセンター内に設置されたデータセンターコンピュータと、前記データセンターコンピュータと接続されたマスター鍵作成装置と、を有し、前記クラウド使用者から前記第三者に前記マスター鍵の作成の依頼が有った場合に、新しく作成するマスター鍵を暗号化処理するためのラップ鍵が前記使用者クラウド領域に前記第三者により作成され、前記使用者クラウド領域から前記作成されたラップ鍵が前記第三者により前記第三者のコンピュータにダウンロードされ、ダウンロードされた前記ラップ鍵が、前記第三者のデータセンターに設けられたマスター鍵作成装置に前記データセンターコンピュータを介して入力されてマスター鍵が作成され、作成された前記マスター鍵は前記データセンターコンピュータにより前記ラップ鍵で暗号化処理され、前記暗号化処理された前記マスター鍵が、前記使用者クラウド領域に前記第三者のコンピュータによりアップロードされることを特徴とする。
この構成により、マスター鍵は、クラウド領域上でクラウドサービス提供者が提供する鍵管理サービスを用いて作成されるのではなく、クラウドサービス提供者及び使用者とは異なる第三者により、第三者が管理・運営するデータセンター内で作成され、使用者クラウド領域にアップロードされる。したがって、クラウドサービス提供者側からは、マスター鍵の作成方法や作成手段を知ることは不可能であるので、アップロードされたマスター鍵を使用することやそれを用いて暗号化した情報を解読することはできない。したがって、クラウド使用者は、クラウド領域上でクラウドサービス提供者側から情報が盗用されることや改変されることを心配することなく、クラウド領域上に置いたデータベースを安心して使用することができる。
本発明のマスター鍵の作成方法及びマスター鍵の作成システムによれば、マスター鍵は、クラウドサービス提供者及びクラウド使用者とは異なる第三者により、第三者が管理・運営するデータセンター内で作成されるので、クラウド領域上では誰もマスター鍵を解読や変更することができない。したがって、クラウド領域上に記録したデータベースの秘匿性が向上し、クラウド使用者は安心してクラウド領域上のデータベースを利用することができる。
本発明のマスター鍵の作成システムの概略構成図を示す。 図1のマスター鍵の作成システムにおける、使用者クラウド領域と第三者クラウド領域と第三者データセンターとの関係を説明する図である。 本発明のマスター鍵の作成方法において、使用者と第三者との間の契約フローを示す。 本発明のマスター鍵の作成方法におけるマスター鍵の作成のフローを示す。 本発明のマスター鍵の作成方法におけるラップ鍵とマスター鍵の流れを示す。
以下、本発明の本発明のマスター鍵の作成方法及びマスター鍵の作成システムの実施の形態について、図面を参照しつつ詳細に説明する。
図1は、本発明のマスター鍵の作成システムの概略構成図である。マスター鍵の作成システム10は、クラウドサービス提供者のサーバ16とインターネット14を介してそれぞれ接続される使用者PC(コンピュータ)12と第三者PC(コンピュータ)20とを有する。使用者PC12とインターネット14との接続、また、第三者PC20とインターネット14との接続は一般回線(電話回線)18である。また、クラウドサービス提供者のサーバ16とインターネット14との接続も一般回線18である。
クラウド使用者は、使用者PC12とクラウドサービス提供者のサーバ16とをインターネット14を介して接続し、使用者クラウド領域を構築することができる。同様に、第三者も第三者PC20とクラウドサービス提供者のサーバ16とをインターネット14を介して接続し、第三者クラウド領域を構築することができる。ここで、第三者は、クラウドサービス提供者及びクラウド使用者とは全く異なる者である。
