JP6175807B2 - 情報処理装置、プログラム - Google Patents

情報処理装置、プログラム Download PDF

Info

Publication number
JP6175807B2
JP6175807B2 JP2013042212A JP2013042212A JP6175807B2 JP 6175807 B2 JP6175807 B2 JP 6175807B2 JP 2013042212 A JP2013042212 A JP 2013042212A JP 2013042212 A JP2013042212 A JP 2013042212A JP 6175807 B2 JP6175807 B2 JP 6175807B2
Authority
JP
Japan
Prior art keywords
user
file
information
encryption information
specific
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013042212A
Other languages
English (en)
Other versions
JP2014170412A (ja
Inventor
透 松田
透 松田
斉藤 敦久
敦久 斉藤
弘 柿井
弘 柿井
和治 瀬本
和治 瀬本
広憲 堀野
広憲 堀野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2013042212A priority Critical patent/JP6175807B2/ja
Publication of JP2014170412A publication Critical patent/JP2014170412A/ja
Application granted granted Critical
Publication of JP6175807B2 publication Critical patent/JP6175807B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、外部装置とネットワークを介して接続された情報処理装置に関する。
HDD(Hard Disk Drive)やSSD(Solid State Drive)、又は、USBメモリなどの電子データの記憶手段がよく使用されている(以下、これらを電子的不揮発記憶媒体という)。一般的なOS(Operating System)では、ユーザが電子的不揮発記憶媒体に保存されているデータを削除した場合、OSのファイル管理システムが管理情報の修正によってデータを削除したことを記録することしか行わず、実際のデータは電子的不揮発記憶媒体に残されている。このため、市販の復元ツールはデータを復元できてしまうことが多い。
これに対して、特殊な削除用のツールは、媒体上のデータを、直接"0"や固定値、乱数などを組み合せて上書きすることでデータ復元を不能にする(データ完全消去)ことも可能である。しかし、データの上書きによる完全消去は、削除対象データが大量の場合に長時間を要し、また、SSDのように書き換え回数による媒体寿命があるために上書きを回避する工夫が施された電子的不揮発記憶媒体には適用できない。また、利用者が電子的不揮発記憶媒体の詳細位置を制御できないクラウドストレージでは、データの場所はクラウド側で管理されているため完全消去できないことが多い。
これに対し、データ管理用ツールなどがデータ本体を暗号鍵で暗号化して記憶しておき、暗号鍵を完全消去することでデータ本体を完全消去することなく復元不能にする方法が考えられている(例えば、特許文献1参照。)。特許文献1には、データ本体を共通鍵暗号方式で暗号化して暗号鍵と共にリムーバブルメディアに記憶し、データ削除時には暗号鍵のみを完全消去してデータ本体は通常削除するという技術が開示されている。これにより、削除対象のデータを短時間で復元不能にすることができるとしている。
しかしながら、単に暗号鍵を消去することでデータを復元不能にする方法では、いわゆるクラウドなどで共同利用されていたストレージの利用を一部のユーザが終了した場合に、そのユーザのデータを復元不能に削除することができないという問題がある。
すなわち、従来は、ストレージを媒体単位かファイル単位で暗号化しているが、媒体単位で暗号化されている場合、暗号鍵を削除すると他のユーザも利用する媒体のデータを使用できなくなる。また、ファイル単位で暗号化されている場合、ストレージの利用を終了するユーザのファイルが媒体上のどこに記録されているか不明である。このため、上記のように、ユーザのファイルを全て復元不能に削除することができない、全て削除されたことの保証が得られない、又は、復元不能に削除することに長時間を要するなどの不都合がある。
本発明は、上記課題に鑑み、共同利用されていたストレージのファイルが不要になったユーザがストレージ上に所有していた複数のファイルを復元不能に削除できる情報処理装置を低供することを目的とする。
本発明は、外部装置とネットワークを介して接続された情報処理装置であって、当該情報処理装置にデータファイルを記憶するユーザごと生成されたユーザ別暗号情報をユーザ識別情報に対応づけて記憶するユーザ別暗号情報記憶手段と、外部装置からユーザ識別情報とデータファイルを受信する受信手段と、データファイルごと生成されたファイル別暗号情報を用いてデータファイルの少なくとも一部を暗号化するファイル暗号化手段と、前記ファイル暗号化手段が暗号化したデータファイルを記憶するファイル記憶手段と、ファイル別暗号情報の少なくとも一部を、前記ユーザ別暗号情報を用いて暗号化するファイル別暗号情報暗号化手段と、外部装置から前記ユーザ別暗号情報の削除要求を受信した場合、前記ユーザ別暗号情報記憶手段に記憶された前記ユーザ別暗号情報を削除する削除手段と、を有し、前記受信手段が外部装置から受信したデータファイルが、複数のユーザを所有者とする共有ファイルの場合、前記ファイル別暗号情報暗号化手段は、前記共有ファイルのファイル別暗号情報の少なくとも一部を、各所有者の前記ユーザ別暗号情報を用いて暗号化することで、1つの前記共有ファイルに対し所有者の数だけ暗号化されたファイル別暗号情報を作成し、前記削除手段は、外部装置から一人のユーザの前記ユーザ別暗号情報の削除要求を受信した場合、前記一人のユーザの前記ユーザ別暗号情報を前記ユーザ別暗号情報記憶手段から削除する、ことを特徴とする。
共同利用されていたストレージのファイルが不要になったユーザがストレージ上に所有していた複数のファイルを復元不能に削除できる情報処理装置を提供することができる。
本実施例のデータ記録装置の暗号化例について説明する図の一例である。 データ記憶システムの概略構成図の一例である。 データ記録装置のハードウェア構成図の一例である。 データ記録装置及びユーザ端末の機能ブロック図の一例である。 暗号情報DBの暗号作成情報のデータ構造について説明する図の一例である。 暗号情報DBの構成例を示す図である。 データ記録装置がユーザ端末から受信したファイルを記録する手順を示すフローチャート図の一例である。 ユーザ端末がファイルの送信を要求した場合のデータ記録装置の動作について説明する図の一例である。 データ記録装置がユーザ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である。 データ記録装置の暗号化例について説明する図の一例である(実施例2)。 暗号情報DBの構成例を示す図である。 暗号化されたファイル別暗号鍵の構成を模式的に説明する図の一例である。 データ記録装置の暗号化例について説明する図の一例である。 暗号化されたファイル別暗号鍵を説明する図の一例である(実施例3)。 データ記録装置及びユーザ端末の機能ブロック図の一例である(実施例4)。 グループテーブルについて説明する図の一例である。 ユーザ別暗号鍵の暗号化を模式的に説明する図の一例である。 グループの登録時におけるデータ記録装置の動作手順について説明するフローチャート図の一例である。 データ記録装置がグループ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である。 データ記憶システムの概略構成図の一例を示す(実施例5)。 ストレージシステム管理装置等の機能ブロック図の一例である(実施例5)。 ストレージシステム管理装置がユーザ端末から受信したファイルを外部ストレージに記録する手順を示すフローチャート図の一例である。 ストレージシステム管理装置がユーザ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である(実施例5)。 ストレージシステム管理装置がユーザ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である(実施例6)。 データ記憶システムの概略構成図の一例である(実施例7)。 ストレージシステム管理装置等の機能ブロック図の一例である(実施例7)。 データ記録システムがユーザ別暗号鍵をバックアップする手順を示すフローチャート図の一例である。 ストレージシステム管理装置がバックアップされているユーザ別暗号鍵で暗号情報DBのユーザ別暗号鍵を更新する手順を示すフローチャート図の一例である。 ストレージシステム管理装置がユーザ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である。 ストレージシステム管理装置等の機能ブロック図の一例である。 ストレージシステム管理装置がユーザ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である。 ストレージシステム管理装置等の機能ブロック図の一例である。
