コンテンツ保護システム,コンテンツ保護用デバイスおよびコンテンツ保護方法
【課題】センシング情報を活用して情報端末に蓄積されたコンテンツの漏洩を防止し,コンテンツの有効な保護を図る。
【解決手段】暗号化コンテンツを保持する情報端末10に接続される着脱式デバイス20に,識別情報と位置情報とを内部で暗号化する手段を設ける。情報端末10は,着脱式デバイス20から識別情報と位置情報を暗号化した情報を受け取り,その情報を管理サーバ30に送信して暗号化コンテンツの復号に必要な鍵を要求する。管理サーバ30では,鍵取得要求の暗号化情報を復号し,復号した位置情報が予め定められた復号可否条件を満足するかどうかをポリシ決定部33によって判定し,復号可否条件を満足する場合に,情報端末10の暗号化コンテンツの復号に必要な鍵を情報端末10に送信する。
【解決手段】暗号化コンテンツを保持する情報端末10に接続される着脱式デバイス20に,識別情報と位置情報とを内部で暗号化する手段を設ける。情報端末10は,着脱式デバイス20から識別情報と位置情報を暗号化した情報を受け取り,その情報を管理サーバ30に送信して暗号化コンテンツの復号に必要な鍵を要求する。管理サーバ30では,鍵取得要求の暗号化情報を復号し,復号した位置情報が予め定められた復号可否条件を満足するかどうかをポリシ決定部33によって判定し,復号可否条件を満足する場合に,情報端末10の暗号化コンテンツの復号に必要な鍵を情報端末10に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は,センシング情報を利用したコンテンツの保護技術に関し,特にサーバがパーソナルコンピュータなどの情報端末の位置情報に基づいて,その情報端末における暗号化コンテンツの復号の可否を決定できるようにしたコンテンツ保護のための技術に関するものである。
【背景技術】
【0002】
パーソナルコンピュータ(PC)などの情報端末のコンテンツを保護する方式として,従来,コンテンツを暗号化して保護することや,シンクライアント方式のように情報端末側にコンテンツを蓄積しないことによって,情報端末からのコンテンツの漏洩を防止し保護する方式が一般的に用いられている。コンテンツを暗号化する場合には,どのタイミングでコンテンツを復号するかによって,そのコンテンツをどのような脅威から守るかが異なってくる。
【0003】
例えば,情報端末へのログイン時(例えばWindows(登録商標)のログオン)にユーザID/パスワードの認証でコンテンツのアクセスを許可する方式は,情報端末の紛失時の第三者へのコンテンツ漏洩の脅威に対処する場合に用いられている。コンテンツ視聴時に視聴用の鍵を配布する方式は,コンテンツの著作権を守るために行われる。また,Trusted Network Connect (TNC)のように,情報端末の状態をチェックした後にネットワーク接続を許可する方式と連携する方式は,PC上のマルウェアによる情報漏洩の脅威に対処する場合に用いられている。
【0004】
位置情報を用いたセキュリティ技術としては,例えば特許文献1,特許文献2等に記載されたものが知られている。
【0005】
特許文献1に記載されたファイルのセキュリティ管理プログラム及びファイルのセキュリティ管理装置では,指定した場所以外ではファイルを開くことができないようにするため,位置情報を暗号鍵としてデータを暗号化する。ファイルは,位置情報を鍵に暗号化されているので,その位置に行かないと復号できない。
【0006】
また,特許文献2に記載されたセキュリティ強化システムは,不正な利用者による「なり済まし」の危険性を排除して,安全でない通信を利用する場合においてもセキュリティ機能を強化することを目的として,利用者認証を補完するために位置情報を利用する。
【特許文献1】特開2004−302930号公報
【特許文献2】特開平10−56449号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
情報端末に蓄積されたコンテンツの漏洩を防止し保護するために,情報端末にコンテンツを蓄積しないシンクライアント方式がある。この方式では,コンテンツは常にサーバ側にあるために,情報端末を紛失した場合でもコンテンツが漏洩する危険性はない。しかし,情報端末は,コンテンツを利用する場合に常にサーバにアクセスする必要があるために,ローカル作業ができないという問題,情報端末の数に比例してサーバ負荷が増大するという問題,負荷が大きいときや通信速度が小さいときにはレスポンスが低下するという問題がある。
【0008】
また,放送や映画コンテンツ等のデジタル・コンテンツの著作権管理システム(DRM:Digital Right Management)では,視聴時のみにコンテンツを復号し,必要であれば課金,コピー制限をするという比較的単純なポリシによるコンテンツの保護が考えられている。ユーザ側から見ればコンテンツの配布などは制限されるが,著作権という観点からは比較的納得できるものである。
【0009】
しかし,一般の情報端末のコンテンツ(例えば仕事などで社員が作成したコンテンツ)を保護するために,このDRMの仕組みをそのまま適用したのでは,コンテンツの利用方法の違いからユーザビリティの悪い,もしくは管理が非常に難しいものになってしまう。すなわち,社員が仕事用に作成したコンテンツは,特定の人または特定のグループには見せたいケースもあるし,メールを使って自由に配布したいケースもある。もちろん,社外秘である場合には社外の第三者に対しては,閲覧を禁止する必要がある。このように,コンテンツ保護のポリシは,コンテンツの種類,所有者などによってさまざまであり,単純に放送コンテンツで適用されたDRMの仕組みを利用できないのが現状である。
【0010】
情報端末が保持するコンテンツを,単にIDやパスワードだけをもとに保護する場合には,高度なセキュリティの実現が難しい。情報端末の位置情報をコンテンツの保護に利用することができれば,利用者にあまり負担をかけずに,従来よりも厚いコンテンツ保護のポリシを採用することができると考えられる。
【0011】
位置情報をセキュリティに利用する技術としては,例えば特許文献1や特許文献2に記載された技術があるが,特許文献1に記載されている技術では,復号可能エリアの位置情報から導き出される鍵を用いてコンテンツを暗号化し,その復号可能エリア内でだけコンテンツを復号できるようにしているため,一度,位置情報を含む鍵で暗号化されたコンテンツは,その位置に行かないと利用することができないという問題がある。すなわち,コンテンツをどの場所で復号可能にするかというポリシを,コンテンツに依存させないで決定することができない。
【0012】
また,特許文献2に記載された技術では,端末位置情報により利用者認証を補完することを行っているが,コンテンツ自体の保護については考えられていない。
【0013】
本発明は上記問題点の解決を図り,情報端末に蓄積されたコンテンツの漏洩をセンシング情報を活用して保護することにより,利用者に使いやすく,かつコンテンツ保護のポリシを,コンテンツに依存させることなく決定することができるようにすることを目的とする。
【課題を解決するための手段】
【0014】
本発明は,上記の課題を解決し,ユーザの操作性を損なうことなく情報漏洩を防止するために,センシング情報を利用する。センシング情報としては,位置情報を利用する。情報端末内のコンテンツは,ファイル単位で暗号化されている。または,蓄積装置全体が暗号化されるようになっていてもよい。
【0015】
情報端末内の暗号化コンテンツの復号に必要な鍵は,管理サーバが保持する。また,管理サーバは,情報端末がどのような位置に存在するか,移動中であるかどうかなどの位置情報に基づく各種のポリシによる情報端末ごとの復号可否条件を管理する。
【0016】
情報端末が暗号化コンテンツを復号して参照する場合には,USB等による着脱式デバイスから識別情報と位置情報とを暗号化した情報を受け取り,それを管理サーバに送信して鍵取得要求を行う。着脱式デバイスには,位置センサーと暗号処理手段が組み込まれており,情報端末からの要求により,位置センサーによって検出した位置情報と識別情報とを内蔵する鍵によって暗号化し,情報端末に通知する。識別情報は,利用者または情報端末のIDであり,着脱式デバイスの記憶手段に格納されているか,または情報端末から入力される。
【0017】
管理サーバは,情報端末からの鍵取得要求があると,情報端末から受け取った暗号化情報を復号し,位置情報と識別情報とから,予め登録された復号可否条件が満たされるかどうかをチェックし,復号可否条件が満たされる場合に,情報端末内の暗号化コンテンツの復号に必要な鍵を情報端末に送信する。
【0018】
これにより,情報端末が特定の位置にある場合にのみ暗号化コンテンツを復号するための鍵を管理サーバから取得でき,暗号化されたコンテンツを復号して参照できるようになる。本システムの利用者は,情報端末を利用できる領域を予め管理サーバに登録しておけば,その領域では通常と同じように情報端末を利用することができる。情報端末が盗難されたとしても,位置が一致しないのでコンテンツは復号されない。移動中にも情報端末を操作したいのであれば,移動区間を復号可能領域として予め管理サーバに登録する。移動区間中に情報端末を置き忘れたとしても,その領域から外れた瞬間にコンテンツは扱えなくなる。
【0019】
このように,予め自分の行動やコンテンツをアクセスする人の状況(特に位置情報)を指定しておくだけで,コンテンツを保護することができ,また,その位置情報を復号可否条件としてどう扱うかについてのポリシを,自由に決定することができる。
【発明の効果】
【0020】
本発明は,ユーザの操作性を損なうことなく,センシング情報を活用して情報端末に蓄積されたコンテンツの漏洩を防止し,有効に保護することができる。
【発明を実施するための最良の形態】
【0021】
以下,本発明の実施の形態について,図を用いて説明する。
【0022】
図1は,本発明のシステム構成例を示す図である。図1において,情報端末10は,パーソナルコンピュータ(PC)などの装置であり,コンテンツを復号するための鍵を管理する管理サーバ30にネットワーク40を介して接続される。情報端末10には,USBなどのインタフェースにより着脱式デバイス20が接続され,この着脱式デバイス20は,情報端末10への抜き差しが可能になっている。
【0023】
