取得したデータを暗号化する電子ペン、その電子ペンを制御する方法、及び、その電子ペンを含む情報システム
【課題】データの発生源であるデータ作成装置のリソースが乏しい場合でも、ネットワークに接続されていない状態でのデータ作成装置内データの暗号化と、ネットワーク上の前記データの暗号化を一貫してカバーする暗号方法を提供する。
【解決手段】取得したデータを暗号化して出力するデータ作成装置であって、前記データを保持するメモリと、前記メモリに接続されるプロセッサと、前記メモリ及び前記プロセッサに電力を供給する電源部と、を備え、前記データの取得を開始した後、所定のイベントを検出したか否かを判定し、前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成し、前記暗号化されたデータを出力する。
【解決手段】取得したデータを暗号化して出力するデータ作成装置であって、前記データを保持するメモリと、前記メモリに接続されるプロセッサと、前記メモリ及び前記プロセッサに電力を供給する電源部と、を備え、前記データの取得を開始した後、所定のイベントを検出したか否かを判定し、前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成し、前記暗号化されたデータを出力する。
【発明の詳細な説明】
【技術分野】
【0001】
本願明細書で開示される技術は、情報システムにおけるデータの盗聴防止技術に関し、特に、電子ペンを用いる情報システムにおけるデータの暗号技術に関する。
【背景技術】
【0002】
情報システムにおけるデータの暗号技術として、特許文献1に記載の技術がある。特許文献1によれば、カメラで撮影した画像データが暗号化され、そのカメラに保存される。
【0003】
また、情報システムにおけるデータの暗号技術として、非特許文献1に記載の技術がある。非特許文献1に記載されたWPA−PSKは、ネットワーク上のデータを暗号化する技術である。これによると、暗号化直前に暗号鍵が生成され、さらに、フレームごとに暗号鍵が変更される。
【特許文献1】特開2007−288383号公報
【非特許文献1】“(平成19年改訂版)安心して無線LANを利用するために”、[online]、平成19年12月、総務省、[平成20年6月10日検索]、インターネット<URL:http://www.soumu.go.jp/joho_tsusin/pdf/071214_1_bt.pdf>
【発明の開示】
【発明が解決しようとする課題】
【0004】
上記の従来技術を組み合わせても、ネットワークに接続されていない状態におけるデータの発生源であるデータ作成装置内データの暗号化と、ネットワーク上の前記データの暗号化とを一貫してカバーすることができない。さらに、上記の従来技術の単なる組み合わせは、データ作成装置のリソースが乏しい場合に実現が困難である。
【課題を解決するための手段】
【0005】
本願で開示する代表的な発明は、取得したデータを暗号化して出力するデータ作成装置であって、取得した前記データを保持するメモリと、前記メモリに接続されるプロセッサと、前記メモリ及び前記プロセッサに電力を供給する電源部と、を備え、前記データの取得を開始した後、所定のイベントを検出したか否かを判定し、前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成し、前記暗号化されたデータを出力することを特徴とする。
【発明の効果】
【0006】
本発明の一実施形態によれば、データの発生源であるデータ作成装置のリソースが乏しい場合でも、ネットワークに接続されていない状態におけるデータ作成装置内データの暗号化と、ネットワーク上の前記データの暗号化とを一貫してカバーすることができ、それによってデータの盗聴を防止できる。
【発明を実施するための最良の形態】
【0007】
以下、本発明の実施の形態を、図面を用いて詳細に説明する。
【0008】
図1は、本発明の実施形態の全体システム構成を示すブロック図である。
【0009】
本実施形態は、ある帳票フォーマットをドットパターンとともに紙に印刷し、紙上に印刷されたドットパターンを電子ペンで読み取ることによって、紙上に手書きした文字又は図形を電子データ化する電子ペンシステムである。この電子ペンシステムにおいて、電子ペンクライアント111、データ振り分けサーバ121、データ処理サーバ131及びデータ処理サーバ141がネットワーク103を介して接続されており、各装置間でのデータ送受信が可能である。
【0010】
電子ペン101は、例えば、国際公開第2003/001440号パンフレットに記載の技術によって実現される。この技術によれば、ある特殊な電子ペン101と、ドットパターンが印刷された電子ペン対応帳票とが用いられ、その電子ペン101を使って電子ペン対応帳票上に書き込んだ文字及び図形の軌跡をベクトル化して保存及び送信することができる。
【0011】
図1には一つの電子ペン101のみを示すが、本実施形態の電子ペンシステムは、複数の電子ペン101を備えてもよい。
【0012】
図2は、電子ペン101の構成及び機能を説明する図である。
【0013】
電子ペン対応帳票102にはドットパターン201が印刷されている。ドットは一定間隔の格子点ごとに印刷されているが、その位置は格子点から所定の距離だけずれている。電子ペン101は、ドットパターン201の印刷面に発光ダイオード202の光を射出して、内蔵カメラ203によってこのドットパターン201を読み取ることによって、電子ペン101のペン先がドットパターン空間上のどの位置にあるか、その絶対座標を正確に特定することができる。
【0014】
ドットパターン空間は、その管理を容易にするため、用紙サイズの標準規格等の所定の大きさに区切られ、各区画にドットパターン固有識別子が割り当てられている。電子ペン101は、読み取ったドットパターン201のドットパターン固有識別子も出力する。ここでは、電子ペン対応帳票102のページごとにドットパターン固有識別子が割り当てられているものとし、このドットパターン固有識別子をPageIDと呼ぶ。
【0015】
電子ペン101は、発光ダイオード202、カメラ203、インクカートリッジ204、筆圧センサ205、プロセッサ206、メモリ207、時計208、バッテリ209及び通信装置210を内蔵している。
【0016】
筆圧センサ205が感圧しているときのみカメラ203はドットパターンを読み取り、そのドットパターンに基づいて、プロセッサ206がペン先の位置情報を取得する。すなわち、プロセッサ206は、電子ペン101によって電子ペン対応帳票102に書き込まれた文字又は図形の軌跡をデジタル化して取得する。このデジタル軌跡情報は、筆記データとして時系列にメモリ207に蓄積され、あるタイミングで通信装置210によって所定の機器に送信される。
【0017】
例えば、送信ボックス211の領域内に電子ペン101で書き込みを行ったことを契機として、筆記データが送信されてもよい。電子ペン101は、送信ボックス211の領域が特別な座標領域であると認識し、その領域の座標を取得すると、それまでに蓄積されていた筆記データを、通信装置210を介して電子ペンクライアント111に送信する。
【0018】
バッテリ209は、電子ペン101内の各部(例えば、発光ダイオード202、カメラ203、プロセッサ206及びメモリ207等)に電力を供給する電源部である。
【0019】
電子ペン101は、電源の切断の要求を入力されると、電源を切断し(すなわち、バッテリ209による各部への電力の供給を停止し)、電源の投入の要求を入力されると、電源を投入する(すなわち、バッテリ209による各部への電力の供給を開始する)。
【0020】
電子ペン101の電源の切断の要求は、例えば、図示しないキャップをペン先に被せることによって入力される。電子ペン101の電源の投入の要求は、例えば、図示しないキャップをペン先から外すことによって入力される。
【0021】
メモリ207は不揮発であるため、電源を切断しても蓄積されたデータは消えない。メモリ207が容量不足になった場合、電子ペン101は、出力装置(図示省略)を用いてユーザに通知する。
【0022】
プロセッサ206がメモリ207内のプログラムを順次読み込んで実行することによって、処理部としての役割を果たす電子ペンPG212が機能する。電子ペンPG212の具体的な動作は後述する。
【0023】
さらに、メモリ207には、筆記データ管理テーブル213、暗号筆記データ管理テーブル214、鍵格納部215及びデータ振り分けサーバ情報格納部216が保持される。
【0024】
鍵格納部215は、筆記データの暗号化に用いる暗号鍵を格納するための領域である。
【0025】
データ振り分けサーバ情報格納部216は、電子ペンクライアント111が筆記データを送信するときに参照される。電子ペンクライアント111は、筆記データを送信するとき、その筆記データをどのデータ処理サーバに送信すべきかをデータ振り分けサーバ121に問い合わせる。データ振り分けサーバ情報格納部216は、その問い合わせ先となるデータ振り分けサーバ121を識別する情報を格納するための領域である。
【0026】
図3は、本発明の実施形態の筆記データ管理テーブル213の構成を説明する図である。
【0027】
筆記データ管理テーブル213は、筆記データを蓄積するためのテーブルであり、「筆記データ」を格納する。「筆記データ」は、前述のデジタル軌跡情報のほか、その属性も含むデータである。例えば、筆記データは、上記のデジタル軌跡情報に加えて、そのデジタル軌跡情報に含まれる座標が属するページを識別するPageID、そのデジタル軌跡情報が取得された時刻を示す情報、及び、そのデジタル軌跡情報が取得されたときの筆圧を示す情報を含んでもよい。
【0028】
図4は、本発明の実施形態の暗号筆記データ管理テーブル214の構成を説明する図である。
【0029】
暗号筆記データ管理テーブル214は、暗号化された筆記データを蓄積するためのテーブルであり、「暗号筆記データ」を格納する。「暗号筆記データ」は、暗号化されたデジタル軌跡情報のほか、その属性も含むデータである。
【0030】
電子ペンクライアント111は、電子ペン101から送信される筆記データをデータ処理サーバに中継するコンピュータ装置である。電子ペンクライアント111は、CPU112、通信装置113、通信装置114、記憶装置115及びそれらの間のデータ通信等を制御する制御装置(図示省略)等を備える。
【0031】
通信装置113は、無線通信又は有線通信によって電子ペン101と接続されるインターフェースである。通信装置114は、ネットワーク103と接続されるインターフェースである。
【0032】
なお、電子ペン101は、筆記データを送信するときには通信装置113に接続される必要があるが、常に通信装置113に接続されている必要はない。一般に、電子ペン101は、筆記データを取得している間、通信装置113から切り離されている。
【0033】
CPU112が記憶装置115内のプログラムを順次読み込んで実行することによって、処理部としての役割を果たす電子ペンクライアントPG116が機能する。電子ペンクライアントPG116の具体的な動作は後述する。
【0034】
データ処理サーバ131は、電子ペンクライアント111から送信される筆記データを利用するコンピュータ装置である。データ処理サーバ131は、筆記データをどのように利用してもよい。例えば、データ処理サーバ131は、文字認識技術を用いて筆記データをテキストデータに変換し、その後、そのテキストデータを従来と同様のアプリケーションプログラム(図示省略)によって処理してもよい。データ処理サーバ131は、CPU132、通信装置133、記憶装置134及びそれらの間のデータ通信等を制御する制御装置(図示省略)等を備える。
【0035】
通信装置133は、ネットワーク103と接続される。
【0036】
CPU132が記憶装置134内のプログラムを順次読み込んで実行することによって、処理部としての役割を果たすデータ処理サーバPG135が機能する。データ処理サーバPG135の具体的な動作は後述する。
【0037】
記憶装置134には、さらに、鍵ペア格納部136が保持される。鍵ペア格納部136は、公開鍵暗号の鍵ペア(すなわち、公開鍵と、その公開鍵に対応する秘密鍵とからなるペア)を格納するための領域である。
【0038】
データ処理サーバ141は、データ処理サーバ131と同様、電子ペンクライアント111から送信される筆記データを利用するコンピュータ装置である。データ処理サーバ141は、CPU142、通信装置143、記憶装置144及びそれらの間のデータ通信等を制御する制御装置(図示省略)等を備える。
【0039】
通信装置143は、ネットワーク103と接続される。
【0040】
また、CPU142が記憶装置144内のプログラムを順次読み込んで実行することによって、処理部としての役割を果たすデータ処理サーバPG145が機能する。データ処理サーバPG145の具体的な動作は、データ処理サーバPG135と同様であるため、説明を省略する。
【0041】
記憶装置144には、さらに、鍵ペア格納部146が保持される。鍵ペア格納部146は、鍵ペア格納部136と同様、公開鍵暗号の鍵ペアを格納するための領域である。ただし、鍵ペア格納部136及び鍵ペア格納部146には、それぞれ、データ処理サーバ131及びデータ処理サーバ141が使用する鍵ペアが格納される。
【0042】
図1には二つのデータ処理サーバを示すが、本実施形態の電子ペンシステムは、一つのデータ処理サーバのみを備えてもよいし、三つ以上のデータ処理サーバを備えてもよい。
【0043】
データ振り分けサーバ121は、電子ペンクライアント111が筆記データを適切なデータ処理サーバに送信できるように、電子ペンクライアント111からの問い合わせに答えるコンピュータ装置である。データ振り分けサーバ121は、CPU122、通信装置123、記憶装置124及びそれらの間のデータ通信等を制御する制御装置(図示省略)等を備える。
【0044】
通信装置123は、ネットワーク103と接続される。
【0045】
CPU122が記憶装置124内のプログラムを順次読み込んで実行することによって、処理部としての役割を果たすデータ振り分けサーバPG125が機能する。データ振り分けサーバPG125の具体的な動作は後述する。
【0046】
