JPWO2007138716A1 - 暗号化通信方法及び暗号化通信システム - Google Patents
暗号化通信方法及び暗号化通信システム Download PDFInfo
- Publication number
- JPWO2007138716A1 JPWO2007138716A1 JP2008517771A JP2008517771A JPWO2007138716A1 JP WO2007138716 A1 JPWO2007138716 A1 JP WO2007138716A1 JP 2008517771 A JP2008517771 A JP 2008517771A JP 2008517771 A JP2008517771 A JP 2008517771A JP WO2007138716 A1 JPWO2007138716 A1 JP WO2007138716A1
- Authority
- JP
- Japan
- Prior art keywords
- data
- access
- decryption key
- database
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
Abstract
本発明は、データセンターに配置された、電子的データを保存する暗号化されたデータベースとデータベースの復号化キーを暗号化して保存し上記データベースへのアクセスを管理するデータ管理装置と、ユーザのもとに配置された、インターネット回線を通じて上記データ管理装置と通信可能なユーザ装置と、認証センターに配置された、上記データベースの復号化キーの復号化キーを保存し上記ユーザの上記データベースへのアクセス権を管理する、上記ユーザ装置および上記データ管理装置とインターネット回線を通じて通信可能な認証装置とを含み、上記ユーザが上記データセンターのデータを利用するためには、上記認証センターからの有効なアクセス許可証および上記データベースの復号化キーの復号化キーを必要とする情報管理システムを提供する。
Description
本発明は、暗号化通信方法及び暗号化通信システムに関し、特に、インターネットにおいて秘密情報を送受信する際に好適に用いられる暗号化通信方法、暗号化通信システム、およびこれらを利用した情報管理システムに関する。
今日、インターネットの進歩に伴い種々の情報がインターネット回線を通じて送受信されている。このようにインターネットを介して送受信される情報には、秘密情報も多く含まれる。このような秘密情報としては、例えば、患者と病院又は診断会社との間で送受信される疾病に関する情報、ユーザと銀行等の金融機関で送受信される自己の口座に関する情報、ユーザとクレジット会社との間で送受信されるカード使用情報、カード使用残高情報、ユーザと信用調査会社との間で送受信される各種信用情報などが挙げられる。
上記のような情報の秘密を守るために、種々の暗号化方法が開発されている。暗号とは、情報の意味が当事者以外には理解できないように情報を交換することである。暗号において、誰でも理解できる元の文・情報(以下、「平文」という)を第三者には意味がわからない文(暗号文)に変換することが暗号化である。また、暗号文を平文に戻すことが復号化であり、この暗号化と復号との方式をまとめて暗号方式と呼ぶ。暗号化工程及び復号工程には、それぞれ暗号化キー及び復号化キーと呼ばれる秘密の情報が用いられる。復号時には秘密の復号化キーが必要なので、この復号化キーを知っている者のみが暗号文を復号化でき、必要な機密情報を入手することができる。
また、ネットワーク上での通信において秘密情報を暗号化する方法としては、従来から、共通鍵暗号方式と公開鍵暗号方式が知られている。共通鍵暗号方式は、暗号鍵と復号鍵が同じ方式であり、例えば、米国商務省標準局が採用したDES(Data Encryption Standards)等が例示される。
一方、公開鍵暗号方式では、暗号鍵と復号鍵が異なる。この公開鍵暗号方式は、暗号を利用する各ユーザが暗号化キーと復号化キーとを一対ずつ作成し、暗号化キーを公開鍵リストにて公開し、復号化キーのみを秘密に保持するという暗号方式である。公開鍵暗号方式では、この一対となる暗号化キーと復号化キーとが異なり、一方向性関数を利用することによって暗号化キーから復号化キーを割り出せないという特徴を持たせている。公開鍵暗号方式は、多くのユーザが秘密情報を利用する高度情報化社会において極めて都合のよい暗号方式である。そして、典型的な公開鍵暗号方式として、素因数分解の困難さを利用したRSA暗号方式が提案された。
従来法のインターネットによる暗号化通信方法においては、上記のような共通鍵暗号方式あるいは公開鍵暗号方式が利用され、秘密情報は暗号化して送信される。しかしながら、従来法の暗号化通信方法においては、基本的には、暗号化キー及び復号化キー(共通鍵暗号方式では同一のキー)と、暗号化情報とが情報提供者と情報利用者との2者において交換されるためハッキングに極めて弱いという欠点がある。
また、最近、2者間の通信に認証機関を介在させることによって安全性を改善したKerberosという暗号化通信方法も開発されている(KERBEROS−ネットワーク認証システム(最新ネットワーク技術ハンドブック)、Brian Tung(原著)、桑村潤(翻訳)、ピアソンエデュケーション発行(1999年12月))。しかしながら、Kerberos法によっても、未だ、認証手段、暗号化キーの管理などにおいて十分ではない。
ゆえに、さらに安全性が向上した暗号化通信方法及び暗号化通信システムの提案が望まれていた。
上記のような情報の秘密を守るために、種々の暗号化方法が開発されている。暗号とは、情報の意味が当事者以外には理解できないように情報を交換することである。暗号において、誰でも理解できる元の文・情報(以下、「平文」という)を第三者には意味がわからない文(暗号文)に変換することが暗号化である。また、暗号文を平文に戻すことが復号化であり、この暗号化と復号との方式をまとめて暗号方式と呼ぶ。暗号化工程及び復号工程には、それぞれ暗号化キー及び復号化キーと呼ばれる秘密の情報が用いられる。復号時には秘密の復号化キーが必要なので、この復号化キーを知っている者のみが暗号文を復号化でき、必要な機密情報を入手することができる。
また、ネットワーク上での通信において秘密情報を暗号化する方法としては、従来から、共通鍵暗号方式と公開鍵暗号方式が知られている。共通鍵暗号方式は、暗号鍵と復号鍵が同じ方式であり、例えば、米国商務省標準局が採用したDES(Data Encryption Standards)等が例示される。
一方、公開鍵暗号方式では、暗号鍵と復号鍵が異なる。この公開鍵暗号方式は、暗号を利用する各ユーザが暗号化キーと復号化キーとを一対ずつ作成し、暗号化キーを公開鍵リストにて公開し、復号化キーのみを秘密に保持するという暗号方式である。公開鍵暗号方式では、この一対となる暗号化キーと復号化キーとが異なり、一方向性関数を利用することによって暗号化キーから復号化キーを割り出せないという特徴を持たせている。公開鍵暗号方式は、多くのユーザが秘密情報を利用する高度情報化社会において極めて都合のよい暗号方式である。そして、典型的な公開鍵暗号方式として、素因数分解の困難さを利用したRSA暗号方式が提案された。
従来法のインターネットによる暗号化通信方法においては、上記のような共通鍵暗号方式あるいは公開鍵暗号方式が利用され、秘密情報は暗号化して送信される。しかしながら、従来法の暗号化通信方法においては、基本的には、暗号化キー及び復号化キー(共通鍵暗号方式では同一のキー)と、暗号化情報とが情報提供者と情報利用者との2者において交換されるためハッキングに極めて弱いという欠点がある。
また、最近、2者間の通信に認証機関を介在させることによって安全性を改善したKerberosという暗号化通信方法も開発されている(KERBEROS−ネットワーク認証システム(最新ネットワーク技術ハンドブック)、Brian Tung(原著)、桑村潤(翻訳)、ピアソンエデュケーション発行(1999年12月))。しかしながら、Kerberos法によっても、未だ、認証手段、暗号化キーの管理などにおいて十分ではない。
ゆえに、さらに安全性が向上した暗号化通信方法及び暗号化通信システムの提案が望まれていた。
このような状況を鑑み、本発明は、以下の情報管理システムを提供する。
(1)データセンターに配置された、電子的データを保存する暗号化されたデータベースと前記データベースの復号化キーを暗号化して保存し前記データベースへのアクセスを管理するデータ管理装置と、
ユーザのもとに配置された、インターネット回線を通じて前記データ管理装置と通信可能なユーザ装置と、
認証センターに配置された、前記データベースの復号化キーの復号化キーを保存し前記ユーザの前記データベースへのアクセス権を管理する、前記ユーザ装置および前記データ管理装置とインターネット回線を通じて通信可能な認証装置と、
を含み、前記ユーザが前記データセンターのデータを利用するためには、前記認証センターからの有効なアクセス許可証および前記データベースの復号化キーの復号化キーを必要とする情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースの前記データへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証を受信すると、前記アクセス許可証とともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から前記リクエストしたデータを受信し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無を確認し、前記アクセス許可証がある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの復号化キーを受信した場合には、前記データベースの復号化キーを復号化して用いて前記データベースを復号化し、前記リクエストされたデータを抽出して前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの復号化キーを前記データ管理装置へ送信する、
情報管理システム。
(2)上記(1)に記載の情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースのデータへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証および前記データの復号化キーを受信すると、前記アクセス許可証とともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から暗号化された前記リクエストしたデータを受信すると、前記データの復号化キーを用いて前記データを復号化し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無を確認し、前記アクセス許可証がある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの復号化キーおよび前記データの暗号化キーを受信した場合には、前記データベースの復号化キーを復号化して用いて前記データベースを復号化し、前記リクエストされたデータを抽出し、前記暗号化キーにより暗号化してから前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証および前記データの復号化キーを送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの復号化キーおよび前記データの暗号化キーを前記データ管理装置へ送信する、情報管理システム。
(3)上記(1)または(2)に記載の情報管理システムであって、
前記ユーザ装置はさらに、
(i)前記認証装置から前記データへのアクセス認証不可の旨を受信すると、アクセス認証不可の旨を前記ユーザ装置の出力装置により出力し、(ii)前記データ管理装置から前記データへのアクセス不可の旨を受信すると、アクセス不可の旨を前記ユーザ装置の前記出力装置により出力し、
前記データ管理装置はさらに、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無を確認し、前記アクセス許可証がない場合には、前記ユーザ装置へアクセス不可の旨を送信し、(ii)前記認証装置から前記アクセス許可証が有効でない旨を受信した場合には、前記ユーザ装置へアクセス不可の旨を送信し、
前記認証装置はさらに、
(i)前記ユーザ装置から前記データベースへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権が無い場合には、前記ユーザ装置へアクセス認証不可の旨を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効でない場合には、前記アクセス許可証が有効でない旨を前記データ管理装置へ送信する、
情報管理システム。
(4)前記データベースおよび前記ユーザがそれぞれ複数存在し、各データベースが前記ユーザ毎に個別に割り当てられており、
前記データ管理装置は、各データベースを個別に暗号化して管理し、 前記認証装置は、各ユーザのデータへのアクセス権を各ユーザに割り当てられたデータベースに対応させて管理する、上記(1)〜(3)のいずれか)に記載の情報管理システム。
(5)前記アクセス許可証の有効性が、前記アクセス許可証の発行時からの経過時間によって決定される、上記(1)〜(4)のいずれかに記載の情報管理システム。
(6)前記データベースの前記復号化キーが、前記データベースの作成時にランダムに発生し、前記データ管理装置内に暗号化されて保存され、前記データベースの前記復号化キーの復号化キーが、前記認証装置内に保存される、上記(1)〜(5)のいずれかに記載の情報管理システム。
(7)前記認証装置が送信する前記アクセス許可証、および前記データベースの復号化キーの復号化キーが、1回限定使用のものである、上記(1)〜(6)のいずれかに記載のシステム。
(8)前記認証装置が送信する前記データの暗号化キー、および前記データの復号化キーが、1回限定使用のものである、上記(2)〜(7)のいずれかに記載のシステム。
(9)前記ユーザ装置が、前記データのコピー、プリントアウト、およびハードコピーから選択される1以上の事象の記録を保存する、上記(1)〜(8)のいずれかに記載の情報管理システム。
(10)前記データ管理装置が、前記データへのアクセスに関する事象の記録を保存する、上記(1)〜(9)のいずれかに記載の情報管理システム。
(11)前記認証装置が、前記認証に関連する事象の記録を保存する、上記(1)〜(10)のいずれかに記載のシステム。
本発明の情報管理システムによれば、データセンターにおけるデータベースは暗号化されており、そのデータベースの復号化に用いられる個別キーも暗号化され、その復号化キーは認証センターによって管理される。また、好ましい態様では、データセンターから情報利用者(ユーザ)に送信される情報の暗号化および復号化に用いられる暗号化キーと復号化キーは、認証センターによって情報利用者とデータセンターに対してそれぞれ発行される。このため、本発明の情報管理システムにおいては、データセンター、認証センター及びユーザのいずれをハッキングしても、暗号化情報の秘密を守ることが可能となり、極めて安全性が改善された暗号化通信方法を提供することができる。
さらに、本発明の好ましい形態においては、アクセス許可証、暗号化キー及び復号化キー等をそれぞれ暗号化して送受信することによって、さらにセキュリティを改善することができる。
また、好ましい態様では、ユーザ装置におけるデータのコピー、プリントアウト、およびハードコピー(ディスプレー上に表示されている画面をそのままコピーまたは印刷)から選択される1つ、2つまたは3つの事象の記録が、ログとして保存されるような仕組みになっているため、ユーザによるデータの不正使用を予防することができるという利点がある。
なお、上記本発明の暗号化通信方法は、多重の構成でありながら、ユーザには極めてシンプルに利用できるというメリットもある。
本発明はさらに別の実施形態において、以下の情報管理システムを提供する。
(12)データセンターに配置された、電子的データを保存する暗号化されたデータベースと前記データベースの復号化キーを暗号化して保存し前記データベースへのアクセスを管理するデータ管理装置と、
ユーザのもとに配置された、前記データベースの復号化キーの第1の復号化キーを保存する、インターネット回線を通じて前記データ管理装置と通信可能なユーザ装置と、
認証センターに配置された、前記データベースの復号化キーの第2の復号化キーを保存し前記ユーザの前記データベースへのアクセス権を管理する、前記ユーザ装置および前記データ管理装置とインターネット回線を通じて通信可能な認証装置と、
