説明

記憶媒体管理システム、記憶媒体管理方法、及びプログラム

【課題】利便性を損なわずに、記憶媒体の紛失や盗難などがあっても情報漏洩を確実に防止する。
【解決手段】USBメモリ2へのファイルの移動又は複製が指示されると(S12)、PC5はサーバ6にアクセスする(S13)。また、試行PINが入力されると、PC5が試行PINをICカード3に送信し(S15)、ICカード3が、PIN44の認証を行い(S16)、PC5を介してユーザ識別番号42及び認証データ(レスポンス)をサーバ6に送信する(S18、S19)。サーバ6は、ICカード3を認証し(S20)、使用可否を確認し(S21)、暗号鍵素材を生成し(S22)、PC5を介して暗号鍵素材をICカード3に送信する(S25)。ICカード3は、暗号マスタ鍵41及び暗号鍵素材に基づいて暗号鍵を生成し(S26)、PC5に送信する(S27)。PC5は、暗号鍵を用いてファイルを暗号化し(S28)、暗号鍵を破棄する(S29)。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、携帯可能な記憶媒体を管理する記憶媒体管理システム等に関するものである。特に、本発明は、記憶媒体の紛失や盗難などがあっても、記憶媒体に記憶されている情報の漏洩を防止する為の記憶媒体管理システム等に関するものである。
【背景技術】
【0002】
近年、企業等において、営業秘密や個人情報などの情報漏洩が問題となっている。特に、携帯可能な記憶媒体の紛失や盗難などによって、情報漏洩が発生することが多い。
【0003】
例えば、USB(Universal Serial Bus)メモリは、大容量化され、かつ安価になっている為、ファイル交換手段として手軽に利用されている。また、USBメモリが、簡易なデータバックアップ手段として利用されていることも多い。USBメモリがファイル交換手段やデータバックアップ手段として利用されることが常態化すると、業務に関わる重要なデータ(営業秘密や個人情報など)が、常にUSBメモリに記憶されていることになる。このような場合、USBメモリの紛失や盗難などによって、直ちに情報漏洩が発生してしまう。
【0004】
そこで、USBメモリの紛失や盗難などに備えて、USBメモリ内のフラッシュメモリを暗号化する機能を持つ製品が多数市販されている。このような製品のほとんどは、USBメモリがコンピュータに装着されても、正規のパスワードを入力しない限り、フラッシュメモリに記憶されているデータは暗号化されたままの状態となっている。
【0005】
しかしながら、パスワードによる防御策だけでは、以下に示す問題がある。
まず、第3者がUSBメモリを入手したときに、いわゆる「総当たり攻撃」と呼ばれるパスワード解読手法によって、パスワードが解読される恐れがある。パスワードが解読されると、第三者がそのパスワードを入力することによって、USBメモリに記憶されているデータが復号されてしまう。
また、暗号化機能を実現する為のアプリケーションプログラムがUSBメモリの暗号化されない記憶領域に記憶されている場合、このアプリケーションプログラムに暗号化に用いられる暗号鍵がハードコードされていると、アプリケーションプログラムにアタックすることによって暗号鍵が解読される恐れがある。暗号鍵が解読されると、第三者がその暗号鍵を利用して復号プログラムを実行することによって、USBメモリに記憶されているデータが復号されてしまう。
また、暗号化機能を実現する為のアプリケーションプログラムがコンピュータのハードディスクに記憶されている場合であっても、コンピュータとUSBメモリが一緒に紛失や盗難に遭えば、上記と同様に暗号鍵が解読される恐れがある。
【0006】
これらの問題に対して、特許文献1では、USBメモリの外部持ち出し時や復号時に必ず復号サーバを仲介させてチェックを行うシステムが開示されている。特許文献1に記載の技術によれば、復号サーバが、USBメモリを持ち出す人、USBメモリが装着されているコンピュータのネットワーク的な位置(ホスト名やIPアドレスなど)、及び期限などのチェックを行う。これによって、USBメモリの紛失や盗難時に、第三者がUSBメモリに記憶されているデータを復号することをある程度抑止することができる。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2009−169821号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1に記載の技術では、本人認証のデータや復号パスワードがネットワーク上に流れるという意味において、確実に情報漏洩が防止できるとは言えない。
また、自己復号化プログラムがUSBメモリなどの記憶媒体に記憶される場合、自己復号化プログラムにアタックされる恐れがあるという意味において、確実に情報漏洩が防止できるとは言えない。
更に、コンピュータのネットワーク的な位置及び期限が制限されるという意味において、利便性が低い。
【0009】
本発明は、前述した問題点に鑑みてなされたもので、その目的とすることは、利便性を損なわずに、記憶媒体の紛失や盗難などがあっても情報漏洩を確実に防止することができる記憶媒体管理システム等を提供することである。
【課題を解決するための手段】
【0010】
前述した目的を達成するために第1の発明は、携帯可能な記憶媒体と、耐タンパ性を有する認証デバイスと、前記記憶媒体及び前記認証デバイスとデータ送受信可能な端末と、前記端末とネットワークを介して接続され、前記記憶媒体を管理するサーバと、から構成される記憶媒体管理システムであって、前記端末は、前記記憶媒体の暗号化記憶領域に対してファイルの読み書き命令を受け付けると、前記サーバにアクセスする通信手段と、前記認証デバイスによって生成される暗号鍵に基づいて、前記暗号化記憶領域に記憶されているファイルの復号又は暗号化を行う暗号化手段と、を具備し、前記認証デバイスは、暗号鍵生成情報、並びに、ユーザ識別番号及びPINを含む認証用ユーザ識別情報を記憶する第1記憶手段と、前記端末に入力される試行PINと、前記PINとを比較し、ユーザ認証を行うユーザ認証手段と、前記ユーザ認証が所定の試行回数以内に成功の場合に限り、前記暗号鍵生成情報及び前記サーバによって生成される暗号鍵素材に基づいて、前記暗号鍵を生成する暗号鍵生成手段と、を具備し、前記サーバは、前記ユーザ識別番号と対応付けて、前記記憶媒体の使用可否を記憶する第2記憶手段と、前記端末からアクセスされると、前記第2記憶手段の記憶内容を参照して、前記認証デバイスを認証し、前記記憶媒体の使用可否を判定する認証手段と、前記認証手段による前記認証デバイスの認証が成功かつ前記記憶媒体が使用可の場合に限り、前記暗号鍵素材を生成し、生成された前記暗号鍵素材を前記第2記憶手段に記憶するとともに前記端末に送信する暗号鍵素材提供手段と、を具備する記憶媒体管理システムである。
