JPH03278137A - 暗号化データ処理システム - Google Patents
暗号化データ処理システムInfo
- Publication number
- JPH03278137A JPH03278137A JP2080243A JP8024390A JPH03278137A JP H03278137 A JPH03278137 A JP H03278137A JP 2080243 A JP2080243 A JP 2080243A JP 8024390 A JP8024390 A JP 8024390A JP H03278137 A JPH03278137 A JP H03278137A
- Authority
- JP
- Japan
- Prior art keywords
- key
- data
- master key
- encrypted data
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 173
- 238000000034 method Methods 0.000 claims description 23
- 238000003672 processing method Methods 0.000 claims 2
- 230000006870 function Effects 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000012447 hatching Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
〔産業上の利用分野〕
本発明は、暗号化データ処理システムに関し、更に詳し
くは、データ処理システムの各々の機能装置に暗号化お
よび復号化の処理を行う処理回路を備え、システム内の
各々の機能装置において暗号化および復号化の処理を分
散させて行う暗号化データ処理システムに関するもので
ある。
くは、データ処理システムの各々の機能装置に暗号化お
よび復号化の処理を行う処理回路を備え、システム内の
各々の機能装置において暗号化および復号化の処理を分
散させて行う暗号化データ処理システムに関するもので
ある。
大規模ネットワークでは、通信文が多くの端末とホスト
・コンピュータとの間で公衆通信ネットワークを介して
伝送される。公衆通信ネットワークは、不特定の人が任
意にアクセス可能となっており、特に、無線通信を用い
るネットワークは通信の機密性が保証されない。このた
め、通信文の機密性を保つために通信文に対して暗号化
が行なわれる。暗号化の基本思想は、他人がデータを読
んたり、干渉することを防止することにある。暗号化に
よる機密性を十分に高めるためには、多くの暗号化鍵が
必要となる。しかし、暗号化鍵が多くなると、暗号化鍵
の管理が複雑となる。同様な問題は、多くの利用者のフ
ァイルを記憶し、厳重な制御のもとにファイルの一部の
データを他の利用者に伝送するホスト・コンピュータに
おいても発生する。
・コンピュータとの間で公衆通信ネットワークを介して
伝送される。公衆通信ネットワークは、不特定の人が任
意にアクセス可能となっており、特に、無線通信を用い
るネットワークは通信の機密性が保証されない。このた
め、通信文の機密性を保つために通信文に対して暗号化
が行なわれる。暗号化の基本思想は、他人がデータを読
んたり、干渉することを防止することにある。暗号化に
よる機密性を十分に高めるためには、多くの暗号化鍵が
必要となる。しかし、暗号化鍵が多くなると、暗号化鍵
の管理が複雑となる。同様な問題は、多くの利用者のフ
ァイルを記憶し、厳重な制御のもとにファイルの一部の
データを他の利用者に伝送するホスト・コンピュータに
おいても発生する。
暗号化鍵の管理には、鍵の生成から廃棄に至るまでの暗
号処理システムの取り扱いに関する全ての局面が含まれ
る。このような暗号化処理のセキュリティにおける鍵の
管理に関しては、例えば、文献rD、 W、 Davi
es、 W、 L、 Pr1ce著「ネットワークセキ
ュリティ(Security for Compute
rNetwork)J 1984年2日経マグロウヒル
社発行、第133頁〜第159頁」に論じられている手
法が参考になる。
号処理システムの取り扱いに関する全ての局面が含まれ
る。このような暗号化処理のセキュリティにおける鍵の
管理に関しては、例えば、文献rD、 W、 Davi
es、 W、 L、 Pr1ce著「ネットワークセキ
ュリティ(Security for Compute
rNetwork)J 1984年2日経マグロウヒル
社発行、第133頁〜第159頁」に論じられている手
法が参考になる。
従来における暗号処理システムでは、1つの暗号処理装
置において暗号処理を一括して行ない、この結果をファ
イルや通信回線に対して出力するシステム構成となって
いる。
置において暗号処理を一括して行ない、この結果をファ
イルや通信回線に対して出力するシステム構成となって
いる。
ところで、上述のように従来における暗号システムは、
1台の暗号処理装置を単位にして、暗号化鍵の管理を行
うことを前提としており、暗号化処理を複数の処理装置
に分散させて行う点については配慮がなされていない。
1台の暗号処理装置を単位にして、暗号化鍵の管理を行
うことを前提としており、暗号化処理を複数の処理装置
に分散させて行う点については配慮がなされていない。
このため、例えば、データ処理を分散して行う分散化デ
ータ処理システムにおいて、従来の手法により、データ
の機密保護のために暗号化を行うシステム構成とする場
合には、各々のデータ処理が分散されて行なわれる結果
、暗号化処理の制御および暗号化鍵の管理が複雑となり
、システム構成が複雑となって、低コストでは所望のセ
キュリティが得られないという問題点がある。
ータ処理システムにおいて、従来の手法により、データ
の機密保護のために暗号化を行うシステム構成とする場
合には、各々のデータ処理が分散されて行なわれる結果
、暗号化処理の制御および暗号化鍵の管理が複雑となり
、システム構成が複雑となって、低コストでは所望のセ
キュリティが得られないという問題点がある。
本発明は、上記問題点を解決するためになされたもので
ある。
ある。
本発明の目的は、暗号処理を分散化して行うことができ
る暗号化データ処理システムを提供することにある。
る暗号化データ処理システムを提供することにある。
7−
本発明の他の目的は、暗号処理の分散化して行うことが
