暗号管理装置、復号管理装置、およびプログラム
【課題】 暗号処理の実行の際に必要な鍵情報、パラメータ情報等を集中的に管理し、ユーザがこれらの情報を意識せずに容易に暗号処理を実行できる暗号管理装置を提供する。
【解決手段】 暗号処理する対象となる被暗号情報とカテゴリ情報の入力を受け付ける暗号処理情報入力部と、暗号処理するモジュールの選定をカテゴリ情報を入力として行い、選定結果を出力する暗号モジュール選定部と、暗号処理情報入力部から入力される被暗号情報について、暗号モジュール選定部によって選定された暗号モジュールに従って暗号処理を施して暗号処理結果を生成する暗号処理部と、暗号処理部が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報を特定する暗号処理IDを生成する暗号処理ID生成部と、暗号処理ID生成部が生成した暗号処理IDと暗号処理部によって生成される暗号処理結果とを出力する出力部とを有する。
【解決手段】 暗号処理する対象となる被暗号情報とカテゴリ情報の入力を受け付ける暗号処理情報入力部と、暗号処理するモジュールの選定をカテゴリ情報を入力として行い、選定結果を出力する暗号モジュール選定部と、暗号処理情報入力部から入力される被暗号情報について、暗号モジュール選定部によって選定された暗号モジュールに従って暗号処理を施して暗号処理結果を生成する暗号処理部と、暗号処理部が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報を特定する暗号処理IDを生成する暗号処理ID生成部と、暗号処理ID生成部が生成した暗号処理IDと暗号処理部によって生成される暗号処理結果とを出力する出力部とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化および復号する際に必要となる各種条件を簡単に特定して暗号化、復号を行うことができる暗号管理装置、復号管理装置、およびプログラムに関する。
【背景技術】
【0002】
従来から、秘匿性のある情報を取り扱う場合には、情報の暗号化が実行されている。この種の暗号化は、例えば、暗号化に用いるパラメータや暗号アルゴリズム、鍵等を指定することにより、実行可能となっている。また、暗号化された情報を復号するには、復号する条件が必要となる。すなわち、暗号化や復号に関し、暗号化に用いるパラメータや暗号アルゴリズム、鍵等を示す条件情報が必要となる(例えば、非特許文献1を参照)。
【非特許文献1】Java暗号化アーキテクチャーリファレンスガイド(Java Platform Standard Edition 6)、[online]〈http://java.sun.com/javase/ja/6/docs/ja/technotes/guides/security/crypto/CryptoSpec.html〉
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、暗号処理の実行にはアルゴリズムの指定、鍵の指定、パラメータの指定など多くの条件情報が必要であり、暗号に関する知識の無いユーザには条件情報を適切に把握して選択することや、条件情報を適切に管理することが困難である。
【0004】
同様に、復号処理の実行には多くの条件情報が必要であり、復号に関する知識の無いユーザには、条件情報を把握することが困難である場合がある。
【0005】
また、以前行った暗号処理と同じ条件で暗号化を行う場合には、アルゴリズムの指定、鍵の指定、パラメータの指定など多くの条件情報を、以前と全く同じ内容で入力しなければならない。しかしながら、暗号に関する知識の無いユーザには、それらの条件情報を適切に管理・把握することが困難である。
【0006】
本発明は上記実情を考慮してなされたもので、暗号処理に必要な条件情報を集中的に管理し、ユーザが条件情報を意識せずに容易に暗号処理を実行できるようにする暗号管理装置及びプログラムを提供することを目的とする。
【0007】
また、本発明の他の目的は、復号処理に必要な条件情報を集中的に管理し、ユーザが条件情報を意識せずに容易に復号処理を実行できるようにする復号管理装置及びプログラムを提供することにある。
【課題を解決するための手段】
【0008】
本発明の第1の局面は、被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶する記憶部と、前記被暗号情報と暗号鍵の検索要求情報の入力とを受け付ける暗号処理情報入力部と、前記入力された暗号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する暗号鍵を含む暗号鍵情報を取得する暗号鍵情報取得部と、前記暗号鍵情報取得部により取得した暗号鍵情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する暗号評価記述情報取得部と、前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成部と、前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力部と、有する暗号管理装置である。
【0009】
本発明の第2の局面は、被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶する記憶部と、前記被暗号情報と暗号鍵の生成要求情報の入力とを受け付ける暗号処理情報入力部と、前記入力された暗号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する暗号鍵を生成するための暗号システムパラメータ情報を取得する暗号パラメータ情報取得部と、前記取得した暗号システムパラメータ情報に基づいて生成された暗号鍵と当該暗号システムパラメータ情報とを関連付けて暗号鍵生成条件情報を生成し、この生成した暗号鍵生成条件情報を識別するための識別子を付与する暗号鍵生成ID生成部と、前記生成された暗号鍵生成条件情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する第1の暗号評価記述情報取得部と、前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成部と、前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力部と、有する暗号管理装置である。
【0010】
本発明の第3の局面は、暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶する記憶部と、前記暗号化情報と復号鍵の検索要求情報の入力とを受け付ける復号処理情報入力部と、前記入力された復号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する復号鍵を含む復号鍵情報を取得する復号鍵情報取得部と、前記復号鍵情報取得部により取得した復号鍵情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する復号評価記述情報取得部と、前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成部と、前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力部と、を有する復号管理装置である。
【0011】
本発明の第4の局面は、暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶する記憶部と、前記暗号化情報と復号鍵の生成要求情報の入力とを受け付ける復号処理情報入力部と、前記入力された復号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する復号鍵を生成するための復号システムパラメータ情報を取得する復号パラメータ情報取得部と、前記取得した復号システムパラメータ情報に基づいて生成された復号鍵と当該復号システムパラメータ情報とを関連付けて復号鍵生成条件情報を生成し、この生成した復号鍵生成条件情報を識別するための識別子を付与する復号鍵生成ID生成部と、前記生成された復号鍵生成条件情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する第1の復号評価記述情報取得部と、前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成部と、前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力部と、を有する復号管理装置である。
【0012】
本発明の第5の局面は、被暗号情報に対して暗号処理を実行する際の暗号鍵情報と、暗号処理を実行した際の暗号処理条件情報とを記憶する記憶部を有した暗号管理装置であって、前記被暗号情報と以前実行した暗号処理の暗号処理条件情報を識別するための暗号処理IDを入力として受け付ける暗号処理要求受付手段と、前記暗号処理IDに紐づいた以前実行した暗号処理時と同様の暗号鍵情報や暗号システムパラメータ情報を取得する暗号コンテキスト情報取得手段と、前記暗号コンテキスト情報取得手段で取得した暗号鍵情報や暗号システムパラメータ情報に基づいて、前記被暗号情報に暗号処理を実行する暗号処理手段と、前記暗号処理結果に対する暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成手段と、前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力手段と、を備えた暗号管理装置である。
【発明の効果】
【0013】
以上説明したように本発明によれば、暗号処理に必要な条件情報を集中的に管理し、ユーザが条件情報を意識せずに容易に暗号処理を実行できる。また、復号処理に必要な条件情報を集中的に管理し、ユーザが条件情報を意識せずに容易に復号処理を実行できる。
【発明を実施するための最良の形態】
【0014】
以下、本発明の一実施形態による暗号モジュール配信システムについて図面を参照して説明する。
【0015】
まず、本システムの概要について説明する。本システムにおいては、サーバとクライアント装置とが接続され、サーバとクライアント装置間において暗号モジュールを用いて暗号化された情報を送受信することが可能なシステムである。ここで、暗号モジュールを定期的に切り替えることも可能である。このような、暗号モジュールを切り替え可能な暗号システムとしては、暗号の手法ごとに暗号方式に依存しないインターフェースを規定し、各暗号ベンダが実装可能なフレームワークがいくつか存在する。例えば、Microsoft(登録商標)のCryptAPIやSun(登録商標)のJCA(Java(登録商標) Cryptographic Architecture)/JCE(Java(登録商標) Cryptographic Extensions)やOpen Group(登録商標)のCDSA(Common Data Security Architecture)などがある。
【0016】
これらのフレームワークでは、暗号化/復号、署名生成/検証、認証子生成/検証などの暗号の手法ごとに暗号モジュールにアクセスするインターフェースを規定し、インターフェースに従って、例えば、DES(Data Encryption Standard)、AES(Advanced Encryption Standard)などの暗号方式を実装することが可能になっている。そして、暗号やセキュリティの専門家がシステム構築時に、これらの実装された暗号の中から適切な暗号方式をあらかじめ選択し、いずれの暗号方式を利用するかを示す暗号方式に関するパラメータをフレームワークに入力して、暗号方式を切り替えることが可能である。
【0017】
このようなフレームワークを利用する場合、アプリケーションシステムの運用上のセキュリティポリシが変更された場合、従来であれば暗号やセキュリティの専門家が、再度システムに適した暗号方式を選定する必要があり、暗号やセキュリティの専門家の人材リソースの問題やコストの問題に直面する。また、既存の暗号方式の不備が発見されたり、新しい暗号が発表されたりした際に、運用中のシステムに対して、暗号方式の変更をスムーズに適用するのが難しい。さらには、セキュリティを実施する環境に応じて、必要なセキュリティ強度や処理速度などが違う場合に、最適なセキュリティを実現することも、従来システムでは難しい問題である。
【0018】
本システムにおいては、暗号方式の切り替えが可能な暗号システムでは、この問題についても解決することが可能である。
【0019】
<第1の実施形態>
図1は、本発明の第1の実施形態による暗号モジュール配信システムの構成を示す概略ブロック図である。
【0020】
本暗号システムは、暗号モジュール308と暗号評価記述ファイル309とを含む暗号パッケージ307を送信する暗号管理サーバ装置350と、受信した暗号パッケージ307を用いて暗号処理を行う暗号クライアント装置150とから構成される。暗号評価記述ファイル309に記述される暗号の評価とは、対応する暗号モジュール308の暗号方式の信頼度や強度等が数値化された情報であり、例えば、実装している暗号方式の安全性や暗号の処理速度、暗号に利用可能な鍵長などである。
【0021】
暗号管理サーバ装置350は、暗号モジュール308を蓄積した暗号モジュールDB353と、暗号評価記述ファイル309を蓄積した暗号評価DB354と、暗号モジュールDB353と暗号評価DB354との管理を行う暗号管理部351と、暗号モジュールDB353と暗号評価DB354とに新規の情報を登録する暗号登録部355と、暗号クライアント装置150の要求に応じて最適な暗号パッケージ307を暗号モジュールDB353と暗号評価DB354とから読み出して送信する暗号配信部352とを備える。
【0022】
暗号クライアント装置150は、暗号制御マネージャ部152を介して暗号実装部153が提供する暗号機能を呼び出して利用するアプリケーションやミドルウェアである上位システム部151と、暗号管理サーバ装置350から送信された暗号パッケージ307の受信や暗号実装部153から提供される暗号機能の切り替えを行う暗号制御マネージャ部152と、主要な暗号方式による暗号処理をハードウェアとして実現した耐タンパーな暗号ハードウェア部450と、暗号方式を実装した暗号モジュール308が実行可能・利用可能な状態にされて暗号機能を提供する暗号実装部153とから構成される。暗号管理サーバ装置350は、暗号クライアント装置150からの要求に基づき、適切な暗号パッケージ307を暗号クライアント装置150に送信する。
【0023】
図2は、暗号クライアント装置150の詳細な構成図である。暗号制御マネージャ部152は、暗号処理情報DB157を持つ暗号処理制御部156と、暗号モジュールDB164と、暗号評価DB163と、暗号モジュール選定ポリシ158とハードウェアプロファイル160とを持つ暗号モジュール選定部159と、鍵情報DB165と、その鍵情報DB165へのアクセス制御ポリシが記述されたアクセス制御ポリシ161を持つ鍵情報管理部162と、暗号制御マネージャポリシ167を持つ暗号管理部166と、暗号ハードウェア部450と通信を行う暗号ハードウェア管理制御部170と、外部との通信を行う通信機能155と、通信機能155と連携するアルゴリズムネゴシエーション部168と、通信機能155と連携するセキュア通信管理部169とから構成される。
【0024】
暗号処理制御部156は、上位システム部151からの暗号処理呼び出しに基づき、鍵生成処理、鍵登録処理、暗号処理を行う。
【0025】
鍵生成処理の場合、暗号処理制御部156は、上位システム部151から指定された暗号方式、鍵長、暗号方式パラメータを暗号処理情報DB157に登録した際の暗号処理の識別子により、指定された暗号方式に対する暗号モジュール308を暗号モジュール選定部159により選定する。
【0026】
暗号処理制御部156が、選定された暗号モジュール308をメモリ上にロードし暗号実装部153として実行状態にさせる。暗号処理制御部156が、指定された暗号処理の識別子に対応する鍵生成のための暗号方式パラメータを鍵情報管理部162経由で鍵情報DB165から引き出す。暗号処理制御部156が、指定された鍵長と引き出した暗号方式パラメータで暗号実装部153を呼び出すと、暗号実装部153は鍵情報を生成する。暗号処理制御部156は、生成された鍵情報を受け取る。暗号処理制御部156は、暗号実装部153が生成した鍵情報を鍵情報管理部162経由で鍵情報DB165に登録してその鍵情報に対応する鍵識別子を受け取り、処理結果として新しく発行した暗号処理の識別子と鍵識別子の関連付けを暗号処理情報DB157に保存し、暗号処理の識別子を上位システム部151に返す。
【0027】
鍵登録の場合、暗号処理制御部156は、上位システム部151から指定された鍵情報を、鍵情報管理部162を経由して鍵情報DB165に登録して鍵識別子を受け取り、処理結果として新しく発行した暗号処理の識別子と鍵識別子の関連付けを暗号処理情報DB157に保存し、暗号処理の識別子を上位システム部151に返す。
【0028】
暗号処理の場合、上位システム部151から指定された暗号に関する条件情報と暗号処理対象データ(平文)と鍵生成または鍵登録を行った際に受け取った暗号処理の識別子とを受け取り、暗号に関する条件情報を参照して適切な暗号モジュール308を暗号モジュール選定部159により選定し、選定された暗号モジュール308をメモリ上にロードして暗号実装部153として実行させ、指定された暗号処理の識別子に対応する鍵情報を鍵情報管理部162経由で鍵情報DB165から引き出し、指定された暗号処理対象データと引き出した鍵情報とを、呼び出した暗号実装部153に入力し、対応して処理された暗号データを受け取り、処理結果として新しく発行した暗号処理の識別子と鍵識別子の関連付けを暗号処理情報DB157に保存し、暗号処理の識別子を返す。暗号処理の際に利用した鍵情報などを暗号処理の識別子に結びつけることにより、暗号処理の再実行や復号を簡単に実施することができるようにする。
【0029】
暗号モジュールDB164は、暗号管理サーバ装置350から受信した暗号モジュール308を格納する記憶部である。
【0030】
暗号評価DB354は、暗号管理サーバ装置350から受信した暗号評価記述ファイル309を格納する記憶部である。
【0031】
暗号モジュール選定部159は、暗号化や署名生成などの暗号のカテゴリ、暗号モジュール308を作成したメーカ、暗号モジュール308が動作するハードウェアの情報、および、暗号の評価情報などの暗号に関する条件情報を、上位システム部151からの入力を元に、暗号モジュールDB164が記憶している暗号モジュール308の中から一番適切な暗号モジュール308を選定する。暗号モジュール308の選定にあたっては、暗号クライアント装置150のハードウェア情報を記述したハードウェアプロファイル160に適合するものの中から選び、かつ、暗号クライアント装置150を利用する利用者のポリシを記述した暗号モジュール選定ポリシ158にも従うようにする。
【0032】
ハードウェアプロファイル160とは、例えば、暗号クライアント装置150のCPUアーキテクチャ、CPUクロック、搭載メモリ量などの情報を含む情報である。暗号モジュール選定ポリシ158とは、例えば、入力条件により選定された暗号が複数ある場合に利用者が優先したい条件、利用者が優先的に利用したい暗号のメーカ、利用者が利用禁止にしたい暗号方式などを含む情報である。
【0033】
このように、暗号モジュール選定部159は、上位システム部151からの入力情報と、ハードウェアプロファイル160と、暗号モジュール選定ポリシ158とを参照して、入力情報に一致する暗号モジュール308を選定する。暗号モジュール選定部159が暗号モジュール308を一意に選定した場合には、選定した暗号モジュール308を暗号モジュールDB164から取り出す。暗号モジュール選定部159は、暗号モジュール308が一意に選定できなかった場合は、エラーを出力する。
【0034】
鍵情報管理部162は、暗号実装部153を呼び出す際に指定される鍵情報や暗号方式パラメータなどの情報を鍵情報DB165へデータを記憶させ、または読み出す。鍵情報管理部162は、指定される鍵情報や暗号方式パラメータの情報がひとつではない場合、複数の情報をひとつにまとめて引き出せるように関連付けを行って、鍵情報DB165に登録する。また、鍵情報管理部162は、鍵情報DB165から鍵情報や暗号方式パラメータを引き出す際には、暗号モジュール選定ポリシ158に従い、複数ある上位システム部151からの鍵情報へのアクセス制御を行う。
【0035】
鍵情報管理部162は、上位システム部151から指定されたクレデンシャル(アクセスのための鍵やパスワードなど)とアクセスしたい鍵識別子と鍵識別子に関連付けられた暗号処理の識別子とにより、そのクレデンシャルの正当性を検証する。鍵情報管理部162は、クレデンシャルの持ち主に対してアクセス可能な鍵情報DB165の鍵情報の規定を記述したアクセス制御ポリシ161に基づき、アクセス可否を判定し、アクセス可ならば、暗号処理の識別子に対応する鍵識別子を鍵情報DB165から引き出し、鍵識別子に対応する鍵情報や暗号方式パラメータを引き出し、上位システム部151にこれを返す。一方、アクセス不可ならば、上位システム部151にエラーを返す。
【0036】
暗号管理部166では、通信機能155を介して暗号管理サーバ装置350と通信を行い、暗号の初期登録・配信・更新の手順に従って、暗号パッケージ307等の受信を行う。暗号管理部166が暗号管理サーバ装置350から暗号パッケージ307等を受信する際には、暗号制御マネージャポリシ167の内容に従って処理する。暗号制御マネージャポリシ167の内容は、例えば、以下の5つである。1つめは、暗号管理サーバ装置350との通信におけるサーバ認証の実施可否である。2つめは、暗号管理サーバ装置350からの暗号パッケージ307等の受信時の暗号化可否である。3つめは、暗号管理サーバ装置350からの暗号パッケージ307等の受信時の改ざん検出子(MAC(Message Authentication Code))付加可否である。4つめは、受信した暗号パッケージ307等の認証子の検証実施可否である。5つめは、暗号評価DB163と暗号モジュールDB164とに記憶された暗号パッケージ307を定期的に更新可否や更新頻度などを示す定期更新に関する設定情報、などとする。
【0037】
暗号ハードウェア管理制御部170は、暗号ハードウェア部450と通信を行い、暗号管理サーバ装置350から、暗号の初期登録の手順に従って暗号パッケージ307の受信を行う。暗号パッケージ307の受信の際には、暗号パッケージ307自身が暗号化されている場合、暗号ハードウェア部450にて暗号パッケージ307を復号する。また、暗号モジュール308に改ざん検出子が付加されていることを検出すると、暗号ハードウェア部450が暗号モジュール308の改ざん検出を行う。
