データ保護システム及び記録担体
本発明は、記録担体であって、データを記憶する記憶領域を備え、装着された1の情報端末から、記憶領域へのアクセス要求を受け付け、記憶領域へのアクセス可否を示すアクセス条件を取得し、前記アクセス要求が、前記アクセス条件を満たすか否か判断し、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、記憶領域へのアクセスを抑制する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、記録担体に関し、記録担体を紛失した場合などに、内部に格納されているデータを保護する技術に関する。
【背景技術】
【0002】
近年、携帯電話機やPDA(Personal Digital Assistant)などの携帯情報端末の多機能化に伴い、ICカードや、メモリカード等の記録担体を装着するためのカードスロットを搭載した携帯情報端末が普及しつつある。
携帯情報端末に装着した記録担体には、例えば、電話帳データ、スケジュール帳データ、デジタルカメラで撮影した画像データなどが記録される。電話帳データは、ユーザの電話番号、メールアドレス、知人の氏名、電話番号、メールアドレス、住所など、プライバシーに関わる情報を含んでいる。
【0003】
従って、記録担体を紛失した場合、或いは、記録担体を装着した携帯情報端末を紛失した場合であっても、記録担体に記録されているこれらのデータを他人に見られない仕組みが必要である。
特許文献1に開示されている記録担体は、個人データと固有の無効化コードとを記憶している。当該記録担体が装着されたまま、携帯電話機が盗難あるいは紛失にあった場合、ユーザは、記録担体が装着されている携帯電話機に電話をかけることにより、無効化コードを携帯電話機に送信する。無効化コードを受信した携帯電話機は、それを記録担体に転送する。記録担体は、携帯電話機から無効化コードを受け取り、受け取った無効化コードが、予め内部に記憶している無効化コードと一致するか否か判断し、両者が一致する場合には、個人データをロックし、使用不能状態にする。これにより、カード内の個人データを保護することが可能となる。
【特許文献1】特開平11−177682号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記の技術では、記録担体が装着されている携帯電話機が、外部から送信される無効化コードを受信可能な状況にあることが前提である。そのため、紛失した携帯電話機から記録担体が抜き取られ、オフラインで利用可能な他の情報端末に装着された場合などは、記録担体は無効化コードを受信しないため、個人データを他人に見られる可能性がある。
【0005】
そこで本発明は、上記の問題に鑑みなされたものであって、記録担体が、オフラインで利用可能な他の情報端末に装着された場合であっても記録担体に記録されている個人データを保護することができる記録担体及びデータ保護システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明は、記録担体であって、記憶手段と、装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、前記記憶手段へのアクセス可否を示すアクセス条件を取得する取得手段と、前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段とを備えることを特徴とする。
【発明の効果】
【0007】
上記の構成によると、記録担体は、装着されている情報端末から受け取るアクセス要求であっても、アクセス条件を満たさない場合には、情報端末からの要求に反し、記憶領域へのアクセスを拒否することができる。
ここで、前記記録担体は、更に、前記アクセス条件を記憶しているアクセス条件記憶手段を備え、前記取得手段は、前記アクセス条件記憶手段から、前記アクセス条件を取得するように構成してもよい。
【0008】
この構成によると、記録担体は、アクセス条件を内部に記憶しているので、当該記録担体が接続された情報端末がオフラインで利用可能な端末であっても、外部から判断の基準となるアクセス条件を取得する必要が無く、情報端末の置かれた環境によらず、アクセス要求がアクセス条件を満たすか否か判断することができるので、情報端末がオフラインで利用可能な端末であっても、アクセス条件を満たさない場合には、情報端末からの要求に反し、記憶領域へのアクセスを拒否することができる。
【0009】
ここで、前記アクセス条件は、識別子リストを含む、前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子から成る、前記アクセス要求は、前記情報端末を識別する要求端末識別子を含む、前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在する場合、前記アクセス要求は前記アクセス条件を満たすと判断し、存在しない場合、前記アクセス要求は前記アクセス条件を満たさないと判断するように構成してもよい。
【0010】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着されて内部のデータが読み出されるのを防止することができる。
ここで、前記アクセス条件は、識別子リストを含む、前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の回数情報とから成る、前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、前記1以上の回数情報は、各機器の前記記憶手段にアクセス可能な回数を示す、前記アクセス要求は、前記情報端末を識別する要求端末識別子を含む、前記判断手段は、前記情報端末が前記記憶領域にアクセスした回数を示すアクセス回数を保持する保持部と、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、一致する識別子が存在する場合に、前記識別子に対応する回数情報が、前記アクセス回数より大きいか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0011】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。また、記録担体は、記憶領域へのアクセス回数を管理することで、記憶領域に記憶されているデータの著作権保護の仕組みとしても利用できる。
【0012】
ここで、前記アクセス条件は、識別子リストを含む、前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の期間情報とから成る、前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、前記1以上の期間情報は、各機器の前記記憶手段にアクセス可能な期間を示す、前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、前記判断手段は、現在日時を管理する日時管理部と、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、一致する識別子が存在する場合に、前記日時管理部が管理している現在日時が、前記識別子に対応する期間情報が示す期間内であるか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0013】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。また、記録担体は、記憶領域へのアクセス期限を管理することで、記憶領域に記憶されているデータの著作権保護の仕組みとしても利用できる。
【0014】
ここで、前記記憶手段は、複数のメモリブロックから成り、前記アクセス条件は、識別子リストを含む、前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のメモリブロック情報とから成る、前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、前記1以上のメモリブロック情報は、各機器のアクセス可能なメモリブロックを示す、前記アクセス要求は、前記情報端末を識別する要求端末識別子と、メモリブロックを指定するメモリブロック指定情報とを含み、前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、一致する識別子が存在する場合に、前記メモリブロック指定情報が、前記識別子に対応するメモリブロック情報に含まれるか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0015】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。また、記録担体は、アクセス可能なメモリブロックの情報を管理することで、メモリブロック毎に記憶されているデータの著作権保護の仕組みとしても利用できる。
【0016】
ここで、前記記憶手段は、1以上のプログラムデータを記憶しており、
前記アクセス条件は、識別子リストを含む、前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のプログラム情報とから成る、前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、前記1以上のプログラム情報は、各機器がアクセス可能なプログラムデータを示す、前記アクセス要求は、前記情報端末を識別する要求端末識別子と、プログラムデータを指定するプログラム指定情報とを含み、前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、一致する識別子が存在する場合に、前記プログラム指定情報が、前記識別子に対応するプログラム情報に含まれるか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0017】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。また、記録担体は、アクセス可能なアプリケーションプログラムの情報を管理することで、記憶領域に記憶されているアプリケーションプログラムの著作権保護の仕組みとしても利用できる。
【0018】
ここで、前記アクセス条件は、識別子リストとバイオメトリクスリストとを含む、前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、前記バイオメトリクスリストは、前記記憶手段にアクセス可能な1以上のユーザを識別する1以上のバイオメトリクス情報を含む、前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者のバイオメトリクスを示す操作者バイオメトリクス情報とを含む、前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、前記操作者バイオメトリクス情報と一致するバイトメトリクス情報が前記バイオメトリクスリストに存在するか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0019】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。更に、記録担体は、予め正当なユーザのバイオメトリクス情報をリストに登録しておくことにより、当該記録担体が、正当な情報端末に装着されたまま紛失した場合であっても、ユーザ認証により不正なユーザが、記憶領域のデータにアクセスするのを防止することができる。
【0020】
ここで、前記アクセス条件は、識別子リストとパスワードリストとを含む、前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、前記パスワードリストは、前記記憶手段にアクセス可能な1以上のユーザにより設定された1以上のパスワード情報を含む、前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者により入力された入力パスワードとを含む、前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、前記入力パスワードと一致するパスワード情報が前記パスワードリストに存在するか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0021】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。更に、記録担体は、予め正当なユーザが設定したパスワードをリストに登録しておくことにより、当該記録担体が、正当な情報端末に装着されたまま紛失した場合であっても、パスワード認証により不正なユーザが、記憶領域のデータにアクセスするのを防止することができる。
【0022】
ここで、前記記録担体は、更に、装着された1の情報端末から、前記アクセス条件を受け付けるアクセス条件受付手段と、前記情報端末が、正当な情報端末であると認証された場合に、前記アクセス条件を、前記アクセス条件記憶手段に登録するアクセス条件登録手段とを備えるように構成してもよい。
この構成によると、正当な情報端末は、自機が記憶領域にアクセス可能な機器であり、他機が記憶領域にアクセス不可能な機器であることを示すアクセス条件を登録することにより、当該記録担体が他の情報端末に装着された場合に、記憶領域のデータを保護することができる。
【0023】
更に、正当な情報端末は、自機以外にも、同一ユーザが使用する他の情報端末も記憶領域にアクセス可能な機器として登録することにより、当該記録担体を、同一ユーザが使用する他の情報端末に差し替えて、使用することもできる。
また、上記目的を達成するために、前記記録担体は、更に、ネットワークを介して接続されたアクセス条件管理サーバと通信を行う通信手段を備え、前記取得手段は、前記通信手段を介して、前記アクセス条件管理サーバから、前記アクセス条件を取得するように構成してもよい。
【0024】
即ち、この構成によると、アクセス条件を記憶しているのは、記録担体自身ではなく、アクセス条件管理サーバである。これにより、記録担体を情報端末に装着したまま紛失した場合であっても、アクセス条件管理サーバが記憶しているアクセス条件を、装着されている情報端末がアクセスできないように書き換えることができる。
ここで、前記取得手段は、前記通信手段を介して、前記機器情報管理装置から、前記アクセス条件と共に、前記アクセス条件に基づき生成された署名データを取得し、前記記録担体は、更に、前記機器情報管理装置に係る検証鍵を用いて前記署名データを検証し、前記アクセス条件の改ざんの有無を検出する改ざん検出手段と、前記アクセス条件の改ざんが検出された場合に、前記判断手段による処理を中止する中止手段とを備えるように構成してもよい。
【0025】
この構成によると、記録担体は、確かにアクセス条件管理サーバから送信されたアクセス条件を用いて、アクセス要求を満たすか否か判断することができる。
また、本発明は、記録担体と情報端末とから構成されるデータ保護システムであって、前記記録担体は、記憶手段と、当該記録担体が装着されている情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、前記記憶手段へのアクセス可否を示すアクセス条件を記憶するアクセス条件記憶手段と、前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段とを備え、前記情報端末は、前記記録担体を装着する記録担体インターフェースと、前記記録担体の前記記憶手段へのアクセス要求を生成するアクセス要求生成手段と、生成した前記アクセス要求を、前記記録担体へ出力するアクセス要求出力手段とを備えることを特徴とする。
【0026】
この構成によると、記録担体は、アクセス条件を内部に記憶しているので、当該記録担体が接続された情報端末がオフラインで利用可能な端末であっても、外部から判断の基準となるアクセス条件を取得する必要が無く、情報端末の置かれた環境によらず、アクセス要求がアクセス条件を満たすか否か判断することができるので、情報端末がオフラインで利用可能な端末であっても、アクセス条件を満たさない場合には、情報端末からの要求に反し、記憶領域へのアクセスを拒否することができる。
【0027】
ここで、前記データ保護システムは、更に、前記記録担体が装着された情報端末を介して、前記アクセス条件を、前記記録担体の前記アクセス条件記憶手段に登録するアクセス条件登録サーバを備えるように構成してもよい。
この構成によると、記録担体が、アクセス条件登録サーバと接続可能な端末に装着されていれば、アクセス条件を記録担体に登録することができる。
【0028】
また、本発明は、記録担体と、情報端末と、ネットワークを介して、前記情報端末を接続されたアクセス条件管理サーバとから構成されるデータ保護システムであって、前記記録担体は、記憶手段と、当該記録担体が装着されている情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、前記記憶手段へのアクセス可否を示すアクセス条件を取得するアクセス条件取得手段と、前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段とを備え、前記情報端末は、前記記録担体を装着する記録担体インターフェースと、前記記録担体の前記記憶手段へのアクセス要求を生成するアクセス要求生成手段と、生成した前記アクセス要求を、前記記録担体へ出力するアクセス要求出力手段とを備え、前記アクセス条件管理サーバは、前記アクセス条件を記憶するアクセス条件記憶手段と、前記情報端末を介して、前記記録担体へ前記アクセス条件を送信するアクセス条件送信手段とを備える。
【0029】
即ち、この構成によると、アクセス条件を記憶しているのは、記録担体自身ではなく、アクセス条件管理サーバである。これにより、記録担体を情報端末に装着したまま紛失した場合であっても、アクセス条件管理サーバが記憶しているアクセス条件を、装着されている情報端末がアクセスできないように書き換えることができる。
【発明を実施するための最良の形態】
【0030】
≪第1実施形態≫
ここでは、本発明に係る第1の実施形態として、データ保護システム1について説明する。
図1は、データ保護システム1の構成を示す。同図に示す様に、データ保護システム1は、記録担体10、携帯電話機20、PDA30、PC40、及び携帯電話機50から構成される。
【0031】
記録担体10は、マイクロプロセッサを搭載した可搬媒体であって、携帯電話機、PDA、PC、デジタルカメラ、カード用リーダライタ等のカードスロットに装着して用いられるメモリカードやICカード等を想定している。
メモリカードの一例は、SD(Secure Digital)メモリカードである。SDメモリカードは、著作権保護機能「CPRM(Content Protection for Recordable Media)」を内蔵しており、音楽や映像などのコンテンツを記憶するのに適する。
【0032】
ICカードの一例は、SIM(Subscriber Identity Module)カードである。SIMカードは、携帯電話会社により発行され、契約者情報を記録したICカードであって、携帯電話機に装着して利用者の識別に用いられる。SIMカードを差し替えることにより、複数の携帯電話機を、同じ契約者扱いで利用することができる。
携帯電話機20、PDA30、PC40、及び携帯電話機50は、共にマイクロプロセッサを搭載したコンピュータシステムである。本明細書においては、携帯電話機、PDA、及びPCを、「情報端末」と総称することがある。
【0033】
上記の情報端末は、カードスロットを備えており、カードスロットに記録担体10を装着した状態で、記録担体10との間で情報の入出力を行う。各情報端末には、固有の識別子である端末IDが割り当てられている。後で詳しく述べるが、携帯電話機20には、端末IDとして「ID_A」、PDA30には、「ID_B」、PC40には「ID_C」、携帯電話機50には、「ID_E」が割り当てられているものとする。
【0034】
なお、本実施形態では、記録担体10は、携帯電話機20のカードスロットに予め装着された状態で携帯電話機20のユーザに販売されたものとする。また、携帯電話機20、PDA30及びPC40は、同一のユーザが所有する情報端末であり、携帯電話機50は、他の人物が所有する情報端末であるとする。
<構成>
1.記録担体10
図2は、記録担体10の構成を示す。同図に示す様に、記録担体10は、端末I/F11、データ記憶部12、機器情報登録部14、機器情報記憶部15、及び制御部16から構成される。なお、データ記憶部12は、アクセス制限領域13を含む。
【0035】
(1)端末I/F11
端末I/F11は、コネクタピン、インターフェースドライバなどから成り、記録担体10が、携帯電話機20、PDA30、PC40及び携帯電話機50のカードスロットに装着された状態で、各情報端末との間で、各種情報の受け渡しをする。
具体例として、端末I/F11は、情報端末から受け取るアクセス要求を制御部16へ出力し、情報端末から受け取る登録要求データ、削除要求データを機器情報登録部14へ出力する。
【0036】
(2)データ記憶部12
データ記憶部12は、具体的には、フラッシュメモリであって、プログラムやデータを記憶する。データ記憶部12は、制御部16からアクセス可能であって、制御部16から受け取る情報を内部に記憶したり、制御部16からの要求に従い、記憶している情報を制御部16へ出力したりする。なお、データ記憶部12は、機密性の高いデータ等を記憶するための領域であるアクセス制限領域13を含む。
【0037】
(3)アクセス制限領域13
アクセス制限領域13は、データ記憶部12の一部であって、図3に示す様に、ブロック1、ブロック2、及びブロック3の3つのメモリブロックから構成される。これらのメモリブロックは、メモリ領域が物理的に分割されている必要はなく、論理的に分割されていればよい。
【0038】
ブロック1は、アプリケーションプログラム1(APP1)、アプリケーションプログラム2(APP2)、アドレス帳データ、及び保護メールデータを記憶している。ブロック2は、スケジュールデータ、画像データなどを記憶している。ブロック3は、アプリケーションプログラム3(APP3)などを記憶している。
各ブロックに記憶されているこれらのプログラム及びデータは、制御部16により読み出し、及び書き込みが行われる。
【0039】
(4)機器情報登録部14
機器情報登録部14は、マイクロプロセッサなどから成り、アクセス制限領域13にアクセスすることが可能な情報端末に係るアクセス可能機器情報を、携帯電話機20から受け取る登録要求に基づき機器情報記憶部15に登録する。また、機器情報登録部14は、既に機器情報記憶部15に登録されているアクセス可能機器情報を、携帯電話機20から受け取る削除要求に基づき削除する。
【0040】
図4は、機器情報登録部14の構成を機能的に示す機能ブロック図である。同図に示す様に、機器情報登録部14は、処理開始要求受付部101、乱数生成部102、レスポンスデータ検査部103、公開鍵取得部104、ランダム鍵生成部105、暗号部106、処理データ受付部107、署名検査部108、パスワード検査部109、復号部110、及びデータ制御部111から構成される。
【0041】
(a)処理開始要求受付部101は、端末I/F11を介して、携帯電話機20から、処理開始要求を受け付ける。処理開始要求は、アクセス可能機器情報の登録処理又は削除処理の開始を示す情報である。処理開始要求受付部101は、処理開始要求を受け付けると、乱数生成部102に対して、乱数を生成する指示を出力する。
(b)乱数生成部102は、処理開始要求受付部101から乱数を生成する指示を受け取ると、乱数rを生成する。乱数rは、携帯電話機20との間でチャレンジ‐レスポンス認証を行うためのチャレンジデータである。乱数生成部102は、生成した乱数rを、端末I/F11を介して携帯電話機20へ出力すると共に、レスポンスデータ検査部103ヘ出力する。
【0042】
(c)レスポンスデータ検査部103は、予め、共通鍵Kc及び暗号アルゴリズムE1を、携帯電話機20と共有している。レスポンスデータ検査部103は、端末I/F11を介して携帯電話機20から受け取るレスポンスデータを検査し、携帯電話機20が正当な端末であるか否か判断する。
具体的には、レスポンスデータ検査部103は、乱数生成部102から、チャレンジデータである乱数rを受け取り、受け取った乱数rに、共通鍵Kcを暗号鍵として用い、暗号アルゴリズムE1を施して、暗号化データC1=E1(Kc,r)を生成する。一方、レスポンスデータ検査部103は、端末I/F11を介して、携帯電話機20からレスポンスデータC1´=E1(Kc,r)を受け取る。レスポンスデータ検査部103は、暗号化データC1とレスポンスデータC1´とを比較し、両者が一致する場合に、携帯電話機20は正当な端末であると判断し、ランダム鍵生成部105に対して、ランダム鍵の生成を指示する。レスポンスデータ検査部103は、C1とC1´とが一致しない場合に、携帯電話機20は不正な端末であると判断し、「認証NG」を示すエラーメッセージを、端末I/F11を介して、携帯電話機20に通知する。なお、暗号アルゴリズムE1については限定しないが、一例は、DES(Data Encryption Standard)である。
【0043】
(d)公開鍵取得部104は、携帯電話機20の公開鍵PK20を取得して、保持している。ここで、公開鍵PK20の取得方法は限定しない。予め、公開鍵取得部104に書き込まれていてもよいし、ユーザの操作等により、端末I/F11を介して携帯電話機20から取得してもよい。公開鍵取得部104は、暗号部106からの指示を受け、公開鍵PK20を、暗号部106に出力する。
【0044】
(e)ランダム鍵生成部105は、レスポンスデータ検査部103から、ランダム鍵生成の指示を受け取ると、ランダム鍵Krを生成する。ランダム鍵生成部105は、生成したランダム鍵Krを、暗号部106及び復号部110に出力する。
なお、本明細書では、ランダム鍵生成部105で生成されるランダム鍵を全て「Kr」と表記するが、実際のランダム鍵Krは、レスポンスデータ検査部103から生成指示を受けると、その都度ランダムに生成される鍵データである。
【0045】
(f)暗号部106は、ランダム鍵生成部105からランダム鍵Krを受け取る。暗号部106は、ランダム鍵Krを受け取ると、公開鍵取得部104に対して、公開鍵PK20の出力を指示し、公開鍵取得部104から、公開鍵PK20を受け取る。
暗号部106は、公開鍵PK20を暗号鍵として用い、ランダム鍵Krに暗号アルゴリズムE2を施して、暗号化ランダム鍵C2=E2(PK20,Kr)を生成する。暗号部106は、生成した暗号化ランダム鍵C2=E2(PK20,Kr)を、端末I/F11を介して、携帯電話機20へ出力する。なお、暗号アルゴリズムE2については限定しないが、一例は、RSAである。
【0046】
(g)処理データ受付部107は、端末I/F11を介して、携帯電話機20から処理データを受け取り、受け取った処理データを署名検査部108へ出力する。
処理データ受付部107が携帯電話機20から受け取る処理データは、アクセス可能機器情報の登録処理を示す登録要求データ、及び、アクセス可能機器情報の削除処理を示す削除要求データである。
【0047】
登録要求データの一例を、図5(a)に示す。登録要求データ120は、登録コマンド121、暗号化登録IDリスト122、パスワード123、及び署名データ124から構成される。
登録コマンド121は、後述するデータ制御部111に対して、登録処理を指示するコマンドであって、ここでは具体例として、「/touroku」とする。
【0048】
暗号化登録IDリスト122は、図5(b)に示した登録IDリスト125に、ランダム鍵Krを暗号鍵として用い、暗号アルゴリズムE3を施して生成された暗号化データであり、ここでは、E3(Kr,登録IDリスト)と表記する。
登録IDリスト125は、図5(b)に示す様に、登録情報126及び登録情報127から成り、各登録情報は、端末ID、アクセス可能回数、アクセス可能期間、アクセス可能領域、及びアクセス可能アプリから成る。
【0049】
パスワード123は、携帯電話機20の操作者により入力されたデータである。
署名データ124は、登録コマンド121、暗号化登録IDリスト122.及びパスワード123に対して、署名鍵を用いてデジタル署名を施し生成された署名データである。なお、署名鍵は、携帯電話機20が保持するデジタル署名用の鍵データである。
登録要求データ120は、携帯電話機20の制御部23により生成されるデータである。そのため、登録要求データ120及び登録IDリスト125については、後の携帯電話機20の説明で詳しく述べる。
【0050】
削除要求データの一例を、図5(c)に示す。削除要求データ130は、削除コマンド131、暗号化削除IDリスト132、パスワード133、及び署名データ134から構成される。
削除コマンド131は、後述するデータ制御部111に対して、削除処理を指示するコマンドであって、ここでは具体例として、「/sakujo」とする。
【0051】
暗号化削除IDリスト132は、図5(d)に示した削除IDリスト135に、ランダム鍵Krを暗号鍵として用い、暗号アルゴリズムE3を施して生成された暗号化データであり、ここでは、E3(Kr,削除IDリスト)と表記する。削除IDリスト135は、端末ID「ID_C」及び「ID_D」から成る。
パスワード133は、携帯電話機20の操作者により入力されたデータである。
【0052】
署名データ134は、削除コマンド131、暗号化削除IDリスト132、及びパスワード133に対して、署名鍵を用いてデジタル署名を施し生成された署名データである。
ここで、ランダム鍵Krは、先ほど述べた様に、ランダム鍵生成部105において、処理ごとに生成されるランダムな鍵データであるので、暗号化登録IDリスト122の暗号化に用いられたランダム鍵と、暗号化削除IDリスト132の暗号化に用いられたランダム鍵とは、異なる鍵データである。
【0053】
なお、削除要求データ130は、携帯電話機20の制御部23により生成されるデータである。そのため、削除要求データ130については、後の携帯電話機20の説明で詳しく述べる。
(h)署名検査部108は、予め内部に検証鍵を保持している。検証鍵は、携帯電話機20が保持している署名鍵に対応しており、携帯電話機20から出力される署名データを検証するための鍵データである。
【0054】
署名検査部108は、処理データ受付部107から処理データを受け取り、受け取った処理データに含まれる署名データの正当性を検査し、当該処理データが、確かに携帯電話機20により生成されたデータであるか否かを判断する。
署名データの正当性が確認された場合、署名検査部108は、当該処理データをパスワード検査部109へ出力する。一方、署名データの正当性が確認されなかった場合、署名検査部108は、端末I/F11を介して、その旨を携帯電話機20に通知し、当該処理データを破棄する。
【0055】
具体例として、処理データ受付部107から受け取る処理データが、図5(a)に示した登録要求データ120とすると、署名検査部108は、検証鍵を用いて署名データ「Sig_A」の正当性を検査する。署名データ「Sig_A」の正当性が確認された場合、署名検査部108は、登録要求データ120を、パスワード検査部109へ出力する。また、処理データ受付部107から受け取る処理データが、図5(c)に示した削除要求データ130とすると、署名検査部108は、検証鍵を用いて署名データ「Sig_A´」の正当性を検査する。「Sig_A´」の正当性が確認された場合、署名検査部108は、削除要求データ130を、パスワード検査部109へ出力する。
【0056】
なお、署名検査部108で用いられる署名検証のアルゴリズムは、公開鍵暗号方式を用いたデジタル署名方式であり、公知技術で実現可能であるため説明を省略する。
(i)パスワード検査部109は、署名検査部108から、処理データを受け取る。また、パスワード検査部109は、機器情報記憶部15から、正しいパスワードを読み出し、当該処理データに含まれるパスワードが、正しいパスワードと一致するか否か判断する。
【0057】
処理データに含まれるパスワード、即ち、携帯電話機20の操作者により入力されたパスワードが正しいパスワードと一致する場合、パスワード検査部109は、当該処理データを復号部110へ出力する。処理データに含まれるパスワードが正しいパスワードと一致しない場合、パスワード検査部109は、端末I/F11を介して、その旨を携帯電話機20に通知し、当該処理データを破棄する。
【0058】
具体例として、署名検査部108から受け取る処理データが、図5(a)に示した登録要求データ120とすると、パスワード検査部109は、登録要求データ120から「PW_A」を抽出し、「PW_A」が正しいパスワードと一致するか否か判断する。「PW_A」が正しいパスワードと一致する場合に、パスワード検査部109は、登録要求データ120を復号部110へ出力する。また、署名検査部108から受け取る処理データが、図5(c)に示した削除要求データ130とすると、パスワード検査部109は、削除要求データ130から「PW_A´」を抽出し、「PW_A´」が正しいパスワードと一致するか否か判断する。「PW_A´」が正しいパスワードと一致する場合に、パスワード検査部109は、削除要求データ130を復号部110へ出力する。
【0059】
(j)復号部110は、パスワード検査部109から処理データを受け取り、更に、ランダム鍵生成部105からランダム鍵Krを受け取る。
復号部110は、処理データから、暗号化登録IDリスト、又は、暗号化削除IDリストを抽出し、ランダム鍵生成部105から受け取ったランダム鍵Krを復号鍵として用い、復号アルゴリズムD3を施して、登録IDリスト、又は、削除IDリストを復号する。ここで、復号アルゴリズムD3は、暗号アルゴリズムE3により暗号化されたデータを復号するアルゴリズムである。
【0060】
復号部110は、登録コマンド及び復号した登録IDリスト、又は、削除コマンド及び復号した削除IDリストをデータ制御部111へ出力する。
具体例として、復号部110は、パスワード検査部109から登録要求データ120を受け取ると、登録要求データ120から暗号化登録IDリスト122を抽出し、抽出した暗号化登録IDリストから、図5(b)に示した登録IDリスト125を復号する。復号部110は、登録コマンド121と登録IDリスト125とを、データ制御部111へ出力する。
【0061】
また、復号部110は、パスワード検査部109から削除要求データ130を受け取ると、削除要求データ130から暗号化削除IDリスト132を抽出し、抽出した暗号化削除IDリスト132から、図5(d)に示した削除IDリスト135を復号する。復号部110は、削除コマンド131と削除IDリスト135とを、データ制御部111へ出力する。
【0062】
(k)データ制御部111は、アクセス可能機器情報の登録及び削除を行う。