を含み、前記ユーザが前記データセンターのデータを利用するためには、前記ユーザが保存する前記第1の復号化キーおよび前記認証センターが保存する前記第2の復号化キー、ならびに前記認証センターからの有効なアクセス許可証を必要とする情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースの前記データへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証を受信すると、前記アクセス許可証および前記第1の復号化キーとともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から前記リクエストしたデータを受信し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無および前記第1の復号化キーの有無を確認し、前記アクセス許可証および前記第1の復号化キーがある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの第2の復号化キーを受信した場合には、前記第1の復号化キーおよび前記第2の復号化キーを用いて前記データベースの復号化キーを復号化し、前記復号化した前記データベースの復号化キーを用いて前記データベースを復号化し、前記リクエストされたデータを抽出して前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの前記第2の復号化キーを前記データ管理装置へ送信する、
情報管理システム。
(13)上記(12)に記載の情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースのデータへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証および前記データの復号化キーを受信すると、前記アクセス許可証および前記第1の復号化キーとともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から暗号化された前記リクエストしたデータを受信すると、前記データの前記復号化キーを用いて前記データを復号化し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無および前記第1の復号化キーの有無を確認し、前記アクセス許可証および前記第1の復号化キーがある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの第2の復号化キーおよび前記データの暗号化キーを受信した場合には、前記第1の復号化キーおよび前記第2の復号化キーを用いて前記データベースの復号化キーを復号化し、前記復号化した前記データベースの復号化キーを用いて前記データベースを復号化し、前記リクエストされたデータを抽出し、前記データの前記暗号化キーを用いて前記データを暗号化してから前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証および前記データの復号化キーを送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの前記第2の復号化キーおよび前記データの暗号化キーを前記データ管理装置へ送信する、情報管理システム。
(14)上記(12)または(13)に記載の情報管理システムであって、
前記ユーザ装置はさらに、
(i)前記認証装置から前記データへのアクセス認証不可の旨を受信すると、アクセス認証不可の旨を前記ユーザ装置の出力装置により出力し、(ii)前記データ管理装置から前記データへのアクセス不可の旨を受信すると、アクセス不可の旨を前記ユーザ装置の前記出力装置により出力し、
前記データ管理装置はさらに、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無および前記第1の復号化キーの有無を確認し、前記アクセス許可証または前記第1の復号化キーがない場合には、前記ユーザ装置へアクセス不可の旨を送信し、(ii)前記認証装置から前記アクセス許可証が有効でない旨を受信した場合には、前記ユーザ装置へアクセス不可の旨を送信し、
前記認証装置はさらに、
(i)前記ユーザ装置から前記データベースへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権が無い場合には、前記ユーザ装置にアクセス認証不可の旨を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効でない場合には、前記アクセス許可証が有効でない旨を前記データ管理装置へ送信する、
情報管理システム。
(15)前記データベースおよび前記ユーザがそれぞれ複数存在し、各データベースが前記ユーザ毎に個別に割り当てられており、
前記データ管理装置は、各データベースを個別に暗号化して管理し、 前記認証装置は、各ユーザのデータへのアクセス権を各ユーザに割り当てられたデータベースに対応させて管理する、上記(12)〜(14)のいずれかに記載の情報管理システム。
(16)前記アクセス許可証の有効性が、前記アクセス許可証の発行時からの経過時間によって決定される、上記(12)〜(15)のいずれかに記載の情報管理システム。
(17)前記データベースの前記復号化キーが、前記データベースの作成時にランダムに発生し、前記データ管理装置内に暗号化されて保存され、前記データベースの前記復号化キーの前記第1の復号化キーが前記ユーザ装置内に保存され、前記第2の復号化キーが前記認証装置内に保存される、上記(12)〜(16)のいずれかに記載の情報管理システム。
(18)前記認証装置が送信する前記アクセス許可証、および前記データベースの復号化キーの復号化キーが、1回限定使用のものである、上記(12)〜(17)のいずれかに記載のシステム。
(19)前記認証装置が送信する前記データの暗号化キー、および前記データの復号化キーが、1回限定使用のものである、上記(13)〜(18)のいずれかに記載のシステム。
(20)前記ユーザ装置が、前記データのコピー、プリントアウト、およびハードコピーから選択される1以上の事象の記録を保存する、上記(12)〜(19)のいずれかに記載の情報管理システム。
(21)前記データ管理装置が、前記データへのアクセスに関する事象の記録を保存する、上記(12)〜(20)のいずれかに記載の情報管理システム。
(22)前記認証装置が、前記認証に関連する事象の記録を保存する、上記(12)〜(21)のいずれかに記載のシステム。
本発明の上記(12)〜(22)に記載される情報管理システムにおいては、データセンターのデータベースが暗号化されており、そのデータベースの復号化キーがさらに暗号化され、そのデータベースの復号化キーの復号化キーが、認証センターおよびユーザのもとにそれぞれ保存される。したがって、データセンターのデータベースの所望のデータにアクセスするためには、ユーザが保有するデータベース復号化キーの第1の復号化キーと、認証センターが保有するデータベース復号化キーの第2の復号化キーとの両方を用いなければならないため、よりセキュリティの向上した情報管理システムが提供される。
また、好ましい態様では、ユーザ装置におけるデータのコピー、プリントアウト、およびハードコピーから選択される1つ、2つまたは3つの事象の記録が、ログとして保存されるような仕組みになっているため、ユーザによるデータの不正使用を予防することができるという利点があ
る。
(1)データセンターに配置された、電子的データを保存する暗号化されたデータベースと前記データベースの復号化キーを暗号化して保存し前記データベースへのアクセスを管理するデータ管理装置と、
ユーザのもとに配置された、インターネット回線を通じて前記データ管理装置と通信可能なユーザ装置と、
認証センターに配置された、前記データベースの復号化キーの復号化キーを保存し前記ユーザの前記データベースへのアクセス権を管理する、前記ユーザ装置および前記データ管理装置とインターネット回線を通じて通信可能な認証装置と、
を含み、前記ユーザが前記データセンターのデータを利用するためには、前記認証センターからの有効なアクセス許可証および前記データベースの復号化キーの復号化キーを必要とする情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースの前記データへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証を受信すると、前記アクセス許可証とともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から前記リクエストしたデータを受信し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無を確認し、前記アクセス許可証がある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの復号化キーを受信した場合には、前記データベースの復号化キーを復号化して用いて前記データベースを復号化し、前記リクエストされたデータを抽出して前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの復号化キーを前記データ管理装置へ送信する、
情報管理システム。
(2)上記(1)に記載の情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースのデータへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証および前記データの復号化キーを受信すると、前記アクセス許可証とともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から暗号化された前記リクエストしたデータを受信すると、前記データの復号化キーを用いて前記データを復号化し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無を確認し、前記アクセス許可証がある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの復号化キーおよび前記データの暗号化キーを受信した場合には、前記データベースの復号化キーを復号化して用いて前記データベースを復号化し、前記リクエストされたデータを抽出し、前記暗号化キーにより暗号化してから前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証および前記データの復号化キーを送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの復号化キーおよび前記データの暗号化キーを前記データ管理装置へ送信する、情報管理システム。
(3)上記(1)または(2)に記載の情報管理システムであって、
前記ユーザ装置はさらに、
(i)前記認証装置から前記データへのアクセス認証不可の旨を受信すると、アクセス認証不可の旨を前記ユーザ装置の出力装置により出力し、(ii)前記データ管理装置から前記データへのアクセス不可の旨を受信すると、アクセス不可の旨を前記ユーザ装置の前記出力装置により出力し、
前記データ管理装置はさらに、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無を確認し、前記アクセス許可証がない場合には、前記ユーザ装置へアクセス不可の旨を送信し、(ii)前記認証装置から前記アクセス許可証が有効でない旨を受信した場合には、前記ユーザ装置へアクセス不可の旨を送信し、
前記認証装置はさらに、
(i)前記ユーザ装置から前記データベースへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権が無い場合には、前記ユーザ装置へアクセス認証不可の旨を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効でない場合には、前記アクセス許可証が有効でない旨を前記データ管理装置へ送信する、
情報管理システム。
(4)前記データベースおよび前記ユーザがそれぞれ複数存在し、各データベースが前記ユーザ毎に個別に割り当てられており、
前記データ管理装置は、各データベースを個別に暗号化して管理し、 前記認証装置は、各ユーザのデータへのアクセス権を各ユーザに割り当てられたデータベースに対応させて管理する、上記(1)〜(3)のいずれか)に記載の情報管理システム。
(5)前記アクセス許可証の有効性が、前記アクセス許可証の発行時からの経過時間によって決定される、上記(1)〜(4)のいずれかに記載の情報管理システム。
(6)前記データベースの前記復号化キーが、前記データベースの作成時にランダムに発生し、前記データ管理装置内に暗号化されて保存され、前記データベースの前記復号化キーの復号化キーが、前記認証装置内に保存される、上記(1)〜(5)のいずれかに記載の情報管理システム。
(7)前記認証装置が送信する前記アクセス許可証、および前記データベースの復号化キーの復号化キーが、1回限定使用のものである、上記(1)〜(6)のいずれかに記載のシステム。
(8)前記認証装置が送信する前記データの暗号化キー、および前記データの復号化キーが、1回限定使用のものである、上記(2)〜(7)のいずれかに記載のシステム。
(9)前記ユーザ装置が、前記データのコピー、プリントアウト、およびハードコピーから選択される1以上の事象の記録を保存する、上記(1)〜(8)のいずれかに記載の情報管理システム。
(10)前記データ管理装置が、前記データへのアクセスに関する事象の記録を保存する、上記(1)〜(9)のいずれかに記載の情報管理システム。
(11)前記認証装置が、前記認証に関連する事象の記録を保存する、上記(1)〜(10)のいずれかに記載のシステム。
本発明の情報管理システムによれば、データセンターにおけるデータベースは暗号化されており、そのデータベースの復号化に用いられる個別キーも暗号化され、その復号化キーは認証センターによって管理される。また、好ましい態様では、データセンターから情報利用者(ユーザ)に送信される情報の暗号化および復号化に用いられる暗号化キーと復号化キーは、認証センターによって情報利用者とデータセンターに対してそれぞれ発行される。このため、本発明の情報管理システムにおいては、データセンター、認証センター及びユーザのいずれをハッキングしても、暗号化情報の秘密を守ることが可能となり、極めて安全性が改善された暗号化通信方法を提供することができる。
さらに、本発明の好ましい形態においては、アクセス許可証、暗号化キー及び復号化キー等をそれぞれ暗号化して送受信することによって、さらにセキュリティを改善することができる。
また、好ましい態様では、ユーザ装置におけるデータのコピー、プリントアウト、およびハードコピー(ディスプレー上に表示されている画面をそのままコピーまたは印刷)から選択される1つ、2つまたは3つの事象の記録が、ログとして保存されるような仕組みになっているため、ユーザによるデータの不正使用を予防することができるという利点がある。
なお、上記本発明の暗号化通信方法は、多重の構成でありながら、ユーザには極めてシンプルに利用できるというメリットもある。
本発明はさらに別の実施形態において、以下の情報管理システムを提供する。
(12)データセンターに配置された、電子的データを保存する暗号化されたデータベースと前記データベースの復号化キーを暗号化して保存し前記データベースへのアクセスを管理するデータ管理装置と、
ユーザのもとに配置された、前記データベースの復号化キーの第1の復号化キーを保存する、インターネット回線を通じて前記データ管理装置と通信可能なユーザ装置と、
認証センターに配置された、前記データベースの復号化キーの第2の復号化キーを保存し前記ユーザの前記データベースへのアクセス権を管理する、前記ユーザ装置および前記データ管理装置とインターネット回線を通じて通信可能な認証装置と、
