JP4710232B2 - Electronic data storage system that stores electronic data while guaranteeing the evidence - Google Patents

Electronic data storage system that stores electronic data while guaranteeing the evidence Download PDF

Info

Publication number
JP4710232B2
JP4710232B2 JP2004041183A JP2004041183A JP4710232B2 JP 4710232 B2 JP4710232 B2 JP 4710232B2 JP 2004041183 A JP2004041183 A JP 2004041183A JP 2004041183 A JP2004041183 A JP 2004041183A JP 4710232 B2 JP4710232 B2 JP 4710232B2
Authority
JP
Japan
Prior art keywords
electronic data
authentication code
server
data storage
electronic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004041183A
Other languages
Japanese (ja)
Other versions
JP2005234751A (en
Inventor
廣治 西田
淳一 飯島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Co Ltd filed Critical Fuji Electric Co Ltd
Priority to JP2004041183A priority Critical patent/JP4710232B2/en
Publication of JP2005234751A publication Critical patent/JP2005234751A/en
Application granted granted Critical
Publication of JP4710232B2 publication Critical patent/JP4710232B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

本発明は,電子ファイルなどの電子データを保管する電子データ保管装置に関し、さらに詳細には、そのような電子データ保管装置において保管されている電子データが改竄されていないとの証拠性を長期にわたって保証する技術に関する。 The present invention relates to an electronic data storage device that stores electronic data such as an electronic file, and more particularly, provides long-term evidence that electronic data stored in such an electronic data storage device has not been tampered with. It relates to the technology to be guaranteed .

本発明は、「あるデータに対する署名を生成する際にMAC(Message Authentication Code)をあわせて生成し、署名が偽造されたと疑われる場合にはMACの検証を行って署名生成をしたハードウェアを確認し、偽造の有無を判定する」(非特許文献1)という技術に関する。従来、電子ファイルなどの電子データが改竄されていないとの証拠性を示す技術にMAC付きデジタル署名がある。
図14は、従来技術による電子データ保管システムの構成を示す図である。図14のシステムは、インターネットなどのネットワークに接続された電子データ保管サーバ910、および 同じネットワーク接続された多数のクライアント装置920からなる。各クライアント920には、外部装置930が接続されている。外部装置930は認証コード秘密鍵Kを製造時以外書き込み不可能なエリアに持ち、署名用秘密鍵skを書き込み可能なエリアに持っている。また、外部装置930は認証コードと電子署名を生成する機能を持つ。 According to the present invention, when generating a signature for certain data, a MAC (Message Authentication Code) is also generated, and if it is suspected that the signature has been forged, the MAC is verified to confirm the hardware that generated the signature. And “determining the presence or absence of forgery” (Non-Patent Document 1). Conventionally, a digital signature with a MAC is a technique that shows evidence that electronic data such as an electronic file has not been tampered with.
FIG. 14 is a diagram showing a configuration of a conventional electronic data storage system. The system shown in FIG. 14 includes an electronic data storage server 910 connected to a network such as the Internet, and a number of client devices 920 connected to the same network. An external device 930 is connected to each client 920. The external device 930 has the authentication code private key K in an area where writing is not possible except during manufacture, and has the signature private key sk in a writable area. The external device 930 has a function of generating an authentication code and an electronic signature.

クライアント920は、外部装置930にPIN(個人識別番号)と電子データXをあたえ
て、外部装置930からXとその電子署名と認証コードとを受け取る。クライアント920は、インターネットなどのネットワークを経由してサーバ910とデータ交換が可能である。クライアント920は、外部装置930から受け取ったXとその電子署名と認証コードをサーバ910に渡す。 The client 920 gives a PIN (personal identification number) and electronic data X to the external device 930 and receives X, its electronic signature, and an authentication code from the external device 930. The client 920 can exchange data with the server 910 via a network such as the Internet. The client 920 passes X received from the external device 930, its electronic signature, and an authentication code to the server 910.

サーバ910は、データ保管部980を持っており、 クライアント920から受け取ったXとその電子署名と認証コードのうち電子署名を検証し、正常ならデータ保管部980でデータを保管する。電子署名の偽造の疑いがある場合は、調停者が、データ保管部に保管されている当該データXとその認証コードとを取り出し、クライアント920から外部装置930にPINと電子データXをあたえて、外部装置930からデータX、その電子署名および認証コードを受け取ることにより、入手した認証コードとデータ保管部980に保管されていた認証コードとを比較し、一致していれば電子署名が偽造されていないと判断する。
宇根正志、「デジタル署名生成用秘密鍵の漏洩を巡る問題とその対策」、日本銀行金融研究所、Discussion Paper No.2002-J-32(2002年) The server 910 has a data storage unit 980. The server 910 verifies the electronic signature of X received from the client 920, its electronic signature, and the authentication code, and stores data in the data storage unit 980 if normal. If there is a suspicion of forgery of the electronic signature, the mediator takes out the data X and the authentication code stored in the data storage unit, gives the PIN and electronic data X from the client 920 to the external device 930, By receiving the data X and its electronic signature and authentication code from the external device 930, the obtained authentication code is compared with the authentication code stored in the data storage unit 980. If they match, the electronic signature is forged. Judge that there is no.
Masashi Une, “Problems and Countermeasures Regarding Leakage of Private Key for Digital Signature Generation”, Bank of Japan Financial Research Institute, Discussion Paper No.2002-J-32 (2002)

従来の方式では、外部装置としてICカード、クライアントとしてPC(パーソナルコンピュータ)が想定されている。外部装置であるICカードが電子署名と認証コードの両方の処理を行うため、秒単位の処理時間を必要とする。したがって、クライアントで高速かつ大量の電子データを処理する必要がある場合、処理速度が障害となり、それを解決するためには、多数のパソコンとICカードを用意し並列処理をする必要がある。各PCにICカードが必要なため、対象全員にICカードを用意しなければならないという点で、コストおよび運用面で問題があった。また、電子データの保管がサーバ910側で、電子署名と認証コードの処理がPC側という具合に、分散処理をするためリスクも分散され,危険にさらされる確率が高いという問題もある。   In the conventional system, an IC card is assumed as an external device, and a PC (personal computer) is assumed as a client. Since an IC card as an external device performs both processing of an electronic signature and an authentication code, processing time in seconds is required. Therefore, when it is necessary for a client to process a large amount of electronic data at high speed, the processing speed becomes an obstacle. In order to solve this problem, it is necessary to prepare a large number of personal computers and IC cards and perform parallel processing. Since each PC needs an IC card, there is a problem in terms of cost and operation in that an IC card must be prepared for all the subjects. In addition, since the electronic data is stored on the server 910 side and the processing of the electronic signature and the authentication code is performed on the PC side, the risk is distributed because of the distributed processing, and there is a high probability of exposure.

したがって、本発明は、高速かつ大量の電子データを処理するクライアントを複数接続した環境または多数のクライアントが接続された環境でも、電子署名と認証コードの処理を高速かつ安全にサーバ側で行うことを可能とするシステムを提供することである。   Therefore, the present invention enables processing of electronic signatures and authentication codes on the server side at high speed and safely even in an environment in which a plurality of clients that process high-speed and large amounts of electronic data are connected or in an environment in which a large number of clients are connected. It is to provide a system that makes it possible.

本発明は、上記の課題を解決するためになされたもので、請求項1記載の発明は、電子データの証拠性を認証コードと電子署名で保証する電子データ保管システムである。本発明の電子データ保管システムは、外部のクライアントと電子データの授受が可能でかつ外部装置と電気的・機械的に結合された少なくとも1台のサーバと、ROM領域とRAM領域とCPUとを備え、かつサーバとはインタフェースを介して接続される外部装置と、製造時に製造業者により書換え不可能な記憶域に秘密鍵が焼き付けられ、アクセス制限された読み出し専用記憶手段とを備える。外部装置が、読み出し専用記憶手段からコピーした秘密鍵をもとに一時秘密鍵を生成するソフトウェア手段(アルゴリズム)をROM領域に備え、さらに前記ソフトウェア手段に基づいて前記CPUが発生させた乱数の回数だけ一時秘密鍵を生成し、最後に生成した前記一時秘密鍵をRAM領域に格納し、かつ前記一時秘密鍵と所与の電子データから認証コードを生成するプログラムの少なくとも一部をカプセル化したオブジェクトとして前記ROM領域に備える。サーバは、ソフトウェア手段、上記オブジェクト、および一時秘密鍵を読み出す手段と、読み出したソフトウェア手段、前記オブジェクト、および一時秘密鍵を用いて、電子データの認証コードを生成する認証コード生成オブジェクトと、電子データに秘密鍵による符号化を行って電子署名を生成する電子署名生成手段と、電子データ、生成した認証コードおよび生成した電子書名を保管する保管手段とを備える。 The present invention has been made to solve the above problems, and the invention according to claim 1 is an electronic data storage system that guarantees the evidence of electronic data with an authentication code and an electronic signature. An electronic data storage system according to the present invention includes at least one server that can exchange electronic data with an external client and is electrically and mechanically coupled to an external device, a ROM area, a RAM area, and a CPU. And an external device connected to the server via an interface, and read-only storage means in which a secret key is burned into a storage area that cannot be rewritten by the manufacturer at the time of manufacture and access is restricted. External device, comprising software means for generating a temporary private key based on the secret key copied from a read-only memory means (algorithm) in the ROM region, the CPU based on the previous SL software means further has caused the random number generating only a temporary secret key number of the last of the one o'clock secret key generated is stored in the RAM area, and encapsulates at least part of the program that generates the authentication code from the one o'clock secret key and a given electronic data The ROM area is prepared as an object. Server, software means, and means for reading the object, and the temporary private key, the read software means, and authentication code generation object said object, and a temporary by using the secret key to generate an authentication code electronic data, electronic An electronic signature generation unit that generates an electronic signature by encoding data with a secret key , and a storage unit that stores the electronic data , the generated authentication code, and the generated electronic book name .

読み出し専用記憶手段は、サーバの管理者およびクライアントの双方と利害関係のない第3者が保管することが好ましい。
サーバは、認証コード生成オブジェクトを用いて、保管手段に保管されている電子データの認証コードの照合を行う照合オブジェクトをさらに備えてもよい。 The read-only storage means is preferably stored by a third party who has no interest in both the server administrator and the client.
The server may further include a verification object that performs verification of an authentication code of electronic data stored in the storage unit using the authentication code generation object.