記憶装置124には、さらに、鍵ペア格納部126、データ処理サーバ管理テーブル127およびページ管理テーブル128が保持される。
【0047】
鍵ペア格納部126は、公開鍵暗号の鍵ペアを格納するための領域である。
【0048】
図5は、本発明の実施形態のデータ処理サーバ管理テーブル127の構成を説明する図である。
【0049】
データ処理サーバ管理テーブル127は、電子ペンシステムにおいてデータ処理サーバが筆記データを受け取れるようにするためのデータを管理するテーブルであり、データ処理サーバID701と公開鍵702とを対応付けて格納する。データ処理サーバID701は、ネットワーク103上で各データ処理サーバを一意に識別するアドレスである。公開鍵702は、各データ処理サーバで使用される公開鍵暗号の公開鍵(すなわち、各データ処理サーバが保持する秘密鍵に対応する公開鍵)である。
【0050】
図6は、本発明の実施形態のページ管理テーブル128の構成を説明する図である。
【0051】
ページ管理テーブル128は、電子ペン101で筆記したページごとに、その筆記データを受け取るべきデータ処理サーバ(言い換えると、電子ペンクライアント111が筆記データを送信すべきデータ処理サーバ)を管理するためのテーブルであり、PageID801とデータ処理サーバID802とを対応付けて格納する。
【0052】
なお、図1には、電子ペンクライアント111、データ振り分けサーバ121及びデータ処理サーバ131等がそれぞれ独立したハードウェアによって実現される例を示したが、これらが同一のハードウェアによって実現されてもよい。
【0053】
例えば、データ振り分けサーバ121が通信装置113と同等のインターフェースを備え、さらに、記憶装置124に電子ペンクライアントPG116と同等のプログラムが格納されていれば、データ振り分けサーバ121は、電子ペンクライアント111としても使用することができる。
【0054】
あるいは、複数のデータ処理サーバの一つ、例えばデータ処理サーバ131の記憶装置134に、データ振り分けサーバPG125、鍵ペア格納部126、データ処理サーバ管理テーブル127及びページ管理テーブル128と同等のものが格納されていれば、データ処理サーバ131は、データ振り分けサーバ121としても使用することができる。
【0055】
次に、電子ペンシステムの処理の基本的な流れを説明する。
【0056】
図7は、本発明の実施形態の電子ペンシステムの処理の全体を示すフローチャートである。
【0057】
図7に示す処理は、電子ペンシステム導入時に開始される(ステップ301)。
【0058】
データ振り分けサーバ121において、図示しない入出力装置を用いて管理者が指示を入力すると、データ振り分けサーバPG125が公開鍵暗号の鍵ペアを生成し、生成した鍵ペアを鍵ペア格納部126に格納する(ステップ302)。
【0059】
データ処理サーバ131においても、図示しない入出力装置を用いて管理者が指示を入力すると、データ処理サーバPG135が公開鍵暗号の鍵ペアを生成し、生成した鍵ペアを鍵ペア格納部136に格納する。同様に、データ処理サーバ141においても、データ処理サーバPG145が鍵ペアを生成し、それを鍵ペア格納部146に格納する。電子ペンシステムが上記以外のデータ処理サーバ(図示省略)をさらに含む場合、データ処理サーバごとに、そのデータ処理サーバにおける鍵ペア生成処理(ステップ302)が実行される。さらに、データ処理サーバが追加されると、その追加されたデータ処理サーバにおいて、鍵ペア生成処理(ステップ302)が実行される。
【0060】
次に、データ処理サーバPG135は、鍵ペア格納部136に格納されている鍵ペアのうち公開鍵Kauを、そのデータ処理サーバのデータ処理サーバIDとともに、データ振り分けサーバ121に登録する(ステップ303)。データ処理サーバからデータ振り分けサーバ121への公開鍵の受け渡しは、図示しない入出力装置を用いて、各サーバの管理者によって手動で行われてもよいし、ネットワーク103を介して自動で行われてもよい。データ振り分けサーバPG125は、データ処理サーバIDと公開鍵とのペアを、データ処理サーバ管理テーブル127に格納する。
【0061】
データ処理サーバPG145も、ステップ303において上記と同様の処理を実行する。
【0062】
次に、電子ペン活性化処理(図8参照)が実行される(ステップ304)。
【0063】
図8は、本発明の実施形態において実行される電子ペン活性化処理を示すフローチャートである。
【0064】
電子ペン活性化処理は、電子ペン101ごとに、その電子ペン101の使用開始時に実行される。あらかじめ、ネットワーク103上でデータ振り分けサーバ121を一意に識別するアドレスであるデータ振り分けサーバIDが、電子ペンクライアント111に登録されている。
【0065】
まず、電子ペンPG212が、接続先の電子ペンクライアント111に活性化要求を送信する(ステップ401)。この送信は、例えば、送信ボックス211と同様に、活性化要求ボックス(図示省略)を用意しておき、電子ペン101によって活性化要求ボックスに書き込むことによって実行されてもよい。
【0066】
あるいは、電子ペンPG212は、電子ペン101の電源が投入されたときに、データ振り分けサーバ121の公開鍵が電子ペン101に格納されているか否かを判定してもよい。データ振り分けサーバ121の公開鍵が格納されていないと判定された場合、電子ペンPG212は、活性化が必要である旨を、電子ペン101の出力装置(図示省略)を用いてユーザに通知してもよい。
【0067】
あるいは、電子ペンPG212は、後述する筆記データ取得処理が開始されたときに、データ振り分けサーバ121の公開鍵が電子ペン101に格納されているか否かを判定してもよい。データ振り分けサーバ121の公開鍵が格納されていないと判定された場合、電子ペンPG212は、活性化が必要である旨を、電子ペン101の出力装置を用いてユーザに通知してもよい。
【0068】
あるいは、筆記データ取得処理が開始される前に電子ペン101が電子ペンクライアント111に接続された時点で、電子ペンPG212又は電子ペンクライアントPG116は、データ振り分けサーバ121の公開鍵が電子ペン101に格納されているか否かを判定してもよい。データ振り分けサーバ121の公開鍵が格納されていないと判定された場合、電子ペンPG212又は電子ペンクライアントPG116は、活性化が必要である旨を、電子ペン101の出力装置又は電子ペンクライアント111の出力装置(図示省略)を用いてユーザに通知してもよい。
【0069】
あるいは、上記のようにデータ振り分けサーバ121の公開鍵が格納されていないと電子ペンPG212又は電子ペンクライアントPG116によって判定された場合、電子ペンPG212又は電子ペンクライアントPG116は、活性化を実行するか否かを、電子ペン101の出力装置又は電子ペンクライアント111の出力装置を用いてユーザに問い合わせてもよい。
【0070】
上記の通知又は問い合わせを受けたユーザは、活性化を実行するか否かを判定し、実行すると判定した場合、活性化を指示するための操作を行う。この操作は、例えば、上記のような電子ペン101を用いた活性化要求ボックスへの書き込みであってもよいし、電子ペンクライアント111への所定の指示の入力であってもよい。電子ペンクライアント111に所定の指示が入力された場合、その指示が、ステップ401における活性化要求として扱われてもよい。
【0071】
電子ペンクライアントPG116は、活性化要求を受信する(ステップ402)と、登録されているデータ振り分けサーバIDに対して活性化要求を送信する(ステップ403)。
【0072】
データ振り分けサーバPG125は、活性化要求を受信する(ステップ404)と、鍵ペア格納部126に格納されている鍵ペアに含まれる公開鍵Keu(すなわち、データ振り分けサーバ121が保持する秘密鍵に対応する公開鍵)を電子ペンクライアント111に返信する(ステップ405)。
【0073】
電子ペンクライアントPG116は、データ振り分けサーバ121の公開鍵Keuを受信する(ステップ406)と、その公開鍵Keuを、登録されているデータ振り分けサーバIDとともに、接続されている電子ペン101に返信する(ステップ407)。
【0074】
電子ペンPG212は、データ振り分けサーバ121の公開鍵Keu及びデータ振り分けサーバIDを受信すると、それらをデータ振り分けサーバ情報格納部216に格納する(ステップ408)。
【0075】
電子ペンPG212は、その後、筆記データの暗号化に用いる暗号鍵を生成し、生成された暗号鍵を鍵格納部215に格納する(ステップ409)。ここでは、筆記データの暗号化に公開鍵暗号ではなく共通鍵暗号を用いる。共通鍵暗号を処理するための負荷が、公開鍵暗号を処理するための負荷より小さいためである。したがって、ステップ409で生成される暗号鍵は、共通鍵K1である。
【0076】
不揮発性であるメモリ207に格納された情報(例えば公開鍵Keu及び共通鍵K1)は、意図的に消去されない限り、電源切断後も保持される。このため、電子ペン101において電子ペン活性化処理が一度実行された後に電源が切断され、さらにその後電源が投入された場合、その電子ペン101について、ステップ401〜ステップ408を再び実行する必要はない。このため、例えば、電子ペン101は、電源が投入された後、公開鍵Keuを保持しているか否かを判定し、保持していない場合にステップ401〜ステップ408を実行してもよい。
【0077】
しかし、後述するように、データの安全を確保するため、鍵格納部215に格納された共通鍵は、電子ペン101の電源が切断されるときに消去される。このため、電子ペンPG212は、電源が投入されたとき、ステップ409を実行して新たな共通鍵を生成する必要がある。
【0078】
再び図7を参照して、ステップ304の実行が終了した後の処理を説明する。
【0079】
ステップ304の実行が終了した後、筆記データ取得処理(ステップ305)が実行される。筆記データ取得処理は、電子ペン101が筆記に使用されるたびに実行される。さらに、本実施形態の電子ペンシステムが複数の電子ペン101を備える場合、筆記データ取得処理は、電子ペン101ごとに実行される。
【0080】
ステップ305において、電子ペンPG212は、前述の方法で筆記データを時系列に取得する。取得した筆記データおよびその筆記データに対応するPageIDは、筆記データ管理テーブル213に格納される。取得した筆記データのPageIDが変わると、その後に取得された筆記データは、次のレコードとして筆記データ管理テーブル213に格納される。すなわち、筆記データ管理テーブル213の1つのレコードには、1つのページ分の筆記データが格納される。
【0081】
次に、電子ペンPG212は、所定のイベントを検出したか否かを判定する(ステップ308)。ここで、所定のイベントとは、筆記データの暗号化を開始する契機となるべきイベントであり、例えば、暗号化を開始する必要が生じたこと(又は、必要性が高まったこと)を示すイベントであってもよいし、暗号化の実行が可能になったこと(又は、容易になったこと)を示すイベントであってもよい。暗号化の実行が可能(又は容易)になったこととは、例えば、筆記データ取得処理に影響を与えない筆記データ暗号化処理が可能になったことを意味する。
【0082】
例えば、最後に筆記データが取得されてから所定の時間が経過した場合(言い換えると、筆記データが所定の時間取得されなかった場合)、電子ペン101のユーザが筆記を中断していると考えられる。プロセッサ206の処理能力が高くない場合であっても、筆記が中断している間は、筆記データ取得処理に影響を与えることなく筆記データの暗号化を実行することができる。すなわち、ユーザによる筆記の中断は、暗号化の実行が可能(又は容易)になったことを示すといえる。このため、上記の所定のイベントは、例えば、最後に筆記データが取得されてから所定の時間が経過したことであってもよい。
【0083】
電子ペン101に電源切断要求が入力された場合も、上記と同様の理由によって、暗号化の実行が可能(又は容易)になったということができる。
【0084】
さらに、電子ペン101の電源の切断は、ユーザが電子ペン101から離れる可能性をも示している。このような場合、電子ペン101が暗号化されていない筆記データを保持していると、第三者がその筆記データを読み出す可能性がある。これを防ぐためには、速やかに筆記データを暗号化する必要がある。すなわち、電源切断要求の入力は、暗号化の必要が生じた(又は必要性が高まった)ことを示すともいえる。
【0085】
このため、上記の所定のイベントは、電子ペン101に電源切断要求が入力されたこと(すなわち、例えば電子ペン101のキャップが取り付けられたこと)であってもよい。
【0086】
さらに、上記以外のイベントがステップ308において検出されてもよい。例えば、暗号化を実行する必要が生じたことを示すイベントとして、バッテリ209の残量が所定の閾値以下となったこと、及び、メモリの空き容量が所定の閾値以下となったことが挙げられる。
【0087】
ステップ308において所定のイベントを検出したと判定された場合、筆記データを暗号化するタイミングが到来したため、電子ペンPG212は、筆記データ暗号化処理(図9参照)を実行する(ステップ306)。
【0088】
一方、ステップ308において所定のイベントを検出していないと判定された場合、電子ペンPG212は、まだ筆記データ暗号化処理を実行せずに、所定のイベントの検出を待つ。所定のイベントが検出されるまでの間に電子ペン101が筆記に使用された場合、ステップ305が実行される。
【0089】
図9は、本発明の実施形態において実行される筆記データ暗号化処理を示すフローチャートである。
【0090】
電子ペン101の第一義は、筆記データを精度よく取得して蓄積することである。これを阻害する暗号方法は認められない。本実施形態では、電子ペン101の処理能力が乏しいため、筆記データ取得と暗号化は並列に処理できないことを前提とする。
【0091】
電子ペン101は、筆記データを取得していないとき、すなわち、ステップ305の処理が行われていないときに、筆記データ管理テーブル213に格納されている筆記データを暗号化する(ステップ306)。例えば、ステップ308における所定のイベントが、最後に筆記データが取得されてから所定の時間が経過したこと、又は、電子ペン101に電源切断要求が入力されたこと、である場合、ステップ305の処理が行われていないときに筆記データの暗号化が実行される。
