JP6287282B2 - 情報処理装置及び情報処理方法、情報処理システム、並びにコンピュータ・プログラム - Google Patents
情報処理装置及び情報処理方法、情報処理システム、並びにコンピュータ・プログラム Download PDFInfo
- Publication number
- JP6287282B2 JP6287282B2 JP2014019270A JP2014019270A JP6287282B2 JP 6287282 B2 JP6287282 B2 JP 6287282B2 JP 2014019270 A JP2014019270 A JP 2014019270A JP 2014019270 A JP2014019270 A JP 2014019270A JP 6287282 B2 JP6287282 B2 JP 6287282B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- key
- information processing
- processing apparatus
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、例えば、情報を暗号及び復号する技術分野に関する。
近年、クラウドコンピューティング・サービス(以降、本願では、「クラウドサービス」とも記す)は、急速に市場が拡大しつつある。クラウドサービスには、大別して、IaaS(Infrastructure_as_a_Service)、PaaS(Platform_as_a_Service)及びSaaS(Software_as_a_Service)という3つのサービスが存在する。
より具体的に、一例として、IaaS型クラウドサービスは、サーバ装置のCPU(Central_Processing_Unit)、メモリ(主記憶装置)、ストレージなどのインフラを、仮想化技術を活用して提供する。このIaaS型クラウドサービスの特徴としては、提供するCPUやメモリなどを、例えば、サービスを利用する利用者が必要な時に、必要なだけ提供することができる。
このように、IaaS型クラウドサービスを含むクラウドサービスの技術進歩に伴い、当該サービスを利用する企業では、運用をデータセンターに委託する傾向にある。しかしながら、外部委託が普及する一方で、セキュリティに対する不安から重要なデータ(情報)を、外部へ委託するのに抵抗のある顧客は多い。このため、例えば、セキュリティ対策に関する技術は、多岐にわたり存在する。
例えば、特許文献1は、多数の動作モードを支援する暗号化装置に関する技術を開示する。係る暗号化装置は、メモリに記憶された情報を読み出すメモリコントローラと、その読み出された情報を記憶する入力バッファと、入力バッファに記憶された情報を暗号化する暗号化ユニットと、暗号化された情報を記憶する出力バッファとを有する。当該暗号化装置は、暗号化された情報を、メモリコントローラによって出力バッファから読み出すと共に、読み出した情報をメモリに記憶する。これにより、当該暗号化装置は、複数の暗号化プロトコルにおいて情報を暗号化することができる。
また、特許文献2は、暗号通信装置、鍵管理装置および方法、ネットワーク通信システムおよび方法に関する技術を開示する。特許文献2には、複数のユーザにより構成されるグループ間において送受信する情報を、暗号化、または復号化する技術が開示されている。
ところで、重要な情報を管理するデータセンターでは、論理的なセキュリティだけでなく、物理的なセキュリティの確保が求められる。物理的なセキュリティ対策としては、厳密な入退室管理や施設内の監視などが知られている。
しかしながら、データセンターにおいて、例えば、保守員などのサービスの提供に携わる様々な要員は施設を入退室する必要がある。そのため、データセンターでは、様々なセキュリティ対策を実施しているにもかかわらず、データセンターの信頼性を脅かす悪意ある第三者によって物品等の盗難にあう虞がある。より具体的に、例えば、データセンターとしては、暗号化された情報であっても、物理的にハードディスクドライブ(Hard_disk_drive:以降、本願では「HDD」)と、復号鍵とを持ち出された場合に、その情報の漏えいを防ぐことができない可能性がある。
企業としては、運営コスト、保守などの様々な観点からシステム全体を、外部に委託したいと考える。しかしながら、当該企業は、上述において説明した問題を解決することができないため、システム全体を外部に委託することができない。即ち、外部委託した場合に、当該企業は、機密情報の管理を徹底することができない虞がある。
特許文献1及び特許文献2に開示された技術は、複数のグループ間、複数の暗号化プロトコルにおいて情報を暗号化することが記載されているに留まり、HDDや暗号鍵などを物理的に持ち出されることについては、考慮されておらず何ら述べられていない。即ち、特許文献1及び特許文献2に開示された技術では、情報の漏えいを防ぐことができない可能性がある。
また、特許文献1及び特許文献2には、通信ネットワークを介して暗号化された情報を送受信することが記載されている。そのため、例えば、特許文献2に開示された技術では、グループ間の通信やプロトコル変換などにより生じるオーバーヘッドについては、考慮されておらず何ら述べられていない。
本発明は、より速やかに暗号化または復号化処理を実施すると共に、その暗号化または復号化された情報のセキュリティを確保することが可能な情報処理装置等を提供することを主たる目的とする。
上記の課題を達成すべく、本発明に係る情報処理装置は、以下の構成を備えることを特徴とする。
即ち、本発明に係る情報処理装置は、
暗号化または復号化される対象である対象情報を含む要求情報と、前記対象情報が暗号化または復号化されることにより得られた情報とを、自装置と離れた他の場所に位置する外部装置との間において、該外部装置のローカルI/Oデバイスとして送受信可能な通信手段と、
暗号鍵または復号鍵の少なくとも何れかの鍵を管理する鍵管理手段と、