を含み、前記ユーザが前記データセンターのデータを利用するためには、前記ユーザが保存する前記第1の復号化キーおよび前記認証センターが保存する前記第2の復号化キー、ならびに前記認証センターからの有効なアクセス許可証を必要とする情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースの前記データへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証を受信すると、前記アクセス許可証および前記第1の復号化キーとともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から前記リクエストしたデータを受信し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無および前記第1の復号化キーの有無を確認し、前記アクセス許可証および前記第1の復号化キーがある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの第2の復号化キーを受信した場合には、前記第1の復号化キーおよび前記第2の復号化キーを用いて前記データベースの復号化キーを復号化し、前記復号化した前記データベースの復号化キーを用いて前記データベースを復号化し、前記リクエストされたデータを抽出して前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの前記第2の復号化キーを前記データ管理装置へ送信する、
情報管理システム。
(13)上記(12)に記載の情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースのデータへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証および前記データの復号化キーを受信すると、前記アクセス許可証および前記第1の復号化キーとともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から暗号化された前記リクエストしたデータを受信すると、前記データの前記復号化キーを用いて前記データを復号化し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無および前記第1の復号化キーの有無を確認し、前記アクセス許可証および前記第1の復号化キーがある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの第2の復号化キーおよび前記データの暗号化キーを受信した場合には、前記第1の復号化キーおよび前記第2の復号化キーを用いて前記データベースの復号化キーを復号化し、前記復号化した前記データベースの復号化キーを用いて前記データベースを復号化し、前記リクエストされたデータを抽出し、前記データの前記暗号化キーを用いて前記データを暗号化してから前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証および前記データの復号化キーを送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの前記第2の復号化キーおよび前記データの暗号化キーを前記データ管理装置へ送信する、情報管理システム。
(14)上記(12)または(13)に記載の情報管理システムであって、
前記ユーザ装置はさらに、
(i)前記認証装置から前記データへのアクセス認証不可の旨を受信すると、アクセス認証不可の旨を前記ユーザ装置の出力装置により出力し、(ii)前記データ管理装置から前記データへのアクセス不可の旨を受信すると、アクセス不可の旨を前記ユーザ装置の前記出力装置により出力し、
前記データ管理装置はさらに、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無および前記第1の復号化キーの有無を確認し、前記アクセス許可証または前記第1の復号化キーがない場合には、前記ユーザ装置へアクセス不可の旨を送信し、(ii)前記認証装置から前記アクセス許可証が有効でない旨を受信した場合には、前記ユーザ装置へアクセス不可の旨を送信し、
前記認証装置はさらに、
(i)前記ユーザ装置から前記データベースへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権が無い場合には、前記ユーザ装置にアクセス認証不可の旨を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効でない場合には、前記アクセス許可証が有効でない旨を前記データ管理装置へ送信する、
情報管理システム。
(15)前記データベースおよび前記ユーザがそれぞれ複数存在し、各データベースが前記ユーザ毎に個別に割り当てられており、
前記データ管理装置は、各データベースを個別に暗号化して管理し、 前記認証装置は、各ユーザのデータへのアクセス権を各ユーザに割り当てられたデータベースに対応させて管理する、上記(12)〜(14)のいずれかに記載の情報管理システム。
(16)前記アクセス許可証の有効性が、前記アクセス許可証の発行時からの経過時間によって決定される、上記(12)〜(15)のいずれかに記載の情報管理システム。
(17)前記データベースの前記復号化キーが、前記データベースの作成時にランダムに発生し、前記データ管理装置内に暗号化されて保存され、前記データベースの前記復号化キーの前記第1の復号化キーが前記ユーザ装置内に保存され、前記第2の復号化キーが前記認証装置内に保存される、上記(12)〜(16)のいずれかに記載の情報管理システム。
(18)前記認証装置が送信する前記アクセス許可証、および前記データベースの復号化キーの復号化キーが、1回限定使用のものである、上記(12)〜(17)のいずれかに記載のシステム。
(19)前記認証装置が送信する前記データの暗号化キー、および前記データの復号化キーが、1回限定使用のものである、上記(13)〜(18)のいずれかに記載のシステム。
(20)前記ユーザ装置が、前記データのコピー、プリントアウト、およびハードコピーから選択される1以上の事象の記録を保存する、上記(12)〜(19)のいずれかに記載の情報管理システム。
(21)前記データ管理装置が、前記データへのアクセスに関する事象の記録を保存する、上記(12)〜(20)のいずれかに記載の情報管理システム。
(22)前記認証装置が、前記認証に関連する事象の記録を保存する、上記(12)〜(21)のいずれかに記載のシステム。
本発明の上記(12)〜(22)に記載される情報管理システムにおいては、データセンターのデータベースが暗号化されており、そのデータベースの復号化キーがさらに暗号化され、そのデータベースの復号化キーの復号化キーが、認証センターおよびユーザのもとにそれぞれ保存される。したがって、データセンターのデータベースの所望のデータにアクセスするためには、ユーザが保有するデータベース復号化キーの第1の復号化キーと、認証センターが保有するデータベース復号化キーの第2の復号化キーとの両方を用いなければならないため、よりセキュリティの向上した情報管理システムが提供される。
また、好ましい態様では、ユーザ装置におけるデータのコピー、プリントアウト、およびハードコピーから選択される1つ、2つまたは3つの事象の記録が、ログとして保存されるような仕組みになっているため、ユーザによるデータの不正使用を予防することができるという利点があ
る。
図1は、本発明の情報管理システムの概略構成を示すブロック図である。
図2は、本発明の情報管理システムにおけるユーザグループ1に配置されるユーザ装置11の代表的構成を示すブロック図である。
図3は、本発明の情報管理システムにおける認証センター3に配置される認証装置31の代表的構成を示すブロック図である。
図4は、本発明の情報管理システムにおけるデータセンター2に配置されるデータ管理装置21およびデータベース22の代表的構成を示すブロック図である。
図5は、本発明の情報管理システムの第1の実施形態におけるユーザ装置11のCPU115が行う代表的な処理動作を示すフロー図である。
図6Aは、本発明の情報管理システムの第1の実施形態における認証装置31のCPU315が行う1つの代表的な処理動作を示すフロー図である。
図6Bは、本発明の情報管理システムの第1の実施形態における認証装置31のCPU315が行う別の代表的な処理動作を示すフロー図である。
図7は、本発明の情報管理システムの第1の実施形態におけるデータ管理装置21のCPU215が行う代表的な処理動作を示すフロー図である。
図8は、本発明の情報管理システムの第2の実施形態におけるユーザ装置11のCPU115が行う代表的な処理動作を示すフロー図である。
図9Aは、本発明の情報管理システムの第2の実施形態における認証装置31のCPU315が行う1つの代表的な処理動作を示すフロー図である。
図9Bは、本発明の情報管理システムの第2の実施形態における認証装置31のCPU315が行う第2の代表的な処理動作を示すフロー図である。
図10は、本発明の情報管理システムの第2の実施形態におけるデータ管理装置21のCPU215が行う代表的な処理動作を示すフロー図である。
図2は、本発明の情報管理システムにおけるユーザグループ1に配置されるユーザ装置11の代表的構成を示すブロック図である。
図3は、本発明の情報管理システムにおける認証センター3に配置される認証装置31の代表的構成を示すブロック図である。
図4は、本発明の情報管理システムにおけるデータセンター2に配置されるデータ管理装置21およびデータベース22の代表的構成を示すブロック図である。
図5は、本発明の情報管理システムの第1の実施形態におけるユーザ装置11のCPU115が行う代表的な処理動作を示すフロー図である。
図6Aは、本発明の情報管理システムの第1の実施形態における認証装置31のCPU315が行う1つの代表的な処理動作を示すフロー図である。
図6Bは、本発明の情報管理システムの第1の実施形態における認証装置31のCPU315が行う別の代表的な処理動作を示すフロー図である。
図7は、本発明の情報管理システムの第1の実施形態におけるデータ管理装置21のCPU215が行う代表的な処理動作を示すフロー図である。
図8は、本発明の情報管理システムの第2の実施形態におけるユーザ装置11のCPU115が行う代表的な処理動作を示すフロー図である。
図9Aは、本発明の情報管理システムの第2の実施形態における認証装置31のCPU315が行う1つの代表的な処理動作を示すフロー図である。
図9Bは、本発明の情報管理システムの第2の実施形態における認証装置31のCPU315が行う第2の代表的な処理動作を示すフロー図である。
図10は、本発明の情報管理システムの第2の実施形態におけるデータ管理装置21のCPU215が行う代表的な処理動作を示すフロー図である。
以下、本発明の実施の形態を、図面を参照しながら説明する。
(実施の形態1)
本発明は、第1の実施形態において、データセンターに配置された、電子的データを保存する暗号化されたデータベースと該データベースの復号化キーを暗号化して保存し上記データベースへのアクセスを管理するデータ管理装置と、ユーザのもとに配置された、インターネット回線を通じて上記データ管理装置と通信可能なユーザ装置と、認証センターに配置された、データベースの復号化キーの復号化キーを保存しユーザの上記データベースへのアクセス権を管理する、上記ユーザ装置および上記データ管理装置とインターネット回線を通じて通信可能な認証装置とを含む情報管理システムを提供する。この情報管理システムにおいては、ユーザがデータセンターのデータを利用するためには、認証センターからの有効なアクセス許可証およびデータベースの復号化キーの復号化キーを必要とする。
図1は、本発明の第1の実施形態にかかる、情報管理システムの概略構成をブロック図である。図に示されるように、本発明の情報管理システムは、代表的には、ユーザ装置(11,12,13)から構成されるユーザグループ1、データベース22およびそれを管理するデータ管理装置21を備えるデータセンター2、ならびに認証装置31を備える認証センター3を含んでいる。
本発明の情報管理システムにおいては、ユーザは1人でもよいが、通常は、複数のユーザが存在する。図1では、ユーザグループには、3人のユーザ(または3つのユーザ装置(11,12,13))が含まれる例が示されているが、ユーザの数はこれに限定されない。各ユーザ装置は、インターネット回線4を介して、データセンター2の管理装置21および認証センター3の認証装置31と通信可能に接続されている。
データセンター2は、データベース22および該データベースへのアクセス等を管理するデータ管理装置21を備えている。
認証センター3は、ユーザのデータベース22へのアクセス権に関する情報等を管理する認証装置31を備え、認証装置31は、ユーザ装置(11,12,13)およびデータ管理装置21とインターネット回線により通信可能に接続されている。
図2は、本発明の第1の実施形態にかかる情報管理システムにおけるユーザ装置11の代表的構成を示すブロック図である。ユーザ装置11は、入力装置111、メモリ112、出力装置113、通信装置114、および中央演算処理装置(CPU)115を備える。ユーザ装置11は、通常、通信装置を備えたパーソナルコンピュータ、PDA、携帯電話、PHSなど(好ましくは、パーソナルコンピュータ)で構成される。
入力装置111は、ユーザが指示を入力するための装置である。指示としては、例えば、認証装置31への上記データセンター2のデータへのアクセス権の認証要求の送信、データ管理装置21へのデータ送信要求の送信、出力装置113への出力指示(例えば、プリントアウト、ディスプレイへの表示)等が挙げられる。入力装置111は、通常、キーボード、マウス、タッチパッドなどの入力手段から構成される。
メモリ112は、RAMまたはROMなどの記憶装置で構成され、CPU115が行う処理のためのプログラム、データベースから取得したデータ、または暗号化されたデータの復号化キーなどを保存する。また、好ましい実施形態では、メモリ112には、ユーザがデータをコピー、プリントアウト、またはハードコピーをするとログが残るようにするためのプログラムが格納されている。
出力装置113は、ディスプレイ、プリンタなどで構成されており、入力装置に入力された指示または予めプログラムされた処理手順に従って、処理状況や処理結果など出力(例えば、表示、印刷)する。
通信装置114は、ユーザ装置11が、インターネット回線4との接続を確立するためのインターフェースであり、ユーザのPCに内蔵されたモデム、PCカード、ケーブルモデム、ISDNターミナルアダプタ、ADSLモデム、LANポートなどから構成される。
CPU115は、制御装置(不図示)および演算装置(不図示)から構成され、ユーザ装置11の各部の動作をプログラムに基づいて、または入力装置111から入力されたユーザの指示に基づいて制御する。
図3は、本発明の第1の実施形態にかかる情報管理システムにおける認証装置31の代表的構成を示すブロック図である。認証装置31は、入力装置311、メモリ312、出力装置313、通信装置314、およびCPU315を備える。
入力装置311は、通常、キーボード、マウス、タッチパッドなどの入力手段から構成され、これを用いて操作者が指示(例えば、出力装置313への出力(例えば、プリントアウト、ディスプレイにおける表示)など)を入力する。
メモリ312は、RAMまたはROMなどの記憶装置で構成され、CPU315が行う処理のためのプログラム、データセンターのデータベースに保存されているデータへのアクセス権認証のために必要な情報(例えば、データの識別情報およびクライアントまたはユーザ識別情報等)、または暗号化されたデータの復号化キーなどを保存する。なお、好ましい実施形態では、メモリ312には、認証装置31が認証した認証情報をログとして残すためのプログラムが格納されている。
出力装置313は、ディスプレイ、プリンタなどで構成され、入力装置に入力された指示または予めプログラムされた処理手順に従って、処理状況や処理結果など出力(例えば、表示、印刷)する。
通信装置314は、認証装置31が、インターネット回線4との接続を確立するためのインターフェースであり、例えば、ISDNターミナ
ルアダプタ、ケーブルモデム、ADSLモデム、PCカード、LANポ
ートなどから構成される。
CPU315は、認証装置31の各部の動作をプログラムに基づいて、
または入力装置から入力された指示に基づいて制御する。
図4は、本発明の第1の実施形態にかかる情報管理システムにおける
データセンター2に配置されるデータ管理装置21およびデータベース
22の代表的構成を示すブロック図である。
データ管理装置21は、入力装置211、メモリ212、出力装置2
13、通信装置214、およびCPU215を備える。
データベース22は、大容量の記憶装置などで構成される1つ以上の
データベース(図の例では、DB1〜DB5(221〜225))を備え
る。データベース22には、代表的には、クライアント毎に区別された
データベース(DB1〜DB5(221〜225))が備えられている。データベース22に保存するデータおよびクライアントの種類としては、特に限定されないが、例えば、次のような組み合わせが例示される。