【0092】
筆記データ管理テーブル213に筆記データが存在する間は、ステップ306が繰り返される。ステップ306の処理の途中で、電子ペン101が筆記に使用された場合、電子ペンPG212は、ステップ306の処理を中断し、ステップ305の処理を実行する。
【0093】
筆記データの暗号化に用いる共通鍵は、ある規則にしたがって変更される。電子ペン101が一つの共通鍵を長期に保持することは、セキュリティレベルを低下させる。ある一つの共通鍵で暗号化される対象データをユニットと呼ぶ。ユニットは、細か過ぎると処理効率が悪い。例えば、ストローク(すなわち一筆書き単位の筆記データ)ごと、又は、サンプル点(一点の座標データ)ごとのユニットでは、効率が悪い。一方、一つのユニットを、複数のデータ処理サーバが利用する場合、複数のデータ処理サーバに同じ共通鍵及びデータが保持されることになり、その結果セキュリティレベルが低下する。
【0094】
これに対して、例えば、ユニットがページ単位であれば、効率がよく、かつ安全である。本実施形態では、筆記データ管理テーブル213の一つのレコードを一つのユニットとして扱う。その結果、一つのページから取得された筆記データ(すなわち、あるページへの筆記が開始されてから、その他のページへの筆記が開始されるまでの間に取得された筆記データ)が一つのユニットとして扱われる。
【0095】
ただし、筆記データの安全を確保するためには、取得された筆記データを可能な限り早く暗号化することが望ましい。このため、最後に筆記データが取得されてから所定の時間が経過した場合、その時点で筆記データ管理テーブル213に格納されているすべてのデータ(すなわち、すべてのレコードに含まれるデータ)が暗号化されてもよい。このような処理は、ステップ308の所定のイベントが、最後に筆記データが取得されてから所定の時間が経過したこと、である場合に実現される。その場合、その暗号化が実行された後に取得された筆記データは、PageIDにかかわらず、その実行の前に取得された筆記データと異なるユニットとして扱われる。
【0096】
以下、筆記データ暗号化処理をステップごとに説明する。この処理はすべて電子ペンPG212によって実行される。
【0097】
まず、電子ペンPG212は、筆記データ管理テーブル213に格納されている最も古いレコードからユニット及びPageIDを読み出し、それぞれを鍵格納部215に格納されている共通鍵を用いて暗号化する(ステップ501)。ここでは、筆記データ管理テーブル213に格納されている最も古いレコードのユニットをUnit1、鍵格納部215に格納されている共通鍵をK1と表記し、共通鍵K1によって暗号化されたUnit1をK1(Unit1)、共通鍵K1によって暗号化されたPageIDをK1(PageID)と表記する。
【0098】
次に、電子ペンPG212は、ステップ501で暗号化に用いた共通鍵を、データ振り分けサーバ121の公開鍵Keuを用いて暗号化し、暗号化された共通鍵を、ステップ501で暗号化した結果とともに、暗号筆記データ管理テーブル214に格納する(ステップ502)。ここでは、ステップ501で暗号化に用いた共通鍵がK1であるので、公開鍵Keuを用いて暗号化された結果のデータはKeu(K1)と表記される。
【0099】
その後、電子ペンPG212は、ステップ501で暗号化されたレコード(上記の例ではUnit1を含むレコード)を筆記データ管理テーブル213から、暗号化に用いた共通鍵(上記の例ではK1)を鍵格納部215から、それぞれ消去する(ステップ503)。
【0100】
最後に、電子ペンPG212は、新たな筆記データの暗号化に用いる共通鍵を生成し、それを鍵格納部215に格納する(ステップ504)。ここでは、共通鍵K2が生成される。
【0101】
電子ペン101の電源を切断する要求を受けた場合、電子ペンPG212は、すべてのデータの暗号化が終わってから、すなわち、筆記データ管理テーブル213に格納されているレコードがなくなるまで上記の筆記データ暗号化処理を実行してから、電源を切断する。さらに、電子ペンPG212は、メモリ207の容量限界に達する前及びバッテリ209の残量がなくなる前に、暗号化を終了させることが望ましい。
【0102】
なお、使用者が電子ペン101の電源を切断した後も、その電子ペン101が共通鍵を保持し続けることは、セキュリティレベルを著しく低下させる。例えば、使用者が電源を切断した電子ペン101を机上に放置して離席した場合、第三者(すなわちその電子ペン101が取得した筆記データを閲覧すべきでない者)が電子ペン101から共通鍵を読み出す可能性がある。その後使用者が電子ペン101を用いて筆記データを取得し、それを暗号化しても、共通鍵を取得した第三者は、暗号化された筆記データを容易に復号化することができる。
【0103】
このようなセキュリティレベルの低下を防ぐために、電源が切断された電子ペン101は共通鍵を保持しないことが望ましい。例えば、ステップ308において電源切断要求が入力されたために図9の筆記データ暗号化処理が実行される場合、ステップ504の実行が省略される。その結果、電源が切断された電子ペン101は、共通鍵を保持しない。これによって、第三者によるデータの盗聴を防ぐことができる。
【0104】
電子ペンPG212は、ステップ409又はステップ504において複数の共通鍵(すなわち、次回以降の筆記データ暗号化処理において使用されるべき共通鍵)を作成してもよい。この場合、鍵格納部215には複数の共通鍵が格納される。この場合において電子ペン101の電源が切断される場合、上記のようにデータの安全を確保するために、電子ペンPG212は、ステップ503において鍵格納部215に格納されているすべての共通鍵を消去する。
【0105】
上記の筆記データ暗号化処理は、ユーザによって暗号化を明示的に指示された場合に実行されてもよい。具体的には、例えば、送信ボックス211の場合と同様に、電子ペン101が所定のドットパターンを読み込んだときに、その対象ページ、又は、電子ペン101が保持する全筆記データを対象として、筆記データ暗号化処理が実行されてもよい。
【0106】
再び図7を参照して、ステップ306の実行が終了した後の処理を説明する。
【0107】
ステップ306の実行が終了すると、筆記データ転送処理が実行される(ステップ307)。
【0108】
図10は、本発明の実施形態において実行される筆記データ転送処理を示すフローチャートである。
【0109】
筆記データ転送処理は、電子ペン101ごとに実行される。
【0110】
まず、電子ペンPG212が、暗号筆記データ管理テーブル214に格納されているすべての暗号筆記データを、データ振り分けサーバ情報格納部216に格納されているデータ振り分けサーバIDとともに、接続先の電子ペンクライアント111に送信し、その後、暗号筆記データ管理テーブル214に格納されているすべての暗号筆記データを消去する(ステップ601)。ここで、暗号筆記データはK1(Unit1)、K1(PageID)及びKeu(K1)であり、これらが送信され、その後消去される。以下、上記の暗号筆記データが送信された場合を例として説明する。
【0111】
この送信は、例えば、電子ペン101による送信ボックス211への書き込みを契機として実行される。なお、この送信のタイミングで、電子ペンPG212は、筆記データ管理テーブル213における筆記データの存在を確認し、筆記データが存在する場合はステップ306の処理を実行することによって、暗号化されていない筆記データをなくしてから(すなわち格納されているすべての筆記データを暗号化してから)ステップ601の処理を実行する。
【0112】
電子ペンクライアントPG116は、暗号筆記データ及びデータ振り分けサーバIDを受信する(ステップ602)と、暗号筆記データのうち、暗号化されたPageID(すなわちK1(PageID))、及び、その暗号化に用いた共通鍵K1をデータ振り分けサーバ121の公開鍵Keuで暗号化した結果(すなわちKeu(K1))を、受信したデータ振り分けサーバIDによって識別されるデータ振り分けサーバ121に送信する(ステップ603)。
【0113】
データ振り分けサーバPG125は、ステップ603で送信された、暗号化されたPageID(K1(PageID))、及び、Keuによって暗号化された共通鍵(Keu(K1))を受信する(ステップ604)と、その暗号化された共通鍵(Keu(K1))を、鍵ペア格納部126に格納されている鍵ペアにおける秘密鍵Kerで復号化することによって、共通鍵K1を得る(ステップ605)。
【0114】
次に、データ振り分けサーバPG125は、ステップ604で受信した、暗号化されたPageID(K1(PageID))を、ステップ605で得た共通鍵K1で復号化することによって、PageIDを得る(ステップ606)。
【0115】
さらに、データ振り分けサーバPG125は、ステップ605で得た共通鍵K1を、ステップ606で得たPageIDに対応するデータ処理サーバの公開鍵Kauで暗号化する(ステップ607)。ステップ606で得たPageIDに対応するデータ処理サーバとは、これから送信しようとする筆記データを処理すべきデータ処理サーバ、すなわち、これから送信しようとする筆記データの送信先となるべきデータ処理サーバである。
【0116】
PageIDに対応するデータ処理サーバの公開鍵Kauは、PageIDをキーとしてページ管理テーブル128を検索することによって、対応するデータ処理サーバIDを取得し、そのデータ処理サーバIDをキーとしてデータ処理サーバ管理テーブル127を検索することによって得られる。
【0117】
以下、ステップ606で得たPageIDにデータ処理サーバ131が対応する場合を例として説明する。
【0118】
データ振り分けサーバPG125は、ステップ605で得た共通鍵をデータ振り分けサーバ121から消去(ステップ608)する。
【0119】
次に、データ振り分けサーバPG125は、ステップ606で得たPageIDをキーとしてページ管理テーブル128を検索することによって得られるデータ処理サーバID(この例では、データ処理サーバ131を識別する情報)と、ステップ607において公開鍵Kauによって暗号化された共通鍵(Kau(K1))と、を電子ペンクライアント111に返信する(ステップ609)。
【0120】
電子ペンクライアントPG116は、データ処理サーバIDと、暗号化された共通鍵(Kau(K1))と、を受信する(ステップ610)。
【0121】
次に、電子ペンクライアントPG116は、ステップ610において受信した、公開鍵Kauによって暗号化された共通鍵(Kau(K1))と、ステップ602で受信した暗号筆記データのうち暗号化されたユニット及びPageIDを、受信したデータ処理サーバIDによって識別されるデータ処理サーバ131に送信する(ステップ611)。
【0122】
データ処理サーバPG135は、ステップ611において送信された、暗号化された共通鍵(Kau(K1))、共通鍵によって暗号化されたユニット(K1(Unit1))及びPageID(K1(PageID))を受信する(ステップ612)。
【0123】
次に、データ処理サーバPG135は、暗号化された共通鍵(Kau(K1))を、鍵ペア格納部136に格納されている鍵ペアにおける秘密鍵Karで復号化することによって、共通鍵K1を得る(ステップ613)。
【0124】
次に、データ処理サーバPG135は、ステップ612で受信した、暗号化されたユニット(K1(Unit1))及びPageID(K1(PageID))を、ステップ613で得た共通鍵K1で復号化することによって、PageIDと、そのPageIDに対応するユニットとを得る(ステップ614)。
【0125】
次に、データ処理サーバPG135は、ステップ613で得た共通鍵K1をデータ処理サーバ131から消去し(ステップ615)、ステップ307を終了する。なお、ステップ602で受信した暗号筆記データが複数存在する場合、それぞれの暗号筆記データについて、ステップ603からステップ615が繰り返される。
【0126】
上記の処理によれば、少なくともPageID以外の筆記データは、電子ペン101において共通鍵を用いて暗号化された後、その筆記データを処理するデータ処理サーバに到達するまで、一度も復号化されることがない。これによって、電子ペン101のような、常にネットワーク103に接続されているわけではないデータ作成装置におけるデータの暗号化と、ネットワーク103におけるデータの暗号化とが一貫して処理される。
【0127】
なお、PageIDとデータ処理サーバ141のデータ処理サーバIDとが対応する場合、ステップ609において、データ処理サーバ141のデータ処理サーバIDが送信される。その場合、ステップ611においてユニット等はデータ処理サーバ141に送信され、データ処理サーバPG145においてステップ612〜ステップ615に相当する処理が実行される。
【0128】
使用する公開鍵暗号及び共通鍵暗号の具体的なアルゴリズム及び鍵長は、計算機の処理能力及び記憶装置の容量のほか、安全性及び高速性を考慮して決めればよい。例えば、RSA、AES又はMULTI−S01等が用いられてもよい。
【0129】
筆記データの暗号化に用いる共通鍵を電子ペン101で生成する理由は、電子ペン101が他の構成要素と常に通信できるわけではないからである。
【0130】
アルゴリズム及び鍵長によって異なるが、共通鍵生成も電子ペン101に負荷を与える。電子ペンPG212は、電子ペン101の負荷が軽いときに、次の暗号化処理に使用する共通鍵を1つ生成する。具体的には、電子ペンPG212は、電子ペン活性化直後、及び、前のユニットを暗号化した後に、共通鍵を1つ生成する。
【0131】
なお、電子ペンPG212は、複数個の共通鍵を生成できるときに生成しておいてもよいが、生成された複数の共通鍵を格納するためのメモリ領域は必要となる。共通鍵生成処理の途中で、ステップ305の処理が発生した場合、電子ペンPG212は、共通鍵生成処理を中断し、ステップ305の処理を行う。また、共通鍵生成処理の途中で、ステップ306の処理が発生した場合、電子ペンPG212は、共通鍵生成処理を中断し、ステップ306の処理を行う。ただし、鍵格納部215に共通鍵がない場合(すなわち、これから使用されるべき共通鍵がまだ生成されていない場合)、電子ペンPG212は、ステップ306の処理を行うための共通鍵を生成する。