前記鍵を要求すると共に、その要求に応じて、前記鍵管理手段から得られる該鍵を用いて、前記対象情報を、暗号化または復号化する計算手段と、を備え
前記通信手段は、
前記暗号化または復号化されることにより得られた情報を、前記外部装置が有する記憶装置の所定の位置に記憶する
ことを特徴とする。
暗号化または復号化される対象である対象情報を含む要求情報と、前記対象情報が暗号化または復号化されることにより得られた情報とを、自装置と離れた他の場所に位置する外部装置との間において、該外部装置のローカルI/Oデバイスとして送受信可能な通信手段と、
暗号鍵または復号鍵の少なくとも何れかの鍵を管理する鍵管理手段と、
前記鍵を要求すると共に、その要求に応じて、前記鍵管理手段から得られる該鍵を用いて、前記対象情報を、暗号化または復号化する計算手段と、を備え
前記通信手段は、
前記暗号化または復号化されることにより得られた情報を、前記外部装置が有する記憶装置の所定の位置に記憶する
ことを特徴とする。
或いは、同目的は、上記に示す情報処理装置を含む情報処理システムによっても達成される。
また、同目的を達成すべく、本発明に係る情報処理方法は、以下の構成を備えることを特徴とする。
即ち、本発明に係る情報処理方法は、
情報処理装置が、
暗号化または復号化される対象である対象情報を含む要求情報と、前記対象情報が暗号化または復号化されることにより得られた情報とを、自装置と離れた他の場所に位置する外部装置との間において、該外部装置のローカルI/Oデバイスとして送受信し、
暗号鍵または復号鍵の少なくとも何れかの鍵を管理し、
前記鍵を要求すると共に、その要求に応じて得られる該鍵を用いて、前記対象情報を、暗号化または復号化し、
前記暗号化または復号化されることにより得られた情報を、前記外部装置が有する記憶装置の所定の位置に記憶する
ことを特徴とする。
情報処理装置が、
暗号化または復号化される対象である対象情報を含む要求情報と、前記対象情報が暗号化または復号化されることにより得られた情報とを、自装置と離れた他の場所に位置する外部装置との間において、該外部装置のローカルI/Oデバイスとして送受信し、
暗号鍵または復号鍵の少なくとも何れかの鍵を管理し、
前記鍵を要求すると共に、その要求に応じて得られる該鍵を用いて、前記対象情報を、暗号化または復号化し、
前記暗号化または復号化されることにより得られた情報を、前記外部装置が有する記憶装置の所定の位置に記憶する
ことを特徴とする。
尚、同目的は、上記の各構成を有する情報処理装置及び情報処理方法を、コンピュータによって実現するコンピュータ・プログラム、及びそのコンピュータ・プログラムが格納されている、読み取り可能な記憶媒体によっても達成される。
本発明によれば、より速やかに暗号化または復号化処理を実施すると共に、その暗号化または復号化された情報のセキュリティを確保することが可能な情報処理装置を提供することができる。
以下、本発明の実施形態について図面を参照して詳細に説明する。
<第1の実施形態>
図1は、本発明の第1の実施形態における情報処理装置1の構成を示すブロック図である。
図1は、本発明の第1の実施形態における情報処理装置1の構成を示すブロック図である。
図1において、情報処理装置1は、通信部2、計算部3及び鍵管理部4を備える。
通信部2は、要求情報101を受信すると共に、要求情報101に基づいて、暗号化または復号化される対象であるデータなどの対象情報を外部装置から取得する。次に、通信部2は、外部装置から取得した対象情報を計算部3に対して与える。
尚、以下の説明では、説明の便宜上、一例として、暗号化または復号化される対象である対象情報を、「第1の情報」と称する。そして、以下の説明では、当該対象情報が暗号化または復号化されることによって得られる情報を、「第2の情報」と称する。
また、以下の説明では、第2の情報を記憶する位置(先頭アドレス)を示す情報を、「第1のアドレス情報」と称する。そして、以下の説明では、第1の情報が記憶されている位置(先頭アドレス)を示す情報を、「第2のアドレス情報」と称する(以下、各実施形態においても同様)。
ここで、要求情報101とは、第1のアドレス情報と、第2のアドレス情報と、第1の情報に関するメタ情報と、使用鍵番号と、暗号化または復号化の依頼元であるCPUを識別可能な識別子(Identifier:以降、「ID」と称する)とを含む。
より具体的に、第1のアドレス情報は、第1の情報が暗号化または復号化されることによって得られる情報を記憶する位置(先頭アドレス)を示す情報である。即ち、第1のアドレス情報は、第2の情報を記憶する位置を示す情報である。次に、第2のアドレス情報は、第1の情報が記憶されている位置(先頭アドレス)を示す情報である。
また、使用鍵番号は、暗号鍵または復号鍵を識別可能な管理番号である。そして、メタ情報は、一例として、第1の情報の長さと、第1の情報のブロックサイズとを含む。
尚、以下の説明では、説明に便宜上、使用鍵番号を、単に、「鍵番号」と称する。
次に、通信部2は、後述する計算部3から与えられた第2の情報を、要求情報101に基づいて、外部装置に送信する。そして、通信部2は、第2の情報を、例えば、外部装置が有する不図示のHDD(例えば、図2に示すHDD204)などの記憶装置の所定の位置に記憶する。即ち、通信部2は、第2の情報を、当該HDDの第2アドレス情報が示す位置に記憶する。
また、通信部2は、第2の情報を、第1のアドレス情報が示す位置に記憶した際に、処理が完了したことを示す完了通知を、例えば、外部機器に対して送信する。
計算部3は、通信部2から第1の情報を取得する。そして、計算部3は、鍵番号に基づいて、鍵管理部4から暗号鍵または復号鍵の何れかを取得する。
より具体的に、計算部3は、要求情報101に含まれる鍵番号に基づき暗号鍵を入手することを、後述する鍵管理部4に対して要求する。または、計算部3は、要求情報101に含まれる鍵番号に基づき復号鍵を入手することを、後述する鍵管理部4に対して要求する。
