暗号データ管理システム、および暗号データ管理方法
【課題】暗号データ復号用の鍵を内蔵するデバイスを代理人に持参させずに、暗号データを用いた作業を代理人に委任できるようにする。
【解決手段】代理人側装置2により、認証情報が所有者側装置3に送信される。すると、所有者側装置3により、代理人が認証される。その後、管理対象装置1から暗号データを含むデータ処理要求が出力されると、代理人側装置2により、データ処理要求が所有者側装置3に転送される。代理人側装置2を操作している代理人が正しく認証されており、かつ代理人側装置2を使用する代理人の委任条件が予め格納された委任条件記憶手段3bに示される代理人の委任条件の範囲内の処理であれば、所有者側装置3で許可されたデータ処理要求に含まれる暗号データの復号を伴うデータ処理が実行される。
【解決手段】代理人側装置2により、認証情報が所有者側装置3に送信される。すると、所有者側装置3により、代理人が認証される。その後、管理対象装置1から暗号データを含むデータ処理要求が出力されると、代理人側装置2により、データ処理要求が所有者側装置3に転送される。代理人側装置2を操作している代理人が正しく認証されており、かつ代理人側装置2を使用する代理人の委任条件が予め格納された委任条件記憶手段3bに示される代理人の委任条件の範囲内の処理であれば、所有者側装置3で許可されたデータ処理要求に含まれる暗号データの復号を伴うデータ処理が実行される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は暗号データを管理する暗号データ管理システム、および暗号データ管理方法に関し、特に秘密鍵を格納したデバイスを接続することで暗号データの復号を可能とする暗号データ管理システム、および暗号データ管理方法に関する。
【背景技術】
【0002】
一般的に、コンピュータシステムを使用するには、ユーザ認証が行われる。ユーザ認証は、サーバに記憶された各ユーザの認証情報と、ユーザ自身が入力した認証情報とが照合される。このような認証システムには、サーバとは別の場所にあるエージェントが認証を行うシステムや、作業対象のコンピュータシステムに代理人の認証情報を予め登録しておき、該当する代理人に秘密情報へのアクセスを許可するシステムなどが考えられている(例えば、特許文献1、特許文献2参照)。
【0003】
なお、高い安全性が要求されるシステムでは、ユーザ認証に加えて、公開鍵でデータを暗号化することで重要な情報を保護する。この暗号化されたデータは、そのデータの所有者のみが保持する秘密鍵でのみ復号可能である。このような公開鍵型の暗号の運用では秘密鍵を、耐タンパ性を有するデバイスに内蔵する。耐タンパ性を有するデバイスは、秘密鍵を外部に取り出すことができない構造となっていると共に、その秘密鍵を用いたデータの暗号化/復号機能を有している。例えば、公開鍵で暗号化された暗号データを復号するには、秘密鍵を有するデバイスに暗号データを入力し、そのデバイスが秘密鍵を用いて復号する。このような耐タンパ性を有するデバイスにICカードがある。
【0004】
このような秘密鍵により秘密情報を保護した場合、原則として、秘密鍵の所有者自身がICカードを携帯して、秘密鍵の所有者が必要とされる場所に出向くことになる。
【特許文献1】特開2006−40182号公報
【特許文献2】特開2002−222168号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
ところで、企業などでコンピュータシステムを運用する場合、そのコンピュータシステムの保守管理を他の企業に委託することがある。コンピュータシステムの保守管理の作業には、秘密情報に対するアクセスが必要となる場合もある。このような作業が発生する度に、コンピュータシステムの所有者が作業現場にICカードを持参して立ち会っていたのでは、業務上の効率が良くない。そのため、所有者は、秘密情報を利用した保守管理作業の権限を代理人に委任していた。
【0006】
しかし、代理人に所有者の権限を完全に渡すのは、システムの安全性の面で好ましくない。すなわち、秘密情報を利用した作業を代理人に委任するには、秘密鍵を内蔵したICカードを貸与することが必要である。ICカードを貸与してしまうと、代理人が所有者と同じ権限を得ることになり所有者にとってリスクが大きい。しかも、管理対象のシステムの設置場所が、所有者の所在地から遠隔地の場合もある。このような遠隔地に出向く作業者に対してICカードを貸与してしまうと、所有者による代理人の監視が困難となり、さらにリスクが増してしまう。
【0007】
本発明はこのような点に鑑みてなされたものであり、暗号データ復号用の鍵を内蔵するデバイスを代理人に持参させずに、暗号データを用いた作業を代理人に委任可能とする暗号データ管理システム、および暗号データ管理方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記課題を解決するために、管理対象システム内の暗号データを管理するための暗号データ管理システムが提供される。暗号データ管理システムは、代理人側装置と所有者側装置とを有する。代理人側装置は、代理人からの操作入力に応答して、該代理人の代理権を示す認証情報を所有者側装置に送信する送信手段と、管理対象装置から暗号データを含むデータ処理要求が出力されると、データ処理要求を所有者側装置に転送すると共に、その後データ処理要求に応答して所有者側装置から返される処理結果を管理対象装置に転送する転送手段とを有する。所有者側装置は、代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段と、代理人側装置から代理人の認証情報を受信した場合、認証情報を認証する代理人認証手段と、代理人側装置からのデータ処理要求を受信した場合、前記代理人認証手段によって認証が正常に行われ、かつ、データ処理要求に対して委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、予め登録されている鍵を用いて、許可されたデータ処理要求に含まれる暗号データの復号を伴うデータ処理を実行する実行手段と、実行手段による処理結果を代理人側装置に送信する結果送信手段とを有する。
【0009】
このような暗号データ管理システムによれば、代理人側装置により、代理人からの操作入力に応答して、代理権を有することを示す認証情報が所有者側装置に送信される。すると、所有者側装置により、認証情報が認証される。その後、管理対象システムから暗号データを含むデータ処理要求が出力されると、代理人側装置により、データ処理要求が所有者側装置に転送される。代理人側装置を操作している代理人が正しく認証されており、かつ代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、データ処理要求に含まれる暗号データの復号を伴うデータ処理が実行され、処理結果が代理人側装置に送信される。そして、代理人側装置により、処理結果が管理対象システムに転送される。
【0010】
また、上記暗号データ管理システムと同様の処理を行う暗号データ管理方法が提供される。
【発明の効果】
【0011】
上記暗号データ管理システムでは、代理人に鍵を持たせずに、委任条件の範囲内でのみ代理人に対して暗号データの復号を伴う処理を実行させることができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、実施の形態の概要を示す図である。暗号データ管理システムは、管理対象装置1、代理人側装置2、代理人側装置2にネットワークで接続された所有者側装置3で構成される。
【0013】
管理対象装置1は、暗号データ記憶手段1aと、データ処理要求手段1bとを有する。暗号データ記憶手段1aは、所有者側装置3が有する鍵3aでのみ復号可能である。例えば、公開鍵方式であれば、鍵3aが秘密鍵であり、その秘密鍵に対応する公開鍵で暗号化された暗号データが、暗号データ記憶手段1aに格納される。データ処理要求手段1bは、暗号データ記憶手段1a内の暗号データに対するアクセスを検出すると、アクセス対象の暗号データを含むデータ処理要求を代理人側装置2に送信する。
【0014】
代理人側装置2は、送信手段2aと転送手段2bとを有する。送信手段2aは、代理人からの操作入力に応答して、代理人が代理権を有することを示す認証情報を所有者側装置3に送信する。転送手段2bは、管理対象装置1から暗号データを含むデータ処理要求が出力されると、データ処理要求を所有者側装置3に転送する。そして、転送手段2bは、データ処理要求に応答して所有者側装置3から返される処理結果を管理対象装置1に転送する。
【0015】
所有者側装置3は、鍵3a、委任条件記憶手段3b、代理人認証手段3c、処理要求許否判定手段3d、データ処理手段3e、結果送信手段3fを有する。なお、鍵3a、処理要求許否判定手段3d、およびデータ処理手段3eにより、処理を実行するための実行手段3gが構成される。
【0016】
鍵3aは、管理対象装置1に格納されている暗号データを復号するためのデータである。委任条件記憶手段3bは、代理人を認証するための照合用認証情報と、代理人側装置2を使用する代理人の委任条件とを予め記憶している。代理人認証手段3cは、代理人側装置2から認証情報を受け取ると、認証情報に基づいて代理人側装置2を操作している代理人を認証する。処理要求許否判定手段3dは、代理人側装置2からのデータ処理要求を受け取ると、代理人側装置2を操作している代理人が正しく認証されており、かつ委任条件記憶手段3bに示される代理人の委任条件の範囲内の処理であればデータ処理要求に応じた処理を許可する。データ処理手段3eは、データ処理要求に応じた処理が許可されると、鍵3aを用いて、許可されたデータ処理要求に含まれる暗号データの復号を伴うデータ処理を実行する。結果送信手段3fは、処理結果を代理人側装置2に送信する。
【0017】
このような暗号データ管理システムによれば、代理人側装置2により、代理人からの操作入力に応答して、代理権を有することを示す認証情報が所有者側装置3に送信される。すると、所有者側装置3により、認証情報に基づいて代理人側装置2を操作している代理人が認証される。その後、管理対象装置1から暗号データを含むデータ処理要求が出力されると、代理人側装置2により、データ処理要求が所有者側装置3に転送される。代理人側装置2を操作している代理人が正しく認証されており、かつ代理人側装置2を使用する代理人の委任条件が予め格納された委任条件記憶手段3bに示される代理人の委任条件の範囲内の処理であれば、所有者側装置3の処理要求許否判定手段3dによりデータ処理要求に応じた処理が許可される。処理が許可されると、データ処理手段3eにより、許可されたデータ処理要求に含まれる暗号データの復号を伴うデータ処理が実行される。処理結果は、結果送信手段3fにより代理人側装置2に送信される。そして、代理人側装置2により、処理結果が管理対象装置1に転送される。
【0018】
このようにして、認証された代理人が使用する代理人側装置2を介したデータ処理要求であれば、その代理人に与えられた委任条件の範囲内で暗号データの復号を伴う処理が所有者側装置で実行される。すなわち、鍵3aは、所有者側装置3に置いたまま、代理人に対して暗号データを用いたデータ処理を伴う管理対象装置1の保守管理を委任できる。その結果、所有者は、管理対象装置1に格納された暗号データを完全に自由に処理できる権限を代理人に与えずに済み、情報保護のためのリスクが軽減される。
【0019】
このような技術は、管理対象装置1が遠隔地にある場合に特に有用である。代理人が遠隔地に出向いて管理対象装置1の保守管理を行う場合、所有者の監視が行き届かなくなるためである。
【0020】
なお、所有者側装置3の鍵3aは、常に所有者側装置3に格納しておくよりも、ICカードに格納しておき、必要なときに所有者側装置3にICカードを挿入するようにした方が、セキュリティ上好ましい。そこで、ICカードで鍵を管理する場合を例に採り、以下に実施の形態を具体的に説明する。
【0021】
[第1の実施の形態]
図2は、本実施の形態のシステム構成例を示す図である。本実施の形態にかかる暗号データ管理システムは、代理人デバイス100、所有者デバイス200、および管理対象システム300で構成される。代理人デバイス100は、所有者の代理として管理対象システム300の保守管理を行う作業者(代理人)が所持する装置である。所有者デバイス200は、管理対象システム300に格納されている情報の所有者の所在値で設置された装置である。管理対象システム300は、所有者の情報を保持していると共に、その情報の一部を公開鍵で暗号化して管理しているコンピュータシステムである。
【0022】
代理人デバイス100は、デバイス本体101、カード型プローブ102、およびICカードリーダライタ103で構成される。デバイス本体101は、例えば、ノート型のコンピュータである。デバイス本体101は無線通信機能によって、無線基地局40を介してネットワーク10に接続される。代理人デバイス100に代理人ICカード30を加えたものが、代理人側装置である。
【0023】
デバイス本体101に対して、例えば、USB(Universal Serial Bus)などの通信手段でカード型プローブ102やICカードリーダライタ103が接続されている。カード型プローブ102は、管理対象システム300が有するICカードリーダライタ302に挿入可能であり、ICカードリーダライタ302に対して通常のICカードと認識させることができる。ICカードリーダライタ103は、挿入された代理人ICカード30内のデータを読み取る。
【0024】
所有者デバイス200は、デバイス本体201とICカードリーダライタ202とで構成される。デバイス本体201は、例えば、所有者の使用しているコンピュータである。デバイス本体201はネットワーク10に接続されている。ICカードリーダライタ202は、挿入された所有者ICカード20とデータの受け渡しを行う。所有者デバイス200に所有者ICカード20を加えたものが、所有者側装置である。
【0025】
管理対象システム300は、暗号データを格納するデバイス本体301とICカードリーダライタ302とで構成される。デバイス本体301は、例えば、大規模なデータベースシステムにおけるセキュリティ管理を行うコンピュータである。ICカードリーダライタ302は、カード型プローブ102を介したデータの受け渡しを行う。
【0026】
図3は、本実施の形態に用いる代理人デバイスのハードウェア構成例を示す図である。代理人デバイス100のデバイス本体101は、CPU(Central Processing Unit)101aによって装置全体が制御されている。CPU101aには、バス101kを介してRAM(Random Access Memory)101b、ハードディスクドライブ(HDD:Hard Disk Drive)101c、グラフィック処理装置101d、入力インタフェース101f、外部機器接続インタフェース101iおよび無線通信インタフェース101jが接続されている。
【0027】
RAM101bは、デバイス本体101の主記憶装置として使用される。RAM101bには、CPU101aに実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM101bには、CPU101aによる処理に必要な各種データが格納される。HDD101cは、デバイス本体101の二次記憶装置として使用される。HDD101cには、OSのプログラム、アプリケーションプログラム、および各種データが格納される。なお、二次記憶装置としては、フラッシュメモリなどの半導体記憶装置を使用することもできる。
【0028】
グラフィック処理装置101dには、モニタ101eが接続されている。グラフィック処理装置101dは、CPU101aからの命令に従って、画像をモニタ101eの画面に表示させる。モニタ101eとしては、例えば液晶表示装置がある。
【0029】
入力インタフェース101fには、キーボード101gとポインティングデバイス101hとが接続されている。入力インタフェース101fは、キーボード101gやポインティングデバイス101hから送られてくる信号を、バス101kを介してCPU101aに送信する。なお、ポインティングデバイス101hとしては、マウス、タッチパネル、タブレット、タッチパッド、トラックボールなどがある。
【0030】
外部機器接続インタフェース101iは、外部機器と通信する通信インタフェースである。外部機器接続インタフェース101iとして、例えばUSBインタフェースなどがある。外部機器接続インタフェース101iには、カード型プローブ102とICカードリーダライタ103とが接続されている。
【0031】
無線通信インタフェース101jは、無線でデータ通信を行うことができる通信インタフェースである。無線通信インタフェース101jは、無線基地局40と無線通信を行う。
【0032】
以上のようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。なお、図3では代理人デバイス100のハードウェア構成を示したが、所有者デバイス200や管理対象システム300も同様のハードウェア構成で実現することができる。ただし、所有者デバイス200に無線通信インタフェースに代えて、ネットワーク10に直接接続可能なネットワークインタフェースが設けられている。
【0033】
次に、暗号データの管理機能について説明する。
図4は、暗号データ管理機能を示すブロック図である。所有者ICカード20には、所有者カード識別子21、秘密鍵22、およびデータ処理部23を有している。所有者カード識別子21は、所有者ICカード20を一意に識別するための識別情報である。所有者カード識別子21は、所有者ICカード20内のROM(Read Only Memory)などに固定的に記憶されている。秘密鍵22は、管理対象システム300の暗号データ記憶部320に格納された暗号データを復号するための鍵データである。秘密鍵22は、所有者ICカード20内の耐タンパ性の高いメモリに記憶されている。
【0034】