できる暗号化データ処理システムにおいて、暗号化鍵の
管理を一元化して行い、暗号化システムのセキュリイを
高めた暗号化データ処理システムを提供することにある
。
できる暗号化データ処理システムにおいて、暗号化鍵の
管理を一元化して行い、暗号化システムのセキュリイを
高めた暗号化データ処理システムを提供することにある
。
本発明の前記ならびにその他の目的と新規な特徴は、本
明細書の記述及び添付図面によって明らかになるであろ
う。
明細書の記述及び添付図面によって明らかになるであろ
う。
上記目的を達成するため、本発明の暗号化データ処理シ
ステムは、各々の機能装置に暗号化および復号化の処理
を行う処理回路を備え、各々の機能装置において暗号化
および復号化の処理を分散させて行う暗号化データ処理
システムであって、各々の機能装置に暗号方式のマスタ
鍵を保持するマスタ鍵保持回路を備え、暗号化データ処
理システム内の各々の機能装置のマスタ鍵保持回路にマ
スタ鍵を同一内容に設定することを特徴とする。
ステムは、各々の機能装置に暗号化および復号化の処理
を行う処理回路を備え、各々の機能装置において暗号化
および復号化の処理を分散させて行う暗号化データ処理
システムであって、各々の機能装置に暗号方式のマスタ
鍵を保持するマスタ鍵保持回路を備え、暗号化データ処
理システム内の各々の機能装置のマスタ鍵保持回路にマ
スタ鍵を同一内容に設定することを特徴とする。
これによれば、暗号化データ処理システムには8−
各々の機能装置に暗号化および復号化の処理を行う処理
回路が備えられ、更に、各々の機能装置に暗号方式のマ
スタ鍵を保持するマスタ鍵保持回路が備えられる。そし
て、暗号化データ処理システム内の各々の機能装置のマ
スタ鍵保持回路にマスタ鍵を同一内容に設定し、このマ
スタ鍵を用いて各々の機能装置において暗号化および復
号化の処理を分散させて行う。
回路が備えられ、更に、各々の機能装置に暗号方式のマ
スタ鍵を保持するマスタ鍵保持回路が備えられる。そし
て、暗号化データ処理システム内の各々の機能装置のマ
スタ鍵保持回路にマスタ鍵を同一内容に設定し、このマ
スタ鍵を用いて各々の機能装置において暗号化および復
号化の処理を分散させて行う。
このように、暗号化データ処理システムにおいて、暗号
化処理を行う必要のある各々の機能装置に対して、暗号
化および復号化の処理を行う処理回路が備えられ、それ
ぞれに暗号化機能が持たせられる。この場合、暗号化鍵
の管理を一元化して行うために、暗号化機能を持った各
々の機能装置に同一内容のマスタ鍵を保持できるように
、マスタ鍵保持回路が備えられ、マスタ鍵保持回路に設
定するマスタ鍵を同一の値を設定する。
化処理を行う必要のある各々の機能装置に対して、暗号
化および復号化の処理を行う処理回路が備えられ、それ
ぞれに暗号化機能が持たせられる。この場合、暗号化鍵
の管理を一元化して行うために、暗号化機能を持った各
々の機能装置に同一内容のマスタ鍵を保持できるように
、マスタ鍵保持回路が備えられ、マスタ鍵保持回路に設
定するマスタ鍵を同一の値を設定する。
生のデータを暗号化するためのデータ鍵はシステム内で
共通のマスタ鍵で暗号化して保持し、各々の機能装置が
暗号化処理および復号化処理する場合に暗号化されたデ
ータ鍵を該当機能装置に送出する。当該機能装置は自己
に保持している共通のマスタ鍵を用いてデータ鍵を復号
化し、データ鍵を得て、該データ鍵を用いて生のデータ
の暗号化処理および復号化処理を行う。
共通のマスタ鍵で暗号化して保持し、各々の機能装置が
暗号化処理および復号化処理する場合に暗号化されたデ
ータ鍵を該当機能装置に送出する。当該機能装置は自己
に保持している共通のマスタ鍵を用いてデータ鍵を復号
化し、データ鍵を得て、該データ鍵を用いて生のデータ
の暗号化処理および復号化処理を行う。
また、1つの暗号処理を2つ以上の機能装置によって行
う場合においても、各機能装置に対してマスタ鍵で暗号
化された同一のデータ鍵を送出することにより、各機能
装置が共通のマスタ鍵を用いて復号化を行い、同一のデ
ータ鍵を得て、各機能装置において同一の暗号処理を行
うことできる。
う場合においても、各機能装置に対してマスタ鍵で暗号
化された同一のデータ鍵を送出することにより、各機能
装置が共通のマスタ鍵を用いて復号化を行い、同一のデ
ータ鍵を得て、各機能装置において同一の暗号処理を行
うことできる。
このようにして、この暗号化データ処理システムにおい
ては、システム内の各々の機能装置により、暗号処理を
分散化して行うことができ、暗号化の鍵をマスタ鍵とし
て、その管理を一元化することができ、暗号化システム
のセキュリイを高めることができる。
ては、システム内の各々の機能装置により、暗号処理を
分散化して行うことができ、暗号化の鍵をマスタ鍵とし
て、その管理を一元化することができ、暗号化システム
のセキュリイを高めることができる。
以下、本発明の一実施例を図面を用いて具体的に説明す
る。
る。
第1図は、本発明の一実施例にかかる暗号化データ処理
システムの要部の構成を示すブロック図である。第1図
において、10は暗号装置、20は中央処理装置、30
は磁気テープ制御装置、40は磁気テープ装置である。
システムの要部の構成を示すブロック図である。第1図
において、10は暗号装置、20は中央処理装置、30
は磁気テープ制御装置、40は磁気テープ装置である。
この暗号化データ処理システムは、データ処理を行う中
央処理装置20に、入出力制御装置の磁気テープ制御装
置30と、入出力装置の磁気テープ装置40が結合され
た構成のデータ処理システムに、暗号処理を行う暗号装
置10が付加されたシステム構成となっている。また、
35は他の磁気テープ制御装置であり、磁気テープ制御
装置30と同様な構成のデバイス制御装置である。
央処理装置20に、入出力制御装置の磁気テープ制御装
置30と、入出力装置の磁気テープ装置40が結合され
た構成のデータ処理システムに、暗号処理を行う暗号装
置10が付加されたシステム構成となっている。また、
35は他の磁気テープ制御装置であり、磁気テープ制御
装置30と同様な構成のデバイス制御装置である。
45は他の磁気テープ装置であり、磁気テープ装置40
と同様な構成の入出力デバイスである。すなわち、中央
処理装置20には、複数系統の磁気テープ制御装置30
.35および磁気テープ装置40.45の入出力装置系
が結合されたシステム構成となっている。これらのシス
テムを構成する各々の装置(各々の機能装置)には、後