第三者PC20は、専用回線22を介して第三者データセンター24内のデータセンターPC(コンピュータ)26と接続されている。データセンターPC26はマスター鍵作成装置(HSM:Hardware Security Module)28に接続され、HSM28は、第三者データセンター24内の電磁遮蔽空間内に設置されている。外部からの電磁波攻撃による作成したマスター鍵の損傷や改変を防ぐ為である。なお、専用回線22は、第三者PC20とデータセンターPC26との間のみを接続する専用の回線であり、信号の漏洩や外部から信号の侵入はできない構成になっている。データセンターPC26とHSM28との接続は通常のケーブル接続である。
図2は、図1のマスター鍵の作成システム10における、使用者クラウド領域30と第三者クラウド領域32と第三者データセンター24との関係を説明する図である。使用者クラウド領域30と第三者クラウド領域32は、クラウド34内に構築されている。使用者クラウド領域30にはデータベース36が構築され、クラウド使用者はマスター鍵を用いて重要なデータを暗号化及び復号化することができる。暗号化したデータは、データベース36内に格納される。
クラウド使用者には、クラウドサービス提供者から、ルート権限、KMS管理権限が与えられる。ルート権限とは、クラウド領域を初期設定すること、クラウド領域にアクセスすること、データベースを使用すること等を始め、様々なITリソースをオンデマンドで利用することが可能となる権限である。KMS(KMS:Key Management Service)管理権限とは、データベースを暗号化及び復号化するマスター鍵の作成や変更、マスター鍵の有効期限を設定すること等を可能とする権限である。通常、マスター鍵の管理は、クラウド使用者が、クラウドサービス提供者側で準備したKMS管理サービスを用いて行っている。
第三者クラウド領域32は、第三者が構築したクラウド領域であり、使用者クラウド領域30とプライベートリンク(論理的な接続)44が確立されている。プライベートリンク44とは、クラウドサービス提供者側が準備しているサービスであり、1つのクラウド領域と他のクラウド領域とを論理的に接続し、クラウド領域間のデータの送受信を可能とするサービスであり、論理的な専用接続サービスである。このリンクにより、第三者が使用者クラウド領域30にアクセスして、各種のデータ等をアップロード及びダウンロードすることが可能となる。
すなわち、このプライベートリンク44により、第三者は第三者クラウド領域32から使用者クラウド領域30にアクセスし、例えばラップ鍵を作成すること、ラップ鍵をダウンロードすること等が可能となる。なお、ラップ鍵とは、マスター鍵を暗号化するための鍵である。
ただし、これらの操作を可能にするために、後述(図3参照)するように使用者から第三者にルート権限を分離設定し、第三者はルート権限を片辺受託しておく必要があり、さらに、使用者は第三者にKMS管理権限を移譲し、第三者はKMS管理権限を受託しておく必要がある。
第三者クラウド領域32は、第三者PC20を介して第三者の管理、運営する第三者データセンター24内のデータセンターPC26に接続されている。この第三者PC20とデータセンターPC26の接続は、前述したように専用回線22を用いて行われている。
第三者PC20は、ラップ鍵をダウンロードする機能、作成したマスター鍵をアップロードする機能を有し、またダウンロード及びアップロードを実行した際に詳細な記録を残す監査証跡機能を有する。また、第三者データセンター24内のデータセンターPC26は、第三者PC20からラップ鍵を受け取り、マスター鍵を作成するHSM28に送る機能、及び作成したマスター鍵をラップ鍵でラップ処理(暗号化処理)する機能を有する。
図3は、本発明のマスター鍵の作成システムにおいて、使用者と第三者との間の必要な契約フローを示す。まず、使用者が第三者へルート権限の分離設定を行う(ステップS1)。具体的には、ラップ鍵を作成し、ダウンロードする権限、作成したマスター鍵をアップロードする権限を使用者から第三者へ設定する。ラップ鍵はワンタームパスワードとセットになっており、ラップ鍵をダウンロードする際には、ワンタイムパスワードが提示され、第三者はその提示された数字や記号、ワード等を入力することでダウンロードが可能となる。
