説明

端末データ管理システム

【課題】
法人利用の携帯電話のデータは企業の持ち物であり,会社が認めた携帯電話およびICカードデバイスに限り,データを回収し,データを回収した後確実に削除し,さらに、新たな携帯電話に回収したデータをコピーする仕組みが必要である。
【解決手段】
携帯電話の通常利用時には,業務サーバ装置からダウンロードした業務データは,配付暗号化し保存しておく。携帯電話の紛失時に、回収センタ装置(モバイルキャリア)は,暗号化されて携帯電話内に保存されている業務データをコピーする。コピーに成功すれば,携帯電話内の業務データを削除し,削除した証拠となる削除済みトークンを生成する。新たな携帯電話が準備できたら,回収センタ装置から、暗号化データおよび削除済みトークンを,業務サーバ装置に転送する。業務サーバ装置は削除済みトークン内に含まれる端末ID,デバイスIDから復号鍵を再生し,暗号化データを復号する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は,情報処理端末のデータを回収し,他の情報処理端末にデータを戻す端末データ管理システムに関する。
【背景技術】
【0002】
近年,携帯電話等、通信機能付き情報処理端末(以下,携帯電話という)の普及に伴い,多くのユーザが携帯電話を常に持ち歩くようになってきた。特に個人利用だけでなく,企業において業務に使われるようになってきた。携帯電話を紛失してしまうと,他人に拾われ携帯電話の中に保存されている機密データが流出し,企業の情報漏えい事故につながるおそれがある。このような脅威に対して、紛失した携帯電話の中のデータを削除するサービスなども始まっている。このようなサービスを使えば,データ流出による情報漏えい事故を未然に防ぐことは可能となるが,データを削除するだけでなく,格納されているデータを回収したいという要求は強い。
【0003】
公知技術として,携帯電話端末を紛失した場合に,保守サービスセンタに電話をかけて,センタにデータを回収し,携帯電話内のデータを消去し,携帯電話が戻った時にデータをセンタから戻す方法が知られている(たとえば特許文献1)。また,新たな携帯電話を購入したときに,データをサーバにバックアップし,新たな携帯電話に適する形にデータを変換してダウンロードする方法が知られている(たとえば特許文献2)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2000−270376号公報
【特許文献2】特開2003−218782号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1および特許文献2では、オペレータが回収したデータにアクセスできしまう。
【0006】
また,携帯電話内のデータは個人の所有物(個人の秘密データ)であり,個人の責任で,回収され,その後携帯電話に戻される。
【0007】
一方、法人利用の携帯電話では,携帯電話内のデータは企業の所有物であり,会社が認めた携帯電話およびICカードデバイスに限りデータを保持したり,回収したデータを戻したりできる仕組みが必要であるが,特許文献1および特許文献2ではそれが解決できていない。
【0008】
また,特許文献1および特許文献2では,携帯電話内のデータを削除しているが,本当に削除されているのかの保証が無い。
【課題を解決するための手段】
【0009】
携帯電話等、携帯型情報処理装置(以下、携帯電話という)のデータを回収し、携帯電話内のデータを削除するデータ回収システムが開示される。さらには,回収したデータを新たな携帯電話に格納するシステムが開示される。
【0010】
さらに詳しくは,携帯電話の通常利用時には,社内業務サーバ装置からダウンロードした業務データは,会社から配付されたICカードを用いて暗号化し保存しておく。紛失時には回収センタ装置(モバイルキャリア)に連絡することにより,暗号化されたまま携帯電話内に保存されている業務データを回収する。回収に成功すれば,携帯電話内の業務データを削除する(すなわち、携帯電話から回収センタ装置にデータを移動する)。
【0011】
また、携帯電話内は、データを削除した証拠となる削除済みトークンを生成して回収センタ装置に送信し、回収センタ装置は、回収された暗号化データおよび削除済みトークンを,社内業務サーバ装置に返却する。社内業務サーバ装置は、削除済みトークン内に含まれる端末ID,デバイスIDから復号鍵を再生し,暗号化データを復号し,新たな携帯電話と新たなICカードをユーザに配付する。
【0012】
提供される端末データ管理システムは,より具体的には,
ICカード装置が接続された端末装置と、端末装置にデータを送信する業務センタ装置と、端末装置に格納されたデータを回収する回収センタ装置と、を含み、