サーバは、アクセス制限を規定するポリシーレコードからなるポリシーテーブルを備え、ポリシーテーブルに基づきオブジェクトへのアクセス制限を行う手段を備えてもよい。
認証コード生成オブジェクトは、起動されるたびにログを排出し、サーバは、ログを所定の記憶域に格納する手段を備えることが好ましい。 The server may include a policy table including policy records that define access restrictions, and may include means for restricting access to objects based on the policy tables.
The authentication code generation object discharges the log each time it is activated, and the server preferably includes means for storing the log in a predetermined storage area.

サーバは一時間帯の指定とともに所定のコマンドを受け取ると一時間帯に採取されたログのうち、ポリシーテーブルの何れかのポリシーレコードと条件が一致するログを消去する手段をさらに備えることが好ましい。 Any log server taken in time zone when receiving a predetermined command with the specified time zone, it is preferable to further comprising means for erasing the log any policy records and conditions policy table matches.

サーバは一時間帯に採取されたログのうち、消去されずに残ったログに対して、視覚的警報、聴覚的警報、または両方の警報を出力する手段をさらに備えることが好ましい。 Any log server taken in time zone, with respect to the remaining logs without being erased, visual alarm, it is preferable to further comprising means for outputting an audible alarm, or both alarms.

本発明の一実施形態によれば、当該電子データ保管システムは、複数のサーバと複数のサーバに共有された二次記憶装置を備え、二次記憶装置が、全サーバの電子データを保管する電子データ保管領域を持つことにより、複数の各サーバは保管手段を持たない。   According to one embodiment of the present invention, the electronic data storage system includes a plurality of servers and a secondary storage device shared by the plurality of servers, and the secondary storage device stores electronic data of all servers. By having a data storage area, each of the plurality of servers has no storage means.

本発明の他の実施形態によれば、サーバは、第2の外部装置を備え、第1の外部装置の秘密鍵と異なる第2の秘密鍵をRAM領域に格納し、認証コード生成オブジェクトは、第1の外部装置から読み出したソフトウェア手段、上記オブジェクト、および一時秘密鍵に加えて、第2の外部記憶装置から読み出した第2のソフトウェア手段、第2のオブジェクト、および第2の一時秘密鍵を用いて、電子データの認証コードを生成する。 According to another embodiment of the present invention, the server includes a second external device, stores a second secret key different from the secret key of the first external device in the RAM area, and the authentication code generation object includes: software means read from the first external device, the object, and the temporary addition to the secret key, a second software means read out from the second external storage device, the second object, and the second temporary private key using generates an authentication code of electronic data.

本発明の別の実施形態によれば、サーバは、電子データの認証コード生成の前に、電子データを複数の分割データに分割する分割手段を備え、認証コード生成オブジェクトは、分割データ毎に1つずつ認証コードを生成する。   According to another embodiment of the present invention, the server includes a dividing unit that divides the electronic data into a plurality of divided data before generating the authentication code of the electronic data, and the authentication code generating object is 1 for each divided data. Generate authentication codes one by one.

本発明のさらに別の実施形態によれば、分割手段は、電子データを複数の可変長分割データに分割し、保管手段が、可変長分割データ毎に認証コードと当該可変長分割データの長さを表す情報とともに保管する手段を含む。   According to still another embodiment of the present invention, the dividing unit divides the electronic data into a plurality of variable length divided data, and the storage unit stores the authentication code and the length of the variable length divided data for each variable length divided data. Means for storing with information representing

電子データを管理するサーバ側で認証コードと電子署名の生成を行なうことにより大量のデータを高速にMAC付きデジタル署名することが可能となる。
電子データをクライアントと電子データ保管サーバとの間で相互認証したのち、暗号化して伝送し、かつデータ保管サーバ側で認証コード生成処理および署名生成処理を少なくとも重要な部分は外部機器に保存され読み出した認証コード生成オブジェクトにより集中して行うことで、高速かつ大量のデータ処理をMAC付きデジタル署名の方式で可能となる。 By generating an authentication code and an electronic signature on the server side managing the electronic data, a large amount of data can be digitally signed with a MAC at high speed.
After mutual authentication of electronic data between the client and the electronic data storage server, the data is encrypted and transmitted, and at least the important parts of the authentication code generation process and signature generation process on the data storage server side are stored in an external device and read out By performing the authentication code generation object in a concentrated manner, high-speed and large-volume data processing can be performed by the digital signature scheme with MAC.

また、認証コード生成アルゴリズムの少なくとも一部と認証コード秘密鍵とは、以降書き込みできない領域に製造時に書き込みされるので、改竄ができず、かつ認証コード秘密鍵から認証コード一時秘密鍵を生成する外部機器は、サーバと分離でき、安全な場所に保管することができるので、サーバや外部機器での盗難や改竄、破壊などの不正から防御することができる。   In addition, since at least a part of the authentication code generation algorithm and the authentication code private key are written to an area that cannot be written thereafter at the time of manufacturing, they cannot be tampered with, and an external code that generates an authentication code temporary private key from the authentication code private key Since the device can be separated from the server and stored in a safe place, it can be protected from fraud such as theft, falsification, and destruction of the server and external devices.

外部機器の認証コード一時秘密鍵は乱数により一時的に生成され以前の一時秘密鍵は消去されることにより認証コード秘密鍵の安全性が保たれる。
また、認証コード秘密鍵と認証コード生成アルゴリズムの外部機器は別々の相互認証およびP I Nでアクセス制御され、またROMが物理的に盗難防止および盗難検知が可能であり、且つサーバの認証コード生成処理が乱数による一時秘密鍵やアクセス権処理で保護されている。 The authentication code temporary secret key of the external device is temporarily generated by a random number, and the previous temporary secret key is deleted, so that the security of the authentication code secret key is maintained.
The external device of the authentication code private key and the authentication code generation algorithm is controlled by separate mutual authentication and PIN, the ROM can physically prevent theft and detect theft, and the server's authentication code generation process It is protected by a temporary secret key using random numbers and access right processing.

また、サーバの認証コード生成処理オブジェクトのアルゴリズムは高速に処理可能なものを採用している。また、サーバの認証コード生成処理オブジェクトはアスセス制御により不正なアクセスに対しカプセル化することで防御されており、アクセス制限ログフィルタ処理などにより異常アクセスの検知が可能である。さらに、管理者権限のなりすましによる不正アクセスもログ処理により監査を含め検知可能である。   In addition, the algorithm of the authentication code generation processing object of the server is adopted that can be processed at high speed. Further, the authentication code generation processing object of the server is protected by encapsulating unauthorized access by access control, and abnormal access can be detected by access restriction log filter processing or the like. Furthermore, unauthorized access due to spoofing of administrator privileges can be detected including auditing by log processing.

また、電子署名の改竄も認証コード照合処理により調停者により検証が可能である。
したがって本発明の目的である、高速かつ大量の電子データを処理するクライアントを複数接続した環境でも高速かつ安全に電子署名と認証コードの処理を行うことが可能となる。 In addition, tampering with an electronic signature can be verified by an arbitrator using an authentication code verification process.
Therefore, it is possible to process the electronic signature and the authentication code at high speed and safely even in an environment in which a plurality of clients that process high-speed and large amount of electronic data, which is the object of the present invention, are connected.

以下、本発明の実施形態と添付図面とにより本発明を詳細に説明する。なお、複数の図面に同じ要素を示す場合には同一の参照符号を付ける。
〔第1の実施形態〕
図1は,本発明の第1の実施形態による電子データ保管システムの構成を示す略ブロック図である。図1において,本発明の電子データ保管システム1は、インターネットなどのネットワークに接続された電子データ保管サーバ10、サーバ10の操作者がサーバ10を操作するための入出力装置20、サーバ10に電気的かつ機械的に接続・固定された外部機器30;ネットワークを介してサーバ10と通信可能な複数または多数のクライアント920からなる。外部機器30は、ワイヤのような機械的結合手段32と錠34とによりサーバ10に確実に固定されている。入出力装置20は、表示装置、キーボード、ポインティングディバイスなどからなる。なお、この電子データ保管サーバ10を操作するのは、このサーバ10を運用する団体に属しサーバ10を管理する管理者、好ましくはサーバ10を運用する団体に属さずサーバ10の運用の監査を行う監査者、および上記団体ともクライアント920の利用者とも利害関係のない調停者の何れかに限ることが好ましい。 Hereinafter, the present invention will be described in detail with reference to embodiments of the present invention and the accompanying drawings. In addition, when showing the same element in several drawing, the same referential mark is attached | subjected.
[First Embodiment]
FIG. 1 is a schematic block diagram showing the configuration of an electronic data storage system according to the first embodiment of the present invention. In FIG. 1, an electronic data storage system 1 according to the present invention includes an electronic data storage server 10 connected to a network such as the Internet, an input / output device 20 for an operator of the server 10 to operate the server 10, and an electrical connection to the server 10. An external device 30 that is connected and fixed mechanically and mechanically; and includes a plurality or a plurality of clients 920 that can communicate with the server 10 via a network. The external device 30 is securely fixed to the server 10 by mechanical coupling means 32 such as a wire and a lock 34. The input / output device 20 includes a display device, a keyboard, a pointing device, and the like. The electronic data storage server 10 is operated by an administrator who belongs to the organization that operates the server 10 and manages the server 10, and preferably audits the operation of the server 10 that does not belong to the organization that operates the server 10. It is preferable to limit the auditor and any of the above organizations or the mediator who has no interest in the user of the client 920.