第1の発明によって、利便性を損なわずに、記憶媒体の紛失や盗難などがあっても情報漏洩を確実に防止することができる。
【0011】
第1の発明における前記サーバが具備する前記暗号鍵素材提供手段は、前回の前記暗号鍵素材生成時から所定の時間が経過すると、前記第2記憶手段に記憶されている前記暗号鍵素材を旧暗号鍵素材として取得し、新たに前記暗号鍵素材を生成して新暗号鍵素材とし、前記新暗号鍵素材を前記第2記憶手段に記憶するとともに、前記旧暗号鍵素材及び前記新暗号鍵素材を前記端末に送信し、前記認証デバイスが具備する前記暗号鍵生成手段は、前記暗号鍵生成情報及び前記旧暗号鍵素材に基づいて、旧暗号鍵を生成し、並びに、前記暗号鍵生成情報及び前記新暗号鍵素材に基づいて、新暗号鍵を生成し、前記端末が具備する前記暗号化手段は、前記旧暗号鍵に基づいて前記暗号化記憶領域に記憶されているファイルを復号し、更に、前記新暗号鍵に基づいて復号されたファイルを暗号化することが望ましい。
これによって、情報漏洩をより確実に防止することができる。
【0012】
また、前記記憶媒体の非暗号化記憶領域には、前記端末を前記通信手段として機能させる為の通信アプリケーションと、前記端末を前記暗号化手段として機能させる為の暗号化アプリケーションが記憶され、前記通信アプリケーション及び前記暗号化アプリケーションは、前記記憶媒体が前記端末に装着されると、前記端末の揮発性メモリに展開されて起動されるようにしても良い。
第1の発明では、暗号化アプリケーションにアタックされても暗号鍵が解読されないことから、暗号化アプリケーションを記憶媒体に記憶しても安全である。
【0013】
第2の発明は、携帯可能な記憶媒体と、耐タンパ性を有し、暗号鍵生成情報、並びに、ユーザ識別番号及びPINを含む認証用ユーザ識別情報を記憶する第1記憶手段を具備する認証デバイスと、前記記憶媒体及び前記認証デバイスとデータ送受信可能な端末と、前記端末とネットワークを介して接続され、前記ユーザ識別番号と対応付けて前記記憶媒体の使用可否を記憶する第2記憶手段を具備し、前記記憶媒体を管理するサーバと、から構成される記憶媒体管理システムにおける記憶媒体管理方法であって、前記端末が、前記記憶媒体の暗号化記憶領域に対してファイルの読み書き命令を受け付けると、前記サーバにアクセスするステップと、前記サーバが、前記端末からアクセスされると、前記第2記憶手段の記憶内容を参照して、前記認証デバイスを認証し、前記記憶媒体の使用可否を判定するステップと、前記サーバが、前記認証デバイスの認証が成功かつ前記記憶媒体が使用可の場合に限り、前記暗号鍵素材を生成し、生成された前記暗号鍵素材を前記第2記憶手段に記憶するとともに前記端末に送信するステップと、前記認証デバイスが、前記端末に入力される試行PINと、前記PINとを比較し、ユーザ認証を行うステップと、前記認証デバイスが、前記ユーザ認証が所定の試行回数以内に成功の場合に限り、前記暗号鍵生成情報及び前記サーバによって生成される暗号鍵素材に基づいて、暗号鍵を生成するステップと、前記端末が、前記暗号鍵に基づいて、前記暗号化記憶領域に記憶されているファイルの復号又は暗号化を行うステップと、を含む記憶媒体管理方法である。
第2の発明によって、利便性を損なわずに、記憶媒体の紛失や盗難などがあっても情報漏洩を確実に防止することができる。
【0014】
第3の発明は、携帯可能な記憶媒体を管理するサーバとネットワークを介して接続され、前記記憶媒体及び耐タンパ性を有する認証デバイスとデータ送受信可能な端末を、前記記憶媒体の暗号化記憶領域に対してファイルの読み書き命令を受け付けると、前記サーバにアクセスする通信手段と、前記認証デバイスによって生成される暗号鍵に基づいて、前記暗号化記憶領域に記憶されているファイルの復号又は暗号化を行う暗号化手段と、して機能させ、前記認証デバイスを、暗号鍵生成情報、並びに、ユーザ識別番号及びPINを含む認証用ユーザ識別情報を記憶する第1記憶手段と、前記端末に入力される試行PINと、前記PINとを比較し、ユーザ認証を行うユーザ認証手段と、前記ユーザ認証が所定の試行回数以内に成功の場合に限り、前記暗号鍵生成情報及び前記サーバによって生成される暗号鍵素材に基づいて、前記暗号鍵を生成する暗号鍵生成手段と、して機能させ、前記サーバを、前記ユーザ識別番号と対応付けて、前記記憶媒体の使用可否を記憶する第2記憶手段と、前記端末からアクセスされると、前記第2記憶手段の記憶内容を参照して、前記認証デバイスを認証し、前記記憶媒体の使用可否を判定する認証手段と、前記認証手段による前記認証デバイスの認証が成功かつ前記記憶媒体が使用可の場合に限り、前記暗号鍵素材を生成し、生成された前記暗号鍵素材を前記第2記憶手段に記憶するとともに前記端末に送信する暗号鍵素材提供手段と、して機能させる為のプログラムである。
第3の発明によって、ハードウエア自体は従来品のまま、第1の発明の記憶媒体管理システムを構築することができる。
【発明の効果】
【0015】
本発明により、利便性を損なわずに、記憶媒体の紛失や盗難などがあっても情報漏洩を確実に防止することができる。
【図面の簡単な説明】
【0016】
【図1】記憶媒体管理システム1の全体構成の一例を示す図
【図2】USBメモリ2の構成の一例を示す図
【図3】ICカード3の構成の一例を示す図
【図4】PC5、サーバ6を実現するコンピュータのハードウエア構成図
【図5】サーバ6の記憶部54の記憶内容の一例を示す図
【図6】認証情報データベース63の一例を示す図
【図7】暗号化処理の流れを示すフローチャート
