JP5052878B2 - Storage device and user authentication method - Google Patents

Storage device and user authentication method Download PDF

Info

Publication number
JP5052878B2
JP5052878B2 JP2006334271A JP2006334271A JP5052878B2 JP 5052878 B2 JP5052878 B2 JP 5052878B2 JP 2006334271 A JP2006334271 A JP 2006334271A JP 2006334271 A JP2006334271 A JP 2006334271A JP 5052878 B2 JP5052878 B2 JP 5052878B2
Authority
JP
Japan
Prior art keywords
key
user
administrator
public key
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006334271A
Other languages
Japanese (ja)
Other versions
JP2008148095A (en
Inventor
英明 菰田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buffalo Inc
Original Assignee
Buffalo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buffalo Inc filed Critical Buffalo Inc
Priority to JP2006334271A priority Critical patent/JP5052878B2/en
Publication of JP2008148095A publication Critical patent/JP2008148095A/en
Application granted granted Critical
Publication of JP5052878B2 publication Critical patent/JP5052878B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、暗号化手段を用いた利用者の認証技術に関する。   The present invention relates to a user authentication technique using encryption means.

近年、IT技術の発展に伴い、フラッシュメモリ、ハードディスク、MO、DVDなど、種々の記憶媒体が普及している。こうした記憶媒体に職務上の機密情報等の第3者に知られたくない情報を記憶させる場合に備え、パスワードによる利用者認証を行う装置やデータを暗号化して記憶させる装置が開発されている。例えば、下記特許文献1は、ユーザが入力するパスワードにより利用認証を行う携帯可能な記憶装置を開示している。   In recent years, with the development of IT technology, various storage media such as flash memory, hard disk, MO, and DVD have become widespread. In order to store information that is not desired to be known by a third party, such as confidential information for duties, in such a storage medium, a device for performing user authentication using a password and a device for storing data encrypted are being developed. For example, Patent Document 1 below discloses a portable storage device that performs usage authentication using a password input by a user.

特表2003−524842号公報Special table 2003-524842 gazette

一方、こうした記憶装置においては、管理者とユーザなど、複数の立場で使い分けたいケースが存在する。例えば、管理者が使用する際には、記憶装置に接続された記憶媒体へのアクセスと、当該記憶媒体に係る各種設定とを行うことができ、管理者権限を持たないユーザが使用する際には、記憶装置に接続された記憶媒体へのアクセスのみ行うことができるというような運用を行いたいケースである。   On the other hand, in such a storage device, there are cases where an administrator and a user want to use them properly from a plurality of standpoints. For example, when used by an administrator, it is possible to access a storage medium connected to a storage device and perform various settings related to the storage medium, and when used by a user without administrator authority. Is a case where it is desired to perform an operation in which only the storage medium connected to the storage device can be accessed.

しかし、このようなケースにおいて特許文献1に記載の技術を用いると、管理者とユーザが同一のパスワードを管理しなくてはならず、さらに、両者のうち一方がパスワードを変更した場合には、その都度、他方にそのことを確実に伝える必要があり、運用が面倒であった。あるいは、このような状況を回避するために、パスワードを管理者用とユーザ用の2種類設定する必要があり、セキュリティ強度が低下することが問題となっていた。   However, if the technique described in Patent Document 1 is used in such a case, the administrator and the user must manage the same password, and if one of them changes the password, Each time, it was necessary to convey the fact to the other party, which was cumbersome to operate. Alternatively, in order to avoid such a situation, it is necessary to set two types of passwords for the administrator and for the user, resulting in a problem that the security strength is lowered.

上述の問題を考慮し、本発明が解決しようとする課題は、複数の立場で利用認証する場合であっても、利便性と高度なセキュリティとを確保できる記憶装置の提供である。   In view of the above-described problems, the problem to be solved by the present invention is to provide a storage device that can ensure convenience and high security even when use authentication is performed from a plurality of standpoints.

上記課題を解決する本発明の記憶装置は、
暗号化手段を用いて、利用者の認証を行える記憶装置であって、
所定の公開鍵と秘密鍵とを生成し、該公開鍵により暗号化を行い、該秘密鍵により復号化を行う公開鍵暗号化手段と、
前記記憶装置の利用者が入力する、前記記憶装置のユーザ用の識別情報を受け付けるユーザ用識別情報受付手段と、
前記利用者の認証を行うための初期設定として、前記公開鍵暗号化手段を用いて、前記ユーザ用の公開鍵と、前記記憶装置の管理者用の公開鍵と秘密鍵とを生成するとともに、前記管理者の入力に応じて前記ユーザ用識別情報受付手段により受け付けられたユーザ用の識別情報をもとに第1の鍵を生成し、該第1の鍵を前記ユーザ用の公開鍵で暗号化した第2の鍵と、前記管理者用の公開鍵で暗号化した第3の鍵とを生成し、前記ユーザ用の公開鍵と前記管理者用の公開鍵と前記第2の鍵と前記第3の鍵とを、前記記憶装置が備え、または前記記憶装置に接続され、所望のデータを記憶させるための第1の記憶媒体に記憶させる初期設定手段と、
前記ユーザの入力に応じて前記ユーザ用識別情報受付手段により受け付けられたユーザ用の識別情報をもとに第4の鍵を生成し、前記公開鍵暗号化手段を用いて、該第4の鍵を前記記憶されたユーザ用の公開鍵で暗号化して、第5の鍵を生成し、該第5の鍵と前記記憶された第2の鍵とを照合して、ユーザが少なくとも前記第1の記憶媒体にアクセス可能とするためのユーザの認証を行うユーザ認証手段と、
前記管理者の操作に応じて、前記管理者用の秘密鍵を受け付ける管理者用秘密鍵受付手段と、
前記公開鍵暗号化手段を用いて、前記管理者用秘密鍵受付手段により受け付けられた管理者用の秘密鍵で前記記憶された第3の鍵を復号化して第6の鍵を生成し、該第6の鍵を前記記憶されたユーザ用公開鍵で暗号化して第7の鍵を生成し、該第7の鍵と前記記憶された第2の鍵とを照合して、前記管理者が、前記第1の記憶媒体にアクセス可能とするとともに、前記第1の記憶媒体に係る各種設定を設定可能とするための管理者認証を行う管理者認証手段と
を備えたことを要旨とする。 The storage device of the present invention that solves the above problems is as follows.
A storage device capable of authenticating a user using an encryption means,
Public key encryption means for generating a predetermined public key and private key, performing encryption with the public key, and decrypting with the private key;
User identification information receiving means for receiving identification information for the user of the storage device input by a user of the storage device;
As an initial setting for authenticating the user, the public key encryption unit is used to generate a public key for the user, a public key and a secret key for the administrator of the storage device , and A first key is generated based on the user identification information received by the user identification information receiving means in response to the administrator input, and the first key is encrypted with the user public key. A second key that is encrypted, and a third key encrypted with the public key for the administrator, the public key for the user, the public key for the administrator, the second key, and the An initial setting means for storing a third key in a first storage medium provided in or connected to the storage device and for storing desired data;
A fourth key is generated based on the user identification information received by the user identification information receiving means in response to the user input, and the fourth key is generated using the public key encryption means. Is encrypted with the stored public key for the user, a fifth key is generated, the fifth key is compared with the stored second key, and the user checks at least the first key User authentication means for authenticating a user for enabling access to a storage medium;
An administrator private key receiving means for receiving the administrator private key in response to the operation of the administrator;
Using the public key encryption means to decrypt the stored third key with the administrator private key received by the administrator private key receiving means to generate a sixth key, A sixth key is encrypted with the stored user public key to generate a seventh key, the seventh key is compared with the stored second key, and the administrator The gist of the present invention is that it further comprises administrator authentication means for performing administrator authentication for enabling access to the first storage medium and setting various settings relating to the first storage medium.

かかる構成の記憶装置は、ユーザ用識別情報をもとにしてユーザ認証を行い、公開鍵暗号化手段が生成した管理者用の秘密鍵をもとにして管理者認証を行う。すなわち、ユーザ及び管理者の認証にそれぞれ異なる方法を用いるため、セキュリティ強度を低下させずに複数の利用者の認証を行える。   The storage device configured as described above performs user authentication based on the user identification information, and performs administrator authentication based on the administrator private key generated by the public key encryption unit. That is, since different methods are used for user and administrator authentication, a plurality of users can be authenticated without lowering the security strength.

なお、本願において、記憶装置とは、記憶媒体と記憶媒体へのデータの書き込み等を行う記憶媒体制御装置とを一体的に備えた装置、例えば、USBフラッシュメモリ、外付けハードディスクドライブ、コンピュータ等の種々の装置と、記憶媒体と脱着可能に接続でき、当該記憶媒体へのデータ書き込み等を行う制御装置、例えば、CDドライブ、DVDドライブ、MOドライブ、ブルーレイドライブ、メモリカードリーダ等の種々の装置とを併せた総称である。   In this application, the storage device is a device that is integrally provided with a storage medium and a storage medium control device that writes data to the storage medium, such as a USB flash memory, an external hard disk drive, a computer, etc. Various devices and control devices that can be detachably connected to a storage medium and write data to the storage medium, for example, various devices such as a CD drive, a DVD drive, an MO drive, a Blu-ray drive, and a memory card reader Is a collective term.

また、こうした記憶装置において、第1の記憶媒体は、所定のプログラムでしかアクセスできない隠し領域を備え、初期設定手段は、ユーザ用の公開鍵と前記管理者用の公開鍵と第2の鍵と第3の鍵とを隠し領域に記憶させることとしてもよい。   Further, in such a storage device, the first storage medium includes a hidden area that can be accessed only by a predetermined program, and the initial setting means includes a public key for the user, a public key for the administrator, and a second key. The third key may be stored in the hidden area.

かかる構成の記憶装置は、管理者及びユーザの認証に関係する情報を記憶装置に接続された記憶媒体の隠し領域に記憶させるため、万が一、記憶装置が第3者の手に渡った場合であっても、これらの情報に簡単にアクセスすることができない。したがって、記憶装置に接続された記憶媒体のセキュリティを高めることができる。   The storage device having such a configuration stores information related to the authentication of the administrator and the user in the hidden area of the storage medium connected to the storage device, so that the storage device should be in the hands of a third party. However, this information cannot be easily accessed. Therefore, the security of the storage medium connected to the storage device can be increased.

