個人情報管理装置、分散鍵記憶装置、個人情報管理システム、個人情報管理方法、コンピュータプログラム、記録媒体及び集積回路
本発明の個人情報管理装置は、ユーザによるパスワード入力や前記個人情報の消去の手間を防ぎ、本人以外による個人情報の閲覧を防ぎ、モバイル機器を紛失しても個人情報の秘匿性を守ることを目的とする。 モバイル機器20において個人情報記憶部201が、暗号化された個人情報を保持し、鍵分散部204が、暗号化された前記個人情報の復号鍵を用いて秘密分散法に基づき第1及び第2分散鍵を生成し、分散鍵記憶部205が前記第2分散鍵を記憶し、第1分散鍵は送受信部206を介してホーム機器30に記憶させ、復号鍵は消去しておく。復号時、リンク確認部210がホーム機器30とのリンクを確認し、リンクが確認できた場合に、鍵復元部207が、送受信部206を介してホーム機器30から第1分散鍵を取得し、第1及び第2分散鍵から前記復号鍵を生成し、復号部208が、前記復号鍵を用いて、暗号化された前記個人情報を復号する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人情報を管理する個人情報管理装置に関し、特に、当該装置の紛失時における個人情報の保護に関する。
【背景技術】
【0002】
近年、カメラ機能の搭載されたPDAや携帯電話のようなモバイル機器が普及し、当該モバイル機器のユーザが、撮った写真等の個人情報を持ち歩くことが多くなっており、当該モバイル機器を前記ユーザが万一紛失しても第三者に個人情報を見られないための紛失対策の重要性が増している。
モバイル機器の紛失対策の第1の従来例に、パスワードでモバイル機器をロックする技術がある。第3者は、パスワードを知らないため前記モバイル機器のロックを解除することができず、個人情報を取り出すことができない。
【0003】
また、紛失対策の第2の従来例に、モバイル機器が個人情報をサーバに預け、モバイル機器からは消去する方法がある。
また、紛失対策の第3の従来例としては、携帯電話における無効化がある(特許文献1参照)。特許文献1には、携帯電話のような無線通信機器に装着される例えばSIM(Subscriber Identification Module)カードを無効化するシステムが開示されている。前記SIMカードのメモリには、IDコードの他に、所有者の個人データが記憶され、更に固有の無効化コードが記憶される。SIMカードを紛失した際には、所有者は他の電話機から無効化コードを送信する。すると、SIMカードはこのコードの認証後、SIMカードのメモリのデータをロックし使用不能状態とする。これにより、他人による不正使用や個人データの漏洩が防止される。
【特許文献1】特開平11−177682号公報
【特許文献2】特開2002−91301号公報
【非特許文献1】A.Shamir,″How to Share a Secret″,Comm.Assoc.Comput.Mach.,vol.22,no.11,pp.612−613,1979.
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、前記第1の従来例においては、パスワードとして人間が記憶できる桁数はせいぜい10桁程度であり、総当たり攻撃によりパスワードが暴露されたり、前記ユーザがパスワードを忘れてしまうことによりロックが解除できなくなるという問題がある。
また、前記第2の従来例においては、前記個人情報を、家庭の中で頻繁に使用する場合には、ユーザは外出の際にいちいち、個人情報をサーバに預けて、モバイル機器から消去するといった手続きをする必要があり、不便である。
【0005】
また、前記第3の従来例においては、携帯電話のユーザが紛失に気付くまでは、データがロックされずデータ漏洩の可能性があるという問題がある。
上記の問題に鑑み、本発明は、ユーザによるパスワード入力や前記個人情報の消去の手間を防ぎ、本人以外による個人情報の閲覧を防ぎ、モバイル機器を紛失しても個人情報の秘匿性を守ることができる個人情報管理装置、分散鍵記憶装置、個人情報管理システム、個人情報管理方法、コンピュータプログラム、記録媒体及び集積回路を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記課題を解決するために、本発明は、個人情報を管理する個人情報管理装置であって、暗号化された前記個人情報を記憶している情報記憶手段と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第2分散鍵を記憶している分散鍵記憶手段と、前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認手段と、通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段とを備える。
【発明の効果】
【0007】
本発明の個人情報管理装置は、前述の構成を備えることにより、秘密分散法に基づく個人情報の復元を、個人情報管理装置と分散鍵記憶装置とが通信できる場合に制限することができる。
よって、前記分散鍵記憶装置が、前記個人情報管理装置のユーザの家庭内など特定の場所に固定され、前記個人情報管理装置が、前記分散鍵記憶装置と、通信範囲が前記家庭内のみである無線通信を行う場合であれば、当該個人情報の復元を当該家庭内に制限することができる。また、前記個人情報管理装置が、前記ユーザの携帯物に付加された前記分散鍵記憶装置と、通信範囲が1メートル程度の無線通信を行う場合であれば、前記個人情報管理装置による当該個人情報の復元を、前記ユーザが前記個人情報管理装置と前記携帯物とが1メートル程度の範囲内にあるように身につけている場合に制限することができる。
【0008】
また、前記リンク確認手段は、所定の通信範囲内に、前記分散鍵記憶装置に対するリンク要求を送信するリンク要求部と、前記分散鍵記憶装置からの前記リンク要求に対する応答を受け付けるリンク応答受付部と、前記応答を受信した場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部とを含んでもよい。
この構成によれば、個人情報管理装置は、秘密分散法に基づく個人情報の復元の可否を、前記リンク要求が分散鍵記憶装置により受信され、その応答である前記リンク応答を当該リンク確認手段が受信するか否かで判断することができる。
【0009】
また、前記分散鍵記憶装置は特定の場所に固定されており、所定時間間隔ごとに、所定の通信範囲内に前記個人情報管理装置に対するパケットを送出し、前記リンク確認手段は、前記パケットを受け付けるパケット受信部と、前記パケットが受信された場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部とを含んでもよい。
この構成によれば、個人情報管理装置は、秘密分散法による個人情報の復元の可否を、前記リンク確認手段が前記パケットを受信するか否かで判断することができる。
【0010】
また、前記分散鍵記憶装置は、通信可否を確認するための確認情報を保持しており、前記リンク確認手段は、所定の通信範囲内の前記分散鍵記憶装置に保持されている前記確認情報を読み出す読出部と、前記確認情報の読み出しができた場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部とを含んでもよい。
この構成によれば、個人情報管理装置は、秘密分散法による個人情報の復元の可否を、前記確認情報を読み出すことができるか否かで判断することができる。
【0011】
また、前記分散鍵記憶装置は、前記個人情報管理装置の所有者の携帯物に付されたICタグであり、前記読出部は、無線到達範囲内の前記ICタグに保持されている前記確認情報を読み出してもよい。
この構成によれば、個人情報管理装置は、秘密分散法による個人情報の復元の可否を、当該個人情報管理装置がICタグの無線到達範囲内にある場合に制限することができる。
【0012】
また、前記リンク確認手段は、自機のIPアドレスを記憶しているアドレス記憶部と、前記分散鍵記憶装置のIPアドレスを取得するアドレス取得部と、前記自機のIPアドレスと、前記分散鍵記憶装置のIPアドレスとが同じサブネットに属すか否かを判定するアドレス判定部と、同じサブネットに属すと判定された場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部と
を含んでもよい。
【0013】
この構成によれば、個人情報管理装置は、秘密分散法による個人情報の復元を、前記分散鍵記憶装置と同じサブネットに属する場合に制限することができる。
また、前記リンク確認手段は、通信できることを確認した場合、さらに、前記分散鍵記憶装置と通信できるか否かを定期的に確認し、前記個人情報管理装置は、さらに、通信できないことが確認された場合に、前記復号鍵生成手段により生成された前記復号鍵と、前記復号手段により復号された前記個人情報とを消去する消去手段を備えてもよい。
【0014】
この構成によれば、個人情報管理装置は、分散鍵記憶装置と通信ができなくなった場合には、前記個人情報を閲覧できなくすることができる。
よって、個人情報管理装置は、分散鍵記憶装置と通信ができなくなっているのに、前記個人情報が閲覧されるという不正な状態となるのを防ぐことができる。
また、前記個人情報管理装置は、さらに、前記復号鍵を保持し、当該復号鍵を用いて秘密分散法に基づき前記第1及び前記第2分散鍵を生成し、当該復号鍵を消去する分散鍵生成手段と、前記第1分散鍵を前記分散鍵記憶装置に送信する分散鍵送信手段と、前記第2分散鍵を前記分散鍵記憶手段に記憶させる書込手段とを備えてもよい。
【0015】
この構成によれば、個人情報管理装置は、復号鍵を生成することができる。
また、前記個人情報管理装置は、さらに、前記第2分散鍵を受信する分散鍵受信手段と、受信した前記第2分散鍵を前記分散鍵記憶手段に記憶させる書込手段とを備えてもよい。
この構成によれば、個人情報管理装置は、分散鍵を外部から取得することができる。
【0016】
よって、前記復号鍵から分散鍵を生成する装置と、当該分散鍵を記憶する装置とを分けた構成とすることができる。
また、前記情報記憶手段は、さらに、暗号化された追加個人情報を記憶しており、前記個人情報管理装置は、さらに、暗号化された前記追加個人情報の復号に用いられる追加復号鍵を用いて(k,n)閾値秘密分散法に基づき生成されたn個の追加分散鍵のうち、1の追加分散鍵を記憶している追加分散鍵記憶手段と、それぞれが前記1の追加分散鍵以外の(n−1)個の追加分散鍵のいずれかを重複なく記憶している(n−1)個の追加分散鍵記憶装置のそれぞれと通信できるか否かを確認する追加リンク確認手段と、(k−1)個以上の追加分散鍵記憶装置と通信できることが確認された場合に、(k−1)個の追加分散鍵記憶装置それぞれから追加分散鍵を取得する追加取得手段と、前記(k−1)個の追加分散鍵と、前記1の追加分散鍵とを用いて、(k,n)閾値秘密分散法に基づき前記追加復号鍵を生成する追加復号鍵生成手段と、生成された前記追加復号鍵を用いて、暗号化された前記追加個人情報を復号する追加復号手段とを備えてもよい。
【0017】
この構成によれば(k,n)閾値秘密分散法による追加個人情報の復元を、個人情報管理装置と(k−1)個以上の分散鍵記憶装置とが通信できる場合に制限することができる。
本発明の分散鍵記憶装置は、秘密分散法に基づき生成された分散鍵を管理する分散鍵記憶装置であって、暗号化された個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第1分散鍵を記憶している分散鍵記憶手段と、暗号化された前記個人情報を記憶している前記個人情報管理装置が通信可否の確認を行うための通信を行う通信手段と、前記個人情報管理装置に対し前記第1分散鍵を送信する送信手段とを備える。
【0018】
この構成によれば、前記個人情報管理装置が行う、秘密分散法による個人情報の復元を、個人情報管理装置と分散鍵記憶装置とが通信できる場合に制限することができる。
また、前記通信手段は、前記個人情報管理装置からリンク要求を受信する要求受信部と、前記リンク要求に対する応答を送信する応答送信部とを含んでもよい。
この構成によれば、個人情報管理装置が行う、秘密分散法による個人情報の復元を、前記リンク要求が分散鍵記憶装置により受信され、その応答である前記リンク応答を当該リンク確認手段が受信する場合に制限することができる。
また、前記分散鍵記憶装置は特定の場所に固定されており、前記通信手段は、所定時間間隔ごとに、所定の通信範囲内に前記個人情報管理装置に対するパケットを送信してもよい。
【0019】
この構成によれば、個人情報管理装置が行う、秘密分散法による個人情報の復元を、前記通信手段が送信した前記パケットを、前記個人情報管理装置が受信できた場合に制限することができる。
また、前記分散鍵記憶装置は、通信可否を確認するための確認情報を保持しており、前記通信手段は、所定の通信範囲内に前記個人情報管理装置に対する前記確認情報を送信してもよい。
【0020】
この構成によれば、個人情報管理装置が行う、秘密分散法による個人情報の復元を、前記個人情報管理装置が前記確認情報を読み出すことができる場合に制限することができる。
また、前記分散鍵記憶装置は、前記個人情報管理装置の所有者の携帯物に付されたICタグであり、前記通信手段は、無線到達範囲内に前記個人情報管理装置に対する前記確認情報を送信してもよい。
【0021】
この構成によれば、個人情報管理装置が行う、秘密分散法による個人情報の復元を、前記個人情報管理装置がICタグの無線到達範囲内にある場合に制限することができる。
本発明の個人情報管理システムは、個人情報を管理する個人情報管理装置と、分散鍵記憶装置とから成る個人情報管理システムであって、前記分散鍵記憶装置は、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第1分散鍵を記憶している第1分散鍵記憶手段と、前記個人情報管理装置と通信できるか否かを確認する第1リンク確認手段と、前記個人情報管理装置と通信できることが確認された場合に、前記個人情報管理装置に対し前記第1分散鍵を送信する送信手段とを含み、前記個人情報管理装置は、暗号化された前記個人情報を記憶している情報記憶手段と、前記第2分散鍵を記憶している第2分散鍵記憶手段と、前記分散鍵記憶装置と通信できるか否かを確認する第2リンク確認手段と、前記分散鍵記憶装置と通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段とを含む。
【0022】
本発明の個人情報管理方法は、暗号化された個人情報と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち前記第2分散鍵とを記憶している個人情報管理装置において用いられる個人情報管理方法であって、前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認ステップと、通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得ステップと、前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成ステップと、生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号ステップとを含む。
【0023】
本発明のコンピュータプログラムは、暗号化された個人情報と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち前記第2分散鍵とを記憶している個人情報管理装置において用いられるコンピュータプログラムであって、前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認ステップと、通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得ステップと、前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成ステップと、生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号ステップとを含む。
【0024】
本発明の記録媒体は、前記コンピュータプログラムを記憶している。
この構成によれば、秘密分散法による個人情報の復元を、個人情報管理装置と分散鍵記憶装置とが通信できる場合に制限することができる。
よって、前記分散鍵記憶装置が、前記個人情報管理装置のユーザの家庭内など特定の場所に固定され、前記個人情報管理装置が、前記分散鍵記憶装置と、通信範囲が前記家庭内のみである無線通信を行う場合であれば、当該個人情報の復元を当該家庭内に制限することができる。また、前記個人情報管理装置が、前記ユーザの携帯物に付加された前記分散鍵記憶装置と、通信範囲が前記1メートル程度の無線通信を行う場合であれば、前記個人情報管理装置による当該個人情報の復元を、前記ユーザが前記個人情報管理装置と前記携帯物とが1メートル程度の範囲内にあるように身につけている場合に制限することができる。
【0025】
本発明の集積回路は、個人情報を管理する集積回路であって、暗号化された前記個人情報を記憶している情報記憶手段と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第2分散鍵を記憶している分散鍵記憶手段と、前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認手段と、通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段とを備える。
【0026】
この構成によれば、秘密分散法による個人情報の復元を、前記集積回路と分散鍵記憶装置とが通信できる場合に制限することができる。
よって、前記分散鍵記憶装置が、前記集積回路のユーザの家庭内など特定の場所に固定され、前記集積回路が、前記分散鍵記憶装置と、通信範囲が前記家庭内のみである無線通信を行う場合であれば、当該個人情報の復元を当該家庭内に制限することができる。また、前記集積回路が、前記ユーザの携帯物に付加された前記分散鍵記憶装置と、通信範囲が前記1メートル程度の無線通信を行う場合であれば、前記集積回路による当該個人情報の復元を、前記ユーザが前記集積回路と前記携帯物とが1メートル程度の範囲内にあるように身につけている場合に制限することができる。
【図面の簡単な説明】
【0027】
【図1】本発明に係る個人情報管理システムの概略構成を示す図である。
【図2】モバイル機器のブロック図である。
【図3】暗号制御情報記憶部が記憶している暗号制御情報の例を示す図である。
【図4】個人情報記憶部が記憶している個人情報ファイルの例を示す図である。
【図5】分散鍵記憶部が記憶している鍵識別情報と分散鍵の例を示す図である。
【図6】ホーム機器の構成を示すブロック図である。
【図7】ICタグの構成を示すブロック図である。
【図8】個人情報記憶部に記憶されている個人情報の例を示す図である。
【図9】個人情報管理システムによる暗号化処理を示すフローチャートである。
【図10】個人情報管理システムによる復号処理を示すフローチャートである。
【図11】実施形態の変形例に係る個人情報管理システムの構成を示すブロック図である。
【図12】実施形態の変形例に係る個人情報管理システムの構成を示すブロック図である。
【図13】モバイル機器における、分散鍵、暗号化個人情報のバックアップの概念を示す図である。
【符号の説明】
【0028】
1 個人情報管理システム
20 モバイル機器
30 ホーム機器
40 ICタグ
41 無線通信部
42 格納部
42 記憶部
43 分散鍵記憶部
50 ICタグ
51 無線通信部
52 記憶部
53 分散鍵記憶部
60 ICタグ
61 無線通信部
62 記憶部
63 分散鍵記憶部
201 個人情報記憶部
202 鍵生成部
203 暗号部
204 鍵分散部
205 分散鍵記憶部
206 送受信部
207 鍵復元部
208 復号部
209 鍵削除制御部
210 リンク確認部
211 装置情報記憶部
212 タグ通信部
213 個人情報取得部
214 暗号制御情報記憶部
215 ユーザ入力取得部
216 制御部
217 表示部
301 送受信部
302 分散鍵記憶部
303 リンク確認部
304 装置情報記憶部
【発明を実施するための最良の形態】
【0029】
<概略>
本実施の形態に係る個人情報管理システム1は、モバイル機器に記憶されている個人情報の閲覧を当該モバイル機器のユーザの家庭内に制限し、また当該モバイル機器のユーザに制限して、前記個人情報を家庭外での閲覧或いは前記ユーザ以外による閲覧から保護するものであり、図1に示すように、モバイル機器20、ホーム機器30、メガネに付されたICタグ40、コートに付されたICタグ50、時計に付されたICタグ60とから成る。
【0030】
ホーム機器30は、無線LAN(Local Area Network)が敷設されている前記家庭内に配置されたパーソナルコンピュータである。
モバイル機器20は、デジタルカメラを備えたPDA(Personal Digital Assistant)であって、前記無線LANを介してホーム機器30と接続し、前記無線LANとは別系統の無線によりICタグ40〜ICタグ60のそれぞれと無線通信を行い、また、モバイル機器20のユーザのスケジュール、通信を行う電話番号や電子メールを含むアドレス帳、前記デジタルカメラを用いてユーザが撮影した画像といった個人情報を記憶する。
【0031】
個人情報の閲覧を前記ユーザの家庭内に制限するために、モバイル機器20は個人情報を暗号鍵を用いて暗号化し、前記暗号鍵を分散して2つの分散鍵を生成し、2つのうち1の分散鍵を保持し、他の分散鍵をホーム機器30に保持させる。但し、暗号鍵と復号鍵は同じ鍵であるとする。
モバイル機器20は、モバイル機器20とホーム機器30のそれぞれに保持されている2つの分散鍵を取得できる場合、すなわち、モバイル機器20とホーム機器30が前記家庭内にある場合に、2つの分散鍵から前記暗号鍵と同じ復号鍵を生成し、前記復号鍵を用いて前記個人情報を復号する。
【0032】
また、モバイル機器20は、個人情報の閲覧を前記ユーザのみに制限するために、個人情報を暗号鍵を用いて暗号化し、前記暗号鍵を分散して4つの分散鍵を生成し、4つのうち1の分散鍵を保持し、他の3つの分散鍵を前記ユーザの持ち物である前記メガネ、前記コート、前記時計のそれぞれに付されたICタグ30〜50に保持させる。
モバイル機器20は、自機が保持する分散鍵を含む4つの分散鍵のうち、例えば3つを取得できた場合に、3つの分散鍵から復号鍵を復元し、前記復号鍵を用いて前記個人情報を復号する。
<構成>
<モバイル機器20の構成>
モバイル機器20は、図2に示すように、個人情報記憶部201、鍵生成部202、暗号部203、鍵分散部204、分散鍵記憶部205、送受信部206、鍵復元部207、復号部208、鍵削除制御部209、リンク確認部210、装置情報記憶部211、ICタグ通信部212、個人情報取得部213、暗号制御情報記憶部214、ユーザ入力取得部215、制御部216、表示部217とから構成される。
【0033】
モバイル機器20は、具体的には、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、モバイル機器20は、その機能を達成する。
装置情報記憶部211は、ROMから構成され、モバイル機器20を識別する装置識別情報「DID_1」を記憶している。
【0034】
前記装置識別情報は、予め、モバイル機器20の出荷時に装置情報記憶部211に書き込まれている。
暗号制御情報記憶部214は、制御部216により書き込まれる、個人情報の暗号化のためのパラメータである暗号制御情報を記憶する。
暗号制御情報は、暗号制御情報を識別する番号である暗号制御情報番号と、暗号化に用いられる鍵の識別情報である鍵識別情報と、分散した暗号鍵を保持させる方法の種別である鍵分散種別と、暗号鍵を分散する場合の分散鍵の数である分散鍵数と、複数の分散鍵のうち、いくつ集まれば、暗号鍵を復元できるかを示す値である鍵閾値と、(前記分散鍵数−1)個の、分散鍵を保持させる装置を示す鍵格納先情報とを含む。
【0035】