情報端末10は,暗号化された映像,画像,音声,プログラムその他のデータのファイルである暗号化コンテンツを記憶する暗号化コンテンツ記憶部13を備える。また,情報端末10は,ネットワーク40を介して通信を行うためのネットワークアダプタ等による通信制御部11と,着脱式デバイス20から暗号化情報を取得し,暗号化コンテンツ記憶部13に記憶される暗号化コンテンツの復号鍵またはその復号鍵を復号するための復号鍵を管理サーバ30に要求する暗号化情報取得部12と,暗号化コンテンツ記憶部13に記憶される暗号化コンテンツを,情報端末10で動作するプログラムに利用させるためのファイルシステム14とを備える。ファイルシステム14は,管理サーバ30から受信した復号鍵を利用して暗号化コンテンツ記憶部13に記憶される暗号化コンテンツを復号する復号処理部15を備えている。
【0024】
着脱式デバイス20は,PIN等の識別情報を情報端末10から入力する識別情報入力部21と,GPS(Global Positioning System )または特定の位置を検出する機能を持つ無線タグなどを利用した位置検出部22と,予め設定された暗号鍵を記憶する暗号鍵記憶部23と,識別情報入力部21が入力した識別情報と位置検出部22が検出した位置情報とを,暗号鍵記憶部23が記憶する暗号鍵を用いて暗号化する暗号処理部24を備える。さらに着脱式デバイス20内に時計25を設けて,時計25から得られた現在の時刻を暗号処理部24によって暗号化する構成にすることもできる。暗号処理部24によって暗号化された情報は,デバイスインタフェースを介して情報端末10の暗号化情報取得部12に渡される。
【0025】
なお,この例では,識別情報入力部21が識別情報を情報端末10から入力するものとしているが,情報端末10から入力するのではなく,予め設定された識別情報を着脱式デバイス20内の耐タンパ領域に保持しておき,それを利用するような本発明の実施も可能である。なお,耐タンパ領域は,着脱式デバイス20内のマイクロプロセッサだけが情報にアクセスできる領域であり,外部からは直接的に情報の参照・更新が不可能になっている領域である。
【0026】
管理サーバ30は,ネットワークアダプタ等によって構成される通信制御部31と,情報端末10の暗号化情報取得部12から送られてきた暗号化情報を,暗号鍵記憶部23に記憶されている暗号鍵に対応する復号鍵によって復号する復号処理部32と,復号処理部32によって復号された位置情報と識別情報,またはさらに時刻を用いて,暗号化コンテンツを復号するための鍵を情報端末10に送信してよいか否かを決定するポリシ決定部33と,ポリシ決定部33が復号鍵の送信可否,すなわち暗号化コンテンツの復号可否を決定するための条件(以下,これを復号可否条件という)を記憶する復号可否条件記憶部34と,情報端末10が暗号化コンテンツを復号するための鍵情報を管理し,ポリシ決定部33が復号可と決定した場合に,その鍵情報を情報端末10に送信する鍵管理部35とを備える。
【0027】
図2は,情報端末10の暗号化コンテンツ記憶部13に記憶される暗号化コンテンツの例を示している。
【0028】
情報端末10に蓄積される暗号化されたファイルの形式は,本実施の形態では,図2に示すようになっている。各ファイルは,異なる暗号鍵で暗号化されている。この例では,ファイルA(130A)は鍵Aで暗号化され,ファイルB(130B)は鍵Bで暗号化されている。さらに,各鍵は,各ファイルA,Bのメタ情報131A,131Bとして暗号化されて保存されている。ファイルAを復号するためには,まずメタ情報131Aにある公開鍵Pubで暗号化された鍵Aを,公開鍵Pubと対の秘密鍵(Pri)で復号し,復号された鍵Aを使って暗号化されたファイルAを復号することになる。この公開鍵Pubと対の秘密鍵(Pri)は,詳しくは後述するように,管理サーバ30から取得する。
【0029】
図3は,情報端末10における暗号化コンテンツの利用形態の例を示す。この図では,情報端末10内のモジュール構成と,メーラ16が復号されたファイルAを閲覧するまでの流れを示している。まず,メーラ16は,ファイルAを閲覧するためにファイルシステム14にファイルAの取得を要求する(P1)。ファイルシステム14は,ファイルのメタ情報からそのファイルが復号されていることを知る。そのために,メタ情報に保存されている暗号化された鍵Aを取り出し,制御アプリケーション17に鍵Aの復号を依頼する(P2)。制御アプリケーション17は,管理サーバ30から取得した秘密鍵Priを用いて鍵Aを復号し,ファイルシステム14に返信する(P3)。ファイルシステム14は,暗号化コンテンツ記憶部13から暗号化されたファイルAを読み出し(P4),その読み出したファイルAを復号して(P5),メーラ16に渡す(P6)。
【0030】
図4は,システム全体の処理シーケンスの例を示している。以下,図4に示す(a)〜(m)に従って,情報端末10が管理サーバ30から復号鍵(秘密鍵Pri)を取得する処理のシーケンスを説明する。なお,着脱式デバイス20は,識別情報入力部21や暗号処理部24を実現するためのマイクロプロセッサ(MPU)200と,暗号鍵記憶部23に相当する記憶手段である耐タンパ領域230と,位置検出部22に相当するGPS等による位置センサー220を備えている。
【0031】
また,着脱式デバイス20の耐タンパ領域230には,利用者を認証するためのPIN(Personal Identification Number)と,暗号化コンテンツを利用する利用者の識別情報(ここでは個人IDという)と,管理サーバ30が保持する秘密鍵と同じ秘密鍵が予め格納されている。この例では,管理サーバ30と着脱式デバイス20とが同じ共有秘密鍵を保持しているものとするが,共有秘密鍵ではなく,例えば管理サーバ30には秘密鍵を保持させ,着脱式デバイス20にはその秘密鍵と対になる公開鍵を保持させておくような実施も可能である。
【0032】
(a)情報端末10は,利用者から個人認証用のPINを入力し,着脱式デバイス20にPINを指定して暗号化情報を要求する。
【0033】
(b)マイクロプロセッサ200は,指定されたPINと耐タンパ領域230に格納されているPINとを照合し,一致しない場合には,情報端末10にエラーを通知する。一致した場合には,以下の暗号化処理に移る。
【0034】
(c)マイクロプロセッサ200は,耐タンパ領域230から個人IDと共有秘密鍵とを取得する。
【0035】
(d)次に,マイクロプロセッサ200は,位置センサー220から現在の位置情報を取得する。
【0036】
(e)マイクロプロセッサ200は,位置情報と個人IDとを,耐タンパ領域230から取得した秘密鍵で暗号化し,情報端末10へ通知する。また,着脱式デバイス20に一意に付与されたID(以下,USB−IDという)を情報端末10へ通知する。
【0037】
(f)情報端末10は,着脱式デバイス20から受け取ったUSB−IDと,暗号化された位置情報と個人IDとを管理サーバ30へ送信し,復号鍵を要求する。
【0038】
(g)管理サーバ30は,情報端末10から受信した位置情報と個人IDの暗号化情報を,指定されたUSB−IDに対応して予め登録されている共有秘密鍵で復号する。復号した結果の位置情報と個人IDをもとに,予め管理サーバ30に設定された復号可否決定のポリシに従って,復号可否条件を判定し,復号可の状態を検証する。
【0039】
(h)復号可の場合,管理サーバ30は,情報端末10に対し,コンテンツ復号鍵を復号する鍵(秘密鍵Pri)を送信する。
【0040】
(i)〜(k)着脱式デバイス20は,定期的に位置センサー220から位置情報を取得し,それと個人IDとを共有秘密鍵で暗号化し,情報端末10はその暗号化情報とUSB−IDとを管理サーバ30へ送信する処理を繰り返す。
【0041】
(l)〜(m)管理サーバ30では,定期的に送られてくる暗号化情報を共有秘密鍵で復号して復号可否条件を検証する処理を繰り返し,もし復号可否条件の判定結果が「復号不可」となった場合には,情報端末10に復号禁止命令を送信する。情報端末10では,復号禁止命令の受信により,以降の暗号化コンテンツの復号は禁止される。
【0042】
以上の例では,着脱式デバイス20が,入力されたPINと内部のPINとを照合して,内部に記憶している個人IDを位置情報とともに暗号化するものとしたが,入力されたPINを個人IDとして用いて,それを位置情報とともに暗号化するような実施も可能である。後述する他の実施例も同様である。
【0043】
図5は,管理サーバ30における処理フローの一例を示す。以下では,管理サーバ30のポリシ決定部33が,情報端末10が特定範囲以上移動していない場合に復号可という復号可否条件のポリシに従って,復号可否を決定する場合の処理の流れを説明する。
【0044】
管理サーバ30は,情報端末10からの鍵要求の受信を待ち(ステップS10),情報端末10から鍵を要求する暗号化情報とUSB−IDが送られてきたならば,その情報を受信する(ステップS11)。情報端末10から受信した暗号化された情報を,予めUSB−IDごとに登録されている共有秘密鍵で復号する(ステップS12)。次に,既に蓄積された位置情報があるかどうかを判定し(ステップS13),最初の位置情報の受信である場合には,蓄積された位置情報がないので,ステップS14に進み,位置情報を蓄積した後,ステップS10へ戻って,次の情報端末10からの受信を待つ。
【0045】
情報端末10から位置情報を2回以上受信した場合には,蓄積された位置情報があるために,蓄積された位置情報と今回受信した位置情報とを比較し,移動距離を計算する(ステップS15)。移動距離が予め管理サーバ30に設定された特定範囲以上でなければ,復号可と判断して,ステップS17に進み,情報端末10に暗号化コンテンツの復号鍵を復号するための秘密鍵を送信する。移動距離が特定範囲以上であれば,復号不可と判断し,ステップS18に進み,情報端末10にコンテンツの復号禁止命令を送信する。情報端末10では,コンテンツの復号禁止命令を受信することにより,図3に示す制御アプリケーション17が,以降のファイルシステム14の鍵の復号要求を拒否するようになる。
【0046】
本実施の形態では,情報端末10に接続される着脱式デバイス20中の位置検出部22でセンシングされた位置情報を定期的に管理サーバ30に送信することにより,移動時の情報閲覧を禁止することができる。
【0047】
また,位置検出部22によってセンシングした位置情報を暗号処理部24により暗号化することにより,識別情報とともに位置情報が偽装されることを防止することができる。さらに,着脱式デバイス20にこの機能を持たせ,情報端末10と分離することにより,着脱式デバイス20と情報端末10が存在しないと暗号化コンテンツを復号することができず,より安全なコンテンツの保護が実現される。