次に、使用者が第三者へKMS管理権限の移譲を行う(ステップS2)。具体的には、マスター鍵を作成する権限を使用者から第三者へ移譲する。これによりマスター鍵は、第三者のみが作成することができる。第三者は、使用者が分離設定したルート権限を片辺受託し(ステップS3)、また使用者が移譲したKMS管理権限を受託する(ステップS4)。このような契約を締結することで、クラウドサービス提供者のクラウド34上にクラウド使用者が構築した使用者クラウド領域30と、クラウドサービス提供者及びクラウド使用者とは異なる第三者がクラウドサービス提供者のクラウド34上に構築した第三者クラウド領域32とを論理的にリンクさせて、第三者が使用者クラウド領域30にアクセスしてアップロード及びダウンロードを実行することが可能になる。
図4は、本発明のマスター鍵の作成システムにおけるマスター鍵の作成のフローを示す。
第三者はクラウド使用者からマスター鍵の作成依頼の有無を判定する(ステップS5)。依頼が無ければそのまま待機する。依頼が有った場合は、第三者はラップ鍵を使用者クラウド領域30で作成する(ステップS6)。このラップ鍵は、これから新しく作成するマスター鍵を暗号化するための鍵であり、ルート権限を片辺受託及びKMS管理権限を受託しているので実行可能である。
次に、第三者は作成したラップ鍵を第三者PC20へダウンロードする(ステップS7)。このダウンロードは、使用者クラウド領域30と第三者クラウド領域32がプライベートリンク44しているので可能であり、第三者PC20にてダウンロードを実行した場合には、監査証跡機能により、操作した内容の記録(ログ)、例えば何時何分に誰がどのような操作をしたかが記録として残される。したがって、権限の無い者が不正にダウンロードした場合には、不正の痕跡が必ず残ることとなる。
次に、第三者PC20から第三者データセンター24内のデータセンターPC26に、上記ダウンロードしたラップ鍵を移送する。この移送は、第三者PC20とデータセンターPC26が専用回線22にて接続されているので、外部に漏れる心配はない。そして、データセンターPC26に接続されているHMS28にてマスター鍵が作成される(ステップS9)。作成したマスター鍵は、ダウンロードしたラップ鍵にてラップ処理(暗号化処理)される(ステップS10)。
第三者は、ラップ処理したマスター鍵を使用者クラウド領域30に第三者クラウド領域32を介してアップロードする(ステップS11)。このアップロードについても監査証跡機能により、操作した内容の記録(ログ)、例えば何時何分に誰がどのような操作をしたかが記録として残される。その後、使用者はアップロードされたマスター鍵を必要に応じて復号化し、データベースの復号化等に使用することができる。
また、作成されたマスター鍵は、バックアップとして電子カード(ICカード)等に記録され(ステップS12)、例えば第三者データセンター24内の保管庫(図示していない)に保管される(ステップS13)。
図5は、上述したラップ鍵38とマスター鍵40の流れを説明する図である。マスター鍵40の作成依頼が有った場合には、使用者クラウド領域30でラップ鍵38が作成され、このラップ鍵38は第三者クラウド領域32を介して第三者PC20にダウンロードされる。そして、ラップ鍵38は第三者データセンター24内のデータセンターPC26へ移送され、マスター鍵作成装置(HSM)28にてマスター鍵40が作成される。このマスター鍵40は、データセンターPC26に移送されダウンロードしたラップ鍵38で暗号化処理が施される。暗号化処理されたマスター鍵40は、第三者PC20を介して第三者クラウド領域32へアップロードされ、そして使用者クラウド領域30へ移送される。