以下、図面を参照して本発明の実施形態について説明する。しかしながら、本発明の技術的範囲が、本実施の形態に限定されるものではない。
図1は、本実施例のデータ記録装置の暗号化例について説明する図の一例である。
ユーザA〜CはHDD(Hard Disk Drive)などのストレージを共有している。ストレージの物理的な存在は必ずしもユーザにとって明らかである必要はなく、物理的な記録媒体の個数は1つでも複数でもよい。
1.本実施形態のデータ記録装置はファイルをファイル別暗号鍵で暗号化する。ファイル別暗号鍵はファイル毎に異なるため、ファイルを復号するにはファイルに個別のファイル別暗号鍵が必要になる。
・ユーザAはファイルA−1〜A−nをファイル別暗号鍵A−1〜A−nでそれぞれ暗号化して暗号化ファイルA−1〜A−nを作成し、ストレージに記憶している。
・ユーザBはファイルB−1〜B−nをファイル別暗号鍵B−1〜B−nでそれぞれ暗号化して暗号化ファイルB−1〜B−nを作成し、ストレージに記憶している。
・ユーザCはファイルC−1〜C−nをファイル別暗号鍵C−1〜C−nでそれぞれ暗号化して暗号化ファイルC−1〜C−nを作成し、ストレージに記憶している。
2.データ記録装置は、ユーザに個別のユーザ別暗号鍵を保持しており、ファイル別暗号鍵をユーザ別暗号鍵で暗号化した状態で保持する。
・ファイル別暗号鍵A−1〜A−nはユーザ別暗号鍵Aで暗号化される。
・ファイル別暗号鍵B−1〜B−nはユーザ別暗号鍵Bで暗号化される。
・ファイル別暗号鍵C−1〜C−nはユーザ別暗号鍵Cで暗号化される。
このような暗号化の結果、暗号化ファイルを復号するには、
I.暗号化されているファイル別暗号鍵をユーザ別暗号鍵で復号すること
II.暗号化ファイルをファイル別暗号鍵で復号すること
が必要になり、ファイル別暗号鍵又はユーザ別暗号鍵のどちらか1つが欠けても暗号化ファイルを復号できない。
ユーザがストレージの共有を終了した場合、データ記録装置は、該ユーザのユーザ別暗号鍵のみを復号不能に削除する。これにより、ファイル別暗号鍵を復号することが不能となり、暗号化ファイルを復号することも困難となる。
したがって、本実施形態のデータ記録装置は、ファイルがストレージ内のどこに記憶されていても、ユーザ個別に作成されたユーザ別暗号鍵を復号不能に削除するだけで、ユーザが使用していた全てのファイルが利用できなくなったことを保証できる。また、ユーザ別暗号鍵を復号不能に削除するだけでよいので、復元不能に削除することに長時間を要することもない。
〔構成例〕
図2は、データ記録システム500の概略構成図の一例を示す。データ記録装置100はネットワーク600に接続されており、ユーザ端末(特許請求の範囲の外部装置の一例である)200がネットワーク600を経由して通信することでユーザのファイルの送信、受信などを行う。
データ記録装置100は、サーバ、ファイルサーバ、又は、NAS(Network Attached Storage)などと呼ばれる。データ記録装置100は、不揮発な記憶装置、通信機能及びファイル管理システム(例えばOS:Operating System)を有していればよく情報処理装置と称することもできる。また、一般には情報処理装置を呼ばれていなくても、データ記録装置100の機能を有することは可能である。例えば、MFP(Multi Function Peripheral)はコピー機、スキャナー、プリンタ、ファックス装置など画像を形成する機能を備えた装置であるが、データ記録装置100に必要な機能を備えている。データ記録装置100はネットワーク上に1台存在すればよいが、2台以上存在してもよい。また、データ記録装置100は記憶装置だけを複数個有していてもよい。
ユーザ端末200は、ノートPC、デスクトップPC、ワークステーション、スマートフォン、タブレット端末、携帯電話、PDA(Personal Digital Assistant)、デジタルカメラ、テレビ会議端末、プロジェクタなど、ユーザが使用する端末である。例えば、ノートPCではワープロソフトウェアなどのアプリケーションが作成したアプリケーションデータがユーザのファイルとしてデータ記録装置100に記録される。また、携帯電話やデジタルカメラでは、カメラで撮影された画像データがファイルとしてデータ記録装置100に記録される。
ネットワーク600は、LAN、複数のLANがルータなどを介して接続されたWAN、又は、インターネットなどである。ネットワークは有線で構築されていてもよいし、一部又は全てが無線LAN(IEEE802.11b/a/g/n等)で構築されていてもよい。さらに、ネットワークは携帯電話網、WiMax網、PHS網などの移動体向けに構築された通信網を含む。また、ユーザ端末200とデータ記録装置100が無線LANのアドホックモードやBluetooh(登録商標)などで1対1で通信する通信形態もネットワークに含めることとする。
図3は、データ記録装置100のハードウェア構成図の一例を示す。データ記録装置100は、バスに接続された、CPU301、ROM302、RAM303、HDD304、ディスプレイ321が接続されたグラフィックボード305、キーボード・マウス306、メディアドライブ307、及び、ネットワーク通信部308を有する。CPU301はHDD304に記憶されたプログラム311をRAM303に展開して実行し、各部品を制御して入出力を行ったり、データの加工を行ったりする。ROM302にはBIOSや、ブートストラップローダをHDD304からRAM303に読み出すスタートプログラムが記憶されている。ブートストラップローダは、OSをHDD304からRAM303に読み出す。
HDD304は、不揮発性のメモリであればよくSSD(Solid State Drive)などでもよい。HDD304はOS、デバイスドライバ、及び、後述する機能を提供するプログラム311を記憶している。ディスプレイ321にはプログラムが指示し、グラフィックボード305が作成したGUI画面が表示される。ディスプレイを備えていない場合がある。
キーボード・マウス306はユーザの操作を受け付ける入力装置である。キーボード・マウス306を備えていない場合がある。メディアドライブ307はコンパクトディスク、DVD及びブルーレイディスクなどの光学メディアにデータを読み書きする。また、フラッシュメモリなどのメモリカードにデータを読み書きしてもよい。
ネットワーク通信部308は、例えばLANに接続するためのイーサネット(登録商標)カードである。TCP/IP(UDP/IP)やアプリケーション層のプロトコルの処理はOSやプログラム311が行う。アプリケーション層のプロトコルは各種あるが、例えばファイル共有に適したプロトコルを含め一般的なプロトコルに対応している(例えば、SMB(Server Message Block)、HTTP、FTP、SNMP(Simple Network Management Protocol)等)。
プログラム311は、インストール可能な形式又は実行可能な形式のファイルで、コンピュータで読み取り可能な記録メディアに記録して配布される。また、プログラム311は、不図示のサーバからインストール可能な形式又は実行可能な形式のファイルで配布される。
〔機能、テーブル〕
図4は、データ記録装置100及びユーザ端末200の機能ブロック図の一例を示す。ユーザ端末200は、データ受信部11、データ送信部12、ユーザ情報送信部13、及び、送受信部14を有している。送受信部14は、データ記録装置100との通信を行う。データ送信部12は、データ記録装置100に記録するデータ及びデータに対する処理を指示するコマンドを、送受信部14を介して送信する。ユーザ情報送信部13は、データ記録装置100にユーザ情報(パスワード、ユーザID)を、送受信部14を介して送信する。データ受信部11は、送受信部14を介して、データ記録装置100からデータのリストやデータ本体を受信する。
データ記録装置100は、送受信部21、制御部22、ファイル暗号化部23、削除部24、ファイル別暗号鍵暗号化部25、ファイル別暗号鍵復号部26、ファイル復号部27、ユーザ認証部28、ユーザ別暗号情報生成部29、及び、ファイル別暗号鍵生成部30を有している。また、HDD304などに暗号作成情報DB32、暗号情報DB31及びデータDB33が実装されている。なお、暗号情報DB31とデータDB33は物理的に別々の記録媒体に記録されていることが好ましい。これにより、データDB33を記憶するHDDそのものが漏洩しても、データが容易に復号されることを防止できる。
送受信部21は、ユーザ端末200との通信を行う。制御部22は、ユーザ端末200から送信されたコマンドを解釈してデータ記録装置100を制御する。ユーザ認証部28は、送信されたユーザ情報と予め保持しているユーザ情報を比較してユーザの認証が成立するか否かを判定する。ユーザの認証が成立した場合、ユーザはデータ記録装置100にログインする。
ユーザ別暗号情報生成部29は、ユーザ別暗号鍵を生成する。ファイル別暗号鍵生成部30はファイル別暗号鍵を作成する。ファイル暗号化部23は、ファイル別暗号鍵を用いてファイルを暗号化し、データDB33に記憶する。ファイル復号部27は、データDB33に記憶されている暗号化ファイルを、ファイル別暗号鍵を用いて復号する。ファイル別暗号鍵暗号化部25は、ファイル別暗号鍵をユーザ別暗号鍵を用いて暗号化する。ファイル別暗号鍵復号部26は、暗号化されたファイル別暗号鍵を、ユーザ別暗号鍵を用いて復号する。
削除部24はユーザ別暗号鍵を削除する。ファイル管理システムが管理情報の修正によってデータを削除したことを記録するだけでなく、HDD上のユーザ別暗号鍵を、直接"0"や固定値、乱数などを組み合せて上書きすることで復元を不能にする。
暗号作成情報DB32には暗号鍵を作成するための情報が登録されており、暗号情報DBには暗号鍵(必要であれば復号鍵も)が登録されている。