(1)遺伝子データバンク/遺伝子情報等
(2)病院/患者のカルテ情報等
(3)信用調査会社/信用情報等
(4)金融機関/口座情報等
(5)クレジット会社/カード使用情報等
(6)ソフトウエア開発会社/ソースコード等
(7)顧客管理システム/顧客属性、購買履歴等
(8)ASPシステム/データベース等
(9)一般企業/会計、顧客、人事、販売、仕入情報等
(10)物流倉庫会社/在庫情報、流通情報等
(11)研究開発機関/研究データ等。
入力装置211は、操作者が指示を入力するための装置である。指示としては、例えば、出力装置213への出力(例えば、プリントアウト、ディスプレイへの表示)などが挙げられる。入力装置211は、キーボード、マウス、タッチパッドなどの入力手段から構成される。
メモリ212は、RAMまたはROMなどの記憶装置で構成され、CPU215が行う処理のためのプログラム、データベースの復号化キーの復号化キー、またはデータの暗号化キーなどを保存する。なお、好ましい実施形態では、メモリ212には、データベース22のファイルまたはデータへのアクセスに関する事象をログとして記録するためのプログラムが格納されている。
出力装置213は、ディスプレイ、プリンタなどで構成されている。
通信装置214は、データ管理装置21が、インターネット回線4との接続を確立するためのインターフェースであり、例えば、ISDNターミナルアダプタ、ケーブルモデム、ADSLモデム、PCカード、LANポートなどから構成される。
CPU215は、データ管理装置21の各部の動作をプログラムに基づいて、または入力装置から入力された指示に基づいて制御する。
次に、本発明の第1の実施形態にかかる情報管理システムにおけるユーザ装置11、データ管理装置21、および認証装置31の各CPUが行う処理動作を説明する。
図5は、本発明の情報管理システムの第1の実施形態におけるユーザ装置11のCPU115が行う代表的な処理動作を示すフロー図である。
スタートにおいて待機状態にあるCPU115は、ユーザによりデータベース22のデータへのアクセスのための認証センターへの認証要求の指示が入力装置111を介して入力されると、ステップS101において、通信装置114を介して認証センター3の認証装置31へ認証要求を送信する。
次いで、ステップS102において、認証センター3の認証装置31からアクセス許可証および希望するデータの復号化キーを受信したか否かを判断し、受信した場合(S102:YES)には、ステップS103において、データセンター2のデータ管理装置21へ、通信装置114を介してデータ送信リクエストを上記アクセス許可証とともに送信し、ステップS104に進む。
ステップS104において、データセンター2のデータ管理装置21からユーザがリクエストしたデータを受信したか否か判断し、受信した場合(S104:YES)、ステップS105に進む。ここで、データ管理装置21から受信するデータは、典型的には、セキュリティを向上させるために暗号化されている。したがって、ステップS105では、ステップS102において認証装置31から送信されたデータ復号化キーを使用して上記暗号化されたデータを復号化し、処理を終了する。ユーザは、この復号化されたデータを所望の目的のために使用することができる。
なお、好ましい実施形態では、ユーザ装置11のメモリ112にユーザがデータをコピー、プリントアウト、またはハードコピーをするとログが残るようにするプログラムを予めインストールしておき、CPU115がこのプログラムを実行する。このようにして、万一データが不正使用された場合には不正使用者を容易に特定することができるようにしておくことによって、ユーザによるデータの不正使用を抑止することができ、より安全性の向上した情報管理システムが提供される。
一方、ステップS102において、認証センター3の認証装置31からアクセス許可証および上記データの復号化キーを受信しなかった場合(S102:NO)、ステップS106に進んで、認証センター3からアクセス認証不可の旨を受信したか否か判断し、受信していない場合(ステップS106:NO)、ステップS102に戻る。受信した場合には(ステップS106:YES)、ステップS107においてアクセス認証不可の旨を出力装置113により出力(例えば、表示またはプリントアウト)し、処理を終了する。
さらに、一方、ステップS104において、データセンター2のデータ管理装置21からユーザがリクエストしたデータを受信していない場合(ステップS104:NO)、ステップS108においてデータセンター2のデータ管理装置21からアクセス不可の旨を受信したか否かを判断し、受信していない場合(ステップS108:NO)、ステップS104に戻る。受信した場合(ステップS108:YES)、ステップS109において出力装置113(例えば、ディスプレイ)においてアクセス不可の旨を出力(例えば、表示)して、処理を終了する。
なお、上記CPU115の処理動作において、ステップS107およびS109の出力装置111による出力のステップはオプショナルである(なくてもよい)。
次に、本発明の情報管理システムの第1の実施形態における認証装置31のCPU315が行う処理について説明する。
図6Aおよび6Bは、認証装置31のCPU315が行う代表的な処理動作を示すフロー図である。図6Aは、認証装置31がユーザ装置11からデータベース22へのアクセス権の認証要求を受信した場合のCPU315の処理を示し、図6Bは、認証装置31がデータ管理装置21からデータベース22に対するユーザのアクセス許可証の有効性について認証要求を受信した場合のCPU315の処理を示す。
図6Aを参照し、スタートにおいて待機状態にあるCPU315は、ステップS301においてユーザ装置11からの認証要求を受信すると、ステップS302において要求が正当か否か判断し、正当である場合(S302:YES)、ステップS303においてアクセス許可証およびユーザがリクエストしたデータの復号化キーをユーザ装置11へ送信し、処理を終了する。ステップS302において、要求が正当でない場合(S302:NO)、ステップS304に進み、アクセス認証不可の旨をユーザ装置11に送信し、処理を終了する。なお、上記の認証要求が正当か否かの判断は、例えば、IDおよびパスワード、IDおよびワンタイムパスワード方式、指紋認証・眼底照合等のバイオメトリックス等を利用して行うことができる。
図6Bを参照し、スタートにおいて待機状態にあるCPU315は、ステップS311においてデータ管理装置21からのユーザから送信されたアクセス許可証の有効性(参照権)の確認要求を受信すると、ステップS312においてその参照権が有効であるか否かを判断し、有効である場合(S312:YES)、ステップS313に進んで、ユーザからリクエストされたデータベースの復号化キーの復号化キーおよび復号化したデータベースから抽出したデータを暗号化するための暗号化キーをデータセンター2のデータ管理装置21へ送信し、処理を終了する。一方、ステップS312において参照権が有効でない場合(S312:NO)、ステップS314に進み、参照権が有効でない旨をデータ管理装置21へ送信し、処理を終了する。
なお、認証装置31におけるアクセス許可証の有効性の判断のステップS312において、上記アクセス許可証の有効性は、例えば、そのユーザが認証登録されているか否か、そのリクエストされたデータを参照する権利があるか否か、アクセス許可証の有効期限内か、1度目の使用か否か(ワンタイムキー方式となっている場合)などによって決めることができる。例えば、アクセス許可証は発行から20分間有効であるというように予め決定すれば、アクセス許可証の発行から20分を経過した後に受信したアクセス許可証の有効性確認要求に対しては、アクセス不可の旨を返信することになる。なお、有効期限は上記の例に限られず、任意に決定できる。
また、好ましい実施形態では、認証装置31における認証に関する情報をログとしてメモリ312に保存することによって、認証情報などの不正使用があった場合などにも容易に履歴を参照することができる。
次に、本発明の情報管理システムの第1の実施形態におけるデータ管理装置21のCPU215が行う処理について説明する。
図7は、本発明の情報管理システムの第1の実施形態におけるデータ管理装置21のCPU215が行う代表的な処理動作を示すフロー図である。スタートにおいて待機状態にあるCPU215は、ステップS201においてユーザからのデータ送信リクエストを受信すると、ステップS202においてアクセス許可証の有無を判断し、アクセス許可証がある場合(S202:YES)、ステップS203においてユーザの参照権の確認要求を認証センター3の認証装置31に送信する。
次いで、ステップS204において、認証装置31からDB復号化キーの復号化キーおよびデータ暗号化キーを受信したか否かを判断し、受信した場合には(ステップS204:YES)、ステップS205においてユーザからリクエストされたデータベースの復号化キーを、上記復号化キーを用いて復号化し、その復号化された上記データベースの復号化キーを用いてデータベースを復号化して、リクエストされたデータを抽出し、それを上記認証装置31から送信されたデータ暗号化キーを使用して暗号化した後、ユーザ装置11へ送信し、処理を終了する。
一方、ステップS202でアクセス許可証が無い場合には(S202:NO)、ステップS207に進んで、アクセス不可の旨を通信装置214を介してユーザ装置11へ送信し、処理を終了する。
また、ステップS204で認証装置31からデータベース復号化キーの復号化キーおよびデータ暗号化キーを受信していない場合(S204:NO)、ステップS206において参照権が有効でない旨を認証装置31から受信したか否かを判断し、受信していない場合は(S206:NO)、ステップS204に戻り、受信した場合は(S206:YES)、ステップS207においてアクセス不可の旨をユーザ装置11に送信して、処理を終了する。
なお、好ましい実施形態では、データ装置21におけるデータまたはファイルへのアクセスに関連する事象をログとしてメモリ212に保存するようにすることによって、不正アクセスがあった場合などにも容易に履歴を参照することができる。
上記本発明の情報管理システムにおいて、データ管理センター2のデータ管理装置21が管理する個別のデータベース(221,222,223,224,225)は、代表的には、個別暗号化キー方式の暗号化プログラムによって暗号化されている。ここで用いられる暗号化プログラム(暗号アルゴリズム)としては、例えば、MISTY1、MISTY2、IDEA、RC2等が用いられる。個別暗号化キーの復号化キーはそれぞれのデータベースを作成する際にランダムに発生し、データ管理装置21のメモリ212に暗号化された状態で保持される。この復号化キーはさらに暗号化されており、その復号化キーは、ユーザにもデータベース作成者にも特定が不可能である。このデータベース復号化キーの復号化キーは、認証センター3によって管理される(認証装置31内に保持される)。こうすることによって、第三者がデータセンター2のデータベース22に侵入したとしても、認証装置31に保存された復号化キーがない限り、暗号化されたそのデータを復号化することはできない。このようにして、本発明は、セキュリティの向上した情報管理システムを提供する。
なお、上記本発明の情報管理システムにおいて、認証装置31、ユーザ装置(11,12,13)、およびデータ管理装置21の間で送受信されるアクセス許可証、キーおよびデータは、必ずしも暗号化される必要はない。したがって、上記各CPUの処理動作の説明において、認証装置31が該データの復号化キーをユーザ装置(11,12、13)に送信すること、および該データの暗号化キーをデータ管理装置21へ送信すること、ならびにデータ管理装置21においてデータを送信前に暗号化すること、およびユーザ装置(11,12、13)において暗号化されたデータを復号化することは、オプショナルである。しかしながら、インターネットを介して通信されるこれらのデータ、キー、およびアクセス許可証等は、セキュリティを考慮すれば暗号化されて送受信されることが好ましい。暗号化または復号化のためのキーおよびアクセス許可証は、好ましくは、公開キー方式で、データは共通キー方式でそれぞれ送受信されることが好ましい。ここで用いられる公開キー方式としては、公知の方式が挙げられ、例えば、RSA暗号方式、ElGamal暗号方式、Diffie−Hellman鍵配送方式、等が例示される(後述の文献等参照)。
また、好ましい態様では、認証センターが発行する暗号化キー及び復号化キー、ならびに/またはアクセス許可証を1回限定利用のワンタイムキーとすることにより、例えば、正規のユーザの端末の盗難等によって暗号化キーが盗まれたとしても、データセンターのデータベースを復号化することはできないし、また、ネットワーク上のデータを盗聴することもできないため、さらに安全性を向上することができる。
さらに、上記の例では、認証センター3からユーザへアクセス許可証およびデータの復号化キーが送信される態様を示したが、本発明の目的のためには、この態様に限定される必要はなく、例えば、アクセス許可証をデータ復号化キーと別個のものとせずに、データ復号化キー自体に有効期限を設定して発行する(データ復号化キーとアクセス許可証とを一体のものとする)ような態様としてもよい。
(実施の形態2)
本発明は、第2の実施形態において、データセンターに配置された、電子的データを保存する暗号化されたデータベースと該データベースの復号化キーを暗号化して保存し上記データベースへのアクセスを管理するデータ管理装置と、ユーザのもとに配置された、上記データベースの復号化キーの第1の復号化キーを保存する、インターネット回線を通じて上記データ管理装置と通信可能なユーザ装置と、認証センターに配置された、データベースの復号化キーの第2の復号化キーを保存しユーザの上記データベースへのアクセス権を管理する、上記ユーザ装置および上記データ管理装置とインターネット回線を通じて通信可能な認証装置とを含む情報管理システムを提供する。この情報管理システムにおいては、ユーザがデータセンターのデータを利用するためには、ユーザが保存する上記第1の復号化キーおよび認証センターが保存する上記第2の復号化キー、ならびに認証センターからの有効なアクセス許可証を必要とする。
本発明の第2の実施形態にかかる情報管理システムの概略構成およびその構成要素の典型的な構成は、本発明の第1の実施形態に係る情報管理システムについて図1〜4を参照して説明したものと同様であるので、ここでは説明を省略する。
以下、本発明の第2の実施形態にかかる情報管理システムにおけるユーザ装置11、データ管理装置21、および認証装置31の各CPUが行う処理動作を説明する。
図8は、本発明の情報管理システムの第2の実施形態におけるユーザ装置11のCPU115が行う代表的な処理動作を示すフロー図である。
スタートにおいて待機状態にあるCPU115は、ユーザによりデータベース22のデータへのアクセスのための認証センターへの認証要求の指示が入力装置111を介して入力されると、ステップS111において、通信装置114を介して認証センター3の認証装置31へ認証要求を送信する。
次いで、ステップS112において、認証センター3の認証装置31からアクセス許可証および希望するデータの復号化キーを受信したか否かを判断し、受信した場合(S112:YES)、ステップS113において、データセンター2のデータ管理装置21へ送るためのリクエストにアクセス許可証を添付し、ステップS114においてさらにデータベース復号化キーの第1の復号化キーを添付し、次いでステップS115においてこれらを通信装置114を介してデータセンター2のデータ管理装置21へ送信し、ステップS116に進む。なお、ステップS113およびS114は順序が逆になってもよいし、またステップS113、S114およびS115は、合わせて1つのステップとしてもよい。
ステップS106において、データセンター2のデータ管理装置21からユーザがリクエストしたデータを受信したか否かを判断し、受信した場合(ステップS116:YES)、ステップS117に進む。ここで、データ管理装置21から受信するデータは、典型的には、セキュリティを向上させるために暗号化されている。したがって、ステップS117では、ステップS112において認証装置31から送信されたデータ復号化キーを使用して上記暗号化されたデータを復号化し、処理を終了する。ユーザは、この復号化されたデータを所望の目的のために利用することができる。
なお、好ましい実施形態では、ユーザ装置11のメモリ112には、ユーザがデータをコピー、プリントアウト、またはハードコピーをする