より詳しくは、データ制御部111は、復号部110から、登録コマンドと登録IDリストとを受け取り、登録IDリストに含まれる登録情報が、機器情報記憶部15に記憶されているアクセス可能機器テーブル140に、未だ登録されていない場合に、当該登録情報を、アクセス可能機器情報として、アクセス可能機器テーブル140に登録する。
【0063】
また、データ制御部111は、復号部110から、削除コマンドと削除IDリストとを受け取り、削除IDリストに含まれる端末IDが、アクセス可能機器テーブル140に既に登録されている場合に、当該端末IDを含むアクセス可能機器情報を、アクセス可能機器テーブル140から削除する。
なお、アクセス可能機器テーブル140については後述する。
【0064】
(5)機器情報記憶部15
機器情報記憶部15は、パスワードと、アクセス可能機器テーブル140とを記憶している。
機器情報記憶部15が記憶しているパスワードは、記録担体10の製造時又は出荷時に、固有のパスワードが設定されて、機器情報記憶部15に書き込まれるものとする。
【0065】
なお、機器情報記憶部15に記憶されているパスワードは、記録担体10を購入したユーザのみが知っているものとする。例えば、パッケージの箱を開けて初めて見える箇所に、機器情報記憶部15に記憶されているパスワードが書かれており、ユーザは、記録担体10の購入後にパッケージの箱を開けて初めてパスワードを知ることができる仕組みになっていてもよい。
【0066】
図6は、アクセス可能機器テーブル140のデータ構成を示している。アクセス可能機器テーブル140は、アクセス可能機器情報141.142、及び143から成り、各アクセス可能機器情報は、端末ID、アクセス可能回数、アクセス可能期間、アクセス可能領域及びアクセス可能アプリから成る。
各アクセス可能機器情報に含まれる端末IDは、データ記憶部12内のアクセス制限領域13にアクセスすることが可能な機器を一意に識別する識別子である。アクセス可能回数は、対応する機器が、アクセス制限領域13にアクセスすることが可能な回数である。アクセス可能期間は、対応する機器が、アクセス制限領域13にアクセスすることが可能な期間である。アクセス可能領域は、対応する機器がアクセスすることが可能なアクセス制限領域13内のメモリブロックである。アクセス可能アプリは、対応する機器がアクセスすることが可能なアプリケーションプログラムである。
【0067】
図6によると、アクセス制限領域13にアクセスすることが可能な機器は、端末IDとして「ID_A」を有する機器と、端末IDとして「ID_B」を有する機器と、端末IDとして「ID_C」を有する機器とである。
アクセス可能機器情報141によると、アクセス可能回数、アクセス可能期間、アクセス可能領域及びアクセス可能アプリ共に「制限なし」のため、端末ID「ID_A」を有する機器(携帯電話機20)は、無制限にアクセス制限領域13にアクセスすることが可能である。
【0068】
アクセス可能機器情報142によると、アクセス可能回数が「3」、アクセス可能期間が「2004,8,1〜2005,7,31」、アクセス可能領域が「ブロック2」、アクセス可能アプリが「‐」であるので、端末ID「ID_B」を有する機器(PDA30)は、2004年8月1日から2005年7月31日までの間に、ブロック2の領域に限り3回までアクセスすることが可能である。
【0069】
アクセス可能機器情報143によると、アクセス可能回数が「5」、アクセス可能期間が「2004,8,1〜2006,7,31」、アクセス可能領域が「ブロック1、ブロック2」、アクセス可能アプリが「APP1」であるので、端末ID「ID_C」を有する機器(PC40)は、2004年8月1日から2006年7月31日までの間に、ブロック1及びブロック2の領域に限り5回までアクセスすることが可能である。但し、アクセス可能なアプリケーションプログラムは、アプリケーションプログラム1(APP1)のみである。
【0070】
各アクセス可能機器情報は、機器情報登録部14によりアクセス可能機器テーブル140に登録又は削除される。また、各アクセス可能機器情報は、アクセス要求に対する、制御部16によるアクセス可否判断に用いられる。
(6)制御部16
制御部16は、マイクロプロセッサなどから成り、端末I/F11から、アクセス制限領域13へのアクセス要求を受け取ると、機器情報記憶部15に記憶されているアクセス可能機器テーブル140を参照し、当該アクセス要求に対して、アクセス制限領域13へのアクセスを許可するか否か判断する。以下では、制御部16について、詳細に説明する。
【0071】
図7は、制御部16の構成を機能的に示す機能ブロック図である。同図に示す様に、制御部16は、処理開始要求受付部150、公開鍵取得部151、ランダム鍵生成部152、暗号部153、アクセス要求受付部154、復号部155、判断部156、日付管理部157、メモリアクセス部158、及びデータ入出力部159から構成される。
(a)処理開始要求受付部150は、端末I/F11を介して、記録担体10が装着されている情報端末から、処理開始要求を受け付ける。処理開始要求は、アクセス制限領域13へのアクセス要求処理の開始を示す情報である。処理開始要求受付部150は、処理開始要求を受け付けると、公開鍵取得部151に対して前記情報端末の公開鍵を取得する指示を出力し、ランダム鍵生成部152に対して、ランダム鍵を生成する指示を出力する。
【0072】
(b)公開鍵取得部151は、処理開始要求受付部150から、公開鍵取得の指示を受けると、端末I/F11を介して、記録担体10が装着されている情報端末から、当該情報端末の公開鍵PKNを取得する。ここで、N=20、30、40、又は50であって、PK20は、携帯電話機20の公開鍵、PK30は、PDA30の公開鍵、PK40は、PC40の公開鍵、PK50は、携帯電話機50の公開鍵である。例えば、記録担体10が携帯電話機20のカードスロットに装着されている場合、公開鍵取得部151は、携帯電話機20から、公開鍵PK20を取得する。公開鍵取得部151は、取得した公開鍵PKNを暗号部153へ出力する。
【0073】
(c)ランダム鍵生成部152は、処理開始要求受付部150から、ランダム鍵生成の指示を受けると、ランダム鍵Krを生成する。ランダム鍵生成部152は、生成したランダム鍵Krを、暗号部153及び復号部155に出力する。
(d)暗号部153は、公開鍵取得部151から、公開鍵PKNを受け取り、ランダム鍵生成部152からランダム鍵Krを受け取る。暗号部153は、公開鍵PKNを暗号鍵として用い、ランダム鍵Krに暗号アルゴリズムE4を施して、暗号化ランダム鍵C4=E4(PKN,Kr)を生成する。暗号部153は、生成した暗号化ランダム鍵C4=E4(PKN,Kr)を、端末I/F11を介して、情報端末へ出力する。例えば、記録担体10が、携帯電話機20のカードスロットに装着されている場合、暗号部153は、暗号化ランダム鍵C4=E4(PK20,Kr)を生成し、生成した暗号化ランダム鍵C4を、端末I/F11を介して携帯電話機20へ出力する。
【0074】
なお、暗号アルゴリズムE4については限定しないが、一例は、RSAである。
(e)アクセス要求受付部154は、端末I/F11を介して、情報端末からアクセス要求を受け取り、受け取ったアクセス要求を、復号部155へ出力する。
アクセス要求受付部154が携帯電話機20から受け取るアクセス要求の一例を、図8(a)に示す。アクセス要求160は、アクセスコマンド161、暗号化端末ID162及び要求データ識別情報163から成る。
【0075】
同様に、図8(b)に示すアクセス要求170は、PDA30から受け取るアクセス要求の一例であり、図8(c)に示すアクセス要求180は、PC40から受け取るアクセス要求の一例であり、図8(d)に示すアクセス要求190は、携帯電話機50から受け取るアクセス要求の一例である。
アクセス要求は、各情報端末により生成されるデータである。そのため、アクセス要求160、170、180、及び190の詳細は後述する。
【0076】
(f)復号部155は、ランダム鍵生成部152からランダム鍵Krを受け取り、更に、アクセス要求受付部154からアクセス要求を受け取る。復号部155は、アクセス要求から暗号化端末IDを抽出し、暗号化端末IDに、ランダム鍵Krを復号鍵として、復号アルゴリズムD5を施し、端末IDを復号する。ここで、復号アルゴリズムD5は、暗号アルゴリズムE5により暗号化されたデータを復号するアルゴリズムである。復号部155は、アクセスコマンド、復号した端末ID、及び要求データ識別情報を、判断部156へ出力する。
【0077】
一例として、復号部155は、アクセス要求受付部154から、図8(a)に示したアクセス要求160を受け取ると、復号部155は、アクセス要求160から暗号化端末ID162「E5(Kr,ID_A)」を抽出し、抽出した暗号化端末ID162に、ランダム鍵Krを復号鍵として、復号アルゴリズムD5を施し、「ID_A」を復号する。復号部155は、アクセスコマンド161「/access」、端末ID「ID_A」、及び要求データ識別情報163「アドレス帳」を、判断部156へ出力する。
【0078】
(g)判断部156は、復号部155から、アクセスコマンド、端末ID、及び要求データ識別情報を受け取る。判断部156は、受け取った端末IDを有する情報端末が、受け取った要求データ識別情報により識別されるデータにアクセス可能であるか否か判断する。
また、判断部156は、図9に示すテーブル200を記憶している。テーブル200は、アクセス制限領域13の各メモリブロックのブロック番号と、各メモリブロックに記憶されているデータのデータ識別情報とを対応付けたものである。また、判断部156は、端末IDとアクセス回数とを対応付けたテーブルを記憶している。アクセス回数は、アクセス制限領域13にアクセスした回数を示している。なお、このテーブルは図示していない。
【0079】
以下では、具体例を用いて、判断部156によるアクセス可否判断について説明する。
判断部156は、復号部155から、アクセスコマンド161「/access」、復号部155により復号された「ID_A」、及び、要求データ識別情報163「アドレス帳」を受け取る。判断部156は、機器情報記憶部15に記憶されているアクセス可能機器テーブル140から、端末ID「ID_A」を含むアクセス可能機器情報141を読み出す。また、判断部156は、日付管理部157から、現在の日付を示す日付情報を読み出す。
【0080】
判断部156は、アクセス可能機器情報141、日付情報、及び、テーブル200から、端末ID「ID_A」を有する携帯電話機20が、「アドレス帳」へのアクセスを許可されているか否か判断する。判断の処理は後で詳しく述べる。
ここでは、携帯電話機20に対して、アドレス帳へのアクセスが許可されているので、判断部156は、メモリアクセス部158に対して、アクセス制限領域13から、アドレス帳データ(図3)を読み出し、データ入出力部159を介して携帯電話機20へ出力するように指示する。
【0081】
ここで、仮に携帯電話機20に対して、アドレス帳へのアクセスが許可されていない場合、判断部156は、端末I/F11を介して、携帯電話機20に、指定されたデータへのアクセスが許可されていない旨を示すエラーメッセージを出力する。
(h)日付管理部157は、現在の日付を示す日付情報を管理している。
(i)メモリアクセス部158は、データ識別情報と、当該データ識別情報により識別されるデータが記憶されているデータ記憶部12における位置を示すメモリアドレスとを対応付けて記憶している。メモリアクセス部158は、判断部156からアクセスコマンドとデータ識別情報とを受け取り、受け取ったデータ識別情報と対応するメモリアドレスを求める。メモリアクセス部158は、求めたアドレスが示す位置からデータを読み出し、読み出したデータを、データ入出力部159へ出力する。
【0082】
(j)データ入出力部159は、端末I/F11とメモリアクセス部158との間で情報のやり取りを行う。
2.携帯電話機20
図10は、携帯電話機20の構成を機能的に示す機能ブロック図である。同図に示す様に、携帯電話機20は、記録担体I/F21、端末ID記憶部22、制御部23、外部入力I/F24、及び表示部25から構成される。
【0083】
具体的に、携帯電話機20は、アンテナ、無線部、マイク、スピーカなどを備え、無線電波を用いて通信を行う可搬型の電話機であるが、携帯電話機としての機能は、公知技術で実現可能であるため、図10では、これらの構成要素の記載を省略している。
(1)記録担体I/F21
記録担体I/F21は、メモリカードスロット等から成り、メモリカードスロットに、記録担体10が装着された状態で、記録担体10との間で各種情報の受け渡しをする。
【0084】
(2)端末ID記憶部22
端末ID記憶部22は、携帯電話機20を一意に識別する端末ID「ID_A」を記憶している。具体的に、端末IDは、シリアル番号や、電話番号などを用いる。
(3)制御部23
制御部23は、図10に示す様に、処理開始要求生成部211、レスポンスデータ生成部212、復号部213、暗号部214、処理データ生成部215、署名生成部216、アクセス要求生成部217、及びデータ出力部218から構成される。
【0085】
(a)処理開始要求生成部211は、外部入力I/F24から、登録要求、削除要求、データアクセス要求を示す入力信号を受け取ると、処理開始要求を生成し、生成した処理開始要求を、記録担体I/F21を介して記録担体10へ出力する。
(b)レスポンスデータ生成部212は、予め、共通鍵Kc及び暗号アルゴリズムE1を、記録担体10と共有している。
【0086】
レスポンスデータ生成部212は、記録担体10から、記録担体I/F21を介してチャレンジデータである乱数rを受け取り、受け取った乱数rに、共有鍵Kcを暗号鍵として用い、暗号アルゴリズムE1を施して、レスポンスデータC1´=E1(Kc,r)を生成する。レスポンスデータ生成部212は、生成したレスポンスデータC1´を記録担体I/F21を介して、記録担体10へ出力する。
【0087】
(c)復号部213は、公開鍵PK20に対応する秘密鍵SK20を秘密に保持している。
復号部213は、登録処理及び削除処理において、記録担体10から記録担体I/F21を介して、暗号化ランダム鍵C2=E2(PK20,Kr)を受け取る。暗号化ランダム鍵C2=E2(PK20,Kr)は、ランダム鍵Krが、携帯電話機20の公開鍵PK20で暗号化されたデータである。復号部213は、秘密鍵SK20を復号鍵として用い、復号アルゴリズムD2を施して、ランダム鍵Krを復号する。ここで、復号アルゴリズムD2は、暗号アルゴリズムE2を用いて暗号化されたデータを復号するアルゴリズムである。復号部213は、復号したランダム鍵Krを、暗号部214へ出力する。
【0088】
また、復号部213は、アクセス要求処理において、記録担体10から、記録担体I/F21を介して、暗号化ランダム鍵C4=E4(PK20,Kr)を受け取る。暗号化ランダム鍵C4=E4(PK20,Kr)は、ランダム鍵Krが、携帯電話機20の公開鍵PK20で暗号化されたデータである。復号部213は、秘密鍵SK20を復号鍵として用い、復号アルゴリズムD4を施して、ランダム鍵Krを復号する。ここで、復号アルゴリズムD4は、暗号アルゴリズムE4を用いて暗号化されたデータを復号するアルゴリズムである。復号部213は、復号したランダム鍵Krを、暗号部214へ出力する。
【0089】
(d)暗号部214は、登録処理において、処理データ生成部215から登録IDリストを受け取り、復号部213からランダム鍵Krを受け取る。暗号部214は、ランダム鍵Krを暗号鍵として用い、登録IDリストに暗号アルゴリズムE3を施して、暗号化登録IDリストを生成する。具体例として、暗号部214は、処理データ生成部215から、図5(b)に示した登録IDリスト125を受け取り、登録IDリスト125を暗号化して、暗号化登録IDリストを生成する。暗号部214は、生成した暗号化登録IDリストを、処理データ生成部215へ出力する。
【0090】
暗号部214は、削除処理においても同様に、削除IDリストを暗号化して、暗号化削除IDリストを生成する。具体例として、暗号部214は、処理データ生成部215から、図5(d)に示した削除IDリスト135を受け取り、削除IDリスト135を暗号化して、暗号化削除リストを生成する。暗号部214は、生成した暗号化削除IDリストを、処理データ生成部215へ出力する。
【0091】
また、アクセス要求処理において、暗号部214は、端末ID記憶部22から、端末ID「ID_A」を読み出し、更に、復号部213から、ランダム鍵Krを受け取る。暗号部214は、ランダム鍵Krを暗号鍵として用い、「ID_A」に暗号アルゴリズムE5を施し、暗号化端末ID「E5(Kr,ID_A)」を生成し、生成した暗号化端末IDを、アクセス要求生成部217へ出力する。
【0092】
(e)処理データ生成部215は、登録要求データ及び削除要求データを生成する。
(登録要求データ120生成)
ここでは、具体例として、図5(a)に示した登録要求データ120を生成する処理について説明する。
処理データ生成部215は、予め内部に登録要求データ制御情報を保持している。登録要求データ制御情報は、登録要求データの生成に用いられる情報であって、登録要求データ120の登録コマンド121「/touroku」のみが記述されており、暗号化登録IDリスト122、パスワード123及び署名データ124が空欄になっている。
【0093】
処理データ生成部215は、端末ID記憶部22から自機の端末ID「ID_A」を受け取り、外部入力I/F24を介して、自機のアクセス可能回数「制限なし」、アクセス可能期間「制限なし」、アクセス可能領域「制限なし」、及びアクセス可能アプリ「制限なし」の入力を受け付け、登録情報126を生成する。
また、処理データ生成部215は、外部入力I/F24を介して、PDA30の端末ID「ID_B」、PDA30のアクセス可能回数「3」、アクセス可能期間「2004,8,1〜2005,7,31」、及びアクセス可能領域「ブロック2」の入力を受け付ける。なお、PDA30のアクセス可能アプリについては入力を受け付けないか、又はアクセスの権利が無い旨の入力を受け付けることとする。処理データ生成部215は、受け付けた情報から登録情報127を生成する。
【0094】
処理データ生成部215は、登録情報126及び登録情報127から、登録IDリスト125を生成する。処理データ生成部215は、生成した登録IDリスト125を暗号部214へ出力し、暗号部214から、登録IDリスト125が暗号化されて生成された暗号化登録IDリスト122を受け取る。
処理データ生成部215は、登録要求データ制御情報に、暗号化登録IDリスト122を書き込む。
【0095】
処理データ生成部215は、外部入力I/F24を介してパスワード「PW_A」の入力を受け付け、受け付けたパスワード「PW_A」を登録要求データ制御情報に書き込む。
また、処理データ生成部215は、署名生成部216から署名データ「Sig_A」を受け取り、受け取った署名データ「Sig_A」を登録要求データ制御情報に書き込み、登録要求データ120を生成する。処理データ生成部215は、登録要求データ120を、記録担体I/F21を介して記録担体10へ出力する。
【0096】
(削除要求データ130生成)
ここでは、具体例として、図5(c)に示した削除要求データ130を生成する処理について説明する。
処理データ生成部215は、予め内部に削除要求データ制御情報を保持している。削除要求データ制御情報は、削除要求データの生成に用いられる情報であって、削除要求データ130の削除コマンド131「/sakujo」のみが記述されており、暗号化削除IDリスト132、パスワード133及び署名データ134が空欄になっている。
【0097】
処理データ生成部215は、外部入力I/F24から、端末ID「ID_C」及び「ID_D」の入力を受け付け、「ID_C」及び「ID_D」から成る削除IDリスト135を生成する。処理データ生成部215は、削除IDリスト135を、暗号部214へ出力し、暗号部214から、削除IDリスト135が暗号化されて生成された暗号化削除IDリスト132を受け取る。
【0098】
処理データ生成部215は、削除要求データ制御情報に、暗号化削除IDリスト132を書き込む。
処理データ生成部215は、外部入力I/F24を介してパスワード「PW_A´」の入力を受け付け、受け付けたパスワード「PW_A´」を削除要求データ制御情報に書き込む。
【0099】
また、処理データ生成部215は、署名生成部216から署名データ「Sig_A´」を受け取り、受け取った署名データ「Sig_A´」を削除要求データ制御情報に書き込み、削除要求データ130を生成する。処理データ生成部215は、削除要求データ130を、記録担体I/F21を介して記録担体10へ出力する。
(f)署名生成部216は、予め内部に署名鍵を保持している。署名鍵は、記録担体10が保持している検証鍵に対応している。署名生成部216は、処理データ生成部215により生成された登録コマンド、暗号化登録IDリスト、及びパスワードに対し、署名鍵を用いて、署名データを生成する。署名生成部216は、生成した署名データを処理データ生成部215へ出力する。
【0100】
なお、署名生成部216で用いられる署名生成のアルゴリズムは、記録担体10の署名検査部108で用いられる署名検証のアルゴリズムに対応し、公開鍵暗号方式を用いたデジタル署名方式である。
(g)アクセス要求生成部217は、予め内部にアクセス要求制御情報を保持している。アクセス要求制御情報は、アクセス要求の生成に用いられる情報であって、図8(a)に示したアクセス要求160のアクセスコマンド161「/access」のみが記述されており、暗号化端末ID162及び要求データ識別情報163が空欄になっている。
【0101】
以下では、具体例としてアクセス要求160の生成処理について説明する。アクセス要求生成部217は、暗号部214から、自機の端末ID「ID_A」が暗号化されて生成された暗号化端末ID162「E5=(Kr,ID_A)」を受け取り、受け取った暗号化端末ID162を、アクセス要求制御情報に書き込む。また、アクセス要求生成部217は、外部入力I/F24を介して、要求データ識別情報163「アドレス帳」を受け取り、受け取った要求データ識別情報163を、アクセス要求制御情報に書き込み、アクセス要求160を生成する。アクセス要求生成部217は、生成したアクセス要求160を、記録担体I/F21を介して、記録担体10へ出力する。
【0102】
(h)データ出力部218は、記録担体I/F21を介して記録担体10から、データを受け取り、受け取ったデータを、表示部25へ出力する。
(4)外部入力I/F24
外部入力I/F24は、具体的には、携帯電話機20の操作面上に設けられた複数のキーである。外部入力I/F24は、ユーザによりキーが押下されると、押下されたキーに対応する信号を生成し、生成した信号を制御部23へ出力する。
【0103】
(5)表示部25
表示部25は、具体的にはディスプレィユニットであり、データ出力部218から出力されるデータをディスプレィに表示する。
3.PDA30
PDA30は、携帯電話機20と同一のユーザが所有する情報端末であるとする。PDA30は、カードスロットを備え、カードスロットに記録担体10を装着することができる。また、PDA30は、自機の端末IDである「ID_B」を予め内部に保持している。なお、PDA30は、携帯電話機20と同様の構成を有しているため、PDA30の構成は図示していない。
【0104】
PDA30が、携帯電話機20と異なる点は、記録担体10に対して、機器情報の登録は行わず、アクセス要求のみ行う点である。PDA30は、アクセス要求処理において、自機の端末ID「ID_B」を読み出し、読み出した端末IDを暗号化して、暗号化端末IDを生成する。PDA30は、生成した暗号化端末IDを含むアクセス要求を、記録担体10に出力する。
【0105】
図8(b)に示したアクセス要求170は、PDA30により生成されるアクセス要求の一例である。同図に示す様に、アクセス要求170は、アクセスコマンド171「/access」、暗号化端末ID172「E5(Kr,ID_B)」及び要求データ識別情報173「保護メールデータ」から成る。
4.PC40
PC40は、携帯電話機20と同一のユーザが所有する情報端末であるとする。PC40は、カードスロットを備え、カードスロットに記録担体10を装着することができる。また、PC40は、自機の端末IDである「ID_C」を予め内部に保持している。なお、PC40は、携帯電話機20と同様の構成を有しているため、PC40の構成は図示していない。
【0106】
PC40は、PDA30と同様に、記録担体10に対して、機器情報の登録は行わず、アクセス要求のみ行う。PC40は、アクセス要求処理において、自機の端末ID「ID_C」を読み出し、読み出した端末IDを暗号化して、暗号化端末IDを生成する。PC40は、生成した暗号化端末IDを含むアクセス要求を、記録担体10に出力する。
図8(c)に示したアクセス要求180は、PC40により生成されるアクセス要求の一例である。同図に示す様に、アクセス要求180は、アクセスコマンド181「/access」、暗号化端末ID182「E5(Kr,ID_C)」及び要求データ識別情報183「APP2」から成る。
【0107】
5.携帯電話機50
携帯電話機50は、携帯電話機20、PDA30及びPC40のユーザとは異なる人物が所有する情報端末であるとする。携帯電話機50は、カードスロットを備え、カードスロットに記録担体10を装着することができる。また、携帯電話機50は、自機の端末IDである「ID_E」を予め内部に保持している。なお、携帯電話機50は、携帯電話機20と同様の構成を有しているため、携帯電話機50の構成は図示していない。
【0108】
以下では、携帯電話機50のユーザは、他人の所有物である記録担体10を自機のカードスロットに装着して、記録担体10に記録されているデータにアクセスしようとする場合を想定する。
携帯電話機50は、自機の端末ID「ID_E」を読み出し、読み出した端末IDを暗号化して、暗号化端末IDを生成する。携帯電話機50は、生成した暗号化端末IDを含むアクセス要求を、記録担体10に出力する。
【0109】
図8(d)に示したアクセス要求190は、携帯電話機50により生成されるアクセス要求の一例である。同図に示す様に、アクセス要求190は、アクセスコマンド191「/access」、暗号化端末ID192「E5(Kr,ID_E)」及び要求データ識別情報193「画像データ」から成る。
記録担体10は、他人の機器である携帯電話機50については、アクセス可能機器テーブル140に登録していない。そのため、携帯電話機50は、記録担体10にアクセス要求190を出力しても、記録担体10により、データアクセスの権利が無いと判断され、記録担体10のデータにアクセスすることは出来ない。
【0110】
<動作>
(全体)
図11は、データ保護システム1全体の動作を示すフローチャートである。
要求が発生し(ステップS1)、要求に応じた処理が行われる。ステップS1で発生した要求が「登録」の場合、機器情報登録処理を行う(ステップS2)。要求が「削除」の場合、機器情報削除処理を行う(ステップS3)。要求が「アクセス」の場合、データアクセス処理を行う(ステップS4)。要求された処理が終了すると、ステップS1に戻る。
【0111】
(機器情報登録処理)
図12(a)は、記録担体10と携帯電話機20とにおける、機器情報登録処理の動作を示すフローチャートである。なお、ここに示す動作は、図11のステップS2の詳細である。
携帯電話機20は、機器情報の登録を示す処理要求を受け付け(ステップS10)、記録担体10に対して、処理開始要求を出力する(ステップS11)。記録担体10が処理開始要求を受け取ると、記録担体10と携帯電話機20との間で、チャレンジ‐レスポンス認証を行い(ステップS12)、その後、登録処理を行う(ステップS13)。
【0112】
(機器情報削除処理)
図12(b)は、記録担体10と携帯電話機20とにおける、機器情報削除処理の動作を示すフローチャートである。なお、ここに示す動作は、図11のステップS3の詳細である。
携帯電話機20は、機器情報の削除を示す処理要求を受け付け(ステップS20)、
記録担体10に対して、処理開始要求を出力する(ステップS21)。記録担体10が処理開始要求を受け取ると、記録担体10と携帯電話機20との間で、チャレンジ‐レスポンス認証を行い(ステップS22)、その後、削除処理を行う(ステップS23)。
【0113】
(チャレンジ‐レスポンス認証)
図13は、記録担体10と携帯電話機20とにおける、チャレンジ‐レスポンス認証の動作を示すフローチャートである。なお、ここに示す動作は、図12(a)のステップS12、及び、図12(b)のステップS22の詳細である。
先ず、記録担体10の乱数生成部102は、処理開始要求受付部101から乱数生成の指示を受け、乱数rを生成する(ステップS101)。乱数生成部102は、生成した乱数rを、端末I/F11を介して携帯電話機20へ出力し、携帯電話機20の記録担体I/F21は、乱数rを受け取る(ステップS102)。
【0114】
また、乱数生成部102は、ステップS101で生成した乱数rをレスポンスデータ検査部103へ出力し、レスポンスデータ検査部103は、内部に保持する共通鍵
Kcを暗号鍵として用い、乱数rに暗号アルゴリズムE1を施して、暗号化データC1を生成する(ステップS103)。
一方、携帯電話機20の制御部23は、記録担体I/F21から乱数rを受け取り、内部に保持する共通鍵Kcを暗号鍵として用い、乱数rに暗号アルゴリズムE1を施して、暗号化データC1´を生成する(ステップS104)。制御部23は、生成した暗号化データC1´を、記録担体I/F21を介して記録担体10に出力し、記録担体10の端末I/F11は、暗号化データC1´を受け取る(ステップS105)。
【0115】
レスポンスデータ検査部103は、ステップS103で生成した暗号化データC1と、ステップS104で、携帯電話機20により生成された暗号化データC1´とを比較する。C1とC1´とが一致する場合(ステップS106でYES)、レスポンスデータ検査部103は、携帯電話機20の認証に成功したと判断し(ステップS107)、その後、携帯電話機20との間で、登録処理、又は削除処理を行う。
【0116】
C1とC1´とが一致しない場合(ステップS106でNO)、レスポンスデータ検査部103は、携帯電話機20の認証に失敗したと判断し(ステップS108)、認証に失敗した旨を示すエラーメッセージを、端末I/F11を介して携帯電話機20へ出力し、携帯電話機20の記録担体I/F21は、エラーメッセージを受け取る(ステップS109)。携帯電話機20の制御部23は、記録担体I/F21からエラーメッセージを受け取り、表示部25に表示する(ステップS110)。
【0117】
(登録)
(a)記録担体10による登録処理
図14及び図15は、記録担体10による登録処理の動作を示すフローチャートである。なお、ここに示す動作は、図12(a)のステップS13の詳細である。
機器情報登録部14の公開鍵取得部104は、携帯電話機20の公開鍵PK20を取得する(ステップS202)。ランダム鍵生成部105は、レスポンスデータ検査部103から指示を受け、ランダム鍵Krを生成する(ステップS203)。
【0118】
暗号部106は、携帯電話機20の公開鍵PK20と、ランダム鍵Krとを取得して、公開鍵PK20を暗号鍵として用い、ランダム鍵Krに暗号アルゴリズムE2を施して、暗号化ランダム鍵E2(PK20,Kr)を生成する(ステップS204)。暗号部106は、生成した暗号化ランダム鍵E2(PK20,Kr)を、端末I/F11を介して携帯電話機20へ出力する(ステップS205)。
【0119】
次に、処理データ受付部107は、携帯電話機20から登録要求データを受け付ける(ステップS206)。処理データ受付部107は、受け付けた登録要求データを署名検査部108へ出力する。
署名検査部108は、登録要求データを受け取り、受け取った登録要求データから、署名データを抽出する(ステップS207)。署名検査部108は、抽出した署名データに検証鍵及び署名検証アルゴリズムを用いて、署名データを検査する(ステップS208)。署名データの検証に失敗した場合(ステップS209でNO)、署名検査部108は、端末I/F11を介して、携帯電話機20に、署名検証に失敗した旨のエラーメッセージを出力する(ステップS214)。署名データの検証に成功した場合(ステップS209でYES)、署名検査部108は、登録要求データをパスワード検査部109へ出力する。
【0120】
パスワード検査部109は、登録要求データを受け取り、受け取った登録要求データから、パスワードを抽出する(ステップS210)。次に、パスワード検査部109は、機器情報記憶部15に記憶されている正しいパスワードを読み出す(ステップS211)。パスワード検査部109はステップS210で抽出したパスワードと、ステップS211で読み出した正しいパスワードとが一致するか否か判断する。
【0121】
パスワードが一致しない場合(ステップS212でNO)、パスワード検査部109は、端末I/F11を介して、携帯電話機20に、パスワード認証に失敗した旨のエラーメッセージを出力する(ステップS214)。パスワードが一致する場合(ステップS212でYES)、パスワード検査部109は、登録要求データを、復号部110へ出力する。
【0122】
復号部110は、登録要求データを受け取り、受け取った登録要求データから暗号化登録IDリストを抽出する(ステップS213)。復号部213は、ランダム鍵生成部105が生成したランダム鍵を用いて、暗号化登録IDリストを復号し(ステップS215)、復号した登録IDリストを、データ制御部111へ出力する。
データ制御部111は、ステップS216からステップS222まで登録情報毎に繰り返す。データ制御部111は、登録情報から端末IDを抽出する(ステップS217)。データ制御部111は、ステップS217で抽出した端末IDと、機器情報記憶部15に記憶されているアクセス可能機器テーブルに登録されている全ての端末IDとを比較する(ステップS218)。
【0123】
アクセス可能機器テーブルに、一致する端末IDがある場合(ステップS219でYES)、データ制御部111は、端末I/F11を介して携帯電話機20に、当該端末IDにより識別される機器は既に登録済みである旨のエラーメッセージを出力する(ステップS220)。アクセス可能機器テーブルに、一致する端末IDが無い場合(ステップS219でNO)、データ制御部111は、機器情報記憶部15に記憶されているアクセス可能機器テーブルに、登録情報を書き込む(ステップS221)。
【0124】
(b)携帯電話機20による登録処理
図16及び図17は、携帯電話機20による登録処理の動作を示すフローチャートである。なお、ここに示す動作は、図12(a)のステップS13の詳細である。
制御部23の復号部213は、記録担体I/F21を介して記録担体10から、携帯電話機20の公開鍵PK20を用いて暗号化された暗号化ランダム鍵E2(PK20,Kr)を取得する(ステップS233)。復号部213は、受け取った暗号化ランダム鍵E2(PK20,Kr)から、ランダム鍵Krを復号する(ステップS234)。