図1のシステム1は、サーバ10を原本性保証サーバ、クライアントを文書管理サーバとして、文書の長期保存原本性保証システムとすることができる。また、図1のシステム1は、サーバ10を原本性保証サーバ、クライアント920を電子申請サーバとして、電子申請データの長期に亘るデータ証拠性保証システムとすることができる。さらに、図1のシステム1は、 サーバ10をデータ保存サーバ、 クライアントをデータ収集サーバとして、トレーサビリティデータを長期に亘って保証するデータ証拠性保証システムとすることができる。 The system 1 in FIG. 1 can be a document long-term storage originality assurance system in which the server 10 is an originality assurance server and the client is a document management server. Further, the system 1 in FIG. 1 can be a long-term data evidence guarantee system for electronic application data, with the server 10 as the originality guarantee server and the client 920 as the electronic application server. Furthermore, the system 1 of FIG. 1 can be a data evidence guarantee system that guarantees traceability data over a long period of time by using the server 10 as a data storage server and the client as a data collection server.

外部機器30は、CPU(中央処理装置)60、RAM(random access memory)62,ROM(read only memory)64、サーバ10とのデータ授受のためのインターフェース(IF)66を備える。外部機器30としては、例えばICカード、USBキーなどが利用可能である。ここでは、ICカードを使用するものとして説明する。また、ICカード30のROM64には,製造業者において、認証コード生成用のハッシュ関数演算プログラム(hで表す)70と、認証コード生成オブジェクト(fで表す)72が予め記録されるものとする。この形式としてたとえばJava(登録商標)のオブジェクト中間ファイル形式で格納する。   The external device 30 includes a CPU (central processing unit) 60, a RAM (random access memory) 62, a ROM (read only memory) 64, and an interface (IF) 66 for exchanging data with the server 10. For example, an IC card or a USB key can be used as the external device 30. Here, description will be made assuming that an IC card is used. In addition, it is assumed that the manufacturer stores a hash function calculation program (represented by h) 70 for generating an authentication code and an authentication code generation object (represented by f) 72 in advance in the ROM 64 of the IC card 30. This format is stored in, for example, a Java (registered trademark) object intermediate file format.

なお、ROM64には、認証コード生成に必要なプログラムの全体が記憶されている必要はなく,外部に漏れては不都合な重要な部分のみをカプセル化したオブジェクト72として記録し,残りの部分は,サーバ10側に別途カプセル化したオブジェクトとして格納してもよい。   The ROM 64 does not need to store the entire program necessary for generating the authentication code, but records only an important part that is inconvenient if leaked to the outside as an object 72, and the remaining part is It may be stored as an object encapsulated separately on the server 10 side.

ROM40には、製造業者において認証コード生成用の秘密鍵K0が記録され、上記の外部機器30即ちICカード接続することにより、認証コード秘密鍵K0をICカード30にコピーできるようになっている。 The ROM 40, is recorded secret key K0 for the authentication code generated at the manufacturer, by connecting to the external device 30 i.e. IC card, and to be able to copy the authorization code secret key K0 in the IC card 30 .

外部機器30ではm回乱数を発生し、認証コード秘密鍵K0のm回ハッシュ計算を行い(Km=hm(K0)、hはハッシュ関数)、結果のハッシュ値Kmとmを書き換え可能領域に保存し、認証コード秘密鍵K0を消去する。外部機器すなわちICカード30は外部から一時秘密鍵がアクセスされる毎に外部装置30では乱数をp発生し、認証コード秘密鍵Kmのハッシュ計算を乱数の数値分p回を行い、得たハッシュ値(Kp=hp(Km))を書きえ可能領域62に保存し、認証コード一時密鍵Kmを消去する。この時、外部機器30で発生させる乱数の回数については、その値が大きくなりすぎると性能に影響がでる可能性がある。このような場合、乱数の発生回数に上限値を設けることで対応してもよい。 The external device 30 in m times the random number generated, performs m times hash computation of the authentication code secret key K0 (Km = h m (K0 ), h hash function), the rewritable area hash value Km and m results Save and erase the authentication code private key K0. The external device, that is, the IC card 30 generates a random number p times every time the temporary secret key is accessed from the outside, and performs the hash calculation of the authentication code secret key Km p times the numerical value of the random number. The value (Kp = h p (Km)) is stored in the writable area 62, and the authentication code temporary secret key Km is deleted. At this time, with regard to the number of random numbers generated by the external device 30, if the value becomes too large, the performance may be affected. In such a case, an upper limit may be provided for the number of random numbers generated .

一方,電子データ保管サーバ10は、通常のサーバと同様、CPU11、ROM12、RAM13、ネットワークを介してクライアント920と通信を行うための通信インターフェース14、入出力装置20へのインターフェース16、外部装置,即ちICカードを接続するための外部機器インターフェース15、およびハードディスクなどの大容量記憶装置17を備える。ハードディスク17には、次のプログラムおよびデータが保存される。即ち,
・クライアント920から保管を依頼された電子データの保管処理を行うデータ保存プログラム90
・電子データが保管される保管データ記憶部80
・保管データ記憶部80に保管されている電子データに対してクライアント920から取り出し要求があった場合にその電子データを要求中のクライアント920に送るデータ読出しプログラム92
・外部機器30のROM64に認証コード生成プログラムの一部のみを記録している場合の残りのプログラムをカプセル化した認証コード生成オブジェクト75
・何らかの保管データに電子署名の偽造の疑いがある場合にその保管データの認証コードと正規の認証コードとの照合を行う認証コード照合オブジェクト96
・アクセスが制限されたプログラムへのアクセス制限を行うアクセス制限プログラム94
・アクセス制限処理の際に参照されるポリシーテーブル82
・各種オブジェクトを起動するたびに記録されるログを格納するログテーブル84
・不正アクセスによる異常なログをチェックするログフィルタ98
なお、サーバ10と外部機器30との間の通信、およびサーバ10とクライアント920との間の通信は、何れも図6のような相互認証(ECOM ICカード利用ガイドライン1.0版(1008年3月1日))を行った上で行うことにより、不正な利用に対抗している。 On the other hand, the electronic data storage server 10 is similar to a normal server, the CPU 11, ROM 12, RAM 13, communication interface 14 for communicating with the client 920 via the network, interface 16 to the input / output device 20, external devices, An external device interface 15 for connecting an IC card and a mass storage device 17 such as a hard disk are provided. The hard disk 17 stores the following programs and data. That is,
A data storage program 90 for storing electronic data requested to be stored by the client 920
A stored data storage unit 80 for storing electronic data
A data reading program 92 for sending electronic data to the requesting client 920 when there is a retrieval request from the client 920 for the electronic data stored in the stored data storage unit 80
An authentication code generation object 75 encapsulating the remaining program when only a part of the authentication code generation program is recorded in the ROM 64 of the external device 30
An authentication code verification object 96 that verifies the authentication code of the stored data with the normal authentication code when there is a suspicion of forgery of the electronic signature in some stored data
Access restriction program 94 that restricts access to programs with restricted access
Policy table 82 that is referred to during access restriction processing
A log table 84 that stores a log recorded each time various objects are activated.
-Log filter 98 for checking abnormal logs due to unauthorized access
Note that the communication between the server 10 and the external device 30 and the communication between the server 10 and the client 920 are both performed by mutual authentication (ECOM IC card usage guideline 1.0 version (1008 3 1))) to prevent unauthorized use.

また、サーバ10からはPIN(個人識別番号)を外部機器30に与えて認証をする。外部機器30は、誤ったPINを連続して受け取ると、処理を停止するなどの安全性を高める機能を持つことが好ましい。サーバ10とクライアント920は相互認証を行い、データを暗号化して送ることにより安全性を確保する。   Further, the server 10 gives a PIN (personal identification number) to the external device 30 for authentication. It is preferable that the external device 30 has a function of improving safety, such as stopping the processing when erroneous PINs are continuously received. The server 10 and the client 920 perform mutual authentication and ensure safety by encrypting and sending data.

以上のような構成を有する電子データ保管システム1の運用および動作を説明する。
図5は、本発明の原理による運用開始までの手順を示すフローチャートである。図5において、ROM40の製造業者は、ステップ100において、先ず認証コード秘密鍵K0を生成し、ステップ102において、認証コード秘密鍵K0をROM40に焼き付ける。サーバ10導入にあたり入手したROM40は、監査者または調停者が安全な場所に保管することが好ましい。次に、ステップ104にいて、製造業者、調停者または監査者がROM40の認証コード秘密鍵K0を外部機器30のRAM62にコピーする。 The operation and operation of the electronic data storage system 1 having the above configuration will be described.
FIG. 5 is a flowchart showing the procedure up to the start of operation according to the principle of the present invention. In FIG. 5, the manufacturer of the ROM 40 first generates an authentication code private key K0 in step 100, and in step 102 burns the authentication code private key K0 into the ROM 40. The ROM 40 obtained upon installation of the server 10 is preferably stored in a safe place by an auditor or a mediator. Next, we have you to step 104, the manufacturer, mediator or auditors copy the authentication code secret key K0 in ROM40 to RAM62 of the external device 30.

製造業者、調停者または監査者は、ステップ106において、外部機器30内でm回乱数を発生させ、この乱数の発生回数mとROM64に格納されているハッシュ関数演算プログラムを用いて認証コード秘密鍵K0のm回ハッシュ演算を行い、ステップ108において、ICカード30をサーバ10に接続し,固定する。この場合,ケーブルなどで固定し鍵をかけることが望ましい。これで、管理者がサーバ10を運用することが可能となる(ステップ110)。 In step 106, the manufacturer, mediator, or auditor generates a random number m times in the external device 30, and uses the random number generation number m and the hash function calculation program stored in the ROM 64 to authenticate the authentication code private key. K0 is calculated m times, and in step 108, the IC card 30 is connected to the server 10 and fixed. In this case, it is desirable to fix it with a cable and lock it. As a result, the administrator can operate the server 10 (step 110).