図5は、暗号作成情報DB32の暗号作成情報のデータ構造について説明する図の一例である。暗号方式は対称鍵暗号(共通鍵暗号方式)でも非対称鍵暗号(公開鍵暗号方式)でもよい。情報処理装置の技術的・機能的進化に対し充分な暗号強度を有していればよい。
図5(a)はストリーム暗号アルゴリズムの暗号作成情報のデータ構造例である。ストリーム暗号は対称鍵方式であり、暗号アルゴリズム(RC4など)、擬似乱数生成アルゴリズム(メルセンヌ・ツイスタなど)、及び、擬似乱数のシード長およびシード値が、典型的な暗号作成情報である。ストリーム暗号は、シード値を種として擬似乱数生成アルゴリズムに基づき生成した疑似乱数ビット列を生成し、暗号化対象データとビット演算(排他的論理和演算)を施すことで暗号化する。復号も同様である。
なお、図5(a)のデータ構造例は全て必要ではなく、擬似乱数生成アルゴリズムやシード長が固定の場合、これらを省略できる。暗号化や暗号化したデータの復号に不可欠な情報は、擬似乱数シードであり、少なくとも疑似乱数ビット列があればよい。しかし、擬似乱数生成アルゴリズム、シード長、シード値があることで、選択肢が限定されなくなり総当り攻撃への耐性が向上する。以下、図5(a)のデータ構造例では、疑似乱数シードを暗号鍵と称する。
図5(b)はブロック暗号アルゴリズムのデータ構造例である。ブロック暗号も対象鍵方式であり、暗号アルゴリズム(AES、DESなど)、暗号利用モード(CBCなど)、鍵長及び鍵が、典型的な暗号作成情報である。ブロック暗号は、暗号対象データをブロックに分割して暗号化する。暗号アルゴリズム、暗号利用モード及び鍵長が固定の場合、これらを省略できる。すなわち、暗号化されたデータの復号に必要なのは暗号鍵である。以下、図5(b)のデータ構造例では、暗号鍵をそのまま暗号鍵と称する。
図5(c)は、非対称暗号アルゴリズムのデータ構造例である。非対称鍵暗号の場合、暗号アルゴリズム(RSAなど)、鍵長および鍵ペア(暗号鍵と復号鍵)が、典型的な暗号作成情報である。暗号アルゴリズムや鍵長が固定の場合、これらを省略してもよい。すなわち、暗号化されたデータの復号に必要なのは復号鍵である。以下、図5(c)のデータ構造例では、説明を容易にするため暗号鍵と復号鍵を区別せずに暗号鍵と称する。
なお、ユーザ別暗号鍵、ファイル別暗号鍵で同じ暗号アルゴリズムを使用する必要はなく、また、暗号アルゴリズムが同じでも同じデータ構造である必要はない。また、図5の暗号情報そのものではなく、これらを生成する材料でも暗号情報となる。
図6は、暗号情報DB31の構成例を示す図である。図6ではユーザAについて示す。暗号情報DB31にはユーザID毎にユーザ別暗号鍵、ファイルPath、及び、暗号化されたファイル別暗号鍵が登録されている。ユーザ別暗号鍵は、一度だけ作成すればよいが、所定の期間毎に作り直してもよい。また、一人のユーザが複数のユーザ別暗号鍵を有していてもよいが、この場合はファイルIDとユーザIDが紐づけられている必要がある。ユーザ別暗号鍵は図5の暗号作成情報に基づき作成されたユーザに個別の暗号鍵(図5(a)の疑似乱数シールド、図5(b)の暗号鍵、図5(c)の暗号鍵と復号鍵が相当する。)である。
ファイルPathはユーザを所有者とするファイルが記憶されているPathとファイル名である。データ記録装置100はファイルPathによりユーザがアクセス権限のあるファイルにアクセスできる。ファイル別暗号鍵は、図5の暗号作成情報に基づき作成された各ファイルに個別の暗号鍵である。
〔動作手順〕
図7は、データ記録装置100がユーザ端末200から受信したファイルを記録する手順を示すフローチャート図の一例である。なお、すでにユーザ別暗号鍵は暗号情報DB31に登録されているものとする。
ユーザ端末200の送受信部14は、ユーザ情報とファイルを送信する(S10)。データ記録装置100の送受信部21はユーザ情報とファイルを受信する(S20)。
ファイル別暗号鍵生成部30は暗号作成情報DB32を参照して、ファイル毎に個別のファイル別暗号鍵を生成し、暗号情報DB31に登録する(S30)。
また、ファイル別暗号鍵暗号化部25は、暗号情報DB31のユーザIDに対応づけられているユーザ別暗号鍵を読み出す。
次いで、ファイル暗号化部23は、ステップS30で生成されたファイル別暗号鍵を用いて、記憶対象のファイルの全体または一部を暗号化する(S40)。暗号化されたファイルはデータDB33に記憶される。例えばユーザ端末200から特別な指示がなければ、ファイルの全体を暗号化する。機密情報部分がわかるようなファイルの場合、その部分のみ暗号化することもできる。後者の場合、暗号化の処理時間を短縮し、データ記録装置100の処理負荷を低減できる。
ファイル別暗号鍵暗号化部25は読み出したユーザ別暗号鍵を用いて、ファイル別暗号鍵の全体または一部(少なくとも暗号化した記憶対象データの復号に不可欠な部分の一部)を暗号化する。例えば、非対称暗号方式の場合、少なくとも復号鍵の一部を暗号化することで、ユーザ別暗号鍵なしには復号鍵を復元できないようできる。
なお、ファイルに個別のファイル別暗号鍵で各ファイルを暗号化するのでなく、ユーザ別暗号鍵で直接、ファイルを暗号化することもできる。ユーザ別暗号鍵を削除すれば、ユーザがストレージ上に所有していた全ファイルを復元不能に削除できる。しかし、この場合、同じ暗号情報(ユーザ別暗号鍵)を用いてファイルを暗号化するため、記憶媒体が盗難されると、暗号化結果(ファイル)が漏洩し、暗号鍵を推定する攻撃が比較的容易になる。本実施例では、外部からは未知のデータ(データDB33に存在しない)であるファイル別暗号鍵で各ファイルを暗号化するので、暗号鍵の推定を困難にできる。
図8は、ユーザ端末200がファイルの送信を要求した場合のデータ記録装置100の動作について説明する図の一例である。
ユーザ端末200の送受信部14は、ユーザ情報とファイル名を送信する(S310)。データ記録装置100の送受信部21はユーザ情報とファイル名を受信する(S320)。なお、ファイル名は、ユーザがデータ記録装置100にログインすることで、データ記録装置100によりユーザが所有者のファイルのファイル名がユーザ端末200に送信される。
データ記録装置100のファイル別暗号鍵復号部26は、ユーザ情報に含まれるユーザIDに対応づけられたユーザ別暗号鍵を暗号情報DB31から読み出し、ファイル別暗号鍵を復号する(S330)。
ついで、ファイル復号部27は、ファイル別暗号鍵を用いてファイルを復号する(S340)。
データ記録装置100の送受信部21は復号されたファイルをユーザ端末200に送信する(S350)。
ユーザ端末200の送受信部14はファイルを受信する(S360)。
図9は、データ記録装置100がユーザ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である。
まず、ユーザ端末200の送受信部14がユーザ情報削除要求をデータ記録装置100に送信する(S110)。ユーザ情報削除要求はコマンドの1つであり、ユーザがデータ記録装置100を使用することを停止するための要求である。例えば、ユーザがデータ記録装置100をストレージとして使用することを終了する場合に、ユーザはユーザ端末200を操作してユーザ情報削除要求をデータ記録装置100に送信する。ユーザ情報とは、認証に必要な情報や暗号情報DBに登録されている情報である。このため、ユーザ情報が削除されるとユーザ認証が成立しなくなるだけでなく、データDB33にアクセスすることもできない。
なお、ユーザ端末200は、ユーザ情報削除要求でなく、全ファイル削除要求をデータ記録装置100に送信してもよい。全ファイル削除要求は、ユーザがデータ記録装置100に記憶された全てのファイルを削除する場合に送信するコマンドである。この場合も、データ記録装置100はユーザ別暗号鍵を削除すればよいので、全てのファイルを削除したり全てのファイル別暗号鍵を削除するよりも短時間に確実にファイルを削除できる。
データ記録装置100の送受信部21はユーザ情報削除要求を受信する(S120)。削除部24は、ユーザ情報に紐づけられている暗号情報DB31のユーザ別暗号鍵を消去する。(これにより、ファイル別暗号鍵の復号に不可欠な情報が復元不能に削除される。)。
復元不能にする方法としては、データ上書きによる完全消去による方法が知られている。また、実施例4のようにグループ別の暗号鍵を削除することでユーザ別暗号鍵を復元不能に削除できる。
また、例えば、装置固有の秘密情報を用いてユーザ別暗号鍵を暗号化しておくことも有効である。装置固有の秘密情報とは他の装置とは重複せず、かつ、外部に公開されない情報である。ユーザ別暗号鍵やそれを復元するための情報(装置固有の秘密情報と暗号化後のユーザ別暗号鍵など)を入手する又は表示する機能(正規の手段)がなければ、攻撃者は非正規の手段で情報を入手するしかない。しかし、装置固有の秘密情報を用いてユーザ別暗号鍵を暗号化しておけば、HDDそのものがデータ記録装置100から取り外して解析された場合も、HDDには装置固有の情報が記憶されていないので攻撃を防止できる。こうすれば、ネットワーク上で運用されている記憶媒体が盗難された際にも機密性を守れるので、ユーザ別暗号鍵を単に暗号化するよりも好適になる。
なお、ユーザのユーザ情報削除要求によりオーナー(所有者)がいなくなったファイルは、ユーザ別暗号鍵の重要部分が復元不能となるために、復元不能となりますが、それだけではデータ自体は記憶手段に残存する。記憶領域の再利用のためにファイル自体の削除を行なってもよい。
以上説明したように、本実施例のデータ記録装置は、ファイルがクラウドサービスなどのどこに記憶されているか不明な状態でも、ユーザ個別に作成されたユーザ別暗号鍵を復号不能に削除するだけで、ユーザが使用していた全てのファイルが削除されたことを保証できる。また、ユーザ別暗号鍵を復号不能に削除するだけでよいので、復元不能に削除することに長時間を要することもない。