【0125】
続いて、携帯電話機20は、ステップS235からステップS242まで、登録する機器毎に繰り返す。
制御部23の処理データ生成部215は、登録する機器の端末IDを取得する(ステップS236)。ここで、登録する機器が自機(携帯電話機20)の場合、処理データ生成部215は、端末ID記憶部22から端末IDを取得する。登録する機器が他機の場合、処理データ生成部215は、外部入力I/F24から端末IDを取得する。
【0126】
次に、処理データ生成部215は、外部入力I/F24から受け取る入力信号に基づき、アクセス可能回数を設定する(ステップS237)。同様に、処理データ生成部215は、外部入力I/F24から受け取る入力信号に基づき、アクセス可能期間を設定し(ステップS238)、アクセス可能領域を設定し(ステップS239)、アクセス可能アプリ(ステップS240)を設定する。処理データ生成部215は、ステップS236で取得した端末ID、及びステップS237からステップS240で設定したデータとを1レコードとする登録情報を生成する(ステップS241)。
【0127】
処理データ生成部215は、ステップS235からステップS242までの繰り返し処理で生成された全てのレコードからなる登録IDリストを生成する(ステップS243)。
処理データ生成部215は、登録要求データ制御情報を読み出す(ステップS244)。次に、処理データ生成部215は、ステップS243で生成した登録IDリストを、暗号部214へ出力する。暗号部214は、登録IDリストを受け取り、受け取った登録IDリストをステップS234で復号したランダム鍵Krを暗号鍵として用い、暗号化登録IDリストE3(Kr,登録IDリスト)を生成する(ステップS245)。
【0128】
次に、処理データ生成部215は、外部入力I/F24を介して、パスワードPW_Aの入力を受け付ける(ステップS246)。また、署名生成部216は、登録コマンド、暗号化登録IDリスト及びパスワードに基づき、署名データSig_Aを生成する(ステップS247)。署名生成部216は、生成した署名データSig_Aを、処理データ生成部215へ出力する。
【0129】
処理データ生成部215は、登録要求データ制御情報に、暗号化登録IDリスト、パスワード、署名データを書き込み、登録要求データを生成する(ステップS248)。処理データ生成部215は、生成した登録要求データを、記録担体I/F21を介して、記録担体10へ出力する(ステップS249)。
その後、携帯電話機20は、エラーメッセージを受け取る場合(ステップS250でYES)、データ出力部218を介して表示部25に、エラーメッセージを表示する(ステップS251)。携帯電話機20は、エラーメッセージを受け取らない場合(ステップS250でNO)、処理を終了する。
【0130】
(削除)
(a)記録担体10による削除処理
図18及び図19は、記録担体10による削除処理の動作を示すフローチャートである。なお、ここに示す動作は、図12(b)のステップS23の詳細である。
機器情報登録部14の公開鍵取得部104は、携帯電話機20の公開鍵PK20を取得する(ステップS302)。ランダム鍵生成部105は、レスポンスデータ検査部103から指示を受け、ランダム鍵Krを生成する(ステップS303)。
【0131】
暗号部106は、携帯電話機20の公開鍵PK20と、ランダム鍵Krとを受け取り、公開鍵PK20を暗号鍵として用い、ランダム鍵Krに暗号アルゴリズムE2を施して、暗号化ランダム鍵E2(PK20,Kr)を生成する(ステップS304)。暗号部106は、生成した暗号化ランダム鍵E2(PK20,Kr)を、端末I/F11を介して携帯電話機20へ出力する(ステップS305)。
【0132】
次に、処理データ受付部107は、携帯電話機20から削除要求データを受け付ける(ステップS306)。処理データ受付部107は、受け付けた削除要求データを署名検査部108へ出力する。
署名検査部108は、削除要求データを受け取り、受け取った削除要求データから、署名データを抽出する(ステップS307)。署名検査部108は、抽出した署名データに検証鍵及び署名検証アルゴリズムを用いて、署名データを検査する(ステップS308)。署名データの検証に失敗した場合(ステップS309でNO)、署名検査部108は、端末I/F11を介して、携帯電話機20に、署名検証に失敗した旨のエラーメッセージを出力する(ステップS314)。署名データの検証に成功した場合(ステップS309でYES)、署名検査部108は、削除要求データをパスワード検査部109へ出力する。
【0133】
パスワード検査部109は、削除要求データを受け取り、受け取った削除要求データから、パスワードを抽出する(ステップS310)。次に、パスワード検査部109は、機器情報記憶部15に記憶されている正しいパスワードを読み出す(ステップS311)。パスワード検査部109はステップS310で抽出したパスワードと、ステップS311で読み出した正しいパスワードとが一致するか否か判断する。
【0134】
パスワードが一致しない場合(ステップS312でNO)、パスワード検査部109は、端末I/F11を介して、携帯電話機20に、パスワード認証に失敗した旨のエラーメッセージを出力する(ステップS314)。パスワードが一致する場合(ステップS312でYES)、パスワード検査部109は、削除要求データを、復号部110へ出力する。
【0135】
復号部110は、削除要求データを受け取り、受け取った削除要求データから暗号化削除IDリストを抽出する(ステップS313)。復号部213は、ランダム鍵生成部105が生成したランダム鍵を用いて、暗号化削除IDリストを復号し(ステップS315)、復号した削除IDリストを、データ制御部111へ出力する。
データ制御部111は、ステップS316からステップS322まで端末ID毎に繰り返す。データ制御部111は、登録情報から端末IDを抽出する(ステップS317)。データ制御部111は、ステップS317で抽出した端末IDが、機器情報記憶部15に記憶されているアクセス可能機器テーブルに、登録されているか確認する。(ステップS318)。
【0136】
アクセス可能機器テーブルに、同一の端末IDが存在しない場合(ステップS319でNO)、データ制御部111は、端末I/F11を介して携帯電話機20に、当該端末IDにより識別される機器は、アクセス可能機器として登録されていない旨のエラーメッセージを出力する(ステップS321)。アクセス可能機器テーブルに、同一の端末IDが存在する場合(ステップS319でYES)、データ制御部111は、機器情報記憶部15に記憶されているアクセス可能機器テーブルから、当該端末IDを含むアクセス可能機器情報を削除する(ステップS220)。
【0137】
(b)携帯電話機20による削除処理
図20は、携帯電話機20による削除処理の動作を示すフローチャートである。なお、ここに示す動作は、図12(b)のステップS23の詳細である。
制御部23の復号部213は、記録担体I/F21を介して記録担体10から、携帯電話機20の公開鍵PK20を用いて暗号化された暗号化ランダム鍵E2(PK20,Kr)を取得する(ステップS333)。復号部213は、受け取った暗号化ランダム鍵E2(PK20,Kr)から、ランダム鍵Krを復号する(ステップS334)。
【0138】
制御部23の処理データ生成部215は、削除する全ての機器の端末IDを取得する(ステップS335)。ここで、登録する機器が自機(携帯電話機20)の場合、処理データ生成部215は、端末ID記憶部22から端末IDを取得する。登録する機器が他機の場合、処理データ生成部215は、外部入力I/F24から端末IDを取得する。処理データ生成部215は、取得した全ての端末IDからなる削除IDリストを生成する(ステップS336)。
【0139】
処理データ生成部215は、削除要求データ制御情報を読み出す(ステップS338)。次に、処理データ生成部215は、ステップS336で生成した削除IDリストを、暗号部214へ出力する。暗号部214は、削除IDリストを受け取り、受け取った登録IDリストをステップS334で復号したランダム鍵Krを暗号鍵として用い、暗号化削除IDリストE3(Kr,削除IDリスト)を生成する(ステップS338)。
【0140】
次に、処理データ生成部215は、外部入力I/F24を介して、パスワードPW_Aの入力を受け付ける(ステップS339)。また、署名生成部216は、削除コマンド、暗号化削除IDリスト及びパスワードに基づき、署名データSig_A´を生成する(ステップS340)。署名生成部216は、生成した署名データSig_A´を、処理データ生成部215へ出力する。
【0141】
処理データ生成部215は、削除要求データ制御情報に、暗号化削除IDリスト、パスワード、署名データを書き込み、削除要求データを生成する(ステップS341)。処理データ生成部215は、生成した削除要求データを、記録担体I/F21を介して、記録担体10へ出力する(ステップS2342)。
その後、携帯電話機20は、エラーメッセージを受け取る場合(ステップS343でYES)、データ出力部218を介して表示部25に、エラーメッセージを表示する(ステップS344)。携帯電話機20は、エラーメッセージを受け取らない場合(ステップS343でNO)、処理を終了する。
【0142】
(アクセス処理)
図21は、データ保護システム1におけるデータアクセス処理の動作を示すフローチャートである。なお、ここに示す動作は、図11のステップS4の詳細である。
カードスロットに、記録担体10を装着している情報端末は、ユーザから所定データへの表示要求を受け付け(ステップS401)、処理開始要求を生成する(ステップS402)。情報端末は、処理開始要求を記録担体10へ出力し、記録担体10は、処理開始要求を受け取る(ステップS403)。
【0143】
記録担体10は、情報端末の公開鍵PKNを取得する(ステップS404)。Nは、N=20、30、40、又は50である。次に、記録担体10は、ランダム鍵Krを生成する(ステップS405)。記録担体10は、ステップS404で取得した公開鍵PKNを暗号鍵として用い、ステップS405で生成したランダム鍵Krに、暗号アルゴリズムE4を施し、暗号化ランダム鍵E4(PKN,Kr)を生成する(ステップS406)。記録担体10は、暗号化ランダム鍵を情報端末へ出力し、情報端末は、暗号化ランダム鍵を受け取る(ステップS407)。
【0144】
情報端末は、ランダム鍵Krを復号する(ステップS408)。次に、情報端末は、内部に記憶している自機の端末IDを読み出し(ステップS409)、ランダム鍵Krを暗号鍵として用い、端末IDに暗号アルゴリズムE5を施して、暗号化端末IDE5(Kr,端末ID)を生成する(ステップS410)。
次に、情報端末は、予め内部に保持するアクセス要求制御情報を読み出し(ステップS411)、アクセス要求制御情報に、暗号化端末IDとアクセス要求データ識別情報とを書き込み、アクセス要求を生成する(ステップS412)。情報端末は、アクセス要求を記録担体10へ出力し、記録担体10は、アクセス要求を受け取る(ステップS413)。
【0145】
記録担体10は、アクセス可否判断を行い(ステップS414)、アクセス可否判断の結果に基づき、データを情報端末へ出力し、情報端末は、記録担体10から出力されるデータを受け取り(ステップS415)、表示する(ステップS416)。なお、ステップS415は、ステップS414のアクセス可否判断の結果によっては、情報端末が要求したデータではなく、エラーメッセージが出力される。
【0146】
(可否判断)
図22及び図23は、記録担体10によるアクセス可否判断の動作を示すフローチャートである。なお、ここに示す動作は、図21のステップS414の詳細である。
制御部16の復号部155は、アクセス要求から暗号化端末IDを抽出し(ステップS500)、ランダム鍵生成部152から受け取るランダム鍵を復号鍵として用い、端末IDを復号する(ステップS501)。復号部155は、復号した端末IDとアクセス要求データ識別情報とを判断部156へ出力する。
【0147】
判断部156は、機器情報記憶部15からアクセス可能機器テーブルを読み出し、復号部155から受け取った端末IDと同一の端末IDが、アクセス可能機器テーブルに登録されているか否か判断する。同一の端末IDが登録されていない場合(ステップS502でNO)、判断部156は、端末I/F11を介して情報端末へ、アクセスを拒否する旨のエラーメッセージを出力する(ステップS510)。
【0148】
同一の端末IDが登録されている場合(ステップS502でYES)、判断部156は、アクセス可能機器テーブルから、当該端末IDを含むアクセス可能機器情報を抽出する(ステップS503)。判断部156は、抽出したアクセス可能機器情報から、アクセス可能回数を抽出し、更に、当該端末IDにより識別される機器のアクセス回数を読み出す(ステップS504)。
【0149】
判断部156は、アクセス回数とアクセス可能回数とを比較し、アクセス回数がアクセス可能回数以上の場合(ステップS505でYES)、端末I/F11を介して情報端末へ、アクセスを拒否する旨のエラーメッセージを出力する(ステップS510)。
アクセス回数がアクセス可能回数未満の場合(ステップS505でNO)、判断部156は、アクセス可能機器情報から、アクセス可能期間を抽出し、更に、日付管理部157から、日時情報を取得する(ステップS506)。判断部156は、日付情報が示す現在日時が、アクセス可能期間内であるか否か判断する。現在が、アクセス可能期間外の場合(ステップS507でNO)、判断部156は、端末I/F11を介して情報端末へ、アクセスを拒否する旨のエラーメッセージを出力する(ステップS510)。
【0150】
現在が、アクセス可能期間内である場合(ステップS507でYES)、判断部156は、内部に保持するテーブル200を参照し、受け取った要求データ識別情報により識別されるデータが記憶されているメモリブロックを判別する(ステップS508)。更に、判断部156は、アクセス可能機器情報から、アクセス可能領域を抽出し(ステップS509)、アクセス要求されているデータが記憶されているメモリブロックが、アクセス可能領域に含まれるか否か判断する。
【0151】
当該メモリブロックが、アクセス可能領域でない場合(ステップS511でNO)、判断部156は、端末I/F11を介して情報端末へ、アクセスを拒否する旨のエラーメッセージを出力する(ステップS517)。当該メモリブロックが、アクセス可能領域である場合(ステップS511でYES)、判断部156は、要求データ識別情報から、アクセス要求されているデータが、アプリケーションプログラムであるか否か判断する。アクセス要求されているデータが、アプリケーションプログラムでない場合(ステップS512でNO)、ステップS515に進み、処理を続ける。
【0152】
アクセス要求されているデータが、アプリケーションプログラムである場合(ステップS512でYES)、判断部156は、アクセス可能機器情報から、アクセス可能アプリを抽出する(ステップS513)。判断部156は、アクセス要求されているアプリケーションプログラムが、アクセス可能アプリに含まれるか否か判断する。
アクセス要求されているアプリケーションプログラムが、アクセス可能アプリでない場合(ステップS514でNO)、判断部156は、端末I/F11を介して、情報端末へ、アクセス拒否を示すエラーメッセージを出力する(ステップS517)。
【0153】
アクセス要求されているアプリケーションプログラムが、アクセス可能アプリである場合(ステップS514でYES)、判断部156は,メモリアクセス部158へデータの読み出しを指示し、メモリアクセス部158は、データ記憶部12内のアクセス制限領域13から、要求されたデータを読み出す(ステップS515)。
データ入出力部159は、メモリアクセス部158から読み出したデータを受け取り、端末I/F11を介して、情報端末へデータを出力する(ステップS516)。
【0154】
≪第1実施形態の変形例≫
ここでは、第1実施形態であるデータ保護システム1の変形例として、データ保護システム1aについて説明する。
図24は、データ保護システム1aの構成を示す。同図に示す様に、データ保護システム1aは、記録担体10a、携帯電話機20a、PDA30a、PC40a、携帯電話機50a、及び登録サーバ60aから構成される。
【0155】
データ保護システム1は、携帯電話機20が、記録担体10に対して機器情報の登録及び削除を要求する専用機器であったが、データ保護システム1aは、記録担体10aに対して機器情報の登録及び削除を要求するための登録サーバ60aを設けたことが特徴である。
1.記録担体10a
図25は、記録担体10aの構成を機能的に示す機能ブロック図である。
【0156】
同図に示す様に、記録担体10aは、端末I/F11a、データ記憶部12a、アクセス制限領域13a、機器情報登録部14a、機器情報記憶部15a、制御部16a、及びカードID記憶部17aから構成される。図2に示した記録担体10との構成上の違いは、カードID記憶部17aを備える点である。
端末I/F11a、データ記憶部12a、アクセス制限領域13a、機器情報記憶部15a、及び制御部16aは、それぞれ、第1実施形態の記録担体10の構成要素である端末I/F11、データ記憶部12、アクセス制限領域13、機器情報記憶部15、及び制御部16と同様の機能を有するため、説明を省略する。
【0157】
以下では、記録担体10と異なる部分を中心に説明する。
カードID記憶部17aは、記録担体10aを一意に識別するためのカードID「CID_A」を記憶している。
機器情報登録部14aは、情報端末を介して、後に説明する登録サーバ60aとの間で、チャレンジ‐レスポンス認証を行った後、登録要求データ及び削除要求データを受け取る。チャレンジ‐レスポンス認証の詳細は、図13に示したフローチャートの「記録担体10」を「記録担体10a」に置き換え、「携帯電話機20」を「登録サーバ60a」に置き換えた処理と同様である。
【0158】
登録要求データは、登録コマンド、暗号化登録IDリスト、カードID、端末ID、及び署名データから成る。カードIDは、機器情報の登録先である記録担体を識別するための情報であり、端末IDは、機器情報の登録先である記録担体が装着されている情報端末を識別するための情報である。また、署名データは、登録コマンド、暗号化端末IDリスト、カードID及び端末IDに基づき生成されたデジタル署名である。登録要求データの一例は、図27(a)に示す登録要求データ310である。
【0159】
削除要求データは、削除コマンド、暗号化削除IDリスト、カードID、端末ID、及び署名データから成る。カードIDは、機器情報の削除先である記録担体を識別するための情報であり、端末IDは、機器情報の削除先である記録担体が装着されている情報端末を識別するための情報である。また、署名データは、削除コマンド、暗号化削除IDリスト、カードID及び端末IDに基づき生成されたデジタル署名である。削除要求データの一例は、図27(b)に示す削除要求データ320である。
【0160】
機器情報登録部14aは、登録要求データ及び削除要求データに含まれるカードIDと、カードID記憶部17aに記憶されているカードIDとが一致するか否か判断する。また、機器情報登録部14aは、登録要求データ及び削除要求データに含まれる端末IDと、記録担体10aが装着されている情報端末の機器IDとが一致するか否か判断する。
更に、機器情報登録部14aは、登録サーバ60aにより生成された署名データを検証するための検証鍵を予め保持していおり、検証鍵を用いて、登録要求データ及び削除要求データに含まれる署名データを検証し、登録要求データ及び削除要求データが改ざんされていないか判断する。
【0161】
カードIDが一致し、端末IDが一致し、更に、署名データの検証に成功した場合に、機器情報登録部14aは、アクセス可能機器情報の登録処理及び削除処理を行う。
2.携帯電話機20a
携帯電話機20aは、図26に示す様に、記録担体I/F21a、端末ID記憶部22a、制御部23a、外部入力I/F24a、表示部25a、及び通信I/F26aから構成される。
【0162】
記録担体I/F21aは、具体的にはカードスロットであり、カードスロットに記録担体10aを装着する。
通信I/F26aは、ネットワーク接続ユニットであり、ネットワークを介して登録サーバ60aと接続されている。
携帯電話機20aは、機器情報登録処理及び機器情報削除処理においては、記録担体10aからの要求に従い端末ID記憶部22aが記憶している自機の端末IDを、記録担体10aに出力する。
【0163】
なお、第1実施形態の携帯電話機20は、登録要求データ及び削除要求データを生成するが、携帯電話機20aは、登録要求データ及び削除要求データは生成せず、登録サーバ60aにより生成された登録要求データ及び削除要求データを、ネットワークを介して受け取り、受け取った登録要求データ及び削除要求データを、記録担体10aへ出力する。
データアクセス処理については、携帯電話機20と同様であるため説明を省略する。
【0164】
3.PDA30a及びPC40a
PDA30a及びPC40aは、携帯電話機20aと同一のユーザが所有する情報端末であるとする。
PDA30a及びPC40aは、携帯電話機20aと同様の構成を有する。PDA30a及びPC40aは、共に、カードスロットを備え、カードスロットに記録担体10aを装着することができる。また、PDA30a及びPC40aは、共に、ネットワーク接続ユニットを備え、ネットワークを介して、登録サーバ60aと接続されている。
【0165】
PDA30a及びPC40aは、それぞれ、機器情報登録処理及び機器情報削除処理では、記録担体10aからの要求に従い、内部に保持する自機の端末IDを、記録担体10aに出力する。
なお、第1実施形態では、記録担体10は、携帯電話機20に装着されているときのみ、機器情報登録処理及び機器情報削除処理を行うことができた。しかし、当該変形例では、PDA30a及びPC40aは、携帯電話機20aと同様に、登録サーバ60aにより生成された登録要求データ及び削除要求データを、ネットワークを介して受け取り、受け取った登録要求データ及び削除要求データを、記録担体10aへ出力する。従って、当該変形例では、記録担体10aは、PDA30a及びPC40aに装着されているときであっても、機器情報登録処理及び機器情報削除処理を行うことができる。
【0166】
データアクセス処理については、PDA30及びPC40と同様であるため説明を省略する。
4.携帯電話機50a
携帯電話機50aは、携帯電話機20a PDA30a及びPC40aのユーザとは異なる人物が所有する情報端末であるとする。
【0167】
携帯電話機50aは、携帯電話機20aと同様の構成を有する。携帯電話機50aは、カードスロットを備え、カードスロットに記録担体10aを装着することができる。また、携帯電話機50aは、ネットワーク接続ユニットを備え、ネットワークを介して、登録サーバ60aと接続可能である。
記録担体10aは、他人の機器である携帯電話機50aについては、アクセス可能機器テーブルに登録していない。そのため、携帯電話機50aは、記録担体10aにアクセス要求を出力しても、記録担体10aにより、データアクセスの権利が無いと判断され、記録担体10aのデータにアクセスすることは出来ない。
【0168】
5.登録サーバ60a
登録サーバ60aは、記録担体に対して、機器情報の登録及び削除を要求するサーバ装置であって、第1実施形態の携帯電話機20における機器情報登録及び機器情報削除に相当する機能を備える。
図26に示す様に、登録サーバ60aは、外部入力I/F61a、制御部62a、及びデータ送信部63aから構成される。
【0169】
外部入力I/F61aは、外部から、機器情報の登録依頼データ及び削除依頼データを受け付ける。
登録依頼データは、登録処理の依頼であることを示す登録指示、登録先である記録担体を識別するためのカードID、登録先である記録担体が装着されている情報端末を識別するための端末ID、アクセス可能回数、アクセス可能機期間、アクセス可能領域、アクセス可能アプリ、登録処理を依頼元であるユーザのユーザ名、ユーザパスワード、及び送信先情報から成る。
【0170】
削除依頼データは、削除処理の依頼であることを示す削除指示、削除先である記録担体を識別するためのカードID、削除先である記録担体が装着されている情報端末を識別するための端末ID、削除処理を依頼元であるユーザのユーザ名、ユーザパスワード、及び送信先情報から成る。
外部入力I/F61aは、受け付けた登録依頼データ及び削除依頼データを制御部62aへ出力する。
【0171】
制御部62aは、第1実施形態の携帯電話機20における制御部23と同様の機能を有する。制御部23との相違は、制御部62aは、予め記録担体10aの所有者から、ユーザ名及びユーザパスワードの登録を受け、これらを記憶している点である。
制御部62aは、外部入力I/F61aから、登録依頼データ及び削除依頼データを受け取り、受け取った登録依頼データ及び削除依頼データに含まれるユーザ名及びパスワードが、登録されているユーザ名及びパスワードと一致するか否か判断し、ユーザ認証を行う。ユーザ認証に成功した場合のみ、制御部62aは、登録依頼データに基づき、登録要求データを生成し、また、削除依頼データに基づき、削除要求データを生成する。
【0172】
制御部62aが生成する登録要求データの一例を図27(a)に示す。同図に示す様に、登録要求データ310は、登録コマンド311「/touroku」、暗号化登録IDリスト312「E(Kr,登録IDリスト)」、カードID313「CID_A」、端末ID314「ID_B」、及び署名データ315「Sig_A」から成る。カードID313「CID_A」及び端末ID314「ID_B」は、外部入力I/F61から受け取る登録依頼データに含まれるカードID及び端末IDである。暗号化登録IDリストの生成方法は、制御部23と同様であり、暗号鍵として用いるKrは、記録担体10aで生成されたランダム鍵である。制御部62は、生成した登録要求データを、送信先情報と共にデータ送信部63aへ出力する。
【0173】
制御部62aが生成する削除要求データの一例を図27(b)に示す。同図に示す様に、削除要求データ320は、削除コマンド321「/sakujo」、暗号化削除IDリスト322「E(Kr,削除IDリスト)」、カードID323「CID_A」、端末ID324「ID_C」、及び署名データ325「Sig_B」から成る。カードID323「CID_A」及び端末ID324「ID_C」は、外部入力I/F61から受け取る削除依頼データに含まれるカードID及び端末IDである。暗号化削除IDリストの生成方法は、制御部23と同様であり、暗号鍵として用いるKrは、記録担体10aで生成されたランダム鍵である。制御部62aは、生成した削除要求データを、送信先情報と共にデータ送信部63aへ出力する。
【0174】
データ送信部63aは、ネットワーク接続ユニットである。データ送信部63aは、制御部62aから、登録要求データと送信先情報とを受け取り、受け取った登録要求データを、ネットワークを介して送信先情報が示す情報端末へ送信する。また、データ送信部63aは、制御部62aから削除要求データと送信先情報とを受け取り、受け取った削除要求データを、ネットワークを介して送信先情報が示す情報端末へ送信する。
【0175】
以上説明した様に、当該変形例では、携帯電話機20aではなく、登録サーバ60aが、登録要求データ及び削除要求データを生成し、生成した登録要求データ及び削除要求データを、記録担体10aが装着されている情報端末経由で、記録担体10aへ送信することが特徴である。これにより、携帯電話機20aだけでなく、PDA30a、及びPC40aに、記録担体10aが装着された状態でも、機器情報の登録及び削除が行えるようになった。
【0176】
また、登録サーバ60aは、登録要求データ及び削除要求データの生成前に、ユーザ名及びユーザパスワードを用いたユーザ認証を行うことにより、携帯電話機50aのユーザによる不正な機器情報の登録を抑制することができる。
≪第2実施形態≫
ここでは、第2実施形態であるデータ保護システム2について説明する。
【0177】
図28は、データ保護システム2の構成を示す。同図に示す様に、データ保護システム2は、記録担体10b、携帯電話機20b、PDA30b、PC40b、携帯電話機50b、及び管理サーバ70bから構成される。
データ保護システム1では、記録担体10にアクセス可能な機器を示すアクセス可能機器テーブルを、記録担体10自身が保持していたが、データ保護システム2では、記録担体10bにアクセス可能な機器を示すアクセス可能機器テーブルを、管理サーバ70bが保持していることが特徴である。
【0178】
なお、管理サーバ70bへの機器情報の登録及び機器情報の削除は、携帯電話機20bを用いて行う。
<構成>
1.記録担体10b
図29に示す様に、記録担体10bは、端末I/F11b、データ記憶部12b、アクセス制限領域13b、制御部16b、カードID記憶部17b、及び改ざん検査部18bから構成される。
【0179】
記録担体10bは、記録担体10の機器情報登録部14及び機器情報記憶部15に相当する構成要素を有しておらず、カードID記憶部17b及び改ざん検査部18bが追加された構成となっている。
端末I/F11b、データ記憶部12b及びアクセス制限領域13bは、それぞれ、記録担体10の端末I/F11、データ記憶部12及びアクセス制限領域13と同様であるため、説明を省略する。以下では、記録担体10と異なる部分を中心に説明する。
【0180】
カードID記憶部17bは、記録担体10bを一意に識別するためのカードID「CID_A」を記憶している。
改ざん検査部18bは、管理サーバ70bが生成した署名データを検証するための検証鍵を予め保持しており、制御部16bから出力される署名データを、当該検証鍵を用いて検証し、制御部16bが受け取ったデータが改ざんされていないか判断する。改ざん検査部18bは、署名データの検証結果を制御部16bへ出力する。
【0181】
制御部16bは、情報端末からアクセス要求を受け付けると、カードID記憶部17bからカードIDを読み出し、読み出したカードIDを、端末I/F11b、情報端末及びネットワークを介して、管理サーバ70bへ送信する。
制御部16bは、管理サーバ70bからアクセス可能機器テーブルと署名データとを取得し、取得した署名データを改ざん検査部18bへ出力する。改ざん検査部18bによる署名データの検証に成功した場合に、制御部16bは、取得したアクセス可能機器テーブルを用いて、アクセス可否判断を行う。アクセス可否判断については、第1実施形態の記録担体10と同様である。
【0182】
2.携帯電話機20b
携帯電話機20bは、データ保護システム1aの携帯電話機20aと同様の構成を有し、ネットワーク接続ユニットを備え、ネットワークを介して管理サーバ70bに接続可能である。
携帯電話機20bは、第1実施形態の携帯電話機20と同様に、機器情報登録処理及び機器情報削除処理を行う専用機器である。携帯電話機20は、記録担体10との間で、機器情報登録処理及び機器情報削除処理を行ったが、携帯電話機20bは、記録担体10bではなく、アクセス可能機器テーブルを管理している管理サーバ70bとの間で、機器情報登録処理及び機器情報削除処理を行う。
【0183】
携帯電話機20bは、記録担体10bのカードID「CID_A」を含む登録要求データを生成し、生成した登録要求データを管理サーバ70bへ送信する。同様に、携帯電話機20bは、記録担体10bのカードID「CID_A」を含む削除要求データを生成し、生成した削除要求データを管理サーバ70bへ送信する。
また、携帯電話機20bは、カードスロットを備え、カードスロットに記録担体10bが装着された状態において、記録担体10bに対してアクセス要求する。
【0184】
3.PDA30b、PC40b、及び携帯電話機50b
PDA30b、PC40b、及び携帯電話機50bは、それぞれ、PDA30a、PC40a、及び携帯電話機50aと同様の構成を有する。即ち、これらの情報端末は、ネットワーク接続ユニットを備え、ネットワークを介して管理サーバ70bに接続可能である。また、これらの情報端末は、カードスロットを備え、カードスロットに記録担体10bが装着された状態において、記録担体10bにアクセス要求する。
【0185】
なお、これらの情報端末は、管理サーバ70bに対し、機器情報登録処理及び機器情報削除処理は行わない。この点は、第1実施形態と同様である。
4.管理サーバ70b
管理サーバ70bは、図29に示す様に、機器情報登録部71b、機器情報記憶部72b及び制御部73bを備える。
【0186】
機器情報登録部71bは、第1実施形態における記録担体10の機器情報登録部14(図4)と同様の機能及び構成を有する。即ち、機器情報登録部71bは、携帯電話機20bから登録要求データを受け取ると、受け取った登録要求データに基づき、機器情報記憶部72bに、アクセス可能機器情報を登録する。また、機器情報登録部71bは、携帯電話機20bから削除要求データを受け取ると、受け取った削除要求データに基づき、機器情報記憶部72bからアクセス可能機器情報を削除する。
【0187】
機器情報記憶部72bは、アクセス可能機器テーブルを記憶している。アクセス可能機器テーブルの一例を、図30に示す。同図に示す様に、アクセス可能機器テーブル400は、第1実施形態のアクセス可能機器テーブル140(図6)に、カードID401「CID_A」が追加されたデータ構成となっている。
第1実施形態では、記録担体10自身が、アクセス可能機器テーブル140を保持しているため、アクセス可能機器テーブル140が、記録担体10のアクセス制限領域13にアクセス可能な機器を示すのは明らかであった。
【0188】
第2実施形態では、管理サーバ70bがアクセス可能機器テーブル400を保持しているため、カードID401により、当該テーブルが、カードID「CID_A」により識別される記録担体10bのアクセス制限領域にアクセス可能な機器の情報であることを示している。
制御部73bは、情報端末及びネットワークを介して、記録担体10bからカードID「CID_A」を受け取ると、「CID_A」を含むアクセス可能機器テーブル400を、機器情報記憶部72bから抽出する。
【0189】
また、制御部73bは、署名データを生成するための署名鍵を予め保持している。制御部73bは、抽出したアクセス可能機器テーブル400に対して、当該署名鍵を用いて署名データを生成し、アクセス可能機器テーブル400と共に、生成した署名データを、情報端末及びネットワークを介して、記録担体10bに送信する。
<動作>
ここでは、データ保護システム2の動作について説明する。
【0190】
(全体)
図31は、データ保護システム2全体の動作を示すフローチャートである。先ず、携帯電話機20bにおいて、ユーザからの入力を受け付けることにより機器情報の登録要求又は削除要求が発生する(ステップS601)。携帯電話機20bは、ネットワークを介して登録要求又は削除要求を管理サーバ70bへ送信し、管理サーバ70bは、登録要求又は削除要求を受信する(ステップS602)。次に、管理サーバ70b及び携帯電話機20bは、登録処理又は削除処理を行う(ステップS603)。