とログが残るプログラムがインストールされており、CPU115はこのプログラムを実行する。このようにして、万一データが不正使用された場合には不正使用者を容易に特定することができるようにしておくことによって、ユーザによるデータの不正使用等を抑止することができ、より安全性の向上した情報管理システムが提供される。
一方、ステップS112において、認証センター3の認証装置31からアクセス許可証および上記データの復号化キーを受信しなかった場合(S112:NO)、ステップS118に進んで、認証センター3からアクセス認証不可の旨を受信したか否か判断し、受信していない場合(ステップS118:NO)、ステップS112に戻る。受信した場合には(ステップS118:YES)、ステップS119においてアクセス認証不可の旨を出力装置113により出力(例えば、表示またはプリントアウト)し、処理を終了する。
さらに、一方、ステップS116において、データセンター2のデータ管理装置21からユーザがリクエストしたデータを受信していない場合(ステップS116:NO)、ステップS120においてデータセンター2のデータ管理装置21からアクセス不可の旨を受信したか否かを判断し、受信していない場合(ステップS120:NO)、ステップS116に戻る。受信した場合(ステップS120:YES)、ステップS121において出力装置113(例えば、ディスプレイ)においてアクセス不可の旨を出力(例えば、表示)して、処理を終了する。
なお、上記CPU115の処理動作において、ステップS118およびS121の出力装置111による出力のステップはオプショナルである。
次に、本発明の情報管理システムの第2の実施形態における認証装置31のCPU315が行う処理について説明する。
図9Aおよび9Bは、認証装置31のCPU315が行う代表的な処理動作を示すフロー図である。図9Aは、認証装置31がユーザ装置11からデータベース22へのアクセス権の認証要求を受信した場合のCPU315の処理を示し、図9Bは、認証装置31がデータ管理装置21からデータベース22に対するユーザのアクセス許可証の有効性について認証要求を受信した場合のCPU315の処理を示す。
図9Aを参照し、スタートにおいて待機状態にあるCPU315は、ステップS321においてユーザ装置11からの認証要求を受信すると、ステップS322において要求が正当か否か判断し、正当である場合(S322:YES)、ステップS323においてアクセス許可証およびユーザがリクエストしたデータの復号化キーをユーザ装置11へ送信し、処理を終了する。ステップS322において、要求が正当でない場合(S322:NO)、ステップS324に進み、アクセス認証不可の旨をユーザ装置11に送信し、処理を終了する。なお、上記の認証要求が正当か否かの判断は、例えば、IDおよびパスワード、IDおよびワンタイムパスワード方式、指紋認証・眼底照合等のバイオメトリックス等を利用して行うことができる。
図9Bを参照し、スタートにおいて待機状態にあるCPU315は、ステップS331においてデータ管理装置21からのユーザから送信されたアクセス許可証の有効性(参照権)の確認要求を受信すると、ステップS332においてその参照権が有効であるか否かを判断し、有効である場合(S332:YES)、ステップS333に進んで、ユーザからリクエストされたデータベースの復号化キーの第2の復号化キーおよび復号化したデータベースから抽出したデータを暗号するための暗号化キーをデータセンター2のデータ管理装置21へ送信し、処理を終了する。一方、ステップS332において参照権が有効でない場合(S332:NO)、ステップS334に進み、参照権が有効でない旨をデータ管理装置21へ送信し、処理を終了する。
なお、認証装置31におけるアクセス許可証の有効性の判断のステップS332において、上記アクセス許可証の有効性は、例えば、そのユーザが認証登録されているか否か、そのリクエストされたデータを参照する権利があるか否か、アクセス許可証の有効期限内か、1度目の使用か否か(ワンタイムキー方式となっている場合)などによって決めることができる。例えば、アクセス許可証は発行から20分間有効であるというように予め決定すれば、アクセス許可証の発行から20分を経過した後に受信したアクセス許可証の有効性確認要求に対しては、アクセス不可の旨を返信することになる。なお、有効期限は上記の例に限られず、任意に決定できる。
また、好ましい実施形態では、認証装置31における認証に関する情報をログとしてメモリ312に保存することによって、認証情報などの不正使用があった場合などにも容易に履歴を参照することができる。
次に、本発明の情報管理システムの第2の実施形態におけるデータ管理装置21のCPU215が行う処理について説明する。
図10は、本発明の情報管理システムの第2の実施形態におけるデータ管理装置21のCPU215が行う代表的な処理動作を示すフロー図である。スタートにおいて待機状態にあるCPU215は、ステップS211においてユーザからのデータ送信リクエストを受信すると、ステップS212においてアクセス許可証の有無を判断し、アクセス許可証がある場合(S212:YES)、ステップS213に進み、データベース復号化キーの第1の復号化キーの有無を判断する。第1の復号化キーがある場合(S213:YES)、ステップS214に進み、ユーザの参照権の確認要求を認証センター3の認証装置31に送信する。
次いで、ステップS215において、認証装置31からDB復号化キーの第2の復号化キーおよびデータ暗号化キーを受信したか否かを判断し、受信した場合には(ステップS215:YES)、ステップS216においてユーザからリクエストされたデータを含むデータベースの復号化キーを、上記第1および第2の復号化キーを用いて復号化し、その復号化された上記データベースの復号化キーを用いてデータベースを復号化して、リクエストされたデータを抽出し、それを上記認証装置31から送信されたデータ暗号化キーを使用して暗号化した後、ユーザ装置11へ送信し、処理を終了する。
一方、ステップS212でアクセス許可証が無い場合には(S212:NO)、ステップS218に進んで、アクセス不可の旨を通信装置214を介してユーザ装置11へ送信し、処理を終了する。
また、ステップS213でデータベース復号化キーの第1の復号化キーが無い場合(S213:NO)、ステップS218に進んで、アクセス不可の旨を通信装置214を介してユーザ装置11へ送信し、処理を終了する。
さらに、ステップS215で認証装置31からデータベース復号化キーの第2の復号化キーおよびデータ暗号化キーを受信していない場合(S215:NO)、ステップS217において参照権が有効でない旨を認証装置31から受信したか否かを判断し、受信していない場合は(S217:NO)、ステップS215に戻り、受信した場合は(S217:YES)、ステップS218においてアクセス不可の旨をユーザ装置11に送信して、処理を終了する。
なお、好ましい実施形態では、データ装置21におけるデータまたはファイルへのアクセスに関連する事象をログとしてメモリ212に保存するようにすることによって、不正アクセスがあった場合などにも容易に履歴を参照することができる。
上記本発明の第2の実施形態にかかる情報管理システムにおいて、データ管理センター2のデータ管理装置21が管理する個別のデータベース(221,222,223,224,225)は、代表的には、個別暗号化キー方式の暗号化プログラムによって暗号化されている。ここで用いられる暗号化プログラム(暗号アルゴリズム)としては、例えば、MISTY1、MISTY2、IDEA、RC2等が用いられる。
個別暗号化キーの復号化キーはそれぞれのデータベースを作成する際にランダムに発生し、データ管理装置21のメモリ212に暗号化された状態で保持される。この復号化キーはさらに暗号化されており、その復号化キーは、ユーザにもデータベース作成者にも特定不可能である。本発明の第2の実施形態にかかる情報管理システムでは、このデータベース復号化キーの復号化キーは、ユーザ1によって管理される(ユーザ装置11に保存される)第1の復号化キーと、認証センター3によって管理される(認証装置31内に保持される)第2の復号化キーとから構成される。したがって、データベース22の復号化キーは、ユーザ1によって管理される上記第1の復号化キーと、認証センター3によって管理される上記第2の復号化キーとが揃ったときに初めて復号化することができる。
こうすることによって、第三者がデータセンター2のデータベース22に侵入したとしても、ユーザ装置11に保存された第1の復号化キーおよび認証装置31に保存された第2の復号化キーがない限り、暗号化されたそのデータを復号化することはできない。このようにして、本発明は、セキュリティのさらに一層向上した情報管理システムを提供する。
なお、上記本発明の情報管理システムにおいて、認証装置31、ユーザ装置(11,12,13)、およびデータ管理装置21の間で送受信されるアクセス許可証、キーおよびデータは、必ずしも暗号化される必要はない。したがって、上記各CPUの処理動作の説明において、認証装置31が該データの復号化キーをユーザ装置(11,12、13)に送信すること、および該データの暗号化キーをデータ管理装置21へ送信すること、ならびにデータ管理装置21においてデータを送信前に暗号化すること、およびユーザ装置(11,12、13)において暗号化されたデータを復号化することは、オプショナルである。しかしながら、インターネットを介して通信されるこれらのデータ、キー、およびアクセス許可証等は、セキュリティを考慮すれば暗号化されて送受信されることが好ましい。暗号化または復号化のためのキーおよびアクセス許可証は、好ましくは、公開キー方式で、データは共通キー方式でそれぞれ送受信されることが好ましい。ここで用いられる公開キー方式としては、公知の方式が挙げられ、例えば、RSA暗号方式、ElGamal暗号方式、Diffie−Hellman鍵配送方式、等が例示される(後述の文献等参照)。
また、好ましい態様では、認証センターが発行する暗号化キー及び復号化キー、ならびに/またはアクセス許可証を1回限定利用のワンタイムキーとすることにより、例えば、正規のユーザの端末の盗難等によって暗号化キーが盗まれたとしても、データセンターのデータベースを復号化することはできないし、また、ネットワーク上のデータを盗聴することもできないため、さらに安全性を向上することができる。
さらに、上記の例では、認証センター3からユーザへアクセス許可証およびデータの復号化キーが送信される態様を示したが、本発明の目的のためには、この態様に限定される必要はなく、例えば、データ復号化キー自体に有効期限を設定して発行する(データ復号化キーとアクセス許可証とを一体のものとする)ような態様としてもよい。
以上、図面を参照して、本発明の実施の形態を説明したが、本発明の範囲はこれらの実施形態に限定されるものではなく、請求の範囲に記載される本発明の範囲を超えない限度において、種々の変更が可能でありそれらは本発明の範囲に含まれる。
参考のために、暗号化に関する文献等を下記に記す。
1.J.Kelsey,B.Schneier,and D.Wagner,″Related−Key Crypta−nalysis of 3−WAY,Biham−DES,CAST,DES−X,NewDES,RC2,and TEA,″ICICS′97 Proceedings.
2.J.Kelsey,B.Schneier,and D.Wagner,″Key−Schedule Crypta−naiysis of 3−WAY,IDEA,G−DES,RC4,SAFER,and Triple−DES,″Advances in Cryptology−−CRYPTO′96 Proceedings.
3.池野信一・小山謙二:「現代暗号理論」第3章3.4電子情報通信学
会、1986.
4.B.Schneier,″Applide Cryptography 2nd edition″,John Wiley&Sons,1996.
5.J.J.Quisquater and C.Couvereur,″First Decipherment Algorithm for RSA Public Key Cryptosystem″,Electronic Letters,v.18,1982,pp155−168.
6.岡本栄司著:「暗号理論入門」、共立出版、1993.
7.岡本龍明、山本博資共著:「現代暗号」、産業図書、1997.
8.岡本龍明、太田和夫編:「暗号、ゼロ知識証明、数論」、共立出版、1995.
9.岡本達明、山本博資:「現代暗号」1997年、産業図書.
10.Alfred J.Menezes,Paul C.van Oorschot,Scott A.Vanstone:″Handbook of Applied Cryptography″,1997,CRC Press.
11.櫻井孝一監訳:「暗号理論の基礎」、1996年、共立出版.
12.池野信一、小山謙二:「現代暗号理論」、1986年、電子情報通信学会.
13.辻井重男:「暗号」、1996年、講談社選書メチエ.
14.電子情報通信学会:「『暗号アルゴリズムの設計と評価』ワークショップ講演論文集」、1996年、電子情報通信学会.
15.宮武修、脇本和昌:「乱数とモンテカルロ法」、1978年、森北出版.
16.白橋明弘:「PC環境におけるセキュリティ−電子メールを中心に−」/『Software Design』97年6月号,技術評論社.
17.今井秀樹:「暗号のおはなし」、1993年、財団法人日本規格協会.
18.菊池豊彦:「インターネット世紀のコンピュータネットワーク暗号システム」1995年、NECクリエイティブ.
(実施の形態1)
本発明は、第1の実施形態において、データセンターに配置された、電子的データを保存する暗号化されたデータベースと該データベースの復号化キーを暗号化して保存し上記データベースへのアクセスを管理するデータ管理装置と、ユーザのもとに配置された、インターネット回線を通じて上記データ管理装置と通信可能なユーザ装置と、認証センターに配置された、データベースの復号化キーの復号化キーを保存しユーザの上記データベースへのアクセス権を管理する、上記ユーザ装置および上記データ管理装置とインターネット回線を通じて通信可能な認証装置とを含む情報管理システムを提供する。この情報管理システムにおいては、ユーザがデータセンターのデータを利用するためには、認証センターからの有効なアクセス許可証およびデータベースの復号化キーの復号化キーを必要とする。
図1は、本発明の第1の実施形態にかかる、情報管理システムの概略構成をブロック図である。図に示されるように、本発明の情報管理システムは、代表的には、ユーザ装置(11,12,13)から構成されるユーザグループ1、データベース22およびそれを管理するデータ管理装置21を備えるデータセンター2、ならびに認証装置31を備える認証センター3を含んでいる。
本発明の情報管理システムにおいては、ユーザは1人でもよいが、通常は、複数のユーザが存在する。図1では、ユーザグループには、3人のユーザ(または3つのユーザ装置(11,12,13))が含まれる例が示されているが、ユーザの数はこれに限定されない。各ユーザ装置は、インターネット回線4を介して、データセンター2の管理装置21および認証センター3の認証装置31と通信可能に接続されている。
データセンター2は、データベース22および該データベースへのアクセス等を管理するデータ管理装置21を備えている。
認証センター3は、ユーザのデータベース22へのアクセス権に関する情報等を管理する認証装置31を備え、認証装置31は、ユーザ装置(11,12,13)およびデータ管理装置21とインターネット回線により通信可能に接続されている。
図2は、本発明の第1の実施形態にかかる情報管理システムにおけるユーザ装置11の代表的構成を示すブロック図である。ユーザ装置11は、入力装置111、メモリ112、出力装置113、通信装置114、および中央演算処理装置(CPU)115を備える。ユーザ装置11は、通常、通信装置を備えたパーソナルコンピュータ、PDA、携帯電話、PHSなど(好ましくは、パーソナルコンピュータ)で構成される。
入力装置111は、ユーザが指示を入力するための装置である。指示としては、例えば、認証装置31への上記データセンター2のデータへのアクセス権の認証要求の送信、データ管理装置21へのデータ送信要求の送信、出力装置113への出力指示(例えば、プリントアウト、ディスプレイへの表示)等が挙げられる。入力装置111は、通常、キーボード、マウス、タッチパッドなどの入力手段から構成される。
メモリ112は、RAMまたはROMなどの記憶装置で構成され、CPU115が行う処理のためのプログラム、データベースから取得したデータ、または暗号化されたデータの復号化キーなどを保存する。また、好ましい実施形態では、メモリ112には、ユーザがデータをコピー、プリントアウト、またはハードコピーをするとログが残るようにするためのプログラムが格納されている。