前記鍵分散種別が、「1」の場合、無線LANを介して接続する装置に分散鍵を保持させることを示し、「2」の場合、ICタグに分散鍵を保持させることを示す。
本実施形態では、無線LANを介して接続する前記装置は、装置識別情報「DID_2」で識別されるホーム機器30である。
鍵格納先情報は、前記鍵分散種別が「1」の場合、無線LANを介して接続する装置の装置識別情報であり、「2」の場合、ICタグを識別するタグIDである。
【0036】
暗号制御情報記憶部214は、一例として、図3に示すように、2つの暗号制御情報である、暗号制御情報231と、暗号制御情報241とを記憶する。
暗号制御情報231は、暗号制御情報を識別する暗号制御情報番号「1」(232)と、鍵識別情報「KID_A」(233)と、鍵分散種別「1」(234)と、分散鍵数「2」(235)と、鍵閾値「2」(236)と、鍵格納先情報「DID_2」(237)とを含む。
【0037】
鍵格納先情報「DID_2」は、ホーム機器30を識別する装置識別情報であり、ホーム機器30中にも保持されている。
暗号制御情報241は、暗号制御情報を識別する暗号制御情報番号「2」(242)と、鍵識別情報「KID_B」(243)と、鍵分散種別「2」(244)と、分散鍵数「4」(245)と、鍵閾値「3」(246)と、鍵格納先情報「TID_1」(247)と、鍵格納先情報「TID_2」(248)と、鍵格納先情報「TID_3」(249)とを含む。
【0038】
鍵格納先情報「TID_1」は、ICタグ40を識別するタグIDであり、ICタグ40中にも保持されている。
同様に、鍵格納先情報「TID_2」は、ICタグ50を識別するタグIDであり、ICタグ50中にも保持され、鍵格納先情報「TID_3」は、ICタグ60を識別するタグIDであり、ICタグ60中にも保持されている。
【0039】
個人情報取得部213は、具体的には、デジタルカメラであり、制御部216から撮影指示を受信して画像の撮影を行い、当該撮影後に、撮影した画像の名前である個人情報名をランダムに生成し、当該個人情報名と、値が「0」であり暗号化無しを示す前記暗号制御情報番号と、当該画像とを含む個人情報ファイルを生成して個人情報記憶部201に書き込む。
【0040】
但し、個人情報取得部213は、前記個人情報記憶部201において、記憶されているものと重複しない個人情報名を生成する。
個人情報ファイル中の暗号制御情報番号は、当該個人情報ファイルと、暗号制御情報記憶部214に記憶される、同値の暗号制御情報番号を含む暗号制御情報とを対応づける。
鍵生成部202は、制御部216から、暗号制御情報番号を含む鍵生成指示を受信して、暗号鍵をランダムに生成し、生成した暗号鍵を暗号部203に送信し、当該暗号鍵と当該暗号制御情報番号とを鍵分散部204とに送信する。
【0041】
暗号部203は、制御部216から、個人情報名を受信し、また、鍵生成部202から、暗号鍵を受信する。
暗号部203は、受信した個人情報名により識別される個人情報を、個人情報記憶部201から読み出して、読み出した個人情報に対し、受信した暗号鍵を用いて暗号アルゴリズムE1を施すことにより暗号化個人情報を生成し、個人情報記憶部201に記憶されている、当該個人情報名に対応する個人情報に当該暗号化個人情報を上書きする。
【0042】
個人情報記憶部201は、具体的には、不揮発性のメモリであり、個人情報ファイルを記憶する。
一例として、個人情報記憶部201は、図4に示す個人情報ファイル251〜253を記憶する。
個人情報ファイル251は、個人情報名「″写真001.JPG″」(261)と、暗号制御識別番号「1」(262)と、個人情報「E1(画像データ001,KEY_A)」(263)とを含む。
【0043】
ここで、E1(データ,鍵)の記載は、当該鍵を用いて当該データに暗号化アルゴリズムE1を施して生成された暗号化データを表している。
個人情報ファイル252は、個人情報名「″アドレス帳.TXT″」(264)と、暗号制御識別番号「1」(265)と、個人情報「E1(テキスト002,KEY_A)」(266)とを含む。
【0044】
個人情報ファイル253は、個人情報名「″写真003.JPG″」(267)と、暗号制御識別番号「2」(268)と、個人情報「画像データ003」(269)とを含む。
前記不揮発性のメモリは、モバイル機器20から取り外すのは難しいものとする。
鍵分散部204は、鍵生成部202から暗号鍵と、暗号制御情報番号とを受信し、受信した暗号鍵を後述するようにn(nは自然数)個の分散鍵に分散させる。
【0045】
鍵分散は、非特許文献1に開示されているシャミアの閾値秘密分散法に基づき行う。
この方法は、暗号鍵Sをy切片とするk−1次曲線上のk個の点を分散鍵とするものである。任意の分散鍵がk個集まることにより、k−1次曲線を特定することができ、そのy切片である暗号鍵Sを求めることができる。
例えばkが2の場合、2個の分散鍵が分かっていれば、2個の分散鍵である2点を通る1次曲線(=直線)が定まり、そのy切片である暗号鍵も判明する。
【0046】
しかし分散鍵が1個分かっているだけでは、直線が定まらず、暗号鍵Sも求められない。詳しくは非特許文献1に記載されている。また、k−1次曲線上の、kより大きい値であるn(nは自然数)個の点を、分散鍵とする場合には、n個の分散鍵の内のk個が判明すれば、y切片である暗号鍵を求めることができる。
鍵分散部204は、以下のステップにより分散鍵を生成する。
(1)受信した暗号鍵(S)に対し、p>max(S,n)である素数pを選択する。max(S,n)は、Sとnとのうち大きいものを示す。
(2)a0=Sとし、(k−1)個の独立した係数a1,...,ak−1(0≦aj≦p−1)をランダムに選択する。ただし、ak−1≠0とする。
(3)多項式f(x)=a0x0+a1x1+...+ak−1xk−1について、Si=f(i)mod p(1≦i≦n)を計算し、iとSiの組(i,Si)が分散鍵となる。
【0047】
nは、暗号制御情報記憶部214に記憶されている受信した前記暗号制御情報番号に対応する暗号制御情報内の分散鍵数であり、kは、前記暗号制御情報内の鍵閾値である。
鍵分散部204は、鍵生成部202から暗号鍵を受信し、生成したn個の分散鍵のうち、1の分散鍵を、暗号制御情報内の鍵識別情報と対応づけて分散鍵記憶部205に記憶させる。
【0048】
例えば、受信した暗号制御情報番号が「1」である場合には、鍵分散部204は、値が「1」である暗号制御情報番号232を含む暗号制御情報231を参照し、nとして分散鍵数235の値である「2」、kとして鍵閾値236の値である「2」を取得する。
鍵分散部204は、前記暗号鍵に基づき、2個の分散鍵「KEY_A1」と「KEY_A2」とを生成し、「KEY_A2」を、暗号制御情報231に含まれる鍵識別情報「KID_A」(233)と共に分散鍵記憶部205に送信する。
ここで、KEY_A1は、上述の(1,S1)であり、KEY_A2は、上述の(2,S2)である。次に、「KEY_A1」と、暗号制御情報231に含まれる鍵格納先情報「DID_2」(237)と、暗号制御情報231に含まれる鍵識別情報「KID_A」(233)とを含む送信指示を、暗号制御情報231に含まれる鍵分散種別「1」(234)により示される無線LANを用いて送出するため、送受信部206に送信する。
【0049】
また、受信した暗号制御情報番号が「2」である場合には、鍵分散部204は、値が「2」である暗号制御情報番号242を含む暗号制御情報241を参照し、nとして分散鍵数245の値である「4」、kとして鍵閾値246の値である「3」を取得する。
鍵分散部204は、暗号鍵に基づき、4個の分散鍵「KEY_B1」と「KEY_B2」「KEY_B3」「KEY_B4」を生成し、「KEY_B4」を、暗号制御情報241に含まれる鍵識別情報「KID_B」(243)と共に分散鍵記憶部205に記憶させる。
【0050】
次に、「KEY_B1」と、暗号制御情報241に含まれる鍵格納先情報「TID_1」(247)と暗号制御情報241に含まれる鍵識別情報「KID_B」(243)とを含む送信指示を、暗号制御情報241に含まれる鍵分散種別「2」(244)により示されるICタグへの無線通信を用いて行うため、ICタグ通信部212に送信する。
鍵分散部204は、「KEY_B2」と「TID_2」と「KID_B」とを含む送信指示をICタグ通信部212へ送信し、「KEY_B3」と「TID_3」と「KID_B」とを含む送信指示をICタグ通信部212へ送信する。
【0051】
分散鍵記憶部205は、不揮発性のメモリであり、鍵分散部204により書き込まれる、鍵識別情報と、分散鍵とを対応づけて記憶する。
また、分散鍵記憶部205は、送受信部206を介して、外部の装置から取得する鍵識別情報と、分散鍵とを対応づけて記憶する。
分散鍵記憶部205は、一例として、図5に示すように、鍵識別情報「KID_A」(281)と分散鍵「KEY_A2」(282)とを対応づけて記憶し、鍵識別情報「KID_B」(283)と分散鍵「KEY_B4」(284)とを対応づけて記憶する。
【0052】
ICタグ通信部212は、鍵分散部204から、分散鍵と、鍵格納先情報と、鍵識別情報とを含む送信指示を受信し、鍵格納先情報で識別されるICタグに対し、無線通信を用いて、鍵識別情報と、分散鍵とを送信する。
また、鍵復元部207から、鍵格納先情報を含む読出指示を受信し、無線通信を用いて、鍵格納先情報で識別されるICタグから、当該ICタグに記憶されている鍵識別情報と分散鍵との読み出しを試みる。
【0053】
読み出せた場合、ICタグ通信部212は、読み出した鍵識別情報と分散鍵とを、鍵復元部207に送信し、読み出せなかった場合、ICタグ通信部212は、鍵識別情報と、エラーを示す値が「0」分散鍵とを、鍵復元部207に送信する。
また、リンク確認部210から、鍵格納先情報を含む読出要求を受信した場合、鍵格納先情報により識別されるICタグから、タグIDの読み出しを試みる。
【0054】
タグIDが読み出せた場合、当該読み出したタグIDを含む読出応答を、リンク確認部210に送信し、タグIDが読み出せなかった場合、タグIDとして値「0」を含む読出応答を、リンク確認部210に送信する。
送受信部206は、鍵分散部204から、分散鍵と、鍵格納先情報と、鍵識別情報とを含む送信指示を受信し、鍵格納先情報で識別される装置に対し、無線LANを用いて、鍵格納先情報と、鍵識別情報と、分散鍵とを送信する。
【0055】
また、送受信部206は、鍵復元部207から、鍵格納先情報を含む読出指示を受信し、無線LANを用いて、鍵格納先情報で識別される装置に対し、当該鍵格納先情報と鍵識別情報とを含む分散鍵読出指示を送信する。
前記分散鍵読出指示に対する応答として、前記装置から、鍵格納先情報と、鍵識別情報と、分散鍵とを含む分散鍵読出応答を受信できた場合、送受信部206は、前記分散鍵読出応答に含まれる鍵識別情報と分散鍵とを、鍵復元部207に送信する。
【0056】
前記分散鍵読出応答が受信できなかった場合、送受信部206は、鍵識別情報と、値が「0」である分散鍵とを、鍵復元部207に送信する。
リンク確認部210は、制御部216から、鍵分散種別と、鍵格納先情報を含むリンク確認指示を受信し、受信した鍵格納先情報に示される装置との間で、リンクの確立を確認する。
【0057】
鍵分散種別がホーム機器30を示している場合、リンク確認部210は、装置情報記憶部211から装置識別情報「DID_1」を読み出し、送受信部206を介して、ホーム機器30に対し、装置識別情報「DID_1」を含む応答要求パケットを送付し、送付した応答要求パケットに対する返答パケットがホーム機器30から戻ってくるまでの時間を計測し、計測した時間が所定の時間内(例えば1秒以内)であれば、リンクが確立されていると判断し、モバイル機器20が、ホーム機器30と同じ家庭内にあることが分かる。
【0058】
また、鍵格納先情報がICタグを示している場合、リンク確認部210は、当該鍵格納先情報を含む読出要求をICタグ通信部212に送信する。
前記読出要求に対する応答として、リンク確認部210は、ICタグ通信部212から、読出応答を受信する。
前記読出応答が、鍵格納先情報と同じタグIDを含む場合、リンクが確立していると判断し、鍵格納先情報と同じタグIDを含まない場合、リンクが確立していないと判断する。
【0059】
ユーザ入力取得部215は電源キー、暗号制御情報入力開始キー、暗号制御情報入力終了キー、カメラ撮影キー、メニューキー、テンキー、アルファベットキー、選択キー、カーソル移動キーなどの各種キーを備えており、ユーザによるキー操作を検出し、検出したキー操作に対応する情報を制御部216へ出力する。
例えば、前記ユーザは、暗号制御情報入力開始キーを押下した後、鍵分散種別について「1」を入力し、分散鍵数について「2」を入力し、鍵閾値について「2」を入力し、鍵格納先情報について「DID_2」を入力し、暗号制御情報入力終了キーを押下する。
【0060】
ユーザ入力取得部215は、前記入力に従って、暗号制御情報入力開始指示、鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報、暗号制御入力終了指示を順に、制御部216に送信する。
ユーザ入力取得部215は、前記カメラ撮影キーの押下を検出した場合、カメラ撮影指示を制御部216に送信する。
【0061】
ユーザ入力取得部215は、暗号制御情報番号の入力を受け付け、制御部216に送信する。
ユーザ入力取得部215は、ユーザのキー操作により、復号すべき個人情報に関する個人情報名の入力を受け付け、当該個人情報名を制御部216に送信する。
鍵削除制御部209は、鍵生成部202、鍵分散部204、暗号部203に残存する暗号鍵の削除、鍵分散部204内に残存する分散鍵の削除、鍵復元部207内に残存する復号鍵、分散鍵の削除、復号部208内に残存する復号鍵の削除を行う。
【0062】
鍵削除制御部209は、鍵識別情報を鍵分散部204から受信し、鍵生成部202、鍵分散部204内に残存する暗号鍵を消去し、鍵分散部204内に残存する分散鍵を消去する。
また、リンク確認部210に対し、定期的に、リンク確認要求を送信し、リンクが出来た数が、鍵閾値未満になったときに、暗号部203から、暗号鍵を消去し、表示部217に対し、表示している個人情報の表示を停止するよう指示する。
【0063】
鍵復元部207は、制御部216から、復号すべき個人情報を示す個人情報名を受信する。
鍵復元部207は、個人情報名を含む個人情報ファイルを個人情報記憶部201から取得し、取得した個人情報ファイルから暗号制御情報番号を抽出する。
次に、鍵復元部207は、抽出した暗号制御情報番号で識別される暗号制御情報を、暗号制御情報記憶部214から読み出す。
【0064】
鍵復元部207は、読み出した暗号制御情報に含まれる、(分散鍵数−1)個の鍵格納先情報で示される装置それぞれから、分散鍵の取得を試みて、分散鍵記憶部205に記憶されている分散鍵を含めて鍵閾値以上の分散鍵の取得に成功した場合に、取得した分散鍵から復号鍵を復元し、復元した復号鍵と、前記個人情報名とを、復号部208に送信する。
【0065】
例えば、前記暗号制御情報番号が「1」である場合には、鍵復元部207は、鍵識別情報「KID_A」(233)、鍵格納先情報「DID_2」(237)を含む分散鍵読出指示を送受信部206に送信する。
鍵復元部207は、前記分散鍵読出指示に対する、鍵識別情報「KID_A」(233)と、鍵格納先情報「DID_2」(237)と、分散鍵とを含む分散鍵読出応答を送受信部206から受信する。
【0066】
但し、送受信部206において、ホーム機器30から、分散鍵「KEY_A1」を受信できなかった場合、鍵復元部207が送受信部206から受信する分散鍵は(0,0)となっている。
鍵復元部207が、(0,0)でない、分散鍵を送受信部206から受信した場合、鍵復元部207は、鍵識別情報「KID_A」に対応する分散鍵を分散鍵記憶部205から読み出し、暗号制御情報231に含まれる鍵閾値236の値である「2」個以上の分散鍵を取得できたので、ホーム機器30から取得した分散鍵「KEY_A1」と、分散鍵記憶部205から読み出す分散鍵「KEY_A2」とを用いて、復号鍵「KEY_A」を生成し、生成した復号鍵と、前記個人情報名とを、復号部208に送信する。
【0067】
同様に、例えば、前記暗号制御情報番号が「2」である場合には、鍵復元部207は、鍵識別情報「KID_B」(243)、鍵格納先情報「TID_1」(247)を含む分散鍵読出指示をICタグ通信部212に送信する。
鍵復元部207は、前記分散鍵読出指示に対する、鍵識別情報「KID_B」(243)と、鍵格納先情報「TID_1」(247)と、分散鍵「KEY_B1」とを含む分散鍵読出応答をICタグ通信部212から受信する。
【0068】
但し、ICタグ通信部212において、タグIDが「TID_1」であるICタグ40から、分散鍵を受信できなかった場合、鍵復元部207が受信する分散鍵は「KEY_B1」ではなく(0,0)となっているので、鍵復元部207は、(0,0)でない分散鍵を受信した場合に、受信した分散鍵を保持しておく。
同様に、鍵復元部207は、鍵識別情報「KID_B」(243)、鍵格納先情報「TID_2」(248)を含む分散鍵読出指示をICタグ通信部212に送信し、前記分散鍵読出指示に対する応答として、「KID_B」と、「TID_2」と、分散鍵「KEY_B2」とを含む分散鍵読出応答をICタグ通信部212から受信する。
【0069】
但し、ICタグ通信部212において、分散鍵を受信できなかった場合、鍵復元部207が受信する分散鍵は「KEY_B2」ではなく(0,0)となっているので、鍵復元部207は、(0,0)でない分散鍵を受信した場合に、受信した分散鍵を保持しておく。
同様に、鍵復元部207は、鍵識別情報「KID_B」(243)、鍵格納先情報「TID_3」(249)を含む分散鍵読出指示をICタグ通信部212に送信し、前記分散鍵読出指示に対する応答として、「KID_B」と、「TID_3」と、分散鍵「KEY_B3」とを含む分散鍵読出応答をICタグ通信部212から受信する。
【0070】
但し、ICタグ通信部212において、分散鍵を受信できなかった場合、鍵復元部207が受信する分散鍵は「KEY_B3」ではなく(0,0)となっているので、鍵復元部207は、(0,0)でない分散鍵を受信した場合に、受信した分散鍵を保持しておく。
鍵復元部207は、分散鍵記憶部205から、鍵識別情報「KID_B」に対応する分散鍵「KEY_B4」を読み出す。
【0071】
鍵復元部207は、暗号制御情報241に含まれる鍵閾値246の値である「3」個以上の、分散鍵を取得できた場合に、「KEY_B1」「KEY_B2」「KEY_B3」「KEY_B4」のうち、取得できた分散鍵のうち3個の分散鍵を用いて、「KEY_B」を生成し、生成した復号鍵と、前記個人情報名とを、復号部208に送信する。
ここで、鍵復元部207は、具体的には、ラグランジェ補間法を用いて、復号鍵を生成する。ラグランジェ補間法は一般に広く用いられているので、詳細な説明は省略する。
【0072】
鍵復元部207は、鍵分散部204により生成されたn個の分散鍵(i,Si)(1≦i≦n)のうちの、取得できたk個の分散鍵である(xj,fj)(1≦j≦k)について、k個の座標点の全てを通るk−1次の補間曲線
P(x)=f1(g1(x)/g1(x1))+・・・fk(gk(x)/gk(xn))mod p
(但し、gj(x)=L(x)/(x−xj)(1≦j≦k)、
L(x)=(x−x1)(x−x2)・・・(x−xk)とする)
に基づいて、復号鍵P(0)を演算する。
【0073】
復号部208は、鍵復元部207から、個人情報名と、復号鍵とを受信する。
復号部208は、受信した個人情報名により識別される暗号化個人情報を、個人情報記憶部201から読み出して、読み出した暗号化個人情報に対し、受信した復号鍵を用いて復号アルゴリズムD1を施すことにより個人情報を生成し、個人情報記憶部201に記憶されている、当該個人情報名に対応する暗号化個人情報に当該個人情報を上書きする。
【0074】
ここで、復号アルゴリズムD1は、暗号アルゴリズムE1により生成された暗号文を復号するアルゴリズムであり、暗号アルゴリズムE1に使用される暗号鍵と、復号アルゴリズムD1で使用される復号鍵は同じ鍵であるとする。
制御部216は、モバイル機器20の全体動作を制御する。
制御部216が実行する制御について、鍵生成前制御、暗号化制御、復号制御に分けて説明する。
(鍵生成前制御)
制御部216は、ユーザ入力取得部215から、暗号制御情報入力開始指示、鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報、暗号制御入力終了指示を受信し、暗号制御情報番号と、鍵識別情報とをモバイル機器20内で唯一となるように生成し、生成した暗号制御情報番号、鍵識別情報と、受信した鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報とを含む暗号制御情報を生成して、暗号制御情報記憶部214に記憶させる。
【0075】
制御部216は、ユーザ入力取得部215からカメラ撮影指示を受信した場合、個人情報取得部213に対し撮影指示を送信し、個人情報取得部213により、撮影された画像と、暗号化されていないことを示す値が「0」である暗号制御情報番号を含む個人情報ファイルが生成された後に、ユーザ入力取得部215から暗号制御情報番号を受信し、個人情報ファイル中の値が「0」である暗号制御情報番号を、受信した暗号制御情報番号で書き換える。
(暗号化制御)
制御部216は、暗号制御情報番号が「0」以外であり、暗号化されていない個人情報を含む個人情報ファイルが、個人情報記憶部201に記憶されているか否かを判定し、該当する個人情報ファイルを個人情報記憶部201から読み出し、個人情報名を暗号部203に送信する。
【0076】
制御部216は、読み出した個人情報ファイルに含まれる暗号制御情報番号で示される暗号制御情報を、暗号制御情報記憶部214から読み出す。
制御部216は、読み出した前記暗号制御情報に含まれる、(分散鍵数−1)個の各鍵格納先情報について、鍵分散種別と、鍵格納先情報とを含むリンク確認指示をリンク確認部210に送信する。
【0077】
リンク確認部210により、全ての鍵格納先情報で識別される装置とのリンクの確立ができた場合に、制御部216は、鍵生成部202に、鍵制御情報番号を含む鍵生成指示を送信する。制御部216が、鍵生成部202に前記鍵生成指示を送信することがトリガとなり、前記個人情報が、暗号部203において暗号化されることとなる。
(復号制御)
制御部216は、ユーザ入力取得部215から、復号すべき個人情報に関する個人情報名を受信して、当該個人情報名を復号部208に送信し、また、前記個人情報名を含む個人情報ファイルを個人情報記憶部201から読み出して、当該個人情報ファイルに含まれる暗号制御情報番号を抽出し、当該暗号制御情報番号を鍵復元部207に送信する。制御部216が、前記暗号制御情報番号を鍵復元部207に送信することがトリガとなり、暗号化された個人情報が、復号部208において復号されることとなる。
【0078】
表示部217は、文字、画像、動画等を表示するディスプレイである。
<ホーム機器30の構成>
ホーム機器30は、図6に示すように、送受信部301、分散鍵記憶部302、リンク確認部303、装置情報記憶部304とから構成される。
ホーム機器30は、具体的には、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、ホーム機器30は、その機能を達成する。
【0079】
送受信部301は、無線LANを用いて、モバイル機器20との通信を行う。
送受信部301は、モバイル機器20から、鍵格納先情報である装置識別情報と、鍵識別情報と、分散鍵とを受信し、受信した鍵識別情報と、分散鍵とを対応づけて、分散鍵記憶部302に記憶させる。
また、送受信部301は、モバイル機器20から、鍵格納先情報である装置識別情報と、鍵識別情報を含む分散鍵読出指示を受信する。
【0080】
送受信部301は、前記読出指示を受信した場合、前記読出指示に含まれる鍵識別情報に対応する分散鍵を分散鍵記憶部302から読み出し、装置情報記憶部304から、装置識別情報「DID_2」を読み出し、読み出した装置識別情報と、鍵識別情報と、分散鍵とを含む分散鍵読出応答を送信する。