データ処理部23は、秘密鍵22を用いてデータの暗号化および復号を行う。例えば、所有者ICカード20内に設けられた暗号化/復号回路が、データ処理部23として機能する。
【0035】
代理人ICカード30はメモリを有し、そのメモリ内に代理人認証情報31と代理人カード識別子32が記憶されている。代理人認証情報31は、代理人を認証するための認証情報である。本実施の形態では、認証情報として代理人のユーザ名とパスワードとの組みが用いられる。代理人認証情報31は、所有者ICカード20を有する所有者によって、代理人ICカード30に設定される。代理人カード識別子32は、代理人ICカード30を一意に識別するための識別情報である。
【0036】
代理人デバイス100は、暗号通信部110、接続要求部120、および処理要求中継部130を有している。暗号通信部110は、所有者デバイス200との間で暗号によるデータ通信を行う。
【0037】
接続要求部120は、代理人から操作入力に応答して、所有者デバイス200に対する接続要求を行う。具体的には、接続要求部120は、接続を指示する操作入力が行われると、代理人認証情報31と代理人カード識別子32とを代理人ICカード30から読み出す。次に、接続要求部120は、代理人認証情報31と代理人カード識別子32を含む接続要求を、暗号通信部110を介して所有者デバイス200に送信する。
【0038】
なお、接続要求部120は、代理人認証情報31を代理人ICカード30から読み取るのではなく、代理人による操作入力によって取得してもよい。
処理要求中継部130は、管理対象システム300から出された暗号データの処理要求を所有者デバイス200に転送する。具体的には、処理要求中継部130は、管理対象システム300から、暗号データ記憶部320内の暗号データを含む処理要求を受け取ると、代理人ICカード30から代理人カード識別子32を取得する。そして、処理要求中継部130は、代理人カード識別子32を付与した処理要求を暗号通信部110を介して所有者デバイス200に送信する。
【0039】
所有者デバイス200は、暗号通信部210、委任条件記憶部220,認証部230、および処理要求許否判定部240を有している。暗号通信部210は、代理人デバイス100との間で暗号によるデータ通信を行う。
【0040】
委任条件記憶部220は、代理人ICカード30を有する代理人の認証情報、およびその代理人に対して付与する委任条件を記憶する記憶機能である。例えば、所有者デバイス200のデバイス本体201が有するHDDの記憶領域の一部が、委任条件記憶部220として使用される。
【0041】
認証部230は、代理人デバイス100から送られた接続要求に基づいて、代理人の認証を行う。具体的には、認証部230は、接続要求から代理人カード識別子32と代理人認証情報31とを抽出する。次に、認証部230は、代理人カード識別子32と、所有者ICカード20内の所有者カード識別子21との組みに対応する認証情報を、委任条件記憶部220から検索する。そして、認証部230は、検索で該当した認証情報と、接続要求に含まれていた代理人認証情報31とを照合する。照合の結果合致すれば、認証部230は、正しい代理人であると認証し、認証結果を代理人デバイス100に通知する。また、認証部230は、正しく認証された場合、認証した代理人カード識別子32と所有者カード識別子21との組を、処理要求許否判定部240に通知する。
【0042】
処理要求許否判定部240は、代理人デバイス100から送られた処理要求に基づいて、処理要求の許否判定を行う。具体的には、処理要求許否判定部240は、代理人デバイス100から処理要求を受け取ると、処理要求に付与された代理人カード識別子32に基づいて、認証された代理人からの処理要求かどうかを判断する。次に、処理要求許否判定部240は、委任条件記憶部220から、代理人カード識別子32と所有者ICカード20の所有者カード識別子21との組みに対応する委任条件を取得する。そして、処理要求許否判定部240は、処理要求が、代理人に対する委任条件内の処理か否かを判断する。処理要求許否判定部240は、認証された代理人からの委任条件内の処理要求であれば、処理要求を所有者ICカード20に送信する。また、処理要求許否判定部240は、所有者ICカード20から処理結果を受け取ると、暗号通信部210を介して処理結果を代理人デバイス100に送信する。
【0043】
管理対象システム300は、セキュリティ管理部310と暗号データ記憶部320とを有している。セキュリティ管理部310は、管理対象システム300内のデータのセキュリティを管理する。管理対象システム300内の各種プログラムを実行するプロセスが暗号データにアクセスする場合、セキュリティ管理部310を介したアクセスのみ許される。すなわち、代理人がシステムの保守管理の作業において、暗号データの復号が必要となると、セキュリティ管理部310に対して暗号データを指定した復号要求が出される。
【0044】
セキュリティ管理部310は、セキュリティ管理の一機能として、ICカード処理要求部311を有している。ICカード処理要求部311は、暗号データに対するアクセスがあったときに、所有者ICカード20に対して暗号データの処理を要求する。具体的には、ICカード処理要求部311は、暗号データの復号要求を受け取ると、暗号データ記憶部320から指定された暗号データを取得する。そして、ICカード処理要求部311は、取得した暗号データの復号処理を示す処理要求を代理人デバイス100に対して送信する。なお、管理対象システム300と代理人デバイス100とは、管理対象システム300のICカードリーダライタ302と、そのICカードリーダライタ302に挿入された代理人デバイス100のカード型プローブ102によって接続されている。従って、ICカード処理要求部311は、ICカードリーダライタ302に代理人ICカード30が挿入されているものと認識している。
【0045】
暗号データ記憶部320は、暗号データを記憶している。暗号データは、所有者ICカード20内の秘密鍵22と同時に生成された公開鍵で暗号化されている。この公開鍵で暗号化された暗号データは、秘密鍵22でのみ復号可能である。
【0046】
次に、委任条件記憶部220の内容について説明する。
図5は、委任条件記憶部のデータ構造例を示す図である。委任条件記憶部220には、代理人カード識別子、代理人認証情報、所有者カード識別子、許可日時、および許可回数の欄が設けられている。
【0047】
代理人カード識別子の欄には、代理人に渡した代理人ICカード30の識別情報(代理人カード識別子)が設定される。代理人認証情報の欄には、代理人の認証情報が設定される。図5の例では、認証情報として、代理人のユーザ名とパスワードとが設定されている。所有者カード識別子の欄には、所有者が有する所有者ICカード20の識別情報(所有者カード識別子)が設定される。許可日時の欄には、代理人に代理権を許可する日時(許可日時)が設定される。なお、許可日時の欄には、開始日時と終了日時とにより期間を設定することもできる。許可回数の欄には、所有者ICカード20によるデータ処理を許可する回数(許可回数)が設定される。
【0048】
このように、委任条件記憶部220には、所有者ICカード20と代理人ICカードとの組に対応づけて、代理人の認証情報と委任条件(許可日時と許可回数)とが設定されている。従って、委任条件記憶部220を参照すれば、代理人の認証と、その代理人からの処理要求の許否判定とが可能となる。
【0049】
以上のような構成のシステムにおいて、所有者ICカード20を所有者の手元に置いたまま、遠隔地にある管理対象システム300内の暗号データの復号を含むデータ処理を行うことができる。以下、暗号データの復号を含むデータ処理について説明する。
【0050】
図6は、正常にデータ処理が実行される場合の処理手順を示すシーケンス図である。図6には、管理対象システム300、代理人デバイス100、所有者デバイス200、および所有者ICカード20の処理が示されている。以下、図6に示す処理をステップ番号に沿って説明する。
【0051】
[ステップS11]代理人デバイス100は、代理人からの操作入力に応答して、所有者デバイス200に対して接続要求を送信する。具体的には、代理人デバイス100の接続要求部120は、所有者デバイス200との接続を指示する操作入力を受け付ける。次に接続要求部120は、代理人ICカード30から代理人認証情報31と代理人カード識別子32とを取得する。そして、接続要求部120は、代理人認証情報31と代理人カード識別子32とを含む接続要求を生成する。生成された接続要求は暗号通信部110で暗号化され、無線通信経由で所有者デバイス200に送信される。
【0052】
[ステップS12]所有者デバイス200は、接続要求に応じて代理人のユーザ認証を行う。具体的には、代理人デバイス100から送られた接続要求は、まず所有者デバイス200の暗号通信部210で受け取られる。暗号通信部210は、受信した接続要求を復号し、認証部230に渡す。認証部230は、所有者ICカード20から所有者カード識別子21を取得する。次に、認証部230は、取得した所有者カード識別子21と接続要求に含まれている代理人カード識別子32との組に対応する認証情報を、委任条件記憶部220から検索する。そして、認証部230は、検索によって該当した認証情報と、接続要求に含まれていた代理人認証情報31とを照合する。認証部230は、照合によって、ユーザ名とパスワードとが一致すれば、代理人が正しく本人であると認証する。
【0053】
[ステップS13]認証部230は、正しく認証できた場合、認証されたことを示す認証通知を代理人デバイス100に送信する。具体的には、認証部230は、認証通知を暗号通信部210に渡す。暗号通信部210は、認証通知を暗号化して代理人デバイス100に送信する。代理人デバイス100では、暗号化された認証通知を暗号通信部110が受け取る。暗号通信部110は、認証通知を復号し、接続要求部120に渡す。承認通知を受け取った接続要求部120は、認証に成功したことを代理人デバイス100のモニタ101eに表示する。
【0054】
また、所有者デバイス200の認証部230は、正しく認証した代理人カード識別子32と所有者カード識別子21との組を処理要求許否判定部240に渡す。
[ステップS14]代理人は、管理対象システム300に対して操作入力を行い、保守管理の作業を行う。管理対象システム300のセキュリティ管理部310は、保守管理作業中に暗号データ320へのアクセスを検出すると、アクセス対象の暗号データを暗号データ記憶部320から取得する。そして、セキュリティ管理部310内のICカード処理要求部311は、暗号データを含むデータ処理要求を代理人デバイス100に対して送信する。
【0055】
[ステップS15]代理人デバイス100は、取得したデータ処理要求を所有者デバイス200に転送する。具体的には、管理対象システム300から送信されたデータ処理要求は、代理人デバイス100の処理要求中継部130で受け取られる。処理要求中継部130は、管理対象システム300から暗号データを含むデータ処理要求を受け取ると、代理人ICカード30から代理人カード識別子32を取得し、データ処理要求に代理人カード識別子を付与する。そして、処理要求中継部130は、データ処理要求を暗号通信部110に渡す。暗号通信部110は、受け取ったデータ処理要求を暗号化し、所有者デバイス200に送信する。
【0056】
[ステップS16]所有者デバイス200は許否判定を行う。具体的には、代理人デバイス100から送られたデータ処理要求は、所有者デバイス200の暗号通信部210で受け取られる。暗号通信部210は、暗号化されたデータ処理要求を復号し、処理要求許否判定部240に渡す。処理要求許否判定部240は、委任条件記憶部220を参照し、データ処理要求を許可するか否かを判定する。この処理の詳細は後述する(図9参照)。図6の例では、データ処理要求を許可するものとする。
【0057】
[ステップS17]代理人デバイス100は、データ処理要求を所有者ICカード20に送信する。具体的には、所有者デバイス200の処理要求許否判定部240は、データ処理要求を許可した場合、データ処理要求から代理人カード識別子32を消去する。そして、処理要求許否判定部240は、代理人カード識別子32を取り除いたデータ処理要求を、所有者ICカード20に送信する。
【0058】
[ステップS18]所有者ICカード20は、データ処理要求に応じたデータ処理を行う。具体的には、所有者ICカード20では、データ処理要求をデータ処理部23が受け取る。データ処理部23は、データ処理要求に含まれる暗号データを秘密鍵22を用いて復号する。
【0059】
[ステップS19]データ処理部23は、復号された平文のデータを処理結果として、所有者デバイス200に送信する。
[ステップS20]所有者デバイス200は、所有者ICカード20から受け取った処理結果を、代理人デバイス100に送信する。具体的には、所有者デバイス200の処理要求許否判定部240は、所有者ICカード20から受け取った処理結果を、暗号通信部210に渡す。暗号通信部210は、処理要求許否判定部240から受け取った処理結果を暗号化し、代理人デバイス100に送信する。
【0060】
[ステップS21]代理人デバイス100は、所有者デバイス200から処理結果を受け取ると、その処理結果を管理対象システム300に転送する。具体的には、代理人デバイス100では、暗号通信部110が処理結果を受け取る。暗号通信部110は、受け取った処理結果を復号し、処理要求中継部130に渡す。処理要求中継部130は、管理対象システム300から出されたデータ処理要求に対する応答として、処理結果を管理対象システム300に送信する。管理対象システム300では、入力された処理結果に基づいて、保守管理に伴うデータ処理を実行する。
【0061】
このようにして、所有者ICカード20に格納されている秘密鍵22を用いた暗号データの複合が行われる。
次に、代理人の認証がエラーとなる場合の処理について説明する。
【0062】
図7は、認証エラーとなる場合の処理手順を示すシーケンス図である。以下、図7に示す処理をステップ番号に沿って説明する。
[ステップS31]代理人デバイス100は、代理人からの操作入力に応答して、所有者デバイス200に対して接続要求を送信する。詳細は図6のステップS11と同様である。
【0063】
[ステップS32]所有者デバイス200は、接続要求に応じて代理人のユーザ認証を行う。詳細は図6のステップS12と同様である。図7の例では、委任条件記憶部220から取得した認証情報と、接続要求に含まれていた代理人認証情報31とが合致しなかったものとする。
【0064】
[ステップS33]所有者デバイス200の認証部230は、認証エラーを代理人デバイス100に通知する。具体的には、認証部230は、認証エラーを示すメッセージ(認証エラーメッセージ)を暗号通信部210に渡す。暗号通信部210は、認証エラーメッセージを暗号化し、代理人デバイス100に送信する。代理人デバイス100では、暗号通信部110が認証エラーメッセージを受信する。暗号通信部110は、復号した認証エラーメッセージを接続要求部120に渡す。接続要求部120は、認証に失敗したことをモニタ101eに表示する。
【0065】
[ステップS34]代理人は、暗号データを利用しない保守管理作業であれば、管理対象システム300を用いた作業が可能である。しかし、代理人が管理対象システム300に対して暗号データを使用した指示を入力すると、管理対象システム300のセキュリティ管理部310が、保守管理作業中に暗号データ320へのアクセスを検出する。すると、セキュリティ管理部310は、アクセス対象の暗号データを暗号データ記憶部320から取得する。そして、セキュリティ管理部310内のICカード処理要求部311は、暗号データを含むデータ処理要求を代理人デバイス100に対して送信する。
【0066】
[ステップS35]代理人デバイス100は、取得したデータ処理要求を所有者デバイス200に転送する。詳細は図6のステップS15と同様である。
[ステップS36]所有者デバイス200は許否判定を行う。詳細は図6のステップS16と同様である。図7の例では、認証部230によって代理人の認証が成功していない。そのため、認証部230から処理要求許否判定部240に対して、代理人ICカード30の代理人カード識別子32が通知されていない。処理要求許否判定部240では、データ処理要求に付与されている代理人カード識別子32が、認証部230から通知されていないことで、未認証の代理人からのデータ処理要求であると認識する。その結果、処理要求許否判定部240は、データ処理要求を拒否する旨の判定を行う。
【0067】
[ステップS37]所有者デバイス200は、無効結果を代理人デバイス100に送信する。具体的には、所有者デバイス200の処理要求許否判定部240は、データ処理要求が無効であることを示す情報(無効結果)を、暗号通信部210に渡す。暗号通信部210は、処理要求許否判定部240から受け取った処理結果を暗号化し、代理人デバイス100に送信する。
【0068】
[ステップS38]代理人デバイス100は、所有者デバイス200から無効結果を受け取ると、その無効結果を管理対象システム300に転送する。具体的には、代理人デバイス100では、暗号通信部110が無効結果を受け取る。暗号通信部110は、受け取った無効結果を復号し、処理要求中継部130に渡す。処理要求中継部130は、管理対象システム300から出されたデータ処理要求に対する応答として、無効結果を管理対象システム300に送信する。管理対象システム300では、無効結果が返されたことにより、暗号データを用いた処理がエラー終了する。
【0069】
このように、正しく認証していない代理人からのデータ処理要求は、所有者デバイス200で拒否される。
また、代理人が管理対象システム300の保守管理作業を行う間、所有者は、所有者ICカード20を所有者デバイス200のICカードリーダライタ202に挿入しておく必要がある。代理人が作業を介したときに所有者ICカード20がICカードリーダライタ202に挿入されていたとしても、所有者が所有者ICカード20をICカードリーダライタ202から抜いてしまえば、以後、暗号データを用いた処理は実行されない。すなわち、所有者は、代理人が予定外の作業を行っていることを知った場合、所有者ICカード20をICカードリーダライタ202から抜くことで、重要なデータを保護できる。