【0132】
上記の本発明の実施形態は、電子ペン101が取得した筆記データを処理する情報システムを例示しているが、電子ペン101が他のデータ作成装置(例えばデジタルカメラ)によって置き換えられてよい。その場合、データ作成装置の処理能力が十分でなくても、データ取得処理を妨げずにデータ暗号化を実行することができる。これによって、データ取得処理の性能を維持しながら、セキュリティレベルを改善することができる。
【図面の簡単な説明】
【0133】
【図1】本発明の実施形態の全体システム構成を示すブロック図である。
【図2】本発明の実施形態の電子ペンの構成及び機能を説明するための図である。
【図3】本発明の実施形態の筆記データ管理テーブルの構成を説明する図である。
【図4】本発明の実施形態の暗号筆記データ管理テーブルの構成を説明する図である。
【図5】本発明の実施形態のデータ処理サーバ管理テーブルの構成を説明する図である。
【図6】本発明の実施形態のページ管理テーブルの構成を説明する図である。
【図7】本発明の実施形態の電子ペンシステムの処理の全体を示すフローチャートである。
【図8】本発明の実施形態において実行される電子ペン活性化処理を示すフローチャートである。
【図9】本発明の実施形態において実行される筆記データ暗号化処理を示すフローチャートである。
【図10】本発明の実施形態において実行される筆記データ転送処理を示すフローチャートである。
【符号の説明】
【0134】
101 電子ペン
102 電子ペン対応帳票
201 ドットパターン
202 発光ダイオード
203 カメラ
204 インクカートリッジ
205 筆圧センサ
206 プロセッサ
207 メモリ
208 時計
209 バッテリ
210 通信装置
211 送信ボックス
212 電子ペンPG
213 筆記データ管理テーブル
214 暗号筆記データ管理テーブル
215 鍵格納部
216 データ振り分けサーバ情報格納部
【技術分野】
【0001】
本願明細書で開示される技術は、情報システムにおけるデータの盗聴防止技術に関し、特に、電子ペンを用いる情報システムにおけるデータの暗号技術に関する。
【背景技術】
【0002】
情報システムにおけるデータの暗号技術として、特許文献1に記載の技術がある。特許文献1によれば、カメラで撮影した画像データが暗号化され、そのカメラに保存される。
【0003】
また、情報システムにおけるデータの暗号技術として、非特許文献1に記載の技術がある。非特許文献1に記載されたWPA−PSKは、ネットワーク上のデータを暗号化する技術である。これによると、暗号化直前に暗号鍵が生成され、さらに、フレームごとに暗号鍵が変更される。
【特許文献1】特開2007−288383号公報
【非特許文献1】“(平成19年改訂版)安心して無線LANを利用するために”、[online]、平成19年12月、総務省、[平成20年6月10日検索]、インターネット<URL:http://www.soumu.go.jp/joho_tsusin/pdf/071214_1_bt.pdf>
【発明の開示】
【発明が解決しようとする課題】
【0004】
上記の従来技術を組み合わせても、ネットワークに接続されていない状態におけるデータの発生源であるデータ作成装置内データの暗号化と、ネットワーク上の前記データの暗号化とを一貫してカバーすることができない。さらに、上記の従来技術の単なる組み合わせは、データ作成装置のリソースが乏しい場合に実現が困難である。
【課題を解決するための手段】
【0005】
本願で開示する代表的な発明は、取得したデータを暗号化して出力するデータ作成装置であって、取得した前記データを保持するメモリと、前記メモリに接続されるプロセッサと、前記メモリ及び前記プロセッサに電力を供給する電源部と、を備え、前記データの取得を開始した後、所定のイベントを検出したか否かを判定し、前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成し、前記暗号化されたデータを出力することを特徴とする。
【発明の効果】
【0006】
本発明の一実施形態によれば、データの発生源であるデータ作成装置のリソースが乏しい場合でも、ネットワークに接続されていない状態におけるデータ作成装置内データの暗号化と、ネットワーク上の前記データの暗号化とを一貫してカバーすることができ、それによってデータの盗聴を防止できる。
【発明を実施するための最良の形態】
【0007】
以下、本発明の実施の形態を、図面を用いて詳細に説明する。
【0008】
図1は、本発明の実施形態の全体システム構成を示すブロック図である。
【0009】
本実施形態は、ある帳票フォーマットをドットパターンとともに紙に印刷し、紙上に印刷されたドットパターンを電子ペンで読み取ることによって、紙上に手書きした文字又は図形を電子データ化する電子ペンシステムである。この電子ペンシステムにおいて、電子ペンクライアント111、データ振り分けサーバ121、データ処理サーバ131及びデータ処理サーバ141がネットワーク103を介して接続されており、各装置間でのデータ送受信が可能である。
【0010】
電子ペン101は、例えば、国際公開第2003/001440号パンフレットに記載の技術によって実現される。この技術によれば、ある特殊な電子ペン101と、ドットパターンが印刷された電子ペン対応帳票とが用いられ、その電子ペン101を使って電子ペン対応帳票上に書き込んだ文字及び図形の軌跡をベクトル化して保存及び送信することができる。
【0011】
図1には一つの電子ペン101のみを示すが、本実施形態の電子ペンシステムは、複数の電子ペン101を備えてもよい。
【0012】
図2は、電子ペン101の構成及び機能を説明する図である。
【0013】
電子ペン対応帳票102にはドットパターン201が印刷されている。ドットは一定間隔の格子点ごとに印刷されているが、その位置は格子点から所定の距離だけずれている。電子ペン101は、ドットパターン201の印刷面に発光ダイオード202の光を射出して、内蔵カメラ203によってこのドットパターン201を読み取ることによって、電子ペン101のペン先がドットパターン空間上のどの位置にあるか、その絶対座標を正確に特定することができる。
【0014】
ドットパターン空間は、その管理を容易にするため、用紙サイズの標準規格等の所定の大きさに区切られ、各区画にドットパターン固有識別子が割り当てられている。電子ペン101は、読み取ったドットパターン201のドットパターン固有識別子も出力する。ここでは、電子ペン対応帳票102のページごとにドットパターン固有識別子が割り当てられているものとし、このドットパターン固有識別子をPageIDと呼ぶ。
【0015】
電子ペン101は、発光ダイオード202、カメラ203、インクカートリッジ204、筆圧センサ205、プロセッサ206、メモリ207、時計208、バッテリ209及び通信装置210を内蔵している。
【0016】
筆圧センサ205が感圧しているときのみカメラ203はドットパターンを読み取り、そのドットパターンに基づいて、プロセッサ206がペン先の位置情報を取得する。すなわち、プロセッサ206は、電子ペン101によって電子ペン対応帳票102に書き込まれた文字又は図形の軌跡をデジタル化して取得する。このデジタル軌跡情報は、筆記データとして時系列にメモリ207に蓄積され、あるタイミングで通信装置210によって所定の機器に送信される。
【0017】
例えば、送信ボックス211の領域内に電子ペン101で書き込みを行ったことを契機として、筆記データが送信されてもよい。電子ペン101は、送信ボックス211の領域が特別な座標領域であると認識し、その領域の座標を取得すると、それまでに蓄積されていた筆記データを、通信装置210を介して電子ペンクライアント111に送信する。
【0018】
バッテリ209は、電子ペン101内の各部(例えば、発光ダイオード202、カメラ203、プロセッサ206及びメモリ207等)に電力を供給する電源部である。
【0019】
電子ペン101は、電源の切断の要求を入力されると、電源を切断し(すなわち、バッテリ209による各部への電力の供給を停止し)、電源の投入の要求を入力されると、電源を投入する(すなわち、バッテリ209による各部への電力の供給を開始する)。
【0020】
電子ペン101の電源の切断の要求は、例えば、図示しないキャップをペン先に被せることによって入力される。電子ペン101の電源の投入の要求は、例えば、図示しないキャップをペン先から外すことによって入力される。
【0021】
メモリ207は不揮発であるため、電源を切断しても蓄積されたデータは消えない。メモリ207が容量不足になった場合、電子ペン101は、出力装置(図示省略)を用いてユーザに通知する。
【0022】
プロセッサ206がメモリ207内のプログラムを順次読み込んで実行することによって、処理部としての役割を果たす電子ペンPG212が機能する。電子ペンPG212の具体的な動作は後述する。
【0023】
さらに、メモリ207には、筆記データ管理テーブル213、暗号筆記データ管理テーブル214、鍵格納部215及びデータ振り分けサーバ情報格納部216が保持される。
【0024】
鍵格納部215は、筆記データの暗号化に用いる暗号鍵を格納するための領域である。
【0025】
データ振り分けサーバ情報格納部216は、電子ペンクライアント111が筆記データを送信するときに参照される。電子ペンクライアント111は、筆記データを送信するとき、その筆記データをどのデータ処理サーバに送信すべきかをデータ振り分けサーバ121に問い合わせる。データ振り分けサーバ情報格納部216は、その問い合わせ先となるデータ振り分けサーバ121を識別する情報を格納するための領域である。
【0026】
図3は、本発明の実施形態の筆記データ管理テーブル213の構成を説明する図である。
【0027】
筆記データ管理テーブル213は、筆記データを蓄積するためのテーブルであり、「筆記データ」を格納する。「筆記データ」は、前述のデジタル軌跡情報のほか、その属性も含むデータである。例えば、筆記データは、上記のデジタル軌跡情報に加えて、そのデジタル軌跡情報に含まれる座標が属するページを識別するPageID、そのデジタル軌跡情報が取得された時刻を示す情報、及び、そのデジタル軌跡情報が取得されたときの筆圧を示す情報を含んでもよい。
【0028】
図4は、本発明の実施形態の暗号筆記データ管理テーブル214の構成を説明する図である。
【0029】
暗号筆記データ管理テーブル214は、暗号化された筆記データを蓄積するためのテーブルであり、「暗号筆記データ」を格納する。「暗号筆記データ」は、暗号化されたデジタル軌跡情報のほか、その属性も含むデータである。
【0030】
電子ペンクライアント111は、電子ペン101から送信される筆記データをデータ処理サーバに中継するコンピュータ装置である。電子ペンクライアント111は、CPU112、通信装置113、通信装置114、記憶装置115及びそれらの間のデータ通信等を制御する制御装置(図示省略)等を備える。
【0031】
通信装置113は、無線通信又は有線通信によって電子ペン101と接続されるインターフェースである。通信装置114は、ネットワーク103と接続されるインターフェースである。
【0032】
なお、電子ペン101は、筆記データを送信するときには通信装置113に接続される必要があるが、常に通信装置113に接続されている必要はない。一般に、電子ペン101は、筆記データを取得している間、通信装置113から切り離されている。
【0033】
CPU112が記憶装置115内のプログラムを順次読み込んで実行することによって、処理部としての役割を果たす電子ペンクライアントPG116が機能する。電子ペンクライアントPG116の具体的な動作は後述する。
【0034】
データ処理サーバ131は、電子ペンクライアント111から送信される筆記データを利用するコンピュータ装置である。データ処理サーバ131は、筆記データをどのように利用してもよい。例えば、データ処理サーバ131は、文字認識技術を用いて筆記データをテキストデータに変換し、その後、そのテキストデータを従来と同様のアプリケーションプログラム(図示省略)によって処理してもよい。データ処理サーバ131は、CPU132、通信装置133、記憶装置134及びそれらの間のデータ通信等を制御する制御装置(図示省略)等を備える。
【0035】
通信装置133は、ネットワーク103と接続される。
【0036】
CPU132が記憶装置134内のプログラムを順次読み込んで実行することによって、処理部としての役割を果たすデータ処理サーバPG135が機能する。データ処理サーバPG135の具体的な動作は後述する。
【0037】
記憶装置134には、さらに、鍵ペア格納部136が保持される。鍵ペア格納部136は、公開鍵暗号の鍵ペア(すなわち、公開鍵と、その公開鍵に対応する秘密鍵とからなるペア)を格納するための領域である。
【0038】
データ処理サーバ141は、データ処理サーバ131と同様、電子ペンクライアント111から送信される筆記データを利用するコンピュータ装置である。データ処理サーバ141は、CPU142、通信装置143、記憶装置144及びそれらの間のデータ通信等を制御する制御装置(図示省略)等を備える。
【0039】
通信装置143は、ネットワーク103と接続される。
【0040】
また、CPU142が記憶装置144内のプログラムを順次読み込んで実行することによって、処理部としての役割を果たすデータ処理サーバPG145が機能する。データ処理サーバPG145の具体的な動作は、データ処理サーバPG135と同様であるため、説明を省略する。
【0041】
記憶装置144には、さらに、鍵ペア格納部146が保持される。鍵ペア格納部146は、鍵ペア格納部136と同様、公開鍵暗号の鍵ペアを格納するための領域である。ただし、鍵ペア格納部136及び鍵ペア格納部146には、それぞれ、データ処理サーバ131及びデータ処理サーバ141が使用する鍵ペアが格納される。
【0042】
図1には二つのデータ処理サーバを示すが、本実施形態の電子ペンシステムは、一つのデータ処理サーバのみを備えてもよいし、三つ以上のデータ処理サーバを備えてもよい。