通常の運用では,クライアントの要求に応じてクライアントからの電子データをサーバ10に保管するデータ保存処理90、クライアントの要求に応じて、サーバ10に保管していたデータをクライアントに送るデータ読出しが行われる。
<データ保存>
クライアント920側でデータ保管サーバ10に保管すべきデータが発生した場合、クライアント920は、このデータをコンピュータ読み取り可能な形式にして暗号化したものを電子データとして、保管または登録要求とともにネットワークを介してデータ保管サーバ10に送る。この場合、先ずクライアント920の操作者は、自分のPIN(個人識別番号)をデータ保管サーバ10に送り、データ保管サーバ10では、そのクライアント920の使用を許された人員のPINリスト(図示せず)に、受信したPINがある場合のみ、そのクライアント920に以降の操作を許す。また、電子データの通信に先立ち、クライアント920とデータ保管サーバ10との間では、上記のように図6に示した相互認証を行う。 In normal operation, a data storage process 90 for storing electronic data from the client in the server 10 in response to a client request, and data reading to send the data stored in the server 10 to the client in response to a client request are performed. Is called.
<Data storage>
When data to be stored in the data storage server 10 is generated on the client 920 side, the client 920 encrypts the data in a computer-readable format as electronic data, and stores it via a network together with a storage or registration request. The data is sent to the data storage server 10. In this case, first, the operator of the client 920 sends his / her PIN (personal identification number) to the data storage server 10, and the data storage server 10 has a PIN list (not shown) of personnel permitted to use the client 920. ), The client 920 is allowed to perform subsequent operations only when the received PIN exists. Prior to electronic data communication, the mutual authentication shown in FIG. 6 is performed between the client 920 and the data storage server 10 as described above.

データ保管サーバ10は、クライアント920から電子データ(Xとする)の保管または登録要求を受け取ると、後述の認証コード生成処理を行う。この認証コード生成処理を行うプログラムは、例えばJava(登録商標)のSecurity Manager機能などにより特定の利用者およびオブジェクトからのみアクセスを可能とするアクセス制限機能とログデータ排出機能とを兼ね備えたオブジェクト、即ちカプセル化されたプログラムである。また、この認証コード生成オブジェクトは、その全部を外部装置30のROM64に外部装置30製造時に認証コード生成オブジェクト(OBJ)72として焼き付けてもよいし、その重要な部分のみをROM64に外部装置30製造時にAC生成オブジェクト(OBJ)72として焼き付け、残りの部分をデータ保管サーバ10の補助記憶にAC生成OBJ75として格納してもよい。勿論、データ保管サーバ10の補助記憶上のAC生成OBJ75も管理者権限以外はアクセスできないように保護される。このようにすることにより、認証コード生成処理を行うオブジェクトの盗難を防ぐことができる。   When the data storage server 10 receives a storage or registration request for electronic data (X) from the client 920, the data storage server 10 performs an authentication code generation process described later. A program for performing the authentication code generation processing is an object having both an access restriction function and a log data discharge function that can be accessed only by a specific user and an object by, for example, a Java (registered trademark) Security Manager function. It is an encapsulated program. Further, all of the authentication code generation object may be burned as an authentication code generation object (OBJ) 72 in the ROM 64 of the external device 30 when the external device 30 is manufactured, or only an important part of the authentication code generation object is manufactured in the ROM 64. Occasionally, an AC generation object (OBJ) 72 may be burned, and the remaining part may be stored in the auxiliary storage of the data storage server 10 as an AC generation OBJ75. Of course, the AC generation OBJ75 on the auxiliary storage of the data archiving server 10 is also protected so that only the administrator authority can access it. By doing so, it is possible to prevent the object to be subjected to the authentication code generation process from being stolen.

データ保管サーバ10は、認証コード生成処理を行い、認証コードを生成した後、電子データXに電子署名を行い、電子データX、認証コードおよび電子署名を一組にして保管データ記録部80に保管する。   The data storage server 10 performs an authentication code generation process, generates an authentication code, and then performs an electronic signature on the electronic data X, and stores the electronic data X, the authentication code, and the electronic signature as a set in the storage data recording unit 80. To do.

図7は、本発明の一実施形態により認証コード生成オブジェクト72(または72と75の組み合わせ)の制御下でCPU11が認証コードを生成する動作を示すフローチャートである。図7において、先ず、データ保存プログラム90が、ステップ120において、外部装置30のROM64からハッシュ関数h値演算オブジェクト70と認証コード生成fオブジェクト72をRAM13に読み込む。ROM64にアクセスする場合は、図6の相互認証およびPINによるアクセス制御を行う。認証コード生成fオブジェクト72は、例えばJava(登録商標)オブジェクトの中間ファイル形式でROM64に格納されていて、データ保存プログラム90が読み込んでクラスの動的追加により主記憶13に直接書き込んで、操作することができる。   FIG. 7 is a flowchart illustrating an operation in which the CPU 11 generates an authentication code under the control of the authentication code generation object 72 (or a combination of 72 and 75) according to an embodiment of the present invention. In FIG. 7, first, in step 120, the data storage program 90 reads the hash function h value calculation object 70 and the authentication code generation f object 72 from the ROM 64 of the external device 30 into the RAM 13. When the ROM 64 is accessed, the mutual authentication shown in FIG. 6 and access control by PIN are performed. The authentication code generation f object 72 is stored in the ROM 64 in, for example, an intermediate file format of a Java (registered trademark) object, and is read by the data storage program 90 and directly written in the main memory 13 by dynamic addition of classes. be able to.

次に、プログラム90は、ステップ122において、外部装置30のRAM62から認証コード生成一時秘密鍵Kmとmを読み込む。外部装置30の書換え可能領域62にアクセスする場合も、図6の相互認証およびPINによるアクセス制御が行われる。ステップ124において、受信した電子データファイルを取り込み、n回乱数を発生させ、認証コード生成一時秘密鍵Kmのn回ハッシュ演算hn(Km)(=hm+n(K0))を行い、Kmのn回ハッシュ演算値(仮に、Kmnと表す)を求め、これを秘密鍵とする。Kmは、Kmnの生成後、消去する。 Next, in step 122, the program 90 reads the authentication code generation temporary secret keys Km and m from the RAM 62 of the external device 30. When accessing the rewritable area 62 of the external device 30, mutual authentication and access control by PIN shown in FIG. 6 are performed. In step 124, the received electronic data file is fetched, a random number is generated n times , an authentication code generation temporary secret key Km is subjected to hash operation hn (Km) (= hm + n (K0)), and Km is hashed n times. An operation value (temporarily expressed as Kmn) is obtained and used as a secret key. Km is erased after Kmn is generated.

なお、ハッシュ演算オブジェクトは、外部装置30のオブジェクトhとは別のオブジェクトをデータ保管サーバ10側に設けてもよい。このようにすることにより、システムの実装が容易になり、かつデータ保管サーバ10の負荷が軽減し性能向上につながる。また、乱数の発生回数に、上限を設けてもよい。 As the hash calculation object, an object different from the object h of the external device 30 may be provided on the data storage server 10 side. By doing so, the system can be easily mounted, the load on the data storage server 10 is reduced, and the performance is improved. In addition, an upper limit may be set for the number of random numbers generated .

次に、プログラム90は、ステップ126において、制御を読み出した認証コード生成fオブジェクトに渡して、メッセージ認証コード演算値MAC(X)=f(X、Kmn)を求める。メッセージ認証コードを生成後、Kmn′=h(Kmn)の演算を行い、Kmnを消去することで秘密かぎを保護する。このメッセージ認証コードの生成には、周知のHMACまたはUMACなどのアルゴリズムを用いることができる。ステップ128において、電子データXと取得した認証コードを署名生成オブジェクト(図示せず)に渡す。この認証コードには、メッセージ認証コード演算値MAC(X)およびハッシュ回数m、nを含む。さらに、データ保管システムが、図12に示すように複数のデータ保管サーバ10によるクラスタ構造を有する場合、認証コードには、認証コード生成fオブジェクト72の識別コードまたは番号(ID)、および認証コード生成秘密鍵Kmnの識別コードまたは番号(ID)がさらに含まれる。なお、秘密情報の盗難や漏洩の防止のため、ハッシュ回数mおよびnを暗号化して保存することも可能である。   Next, in step 126, the program 90 passes the control to the read authentication code generation f object, and obtains the message authentication code calculation value MAC (X) = f (X, Kmn). After generating the message authentication code, the calculation of Kmn ′ = h (Kmn) is performed, and the secret key is protected by deleting Kmn. A known algorithm such as HMAC or UMAC can be used to generate the message authentication code. In step 128, the electronic data X and the acquired authentication code are passed to a signature generation object (not shown). This authentication code includes a message authentication code calculation value MAC (X) and the number of hashes m and n. Furthermore, when the data storage system has a cluster structure with a plurality of data storage servers 10 as shown in FIG. 12, the authentication code includes an identification code or number (ID) of the authentication code generation f object 72, and an authentication code generation. An identification code or number (ID) of the secret key Kmn is further included. It should be noted that the hash times m and n can be encrypted and stored in order to prevent theft or leakage of secret information.

データ保存プログラム90は、ステップ130において、管理者から処理終了指示を受信したか否かを判断する。受信するまで、上記のステップ124〜128を繰り返す。管理者から処理終了指示を受信した場合、ステップ132において、読み込んだ認証コード生成fオブジェクト72と認証コード生成一時秘密鍵Kmn′を消去する。最後に、データ保存プログラム90は、電子データ(X)ファイル、上記の認証コード(即ち、メッセージ認証コードMAC(X)、ハッシュ回数mおよびn、認証コード生成fオブジェクト72のID、ならびに認証コード生成秘密鍵KmnのIDのセット)およびステップ128で生成した電子署名を図2に示すように保管データ記録部80に保管する。   In step 130, the data storage program 90 determines whether or not a processing end instruction has been received from the administrator. The above steps 124 to 128 are repeated until reception. When the process end instruction is received from the administrator, in step 132, the read authentication code generation f object 72 and authentication code generation temporary secret key Kmn ′ are deleted. Finally, the data storage program 90 includes the electronic data (X) file, the above-described authentication code (that is, the message authentication code MAC (X), the hash times m and n, the ID of the authentication code generation f object 72, and the authentication code generation. The secret key Kmn ID set) and the electronic signature generated in step 128 are stored in the storage data recording unit 80 as shown in FIG.

図2において、ファイルは、クライアント920から送られた保管対象の電子データファイルである。認証コードは、上記の認証コードである。電子署名は、電子データXに対して秘密鍵を用いて生成された電子署名である。   In FIG. 2, the file is an electronic data file to be stored sent from the client 920. The authentication code is the authentication code described above. The electronic signature is an electronic signature generated for the electronic data X using a secret key.