次に、計算部3は、要求に応じて得られた暗号鍵を使用して第1の情報を暗号化する。または、計算部3は、要求に応じて得られた復号鍵を使用して第1の情報を復号化する。そして、計算部3は、第2の情報を通信部2に対して与える。
尚、以下の説明では、説明の便宜上、一例として、暗号鍵または復号鍵なる表現を、「暗号鍵(または復号鍵)」とも表記する。そして、以下の説明では、暗号化または復号化なる表現を、「暗号化(または復号化)」とも表記する。そして、「暗号鍵(または復号鍵)によって暗号化(または復号化)する」なる記載は、暗号鍵による暗号化、または復号鍵による復号化を表すこととする(以下、各実施形態においても同様)。
鍵管理部4は、1つ以上の鍵番号と、その鍵番号に対応する暗号鍵または復号鍵の何れかを管理する機能を有する。即ち、鍵管理部4は、鍵番号と、暗号鍵または復号鍵とを関連付けて管理する。
鍵管理部4は、計算部3からの鍵番号に基づく要求に応じて、その鍵番号に関連付けられた暗号鍵または復号鍵の何れかを計算部3に対して与える。
図2は、本発明の第1の実施形態における情報処理装置1が暗号化処理を実行するに際して、サーバ装置201と情報処理装置1との間における第1の情報の流れを概念的に例示する図である。
より具体的に、図2に示すサーバ装置201は、CPU202、DMA(Direct_Memory_Access)コントローラ203、HDD204及び通信装置205を有する。
CPU202は、コンピュータシステムの全体の動作を司るものである。DMAコントローラ203は、CPU202からの転送要求に応じて、例えば、不図示の主記憶装置(例えば、図4に示す主記憶装置206)とHDD204などのI/O(Input/Output)デバイスとの間において情報の転送処理を制御する。
HDD204は、コンピュータによるデータの読み書きが可能な不揮発性の記憶デバイスである。通信装置205は、通信ネットワーク110を介して情報処理装置1と通信可能に接続する。
通信ネットワーク110は、例えば、携帯電話事業者が所有する各種通信回線、インターネットサービスプロバイダ等が提供するインターネット等の一般的な通信回線やホームゲートウェイ等により構成された家庭内のネットワークである。但し、本実施形態を例に説明する本発明は、前述した構成には限定されない(以下、各実施形態においても同様)。
図2に示すように、HDD204の第2のアドレス情報が示す位置に記憶された第1の情報は、通信装置205を介して情報処理装置1によって取得される。また、第2の情報は、通信装置205を介して情報処理装置1によって、HDD204の第1のアドレス情報が示す位置に記憶される。
次に、図3は、本発明の第1の実施形態における情報処理装置1が要求情報101を受信するのに応じて暗号化処理を実行する処理を示すシーケンス図である。以下の説明では、図2及び図3に示すシーケンス図に沿って情報処理装置1の動作手順を説明する。
以下の説明において、説明の便宜上、一例として、サーバ装置201は、一般的に知られたデータセンター200に設けられたサーバ装置である。そして、情報処理装置1は、データセンター200と異なる他の、例えば、金庫室などの堅牢な領域において管理されることとする。
また、サーバ装置201と情報処理装置1とは、暗号化処理を実行する前に、相互認証、通信路を暗号化する準備などの初期化シーケンスを行うこととする。これにより、サーバ装置201と情報処理装置1との通信路は、暗号化される。
尚、サーバ装置201と情報処理装置1との間において初期化シーケンスを行う技術自体は、現在では一般的な技術を採用することができるので、本実施形態における詳細な説明は省略する(以下、各実施形態においても同様)。
そして、情報処理装置1は、サーバ装置201が有するHDD204の第2のアドレス情報が示す位置に記憶された第1の情報を暗号化することとする。情報処理装置1は、第1の情報が暗号化されることにより得られた情報(つまり、第2の情報)をHDD204の第1のアドレス情報が示す位置に記憶することとする。
説明の便宜上、上述した構成を例に説明するが、本実施形態を例に説明する本発明は、前述した構成にはこれに限定されない(以下の実施形態においても同様)。
ステップS1:
通信部2は、要求情報101を受信する。
通信部2は、要求情報101を受信する。
ステップS2:
通信部2は、要求情報101に基づいて、HDD204の第2のアドレス情報が示す位置に記憶された第1の情報を取得する。また、通信部2は、取得した第1の情報を計算部3に対して与える。
通信部2は、要求情報101に基づいて、HDD204の第2のアドレス情報が示す位置に記憶された第1の情報を取得する。また、通信部2は、取得した第1の情報を計算部3に対して与える。
より具体的に、通信部2は、要求情報101に含まれる第2のアドレス情報と、メタ情報とに基づいて、Read処理をサーバ装置201に対して実行することによって、HDD204の第2のアドレス情報が示す位置に記憶された第1の情報を取得する。
ステップS3:
通信部2は、要求情報101に含まれる鍵番号に基づいて、暗号鍵(または復号鍵)を、鍵管理部4に対して要求する。
通信部2は、要求情報101に含まれる鍵番号に基づいて、暗号鍵(または復号鍵)を、鍵管理部4に対して要求する。
ステップS4:
鍵管理部4は、計算部3からの鍵番号に基づく要求に応じて、その鍵番号に関連付けられた暗号鍵(または復号鍵)を計算部3に対して与える。
鍵管理部4は、計算部3からの鍵番号に基づく要求に応じて、その鍵番号に関連付けられた暗号鍵(または復号鍵)を計算部3に対して与える。
ステップS5:
計算部3は、通信部2から得られた第1の情報と、鍵管理部4から得られた暗号鍵(または復号鍵)とに基づいて、第1の情報を暗号化(または復号化)する。また、計算部3は、第2の情報を通信部2に対して与える。
計算部3は、通信部2から得られた第1の情報と、鍵管理部4から得られた暗号鍵(または復号鍵)とに基づいて、第1の情報を暗号化(または復号化)する。また、計算部3は、第2の情報を通信部2に対して与える。