【0070】
図8は、所有者ICカードが抜かれた場合の処理手順を示すシーケンス図である。以下、図8に示す処理をステップ番号に沿って説明する。
[ステップS41]代理人デバイス100は、代理人からの操作入力に応答して、所有者デバイス200に対して接続要求を送信する。詳細は図6のステップS11と同様である。
【0071】
[ステップS42]所有者デバイス200は、接続要求に応じて代理人のユーザ認証を行う。詳細は図6のステップS12と同様である。図8の例では、この段階では所有者ICカード20がICカードリーダライタ202に挿入されており、代理人を正しく認証したものとする。
【0072】
[ステップS43]認証部230は、正しく認証できた場合、認証されたことを示す認証通知を代理人デバイス100に送信する。詳細は、図6のステップS13と同様である。
【0073】
[ステップS44]代理人は、管理対象システム300に対して操作入力を行い、保守管理の作業を行う。その間に所有者が、所有者ICカード20をICカードリーダライタ202から抜き取ったものとする。その後の保守管理作業中に管理対象システム300のセキュリティ管理部310が暗号データ320へのアクセスを検出すると、セキュリティ管理部310はアクセス対象の暗号データを暗号データ記憶部320から取得する。そして、セキュリティ管理部310内のICカード処理要求部311は、暗号データを含むデータ処理要求を代理人デバイス100に対して送信する。
【0074】
[ステップS45]代理人デバイス100は、取得したデータ処理要求を所有者デバイス200に転送する。詳細は、図6のステップS15と同様である。
[ステップS46]所有者デバイス200は許否判定を行う。詳細は、図6のステップS16と同様である。図8の例では、データ処理要求を許可するものとする。
【0075】
[ステップS47]代理人デバイス100は、データ処理要求を所有者ICカード20に送信する。詳細は、図6のステップS17と同様である。図8の例では、データ処理要求を許可するものとする。このとき、所有者ICカード20は既にICカードリーダライタ202から抜かれている。そのため、所有者ICカード20からの処理結果の応答はない。
【0076】
[ステップS48]代理人デバイス100は、タイムアウトを検出する。具体的には、代理人デバイスの処理要求許否判定部240は、データ処理要求を所有者ICカード20に送信してから時間の計測を開始する。処理要求許否判定部240には、予めデータ処理要求に対する応答の待ち時間が定義されている。そして、処理要求許否判定部240は、データ処理要求を送信してからの経過時間が待ち時間を超えると、タイムアウトと判定する。
【0077】
[ステップS49]処理要求許否判定部240は、無効結果を代理人デバイス100に送信する。詳細は、図7のステップS37と同様である。
[ステップS50]代理人デバイス100は、所有者デバイス200から無効結果を受け取ると、その無効結果を管理対象システム300に転送する。詳細は、図7のステップS38と同様である。
【0078】
このようにして、所有者ICカード20が抜かれた場合、以後の暗号データを用いた処理が禁止される。すなわち、所有者は、管理対象システム300から離れた場所にいても、代理人への代理権を撤回する必要が生じれば、代理権を即座に撤回できる。
【0079】
次に、処理要求許否判定部240が実行する処理について詳細に説明する。
図9は、処理要求許否判定処理の手順を示すフローチャートである。以下、図9に示す処理をステップ番号に沿って説明する。
【0080】
[ステップS61]処理要求許否判定部240は、代理人デバイス100から送られたデータ処理要求を、暗号通信部210を介して取得する。
[ステップS62]処理要求許否判定部240は、代理人を認証済か否かを判断する。具体的には、処理要求許否判定部240は、認証部230から通知された代理人カード識別子と所有者カード識別子との組を、既認証カード情報として保持している。そして、処理要求許否判定部240は、データ処理要求を受け取ると、そのデータ処理要求に付与された代理人カード識別子32を取得すると共に、所有者ICカード20から所有者カード識別子21を取得する。処理要求許否判定部240は、取得した代理人カード識別子32と所有者カード識別子21との組が予め認証部230から渡されている既認証カード情報に一致するか否かを判定する。取得した代理人カード識別子32と所有者カード識別子21との組と合致する既認証カード情報があれば、処理要求許否判定部240は認証済と判断する。認証済であれば、処理がステップS63に進められる。認証済でなければ、処理がステップS68に進められる。
【0081】
[ステップS63]処理要求許否判定部240は、許可日時内か否かを判断する。具体的には、処理要求許否判定部240は、所有者ICカード20から所有者カード識別子21を取得する。そして、処理要求許否判定部240は、データ処理要求の代理人カード識別子32と所有者カード識別子21との組に対応する委任条件(許可日時と許可回数)を、委任条件記憶部220から抽出する。処理要求許否判定部240は、抽出した委任条件の許可日時が現在の日時を含んでいるか否かを判断する。現在の日時が許可日時内であれば、処理がステップS64に進められる。現在の日時が許可日時外であれば、処理がステップS68に進められる。
【0082】
[ステップS64]処理要求許否判定部240は、データ処理回数が許可回数内か否かを判断する。具体的には、処理要求許否判定部240は、認証部230から受け取った代理人カード識別子32と所有者カード識別子21との組(既認証カード情報)に対応付けて、データ処理回数を記憶している。データ処理回数は、認証部230から既認証カード情報を渡されたときに0に初期化されている。そして、処理要求許否判定部240は、ステップS63で抽出した委任条件の許可回数が、データ処理回数より1以上大きいか否かを判断する。すなわち、今回のデータ処理要求に基づくデータ処理を許可しても、許可回数を超えないことを確認する。許可回数が、データ処理回数より1以上大きい場合、処理要求許否判定部240は、許可回数内であると判断する。許可回数内であれば、処理がステップS65に進められる。許可回数外であれば、処理がステップS68に進められる。
【0083】
[ステップS65]処理要求許否判定部240は、所有者ICカード20にデータ処理要求を転送する。この際、処理要求許否判定部240は、データ処理要求に付加されていた代理人カード識別子は、転送するデータ処理要求から除去する。
【0084】
[ステップS66]処理要求許否判定部240は、所有者ICカード20から処理結果が返されたか否かを判断する。処理結果が返された場合、処理がステップS69に進められる。処理結果が返されていなければ、処理がステップS67に進められる。
【0085】
[ステップS67]処理要求許否判定部240は、タイムアウトとなったか否かを判断する。具体的には、処理要求許否判定部240は、データ処理要求を転送してからの経過時間が、予め設定された待ち時間を超えた場合、タイムアウトと判断する。タイムアウトとなった場合、処理がステップS68に進められる。タイムアウトとなっていなければ、処理がステップS66に進められ、所有者ICカード20から処理結果が返されるのを待つ。
【0086】
[ステップS68]処理要求許否判定部240は、認証エラーとなった場合、現在の日時が許可日時外の場合、今回のデータ処理要求を許可すると許可回数を超えてしまう場合、およびタイムアウトが発生した場合には、代理人デバイス100に対して無効結果を応答する。その後、処理が終了する。
【0087】
[ステップS69]処理要求許否判定部240は、所有者ICカード20から処理結果を受け取ると、データ処理回数をカウントアップする。
[ステップS70]処理要求許否判定部240は、処理結果を代理人デバイス100に応答する。
【0088】
このようにして、所有者が設定した委任条件の範囲内でのみ、代理人による暗号データを用いた処理を許可することができる。
なお、上記の実施の形態は公開鍵方式を前提としており、暗号データは公開鍵によって暗号化されているものとしているが、所有者ICカード内の秘密鍵を暗号化と復号との両方で使用することもできる。なお、平文のデータを秘密鍵22で暗号化する場合、管理対象システム300から送信されるデータ処理要求には、暗号データに代えて暗号化すべき平文のデータが含まれる。また、所有者ICカード20では、秘密鍵22を用いた暗号化が行われ、暗号データが処理結果として送信される。
【0089】
[第2の実施の形態]
第1の実施の形態では、ICカードリーダライタ302にカード型プローブ102を挿入することで、管理対象システム300と代理人デバイス100とを接続しているが、他の方法で接続することもできる。
【0090】
図10は、USBインタフェースによる接続例を示す図である。なお、図10内の図2と同じ構成要素には図2と同じ符号を付し、説明を省略する。
管理対象システム410は、デバイス本体411を有している。デバイス本体411は、USBインタフェース規格に従ってデータ通信を行うUSBコントローラが内蔵されている。また、代理人デバイス420は、デバイス本体421とICカードリーダライタ422とを有している。ICカードリーダライタ422は、代理人ICカード30を挿入することができ、代理人ICカード30内のメモリに対するリード/ライトを行う。デバイス本体421には、USBコントローラが内蔵されている。管理対象システム410のデバイス本体411と代理人デバイス420のデバイス本体421とは、USBケーブル51で接続されている。
【0091】
なお、管理対象システム410の機能は、図4に示した管理対象システム300の機能と同じである。また、代理人デバイス420の機能は、図4に示した代理人デバイス100の機能と同じである。
【0092】
このような接続形態とすることで、管理対象システム410に対して、カード型プローブを有していない代理人デバイス420を接続できる。管理対象システム410では、暗号データのデータ処理要求を、USBケーブル51で接続された代理人デバイス420に対して送信する。これにより、暗号データのデータ処理要求を、代理人デバイス420を介して所有者デバイス200に送信することができる。
【0093】
[第3の実施の形態]
第3の実施の形態は、代理人ICカードを仮想的なデバイスとして代理人デバイスのデバイス本体に組み込んだものである。
【0094】
図11は、代理人ICカードの機能をデバイス本体に内蔵した例を示す図である。なお、図11内の図2と同じ構成要素には図2と同じ符号を付し、説明を省略する。
図11の例では、代理人デバイス430は、デバイス本体401とカード型プローブ402とを有している。デバイス本体401は、仮想代理人ICカード432を内蔵している。仮想代理人ICカード432は、図4に示した代理人ICカード30の機能をデバイス本体401内にソフトウェア的に実現したものである。なお、代理人デバイス430は、図4に示した管理対象システム300の機能を含んでいる。
【0095】
このような形態とすることで、代理人ICカードを用いずに代理人の認証情報などの管理をすることができる。
[第4の実施の形態]
第4の実施の形態は、複数の所有者ICカードを同時使用可能としたものである。
【0096】
図12は、複数の所有者ICカードを同時に使用可能な所有者デバイスの例である。なお、図12内の図2と同じ構成要素には図2と同じ符号を付し、説明を省略する。
所有者デバイス440は、デバイス本体441と複数のICカードリーダライタ442〜444を有している。ICカードリーダライタ442〜444には、それぞれ個別の所有者ICカード20a,20b,20cが挿入される。所有者ICカード20a,20b,20cは、それぞれ個別の秘密鍵を有している。なお、所有者デバイス440は、図4に示した所有者デバイス200の機能を含んでいる。
【0097】
このような所有者デバイス440を用いることで、管理対象システム300内のデータを異なる公開鍵で暗号化しておき、各公開鍵に対応する暗号鍵を有する所有者ICカードが接続されている場合のみに、暗号データを用いたデータ処理を可能とすることができる。
【0098】
[第5の実施の形態]
第5の実施の形態は、複数の所有者ICカードを仮想的なデバイスとして所有者デバイスのデバイス本体に組み込んだものである。
【0099】
図13は、複数の所有者ICカードの機能をデバイス本体に内蔵した例を示す図である。なお、図13内の図2と同じ構成要素には図2と同じ符号を付し、説明を省略する。
所有者デバイス500は、暗号通信部510、委任条件記憶部520、認証部530、処理要求許否判定部540、データ処理部550、複数の仮想所有者ICカード560,570,580を有している。暗号通信部510、委任条件記憶部520、認証部530、および処理要求許否判定部540は、それぞれ図4に示した所有者デバイス200内の同名の要素と同じ機能を有している。ただし、処理要求許否判定部540は、データ処理要求を転送する場合、データ処理部550に対して転送する。
【0100】
データ処理部550は、処理要求許否判定部540から転送されたデータ処理要求に応じて、各仮想所有者ICカード560,570,580内の秘密鍵562,572,582を用いたデータ処理を行う。データ処理は、例えば、データの暗号化や復号である。
【0101】
仮想所有者ICカード560,570,580は、図4に示した所有者ICカード20の機能を所有者デバイス500内にソフトウェア的に実現したものである。各仮想所有者ICカード560,570,580には、それぞれ所有者カード識別子561,571,581と秘密鍵562,572,582とが含まれている。
【0102】
このように、複数の仮想所有者ICカード560,570,580を用いることで、複数の所有者ICカードを同時に使用する場合であっても、所有者デバイスに複数のICカードリーダライタを接続する必要がなくなる。
【0103】
[第6の実施の形態]
第6の実施の形態は、公開鍵方式の暗号技術を用いて代理人認証を行うものである。なお、第6の実施の形態のシステム全体のハードウェア構成は、図2に示した第1の実施の形態と同様である。
【0104】
図14は、公開鍵方式で代理人認証を行うシステムの機能ブロック図である。なお、図14内の図4と同じ構成機能の要素には同じ符号を付し、説明を省略する。
この例では、代理人ICカード60には、代理人カード識別子61、秘密鍵62、およびデータ処理部63が含まれている。代理人カード識別子61は、代理人ICカード60を一意に識別するための識別情報である。秘密鍵62は、代理人ICカード60用の公開鍵で暗号化されたデータを復号するための鍵情報である。データ処理部63は、秘密鍵62を用いて暗号データの復号処理を行う処理機能である。
【0105】
代理人デバイス600は、暗号通信部610、接続要求部620、および処理要求中継部630を有している。暗号通信部610は、図4に示した暗号通信部110と同じ機能を有している。処理要求中継部630は、図4に示した処理要求中継部130と同じ機能を有している。
【0106】
接続要求部620は、所有者デバイス700との接続を指示する操作入力が行われると、所有者デバイス700に対して接続要求を、暗号通信部610を介して送信する。すると、所有者デバイス700からは、乱数を公開鍵で暗号化した暗号データ(暗号化乱数列)が返信される。暗号化乱数列を受け取った接続要求部620は、暗号化乱数列を代理人ICカード60のデータ処理部63に渡す。データ処理部63からは、暗号化乱数を秘密鍵62で復号することで得られる乱数列が返される。乱数を受け取った接続要求部620は、その乱数列を認証情報として、暗号通信部610を介して所有者デバイス700に送信する。
【0107】
所有者デバイス700は、暗号通信部710、委任条件記憶部720、認証部730、および処理要求許否判定部740を有している。暗号通信部710は図4に示した暗号通信部210と同じ機能を有している。処理要求許否判定部740は図4に示した処理要求許否判定部240と同じ機能を有している。
【0108】
委任条件記憶部720は、代理人ICカード60に格納された秘密鍵62に対応する公開鍵と委任条件とを記憶する。公開鍵は秘密鍵62と同時に生成されており、この公開鍵で暗号化したデータは、秘密鍵62でのみ復号できる。
【0109】
認証部730は、代理人デバイス600からの接続要求に応じて代理人の認証処理を行う。具体的には、認証部730は、代理人デバイス600から接続要求を受け取ると、乱数列を発生させメモリに格納する。次に、認証部730は、代理人ICカード60に対応する公開鍵を委任条件記憶部720から取得し、取得した公開鍵で乱数列を暗号化する。この際、暗号化前の乱数列は、メモリ内にそのまま保存される。そして、認証部730は、暗号化した乱数列(暗号化乱数列)を代理人デバイス600に送信する。その後、代理人デバイス600から認証情報としての乱数列が送られると、認証部730は、受信した乱数列とメモリに保存してある乱数列とを照合する。乱数列の値が一致すれば、認証成功と判断される。
【0110】
図15は、委任条件記憶部のデータ構造例を示す図である。委任条件記憶部720には、代理人カード識別子、代理人認証情報、所有者カード識別子、許可日時、および許可回数の欄が設けられている。代理人認証情報以外の欄に格納される情報は、図5に示した委任条件記憶部220の同名の欄の情報と同じである。代理人認証情報の欄には、代理人の認証情報として、公開鍵が設定される。
【0111】
図16は、公開鍵による認証手順を示すシーケンス図である。図16には、代理人ICカード60、代理人デバイス600、および所有者デバイス700の処理が示されている。以下、図16に示す処理をステップ番号に沿って説明する。
【0112】