なお、電子署名の方式および秘密鍵は、危殆化の防止や安全性を確保するため随時変更してもよい。
<データ読み出し>
クライアント920が、保管データ記録部80に保管されている電子データを必要とする場合、必要な電子データを識別できる情報(電子データ識別情報)とともに電子データ読み出し要求をネットワークを介してデータ保管サーバ10に送る。勿論、この場合も、クライアント920は、図6の相互認証およびPINによるアクセス制限を受ける。 The electronic signature method and the private key may be changed at any time in order to prevent compromise and ensure safety.
<Read data>
When the client 920 needs electronic data stored in the storage data recording unit 80, the data storage server 10 sends an electronic data read request via the network together with information (electronic data identification information) that can identify the necessary electronic data. Send to. Of course, in this case as well, the client 920 is subject to the mutual authentication and PIN access restriction of FIG.

データ保管サーバ10では、この電子データ読み出し要求と電子データ識別情報を受け取ると、データ読み出しプログラム92が、保管データ記録部80から電子データ識別情報で特定される電子データの記録を取りだし、取り出した電子データが改竄されていないか否かを、署名の公開鍵で電子署名を復号化して、データのダイジェストとの一致を検証する。一致し、署名検証が成功裏に終わった場合、データ読み出しプログラム92は、読み出した電子データをネットワーク経由で要求元のクライアント920に送る。一致せず、署名検証に失敗した場合、データ読み出しプログラム92は、その旨をネットワーク経由でクライアント920に通知するとともに、視覚的警報、聴覚的警報、またはこれらの両方を発して、管理者にも知らせる。
<認証コード照合>
管理者、クライアント920の操作者、またはクライアント920を通してサービスを受けた利用者の何れかが、何らかの保管データ(Xとする)の電子署名に偽造の疑いがあると判断した場合、調停者に疑いのある保管データXの認証コード照合を依頼することができる。図8は、本発明の第1の実施形態による認証コード照合の手順を示すフローチャートである。図8において、認証コード照合を行う場合、まず、管理者が、ステップ140において、調停者の指定した電子データXの認証コード(即ち、メッセージ認証コードMAC(X)、ハッシュ回数m,n、認証コード生成オブジェクトID、および認証コード生成秘密鍵ID)を調停者に渡す。 When the data storage server 10 receives the electronic data read request and the electronic data identification information, the data read program 92 takes out the record of the electronic data specified by the electronic data identification information from the storage data recording unit 80 and extracts the extracted electronic data. Whether or not the data has been tampered with is verified by decrypting the electronic signature with the signature public key and verifying the match with the data digest. If they match and the signature verification is successful, the data reading program 92 sends the read electronic data to the requesting client 920 via the network. If they do not match and the signature verification fails, the data reading program 92 notifies the client 920 to that effect via the network and also issues a visual alarm, an audible alarm, or both, to the administrator. Inform.
<Authentication code verification>
If any one of the administrator, the operator of the client 920, or the user who received the service through the client 920 determines that the electronic signature of some stored data (X) is suspected of being counterfeited, the arbitrator is suspected. It is possible to request verification of verification code of stored data X having a certain number. FIG. 8 is a flowchart showing the authentication code verification procedure according to the first embodiment of the present invention. In FIG. 8, when the authentication code is collated, first, in step 140, the administrator authenticates the electronic data X designated by the mediator (that is, the message authentication code MAC (X), the number of hashes m and n, the authentication number). Code generation object ID and authentication code generation private key ID) are passed to the mediator.

次に、調停者は、ステップ142において、保管していたROM40の認証コード生成秘密鍵K0を外部装置30のRAM62にコピーする。この時、証拠性保証型の電子データ保管システムが図12のように複数のデータ保管サーバ10によるクラスタ構造を有する場合、認証コード生成オブジェクトIDおよび認証コード生成秘密鍵IDが電子データXと一致する外部装置30のRAM62にコピーする必要がある。そして、調停者は、ステップ144において、秘密鍵K0をコピーした外部装置30のデータ保管サーバ10にて、認証コード照合オブジェクト96を起動する。   Next, in step 142, the mediator copies the stored authentication code generation secret key K 0 of the ROM 40 to the RAM 62 of the external device 30. At this time, when the evidence-proof electronic data storage system has a cluster structure with a plurality of data storage servers 10 as shown in FIG. 12, the authentication code generation object ID and the authentication code generation private key ID match the electronic data X. It is necessary to copy to the RAM 62 of the external device 30. In step 144, the mediator activates the authentication code verification object 96 in the data storage server 10 of the external device 30 that has copied the secret key K0.

これに応じて、認証コード照合オブジェクト96は、先ず、ステップ146において、監査者にPINを入力させ、ステップ148において、入力されたPINが許されるか否かを判断する。このようにすることにより、PINの漏洩を防ぐことが可能となる。ステップ148においてPINが許される場合のみ、次のステップ120に進み、ステップ120から126において、図7で説明したように認証コード生成を行う。次に、認証コード照合オブジェクト96は、ステップ148において、ステップ140で調停者から渡された照合コードとステップ126で算出した照合コードが一致するか否か判断する。一致する場合、ステップ150において、電子データXの電子署名は正真であると判断し、ステップ148で一致しない場合、ステップ152において、電子データXの電子署名は偽造であると判断する。   In response to this, the authentication code verification object 96 first causes the auditor to input a PIN in step 146 and determines in step 148 whether the input PIN is permitted. By doing so, it is possible to prevent leakage of the PIN. Only when the PIN is permitted in step 148, the process proceeds to the next step 120. In steps 120 to 126, an authentication code is generated as described in FIG. Next, in step 148, the authentication code verification object 96 determines whether or not the verification code passed from the mediator in step 140 matches the verification code calculated in step 126. If they match, it is determined in step 150 that the electronic signature of the electronic data X is authentic, and if they do not match in step 148, it is determined in step 152 that the electronic signature of the electronic data X is counterfeit.

このようにして、電子署名の正真性を確かめることができる。
<アクセス権処理>
図3は、図1のポリシーテーブル記録部82に記録されているポリシーテーブルの構成例とデータ例を示す図である。図3に示すように、図1のポリシーテーブル82は、対象ポリシーとアクセスポリシー兼フィルタポリシーから構成される。対象ポリシーは、その構成例820に示すように、対象オブジェクト、許可アクセスID、許可アクセス元、許可アクセス先からなる。アクセス処理の対象、および後述のログ処理、ログフィルタ処理の対象となる項目を識別するために設ける。対象オブジェクトは、アクセスポリシーおよびフィルタポリシーの対象となるオブジェクト名を格納する。許可アクセスIDは、アクセスポリシーおよびフィルタポリシーの対象となるアクセスを許可する者のIDを格納する。許可アクセス元は、アクセスポリシーおよびフィルタポリシーの対象となるアクセス元のオブジェクト名を格納する。許可アクセス先は、アクセスポリシーおよびフィルタポリシーの対象となるアクセス先のオブジェクト名を格納する。対象ポリシーのデータ例を要素番号822に示す。 In this way, the authenticity of the electronic signature can be confirmed.
<Access right processing>
FIG. 3 is a diagram illustrating a configuration example and data example of the policy table recorded in the policy table recording unit 82 of FIG. As shown in FIG. 3, the policy table 82 of FIG. 1 is composed of a target policy and an access policy / filter policy. As shown in the configuration example 820, the target policy includes a target object, a permitted access ID, a permitted access source, and a permitted access destination. It is provided to identify the target of the access process and the items to be the target of the log process and log filter process described later. The target object stores the object name that is the target of the access policy and filter policy. The permitted access ID stores the ID of the person who permits the access that is the target of the access policy and the filter policy. The permitted access source stores the object name of the access source that is the target of the access policy and the filter policy. The permitted access destination stores the object name of the access destination that is the target of the access policy and the filter policy. An example of data of the target policy is indicated by element number 822.

アクセスポリシー兼フィルタポリシーは、その構成例830に示すように時間帯、対象オブジェクト名、許可アクセスID、許可アクセス元、許可アクセス先から構成される。これらのデータがセットとなって、後述のアクセス権処理、およびログフィルタ処理で利用される時間帯は、アクセス権処理でアクセスが許可される時間帯を格納する。対象オブジェクト名は、アクセスポリシーおよびフィルタポリシーの対象となるオブジェクト名を格納する。許可アクセスIDは、アクセスポリシーおよびフィルタポリシーの対象となるアクセスを許可する者のIDを格納する。許可アクセス元は、アクセスポリシーおよびフィルタポリシーの対象となるアクセス元のオブジェクト名を格納する。許可アクセス先は、アクセスポリシーおよびフィルタポリシーの対象となるアクセス先のオブジェクト名を格納する。   As shown in the configuration example 830, the access policy / filter policy includes a time zone, a target object name, a permitted access ID, a permitted access source, and a permitted access destination. As a set of these data, the time zone used in the access right processing and log filter processing described later stores the time zone in which access is permitted in the access right processing. The target object name stores the object name that is the target of the access policy and the filter policy. The permitted access ID stores the ID of the person who permits the access that is the target of the access policy and the filter policy. The permitted access source stores the object name of the access source that is the target of the access policy and the filter policy. The permitted access destination stores the object name of the access destination that is the target of the access policy and the filter policy.

要素番号832〜838は、アクセスポリシー兼フィルタポリシーのデータ例である。例えば、アクセスポリシー兼フィルタポリシー832では、コマンド画面から起動されるダンプコマンドは、管理者のみがアクセス権を有するが、全日アクセス禁止である旨が規定されている。アクセスポリシー兼フィルタポリシー834は、データ入力処理から起動される認証コード生成オブジェクトは、平日定時の範囲で監査者にアクセス権があることを示している。アクセスポリシー兼フィルタポリシー838は、後述のようにコマンド画面から起動されるログデータ処理は平日定時の範囲で監査者にアクセス権があることを示している。また、アクセスポリシー兼フィルタポリシー836は、上記のように認証コード照合オブジェクトにより起動される認証コード生成オブジェクト72(または、72と75の組み合わせ)は、平日定時の範囲で調停者にアクセス権があることを示している。   Element numbers 832 to 838 are data examples of the access policy / filter policy. For example, the access policy and filter policy 832 stipulates that the dump command activated from the command screen has an access right only by the administrator but is prohibited from accessing all day. The access policy / filter policy 834 indicates that the authentication code generation object activated from the data input process has an access right for the auditor within the range of the fixed time on weekdays. The access policy / filter policy 838 indicates that the log data processing started from the command screen as described later has an access right for the auditor within the range of the regular time on weekdays. In the access policy / filter policy 836, as described above, the authentication code generation object 72 (or a combination of 72 and 75) activated by the authentication code verification object has an access right to the arbitrator within a fixed range on weekdays. It is shown that.

