暗号化によるコンピュータデータ保護システム
【課題】個人情報等の機密データの漏洩、紛失又は盗難対策が重要であり、その対策には、物理鍵の使用やデータ暗号化復号化の他に、暗号化復号化を行うソフトウエアの使用許可を出す為の物理鍵を備えたシステムがあるが、物理鍵とパソコンの同時盗用の場合にも、容易には情報盗取できないようにする。
【解決手段】本発明は、データ暗号化復号化システムであり、暗号化復号化プログラム、当該プログラムをインストールするコンピュータ、当該プログラムの復号化動作許可用の当該コンピュータへの外部接続素子並びに当該外部接続素子に復号化動作許可権限を付与するプログラムからなる。暗号化復号化プログラムの復号化動作許可パスワード入力も要求でき、上記権限付与プログラムをインストールするコンピュータへの外部接続素子の接続又は、該接続且権限付与プログラム動作許可パスワード入力も要求できる。復号化動作許可キーには、様々な条件を付与できる。
【解決手段】本発明は、データ暗号化復号化システムであり、暗号化復号化プログラム、当該プログラムをインストールするコンピュータ、当該プログラムの復号化動作許可用の当該コンピュータへの外部接続素子並びに当該外部接続素子に復号化動作許可権限を付与するプログラムからなる。暗号化復号化プログラムの復号化動作許可パスワード入力も要求でき、上記権限付与プログラムをインストールするコンピュータへの外部接続素子の接続又は、該接続且権限付与プログラム動作許可パスワード入力も要求できる。復号化動作許可キーには、様々な条件を付与できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パーソナルコンピュータ等のコンピュータに用いられる、ハードディスクやDVD(登録商標)、CD(登録商標)等の各種記憶媒体中に保存されているデータの漏洩、盗難を防ぐコンピュータデータ保護システムに関する。
【背景技術】
【0002】
近年、個人情報等の機密データの管理が重要となってきており、その漏洩や紛失に対する対策、盗難対策が重要となっている。特にパーソナルコンピュータ(以下、パソコンとする。)内のハードディスクや、持ち歩き可能なハードディスク等の大容量記憶媒体中に保存されたデータの管理が重要視されている。
【0003】
このようなセキュリティー対策に広く用いられている手法の1つが、物理的な鍵(物理鍵)の使用である。これは、物理鍵として、パソコン本体に外部から接続する外部接続素子に鍵としての機能を与え、この物理鍵がパソコンに接続されている時のみ、パソコンの操作が可能となる、と言うものである。しかしながら、この手法では、パソコンから離れる度に物理鍵を抜き、再使用時に毎回物理鍵を接続しなければならないという煩雑さがあった。また、パソコンと鍵を一緒に盗まれてしまった場合、パソコン内部のデータには何のセキュリティーもかかっていない状態になってしまうという問題点があった。また、使用者が鍵を紛失した際には、パソコン自体が使用できなくなってしまうため、非常に不便であった。
【0004】
もう1つの一般的な、コンピュータのデータに関するセキュリティー対策として、データの暗号化復号化が挙げられる。暗号化復号化技術として有名なものは、共通鍵暗号法と公開鍵暗号法である。共通鍵暗号法とは、暗号化する人と復号化する人とがそれぞれの操作を行うに際し、同じ鍵を使って暗号化、復号化を行う方法である。一方、公開鍵暗号法は、秘密鍵と公開鍵というペアの鍵を用いて、暗号化と複合化を行う手法で、どちらか一方の鍵で暗号化したデータは、もう一方の鍵を使わないと復号化できないという特徴を有している。(特開2001−308843号公報参照。)
【0005】
暗号化、復号化は一般的に、コンピュータ内のソフトによって、一定の算術プロセスあるいは関数の組み合わせから乱数を発生し、この乱数を元に、暗号化と複合化を行っている。こうした乱数は擬似乱数と呼ばれ、生成の為の規則性が残ってしまう。よって、乱数生成法が推測可能であり、堅牢性に問題があった。このような堅牢性の問題を解決するために、乱数を発生させる機構に、コンピュータ外部の物理的変動、例えば熱雑音や振動、によって乱数を発生させる物理乱数ジェネレータを用いる暗号化復号化システムや、カオス・ニューラルネットワークを用いた擬似乱数を用いる暗号化復号化システムが考案されている。(特開2005−173197号公報、特開2003−76272号公報及び特開2001−144746号公報参照。)
【0006】
しかし、データが暗号化されていても、復号化プログラムが同じパソコン上で常に使用可能な状態にある場合には、やはりパソコン自身を盗まれてしまうと、情報が盗まれてしまう。そこで、暗号化や複合化を行うソフトウエアの使用許可を出す為の物理鍵を備えたシステムが市販されている。このシステムでも、物理鍵として、パソコン本体に外部から接続する外部接続素子を用い、この物理鍵がパソコンに接続されている時のみ、暗号化、復号化が可能となる。この方法は、暗号化、復号化機能以外の機能は、鍵無しでも使用可能であるため、パソコン自体を、物理鍵を用いてロックしてしまう方法に比べ、利便性が高い。また、パソコン自体が盗まれても、機密性の高いデータを暗号化しておけば、物理鍵が無ければ復号化できないため、情報の漏洩を阻止することができる。
【0007】
ところが、このようなシステムでも、物理鍵とパソコンを同時に盗まれてしまった場合、例えば、外出先でのパソコンの使用中に物理鍵を接続したままの状態でパソコンを盗まれてしまった場合には、情報を守ることができないという欠点がある。
【0008】
【特許文献1】特開2001−308843号公報
【特許文献2】特開2005−173197号公報
【特許文献3】特開2003−76272号公報
【特許文献4】特開2001−144746号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
本発明は、以上の様な状況に鑑み、パソコンが盗難に遭った場合に、暗号化、復号化を行うプログラムに対する物理鍵において、万一、パソコンと物理鍵が一緒に盗まれても、容易には情報を取り出すことができないようにする手段を提供する。
【課題を解決するための手段】
【0010】
本発明は、記憶媒体中に保存されているファイル及びデータを暗号化又は復号化するシステムであって、当該暗号化及び復号化を実施するプログラム(以下、暗号化復号化プログラムとする。)と、該暗号化復号化プログラムがインストール(プログラムをコンピュータに導入するプロセス。以下同じ。)されているコンピュータ(以下、暗号化復号化コンピュータとする。)と当該暗号化復号化プログラムの復号化の動作許可の鍵の役割を果たす当該暗号化復号化コンピュータへの外部接続素子(以下、暗号化復号化プログラム動作許可キーとする。)と、当該暗号化復号化プログラム動作許可キーへ鍵としての権限付与を行うプログラム(以下、権限付与プログラムとする。)とによって構成されていることを第1の特徴とする、暗号化によるコンピュータデータ保護システムである。
【0011】
本発明は、上記第1の特徴に加えて、上記権限付与プログラムは、その権限付与動作の許可の鍵の役割を果たす外部接続素子(以下、権限付与プログラム動作許可キーとする。)が、当該権限付与プログラムがインストールされているコンピュータ(以下、権限付与コンピュータとする。)に接続されることによって上記権限付与動作が可能となることを第2の特徴とする暗号化によるコンピュータデータ保護システムである。
【0012】
本発明は、上記第2の特徴に加えて、上記権限付与プログラム動作許可キーが、上記権限付与プログラムの起動時又は動作中において、上記権限付与プログラムが要求する時に、上記権限付与コンピュータに接続されていることを第3の特徴とする暗号化によるコンピュータデータ保護システムである。
【0013】
本発明は、上記第2又は第3の特徴に加えて、上記権限付与プログラムは、上記権限付与プログラム動作許可キーの上記権限付与コンピュータへの接続に加え、権限付与プログラム動作許可パスワードの入力によって上記権限付与動作が可能となることを第4の特徴とする暗号化によるコンピュータデータ保護システムである。
【0014】
本発明は、上記第1の特徴に加えて、上記暗号化復号化プログラム動作許可キーが、上記暗号化復号化プログラムの起動時又は動作中において、上記暗号化復号化プログラムが要求する時に、上記暗号化復号化コンピュータに接続されていることを第5の特徴とする暗号化によるコンピュータデータ保護システムである。
【0015】
本発明は、上記第1又は第5の特徴に加えて、上記暗号化復号化プログラム動作許可キーの上記暗号化復号化コンピュータへの接続に加え、暗号化復号化プログラム動作許可パスワードの入力によって、上記暗号化復号化プログラムの復号化の動作が実施可能となることを第6の特徴とする暗号化によるコンピュータデータ保護システムである。
【0016】
本発明は、上記第1乃至第6のいずれか一つの特徴に加えて、上記権限付与プログラムが、上記暗号化復号化プログラム動作許可キーに復号化を行う回数の上限を設定し、復号化の回数が当該上限に達した際には、それ以後は復号化を許可しない機能を有することを第7の特徴とする暗号化によるコンピュータデータ保護システムである。
【0017】
本発明は、上記第1乃至第6のいずれか一つの特徴に加えて、上記権限付与プログラムが、上記暗号化復号化プログラム動作許可キーに復号化の実施可能な時期的制限を加え、復号化の実施が可能でないと設定した期間においては復号化を許可しない機能を有することを第8の特徴とする暗号化によるコンピュータデータ保護システムである。
【0018】
本発明は、上記第6の特徴に加えて、上記権限付与プログラムは、上記暗号化復号化プログラム動作許可キーに対して、暗号化復号化プログラム動作許可パスワードの入力ミス可能回数の上限を設定し、当該上限を超えたパスワードの入力ミスが生じた際には、それ以後は復号化を許可しない機能を有することを第9の特徴とする暗号化によるコンピュータデータ保護システムである。
【0019】
本発明は、上記第1乃至9のいずれか一つの特徴に加えて、上記権限付与プログラムが、上記暗号化復号化プログラム動作許可キーの鍵としての権限を無効にすることができることを第10の特徴とする暗号化によるコンピュータデータ保護システムである。
【0020】
本発明は、上記第7乃至10のいずれか一つの特徴に加えて、上記権限付与プログラムが、復号化を許可できなくなった上記暗号化復号化プログラム動作許可キーに、復号化を許可する権限を与えることができることを第11の特徴とする暗号化によるコンピュータデータ保護システムである。
【0021】
上記暗号化復号化プログラム動作許可キー及び権限付与プログラム動作許可キーには、USB(Universal Serial Bus)(登録商標)準拠コネクタによって接続する外部素子、赤外線通信デバイス、SD(Secure Digital)(登録商標)、IEEE1394、PC Card(登録商標)、COMPACTFLASH(登録商標)、Smart Media(登録商標)、MEMORY STICK(登録商標)、xD−Picture Card(登録商標)、FeliCa(登録商標)、ISO/IEC IS 18092又はBluetooth(登録商標)の準拠デバイス等を用いる。
【発明の効果】
【0022】
本発明の第1の特徴によって、パソコンを持っての外出時等、パソコンが盗難に遭う危険性が高い場合には、暗号化復号化プログラム動作許可キーK1を持って外出し、暗号化復号化プログラム動作許可キーK1に対して、権限付与プログラムP2によって、復号化を行える権限に制限を加えておくことによって、データの盗難を防ぐことができる。
【0023】
本発明の第2の特徴によって、権限付与プログラム動作許可キーK2がなければ、暗号化復号化プログラム動作許可キーK1への制限を変更できないような構成とすることができ、よって、暗号化復号化プログラム動作許可キーK1とパソコンが同時に盗難に遭っても、データの盗難を防ぐことができる。