[ステップS81]代理人デバイス600は、代理人からの操作入力に応答して、所有者デバイス200に対して接続要求を送信する。具体的には、代理人デバイス600の接続要求部620は、所有者デバイス700との接続を指示する操作入力を受け付ける。次に接続要求部620は、代理人ICカード60から代理人カード識別子61を取得する。そして、接続要求部620は、代理人カード識別子61を含む接続要求を生成する。生成された接続要求は暗号通信部610で暗号化され、無線通信経由で所有者デバイス700に送信される。
【0113】
[ステップS82]所有者デバイス700は、乱数列の生成、およびその乱数列の暗号化を行う。具体的には、所有者デバイス700の認証部730は、接続要求を受信すると、まず乱数列を生成する。さらに認証部730は、生成した乱数列を、接続要求に含まれる代理人カード識別子61に対応付けてRAMなどのメモリに格納する。次に、認証部730は、接続要求に含まれる代理人カード識別子61に対応する公開鍵を、委任条件記憶部720から検索する。そして、認証部730は、メモリに格納した乱数列の複製を生成し、検索によって見つけ出した公開鍵を用いて、複製された乱数列を暗号化する。
【0114】
[ステップS83]所有者デバイス700の認証部730は、暗号化された乱数列(暗号化乱数列)を代理人デバイスに送信する。
[ステップS84]代理人デバイス600の接続要求部620は、所有者デバイス700から送られた暗号化乱数列を代理人ICカード60に転送する。
【0115】
[ステップS85]代理人ICカード60は、乱数列を復号する。具体的には、代理人ICカード60のデータ処理部63は、受け取った暗号化乱数列を秘密鍵62で復号する。
【0116】
[ステップS86]代理人ICカード60のデータ処理部63は、復号された乱数列に代理人カード識別子61を付与して代理人デバイス600に送信する。
[ステップS87]代理人デバイス600の接続要求部620は、代理人ICカード60から送られた乱数列を所有者デバイス700に転送する。
【0117】
[ステップS88]所有者デバイス700は、代理人デバイス600から送られた乱数列の照合を行う。具体的には、所有者デバイス700の認証部730は、代理人デバイス600から送られた乱数列に付与されている代理人カード識別子に基づいて、その代理人カード識別子に対応する乱数列をメモリから取り出す。そして、認証部730は、メモリから取り出した乱数列と、代理人デバイス600から送られた乱数列とを照合する。照合の結果一致すれば、認証部730は、代理人ICカード60が正当なものであることを認証する。
【0118】
[ステップS89]所有者デバイス700の認証部730は、正しく認証できた場合、認証したことを示す認証通知を代理人デバイスに送信する。
このようにして、不正な代理人ICカード60の使用(例えば、代理人カード識別子の偽装による不正使用)を防止することができる。なお、第6の実施の形態においても、第2〜第5の実施の形態に示したような構成の変更が可能である。
【0119】
なお、上記各実施の形態の処理機能は、コンピュータによって実現することができる。その場合、代理人デバイスのデバイス本体、所有者デバイスのデバイス本体、管理対象システムのデバイス本体が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などがある。光磁気記録媒体には、MO(Magneto-Optical disc)などがある。
【0120】
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
【0121】
プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
【0122】
なお、本発明は、上述の実施の形態にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変更を加えることができる。
以上説明した実施の形態の主な技術的特徴は、以下の付記の通りである。
【0123】
(付記1) 代理人側装置と、所有者側装置とを有し、管理対象のシステム内の暗号データの管理を行う暗号データ管理システムであって、
前記代理人側装置は、
代理人からの操作入力に応答して、該代理人の代理権を示す認証情報を所有者側装置に送信する送信手段と、
前記管理対象装置から前記暗号データを含むデータ処理要求が出力されると、前記データ処理要求を前記所有者側装置に転送すると共に、その後前記所有者側装置から返される該データ処理要求に対応した処理結果を前記管理対象装置に転送する転送手段と、
を有し、
前記所有者側装置は、
前記代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段と、
前記代理人側装置から前記代理人の認証情報を受信した場合、該認証情報を認証する代理人認証手段と、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証手段による認証が正常に行われ、かつ、該データ処理要求に対して前記委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、予め登録されている鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を実行する実行手段と、
前記実行手段による処理結果を前記代理人側装置に送信する結果送信手段と、
を有する暗号データ管理システム。
【0124】
(付記2) 前記所有者側装置の、前記暗号データ記憶手段内の前記暗号データは公開鍵で暗号化されており、前記所有者側装置は、前記公開鍵に対応する秘密鍵を有しており、前記実行手段は、該秘密鍵を用いて前記暗号データを復号することを特徴とする付記1記載の暗号データ管理システム。
【0125】
(付記3) 前記所有者側装置は、
前記秘密鍵と、前記秘密鍵で前記暗号データの復号処理を行うデータ処理手段とを具備する所有者ICカードに接続可能なICカードリーダライタと、
前記委任条件記憶手段と、
前記代理人側装置から前記認証情報を受信すると、前記認証情報と前記委任条件記憶手段内の前記照合用認証情報とを照合して前記代理人側装置を操作している代理人の代理権を認証する前記代理人認証手段と、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証手段により前記代理人側装置から送信された前記認証情報が認証されており、かつ代理人の委任条件に示される範囲内の処理であれば、予め登録された鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を前記所有者ICカード内の前記データ処理手段に実行させる処理要求許否判定手段と、
前記結果送信手段と、
を具備する所有者デバイス装置と、
を有することを特徴とする付記2記載の暗号データ管理システム。
【0126】
(付記4) 前記代理人側装置は、前記認証情報を送信する際には、予め登録された前記認証情報を送信し、
前記所有者側装置は、代理権を与えた代理人を認証するための照合用認証情報が予め登録されており、前記代理人認証手段は、前記代理人側装置から前記認証情報を受け取った場合、前記認証情報と前記照合用認証情報とを照合することで認証処理を実行することを特徴とする付記1記載の暗号データ管理システム。
【0127】
(付記5) 前記代理人側装置は、
前記認証情報を記憶する代理人ICカードを接続可能なICカードリーダライタと、代理人からの操作入力に応答して、前記代理人ICカードから前記認証情報を取得し、前記認証情報を前記所有者側装置に送信する送信手段と、前記管理対象装置から出力された前記データ処理要求を前記所有者側装置に転送し、前記データ処理要求に応答して前記所有者側装置から返される処理結果を前記管理対象装置に転送する転送手段と、を有する代理人デバイス装置と、
で構成されることを特徴とする付記4記載の暗号データ管理システム。
【0128】
(付記6) 前記代理人側装置は、前記認証情報を送信する際には、前記所有者側装置に対して接続要求を送信し、前記接続要求に対して応答された暗号化乱数列を予め登録された秘密鍵で復号して復号後乱数列を生成し、前記複合後乱数列を前記認証情報として前記所有者側装置に送信し、
前記所有者側装置は、代理人を認証する際には、前記代理人側装置から送られた前記接続要求に応じて乱数列を生成し、予め前記代理人側装置に対応付けて登録された公開鍵で前記乱数列を暗号化して前記暗号化乱数列を生成し、前記暗号化乱数列を前記代理人側装置に送信し、前記代理人側装置から前記認証情報として送られた前記復号後乱数列を、生成した前記乱数列と照合することで認証を行う、
ことを特徴とする付記1記載の暗号データ管理システム。
【0129】
(付記7) 前記代理人側装置は、
前記秘密鍵と、前記秘密鍵で前記暗号化乱数列の復号処理を行うデータ処理手段とを有する代理人ICカードと、
前記代理人ICカードを接続可能なICカードリーダライタと、代理人からの操作入力に応答して、前記所有者側装置に対して接続要求を送信し、前記接続要求に対して応答された前記暗号化乱数列を前記代理人ICカードで復号させ、復号によって生成された前記復号後乱数列を前記認証情報として前記所有者側装置に送信する送信手段と、前記管理対象装置から出力された前記データ処理要求を前記所有者側装置に転送し、前記データ処理要求に応答して前記所有者側装置から返される処理結果を前記管理対象装置に転送する転送手段と、を有する代理人デバイス装置と、
で構成されることを特徴とする付記6記載の暗号データ管理システム。
【0130】
(付記8) 前記委任条件には、代理権によるデータ処理を許可する日時が定義されていることを特徴とする付記1記載の暗号データ管理システム。
(付記9) 前記委任条件には、代理権によるデータ処理の回数の制限値が定義されていることを特徴とする付記1記載の暗号データ管理システム。
【0131】
(付記10) 前記代理人側装置は、前記管理対象システムに接続されたICカードリーダライタに挿入可能なカード型プローブを有し、前記カード型プローブを介して前記データ処理要求を受け取ることを特徴とする付記1記載の暗号データ管理システム。
【0132】
(付記11) 代理人側装置と、所有者側装置とを有し、管理対象のシステム内の暗号データの管理を行う暗号データ管理システムが行うデータ管理方法であって、
前記代理人側装置は、
代理人からの操作入力に応答して、該代理人の代理権を示す認証情報を所有者側装置に送信する送信ステップと、
前記管理対象装置から前記暗号データを含むデータ処理要求が出力されると、前記データ処理要求を前記所有者側装置に転送すると共に、その後前記所有者側装置から返される該データ処理要求に対応した処理結果を前記管理対象装置に転送する転送ステップと、
を実行し、
前記所有者側装置は、
前記代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段にアクセス可能であり、
前記代理人側装置から前記代理人の認証情報を受信した場合、該認証情報を認証する代理人認証ステップと、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証ステップによる認証が正常に行われ、かつ、該データ処理要求に対して前記委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、予め登録されている鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を実行する実行ステップと、
前記実行ステップによる処理結果を前記代理人側装置に送信する結果送信ステップと、
を実行する暗号データ管理方法。
【図面の簡単な説明】
【0133】
【図1】実施の形態の概要を示す図である。
【図2】本実施の形態のシステム構成例を示す図である。
【図3】本実施の形態に用いる代理人デバイスのハードウェア構成例を示す図である。
【図4】暗号データ管理機能を示すブロック図である。
【図5】委任条件記憶部のデータ構造例を示す図である。
【図6】正常にデータ処理が実行される場合の処理手順を示すシーケンス図である。
【図7】認証エラーとなる場合の処理手順を示すシーケンス図である。
【図8】所有者ICカードが抜かれた場合の処理手順を示すシーケンス図である。
【図9】処理要求許否判定処理の手順を示すフローチャートである。
【図10】USBインタフェースによる接続例を示す図である。
【図11】代理人ICカードの機能をデバイス本体に内蔵した例を示す図である。
【図12】複数の所有者ICカードを同時に使用可能な所有者デバイスの例である。
【図13】複数の所有者ICカードの機能をデバイス本体に内蔵した例を示す図である。
【図14】公開鍵方式で代理人認証を行うシステムの機能ブロック図である。
【図15】委任条件記憶部のデータ構造例を示す図である。
【図16】公開鍵による認証手順を示すシーケンス図である。
【符号の説明】
【0134】
1 管理対象装置
1a 暗号データ記憶手段
2 代理人側装置
2a 送信手段
2b 転送手段
3 所有者側装置
3a 鍵
3b 委任条件記憶手段
3c 代理人認証手段
3d 処理要求許否判定手段
3e データ処理手段
3f 結果送信手段
3g 実行手段
4 ネットワーク
【技術分野】
【0001】
本発明は暗号データを管理する暗号データ管理システム、および暗号データ管理方法に関し、特に秘密鍵を格納したデバイスを接続することで暗号データの復号を可能とする暗号データ管理システム、および暗号データ管理方法に関する。
【背景技術】
【0002】
一般的に、コンピュータシステムを使用するには、ユーザ認証が行われる。ユーザ認証は、サーバに記憶された各ユーザの認証情報と、ユーザ自身が入力した認証情報とが照合される。このような認証システムには、サーバとは別の場所にあるエージェントが認証を行うシステムや、作業対象のコンピュータシステムに代理人の認証情報を予め登録しておき、該当する代理人に秘密情報へのアクセスを許可するシステムなどが考えられている(例えば、特許文献1、特許文献2参照)。
【0003】
なお、高い安全性が要求されるシステムでは、ユーザ認証に加えて、公開鍵でデータを暗号化することで重要な情報を保護する。この暗号化されたデータは、そのデータの所有者のみが保持する秘密鍵でのみ復号可能である。このような公開鍵型の暗号の運用では秘密鍵を、耐タンパ性を有するデバイスに内蔵する。耐タンパ性を有するデバイスは、秘密鍵を外部に取り出すことができない構造となっていると共に、その秘密鍵を用いたデータの暗号化/復号機能を有している。例えば、公開鍵で暗号化された暗号データを復号するには、秘密鍵を有するデバイスに暗号データを入力し、そのデバイスが秘密鍵を用いて復号する。このような耐タンパ性を有するデバイスにICカードがある。
【0004】
このような秘密鍵により秘密情報を保護した場合、原則として、秘密鍵の所有者自身がICカードを携帯して、秘密鍵の所有者が必要とされる場所に出向くことになる。
【特許文献1】特開2006−40182号公報
【特許文献2】特開2002−222168号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
ところで、企業などでコンピュータシステムを運用する場合、そのコンピュータシステムの保守管理を他の企業に委託することがある。コンピュータシステムの保守管理の作業には、秘密情報に対するアクセスが必要となる場合もある。このような作業が発生する度に、コンピュータシステムの所有者が作業現場にICカードを持参して立ち会っていたのでは、業務上の効率が良くない。そのため、所有者は、秘密情報を利用した保守管理作業の権限を代理人に委任していた。
【0006】
しかし、代理人に所有者の権限を完全に渡すのは、システムの安全性の面で好ましくない。すなわち、秘密情報を利用した作業を代理人に委任するには、秘密鍵を内蔵したICカードを貸与することが必要である。ICカードを貸与してしまうと、代理人が所有者と同じ権限を得ることになり所有者にとってリスクが大きい。しかも、管理対象のシステムの設置場所が、所有者の所在地から遠隔地の場合もある。このような遠隔地に出向く作業者に対してICカードを貸与してしまうと、所有者による代理人の監視が困難となり、さらにリスクが増してしまう。
【0007】
本発明はこのような点に鑑みてなされたものであり、暗号データ復号用の鍵を内蔵するデバイスを代理人に持参させずに、暗号データを用いた作業を代理人に委任可能とする暗号データ管理システム、および暗号データ管理方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記課題を解決するために、管理対象システム内の暗号データを管理するための暗号データ管理システムが提供される。暗号データ管理システムは、代理人側装置と所有者側装置とを有する。代理人側装置は、代理人からの操作入力に応答して、該代理人の代理権を示す認証情報を所有者側装置に送信する送信手段と、管理対象装置から暗号データを含むデータ処理要求が出力されると、データ処理要求を所有者側装置に転送すると共に、その後データ処理要求に応答して所有者側装置から返される処理結果を管理対象装置に転送する転送手段とを有する。所有者側装置は、代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段と、代理人側装置から代理人の認証情報を受信した場合、認証情報を認証する代理人認証手段と、代理人側装置からのデータ処理要求を受信した場合、前記代理人認証手段によって認証が正常に行われ、かつ、データ処理要求に対して委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、予め登録されている鍵を用いて、許可されたデータ処理要求に含まれる暗号データの復号を伴うデータ処理を実行する実行手段と、実行手段による処理結果を代理人側装置に送信する結果送信手段とを有する。
【0009】