【0048】
次に,位置情報の他に,時刻の情報も利用したポリシによって復号可否を決定する実施の形態について説明する。図6は,復号可否の決定ポリシとして時刻を用いる場合のシステム全体の処理シーケンスの例を示している。以下,図4に示す(a)〜(j)に従って,情報端末10が管理サーバ30から復号鍵(秘密鍵Pri)を取得する処理のシーケンスを説明する。なお,着脱式デバイス20は,識別情報入力部21や暗号処理部24を実現するためのマイクロプロセッサ(MPU)200と,暗号鍵記憶部23に相当する記憶手段である耐タンパ領域230と,位置検出部22に相当するGPS等による位置センサー220の他に,時計25を備えている。
【0049】
(a)情報端末10は,利用者から個人認証用のPIN(Personal Identification Number)を入力し,着脱式デバイス20にPINを指定して暗号化情報を要求する。
【0050】
(b)マイクロプロセッサ200は,指定されたPINと耐タンパ領域230に格納されているPINとを照合し,一致しない場合には,情報端末10にエラーを通知する。一致した場合には,以下の暗号化処理に移る。
【0051】
(c)マイクロプロセッサ200は,耐タンパ領域230から個人IDと共有秘密鍵とを取得する。
【0052】
(d)次に,マイクロプロセッサ200は,位置センサー220から現在の位置情報を取得する。
【0053】
(e)また,マイクロプロセッサ200は,時計25から現在の時刻を取得する。
【0054】
(f)マイクロプロセッサ200は,位置情報と時刻と個人IDとを,耐タンパ領域230から取得した秘密鍵で暗号化し,USB−IDとともに情報端末10へ通知する。
【0055】
(g)情報端末10は,着脱式デバイス20からUSB−IDと,暗号化された位置情報と時刻と個人IDとを管理サーバ30へ送信し,復号鍵を要求する。
【0056】
(h)管理サーバ30は,情報端末10から受信した位置情報と時刻と個人IDの暗号化情報を,指定されたUSB−IDに対応する共有秘密鍵で復号する。復号した結果の位置情報と時刻と個人IDとをもとに,予め管理サーバ30に設定された復号可否決定のポリシに従って,復号可否条件を判定し,復号可の状態を検証する。
【0057】
(i)復号可の場合,管理サーバ30は,情報端末10に対し,コンテンツ復号鍵を復号する鍵(秘密鍵Pri)を送信する。
【0058】
(j)〜(k)予め設定された復号可否決定のポリシに応じて,受信した暗号化情報に含まれていた時刻が現在の時刻より一定時間以上経過している場合,復号不可と判断し,情報端末10に復号禁止命令を送信する。情報端末10では,復号禁止命令の受信により,以降の暗号化コンテンツの復号は禁止される。
【0059】
図7は,管理サーバ30における時刻を利用する場合の処理フローの一例を示す。以下では,管理サーバ30のポリシ決定部33が,情報端末10から送られてくる時刻が一定時間内のときだけ復号可という復号可否条件のポリシに従って,復号可否を決定する場合の処理の流れを説明する。
【0060】
管理サーバ30は,情報端末10からの鍵要求の受信を待ち(ステップS20),情報端末10から鍵を要求する暗号化情報が送られてきたならば,その暗号化された情報を受信する(ステップS21)。情報端末10から受信した暗号化された情報を,情報端末10から受信したUSB−IDに対応する予め設定された共有秘密鍵で復号する(ステップS22)。次に,復号した情報に含まれる時刻を記憶する(ステップS23)。
【0061】
予め管理サーバ30に設定された位置情報に関する復号可否の決定ポリシに従って,位置情報の復号可否条件を判定し(ステップS24),復号不可の場合にはステップS29へ進む。位置情報に関して復号可である場合には,次に時刻の復号可否条件を判定し(ステップS25),受信した時刻が既に一定時間が経過している場合には,復号不可と判断してステップS29へ進む。
【0062】
位置情報および時刻の復号可否条件が復号可の場合には,情報端末10に暗号化コンテンツの復号鍵を復号するための秘密鍵を送信する(ステップS26)。その後,一定時間が経過するのを待ち(ステップS27),一定時間が経過したならば,情報端末10に復号禁止命令を送信する(ステップS28)。なお,このステップS27,S28を省略し,情報端末10に復号禁止命令を送信しないようなポリシに従って処理する構成を採用することもできる。
【0063】
ステップS24またはS25において,位置情報または時刻が復号可否条件を満足しなかった場合には,ステップS29により情報端末10へ復号不可の理由を示す情報を送信し,暗号化コンテンツの復号を禁止する。
【0064】
本実施の形態によれば,情報端末10から暗号化された位置情報の送信に加えて,暗号化された時刻も送信するので,管理サーバ30側で実際の時刻と比較することにより,送信したパケットを再利用する危険を防止できる。すなわち,過去に情報端末10から管理サーバ30に送った復号要求のパケットをそのままコピーして他の情報処理装置が用いても,時刻が古く,一定時間が経過していることになるので,復号は許可されない。
【0065】
次に,本システムにおいて,予め決められたグループの情報端末10がすべて管理サーバ30に接続してきたときに,または,予め決められたグループ内の情報端末10の接続数が一定数以上になったときに,ポリシ決定部33がコンテンツ復号鍵の配布を許可する実施の形態について説明する。以下の例で説明する情報端末IDは,情報端末10を一意に識別する識別情報であり,図4に示す個人IDと同じ識別情報でもよい。
【0066】
図8に,管理サーバ30が管理する情報の例を示す。本実施の形態では,管理サーバ30は,情報端末10のグループ情報と各情報端末10の接続状況の情報と位置情報とを保持する状態テーブル341を,復号可否条件記憶部34内に保持する。また,予め任意に設定された各グループごとのグループ位置制限情報342を保持する。
【0067】
この例では,状態テーブル341において,情報端末IDが1001,1011,1015,1102の情報端末10が一つのグループ(グループID=G1)として定義されている。グループ位置制限情報342としては,この例では,グループG1に所属する情報端末10が復号鍵の配布を受けるためには,東京都内,横浜市内,○○工場内というように,ある定められた特定の範囲内の位置になければならないという位置の範囲の条件が登録され,またグループG2に所属する情報端末10が復号鍵の配布を受けるためには,半径100mの範囲内というような距離の範囲の条件が登録されている。また,グループ内のすべての情報端末10が接続した場合にだけ復号可否条件が満たされるのか,グループ内のある一定数以上の情報端末10が接続し,それが位置の範囲の条件や距離の範囲の条件を満たせば,復号可否条件が満たされるとするのかなどの情報を,予め設定しておくこともできる。
【0068】
鍵管理部35が管理する鍵管理テーブル351は,USB−IDと,各情報端末ID(または個人ID)に対応して,秘密鍵を記憶しているが,これは他の実施の形態も同様である。なお,USB−IDは,管理サーバ30において情報端末10から送られてきた暗号化情報を復号する秘密鍵を特定するために用いられるIDであり,他の方法により秘密鍵を特定することができるならば,必ずしも着脱式デバイス20に固有のUSB−IDを用いなくてもよい。
【0069】
図8に示す状態テーブル341では,情報端末10が管理サーバ30に接続している場合には,その情報端末10の接続状況として“○”が表示され,その位置情報についても格納されるようになっている。この位置情報は経度・緯度のような座標値でも,また座標値を地区名や地域名に変換したような情報でもよい。情報端末10が管理サーバ30に接続されていない場合には,その情報端末10の接続状況は“×”となっている。
【0070】
図9に,本実施の形態による管理サーバ30における処理フローの一例を示す。以下では,管理サーバ30のポリシ決定部33が,情報端末10から鍵取得要求を受け取ったときに,状態テーブル341を参照してグループのメンバー全員が接続しているかどうかを確認し,全員が接続し,かつ所定の位置の範囲内にいる場合にのみ復号鍵を送るという復号可否条件のポリシに従って処理する場合の例を説明する。
【0071】
情報端末10からの鍵要求の受信を待ち(ステップS30),情報端末10(例えば情報端末ID=1001)から鍵を要求する暗号化情報が送られてきたならば,その鍵取得要求の暗号化情報を受信する(ステップS31)。情報端末10から受信した暗号化された情報を,情報端末10から受信したUSB−IDに対応する予め設定された共有秘密鍵で復号する(ステップS32)。
【0072】
次に,状態テーブル341を参照し,鍵取得要求を出した情報端末10が属するグループ全員が接続状態にあるかを確認する(ステップS33)。まだ接続していないグループのメンバーがある場合には,ステップS34へ進む。ステップS34では,状態テーブル341において,鍵取得要求を出した情報端末10の接続状況を接続状態にするとともに,その位置情報を書き込み,その情報端末10には,まだグループメンバーがそろっていないので鍵を送信できない旨を通知する。その後にステップS30へ戻り,他の情報端末10からの受信を待つ。
【0073】
ステップS33において,グループ全員が接続状態にあることを確認した場合には,次に,状態テーブル341における位置情報を参照し,すべてのメンバーが許可された位置にいるかを確認する(ステップS35)。許可された位置にいないメンバーがいる場合には,まだグループメンバーが許可された位置にいないために鍵を送信できない旨を通知し(ステップS36),その後にステップS30へ戻り,他の情報端末10からの受信を待つ。
【0074】
ステップS35において,すべてのメンバーが許可された位置にいるかを確認した場合には,グループの全メンバーにそれぞれ暗号化コンテンツの暗号化された復号鍵を復号するための鍵を配信する(ステップS37)。
【0075】
このように,状態テーブル341にグループで許可できる位置情報,または,情報端末10の距離の制限を追加し,これによって各情報端末10が接続し,かつ,近傍にいるときにだけコンテンツを復号するための鍵を情報端末10に配信するようにする。これにより,各情報端末10が管理サーバ30と接続していること,さらに,近傍にいるときにのみコンテンツを復号できるような状態を実現することができる。