【0024】
本発明の第3の特徴によって、権限付与プログラム動作許可キーK2がなければ、暗号化復号化プログラム動作許可キーK1への制限を変更できないような構成とすることができ、よって、暗号化復号化プログラム動作許可キーK1とパソコンが同時に盗難に遭っても、データの盗難を防ぐことができる。
【0025】
本発明の第4の特徴によって、権限付与プログラム動作許可パスワードW2を知っている人の数を限定でき、よって、権限付与プログラム動作許可キーK2を使用できる人(例えば管理者)を限定し、暗号化復号化プログラム動作許可キーK1への権限の付与権を特定の人にのみ与えることができるようになることから、会社や会社内のグループ、又は組織内でのデータ管理を効率的に行うことができる。また、万一、暗号化復号化プログラム動作許可キーK1、権限付与プログラム動作許可キーK2及びパソコンのすべてが同時に盗難に遭った場合でも、セキュリティーを保つことができる。
【0026】
本発明の第5の特徴によって、暗号化復号化プログラム動作許可キーK1がなければ、暗号化、復号化ができないような構成とすることができ、よって、パソコンが盗難に遭っても、データの盗難を防ぐことができる。
【0027】
本発明の第6の特徴によって、万一、暗号化復号化プログラム動作許可キーK1及びパソコンの両方が同時に盗難に遭った場合でも、セキュリティーを保つことができる。
【0028】
本発明の第7の特徴によって、万一、暗号化復号化プログラム動作許可キーK1及びパソコンの両方が同時に盗難に遭った場合でも、設定上限回数までしか復号化ができない為、データの盗難を最小限に抑えることができる。
【0029】
本発明の第8の特徴によって、万一、暗号化復号化プログラム動作許可キーK1及びパソコンの両方が同時に盗難に遭った場合でも、制限時間が過ぎてしまうと復号化ができない為、データの盗難を最小限に抑えることができる。
【0030】
本発明の第9の特徴によって、万一、暗号化復号化プログラム動作許可キーK1及びパソコンの両方が同時に盗難に遭った場合でも、暗号化複合化プログラム動作許可パスワードW1の入力を規定回数以上ミスしてしまうと復号化ができない為、データの盗難を最小限に抑えることができる。
【0031】
本発明の第10の特徴によって、盗難の危険が非常に高い場合、又は、どうしても機密性の高いデータや情報をパソコンに入れて持ち出さなければならない場合、暗号化復号化プログラム動作許可キーK1が無効になっていれば、万一、暗号化復号化プログラム動作許可キーK1及びパソコンの両方が同時に盗難に遭った場合でも、復号化ができない為、データの盗難を阻止できる。
【0032】
本発明の第11の特徴によって、データの復号化が必要になった時点で、暗号化復号化プログラム動作許可キーK1を有効にすることによって、再度、データや情報を取り出すことができる。更には、本機能によって、上記のような、復号化を行う回数の上限、復号化が実施可能な時期的制限、パスワード入力ミス回数の制限によって、復号化を許可できなくなってしまった、つまり、鍵として無効になってしまった暗号化復号化プログラム動作許可キーK1を再度有効にできることから、暗号化復号化プログラム動作許可キーK1使用時の利便性を向上できる。
【0033】
上記暗号化復号化プログラム動作許可キーK1及び権限付与プログラム動作許可キーK2には、USB(Universal Serial Bus)(登録商標)準拠コネクタによって接続する外部素子、赤外線通信デバイス、SD(Secure Digital)(登録商標)、IEEE1394、PC Card(登録商標)、COMPACTFLASH(登録商標)、Smart Media(登録商標)、MEMORY STICK(登録商標)、xD−Picture Card(登録商標)、FeliCa(登録商標)、ISO/IEC IS 18092又はBluetooth(登録商標)の準拠デバイス等を用いれば、暗号化復号化プログラム動作許可キーK1や権限付与プログラム動作許可キーK2は容易に持ち運ぶことができ、利便性を向上できる。
【発明を実施するための最良の形態】
【0034】
本発明の実施例を以下に説明する。
【実施例1】
【0035】
以下に本発明の実施例を示す。暗号化復号化コンピュータC1はノート型の持ち運びが容易なパーソナルコンピュータであり、この暗号化復号化コンピュータC1には暗号化復号化を行うプログラムP1がインストールされている。本実施例の暗号化復号化プログラムP1は、カオス・ニューラルネットワークを用いた擬似乱数を用いる暗号化復号化システムによって暗号化及び復号化を行う。
【0036】
図1は、本発明の実施例の概略的なシステム構成図である。図1に従って説明すると、本実施例は、暗号化復号化コンピュータC1、暗号化復号化プログラム動作許可キーK1、暗号化復号化プログラム動作許可パスワードW1(図示せず)、権限付与コンピュータC2、権限付与プログラム動作許可キーK2及び権限付与プログラム動作許可パスワードW2(図示せず)からなる。暗号化復号化コンピュータC1には、暗号化復号化プログラムP1がインストールされており、当該コンピュータ上で動作する。暗号化復号化プログラム動作許可キーK1は、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等を備える外部接続素子であり、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等の外部素子接続部(接続ポート)を備えている暗号化復号化コンピュータC1に脱着可能なように接続される。暗号化復号化プログラム動作許可パスワードW1は、暗号化復号化プログラムP1から求められた場合、暗号化復号化コンピュータC1に接続されているキーボード等の入力装置(入力装置として、キーボード以外に、タッチパネルや入力用ボタン、マウス等が利用可能である。以下同じ。)から入力する。権限付与コンピュータC2には、権限付与プログラムP2がインストールされており、当該コンピュータ上で動作する。暗号化復号化プログラム動作許可キーK1及び権限付与プログラム動作許可キーK2は、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等を備える外部接続素子であり、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等の外部素子接続部を備えている権限付与コンピュータC2に脱着可能なように接続される。権限付与プログラム動作許可パスワードW2は、権限付与プログラムP2から求められた場合、権限付与コンピュータC2に接続されているキーボード等の入力装置から入力する。
【0037】
暗号化復号化プログラムP1による復号化を動作させる、つまり暗号化されたファイルを元のファイルに戻す為には、暗号化復号化プログラム動作許可キーK1が暗号化復号化コンピュータC1に接続されている必要がある。更に、暗号化復号化プログラムP1による復号化を動作させるために、パスワードW1の入力も必要とするように設定した。一方、権限付与コンピュータC2には、暗号化復号化プログラム動作許可キーK1に対して、暗号化復号化プログラムP1の動作を許可する為の鍵としての役割を付与する、つまり鍵としての権限を与える権限付与プログラムP2がインストールされている。権限付与コンピュータC2に暗号化復号化プログラム動作許可キーK1を装着し、権限付与プログラムP2は、暗号化復号化プログラム動作許可キーK1に暗号化復号化プログラムP1の動作許可を与える権限を付与する。
【0038】
この際、権限付与プログラムP2は、暗号化復号化プログラム動作許可キーK1に与える鍵としての権限に対して、様々な条件を付与することができる。具体的には、復号化が実施可能な回数の上限、復号化が実施可能な時間帯の制限、暗号化復号化プログラムP1を動作可能とさせる為のパスワードW1の誤入力回数の制限である。また、権限付与プログラムP2は無条件で暗号化復号化プログラム動作許可キーK1を無効化することもでき、無効化された暗号化復号化プログラム動作許可キーK1の無効化状態を解除することもできる。
【0039】
例えば、暗号化復号化コンピュータC1が盗まれる可能性が限りなく低く、また、定常的なユーザーが日常の作業として暗号化復号化プログラムP1を使用する場合、暗号化復号化プログラム動作許可キーK1には随時復号化が可能、つまり暗号化復号化プログラム動作許可キーK1は随時鍵として有効という権限を与えておくことによって、ストレス無く暗号化復号化プログラムP1の使用が可能となる。外部の人に暗号化復号化コンピュータC1を貸し出す場合等で、必要最低限の復号化を許可する場合には、暗号化復号化プログラム動作許可キーK1に必要最低限の回数に限り復号化を行えるよう条件を付与した動作許可を与えることによって、想定外のデータの持ち出しを禁止する効果が得られる。暗号化復号化プログラム動作許可キーK1に鍵として使用可能な時間の制限を与えておけば、設定時間外での復号化が禁止できるため、想定外のデータの持ち出しを禁止する効果が得られる。出張等でコンピュータP1を外部に持ち出す際など、盗難の可能性が非常に高い場合、暗号化復号化プログラム動作許可キーK1に与える権限に多くの制限をかけることによって、データの盗難を防ぐことができる。例えば、出張中に必要となる重要データを1回に限り復号化できるように暗号化復号化プログラム動作許可キーK1に回数制限を与えておけば、万一、暗号化復号化コンピュータC1と暗号化復号化プログラム動作許可キーK1が一緒に盗まれてしまっても、データの盗難の被害を最低限に抑制できる。また、暗号化復号化プログラムP1を使用する時間を予め設定して、その情報を暗号化復号化プログラム動作許可キーK1に入力し、暗号化復号化プログラム動作許可キーK1の権限に制限を加えることによって、データの盗難の被害を抑制できる。例えば、会議等で使用する機密データを暗号化復号化コンピュータC1に保存して持ち運ぶ際、会議の時間が、ある特定の日の午後1時から午後3時であった場合、この日のこの時間内でのみ復号化ができるという条件の付いた権限を暗号化復号化プログラム動作許可キーK1に与えておけば、万一、会議終了後の帰宅時等に暗号化復号化コンピュータC1と暗号化復号化プログラム動作許可キーK1が盗難に遭ったとしても、復号化が許可されない、つまり暗号化復号化プログラム動作許可キーK1は既に鍵としての権限を持たない為、データが盗まれる心配がない。暗号化復号化プログラム動作許可パスワードW1の入力間違い回数の上限を設定し、ある特定回数当該パスワードW1を間違って入力した場合、その後の復号化の動作を許可しない、つまり暗号化復号化プログラム動作許可キーK1を無効にするという制限を暗号化復号化プログラム動作許可キーK1に与えておくことによって、より強固にデータの盗難を防ぐことができる。あるデータをどうしても暗号化復号化コンピュータC1にいれて持ち歩かなければならないが、そのデータ自身を特に利用する予定が無い場合等は、権限付与プログラムP2によって暗号化復号化プログラム動作許可キーK1を無効にしてしまえばよい。以上のような回数制限、時期的制限、パスワード誤入力制限によって、復号化ができなくなってしまった場合、つまり暗号化復号化プログラム動作許可キーK1が無効になってしまった場合は再度権限付与コンピュータC2に装着し、権限付与プログラムP2によって権限を付与することによって再度暗号化復号化プログラムP1の鍵として使用が可能である。
【0040】
権限付与プログラムP2の権限付与の動作を許可するために、図1に示すように、権限付与コンピュータC2への外部接続素子である権限付与プログラム動作許可キーK2を用意しておくことが望ましい。また、この権限付与の動作を許可するためには、権限付与プログラム動作許可パスワードW2の入力も必要とするように設定している。