ステップS6:
通信部2は、第2の情報を、要求情報101に基づいて、HDD204の第1のアドレス情報が示す位置に記憶する。
通信部2は、第2の情報を、要求情報101に基づいて、HDD204の第1のアドレス情報が示す位置に記憶する。
より具体的に、通信部2は、第2の情報を、要求情報101に含まれる第1のアドレス情報とメタ情報とに基づいて、Write処理をサーバ装置201に対して実行することによって、HDD204の第1のアドレス情報が示す位置に記憶する。
ステップS7:
通信部2は、第2の情報を、第1のアドレス情報が示す位置に記憶した際に完了したことを示す完了通知をサーバ装置201に対して送信する。
通信部2は、第2の情報を、第1のアドレス情報が示す位置に記憶した際に完了したことを示す完了通知をサーバ装置201に対して送信する。
尚、情報処理装置1とサーバ装置201とは、例えば、ExpEther(登録商標)、iSCSI(internet_Small_Computer_System_Interface)及びNVMexpress(Non_Volatile_Memory_express)などのリモートI/Oとして扱うことのできるプロトコルを用いて通信することが望ましい。
これにより、情報処理装置1と、自装置と離れた他の場所に位置するサーバ装置201との間では、一般的に知られたDMA方式(「DMA転送方式」とも記す)により第1の情報及び第2の情報を送受信することができる。また、係るリモートI/Oは、例えば、サーバ装置201の利用者やサーバ装置201に搭載されたソフトウェアからローカルI/Oデバイスとして扱うことができる。即ち、情報処理装置1は、サーバ装置201(外部装置)のローカルI/Oデバイスとして第1の情報及び第2の情報を送受信可能な通信部2を備える。そのため、情報処理装置1は、CPU202に処理負担をかけることなく、第1の情報及び第2の情報を送受信することができる。即ち、情報処理装置1は、より速やかに第1の情報を暗号化または復号化することができる。
また、上述した本実施形態では、説明の便宜上、一例として、通信部2は、第2のアドレス情報と、メタ情報とに基づいて、サーバ装置201(外部装置)から第1の情報を取得する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。通信部2は、外部装置から第1の情報を受信する構成を採用してもよい。その場合に、要求情報101には、第2のアドレス情報を含まない構成を採用することができる。
このように本実施の形態に係る情報処理装置1によれば、より速やかに暗号化または復号化処理を実施すると共に、その暗号化または復号化された情報のセキュリティを確保することができる。即ち、情報処理装置1によれば、高速、且つ安全に暗号化および復号化することができる。その理由は、以下に述べる通りである。
即ち、情報処理装置1は、暗号化または復号化される対象である情報が記憶された領域と異なる他の堅牢な領域において、暗号鍵または復号鍵を管理すると共に、それら鍵を用いて当該対象である情報を暗号化または復号化することができるからである。即ち、情報処理装置1とクラウドサービスを提供するクラウドシステムとは、分離して運用することによって、暗号鍵または復号鍵を利用することが可能な範囲を、情報処理装置1だけに限定することができる。
例えば、情報処理装置1を用いて暗号化または復号化された情報を保持するデータセンターにおいて、ハードディスクが物理的に盗難にあった場合であっても、例えば、悪意ある第三者は、暗号化された情報を、復号化することができない。即ち、例えば、データセンターに外部委託した企業は、情報漏えいを防ぐことができるだけでなく、情報漏えいのリスクを低減することができる。
そして、一般的に知られたデータセンターでは、プロビジョニングやマイグレーションなどによって、物理的なリソースの位置が動的に変更する。このため、データセンターにおいて、暗号鍵または復号鍵を必要とする位置は、不定、且つ複数になる可能性がある。これに対して、情報処理装置1は、それら鍵を必要とする位置が不定、且つ複数になることを抑制することができる。
その理由は、暗号鍵または復号鍵は、情報処理装置1おいて管理することができるからである。即ち、例えば、当該企業の管理者は、それら鍵を1箇所で管理することができるからである。
<第2の実施形態>
次に、上述した本発明の第1の実施形態に係る情報処理装置1を基本とする第2の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
次に、上述した本発明の第1の実施形態に係る情報処理装置1を基本とする第2の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
本発明の第2の実施形態における情報処理装置11について、図4乃至図6を参照して説明する。
図4は、本発明の第2の実施形態における情報処理装置11を含む情報処理システム10の構成を示すブロック図である。即ち、図4は、情報処理装置11をサーバ装置201のリモートI/Oデバイスとして接続する構成を概念的に例示する図である。
図4において、情報処理システム10は、大別して、情報処理装置11と、サーバ装置201とを有する。
情報処理装置11は、通信部2、計算部3、鍵管理部4、認証管理部12及び認証管理テーブル(認証管理情報)13を備える。
また、サーバ装置201は、CPU202、DMAコントローラ203、HDD204、主記憶装置206及びSwitch207を有する。
本実施形態において、情報処理装置11は、認証管理テーブル13に基づき外部機器が既に認証された装置か否かを判別する認証管理部12を、さらに有する点が第1の実施形態において説明した情報処理装置1と異なる。
認証管理部12は、要求情報101に含まれるCPUを識別可能なIDに基づいて、認証管理テーブル13を参照する。そして、認証管理部12は、認証管理テーブル13の中からIDに関連付けられた認証済みか否かを示す認証情報を求める。