【0076】
このように,特定グループが特定の位置に集まって管理サーバ30に接続したときにだけ,暗号化コンテンツを復号できるようになるために,コンテンツの復号の条件を厳しくすることができ,安全性を増すことができる。
【0077】
以上の情報端末10および管理サーバ30が実行する処理は,コンピュータとソフトウェアプログラムとによって実現することができ,そのプログラムをコンピュータ読み取り可能な記録媒体に記録して提供することも,ネットワークを通して提供することも可能である。
【図面の簡単な説明】
【0078】
【図1】本発明のシステム構成例を示す図である。
【図2】暗号化コンテンツ記憶部に記憶される暗号化コンテンツの例を示す図である。
【図3】情報端末における暗号化コンテンツの利用形態の例を示す図である。
【図4】システム全体の処理シーケンスの例を示す図である。
【図5】管理サーバにおける処理フローの一例を示す図である。
【図6】システム全体の他の処理シーケンスの例を示す図である。
【図7】管理サーバにおける処理フローの一例を示す図である。
【図8】管理サーバが管理する情報の例を示す図である。
【図9】管理サーバにおける処理フローの一例を示す図である。
【符号の説明】
【0079】
10 情報端末
11 通信制御部
12 暗号化情報取得部
13 暗号化コンテンツ記憶部
14 ファイルシステム
15 復号処理部
20 着脱式デバイス
21 識別情報入力部
22 位置検出部
23 暗号鍵記憶部
24 暗号処理部
25 時計
30 管理サーバ
31 通信制御部
32 復号処理部
33 ポリシ決定部
34 復号可否条件記憶部
35 鍵管理部
40 ネットワーク
【技術分野】
【0001】
本発明は,センシング情報を利用したコンテンツの保護技術に関し,特にサーバがパーソナルコンピュータなどの情報端末の位置情報に基づいて,その情報端末における暗号化コンテンツの復号の可否を決定できるようにしたコンテンツ保護のための技術に関するものである。
【背景技術】
【0002】
パーソナルコンピュータ(PC)などの情報端末のコンテンツを保護する方式として,従来,コンテンツを暗号化して保護することや,シンクライアント方式のように情報端末側にコンテンツを蓄積しないことによって,情報端末からのコンテンツの漏洩を防止し保護する方式が一般的に用いられている。コンテンツを暗号化する場合には,どのタイミングでコンテンツを復号するかによって,そのコンテンツをどのような脅威から守るかが異なってくる。
【0003】
例えば,情報端末へのログイン時(例えばWindows(登録商標)のログオン)にユーザID/パスワードの認証でコンテンツのアクセスを許可する方式は,情報端末の紛失時の第三者へのコンテンツ漏洩の脅威に対処する場合に用いられている。コンテンツ視聴時に視聴用の鍵を配布する方式は,コンテンツの著作権を守るために行われる。また,Trusted Network Connect (TNC)のように,情報端末の状態をチェックした後にネットワーク接続を許可する方式と連携する方式は,PC上のマルウェアによる情報漏洩の脅威に対処する場合に用いられている。
【0004】
位置情報を用いたセキュリティ技術としては,例えば特許文献1,特許文献2等に記載されたものが知られている。
【0005】
特許文献1に記載されたファイルのセキュリティ管理プログラム及びファイルのセキュリティ管理装置では,指定した場所以外ではファイルを開くことができないようにするため,位置情報を暗号鍵としてデータを暗号化する。ファイルは,位置情報を鍵に暗号化されているので,その位置に行かないと復号できない。
【0006】
また,特許文献2に記載されたセキュリティ強化システムは,不正な利用者による「なり済まし」の危険性を排除して,安全でない通信を利用する場合においてもセキュリティ機能を強化することを目的として,利用者認証を補完するために位置情報を利用する。
【特許文献1】特開2004−302930号公報
【特許文献2】特開平10−56449号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
情報端末に蓄積されたコンテンツの漏洩を防止し保護するために,情報端末にコンテンツを蓄積しないシンクライアント方式がある。この方式では,コンテンツは常にサーバ側にあるために,情報端末を紛失した場合でもコンテンツが漏洩する危険性はない。しかし,情報端末は,コンテンツを利用する場合に常にサーバにアクセスする必要があるために,ローカル作業ができないという問題,情報端末の数に比例してサーバ負荷が増大するという問題,負荷が大きいときや通信速度が小さいときにはレスポンスが低下するという問題がある。
【0008】
また,放送や映画コンテンツ等のデジタル・コンテンツの著作権管理システム(DRM:Digital Right Management)では,視聴時のみにコンテンツを復号し,必要であれば課金,コピー制限をするという比較的単純なポリシによるコンテンツの保護が考えられている。ユーザ側から見ればコンテンツの配布などは制限されるが,著作権という観点からは比較的納得できるものである。
【0009】
しかし,一般の情報端末のコンテンツ(例えば仕事などで社員が作成したコンテンツ)を保護するために,このDRMの仕組みをそのまま適用したのでは,コンテンツの利用方法の違いからユーザビリティの悪い,もしくは管理が非常に難しいものになってしまう。すなわち,社員が仕事用に作成したコンテンツは,特定の人または特定のグループには見せたいケースもあるし,メールを使って自由に配布したいケースもある。もちろん,社外秘である場合には社外の第三者に対しては,閲覧を禁止する必要がある。このように,コンテンツ保護のポリシは,コンテンツの種類,所有者などによってさまざまであり,単純に放送コンテンツで適用されたDRMの仕組みを利用できないのが現状である。
【0010】
情報端末が保持するコンテンツを,単にIDやパスワードだけをもとに保護する場合には,高度なセキュリティの実現が難しい。情報端末の位置情報をコンテンツの保護に利用することができれば,利用者にあまり負担をかけずに,従来よりも厚いコンテンツ保護のポリシを採用することができると考えられる。
【0011】
位置情報をセキュリティに利用する技術としては,例えば特許文献1や特許文献2に記載された技術があるが,特許文献1に記載されている技術では,復号可能エリアの位置情報から導き出される鍵を用いてコンテンツを暗号化し,その復号可能エリア内でだけコンテンツを復号できるようにしているため,一度,位置情報を含む鍵で暗号化されたコンテンツは,その位置に行かないと利用することができないという問題がある。すなわち,コンテンツをどの場所で復号可能にするかというポリシを,コンテンツに依存させないで決定することができない。
【0012】
また,特許文献2に記載された技術では,端末位置情報により利用者認証を補完することを行っているが,コンテンツ自体の保護については考えられていない。
【0013】
本発明は上記問題点の解決を図り,情報端末に蓄積されたコンテンツの漏洩をセンシング情報を活用して保護することにより,利用者に使いやすく,かつコンテンツ保護のポリシを,コンテンツに依存させることなく決定することができるようにすることを目的とする。
【課題を解決するための手段】
【0014】
本発明は,上記の課題を解決し,ユーザの操作性を損なうことなく情報漏洩を防止するために,センシング情報を利用する。センシング情報としては,位置情報を利用する。情報端末内のコンテンツは,ファイル単位で暗号化されている。または,蓄積装置全体が暗号化されるようになっていてもよい。
【0015】
情報端末内の暗号化コンテンツの復号に必要な鍵は,管理サーバが保持する。また,管理サーバは,情報端末がどのような位置に存在するか,移動中であるかどうかなどの位置情報に基づく各種のポリシによる情報端末ごとの復号可否条件を管理する。
【0016】
情報端末が暗号化コンテンツを復号して参照する場合には,USB等による着脱式デバイスから識別情報と位置情報とを暗号化した情報を受け取り,それを管理サーバに送信して鍵取得要求を行う。着脱式デバイスには,位置センサーと暗号処理手段が組み込まれており,情報端末からの要求により,位置センサーによって検出した位置情報と識別情報とを内蔵する鍵によって暗号化し,情報端末に通知する。識別情報は,利用者または情報端末のIDであり,着脱式デバイスの記憶手段に格納されているか,または情報端末から入力される。
【0017】
管理サーバは,情報端末からの鍵取得要求があると,情報端末から受け取った暗号化情報を復号し,位置情報と識別情報とから,予め登録された復号可否条件が満たされるかどうかをチェックし,復号可否条件が満たされる場合に,情報端末内の暗号化コンテンツの復号に必要な鍵を情報端末に送信する。
【0018】
これにより,情報端末が特定の位置にある場合にのみ暗号化コンテンツを復号するための鍵を管理サーバから取得でき,暗号化されたコンテンツを復号して参照できるようになる。本システムの利用者は,情報端末を利用できる領域を予め管理サーバに登録しておけば,その領域では通常と同じように情報端末を利用することができる。情報端末が盗難されたとしても,位置が一致しないのでコンテンツは復号されない。移動中にも情報端末を操作したいのであれば,移動区間を復号可能領域として予め管理サーバに登録する。移動区間中に情報端末を置き忘れたとしても,その領域から外れた瞬間にコンテンツは扱えなくなる。
【0019】
このように,予め自分の行動やコンテンツをアクセスする人の状況(特に位置情報)を指定しておくだけで,コンテンツを保護することができ,また,その位置情報を復号可否条件としてどう扱うかについてのポリシを,自由に決定することができる。
【発明の効果】
【0020】
本発明は,ユーザの操作性を損なうことなく,センシング情報を活用して情報端末に蓄積されたコンテンツの漏洩を防止し,有効に保護することができる。
【発明を実施するための最良の形態】
【0021】
以下,本発明の実施の形態について,図を用いて説明する。
【0022】
図1は,本発明のシステム構成例を示す図である。図1において,情報端末10は,パーソナルコンピュータ(PC)などの装置であり,コンテンツを復号するための鍵を管理する管理サーバ30にネットワーク40を介して接続される。情報端末10には,USBなどのインタフェースにより着脱式デバイス20が接続され,この着脱式デバイス20は,情報端末10への抜き差しが可能になっている。