【0191】
続いて、それぞれが、カードスロットに記録担体10bを装着した携帯電話機20b、PDA30b、PC40b、又は携帯電話機50bにおいて、ユーザからの入力を受け付けることにより、アクセス要求が発生する(ステップS604)。情報端末は、アクセス要求を記録担体10bに出力し、記録担体10bは、アクセス要求を受け取る(ステップS605)。次に、記録担体10b及び管理サーバ70bは、データアクセス処理を行う(ステップS606)。
【0192】
(登録処理及び削除処理)
携帯電話機20bにおける登録処理の動作は、第1実施形態の携帯電話機20における登録処理の動作(図16及び図17)と同様であり、携帯電話機20bにおける削除処理の動作は、第1実施形態の携帯電話機20における削除処理の動作(図20)と同様である。
【0193】
また、管理サーバ70bにおける登録処理の動作は、第1実施形態の記録担体10における登録処理の動作(図14及び図15)と同様であり、管理サーバ70bにおける削除処理の動作は、第1実施形態の記録担体10における削除処理の動作(図18及び図19)と同様である。
(データアクセス処理)
図32は、データアクセス処理の動作を示すフローチャートである。ここに示す動作は、図31のステップS606の詳細である。
【0194】
記録担体10bの制御部16bは、カードID記憶部17bから、カードIDを読み出す(ステップS701)。制御部16bは、読み出したカードIDを、端末I/F11b、情報端末、及びネットワークを介して、管理サーバ70bへ送信し、管理サーバ70bの制御部73bは、カードIDを受信する(ステップS702)。
制御部73bは、受信したカードIDを含むアクセス可能機器テーブルを、機器情報記憶部72bから抽出する(ステップS703)。次に、制御部73bは、抽出したアクセス可能機器テーブルに対する署名データを生成する(ステップS704)。制御部73bは、アクセス可能機器テーブルと署名データとを、情報端末及びネットワークを介して記録担体10bへ送信し、記録担体10bは、アクセス可能機器テーブルと署名データとを受信する(ステップS705)。
【0195】
記録担体10bの改ざん検査部18bは、ステップS705で受信した署名データを受け取り、当該署名データを、内部に保持する検証鍵を用いて検証する(ステップS706)。改ざん検査部18bは、署名データの検証に失敗すると(ステップS707でNO)、データアクセスを拒否する旨のエラーメッセージを生成し、生成したエラーメッセージを情報端末へ出力する(ステップS708)。
【0196】
情報端末は、エラーメッセージを受け取る場合、受け取ったエラーメッセージを表示部に表示する(ステップS709)。
改ざん検査部18bは、署名データの検証に成功すると(ステップS707でYES)、制御部16bに対してその旨を通知する。その後、制御部16bは、アクセス可否判断を行う(ステップS710)。
【0197】
情報端末は、ステップS710のアクセス可否判断の結果により、記録担体10bから受け取る情報を表示部に表示する(ステップS711)。
(アクセス可否判断)
記録担体10bにおけるアクセス可否判断の動作は、第1実施形態の記録担体10におけるアクセス可否判断の動作(図22及び図23)と同様である。
【0198】
≪その他の変形例≫
(1)第1実施形態において、機器情報の登録は、携帯電話機20でなく、他の専用機器を用いてもよい。例えば、携帯電話機の販売店などの専用機器を用い、携帯電話機の販売時に、記録担体にアクセス可能な機器の端末IDを登録するような場合が考えられる。この場合には、登録時のパスワード入力が必要なくなる。
【0199】
(2)第1実施形態及び第2実施形態において、アクセス可能機器情報に、予め正当なユーザのバイオメトリクス情報を含み、アクセス制限領域へのアクセス可否を判断するときに、記録担体は、情報端末を介してユーザのバイオメトリクスを取得し、取得したバイオメトリクスがアクセス可能機器情報に登録されているバイオメトリクス情報と一致するか否かを判断してもよい。
【0200】
バイオメトリクス情報としては、指紋、虹彩、声紋などが考えられる。
(3)第1実施形態及び第2実施形態において、アクセス可能機器情報に、予め正当なユーザにより設定されたパスワードを含み、アクセス制限領域へのアクセス可否を判断するとき、記録担体は、情報端末を介してユーザにより入力されたパスワードを取得し、取得したパスワードがアクセス可能機器情報に登録されているパスワードと一致するか否か判断してもよい。
【0201】
なお、パスワード認証は、アクセス要求の都度行う、一定時間ごとに行う、電源投入直後に行うなど、様々なバリエーションが考えられる。
(4)第2実施形態において、記録担体は、アクセス要求が生じる毎に管理サーバへネットワーク接続し、アクセス可能機器テーブルにアクセスする構成は、必須ではなく、以下のような場合でもよい。
【0202】
例えば、記録担体は、アクセス要求とは無関係に、所定時間毎に管理サーバにアクセスしてもよいし、異なる情報端末のカードスロットに装着される毎に管理サーバにアクセスしてもよい。
(5)第1実施形態の変形例では、記録担体10aと登録サーバ60aとが、機器情報の登録及び削除処理に先立ち、チャレンジ‐レスポンス認証を行ってもよい。
【0203】
(6)第1実施形態において、記録担体はアクセス可能機器情報の登録及び削除だけでなく、アクセス可能機器情報の更新を行うように構成してもよい。
同様に、第2実施形態において、管理サーバはアクセス可能機器情報の追加及び削除だけでなく、更新を行うように構成してもよい。
(7)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
【0204】
また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD‐ROM、MO、DVD、DVD‐ROM、DVD‐RAM、BD(Blu‐ray Disc)、半導体メモリなど、に記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。
【0205】
また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。
【0206】
また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(8)上記実施の形態及び上記変形例をそれぞれ組み合わせる構成も本発明に含まれる。
【産業上の利用可能性】
【0207】
本発明は、例えばICカードを用いた電子マネーシステムにおいて、ICカードの紛失又は盗難が生じた場合などの、ICカードの不正利用を防止する仕組みとして利用することができる。
【図面の簡単な説明】
【0208】
【図1】データ保護システム1の構成を示す図である。
【図2】記録担体10の構成を機能的に示す機能ブロック図である。
【図3】アクセス制限領域13の内部を示す図である。
【図4】機器情報登録部14の構成を機能的に示す機能ブロック図である。
【図5】(a)登録要求データ120のデータ構成を示す図である。(b)登録IDリスト125のデータ構成を示す図である。(c)削除要求データ130のデータ構成を示す図である。(d)削除IDリスト135のデータ構成を示す図である。
【図6】アクセス可能機器テーブル140のデータ構成を示す図である。
【図7】制御部16の構成を機能的に示す機能ブロック図である。
【図8】(a)アクセス要求160のデータ構成を示す図である。(b)アクセス要求170のデータ構成を示す図である。(c)アクセス要求180のデータ構成を示す図である。(d)アクセス要求190のデータ構成を示す図である。
【図9】テーブル200のデータ構成を示す図である。
【図10】携帯電話機20の構成を機能的に示す機能ブロック図である。
【図11】データ保護システム1の全体の動作を示すフローチャートである。
【図12】(a)機器情報登録処理の動作を示すフローチャートである。(b)機器情報削除処理の動作を示すフローチャートである。
【図13】チャレンジ‐レスポンス認証の動作を示すフローチャートである。
【図14】記録担体10による登録処理の動作を示すフローチャートであり、図15に続く。
【図15】記録担体10による登録処理の動作を示すフローチャートであり、図14から続く。
【図16】携帯電話機20による登録処理の動作を示すフローチャートであり、図17に続く。
【図17】携帯電話機20による登録処理の動作を示すフローチャートであり、図16から続く。
【図18】記録担体10による削除処理の動作を示すフローチャートであり、図19に続く。
【図19】記録担体10による削除処理の動作を示すフローチャートであり、図18から続く。
【図20】携帯電話機20による削除処理の動作を示すフローチャートである。
【図21】データ保護システム1におけるデータアクセス処理の動作を示すフローチャートである。
【図22】記録担体10によるアクセス可否判断処理の動作を示すフローチャートであり、図23に続く。
【図23】記録担体10によるアクセス可否判断処理の動作を示すフローチャートであり、図22から続く。
【図24】データ保護システム1aの構成を示す図である。
【図25】記録担体10aの構成を機能的に示す機能ブロック図である。
【図26】携帯電話機20a及び登録サーバ60aの構成を機能的に示す機能ブロック図である。
【図27】(a)登録要求データ310のデータ構成を示す図である。(b)削除要求データ320のデータ構成を示す図である。
【図28】データ保護システム2の構成を示す図である。
【図29】記録担体10b及び管理サーバ70bの構成を機能的に示す機能ブロック図である。
【図30】アクセス可能機器テーブル400のデータ構成を示す図である。
【図31】データ保護システム2全体の動作を示すフローチャートである。
【図32】データ保護システム2におけるデータアクセス処理の動作を示すフローチャートである。
【技術分野】
【0001】
本発明は、記録担体に関し、記録担体を紛失した場合などに、内部に格納されているデータを保護する技術に関する。
【背景技術】
【0002】
近年、携帯電話機やPDA(Personal Digital Assistant)などの携帯情報端末の多機能化に伴い、ICカードや、メモリカード等の記録担体を装着するためのカードスロットを搭載した携帯情報端末が普及しつつある。
携帯情報端末に装着した記録担体には、例えば、電話帳データ、スケジュール帳データ、デジタルカメラで撮影した画像データなどが記録される。電話帳データは、ユーザの電話番号、メールアドレス、知人の氏名、電話番号、メールアドレス、住所など、プライバシーに関わる情報を含んでいる。
【0003】
従って、記録担体を紛失した場合、或いは、記録担体を装着した携帯情報端末を紛失した場合であっても、記録担体に記録されているこれらのデータを他人に見られない仕組みが必要である。
特許文献1に開示されている記録担体は、個人データと固有の無効化コードとを記憶している。当該記録担体が装着されたまま、携帯電話機が盗難あるいは紛失にあった場合、ユーザは、記録担体が装着されている携帯電話機に電話をかけることにより、無効化コードを携帯電話機に送信する。無効化コードを受信した携帯電話機は、それを記録担体に転送する。記録担体は、携帯電話機から無効化コードを受け取り、受け取った無効化コードが、予め内部に記憶している無効化コードと一致するか否か判断し、両者が一致する場合には、個人データをロックし、使用不能状態にする。これにより、カード内の個人データを保護することが可能となる。
【特許文献1】特開平11−177682号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記の技術では、記録担体が装着されている携帯電話機が、外部から送信される無効化コードを受信可能な状況にあることが前提である。そのため、紛失した携帯電話機から記録担体が抜き取られ、オフラインで利用可能な他の情報端末に装着された場合などは、記録担体は無効化コードを受信しないため、個人データを他人に見られる可能性がある。
【0005】
そこで本発明は、上記の問題に鑑みなされたものであって、記録担体が、オフラインで利用可能な他の情報端末に装着された場合であっても記録担体に記録されている個人データを保護することができる記録担体及びデータ保護システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明は、記録担体であって、記憶手段と、装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、前記記憶手段へのアクセス可否を示すアクセス条件を取得する取得手段と、前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段とを備えることを特徴とする。
【発明の効果】
【0007】
上記の構成によると、記録担体は、装着されている情報端末から受け取るアクセス要求であっても、アクセス条件を満たさない場合には、情報端末からの要求に反し、記憶領域へのアクセスを拒否することができる。
ここで、前記記録担体は、更に、前記アクセス条件を記憶しているアクセス条件記憶手段を備え、前記取得手段は、前記アクセス条件記憶手段から、前記アクセス条件を取得するように構成してもよい。
【0008】
この構成によると、記録担体は、アクセス条件を内部に記憶しているので、当該記録担体が接続された情報端末がオフラインで利用可能な端末であっても、外部から判断の基準となるアクセス条件を取得する必要が無く、情報端末の置かれた環境によらず、アクセス要求がアクセス条件を満たすか否か判断することができるので、情報端末がオフラインで利用可能な端末であっても、アクセス条件を満たさない場合には、情報端末からの要求に反し、記憶領域へのアクセスを拒否することができる。
【0009】
ここで、前記アクセス条件は、識別子リストを含む、前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子から成る、前記アクセス要求は、前記情報端末を識別する要求端末識別子を含む、前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在する場合、前記アクセス要求は前記アクセス条件を満たすと判断し、存在しない場合、前記アクセス要求は前記アクセス条件を満たさないと判断するように構成してもよい。
【0010】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着されて内部のデータが読み出されるのを防止することができる。
ここで、前記アクセス条件は、識別子リストを含む、前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の回数情報とから成る、前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、前記1以上の回数情報は、各機器の前記記憶手段にアクセス可能な回数を示す、前記アクセス要求は、前記情報端末を識別する要求端末識別子を含む、前記判断手段は、前記情報端末が前記記憶領域にアクセスした回数を示すアクセス回数を保持する保持部と、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、一致する識別子が存在する場合に、前記識別子に対応する回数情報が、前記アクセス回数より大きいか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0011】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。また、記録担体は、記憶領域へのアクセス回数を管理することで、記憶領域に記憶されているデータの著作権保護の仕組みとしても利用できる。
【0012】
ここで、前記アクセス条件は、識別子リストを含む、前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の期間情報とから成る、前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、前記1以上の期間情報は、各機器の前記記憶手段にアクセス可能な期間を示す、前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、前記判断手段は、現在日時を管理する日時管理部と、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、一致する識別子が存在する場合に、前記日時管理部が管理している現在日時が、前記識別子に対応する期間情報が示す期間内であるか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0013】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。また、記録担体は、記憶領域へのアクセス期限を管理することで、記憶領域に記憶されているデータの著作権保護の仕組みとしても利用できる。
【0014】
ここで、前記記憶手段は、複数のメモリブロックから成り、前記アクセス条件は、識別子リストを含む、前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のメモリブロック情報とから成る、前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、前記1以上のメモリブロック情報は、各機器のアクセス可能なメモリブロックを示す、前記アクセス要求は、前記情報端末を識別する要求端末識別子と、メモリブロックを指定するメモリブロック指定情報とを含み、前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、一致する識別子が存在する場合に、前記メモリブロック指定情報が、前記識別子に対応するメモリブロック情報に含まれるか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0015】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。また、記録担体は、アクセス可能なメモリブロックの情報を管理することで、メモリブロック毎に記憶されているデータの著作権保護の仕組みとしても利用できる。
【0016】
ここで、前記記憶手段は、1以上のプログラムデータを記憶しており、
前記アクセス条件は、識別子リストを含む、前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のプログラム情報とから成る、前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、前記1以上のプログラム情報は、各機器がアクセス可能なプログラムデータを示す、前記アクセス要求は、前記情報端末を識別する要求端末識別子と、プログラムデータを指定するプログラム指定情報とを含み、前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、一致する識別子が存在する場合に、前記プログラム指定情報が、前記識別子に対応するプログラム情報に含まれるか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0017】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。また、記録担体は、アクセス可能なアプリケーションプログラムの情報を管理することで、記憶領域に記憶されているアプリケーションプログラムの著作権保護の仕組みとしても利用できる。
【0018】
ここで、前記アクセス条件は、識別子リストとバイオメトリクスリストとを含む、前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、前記バイオメトリクスリストは、前記記憶手段にアクセス可能な1以上のユーザを識別する1以上のバイオメトリクス情報を含む、前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者のバイオメトリクスを示す操作者バイオメトリクス情報とを含む、前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、前記操作者バイオメトリクス情報と一致するバイトメトリクス情報が前記バイオメトリクスリストに存在するか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0019】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。更に、記録担体は、予め正当なユーザのバイオメトリクス情報をリストに登録しておくことにより、当該記録担体が、正当な情報端末に装着されたまま紛失した場合であっても、ユーザ認証により不正なユーザが、記憶領域のデータにアクセスするのを防止することができる。
【0020】
ここで、前記アクセス条件は、識別子リストとパスワードリストとを含む、前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、前記パスワードリストは、前記記憶手段にアクセス可能な1以上のユーザにより設定された1以上のパスワード情報を含む、前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者により入力された入力パスワードとを含む、前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、前記入力パスワードと一致するパスワード情報が前記パスワードリストに存在するか否か判断する第2判断部とを含み、前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断するように構成してもよい。
【0021】
この構成によると、記録担体は、予め正当な情報端末の端末IDをリストに登録しておくことにより、当該記録担体を紛失した場合に、他の情報端末に装着され、記憶領域のデータが読み出されるのを防止することができる。更に、記録担体は、予め正当なユーザが設定したパスワードをリストに登録しておくことにより、当該記録担体が、正当な情報端末に装着されたまま紛失した場合であっても、パスワード認証により不正なユーザが、記憶領域のデータにアクセスするのを防止することができる。
【0022】
ここで、前記記録担体は、更に、装着された1の情報端末から、前記アクセス条件を受け付けるアクセス条件受付手段と、前記情報端末が、正当な情報端末であると認証された場合に、前記アクセス条件を、前記アクセス条件記憶手段に登録するアクセス条件登録手段とを備えるように構成してもよい。
この構成によると、正当な情報端末は、自機が記憶領域にアクセス可能な機器であり、他機が記憶領域にアクセス不可能な機器であることを示すアクセス条件を登録することにより、当該記録担体が他の情報端末に装着された場合に、記憶領域のデータを保護することができる。
【0023】
更に、正当な情報端末は、自機以外にも、同一ユーザが使用する他の情報端末も記憶領域にアクセス可能な機器として登録することにより、当該記録担体を、同一ユーザが使用する他の情報端末に差し替えて、使用することもできる。
また、上記目的を達成するために、前記記録担体は、更に、ネットワークを介して接続されたアクセス条件管理サーバと通信を行う通信手段を備え、前記取得手段は、前記通信手段を介して、前記アクセス条件管理サーバから、前記アクセス条件を取得するように構成してもよい。
【0024】
即ち、この構成によると、アクセス条件を記憶しているのは、記録担体自身ではなく、アクセス条件管理サーバである。これにより、記録担体を情報端末に装着したまま紛失した場合であっても、アクセス条件管理サーバが記憶しているアクセス条件を、装着されている情報端末がアクセスできないように書き換えることができる。
ここで、前記取得手段は、前記通信手段を介して、前記機器情報管理装置から、前記アクセス条件と共に、前記アクセス条件に基づき生成された署名データを取得し、前記記録担体は、更に、前記機器情報管理装置に係る検証鍵を用いて前記署名データを検証し、前記アクセス条件の改ざんの有無を検出する改ざん検出手段と、前記アクセス条件の改ざんが検出された場合に、前記判断手段による処理を中止する中止手段とを備えるように構成してもよい。
【0025】
この構成によると、記録担体は、確かにアクセス条件管理サーバから送信されたアクセス条件を用いて、アクセス要求を満たすか否か判断することができる。
また、本発明は、記録担体と情報端末とから構成されるデータ保護システムであって、前記記録担体は、記憶手段と、当該記録担体が装着されている情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、前記記憶手段へのアクセス可否を示すアクセス条件を記憶するアクセス条件記憶手段と、前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段とを備え、前記情報端末は、前記記録担体を装着する記録担体インターフェースと、前記記録担体の前記記憶手段へのアクセス要求を生成するアクセス要求生成手段と、生成した前記アクセス要求を、前記記録担体へ出力するアクセス要求出力手段とを備えることを特徴とする。
【0026】
この構成によると、記録担体は、アクセス条件を内部に記憶しているので、当該記録担体が接続された情報端末がオフラインで利用可能な端末であっても、外部から判断の基準となるアクセス条件を取得する必要が無く、情報端末の置かれた環境によらず、アクセス要求がアクセス条件を満たすか否か判断することができるので、情報端末がオフラインで利用可能な端末であっても、アクセス条件を満たさない場合には、情報端末からの要求に反し、記憶領域へのアクセスを拒否することができる。
【0027】
ここで、前記データ保護システムは、更に、前記記録担体が装着された情報端末を介して、前記アクセス条件を、前記記録担体の前記アクセス条件記憶手段に登録するアクセス条件登録サーバを備えるように構成してもよい。
この構成によると、記録担体が、アクセス条件登録サーバと接続可能な端末に装着されていれば、アクセス条件を記録担体に登録することができる。
【0028】
また、本発明は、記録担体と、情報端末と、ネットワークを介して、前記情報端末を接続されたアクセス条件管理サーバとから構成されるデータ保護システムであって、前記記録担体は、記憶手段と、当該記録担体が装着されている情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、前記記憶手段へのアクセス可否を示すアクセス条件を取得するアクセス条件取得手段と、前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段とを備え、前記情報端末は、前記記録担体を装着する記録担体インターフェースと、前記記録担体の前記記憶手段へのアクセス要求を生成するアクセス要求生成手段と、生成した前記アクセス要求を、前記記録担体へ出力するアクセス要求出力手段とを備え、前記アクセス条件管理サーバは、前記アクセス条件を記憶するアクセス条件記憶手段と、前記情報端末を介して、前記記録担体へ前記アクセス条件を送信するアクセス条件送信手段とを備える。
【0029】
即ち、この構成によると、アクセス条件を記憶しているのは、記録担体自身ではなく、アクセス条件管理サーバである。これにより、記録担体を情報端末に装着したまま紛失した場合であっても、アクセス条件管理サーバが記憶しているアクセス条件を、装着されている情報端末がアクセスできないように書き換えることができる。
【発明を実施するための最良の形態】
【0030】
≪第1実施形態≫
ここでは、本発明に係る第1の実施形態として、データ保護システム1について説明する。
図1は、データ保護システム1の構成を示す。同図に示す様に、データ保護システム1は、記録担体10、携帯電話機20、PDA30、PC40、及び携帯電話機50から構成される。
【0031】
記録担体10は、マイクロプロセッサを搭載した可搬媒体であって、携帯電話機、PDA、PC、デジタルカメラ、カード用リーダライタ等のカードスロットに装着して用いられるメモリカードやICカード等を想定している。
メモリカードの一例は、SD(Secure Digital)メモリカードである。SDメモリカードは、著作権保護機能「CPRM(Content Protection for Recordable Media)」を内蔵しており、音楽や映像などのコンテンツを記憶するのに適する。
【0032】
ICカードの一例は、SIM(Subscriber Identity Module)カードである。SIMカードは、携帯電話会社により発行され、契約者情報を記録したICカードであって、携帯電話機に装着して利用者の識別に用いられる。SIMカードを差し替えることにより、複数の携帯電話機を、同じ契約者扱いで利用することができる。
携帯電話機20、PDA30、PC40、及び携帯電話機50は、共にマイクロプロセッサを搭載したコンピュータシステムである。本明細書においては、携帯電話機、PDA、及びPCを、「情報端末」と総称することがある。
【0033】
上記の情報端末は、カードスロットを備えており、カードスロットに記録担体10を装着した状態で、記録担体10との間で情報の入出力を行う。各情報端末には、固有の識別子である端末IDが割り当てられている。後で詳しく述べるが、携帯電話機20には、端末IDとして「ID_A」、PDA30には、「ID_B」、PC40には「ID_C」、携帯電話機50には、「ID_E」が割り当てられているものとする。
【0034】
なお、本実施形態では、記録担体10は、携帯電話機20のカードスロットに予め装着された状態で携帯電話機20のユーザに販売されたものとする。また、携帯電話機20、PDA30及びPC40は、同一のユーザが所有する情報端末であり、携帯電話機50は、他の人物が所有する情報端末であるとする。
<構成>
1.記録担体10
図2は、記録担体10の構成を示す。同図に示す様に、記録担体10は、端末I/F11、データ記憶部12、機器情報登録部14、機器情報記憶部15、及び制御部16から構成される。なお、データ記憶部12は、アクセス制限領域13を含む。
【0035】
(1)端末I/F11
端末I/F11は、コネクタピン、インターフェースドライバなどから成り、記録担体10が、携帯電話機20、PDA30、PC40及び携帯電話機50のカードスロットに装着された状態で、各情報端末との間で、各種情報の受け渡しをする。
具体例として、端末I/F11は、情報端末から受け取るアクセス要求を制御部16へ出力し、情報端末から受け取る登録要求データ、削除要求データを機器情報登録部14へ出力する。
【0036】
(2)データ記憶部12
データ記憶部12は、具体的には、フラッシュメモリであって、プログラムやデータを記憶する。データ記憶部12は、制御部16からアクセス可能であって、制御部16から受け取る情報を内部に記憶したり、制御部16からの要求に従い、記憶している情報を制御部16へ出力したりする。なお、データ記憶部12は、機密性の高いデータ等を記憶するための領域であるアクセス制限領域13を含む。
【0037】
(3)アクセス制限領域13
アクセス制限領域13は、データ記憶部12の一部であって、図3に示す様に、ブロック1、ブロック2、及びブロック3の3つのメモリブロックから構成される。これらのメモリブロックは、メモリ領域が物理的に分割されている必要はなく、論理的に分割されていればよい。
【0038】
ブロック1は、アプリケーションプログラム1(APP1)、アプリケーションプログラム2(APP2)、アドレス帳データ、及び保護メールデータを記憶している。ブロック2は、スケジュールデータ、画像データなどを記憶している。ブロック3は、アプリケーションプログラム3(APP3)などを記憶している。
各ブロックに記憶されているこれらのプログラム及びデータは、制御部16により読み出し、及び書き込みが行われる。
【0039】
(4)機器情報登録部14
機器情報登録部14は、マイクロプロセッサなどから成り、アクセス制限領域13にアクセスすることが可能な情報端末に係るアクセス可能機器情報を、携帯電話機20から受け取る登録要求に基づき機器情報記憶部15に登録する。また、機器情報登録部14は、既に機器情報記憶部15に登録されているアクセス可能機器情報を、携帯電話機20から受け取る削除要求に基づき削除する。
【0040】
図4は、機器情報登録部14の構成を機能的に示す機能ブロック図である。同図に示す様に、機器情報登録部14は、処理開始要求受付部101、乱数生成部102、レスポンスデータ検査部103、公開鍵取得部104、ランダム鍵生成部105、暗号部106、処理データ受付部107、署名検査部108、パスワード検査部109、復号部110、及びデータ制御部111から構成される。
【0041】
(a)処理開始要求受付部101は、端末I/F11を介して、携帯電話機20から、処理開始要求を受け付ける。処理開始要求は、アクセス可能機器情報の登録処理又は削除処理の開始を示す情報である。処理開始要求受付部101は、処理開始要求を受け付けると、乱数生成部102に対して、乱数を生成する指示を出力する。
(b)乱数生成部102は、処理開始要求受付部101から乱数を生成する指示を受け取ると、乱数rを生成する。乱数rは、携帯電話機20との間でチャレンジ‐レスポンス認証を行うためのチャレンジデータである。乱数生成部102は、生成した乱数rを、端末I/F11を介して携帯電話機20へ出力すると共に、レスポンスデータ検査部103ヘ出力する。
【0042】
(c)レスポンスデータ検査部103は、予め、共通鍵Kc及び暗号アルゴリズムE1を、携帯電話機20と共有している。レスポンスデータ検査部103は、端末I/F11を介して携帯電話機20から受け取るレスポンスデータを検査し、携帯電話機20が正当な端末であるか否か判断する。
具体的には、レスポンスデータ検査部103は、乱数生成部102から、チャレンジデータである乱数rを受け取り、受け取った乱数rに、共通鍵Kcを暗号鍵として用い、暗号アルゴリズムE1を施して、暗号化データC1=E1(Kc,r)を生成する。一方、レスポンスデータ検査部103は、端末I/F11を介して、携帯電話機20からレスポンスデータC1´=E1(Kc,r)を受け取る。レスポンスデータ検査部103は、暗号化データC1とレスポンスデータC1´とを比較し、両者が一致する場合に、携帯電話機20は正当な端末であると判断し、ランダム鍵生成部105に対して、ランダム鍵の生成を指示する。レスポンスデータ検査部103は、C1とC1´とが一致しない場合に、携帯電話機20は不正な端末であると判断し、「認証NG」を示すエラーメッセージを、端末I/F11を介して、携帯電話機20に通知する。なお、暗号アルゴリズムE1については限定しないが、一例は、DES(Data Encryption Standard)である。
【0043】