【0038】
アルゴリズムネゴシエーション部168は、通信機能155と連携し、2つの暗号クライアント装置間で安全な通信セッションを構築する事前に、通信セッションの構築で利用する暗号方式、通信セッションで利用する暗号方式の調停を行う。
【0039】
セキュア通信管理部169は、通信機能155と連携し、他の暗号クライアント装置150との間で安全な通信セッションを構築する。セキュア通信管理部169は、安全なセッションを構築する際には、アルゴリズムネゴシエーション部168により、通信セッション構築で利用するための暗号方式と通信セッションで利用するための暗号方式を決定した後に、セッション鍵共有を行う。
【0040】
図3は、暗号管理サーバ装置350の詳細な構成図である。暗号管理サーバ装置350は、暗号モジュールDB353と、暗号評価DB354と、暗号モジュールDB353と暗号評価DB354とに記憶された情報の読み出しや更新等の処理を行う暗号管理部351と、暗号モジュールDB353と暗号評価DB354とに情報の登録を行う暗号登録部355と、暗号クライアント装置150へ暗号の送信を行う暗号配信部352とから構成される。
【0041】
暗号モジュールDB353は、予め記憶するかユーザによって入力される暗号モジュール308を記憶するデータベースである。
【0042】
暗号評価DB354は、予め記憶するかユーザに入力される暗号評価記述ファイル309を記憶するデータベースである。
【0043】
暗号管理部351は、暗号管理サーバ装置350のユーザに対して、暗号モジュールDB353と暗号評価DB354に格納された暗号モジュール308や暗号パッケージ307の検索、暗号評価部の内容表示、管理している暗号のリスト表示、既存の暗号の更新、既存の暗号の削除、新規の暗号の登録、暗号配信部の起動/終了を行うインターフェースを備える。暗号管理部351は、新規の暗号を登録する場合は、暗号登録部355へ登録依頼を行う。
【0044】
暗号登録部355は、暗号パッケージ登録部357と複合型記述生成部358とを備えている。
【0045】
暗号配信部352は、暗号パッケージ配信制御部359と、配布ポリシ371を持つ暗号パッケージ配布構成部370と、配布ポリシ371を持つ配布暗号モジュール選定部360とを備える。暗号配信部352は、暗号クライアント装置150からの要求を解釈し、待ち受けサービスを実行する。
【0046】
配布暗号モジュール選定部360では、配信に適切な暗号モジュール308を選定する。
【0047】
暗号パッケージ配布構成部370では、配布暗号モジュール選定部360で選定された暗号モジュール308を元に、配布ポリシ371に従って、暗号モジュール308と、暗号モジュール308に対応する暗号評価記述ファイル309とを暗号パッケージ307として配布可能な形にするための構成処理を行う。
【0048】
暗号パッケージ配布構成部370が行う構成処理では、暗号評価DB354に格納された内容を暗号評価記述ファイル309として特定の形式で生成し、暗号パッケージ307に対して暗号管理サーバ装置350が配布認定する目的で認証子を付加し、暗号モジュール308と暗号評価記述ファイル309とをペアにして、暗号パッケージ307としてまとめる。
【0049】
<第2の実施形態>
第1の実施形態では、最適な暗号方式の選定を、暗号クライアント装置が処理する場合について説明したが、第2の実施の形態は、暗号管理サーバ装置が最適な暗号方式の選定を主導で行う。すなわち、図4に示す暗号モジュール配信システムでは、暗号管理サーバ装置1350が選定した暗号方式の結果情報をモジュール選定ポリシ記憶部110が管理および利活用するサーバ強連携機構である。特に、モジュール選定ポリシ記憶部110の計算能力が乏しい場合、暗号管理サーバ装置1350が演算支援することで、暗号クライアント装置1100内の応答パフォーマンスを向上させることができる。
【0050】
具体的には、上位システム部1151からの要求に最適な暗号モジュール308の選定を暗号管理サーバ装置1350が実施し、暗号クライアント装置1100の暗号制御マネージャ部1152はその結果を受け取り、その要求条件と最適な暗号モジュール308との関係を当該装置内の暗号情報記憶部1600で管理する。暗号制御マネージャ部1152は、上位システム部151からの要求とこの要求に最適な暗号モジュール308との関係に基づき、上位システム部151からの暗号処理制御要求に応じた処理を行う。よって、第1の実施形態と異なり、暗号クライアント装置1100は、暗号モジュール308の全選定機能や暗号モジュール308の選定に必要となる暗号パッケージ307の管理および暗号管理サーバ装置1350らの受信を必ずしも必要としない。
【0051】
図4は、本発明の第2の実施形態による暗号モジュール配信システムの概略構成を示すブロック図である。本システムは、1個以上の暗号クライアント装置1100、1個以上の暗号ハードウェア1450及び暗号管理サーバ装置1350を備えている。暗号ハードウェア1450は、第1の実施形態と同様である。ここで、暗号ハードウェア1450は、1個の暗号クライアント装置1100につき、複数接続する形態でもよい。また暗号ハードウェア1450を暗号クライアント装置1100内部に実装する形態でもよい。
【0052】
図5は、暗号クライアント装置1100の構成を示すブロック図である。暗号クライアント装置1100は、上位システム部1151と、暗号制御マネージャ部1152と、暗号実装部1153と、通信機能1155とを備えている。また選定ポリシ1158は、安全性、処理速度、リソースに関する優先情報を設定したファイルである。上位システム部1151および暗号実装部1153は、第1の実施形態と同様の構成・機能である。
【0053】
暗号制御マネージャ部1152は、暗号処理制御部1156と、鍵管理部1162と、暗号情報記憶部1600と、暗号パッケージ管理部1166と、暗号ハードウェア管理制御部1170とを備えている。
【0054】
暗号処理制御部1156は、上位システム部1151から暗号処理条件を含む暗号処理制御要求を受け付ける機能と、暗号情報記憶部1600を参照して暗号処理条件に紐づいた暗号モジュール1153を特定する機能と、暗号処理実行タイミングに従って暗号実装部1153へ暗号処理を要求する機能と、当該暗号処理に対する暗号処理IDを発行して当該暗号処理に関する情報と関連付けて暗号情報記憶部1600に記憶させる機能と、暗号実装部1153からの暗号処理結果および当該暗号処理に関する暗号処理IDとを上位システム部1151へ出力する機能とをもっている。
【0055】
鍵管理部1162は、上位システム部1151からの要求に従い、暗号情報記憶部1600の鍵情報DB1165への鍵情報の登録、削除、取得、検索、更新処理を行う機能と、暗号鍵の登録が正常に実施された場合に鍵IDを発行して当該登録処理に関する情報と関連づけて暗号情報記憶部1600に記憶させる機能と、各処理結果を場合により暗号処理IDや鍵IDを含めて上位システム部1151へ出力する機能をもっている。
【0056】
暗号情報記憶部1600は、選定DB1601と、暗号モジュールリンクDB1602と、暗号モジュールDB1603と、鍵情報DB1165と、暗号処理DB1604とを記憶する機能を備えている。また、暗号情報記憶部1600は、鍵管理部1162や暗号処理制御部1156および暗号パッケージ管理部1166からの要求に従い、暗号情報記憶部1600が備える各DBを制御管理する機能をもっていることとしても良い。
【0057】
選定DB1601のデータ構造は、図6に示す通りである。暗号モジュールリンクDB1602のデータ構造は、図7に示す通りである。暗号モジュールDB1603のデータ構造は、図8に示す通りである。鍵情報DB1165のデータ構造は、図9に示す通りである。暗号処理DB1604のデータ構造は、図10に示す通りである。図11に、暗号情報記憶部1600が備える各データベースの論理関係を示す。
【0058】
暗号パッケージ管理部1166は、以下に説明する機能を有している。
【0059】
まず、暗号パッケージ管理部1166は、上位システム部1151から入力された選定条件、選定ポリシ及びハードウェアプロファイルを含む情報を通信機能1155経由で暗号管理サーバ装置1350へ送信して得られる、選定された暗号パッケージ307のアルゴリズムID、 暗号評価記述ID、 暗号モジュールID及び推奨される鍵長情報を暗号情報記憶部1600に登録する機能を持っている。
【0060】
また、暗号パッケージ管理部1166は、上位システム部1151から入力された選定条件を基に選定DBを特定して暗号化アルゴリズムから対応される鍵生成モジュールのアルゴリズムIDを特定する機能を持っている。
【0061】
また、暗号パッケージ管理部1166は、暗号管理サーバ装置1350にて選定された鍵生成モジュールのアルゴリズムID、暗号評価記述ID及び暗号モジュールIDを暗号情報記憶部1600に登録する機能を持っている。
【0062】
また、暗号パッケージ管理部1166は、上位システム部1151から要求された内容と暗号制御マネージャ部1152に保持した最後の更新通知識別子に基づき通信機能1155経由で暗号管理サーバ装置1350と連携して暗号制御マネージャ部1152に保持している暗号パッケージ307の実体と暗号パッケージ307の選定ポリシと暗号パッケージ307の紐付けについて更新処理を実行する機能を持っている。
【0063】
また、暗号パッケージ管理部1166は、上位システム部1151から要求された暗号パッケージ307の実体を暗号情報記憶部1600から削除して当該暗号パッケージ307に紐付けられた暗号情報記憶部1600が備える各データベースの関連付けを解除する機能を持っている。
【0064】
暗号ハードウェア管理制御部1170は、暗号制御マネージャ部1152の各部からの要求に応じて通信機能1155経由で暗号ハードウェアへの通信制御を行う機能をもっている。
【0065】
通信機能1155は、暗号パッケージ管理部1166や暗号ハードウェア管理制御部1170と相手通信装置または暗号ハードウェアとが相互に通信するための機能をもっている。
【0066】
図12は、暗号管理サーバ装置1350の構成を示す機能ブロック図である。暗号管理サーバ装置1350は、サーバ上位システム部1380と、通信機能1356と、暗号管理サーバ制御部1352と、暗号パッケージ記憶部1355と、サーバ暗号制御マネージャ部1390とを備えている。
【0067】
サーバ上位システム部1380は、暗号クライアント装置1100のサーバ上位システム部1380と同様の機能に加え、暗号管理に関するシステム管理者からの制御要求を暗号管理サーバ制御部1352に送信する機能とをもっている。
【0068】
通信機能1356は、暗号管理サーバ制御部1352やサーバ暗号制御マネージャ部1390と相手通信装置、暗号ハードウェアまたは暗号ハードウェアの動作を模擬したシミュレータとが相互に通信するための機能をもっている。
【0069】
暗号管理サーバ制御部1352は、暗号パッケージ管制部1359と、暗号パッケージ管理部1351と、暗号パッケージ配布構成部1370と、配布暗号パッケージ選定部1373とを備えている。
【0070】
暗号パッケージ管制部1359は、サーバ上位システム部1380からの要求により暗号パッケージ307を登録する機能と、サーバ上位システム部1380からの要求により既に登録済みの暗号パッケージを更新する機能と、ベンダからの暗号パッケージ提供時に該当する暗号パッケージの出所の確認を行うためのベンダ認定認証子を検証する機能と、複数の単体型暗号評価記述部または複数の複合型暗号評価記述部を組み合わせて複合型暗号評価記述部を生成する機能と、暗号モジュールDB1355に登録されている暗号パッケージ307を検索および一覧を取得する機能と、サーバ上位システム部1380からの要求により暗号モジュール308及び関連する暗号パッケージ307を暗号モジュールDB1355から削除する機能と、暗号パッケージ記憶部1355に対して行った登録・更新・削除処理に対するログを出力する機能とをもっている。
【0071】
暗号パッケージ管理部1351は、複数の暗号クライアント装置1100からの管制要求を同時に並行して処理する機能と、暗号パッケージ307の初期登録処理、配信処理、更新処理、選定処理、更新通知処理および暗号管理ドメイン移行処理を行う機能と、暗号クライアント装置1100と暗号管理サーバ装置1350との間でセキュリティ保護された通信路を確立するための機能と、当該暗号管理サーバ装置1350が管理するドメイン内に存在する暗号クライアント管理装置の状況を管理する機能と、暗号パッケージ307の初期登録処理、配信処理、更新処理、選定処理、更新通知処理および暗号管理ドメイン移行処理に対するログを生成する機能とをもっている。
【0072】
暗号パッケージ配布構成部1370は、配布暗号パッケージ選定部1373で選ばれた暗号パッケージ307を暗号モジュールDB1355から取得する機能と、暗号モジュールDB1355に格納された各記述項目のデータをXMLといった暗号評価記述形式で構成して出力する機能と、暗号パッケージ官制部1359のセキュリティ通信で使用する鍵に関して指定のセキュリティ方式に応じてサーバ暗号制御マネージャ部1390に処理を依頼して鍵生成を行う機能と、暗号クライアント装置1100のIDや鍵のセキュリティ方式を含む情報を元に鍵に関する情報の管理を行う機能と、暗号管理サーバ装置1350の配布ポリシで定義されたセキュリティレベル及びセキュリティ方式に応じて暗号管理サーバ装置1350から暗号クライアント装置1100に対して送信する情報に対するデータ秘匿やデータ認証のセキュリティ処理を行う機能とをもっている。
【0073】
配布暗号パッケージ選定部1373は、暗号パッケージ初期登録処理における初期登録判定、暗号方式の選択及び暗号パッケージ選択を行う機能と、暗号パッケージ配信処理における配信判定及び暗号パッケージの選択を行う機能と、暗号パッケージ更新処理における配信判定を行う機能と、暗号パッケージ更新処理における更新暗号リスト取得及び暗号パッケージの選択を行う機能と、暗号パッケージ選定処理における選択判定及び暗号パッケージ選択を行う機能と、暗号管理ドメイン移行処理のおける移動判定およびドメイン移動処理情報の生成を行う機能と、選定条件、選定ポリシ及びハードウェアポリシを満たす暗号パッケージを暗号パッケージ記憶部から検索する機能とをもっている。
【0074】
暗号モジュールDB1355は、登録されている暗号モジュール308を記録管理する暗号モジュールDB1353と暗号評価記述ファイル309を記録管理する暗号評価DB1354とを備えている。
【0075】
サーバ暗号制御マネージャ部1390は、暗号クライアント装置1100の暗号制御マネージャ部1152と同様の機能に加え、暗号管理サーバ制御部1352と連携して暗号管理サーバ装置1350内の暗号資産管理制御や他通信装置との暗号認証通信を行う機能をもっている。
【0076】
<第3の実施形態>
次に、上述した暗号モジュール配信システムにおいて、暗号化、復号を行う際に、IDを用いてその処理を簡便にした暗号モジュール配信システムについて説明する。ここでは、上述の暗号モジュール配信システムにおいて、被暗号情報に対して所定の暗号処理を実行した場合の暗号処理条件の情報の識別子情報とその暗号処理後の情報を出力する場合について説明する。また、以下の実施形態において暗号処理とは、暗号化する対象となる情報を暗号化する処理と、暗号化された情報を復号する処理とを含むものとして説明する。
【0077】
以下、暗号管理装置が情報を暗号化する処理について図13を用いて説明する。
【0078】
図13は、第3の実施形態における暗号モジュール配信システムに用いられる暗号処理システムの構成を示す図である。
【0079】
この図において、アプリケーション101は、暗号処理される対象となる被暗号情報(または既に暗号処理された暗号文)をコントローラ108に出力し、被暗号情報が暗号処理された後の情報(または暗号文に対して復号された元の平文)をコントローラ108から得る。
【0080】
ここで、アプリケーション101からコントローラ108に出力される情報としては、カテゴリIDと、暗号鍵生成時に生成された、暗号鍵生成処理の識別子である暗号処理ID(鍵生成)と、被暗号情報(平文)である。ここで、カテゴリIDは、暗号方式の分類を示す情報である。カテゴリとしては、例えば、共通鍵暗号、マスク生成関数、ハッシュ関数等があり、このカテゴリはサブカテゴリにさらに分類されている。このサブカテゴリには、例えば共通鍵暗号については、ブロック暗号、ストリーム暗号に分類され、このブロック暗号がさらに暗号コア、暗号化モード、パディング(拡張モジュール)等に複数に分類される。そして、このサブカテゴリに各種暗号アルゴリズム(DES、AES等)が分類・規定されている。
【0081】
暗号処理ID(鍵生成)は、アプリケーション101からコントローラ108に対して送信される情報である。この暗号処理ID(鍵生成)は、アプリケーション101が暗号管理装置に対し、被暗号情報に暗号処理を行うための暗号鍵の取得要求を依頼するための情報であり、暗号鍵毎にアプリケーション101またはその上位または、後述(第5の)実施形態の暗号管理装置で生成される情報である。
【0082】
暗号モジュール選定部102は、アプリケーション101からコントローラ108を介して受信した暗号処理ID(鍵生成)をもとに鍵選定管理部104から出力される暗号アルゴリズムIDに基づいて、暗号処理を実行する暗号モジュールの選定を行うものである。また、暗号モジュール選定部102は、この暗号アルゴリズムIDを入力として暗号モジュールの評価情報である暗号評価情報をも選定し、この選定結果(暗号評価情報)をコントローラ108に出力するものである。ここでは、コントローラ108から暗号アルゴリズムIDが指定されるだけでなくコントローラ108からカテゴリIDが指定された場合には、このカテゴリIDをも入力として暗号モジュールまたは(および)その暗号モジュールの暗号評価記述の選定をすることも可能である。
【0083】
鍵・パラメータデータベース103は、暗号鍵情報や各暗号アルゴリズムで用いられる暗号システムパラメータおよび暗号鍵生成を行った際に用いられた条件情報(暗号アルゴリズムIDを含む)となる暗号鍵生成条件情報を記憶する。ここでは、鍵・パラメータデータベース103は、暗号鍵情報、暗号システムパラメータ情報、暗号鍵生成条件情報をそれぞれ記憶している。具体的には、図16の鍵パラメータデータとして示している。ここで暗号システムパラメータ情報とは、暗号アルゴリズムを一意に決めるための値(ElGamal暗号でいえば、 y = g^x mod p の g,pの値)である。
【0084】
鍵選定管理部104は、コントローラ108から暗号処理ID(鍵生成)の入力を受け付けると、この受け付けた暗号処理ID(鍵生成)に対応する暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDをコントローラ108に出力する。
【0085】
ここで、鍵選定管理部104は、暗号処理ID(鍵生成)を入力として、鍵・パラメータDBおよび、暗号処理情報DBから鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを選定し、コントローラ108に出力する暗号鍵選定部104aを有する。
【0086】
暗号鍵選定部104aは、コントローラ108から暗号処理ID(鍵生成)を受け取ると、この受け取った暗号処理ID(鍵生成)で、図16に示す暗号処理情報DBの暗号処理IDに関連する参照用暗号アルゴリズムテーブルを検索し、鍵リストIDおよび暗号アルゴリズムIDを取得する。これら取得した鍵リストIDと暗号処理ID(鍵生成)で、参照用鍵情報テーブルを検索し鍵IDを得る(鍵IDは複数取得される場合もある。)。この取得した鍵ID(複数の場合もある)で、鍵パラメータDBを検索し、暗号鍵、暗号システムパラメータ情報を得る。取得した暗号アルゴリズムIDと、暗号鍵、暗号システムパラメータ情報をコントローラ108に出力する。
【0087】
ここでは、暗号処理情報DBの検索を暗号鍵選定部104aがおこなうように記述しているが、暗号処理情報DBの検索を、暗号処理情報管理部に依頼し、この依頼を受けた暗号処理情報管理部が上記態様で暗号処理情報DBから暗号アルゴリズムID、暗号鍵、暗号システムパラメータを取得する形態とすることも可能である。
【0088】
暗号処理情報データベース105は、暗号処理情報管理部106からの指示に従って情報を記憶する。ここで記憶される情報としては、暗号処理情報管理部106によって生成される暗号処理ID(暗号処理)と暗号処理部107が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報とが対応付けされた情報である。暗号処理ID(暗号処理)とは、アプリケーションから送られた被暗号情報に対して暗号処理を実行したときの暗号処理条件情報を識別する識別子である。
【0089】
暗号処理情報管理部106は、暗号処理部107が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報を特定する暗号処理ID(暗号処理)を生成する暗号処理ID生成部106aを有し、この生成した暗号処理ID(暗号処理)に関連付けられた暗号処理条件情報を暗号処理情報DBに記憶し、さらに、その暗号処理条件情報を識別する暗号処理ID(暗号処理)をコントローラ108に出力する。
【0090】
暗号処理部107は、アプリケーション101から入力される被暗号情報について、鍵選定・鍵管理部によって抽出された暗号鍵、暗号システムパラメータ情報、暗号モジュール選定部102によって選定された暗号評価記述に対応する暗号モジュールに従って暗号処理を施して暗号処理結果を生成し、この生成した暗号処理結果をコントローラ108に出力する。
【0091】
コントローラ108は、アプリケーション101、暗号モジュール選定部102、鍵選定管理部104、暗号処理情報管理部106、暗号処理部107と接続される。
【0092】
このコントローラ108は、暗号処理する対象となる被暗号情報とカテゴリ情報の入力をアプリケーション101から受け付ける暗号処理情報入力部108a、暗号処理情報入力部108aから入力される被暗号情報について、暗号処理を施した暗号処理結果を暗号処理部107によって生成させる暗号処理指示部108bと、暗号処理情報管理部106が生成した暗号処理ID(暗号処理)と暗号処理部107によって生成される暗号処理結果とをアプリケーション101に出力する出力部108cとを有する。
【0093】
次に、第3の実施形態における動作について説明する。ここでは、ユーザが暗号処理ID(鍵生成)を所定のメモリ内に利用可能に記憶している場合に暗号化を行う処理について説明する。
【0094】