ポリシーテーブル82は、監査者のみがアクセスできるように保護されている。アクセス制限または権処理は、ポリシーテーブル82からアクセスポリシー兼フィルタポリシーを読み込み、対象ポリシーの対象オブジェクトで指定されたオブジェクトについて一時間帯、許可アクセスID、許可アクセス元および許可アクセス先がすべて一致したもののみ、アクセス権限を認める処理である。これには、例えば、Java(登録商標)のSecurity Manager機能を利用することができる。
<ログ管理>
本発明によれば、対象ポリシー822の対象オブジェクトで指定されたオブジェクトは、実行されるたびにログを排出する機能を有し、排出されたログは、図4に示す形式でログテーブル84に格納される。図4において、各ログは、ログが生成された時刻、ログ採取オブジェクト、アクセス者ID、アクセス元、およびアクセス先からなる。ログ採取オブジェクトは、ログを採取したアクセス対象のオブジェクト名であり、アクセス元は、アクセス元のオブジェクト名であり、アクセス先が、アクセス対象のオブジェクト名である。 The policy table 82 is protected so that only an auditor can access it. Access restriction or right processing is the one in which the access policy / filter policy is read from the policy table 82, and the object specified by the target object of the target policy matches all the one-time zone, the permitted access ID, the permitted access source, and the permitted access destination. Only the process of granting access authority. For this, for example, the Security Manager function of Java (registered trademark) can be used.
<Log management>
According to the present invention, the object specified by the target object of the target policy 822 has a function of discharging a log each time it is executed, and the discharged log is stored in the log table 84 in the format shown in FIG. Is done. In FIG. 4, each log includes a time when the log is generated, a log collection object, an accessor ID, an access source, and an access destination. The log collection object is the name of the access target object that collected the log, the access source is the access source object name, and the access destination is the access target object name.

このように格納されるログは、管理者とは別の監査者などのログアクセス権限者のみが参照や削除ができるように保護されている。監査者は、ログテーブル84に保管されたログデータの監査、またはログフィルタ処理の警告データを参照することにより、データ保管サーバ10の管理者の作業を監査する。   The log stored in this way is protected so that only a log access authority such as an auditor other than the administrator can refer to or delete the log. The auditor audits the work of the administrator of the data storage server 10 by referring to the audit of the log data stored in the log table 84 or the warning data of the log filter processing.

監査者は、ログテーブル84に保管されたログデータを監査またはチェックしたい場合、平日の定時内であれば、希望する時間帯を指定してログフィルタ・プログラムまたはオブジェクト98を起動することができる。図9は、本発明によりログフィルタ・オブジェクトが行うログフィルタ動作を示すフローチャートである。先ず、ステップ170において、ログ保管テーブル84から、監査者によりパラメータで指定された時間帯のログレコードを読み込み、ステップ172において、対象ポリシー822から対象ポリシーのレコードを読み込む。次に、ステップ174において、ログレコードから対象ポリシーのレコードに記載されている項目を抽出し、ログレコードにその項目があれば、そのログレコードを抽出する。ステップ176において、アクセスポリシー兼フィルタポリシー832〜838を読み込む。ステップ178において、ステップ174で抽出したレコードのうち、読み込んだアクセスポリシー兼フィルタポリシー832〜838の何れかと条件が一致するレコードを消去する。そして、ステップ180において、残ったレコードを異常レコードとして、管理者および監査者に対して警告出力する。これにより、権限外の不正なアクセスを発見することが可能となる。   When the auditor wants to audit or check the log data stored in the log table 84, the log filter program or the object 98 can be activated by designating a desired time zone within a regular time on weekdays. FIG. 9 is a flowchart illustrating a log filter operation performed by the log filter object according to the present invention. First, in step 170, the log record of the time zone specified by the parameter by the auditor is read from the log storage table 84, and the record of the target policy is read from the target policy 822 in step 172. Next, in step 174, an item described in the record of the target policy is extracted from the log record, and if the item exists in the log record, the log record is extracted. In step 176, the access policy / filter policy 832-838 is read. In step 178, the records extracted in step 174 that have conditions that match any of the read access and filter policies 832 to 838 are deleted. In step 180, the remaining records are output as warnings to the administrator and the auditor as abnormal records. This makes it possible to find unauthorized access outside the authority.

なお、本発明によれば、ポリシー832〜838をアクセス制限のみならず、ログのフィルタ処理にも利用するので、安全性を効率的に高めることができる。
〔第2の実施形態〕
第1の実施形態では、クライアント920からの電子データX全体に対して認証コードを生成したが、電子データXを複数に分割し、分割した各データに対して認証コードを生成しもよい。図10は、電子データXを分割し、分割した各データに認証コードを生成する手順を示すフローチャートである。図10のステップ200において、外部装置30のROM64からハッシュ関数h値演算オブジェクト70と認証コード生成fオブジェクト72をRAM13に読み込む。次に、ステップ202において、外部装置30のRAM62から認証コード生成一時秘密鍵Kmとmを読み込む。ステップ204において、電子データXを読み込み、電子データXをpに分割し、X1,X2,...,Xpとする。次に、ステップ206において、p個の乱数n1,n2,...,npを発生させ、各分割データXi(i=1,2,...,p)のni回ハッシュ演算hni(Km)(=hm+ni(K0))を行い、Kmのni回ハッシュ演算値(仮に、Kmniと表す)を求め、これを秘密鍵とする。ステップ208において、各分割データXi(i=1,2,...,p)に対して、メッセージ認証コード演算値MAC(Xi)=f(Xi、Kmni)を求める。ステップ210において、すべてのi(i=pまで)についてステップ206と208を行ってから、ステップ212に進む。ステップ212では、電子データXと取得した認証コードを署名生成オブジェクト(図示せず)に渡す。この認証コードには、メッセージ認証コード演算値MAC(Xi)およびハッシュ回数m、niを含む(i=1,2,...,p)。さらに、データ保管システムが、図12に示すように複数のデータ保管サーバ10によるクラスタ構造を有する場合、認証コードには、認証コード生成fオブジェクト72の識別コードまたは番号(ID)、および認証コード生成秘密鍵Kmniの識別コードまたは番号(IDi (i=1,2,...,p))がさらに含まれる。 According to the present invention, since the policies 832 to 838 are used not only for access restriction but also for log filtering, safety can be improved efficiently.
[Second Embodiment]
In the first embodiment, the authentication code is generated for the entire electronic data X from the client 920. However, the electronic data X may be divided into a plurality of pieces and the authentication code may be generated for each divided data. FIG. 10 is a flowchart showing a procedure for dividing the electronic data X and generating an authentication code for each divided data. In step 200 of FIG. 10, the hash function h value calculation object 70 and the authentication code generation f object 72 are read into the RAM 13 from the ROM 64 of the external device 30. Next, in step 202, authentication code generation temporary secret keys Km and m are read from the RAM 62 of the external device 30. In step 204, the electronic data X is read, the electronic data X is divided into p, and X1, X2,. . . , Xp. Next, in step 206, p random numbers n1, n2,. . . , Np are generated, ni times hash operation hni (Km) (= hm + ni (K0)) of each divided data Xi (i = 1, 2,..., P) is performed, and km ni times hash operation value ( Temporarily, this is expressed as Kmni, and this is used as a secret key. In step 208, a message authentication code calculation value MAC (Xi) = f (Xi, Kmni) is obtained for each divided data Xi (i = 1, 2,..., P). In Step 210, Steps 206 and 208 are performed for all i (up to i = p), and then Step 212 is performed. In step 212, the electronic data X and the acquired authentication code are passed to a signature generation object (not shown). This authentication code includes a message authentication code calculation value MAC (Xi) and the number of hashes m, ni (i = 1, 2,..., P). Further, when the data storage system has a cluster structure with a plurality of data storage servers 10 as shown in FIG. 12, the authentication code includes an identification code or number (ID) of the authentication code generation f object 72 and an authentication code generation. Further included is an identification code or number (IDi (i = 1, 2,..., P)) of the secret key Kmni.

さらに、ステップ214において、管理者から処理終了指示を受信したか否かを判断する。受信するまで、上記のステップ204〜212を繰り返す。管理者から処理終了指示を受信した場合、ステップ216において、読み込んだ認証コード生成fオブジェクト72と認証コード生成一時秘密鍵Kmを消去する。最後に、データ保存プログラム90は、電子データ(X)ファイル、上記の認証コードMAC1,MAC2,...,MACpおよび署名を図11に示すように、保管データ記憶部80に格納する。   Further, in step 214, it is determined whether or not a processing end instruction has been received from the administrator. Steps 204 to 212 are repeated until reception. When the process end instruction is received from the administrator, in step 216, the read authentication code generation f object 72 and authentication code generation temporary secret key Km are deleted. Finally, the data storage program 90 includes an electronic data (X) file, the authentication codes MAC1, MAC2,. . . , MACp and signature are stored in the storage data storage unit 80 as shown in FIG.