(d)公開鍵取得部104は、携帯電話機20の公開鍵PK20を取得して、保持している。ここで、公開鍵PK20の取得方法は限定しない。予め、公開鍵取得部104に書き込まれていてもよいし、ユーザの操作等により、端末I/F11を介して携帯電話機20から取得してもよい。公開鍵取得部104は、暗号部106からの指示を受け、公開鍵PK20を、暗号部106に出力する。
【0044】
(e)ランダム鍵生成部105は、レスポンスデータ検査部103から、ランダム鍵生成の指示を受け取ると、ランダム鍵Krを生成する。ランダム鍵生成部105は、生成したランダム鍵Krを、暗号部106及び復号部110に出力する。
なお、本明細書では、ランダム鍵生成部105で生成されるランダム鍵を全て「Kr」と表記するが、実際のランダム鍵Krは、レスポンスデータ検査部103から生成指示を受けると、その都度ランダムに生成される鍵データである。
【0045】
(f)暗号部106は、ランダム鍵生成部105からランダム鍵Krを受け取る。暗号部106は、ランダム鍵Krを受け取ると、公開鍵取得部104に対して、公開鍵PK20の出力を指示し、公開鍵取得部104から、公開鍵PK20を受け取る。
暗号部106は、公開鍵PK20を暗号鍵として用い、ランダム鍵Krに暗号アルゴリズムE2を施して、暗号化ランダム鍵C2=E2(PK20,Kr)を生成する。暗号部106は、生成した暗号化ランダム鍵C2=E2(PK20,Kr)を、端末I/F11を介して、携帯電話機20へ出力する。なお、暗号アルゴリズムE2については限定しないが、一例は、RSAである。
【0046】
(g)処理データ受付部107は、端末I/F11を介して、携帯電話機20から処理データを受け取り、受け取った処理データを署名検査部108へ出力する。
処理データ受付部107が携帯電話機20から受け取る処理データは、アクセス可能機器情報の登録処理を示す登録要求データ、及び、アクセス可能機器情報の削除処理を示す削除要求データである。
【0047】
登録要求データの一例を、図5(a)に示す。登録要求データ120は、登録コマンド121、暗号化登録IDリスト122、パスワード123、及び署名データ124から構成される。
登録コマンド121は、後述するデータ制御部111に対して、登録処理を指示するコマンドであって、ここでは具体例として、「/touroku」とする。
【0048】
暗号化登録IDリスト122は、図5(b)に示した登録IDリスト125に、ランダム鍵Krを暗号鍵として用い、暗号アルゴリズムE3を施して生成された暗号化データであり、ここでは、E3(Kr,登録IDリスト)と表記する。
登録IDリスト125は、図5(b)に示す様に、登録情報126及び登録情報127から成り、各登録情報は、端末ID、アクセス可能回数、アクセス可能期間、アクセス可能領域、及びアクセス可能アプリから成る。
【0049】
パスワード123は、携帯電話機20の操作者により入力されたデータである。
署名データ124は、登録コマンド121、暗号化登録IDリスト122.及びパスワード123に対して、署名鍵を用いてデジタル署名を施し生成された署名データである。なお、署名鍵は、携帯電話機20が保持するデジタル署名用の鍵データである。
登録要求データ120は、携帯電話機20の制御部23により生成されるデータである。そのため、登録要求データ120及び登録IDリスト125については、後の携帯電話機20の説明で詳しく述べる。
【0050】
削除要求データの一例を、図5(c)に示す。削除要求データ130は、削除コマンド131、暗号化削除IDリスト132、パスワード133、及び署名データ134から構成される。
削除コマンド131は、後述するデータ制御部111に対して、削除処理を指示するコマンドであって、ここでは具体例として、「/sakujo」とする。
【0051】
暗号化削除IDリスト132は、図5(d)に示した削除IDリスト135に、ランダム鍵Krを暗号鍵として用い、暗号アルゴリズムE3を施して生成された暗号化データであり、ここでは、E3(Kr,削除IDリスト)と表記する。削除IDリスト135は、端末ID「ID_C」及び「ID_D」から成る。
パスワード133は、携帯電話機20の操作者により入力されたデータである。
【0052】
署名データ134は、削除コマンド131、暗号化削除IDリスト132、及びパスワード133に対して、署名鍵を用いてデジタル署名を施し生成された署名データである。
ここで、ランダム鍵Krは、先ほど述べた様に、ランダム鍵生成部105において、処理ごとに生成されるランダムな鍵データであるので、暗号化登録IDリスト122の暗号化に用いられたランダム鍵と、暗号化削除IDリスト132の暗号化に用いられたランダム鍵とは、異なる鍵データである。
【0053】
なお、削除要求データ130は、携帯電話機20の制御部23により生成されるデータである。そのため、削除要求データ130については、後の携帯電話機20の説明で詳しく述べる。
(h)署名検査部108は、予め内部に検証鍵を保持している。検証鍵は、携帯電話機20が保持している署名鍵に対応しており、携帯電話機20から出力される署名データを検証するための鍵データである。
【0054】
署名検査部108は、処理データ受付部107から処理データを受け取り、受け取った処理データに含まれる署名データの正当性を検査し、当該処理データが、確かに携帯電話機20により生成されたデータであるか否かを判断する。
署名データの正当性が確認された場合、署名検査部108は、当該処理データをパスワード検査部109へ出力する。一方、署名データの正当性が確認されなかった場合、署名検査部108は、端末I/F11を介して、その旨を携帯電話機20に通知し、当該処理データを破棄する。
【0055】
具体例として、処理データ受付部107から受け取る処理データが、図5(a)に示した登録要求データ120とすると、署名検査部108は、検証鍵を用いて署名データ「Sig_A」の正当性を検査する。署名データ「Sig_A」の正当性が確認された場合、署名検査部108は、登録要求データ120を、パスワード検査部109へ出力する。また、処理データ受付部107から受け取る処理データが、図5(c)に示した削除要求データ130とすると、署名検査部108は、検証鍵を用いて署名データ「Sig_A´」の正当性を検査する。「Sig_A´」の正当性が確認された場合、署名検査部108は、削除要求データ130を、パスワード検査部109へ出力する。
【0056】
なお、署名検査部108で用いられる署名検証のアルゴリズムは、公開鍵暗号方式を用いたデジタル署名方式であり、公知技術で実現可能であるため説明を省略する。
(i)パスワード検査部109は、署名検査部108から、処理データを受け取る。また、パスワード検査部109は、機器情報記憶部15から、正しいパスワードを読み出し、当該処理データに含まれるパスワードが、正しいパスワードと一致するか否か判断する。
【0057】
処理データに含まれるパスワード、即ち、携帯電話機20の操作者により入力されたパスワードが正しいパスワードと一致する場合、パスワード検査部109は、当該処理データを復号部110へ出力する。処理データに含まれるパスワードが正しいパスワードと一致しない場合、パスワード検査部109は、端末I/F11を介して、その旨を携帯電話機20に通知し、当該処理データを破棄する。
【0058】
具体例として、署名検査部108から受け取る処理データが、図5(a)に示した登録要求データ120とすると、パスワード検査部109は、登録要求データ120から「PW_A」を抽出し、「PW_A」が正しいパスワードと一致するか否か判断する。「PW_A」が正しいパスワードと一致する場合に、パスワード検査部109は、登録要求データ120を復号部110へ出力する。また、署名検査部108から受け取る処理データが、図5(c)に示した削除要求データ130とすると、パスワード検査部109は、削除要求データ130から「PW_A´」を抽出し、「PW_A´」が正しいパスワードと一致するか否か判断する。「PW_A´」が正しいパスワードと一致する場合に、パスワード検査部109は、削除要求データ130を復号部110へ出力する。
【0059】
(j)復号部110は、パスワード検査部109から処理データを受け取り、更に、ランダム鍵生成部105からランダム鍵Krを受け取る。
復号部110は、処理データから、暗号化登録IDリスト、又は、暗号化削除IDリストを抽出し、ランダム鍵生成部105から受け取ったランダム鍵Krを復号鍵として用い、復号アルゴリズムD3を施して、登録IDリスト、又は、削除IDリストを復号する。ここで、復号アルゴリズムD3は、暗号アルゴリズムE3により暗号化されたデータを復号するアルゴリズムである。
【0060】
復号部110は、登録コマンド及び復号した登録IDリスト、又は、削除コマンド及び復号した削除IDリストをデータ制御部111へ出力する。
具体例として、復号部110は、パスワード検査部109から登録要求データ120を受け取ると、登録要求データ120から暗号化登録IDリスト122を抽出し、抽出した暗号化登録IDリストから、図5(b)に示した登録IDリスト125を復号する。復号部110は、登録コマンド121と登録IDリスト125とを、データ制御部111へ出力する。
【0061】
また、復号部110は、パスワード検査部109から削除要求データ130を受け取ると、削除要求データ130から暗号化削除IDリスト132を抽出し、抽出した暗号化削除IDリスト132から、図5(d)に示した削除IDリスト135を復号する。復号部110は、削除コマンド131と削除IDリスト135とを、データ制御部111へ出力する。
【0062】
(k)データ制御部111は、アクセス可能機器情報の登録及び削除を行う。
より詳しくは、データ制御部111は、復号部110から、登録コマンドと登録IDリストとを受け取り、登録IDリストに含まれる登録情報が、機器情報記憶部15に記憶されているアクセス可能機器テーブル140に、未だ登録されていない場合に、当該登録情報を、アクセス可能機器情報として、アクセス可能機器テーブル140に登録する。
【0063】
また、データ制御部111は、復号部110から、削除コマンドと削除IDリストとを受け取り、削除IDリストに含まれる端末IDが、アクセス可能機器テーブル140に既に登録されている場合に、当該端末IDを含むアクセス可能機器情報を、アクセス可能機器テーブル140から削除する。
なお、アクセス可能機器テーブル140については後述する。
【0064】
(5)機器情報記憶部15
機器情報記憶部15は、パスワードと、アクセス可能機器テーブル140とを記憶している。
機器情報記憶部15が記憶しているパスワードは、記録担体10の製造時又は出荷時に、固有のパスワードが設定されて、機器情報記憶部15に書き込まれるものとする。
【0065】
なお、機器情報記憶部15に記憶されているパスワードは、記録担体10を購入したユーザのみが知っているものとする。例えば、パッケージの箱を開けて初めて見える箇所に、機器情報記憶部15に記憶されているパスワードが書かれており、ユーザは、記録担体10の購入後にパッケージの箱を開けて初めてパスワードを知ることができる仕組みになっていてもよい。
【0066】
図6は、アクセス可能機器テーブル140のデータ構成を示している。アクセス可能機器テーブル140は、アクセス可能機器情報141.142、及び143から成り、各アクセス可能機器情報は、端末ID、アクセス可能回数、アクセス可能期間、アクセス可能領域及びアクセス可能アプリから成る。
各アクセス可能機器情報に含まれる端末IDは、データ記憶部12内のアクセス制限領域13にアクセスすることが可能な機器を一意に識別する識別子である。アクセス可能回数は、対応する機器が、アクセス制限領域13にアクセスすることが可能な回数である。アクセス可能期間は、対応する機器が、アクセス制限領域13にアクセスすることが可能な期間である。アクセス可能領域は、対応する機器がアクセスすることが可能なアクセス制限領域13内のメモリブロックである。アクセス可能アプリは、対応する機器がアクセスすることが可能なアプリケーションプログラムである。
【0067】
図6によると、アクセス制限領域13にアクセスすることが可能な機器は、端末IDとして「ID_A」を有する機器と、端末IDとして「ID_B」を有する機器と、端末IDとして「ID_C」を有する機器とである。
アクセス可能機器情報141によると、アクセス可能回数、アクセス可能期間、アクセス可能領域及びアクセス可能アプリ共に「制限なし」のため、端末ID「ID_A」を有する機器(携帯電話機20)は、無制限にアクセス制限領域13にアクセスすることが可能である。
【0068】
アクセス可能機器情報142によると、アクセス可能回数が「3」、アクセス可能期間が「2004,8,1〜2005,7,31」、アクセス可能領域が「ブロック2」、アクセス可能アプリが「‐」であるので、端末ID「ID_B」を有する機器(PDA30)は、2004年8月1日から2005年7月31日までの間に、ブロック2の領域に限り3回までアクセスすることが可能である。
【0069】
アクセス可能機器情報143によると、アクセス可能回数が「5」、アクセス可能期間が「2004,8,1〜2006,7,31」、アクセス可能領域が「ブロック1、ブロック2」、アクセス可能アプリが「APP1」であるので、端末ID「ID_C」を有する機器(PC40)は、2004年8月1日から2006年7月31日までの間に、ブロック1及びブロック2の領域に限り5回までアクセスすることが可能である。但し、アクセス可能なアプリケーションプログラムは、アプリケーションプログラム1(APP1)のみである。
【0070】
各アクセス可能機器情報は、機器情報登録部14によりアクセス可能機器テーブル140に登録又は削除される。また、各アクセス可能機器情報は、アクセス要求に対する、制御部16によるアクセス可否判断に用いられる。
(6)制御部16
制御部16は、マイクロプロセッサなどから成り、端末I/F11から、アクセス制限領域13へのアクセス要求を受け取ると、機器情報記憶部15に記憶されているアクセス可能機器テーブル140を参照し、当該アクセス要求に対して、アクセス制限領域13へのアクセスを許可するか否か判断する。以下では、制御部16について、詳細に説明する。
【0071】
図7は、制御部16の構成を機能的に示す機能ブロック図である。同図に示す様に、制御部16は、処理開始要求受付部150、公開鍵取得部151、ランダム鍵生成部152、暗号部153、アクセス要求受付部154、復号部155、判断部156、日付管理部157、メモリアクセス部158、及びデータ入出力部159から構成される。
(a)処理開始要求受付部150は、端末I/F11を介して、記録担体10が装着されている情報端末から、処理開始要求を受け付ける。処理開始要求は、アクセス制限領域13へのアクセス要求処理の開始を示す情報である。処理開始要求受付部150は、処理開始要求を受け付けると、公開鍵取得部151に対して前記情報端末の公開鍵を取得する指示を出力し、ランダム鍵生成部152に対して、ランダム鍵を生成する指示を出力する。
【0072】
(b)公開鍵取得部151は、処理開始要求受付部150から、公開鍵取得の指示を受けると、端末I/F11を介して、記録担体10が装着されている情報端末から、当該情報端末の公開鍵PKNを取得する。ここで、N=20、30、40、又は50であって、PK20は、携帯電話機20の公開鍵、PK30は、PDA30の公開鍵、PK40は、PC40の公開鍵、PK50は、携帯電話機50の公開鍵である。例えば、記録担体10が携帯電話機20のカードスロットに装着されている場合、公開鍵取得部151は、携帯電話機20から、公開鍵PK20を取得する。公開鍵取得部151は、取得した公開鍵PKNを暗号部153へ出力する。
【0073】
(c)ランダム鍵生成部152は、処理開始要求受付部150から、ランダム鍵生成の指示を受けると、ランダム鍵Krを生成する。ランダム鍵生成部152は、生成したランダム鍵Krを、暗号部153及び復号部155に出力する。
(d)暗号部153は、公開鍵取得部151から、公開鍵PKNを受け取り、ランダム鍵生成部152からランダム鍵Krを受け取る。暗号部153は、公開鍵PKNを暗号鍵として用い、ランダム鍵Krに暗号アルゴリズムE4を施して、暗号化ランダム鍵C4=E4(PKN,Kr)を生成する。暗号部153は、生成した暗号化ランダム鍵C4=E4(PKN,Kr)を、端末I/F11を介して、情報端末へ出力する。例えば、記録担体10が、携帯電話機20のカードスロットに装着されている場合、暗号部153は、暗号化ランダム鍵C4=E4(PK20,Kr)を生成し、生成した暗号化ランダム鍵C4を、端末I/F11を介して携帯電話機20へ出力する。
【0074】
なお、暗号アルゴリズムE4については限定しないが、一例は、RSAである。
(e)アクセス要求受付部154は、端末I/F11を介して、情報端末からアクセス要求を受け取り、受け取ったアクセス要求を、復号部155へ出力する。
アクセス要求受付部154が携帯電話機20から受け取るアクセス要求の一例を、図8(a)に示す。アクセス要求160は、アクセスコマンド161、暗号化端末ID162及び要求データ識別情報163から成る。
【0075】
同様に、図8(b)に示すアクセス要求170は、PDA30から受け取るアクセス要求の一例であり、図8(c)に示すアクセス要求180は、PC40から受け取るアクセス要求の一例であり、図8(d)に示すアクセス要求190は、携帯電話機50から受け取るアクセス要求の一例である。
アクセス要求は、各情報端末により生成されるデータである。そのため、アクセス要求160、170、180、及び190の詳細は後述する。
【0076】
(f)復号部155は、ランダム鍵生成部152からランダム鍵Krを受け取り、更に、アクセス要求受付部154からアクセス要求を受け取る。復号部155は、アクセス要求から暗号化端末IDを抽出し、暗号化端末IDに、ランダム鍵Krを復号鍵として、復号アルゴリズムD5を施し、端末IDを復号する。ここで、復号アルゴリズムD5は、暗号アルゴリズムE5により暗号化されたデータを復号するアルゴリズムである。復号部155は、アクセスコマンド、復号した端末ID、及び要求データ識別情報を、判断部156へ出力する。
【0077】
一例として、復号部155は、アクセス要求受付部154から、図8(a)に示したアクセス要求160を受け取ると、復号部155は、アクセス要求160から暗号化端末ID162「E5(Kr,ID_A)」を抽出し、抽出した暗号化端末ID162に、ランダム鍵Krを復号鍵として、復号アルゴリズムD5を施し、「ID_A」を復号する。復号部155は、アクセスコマンド161「/access」、端末ID「ID_A」、及び要求データ識別情報163「アドレス帳」を、判断部156へ出力する。
【0078】
(g)判断部156は、復号部155から、アクセスコマンド、端末ID、及び要求データ識別情報を受け取る。判断部156は、受け取った端末IDを有する情報端末が、受け取った要求データ識別情報により識別されるデータにアクセス可能であるか否か判断する。
また、判断部156は、図9に示すテーブル200を記憶している。テーブル200は、アクセス制限領域13の各メモリブロックのブロック番号と、各メモリブロックに記憶されているデータのデータ識別情報とを対応付けたものである。また、判断部156は、端末IDとアクセス回数とを対応付けたテーブルを記憶している。アクセス回数は、アクセス制限領域13にアクセスした回数を示している。なお、このテーブルは図示していない。
【0079】
以下では、具体例を用いて、判断部156によるアクセス可否判断について説明する。
判断部156は、復号部155から、アクセスコマンド161「/access」、復号部155により復号された「ID_A」、及び、要求データ識別情報163「アドレス帳」を受け取る。判断部156は、機器情報記憶部15に記憶されているアクセス可能機器テーブル140から、端末ID「ID_A」を含むアクセス可能機器情報141を読み出す。また、判断部156は、日付管理部157から、現在の日付を示す日付情報を読み出す。
【0080】
判断部156は、アクセス可能機器情報141、日付情報、及び、テーブル200から、端末ID「ID_A」を有する携帯電話機20が、「アドレス帳」へのアクセスを許可されているか否か判断する。判断の処理は後で詳しく述べる。
ここでは、携帯電話機20に対して、アドレス帳へのアクセスが許可されているので、判断部156は、メモリアクセス部158に対して、アクセス制限領域13から、アドレス帳データ(図3)を読み出し、データ入出力部159を介して携帯電話機20へ出力するように指示する。
【0081】
ここで、仮に携帯電話機20に対して、アドレス帳へのアクセスが許可されていない場合、判断部156は、端末I/F11を介して、携帯電話機20に、指定されたデータへのアクセスが許可されていない旨を示すエラーメッセージを出力する。
(h)日付管理部157は、現在の日付を示す日付情報を管理している。
(i)メモリアクセス部158は、データ識別情報と、当該データ識別情報により識別されるデータが記憶されているデータ記憶部12における位置を示すメモリアドレスとを対応付けて記憶している。メモリアクセス部158は、判断部156からアクセスコマンドとデータ識別情報とを受け取り、受け取ったデータ識別情報と対応するメモリアドレスを求める。メモリアクセス部158は、求めたアドレスが示す位置からデータを読み出し、読み出したデータを、データ入出力部159へ出力する。
【0082】
(j)データ入出力部159は、端末I/F11とメモリアクセス部158との間で情報のやり取りを行う。
2.携帯電話機20
図10は、携帯電話機20の構成を機能的に示す機能ブロック図である。同図に示す様に、携帯電話機20は、記録担体I/F21、端末ID記憶部22、制御部23、外部入力I/F24、及び表示部25から構成される。
【0083】
具体的に、携帯電話機20は、アンテナ、無線部、マイク、スピーカなどを備え、無線電波を用いて通信を行う可搬型の電話機であるが、携帯電話機としての機能は、公知技術で実現可能であるため、図10では、これらの構成要素の記載を省略している。
(1)記録担体I/F21
記録担体I/F21は、メモリカードスロット等から成り、メモリカードスロットに、記録担体10が装着された状態で、記録担体10との間で各種情報の受け渡しをする。
【0084】
(2)端末ID記憶部22
端末ID記憶部22は、携帯電話機20を一意に識別する端末ID「ID_A」を記憶している。具体的に、端末IDは、シリアル番号や、電話番号などを用いる。
(3)制御部23
制御部23は、図10に示す様に、処理開始要求生成部211、レスポンスデータ生成部212、復号部213、暗号部214、処理データ生成部215、署名生成部216、アクセス要求生成部217、及びデータ出力部218から構成される。
【0085】
(a)処理開始要求生成部211は、外部入力I/F24から、登録要求、削除要求、データアクセス要求を示す入力信号を受け取ると、処理開始要求を生成し、生成した処理開始要求を、記録担体I/F21を介して記録担体10へ出力する。
(b)レスポンスデータ生成部212は、予め、共通鍵Kc及び暗号アルゴリズムE1を、記録担体10と共有している。
【0086】
レスポンスデータ生成部212は、記録担体10から、記録担体I/F21を介してチャレンジデータである乱数rを受け取り、受け取った乱数rに、共有鍵Kcを暗号鍵として用い、暗号アルゴリズムE1を施して、レスポンスデータC1´=E1(Kc,r)を生成する。レスポンスデータ生成部212は、生成したレスポンスデータC1´を記録担体I/F21を介して、記録担体10へ出力する。
【0087】
(c)復号部213は、公開鍵PK20に対応する秘密鍵SK20を秘密に保持している。
復号部213は、登録処理及び削除処理において、記録担体10から記録担体I/F21を介して、暗号化ランダム鍵C2=E2(PK20,Kr)を受け取る。暗号化ランダム鍵C2=E2(PK20,Kr)は、ランダム鍵Krが、携帯電話機20の公開鍵PK20で暗号化されたデータである。復号部213は、秘密鍵SK20を復号鍵として用い、復号アルゴリズムD2を施して、ランダム鍵Krを復号する。ここで、復号アルゴリズムD2は、暗号アルゴリズムE2を用いて暗号化されたデータを復号するアルゴリズムである。復号部213は、復号したランダム鍵Krを、暗号部214へ出力する。
【0088】
また、復号部213は、アクセス要求処理において、記録担体10から、記録担体I/F21を介して、暗号化ランダム鍵C4=E4(PK20,Kr)を受け取る。暗号化ランダム鍵C4=E4(PK20,Kr)は、ランダム鍵Krが、携帯電話機20の公開鍵PK20で暗号化されたデータである。復号部213は、秘密鍵SK20を復号鍵として用い、復号アルゴリズムD4を施して、ランダム鍵Krを復号する。ここで、復号アルゴリズムD4は、暗号アルゴリズムE4を用いて暗号化されたデータを復号するアルゴリズムである。復号部213は、復号したランダム鍵Krを、暗号部214へ出力する。
【0089】
(d)暗号部214は、登録処理において、処理データ生成部215から登録IDリストを受け取り、復号部213からランダム鍵Krを受け取る。暗号部214は、ランダム鍵Krを暗号鍵として用い、登録IDリストに暗号アルゴリズムE3を施して、暗号化登録IDリストを生成する。具体例として、暗号部214は、処理データ生成部215から、図5(b)に示した登録IDリスト125を受け取り、登録IDリスト125を暗号化して、暗号化登録IDリストを生成する。暗号部214は、生成した暗号化登録IDリストを、処理データ生成部215へ出力する。
【0090】
暗号部214は、削除処理においても同様に、削除IDリストを暗号化して、暗号化削除IDリストを生成する。具体例として、暗号部214は、処理データ生成部215から、図5(d)に示した削除IDリスト135を受け取り、削除IDリスト135を暗号化して、暗号化削除リストを生成する。暗号部214は、生成した暗号化削除IDリストを、処理データ生成部215へ出力する。
【0091】
また、アクセス要求処理において、暗号部214は、端末ID記憶部22から、端末ID「ID_A」を読み出し、更に、復号部213から、ランダム鍵Krを受け取る。暗号部214は、ランダム鍵Krを暗号鍵として用い、「ID_A」に暗号アルゴリズムE5を施し、暗号化端末ID「E5(Kr,ID_A)」を生成し、生成した暗号化端末IDを、アクセス要求生成部217へ出力する。
【0092】
(e)処理データ生成部215は、登録要求データ及び削除要求データを生成する。
(登録要求データ120生成)
ここでは、具体例として、図5(a)に示した登録要求データ120を生成する処理について説明する。
処理データ生成部215は、予め内部に登録要求データ制御情報を保持している。登録要求データ制御情報は、登録要求データの生成に用いられる情報であって、登録要求データ120の登録コマンド121「/touroku」のみが記述されており、暗号化登録IDリスト122、パスワード123及び署名データ124が空欄になっている。
【0093】
処理データ生成部215は、端末ID記憶部22から自機の端末ID「ID_A」を受け取り、外部入力I/F24を介して、自機のアクセス可能回数「制限なし」、アクセス可能期間「制限なし」、アクセス可能領域「制限なし」、及びアクセス可能アプリ「制限なし」の入力を受け付け、登録情報126を生成する。
また、処理データ生成部215は、外部入力I/F24を介して、PDA30の端末ID「ID_B」、PDA30のアクセス可能回数「3」、アクセス可能期間「2004,8,1〜2005,7,31」、及びアクセス可能領域「ブロック2」の入力を受け付ける。なお、PDA30のアクセス可能アプリについては入力を受け付けないか、又はアクセスの権利が無い旨の入力を受け付けることとする。処理データ生成部215は、受け付けた情報から登録情報127を生成する。
【0094】
処理データ生成部215は、登録情報126及び登録情報127から、登録IDリスト125を生成する。処理データ生成部215は、生成した登録IDリスト125を暗号部214へ出力し、暗号部214から、登録IDリスト125が暗号化されて生成された暗号化登録IDリスト122を受け取る。
処理データ生成部215は、登録要求データ制御情報に、暗号化登録IDリスト122を書き込む。
【0095】
処理データ生成部215は、外部入力I/F24を介してパスワード「PW_A」の入力を受け付け、受け付けたパスワード「PW_A」を登録要求データ制御情報に書き込む。
また、処理データ生成部215は、署名生成部216から署名データ「Sig_A」を受け取り、受け取った署名データ「Sig_A」を登録要求データ制御情報に書き込み、登録要求データ120を生成する。処理データ生成部215は、登録要求データ120を、記録担体I/F21を介して記録担体10へ出力する。
【0096】
(削除要求データ130生成)
ここでは、具体例として、図5(c)に示した削除要求データ130を生成する処理について説明する。
処理データ生成部215は、予め内部に削除要求データ制御情報を保持している。削除要求データ制御情報は、削除要求データの生成に用いられる情報であって、削除要求データ130の削除コマンド131「/sakujo」のみが記述されており、暗号化削除IDリスト132、パスワード133及び署名データ134が空欄になっている。
【0097】
処理データ生成部215は、外部入力I/F24から、端末ID「ID_C」及び「ID_D」の入力を受け付け、「ID_C」及び「ID_D」から成る削除IDリスト135を生成する。処理データ生成部215は、削除IDリスト135を、暗号部214へ出力し、暗号部214から、削除IDリスト135が暗号化されて生成された暗号化削除IDリスト132を受け取る。
【0098】
処理データ生成部215は、削除要求データ制御情報に、暗号化削除IDリスト132を書き込む。
処理データ生成部215は、外部入力I/F24を介してパスワード「PW_A´」の入力を受け付け、受け付けたパスワード「PW_A´」を削除要求データ制御情報に書き込む。
【0099】
また、処理データ生成部215は、署名生成部216から署名データ「Sig_A´」を受け取り、受け取った署名データ「Sig_A´」を削除要求データ制御情報に書き込み、削除要求データ130を生成する。処理データ生成部215は、削除要求データ130を、記録担体I/F21を介して記録担体10へ出力する。
(f)署名生成部216は、予め内部に署名鍵を保持している。署名鍵は、記録担体10が保持している検証鍵に対応している。署名生成部216は、処理データ生成部215により生成された登録コマンド、暗号化登録IDリスト、及びパスワードに対し、署名鍵を用いて、署名データを生成する。署名生成部216は、生成した署名データを処理データ生成部215へ出力する。
【0100】
なお、署名生成部216で用いられる署名生成のアルゴリズムは、記録担体10の署名検査部108で用いられる署名検証のアルゴリズムに対応し、公開鍵暗号方式を用いたデジタル署名方式である。
(g)アクセス要求生成部217は、予め内部にアクセス要求制御情報を保持している。アクセス要求制御情報は、アクセス要求の生成に用いられる情報であって、図8(a)に示したアクセス要求160のアクセスコマンド161「/access」のみが記述されており、暗号化端末ID162及び要求データ識別情報163が空欄になっている。
【0101】
以下では、具体例としてアクセス要求160の生成処理について説明する。アクセス要求生成部217は、暗号部214から、自機の端末ID「ID_A」が暗号化されて生成された暗号化端末ID162「E5=(Kr,ID_A)」を受け取り、受け取った暗号化端末ID162を、アクセス要求制御情報に書き込む。また、アクセス要求生成部217は、外部入力I/F24を介して、要求データ識別情報163「アドレス帳」を受け取り、受け取った要求データ識別情報163を、アクセス要求制御情報に書き込み、アクセス要求160を生成する。アクセス要求生成部217は、生成したアクセス要求160を、記録担体I/F21を介して、記録担体10へ出力する。
【0102】
(h)データ出力部218は、記録担体I/F21を介して記録担体10から、データを受け取り、受け取ったデータを、表示部25へ出力する。
(4)外部入力I/F24
外部入力I/F24は、具体的には、携帯電話機20の操作面上に設けられた複数のキーである。外部入力I/F24は、ユーザによりキーが押下されると、押下されたキーに対応する信号を生成し、生成した信号を制御部23へ出力する。
【0103】
(5)表示部25
表示部25は、具体的にはディスプレィユニットであり、データ出力部218から出力されるデータをディスプレィに表示する。
3.PDA30
PDA30は、携帯電話機20と同一のユーザが所有する情報端末であるとする。PDA30は、カードスロットを備え、カードスロットに記録担体10を装着することができる。また、PDA30は、自機の端末IDである「ID_B」を予め内部に保持している。なお、PDA30は、携帯電話機20と同様の構成を有しているため、PDA30の構成は図示していない。
【0104】
PDA30が、携帯電話機20と異なる点は、記録担体10に対して、機器情報の登録は行わず、アクセス要求のみ行う点である。PDA30は、アクセス要求処理において、自機の端末ID「ID_B」を読み出し、読み出した端末IDを暗号化して、暗号化端末IDを生成する。PDA30は、生成した暗号化端末IDを含むアクセス要求を、記録担体10に出力する。
【0105】
図8(b)に示したアクセス要求170は、PDA30により生成されるアクセス要求の一例である。同図に示す様に、アクセス要求170は、アクセスコマンド171「/access」、暗号化端末ID172「E5(Kr,ID_B)」及び要求データ識別情報173「保護メールデータ」から成る。
4.PC40
PC40は、携帯電話機20と同一のユーザが所有する情報端末であるとする。PC40は、カードスロットを備え、カードスロットに記録担体10を装着することができる。また、PC40は、自機の端末IDである「ID_C」を予め内部に保持している。なお、PC40は、携帯電話機20と同様の構成を有しているため、PC40の構成は図示していない。
【0106】
PC40は、PDA30と同様に、記録担体10に対して、機器情報の登録は行わず、アクセス要求のみ行う。PC40は、アクセス要求処理において、自機の端末ID「ID_C」を読み出し、読み出した端末IDを暗号化して、暗号化端末IDを生成する。PC40は、生成した暗号化端末IDを含むアクセス要求を、記録担体10に出力する。
図8(c)に示したアクセス要求180は、PC40により生成されるアクセス要求の一例である。同図に示す様に、アクセス要求180は、アクセスコマンド181「/access」、暗号化端末ID182「E5(Kr,ID_C)」及び要求データ識別情報183「APP2」から成る。
【0107】
5.携帯電話機50
携帯電話機50は、携帯電話機20、PDA30及びPC40のユーザとは異なる人物が所有する情報端末であるとする。携帯電話機50は、カードスロットを備え、カードスロットに記録担体10を装着することができる。また、携帯電話機50は、自機の端末IDである「ID_E」を予め内部に保持している。なお、携帯電話機50は、携帯電話機20と同様の構成を有しているため、携帯電話機50の構成は図示していない。