まず、ユーザによってアプリケーション101に暗号化する対象となる被暗号情報が選択され、カテゴリIDが選択され、暗号化の指示をキーボード等の入力装置から入力されると、アプリケーション101は、所定のメモリ領域に記憶された暗号処理ID(鍵生成)を読み出すとともに、ユーザから入力されるカテゴリID、被暗号情報をコントローラ108に出力する(ステップS1)。なお、以下の図13の説明において、「ステップS1」は「図13の(1)であること」を意味し、「ステップS2」は「図13の(2)であること」を意味するものとし、その他も同様とする。コントローラ108は、アプリケーション101からカテゴリID、暗号処理ID(鍵生成)、被暗号情報のそれぞれの情報が入力されると、暗号処理ID(鍵生成)を鍵選定・鍵管理部104に出力する(ステップS2)。鍵選定・鍵管理部104は、コントローラ108から出力された暗号処理ID(鍵生成)に対応する鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを鍵・パラメータデータベース103および、暗号処理情報データベース105から読み出してコントローラ108に出力する。ここでいう暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDの抽出は上記の通りであり、鍵選定・鍵管理部が直接実行しても良いし、または鍵選定・鍵管理部が暗号処理情報管理部に抽出依頼を行い、暗号処理情報管理部を介して抽出しても構わない。
【0095】
コントローラ108は、鍵選定・鍵管理部104から出力された暗号アルゴリズムIDを暗号モジュール選定部102に出力する。暗号モジュール選定部102は、コントローラ108から出力された暗号アルゴリズムIDに基づいて、暗号の評価を行い、評価結果を暗号評価情報としてコントローラ108に出力する(ステップS3)。
【0096】
コントローラ108は、被暗号情報と、暗号モジュール選定部102から出力された暗号評価情報と、鍵選定鍵管理部104から出力された鍵及びパラメータ情報とを暗号処理部107に出力する(ステップS4)。
【0097】
暗号処理部107は、コントローラ108から暗号評価情報、暗号鍵、暗号システムパラメータ情報、被暗号情報が出力されると、パラメータ情報と鍵情報とを利用し、暗号評価情報を満たす暗号モジュールを実行することによって、被暗号情報を暗号化し、その暗号化した暗号文をコントローラ108に出力する。
【0098】
暗号処理部107から暗号文が出力されると、コントローラ108は、暗号処理条件情報を生成する(ステップS5)。ここで生成される暗号処理条件情報は、暗号処理部107から暗号文を生成する際に用いられた情報や鍵、処理方法等を特定するための情報であり、例えば、暗号化を行った際の暗号評価情報、暗号アルゴリズムID(暗号化)、カテゴリID、パラメータ情報、鍵を特定する際に必要となる暗号処理ID(鍵生成)である。そして、コントローラ108は、この暗号処理条件情報を暗号処理情報管理部106に出力する(ステップS6)。
【0099】
暗号処理情報管理部106は、コントローラ108から暗号処理条件情報が出力されると、暗号処理ID(暗号処理)を生成し、この生成した暗号処理ID(暗号処理)とコントローラ108から出力された暗号処理条件情報とを対応づけて暗号処理情報DB105に記憶するとともに、暗号処理ID(暗号処理)をコントローラ108に出力する。コントローラ108は、この暗号処理ID(暗号処理)と暗号処理部107にて生成された暗号文とをアプリケーション101に出力する(ステップS7)。
【0100】
以上説明した第3の実施形態によれば、被暗号情報を暗号化する処理に必要な条件を特定する暗号処理IDを生成して暗号化した被暗号情報(平文)とともに出力するようにしたので、その暗号文を復号するための条件を簡単に把握することが可能となる。
【0101】
<第4の実施形態>
次に、第4の実施形態について説明する。図14は、第4の実施形態における暗号モジュール配信システムに用いられる暗号処理システムの構成を示す図である。
【0102】
この図において、暗号処理システムの基本的な実施態様は、図13が被暗号情報に対して暗号処理を実行して暗号情報を出力する場合であることに比べ、図14が暗号情報に対して復号処理を実行して被暗号情報を出力する場合であることによる差異があるが、以下、図13の機能と主な相違点について説明する。また、第4の実施形態は、第3の実施形態で所定の暗号処理条件情報で実行された暗号文を同様の条件に沿って元の平文である被暗号情報を復号処理で取得するための実施形態であり、その前提としては第3の実施形態に続くものである。
【0103】
コントローラ208は、アプリケーション201から暗号文が入力され、復号の指示が入力されると、暗号処理システムの各部を動作させ、暗号文を被暗号情報に復号してアプリケーション201に出力する。
【0104】
鍵選定・鍵管理部204は、コントローラ208から暗号処理ID(暗号化)を受けると、図13の鍵選定・鍵管理部と同様に暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを取得する暗号鍵選定部204aを有する。ここで暗号処理ID(暗号化)とは、既に被暗号情報に対して暗号処理が実行されたときの暗号処理条件情報を識別するための識別子である。
【0105】
暗号処理部207は、暗号評価情報、暗号鍵、暗号システムパラメータ情報、暗号文がコントローラ208から出力されると、暗号鍵、暗号システムパラメータ情報を用いて、暗号評価情報を満たす暗号モジュールを実行し、暗号文を復号する機能を有する。
【0106】
次に、上述した構成における第4の実施形態における暗号処理システムの動作について説明する。
【0107】
ここでは、被暗号情報を暗号化した際にコントローラ208から出力された暗号処理ID(暗号化)は、アプリケーション201によって所定のメモリ内から読み出されるものとする。
【0108】
ユーザによって、復号の指示と、暗号処理IDの読み出し指示と復号対象の暗号文を選択する指示が入力されると、アプリケーション201は、暗号処理ID(暗号化)と暗号文とカテゴリIDとをコントローラ208に出力するととともに復号処理を行うように指示する(ステップS11)。なお、以下の図14の説明において、「ステップS11」は「図14の(1)であること」を意味し、「ステップS12」は「図14の(2)であること」を意味するものとし、その他も同様とする。
【0109】
コントローラ208は、暗号処理ID(暗号化)を鍵選定鍵管理部204に出力する(ステップS12)。
【0110】
鍵選定鍵管理部204は、鍵・パラメータデータベース203を参照し、コントローラ208から出力された暗号処理ID(暗号化)に対応する、復号に必要な暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを読み出し、コントローラ208に出力する。
【0111】
コントローラ208は、暗号アルゴリズムIDを暗号モジュール選定部202に出力する(ステップS13)。
【0112】
暗号モジュール選定部202は、コントローラ208から出力される暗号アルゴリズムIDから暗号評価情報を抽出し、コントローラ208に出力する。
【0113】
コントローラ208の暗号処理指示部208bは、暗号モジュール選定部202から出力される暗号評価情報を受けると、この暗号評価情報と、暗号鍵、暗号システムパラメータ情報、暗号文を暗号処理部207に出力する(ステップS14)。
【0114】
暗号処理部207は、コントローラ208から暗号評価情報、暗号鍵、パラメータ情報、暗号文が出力されると、暗号システムパラメータ情報と暗号鍵情報とを利用し、暗号評価情報を満たす暗号モジュールを実行することによって、暗号文を復号し、その復号した暗号文を被暗号情報としてコントローラ208に出力する。
【0115】
コントローラ208は、被暗号情報が暗号処理部207から出力されると、暗号処理条件情報を生成し(ステップS15)、暗号処理情報管理部206に出力する(ステップS16)。この暗号処理条件情報は、復号時における暗号評価情報(復号)と、処理タイプ、復号した際の暗号アルゴリズムID、カテゴリID、復号時における復号システムパラメータ情報、復号対象の暗号文を暗号した際の暗号処理ID(暗号化時)を含む。
【0116】
暗号処理情報管理部206は、コントローラ208から暗号処理条件情報が出力されると、復号処理における暗号処理IDを生成し、この生成した暗号処理IDとコントローラ208から出力された暗号処理条件情報とを対応づけて暗号処理情報DB205に記憶するとともに、暗号処理ID(復号処理)をコントローラ208に出力する。コントローラ208は、この暗号処理IDと暗号処理部207にて生成された被暗号情報とをアプリケーション201に出力部208cによって出力する(ステップS17)。
【0117】
以上説明した第4の実施形態によれば、暗号文を被暗号情報にする処理に必要な条件を特定する暗号処理IDを生成して復号した被暗号情報(平文)とともに出力するようにしたので、その被暗号情報に対して行われた復号処理の条件を簡単に把握することが可能となる。
【0118】
<第5の実施形態>
次に、第5の実施形態について説明する。この第5の実施形態においては、第3の実施形態においてユーザが予め暗号処理ID(鍵生成)を有していない場合であっても、暗号処理システムにて暗号鍵を生成し、その生成された暗号鍵を用いて暗号化、復号を行う場合について説明する。以下では、暗号化の処理について説明するが、復号であっても第4の実施形態の応用形態として同様に考えることができる。
【0119】
図15は、第5の実施形態における暗号モジュール配信システムに用いられる暗号処理システムの構成を示す図である。
【0120】
この図において、アプリケーション301は、暗号処理される対象となる被暗号情報をカテゴリIDとともにコントローラ321に出力し、暗号処理がされた後の情報(暗号文、暗号処理ID(鍵生成)、暗号処理ID(暗号処理))をコントローラ321から得る。
【0121】
暗号モジュール選定部302は、コントローラ321からカテゴリIDが出力されると、このカテゴリIDに対応する暗号評価情報(暗号処理)をコントローラ321に出力する。この暗号評価情報(暗号処理)は、暗号処理を実行するための暗号モジュールに関する評価情報の識別子である。
【0122】
鍵・パラメータデータベース303は、暗号鍵情報や各暗号アルゴリズムで用いられる暗号システムパラメータが記憶される。
【0123】
鍵選定鍵管理部304は、暗号モジュール選定部302の選定結果を入力として暗号システムパラメータを選定し出力する鍵生成パラメータ選定部304aと、後述する暗号処理部で生成された暗号鍵および暗号鍵を生成する際の条件である暗号処理条件情報(鍵生成)を鍵・パラメータデータベース303および、暗号処理情報データベース305に記録し、当該暗号鍵や暗号鍵生成条件情報を特定する暗号処理ID(鍵生成)を生成する暗号鍵生成ID生成部304bを有する。
【0124】
鍵生成パラメータ選定部304aは、コントローラ321から暗号アルゴリズムID(暗号処理)を受け取り、この受け取った暗号アルゴリズムID(暗号処理)から暗号アルゴリズムID(鍵生成)と暗号システムパラメータ情報を生成し、この生成したアルゴリズムID(鍵生成)と暗号システムパラメータをコントローラ321に出力する。
【0125】
暗号鍵生成ID生成部304bは、コントローラ321から暗号処理条件情報(鍵生成)、暗号鍵を受け取り、暗号処理ID(鍵生成)を生成し、この生成した暗号処理ID(鍵生成)と受け取った暗号処理条件情報(鍵生成)、鍵を関連付け鍵パラメータデータベース303および暗号処理情報データベース305に格納する。
【0126】
ここでは、暗号鍵生成ID生成部304bが、暗号処理情報データベース305にデータを格納するよう記述しているが、暗号処理情報データベース305へのデータの格納を、暗号処理情報管理部306に依頼する形態とすることも可能である。
【0127】
暗号処理情報データベース305は、暗号処理情報管理部306からの指示に従って情報を記憶する。ここで記憶される情報としては、暗号処理情報管理部306によって生成される暗号処理ID(鍵生成)または暗号処理ID(暗号処理)と暗号処理部が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報(鍵生成)または暗号処理条件情報(暗号処理)とが対応付けされた情報である。
【0128】
暗号処理情報管理部306は、暗号処理部320が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報を特定する暗号処理ID(暗号処理)を生成する暗号処理ID生成部306aを有する。
【0129】
暗号処理部320は、暗号システムパラメータを入力として、暗号モジュール選定部302によって選定された暗号評価情報(鍵生成)に対応する鍵生成モジュールに従って鍵生成を行い、生成された暗号鍵を出力する暗号鍵生成部320aと、アプリケーション301からコントローラ321に出力された被暗号情報について、暗号モジュール選定部302によって選定された暗号評価情報(暗号処理)に対応する暗号モジュールに従って暗号処理を施して暗号処理結果を生成してコントローラ321に出力する暗号処理部320bを有する。
【0130】
コントローラ321は、暗号鍵を生成する鍵生成モジュール選定および被暗号情報に対して暗号処理を行う暗号処理モジュールの選定をカテゴリIDやアルゴリズムIDに基づく選定結果を入力として前記暗号モジュール選定部302に行わせ、その選定結果を得る暗号モジュール選定指示部321dと、暗号化する対象となる被暗号情報とカテゴリIDとの入力を受け付ける暗号処理情報入力部321aと、被暗号情報を暗号化した結果である、暗号文、鍵生成を行った際に生成された暗号処理ID(鍵生成)、暗号処理を行った際に生成された暗号処理ID(暗号処理)を出力する出力部321cと、暗号処理部に対して、暗号処理または鍵生成を行わせる暗号処理指示部321bを有する。
【0131】
暗号評価情報データベース309は図17に示すように暗号評価情報を記憶している。暗号評価情報には暗号アルゴリズムIDが含まれる。
【0132】
次に、第5の実施形態における暗号処理システムの動作について説明する。
【0133】
ユーザからカテゴリID、被暗号情報が入力装置を介して入力されると、アプリケーション301は、コントローラ321にカテゴリID、被暗号情報を出力する(ステップS21)。なお、以下の図15の説明において、「ステップS21」は「図15の(1)であること」を意味し、「ステップS22」は「図15の(2)であること」を意味するものとし、その他も同様とする。
【0134】
コントローラ321は、カテゴリIDを暗号モジュール選定部302に出力する(ステップS22)。暗号モジュール選定部302は、コントローラ321から出力されたカテゴリIDに対応する暗号評価情報(暗号処理)を生成または取得し、コントローラ321に出力する。コントローラ321は、暗号モジュール選定部302から出力された暗号評価情報(暗号処理)に基づいて暗号評価情報データベース309を参照して、暗号評価情報を満たすアルゴリズムを特定する暗号アルゴリズムID(暗号処理)を取得する(ステップS23)。そして、この取得した暗号アルゴリズムIDを鍵選定鍵管理部304に出力する(ステップS24)。
【0135】
鍵選定鍵管理部304は、コントローラ321から出力されたアルゴリズムID(暗号処理)から、暗号鍵の生成を行うための暗号アルゴリズムを示す暗号アルゴリズムID(鍵生成)、暗号システムパラメータ情報を生成し、コントローラ321に出力する。
【0136】
暗号アルゴリズムID(鍵生成)が出力されると、コントローラ321は、アルゴリズムID(鍵生成)を暗号モジュール選定部302に出力する(ステップS25)。暗号モジュール選定部302は、コントローラ321から出力された暗号アルゴリズムID(鍵生成)から暗号評価情報(鍵生成)を生成し、コントローラ321に出力する。コントローラ321は、この暗号評価情報(鍵生成)を受けると、この暗号処理条件情報(鍵生成)と暗号システムパラメータ情報を暗号処理部320に出力し(ステップS26)、暗号処理部320によって生成される暗号鍵情報を受信する。
【0137】
暗号鍵情報を受信すると、コントローラ321は、暗号処理条件情報(鍵生成)を生成する(ステップS27)。ここで生成される暗号処理条件情報(鍵生成)は、暗号処理を行う際の暗号評価情報(暗号処理)、鍵生成を行う際の暗号評価情報(鍵生成)、処理タイプ、暗号処理を行う際の暗号アルゴリズムID(暗号処理)、暗号処理を行う際のカテゴリID(暗号処理)、暗号システムパラメータ情報、暗号鍵、暗号処理条件情報(鍵生成)を含む。そして、この暗号処理条件情報(鍵生成)を鍵選定鍵管理部304に出力する(ステップS28)。
【0138】
鍵選定鍵管理部304は、この暗号処理条件情報(鍵生成)に対応する暗号処理ID(鍵生成)を生成し、この生成した暗号処理ID(鍵生成)をコントローラ321に出力する。
【0139】
コントローラ321は、暗号処理ID(鍵生成)が鍵選定鍵管理部304から出力されると、暗号評価情報(暗号処理)と、暗号鍵、暗号システムパラメータ情報、被暗号情報を暗号処理部320に出力する(ステップS29)。暗号処理部320は、コントローラ321から出力された暗号システムパラメータ情報と暗号鍵とを利用し、暗号評価情報(暗号処理)を満たす暗号モジュールを選択し、被暗号情報を暗号化し、コントローラ321に出力する。
【0140】
コントローラ321は、暗号文を暗号処理部320から受け取ると、暗号処理条件情報(暗号処理)を生成する(ステップS30)。ここで生成する暗号処理条件情報(暗号処理)は、暗号処理を行う際の暗号評価情報(暗号処理)、処理タイプ、暗号アルゴリズムID(暗号処理)、カテゴリID(暗号処理)、暗号システムパラメータ情報、暗号鍵生成の際の暗号処理ID(鍵生成)を含んだ情報であり、コントローラ208は、この暗号処理条件情報(暗号処理)を暗号処理情報管理部306に出力する(ステップS31)。
【0141】
暗号処理情報管理部306は、コントローラ321から暗号処理条件情報(暗号処理)を受けると、その暗号処理条件情報の識別子である暗号処理ID(暗号処理)を生成し、この生成した暗号処理ID(暗号処理)と暗号処理条件情報(暗号処理)を対応づけて暗号処理情報DB305に記憶し、コントローラ321に暗号処理ID(暗号処理)を出力する。コントローラ321は、暗号処理情報管理部306から暗号処理ID(暗号処理)が出力されると、この暗号処理ID(暗号処理)、暗号処理ID(鍵生成)、暗号文をアプリケーション301に出力する(ステップS32)。
【0142】
この第5の実施形態によれば、ユーザは、暗号処理IDを保持していなくても、被暗号情報を暗号化することが可能である。また、暗号化された被暗号情報(平文)については、暗号処理ID(暗号処理)を指定して暗号文をコントローラ321に出力することによって、復号が可能である。
【0143】
<第6の実施形態>
次に、第6の実施形態について説明する。図18は、この第6の実施形態における暗号モジュール配信システムに用いられる暗号処理システムの構成を示す図である。図13が被暗号情報に対して新規に暗号処理を実行し暗号処理情報を出力する場合を示すことに比べ、図18は以前に実行した暗号処理と同一の条件で再度暗号処理を行い暗号処理情報を出力する場合を示している。これに伴い、第6の実施形態においては、前述した暗号モジュール選定部102が省略され、暗号処理条件情報取得部106bが付加されている。また、アプリケーション101及び暗号処理情報入力部108aは、再度の暗号処理に対応した動作を実行可能となっている。
【0144】
この図18において、アプリケーション101は、暗号処理される対象となる被暗号情報を、暗号処理ID(暗号化)とともにコントローラ108に出力し、暗号処理がされた後の情報(暗号文、暗号処理ID(暗号化・再現))をコントローラ108から得る。
【0145】
鍵・パラメータデータベース103は、暗号鍵情報や各暗号アルゴリズムで用いられる暗号システムパラメータが記憶される。
【0146】
鍵選定・鍵管理部104は、コントローラ108から暗号処理ID(暗号化)を受け取ると、暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを取得する暗号鍵選定部104aを有する。
【0147】
ここで暗号処理ID(暗号化)とは、既に被暗号情報に対して暗号処理が実行されたときの暗号処理条件情報を識別するための識別子である。
【0148】
暗号処理情報データベース105は、暗号処理情報管理部106からの指示に従って暗号処理ID(暗号化・再現)と暗号処理情報とを対応付けて記憶する。暗号処理ID(暗号化・再現)は、以前に実行した暗号処理を同一の条件で再実行した場合の暗号処理の暗号処理条件情報を識別するための識別子である。暗号処理条件情報は、暗号処理部107から暗号文を生成するさいに用いられた情報や鍵、処理方法等を特定するための情報であり、例えば暗号化を行った際の暗号評価情報、暗号アルゴリズムID(暗号化)、パラメータ情報、鍵を特定する際に必要となる暗号処理ID(鍵生成)である。暗号評価情報は、図17に示したように、暗号アルゴリズムID、暗号モジュールID及び安全性の評価結果を含んでいる。
【0149】
暗号処理情報管理部106は、暗号処理部107が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報を特定するID(暗号化・再現)を生成する暗号処理ID生成部106aと、以前に暗号処理を行った際の暗号処理ID(暗号化)で暗号処理情報データベース105を検索しその際の暗号処理条件情報を取り出す暗号処理条件情報取得部106bを有する。
【0150】
暗号処理部107はアプリケーション101からコントローラ108に出力された被暗号情報について、暗号処理情報管理部106から得られた暗号処理条件情報に含まれる暗号評価情報に対応する暗号モジュールに従って暗号処理を施して暗号処理結果を生成してコントローラ108に出力する。
【0151】
コントローラ108は、アプリケーション101、鍵選定・鍵管理部104、暗号処理情報管理部106と接続される。
【0152】
このコントローラ108は、暗号処理する対象となる被暗号情報と、以前に暗号処理を行った際に生成された暗号処理ID(暗号化)をアプリケーション101から受け付ける暗号処理情報入力部108a、暗号処理情報入力部108aから入力される被暗号情報について、暗号処理を施した暗号処理結果を暗号処理部107によって生成させる暗号処理指示部108bと、暗号処理情報管理部106が生成した暗号処理ID(暗号化・再現)と暗号処理部107によって生成される暗号処理結果とをアプリケーション101に出力する出力部108cとを有する。