出力装置113は、ディスプレイ、プリンタなどで構成されており、入力装置に入力された指示または予めプログラムされた処理手順に従って、処理状況や処理結果など出力(例えば、表示、印刷)する。
通信装置114は、ユーザ装置11が、インターネット回線4との接続を確立するためのインターフェースであり、ユーザのPCに内蔵されたモデム、PCカード、ケーブルモデム、ISDNターミナルアダプタ、ADSLモデム、LANポートなどから構成される。
CPU115は、制御装置(不図示)および演算装置(不図示)から構成され、ユーザ装置11の各部の動作をプログラムに基づいて、または入力装置111から入力されたユーザの指示に基づいて制御する。
図3は、本発明の第1の実施形態にかかる情報管理システムにおける認証装置31の代表的構成を示すブロック図である。認証装置31は、入力装置311、メモリ312、出力装置313、通信装置314、およびCPU315を備える。
入力装置311は、通常、キーボード、マウス、タッチパッドなどの入力手段から構成され、これを用いて操作者が指示(例えば、出力装置313への出力(例えば、プリントアウト、ディスプレイにおける表示)など)を入力する。
メモリ312は、RAMまたはROMなどの記憶装置で構成され、CPU315が行う処理のためのプログラム、データセンターのデータベースに保存されているデータへのアクセス権認証のために必要な情報(例えば、データの識別情報およびクライアントまたはユーザ識別情報等)、または暗号化されたデータの復号化キーなどを保存する。なお、好ましい実施形態では、メモリ312には、認証装置31が認証した認証情報をログとして残すためのプログラムが格納されている。
出力装置313は、ディスプレイ、プリンタなどで構成され、入力装置に入力された指示または予めプログラムされた処理手順に従って、処理状況や処理結果など出力(例えば、表示、印刷)する。
通信装置314は、認証装置31が、インターネット回線4との接続を確立するためのインターフェースであり、例えば、ISDNターミナ
ルアダプタ、ケーブルモデム、ADSLモデム、PCカード、LANポ
ートなどから構成される。
CPU315は、認証装置31の各部の動作をプログラムに基づいて、
または入力装置から入力された指示に基づいて制御する。
図4は、本発明の第1の実施形態にかかる情報管理システムにおける
データセンター2に配置されるデータ管理装置21およびデータベース
22の代表的構成を示すブロック図である。
データ管理装置21は、入力装置211、メモリ212、出力装置2
13、通信装置214、およびCPU215を備える。
データベース22は、大容量の記憶装置などで構成される1つ以上の
データベース(図の例では、DB1〜DB5(221〜225))を備え
る。データベース22には、代表的には、クライアント毎に区別された
データベース(DB1〜DB5(221〜225))が備えられている。データベース22に保存するデータおよびクライアントの種類としては、特に限定されないが、例えば、次のような組み合わせが例示される。
(1)遺伝子データバンク/遺伝子情報等
(2)病院/患者のカルテ情報等
(3)信用調査会社/信用情報等
(4)金融機関/口座情報等
(5)クレジット会社/カード使用情報等
(6)ソフトウエア開発会社/ソースコード等
(7)顧客管理システム/顧客属性、購買履歴等
(8)ASPシステム/データベース等
(9)一般企業/会計、顧客、人事、販売、仕入情報等
(10)物流倉庫会社/在庫情報、流通情報等
(11)研究開発機関/研究データ等。
入力装置211は、操作者が指示を入力するための装置である。指示としては、例えば、出力装置213への出力(例えば、プリントアウト、ディスプレイへの表示)などが挙げられる。入力装置211は、キーボード、マウス、タッチパッドなどの入力手段から構成される。
メモリ212は、RAMまたはROMなどの記憶装置で構成され、CPU215が行う処理のためのプログラム、データベースの復号化キーの復号化キー、またはデータの暗号化キーなどを保存する。なお、好ましい実施形態では、メモリ212には、データベース22のファイルまたはデータへのアクセスに関する事象をログとして記録するためのプログラムが格納されている。
出力装置213は、ディスプレイ、プリンタなどで構成されている。
通信装置214は、データ管理装置21が、インターネット回線4との接続を確立するためのインターフェースであり、例えば、ISDNターミナルアダプタ、ケーブルモデム、ADSLモデム、PCカード、LANポートなどから構成される。
CPU215は、データ管理装置21の各部の動作をプログラムに基づいて、または入力装置から入力された指示に基づいて制御する。
次に、本発明の第1の実施形態にかかる情報管理システムにおけるユーザ装置11、データ管理装置21、および認証装置31の各CPUが行う処理動作を説明する。
図5は、本発明の情報管理システムの第1の実施形態におけるユーザ装置11のCPU115が行う代表的な処理動作を示すフロー図である。
スタートにおいて待機状態にあるCPU115は、ユーザによりデータベース22のデータへのアクセスのための認証センターへの認証要求の指示が入力装置111を介して入力されると、ステップS101において、通信装置114を介して認証センター3の認証装置31へ認証要求を送信する。
次いで、ステップS102において、認証センター3の認証装置31からアクセス許可証および希望するデータの復号化キーを受信したか否かを判断し、受信した場合(S102:YES)には、ステップS103において、データセンター2のデータ管理装置21へ、通信装置114を介してデータ送信リクエストを上記アクセス許可証とともに送信し、ステップS104に進む。
ステップS104において、データセンター2のデータ管理装置21からユーザがリクエストしたデータを受信したか否か判断し、受信した場合(S104:YES)、ステップS105に進む。ここで、データ管理装置21から受信するデータは、典型的には、セキュリティを向上させるために暗号化されている。したがって、ステップS105では、ステップS102において認証装置31から送信されたデータ復号化キーを使用して上記暗号化されたデータを復号化し、処理を終了する。ユーザは、この復号化されたデータを所望の目的のために使用することができる。
なお、好ましい実施形態では、ユーザ装置11のメモリ112にユーザがデータをコピー、プリントアウト、またはハードコピーをするとログが残るようにするプログラムを予めインストールしておき、CPU115がこのプログラムを実行する。このようにして、万一データが不正使用された場合には不正使用者を容易に特定することができるようにしておくことによって、ユーザによるデータの不正使用を抑止することができ、より安全性の向上した情報管理システムが提供される。
一方、ステップS102において、認証センター3の認証装置31からアクセス許可証および上記データの復号化キーを受信しなかった場合(S102:NO)、ステップS106に進んで、認証センター3からアクセス認証不可の旨を受信したか否か判断し、受信していない場合(ステップS106:NO)、ステップS102に戻る。受信した場合には(ステップS106:YES)、ステップS107においてアクセス認証不可の旨を出力装置113により出力(例えば、表示またはプリントアウト)し、処理を終了する。
さらに、一方、ステップS104において、データセンター2のデータ管理装置21からユーザがリクエストしたデータを受信していない場合(ステップS104:NO)、ステップS108においてデータセンター2のデータ管理装置21からアクセス不可の旨を受信したか否かを判断し、受信していない場合(ステップS108:NO)、ステップS104に戻る。受信した場合(ステップS108:YES)、ステップS109において出力装置113(例えば、ディスプレイ)においてアクセス不可の旨を出力(例えば、表示)して、処理を終了する。
なお、上記CPU115の処理動作において、ステップS107およびS109の出力装置111による出力のステップはオプショナルである(なくてもよい)。
次に、本発明の情報管理システムの第1の実施形態における認証装置31のCPU315が行う処理について説明する。
図6Aおよび6Bは、認証装置31のCPU315が行う代表的な処理動作を示すフロー図である。図6Aは、認証装置31がユーザ装置11からデータベース22へのアクセス権の認証要求を受信した場合のCPU315の処理を示し、図6Bは、認証装置31がデータ管理装置21からデータベース22に対するユーザのアクセス許可証の有効性について認証要求を受信した場合のCPU315の処理を示す。
図6Aを参照し、スタートにおいて待機状態にあるCPU315は、ステップS301においてユーザ装置11からの認証要求を受信すると、ステップS302において要求が正当か否か判断し、正当である場合(S302:YES)、ステップS303においてアクセス許可証およびユーザがリクエストしたデータの復号化キーをユーザ装置11へ送信し、処理を終了する。ステップS302において、要求が正当でない場合(S302:NO)、ステップS304に進み、アクセス認証不可の旨をユーザ装置11に送信し、処理を終了する。なお、上記の認証要求が正当か否かの判断は、例えば、IDおよびパスワード、IDおよびワンタイムパスワード方式、指紋認証・眼底照合等のバイオメトリックス等を利用して行うことができる。
図6Bを参照し、スタートにおいて待機状態にあるCPU315は、ステップS311においてデータ管理装置21からのユーザから送信されたアクセス許可証の有効性(参照権)の確認要求を受信すると、ステップS312においてその参照権が有効であるか否かを判断し、有効である場合(S312:YES)、ステップS313に進んで、ユーザからリクエストされたデータベースの復号化キーの復号化キーおよび復号化したデータベースから抽出したデータを暗号化するための暗号化キーをデータセンター2のデータ管理装置21へ送信し、処理を終了する。一方、ステップS312において参照権が有効でない場合(S312:NO)、ステップS314に進み、参照権が有効でない旨をデータ管理装置21へ送信し、処理を終了する。
なお、認証装置31におけるアクセス許可証の有効性の判断のステップS312において、上記アクセス許可証の有効性は、例えば、そのユーザが認証登録されているか否か、そのリクエストされたデータを参照する権利があるか否か、アクセス許可証の有効期限内か、1度目の使用か否か(ワンタイムキー方式となっている場合)などによって決めることができる。例えば、アクセス許可証は発行から20分間有効であるというように予め決定すれば、アクセス許可証の発行から20分を経過した後に受信したアクセス許可証の有効性確認要求に対しては、アクセス不可の旨を返信することになる。なお、有効期限は上記の例に限られず、任意に決定できる。
また、好ましい実施形態では、認証装置31における認証に関する情報をログとしてメモリ312に保存することによって、認証情報などの不正使用があった場合などにも容易に履歴を参照することができる。
次に、本発明の情報管理システムの第1の実施形態におけるデータ管理装置21のCPU215が行う処理について説明する。
図7は、本発明の情報管理システムの第1の実施形態におけるデータ管理装置21のCPU215が行う代表的な処理動作を示すフロー図である。スタートにおいて待機状態にあるCPU215は、ステップS201においてユーザからのデータ送信リクエストを受信すると、ステップS202においてアクセス許可証の有無を判断し、アクセス許可証がある場合(S202:YES)、ステップS203においてユーザの参照権の確認要求を認証センター3の認証装置31に送信する。
次いで、ステップS204において、認証装置31からDB復号化キーの復号化キーおよびデータ暗号化キーを受信したか否かを判断し、受信した場合には(ステップS204:YES)、ステップS205においてユーザからリクエストされたデータベースの復号化キーを、上記復号化キーを用いて復号化し、その復号化された上記データベースの復号化キーを用いてデータベースを復号化して、リクエストされたデータを抽出し、それを上記認証装置31から送信されたデータ暗号化キーを使用して暗号化した後、ユーザ装置11へ送信し、処理を終了する。
一方、ステップS202でアクセス許可証が無い場合には(S202:NO)、ステップS207に進んで、アクセス不可の旨を通信装置214を介してユーザ装置11へ送信し、処理を終了する。
また、ステップS204で認証装置31からデータベース復号化キーの復号化キーおよびデータ暗号化キーを受信していない場合(S204:NO)、ステップS206において参照権が有効でない旨を認証装置31から受信したか否かを判断し、受信していない場合は(S206:NO)、ステップS204に戻り、受信した場合は(S206:YES)、ステップS207においてアクセス不可の旨をユーザ装置11に送信して、処理を終了する。
なお、好ましい実施形態では、データ装置21におけるデータまたはファイルへのアクセスに関連する事象をログとしてメモリ212に保存するようにすることによって、不正アクセスがあった場合などにも容易に履歴を参照することができる。
上記本発明の情報管理システムにおいて、データ管理センター2のデータ管理装置21が管理する個別のデータベース(221,222,223,224,225)は、代表的には、個別暗号化キー方式の暗号化プログラムによって暗号化されている。ここで用いられる暗号化プログラム(暗号アルゴリズム)としては、例えば、MISTY1、MISTY2、IDEA、RC2等が用いられる。個別暗号化キーの復号化キーはそれぞれのデータベースを作成する際にランダムに発生し、データ管理装置21のメモリ212に暗号化された状態で保持される。この復号化キーはさらに暗号化されており、その復号化キーは、ユーザにもデータベース作成者にも特定が不可能である。このデータベース復号化キーの復号化キーは、認証センター3によって管理される(認証装置31内に保持される)。こうすることによって、第三者がデータセンター2のデータベース22に侵入したとしても、認証装置31に保存された復号化キーがない限り、暗号化されたそのデータを復号化することはできない。このようにして、本発明は、セキュリティの向上した情報管理システムを提供する。
なお、上記本発明の情報管理システムにおいて、認証装置31、ユーザ装置(11,12,13)、およびデータ管理装置21の間で送受信されるアクセス許可証、キーおよびデータは、必ずしも暗号化される必要はない。したがって、上記各CPUの処理動作の説明において、認証装置31が該データの復号化キーをユーザ装置(11,12、13)に送信すること、および該データの暗号化キーをデータ管理装置21へ送信すること、ならびにデータ管理装置21においてデータを送信前に暗号化すること、およびユーザ装置(11,12、13)において暗号化されたデータを復号化することは、オプショナルである。しかしながら、インターネットを介して通信されるこれらのデータ、キー、およびアクセス許可証等は、セキュリティを考慮すれば暗号化されて送受信されることが好ましい。暗号化または復号化のためのキーおよびアクセス許可証は、好ましくは、公開キー方式で、データは共通キー方式でそれぞれ送受信されることが好ましい。ここで用いられる公開キー方式としては、公知の方式が挙げられ、例えば、RSA暗号方式、ElGamal暗号方式、Diffie−Hellman鍵配送方式、等が例示される(後述の文献等参照)。
また、好ましい態様では、認証センターが発行する暗号化キー及び復号化キー、ならびに/またはアクセス許可証を1回限定利用のワンタイムキーとすることにより、例えば、正規のユーザの端末の盗難等によって暗号化キーが盗まれたとしても、データセンターのデータベースを復号化することはできないし、また、ネットワーク上のデータを盗聴することもできないため、さらに安全性を向上することができる。
さらに、上記の例では、認証センター3からユーザへアクセス許可証およびデータの復号化キーが送信される態様を示したが、本発明の目的のためには、この態様に限定される必要はなく、例えば、アクセス許可証をデータ復号化キーと別個のものとせずに、データ復号化キー自体に有効期限を設定して発行する(データ復号化キーとアクセス許可証とを一体のものとする)ような態様としてもよい。
(実施の形態2)