認証管理部12は、求めた認証情報に基づいて、暗号化または復号化の依頼元である外部装置が既に認証された装置か否かを判別する。
認証管理部12は、当該外部装置が認証済みか否かを判別した結果、認証済みであると判別する場合に、暗号化または復号化処理を継続する。その一方で、認証管理部12は、当該外部装置が認証済みか否かを判別した結果、認証済みでないと判別する場合には、処理を終了する。即ち、認証管理部12は、認証エラーとして処理を受け付けない。
認証管理テーブル13は、例えば、第1の実施形態において説明した初期化シーケンスを行った際に、相互認証の結果を管理するテーブルである。より具体的に、認証管理テーブル13は、暗号化または復号化の依頼元であるCPUを識別可能なIDと、そのCPUを有する外部装置が認証済みか否かを示す認証情報とを含む。即ち、認証管理テーブル13は、IDと認証情報とが関連付けられた情報である。
主記憶装置206は、コンピュータによるデータの読み書きが可能な揮発性の記憶デバイスである。Switch207は、CPU202、HDD204及び情報処理装置11の間において、第1の情報及び第2の情報などの各種情報の入出力を制御する。
次に、以下の説明において、より具体的に、本実施形態における情報処理装置11が行う暗号化処理の動作について説明する。
図5A及び図5Bは、本発明の第2の実施形態における情報処理装置11が行う要求情報101を受信した際の動作を示すフローチャートである。係るフローチャートに沿って情報処理装置11の動作手順を説明する。その際、図3に示すシーケンス図において説明した構成については、同一の参照番号を付すことにより、重複する説明は省略する。
以下の説明では、説明の便宜上、一例として、情報処理装置11は、主記憶装置206の第2のアドレス情報が示す位置に記憶された第1の情報を暗号化することとする。情報処理装置11は、第1の情報が暗号化されることによって得られる情報(つまり、第2の情報)をHDD204の第1のアドレス情報が示す位置に記憶することとする。
また、サーバ装置201(外部装置)は、暗号化依頼(暗号化要求)として要求情報101をパケットに含めて情報処理装置11に対して送信することする。
尚、説明の便宜上、上述した構成を例に説明するが、本実施形態を例に説明する本発明は、前述した構成にはこれに限定されない(以下の実施形態においても同様)。
情報処理装置11は、通信部2を介してサーバ装置201から要求情報101を受信するのに応じて、処理を開始する。
ステップS11:
認証管理部12は、要求情報101に基づいて、認証管理テーブル13を参照する。そして、認証管理部12は、認証管理テーブル13の中からIDに関連付けられた認証情報を求める。
認証管理部12は、要求情報101に基づいて、認証管理テーブル13を参照する。そして、認証管理部12は、認証管理テーブル13の中からIDに関連付けられた認証情報を求める。
より具体的に、認証管理部12は、要求情報101に含まれるIDに基づいて、認証管理テーブル13の中からIDに関連付けられた認証情報を求める。
ステップS12:
認証管理部12は、求めた認証情報に基づいて、暗号化または復号化の依頼元であるサーバ装置201が既に認証された装置か否かを判別する。
認証管理部12は、求めた認証情報に基づいて、暗号化または復号化の依頼元であるサーバ装置201が既に認証された装置か否かを判別する。
ステップS12において「YES」:
認証管理部12は、求めた認証情報に基づいて、当該外部装置が認証済みであると判別する場合に、処理をステップS2に進める。
認証管理部12は、求めた認証情報に基づいて、当該外部装置が認証済みであると判別する場合に、処理をステップS2に進める。
ステップS12において「NO」:
認証管理部12は、求めた認証情報に基づいて、当該外部装置が認証済みでないと判別する場合に、処理を終了する。
認証管理部12は、求めた認証情報に基づいて、当該外部装置が認証済みでないと判別する場合に、処理を終了する。
尚、上述した本実施形態では、説明の便宜上、一例として、情報処理装置11は、主記憶装置206に記憶された第1の情報を、暗号化または復号化する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。情報処理装置11は、例えば、HDD204に記憶された第1の情報を、暗号化、または復号化する構成を採用してもよい。或いは、情報処理装置11は、例えば、通信ネットワーク(例えば、図2に示す通信ネットワーク110)に接続されたストレージデバイスに記憶された第1の情報を、暗号化または復号化する構成を採用してもよい。
また、上述した本実施形態では、説明の便宜上、一例として、情報処理装置11は、第2の情報を、HDD204に記憶する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。情報処理装置11は、第2の情報を、主記憶装置206に記憶する構成を採用してもよい。或いは、情報処理装置11は、第2の情報を、通信ネットワークに接続されたストレージデバイスに記憶する構成を採用してもよい。但し、本実施形態を例に説明する本発明は、前述した構成には限定されない(以下、各実施形態においても同様)。
次に、図6は、本発明の第2の実施形態における情報処理装置11が要求情報101を受信するのに応じて情報処理装置11とサーバ装置201との間において実行する処理を示すシーケンス図である。以下の説明では、係るシーケンス図に沿って情報処理装置11の動作手順を説明する。その際、図3、図5A及び図5Bにおいて説明した構成については、同一の参照番号を付すことにより、重複する説明は省略する。
ステップS21:
CPU202は、主記憶装置206に対してWrite処理を実行することによって、主記憶装置206の第2のアドレス情報が示す位置に第1の情報を記憶する。
CPU202は、主記憶装置206に対してWrite処理を実行することによって、主記憶装置206の第2のアドレス情報が示す位置に第1の情報を記憶する。