述するように、暗号化処理を行う必要のある装置に暗号
化処理および復号化処理を行う暗号/復号処理回路12
.13.32が備えられ、暗号/復号処理回路で暗号化
処理および復号化処理を行うためのマスタ鍵を保持する
マスタ鍵保持回路14.15.33が設けら九る。
と同様な構成の入出力デバイスである。すなわち、中央
処理装置20には、複数系統の磁気テープ制御装置30
.35および磁気テープ装置40.45の入出力装置系
が結合されたシステム構成となっている。これらのシス
テムを構成する各々の装置(各々の機能装置)には、後
述するように、暗号化処理を行う必要のある装置に暗号
化処理および復号化処理を行う暗号/復号処理回路12
.13.32が備えられ、暗号/復号処理回路で暗号化
処理および復号化処理を行うためのマスタ鍵を保持する
マスタ鍵保持回路14.15.33が設けら九る。
また、50はICカードである。ICカード50はメモ
リおよび処理装置の半導体集積回路チップをカード状の
基板内に組み込んだカードであり、そこに保持されるデ
ータは、内部に組み込まれた処理装置との間でインタフ
ェースが合わなければ、ICカード内のメモリに格納さ
れたデータが読み出せない。このため、ICカードは機
密性が高いデータ保持媒体となっている。ここでは、こ
のICカード50に暗号化鍵のマスタ鍵となる一次マス
タ鍵51および二次マスタ鍵52が保持される。
リおよび処理装置の半導体集積回路チップをカード状の
基板内に組み込んだカードであり、そこに保持されるデ
ータは、内部に組み込まれた処理装置との間でインタフ
ェースが合わなければ、ICカード内のメモリに格納さ
れたデータが読み出せない。このため、ICカードは機
密性が高いデータ保持媒体となっている。ここでは、こ
のICカード50に暗号化鍵のマスタ鍵となる一次マス
タ鍵51および二次マスタ鍵52が保持される。
中央処理装置20は、■○インタフェース信号線11を
介して暗号装置10と結合され、また、I○インタフェ
ース信号線31を介して磁気テープ制御装置30と結合
される。磁気テープ制御装置30は磁気テープ装置40
を制御するデバイス制御装置である。
介して暗号装置10と結合され、また、I○インタフェ
ース信号線31を介して磁気テープ制御装置30と結合
される。磁気テープ制御装置30は磁気テープ装置40
を制御するデバイス制御装置である。
暗号装置10には、R8A暗号/復号回路12.DE1
1 S暗号/復号回路13が備えられ、工0インタフェース
信号線11に共通に各々の暗号/復号回路が接続され、
各々の暗号/復号回路が中央処理装置20に結合される
。更に、暗号装置10内にはR8A暗号方式のマスタ鍵
となる一次マスタ鍵を保持する第1のマスタ鍵保持回路
14.DES暗号方式のマスタ鍵となる二次マスタ鍵を
保持する第2のマスタ鍵保持回路15が設けられている
。
1 S暗号/復号回路13が備えられ、工0インタフェース
信号線11に共通に各々の暗号/復号回路が接続され、
各々の暗号/復号回路が中央処理装置20に結合される
。更に、暗号装置10内にはR8A暗号方式のマスタ鍵
となる一次マスタ鍵を保持する第1のマスタ鍵保持回路
14.DES暗号方式のマスタ鍵となる二次マスタ鍵を
保持する第2のマスタ鍵保持回路15が設けられている
。
なお、R8A暗号方式はユーザ公開鍵およびユーザ秘密
鍵を用いて、一方向性関数の演算を行って暗号化および
復号化を行う暗号方式であり、周知の暗号方式である。
鍵を用いて、一方向性関数の演算を行って暗号化および
復号化を行う暗号方式であり、周知の暗号方式である。
また、DES暗号方式(米国標準化暗号方式)も周知の
暗号方式であり、このような暗号化処理および復号化処
理を行うR8A暗号/復号回路およびDES暗号/復号
回路についても、LSI(大規模集積回路)化されて、
市販されているものであり、ここでの詳細な説明は省略
する。
暗号方式であり、このような暗号化処理および復号化処
理を行うR8A暗号/復号回路およびDES暗号/復号
回路についても、LSI(大規模集積回路)化されて、
市販されているものであり、ここでの詳細な説明は省略
する。
また、磁気テープ制御装置30内には、DES暗号/復
号回路32が備えられ、工○インタフェース2 信号線31にDES暗号/復号回路32が接続され、こ
のDES暗号/復号回路32が中央処理装置20に結合
される。更に、磁気テープ制御装置30内には、DES
暗号方式のマスタ鍵となる二次マスタ鍵を保持するマス
タ鍵保持回路33が設けられている。
号回路32が備えられ、工○インタフェース2 信号線31にDES暗号/復号回路32が接続され、こ
のDES暗号/復号回路32が中央処理装置20に結合
される。更に、磁気テープ制御装置30内には、DES
暗号方式のマスタ鍵となる二次マスタ鍵を保持するマス
タ鍵保持回路33が設けられている。
暗号装置10の二次マスタ鍵保持回路14および二次マ
スタ鍵保持回路15に設定される一次マスタ鍵および二
次マスタ鍵、磁気テープ制御装置30の二次マスタ鍵保
持回路に設定される二次マスタ鍵の各々は、暗号装置1
0および磁気テープ制御装置30に設けられたICカー
ドのインタフェース部19゜39において、ICカード
50を一時的に結合することにより、ICカード50内
に設定されている一次マスタ鍵51および二次マスタ鍵
52の内容が、ぞれぞれ読み込まれて保持回路に設定さ
れる。したがって、暗号装置10の二次マスタ鍵保持回
路15に設定された二次マスタ鍵と、磁気テープ制御装
置の二次マスタ鍵保持回路33に設定された二次マスタ
鍵とは同一内容になっている。
スタ鍵保持回路15に設定される一次マスタ鍵および二
次マスタ鍵、磁気テープ制御装置30の二次マスタ鍵保
持回路に設定される二次マスタ鍵の各々は、暗号装置1
0および磁気テープ制御装置30に設けられたICカー
ドのインタフェース部19゜39において、ICカード
50を一時的に結合することにより、ICカード50内
に設定されている一次マスタ鍵51および二次マスタ鍵
52の内容が、ぞれぞれ読み込まれて保持回路に設定さ
れる。したがって、暗号装置10の二次マスタ鍵保持回
路15に設定された二次マスタ鍵と、磁気テープ制御装
置の二次マスタ鍵保持回路33に設定された二次マスタ
鍵とは同一内容になっている。
このように構成されている暗号化データ処理システムに
おいて、中央処理装置20には、磁気テープ装M40に
マウントした磁気テープの所有者のユーザ秘密鍵21.