【図8】復号処理の流れを示すフローチャート
【図9】定期変更処理の流れを示すフローチャート
【発明を実施するための形態】
【0017】
本発明の実施形態では、「携帯可能な記憶媒体」の一例として、USB(Universal
Serial Bus)メモリを例に説明する。携帯可能な記憶媒体としては、USBメモリの他に、USB接続の外付HD(Hard Disk)を始めとする磁気ディスク、CD(Compact Disk)やDVD(Digital Versatile Disk)を始めとする光ディスク、SD(Secure
Digital)メモリカードを始めとするメモリカードなどが考えられるが、これらに限定されるものではない。
また、本発明の実施形態では、「耐タンパ性を有する認証デバイス」の一例として、IC(Integrated Circuit)カードを例に説明する。耐タンパ性を有する認証デバイスとしては、ICカードの他に、SIM(Subscriber Identity Module)カード、UIM(Universal
Subscriber Identity Module)カードなどが考えられるが、これらに限定されるものではない。
また、本発明の実施形態では、「記憶媒体及び認証デバイスとデータ送受信可能な端末」の一例として、デスクトップ型又はノート型のPC(Personal Computer)を例に説明する。記憶媒体及び認証デバイスとデータ送受信可能な端末としては、デスクトップ型又はノート型のPCの他に、携帯電話、スマートフォン、タブレット端末、電子書籍端末などが考えられるが、これらに限定されるものではない。
【0018】
以下図面に基づいて、本発明の実施形態を詳細に説明する。最初に、図1〜図6を参照しながら、記憶媒体管理システム1の構成について説明する。
【0019】
図1は、記憶媒体管理システム1の全体構成の一例を示す図である。図1に示すように、記憶媒体管理システム1は、USBメモリ2、ICカード3、ICカードR/W(リーダ/ライタ)4、PC5、サーバ6等から構成される。PC5とサーバ6は、ネットワーク7を介して接続される。
【0020】
図2は、USBメモリ2の構成の一例を示す図である。
USBメモリ2は、携帯可能な記憶媒体の一例である。USBメモリ2は、ドライバチップ21、フラッシュメモリ22等のハードウエアを有する。ドライバチップ21は、フラッシュメモリ22を外部記憶装置としてPC5に認識させる機能などを有する。フラッシュメモリ22は、不揮発性の半導体メモリである。
【0021】
フラッシュメモリ22の記憶領域は、非暗号化記憶領域23及び暗号化記憶領域24から構成される。非暗号化記憶領域23は、暗号化されないファイルが記憶される領域である。暗号化記憶領域24は、暗号化されるファイルが記憶される領域である。
【0022】
非暗号化記憶領域23には、通信アプリケーション25(以下、「通信アプリ25」と表記する。)、暗号化アプリケーション26(以下、「暗号化アプリ26」と表記する。)、USB識別番号27等が記憶されている。
【0023】
通信アプリ25は、PC5を、所定の通信手段として機能させる為のプログラムである。所定の通信手段とは、PC5がUSBメモリ2の暗号化記憶領域24に対してファイルの読み書き命令を受け付けると、PC5がサーバ6にアクセスするという手段である。通信アプリ25には、サーバ6の接続先情報も含まれている。
【0024】
暗号化アプリ26は、PC5を、所定の暗号化手段として機能させる為のプログラムである。所定の暗号化手段とは、ICカード3によって生成される暗号鍵に基づいて、暗号化記憶領域24に記憶されているファイルの復号又は暗号化を行うという手段である。暗号化アプリ26には、ICカード3とのデータ送受信を実現する為の処理も含まれている。
【0025】
USB識別番号27は、USBを一意に識別する番号である。尚、USB識別番号27は、必須の構成要素ではない。従って、USBメモリ2に代えて、他の記憶媒体に本発明を適用する場合も、記憶媒体に識別番号が付されている必要はない。
【0026】
暗号化記憶領域24には、暗号化ファイル28が記憶されている。暗号化ファイル28は、暗号化アプリ26に従って暗号化されるファイルである。ユーザは、業務に関わる重要なデータ(営業秘密や個人情報など)については、USBメモリ2の暗号化記憶領域24に記憶させる。
【0027】
通信アプリ25及び暗号化アプリ26は、USBメモリ2がPC5に装着されると、PC5の揮発性メモリに展開されて自動的に起動される。通信アプリ25及び暗号化アプリ26は、非暗号化記憶領域23に記憶されているので、PC5は特別な処理を行うことなく実行できる。
【0028】
尚、非暗号化記憶領域23は、PC5等から見えないようにすることが望ましい。つまり、PC5の画面に、非暗号化記憶領域23に記憶されているファイルを表示させないようにすることが望ましい。これは、業務に関わる重要なデータを誤って非暗号化記憶領域23に記憶させてしまうという誤操作を防止する為である。また、悪意があるユーザに対して、通信アプリ25や暗号化アプリ26の存在を知られないようにする為である。
【0029】
図3は、ICカード3の構成の一例を示す図である。
ICカード3は、バス36により相互接続されるCPU(Central
Processing Unit)31、RAM(Random Access Memory)32、EEPROM(Electrically Erasable Programmable Read Only Memory)33、ROM(Read Only Memory)34、通信I/F(インタフェース)35等のハードウエアを有する。
【0030】
CPU31は、ROM33に記憶されるプログラムをRAM32上のワークメモリ領域に呼び出して実行し、ICカード3が行う処理を実現する。
【0031】
RAM32は、揮発性メモリである。RAM32は、ROM33からロードしたプログラム、データ等を一時的に記憶するとともに、CPU31が各種処理を行う為に使用するワークエリアを備える。
【0032】