ステップS22:
CPU202は、暗号化依頼(暗号化要求)として要求情報101をパケットに含めて情報処理装置11に対して送信する。
CPU202は、暗号化依頼(暗号化要求)として要求情報101をパケットに含めて情報処理装置11に対して送信する。
尚、情報処理装置11は、図6に示すように、全ての第1の情報に対して暗号化処理(または復号化処理)を繰り返し実行する。即ち、情報処理装置11は、ステップS2乃至ステップS6において説明した処理を繰り返し実行する。
また、上述した本実施形態では、説明の便宜上、一例として、情報処理装置11は、1つのサーバ装置201に対して上述する処理を実行する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。情報処理装置11は、1つ以上のサーバ装置201に対して上述する処理を実行する構成を採用してもよい。
このように本実施の形態に係る情報処理装置11によれば、第1の実施形態において説明した効果を享受できると共に、さらに、暗号化または復号化された情報のセキュリティを確保することができる。その理由は、以下に述べる通りである。
即ち、情報処理装置11は、要求情報101に含まれるIDと相互認証の結果を管理する認証管理テーブル13とに基づいて、外部装置が既に認証された装置か否かを判別する認証管理部12を備えるからである。
(ハードウェア構成例)
上述した実施形態において図面に示した各部は、ソフトウェアプログラムの機能(処理)単位(ソフトウェアモジュール)と捉えることができる。これらの各ソフトウェアモジュールは、専用のハードウェアによって実現してもよい。但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定されうる。この場合のハードウェア環境の一例を、図7を参照して説明する。
上述した実施形態において図面に示した各部は、ソフトウェアプログラムの機能(処理)単位(ソフトウェアモジュール)と捉えることができる。これらの各ソフトウェアモジュールは、専用のハードウェアによって実現してもよい。但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定されうる。この場合のハードウェア環境の一例を、図7を参照して説明する。
図7は、本発明の模範的な実施形態に係る情報処理装置を実行可能な情報処理装置300(コンピュータ)の構成を例示的に説明する図である。即ち、図7は、図1に示した情報処理装置1、或いは、図4に示した情報処理装置11、の全体または一部の情報処理装置を実現可能なサーバ等のコンピュータ(情報処理装置)の構成であって、上述した実施形態における各機能を実現可能なハードウェア環境を表す。
図7に示した情報処理装置300は、CPU301、ROM(Read_Only_Memory)302、RAM(Random_Access_Memory)303、ハードディスク304(記憶装置)、並びに外部装置との通信インタフェース(Interface:以降、「I/F」と称する)305、CD−ROM(Compact_Disc_Read_Only_Memory)等の記憶媒体307に格納されたデータを読み書き可能なリーダライタ308を備え、これらの構成がバス306(通信線)を介して接続された一般的なコンピュータである。
そして、上述した実施形態を例に説明した本発明は、図7に示した情報処理装置300に対して、その説明において参照したブロック構成図(図1、図4)或いはフローチャート(図5A、図5B)及びシーケンス図(図3、図6)の機能を実現可能なコンピュータ・プログラムを供給した後、そのコンピュータ・プログラムを、当該ハードウェアのCPU301に読み出して実行することによって達成される。また、当該装置内に供給されたコンピュータ・プログラムは、読み書き可能な一時記憶メモリ(RAM303)またはハードディスク304等の不揮発性の記憶デバイスに格納すれば良い。
また、前記の場合において、当該ハードウェア内へのコンピュータ・プログラムの供給方法は、CD−ROM等の各種記憶媒体307を介して当該装置内にインストールする方法や、インターネット等の通信回線を介して外部よりダウンロードする方法等のように、現在では一般的な手順を採用することができる。そして、このような場合において、本発明は、係るコンピュータ・プログラムを構成するコード或いは、そのコードが格納された記憶媒体によって構成されると捉えることができる。
1 情報処理装置
2 通信部
3 計算部
4 鍵管理部
10 情報処理システム
11 情報処理装置
12 認証管理部
13 認証管理テーブル
101 要求情報
110 通信ネットワーク
200 データセンター
201 サーバ装置
202 CPU
203 DMAコントローラ
204 HDD
205 通信装置
206 主記憶装置
207 Switch
300 情報処理装置
301 CPU
302 ROM
303 RAM
304 ハードディスク
305 通信インタフェース
306 バス
307 記憶媒体
308 リーダライタ
2 通信部
3 計算部
4 鍵管理部
10 情報処理システム
11 情報処理装置
12 認証管理部
13 認証管理テーブル
101 要求情報
110 通信ネットワーク
200 データセンター
201 サーバ装置
202 CPU
203 DMAコントローラ
204 HDD
205 通信装置
206 主記憶装置
207 Switch
300 情報処理装置
301 CPU
302 ROM
303 RAM
304 ハードディスク
305 通信インタフェース
306 バス
307 記憶媒体
308 リーダライタ
Claims (9)
- 暗号化または復号化される対象である対象情報を含む要求情報と、前記対象情報が暗号化または復号化されることにより得られた情報とを、自装置と離れた他の場所に位置する外部装置との間において、該外部装置のローカルI/Oデバイスとして送受信可能な通信手段と、