ユーザ公開鍵22.磁気テープに書き込むデータ24.
およびデータ24を暗号化するためのデータ鍵23が記
憶されて、暗号化処理を含むデータ処理が進められる。
おいて、中央処理装置20には、磁気テープ装M40に
マウントした磁気テープの所有者のユーザ秘密鍵21.
ユーザ公開鍵22.磁気テープに書き込むデータ24.
およびデータ24を暗号化するためのデータ鍵23が記
憶されて、暗号化処理を含むデータ処理が進められる。
なお、ユーザ秘密鍵21は、暗号装置10の一次マスタ
鍵14により暗号化されて記憶され、また、データ鍵2
3は暗号袋M10の二次マスタ鍵15により暗号化され
て記憶されており、当該ユーザに対するデータの機密性
が保証される。ユーザ公開鍵22は、当該ユーザに対す
るデータを暗号化する場合に用いる公開された鍵であり
、暗号化はされていない。なお、第1図においては、暗
号化されたデータおよび暗号化鍵は、ブロックに斜線の
ハツチングを施して示している。
鍵14により暗号化されて記憶され、また、データ鍵2
3は暗号袋M10の二次マスタ鍵15により暗号化され
て記憶されており、当該ユーザに対するデータの機密性
が保証される。ユーザ公開鍵22は、当該ユーザに対す
るデータを暗号化する場合に用いる公開された鍵であり
、暗号化はされていない。なお、第1図においては、暗
号化されたデータおよび暗号化鍵は、ブロックに斜線の
ハツチングを施して示している。
次に、このように構成されている暗号化データ処理シス
テムの動作について説明する。
テムの動作について説明する。
まず、磁気テープ装置40に対しデータ24を暗号化し
て出力し、書き込む処理を説明する。
て出力し、書き込む処理を説明する。
5
第2図は、暗号化処理におけるデータの流れを説明する
処理のブロック図である。第2図において、中央処理装
置20および磁気テープ装置40の各々のブロックは、
暗号化鍵およびデータのブロックを示し、暗号装置10
および磁気テープ制御装置30の各々のブロックは、各
々の処理のブロックおよび暗号化鍵のブロックを示して
いる。また、第2図においても、暗号化されたデータお
よび暗号化鍵は、ブロックに斜線のハツチングを施して
示している。これは、後述する第3図の復号化処理を説
明するブロック図においても同様である。
処理のブロック図である。第2図において、中央処理装
置20および磁気テープ装置40の各々のブロックは、
暗号化鍵およびデータのブロックを示し、暗号装置10
および磁気テープ制御装置30の各々のブロックは、各
々の処理のブロックおよび暗号化鍵のブロックを示して
いる。また、第2図においても、暗号化されたデータお
よび暗号化鍵は、ブロックに斜線のハツチングを施して
示している。これは、後述する第3図の復号化処理を説
明するブロック図においても同様である。
[処理ブロック101:DES復号化コ中央処理装置2
0内に記憶されているDES暗号化されたデータ鍵23
を暗号装置10に取り込み、暗号装置10内の二次マス
タ鍵保持回路15に設定され保持されている二次マスタ
鍵を使って、DES暗号/復号回路13にて復号化を行
い、生のデータ鍵16を出力する。
0内に記憶されているDES暗号化されたデータ鍵23
を暗号装置10に取り込み、暗号装置10内の二次マス
タ鍵保持回路15に設定され保持されている二次マスタ
鍵を使って、DES暗号/復号回路13にて復号化を行
い、生のデータ鍵16を出力する。
[処理ブロック102:R5A暗号化]中央処理装置2
0内にあるユーザ公開鍵22を暗号IFi− 装置10に取り込み、処理ブロック101で復号化され
た生のデータ鍵16をR8A暗号化し、中央処理装置2
0.磁気テープ制御装置30を介して磁気テープ装置4
0に送出し、磁気テープ装置40において磁気テープ上
のレコードのヘッダ部に、ユーザ公開鍵によりR8A暗
号化されたデータ鍵41を書き込む。
0内にあるユーザ公開鍵22を暗号IFi− 装置10に取り込み、処理ブロック101で復号化され
た生のデータ鍵16をR8A暗号化し、中央処理装置2
0.磁気テープ制御装置30を介して磁気テープ装置4
0に送出し、磁気テープ装置40において磁気テープ上
のレコードのヘッダ部に、ユーザ公開鍵によりR8A暗
号化されたデータ鍵41を書き込む。
[処理ブロック103:DES復号化コ中央処理装置2
0内に記憶されているDES暗号化されたデータ鍵23
を磁気テープ制御装置30に送出し、磁気テープ制御装
置30内の二次マスタ鍵保持回路33に設定され保持さ
れている二次マスタ鍵を用いて復号化し、データ鍵34
を得る。このデータ鍵34は処理ブロック101で得た
データ鍵16と同じ値となっている。
0内に記憶されているDES暗号化されたデータ鍵23
を磁気テープ制御装置30に送出し、磁気テープ制御装
置30内の二次マスタ鍵保持回路33に設定され保持さ
れている二次マスタ鍵を用いて復号化し、データ鍵34
を得る。このデータ鍵34は処理ブロック101で得た
データ鍵16と同じ値となっている。
[処理ブロック104:DES暗号化]中央処理装置2
0内に記憶されている書き込みデータ24を磁気テープ
制御装置30に送出し、データ鍵34を使って当該デー
タ24をDES暗号化する。
0内に記憶されている書き込みデータ24を磁気テープ
制御装置30に送出し、データ鍵34を使って当該デー
タ24をDES暗号化する。
DES暗号化したデータは、磁気テープ装置40に送出
し、磁気テープ装置40において磁気テープ上のレコー
ドのデータレコード部に、データ鍵によりDBS暗号化
された出力データ42を書き込む。
し、磁気テープ装置40において磁気テープ上のレコー
ドのデータレコード部に、データ鍵によりDBS暗号化
された出力データ42を書き込む。
次に、磁気テープ装置40から磁気テープ上に暗号化さ
れて書き込まれている出力データ42を読み取り、復号
化して入力する処理を説明する。
れて書き込まれている出力データ42を読み取り、復号