【0041】
図2は、本発明の第2実施例における権限付与コンピュータC2の概略的なシステム構成図である。権限付与コンピュータC2以外の部分に関しては、図1の説明がそのまま妥当する。図1における実施例では、権限付与コンピュータC2における2つの外部素子接続部(接続ポート)に暗号化復号化プログラム動作許可キーK1と権限付与プログラム動作許可キーK2をそれぞれ別個に接続したが、図2では、権限付与プログラム動作許可キーK2は、暗号化復号化プログラム動作許可キーK1を装着できる接続部を備え、暗号化復号化プログラム動作許可キーK1は、権限付与プログラム動作許可キーK2を介して権限付与コンピュータC2に接続するように構成されている。権限付与プログラム動作許可キーK2を介して、暗号化復号化プログラム動作許可キーK1が権限付与コンピュータC2に接続されたときのみ、当該暗号化復号化プログラム動作許可キーK1に与えられる権限に関する設定が変更できるようにすることによって、よりセキュリティーを向上することができる。なお、暗号化復号化プログラム動作許可キーK1が、権限付与プログラム動作許可キーK2を装着できる接続部を備え、権限付与プログラム動作許可キーK2は暗号化復号化プログラム動作許可キーK1を介して権限付与コンピュータC2に接続するように構成しても、つまり、図2において、K1とK2を逆の配置にするように構成してもよい。
【0042】
図3は、本発明の第3実施例における権限付与コンピュータC2の概略的なシステム構成図である。権限付与コンピュータC2以外の部分に関しては、図1の説明がそのまま妥当する。図3では、図1及び図2とは別の変形例として、権限付与プログラム動作許可キーK2を大型の装置とする。暗号化復号化プログラム動作許可キーK1は、持ち運び可能なように小型の物が望ましく、権限付与プログラム動作許可キーK2も、保管等の観点からは小型の物が望ましい。しかし、小型にすると容易に盗難に遭う恐れもあるので、権限付与プログラム動作許可キーK2は卓上に置くことのできる程度の装置にし、尚かつ、チェーン等で固定する。そのことによって、盗難を防止することができる。
【0043】
図4は、本発明の第4実施例における権限付与コンピュータC2の概略的なシステム構成図である。権限付与コンピュータC2以外の部分に関しては、図1の説明がそのまま妥当する。図4では、図1、図2及び図3とは別の変形例として、権限付与プログラム動作許可キーK2自身に、権限付与プログラムP2及び権限付与プログラムP2の操作装置を組み込んでいる。このように構成することによって、権限付与コンピュータC2が不要となるため、本システムを安価に利用できる。
【0044】
図5は、本発明の第5実施例の概略的なシステム構成図である。図5に従って説明すると、本実施例は、暗号化復号化コンピュータC1、暗号化復号化プログラム動作許可キーK1、暗号化復号化プログラム動作許可パスワードW1(図示せず)、権限付与プログラム動作許可キーK2及び権限付与プログラム動作許可パスワードW2(図示せず)からなる。暗号化復号化コンピュータC1には、暗号化復号化プログラムP1及び権限付与プログラムP2がインストールされており、当該コンピュータ上で動作する。暗号化復号化プログラム動作許可キーK1及び権限付与プログラム動作許可キーK2は、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等を備える外部接続素子であり、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等の外部素子接続部を備えている暗号化復号化コンピュータC1に脱着可能なように接続される。なお、図5では暗号化復号化プログラム動作許可キーK1と権限付与プログラム動作許可キーK2とはそれぞれ別の接続部に接続しているが、図2に示したように、暗号化復号化プログラム動作許可キーK1は、権限付与プログラム動作許可キーK2を介して暗号化復号化コンピュータC1に接続されてもよく、また、権限付与プログラム動作許可キーK2が暗号化復号化プログラム動作許可キーK1を介して暗号化復号化コンピュータC1に接続されてもよい。暗号化復号化プログラム動作許可パスワードW1は、暗号化復号化プログラムP1から求められた場合、暗号化復号化コンピュータC1に接続されているキーボード等の入力装置から入力する。権限付与プログラム動作許可パスワードW2は、権限付与プログラムP2から求められた場合、暗号化復号化コンピュータC1に接続されているキーボード等の入力装置から入力する。本実施例は、図4における実施例と同様に、権限付与コンピュータC2を使用しないでよい変形例ということができる。本実施例では、権限付与プログラムP2によって、暗号化復号化プログラム動作許可キーK1に暗号化復号化プログラムP1の鍵としての権限を設定した後に、権限付与プログラム動作許可キーK2を暗号化復号化コンピュータC1より外して別途保管することによって、データの盗難を防ぐことができる。
【0045】
図1乃至図4に示した実施例は、会社などの組織等において、管理者がコンピュータの持ち出し等を管理する場合に適しており、図5に示した実施例は、個人でデータの漏洩を防ぐ場合に適している。
【0046】
なお、上述の実施例は全て、ある権限付与プログラム動作許可キーK2は特定の権限付与プログラムP2に対してのみ有効であり、また、ある権限付与プログラムP2はやはり特定の暗号化復号化プログラム動作許可キーK1に対してのみ権限付与が可能であり、ある暗号化復号化プログラム動作許可キーK1は特定の暗号化復号化プログラムP1に対してのみ有効であるように設定する。例えば、シリアル番号1の権限付与プログラム動作許可キーK2は、シリアル番号1の権限付与プログラムP2にのみ有効であり、他のシリアル番号(1以外の番号)の権限付与プログラムP2には、鍵として有効に働かない。また、シリアル番号1の権限付与プログラムP2はシリアル番号1の暗号化復号化プログラム動作許可キーK1にのみ有効であり、シリアル番号1の暗号化復号化プログラム動作許可キーK1はシリアル番号1の暗号化復号化プログラムP1にのみ有効である。というのも、このように設定しなければ、例えば、権限付与プログラムP2と権限付与プログラム動作許可キーK2を第3者が別途入手したというような場合(別の権限付与プログラムP2と権限付与プログラム動作許可キーK2のセットを購入した場合等)、このセットを使用して、別の暗号化復号化プログラム動作許可キーK1への権限の付与が実施できてしまうので、暗号化復号化プログラムP1によって、データを暗号化復号化できてしまうからである。
【0047】
但し、1つのキーが複数のプログラムに対して有効であり、1つのプログラムが複数のキーに対して有効であるようにも設定可能である。例えば、シリアル番号1の権限付与プログラムP2が、シリアル番号1から5迄の暗号化復号化プログラム動作許可キーK1に有効であるように設定できる。こうすることによって、複数の暗号化復号化プログラム動作許可キーK1を一括管理でき、会社等の組織内でのデータ管理に効果を発揮する。
【0048】
以上、本発明の実施例の構成を図1乃至5に従って説明したが、本発明は上述の場合に限られない。例えば、本実施例ではカオス・ニューラルネットワークによる暗号化復号化プログラムを用いるが、暗号化復号化プログラムはどのようなプログラムを用いても構わない。また、暗号化復号化コンピュータC1は、ノート型のコンピュータ以外にも、デスクトップ型等、あらゆるタイプのパソコンが適応可能である。暗号化復号化プログラム動作許可キーK1及び権限付与プログラム動作許可キーK2は、パソコンへの外部接続が可能な素子であれば、どのような物でも構わない。例えば、USB(Universal Serial Bus)(登録商標)準拠コネクタによって接続する外部素子、赤外線通信デバイス、SD(Secure Digital)(登録商標)、IEEE1394、PC Card(登録商標)、COMPACTFLASH(登録商標)、Smart Media(登録商標)、MEMORY STICK(登録商標)、xD−Picture Card(登録商標)、FeliCa(登録商標)、ISO/IEC IS 18092又はBluetooth(登録商標)の準拠デバイス等の全てがキーとして利用可能である。また、パスワードは、安全性確保のためには設定したほうが好ましいが、無くともよく、無い場合の方が、利便性が向上し使い勝手は良いということができる。
【0049】
また、暗号化復号化プログラムP1を用いて暗号化の動作を行う場合にも、復号化の動作を行う場合と同様に、暗号化復号化プログラム動作許可キーK1や暗号化復号化プログラム動作許可パスワードW1を要求しても良い。以上では、暗号化復号化プログラムP1を用いて暗号化の動作を行う場合において、暗号化復号化プログラム動作許可キーK1や暗号化復号化プログラム動作許可パスワードW1の必要性に関しては特に触れなかった。セキュリティー上は、暗号化の動作を行う場合、動作許可キーや動作許可パスワードは不要である。むしろ、キーやパスワードを使用せず、随時使用可能とした方が、利便性が向上し、使い勝手がよい。しかし、上記のようにすることによって、利便性は低下するが、使用者の不注意による暗号化の防止、他人の悪戯による暗号化の防止に役立つ。
【0050】
なお、暗号化の動作を行う際に暗号化復号化コンピュータC1への暗号化復号化プログラム動作許可キーK1の接続を要求するように設定した際、暗号化復号化プログラム動作許可キーK1にデータの記憶機能を付与しておき、暗号化を行ったデータに関する情報、例えばファイル名や、暗号化した時間、ファイルやデータのサイズ、過去に暗号化や復号化を行った履歴等を記憶しておくように設定し、この情報を閲覧するためのプログラムを別途用意するか、又は権限付与プログラムP2に対してこのデータを閲覧可能に設定しておくことによって、暗号化された情報を管理することができる。なお、暗号化の動作を行う際に暗号化復号化コンピュータC1への暗号化復号化プログラム動作許可キーK1の接続を要求しない場合には、暗号化を実施した後、暗号化復号化コンピュータC1へ暗号化復号化プログラム動作許可キーK1を接続したときに、事前に暗号化を実施した際の暗号化データに関する情報を暗号化復号化プログラム動作許可キーK1に記憶させてもよい。このような記憶機能の付与によって、組織内で複数の使用者が用いている複数のパソコン内において暗号化データに関する情報を管理者が閲覧できることから、組織内での情報管理に効果を発揮する。
【0051】
更に、本発明は、特許文献2に開示されているような従来の物理鍵を備えた暗号化復号化システムで物理鍵側に暗号化や復号化の動作を行う機能の一部を持たせたシステムにも適応可能である。
【0052】
図6は、本発明の実施例における暗号化復号化プログラムP1の動作許可認証過程の流れ図である。暗号化復号化プログラムP1の動作許可認証過程を図6に従って説明すると、暗号化復号化プログラムP1を実行する際に、暗号化復号化プログラム動作許可キーK1が、暗号化復号化コンピュータC1の外部接続部に接続されているかを確認する。接続されていない場合、接続確認されるまで待機するか、終了する(終了の場合は図示せず)。接続が確認された場合、暗号化復号化プログラム動作許可キーK1に書き込まれている動作許可の権限に関する情報を読み込む。動作許可確認後、暗号化復号化プログラム動作許可パスワードW1が設定されている場合、次に、パスワードの入力を要求し、入力を待つ。キーボード等の入力装置を経由して、そのパスワードが入力されると、入力されたパスワードが、暗号化復号化プログラム動作許可パスワードW1と比べて正しいものであるかを確認する。入力パスワードが正しくない場合、正しいパスワードが入力されるまで待機する。パスワードW1の入力ミス可能回数の上限が設定されている場合、パスワード入力ミス回数を1加算し、再度暗号化復号化プログラム動作許可キーK1に書き込まれている動作許可の権限に関する情報を読み込む。動作許可を再度確認し、動作が許可された場合、再度パスワードの入力を要求、入力を待つ。パスワード入力ミス回数が制限範囲を超えた場合は、暗号化復号化プログラムP1を終了する。正しいパスワードが入力された場合、暗号化又は復号化が行われる。