本実施例では、同一ファイルに複数のユーザがアクセス可能な場合、例えば、同一ファイルに複数の所有者が存在する場合(ファイルが共有ファイルの場合)について説明する。
図10は、本実施例のデータ記録装置100の暗号化例について説明する図の一例である。ファイルABはユーザAとBの両方が所有者のファイルである。実施例1と同様に、データ記録装置100はファイルABに個別のファイル別暗号鍵ABを作成する。
そして、例えばユーザAがユーザ別暗号鍵Aでファイル別暗号鍵ABを暗号化した後、ユーザBがユーザ別暗号鍵Bでファイル別暗号鍵ABを暗号化する。データ記録装置100は、ユーザ別暗号鍵Aで暗号化されたファイル別暗号鍵ABに加え、ユーザBのユーザ別暗号鍵Bでファイル別暗号鍵ABを暗号化する。すなわち、1つのファイル別暗号鍵ABから、ユーザの数だけの暗号化されたファイル別暗号鍵ABが作成される。
この状態では、例えばユーザAがデータ記録装置100の利用を終了した場合、ユーザ別暗号鍵Aが復元不能に削除される。しかし、ユーザBはユーザ別暗号鍵Bにより暗号化されたファイル別暗号鍵Bを復号できるので、ファイル別暗号鍵ABで暗号化ファイルABを復号できる。
図11は、本実施例の暗号情報DB31の構成例を示す図である。本実施例では、ファイルPath「\/…/001」のファイルをユーザAとBが共にアクセス可能である。また、ユーザAとBのいずれも「暗号化されたファイル別暗号鍵」を保持している。したがって、ユーザA又はBのいずれかがデータ記録装置100の利用を終了しても、残りのユーザはファイルPath「\/…/001」のファイルを復号できる。
なお、実施例1でも触れたように、ファイル別暗号鍵はその全体を暗号化する必要はなく、一部だけを暗号化してもよい。
図12は、本実施例の「暗号化されたファイル別暗号鍵」の構成を模式的に説明する図の一例である。なお、「平文」は、例えば暗号作成情報DB32の暗号アルゴリズムや鍵長が対応する。
そして、ファイルの復号に不可欠なファイル別暗号鍵は、ファイルにアクセス権限がある(ファイルの所有者)全てのユーザのユーザ別暗号鍵によりそれぞれ暗号化されている。すなわち全てのユーザについて暗号化された部分を集めたものを含む形で記憶される。
ユーザAが復号する際は、ユーザAのユーザ別暗号鍵で、ユーザAのユーザ別暗号鍵で暗号化されたファイル別暗号鍵の重要部分を復号することで、ファイル別暗号鍵が得られる。
同様に、ユーザnが復号する際は、ユーザnのユーザ別暗号鍵で、ユーザnのユーザ別暗号鍵で暗号化されたファイル別暗号鍵の重要部分を復号することで、ファイル別暗号鍵が得られる。
したがって、本実施例のデータ記録装置100は、複数のユーザが、暗号化された1つのファイルにアクセスでき、一部のユーザのユーザ情報が削除されても、残っているユーザはユーザ別暗号鍵でファイル別暗号鍵を復号できるため、ファイルも復号することができる。
本実施例では、ファイルの所有者以外のユーザがファイルを利用することが可能なデータ記録装置100について説明する。
図13(a)は、本実施例のデータ記録装置100の暗号化例について説明する図の一例である。ユーザAはファイル1の所有者であり、ユーザBはファイル1の利用者である。所有者とはファイルを作成した者であり、利用者とはファイルを利用する権限が与えられた者である。ファイルの所有者は必然的に定まるが、利用者はファイルの所有者などが利用する権限を与えることで決定される。また、1つのファイルには複数の利用者が存在しうるが、1つのファイルを複数の利用者が自由に更新できるなどの場合には1つのファイルに複数の所有者が存在しうる。
図13(b)は、本実施例のユーザ別暗号鍵について説明する図の一例である。本実施例のユーザ別暗号鍵は共通部分と、所有者情報及び利用者情報が含まれる。なお、共通部分は、暗号アルゴリズムや鍵長など共通の部分である。
所有者用情報及び利用者用情報は、暗号作成情報により作成される。すなわち、ユーザ別暗号鍵が所有者用情報と利用者用情報とに区分されている。
所有者用情報:実施例1,2と同様にファイルの所有者としてのユーザ別暗号鍵
利用者用情報:ファイルのユーザとしてのユーザ別暗号鍵
例えば、ブロック暗号の暗号鍵の長さを256ビットとした場合、半分の128ビット分が所有者情報と利用者情報である。暗号方式等が共通であれば、所有者用情報と利用者情報をそれぞれ256ビットとしたままでもよい。
ファイル別暗号鍵暗号化部25は、所有者のファイルを、所有者のユーザ別暗号鍵の所有者用情報と、ファイルを利用する利用者のユーザ別暗号鍵の利用者用情報の両方で暗号化する。図13(a)の例では、ファイル1のファイル別暗号鍵は、ユーザAのユーザ別暗号鍵の所有者情報とユーザBのユーザ別暗号鍵の利用者情報で暗号化される。1つのファイルには、ファイルの所有者の数とファイルを利用する利用者の数を組み合わせた数の、暗号化されたファイル別暗号鍵が作成される。全てのファイルについてこの数のファイル別暗号鍵が作成される。
図14は、本実施例の暗号化されたファイル別暗号鍵を説明する図の一例である。平文は実施例2と同様である。ファイル別暗号鍵が、所有者と利用者の組み合わせの数だけ作成される。ファイル1の所有者a1、及び、ファイル1の利用者b1、b2がいる場合、ファイル1のファイル別暗号鍵は、ユーザ別暗号鍵のうち、以下の組み合わせの所有者情報と利用者情報で暗号化される。
・所有者a1のユーザ別暗号鍵の所有者情報&利用者b1のユーザ別暗号鍵の利用者情報
・所有者a1のユーザ別暗号鍵の所有者情報&利用者b2のユーザ別暗号鍵の利用者情報
「両方を用いて」暗号化する方法としては、(i)一方による暗号化結果を更に他方で暗号化する方法、(ii)両方から取り出したそれぞれ半長の暗号鍵部品を連結して作成した暗号鍵を用いてブロック暗号を行なう方法などがある。
(i)の方法で暗号化されたファイル1を、ユーザAが利用者b1として復号する際は、ユーザAのユーザ別暗号鍵の利用者用情報で暗号化されたファイル別暗号鍵を復号し、さらに、ファイル1の所有者のユーザ別暗号鍵の所有者情報で復号することで、ファイル別暗号鍵が得られる。
なお、所有者用情報はファイルの所有者のユーザ別暗号鍵に含まれているので、利用者が取得する必要がある。本実施例では、例えばデータ記録装置100がファイルに対し利用者のアクセスが許可されているか否かを判定し、アクセスが許可されている場合は、所有者のユーザ別暗号鍵の所有者情報が利用者に提供される。
また、所有者がユーザとして自己のファイルにアクセスするためには、同様に、利用者のユーザ別暗号鍵の利用者情報が所有者に提供されてもよいし、実施例1,2と同様に所有者のユーザ別暗号鍵のみでファイル別暗号鍵を暗号化しておけばよい。
したがって、本実施例のデータ記録装置100は、ファイルの所有者以外がファイルを利用することを可能にできる。
本実施例では、グループに所属しているユーザにより利用されるデータ記録装置100について説明する。グループ別に暗号鍵を作成しておくことで、グループがデータ記録装置100の利用を終了する際に各ユーザのユーザ別暗号鍵を削除する必要がなくなるので暗号鍵を削除するための時間が短くて済む。
図15は、データ記録装置及びユーザ端末の機能ブロック図の一例である。本実施例において、図4において同一の符号を付した構成要素は同様の機能を果たすので、主に本実施例の主要な構成要素についてのみ説明する場合がある。本実施例のユーザ端末はグループ登録部を有し、データ記録装置はユーザ別暗号鍵暗号化部35、グループ別暗号鍵生成部36及びグループテーブル34を有する。
グループ登録部15は、ユーザが所属するグループの登録に必要な、所属するユーザのユーザID、グループ名などをデータ記録装置100に送信する。グループ別暗号鍵生成部36はグループ別暗号鍵を生成する。ユーザ別暗号鍵暗号化部35はグループ別暗号鍵でユーザ別暗号鍵を暗号化する。グループテーブル34は、グループに属するユーザのユーザ情報が登録されたテーブルである。
図16は、グループテーブル34について説明する図の一例である。1つのグループには一人以上のユーザが属している。グループはグループIDにより識別され、グループテーブル34にはグループに属するユーザのユーザIDが登録されている。また、グループテーブル34にはグループ別暗号鍵が登録されている。なお、グループ別暗号鍵はグループと紐づけられていればよくグループテーブル34に登録されていなくてもよい。グループ別暗号鍵の作成方法は実施例1と同様である。
そして、データ記録装置100のユーザ別暗号鍵暗号化部35はグループ別暗号鍵を用いて、グループに属する各ユーザのユーザ別暗号鍵を暗号化する。
図17は、グループ別暗号鍵によるユーザ別暗号鍵の暗号化を模式的に説明する図の一例である。1つのグループ別暗号鍵により同じグループに属するユーザA〜Cのユーザ別暗号鍵が暗号化されている。これにより、グループ別暗号鍵がなければユーザA〜Cはファイルを復号できない。
図18は、グループの登録時におけるデータ記録装置100の動作手順について説明するフローチャート図の一例である。
ユーザはユーザ端末200を操作してデータ記録装置100にグループを登録する(S210)。グループ登録部15は、ユーザ操作を受け付けてグループの登録に必要な情報(所属するユーザのユーザID、グループ名など)をデータ記録装置100に送信する。
データ記録装置100の送受信部21はグループの登録要求を受信する(S220)。
グループの登録要求を受信すると、グループ別暗号鍵生成部36がグループに個別のグループ別暗号鍵を生成する(S230)。なお、制御部22はグループIDなどの情報を作成する。
グループ別暗号鍵生成部36は生成したグループ別暗号鍵をグループテーブル34に登録する(S240)。