なお、ステップ204における分割は、等分割でも、可変長分割でもよい。ただし、ステップ204で可変長分割した場合、各認証コードMAC(Xi)にデータ長を付けて保管データ記録部に記録する必要がある。
〔第3の実施形態〕
図12は、本発明の第3の実施形態により複数の電子データ保管サーバからなる証拠性保証型の電子データ保管システム2の構成例を示す略ブロック図である。図12において、データ保管サーバ10が3台のデータ保管サーバ10aとこれら3台のデータ保管サーバ10aに共通に接続されたディスクサーバ8に置き換わった点を除けば同じである。ディスクサーバ8は、保管データ部80,ログテーブル84およびポリシーテーブル82を含む代わりに、各データ保管サーバ10は、これらの各テーブル80〜84は持たないものとする。認証コード秘密鍵の識別番号、および識別コード生成オブジェクトはクラスタを構成するサーバ間で同じに設定しても、個別に設定してもよい。個別に設定した場合は、調停者による図8の認証コード照合は、認証コードを生成した外部装置30とROM64を接続したサーバで行う。
〔第4の実施形態〕
以上の実施形態では、1台のサーバに1つの外部装置を接続したが、1つのサーバに複数の外部装置を接続することも可能である。この場合、データ保管サーバ10bは、外部装置30および30aの両方から認証コード秘密鍵および乱数の発生回数を取得して、認証コードMAC(X)=f'(f(X、Kn)、K'n')を生成する。図13は、データ保管サーバ10bに2つの外部装置を付けた例を示す。1台のデータ保管サーバ10bに3以上の外部装置を取り付けることも可能である。複数の外部装置に秘密を分散することで、認証コードの安全性を高めることができる。 Note that the division in step 204 may be equal division or variable length division. However, when variable length division is performed in step 204, it is necessary to add a data length to each authentication code MAC (Xi) and record it in the storage data recording unit.
[Third Embodiment]
FIG. 12 is a schematic block diagram showing a configuration example of the evidence-proof type electronic data storage system 2 including a plurality of electronic data storage servers according to the third embodiment of the present invention. In FIG. 12, the data storage server 10 is the same except that the data storage server 10 is replaced with three data storage servers 10a and the disk server 8 commonly connected to the three data storage servers 10a. Instead of including the storage data unit 80, the log table 84, and the policy table 82, the disk server 8 does not have the respective tables 80 to 84. The identification number of the authentication code private key and the identification code generation object may be set the same among the servers constituting the cluster or may be set individually. When individually set, the verification code verification in FIG. 8 by the mediator is performed by a server connecting the external device 30 that has generated the authentication code and the ROM 64.
[Fourth Embodiment]
In the above embodiment, one external device is connected to one server, but a plurality of external devices can be connected to one server. In this case, the data archiving server 10b acquires the authentication code secret key and the number of occurrences of the random number from both the external devices 30 and 30a, and the authentication code MAC (X) = f ′ (f (X, Kn), K ′. n ′). FIG. 13 shows an example in which two external devices are attached to the data storage server 10b. It is also possible to attach three or more external devices to one data storage server 10b. By distributing the secret to a plurality of external devices, the security of the authentication code can be enhanced.

以上述べた実施の形態2〜4は、任意の2つまたは3つを組み合わせることが可能である。
以上は、本発明の説明のために実施例を掲げたに過ぎない。したがって、本発明の技術思想または原理に沿って上述の実施例に種々の変更、修正または追加を行うことは、当業者には容易である。 Embodiments 2 to 4 described above can be combined with any two or three.
The above are merely examples for explaining the present invention. Accordingly, it is easy for those skilled in the art to make various changes, modifications, or additions to the above-described embodiments in accordance with the technical idea or principle of the present invention.

例えば、上記の例では、データ保管サーバは、ネットワークを介して複数のクライアントと接続されていたが、ネットワークを介さず1台の端末との間で電子データの授受を行うことも可能である。   For example, in the above example, the data storage server is connected to a plurality of clients via the network, but it is also possible to exchange electronic data with one terminal without going through the network.

複数のデータ保管サーバからなるクラスタ構成を有する電子データ保管システムにおいて、外部装置30が未装着のサーバが存在し、その未装着サーバで認証コード照合を行う場合、認証コード照合を必要とする電子データXの認証コードと電子署名を生成したザーバに装着されていた外部装置を上記未装着サーバに装着して、認証コード照合を行うことも可能である。 In an electronic data storage system having a cluster configuration composed of a plurality of data storage servers, when there is a server to which the external device 30 is not mounted and the authentication code verification is performed on the unmounted server, the electronic data that requires the authentication code verification It is also possible to perform verification of the authentication code by mounting the external device mounted on the server that has generated the X authentication code and the electronic signature to the unmounted server .

本発明の第1の実施形態による証拠性保証型の電子データ保管システム1の構成例を示す略ブロックである。1 is a schematic block diagram showing a configuration example of an evidence-proof electronic data storage system 1 according to a first embodiment of the present invention. 図1の保管データ記録部80に保管される電子データの記録例を示す図である。It is a figure which shows the example of a recording of the electronic data stored in the storage data recording part 80 of FIG. 図1のポリシーテーブル記録部82に記録されているポリシーテーブルの構成例とデータ例を示す図である。It is a figure which shows the structural example and data example of a policy table currently recorded on the policy table recording part 82 of FIG. 図1のログテーブル記録部84に保存されているログデータの構造例とデータ例を示す図である。It is a figure which shows the example of a structure and data example of the log data preserve | saved in the log table recording part 84 of FIG. 本発明によるサーバ運用開始までの手順を示すフローチャートである。It is a flowchart which shows the procedure until the server operation start by this invention. 本発明の証拠性保証型の電子データ保管システムが行う相互認証におけるデータおよび処理の流れ示す相関チャートである。It is a correlation chart which shows the flow of the data and the process in the mutual authentication which the evidence-proof electronic data storage system of this invention performs. 本発明の第1の実施形態により認証コードを生成する動作を示すフローチャートである。It is a flowchart which shows the operation | movement which produces | generates an authentication code by the 1st Embodiment of this invention. 本発明の第1の実施形態による認証コード照合手順を示すフローチャートである。It is a flowchart which shows the authentication code collation procedure by the 1st Embodiment of this invention. 本発明の第1の実施形態によるログフィルタ動作を示すフローチャートである。It is a flowchart which shows the log filter operation | movement by the 1st Embodiment of this invention. 本発明の第2の実施形態により電子データを分割し、分割データごとに認証コードを生成する動作を示すフローチャートである。It is a flowchart which shows the operation | movement which divides | segments electronic data by the 2nd Embodiment of this invention, and produces | generates an authentication code for every division | segmentation data. 本発明の第2の実施形態により保管データ記録部80に保管される各データの構成例を示す図である。It is a figure which shows the structural example of each data stored by the storage data recording part 80 by the 2nd Embodiment of this invention. 本発明の第3の実施形態により複数の電子データ保管サーバからなる証拠性保証型の電子データ保管システム2の構成例を示す略ブロック図である。It is a schematic block diagram which shows the structural example of the evidence guarantee type | mold electronic data storage system 2 which consists of a some electronic data storage server by the 3rd Embodiment of this invention. 本発明の第4の実施形態により2つの外部装置30および30aを備えた電子データ保管サーバ10bの構成例を示す略ブロックである。It is a rough block which shows the structural example of the electronic data storage server 10b provided with the two external devices 30 and 30a by the 4th Embodiment of this invention. 従来技術による証拠性保証型の電子データ保管システムの典型的な構成例を示すブロックである。It is a block which shows the typical structural example of the evidence data type electronic data storage system by a prior art.

符号の説明Explanation of symbols

1 本発明の電子データ保管システム
2 本発明のクラスタ構成の電子データ保管システム
10 本発明のデータ保管サーバ10
11、60 CPU
12、70 ROM
13、62 RAM
14 通信インタフェース
15 外部装置インタフェース
16 入出力インタフェース
17 二次記憶装置
20 入出力装置
30 外部装置30
40 ROM40
70 ハッシュ関数演算オブジェクト
72、75 認証コード生成オブジェクト
80 保管データ記憶部
82 ポリシーテーブル
84 ログテーブル
90 データ保存プログラム
92 データ読み出しプログラム
94 アクセス制限
96 認証コード照合
98 ログフィルタ
920 クライアント DESCRIPTION OF SYMBOLS 1 Electronic data storage system of this invention 2 Electronic data storage system of the cluster structure of this invention 10 Data storage server 10 of this invention
11, 60 CPU
12, 70 ROM
13, 62 RAM
14 Communication Interface 15 External Device Interface 16 Input / Output Interface 17 Secondary Storage Device 20 Input / Output Device 30 External Device 30
40 ROM40
70 Hash function calculation object 72, 75 Authentication code generation object 80 Storage data storage unit 82 Policy table 84 Log table 90 Data storage program 92 Data read program 94 Access restriction 96 Authentication code verification 98 Log filter 920 Client

Claims (11)