矢印A1は、使用者クラウド領域(VPC)30から第三者クラウド領域(VPC)32を介して第三者PC20へのラップ鍵38の流れを示す。矢印A2は、第三者PC20から第三者データセンター24内のデータセンターPC26へのラップ鍵38の流れを示す。矢印A3は、データセンターPC26からHSM28へのラップ鍵38の流れを示す。矢印A4は、HSM28からデータセンターPC26へのマスター鍵40の流れを示す。矢印A5は、データセンターPC26から第三者PC20への暗号化処理されたマスター鍵40の流れを示す。矢印A6は、第三者PC20から使用者クラウド領域32を介して使用者クラウド領域30への暗号化処理されたマスター鍵40の流れを示す。なお、プライベートリンク44及び専用回線22は、実際にはそれぞれ1つであるが、鍵の流れを分かり易く示すためそれぞれラップ鍵38とマスター鍵40について別々に示している。
なお、第三者データセンター24内の電磁遮蔽室でのマスター鍵作成装置(HSM)28を用いたマスター鍵の作成は、電磁遮蔽室への入室が厳格に管理され、上記の第三者とは別の2人の第三者によって行われる。マスター鍵の秘匿性を高めるためである。
本実施の形態のマスター鍵の作成方法及びマスター鍵の作成システムによれば、マスター鍵は、クラウド34上ではなく、クラウド34とは切り離された第三者のデータセンター24内で作成され、第三者により使用者クラウド領域30にアップロードされる。したがって、クラウドサービス提供者側では作成されたマスター鍵40を修正することも変更することもできないので、クラウド使用者は安心してクラウド34上に重要な情報を記録しておくことができる。
なお、本発明は、上記の実施の形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々の変更が可能である。例えば、実施の形態では、マスター鍵作成装置(HSM)28は電磁遮蔽室内に設置したが、電磁障害の恐れが無ければ電磁遮蔽室内でなくてもよい。また、バックアップとして電子カードに作成したマスター鍵40を記録して保管しているが、別の方法で保管してもよい。
10 マスター鍵の作成システム
12 使用者コンピュータ(PC)
14 インターネット
16 クラウドサービス提供者のサーバ
18 一般回線
20 第三者コンピュータ(PC)
22 専用回線
24 第三者データセンター
26 データセンターコンピュータ(PC)
28 マスター鍵作成装置(HSM:Hardware Security Module)
30 使用者クラウド領域(VPC)
32 第三者クラウド領域(VPC)
34 クラウド
36 データベース
38 ラップ鍵
40 マスター鍵
44 プライベートリンク
A1 使用者クラウド領域30から第三者PC20へのラップ鍵38の流れ
A2 第三者PC20からデータセンターPC26へのラップ鍵38の流れ
A3 データセンターPC26からHSM28へのラップ鍵38の流れ
A4 HSM28からデータセンターPC26へのマスター鍵40の流れ
A5 データセンターPC26から第三者PC20へのマスター鍵40の流れ
A6 第三者PC20から使用者クラウド領域30へのマスター鍵40の流れ
上記目的の達成のため請求項1に記載のマスター鍵の作成方法は、
クラウドサービス提供者のクラウド上にクラウド使用者が構築した使用者クラウド領域と、前記クラウドサービス提供者及び前記クラウド使用者とは異なる第三者が前記クラウドサービス提供者のクラウド上に構築した第三者クラウド領域とを論理的にリンクさせて、前記第三者が前記使用者クラウド領域にアクセスしてアップロード及びダウンロードを実行することが可能に構成された状態で、前記クラウドを使用する前記クラウド使用者が前記クラウド上に構築した前記使用者クラウド領域上でデータベースを暗号化及び復号化するために使用するマスター鍵の作成方法であって、
前記クラウド使用者から前記第三者に前記マスター鍵の作成の依頼が有った場合に、前記第三者は、新しくスター鍵を作成するための及び暗号化処理するためのラップ鍵を前記使用者クラウド領域上で作成し、前記第三者が、前記使用者クラウド領域から前記作成したラップ鍵をダウンロードし、ダウンロードした前記作成したラップ鍵を、前記第三者のデータセンターに設けられたマスター鍵作成装置に入力してマスター鍵を作成し、作成された前記マスター鍵を前記作成したラップ鍵で暗号化処理し、前記暗号化処理された前記マスター鍵を、前記第三者が前記使用者クラウド領域にアップロードすることを特徴とする。