また、こうした記憶装置において、初期設定手段は、更に、管理者用の秘密鍵を記憶装置と接続された第2の記憶媒体に記憶させ、管理者用秘密鍵受付手段は、管理者の、管理者用の秘密鍵が記憶された場所を指定する操作に応じて、管理者用の秘密鍵を受け付けることとしてもよい。   Further, in such a storage device, the initial setting means further stores the secret key for the administrator in a second storage medium connected to the storage device, and the secret key reception means for the administrator The administrator secret key may be received in accordance with an operation for designating the location where the administrator secret key is stored.

かかる構成の記憶装置は、管理者認証の認証鍵として用いる管理者用の秘密鍵を、所望のデータを記憶させる第1の記憶媒体とは別の第2の記憶媒体に記憶させるため、所望のデータを記憶させた第1の記憶媒体を紛失するなどして、第3者に渡った場合であっても、第1の記憶媒体に利用者認証に必要な認証鍵の情報が記憶されておらず、第3者は容易に利用者認証されることがない。また、管理者は、認証鍵を暗記しておく必要も、紙等に記録して保管しておく必要もない。したがって、セキュリティを確保できると共に、秘密鍵の情報を簡便かつ確実に管理できる。   The storage device having such a configuration stores a secret key for the administrator used as an authentication key for administrator authentication in a second storage medium different from the first storage medium for storing desired data. Even when the first storage medium storing the data is lost or transferred to a third party, the authentication key information necessary for user authentication is not stored in the first storage medium. In addition, the third party is not easily authenticated by the user. Further, the administrator does not need to memorize the authentication key or record and store it on paper or the like. Therefore, security can be ensured and secret key information can be managed easily and reliably.

また、こうした記憶装置において、更に、ユーザ認証が行われた後に、ユーザ用の識別情報を変更するために、ユーザの入力に応じて、新たなユーザ用の識別情報を受け付ける新ユーザ用識別情報受付手段と、新ユーザ用識別情報受付手段が新たなユーザ用の識別情報を受け付けた時には、初期設定手段を用いて、新たなユーザ用の識別情報をもとに、少なくとも前記第1ないし第3の鍵を生成し直し、該生成し直した新たな第2の鍵及び新たな第3の鍵を第1の記憶媒体に記憶させて、初期設定を変更する初期設定変更手段とを備えたものとしてもよい。   Further, in such a storage device, after user authentication is performed, new user identification information is received in response to a user input in order to change the user identification information. When the means and the new user identification information accepting means accept the new user identification information, the initial setting means is used to create at least the first to third items based on the new user identification information. An initial setting changing unit that regenerates a key, stores the newly generated second key and the new third key in the first storage medium, and changes the initial setting. Also good.

かかる構成の記憶装置は、ユーザがユーザ用の識別情報を変更した際に、記憶媒体に記憶された、管理者認証に必要な情報を併せて変更するため、管理者は、ユーザがユーザ用の識別情報を変更した場合であっても、変更前と同様の方法の管理者認証が行える。   When the user changes the identification information for the user, the storage device having such a configuration also changes the information necessary for the administrator authentication stored in the storage medium. Even when the identification information is changed, the administrator authentication can be performed in the same manner as before the change.

また、こうした記憶装置において、初期設定変更手段は、新ユーザ用識別情報受付手段が新たなユーザ用の識別情報を受け付けた時には、初期設定手段を用いて、新たなユーザ用の識別情報をもとに、第1ないし第3の鍵と、ユーザ用の公開鍵とを生成し直し、該生成し直した新たな第2の鍵と新たな第3の鍵と新たなユーザ用の公開鍵とを第1の記憶媒体に記憶させて、初期設定を変更するものとしてもよい。   Further, in such a storage device, the initial setting changing means uses the initial setting means when the new user identification information accepting means accepts new user identification information, based on the new user identification information. In addition, the first to third keys and the public key for the user are regenerated, and the regenerated second key, the new third key, and the new public key for the user are generated. The initial setting may be changed by being stored in the first storage medium.

かかる構成の記憶装置は、ユーザがユーザ用の識別情報を変更した際に、ユーザ用の公開鍵を併せて変更するため、セキュリティを高めることができる。   Since the storage device configured as described above changes the user public key when the user changes the user identification information, the security can be improved.

また、こうした記憶装置において、更に、所定の共通鍵を生成し、該共通鍵により暗号化または復号化を行う共通鍵暗号化手段と、所望のデータを、第1の鍵を共通鍵暗号化手段の共通鍵として利用して暗号化して、第1の記憶媒体に入力するデータ入力手段と、データ入力手段により暗号化して入力された所望のデータを、第1の鍵を共通鍵暗号化手段の共通鍵として利用して復号化して、第1の記憶媒体から出力するデータ出力手段とを備えた装置としてもよい。   Further, in such a storage device, a common key encryption unit that generates a predetermined common key and encrypts or decrypts it with the common key, and a desired data and a first key as a common key encryption unit The data input means for encrypting and using the first key as the common key, and the desired data input after being encrypted by the data input means, and the first key as the common key encryption means It may be a device provided with data output means for decrypting using the common key and outputting from the first storage medium.

かかる構成の記憶装置は、第1の記憶媒体に記憶する所望のデータを、処理速度の速い共通鍵暗号化方式により暗号化するための共通鍵を、セキュリティの高い公開鍵暗号方式で暗号化して、暗号化された共通鍵を記憶媒体に記憶させるので、記憶媒体への書き込み速度と記憶媒体のセキュリティを両立させることができる。また、2種類の暗号化方式を用いているために、1種類の暗号化方式を用いる場合と比べて、セキュリティが向上する。   The storage device configured as described above encrypts a common key for encrypting desired data stored in the first storage medium by a common key encryption method with a high processing speed by using a public key encryption method with high security. Since the encrypted common key is stored in the storage medium, both the writing speed to the storage medium and the security of the storage medium can be achieved. Further, since two types of encryption methods are used, security is improved as compared with the case where one type of encryption method is used.

なお、本発明は、上述した記憶装置としての構成のほか、利用者認証方法としても構成することができる。   The present invention can be configured as a user authentication method in addition to the configuration as the storage device described above.

本発明の実施例について、以下の順序で説明する。
(1)USBフラッシュメモリの概略構成:
(2)利用者認証の初期設定方法:
(3)ユーザ認証方法:
(4)ユーザパスワード変更方法:
(5)管理者認証方法:
(6)データの暗号化保存方法: Examples of the present invention will be described in the following order.
(1) Schematic configuration of USB flash memory:
(2) Initial setting method for user authentication:
(3) User authentication method:
(4) User password change method:
(5) Administrator authentication method:
(6) Data encryption storage method:

(1)USBフラッシュメモリの概略構成:
図1は、本願の実施例としてのUSBフラッシュメモリ10の概略構成を示す説明図である。USBフラッシュメモリ10は、汎用入出力ポート110、CPU120、ROM130、SRAM140、暗号用回路150、内部インターフェース160、フラッシュメモリ170、USBコネクタ190、電圧制御部200を備えており、それぞれが内部バスで接続されている。 (1) Schematic configuration of USB flash memory:
FIG. 1 is an explanatory diagram showing a schematic configuration of a USB flash memory 10 as an embodiment of the present application. The USB flash memory 10 includes a general-purpose input / output port 110, a CPU 120, a ROM 130, an SRAM 140, an encryption circuit 150, an internal interface 160, a flash memory 170, a USB connector 190, and a voltage control unit 200, which are connected via an internal bus. Has been.

汎用入出力ポート110は、USBフラッシュメモリ10に図示しない指紋認証装置等の付加デバイスを接続する場合に利用するパラレルインターフェースである。   The general-purpose input / output port 110 is a parallel interface used when an additional device such as a fingerprint authentication device (not shown) is connected to the USB flash memory 10.

CPU120は、フラッシュメモリ170やROM130に記憶されたUSBフラッシュメモリ10の制御に関するプログラムをSRAM140に展開し、実行することで、利用者の認証や、フラッシュメモリ170へのデータ書き込み等の機能部として動作する。   The CPU 120 operates as a functional unit such as user authentication and data writing to the flash memory 170 by developing a program related to the control of the USB flash memory 10 stored in the flash memory 170 or the ROM 130 in the SRAM 140 and executing the program. To do.

ROM130は、不揮発性メモリであり、USBフラッシュメモリ10をコンピュータPCに接続した際に、USBフラッシュメモリ10を起動させるためのファームウェアが保存されている。   The ROM 130 is a nonvolatile memory, and stores firmware for starting up the USB flash memory 10 when the USB flash memory 10 is connected to the computer PC.

SRAM140は、CPU120が各種処理を行う際に利用するバッファである。本実施例では、単純化のために単一のバッファとして示しているが、各処理の高速化のために、例えば、フラッシュメモリ170のためのバッファと暗号用回路150のためのバッファからなる構成としてもよい。   The SRAM 140 is a buffer used when the CPU 120 performs various processes. In the present embodiment, a single buffer is shown for simplification, but a configuration comprising, for example, a buffer for the flash memory 170 and a buffer for the encryption circuit 150 for speeding up each process. It is good.

暗号用回路150は、フラッシュメモリ170に入出力するデータや、USBフラッシュメモリ10を利用可能とするための利用者認証を行うためのパスワード等を暗号化/復号化するための回路であり、公開鍵暗号と共通鍵暗号の両方式の回路を備えている。本実施例においては、公開鍵暗号はRSA方式、共通鍵方式はAES方式を採用した。なお、本実施例においては、暗号化手段として暗号用回路150を用いたが、暗号化ソフトウェアなど、別の方法を用いてもよい。   The encryption circuit 150 is a circuit for encrypting / decrypting data input / output to / from the flash memory 170, a password for performing user authentication for enabling the USB flash memory 10, and the like. Both key encryption and common key encryption circuits are provided. In the present embodiment, the public key cryptosystem employs the RSA system, and the common key system employs the AES system. In this embodiment, the encryption circuit 150 is used as the encryption means, but another method such as encryption software may be used.