【0153】
次に、第6の実施形態における動作について説明する。ここでは、ユーザが暗号処理ID(暗号化)を所定のメモリ内に利用可能に記憶している場合に再度暗号化を行う処理について説明する。
【0154】
まず、ユーザによってアプリケーション101に暗号化する対象となる被暗号情報が選択され、暗号化・再現の指示がキーボード等の入力装置から入力されたとする。このとき、アプリケーション101は、所定のメモリ領域に記憶された暗号処理ID(暗号化)を読み出すとともに、入力された被暗号情報をコントローラ108に出力する(ステップS1)。なお、以下の図18の説明において「ステップS41」は「図18の(1)であること」を意味し、「ステップS42」は「図18の(2)であること」を意味するものとし、その他も同様とする。
【0155】
コントローラ108においては、アプリケーション101から暗号処理ID(暗号化)及び被暗号情報が入力されると(ステップS41)、暗号処理情報入力部108aが、暗号処理ID(暗号化)を暗号処理情報管理部106に出力する(ステップS42)。
【0156】
暗号処理情報管理部106においては、暗号処理条件情報取得部106bが、この暗号処理ID(暗号化)に対応する暗号処理条件情報を暗号処理情報DB105から読み出してコントローラ108に出力する。
【0157】
コントローラ108においては、暗号処理情報入力部108aが、アプリケーション101から出力された暗号処理ID(暗号化)を鍵選定・鍵管理部104に出力する(ステップS43)。
【0158】
鍵選定・鍵管理部104においては、暗号鍵選定部104aが、この暗号処理ID(暗号化)に対応する鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを、鍵・パラメータデータベース103および暗号処理情報データベース105から読み出してコントローラ108に出力する。ここでいう暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDの抽出は上記のとおりであり、鍵選定・鍵管理部104が直接実行しても良いし、または鍵選定・鍵管理部104が暗号処理情報管理部106に抽出依頼を行い、暗号処理情報管理部106を介して抽出してもかまわない。
【0159】
コントローラ108においては、暗号処理指示部108bが、暗号処理情報管理部106から出力された暗号処理条件情報のなかから暗号評価情報を取得する(ステップS44)。
【0160】
コントローラ108においては、暗号処理指示部108bが、被暗号情報と、暗号評価情報と、鍵選定・鍵管理部104から出力された鍵、暗号システムパラメータ情報とを暗号処理部107に出力する(ステップS45)。
【0161】
暗号処理部107は、被暗号情報、暗号評価情報、鍵、暗号システムパラメータ情報を受けると、暗号システムパラメータ情報と鍵とに基づき、暗号評価情報を満たす暗号モジュールを実行することによって、被暗号情報を暗号化して得られた暗号文をコントローラ108に出力する。
【0162】
暗号処理部107から暗号文が出力されると、コントローラ108においては、暗号処理指示部108bが、暗号処理条件情報を生成する(ステップS46)。ここで生成される暗号処理条件情報は、暗号処理部107から暗号文を生成するさいに用いられた情報や鍵、処理方法等を特定するための情報であり、例えば暗号化を行った際の暗号評価情報、暗号アルゴリズムID(暗号化)、パラメータ情報、鍵を特定する際に必要となる暗号処理ID(鍵生成)である。そして、コントローラ108においては、暗号処理指示部108bが、この暗号処理条件情報を暗号処理情報管理部106に出力する(ステップS47)。
【0163】
暗号処理情報管理部106においては、暗号処理ID生成部106aが、この暗号処理条件情報を受けると、暗号処理ID(暗号化・再現)を生成し、この生成した暗号処理ID(暗号化・再現)とコントローラ108から受けた暗号処理条件情報とを対応付けて暗号処理情報データベース105に記憶するとともに、暗号処理ID(暗号化・再現)をコントローラ108に出力する。コントローラ108においては、出力部108cが、この暗号処理ID(暗号化・再現)と暗号処理部107にて生成された暗号文とをアプリケーション101に出力する(ステップS48)。
【0164】
以上説明した第6の実施形態によれば、被暗号情報を暗号化する処理に必要な条件を、以前行った際に出力された暗号処理IDから取得する。これにより、以前と同じ条件(同じ鍵、暗号パラメータ)で暗号処理を行いたい場合に、アプリケーション101では暗号処理IDを入力するだけですむ。
【0165】
以上説明した第3から第6の実施形態によれば、暗号処理に必要な暗号鍵、暗号システムパラメータ情報を集中的に管理し、ユーザには鍵・パラメータ情報の実体ではなくこれらを特定可能なIDのみを見せることで、ユーザが管理すべき情報を削減し、容易に暗号処理を実行できる。
【0166】
また、暗号処理を行った際の情報を管理し、その情報にアクセスするIDをユーザに提供することで、以降の処理(復号処理、再現処理)を行う際にはそのIDを指定すれば鍵、パラメータ情報、アルゴリズム等の暗号処理に必要な情報を入力する必要なく暗号処理を実行できる。
【0167】
換言すると、暗号処理を行うために必要となる鍵、パラメータ等の情報をそれらの組み合わせに応じて暗号処理IDを付して管理するようにしたので、ユーザは、暗号処理IDがわかれば、これらの情報をすべて把握する必要がなくなり、暗号化や復号に関する知識の無いユーザでも、暗号処理や復号処理を容易に実行することが可能になる。また、暗号処理IDで管理することで、管理負担を軽減することが可能となる。
【0168】
また、暗号処理を複数(例えば、11種類)のカテゴリに分類し、カテゴリを指定すれば暗号処理システム内部で必要な鍵情報を自動生成しその鍵を使って暗号処理を実行する。これにより、ユーザは暗号処理の際にカテゴリIDのみを指定すればよくなる。
【0169】
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより暗号処理の管理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0170】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0171】
そして、各暗号モジュール選定部102,159,202,302では、暗号化や署名生成などの暗号のカテゴリを認識していることからも分かるように、本発明は暗号化のみならず署名生成にも用いることが出来る。
【0172】
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【図面の簡単な説明】
【0173】
【図1】本発明の第1の実施形態による暗号モジュール配信システムの構成を示すブロック図である。
【図2】同実施形態による暗号クライアント装置の構成を示すブロック図である。
【図3】同実施形態による暗号管理サーバ装置の構成を示すブロック図である。
【図4】本発明の第2の実施形態による暗号モジュール配信システムの構成を示すブロック図である。
【図5】同実施形態による暗号クライアント装置の構成を示すブロック図である。
【図6】同実施形態による選定DBのデータ構成例を示す図である。
【図7】同実施形態による暗号モジュールリンクDBのデータ構成例を示す図である。
【図8】同実施形態による暗号モジュールDBのデータ構成例を示す図である。
【図9】同実施形態による鍵情報DBのデータ構成例を示す図である。
【図10】同実施形態による暗号処理DBのデータ構成例を示す図である。
【図11】同実施形態によるデータベースの論理構成を示す図である。
【図12】同実施形態による暗号管理サーバ装置の構成を示すブロック図である。
【図13】本発明の第3の実施形態におけるセキュリティ情報通信システムに用いられる暗号処理システムの構成を示す図である。
【図14】本発明の第4の実施形態におけるセキュリティ情報通信システムに用いられる暗号処理システムの構成を示す図である。
【図15】本発明の第5の実施形態におけるセキュリティ情報通信システムに用いられる暗号処理システムの構成を示す図である。
【図16】本発明の第3、第4、第5の実施形態に共通する鍵パラメータDB、暗号処理情報DBの構成例を示す図である。
【図17】本発明の第3、第4、第5の実施形態に共通する暗号評価DBの構成例を示す図である。
【図18】本発明の第6の実施形態におけるセキュリティ情報通信システムに用いられる暗号処理システムの構成を示す図である。
【符号の説明】
【0174】
101,201,301…アプリケーション、102,159,202,302…暗号モジュール選定部、103,203,303…鍵・パラメータデータベース、104,204,304…鍵選定鍵管理部、105,157,205,305…暗号処理情報データベース、106,206,306…暗号処理情報管理部、107,207,320…暗号処理部、108,208,321…コントローラ、150…暗号クライアント装置、151,1151…上位システム部、152,1152…暗号制御マネージャ部、153,1153…暗号実装部、154…暗号実装I/F部、155,356,1155,1356…通信機能、156,1156…暗号処理制御部、158…暗号モジュール選定ポリシ、160,1160…ハードウェアプロファイル、161…アクセス制御ポリシ、162…鍵情報管理部、163,354,1354…暗号評価DB、164,353,1353,1603…暗号モジュールDB、165,1165…鍵情報DB、166,351…暗号管理部、167…暗号制御マネージャポリシ、168…アルゴリズムネゴシエーション部、169…セキュア通信管理部、170…暗号ハードウェア管理制御部、307…暗号パッケージ、308…暗号モジュール、309…暗号評価記述ファイル、350,1350…暗号管理サーバ装置、352…暗号配信部、355…暗号登録部、357…暗号パッケージ登録部、358…複合型記述生成部、359…暗号パッケージ配信制御部、360…配布暗号モジュール選定部、370,1370…暗号パッケージ配布構成部、371,1371…配布ポリシ、450…暗号ハードウェア部、1158…選定ポリシ、1162…鍵管理部、1166,1351…暗号パッケージ管理部、1170…暗号ハードウェア管理制御部、1352…暗号管理サーバ制御部、1355…暗号パッケージ記憶部、1359…暗号パッケージ官制部、1372…ドメイン情報、1373…配布暗号パッケージ選定部、1380…サーバ上位システム部、1390…サーバ暗号制御マネージャ部、1450…暗号ハードウェア、1600…暗号情報記憶部、1601…選定DB、1602…暗号モジュールリンクDB、1604…暗号処理DB
【技術分野】
【0001】
本発明は、暗号化および復号する際に必要となる各種条件を簡単に特定して暗号化、復号を行うことができる暗号管理装置、復号管理装置、およびプログラムに関する。
【背景技術】
【0002】
従来から、秘匿性のある情報を取り扱う場合には、情報の暗号化が実行されている。この種の暗号化は、例えば、暗号化に用いるパラメータや暗号アルゴリズム、鍵等を指定することにより、実行可能となっている。また、暗号化された情報を復号するには、復号する条件が必要となる。すなわち、暗号化や復号に関し、暗号化に用いるパラメータや暗号アルゴリズム、鍵等を示す条件情報が必要となる(例えば、非特許文献1を参照)。
【非特許文献1】Java暗号化アーキテクチャーリファレンスガイド(Java Platform Standard Edition 6)、[online]〈http://java.sun.com/javase/ja/6/docs/ja/technotes/guides/security/crypto/CryptoSpec.html〉
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、暗号処理の実行にはアルゴリズムの指定、鍵の指定、パラメータの指定など多くの条件情報が必要であり、暗号に関する知識の無いユーザには条件情報を適切に把握して選択することや、条件情報を適切に管理することが困難である。
【0004】
同様に、復号処理の実行には多くの条件情報が必要であり、復号に関する知識の無いユーザには、条件情報を把握することが困難である場合がある。
【0005】
また、以前行った暗号処理と同じ条件で暗号化を行う場合には、アルゴリズムの指定、鍵の指定、パラメータの指定など多くの条件情報を、以前と全く同じ内容で入力しなければならない。しかしながら、暗号に関する知識の無いユーザには、それらの条件情報を適切に管理・把握することが困難である。
【0006】
本発明は上記実情を考慮してなされたもので、暗号処理に必要な条件情報を集中的に管理し、ユーザが条件情報を意識せずに容易に暗号処理を実行できるようにする暗号管理装置及びプログラムを提供することを目的とする。
【0007】
また、本発明の他の目的は、復号処理に必要な条件情報を集中的に管理し、ユーザが条件情報を意識せずに容易に復号処理を実行できるようにする復号管理装置及びプログラムを提供することにある。
【課題を解決するための手段】
【0008】
本発明の第1の局面は、被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶する記憶部と、前記被暗号情報と暗号鍵の検索要求情報の入力とを受け付ける暗号処理情報入力部と、前記入力された暗号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する暗号鍵を含む暗号鍵情報を取得する暗号鍵情報取得部と、前記暗号鍵情報取得部により取得した暗号鍵情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する暗号評価記述情報取得部と、前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成部と、前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力部と、有する暗号管理装置である。
【0009】
本発明の第2の局面は、被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶する記憶部と、前記被暗号情報と暗号鍵の生成要求情報の入力とを受け付ける暗号処理情報入力部と、前記入力された暗号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する暗号鍵を生成するための暗号システムパラメータ情報を取得する暗号パラメータ情報取得部と、前記取得した暗号システムパラメータ情報に基づいて生成された暗号鍵と当該暗号システムパラメータ情報とを関連付けて暗号鍵生成条件情報を生成し、この生成した暗号鍵生成条件情報を識別するための識別子を付与する暗号鍵生成ID生成部と、前記生成された暗号鍵生成条件情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する第1の暗号評価記述情報取得部と、前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成部と、前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力部と、有する暗号管理装置である。
【0010】
本発明の第3の局面は、暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶する記憶部と、前記暗号化情報と復号鍵の検索要求情報の入力とを受け付ける復号処理情報入力部と、前記入力された復号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する復号鍵を含む復号鍵情報を取得する復号鍵情報取得部と、前記復号鍵情報取得部により取得した復号鍵情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する復号評価記述情報取得部と、前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成部と、前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力部と、を有する復号管理装置である。
【0011】
本発明の第4の局面は、暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶する記憶部と、前記暗号化情報と復号鍵の生成要求情報の入力とを受け付ける復号処理情報入力部と、前記入力された復号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する復号鍵を生成するための復号システムパラメータ情報を取得する復号パラメータ情報取得部と、前記取得した復号システムパラメータ情報に基づいて生成された復号鍵と当該復号システムパラメータ情報とを関連付けて復号鍵生成条件情報を生成し、この生成した復号鍵生成条件情報を識別するための識別子を付与する復号鍵生成ID生成部と、前記生成された復号鍵生成条件情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する第1の復号評価記述情報取得部と、前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成部と、前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力部と、を有する復号管理装置である。
【0012】
本発明の第5の局面は、被暗号情報に対して暗号処理を実行する際の暗号鍵情報と、暗号処理を実行した際の暗号処理条件情報とを記憶する記憶部を有した暗号管理装置であって、前記被暗号情報と以前実行した暗号処理の暗号処理条件情報を識別するための暗号処理IDを入力として受け付ける暗号処理要求受付手段と、前記暗号処理IDに紐づいた以前実行した暗号処理時と同様の暗号鍵情報や暗号システムパラメータ情報を取得する暗号コンテキスト情報取得手段と、前記暗号コンテキスト情報取得手段で取得した暗号鍵情報や暗号システムパラメータ情報に基づいて、前記被暗号情報に暗号処理を実行する暗号処理手段と、前記暗号処理結果に対する暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成手段と、前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力手段と、を備えた暗号管理装置である。
【発明の効果】
【0013】
以上説明したように本発明によれば、暗号処理に必要な条件情報を集中的に管理し、ユーザが条件情報を意識せずに容易に暗号処理を実行できる。また、復号処理に必要な条件情報を集中的に管理し、ユーザが条件情報を意識せずに容易に復号処理を実行できる。
【発明を実施するための最良の形態】
【0014】
以下、本発明の一実施形態による暗号モジュール配信システムについて図面を参照して説明する。
【0015】
まず、本システムの概要について説明する。本システムにおいては、サーバとクライアント装置とが接続され、サーバとクライアント装置間において暗号モジュールを用いて暗号化された情報を送受信することが可能なシステムである。ここで、暗号モジュールを定期的に切り替えることも可能である。このような、暗号モジュールを切り替え可能な暗号システムとしては、暗号の手法ごとに暗号方式に依存しないインターフェースを規定し、各暗号ベンダが実装可能なフレームワークがいくつか存在する。例えば、Microsoft(登録商標)のCryptAPIやSun(登録商標)のJCA(Java(登録商標) Cryptographic Architecture)/JCE(Java(登録商標) Cryptographic Extensions)やOpen Group(登録商標)のCDSA(Common Data Security Architecture)などがある。
【0016】
これらのフレームワークでは、暗号化/復号、署名生成/検証、認証子生成/検証などの暗号の手法ごとに暗号モジュールにアクセスするインターフェースを規定し、インターフェースに従って、例えば、DES(Data Encryption Standard)、AES(Advanced Encryption Standard)などの暗号方式を実装することが可能になっている。そして、暗号やセキュリティの専門家がシステム構築時に、これらの実装された暗号の中から適切な暗号方式をあらかじめ選択し、いずれの暗号方式を利用するかを示す暗号方式に関するパラメータをフレームワークに入力して、暗号方式を切り替えることが可能である。
【0017】
このようなフレームワークを利用する場合、アプリケーションシステムの運用上のセキュリティポリシが変更された場合、従来であれば暗号やセキュリティの専門家が、再度システムに適した暗号方式を選定する必要があり、暗号やセキュリティの専門家の人材リソースの問題やコストの問題に直面する。また、既存の暗号方式の不備が発見されたり、新しい暗号が発表されたりした際に、運用中のシステムに対して、暗号方式の変更をスムーズに適用するのが難しい。さらには、セキュリティを実施する環境に応じて、必要なセキュリティ強度や処理速度などが違う場合に、最適なセキュリティを実現することも、従来システムでは難しい問題である。
【0018】
本システムにおいては、暗号方式の切り替えが可能な暗号システムでは、この問題についても解決することが可能である。
【0019】
<第1の実施形態>
図1は、本発明の第1の実施形態による暗号モジュール配信システムの構成を示す概略ブロック図である。
【0020】
本暗号システムは、暗号モジュール308と暗号評価記述ファイル309とを含む暗号パッケージ307を送信する暗号管理サーバ装置350と、受信した暗号パッケージ307を用いて暗号処理を行う暗号クライアント装置150とから構成される。暗号評価記述ファイル309に記述される暗号の評価とは、対応する暗号モジュール308の暗号方式の信頼度や強度等が数値化された情報であり、例えば、実装している暗号方式の安全性や暗号の処理速度、暗号に利用可能な鍵長などである。
【0021】
暗号管理サーバ装置350は、暗号モジュール308を蓄積した暗号モジュールDB353と、暗号評価記述ファイル309を蓄積した暗号評価DB354と、暗号モジュールDB353と暗号評価DB354との管理を行う暗号管理部351と、暗号モジュールDB353と暗号評価DB354とに新規の情報を登録する暗号登録部355と、暗号クライアント装置150の要求に応じて最適な暗号パッケージ307を暗号モジュールDB353と暗号評価DB354とから読み出して送信する暗号配信部352とを備える。
【0022】