【0053】
図7は、本発明の実施例における、第2の暗号化復号化プログラムP1の動作許可認証過程の流れ図である。暗号化復号化プログラムP1の動作許可認証過程を図7に従って説明すると、暗号化復号化プログラムP1を実行する際に、暗号化復号化プログラム動作許可キーK1が、暗号化復号化コンピュータC1の外部接続部に接続されているかを確認する。接続されていない場合、接続確認されるまで待機するか、終了する(終了の場合は図示せず)。接続が確認された場合であって暗号化復号化プログラム動作許可パスワードW1が設定されている場合、次に、パスワードの入力を要求し、入力を待つ。キーボード等の入力装置を経由して、そのパスワードが入力されると、入力されたパスワードが、暗号化復号化プログラム動作許可パスワードW1と比べて正しいものであるかを確認する。入力パスワードが正しくない場合、正しいパスワードが入力されるまで待機する。入力パスワードが正しくない場合で、パスワードW1の入力ミス可能回数の上限が設定されている場合、パスワード入力ミス回数を1加算し、正しいパスワードが入力されるまで待機する。正しいパスワードが入力された場合、次のステップに進む。暗号化復号化プログラムP1は、暗号化復号化プログラム動作許可キーK1に与えられた権限を調査する。与えられた権限によっては、暗号化又は復号化の操作が可能でない場合、そのまま暗号化復号化プログラムP1は終了する。暗号化又は復号化が可能である権限が与えられていた場合、暗号化又は復号化が行われる。なお、上記の暗号化復号化プログラム動作許可キーK1の接続の確認と暗号化復号化プログラム動作許可パスワードW1の正誤判断は順序が逆でも良い。
【0054】
図8は、本発明の実施例における権限付与プログラムP2の動作許可認証過程の流れ図である。権限付与プログラムP2の動作許可認証過程を図8に従って説明すると、権限付与プログラムP2を実行する際に、権限付与プログラム動作許可キーK2が、権限付与コンピュータC2の外部接続部に接続されているかを確認する。接続されていない場合、接続確認されるまで待機するか、終了する(終了の場合図示せず)。接続されている場合であって権限付与プログラム動作許可パスワードW2が設定されている場合、次に、パスワードの入力を要求し、入力を待つ。そのパスワードが入力されると、入力されたパスワードが、権限付与プログラム動作許可パスワードW2と比べて正しいものであるかを確認する。入力パスワードが正しくない場合、正しいパスワードが入力されるまで待機するか、終了する(終了の場合は図示せず)。正しいパスワードが入力された場合、次のステップに進む。権限付与プログラムP2は、暗号化復号化プログラム動作許可キーK1に対する権限情報の入力を受付ける。そして、キーボード等の入力装置又は保存されている記憶媒体等を経由した入力内容に基づいて権限付与の操作を実行し、当該キーK1に権限に関する情報を書き込む操作を実行する。なお、上記の権限付与プログラム動作許可キーK2の接続の確認と権限付与プログラム動作許可パスワードW2の正誤判断は順序が逆でも良い。また、開始から暗号化復号化プログラム動作許可キーK1に対する権限情報の書き込みを行う間のいずれかの段階で、暗号化復号化プログラム動作許可キーK1が権限付与コンピュータC2の外部接続部に接続されていることの確認を行う(図示せず)。
【0055】
図9は、本発明の実施例におけるデータ暗号化のプロセスで暗号化復号化プログラム動作許可キーK1を用いるように設定した場合のプロセスをブロック図として示した図である。データの暗号化プロセスを図9に従って説明すると、まず、暗号化復号化プログラムP1は、暗号化復号化プログラム動作許可キーK1の接続の有無を確認する。接続が確認された場合、暗号化復号化プログラム動作許可キーK1に書き込まれている動作許可の権限に関する情報を読み込む。動作許可確認の後、暗号化復号化プログラム動作許可パスワードW1が存在する場合、図6に示すように、当該パスワードとキーボード等の入力装置を経由して入力されたパスワードの認証を行う(以上、動作X)。そして、暗号化復号化プログラムP1は、読み込んだ権限情報の条件に従って、ハードディスクドライブ(HDD)等の記憶媒体からデータD1を読み込み、暗号化して暗号化データA1をハードディスクドライブ(HDD)等の記憶媒体(又は記憶装置。以下同じ。)に書き込む(以上、動作Y)。暗号化後、データD1は残しておいても良いが、セキュリティー上は削除することが望ましい。また、データD1上に暗号化データA1を上書きしても良い。なお、この時、暗号化復号化プログラム動作許可キーK1に、暗号化を行ったデータに関するファイル名や、暗号化した時間、ファイルやデータのサイズ、暗号化や複合化を行った履歴等、を記憶させることができる。このような情報を記憶させておくことによって、暗号化復号化コンピュータC1にどのような情報が暗号化されて保存されているか閲覧することが可能となる。この機能は、万一、暗号化復号化コンピュータC1が盗難等に遭った場合に、情報セキュリティーの状態がどのようになっていたか確認するのに役立つ。
【0056】
図10は、本発明の実施例におけるデータ復号化のプロセスをブロック図として示した図である。データの復号化プロセスを図10に従って説明すると、まず、暗号化復号化プログラムP1は、暗号化復号化プログラム動作許可キーK1の接続の有無を確認する。そして、接続が確認された場合、暗号化復号化プログラム動作許可キーK1に書き込まれている動作許可の権限に関する情報を読み込む。動作許可確認の後、暗号化復号化プログラム動作許可パスワードW1が存在する場合、図6に示すように、当該パスワードとキーボード等のような入力装置を経由して入力されたパスワードの認証を行う(以上、動作甲)。暗号化復号化プログラムP1は、読み込んだ権限情報の条件に従って、ハードディスクドライブ(HDD)等の記憶媒体から既に暗号化されたデータA1を読み込み、復号化して暗号化前の状態になったデータD1をハードディスクドライブ(HDD)等の記憶媒体に書き込む(以上、動作乙)。
【0057】
図11は、本発明の実施例における暗号化復号化プログラム動作許可キーK1への権限情報付与過程をブロック図として示した図である。権限情報付与過程を図11に従って説明すると、まず、権限付与プログラムP2は、権限付与プログラム動作許可キーK2の接続の有無を確認する。接続が確認された場合、暗号化復号化プログラム動作許可キーK1へ書き込む権限情報の入力を認める。この際、権限付与プログラム動作許可パスワードW2が存在する場合、図8に示すように、当該パスワードとキーボード等の入力装置を経由して入力されたパスワードの認証を行う(以上、動作α)。そして、権限付与プログラムP2は、入力された権限情報を、暗号化復号化プログラム動作許可キーK1に書き込む(以上、動作β)。
【図面の簡単な説明】
【0058】
【図1】本発明の第1実施例のシステム構成図。
【図2】本発明の第2実施例における権限付与コンピュータのシステム構成図。
【図3】本発明の第3実施例における権限付与コンピュータのシステム構成図。
【図4】本発明の第4実施例における権限付与コンピュータのシステム構成図。
【図5】本発明の第5実施例のシステム構成図。
【図6】本発明の第1乃至第5実施例の暗号化復号化プログラムのキー及びパスワード認証過程のフローチャート。
【図7】本発明の第1乃至第5実施例の暗号化復号化プログラムのキー及びパスワード認証過程の第2フローチャート。
【図8】本発明の実施例における権限付与プログラムの許可及び権限情報付与過程のフローチャート。
【図9】本発明の実施例における暗号化プロセスを示す図。
【図10】本発明の実施例における復号化プロセスを示す図。
【図11】本発明の実施例における権限付与プロセスを示す図。
【符号の説明】
【0059】
A1 暗号化データ
C1 暗号化復号化コンピュータ
C2 権限付与コンピュータ
D1 元データ
K1 暗号化復号化プログラム動作許可キー
K2 権限付与プログラム動作許可キー
W1 暗号化復号化プログラム動作許可パスワード
W2 権限付与プログラム動作許可パスワード
P1 暗号化復号化プログラム
P2 権限付与プログラム
【技術分野】
【0001】
本発明は、パーソナルコンピュータ等のコンピュータに用いられる、ハードディスクやDVD(登録商標)、CD(登録商標)等の各種記憶媒体中に保存されているデータの漏洩、盗難を防ぐコンピュータデータ保護システムに関する。
【背景技術】
【0002】
近年、個人情報等の機密データの管理が重要となってきており、その漏洩や紛失に対する対策、盗難対策が重要となっている。特にパーソナルコンピュータ(以下、パソコンとする。)内のハードディスクや、持ち歩き可能なハードディスク等の大容量記憶媒体中に保存されたデータの管理が重要視されている。
【0003】
このようなセキュリティー対策に広く用いられている手法の1つが、物理的な鍵(物理鍵)の使用である。これは、物理鍵として、パソコン本体に外部から接続する外部接続素子に鍵としての機能を与え、この物理鍵がパソコンに接続されている時のみ、パソコンの操作が可能となる、と言うものである。しかしながら、この手法では、パソコンから離れる度に物理鍵を抜き、再使用時に毎回物理鍵を接続しなければならないという煩雑さがあった。また、パソコンと鍵を一緒に盗まれてしまった場合、パソコン内部のデータには何のセキュリティーもかかっていない状態になってしまうという問題点があった。また、使用者が鍵を紛失した際には、パソコン自体が使用できなくなってしまうため、非常に不便であった。
【0004】
もう1つの一般的な、コンピュータのデータに関するセキュリティー対策として、データの暗号化復号化が挙げられる。暗号化復号化技術として有名なものは、共通鍵暗号法と公開鍵暗号法である。共通鍵暗号法とは、暗号化する人と復号化する人とがそれぞれの操作を行うに際し、同じ鍵を使って暗号化、復号化を行う方法である。一方、公開鍵暗号法は、秘密鍵と公開鍵というペアの鍵を用いて、暗号化と複合化を行う手法で、どちらか一方の鍵で暗号化したデータは、もう一方の鍵を使わないと復号化できないという特徴を有している。(特開2001−308843号公報参照。)
【0005】
暗号化、復号化は一般的に、コンピュータ内のソフトによって、一定の算術プロセスあるいは関数の組み合わせから乱数を発生し、この乱数を元に、暗号化と複合化を行っている。こうした乱数は擬似乱数と呼ばれ、生成の為の規則性が残ってしまう。よって、乱数生成法が推測可能であり、堅牢性に問題があった。このような堅牢性の問題を解決するために、乱数を発生させる機構に、コンピュータ外部の物理的変動、例えば熱雑音や振動、によって乱数を発生させる物理乱数ジェネレータを用いる暗号化復号化システムや、カオス・ニューラルネットワークを用いた擬似乱数を用いる暗号化復号化システムが考案されている。(特開2005−173197号公報、特開2003−76272号公報及び特開2001−144746号公報参照。)
【0006】
しかし、データが暗号化されていても、復号化プログラムが同じパソコン上で常に使用可能な状態にある場合には、やはりパソコン自身を盗まれてしまうと、情報が盗まれてしまう。そこで、暗号化や複合化を行うソフトウエアの使用許可を出す為の物理鍵を備えたシステムが市販されている。このシステムでも、物理鍵として、パソコン本体に外部から接続する外部接続素子を用い、この物理鍵がパソコンに接続されている時のみ、暗号化、復号化が可能となる。この方法は、暗号化、復号化機能以外の機能は、鍵無しでも使用可能であるため、パソコン自体を、物理鍵を用いてロックしてしまう方法に比べ、利便性が高い。また、パソコン自体が盗まれても、機密性の高いデータを暗号化しておけば、物理鍵が無ければ復号化できないため、情報の漏洩を阻止することができる。