【0043】
データ振り分けサーバ121は、電子ペンクライアント111が筆記データを適切なデータ処理サーバに送信できるように、電子ペンクライアント111からの問い合わせに答えるコンピュータ装置である。データ振り分けサーバ121は、CPU122、通信装置123、記憶装置124及びそれらの間のデータ通信等を制御する制御装置(図示省略)等を備える。
【0044】
通信装置123は、ネットワーク103と接続される。
【0045】
CPU122が記憶装置124内のプログラムを順次読み込んで実行することによって、処理部としての役割を果たすデータ振り分けサーバPG125が機能する。データ振り分けサーバPG125の具体的な動作は後述する。
【0046】
記憶装置124には、さらに、鍵ペア格納部126、データ処理サーバ管理テーブル127およびページ管理テーブル128が保持される。
【0047】
鍵ペア格納部126は、公開鍵暗号の鍵ペアを格納するための領域である。
【0048】
図5は、本発明の実施形態のデータ処理サーバ管理テーブル127の構成を説明する図である。
【0049】
データ処理サーバ管理テーブル127は、電子ペンシステムにおいてデータ処理サーバが筆記データを受け取れるようにするためのデータを管理するテーブルであり、データ処理サーバID701と公開鍵702とを対応付けて格納する。データ処理サーバID701は、ネットワーク103上で各データ処理サーバを一意に識別するアドレスである。公開鍵702は、各データ処理サーバで使用される公開鍵暗号の公開鍵(すなわち、各データ処理サーバが保持する秘密鍵に対応する公開鍵)である。
【0050】
図6は、本発明の実施形態のページ管理テーブル128の構成を説明する図である。
【0051】
ページ管理テーブル128は、電子ペン101で筆記したページごとに、その筆記データを受け取るべきデータ処理サーバ(言い換えると、電子ペンクライアント111が筆記データを送信すべきデータ処理サーバ)を管理するためのテーブルであり、PageID801とデータ処理サーバID802とを対応付けて格納する。
【0052】
なお、図1には、電子ペンクライアント111、データ振り分けサーバ121及びデータ処理サーバ131等がそれぞれ独立したハードウェアによって実現される例を示したが、これらが同一のハードウェアによって実現されてもよい。
【0053】
例えば、データ振り分けサーバ121が通信装置113と同等のインターフェースを備え、さらに、記憶装置124に電子ペンクライアントPG116と同等のプログラムが格納されていれば、データ振り分けサーバ121は、電子ペンクライアント111としても使用することができる。
【0054】
あるいは、複数のデータ処理サーバの一つ、例えばデータ処理サーバ131の記憶装置134に、データ振り分けサーバPG125、鍵ペア格納部126、データ処理サーバ管理テーブル127及びページ管理テーブル128と同等のものが格納されていれば、データ処理サーバ131は、データ振り分けサーバ121としても使用することができる。
【0055】
次に、電子ペンシステムの処理の基本的な流れを説明する。
【0056】
図7は、本発明の実施形態の電子ペンシステムの処理の全体を示すフローチャートである。
【0057】
図7に示す処理は、電子ペンシステム導入時に開始される(ステップ301)。
【0058】
データ振り分けサーバ121において、図示しない入出力装置を用いて管理者が指示を入力すると、データ振り分けサーバPG125が公開鍵暗号の鍵ペアを生成し、生成した鍵ペアを鍵ペア格納部126に格納する(ステップ302)。
【0059】
データ処理サーバ131においても、図示しない入出力装置を用いて管理者が指示を入力すると、データ処理サーバPG135が公開鍵暗号の鍵ペアを生成し、生成した鍵ペアを鍵ペア格納部136に格納する。同様に、データ処理サーバ141においても、データ処理サーバPG145が鍵ペアを生成し、それを鍵ペア格納部146に格納する。電子ペンシステムが上記以外のデータ処理サーバ(図示省略)をさらに含む場合、データ処理サーバごとに、そのデータ処理サーバにおける鍵ペア生成処理(ステップ302)が実行される。さらに、データ処理サーバが追加されると、その追加されたデータ処理サーバにおいて、鍵ペア生成処理(ステップ302)が実行される。
【0060】
次に、データ処理サーバPG135は、鍵ペア格納部136に格納されている鍵ペアのうち公開鍵Kauを、そのデータ処理サーバのデータ処理サーバIDとともに、データ振り分けサーバ121に登録する(ステップ303)。データ処理サーバからデータ振り分けサーバ121への公開鍵の受け渡しは、図示しない入出力装置を用いて、各サーバの管理者によって手動で行われてもよいし、ネットワーク103を介して自動で行われてもよい。データ振り分けサーバPG125は、データ処理サーバIDと公開鍵とのペアを、データ処理サーバ管理テーブル127に格納する。
【0061】
データ処理サーバPG145も、ステップ303において上記と同様の処理を実行する。
【0062】
次に、電子ペン活性化処理(図8参照)が実行される(ステップ304)。
【0063】
図8は、本発明の実施形態において実行される電子ペン活性化処理を示すフローチャートである。
【0064】
電子ペン活性化処理は、電子ペン101ごとに、その電子ペン101の使用開始時に実行される。あらかじめ、ネットワーク103上でデータ振り分けサーバ121を一意に識別するアドレスであるデータ振り分けサーバIDが、電子ペンクライアント111に登録されている。
【0065】
まず、電子ペンPG212が、接続先の電子ペンクライアント111に活性化要求を送信する(ステップ401)。この送信は、例えば、送信ボックス211と同様に、活性化要求ボックス(図示省略)を用意しておき、電子ペン101によって活性化要求ボックスに書き込むことによって実行されてもよい。
【0066】
あるいは、電子ペンPG212は、電子ペン101の電源が投入されたときに、データ振り分けサーバ121の公開鍵が電子ペン101に格納されているか否かを判定してもよい。データ振り分けサーバ121の公開鍵が格納されていないと判定された場合、電子ペンPG212は、活性化が必要である旨を、電子ペン101の出力装置(図示省略)を用いてユーザに通知してもよい。
【0067】
あるいは、電子ペンPG212は、後述する筆記データ取得処理が開始されたときに、データ振り分けサーバ121の公開鍵が電子ペン101に格納されているか否かを判定してもよい。データ振り分けサーバ121の公開鍵が格納されていないと判定された場合、電子ペンPG212は、活性化が必要である旨を、電子ペン101の出力装置を用いてユーザに通知してもよい。
【0068】
あるいは、筆記データ取得処理が開始される前に電子ペン101が電子ペンクライアント111に接続された時点で、電子ペンPG212又は電子ペンクライアントPG116は、データ振り分けサーバ121の公開鍵が電子ペン101に格納されているか否かを判定してもよい。データ振り分けサーバ121の公開鍵が格納されていないと判定された場合、電子ペンPG212又は電子ペンクライアントPG116は、活性化が必要である旨を、電子ペン101の出力装置又は電子ペンクライアント111の出力装置(図示省略)を用いてユーザに通知してもよい。
【0069】
あるいは、上記のようにデータ振り分けサーバ121の公開鍵が格納されていないと電子ペンPG212又は電子ペンクライアントPG116によって判定された場合、電子ペンPG212又は電子ペンクライアントPG116は、活性化を実行するか否かを、電子ペン101の出力装置又は電子ペンクライアント111の出力装置を用いてユーザに問い合わせてもよい。
【0070】
上記の通知又は問い合わせを受けたユーザは、活性化を実行するか否かを判定し、実行すると判定した場合、活性化を指示するための操作を行う。この操作は、例えば、上記のような電子ペン101を用いた活性化要求ボックスへの書き込みであってもよいし、電子ペンクライアント111への所定の指示の入力であってもよい。電子ペンクライアント111に所定の指示が入力された場合、その指示が、ステップ401における活性化要求として扱われてもよい。
【0071】
電子ペンクライアントPG116は、活性化要求を受信する(ステップ402)と、登録されているデータ振り分けサーバIDに対して活性化要求を送信する(ステップ403)。
【0072】
データ振り分けサーバPG125は、活性化要求を受信する(ステップ404)と、鍵ペア格納部126に格納されている鍵ペアに含まれる公開鍵Keu(すなわち、データ振り分けサーバ121が保持する秘密鍵に対応する公開鍵)を電子ペンクライアント111に返信する(ステップ405)。
【0073】
電子ペンクライアントPG116は、データ振り分けサーバ121の公開鍵Keuを受信する(ステップ406)と、その公開鍵Keuを、登録されているデータ振り分けサーバIDとともに、接続されている電子ペン101に返信する(ステップ407)。
【0074】
電子ペンPG212は、データ振り分けサーバ121の公開鍵Keu及びデータ振り分けサーバIDを受信すると、それらをデータ振り分けサーバ情報格納部216に格納する(ステップ408)。
【0075】
電子ペンPG212は、その後、筆記データの暗号化に用いる暗号鍵を生成し、生成された暗号鍵を鍵格納部215に格納する(ステップ409)。ここでは、筆記データの暗号化に公開鍵暗号ではなく共通鍵暗号を用いる。共通鍵暗号を処理するための負荷が、公開鍵暗号を処理するための負荷より小さいためである。したがって、ステップ409で生成される暗号鍵は、共通鍵K1である。
【0076】
不揮発性であるメモリ207に格納された情報(例えば公開鍵Keu及び共通鍵K1)は、意図的に消去されない限り、電源切断後も保持される。このため、電子ペン101において電子ペン活性化処理が一度実行された後に電源が切断され、さらにその後電源が投入された場合、その電子ペン101について、ステップ401〜ステップ408を再び実行する必要はない。このため、例えば、電子ペン101は、電源が投入された後、公開鍵Keuを保持しているか否かを判定し、保持していない場合にステップ401〜ステップ408を実行してもよい。
【0077】
しかし、後述するように、データの安全を確保するため、鍵格納部215に格納された共通鍵は、電子ペン101の電源が切断されるときに消去される。このため、電子ペンPG212は、電源が投入されたとき、ステップ409を実行して新たな共通鍵を生成する必要がある。
【0078】
再び図7を参照して、ステップ304の実行が終了した後の処理を説明する。
【0079】
ステップ304の実行が終了した後、筆記データ取得処理(ステップ305)が実行される。筆記データ取得処理は、電子ペン101が筆記に使用されるたびに実行される。さらに、本実施形態の電子ペンシステムが複数の電子ペン101を備える場合、筆記データ取得処理は、電子ペン101ごとに実行される。
【0080】
ステップ305において、電子ペンPG212は、前述の方法で筆記データを時系列に取得する。取得した筆記データおよびその筆記データに対応するPageIDは、筆記データ管理テーブル213に格納される。取得した筆記データのPageIDが変わると、その後に取得された筆記データは、次のレコードとして筆記データ管理テーブル213に格納される。すなわち、筆記データ管理テーブル213の1つのレコードには、1つのページ分の筆記データが格納される。
【0081】
次に、電子ペンPG212は、所定のイベントを検出したか否かを判定する(ステップ308)。ここで、所定のイベントとは、筆記データの暗号化を開始する契機となるべきイベントであり、例えば、暗号化を開始する必要が生じたこと(又は、必要性が高まったこと)を示すイベントであってもよいし、暗号化の実行が可能になったこと(又は、容易になったこと)を示すイベントであってもよい。暗号化の実行が可能(又は容易)になったこととは、例えば、筆記データ取得処理に影響を与えない筆記データ暗号化処理が可能になったことを意味する。
【0082】
例えば、最後に筆記データが取得されてから所定の時間が経過した場合(言い換えると、筆記データが所定の時間取得されなかった場合)、電子ペン101のユーザが筆記を中断していると考えられる。プロセッサ206の処理能力が高くない場合であっても、筆記が中断している間は、筆記データ取得処理に影響を与えることなく筆記データの暗号化を実行することができる。すなわち、ユーザによる筆記の中断は、暗号化の実行が可能(又は容易)になったことを示すといえる。このため、上記の所定のイベントは、例えば、最後に筆記データが取得されてから所定の時間が経過したことであってもよい。
【0083】
電子ペン101に電源切断要求が入力された場合も、上記と同様の理由によって、暗号化の実行が可能(又は容易)になったということができる。
【0084】
さらに、電子ペン101の電源の切断は、ユーザが電子ペン101から離れる可能性をも示している。このような場合、電子ペン101が暗号化されていない筆記データを保持していると、第三者がその筆記データを読み出す可能性がある。これを防ぐためには、速やかに筆記データを暗号化する必要がある。すなわち、電源切断要求の入力は、暗号化の必要が生じた(又は必要性が高まった)ことを示すともいえる。
【0085】
このため、上記の所定のイベントは、電子ペン101に電源切断要求が入力されたこと(すなわち、例えば電子ペン101のキャップが取り付けられたこと)であってもよい。
【0086】
さらに、上記以外のイベントがステップ308において検出されてもよい。例えば、暗号化を実行する必要が生じたことを示すイベントとして、バッテリ209の残量が所定の閾値以下となったこと、及び、メモリの空き容量が所定の閾値以下となったことが挙げられる。
【0087】
ステップ308において所定のイベントを検出したと判定された場合、筆記データを暗号化するタイミングが到来したため、電子ペンPG212は、筆記データ暗号化処理(図9参照)を実行する(ステップ306)。
【0088】
一方、ステップ308において所定のイベントを検出していないと判定された場合、電子ペンPG212は、まだ筆記データ暗号化処理を実行せずに、所定のイベントの検出を待つ。所定のイベントが検出されるまでの間に電子ペン101が筆記に使用された場合、ステップ305が実行される。