上記目的の達成のため請求項4に記載のマスター鍵の作成システムは、クラウドサービス提供者のクラウド上にクラウド使用者が構築した使用者クラウド領域と、前記クラウドサービス提供者及び前記クラウド使用者とは異なる第三者が前記クラウドサービス提供者のクラウド上に構築した第三者クラウド領域とを論理的にリンクさせて、前記第三者が前記使用者クラウド領域にアクセスしてアップロード及びダウンロードを実行することが可能に構成された状態で、前記クラウドを使用する前記クラウド使用者が前記クラウド上に構築した前記使用者クラウド領域上でデータベースを暗号化及び復号化するために使用するマスター鍵の作成システムであって、
前記クラウドサービス提供者のウエブサイトとインターネット介してそれぞれ接続された前記クラウド使用者のコンピュータ及び前記第三者のコンピュータと、前記第三者のコンピュータと専用回線を介して接続された前記第三者のデータセンター内に設置されたデータセンターコンピュータと、前記データセンターコンピュータと接続されたマスター鍵作成装置と、を有し、前記クラウド使用者から前記第三者に前記マスター鍵の作成の依頼が有った場合に、新しくスター鍵を作成するための及び暗号化処理するためのラップ鍵が前記使用者クラウド領域上で前記第三者により作成され、前記使用者クラウド領域から前記作成したラップ鍵が前記第三者により前記第三者のコンピュータにダウンロードされ、ダウンロードされた前記作成されたラップ鍵が、前記第三者のデータセンターに設けられたマスター鍵作成装置に前記データセンターコンピュータを介して入力されてマスター鍵が作成され、作成された前記マスター鍵は前記データセンターコンピュータにより前記作成されたラップ鍵で暗号化処理され、前記暗号化処理された前記マスター鍵が、前記使用者クラウド領域に前記第三者のコンピュータによりアップロードされることを特徴とする。
上記目的の達成のため請求項1に記載のマスター鍵の作成方法は、
クラウドサービス提供者のクラウド上にクラウド使用者が構築した使用者クラウド領域と、前記クラウドサービス提供者及び前記クラウド使用者とは異なる第三者が前記クラウドサービス提供者のクラウド上に構築した第三者クラウド領域とを論理的にリンクさせて、前記第三者が前記使用者クラウド領域にアクセスしてアップロード及びダウンロードを実行することが可能に構成された状態で、前記クラウドを使用する前記クラウド使用者が前記クラウド上に構築した前記使用者クラウド領域上でデータベースを暗号化及び復号化するために使用するマスター鍵の作成方法であって、
前記クラウド使用者から前記第三者に前記マスター鍵の作成の依頼が有った場合に、前記第三者は、スター鍵を号化処理するためのラップ鍵を前記使用者クラウド領域上で作成し、記使用者クラウド領域から前記作成したラップ鍵をダウンロードし、記第三者のデータセンターに設けられたマスター鍵作成装置によりマスター鍵を作成し、作成された前記マスター鍵を前記作成したラップ鍵で暗号化処理し、前記暗号化処理された前記マスター鍵を、記使用者クラウド領域にアップロードすることを特徴とする。
上記目的の達成のため請求項4に記載のマスター鍵の作成システムは、
クラウドサービス提供者のクラウド上にクラウド使用者が構築した使用者クラウド領域と、前記クラウドサービス提供者及び前記クラウド使用者とは異なる第三者が前記クラウドサービス提供者のクラウド上に構築した第三者クラウド領域とを論理的にリンクさせて、前記第三者が前記使用者クラウド領域にアクセスしてアップロード及びダウンロードを実行することが可能に構成された状態で、前記クラウドを使用する前記クラウド使用者が前記クラウド上に構築した前記使用者クラウド領域上でデータベースを暗号化及び復号化するために使用するマスター鍵の作成システムであって、