【0007】
ところが、このようなシステムでも、物理鍵とパソコンを同時に盗まれてしまった場合、例えば、外出先でのパソコンの使用中に物理鍵を接続したままの状態でパソコンを盗まれてしまった場合には、情報を守ることができないという欠点がある。
【0008】
【特許文献1】特開2001−308843号公報
【特許文献2】特開2005−173197号公報
【特許文献3】特開2003−76272号公報
【特許文献4】特開2001−144746号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
本発明は、以上の様な状況に鑑み、パソコンが盗難に遭った場合に、暗号化、復号化を行うプログラムに対する物理鍵において、万一、パソコンと物理鍵が一緒に盗まれても、容易には情報を取り出すことができないようにする手段を提供する。
【課題を解決するための手段】
【0010】
本発明は、記憶媒体中に保存されているファイル及びデータを暗号化又は復号化するシステムであって、当該暗号化及び復号化を実施するプログラム(以下、暗号化復号化プログラムとする。)と、該暗号化復号化プログラムがインストール(プログラムをコンピュータに導入するプロセス。以下同じ。)されているコンピュータ(以下、暗号化復号化コンピュータとする。)と当該暗号化復号化プログラムの復号化の動作許可の鍵の役割を果たす当該暗号化復号化コンピュータへの外部接続素子(以下、暗号化復号化プログラム動作許可キーとする。)と、当該暗号化復号化プログラム動作許可キーへ鍵としての権限付与を行うプログラム(以下、権限付与プログラムとする。)とによって構成されていることを第1の特徴とする、暗号化によるコンピュータデータ保護システムである。
【0011】
本発明は、上記第1の特徴に加えて、上記権限付与プログラムは、その権限付与動作の許可の鍵の役割を果たす外部接続素子(以下、権限付与プログラム動作許可キーとする。)が、当該権限付与プログラムがインストールされているコンピュータ(以下、権限付与コンピュータとする。)に接続されることによって上記権限付与動作が可能となることを第2の特徴とする暗号化によるコンピュータデータ保護システムである。
【0012】
本発明は、上記第2の特徴に加えて、上記権限付与プログラム動作許可キーが、上記権限付与プログラムの起動時又は動作中において、上記権限付与プログラムが要求する時に、上記権限付与コンピュータに接続されていることを第3の特徴とする暗号化によるコンピュータデータ保護システムである。
【0013】
本発明は、上記第2又は第3の特徴に加えて、上記権限付与プログラムは、上記権限付与プログラム動作許可キーの上記権限付与コンピュータへの接続に加え、権限付与プログラム動作許可パスワードの入力によって上記権限付与動作が可能となることを第4の特徴とする暗号化によるコンピュータデータ保護システムである。
【0014】
本発明は、上記第1の特徴に加えて、上記暗号化復号化プログラム動作許可キーが、上記暗号化復号化プログラムの起動時又は動作中において、上記暗号化復号化プログラムが要求する時に、上記暗号化復号化コンピュータに接続されていることを第5の特徴とする暗号化によるコンピュータデータ保護システムである。
【0015】
本発明は、上記第1又は第5の特徴に加えて、上記暗号化復号化プログラム動作許可キーの上記暗号化復号化コンピュータへの接続に加え、暗号化復号化プログラム動作許可パスワードの入力によって、上記暗号化復号化プログラムの復号化の動作が実施可能となることを第6の特徴とする暗号化によるコンピュータデータ保護システムである。
【0016】
本発明は、上記第1乃至第6のいずれか一つの特徴に加えて、上記権限付与プログラムが、上記暗号化復号化プログラム動作許可キーに復号化を行う回数の上限を設定し、復号化の回数が当該上限に達した際には、それ以後は復号化を許可しない機能を有することを第7の特徴とする暗号化によるコンピュータデータ保護システムである。
【0017】
本発明は、上記第1乃至第6のいずれか一つの特徴に加えて、上記権限付与プログラムが、上記暗号化復号化プログラム動作許可キーに復号化の実施可能な時期的制限を加え、復号化の実施が可能でないと設定した期間においては復号化を許可しない機能を有することを第8の特徴とする暗号化によるコンピュータデータ保護システムである。
【0018】
本発明は、上記第6の特徴に加えて、上記権限付与プログラムは、上記暗号化復号化プログラム動作許可キーに対して、暗号化復号化プログラム動作許可パスワードの入力ミス可能回数の上限を設定し、当該上限を超えたパスワードの入力ミスが生じた際には、それ以後は復号化を許可しない機能を有することを第9の特徴とする暗号化によるコンピュータデータ保護システムである。
【0019】
本発明は、上記第1乃至9のいずれか一つの特徴に加えて、上記権限付与プログラムが、上記暗号化復号化プログラム動作許可キーの鍵としての権限を無効にすることができることを第10の特徴とする暗号化によるコンピュータデータ保護システムである。
【0020】
本発明は、上記第7乃至10のいずれか一つの特徴に加えて、上記権限付与プログラムが、復号化を許可できなくなった上記暗号化復号化プログラム動作許可キーに、復号化を許可する権限を与えることができることを第11の特徴とする暗号化によるコンピュータデータ保護システムである。
【0021】
上記暗号化復号化プログラム動作許可キー及び権限付与プログラム動作許可キーには、USB(Universal Serial Bus)(登録商標)準拠コネクタによって接続する外部素子、赤外線通信デバイス、SD(Secure Digital)(登録商標)、IEEE1394、PC Card(登録商標)、COMPACTFLASH(登録商標)、Smart Media(登録商標)、MEMORY STICK(登録商標)、xD−Picture Card(登録商標)、FeliCa(登録商標)、ISO/IEC IS 18092又はBluetooth(登録商標)の準拠デバイス等を用いる。
【発明の効果】
【0022】
本発明の第1の特徴によって、パソコンを持っての外出時等、パソコンが盗難に遭う危険性が高い場合には、暗号化復号化プログラム動作許可キーK1を持って外出し、暗号化復号化プログラム動作許可キーK1に対して、権限付与プログラムP2によって、復号化を行える権限に制限を加えておくことによって、データの盗難を防ぐことができる。
【0023】
本発明の第2の特徴によって、権限付与プログラム動作許可キーK2がなければ、暗号化復号化プログラム動作許可キーK1への制限を変更できないような構成とすることができ、よって、暗号化復号化プログラム動作許可キーK1とパソコンが同時に盗難に遭っても、データの盗難を防ぐことができる。
【0024】
本発明の第3の特徴によって、権限付与プログラム動作許可キーK2がなければ、暗号化復号化プログラム動作許可キーK1への制限を変更できないような構成とすることができ、よって、暗号化復号化プログラム動作許可キーK1とパソコンが同時に盗難に遭っても、データの盗難を防ぐことができる。
【0025】
本発明の第4の特徴によって、権限付与プログラム動作許可パスワードW2を知っている人の数を限定でき、よって、権限付与プログラム動作許可キーK2を使用できる人(例えば管理者)を限定し、暗号化復号化プログラム動作許可キーK1への権限の付与権を特定の人にのみ与えることができるようになることから、会社や会社内のグループ、又は組織内でのデータ管理を効率的に行うことができる。また、万一、暗号化復号化プログラム動作許可キーK1、権限付与プログラム動作許可キーK2及びパソコンのすべてが同時に盗難に遭った場合でも、セキュリティーを保つことができる。
【0026】
本発明の第5の特徴によって、暗号化復号化プログラム動作許可キーK1がなければ、暗号化、復号化ができないような構成とすることができ、よって、パソコンが盗難に遭っても、データの盗難を防ぐことができる。
【0027】
本発明の第6の特徴によって、万一、暗号化復号化プログラム動作許可キーK1及びパソコンの両方が同時に盗難に遭った場合でも、セキュリティーを保つことができる。
【0028】
本発明の第7の特徴によって、万一、暗号化復号化プログラム動作許可キーK1及びパソコンの両方が同時に盗難に遭った場合でも、設定上限回数までしか復号化ができない為、データの盗難を最小限に抑えることができる。
【0029】
本発明の第8の特徴によって、万一、暗号化復号化プログラム動作許可キーK1及びパソコンの両方が同時に盗難に遭った場合でも、制限時間が過ぎてしまうと復号化ができない為、データの盗難を最小限に抑えることができる。
【0030】
本発明の第9の特徴によって、万一、暗号化復号化プログラム動作許可キーK1及びパソコンの両方が同時に盗難に遭った場合でも、暗号化複合化プログラム動作許可パスワードW1の入力を規定回数以上ミスしてしまうと復号化ができない為、データの盗難を最小限に抑えることができる。
【0031】
本発明の第10の特徴によって、盗難の危険が非常に高い場合、又は、どうしても機密性の高いデータや情報をパソコンに入れて持ち出さなければならない場合、暗号化復号化プログラム動作許可キーK1が無効になっていれば、万一、暗号化復号化プログラム動作許可キーK1及びパソコンの両方が同時に盗難に遭った場合でも、復号化ができない為、データの盗難を阻止できる。
【0032】
本発明の第11の特徴によって、データの復号化が必要になった時点で、暗号化復号化プログラム動作許可キーK1を有効にすることによって、再度、データや情報を取り出すことができる。更には、本機能によって、上記のような、復号化を行う回数の上限、復号化が実施可能な時期的制限、パスワード入力ミス回数の制限によって、復号化を許可できなくなってしまった、つまり、鍵として無効になってしまった暗号化復号化プログラム動作許可キーK1を再度有効にできることから、暗号化復号化プログラム動作許可キーK1使用時の利便性を向上できる。
【0033】
上記暗号化復号化プログラム動作許可キーK1及び権限付与プログラム動作許可キーK2には、USB(Universal Serial Bus)(登録商標)準拠コネクタによって接続する外部素子、赤外線通信デバイス、SD(Secure Digital)(登録商標)、IEEE1394、PC Card(登録商標)、COMPACTFLASH(登録商標)、Smart Media(登録商標)、MEMORY STICK(登録商標)、xD−Picture Card(登録商標)、FeliCa(登録商標)、ISO/IEC IS 18092又はBluetooth(登録商標)の準拠デバイス等を用いれば、暗号化復号化プログラム動作許可キーK1や権限付与プログラム動作許可キーK2は容易に持ち運ぶことができ、利便性を向上できる。
【発明を実施するための最良の形態】
【0034】
本発明の実施例を以下に説明する。
【実施例1】
【0035】
以下に本発明の実施例を示す。暗号化復号化コンピュータC1はノート型の持ち運びが容易なパーソナルコンピュータであり、この暗号化復号化コンピュータC1には暗号化復号化を行うプログラムP1がインストールされている。本実施例の暗号化復号化プログラムP1は、カオス・ニューラルネットワークを用いた擬似乱数を用いる暗号化復号化システムによって暗号化及び復号化を行う。
【0036】