端末装置は、ICカード装置が記憶する暗号鍵で、業務センタ装置から受信したデータが暗号化された暗号化データを保管し、回収センタ装置による、端末データの回収要求に従って,保管している暗号化データを,回収センタ装置に送信し,暗号化データを受信した回収センタ装置のデータ削除要求に従って,保管している暗号化データを削除し,
ICカード装置は、端末装置が暗号化データを削除した証拠となる削除済みトークンを生成し,
端末装置は,回収センタ装置に,削除済みトークンを送信し,
回収センタ装置は,送信された、暗号化データと削除済みトークンとを保管し,
業務センタ装置は,回収データの返却要求を回収センタ装置に送信し,
回収センタ装置は,暗号化データと削除済みトークンを,業務センタ装置に送信し,
業務センタ装置は,削除済みトークンと暗号化データとから、データを復号する
ことを特徴とする。
【発明の効果】
【0013】
携帯電話等、端末を紛失した場合に、内部の業務データを秘匿したままで回収センタに移動させ(すなわち,携帯電話端末内の業務データは削除し),新たな端末に,移動した業務データを復元することが可能になる。
【図面の簡単な説明】
【0014】
【図1】実施例1のモバイル端末データ管理システムの構成を例示する。
【図2】モバイル端末装置,業務センタ装置,回収センタ装置のハードウェア構成を例示する。
【図3】ICカード装置のハードウェア構成を例示する。
【図4】実施例1の初期設定の処理フローを例示する。
【図5】実施例1のデータ持出しの処理フローを例示する。
【図6】実施例1のデータ利用の処理フローを例示する。
【図7】実施例1のデータ回収の処理フローを例示する。
【図8】実施例1のデータ復元の処理フローを例示する。
【図9】実施例1の端末デバイス鍵生成の処理フローを例示する。
【図10】実施例1のデータ暗号化の処理フローを例示する。
【図11】実施例1のデータ復号の処理フローを例示する。
【図12】実施例1のデータ復元の処理フローを例示する。
【図13】実施例1のトークン生成とトークン検証の処理フローを例示する。
【図14】実施例1の端末デバイス鍵生成処理の詳細を例示する。
【図15】実施例1の暗号鍵生成処理の詳細を例示する。
【発明を実施するための形態】
【0015】
本発明の実施形態について説明する。なお,これにより本発明が限定されるものではない。
【実施例1】
【0016】
図1は,本実施例1のモバイル端末データ管理システムの構成図である。本実施例のモバイル端末データ管理システムは,図1に示すように,モバイル端末装置20と業務センタ装置30と回収センタ装置40がインターネットなどのネットワーク60を解して互いに接続され,さらにモバイル端末装置20には,ICカード装置10が接続されている。
【0017】
業務センタ装置30は,ネットワーク60を介して,モバイル端末装置20と回収センタ装置40とデータを送受信する通信部301と,モバイル端末装置20からのデータ持出要求時に,ユーザ認証を行う認証処理部302と,前記認証処理を行うための鍵や,業務センタ装置のマスタ鍵を保管する鍵保管部303と,平文データの暗号化と暗号化データの復号を行う,データ暗復号部304と,業務データの作成と編集を行うデータ生成部305と,前記業務センタ装置のマスタ鍵から,ユーザごとの端末デバイス鍵を生成する鍵生成部306と,を含む。
【0018】
モバイル端末装置20は,ネットワーク60を介して,モバイル端末装置20と回収センタ装置40とデータを送受信する通信部201と,暗号化データを保管するデータ保管部202と,業務データの作成と編集を行うデータ処理部203と,平文データの暗号化と暗号化データの復号を行う,データ暗復号部204と,ICカード装置10とコマンドを送受信するICカードアクセス部205と,を含む。
【0019】
ICカード装置10は,モバイル端末装置20とコマンドを送受信するデータ送受信部101と,モバイル端末装置20からの暗号鍵要求時と,復号鍵要求時に,ユーザ認証を行う認証関連処理部102と,モバイル端末装置20からの削除済みトークン生成要求時に削除済みトークンを生成するトークン生成部105と,前記認証関連処理部102と前記トークン生成部105で使う鍵と,端末デバイス鍵を,保管する鍵保管部103と,前記端末デバイス鍵から暗号鍵と復号鍵を生成する鍵生成部106と,暗号化データを保管するデータ保管部104と,を含む。
【0020】
回収センタ装置40は,ネットワーク60を介して,モバイル端末装置20と業務センタ装置30とデータを送受信する通信部401と,業務センタ装置30からのデータ回収要求時に業務センタ装置30を認証する認証処理部402と,前記認証処理部で使う鍵を保管する鍵保管部403と,前記通信部401と介して,前記モバイル端末装置20から暗号データと削除済みトークンを吸い上げる回収処理部404と,前記回収処理部404で吸い上げたデータを保管する回収データ保管部405と,を含む。