前記クラウドサービス提供者のウエブサイトとインターネット介してそれぞれ接続された前記クラウド使用者のコンピュータ及び前記第三者のコンピュータと、前記第三者のコンピュータと専用回線を介して接続された前記第三者のデータセンター内に設置されたデータセンターコンピュータと、前記データセンターコンピュータと接続されたマスター鍵作成装置と、を有し、
前記クラウド使用者から前記第三者に前記マスター鍵の作成の依頼が有った場合に、
前記第三者は、マスター鍵を号化処理するためのラップ鍵前記使用者クラウド領域上でし、前記使用者クラウド領域から前記作成したラップ鍵を前記第三者のコンピュータにダウンロードし、前記第三者のデータセンターに設けられたマスター鍵作成装置によりマスター鍵作成し作成された前記マスター鍵前記データセンターコンピュータにより前記作成されたラップ鍵で暗号化処理し前記暗号化処理された前記マスター鍵、前記使用者クラウド領域に前記第三者のコンピュータによりアップロードすることを特徴とする。
上記目的の達成のため請求項1に記載のマスター鍵の作成方法は、
クラウドサービス提供者のクラウド上にクラウド使用者が構築した使用者クラウド領域と、前記クラウドサービス提供者及び前記クラウド使用者とは異なる第三者が前記クラウドサービス提供者のクラウド上に構築した第三者クラウド領域とを論理的にリンクさせて、前記第三者が前記使用者クラウド領域にアクセスしてアップロード及びダウンロードを実行することが可能に構成された状態で、前記クラウドを使用する前記クラウド使用者が前記クラウド上に構築した前記使用者クラウド領域上でデータベースを暗号化及び復号化するために使用するマスター鍵の作成方法であって、
前記クラウド使用者から前記第三者に前記マスター鍵の作成の依頼が有った場合に、前記第三者のコンピュータにより、前記使用者クラウド領域上で作成された、マスター鍵を暗号化処理するためのラップ鍵を、前記第三者のコンピュータにダウンロードし、前記第三者のデータセンターに設けられたマスター鍵作成装置により、マスター鍵を作成し、前記第三者のデータセンターにより、作成された前記マスター鍵を前記第三者のコンピュータから移送された前記ラップ鍵で暗号化処理し、前記第三者のコンピュータにより、前記暗号化処理された前記マスター鍵を、前記使用者クラウド領域にアップロードすることを特徴とする。
上記目的の達成のため請求項4に記載のマスター鍵の作成システムは、
クラウドサービス提供者のクラウド上にクラウド使用者が構築した使用者クラウド領域と、前記クラウドサービス提供者及び前記クラウド使用者とは異なる第三者が前記クラウドサービス提供者のクラウド上に構築した第三者クラウド領域とを論理的にリンクさせて、前記第三者が前記使用者クラウド領域にアクセスしてアップロード及びダウンロードを実行することが可能に構成された状態で、前記クラウドを使用する前記クラウド使用者が前記クラウド上に構築した前記使用者クラウド領域上でデータベースを暗号化及び復号化するために使用するマスター鍵の作成システムであって、
前記クラウドサービス提供者のウエブサイトとインターネットを介してそれぞれ接続された前記クラウド使用者のコンピュータ及び前記第三者のコンピュータと、前記第三者のコンピュータと専用回線を介して接続された前記第三者のデータセンター内に設置されたデータセンターコンピュータと、前記データセンターコンピュータと接続されたマスター鍵作成装置と、を有し、前記クラウド使用者から前記第三者に前記マスター鍵の作成の依頼が有った場合に、前記第三者のコンピュータにより、前記使用者クラウド領域上で作成された、マスター鍵を暗号化処理するためのラップ鍵を、前記第三者のコンピュータにダウンロードし、前記第三者のデータセンターに設けられたマスター鍵作成装置により、マスター鍵を作成し、前記データセンターコンピュータにより、作成された前記マスター鍵を前記第三者のコンピュータから移送された前記ラップ鍵で暗号化処理し、前記第三者のコンピュータにより、前記暗号化処理された前記マスター鍵を、前記使用者クラウド領域にアップロードすることを特徴とする