図1は、本発明の実施例の概略的なシステム構成図である。図1に従って説明すると、本実施例は、暗号化復号化コンピュータC1、暗号化復号化プログラム動作許可キーK1、暗号化復号化プログラム動作許可パスワードW1(図示せず)、権限付与コンピュータC2、権限付与プログラム動作許可キーK2及び権限付与プログラム動作許可パスワードW2(図示せず)からなる。暗号化復号化コンピュータC1には、暗号化復号化プログラムP1がインストールされており、当該コンピュータ上で動作する。暗号化復号化プログラム動作許可キーK1は、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等を備える外部接続素子であり、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等の外部素子接続部(接続ポート)を備えている暗号化復号化コンピュータC1に脱着可能なように接続される。暗号化復号化プログラム動作許可パスワードW1は、暗号化復号化プログラムP1から求められた場合、暗号化復号化コンピュータC1に接続されているキーボード等の入力装置(入力装置として、キーボード以外に、タッチパネルや入力用ボタン、マウス等が利用可能である。以下同じ。)から入力する。権限付与コンピュータC2には、権限付与プログラムP2がインストールされており、当該コンピュータ上で動作する。暗号化復号化プログラム動作許可キーK1及び権限付与プログラム動作許可キーK2は、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等を備える外部接続素子であり、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等の外部素子接続部を備えている権限付与コンピュータC2に脱着可能なように接続される。権限付与プログラム動作許可パスワードW2は、権限付与プログラムP2から求められた場合、権限付与コンピュータC2に接続されているキーボード等の入力装置から入力する。
【0037】
暗号化復号化プログラムP1による復号化を動作させる、つまり暗号化されたファイルを元のファイルに戻す為には、暗号化復号化プログラム動作許可キーK1が暗号化復号化コンピュータC1に接続されている必要がある。更に、暗号化復号化プログラムP1による復号化を動作させるために、パスワードW1の入力も必要とするように設定した。一方、権限付与コンピュータC2には、暗号化復号化プログラム動作許可キーK1に対して、暗号化復号化プログラムP1の動作を許可する為の鍵としての役割を付与する、つまり鍵としての権限を与える権限付与プログラムP2がインストールされている。権限付与コンピュータC2に暗号化復号化プログラム動作許可キーK1を装着し、権限付与プログラムP2は、暗号化復号化プログラム動作許可キーK1に暗号化復号化プログラムP1の動作許可を与える権限を付与する。
【0038】
この際、権限付与プログラムP2は、暗号化復号化プログラム動作許可キーK1に与える鍵としての権限に対して、様々な条件を付与することができる。具体的には、復号化が実施可能な回数の上限、復号化が実施可能な時間帯の制限、暗号化復号化プログラムP1を動作可能とさせる為のパスワードW1の誤入力回数の制限である。また、権限付与プログラムP2は無条件で暗号化復号化プログラム動作許可キーK1を無効化することもでき、無効化された暗号化復号化プログラム動作許可キーK1の無効化状態を解除することもできる。
【0039】
例えば、暗号化復号化コンピュータC1が盗まれる可能性が限りなく低く、また、定常的なユーザーが日常の作業として暗号化復号化プログラムP1を使用する場合、暗号化復号化プログラム動作許可キーK1には随時復号化が可能、つまり暗号化復号化プログラム動作許可キーK1は随時鍵として有効という権限を与えておくことによって、ストレス無く暗号化復号化プログラムP1の使用が可能となる。外部の人に暗号化復号化コンピュータC1を貸し出す場合等で、必要最低限の復号化を許可する場合には、暗号化復号化プログラム動作許可キーK1に必要最低限の回数に限り復号化を行えるよう条件を付与した動作許可を与えることによって、想定外のデータの持ち出しを禁止する効果が得られる。暗号化復号化プログラム動作許可キーK1に鍵として使用可能な時間の制限を与えておけば、設定時間外での復号化が禁止できるため、想定外のデータの持ち出しを禁止する効果が得られる。出張等でコンピュータP1を外部に持ち出す際など、盗難の可能性が非常に高い場合、暗号化復号化プログラム動作許可キーK1に与える権限に多くの制限をかけることによって、データの盗難を防ぐことができる。例えば、出張中に必要となる重要データを1回に限り復号化できるように暗号化復号化プログラム動作許可キーK1に回数制限を与えておけば、万一、暗号化復号化コンピュータC1と暗号化復号化プログラム動作許可キーK1が一緒に盗まれてしまっても、データの盗難の被害を最低限に抑制できる。また、暗号化復号化プログラムP1を使用する時間を予め設定して、その情報を暗号化復号化プログラム動作許可キーK1に入力し、暗号化復号化プログラム動作許可キーK1の権限に制限を加えることによって、データの盗難の被害を抑制できる。例えば、会議等で使用する機密データを暗号化復号化コンピュータC1に保存して持ち運ぶ際、会議の時間が、ある特定の日の午後1時から午後3時であった場合、この日のこの時間内でのみ復号化ができるという条件の付いた権限を暗号化復号化プログラム動作許可キーK1に与えておけば、万一、会議終了後の帰宅時等に暗号化復号化コンピュータC1と暗号化復号化プログラム動作許可キーK1が盗難に遭ったとしても、復号化が許可されない、つまり暗号化復号化プログラム動作許可キーK1は既に鍵としての権限を持たない為、データが盗まれる心配がない。暗号化復号化プログラム動作許可パスワードW1の入力間違い回数の上限を設定し、ある特定回数当該パスワードW1を間違って入力した場合、その後の復号化の動作を許可しない、つまり暗号化復号化プログラム動作許可キーK1を無効にするという制限を暗号化復号化プログラム動作許可キーK1に与えておくことによって、より強固にデータの盗難を防ぐことができる。あるデータをどうしても暗号化復号化コンピュータC1にいれて持ち歩かなければならないが、そのデータ自身を特に利用する予定が無い場合等は、権限付与プログラムP2によって暗号化復号化プログラム動作許可キーK1を無効にしてしまえばよい。以上のような回数制限、時期的制限、パスワード誤入力制限によって、復号化ができなくなってしまった場合、つまり暗号化復号化プログラム動作許可キーK1が無効になってしまった場合は再度権限付与コンピュータC2に装着し、権限付与プログラムP2によって権限を付与することによって再度暗号化復号化プログラムP1の鍵として使用が可能である。
【0040】
権限付与プログラムP2の権限付与の動作を許可するために、図1に示すように、権限付与コンピュータC2への外部接続素子である権限付与プログラム動作許可キーK2を用意しておくことが望ましい。また、この権限付与の動作を許可するためには、権限付与プログラム動作許可パスワードW2の入力も必要とするように設定している。
【0041】
図2は、本発明の第2実施例における権限付与コンピュータC2の概略的なシステム構成図である。権限付与コンピュータC2以外の部分に関しては、図1の説明がそのまま妥当する。図1における実施例では、権限付与コンピュータC2における2つの外部素子接続部(接続ポート)に暗号化復号化プログラム動作許可キーK1と権限付与プログラム動作許可キーK2をそれぞれ別個に接続したが、図2では、権限付与プログラム動作許可キーK2は、暗号化復号化プログラム動作許可キーK1を装着できる接続部を備え、暗号化復号化プログラム動作許可キーK1は、権限付与プログラム動作許可キーK2を介して権限付与コンピュータC2に接続するように構成されている。権限付与プログラム動作許可キーK2を介して、暗号化復号化プログラム動作許可キーK1が権限付与コンピュータC2に接続されたときのみ、当該暗号化復号化プログラム動作許可キーK1に与えられる権限に関する設定が変更できるようにすることによって、よりセキュリティーを向上することができる。なお、暗号化復号化プログラム動作許可キーK1が、権限付与プログラム動作許可キーK2を装着できる接続部を備え、権限付与プログラム動作許可キーK2は暗号化復号化プログラム動作許可キーK1を介して権限付与コンピュータC2に接続するように構成しても、つまり、図2において、K1とK2を逆の配置にするように構成してもよい。
【0042】
図3は、本発明の第3実施例における権限付与コンピュータC2の概略的なシステム構成図である。権限付与コンピュータC2以外の部分に関しては、図1の説明がそのまま妥当する。図3では、図1及び図2とは別の変形例として、権限付与プログラム動作許可キーK2を大型の装置とする。暗号化復号化プログラム動作許可キーK1は、持ち運び可能なように小型の物が望ましく、権限付与プログラム動作許可キーK2も、保管等の観点からは小型の物が望ましい。しかし、小型にすると容易に盗難に遭う恐れもあるので、権限付与プログラム動作許可キーK2は卓上に置くことのできる程度の装置にし、尚かつ、チェーン等で固定する。そのことによって、盗難を防止することができる。
【0043】
図4は、本発明の第4実施例における権限付与コンピュータC2の概略的なシステム構成図である。権限付与コンピュータC2以外の部分に関しては、図1の説明がそのまま妥当する。図4では、図1、図2及び図3とは別の変形例として、権限付与プログラム動作許可キーK2自身に、権限付与プログラムP2及び権限付与プログラムP2の操作装置を組み込んでいる。このように構成することによって、権限付与コンピュータC2が不要となるため、本システムを安価に利用できる。
【0044】
図5は、本発明の第5実施例の概略的なシステム構成図である。図5に従って説明すると、本実施例は、暗号化復号化コンピュータC1、暗号化復号化プログラム動作許可キーK1、暗号化復号化プログラム動作許可パスワードW1(図示せず)、権限付与プログラム動作許可キーK2及び権限付与プログラム動作許可パスワードW2(図示せず)からなる。暗号化復号化コンピュータC1には、暗号化復号化プログラムP1及び権限付与プログラムP2がインストールされており、当該コンピュータ上で動作する。暗号化復号化プログラム動作許可キーK1及び権限付与プログラム動作許可キーK2は、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等を備える外部接続素子であり、USB(UNIVERSAL SERIAL BUS)(登録商標)コネクタ等の外部素子接続部を備えている暗号化復号化コンピュータC1に脱着可能なように接続される。なお、図5では暗号化復号化プログラム動作許可キーK1と権限付与プログラム動作許可キーK2とはそれぞれ別の接続部に接続しているが、図2に示したように、暗号化復号化プログラム動作許可キーK1は、権限付与プログラム動作許可キーK2を介して暗号化復号化コンピュータC1に接続されてもよく、また、権限付与プログラム動作許可キーK2が暗号化復号化プログラム動作許可キーK1を介して暗号化復号化コンピュータC1に接続されてもよい。暗号化復号化プログラム動作許可パスワードW1は、暗号化復号化プログラムP1から求められた場合、暗号化復号化コンピュータC1に接続されているキーボード等の入力装置から入力する。権限付与プログラム動作許可パスワードW2は、権限付与プログラムP2から求められた場合、暗号化復号化コンピュータC1に接続されているキーボード等の入力装置から入力する。本実施例は、図4における実施例と同様に、権限付与コンピュータC2を使用しないでよい変形例ということができる。本実施例では、権限付与プログラムP2によって、暗号化復号化プログラム動作許可キーK1に暗号化復号化プログラムP1の鍵としての権限を設定した後に、権限付与プログラム動作許可キーK2を暗号化復号化コンピュータC1より外して別途保管することによって、データの盗難を防ぐことができる。
【0045】
図1乃至図4に示した実施例は、会社などの組織等において、管理者がコンピュータの持ち出し等を管理する場合に適しており、図5に示した実施例は、個人でデータの漏洩を防ぐ場合に適している。
【0046】
なお、上述の実施例は全て、ある権限付与プログラム動作許可キーK2は特定の権限付与プログラムP2に対してのみ有効であり、また、ある権限付与プログラムP2はやはり特定の暗号化復号化プログラム動作許可キーK1に対してのみ権限付与が可能であり、ある暗号化復号化プログラム動作許可キーK1は特定の暗号化復号化プログラムP1に対してのみ有効であるように設定する。例えば、シリアル番号1の権限付与プログラム動作許可キーK2は、シリアル番号1の権限付与プログラムP2にのみ有効であり、他のシリアル番号(1以外の番号)の権限付与プログラムP2には、鍵として有効に働かない。また、シリアル番号1の権限付与プログラムP2はシリアル番号1の暗号化復号化プログラム動作許可キーK1にのみ有効であり、シリアル番号1の暗号化復号化プログラム動作許可キーK1はシリアル番号1の暗号化復号化プログラムP1にのみ有効である。というのも、このように設定しなければ、例えば、権限付与プログラムP2と権限付与プログラム動作許可キーK2を第3者が別途入手したというような場合(別の権限付与プログラムP2と権限付与プログラム動作許可キーK2のセットを購入した場合等)、このセットを使用して、別の暗号化復号化プログラム動作許可キーK1への権限の付与が実施できてしまうので、暗号化復号化プログラムP1によって、データを暗号化復号化できてしまうからである。
【0047】
但し、1つのキーが複数のプログラムに対して有効であり、1つのプログラムが複数のキーに対して有効であるようにも設定可能である。例えば、シリアル番号1の権限付与プログラムP2が、シリアル番号1から5迄の暗号化復号化プログラム動作許可キーK1に有効であるように設定できる。こうすることによって、複数の暗号化復号化プログラム動作許可キーK1を一括管理でき、会社等の組織内でのデータ管理に効果を発揮する。
【0048】
以上、本発明の実施例の構成を図1乃至5に従って説明したが、本発明は上述の場合に限られない。例えば、本実施例ではカオス・ニューラルネットワークによる暗号化復号化プログラムを用いるが、暗号化復号化プログラムはどのようなプログラムを用いても構わない。また、暗号化復号化コンピュータC1は、ノート型のコンピュータ以外にも、デスクトップ型等、あらゆるタイプのパソコンが適応可能である。暗号化復号化プログラム動作許可キーK1及び権限付与プログラム動作許可キーK2は、パソコンへの外部接続が可能な素子であれば、どのような物でも構わない。例えば、USB(Universal Serial Bus)(登録商標)準拠コネクタによって接続する外部素子、赤外線通信デバイス、SD(Secure Digital)(登録商標)、IEEE1394、PC Card(登録商標)、COMPACTFLASH(登録商標)、Smart Media(登録商標)、MEMORY STICK(登録商標)、xD−Picture Card(登録商標)、FeliCa(登録商標)、ISO/IEC IS 18092又はBluetooth(登録商標)の準拠デバイス等の全てがキーとして利用可能である。また、パスワードは、安全性確保のためには設定したほうが好ましいが、無くともよく、無い場合の方が、利便性が向上し使い勝手は良いということができる。
【0049】
また、暗号化復号化プログラムP1を用いて暗号化の動作を行う場合にも、復号化の動作を行う場合と同様に、暗号化復号化プログラム動作許可キーK1や暗号化復号化プログラム動作許可パスワードW1を要求しても良い。以上では、暗号化復号化プログラムP1を用いて暗号化の動作を行う場合において、暗号化復号化プログラム動作許可キーK1や暗号化復号化プログラム動作許可パスワードW1の必要性に関しては特に触れなかった。セキュリティー上は、暗号化の動作を行う場合、動作許可キーや動作許可パスワードは不要である。むしろ、キーやパスワードを使用せず、随時使用可能とした方が、利便性が向上し、使い勝手がよい。しかし、上記のようにすることによって、利便性は低下するが、使用者の不注意による暗号化の防止、他人の悪戯による暗号化の防止に役立つ。
【0050】
なお、暗号化の動作を行う際に暗号化復号化コンピュータC1への暗号化復号化プログラム動作許可キーK1の接続を要求するように設定した際、暗号化復号化プログラム動作許可キーK1にデータの記憶機能を付与しておき、暗号化を行ったデータに関する情報、例えばファイル名や、暗号化した時間、ファイルやデータのサイズ、過去に暗号化や復号化を行った履歴等を記憶しておくように設定し、この情報を閲覧するためのプログラムを別途用意するか、又は権限付与プログラムP2に対してこのデータを閲覧可能に設定しておくことによって、暗号化された情報を管理することができる。なお、暗号化の動作を行う際に暗号化復号化コンピュータC1への暗号化復号化プログラム動作許可キーK1の接続を要求しない場合には、暗号化を実施した後、暗号化復号化コンピュータC1へ暗号化復号化プログラム動作許可キーK1を接続したときに、事前に暗号化を実施した際の暗号化データに関する情報を暗号化復号化プログラム動作許可キーK1に記憶させてもよい。このような記憶機能の付与によって、組織内で複数の使用者が用いている複数のパソコン内において暗号化データに関する情報を管理者が閲覧できることから、組織内での情報管理に効果を発揮する。
【0051】
更に、本発明は、特許文献2に開示されているような従来の物理鍵を備えた暗号化復号化システムで物理鍵側に暗号化や復号化の動作を行う機能の一部を持たせたシステムにも適応可能である。
【0052】
図6は、本発明の実施例における暗号化復号化プログラムP1の動作許可認証過程の流れ図である。暗号化復号化プログラムP1の動作許可認証過程を図6に従って説明すると、暗号化復号化プログラムP1を実行する際に、暗号化復号化プログラム動作許可キーK1が、暗号化復号化コンピュータC1の外部接続部に接続されているかを確認する。接続されていない場合、接続確認されるまで待機するか、終了する(終了の場合は図示せず)。接続が確認された場合、暗号化復号化プログラム動作許可キーK1に書き込まれている動作許可の権限に関する情報を読み込む。動作許可確認後、暗号化復号化プログラム動作許可パスワードW1が設定されている場合、次に、パスワードの入力を要求し、入力を待つ。キーボード等の入力装置を経由して、そのパスワードが入力されると、入力されたパスワードが、暗号化復号化プログラム動作許可パスワードW1と比べて正しいものであるかを確認する。入力パスワードが正しくない場合、正しいパスワードが入力されるまで待機する。パスワードW1の入力ミス可能回数の上限が設定されている場合、パスワード入力ミス回数を1加算し、再度暗号化復号化プログラム動作許可キーK1に書き込まれている動作許可の権限に関する情報を読み込む。動作許可を再度確認し、動作が許可された場合、再度パスワードの入力を要求、入力を待つ。パスワード入力ミス回数が制限範囲を超えた場合は、暗号化復号化プログラムP1を終了する。正しいパスワードが入力された場合、暗号化又は復号化が行われる。
【0053】
図7は、本発明の実施例における、第2の暗号化復号化プログラムP1の動作許可認証過程の流れ図である。暗号化復号化プログラムP1の動作許可認証過程を図7に従って説明すると、暗号化復号化プログラムP1を実行する際に、暗号化復号化プログラム動作許可キーK1が、暗号化復号化コンピュータC1の外部接続部に接続されているかを確認する。接続されていない場合、接続確認されるまで待機するか、終了する(終了の場合は図示せず)。接続が確認された場合であって暗号化復号化プログラム動作許可パスワードW1が設定されている場合、次に、パスワードの入力を要求し、入力を待つ。キーボード等の入力装置を経由して、そのパスワードが入力されると、入力されたパスワードが、暗号化復号化プログラム動作許可パスワードW1と比べて正しいものであるかを確認する。入力パスワードが正しくない場合、正しいパスワードが入力されるまで待機する。入力パスワードが正しくない場合で、パスワードW1の入力ミス可能回数の上限が設定されている場合、パスワード入力ミス回数を1加算し、正しいパスワードが入力されるまで待機する。正しいパスワードが入力された場合、次のステップに進む。暗号化復号化プログラムP1は、暗号化復号化プログラム動作許可キーK1に与えられた権限を調査する。与えられた権限によっては、暗号化又は復号化の操作が可能でない場合、そのまま暗号化復号化プログラムP1は終了する。暗号化又は復号化が可能である権限が与えられていた場合、暗号化又は復号化が行われる。なお、上記の暗号化復号化プログラム動作許可キーK1の接続の確認と暗号化復号化プログラム動作許可パスワードW1の正誤判断は順序が逆でも良い。
【0054】
図8は、本発明の実施例における権限付与プログラムP2の動作許可認証過程の流れ図である。権限付与プログラムP2の動作許可認証過程を図8に従って説明すると、権限付与プログラムP2を実行する際に、権限付与プログラム動作許可キーK2が、権限付与コンピュータC2の外部接続部に接続されているかを確認する。接続されていない場合、接続確認されるまで待機するか、終了する(終了の場合図示せず)。接続されている場合であって権限付与プログラム動作許可パスワードW2が設定されている場合、次に、パスワードの入力を要求し、入力を待つ。そのパスワードが入力されると、入力されたパスワードが、権限付与プログラム動作許可パスワードW2と比べて正しいものであるかを確認する。入力パスワードが正しくない場合、正しいパスワードが入力されるまで待機するか、終了する(終了の場合は図示せず)。正しいパスワードが入力された場合、次のステップに進む。権限付与プログラムP2は、暗号化復号化プログラム動作許可キーK1に対する権限情報の入力を受付ける。そして、キーボード等の入力装置又は保存されている記憶媒体等を経由した入力内容に基づいて権限付与の操作を実行し、当該キーK1に権限に関する情報を書き込む操作を実行する。なお、上記の権限付与プログラム動作許可キーK2の接続の確認と権限付与プログラム動作許可パスワードW2の正誤判断は順序が逆でも良い。また、開始から暗号化復号化プログラム動作許可キーK1に対する権限情報の書き込みを行う間のいずれかの段階で、暗号化復号化プログラム動作許可キーK1が権限付与コンピュータC2の外部接続部に接続されていることの確認を行う(図示せず)。
【0055】
図9は、本発明の実施例におけるデータ暗号化のプロセスで暗号化復号化プログラム動作許可キーK1を用いるように設定した場合のプロセスをブロック図として示した図である。データの暗号化プロセスを図9に従って説明すると、まず、暗号化復号化プログラムP1は、暗号化復号化プログラム動作許可キーK1の接続の有無を確認する。接続が確認された場合、暗号化復号化プログラム動作許可キーK1に書き込まれている動作許可の権限に関する情報を読み込む。動作許可確認の後、暗号化復号化プログラム動作許可パスワードW1が存在する場合、図6に示すように、当該パスワードとキーボード等の入力装置を経由して入力されたパスワードの認証を行う(以上、動作X)。そして、暗号化復号化プログラムP1は、読み込んだ権限情報の条件に従って、ハードディスクドライブ(HDD)等の記憶媒体からデータD1を読み込み、暗号化して暗号化データA1をハードディスクドライブ(HDD)等の記憶媒体(又は記憶装置。以下同じ。)に書き込む(以上、動作Y)。暗号化後、データD1は残しておいても良いが、セキュリティー上は削除することが望ましい。また、データD1上に暗号化データA1を上書きしても良い。なお、この時、暗号化復号化プログラム動作許可キーK1に、暗号化を行ったデータに関するファイル名や、暗号化した時間、ファイルやデータのサイズ、暗号化や複合化を行った履歴等、を記憶させることができる。このような情報を記憶させておくことによって、暗号化復号化コンピュータC1にどのような情報が暗号化されて保存されているか閲覧することが可能となる。この機能は、万一、暗号化復号化コンピュータC1が盗難等に遭った場合に、情報セキュリティーの状態がどのようになっていたか確認するのに役立つ。
【0056】
図10は、本発明の実施例におけるデータ復号化のプロセスをブロック図として示した図である。データの復号化プロセスを図10に従って説明すると、まず、暗号化復号化プログラムP1は、暗号化復号化プログラム動作許可キーK1の接続の有無を確認する。そして、接続が確認された場合、暗号化復号化プログラム動作許可キーK1に書き込まれている動作許可の権限に関する情報を読み込む。動作許可確認の後、暗号化復号化プログラム動作許可パスワードW1が存在する場合、図6に示すように、当該パスワードとキーボード等のような入力装置を経由して入力されたパスワードの認証を行う(以上、動作甲)。暗号化復号化プログラムP1は、読み込んだ権限情報の条件に従って、ハードディスクドライブ(HDD)等の記憶媒体から既に暗号化されたデータA1を読み込み、復号化して暗号化前の状態になったデータD1をハードディスクドライブ(HDD)等の記憶媒体に書き込む(以上、動作乙)。
【0057】
図11は、本発明の実施例における暗号化復号化プログラム動作許可キーK1への権限情報付与過程をブロック図として示した図である。権限情報付与過程を図11に従って説明すると、まず、権限付与プログラムP2は、権限付与プログラム動作許可キーK2の接続の有無を確認する。接続が確認された場合、暗号化復号化プログラム動作許可キーK1へ書き込む権限情報の入力を認める。この際、権限付与プログラム動作許可パスワードW2が存在する場合、図8に示すように、当該パスワードとキーボード等の入力装置を経由して入力されたパスワードの認証を行う(以上、動作α)。そして、権限付与プログラムP2は、入力された権限情報を、暗号化復号化プログラム動作許可キーK1に書き込む(以上、動作β)。
【図面の簡単な説明】
【0058】
【図1】本発明の第1実施例のシステム構成図。
【図2】本発明の第2実施例における権限付与コンピュータのシステム構成図。
【図3】本発明の第3実施例における権限付与コンピュータのシステム構成図。
【図4】本発明の第4実施例における権限付与コンピュータのシステム構成図。
【図5】本発明の第5実施例のシステム構成図。
【図6】本発明の第1乃至第5実施例の暗号化復号化プログラムのキー及びパスワード認証過程のフローチャート。
【図7】本発明の第1乃至第5実施例の暗号化復号化プログラムのキー及びパスワード認証過程の第2フローチャート。
【図8】本発明の実施例における権限付与プログラムの許可及び権限情報付与過程のフローチャート。
【図9】本発明の実施例における暗号化プロセスを示す図。
【図10】本発明の実施例における復号化プロセスを示す図。
【図11】本発明の実施例における権限付与プロセスを示す図。
【符号の説明】
【0059】
A1 暗号化データ
C1 暗号化復号化コンピュータ
C2 権限付与コンピュータ
D1 元データ
K1 暗号化復号化プログラム動作許可キー
K2 権限付与プログラム動作許可キー
W1 暗号化復号化プログラム動作許可パスワード
W2 権限付与プログラム動作許可パスワード
P1 暗号化復号化プログラム
P2 権限付与プログラム
【特許請求の範囲】
【請求項1】
記憶媒体中に保存されているデータを暗号化及び復号化するシステムであって、
当該暗号化及び復号化を実行するプログラムP1と、
該プログラムP1がインストールされているコンピュータC1と
当該プログラムP1の復号化の動作許可の鍵の役割を果たす当該コンピュータC1への外部接続素子K1と、
当該外部接続素子K1へ鍵としての権限付与を行うプログラムP2とによって構成されていることを特徴とする暗号化によるコンピュータデータ保護システム。
【請求項2】
上記外部接続素子K1へ鍵としての権限付与を行うプログラムP2は、その権限付与動作の許可の鍵の役割を果たす外部接続素子K2が、当該プログラムP2がインストールされているコンピュータC2に接続されることによって当該権限付与動作が可能となることを特徴とする請求項1記載の暗号化によるコンピュータデータ保護システム。
【請求項3】
上記外部接続素子K2は、上記プログラムP2の起動時又は動作中において、上記プログラムP2が要求する時に、上記コンピュータC2に接続されていることを特徴とする請求項2記載の暗号化によるコンピュータデータ保護システム。
【請求項4】
上記プログラムP2は、上記外部接続素子K2の上記コンピュータC2への接続に加え、上記プログラムP2の動作許可パスワードW2の入力によって上記権限付与動作が可能となることを特徴とする請求項2又は3に記載の暗号化によるコンピュータデータ保護システム。
【請求項5】
上記外部接続素子K1は、上記プログラムP1の起動時又は動作中において、上記プログラムP1が要求する時に、上記コンピュータC1に接続されていることを特徴とする請求項1記載の暗号化によるコンピュータデータ保護システム。
【請求項6】
上記プログラムP1は、上記外部接続素子K1の上記コンピュータC1への接続に加え、上記プログラムP1の復号化の動作許可パスワードW1の入力によって、当該プログラムP1の復号化の動作が実施可能となることを特徴とする請求項1又は5に記載の暗号化によるコンピュータデータ保護システム。
【請求項7】
上記プログラムP2は、上記外部接続素子K1に復号化を行う回数の上限を設定し、復号化の回数が当該上限に達した際には、それ以後は復号化を許可しない機能を有することを特徴とする請求項1乃至6のいずれか一に記載の暗号化によるコンピュータデータ保護システム。
【請求項8】
上記プログラムP2は、上記外部接続素子K1に復号化の実施可能な時期的制限を加え、復号化の実施が可能でないと設定した期間においては復号化を許可しない機能を有することを特徴とする請求項1乃至6のいずれか一に記載の暗号化によるコンピュータデータ保護システム。
【請求項9】
上記プログラムP2は、上記外部接続素子K1に対して、上記プログラムP1の動作許可パスワードW1の入力ミス可能回数の上限を設定し、この上限を超えたパスワードW1の入力ミスが生じた際には、それ以後は復号化を許可しない機能を有することを特徴とする請求項6記載の暗号化によるコンピュータデータ保護システム。
【請求項10】
上記プログラムP2は、上記外部接続素子K1の鍵としての権限を無効にすることができることを特徴とする請求項1乃至9のいずれか一に記載の暗号化によるコンピュータデータ保護システム。
【請求項11】
上記プログラムP2は、復号化を許可できなくなった上記外部接続素子K1に、復号化を許可する権限を与えることができることを特徴とする請求項7乃至10のいずれか一に記載の暗号化によるコンピュータデータ保護システム。
【請求項1】
記憶媒体中に保存されているデータを暗号化及び復号化するシステムであって、
当該暗号化及び復号化を実行するプログラムP1と、
該プログラムP1がインストールされているコンピュータC1と
当該プログラムP1の復号化の動作許可の鍵の役割を果たす当該コンピュータC1への外部接続素子K1と、
当該外部接続素子K1へ鍵としての権限付与を行うプログラムP2とによって構成されていることを特徴とする暗号化によるコンピュータデータ保護システム。
【請求項2】
上記外部接続素子K1へ鍵としての権限付与を行うプログラムP2は、その権限付与動作の許可の鍵の役割を果たす外部接続素子K2が、当該プログラムP2がインストールされているコンピュータC2に接続されることによって当該権限付与動作が可能となることを特徴とする請求項1記載の暗号化によるコンピュータデータ保護システム。
【請求項3】
上記外部接続素子K2は、上記プログラムP2の起動時又は動作中において、上記プログラムP2が要求する時に、上記コンピュータC2に接続されていることを特徴とする請求項2記載の暗号化によるコンピュータデータ保護システム。
【請求項4】
上記プログラムP2は、上記外部接続素子K2の上記コンピュータC2への接続に加え、上記プログラムP2の動作許可パスワードW2の入力によって上記権限付与動作が可能となることを特徴とする請求項2又は3に記載の暗号化によるコンピュータデータ保護システム。
【請求項5】
上記外部接続素子K1は、上記プログラムP1の起動時又は動作中において、上記プログラムP1が要求する時に、上記コンピュータC1に接続されていることを特徴とする請求項1記載の暗号化によるコンピュータデータ保護システム。
【請求項6】
上記プログラムP1は、上記外部接続素子K1の上記コンピュータC1への接続に加え、上記プログラムP1の復号化の動作許可パスワードW1の入力によって、当該プログラムP1の復号化の動作が実施可能となることを特徴とする請求項1又は5に記載の暗号化によるコンピュータデータ保護システム。
【請求項7】
上記プログラムP2は、上記外部接続素子K1に復号化を行う回数の上限を設定し、復号化の回数が当該上限に達した際には、それ以後は復号化を許可しない機能を有することを特徴とする請求項1乃至6のいずれか一に記載の暗号化によるコンピュータデータ保護システム。
【請求項8】
上記プログラムP2は、上記外部接続素子K1に復号化の実施可能な時期的制限を加え、復号化の実施が可能でないと設定した期間においては復号化を許可しない機能を有することを特徴とする請求項1乃至6のいずれか一に記載の暗号化によるコンピュータデータ保護システム。
【請求項9】
上記プログラムP2は、上記外部接続素子K1に対して、上記プログラムP1の動作許可パスワードW1の入力ミス可能回数の上限を設定し、この上限を超えたパスワードW1の入力ミスが生じた際には、それ以後は復号化を許可しない機能を有することを特徴とする請求項6記載の暗号化によるコンピュータデータ保護システム。
【請求項10】
上記プログラムP2は、上記外部接続素子K1の鍵としての権限を無効にすることができることを特徴とする請求項1乃至9のいずれか一に記載の暗号化によるコンピュータデータ保護システム。
【請求項11】
上記プログラムP2は、復号化を許可できなくなった上記外部接続素子K1に、復号化を許可する権限を与えることができることを特徴とする請求項7乃至10のいずれか一に記載の暗号化によるコンピュータデータ保護システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2007−336441(P2007−336441A)
【公開日】平成19年12月27日(2007.12.27)
【国際特許分類】
【出願番号】特願2006−168756(P2006−168756)
【出願日】平成18年6月19日(2006.6.19)
【出願人】(301021533)独立行政法人産業技術総合研究所 (6,529)
【出願人】(392003708)株式会社アドテックシステムサイエンス (3)
【出願人】(506211377)株式会社エマージングテクノロジーズ (2)
【Fターム(参考)】
【公開日】平成19年12月27日(2007.12.27)
【国際特許分類】
【出願日】平成18年6月19日(2006.6.19)
【出願人】(301021533)独立行政法人産業技術総合研究所 (6,529)
【出願人】(392003708)株式会社アドテックシステムサイエンス (3)
【出願人】(506211377)株式会社エマージングテクノロジーズ (2)
【Fターム(参考)】
[ Back to top ]