【0089】
図9は、本発明の実施形態において実行される筆記データ暗号化処理を示すフローチャートである。
【0090】
電子ペン101の第一義は、筆記データを精度よく取得して蓄積することである。これを阻害する暗号方法は認められない。本実施形態では、電子ペン101の処理能力が乏しいため、筆記データ取得と暗号化は並列に処理できないことを前提とする。
【0091】
電子ペン101は、筆記データを取得していないとき、すなわち、ステップ305の処理が行われていないときに、筆記データ管理テーブル213に格納されている筆記データを暗号化する(ステップ306)。例えば、ステップ308における所定のイベントが、最後に筆記データが取得されてから所定の時間が経過したこと、又は、電子ペン101に電源切断要求が入力されたこと、である場合、ステップ305の処理が行われていないときに筆記データの暗号化が実行される。
【0092】
筆記データ管理テーブル213に筆記データが存在する間は、ステップ306が繰り返される。ステップ306の処理の途中で、電子ペン101が筆記に使用された場合、電子ペンPG212は、ステップ306の処理を中断し、ステップ305の処理を実行する。
【0093】
筆記データの暗号化に用いる共通鍵は、ある規則にしたがって変更される。電子ペン101が一つの共通鍵を長期に保持することは、セキュリティレベルを低下させる。ある一つの共通鍵で暗号化される対象データをユニットと呼ぶ。ユニットは、細か過ぎると処理効率が悪い。例えば、ストローク(すなわち一筆書き単位の筆記データ)ごと、又は、サンプル点(一点の座標データ)ごとのユニットでは、効率が悪い。一方、一つのユニットを、複数のデータ処理サーバが利用する場合、複数のデータ処理サーバに同じ共通鍵及びデータが保持されることになり、その結果セキュリティレベルが低下する。
【0094】
これに対して、例えば、ユニットがページ単位であれば、効率がよく、かつ安全である。本実施形態では、筆記データ管理テーブル213の一つのレコードを一つのユニットとして扱う。その結果、一つのページから取得された筆記データ(すなわち、あるページへの筆記が開始されてから、その他のページへの筆記が開始されるまでの間に取得された筆記データ)が一つのユニットとして扱われる。
【0095】
ただし、筆記データの安全を確保するためには、取得された筆記データを可能な限り早く暗号化することが望ましい。このため、最後に筆記データが取得されてから所定の時間が経過した場合、その時点で筆記データ管理テーブル213に格納されているすべてのデータ(すなわち、すべてのレコードに含まれるデータ)が暗号化されてもよい。このような処理は、ステップ308の所定のイベントが、最後に筆記データが取得されてから所定の時間が経過したこと、である場合に実現される。その場合、その暗号化が実行された後に取得された筆記データは、PageIDにかかわらず、その実行の前に取得された筆記データと異なるユニットとして扱われる。
【0096】
以下、筆記データ暗号化処理をステップごとに説明する。この処理はすべて電子ペンPG212によって実行される。
【0097】
まず、電子ペンPG212は、筆記データ管理テーブル213に格納されている最も古いレコードからユニット及びPageIDを読み出し、それぞれを鍵格納部215に格納されている共通鍵を用いて暗号化する(ステップ501)。ここでは、筆記データ管理テーブル213に格納されている最も古いレコードのユニットをUnit1、鍵格納部215に格納されている共通鍵をK1と表記し、共通鍵K1によって暗号化されたUnit1をK1(Unit1)、共通鍵K1によって暗号化されたPageIDをK1(PageID)と表記する。
【0098】
次に、電子ペンPG212は、ステップ501で暗号化に用いた共通鍵を、データ振り分けサーバ121の公開鍵Keuを用いて暗号化し、暗号化された共通鍵を、ステップ501で暗号化した結果とともに、暗号筆記データ管理テーブル214に格納する(ステップ502)。ここでは、ステップ501で暗号化に用いた共通鍵がK1であるので、公開鍵Keuを用いて暗号化された結果のデータはKeu(K1)と表記される。
【0099】
その後、電子ペンPG212は、ステップ501で暗号化されたレコード(上記の例ではUnit1を含むレコード)を筆記データ管理テーブル213から、暗号化に用いた共通鍵(上記の例ではK1)を鍵格納部215から、それぞれ消去する(ステップ503)。
【0100】
最後に、電子ペンPG212は、新たな筆記データの暗号化に用いる共通鍵を生成し、それを鍵格納部215に格納する(ステップ504)。ここでは、共通鍵K2が生成される。
【0101】
電子ペン101の電源を切断する要求を受けた場合、電子ペンPG212は、すべてのデータの暗号化が終わってから、すなわち、筆記データ管理テーブル213に格納されているレコードがなくなるまで上記の筆記データ暗号化処理を実行してから、電源を切断する。さらに、電子ペンPG212は、メモリ207の容量限界に達する前及びバッテリ209の残量がなくなる前に、暗号化を終了させることが望ましい。
【0102】
なお、使用者が電子ペン101の電源を切断した後も、その電子ペン101が共通鍵を保持し続けることは、セキュリティレベルを著しく低下させる。例えば、使用者が電源を切断した電子ペン101を机上に放置して離席した場合、第三者(すなわちその電子ペン101が取得した筆記データを閲覧すべきでない者)が電子ペン101から共通鍵を読み出す可能性がある。その後使用者が電子ペン101を用いて筆記データを取得し、それを暗号化しても、共通鍵を取得した第三者は、暗号化された筆記データを容易に復号化することができる。
【0103】
このようなセキュリティレベルの低下を防ぐために、電源が切断された電子ペン101は共通鍵を保持しないことが望ましい。例えば、ステップ308において電源切断要求が入力されたために図9の筆記データ暗号化処理が実行される場合、ステップ504の実行が省略される。その結果、電源が切断された電子ペン101は、共通鍵を保持しない。これによって、第三者によるデータの盗聴を防ぐことができる。
【0104】
電子ペンPG212は、ステップ409又はステップ504において複数の共通鍵(すなわち、次回以降の筆記データ暗号化処理において使用されるべき共通鍵)を作成してもよい。この場合、鍵格納部215には複数の共通鍵が格納される。この場合において電子ペン101の電源が切断される場合、上記のようにデータの安全を確保するために、電子ペンPG212は、ステップ503において鍵格納部215に格納されているすべての共通鍵を消去する。
【0105】
上記の筆記データ暗号化処理は、ユーザによって暗号化を明示的に指示された場合に実行されてもよい。具体的には、例えば、送信ボックス211の場合と同様に、電子ペン101が所定のドットパターンを読み込んだときに、その対象ページ、又は、電子ペン101が保持する全筆記データを対象として、筆記データ暗号化処理が実行されてもよい。
【0106】
再び図7を参照して、ステップ306の実行が終了した後の処理を説明する。
【0107】
ステップ306の実行が終了すると、筆記データ転送処理が実行される(ステップ307)。
【0108】
図10は、本発明の実施形態において実行される筆記データ転送処理を示すフローチャートである。
【0109】
筆記データ転送処理は、電子ペン101ごとに実行される。
【0110】
まず、電子ペンPG212が、暗号筆記データ管理テーブル214に格納されているすべての暗号筆記データを、データ振り分けサーバ情報格納部216に格納されているデータ振り分けサーバIDとともに、接続先の電子ペンクライアント111に送信し、その後、暗号筆記データ管理テーブル214に格納されているすべての暗号筆記データを消去する(ステップ601)。ここで、暗号筆記データはK1(Unit1)、K1(PageID)及びKeu(K1)であり、これらが送信され、その後消去される。以下、上記の暗号筆記データが送信された場合を例として説明する。
【0111】
この送信は、例えば、電子ペン101による送信ボックス211への書き込みを契機として実行される。なお、この送信のタイミングで、電子ペンPG212は、筆記データ管理テーブル213における筆記データの存在を確認し、筆記データが存在する場合はステップ306の処理を実行することによって、暗号化されていない筆記データをなくしてから(すなわち格納されているすべての筆記データを暗号化してから)ステップ601の処理を実行する。
【0112】
電子ペンクライアントPG116は、暗号筆記データ及びデータ振り分けサーバIDを受信する(ステップ602)と、暗号筆記データのうち、暗号化されたPageID(すなわちK1(PageID))、及び、その暗号化に用いた共通鍵K1をデータ振り分けサーバ121の公開鍵Keuで暗号化した結果(すなわちKeu(K1))を、受信したデータ振り分けサーバIDによって識別されるデータ振り分けサーバ121に送信する(ステップ603)。
【0113】
データ振り分けサーバPG125は、ステップ603で送信された、暗号化されたPageID(K1(PageID))、及び、Keuによって暗号化された共通鍵(Keu(K1))を受信する(ステップ604)と、その暗号化された共通鍵(Keu(K1))を、鍵ペア格納部126に格納されている鍵ペアにおける秘密鍵Kerで復号化することによって、共通鍵K1を得る(ステップ605)。
【0114】
次に、データ振り分けサーバPG125は、ステップ604で受信した、暗号化されたPageID(K1(PageID))を、ステップ605で得た共通鍵K1で復号化することによって、PageIDを得る(ステップ606)。
【0115】
さらに、データ振り分けサーバPG125は、ステップ605で得た共通鍵K1を、ステップ606で得たPageIDに対応するデータ処理サーバの公開鍵Kauで暗号化する(ステップ607)。ステップ606で得たPageIDに対応するデータ処理サーバとは、これから送信しようとする筆記データを処理すべきデータ処理サーバ、すなわち、これから送信しようとする筆記データの送信先となるべきデータ処理サーバである。
【0116】
PageIDに対応するデータ処理サーバの公開鍵Kauは、PageIDをキーとしてページ管理テーブル128を検索することによって、対応するデータ処理サーバIDを取得し、そのデータ処理サーバIDをキーとしてデータ処理サーバ管理テーブル127を検索することによって得られる。
【0117】
以下、ステップ606で得たPageIDにデータ処理サーバ131が対応する場合を例として説明する。
【0118】
データ振り分けサーバPG125は、ステップ605で得た共通鍵をデータ振り分けサーバ121から消去(ステップ608)する。
【0119】
次に、データ振り分けサーバPG125は、ステップ606で得たPageIDをキーとしてページ管理テーブル128を検索することによって得られるデータ処理サーバID(この例では、データ処理サーバ131を識別する情報)と、ステップ607において公開鍵Kauによって暗号化された共通鍵(Kau(K1))と、を電子ペンクライアント111に返信する(ステップ609)。
【0120】
電子ペンクライアントPG116は、データ処理サーバIDと、暗号化された共通鍵(Kau(K1))と、を受信する(ステップ610)。
【0121】
次に、電子ペンクライアントPG116は、ステップ610において受信した、公開鍵Kauによって暗号化された共通鍵(Kau(K1))と、ステップ602で受信した暗号筆記データのうち暗号化されたユニット及びPageIDを、受信したデータ処理サーバIDによって識別されるデータ処理サーバ131に送信する(ステップ611)。
【0122】
データ処理サーバPG135は、ステップ611において送信された、暗号化された共通鍵(Kau(K1))、共通鍵によって暗号化されたユニット(K1(Unit1))及びPageID(K1(PageID))を受信する(ステップ612)。
【0123】
次に、データ処理サーバPG135は、暗号化された共通鍵(Kau(K1))を、鍵ペア格納部136に格納されている鍵ペアにおける秘密鍵Karで復号化することによって、共通鍵K1を得る(ステップ613)。
【0124】
次に、データ処理サーバPG135は、ステップ612で受信した、暗号化されたユニット(K1(Unit1))及びPageID(K1(PageID))を、ステップ613で得た共通鍵K1で復号化することによって、PageIDと、そのPageIDに対応するユニットとを得る(ステップ614)。
【0125】
次に、データ処理サーバPG135は、ステップ613で得た共通鍵K1をデータ処理サーバ131から消去し(ステップ615)、ステップ307を終了する。なお、ステップ602で受信した暗号筆記データが複数存在する場合、それぞれの暗号筆記データについて、ステップ603からステップ615が繰り返される。
【0126】
上記の処理によれば、少なくともPageID以外の筆記データは、電子ペン101において共通鍵を用いて暗号化された後、その筆記データを処理するデータ処理サーバに到達するまで、一度も復号化されることがない。これによって、電子ペン101のような、常にネットワーク103に接続されているわけではないデータ作成装置におけるデータの暗号化と、ネットワーク103におけるデータの暗号化とが一貫して処理される。
【0127】
なお、PageIDとデータ処理サーバ141のデータ処理サーバIDとが対応する場合、ステップ609において、データ処理サーバ141のデータ処理サーバIDが送信される。その場合、ステップ611においてユニット等はデータ処理サーバ141に送信され、データ処理サーバPG145においてステップ612〜ステップ615に相当する処理が実行される。
【0128】
使用する公開鍵暗号及び共通鍵暗号の具体的なアルゴリズム及び鍵長は、計算機の処理能力及び記憶装置の容量のほか、安全性及び高速性を考慮して決めればよい。例えば、RSA、AES又はMULTI−S01等が用いられてもよい。
【0129】
筆記データの暗号化に用いる共通鍵を電子ペン101で生成する理由は、電子ペン101が他の構成要素と常に通信できるわけではないからである。
【0130】