Claims (4)

  1. クラウドサービス提供者のクラウド上にクラウド使用者が構築した使用者クラウド領域と、前記クラウドサービス提供者及び前記クラウド使用者とは異なる第三者が前記クラウドサービス提供者のクラウド上に構築した第三者クラウド領域とを論理的にリンクさせて、前記第三者が前記使用者クラウド領域にアクセスしてアップロード及びダウンロードを実行することが可能に構成された状態で、前記クラウドを使用する前記クラウド使用者が前記クラウド上に構築した前記使用者クラウド領域でデータベースを暗号化及び復号化するために使用するマスター鍵の作成方法であって、
    前記クラウド使用者から前記第三者に前記マスター鍵の作成の依頼が有った場合に、
    前記第三者は、新しく作成するマスター鍵を暗号化処理するためのラップ鍵を前記使用者クラウド領域に作成し、
    前記第三者が、前記使用者クラウド領域から前記作成したラップ鍵をダウンロードし、
    ダウンロードした前記ラップ鍵を、前記第三者のデータセンターに設けられたマスター鍵作成装置に入力してマスター鍵を作成し、
    作成された前記マスター鍵を前記ラップ鍵で暗号化処理し、
    前記暗号化処理された前記マスター鍵を、前記第三者が前記使用者クラウド領域にアップロードすることを特徴とするマスター鍵の作成方法。
  2. 前記マスター鍵は、前記第三者のデータセンターの電磁波遮蔽室で作成されることを特徴とする請求項1に記載のマスター鍵の作成方法。
  3. 前記マスター鍵は、電子カードに記憶され、前記第三者のデータセンターにバックアップとして保管庫に保管されることを特徴とする請求項1又は2に記載のマスター鍵の作成方法。
  4. クラウドサービス提供者のクラウド上にクラウド使用者が構築した使用者クラウド領域と、前記クラウドサービス提供者及び前記クラウド使用者とは異なる第三者が前記クラウドサービス提供者のクラウド上に構築した第三者クラウド領域とを論理的にリンクさせて、前記第三者が前記使用者クラウド領域にアクセスしてアップロード及びダウンロードを実行することが可能に構成された状態で、前記クラウドを使用する前記クラウド使用者が前記クラウド上に構築した前記使用者クラウド領域でデータベースを暗号化及び復号化するために使用するマスター鍵の作成システムであって、
    前記クラウドサービス提供者のウエブサイトとインターネット介してそれぞれ接続された前記使用者のコンピュータ及び前記第三者のコンピュータと、
    前記第三者のコンピュータと専用回線を介して接続された前記第三者のデータセンター内に設置されたデータセンターコンピュータと、
    前記データセンターコンピュータと接続されたマスター鍵作成装置と、を有し、
    前記クラウド使用者から前記第三者に前記マスター鍵の作成の依頼が有った場合に、
    新しく作成するマスター鍵を暗号化処理するためのラップ鍵が前記使用者クラウド領域で前記第三者により作成され、
    前記使用者クラウド領域から前記作成されたラップ鍵が前記第三者により前記第三者のコンピュータにダウンロードされ、
    ダウンロードされた前記ラップ鍵が、前記第三者のデータセンターに設けられたマスター鍵作成装置に前記データセンターコンピュータを介して入力されてマスター鍵が作成され、
    作成された前記マスター鍵は前記データセンターコンピュータにより前記ラップ鍵で暗号化処理され、
    前記暗号化処理された前記マスター鍵が、前記使用者クラウド領域に前記第三者のコンピュータによりアップロードされることを特徴とするマスター鍵の作成システム。
JP2019215586A 2019-11-28 2019-11-28 マスター鍵の作成方法及びマスター鍵の作成システム Active JP6854872B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019215586A JP6854872B1 (ja) 2019-11-28 2019-11-28 マスター鍵の作成方法及びマスター鍵の作成システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019215586A JP6854872B1 (ja) 2019-11-28 2019-11-28 マスター鍵の作成方法及びマスター鍵の作成システム