電子データの証拠性を認証コードと電子署名で保証する電子データ保管システムであり、前記システムは、
外部のクライアントと電子データの授受が可能でかつ外部装置と電気的・機械的に結合された少なくとも1台のサーバと;
ROM領域とRAM領域とCPUとを備え、かつ前記サーバとはインタフェースを介して接続される外部装置と;
製造時に製造業者により書換え不可能な記憶域に秘密鍵が焼き付けられ、アクセス制限された読み出し専用記憶手段とを備え、
前記外部装置が、前記読み出し専用記憶手段からコピーした前記秘密鍵をもとに一時秘密鍵を生成するソフトウェア手段を前記ROM領域に備え、さらに前記ソフトウェア手段に基づいて前記CPUが発生させた乱数の回数だけ一時秘密鍵を生成し、最後に生成した前記一時秘密鍵を前記RAM領域に格納し、かつ前記一時秘密鍵と所与の電子データから認証コードを生成するプログラムの少なくとも一部をカプセル化したオブジェクトとして前記ROM領域に備え、
前記サーバは、
前記ソフトウェア手段、前記オブジェクト、および前記一時秘密鍵を読み出す手段と、
読み出した前記ソフトウェア手段、前記オブジェクト、および前記一時秘密鍵を用いて、前記電子データの認証コードを生成する認証コード生成オブジェクトと、
前記電子データに秘密鍵による符号化を行って電子署名を生成する電子署名生成手段と、
前記電子データ前記生成した認証コードおよび前記生成した電子書名を保管する保管手段と
を備えることを特徴とする電子データ保管システム。 An electronic data storage system that guarantees the evidence of electronic data with an authentication code and an electronic signature,
At least one server capable of sending and receiving electronic data with an external client and electrically and mechanically coupled to an external device;
An external device comprising a ROM area, a RAM area, and a CPU, and connected to the server via an interface;
A private key is burned into a storage area that is not rewritable by the manufacturer at the time of manufacture, and access-restricted read-only storage means is provided,
It said external device comprises a software means for generating a temporary private key based on the secret key that was copied from the read-only storage unit to the ROM region, the CPU is caused based on the previous SL software means further only the number of random numbers one o'clock to generate a private key, at least a portion of the end of the one o'clock secret key generated and stored in the RAM area, and generates an authentication code from said one o'clock secret key and a given electronic data program Prepared in the ROM area as an encapsulated object,
The server
Means for reading the software means, the object, and the temporary private key;
Reading said software means, said object, and using the one o'clock secret key, an authentication code generating object for generating an authentication code before Symbol electronic data,
An electronic signature generating means for generating an electronic signature by encoding the electronic data with a secret key;
An electronic data storage system comprising: storage means for storing the electronic data , the generated authentication code, and the generated electronic book name . 前記読み出し専用記憶手段は、前記サーバの管理者および前記クライアントの双方と利害関係のない第3者が保管することを特徴とする請求項1記載の電子データ保管システム。   2. The electronic data storage system according to claim 1, wherein the read-only storage means is stored by a third party who has no interest in both the administrator of the server and the client. 前記サーバは、前記認証コード生成オブジェクトを用いて、前記保管手段に保管されている前記電子データの前記認証コードの照合を行う照合オブジェクトをさらに備えることを特徴とする請求項1記載の電子データ保管システム。   2. The electronic data storage according to claim 1, wherein the server further comprises a verification object for verifying the authentication code of the electronic data stored in the storage unit using the authentication code generation object. system. 前記サーバは、
アクセス制限を規定するポリシーレコードからなるポリシーテーブルを備え、前記ポリシーテーブルに基づき前記オブジェクトへのアクセス制限を行う手段を含むことを特徴とする請求項1記載の電子データ保管システム。 The server
2. The electronic data storage system according to claim 1, further comprising means for restricting access to the object based on the policy table, the policy table comprising policy records that define access restrictions. 前記認証コード生成オブジェクトは、起動されるたびにログを排出し、
前記サーバは、前記ログを所定の記憶域に格納する手段を備えることを特徴とする請求項1記載の電子データ保管システム。 The authentication code generation object discharges a log each time it is activated,
2. The electronic data storage system according to claim 1, wherein the server includes means for storing the log in a predetermined storage area. 前記サーバは一時間帯の指定とともに所定のコマンドを受け取ると、前記時間帯に採取されたログのうち、前記ポリシーテーブルの何れかのポリシーレコードと条件が一致するログを消去する手段をさらに備えることを特徴とする請求項4記載の電子データ保管システム。   When the server receives a predetermined command together with designation of one time zone, the server further comprises means for erasing a log that matches the condition of any policy record in the policy table among logs collected in the time zone. The electronic data storage system according to claim 4. 前記サーバは、前記時間帯に採取されたログのうち、消去されずに残ったログに対して、視覚的警報、聴覚的警報、または前記両方の警報を出力する手段をさらに備えることを特徴とする請求項6記載の電子データ保管システム。   The server further includes means for outputting a visual alarm, an audible alarm, or both of the alarms with respect to a log that has not been deleted among logs collected in the time period. The electronic data storage system according to claim 6. 当該電子データ保管システムは、複数のサーバと前記複数のサーバに共有された二次記憶装置を備え、
前記二次記憶装置は、全サーバの電子データを保管する電子データ保管領域を有し、かつ
前記複数の各サーバは前記保管手段を持たないことを特徴とする請求項1記載の電子データ保管システム。 The electronic data storage system includes a plurality of servers and a secondary storage device shared by the plurality of servers,
The electronic data storage system according to claim 1, wherein the secondary storage device has an electronic data storage area for storing electronic data of all servers, and each of the plurality of servers does not have the storage means. . 前記サーバは、第2の外部装置を備え、前記第1の外部装置の前記秘密鍵と異なる第2の秘密鍵をRAM領域に格納し、
認証コード生成オブジェクトは、前記第1の外部装置から読み出した前記ソフトウェア手段、前記オブジェクト、および前記一時秘密鍵に加えて、前記第2の外部記憶装置から読み出した第2のソフトウェア手段、第2のオブジェクト、および第2の一時秘密鍵を用いて、前記電子データの認証コードを生成することを特徴とする請求項1記載の電子データ保管システム。 The server includes a second external device, stores a second secret key different from the secret key of the first external device in a RAM area,
In addition to the software means, the object, and the temporary secret key read from the first external device, the authentication code generation object includes a second software means read from the second external storage device, a second objects and second temporary using a secret key, before Symbol electronic data storage system of claim 1, wherein the generating an authentication code of the electronic data. 前記サーバは、前記電子データの認証コード生成の前に、前記電子データを複数の分割データに分割する分割手段を備え、
前記認証コード生成オブジェクトは、分割データ毎に1つずつ認証コードを生成することを特徴とする請求項1記載の電子データ保管システム。 The server includes a dividing unit that divides the electronic data into a plurality of divided data before generating an authentication code of the electronic data,
The electronic data storage system according to claim 1, wherein the authentication code generation object generates an authentication code for each piece of divided data. 前記分割手段は、前記電子データを複数の可変長分割データに分割し、
前記保管手段は、可変長分割データ毎に前記認証コードと当該可変長分割データの長さを表す情報とともに保管する手段を含むことを特徴とする請求項10記載の電子データ保管システム。 The dividing means divides the electronic data into a plurality of variable length divided data,
11. The electronic data storage system according to claim 10, wherein the storage means includes means for storing the authentication code and information indicating the length of the variable length divided data for each variable length divided data.
JP2004041183A 2004-02-18 2004-02-18 Electronic data storage system that stores electronic data while guaranteeing the evidence Expired - Lifetime JP4710232B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004041183A JP4710232B2 (en) 2004-02-18 2004-02-18 Electronic data storage system that stores electronic data while guaranteeing the evidence

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004041183A JP4710232B2 (en) 2004-02-18 2004-02-18 Electronic data storage system that stores electronic data while guaranteeing the evidence

Publications (2)

Publication Number Publication Date
JP2005234751A JP2005234751A (en) 2005-09-02
JP4710232B2 true JP4710232B2 (en) 2011-06-29

Family

ID=35017663

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004041183A Expired - Lifetime JP4710232B2 (en) 2004-02-18 2004-02-18 Electronic data storage system that stores electronic data while guaranteeing the evidence

Country Status (1)

Country Link
JP (1) JP4710232B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104240077A (en) * 2014-09-03 2014-12-24 萧东 Code encryption device based on short-distance wireless communication technology

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4795048B2 (en) * 2006-02-16 2011-10-19 株式会社富士通ビー・エス・シー Electronic data verification system
US9509679B2 (en) * 2014-11-21 2016-11-29 Dropbox, Inc. System and method for non-replayable communication sessions

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1020958A (en) * 1996-07-05 1998-01-23 Nippon Telegr & Teleph Corp <Ntt> Method and system for software charging
JPH1188321A (en) * 1997-09-02 1999-03-30 Kiyadeitsukusu:Kk Digital signature generation server
JP2000347869A (en) * 1999-06-07 2000-12-15 Toshiba Corp Ic card using device, ic card and storage medium
JP2003298575A (en) * 2002-03-29 2003-10-17 Fuji Electric Co Ltd Original nature warrant system, electronic signature generation interface method, original nature verification interface method, program, and recording medium
JP2004032248A (en) * 2002-06-25 2004-01-29 Dainippon Printing Co Ltd Digital signature system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1020958A (en) * 1996-07-05 1998-01-23 Nippon Telegr & Teleph Corp <Ntt> Method and system for software charging
JPH1188321A (en) * 1997-09-02 1999-03-30 Kiyadeitsukusu:Kk Digital signature generation server
JP2000347869A (en) * 1999-06-07 2000-12-15 Toshiba Corp Ic card using device, ic card and storage medium
JP2003298575A (en) * 2002-03-29 2003-10-17 Fuji Electric Co Ltd Original nature warrant system, electronic signature generation interface method, original nature verification interface method, program, and recording medium
JP2004032248A (en) * 2002-06-25 2004-01-29 Dainippon Printing Co Ltd Digital signature system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104240077A (en) * 2014-09-03 2014-12-24 萧东 Code encryption device based on short-distance wireless communication technology
CN104240077B (en) * 2014-09-03 2018-09-28 萧东 A kind of coding encrypting device based on short-distance wireless communication technology

Also Published As

Publication number Publication date
JP2005234751A (en) 2005-09-02

Similar Documents

Publication Publication Date Title
US20200228512A1 (en) Distributed key secret for rewritable blockchain
US8327450B2 (en) Digital safety deposit box
JP3748155B2 (en) File management system with falsification prevention / detection function
US6212635B1 (en) Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
JP4089171B2 (en) Computer system
CN111723383B (en) Data storage and verification method and device
US7526654B2 (en) Method and system for detecting a secure state of a computer system
JP4036838B2 (en) Security device, information processing device, method executed by security device, method executed by information processing device, program executable for executing the method, and ticket system
CN109412812B (en) Data security processing system, method, device and storage medium
US20030221115A1 (en) Data protection system
US20070300031A1 (en) Memory data shredder
JPH1124919A (en) Method and device for protecting application data in safe storage area
CN102948114A (en) Single-use authentication methods for accessing encrypted data
JP2015504222A (en) Data protection method and system
US7096365B1 (en) Digital signature
JPH10312335A (en) Data processing method and processor therefor
CN105740725A (en) File protection method and system
CN109214204B (en) Data processing method and storage device
CN114925141B (en) Cloud primary automation deployment management system and method based on block chain
US20050125698A1 (en) Methods and systems for enabling secure storage of sensitive data
KR100908100B1 (en) Encrypted image data with matryoshka structure and, system and method for mutual synchronization certificating using the same
JP2007094879A (en) Authentication system for basic program of operating system, computer used for the same, and computer program
JP2002135247A (en) Digital information storing method
KR102542213B1 (en) Real-time encryption/decryption security system and method for data in network based storage
JP4710232B2 (en) Electronic data storage system that stores electronic data while guaranteeing the evidence

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060810

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091028

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100817

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100922

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110307

R150 Certificate of patent or registration of utility model

Ref document number: 4710232

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250