暗号クライアント装置150は、暗号制御マネージャ部152を介して暗号実装部153が提供する暗号機能を呼び出して利用するアプリケーションやミドルウェアである上位システム部151と、暗号管理サーバ装置350から送信された暗号パッケージ307の受信や暗号実装部153から提供される暗号機能の切り替えを行う暗号制御マネージャ部152と、主要な暗号方式による暗号処理をハードウェアとして実現した耐タンパーな暗号ハードウェア部450と、暗号方式を実装した暗号モジュール308が実行可能・利用可能な状態にされて暗号機能を提供する暗号実装部153とから構成される。暗号管理サーバ装置350は、暗号クライアント装置150からの要求に基づき、適切な暗号パッケージ307を暗号クライアント装置150に送信する。
【0023】
図2は、暗号クライアント装置150の詳細な構成図である。暗号制御マネージャ部152は、暗号処理情報DB157を持つ暗号処理制御部156と、暗号モジュールDB164と、暗号評価DB163と、暗号モジュール選定ポリシ158とハードウェアプロファイル160とを持つ暗号モジュール選定部159と、鍵情報DB165と、その鍵情報DB165へのアクセス制御ポリシが記述されたアクセス制御ポリシ161を持つ鍵情報管理部162と、暗号制御マネージャポリシ167を持つ暗号管理部166と、暗号ハードウェア部450と通信を行う暗号ハードウェア管理制御部170と、外部との通信を行う通信機能155と、通信機能155と連携するアルゴリズムネゴシエーション部168と、通信機能155と連携するセキュア通信管理部169とから構成される。
【0024】
暗号処理制御部156は、上位システム部151からの暗号処理呼び出しに基づき、鍵生成処理、鍵登録処理、暗号処理を行う。
【0025】
鍵生成処理の場合、暗号処理制御部156は、上位システム部151から指定された暗号方式、鍵長、暗号方式パラメータを暗号処理情報DB157に登録した際の暗号処理の識別子により、指定された暗号方式に対する暗号モジュール308を暗号モジュール選定部159により選定する。
【0026】
暗号処理制御部156が、選定された暗号モジュール308をメモリ上にロードし暗号実装部153として実行状態にさせる。暗号処理制御部156が、指定された暗号処理の識別子に対応する鍵生成のための暗号方式パラメータを鍵情報管理部162経由で鍵情報DB165から引き出す。暗号処理制御部156が、指定された鍵長と引き出した暗号方式パラメータで暗号実装部153を呼び出すと、暗号実装部153は鍵情報を生成する。暗号処理制御部156は、生成された鍵情報を受け取る。暗号処理制御部156は、暗号実装部153が生成した鍵情報を鍵情報管理部162経由で鍵情報DB165に登録してその鍵情報に対応する鍵識別子を受け取り、処理結果として新しく発行した暗号処理の識別子と鍵識別子の関連付けを暗号処理情報DB157に保存し、暗号処理の識別子を上位システム部151に返す。
【0027】
鍵登録の場合、暗号処理制御部156は、上位システム部151から指定された鍵情報を、鍵情報管理部162を経由して鍵情報DB165に登録して鍵識別子を受け取り、処理結果として新しく発行した暗号処理の識別子と鍵識別子の関連付けを暗号処理情報DB157に保存し、暗号処理の識別子を上位システム部151に返す。
【0028】
暗号処理の場合、上位システム部151から指定された暗号に関する条件情報と暗号処理対象データ(平文)と鍵生成または鍵登録を行った際に受け取った暗号処理の識別子とを受け取り、暗号に関する条件情報を参照して適切な暗号モジュール308を暗号モジュール選定部159により選定し、選定された暗号モジュール308をメモリ上にロードして暗号実装部153として実行させ、指定された暗号処理の識別子に対応する鍵情報を鍵情報管理部162経由で鍵情報DB165から引き出し、指定された暗号処理対象データと引き出した鍵情報とを、呼び出した暗号実装部153に入力し、対応して処理された暗号データを受け取り、処理結果として新しく発行した暗号処理の識別子と鍵識別子の関連付けを暗号処理情報DB157に保存し、暗号処理の識別子を返す。暗号処理の際に利用した鍵情報などを暗号処理の識別子に結びつけることにより、暗号処理の再実行や復号を簡単に実施することができるようにする。
【0029】
暗号モジュールDB164は、暗号管理サーバ装置350から受信した暗号モジュール308を格納する記憶部である。
【0030】
暗号評価DB354は、暗号管理サーバ装置350から受信した暗号評価記述ファイル309を格納する記憶部である。
【0031】
暗号モジュール選定部159は、暗号化や署名生成などの暗号のカテゴリ、暗号モジュール308を作成したメーカ、暗号モジュール308が動作するハードウェアの情報、および、暗号の評価情報などの暗号に関する条件情報を、上位システム部151からの入力を元に、暗号モジュールDB164が記憶している暗号モジュール308の中から一番適切な暗号モジュール308を選定する。暗号モジュール308の選定にあたっては、暗号クライアント装置150のハードウェア情報を記述したハードウェアプロファイル160に適合するものの中から選び、かつ、暗号クライアント装置150を利用する利用者のポリシを記述した暗号モジュール選定ポリシ158にも従うようにする。
【0032】
ハードウェアプロファイル160とは、例えば、暗号クライアント装置150のCPUアーキテクチャ、CPUクロック、搭載メモリ量などの情報を含む情報である。暗号モジュール選定ポリシ158とは、例えば、入力条件により選定された暗号が複数ある場合に利用者が優先したい条件、利用者が優先的に利用したい暗号のメーカ、利用者が利用禁止にしたい暗号方式などを含む情報である。
【0033】
このように、暗号モジュール選定部159は、上位システム部151からの入力情報と、ハードウェアプロファイル160と、暗号モジュール選定ポリシ158とを参照して、入力情報に一致する暗号モジュール308を選定する。暗号モジュール選定部159が暗号モジュール308を一意に選定した場合には、選定した暗号モジュール308を暗号モジュールDB164から取り出す。暗号モジュール選定部159は、暗号モジュール308が一意に選定できなかった場合は、エラーを出力する。
【0034】
鍵情報管理部162は、暗号実装部153を呼び出す際に指定される鍵情報や暗号方式パラメータなどの情報を鍵情報DB165へデータを記憶させ、または読み出す。鍵情報管理部162は、指定される鍵情報や暗号方式パラメータの情報がひとつではない場合、複数の情報をひとつにまとめて引き出せるように関連付けを行って、鍵情報DB165に登録する。また、鍵情報管理部162は、鍵情報DB165から鍵情報や暗号方式パラメータを引き出す際には、暗号モジュール選定ポリシ158に従い、複数ある上位システム部151からの鍵情報へのアクセス制御を行う。
【0035】
鍵情報管理部162は、上位システム部151から指定されたクレデンシャル(アクセスのための鍵やパスワードなど)とアクセスしたい鍵識別子と鍵識別子に関連付けられた暗号処理の識別子とにより、そのクレデンシャルの正当性を検証する。鍵情報管理部162は、クレデンシャルの持ち主に対してアクセス可能な鍵情報DB165の鍵情報の規定を記述したアクセス制御ポリシ161に基づき、アクセス可否を判定し、アクセス可ならば、暗号処理の識別子に対応する鍵識別子を鍵情報DB165から引き出し、鍵識別子に対応する鍵情報や暗号方式パラメータを引き出し、上位システム部151にこれを返す。一方、アクセス不可ならば、上位システム部151にエラーを返す。
【0036】
暗号管理部166では、通信機能155を介して暗号管理サーバ装置350と通信を行い、暗号の初期登録・配信・更新の手順に従って、暗号パッケージ307等の受信を行う。暗号管理部166が暗号管理サーバ装置350から暗号パッケージ307等を受信する際には、暗号制御マネージャポリシ167の内容に従って処理する。暗号制御マネージャポリシ167の内容は、例えば、以下の5つである。1つめは、暗号管理サーバ装置350との通信におけるサーバ認証の実施可否である。2つめは、暗号管理サーバ装置350からの暗号パッケージ307等の受信時の暗号化可否である。3つめは、暗号管理サーバ装置350からの暗号パッケージ307等の受信時の改ざん検出子(MAC(Message Authentication Code))付加可否である。4つめは、受信した暗号パッケージ307等の認証子の検証実施可否である。5つめは、暗号評価DB163と暗号モジュールDB164とに記憶された暗号パッケージ307を定期的に更新可否や更新頻度などを示す定期更新に関する設定情報、などとする。
【0037】
暗号ハードウェア管理制御部170は、暗号ハードウェア部450と通信を行い、暗号管理サーバ装置350から、暗号の初期登録の手順に従って暗号パッケージ307の受信を行う。暗号パッケージ307の受信の際には、暗号パッケージ307自身が暗号化されている場合、暗号ハードウェア部450にて暗号パッケージ307を復号する。また、暗号モジュール308に改ざん検出子が付加されていることを検出すると、暗号ハードウェア部450が暗号モジュール308の改ざん検出を行う。
【0038】
アルゴリズムネゴシエーション部168は、通信機能155と連携し、2つの暗号クライアント装置間で安全な通信セッションを構築する事前に、通信セッションの構築で利用する暗号方式、通信セッションで利用する暗号方式の調停を行う。
【0039】
セキュア通信管理部169は、通信機能155と連携し、他の暗号クライアント装置150との間で安全な通信セッションを構築する。セキュア通信管理部169は、安全なセッションを構築する際には、アルゴリズムネゴシエーション部168により、通信セッション構築で利用するための暗号方式と通信セッションで利用するための暗号方式を決定した後に、セッション鍵共有を行う。
【0040】
図3は、暗号管理サーバ装置350の詳細な構成図である。暗号管理サーバ装置350は、暗号モジュールDB353と、暗号評価DB354と、暗号モジュールDB353と暗号評価DB354とに記憶された情報の読み出しや更新等の処理を行う暗号管理部351と、暗号モジュールDB353と暗号評価DB354とに情報の登録を行う暗号登録部355と、暗号クライアント装置150へ暗号の送信を行う暗号配信部352とから構成される。
【0041】
暗号モジュールDB353は、予め記憶するかユーザによって入力される暗号モジュール308を記憶するデータベースである。
【0042】
暗号評価DB354は、予め記憶するかユーザに入力される暗号評価記述ファイル309を記憶するデータベースである。
【0043】
暗号管理部351は、暗号管理サーバ装置350のユーザに対して、暗号モジュールDB353と暗号評価DB354に格納された暗号モジュール308や暗号パッケージ307の検索、暗号評価部の内容表示、管理している暗号のリスト表示、既存の暗号の更新、既存の暗号の削除、新規の暗号の登録、暗号配信部の起動/終了を行うインターフェースを備える。暗号管理部351は、新規の暗号を登録する場合は、暗号登録部355へ登録依頼を行う。
【0044】
暗号登録部355は、暗号パッケージ登録部357と複合型記述生成部358とを備えている。
【0045】
暗号配信部352は、暗号パッケージ配信制御部359と、配布ポリシ371を持つ暗号パッケージ配布構成部370と、配布ポリシ371を持つ配布暗号モジュール選定部360とを備える。暗号配信部352は、暗号クライアント装置150からの要求を解釈し、待ち受けサービスを実行する。
【0046】
配布暗号モジュール選定部360では、配信に適切な暗号モジュール308を選定する。
【0047】
暗号パッケージ配布構成部370では、配布暗号モジュール選定部360で選定された暗号モジュール308を元に、配布ポリシ371に従って、暗号モジュール308と、暗号モジュール308に対応する暗号評価記述ファイル309とを暗号パッケージ307として配布可能な形にするための構成処理を行う。
【0048】
暗号パッケージ配布構成部370が行う構成処理では、暗号評価DB354に格納された内容を暗号評価記述ファイル309として特定の形式で生成し、暗号パッケージ307に対して暗号管理サーバ装置350が配布認定する目的で認証子を付加し、暗号モジュール308と暗号評価記述ファイル309とをペアにして、暗号パッケージ307としてまとめる。
【0049】
<第2の実施形態>
第1の実施形態では、最適な暗号方式の選定を、暗号クライアント装置が処理する場合について説明したが、第2の実施の形態は、暗号管理サーバ装置が最適な暗号方式の選定を主導で行う。すなわち、図4に示す暗号モジュール配信システムでは、暗号管理サーバ装置1350が選定した暗号方式の結果情報をモジュール選定ポリシ記憶部110が管理および利活用するサーバ強連携機構である。特に、モジュール選定ポリシ記憶部110の計算能力が乏しい場合、暗号管理サーバ装置1350が演算支援することで、暗号クライアント装置1100内の応答パフォーマンスを向上させることができる。
【0050】
具体的には、上位システム部1151からの要求に最適な暗号モジュール308の選定を暗号管理サーバ装置1350が実施し、暗号クライアント装置1100の暗号制御マネージャ部1152はその結果を受け取り、その要求条件と最適な暗号モジュール308との関係を当該装置内の暗号情報記憶部1600で管理する。暗号制御マネージャ部1152は、上位システム部151からの要求とこの要求に最適な暗号モジュール308との関係に基づき、上位システム部151からの暗号処理制御要求に応じた処理を行う。よって、第1の実施形態と異なり、暗号クライアント装置1100は、暗号モジュール308の全選定機能や暗号モジュール308の選定に必要となる暗号パッケージ307の管理および暗号管理サーバ装置1350らの受信を必ずしも必要としない。
【0051】
図4は、本発明の第2の実施形態による暗号モジュール配信システムの概略構成を示すブロック図である。本システムは、1個以上の暗号クライアント装置1100、1個以上の暗号ハードウェア1450及び暗号管理サーバ装置1350を備えている。暗号ハードウェア1450は、第1の実施形態と同様である。ここで、暗号ハードウェア1450は、1個の暗号クライアント装置1100につき、複数接続する形態でもよい。また暗号ハードウェア1450を暗号クライアント装置1100内部に実装する形態でもよい。
【0052】
図5は、暗号クライアント装置1100の構成を示すブロック図である。暗号クライアント装置1100は、上位システム部1151と、暗号制御マネージャ部1152と、暗号実装部1153と、通信機能1155とを備えている。また選定ポリシ1158は、安全性、処理速度、リソースに関する優先情報を設定したファイルである。上位システム部1151および暗号実装部1153は、第1の実施形態と同様の構成・機能である。
【0053】
暗号制御マネージャ部1152は、暗号処理制御部1156と、鍵管理部1162と、暗号情報記憶部1600と、暗号パッケージ管理部1166と、暗号ハードウェア管理制御部1170とを備えている。
【0054】
暗号処理制御部1156は、上位システム部1151から暗号処理条件を含む暗号処理制御要求を受け付ける機能と、暗号情報記憶部1600を参照して暗号処理条件に紐づいた暗号モジュール1153を特定する機能と、暗号処理実行タイミングに従って暗号実装部1153へ暗号処理を要求する機能と、当該暗号処理に対する暗号処理IDを発行して当該暗号処理に関する情報と関連付けて暗号情報記憶部1600に記憶させる機能と、暗号実装部1153からの暗号処理結果および当該暗号処理に関する暗号処理IDとを上位システム部1151へ出力する機能とをもっている。
【0055】
鍵管理部1162は、上位システム部1151からの要求に従い、暗号情報記憶部1600の鍵情報DB1165への鍵情報の登録、削除、取得、検索、更新処理を行う機能と、暗号鍵の登録が正常に実施された場合に鍵IDを発行して当該登録処理に関する情報と関連づけて暗号情報記憶部1600に記憶させる機能と、各処理結果を場合により暗号処理IDや鍵IDを含めて上位システム部1151へ出力する機能をもっている。
【0056】
暗号情報記憶部1600は、選定DB1601と、暗号モジュールリンクDB1602と、暗号モジュールDB1603と、鍵情報DB1165と、暗号処理DB1604とを記憶する機能を備えている。また、暗号情報記憶部1600は、鍵管理部1162や暗号処理制御部1156および暗号パッケージ管理部1166からの要求に従い、暗号情報記憶部1600が備える各DBを制御管理する機能をもっていることとしても良い。
【0057】
選定DB1601のデータ構造は、図6に示す通りである。暗号モジュールリンクDB1602のデータ構造は、図7に示す通りである。暗号モジュールDB1603のデータ構造は、図8に示す通りである。鍵情報DB1165のデータ構造は、図9に示す通りである。暗号処理DB1604のデータ構造は、図10に示す通りである。図11に、暗号情報記憶部1600が備える各データベースの論理関係を示す。
【0058】
暗号パッケージ管理部1166は、以下に説明する機能を有している。
【0059】
まず、暗号パッケージ管理部1166は、上位システム部1151から入力された選定条件、選定ポリシ及びハードウェアプロファイルを含む情報を通信機能1155経由で暗号管理サーバ装置1350へ送信して得られる、選定された暗号パッケージ307のアルゴリズムID、 暗号評価記述ID、 暗号モジュールID及び推奨される鍵長情報を暗号情報記憶部1600に登録する機能を持っている。
【0060】
また、暗号パッケージ管理部1166は、上位システム部1151から入力された選定条件を基に選定DBを特定して暗号化アルゴリズムから対応される鍵生成モジュールのアルゴリズムIDを特定する機能を持っている。
【0061】
また、暗号パッケージ管理部1166は、暗号管理サーバ装置1350にて選定された鍵生成モジュールのアルゴリズムID、暗号評価記述ID及び暗号モジュールIDを暗号情報記憶部1600に登録する機能を持っている。
【0062】
また、暗号パッケージ管理部1166は、上位システム部1151から要求された内容と暗号制御マネージャ部1152に保持した最後の更新通知識別子に基づき通信機能1155経由で暗号管理サーバ装置1350と連携して暗号制御マネージャ部1152に保持している暗号パッケージ307の実体と暗号パッケージ307の選定ポリシと暗号パッケージ307の紐付けについて更新処理を実行する機能を持っている。
【0063】
また、暗号パッケージ管理部1166は、上位システム部1151から要求された暗号パッケージ307の実体を暗号情報記憶部1600から削除して当該暗号パッケージ307に紐付けられた暗号情報記憶部1600が備える各データベースの関連付けを解除する機能を持っている。
【0064】
暗号ハードウェア管理制御部1170は、暗号制御マネージャ部1152の各部からの要求に応じて通信機能1155経由で暗号ハードウェアへの通信制御を行う機能をもっている。
【0065】
通信機能1155は、暗号パッケージ管理部1166や暗号ハードウェア管理制御部1170と相手通信装置または暗号ハードウェアとが相互に通信するための機能をもっている。
【0066】
図12は、暗号管理サーバ装置1350の構成を示す機能ブロック図である。暗号管理サーバ装置1350は、サーバ上位システム部1380と、通信機能1356と、暗号管理サーバ制御部1352と、暗号パッケージ記憶部1355と、サーバ暗号制御マネージャ部1390とを備えている。
【0067】
サーバ上位システム部1380は、暗号クライアント装置1100のサーバ上位システム部1380と同様の機能に加え、暗号管理に関するシステム管理者からの制御要求を暗号管理サーバ制御部1352に送信する機能とをもっている。
【0068】
通信機能1356は、暗号管理サーバ制御部1352やサーバ暗号制御マネージャ部1390と相手通信装置、暗号ハードウェアまたは暗号ハードウェアの動作を模擬したシミュレータとが相互に通信するための機能をもっている。
【0069】
暗号管理サーバ制御部1352は、暗号パッケージ管制部1359と、暗号パッケージ管理部1351と、暗号パッケージ配布構成部1370と、配布暗号パッケージ選定部1373とを備えている。
【0070】
暗号パッケージ管制部1359は、サーバ上位システム部1380からの要求により暗号パッケージ307を登録する機能と、サーバ上位システム部1380からの要求により既に登録済みの暗号パッケージを更新する機能と、ベンダからの暗号パッケージ提供時に該当する暗号パッケージの出所の確認を行うためのベンダ認定認証子を検証する機能と、複数の単体型暗号評価記述部または複数の複合型暗号評価記述部を組み合わせて複合型暗号評価記述部を生成する機能と、暗号モジュールDB1355に登録されている暗号パッケージ307を検索および一覧を取得する機能と、サーバ上位システム部1380からの要求により暗号モジュール308及び関連する暗号パッケージ307を暗号モジュールDB1355から削除する機能と、暗号パッケージ記憶部1355に対して行った登録・更新・削除処理に対するログを出力する機能とをもっている。
【0071】
暗号パッケージ管理部1351は、複数の暗号クライアント装置1100からの管制要求を同時に並行して処理する機能と、暗号パッケージ307の初期登録処理、配信処理、更新処理、選定処理、更新通知処理および暗号管理ドメイン移行処理を行う機能と、暗号クライアント装置1100と暗号管理サーバ装置1350との間でセキュリティ保護された通信路を確立するための機能と、当該暗号管理サーバ装置1350が管理するドメイン内に存在する暗号クライアント管理装置の状況を管理する機能と、暗号パッケージ307の初期登録処理、配信処理、更新処理、選定処理、更新通知処理および暗号管理ドメイン移行処理に対するログを生成する機能とをもっている。
【0072】
暗号パッケージ配布構成部1370は、配布暗号パッケージ選定部1373で選ばれた暗号パッケージ307を暗号モジュールDB1355から取得する機能と、暗号モジュールDB1355に格納された各記述項目のデータをXMLといった暗号評価記述形式で構成して出力する機能と、暗号パッケージ官制部1359のセキュリティ通信で使用する鍵に関して指定のセキュリティ方式に応じてサーバ暗号制御マネージャ部1390に処理を依頼して鍵生成を行う機能と、暗号クライアント装置1100のIDや鍵のセキュリティ方式を含む情報を元に鍵に関する情報の管理を行う機能と、暗号管理サーバ装置1350の配布ポリシで定義されたセキュリティレベル及びセキュリティ方式に応じて暗号管理サーバ装置1350から暗号クライアント装置1100に対して送信する情報に対するデータ秘匿やデータ認証のセキュリティ処理を行う機能とをもっている。
【0073】