【0023】
情報端末10は,暗号化された映像,画像,音声,プログラムその他のデータのファイルである暗号化コンテンツを記憶する暗号化コンテンツ記憶部13を備える。また,情報端末10は,ネットワーク40を介して通信を行うためのネットワークアダプタ等による通信制御部11と,着脱式デバイス20から暗号化情報を取得し,暗号化コンテンツ記憶部13に記憶される暗号化コンテンツの復号鍵またはその復号鍵を復号するための復号鍵を管理サーバ30に要求する暗号化情報取得部12と,暗号化コンテンツ記憶部13に記憶される暗号化コンテンツを,情報端末10で動作するプログラムに利用させるためのファイルシステム14とを備える。ファイルシステム14は,管理サーバ30から受信した復号鍵を利用して暗号化コンテンツ記憶部13に記憶される暗号化コンテンツを復号する復号処理部15を備えている。
【0024】
着脱式デバイス20は,PIN等の識別情報を情報端末10から入力する識別情報入力部21と,GPS(Global Positioning System )または特定の位置を検出する機能を持つ無線タグなどを利用した位置検出部22と,予め設定された暗号鍵を記憶する暗号鍵記憶部23と,識別情報入力部21が入力した識別情報と位置検出部22が検出した位置情報とを,暗号鍵記憶部23が記憶する暗号鍵を用いて暗号化する暗号処理部24を備える。さらに着脱式デバイス20内に時計25を設けて,時計25から得られた現在の時刻を暗号処理部24によって暗号化する構成にすることもできる。暗号処理部24によって暗号化された情報は,デバイスインタフェースを介して情報端末10の暗号化情報取得部12に渡される。
【0025】
なお,この例では,識別情報入力部21が識別情報を情報端末10から入力するものとしているが,情報端末10から入力するのではなく,予め設定された識別情報を着脱式デバイス20内の耐タンパ領域に保持しておき,それを利用するような本発明の実施も可能である。なお,耐タンパ領域は,着脱式デバイス20内のマイクロプロセッサだけが情報にアクセスできる領域であり,外部からは直接的に情報の参照・更新が不可能になっている領域である。
【0026】
管理サーバ30は,ネットワークアダプタ等によって構成される通信制御部31と,情報端末10の暗号化情報取得部12から送られてきた暗号化情報を,暗号鍵記憶部23に記憶されている暗号鍵に対応する復号鍵によって復号する復号処理部32と,復号処理部32によって復号された位置情報と識別情報,またはさらに時刻を用いて,暗号化コンテンツを復号するための鍵を情報端末10に送信してよいか否かを決定するポリシ決定部33と,ポリシ決定部33が復号鍵の送信可否,すなわち暗号化コンテンツの復号可否を決定するための条件(以下,これを復号可否条件という)を記憶する復号可否条件記憶部34と,情報端末10が暗号化コンテンツを復号するための鍵情報を管理し,ポリシ決定部33が復号可と決定した場合に,その鍵情報を情報端末10に送信する鍵管理部35とを備える。
【0027】
図2は,情報端末10の暗号化コンテンツ記憶部13に記憶される暗号化コンテンツの例を示している。
【0028】
情報端末10に蓄積される暗号化されたファイルの形式は,本実施の形態では,図2に示すようになっている。各ファイルは,異なる暗号鍵で暗号化されている。この例では,ファイルA(130A)は鍵Aで暗号化され,ファイルB(130B)は鍵Bで暗号化されている。さらに,各鍵は,各ファイルA,Bのメタ情報131A,131Bとして暗号化されて保存されている。ファイルAを復号するためには,まずメタ情報131Aにある公開鍵Pubで暗号化された鍵Aを,公開鍵Pubと対の秘密鍵(Pri)で復号し,復号された鍵Aを使って暗号化されたファイルAを復号することになる。この公開鍵Pubと対の秘密鍵(Pri)は,詳しくは後述するように,管理サーバ30から取得する。
【0029】
図3は,情報端末10における暗号化コンテンツの利用形態の例を示す。この図では,情報端末10内のモジュール構成と,メーラ16が復号されたファイルAを閲覧するまでの流れを示している。まず,メーラ16は,ファイルAを閲覧するためにファイルシステム14にファイルAの取得を要求する(P1)。ファイルシステム14は,ファイルのメタ情報からそのファイルが復号されていることを知る。そのために,メタ情報に保存されている暗号化された鍵Aを取り出し,制御アプリケーション17に鍵Aの復号を依頼する(P2)。制御アプリケーション17は,管理サーバ30から取得した秘密鍵Priを用いて鍵Aを復号し,ファイルシステム14に返信する(P3)。ファイルシステム14は,暗号化コンテンツ記憶部13から暗号化されたファイルAを読み出し(P4),その読み出したファイルAを復号して(P5),メーラ16に渡す(P6)。
【0030】
図4は,システム全体の処理シーケンスの例を示している。以下,図4に示す(a)〜(m)に従って,情報端末10が管理サーバ30から復号鍵(秘密鍵Pri)を取得する処理のシーケンスを説明する。なお,着脱式デバイス20は,識別情報入力部21や暗号処理部24を実現するためのマイクロプロセッサ(MPU)200と,暗号鍵記憶部23に相当する記憶手段である耐タンパ領域230と,位置検出部22に相当するGPS等による位置センサー220を備えている。
【0031】
また,着脱式デバイス20の耐タンパ領域230には,利用者を認証するためのPIN(Personal Identification Number)と,暗号化コンテンツを利用する利用者の識別情報(ここでは個人IDという)と,管理サーバ30が保持する秘密鍵と同じ秘密鍵が予め格納されている。この例では,管理サーバ30と着脱式デバイス20とが同じ共有秘密鍵を保持しているものとするが,共有秘密鍵ではなく,例えば管理サーバ30には秘密鍵を保持させ,着脱式デバイス20にはその秘密鍵と対になる公開鍵を保持させておくような実施も可能である。
【0032】
(a)情報端末10は,利用者から個人認証用のPINを入力し,着脱式デバイス20にPINを指定して暗号化情報を要求する。
【0033】
(b)マイクロプロセッサ200は,指定されたPINと耐タンパ領域230に格納されているPINとを照合し,一致しない場合には,情報端末10にエラーを通知する。一致した場合には,以下の暗号化処理に移る。
【0034】
(c)マイクロプロセッサ200は,耐タンパ領域230から個人IDと共有秘密鍵とを取得する。
【0035】
(d)次に,マイクロプロセッサ200は,位置センサー220から現在の位置情報を取得する。
【0036】
(e)マイクロプロセッサ200は,位置情報と個人IDとを,耐タンパ領域230から取得した秘密鍵で暗号化し,情報端末10へ通知する。また,着脱式デバイス20に一意に付与されたID(以下,USB−IDという)を情報端末10へ通知する。
【0037】
(f)情報端末10は,着脱式デバイス20から受け取ったUSB−IDと,暗号化された位置情報と個人IDとを管理サーバ30へ送信し,復号鍵を要求する。
【0038】
(g)管理サーバ30は,情報端末10から受信した位置情報と個人IDの暗号化情報を,指定されたUSB−IDに対応して予め登録されている共有秘密鍵で復号する。復号した結果の位置情報と個人IDをもとに,予め管理サーバ30に設定された復号可否決定のポリシに従って,復号可否条件を判定し,復号可の状態を検証する。
【0039】
(h)復号可の場合,管理サーバ30は,情報端末10に対し,コンテンツ復号鍵を復号する鍵(秘密鍵Pri)を送信する。
【0040】
(i)〜(k)着脱式デバイス20は,定期的に位置センサー220から位置情報を取得し,それと個人IDとを共有秘密鍵で暗号化し,情報端末10はその暗号化情報とUSB−IDとを管理サーバ30へ送信する処理を繰り返す。
【0041】
(l)〜(m)管理サーバ30では,定期的に送られてくる暗号化情報を共有秘密鍵で復号して復号可否条件を検証する処理を繰り返し,もし復号可否条件の判定結果が「復号不可」となった場合には,情報端末10に復号禁止命令を送信する。情報端末10では,復号禁止命令の受信により,以降の暗号化コンテンツの復号は禁止される。
【0042】
以上の例では,着脱式デバイス20が,入力されたPINと内部のPINとを照合して,内部に記憶している個人IDを位置情報とともに暗号化するものとしたが,入力されたPINを個人IDとして用いて,それを位置情報とともに暗号化するような実施も可能である。後述する他の実施例も同様である。
【0043】
図5は,管理サーバ30における処理フローの一例を示す。以下では,管理サーバ30のポリシ決定部33が,情報端末10が特定範囲以上移動していない場合に復号可という復号可否条件のポリシに従って,復号可否を決定する場合の処理の流れを説明する。
【0044】
管理サーバ30は,情報端末10からの鍵要求の受信を待ち(ステップS10),情報端末10から鍵を要求する暗号化情報とUSB−IDが送られてきたならば,その情報を受信する(ステップS11)。情報端末10から受信した暗号化された情報を,予めUSB−IDごとに登録されている共有秘密鍵で復号する(ステップS12)。次に,既に蓄積された位置情報があるかどうかを判定し(ステップS13),最初の位置情報の受信である場合には,蓄積された位置情報がないので,ステップS14に進み,位置情報を蓄積した後,ステップS10へ戻って,次の情報端末10からの受信を待つ。
【0045】
情報端末10から位置情報を2回以上受信した場合には,蓄積された位置情報があるために,蓄積された位置情報と今回受信した位置情報とを比較し,移動距離を計算する(ステップS15)。移動距離が予め管理サーバ30に設定された特定範囲以上でなければ,復号可と判断して,ステップS17に進み,情報端末10に暗号化コンテンツの復号鍵を復号するための秘密鍵を送信する。移動距離が特定範囲以上であれば,復号不可と判断し,ステップS18に進み,情報端末10にコンテンツの復号禁止命令を送信する。情報端末10では,コンテンツの復号禁止命令を受信することにより,図3に示す制御アプリケーション17が,以降のファイルシステム14の鍵の復号要求を拒否するようになる。
【0046】
本実施の形態では,情報端末10に接続される着脱式デバイス20中の位置検出部22でセンシングされた位置情報を定期的に管理サーバ30に送信することにより,移動時の情報閲覧を禁止することができる。
【0047】