本発明は、第2の実施形態において、データセンターに配置された、電子的データを保存する暗号化されたデータベースと該データベースの復号化キーを暗号化して保存し上記データベースへのアクセスを管理するデータ管理装置と、ユーザのもとに配置された、上記データベースの復号化キーの第1の復号化キーを保存する、インターネット回線を通じて上記データ管理装置と通信可能なユーザ装置と、認証センターに配置された、データベースの復号化キーの第2の復号化キーを保存しユーザの上記データベースへのアクセス権を管理する、上記ユーザ装置および上記データ管理装置とインターネット回線を通じて通信可能な認証装置とを含む情報管理システムを提供する。この情報管理システムにおいては、ユーザがデータセンターのデータを利用するためには、ユーザが保存する上記第1の復号化キーおよび認証センターが保存する上記第2の復号化キー、ならびに認証センターからの有効なアクセス許可証を必要とする。
本発明の第2の実施形態にかかる情報管理システムの概略構成およびその構成要素の典型的な構成は、本発明の第1の実施形態に係る情報管理システムについて図1〜4を参照して説明したものと同様であるので、ここでは説明を省略する。
以下、本発明の第2の実施形態にかかる情報管理システムにおけるユーザ装置11、データ管理装置21、および認証装置31の各CPUが行う処理動作を説明する。
図8は、本発明の情報管理システムの第2の実施形態におけるユーザ装置11のCPU115が行う代表的な処理動作を示すフロー図である。
スタートにおいて待機状態にあるCPU115は、ユーザによりデータベース22のデータへのアクセスのための認証センターへの認証要求の指示が入力装置111を介して入力されると、ステップS111において、通信装置114を介して認証センター3の認証装置31へ認証要求を送信する。
次いで、ステップS112において、認証センター3の認証装置31からアクセス許可証および希望するデータの復号化キーを受信したか否かを判断し、受信した場合(S112:YES)、ステップS113において、データセンター2のデータ管理装置21へ送るためのリクエストにアクセス許可証を添付し、ステップS114においてさらにデータベース復号化キーの第1の復号化キーを添付し、次いでステップS115においてこれらを通信装置114を介してデータセンター2のデータ管理装置21へ送信し、ステップS116に進む。なお、ステップS113およびS114は順序が逆になってもよいし、またステップS113、S114およびS115は、合わせて1つのステップとしてもよい。
ステップS106において、データセンター2のデータ管理装置21からユーザがリクエストしたデータを受信したか否かを判断し、受信した場合(ステップS116:YES)、ステップS117に進む。ここで、データ管理装置21から受信するデータは、典型的には、セキュリティを向上させるために暗号化されている。したがって、ステップS117では、ステップS112において認証装置31から送信されたデータ復号化キーを使用して上記暗号化されたデータを復号化し、処理を終了する。ユーザは、この復号化されたデータを所望の目的のために利用することができる。
なお、好ましい実施形態では、ユーザ装置11のメモリ112には、ユーザがデータをコピー、プリントアウト、またはハードコピーをする
とログが残るプログラムがインストールされており、CPU115はこのプログラムを実行する。このようにして、万一データが不正使用された場合には不正使用者を容易に特定することができるようにしておくことによって、ユーザによるデータの不正使用等を抑止することができ、より安全性の向上した情報管理システムが提供される。
一方、ステップS112において、認証センター3の認証装置31からアクセス許可証および上記データの復号化キーを受信しなかった場合(S112:NO)、ステップS118に進んで、認証センター3からアクセス認証不可の旨を受信したか否か判断し、受信していない場合(ステップS118:NO)、ステップS112に戻る。受信した場合には(ステップS118:YES)、ステップS119においてアクセス認証不可の旨を出力装置113により出力(例えば、表示またはプリントアウト)し、処理を終了する。
さらに、一方、ステップS116において、データセンター2のデータ管理装置21からユーザがリクエストしたデータを受信していない場合(ステップS116:NO)、ステップS120においてデータセンター2のデータ管理装置21からアクセス不可の旨を受信したか否かを判断し、受信していない場合(ステップS120:NO)、ステップS116に戻る。受信した場合(ステップS120:YES)、ステップS121において出力装置113(例えば、ディスプレイ)においてアクセス不可の旨を出力(例えば、表示)して、処理を終了する。
なお、上記CPU115の処理動作において、ステップS118およびS121の出力装置111による出力のステップはオプショナルである。
次に、本発明の情報管理システムの第2の実施形態における認証装置31のCPU315が行う処理について説明する。
図9Aおよび9Bは、認証装置31のCPU315が行う代表的な処理動作を示すフロー図である。図9Aは、認証装置31がユーザ装置11からデータベース22へのアクセス権の認証要求を受信した場合のCPU315の処理を示し、図9Bは、認証装置31がデータ管理装置21からデータベース22に対するユーザのアクセス許可証の有効性について認証要求を受信した場合のCPU315の処理を示す。
図9Aを参照し、スタートにおいて待機状態にあるCPU315は、ステップS321においてユーザ装置11からの認証要求を受信すると、ステップS322において要求が正当か否か判断し、正当である場合(S322:YES)、ステップS323においてアクセス許可証およびユーザがリクエストしたデータの復号化キーをユーザ装置11へ送信し、処理を終了する。ステップS322において、要求が正当でない場合(S322:NO)、ステップS324に進み、アクセス認証不可の旨をユーザ装置11に送信し、処理を終了する。なお、上記の認証要求が正当か否かの判断は、例えば、IDおよびパスワード、IDおよびワンタイムパスワード方式、指紋認証・眼底照合等のバイオメトリックス等を利用して行うことができる。
図9Bを参照し、スタートにおいて待機状態にあるCPU315は、ステップS331においてデータ管理装置21からのユーザから送信されたアクセス許可証の有効性(参照権)の確認要求を受信すると、ステップS332においてその参照権が有効であるか否かを判断し、有効である場合(S332:YES)、ステップS333に進んで、ユーザからリクエストされたデータベースの復号化キーの第2の復号化キーおよび復号化したデータベースから抽出したデータを暗号するための暗号化キーをデータセンター2のデータ管理装置21へ送信し、処理を終了する。一方、ステップS332において参照権が有効でない場合(S332:NO)、ステップS334に進み、参照権が有効でない旨をデータ管理装置21へ送信し、処理を終了する。
なお、認証装置31におけるアクセス許可証の有効性の判断のステップS332において、上記アクセス許可証の有効性は、例えば、そのユーザが認証登録されているか否か、そのリクエストされたデータを参照する権利があるか否か、アクセス許可証の有効期限内か、1度目の使用か否か(ワンタイムキー方式となっている場合)などによって決めることができる。例えば、アクセス許可証は発行から20分間有効であるというように予め決定すれば、アクセス許可証の発行から20分を経過した後に受信したアクセス許可証の有効性確認要求に対しては、アクセス不可の旨を返信することになる。なお、有効期限は上記の例に限られず、任意に決定できる。
また、好ましい実施形態では、認証装置31における認証に関する情報をログとしてメモリ312に保存することによって、認証情報などの不正使用があった場合などにも容易に履歴を参照することができる。
次に、本発明の情報管理システムの第2の実施形態におけるデータ管理装置21のCPU215が行う処理について説明する。
図10は、本発明の情報管理システムの第2の実施形態におけるデータ管理装置21のCPU215が行う代表的な処理動作を示すフロー図である。スタートにおいて待機状態にあるCPU215は、ステップS211においてユーザからのデータ送信リクエストを受信すると、ステップS212においてアクセス許可証の有無を判断し、アクセス許可証がある場合(S212:YES)、ステップS213に進み、データベース復号化キーの第1の復号化キーの有無を判断する。第1の復号化キーがある場合(S213:YES)、ステップS214に進み、ユーザの参照権の確認要求を認証センター3の認証装置31に送信する。
次いで、ステップS215において、認証装置31からDB復号化キーの第2の復号化キーおよびデータ暗号化キーを受信したか否かを判断し、受信した場合には(ステップS215:YES)、ステップS216においてユーザからリクエストされたデータを含むデータベースの復号化キーを、上記第1および第2の復号化キーを用いて復号化し、その復号化された上記データベースの復号化キーを用いてデータベースを復号化して、リクエストされたデータを抽出し、それを上記認証装置31から送信されたデータ暗号化キーを使用して暗号化した後、ユーザ装置11へ送信し、処理を終了する。
一方、ステップS212でアクセス許可証が無い場合には(S212:NO)、ステップS218に進んで、アクセス不可の旨を通信装置214を介してユーザ装置11へ送信し、処理を終了する。
また、ステップS213でデータベース復号化キーの第1の復号化キーが無い場合(S213:NO)、ステップS218に進んで、アクセス不可の旨を通信装置214を介してユーザ装置11へ送信し、処理を終了する。
さらに、ステップS215で認証装置31からデータベース復号化キーの第2の復号化キーおよびデータ暗号化キーを受信していない場合(S215:NO)、ステップS217において参照権が有効でない旨を認証装置31から受信したか否かを判断し、受信していない場合は(S217:NO)、ステップS215に戻り、受信した場合は(S217:YES)、ステップS218においてアクセス不可の旨をユーザ装置11に送信して、処理を終了する。
なお、好ましい実施形態では、データ装置21におけるデータまたはファイルへのアクセスに関連する事象をログとしてメモリ212に保存するようにすることによって、不正アクセスがあった場合などにも容易に履歴を参照することができる。
上記本発明の第2の実施形態にかかる情報管理システムにおいて、データ管理センター2のデータ管理装置21が管理する個別のデータベース(221,222,223,224,225)は、代表的には、個別暗号化キー方式の暗号化プログラムによって暗号化されている。ここで用いられる暗号化プログラム(暗号アルゴリズム)としては、例えば、MISTY1、MISTY2、IDEA、RC2等が用いられる。
個別暗号化キーの復号化キーはそれぞれのデータベースを作成する際にランダムに発生し、データ管理装置21のメモリ212に暗号化された状態で保持される。この復号化キーはさらに暗号化されており、その復号化キーは、ユーザにもデータベース作成者にも特定不可能である。本発明の第2の実施形態にかかる情報管理システムでは、このデータベース復号化キーの復号化キーは、ユーザ1によって管理される(ユーザ装置11に保存される)第1の復号化キーと、認証センター3によって管理される(認証装置31内に保持される)第2の復号化キーとから構成される。したがって、データベース22の復号化キーは、ユーザ1によって管理される上記第1の復号化キーと、認証センター3によって管理される上記第2の復号化キーとが揃ったときに初めて復号化することができる。
こうすることによって、第三者がデータセンター2のデータベース22に侵入したとしても、ユーザ装置11に保存された第1の復号化キーおよび認証装置31に保存された第2の復号化キーがない限り、暗号化されたそのデータを復号化することはできない。このようにして、本発明は、セキュリティのさらに一層向上した情報管理システムを提供する。
なお、上記本発明の情報管理システムにおいて、認証装置31、ユーザ装置(11,12,13)、およびデータ管理装置21の間で送受信されるアクセス許可証、キーおよびデータは、必ずしも暗号化される必要はない。したがって、上記各CPUの処理動作の説明において、認証装置31が該データの復号化キーをユーザ装置(11,12、13)に送信すること、および該データの暗号化キーをデータ管理装置21へ送信すること、ならびにデータ管理装置21においてデータを送信前に暗号化すること、およびユーザ装置(11,12、13)において暗号化されたデータを復号化することは、オプショナルである。しかしながら、インターネットを介して通信されるこれらのデータ、キー、およびアクセス許可証等は、セキュリティを考慮すれば暗号化されて送受信されることが好ましい。暗号化または復号化のためのキーおよびアクセス許可証は、好ましくは、公開キー方式で、データは共通キー方式でそれぞれ送受信されることが好ましい。ここで用いられる公開キー方式としては、公知の方式が挙げられ、例えば、RSA暗号方式、ElGamal暗号方式、Diffie−Hellman鍵配送方式、等が例示される(後述の文献等参照)。
また、好ましい態様では、認証センターが発行する暗号化キー及び復号化キー、ならびに/またはアクセス許可証を1回限定利用のワンタイムキーとすることにより、例えば、正規のユーザの端末の盗難等によって暗号化キーが盗まれたとしても、データセンターのデータベースを復号化することはできないし、また、ネットワーク上のデータを盗聴することもできないため、さらに安全性を向上することができる。
さらに、上記の例では、認証センター3からユーザへアクセス許可証およびデータの復号化キーが送信される態様を示したが、本発明の目的のためには、この態様に限定される必要はなく、例えば、データ復号化キー自体に有効期限を設定して発行する(データ復号化キーとアクセス許可証とを一体のものとする)ような態様としてもよい。
以上、図面を参照して、本発明の実施の形態を説明したが、本発明の範囲はこれらの実施形態に限定されるものではなく、請求の範囲に記載される本発明の範囲を超えない限度において、種々の変更が可能でありそれらは本発明の範囲に含まれる。
参考のために、暗号化に関する文献等を下記に記す。
1.J.Kelsey,B.Schneier,and D.Wagner,″Related−Key Crypta−nalysis of 3−WAY,Biham−DES,CAST,DES−X,NewDES,RC2,and TEA,″ICICS′97 Proceedings.
2.J.Kelsey,B.Schneier,and D.Wagner,″Key−Schedule Crypta−naiysis of 3−WAY,IDEA,G−DES,RC4,SAFER,and Triple−DES,″Advances in Cryptology−−CRYPTO′96 Proceedings.
3.池野信一・小山謙二:「現代暗号理論」第3章3.4電子情報通信学
会、1986.
4.B.Schneier,″Applide Cryptography 2nd edition″,John Wiley&Sons,1996.
5.J.J.Quisquater and C.Couvereur,″First Decipherment Algorithm for RSA Public Key Cryptosystem″,Electronic Letters,v.18,1982,pp155−168.
6.岡本栄司著:「暗号理論入門」、共立出版、1993.
7.岡本龍明、山本博資共著:「現代暗号」、産業図書、1997.
8.岡本龍明、太田和夫編:「暗号、ゼロ知識証明、数論」、共立出版、1995.
9.岡本達明、山本博資:「現代暗号」1997年、産業図書.
10.Alfred J.Menezes,Paul C.van Oorschot,Scott A.Vanstone:″Handbook of Applied Cryptography″,1997,CRC Press.
11.櫻井孝一監訳:「暗号理論の基礎」、1996年、共立出版.
12.池野信一、小山謙二:「現代暗号理論」、1986年、電子情報通信学会.
13.辻井重男:「暗号」、1996年、講談社選書メチエ.
14.電子情報通信学会:「『暗号アルゴリズムの設計と評価』ワークショップ講演論文集」、1996年、電子情報通信学会.
15.宮武修、脇本和昌:「乱数とモンテカルロ法」、1978年、森北出版.
16.白橋明弘:「PC環境におけるセキュリティ−電子メールを中心に−」/『Software Design』97年6月号,技術評論社.
17.今井秀樹:「暗号のおはなし」、1993年、財団法人日本規格協会.
18.菊池豊彦:「インターネット世紀のコンピュータネットワーク暗号システム」1995年、NECクリエイティブ.