アルゴリズム及び鍵長によって異なるが、共通鍵生成も電子ペン101に負荷を与える。電子ペンPG212は、電子ペン101の負荷が軽いときに、次の暗号化処理に使用する共通鍵を1つ生成する。具体的には、電子ペンPG212は、電子ペン活性化直後、及び、前のユニットを暗号化した後に、共通鍵を1つ生成する。
【0131】
なお、電子ペンPG212は、複数個の共通鍵を生成できるときに生成しておいてもよいが、生成された複数の共通鍵を格納するためのメモリ領域は必要となる。共通鍵生成処理の途中で、ステップ305の処理が発生した場合、電子ペンPG212は、共通鍵生成処理を中断し、ステップ305の処理を行う。また、共通鍵生成処理の途中で、ステップ306の処理が発生した場合、電子ペンPG212は、共通鍵生成処理を中断し、ステップ306の処理を行う。ただし、鍵格納部215に共通鍵がない場合(すなわち、これから使用されるべき共通鍵がまだ生成されていない場合)、電子ペンPG212は、ステップ306の処理を行うための共通鍵を生成する。
【0132】
上記の本発明の実施形態は、電子ペン101が取得した筆記データを処理する情報システムを例示しているが、電子ペン101が他のデータ作成装置(例えばデジタルカメラ)によって置き換えられてよい。その場合、データ作成装置の処理能力が十分でなくても、データ取得処理を妨げずにデータ暗号化を実行することができる。これによって、データ取得処理の性能を維持しながら、セキュリティレベルを改善することができる。
【図面の簡単な説明】
【0133】
【図1】本発明の実施形態の全体システム構成を示すブロック図である。
【図2】本発明の実施形態の電子ペンの構成及び機能を説明するための図である。
【図3】本発明の実施形態の筆記データ管理テーブルの構成を説明する図である。
【図4】本発明の実施形態の暗号筆記データ管理テーブルの構成を説明する図である。
【図5】本発明の実施形態のデータ処理サーバ管理テーブルの構成を説明する図である。
【図6】本発明の実施形態のページ管理テーブルの構成を説明する図である。
【図7】本発明の実施形態の電子ペンシステムの処理の全体を示すフローチャートである。
【図8】本発明の実施形態において実行される電子ペン活性化処理を示すフローチャートである。
【図9】本発明の実施形態において実行される筆記データ暗号化処理を示すフローチャートである。
【図10】本発明の実施形態において実行される筆記データ転送処理を示すフローチャートである。
【符号の説明】
【0134】
101 電子ペン
102 電子ペン対応帳票
201 ドットパターン
202 発光ダイオード
203 カメラ
204 インクカートリッジ
205 筆圧センサ
206 プロセッサ
207 メモリ
208 時計
209 バッテリ
210 通信装置
211 送信ボックス
212 電子ペンPG
213 筆記データ管理テーブル
214 暗号筆記データ管理テーブル
215 鍵格納部
216 データ振り分けサーバ情報格納部
【特許請求の範囲】
【請求項1】
取得したデータを暗号化して出力するデータ作成装置であって、
取得した前記データを保持するメモリと、前記メモリに接続されるプロセッサと、前記メモリ及び前記プロセッサに電力を供給する電源部と、を備え、
前記データの取得を開始した後、所定のイベントを検出したか否かを判定し、
前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成し、
前記暗号化されたデータを出力することを特徴とするデータ作成装置。
【請求項2】
前記所定のイベントは、前記データ作成装置が最後に前記データを取得してから所定の時間が経過したこと、又は、前記データ作成装置に電源切断要求が入力されたことであることを特徴とする請求項1に記載のデータ作成装置。
【請求項3】
前記データ作成装置は、
第1暗号鍵を生成し、
前記所定のイベントが検出された場合、前記第1暗号鍵を用いて、前記暗号化されたデータを生成した後、前記保持されたデータを消去し、
前記第1暗号鍵を、公開暗号鍵を用いて暗号化した後、前記第1暗号鍵を消去し、
前記暗号化された第1暗号鍵を出力することを特徴とする請求項2に記載のデータ作成装置。
【請求項4】
前記データ作成装置は、
前記第1暗号鍵を生成する前に前記公開暗号鍵を保持していない場合、所定の要求を出力し、
前記公開暗号鍵が入力されると、前記入力された公開暗号鍵を保持し、
前記公開暗号鍵が入力された後、前記データの取得を開始する前に、前記第1暗号鍵を生成することを特徴とする請求項3に記載のデータ作成装置。
【請求項5】
前記データ作成装置は、
前記第1暗号鍵を消去した後、前記第1暗号鍵と異なる第2暗号鍵を生成し、
新たなデータを取得して保持し、
前記新たなデータの取得を開始した後、前記所定のイベントを検出したか否かを判定し、
前記所定のイベントが検出された場合、前記保持された新たなデータを、前記第2暗号鍵を用いて暗号化することによって、暗号化された新たなデータを生成することを特徴とする請求項3に記載のデータ作成装置。
【請求項6】
前記データ作成装置は、
前記第1暗号鍵を消去した後、前記電源部による前記プロセッサ及び前記メモリへの電力供給を切断し、
電源投入要求が入力されると、前記電源部による前記プロセッサ及び前記メモリへの電力供給を開始した後、前記第2暗号鍵を生成することを特徴とする請求項5に記載のデータ作成装置。
【請求項7】
前記データ作成装置は、前記データとして、ペン先の軌跡の座標情報を含む筆記データを取得する電子ペンであり、
前記電子ペンにペン先を覆うキャップを取り付けることによって前記電源切断要求が入力され、前記電子ペンから前記キャップを取り外すことによって前記電源投入要求が入力されることを特徴とする請求項6に記載のデータ作成装置。
【請求項8】
前記データ作成装置は、前記データとして、ペン先の軌跡の座標情報を含む筆記データを取得する電子ペンであり、
前記電子ペンは、
前記第1暗号鍵と異なる第3暗号鍵を生成し、
第1座標範囲内の第1座標を示す前記座標情報を含む前記データを取得した後、前記第1座標範囲外の第2座標を示す前記座標情報を含む前記データを取得した場合、前記第1座標を示す前記座標情報を含む前記データを、前記第1暗号鍵を用いて暗号化し、前記第2座標を示す前記座標情報を含む前記データを、前記第3暗号鍵を用いて暗号化することを特徴とする請求項3に記載のデータ作成装置。
【請求項9】
取得したデータを暗号化して出力するデータ作成装置を制御するプログラムであって、
前記データ作成装置は、取得した前記データを保持するメモリと、前記メモリに接続されるプロセッサと、前記メモリ及び前記プロセッサに電力を供給する電源部と、を備え、
前記プログラムは、
前記データの取得を開始した後、所定のイベントを検出したか否かを判定する手順と、
前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成する手順と、
前記暗号化されたデータを出力する手順と、を前記プロセッサに実行させ、
前記所定のイベントは、前記データ作成装置が最後に前記データを取得してから所定の時間が経過したこと、又は、前記データ作成装置に電源切断要求が入力されたことであることを特徴とするプログラム。
【請求項10】
前記プログラムは、さらに、
第1暗号鍵を生成する手順と、
前記暗号化されたデータを生成した後、前記保持されたデータを消去する手順と、
前記第1暗号鍵を、公開暗号鍵を用いて暗号化する手順と、
前記第1暗号鍵が暗号化された後、前記第1暗号鍵を消去する手順と、
前記暗号化された第1暗号鍵を出力する手順と、を前記プロセッサに実行させ、
前記暗号化されたデータを生成する手順は、前記第1暗号鍵を用いて、前記保持されたデータを暗号化することによって実行されることを特徴とする請求項9に記載のプログラム。
【請求項11】
前記プログラムは、さらに、
前記第1暗号鍵を消去した後、前記第1暗号鍵と異なる第2暗号鍵を生成する手順と、
新たなデータを取得して保持する手順と、
前記新たなデータの取得を開始した後、前記所定のイベントを検出したか否かを判定する手順と、
前記所定のイベントが検出された場合、前記保持された新たなデータを、前記第2暗号鍵を用いて暗号化することによって、暗号化された新たなデータを生成する手順と、を前記プロセッサに実行させることを特徴とする請求項10に記載のプログラム。
【請求項12】
前記データ作成装置は、前記データとして、ペン先の軌跡の座標情報を含む筆記データを取得する電子ペンであり、
前記プログラムは、さらに、前記第1暗号鍵と異なる第3暗号鍵を生成する手順を前記プロセッサに実行させ、
前記暗号化されたデータを生成する手順は、第1座標範囲内の第1座標を示す前記座標情報を含む前記データが取得された後、前記第1座標範囲外の第2座標を示す前記座標情報を含む前記データが取得された場合、前記第1座標を示す前記座標情報を含む前記データを、前記第1暗号鍵を用いて暗号化する手順と、前記第2座標を示す前記座標情報を含む前記データを、前記第3暗号鍵を用いて暗号化する手順と、を含むことを特徴とする請求項10に記載のプログラム。
【請求項13】
データ作成装置と、前記データ作成装置と通信するインターフェースと、前記インターフェースに接続されるデータ振り分け計算機と、前記データ振り分け計算機に接続される一つ以上のデータ処理計算機と、を備える情報システムであって、
前記データ作成装置は、前記データ作成装置が取得したデータを保持する第1メモリと、前記第1メモリに接続される第1プロセッサと、前記第1メモリ及び前記第1プロセッサに電力を供給する電源部と、を備え、
前記データ振り分け計算機は、前記インターフェース及び前記一つ以上のデータ処理計算機と通信する第1通信装置と、前記第1通信装置に接続される第2プロセッサと、前記第2プロセッサに接続される第2メモリと、を備え、
前記各データ処理計算機は、前記データ振り分け計算機と通信する第2通信装置と、前記第2通信装置に接続される第3プロセッサと、前記第3プロセッサに接続される第3メモリと、を備え、
前記データ作成装置は、
前記データの取得を開始した後、所定のイベントを検出したか否かを判定し、
前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成し、
前記暗号化されたデータを送信し、
前記所定のイベントは、前記データ作成装置が最後に前記データを取得してから所定の時間が経過したこと、又は、前記データ作成装置に電源切断要求が入力されたことであることを特徴とする情報システム。
【請求項14】
前記データ作成装置は、
第1暗号鍵を生成し、
前記所定のイベントが検出された場合、前記第1暗号鍵を用いて、前記暗号化されたデータを生成した後、前記保持されたデータを消去し、
前記第1暗号鍵を、前記データ振り分け計算機が保持する秘密暗号鍵に対応する公開暗号鍵を用いて暗号化した後、前記第1暗号鍵を消去し、
前記暗号化された第1暗号鍵を送信することを特徴とする請求項13に記載の情報システム。
【請求項15】
前記データ作成装置は、前記第1暗号鍵を生成する前に前記公開暗号鍵を保持していない場合、所定の要求を、前記インターフェースを介して前記データ振り分け計算機に送信し、
前記データ振り分け計算機は、前記所定の要求を受信すると、前記データ振り分け計算機が保持する前記秘密暗号鍵に対応する前記公開暗号鍵を送信し、
前記データ作成装置は、前記公開暗号鍵を受信すると、前記受信した公開暗号鍵を保持し、
前記公開暗号鍵を受信した後、前記データの取得を開始する前に、前記第1暗号鍵を生成することを特徴とする請求項14に記載の情報システム。
【請求項16】
前記データ作成装置は、
前記第1暗号鍵を消去した後、前記第1暗号鍵と異なる第2暗号鍵を生成し、
新たなデータを取得して保持し、
前記新たなデータの取得を開始した後、前記所定のイベントを検出したか否かを判定し、
前記所定のイベントが検出された場合、前記保持された新たなデータを、前記第2暗号鍵を用いて暗号化することによって、暗号化された新たなデータを生成することを特徴とする請求項14に記載の情報システム。
【請求項17】
前記データ作成装置は、
前記第1暗号鍵を消去した後、前記電源部による前記プロセッサ及び前記メモリへの電力供給を切断し、
電源投入要求が入力されると、前記電源部による前記プロセッサ及び前記メモリへの電力供給を開始し、前記第2暗号鍵を生成することを特徴とする請求項16に記載の情報システム。
【請求項18】
前記データ作成装置は、前記データとして、ペン先の軌跡の座標情報を含む筆記データを取得する電子ペンであり、
前記電子ペンは、
取得した前記データが、第1座標範囲内の第1座標を示す前記座標情報を含む場合、前記暗号化された第1暗号鍵、及び、前記第1座標範囲を識別する情報を、前記インターフェースを介して前記データ振り分け計算機に送信し、
前記データ振り分け計算機には、座標範囲と、前記各データ処理計算機とを対応付ける管理情報、及び、前記各データ処理計算機が保持する秘密暗号鍵に対応する公開暗号鍵があらかじめ保持され、
前記データ振り分け計算機は、
前記第1座標範囲を識別する情報を受信すると、前記管理情報に基づいて、前記第1座標範囲に対応する前記データ処理計算機を特定し、
前記暗号化された第1暗号鍵を、前記データ振り分け計算機が保持する秘密暗号鍵を用いて復号化し、
前記復号化された第1暗号鍵を、前記特定されたデータ処理計算機に対応する前記公開暗号鍵を用いて暗号化し、
前記特定されたデータ処理計算機を識別する情報、及び、前記特定されたデータ処理計算機に対応する前記公開暗号鍵を用いて暗号化された前記第1暗号鍵を、前記電子ペンに送信し、
前記電子ペンは、前記暗号化されたデータ、及び、前記特定されたデータ処理計算機に対応する前記公開暗号鍵を用いて暗号化された前記第1暗号鍵を、前記特定されたデータ処理計算機に送信し、
前記特定されたデータ処理計算機は、
前記特定されたデータ処理計算機に対応する前記公開暗号鍵を用いて暗号化された前記第1暗号鍵を、前記特定されたデータ処理計算機が保持する前記秘密暗号鍵を用いて復号化し、
前記復号化された第1暗号鍵を用いて、前記暗号化されたデータを復号化することを特徴とする請求項14に記載の情報システム。
【請求項19】
前記電子ペンは、
前記第1暗号鍵と異なる第3暗号鍵を生成し、