EEPROM33は、不揮発性メモリである。EEPROM33には、暗号鍵(暗号化アプリ26が利用する。)を生成する為の暗号鍵生成情報や、ユーザを認証する為の認証用ユーザ識別情報が記憶される。具体的には、EEPROM33には、暗号マスタ鍵41、ユーザ識別番号42、認証鍵43、PIN(Personal Identification Number)44等が記憶される。
【0033】
暗号マスタ鍵41は、暗号鍵生成情報の1つである。暗号マスタ鍵41は、ICカード3ごとに異なるデータである。
ユーザ識別番号42は、認証用ユーザ識別情報の1つである。ユーザ識別番号42は、ユーザを一意に識別する番号であり、例えば社員番号である。
認証鍵43は、認証用ユーザ識別情報の1つである。認証鍵43は、ユーザごとに異なるデータである。
PIN44は、認証用ユーザ識別情報の1つである。PIN44は、ICカード3がユーザを認証する為のパスワードであり、ユーザごとに異なるデータである。
【0034】
ROM33は、不揮発性メモリである。ROM33は、ICカード3において実行されるプログラムやデータ等を恒久的に記憶している。ROM33は、PC5からICカードR/W4を介して送信されるPIN認証コマンド45、暗号鍵生成コマンド46等の処理内容をプログラムとして記憶している。
【0035】
PIN認証コマンド45の処理内容は、PC5に入力される試行PINと、認証用ユーザ識別情報であるPIN44とを比較し、ユーザ認証を行うというものである。
暗号鍵生成コマンド46の処理内容は、ユーザ認証が所定の試行回数(例えば、3回)以内に成功した場合に限り、暗号鍵生成情報である暗号マスタ鍵41、及びサーバ6によって生成される暗号鍵素材に基づいて、暗号鍵を生成するというものである。
【0036】
通信I/F35は、ICカード3とICカードR/W4の間の通信を行うためのインタフェースである。ICカードR/W4は、接触型又は非接触型のリーダライタであり、USBメモリ2と一体でも良いし、別体でも良い。
【0037】
ICカード3は、CPU31やRAM32などのメモリが1チップ化され、配線が外部に露出しないように形成される。従って、制御信号の加工やバス信号の読取は困難である。
また、外部端子(接触型の場合)や内蔵アンテナ(非接触型の場合)からのアクセスには、CPU31によるアクセス制御(前述のPIN認証による制御)をかける。従って、PIN認証が成功しない限り、不正な読み書きはできない。
更に、PIN認証が所定の試行回数を連続して失敗した場合、ICカード3は、PIN44のロックをかける。PIN44のロック解除は、管理者のみが行うように運用する。従って、「総当たり攻撃」と呼ばれるパスワード解読手法によって、PIN44が解読されることはない。
【0038】
図4は、PC5、サーバ6を実現するコンピュータのハードウエア構成図である。尚、図4のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
【0039】
図4に示すように、コンピュータは、CPU51、RAM52、ROM53、記憶部54、メディア入出力部55、入力部56、表示部57、通信部58がバス59を介して接続される。
【0040】
CPU51は、ROM53、記憶部54、記録媒体(USBメモリ2を含む。)等に記憶されるプログラムをRAM52上のワークメモリ領域に呼び出して実行し、バス59を介して接続された各装置を駆動制御し、コンピュータが行う処理を実現する。
RAM52は、揮発性メモリであり、ROM53、記憶部54、記録媒体等からロードしたプログラム、データ等を一時的に記憶するとともに、CPU51が各種処理を行う為に使用するワークエリアを備える。
ROM53は、不揮発性メモリであり、コンピュータのブートプログラムやBIOS等のプログラム、データ等を恒久的に記憶している。
【0041】
記憶部54は、例えば、HD(ハードディスク)であり、CPU51が実行するプログラム、プログラム実行に必要なデータ、OS等が記憶される。プログラムに関しては、OSに相当する制御プログラムや、シンクライアントシステム1において実行されるアプリケーションプログラム、ファイル等が記憶されている。これらの各プログラムコードは、CPU51により必要に応じて読み出されてRAM52に移され、各種の手段として実行される。
メディア入出力部55は、記録媒体のデータの入出力を行い、例えば、CDドライブ(−ROM、−R、−RW等)、DVDドライブ(−ROM、−R、−RW等)、USBポート等を有する。USBポートには、USBメモリ2やICカードR/W4等が装着される。
【0042】
入力部56は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。
表示部57は、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。
通信部58は、通信制御装置、通信ポート等を有し、他のコンピュータ間の通信を媒介する通信インタフェースであり、通信制御を行う。
バス59は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
【0043】
図5は、サーバ6の記憶部54の記憶内容の一例を示す図である。
サーバ6の記憶部54には、認証アプリケーション(以下、「認証アプリ」と表記する。)61、暗号鍵素材提供アプリケーション(以下、「暗号鍵素材提供アプリ」と表記する。)62、認証情報データベース63等が記憶される。尚、認証情報データベース63は、サーバ6の記憶部54ではなく、外部の記憶装置に記憶させるようにしても良い。
【0044】
認証アプリ61は、サーバ6を、所定の認証手段として機能させる為のプログラムである。所定の認証手段とは、PC5からアクセスされると、認証情報データベース63の記憶内容を参照して、ICカード3を認証し、USBメモリ2の使用可否を判定するという手段である。
暗号鍵素材提供アプリ62は、サーバ6を、所定の暗号鍵素材提供手段として機能させる為のプログラムである。所定の暗号鍵素材提供手段とは、所定の認証手段によるICカード3の認証が成功かつUSBメモリ2が使用可の場合に限り、暗号鍵素材を生成し、生成された暗号鍵素材を認証情報データベース63に記憶するとともにPC5に送信するという手段である。ここで、暗号鍵素材とは、例えば、乱数である。暗号鍵素材は、PC5から初めてアクセスされたときに生成される。また、暗号鍵素材は、PC5からの2回目以降のアクセスの際、定期的に変更するようにしても良い。
【0045】
図6は、認証情報データベース63の一例を示す図である。
認証情報データベース63は、ユーザ識別番号71、USB識別番号72、認証鍵73、使用可否74、暗号鍵素材75、暗号鍵素材生成日時76等のデータ項目を有する。
【0046】
ユーザ識別番号71は、認証用ユーザ識別情報の1つである。ユーザ識別番号71は、ユーザを一意に識別する番号であり、ユーザ識別番号42と同様である。
USB識別番号72は、USBメモリ2を一意に識別する番号であり、USB識別番号27と同様である。
認証鍵73は、認証用ユーザ識別情報の1つである。認証鍵73は、ユーザごとに異なるデータであり、認証鍵43と同様である。
【0047】
使用可否74は、USBメモリ2を使用して良いか否かを示すフラグであり、「OK」(=使用可)又は「NG」(=使用不可)である。使用可否74の初期値は、「OK」である。管理者は、USBメモリ2の紛失や盗難の連絡があると、使用可否74を「NG」に設定する。
暗号鍵素材75は、暗号鍵素材提供アプリ62によって生成されるデータであり、例えば、乱数である。
暗号鍵素材生成日時76は、暗号鍵素材75が暗号鍵素材提供アプリ62によって生成された日時を示すデータである。
【0048】
図6では、ユーザ識別番号71が「000000」、及び/又は、USB識別番号72が「aaabbbccc」によって特定されるUSBメモリ2に対して、認証鍵73が「xyzxyz」、使用可否74が「OK」、暗号鍵素材75が「xxxxxxxxxx」、暗号鍵素材生成日時76が「YYMMDDHHMMSS」であるデータを示している。
【0049】
次に、図7〜9を参照しながら、記憶媒体管理システム1における処理について説明する。記憶媒体管理システム1では、(1)USBメモリ2にファイルを暗号化して記憶する為の暗号化処理、(2)USBメモリ2のファイルを復号する為の復号処理、並びに、(3)暗号化処理及び復号処理において利用される暗号鍵を定期的に変更する為の定期変更処理が実行される。
【0050】
図7は、暗号化処理の流れを示すフローチャートである。
PC5のCPU51は、USBメモリ2が装着されたことを認識すると(S11)、USBメモリ2の非暗号化記憶領域23に記憶されている通信アプリ25及び暗号化アプリ26を読み出してRAM52に展開し、起動させる。以降の処理では、PC5のCPU51は、通信アプリ25及び暗号化アプリ26に従って処理を実行する。
【0051】
ユーザが入力部56を介してPC5の記憶部54等に記憶されているファイルをUSBメモリ2に移動又は複製するように指示し、PC5のCPU51がこの指示を受け付けると(S12)、PC5のCPU51は、ネットワーク7を介してサーバ6にアクセスする(S13)。
これに対して、サーバ6のCPU51は、チャレンジレスポンスによるICカード3の認証(USBメモリ2の利用者の認証)を行う。具体的には、サーバ6のCPU51は、乱数(チャレンジ)を生成し、PC5に送信する(S14)。
【0052】
次に、PC5のCPU51は、ユーザに試行PINを入力するように促す。ユーザが入力部56を介して試行PINを入力し、PC5のCPU51がこの試行PINを受け付けると、PC5のCPU51は、試行PINをICカード3に送信する(S15)。
【0053】
ICカード3のCPU31は、PC5から受信した試行PINと、EEPROM34に記憶されているPIN44を比較し、PIN44の認証を行う(S16)。そして、ICカード3のCPU31は、PIN認証の結果(「OK」又は「NG」)をPC5に送信する。
これに対して、PC5のCPU51は、S16におけるPIN44の認証が所定の試行回数以内に成功した場合に限り、つまり、所定の試行回数以内に「OK」のPIN認証の結果を受信した場合に限り、次の処理に進む。
【0054】
次に、PC5のCPU51は、サーバ6から受信した乱数(チャレンジ)をICカード3に送信する(S17)。
ICカード3のCPU31は、EEPROM34に記憶されている認証鍵43及びPC5から受信した乱数(チャレンジ)を用いて認証データ(レスポンス)を生成し、EEPROM34に記憶されているユーザ識別番号42及び生成した認証データ(レスポンス)をPC5に送信する(S18)。
PC5のCPU51は、ICカード3から受信したユーザ識別番号42及び認証データ(レスポンス)をサーバ6に送信する(S19)。尚、PC5のCPU51は、合わせて、USBメモリ2の非暗号化記憶領域23に記憶されているUSB識別番号27をサーバ6に送信しても良い。
【0055】
次に、サーバ6のCPU51は、PC5から受信したユーザ識別番号42を検索キーとして認証データベース63を検索し、認証データベース63のユーザ識別番号71及び認証鍵73を取得する。また、サーバ6のCPU51は、認証データベース63から取得した認証鍵73及びS14にて生成した乱数(チャレンジ)を用いて比較用の認証データ(レスポンス)を生成する。そして、サーバ6のCPU51は、認証データベース63から取得したユーザ識別番号71及び生成した比較用の認証データ(レスポンス)と、PC5から受信したユーザ識別番号42及び認証データ(レスポンス)とを比較し、ICカード3の認証(USBメモリ2の利用者の認証)を行う(S20)。尚、PC5からUSB識別番号27を受信した場合、サーバ6のCPU51は、認証データベース63のユーザ識別番号71、USB識別番号72、及び比較用の認証データ(レスポンス)と、PC5から受信したユーザ識別番号42、USB識別番号27、及び認証データ(レスポンス)とを比較する。このように、チャンレンジレスポンスによる認証であれば、ICカード3が記憶する認証鍵43が通信路上に流れることはなく、安全にICカード3を認証することができる。
サーバ6のCPU51は、S20におけるICカード3の認証が成功した場合に限り、次の処理に進む。
【0056】