Publications (2)

Publication Number Publication Date
JP6854872B1 JP6854872B1 (ja) 2021-04-07
JP2021087132A true JP2021087132A (ja) 2021-06-03

Family

ID=75267887

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019215586A Active JP6854872B1 (ja) 2019-11-28 2019-11-28 マスター鍵の作成方法及びマスター鍵の作成システム

Country Status (1)

Country Link
JP (1) JP6854872B1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012518330A (ja) * 2009-02-16 2012-08-09 マイクロソフト コーポレーション 高信頼なクラウド・コンピューティングおよびクラウド・サービスのフレームワーク
JP2016513837A (ja) * 2013-03-04 2016-05-16 ドキュサイン,インコーポレイティド クラウドデータセキュリティのためのシステム及び方法
US20180367311A1 (en) * 2017-06-20 2018-12-20 Google Llc Tokenized Hardware Security Modules

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012518330A (ja) * 2009-02-16 2012-08-09 マイクロソフト コーポレーション 高信頼なクラウド・コンピューティングおよびクラウド・サービスのフレームワーク
JP2016513837A (ja) * 2013-03-04 2016-05-16 ドキュサイン,インコーポレイティド クラウドデータセキュリティのためのシステム及び方法
US20180367311A1 (en) * 2017-06-20 2018-12-20 Google Llc Tokenized Hardware Security Modules

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"働き方改革時代のセキュリティ対策 "簡単"で"低コスト"なソリューションが選ばれる", 週刊BCN, vol. 1742, JPN6020007155, 10 September 2018 (2018-09-10), JP, pages 17, ISSN: 0004398261 *
NSHIELD BRING YOUR OWN KEY, JPN6020007154, May 2019 (2019-05-01), ISSN: 0004398260 *

Also Published As

Publication number Publication date
JP6854872B1 (ja) 2021-04-07

Similar Documents

Publication Publication Date Title
US9219753B2 (en) Systems and methods for cloud data security
US11601261B1 (en) Secure key exchange electronic transactions
EP3066609B1 (en) Server and method for secure and economical sharing of data
CN104520805B (zh) 根据企业信息控制策略的带有密钥和数据交换的安全应用程序生态系统
US9070112B2 (en) Method and system for securing documents on a remote shared storage resource
US10397008B2 (en) Management of secret data items used for server authentication
US20130254536A1 (en) Secure server side encryption for online file sharing and collaboration
US20040175000A1 (en) Method and apparatus for a transaction-based secure storage file system
CN104618096B (zh) 保护密钥授权数据的方法、设备和tpm密钥管理中心
KR101648364B1 (ko) 대칭키 암호화와 비대칭키 이중 암호화를 복합적으로 적용한 암/복호화 속도개선 방법
CN110611657A (zh) 一种基于区块链的文件流处理的方法、装置及系统
CN114175580B (zh) 增强的安全加密和解密系统
US11764976B2 (en) System and method for secure internet communications
US20230021749A1 (en) Wrapped Keys with Access Control Predicates
WO2019083379A1 (en) DATA TRANSMISSION
CN107920060A (zh) 基于账号的数据访问方法和装置
WO2024139273A1 (zh) 联邦学习方法、装置、可读存储介质及电子设备
US20230205908A1 (en) Protected storage for decryption data
JP6854872B1 (ja) マスター鍵の作成方法及びマスター鍵の作成システム
CN111831978A (zh) 一种对配置文件进行保护的方法及装置
WO2022252356A1 (zh) 数据处理方法、装置、电子设备及介质
CN118869257A (zh) 一种加解密连接信息方法、装置、系统和介质
CN115529139A (zh) 一种基于对象序列化的在线软件加密授权系统与方法
TWI436628B (zh) Application software and distribute protection method and system for communication device platform of action

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191203

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20191203

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20200108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200507

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200811

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201007

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210309

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210316

R150 Certificate of patent or registration of utility model

Ref document number: 6854872

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250