化して入力する処理を説明する。
第3図は、復号化処理におけるデータの流れを説明する
処理のブロック図である。
処理のブロック図である。
復号化処理を含むデータ入力処理では、まず、暗号化さ
れて記憶されているユーザ秘密鍵を復号化する処理から
開始する。
れて記憶されているユーザ秘密鍵を復号化する処理から
開始する。
[処理ブロック111 : R8A復号化]中央処理装
置20内に記憶されているR8A暗号化されたユーザ秘
密鍵21を暗号装置10に取り込み、暗号装置10の二
次マスタ鍵保持回路14に設定され保持されている二次
マスタ鍵を用いてR8A復号化し、生のユーザ秘密鍵1
7を得る。
置20内に記憶されているR8A暗号化されたユーザ秘
密鍵21を暗号装置10に取り込み、暗号装置10の二
次マスタ鍵保持回路14に設定され保持されている二次
マスタ鍵を用いてR8A復号化し、生のユーザ秘密鍵1
7を得る。
[処理ブロック112:R8A復号化]磁気テープ装置
40から磁気テープ上のレコードのヘッダ部に書き込み
れているR8A暗号化されたデータ鍵41を読み取り、
磁気テープ制御装置30゜中央処理装置20を介して暗
号装置10に送出する。
40から磁気テープ上のレコードのヘッダ部に書き込み
れているR8A暗号化されたデータ鍵41を読み取り、
磁気テープ制御装置30゜中央処理装置20を介して暗
号装置10に送出する。
暗号装置10では、このR8A暗号化されたデータ鍵4
1を先に復号化したユーザ秘密鍵17を使って、R8A
復号化し、生のデータ鍵16を得る。
1を先に復号化したユーザ秘密鍵17を使って、R8A
復号化し、生のデータ鍵16を得る。
[処理ブロック113:DES暗号暗号化量暗号装置1
0二次マスタ鍵保持回路15に設定され保持されている
二次マスタ鍵を用いて、先に処理ブロック112でR8
A復号化された生のデータ鍵16を、再びDES暗号化
し、暗号化したデータ鍵23を中央処理装置20に送出
する。中央処理装置20では、DES暗号化されたデー
タ[23を受は取り、磁気テープ上に暗号化されて書き
込まれているデータ42の復号化処理に用いるまで一時
的に保持する。これにより、データ鍵の機密性は保証さ
れる。
0二次マスタ鍵保持回路15に設定され保持されている
二次マスタ鍵を用いて、先に処理ブロック112でR8
A復号化された生のデータ鍵16を、再びDES暗号化
し、暗号化したデータ鍵23を中央処理装置20に送出
する。中央処理装置20では、DES暗号化されたデー
タ[23を受は取り、磁気テープ上に暗号化されて書き
込まれているデータ42の復号化処理に用いるまで一時
的に保持する。これにより、データ鍵の機密性は保証さ
れる。
[処理ブロック114:DES復号化コ中央処理装置2
0内で一時的に保持されているDBS暗号化されたデー
タ鍵23を磁気テープ制御装置30に送出し、磁気テー
プ制御装置30の二次マスタ鍵保持回路33に設定され
保持されている二次マスタ鍵を用いてDES復号化し、
生のデータ鍵34を得る。この生のデータ鍵34は、暗
号装置WIOにおいて処理ブロック112の出力で得た
データ鍵16と同じ値である。
0内で一時的に保持されているDBS暗号化されたデー
タ鍵23を磁気テープ制御装置30に送出し、磁気テー
プ制御装置30の二次マスタ鍵保持回路33に設定され
保持されている二次マスタ鍵を用いてDES復号化し、
生のデータ鍵34を得る。この生のデータ鍵34は、暗
号装置WIOにおいて処理ブロック112の出力で得た
データ鍵16と同じ値である。
[処理ブロック115:DES復号復号化低磁気テープ
制御装置30、磁気テープ装置40を制御して、磁気テ
ープ上のデータレコード部のDBS暗号化されたデータ
42を読み取り、データ鍵34でDES復号化し、生の
データ24を得て中央処理装置20に入力する。
制御装置30、磁気テープ装置40を制御して、磁気テ
ープ上のデータレコード部のDBS暗号化されたデータ
42を読み取り、データ鍵34でDES復号化し、生の
データ24を得て中央処理装置20に入力する。
以上に説明したように、本実施例の暗号化データ処理シ
ステムにおいて、暗号化処理を行う各々の機能装置(暗
号装置、磁気テープ制御装W)には、暗号化および復号
化の処理を行う暗号/復号回路が備えられ、暗号/復号
回路が暗号/復号処理を行うための鍵は、マスタ鍵とし
て一元化して管理される。このため、暗号化処理を行う
各々の機能装置には、同一内容のマスタ鍵を設定して保
持するマスタ鍵保持回路が備えられる。マスタ鍵1J− 保持回路(−次マスタ鍵保持回路、二次マスタ鍵保持回
路)は、異なる暗号方式の暗号/復号回路(R3A暗号
/復号回路、DES晴号/復号回路)に対応して設けら
れる。マスタ鍵保持回路に設定するマスタ鍵は、同じI
Cカードからの鍵データをマスタ鍵として読み込み、各
々の機能装置のマスタ鍵保持回路に設定して保持する。
ステムにおいて、暗号化処理を行う各々の機能装置(暗
号装置、磁気テープ制御装W)には、暗号化および復号
化の処理を行う暗号/復号回路が備えられ、暗号/復号
回路が暗号/復号処理を行うための鍵は、マスタ鍵とし
て一元化して管理される。このため、暗号化処理を行う
各々の機能装置には、同一内容のマスタ鍵を設定して保
持するマスタ鍵保持回路が備えられる。マスタ鍵1J− 保持回路(−次マスタ鍵保持回路、二次マスタ鍵保持回
路)は、異なる暗号方式の暗号/復号回路(R3A暗号
/復号回路、DES晴号/復号回路)に対応して設けら
れる。マスタ鍵保持回路に設定するマスタ鍵は、同じI
Cカードからの鍵データをマスタ鍵として読み込み、各
々の機能装置のマスタ鍵保持回路に設定して保持する。
これにより、各機能装置のマスタ鍵は同一の値が設定さ
れる。
れる。
出力データを暗号化するためのデータ鍵は、システム内
で共通のマスタ鍵で暗号化して保持し、各々の機能装置
が暗号化処理および復号化処理する場合にのみ暗号化さ
れたデータ鍵を該当機能装置に送出する。機能装置は自