また,位置検出部22によってセンシングした位置情報を暗号処理部24により暗号化することにより,識別情報とともに位置情報が偽装されることを防止することができる。さらに,着脱式デバイス20にこの機能を持たせ,情報端末10と分離することにより,着脱式デバイス20と情報端末10が存在しないと暗号化コンテンツを復号することができず,より安全なコンテンツの保護が実現される。
【0048】
次に,位置情報の他に,時刻の情報も利用したポリシによって復号可否を決定する実施の形態について説明する。図6は,復号可否の決定ポリシとして時刻を用いる場合のシステム全体の処理シーケンスの例を示している。以下,図4に示す(a)〜(j)に従って,情報端末10が管理サーバ30から復号鍵(秘密鍵Pri)を取得する処理のシーケンスを説明する。なお,着脱式デバイス20は,識別情報入力部21や暗号処理部24を実現するためのマイクロプロセッサ(MPU)200と,暗号鍵記憶部23に相当する記憶手段である耐タンパ領域230と,位置検出部22に相当するGPS等による位置センサー220の他に,時計25を備えている。
【0049】
(a)情報端末10は,利用者から個人認証用のPIN(Personal Identification Number)を入力し,着脱式デバイス20にPINを指定して暗号化情報を要求する。
【0050】
(b)マイクロプロセッサ200は,指定されたPINと耐タンパ領域230に格納されているPINとを照合し,一致しない場合には,情報端末10にエラーを通知する。一致した場合には,以下の暗号化処理に移る。
【0051】
(c)マイクロプロセッサ200は,耐タンパ領域230から個人IDと共有秘密鍵とを取得する。
【0052】
(d)次に,マイクロプロセッサ200は,位置センサー220から現在の位置情報を取得する。
【0053】
(e)また,マイクロプロセッサ200は,時計25から現在の時刻を取得する。
【0054】
(f)マイクロプロセッサ200は,位置情報と時刻と個人IDとを,耐タンパ領域230から取得した秘密鍵で暗号化し,USB−IDとともに情報端末10へ通知する。
【0055】
(g)情報端末10は,着脱式デバイス20からUSB−IDと,暗号化された位置情報と時刻と個人IDとを管理サーバ30へ送信し,復号鍵を要求する。
【0056】
(h)管理サーバ30は,情報端末10から受信した位置情報と時刻と個人IDの暗号化情報を,指定されたUSB−IDに対応する共有秘密鍵で復号する。復号した結果の位置情報と時刻と個人IDとをもとに,予め管理サーバ30に設定された復号可否決定のポリシに従って,復号可否条件を判定し,復号可の状態を検証する。
【0057】
(i)復号可の場合,管理サーバ30は,情報端末10に対し,コンテンツ復号鍵を復号する鍵(秘密鍵Pri)を送信する。
【0058】
(j)〜(k)予め設定された復号可否決定のポリシに応じて,受信した暗号化情報に含まれていた時刻が現在の時刻より一定時間以上経過している場合,復号不可と判断し,情報端末10に復号禁止命令を送信する。情報端末10では,復号禁止命令の受信により,以降の暗号化コンテンツの復号は禁止される。
【0059】
図7は,管理サーバ30における時刻を利用する場合の処理フローの一例を示す。以下では,管理サーバ30のポリシ決定部33が,情報端末10から送られてくる時刻が一定時間内のときだけ復号可という復号可否条件のポリシに従って,復号可否を決定する場合の処理の流れを説明する。
【0060】
管理サーバ30は,情報端末10からの鍵要求の受信を待ち(ステップS20),情報端末10から鍵を要求する暗号化情報が送られてきたならば,その暗号化された情報を受信する(ステップS21)。情報端末10から受信した暗号化された情報を,情報端末10から受信したUSB−IDに対応する予め設定された共有秘密鍵で復号する(ステップS22)。次に,復号した情報に含まれる時刻を記憶する(ステップS23)。
【0061】
予め管理サーバ30に設定された位置情報に関する復号可否の決定ポリシに従って,位置情報の復号可否条件を判定し(ステップS24),復号不可の場合にはステップS29へ進む。位置情報に関して復号可である場合には,次に時刻の復号可否条件を判定し(ステップS25),受信した時刻が既に一定時間が経過している場合には,復号不可と判断してステップS29へ進む。
【0062】
位置情報および時刻の復号可否条件が復号可の場合には,情報端末10に暗号化コンテンツの復号鍵を復号するための秘密鍵を送信する(ステップS26)。その後,一定時間が経過するのを待ち(ステップS27),一定時間が経過したならば,情報端末10に復号禁止命令を送信する(ステップS28)。なお,このステップS27,S28を省略し,情報端末10に復号禁止命令を送信しないようなポリシに従って処理する構成を採用することもできる。
【0063】
ステップS24またはS25において,位置情報または時刻が復号可否条件を満足しなかった場合には,ステップS29により情報端末10へ復号不可の理由を示す情報を送信し,暗号化コンテンツの復号を禁止する。
【0064】
本実施の形態によれば,情報端末10から暗号化された位置情報の送信に加えて,暗号化された時刻も送信するので,管理サーバ30側で実際の時刻と比較することにより,送信したパケットを再利用する危険を防止できる。すなわち,過去に情報端末10から管理サーバ30に送った復号要求のパケットをそのままコピーして他の情報処理装置が用いても,時刻が古く,一定時間が経過していることになるので,復号は許可されない。
【0065】
次に,本システムにおいて,予め決められたグループの情報端末10がすべて管理サーバ30に接続してきたときに,または,予め決められたグループ内の情報端末10の接続数が一定数以上になったときに,ポリシ決定部33がコンテンツ復号鍵の配布を許可する実施の形態について説明する。以下の例で説明する情報端末IDは,情報端末10を一意に識別する識別情報であり,図4に示す個人IDと同じ識別情報でもよい。
【0066】
図8に,管理サーバ30が管理する情報の例を示す。本実施の形態では,管理サーバ30は,情報端末10のグループ情報と各情報端末10の接続状況の情報と位置情報とを保持する状態テーブル341を,復号可否条件記憶部34内に保持する。また,予め任意に設定された各グループごとのグループ位置制限情報342を保持する。
【0067】
この例では,状態テーブル341において,情報端末IDが1001,1011,1015,1102の情報端末10が一つのグループ(グループID=G1)として定義されている。グループ位置制限情報342としては,この例では,グループG1に所属する情報端末10が復号鍵の配布を受けるためには,東京都内,横浜市内,○○工場内というように,ある定められた特定の範囲内の位置になければならないという位置の範囲の条件が登録され,またグループG2に所属する情報端末10が復号鍵の配布を受けるためには,半径100mの範囲内というような距離の範囲の条件が登録されている。また,グループ内のすべての情報端末10が接続した場合にだけ復号可否条件が満たされるのか,グループ内のある一定数以上の情報端末10が接続し,それが位置の範囲の条件や距離の範囲の条件を満たせば,復号可否条件が満たされるとするのかなどの情報を,予め設定しておくこともできる。
【0068】
鍵管理部35が管理する鍵管理テーブル351は,USB−IDと,各情報端末ID(または個人ID)に対応して,秘密鍵を記憶しているが,これは他の実施の形態も同様である。なお,USB−IDは,管理サーバ30において情報端末10から送られてきた暗号化情報を復号する秘密鍵を特定するために用いられるIDであり,他の方法により秘密鍵を特定することができるならば,必ずしも着脱式デバイス20に固有のUSB−IDを用いなくてもよい。
【0069】
図8に示す状態テーブル341では,情報端末10が管理サーバ30に接続している場合には,その情報端末10の接続状況として“○”が表示され,その位置情報についても格納されるようになっている。この位置情報は経度・緯度のような座標値でも,また座標値を地区名や地域名に変換したような情報でもよい。情報端末10が管理サーバ30に接続されていない場合には,その情報端末10の接続状況は“×”となっている。
【0070】
図9に,本実施の形態による管理サーバ30における処理フローの一例を示す。以下では,管理サーバ30のポリシ決定部33が,情報端末10から鍵取得要求を受け取ったときに,状態テーブル341を参照してグループのメンバー全員が接続しているかどうかを確認し,全員が接続し,かつ所定の位置の範囲内にいる場合にのみ復号鍵を送るという復号可否条件のポリシに従って処理する場合の例を説明する。
【0071】
情報端末10からの鍵要求の受信を待ち(ステップS30),情報端末10(例えば情報端末ID=1001)から鍵を要求する暗号化情報が送られてきたならば,その鍵取得要求の暗号化情報を受信する(ステップS31)。情報端末10から受信した暗号化された情報を,情報端末10から受信したUSB−IDに対応する予め設定された共有秘密鍵で復号する(ステップS32)。
【0072】
次に,状態テーブル341を参照し,鍵取得要求を出した情報端末10が属するグループ全員が接続状態にあるかを確認する(ステップS33)。まだ接続していないグループのメンバーがある場合には,ステップS34へ進む。ステップS34では,状態テーブル341において,鍵取得要求を出した情報端末10の接続状況を接続状態にするとともに,その位置情報を書き込み,その情報端末10には,まだグループメンバーがそろっていないので鍵を送信できない旨を通知する。その後にステップS30へ戻り,他の情報端末10からの受信を待つ。
【0073】
ステップS33において,グループ全員が接続状態にあることを確認した場合には,次に,状態テーブル341における位置情報を参照し,すべてのメンバーが許可された位置にいるかを確認する(ステップS35)。許可された位置にいないメンバーがいる場合には,まだグループメンバーが許可された位置にいないために鍵を送信できない旨を通知し(ステップS36),その後にステップS30へ戻り,他の情報端末10からの受信を待つ。
【0074】
ステップS35において,すべてのメンバーが許可された位置にいるかを確認した場合には,グループの全メンバーにそれぞれ暗号化コンテンツの暗号化された復号鍵を復号するための鍵を配信する(ステップS37)。
【0075】
このように,状態テーブル341にグループで許可できる位置情報,または,情報端末10の距離の制限を追加し,これによって各情報端末10が接続し,かつ,近傍にいるときにだけコンテンツを復号するための鍵を情報端末10に配信するようにする。これにより,各情報端末10が管理サーバ30と接続していること,さらに,近傍にいるときにのみコンテンツを復号できるような状態を実現することができる。
【0076】
このように,特定グループが特定の位置に集まって管理サーバ30に接続したときにだけ,暗号化コンテンツを復号できるようになるために,コンテンツの復号の条件を厳しくすることができ,安全性を増すことができる。
【0077】
以上の情報端末10および管理サーバ30が実行する処理は,コンピュータとソフトウェアプログラムとによって実現することができ,そのプログラムをコンピュータ読み取り可能な記録媒体に記録して提供することも,ネットワークを通して提供することも可能である。
【図面の簡単な説明】
【0078】
【図1】本発明のシステム構成例を示す図である。
【図2】暗号化コンテンツ記憶部に記憶される暗号化コンテンツの例を示す図である。
【図3】情報端末における暗号化コンテンツの利用形態の例を示す図である。
【図4】システム全体の処理シーケンスの例を示す図である。
【図5】管理サーバにおける処理フローの一例を示す図である。
【図6】システム全体の他の処理シーケンスの例を示す図である。
【図7】管理サーバにおける処理フローの一例を示す図である。
【図8】管理サーバが管理する情報の例を示す図である。
【図9】管理サーバにおける処理フローの一例を示す図である。
【符号の説明】
【0079】
10 情報端末
11 通信制御部
12 暗号化情報取得部
13 暗号化コンテンツ記憶部
14 ファイルシステム
15 復号処理部
20 着脱式デバイス
21 識別情報入力部
22 位置検出部
23 暗号鍵記憶部
24 暗号処理部
25 時計
30 管理サーバ
31 通信制御部
32 復号処理部
33 ポリシ決定部
34 復号可否条件記憶部
35 鍵管理部
40 ネットワーク
【特許請求の範囲】
【請求項1】
復号鍵を管理する管理サーバと,該管理サーバにネットワークを介して接続される情報端末と,該情報端末に接続されるデバイスとから構成されるコンテンツ保護システムであって,
前記デバイスは,
予め登録または前記情報端末から入力された識別情報を記憶する手段と,
現在の位置情報を検出する位置検出手段と,
前記情報端末からの要求により,前記識別情報と前記位置検出手段によって検出した位置情報とを予め内部に記憶する暗号鍵によって暗号化し,前記情報端末に通知する暗号処理手段とを備え,
前記情報端末は,
暗号化されたコンテンツを記憶する手段と,
前記デバイスから暗号化された識別情報と位置情報とを取得する手段と,
前記暗号化された識別情報と位置情報とを前記管理サーバへ送信する手段と,
前記管理サーバから復号鍵を受信する手段と,
受信した復号鍵を用いて前記暗号化されたコンテンツまたは前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号する復号処理手段とを備え,
前記管理サーバは,
前記情報端末から暗号化された識別情報と位置情報とを受信する手段と,
前記暗号化された識別情報と位置情報とを前記デバイスが保持する暗号鍵に対応する復号鍵によって復号する復号処理手段と,
復号した識別情報と位置情報とに基づいて,予め登録された情報端末の位置情報を利用する復号可否条件を判定し,復号可否を決定するポリシ決定手段と,
前記ポリシ決定手段が復号可と判断した場合に,前記情報端末が保持する前記暗号化されたコンテンツを復号するための復号鍵,または前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号するための復号鍵を,前記情報端末へ送信する手段とを備える
ことを特徴とするコンテンツ保護システム。
【請求項2】
復号鍵を管理する管理サーバと,該管理サーバにネットワークを介して接続される情報端末と,該情報端末に接続されるデバイスとから構成されるコンテンツ保護システムであって,
前記デバイスは,
予め登録または前記情報端末から入力された識別情報を記憶する手段と,
現在の位置情報を検出する位置検出手段と,
時刻を計測する時計と,
前記情報端末からの要求により,前記識別情報と前記位置検出手段によって検出した位置情報と前記時計から取得した時刻とを予め内部に記憶する暗号鍵によって暗号化し,前記情報端末に通知する暗号処理手段とを備え,
前記情報端末は,
暗号化されたコンテンツを記憶する手段と,
前記デバイスから暗号化された識別情報と位置情報と時刻とを取得する手段と,
前記暗号化された識別情報と位置情報と時刻とを前記管理サーバへ送信する手段と,
前記管理サーバから復号鍵を受信する手段と,
受信した復号鍵を用いて前記暗号化されたコンテンツまたは前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号する復号処理手段とを備え,
前記管理サーバは,
前記情報端末から暗号化された識別情報と位置情報と時刻とを受信する手段と,
前記暗号化された識別情報と位置情報と時刻とを前記デバイスが保持する暗号鍵に対応する復号鍵によって復号する復号処理手段と,
復号した識別情報と位置情報と時刻とに基づいて,予め登録された情報端末の位置情報および時刻を利用する復号可否条件を判定し,復号可否を決定するポリシ決定手段と,
前記ポリシ決定手段が復号可と判断した場合に,前記情報端末が保持する前記暗号化されたコンテンツを復号するための復号鍵,または前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号するための復号鍵を,前記情報端末へ送信する手段とを備える
ことを特徴とするコンテンツ保護システム。
【請求項3】
前記情報端末は,
前記デバイスから取得した暗号化された位置情報を含む暗号化情報を,定期的に前記管理サーバへ送信する手段を備え,
前記管理サーバは,
前記定期的に送信される暗号化情報を復号した結果をもとに,前記復号可否条件を判定し,復号可の状態から復号不可の状態に変わったときに,前記情報端末への復号鍵の送信停止または復号禁止の指示情報の送信を行う
ことを特徴とする請求項1または請求項2記載のコンテンツ保護システム。
【請求項4】
前記管理サーバが保持する復号可否条件は,
前記情報端末がある位置の範囲内に存在するときに復号可とする条件,または予め決められた複数の情報端末または予め決められた数以上の情報端末が前記管理サーバに接続され,それらの情報端末が特定の位置にある場合に復号可とする条件を含む
ことを特徴とする請求項1,請求項2または請求項3記載のコンテンツ保護システム。
【請求項5】
請求項1,請求項2,請求項3または請求項4記載のコンテンツ保護システムにおいて用いられる前記情報端末に所定のインタフェースを介して着脱可能に接続されるデバイスであって,
予め登録または前記情報端末から入力された識別情報を記憶する手段と,
現在の位置情報を検出する位置検出手段と,
前記情報端末からの要求により,前記識別情報と前記位置検出手段によって検出した位置情報とを予め内部に記憶する暗号鍵によって暗号化し,前記情報端末に通知する暗号処理手段とを,少なくとも備える
ことを特徴とするコンテンツ保護用デバイス。
【請求項6】
復号鍵を管理する管理サーバと,該管理サーバにネットワークを介して接続される情報端末と,該情報端末に接続されるデバイスとから構成されるコンテンツ保護システムにおけるコンテンツ保護方法であって,
前記デバイスが,
予め登録または前記情報端末から入力された識別情報を記憶する過程と,
位置検出手段によって現在の位置情報を検出する過程と,
前記情報端末からの要求により,前記識別情報と前記位置検出手段によって検出した位置情報とを予め内部に記憶する暗号鍵によって暗号化し,前記情報端末に通知する暗号処理過程とを有し,
前記情報端末が,
暗号化されたコンテンツを記憶する過程と,
前記デバイスから暗号化された識別情報と位置情報とを取得する過程と,
前記暗号化された識別情報と位置情報とを前記管理サーバへ送信する過程と,
前記管理サーバから復号鍵を受信する過程と,
受信した復号鍵を用いて前記暗号化されたコンテンツまたは前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号する復号処理過程とを有し,
前記管理サーバが,
前記情報端末から暗号化された識別情報と位置情報とを受信する過程と,
前記暗号化された識別情報と位置情報とを前記デバイスが保持する暗号鍵に対応する復号鍵によって復号する復号処理過程と,
復号した識別情報と位置情報とに基づいて,予め登録された情報端末の位置情報を利用する復号可否条件を判定し,復号可否を決定するポリシ決定過程と,
前記ポリシ決定過程が復号可と判断した場合に,前記情報端末が保持する前記暗号化されたコンテンツを復号するための復号鍵,または前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号するための復号鍵を,前記情報端末へ送信する過程とを有する
ことを特徴とするコンテンツ保護方法。
【請求項7】
復号鍵を管理する管理サーバと,該管理サーバにネットワークを介して接続される情報端末と,該情報端末に接続されるデバイスとから構成されるコンテンツ保護システムにおけるコンテンツ保護方法であって,
前記デバイスが,
予め登録または前記情報端末から入力された識別情報を記憶する過程と,
位置検出手段によって現在の位置情報を検出する位置検出過程と,
時計によって時刻を計測する過程と,
前記情報端末からの要求により,前記識別情報と前記位置検出手段によって検出した位置情報と前記時計から取得した時刻とを予め内部に記憶する暗号鍵によって暗号化し,前記情報端末に通知する暗号処理過程とを有し,
前記情報端末が,
暗号化されたコンテンツを記憶する過程と,
前記デバイスから暗号化された識別情報と位置情報と時刻とを取得する過程と,
前記暗号化された識別情報と位置情報と時刻とを前記管理サーバへ送信する過程と,
前記管理サーバから復号鍵を受信する過程と,
受信した復号鍵を用いて前記暗号化されたコンテンツまたは前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号する復号処理過程とを有し,
前記管理サーバが,
前記情報端末から暗号化された識別情報と位置情報と時刻とを受信する過程と,