そして、ユーザ別暗号鍵暗号化部35がグループ別暗号鍵を用いて、グループに所属するユーザのユーザ別暗号鍵を暗号化する(S250)。
図19は、データ記録装置100がグループ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である。
ユーザがユーザ端末200を操作して、グループIDを指定してグループ情報削除要求を送信する(S310)。
データ記録装置100の送受信部はグループ情報削除要求を受信する(S320)。
削除部24は、グループテーブル34からグループIDに対応づけられたグループID、グループ別暗号鍵及びメンバーを削除する(S331)。これにより、少なくともグループ別暗号鍵が復元不能に削除され、ユーザ別暗号鍵の復号が困難になるので、ファイル別暗号鍵及びファイルを復号不能にすることができる。
したがって、本実施例のデータ記録装置100によれば、グループに所属するユーザの数に関係なく、1つのグループ別暗号鍵を削除すればよいので、グループのユーザが一斉に利用終了する際の処理を短時間かつ確実に遂行できる。
本実施例では、データ記録装置100が外部ストレージ310とストレージシステム管理装置300に別体に実装されるデータ記録システム500について説明する。
図20は、データ記録システム500の概略構成図の一例を示す。ネットワーク600にユーザ端末200、ストレージシステム管理装置300及び外部ストレージ310が通信可能に接続されている。ストレージシステム管理装置300は、実施例1〜4のデータ記録装置100のうちデータDB33以外の機能を有し、外部ストレージ310は、実施例1〜4のデータ記録装置100のうちデータDB33の機能を有する。なお、外部ストレージ310のハード的な構成はデータ記録装置100と同様である。
ファイルが記憶される外部ストレージ310が、ストレージシステム管理装置300と別体になるので、暗号情報DB31とファイルが同じ記録媒体にないのでさらにセキュリティを向上できる。
図21は、ストレージシステム管理装置300等の機能ブロック図の一例を示す。本実施例において、図3において同一の符号を付した構成要素は同様の機能を果たすので、主に本実施例の主要な構成要素についてのみ説明する場合がある。
外部ストレージ310は、送受信部61とデータDB62とを有する。データDB62は暗号化されたファイルが記憶される。送受信部61は、ストレージシステム管理装置300から暗号化されたファイルを受信する。また、送受信部61は、ストレージシステム管理装置300からファイルの読み出し要求を受信して、データDB62から読み出したファイルをストレージシステム管理装置300に送信する。外部ストレージ310はストレージシステム管理装置300を認証する機能を有し、認証が成立しない機器にファイルを送信することはない。
図22は、ストレージシステム管理装置300がユーザ端末200から受信したファイルを外部ストレージ310に記録する手順を示すフローチャート図の一例である。なお、図7において説明した処理は共通の場合があるので本実施例の主要な処理についてのみ説明する場合がある。
ユーザ端末200の送受信部14は、ユーザ情報とファイルを送信する(S10)。データ記録装置100の送受信部21はユーザ情報とファイルを受信する(S20)。この後の、個別のファイル別暗号鍵の生成(S30)、記憶対象のファイルの全体または一部の暗号化(S40)の処理は同様である。
ついで、ストレージシステム管理装置300の送受信部21は暗号化されたファイルを外部ストレージ310に送信する(S50)。
外部ストレージ310の送受信部61は暗号化されたファイルを受信する(S60)。
送受信部61はファイルをデータDB62に記憶する(S70)。
図23は、ストレージシステム管理装置300がユーザ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である。ステップS130までの処理は図9と同様でよい。
S130に次いで、ストレージシステム管理装置300の送受信部21は、ユーザAが所有者のファイルを消去するため、ファイル消去要求を外部ストレージ310に送信する(S140)。
外部ストレージ310の送受信部61はファイル削除要求を受信する(S150)。外部ストレージ310はデータDB62から指示されたファイル(暗号化された)を削除する(S160)。暗号化されたファイルを削除しなくても、ユーザ別暗号鍵が削除されているので、ファイル別暗号鍵もファイルも復号できないが、ファイルを削除することでデータDB33の空き容量を増大できる。
本実施例によれば、実施例1と同様の効果を奏するだけでなく、さらにセキュリティを向上できる。
また、いうまでもなく、本実施例の構成はデータDB33を別体に設けただけなので、実施例2〜4の構成を本実施例に同様に適用できる。
本実施例では実施例5のデータ記録システム500において、ファイルの削除要求を受け付けるデータ記録システム500について説明する。
ファイルの削除要求に対しファイル別暗号鍵を削除することで、ユーザ別暗号鍵が何らかの理由で削除されなかった場合でも、機密性の高いファイルについてはファイルを確実に使用不能にできる。また、ユーザ別暗号鍵が削除されなかった場合、削除しなかった機密性の低いファイルについて利用を継続できる。
図24は、ストレージシステム管理装置300がユーザ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である。ステップS130までの処理は図9と同様でよい。
ユーザはユーザ端末200を操作してファイル名を指定し、ユーザ端末200の送受信部14はファイル削除要求をストレージシステム管理装置300に送信する(S112)。
ストレージシステム管理装置300の送受信部21は、ファイル名が指定されたファイル別暗号鍵削除要求を受信する(S132)。
ストレージシステム管理装置300の削除部は、暗号情報DB31に記憶されたファイル別暗号鍵のうち、ファイル名が指定されたファイル別暗号鍵を復号不能に削除する(S134)。
この後、外部ストレージでは指示されたファイルのみが削除される(S162)。
本実施例によれば、ユーザ別暗号鍵が何らかの理由で削除されない場合でも、ファイル別暗号鍵が削除されるので、機密性の高いファイルについて確実に使用不能にできる。また、ユーザ別暗号鍵が削除されていなければ機密性の低いファイルについてユーザが利用を継続できる。
本実施例では、バックアップ装置を備えたデータ記録システム500について説明する。図25は、データ記録システム500の概略構成図の一例を示す。データ記録システム500は、ネットワークを介して接続されたバックアップ装置320を有する。バックアップ装置320はUSBケーブル等で直接、ストレージシステム管理装置300と接続されていてもよい。また、複数のバックアップ装置320を有していてもよい。
バックアップ装置320は、ストレージシステム管理装置300と共にユーザ別暗号鍵を記憶している。したがって、ストレージシステム管理装置300に故障が生じたり、ユーザ別暗号鍵が破壊されてもユーザ別暗号鍵を喪失しないで済む。なお、バックアップ装置320のハード的な構成はデータ記録装置100と同様でよい。
図26は、ストレージシステム管理装置300等の機能ブロック図の一例を示す。本実施例において、図4において同一の符号を付した構成要素は同様の機能を果たすので、主に本実施例の主要な構成要素についてのみ説明する場合がある。
本実施例のストレージシステム管理装置300は、バックアップ装置認証部41、バックアップ制御部42、認証処理部43、及び、比較部44を有している。
・バックアップ装置認証部41は、バックアップ装置320の識別、認証、信頼関係判定、能力判定を行なう。バックアップ装置320の識別とは、バックアップ装置320から受信した識別情報が予め登録されている識別情報と一致するか否かを判定することである。認証とは、バックアップ装置320から受信した識別情報とパスワードが予め登録されている識別情報とパスワードの組と一致するか否かを判定することである。信頼関係判定とは、例えば過去に交換した情報のハッシュ値などが一致するか否かを判定することである。能力判定とは、バックアップ装置320の通信速度や処理能力が閾値以上か否かを判定することである。
・バックアップ制御部42は、バックアップ装置320にユーザ別暗号鍵の記憶を要求したり、バックアップ装置320からユーザ別暗号鍵の読み出しを要求したりする。
・認証処理部43は、バックアップ装置320からストレージシステム管理装置300の認証要求を受信した場合に、ストレージシステム管理装置300の識別、認証、信頼関係判定、能力判定に必要な情報を送受信部21を介してバックアップ装置320に送信する。
・比較部44は、バックアップ制御部42が読み出したユーザ別暗号鍵と、ストレージシステム管理装置300が記憶するユーザ別暗号鍵とを比較する。
また、バックアップ装置320は、送受信部51、制御部52、管理装置認証部54、認証処理部55、暗号情報記録部56、削除部57、及び、暗号情報DB53を有している。送受信部51はストレージシステム管理装置300との通信を行う。制御部52はバックアップ装置320の全体を制御する。
・管理装置認証部54は、ストレージシステム管理装置300の識別、認証、信頼関係判定、能力判定を行なう。
・認証処理部55は、ストレージシステム管理装置300からバックアップ装置320の認証要求を受信した場合に、バックアップ装置320の識別、認証、信頼関係判定、能力判定に必要な情報を送受信部を介してストレージシステム管理装置300に送信する。識別、認証、信頼関係判定、能力判定に必要な情報は上記のとおりである。