配布暗号パッケージ選定部1373は、暗号パッケージ初期登録処理における初期登録判定、暗号方式の選択及び暗号パッケージ選択を行う機能と、暗号パッケージ配信処理における配信判定及び暗号パッケージの選択を行う機能と、暗号パッケージ更新処理における配信判定を行う機能と、暗号パッケージ更新処理における更新暗号リスト取得及び暗号パッケージの選択を行う機能と、暗号パッケージ選定処理における選択判定及び暗号パッケージ選択を行う機能と、暗号管理ドメイン移行処理のおける移動判定およびドメイン移動処理情報の生成を行う機能と、選定条件、選定ポリシ及びハードウェアポリシを満たす暗号パッケージを暗号パッケージ記憶部から検索する機能とをもっている。
【0074】
暗号モジュールDB1355は、登録されている暗号モジュール308を記録管理する暗号モジュールDB1353と暗号評価記述ファイル309を記録管理する暗号評価DB1354とを備えている。
【0075】
サーバ暗号制御マネージャ部1390は、暗号クライアント装置1100の暗号制御マネージャ部1152と同様の機能に加え、暗号管理サーバ制御部1352と連携して暗号管理サーバ装置1350内の暗号資産管理制御や他通信装置との暗号認証通信を行う機能をもっている。
【0076】
<第3の実施形態>
次に、上述した暗号モジュール配信システムにおいて、暗号化、復号を行う際に、IDを用いてその処理を簡便にした暗号モジュール配信システムについて説明する。ここでは、上述の暗号モジュール配信システムにおいて、被暗号情報に対して所定の暗号処理を実行した場合の暗号処理条件の情報の識別子情報とその暗号処理後の情報を出力する場合について説明する。また、以下の実施形態において暗号処理とは、暗号化する対象となる情報を暗号化する処理と、暗号化された情報を復号する処理とを含むものとして説明する。
【0077】
以下、暗号管理装置が情報を暗号化する処理について図13を用いて説明する。
【0078】
図13は、第3の実施形態における暗号モジュール配信システムに用いられる暗号処理システムの構成を示す図である。
【0079】
この図において、アプリケーション101は、暗号処理される対象となる被暗号情報(または既に暗号処理された暗号文)をコントローラ108に出力し、被暗号情報が暗号処理された後の情報(または暗号文に対して復号された元の平文)をコントローラ108から得る。
【0080】
ここで、アプリケーション101からコントローラ108に出力される情報としては、カテゴリIDと、暗号鍵生成時に生成された、暗号鍵生成処理の識別子である暗号処理ID(鍵生成)と、被暗号情報(平文)である。ここで、カテゴリIDは、暗号方式の分類を示す情報である。カテゴリとしては、例えば、共通鍵暗号、マスク生成関数、ハッシュ関数等があり、このカテゴリはサブカテゴリにさらに分類されている。このサブカテゴリには、例えば共通鍵暗号については、ブロック暗号、ストリーム暗号に分類され、このブロック暗号がさらに暗号コア、暗号化モード、パディング(拡張モジュール)等に複数に分類される。そして、このサブカテゴリに各種暗号アルゴリズム(DES、AES等)が分類・規定されている。
【0081】
暗号処理ID(鍵生成)は、アプリケーション101からコントローラ108に対して送信される情報である。この暗号処理ID(鍵生成)は、アプリケーション101が暗号管理装置に対し、被暗号情報に暗号処理を行うための暗号鍵の取得要求を依頼するための情報であり、暗号鍵毎にアプリケーション101またはその上位または、後述(第5の)実施形態の暗号管理装置で生成される情報である。
【0082】
暗号モジュール選定部102は、アプリケーション101からコントローラ108を介して受信した暗号処理ID(鍵生成)をもとに鍵選定管理部104から出力される暗号アルゴリズムIDに基づいて、暗号処理を実行する暗号モジュールの選定を行うものである。また、暗号モジュール選定部102は、この暗号アルゴリズムIDを入力として暗号モジュールの評価情報である暗号評価情報をも選定し、この選定結果(暗号評価情報)をコントローラ108に出力するものである。ここでは、コントローラ108から暗号アルゴリズムIDが指定されるだけでなくコントローラ108からカテゴリIDが指定された場合には、このカテゴリIDをも入力として暗号モジュールまたは(および)その暗号モジュールの暗号評価記述の選定をすることも可能である。
【0083】
鍵・パラメータデータベース103は、暗号鍵情報や各暗号アルゴリズムで用いられる暗号システムパラメータおよび暗号鍵生成を行った際に用いられた条件情報(暗号アルゴリズムIDを含む)となる暗号鍵生成条件情報を記憶する。ここでは、鍵・パラメータデータベース103は、暗号鍵情報、暗号システムパラメータ情報、暗号鍵生成条件情報をそれぞれ記憶している。具体的には、図16の鍵パラメータデータとして示している。ここで暗号システムパラメータ情報とは、暗号アルゴリズムを一意に決めるための値(ElGamal暗号でいえば、 y = g^x mod p の g,pの値)である。
【0084】
鍵選定管理部104は、コントローラ108から暗号処理ID(鍵生成)の入力を受け付けると、この受け付けた暗号処理ID(鍵生成)に対応する暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDをコントローラ108に出力する。
【0085】
ここで、鍵選定管理部104は、暗号処理ID(鍵生成)を入力として、鍵・パラメータDBおよび、暗号処理情報DBから鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを選定し、コントローラ108に出力する暗号鍵選定部104aを有する。
【0086】
暗号鍵選定部104aは、コントローラ108から暗号処理ID(鍵生成)を受け取ると、この受け取った暗号処理ID(鍵生成)で、図16に示す暗号処理情報DBの暗号処理IDに関連する参照用暗号アルゴリズムテーブルを検索し、鍵リストIDおよび暗号アルゴリズムIDを取得する。これら取得した鍵リストIDと暗号処理ID(鍵生成)で、参照用鍵情報テーブルを検索し鍵IDを得る(鍵IDは複数取得される場合もある。)。この取得した鍵ID(複数の場合もある)で、鍵パラメータDBを検索し、暗号鍵、暗号システムパラメータ情報を得る。取得した暗号アルゴリズムIDと、暗号鍵、暗号システムパラメータ情報をコントローラ108に出力する。
【0087】
ここでは、暗号処理情報DBの検索を暗号鍵選定部104aがおこなうように記述しているが、暗号処理情報DBの検索を、暗号処理情報管理部に依頼し、この依頼を受けた暗号処理情報管理部が上記態様で暗号処理情報DBから暗号アルゴリズムID、暗号鍵、暗号システムパラメータを取得する形態とすることも可能である。
【0088】
暗号処理情報データベース105は、暗号処理情報管理部106からの指示に従って情報を記憶する。ここで記憶される情報としては、暗号処理情報管理部106によって生成される暗号処理ID(暗号処理)と暗号処理部107が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報とが対応付けされた情報である。暗号処理ID(暗号処理)とは、アプリケーションから送られた被暗号情報に対して暗号処理を実行したときの暗号処理条件情報を識別する識別子である。
【0089】
暗号処理情報管理部106は、暗号処理部107が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報を特定する暗号処理ID(暗号処理)を生成する暗号処理ID生成部106aを有し、この生成した暗号処理ID(暗号処理)に関連付けられた暗号処理条件情報を暗号処理情報DBに記憶し、さらに、その暗号処理条件情報を識別する暗号処理ID(暗号処理)をコントローラ108に出力する。
【0090】
暗号処理部107は、アプリケーション101から入力される被暗号情報について、鍵選定・鍵管理部によって抽出された暗号鍵、暗号システムパラメータ情報、暗号モジュール選定部102によって選定された暗号評価記述に対応する暗号モジュールに従って暗号処理を施して暗号処理結果を生成し、この生成した暗号処理結果をコントローラ108に出力する。
【0091】
コントローラ108は、アプリケーション101、暗号モジュール選定部102、鍵選定管理部104、暗号処理情報管理部106、暗号処理部107と接続される。
【0092】
このコントローラ108は、暗号処理する対象となる被暗号情報とカテゴリ情報の入力をアプリケーション101から受け付ける暗号処理情報入力部108a、暗号処理情報入力部108aから入力される被暗号情報について、暗号処理を施した暗号処理結果を暗号処理部107によって生成させる暗号処理指示部108bと、暗号処理情報管理部106が生成した暗号処理ID(暗号処理)と暗号処理部107によって生成される暗号処理結果とをアプリケーション101に出力する出力部108cとを有する。
【0093】
次に、第3の実施形態における動作について説明する。ここでは、ユーザが暗号処理ID(鍵生成)を所定のメモリ内に利用可能に記憶している場合に暗号化を行う処理について説明する。
【0094】
まず、ユーザによってアプリケーション101に暗号化する対象となる被暗号情報が選択され、カテゴリIDが選択され、暗号化の指示をキーボード等の入力装置から入力されると、アプリケーション101は、所定のメモリ領域に記憶された暗号処理ID(鍵生成)を読み出すとともに、ユーザから入力されるカテゴリID、被暗号情報をコントローラ108に出力する(ステップS1)。なお、以下の図13の説明において、「ステップS1」は「図13の(1)であること」を意味し、「ステップS2」は「図13の(2)であること」を意味するものとし、その他も同様とする。コントローラ108は、アプリケーション101からカテゴリID、暗号処理ID(鍵生成)、被暗号情報のそれぞれの情報が入力されると、暗号処理ID(鍵生成)を鍵選定・鍵管理部104に出力する(ステップS2)。鍵選定・鍵管理部104は、コントローラ108から出力された暗号処理ID(鍵生成)に対応する鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを鍵・パラメータデータベース103および、暗号処理情報データベース105から読み出してコントローラ108に出力する。ここでいう暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDの抽出は上記の通りであり、鍵選定・鍵管理部が直接実行しても良いし、または鍵選定・鍵管理部が暗号処理情報管理部に抽出依頼を行い、暗号処理情報管理部を介して抽出しても構わない。
【0095】
コントローラ108は、鍵選定・鍵管理部104から出力された暗号アルゴリズムIDを暗号モジュール選定部102に出力する。暗号モジュール選定部102は、コントローラ108から出力された暗号アルゴリズムIDに基づいて、暗号の評価を行い、評価結果を暗号評価情報としてコントローラ108に出力する(ステップS3)。
【0096】
コントローラ108は、被暗号情報と、暗号モジュール選定部102から出力された暗号評価情報と、鍵選定鍵管理部104から出力された鍵及びパラメータ情報とを暗号処理部107に出力する(ステップS4)。
【0097】
暗号処理部107は、コントローラ108から暗号評価情報、暗号鍵、暗号システムパラメータ情報、被暗号情報が出力されると、パラメータ情報と鍵情報とを利用し、暗号評価情報を満たす暗号モジュールを実行することによって、被暗号情報を暗号化し、その暗号化した暗号文をコントローラ108に出力する。
【0098】
暗号処理部107から暗号文が出力されると、コントローラ108は、暗号処理条件情報を生成する(ステップS5)。ここで生成される暗号処理条件情報は、暗号処理部107から暗号文を生成する際に用いられた情報や鍵、処理方法等を特定するための情報であり、例えば、暗号化を行った際の暗号評価情報、暗号アルゴリズムID(暗号化)、カテゴリID、パラメータ情報、鍵を特定する際に必要となる暗号処理ID(鍵生成)である。そして、コントローラ108は、この暗号処理条件情報を暗号処理情報管理部106に出力する(ステップS6)。
【0099】
暗号処理情報管理部106は、コントローラ108から暗号処理条件情報が出力されると、暗号処理ID(暗号処理)を生成し、この生成した暗号処理ID(暗号処理)とコントローラ108から出力された暗号処理条件情報とを対応づけて暗号処理情報DB105に記憶するとともに、暗号処理ID(暗号処理)をコントローラ108に出力する。コントローラ108は、この暗号処理ID(暗号処理)と暗号処理部107にて生成された暗号文とをアプリケーション101に出力する(ステップS7)。
【0100】
以上説明した第3の実施形態によれば、被暗号情報を暗号化する処理に必要な条件を特定する暗号処理IDを生成して暗号化した被暗号情報(平文)とともに出力するようにしたので、その暗号文を復号するための条件を簡単に把握することが可能となる。
【0101】
<第4の実施形態>
次に、第4の実施形態について説明する。図14は、第4の実施形態における暗号モジュール配信システムに用いられる暗号処理システムの構成を示す図である。
【0102】
この図において、暗号処理システムの基本的な実施態様は、図13が被暗号情報に対して暗号処理を実行して暗号情報を出力する場合であることに比べ、図14が暗号情報に対して復号処理を実行して被暗号情報を出力する場合であることによる差異があるが、以下、図13の機能と主な相違点について説明する。また、第4の実施形態は、第3の実施形態で所定の暗号処理条件情報で実行された暗号文を同様の条件に沿って元の平文である被暗号情報を復号処理で取得するための実施形態であり、その前提としては第3の実施形態に続くものである。
【0103】
コントローラ208は、アプリケーション201から暗号文が入力され、復号の指示が入力されると、暗号処理システムの各部を動作させ、暗号文を被暗号情報に復号してアプリケーション201に出力する。
【0104】
鍵選定・鍵管理部204は、コントローラ208から暗号処理ID(暗号化)を受けると、図13の鍵選定・鍵管理部と同様に暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを取得する暗号鍵選定部204aを有する。ここで暗号処理ID(暗号化)とは、既に被暗号情報に対して暗号処理が実行されたときの暗号処理条件情報を識別するための識別子である。
【0105】
暗号処理部207は、暗号評価情報、暗号鍵、暗号システムパラメータ情報、暗号文がコントローラ208から出力されると、暗号鍵、暗号システムパラメータ情報を用いて、暗号評価情報を満たす暗号モジュールを実行し、暗号文を復号する機能を有する。
【0106】
次に、上述した構成における第4の実施形態における暗号処理システムの動作について説明する。
【0107】
ここでは、被暗号情報を暗号化した際にコントローラ208から出力された暗号処理ID(暗号化)は、アプリケーション201によって所定のメモリ内から読み出されるものとする。
【0108】
ユーザによって、復号の指示と、暗号処理IDの読み出し指示と復号対象の暗号文を選択する指示が入力されると、アプリケーション201は、暗号処理ID(暗号化)と暗号文とカテゴリIDとをコントローラ208に出力するととともに復号処理を行うように指示する(ステップS11)。なお、以下の図14の説明において、「ステップS11」は「図14の(1)であること」を意味し、「ステップS12」は「図14の(2)であること」を意味するものとし、その他も同様とする。
【0109】
コントローラ208は、暗号処理ID(暗号化)を鍵選定鍵管理部204に出力する(ステップS12)。
【0110】
鍵選定鍵管理部204は、鍵・パラメータデータベース203を参照し、コントローラ208から出力された暗号処理ID(暗号化)に対応する、復号に必要な暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを読み出し、コントローラ208に出力する。
【0111】
コントローラ208は、暗号アルゴリズムIDを暗号モジュール選定部202に出力する(ステップS13)。
【0112】
暗号モジュール選定部202は、コントローラ208から出力される暗号アルゴリズムIDから暗号評価情報を抽出し、コントローラ208に出力する。
【0113】
コントローラ208の暗号処理指示部208bは、暗号モジュール選定部202から出力される暗号評価情報を受けると、この暗号評価情報と、暗号鍵、暗号システムパラメータ情報、暗号文を暗号処理部207に出力する(ステップS14)。
【0114】
暗号処理部207は、コントローラ208から暗号評価情報、暗号鍵、パラメータ情報、暗号文が出力されると、暗号システムパラメータ情報と暗号鍵情報とを利用し、暗号評価情報を満たす暗号モジュールを実行することによって、暗号文を復号し、その復号した暗号文を被暗号情報としてコントローラ208に出力する。
【0115】
コントローラ208は、被暗号情報が暗号処理部207から出力されると、暗号処理条件情報を生成し(ステップS15)、暗号処理情報管理部206に出力する(ステップS16)。この暗号処理条件情報は、復号時における暗号評価情報(復号)と、処理タイプ、復号した際の暗号アルゴリズムID、カテゴリID、復号時における復号システムパラメータ情報、復号対象の暗号文を暗号した際の暗号処理ID(暗号化時)を含む。
【0116】
暗号処理情報管理部206は、コントローラ208から暗号処理条件情報が出力されると、復号処理における暗号処理IDを生成し、この生成した暗号処理IDとコントローラ208から出力された暗号処理条件情報とを対応づけて暗号処理情報DB205に記憶するとともに、暗号処理ID(復号処理)をコントローラ208に出力する。コントローラ208は、この暗号処理IDと暗号処理部207にて生成された被暗号情報とをアプリケーション201に出力部208cによって出力する(ステップS17)。
【0117】
以上説明した第4の実施形態によれば、暗号文を被暗号情報にする処理に必要な条件を特定する暗号処理IDを生成して復号した被暗号情報(平文)とともに出力するようにしたので、その被暗号情報に対して行われた復号処理の条件を簡単に把握することが可能となる。
【0118】
<第5の実施形態>
次に、第5の実施形態について説明する。この第5の実施形態においては、第3の実施形態においてユーザが予め暗号処理ID(鍵生成)を有していない場合であっても、暗号処理システムにて暗号鍵を生成し、その生成された暗号鍵を用いて暗号化、復号を行う場合について説明する。以下では、暗号化の処理について説明するが、復号であっても第4の実施形態の応用形態として同様に考えることができる。
【0119】
図15は、第5の実施形態における暗号モジュール配信システムに用いられる暗号処理システムの構成を示す図である。
【0120】
この図において、アプリケーション301は、暗号処理される対象となる被暗号情報をカテゴリIDとともにコントローラ321に出力し、暗号処理がされた後の情報(暗号文、暗号処理ID(鍵生成)、暗号処理ID(暗号処理))をコントローラ321から得る。
【0121】
暗号モジュール選定部302は、コントローラ321からカテゴリIDが出力されると、このカテゴリIDに対応する暗号評価情報(暗号処理)をコントローラ321に出力する。この暗号評価情報(暗号処理)は、暗号処理を実行するための暗号モジュールに関する評価情報の識別子である。
【0122】
鍵・パラメータデータベース303は、暗号鍵情報や各暗号アルゴリズムで用いられる暗号システムパラメータが記憶される。
【0123】
鍵選定鍵管理部304は、暗号モジュール選定部302の選定結果を入力として暗号システムパラメータを選定し出力する鍵生成パラメータ選定部304aと、後述する暗号処理部で生成された暗号鍵および暗号鍵を生成する際の条件である暗号処理条件情報(鍵生成)を鍵・パラメータデータベース303および、暗号処理情報データベース305に記録し、当該暗号鍵や暗号鍵生成条件情報を特定する暗号処理ID(鍵生成)を生成する暗号鍵生成ID生成部304bを有する。
【0124】
鍵生成パラメータ選定部304aは、コントローラ321から暗号アルゴリズムID(暗号処理)を受け取り、この受け取った暗号アルゴリズムID(暗号処理)から暗号アルゴリズムID(鍵生成)と暗号システムパラメータ情報を生成し、この生成したアルゴリズムID(鍵生成)と暗号システムパラメータをコントローラ321に出力する。
【0125】
暗号鍵生成ID生成部304bは、コントローラ321から暗号処理条件情報(鍵生成)、暗号鍵を受け取り、暗号処理ID(鍵生成)を生成し、この生成した暗号処理ID(鍵生成)と受け取った暗号処理条件情報(鍵生成)、鍵を関連付け鍵パラメータデータベース303および暗号処理情報データベース305に格納する。
【0126】
ここでは、暗号鍵生成ID生成部304bが、暗号処理情報データベース305にデータを格納するよう記述しているが、暗号処理情報データベース305へのデータの格納を、暗号処理情報管理部306に依頼する形態とすることも可能である。
【0127】
暗号処理情報データベース305は、暗号処理情報管理部306からの指示に従って情報を記憶する。ここで記憶される情報としては、暗号処理情報管理部306によって生成される暗号処理ID(鍵生成)または暗号処理ID(暗号処理)と暗号処理部が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報(鍵生成)または暗号処理条件情報(暗号処理)とが対応付けされた情報である。
【0128】
暗号処理情報管理部306は、暗号処理部320が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報を特定する暗号処理ID(暗号処理)を生成する暗号処理ID生成部306aを有する。
【0129】
暗号処理部320は、暗号システムパラメータを入力として、暗号モジュール選定部302によって選定された暗号評価情報(鍵生成)に対応する鍵生成モジュールに従って鍵生成を行い、生成された暗号鍵を出力する暗号鍵生成部320aと、アプリケーション301からコントローラ321に出力された被暗号情報について、暗号モジュール選定部302によって選定された暗号評価情報(暗号処理)に対応する暗号モジュールに従って暗号処理を施して暗号処理結果を生成してコントローラ321に出力する暗号処理部320bを有する。
【0130】
コントローラ321は、暗号鍵を生成する鍵生成モジュール選定および被暗号情報に対して暗号処理を行う暗号処理モジュールの選定をカテゴリIDやアルゴリズムIDに基づく選定結果を入力として前記暗号モジュール選定部302に行わせ、その選定結果を得る暗号モジュール選定指示部321dと、暗号化する対象となる被暗号情報とカテゴリIDとの入力を受け付ける暗号処理情報入力部321aと、被暗号情報を暗号化した結果である、暗号文、鍵生成を行った際に生成された暗号処理ID(鍵生成)、暗号処理を行った際に生成された暗号処理ID(暗号処理)を出力する出力部321cと、暗号処理部に対して、暗号処理または鍵生成を行わせる暗号処理指示部321bを有する。