暗号鍵または復号鍵の少なくとも何れかの鍵を管理する鍵管理手段と、
前記鍵を要求すると共に、その要求に応じて、前記鍵管理手段から得られる該鍵を用いて、前記対象情報を、暗号化または復号化する計算手段と、を備え、
前記通信手段は、
前記暗号化または復号化されることにより得られた情報を、記憶する位置を示す第1のアドレス情報と、前記対象情報に関するメタ情報とに基づき前記記憶装置に記憶する
ことを特徴とする情報処理装置。 - 前記計算手段は、
前記鍵を識別可能な鍵番号に基づいて、前記鍵管理手段に前記鍵を要求する
ことを特徴とする請求項1に記載の情報処理装置。 - 前記鍵管理手段は、
前記鍵番号と、前記鍵とを関連付けて管理し、前記鍵番号に基づく前記計算手段からの要求に応じて、該鍵番号に関連付けられた前記鍵を与える
ことを特徴とする請求項2に記載の情報処理装置。 - 前記外部装置を識別可能なIDに基づいて、そのIDと前記外部装置が認証済みか否かを示す認証情報とを含む認証管理情報の中から前記IDに関連付けられた認証情報を求めると共に、該求めた認証情報に基づいて、前記外部装置が既に認証された装置か否かを判別する認証管理手段を、さらに備える
ことを特徴とする請求項1に記載の情報処理装置。 - 前記要求情報は、
前記対象情報と、前記メタ情報と、前記第1のアドレス情報と、前記鍵を識別可能な鍵番号と、前記外部装置を認識可能なIDとを含む
ことを特徴する請求項2乃至請求項4の何れかに記載の情報処理装置。 - 前記要求情報は、
さらに前記対象情報が記憶された位置を示す第2のアドレス情報を含み、
前記通信手段は、
前記外部装置から受信する、または前記要求情報に前記第2のアドレス情報が含まれている場合には、前記第2のアドレス情報と前記メタ情報とに基づいて取得することによって、前記対象情報を、前記外部装置から得る
ことを特徴とする請求項1乃至請求項5の何れかに記載の情報処理装置。 - 1つ以上の前記外部装置と、請求項1乃至請求項6の何れかに記載された情報処理装置とを含むことを特徴とする情報処理システム。
- 情報処理装置が、
暗号化または復号化される対象である対象情報を含む要求情報と、前記対象情報が暗号化または復号化されることにより得られた情報とを、自装置と離れた他の場所に位置する外部装置との間において、該外部装置のローカルI/Oデバイスとして送受信し、
暗号鍵または復号鍵の少なくとも何れかの鍵を管理し、
前記鍵を要求すると共に、その要求に応じて得られる該鍵を用いて、前記対象情報を、暗号化または復号化し、
前記暗号化または復号化されることにより得られた情報を、記憶する位置を示す第1のアドレス情報と、前記対象情報に関するメタ情報とに基づき前記外部装置が有する記憶装置に記憶することを特徴とする情報処理方法。 - 暗号化または復号化される対象である対象情報を含む要求情報と、前記対象情報が暗号化または復号化されることにより得られた情報とを、自装置と離れた他の場所に位置する外部装置との間において、該外部装置のローカルI/Oデバイスとして送受信する機能と、
暗号鍵または復号鍵の少なくとも何れかの鍵を管理する機能と、
前記鍵を要求すると共に、その要求に応じて得られる該鍵を用いて、前記対象情報を、暗号化または復号化する機能と、
前記暗号化または復号化されることにより得られた情報を、記憶する位置を示す第1のアドレス情報と、前記対象情報に関するメタ情報とに基づき前記外部装置が有する記憶装置に記憶する機能と、を
コンピュータに実現させることを特徴とするコンピュータ・プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014019270A JP6287282B2 (ja) | 2014-02-04 | 2014-02-04 | 情報処理装置及び情報処理方法、情報処理システム、並びにコンピュータ・プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014019270A JP6287282B2 (ja) | 2014-02-04 | 2014-02-04 | 情報処理装置及び情報処理方法、情報処理システム、並びにコンピュータ・プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015146548A JP2015146548A (ja) | 2015-08-13 |
| JP6287282B2 true JP6287282B2 (ja) | 2018-03-07 |
Family
ID=53890594
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014019270A Active JP6287282B2 (ja) | 2014-02-04 | 2014-02-04 | 情報処理装置及び情報処理方法、情報処理システム、並びにコンピュータ・プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6287282B2 (ja) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4196561B2 (ja) * | 2001-12-12 | 2008-12-17 | 日本電気株式会社 | コンテンツ配信方法、サーバ端末、中継サーバ、サーバクラスタ及びプログラム |
| WO2004008676A2 (en) * | 2002-07-12 | 2004-01-22 | Ingrian Networks, Inc. | Network attached encryption |
| JP2010262550A (ja) * | 2009-05-11 | 2010-11-18 | Mitsubishi Electric Corp | 暗号化システム及び暗号化プログラム及び暗号化方法及び暗号装置 |
| US20120017095A1 (en) * | 2010-07-19 | 2012-01-19 | Coreguard | Software Service for Encrypting and Decrypting Data |