【0021】
図2は,モバイル端末装置20,業務センタ装置30,回収センタ装置40のハードウェア構成図である。モバイル端末装置20は,CPU21,主記憶装置22,補助記憶装置24,通信装置25,入出力装置26,記憶媒体28の読取装置27などがバスなどの内部通信線29で接続された計算機を用いて実現できる。
【0022】
図示を省略するが,業務センタ装置30,および回収センタ装置40も,規模や性能の違いを除けば,モバイル端末装置20と同様のハードウェア構成を備える計算機を用いて実現できる。
【0023】
図3は,ICカード装置10のハードウェア構成である。ICカード装置10は,入出力装置11,CPU12,耐タンパ記憶装置13,耐タンパメモリ14などがバスなどの内部通信線15で接続された構成を備える。
【0024】
本実施例の認証処理について説明する。各装置の補助記憶装置24に格納された処理プログラムが主記憶装置22にロードされ,CPU21により実行されることにより,以下に説明する各処理部が具現化され,各処理部によって以下の処理が実行される。また,各プログラムは予め補助記憶装置24に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク,またはネットワークを伝搬する搬送波またはディジタル信号)を介して,必要なときにロードされても良い。
【0025】
図4は,ICカード装置10とモバイル端末装置20の組み合わせで使用できる端末デバイス鍵を,業務センタ装置30が生成し,ICカード装置10に,保管するまでのフローである。新しくモバイル端末装置20とICカード装置10を使い始めるときや,モバイル端末装置20とICカード装置10の組み合わせを変更するときにこのフローが必要になる。
【0026】
まず,業務センタ装置30の通信部301を介して,モバイル端末装置20に端末ID要求A301を送信する(S301)。モバイル端末装置20は,端末ID A201を返信する(S201)。次に,業務センタ装置30の通信部301を介して,モバイル端末装置20を経由して,ICカード装置10に,デバイスID要求A302を送信する(S302)。ICカード装置10は,モバイル端末装置20を介して,業務センタ装置30に,デバイスID A101を返信する(S101)。業務センタ装置30は,自身が鍵保管部に保管しているマスタ鍵と,前記端末ID A201と,前記デバイスID A101とから端末デバイス鍵A303を生成する(S303)。業務センタ装置30は,前記ステップS303で生成した端末デバイス鍵A303を,モバイル端末装置20を経由して,ICカード装置10へ送信する。ICカード装置10は,データ送受信部101を経由して,鍵保管部103に,前記受信した端末デバイス鍵A303を保管する。
【0027】
図5は,モバイル端末装置20が,業務センタ装置30から,データをダウンロードし,モバイル端末装置20で暗号化し,モバイル端末装置20のデータ保管部202に保管するまでのフローである。
【0028】
まず,業務センタ装置30のデータ生成部305でデータを生成する(S311)。モバイル端末装置20は,業務センタ装置30に対してデータ持出要求A211を送信する(S211)。業務センタ装置30は,データ持出要求元のモバイル端末装置20のユーザ認証処理(S312)を行う。認証に失敗すればエラー通知A313をモバイル端末装置20に通知し処理を中断する。認証に成功すれば,持ち出そうとしているデータが持ち出し可能なデータであるか否かを確認する持出承認処理(S314)を行い,承認に失敗すればエラー通知A315をモバイル端末装置20に通知し処理を中断する。承認に成功すれば,業務センタ装置30は,モバイル端末装置20に対してデータA316を送信する。
【0029】
つぎに,モバイル端末装置20は,データA316を暗号化するためにICカード装置10に対して暗号鍵要求A212を送信する(S212)。ICカード装置10は,暗号鍵要求の送信元であるモバイル端末装置20の認証処理(S111)を行う。認証に失敗すればエラー通知A112をモバイル端末装置20に通知する。モバイル端末装置20は,エラー通知A112を受信し場合は,データA316を削除する(S216)。認証に成功すれば暗号鍵A113を生成し(S113),モバイル端末装置20に送信する。暗号鍵A113を受信したモバイル端末装置20のデータ暗復号部204は,データ暗号化を行い(S213),データ保管部202に,暗号化データを保管する(S214)。その後,暗号鍵A113を削除し(S215),暗号化する以前のデータA316を削除する(S216)。
【0030】
図6は,モバイル端末装置20内で,データを利用する際のフローである。
【0031】
まず,モバイル端末装置20は,暗号化データを復号するためにICカード装置10に対して復号鍵要求A221を送信する(S221)。ICカード装置10は,復号鍵要求の送信元であるモバイル端末装置20の認証処理(S121)を行う。認証に失敗すればエラー通知A122をモバイル端末装置20に通知する。モバイル端末装置20は,エラー通知A122を受信し場合は,処理を中断する。認証に成功すれば復号鍵A123を生成し(S123),モバイル端末装置20に送信する。復号鍵A123を受信したモバイル端末装置20のデータ暗復号部204は,データ保管部202に保管されている暗号化データのデータ復号を行い(S222),復号鍵A123を削除する(S223)。その後,モバイル端末装置20のデータ処理部203は,復号されたデータに対して閲覧処理や編集処理などのデータ処理を行う(S224)。閲覧処理などのデータ修正を伴わない処理の場合は,復号化されたデータの削除(S216)を行い終了する。データの修正を伴うデータ処理を行った場合は,データの暗号化処理を行う。具体的な暗号化処理は,図5の暗号鍵要求処理(S212)からデータ削除(S216)までと同様の処理を行う。
【0032】
図7は,モバイル端末装置20のデータを回収センタ装置40に移動する(回収する、とも称す)際のフローである。
【0033】
まず,回収センタ装置40は,モバイル端末装置20に対して,回収要求A431を送信する(S431)。モバイル端末装置20は,回収要求A431の送信元である回収センタ装置40のセンタ認証処理(S231)を行う。認証に失敗すればエラー通知A232を回収センタ装置40に通知する。認証に成功すれば,モバイル端末装置20のデータ保管部202に保管されている暗号化データA233を,回収センタ装置40に対して送信する(S233)。回収センタ装置40は,回収データ保管部405に,受信した暗号化データA233を保管する。
【0034】
さらに,回収センタ装置40は,モバイル端末装置20に対して,データ削除要求A433を送信する(S433)。モバイル端末装置20は,データ削除要求A433の送信元である回収センタ装置40のセンタ認証処理(S235)を行う。認証に失敗すればエラー通知A235を回収センタ装置40に通知する。認証に成功すれば,モバイル端末装置20のデータ保管部202に保管されている暗号化データA233を削除し(S236),たとえばデータ保管部202のメモリダンプなどの削除済み確認データA236をICカード装置10に送信する。ICカード装置10のトークン生成部105は,鍵保管部103に保管されている削除済みトークン生成用の鍵を使って削除済みトークンA131を生成し(S131),モバイル端末装置20を経由して,回収センタ装置40へ送信する。回収センタ装置40は,受信した削除済みトークンA131を,回収データ保管部405に保管する(S434)。
【0035】
図8は,業務センタ装置30が,回収センタ装置40から,暗号化データA233と削除済みトークンA131を受信し,データA316を復元する際のフローである。
【0036】
まず,業務センタ装置30は,回収センタ装置40に対して,データ返却要求A341を送信する(S341)。回収センタ装置40は,データ返却要求A341の送信元である業務センタ装置30の認証処理(S441)を行う。認証に失敗すればエラー通知A442を業務センタ装置30に通知する。業務センタ装置30は,エラー通知A442を受信した場合は,処理を中断する。認証に成功すれば,回収センタ装置40は,回収データ保管部405に保管されている暗号化データA233と削除済みトークンA131とを,業務センタ装置30に送信する(返却する)(S443)。業務センタ装置は,受信した削除済みトークンA131を,鍵保管部303に保管している削除済みトークン検証鍵を使って,検証する(S342)。その後,データ暗復号部304でデータの復元処理(S343)を行う。その後,新しいモバイル端末装置20と,新しいICカード装置10に対して,図4に示した初期設定を行うことでデータが復元できる。
【0037】
図9は,図4の業務センタ装置30の端末デバイス鍵生成処理(S303)の説明図である。業務センタ装置30の鍵保管部303に保管されているマスタ鍵A300と,モバイル端末装置20から通知された,端末ID A201と,デバイスID A101と,を入力とするデータ演算処理(詳細は図14に示す)によって,端末デバイス鍵A303を生成する。
【0038】
図10は,図5における,ICカード装置10の暗号鍵生成処理(S113)と,モバイル端末装置20のデータ暗号化処理(S213)の説明図である。ICカード装置10は,鍵保管部に保管されている端末デバイス鍵A303と,自ら保持するデバイスID A101と,モバイル端末装置から通知される端末ID A201と,暗証番号としてのユーザPIN A200と,を入力とするデータ演算処理(詳細は図15に示す)によって,暗号鍵A113を生成する。その後,モバイル端末装置20は,前記暗号鍵A113を使って,データA316の暗号化を行い,暗号化データA233を出力する。
【0039】
図11は,図6における,ICカード装置10の復号鍵生成処理(S123)と,モバイル端末装置20のデータ復号処理(S222)の説明図である。ICカード装置10は,鍵保管部に保管されている端末デバイス鍵A303と,自ら保持するデバイスID A101と,モバイル端末装置から通知される端末ID A201と,ユーザPIN A200と,を入力とするデータ演算処理(詳細は図15に示す)によって,復号鍵A123を生成する。その後,モバイル端末装置20は,前記復号鍵A123を使って,暗号化データA233の復号を行い,データA316を出力する。
【0040】
図12は,図8における,業務センタ装置30のデータ復元処理(S343)の説明図である。業務センタ装置30は,鍵保管部303に保管されているマスタ鍵A300と,回収センタ装置40から取得した削除済みトークンA131に含まれる端末ID A210と,デバイスID A101と,を入力とするデータ演算処理(詳細は図14に示す)によって,端末デバイス鍵A303を生成する。次に,業務センタ装置30は,前記端末デバイス鍵A303と,前記デバイスID A101と,前記端末ID A201と,ユーザから通知されたユーザPIN A200と,を入力とするデータ演算処理(詳細は図15に示す)によって,復号鍵A123を生成する。その後,業務センタ装置30は,前記復号鍵A123を使って,回収センタ装置40から通知された暗号化データA233の復号を行い,データA316を出力する。
【0041】
図13は,図7における,ICカード装置10の削除済みトークン生成処理(S131)と,図8における,業務センタ装置30の削除済みトークン検証処理(S342)の説明図である。ICカード装置10は,モバイル端末装置20から受信した削除済み確認データA236と,端末ID A201と,自身で保持するデバイスID A101と,を入力とし,トークン生成鍵A199を用いて暗号演算を行い,削除済みトークンA131を生成する。暗号演算には,公開鍵暗号方式を用いた署名生成演算や,共通鍵を用いた暗号化演算などを用いることができる。削除済みトークンA131の中には,端末ID A201とデバイスID A101を含める。
【0042】
業務センタ装置30における,削除済みトークン検証処理は,削除済みトークンA131を入力とし,前記トークン生成鍵A199に対応する,トークン検証鍵A399を使って,削除済みトークンの正当性を検証する。
【0043】
図14は,図9における,端末デバイス鍵生成処理(S303)の詳細である。
まず,マスタ鍵A300と,端末ID A201と,デバイスID A101を入力する(S3031)。次に,マスタ鍵A300と端末ID A201と,デバイスID A101を連結する(S3032)。次に,連結したデータを一方向性関数に入力する(S3033)。次に,一方向性関数の出力値を出力値Aとする(S3034)。次に,端末ID A201と,デバイスID A101を連結する(S3035)。次に,連結したデータを一方向性関数に入力する(S3036)。次に,一方向性関数の出力値を出力値Bとする(S3037)。最後に,出力値Aと出力値B連結したデータを端末デバイス鍵A303とし出力する(S3038)。
【0044】
図15は,図10における,暗号鍵生成処理(S113)の詳細である。
まず,端末ID A201と,デバイスID A101を連結する(S1131)。次に,連結したデータを一方向性関数に入力する(S1132)。次に,一方向性関数の出力値を出力値Bとする(S1133)。次に,端末デバイス鍵A303の後半部分と出力値Bを比較する(S1134)。一致しなければ失敗を通知する(S1139)。一致すれば,次に,端末デバイス鍵A303とユーザPIN A200を連結する(S1136)。次に,連結したデータを一方向性関数に入力する(S1137)。最後に一方向性関数の出力値を暗号鍵A113として出力する(S1138)。なお,復号鍵生成も同様の方法で実現可能である。
【0045】
なお,図4において,端末ID要求A301と,デバイスID要求A302を,2度に分けて要求を行っているが,まとめて行っても良い。その場合は,端末ID A201とデバイスIDの要求を受けたモバイル端末装置20は,自身の端末ID A201と,ICカード装置10から取得したデバイスID A101と,をまとめて業務センタ装置30に返信する。
【0046】
また,図5において,データ暗号化処理(S213)を,モバイル端末装置20で行っているが,図6における,モバイル端末装置20のデータ処理(S224)が,データの編集を伴わないものである場合は,承認成功判定(S315)の後に,データ暗号化処理を行い,暗号化データA233として,業務センタ装置30から,モバイル端末装置20へ送信するようにしても良い。
【0047】
また,図5において,モバイル端末装置20のデータ保管処理(S214)として,自身のデータ保管部202の暗号化データA233を保管しているが,暗号化データA233を,ICカード装置10の送信し,ICカード装置10のデータ保管部104に保管するようにしても良い。
【0048】
また,図5および図6のデータ暗号化処理(S213)と,データ復号処理(S222)において暗号鍵A113や,復号鍵A123を,ICカード装置10からモバイル端末装置20に送信して,モバイル端末装置20が,データ暗号化処理(S213)と,データ復号処理(S222)を行っているが,それらの処理をICカード装置10の内部で行うようにしても良い。
【0049】
また,図9、図12、図14の端末デバイス鍵生成処理(S303)において、端末ID A201を入力としているが、複数のモバイル端末装置、つまり、モバイル端末装置20、モバイル端末装置20、...モバイル端末装置20、を利用できるように、端末ID A201の代わりに、端末IDA2011、端末IDA2012、...、端末IDA201nを入力するようにしても良い。
【0050】
その場合、図10、図15の暗号鍵生成処理(S113)、図11、図12の復号鍵生成処理(S123)に入力する端末ID A201も、前述のように、端末IDA2011、端末IDA2012、...、端末IDA201nを入力する。
【0051】
さらに図14に示したフローの中で、端末IDとデバイスIDを連結し(S3035)、連結したデータを一方向性関数に入力し(S3036)、一方向性関数の出力値を出力値Bとする(S3037)までの処理を、端末ごとに行うように変更する。具体的には、端末IDとデバイスIDを連結し(S3035)、連結したデータを一方向性関数に入力し(S3036)、一方向性関数の出力値を出力値Bとする(S3037)、...端末IDとデバイスIDを連結し(S3035)、連結したデータを一方向性関数に入力し(S3036)、一方向性関数の出力値を出力値B(S3037)とし、ステップS3038を、出力値Aと出力値Bと、出力値Bと、...、出力値Bと、を連結したデータを端末デバイス鍵として出力する、ように変更する。
【0052】
さらに、図15のステップS1134における、端末デバイス鍵の後半部分と出力値Bとの比較を、端末デバイス鍵の後半部分(出力値B、出力値B、...、出力値B)の中に、出力値Bと同じ値のものがあるか否かの比較(S1134’)に変更する。
【0053】
なお,本発明は,上記の本実施形態に限定されるものではなく,その要旨の範囲内で様々な変形が可能である。
【符号の説明】
【0054】
10:ICカード装置,11:入出力装置,12:CPU,13:耐タンパ記憶装置,14:耐タンパメモリ,15:内部信号線,20,モバイル端末装置,21:CPU,22:主記憶装置,24:補助記憶装置,25:通信装置,26:入出力装置,27:読取装置,28:記憶媒体,29:内部信号線,30:業務センタ装置,40:回収センタ装置,60:ネットワーク,A101:デバイスID,A102:結果通知,A112:エラー通知,A113:暗号鍵,A122:エラー通知,A123:復号鍵,A131:削除済みトークン,A199;トークン生成鍵,A200:ユーザPIN,A201:端末ID,A211:データ持出要求,A212:暗号鍵要求,A221:復号鍵要求,A232:エラー通知,A233:暗号化データ,A235:エラー通知,A236:削除済み確認データ,A300:マスタ鍵,A301:端末ID要求,A302:デバイスID要求,A303:端末デバイス鍵,A313:エラー通知,A315:エラー通知,A316:データ,A341:データ返却要求,A399:トークン検証鍵,A431:回収要求,A433:削除要求,A442:エラー通知。

【特許請求の範囲】
【請求項1】
ICカード装置が接続された端末装置と、前記端末装置にデータを送信する業務センタ装置と、前記端末装置に格納された前記データを回収する回収センタ装置と、を含み、
前記端末装置は、
前記ICカード装置が記憶する暗号鍵で、前記業務センタ装置から受信した前記データが暗号化された暗号化データを保管し、
前記回収センタ装置による、端末データの回収要求に従って,保管している前記暗号化データを,前記回収センタ装置に送信し,
前記暗号化データを受信した前記回収センタ装置のデータ削除要求に従って,保管している前記暗号化データを削除し,
前記ICカード装置は、前記端末装置が前記暗号化データを削除した証拠となる削除済みトークンを生成し,
前記端末装置は,前記回収センタ装置に,前記削除済みトークンを送信し,
前記回収センタ装置は,送信された、前記暗号化データと前記削除済みトークンとを保管し,
前記業務センタ装置は,回収データの返却要求を前記回収センタ装置に送信し,
前記回収センタ装置は,前記暗号化データと前記削除済みトークンを,前記業務センタ装置に送信し,
前記業務センタ装置は,前記削除済みトークンと前記暗号化データとから、前記データを復号する
ことを特徴とする端末データ管理システム。
【請求項2】
請求項1に記載の端末データ管理システムであって,
前記業務センタ装置は,前記端末装置を経由して,前記ICカード装置に,デバイスID要求を送信し,
前記ICカード装置は,前記端末装置を介して,前記業務センタ装置に,要求されたデバイスIDを返信し,
前記業務センタ装置は,端末IDと,前記デバイスIDと,に基づき、端末デバイス鍵を生成し,
前記業務センタ装置は,生成された前記端末デバイス鍵を,前記端末装置を経由してICカード装置へ送信し,
前記ICカード装置は,受信した前記端末デバイス鍵に基づき、前記暗号鍵と対となる復号鍵とを生成し、
前記端末装置は、前記復号鍵に基づき、暗号化された前記暗号化データを復号する
ことを特徴とする端末データ管理システム。
【請求項3】
請求項1または2に記載の端末データ管理システムであって,
前記端末装置は,前記ICカードのデバイスIDと、自端末装置の前記端末IDと、を含む前記削除済みトークンを生成し,
前記業務センタ装置は,前記削除済みトークンに含まれる前記端末IDと,前記デバイスIDと,に基づき、端末デバイス鍵を生成し,
生成された前記端末デバイス鍵と,前記削除済みトークンに含まれる前記端末IDと,前記デバイスIDと,に基づき、前記暗号化データの復号鍵を生成し、
生成した前記復号鍵に基づき、前記暗号化データを復号する
ことを特徴とする端末データ管理システム。
【請求項4】
請求項1から3のいずれか一に記載の端末データ管理システムであって,
前記端末装置は,前記業務センタ装置に対してデータ持出要求を送信し,
前記業務センタ装置は,前記端末装置の認証処理を行い,
前記業務センタ装置は,前記認証に成功し,データ持出要求の対象となる前記データが持ち出し可能であれば,前記端末装置に対して前記データを送信し,
前記端末装置は,前記データを暗号化するために前記ICカード装置に対して暗号鍵要求を送信し,
前記ICカード装置は,暗号鍵要求の送信元である前記端末装置の認証処理を行い,
前記認証処理に成功すれば前記暗号鍵を生成して,前記端末装置に送信し,
前記端末装置は、受信した前記暗号鍵を用いて、前記データの暗号化を行う
ことを特徴とする端末データ管理システム。
【請求項5】
請求項1から請求項4のいずれか一に記載の端末データ管理システムであって,
端末装置でデータを利用する際に,
前記端末装置は,前記暗号化データを復号するために前記ICカード装置に対して復号鍵要求を送信し,
前記ICカード装置は,復号鍵要求の送信元である前記端末装置の認証処理を行い,前記認証に成功すれば前記復号鍵を生成して前記端末装置に送信し,
前記復号鍵を受信した前記端末装置は,前記暗号化データの復号を行ったのちに前記復号鍵を削除し,
前記端末装置は,復号された前記データに対してデータ処理を行った後に,復号された前記データを削除する
ことを特徴とする端末データ管理システム。
【請求項6】
請求項5に記載の端末データ管理システムであって,
データの修正を伴うデータ処理を行った場合に,
前記端末装置は,前記データ処理において、前記データを修正した場合に、前記ICカード装置に対して暗号鍵要求を送信し,
前記ICカード装置は,前記端末装置の認証処理を行い,認証に成功すれば前記暗号鍵を生成して前記端末装置に送信し,
前記暗号鍵を受信した前記端末装置は,修正された前記データの暗号化を行い,
前記暗号化データを保管した後に,前記暗号鍵と暗号化前の修正された前記データとを削除する
ことを特徴とする端末データ管理システム。
【請求項7】
請求項1から請求項6のいずれか一に記載の端末データ管理システムであって,
前記端末装置からデータを回収する際に,
前記回収センタ装置は,前記端末装置に対して前記回収要求を送信し,
前記端末装置は,前記回収センタ装置の認証処理を行い,認証に成功すれば,保管している前記暗号化データを,前記回収センタ装置へ送信し,
前記回収センタ装置は,
受信した前記暗号化データを保管し,
前記端末装置へ,前記データ削除要求を送信し,
前記端末装置は,前記回収センタ装置のセンタ認証処理を行い,認証に成功すれば,保管している前記暗号化データを削除し,
削除済み確認データを前記ICカード装置へ送信し,
前記ICカード装置は,保管している削除済みトークン生成用鍵を使って前記削除済みトークンを生成して,前記回収センタ装置へ送信し,
前記回収センタ装置は,受信した前記削除済みトークンを保管する
ことを特徴とする端末データ管理システム。