次に、サーバ6のCPU51は、PC5から受信したユーザ識別番号42を検索キーとして認証データベース63を検索し、認証データベース63の使用可否74が「OK」(使用可)であるか否か確認する(S21)。
サーバ6のCPU51は、S21において使用可否74が「OK」(使用可)の場合に限り、次の処理に進む。
【0057】
次に、サーバ6のCPU51は、暗号鍵素材として乱数を生成する(S22)。また、サーバ6のCPU51は、生成した暗号鍵素材を認証データベース63の暗号鍵素材75として登録し、暗号鍵素材を生成した時の日時を暗号鍵素材生成日時76として登録する(S23)。また、サーバ6のCPU51は、生成した暗号鍵素材をPC5に送信する(S24)。
【0058】
次に、PC5のCPU51は、サーバ6から受信した暗号鍵素材をICカード3に送信する(S25)。ここで、PC5のCPU51は、ICカード3に暗号鍵素材を送信した後、暗号鍵素材を破棄する(RAM52のワークエリア領域に記憶された暗号鍵素材の値を初期化する)。
【0059】
次に、ICカード3のCPU31は、EEPROM34に記憶されている暗号マスタ鍵41と、PC5から受信した暗号鍵素材とに基づいて、暗号鍵を生成する(S26)。また、ICカード3のCPU31は、生成した暗号鍵をPC5に送信する(S27)。ここで、ICカード3のCPU31は、PC5に暗号鍵を送信した後、暗号鍵を破棄する(RAM32のワークエリア領域に記憶された暗号鍵の値を初期化する)。
【0060】
次に、PC5のCPU51は、ICカード3から受信した暗号鍵を用いてファイルを暗号化し、USBメモリ2の暗号化記憶領域24に暗号化ファイル28として記憶する(S28)。
そして、PC5のCPU51は、USBメモリ2に暗号化ファイル28を記憶した後、暗号鍵を破棄する(RAM52のワークエリア領域に記憶された暗号鍵の値を初期化する)(S29)。
【0061】
以上によって、ユーザは、PC5の記憶部54等に記憶されている平文のファイルを、USBメモリ2の暗号化記憶領域24に暗号化ファイル28として記憶することができる。
図7に示す暗号化処理におけるユーザの操作は、S11におけるUSBメモリ2の装着、S12におけるファイルの移動又は複製の指示、及びS15における試行PINの入力のみである。つまり、図7に示す暗号化処理は、従来のUSBメモリ内のフラッシュメモリを暗号化する機能を持つ製品と比較して、ユーザの操作内容は何ら変わらない。
尚、S15における試行PINは、例えば、PC5のOSを起動する際に、ユーザが入力部56を介して入力した試行PINであっても良い。つまり、PC5のログイン管理の為のPIN認証と、記憶媒体管理の為のPIN認証とは、共通化するようにしても良い。
【0062】
図8は、復号処理の流れを示すフローチャートである。
PC5のCPU51は、USBメモリ2が装着されたことを認識すると(S41)、USBメモリ2の非暗号化記憶領域23に記憶されている通信アプリ25及び暗号化アプリ26を読み出してRAM52に展開し、起動させる。以降の処理では、PC5のCPU51は、通信アプリ25及び暗号化アプリ26に従って処理を実行する。
【0063】
ユーザが入力部56を介してUSBメモリ2の暗号化記憶領域24に記憶されている暗号化ファイル28をPC5の記憶部54等に移動又は複製するように指示し、PC5のCPU51がこの指示を受け付けると(S42)、PC5のCPU51は、ネットワーク7を介してサーバ6にアクセスする(S43)。
【0064】
S44〜S51の処理は、図7に示すS14〜S21の処理と同様である為、説明を省略する。また、図7に示す暗号化処理と同様、サーバ6のCPU51は、S50におけるICカード3の認証が成功し、かつS51において使用可否74が「OK」(使用可)の場合に限り、次の処理に進む。
【0065】
次に、サーバ6のCPU51は、PC5から受信したユーザ識別番号42を検索キーとして認証データベース63を検索し、認証データベース63の暗号鍵素材75を取得してPC5に送信する(S52)。
【0066】
次に、PC5のCPU51は、サーバ6から受信した暗号鍵素材をICカード3に送信する(S53)。ここで、PC5のCPU51は、ICカード3に暗号鍵素材を送信した後、暗号鍵素材を破棄する(RAM52のワークエリア領域に記憶された暗号鍵素材の値を初期化する)。
【0067】
次に、ICカード3のCPU31は、EEPROM34に記憶されている暗号マスタ鍵41と、PC5から受信した暗号鍵素材とに基づいて、暗号鍵を生成する(S54)。また、ICカード3のCPU31は、生成した暗号鍵をPC5に送信する(S55)。ここで、ICカード3のCPU31は、PC5に暗号鍵を送信した後、暗号鍵を破棄する(RAM32のワークエリア領域に記憶された暗号鍵の値を初期化する)。
【0068】
次に、PC5のCPU51は、ICカード3から受信した暗号鍵を用いてUSBメモリ2の暗号化記憶領域24に記憶されている暗号化ファイル28を復号し、PC5の記憶部54等に復号したファイルを記憶する(S56)。
そして、PC5のCPU51は、PC5の記憶部54等に復号したファイルを記憶した後、暗号鍵を破棄する(RAM52のワークエリア領域に記憶された暗号鍵の値を初期化する)(S57)。
【0069】
以上によって、ユーザは、USBメモリ2の暗号化記憶領域24に記憶されている暗号化ファイル28を、PC5の記憶部54等に平文のファイルとして記憶し、参照することができる。
図8に示す暗号化処理におけるユーザの操作は、S41におけるUSBメモリ2の装着、S42におけるファイルの移動又は複製の指示、及びS45における試行PINの入力のみである。つまり、図8に示す復号処理は、従来のUSBメモリ内のフラッシュメモリを暗号化する機能を持つ製品と比較して、ユーザの操作内容は何ら変わらない。
尚、S45における試行PINは、例えば、PC5のOSを起動する際に、ユーザが入力部56を介して入力した試行PINであっても良い。つまり、PPC5のログイン管理の為のPIN認証と、記憶媒体管理の為のPIN認証とは、共通化するようにしても良い。
【0070】
図9は、定期変更処理の流れを示すフローチャートである。
サーバ6のCPU51は、PC5からの2回目以降のアクセスの際、認証データベース63の暗号鍵素材生成日時76(前回の暗号鍵素材生成時)を確認し、所定の時間が経過している場合には、図9に示す処理を開始する。
【0071】
サーバ6のCPU51は、認証データベース63に記憶されている暗号鍵素材75を暗号鍵素材(旧)として取得する(S71)。次に、サーバ6のCPU51は、新たに暗号鍵素材を生成して暗号鍵素材(新)とし(S72)、暗号鍵素材(新)を認証データベース63の暗号鍵素材75として登録し、暗号鍵素材(新)を生成した時の日時を暗号鍵素材生成日時76として登録する(S73)。次に、サーバ6のCPU51は、暗号鍵素材(旧)及び暗号鍵素材(新)をPC5に送信する(S74)。
【0072】
PC5のCPU51は、暗号鍵素材(旧)及び暗号鍵素材(新)をICカード3に送信する(S75)。ここで、PC5のCPU51は、ICカード3に暗号鍵素材(旧)及び暗号鍵素材(新)を送信した後、暗号鍵素材(旧)及び暗号鍵素材(新)を破棄する(RAM52のワークエリア領域に記憶された暗号鍵素材(旧)及び暗号鍵素材(新)の値を初期化する)。
【0073】
次に、ICカード3のCPU31は、EEPROM34に記憶されている暗号マスタ鍵41と、PC5から受信した暗号鍵素材(旧)とに基づいて、暗号鍵(旧)を生成するとともに、暗号マスタ鍵41と、PC5から受信した暗号鍵素材(新)とに基づいて、暗号鍵(新)を生成する(S76)。
また、ICカード3のCPU31は、生成した暗号鍵(旧)及び暗号鍵(新)をPC5に送信する(S77)。ここで、ICカード3のCPU31は、PC5に暗号鍵(旧)及び暗号鍵(新)を送信した後、暗号鍵(旧)及び暗号鍵(新)を破棄する(RAM32のワークエリア領域に記憶された暗号鍵(旧)及び暗号鍵(新)の値を初期化する)。
【0074】
次に、PC5のCPU51は、ICカード3から受信した暗号鍵(旧)を用いてUSBメモリ2の暗号化記憶領域24に記憶されている暗号化ファイル28を復号する(S78)。
また、PC5のCPU51は、ICカード3から受信した暗号鍵(新)を用いて復号したファイルを暗号化し、USBメモリ2の暗号化記憶領域24に暗号化ファイル28として記憶する(S79)。
そして、PC5のCPU51は、USBメモリ2に暗号化ファイル28を記憶した後、暗号鍵(旧)及び暗号鍵(新)を破棄する(RAM52のワークエリア領域に記憶された暗号鍵(旧)及び暗号鍵(新)の値を初期化する)(S80)。
【0075】
以上によって、暗号化ファイル28の暗号化に用いられる暗号鍵を、定期的に変更することができる。
図9に示す定期変更処理におけるユーザの操作は何もない。つまり、ユーザに暗号鍵の定期変更を意識させることなく、安全に変更することができる。
【0076】
以上、記憶媒体管理システム1では、暗号化処理及び復号処理に用いられるデータが、以下のように取り扱われる。
・ユーザが秘匿にすべきデータは、PIN44のみであり、PIN44はネットワーク7に流れない。
・PIN44は、耐タンパ性を有するICカード3のみに記憶され、試行PINの入力回数には制限がある。
・暗号マスタ鍵41は、耐タンパ性を有するICカード3のみに記憶され、ネットワーク7はもとより、USBケーブルにも流れない。
・暗号鍵素材は、ICカード3の認証が成功し、かつ認証情報データベース63の使用可否74が使用可であれば、サーバ6からPC5を経由してICカード3に送信される。
・暗号鍵は、暗号マスタ鍵41及び暗号鍵素材に基づいて暗号化処理及び復号処理ごとにICカード3によって生成される。
・暗号鍵は、どの装置の不揮発性メモリにも記憶されることがなく、使用後直ちに揮発性メモリからも破棄される。
【0077】
暗号化処理及び復号処理に用いられるデータが上記のように取り扱われることによって、以下の作用を奏する。
・USBメモリ2と一緒にICカード3が紛失又は盗難に遭っても、「総当たり攻撃」と呼ばれるパスワード解読手法によってPIN44が解読される可能性は、限りなく低い。
・暗号化アプリ26にアタックされても、暗号鍵が解読されない。
・暗号化アプリ26にアタックされても暗号鍵が解読されないことから、暗号化アプリ26をUSBメモリ2に記憶しても安全である。つまり、PC5の記憶部54に暗号化アプリ26等をインストールする必要がない。
・PIN44及び暗号鍵は、ネットワーク7に流れない。
・PC5の利用場所や利用時間は自由である。
【0078】
従って、本発明の実施形態に係る記憶媒体管理システム1では、利便性を損なわずに、記憶媒体の紛失や盗難などがあっても情報漏洩を確実に防止することができる。また、暗号鍵素材75を定期的に変更する場合、情報漏洩をより確実に防止することができる。
【0079】
尚、前述の説明では、通信アプリ25及び暗号化アプリ26がUSBメモリ2の非暗号化記憶領域23に記憶するものとしたが、例えば、ユーザが利用するPC5が予め決まっているような場合、通信アプリ25及び暗号化アプリ26をPC5の記憶部54にインストールするようにしても良い。
【0080】
以上、添付図面を参照しながら、本発明に係る記憶媒体管理システム等の好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【符号の説明】
【0081】
1………記憶媒体管理システム
2………USBメモリ
3………ICカード
4………ICカードR/W
5………PC
6………サーバ
7………ネットワーク
23………非暗号化記憶領域
24………暗号化記憶領域
25………通信アプリ
26………暗号化アプリ
27………USB識別番号
28………暗号化ファイル
41………暗号マスタ鍵
42………ユーザ識別番号
43………認証鍵
44………PIN
45………PIN認証コマンド
46………暗号鍵生成コマンド
61………認証アプリ
62………暗号鍵素材提供アプリ
63………認証情報データベース

【特許請求の範囲】
【請求項1】
携帯可能な記憶媒体と、耐タンパ性を有する認証デバイスと、前記記憶媒体及び前記認証デバイスとデータ送受信可能な端末と、前記端末とネットワークを介して接続され、前記記憶媒体を管理するサーバと、から構成される記憶媒体管理システムであって、
前記端末は、
前記記憶媒体の暗号化記憶領域に対してファイルの読み書き命令を受け付けると、前記サーバにアクセスする通信手段と、
前記認証デバイスによって生成される暗号鍵に基づいて、前記暗号化記憶領域に記憶されているファイルの復号又は暗号化を行う暗号化手段と、
を具備し、
前記認証デバイスは、
暗号鍵生成情報、並びに、ユーザ識別番号及びPINを含む認証用ユーザ識別情報を記憶する第1記憶手段と、
前記端末に入力される試行PINと、前記PINとを比較し、ユーザ認証を行うユーザ認証手段と、
前記ユーザ認証が所定の試行回数以内に成功の場合に限り、前記暗号鍵生成情報及び前記サーバによって生成される暗号鍵素材に基づいて、前記暗号鍵を生成する暗号鍵生成手段と、
を具備し、
前記サーバは、
前記ユーザ識別番号と対応付けて、前記記憶媒体の使用可否を記憶する第2記憶手段と、
前記端末からアクセスされると、前記第2記憶手段の記憶内容を参照して、前記認証デバイスを認証し、前記記憶媒体の使用可否を判定する認証手段と、
前記認証手段による前記認証デバイスの認証が成功かつ前記記憶媒体が使用可の場合に限り、前記暗号鍵素材を生成し、生成された前記暗号鍵素材を前記第2記憶手段に記憶するとともに前記端末に送信する暗号鍵素材提供手段と、
を具備する記憶媒体管理システム。
【請求項2】
前記サーバが具備する前記暗号鍵素材提供手段は、前回の前記暗号鍵素材生成時から所定の時間が経過すると、前記第2記憶手段に記憶されている前記暗号鍵素材を旧暗号鍵素材として取得し、新たに前記暗号鍵素材を生成して新暗号鍵素材とし、前記新暗号鍵素材を前記第2記憶手段に記憶するとともに、前記旧暗号鍵素材及び前記新暗号鍵素材を前記端末に送信し、
前記認証デバイスが具備する前記暗号鍵生成手段は、前記暗号鍵生成情報及び前記旧暗号鍵素材に基づいて、旧暗号鍵を生成し、並びに、前記暗号鍵生成情報及び前記新暗号鍵素材に基づいて、新暗号鍵を生成し、
前記端末が具備する前記暗号化手段は、前記旧暗号鍵に基づいて前記暗号化記憶領域に記憶されているファイルを復号し、更に、前記新暗号鍵に基づいて復号されたファイルを暗号化する
請求項1に記載の記憶媒体管理システム。
【請求項3】
前記記憶媒体の非暗号化記憶領域には、前記端末を前記通信手段として機能させる為の通信アプリケーションと、前記端末を前記暗号化手段として機能させる為の暗号化アプリケーションが記憶され、
前記通信アプリケーション及び前記暗号化アプリケーションは、前記記憶媒体が前記端末に装着されると、前記端末の揮発性メモリに展開されて起動される
請求項1又は請求項2に記載の記憶媒体管理システム。
【請求項4】
携帯可能な記憶媒体と、耐タンパ性を有し、暗号鍵生成情報、並びに、ユーザ識別番号及びPINを含む認証用ユーザ識別情報を記憶する第1記憶手段を具備する認証デバイスと、前記記憶媒体及び前記認証デバイスとデータ送受信可能な端末と、前記端末とネットワークを介して接続され、前記ユーザ識別番号と対応付けて前記記憶媒体の使用可否を記憶する第2記憶手段を具備し、前記記憶媒体を管理するサーバと、から構成される記憶媒体管理システムにおける記憶媒体管理方法であって、
前記端末が、前記記憶媒体の暗号化記憶領域に対してファイルの読み書き命令を受け付けると、前記サーバにアクセスするステップと、
前記サーバが、前記端末からアクセスされると、前記第2記憶手段の記憶内容を参照して、前記認証デバイスを認証し、前記記憶媒体の使用可否を判定するステップと、
前記サーバが、前記認証デバイスの認証が成功かつ前記記憶媒体が使用可の場合に限り、前記暗号鍵素材を生成し、生成された前記暗号鍵素材を前記第2記憶手段に記憶するとともに前記端末に送信するステップと、
前記認証デバイスが、前記端末に入力される試行PINと、前記PINとを比較し、ユーザ認証を行うステップと、
前記認証デバイスが、前記ユーザ認証が所定の試行回数以内に成功の場合に限り、前記暗号鍵生成情報及び前記サーバによって生成される暗号鍵素材に基づいて、暗号鍵を生成するステップと、
前記端末が、前記暗号鍵に基づいて、前記暗号化記憶領域に記憶されているファイルの復号又は暗号化を行うステップと、
を含む記憶媒体管理方法。
【請求項5】
携帯可能な記憶媒体を管理するサーバとネットワークを介して接続され、前記記憶媒体及び耐タンパ性を有する認証デバイスとデータ送受信可能な端末を、
前記記憶媒体の暗号化記憶領域に対してファイルの読み書き命令を受け付けると、前記サーバにアクセスする通信手段と、
前記認証デバイスによって生成される暗号鍵に基づいて、前記暗号化記憶領域に記憶されているファイルの復号又は暗号化を行う暗号化手段と、
して機能させ、
前記認証デバイスを、
暗号鍵生成情報、並びに、ユーザ識別番号及びPINを含む認証用ユーザ識別情報を記憶する第1記憶手段と、
前記端末に入力される試行PINと、前記PINとを比較し、ユーザ認証を行うユーザ認証手段と、
前記ユーザ認証が所定の試行回数以内に成功の場合に限り、前記暗号鍵生成情報及び前記サーバによって生成される暗号鍵素材に基づいて、前記暗号鍵を生成する暗号鍵生成手段と、
して機能させ、
前記サーバを、
前記ユーザ識別番号と対応付けて、前記記憶媒体の使用可否を記憶する第2記憶手段と、
前記端末からアクセスされると、前記第2記憶手段の記憶内容を参照して、前記認証デバイスを認証し、前記記憶媒体の使用可否を判定する認証手段と、
前記認証手段による前記認証デバイスの認証が成功かつ前記記憶媒体が使用可の場合に限り、前記暗号鍵素材を生成し、生成された前記暗号鍵素材を前記第2記憶手段に記憶するとともに前記端末に送信する暗号鍵素材提供手段と、
して機能させる為のプログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate


【公開番号】特開2012−212294(P2012−212294A)
【公開日】平成24年11月1日(2012.11.1)
【国際特許分類】
【出願番号】特願2011−77228(P2011−77228)
【出願日】平成23年3月31日(2011.3.31)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】