【0131】
暗号評価情報データベース309は図17に示すように暗号評価情報を記憶している。暗号評価情報には暗号アルゴリズムIDが含まれる。
【0132】
次に、第5の実施形態における暗号処理システムの動作について説明する。
【0133】
ユーザからカテゴリID、被暗号情報が入力装置を介して入力されると、アプリケーション301は、コントローラ321にカテゴリID、被暗号情報を出力する(ステップS21)。なお、以下の図15の説明において、「ステップS21」は「図15の(1)であること」を意味し、「ステップS22」は「図15の(2)であること」を意味するものとし、その他も同様とする。
【0134】
コントローラ321は、カテゴリIDを暗号モジュール選定部302に出力する(ステップS22)。暗号モジュール選定部302は、コントローラ321から出力されたカテゴリIDに対応する暗号評価情報(暗号処理)を生成または取得し、コントローラ321に出力する。コントローラ321は、暗号モジュール選定部302から出力された暗号評価情報(暗号処理)に基づいて暗号評価情報データベース309を参照して、暗号評価情報を満たすアルゴリズムを特定する暗号アルゴリズムID(暗号処理)を取得する(ステップS23)。そして、この取得した暗号アルゴリズムIDを鍵選定鍵管理部304に出力する(ステップS24)。
【0135】
鍵選定鍵管理部304は、コントローラ321から出力されたアルゴリズムID(暗号処理)から、暗号鍵の生成を行うための暗号アルゴリズムを示す暗号アルゴリズムID(鍵生成)、暗号システムパラメータ情報を生成し、コントローラ321に出力する。
【0136】
暗号アルゴリズムID(鍵生成)が出力されると、コントローラ321は、アルゴリズムID(鍵生成)を暗号モジュール選定部302に出力する(ステップS25)。暗号モジュール選定部302は、コントローラ321から出力された暗号アルゴリズムID(鍵生成)から暗号評価情報(鍵生成)を生成し、コントローラ321に出力する。コントローラ321は、この暗号評価情報(鍵生成)を受けると、この暗号処理条件情報(鍵生成)と暗号システムパラメータ情報を暗号処理部320に出力し(ステップS26)、暗号処理部320によって生成される暗号鍵情報を受信する。
【0137】
暗号鍵情報を受信すると、コントローラ321は、暗号処理条件情報(鍵生成)を生成する(ステップS27)。ここで生成される暗号処理条件情報(鍵生成)は、暗号処理を行う際の暗号評価情報(暗号処理)、鍵生成を行う際の暗号評価情報(鍵生成)、処理タイプ、暗号処理を行う際の暗号アルゴリズムID(暗号処理)、暗号処理を行う際のカテゴリID(暗号処理)、暗号システムパラメータ情報、暗号鍵、暗号処理条件情報(鍵生成)を含む。そして、この暗号処理条件情報(鍵生成)を鍵選定鍵管理部304に出力する(ステップS28)。
【0138】
鍵選定鍵管理部304は、この暗号処理条件情報(鍵生成)に対応する暗号処理ID(鍵生成)を生成し、この生成した暗号処理ID(鍵生成)をコントローラ321に出力する。
【0139】
コントローラ321は、暗号処理ID(鍵生成)が鍵選定鍵管理部304から出力されると、暗号評価情報(暗号処理)と、暗号鍵、暗号システムパラメータ情報、被暗号情報を暗号処理部320に出力する(ステップS29)。暗号処理部320は、コントローラ321から出力された暗号システムパラメータ情報と暗号鍵とを利用し、暗号評価情報(暗号処理)を満たす暗号モジュールを選択し、被暗号情報を暗号化し、コントローラ321に出力する。
【0140】
コントローラ321は、暗号文を暗号処理部320から受け取ると、暗号処理条件情報(暗号処理)を生成する(ステップS30)。ここで生成する暗号処理条件情報(暗号処理)は、暗号処理を行う際の暗号評価情報(暗号処理)、処理タイプ、暗号アルゴリズムID(暗号処理)、カテゴリID(暗号処理)、暗号システムパラメータ情報、暗号鍵生成の際の暗号処理ID(鍵生成)を含んだ情報であり、コントローラ208は、この暗号処理条件情報(暗号処理)を暗号処理情報管理部306に出力する(ステップS31)。
【0141】
暗号処理情報管理部306は、コントローラ321から暗号処理条件情報(暗号処理)を受けると、その暗号処理条件情報の識別子である暗号処理ID(暗号処理)を生成し、この生成した暗号処理ID(暗号処理)と暗号処理条件情報(暗号処理)を対応づけて暗号処理情報DB305に記憶し、コントローラ321に暗号処理ID(暗号処理)を出力する。コントローラ321は、暗号処理情報管理部306から暗号処理ID(暗号処理)が出力されると、この暗号処理ID(暗号処理)、暗号処理ID(鍵生成)、暗号文をアプリケーション301に出力する(ステップS32)。
【0142】
この第5の実施形態によれば、ユーザは、暗号処理IDを保持していなくても、被暗号情報を暗号化することが可能である。また、暗号化された被暗号情報(平文)については、暗号処理ID(暗号処理)を指定して暗号文をコントローラ321に出力することによって、復号が可能である。
【0143】
<第6の実施形態>
次に、第6の実施形態について説明する。図18は、この第6の実施形態における暗号モジュール配信システムに用いられる暗号処理システムの構成を示す図である。図13が被暗号情報に対して新規に暗号処理を実行し暗号処理情報を出力する場合を示すことに比べ、図18は以前に実行した暗号処理と同一の条件で再度暗号処理を行い暗号処理情報を出力する場合を示している。これに伴い、第6の実施形態においては、前述した暗号モジュール選定部102が省略され、暗号処理条件情報取得部106bが付加されている。また、アプリケーション101及び暗号処理情報入力部108aは、再度の暗号処理に対応した動作を実行可能となっている。
【0144】
この図18において、アプリケーション101は、暗号処理される対象となる被暗号情報を、暗号処理ID(暗号化)とともにコントローラ108に出力し、暗号処理がされた後の情報(暗号文、暗号処理ID(暗号化・再現))をコントローラ108から得る。
【0145】
鍵・パラメータデータベース103は、暗号鍵情報や各暗号アルゴリズムで用いられる暗号システムパラメータが記憶される。
【0146】
鍵選定・鍵管理部104は、コントローラ108から暗号処理ID(暗号化)を受け取ると、暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを取得する暗号鍵選定部104aを有する。
【0147】
ここで暗号処理ID(暗号化)とは、既に被暗号情報に対して暗号処理が実行されたときの暗号処理条件情報を識別するための識別子である。
【0148】
暗号処理情報データベース105は、暗号処理情報管理部106からの指示に従って暗号処理ID(暗号化・再現)と暗号処理情報とを対応付けて記憶する。暗号処理ID(暗号化・再現)は、以前に実行した暗号処理を同一の条件で再実行した場合の暗号処理の暗号処理条件情報を識別するための識別子である。暗号処理条件情報は、暗号処理部107から暗号文を生成するさいに用いられた情報や鍵、処理方法等を特定するための情報であり、例えば暗号化を行った際の暗号評価情報、暗号アルゴリズムID(暗号化)、パラメータ情報、鍵を特定する際に必要となる暗号処理ID(鍵生成)である。暗号評価情報は、図17に示したように、暗号アルゴリズムID、暗号モジュールID及び安全性の評価結果を含んでいる。
【0149】
暗号処理情報管理部106は、暗号処理部107が被暗号情報を暗号処理した際に用いられた条件を特定するための情報となる暗号処理条件情報を特定するID(暗号化・再現)を生成する暗号処理ID生成部106aと、以前に暗号処理を行った際の暗号処理ID(暗号化)で暗号処理情報データベース105を検索しその際の暗号処理条件情報を取り出す暗号処理条件情報取得部106bを有する。
【0150】
暗号処理部107はアプリケーション101からコントローラ108に出力された被暗号情報について、暗号処理情報管理部106から得られた暗号処理条件情報に含まれる暗号評価情報に対応する暗号モジュールに従って暗号処理を施して暗号処理結果を生成してコントローラ108に出力する。
【0151】
コントローラ108は、アプリケーション101、鍵選定・鍵管理部104、暗号処理情報管理部106と接続される。
【0152】
このコントローラ108は、暗号処理する対象となる被暗号情報と、以前に暗号処理を行った際に生成された暗号処理ID(暗号化)をアプリケーション101から受け付ける暗号処理情報入力部108a、暗号処理情報入力部108aから入力される被暗号情報について、暗号処理を施した暗号処理結果を暗号処理部107によって生成させる暗号処理指示部108bと、暗号処理情報管理部106が生成した暗号処理ID(暗号化・再現)と暗号処理部107によって生成される暗号処理結果とをアプリケーション101に出力する出力部108cとを有する。
【0153】
次に、第6の実施形態における動作について説明する。ここでは、ユーザが暗号処理ID(暗号化)を所定のメモリ内に利用可能に記憶している場合に再度暗号化を行う処理について説明する。
【0154】
まず、ユーザによってアプリケーション101に暗号化する対象となる被暗号情報が選択され、暗号化・再現の指示がキーボード等の入力装置から入力されたとする。このとき、アプリケーション101は、所定のメモリ領域に記憶された暗号処理ID(暗号化)を読み出すとともに、入力された被暗号情報をコントローラ108に出力する(ステップS1)。なお、以下の図18の説明において「ステップS41」は「図18の(1)であること」を意味し、「ステップS42」は「図18の(2)であること」を意味するものとし、その他も同様とする。
【0155】
コントローラ108においては、アプリケーション101から暗号処理ID(暗号化)及び被暗号情報が入力されると(ステップS41)、暗号処理情報入力部108aが、暗号処理ID(暗号化)を暗号処理情報管理部106に出力する(ステップS42)。
【0156】
暗号処理情報管理部106においては、暗号処理条件情報取得部106bが、この暗号処理ID(暗号化)に対応する暗号処理条件情報を暗号処理情報DB105から読み出してコントローラ108に出力する。
【0157】
コントローラ108においては、暗号処理情報入力部108aが、アプリケーション101から出力された暗号処理ID(暗号化)を鍵選定・鍵管理部104に出力する(ステップS43)。
【0158】
鍵選定・鍵管理部104においては、暗号鍵選定部104aが、この暗号処理ID(暗号化)に対応する鍵、暗号システムパラメータ情報、暗号アルゴリズムIDを、鍵・パラメータデータベース103および暗号処理情報データベース105から読み出してコントローラ108に出力する。ここでいう暗号鍵、暗号システムパラメータ情報、暗号アルゴリズムIDの抽出は上記のとおりであり、鍵選定・鍵管理部104が直接実行しても良いし、または鍵選定・鍵管理部104が暗号処理情報管理部106に抽出依頼を行い、暗号処理情報管理部106を介して抽出してもかまわない。
【0159】
コントローラ108においては、暗号処理指示部108bが、暗号処理情報管理部106から出力された暗号処理条件情報のなかから暗号評価情報を取得する(ステップS44)。
【0160】
コントローラ108においては、暗号処理指示部108bが、被暗号情報と、暗号評価情報と、鍵選定・鍵管理部104から出力された鍵、暗号システムパラメータ情報とを暗号処理部107に出力する(ステップS45)。
【0161】
暗号処理部107は、被暗号情報、暗号評価情報、鍵、暗号システムパラメータ情報を受けると、暗号システムパラメータ情報と鍵とに基づき、暗号評価情報を満たす暗号モジュールを実行することによって、被暗号情報を暗号化して得られた暗号文をコントローラ108に出力する。
【0162】
暗号処理部107から暗号文が出力されると、コントローラ108においては、暗号処理指示部108bが、暗号処理条件情報を生成する(ステップS46)。ここで生成される暗号処理条件情報は、暗号処理部107から暗号文を生成するさいに用いられた情報や鍵、処理方法等を特定するための情報であり、例えば暗号化を行った際の暗号評価情報、暗号アルゴリズムID(暗号化)、パラメータ情報、鍵を特定する際に必要となる暗号処理ID(鍵生成)である。そして、コントローラ108においては、暗号処理指示部108bが、この暗号処理条件情報を暗号処理情報管理部106に出力する(ステップS47)。
【0163】
暗号処理情報管理部106においては、暗号処理ID生成部106aが、この暗号処理条件情報を受けると、暗号処理ID(暗号化・再現)を生成し、この生成した暗号処理ID(暗号化・再現)とコントローラ108から受けた暗号処理条件情報とを対応付けて暗号処理情報データベース105に記憶するとともに、暗号処理ID(暗号化・再現)をコントローラ108に出力する。コントローラ108においては、出力部108cが、この暗号処理ID(暗号化・再現)と暗号処理部107にて生成された暗号文とをアプリケーション101に出力する(ステップS48)。
【0164】
以上説明した第6の実施形態によれば、被暗号情報を暗号化する処理に必要な条件を、以前行った際に出力された暗号処理IDから取得する。これにより、以前と同じ条件(同じ鍵、暗号パラメータ)で暗号処理を行いたい場合に、アプリケーション101では暗号処理IDを入力するだけですむ。
【0165】
以上説明した第3から第6の実施形態によれば、暗号処理に必要な暗号鍵、暗号システムパラメータ情報を集中的に管理し、ユーザには鍵・パラメータ情報の実体ではなくこれらを特定可能なIDのみを見せることで、ユーザが管理すべき情報を削減し、容易に暗号処理を実行できる。
【0166】
また、暗号処理を行った際の情報を管理し、その情報にアクセスするIDをユーザに提供することで、以降の処理(復号処理、再現処理)を行う際にはそのIDを指定すれば鍵、パラメータ情報、アルゴリズム等の暗号処理に必要な情報を入力する必要なく暗号処理を実行できる。
【0167】
換言すると、暗号処理を行うために必要となる鍵、パラメータ等の情報をそれらの組み合わせに応じて暗号処理IDを付して管理するようにしたので、ユーザは、暗号処理IDがわかれば、これらの情報をすべて把握する必要がなくなり、暗号化や復号に関する知識の無いユーザでも、暗号処理や復号処理を容易に実行することが可能になる。また、暗号処理IDで管理することで、管理負担を軽減することが可能となる。
【0168】
また、暗号処理を複数(例えば、11種類)のカテゴリに分類し、カテゴリを指定すれば暗号処理システム内部で必要な鍵情報を自動生成しその鍵を使って暗号処理を実行する。これにより、ユーザは暗号処理の際にカテゴリIDのみを指定すればよくなる。
【0169】
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより暗号処理の管理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0170】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0171】
そして、各暗号モジュール選定部102,159,202,302では、暗号化や署名生成などの暗号のカテゴリを認識していることからも分かるように、本発明は暗号化のみならず署名生成にも用いることが出来る。
【0172】
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【図面の簡単な説明】
【0173】
【図1】本発明の第1の実施形態による暗号モジュール配信システムの構成を示すブロック図である。
【図2】同実施形態による暗号クライアント装置の構成を示すブロック図である。
【図3】同実施形態による暗号管理サーバ装置の構成を示すブロック図である。
【図4】本発明の第2の実施形態による暗号モジュール配信システムの構成を示すブロック図である。
【図5】同実施形態による暗号クライアント装置の構成を示すブロック図である。
【図6】同実施形態による選定DBのデータ構成例を示す図である。
【図7】同実施形態による暗号モジュールリンクDBのデータ構成例を示す図である。
【図8】同実施形態による暗号モジュールDBのデータ構成例を示す図である。
【図9】同実施形態による鍵情報DBのデータ構成例を示す図である。
【図10】同実施形態による暗号処理DBのデータ構成例を示す図である。
【図11】同実施形態によるデータベースの論理構成を示す図である。
【図12】同実施形態による暗号管理サーバ装置の構成を示すブロック図である。
【図13】本発明の第3の実施形態におけるセキュリティ情報通信システムに用いられる暗号処理システムの構成を示す図である。
【図14】本発明の第4の実施形態におけるセキュリティ情報通信システムに用いられる暗号処理システムの構成を示す図である。
【図15】本発明の第5の実施形態におけるセキュリティ情報通信システムに用いられる暗号処理システムの構成を示す図である。
【図16】本発明の第3、第4、第5の実施形態に共通する鍵パラメータDB、暗号処理情報DBの構成例を示す図である。
【図17】本発明の第3、第4、第5の実施形態に共通する暗号評価DBの構成例を示す図である。
【図18】本発明の第6の実施形態におけるセキュリティ情報通信システムに用いられる暗号処理システムの構成を示す図である。
【符号の説明】
【0174】
101,201,301…アプリケーション、102,159,202,302…暗号モジュール選定部、103,203,303…鍵・パラメータデータベース、104,204,304…鍵選定鍵管理部、105,157,205,305…暗号処理情報データベース、106,206,306…暗号処理情報管理部、107,207,320…暗号処理部、108,208,321…コントローラ、150…暗号クライアント装置、151,1151…上位システム部、152,1152…暗号制御マネージャ部、153,1153…暗号実装部、154…暗号実装I/F部、155,356,1155,1356…通信機能、156,1156…暗号処理制御部、158…暗号モジュール選定ポリシ、160,1160…ハードウェアプロファイル、161…アクセス制御ポリシ、162…鍵情報管理部、163,354,1354…暗号評価DB、164,353,1353,1603…暗号モジュールDB、165,1165…鍵情報DB、166,351…暗号管理部、167…暗号制御マネージャポリシ、168…アルゴリズムネゴシエーション部、169…セキュア通信管理部、170…暗号ハードウェア管理制御部、307…暗号パッケージ、308…暗号モジュール、309…暗号評価記述ファイル、350,1350…暗号管理サーバ装置、352…暗号配信部、355…暗号登録部、357…暗号パッケージ登録部、358…複合型記述生成部、359…暗号パッケージ配信制御部、360…配布暗号モジュール選定部、370,1370…暗号パッケージ配布構成部、371,1371…配布ポリシ、450…暗号ハードウェア部、1158…選定ポリシ、1162…鍵管理部、1166,1351…暗号パッケージ管理部、1170…暗号ハードウェア管理制御部、1352…暗号管理サーバ制御部、1355…暗号パッケージ記憶部、1359…暗号パッケージ官制部、1372…ドメイン情報、1373…配布暗号パッケージ選定部、1380…サーバ上位システム部、1390…サーバ暗号制御マネージャ部、1450…暗号ハードウェア、1600…暗号情報記憶部、1601…選定DB、1602…暗号モジュールリンクDB、1604…暗号処理DB
【特許請求の範囲】
【請求項1】
被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶する記憶部と、
前記被暗号情報と暗号鍵の検索要求情報の入力とを受け付ける暗号処理情報入力部と、
前記入力された暗号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する暗号鍵を含む暗号鍵情報を取得する暗号鍵情報取得部と、
前記暗号鍵情報取得部により取得した暗号鍵情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する暗号評価記述情報取得部と、
前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成部と、
前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力部と、
を有することを特徴とする暗号管理装置。
【請求項2】
被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶する記憶部と、
前記被暗号情報と暗号鍵の生成要求情報の入力とを受け付ける暗号処理情報入力部と、
前記入力された暗号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する暗号鍵を生成するための暗号システムパラメータ情報を取得する暗号パラメータ情報取得部と、
前記取得した暗号システムパラメータ情報に基づいて生成された暗号鍵と当該暗号システムパラメータ情報とを関連付けて暗号鍵生成条件情報を生成し、この生成した暗号鍵生成条件情報を識別するための識別子を付与する暗号鍵生成ID生成部と、
前記生成された暗号鍵生成条件情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する第1の暗号評価記述情報取得部と、
前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成部と、
前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力部と、
を有することを特徴とする暗号管理装置。
【請求項3】
前記暗号評価記述情報取得部は、当該暗号管理装置に接続された暗号モジュール選定装置に対し、前記暗号鍵情報取得部により取得した暗号鍵情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得することを特徴とする請求項1または2記載の暗号管理装置。
【請求項4】
前記暗号システムパラメータ情報から暗号鍵を生成するための暗号鍵生成モジュールの評価記述情報を取得する第2の暗号評価記述情報取得部と、
前記第2の暗号評価記述情報取得部により取得された暗号鍵生成モジュールの評価記述情報、及び前記暗号パラメータ情報取得部から取得された暗号システムパラメータ情報とから暗号鍵を生成する暗号鍵生成部と
をさらに有することを特徴とする請求項2または請求項3に記載の暗号管理装置。
【請求項5】
前記第1の暗号評価記述情報取得部により取得した暗号評価記述情報と、前記暗号鍵情報取得部により取得した暗号鍵情報とに基づいて、前記被暗号情報に暗号処理を実行する暗号処理部とをさらに備えることを特徴とする請求項4記載の暗号管理装置。