己に保持している共通のマスタ鍵を用いてデータ鍵を復
号化し、データ鍵を得て、該データ鍵を用いて生のデー
タの暗号化処理および復号化処理を行う。
で共通のマスタ鍵で暗号化して保持し、各々の機能装置
が暗号化処理および復号化処理する場合にのみ暗号化さ
れたデータ鍵を該当機能装置に送出する。機能装置は自
己に保持している共通のマスタ鍵を用いてデータ鍵を復
号化し、データ鍵を得て、該データ鍵を用いて生のデー
タの暗号化処理および復号化処理を行う。
このように、システム内の暗号化/復号化処理は、共通
のマスタ鍵を用いて行い、入出力処理におけるデータの
暗号化処理は、ぞれぞれ個別のデータ鍵を用いて暗号/
復号回路で行い、暗号化デ20 一夕と共に、暗号化したデータ鍵を入出力する。
のマスタ鍵を用いて行い、入出力処理におけるデータの
暗号化処理は、ぞれぞれ個別のデータ鍵を用いて暗号/
復号回路で行い、暗号化デ20 一夕と共に、暗号化したデータ鍵を入出力する。
1つの暗号処理を2つ以上の機能装置(暗号装置、磁気
テープ制御装置)によって行う場合には、各機能装置に
対してマスタ鍵で暗号化された同一のデータ鍵を送出す
ることにより、各機能装置が共通のマスタ鍵を用いて復
号化を行い、同一のデータ鍵を得て、各機能装置におい
て同一の暗号処理を行う。
テープ制御装置)によって行う場合には、各機能装置に
対してマスタ鍵で暗号化された同一のデータ鍵を送出す
ることにより、各機能装置が共通のマスタ鍵を用いて復
号化を行い、同一のデータ鍵を得て、各機能装置におい
て同一の暗号処理を行う。
このようにして1本実施例の暗号化データ処理システム
においては、システム内の各々の機能装置に暗号処理お
よび復号化処理を行う処理回路が備えられ、各々の機能
装置で暗号処理を分散化して行うことができる。また、
暗号化の鍵はマスタ鍵として、その管理を一元化して行
うことで、暗号化システムのセキュリイを高められる。
においては、システム内の各々の機能装置に暗号処理お
よび復号化処理を行う処理回路が備えられ、各々の機能
装置で暗号処理を分散化して行うことができる。また、
暗号化の鍵はマスタ鍵として、その管理を一元化して行
うことで、暗号化システムのセキュリイを高められる。
なお、ここでのマスタ鍵による暗号、復号化処理に替え
て、秘密関数による演算、逆演算の処理を用いて同様な
システム構成とすることもできる。
て、秘密関数による演算、逆演算の処理を用いて同様な
システム構成とすることもできる。
この場合、各々の機能装置毎に同一方式の秘密関数化処
理を行う機構を設け、暗号化データ処理システム内にて
秘密関数で演算されたデータ鍵を生成し、このデータ鍵
を用いて各々の機能装置が秘密関数の逆演算を行い、各
々の機能装置で同一の元のデータ鍵を得て、暗号化処理
を行う。
理を行う機構を設け、暗号化データ処理システム内にて
秘密関数で演算されたデータ鍵を生成し、このデータ鍵
を用いて各々の機能装置が秘密関数の逆演算を行い、各
々の機能装置で同一の元のデータ鍵を得て、暗号化処理
を行う。
以上、説明したように、本実施例の暗号化データ処理シ
ステムにおいては、暗号装置10.磁気テープ制御装置
30が中央処理装置20を介して、互いにデータ鍵の転
送を行い、暗号装置10.磁気テープ制御装置30がそ
れぞれに暗号化処理/復号化処理を行うが、この場合、
データ鍵は中央処理装置内では必ず暗号化されているの
で、データ鍵の盗難に対する危険性を減少できる。各々
の装置で同一のデータ鍵を得て暗号処理を行えるので、
暗号処理が分散して行うこと可能である。暗号化/復号
化の処理を行う処理回路を備える機能装置を複数台とす
ることにより、ある機能装置が故障中あるいは処理中に
おいても、他の機能装置に切替えて暗号処理を行うこと
ができる。
ステムにおいては、暗号装置10.磁気テープ制御装置
30が中央処理装置20を介して、互いにデータ鍵の転
送を行い、暗号装置10.磁気テープ制御装置30がそ
れぞれに暗号化処理/復号化処理を行うが、この場合、
データ鍵は中央処理装置内では必ず暗号化されているの
で、データ鍵の盗難に対する危険性を減少できる。各々
の装置で同一のデータ鍵を得て暗号処理を行えるので、
暗号処理が分散して行うこと可能である。暗号化/復号
化の処理を行う処理回路を備える機能装置を複数台とす
ることにより、ある機能装置が故障中あるいは処理中に
おいても、他の機能装置に切替えて暗号処理を行うこと
ができる。
以上、本発明を実施例にもとづき具体的に説明したが、
本発明は、前記実施例に限定されるもの23− ではなく、その要旨を逸脱しない範囲において種々変更
可能であることは言うまでもない。
本発明は、前記実施例に限定されるもの23− ではなく、その要旨を逸脱しない範囲において種々変更
可能であることは言うまでもない。
以上、説明したように、本発明の暗号化データ処理シス
テムによれば、システム内の各々の機能装置に暗号処理
および復号化処理を行う処理回路が備えられ、各々の機
能装置で暗号処理を分散化して行うことができる。また
、暗号化の鍵はマスタ鍵として、その管理を一元化して
行い、暗号化システムのセキュリイが高いシステムとな
る。
テムによれば、システム内の各々の機能装置に暗号処理
および復号化処理を行う処理回路が備えられ、各々の機
能装置で暗号処理を分散化して行うことができる。また
、暗号化の鍵はマスタ鍵として、その管理を一元化して
行い、暗号化システムのセキュリイが高いシステムとな
る。
第1図は、本発明の一実施例にかかる暗号化データ処理
システムの要部の構成を示すブロック図、第2図は、暗
号化処理におけるデータの流れを説明する処理のブロッ
ク図、 第3図は、復号化処理におけるデータの流れを説明する
処理のブロック図である。 図中、10・・・暗号装置、12・・・R8A暗号/復
号回路、13・・・DES暗号/復号回路、14・・・
−次マスタ鍵保持回路、15.33・・・二次マスタ鍵
保持回路、2024− ・・・中央処理装置、19.39・・・インタフェース