本発明の暗号化通信方法、暗号化通信システム、およびこれらを利用した情報管理システムは、インターネットを介して秘密情報を送受信する場合に利用できる。特に、本発明の暗号化通信方法、暗号化通信システム、およびこれらを利用した情報管理システムは、例えば、患者と病院又は診断会社との間で送受信される疾病に関する情報、ユーザと銀行等の金融機関で送受信される自己の口座に関する情報、ユーザとクレジット会社との間で送受信されるカード使用情報、カード使用残高情報、ユーザと信用調査会社との間で送受信される各種信用情報等をインターネットを介して送受信する際に好適に用いることができる。
Claims (22)
- データセンターに配置された、電子的データを保存する暗号化されたデータベースと前記データベースの復号化キーを暗号化して保存し前記データベースへのアクセスを管理するデータ管理装置と、
ユーザのもとに配置された、インターネット回線を通じて前記データ管理装置と通信可能なユーザ装置と、
認証センターに配置された、前記データベースの復号化キーの復号化キーを保存し前記ユーザの前記データベースへのアクセス権を管理する、前記ユーザ装置および前記データ管理装置とインターネット回線を通じて通信可能な認証装置と、
を含み、前記ユーザが前記データセンターのデータを利用するためには、前記認証センターからの有効なアクセス許可証および前記データベースの復号化キーの復号化キーを必要とする情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースの前記データへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証を受信すると、前記アクセス許可証とともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から前記リクエストしたデータを受信し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無を確認し、前記アクセス許可証がある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの復号化キーを受信した場合には、前記データベースの復号化キーを復号化して用いて前記データベースを復号化し、前記リクエストされたデータを抽出して前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの復号化キーを前記データ管理装置へ送信する、
情報管理システム。 - 請求項1に記載の情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースのデータへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証および前記データの復号化キーを受信すると、前記アクセス許可証とともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から暗号化された前記リクエストしたデータを受信すると、前記データの復号化キーを用いて前記データを復号化し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無を確認し、前記アクセス許可証がある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの復号化キーおよび前記データの暗号化キーを受信した場合には、前記データベースの復号化キーを復号化して用いて前記データベースを復号化し、前記リクエストされたデータを抽出し、前記暗号化キーにより暗号化してから前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証および前記データの復号化キーを送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの復号化キーおよび前記データの暗号化キーを前記データ管理装置へ送信する、情報管理システム。 - 請求項1または2に記載の情報管理システムであって、
前記ユーザ装置はさらに、
(i)前記認証装置から前記データへのアクセス認証不可の旨を受信すると、アクセス認証不可の旨を前記ユーザ装置の出力装置により出力し、(ii)前記データ管理装置から前記データへのアクセス不可の旨を受信すると、アクセス不可の旨を前記ユーザ装置の前記出力装置により出力し、
前記データ管理装置はさらに、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無を確認し、前記アクセス許可証がない場合には、前記ユーザ装置へアクセス不可の旨を送信し、(ii)前記認証装置から前記アクセス許可証が有効でない旨を受信した場合には、前記ユーザ装置へアクセス不可の旨を送信し、
前記認証装置はさらに、
(i)前記ユーザ装置から前記データベースへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権が無い場合には、前記ユーザ装置へアクセス認証不可の旨を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効でない場合には、前記アクセス許可証が有効でない旨を前記データ管理装置へ送信する、
情報管理システム。 - 前記データベースおよび前記ユーザがそれぞれ複数存在し、各データベースが前記ユーザ毎に個別に割り当てられており、
前記データ管理装置は、各データベースを個別に暗号化して管理し、
前記認証装置は、各ユーザのデータへのアクセス権を各ユーザに割り当てられたデータベースに対応させて管理する、請求項1〜3のいずれかに記載の情報管理システム。 - 前記アクセス許可証の有効性が、前記アクセス許可証の発行時からの経過時間によって決定される、請求項1〜4のいずれかに記載の情報管理システム。
- 前記データベースの前記復号化キーが、前記データベースの作成時にランダムに発生し、前記データ管理装置内に暗号化されて保存され、前記データベースの前記復号化キーの復号化キーが、前記認証装置内に保存される、請求項1〜5のいずれかに記載の情報管理システム。
- 前記認証装置が送信する前記アクセス許可証、および前記データベースの復号化キーの復号化キーが、1回限定使用のものである、請求項1〜6のいずれかに記載のシステム。
- 前記認証装置が送信する前記データの暗号化キー、および前記データの復号化キーが、1回限定使用のものである、請求項2〜7のいずれかに記載のシステム。
- 前記ユーザ装置が、前記データのコピー、プリントアウトおよびハードコピーから選択される1以上の事象の記録を保存する、請求項1〜8のいずれかに記載の情報管理システム。
- 前記データ管理装置が、前記データへのアクセスに関する事象の記録を保存する、請求項1〜9のいずれかに記載の情報管理システム。
- 前記認証装置が、前記認証に関連する事象の記録を保存する、請求項1〜10のいずれかに記載のシステム。
- データセンターに配置された、電子的データを保存する暗号化されたデータベースと前記データベースの復号化キーを暗号化して保存し前記データベースへのアクセスを管理するデータ管理装置と、
ユーザのもとに配置された、前記データベースの復号化キーの第1の復号化キーを保存する、インターネット回線を通じて前記データ管理装置と通信可能なユーザ装置と、
認証センターに配置された、前記データベースの復号化キーの第2の復号化キーを保存し前記ユーザの前記データベースへのアクセス権を管理する、前記ユーザ装置および前記データ管理装置とインターネット回線を通じて通信可能な認証装置と、
を含み、前記ユーザが前記データセンターのデータを利用するためには、前記ユーザが保存する前記第1の復号化キーおよび前記認証センターが保存する前記第2の復号化キー、ならびに前記認証センターからの有効なアクセス許可証を必要とする情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースの前記データへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証を受信すると、前記アクセス許可証および前記第1の復号化キーとともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から前記リクエストしたデータを受信し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無および前記第1の復号化キーの有無を確認し、前記アクセス許可証および前記第1の復号化キーがある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの第2の復号化キーを受信した場合には、前記第1の復号化キーおよび前記第2の復号化キーを用いて前記データベースの復号化キーを復号化し、前記復号化した前記データベースの復号化キーを用いて前記データベースを復号化し、前記リクエストされたデータを抽出して前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの前記第2の復号化キーを前記データ管理装置へ送信する、
情報管理システム。 - 請求項12に記載の情報管理システムであって、
前記ユーザ装置は、
(i)前記ユーザの入力に従って、前記認証装置へ前記データベースのデータへのアクセス権の確認要求を送信し、前記認証装置から前記データへのアクセス許可証および前記データの復号化キーを受信すると、前記アクセス許可証および前記第1の復号化キーとともにデータ送信リクエストを前記データ管理装置へ送信し、(ii)前記データ管理装置から暗号化された前記リクエストしたデータを受信すると、前記データの前記復号化キーを用いて前記データを復号化し、
前記データ管理装置は、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無および前記第1の復号化キーの有無を確認し、前記アクセス許可証および前記第1の復号化キーがある場合には、前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、(ii)前記認証装置から前記データベースの復号化キーの第2の復号化キーおよび前記データの暗号化キーを受信した場合には、前記第1の復号化キーおよび前記第2の復号化キーを用いて前記データベースの復号化キーを復号化し、前記復号化した前記データベースの復号化キーを用いて前記データベースを復号化し、前記リクエストされたデータを抽出し、前記データの前記暗号化キーを用いて前記データを暗号化してから前記ユーザ装置へ送信し、
前記認証装置は、
(i)前記ユーザ装置から前記データベースのデータへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権がある場合には、前記ユーザ装置へ前記データへのアクセス許可証および前記データの復号化キーを送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効な場合には、前記データベースの復号化キーの前記第2の復号化キーおよび前記データの暗号化キーを前記データ管理装置へ送信する、情報管理システム。 - 請求項12または13に記載の情報管理システムであって、
前記ユーザ装置はさらに、
(i)前記認証装置から前記データへのアクセス認証不可の旨を受信すると、アクセス認証不可の旨を前記ユーザ装置の出力装置により出力し、(ii)前記データ管理装置から前記データへのアクセス不可の旨を受信すると、アクセス不可の旨を前記ユーザ装置の前記出力装置により出力し、
前記データ管理装置はさらに、
(i)前記ユーザ装置からのデータ送信リクエストを受信すると、前記アクセス許可証の有無および前記第1の復号化キーの有無を確認し、前記アクセス許可証または前記第1の復号化キーがない場合には、前記ユーザ装置へアクセス不可の旨を送信し、(ii)前記認証装置から前記アクセス許可証が有効でない旨を受信した場合には、前記ユーザ装置へアクセス不可の旨を送信し、
前記認証装置はさらに、
(i)前記ユーザ装置から前記データベースへのアクセス権の認証要求を受信した場合には、前記アクセス権の有無を判断して、アクセス権が無い場合には、前記ユーザ装置にアクセス認証不可の旨を送信し、(ii)前記データ管理装置から前記アクセス許可証の有効性の確認要求を受信した場合には、前記アクセス許可証の有効性を判断して、前記アクセス許可証が有効でない場合には、前記アクセス許可証が有効でない旨を前記データ管理装置へ送信する、
情報管理システム。 - 前記データベースおよび前記ユーザがそれぞれ複数存在し、各データベースが前記ユーザ毎に個別に割り当てられており、
前記データ管理装置は、各データベースを個別に暗号化して管理し、
前記認証装置は、各ユーザのデータへのアクセス権を各ユーザに割り当てられたデータベースに対応させて管理する、請求項12〜14のいずれかに記載の情報管理システム。 - 前記アクセス許可証の有効性が、前記アクセス許可証の発行時からの経過時間によって決定される、請求項12〜15のいずれかに記載の情報管理システム。
- 前記データベースの前記復号化キーが、前記データベースの作成時にランダムに発生し、前記データ管理装置内に暗号化されて保存され、前記データベースの前記復号化キーの前記第1の復号化キーが前記ユーザ装置内に保存され、前記第2の復号化キーが前記認証装置内に保存される、請求項12〜16のいずれかに記載の情報管理システム。
- 前記認証装置が送信する前記アクセス許可証、および前記データベースの復号化キーの復号化キーが、1回限定使用のものである、請求項12〜17のいずれかに記載のシステム。
- 前記認証装置が送信する前記データの暗号化キー、および前記データの復号化キーが、1回限定使用のものである、請求項13〜18のいずれかに記載のシステム。
- 前記ユーザ装置が、前記データのコピー、プリントアウト、およびハードコピーから選択される1以上の事象の記録を保存する、請求項12〜19のいずれかに記載の情報管理システム。
- 前記データ管理装置が、前記データへのアクセスに関する事象の記録を保存する、請求項12〜20のいずれかに記載の情報管理システム。
- 前記認証装置が、前記認証に関連する事象の記録を保存する、請求項12〜21のいずれかに記載のシステム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2006/311476 WO2007138716A1 (ja) | 2006-06-01 | 2006-06-01 | 暗号化通信方法及び暗号化通信システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JPWO2007138716A1 true JPWO2007138716A1 (ja) | 2009-10-01 |
Family
ID=38778246
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008517771A Withdrawn JPWO2007138716A1 (ja) | 2006-06-01 | 2006-06-01 | 暗号化通信方法及び暗号化通信システム |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP2031539A1 (ja) |
JP (1) | JPWO2007138716A1 (ja) |
WO (1) | WO2007138716A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5004896B2 (ja) * | 2008-07-31 | 2012-08-22 | 株式会社デジタル | 情報管理システム |
EP2784717A1 (en) * | 2012-10-17 | 2014-10-01 | Box, Inc. | Remote key management in a cloud-based environment |
KR101996579B1 (ko) * | 2017-04-11 | 2019-07-04 | 주식회사 한류에이아이센터 | 외부 저장 장치에 저장되는 파일을 안전하게 공유하는 보안 브로커 시스템 및 그 방법 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4206529B2 (ja) * | 1998-09-17 | 2009-01-14 | ソニー株式会社 | コンテンツ管理方法及びコンテンツ記憶システム |
JP2001256193A (ja) * | 2000-03-13 | 2001-09-21 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ流通管理方法および装置とコンテンツ流通管理プログラムを記録した記録媒体 |
JP2002237809A (ja) * | 2001-02-09 | 2002-08-23 | Nippon Telegraph & Telephone East Corp | 著作物配信システム、著作物配信方法および著作物配信プログラム |
-
2006
- 2006-06-01 WO PCT/JP2006/311476 patent/WO2007138716A1/ja active Application Filing
- 2006-06-01 JP JP2008517771A patent/JPWO2007138716A1/ja not_active Withdrawn
- 2006-06-01 EP EP06747236A patent/EP2031539A1/en not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
EP2031539A1 (en) | 2009-03-04 |
WO2007138716A1 (ja) | 2007-12-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102782694B (zh) | 用于数据安全的设备、方法和系统 | |
JP3656688B2 (ja) | 暗号データ回復方法及び鍵登録システム | |
US8826019B2 (en) | Centralized authentication system with safe private data storage and method | |
KR100406754B1 (ko) | 피케이아이 기반의 상업용 키위탁 방법 및 시스템 | |
CN1307819C (zh) | 安全分配公开/秘密密钥对的方法和装置 | |
EP1786138A1 (en) | Secure customer communication method and system | |
US20120066517A1 (en) | Dispersed secure data storage and retrieval | |
US20120066756A1 (en) | Authentication service | |
RU2584500C2 (ru) | Криптографический способ аутентификации и идентификации с шифрованием в реальном времени | |
US20120066752A1 (en) | Single token authentication | |
TWI435272B (zh) | 基於行動智慧卡之鑑認 | |
CN1954308A (zh) | 安全信息传输的系统和方法 | |
JP2000357156A (ja) | 認証シード配布のためのシステムおよび方法 | |
TW201223225A (en) | Method for personal identity authentication utilizing a personal cryptographic device | |
CN1319024C (zh) | 电子信息处理方法 | |
JPWO2007138716A1 (ja) | 暗号化通信方法及び暗号化通信システム | |
JPH1032568A (ja) | 暗号化伝送方法 | |
JP2008011092A (ja) | 暗号化コンテンツ検索方式 | |
JP2008502045A5 (ja) | ||
JP3984570B2 (ja) | 署名/検証システムにおける鍵管理サーバおよび検証装置を制御するプログラム | |
JP3784055B2 (ja) | リストマッチング方法、ネットワークシステム、そのサーバ及び情報端末 | |
US8543815B2 (en) | Authentication method and related devices | |
JP4140617B2 (ja) | 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法 | |
JP3497936B2 (ja) | 個人認証方法 | |
CN112257084A (zh) | 基于区块链的个人信息存储与监控方法、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20090916 |