・暗号情報記録部56は、ストレージシステム管理装置300から受信したユーザ別暗号鍵を暗号情報DB53に記録する。暗号情報DB53はストレージシステム管理装置300の暗号情報DB31の少なくとも一部のユーザのユーザ別暗号鍵を記憶している。ストレージシステム管理装置300の暗号情報DB31と同じものであってもよい。
図27は、データ記録システム500がユーザ別暗号鍵をバックアップする手順を示すフローチャート図の一例である。
ユーザはバックアップするためユーザ端末200を操作する。ユーザ端末200はバックアップ要求をストレージシステム管理装置300に送信する(S410)。なお、ユーザIDなどはログイン時にストレージシステム管理装置300に送信されている。
ストレージシステム管理装置300の送受信部21は、バックアップ要求を受信する(S410)。なお、ストレージシステム管理装置300は、ユーザ端末200からバックアップ要求を受信した以外に、予め定められたタイミングでバックアップすることができる。
ストレージシステム管理装置300のバックアップ制御部42は、暗号情報DB31から該ユーザのユーザ別暗号鍵を読み出し、送受信部21を介してバックアップ要求と共にバックアップ装置320に送信する(S430)。
バックアップ装置320の送受信部51は、バックアップ要求と共にユーザ別暗号鍵を受信する(S440)。
暗号情報記録部56は、受信したユーザ別暗号鍵を暗号情報DB53に記録する(S450)。こうすることで、バックアップ装置320には任意のユーザ又は全てのユーザのユーザ別暗号鍵がバックアップされる。
図28は、ストレージシステム管理装置300がバックアップされているユーザ別暗号鍵で暗号情報DBのユーザ別暗号鍵を更新する手順を示すフローチャート図の一例である。
ユーザはストレージシステム管理装置300に記憶されているユーザ別暗号鍵に異常がないか確認するためユーザ端末200を操作する。ユーザ端末200はバックアップ確認要求をストレージシステム管理装置300に送信する(S510)。なお、ユーザIDなどはログイン時にストレージシステム管理装置300に送信されている。
ストレージシステム管理装置300の送受信部21は、バックアップ確認要求を受信する(S520)。なお、ストレージシステム管理装置300は、ユーザ端末200からバックアップ確認要求を受信した以外に、予め定められたタイミングでバックアップの確認をすることができる。
ストレージシステム管理装置300のバックアップ制御部42は、ユーザIDを指定して、ユーザ別暗号鍵の送信をバックアップ装置320に要求する(S530)。
バックアップ装置320の送受信部51は、ユーザIDで指定されたユーザのユーザ別暗号鍵の送信要求を受信する(S540)。
バックアップ装置320は、暗号情報DB53からユーザIDに対応づけられたユーザ別暗号鍵を読み出す(S550)。
バックアップ装置320の送受信部51は、ユーザ別暗号鍵をストレージシステム管理装置300に送信する(S560)。
ストレージシステム管理装置300の送受信部21は、ユーザ別暗号鍵を受信する(S570)。
ストレージシステム管理装置300のバックアップ制御部42は比較部44に、自身が記憶するユーザ別暗号鍵と、バックアップ装置320のユーザ別暗号鍵を比較させる(S580)。
ストレージシステム管理装置300のバックアップ制御部42は、一致しない場合又は自身が記憶するユーザ別暗号鍵がない場合、バックアップ装置320のユーザ別暗号鍵を暗号情報DB31に登録する(S590)。
このような処理により、バックアップ装置320に記憶されているユーザ別暗号鍵でストレージシステム管理装置300のユーザ別暗号鍵を常に正常な状態に維持できる。ストレージシステム管理装置300に故障等が発生してもユーザ別暗号鍵を喪失する可能性を低減できる。
図29は、ストレージシステム管理装置300がユーザ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である。ステップS130までの処理は図9と同様でよい。
S130に次いで、ストレージシステム管理装置300のバックアップ制御部42は、バックアップ装置320にユーザ情報削除要求を送信する(S170)。
バックアップ装置320の送受信部51はユーザ情報削除要求を受信する(S180)。
そして、バックアップ装置320の削除部57は暗号情報DB53に登録されているユーザ別暗号鍵を復元不能に削除する(S190)。これにより、ストレージシステム管理装置300とバックアップ装置320の両方のユーザ別暗号鍵を削除できる。
本実施例によれば、ユーザ別暗号鍵をバックアップしながら、実施例1と同様にストレージ上に所有していた全ファイルを復元不能に削除できる。
なお、本実施例のデータ記録装置100は、バックアップ装置320と接続されているだけなので、実施例2、3の構成を本実施例に同様に適用できる。また、実施例4のグループテーブル34を好適に適用できる。すなわち、ストレージシステム管理装置300と共にバックアップ装置320にグループテーブル34を登録する。そして、ユーザ操作又は予め定められたタイミングでグループテーブル34のグループ別暗号鍵の破損等を確認し、ユーザがグループ別暗号鍵の削除を要求する場合、ストレージシステム管理装置300とバックアップ装置320の両方のグループ別暗号鍵を復号不能に削除する。
本実施例では、バックアップ装置320がデータDBをバックアップするデータ記録システム500について説明する。
図30は、ストレージシステム管理装置300等の機能ブロック図の一例を示す。本実施例のバックアップ装置320は、新たにデータDB58とファイル記録部59を有している。データDB58は外部ストレージ310が有するデータDB33の一部のファイル又は全てのファイルを記憶する。なお、ユーザ別暗号鍵のバックアップについては実施例7と同様であり、図30においては図26に対し主要な事項についてのみ説明する。
・バックアップ制御部42は、バックアップ装置320にファイルの記憶を要求したり、バックアップ装置320からファイルの読み出しを要求したりする。
・比較部44は、ユーザ別暗号鍵だけでなく、外部ストレージ310から受信したファイルと、バックアップ装置320から受信したファイルとを比較する。
・ファイル記録部59は、ストレージシステム管理装置300から受信したファイルをデータDB58に記録する。
ストレージシステム管理装置300は、ユーザ操作又は任意のタイミングで、外部ストレージ310から読み出したファイルをバックアップ装置320に記憶させる。また、ユーザ操作又は任意のタイミングで、外部ストレージ310とバックアップ装置320から読み出したファイルを比較して、破損等を確認する。そして、ユーザがファイルの削除を要求する場合、外部ストレージ310とバックアップ装置320の両方のファイルを復号不能に削除する。
図31は、ストレージシステム管理装置300がユーザ情報削除要求を受信した場合の動作について説明するフローチャート図の一例である。ステップS112までの処理は図24と同様でよい。
ユーザはユーザ端末200を操作してファイル名を指定し、ユーザ端末200の送受信部14はファイル削除要求をストレージシステム管理装置300に送信する(S112)。
ストレージシステム管理装置300の送受信部21は、ファイル名が指定されたファイル削除要求を受信する(S132)。
ストレージシステム管理装置300の削除部は、暗号情報DB31に記憶されたファイル別暗号鍵のうち、ファイル名が指定されたファイル別暗号鍵を復号不能に削除する(S134)。
また、ストレージシステム管理装置300の制御部はファイル別暗号鍵の削除要求をバックアップ装置に送信する(S136)。
バックアップ装置320の送受信部51はファイル別暗号鍵の削除要求を受信する(S152)。バックアップ装置320の削除部57はデータDB58から指示されたファイルのファイル別暗号鍵みを削除する(S162−2)。この削除は復元不能とすることが好ましい。
ストレージシステム管理装置300のバックアップ制御部42はファイル削除要求を外部ストレージ310に送信する(S140)。
外部ストレージ310の送受信部61はファイル削除要求を受信する(S150)。外部ストレージ310はデータDB62から指示されたファイルのみを削除する(S162)。この削除は復元不能とすることが好ましい。
本実施例によれば、ファイルについてもバックアップでき、さらに、機密性の高いファイルについて確実に使用不能にでき、また、機密性の低いファイルについてユーザが利用を継続できる。
実施例7,8ではストレージシステム管理装置300が、バックアップ装置320とは別に配置されたデータ記録システム500について説明したが、本実施例ではストレージシステム管理装置300がバックアップ装置320を兼用可能なデータ記録システム500について説明する。
図32は、ストレージシステム管理装置等の機能ブロック図の一例を示す。図32では、図30のバックアップ装置320がストレージシステム管理装置2に置き換わっている。ストレージシステム管理装置2は、ストレージシステム管理装置1と同等の機能を有するが、図ではバックアップ装置320しての機能のみが示されている。
本実施例のようなデータ記録システム500では、バックアップ装置320を単体で配置する必要がなく、ストレージシステム管理装置300がバックアップ装置320を兼ねるため、複数のストレージシステム管理装置300により処理負荷を分散できる。
なお、本実施例においても、ユーザ別暗号鍵だけでなく、グループテーブル34のバックアップ及びファイルのバックアップが可能であるのは実施例7,8と同様である。
100 データ記録装置
200 ユーザ端末
300 ストレージシステム管理装置
310 外部ストレージ
320 バックアップ装置
500 データ記録システム
特許4612112号公報