前記暗号化された識別情報と位置情報と時刻とを前記デバイスが保持する暗号鍵に対応する復号鍵によって復号する復号処理過程と,
復号した識別情報と位置情報と時刻とに基づいて,予め登録された情報端末の位置情報および時刻を利用する復号可否条件を判定し,復号可否を決定するポリシ決定過程と,
前記ポリシ決定過程が復号可と判断した場合に,前記情報端末が保持する前記暗号化されたコンテンツを復号するための復号鍵,または前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号するための復号鍵を,前記情報端末へ送信する過程とを有する
ことを特徴とするコンテンツ保護方法。
【請求項1】
復号鍵を管理する管理サーバと,該管理サーバにネットワークを介して接続される情報端末と,該情報端末に接続されるデバイスとから構成されるコンテンツ保護システムであって,
前記デバイスは,
予め登録または前記情報端末から入力された識別情報を記憶する手段と,
現在の位置情報を検出する位置検出手段と,
前記情報端末からの要求により,前記識別情報と前記位置検出手段によって検出した位置情報とを予め内部に記憶する暗号鍵によって暗号化し,前記情報端末に通知する暗号処理手段とを備え,
前記情報端末は,
暗号化されたコンテンツを記憶する手段と,
前記デバイスから暗号化された識別情報と位置情報とを取得する手段と,
前記暗号化された識別情報と位置情報とを前記管理サーバへ送信する手段と,
前記管理サーバから復号鍵を受信する手段と,
受信した復号鍵を用いて前記暗号化されたコンテンツまたは前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号する復号処理手段とを備え,
前記管理サーバは,
前記情報端末から暗号化された識別情報と位置情報とを受信する手段と,
前記暗号化された識別情報と位置情報とを前記デバイスが保持する暗号鍵に対応する復号鍵によって復号する復号処理手段と,
復号した識別情報と位置情報とに基づいて,予め登録された情報端末の位置情報を利用する復号可否条件を判定し,復号可否を決定するポリシ決定手段と,
前記ポリシ決定手段が復号可と判断した場合に,前記情報端末が保持する前記暗号化されたコンテンツを復号するための復号鍵,または前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号するための復号鍵を,前記情報端末へ送信する手段とを備える
ことを特徴とするコンテンツ保護システム。
【請求項2】
復号鍵を管理する管理サーバと,該管理サーバにネットワークを介して接続される情報端末と,該情報端末に接続されるデバイスとから構成されるコンテンツ保護システムであって,
前記デバイスは,
予め登録または前記情報端末から入力された識別情報を記憶する手段と,
現在の位置情報を検出する位置検出手段と,
時刻を計測する時計と,
前記情報端末からの要求により,前記識別情報と前記位置検出手段によって検出した位置情報と前記時計から取得した時刻とを予め内部に記憶する暗号鍵によって暗号化し,前記情報端末に通知する暗号処理手段とを備え,
前記情報端末は,
暗号化されたコンテンツを記憶する手段と,
前記デバイスから暗号化された識別情報と位置情報と時刻とを取得する手段と,
前記暗号化された識別情報と位置情報と時刻とを前記管理サーバへ送信する手段と,
前記管理サーバから復号鍵を受信する手段と,
受信した復号鍵を用いて前記暗号化されたコンテンツまたは前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号する復号処理手段とを備え,
前記管理サーバは,
前記情報端末から暗号化された識別情報と位置情報と時刻とを受信する手段と,
前記暗号化された識別情報と位置情報と時刻とを前記デバイスが保持する暗号鍵に対応する復号鍵によって復号する復号処理手段と,
復号した識別情報と位置情報と時刻とに基づいて,予め登録された情報端末の位置情報および時刻を利用する復号可否条件を判定し,復号可否を決定するポリシ決定手段と,
前記ポリシ決定手段が復号可と判断した場合に,前記情報端末が保持する前記暗号化されたコンテンツを復号するための復号鍵,または前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号するための復号鍵を,前記情報端末へ送信する手段とを備える
ことを特徴とするコンテンツ保護システム。
【請求項3】
前記情報端末は,
前記デバイスから取得した暗号化された位置情報を含む暗号化情報を,定期的に前記管理サーバへ送信する手段を備え,
前記管理サーバは,
前記定期的に送信される暗号化情報を復号した結果をもとに,前記復号可否条件を判定し,復号可の状態から復号不可の状態に変わったときに,前記情報端末への復号鍵の送信停止または復号禁止の指示情報の送信を行う
ことを特徴とする請求項1または請求項2記載のコンテンツ保護システム。
【請求項4】
前記管理サーバが保持する復号可否条件は,
前記情報端末がある位置の範囲内に存在するときに復号可とする条件,または予め決められた複数の情報端末または予め決められた数以上の情報端末が前記管理サーバに接続され,それらの情報端末が特定の位置にある場合に復号可とする条件を含む
ことを特徴とする請求項1,請求項2または請求項3記載のコンテンツ保護システム。
【請求項5】
請求項1,請求項2,請求項3または請求項4記載のコンテンツ保護システムにおいて用いられる前記情報端末に所定のインタフェースを介して着脱可能に接続されるデバイスであって,
予め登録または前記情報端末から入力された識別情報を記憶する手段と,
現在の位置情報を検出する位置検出手段と,
前記情報端末からの要求により,前記識別情報と前記位置検出手段によって検出した位置情報とを予め内部に記憶する暗号鍵によって暗号化し,前記情報端末に通知する暗号処理手段とを,少なくとも備える
ことを特徴とするコンテンツ保護用デバイス。
【請求項6】
復号鍵を管理する管理サーバと,該管理サーバにネットワークを介して接続される情報端末と,該情報端末に接続されるデバイスとから構成されるコンテンツ保護システムにおけるコンテンツ保護方法であって,
前記デバイスが,
予め登録または前記情報端末から入力された識別情報を記憶する過程と,
位置検出手段によって現在の位置情報を検出する過程と,
前記情報端末からの要求により,前記識別情報と前記位置検出手段によって検出した位置情報とを予め内部に記憶する暗号鍵によって暗号化し,前記情報端末に通知する暗号処理過程とを有し,
前記情報端末が,
暗号化されたコンテンツを記憶する過程と,
前記デバイスから暗号化された識別情報と位置情報とを取得する過程と,
前記暗号化された識別情報と位置情報とを前記管理サーバへ送信する過程と,
前記管理サーバから復号鍵を受信する過程と,
受信した復号鍵を用いて前記暗号化されたコンテンツまたは前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号する復号処理過程とを有し,
前記管理サーバが,
前記情報端末から暗号化された識別情報と位置情報とを受信する過程と,
前記暗号化された識別情報と位置情報とを前記デバイスが保持する暗号鍵に対応する復号鍵によって復号する復号処理過程と,
復号した識別情報と位置情報とに基づいて,予め登録された情報端末の位置情報を利用する復号可否条件を判定し,復号可否を決定するポリシ決定過程と,
前記ポリシ決定過程が復号可と判断した場合に,前記情報端末が保持する前記暗号化されたコンテンツを復号するための復号鍵,または前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号するための復号鍵を,前記情報端末へ送信する過程とを有する
ことを特徴とするコンテンツ保護方法。
【請求項7】
復号鍵を管理する管理サーバと,該管理サーバにネットワークを介して接続される情報端末と,該情報端末に接続されるデバイスとから構成されるコンテンツ保護システムにおけるコンテンツ保護方法であって,
前記デバイスが,
予め登録または前記情報端末から入力された識別情報を記憶する過程と,
位置検出手段によって現在の位置情報を検出する位置検出過程と,
時計によって時刻を計測する過程と,
前記情報端末からの要求により,前記識別情報と前記位置検出手段によって検出した位置情報と前記時計から取得した時刻とを予め内部に記憶する暗号鍵によって暗号化し,前記情報端末に通知する暗号処理過程とを有し,
前記情報端末が,
暗号化されたコンテンツを記憶する過程と,
前記デバイスから暗号化された識別情報と位置情報と時刻とを取得する過程と,
前記暗号化された識別情報と位置情報と時刻とを前記管理サーバへ送信する過程と,
前記管理サーバから復号鍵を受信する過程と,
受信した復号鍵を用いて前記暗号化されたコンテンツまたは前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号する復号処理過程とを有し,
前記管理サーバが,
前記情報端末から暗号化された識別情報と位置情報と時刻とを受信する過程と,
前記暗号化された識別情報と位置情報と時刻とを前記デバイスが保持する暗号鍵に対応する復号鍵によって復号する復号処理過程と,
復号した識別情報と位置情報と時刻とに基づいて,予め登録された情報端末の位置情報および時刻を利用する復号可否条件を判定し,復号可否を決定するポリシ決定過程と,
前記ポリシ決定過程が復号可と判断した場合に,前記情報端末が保持する前記暗号化されたコンテンツを復号するための復号鍵,または前記暗号化されたコンテンツを復号するための暗号化された復号鍵を復号するための復号鍵を,前記情報端末へ送信する過程とを有する
ことを特徴とするコンテンツ保護方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2008−134789(P2008−134789A)
【公開日】平成20年6月12日(2008.6.12)
【国際特許分類】
【出願番号】特願2006−319969(P2006−319969)
【出願日】平成18年11月28日(2006.11.28)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成20年6月12日(2008.6.12)
【国際特許分類】
【出願日】平成18年11月28日(2006.11.28)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]