内部インターフェース160は、フラッシュメモリ170とデータをやり取りするためのインターフェースから成る。   The internal interface 160 includes an interface for exchanging data with the flash memory 170.

フラッシュメモリ170は、ブロック単位でデータの消去を行う不揮発性メモリであり、本実施例では、大容量化に適したNAND型のフラッシュメモリとした。   The flash memory 170 is a non-volatile memory that erases data in block units. In this embodiment, the flash memory 170 is a NAND flash memory suitable for increasing the capacity.

USBコネクタ190は、バスパワード電源の利用が可能なシリアルインターフェースであり、USBポートを備えたホストコンピュータPCに接続される。   The USB connector 190 is a serial interface that can use a bus-powered power source, and is connected to a host computer PC having a USB port.

電圧制御部200は、USBコネクタ190を介して接続されたホストコンピュータPCから供給される5Vのバスパワード電源を、例えば、3.3Vに調整し、各部へ供給する。   The voltage control unit 200 adjusts the 5V bus-powered power supplied from the host computer PC connected via the USB connector 190 to, for example, 3.3V and supplies it to each unit.

図2は、図1に示したフラッシュメモリ170の内部領域を示す説明図である。フラッシュメモリ170は、隠し領域171、フリー領域172、セキュア領域174を備えている。また、フリー領域172及びセキュア領域174は、それぞれ、フリー領域用、またはセキュア領域用のマスターブートレコード領域、パーティション情報領域、ファイルシステム情報領域、データ情報領域(図中の181〜184,186〜189)を備えている。   FIG. 2 is an explanatory diagram showing an internal area of the flash memory 170 shown in FIG. The flash memory 170 includes a hidden area 171, a free area 172, and a secure area 174. The free area 172 and the secure area 174 are a master boot record area, a partition information area, a file system information area, and a data information area (181 to 184 and 186 to 189 in the figure) for the free area or the secure area, respectively. ).

隠し領域171は、CPU120が使用するプログラムや、後述する利用者認証やフラッシュメモリ170に保存するデータの暗号化に関する情報を記憶する領域である。フリー領域172は、利用者認証を行わずに、アクセスできる領域である。セキュア領域174は、利用者認証に成功した場合のみアクセス可能となる領域である。   The hidden area 171 is an area for storing programs used by the CPU 120 and information related to user authentication (to be described later) and data encryption stored in the flash memory 170. The free area 172 is an area that can be accessed without performing user authentication. The secure area 174 is an area that can be accessed only when the user authentication is successful.

マスターブートレコード領域181,186は、USBフラッシュメモリ10の起動時に最初に読み出される領域であり、USBフラッシュメモリ10のドライバを起動させるための情報等を記憶する領域である。パーティション情報領域182,187は、上述の内部領域の位置や大きさなどを記録したパーティションテーブルを記憶する領域である。ファイルシステム情報領域183,188は、ファイルやディレクトリを管理する情報を記憶する領域である。データ情報領域184,189は、フラッシュメモリ170に保存すべきデータを記憶する領域である。   The master boot record areas 181 and 186 are areas that are read first when the USB flash memory 10 is started up, and are areas for storing information for starting up the driver of the USB flash memory 10. The partition information areas 182 and 187 are areas for storing a partition table in which the position and size of the internal area described above are recorded. The file system information areas 183 and 188 are areas for storing information for managing files and directories. The data information areas 184 and 189 are areas for storing data to be stored in the flash memory 170.

上述の隠し領域171は、専用のプログラムを用いてしか見ることができない領域である。したがって、USBフラッシュメモリ10を接続したホストコンピュータPCのOS上では、通常、見ることができない。一方、フリー領域172は、USBフラッシュメモリ10をホストコンピュータPCに接続しただけで、ホストコンピュータPCのOS上で見ることができる領域である。また、セキュア領域174は、利用者認証が成功した後に見ることができる領域である。   The hidden area 171 described above is an area that can only be viewed using a dedicated program. Therefore, it cannot normally be seen on the OS of the host computer PC to which the USB flash memory 10 is connected. On the other hand, the free area 172 is an area that can be viewed on the OS of the host computer PC just by connecting the USB flash memory 10 to the host computer PC. The secure area 174 is an area that can be viewed after successful user authentication.

このUSBフラッシュメモリ10は、他人に知られたくない情報をフラッシュメモリ170のセキュア領域用データ情報領域189に記憶させる場合のセキュリティ機能として、暗号化機能と利用者認証機能を備えている。暗号化機能は、上述の暗号用回路150を用いて、USBフラッシュメモリ10と接続されたホストコンピュータPCが記憶するデータを暗号化してセキュア領域用データ情報領域189に記憶させ、また、セキュア領域用データ情報領域189に記憶した暗号化されたデータを復号化して、ホストコンピュータPCに出力させる機能である。利用者認証機能は、利用者がUSBフラッシュメモリ10を利用する際に、利用者にパスワード等の情報を入力させて、予め利用を許された利用者であるか否かを確認し、予め利用を許された利用者であることが確認できた場合にのみUSBフラッシュメモリ10のセキュア領域174の使用が許可される機能である。   The USB flash memory 10 includes an encryption function and a user authentication function as security functions for storing information that is not desired to be known by others in the secure area data information area 189 of the flash memory 170. The encryption function uses the encryption circuit 150 described above to encrypt data stored in the host computer PC connected to the USB flash memory 10 and store it in the secure area data information area 189. This function decrypts the encrypted data stored in the data information area 189 and outputs it to the host computer PC. When the user uses the USB flash memory 10, the user authentication function allows the user to input information such as a password, confirms whether or not the user is permitted in advance, and uses it in advance. This is a function that permits use of the secure area 174 of the USB flash memory 10 only when it is confirmed that the user is permitted.

また、このUSBフラッシュメモリ10は、ユーザモード、管理者モードと呼ばれる2つの利用モードを備えている。ユーザモードでは、USBフラッシュメモリ10をホストコンピュータPCに接続して、ホストコンピュータPCが記憶するデータをフリー領域用データ情報領域184や、セキュア領域用データ情報領域189に記憶させたり、フリー領域用データ情報領域184や、セキュア領域用データ情報領域189に記憶したデータをホストコンピュータPCに出力したりすることができる。管理者モードでは、上述のユーザモードでの動作に加えて、USBフラッシュメモリ10の各種設定、例えば、ユーザパスワードを間違えて入力した場合の許容入力回数を制限する設定やフリー領域172を変更できないようにする設定などを行うことができる。したがって、上述の利用者認証機能は、ユーザモードへの認証と管理者モードへの認証とが用意されている。   The USB flash memory 10 has two usage modes called a user mode and an administrator mode. In the user mode, the USB flash memory 10 is connected to the host computer PC, and data stored in the host computer PC is stored in the free area data information area 184 or the secure area data information area 189, or free area data is stored. Data stored in the information area 184 and the secure area data information area 189 can be output to the host computer PC. In the administrator mode, in addition to the operation in the user mode described above, various settings of the USB flash memory 10, for example, the setting for limiting the allowable number of inputs when the user password is entered incorrectly and the free area 172 cannot be changed. You can make settings. Therefore, the user authentication function described above is prepared for user mode authentication and administrator mode authentication.

(2)利用者認証の初期設定方法:
図3は、USBフラッシュメモリ10の利用者認証を行うための初期設定の手順を示すフローチャートである。この初期設定は、上述の管理者のみが実施権限を持っている。図示する一連の処理は、管理者が、USBフラッシュメモリ10を管理者用のコンピュータPCmに接続し、コンピュータPCmのモニタに表示される選択画面の中から「初期設定」を選択することで開始される。この処理が開始されると、CPU120は、初期設定を行う管理者からユーザ用仮パスワードPW0を受け付ける(ステップS100)。このユーザ用仮パスワードPW0は、デフォルトパスワードとして、出荷時に決められているものであり、ユーザがUSBフラッシュメモリ10を使用する際には、ユーザ用パスワードPW1に変更することが可能である(詳細は後述)。 (2) Initial setting method for user authentication:
FIG. 3 is a flowchart showing an initial setting procedure for user authentication of the USB flash memory 10. Only the above-mentioned administrator has the authority to perform this initial setting. The series of processing shown in the figure is started when the administrator connects the USB flash memory 10 to the computer PCm for the administrator and selects “initial setting” from the selection screen displayed on the monitor of the computer PCm. The When this process is started, the CPU 120 receives the user temporary password PW0 from the administrator who performs the initial setting (step S100). This temporary user password PW0 is determined as a default password at the time of shipment, and can be changed to the user password PW1 when the user uses the USB flash memory 10 (details are given below) Later).

次に、CPU120は、受け付けたユーザ用仮パスワードPW0から鍵A0を生成する(ステップS110)。なお、本実施例においては、鍵A0は、受け付けたユーザ用仮パスワードPW0の文字列をUNICODEにより数値変換するものとしたが、これに限られるものではなく、入力されたパスワードから一意に求められる鍵を生成できる方法であればよい。例えば、疑似乱数生成器を用いてソルトを生成し、このソルトとユーザ用仮パスワードPW0から一方向ハッシュ関数を用いて、鍵A0を生成するなど、別の方法を用いてもよい。   Next, the CPU 120 generates a key A0 from the received user temporary password PW0 (step S110). In this embodiment, the key A0 is obtained by converting the character string of the received user temporary password PW0 by UNICODE. However, the present invention is not limited to this, and the key A0 is uniquely obtained from the input password. Any method that can generate a key may be used. For example, another method may be used such as generating a salt using a pseudo-random number generator and generating a key A0 using the one-way hash function from the salt and the user temporary password PW0.

鍵A0を生成すると、CPU120は、暗号用回路150を用いて、RSA暗号の鍵ペアであるユーザ用公開鍵B0とユーザ用秘密鍵C0を生成する(ステップS120)。   When the key A0 is generated, the CPU 120 uses the encryption circuit 150 to generate the user public key B0 and the user private key C0, which are RSA encryption key pairs (step S120).