Claims (9)

  1. 外部装置とネットワークを介して接続された情報処理装置であって、
    当該情報処理装置にデータファイルを記憶するユーザごと生成されたユーザ別暗号情報をユーザ識別情報に対応づけて記憶するユーザ別暗号情報記憶手段と、
    外部装置からユーザ識別情報とデータファイルを受信する受信手段と、
    データファイルごと生成されたファイル別暗号情報を用いてデータファイルの少なくとも一部を暗号化するファイル暗号化手段と、
    前記ファイル暗号化手段が暗号化したデータファイルを記憶するファイル記憶手段と、
    ファイル別暗号情報の少なくとも一部を、前記ユーザ別暗号情報を用いて暗号化するファイル別暗号情報暗号化手段と、
    外部装置から前記ユーザ別暗号情報の削除要求を受信した場合、前記ユーザ別暗号情報記憶手段に記憶された前記ユーザ別暗号情報を削除する削除手段と、を有し、
    前記受信手段が外部装置から受信したデータファイルが、複数のユーザを所有者とする共有ファイルの場合、
    前記ファイル別暗号情報暗号化手段は、前記共有ファイルのファイル別暗号情報の少なくとも一部を、各所有者の前記ユーザ別暗号情報を用いて暗号化することで、1つの前記共有ファイルに対し所有者の数だけ暗号化されたファイル別暗号情報を作成し、
    前記削除手段は、外部装置から一人のユーザの前記ユーザ別暗号情報の削除要求を受信した場合、前記一人のユーザの前記ユーザ別暗号情報を前記ユーザ別暗号情報記憶手段から削除する、ことを特徴とする情報処理装置。
  2. 外部ストレージとネットワークを介して接続された情報処理装置であって、
    当該情報処理装置にデータファイルを記憶するユーザごと生成されたユーザ別暗号情報をユーザ識別情報に対応づけて記憶するユーザ別暗号情報記憶手段と、
    外部装置からユーザ識別情報とデータファイルを受信する受信手段と、
    データファイルごとに生成されたファイル別暗号情報を用いてデータファイルの少なくとも一部を暗号化して、前記外部ストレージに送信すると共に記憶させるファイル暗号化手段と、
    ファイル別暗号情報の少なくとも一部を前記ユーザ別暗号情報を用いて暗号化するファイル別暗号情報暗号化手段と、
    外部装置から前記ユーザ別暗号情報の削除要求を受信した場合、前記ユーザ別暗号情報記憶手段に記憶された前記ユーザ別暗号情報を削除する削除手段と、を有し、
    前記受信手段が外部装置から受信したデータファイルが、複数のユーザを所有者とする共有ファイルの場合、
    前記ファイル別暗号情報暗号化手段は、前記共有ファイルのファイル別暗号情報の少なくとも一部を、各所有者の前記ユーザ別暗号情報を用いて暗号化することで、1つの前記共有ファイルに対し所有者の数だけ暗号化されたファイル別暗号情報を作成し、
    前記削除手段は、外部装置から一人のユーザの前記ユーザ別暗号情報の削除要求を受信した場合、前記一人のユーザの前記ユーザ別暗号情報を前記ユーザ別暗号情報記憶手段から削除することを特徴とする情報処理装置。
  3. 前記ユーザ別暗号情報の一部をデータファイルの所有者情報として、別の一部をデータファイルの利用者情報としてそれぞれ生成するユーザ別暗号情報生成手段を有し
    前記ファイル別暗号情報暗号化手段がファイル別暗号情報を暗号化する際、データファイルのファイル別暗号情報の少なくとも一部を、データファイル所有者権限を有するユーザの前記ユーザ別暗号情報に含まれる前記所有者情報、及び、データファイルの利用者権限を有するユーザの前記ユーザ別暗号情報に含まれる前記利用者情報、の両方を用いて暗号化する、ことを特徴とする請求項1又は2記載の情報処理装置。
  4. 複数のユーザが所属するグループに個別のグループ別暗号情報を生成するグループ別暗号情報生成手段と、
    グループのグループ識別情報、前記グループ別暗号情報及びグループに所属するユーザのユーザ識別情報が登録されたグループ情報記憶手段と、
    前記グループ別暗号情報を用いて、同じグループに所属する全てのユーザの前記ユーザ別暗号情報の少なくとも一部を暗号化するユーザ別暗号情報暗号化手段と、を有し、
    前記削除手段は、前記外部装置から前記グループ別暗号情報の削除要求を受信した場合、前記グループ情報記憶手段に記憶された前記グループ別暗号情報を削除する、
    ことを特徴とする請求項1〜3のいずれか1項記載の情報処理装置。
  5. 前記ユーザ別暗号情報記憶手段には、ユーザ識別情報に紐づけて暗号化されたファイル別暗号情報が記憶されており、
    前記削除手段は、前記外部装置からデータファイルの削除要求を受信した場合、前記ユーザ別暗号情報記憶手段に記憶された前記ユーザ別暗号情報を削除すると共に、削除要求されたデータファイルのファイル別暗号情報を削除する、
    ことを特徴とする請求項2記載の情報処理装置。
  6. データ記録装置、外部ストレージ及びバックアップ装置がネットワークを介して接続されたデータ記憶システムであって、
    前記データ記録装置は、
    当該データ記録装置にデータファイルを記憶するユーザごと生成されたユーザ別暗号情報をユーザ識別情報に対応づけて記憶するユーザ別暗号情報記憶手段と、
    外部装置からユーザ識別情報とデータファイルを受信する受信手段と、
    データファイルごと生成されたファイル別暗号情報を用いてデータファイルの少なくとも一部を暗号化して、前記外部ストレージ及び前記バックアップ装置に送信すると共に記憶させるファイル暗号化手段と、
    ファイル別暗号情報の少なくとも一部を前記ユーザ別暗号情報を用いて暗号化するファイル別暗号情報暗号化手段と、
    前記バックアップ装置に前記ユーザ別暗号情報の記録を要求するユーザ別暗号情報バックアップ手段と、
    前記バックアップ装置から前記ユーザ別暗号情報を受信して、前記ユーザ別暗号情報記憶手段に記憶されている前記ユーザ別暗号情報と一致しない場合、前記ユーザ別暗号情報記憶手段に記憶されている前記ユーザ別暗号情報を前記バックアップ装置から受信した前記ユーザ別暗号情報で更新する更新手段と、
    外部装置から前記ユーザ別暗号情報の削除要求を受信した場合、前記ユーザ別暗号情報記憶手段に記憶された前記ユーザ別暗号情報を削除し、前記バックアップ装置に前記ユーザ別暗号情報の削除を要求する削除手段と、を有し、
    前記受信手段が外部装置から受信したデータファイルが、複数のユーザを所有者とする共有ファイルの場合、
    前記ファイル別暗号情報暗号化手段は、前記共有ファイルのファイル別暗号情報の少なくとも一部を、各所有者の前記ユーザ別暗号情報を用いて暗号化することで、1つの前記共有ファイルに対し所有者の数だけ暗号化されたファイル別暗号情報を作成し、
    前記削除手段は、外部装置から一人のユーザの前記ユーザ別暗号情報の削除要求を受信した場合、前記一人のユーザの前記ユーザ別暗号情報を前記ユーザ別暗号情報記憶手段から削除し、
    前記バックアップ装置は、
    前記データ記録装置から受信した暗号化されたデータファイルを記憶するファイル記憶手段と、
    前記ユーザ別暗号情報をユーザ識別情報に対応づけて記憶する第2のユーザ別暗号情報記憶手段と、
    前記データ記録装置から前記ユーザ別暗号情報の送信要求を受信した場合、前記第2のユーザ別暗号情報記憶手段から読み出した前記ユーザ別暗号情報を前記データ記録装置に送信するユーザ別暗号情報送信手段と、
    前記データ記録装置から前記ユーザ別暗号情報の削除要求を受信した場合、前記第2のユーザ別暗号情報記憶手段に記憶されている前記ユーザ別暗号情報を削除する第2の削除手段と、を有し、
    前記外部ストレージは、
    前記データ記録装置から受信した暗号化されたデータファイルを記憶するファイル記憶手段、を有することを特徴とするデータ記憶システム。
  7. 前記データ記録装置は、
    複数のユーザが所属するグループに個別のグループ別暗号情報を生成するグループ別暗号情報生成手段と、
    グループのグループ識別情報、前記グループ別暗号情報及びグループに所属するユーザのユーザ識別情報が登録されたグループ情報記憶手段と、
    前記グループ別暗号情報により、同じグループに所属するユーザの前記ユーザ別暗号情報の少なくとも一部を暗号化するユーザ別暗号情報暗号化手段と、を有し、
    前記削除手段は、外部装置から前記グループ別暗号情報の削除要求を受信した場合、前記グループ情報記憶手段に記憶された前記グループ別暗号情報を削除する、
    ことを特徴とする請求項6に記載のデータ記憶システム。
  8. 前記ユーザ別暗号情報記憶手段には、ユーザ識別情報に紐づけて暗号化されたファイル別暗号情報が記憶されており、
    前記削除手段は、前記外部装置からデータファイルの削除要求を受信した場合、前記ユーザ別暗号情報記憶手段に記憶された前記ユーザ別暗号情報を削除すると共に、削除要求されたデータファイルのファイル別暗号情報を削除する、
    ことを特徴とする請求項6に記載のデータ記憶システム。
  9. 外部装置とネットワークを介して接続された情報処理装置に、
    ータ記録装置にデータファイルを記憶するユーザごと生成されたユーザ別暗号情報をユーザ識別情報に対応づけて記憶するユーザ別暗号情報生成ステップと、
    外部装置からユーザ識別情報とデータファイルを受信する受信ステップと、
    データファイルごと生成されたファイル別暗号情報を用いてデータファイルの少なくとも一部を暗号化して、ファイル記憶手段に暗号化されたデータファイルを記憶するステップと、
    ファイル別暗号情報の少なくとも一部を前記ユーザ別暗号情報を用いて暗号化するファイル別暗号情報暗号化ステップと、
    外部装置から前記ユーザ別暗号情報の削除要求を受信した場合、ユーザ別暗号情報記憶手段に記憶された前記ユーザ別暗号情報を削除する削除ステップと、を実行させ、
    前記受信ステップで外部装置から受信したデータファイルが、複数のユーザを所有者とする共有ファイルの場合、
    前記ファイル別暗号情報暗号化ステップでは、前記共有ファイルのファイル別暗号情報の少なくとも一部を、各所有者の前記ユーザ別暗号情報を用いて暗号化することで、1つの前記共有ファイルに対し所有者の数だけ暗号化されたファイル別暗号情報を作成し、
    前記削除ステップでは、外部装置から一人のユーザの前記ユーザ別暗号情報の削除要求を受信した場合、前記一人のユーザの前記ユーザ別暗号情報を前記ユーザ別暗号情報記憶手段から削除する、プログラム。
JP2013042212A 2013-03-04 2013-03-04 情報処理装置、プログラム Expired - Fee Related JP6175807B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013042212A JP6175807B2 (ja) 2013-03-04 2013-03-04 情報処理装置、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013042212A JP6175807B2 (ja) 2013-03-04 2013-03-04 情報処理装置、プログラム