部、21・・・ユーザ秘密鍵、22・・・ユーザ公開鍵
、23・・・データ鍵、24・・・データ、30.35
・・・磁気テープ制御装置、32・・・DES暗号/復
号回路、40.45・・・磁気テープ装置、50・・・
ICカード、51・・・−次マスタ鍵、52・・・二次
マスタ鍵。
システムの要部の構成を示すブロック図、第2図は、暗
号化処理におけるデータの流れを説明する処理のブロッ
ク図、 第3図は、復号化処理におけるデータの流れを説明する
処理のブロック図である。 図中、10・・・暗号装置、12・・・R8A暗号/復
号回路、13・・・DES暗号/復号回路、14・・・
−次マスタ鍵保持回路、15.33・・・二次マスタ鍵
保持回路、2024− ・・・中央処理装置、19.39・・・インタフェース
部、21・・・ユーザ秘密鍵、22・・・ユーザ公開鍵
、23・・・データ鍵、24・・・データ、30.35
・・・磁気テープ制御装置、32・・・DES暗号/復
号回路、40.45・・・磁気テープ装置、50・・・
ICカード、51・・・−次マスタ鍵、52・・・二次
マスタ鍵。
Claims (1)
- 【特許請求の範囲】 1、各々の機能装置に暗号化および復号化の処理を行う
処理回路を備え、各々の機能装置において暗号化および
復号化の処理を分散させて行う暗号化データ処理システ
ムであって、各々の機能装置に暗号方式のマスタ鍵を保
持するマスタ鍵保持回路を備え、暗号化データ処理シス
テム内の各々の機能装置のマスタ鍵保持回路にマスタ鍵
を同一内容に設定することを特徴とする暗号化データ処
理システム。 2、各々の機能装置は、更に、ICカードからデータを
取り込むインタフェース部を備え、インタフェース部を
介して、ICカードに記憶された特定のデータを入力し
、該特定のデータをマスタ鍵として各々の機能装置のマ
スタ鍵保持回路に設定することを特徴とする請求項1に
記載の暗号化データ処理システム。 3、ICカードは、暗号化データ処理システムに対して
、1枚のカードのみとし、この1枚のカードを共通に用
いて、複数の機能装置のそれぞれのマスタ鍵保持回路に
、同一内容のマスタ鍵を設定することを特徴とする請求
項2に記載の暗号化データ処理システム。 4、前記機能装置の1つは、暗号装置であり、該暗号装
置がマスタ鍵保持回路に保持しているマスタ鍵を用いて
暗号化したデータ鍵を生成し、該データ鍵を他の機能装
置に配送し、他の機能装置が自己のマスタ鍵保持回路に
保持しているマスタ鍵を用いてデータ鍵を復号化し、各
々の機能装置において同一内容のデータ鍵を得ることを
特徴とする請求項1に記載の暗号化データ処理システム
。 5、暗号化データ処理システムは、更に、データ処理シ
ステム構成する中央処理装置、入出力制御装置、入出力
装置を備え、前記機能装置の1つは、少なくとも入出力
制御装置であり、該入出力制御装置が、出力する生のデ
ータに対して暗号化を行い、暗号化データを入出力装置
に出力し、入出力装置から入力した暗号化データの復号
化を行い、生のデータをシステム内の中央処理装置に入
力することを特徴とする請求項1に記載の暗号化データ
処理システム。 6、暗号化データ処理システムは、更に、データ処理シ
ステム構成する中央処理装置、入出力制御装置、入出力
装置を備え、前記機能装置の1つは、少なくとも入出力
制御装置であり、入出力制御装置は、暗号化されたデー
タ鍵をマスタ鍵により復号化し、復号化したデータ鍵を
用いて生の出力データに対して暗号化を行い暗号化デー
タとして入出力装置に出力し、更に同時に暗号化された
データ鍵を共に入出力装置に出力することを特徴とする
暗号化データ処理システム。 7、請求項6に記載の暗号化データ処理システムにおい
て、入出力制御装置は磁気テープ制御装置であり、入出
力装置は磁気テープ装置であり、磁気テープ装置は、暗
号化されたデータ鍵を磁気テープ上のレコードのヘッダ
部に書込み、続いて、データ鍵を用いて暗号化された暗
号化データを磁気テープ上のレコードのデータレコード
部に書き込むことを特徴とする暗号化データ処理システ
ム。 8、各々の機能装置に備えられる暗号化および復号化の
処理を行う処理回路は、複数の種類の暗化方式に対応す
る複数の暗号処理回路であり、各々の暗号処理回路に対
して暗号方式のマスタ鍵を保持するマスタ鍵保持回路を
備えることを特徴とする請求項1に記載の暗号化データ
処理システム。 9、請求項1に記載の暗号化データ処理システムにおけ
る暗号化処理方法であって、生のデータを暗号化するた
めのデータ鍵はシステム内で共通のマスタ鍵で暗号化し
て保持し、各々の機能装置が暗号化処理および復号化処
理する場合に暗号化されたデータ鍵を該当機能装置に送
出し、当該機能装置は自己に保持している共通のマスタ
鍵を用いて復号化しデータ鍵を得て、該データ鍵を用い
て生のデータの暗号化処理および復号化処理を行うこと
を特徴とする暗号化処理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2080243A JPH03278137A (ja) | 1990-03-27 | 1990-03-27 | 暗号化データ処理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2080243A JPH03278137A (ja) | 1990-03-27 | 1990-03-27 | 暗号化データ処理システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH03278137A true JPH03278137A (ja) | 1991-12-09 |
Family
ID=13712885