【請求項8】
請求項1から7のいずれか一に記載の端末データ管理システムであって,
前記業務センタ装置は,前記回収センタ装置に対して,前記回収データの前記返却要求を送信し,
前記回収センタ装置は,前記返却要求の送信元である前記業務センタ装置の認証処理を行い,認証に成功すれば,保管している前記暗号化データと前記削除済みトークンとを,前記業務センタ装置に送信し,
前記業務センタ装置は,受信した前記削除済みトークンの正当性を,保管している削除済みトークン検証鍵を使って検証する
ことを特徴とする端末データ管理システム。
【請求項9】
請求項1から8のいずれか一に記載の端末データ管理システムであって,
前記業務センタ装置は,前記業務センタ装置に保管されているマスタ鍵と,前記端末装置から通知された端末IDとデバイスIDと,を入力とするデータ演算処理によって,前記端末デバイス鍵を生成する
ことを特徴とする端末データ管理システム。
【請求項10】
請求項1から請求項9のいずれか一に記載の端末データ管理システムであって,
前記ICカード装置は,保管している端末デバイス鍵と,自らのデバイスIDと,前記端末装置から通知される端末IDと,ユーザから通知されたユーザPINと,を入力とするデータ演算処理によって,前記暗号鍵を生成し,
端末装置は,前記暗号鍵を使って,前記業務センタ装置から受信した前記データの暗号化を行い,前記暗号化データを生成する
ことを特徴とする端末データ管理システム。
【請求項11】
請求項1から請求項10のいずれか一に記載の端末データ管理システムであって,
前記ICカード装置は,保管している端末デバイス鍵と前記デバイスIDと,前記端末装置から受信する端末IDと,ユーザから通知されたユーザPINと,を入力とするデータ演算処理によって,前記復号鍵を生成し,
前記端末装置は,前記復号鍵を使って,前記暗号化データを復号する
ことを特徴とする端末データ管理システム。
【請求項12】
請求項1から請求項11のいずれか一に記載の端末データ管理システムであって,
前記業務センタ装置は,保管しているマスタ鍵と,前記回収センタ装置から受信した前記削除済みトークンに含まれる端末IDと,デバイスIDと,を入力とするデータ演算処理によって,前記端末デバイス鍵を生成し,
前記業務センタ装置は,前記端末デバイス鍵と,前記デバイスIDと,前記端末IDと,ユーザから通知されたユーザPINと,を入力とするデータ演算処理によって,復号鍵を生成し,
前記復号鍵を使って,前記回収センタ装置から返却された前記暗号化データを復号する
ことを特徴とする端末データ管理システム。
【請求項13】
請求項1から請求項12のいずれか一に記載の端末データ管理システムであって,
前記ICカード装置は,
前記端末装置から受信した削除済み確認データと,端末IDと,デバイスIDと,トークン生成鍵と、を用いた暗号演算を行い,
前記暗号演算の結果と,前記端末IDと,前記デバイスIDを含んだ,前記削除済みトークンを生成し,
前記業務センタ装置は、
前記削除済みトークンと,前記トークン生成鍵に対応するトークン検証鍵と、に基づき,前記削除済みトークンの正当性を検証する
ことを特徴とする端末データ管理システム。
【請求項14】
請求項1から請求項13のいずれか一に記載の端末データ管理システムであって,
前記業務センタ装置は,
入力された,マスタ鍵と,一つ以上の端末IDnと,デバイスIDとを連結したデータを入力した一方向性関数の出力値を出力値Aとし,
各々の前記端末IDnと,前記デバイスIDを連結したデータを入力した一方向性関数の出力値を出力値Bnとし,
前記出力値Aとn個の前記出力値Bnとを連結したデータを前記端末デバイス鍵とする
ことを特徴とする端末データ管理システム。
【請求項15】
請求項14に記載の端末データ管理システムであって,
前記ICカード装置は,
前記端末IDと,前記デバイスIDとを連結したデータを入力した前記一方向性関数の出力値を前記出力値B’とし,
前記端末デバイス鍵に含まれるn個の前記出力値Bnと、前記出力値B’とを比較し,
前記比較において一致すれば,前記端末デバイス鍵とユーザの暗証番号とを連結したデータを入力した一方向性関数の出力値を、前記暗号鍵とする
ことを特徴とする端末データ管理システム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate

【図15】
image rotate


【公開番号】特開2011−248792(P2011−248792A)
【公開日】平成23年12月8日(2011.12.8)
【国際特許分類】
【出願番号】特願2010−123724(P2010−123724)
【出願日】平成22年5月31日(2010.5.31)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】