Publications (2)

Publication Number Publication Date
JP2014170412A JP2014170412A (ja) 2014-09-18
JP6175807B2 true JP6175807B2 (ja) 2017-08-09

Family

ID=51692755

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013042212A Expired - Fee Related JP6175807B2 (ja) 2013-03-04 2013-03-04 情報処理装置、プログラム

Country Status (1)

Country Link
JP (1) JP6175807B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105893164A (zh) * 2016-03-28 2016-08-24 联想(北京)有限公司 一种终端数据导出的方法及电子设备
JP6903944B2 (ja) * 2017-02-27 2021-07-14 富士フイルムビジネスイノベーション株式会社 情報処理装置、印刷システムおよびプログラム
GB2562767A (en) * 2017-05-24 2018-11-28 Trust Hub Ltd Right to erasure compliant back-up

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5200204B2 (ja) * 2006-03-14 2013-06-05 ディブエックス リミテッド ライアビリティー カンパニー 高信頼性システムを含む連合型デジタル権限管理機構
JP2010187246A (ja) * 2009-02-13 2010-08-26 Hitachi Ltd コンテンツサーバ装置、データ生成方法、データ生成プログラム

Also Published As

Publication number Publication date
JP2014170412A (ja) 2014-09-18

Similar Documents

Publication Publication Date Title
JP4902207B2 (ja) ファイルの暗号化と復号化のための複数のキーを管理するシステムと方法
US8464073B2 (en) Method and system for secure data storage
RU2589861C2 (ru) Система и способ шифрования данных пользователя
US7428306B2 (en) Encryption apparatus and method for providing an encrypted file system
JP5362114B2 (ja) 保安usb記憶媒体生成及び復号化方法、並びに保安usb記憶媒体生成のためのプログラムが記録された媒体
US7751570B2 (en) Method and apparatus for managing cryptographic keys
US9762548B2 (en) Controlling encrypted data stored on a remote storage device
EP1953670A2 (en) System and method of storage device data encryption and data access
JP4327865B2 (ja) コンテンツ処理装置、暗号処理方法及びプログラム
US8200964B2 (en) Method and apparatus for accessing an encrypted file system using non-local keys
JP2006155554A (ja) データベース暗号化及びアクセス制御方法、セキュリティ管理装置
JP6175807B2 (ja) 情報処理装置、プログラム
Shekhtman et al. EngraveChain: Tamper-proof distributed log system
JP4612399B2 (ja) 共同利用パソコンシステムの環境復元方法および共同利用パソコン
US9697372B2 (en) Methods and apparatuses for securing tethered data
JP6131644B2 (ja) 情報処理装置、情報処理システム
JP6366883B2 (ja) 属性連携装置、転送システム、属性連携方法及び属性連携プログラム
JP2007282064A (ja) データ処理装置、データ処理方法、記憶媒体、プログラム
CN113342896B (zh) 一种基于云端融合的科研数据安全保护系统及其工作方法
CN111190695A (zh) 一种基于鲲鹏芯片的虚拟机保护方法及装置
CN112784321B (zh) 磁盘资安系统
Imanda et al. Nakula: Coercion Resistant Data Storage against Time-Limited Adversary
JP4955304B2 (ja) データ管理システム及び管理装置及びデータ管理方法及びプログラム
KR101562651B1 (ko) 이동식 저장매체 보안시스템 및 그 제공방법
JP5645990B2 (ja) 通信システム及び通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160301

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170228

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170428

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170613

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170626

R151 Written notification of patent or utility model registration

Ref document number: 6175807

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees