暗号化コンテンツ検索方式
【課題】機密保持が必要なコンテンツに対する検索処理を高速化する暗号化コンテンツ検索方式を提供する。
【解決手段】本発明に係る暗号化コンテンツ検索方式は、検索対象となり得る暗号化が施された機密情報の一部、あるいは機密情報に付随するメタデータ等の情報を含む検索対象情報部を作成する。この検索対象情報部に対し機密情報本体とは別個に暗号化を施す。検索対象情報部に施される暗号化には、検索対象情報全体の価値に対し適切で、短めな鍵長を持つ暗号鍵を用いる。検索の実施時にはこの検索対象情報部のみを復号し、検索対象情報部よりも情報の価値が高く、長い鍵長を持つ暗号鍵が割り当てられた検索対象情報部のみの復号により、検索時の復号処理に要する計算量を削減する。
【解決手段】本発明に係る暗号化コンテンツ検索方式は、検索対象となり得る暗号化が施された機密情報の一部、あるいは機密情報に付随するメタデータ等の情報を含む検索対象情報部を作成する。この検索対象情報部に対し機密情報本体とは別個に暗号化を施す。検索対象情報部に施される暗号化には、検索対象情報全体の価値に対し適切で、短めな鍵長を持つ暗号鍵を用いる。検索の実施時にはこの検索対象情報部のみを復号し、検索対象情報部よりも情報の価値が高く、長い鍵長を持つ暗号鍵が割り当てられた検索対象情報部のみの復号により、検索時の復号処理に要する計算量を削減する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、顧客情報等の機密情報を含む電子ファイルを暗号化し、暗号化された電子ファイルを検索する技術に関する。
【背景技術】
【0002】
従来、暗号化されたコンテンツ(以下、暗号化コンテンツという)内の情報に関して検索を実行する暗号化コンテンツ検索方式では、暗号化されているコンテンツ本体を復号し、復号されたコンテンツに対して検索処理を行っている。図1は、従来の暗号化コンテンツ検索方式を示す図である。まず、機密情報が含まれる電子ファイル等のコンテンツ2は、暗号鍵を用いて暗号化され、暗号化コンテンツ4となる。暗号化コンテンツ4は、セキュリティ強度が高いほど長い暗号鍵により保護される。このような暗号化コンテンツ4に含まれるデータを検索する際、暗号鍵を用いて暗号化コンテンツ4を復号し、復号された復号化コンテンツ6に対して検索処理を行っている。暗号化コンテンツのセキュリティ強度を高くすると、長い暗号鍵を用いて保護しなければならず、復号にも長時間を要する。これにより、コンテンツの検索時に実行する復号処理に多くの時間が必要となる。
【0003】
例えば機密情報に大量のクレジットカード番号が包含されており、機密情報の重要度が高い場合、高いレベルの保護強度がその機密情報に与えられる。このとき、高レベルの保持強度を実現するため、この機密情報の暗号化に使用される公開鍵暗号の暗号鍵はビット長の大きいものが使用される。暗号化された機密情報の復号には、暗号鍵のビット長の2乗あるいは3乗に比例する計算量が必要となり、携帯情報端末等の処理速度が低いデバイスを利用しての機密情報の検索を行う場合には、検索処理の遅延や操作性の低下などの問題が生ずる。
【0004】
特許文献1および特許文献2は、様々なコンテンツに別の鍵で暗号をかけ、限定受信モジュールを可搬可能とし、著作権を保護するものである。コンテンツ毎の暗号化を行うために、送信側でコンテンツを暗号化し、暗号化されたコンテンツと同時にメタファイルを送信し、コンテンツ情報を受信した受信端末側で暗号化コンテンツとメタデータの蓄積を行う。蓄積された暗号化コンテンツを視聴する際に、メタデータに、受信端末内で作成した使い捨て鍵、またはをワーク鍵を用いて暗号化し、暗号化コンテンツとメタデータの分離を行う。
【0005】
【特許文献1】特開2002−044071
【特許文献2】特開2002−033725
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、従来の暗号化コンテンツ検索方式には次のような問題がある。特許文献1は、ストリームデータのコンテンツ本体とは別個にメタデータを作成し、メタデータの暗号化には使い捨て鍵を使用しており、メタデータの価値から鍵長を決定するような機構はない。また、特許文献2では、コンテンツ本体とは別個にコンテンツに関連する内容情報および制御情報を含むメタデータを作成し、メタデータの暗号化にはワーク鍵を使用しているが、特許文献1と同様に、メタデータの価値から鍵長を決定するような機構はない。
【0007】
本発明は、上記従来の課題を解決し、コンテンツに関する機密性の価値から鍵長を決定し、暗号化された機密ファイルを短時間で検索できる暗号化コンテンツ検索方式を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明に係る暗号化コンテンツ検索方式は、機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成する作成手段と、検索対象情報部の価値を算出する第1の算出手段と、算出された価値に基づき暗号化に利用する暗号鍵を作成する第1の暗号鍵作成手段と、作成された暗号鍵を用いて検索対象情報部を暗号化する第1の暗号化手段と、コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行する検索手段と、検索手段により検索された検索対象部に対応する暗号化コンテンツを出力する出力手段とを備えている。
【0009】
好ましくは、暗号化コンテンツ検索装置はさらに、コンテンツの価値を算出する第2の算出手段と、算出された価値に基づき暗号化に利用する暗号鍵を作成する第2の暗号鍵作成手段と、作成された暗号鍵を用いてコンテンツを暗号化する第2の暗号化手段とを有し、第2の暗号化手段により前記暗号化コンテンツが生成される。
【0010】
好ましくは、第1の算出手段は、検索対象情報部に含まれる情報の対価を予め設定し、当該対価に基づき検索対象情報部の価値を算出し、第2の算出手段は、コンテンツに含まれる情報の対価を予め設定し、当該対価に基づきコンテンツの価値を算出する。また第1の算出手段は、検索対象情報部に含まれるレコードファイル数に基づき価値を算出する。さらに第1の算出手段は、前記コンテンツの保護期間、配布経路情報、コンテンツを利用する情報端末のデバイス情報、コンテンツを利用する利用者のプロファイル情報の少なくとも1つを用いて検索対象情報部の価値を算出する。
【0011】
好ましくは、第1の暗号鍵作成手段は、検索対象情報部の価値に応じて暗号鍵の長さを可変する。また検索対象情報部が顧客レコードファイルと顧客ID(識別情報)とを含むとき、顧客IDに乱数を用いる。暗号化コンテンツ検索装置はさらに、検索要求があったとき、当該検索要求を認証するための電子チケットを作成し、電子チケットを送付する手段を含む。
【0012】
本発明に係る暗号化コンテンツ検索システムは、機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成する作成手段と、検索対象情報部の価値を算出する算出手段と、算出された価値に基づき暗号化に利用する暗号鍵を作成する暗号鍵作成手段と、作成された暗号鍵を用いて検索対象情報部を暗号化する暗号化手段と、コンテンツ検索を行う検索条件を入力する入力手段と、入力された検索条件に基づき暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行する検索手段と、検索手段により検索された検索対象情報部に対応する暗号化コンテンツを復号する復号手段とを備えている。
【0013】
好ましくは暗号化コンテンツ検索システムは、前記入力手段を認証する認証手段と、前記認証手段の認証結果に基づき前記コンテンツの利用範囲を決定する決定手段とを有し、前記作成手段は、利用範囲が決定されたコンテンツから検索対象情報を作成する。また暗号化コンテンツ検索システムは、前記入力手段に対して情報の入手を認可するための電子チケットを発行する手段と、前記電子チケットに基づき前記検索手段により得られた暗号化コンテンツを入手する入手手段とを有する。前記算出手段は、検索対象情報部に含まれる情報の対価を予め設定し、当該対価に基づき検索対象情報部の価値を算出する。
【0014】
本発明に係る暗号化コンテンツ検索方法は、機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成するステップと、検索対象情報部の価値を算出するステップと、算出された価値に基づき暗号化に利用する暗号鍵を作成するステップと、作成された暗号鍵を用いて検索対象情報部を暗号化するステップと、コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行するステップと、検索された検索対象部に対応する暗号化コンテンツを出力するステップとを有する。
【0015】
好ましくは、暗号化コンテンツ検索方法はさらに、出力された暗号化コンテンツを復号するステップと、復号されたコンテンツを表示するステップとを含む。
【0016】
本発明に係る暗号化コンテンツ検索ステップは、機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成するステップと、検索対象情報部の価値を算出するステップと、算出された価値に基づき暗号化に利用する暗号鍵を作成するステップと、作成された暗号鍵を用いて検索対象情報部を暗号化するステップと、コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行するステップと、検索された検索対象部に対応する暗号化コンテンツを出力するステップと、
を有する。
【発明の効果】
【0017】
発明によれば、検索対象となり得る検索対象情報部を作成し、機密情報本体とは別個に暗号化を施す。これにより、検索対象情報部に対して機密情報本体よりも短めな鍵長を持つ暗号鍵を割り当てることができる。検索時は、検索対象情報部のみを復号し、長い暗号鍵で暗号化された機密情報本体は復号を行わない。短い暗号鍵が割り当てられた検索対象情報部のみを復号することにより、検索時の復号処理に要する計算時間を短縮し、暗号化されたコンテンツ内に記録されている情報を迅速に検索できる。
【発明を実施するための最良の形態】
【0018】
以下、本発明を実施するための最良の形態について図面を参照して説明する。
【実施例】
【0019】
図2は、本発明の実施例に係る暗号化コンテンツ検索方式の概要を説明する図である。機密情報を含むコンテンツ10から検索対象情報部12と機密情報部14を作成する。検索対象情報部12は、機密情報部14の内容項目を含むメタデータの集合体である。ここで、検索対象情報部12は情報の価値に基づき比較的短い鍵によって暗号化され、暗号化検索対象情報部16として保護管理される。また、機密情報部14は情報の価値に基づき比較的長い鍵によって暗号化され、暗号化機密情報部18として保護管理される。コンテンツの検索を行うとき、短い鍵を用いて暗号化検索対象情報部16のみを復号し、検索対象情報部20内のデータを検索処理する。暗号化検索対象情報部16は、暗号化および復号化に短い鍵を用いるため、長い鍵よりも短時間で復号することができる。検索結果に基づき、暗号化機密情報部18を復号し、ユーザは機密情報部22より必要な機密情報を得ることができる。
【0020】
次に、本実施例である暗号化コンテンツ検索方式を利用した顧客情報管理システム例について説明する。図3は顧客情報管理システムの構成例を示す図である。図3は顧客情報を記載した電子ファイルの配布および閲覧に関わるサーバとユーザの関係を示しており、例えば顧客情報管理システムは、会社A、ユーザB、携帯情報端末Dを含み、会社Aは顧客情報管理サーバEとセキュリティサーバFを含んでいる。
【0021】
図4は、本発明の実施例の係る暗号化コンテンツ検索機能を有する顧客情報管理サーバEの構成例を示す図である。顧客情報管理サーバEは、キーボード等の操作により情報を入力する入力装置52、ディスプレイに文字、図形等の情報を表示する表示装置54、ROMまたはRAMを含み、顧客情報を検索するためのプログラムや種々のデータ等を記憶する主記記憶装置56、ハードディスク等の大容量記憶装置を含み、ネットワーク等を介して収集された大量の顧客情報等を蓄積する記憶装置58、主記記憶装置56に記憶されたプログラムに従い各部を制御する中央演算装置(CPU)60、これらを接続するバス62を含んでいる。
【0022】
図5は、図3に示す顧客情報管理システムを機能的に表し、本実施例に適応させたブロック図である。携帯情報端末Dは、ユーザ資格を証明するユーザ資格証明手段100、暗号化ファイル、暗号化機密ファイルおよび電子チケットを顧客情報管理サーバEから受け取る受取手段102、検索対象情報部を復号する復号手段104、検索および検索した結果を表示する表示手段106、暗号化機密ファイルを復号する復号手段108、機密ファイルを表示する表示手段110を含む。
【0023】
顧客情報管理サーバEは、携帯情報端末Dからのユーザ証明を受け取り、ユーザを認証するユーザ認証手段120、ユーザIDをセキュリティサーバFに送付する送付手段122、ユーザ情報およびセキュリティガイドライン情報をセキュリティサーバFから受け取る受取手段124、顧客ID用乱数表を作成する作成手段126、検索対象情報部を作成する作成手段128、機密ファイルを作成する作成手段130、検索対象情報部および機密ファイルの価値を算出する算出手段132、検索対象情報部および機密ファイルの暗号鍵を作成する作成手段134、検索対象情報部および機密ファイルを暗号化する暗号化手段136、電子チケットを作成する作成手段138、暗号化ファイル、暗号化機密ファイルおよび電子チケットを携帯情報端末Dに送付する送付手段140を含む。
【0024】
セキュリティサーバFは、ユーザIDを顧客情報管理サーバEから受け取る受取手段150、ユーザ情報およびセキュリティガイドライン情報を顧客情報管理サーバEに送付する送付手段152を含む。携帯情報端末D、顧客情報管理サーバEおよびセキュリティサーバFはネットワークにより接続されている。
【0025】
次に、図3を参照し、本実施例の顧客情報管理システムにおける検索ついて詳細を説明する。例えば営業活動として、会社AのセールスパーソンであるユーザBは、顧客情報管理サーバEにある顧客情報が記載された機密ファイルを携帯情報端末Dにダウンロードし、機密ファイルの検索および閲覧を操作する。ここで、機密ファイルが顧客情報管理サーバEから社外で利用される携帯情報端末Dにダウンロードされるとき、盗難や紛失等の危険性があるため、セキュリティサーバFが管理するユーザ情報に応じて顧客情報管理サーバEは、ユーザBが利用可能な範囲を決定する。
【0026】
顧客情報は顧客情報管理サーバE内の記憶装置に保存されており、記憶装置には数百万人の顧客情報が記載されている。顧客情報には、顧客の名前、生年月日、住所、電話番号、顧客による会社Aの製品購入情報、会社Aに対する支払い状況、顧客が所有するクレジットカードの番号等の機密情報が含まれている。このため、顧客情報管理サーバE内にある顧客情報を記載した機密ファイル本体は、最高レベルの機密保護に使用されるRSA暗号2048ビット鍵を用いて暗号化が施されている。
【0027】
また、顧客情報管理サーバEは、顧客情報管理サーバEへアクセスしてくるユーザBを認証し、ユーザが有する資格に基づき機密情報の利用範囲を制限する機能を有する。顧客情報管理サーバEは、ユーザの利用可能な範囲の特定に必要なユーザの資格情報と、機密情報の価値を決定するために用いられる顧客レコード推定単価等を含むセキュリティガイドライン情報をLAN等の通信網を用いてセキュリティサーバFから取得する。
【0028】
ユーザBが使用している携帯情報端末Dは、ユーザ認証機能および暗号化されたファイルを平文に直すための復号機能、ならびに平文と暗号鍵等の流出を防止するためのソフトウェア耐タンパー化機能が搭載されている。ソフトウエア耐ダンパー化機能は、例えば、「ソフトウェアの耐タンパー化技術」、情報処理 2003年6月号に記載されている。さらに携帯情報端末Dには、ソフトウェア耐タンパー化機能によりセキュリティが確保されたビューアが搭載されており、ユーザBは、これらのビューアを用いて暗号化ファイルの閲覧および検索操作を実施する。
【0029】
また本実施例では、電子チケット方式を利用する。ここで利用する電子チケット方式は、ユーザ自身が所有するデバイスの固有情報をサーバに登録し、サーバは上記デバイス固有情報と機密情報保護に利用する暗号鍵との差分情報を電子チケットとしてユーザに発行する。上記のデバイス固有情報の登録は、デバイスの耐タンパー化機能によって保護されたプログラムが、ユーザの指示に基づきサーバとの間の通信のためにVPN等の安全な経路を作成した上で、ユーザおよび第3者にデバイス固有情報を漏洩することなしに実施する。電子チケット方式は、例えば本出願人より特開平10−164051号、「ユーザ認証装置および方法」において開示されている。
【0030】
さらに、上記デバイス固有情報、復号化された機密ファイルおよび機密ファイルの暗号化に利用される共通鍵の3つは上記ソフトウェア耐タンパー化機能によって常に保護されており、ユーザ自身および第3者がこれらの情報をデバイスから取り出すことは阻止される。また上記電子チケット方式では素因数分解あるいは離散対数問題等の計算量的困難さを利用することで、ユーザ自身および第3者が上記差分情報からユーザのデバイス固有情報あるいは機密ファイル保護に利用されている暗号鍵情報を算出することは計算量的に困難であり、事実上機密ファイルおよびそれに付随する秘密情報の流出は阻止される。
【0031】
図6は、顧客情報を利用する際に実施される顧客情報管理サーバEの動作を示すフローチャートである。初めに、ユーザBが携帯情報端末Dから顧客情報を検索しようとする場合、携帯情報端末Dのユーザ資格証明手段100は、顧客情報管理サーバEに対してユーザ資格証明を送付する。顧客情報管理サーバEは、ユーザ認証手段120によりユーザBの認証を行う(ステップS101)。ユーザ認証が完了すると、顧客情報管理サーバEはセキュリティサーバFにアクセスする(ステップS102)。ここで、顧客情報管理サーバEは、ユーザID送付手段122によりユーザIDをセキュリティサーバFに送付する。セキュリティサーバFは、ユーザID受取手段150によりユーザIDを受け取り、これに応答して、ユーザ情報等送付手段152は、該当するユーザについてのユーザ資格情報および機密情報の価値を決定するための顧客管理レコード推定単価等を含むセキュリティガイドライン情報を顧客管理サーバEに送付する。
【0032】
次に、顧客情報管理サーバEは、ユーザ情報等受取手段124により受け取ったユーザ情報等に基づき、ユーザBの利用可能な顧客情報の範囲を決定する(ステップS103)。ここで、ユーザBの利用可能な顧客情報の対象人数をM人とする。顧客情報管理サーバEは検索対象情報作成手段128および機密ファイル作成手段130に基づき、ユーザBに送付するためにM人分の顧客レコード全項目を記載した機密ファイルと機密ファイル内の情報を検索するために利用される検索対象情報部を作成する(ステップS104)。
【0033】
まず顧客情報管理サーバEは、暗号化された上で保存されている機密ファイル本体を2048ビット鍵を利用して復号し、復号された機密ファイルからユーザBが閲覧可能なM人分の顧客レコード全項目を抽出する。さらに抽出された顧客レコード情報に検索部からの参照を可能とするための顧客IDを対応づけた上で、顧客情報管理サーバEは、M人分のID付き顧客レコード情報を納めた機密ファイルを作成する。また顧客情報管理サーバEは、顧客レコード情報に対する検索を可能とするために検索対象情報部を作成する。この検索対象情報部にはM人分の顧客の名前とその顧客がこれまでに購入した会社Aの製品名、この顧客に対応する顧客IDが記載されている。
【0034】
例えば、攻撃者である第3者により暗号化された検索対象情報部が解読された場合、攻撃者が顧客IDを追尾することで顧客情報を不正に取得する可能性がある。特に検索履歴をユーザBが所有する携帯情報端末Dに保持している場合、検索履歴情報から顧客IDを特定することが可能である。攻撃者による顧客情報の不正取得を防ぐために顧客情報管理サーバEは、顧客レコードファイルおよび対応する検索対象情報部を作成する毎に乱数を生成し、顧客ID乱数表作成手段126により顧客IDと顧客情報の対応づけを示す乱数表を作成する。
【0035】
次に、顧客情報管理サーバEは、セキュリティガイドラインで定められている顧客情報に割り当てられた価値情報に基づき、価値算出手段132によりM人分の顧客レコード全項目と検索対象情報部の価値を算出し(ステップS105)、さらに検索対象情報部の価値に見合う鍵長を算出することで、暗号化鍵作成手段134により検索対象情報部用暗号鍵を作成する(ステップS106)。
【0036】
例えば顧客情報管理サーバEが、セキュリティサーバFから取得したセキュリティガイドライン情報には1円で購入できる計算量の推定値Gおよび保護対象年数Yが記載されている。検索に利用する検索対象情報部には、M人の顧客の名前と顧客による会社Aの製品購入情報および顧客IDの3種類のみの情報が含まれる。このとき、顧客情報管理サーバEは、検索対象情報部の価値T1を以下の式により算出する(ステップS105)。
【0037】
【数1】
【0038】
上記のValue1は検索対象情報部中の顧客情報1件当たりの価値を表す。検索対象情報部内の顧客情報が流出した場合、顧客に対して金券等を送付して保証を行うことが想定される。このため、金券の価格を鑑み、ここではValue1=500と仮定する。また、検索対象情報部の価値T1を利用して、顧客情報管理サーバEは、検索対象情報部の保護に利用されるRSA暗号鍵の長さK1を以下の式により算出する(ステップS106)。
【0039】
【数2】
【0040】
ただし、上記でlgは2を底とする対数を表す。また、上記の式中でΨ(x,y)は、x以下の正の整数で、その素因数がを超えないものの数を表す。Ψ(x,y)の計算方法は、例えば、Math. Comp., 66, p.1729-1741,1997.や Math. Comp., 73, p.1013-1022, 2004.等に開示されている。顧客情報管理サーバEは暗号化手段136により、暗号鍵K1を用いて検索対象情報部を暗号化する(ステップS107)。
【0041】
次に、顧客情報管理サーバEは、M人分の顧客情報全項目を記載した機密ファイルの価値T2を以下の式より算出する(ステップS108)。
【0042】
【数3】
【0043】
ここで、顧客情報全項目を記載したファイルには顧客の名前、年齢、住所、電話番号、顧客による会社Aの製品購入情報、そして顧客が所有するクレジットカードの番号の各項目が記載されている。Value2は上記ファイル中の顧客情報1件当たりの価値を表す。ファイル中の顧客情報が流出した場合、ファイル内に記載されたクレジットカード番号を不正利用されることが想定される。このため、クレジットカードの利用制限額を鑑み、ここではValue2=1000000と仮定する。機密ファイルの価値T2より、顧客情報管理サーバEは、顧客レコード全項目の保護に利用されるRSA暗号鍵の長さK2を以下の式により算出する(ステップS109)。
【0044】
【数4】
【0045】
顧客情報管理サーバEは、暗号化手段136により、暗号鍵K2を用いて機密ファイルを暗号化する(ステップS110)。さらにK1とK2の共通鍵をRSA暗号の公開鍵を用いて別々に暗号化し、暗号化した検索対象情報部、あるいは機密ファイルにこれを付随させる。顧客情報管理サーバEは、その上で決定された鍵長を持つRSA暗号の秘密鍵および公開鍵を生成し、電子チケット作成手段138によりこの秘密鍵とユーザBが所有する携帯情報端末Dのデバイス固有情報を用いてユーザBへ送付する検索用と閲覧用の電子チケットを生成する(ステップS111)。顧客情報管理サーバEは前記電子チケットと暗号化された共通鍵を付随させた暗号化機密ファイルと暗号化検索対象情報部を送付手段140によりユーザBに送付する(ステップS112)。
【0046】
上記実施例において、例えば仮にユーザBが利用可能な顧客情報の件数をM=10000(人)、保護対象年数をY=10(年)、1円で購入可能な計算量の推定値をG=2.52288×1012(ビット)とする。ここで、Gの値は3.2GHzのPCの販売価格を20万円、PCの耐用年数を5年と仮定して算出する。このような方法は、例えば、Simson Garfinkel, “PGP:Pretty Good Privacy”, O’Reilly, 1994.に開示されている。
【0047】
上記の方法で検索対象情報部を暗号化するための暗号鍵の最適な長さを算出すると790ビットとなり、また顧客レコードファイルのための最適な鍵長は993ビットとなる。このため、検索対象情報部用のRSA暗号鍵の鍵長は、顧客レコードファイルのための鍵長の0.44倍の長さとなる。RSA暗号の復号時間が鍵長の3乗に比例すると仮定すると、上記方式により実質的に検索対象情報部の復号時間は、顧客レコードファイルの復号時間の約0.5倍となり、大幅な高速化が得られる。これにより、従来では困難であった携帯電話等の低速なデバイスを用いての簡便な顧客情報検索および閲覧システムを強固な著作権保護および機密情報保護を伴いつつ実現することが可能となる。
【0048】
上記実施例では、特に機密ファイル保護のためにRSA暗号を利用しているが、ElGamal暗号、あるいは楕円曲線暗号、NTRUなどの他の公開鍵暗号を利用しても同様の効果を得ることが出来る。さらにファイル価値設定時に、顧客情報流出によって引き起こされる信用喪失に伴うブランド価値の低減をb円とし、上記T1、T2にこれを加えたものを検索対象情報部、機密ファイルの価値としても良い。また、最適な鍵長Kを設定するための計算式として、以下の式を利用する。
【0049】
【数5】
【0050】
または、上記の式に補正を加えたものを利用しても良い。上記式において、C(n)はRSA等の素因数分解の困難性に依存する暗号系に対する最良攻撃法である数体ふるい法の計算量である。例えば、最適な鍵長Kを設定するための計算式は、A. K. Lenstra, H. W. Lenstra (eds.), The development of the number field sieve, Lecture Notes in Mathematics, vol. 1554, Springer-Verlag, Berlin and Heidelberg, Germany, 1993.等に開示されている。さらに、顧客情報を安全に管理するためのエアギャップ方式による仮想的に孤立したネットワークを構築し、このネットワーク内における通信経路上では特にファイルの暗号化を施さないが、ネットワーク外部に顧客情報を持ち出す際には上記の顧客情報管理方式を利用するようにシステムを構成した場合でも上記と同様の効果が得られる。
【0051】
図7は、顧客情報を利用する際に実施されるユーザBの手順を示すフローチャートである。図7を参照し、ユーザBによる暗号化機密ファイルの検索および閲覧について説明する。ユーザBは、携帯情報端末Dを用いて顧客情報管理サーバEにアクセスし(ステップS201)、ユーザ資格証明手段100により電子証明書等を用いて顧客情報の利用資格を有することを顧客情報管理サーバEに証明する。同時に、ユーザBが顧客情報を利用しようとしている携帯情報端末Dを特定するためのデバイスIDを顧客情報管理サーバEに送付し、顧客情報管理サーバEは、ユーザ認証手段120により、ユーザBの認証を行う(ステップS202)。その後、ユーザBは顧客情報管理サーバEの送付手段140により送付された暗号化検索対象情報部、暗号化機密ファイルおよび電子チケットを、携帯情報端末Dの受取手段102によりを受け取る(ステップ203)。
【0052】
ユーザBは、暗号化機密ファイルを耐タンパー化機能で保護された携帯情報端末Dのビューアを用いて検索および閲覧するため、受取手段102により受け取った前記電子チケット、暗号化機密ファイルおよび暗号化検索対象情報部をビューアに登録する(ステップS204)。携帯情報端末Dは、電子チケットとデバイス固有情報を用いて、暗号化機密ファイル、あるいは暗号化検索対象情報部に付随している暗号化された共通鍵を復号する。さらに携帯情報端末Dは、復号された共通鍵を用いて検索対象情報部および暗号化機密ファイルを復号する。ただし検索の際、携帯情報端末Dは検索情報部復号手段104により検索対象情報部のみの復号を行い、検索・結果表示手段106により検索作業が終了した後、暗号化機密ファイル復号手段108により機密ファイル本体の復号を行う。
【0053】
携帯情報端末Dが実施するこれらの処理は、ビューアが有する耐タンパー化領域内に全ての機密情報を留めつつ実施される。ユーザBは、共通鍵あるいはデバイス固有情報等を知ることは不可能であるが、電子チケットを一度取得すればその有効期限の間は、たとえ顧客情報管理サーバEにアクセス不可能な社外のモバイル環境においても、携帯情報端末Dに搭載された専用ビューアを用いて、暗号化された検索対象情報部および機密ファイル内の情報を検索および閲覧することが可能である。検索の際、ユーザは携帯情報端末Dに検索キーワードを入力し、携帯情報端末Dのビューアは、電子チケットを用いて復号した検索対象情報部内の検索キーワードに該当する情報をリストアップする(ステップS205)。
【0054】
例えばユーザBが会社Aの製品P1を購入した顧客を検索する場合には、ユーザBは、携帯情報端末Dに検索キーワードとして「P1」を入力して検索作業を指示する(ステップS205)。検索を指示された携帯情報端末Dは、検索キーワード「P1」に該当する顧客名をリストアップし、リストアップした顧客名を表形式でビューアの表示部に表示する。
【0055】
携帯情報端末Dの結果表示手段106によりビューアの表示部に表示された各顧客名に該当する項目には顧客IDが割り当てられており、ユーザBは、携帯情報端末Dを操作し、表中の顧客名に該当する項目を選択して特定の顧客を指定しる(ステップS206)。ユーザBが顧客情報の閲覧要求を行うと(ステップS207)、携帯情報端末Dのビューアはその顧客のIDに対応する顧客情報を表示手段106により表示する。ビューアは、顧客情報の表示のために登録された電子チケットを用いて復号された顧客レコードファイル中の指定顧客IDに対応する顧客レコードを抽出し、表形式で抽出した顧客レコードを表示部に表示する。ユーザBは、ビューアに表示された情報により、検索キーワード「P1」に該当する顧客レコードを閲覧することができる(ステップS208)。
【0056】
上記実施例は例示的なものであり、これによって本発明の範囲が限定的に解釈されるべきものではなく、本発明の構成要件を満足する範囲内で他の方法によっても実現可能であることは言うまでもない。本実施例の顧客情報管理システムは、ユーザが携帯情報端末Dから検索等を行う例を示したが、これに限らず、サーバやパーソナルコンピュータから検索を行うようにしてもよい。さらに、顧客情報管理システムにおいて、顧客管理情報サーバEによって暗号化コンテンツのすべての検索を行うようにしてもよい。
【産業上の利用可能性】
【0057】
本発明に係る暗号化コンテンツ検索方式は、機密保持が必要なコンテンツに対する検索処理の分野で利用することができる。
【図面の簡単な説明】
【0058】
【図1】従来の暗号コンテンツ検索方式の概要を説明する図である。
【図2】本発明による暗号化コンテンツ検索方式を示す図である。
【図3】顧客情報管理システムの構成例を示す図である。
【図4】本発明の実施例に係る暗号化コンテンツ検索機能を有する顧客情報管理サーバの構成例を示す図である。
【図5】暗号化コンテンツ検索システムを機能的に表したブロック図である。
【図6】顧客情報管理サーバの動作を示すフローチャートである。
【図7】ユーザが実施すべき手順を示すフローチャートである。
【符号の説明】
【0059】
10:コンテンツ 12:検索対象情報部
14:機密情報部 16:暗号化検索対象情報部
18:暗号化機密情報部 20:検索対象情報部
22:機密情報部 50:暗号化コンテンツ検索装置
52:入力装置 54:表示装置
56:主記記憶装置 58:記憶装置
60:CPU 62:バス
【技術分野】
【0001】
本発明は、顧客情報等の機密情報を含む電子ファイルを暗号化し、暗号化された電子ファイルを検索する技術に関する。
【背景技術】
【0002】
従来、暗号化されたコンテンツ(以下、暗号化コンテンツという)内の情報に関して検索を実行する暗号化コンテンツ検索方式では、暗号化されているコンテンツ本体を復号し、復号されたコンテンツに対して検索処理を行っている。図1は、従来の暗号化コンテンツ検索方式を示す図である。まず、機密情報が含まれる電子ファイル等のコンテンツ2は、暗号鍵を用いて暗号化され、暗号化コンテンツ4となる。暗号化コンテンツ4は、セキュリティ強度が高いほど長い暗号鍵により保護される。このような暗号化コンテンツ4に含まれるデータを検索する際、暗号鍵を用いて暗号化コンテンツ4を復号し、復号された復号化コンテンツ6に対して検索処理を行っている。暗号化コンテンツのセキュリティ強度を高くすると、長い暗号鍵を用いて保護しなければならず、復号にも長時間を要する。これにより、コンテンツの検索時に実行する復号処理に多くの時間が必要となる。
【0003】
例えば機密情報に大量のクレジットカード番号が包含されており、機密情報の重要度が高い場合、高いレベルの保護強度がその機密情報に与えられる。このとき、高レベルの保持強度を実現するため、この機密情報の暗号化に使用される公開鍵暗号の暗号鍵はビット長の大きいものが使用される。暗号化された機密情報の復号には、暗号鍵のビット長の2乗あるいは3乗に比例する計算量が必要となり、携帯情報端末等の処理速度が低いデバイスを利用しての機密情報の検索を行う場合には、検索処理の遅延や操作性の低下などの問題が生ずる。
【0004】
特許文献1および特許文献2は、様々なコンテンツに別の鍵で暗号をかけ、限定受信モジュールを可搬可能とし、著作権を保護するものである。コンテンツ毎の暗号化を行うために、送信側でコンテンツを暗号化し、暗号化されたコンテンツと同時にメタファイルを送信し、コンテンツ情報を受信した受信端末側で暗号化コンテンツとメタデータの蓄積を行う。蓄積された暗号化コンテンツを視聴する際に、メタデータに、受信端末内で作成した使い捨て鍵、またはをワーク鍵を用いて暗号化し、暗号化コンテンツとメタデータの分離を行う。
【0005】
【特許文献1】特開2002−044071
【特許文献2】特開2002−033725
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、従来の暗号化コンテンツ検索方式には次のような問題がある。特許文献1は、ストリームデータのコンテンツ本体とは別個にメタデータを作成し、メタデータの暗号化には使い捨て鍵を使用しており、メタデータの価値から鍵長を決定するような機構はない。また、特許文献2では、コンテンツ本体とは別個にコンテンツに関連する内容情報および制御情報を含むメタデータを作成し、メタデータの暗号化にはワーク鍵を使用しているが、特許文献1と同様に、メタデータの価値から鍵長を決定するような機構はない。
【0007】
本発明は、上記従来の課題を解決し、コンテンツに関する機密性の価値から鍵長を決定し、暗号化された機密ファイルを短時間で検索できる暗号化コンテンツ検索方式を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明に係る暗号化コンテンツ検索方式は、機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成する作成手段と、検索対象情報部の価値を算出する第1の算出手段と、算出された価値に基づき暗号化に利用する暗号鍵を作成する第1の暗号鍵作成手段と、作成された暗号鍵を用いて検索対象情報部を暗号化する第1の暗号化手段と、コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行する検索手段と、検索手段により検索された検索対象部に対応する暗号化コンテンツを出力する出力手段とを備えている。
【0009】
好ましくは、暗号化コンテンツ検索装置はさらに、コンテンツの価値を算出する第2の算出手段と、算出された価値に基づき暗号化に利用する暗号鍵を作成する第2の暗号鍵作成手段と、作成された暗号鍵を用いてコンテンツを暗号化する第2の暗号化手段とを有し、第2の暗号化手段により前記暗号化コンテンツが生成される。
【0010】
好ましくは、第1の算出手段は、検索対象情報部に含まれる情報の対価を予め設定し、当該対価に基づき検索対象情報部の価値を算出し、第2の算出手段は、コンテンツに含まれる情報の対価を予め設定し、当該対価に基づきコンテンツの価値を算出する。また第1の算出手段は、検索対象情報部に含まれるレコードファイル数に基づき価値を算出する。さらに第1の算出手段は、前記コンテンツの保護期間、配布経路情報、コンテンツを利用する情報端末のデバイス情報、コンテンツを利用する利用者のプロファイル情報の少なくとも1つを用いて検索対象情報部の価値を算出する。
【0011】
好ましくは、第1の暗号鍵作成手段は、検索対象情報部の価値に応じて暗号鍵の長さを可変する。また検索対象情報部が顧客レコードファイルと顧客ID(識別情報)とを含むとき、顧客IDに乱数を用いる。暗号化コンテンツ検索装置はさらに、検索要求があったとき、当該検索要求を認証するための電子チケットを作成し、電子チケットを送付する手段を含む。
【0012】
本発明に係る暗号化コンテンツ検索システムは、機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成する作成手段と、検索対象情報部の価値を算出する算出手段と、算出された価値に基づき暗号化に利用する暗号鍵を作成する暗号鍵作成手段と、作成された暗号鍵を用いて検索対象情報部を暗号化する暗号化手段と、コンテンツ検索を行う検索条件を入力する入力手段と、入力された検索条件に基づき暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行する検索手段と、検索手段により検索された検索対象情報部に対応する暗号化コンテンツを復号する復号手段とを備えている。
【0013】
好ましくは暗号化コンテンツ検索システムは、前記入力手段を認証する認証手段と、前記認証手段の認証結果に基づき前記コンテンツの利用範囲を決定する決定手段とを有し、前記作成手段は、利用範囲が決定されたコンテンツから検索対象情報を作成する。また暗号化コンテンツ検索システムは、前記入力手段に対して情報の入手を認可するための電子チケットを発行する手段と、前記電子チケットに基づき前記検索手段により得られた暗号化コンテンツを入手する入手手段とを有する。前記算出手段は、検索対象情報部に含まれる情報の対価を予め設定し、当該対価に基づき検索対象情報部の価値を算出する。
【0014】
本発明に係る暗号化コンテンツ検索方法は、機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成するステップと、検索対象情報部の価値を算出するステップと、算出された価値に基づき暗号化に利用する暗号鍵を作成するステップと、作成された暗号鍵を用いて検索対象情報部を暗号化するステップと、コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行するステップと、検索された検索対象部に対応する暗号化コンテンツを出力するステップとを有する。
【0015】
好ましくは、暗号化コンテンツ検索方法はさらに、出力された暗号化コンテンツを復号するステップと、復号されたコンテンツを表示するステップとを含む。
【0016】
本発明に係る暗号化コンテンツ検索ステップは、機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成するステップと、検索対象情報部の価値を算出するステップと、算出された価値に基づき暗号化に利用する暗号鍵を作成するステップと、作成された暗号鍵を用いて検索対象情報部を暗号化するステップと、コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行するステップと、検索された検索対象部に対応する暗号化コンテンツを出力するステップと、
を有する。
【発明の効果】
【0017】
発明によれば、検索対象となり得る検索対象情報部を作成し、機密情報本体とは別個に暗号化を施す。これにより、検索対象情報部に対して機密情報本体よりも短めな鍵長を持つ暗号鍵を割り当てることができる。検索時は、検索対象情報部のみを復号し、長い暗号鍵で暗号化された機密情報本体は復号を行わない。短い暗号鍵が割り当てられた検索対象情報部のみを復号することにより、検索時の復号処理に要する計算時間を短縮し、暗号化されたコンテンツ内に記録されている情報を迅速に検索できる。
【発明を実施するための最良の形態】
【0018】
以下、本発明を実施するための最良の形態について図面を参照して説明する。
【実施例】
【0019】
図2は、本発明の実施例に係る暗号化コンテンツ検索方式の概要を説明する図である。機密情報を含むコンテンツ10から検索対象情報部12と機密情報部14を作成する。検索対象情報部12は、機密情報部14の内容項目を含むメタデータの集合体である。ここで、検索対象情報部12は情報の価値に基づき比較的短い鍵によって暗号化され、暗号化検索対象情報部16として保護管理される。また、機密情報部14は情報の価値に基づき比較的長い鍵によって暗号化され、暗号化機密情報部18として保護管理される。コンテンツの検索を行うとき、短い鍵を用いて暗号化検索対象情報部16のみを復号し、検索対象情報部20内のデータを検索処理する。暗号化検索対象情報部16は、暗号化および復号化に短い鍵を用いるため、長い鍵よりも短時間で復号することができる。検索結果に基づき、暗号化機密情報部18を復号し、ユーザは機密情報部22より必要な機密情報を得ることができる。
【0020】
次に、本実施例である暗号化コンテンツ検索方式を利用した顧客情報管理システム例について説明する。図3は顧客情報管理システムの構成例を示す図である。図3は顧客情報を記載した電子ファイルの配布および閲覧に関わるサーバとユーザの関係を示しており、例えば顧客情報管理システムは、会社A、ユーザB、携帯情報端末Dを含み、会社Aは顧客情報管理サーバEとセキュリティサーバFを含んでいる。
【0021】
図4は、本発明の実施例の係る暗号化コンテンツ検索機能を有する顧客情報管理サーバEの構成例を示す図である。顧客情報管理サーバEは、キーボード等の操作により情報を入力する入力装置52、ディスプレイに文字、図形等の情報を表示する表示装置54、ROMまたはRAMを含み、顧客情報を検索するためのプログラムや種々のデータ等を記憶する主記記憶装置56、ハードディスク等の大容量記憶装置を含み、ネットワーク等を介して収集された大量の顧客情報等を蓄積する記憶装置58、主記記憶装置56に記憶されたプログラムに従い各部を制御する中央演算装置(CPU)60、これらを接続するバス62を含んでいる。
【0022】
図5は、図3に示す顧客情報管理システムを機能的に表し、本実施例に適応させたブロック図である。携帯情報端末Dは、ユーザ資格を証明するユーザ資格証明手段100、暗号化ファイル、暗号化機密ファイルおよび電子チケットを顧客情報管理サーバEから受け取る受取手段102、検索対象情報部を復号する復号手段104、検索および検索した結果を表示する表示手段106、暗号化機密ファイルを復号する復号手段108、機密ファイルを表示する表示手段110を含む。
【0023】
顧客情報管理サーバEは、携帯情報端末Dからのユーザ証明を受け取り、ユーザを認証するユーザ認証手段120、ユーザIDをセキュリティサーバFに送付する送付手段122、ユーザ情報およびセキュリティガイドライン情報をセキュリティサーバFから受け取る受取手段124、顧客ID用乱数表を作成する作成手段126、検索対象情報部を作成する作成手段128、機密ファイルを作成する作成手段130、検索対象情報部および機密ファイルの価値を算出する算出手段132、検索対象情報部および機密ファイルの暗号鍵を作成する作成手段134、検索対象情報部および機密ファイルを暗号化する暗号化手段136、電子チケットを作成する作成手段138、暗号化ファイル、暗号化機密ファイルおよび電子チケットを携帯情報端末Dに送付する送付手段140を含む。
【0024】
セキュリティサーバFは、ユーザIDを顧客情報管理サーバEから受け取る受取手段150、ユーザ情報およびセキュリティガイドライン情報を顧客情報管理サーバEに送付する送付手段152を含む。携帯情報端末D、顧客情報管理サーバEおよびセキュリティサーバFはネットワークにより接続されている。
【0025】
次に、図3を参照し、本実施例の顧客情報管理システムにおける検索ついて詳細を説明する。例えば営業活動として、会社AのセールスパーソンであるユーザBは、顧客情報管理サーバEにある顧客情報が記載された機密ファイルを携帯情報端末Dにダウンロードし、機密ファイルの検索および閲覧を操作する。ここで、機密ファイルが顧客情報管理サーバEから社外で利用される携帯情報端末Dにダウンロードされるとき、盗難や紛失等の危険性があるため、セキュリティサーバFが管理するユーザ情報に応じて顧客情報管理サーバEは、ユーザBが利用可能な範囲を決定する。
【0026】
顧客情報は顧客情報管理サーバE内の記憶装置に保存されており、記憶装置には数百万人の顧客情報が記載されている。顧客情報には、顧客の名前、生年月日、住所、電話番号、顧客による会社Aの製品購入情報、会社Aに対する支払い状況、顧客が所有するクレジットカードの番号等の機密情報が含まれている。このため、顧客情報管理サーバE内にある顧客情報を記載した機密ファイル本体は、最高レベルの機密保護に使用されるRSA暗号2048ビット鍵を用いて暗号化が施されている。
【0027】
また、顧客情報管理サーバEは、顧客情報管理サーバEへアクセスしてくるユーザBを認証し、ユーザが有する資格に基づき機密情報の利用範囲を制限する機能を有する。顧客情報管理サーバEは、ユーザの利用可能な範囲の特定に必要なユーザの資格情報と、機密情報の価値を決定するために用いられる顧客レコード推定単価等を含むセキュリティガイドライン情報をLAN等の通信網を用いてセキュリティサーバFから取得する。
【0028】
ユーザBが使用している携帯情報端末Dは、ユーザ認証機能および暗号化されたファイルを平文に直すための復号機能、ならびに平文と暗号鍵等の流出を防止するためのソフトウェア耐タンパー化機能が搭載されている。ソフトウエア耐ダンパー化機能は、例えば、「ソフトウェアの耐タンパー化技術」、情報処理 2003年6月号に記載されている。さらに携帯情報端末Dには、ソフトウェア耐タンパー化機能によりセキュリティが確保されたビューアが搭載されており、ユーザBは、これらのビューアを用いて暗号化ファイルの閲覧および検索操作を実施する。
【0029】
また本実施例では、電子チケット方式を利用する。ここで利用する電子チケット方式は、ユーザ自身が所有するデバイスの固有情報をサーバに登録し、サーバは上記デバイス固有情報と機密情報保護に利用する暗号鍵との差分情報を電子チケットとしてユーザに発行する。上記のデバイス固有情報の登録は、デバイスの耐タンパー化機能によって保護されたプログラムが、ユーザの指示に基づきサーバとの間の通信のためにVPN等の安全な経路を作成した上で、ユーザおよび第3者にデバイス固有情報を漏洩することなしに実施する。電子チケット方式は、例えば本出願人より特開平10−164051号、「ユーザ認証装置および方法」において開示されている。
【0030】
さらに、上記デバイス固有情報、復号化された機密ファイルおよび機密ファイルの暗号化に利用される共通鍵の3つは上記ソフトウェア耐タンパー化機能によって常に保護されており、ユーザ自身および第3者がこれらの情報をデバイスから取り出すことは阻止される。また上記電子チケット方式では素因数分解あるいは離散対数問題等の計算量的困難さを利用することで、ユーザ自身および第3者が上記差分情報からユーザのデバイス固有情報あるいは機密ファイル保護に利用されている暗号鍵情報を算出することは計算量的に困難であり、事実上機密ファイルおよびそれに付随する秘密情報の流出は阻止される。
【0031】
図6は、顧客情報を利用する際に実施される顧客情報管理サーバEの動作を示すフローチャートである。初めに、ユーザBが携帯情報端末Dから顧客情報を検索しようとする場合、携帯情報端末Dのユーザ資格証明手段100は、顧客情報管理サーバEに対してユーザ資格証明を送付する。顧客情報管理サーバEは、ユーザ認証手段120によりユーザBの認証を行う(ステップS101)。ユーザ認証が完了すると、顧客情報管理サーバEはセキュリティサーバFにアクセスする(ステップS102)。ここで、顧客情報管理サーバEは、ユーザID送付手段122によりユーザIDをセキュリティサーバFに送付する。セキュリティサーバFは、ユーザID受取手段150によりユーザIDを受け取り、これに応答して、ユーザ情報等送付手段152は、該当するユーザについてのユーザ資格情報および機密情報の価値を決定するための顧客管理レコード推定単価等を含むセキュリティガイドライン情報を顧客管理サーバEに送付する。
【0032】
次に、顧客情報管理サーバEは、ユーザ情報等受取手段124により受け取ったユーザ情報等に基づき、ユーザBの利用可能な顧客情報の範囲を決定する(ステップS103)。ここで、ユーザBの利用可能な顧客情報の対象人数をM人とする。顧客情報管理サーバEは検索対象情報作成手段128および機密ファイル作成手段130に基づき、ユーザBに送付するためにM人分の顧客レコード全項目を記載した機密ファイルと機密ファイル内の情報を検索するために利用される検索対象情報部を作成する(ステップS104)。
【0033】
まず顧客情報管理サーバEは、暗号化された上で保存されている機密ファイル本体を2048ビット鍵を利用して復号し、復号された機密ファイルからユーザBが閲覧可能なM人分の顧客レコード全項目を抽出する。さらに抽出された顧客レコード情報に検索部からの参照を可能とするための顧客IDを対応づけた上で、顧客情報管理サーバEは、M人分のID付き顧客レコード情報を納めた機密ファイルを作成する。また顧客情報管理サーバEは、顧客レコード情報に対する検索を可能とするために検索対象情報部を作成する。この検索対象情報部にはM人分の顧客の名前とその顧客がこれまでに購入した会社Aの製品名、この顧客に対応する顧客IDが記載されている。
【0034】
例えば、攻撃者である第3者により暗号化された検索対象情報部が解読された場合、攻撃者が顧客IDを追尾することで顧客情報を不正に取得する可能性がある。特に検索履歴をユーザBが所有する携帯情報端末Dに保持している場合、検索履歴情報から顧客IDを特定することが可能である。攻撃者による顧客情報の不正取得を防ぐために顧客情報管理サーバEは、顧客レコードファイルおよび対応する検索対象情報部を作成する毎に乱数を生成し、顧客ID乱数表作成手段126により顧客IDと顧客情報の対応づけを示す乱数表を作成する。
【0035】
次に、顧客情報管理サーバEは、セキュリティガイドラインで定められている顧客情報に割り当てられた価値情報に基づき、価値算出手段132によりM人分の顧客レコード全項目と検索対象情報部の価値を算出し(ステップS105)、さらに検索対象情報部の価値に見合う鍵長を算出することで、暗号化鍵作成手段134により検索対象情報部用暗号鍵を作成する(ステップS106)。
【0036】
例えば顧客情報管理サーバEが、セキュリティサーバFから取得したセキュリティガイドライン情報には1円で購入できる計算量の推定値Gおよび保護対象年数Yが記載されている。検索に利用する検索対象情報部には、M人の顧客の名前と顧客による会社Aの製品購入情報および顧客IDの3種類のみの情報が含まれる。このとき、顧客情報管理サーバEは、検索対象情報部の価値T1を以下の式により算出する(ステップS105)。
【0037】
【数1】
【0038】
上記のValue1は検索対象情報部中の顧客情報1件当たりの価値を表す。検索対象情報部内の顧客情報が流出した場合、顧客に対して金券等を送付して保証を行うことが想定される。このため、金券の価格を鑑み、ここではValue1=500と仮定する。また、検索対象情報部の価値T1を利用して、顧客情報管理サーバEは、検索対象情報部の保護に利用されるRSA暗号鍵の長さK1を以下の式により算出する(ステップS106)。
【0039】
【数2】
【0040】
ただし、上記でlgは2を底とする対数を表す。また、上記の式中でΨ(x,y)は、x以下の正の整数で、その素因数がを超えないものの数を表す。Ψ(x,y)の計算方法は、例えば、Math. Comp., 66, p.1729-1741,1997.や Math. Comp., 73, p.1013-1022, 2004.等に開示されている。顧客情報管理サーバEは暗号化手段136により、暗号鍵K1を用いて検索対象情報部を暗号化する(ステップS107)。
【0041】
次に、顧客情報管理サーバEは、M人分の顧客情報全項目を記載した機密ファイルの価値T2を以下の式より算出する(ステップS108)。
【0042】
【数3】
【0043】
ここで、顧客情報全項目を記載したファイルには顧客の名前、年齢、住所、電話番号、顧客による会社Aの製品購入情報、そして顧客が所有するクレジットカードの番号の各項目が記載されている。Value2は上記ファイル中の顧客情報1件当たりの価値を表す。ファイル中の顧客情報が流出した場合、ファイル内に記載されたクレジットカード番号を不正利用されることが想定される。このため、クレジットカードの利用制限額を鑑み、ここではValue2=1000000と仮定する。機密ファイルの価値T2より、顧客情報管理サーバEは、顧客レコード全項目の保護に利用されるRSA暗号鍵の長さK2を以下の式により算出する(ステップS109)。
【0044】
【数4】
【0045】
顧客情報管理サーバEは、暗号化手段136により、暗号鍵K2を用いて機密ファイルを暗号化する(ステップS110)。さらにK1とK2の共通鍵をRSA暗号の公開鍵を用いて別々に暗号化し、暗号化した検索対象情報部、あるいは機密ファイルにこれを付随させる。顧客情報管理サーバEは、その上で決定された鍵長を持つRSA暗号の秘密鍵および公開鍵を生成し、電子チケット作成手段138によりこの秘密鍵とユーザBが所有する携帯情報端末Dのデバイス固有情報を用いてユーザBへ送付する検索用と閲覧用の電子チケットを生成する(ステップS111)。顧客情報管理サーバEは前記電子チケットと暗号化された共通鍵を付随させた暗号化機密ファイルと暗号化検索対象情報部を送付手段140によりユーザBに送付する(ステップS112)。
【0046】
上記実施例において、例えば仮にユーザBが利用可能な顧客情報の件数をM=10000(人)、保護対象年数をY=10(年)、1円で購入可能な計算量の推定値をG=2.52288×1012(ビット)とする。ここで、Gの値は3.2GHzのPCの販売価格を20万円、PCの耐用年数を5年と仮定して算出する。このような方法は、例えば、Simson Garfinkel, “PGP:Pretty Good Privacy”, O’Reilly, 1994.に開示されている。
【0047】
上記の方法で検索対象情報部を暗号化するための暗号鍵の最適な長さを算出すると790ビットとなり、また顧客レコードファイルのための最適な鍵長は993ビットとなる。このため、検索対象情報部用のRSA暗号鍵の鍵長は、顧客レコードファイルのための鍵長の0.44倍の長さとなる。RSA暗号の復号時間が鍵長の3乗に比例すると仮定すると、上記方式により実質的に検索対象情報部の復号時間は、顧客レコードファイルの復号時間の約0.5倍となり、大幅な高速化が得られる。これにより、従来では困難であった携帯電話等の低速なデバイスを用いての簡便な顧客情報検索および閲覧システムを強固な著作権保護および機密情報保護を伴いつつ実現することが可能となる。
【0048】
上記実施例では、特に機密ファイル保護のためにRSA暗号を利用しているが、ElGamal暗号、あるいは楕円曲線暗号、NTRUなどの他の公開鍵暗号を利用しても同様の効果を得ることが出来る。さらにファイル価値設定時に、顧客情報流出によって引き起こされる信用喪失に伴うブランド価値の低減をb円とし、上記T1、T2にこれを加えたものを検索対象情報部、機密ファイルの価値としても良い。また、最適な鍵長Kを設定するための計算式として、以下の式を利用する。
【0049】
【数5】
【0050】
または、上記の式に補正を加えたものを利用しても良い。上記式において、C(n)はRSA等の素因数分解の困難性に依存する暗号系に対する最良攻撃法である数体ふるい法の計算量である。例えば、最適な鍵長Kを設定するための計算式は、A. K. Lenstra, H. W. Lenstra (eds.), The development of the number field sieve, Lecture Notes in Mathematics, vol. 1554, Springer-Verlag, Berlin and Heidelberg, Germany, 1993.等に開示されている。さらに、顧客情報を安全に管理するためのエアギャップ方式による仮想的に孤立したネットワークを構築し、このネットワーク内における通信経路上では特にファイルの暗号化を施さないが、ネットワーク外部に顧客情報を持ち出す際には上記の顧客情報管理方式を利用するようにシステムを構成した場合でも上記と同様の効果が得られる。
【0051】
図7は、顧客情報を利用する際に実施されるユーザBの手順を示すフローチャートである。図7を参照し、ユーザBによる暗号化機密ファイルの検索および閲覧について説明する。ユーザBは、携帯情報端末Dを用いて顧客情報管理サーバEにアクセスし(ステップS201)、ユーザ資格証明手段100により電子証明書等を用いて顧客情報の利用資格を有することを顧客情報管理サーバEに証明する。同時に、ユーザBが顧客情報を利用しようとしている携帯情報端末Dを特定するためのデバイスIDを顧客情報管理サーバEに送付し、顧客情報管理サーバEは、ユーザ認証手段120により、ユーザBの認証を行う(ステップS202)。その後、ユーザBは顧客情報管理サーバEの送付手段140により送付された暗号化検索対象情報部、暗号化機密ファイルおよび電子チケットを、携帯情報端末Dの受取手段102によりを受け取る(ステップ203)。
【0052】
ユーザBは、暗号化機密ファイルを耐タンパー化機能で保護された携帯情報端末Dのビューアを用いて検索および閲覧するため、受取手段102により受け取った前記電子チケット、暗号化機密ファイルおよび暗号化検索対象情報部をビューアに登録する(ステップS204)。携帯情報端末Dは、電子チケットとデバイス固有情報を用いて、暗号化機密ファイル、あるいは暗号化検索対象情報部に付随している暗号化された共通鍵を復号する。さらに携帯情報端末Dは、復号された共通鍵を用いて検索対象情報部および暗号化機密ファイルを復号する。ただし検索の際、携帯情報端末Dは検索情報部復号手段104により検索対象情報部のみの復号を行い、検索・結果表示手段106により検索作業が終了した後、暗号化機密ファイル復号手段108により機密ファイル本体の復号を行う。
【0053】
携帯情報端末Dが実施するこれらの処理は、ビューアが有する耐タンパー化領域内に全ての機密情報を留めつつ実施される。ユーザBは、共通鍵あるいはデバイス固有情報等を知ることは不可能であるが、電子チケットを一度取得すればその有効期限の間は、たとえ顧客情報管理サーバEにアクセス不可能な社外のモバイル環境においても、携帯情報端末Dに搭載された専用ビューアを用いて、暗号化された検索対象情報部および機密ファイル内の情報を検索および閲覧することが可能である。検索の際、ユーザは携帯情報端末Dに検索キーワードを入力し、携帯情報端末Dのビューアは、電子チケットを用いて復号した検索対象情報部内の検索キーワードに該当する情報をリストアップする(ステップS205)。
【0054】
例えばユーザBが会社Aの製品P1を購入した顧客を検索する場合には、ユーザBは、携帯情報端末Dに検索キーワードとして「P1」を入力して検索作業を指示する(ステップS205)。検索を指示された携帯情報端末Dは、検索キーワード「P1」に該当する顧客名をリストアップし、リストアップした顧客名を表形式でビューアの表示部に表示する。
【0055】
携帯情報端末Dの結果表示手段106によりビューアの表示部に表示された各顧客名に該当する項目には顧客IDが割り当てられており、ユーザBは、携帯情報端末Dを操作し、表中の顧客名に該当する項目を選択して特定の顧客を指定しる(ステップS206)。ユーザBが顧客情報の閲覧要求を行うと(ステップS207)、携帯情報端末Dのビューアはその顧客のIDに対応する顧客情報を表示手段106により表示する。ビューアは、顧客情報の表示のために登録された電子チケットを用いて復号された顧客レコードファイル中の指定顧客IDに対応する顧客レコードを抽出し、表形式で抽出した顧客レコードを表示部に表示する。ユーザBは、ビューアに表示された情報により、検索キーワード「P1」に該当する顧客レコードを閲覧することができる(ステップS208)。
【0056】
上記実施例は例示的なものであり、これによって本発明の範囲が限定的に解釈されるべきものではなく、本発明の構成要件を満足する範囲内で他の方法によっても実現可能であることは言うまでもない。本実施例の顧客情報管理システムは、ユーザが携帯情報端末Dから検索等を行う例を示したが、これに限らず、サーバやパーソナルコンピュータから検索を行うようにしてもよい。さらに、顧客情報管理システムにおいて、顧客管理情報サーバEによって暗号化コンテンツのすべての検索を行うようにしてもよい。
【産業上の利用可能性】
【0057】
本発明に係る暗号化コンテンツ検索方式は、機密保持が必要なコンテンツに対する検索処理の分野で利用することができる。
【図面の簡単な説明】
【0058】
【図1】従来の暗号コンテンツ検索方式の概要を説明する図である。
【図2】本発明による暗号化コンテンツ検索方式を示す図である。
【図3】顧客情報管理システムの構成例を示す図である。
【図4】本発明の実施例に係る暗号化コンテンツ検索機能を有する顧客情報管理サーバの構成例を示す図である。
【図5】暗号化コンテンツ検索システムを機能的に表したブロック図である。
【図6】顧客情報管理サーバの動作を示すフローチャートである。
【図7】ユーザが実施すべき手順を示すフローチャートである。
【符号の説明】
【0059】
10:コンテンツ 12:検索対象情報部
14:機密情報部 16:暗号化検索対象情報部
18:暗号化機密情報部 20:検索対象情報部
22:機密情報部 50:暗号化コンテンツ検索装置
52:入力装置 54:表示装置
56:主記記憶装置 58:記憶装置
60:CPU 62:バス
【特許請求の範囲】
【請求項1】
暗号化されたコンテンツを検索する暗号化コンテンツ検索装置であって、
機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成する作成手段と、
検索対象情報部の価値を算出する第1の算出手段と、
算出された価値に基づき暗号化に利用する暗号鍵を作成する第1の暗号鍵作成手段と、
作成された暗号鍵を用いて検索対象情報部を暗号化する第1の暗号化手段と、
コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行する検索手段と、
検索手段により検索された検索対象部に対応する暗号化コンテンツを出力する出力手段と、
を有する暗号化コンテンツ検索装置。
【請求項2】
暗号化コンテンツ検索装置はさらに、
コンテンツの価値を算出する第2の算出手段と、
算出された価値に基づき暗号化に利用する暗号鍵を作成する第2の暗号鍵作成手段と、
作成された暗号鍵を用いてコンテンツを暗号化する第2の暗号化手段とを有し、第2の暗号化手段により前記暗号化コンテンツが生成される、請求項1に記載の暗号化コンテンツ検索装置。
【請求項3】
第1の算出手段は、検索対象情報部に含まれる情報の対価を予め設定し、当該対価に基づき検索対象情報部の価値を算出する、請求項1に記載の暗号化コンテンツ検索装置。
【請求項4】
第2の算出手段は、コンテンツに含まれる情報の対価を予め設定し、当該対価に基づきコンテンツの価値を算出する、請求項2に記載の暗号化コンテンツ検索装置。
【請求項5】
第1の算出手段は、検索対象情報部に含まれるレコードファイル数に基づき価値を算出する、請求項1に記載の暗号化コンテンツ検索装置。
【請求項6】
第1の算出手段は、前記コンテンツの保護期間、配布経路情報、コンテンツを利用する情報端末のデバイス情報、コンテンツを利用する利用者のプロファイル情報の少なくとも1つを用いて検索対象情報部の価値を算出する、請求項1に記載の暗号化コンテンツ検索装置。
【請求項7】
第1の暗号鍵作成手段は、検索対象情報部の価値に応じて暗号鍵の長さを可変する、請求項1に記載の暗号化コンテンツ検索装置。
【請求項8】
検索対象情報部が顧客レコードファイルと顧客ID(識別情報)とを含むとき、顧客IDに乱数を用いる、請求項1に記載の暗号化コンテンツ検索装置。
【請求項9】
暗号化コンテンツ検索装置はさらに、検索要求があったとき、当該検索要求を認証するための電子チケットを作成し、電子チケットを送付する手段を含む、請求項1に記載の暗号化コンテンツ検索装置。
【請求項10】
暗号化されたコンテンツを検索する暗号化コンテンツ検索システムであって、
機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成する作成手段と、
検索対象情報部の価値を算出する算出手段と、
算出された価値に基づき暗号化に利用する暗号鍵を作成する暗号鍵作成手段と、
作成された暗号鍵を用いて検索対象情報部を暗号化する暗号化手段と、
コンテンツ検索を行う検索条件を入力する入力手段と、
入力された検索条件に基づき暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行する検索手段と、
検索手段により検索された検索対象情報部に対応する暗号化コンテンツを復号する復号手段と、
を有する暗号化コンテンツ検索システム。
【請求項11】
暗号化コンテンツ検索システムは、前記入力手段を認証する認証手段と、前記認証手段の認証結果に基づき前記コンテンツの利用範囲を決定する決定手段とを有し、前記作成手段は、利用範囲が決定されたコンテンツから検索対象情報を作成する、請求項11に記載の暗号化コンテンツシステム。
【請求項12】
暗号化コンテンツ検索システムは、前記入力手段に対して情報の入手を認可するための電子チケットを発行する手段と、前記電子チケットに基づき前記検索手段により得られた暗号化コンテンツを入手する入手手段とを有する、請求項11に記載の暗号化コンテンツ検索システム。
【請求項13】
前記算出手段は、検索対象情報部に含まれる情報の対価を予め設定し、当該対価に基づき検索対象情報部の価値を算出する、請求項11に記載の暗号化コンテンツ検索システム。
【請求項14】
暗号化されたコンテンツを検索する暗号化コンテンツ検索方法であって、
機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成するステップと、
検索対象情報部の価値を算出するステップと、
算出された価値に基づき暗号化に利用する暗号鍵を作成するステップと、
作成された暗号鍵を用いて検索対象情報部を暗号化するステップと、
コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行するステップと、
検索された検索対象部に対応する暗号化コンテンツを出力するステップと、
を有する暗号化コンテンツ検索方法。
【請求項15】
暗号化コンテンツ検索方法はさらに、出力された暗号化コンテンツを復号するステップと、復号されたコンテンツを表示するステップとを含む、暗号化コンテンツ検索方法。
【請求項16】
暗号化されたコンテンツを検索する暗号化コンテンツ検索プログラムであって、
機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成するステップと、
検索対象情報部の価値を算出するステップと、
算出された価値に基づき暗号化に利用する暗号鍵を作成するステップと、
作成された暗号鍵を用いて検索対象情報部を暗号化するステップと、
コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行するステップと、
検索された検索対象部に対応する暗号化コンテンツを出力するステップと、
を有する暗号化コンテンツ検索プログラム。
【請求項1】
暗号化されたコンテンツを検索する暗号化コンテンツ検索装置であって、
機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成する作成手段と、
検索対象情報部の価値を算出する第1の算出手段と、
算出された価値に基づき暗号化に利用する暗号鍵を作成する第1の暗号鍵作成手段と、
作成された暗号鍵を用いて検索対象情報部を暗号化する第1の暗号化手段と、
コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行する検索手段と、
検索手段により検索された検索対象部に対応する暗号化コンテンツを出力する出力手段と、
を有する暗号化コンテンツ検索装置。
【請求項2】
暗号化コンテンツ検索装置はさらに、
コンテンツの価値を算出する第2の算出手段と、
算出された価値に基づき暗号化に利用する暗号鍵を作成する第2の暗号鍵作成手段と、
作成された暗号鍵を用いてコンテンツを暗号化する第2の暗号化手段とを有し、第2の暗号化手段により前記暗号化コンテンツが生成される、請求項1に記載の暗号化コンテンツ検索装置。
【請求項3】
第1の算出手段は、検索対象情報部に含まれる情報の対価を予め設定し、当該対価に基づき検索対象情報部の価値を算出する、請求項1に記載の暗号化コンテンツ検索装置。
【請求項4】
第2の算出手段は、コンテンツに含まれる情報の対価を予め設定し、当該対価に基づきコンテンツの価値を算出する、請求項2に記載の暗号化コンテンツ検索装置。
【請求項5】
第1の算出手段は、検索対象情報部に含まれるレコードファイル数に基づき価値を算出する、請求項1に記載の暗号化コンテンツ検索装置。
【請求項6】
第1の算出手段は、前記コンテンツの保護期間、配布経路情報、コンテンツを利用する情報端末のデバイス情報、コンテンツを利用する利用者のプロファイル情報の少なくとも1つを用いて検索対象情報部の価値を算出する、請求項1に記載の暗号化コンテンツ検索装置。
【請求項7】
第1の暗号鍵作成手段は、検索対象情報部の価値に応じて暗号鍵の長さを可変する、請求項1に記載の暗号化コンテンツ検索装置。
【請求項8】
検索対象情報部が顧客レコードファイルと顧客ID(識別情報)とを含むとき、顧客IDに乱数を用いる、請求項1に記載の暗号化コンテンツ検索装置。
【請求項9】
暗号化コンテンツ検索装置はさらに、検索要求があったとき、当該検索要求を認証するための電子チケットを作成し、電子チケットを送付する手段を含む、請求項1に記載の暗号化コンテンツ検索装置。
【請求項10】
暗号化されたコンテンツを検索する暗号化コンテンツ検索システムであって、
機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成する作成手段と、
検索対象情報部の価値を算出する算出手段と、
算出された価値に基づき暗号化に利用する暗号鍵を作成する暗号鍵作成手段と、
作成された暗号鍵を用いて検索対象情報部を暗号化する暗号化手段と、
コンテンツ検索を行う検索条件を入力する入力手段と、
入力された検索条件に基づき暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行する検索手段と、
検索手段により検索された検索対象情報部に対応する暗号化コンテンツを復号する復号手段と、
を有する暗号化コンテンツ検索システム。
【請求項11】
暗号化コンテンツ検索システムは、前記入力手段を認証する認証手段と、前記認証手段の認証結果に基づき前記コンテンツの利用範囲を決定する決定手段とを有し、前記作成手段は、利用範囲が決定されたコンテンツから検索対象情報を作成する、請求項11に記載の暗号化コンテンツシステム。
【請求項12】
暗号化コンテンツ検索システムは、前記入力手段に対して情報の入手を認可するための電子チケットを発行する手段と、前記電子チケットに基づき前記検索手段により得られた暗号化コンテンツを入手する入手手段とを有する、請求項11に記載の暗号化コンテンツ検索システム。
【請求項13】
前記算出手段は、検索対象情報部に含まれる情報の対価を予め設定し、当該対価に基づき検索対象情報部の価値を算出する、請求項11に記載の暗号化コンテンツ検索システム。
【請求項14】
暗号化されたコンテンツを検索する暗号化コンテンツ検索方法であって、
機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成するステップと、
検索対象情報部の価値を算出するステップと、
算出された価値に基づき暗号化に利用する暗号鍵を作成するステップと、
作成された暗号鍵を用いて検索対象情報部を暗号化するステップと、
コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行するステップと、
検索された検索対象部に対応する暗号化コンテンツを出力するステップと、
を有する暗号化コンテンツ検索方法。
【請求項15】
暗号化コンテンツ検索方法はさらに、出力された暗号化コンテンツを復号するステップと、復号されたコンテンツを表示するステップとを含む、暗号化コンテンツ検索方法。
【請求項16】
暗号化されたコンテンツを検索する暗号化コンテンツ検索プログラムであって、
機密情報を有するコンテンツに基づき検索対象となり得る検索対象情報部を作成するステップと、
検索対象情報部の価値を算出するステップと、
算出された価値に基づき暗号化に利用する暗号鍵を作成するステップと、
作成された暗号鍵を用いて検索対象情報部を暗号化するステップと、
コンテンツの検索要求があったとき、暗号化された検索対象情報部のみを復号し、復号された検索対象情報部に対して検索を実行するステップと、
検索された検索対象部に対応する暗号化コンテンツを出力するステップと、
を有する暗号化コンテンツ検索プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2008−11092(P2008−11092A)
【公開日】平成20年1月17日(2008.1.17)
【国際特許分類】
【出願番号】特願2006−178537(P2006−178537)
【出願日】平成18年6月28日(2006.6.28)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成20年1月17日(2008.1.17)
【国際特許分類】
【出願日】平成18年6月28日(2006.6.28)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]