分散鍵記憶部302は、送受信部301により書き込まれる鍵識別情報と、分散鍵とを対応づけて記憶する。
【0081】
リンク確認部303は、送受信部301を介して、モバイル機器20から、モバイル機器20を識別する装置識別情報「DID_1」を含む応答要求パケットを受信し、装置情報記憶部304から装置識別情報「DID_2」を読み出し、前記装置識別情報「DID_1」で識別されるモバイル機器20に対し、装置識別情報「DID_2」を含む返答パケットを送信する。
【0082】
装置情報記憶部304は、ROMから構成され、ホーム機器30を識別する装置識別情報「DID_2」を記憶している。
前記装置識別情報は、予め、ホーム機器30の出荷時に装置情報記憶部304に書き込まれている。
<ICタグ40、ICタグ50、ICタグ60の構成>
ICタグ40は、図7に示すように、無線通信部41、タグID記憶部42、分散鍵記憶部43とから構成される。
【0083】
無線通信部41は、無線通信により、モバイル機器20との通信を行う。
タグID記憶部42は、ROMから構成され、ICタグ40を識別するタグID「TID_1」(45)を記憶している。前記タグIDは、予め、ICタグ40の出荷時にタグID記憶部42に書き込まれている。
タグID記憶部42は、モバイル機器20により、無線通信部41を介して、タグID「TID_1」(45)を読み出される。
【0084】
分散鍵記憶部43は、無線通信部41を介して、モバイル機器20により書き込まれる鍵識別情報と、分散鍵とを記憶する。一例として、分散鍵記憶部43は、図7に示すように、鍵識別情報「KID_B」(46)と、分散鍵「KEY_B1」(47)とを対応づけて、記憶する。
ICタグ50は、図7に示すように、ICタグ40と同様の構成を備え、無線通信部51、タグID記憶部52、分散鍵記憶部53とから構成され、タグID記憶部52は、タグID「TID_2」(55)を記憶し、分散鍵記憶部53は、一例として鍵識別情報「KID_B」(56)と、分散鍵「KEY_B2」(57)とを対応づけて、記憶する。
【0085】
ICタグ60は、図7に示すように、ICタグ40と同様の構成を備え、無線通信部61、タグID記憶部62、分散鍵記憶部63とから構成され、タグID記憶部62は、タグID「TID_3」(65)を記憶し、分散鍵記憶部63は、一例として鍵識別情報「KID_B」(66)と、分散鍵「KEY_B3」(67)とを対応づけて、記憶する。
ICタグ50及び60については、その他の説明は、ICタグ40に対する説明と重複するので、説明を省略する。
<動作>
個人情報管理システム1の動作について、復号鍵を生成する鍵生成前処理、個人情報を暗号化する暗号化処理、暗号化された個人情報の復号処理に分けて説明する。
<鍵生成前処理>
モバイル機器20のユーザは、ユーザ入力取得部215が備えるキーを用いて、暗号制御情報の入力を行う。
【0086】
例えば、前記ユーザは、暗号制御情報入力開始キーを押下した後、鍵分散種別について「1」を入力し、分散鍵数について「2」を入力し、鍵閾値について「2」を入力し、鍵格納先情報について「DID_2」を入力し、暗号制御情報入力終了キーを押下する。
ユーザ入力取得部215は、暗号制御情報について入力された鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報を、制御部216へと送信する。
【0087】
制御部216は、ユーザ入力取得部215から鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報を受信し、暗号制御情報番号と、鍵識別情報とをランダムに生成して、既に図3に示したような、鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報と、生成した前記暗号制御情報番号と、生成した前記鍵識別情報とを含む暗号制御情報を生成して、暗号制御情報記憶部214に記憶させる。
【0088】
モバイル機器20の前記ユーザは、前記家庭外で、ユーザ入力取得部215が備えるカメラ撮影ボタンを押下する。
ユーザ入力取得部215は、前記カメラ撮影キーの押下を検出し、制御部216に対しカメラ撮影指示を送信する。
制御部216は、撮影指示を個人情報取得部213に送信する。
【0089】
個人情報取得部213は、制御部216から前記撮影指示を受信して画像の撮影を行い、撮影した画像の名前である個人情報名をランダムに生成し、当該個人情報名と、値が「0」であり暗号化無しを示す前記暗号制御情報番号と、当該画像とを含む個人情報ファイルを生成して個人情報記憶部201に書き込む。
前記画像の撮影後、前記ユーザは、前記撮影された画像に対し暗号化を希望する場合に、ユーザ入力取得部215が備えるキーを用いて、暗号制御情報番号を入力する。
【0090】
ユーザ入力取得部215は、前記暗号制御情報番号を制御部216に送信する。
制御部216は、ユーザ入力取得部215から前記暗号制御情報番号を受信し、個人情報取得部213により生成された個人情報ファイルの暗号制御情報番号を、「0」から受信した前記暗号制御情報番号に書き換える。
ここで、制御部216は、ユーザ入力取得部215から暗号制御情報番号を受信せずに、個人情報取得部213により生成された個人情報ファイルの暗号制御情報番号を、「0」から、予め制御部216が保持する暗号制御情報番号に書き換えることもできる。制御部216は、ユーザ入力取得部215から前記暗号制御情報番号を受信するか否かは、ユーザが予め選択する。
【0091】
以上の鍵生成前処理により、暗号制御情報記憶部214には、図3に示す暗号制御情報が記憶され、個人情報記憶部201には、図8に示すような個人情報ファイル291、個人情報ファイル295が記憶されるものとする。
個人情報ファイル291は、画像データ001(294)、画像データ001(294)を識別する個人情報名「写真001.JPG」(292)、画像データ001(294)の暗号化に関する暗号制御情報番号「1」(293)を含み、個人情報ファイル295は、画像データ002(298)、画像データ002(298)を識別する個人情報名「写真002.JPG」(296)、画像データ002(298)の暗号化に関する暗号制御情報番号「2」(297)を含む。
<暗号化処理>
前記鍵生成前処理で生成された個人情報に関する暗号鍵の生成、暗号化の動作について、図9を用いて、説明する。
【0092】
モバイル機器20において、制御部216は、暗号制御情報番号が「0」以外であり、暗号化されていない個人情報を含む個人情報ファイルが、個人情報記憶部201に記憶されているか否かを判定する(ステップS101)。
ステップS101により、該当する個人情報ファイルが記憶されていないと判定した場合(ステップS101:NO)、ステップS101を繰り返す。
【0093】
ステップS101により、該当する個人情報ファイルが記憶されていると判定した場合(ステップS101:YES)、制御部216は、該当する個人情報ファイルを個人情報記憶部201から読み出す(ステップS102)。
制御部216は、読み出した個人情報ファイル中の個人情報名を暗号部203に送信する(ステップS103)。
【0094】
制御部216は、読み出した個人情報ファイルに含まれる暗号制御情報番号で示される暗号制御情報を、暗号制御情報記憶部214から読み出す(ステップS104)。
制御部216は、内部のカウンタ値であるiを1で初期化する(ステップS105)
制御部216は、読み出した前記暗号制御情報に含まれる、鍵分散種別と、i番目の鍵格納先情報とを含むリンク確認指示をリンク確認部210に送信する。
【0095】
リンク確認部210は、i番目の鍵格納先情報で識別される装置と、上述したように、リンク確立を試みる(ステップS106)。
リンク確立が失敗した場合(ステップS107:NO)、ステップS101に戻る。
リンク確立が成功した場合(ステップS107:YES)、内部カウンタ値iを1インクリメントする(ステップS108)。
【0096】
制御部216は、内部カウンタ値iが、(暗号制御情報に含まれる分散鍵数−1)より大きいか否かを判定する(ステップS109)。
iが(暗号制御情報に含まれる分散鍵数−1)以下の場合(ステップS109:NO)、ステップS106に移行する。
iが(暗号制御情報に含まれる分散鍵数−1)より大きい場合(ステップS109:YES)、制御部216は、鍵生成部202に、鍵制御情報番号を含む鍵生成指示を送信する。
【0097】
鍵生成部202は、前記鍵生成指示を受信し、暗号鍵をランダムに生成し(ステップS110)、前記暗号制御情報番号と、生成した暗号鍵とを鍵分散部204に送信し、当該暗号鍵を暗号部203にも送信する。
暗号部203は、暗号鍵を暗号部203から受信し、前記個人情報名に対応する個人情報ファイルを個人情報記憶部201から読み出して、個人情報ファイルから暗号化すべき個人情報を抽出する。
【0098】
暗号部203は、受信した暗号鍵を用いて、前記個人情報を暗号化して、暗号化個人情報を生成し、個人情報記憶部201に記憶されている前記個人情報名に対応する個人情報ファイル中の個人情報を、当該暗号化個人情報に置き換える(ステップS111)
鍵分散部204は、鍵生成部202から前記暗号制御情報番号と、前記暗号鍵とを受信し、受信した暗号制御情報番号で識別される暗号制御情報を、暗号制御情報記憶部214から読み出す。
【0099】
鍵分散部204は、前記暗号鍵を、読み出した暗号制御情報に含まれる分散鍵数に分散する(ステップS112)。
鍵分散部204は、内部カウンタ値jを、値「1」で初期化する(ステップS113)。
鍵分散部204は、前記暗号制御情報に含まれるj番目の鍵格納先情報と、鍵識別情報と、当該装置に記憶させる分散鍵とを含む送信指示を、前記暗号制御情報に含まれる鍵分散種別に対応する通信部に送信する。
【0100】
ここで、前記通信部は、前記鍵分散種別が「1」である場合は、送受信部206であり、送受信部206は、鍵識別情報と、分散鍵とを、j番目の鍵格納先情報で示される装置に送信する(ステップS114)。
ホーム機器30の送受信部301は、鍵識別情報と、分散鍵とを受信し、受信した鍵識別情報と、分散鍵とを対応づけて、分散鍵記憶部302に記憶させる(ステップS115)。
【0101】
また、前記鍵分散種別が「2」である場合、前記通信部はICタグ通信部212であり、ICタグ通信部212は、鍵識別情報と、分散鍵とを、j番目の鍵格納先情報で示されるICタグに送信する。
j番目の鍵格納先情報で示されるICタグの無線通信部は、鍵識別情報と、分散鍵とを受信し、受信した鍵識別情報と、分散鍵とを対応づけて、当該ICタグの分散鍵記憶部に記憶させる。
【0102】
鍵分散部204は、内部カウンタ値jを1インクリメントする(ステップS116)。
鍵分散部204は、jが、(暗号制御情報に含まれる分散鍵数−1)より大きいか否かを判定する(ステップS117)。
jが(暗号制御情報に含まれる分散鍵数−1)以下である場合、ステップS114に移行する。
【0103】
jが(暗号制御情報に含まれる分散鍵数−1)より大きい場合、鍵分散部204は、鍵識別情報と、自機で記憶すべき分散鍵とを対応づけて、分散鍵記憶部205に記憶させ(ステップS118)、鍵削除制御部209に対し、暗号制御情報番号を含む鍵削除指示を送信する。
鍵分散部204は、鍵識別情報と、自機で記憶すべき分散鍵とを対応づけて、分散鍵記憶部205に記憶させる。
【0104】
鍵削除制御部209は、鍵識別情報を、鍵分散部204から受信し、鍵生成部202、鍵分散部204内に残存する暗号鍵を消去する(ステップS119)。
鍵削除制御部209は、鍵分散部204内に残存する分散鍵を消去する(ステップS120)
ここで、個人情報ファイル291中の画像データ001(294)を暗号化する場合を例に、上述のステップ101〜120のうち主要な動作について補足説明する。
(ステップS101、S102)図8に示す個人情報記憶部201には、暗号制御情報番号が「1」であり、暗号化されていない個人情報である画像データ001(294)を含む個人情報ファイル291が記憶されているので、制御部216は、該当する個人情報ファイル291が記憶されていると判定し、個人情報ファイル291を、個人情報記憶部201から読み出す。
(ステップS103)制御部216は、個人情報ファイル291に含まれる個人情報名である「写真001.JPG」(292)を、暗号部203に送信する。
(ステップS104)制御部216は、暗号制御情報番号が「1」である暗号制御情報231を暗号制御情報記憶部214から読み出す。
(ステップS106)制御部216は、鍵分散種別「1」、1番目の鍵格納先情報である「DID_2」とを含むリンク確認指示をリンク確認部210に送信する。リンク確認部210は、「DID_2」で識別されるホーム機器30との間でリンク確立を試みる。ここでリンクが確立されたものとする。
(ステップS110)鍵生成部202は、暗号鍵「KEY_A」を生成し(ステップS110)、前記暗号制御情報番号「1」と、生成した暗号鍵「KEY_A」とを鍵分散部204に送信し、暗号鍵「KEY_A」を暗号部203にも送信する。
(ステップS111)暗号部203は、暗号鍵「KEY_A」を暗号部203から受信し、前記個人情報名「写真001.JPG」に対応する個人情報ファイル291を個人情報記憶部201から読み出して、個人情報ファイルから暗号化すべき個人情報である画像データ001(294)を抽出し、暗号鍵「KEY_A」を用いて、画像データ001(294)を暗号化して、暗号化個人情報であるE1(画像データ001,KEY_A)を生成し、個人情報記憶部201に記憶されている個人情報ファイル291の画像データ001を、E1(画像001,KEY_A)で置き換える。
(ステップS112)鍵分散部204は、鍵生成部202から前記暗号制御情報番号「1」と、暗号鍵「KEY_A」とを受信し、暗号制御情報番号「1」で識別される暗号制御情報231を、暗号制御情報記憶部214から読み出す。
【0105】
鍵分散部204は、暗号鍵「KEY_A」を、「KEY_A1」と「KEY_A2」の、暗号制御情報231に含まれる分散鍵数(235)である2個の分散鍵に分散する。
(ステップS114)鍵分散部204は、暗号制御情報231に含まれる1番目の鍵格納先情報「DID_2」と、鍵識別情報「KID_A」と、当該装置に記憶させる分散鍵「KEY_A1」とを含む送信指示を、送受信部206に送信する。
(ステップS115)鍵格納先情報「DID_2」で識別されるホーム機器30の送受信部301は、鍵識別情報と、分散鍵とを受信し、受信した鍵識別情報と、分散鍵とを対応づけて、分散鍵記憶部302に記憶させる。
(ステップS118)鍵分散部204は、鍵識別情報「KID_A」と、分散鍵「KEY_A2」とを対応づけて、分散鍵記憶部205に記憶させる。
<復号処理>
暗号化された個人情報の復号処理について、図10を用いて説明する。
【0106】
モバイル機器20の前記ユーザは、ユーザ入力取得部215が備えるキーを用いて、閲覧したい個人情報の個人情報名の入力を行う。
ユーザ入力取得部215は、入力された前記個人情報名を制御部216に送信する。
制御部216は、ユーザ入力取得部215から、前記個人情報名を受信する。
制御部216は、復号部208に前記個人情報名を送信する(ステップS131)。
【0107】
制御部216は、復号を要するデータの個人情報名を含む個人情報ファイルを個人情報記憶部201から読み出して、当該個人情報ファイルに含まれる暗号制御情報番号を抽出する(ステップS132)。
制御部216は、抽出した暗号制御情報番号を鍵復元部207に送信する(ステップS133)。
【0108】
鍵復元部207は、前記暗号制御情報番号を受信し、当該暗号制御情報番号を含む暗号制御情報を暗号制御情報記憶部214から読み出す(ステップS134)。
鍵復元部207は、内部カウンタ値i、jをそれぞれ値「1」で初期化する(ステップS135)。
鍵復元部207は、iが分散鍵数より大きいか否かを判定する(ステップS136)。
【0109】
iが分散鍵数より大きい場合(ステップS136:YES)、処理を終了する。
iが分散鍵数以下である場合(ステップS136:NO)、鍵復元部207はリンク確認部210に対し、前記暗号制御情報に含まれる鍵分散種別と、i番目の鍵格納先情報とを含むリンク確認指示をリンク確認部210に送信する。
リンク確認部210は、i番目の鍵格納先情報で識別される装置と、上述したように、リンク確立を試みる(ステップS137)。
【0110】
リンク確立が失敗した場合(ステップS138:NO)、後述するステップS147に移行する。
リンク確立が成功した場合(ステップS138:YES)、鍵復元部207は、前記暗号制御情報に含まれるi番目の鍵格納先情報と、鍵識別情報とを含む分散鍵読出指示を、前記暗号制御情報に含まれる鍵分散種別に対応する通信部に送信する。
【0111】
ここで、前記通信部は、前記鍵分散種別が「1」である場合は、送受信部206であり、送受信部206は、鍵識別情報を含む分散鍵読出指示を、i番目の鍵格納先情報で示される装置に送信する(ステップS139)。
また、前記通信部は、前記鍵分散種別が「2」である場合は、ICタグ通信部212であり、ICタグ通信部212は、鍵格納先情報で識別されるICタグから、鍵識別情報と、分散鍵との読み出しを試みる。
【0112】
鍵格納先情報で識別される前記装置は、分散鍵記憶部に記憶している、受信した前記鍵識別情報に対応する分散鍵を読み出す(ステップS140)。
前記装置は、読み出した分散鍵を、モバイル機器20に送信する(ステップS141)。
前記通信部は、前記分散鍵を受信し、受信した分散鍵を鍵復元部207に送信する。
【0113】
鍵復元部207は、前記分散鍵を受信して保持する(ステップS142)。
鍵復元部207は、内部カウンタ値jを1インクリメントする(ステップS143)。
鍵復元部207は、内部カウンタ値jが、前記暗号制御情報に含まれる鍵閾値以上であるか否かを判定する(ステップS144)。
jが、鍵閾値未満である場合(ステップS144:NO)、鍵復元部207は、内部カウンタ値iを1インクリメントし(ステップS147)、ステップS136に移行する。
【0114】
jが、鍵閾値以上である場合(ステップS144:YES)、鍵復元部207は、受信した分散鍵から、復号鍵を生成する(ステップS145)。
鍵復元部207は、生成した復号鍵を、復号部208に送信する。
復号部208は、前記復号鍵を受信し、前記個人情報名に対応する個人情報ファイルを個人情報記憶部201から読み出す。
【0115】
復号部208は、前記個人情報ファイルに含まれる暗号化された個人情報を、前記復号鍵を用いて復号し(ステップS146)、復号した個人情報を表示部217へ送信する。
表示部217は、前記個人情報を受信して、当該個人情報を表示する。
また、鍵復元部207、リンク確認部210は、上述のステップS134〜S144を繰り返し、リンク確立の成功したリンクの数が、(鍵閾値−1)個より小さくなった場合、復号鍵を復号部208から消去し、復号した個人情報を、復号部208、表示部217から消去して、表示部217に対し、個人情報の表示を停止させる。
<変形例>
なお、本発明を上記の実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
(1)上記の実施の形態においては、暗号鍵に係る分散鍵の生成と、分散鍵を用いた復号鍵(暗号鍵と同じ)の生成とをモバイル機器20において行っているが、暗号鍵に係る分散鍵を生成する装置と、分散鍵を用いて復号鍵を生成する装置とが分かれていてもよい。
【0116】
図11に示す個人情報管理システム1000は、ホーム機器1300と、モバイル機器1200と、機器1400と、機器1500とから成る。
ホーム機器1300は、モバイル機器1200のユーザの家庭に設置されており、ホーム機器1300は、家庭内が無線の到達範囲である無線LANを通じて、家庭内にある機器のみと通信が可能である。
【0117】
ホーム機器1300は、秘密情報であるコンテンツを記憶しており、個人情報記憶部1301と、鍵生成部1302と、暗号部1303と、鍵分散部1304と、送受信部1305と、分散鍵記憶部1306と、暗号制御情報記憶部1307と、リンク確認部1308とから構成される。
鍵生成部1302は、前記コンテンツを暗号化するための暗号鍵を生成し、生成した暗号鍵を、暗号部1303と、鍵分散部1304とに送信する。
【0118】
暗号部1303は、前記コンテンツを、前記暗号鍵を用いて暗号化することにより暗号化コンテンツを生成し、送受信部1305を介してモバイル機器1200に送信する。
暗号制御情報記憶部1307は、暗号鍵の鍵分散数(例えば値「4」)、鍵閾値(例えば値「3」)、鍵格納先識別として、ホーム機器1300の識別情報と、機器1400の識別情報と、機器1500の識別情報とを含む。
【0119】
鍵分散部1304は、暗号制御情報記憶部1307に記憶されている鍵分散数の値に基づき、鍵閾値以上の個数の分散鍵から前記暗号鍵が復元できるよう、当該暗号鍵を4つに分散することにより第1分散鍵〜第4分散鍵を生成し、第1分散鍵を分散鍵記憶部1306に記憶させる。
分散鍵記憶部1306に記憶された前記第1分散鍵は、送受信部1305を介して、モバイル機器1200により読み出される。
【0120】
鍵分散部1304は、第2分散鍵をモバイル機器1200に送信し、第3分散鍵を機器1400に送信し、第4分散鍵を機器1500に送信する。
鍵分散部1304は、暗号制御情報記憶部1307から暗号制御情報を読み出し、読み出した前記暗号制御情報を送受信部1305を介して、モバイル機器1200へと送信し、暗号制御情報記憶部1307内の暗号制御情報を削除する。
【0121】
リンク確認部1308は、データの送受信に先立ち、通信相手である機器が備えるリンク確認部と、リンクの確認を行う。
機器1400は、図11に示すように、送受信部1401と、分散鍵記憶部1402と、リンク確認部1403とから成る。
送受信部1401は、ホーム機器1300から、第3分散鍵を受信し、分散鍵記憶部1402に記憶させる。
【0122】
また、分散鍵記憶部1402に記憶された第3分散鍵は、送受信部1401を介して、モバイル機器1200に送信される。
リンク確認部1403は、データの送受信に先立ち、通信相手である機器が備えるリンク確認部とリンクの確認を行う。
同様に、機器1500は、図11に示すように、送受信部1501と、分散鍵記憶部1502とから成る。
【0123】
送受信部1501は、ホーム機器1300から、第4分散鍵を受信し、分散鍵記憶部1502に記憶させ、分散鍵記憶部1502に記憶された第4分散鍵は、送受信部1501を介して、モバイル機器1200に送信される。
リンク確認部1503は、データの送受信に先立ち、通信相手である機器が備えるリンク確認部とリンクの確認を行う。
【0124】
モバイル機器1200は、送受信部1201と、個人情報記憶部1202と、分散鍵記憶部1203と、暗号制御情報記憶部1204と、鍵復元部1205と、復号部1206と、表示部1207と、リンク確認部1208とから構成される。
送受信部1201は、ホーム機器1300、機器1400、機器1500と通信を行う。
【0125】
リンク確認部1208は、ホーム機器1300、機器1400、機器1500とのデータの送受信に先立ち、通信相手である機器が備えるリンク確認部とリンクの確認を行う。
個人情報記憶部1202は、送受信部1201を介して、ホーム機器1300から受信した暗号化コンテンツを記憶する。
分散鍵記憶部1203は、送受信部1201を介して、ホーム機器1300から受信した前記第2分散鍵を記憶する。
【0126】
暗号制御情報記憶部1204は、送受信部1201を介して、ホーム機器1300から受信した前記暗号制御情報を記憶する。
鍵復元部1205は、暗号制御情報記憶部1204から暗号制御情報を読み出して、読み出した暗号制御情報中の鍵格納先識別である、ホーム機器1300の識別情報と、機器1400の識別情報と、機器1500の識別情報とのそれぞれで示される機器とリンクの確認を行うようリンク確認部1208に指示する。
【0127】
鍵復元部1205は、ホーム機器1300、機器1400、機器1500のうちリンクの確認できた機器から、送受信部1201を介して分散鍵の取得を試み、ホーム機器1300、機器1400、機器1500及びモバイル機器1200のそれぞれが保持している分散鍵のうちの3つ以上の分散鍵を取得できた場合、鍵復元部1205は、取得した分散鍵のうち3つの分散鍵から復号鍵(前記暗号鍵と同じ鍵)を生成し、復号部1206に送信する。
【0128】
復号部1206は、個人情報記憶部1202から、前記暗号化コンテンツを読み出して、前記復号鍵を用いて復号することにより前記コンテンツを生成する。
復号部1206は、前記コンテンツを、表示部1207に送信し、表示部1207は、受信したコンテンツをディスプレイに表示する。
また、鍵復元部1205は、定期的に、前述のように第1分散鍵、第3分散鍵、第4分散鍵の取得を試みて、前記第2分散鍵を含めた、4つの分散鍵のうちの3つ以上取得できなくなった場合、復号部1206が保持している復号鍵を消去し、復号部1206、表示部1207が保持しているコンテンツを消去し、表示部1207によるコンテンツの表示を停止する。
【0129】
以上により、モバイル機器1200は、モバイル機器1200がホーム機器1300と通信が可能であり、ホーム機器1300の他に、機器1400或いは機器1500の少なくとも一方が前記ホーム機器1300と通信が可能である場合に、3つ以上の分散鍵を取得し、取得した分散鍵から前記復号鍵を復元し、暗号化された前記コンテンツを、前記復号鍵を用いて復号できるので、モバイル機器1200のユーザは、前記家庭内においてのみ、前記コンテンツの閲覧が可能となる。
(2)上記の変形例(1)においては、分散鍵を生成した装置であるホーム機器1300が、生成した分散鍵の1つを保持していたが、分散鍵を生成した装置が、分散鍵を保持しない構成としてもよい。
【0130】
図12に示す個人情報管理システム2000は、コンサートのチケットを販売するチケットセンターに設置されたプレミアコンテンツ送信装置2300と、前記コンサートのチケットを購入したユーザが所有するモバイル機器2200と、コンサート会場に設置されるゲート装置2400とから成り、チケットの購入者に対し、一般に視聴できない特別なコンテンツであるプレミアコンテンツを前記コンサート会場内でのみ閲覧させるものである。
【0131】
ゲート装置2400は、コンサート会場内が無線到達範囲である無線通信により、モバイル機器2200と通信する。よって、ゲート装置2400は、モバイル機器2200が前記コンサート会場内にある場合のみ、モバイル機器2200と無線通信できる。
プレミアコンテンツ送信装置2300は、プレミアコンテンツを記憶している、個人情報記憶部2301と、鍵生成部2302と、暗号部2303と、鍵分散部2304と、送受信部2305と、暗号制御情報記憶部2307と、リンク確認部2308とから構成される。
【0132】
鍵生成部2302は、前記プレミアコンテンツを暗号化するための暗号鍵を生成し、生成した暗号鍵を、暗号部2303と、鍵分散部2304とに送信する。
暗号部2303は、前記プレミアコンテンツを、前記暗号鍵を用いて暗号化することにより暗号化コンテンツを生成し、送受信部2305を介してモバイル機器2200に送信する。
【0133】
暗号制御情報記憶部2307は、暗号鍵の鍵分散数(例えば値「2」)、鍵閾値(例えば値「2」)、鍵格納先識別としてゲート装置2400の識別情報とを含む暗号制御情報を記憶している。
鍵分散部2304は、暗号制御情報記憶部2307に記憶されている鍵分散数の値に基づき、鍵閾値以上の個数の分散鍵から前記暗号鍵が復元できるよう、当該暗号鍵を2つに分散することにより第1分散鍵、第2分散鍵を生成し、第1分散鍵をモバイル機器2200に送信し、第2分散鍵をゲート装置2400に送信する。
【0134】
鍵分散部2304は、暗号制御情報記憶部2307から前記暗号制御情報を読み出して、読み出した暗号制御情報を送受信部2305を介してモバイル機器20へと送信し、暗号制御情報記憶部2307内の暗号制御情報を削除する。
リンク確認部2308は、データの送受信に先立ち、通信相手である機器が備えるリンク確認部とリンクの確認を行う。
【0135】
ゲート装置2400は、図12に示すように、送受信部2401と、分散鍵記憶部2402と、無線部2403と、リンク確認部2404とから成る。
送受信部2401は、プレミアコンテンツ送信装置2300から、第2分散鍵を受信し、受信した第2分散鍵を分散鍵記憶部2402に記憶させる。
無線部2403は、モバイル機器2200と無線通信を行う。
【0136】
また、分散鍵記憶部2402に記憶された第2分散鍵は、無線部2403を介して、モバイル機器2200から読み出される。
リンク確認部2404は、データの送受信に先立ち、通信相手である機器が備えるリンク確認部とリンクの確認を行う。
モバイル機器2200は、送受信部2201と、個人情報記憶部2202と、分散鍵記憶部2203と、暗号制御情報記憶部2204と、鍵復元部2205と、復号部2206と、表示部2207と、無線部2208と、リンク確認部2209とから構成される。
【0137】
個人情報記憶部2202は、送受信部2201を介してプレミアコンテンツ送信装置2300から受信した暗号化コンテンツを記憶する。
分散鍵記憶部2203は、送受信部2201を介して、プレミアコンテンツ送信装置2300から受信した前記第1分散鍵を記憶する。
暗号制御情報記憶部2204は、送受信部2201を介して、プレミアコンテンツ送信装置2300から受信した前記暗号制御情報を記憶する。
【0138】
無線部2208は、ゲート装置2400と無線通信を行う。
鍵復元部2205は、暗号制御情報記憶部2204から前記暗号制御情報を読み出して、読み出した暗号制御情報中の鍵格納先識別で識別されるゲート装置2400と無線部2208を介した無線通信を行い、ゲート装置2400が記憶している分散鍵である第2分散鍵の取得を試みる。
【0139】
鍵復元部2205は、ゲート装置2400が保持している第2分散鍵が取得できた場合に、第2分散鍵と、分散鍵記憶部2203が記憶している第1分散鍵とから復号鍵(前記暗号鍵と同じ鍵)を生成し、復号部2206に送信する。
復号部2206は、個人情報記憶部2202から、前記暗号化コンテンツを読み出して、前記復号鍵を用いて復号することにより前記プレミアコンテンツを生成する。
【0140】
復号部2206は、前記プレミアコンテンツを、表示部2207に送信し、表示部2207は、受信したコンテンツをディスプレイに表示する。
また、鍵復元部2205は、定期的に、無線部2208を介して、ゲート装置2400における分散鍵記憶部2402に保持されている第2分散鍵の読み出しを試み、第2分散鍵の読み出しに失敗した場合、復号部2206が保持している復号鍵を消去し、復号部2206、表示部2207が保持しているプレミアムコンテンツを消去する。
【0141】
以上により、モバイル機器2200は、モバイル機器2200がゲート装置2400と無線通信が可能であり、ゲート装置2400から第2分散鍵を取得することができる前記コンサート会場内でのみ、第1及び第2分散鍵から前記復号鍵を復元し、暗号化された前記プレミアムコンテンツを、前記復号鍵を用いて復号できるので、モバイル機器2200のユーザは、前記コンサート会場内においてのみ、前記プレミアムコンテンツの閲覧が可能となり、コンサート会場を離れた場合には、前記プレミアムコンテンツの閲覧が不可能となる。
(3)上記の実施の形態において、個人情報取得部213がデジタルカメラである例について説明したが、これに限るものではなく、個人情報が取得できるものであればよい。
【0142】
例えば、個人情報取得部213は、ネットワークに接続する機能を備え、前記ネットワークを介して、映像、音声等を配信する配信サーバから、前記映像、音声を取得して、個人情報記憶部201に記憶するとしてもよい。
また、個人情報取得部213は、テレビチューナーを備え、放送装置が放送する放送波を前記テレビチューナーで受信し、受信した放送波を復調、信号処理して、映像信号等を取得し、取得した映像信号等をデジタル化して個人情報記憶部201に記憶するとしてもよい。
【0143】
また、前記個人情報としては、上述のようにデジタルカメラで撮影した画像に限るものではなく、ユーザがモバイル機器20に対し入力した、氏名や生年月日、バイオメトリックス情報などのような生来的なものや、ハンドルネーム、住所、職業などの後天的なもの、購入履歴や通信履歴、病歴/薬歴などの履歴情報も含むものとする。また、前記個人情報は、上記に限らず、個人が購入して、家庭内だけで利用可能と制限されている映画などの著作物などであってもよい。
【0144】
また、上記の実施の形態においては、個人情報のみを扱っていたが、個人情報だけでなく、商用の情報を、当該個人情報と同様に扱うこととしてもよい。
前記商用の情報を、家庭内のみでの使用に制限するといった場合に、使用可能である。
(4)鍵分散部が行う鍵分散の方法は、上述の方法に限るものではない。
例えば、秘密鍵を単純にM個の分散鍵の和で表すという方法であってもよい。この方法によると、M個すべての分散鍵がそろって初めてもとの秘密鍵を求めることができる。
(5)リンク確立の確認は、上述したものと異なる方法を用いてもよい。
【0145】
例えばPAN(Personal Area Network)のようなアドホックな無線通信が届くけばリンクが確立していると判断してもよい。
また、モバイル機器20が家庭内にあることを検知するために、例えばホーム機器30と同じサブネット上にあることを、ブロードキャストやUPnP(Universal Plug and Play)などのプロトコルを用いて検知してもよい。
【0146】
例えば、モバイル機器20は、ホーム機器30のIPアドレスを取得し、取得したIPアドレスが、モバイル機器20のIPアドレスと同じサブネットのアドレスであるか否かを判断し、同じサブネットのアドレスであった場合に、リンクが確立されていると判断する。これにより、モバイル機器20は、ホーム機器30が設置されている家庭内にあることを検知できる。
【0147】
モバイル機器20は、ホーム機器30のIPアドレスを、ホーム機器30から直接取得してもよいし、DNS(Domain Name System)サーバ等の、ホーム機器30以外の装置から取得するものとしてもよい。
また、電波の到達距離が制限されているアドホック無線通信が届くことで、検知してもよい。また、ホーム機器30とモバイル機器20との間でPINGを送信して、それが戻ってくるまでの時間が所定時間、例えば1秒以内であるか否かにより判断しても良い。
(6)上述の実施の形態において、個人情報名と個人情報とを対応づけて、個人情報名を用いて個人情報を識別したがこれには限らない。
【0148】
例えば、各個人情報に対し重複しない識別番号を割り振り、当該識別番号を用いて、各個人情報を識別することとしてもよい。
また、前記ユーザは、暗号化及び復号を希望する個人情報を指定する際に、ユーザ入力取得部215が備えるキーを用いて、個人情報名を入力するとしていたが、前述のように、識別番号を入力することとしてもよいし、復号を行う個人情報の候補を、表示部217に表示させ、ユーザは、前記候補のうち1の個人情報を選択することとしてもよい。
(7)実施の形態において、モバイル機器20は、取得した個人情報の暗号化を、分散鍵を保持すべき全ての装置が揃った場合に行っているが、これには限らない。
【0149】
例えば、モバイル機器20は、個人情報取得部213が個人情報を取得した直後に、鍵生成部202が暗号鍵を生成し、当該暗号鍵を用いて暗号部203が前記個人情報を暗号化し、個人情報記憶部201に記憶しておいてもよい。
その後、リンク確認部210により、分散鍵を保持すべき全ての装置とリンクが確認できた場合に、鍵分散部204が前記暗号鍵から複数の分散鍵を生成し、1の分散鍵を分散鍵記憶部205が記憶し、他の分散鍵を、分散鍵を保持すべき全ての前記装置に送信することとしてもよい。
【0150】
また、モバイル機器20において、暗号化された個人情報の復号を、ユーザにによって当該暗号化された個人情報の閲覧が希望された場合に行っていたが、これに限るものではない。
例えば、モバイル機器20におけるリンク確認部210が、ホーム機器30のリンク確認部303との間でリンクが確認できた場合には、値が「1」の暗号制御情報に対応づけられ、個人情報記憶部201に記憶されている個人情報を、復号鍵を用いて復号しておき、前記リンクの確認ができなくなった場合に、復号鍵と同じ鍵である暗号鍵で前記個人情報を暗号化し、当該暗号鍵、復号鍵を消去することとしてもよい。
【0151】
これにより、前記家庭内にある場合は個人情報を平文で蓄積しておき、外出する際に自動的に暗号化することができる。
また、前記個人情報を家庭内でも暗号化して蓄積しておき、使用する場合に復号しても良いが、この場合、前記個人情報を更新するごとに暗号化しても良いし、所定時間ごとに暗号化することとしても良い。
(8)モバイル機器20が、個人情報を暗号化するタイミング、当該暗号化に使用した暗号鍵から生成された分散鍵をホーム機器30に記憶させるタイミングは、前記個人情報をモバイル機器20に格納したときであってもよいし、またモバイル機器20を家庭外へ持ち出すときであってもよい。また、モバイル機器20が家庭内にあるときにユーザの指示をトリガとして、暗号化することとしても良い。
(9)前記個人情報の暗号鍵から生成された分散鍵をICタグ40〜60に記憶させるタイミングは、前記個人情報が個人情報取得部213により取得されてすぐである必要はない。
【0152】
例えば、モバイル機器20は、前記ユーザに関するパスワードやバイオメトリックス情報などの認証情報を予め保持しておく認証情報保持手段と、前記ユーザにより認証情報の入力を受け付ける認証情報受付手段と、前記認証情報を用いて認証を行う認証手段とを備え、モバイル機器20のユーザが前記認証情報を入力し、前記認証手段が、入力された認証情報と、認証情報保持手段が保持している認証情報とを比較して、一致或いは所定の誤差以内である場合に、ユーザ認証が成功したものと判断して、分散鍵をICタグ40〜60に記憶させてもよい。
【0153】
また、前記ユーザが前記認証情報受付手段に対しパスワードを入力し、前記ユーザ認証が成功すると、個人情報を暗号鍵を用いて暗号化し、当該暗号鍵を分散し、分散鍵をそのときに持参している持ち物に付されたICタグ等に記憶させてもよい。
また、前記家庭の玄関の扉から、トリガ信号を出し、前記ユーザがモバイル機器20を持参して玄関の扉をくぐり抜ける直前に、モバイル機器20がそのときに前記ユーザが持参している各持ち物に付された各ICタグに分散鍵を格納してもよい。
(10)また、秘密分散において、復号鍵を分散する分散鍵数、秘密を復元するための鍵閾値は、実施の形態で使用した値に限定するものではなく、システムに応じて適正な値を選択しても良い。
【0154】
例えば、ホーム機器30を4台使用する場合、分散鍵数を5とし、モバイル機器20は秘密鍵を5つに分散して、1つをモバイル機器20内に記憶しておき、残りを各ホーム機器4台にそれぞれ1つずつ記憶させる。鍵閾値を2としておけば、5台のホーム機器30のうち少なくとも1台が電源ONになっていれば、モバイル機器20は電源がONであるホーム機器から分散鍵を取得し、モバイル機器20内に記憶している分散鍵と、取得した分散鍵とを用いて復号鍵を生成し、暗号化された個人情報を、当該復号鍵を用いて復号することができる。
(11)暗号制御情報記憶部214に記憶される暗号制御情報が、1つの鍵分散種別を含む例で説明したがこれには限らない。
【0155】
例えば、暗号制御情報は、鍵分散種別「1」と鍵分散種別「2」の組合せ(AND)を示す「1*2」と記載された鍵分散種別と、2つの鍵分散種別それぞれに対応する鍵格納先情報を含んでおり、モバイル機器20が、鍵分散種別「1」に対応する装置と鍵分散種別「2」に対応する装置のそれぞれから、分散鍵を取得することとしてもよい。
この場合、例えば、鍵閾値が「3」であれば、モバイル機器20が、ホーム機器30が保持する分散鍵と、メガネに付されたICタグ40が保持する分散鍵との両方を取得できた場合に、モバイル機器20が保持する分散鍵を含めた3つの分散鍵から、復号鍵を生成することができるようになる。
【0156】
また、暗号制御情報には、複数の鍵分散種別が含まれていてもよい。
例えば、暗号制御情報には、鍵分散種別「1」、鍵分散種別「2」の2つの鍵分散種別と、各鍵分散種別に対応する鍵格納先情報とが含まれていてもよい。
これにより、鍵閾値が「2」の場合であれば、ホーム機器30が保持する分散鍵か、メガネに付されたICタグ40が保持する分散鍵のいずれかをモバイル機器20が取得できた場合に、取得した分散鍵と、自機が保持している分散鍵とから復号鍵を生成できるようになる。
(12)実施の形態において、ICタグ40〜60をメガネ、コート、時計に付加する例で説明したが、これに限らず、モバイル機器20のユーザが携帯するものであれば何に付加してもよい。
【0157】
また、ICタグを使用せず、例えば非接触のインタフェースを有したカードや携帯電話などの携帯物を使用することとしてもよい。
(13)モバイル機器20は、図13に示すように、モバイル機器20内の個人情報記憶部201が記憶している暗号化された個人情報と、分散鍵記憶部205が記憶している分散鍵とを、DVD_RAMのようなバックアップ媒体に格納してもよい。
【0158】
これにより、モバイル機器20のユーザが、モバイル機器20を買い替える場合であっても、前記バックアップ媒体に記憶されている前記個人情報を新しいモバイル機器20の個人情報記憶部201に記憶させ、前記バックアップ媒体に記憶されている前記分散鍵を分散鍵記憶部205に記憶させることにより、暗号化された前記個人情報と前記分散鍵とをリストアすることができる。
【0159】
ここで、前記ユーザが、万が一前記バックアップ媒体を紛失しても、個人情報は暗号化されているため、前記個人情報が不正に閲覧されることはない。
(14)前記個人情報の種類に依存して、分散鍵を記憶する機器を、ホーム機器30のように特定の場所に固定されているものにするか、ICタグ40〜60のように特定の個人に関連付けられているものにするかが決定されることとしてもよい。
【0160】
例えば、デジタルカメラで家族を写した写真は家庭内のある特定のホーム機器30に関連付けられ、家庭内でのみ見ることができ、友達を写した写真は、特定の個人の持ち物に関連付けられてその本人だけが見ることができる。
これらは個人情報に付属して何に関連付けられるかのルール情報があり、このルール情報に従い分散鍵の生成、各機器への記憶がなされて、復号の際は各機器から分散鍵を受け取ることにより実現できる。このルールは、例えばデジタルカメラの情報であれば、それを撮った人あるいは、被写体に依存して決定しても良い。また、著作物であれば、著作物の保持者が決定しても良い。
(15)モバイル機器20は、前記鍵閾値以上の個数の分散鍵を、ICタグ等の装置から取得できた場合には、取得できた分散鍵の数に応じて、実行する処理を変更することとしてもよい。
【0161】
例えば、鍵閾値が5であり、暗号鍵から分散鍵が8個生成され、各分散鍵を7個のICタグに記憶させており、モバイル機器20は、10個の暗号化された個人情報を、個人情報記憶部201に記憶しているとする。モバイル機器20は、5個のICタグから分散鍵を取得できた場合には、個人情報記憶部201に記憶している6個の個人情報を復号して閲覧可能とし、7個のICタグから分散鍵を取得できた場合には、個人情報記憶部201に記憶している10個の個人情報全てを復号して閲覧可能とする。
【0162】
また、例えば、鍵閾値が5であり、暗号鍵から分散鍵が8個生成され、各分散鍵を7個のICタグに記憶させており、モバイル機器20は、個人情報として、暗号化された画像とアドレス帳とを、個人情報記憶部201に記憶しているとする。モバイル機器20は、5個のICタグから分散鍵を取得できた場合には、個人情報記憶部201に記憶している暗号化された画像を復号して閲覧可能とし、7個のICタグから分散鍵を取得できた場合には、個人情報記憶部201に記憶している暗号化されたアドレス帳も復号して閲覧可能とする。
(16)上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、各装置は、その機能を達成する。ここで、コンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(17)上記の各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。システムLSIは、これらは個別に1チップ化されても良いし、一部又は全てを含むように1チップ化されても良い。ここで、LSIは、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
【0163】
また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。一例としてはバイオ技術の適応等が考えられる。
(18)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM、などから構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしてもよい。
(19)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
【0164】
また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray Disc)、半導体メモリなど、に記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。
【0165】
また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。
【0166】
また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(20)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
【産業上の利用可能性】
【0167】
本発明は、秘匿の必要がある個人情報等を管理するモバイル機器などの電気機器や、システムを取り扱う産業において、生産、販売などがなされる。
【技術分野】
【0001】
本発明は、個人情報を管理する個人情報管理装置に関し、特に、当該装置の紛失時における個人情報の保護に関する。
【背景技術】
【0002】
近年、カメラ機能の搭載されたPDAや携帯電話のようなモバイル機器が普及し、当該モバイル機器のユーザが、撮った写真等の個人情報を持ち歩くことが多くなっており、当該モバイル機器を前記ユーザが万一紛失しても第三者に個人情報を見られないための紛失対策の重要性が増している。
モバイル機器の紛失対策の第1の従来例に、パスワードでモバイル機器をロックする技術がある。第3者は、パスワードを知らないため前記モバイル機器のロックを解除することができず、個人情報を取り出すことができない。
【0003】
また、紛失対策の第2の従来例に、モバイル機器が個人情報をサーバに預け、モバイル機器からは消去する方法がある。
また、紛失対策の第3の従来例としては、携帯電話における無効化がある(特許文献1参照)。特許文献1には、携帯電話のような無線通信機器に装着される例えばSIM(Subscriber Identification Module)カードを無効化するシステムが開示されている。前記SIMカードのメモリには、IDコードの他に、所有者の個人データが記憶され、更に固有の無効化コードが記憶される。SIMカードを紛失した際には、所有者は他の電話機から無効化コードを送信する。すると、SIMカードはこのコードの認証後、SIMカードのメモリのデータをロックし使用不能状態とする。これにより、他人による不正使用や個人データの漏洩が防止される。
【特許文献1】特開平11−177682号公報
【特許文献2】特開2002−91301号公報
【非特許文献1】A.Shamir,″How to Share a Secret″,Comm.Assoc.Comput.Mach.,vol.22,no.11,pp.612−613,1979.
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、前記第1の従来例においては、パスワードとして人間が記憶できる桁数はせいぜい10桁程度であり、総当たり攻撃によりパスワードが暴露されたり、前記ユーザがパスワードを忘れてしまうことによりロックが解除できなくなるという問題がある。
また、前記第2の従来例においては、前記個人情報を、家庭の中で頻繁に使用する場合には、ユーザは外出の際にいちいち、個人情報をサーバに預けて、モバイル機器から消去するといった手続きをする必要があり、不便である。
【0005】
また、前記第3の従来例においては、携帯電話のユーザが紛失に気付くまでは、データがロックされずデータ漏洩の可能性があるという問題がある。
上記の問題に鑑み、本発明は、ユーザによるパスワード入力や前記個人情報の消去の手間を防ぎ、本人以外による個人情報の閲覧を防ぎ、モバイル機器を紛失しても個人情報の秘匿性を守ることができる個人情報管理装置、分散鍵記憶装置、個人情報管理システム、個人情報管理方法、コンピュータプログラム、記録媒体及び集積回路を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記課題を解決するために、本発明は、個人情報を管理する個人情報管理装置であって、暗号化された前記個人情報を記憶している情報記憶手段と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第2分散鍵を記憶している分散鍵記憶手段と、前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認手段と、通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段とを備える。
【発明の効果】
【0007】
本発明の個人情報管理装置は、前述の構成を備えることにより、秘密分散法に基づく個人情報の復元を、個人情報管理装置と分散鍵記憶装置とが通信できる場合に制限することができる。
よって、前記分散鍵記憶装置が、前記個人情報管理装置のユーザの家庭内など特定の場所に固定され、前記個人情報管理装置が、前記分散鍵記憶装置と、通信範囲が前記家庭内のみである無線通信を行う場合であれば、当該個人情報の復元を当該家庭内に制限することができる。また、前記個人情報管理装置が、前記ユーザの携帯物に付加された前記分散鍵記憶装置と、通信範囲が1メートル程度の無線通信を行う場合であれば、前記個人情報管理装置による当該個人情報の復元を、前記ユーザが前記個人情報管理装置と前記携帯物とが1メートル程度の範囲内にあるように身につけている場合に制限することができる。
【0008】
また、前記リンク確認手段は、所定の通信範囲内に、前記分散鍵記憶装置に対するリンク要求を送信するリンク要求部と、前記分散鍵記憶装置からの前記リンク要求に対する応答を受け付けるリンク応答受付部と、前記応答を受信した場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部とを含んでもよい。
この構成によれば、個人情報管理装置は、秘密分散法に基づく個人情報の復元の可否を、前記リンク要求が分散鍵記憶装置により受信され、その応答である前記リンク応答を当該リンク確認手段が受信するか否かで判断することができる。
【0009】
また、前記分散鍵記憶装置は特定の場所に固定されており、所定時間間隔ごとに、所定の通信範囲内に前記個人情報管理装置に対するパケットを送出し、前記リンク確認手段は、前記パケットを受け付けるパケット受信部と、前記パケットが受信された場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部とを含んでもよい。
この構成によれば、個人情報管理装置は、秘密分散法による個人情報の復元の可否を、前記リンク確認手段が前記パケットを受信するか否かで判断することができる。
【0010】
また、前記分散鍵記憶装置は、通信可否を確認するための確認情報を保持しており、前記リンク確認手段は、所定の通信範囲内の前記分散鍵記憶装置に保持されている前記確認情報を読み出す読出部と、前記確認情報の読み出しができた場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部とを含んでもよい。
この構成によれば、個人情報管理装置は、秘密分散法による個人情報の復元の可否を、前記確認情報を読み出すことができるか否かで判断することができる。
【0011】
また、前記分散鍵記憶装置は、前記個人情報管理装置の所有者の携帯物に付されたICタグであり、前記読出部は、無線到達範囲内の前記ICタグに保持されている前記確認情報を読み出してもよい。
この構成によれば、個人情報管理装置は、秘密分散法による個人情報の復元の可否を、当該個人情報管理装置がICタグの無線到達範囲内にある場合に制限することができる。
【0012】
また、前記リンク確認手段は、自機のIPアドレスを記憶しているアドレス記憶部と、前記分散鍵記憶装置のIPアドレスを取得するアドレス取得部と、前記自機のIPアドレスと、前記分散鍵記憶装置のIPアドレスとが同じサブネットに属すか否かを判定するアドレス判定部と、同じサブネットに属すと判定された場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部と
を含んでもよい。
【0013】
この構成によれば、個人情報管理装置は、秘密分散法による個人情報の復元を、前記分散鍵記憶装置と同じサブネットに属する場合に制限することができる。
また、前記リンク確認手段は、通信できることを確認した場合、さらに、前記分散鍵記憶装置と通信できるか否かを定期的に確認し、前記個人情報管理装置は、さらに、通信できないことが確認された場合に、前記復号鍵生成手段により生成された前記復号鍵と、前記復号手段により復号された前記個人情報とを消去する消去手段を備えてもよい。
【0014】
この構成によれば、個人情報管理装置は、分散鍵記憶装置と通信ができなくなった場合には、前記個人情報を閲覧できなくすることができる。
よって、個人情報管理装置は、分散鍵記憶装置と通信ができなくなっているのに、前記個人情報が閲覧されるという不正な状態となるのを防ぐことができる。
また、前記個人情報管理装置は、さらに、前記復号鍵を保持し、当該復号鍵を用いて秘密分散法に基づき前記第1及び前記第2分散鍵を生成し、当該復号鍵を消去する分散鍵生成手段と、前記第1分散鍵を前記分散鍵記憶装置に送信する分散鍵送信手段と、前記第2分散鍵を前記分散鍵記憶手段に記憶させる書込手段とを備えてもよい。
【0015】
この構成によれば、個人情報管理装置は、復号鍵を生成することができる。
また、前記個人情報管理装置は、さらに、前記第2分散鍵を受信する分散鍵受信手段と、受信した前記第2分散鍵を前記分散鍵記憶手段に記憶させる書込手段とを備えてもよい。
この構成によれば、個人情報管理装置は、分散鍵を外部から取得することができる。
【0016】
よって、前記復号鍵から分散鍵を生成する装置と、当該分散鍵を記憶する装置とを分けた構成とすることができる。
また、前記情報記憶手段は、さらに、暗号化された追加個人情報を記憶しており、前記個人情報管理装置は、さらに、暗号化された前記追加個人情報の復号に用いられる追加復号鍵を用いて(k,n)閾値秘密分散法に基づき生成されたn個の追加分散鍵のうち、1の追加分散鍵を記憶している追加分散鍵記憶手段と、それぞれが前記1の追加分散鍵以外の(n−1)個の追加分散鍵のいずれかを重複なく記憶している(n−1)個の追加分散鍵記憶装置のそれぞれと通信できるか否かを確認する追加リンク確認手段と、(k−1)個以上の追加分散鍵記憶装置と通信できることが確認された場合に、(k−1)個の追加分散鍵記憶装置それぞれから追加分散鍵を取得する追加取得手段と、前記(k−1)個の追加分散鍵と、前記1の追加分散鍵とを用いて、(k,n)閾値秘密分散法に基づき前記追加復号鍵を生成する追加復号鍵生成手段と、生成された前記追加復号鍵を用いて、暗号化された前記追加個人情報を復号する追加復号手段とを備えてもよい。
【0017】
この構成によれば(k,n)閾値秘密分散法による追加個人情報の復元を、個人情報管理装置と(k−1)個以上の分散鍵記憶装置とが通信できる場合に制限することができる。
本発明の分散鍵記憶装置は、秘密分散法に基づき生成された分散鍵を管理する分散鍵記憶装置であって、暗号化された個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第1分散鍵を記憶している分散鍵記憶手段と、暗号化された前記個人情報を記憶している前記個人情報管理装置が通信可否の確認を行うための通信を行う通信手段と、前記個人情報管理装置に対し前記第1分散鍵を送信する送信手段とを備える。
【0018】
この構成によれば、前記個人情報管理装置が行う、秘密分散法による個人情報の復元を、個人情報管理装置と分散鍵記憶装置とが通信できる場合に制限することができる。
また、前記通信手段は、前記個人情報管理装置からリンク要求を受信する要求受信部と、前記リンク要求に対する応答を送信する応答送信部とを含んでもよい。
この構成によれば、個人情報管理装置が行う、秘密分散法による個人情報の復元を、前記リンク要求が分散鍵記憶装置により受信され、その応答である前記リンク応答を当該リンク確認手段が受信する場合に制限することができる。
また、前記分散鍵記憶装置は特定の場所に固定されており、前記通信手段は、所定時間間隔ごとに、所定の通信範囲内に前記個人情報管理装置に対するパケットを送信してもよい。
【0019】
この構成によれば、個人情報管理装置が行う、秘密分散法による個人情報の復元を、前記通信手段が送信した前記パケットを、前記個人情報管理装置が受信できた場合に制限することができる。
また、前記分散鍵記憶装置は、通信可否を確認するための確認情報を保持しており、前記通信手段は、所定の通信範囲内に前記個人情報管理装置に対する前記確認情報を送信してもよい。
【0020】
この構成によれば、個人情報管理装置が行う、秘密分散法による個人情報の復元を、前記個人情報管理装置が前記確認情報を読み出すことができる場合に制限することができる。
また、前記分散鍵記憶装置は、前記個人情報管理装置の所有者の携帯物に付されたICタグであり、前記通信手段は、無線到達範囲内に前記個人情報管理装置に対する前記確認情報を送信してもよい。
【0021】
この構成によれば、個人情報管理装置が行う、秘密分散法による個人情報の復元を、前記個人情報管理装置がICタグの無線到達範囲内にある場合に制限することができる。
本発明の個人情報管理システムは、個人情報を管理する個人情報管理装置と、分散鍵記憶装置とから成る個人情報管理システムであって、前記分散鍵記憶装置は、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第1分散鍵を記憶している第1分散鍵記憶手段と、前記個人情報管理装置と通信できるか否かを確認する第1リンク確認手段と、前記個人情報管理装置と通信できることが確認された場合に、前記個人情報管理装置に対し前記第1分散鍵を送信する送信手段とを含み、前記個人情報管理装置は、暗号化された前記個人情報を記憶している情報記憶手段と、前記第2分散鍵を記憶している第2分散鍵記憶手段と、前記分散鍵記憶装置と通信できるか否かを確認する第2リンク確認手段と、前記分散鍵記憶装置と通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段とを含む。
【0022】
本発明の個人情報管理方法は、暗号化された個人情報と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち前記第2分散鍵とを記憶している個人情報管理装置において用いられる個人情報管理方法であって、前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認ステップと、通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得ステップと、前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成ステップと、生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号ステップとを含む。
【0023】
本発明のコンピュータプログラムは、暗号化された個人情報と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち前記第2分散鍵とを記憶している個人情報管理装置において用いられるコンピュータプログラムであって、前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認ステップと、通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得ステップと、前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成ステップと、生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号ステップとを含む。
【0024】
本発明の記録媒体は、前記コンピュータプログラムを記憶している。
この構成によれば、秘密分散法による個人情報の復元を、個人情報管理装置と分散鍵記憶装置とが通信できる場合に制限することができる。
よって、前記分散鍵記憶装置が、前記個人情報管理装置のユーザの家庭内など特定の場所に固定され、前記個人情報管理装置が、前記分散鍵記憶装置と、通信範囲が前記家庭内のみである無線通信を行う場合であれば、当該個人情報の復元を当該家庭内に制限することができる。また、前記個人情報管理装置が、前記ユーザの携帯物に付加された前記分散鍵記憶装置と、通信範囲が前記1メートル程度の無線通信を行う場合であれば、前記個人情報管理装置による当該個人情報の復元を、前記ユーザが前記個人情報管理装置と前記携帯物とが1メートル程度の範囲内にあるように身につけている場合に制限することができる。
【0025】
本発明の集積回路は、個人情報を管理する集積回路であって、暗号化された前記個人情報を記憶している情報記憶手段と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第2分散鍵を記憶している分散鍵記憶手段と、前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認手段と、通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段とを備える。
【0026】
この構成によれば、秘密分散法による個人情報の復元を、前記集積回路と分散鍵記憶装置とが通信できる場合に制限することができる。
よって、前記分散鍵記憶装置が、前記集積回路のユーザの家庭内など特定の場所に固定され、前記集積回路が、前記分散鍵記憶装置と、通信範囲が前記家庭内のみである無線通信を行う場合であれば、当該個人情報の復元を当該家庭内に制限することができる。また、前記集積回路が、前記ユーザの携帯物に付加された前記分散鍵記憶装置と、通信範囲が前記1メートル程度の無線通信を行う場合であれば、前記集積回路による当該個人情報の復元を、前記ユーザが前記集積回路と前記携帯物とが1メートル程度の範囲内にあるように身につけている場合に制限することができる。
【図面の簡単な説明】
【0027】
【図1】本発明に係る個人情報管理システムの概略構成を示す図である。
【図2】モバイル機器のブロック図である。
【図3】暗号制御情報記憶部が記憶している暗号制御情報の例を示す図である。
【図4】個人情報記憶部が記憶している個人情報ファイルの例を示す図である。
【図5】分散鍵記憶部が記憶している鍵識別情報と分散鍵の例を示す図である。
【図6】ホーム機器の構成を示すブロック図である。
【図7】ICタグの構成を示すブロック図である。
【図8】個人情報記憶部に記憶されている個人情報の例を示す図である。
【図9】個人情報管理システムによる暗号化処理を示すフローチャートである。
【図10】個人情報管理システムによる復号処理を示すフローチャートである。
【図11】実施形態の変形例に係る個人情報管理システムの構成を示すブロック図である。
【図12】実施形態の変形例に係る個人情報管理システムの構成を示すブロック図である。
【図13】モバイル機器における、分散鍵、暗号化個人情報のバックアップの概念を示す図である。
【符号の説明】
【0028】
1 個人情報管理システム
20 モバイル機器
30 ホーム機器
40 ICタグ
41 無線通信部
42 格納部
42 記憶部
43 分散鍵記憶部
50 ICタグ
51 無線通信部
52 記憶部
53 分散鍵記憶部
60 ICタグ
61 無線通信部
62 記憶部
63 分散鍵記憶部
201 個人情報記憶部
202 鍵生成部
203 暗号部
204 鍵分散部
205 分散鍵記憶部
206 送受信部
207 鍵復元部
208 復号部
209 鍵削除制御部
210 リンク確認部
211 装置情報記憶部
212 タグ通信部
213 個人情報取得部
214 暗号制御情報記憶部
215 ユーザ入力取得部
216 制御部
217 表示部
301 送受信部
302 分散鍵記憶部
303 リンク確認部
304 装置情報記憶部
【発明を実施するための最良の形態】
【0029】
<概略>
本実施の形態に係る個人情報管理システム1は、モバイル機器に記憶されている個人情報の閲覧を当該モバイル機器のユーザの家庭内に制限し、また当該モバイル機器のユーザに制限して、前記個人情報を家庭外での閲覧或いは前記ユーザ以外による閲覧から保護するものであり、図1に示すように、モバイル機器20、ホーム機器30、メガネに付されたICタグ40、コートに付されたICタグ50、時計に付されたICタグ60とから成る。
【0030】
ホーム機器30は、無線LAN(Local Area Network)が敷設されている前記家庭内に配置されたパーソナルコンピュータである。
モバイル機器20は、デジタルカメラを備えたPDA(Personal Digital Assistant)であって、前記無線LANを介してホーム機器30と接続し、前記無線LANとは別系統の無線によりICタグ40〜ICタグ60のそれぞれと無線通信を行い、また、モバイル機器20のユーザのスケジュール、通信を行う電話番号や電子メールを含むアドレス帳、前記デジタルカメラを用いてユーザが撮影した画像といった個人情報を記憶する。
【0031】
個人情報の閲覧を前記ユーザの家庭内に制限するために、モバイル機器20は個人情報を暗号鍵を用いて暗号化し、前記暗号鍵を分散して2つの分散鍵を生成し、2つのうち1の分散鍵を保持し、他の分散鍵をホーム機器30に保持させる。但し、暗号鍵と復号鍵は同じ鍵であるとする。
モバイル機器20は、モバイル機器20とホーム機器30のそれぞれに保持されている2つの分散鍵を取得できる場合、すなわち、モバイル機器20とホーム機器30が前記家庭内にある場合に、2つの分散鍵から前記暗号鍵と同じ復号鍵を生成し、前記復号鍵を用いて前記個人情報を復号する。
【0032】
また、モバイル機器20は、個人情報の閲覧を前記ユーザのみに制限するために、個人情報を暗号鍵を用いて暗号化し、前記暗号鍵を分散して4つの分散鍵を生成し、4つのうち1の分散鍵を保持し、他の3つの分散鍵を前記ユーザの持ち物である前記メガネ、前記コート、前記時計のそれぞれに付されたICタグ30〜50に保持させる。
モバイル機器20は、自機が保持する分散鍵を含む4つの分散鍵のうち、例えば3つを取得できた場合に、3つの分散鍵から復号鍵を復元し、前記復号鍵を用いて前記個人情報を復号する。
<構成>
<モバイル機器20の構成>
モバイル機器20は、図2に示すように、個人情報記憶部201、鍵生成部202、暗号部203、鍵分散部204、分散鍵記憶部205、送受信部206、鍵復元部207、復号部208、鍵削除制御部209、リンク確認部210、装置情報記憶部211、ICタグ通信部212、個人情報取得部213、暗号制御情報記憶部214、ユーザ入力取得部215、制御部216、表示部217とから構成される。
【0033】
モバイル機器20は、具体的には、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、モバイル機器20は、その機能を達成する。
装置情報記憶部211は、ROMから構成され、モバイル機器20を識別する装置識別情報「DID_1」を記憶している。
【0034】
前記装置識別情報は、予め、モバイル機器20の出荷時に装置情報記憶部211に書き込まれている。
暗号制御情報記憶部214は、制御部216により書き込まれる、個人情報の暗号化のためのパラメータである暗号制御情報を記憶する。
暗号制御情報は、暗号制御情報を識別する番号である暗号制御情報番号と、暗号化に用いられる鍵の識別情報である鍵識別情報と、分散した暗号鍵を保持させる方法の種別である鍵分散種別と、暗号鍵を分散する場合の分散鍵の数である分散鍵数と、複数の分散鍵のうち、いくつ集まれば、暗号鍵を復元できるかを示す値である鍵閾値と、(前記分散鍵数−1)個の、分散鍵を保持させる装置を示す鍵格納先情報とを含む。
【0035】
前記鍵分散種別が、「1」の場合、無線LANを介して接続する装置に分散鍵を保持させることを示し、「2」の場合、ICタグに分散鍵を保持させることを示す。
本実施形態では、無線LANを介して接続する前記装置は、装置識別情報「DID_2」で識別されるホーム機器30である。
鍵格納先情報は、前記鍵分散種別が「1」の場合、無線LANを介して接続する装置の装置識別情報であり、「2」の場合、ICタグを識別するタグIDである。
【0036】
暗号制御情報記憶部214は、一例として、図3に示すように、2つの暗号制御情報である、暗号制御情報231と、暗号制御情報241とを記憶する。
暗号制御情報231は、暗号制御情報を識別する暗号制御情報番号「1」(232)と、鍵識別情報「KID_A」(233)と、鍵分散種別「1」(234)と、分散鍵数「2」(235)と、鍵閾値「2」(236)と、鍵格納先情報「DID_2」(237)とを含む。
【0037】
鍵格納先情報「DID_2」は、ホーム機器30を識別する装置識別情報であり、ホーム機器30中にも保持されている。
暗号制御情報241は、暗号制御情報を識別する暗号制御情報番号「2」(242)と、鍵識別情報「KID_B」(243)と、鍵分散種別「2」(244)と、分散鍵数「4」(245)と、鍵閾値「3」(246)と、鍵格納先情報「TID_1」(247)と、鍵格納先情報「TID_2」(248)と、鍵格納先情報「TID_3」(249)とを含む。
【0038】
鍵格納先情報「TID_1」は、ICタグ40を識別するタグIDであり、ICタグ40中にも保持されている。
同様に、鍵格納先情報「TID_2」は、ICタグ50を識別するタグIDであり、ICタグ50中にも保持され、鍵格納先情報「TID_3」は、ICタグ60を識別するタグIDであり、ICタグ60中にも保持されている。
【0039】
個人情報取得部213は、具体的には、デジタルカメラであり、制御部216から撮影指示を受信して画像の撮影を行い、当該撮影後に、撮影した画像の名前である個人情報名をランダムに生成し、当該個人情報名と、値が「0」であり暗号化無しを示す前記暗号制御情報番号と、当該画像とを含む個人情報ファイルを生成して個人情報記憶部201に書き込む。
【0040】
但し、個人情報取得部213は、前記個人情報記憶部201において、記憶されているものと重複しない個人情報名を生成する。
個人情報ファイル中の暗号制御情報番号は、当該個人情報ファイルと、暗号制御情報記憶部214に記憶される、同値の暗号制御情報番号を含む暗号制御情報とを対応づける。
鍵生成部202は、制御部216から、暗号制御情報番号を含む鍵生成指示を受信して、暗号鍵をランダムに生成し、生成した暗号鍵を暗号部203に送信し、当該暗号鍵と当該暗号制御情報番号とを鍵分散部204とに送信する。
【0041】
暗号部203は、制御部216から、個人情報名を受信し、また、鍵生成部202から、暗号鍵を受信する。
暗号部203は、受信した個人情報名により識別される個人情報を、個人情報記憶部201から読み出して、読み出した個人情報に対し、受信した暗号鍵を用いて暗号アルゴリズムE1を施すことにより暗号化個人情報を生成し、個人情報記憶部201に記憶されている、当該個人情報名に対応する個人情報に当該暗号化個人情報を上書きする。
【0042】
個人情報記憶部201は、具体的には、不揮発性のメモリであり、個人情報ファイルを記憶する。
一例として、個人情報記憶部201は、図4に示す個人情報ファイル251〜253を記憶する。
個人情報ファイル251は、個人情報名「″写真001.JPG″」(261)と、暗号制御識別番号「1」(262)と、個人情報「E1(画像データ001,KEY_A)」(263)とを含む。
【0043】
ここで、E1(データ,鍵)の記載は、当該鍵を用いて当該データに暗号化アルゴリズムE1を施して生成された暗号化データを表している。
個人情報ファイル252は、個人情報名「″アドレス帳.TXT″」(264)と、暗号制御識別番号「1」(265)と、個人情報「E1(テキスト002,KEY_A)」(266)とを含む。
【0044】
個人情報ファイル253は、個人情報名「″写真003.JPG″」(267)と、暗号制御識別番号「2」(268)と、個人情報「画像データ003」(269)とを含む。
前記不揮発性のメモリは、モバイル機器20から取り外すのは難しいものとする。
鍵分散部204は、鍵生成部202から暗号鍵と、暗号制御情報番号とを受信し、受信した暗号鍵を後述するようにn(nは自然数)個の分散鍵に分散させる。
【0045】
鍵分散は、非特許文献1に開示されているシャミアの閾値秘密分散法に基づき行う。
この方法は、暗号鍵Sをy切片とするk−1次曲線上のk個の点を分散鍵とするものである。任意の分散鍵がk個集まることにより、k−1次曲線を特定することができ、そのy切片である暗号鍵Sを求めることができる。
例えばkが2の場合、2個の分散鍵が分かっていれば、2個の分散鍵である2点を通る1次曲線(=直線)が定まり、そのy切片である暗号鍵も判明する。
【0046】
しかし分散鍵が1個分かっているだけでは、直線が定まらず、暗号鍵Sも求められない。詳しくは非特許文献1に記載されている。また、k−1次曲線上の、kより大きい値であるn(nは自然数)個の点を、分散鍵とする場合には、n個の分散鍵の内のk個が判明すれば、y切片である暗号鍵を求めることができる。
鍵分散部204は、以下のステップにより分散鍵を生成する。
(1)受信した暗号鍵(S)に対し、p>max(S,n)である素数pを選択する。max(S,n)は、Sとnとのうち大きいものを示す。
(2)a0=Sとし、(k−1)個の独立した係数a1,...,ak−1(0≦aj≦p−1)をランダムに選択する。ただし、ak−1≠0とする。
(3)多項式f(x)=a0x0+a1x1+...+ak−1xk−1について、Si=f(i)mod p(1≦i≦n)を計算し、iとSiの組(i,Si)が分散鍵となる。
【0047】
nは、暗号制御情報記憶部214に記憶されている受信した前記暗号制御情報番号に対応する暗号制御情報内の分散鍵数であり、kは、前記暗号制御情報内の鍵閾値である。
鍵分散部204は、鍵生成部202から暗号鍵を受信し、生成したn個の分散鍵のうち、1の分散鍵を、暗号制御情報内の鍵識別情報と対応づけて分散鍵記憶部205に記憶させる。
【0048】
例えば、受信した暗号制御情報番号が「1」である場合には、鍵分散部204は、値が「1」である暗号制御情報番号232を含む暗号制御情報231を参照し、nとして分散鍵数235の値である「2」、kとして鍵閾値236の値である「2」を取得する。
鍵分散部204は、前記暗号鍵に基づき、2個の分散鍵「KEY_A1」と「KEY_A2」とを生成し、「KEY_A2」を、暗号制御情報231に含まれる鍵識別情報「KID_A」(233)と共に分散鍵記憶部205に送信する。
ここで、KEY_A1は、上述の(1,S1)であり、KEY_A2は、上述の(2,S2)である。次に、「KEY_A1」と、暗号制御情報231に含まれる鍵格納先情報「DID_2」(237)と、暗号制御情報231に含まれる鍵識別情報「KID_A」(233)とを含む送信指示を、暗号制御情報231に含まれる鍵分散種別「1」(234)により示される無線LANを用いて送出するため、送受信部206に送信する。
【0049】
また、受信した暗号制御情報番号が「2」である場合には、鍵分散部204は、値が「2」である暗号制御情報番号242を含む暗号制御情報241を参照し、nとして分散鍵数245の値である「4」、kとして鍵閾値246の値である「3」を取得する。
鍵分散部204は、暗号鍵に基づき、4個の分散鍵「KEY_B1」と「KEY_B2」「KEY_B3」「KEY_B4」を生成し、「KEY_B4」を、暗号制御情報241に含まれる鍵識別情報「KID_B」(243)と共に分散鍵記憶部205に記憶させる。
【0050】
次に、「KEY_B1」と、暗号制御情報241に含まれる鍵格納先情報「TID_1」(247)と暗号制御情報241に含まれる鍵識別情報「KID_B」(243)とを含む送信指示を、暗号制御情報241に含まれる鍵分散種別「2」(244)により示されるICタグへの無線通信を用いて行うため、ICタグ通信部212に送信する。
鍵分散部204は、「KEY_B2」と「TID_2」と「KID_B」とを含む送信指示をICタグ通信部212へ送信し、「KEY_B3」と「TID_3」と「KID_B」とを含む送信指示をICタグ通信部212へ送信する。
【0051】
分散鍵記憶部205は、不揮発性のメモリであり、鍵分散部204により書き込まれる、鍵識別情報と、分散鍵とを対応づけて記憶する。
また、分散鍵記憶部205は、送受信部206を介して、外部の装置から取得する鍵識別情報と、分散鍵とを対応づけて記憶する。
分散鍵記憶部205は、一例として、図5に示すように、鍵識別情報「KID_A」(281)と分散鍵「KEY_A2」(282)とを対応づけて記憶し、鍵識別情報「KID_B」(283)と分散鍵「KEY_B4」(284)とを対応づけて記憶する。
【0052】
ICタグ通信部212は、鍵分散部204から、分散鍵と、鍵格納先情報と、鍵識別情報とを含む送信指示を受信し、鍵格納先情報で識別されるICタグに対し、無線通信を用いて、鍵識別情報と、分散鍵とを送信する。
また、鍵復元部207から、鍵格納先情報を含む読出指示を受信し、無線通信を用いて、鍵格納先情報で識別されるICタグから、当該ICタグに記憶されている鍵識別情報と分散鍵との読み出しを試みる。
【0053】
読み出せた場合、ICタグ通信部212は、読み出した鍵識別情報と分散鍵とを、鍵復元部207に送信し、読み出せなかった場合、ICタグ通信部212は、鍵識別情報と、エラーを示す値が「0」分散鍵とを、鍵復元部207に送信する。
また、リンク確認部210から、鍵格納先情報を含む読出要求を受信した場合、鍵格納先情報により識別されるICタグから、タグIDの読み出しを試みる。
【0054】
タグIDが読み出せた場合、当該読み出したタグIDを含む読出応答を、リンク確認部210に送信し、タグIDが読み出せなかった場合、タグIDとして値「0」を含む読出応答を、リンク確認部210に送信する。
送受信部206は、鍵分散部204から、分散鍵と、鍵格納先情報と、鍵識別情報とを含む送信指示を受信し、鍵格納先情報で識別される装置に対し、無線LANを用いて、鍵格納先情報と、鍵識別情報と、分散鍵とを送信する。
【0055】
また、送受信部206は、鍵復元部207から、鍵格納先情報を含む読出指示を受信し、無線LANを用いて、鍵格納先情報で識別される装置に対し、当該鍵格納先情報と鍵識別情報とを含む分散鍵読出指示を送信する。
前記分散鍵読出指示に対する応答として、前記装置から、鍵格納先情報と、鍵識別情報と、分散鍵とを含む分散鍵読出応答を受信できた場合、送受信部206は、前記分散鍵読出応答に含まれる鍵識別情報と分散鍵とを、鍵復元部207に送信する。
【0056】
前記分散鍵読出応答が受信できなかった場合、送受信部206は、鍵識別情報と、値が「0」である分散鍵とを、鍵復元部207に送信する。
リンク確認部210は、制御部216から、鍵分散種別と、鍵格納先情報を含むリンク確認指示を受信し、受信した鍵格納先情報に示される装置との間で、リンクの確立を確認する。
【0057】
鍵分散種別がホーム機器30を示している場合、リンク確認部210は、装置情報記憶部211から装置識別情報「DID_1」を読み出し、送受信部206を介して、ホーム機器30に対し、装置識別情報「DID_1」を含む応答要求パケットを送付し、送付した応答要求パケットに対する返答パケットがホーム機器30から戻ってくるまでの時間を計測し、計測した時間が所定の時間内(例えば1秒以内)であれば、リンクが確立されていると判断し、モバイル機器20が、ホーム機器30と同じ家庭内にあることが分かる。
【0058】
また、鍵格納先情報がICタグを示している場合、リンク確認部210は、当該鍵格納先情報を含む読出要求をICタグ通信部212に送信する。
前記読出要求に対する応答として、リンク確認部210は、ICタグ通信部212から、読出応答を受信する。
前記読出応答が、鍵格納先情報と同じタグIDを含む場合、リンクが確立していると判断し、鍵格納先情報と同じタグIDを含まない場合、リンクが確立していないと判断する。
【0059】
ユーザ入力取得部215は電源キー、暗号制御情報入力開始キー、暗号制御情報入力終了キー、カメラ撮影キー、メニューキー、テンキー、アルファベットキー、選択キー、カーソル移動キーなどの各種キーを備えており、ユーザによるキー操作を検出し、検出したキー操作に対応する情報を制御部216へ出力する。
例えば、前記ユーザは、暗号制御情報入力開始キーを押下した後、鍵分散種別について「1」を入力し、分散鍵数について「2」を入力し、鍵閾値について「2」を入力し、鍵格納先情報について「DID_2」を入力し、暗号制御情報入力終了キーを押下する。
【0060】
ユーザ入力取得部215は、前記入力に従って、暗号制御情報入力開始指示、鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報、暗号制御入力終了指示を順に、制御部216に送信する。
ユーザ入力取得部215は、前記カメラ撮影キーの押下を検出した場合、カメラ撮影指示を制御部216に送信する。
【0061】
ユーザ入力取得部215は、暗号制御情報番号の入力を受け付け、制御部216に送信する。
ユーザ入力取得部215は、ユーザのキー操作により、復号すべき個人情報に関する個人情報名の入力を受け付け、当該個人情報名を制御部216に送信する。
鍵削除制御部209は、鍵生成部202、鍵分散部204、暗号部203に残存する暗号鍵の削除、鍵分散部204内に残存する分散鍵の削除、鍵復元部207内に残存する復号鍵、分散鍵の削除、復号部208内に残存する復号鍵の削除を行う。
【0062】
鍵削除制御部209は、鍵識別情報を鍵分散部204から受信し、鍵生成部202、鍵分散部204内に残存する暗号鍵を消去し、鍵分散部204内に残存する分散鍵を消去する。
また、リンク確認部210に対し、定期的に、リンク確認要求を送信し、リンクが出来た数が、鍵閾値未満になったときに、暗号部203から、暗号鍵を消去し、表示部217に対し、表示している個人情報の表示を停止するよう指示する。
【0063】
鍵復元部207は、制御部216から、復号すべき個人情報を示す個人情報名を受信する。
鍵復元部207は、個人情報名を含む個人情報ファイルを個人情報記憶部201から取得し、取得した個人情報ファイルから暗号制御情報番号を抽出する。
次に、鍵復元部207は、抽出した暗号制御情報番号で識別される暗号制御情報を、暗号制御情報記憶部214から読み出す。
【0064】
鍵復元部207は、読み出した暗号制御情報に含まれる、(分散鍵数−1)個の鍵格納先情報で示される装置それぞれから、分散鍵の取得を試みて、分散鍵記憶部205に記憶されている分散鍵を含めて鍵閾値以上の分散鍵の取得に成功した場合に、取得した分散鍵から復号鍵を復元し、復元した復号鍵と、前記個人情報名とを、復号部208に送信する。
【0065】
例えば、前記暗号制御情報番号が「1」である場合には、鍵復元部207は、鍵識別情報「KID_A」(233)、鍵格納先情報「DID_2」(237)を含む分散鍵読出指示を送受信部206に送信する。
鍵復元部207は、前記分散鍵読出指示に対する、鍵識別情報「KID_A」(233)と、鍵格納先情報「DID_2」(237)と、分散鍵とを含む分散鍵読出応答を送受信部206から受信する。
【0066】
但し、送受信部206において、ホーム機器30から、分散鍵「KEY_A1」を受信できなかった場合、鍵復元部207が送受信部206から受信する分散鍵は(0,0)となっている。
鍵復元部207が、(0,0)でない、分散鍵を送受信部206から受信した場合、鍵復元部207は、鍵識別情報「KID_A」に対応する分散鍵を分散鍵記憶部205から読み出し、暗号制御情報231に含まれる鍵閾値236の値である「2」個以上の分散鍵を取得できたので、ホーム機器30から取得した分散鍵「KEY_A1」と、分散鍵記憶部205から読み出す分散鍵「KEY_A2」とを用いて、復号鍵「KEY_A」を生成し、生成した復号鍵と、前記個人情報名とを、復号部208に送信する。
【0067】
同様に、例えば、前記暗号制御情報番号が「2」である場合には、鍵復元部207は、鍵識別情報「KID_B」(243)、鍵格納先情報「TID_1」(247)を含む分散鍵読出指示をICタグ通信部212に送信する。
鍵復元部207は、前記分散鍵読出指示に対する、鍵識別情報「KID_B」(243)と、鍵格納先情報「TID_1」(247)と、分散鍵「KEY_B1」とを含む分散鍵読出応答をICタグ通信部212から受信する。
【0068】
但し、ICタグ通信部212において、タグIDが「TID_1」であるICタグ40から、分散鍵を受信できなかった場合、鍵復元部207が受信する分散鍵は「KEY_B1」ではなく(0,0)となっているので、鍵復元部207は、(0,0)でない分散鍵を受信した場合に、受信した分散鍵を保持しておく。
同様に、鍵復元部207は、鍵識別情報「KID_B」(243)、鍵格納先情報「TID_2」(248)を含む分散鍵読出指示をICタグ通信部212に送信し、前記分散鍵読出指示に対する応答として、「KID_B」と、「TID_2」と、分散鍵「KEY_B2」とを含む分散鍵読出応答をICタグ通信部212から受信する。
【0069】
但し、ICタグ通信部212において、分散鍵を受信できなかった場合、鍵復元部207が受信する分散鍵は「KEY_B2」ではなく(0,0)となっているので、鍵復元部207は、(0,0)でない分散鍵を受信した場合に、受信した分散鍵を保持しておく。
同様に、鍵復元部207は、鍵識別情報「KID_B」(243)、鍵格納先情報「TID_3」(249)を含む分散鍵読出指示をICタグ通信部212に送信し、前記分散鍵読出指示に対する応答として、「KID_B」と、「TID_3」と、分散鍵「KEY_B3」とを含む分散鍵読出応答をICタグ通信部212から受信する。
【0070】
但し、ICタグ通信部212において、分散鍵を受信できなかった場合、鍵復元部207が受信する分散鍵は「KEY_B3」ではなく(0,0)となっているので、鍵復元部207は、(0,0)でない分散鍵を受信した場合に、受信した分散鍵を保持しておく。
鍵復元部207は、分散鍵記憶部205から、鍵識別情報「KID_B」に対応する分散鍵「KEY_B4」を読み出す。
【0071】
鍵復元部207は、暗号制御情報241に含まれる鍵閾値246の値である「3」個以上の、分散鍵を取得できた場合に、「KEY_B1」「KEY_B2」「KEY_B3」「KEY_B4」のうち、取得できた分散鍵のうち3個の分散鍵を用いて、「KEY_B」を生成し、生成した復号鍵と、前記個人情報名とを、復号部208に送信する。
ここで、鍵復元部207は、具体的には、ラグランジェ補間法を用いて、復号鍵を生成する。ラグランジェ補間法は一般に広く用いられているので、詳細な説明は省略する。
【0072】
鍵復元部207は、鍵分散部204により生成されたn個の分散鍵(i,Si)(1≦i≦n)のうちの、取得できたk個の分散鍵である(xj,fj)(1≦j≦k)について、k個の座標点の全てを通るk−1次の補間曲線
P(x)=f1(g1(x)/g1(x1))+・・・fk(gk(x)/gk(xn))mod p
(但し、gj(x)=L(x)/(x−xj)(1≦j≦k)、
L(x)=(x−x1)(x−x2)・・・(x−xk)とする)
に基づいて、復号鍵P(0)を演算する。
【0073】
復号部208は、鍵復元部207から、個人情報名と、復号鍵とを受信する。
復号部208は、受信した個人情報名により識別される暗号化個人情報を、個人情報記憶部201から読み出して、読み出した暗号化個人情報に対し、受信した復号鍵を用いて復号アルゴリズムD1を施すことにより個人情報を生成し、個人情報記憶部201に記憶されている、当該個人情報名に対応する暗号化個人情報に当該個人情報を上書きする。
【0074】
ここで、復号アルゴリズムD1は、暗号アルゴリズムE1により生成された暗号文を復号するアルゴリズムであり、暗号アルゴリズムE1に使用される暗号鍵と、復号アルゴリズムD1で使用される復号鍵は同じ鍵であるとする。
制御部216は、モバイル機器20の全体動作を制御する。
制御部216が実行する制御について、鍵生成前制御、暗号化制御、復号制御に分けて説明する。
(鍵生成前制御)
制御部216は、ユーザ入力取得部215から、暗号制御情報入力開始指示、鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報、暗号制御入力終了指示を受信し、暗号制御情報番号と、鍵識別情報とをモバイル機器20内で唯一となるように生成し、生成した暗号制御情報番号、鍵識別情報と、受信した鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報とを含む暗号制御情報を生成して、暗号制御情報記憶部214に記憶させる。
【0075】
制御部216は、ユーザ入力取得部215からカメラ撮影指示を受信した場合、個人情報取得部213に対し撮影指示を送信し、個人情報取得部213により、撮影された画像と、暗号化されていないことを示す値が「0」である暗号制御情報番号を含む個人情報ファイルが生成された後に、ユーザ入力取得部215から暗号制御情報番号を受信し、個人情報ファイル中の値が「0」である暗号制御情報番号を、受信した暗号制御情報番号で書き換える。
(暗号化制御)
制御部216は、暗号制御情報番号が「0」以外であり、暗号化されていない個人情報を含む個人情報ファイルが、個人情報記憶部201に記憶されているか否かを判定し、該当する個人情報ファイルを個人情報記憶部201から読み出し、個人情報名を暗号部203に送信する。
【0076】
制御部216は、読み出した個人情報ファイルに含まれる暗号制御情報番号で示される暗号制御情報を、暗号制御情報記憶部214から読み出す。
制御部216は、読み出した前記暗号制御情報に含まれる、(分散鍵数−1)個の各鍵格納先情報について、鍵分散種別と、鍵格納先情報とを含むリンク確認指示をリンク確認部210に送信する。
【0077】
リンク確認部210により、全ての鍵格納先情報で識別される装置とのリンクの確立ができた場合に、制御部216は、鍵生成部202に、鍵制御情報番号を含む鍵生成指示を送信する。制御部216が、鍵生成部202に前記鍵生成指示を送信することがトリガとなり、前記個人情報が、暗号部203において暗号化されることとなる。
(復号制御)
制御部216は、ユーザ入力取得部215から、復号すべき個人情報に関する個人情報名を受信して、当該個人情報名を復号部208に送信し、また、前記個人情報名を含む個人情報ファイルを個人情報記憶部201から読み出して、当該個人情報ファイルに含まれる暗号制御情報番号を抽出し、当該暗号制御情報番号を鍵復元部207に送信する。制御部216が、前記暗号制御情報番号を鍵復元部207に送信することがトリガとなり、暗号化された個人情報が、復号部208において復号されることとなる。
【0078】
表示部217は、文字、画像、動画等を表示するディスプレイである。
<ホーム機器30の構成>
ホーム機器30は、図6に示すように、送受信部301、分散鍵記憶部302、リンク確認部303、装置情報記憶部304とから構成される。
ホーム機器30は、具体的には、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、ホーム機器30は、その機能を達成する。
【0079】
送受信部301は、無線LANを用いて、モバイル機器20との通信を行う。
送受信部301は、モバイル機器20から、鍵格納先情報である装置識別情報と、鍵識別情報と、分散鍵とを受信し、受信した鍵識別情報と、分散鍵とを対応づけて、分散鍵記憶部302に記憶させる。
また、送受信部301は、モバイル機器20から、鍵格納先情報である装置識別情報と、鍵識別情報を含む分散鍵読出指示を受信する。
【0080】
送受信部301は、前記読出指示を受信した場合、前記読出指示に含まれる鍵識別情報に対応する分散鍵を分散鍵記憶部302から読み出し、装置情報記憶部304から、装置識別情報「DID_2」を読み出し、読み出した装置識別情報と、鍵識別情報と、分散鍵とを含む分散鍵読出応答を送信する。
分散鍵記憶部302は、送受信部301により書き込まれる鍵識別情報と、分散鍵とを対応づけて記憶する。
【0081】
リンク確認部303は、送受信部301を介して、モバイル機器20から、モバイル機器20を識別する装置識別情報「DID_1」を含む応答要求パケットを受信し、装置情報記憶部304から装置識別情報「DID_2」を読み出し、前記装置識別情報「DID_1」で識別されるモバイル機器20に対し、装置識別情報「DID_2」を含む返答パケットを送信する。
【0082】
装置情報記憶部304は、ROMから構成され、ホーム機器30を識別する装置識別情報「DID_2」を記憶している。
前記装置識別情報は、予め、ホーム機器30の出荷時に装置情報記憶部304に書き込まれている。
<ICタグ40、ICタグ50、ICタグ60の構成>
ICタグ40は、図7に示すように、無線通信部41、タグID記憶部42、分散鍵記憶部43とから構成される。
【0083】
無線通信部41は、無線通信により、モバイル機器20との通信を行う。
タグID記憶部42は、ROMから構成され、ICタグ40を識別するタグID「TID_1」(45)を記憶している。前記タグIDは、予め、ICタグ40の出荷時にタグID記憶部42に書き込まれている。
タグID記憶部42は、モバイル機器20により、無線通信部41を介して、タグID「TID_1」(45)を読み出される。
【0084】
分散鍵記憶部43は、無線通信部41を介して、モバイル機器20により書き込まれる鍵識別情報と、分散鍵とを記憶する。一例として、分散鍵記憶部43は、図7に示すように、鍵識別情報「KID_B」(46)と、分散鍵「KEY_B1」(47)とを対応づけて、記憶する。
ICタグ50は、図7に示すように、ICタグ40と同様の構成を備え、無線通信部51、タグID記憶部52、分散鍵記憶部53とから構成され、タグID記憶部52は、タグID「TID_2」(55)を記憶し、分散鍵記憶部53は、一例として鍵識別情報「KID_B」(56)と、分散鍵「KEY_B2」(57)とを対応づけて、記憶する。
【0085】
ICタグ60は、図7に示すように、ICタグ40と同様の構成を備え、無線通信部61、タグID記憶部62、分散鍵記憶部63とから構成され、タグID記憶部62は、タグID「TID_3」(65)を記憶し、分散鍵記憶部63は、一例として鍵識別情報「KID_B」(66)と、分散鍵「KEY_B3」(67)とを対応づけて、記憶する。
ICタグ50及び60については、その他の説明は、ICタグ40に対する説明と重複するので、説明を省略する。
<動作>
個人情報管理システム1の動作について、復号鍵を生成する鍵生成前処理、個人情報を暗号化する暗号化処理、暗号化された個人情報の復号処理に分けて説明する。
<鍵生成前処理>
モバイル機器20のユーザは、ユーザ入力取得部215が備えるキーを用いて、暗号制御情報の入力を行う。
【0086】
例えば、前記ユーザは、暗号制御情報入力開始キーを押下した後、鍵分散種別について「1」を入力し、分散鍵数について「2」を入力し、鍵閾値について「2」を入力し、鍵格納先情報について「DID_2」を入力し、暗号制御情報入力終了キーを押下する。
ユーザ入力取得部215は、暗号制御情報について入力された鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報を、制御部216へと送信する。
【0087】
制御部216は、ユーザ入力取得部215から鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報を受信し、暗号制御情報番号と、鍵識別情報とをランダムに生成して、既に図3に示したような、鍵分散種別、分散鍵数、鍵閾値、鍵格納先情報と、生成した前記暗号制御情報番号と、生成した前記鍵識別情報とを含む暗号制御情報を生成して、暗号制御情報記憶部214に記憶させる。
【0088】
モバイル機器20の前記ユーザは、前記家庭外で、ユーザ入力取得部215が備えるカメラ撮影ボタンを押下する。
ユーザ入力取得部215は、前記カメラ撮影キーの押下を検出し、制御部216に対しカメラ撮影指示を送信する。
制御部216は、撮影指示を個人情報取得部213に送信する。
【0089】
個人情報取得部213は、制御部216から前記撮影指示を受信して画像の撮影を行い、撮影した画像の名前である個人情報名をランダムに生成し、当該個人情報名と、値が「0」であり暗号化無しを示す前記暗号制御情報番号と、当該画像とを含む個人情報ファイルを生成して個人情報記憶部201に書き込む。
前記画像の撮影後、前記ユーザは、前記撮影された画像に対し暗号化を希望する場合に、ユーザ入力取得部215が備えるキーを用いて、暗号制御情報番号を入力する。
【0090】
ユーザ入力取得部215は、前記暗号制御情報番号を制御部216に送信する。
制御部216は、ユーザ入力取得部215から前記暗号制御情報番号を受信し、個人情報取得部213により生成された個人情報ファイルの暗号制御情報番号を、「0」から受信した前記暗号制御情報番号に書き換える。
ここで、制御部216は、ユーザ入力取得部215から暗号制御情報番号を受信せずに、個人情報取得部213により生成された個人情報ファイルの暗号制御情報番号を、「0」から、予め制御部216が保持する暗号制御情報番号に書き換えることもできる。制御部216は、ユーザ入力取得部215から前記暗号制御情報番号を受信するか否かは、ユーザが予め選択する。
【0091】
以上の鍵生成前処理により、暗号制御情報記憶部214には、図3に示す暗号制御情報が記憶され、個人情報記憶部201には、図8に示すような個人情報ファイル291、個人情報ファイル295が記憶されるものとする。
個人情報ファイル291は、画像データ001(294)、画像データ001(294)を識別する個人情報名「写真001.JPG」(292)、画像データ001(294)の暗号化に関する暗号制御情報番号「1」(293)を含み、個人情報ファイル295は、画像データ002(298)、画像データ002(298)を識別する個人情報名「写真002.JPG」(296)、画像データ002(298)の暗号化に関する暗号制御情報番号「2」(297)を含む。
<暗号化処理>
前記鍵生成前処理で生成された個人情報に関する暗号鍵の生成、暗号化の動作について、図9を用いて、説明する。
【0092】
モバイル機器20において、制御部216は、暗号制御情報番号が「0」以外であり、暗号化されていない個人情報を含む個人情報ファイルが、個人情報記憶部201に記憶されているか否かを判定する(ステップS101)。
ステップS101により、該当する個人情報ファイルが記憶されていないと判定した場合(ステップS101:NO)、ステップS101を繰り返す。
【0093】
ステップS101により、該当する個人情報ファイルが記憶されていると判定した場合(ステップS101:YES)、制御部216は、該当する個人情報ファイルを個人情報記憶部201から読み出す(ステップS102)。
制御部216は、読み出した個人情報ファイル中の個人情報名を暗号部203に送信する(ステップS103)。
【0094】
制御部216は、読み出した個人情報ファイルに含まれる暗号制御情報番号で示される暗号制御情報を、暗号制御情報記憶部214から読み出す(ステップS104)。
制御部216は、内部のカウンタ値であるiを1で初期化する(ステップS105)
制御部216は、読み出した前記暗号制御情報に含まれる、鍵分散種別と、i番目の鍵格納先情報とを含むリンク確認指示をリンク確認部210に送信する。
【0095】
リンク確認部210は、i番目の鍵格納先情報で識別される装置と、上述したように、リンク確立を試みる(ステップS106)。
リンク確立が失敗した場合(ステップS107:NO)、ステップS101に戻る。
リンク確立が成功した場合(ステップS107:YES)、内部カウンタ値iを1インクリメントする(ステップS108)。
【0096】
制御部216は、内部カウンタ値iが、(暗号制御情報に含まれる分散鍵数−1)より大きいか否かを判定する(ステップS109)。
iが(暗号制御情報に含まれる分散鍵数−1)以下の場合(ステップS109:NO)、ステップS106に移行する。
iが(暗号制御情報に含まれる分散鍵数−1)より大きい場合(ステップS109:YES)、制御部216は、鍵生成部202に、鍵制御情報番号を含む鍵生成指示を送信する。
【0097】
鍵生成部202は、前記鍵生成指示を受信し、暗号鍵をランダムに生成し(ステップS110)、前記暗号制御情報番号と、生成した暗号鍵とを鍵分散部204に送信し、当該暗号鍵を暗号部203にも送信する。
暗号部203は、暗号鍵を暗号部203から受信し、前記個人情報名に対応する個人情報ファイルを個人情報記憶部201から読み出して、個人情報ファイルから暗号化すべき個人情報を抽出する。
【0098】
暗号部203は、受信した暗号鍵を用いて、前記個人情報を暗号化して、暗号化個人情報を生成し、個人情報記憶部201に記憶されている前記個人情報名に対応する個人情報ファイル中の個人情報を、当該暗号化個人情報に置き換える(ステップS111)
鍵分散部204は、鍵生成部202から前記暗号制御情報番号と、前記暗号鍵とを受信し、受信した暗号制御情報番号で識別される暗号制御情報を、暗号制御情報記憶部214から読み出す。
【0099】
鍵分散部204は、前記暗号鍵を、読み出した暗号制御情報に含まれる分散鍵数に分散する(ステップS112)。
鍵分散部204は、内部カウンタ値jを、値「1」で初期化する(ステップS113)。
鍵分散部204は、前記暗号制御情報に含まれるj番目の鍵格納先情報と、鍵識別情報と、当該装置に記憶させる分散鍵とを含む送信指示を、前記暗号制御情報に含まれる鍵分散種別に対応する通信部に送信する。
【0100】
ここで、前記通信部は、前記鍵分散種別が「1」である場合は、送受信部206であり、送受信部206は、鍵識別情報と、分散鍵とを、j番目の鍵格納先情報で示される装置に送信する(ステップS114)。
ホーム機器30の送受信部301は、鍵識別情報と、分散鍵とを受信し、受信した鍵識別情報と、分散鍵とを対応づけて、分散鍵記憶部302に記憶させる(ステップS115)。
【0101】
また、前記鍵分散種別が「2」である場合、前記通信部はICタグ通信部212であり、ICタグ通信部212は、鍵識別情報と、分散鍵とを、j番目の鍵格納先情報で示されるICタグに送信する。
j番目の鍵格納先情報で示されるICタグの無線通信部は、鍵識別情報と、分散鍵とを受信し、受信した鍵識別情報と、分散鍵とを対応づけて、当該ICタグの分散鍵記憶部に記憶させる。
【0102】
鍵分散部204は、内部カウンタ値jを1インクリメントする(ステップS116)。
鍵分散部204は、jが、(暗号制御情報に含まれる分散鍵数−1)より大きいか否かを判定する(ステップS117)。
jが(暗号制御情報に含まれる分散鍵数−1)以下である場合、ステップS114に移行する。
【0103】
jが(暗号制御情報に含まれる分散鍵数−1)より大きい場合、鍵分散部204は、鍵識別情報と、自機で記憶すべき分散鍵とを対応づけて、分散鍵記憶部205に記憶させ(ステップS118)、鍵削除制御部209に対し、暗号制御情報番号を含む鍵削除指示を送信する。
鍵分散部204は、鍵識別情報と、自機で記憶すべき分散鍵とを対応づけて、分散鍵記憶部205に記憶させる。
【0104】
鍵削除制御部209は、鍵識別情報を、鍵分散部204から受信し、鍵生成部202、鍵分散部204内に残存する暗号鍵を消去する(ステップS119)。
鍵削除制御部209は、鍵分散部204内に残存する分散鍵を消去する(ステップS120)
ここで、個人情報ファイル291中の画像データ001(294)を暗号化する場合を例に、上述のステップ101〜120のうち主要な動作について補足説明する。
(ステップS101、S102)図8に示す個人情報記憶部201には、暗号制御情報番号が「1」であり、暗号化されていない個人情報である画像データ001(294)を含む個人情報ファイル291が記憶されているので、制御部216は、該当する個人情報ファイル291が記憶されていると判定し、個人情報ファイル291を、個人情報記憶部201から読み出す。
(ステップS103)制御部216は、個人情報ファイル291に含まれる個人情報名である「写真001.JPG」(292)を、暗号部203に送信する。
(ステップS104)制御部216は、暗号制御情報番号が「1」である暗号制御情報231を暗号制御情報記憶部214から読み出す。
(ステップS106)制御部216は、鍵分散種別「1」、1番目の鍵格納先情報である「DID_2」とを含むリンク確認指示をリンク確認部210に送信する。リンク確認部210は、「DID_2」で識別されるホーム機器30との間でリンク確立を試みる。ここでリンクが確立されたものとする。
(ステップS110)鍵生成部202は、暗号鍵「KEY_A」を生成し(ステップS110)、前記暗号制御情報番号「1」と、生成した暗号鍵「KEY_A」とを鍵分散部204に送信し、暗号鍵「KEY_A」を暗号部203にも送信する。
(ステップS111)暗号部203は、暗号鍵「KEY_A」を暗号部203から受信し、前記個人情報名「写真001.JPG」に対応する個人情報ファイル291を個人情報記憶部201から読み出して、個人情報ファイルから暗号化すべき個人情報である画像データ001(294)を抽出し、暗号鍵「KEY_A」を用いて、画像データ001(294)を暗号化して、暗号化個人情報であるE1(画像データ001,KEY_A)を生成し、個人情報記憶部201に記憶されている個人情報ファイル291の画像データ001を、E1(画像001,KEY_A)で置き換える。
(ステップS112)鍵分散部204は、鍵生成部202から前記暗号制御情報番号「1」と、暗号鍵「KEY_A」とを受信し、暗号制御情報番号「1」で識別される暗号制御情報231を、暗号制御情報記憶部214から読み出す。
【0105】
鍵分散部204は、暗号鍵「KEY_A」を、「KEY_A1」と「KEY_A2」の、暗号制御情報231に含まれる分散鍵数(235)である2個の分散鍵に分散する。
(ステップS114)鍵分散部204は、暗号制御情報231に含まれる1番目の鍵格納先情報「DID_2」と、鍵識別情報「KID_A」と、当該装置に記憶させる分散鍵「KEY_A1」とを含む送信指示を、送受信部206に送信する。
(ステップS115)鍵格納先情報「DID_2」で識別されるホーム機器30の送受信部301は、鍵識別情報と、分散鍵とを受信し、受信した鍵識別情報と、分散鍵とを対応づけて、分散鍵記憶部302に記憶させる。
(ステップS118)鍵分散部204は、鍵識別情報「KID_A」と、分散鍵「KEY_A2」とを対応づけて、分散鍵記憶部205に記憶させる。
<復号処理>
暗号化された個人情報の復号処理について、図10を用いて説明する。
【0106】
モバイル機器20の前記ユーザは、ユーザ入力取得部215が備えるキーを用いて、閲覧したい個人情報の個人情報名の入力を行う。
ユーザ入力取得部215は、入力された前記個人情報名を制御部216に送信する。
制御部216は、ユーザ入力取得部215から、前記個人情報名を受信する。
制御部216は、復号部208に前記個人情報名を送信する(ステップS131)。
【0107】
制御部216は、復号を要するデータの個人情報名を含む個人情報ファイルを個人情報記憶部201から読み出して、当該個人情報ファイルに含まれる暗号制御情報番号を抽出する(ステップS132)。
制御部216は、抽出した暗号制御情報番号を鍵復元部207に送信する(ステップS133)。
【0108】
鍵復元部207は、前記暗号制御情報番号を受信し、当該暗号制御情報番号を含む暗号制御情報を暗号制御情報記憶部214から読み出す(ステップS134)。
鍵復元部207は、内部カウンタ値i、jをそれぞれ値「1」で初期化する(ステップS135)。
鍵復元部207は、iが分散鍵数より大きいか否かを判定する(ステップS136)。
【0109】
iが分散鍵数より大きい場合(ステップS136:YES)、処理を終了する。
iが分散鍵数以下である場合(ステップS136:NO)、鍵復元部207はリンク確認部210に対し、前記暗号制御情報に含まれる鍵分散種別と、i番目の鍵格納先情報とを含むリンク確認指示をリンク確認部210に送信する。
リンク確認部210は、i番目の鍵格納先情報で識別される装置と、上述したように、リンク確立を試みる(ステップS137)。
【0110】
リンク確立が失敗した場合(ステップS138:NO)、後述するステップS147に移行する。
リンク確立が成功した場合(ステップS138:YES)、鍵復元部207は、前記暗号制御情報に含まれるi番目の鍵格納先情報と、鍵識別情報とを含む分散鍵読出指示を、前記暗号制御情報に含まれる鍵分散種別に対応する通信部に送信する。
【0111】
ここで、前記通信部は、前記鍵分散種別が「1」である場合は、送受信部206であり、送受信部206は、鍵識別情報を含む分散鍵読出指示を、i番目の鍵格納先情報で示される装置に送信する(ステップS139)。
また、前記通信部は、前記鍵分散種別が「2」である場合は、ICタグ通信部212であり、ICタグ通信部212は、鍵格納先情報で識別されるICタグから、鍵識別情報と、分散鍵との読み出しを試みる。
【0112】
鍵格納先情報で識別される前記装置は、分散鍵記憶部に記憶している、受信した前記鍵識別情報に対応する分散鍵を読み出す(ステップS140)。
前記装置は、読み出した分散鍵を、モバイル機器20に送信する(ステップS141)。
前記通信部は、前記分散鍵を受信し、受信した分散鍵を鍵復元部207に送信する。
【0113】
鍵復元部207は、前記分散鍵を受信して保持する(ステップS142)。
鍵復元部207は、内部カウンタ値jを1インクリメントする(ステップS143)。
鍵復元部207は、内部カウンタ値jが、前記暗号制御情報に含まれる鍵閾値以上であるか否かを判定する(ステップS144)。
jが、鍵閾値未満である場合(ステップS144:NO)、鍵復元部207は、内部カウンタ値iを1インクリメントし(ステップS147)、ステップS136に移行する。
【0114】
jが、鍵閾値以上である場合(ステップS144:YES)、鍵復元部207は、受信した分散鍵から、復号鍵を生成する(ステップS145)。
鍵復元部207は、生成した復号鍵を、復号部208に送信する。
復号部208は、前記復号鍵を受信し、前記個人情報名に対応する個人情報ファイルを個人情報記憶部201から読み出す。
【0115】
復号部208は、前記個人情報ファイルに含まれる暗号化された個人情報を、前記復号鍵を用いて復号し(ステップS146)、復号した個人情報を表示部217へ送信する。
表示部217は、前記個人情報を受信して、当該個人情報を表示する。
また、鍵復元部207、リンク確認部210は、上述のステップS134〜S144を繰り返し、リンク確立の成功したリンクの数が、(鍵閾値−1)個より小さくなった場合、復号鍵を復号部208から消去し、復号した個人情報を、復号部208、表示部217から消去して、表示部217に対し、個人情報の表示を停止させる。
<変形例>
なお、本発明を上記の実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
(1)上記の実施の形態においては、暗号鍵に係る分散鍵の生成と、分散鍵を用いた復号鍵(暗号鍵と同じ)の生成とをモバイル機器20において行っているが、暗号鍵に係る分散鍵を生成する装置と、分散鍵を用いて復号鍵を生成する装置とが分かれていてもよい。
【0116】
図11に示す個人情報管理システム1000は、ホーム機器1300と、モバイル機器1200と、機器1400と、機器1500とから成る。
ホーム機器1300は、モバイル機器1200のユーザの家庭に設置されており、ホーム機器1300は、家庭内が無線の到達範囲である無線LANを通じて、家庭内にある機器のみと通信が可能である。
【0117】
ホーム機器1300は、秘密情報であるコンテンツを記憶しており、個人情報記憶部1301と、鍵生成部1302と、暗号部1303と、鍵分散部1304と、送受信部1305と、分散鍵記憶部1306と、暗号制御情報記憶部1307と、リンク確認部1308とから構成される。
鍵生成部1302は、前記コンテンツを暗号化するための暗号鍵を生成し、生成した暗号鍵を、暗号部1303と、鍵分散部1304とに送信する。
【0118】
暗号部1303は、前記コンテンツを、前記暗号鍵を用いて暗号化することにより暗号化コンテンツを生成し、送受信部1305を介してモバイル機器1200に送信する。
暗号制御情報記憶部1307は、暗号鍵の鍵分散数(例えば値「4」)、鍵閾値(例えば値「3」)、鍵格納先識別として、ホーム機器1300の識別情報と、機器1400の識別情報と、機器1500の識別情報とを含む。
【0119】
鍵分散部1304は、暗号制御情報記憶部1307に記憶されている鍵分散数の値に基づき、鍵閾値以上の個数の分散鍵から前記暗号鍵が復元できるよう、当該暗号鍵を4つに分散することにより第1分散鍵〜第4分散鍵を生成し、第1分散鍵を分散鍵記憶部1306に記憶させる。
分散鍵記憶部1306に記憶された前記第1分散鍵は、送受信部1305を介して、モバイル機器1200により読み出される。
【0120】
鍵分散部1304は、第2分散鍵をモバイル機器1200に送信し、第3分散鍵を機器1400に送信し、第4分散鍵を機器1500に送信する。
鍵分散部1304は、暗号制御情報記憶部1307から暗号制御情報を読み出し、読み出した前記暗号制御情報を送受信部1305を介して、モバイル機器1200へと送信し、暗号制御情報記憶部1307内の暗号制御情報を削除する。
【0121】
リンク確認部1308は、データの送受信に先立ち、通信相手である機器が備えるリンク確認部と、リンクの確認を行う。
機器1400は、図11に示すように、送受信部1401と、分散鍵記憶部1402と、リンク確認部1403とから成る。
送受信部1401は、ホーム機器1300から、第3分散鍵を受信し、分散鍵記憶部1402に記憶させる。
【0122】
また、分散鍵記憶部1402に記憶された第3分散鍵は、送受信部1401を介して、モバイル機器1200に送信される。
リンク確認部1403は、データの送受信に先立ち、通信相手である機器が備えるリンク確認部とリンクの確認を行う。
同様に、機器1500は、図11に示すように、送受信部1501と、分散鍵記憶部1502とから成る。
【0123】
送受信部1501は、ホーム機器1300から、第4分散鍵を受信し、分散鍵記憶部1502に記憶させ、分散鍵記憶部1502に記憶された第4分散鍵は、送受信部1501を介して、モバイル機器1200に送信される。
リンク確認部1503は、データの送受信に先立ち、通信相手である機器が備えるリンク確認部とリンクの確認を行う。
【0124】
モバイル機器1200は、送受信部1201と、個人情報記憶部1202と、分散鍵記憶部1203と、暗号制御情報記憶部1204と、鍵復元部1205と、復号部1206と、表示部1207と、リンク確認部1208とから構成される。
送受信部1201は、ホーム機器1300、機器1400、機器1500と通信を行う。
【0125】
リンク確認部1208は、ホーム機器1300、機器1400、機器1500とのデータの送受信に先立ち、通信相手である機器が備えるリンク確認部とリンクの確認を行う。
個人情報記憶部1202は、送受信部1201を介して、ホーム機器1300から受信した暗号化コンテンツを記憶する。
分散鍵記憶部1203は、送受信部1201を介して、ホーム機器1300から受信した前記第2分散鍵を記憶する。
【0126】
暗号制御情報記憶部1204は、送受信部1201を介して、ホーム機器1300から受信した前記暗号制御情報を記憶する。
鍵復元部1205は、暗号制御情報記憶部1204から暗号制御情報を読み出して、読み出した暗号制御情報中の鍵格納先識別である、ホーム機器1300の識別情報と、機器1400の識別情報と、機器1500の識別情報とのそれぞれで示される機器とリンクの確認を行うようリンク確認部1208に指示する。
【0127】
鍵復元部1205は、ホーム機器1300、機器1400、機器1500のうちリンクの確認できた機器から、送受信部1201を介して分散鍵の取得を試み、ホーム機器1300、機器1400、機器1500及びモバイル機器1200のそれぞれが保持している分散鍵のうちの3つ以上の分散鍵を取得できた場合、鍵復元部1205は、取得した分散鍵のうち3つの分散鍵から復号鍵(前記暗号鍵と同じ鍵)を生成し、復号部1206に送信する。
【0128】
復号部1206は、個人情報記憶部1202から、前記暗号化コンテンツを読み出して、前記復号鍵を用いて復号することにより前記コンテンツを生成する。
復号部1206は、前記コンテンツを、表示部1207に送信し、表示部1207は、受信したコンテンツをディスプレイに表示する。
また、鍵復元部1205は、定期的に、前述のように第1分散鍵、第3分散鍵、第4分散鍵の取得を試みて、前記第2分散鍵を含めた、4つの分散鍵のうちの3つ以上取得できなくなった場合、復号部1206が保持している復号鍵を消去し、復号部1206、表示部1207が保持しているコンテンツを消去し、表示部1207によるコンテンツの表示を停止する。
【0129】
以上により、モバイル機器1200は、モバイル機器1200がホーム機器1300と通信が可能であり、ホーム機器1300の他に、機器1400或いは機器1500の少なくとも一方が前記ホーム機器1300と通信が可能である場合に、3つ以上の分散鍵を取得し、取得した分散鍵から前記復号鍵を復元し、暗号化された前記コンテンツを、前記復号鍵を用いて復号できるので、モバイル機器1200のユーザは、前記家庭内においてのみ、前記コンテンツの閲覧が可能となる。
(2)上記の変形例(1)においては、分散鍵を生成した装置であるホーム機器1300が、生成した分散鍵の1つを保持していたが、分散鍵を生成した装置が、分散鍵を保持しない構成としてもよい。
【0130】
図12に示す個人情報管理システム2000は、コンサートのチケットを販売するチケットセンターに設置されたプレミアコンテンツ送信装置2300と、前記コンサートのチケットを購入したユーザが所有するモバイル機器2200と、コンサート会場に設置されるゲート装置2400とから成り、チケットの購入者に対し、一般に視聴できない特別なコンテンツであるプレミアコンテンツを前記コンサート会場内でのみ閲覧させるものである。
【0131】
ゲート装置2400は、コンサート会場内が無線到達範囲である無線通信により、モバイル機器2200と通信する。よって、ゲート装置2400は、モバイル機器2200が前記コンサート会場内にある場合のみ、モバイル機器2200と無線通信できる。
プレミアコンテンツ送信装置2300は、プレミアコンテンツを記憶している、個人情報記憶部2301と、鍵生成部2302と、暗号部2303と、鍵分散部2304と、送受信部2305と、暗号制御情報記憶部2307と、リンク確認部2308とから構成される。
【0132】
鍵生成部2302は、前記プレミアコンテンツを暗号化するための暗号鍵を生成し、生成した暗号鍵を、暗号部2303と、鍵分散部2304とに送信する。
暗号部2303は、前記プレミアコンテンツを、前記暗号鍵を用いて暗号化することにより暗号化コンテンツを生成し、送受信部2305を介してモバイル機器2200に送信する。
【0133】
暗号制御情報記憶部2307は、暗号鍵の鍵分散数(例えば値「2」)、鍵閾値(例えば値「2」)、鍵格納先識別としてゲート装置2400の識別情報とを含む暗号制御情報を記憶している。
鍵分散部2304は、暗号制御情報記憶部2307に記憶されている鍵分散数の値に基づき、鍵閾値以上の個数の分散鍵から前記暗号鍵が復元できるよう、当該暗号鍵を2つに分散することにより第1分散鍵、第2分散鍵を生成し、第1分散鍵をモバイル機器2200に送信し、第2分散鍵をゲート装置2400に送信する。
【0134】
鍵分散部2304は、暗号制御情報記憶部2307から前記暗号制御情報を読み出して、読み出した暗号制御情報を送受信部2305を介してモバイル機器20へと送信し、暗号制御情報記憶部2307内の暗号制御情報を削除する。
リンク確認部2308は、データの送受信に先立ち、通信相手である機器が備えるリンク確認部とリンクの確認を行う。
【0135】
ゲート装置2400は、図12に示すように、送受信部2401と、分散鍵記憶部2402と、無線部2403と、リンク確認部2404とから成る。
送受信部2401は、プレミアコンテンツ送信装置2300から、第2分散鍵を受信し、受信した第2分散鍵を分散鍵記憶部2402に記憶させる。
無線部2403は、モバイル機器2200と無線通信を行う。
【0136】
また、分散鍵記憶部2402に記憶された第2分散鍵は、無線部2403を介して、モバイル機器2200から読み出される。
リンク確認部2404は、データの送受信に先立ち、通信相手である機器が備えるリンク確認部とリンクの確認を行う。
モバイル機器2200は、送受信部2201と、個人情報記憶部2202と、分散鍵記憶部2203と、暗号制御情報記憶部2204と、鍵復元部2205と、復号部2206と、表示部2207と、無線部2208と、リンク確認部2209とから構成される。
【0137】
個人情報記憶部2202は、送受信部2201を介してプレミアコンテンツ送信装置2300から受信した暗号化コンテンツを記憶する。
分散鍵記憶部2203は、送受信部2201を介して、プレミアコンテンツ送信装置2300から受信した前記第1分散鍵を記憶する。
暗号制御情報記憶部2204は、送受信部2201を介して、プレミアコンテンツ送信装置2300から受信した前記暗号制御情報を記憶する。
【0138】
無線部2208は、ゲート装置2400と無線通信を行う。
鍵復元部2205は、暗号制御情報記憶部2204から前記暗号制御情報を読み出して、読み出した暗号制御情報中の鍵格納先識別で識別されるゲート装置2400と無線部2208を介した無線通信を行い、ゲート装置2400が記憶している分散鍵である第2分散鍵の取得を試みる。
【0139】
鍵復元部2205は、ゲート装置2400が保持している第2分散鍵が取得できた場合に、第2分散鍵と、分散鍵記憶部2203が記憶している第1分散鍵とから復号鍵(前記暗号鍵と同じ鍵)を生成し、復号部2206に送信する。
復号部2206は、個人情報記憶部2202から、前記暗号化コンテンツを読み出して、前記復号鍵を用いて復号することにより前記プレミアコンテンツを生成する。
【0140】
復号部2206は、前記プレミアコンテンツを、表示部2207に送信し、表示部2207は、受信したコンテンツをディスプレイに表示する。
また、鍵復元部2205は、定期的に、無線部2208を介して、ゲート装置2400における分散鍵記憶部2402に保持されている第2分散鍵の読み出しを試み、第2分散鍵の読み出しに失敗した場合、復号部2206が保持している復号鍵を消去し、復号部2206、表示部2207が保持しているプレミアムコンテンツを消去する。
【0141】
以上により、モバイル機器2200は、モバイル機器2200がゲート装置2400と無線通信が可能であり、ゲート装置2400から第2分散鍵を取得することができる前記コンサート会場内でのみ、第1及び第2分散鍵から前記復号鍵を復元し、暗号化された前記プレミアムコンテンツを、前記復号鍵を用いて復号できるので、モバイル機器2200のユーザは、前記コンサート会場内においてのみ、前記プレミアムコンテンツの閲覧が可能となり、コンサート会場を離れた場合には、前記プレミアムコンテンツの閲覧が不可能となる。
(3)上記の実施の形態において、個人情報取得部213がデジタルカメラである例について説明したが、これに限るものではなく、個人情報が取得できるものであればよい。
【0142】
例えば、個人情報取得部213は、ネットワークに接続する機能を備え、前記ネットワークを介して、映像、音声等を配信する配信サーバから、前記映像、音声を取得して、個人情報記憶部201に記憶するとしてもよい。
また、個人情報取得部213は、テレビチューナーを備え、放送装置が放送する放送波を前記テレビチューナーで受信し、受信した放送波を復調、信号処理して、映像信号等を取得し、取得した映像信号等をデジタル化して個人情報記憶部201に記憶するとしてもよい。
【0143】
また、前記個人情報としては、上述のようにデジタルカメラで撮影した画像に限るものではなく、ユーザがモバイル機器20に対し入力した、氏名や生年月日、バイオメトリックス情報などのような生来的なものや、ハンドルネーム、住所、職業などの後天的なもの、購入履歴や通信履歴、病歴/薬歴などの履歴情報も含むものとする。また、前記個人情報は、上記に限らず、個人が購入して、家庭内だけで利用可能と制限されている映画などの著作物などであってもよい。
【0144】
また、上記の実施の形態においては、個人情報のみを扱っていたが、個人情報だけでなく、商用の情報を、当該個人情報と同様に扱うこととしてもよい。
前記商用の情報を、家庭内のみでの使用に制限するといった場合に、使用可能である。
(4)鍵分散部が行う鍵分散の方法は、上述の方法に限るものではない。
例えば、秘密鍵を単純にM個の分散鍵の和で表すという方法であってもよい。この方法によると、M個すべての分散鍵がそろって初めてもとの秘密鍵を求めることができる。
(5)リンク確立の確認は、上述したものと異なる方法を用いてもよい。
【0145】
例えばPAN(Personal Area Network)のようなアドホックな無線通信が届くけばリンクが確立していると判断してもよい。
また、モバイル機器20が家庭内にあることを検知するために、例えばホーム機器30と同じサブネット上にあることを、ブロードキャストやUPnP(Universal Plug and Play)などのプロトコルを用いて検知してもよい。
【0146】
例えば、モバイル機器20は、ホーム機器30のIPアドレスを取得し、取得したIPアドレスが、モバイル機器20のIPアドレスと同じサブネットのアドレスであるか否かを判断し、同じサブネットのアドレスであった場合に、リンクが確立されていると判断する。これにより、モバイル機器20は、ホーム機器30が設置されている家庭内にあることを検知できる。
【0147】
モバイル機器20は、ホーム機器30のIPアドレスを、ホーム機器30から直接取得してもよいし、DNS(Domain Name System)サーバ等の、ホーム機器30以外の装置から取得するものとしてもよい。
また、電波の到達距離が制限されているアドホック無線通信が届くことで、検知してもよい。また、ホーム機器30とモバイル機器20との間でPINGを送信して、それが戻ってくるまでの時間が所定時間、例えば1秒以内であるか否かにより判断しても良い。
(6)上述の実施の形態において、個人情報名と個人情報とを対応づけて、個人情報名を用いて個人情報を識別したがこれには限らない。
【0148】
例えば、各個人情報に対し重複しない識別番号を割り振り、当該識別番号を用いて、各個人情報を識別することとしてもよい。
また、前記ユーザは、暗号化及び復号を希望する個人情報を指定する際に、ユーザ入力取得部215が備えるキーを用いて、個人情報名を入力するとしていたが、前述のように、識別番号を入力することとしてもよいし、復号を行う個人情報の候補を、表示部217に表示させ、ユーザは、前記候補のうち1の個人情報を選択することとしてもよい。
(7)実施の形態において、モバイル機器20は、取得した個人情報の暗号化を、分散鍵を保持すべき全ての装置が揃った場合に行っているが、これには限らない。
【0149】
例えば、モバイル機器20は、個人情報取得部213が個人情報を取得した直後に、鍵生成部202が暗号鍵を生成し、当該暗号鍵を用いて暗号部203が前記個人情報を暗号化し、個人情報記憶部201に記憶しておいてもよい。
その後、リンク確認部210により、分散鍵を保持すべき全ての装置とリンクが確認できた場合に、鍵分散部204が前記暗号鍵から複数の分散鍵を生成し、1の分散鍵を分散鍵記憶部205が記憶し、他の分散鍵を、分散鍵を保持すべき全ての前記装置に送信することとしてもよい。
【0150】
また、モバイル機器20において、暗号化された個人情報の復号を、ユーザにによって当該暗号化された個人情報の閲覧が希望された場合に行っていたが、これに限るものではない。
例えば、モバイル機器20におけるリンク確認部210が、ホーム機器30のリンク確認部303との間でリンクが確認できた場合には、値が「1」の暗号制御情報に対応づけられ、個人情報記憶部201に記憶されている個人情報を、復号鍵を用いて復号しておき、前記リンクの確認ができなくなった場合に、復号鍵と同じ鍵である暗号鍵で前記個人情報を暗号化し、当該暗号鍵、復号鍵を消去することとしてもよい。
【0151】
これにより、前記家庭内にある場合は個人情報を平文で蓄積しておき、外出する際に自動的に暗号化することができる。
また、前記個人情報を家庭内でも暗号化して蓄積しておき、使用する場合に復号しても良いが、この場合、前記個人情報を更新するごとに暗号化しても良いし、所定時間ごとに暗号化することとしても良い。
(8)モバイル機器20が、個人情報を暗号化するタイミング、当該暗号化に使用した暗号鍵から生成された分散鍵をホーム機器30に記憶させるタイミングは、前記個人情報をモバイル機器20に格納したときであってもよいし、またモバイル機器20を家庭外へ持ち出すときであってもよい。また、モバイル機器20が家庭内にあるときにユーザの指示をトリガとして、暗号化することとしても良い。
(9)前記個人情報の暗号鍵から生成された分散鍵をICタグ40〜60に記憶させるタイミングは、前記個人情報が個人情報取得部213により取得されてすぐである必要はない。
【0152】
例えば、モバイル機器20は、前記ユーザに関するパスワードやバイオメトリックス情報などの認証情報を予め保持しておく認証情報保持手段と、前記ユーザにより認証情報の入力を受け付ける認証情報受付手段と、前記認証情報を用いて認証を行う認証手段とを備え、モバイル機器20のユーザが前記認証情報を入力し、前記認証手段が、入力された認証情報と、認証情報保持手段が保持している認証情報とを比較して、一致或いは所定の誤差以内である場合に、ユーザ認証が成功したものと判断して、分散鍵をICタグ40〜60に記憶させてもよい。
【0153】
また、前記ユーザが前記認証情報受付手段に対しパスワードを入力し、前記ユーザ認証が成功すると、個人情報を暗号鍵を用いて暗号化し、当該暗号鍵を分散し、分散鍵をそのときに持参している持ち物に付されたICタグ等に記憶させてもよい。
また、前記家庭の玄関の扉から、トリガ信号を出し、前記ユーザがモバイル機器20を持参して玄関の扉をくぐり抜ける直前に、モバイル機器20がそのときに前記ユーザが持参している各持ち物に付された各ICタグに分散鍵を格納してもよい。
(10)また、秘密分散において、復号鍵を分散する分散鍵数、秘密を復元するための鍵閾値は、実施の形態で使用した値に限定するものではなく、システムに応じて適正な値を選択しても良い。
【0154】
例えば、ホーム機器30を4台使用する場合、分散鍵数を5とし、モバイル機器20は秘密鍵を5つに分散して、1つをモバイル機器20内に記憶しておき、残りを各ホーム機器4台にそれぞれ1つずつ記憶させる。鍵閾値を2としておけば、5台のホーム機器30のうち少なくとも1台が電源ONになっていれば、モバイル機器20は電源がONであるホーム機器から分散鍵を取得し、モバイル機器20内に記憶している分散鍵と、取得した分散鍵とを用いて復号鍵を生成し、暗号化された個人情報を、当該復号鍵を用いて復号することができる。
(11)暗号制御情報記憶部214に記憶される暗号制御情報が、1つの鍵分散種別を含む例で説明したがこれには限らない。
【0155】
例えば、暗号制御情報は、鍵分散種別「1」と鍵分散種別「2」の組合せ(AND)を示す「1*2」と記載された鍵分散種別と、2つの鍵分散種別それぞれに対応する鍵格納先情報を含んでおり、モバイル機器20が、鍵分散種別「1」に対応する装置と鍵分散種別「2」に対応する装置のそれぞれから、分散鍵を取得することとしてもよい。
この場合、例えば、鍵閾値が「3」であれば、モバイル機器20が、ホーム機器30が保持する分散鍵と、メガネに付されたICタグ40が保持する分散鍵との両方を取得できた場合に、モバイル機器20が保持する分散鍵を含めた3つの分散鍵から、復号鍵を生成することができるようになる。
【0156】
また、暗号制御情報には、複数の鍵分散種別が含まれていてもよい。
例えば、暗号制御情報には、鍵分散種別「1」、鍵分散種別「2」の2つの鍵分散種別と、各鍵分散種別に対応する鍵格納先情報とが含まれていてもよい。
これにより、鍵閾値が「2」の場合であれば、ホーム機器30が保持する分散鍵か、メガネに付されたICタグ40が保持する分散鍵のいずれかをモバイル機器20が取得できた場合に、取得した分散鍵と、自機が保持している分散鍵とから復号鍵を生成できるようになる。
(12)実施の形態において、ICタグ40〜60をメガネ、コート、時計に付加する例で説明したが、これに限らず、モバイル機器20のユーザが携帯するものであれば何に付加してもよい。
【0157】
また、ICタグを使用せず、例えば非接触のインタフェースを有したカードや携帯電話などの携帯物を使用することとしてもよい。
(13)モバイル機器20は、図13に示すように、モバイル機器20内の個人情報記憶部201が記憶している暗号化された個人情報と、分散鍵記憶部205が記憶している分散鍵とを、DVD_RAMのようなバックアップ媒体に格納してもよい。
【0158】
これにより、モバイル機器20のユーザが、モバイル機器20を買い替える場合であっても、前記バックアップ媒体に記憶されている前記個人情報を新しいモバイル機器20の個人情報記憶部201に記憶させ、前記バックアップ媒体に記憶されている前記分散鍵を分散鍵記憶部205に記憶させることにより、暗号化された前記個人情報と前記分散鍵とをリストアすることができる。
【0159】
ここで、前記ユーザが、万が一前記バックアップ媒体を紛失しても、個人情報は暗号化されているため、前記個人情報が不正に閲覧されることはない。
(14)前記個人情報の種類に依存して、分散鍵を記憶する機器を、ホーム機器30のように特定の場所に固定されているものにするか、ICタグ40〜60のように特定の個人に関連付けられているものにするかが決定されることとしてもよい。
【0160】
例えば、デジタルカメラで家族を写した写真は家庭内のある特定のホーム機器30に関連付けられ、家庭内でのみ見ることができ、友達を写した写真は、特定の個人の持ち物に関連付けられてその本人だけが見ることができる。
これらは個人情報に付属して何に関連付けられるかのルール情報があり、このルール情報に従い分散鍵の生成、各機器への記憶がなされて、復号の際は各機器から分散鍵を受け取ることにより実現できる。このルールは、例えばデジタルカメラの情報であれば、それを撮った人あるいは、被写体に依存して決定しても良い。また、著作物であれば、著作物の保持者が決定しても良い。
(15)モバイル機器20は、前記鍵閾値以上の個数の分散鍵を、ICタグ等の装置から取得できた場合には、取得できた分散鍵の数に応じて、実行する処理を変更することとしてもよい。
【0161】
例えば、鍵閾値が5であり、暗号鍵から分散鍵が8個生成され、各分散鍵を7個のICタグに記憶させており、モバイル機器20は、10個の暗号化された個人情報を、個人情報記憶部201に記憶しているとする。モバイル機器20は、5個のICタグから分散鍵を取得できた場合には、個人情報記憶部201に記憶している6個の個人情報を復号して閲覧可能とし、7個のICタグから分散鍵を取得できた場合には、個人情報記憶部201に記憶している10個の個人情報全てを復号して閲覧可能とする。
【0162】
また、例えば、鍵閾値が5であり、暗号鍵から分散鍵が8個生成され、各分散鍵を7個のICタグに記憶させており、モバイル機器20は、個人情報として、暗号化された画像とアドレス帳とを、個人情報記憶部201に記憶しているとする。モバイル機器20は、5個のICタグから分散鍵を取得できた場合には、個人情報記憶部201に記憶している暗号化された画像を復号して閲覧可能とし、7個のICタグから分散鍵を取得できた場合には、個人情報記憶部201に記憶している暗号化されたアドレス帳も復号して閲覧可能とする。
(16)上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、各装置は、その機能を達成する。ここで、コンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(17)上記の各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。システムLSIは、これらは個別に1チップ化されても良いし、一部又は全てを含むように1チップ化されても良い。ここで、LSIは、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
【0163】
また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。一例としてはバイオ技術の適応等が考えられる。
(18)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM、などから構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしてもよい。
(19)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
【0164】
また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray Disc)、半導体メモリなど、に記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。
【0165】
また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。
【0166】
また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(20)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
【産業上の利用可能性】
【0167】
本発明は、秘匿の必要がある個人情報等を管理するモバイル機器などの電気機器や、システムを取り扱う産業において、生産、販売などがなされる。
【特許請求の範囲】
【請求項1】
個人情報を管理する個人情報管理装置であって、
暗号化された前記個人情報を記憶している情報記憶手段と、
暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第2分散鍵を記憶している分散鍵記憶手段と、
前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認手段と、
通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、
前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、
生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段と
を備えることを特徴とする個人情報管理装置。
【請求項2】
前記リンク確認手段は、
所定の通信範囲内に、前記分散鍵記憶装置に対するリンク要求を送信するリンク要求部と、
前記分散鍵記憶装置からの前記リンク要求に対する応答を受け付けるリンク応答受付部と、
前記応答を受信した場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部と
を含むことを特徴とする請求項1に記載の個人情報管理装置。
【請求項3】
前記分散鍵記憶装置は特定の場所に固定されており、所定時間間隔ごとに、所定の通信範囲内に前記個人情報管理装置に対するパケットを送出し、
前記リンク確認手段は、
前記パケットを受け付けるパケット受信部と、
前記パケットが受信された場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部と
を含むことを特徴とする請求項1に記載の個人情報管理装置。
【請求項4】
前記分散鍵記憶装置は、通信可否を確認するための確認情報を保持しており、
前記リンク確認手段は、
所定の通信範囲内の前記分散鍵記憶装置に保持されている前記確認情報を読み出す読出部と、
前記確認情報の読み出しができた場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部と
を含むことを特徴とする請求項1に記載の個人情報管理装置。
【請求項5】
前記分散鍵記憶装置は、前記個人情報管理装置の所有者の携帯物に付されたICタグであり、
前記読出部は、無線到達範囲内の前記ICタグに保持されている前記確認情報を読み出す
ことを特徴とする請求項4に記載の個人情報管理装置。
【請求項6】
前記リンク確認手段は、
自機のIPアドレスを記憶しているアドレス記憶部と、
前記分散鍵記憶装置のIPアドレスを取得するアドレス取得部と、
前記自機のIPアドレスと、前記分散鍵記憶装置のIPアドレスとが同じサブネットに属すか否かを判定するアドレス判定部と、
同じサブネットに属すと判定された場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部と
を含むことを特徴とする請求項1に記載の個人情報管理装置。
【請求項7】
前記リンク確認手段は、通信できることを確認した場合、さらに、前記分散鍵記憶装置と通信できるか否かを定期的に確認し、
前記個人情報管理装置は、さらに、
通信できないことが確認された場合に、前記復号鍵生成手段により生成された前記復号鍵と、前記復号手段により復号された前記個人情報とを消去する消去手段
を備えることを特徴とする請求項1に記載の個人情報管理装置。
【請求項8】
前記個人情報管理装置は、さらに、
前記復号鍵を保持し、当該復号鍵を用いて秘密分散法に基づき前記第1及び前記第2分散鍵を生成し、当該復号鍵を消去する分散鍵生成手段と、
前記第1分散鍵を前記分散鍵記憶装置に送信する分散鍵送信手段と、
前記第2分散鍵を前記分散鍵記憶手段に記憶させる書込手段と
を備えることを特徴とする請求項1に記載の個人情報管理装置。
【請求項9】
前記個人情報管理装置は、さらに、
前記第2分散鍵を受信する分散鍵受信手段と、
受信した前記第2分散鍵を前記分散鍵記憶手段に記憶させる書込手段と
を備えることを特徴とする請求項1に記載の個人情報管理装置。
【請求項10】
前記情報記憶手段は、さらに、暗号化された追加個人情報を記憶しており、
前記個人情報管理装置は、さらに、
暗号化された前記追加個人情報の復号に用いられる追加復号鍵を用いて(k,n)閾値秘密分散法に基づき生成されたn個の追加分散鍵のうち、1の追加分散鍵を記憶している追加分散鍵記憶手段と、
それぞれが前記1の追加分散鍵以外の(n−1)個の追加分散鍵のいずれかを重複なく記憶している(n−1)個の追加分散鍵記憶装置のそれぞれと通信できるか否かを確認する追加リンク確認手段と、
(k−1)個以上の追加分散鍵記憶装置と通信できることが確認された場合に、(k−1)個の追加分散鍵記憶装置それぞれから追加分散鍵を取得する追加取得手段と、
前記(k−1)個の追加分散鍵と、前記1の追加分散鍵とを用いて、(k,n)閾値秘密分散法に基づき前記追加復号鍵を生成する追加復号鍵生成手段と、
生成された前記追加復号鍵を用いて、暗号化された前記追加個人情報を復号する追加復号手段と
を備えることを特徴とする請求項1に記載の個人情報管理装置。
【請求項11】
秘密分散法に基づき生成された分散鍵を管理する分散鍵記憶装置であって、
暗号化された個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第1分散鍵を記憶している分散鍵記憶手段と、
暗号化された前記個人情報を記憶している前記個人情報管理装置が通信可否の確認を行うための通信を行う通信手段と、
前記個人情報管理装置に対し前記第1分散鍵を送信する送信手段と
を備えることを特徴とする分散鍵記憶装置。
【請求項12】
前記通信手段は、
前記個人情報管理装置からリンク要求を受信する要求受信部と、
前記リンク要求に対する応答を送信する応答送信部と
を含むことを特徴とする請求項11に記載の分散鍵記憶装置。
【請求項13】
前記分散鍵記憶装置は特定の場所に固定されており、
前記通信手段は、所定時間間隔ごとに、所定の通信範囲内に前記個人情報管理装置に対するパケットを送信する
ことを特徴とする請求項11に記載の分散鍵記憶装置。
【請求項14】
前記分散鍵記憶装置は、通信可否を確認するための確認情報を保持しており、
前記通信手段は、所定の通信範囲内に前記個人情報管理装置に対する前記確認情報を送信する
ことを特徴とする請求項11に記載の分散鍵記憶装置。
【請求項15】
前記分散鍵記憶装置は、前記個人情報管理装置の所有者の携帯物に付されたICタグであり、
前記通信手段は、無線到達範囲内に前記個人情報管理装置に対する前記確認情報を送信する
ことを特徴とする請求項14に記載の分散鍵記憶装置。
【請求項16】
個人情報を管理する個人情報管理装置と、分散鍵記憶装置とから成る個人情報管理システムであって、
前記分散鍵記憶装置は、
暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第1分散鍵を記憶している第1分散鍵記憶手段と、
前記個人情報管理装置と通信できるか否かを確認する第1リンク確認手段と、
前記個人情報管理装置と通信できることが確認された場合に、前記個人情報管理装置に対し前記第1分散鍵を送信する送信手段と
を含み、
前記個人情報管理装置は、
暗号化された前記個人情報を記憶している情報記憶手段と、
前記第2分散鍵を記憶している第2分散鍵記憶手段と、
前記分散鍵記憶装置と通信できるか否かを確認する第2リンク確認手段と、
前記分散鍵記憶装置と通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、
前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、
生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段と
を含む
ことを特徴とする個人情報管理システム。
【請求項17】
暗号化された個人情報と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち前記第2分散鍵とを記憶している個人情報管理装置において用いられる個人情報管理方法であって、
前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認ステップと、
通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得ステップと、
前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成ステップと、
生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号ステップと
を含むことを特徴とする個人情報管理方法。
【請求項18】
暗号化された個人情報と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち前記第2分散鍵とを記憶している個人情報管理装置において用いられるコンピュータプログラムであって、
前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認ステップと、
通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得ステップと、
前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成ステップと、
生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号ステップと
を含むことを特徴とするコンピュータプログラム。
【請求項19】
請求項18に記載のコンピュータプログラムを記憶していることを特徴とする記録媒体。
【請求項20】
個人情報を管理する集積回路であって、
暗号化された前記個人情報を記憶している情報記憶手段と、
暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第2分散鍵を記憶している分散鍵記憶手段と、
前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認手段と、
通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、
前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、
生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段と
を備えることを特徴とする集積回路。
【請求項1】
個人情報を管理する個人情報管理装置であって、
暗号化された前記個人情報を記憶している情報記憶手段と、
暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第2分散鍵を記憶している分散鍵記憶手段と、
前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認手段と、
通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、
前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、
生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段と
を備えることを特徴とする個人情報管理装置。
【請求項2】
前記リンク確認手段は、
所定の通信範囲内に、前記分散鍵記憶装置に対するリンク要求を送信するリンク要求部と、
前記分散鍵記憶装置からの前記リンク要求に対する応答を受け付けるリンク応答受付部と、
前記応答を受信した場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部と
を含むことを特徴とする請求項1に記載の個人情報管理装置。
【請求項3】
前記分散鍵記憶装置は特定の場所に固定されており、所定時間間隔ごとに、所定の通信範囲内に前記個人情報管理装置に対するパケットを送出し、
前記リンク確認手段は、
前記パケットを受け付けるパケット受信部と、
前記パケットが受信された場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部と
を含むことを特徴とする請求項1に記載の個人情報管理装置。
【請求項4】
前記分散鍵記憶装置は、通信可否を確認するための確認情報を保持しており、
前記リンク確認手段は、
所定の通信範囲内の前記分散鍵記憶装置に保持されている前記確認情報を読み出す読出部と、
前記確認情報の読み出しができた場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部と
を含むことを特徴とする請求項1に記載の個人情報管理装置。
【請求項5】
前記分散鍵記憶装置は、前記個人情報管理装置の所有者の携帯物に付されたICタグであり、
前記読出部は、無線到達範囲内の前記ICタグに保持されている前記確認情報を読み出す
ことを特徴とする請求項4に記載の個人情報管理装置。
【請求項6】
前記リンク確認手段は、
自機のIPアドレスを記憶しているアドレス記憶部と、
前記分散鍵記憶装置のIPアドレスを取得するアドレス取得部と、
前記自機のIPアドレスと、前記分散鍵記憶装置のIPアドレスとが同じサブネットに属すか否かを判定するアドレス判定部と、
同じサブネットに属すと判定された場合に、前記分散鍵記憶装置と通信できることを確認できたと決定する決定部と
を含むことを特徴とする請求項1に記載の個人情報管理装置。
【請求項7】
前記リンク確認手段は、通信できることを確認した場合、さらに、前記分散鍵記憶装置と通信できるか否かを定期的に確認し、
前記個人情報管理装置は、さらに、
通信できないことが確認された場合に、前記復号鍵生成手段により生成された前記復号鍵と、前記復号手段により復号された前記個人情報とを消去する消去手段
を備えることを特徴とする請求項1に記載の個人情報管理装置。
【請求項8】
前記個人情報管理装置は、さらに、
前記復号鍵を保持し、当該復号鍵を用いて秘密分散法に基づき前記第1及び前記第2分散鍵を生成し、当該復号鍵を消去する分散鍵生成手段と、
前記第1分散鍵を前記分散鍵記憶装置に送信する分散鍵送信手段と、
前記第2分散鍵を前記分散鍵記憶手段に記憶させる書込手段と
を備えることを特徴とする請求項1に記載の個人情報管理装置。
【請求項9】
前記個人情報管理装置は、さらに、
前記第2分散鍵を受信する分散鍵受信手段と、
受信した前記第2分散鍵を前記分散鍵記憶手段に記憶させる書込手段と
を備えることを特徴とする請求項1に記載の個人情報管理装置。
【請求項10】
前記情報記憶手段は、さらに、暗号化された追加個人情報を記憶しており、
前記個人情報管理装置は、さらに、
暗号化された前記追加個人情報の復号に用いられる追加復号鍵を用いて(k,n)閾値秘密分散法に基づき生成されたn個の追加分散鍵のうち、1の追加分散鍵を記憶している追加分散鍵記憶手段と、
それぞれが前記1の追加分散鍵以外の(n−1)個の追加分散鍵のいずれかを重複なく記憶している(n−1)個の追加分散鍵記憶装置のそれぞれと通信できるか否かを確認する追加リンク確認手段と、
(k−1)個以上の追加分散鍵記憶装置と通信できることが確認された場合に、(k−1)個の追加分散鍵記憶装置それぞれから追加分散鍵を取得する追加取得手段と、
前記(k−1)個の追加分散鍵と、前記1の追加分散鍵とを用いて、(k,n)閾値秘密分散法に基づき前記追加復号鍵を生成する追加復号鍵生成手段と、
生成された前記追加復号鍵を用いて、暗号化された前記追加個人情報を復号する追加復号手段と
を備えることを特徴とする請求項1に記載の個人情報管理装置。
【請求項11】
秘密分散法に基づき生成された分散鍵を管理する分散鍵記憶装置であって、
暗号化された個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第1分散鍵を記憶している分散鍵記憶手段と、
暗号化された前記個人情報を記憶している前記個人情報管理装置が通信可否の確認を行うための通信を行う通信手段と、
前記個人情報管理装置に対し前記第1分散鍵を送信する送信手段と
を備えることを特徴とする分散鍵記憶装置。
【請求項12】
前記通信手段は、
前記個人情報管理装置からリンク要求を受信する要求受信部と、
前記リンク要求に対する応答を送信する応答送信部と
を含むことを特徴とする請求項11に記載の分散鍵記憶装置。
【請求項13】
前記分散鍵記憶装置は特定の場所に固定されており、
前記通信手段は、所定時間間隔ごとに、所定の通信範囲内に前記個人情報管理装置に対するパケットを送信する
ことを特徴とする請求項11に記載の分散鍵記憶装置。
【請求項14】
前記分散鍵記憶装置は、通信可否を確認するための確認情報を保持しており、
前記通信手段は、所定の通信範囲内に前記個人情報管理装置に対する前記確認情報を送信する
ことを特徴とする請求項11に記載の分散鍵記憶装置。
【請求項15】
前記分散鍵記憶装置は、前記個人情報管理装置の所有者の携帯物に付されたICタグであり、
前記通信手段は、無線到達範囲内に前記個人情報管理装置に対する前記確認情報を送信する
ことを特徴とする請求項14に記載の分散鍵記憶装置。
【請求項16】
個人情報を管理する個人情報管理装置と、分散鍵記憶装置とから成る個人情報管理システムであって、
前記分散鍵記憶装置は、
暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第1分散鍵を記憶している第1分散鍵記憶手段と、
前記個人情報管理装置と通信できるか否かを確認する第1リンク確認手段と、
前記個人情報管理装置と通信できることが確認された場合に、前記個人情報管理装置に対し前記第1分散鍵を送信する送信手段と
を含み、
前記個人情報管理装置は、
暗号化された前記個人情報を記憶している情報記憶手段と、
前記第2分散鍵を記憶している第2分散鍵記憶手段と、
前記分散鍵記憶装置と通信できるか否かを確認する第2リンク確認手段と、
前記分散鍵記憶装置と通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、
前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、
生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段と
を含む
ことを特徴とする個人情報管理システム。
【請求項17】
暗号化された個人情報と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち前記第2分散鍵とを記憶している個人情報管理装置において用いられる個人情報管理方法であって、
前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認ステップと、
通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得ステップと、
前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成ステップと、
生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号ステップと
を含むことを特徴とする個人情報管理方法。
【請求項18】
暗号化された個人情報と、暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち前記第2分散鍵とを記憶している個人情報管理装置において用いられるコンピュータプログラムであって、
前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認ステップと、
通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得ステップと、
前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成ステップと、
生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号ステップと
を含むことを特徴とするコンピュータプログラム。
【請求項19】
請求項18に記載のコンピュータプログラムを記憶していることを特徴とする記録媒体。
【請求項20】
個人情報を管理する集積回路であって、
暗号化された前記個人情報を記憶している情報記憶手段と、
暗号化された前記個人情報の復号に用いられる復号鍵を用いて秘密分散法に基づき生成された第1及び第2分散鍵のうち、前記第2分散鍵を記憶している分散鍵記憶手段と、
前記第1分散鍵を記憶している分散鍵記憶装置と通信できるか否かを確認するリンク確認手段と、
通信できることが確認された場合に、前記分散鍵記憶装置から前記第1分散鍵を取得する取得手段と、
前記第1分散鍵と前記第2分散鍵とを用いて、秘密分散法に基づき前記復号鍵を生成する復号鍵生成手段と、
生成された前記復号鍵を用いて、暗号化された前記個人情報を復号する復号手段と
を備えることを特徴とする集積回路。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【国際公開番号】WO2005/104430
【国際公開日】平成17年11月3日(2005.11.3)
【発行日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願番号】特願2006−512598(P2006−512598)
【国際出願番号】PCT/JP2005/007695
【国際出願日】平成17年4月22日(2005.4.22)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
【国際公開日】平成17年11月3日(2005.11.3)
【発行日】平成19年8月30日(2007.8.30)
【国際特許分類】
【国際出願番号】PCT/JP2005/007695
【国際出願日】平成17年4月22日(2005.4.22)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]