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2080243A Pending JPH03278137A (ja) | 1990-03-27 | 1990-03-27 | 暗号化データ処理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH03278137A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000151576A (ja) * | 1993-09-29 | 2000-05-30 | Pumpkin House:Kk | コンピュ―タを用いて暗号化/復号方法を実現するためのプログラム記録媒体 |
| KR20160134217A (ko) * | 2015-05-15 | 2016-11-23 | 주식회사 국민은행 | 금융정보 통합 관리 시스템 및 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS587174A (ja) * | 1981-07-06 | 1983-01-14 | 日本電信電話株式会社 | 暗号マスタ−鍵生成装置 |
| JPH01117443A (ja) * | 1987-10-29 | 1989-05-10 | Hitachi Ltd | データ暗号装置 |
| JPH01229539A (ja) * | 1988-03-10 | 1989-09-13 | Toshiba Corp | 鍵共有システム |
-
1990
- 1990-03-27 JP JP2080243A patent/JPH03278137A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS587174A (ja) * | 1981-07-06 | 1983-01-14 | 日本電信電話株式会社 | 暗号マスタ−鍵生成装置 |
| JPH01117443A (ja) * | 1987-10-29 | 1989-05-10 | Hitachi Ltd | データ暗号装置 |
| JPH01229539A (ja) * | 1988-03-10 | 1989-09-13 | Toshiba Corp | 鍵共有システム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000151576A (ja) * | 1993-09-29 | 2000-05-30 | Pumpkin House:Kk | コンピュ―タを用いて暗号化/復号方法を実現するためのプログラム記録媒体 |
| KR20160134217A (ko) * | 2015-05-15 | 2016-11-23 | 주식회사 국민은행 | 금융정보 통합 관리 시스템 및 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101196855B (zh) | 移动加密存储设备及密文存储区数据加解密处理方法 | |
| EP1244247B1 (en) | Key decrypting device | |
| JPS6122316B2 (ja) | ||
| JPH03261987A (ja) | ファイル暗号化方法およびファイル暗号システム | |
| JPH06102822A (ja) | ファイルセキュリティシステム | |
| JPH08328962A (ja) | 端末機と、当該端末機に接続されるメモリカードからなるシステム | |
| JPS6370634A (ja) | 暗号化鍵共有方式 | |
| JP2000347566A (ja) | コンテンツ管理装置、コンテンツ利用者端末及びプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| JPH10271104A (ja) | 暗号化方法及び復号化方法 | |
| JPH04181282A (ja) | ファイルの暗号方式 | |
| US20030065930A1 (en) | Encryption/decryption apparatus and method | |
| JP2001111539A (ja) | 暗号鍵生成装置および暗号鍵伝送方法 | |
| JP2004199689A (ja) | 不安全なpciバスを介した安全なメディア・カードの運用 | |
| CN108881300A (zh) | 一种支持手机端安全协作的文件加密和共享方法及系统 | |
| US20010009583A1 (en) | Secret key registration method, secret key register, secret key issuing method, cryptographic communication method and cryptographic communication system | |
| CN112287415B (zh) | Usb存储设备访问控制方法、系统、介质、设备及应用 | |
| JPH03278137A (ja) | 暗号化データ処理システム | |
| JPH10293724A (ja) | ユニット装置、復号化ユニット装置、暗号化ユニット装置、暗号処理システム、暗号化方法及び復号化方法 | |
| WO2006115213A1 (ja) | 回路更新システム | |
| JPH04182885A (ja) | 機密保護機能付きicカード | |
| JPH10293725A (ja) | 外部記憶装置、暗号化ユニット装置、復号化ユニット装置、暗号化システム、復号化システム、暗号化方法及び復号化方法 | |
| JP2869165B2 (ja) | Icカードを使用した機密データ転送方法 | |
| US8156328B1 (en) | Encryption method and device | |
| JP2001125481A (ja) | 暗号通信端末、暗号通信センター装置及び暗号通信システム並びに記録媒体 | |
| JP3797531B2 (ja) | ディジタルデータの不正コピー防止システム |