【請求項6】
暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶する記憶部と、
前記暗号化情報と復号鍵の検索要求情報の入力とを受け付ける復号処理情報入力部と、
前記入力された復号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する復号鍵を含む復号鍵情報を取得する復号鍵情報取得部と、
前記復号鍵情報取得部により取得した復号鍵情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する復号評価記述情報取得部と、
前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成部と、
前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力部と、
を有することを特徴とする復号管理装置。
【請求項7】
暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶する記憶部と、
前記暗号化情報と復号鍵の生成要求情報の入力とを受け付ける復号処理情報入力部と、
前記入力された復号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する復号鍵を生成するための復号システムパラメータ情報を取得する復号パラメータ情報取得部と、
前記取得した復号システムパラメータ情報に基づいて生成された復号鍵と当該復号システムパラメータ情報とを関連付けて復号鍵生成条件情報を生成し、この生成した復号鍵生成条件情報を識別するための識別子を付与する復号鍵生成ID生成部と、
前記生成された復号鍵生成条件情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する第1の復号評価記述情報取得部と、
前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成部と、
前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力部と、
を有することを特徴とする復号管理装置。
【請求項8】
前記復号評価記述情報取得部は、当該復号管理装置に接続された復号モジュール選定装置に対し、前記復号鍵情報取得部により取得した復号鍵情報に対応する復号処理に適する復号モジュールの評価記述情報を取得することを特徴とする請求項6または7記載の復号管理装置。
【請求項9】
前記復号システムパラメータ情報から復号鍵を生成するための復号鍵生成モジュールの評価記述情報を取得する第2の復号評価記述情報取得部と、
前記第2の復号評価記述情報取得部により取得された復号鍵生成モジュールの評価記述情報、及び前記復号パラメータ情報取得部から取得された復号システムパラメータ情報とから復号鍵を生成する復号鍵生成部と
をさらに有することを特徴とする請求項7または請求項8に記載の復号管理装置。
【請求項10】
前記第1の復号評価記述情報取得部により取得した復号評価記述情報と、前記復号鍵情報取得部により取得した復号鍵情報とに基づいて、前記暗号化情報に復号処理を実行する復号処理部とをさらに備えることを特徴とする請求項9記載の復号管理装置。
【請求項11】
暗号管理装置であるコンピュータに、
被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶部に記憶する記憶機能と、
前記被暗号情報と暗号鍵の検索要求情報の入力とを受け付ける暗号処理情報入力機能と、
前記入力された暗号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する暗号鍵を含む暗号鍵情報を取得する暗号鍵情報取得機能と、
前記暗号鍵情報取得機能により取得した暗号鍵情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する暗号評価記述情報取得機能と、
前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成機能と、
前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力機能とを実現させるためのプログラム。
【請求項12】
暗号管理装置であるコンピュータに、
被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶部に記憶する記憶機能と、
前記被暗号情報と暗号鍵の生成要求情報の入力とを受け付ける暗号処理情報入力機能と、
前記入力された暗号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する暗号鍵を生成するための暗号システムパラメータ情報を取得する暗号パラメータ情報取得機能と、
前記取得した暗号システムパラメータ情報に基づいて生成された暗号鍵と当該暗号システムパラメータ情報とを関連付けて暗号鍵生成条件情報を生成し、この生成した暗号鍵生成条件情報を識別するための識別子を付与する暗号鍵生成ID生成機能と、
前記生成された暗号鍵生成条件情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する第1の暗号評価記述情報取得機能と、
前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成機能と、
前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力機能とを実現させるためのプログラム。
【請求項13】
復号管理装置であるコンピュータに、
暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶部に記憶する記憶機能と、
前記暗号化情報と復号鍵の検索要求情報の入力とを受け付ける復号処理情報入力機能と、
前記入力された復号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する復号鍵を含む復号鍵情報を取得する復号鍵情報取得機能と、
前記復号鍵情報取得機能により取得した復号鍵情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する復号評価記述情報取得機能と、
前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成機能と、
前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力機能とを実現させるためのプログラム。
【請求項14】
復号管理装置であるコンピュータに、
暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶部に記憶する記憶機能と、
前記暗号化情報と復号鍵の生成要求情報の入力とを受け付ける復号処理情報入力機能と、
前記入力された復号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する復号鍵を生成するための復号システムパラメータ情報を取得する復号パラメータ情報取得機能と、
前記取得した復号システムパラメータ情報に基づいて生成された復号鍵と当該復号システムパラメータ情報とを関連付けて復号鍵生成条件情報を生成し、この生成した復号鍵生成条件情報を識別するための識別子を付与する復号鍵生成ID生成機能と、
前記生成された復号鍵生成条件情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する第1の復号評価記述情報取得機能と、
前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成機能と、
前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力機能とを実現させるためのプログラム。
【請求項15】
被暗号情報に対して暗号処理を実行する際の暗号鍵情報と、暗号処理を実行した際の暗号処理条件情報とを記憶する記憶部を有した暗号管理装置であって、
前記被暗号情報と以前実行した暗号処理の暗号処理条件情報を識別するための暗号処理IDを入力として受け付ける暗号処理要求受付手段と、
前記暗号処理IDに紐づいた以前実行した暗号処理時と同様の暗号鍵情報や暗号システムパラメータ情報を取得する暗号コンテキスト情報取得手段と、
前記暗号コンテキスト情報取得手段で取得した暗号鍵情報や暗号システムパラメータ情報に基づいて、前記被暗号情報に暗号処理を実行する暗号処理手段と、
前記暗号処理結果に対する暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成手段と、
前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力手段と、
を備えたことを特徴とする暗号管理装置。
【請求項1】
被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶する記憶部と、
前記被暗号情報と暗号鍵の検索要求情報の入力とを受け付ける暗号処理情報入力部と、
前記入力された暗号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する暗号鍵を含む暗号鍵情報を取得する暗号鍵情報取得部と、
前記暗号鍵情報取得部により取得した暗号鍵情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する暗号評価記述情報取得部と、
前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成部と、
前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力部と、
を有することを特徴とする暗号管理装置。
【請求項2】
被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶する記憶部と、
前記被暗号情報と暗号鍵の生成要求情報の入力とを受け付ける暗号処理情報入力部と、
前記入力された暗号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する暗号鍵を生成するための暗号システムパラメータ情報を取得する暗号パラメータ情報取得部と、
前記取得した暗号システムパラメータ情報に基づいて生成された暗号鍵と当該暗号システムパラメータ情報とを関連付けて暗号鍵生成条件情報を生成し、この生成した暗号鍵生成条件情報を識別するための識別子を付与する暗号鍵生成ID生成部と、
前記生成された暗号鍵生成条件情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する第1の暗号評価記述情報取得部と、
前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成部と、
前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力部と、
を有することを特徴とする暗号管理装置。
【請求項3】
前記暗号評価記述情報取得部は、当該暗号管理装置に接続された暗号モジュール選定装置に対し、前記暗号鍵情報取得部により取得した暗号鍵情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得することを特徴とする請求項1または2記載の暗号管理装置。
【請求項4】
前記暗号システムパラメータ情報から暗号鍵を生成するための暗号鍵生成モジュールの評価記述情報を取得する第2の暗号評価記述情報取得部と、
前記第2の暗号評価記述情報取得部により取得された暗号鍵生成モジュールの評価記述情報、及び前記暗号パラメータ情報取得部から取得された暗号システムパラメータ情報とから暗号鍵を生成する暗号鍵生成部と
をさらに有することを特徴とする請求項2または請求項3に記載の暗号管理装置。
【請求項5】
前記第1の暗号評価記述情報取得部により取得した暗号評価記述情報と、前記暗号鍵情報取得部により取得した暗号鍵情報とに基づいて、前記被暗号情報に暗号処理を実行する暗号処理部とをさらに備えることを特徴とする請求項4記載の暗号管理装置。
【請求項6】
暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶する記憶部と、
前記暗号化情報と復号鍵の検索要求情報の入力とを受け付ける復号処理情報入力部と、
前記入力された復号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する復号鍵を含む復号鍵情報を取得する復号鍵情報取得部と、
前記復号鍵情報取得部により取得した復号鍵情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する復号評価記述情報取得部と、
前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成部と、
前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力部と、
を有することを特徴とする復号管理装置。
【請求項7】
暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶する記憶部と、
前記暗号化情報と復号鍵の生成要求情報の入力とを受け付ける復号処理情報入力部と、
前記入力された復号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する復号鍵を生成するための復号システムパラメータ情報を取得する復号パラメータ情報取得部と、
前記取得した復号システムパラメータ情報に基づいて生成された復号鍵と当該復号システムパラメータ情報とを関連付けて復号鍵生成条件情報を生成し、この生成した復号鍵生成条件情報を識別するための識別子を付与する復号鍵生成ID生成部と、
前記生成された復号鍵生成条件情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する第1の復号評価記述情報取得部と、
前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成部と、
前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力部と、
を有することを特徴とする復号管理装置。
【請求項8】
前記復号評価記述情報取得部は、当該復号管理装置に接続された復号モジュール選定装置に対し、前記復号鍵情報取得部により取得した復号鍵情報に対応する復号処理に適する復号モジュールの評価記述情報を取得することを特徴とする請求項6または7記載の復号管理装置。
【請求項9】
前記復号システムパラメータ情報から復号鍵を生成するための復号鍵生成モジュールの評価記述情報を取得する第2の復号評価記述情報取得部と、
前記第2の復号評価記述情報取得部により取得された復号鍵生成モジュールの評価記述情報、及び前記復号パラメータ情報取得部から取得された復号システムパラメータ情報とから復号鍵を生成する復号鍵生成部と
をさらに有することを特徴とする請求項7または請求項8に記載の復号管理装置。
【請求項10】
前記第1の復号評価記述情報取得部により取得した復号評価記述情報と、前記復号鍵情報取得部により取得した復号鍵情報とに基づいて、前記暗号化情報に復号処理を実行する復号処理部とをさらに備えることを特徴とする請求項9記載の復号管理装置。
【請求項11】
暗号管理装置であるコンピュータに、
被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶部に記憶する記憶機能と、
前記被暗号情報と暗号鍵の検索要求情報の入力とを受け付ける暗号処理情報入力機能と、
前記入力された暗号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する暗号鍵を含む暗号鍵情報を取得する暗号鍵情報取得機能と、
前記暗号鍵情報取得機能により取得した暗号鍵情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する暗号評価記述情報取得機能と、
前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成機能と、
前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力機能とを実現させるためのプログラム。
【請求項12】
暗号管理装置であるコンピュータに、
被暗号情報に対して暗号処理を実行する際の暗号鍵を含み当該暗号鍵に関する暗号鍵情報と、当該暗号鍵情報を含み当該暗号処理実行時の暗号条件である暗号処理条件情報とをそれぞれ記憶部に記憶する記憶機能と、
前記被暗号情報と暗号鍵の生成要求情報の入力とを受け付ける暗号処理情報入力機能と、
前記入力された暗号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する暗号鍵を生成するための暗号システムパラメータ情報を取得する暗号パラメータ情報取得機能と、
前記取得した暗号システムパラメータ情報に基づいて生成された暗号鍵と当該暗号システムパラメータ情報とを関連付けて暗号鍵生成条件情報を生成し、この生成した暗号鍵生成条件情報を識別するための識別子を付与する暗号鍵生成ID生成機能と、
前記生成された暗号鍵生成条件情報に対応する暗号処理に適する暗号モジュールの評価記述情報を取得する第1の暗号評価記述情報取得機能と、
前記取得した評価記述情報に対応する暗号モジュールと前記暗号鍵情報により前記被暗号情報に暗号処理を実行した際の暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成機能と、
前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力機能とを実現させるためのプログラム。
【請求項13】
復号管理装置であるコンピュータに、
暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶部に記憶する記憶機能と、
前記暗号化情報と復号鍵の検索要求情報の入力とを受け付ける復号処理情報入力機能と、
前記入力された復号鍵の検索要求情報に基づいて、前記記憶部から当該検索要求情報に対応する復号鍵を含む復号鍵情報を取得する復号鍵情報取得機能と、
前記復号鍵情報取得機能により取得した復号鍵情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する復号評価記述情報取得機能と、
前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成機能と、
前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力機能とを実現させるためのプログラム。
【請求項14】
復号管理装置であるコンピュータに、
暗号化情報に対して復号処理を実行する際の復号鍵を含み当該復号鍵に関する復号鍵情報と、当該復号鍵情報を含み当該復号処理実行時の復号条件である復号処理条件情報とをそれぞれ記憶部に記憶する記憶機能と、
前記暗号化情報と復号鍵の生成要求情報の入力とを受け付ける復号処理情報入力機能と、
前記入力された復号鍵の生成要求情報に基づいて、前記記憶部から当該生成要求情報に対応する復号鍵を生成するための復号システムパラメータ情報を取得する復号パラメータ情報取得機能と、
前記取得した復号システムパラメータ情報に基づいて生成された復号鍵と当該復号システムパラメータ情報とを関連付けて復号鍵生成条件情報を生成し、この生成した復号鍵生成条件情報を識別するための識別子を付与する復号鍵生成ID生成機能と、
前記生成された復号鍵生成条件情報に対応する復号処理に適する復号モジュールの評価記述情報を取得する第1の復号評価記述情報取得機能と、
前記取得した評価記述情報に対応する復号モジュールと前記復号鍵情報により前記暗号化情報に復号処理を実行した際の復号処理条件情報を識別するための識別子を付与する復号処理ID生成機能と、
前記付与された復号処理条件情報の識別子と前記暗号化情報に対する復号処理の結果である復号処理結果とを出力する出力機能とを実現させるためのプログラム。
【請求項15】
被暗号情報に対して暗号処理を実行する際の暗号鍵情報と、暗号処理を実行した際の暗号処理条件情報とを記憶する記憶部を有した暗号管理装置であって、
前記被暗号情報と以前実行した暗号処理の暗号処理条件情報を識別するための暗号処理IDを入力として受け付ける暗号処理要求受付手段と、
前記暗号処理IDに紐づいた以前実行した暗号処理時と同様の暗号鍵情報や暗号システムパラメータ情報を取得する暗号コンテキスト情報取得手段と、
前記暗号コンテキスト情報取得手段で取得した暗号鍵情報や暗号システムパラメータ情報に基づいて、前記被暗号情報に暗号処理を実行する暗号処理手段と、
前記暗号処理結果に対する暗号処理条件情報を識別するための識別子を付与する暗号処理ID生成手段と、
前記付与された暗号処理条件情報の識別子と前記被暗号情報に対する暗号処理の結果である暗号処理結果とを出力する出力手段と、
を備えたことを特徴とする暗号管理装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2009−100462(P2009−100462A)
【公開日】平成21年5月7日(2009.5.7)
【国際特許分類】
【出願番号】特願2008−241591(P2008−241591)
【出願日】平成20年9月19日(2008.9.19)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成15年度から平成17年度、独立行政法人情報通信研究機構、高度通信・放送研究に関する委託事業、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【出願人】(397065136)株式会社横須賀テレコムリサーチパーク (28)
【Fターム(参考)】
【公開日】平成21年5月7日(2009.5.7)
【国際特許分類】
【出願日】平成20年9月19日(2008.9.19)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成15年度から平成17年度、独立行政法人情報通信研究機構、高度通信・放送研究に関する委託事業、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【出願人】(397065136)株式会社横須賀テレコムリサーチパーク (28)
【Fターム(参考)】
[ Back to top ]