そして、CPU120は、上記ステップS120で生成したユーザ用公開鍵B0で、上記ステップS110で生成した鍵A0を暗号化し、鍵A0B0を生成し(ステップS130)、この鍵A0B0とユーザ用公開鍵B0とをフラッシュメモリ170の隠し領域171に保存する(ステップS140,S150)とともに、鍵A0を、USBフラッシュメモリ1に接続されたコンピュータPCmのRAMに保存する(ステップS160)。なお、鍵A0B0、ユーザ用公開鍵B0は、後述する利用者認証に用いる情報であり、このような情報を上述のように隠し領域171に保存すれば、万一、USBフラッシュメモリ10が紛失等により第3者に渡った場合であっても、容易に利用者認証を行うことができず、USBメモリ10に保存したデータの機密性を確保することができる。   Then, the CPU 120 encrypts the key A0 generated in step S110 with the user public key B0 generated in step S120 to generate a key A0B0 (step S130). The key A0B0 and the user public key B0 Is stored in the hidden area 171 of the flash memory 170 (steps S140 and S150), and the key A0 is stored in the RAM of the computer PCm connected to the USB flash memory 1 (step S160). The key A0B0 and the user public key B0 are information used for user authentication to be described later. If such information is stored in the hidden area 171 as described above, the USB flash memory 10 should be lost. Thus, even when the data is transferred to a third party, user authentication cannot be easily performed, and the confidentiality of the data stored in the USB memory 10 can be ensured.

次に、CPU120は、暗号用回路150を用いて、RSA暗号の鍵ペアである管理者用公開鍵D0と管理者用秘密鍵E0を生成する(ステップS170)。   Next, the CPU 120 uses the encryption circuit 150 to generate an administrator public key D0 and an administrator private key E0, which are RSA encryption key pairs (step S170).

そして、CPU120は、上記ステップS170で生成した管理者用公開鍵D0で、上記ステップS160でコンピュータPCmのRAMに保存した鍵A0を読み出して暗号化し、鍵A0D0を生成し(ステップS180)、この鍵A0D0と管理者用公開鍵D0とをフラッシュメモリ170の隠し領域171に保存する(ステップS190,S200)。   The CPU 120 reads and encrypts the key A0 stored in the RAM of the computer PCm in step S160 with the administrator public key D0 generated in step S170, and generates the key A0D0 (step S180). A0D0 and the administrator public key D0 are stored in the hidden area 171 of the flash memory 170 (steps S190 and S200).

そして、CPU120は、コンピュータPCmのモニタに、管理者用秘密鍵E0の保存場所の入力指示画面を表示して、管理者の入力を受け付け、管理者用秘密鍵E0を、管理者用のコンピュータPCmのハードディスクの指定された場所に保存する(ステップS210)。   Then, the CPU 120 displays an input instruction screen for the storage location of the administrator private key E0 on the monitor of the computer PCm, accepts the administrator input, and assigns the administrator private key E0 to the administrator computer PCm. Is stored in the designated location of the hard disk (step S210).

以上の処理により、管理者による利用者認証のための初期設定は完了する。これにより、USBフラッシュメモリ10は、接続していたコンピュータPCmから取り外され、ユーザの利用に供される。なお、上述の鍵A0、鍵A0B0、鍵A0B0は、それぞれ、請求項の第1の鍵、第2の鍵、第3の鍵の例である。   With the above process, the initial setting for user authentication by the administrator is completed. As a result, the USB flash memory 10 is removed from the connected computer PCm and is used by the user. The above-described key A0, key A0B0, and key A0B0 are examples of the first key, the second key, and the third key, respectively, in the claims.

(3)ユーザ認証方法:
図4は、ユーザが、ユーザモードでUSBフラッシュメモリ10のセキュア領域174の利用を行う際の利用者認証の手順を示すフローチャートである。図示する一連の処理は、ユーザが、上述の初期設定が完了したUSBフラッシュメモリ10をユーザ用のコンピュータPCuに接続し、コンピュータPCuのモニタに表示される選択画面の中から「ユーザモード認証」を選択することで開始される。ユーザは、このUSBフラッシュメモリ10のセキュア領域174を利用するためには、以下に説明するユーザ認証を経なければならない。この処理が開始されると、USBフラッシュメモリ10のCPU120は、ユーザからユーザ用仮パスワードPW0を受け付ける(ステップS300)。なお、ステップS300においてユーザ用仮パスワードPW0を受け付けるのは、後述するユーザ用パスワードの変更がなされる前の段階であり、ユーザが、ユーザ用仮パスワードPW0を所望のユーザ用パスワードPW1に変更した場合には、ユーザ用パスワードPW1を受け付けることとなる。 (3) User authentication method:
FIG. 4 is a flowchart showing a user authentication procedure when the user uses the secure area 174 of the USB flash memory 10 in the user mode. In the series of processes shown in the figure, the user connects the USB flash memory 10 for which the above-described initial setting has been completed to the user computer PCu, and performs “user mode authentication” from a selection screen displayed on the monitor of the computer PCu. Start by selecting. In order to use the secure area 174 of the USB flash memory 10, the user must undergo user authentication described below. When this process is started, the CPU 120 of the USB flash memory 10 receives the user temporary password PW0 from the user (step S300). In step S300, the temporary user password PW0 is accepted before the user password to be described later is changed. When the user changes the temporary user password PW0 to the desired user password PW1. The user password PW1 is accepted.

次に、CPU120は、受け付けたユーザ用仮パスワードPW0から鍵A0を生成する(ステップS300)。この処理は、上記ステップS110と同一の処理である。   Next, the CPU 120 generates a key A0 from the received user temporary password PW0 (step S300). This process is the same process as step S110.

鍵A0を生成すると、CPU120は、フラッシュメモリ170の隠し領域171から、上記ステップS150で保存されたユーザ用公開鍵B0を読み出し、このユーザ用公開鍵B0で、上記ステップS300で生成された鍵A0を暗号化し、鍵A0B0を生成する(ステップS320)。   When the key A0 is generated, the CPU 120 reads the user public key B0 stored in step S150 from the hidden area 171 of the flash memory 170, and uses the user public key B0 to generate the key A0 generated in step S300. Is encrypted to generate a key A0B0 (step S320).

鍵A0B0を生成すると、CPU120は、このステップS320で生成された鍵A0B0と、上記ステップS140でフラッシュメモリ170の隠し領域171に保存された鍵A0B0とを照合する(ステップ330)。   When the key A0B0 is generated, the CPU 120 collates the key A0B0 generated in step S320 with the key A0B0 stored in the hidden area 171 of the flash memory 170 in step S140 (step 330).

その結果、両鍵が一致しなければ(ステップS330:NO)、ステップS300で入力されたユーザ用仮パスワードが正しくないということであり、CPU120は、USBフラッシュメモリ10が接続されたコンピュータPCuの画面にエラー表示をさせ(ステップS340)、ステップS300に戻る。   As a result, if the two keys do not match (step S330: NO), it means that the user temporary password input in step S300 is incorrect, and the CPU 120 displays the screen of the computer PCu to which the USB flash memory 10 is connected. Display an error (step S340), and return to step S300.

一方、両鍵が一致すれば(ステップS330:YES)、ステップS300で入力されたユーザ用仮パスワードが正しいということであり、CPU120は、鍵A0をコンピュータPCuのRAMに保存して(ステップS350)、ユーザ操作モードへ移行し(ステップS360)、ユーザモードでの利用者認証を完了する。このユーザ操作モードでは、フリー領域用データ情報領域184及びセキュア領域用データ情報領域189へのデータの入出力の他、フリー領域172とセキュア領域174との割合変更や、後述するユーザ用パスワードの変更が可能である。なお、上記ステップS350で鍵A0をコンピュータPCuのRAMに保存するのは、USBフラッシュメモリ10をコンピュータPCuから取り外した場合に、セキュリティの観点から、鍵A0をUSBフラッシュメモリ10内に残さないようにするためであり、USBフラッシュメモリ10のSRAM140に保存することでもよい。また、本実施例においては、この鍵A0は、セキュア領域用データ情報領域189にデータを暗号化して保存する場合の暗号鍵として使用される(詳細は後述)。   On the other hand, if both keys match (step S330: YES), it means that the user temporary password input in step S300 is correct, and the CPU 120 stores the key A0 in the RAM of the computer PCu (step S350). Then, the user operation mode is entered (step S360), and the user authentication in the user mode is completed. In this user operation mode, in addition to inputting / outputting data to / from the free area data information area 184 and secure area data information area 189, the ratio between the free area 172 and the secure area 174 is changed, and a user password to be described later is changed. Is possible. Note that the key A0 is stored in the RAM of the computer PCu in the step S350 so that the key A0 is not left in the USB flash memory 10 from the viewpoint of security when the USB flash memory 10 is removed from the computer PCu. For this purpose, it may be stored in the SRAM 140 of the USB flash memory 10. In this embodiment, the key A0 is used as an encryption key when data is encrypted and stored in the secure area data information area 189 (details will be described later).

なお、上記ステップS310で生成された鍵A0は、請求項の第4の鍵の例であり、上記ステップS320で生成された鍵A0B0は、請求項の第5の鍵の例である。   The key A0 generated in step S310 is an example of the fourth key in the claims, and the key A0B0 generated in step S320 is an example of the fifth key in the claims.

(4)ユーザパスワード変更方法:
図5は、ユーザが、ユーザモードでUSBフラッシュメモリ10のユーザ用パスワードの変更を行う際の手順を示すフローチャートである。ユーザは、上述のユーザ認証に成功すると、フラッシュメモリ170内のセキュア領域174へのアクセスの他に、ユーザ用パスワードを変更する権限を持っている。図示する一連の処理は、ユーザが、USBフラッシュメモリ10をユーザ用のコンピュータPCuに接続し、上述のユーザモード認証を行ってユーザ操作モードに移行させた後、コンピュータPCuのモニタに表示される選択画面の中から「ユーザ用パスワード変更」を選択することで開始される。この処理が開始されると、USBフラッシュメモリ10のCPU120は、ユーザからユーザ用新パスワードPW1を受け付ける(ステップS400)。 (4) User password change method:
FIG. 5 is a flowchart illustrating a procedure when the user changes the user password of the USB flash memory 10 in the user mode. When the user authentication is successful, the user has the authority to change the user password in addition to accessing the secure area 174 in the flash memory 170. The series of processes shown in the figure is a selection that is displayed on the monitor of the computer PCu after the user connects the USB flash memory 10 to the user computer PCu, performs the above-described user mode authentication and shifts to the user operation mode. Start by selecting "Change User Password" from the screen. When this process is started, the CPU 120 of the USB flash memory 10 receives a new user password PW1 from the user (step S400).