このような暗号データ管理システムによれば、代理人側装置により、代理人からの操作入力に応答して、代理権を有することを示す認証情報が所有者側装置に送信される。すると、所有者側装置により、認証情報が認証される。その後、管理対象システムから暗号データを含むデータ処理要求が出力されると、代理人側装置により、データ処理要求が所有者側装置に転送される。代理人側装置を操作している代理人が正しく認証されており、かつ代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、データ処理要求に含まれる暗号データの復号を伴うデータ処理が実行され、処理結果が代理人側装置に送信される。そして、代理人側装置により、処理結果が管理対象システムに転送される。
【0010】
また、上記暗号データ管理システムと同様の処理を行う暗号データ管理方法が提供される。
【発明の効果】
【0011】
上記暗号データ管理システムでは、代理人に鍵を持たせずに、委任条件の範囲内でのみ代理人に対して暗号データの復号を伴う処理を実行させることができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、実施の形態の概要を示す図である。暗号データ管理システムは、管理対象装置1、代理人側装置2、代理人側装置2にネットワークで接続された所有者側装置3で構成される。
【0013】
管理対象装置1は、暗号データ記憶手段1aと、データ処理要求手段1bとを有する。暗号データ記憶手段1aは、所有者側装置3が有する鍵3aでのみ復号可能である。例えば、公開鍵方式であれば、鍵3aが秘密鍵であり、その秘密鍵に対応する公開鍵で暗号化された暗号データが、暗号データ記憶手段1aに格納される。データ処理要求手段1bは、暗号データ記憶手段1a内の暗号データに対するアクセスを検出すると、アクセス対象の暗号データを含むデータ処理要求を代理人側装置2に送信する。
【0014】
代理人側装置2は、送信手段2aと転送手段2bとを有する。送信手段2aは、代理人からの操作入力に応答して、代理人が代理権を有することを示す認証情報を所有者側装置3に送信する。転送手段2bは、管理対象装置1から暗号データを含むデータ処理要求が出力されると、データ処理要求を所有者側装置3に転送する。そして、転送手段2bは、データ処理要求に応答して所有者側装置3から返される処理結果を管理対象装置1に転送する。
【0015】
所有者側装置3は、鍵3a、委任条件記憶手段3b、代理人認証手段3c、処理要求許否判定手段3d、データ処理手段3e、結果送信手段3fを有する。なお、鍵3a、処理要求許否判定手段3d、およびデータ処理手段3eにより、処理を実行するための実行手段3gが構成される。
【0016】
鍵3aは、管理対象装置1に格納されている暗号データを復号するためのデータである。委任条件記憶手段3bは、代理人を認証するための照合用認証情報と、代理人側装置2を使用する代理人の委任条件とを予め記憶している。代理人認証手段3cは、代理人側装置2から認証情報を受け取ると、認証情報に基づいて代理人側装置2を操作している代理人を認証する。処理要求許否判定手段3dは、代理人側装置2からのデータ処理要求を受け取ると、代理人側装置2を操作している代理人が正しく認証されており、かつ委任条件記憶手段3bに示される代理人の委任条件の範囲内の処理であればデータ処理要求に応じた処理を許可する。データ処理手段3eは、データ処理要求に応じた処理が許可されると、鍵3aを用いて、許可されたデータ処理要求に含まれる暗号データの復号を伴うデータ処理を実行する。結果送信手段3fは、処理結果を代理人側装置2に送信する。
【0017】
このような暗号データ管理システムによれば、代理人側装置2により、代理人からの操作入力に応答して、代理権を有することを示す認証情報が所有者側装置3に送信される。すると、所有者側装置3により、認証情報に基づいて代理人側装置2を操作している代理人が認証される。その後、管理対象装置1から暗号データを含むデータ処理要求が出力されると、代理人側装置2により、データ処理要求が所有者側装置3に転送される。代理人側装置2を操作している代理人が正しく認証されており、かつ代理人側装置2を使用する代理人の委任条件が予め格納された委任条件記憶手段3bに示される代理人の委任条件の範囲内の処理であれば、所有者側装置3の処理要求許否判定手段3dによりデータ処理要求に応じた処理が許可される。処理が許可されると、データ処理手段3eにより、許可されたデータ処理要求に含まれる暗号データの復号を伴うデータ処理が実行される。処理結果は、結果送信手段3fにより代理人側装置2に送信される。そして、代理人側装置2により、処理結果が管理対象装置1に転送される。
【0018】
このようにして、認証された代理人が使用する代理人側装置2を介したデータ処理要求であれば、その代理人に与えられた委任条件の範囲内で暗号データの復号を伴う処理が所有者側装置で実行される。すなわち、鍵3aは、所有者側装置3に置いたまま、代理人に対して暗号データを用いたデータ処理を伴う管理対象装置1の保守管理を委任できる。その結果、所有者は、管理対象装置1に格納された暗号データを完全に自由に処理できる権限を代理人に与えずに済み、情報保護のためのリスクが軽減される。
【0019】
このような技術は、管理対象装置1が遠隔地にある場合に特に有用である。代理人が遠隔地に出向いて管理対象装置1の保守管理を行う場合、所有者の監視が行き届かなくなるためである。
【0020】
なお、所有者側装置3の鍵3aは、常に所有者側装置3に格納しておくよりも、ICカードに格納しておき、必要なときに所有者側装置3にICカードを挿入するようにした方が、セキュリティ上好ましい。そこで、ICカードで鍵を管理する場合を例に採り、以下に実施の形態を具体的に説明する。
【0021】
[第1の実施の形態]
図2は、本実施の形態のシステム構成例を示す図である。本実施の形態にかかる暗号データ管理システムは、代理人デバイス100、所有者デバイス200、および管理対象システム300で構成される。代理人デバイス100は、所有者の代理として管理対象システム300の保守管理を行う作業者(代理人)が所持する装置である。所有者デバイス200は、管理対象システム300に格納されている情報の所有者の所在値で設置された装置である。管理対象システム300は、所有者の情報を保持していると共に、その情報の一部を公開鍵で暗号化して管理しているコンピュータシステムである。
【0022】
代理人デバイス100は、デバイス本体101、カード型プローブ102、およびICカードリーダライタ103で構成される。デバイス本体101は、例えば、ノート型のコンピュータである。デバイス本体101は無線通信機能によって、無線基地局40を介してネットワーク10に接続される。代理人デバイス100に代理人ICカード30を加えたものが、代理人側装置である。
【0023】
デバイス本体101に対して、例えば、USB(Universal Serial Bus)などの通信手段でカード型プローブ102やICカードリーダライタ103が接続されている。カード型プローブ102は、管理対象システム300が有するICカードリーダライタ302に挿入可能であり、ICカードリーダライタ302に対して通常のICカードと認識させることができる。ICカードリーダライタ103は、挿入された代理人ICカード30内のデータを読み取る。
【0024】
所有者デバイス200は、デバイス本体201とICカードリーダライタ202とで構成される。デバイス本体201は、例えば、所有者の使用しているコンピュータである。デバイス本体201はネットワーク10に接続されている。ICカードリーダライタ202は、挿入された所有者ICカード20とデータの受け渡しを行う。所有者デバイス200に所有者ICカード20を加えたものが、所有者側装置である。
【0025】
管理対象システム300は、暗号データを格納するデバイス本体301とICカードリーダライタ302とで構成される。デバイス本体301は、例えば、大規模なデータベースシステムにおけるセキュリティ管理を行うコンピュータである。ICカードリーダライタ302は、カード型プローブ102を介したデータの受け渡しを行う。
【0026】
図3は、本実施の形態に用いる代理人デバイスのハードウェア構成例を示す図である。代理人デバイス100のデバイス本体101は、CPU(Central Processing Unit)101aによって装置全体が制御されている。CPU101aには、バス101kを介してRAM(Random Access Memory)101b、ハードディスクドライブ(HDD:Hard Disk Drive)101c、グラフィック処理装置101d、入力インタフェース101f、外部機器接続インタフェース101iおよび無線通信インタフェース101jが接続されている。
【0027】
RAM101bは、デバイス本体101の主記憶装置として使用される。RAM101bには、CPU101aに実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM101bには、CPU101aによる処理に必要な各種データが格納される。HDD101cは、デバイス本体101の二次記憶装置として使用される。HDD101cには、OSのプログラム、アプリケーションプログラム、および各種データが格納される。なお、二次記憶装置としては、フラッシュメモリなどの半導体記憶装置を使用することもできる。
【0028】
グラフィック処理装置101dには、モニタ101eが接続されている。グラフィック処理装置101dは、CPU101aからの命令に従って、画像をモニタ101eの画面に表示させる。モニタ101eとしては、例えば液晶表示装置がある。
【0029】
入力インタフェース101fには、キーボード101gとポインティングデバイス101hとが接続されている。入力インタフェース101fは、キーボード101gやポインティングデバイス101hから送られてくる信号を、バス101kを介してCPU101aに送信する。なお、ポインティングデバイス101hとしては、マウス、タッチパネル、タブレット、タッチパッド、トラックボールなどがある。
【0030】
外部機器接続インタフェース101iは、外部機器と通信する通信インタフェースである。外部機器接続インタフェース101iとして、例えばUSBインタフェースなどがある。外部機器接続インタフェース101iには、カード型プローブ102とICカードリーダライタ103とが接続されている。
【0031】
無線通信インタフェース101jは、無線でデータ通信を行うことができる通信インタフェースである。無線通信インタフェース101jは、無線基地局40と無線通信を行う。
【0032】
以上のようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。なお、図3では代理人デバイス100のハードウェア構成を示したが、所有者デバイス200や管理対象システム300も同様のハードウェア構成で実現することができる。ただし、所有者デバイス200に無線通信インタフェースに代えて、ネットワーク10に直接接続可能なネットワークインタフェースが設けられている。
【0033】
次に、暗号データの管理機能について説明する。
図4は、暗号データ管理機能を示すブロック図である。所有者ICカード20には、所有者カード識別子21、秘密鍵22、およびデータ処理部23を有している。所有者カード識別子21は、所有者ICカード20を一意に識別するための識別情報である。所有者カード識別子21は、所有者ICカード20内のROM(Read Only Memory)などに固定的に記憶されている。秘密鍵22は、管理対象システム300の暗号データ記憶部320に格納された暗号データを復号するための鍵データである。秘密鍵22は、所有者ICカード20内の耐タンパ性の高いメモリに記憶されている。
【0034】
データ処理部23は、秘密鍵22を用いてデータの暗号化および復号を行う。例えば、所有者ICカード20内に設けられた暗号化/復号回路が、データ処理部23として機能する。
【0035】
代理人ICカード30はメモリを有し、そのメモリ内に代理人認証情報31と代理人カード識別子32が記憶されている。代理人認証情報31は、代理人を認証するための認証情報である。本実施の形態では、認証情報として代理人のユーザ名とパスワードとの組みが用いられる。代理人認証情報31は、所有者ICカード20を有する所有者によって、代理人ICカード30に設定される。代理人カード識別子32は、代理人ICカード30を一意に識別するための識別情報である。
【0036】
代理人デバイス100は、暗号通信部110、接続要求部120、および処理要求中継部130を有している。暗号通信部110は、所有者デバイス200との間で暗号によるデータ通信を行う。
【0037】
接続要求部120は、代理人から操作入力に応答して、所有者デバイス200に対する接続要求を行う。具体的には、接続要求部120は、接続を指示する操作入力が行われると、代理人認証情報31と代理人カード識別子32とを代理人ICカード30から読み出す。次に、接続要求部120は、代理人認証情報31と代理人カード識別子32を含む接続要求を、暗号通信部110を介して所有者デバイス200に送信する。
【0038】
なお、接続要求部120は、代理人認証情報31を代理人ICカード30から読み取るのではなく、代理人による操作入力によって取得してもよい。
処理要求中継部130は、管理対象システム300から出された暗号データの処理要求を所有者デバイス200に転送する。具体的には、処理要求中継部130は、管理対象システム300から、暗号データ記憶部320内の暗号データを含む処理要求を受け取ると、代理人ICカード30から代理人カード識別子32を取得する。そして、処理要求中継部130は、代理人カード識別子32を付与した処理要求を暗号通信部110を介して所有者デバイス200に送信する。
【0039】
所有者デバイス200は、暗号通信部210、委任条件記憶部220,認証部230、および処理要求許否判定部240を有している。暗号通信部210は、代理人デバイス100との間で暗号によるデータ通信を行う。
【0040】
委任条件記憶部220は、代理人ICカード30を有する代理人の認証情報、およびその代理人に対して付与する委任条件を記憶する記憶機能である。例えば、所有者デバイス200のデバイス本体201が有するHDDの記憶領域の一部が、委任条件記憶部220として使用される。
【0041】
認証部230は、代理人デバイス100から送られた接続要求に基づいて、代理人の認証を行う。具体的には、認証部230は、接続要求から代理人カード識別子32と代理人認証情報31とを抽出する。次に、認証部230は、代理人カード識別子32と、所有者ICカード20内の所有者カード識別子21との組みに対応する認証情報を、委任条件記憶部220から検索する。そして、認証部230は、検索で該当した認証情報と、接続要求に含まれていた代理人認証情報31とを照合する。照合の結果合致すれば、認証部230は、正しい代理人であると認証し、認証結果を代理人デバイス100に通知する。また、認証部230は、正しく認証された場合、認証した代理人カード識別子32と所有者カード識別子21との組を、処理要求許否判定部240に通知する。
【0042】
処理要求許否判定部240は、代理人デバイス100から送られた処理要求に基づいて、処理要求の許否判定を行う。具体的には、処理要求許否判定部240は、代理人デバイス100から処理要求を受け取ると、処理要求に付与された代理人カード識別子32に基づいて、認証された代理人からの処理要求かどうかを判断する。次に、処理要求許否判定部240は、委任条件記憶部220から、代理人カード識別子32と所有者ICカード20の所有者カード識別子21との組みに対応する委任条件を取得する。そして、処理要求許否判定部240は、処理要求が、代理人に対する委任条件内の処理か否かを判断する。処理要求許否判定部240は、認証された代理人からの委任条件内の処理要求であれば、処理要求を所有者ICカード20に送信する。また、処理要求許否判定部240は、所有者ICカード20から処理結果を受け取ると、暗号通信部210を介して処理結果を代理人デバイス100に送信する。
【0043】
管理対象システム300は、セキュリティ管理部310と暗号データ記憶部320とを有している。セキュリティ管理部310は、管理対象システム300内のデータのセキュリティを管理する。管理対象システム300内の各種プログラムを実行するプロセスが暗号データにアクセスする場合、セキュリティ管理部310を介したアクセスのみ許される。すなわち、代理人がシステムの保守管理の作業において、暗号データの復号が必要となると、セキュリティ管理部310に対して暗号データを指定した復号要求が出される。
【0044】
セキュリティ管理部310は、セキュリティ管理の一機能として、ICカード処理要求部311を有している。ICカード処理要求部311は、暗号データに対するアクセスがあったときに、所有者ICカード20に対して暗号データの処理を要求する。具体的には、ICカード処理要求部311は、暗号データの復号要求を受け取ると、暗号データ記憶部320から指定された暗号データを取得する。そして、ICカード処理要求部311は、取得した暗号データの復号処理を示す処理要求を代理人デバイス100に対して送信する。なお、管理対象システム300と代理人デバイス100とは、管理対象システム300のICカードリーダライタ302と、そのICカードリーダライタ302に挿入された代理人デバイス100のカード型プローブ102によって接続されている。従って、ICカード処理要求部311は、ICカードリーダライタ302に代理人ICカード30が挿入されているものと認識している。
【0045】
暗号データ記憶部320は、暗号データを記憶している。暗号データは、所有者ICカード20内の秘密鍵22と同時に生成された公開鍵で暗号化されている。この公開鍵で暗号化された暗号データは、秘密鍵22でのみ復号可能である。
【0046】
次に、委任条件記憶部220の内容について説明する。
図5は、委任条件記憶部のデータ構造例を示す図である。委任条件記憶部220には、代理人カード識別子、代理人認証情報、所有者カード識別子、許可日時、および許可回数の欄が設けられている。
【0047】
代理人カード識別子の欄には、代理人に渡した代理人ICカード30の識別情報(代理人カード識別子)が設定される。代理人認証情報の欄には、代理人の認証情報が設定される。図5の例では、認証情報として、代理人のユーザ名とパスワードとが設定されている。所有者カード識別子の欄には、所有者が有する所有者ICカード20の識別情報(所有者カード識別子)が設定される。許可日時の欄には、代理人に代理権を許可する日時(許可日時)が設定される。なお、許可日時の欄には、開始日時と終了日時とにより期間を設定することもできる。許可回数の欄には、所有者ICカード20によるデータ処理を許可する回数(許可回数)が設定される。
【0048】
このように、委任条件記憶部220には、所有者ICカード20と代理人ICカードとの組に対応づけて、代理人の認証情報と委任条件(許可日時と許可回数)とが設定されている。従って、委任条件記憶部220を参照すれば、代理人の認証と、その代理人からの処理要求の許否判定とが可能となる。
【0049】
以上のような構成のシステムにおいて、所有者ICカード20を所有者の手元に置いたまま、遠隔地にある管理対象システム300内の暗号データの復号を含むデータ処理を行うことができる。以下、暗号データの復号を含むデータ処理について説明する。
【0050】
図6は、正常にデータ処理が実行される場合の処理手順を示すシーケンス図である。図6には、管理対象システム300、代理人デバイス100、所有者デバイス200、および所有者ICカード20の処理が示されている。以下、図6に示す処理をステップ番号に沿って説明する。
【0051】
[ステップS11]代理人デバイス100は、代理人からの操作入力に応答して、所有者デバイス200に対して接続要求を送信する。具体的には、代理人デバイス100の接続要求部120は、所有者デバイス200との接続を指示する操作入力を受け付ける。次に接続要求部120は、代理人ICカード30から代理人認証情報31と代理人カード識別子32とを取得する。そして、接続要求部120は、代理人認証情報31と代理人カード識別子32とを含む接続要求を生成する。生成された接続要求は暗号通信部110で暗号化され、無線通信経由で所有者デバイス200に送信される。
【0052】
[ステップS12]所有者デバイス200は、接続要求に応じて代理人のユーザ認証を行う。具体的には、代理人デバイス100から送られた接続要求は、まず所有者デバイス200の暗号通信部210で受け取られる。暗号通信部210は、受信した接続要求を復号し、認証部230に渡す。認証部230は、所有者ICカード20から所有者カード識別子21を取得する。次に、認証部230は、取得した所有者カード識別子21と接続要求に含まれている代理人カード識別子32との組に対応する認証情報を、委任条件記憶部220から検索する。そして、認証部230は、検索によって該当した認証情報と、接続要求に含まれていた代理人認証情報31とを照合する。認証部230は、照合によって、ユーザ名とパスワードとが一致すれば、代理人が正しく本人であると認証する。
【0053】
[ステップS13]認証部230は、正しく認証できた場合、認証されたことを示す認証通知を代理人デバイス100に送信する。具体的には、認証部230は、認証通知を暗号通信部210に渡す。暗号通信部210は、認証通知を暗号化して代理人デバイス100に送信する。代理人デバイス100では、暗号化された認証通知を暗号通信部110が受け取る。暗号通信部110は、認証通知を復号し、接続要求部120に渡す。承認通知を受け取った接続要求部120は、認証に成功したことを代理人デバイス100のモニタ101eに表示する。
【0054】
また、所有者デバイス200の認証部230は、正しく認証した代理人カード識別子32と所有者カード識別子21との組を処理要求許否判定部240に渡す。
[ステップS14]代理人は、管理対象システム300に対して操作入力を行い、保守管理の作業を行う。管理対象システム300のセキュリティ管理部310は、保守管理作業中に暗号データ320へのアクセスを検出すると、アクセス対象の暗号データを暗号データ記憶部320から取得する。そして、セキュリティ管理部310内のICカード処理要求部311は、暗号データを含むデータ処理要求を代理人デバイス100に対して送信する。
【0055】
[ステップS15]代理人デバイス100は、取得したデータ処理要求を所有者デバイス200に転送する。具体的には、管理対象システム300から送信されたデータ処理要求は、代理人デバイス100の処理要求中継部130で受け取られる。処理要求中継部130は、管理対象システム300から暗号データを含むデータ処理要求を受け取ると、代理人ICカード30から代理人カード識別子32を取得し、データ処理要求に代理人カード識別子を付与する。そして、処理要求中継部130は、データ処理要求を暗号通信部110に渡す。暗号通信部110は、受け取ったデータ処理要求を暗号化し、所有者デバイス200に送信する。
【0056】
[ステップS16]所有者デバイス200は許否判定を行う。具体的には、代理人デバイス100から送られたデータ処理要求は、所有者デバイス200の暗号通信部210で受け取られる。暗号通信部210は、暗号化されたデータ処理要求を復号し、処理要求許否判定部240に渡す。処理要求許否判定部240は、委任条件記憶部220を参照し、データ処理要求を許可するか否かを判定する。この処理の詳細は後述する(図9参照)。図6の例では、データ処理要求を許可するものとする。
【0057】
[ステップS17]代理人デバイス100は、データ処理要求を所有者ICカード20に送信する。具体的には、所有者デバイス200の処理要求許否判定部240は、データ処理要求を許可した場合、データ処理要求から代理人カード識別子32を消去する。そして、処理要求許否判定部240は、代理人カード識別子32を取り除いたデータ処理要求を、所有者ICカード20に送信する。
【0058】
[ステップS18]所有者ICカード20は、データ処理要求に応じたデータ処理を行う。具体的には、所有者ICカード20では、データ処理要求をデータ処理部23が受け取る。データ処理部23は、データ処理要求に含まれる暗号データを秘密鍵22を用いて復号する。
【0059】
[ステップS19]データ処理部23は、復号された平文のデータを処理結果として、所有者デバイス200に送信する。
[ステップS20]所有者デバイス200は、所有者ICカード20から受け取った処理結果を、代理人デバイス100に送信する。具体的には、所有者デバイス200の処理要求許否判定部240は、所有者ICカード20から受け取った処理結果を、暗号通信部210に渡す。暗号通信部210は、処理要求許否判定部240から受け取った処理結果を暗号化し、代理人デバイス100に送信する。
【0060】
[ステップS21]代理人デバイス100は、所有者デバイス200から処理結果を受け取ると、その処理結果を管理対象システム300に転送する。具体的には、代理人デバイス100では、暗号通信部110が処理結果を受け取る。暗号通信部110は、受け取った処理結果を復号し、処理要求中継部130に渡す。処理要求中継部130は、管理対象システム300から出されたデータ処理要求に対する応答として、処理結果を管理対象システム300に送信する。管理対象システム300では、入力された処理結果に基づいて、保守管理に伴うデータ処理を実行する。
【0061】
このようにして、所有者ICカード20に格納されている秘密鍵22を用いた暗号データの複合が行われる。
次に、代理人の認証がエラーとなる場合の処理について説明する。
【0062】
図7は、認証エラーとなる場合の処理手順を示すシーケンス図である。以下、図7に示す処理をステップ番号に沿って説明する。
[ステップS31]代理人デバイス100は、代理人からの操作入力に応答して、所有者デバイス200に対して接続要求を送信する。詳細は図6のステップS11と同様である。
【0063】
[ステップS32]所有者デバイス200は、接続要求に応じて代理人のユーザ認証を行う。詳細は図6のステップS12と同様である。図7の例では、委任条件記憶部220から取得した認証情報と、接続要求に含まれていた代理人認証情報31とが合致しなかったものとする。
【0064】
[ステップS33]所有者デバイス200の認証部230は、認証エラーを代理人デバイス100に通知する。具体的には、認証部230は、認証エラーを示すメッセージ(認証エラーメッセージ)を暗号通信部210に渡す。暗号通信部210は、認証エラーメッセージを暗号化し、代理人デバイス100に送信する。代理人デバイス100では、暗号通信部110が認証エラーメッセージを受信する。暗号通信部110は、復号した認証エラーメッセージを接続要求部120に渡す。接続要求部120は、認証に失敗したことをモニタ101eに表示する。
【0065】
[ステップS34]代理人は、暗号データを利用しない保守管理作業であれば、管理対象システム300を用いた作業が可能である。しかし、代理人が管理対象システム300に対して暗号データを使用した指示を入力すると、管理対象システム300のセキュリティ管理部310が、保守管理作業中に暗号データ320へのアクセスを検出する。すると、セキュリティ管理部310は、アクセス対象の暗号データを暗号データ記憶部320から取得する。そして、セキュリティ管理部310内のICカード処理要求部311は、暗号データを含むデータ処理要求を代理人デバイス100に対して送信する。
【0066】
[ステップS35]代理人デバイス100は、取得したデータ処理要求を所有者デバイス200に転送する。詳細は図6のステップS15と同様である。
[ステップS36]所有者デバイス200は許否判定を行う。詳細は図6のステップS16と同様である。図7の例では、認証部230によって代理人の認証が成功していない。そのため、認証部230から処理要求許否判定部240に対して、代理人ICカード30の代理人カード識別子32が通知されていない。処理要求許否判定部240では、データ処理要求に付与されている代理人カード識別子32が、認証部230から通知されていないことで、未認証の代理人からのデータ処理要求であると認識する。その結果、処理要求許否判定部240は、データ処理要求を拒否する旨の判定を行う。
【0067】
[ステップS37]所有者デバイス200は、無効結果を代理人デバイス100に送信する。具体的には、所有者デバイス200の処理要求許否判定部240は、データ処理要求が無効であることを示す情報(無効結果)を、暗号通信部210に渡す。暗号通信部210は、処理要求許否判定部240から受け取った処理結果を暗号化し、代理人デバイス100に送信する。
【0068】
[ステップS38]代理人デバイス100は、所有者デバイス200から無効結果を受け取ると、その無効結果を管理対象システム300に転送する。具体的には、代理人デバイス100では、暗号通信部110が無効結果を受け取る。暗号通信部110は、受け取った無効結果を復号し、処理要求中継部130に渡す。処理要求中継部130は、管理対象システム300から出されたデータ処理要求に対する応答として、無効結果を管理対象システム300に送信する。管理対象システム300では、無効結果が返されたことにより、暗号データを用いた処理がエラー終了する。
【0069】
このように、正しく認証していない代理人からのデータ処理要求は、所有者デバイス200で拒否される。
また、代理人が管理対象システム300の保守管理作業を行う間、所有者は、所有者ICカード20を所有者デバイス200のICカードリーダライタ202に挿入しておく必要がある。代理人が作業を介したときに所有者ICカード20がICカードリーダライタ202に挿入されていたとしても、所有者が所有者ICカード20をICカードリーダライタ202から抜いてしまえば、以後、暗号データを用いた処理は実行されない。すなわち、所有者は、代理人が予定外の作業を行っていることを知った場合、所有者ICカード20をICカードリーダライタ202から抜くことで、重要なデータを保護できる。
【0070】
図8は、所有者ICカードが抜かれた場合の処理手順を示すシーケンス図である。以下、図8に示す処理をステップ番号に沿って説明する。
[ステップS41]代理人デバイス100は、代理人からの操作入力に応答して、所有者デバイス200に対して接続要求を送信する。詳細は図6のステップS11と同様である。
【0071】
[ステップS42]所有者デバイス200は、接続要求に応じて代理人のユーザ認証を行う。詳細は図6のステップS12と同様である。図8の例では、この段階では所有者ICカード20がICカードリーダライタ202に挿入されており、代理人を正しく認証したものとする。
【0072】
[ステップS43]認証部230は、正しく認証できた場合、認証されたことを示す認証通知を代理人デバイス100に送信する。詳細は、図6のステップS13と同様である。
【0073】
[ステップS44]代理人は、管理対象システム300に対して操作入力を行い、保守管理の作業を行う。その間に所有者が、所有者ICカード20をICカードリーダライタ202から抜き取ったものとする。その後の保守管理作業中に管理対象システム300のセキュリティ管理部310が暗号データ320へのアクセスを検出すると、セキュリティ管理部310はアクセス対象の暗号データを暗号データ記憶部320から取得する。そして、セキュリティ管理部310内のICカード処理要求部311は、暗号データを含むデータ処理要求を代理人デバイス100に対して送信する。
【0074】
[ステップS45]代理人デバイス100は、取得したデータ処理要求を所有者デバイス200に転送する。詳細は、図6のステップS15と同様である。
[ステップS46]所有者デバイス200は許否判定を行う。詳細は、図6のステップS16と同様である。図8の例では、データ処理要求を許可するものとする。
【0075】
[ステップS47]代理人デバイス100は、データ処理要求を所有者ICカード20に送信する。詳細は、図6のステップS17と同様である。図8の例では、データ処理要求を許可するものとする。このとき、所有者ICカード20は既にICカードリーダライタ202から抜かれている。そのため、所有者ICカード20からの処理結果の応答はない。
【0076】
[ステップS48]代理人デバイス100は、タイムアウトを検出する。具体的には、代理人デバイスの処理要求許否判定部240は、データ処理要求を所有者ICカード20に送信してから時間の計測を開始する。処理要求許否判定部240には、予めデータ処理要求に対する応答の待ち時間が定義されている。そして、処理要求許否判定部240は、データ処理要求を送信してからの経過時間が待ち時間を超えると、タイムアウトと判定する。
【0077】
[ステップS49]処理要求許否判定部240は、無効結果を代理人デバイス100に送信する。詳細は、図7のステップS37と同様である。
[ステップS50]代理人デバイス100は、所有者デバイス200から無効結果を受け取ると、その無効結果を管理対象システム300に転送する。詳細は、図7のステップS38と同様である。
【0078】
このようにして、所有者ICカード20が抜かれた場合、以後の暗号データを用いた処理が禁止される。すなわち、所有者は、管理対象システム300から離れた場所にいても、代理人への代理権を撤回する必要が生じれば、代理権を即座に撤回できる。
【0079】
次に、処理要求許否判定部240が実行する処理について詳細に説明する。
図9は、処理要求許否判定処理の手順を示すフローチャートである。以下、図9に示す処理をステップ番号に沿って説明する。
【0080】
[ステップS61]処理要求許否判定部240は、代理人デバイス100から送られたデータ処理要求を、暗号通信部210を介して取得する。
[ステップS62]処理要求許否判定部240は、代理人を認証済か否かを判断する。具体的には、処理要求許否判定部240は、認証部230から通知された代理人カード識別子と所有者カード識別子との組を、既認証カード情報として保持している。そして、処理要求許否判定部240は、データ処理要求を受け取ると、そのデータ処理要求に付与された代理人カード識別子32を取得すると共に、所有者ICカード20から所有者カード識別子21を取得する。処理要求許否判定部240は、取得した代理人カード識別子32と所有者カード識別子21との組が予め認証部230から渡されている既認証カード情報に一致するか否かを判定する。取得した代理人カード識別子32と所有者カード識別子21との組と合致する既認証カード情報があれば、処理要求許否判定部240は認証済と判断する。認証済であれば、処理がステップS63に進められる。認証済でなければ、処理がステップS68に進められる。
【0081】
[ステップS63]処理要求許否判定部240は、許可日時内か否かを判断する。具体的には、処理要求許否判定部240は、所有者ICカード20から所有者カード識別子21を取得する。そして、処理要求許否判定部240は、データ処理要求の代理人カード識別子32と所有者カード識別子21との組に対応する委任条件(許可日時と許可回数)を、委任条件記憶部220から抽出する。処理要求許否判定部240は、抽出した委任条件の許可日時が現在の日時を含んでいるか否かを判断する。現在の日時が許可日時内であれば、処理がステップS64に進められる。現在の日時が許可日時外であれば、処理がステップS68に進められる。
【0082】
[ステップS64]処理要求許否判定部240は、データ処理回数が許可回数内か否かを判断する。具体的には、処理要求許否判定部240は、認証部230から受け取った代理人カード識別子32と所有者カード識別子21との組(既認証カード情報)に対応付けて、データ処理回数を記憶している。データ処理回数は、認証部230から既認証カード情報を渡されたときに0に初期化されている。そして、処理要求許否判定部240は、ステップS63で抽出した委任条件の許可回数が、データ処理回数より1以上大きいか否かを判断する。すなわち、今回のデータ処理要求に基づくデータ処理を許可しても、許可回数を超えないことを確認する。許可回数が、データ処理回数より1以上大きい場合、処理要求許否判定部240は、許可回数内であると判断する。許可回数内であれば、処理がステップS65に進められる。許可回数外であれば、処理がステップS68に進められる。
【0083】
[ステップS65]処理要求許否判定部240は、所有者ICカード20にデータ処理要求を転送する。この際、処理要求許否判定部240は、データ処理要求に付加されていた代理人カード識別子は、転送するデータ処理要求から除去する。
【0084】
[ステップS66]処理要求許否判定部240は、所有者ICカード20から処理結果が返されたか否かを判断する。処理結果が返された場合、処理がステップS69に進められる。処理結果が返されていなければ、処理がステップS67に進められる。
【0085】
[ステップS67]処理要求許否判定部240は、タイムアウトとなったか否かを判断する。具体的には、処理要求許否判定部240は、データ処理要求を転送してからの経過時間が、予め設定された待ち時間を超えた場合、タイムアウトと判断する。タイムアウトとなった場合、処理がステップS68に進められる。タイムアウトとなっていなければ、処理がステップS66に進められ、所有者ICカード20から処理結果が返されるのを待つ。
【0086】
[ステップS68]処理要求許否判定部240は、認証エラーとなった場合、現在の日時が許可日時外の場合、今回のデータ処理要求を許可すると許可回数を超えてしまう場合、およびタイムアウトが発生した場合には、代理人デバイス100に対して無効結果を応答する。その後、処理が終了する。
【0087】
[ステップS69]処理要求許否判定部240は、所有者ICカード20から処理結果を受け取ると、データ処理回数をカウントアップする。
[ステップS70]処理要求許否判定部240は、処理結果を代理人デバイス100に応答する。
【0088】
このようにして、所有者が設定した委任条件の範囲内でのみ、代理人による暗号データを用いた処理を許可することができる。
なお、上記の実施の形態は公開鍵方式を前提としており、暗号データは公開鍵によって暗号化されているものとしているが、所有者ICカード内の秘密鍵を暗号化と復号との両方で使用することもできる。なお、平文のデータを秘密鍵22で暗号化する場合、管理対象システム300から送信されるデータ処理要求には、暗号データに代えて暗号化すべき平文のデータが含まれる。また、所有者ICカード20では、秘密鍵22を用いた暗号化が行われ、暗号データが処理結果として送信される。
【0089】
[第2の実施の形態]
第1の実施の形態では、ICカードリーダライタ302にカード型プローブ102を挿入することで、管理対象システム300と代理人デバイス100とを接続しているが、他の方法で接続することもできる。
【0090】
図10は、USBインタフェースによる接続例を示す図である。なお、図10内の図2と同じ構成要素には図2と同じ符号を付し、説明を省略する。
管理対象システム410は、デバイス本体411を有している。デバイス本体411は、USBインタフェース規格に従ってデータ通信を行うUSBコントローラが内蔵されている。また、代理人デバイス420は、デバイス本体421とICカードリーダライタ422とを有している。ICカードリーダライタ422は、代理人ICカード30を挿入することができ、代理人ICカード30内のメモリに対するリード/ライトを行う。デバイス本体421には、USBコントローラが内蔵されている。管理対象システム410のデバイス本体411と代理人デバイス420のデバイス本体421とは、USBケーブル51で接続されている。
【0091】
なお、管理対象システム410の機能は、図4に示した管理対象システム300の機能と同じである。また、代理人デバイス420の機能は、図4に示した代理人デバイス100の機能と同じである。
【0092】
このような接続形態とすることで、管理対象システム410に対して、カード型プローブを有していない代理人デバイス420を接続できる。管理対象システム410では、暗号データのデータ処理要求を、USBケーブル51で接続された代理人デバイス420に対して送信する。これにより、暗号データのデータ処理要求を、代理人デバイス420を介して所有者デバイス200に送信することができる。
【0093】
[第3の実施の形態]
第3の実施の形態は、代理人ICカードを仮想的なデバイスとして代理人デバイスのデバイス本体に組み込んだものである。
【0094】
図11は、代理人ICカードの機能をデバイス本体に内蔵した例を示す図である。なお、図11内の図2と同じ構成要素には図2と同じ符号を付し、説明を省略する。
図11の例では、代理人デバイス430は、デバイス本体401とカード型プローブ402とを有している。デバイス本体401は、仮想代理人ICカード432を内蔵している。仮想代理人ICカード432は、図4に示した代理人ICカード30の機能をデバイス本体401内にソフトウェア的に実現したものである。なお、代理人デバイス430は、図4に示した管理対象システム300の機能を含んでいる。
【0095】
このような形態とすることで、代理人ICカードを用いずに代理人の認証情報などの管理をすることができる。
[第4の実施の形態]
第4の実施の形態は、複数の所有者ICカードを同時使用可能としたものである。
【0096】
図12は、複数の所有者ICカードを同時に使用可能な所有者デバイスの例である。なお、図12内の図2と同じ構成要素には図2と同じ符号を付し、説明を省略する。
所有者デバイス440は、デバイス本体441と複数のICカードリーダライタ442〜444を有している。ICカードリーダライタ442〜444には、それぞれ個別の所有者ICカード20a,20b,20cが挿入される。所有者ICカード20a,20b,20cは、それぞれ個別の秘密鍵を有している。なお、所有者デバイス440は、図4に示した所有者デバイス200の機能を含んでいる。
【0097】
このような所有者デバイス440を用いることで、管理対象システム300内のデータを異なる公開鍵で暗号化しておき、各公開鍵に対応する暗号鍵を有する所有者ICカードが接続されている場合のみに、暗号データを用いたデータ処理を可能とすることができる。
【0098】
[第5の実施の形態]
第5の実施の形態は、複数の所有者ICカードを仮想的なデバイスとして所有者デバイスのデバイス本体に組み込んだものである。
【0099】
図13は、複数の所有者ICカードの機能をデバイス本体に内蔵した例を示す図である。なお、図13内の図2と同じ構成要素には図2と同じ符号を付し、説明を省略する。
所有者デバイス500は、暗号通信部510、委任条件記憶部520、認証部530、処理要求許否判定部540、データ処理部550、複数の仮想所有者ICカード560,570,580を有している。暗号通信部510、委任条件記憶部520、認証部530、および処理要求許否判定部540は、それぞれ図4に示した所有者デバイス200内の同名の要素と同じ機能を有している。ただし、処理要求許否判定部540は、データ処理要求を転送する場合、データ処理部550に対して転送する。
【0100】
データ処理部550は、処理要求許否判定部540から転送されたデータ処理要求に応じて、各仮想所有者ICカード560,570,580内の秘密鍵562,572,582を用いたデータ処理を行う。データ処理は、例えば、データの暗号化や復号である。
【0101】
仮想所有者ICカード560,570,580は、図4に示した所有者ICカード20の機能を所有者デバイス500内にソフトウェア的に実現したものである。各仮想所有者ICカード560,570,580には、それぞれ所有者カード識別子561,571,581と秘密鍵562,572,582とが含まれている。
【0102】
このように、複数の仮想所有者ICカード560,570,580を用いることで、複数の所有者ICカードを同時に使用する場合であっても、所有者デバイスに複数のICカードリーダライタを接続する必要がなくなる。
【0103】
[第6の実施の形態]
第6の実施の形態は、公開鍵方式の暗号技術を用いて代理人認証を行うものである。なお、第6の実施の形態のシステム全体のハードウェア構成は、図2に示した第1の実施の形態と同様である。
【0104】
図14は、公開鍵方式で代理人認証を行うシステムの機能ブロック図である。なお、図14内の図4と同じ構成機能の要素には同じ符号を付し、説明を省略する。
この例では、代理人ICカード60には、代理人カード識別子61、秘密鍵62、およびデータ処理部63が含まれている。代理人カード識別子61は、代理人ICカード60を一意に識別するための識別情報である。秘密鍵62は、代理人ICカード60用の公開鍵で暗号化されたデータを復号するための鍵情報である。データ処理部63は、秘密鍵62を用いて暗号データの復号処理を行う処理機能である。
【0105】
代理人デバイス600は、暗号通信部610、接続要求部620、および処理要求中継部630を有している。暗号通信部610は、図4に示した暗号通信部110と同じ機能を有している。処理要求中継部630は、図4に示した処理要求中継部130と同じ機能を有している。
【0106】
接続要求部620は、所有者デバイス700との接続を指示する操作入力が行われると、所有者デバイス700に対して接続要求を、暗号通信部610を介して送信する。すると、所有者デバイス700からは、乱数を公開鍵で暗号化した暗号データ(暗号化乱数列)が返信される。暗号化乱数列を受け取った接続要求部620は、暗号化乱数列を代理人ICカード60のデータ処理部63に渡す。データ処理部63からは、暗号化乱数を秘密鍵62で復号することで得られる乱数列が返される。乱数を受け取った接続要求部620は、その乱数列を認証情報として、暗号通信部610を介して所有者デバイス700に送信する。
【0107】
所有者デバイス700は、暗号通信部710、委任条件記憶部720、認証部730、および処理要求許否判定部740を有している。暗号通信部710は図4に示した暗号通信部210と同じ機能を有している。処理要求許否判定部740は図4に示した処理要求許否判定部240と同じ機能を有している。
【0108】
委任条件記憶部720は、代理人ICカード60に格納された秘密鍵62に対応する公開鍵と委任条件とを記憶する。公開鍵は秘密鍵62と同時に生成されており、この公開鍵で暗号化したデータは、秘密鍵62でのみ復号できる。
【0109】
認証部730は、代理人デバイス600からの接続要求に応じて代理人の認証処理を行う。具体的には、認証部730は、代理人デバイス600から接続要求を受け取ると、乱数列を発生させメモリに格納する。次に、認証部730は、代理人ICカード60に対応する公開鍵を委任条件記憶部720から取得し、取得した公開鍵で乱数列を暗号化する。この際、暗号化前の乱数列は、メモリ内にそのまま保存される。そして、認証部730は、暗号化した乱数列(暗号化乱数列)を代理人デバイス600に送信する。その後、代理人デバイス600から認証情報としての乱数列が送られると、認証部730は、受信した乱数列とメモリに保存してある乱数列とを照合する。乱数列の値が一致すれば、認証成功と判断される。
【0110】
図15は、委任条件記憶部のデータ構造例を示す図である。委任条件記憶部720には、代理人カード識別子、代理人認証情報、所有者カード識別子、許可日時、および許可回数の欄が設けられている。代理人認証情報以外の欄に格納される情報は、図5に示した委任条件記憶部220の同名の欄の情報と同じである。代理人認証情報の欄には、代理人の認証情報として、公開鍵が設定される。
【0111】
図16は、公開鍵による認証手順を示すシーケンス図である。図16には、代理人ICカード60、代理人デバイス600、および所有者デバイス700の処理が示されている。以下、図16に示す処理をステップ番号に沿って説明する。
【0112】
[ステップS81]代理人デバイス600は、代理人からの操作入力に応答して、所有者デバイス200に対して接続要求を送信する。具体的には、代理人デバイス600の接続要求部620は、所有者デバイス700との接続を指示する操作入力を受け付ける。次に接続要求部620は、代理人ICカード60から代理人カード識別子61を取得する。そして、接続要求部620は、代理人カード識別子61を含む接続要求を生成する。生成された接続要求は暗号通信部610で暗号化され、無線通信経由で所有者デバイス700に送信される。
【0113】
[ステップS82]所有者デバイス700は、乱数列の生成、およびその乱数列の暗号化を行う。具体的には、所有者デバイス700の認証部730は、接続要求を受信すると、まず乱数列を生成する。さらに認証部730は、生成した乱数列を、接続要求に含まれる代理人カード識別子61に対応付けてRAMなどのメモリに格納する。次に、認証部730は、接続要求に含まれる代理人カード識別子61に対応する公開鍵を、委任条件記憶部720から検索する。そして、認証部730は、メモリに格納した乱数列の複製を生成し、検索によって見つけ出した公開鍵を用いて、複製された乱数列を暗号化する。
【0114】
[ステップS83]所有者デバイス700の認証部730は、暗号化された乱数列(暗号化乱数列)を代理人デバイスに送信する。
[ステップS84]代理人デバイス600の接続要求部620は、所有者デバイス700から送られた暗号化乱数列を代理人ICカード60に転送する。
【0115】
[ステップS85]代理人ICカード60は、乱数列を復号する。具体的には、代理人ICカード60のデータ処理部63は、受け取った暗号化乱数列を秘密鍵62で復号する。
【0116】
[ステップS86]代理人ICカード60のデータ処理部63は、復号された乱数列に代理人カード識別子61を付与して代理人デバイス600に送信する。
[ステップS87]代理人デバイス600の接続要求部620は、代理人ICカード60から送られた乱数列を所有者デバイス700に転送する。
【0117】
[ステップS88]所有者デバイス700は、代理人デバイス600から送られた乱数列の照合を行う。具体的には、所有者デバイス700の認証部730は、代理人デバイス600から送られた乱数列に付与されている代理人カード識別子に基づいて、その代理人カード識別子に対応する乱数列をメモリから取り出す。そして、認証部730は、メモリから取り出した乱数列と、代理人デバイス600から送られた乱数列とを照合する。照合の結果一致すれば、認証部730は、代理人ICカード60が正当なものであることを認証する。
【0118】
[ステップS89]所有者デバイス700の認証部730は、正しく認証できた場合、認証したことを示す認証通知を代理人デバイスに送信する。
このようにして、不正な代理人ICカード60の使用(例えば、代理人カード識別子の偽装による不正使用)を防止することができる。なお、第6の実施の形態においても、第2〜第5の実施の形態に示したような構成の変更が可能である。
【0119】
なお、上記各実施の形態の処理機能は、コンピュータによって実現することができる。その場合、代理人デバイスのデバイス本体、所有者デバイスのデバイス本体、管理対象システムのデバイス本体が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などがある。光磁気記録媒体には、MO(Magneto-Optical disc)などがある。
【0120】
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
【0121】
プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
【0122】
なお、本発明は、上述の実施の形態にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変更を加えることができる。
以上説明した実施の形態の主な技術的特徴は、以下の付記の通りである。
【0123】
(付記1) 代理人側装置と、所有者側装置とを有し、管理対象のシステム内の暗号データの管理を行う暗号データ管理システムであって、
前記代理人側装置は、
代理人からの操作入力に応答して、該代理人の代理権を示す認証情報を所有者側装置に送信する送信手段と、
前記管理対象装置から前記暗号データを含むデータ処理要求が出力されると、前記データ処理要求を前記所有者側装置に転送すると共に、その後前記所有者側装置から返される該データ処理要求に対応した処理結果を前記管理対象装置に転送する転送手段と、
を有し、
前記所有者側装置は、
前記代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段と、
前記代理人側装置から前記代理人の認証情報を受信した場合、該認証情報を認証する代理人認証手段と、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証手段による認証が正常に行われ、かつ、該データ処理要求に対して前記委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、予め登録されている鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を実行する実行手段と、
前記実行手段による処理結果を前記代理人側装置に送信する結果送信手段と、
を有する暗号データ管理システム。
【0124】
(付記2) 前記所有者側装置の、前記暗号データ記憶手段内の前記暗号データは公開鍵で暗号化されており、前記所有者側装置は、前記公開鍵に対応する秘密鍵を有しており、前記実行手段は、該秘密鍵を用いて前記暗号データを復号することを特徴とする付記1記載の暗号データ管理システム。
【0125】
(付記3) 前記所有者側装置は、
前記秘密鍵と、前記秘密鍵で前記暗号データの復号処理を行うデータ処理手段とを具備する所有者ICカードに接続可能なICカードリーダライタと、
前記委任条件記憶手段と、
前記代理人側装置から前記認証情報を受信すると、前記認証情報と前記委任条件記憶手段内の前記照合用認証情報とを照合して前記代理人側装置を操作している代理人の代理権を認証する前記代理人認証手段と、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証手段により前記代理人側装置から送信された前記認証情報が認証されており、かつ代理人の委任条件に示される範囲内の処理であれば、予め登録された鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を前記所有者ICカード内の前記データ処理手段に実行させる処理要求許否判定手段と、