【0108】
以下では、携帯電話機50のユーザは、他人の所有物である記録担体10を自機のカードスロットに装着して、記録担体10に記録されているデータにアクセスしようとする場合を想定する。
携帯電話機50は、自機の端末ID「ID_E」を読み出し、読み出した端末IDを暗号化して、暗号化端末IDを生成する。携帯電話機50は、生成した暗号化端末IDを含むアクセス要求を、記録担体10に出力する。
【0109】
図8(d)に示したアクセス要求190は、携帯電話機50により生成されるアクセス要求の一例である。同図に示す様に、アクセス要求190は、アクセスコマンド191「/access」、暗号化端末ID192「E5(Kr,ID_E)」及び要求データ識別情報193「画像データ」から成る。
記録担体10は、他人の機器である携帯電話機50については、アクセス可能機器テーブル140に登録していない。そのため、携帯電話機50は、記録担体10にアクセス要求190を出力しても、記録担体10により、データアクセスの権利が無いと判断され、記録担体10のデータにアクセスすることは出来ない。
【0110】
<動作>
(全体)
図11は、データ保護システム1全体の動作を示すフローチャートである。
要求が発生し(ステップS1)、要求に応じた処理が行われる。ステップS1で発生した要求が「登録」の場合、機器情報登録処理を行う(ステップS2)。要求が「削除」の場合、機器情報削除処理を行う(ステップS3)。要求が「アクセス」の場合、データアクセス処理を行う(ステップS4)。要求された処理が終了すると、ステップS1に戻る。
【0111】
(機器情報登録処理)
図12(a)は、記録担体10と携帯電話機20とにおける、機器情報登録処理の動作を示すフローチャートである。なお、ここに示す動作は、図11のステップS2の詳細である。
携帯電話機20は、機器情報の登録を示す処理要求を受け付け(ステップS10)、記録担体10に対して、処理開始要求を出力する(ステップS11)。記録担体10が処理開始要求を受け取ると、記録担体10と携帯電話機20との間で、チャレンジ‐レスポンス認証を行い(ステップS12)、その後、登録処理を行う(ステップS13)。
【0112】
(機器情報削除処理)
図12(b)は、記録担体10と携帯電話機20とにおける、機器情報削除処理の動作を示すフローチャートである。なお、ここに示す動作は、図11のステップS3の詳細である。
携帯電話機20は、機器情報の削除を示す処理要求を受け付け(ステップS20)、
記録担体10に対して、処理開始要求を出力する(ステップS21)。記録担体10が処理開始要求を受け取ると、記録担体10と携帯電話機20との間で、チャレンジ‐レスポンス認証を行い(ステップS22)、その後、削除処理を行う(ステップS23)。
【0113】
(チャレンジ‐レスポンス認証)
図13は、記録担体10と携帯電話機20とにおける、チャレンジ‐レスポンス認証の動作を示すフローチャートである。なお、ここに示す動作は、図12(a)のステップS12、及び、図12(b)のステップS22の詳細である。
先ず、記録担体10の乱数生成部102は、処理開始要求受付部101から乱数生成の指示を受け、乱数rを生成する(ステップS101)。乱数生成部102は、生成した乱数rを、端末I/F11を介して携帯電話機20へ出力し、携帯電話機20の記録担体I/F21は、乱数rを受け取る(ステップS102)。
【0114】
また、乱数生成部102は、ステップS101で生成した乱数rをレスポンスデータ検査部103へ出力し、レスポンスデータ検査部103は、内部に保持する共通鍵
Kcを暗号鍵として用い、乱数rに暗号アルゴリズムE1を施して、暗号化データC1を生成する(ステップS103)。
一方、携帯電話機20の制御部23は、記録担体I/F21から乱数rを受け取り、内部に保持する共通鍵Kcを暗号鍵として用い、乱数rに暗号アルゴリズムE1を施して、暗号化データC1´を生成する(ステップS104)。制御部23は、生成した暗号化データC1´を、記録担体I/F21を介して記録担体10に出力し、記録担体10の端末I/F11は、暗号化データC1´を受け取る(ステップS105)。
【0115】
レスポンスデータ検査部103は、ステップS103で生成した暗号化データC1と、ステップS104で、携帯電話機20により生成された暗号化データC1´とを比較する。C1とC1´とが一致する場合(ステップS106でYES)、レスポンスデータ検査部103は、携帯電話機20の認証に成功したと判断し(ステップS107)、その後、携帯電話機20との間で、登録処理、又は削除処理を行う。
【0116】
C1とC1´とが一致しない場合(ステップS106でNO)、レスポンスデータ検査部103は、携帯電話機20の認証に失敗したと判断し(ステップS108)、認証に失敗した旨を示すエラーメッセージを、端末I/F11を介して携帯電話機20へ出力し、携帯電話機20の記録担体I/F21は、エラーメッセージを受け取る(ステップS109)。携帯電話機20の制御部23は、記録担体I/F21からエラーメッセージを受け取り、表示部25に表示する(ステップS110)。
【0117】
(登録)
(a)記録担体10による登録処理
図14及び図15は、記録担体10による登録処理の動作を示すフローチャートである。なお、ここに示す動作は、図12(a)のステップS13の詳細である。
機器情報登録部14の公開鍵取得部104は、携帯電話機20の公開鍵PK20を取得する(ステップS202)。ランダム鍵生成部105は、レスポンスデータ検査部103から指示を受け、ランダム鍵Krを生成する(ステップS203)。
【0118】
暗号部106は、携帯電話機20の公開鍵PK20と、ランダム鍵Krとを取得して、公開鍵PK20を暗号鍵として用い、ランダム鍵Krに暗号アルゴリズムE2を施して、暗号化ランダム鍵E2(PK20,Kr)を生成する(ステップS204)。暗号部106は、生成した暗号化ランダム鍵E2(PK20,Kr)を、端末I/F11を介して携帯電話機20へ出力する(ステップS205)。
【0119】
次に、処理データ受付部107は、携帯電話機20から登録要求データを受け付ける(ステップS206)。処理データ受付部107は、受け付けた登録要求データを署名検査部108へ出力する。
署名検査部108は、登録要求データを受け取り、受け取った登録要求データから、署名データを抽出する(ステップS207)。署名検査部108は、抽出した署名データに検証鍵及び署名検証アルゴリズムを用いて、署名データを検査する(ステップS208)。署名データの検証に失敗した場合(ステップS209でNO)、署名検査部108は、端末I/F11を介して、携帯電話機20に、署名検証に失敗した旨のエラーメッセージを出力する(ステップS214)。署名データの検証に成功した場合(ステップS209でYES)、署名検査部108は、登録要求データをパスワード検査部109へ出力する。
【0120】
パスワード検査部109は、登録要求データを受け取り、受け取った登録要求データから、パスワードを抽出する(ステップS210)。次に、パスワード検査部109は、機器情報記憶部15に記憶されている正しいパスワードを読み出す(ステップS211)。パスワード検査部109はステップS210で抽出したパスワードと、ステップS211で読み出した正しいパスワードとが一致するか否か判断する。
【0121】
パスワードが一致しない場合(ステップS212でNO)、パスワード検査部109は、端末I/F11を介して、携帯電話機20に、パスワード認証に失敗した旨のエラーメッセージを出力する(ステップS214)。パスワードが一致する場合(ステップS212でYES)、パスワード検査部109は、登録要求データを、復号部110へ出力する。
【0122】
復号部110は、登録要求データを受け取り、受け取った登録要求データから暗号化登録IDリストを抽出する(ステップS213)。復号部213は、ランダム鍵生成部105が生成したランダム鍵を用いて、暗号化登録IDリストを復号し(ステップS215)、復号した登録IDリストを、データ制御部111へ出力する。
データ制御部111は、ステップS216からステップS222まで登録情報毎に繰り返す。データ制御部111は、登録情報から端末IDを抽出する(ステップS217)。データ制御部111は、ステップS217で抽出した端末IDと、機器情報記憶部15に記憶されているアクセス可能機器テーブルに登録されている全ての端末IDとを比較する(ステップS218)。
【0123】
アクセス可能機器テーブルに、一致する端末IDがある場合(ステップS219でYES)、データ制御部111は、端末I/F11を介して携帯電話機20に、当該端末IDにより識別される機器は既に登録済みである旨のエラーメッセージを出力する(ステップS220)。アクセス可能機器テーブルに、一致する端末IDが無い場合(ステップS219でNO)、データ制御部111は、機器情報記憶部15に記憶されているアクセス可能機器テーブルに、登録情報を書き込む(ステップS221)。
【0124】
(b)携帯電話機20による登録処理
図16及び図17は、携帯電話機20による登録処理の動作を示すフローチャートである。なお、ここに示す動作は、図12(a)のステップS13の詳細である。
制御部23の復号部213は、記録担体I/F21を介して記録担体10から、携帯電話機20の公開鍵PK20を用いて暗号化された暗号化ランダム鍵E2(PK20,Kr)を取得する(ステップS233)。復号部213は、受け取った暗号化ランダム鍵E2(PK20,Kr)から、ランダム鍵Krを復号する(ステップS234)。
【0125】
続いて、携帯電話機20は、ステップS235からステップS242まで、登録する機器毎に繰り返す。
制御部23の処理データ生成部215は、登録する機器の端末IDを取得する(ステップS236)。ここで、登録する機器が自機(携帯電話機20)の場合、処理データ生成部215は、端末ID記憶部22から端末IDを取得する。登録する機器が他機の場合、処理データ生成部215は、外部入力I/F24から端末IDを取得する。
【0126】
次に、処理データ生成部215は、外部入力I/F24から受け取る入力信号に基づき、アクセス可能回数を設定する(ステップS237)。同様に、処理データ生成部215は、外部入力I/F24から受け取る入力信号に基づき、アクセス可能期間を設定し(ステップS238)、アクセス可能領域を設定し(ステップS239)、アクセス可能アプリ(ステップS240)を設定する。処理データ生成部215は、ステップS236で取得した端末ID、及びステップS237からステップS240で設定したデータとを1レコードとする登録情報を生成する(ステップS241)。
【0127】
処理データ生成部215は、ステップS235からステップS242までの繰り返し処理で生成された全てのレコードからなる登録IDリストを生成する(ステップS243)。
処理データ生成部215は、登録要求データ制御情報を読み出す(ステップS244)。次に、処理データ生成部215は、ステップS243で生成した登録IDリストを、暗号部214へ出力する。暗号部214は、登録IDリストを受け取り、受け取った登録IDリストをステップS234で復号したランダム鍵Krを暗号鍵として用い、暗号化登録IDリストE3(Kr,登録IDリスト)を生成する(ステップS245)。
【0128】
次に、処理データ生成部215は、外部入力I/F24を介して、パスワードPW_Aの入力を受け付ける(ステップS246)。また、署名生成部216は、登録コマンド、暗号化登録IDリスト及びパスワードに基づき、署名データSig_Aを生成する(ステップS247)。署名生成部216は、生成した署名データSig_Aを、処理データ生成部215へ出力する。
【0129】
処理データ生成部215は、登録要求データ制御情報に、暗号化登録IDリスト、パスワード、署名データを書き込み、登録要求データを生成する(ステップS248)。処理データ生成部215は、生成した登録要求データを、記録担体I/F21を介して、記録担体10へ出力する(ステップS249)。
その後、携帯電話機20は、エラーメッセージを受け取る場合(ステップS250でYES)、データ出力部218を介して表示部25に、エラーメッセージを表示する(ステップS251)。携帯電話機20は、エラーメッセージを受け取らない場合(ステップS250でNO)、処理を終了する。
【0130】
(削除)
(a)記録担体10による削除処理
図18及び図19は、記録担体10による削除処理の動作を示すフローチャートである。なお、ここに示す動作は、図12(b)のステップS23の詳細である。
機器情報登録部14の公開鍵取得部104は、携帯電話機20の公開鍵PK20を取得する(ステップS302)。ランダム鍵生成部105は、レスポンスデータ検査部103から指示を受け、ランダム鍵Krを生成する(ステップS303)。
【0131】
暗号部106は、携帯電話機20の公開鍵PK20と、ランダム鍵Krとを受け取り、公開鍵PK20を暗号鍵として用い、ランダム鍵Krに暗号アルゴリズムE2を施して、暗号化ランダム鍵E2(PK20,Kr)を生成する(ステップS304)。暗号部106は、生成した暗号化ランダム鍵E2(PK20,Kr)を、端末I/F11を介して携帯電話機20へ出力する(ステップS305)。
【0132】
次に、処理データ受付部107は、携帯電話機20から削除要求データを受け付ける(ステップS306)。処理データ受付部107は、受け付けた削除要求データを署名検査部108へ出力する。
署名検査部108は、削除要求データを受け取り、受け取った削除要求データから、署名データを抽出する(ステップS307)。署名検査部108は、抽出した署名データに検証鍵及び署名検証アルゴリズムを用いて、署名データを検査する(ステップS308)。署名データの検証に失敗した場合(ステップS309でNO)、署名検査部108は、端末I/F11を介して、携帯電話機20に、署名検証に失敗した旨のエラーメッセージを出力する(ステップS314)。署名データの検証に成功した場合(ステップS309でYES)、署名検査部108は、削除要求データをパスワード検査部109へ出力する。
【0133】
パスワード検査部109は、削除要求データを受け取り、受け取った削除要求データから、パスワードを抽出する(ステップS310)。次に、パスワード検査部109は、機器情報記憶部15に記憶されている正しいパスワードを読み出す(ステップS311)。パスワード検査部109はステップS310で抽出したパスワードと、ステップS311で読み出した正しいパスワードとが一致するか否か判断する。
【0134】
パスワードが一致しない場合(ステップS312でNO)、パスワード検査部109は、端末I/F11を介して、携帯電話機20に、パスワード認証に失敗した旨のエラーメッセージを出力する(ステップS314)。パスワードが一致する場合(ステップS312でYES)、パスワード検査部109は、削除要求データを、復号部110へ出力する。
【0135】
復号部110は、削除要求データを受け取り、受け取った削除要求データから暗号化削除IDリストを抽出する(ステップS313)。復号部213は、ランダム鍵生成部105が生成したランダム鍵を用いて、暗号化削除IDリストを復号し(ステップS315)、復号した削除IDリストを、データ制御部111へ出力する。
データ制御部111は、ステップS316からステップS322まで端末ID毎に繰り返す。データ制御部111は、登録情報から端末IDを抽出する(ステップS317)。データ制御部111は、ステップS317で抽出した端末IDが、機器情報記憶部15に記憶されているアクセス可能機器テーブルに、登録されているか確認する。(ステップS318)。
【0136】
アクセス可能機器テーブルに、同一の端末IDが存在しない場合(ステップS319でNO)、データ制御部111は、端末I/F11を介して携帯電話機20に、当該端末IDにより識別される機器は、アクセス可能機器として登録されていない旨のエラーメッセージを出力する(ステップS321)。アクセス可能機器テーブルに、同一の端末IDが存在する場合(ステップS319でYES)、データ制御部111は、機器情報記憶部15に記憶されているアクセス可能機器テーブルから、当該端末IDを含むアクセス可能機器情報を削除する(ステップS220)。
【0137】
(b)携帯電話機20による削除処理
図20は、携帯電話機20による削除処理の動作を示すフローチャートである。なお、ここに示す動作は、図12(b)のステップS23の詳細である。
制御部23の復号部213は、記録担体I/F21を介して記録担体10から、携帯電話機20の公開鍵PK20を用いて暗号化された暗号化ランダム鍵E2(PK20,Kr)を取得する(ステップS333)。復号部213は、受け取った暗号化ランダム鍵E2(PK20,Kr)から、ランダム鍵Krを復号する(ステップS334)。
【0138】
制御部23の処理データ生成部215は、削除する全ての機器の端末IDを取得する(ステップS335)。ここで、登録する機器が自機(携帯電話機20)の場合、処理データ生成部215は、端末ID記憶部22から端末IDを取得する。登録する機器が他機の場合、処理データ生成部215は、外部入力I/F24から端末IDを取得する。処理データ生成部215は、取得した全ての端末IDからなる削除IDリストを生成する(ステップS336)。
【0139】
処理データ生成部215は、削除要求データ制御情報を読み出す(ステップS338)。次に、処理データ生成部215は、ステップS336で生成した削除IDリストを、暗号部214へ出力する。暗号部214は、削除IDリストを受け取り、受け取った登録IDリストをステップS334で復号したランダム鍵Krを暗号鍵として用い、暗号化削除IDリストE3(Kr,削除IDリスト)を生成する(ステップS338)。
【0140】
次に、処理データ生成部215は、外部入力I/F24を介して、パスワードPW_Aの入力を受け付ける(ステップS339)。また、署名生成部216は、削除コマンド、暗号化削除IDリスト及びパスワードに基づき、署名データSig_A´を生成する(ステップS340)。署名生成部216は、生成した署名データSig_A´を、処理データ生成部215へ出力する。
【0141】
処理データ生成部215は、削除要求データ制御情報に、暗号化削除IDリスト、パスワード、署名データを書き込み、削除要求データを生成する(ステップS341)。処理データ生成部215は、生成した削除要求データを、記録担体I/F21を介して、記録担体10へ出力する(ステップS2342)。
その後、携帯電話機20は、エラーメッセージを受け取る場合(ステップS343でYES)、データ出力部218を介して表示部25に、エラーメッセージを表示する(ステップS344)。携帯電話機20は、エラーメッセージを受け取らない場合(ステップS343でNO)、処理を終了する。
【0142】
(アクセス処理)
図21は、データ保護システム1におけるデータアクセス処理の動作を示すフローチャートである。なお、ここに示す動作は、図11のステップS4の詳細である。
カードスロットに、記録担体10を装着している情報端末は、ユーザから所定データへの表示要求を受け付け(ステップS401)、処理開始要求を生成する(ステップS402)。情報端末は、処理開始要求を記録担体10へ出力し、記録担体10は、処理開始要求を受け取る(ステップS403)。
【0143】
記録担体10は、情報端末の公開鍵PKNを取得する(ステップS404)。Nは、N=20、30、40、又は50である。次に、記録担体10は、ランダム鍵Krを生成する(ステップS405)。記録担体10は、ステップS404で取得した公開鍵PKNを暗号鍵として用い、ステップS405で生成したランダム鍵Krに、暗号アルゴリズムE4を施し、暗号化ランダム鍵E4(PKN,Kr)を生成する(ステップS406)。記録担体10は、暗号化ランダム鍵を情報端末へ出力し、情報端末は、暗号化ランダム鍵を受け取る(ステップS407)。
【0144】
情報端末は、ランダム鍵Krを復号する(ステップS408)。次に、情報端末は、内部に記憶している自機の端末IDを読み出し(ステップS409)、ランダム鍵Krを暗号鍵として用い、端末IDに暗号アルゴリズムE5を施して、暗号化端末IDE5(Kr,端末ID)を生成する(ステップS410)。
次に、情報端末は、予め内部に保持するアクセス要求制御情報を読み出し(ステップS411)、アクセス要求制御情報に、暗号化端末IDとアクセス要求データ識別情報とを書き込み、アクセス要求を生成する(ステップS412)。情報端末は、アクセス要求を記録担体10へ出力し、記録担体10は、アクセス要求を受け取る(ステップS413)。
【0145】
記録担体10は、アクセス可否判断を行い(ステップS414)、アクセス可否判断の結果に基づき、データを情報端末へ出力し、情報端末は、記録担体10から出力されるデータを受け取り(ステップS415)、表示する(ステップS416)。なお、ステップS415は、ステップS414のアクセス可否判断の結果によっては、情報端末が要求したデータではなく、エラーメッセージが出力される。
【0146】
(可否判断)
図22及び図23は、記録担体10によるアクセス可否判断の動作を示すフローチャートである。なお、ここに示す動作は、図21のステップS414の詳細である。
制御部16の復号部155は、アクセス要求から暗号化端末IDを抽出し(ステップS500)、ランダム鍵生成部152から受け取るランダム鍵を復号鍵として用い、端末IDを復号する(ステップS501)。復号部155は、復号した端末IDとアクセス要求データ識別情報とを判断部156へ出力する。
【0147】
判断部156は、機器情報記憶部15からアクセス可能機器テーブルを読み出し、復号部155から受け取った端末IDと同一の端末IDが、アクセス可能機器テーブルに登録されているか否か判断する。同一の端末IDが登録されていない場合(ステップS502でNO)、判断部156は、端末I/F11を介して情報端末へ、アクセスを拒否する旨のエラーメッセージを出力する(ステップS510)。
【0148】
同一の端末IDが登録されている場合(ステップS502でYES)、判断部156は、アクセス可能機器テーブルから、当該端末IDを含むアクセス可能機器情報を抽出する(ステップS503)。判断部156は、抽出したアクセス可能機器情報から、アクセス可能回数を抽出し、更に、当該端末IDにより識別される機器のアクセス回数を読み出す(ステップS504)。
【0149】
判断部156は、アクセス回数とアクセス可能回数とを比較し、アクセス回数がアクセス可能回数以上の場合(ステップS505でYES)、端末I/F11を介して情報端末へ、アクセスを拒否する旨のエラーメッセージを出力する(ステップS510)。
アクセス回数がアクセス可能回数未満の場合(ステップS505でNO)、判断部156は、アクセス可能機器情報から、アクセス可能期間を抽出し、更に、日付管理部157から、日時情報を取得する(ステップS506)。判断部156は、日付情報が示す現在日時が、アクセス可能期間内であるか否か判断する。現在が、アクセス可能期間外の場合(ステップS507でNO)、判断部156は、端末I/F11を介して情報端末へ、アクセスを拒否する旨のエラーメッセージを出力する(ステップS510)。
【0150】
現在が、アクセス可能期間内である場合(ステップS507でYES)、判断部156は、内部に保持するテーブル200を参照し、受け取った要求データ識別情報により識別されるデータが記憶されているメモリブロックを判別する(ステップS508)。更に、判断部156は、アクセス可能機器情報から、アクセス可能領域を抽出し(ステップS509)、アクセス要求されているデータが記憶されているメモリブロックが、アクセス可能領域に含まれるか否か判断する。
【0151】
当該メモリブロックが、アクセス可能領域でない場合(ステップS511でNO)、判断部156は、端末I/F11を介して情報端末へ、アクセスを拒否する旨のエラーメッセージを出力する(ステップS517)。当該メモリブロックが、アクセス可能領域である場合(ステップS511でYES)、判断部156は、要求データ識別情報から、アクセス要求されているデータが、アプリケーションプログラムであるか否か判断する。アクセス要求されているデータが、アプリケーションプログラムでない場合(ステップS512でNO)、ステップS515に進み、処理を続ける。
【0152】
アクセス要求されているデータが、アプリケーションプログラムである場合(ステップS512でYES)、判断部156は、アクセス可能機器情報から、アクセス可能アプリを抽出する(ステップS513)。判断部156は、アクセス要求されているアプリケーションプログラムが、アクセス可能アプリに含まれるか否か判断する。
アクセス要求されているアプリケーションプログラムが、アクセス可能アプリでない場合(ステップS514でNO)、判断部156は、端末I/F11を介して、情報端末へ、アクセス拒否を示すエラーメッセージを出力する(ステップS517)。
【0153】
アクセス要求されているアプリケーションプログラムが、アクセス可能アプリである場合(ステップS514でYES)、判断部156は,メモリアクセス部158へデータの読み出しを指示し、メモリアクセス部158は、データ記憶部12内のアクセス制限領域13から、要求されたデータを読み出す(ステップS515)。
データ入出力部159は、メモリアクセス部158から読み出したデータを受け取り、端末I/F11を介して、情報端末へデータを出力する(ステップS516)。
【0154】
≪第1実施形態の変形例≫
ここでは、第1実施形態であるデータ保護システム1の変形例として、データ保護システム1aについて説明する。
図24は、データ保護システム1aの構成を示す。同図に示す様に、データ保護システム1aは、記録担体10a、携帯電話機20a、PDA30a、PC40a、携帯電話機50a、及び登録サーバ60aから構成される。
【0155】
データ保護システム1は、携帯電話機20が、記録担体10に対して機器情報の登録及び削除を要求する専用機器であったが、データ保護システム1aは、記録担体10aに対して機器情報の登録及び削除を要求するための登録サーバ60aを設けたことが特徴である。
1.記録担体10a
図25は、記録担体10aの構成を機能的に示す機能ブロック図である。
【0156】
同図に示す様に、記録担体10aは、端末I/F11a、データ記憶部12a、アクセス制限領域13a、機器情報登録部14a、機器情報記憶部15a、制御部16a、及びカードID記憶部17aから構成される。図2に示した記録担体10との構成上の違いは、カードID記憶部17aを備える点である。
端末I/F11a、データ記憶部12a、アクセス制限領域13a、機器情報記憶部15a、及び制御部16aは、それぞれ、第1実施形態の記録担体10の構成要素である端末I/F11、データ記憶部12、アクセス制限領域13、機器情報記憶部15、及び制御部16と同様の機能を有するため、説明を省略する。
【0157】
以下では、記録担体10と異なる部分を中心に説明する。
カードID記憶部17aは、記録担体10aを一意に識別するためのカードID「CID_A」を記憶している。
機器情報登録部14aは、情報端末を介して、後に説明する登録サーバ60aとの間で、チャレンジ‐レスポンス認証を行った後、登録要求データ及び削除要求データを受け取る。チャレンジ‐レスポンス認証の詳細は、図13に示したフローチャートの「記録担体10」を「記録担体10a」に置き換え、「携帯電話機20」を「登録サーバ60a」に置き換えた処理と同様である。
【0158】
登録要求データは、登録コマンド、暗号化登録IDリスト、カードID、端末ID、及び署名データから成る。カードIDは、機器情報の登録先である記録担体を識別するための情報であり、端末IDは、機器情報の登録先である記録担体が装着されている情報端末を識別するための情報である。また、署名データは、登録コマンド、暗号化端末IDリスト、カードID及び端末IDに基づき生成されたデジタル署名である。登録要求データの一例は、図27(a)に示す登録要求データ310である。
【0159】
削除要求データは、削除コマンド、暗号化削除IDリスト、カードID、端末ID、及び署名データから成る。カードIDは、機器情報の削除先である記録担体を識別するための情報であり、端末IDは、機器情報の削除先である記録担体が装着されている情報端末を識別するための情報である。また、署名データは、削除コマンド、暗号化削除IDリスト、カードID及び端末IDに基づき生成されたデジタル署名である。削除要求データの一例は、図27(b)に示す削除要求データ320である。
【0160】
機器情報登録部14aは、登録要求データ及び削除要求データに含まれるカードIDと、カードID記憶部17aに記憶されているカードIDとが一致するか否か判断する。また、機器情報登録部14aは、登録要求データ及び削除要求データに含まれる端末IDと、記録担体10aが装着されている情報端末の機器IDとが一致するか否か判断する。
更に、機器情報登録部14aは、登録サーバ60aにより生成された署名データを検証するための検証鍵を予め保持していおり、検証鍵を用いて、登録要求データ及び削除要求データに含まれる署名データを検証し、登録要求データ及び削除要求データが改ざんされていないか判断する。
【0161】
カードIDが一致し、端末IDが一致し、更に、署名データの検証に成功した場合に、機器情報登録部14aは、アクセス可能機器情報の登録処理及び削除処理を行う。
2.携帯電話機20a
携帯電話機20aは、図26に示す様に、記録担体I/F21a、端末ID記憶部22a、制御部23a、外部入力I/F24a、表示部25a、及び通信I/F26aから構成される。
【0162】
記録担体I/F21aは、具体的にはカードスロットであり、カードスロットに記録担体10aを装着する。
通信I/F26aは、ネットワーク接続ユニットであり、ネットワークを介して登録サーバ60aと接続されている。
携帯電話機20aは、機器情報登録処理及び機器情報削除処理においては、記録担体10aからの要求に従い端末ID記憶部22aが記憶している自機の端末IDを、記録担体10aに出力する。
【0163】
なお、第1実施形態の携帯電話機20は、登録要求データ及び削除要求データを生成するが、携帯電話機20aは、登録要求データ及び削除要求データは生成せず、登録サーバ60aにより生成された登録要求データ及び削除要求データを、ネットワークを介して受け取り、受け取った登録要求データ及び削除要求データを、記録担体10aへ出力する。
データアクセス処理については、携帯電話機20と同様であるため説明を省略する。
【0164】
3.PDA30a及びPC40a
PDA30a及びPC40aは、携帯電話機20aと同一のユーザが所有する情報端末であるとする。
PDA30a及びPC40aは、携帯電話機20aと同様の構成を有する。PDA30a及びPC40aは、共に、カードスロットを備え、カードスロットに記録担体10aを装着することができる。また、PDA30a及びPC40aは、共に、ネットワーク接続ユニットを備え、ネットワークを介して、登録サーバ60aと接続されている。
【0165】
PDA30a及びPC40aは、それぞれ、機器情報登録処理及び機器情報削除処理では、記録担体10aからの要求に従い、内部に保持する自機の端末IDを、記録担体10aに出力する。
なお、第1実施形態では、記録担体10は、携帯電話機20に装着されているときのみ、機器情報登録処理及び機器情報削除処理を行うことができた。しかし、当該変形例では、PDA30a及びPC40aは、携帯電話機20aと同様に、登録サーバ60aにより生成された登録要求データ及び削除要求データを、ネットワークを介して受け取り、受け取った登録要求データ及び削除要求データを、記録担体10aへ出力する。従って、当該変形例では、記録担体10aは、PDA30a及びPC40aに装着されているときであっても、機器情報登録処理及び機器情報削除処理を行うことができる。
【0166】
データアクセス処理については、PDA30及びPC40と同様であるため説明を省略する。
4.携帯電話機50a
携帯電話機50aは、携帯電話機20a PDA30a及びPC40aのユーザとは異なる人物が所有する情報端末であるとする。
【0167】
携帯電話機50aは、携帯電話機20aと同様の構成を有する。携帯電話機50aは、カードスロットを備え、カードスロットに記録担体10aを装着することができる。また、携帯電話機50aは、ネットワーク接続ユニットを備え、ネットワークを介して、登録サーバ60aと接続可能である。
記録担体10aは、他人の機器である携帯電話機50aについては、アクセス可能機器テーブルに登録していない。そのため、携帯電話機50aは、記録担体10aにアクセス要求を出力しても、記録担体10aにより、データアクセスの権利が無いと判断され、記録担体10aのデータにアクセスすることは出来ない。
【0168】
5.登録サーバ60a
登録サーバ60aは、記録担体に対して、機器情報の登録及び削除を要求するサーバ装置であって、第1実施形態の携帯電話機20における機器情報登録及び機器情報削除に相当する機能を備える。
図26に示す様に、登録サーバ60aは、外部入力I/F61a、制御部62a、及びデータ送信部63aから構成される。
【0169】
外部入力I/F61aは、外部から、機器情報の登録依頼データ及び削除依頼データを受け付ける。
登録依頼データは、登録処理の依頼であることを示す登録指示、登録先である記録担体を識別するためのカードID、登録先である記録担体が装着されている情報端末を識別するための端末ID、アクセス可能回数、アクセス可能機期間、アクセス可能領域、アクセス可能アプリ、登録処理を依頼元であるユーザのユーザ名、ユーザパスワード、及び送信先情報から成る。
【0170】
削除依頼データは、削除処理の依頼であることを示す削除指示、削除先である記録担体を識別するためのカードID、削除先である記録担体が装着されている情報端末を識別するための端末ID、削除処理を依頼元であるユーザのユーザ名、ユーザパスワード、及び送信先情報から成る。
外部入力I/F61aは、受け付けた登録依頼データ及び削除依頼データを制御部62aへ出力する。
【0171】
制御部62aは、第1実施形態の携帯電話機20における制御部23と同様の機能を有する。制御部23との相違は、制御部62aは、予め記録担体10aの所有者から、ユーザ名及びユーザパスワードの登録を受け、これらを記憶している点である。
制御部62aは、外部入力I/F61aから、登録依頼データ及び削除依頼データを受け取り、受け取った登録依頼データ及び削除依頼データに含まれるユーザ名及びパスワードが、登録されているユーザ名及びパスワードと一致するか否か判断し、ユーザ認証を行う。ユーザ認証に成功した場合のみ、制御部62aは、登録依頼データに基づき、登録要求データを生成し、また、削除依頼データに基づき、削除要求データを生成する。
【0172】
制御部62aが生成する登録要求データの一例を図27(a)に示す。同図に示す様に、登録要求データ310は、登録コマンド311「/touroku」、暗号化登録IDリスト312「E(Kr,登録IDリスト)」、カードID313「CID_A」、端末ID314「ID_B」、及び署名データ315「Sig_A」から成る。カードID313「CID_A」及び端末ID314「ID_B」は、外部入力I/F61から受け取る登録依頼データに含まれるカードID及び端末IDである。暗号化登録IDリストの生成方法は、制御部23と同様であり、暗号鍵として用いるKrは、記録担体10aで生成されたランダム鍵である。制御部62は、生成した登録要求データを、送信先情報と共にデータ送信部63aへ出力する。
【0173】
制御部62aが生成する削除要求データの一例を図27(b)に示す。同図に示す様に、削除要求データ320は、削除コマンド321「/sakujo」、暗号化削除IDリスト322「E(Kr,削除IDリスト)」、カードID323「CID_A」、端末ID324「ID_C」、及び署名データ325「Sig_B」から成る。カードID323「CID_A」及び端末ID324「ID_C」は、外部入力I/F61から受け取る削除依頼データに含まれるカードID及び端末IDである。暗号化削除IDリストの生成方法は、制御部23と同様であり、暗号鍵として用いるKrは、記録担体10aで生成されたランダム鍵である。制御部62aは、生成した削除要求データを、送信先情報と共にデータ送信部63aへ出力する。
【0174】
データ送信部63aは、ネットワーク接続ユニットである。データ送信部63aは、制御部62aから、登録要求データと送信先情報とを受け取り、受け取った登録要求データを、ネットワークを介して送信先情報が示す情報端末へ送信する。また、データ送信部63aは、制御部62aから削除要求データと送信先情報とを受け取り、受け取った削除要求データを、ネットワークを介して送信先情報が示す情報端末へ送信する。
【0175】
以上説明した様に、当該変形例では、携帯電話機20aではなく、登録サーバ60aが、登録要求データ及び削除要求データを生成し、生成した登録要求データ及び削除要求データを、記録担体10aが装着されている情報端末経由で、記録担体10aへ送信することが特徴である。これにより、携帯電話機20aだけでなく、PDA30a、及びPC40aに、記録担体10aが装着された状態でも、機器情報の登録及び削除が行えるようになった。
【0176】
また、登録サーバ60aは、登録要求データ及び削除要求データの生成前に、ユーザ名及びユーザパスワードを用いたユーザ認証を行うことにより、携帯電話機50aのユーザによる不正な機器情報の登録を抑制することができる。
≪第2実施形態≫
ここでは、第2実施形態であるデータ保護システム2について説明する。
【0177】
図28は、データ保護システム2の構成を示す。同図に示す様に、データ保護システム2は、記録担体10b、携帯電話機20b、PDA30b、PC40b、携帯電話機50b、及び管理サーバ70bから構成される。
データ保護システム1では、記録担体10にアクセス可能な機器を示すアクセス可能機器テーブルを、記録担体10自身が保持していたが、データ保護システム2では、記録担体10bにアクセス可能な機器を示すアクセス可能機器テーブルを、管理サーバ70bが保持していることが特徴である。
【0178】
なお、管理サーバ70bへの機器情報の登録及び機器情報の削除は、携帯電話機20bを用いて行う。
<構成>
1.記録担体10b
図29に示す様に、記録担体10bは、端末I/F11b、データ記憶部12b、アクセス制限領域13b、制御部16b、カードID記憶部17b、及び改ざん検査部18bから構成される。
【0179】
記録担体10bは、記録担体10の機器情報登録部14及び機器情報記憶部15に相当する構成要素を有しておらず、カードID記憶部17b及び改ざん検査部18bが追加された構成となっている。
端末I/F11b、データ記憶部12b及びアクセス制限領域13bは、それぞれ、記録担体10の端末I/F11、データ記憶部12及びアクセス制限領域13と同様であるため、説明を省略する。以下では、記録担体10と異なる部分を中心に説明する。
【0180】
カードID記憶部17bは、記録担体10bを一意に識別するためのカードID「CID_A」を記憶している。
改ざん検査部18bは、管理サーバ70bが生成した署名データを検証するための検証鍵を予め保持しており、制御部16bから出力される署名データを、当該検証鍵を用いて検証し、制御部16bが受け取ったデータが改ざんされていないか判断する。改ざん検査部18bは、署名データの検証結果を制御部16bへ出力する。
【0181】
制御部16bは、情報端末からアクセス要求を受け付けると、カードID記憶部17bからカードIDを読み出し、読み出したカードIDを、端末I/F11b、情報端末及びネットワークを介して、管理サーバ70bへ送信する。
制御部16bは、管理サーバ70bからアクセス可能機器テーブルと署名データとを取得し、取得した署名データを改ざん検査部18bへ出力する。改ざん検査部18bによる署名データの検証に成功した場合に、制御部16bは、取得したアクセス可能機器テーブルを用いて、アクセス可否判断を行う。アクセス可否判断については、第1実施形態の記録担体10と同様である。
【0182】
2.携帯電話機20b
携帯電話機20bは、データ保護システム1aの携帯電話機20aと同様の構成を有し、ネットワーク接続ユニットを備え、ネットワークを介して管理サーバ70bに接続可能である。
携帯電話機20bは、第1実施形態の携帯電話機20と同様に、機器情報登録処理及び機器情報削除処理を行う専用機器である。携帯電話機20は、記録担体10との間で、機器情報登録処理及び機器情報削除処理を行ったが、携帯電話機20bは、記録担体10bではなく、アクセス可能機器テーブルを管理している管理サーバ70bとの間で、機器情報登録処理及び機器情報削除処理を行う。
【0183】
携帯電話機20bは、記録担体10bのカードID「CID_A」を含む登録要求データを生成し、生成した登録要求データを管理サーバ70bへ送信する。同様に、携帯電話機20bは、記録担体10bのカードID「CID_A」を含む削除要求データを生成し、生成した削除要求データを管理サーバ70bへ送信する。
また、携帯電話機20bは、カードスロットを備え、カードスロットに記録担体10bが装着された状態において、記録担体10bに対してアクセス要求する。
【0184】
3.PDA30b、PC40b、及び携帯電話機50b
PDA30b、PC40b、及び携帯電話機50bは、それぞれ、PDA30a、PC40a、及び携帯電話機50aと同様の構成を有する。即ち、これらの情報端末は、ネットワーク接続ユニットを備え、ネットワークを介して管理サーバ70bに接続可能である。また、これらの情報端末は、カードスロットを備え、カードスロットに記録担体10bが装着された状態において、記録担体10bにアクセス要求する。
【0185】
なお、これらの情報端末は、管理サーバ70bに対し、機器情報登録処理及び機器情報削除処理は行わない。この点は、第1実施形態と同様である。
4.管理サーバ70b
管理サーバ70bは、図29に示す様に、機器情報登録部71b、機器情報記憶部72b及び制御部73bを備える。
【0186】
機器情報登録部71bは、第1実施形態における記録担体10の機器情報登録部14(図4)と同様の機能及び構成を有する。即ち、機器情報登録部71bは、携帯電話機20bから登録要求データを受け取ると、受け取った登録要求データに基づき、機器情報記憶部72bに、アクセス可能機器情報を登録する。また、機器情報登録部71bは、携帯電話機20bから削除要求データを受け取ると、受け取った削除要求データに基づき、機器情報記憶部72bからアクセス可能機器情報を削除する。
【0187】
機器情報記憶部72bは、アクセス可能機器テーブルを記憶している。アクセス可能機器テーブルの一例を、図30に示す。同図に示す様に、アクセス可能機器テーブル400は、第1実施形態のアクセス可能機器テーブル140(図6)に、カードID401「CID_A」が追加されたデータ構成となっている。
第1実施形態では、記録担体10自身が、アクセス可能機器テーブル140を保持しているため、アクセス可能機器テーブル140が、記録担体10のアクセス制限領域13にアクセス可能な機器を示すのは明らかであった。
【0188】
第2実施形態では、管理サーバ70bがアクセス可能機器テーブル400を保持しているため、カードID401により、当該テーブルが、カードID「CID_A」により識別される記録担体10bのアクセス制限領域にアクセス可能な機器の情報であることを示している。
制御部73bは、情報端末及びネットワークを介して、記録担体10bからカードID「CID_A」を受け取ると、「CID_A」を含むアクセス可能機器テーブル400を、機器情報記憶部72bから抽出する。
【0189】
また、制御部73bは、署名データを生成するための署名鍵を予め保持している。制御部73bは、抽出したアクセス可能機器テーブル400に対して、当該署名鍵を用いて署名データを生成し、アクセス可能機器テーブル400と共に、生成した署名データを、情報端末及びネットワークを介して、記録担体10bに送信する。
<動作>
ここでは、データ保護システム2の動作について説明する。
【0190】
(全体)
図31は、データ保護システム2全体の動作を示すフローチャートである。先ず、携帯電話機20bにおいて、ユーザからの入力を受け付けることにより機器情報の登録要求又は削除要求が発生する(ステップS601)。携帯電話機20bは、ネットワークを介して登録要求又は削除要求を管理サーバ70bへ送信し、管理サーバ70bは、登録要求又は削除要求を受信する(ステップS602)。次に、管理サーバ70b及び携帯電話機20bは、登録処理又は削除処理を行う(ステップS603)。
【0191】
続いて、それぞれが、カードスロットに記録担体10bを装着した携帯電話機20b、PDA30b、PC40b、又は携帯電話機50bにおいて、ユーザからの入力を受け付けることにより、アクセス要求が発生する(ステップS604)。情報端末は、アクセス要求を記録担体10bに出力し、記録担体10bは、アクセス要求を受け取る(ステップS605)。次に、記録担体10b及び管理サーバ70bは、データアクセス処理を行う(ステップS606)。
【0192】
(登録処理及び削除処理)
携帯電話機20bにおける登録処理の動作は、第1実施形態の携帯電話機20における登録処理の動作(図16及び図17)と同様であり、携帯電話機20bにおける削除処理の動作は、第1実施形態の携帯電話機20における削除処理の動作(図20)と同様である。
【0193】
また、管理サーバ70bにおける登録処理の動作は、第1実施形態の記録担体10における登録処理の動作(図14及び図15)と同様であり、管理サーバ70bにおける削除処理の動作は、第1実施形態の記録担体10における削除処理の動作(図18及び図19)と同様である。
(データアクセス処理)
図32は、データアクセス処理の動作を示すフローチャートである。ここに示す動作は、図31のステップS606の詳細である。
【0194】
記録担体10bの制御部16bは、カードID記憶部17bから、カードIDを読み出す(ステップS701)。制御部16bは、読み出したカードIDを、端末I/F11b、情報端末、及びネットワークを介して、管理サーバ70bへ送信し、管理サーバ70bの制御部73bは、カードIDを受信する(ステップS702)。
制御部73bは、受信したカードIDを含むアクセス可能機器テーブルを、機器情報記憶部72bから抽出する(ステップS703)。次に、制御部73bは、抽出したアクセス可能機器テーブルに対する署名データを生成する(ステップS704)。制御部73bは、アクセス可能機器テーブルと署名データとを、情報端末及びネットワークを介して記録担体10bへ送信し、記録担体10bは、アクセス可能機器テーブルと署名データとを受信する(ステップS705)。
【0195】
記録担体10bの改ざん検査部18bは、ステップS705で受信した署名データを受け取り、当該署名データを、内部に保持する検証鍵を用いて検証する(ステップS706)。改ざん検査部18bは、署名データの検証に失敗すると(ステップS707でNO)、データアクセスを拒否する旨のエラーメッセージを生成し、生成したエラーメッセージを情報端末へ出力する(ステップS708)。
【0196】
情報端末は、エラーメッセージを受け取る場合、受け取ったエラーメッセージを表示部に表示する(ステップS709)。
改ざん検査部18bは、署名データの検証に成功すると(ステップS707でYES)、制御部16bに対してその旨を通知する。その後、制御部16bは、アクセス可否判断を行う(ステップS710)。
【0197】
情報端末は、ステップS710のアクセス可否判断の結果により、記録担体10bから受け取る情報を表示部に表示する(ステップS711)。
(アクセス可否判断)
記録担体10bにおけるアクセス可否判断の動作は、第1実施形態の記録担体10におけるアクセス可否判断の動作(図22及び図23)と同様である。
【0198】
≪その他の変形例≫
(1)第1実施形態において、機器情報の登録は、携帯電話機20でなく、他の専用機器を用いてもよい。例えば、携帯電話機の販売店などの専用機器を用い、携帯電話機の販売時に、記録担体にアクセス可能な機器の端末IDを登録するような場合が考えられる。この場合には、登録時のパスワード入力が必要なくなる。
【0199】
(2)第1実施形態及び第2実施形態において、アクセス可能機器情報に、予め正当なユーザのバイオメトリクス情報を含み、アクセス制限領域へのアクセス可否を判断するときに、記録担体は、情報端末を介してユーザのバイオメトリクスを取得し、取得したバイオメトリクスがアクセス可能機器情報に登録されているバイオメトリクス情報と一致するか否かを判断してもよい。
【0200】
バイオメトリクス情報としては、指紋、虹彩、声紋などが考えられる。
(3)第1実施形態及び第2実施形態において、アクセス可能機器情報に、予め正当なユーザにより設定されたパスワードを含み、アクセス制限領域へのアクセス可否を判断するとき、記録担体は、情報端末を介してユーザにより入力されたパスワードを取得し、取得したパスワードがアクセス可能機器情報に登録されているパスワードと一致するか否か判断してもよい。
【0201】
なお、パスワード認証は、アクセス要求の都度行う、一定時間ごとに行う、電源投入直後に行うなど、様々なバリエーションが考えられる。
(4)第2実施形態において、記録担体は、アクセス要求が生じる毎に管理サーバへネットワーク接続し、アクセス可能機器テーブルにアクセスする構成は、必須ではなく、以下のような場合でもよい。
【0202】
例えば、記録担体は、アクセス要求とは無関係に、所定時間毎に管理サーバにアクセスしてもよいし、異なる情報端末のカードスロットに装着される毎に管理サーバにアクセスしてもよい。
(5)第1実施形態の変形例では、記録担体10aと登録サーバ60aとが、機器情報の登録及び削除処理に先立ち、チャレンジ‐レスポンス認証を行ってもよい。
【0203】
(6)第1実施形態において、記録担体はアクセス可能機器情報の登録及び削除だけでなく、アクセス可能機器情報の更新を行うように構成してもよい。
同様に、第2実施形態において、管理サーバはアクセス可能機器情報の追加及び削除だけでなく、更新を行うように構成してもよい。
(7)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
【0204】
また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD‐ROM、MO、DVD、DVD‐ROM、DVD‐RAM、BD(Blu‐ray Disc)、半導体メモリなど、に記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。
【0205】
また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。
【0206】
また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(8)上記実施の形態及び上記変形例をそれぞれ組み合わせる構成も本発明に含まれる。
【産業上の利用可能性】
【0207】
本発明は、例えばICカードを用いた電子マネーシステムにおいて、ICカードの紛失又は盗難が生じた場合などの、ICカードの不正利用を防止する仕組みとして利用することができる。
【図面の簡単な説明】
【0208】
【図1】データ保護システム1の構成を示す図である。
【図2】記録担体10の構成を機能的に示す機能ブロック図である。
【図3】アクセス制限領域13の内部を示す図である。
【図4】機器情報登録部14の構成を機能的に示す機能ブロック図である。
【図5】(a)登録要求データ120のデータ構成を示す図である。(b)登録IDリスト125のデータ構成を示す図である。(c)削除要求データ130のデータ構成を示す図である。(d)削除IDリスト135のデータ構成を示す図である。
【図6】アクセス可能機器テーブル140のデータ構成を示す図である。
【図7】制御部16の構成を機能的に示す機能ブロック図である。
【図8】(a)アクセス要求160のデータ構成を示す図である。(b)アクセス要求170のデータ構成を示す図である。(c)アクセス要求180のデータ構成を示す図である。(d)アクセス要求190のデータ構成を示す図である。
【図9】テーブル200のデータ構成を示す図である。
【図10】携帯電話機20の構成を機能的に示す機能ブロック図である。
【図11】データ保護システム1の全体の動作を示すフローチャートである。
【図12】(a)機器情報登録処理の動作を示すフローチャートである。(b)機器情報削除処理の動作を示すフローチャートである。
【図13】チャレンジ‐レスポンス認証の動作を示すフローチャートである。
【図14】記録担体10による登録処理の動作を示すフローチャートであり、図15に続く。
【図15】記録担体10による登録処理の動作を示すフローチャートであり、図14から続く。
【図16】携帯電話機20による登録処理の動作を示すフローチャートであり、図17に続く。
【図17】携帯電話機20による登録処理の動作を示すフローチャートであり、図16から続く。
【図18】記録担体10による削除処理の動作を示すフローチャートであり、図19に続く。
【図19】記録担体10による削除処理の動作を示すフローチャートであり、図18から続く。
【図20】携帯電話機20による削除処理の動作を示すフローチャートである。
【図21】データ保護システム1におけるデータアクセス処理の動作を示すフローチャートである。
【図22】記録担体10によるアクセス可否判断処理の動作を示すフローチャートであり、図23に続く。
【図23】記録担体10によるアクセス可否判断処理の動作を示すフローチャートであり、図22から続く。
【図24】データ保護システム1aの構成を示す図である。
【図25】記録担体10aの構成を機能的に示す機能ブロック図である。
【図26】携帯電話機20a及び登録サーバ60aの構成を機能的に示す機能ブロック図である。
【図27】(a)登録要求データ310のデータ構成を示す図である。(b)削除要求データ320のデータ構成を示す図である。
【図28】データ保護システム2の構成を示す図である。
【図29】記録担体10b及び管理サーバ70bの構成を機能的に示す機能ブロック図である。
【図30】アクセス可能機器テーブル400のデータ構成を示す図である。
【図31】データ保護システム2全体の動作を示すフローチャートである。
【図32】データ保護システム2におけるデータアクセス処理の動作を示すフローチャートである。
【特許請求の範囲】
【請求項1】
記憶手段と、
装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、
前記記憶手段へのアクセス可否を示すアクセス条件を取得する取得手段と、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、
前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段と
を備えることを特徴とする記録担体。
【請求項2】
前記記録担体は、更に、
前記アクセス条件を記憶しているアクセス条件記憶手段を備え、
前記取得手段は、前記アクセス条件記憶手段から、前記アクセス条件を取得する
ことを特徴とする請求項1に記載の記録担体。
【請求項3】
前記アクセス条件は、識別子リストを含む、前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子から成り、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在する場合、前記アクセス要求は前記アクセス条件を満たすと判断し、存在しない場合、前記アクセス要求は前記アクセス条件を満たさないと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項4】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の回数情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、前記1以上の回数情報は、各機器の前記記憶手段にアクセス可能な回数を示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、
前記情報端末が前記記憶領域にアクセスした回数を示すアクセス回数を保持する保持部と、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記識別子に対応する回数情報が、前記アクセス回数より大きいか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項5】
前記アクセス条件は、識別子リストを含む、前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の期間情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上の期間情報は、各機器の前記記憶手段にアクセス可能な期間を示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、
現在日時を管理する日時管理部と、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記日時管理部が管理している現在日時が、前記識別子に対応する期間情報が示す期間内であるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項6】
前記記憶手段は、複数のメモリブロックから成り、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のメモリブロック情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のメモリブロック情報は、各機器のアクセス可能なメモリブロックを示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と、メモリブロックを指定するメモリブロック指定情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記メモリブロック指定情報が、前記識別子に対応するメモリブロック情報に含まれるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項7】
前記記憶手段は、1以上のプログラムデータを記憶しており、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のプログラム情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のプログラム情報は、各機器がアクセス可能なプログラムデータを示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と、プログラムデータを指定するプログラム指定情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記プログラム指定情報が、前記識別子に対応するプログラム情報に含まれるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項8】
前記アクセス条件は、識別子リストとバイオメトリクスリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記バイオメトリクスリストは、前記記憶手段にアクセス可能な1以上のユーザを識別する1以上のバイオメトリクス情報を含み、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者のバイオメトリクスを示す操作者バイオメトリクス情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
前記操作者バイオメトリクス情報と一致するバイトメトリクス情報が前記バイオメトリクスリストに存在するか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項9】
前記アクセス条件は、識別子リストとパスワードリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記パスワードリストは、前記記憶手段にアクセス可能な1以上のユーザにより設定された1以上のパスワード情報を含み、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者により入力された入力パスワードとを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
前記入力パスワードと一致するパスワード情報が前記パスワードリストに存在するか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項10】
前記記録担体は、更に、
装着された1の情報端末から、前記アクセス条件を受け付けるアクセス条件受付手段と、
前記情報端末が、正当な情報端末であると認証された場合に、前記アクセス条件を、前記アクセス条件記憶手段に登録するアクセス条件登録手段とを備える
ことを特徴とする請求項2に記載の記録担体。
【請求項11】
前記アクセス条件登録手段は、
前記正当な情報端末と第1鍵情報を共有している第1鍵情報保持部と、
装着された前記情報端末へ、チャレンジデータを出力する出力部と、
装着された前記情報端末から、レスポンスデータを受け取り、受け取ったレスポンスデータを検査する検査部とを含み、
前記検査の結果、前記レスポンスデータが、前記チャンレンジデータと前記第1鍵情報とを用いて生成されたデータであることが検証された場合に、前記情報端末が、正当な情報端末であると認証する
ことを特徴とする請求項10に記載の記録担体。
【請求項12】
前記アクセス条件受付手段は、
アクセス条件暗号鍵を用いて暗号化された前記アクセス条件を受け付け、
前記アクセス条件登録手段は、
前記アクセス条件暗号鍵に基づき、前記暗号化されたアクセス条件を復号し、復号した前記アクセス条件を前記アクセス条件記憶手段に登録する
ことを特徴とする請求の請求項11に記載の記録担体。
【請求項13】
前記アクセス条件受付手段は、
前記アクセス条件と共に、前記アクセス条件に基づき生成された署名データを受け付け、
前記アクセス条件登録手段は、
前記正当な情報端末に係る検証鍵を用いて前記署名データを検証し、前記署名データの検証に成功した場合、前記アクセス条件を前記アクセス条件記憶手段に登録する
ことを特徴とする請求項12に記載の記録担体。
【請求項14】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子から成る
ことを特徴とする請求項13に記載の記録担体。
【請求項15】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の回数情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上の回数情報は、各機器の前記記憶手段にアクセス可能な回数を示す
ことを特徴とする請求項13に記載の記録担体。
【請求項16】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の期間情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上の期間情報は、各機器の前記記憶手段にアクセス可能な期間を示す
ことを特徴とする請求項13に記載の記録担体。
【請求項17】
前記記憶手段は、複数のメモリブロックから成り、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のメモリブロック情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のメモリブロック情報は、各機器のアクセス可能なメモリブロックを示す
ことを特徴とする請求項13に記載の記録担体。
【請求項18】
前記記憶手段は、1以上のプログラムデータを記憶しており、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のプログラム情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のプログラム情報は、各機器がアクセス可能なプログラムデータを示す
ことを特徴とする請求項13に記載の記録担体。
【請求項19】
前記アクセス条件は、識別子リストとバイオメトリクスリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記バイオメトリクスリストは、前記記憶手段にアクセス可能な1以上のユーザを識別する1以上のバイオメトリクス情報を含む
ことを特徴とする請求項13に記載の記録担体。
【請求項20】
前記アクセス条件は、識別子リストとパスワードリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記パスワードリストは、前記記憶手段にアクセス可能な1以上のユーザにより設定された1以上のパスワード情報を含む
ことを特徴とする請求項13に記載の記録担体。
【請求項21】
前記記録担体は、更に、
装着された1の情報端末から、前記アクセス条件記憶手段が記憶している前記アクセス条件の削除要求を受け付ける削除要求受付手段と、
前記情報端末が、正当な情報端末であるか否か認証する認証手段と、
前記認証手段により、前記情報端末が、正当な情報端末であると認証された場合に、前記削除要求に従い、前記アクセス条件記憶手段から、前記アクセス条件を削除するアクセス条件削除手段と
を備えることを特徴とする請求項2に記載の記録担体。
【請求項22】
前記記録担体は、更に、
装着された1の情報端末から、前記アクセス条件記憶手段が記憶している前記アクセス条件の更新要求を受け付ける更新要求受付手段と、
前記情報端末が、正当な情報端末であるいか否か判断する認証手段と、
前記認証手段により、前記情報端末が、正当な情報端末であると認証された場合に、
前記更新要求に従い、前記アクセス条件を更新するアクセス条件更新手段と
を備えることを特徴とする請求項2に記載の記録担体。
【請求項23】
前記記録担体は、更に、
ネットワークを介して接続されたアクセス条件管理サーバと通信を行う通信手段を備え、
前記取得手段は、前記通信手段を介して、前記アクセス条件管理サーバから、前記アクセス条件を取得する
ことを特徴とする請求項1に記載の記録担体。
【請求項24】
前記取得手段は、前記通信手段を介して、前記機器情報管理装置から、前記アクセス条件と共に、前記アクセス条件に基づき生成された署名データを取得し、
前記記録担体は、更に、
前記機器情報管理装置に係る検証鍵を用いて前記署名データを検証し、前記アクセス条件の改ざんの有無を検出する改ざん検出手段と、
前記アクセス条件の改ざんが検出された場合に、前記判断手段による処理を中止する中止手段とを備える
ことを特徴とする請求項23に記載の記録担体。
【請求項25】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子から成り、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在する場合、前記アクセス要求は前記アクセス条件を満たすと判断し、存在しない場合、前記アクセス要求は前記アクセス条件を満たさないと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項26】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の回数情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上の回数情報は、各機器の前記記憶手段にアクセス可能な回数を示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、
前記情報端末が前記記憶領域にアクセスした回数を示すアクセス回数を保持する保持部と、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記識別子に対応する回数情報が、前記アクセス回数より大きいか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項27】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の期間情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上の期間情報は、各機器の前記記憶手段にアクセス可能な期間を示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、
現在日時を管理する日時管理部と、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記日時管理部が管理している現在日時が、前記識別子に対応する期間情報が示す期間内であるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項28】
前記記憶手段は、複数のメモリブロックから成り、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のメモリブロック情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のメモリブロック情報は、各機器のアクセス可能なメモリブロックを示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と、メモリブロックを指定するメモリブロック指定情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記メモリブロック指定情報が、前記識別子に対応するメモリブロック情報に含まれるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項29】
前記記憶手段は、1以上のプログラムデータを記憶しており、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のプログラム情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のプログラム情報は、各機器がアクセス可能なプログラムデータを示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と、プログラムデータを指定するプログラム指定情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記プログラム指定情報が、前記識別子に対応するプログラム情報に含まれるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項30】
前記アクセス条件は、識別子リストとバイオメトリクスリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記バイオメトリクスリストは、前記記憶手段にアクセス可能な1以上のユーザを識別する1以上のバイオメトリクス情報を含み、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者のバイオメトリクスを示す操作者バイオメトリクス情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
前記操作者バイオメトリクス情報と一致するバイトメトリクス情報が前記バイオメトリクスリストに存在するか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項31】
前記アクセス条件は、識別子リストとパスワードリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記パスワードリストは、前記記憶手段にアクセス可能な1以上のユーザにより設定された1以上のパスワード情報を含み、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者により入力された入力パスワードとを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
前記入力パスワードと一致するパスワード情報が前記パスワードリストに存在するか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項32】
前記取得手段は、前記受付手段により、前記アクセス要求を受け付ける都度、前記アクセス条件管理サーバから前記アクセス条件を取得する
ことを特徴とする請求項23に記載の記録担体。
【請求項33】
前記取得手段は、所定時間ごとに、前記機器情報管理装置から前記アクセス条件を取得する
ことを特徴とする請求項23に記載の記録担体。
【請求項34】
前記取得手段は、当該記録担体が1の情報端末に装着されたことを検出すると、前記機器情報管理装置から前記アクセス条件を取得する
ことを特徴とする請求項23に記載の記録担体。
【請求項35】
記録担体と情報端末とから構成されるデータ保護システムであって、
前記記録担体は、
記憶手段と、
当該記録担体が装着されている情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、
前記記憶手段へのアクセス可否を示すアクセス条件を記憶するアクセス条件記憶手段と、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、
前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段とを備え、
前記情報端末は
前記記録担体を装着する記録担体インターフェースと
前記記録担体の前記記憶手段へのアクセス要求を生成するアクセス要求生成手段と、
生成した前記アクセス要求を、前記記録担体へ出力するアクセス要求出力手段とを備える
ことを特徴とするデータ保護システム。
【請求項36】
前記データ保護システムは、更に、
前記記録担体が装着された情報端末を介して、前記アクセス条件を、前記記録担体の前記アクセス条件記憶手段に登録するアクセス条件登録サーバを備える
ことを特徴とする請求項35に記載のデータ保護システム。
【請求項37】
記録担体と、情報端末と、前記情報端末とネットワークを介して接続されたアクセス条件管理サーバとから構成されるデータ保護システムであって、
前記記録担体は、
記憶手段と
当該記録担体が装着されている情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、
前記記憶手段へのアクセス可否を示すアクセス条件を取得するアクセス条件取得手段と、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、
前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段とを備え、
前記情報端末は、
前記記録担体を装着する記録担体インターフェースと、
前記記録担体の前記記憶手段へのアクセス要求を生成するアクセス要求生成手段と、
生成した前記アクセス要求を、前記記録担体へ出力するアクセス要求出力手段とを備え、
前記アクセス条件管理サーバは、
前記アクセス条件を記憶するアクセス条件記憶手段と、
前記情報端末を介して、前記記録担体へ前記アクセス条件を送信するアクセス条件送信手段とを備える
ことを特徴とするデータ保護システム。
【請求項38】
記録担体で用いられるデータ保護方法であって、
前記記録担体は、記憶手段とアクセス条件記憶手段とを備え、
前記データ保護方法は、
装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付ステップと、
前記記憶手段へのアクセス可否を示すアクセス条件を前記アクセス条件記憶手段から取得する取得ステップと、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断ステップと、
前記判断ステップにより、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制ステップと
を含むことを特徴とするデータ保護方法。
【請求項39】
記録担体で用いられるデータ保護プログラムであって、
前記記録担体は、記憶手段とアクセス条件記憶手段とを備え、
前記データ保護プログラムは、
装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付ステップと、
前記記憶手段へのアクセス可否を示すアクセス条件を前記アクセス条件記憶手段から取得する取得ステップと、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断ステップと、
前記判断ステップにより、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制ステップと
を含むことを特徴とするデータ保護プログラム。
【請求項40】
記録担体で用いられるデータ保護方法であって、
前記記録担体は、記憶手段を含み、
前記データ保護方法は、
装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付ステップと、
ネットワークを介して接続されたアクセス条件管理サーバと通信を行う通信ステップと、
前記通信手段を介して、前記アクセス条件管理サーバから、前記記憶手段へのアクセス可否を示すアクセス条件を取得する取得ステップと、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断ステップと、
前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制ステップと
を含むことを特徴とするデータ保護方法。
【請求項41】
記録担体で用いられるデータ保護プログラムであって、
前記記録担体は、記憶手段を含み、
前記データ保護プログラムは、
装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付ステップと、
ネットワークを介して接続されたアクセス条件管理サーバと通信を行う通信ステップと、
前記通信手段を介して、前記アクセス条件管理サーバから、前記記憶手段へのアクセス可否を示すアクセス条件を取得する取得ステップと、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断ステップと、
前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制ステップと
を含むことを特徴とするデータ保護プログラム。
【請求項1】
記憶手段と、
装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、
前記記憶手段へのアクセス可否を示すアクセス条件を取得する取得手段と、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、
前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段と
を備えることを特徴とする記録担体。
【請求項2】
前記記録担体は、更に、
前記アクセス条件を記憶しているアクセス条件記憶手段を備え、
前記取得手段は、前記アクセス条件記憶手段から、前記アクセス条件を取得する
ことを特徴とする請求項1に記載の記録担体。
【請求項3】
前記アクセス条件は、識別子リストを含む、前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子から成り、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在する場合、前記アクセス要求は前記アクセス条件を満たすと判断し、存在しない場合、前記アクセス要求は前記アクセス条件を満たさないと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項4】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の回数情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、前記1以上の回数情報は、各機器の前記記憶手段にアクセス可能な回数を示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、
前記情報端末が前記記憶領域にアクセスした回数を示すアクセス回数を保持する保持部と、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記識別子に対応する回数情報が、前記アクセス回数より大きいか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項5】
前記アクセス条件は、識別子リストを含む、前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の期間情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上の期間情報は、各機器の前記記憶手段にアクセス可能な期間を示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、
現在日時を管理する日時管理部と、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記日時管理部が管理している現在日時が、前記識別子に対応する期間情報が示す期間内であるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項6】
前記記憶手段は、複数のメモリブロックから成り、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のメモリブロック情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のメモリブロック情報は、各機器のアクセス可能なメモリブロックを示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と、メモリブロックを指定するメモリブロック指定情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記メモリブロック指定情報が、前記識別子に対応するメモリブロック情報に含まれるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項7】
前記記憶手段は、1以上のプログラムデータを記憶しており、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のプログラム情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のプログラム情報は、各機器がアクセス可能なプログラムデータを示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と、プログラムデータを指定するプログラム指定情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記プログラム指定情報が、前記識別子に対応するプログラム情報に含まれるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項8】
前記アクセス条件は、識別子リストとバイオメトリクスリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記バイオメトリクスリストは、前記記憶手段にアクセス可能な1以上のユーザを識別する1以上のバイオメトリクス情報を含み、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者のバイオメトリクスを示す操作者バイオメトリクス情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
前記操作者バイオメトリクス情報と一致するバイトメトリクス情報が前記バイオメトリクスリストに存在するか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項9】
前記アクセス条件は、識別子リストとパスワードリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記パスワードリストは、前記記憶手段にアクセス可能な1以上のユーザにより設定された1以上のパスワード情報を含み、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者により入力された入力パスワードとを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
前記入力パスワードと一致するパスワード情報が前記パスワードリストに存在するか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項2に記載の記録担体。
【請求項10】
前記記録担体は、更に、
装着された1の情報端末から、前記アクセス条件を受け付けるアクセス条件受付手段と、
前記情報端末が、正当な情報端末であると認証された場合に、前記アクセス条件を、前記アクセス条件記憶手段に登録するアクセス条件登録手段とを備える
ことを特徴とする請求項2に記載の記録担体。
【請求項11】
前記アクセス条件登録手段は、
前記正当な情報端末と第1鍵情報を共有している第1鍵情報保持部と、
装着された前記情報端末へ、チャレンジデータを出力する出力部と、
装着された前記情報端末から、レスポンスデータを受け取り、受け取ったレスポンスデータを検査する検査部とを含み、
前記検査の結果、前記レスポンスデータが、前記チャンレンジデータと前記第1鍵情報とを用いて生成されたデータであることが検証された場合に、前記情報端末が、正当な情報端末であると認証する
ことを特徴とする請求項10に記載の記録担体。
【請求項12】
前記アクセス条件受付手段は、
アクセス条件暗号鍵を用いて暗号化された前記アクセス条件を受け付け、
前記アクセス条件登録手段は、
前記アクセス条件暗号鍵に基づき、前記暗号化されたアクセス条件を復号し、復号した前記アクセス条件を前記アクセス条件記憶手段に登録する
ことを特徴とする請求の請求項11に記載の記録担体。
【請求項13】
前記アクセス条件受付手段は、
前記アクセス条件と共に、前記アクセス条件に基づき生成された署名データを受け付け、
前記アクセス条件登録手段は、
前記正当な情報端末に係る検証鍵を用いて前記署名データを検証し、前記署名データの検証に成功した場合、前記アクセス条件を前記アクセス条件記憶手段に登録する
ことを特徴とする請求項12に記載の記録担体。
【請求項14】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子から成る
ことを特徴とする請求項13に記載の記録担体。
【請求項15】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の回数情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上の回数情報は、各機器の前記記憶手段にアクセス可能な回数を示す
ことを特徴とする請求項13に記載の記録担体。
【請求項16】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の期間情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上の期間情報は、各機器の前記記憶手段にアクセス可能な期間を示す
ことを特徴とする請求項13に記載の記録担体。
【請求項17】
前記記憶手段は、複数のメモリブロックから成り、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のメモリブロック情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のメモリブロック情報は、各機器のアクセス可能なメモリブロックを示す
ことを特徴とする請求項13に記載の記録担体。
【請求項18】
前記記憶手段は、1以上のプログラムデータを記憶しており、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のプログラム情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のプログラム情報は、各機器がアクセス可能なプログラムデータを示す
ことを特徴とする請求項13に記載の記録担体。
【請求項19】
前記アクセス条件は、識別子リストとバイオメトリクスリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記バイオメトリクスリストは、前記記憶手段にアクセス可能な1以上のユーザを識別する1以上のバイオメトリクス情報を含む
ことを特徴とする請求項13に記載の記録担体。
【請求項20】
前記アクセス条件は、識別子リストとパスワードリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記パスワードリストは、前記記憶手段にアクセス可能な1以上のユーザにより設定された1以上のパスワード情報を含む
ことを特徴とする請求項13に記載の記録担体。
【請求項21】
前記記録担体は、更に、
装着された1の情報端末から、前記アクセス条件記憶手段が記憶している前記アクセス条件の削除要求を受け付ける削除要求受付手段と、
前記情報端末が、正当な情報端末であるか否か認証する認証手段と、
前記認証手段により、前記情報端末が、正当な情報端末であると認証された場合に、前記削除要求に従い、前記アクセス条件記憶手段から、前記アクセス条件を削除するアクセス条件削除手段と
を備えることを特徴とする請求項2に記載の記録担体。
【請求項22】
前記記録担体は、更に、
装着された1の情報端末から、前記アクセス条件記憶手段が記憶している前記アクセス条件の更新要求を受け付ける更新要求受付手段と、
前記情報端末が、正当な情報端末であるいか否か判断する認証手段と、
前記認証手段により、前記情報端末が、正当な情報端末であると認証された場合に、
前記更新要求に従い、前記アクセス条件を更新するアクセス条件更新手段と
を備えることを特徴とする請求項2に記載の記録担体。
【請求項23】
前記記録担体は、更に、
ネットワークを介して接続されたアクセス条件管理サーバと通信を行う通信手段を備え、
前記取得手段は、前記通信手段を介して、前記アクセス条件管理サーバから、前記アクセス条件を取得する
ことを特徴とする請求項1に記載の記録担体。
【請求項24】
前記取得手段は、前記通信手段を介して、前記機器情報管理装置から、前記アクセス条件と共に、前記アクセス条件に基づき生成された署名データを取得し、
前記記録担体は、更に、
前記機器情報管理装置に係る検証鍵を用いて前記署名データを検証し、前記アクセス条件の改ざんの有無を検出する改ざん検出手段と、
前記アクセス条件の改ざんが検出された場合に、前記判断手段による処理を中止する中止手段とを備える
ことを特徴とする請求項23に記載の記録担体。
【請求項25】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子から成り、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、前記要求端末識別子と一致する識別子が前記識別子リストに存在する場合、前記アクセス要求は前記アクセス条件を満たすと判断し、存在しない場合、前記アクセス要求は前記アクセス条件を満たさないと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項26】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の回数情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上の回数情報は、各機器の前記記憶手段にアクセス可能な回数を示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、
前記情報端末が前記記憶領域にアクセスした回数を示すアクセス回数を保持する保持部と、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記識別子に対応する回数情報が、前記アクセス回数より大きいか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項27】
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上の期間情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上の期間情報は、各機器の前記記憶手段にアクセス可能な期間を示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子を含み、
前記判断手段は、
現在日時を管理する日時管理部と、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記日時管理部が管理している現在日時が、前記識別子に対応する期間情報が示す期間内であるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項28】
前記記憶手段は、複数のメモリブロックから成り、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のメモリブロック情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のメモリブロック情報は、各機器のアクセス可能なメモリブロックを示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と、メモリブロックを指定するメモリブロック指定情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記メモリブロック指定情報が、前記識別子に対応するメモリブロック情報に含まれるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項29】
前記記憶手段は、1以上のプログラムデータを記憶しており、
前記アクセス条件は、識別子リストを含み、
前記識別子リストは、1以上の識別子と各識別子に対応付けられた1以上のプログラム情報とから成り、
前記1以上の識別子は、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別し、
前記1以上のプログラム情報は、各機器がアクセス可能なプログラムデータを示し、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と、プログラムデータを指定するプログラム指定情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
一致する識別子が存在する場合に、前記プログラム指定情報が、前記識別子に対応するプログラム情報に含まれるか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項30】
前記アクセス条件は、識別子リストとバイオメトリクスリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記バイオメトリクスリストは、前記記憶手段にアクセス可能な1以上のユーザを識別する1以上のバイオメトリクス情報を含み、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者のバイオメトリクスを示す操作者バイオメトリクス情報とを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
前記操作者バイオメトリクス情報と一致するバイトメトリクス情報が前記バイオメトリクスリストに存在するか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項31】
前記アクセス条件は、識別子リストとパスワードリストとを含み、
前記識別子リストは、前記記憶手段にアクセス可能な1以上の機器をそれぞれ識別する1以上の識別子を含み、
前記パスワードリストは、前記記憶手段にアクセス可能な1以上のユーザにより設定された1以上のパスワード情報を含み、
前記アクセス要求は、前記情報端末を識別する要求端末識別子と前記情報端末の操作者により入力された入力パスワードとを含み、
前記判断手段は、
前記要求端末識別子と一致する識別子が前記識別子リストに存在するか否か判断する第1判断部と、
前記入力パスワードと一致するパスワード情報が前記パスワードリストに存在するか否か判断する第2判断部とを含み、
前記第1判断部による判断結果及び前記第2判断部による判断結果の何れかが否定的である場合、前記アクセス要求は前記アクセス条件を満たさないと判断し、前記第1判断部による判断結果及び前記第2判断部による判断結果が共に、肯定的である場合、前記アクセス要求は前記アクセス条件を満たすと判断する
ことを特徴とする請求項24に記載の記録担体。
【請求項32】
前記取得手段は、前記受付手段により、前記アクセス要求を受け付ける都度、前記アクセス条件管理サーバから前記アクセス条件を取得する
ことを特徴とする請求項23に記載の記録担体。
【請求項33】
前記取得手段は、所定時間ごとに、前記機器情報管理装置から前記アクセス条件を取得する
ことを特徴とする請求項23に記載の記録担体。
【請求項34】
前記取得手段は、当該記録担体が1の情報端末に装着されたことを検出すると、前記機器情報管理装置から前記アクセス条件を取得する
ことを特徴とする請求項23に記載の記録担体。
【請求項35】
記録担体と情報端末とから構成されるデータ保護システムであって、
前記記録担体は、
記憶手段と、
当該記録担体が装着されている情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、
前記記憶手段へのアクセス可否を示すアクセス条件を記憶するアクセス条件記憶手段と、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、
前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段とを備え、
前記情報端末は
前記記録担体を装着する記録担体インターフェースと
前記記録担体の前記記憶手段へのアクセス要求を生成するアクセス要求生成手段と、
生成した前記アクセス要求を、前記記録担体へ出力するアクセス要求出力手段とを備える
ことを特徴とするデータ保護システム。
【請求項36】
前記データ保護システムは、更に、
前記記録担体が装着された情報端末を介して、前記アクセス条件を、前記記録担体の前記アクセス条件記憶手段に登録するアクセス条件登録サーバを備える
ことを特徴とする請求項35に記載のデータ保護システム。
【請求項37】
記録担体と、情報端末と、前記情報端末とネットワークを介して接続されたアクセス条件管理サーバとから構成されるデータ保護システムであって、
前記記録担体は、
記憶手段と
当該記録担体が装着されている情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付手段と、
前記記憶手段へのアクセス可否を示すアクセス条件を取得するアクセス条件取得手段と、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断手段と、
前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制手段とを備え、
前記情報端末は、
前記記録担体を装着する記録担体インターフェースと、
前記記録担体の前記記憶手段へのアクセス要求を生成するアクセス要求生成手段と、
生成した前記アクセス要求を、前記記録担体へ出力するアクセス要求出力手段とを備え、
前記アクセス条件管理サーバは、
前記アクセス条件を記憶するアクセス条件記憶手段と、
前記情報端末を介して、前記記録担体へ前記アクセス条件を送信するアクセス条件送信手段とを備える
ことを特徴とするデータ保護システム。
【請求項38】
記録担体で用いられるデータ保護方法であって、
前記記録担体は、記憶手段とアクセス条件記憶手段とを備え、
前記データ保護方法は、
装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付ステップと、
前記記憶手段へのアクセス可否を示すアクセス条件を前記アクセス条件記憶手段から取得する取得ステップと、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断ステップと、
前記判断ステップにより、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制ステップと
を含むことを特徴とするデータ保護方法。
【請求項39】
記録担体で用いられるデータ保護プログラムであって、
前記記録担体は、記憶手段とアクセス条件記憶手段とを備え、
前記データ保護プログラムは、
装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付ステップと、
前記記憶手段へのアクセス可否を示すアクセス条件を前記アクセス条件記憶手段から取得する取得ステップと、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断ステップと、
前記判断ステップにより、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制ステップと
を含むことを特徴とするデータ保護プログラム。
【請求項40】
記録担体で用いられるデータ保護方法であって、
前記記録担体は、記憶手段を含み、
前記データ保護方法は、
装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付ステップと、
ネットワークを介して接続されたアクセス条件管理サーバと通信を行う通信ステップと、
前記通信手段を介して、前記アクセス条件管理サーバから、前記記憶手段へのアクセス可否を示すアクセス条件を取得する取得ステップと、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断ステップと、
前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制ステップと
を含むことを特徴とするデータ保護方法。
【請求項41】
記録担体で用いられるデータ保護プログラムであって、
前記記録担体は、記憶手段を含み、
前記データ保護プログラムは、
装着された1の情報端末から、前記記憶手段へのアクセス要求を受け付ける要求受付ステップと、
ネットワークを介して接続されたアクセス条件管理サーバと通信を行う通信ステップと、
前記通信手段を介して、前記アクセス条件管理サーバから、前記記憶手段へのアクセス可否を示すアクセス条件を取得する取得ステップと、
前記アクセス要求が、前記アクセス条件を満たすか否か判断する判断ステップと、
前記判断手段により、前記アクセス要求が前記アクセス条件を満たさないと判断された場合、前記記憶手段へのアクセスを抑制する抑制ステップと
を含むことを特徴とするデータ保護プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【公表番号】特表2007−529056(P2007−529056A)
【公表日】平成19年10月18日(2007.10.18)
【国際特許分類】
【出願番号】特願2006−519287(P2006−519287)
【出願日】平成16年10月5日(2004.10.5)
【国際出願番号】PCT/JP2004/014993
【国際公開番号】WO2005/039218
【国際公開日】平成17年4月28日(2005.4.28)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
【公表日】平成19年10月18日(2007.10.18)
【国際特許分類】
【出願日】平成16年10月5日(2004.10.5)
【国際出願番号】PCT/JP2004/014993
【国際公開番号】WO2005/039218
【国際公開日】平成17年4月28日(2005.4.28)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]