次に、CPU120は、受け付けたユーザ用新パスワードPW1から鍵A1を生成する(ステップS110)。なお、鍵A1の生成方法は、上記ステップS110と同一である。   Next, the CPU 120 generates a key A1 from the received new user password PW1 (step S110). The method for generating the key A1 is the same as that in step S110.

鍵A1を生成すると、CPU120は、暗号用回路150を用いて、RSA暗号の新たな鍵ペアであるユーザ用公開鍵B1とユーザ用秘密鍵C1を生成する(ステップS420)。   When the key A1 is generated, the CPU 120 uses the encryption circuit 150 to generate a user public key B1 and a user private key C1 that are a new RSA encryption key pair (step S420).

次に、CPU120は、上記ステップS420で生成したユーザ用公開鍵B1が、上記ステップS120で生成されたユーザ用公開鍵B0と同一でなく、かつ、上記ステップS170で生成された管理者用公開鍵D0と同一でないかを判断する(ステップS430)。その結果、ユーザ用公開鍵B1が、ユーザ用公開鍵B0または管理者用公開鍵D0と同一であると判断された場合には(ステップS430:NO)、CPU120は、処理をステップS420に戻し、再度、ユーザ用公開鍵とユーザ用秘密鍵を生成し直す。   Next, the CPU 120 determines that the user public key B1 generated in step S420 is not the same as the user public key B0 generated in step S120, and the administrator public key generated in step S170. It is determined whether it is not the same as D0 (step S430). As a result, when it is determined that the user public key B1 is the same as the user public key B0 or the administrator public key D0 (step S430: NO), the CPU 120 returns the process to step S420. The user public key and the user private key are generated again.

一方、ユーザ用公開鍵B1が、ユーザ用公開鍵B0と同一でなく、かつ管理者用公開鍵D0と同一でない判断された場合には(ステップS430:YES)、CPU120は、上記ステップS420で生成したユーザ用公開鍵B1で、上記ステップS410で生成した鍵A1を暗号化し、鍵A1B1を生成し(ステップS440)、この鍵A1B1とユーザ用公開鍵B1とをフラッシュメモリ170の隠し領域171に保存する(ステップS450,S460)。   On the other hand, if it is determined that the user public key B1 is not the same as the user public key B0 and not the same as the administrator public key D0 (step S430: YES), the CPU 120 generates in step S420. The user public key B1 is used to encrypt the key A1 generated in step S410 to generate a key A1B1 (step S440). The key A1B1 and the user public key B1 are stored in the hidden area 171 of the flash memory 170. (Steps S450 and S460).

次に、CPU120は、上記ステップS170で生成した管理者用公開鍵D0で、上記ステップS410で生成した鍵A1を暗号化し、鍵A1D0を生成し(ステップS470)、この鍵A1D0をフラッシュメモリ170の隠し領域171に保存する(ステップS480)。   Next, the CPU 120 encrypts the key A1 generated in step S410 with the administrator public key D0 generated in step S170 to generate a key A1D0 (step S470). The key A1D0 is stored in the flash memory 170. Saving in the hidden area 171 (step S480).

以上により、ユーザによるユーザ用パスワードの設定が完了し、この後、ユーザは自らが所望する新たなパスワードを使用してユーザ認証を行うことができる。   Thus, the setting of the user password by the user is completed, and thereafter, the user can perform user authentication using a new password desired by the user.

なお、本実施例においては、上記ステップS420において、ユーザ用公開鍵B1、ユーザ用秘密鍵C1を新たに生成したが、これは同一の鍵ペアを使用し続けるよりも、ユーザ用パスワードの変更という契機を利用して、新たな鍵ペアに変更した方がセキュリティを向上させることができると考えられるためであり、必ずしも行う必要があるわけではない。新たに生成したユーザ用公開鍵B1に代えて、図3に示した初期設定のステップS120において生成したユーザ用公開鍵B0をそのまま用いてもよい。その場合には、上記ステップS420,S430は不要となり、上記ステップ440で鍵A1B1に代えて鍵A1B0を生成することとなる。また、上記ステップS440〜S490は図3に示した初期設定の変更にあたり、上述の鍵A1B1、鍵A1D0は、請求項の新たな第2及び第3の鍵の例である。   In this embodiment, the user public key B1 and the user private key C1 are newly generated in the above step S420. This is a change of the user password rather than continuing to use the same key pair. This is because it is considered that security can be improved by changing to a new key pair by using an opportunity, and this is not necessarily performed. Instead of the newly generated user public key B1, the user public key B0 generated in the initial setting step S120 shown in FIG. 3 may be used as it is. In that case, the steps S420 and S430 are not necessary, and the key A1B0 is generated instead of the key A1B1 in the step 440. The steps S440 to S490 correspond to the change of the initial setting shown in FIG. 3, and the keys A1B1 and A1D0 are examples of new second and third keys in the claims.

(5)管理者認証方法:
図6は、管理者が、管理者モードでUSBフラッシュメモリ10のセキュア領域174の利用または各種設定を行う際の管理者認証の手順を示すフローチャートである。図示する一連の処理は、管理者がUSBフラッシュメモリ10を管理者用のコンピュータPCmに接続し、コンピュータPCmのモニタに表示される選択画面の中から「管理者モード認証」を選択することで開始される。管理者は、このUSBフラッシュメモリ10のセキュア領域174を利用するためには、以下に説明する管理者認証を経なければならない。なお、図示する例は、この処理に先駆けて、上述のユーザ用パスワードの変更がなされた場合である。この処理が開始されると、USBフラッシュメモリ10のCPU120は、管理者から管理者用の認証鍵である管理者用秘密鍵E0を受け付ける(ステップS600)。 (5) Administrator authentication method:
FIG. 6 is a flowchart showing the procedure of administrator authentication when the administrator uses the secure area 174 of the USB flash memory 10 or makes various settings in the administrator mode. The series of processes shown in the figure starts when the administrator connects the USB flash memory 10 to the administrator computer PCm and selects “administrator mode authentication” from the selection screen displayed on the monitor of the computer PCm. Is done. In order to use the secure area 174 of the USB flash memory 10, the administrator must perform administrator authentication described below. In the example shown in the figure, the above-described user password is changed prior to this processing. When this process is started, the CPU 120 of the USB flash memory 10 receives an administrator private key E0, which is an administrator authentication key, from the administrator (step S600).

この処理は、本実施例では、CPU120がコンピュータPCmのモニタに表示させる指示画面に従い、管理者が、管理者用秘密鍵E0の保存場所(本実施例においては、図3の初期設定のステップS210において指定した、コンピュータPCmのハードディスクの所定の場所)を指定し、CPU120が、その指定された場所に保存された管理者用秘密鍵E0を読み込んで受け付けることとしたが、これに限るものではない。例えば、管理者がコンピュータPCmのハードディスクの所定の場所に保存された管理者用秘密鍵E0の内容をコピーして、CPU120がコンピュータPCmの画面に表示させる指示画面にペーストする操作に応じて、CPU120が管理者用秘密鍵E0を受け付ける方法や、管理者が予め紙面に記録した管理者用秘密鍵E0の内容を入力することで、CPU120が管理者用秘密鍵E0を受け付ける方法など、種々の方法が考えられる。   In this embodiment, in accordance with the instruction screen displayed on the monitor of the computer PCm by the CPU 120 in this embodiment, the administrator saves the administrator private key E0 (in this embodiment, the initial setting step S210 in FIG. 3). The CPU 120 reads and accepts the administrator private key E0 stored in the designated location. However, the present invention is not limited to this. . For example, in response to an operation in which the administrator copies the contents of the administrator private key E0 stored in a predetermined location on the hard disk of the computer PCm and pastes it on the instruction screen displayed on the screen of the computer PCm, the CPU 120 Various methods such as a method for accepting the administrator private key E0 and a method for the CPU 120 to accept the administrator private key E0 by inputting the contents of the administrator private key E0 recorded in advance on the paper by the administrator. Can be considered.

管理者用秘密鍵E0を受け付けると、CPU120は、フラッシュメモリ170の隠し領域171から、上記ステップS480で保存された鍵A1D0を読み出し、この鍵A1D0を、上記ステップS600で受け付けた管理者用秘密鍵E0で復号化し、第6の鍵である鍵A1を生成する(ステップS610)。   When the administrator private key E0 is received, the CPU 120 reads the key A1D0 stored in step S480 from the hidden area 171 of the flash memory 170, and this key A1D0 is received in step S600. Decrypted with E0 to generate a key A1 as a sixth key (step S610).

鍵A1を生成すると、CPU120は、フラッシュメモリ170の隠し領域171から、上記ステップS460で保存されたユーザ用公開鍵B1を読み出し、このユーザ用公開鍵B1で、上記ステップS610で生成された鍵A1を暗号化し、第7の鍵である鍵A1B1を生成する(ステップS620)。   When the key A1 is generated, the CPU 120 reads out the user public key B1 stored in step S460 from the hidden area 171 of the flash memory 170, and uses the user public key B1 to generate the key A1 generated in step S610. Is encrypted to generate a key A1B1, which is a seventh key (step S620).

鍵A1B1を生成すると、CPU120は、このステップS620で生成された鍵A0B0と、上記ステップS450でフラッシュメモリ170の隠し領域171に保存された鍵A1B1とを照合する(ステップS630)。   When the key A1B1 is generated, the CPU 120 collates the key A0B0 generated in step S620 with the key A1B1 stored in the hidden area 171 of the flash memory 170 in step S450 (step S630).

その結果、両鍵が一致しなければ(ステップS630:NO)、上記ステップS600で受け付けた管理者用秘密鍵E0(管理者用認証鍵)が正しくないということであり、CPU120は、USBフラッシュメモリ10が接続されたコンピュータPCmの画面にエラー表示をさせ(ステップS640)、ステップS600に戻る。   As a result, if the two keys do not match (step S630: NO), the manager private key E0 (administrator authentication key) received in step S600 is incorrect, and the CPU 120 stores the USB flash memory. An error is displayed on the screen of the computer PCm to which 10 is connected (step S640), and the process returns to step S600.

一方、両鍵が一致すれば(ステップS630:YES)、上記ステップS600で受け付けた管理者用秘密鍵E0が正しいということであり、CPU120は、鍵A1をコンピュータPCmのRAMに保存して(ステップS650)、管理者操作モードへ移行し(ステップS660)、管理者モードでの利用者認証を完了する。この管理者操作モードでは、ユーザ操作モードで可能な操作に加えて、USBフラッシュメモリ10に係る各種設定が可能である。なお、鍵A1をコンピュータPCmのRAMに保存するのは、USBフラッシュメモリ10をコンピュータPCmから取り外した場合に、鍵A1をUSBフラッシュメモリ10内に残さないようにするためであり、USBフラッシュメモリ10のSRAM140に保存することでもよい。また、この鍵A1は、フラッシュメモリ170でデータを暗号化して保存する場合の暗号鍵として使用してもよい(詳細は後述)。   On the other hand, if the two keys match (step S630: YES), it means that the administrator private key E0 received in step S600 is correct, and the CPU 120 stores the key A1 in the RAM of the computer PCm (step S600). In step S650, the process shifts to the administrator operation mode (step S660), and the user authentication in the administrator mode is completed. In this administrator operation mode, various settings related to the USB flash memory 10 can be made in addition to the operations possible in the user operation mode. The reason why the key A1 is stored in the RAM of the computer PCm is to prevent the key A1 from being left in the USB flash memory 10 when the USB flash memory 10 is removed from the computer PCm. It may be stored in the SRAM 140. The key A1 may be used as an encryption key when data is encrypted and stored in the flash memory 170 (details will be described later).

なお、上記の例では、管理者認証を行う前に、図5によるユーザ用パスワードの変更を行って、ユーザ用パスワードPW1を設定しているものとして、上記ステップS610においては、上記ステップS480でフラッシュメモリ170に保存された鍵A1D0を読み出し、これを復号化して鍵A1を生成し、これを暗号化してA1B1を生成し、これと上記ステップS450でフラッシュメモリ170に保存された鍵A1B1とを照合して、管理者認証を行ったが、ユーザが図5によるユーザパスワード変更を行わず、デフォルトのユーザ用仮パスワードPW0のまま、USBフラッシュメモリ10を利用していた場合には、上記ステップS190でフラッシュメモリ170に保存された鍵A0D0を読み出し、これを復号化して鍵A0を生成し、これを暗号化してA0B0を生成し、これと上記ステップS140でフラッシュメモリ170に保存された鍵A0B0とを照合して、管理者認証を行うことは勿論である。   In the above example, it is assumed that the user password is changed according to FIG. 5 and the user password PW1 is set before performing the administrator authentication. In step S610, the flash in step S480 is performed. Reads the key A1D0 stored in the memory 170, decrypts it to generate the key A1, encrypts it to generate A1B1, and collates it with the key A1B1 stored in the flash memory 170 in step S450 above If the user authentication is performed but the user does not change the user password shown in FIG. 5 and the default user temporary password PW0 is used and the USB flash memory 10 is used, the process proceeds to step S190. The key A0D0 stored in the flash memory 170 is read and decrypted to obtain the key A0. Form, which generates an A0B0 by encrypting, by matching the key A0B0 stored in the flash memory 170 in which the above step S140, it is of course to perform the administrator authentication.

なお、上記ステップS610で生成された鍵A1は、請求項の第6の鍵の例であり、上記ステップS620で生成された鍵A1B1は、請求項の第7の鍵の例である。   Note that the key A1 generated in step S610 is an example of a sixth key in the claims, and the key A1B1 generated in step S620 is an example of the seventh key in the claims.

かかる構成のUSBフラッシュメモリ10は、ユーザ及び管理者の認証にそれぞれ異なる方法を用いるため、セキュリティ強度を低下させずに複数の利用者の認証を行える。また、管理者が初期設定を行った後に、ユーザの利用に供し、ユーザが自ら所望する新たなパスワードを設定しても、管理者は、自らのコンピュータPCmに保存している管理者用秘密鍵E0を用いて、管理者認証を行うことができる。したがって、USBフラッシュメモリ10の運用が容易となる。   Since the USB flash memory 10 having such a configuration uses different methods for user and administrator authentication, it is possible to authenticate a plurality of users without lowering the security strength. In addition, even after the administrator makes initial settings, the administrator uses the administrator's private key stored in his / her computer PCm even if the user sets a new password desired by himself / herself. Administrator authentication can be performed using E0. Therefore, the operation of the USB flash memory 10 is facilitated.

(6)データの暗号化保存方法:
図7は、ユーザが、ユーザ用コンピュータPCuに保存された所定のデータDを暗号化して、USBフラッシュメモリ10が備えるフラッシュメモリ170のセキュア領域用データ情報領域189に保存する手順を示すフローチャートである。図示する一連の処理は、ユーザが、図4のユーザモードでの認証に成功し、ユーザ操作モードへ移行した後、所定の指示、例えば、コンピュータPCuのモニタ上に表示された暗号化領域を示すウィンドウに、フラッシュメモリ170に保存したいファイルをドラッグすることで開始される。この処理が開始されると、USBフラッシュメモリ10のCPU120は、ユーザ用コンピュータPCuのRAMから、図4のステップS350において保存した鍵A0を読み込む(ステップS700)。 (6) Data encryption storage method:
FIG. 7 is a flowchart showing a procedure in which the user encrypts predetermined data D stored in the user computer PCu and stores it in the secure area data information area 189 of the flash memory 170 included in the USB flash memory 10. . The series of processes shown in the figure shows a predetermined instruction, for example, an encryption area displayed on the monitor of the computer PCu after the user succeeds in the authentication in the user mode of FIG. 4 and shifts to the user operation mode. This is started by dragging a file to be saved in the flash memory 170 to the window. When this process is started, the CPU 120 of the USB flash memory 10 reads the key A0 stored in step S350 of FIG. 4 from the RAM of the user computer PCu (step S700).

鍵A0を読み込むと、CPU120は、ユーザ用コンピュータPCuから、USBコネクタ180を介して、フラッシュメモリ170に保存したいファイルのデータDを受け付け、SRAM140に保存する(ステップS710)。   When the key A0 is read, the CPU 120 receives the data D of the file to be stored in the flash memory 170 from the user computer PCu via the USB connector 180, and stores it in the SRAM 140 (step S710).

保存したいデータを受け付けると、CPU120は、上記ステップS700で読み込んだ鍵A0を共通鍵暗号化方式の共通鍵として、SRAM140、暗号用回路150を用いて、データを暗号化する(ステップS720)。なお、本実施例では、ユーザ用パスワードPW0から生成された鍵A0を上述の共通鍵として用いたが、これに限られるものではなく、ユーザ用パスワードPW0や鍵A0と関連しない鍵を用いてもよい。   When the data to be stored is received, the CPU 120 encrypts the data using the SRAM 140 and the encryption circuit 150 using the key A0 read in step S700 as a common key for the common key encryption method (step S720). In the present embodiment, the key A0 generated from the user password PW0 is used as the above-mentioned common key. However, the present invention is not limited to this, and a key not related to the user password PW0 or the key A0 may be used. Good.

そして、CPU120は、上記ステップS720で暗号化されたデータDをフラッシュメモリ170のセキュア領域用データ情報領域189に保存する(ステップS730)。   Then, the CPU 120 stores the data D encrypted in step S720 in the secure area data information area 189 of the flash memory 170 (step S730).

以上の処理により、ユーザ用コンピュータPCuに保存された所定のデータが、USBフラッシュメモリ10が備えるフラッシュメモリ170のセキュア領域用データ情報領域189に暗号化されて保存される。なお、上記の例では、図5に示したユーザ用パスワードの変更が行われていない状態で行われたものとして、共通鍵に鍵A0を用いたが、パスワード変更後であれば、当然、鍵A1が用いられることとなる。また、管理者が、管理者モードでの認証に成功し、管理者操作モードへ移行した後に行う場合についても同様である。さらに、図7の手順により暗号化して保存されたデータDを復号化して、ユーザ用コンピュータPCuに保存する場合についても、同様の流れで、共通鍵A0の読み込み、暗号化データの読み込み、復号化、コンピュータPCuの所定の場所への保存が行われる。   Through the above processing, predetermined data stored in the user computer PCu is encrypted and stored in the secure area data information area 189 of the flash memory 170 included in the USB flash memory 10. In the above example, it is assumed that the user password shown in FIG. 5 has not been changed, and the key A0 is used as the common key. A1 will be used. The same applies to the case where the administrator succeeds in authentication in the administrator mode and shifts to the administrator operation mode. Furthermore, when the data D encrypted and stored by the procedure of FIG. 7 is decrypted and stored in the user computer PCu, the common key A0 is read, the encrypted data is read and decrypted in the same flow. The computer PCu is stored in a predetermined location.

かかる構成のUSBフラッシュメモリ10は、利用者認証と保存データの暗号化に、公開鍵方式と共通鍵方式の2種類の暗号化方式を用いているために、1種類の暗号化方式を用いる場合と比べて、セキュリティが向上する。また、処理速度の速い共通鍵暗号化方式をデータの暗号化に用い、セキュリティの高い公開鍵暗号化方式を利用者認証用いることで、処理速度と記憶媒体のセキュリティを両立させることができる。   Since the USB flash memory 10 having such a configuration uses two types of encryption methods, a public key method and a common key method, for user authentication and encryption of stored data, one type of encryption method is used. Compared with security. In addition, by using a common key encryption method with a high processing speed for data encryption and using a public key encryption method with high security for user authentication, both the processing speed and the security of the storage medium can be achieved.

以上、本発明の実施例について説明したが、本発明はこうした実施例に限られるものではなく、本発明の要旨を脱しない範囲において、種々なる態様で実施できることは勿論である。例えば、本発明の記憶装置は、実施例に示したUSBフラッシュメモリに限らず、外付けハードディスクドライブ、CDドライブ、DVDドライブ、MOドライブ、ブルーレイドライブ、メモリカードリーダ等、種々の記憶装置に適用することができる。また、利用者認証方法としての形態でも実現が可能であり、例えば、ノート型コンピュータの利用者認証に適用して、管理者用秘密鍵E0をUSBフラッシュメモリに保存する態様や、携帯電話の利用者認証に適用して、管理者用秘密鍵E0をSDカードやminiSDに保存する態様など、種々の態様が考えられる。   As mentioned above, although the Example of this invention was described, this invention is not limited to such an Example, Of course, in the range which does not deviate from the summary of this invention, it can implement in a various aspect. For example, the storage device of the present invention is not limited to the USB flash memory shown in the embodiment, but can be applied to various storage devices such as an external hard disk drive, a CD drive, a DVD drive, an MO drive, a Blu-ray drive, and a memory card reader. be able to. Also, it can be realized in the form of a user authentication method. For example, it is applied to user authentication of a notebook computer, and an administrator private key E0 is stored in a USB flash memory, or a mobile phone is used. Various modes are conceivable, such as a mode in which the administrator private key E0 is stored in an SD card or miniSD by applying to the user authentication.

実施例としてのUSBフラッシュメモリ10の概略構成を示す説明図である。It is explanatory drawing which shows schematic structure of the USB flash memory 10 as an Example. フラッシュメモリ170の内部領域を示す説明図である。3 is an explanatory diagram showing an internal area of a flash memory 170. FIG. USBフラッシュメモリ10の利用者認証を行うための初期設定の手順を示すフローチャートである。4 is a flowchart showing a procedure of initial setting for performing user authentication of the USB flash memory 10; ユーザがユーザモードでUSBフラッシュメモリ10のセキュア領域174の利用を行う際の利用者認証の手順を示すフローチャートである。It is a flowchart which shows the user authentication procedure when a user uses the secure area 174 of the USB flash memory 10 in the user mode. ユーザがユーザモードでUSBフラッシュメモリ10のユーザ用パスワードの変更を行う際の手順を示すフローチャートである。It is a flowchart which shows the procedure at the time of a user changing the user password of the USB flash memory 10 in user mode. 管理者が管理者モードでUSBフラッシュメモリ10のセキュア領域174の利用または各種設定を行う際の管理者認証の手順を示すフローチャートである。4 is a flowchart showing a procedure for administrator authentication when the administrator uses the secure area 174 of the USB flash memory 10 or makes various settings in the administrator mode. ユーザがユーザ用コンピュータPCuに保存された所定のデータDを暗号化してUSBフラッシュメモリ10のセキュア領域用データ情報領域189に保存する手順を示すフローチャートである。4 is a flowchart showing a procedure in which a user encrypts predetermined data D stored in a user computer PCu and stores it in a secure area data information area 189 of the USB flash memory 10.

符号の説明Explanation of symbols

10…USBフラッシュメモリ
110…汎用入出力ポート
120…CPU
130…ROM
140…SRAM
150…暗号用回路
160…内部インターフェース
170…フラッシュメモリ
171…隠し領域
172…フリー領域
174…セキュア領域
181…フリー領域用マスターブートレコード領域
182…フリー領域用パーティション情報領域
183…フリー領域用ファイルシステム情報領域
184…フリー領域用データ情報領域
186…セキュア領域用マスターブートレコード領域
187…セキュア領域用パーティション情報領域
188…セキュア領域用ファイルシステム情報領域
189…セキュア領域用データ情報領域
190…USBコネクタ
200…電圧制御部 10 ... USB flash memory 110 ... General-purpose input / output port 120 ... CPU
130 ... ROM
140 ... SRAM
DESCRIPTION OF SYMBOLS 150 ... Circuit for encryption 160 ... Internal interface 170 ... Flash memory 171 ... Hidden area 172 ... Free area 174 ... Secure area 181 ... Master boot record area for free area 182 ... Partition information area for free area 183 ... File system information for free area Area 184 ... Free area data information area 186 ... Secure area master boot record area 187 ... Secure area partition information area 188 ... Secure area file system information area 189 ... Secure area data information area 190 ... USB connector 200 ... Voltage Control unit

Claims (9)

暗号化手段を用いて、利用者の認証を行える記憶装置であって、
所定の公開鍵と秘密鍵とを生成し、該公開鍵により暗号化を行い、該秘密鍵により復号化を行う公開鍵暗号化手段と、
前記記憶装置の利用者が入力する、前記記憶装置のユーザ用の識別情報を受け付けるユーザ用識別情報受付手段と、
前記利用者の認証を行うための初期設定として、前記公開鍵暗号化手段を用いて、前記ユーザ用の公開鍵と、前記記憶装置の管理者用の公開鍵と秘密鍵とを生成するとともに、前記管理者の入力に応じて前記ユーザ用識別情報受付手段により受け付けられたユーザ用の識別情報をもとに第1の鍵を生成し、該第1の鍵を前記ユーザ用の公開鍵で暗号化した第2の鍵と、前記管理者用の公開鍵で暗号化した第3の鍵とを生成し、前記ユーザ用の公開鍵と前記管理者用の公開鍵と前記第2の鍵と前記第3の鍵とを、前記記憶装置が備え、または前記記憶装置に接続され、所望のデータを記憶させるための第1の記憶媒体に記憶させる初期設定手段と、
前記ユーザの入力に応じて前記ユーザ用識別情報受付手段により受け付けられたユーザ用の識別情報をもとに第4の鍵を生成し、前記公開鍵暗号化手段を用いて、該第4の鍵を前記記憶されたユーザ用の公開鍵で暗号化して、第5の鍵を生成し、該第5の鍵と前記記憶された第2の鍵とを照合して、ユーザが少なくとも前記第1の記憶媒体にアクセス可能とするためのユーザの認証を行うユーザ認証手段と、
前記管理者の操作に応じて、前記管理者用の秘密鍵を受け付ける管理者用秘密鍵受付手段と、
前記公開鍵暗号化手段を用いて、前記管理者用秘密鍵受付手段により受け付けられた管理者用の秘密鍵で前記記憶された第3の鍵を復号化して第6の鍵を生成し、該第6の鍵を前記記憶されたユーザ用公開鍵で暗号化して第7の鍵を生成し、該第7の鍵と前記記憶された第2の鍵とを照合して、前記管理者が、前記第1の記憶媒体にアクセス可能とするとともに、前記第1の記憶媒体に係る各種設定を設定可能とするための管理者認証を行う管理者認証手段と
を備えた記憶装置。 A storage device capable of authenticating a user using an encryption means,
Public key encryption means for generating a predetermined public key and private key, performing encryption with the public key, and decrypting with the private key;
User identification information receiving means for receiving identification information for the user of the storage device input by a user of the storage device;
As an initial setting for authenticating the user, the public key encryption unit is used to generate a public key for the user, a public key and a secret key for the administrator of the storage device , and A first key is generated based on the user identification information received by the user identification information receiving means in response to the administrator input, and the first key is encrypted with the user public key. A second key that is encrypted, and a third key encrypted with the public key for the administrator, the public key for the user, the public key for the administrator, the second key, and the An initial setting means for storing a third key in a first storage medium provided in or connected to the storage device and for storing desired data;
A fourth key is generated based on the user identification information received by the user identification information receiving means in response to the user input, and the fourth key is generated using the public key encryption means. Is encrypted with the stored public key for the user, a fifth key is generated, the fifth key is compared with the stored second key, and the user checks at least the first key User authentication means for authenticating a user for enabling access to a storage medium;
An administrator private key receiving means for receiving the administrator private key in response to the operation of the administrator;
Using the public key encryption means to decrypt the stored third key with the administrator private key received by the administrator private key receiving means to generate a sixth key, A sixth key is encrypted with the stored user public key to generate a seventh key, the seventh key is compared with the stored second key, and the administrator A storage device comprising: administrator authentication means for performing administrator authentication for enabling access to the first storage medium and setting various settings relating to the first storage medium. 請求項1記載の記憶装置であって、
前記第1の記憶媒体は、所定のプログラムでしかアクセスできない隠し領域を備え、
前記初期設定手段は、前記ユーザ用の公開鍵と前記管理者用の公開鍵と前記第2の鍵と前記第3の鍵とを前記隠し領域に記憶させる
記憶装置。 The storage device according to claim 1,
The first storage medium includes a hidden area that can be accessed only by a predetermined program,
The initial setting means stores the public key for the user, the public key for the administrator, the second key, and the third key in the hidden area. 請求項1または請求項2記載の記憶装置であって、
前記初期設定手段は、更に、前記管理者用の秘密鍵を前記記憶装置と接続された第2の記憶媒体に記憶させ、
前記管理者用秘密鍵受付手段は、前記管理者の、前記管理者用の秘密鍵が記憶された場所を指定する操作に応じて、前記管理者用の秘密鍵を受け付ける
記憶装置。 The storage device according to claim 1 or 2,
The initial setting means further stores the secret key for the administrator in a second storage medium connected to the storage device,
The manager private key accepting unit accepts the manager secret key in response to an operation of the manager specifying a location where the manager secret key is stored. 請求項1ないし請求項3のいずれか記載の記憶装置であって、
更に、前記ユーザ認証が行われた後に、前記ユーザ用の識別情報を変更するために、前記ユーザの入力に応じて、新たなユーザ用の識別情報を受け付ける新ユーザ用識別情報受付手段と、
前記新ユーザ用識別情報受付手段が前記新たなユーザ用の識別情報を受け付けた時には、前記初期設定手段を用いて、前記新たなユーザ用の識別情報をもとに、少なくとも前記第1ないし第3の鍵を生成し直し、該生成し直した新たな第2の鍵及び新たな第3の鍵を前記第1の記憶媒体に記憶させて、初期設定を変更する初期設定変更手段と
を備えた記憶装置。 A storage device according to any one of claims 1 to 3,
Further, after the user authentication is performed, in order to change the user identification information, new user identification information receiving means for receiving new user identification information in response to the user input;
When the new user identification information accepting means accepts the new user identification information, the initial setting means is used to at least the first to third based on the new user identification information. And an initial setting changing means for changing the initial setting by storing the newly generated second key and the new third key in the first storage medium. Storage device. 請求項4記載の記憶装置であって、
前記初期設定変更手段は、前記新ユーザ用識別情報受付手段が前記新たなユーザ用の識別情報を受け付けた時には、前記初期設定手段を用いて、前記新たなユーザ用の識別情報をもとに、前記第1ないし第3の鍵と、前記ユーザ用の公開鍵とを生成し直し、該生成し直した新たな第2の鍵と新たな第3の鍵と新たなユーザ用の公開鍵とを前記第1の記憶媒体に記憶させて、初期設定を変更する
記憶装置。 The storage device according to claim 4,
When the new user identification information receiving means receives the new user identification information, the initial setting changing means uses the initial setting means based on the new user identification information. The first to third keys and the public key for the user are regenerated, and the regenerated new second key, the new third key, and the new public key for the user are generated. A storage device that stores the first storage medium and changes an initial setting. 請求項1ないし請求項5のいずれか記載の記憶装置であって、
更に、所定の共通鍵を生成し、該共通鍵により暗号化及び復号化を行う共通鍵暗号化手段と、
前記所望のデータを、前記第1の鍵を前記共通鍵暗号化手段の共通鍵として利用して暗号化して、前記第1の記憶媒体に入力するデータ入力手段と、
前記データ入力手段により暗号化して入力された所望のデータを、前記第1の鍵を前記共通鍵暗号化手段の共通鍵として利用して復号化して、前記第1の記憶媒体から出力するデータ出力手段と
を備えた記憶装置。 A storage device according to any one of claims 1 to 5,
And a common key encryption means for generating a predetermined common key and performing encryption and decryption using the common key;
Data input means for encrypting the desired data using the first key as a common key of the common key encryption means and inputting the desired data to the first storage medium;
Data output that is decrypted by using the first key as a common key of the common key encryption unit and is output from the first storage medium after being encrypted and input by the data input unit And a storage device. 請求項1ないし請求項6記載の記憶装置であって、
前記第1の記憶媒体は、前記ユーザ認証または前記管理者認証が行われる前において、アクセス可能な記憶領域を備えた
記憶装置。 The storage device according to claim 1, wherein:
The first storage medium includes a storage area that is accessible before the user authentication or the administrator authentication. 請求項1ないし請求項7記載の記憶装置であって、
前記第1の記憶媒体は、前記ユーザ認証または前記管理者認証が行われた後にのみ、アクセス可能な記憶領域を備えた
記憶装置。 The storage device according to any one of claims 1 to 7,
The first storage medium includes a storage area that can be accessed only after the user authentication or the administrator authentication is performed. 公開鍵暗号化手段を用いて、利用者が所定の装置を利用可能とするために利用者の認証を行う利用者認証方法であって、
前記利用者の認証を行うための初期設定として、前記装置が、該装置のユーザ用の公開鍵と、管理者用の公開鍵と秘密鍵とを生成すると共に、前記装置の管理者の入力に応じて前記ユーザ用の識別情報を受け付けて、該ユーザ用の識別情報をもとに第1の鍵を生成し、該第1の鍵を前記ユーザ用の公開鍵で暗号化した第2の鍵と、前記管理者用の公開鍵で暗号化した第3の鍵とを生成し、前記ユーザ用の公開鍵と前記管理者用の公開鍵と前記第2の鍵と前記第3の鍵とを、前記装置が備えた、または前記装置に接続された記憶媒体に記憶させ、
前記ユーザが前記装置の機能の少なくとも一部を利用可能とするためにユーザ認証を行う際には、前記ユーザの入力に応じて前記ユーザ用の識別情報を受け付けて、該ユーザ用の識別情報をもとに第4の鍵を生成し、該第4の鍵を前記記憶されたユーザ用の公開鍵で暗号化して、第5の鍵を生成し、該第5の鍵と前記記憶された第2の鍵とを照合して、認証を行い、
前記管理者が前記装置の機能を利用可能とするために管理者の認証を行う際には、前記管理者の操作に応じて管理者用の秘密鍵を受け付け、該管理者用の秘密鍵で前記記憶された第3の鍵を復号化して第6の鍵を生成し、該第6の鍵を前記記憶されたユーザ用公開鍵で暗号化して第7の鍵を生成し、該第7の鍵と前記記憶された第2の鍵とを照合して、認証を行う
利用者認証方法。 A user authentication method for authenticating a user so that the user can use a predetermined device by using public key encryption means,
As an initial setting for authenticating the user, the device generates a public key for the user of the device, a public key and a secret key for the administrator, and inputs to the administrator of the device. In response, the user identification information is received, a first key is generated based on the user identification information, and the first key is encrypted with the user public key. And a third key encrypted with the public key for the administrator, and the public key for the user, the public key for the administrator, the second key, and the third key , before KiSo location is provided, or is stored in the connected storage medium before KiSo location,
When performing user authentication so that the user can use at least part of the functions of the device, the user identification information is received in response to the user input, and the user identification information is A fourth key is generated, and the fourth key is encrypted with the stored public key for the user to generate a fifth key, and the fifth key and the stored second key are generated. Verify against the key of 2
When the administrator authenticates the administrator so that the functions of the device can be used, the administrator accepts a secret key for the administrator according to the operation of the administrator, and uses the secret key for the administrator. Decrypting the stored third key to generate a sixth key; encrypting the sixth key with the stored user public key to generate a seventh key; and A user authentication method for performing authentication by comparing a key with the stored second key.
JP2006334271A 2006-12-12 2006-12-12 Storage device and user authentication method Active JP5052878B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006334271A JP5052878B2 (en) 2006-12-12 2006-12-12 Storage device and user authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006334271A JP5052878B2 (en) 2006-12-12 2006-12-12 Storage device and user authentication method

Publications (2)

Publication Number Publication Date
JP2008148095A JP2008148095A (en) 2008-06-26
JP5052878B2 true JP5052878B2 (en) 2012-10-17

Family

ID=39607757

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006334271A Active JP5052878B2 (en) 2006-12-12 2006-12-12 Storage device and user authentication method

Country Status (1)

Country Link
JP (1) JP5052878B2 (en)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5094597B2 (en) * 2008-07-02 2012-12-12 本田技研工業株式会社 Driving assistance device
TWI497414B (en) * 2009-06-23 2015-08-21 Phison Electronics Corp File executing method and system
KR101150415B1 (en) * 2009-08-22 2012-06-01 (주)엠더블유스토리 Method of managing for security universal serial bus, and program recording media for managing security universal serial bus
US8650654B2 (en) 2010-09-17 2014-02-11 Kabushiki Kaisha Toshiba Memory device, memory system, and authentication method
JP2012079231A (en) * 2010-10-05 2012-04-19 Hitachi Ltd Authentication information management device and authentication information management method
JP5624510B2 (en) * 2011-04-08 2014-11-12 株式会社東芝 Storage device, storage system, and authentication method
JP4996764B2 (en) * 2011-10-20 2012-08-08 株式会社東芝 Storage system and authentication method
JP4960530B2 (en) * 2011-10-20 2012-06-27 株式会社東芝 Storage device and authentication method
JP6092159B2 (en) * 2014-06-13 2017-03-08 株式会社日立ソリューションズ Encryption key management apparatus and encryption key management method
JP6585153B2 (en) * 2014-07-16 2019-10-02 ビーエイイー・システムズ・インフォメーション・アンド・エレクトロニック・システムズ・インテグレイション・インコーポレーテッド A device using flash memory to store important or sensitive technical information and other data
FR3079044B1 (en) * 2018-03-14 2020-05-22 Ledger SECURE DATA PROCESSING

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002281024A (en) * 2001-03-15 2002-09-27 Hitachi Ltd Authentication processing method and system
JP2002300155A (en) * 2001-03-30 2002-10-11 Tokyo Electric Power Co Inc:The Mutual authentication method and mutual authentication system
JP4361752B2 (en) * 2003-03-31 2009-11-11 株式会社富士通ソーシアルサイエンスラボラトリ Access control method
JP4359236B2 (en) * 2004-12-24 2009-11-04 三菱電機インフォメーションシステムズ株式会社 Management system
JP4575228B2 (en) * 2005-04-26 2010-11-04 レノボ シンガポール プライヴェート リミテッド Use control method, management method, apparatus, and program of portable storage medium

Also Published As

Publication number Publication date
JP2008148095A (en) 2008-06-26

Similar Documents

Publication Publication Date Title
JP5052878B2 (en) Storage device and user authentication method
US8761403B2 (en) Method and system of secured data storage and recovery
US9576154B2 (en) Methods of operating storage systems including using a key to determine whether a password can be changed
JP4610557B2 (en) DATA MANAGEMENT METHOD, PROGRAM THEREOF, AND PROGRAM RECORDING MEDIUM
EP1785878B1 (en) Memory card, data exchanging system, and data exchanging method
US20080320317A1 (en) Electronic device and information processing method
JP6591495B2 (en) Mobile device with built-in access control function
CN113434853B (en) Method for burning firmware to storage device and controller
JP2007226667A (en) Data processor, data processing method and program
JP2004295358A (en) Information processor, encryption processing system thereof and method for controlling external storing device
JP4965512B2 (en) Authentication system, information processing device, storage device, authentication method and program thereof
CN111008390A (en) Root key generation protection method and device, solid state disk and storage medium
JP6751856B2 (en) Information processing equipment and information processing system
JP2007108833A (en) Device for storing a plurality of passwords and password management method
JP2009526472A (en) Data security including real-time key generation
JP2009129461A (en) Storage device, terminal device using the storage device, and using method thereof
JP2008225661A (en) Electronic apparatus and information processing method
JP3684179B2 (en) Memory card with security function
WO2003102795A1 (en) Network multi-access method and electronic device having biological information authentication function for network multi-access
TW201738802A (en) A removable security device and a method to prevent unauthorized exploitation and control access to files
JP2007282064A (en) Device and method for processing data, storage medium and program
JP2000029792A (en) Secret information storage device
JP2006268668A (en) Terminal authentication, terminal change method, operation terminal, authentication server, and authentication program
JP4760938B2 (en) KEY GENERATION PROGRAM, KEY RECORDING PROGRAM, KEY GENERATION DEVICE, PKI CARD, AND KEY RECORDING SYSTEM
JP2007251464A (en) Information management apparatus, information management system, information management method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091210

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120628

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120717

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120725

R150 Certificate of patent or registration of utility model

Ref document number: 5052878

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150803

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250