前記結果送信手段と、
を具備する所有者デバイス装置と、
を有することを特徴とする付記2記載の暗号データ管理システム。
【0126】
(付記4) 前記代理人側装置は、前記認証情報を送信する際には、予め登録された前記認証情報を送信し、
前記所有者側装置は、代理権を与えた代理人を認証するための照合用認証情報が予め登録されており、前記代理人認証手段は、前記代理人側装置から前記認証情報を受け取った場合、前記認証情報と前記照合用認証情報とを照合することで認証処理を実行することを特徴とする付記1記載の暗号データ管理システム。
【0127】
(付記5) 前記代理人側装置は、
前記認証情報を記憶する代理人ICカードを接続可能なICカードリーダライタと、代理人からの操作入力に応答して、前記代理人ICカードから前記認証情報を取得し、前記認証情報を前記所有者側装置に送信する送信手段と、前記管理対象装置から出力された前記データ処理要求を前記所有者側装置に転送し、前記データ処理要求に応答して前記所有者側装置から返される処理結果を前記管理対象装置に転送する転送手段と、を有する代理人デバイス装置と、
で構成されることを特徴とする付記4記載の暗号データ管理システム。
【0128】
(付記6) 前記代理人側装置は、前記認証情報を送信する際には、前記所有者側装置に対して接続要求を送信し、前記接続要求に対して応答された暗号化乱数列を予め登録された秘密鍵で復号して復号後乱数列を生成し、前記複合後乱数列を前記認証情報として前記所有者側装置に送信し、
前記所有者側装置は、代理人を認証する際には、前記代理人側装置から送られた前記接続要求に応じて乱数列を生成し、予め前記代理人側装置に対応付けて登録された公開鍵で前記乱数列を暗号化して前記暗号化乱数列を生成し、前記暗号化乱数列を前記代理人側装置に送信し、前記代理人側装置から前記認証情報として送られた前記復号後乱数列を、生成した前記乱数列と照合することで認証を行う、
ことを特徴とする付記1記載の暗号データ管理システム。
【0129】
(付記7) 前記代理人側装置は、
前記秘密鍵と、前記秘密鍵で前記暗号化乱数列の復号処理を行うデータ処理手段とを有する代理人ICカードと、
前記代理人ICカードを接続可能なICカードリーダライタと、代理人からの操作入力に応答して、前記所有者側装置に対して接続要求を送信し、前記接続要求に対して応答された前記暗号化乱数列を前記代理人ICカードで復号させ、復号によって生成された前記復号後乱数列を前記認証情報として前記所有者側装置に送信する送信手段と、前記管理対象装置から出力された前記データ処理要求を前記所有者側装置に転送し、前記データ処理要求に応答して前記所有者側装置から返される処理結果を前記管理対象装置に転送する転送手段と、を有する代理人デバイス装置と、
で構成されることを特徴とする付記6記載の暗号データ管理システム。
【0130】
(付記8) 前記委任条件には、代理権によるデータ処理を許可する日時が定義されていることを特徴とする付記1記載の暗号データ管理システム。
(付記9) 前記委任条件には、代理権によるデータ処理の回数の制限値が定義されていることを特徴とする付記1記載の暗号データ管理システム。
【0131】
(付記10) 前記代理人側装置は、前記管理対象システムに接続されたICカードリーダライタに挿入可能なカード型プローブを有し、前記カード型プローブを介して前記データ処理要求を受け取ることを特徴とする付記1記載の暗号データ管理システム。
【0132】
(付記11) 代理人側装置と、所有者側装置とを有し、管理対象のシステム内の暗号データの管理を行う暗号データ管理システムが行うデータ管理方法であって、
前記代理人側装置は、
代理人からの操作入力に応答して、該代理人の代理権を示す認証情報を所有者側装置に送信する送信ステップと、
前記管理対象装置から前記暗号データを含むデータ処理要求が出力されると、前記データ処理要求を前記所有者側装置に転送すると共に、その後前記所有者側装置から返される該データ処理要求に対応した処理結果を前記管理対象装置に転送する転送ステップと、
を実行し、
前記所有者側装置は、
前記代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段にアクセス可能であり、
前記代理人側装置から前記代理人の認証情報を受信した場合、該認証情報を認証する代理人認証ステップと、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証ステップによる認証が正常に行われ、かつ、該データ処理要求に対して前記委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、予め登録されている鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を実行する実行ステップと、
前記実行ステップによる処理結果を前記代理人側装置に送信する結果送信ステップと、
を実行する暗号データ管理方法。
【図面の簡単な説明】
【0133】
【図1】実施の形態の概要を示す図である。
【図2】本実施の形態のシステム構成例を示す図である。
【図3】本実施の形態に用いる代理人デバイスのハードウェア構成例を示す図である。
【図4】暗号データ管理機能を示すブロック図である。
【図5】委任条件記憶部のデータ構造例を示す図である。
【図6】正常にデータ処理が実行される場合の処理手順を示すシーケンス図である。
【図7】認証エラーとなる場合の処理手順を示すシーケンス図である。
【図8】所有者ICカードが抜かれた場合の処理手順を示すシーケンス図である。
【図9】処理要求許否判定処理の手順を示すフローチャートである。
【図10】USBインタフェースによる接続例を示す図である。
【図11】代理人ICカードの機能をデバイス本体に内蔵した例を示す図である。
【図12】複数の所有者ICカードを同時に使用可能な所有者デバイスの例である。
【図13】複数の所有者ICカードの機能をデバイス本体に内蔵した例を示す図である。
【図14】公開鍵方式で代理人認証を行うシステムの機能ブロック図である。
【図15】委任条件記憶部のデータ構造例を示す図である。
【図16】公開鍵による認証手順を示すシーケンス図である。
【符号の説明】
【0134】
1 管理対象装置
1a 暗号データ記憶手段
2 代理人側装置
2a 送信手段
2b 転送手段
3 所有者側装置
3a 鍵
3b 委任条件記憶手段
3c 代理人認証手段
3d 処理要求許否判定手段
3e データ処理手段
3f 結果送信手段
3g 実行手段
4 ネットワーク
【特許請求の範囲】
【請求項1】
代理人側装置と、所有者側装置とを有し、管理対象のシステム内の暗号データの管理を行う暗号データ管理システムであって、
前記代理人側装置は、
代理人からの操作入力に応答して、該代理人の代理権を示す認証情報を所有者側装置に送信する送信手段と、
前記管理対象装置から前記暗号データを含むデータ処理要求が出力されると、前記データ処理要求を前記所有者側装置に転送すると共に、その後前記所有者側装置から返される該データ処理要求に対応した処理結果を前記管理対象装置に転送する転送手段と、
を有し、
前記所有者側装置は、
前記代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段と、
前記代理人側装置から前記代理人の認証情報を受信した場合、該認証情報を認証する代理人認証手段と、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証手段による認証が正常に行われ、かつ、該データ処理要求に対して前記委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、予め登録されている鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を実行する実行手段と、
前記実行手段による処理結果を前記代理人側装置に送信する結果送信手段と、
を有する暗号データ管理システム。
【請求項2】
前記所有者側装置の、前記暗号データ記憶手段内の前記暗号データは公開鍵で暗号化されており、前記所有者側装置は、前記公開鍵に対応する秘密鍵を有しており、前記実行手段は、該秘密鍵を用いて前記暗号データを復号することを特徴とする請求項1記載の暗号データ管理システム。
【請求項3】
前記所有者側装置は、
前記秘密鍵と、前記秘密鍵で前記暗号データの復号処理を行うデータ処理手段とを具備する所有者ICカードに接続可能なICカードリーダライタと、
前記委任条件記憶手段と、
前記代理人側装置から前記認証情報を受信すると、前記認証情報と前記委任条件記憶手段内の前記照合用認証情報とを照合して前記代理人側装置を操作している代理人の代理権を認証する前記代理人認証手段と、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証手段により前記代理人側装置から送信された前記認証情報が認証されており、かつ代理人の委任条件に示される範囲内の処理であれば、予め登録された鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を前記所有者ICカード内の前記データ処理手段に実行させる処理要求許否判定手段と、
前記結果送信手段と、
を具備する所有者デバイス装置と、
を有することを特徴とする請求項2記載の暗号データ管理システム。
【請求項4】
前記代理人側装置は、前記認証情報を送信する際には、予め登録された前記認証情報を送信し、
前記所有者側装置は、代理権を与えた代理人を認証するための照合用認証情報が予め登録されており、前記代理人認証手段は、前記代理人側装置から前記認証情報を受け取った場合、前記認証情報と前記照合用認証情報とを照合することで認証処理を実行することを特徴とする請求項1記載の暗号データ管理システム。
【請求項5】
前記代理人側装置は、
前記認証情報を記憶する代理人ICカードを接続可能なICカードリーダライタと、代理人からの操作入力に応答して、前記代理人ICカードから前記認証情報を取得し、前記認証情報を前記所有者側装置に送信する送信手段と、前記管理対象装置から出力された前記データ処理要求を前記所有者側装置に転送し、前記データ処理要求に応答して前記所有者側装置から返される処理結果を前記管理対象装置に転送する転送手段と、を有する代理人デバイス装置と、
で構成されることを特徴とする請求項4記載の暗号データ管理システム。
【請求項6】
代理人側装置と、所有者側装置とを有し、管理対象のシステム内の暗号データの管理を行う暗号データ管理システムが行うデータ管理方法であって、
前記代理人側装置は、
代理人からの操作入力に応答して、該代理人の代理権を示す認証情報を所有者側装置に送信する送信ステップと、
前記管理対象装置から前記暗号データを含むデータ処理要求が出力されると、前記データ処理要求を前記所有者側装置に転送すると共に、その後前記所有者側装置から返される該データ処理要求に対応した処理結果を前記管理対象装置に転送する転送ステップと、
を実行し、
前記所有者側装置は、
前記代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段にアクセス可能であり、
前記代理人側装置から前記代理人の認証情報を受信した場合、該認証情報を認証する代理人認証ステップと、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証ステップによる認証が正常に行われ、かつ、該データ処理要求に対して前記委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、予め登録されている鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を実行する実行ステップと、
前記実行ステップによる処理結果を前記代理人側装置に送信する結果送信ステップと、
を実行する暗号データ管理方法。
【請求項1】
代理人側装置と、所有者側装置とを有し、管理対象のシステム内の暗号データの管理を行う暗号データ管理システムであって、
前記代理人側装置は、
代理人からの操作入力に応答して、該代理人の代理権を示す認証情報を所有者側装置に送信する送信手段と、
前記管理対象装置から前記暗号データを含むデータ処理要求が出力されると、前記データ処理要求を前記所有者側装置に転送すると共に、その後前記所有者側装置から返される該データ処理要求に対応した処理結果を前記管理対象装置に転送する転送手段と、
を有し、
前記所有者側装置は、
前記代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段と、
前記代理人側装置から前記代理人の認証情報を受信した場合、該認証情報を認証する代理人認証手段と、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証手段による認証が正常に行われ、かつ、該データ処理要求に対して前記委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、予め登録されている鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を実行する実行手段と、
前記実行手段による処理結果を前記代理人側装置に送信する結果送信手段と、
を有する暗号データ管理システム。
【請求項2】
前記所有者側装置の、前記暗号データ記憶手段内の前記暗号データは公開鍵で暗号化されており、前記所有者側装置は、前記公開鍵に対応する秘密鍵を有しており、前記実行手段は、該秘密鍵を用いて前記暗号データを復号することを特徴とする請求項1記載の暗号データ管理システム。
【請求項3】
前記所有者側装置は、
前記秘密鍵と、前記秘密鍵で前記暗号データの復号処理を行うデータ処理手段とを具備する所有者ICカードに接続可能なICカードリーダライタと、
前記委任条件記憶手段と、
前記代理人側装置から前記認証情報を受信すると、前記認証情報と前記委任条件記憶手段内の前記照合用認証情報とを照合して前記代理人側装置を操作している代理人の代理権を認証する前記代理人認証手段と、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証手段により前記代理人側装置から送信された前記認証情報が認証されており、かつ代理人の委任条件に示される範囲内の処理であれば、予め登録された鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を前記所有者ICカード内の前記データ処理手段に実行させる処理要求許否判定手段と、
前記結果送信手段と、
を具備する所有者デバイス装置と、
を有することを特徴とする請求項2記載の暗号データ管理システム。
【請求項4】
前記代理人側装置は、前記認証情報を送信する際には、予め登録された前記認証情報を送信し、
前記所有者側装置は、代理権を与えた代理人を認証するための照合用認証情報が予め登録されており、前記代理人認証手段は、前記代理人側装置から前記認証情報を受け取った場合、前記認証情報と前記照合用認証情報とを照合することで認証処理を実行することを特徴とする請求項1記載の暗号データ管理システム。
【請求項5】
前記代理人側装置は、
前記認証情報を記憶する代理人ICカードを接続可能なICカードリーダライタと、代理人からの操作入力に応答して、前記代理人ICカードから前記認証情報を取得し、前記認証情報を前記所有者側装置に送信する送信手段と、前記管理対象装置から出力された前記データ処理要求を前記所有者側装置に転送し、前記データ処理要求に応答して前記所有者側装置から返される処理結果を前記管理対象装置に転送する転送手段と、を有する代理人デバイス装置と、
で構成されることを特徴とする請求項4記載の暗号データ管理システム。
【請求項6】
代理人側装置と、所有者側装置とを有し、管理対象のシステム内の暗号データの管理を行う暗号データ管理システムが行うデータ管理方法であって、
前記代理人側装置は、
代理人からの操作入力に応答して、該代理人の代理権を示す認証情報を所有者側装置に送信する送信ステップと、
前記管理対象装置から前記暗号データを含むデータ処理要求が出力されると、前記データ処理要求を前記所有者側装置に転送すると共に、その後前記所有者側装置から返される該データ処理要求に対応した処理結果を前記管理対象装置に転送する転送ステップと、
を実行し、
前記所有者側装置は、
前記代理人側装置を使用する代理人の委任条件が予め格納された委任条件記憶手段にアクセス可能であり、
前記代理人側装置から前記代理人の認証情報を受信した場合、該認証情報を認証する代理人認証ステップと、
前記代理人側装置からの前記データ処理要求を受信した場合、前記代理人認証ステップによる認証が正常に行われ、かつ、該データ処理要求に対して前記委任条件記憶手段に示される代理人の委任条件の範囲内の処理であれば、予め登録されている鍵を用いて、許可された前記データ処理要求に含まれる前記暗号データの復号を伴うデータ処理を実行する実行ステップと、
前記実行ステップによる処理結果を前記代理人側装置に送信する結果送信ステップと、
を実行する暗号データ管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2009−246800(P2009−246800A)
【公開日】平成21年10月22日(2009.10.22)
【国際特許分類】
【出願番号】特願2008−92699(P2008−92699)
【出願日】平成20年3月31日(2008.3.31)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成21年10月22日(2009.10.22)
【国際特許分類】
【出願日】平成20年3月31日(2008.3.31)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]