第1座標範囲内の第1座標を示す前記座標情報を含む前記データを取得した後、前記第1座標範囲外の第2座標を示す前記座標情報を含む前記データを取得した場合、前記第1座標を示す前記座標情報を含む前記データを、前記第1暗号鍵を用いて暗号化し、前記第2座標を示す前記座標情報を含む前記データを、前記第3暗号鍵を用いて暗号化することを特徴とする請求項18に記載の情報システム。
【請求項20】
取得したデータを暗号化して出力するデータ作成装置を制御する方法であって、
前記データ作成装置は、前記データを保持するメモリと、前記メモリに接続されるプロセッサと、を備え、
前記方法は、
前記データの取得を開始した後、所定のイベントを検出したか否かを判定する手順と、
前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成する手順と、
前記暗号化されたデータを出力する手順と、を含み、
前記所定のイベントは、前記データ作成装置が最後に前記データを取得してから所定の時間が経過したこと、又は、前記データ作成装置に電源切断要求が入力されたことであることを特徴とする方法。
【請求項1】
取得したデータを暗号化して出力するデータ作成装置であって、
取得した前記データを保持するメモリと、前記メモリに接続されるプロセッサと、前記メモリ及び前記プロセッサに電力を供給する電源部と、を備え、
前記データの取得を開始した後、所定のイベントを検出したか否かを判定し、
前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成し、
前記暗号化されたデータを出力することを特徴とするデータ作成装置。
【請求項2】
前記所定のイベントは、前記データ作成装置が最後に前記データを取得してから所定の時間が経過したこと、又は、前記データ作成装置に電源切断要求が入力されたことであることを特徴とする請求項1に記載のデータ作成装置。
【請求項3】
前記データ作成装置は、
第1暗号鍵を生成し、
前記所定のイベントが検出された場合、前記第1暗号鍵を用いて、前記暗号化されたデータを生成した後、前記保持されたデータを消去し、
前記第1暗号鍵を、公開暗号鍵を用いて暗号化した後、前記第1暗号鍵を消去し、
前記暗号化された第1暗号鍵を出力することを特徴とする請求項2に記載のデータ作成装置。
【請求項4】
前記データ作成装置は、
前記第1暗号鍵を生成する前に前記公開暗号鍵を保持していない場合、所定の要求を出力し、
前記公開暗号鍵が入力されると、前記入力された公開暗号鍵を保持し、
前記公開暗号鍵が入力された後、前記データの取得を開始する前に、前記第1暗号鍵を生成することを特徴とする請求項3に記載のデータ作成装置。
【請求項5】
前記データ作成装置は、
前記第1暗号鍵を消去した後、前記第1暗号鍵と異なる第2暗号鍵を生成し、
新たなデータを取得して保持し、
前記新たなデータの取得を開始した後、前記所定のイベントを検出したか否かを判定し、
前記所定のイベントが検出された場合、前記保持された新たなデータを、前記第2暗号鍵を用いて暗号化することによって、暗号化された新たなデータを生成することを特徴とする請求項3に記載のデータ作成装置。
【請求項6】
前記データ作成装置は、
前記第1暗号鍵を消去した後、前記電源部による前記プロセッサ及び前記メモリへの電力供給を切断し、
電源投入要求が入力されると、前記電源部による前記プロセッサ及び前記メモリへの電力供給を開始した後、前記第2暗号鍵を生成することを特徴とする請求項5に記載のデータ作成装置。
【請求項7】
前記データ作成装置は、前記データとして、ペン先の軌跡の座標情報を含む筆記データを取得する電子ペンであり、
前記電子ペンにペン先を覆うキャップを取り付けることによって前記電源切断要求が入力され、前記電子ペンから前記キャップを取り外すことによって前記電源投入要求が入力されることを特徴とする請求項6に記載のデータ作成装置。
【請求項8】
前記データ作成装置は、前記データとして、ペン先の軌跡の座標情報を含む筆記データを取得する電子ペンであり、
前記電子ペンは、
前記第1暗号鍵と異なる第3暗号鍵を生成し、
第1座標範囲内の第1座標を示す前記座標情報を含む前記データを取得した後、前記第1座標範囲外の第2座標を示す前記座標情報を含む前記データを取得した場合、前記第1座標を示す前記座標情報を含む前記データを、前記第1暗号鍵を用いて暗号化し、前記第2座標を示す前記座標情報を含む前記データを、前記第3暗号鍵を用いて暗号化することを特徴とする請求項3に記載のデータ作成装置。
【請求項9】
取得したデータを暗号化して出力するデータ作成装置を制御するプログラムであって、
前記データ作成装置は、取得した前記データを保持するメモリと、前記メモリに接続されるプロセッサと、前記メモリ及び前記プロセッサに電力を供給する電源部と、を備え、
前記プログラムは、
前記データの取得を開始した後、所定のイベントを検出したか否かを判定する手順と、
前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成する手順と、
前記暗号化されたデータを出力する手順と、を前記プロセッサに実行させ、
前記所定のイベントは、前記データ作成装置が最後に前記データを取得してから所定の時間が経過したこと、又は、前記データ作成装置に電源切断要求が入力されたことであることを特徴とするプログラム。
【請求項10】
前記プログラムは、さらに、
第1暗号鍵を生成する手順と、
前記暗号化されたデータを生成した後、前記保持されたデータを消去する手順と、
前記第1暗号鍵を、公開暗号鍵を用いて暗号化する手順と、
前記第1暗号鍵が暗号化された後、前記第1暗号鍵を消去する手順と、
前記暗号化された第1暗号鍵を出力する手順と、を前記プロセッサに実行させ、
前記暗号化されたデータを生成する手順は、前記第1暗号鍵を用いて、前記保持されたデータを暗号化することによって実行されることを特徴とする請求項9に記載のプログラム。
【請求項11】
前記プログラムは、さらに、
前記第1暗号鍵を消去した後、前記第1暗号鍵と異なる第2暗号鍵を生成する手順と、
新たなデータを取得して保持する手順と、
前記新たなデータの取得を開始した後、前記所定のイベントを検出したか否かを判定する手順と、
前記所定のイベントが検出された場合、前記保持された新たなデータを、前記第2暗号鍵を用いて暗号化することによって、暗号化された新たなデータを生成する手順と、を前記プロセッサに実行させることを特徴とする請求項10に記載のプログラム。
【請求項12】
前記データ作成装置は、前記データとして、ペン先の軌跡の座標情報を含む筆記データを取得する電子ペンであり、
前記プログラムは、さらに、前記第1暗号鍵と異なる第3暗号鍵を生成する手順を前記プロセッサに実行させ、
前記暗号化されたデータを生成する手順は、第1座標範囲内の第1座標を示す前記座標情報を含む前記データが取得された後、前記第1座標範囲外の第2座標を示す前記座標情報を含む前記データが取得された場合、前記第1座標を示す前記座標情報を含む前記データを、前記第1暗号鍵を用いて暗号化する手順と、前記第2座標を示す前記座標情報を含む前記データを、前記第3暗号鍵を用いて暗号化する手順と、を含むことを特徴とする請求項10に記載のプログラム。
【請求項13】
データ作成装置と、前記データ作成装置と通信するインターフェースと、前記インターフェースに接続されるデータ振り分け計算機と、前記データ振り分け計算機に接続される一つ以上のデータ処理計算機と、を備える情報システムであって、
前記データ作成装置は、前記データ作成装置が取得したデータを保持する第1メモリと、前記第1メモリに接続される第1プロセッサと、前記第1メモリ及び前記第1プロセッサに電力を供給する電源部と、を備え、
前記データ振り分け計算機は、前記インターフェース及び前記一つ以上のデータ処理計算機と通信する第1通信装置と、前記第1通信装置に接続される第2プロセッサと、前記第2プロセッサに接続される第2メモリと、を備え、
前記各データ処理計算機は、前記データ振り分け計算機と通信する第2通信装置と、前記第2通信装置に接続される第3プロセッサと、前記第3プロセッサに接続される第3メモリと、を備え、
前記データ作成装置は、
前記データの取得を開始した後、所定のイベントを検出したか否かを判定し、
前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成し、
前記暗号化されたデータを送信し、
前記所定のイベントは、前記データ作成装置が最後に前記データを取得してから所定の時間が経過したこと、又は、前記データ作成装置に電源切断要求が入力されたことであることを特徴とする情報システム。
【請求項14】
前記データ作成装置は、
第1暗号鍵を生成し、
前記所定のイベントが検出された場合、前記第1暗号鍵を用いて、前記暗号化されたデータを生成した後、前記保持されたデータを消去し、
前記第1暗号鍵を、前記データ振り分け計算機が保持する秘密暗号鍵に対応する公開暗号鍵を用いて暗号化した後、前記第1暗号鍵を消去し、
前記暗号化された第1暗号鍵を送信することを特徴とする請求項13に記載の情報システム。
【請求項15】
前記データ作成装置は、前記第1暗号鍵を生成する前に前記公開暗号鍵を保持していない場合、所定の要求を、前記インターフェースを介して前記データ振り分け計算機に送信し、
前記データ振り分け計算機は、前記所定の要求を受信すると、前記データ振り分け計算機が保持する前記秘密暗号鍵に対応する前記公開暗号鍵を送信し、
前記データ作成装置は、前記公開暗号鍵を受信すると、前記受信した公開暗号鍵を保持し、
前記公開暗号鍵を受信した後、前記データの取得を開始する前に、前記第1暗号鍵を生成することを特徴とする請求項14に記載の情報システム。
【請求項16】
前記データ作成装置は、
前記第1暗号鍵を消去した後、前記第1暗号鍵と異なる第2暗号鍵を生成し、
新たなデータを取得して保持し、
前記新たなデータの取得を開始した後、前記所定のイベントを検出したか否かを判定し、
前記所定のイベントが検出された場合、前記保持された新たなデータを、前記第2暗号鍵を用いて暗号化することによって、暗号化された新たなデータを生成することを特徴とする請求項14に記載の情報システム。
【請求項17】
前記データ作成装置は、
前記第1暗号鍵を消去した後、前記電源部による前記プロセッサ及び前記メモリへの電力供給を切断し、
電源投入要求が入力されると、前記電源部による前記プロセッサ及び前記メモリへの電力供給を開始し、前記第2暗号鍵を生成することを特徴とする請求項16に記載の情報システム。
【請求項18】
前記データ作成装置は、前記データとして、ペン先の軌跡の座標情報を含む筆記データを取得する電子ペンであり、
前記電子ペンは、
取得した前記データが、第1座標範囲内の第1座標を示す前記座標情報を含む場合、前記暗号化された第1暗号鍵、及び、前記第1座標範囲を識別する情報を、前記インターフェースを介して前記データ振り分け計算機に送信し、
前記データ振り分け計算機には、座標範囲と、前記各データ処理計算機とを対応付ける管理情報、及び、前記各データ処理計算機が保持する秘密暗号鍵に対応する公開暗号鍵があらかじめ保持され、
前記データ振り分け計算機は、
前記第1座標範囲を識別する情報を受信すると、前記管理情報に基づいて、前記第1座標範囲に対応する前記データ処理計算機を特定し、
前記暗号化された第1暗号鍵を、前記データ振り分け計算機が保持する秘密暗号鍵を用いて復号化し、
前記復号化された第1暗号鍵を、前記特定されたデータ処理計算機に対応する前記公開暗号鍵を用いて暗号化し、
前記特定されたデータ処理計算機を識別する情報、及び、前記特定されたデータ処理計算機に対応する前記公開暗号鍵を用いて暗号化された前記第1暗号鍵を、前記電子ペンに送信し、
前記電子ペンは、前記暗号化されたデータ、及び、前記特定されたデータ処理計算機に対応する前記公開暗号鍵を用いて暗号化された前記第1暗号鍵を、前記特定されたデータ処理計算機に送信し、
前記特定されたデータ処理計算機は、
前記特定されたデータ処理計算機に対応する前記公開暗号鍵を用いて暗号化された前記第1暗号鍵を、前記特定されたデータ処理計算機が保持する前記秘密暗号鍵を用いて復号化し、
前記復号化された第1暗号鍵を用いて、前記暗号化されたデータを復号化することを特徴とする請求項14に記載の情報システム。
【請求項19】
前記電子ペンは、
前記第1暗号鍵と異なる第3暗号鍵を生成し、
第1座標範囲内の第1座標を示す前記座標情報を含む前記データを取得した後、前記第1座標範囲外の第2座標を示す前記座標情報を含む前記データを取得した場合、前記第1座標を示す前記座標情報を含む前記データを、前記第1暗号鍵を用いて暗号化し、前記第2座標を示す前記座標情報を含む前記データを、前記第3暗号鍵を用いて暗号化することを特徴とする請求項18に記載の情報システム。
【請求項20】
取得したデータを暗号化して出力するデータ作成装置を制御する方法であって、
前記データ作成装置は、前記データを保持するメモリと、前記メモリに接続されるプロセッサと、を備え、
前記方法は、
前記データの取得を開始した後、所定のイベントを検出したか否かを判定する手順と、
前記所定のイベントが検出された場合、前記保持されたデータを暗号化することによって、暗号化されたデータを生成する手順と、
前記暗号化されたデータを出力する手順と、を含み、
前記所定のイベントは、前記データ作成装置が最後に前記データを取得してから所定の時間が経過したこと、又は、前記データ作成装置に電源切断要求が入力されたことであることを特徴とする方法。
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図1】
【図2】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図1】
【図2】
【公開番号】特開2010−15383(P2010−15383A)
【公開日】平成22年1月21日(2010.1.21)
【国際特許分類】
【出願番号】特願2008−174718(P2008−174718)
【出願日】平成20年7月3日(2008.7.3)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成22年1月21日(2010.1.21)
【国際特許分類】
【出願日】平成20年7月3日(2008.7.3)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]