| JP2015503280A (ja) * | 2011-11-28 | 2015-01-29 | ポルティコア エルティディ. | 仮想化とクラウド・コンピューティングの安全確保と管理に適用される、安全未確保のコンピュータ環境で暗号化キーを確保する方法と装置。 |
| JP5659178B2 (ja) * | 2012-03-16 | 2015-01-28 | 株式会社東芝 | 不揮発性記憶装置及び不揮発性メモリの制御方法 |
-
2014
- 2014-02-04 JP JP2014019270A patent/JP6287282B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015146548A (ja) | 2015-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6787952B2 (ja) | 要求によって供給される鍵を用いたデータセキュリティ | |
| US9735962B1 (en) | Three layer key wrapping for securing encryption keys in a data storage system | |
| EP3123657B1 (en) | Method and apparatus for cloud-assisted cryptography | |
| KR101904635B1 (ko) | 개인 디바이스 및 클라우드 데이터의 분산된 보안 백업 | |
| JP5634427B2 (ja) | 鍵生成装置、鍵生成方法およびプログラム | |
| EP3682364B1 (en) | Cryptographic services utilizing commodity hardware | |
| JP6404481B2 (ja) | クラウドコンピューティングにおける異種混合データ記憶管理方法および装置 | |
| US11196721B2 (en) | Systems and methods for establishing a secure communication channel between an information handling system and a docking station | |
| US10887085B2 (en) | System and method for controlling usage of cryptographic keys | |
| JP6669929B2 (ja) | シングルサインオンアプリケーション用の暗号化鍵を管理するためのシステム及び方法 | |
| JP6691545B2 (ja) | 組織ユーザ識別管理を使用した自動鍵管理 | |
| WO2021129003A1 (zh) | 一种密码管理方法及相关装置 | |
| CN110708291A (zh) | 分布式网络中数据授权访问方法、装置、介质及电子设备 | |
| US10673827B1 (en) | Secure access to user data | |
| KR20200038991A (ko) | 리소스 처리 방법, 장치, 및 시스템, 및 컴퓨터 판독가능 매체 | |
| US10462113B1 (en) | Systems and methods for securing push authentications | |
| US20210281608A1 (en) | Separation of handshake and record protocol | |
| US20200119919A1 (en) | Electronic device authentication managing apparatus | |
| US11032708B2 (en) | Securing public WLAN hotspot network access | |
| WO2020003018A1 (en) | Secure operations on encrypted data | |
| JP6287282B2 (ja) | 情報処理装置及び情報処理方法、情報処理システム、並びにコンピュータ・プログラム | |
| CN114186245A (zh) | 来自存储系统的加密密钥 | |
| KR102526112B1 (ko) | 동형 암호 연산을 위한 키 관리 시스템 및 그 동작 방법 | |
| CN110999205A (zh) | 用于简档证书私有密钥或其他数据的封装的装置和方法 | |
| WO2013038418A1 (en) | System and method to authorize the access of the service to an end user |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170116 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171026 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171107 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171220 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180109 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180122 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6287282 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |