鍵情報管理装置
【課題】データを暗号化して利用する場合のセキュリティを高める。
【解決手段】鍵情報管理装置10は、機密性の優れ、PC5と着脱可能な耐タンパ装置で構成されており、メモリ16やタイマ部15などを格納している。鍵情報管理装置10は、PC5の記憶媒体6に記憶されたデータを暗号処理するための暗号鍵17を管理サーバ20からダウンロードして、メモリ16に一時的に記憶する。タイマ部15は、一定時間、鍵情報管理装置10に対するユーザからのアクセスが無くなった段階で、一時的に記憶した暗号鍵17を消去する。暗号鍵17が消去された段階で、PC5が記憶したデータは、復号処理できなくなる。PC5から鍵情報管理装置10へのアクセスはユーザ認証するようになっており、第三者がユーザ認証を攻撃して暗号鍵17を窃取しようと作業している間に時間切れとなって暗号鍵17が消去される。
【解決手段】鍵情報管理装置10は、機密性の優れ、PC5と着脱可能な耐タンパ装置で構成されており、メモリ16やタイマ部15などを格納している。鍵情報管理装置10は、PC5の記憶媒体6に記憶されたデータを暗号処理するための暗号鍵17を管理サーバ20からダウンロードして、メモリ16に一時的に記憶する。タイマ部15は、一定時間、鍵情報管理装置10に対するユーザからのアクセスが無くなった段階で、一時的に記憶した暗号鍵17を消去する。暗号鍵17が消去された段階で、PC5が記憶したデータは、復号処理できなくなる。PC5から鍵情報管理装置10へのアクセスはユーザ認証するようになっており、第三者がユーザ認証を攻撃して暗号鍵17を窃取しようと作業している間に時間切れとなって暗号鍵17が消去される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、鍵情報管理装置に関し、例えば、データを暗号化して利用する鍵情報を管理するものに関する。
【背景技術】
【0002】
IT技術の普及に伴い情報の電子化が進展しており、電子化されたデータは、複製・送信が容易なため、如何に電子化されたデータのセキュリティを高めるかが問題となっている。
このため、ハードディスクなどの記憶媒体に、データを暗号化して記憶する技術が用いられている。
この技術は、データの暗号化・復号化に用いる暗号鍵をコンピュータ内に記憶しておき、パスワードの入力などによるユーザ認証によって当該暗号鍵を使用可能にするものである。認証されたユーザは、当該暗号鍵によってデータを復号化して利用し、利用後はデータを暗号化して保存する。
【0003】
また、特許文献1で開示されている「ファイルデータ削除プログラム及びファイルデータ削除システム」のように、ファイルデータに時限情報を付加し、これを用いてファイルオープンを制限したり、あるいは、ファイルデータを削除するなどしてセキュリティを高める技術も提案されている。
【0004】
しかし、従来のコンピュータは、ユーザ認証は行うものの、暗号鍵はコンピュータ内に記憶されているため、データが暗号化されていても、認証機能を攻撃することによりデータが復号されてしまう脆弱性があった。
また、暗号鍵をコンピュータに着脱可能な記憶媒体に記憶して、コンピュータとは別に管理することも考えられるが、例えば、ノート型PC(Personal computer)と記憶媒体を同じ鞄に入れておくなど、必ずしも別に管理されるとは限らず、更にセキュリティを高める必要がある。
また、特許文献1の技術では、ファイルデータの提供者と受給者が専用のアプリケーションを備える必要があり、PCの一般的なユーザが日常的に使用するのには適していないという問題がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−316903号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、データを暗号化して利用する場合のセキュリティを高めることを目的とする。
【課題を解決するための手段】
【0007】
本発明は、前記目的を達成するために、請求項1に記載の発明では、鍵情報を取得する鍵情報取得手段と、前記取得した鍵情報を記憶する鍵情報記憶手段と、前記記憶した鍵情報の提供先が適正な提供先であることを確認する確認手段と、前記提供先が適正であると確認した場合に、前記記憶した鍵情報を前記提供先に提供する鍵情報提供手段と、所定の時点から経過した時間を計測する計測手段と、前記計測した時間が所定時間を経過した場合に、前記記憶した鍵情報を消去する消去手段と、を具備したことを特徴とする鍵情報管理装置を提供する。
請求項2に記載の発明では、前記鍵情報取得手段は、所定の情報処理装置から前記鍵情報を取得することを特徴とする請求項1に記載の鍵情報管理装置を提供する。
請求項3に記載の発明では、前記所定時間を設定する所定時間設定手段を具備したことを特徴とする請求項1、又は請求項2に記載の鍵情報管理装置を提供する。
請求項4に記載の発明では、前記鍵情報管理装置は、前記提供先と着脱可能に構成されていることを特徴とする請求項1、請求項2、又は請求項3に記載の鍵情報管理装置を提供する。
請求項5に記載の発明では、前記確認手段が提供先が適正な提供先であることを確認した後に、前記消去手段が前記記憶した鍵情報を消去する時点を延長する延長手段を具備したことを特徴とする請求項1から請求項4までの何れか1の請求項に記載の鍵情報管理装置を提供する。
請求項6に記載の発明では、前記各手段は、耐タンパ装置の内部に形成されていることを特徴とする請求項1から請求項5までの何れか1の請求項に記載の鍵情報管理装置を提供する。
【発明の効果】
【0008】
本発明によると、所定時間経過後に暗号鍵を消去するため、データを暗号化して利用する場合にセキュリティを高めることができる。
【図面の簡単な説明】
【0009】
【図1】本実施形態の暗号鍵時限制御システムの構成を説明するための図である。
【図2】タイマ部が行う暗号鍵の時限管理を説明するための図である。
【図3】鍵情報管理装置が暗号鍵をダウンロードする手順を説明するためのフローチャートである。
【図4】鍵情報管理装置が一律消去モードで動作する場合の手順を説明するためのフローチャートである。
【図5】鍵情報管理装置がリセットモードで動作する場合の手順を説明するためのフローチャートである。
【発明を実施するための形態】
【0010】
(1)実施形態の概要
鍵情報管理装置10(図1)は、機密性の優れ、PC5と着脱可能な耐タンパ装置で構成されており、メモリ16やタイマ部15などを格納している。なお、鍵情報管理装置10は、PC5に内蔵してもよい。
鍵情報管理装置10は、PC5の記憶媒体6に記憶されたデータを暗号処理するための暗号鍵17を管理サーバ20からダウンロードして、メモリ16に一時的に記憶する。
タイマ部15は、一定時間(消去時間と呼ぶ)、鍵情報管理装置10に対するユーザからのアクセスが無くなった段階で、一時的に記憶した暗号鍵17を消去する。暗号鍵17が消去された段階で、PC5が記憶したデータは、復号処理できなくなる。
【0011】
PC5から鍵情報管理装置10へのアクセスはユーザ認証するようになっており、鍵情報管理装置10が第三者に渡ったとしても、第三者がユーザ認証を攻撃して暗号鍵17を窃取しようと作業している間に時間切れとなって暗号鍵17が消去されるため、セキュリティを高めることができる。
【0012】
消去時間は、ユーザが状況に応じて設定することができ、セキュリティを高める場合は短く、管理サーバ20に接続できない環境にPC5を移動する場合や、暗号鍵17をダウンロードする手間を省きたい場合などには長くする。
また、ユーザが鍵情報管理装置10にアクセスするとタイマ部15の時間計測をリセットするように構成し、ユーザが消去時間内に暗号鍵17を利用する限り暗号鍵17を鍵情報管理装置10内に保存し、管理サーバ20へのアクセス回数を低減することもできる。
【0013】
(2)実施形態の詳細
図1は、本実施形態の暗号鍵時限制御システム1の構成を説明するための図である。
暗号鍵時限制御システム1は、PC5、鍵情報管理装置10、通信網3、管理サーバ20などから構成されている。
これらのうち、例えば、PC5と鍵情報管理装置10は、ユーザが管理し、管理サーバ20は、管理センタが管理している。
【0014】
PC5は、持ち運び可能なノート型PCであり、内蔵されたハードディスクなどの記憶媒体6にデータ(ファイル)を記憶している。
PCは、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、ハードディスクなどで構成された記憶媒体6などを備えている。
なお、本実施の形態では、PC5をノート型とするが、これは一例であって、デスクトップ型などの据え置きタイプのものであってもよいし、あるいは、パームトップなど、更に小型のPCであってもよい。
【0015】
PC5は、暗号鍵17を用いて記憶媒体6のデータを暗号化・復号化する暗号処理部を備えており、ユーザが記憶媒体6のデータを利用する場合は、暗号鍵17を用いてこれを復号化し、利用を終えて記憶媒体6に記憶する場合は、暗号鍵17を用いてこれを暗号化してから記憶する。
このように、記憶媒体6のデータは、暗号鍵17を用いて暗号化された状態で記憶されているため、第三者は、暗号鍵17を入手しなければ記憶媒体6のデータを復号化することができない。
【0016】
鍵情報管理装置10は、暗号鍵17を記憶し時限管理する耐タンパ構造を備えた装置(HSM:Hardware Security Module)であり、通信部11、メモリ12、CPU14、タイマ部15、メモリ16、バッテリ18などを備えている。
図示しないが、鍵情報管理装置10は、PC5の外部接続インターフェースと接続するインターフェースを備えており、PC5に着脱可能に構成されている。
【0017】
メモリ12は、半導体で構成された記憶媒体(内部メモリ)であって、管理サーバ20が鍵情報管理装置10を認証するのに用いる装置秘密鍵13(管理サーバ20の装置公開鍵24に対応する秘密鍵)、及び鍵情報管理装置10が管理サーバ20を認証するためのサーバ公開鍵27(管理サーバ20のサーバ秘密鍵25に対応する公開鍵)などを記憶している。これらの情報は、例えば、工場出荷時にメモリ12に記憶される。
デジタル署名値28は、後述するように、タイムスタンプ装置10が管理サーバ20に認証を要求する際に生成される。
また、メモリ12には、鍵情報管理装置10が管理サーバ20との通信用に発生させた乱数による共通鍵19や、CPU14が実行する鍵情報管理プログラムなども記憶されている。
【0018】
メモリ16は、半導体で構成された記憶媒体(内部メモリ)であって、PC5が記憶媒体6のデータを暗号化・復号化するための鍵情報である暗号鍵17を記憶している。
暗号鍵17は、CPU14が管理サーバ20からダウンロードしてメモリ16に一時記憶する。
なお、鍵情報管理装置10では、例えば、メモリ12をSRAM(Static Random Access Memory)、メモリ16をDRAM(Dynamic Random Access Memory)で構成するなどメモリ16を別の記憶媒体としているが、これらを同一の記憶媒体としてもよい。
【0019】
CPU14は、鍵情報管理プログラムに従って暗号鍵17の管理やPC5や管理サーバ20との相互認証処理といった各種の情報処理、及び鍵情報管理装置10の各部の制御などを行う。
タイマ部15は、鍵情報管理プログラムをCPU14が実行することにより図示しない鍵情報管理装置10の内部クロックを利用してソフトウェア的に構成された機能部であり、時間の経過を計測し、所定時間が経過すると暗号鍵17を消去する。以下、この所定時間を消去時間と呼ぶことにする。
【0020】
PC5には、鍵情報管理装置10を利用するための鍵情報管理アプリケーションがインストールされており、鍵情報管理装置10をPC5に接続した状態で当該アプリケーションを動作させることにより、ユーザ認証を行って暗号鍵17を取り出したり、消去時間を設定したりすることができる。
【0021】
消去タイミングには、メモリ16に暗号鍵17を記憶してから消去時間経過後に一律に消去するモード(一律消去モード)と、PC5が暗号鍵17を使用するたびに時間の計測をリセットするモード(リセットモード)がある。
これら2つのモードを鍵情報管理アプリケーションを用いてユーザが設定できるように構成してもよいし、あるいは、何れかのモードのみで動作するように鍵情報管理装置10を構成してもよい。
【0022】
通信部11は、通信網3を介して管理サーバ20と通信する。
通信部11は、例えば、無線通信によって通信網3のアクセスポイントと接続するが、有線によって接続するように構成してもよい。
また、本実施の形態では、通信部11を鍵情報管理装置10に備えたが、PC5が通信網3を用いた通信機能を有する場合、鍵情報管理装置10は、PC5の通信機能を用いて管理サーバ20と通信するように構成することもできる。
【0023】
バッテリ18は、CPU14や、鍵情報管理装置10のその他の構成要素に電力を供給して鍵情報管理装置10を単体で駆動するための電池であり、鍵情報管理装置10がPC5から離脱していても鍵情報管理装置10は、バッテリ18の供給する電力により動作し、タイマ部15による経過時間の計測、及び暗号鍵17の消去を行うことができる。
鍵情報管理装置10がPC5と接続している場合は、鍵情報管理装置10は、PC5から電力の供給を受けてバッテリ18の消耗を抑制する。
また、PC5の供給する電力によりバッテリ18を充電するように構成することもできる。
【0024】
鍵情報管理装置10は、外部からの不正な操作ができないように耐タンパ構造を有しており、外部から鍵情報管理装置10の内容を解析しようとすると、メモリ12やメモリ16に記憶してある情報が自動的に消去されるようになっている。
この目的のために、バッテリ18がメモリ12、16に供給する電力は、鍵情報管理装置10の筐体に張り巡らされたコイルを介して供給されるようになっており、鍵情報管理装置10を物理的にあけて内容を解析しようとするとコイルが断線してメモリ12、16の電力が途絶え、装置秘密鍵13や暗号鍵17などの記憶内容が消去される。
このような物理的な解析のほか、例えば、ユーザ認証に所定回数失敗すると消去するといったようにソフトウェア的な解析に対しても消去を行うように構成することもできる。
【0025】
管理サーバ20は、鍵情報管理装置10に暗号鍵17を送信するサーバである。
管理サーバ20は、CPU、RAM、ROM、ハードディスクなどで構成された記憶媒体などを備えており、これらを用いて通信部21、認証部22、暗号鍵DB(database)23などが形成されている。
通信部21は、通信網3を介して通信部11と通信し、鍵情報管理装置10との相互認証の際の通信、暗号鍵17の送信などを行う。
【0026】
認証部22は、鍵情報管理装置10を相互認証し、鍵情報管理装置10の特定を行う。
認証部22は、鍵情報管理装置10から装置秘密鍵13で暗号化されたデジタル署名値28を受信すると、これを装置公開鍵24で復号化して鍵情報管理装置10が適正な装置であるか認証する。
鍵情報管理装置10の特定は、例えば、鍵情報管理装置10に固有な情報(鍵情報管理装置10の機器IDなど)を管理サーバ20に送信して行う。
【0027】
更に、認証部22は、自己のサーバID情報から生成したデジタル署名値29を自己のサーバ秘密鍵25で暗号化して鍵情報管理装置10に送信し、鍵情報管理装置10にサーバ公開鍵27で復号化させることにより管理サーバ20の認証を行わせる。
この認証技術は、所謂PKI(Public Key Infrastructure)技術を用いたものである。
なお、暗号鍵時限制御システム1は、2要素認証を採用しており、認証部22は、ユーザ認証情報26(ユーザID、パスワード、PC情報など)も認証する。
【0028】
暗号鍵DB23は、記憶媒体に格納されており、鍵情報管理装置10(例えば、機器ID)と対応づけて暗号鍵17を記憶している。管理サーバ20は、認証によって鍵情報管理装置10を特定すると、当該鍵情報管理装置10の暗号鍵17を暗号鍵DB23から取得し、これを鍵情報管理装置10から取得した共通鍵19で暗号化して鍵情報管理装置10に送信する。
鍵情報管理装置10に送信された暗号鍵17は、鍵情報管理装置10の共通鍵19によって復号化されてメモリ16に記憶される。
【0029】
なお、本実施の形態では、PC5と鍵情報管理装置10を別体とし、着脱するように構成したが、鍵情報管理装置10をPC5に内蔵してもよい。
鍵情報管理装置10とPC5を別体とする場合、PC5の内部に暗号鍵17が存在しないためセキュリティが高まるほか、単一の鍵情報管理装置10を複数のPC5で使用することもできる。
一方、鍵情報管理装置10をPC5に内蔵する場合、ユーザが鍵情報管理装置10を着脱したり保管する手間を省くことができる。
【0030】
図2の各図は、タイマ部15が行う暗号鍵17の時限管理を説明するための図である。
図2(a)は、タイマ部15が、一律消去モードで動作する場合を示している。一例として、消去時間は12時間に設定されているものとする。
タイマ部15は、CPU14が管理サーバ20から暗号鍵17をダウンロードしてメモリ16に記憶すると経過時間の計測を開始し、暗号鍵17の使用状況にかかわらず消去時間(ここでは12時間)に達すると暗号鍵17を消去する。
【0031】
このように、一律消去モードでは、暗号鍵17をダウンロードしてから消去時間後に暗号鍵17が消去されるため、暗号鍵17が鍵情報管理装置10に記憶されている時間を消去時間に限定することができ、セキュリティを高めることができる。
また、消去時間を短く設定するほど暗号鍵17が鍵情報管理装置10に保存されている時間を短くすることができるので、よりセキュリティを高めることができる。
消去時間は、最短で0秒に設定することができる。この場合、PC5が暗号鍵17を要求すると、鍵情報管理装置10は、管理サーバ20から暗号鍵17をダウンロードしてPC5に送信し、メモリ16に暗号鍵17を記憶しない。
【0032】
図2(b)は、タイマ部15がリセットモードで動作する場合を示している。一例として、消去時間は12時間に設定されているものとする。
この場合、タイマ部15は、CPU14が管理サーバ20から暗号鍵17をダウンロードしてメモリ16に記憶すると経過時間の計測を開始し、消去時間経過前にPC5が暗号鍵17を使用すると、経過時間を0にリセットして経過時間の計測を再開する。そして、暗号鍵17が使用されずに消去時間が経過すると、タイマ部15は暗号鍵17を消去する。
【0033】
このように、リセットモードでは、PC5が暗号鍵17を使用する度に経過時間の計測をリセットするため、ユーザが消去時間内に鍵情報管理装置10を使用する限りにおいては、暗号鍵17は、鍵情報管理装置10から消去されない。
そのため、暗号鍵17を管理サーバ20からダウンロードする場合が減り、鍵情報管理装置10と管理サーバ20の情報処理負荷、及び通信網3の通信負荷を低減することができる。
そして、暗号鍵17が使用されずに消去時間が経過すると暗号鍵17は消去されるため、暗号鍵17の管理についてセキュリティを高めることができる。
【0034】
図2(c)は、リセットモードにおいて消去時間を6時間に設定した場合を示している。
この場合は、タイマ部15は、暗号鍵17がダウンロードされてから6時間以内にPC5が暗号鍵17を使用した場合に経過時間の計測をリセットし、暗号鍵17が使用されずに6時間が経過すると暗号鍵17を消去する。
このように、消去時間を短くすると、暗号鍵17が不使用によって消去される可能性は高まるが、鍵情報管理装置10が暗号鍵17に記憶されている時間が短縮されるため、暗号鍵17が遺漏するリスクを低減することができる。
【0035】
以上に説明したリセットモードにおいては、暗号鍵17が使用された時点でリセットしたが、消去時間内で暗号鍵17が使用されたことを条件に消去時間が経過した時点でリセットするように構成することもできる。
この場合、例えば、消去時間を12時間とすると、当該12時間以内に暗号鍵17が使用された場合、当該12時間経過時点で、消去時間を更に12時間延長する。
また、リセット回数を所定回数に制限するように構成することもできる。例えば、リセット回数を3回に制限した場合、鍵情報管理装置10は、3回までは消去時間を延長するが、4回目のリセットは行わずに暗号鍵17を消去する。
【0036】
以上のように、一律消去モード、リセットモードの何れも消去時間を任意に設定することができるが、消去時間を短くするほどセキュリティが高まるが暗号鍵17が消去される場合が増えるため、ユーザは、使用状況に応じて消去時間を設定することができる。
例えば、PC5をセキュリティの高いオフィスで使用する場合、消去時間を12時間〜18時間程度に設定し、PC5を出張先などに持ち出す場合には、出張先で使用する時間に合わせて(例えば、2時間)消去時間を設定する。
【0037】
例えば、PC5と鍵情報管理装置10を同じ鞄に入れて出張に出かけ、鞄ごと第三者に窃取された場合を想定すると、鍵情報管理装置10の記憶する暗号鍵17は、ユーザ認証によって保護されているため、第三者が当該保護を解除・回避して暗号鍵17を得ようと作業している間に消去時間が経過して暗号鍵17が消去されてしまう。このように鍵情報管理装置10の中に暗号鍵17が残らないため、極めて高いセキュリティを実現することができる。
【0038】
具体的な使用形態としては、例えば、次のようなケースが考えられる。
PC5のユーザは、通常は、セキュアなオフィスで9時から5時まで勤務している。当該ユーザは、通常は、消去時間を6時間に設定しており、9時前に出勤して鍵情報管理装置10に暗号鍵17をダウンロードし、退社するまで当該暗号鍵17をリセットしながら使用する。
【0039】
使用後、当該ユーザは、PC5から鍵情報管理装置10を離脱し、鍵情報管理装置10を机の引出に収納して施錠したり、あるいは、会社指定の金庫に保管するなどする。
夜間にPC5が窃取されたとしても、鍵情報管理装置10が無いため、データを復号化することができない。
仮に、PC5と鍵情報管理装置10の双方が窃取されたとしても、夜間にタイマ部15が暗号鍵17を消去してしまうため、データを復号化することはできない。
【0040】
次に、当該ユーザが、客先にPC5を持参してプレゼンテーションする場合を想定する。
客先が通信網3に接続可能な環境であれば、暗号鍵17を消去して鍵情報管理装置10を客先に持参し、客先で鍵情報管理装置10をダウンロードすれば移動中に暗号鍵17を携帯しないためセキュリティが高まる。
一方、客先が通信網3に接続可能か否かは通常不明である場合は、鍵情報管理装置10に暗号鍵17を記憶して客先まで携行する。
客先でのプレゼンテーションが2時間後である場合、当該ユーザは、消去時間を3時間程度に設定し、PC5と鍵情報管理装置10を携帯して客先に移動する。
このように、ユーザは、暗号鍵17の使用予定時間と消去時間を比較しながら使用予定時間よりも長めに、かつ、長すぎずに消去時間を設定することができる。
【0041】
そして、当該ユーザは、客先でPC5に鍵情報管理装置10を接続し、鍵情報管理装置10からPC5に暗号鍵17を読み込んでデータを復号し、プレゼンテーションを行う。
当該ユーザが客先に向かう途中に、PC5と鍵情報管理装置10を紛失したとしても、3時間程度で暗号鍵17が消去されてしまうため、データの遺漏を防止することができる。
また、当該ユーザが客先からオフィスに帰社する途中でPC5と鍵情報管理装置10を紛失したとしても、プレゼンテーションが終了するころまでには暗号鍵17が消去されているため、データの遺漏を防止することができる。
言うまでもなく、PC5を単体で紛失した場合もデータの遺漏を防止することができる。
【0042】
このように、PC5と鍵情報管理装置10を別体とすることによりセキュリティが高まり、更に、暗号鍵17に消去時間を設定することにより更にセキュリティが高まり、更に、消去時間を状況に応じて可変に設定することにより、セキュリティを高く維持したままユーザの利便性を図ることができる。
【0043】
図3は、鍵情報管理装置10が管理サーバ20から暗号鍵17をダウンロードする手順を説明するためのフローチャートである。
以下のフローチャートにおいて、PC5、鍵情報管理装置10、管理サーバ20が行う処理は、それぞれPC5のCPU、CPU14、管理サーバ20のCPUが所定のプログラムに従って行うものである。
【0044】
まず、鍵情報管理装置10をPC5に接続し、PC5で鍵情報管理アプリケーションを起動する(ステップ5)。
この起動は、ユーザがPC5を操作して起動してもよいし、あるいは、PC5が鍵情報管理装置10の接続を検知して自動的に起動してもよい。
PC5と鍵情報管理装置10は、鍵情報管理アプリケーションが起動するとPC5と鍵情報管理装置10の相互認証を以下のように行う(ステップ10)。
この相互認証は、ユーザ認証と、鍵情報管理装置10とPC5がお互いに対して行う機器認証の2要素認証を用いて行われる。
【0045】
まず、PC5は、ユーザ認証情報入力画面をPC5のディスプレイに表示し、ユーザは、これに対して自身のユーザIDとパスワードを入力する。
PC5は、ユーザからユーザ認証情報の入力を受け付けると、これを鍵情報管理装置10に送信する。
なお、ユーザ認証情報として、例えば、静脈や指紋といった生体情報など、他の情報を用いるように構成することも可能である。
【0046】
鍵情報管理装置10は、予めユーザ認証情報をメモリ12に記憶しており、PC5からユーザ認証情報が入力されると、これをメモリ12に記憶してあるユーザ認証情報と照合してユーザ認証を行う。
ユーザ認証に失敗した場合、鍵情報管理装置10は、その旨をPC5に通知し、PC5からのアクセスを受け付けない。
【0047】
相互認証に成功した場合、鍵情報管理装置10は、メモリ16に暗号鍵17が記憶されているか否かを確認する(ステップ15)。
暗号鍵17が記憶されている場合(ステップ15;Y)、鍵情報管理装置10は、後に図4、5で説明する処理を行う。
暗号鍵17が記憶されていない場合(ステップ15;N)、鍵情報管理装置10は、通信部11を用いて管理サーバ20に接続し、相互認証を行う(ステップ20)。
なお、鍵情報管理装置10と管理サーバ20は、SSL(Secure Sockets Layer)などの技術を用いて通信網3による通信経路を暗号化し、通信内容の遺漏を防止している。
【0048】
この相互認証では、鍵情報管理装置10と管理サーバ20は、互いに相手を認証することにより相手が適切なものであることを確認する。
まず、管理サーバ20が鍵情報管理装置10を認証する場合、鍵情報管理装置10は、暗号通信で使用する共通鍵19(乱数値)を生成し、サーバ公開鍵27で暗号化する。続けて鍵情報管理装置10は、クライアント端末5から入力されたユーザ認証情報26を共通鍵19で暗号化し、更に、ユーザ認証情報26をハッシュ化した値を装置秘密鍵13で暗号化したデジタル署名値28を生成する。これら暗号化情報(共通鍵19、ユーザ認証情報26、デジタル署名値28、及び鍵情報管理装置10の機器ID)を管理サーバ20に送信する。
【0049】
管理サーバ20は、機器IDにより鍵情報管理装置10を特定し、認証に用いる装置公開鍵24とデジタル署名値28を特定する。
そして、管理サーバ20は、記憶している装置公開鍵24とサーバ秘密鍵25を用いてユーザ認証情報の認証と鍵情報管理装置10の機器認証を行う。
まず、管理サーバ20は、サーバ公開鍵27で暗号化された共通鍵19をサーバ秘密鍵25で復号化して通信に必要な共通鍵19を取り出す。
一般に、共通鍵を用いた暗号処理の方が非対称鍵(秘密鍵、公開鍵)を用いた暗号処理よりも情報処理量が少なくて効率がよいため、鍵情報管理装置10と管理サーバ20は、まず、サーバ公開鍵27とサーバ秘密鍵25を用いて共通鍵19を共有し、以降、共通鍵19を用いて暗号通信を行う。
【0050】
次に、管理サーバ20は、当該共通鍵19を用いて、鍵情報管理装置10側の共通鍵19で暗号化されたユーザ認証情報を復号化し、次いで、装置秘密鍵13で暗号化されたデジタル署名値28を装置公開鍵24で復号化する。
そして、管理サーバ20は、これら復号化したユーザ認証情報26とデジタル署名値28による鍵情報管理装置10の検証を行う。検証が成功した場合は、引き続き処理を続行し、検証が失敗した場合は、不正なユーザ認証情報26、あるいは鍵情報管理装置10であることから接続要求を拒否する。
このように、管理サーバ20は、ユーザ認証情報26、機器情報(装置秘密鍵13、デジタル署名値28)による2要素認証により鍵情報管理装置10を認証することでセキュリティを高めている。
【0051】
一方、鍵情報管理装置10が管理サーバ20を認証する場合、管理サーバ20は、管理サーバID情報をハッシュ化した値に対してサーバ秘密鍵25で暗号化したデジタル署名値29を鍵情報管理装置10に送信する。
鍵情報管理装置10は、これをサーバ公開鍵27で復号化してデジタル署名値29を取り出し、管理サーバ20の検証を行う。検証が成功した場合は、引き続き処理を続行し、検証が失敗した場合は、不正な管理サーバ20であることから接続要求を拒否する。
以上のように、鍵情報管理装置10と管理サーバ20は、PKIを用いた認証と、2要素認証により相互認証を行う。
【0052】
鍵情報管理装置10と管理サーバ20が相互認証を行うと、管理サーバ20は、鍵情報管理装置10に対応する暗号鍵17を暗号鍵DB23で検索して取得し、これを共通鍵19で暗号化して鍵情報管理装置10に送信する(ステップ25)。
鍵情報管理装置10は、管理サーバ20から暗号鍵17を受信すると、これを共通鍵19で復号化してメモリ16に記憶する(ステップ30)。
そして、暗号鍵17がメモリ16に記憶されると、タイマ部15が経過時間の計測を開始する(ステップ35)。
【0053】
以上のように、鍵情報管理装置10は、メモリ16に暗号鍵17がない場合、管理サーバ20と相互認証の上、暗号鍵17を管理サーバ20からダウンロードしてメモリ16に記憶することができる。
そのため、消去時間経過などにより暗号鍵17が消去されてしまった場合でも、暗号鍵17をネットワーク経由で再度取得することができ、ユーザは、PC5の暗号化されたデータを使用することができる。
【0054】
なお、本実施の形態では、暗号鍵17を管理サーバ20からダウンロードするように構成したが、例えば、ユーザが暗号鍵17を所定の記憶媒体に記憶して金庫などの安全な場所に格納しておき、鍵情報管理装置10の暗号鍵17が消去された場合に、当該所定の記憶媒体から鍵情報管理装置10に暗号鍵17をコピーするといった方法も可能である。
【0055】
図4は、鍵情報管理装置10が一律消去モードで動作する場合の手順を説明するためのフローチャートである。
図3と同じステップには、同じステップ番号を付して説明を簡略化する。
鍵情報管理装置10において、タイマ部15は、暗号鍵17をダウンロードしてから消去時間が経過したか監視しており(ステップ40)、経過していない場合は(ステップ40;N)、監視を継続し、経過した場合は(ステップ40;Y)、メモリ16から暗号鍵17を消去する(ステップ45)。
【0056】
鍵情報管理アプリケーションの起動(ステップ5)、及びPC5と鍵情報管理装置10の相互認証は、図3の処理と同じである。
相互認証後、鍵情報管理装置10は、メモリ16が暗号鍵17を記憶しているか否かを確認し(ステップ15)、記憶していない場合には(ステップ15;N)、図3のステップ20〜35に示した暗号鍵17のダウンロード処理を行う(ステップ60)。
メモリ16が暗号鍵17を記憶していた場合(ステップ15;Y)、又は、暗号鍵17をダウンロードした後(ステップ60)、鍵情報管理装置10は、PC5に暗号鍵17を送信する(ステップ65)。
【0057】
PC5は、鍵情報管理装置10から暗号鍵17を受信すると、これを自己が有するメモリ(例えば、メインメモリ)の所定領域に記憶する(ステップ70)。
そして、PC5は、ユーザが記憶媒体6からデータを読み出す場合は、当該記憶した暗号鍵17でデータを復号化し、記憶媒体6にデータを記憶する場合は、当該記憶した暗号鍵17でデータを暗号化するといったように、暗号鍵17でデータの暗号化復号化処理を行う(ステップ75)。
ユーザが、記憶媒体6のデータの使用を終了すると(ステップ80)、PC5は、自己のメモリに記憶した暗号鍵17を消去する(ステップ85)。
【0058】
以上の例では、PC5は、鍵情報管理装置10から暗号鍵17を取得して記憶し、これを使用するように構成したが、暗号鍵17を使用するたびに鍵情報管理装置10から送信してもらい、PC5の内部に記憶しないように構成することもできる。
この場合、PC5には暗号鍵17が記憶されないのでよりセキュリティを高めることができる。
【0059】
また、鍵情報管理装置10は、ステップ65で暗号鍵17を送信した後、メモリ16に記憶した暗号鍵17を消去するように構成することもできる。
この場合、PC5に暗号鍵17を送信した後、鍵情報管理装置10には暗号鍵17が存在しないので、よりセキュリティを高めることができる。
【0060】
図5は、鍵情報管理装置10がリセットモードで動作する場合の手順を説明するためのフローチャートである。
図4と同じステップには、同じステップ番号を付して説明を簡略化する。
PC5が行う処理(ステップ5〜85)、及び鍵情報管理装置10がPC5に暗号鍵17を送信するまでの処理(ステップ15〜65)は、図4と同じである。
リセットモードでは、鍵情報管理装置10は、PC5に暗号鍵17を送信するとタイマ部15にリセット指令を発する(ステップ110)。
【0061】
タイマ部15は、リセット指令が発せられたか監視しており(ステップ115)、リセット指令があった場合は(ステップ115;Y)、経過時間の計測をリセットする(ステップ120)。
また、タイマ部15は、リセット指令がなかった場合(ステップ115;N)、又はリセットした後(ステップ120)、消去時間が経過したか確認し(ステップ40)、消去時間が経過していない場合は(ステップ40;N)、ステップ115に戻り、消去時間が経過した場合は(ステップ40;Y)、暗号鍵17を消去する(ステップ45)。
【0062】
以上の例では、鍵情報管理装置10は、暗号鍵17を送信した後(ステップ65)、リセット指令を発したが(ステップ110)、リセット指令を発するタイミングは、相互認証(ステップ10)の直後でもよい。
【0063】
以上に説明した本実施の形態によって、次のような効果を得ることができる。
(1)機密性に優れたHSMで構成された鍵情報管理装置10にタイマ部15とメモリ16を格納し、鍵情報管理装置10と通信する管理サーバ20を用いることにより、重要な暗号鍵17の安全な配布と保管を行うことができる。
(2)鍵情報管理装置10は、タイマ部15により、一定時間以上、ユーザからのアクセスが無くなった段階で、一時的に記録した暗号鍵17を消去する。暗号鍵17が消去されると、PC5のデータが復号処理できなくなるため、当該データを保護することができる。
(3)一定時間以上、PC5を使わなかった場合、例えば、PC5が携帯可能なノート型などの場合、紛失後消去時間が経過した場合に暗号鍵17が消滅することから、例えPC5の認証攻撃に成功したとしてもデータを復号化することできない。
(4)PC5と鍵情報管理装置10を別々に保管することから、同時に紛失しなければ、PC5の紛失後に認証攻撃を受ける心配がない。
(5)ユーザ認証することにより、認証攻撃を受けた際の時間稼ぎを行うことができ、その間に暗号鍵17を消滅させることができる。
【0064】
以上に説明した本実施の形態により、次の構成を得ることができる。
鍵情報管理装置10は、例えば、鍵情報管理装置10からダウンロードするなどして暗号鍵17を取得し、これをメモリ16に記憶するため、鍵情報(暗号鍵17)を取得する鍵情報取得手段と、前記取得した鍵情報を記憶する鍵情報記憶手段(メモリ16)を備えている。
また、鍵情報管理装置10は、ユーザ認証によりPC5のユーザが適切であるか、また、PC5を認証することによりPC5が適切であるか確認してから暗号鍵17をPC5に送信するため、前記記憶した鍵情報の提供先が適正な提供先であることを確認する確認手段と、前記提供先が適正であると確認した場合に、前記記憶した鍵情報を前記提供先に提供する鍵情報提供手段を備えている。
更に、鍵情報管理装置10は、タイマ部15で経過した時間を計測し、消去時間が経過した場合にメモリ16に記憶した暗号鍵17を消去するため、所定の時点(例えば、暗号鍵17のダウンロード時やリセット時)から経過した時間を計測する計測手段(タイマ部15)と、前記計測した時間が所定時間(消去時間)を経過した場合に、前記記憶した鍵情報を消去する消去手段(タイマ部15)を備えている。
【0065】
鍵情報管理装置10は、管理サーバ20から暗号鍵17をダウンロードするため、前記鍵情報取得手段は、所定の情報処理装置(管理サーバ20)から前記鍵情報を取得している。
また、ユーザが消去時間を設定することができるため、鍵情報管理装置10は、前記所定時間を設定する所定時間設定手段を備えている。
鍵情報管理装置10は、PC5に着脱できるため、前記鍵情報管理装置は、前記提供先(PC5)と着脱可能に構成されている。
更に、リセットモードでは、ユーザ認証が成功した場合(更に、暗号鍵17をPC5に送信した後などの条件を付加できる)、時間計測をリセットすることにより暗号鍵17を消去する時点を先送りして延長することができるため、前記確認手段が提供先が適正な提供先であることを確認した後に、前記消去手段が前記記憶した鍵情報を消去する時点を延長する延長手段を備えている。
鍵情報管理装置10では、各機能部が耐タンパ性を有するHSM内に形成されているため、鍵情報取得手段、鍵情報記憶手段、確認手段、鍵情報提供手段、計測手段、消去手段、所定時間設定手段、延長手段の各手段は、耐タンパ装置の内部に形成されている。
【符号の説明】
【0066】
1 暗号鍵時限制御システム
3 通信網
5 PC
6 記憶媒体
10 鍵情報管理装置
11 通信部
12 メモリ
13 装置秘密鍵
14 CPU
15 タイマ部
16 メモリ
17 暗号鍵
18 バッテリ
19 共通鍵
20 管理サーバ
21 通信部
22 認証部
23 暗号鍵DB
24 装置公開鍵
25 サーバ秘密鍵
26 ユーザ認証情報
27 サーバ公開鍵
28 デジタル署名値
29 デジタル署名値
【技術分野】
【0001】
本発明は、鍵情報管理装置に関し、例えば、データを暗号化して利用する鍵情報を管理するものに関する。
【背景技術】
【0002】
IT技術の普及に伴い情報の電子化が進展しており、電子化されたデータは、複製・送信が容易なため、如何に電子化されたデータのセキュリティを高めるかが問題となっている。
このため、ハードディスクなどの記憶媒体に、データを暗号化して記憶する技術が用いられている。
この技術は、データの暗号化・復号化に用いる暗号鍵をコンピュータ内に記憶しておき、パスワードの入力などによるユーザ認証によって当該暗号鍵を使用可能にするものである。認証されたユーザは、当該暗号鍵によってデータを復号化して利用し、利用後はデータを暗号化して保存する。
【0003】
また、特許文献1で開示されている「ファイルデータ削除プログラム及びファイルデータ削除システム」のように、ファイルデータに時限情報を付加し、これを用いてファイルオープンを制限したり、あるいは、ファイルデータを削除するなどしてセキュリティを高める技術も提案されている。
【0004】
しかし、従来のコンピュータは、ユーザ認証は行うものの、暗号鍵はコンピュータ内に記憶されているため、データが暗号化されていても、認証機能を攻撃することによりデータが復号されてしまう脆弱性があった。
また、暗号鍵をコンピュータに着脱可能な記憶媒体に記憶して、コンピュータとは別に管理することも考えられるが、例えば、ノート型PC(Personal computer)と記憶媒体を同じ鞄に入れておくなど、必ずしも別に管理されるとは限らず、更にセキュリティを高める必要がある。
また、特許文献1の技術では、ファイルデータの提供者と受給者が専用のアプリケーションを備える必要があり、PCの一般的なユーザが日常的に使用するのには適していないという問題がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−316903号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、データを暗号化して利用する場合のセキュリティを高めることを目的とする。
【課題を解決するための手段】
【0007】
本発明は、前記目的を達成するために、請求項1に記載の発明では、鍵情報を取得する鍵情報取得手段と、前記取得した鍵情報を記憶する鍵情報記憶手段と、前記記憶した鍵情報の提供先が適正な提供先であることを確認する確認手段と、前記提供先が適正であると確認した場合に、前記記憶した鍵情報を前記提供先に提供する鍵情報提供手段と、所定の時点から経過した時間を計測する計測手段と、前記計測した時間が所定時間を経過した場合に、前記記憶した鍵情報を消去する消去手段と、を具備したことを特徴とする鍵情報管理装置を提供する。
請求項2に記載の発明では、前記鍵情報取得手段は、所定の情報処理装置から前記鍵情報を取得することを特徴とする請求項1に記載の鍵情報管理装置を提供する。
請求項3に記載の発明では、前記所定時間を設定する所定時間設定手段を具備したことを特徴とする請求項1、又は請求項2に記載の鍵情報管理装置を提供する。
請求項4に記載の発明では、前記鍵情報管理装置は、前記提供先と着脱可能に構成されていることを特徴とする請求項1、請求項2、又は請求項3に記載の鍵情報管理装置を提供する。
請求項5に記載の発明では、前記確認手段が提供先が適正な提供先であることを確認した後に、前記消去手段が前記記憶した鍵情報を消去する時点を延長する延長手段を具備したことを特徴とする請求項1から請求項4までの何れか1の請求項に記載の鍵情報管理装置を提供する。
請求項6に記載の発明では、前記各手段は、耐タンパ装置の内部に形成されていることを特徴とする請求項1から請求項5までの何れか1の請求項に記載の鍵情報管理装置を提供する。
【発明の効果】
【0008】
本発明によると、所定時間経過後に暗号鍵を消去するため、データを暗号化して利用する場合にセキュリティを高めることができる。
【図面の簡単な説明】
【0009】
【図1】本実施形態の暗号鍵時限制御システムの構成を説明するための図である。
【図2】タイマ部が行う暗号鍵の時限管理を説明するための図である。
【図3】鍵情報管理装置が暗号鍵をダウンロードする手順を説明するためのフローチャートである。
【図4】鍵情報管理装置が一律消去モードで動作する場合の手順を説明するためのフローチャートである。
【図5】鍵情報管理装置がリセットモードで動作する場合の手順を説明するためのフローチャートである。
【発明を実施するための形態】
【0010】
(1)実施形態の概要
鍵情報管理装置10(図1)は、機密性の優れ、PC5と着脱可能な耐タンパ装置で構成されており、メモリ16やタイマ部15などを格納している。なお、鍵情報管理装置10は、PC5に内蔵してもよい。
鍵情報管理装置10は、PC5の記憶媒体6に記憶されたデータを暗号処理するための暗号鍵17を管理サーバ20からダウンロードして、メモリ16に一時的に記憶する。
タイマ部15は、一定時間(消去時間と呼ぶ)、鍵情報管理装置10に対するユーザからのアクセスが無くなった段階で、一時的に記憶した暗号鍵17を消去する。暗号鍵17が消去された段階で、PC5が記憶したデータは、復号処理できなくなる。
【0011】
PC5から鍵情報管理装置10へのアクセスはユーザ認証するようになっており、鍵情報管理装置10が第三者に渡ったとしても、第三者がユーザ認証を攻撃して暗号鍵17を窃取しようと作業している間に時間切れとなって暗号鍵17が消去されるため、セキュリティを高めることができる。
【0012】
消去時間は、ユーザが状況に応じて設定することができ、セキュリティを高める場合は短く、管理サーバ20に接続できない環境にPC5を移動する場合や、暗号鍵17をダウンロードする手間を省きたい場合などには長くする。
また、ユーザが鍵情報管理装置10にアクセスするとタイマ部15の時間計測をリセットするように構成し、ユーザが消去時間内に暗号鍵17を利用する限り暗号鍵17を鍵情報管理装置10内に保存し、管理サーバ20へのアクセス回数を低減することもできる。
【0013】
(2)実施形態の詳細
図1は、本実施形態の暗号鍵時限制御システム1の構成を説明するための図である。
暗号鍵時限制御システム1は、PC5、鍵情報管理装置10、通信網3、管理サーバ20などから構成されている。
これらのうち、例えば、PC5と鍵情報管理装置10は、ユーザが管理し、管理サーバ20は、管理センタが管理している。
【0014】
PC5は、持ち運び可能なノート型PCであり、内蔵されたハードディスクなどの記憶媒体6にデータ(ファイル)を記憶している。
PCは、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、ハードディスクなどで構成された記憶媒体6などを備えている。
なお、本実施の形態では、PC5をノート型とするが、これは一例であって、デスクトップ型などの据え置きタイプのものであってもよいし、あるいは、パームトップなど、更に小型のPCであってもよい。
【0015】
PC5は、暗号鍵17を用いて記憶媒体6のデータを暗号化・復号化する暗号処理部を備えており、ユーザが記憶媒体6のデータを利用する場合は、暗号鍵17を用いてこれを復号化し、利用を終えて記憶媒体6に記憶する場合は、暗号鍵17を用いてこれを暗号化してから記憶する。
このように、記憶媒体6のデータは、暗号鍵17を用いて暗号化された状態で記憶されているため、第三者は、暗号鍵17を入手しなければ記憶媒体6のデータを復号化することができない。
【0016】
鍵情報管理装置10は、暗号鍵17を記憶し時限管理する耐タンパ構造を備えた装置(HSM:Hardware Security Module)であり、通信部11、メモリ12、CPU14、タイマ部15、メモリ16、バッテリ18などを備えている。
図示しないが、鍵情報管理装置10は、PC5の外部接続インターフェースと接続するインターフェースを備えており、PC5に着脱可能に構成されている。
【0017】
メモリ12は、半導体で構成された記憶媒体(内部メモリ)であって、管理サーバ20が鍵情報管理装置10を認証するのに用いる装置秘密鍵13(管理サーバ20の装置公開鍵24に対応する秘密鍵)、及び鍵情報管理装置10が管理サーバ20を認証するためのサーバ公開鍵27(管理サーバ20のサーバ秘密鍵25に対応する公開鍵)などを記憶している。これらの情報は、例えば、工場出荷時にメモリ12に記憶される。
デジタル署名値28は、後述するように、タイムスタンプ装置10が管理サーバ20に認証を要求する際に生成される。
また、メモリ12には、鍵情報管理装置10が管理サーバ20との通信用に発生させた乱数による共通鍵19や、CPU14が実行する鍵情報管理プログラムなども記憶されている。
【0018】
メモリ16は、半導体で構成された記憶媒体(内部メモリ)であって、PC5が記憶媒体6のデータを暗号化・復号化するための鍵情報である暗号鍵17を記憶している。
暗号鍵17は、CPU14が管理サーバ20からダウンロードしてメモリ16に一時記憶する。
なお、鍵情報管理装置10では、例えば、メモリ12をSRAM(Static Random Access Memory)、メモリ16をDRAM(Dynamic Random Access Memory)で構成するなどメモリ16を別の記憶媒体としているが、これらを同一の記憶媒体としてもよい。
【0019】
CPU14は、鍵情報管理プログラムに従って暗号鍵17の管理やPC5や管理サーバ20との相互認証処理といった各種の情報処理、及び鍵情報管理装置10の各部の制御などを行う。
タイマ部15は、鍵情報管理プログラムをCPU14が実行することにより図示しない鍵情報管理装置10の内部クロックを利用してソフトウェア的に構成された機能部であり、時間の経過を計測し、所定時間が経過すると暗号鍵17を消去する。以下、この所定時間を消去時間と呼ぶことにする。
【0020】
PC5には、鍵情報管理装置10を利用するための鍵情報管理アプリケーションがインストールされており、鍵情報管理装置10をPC5に接続した状態で当該アプリケーションを動作させることにより、ユーザ認証を行って暗号鍵17を取り出したり、消去時間を設定したりすることができる。
【0021】
消去タイミングには、メモリ16に暗号鍵17を記憶してから消去時間経過後に一律に消去するモード(一律消去モード)と、PC5が暗号鍵17を使用するたびに時間の計測をリセットするモード(リセットモード)がある。
これら2つのモードを鍵情報管理アプリケーションを用いてユーザが設定できるように構成してもよいし、あるいは、何れかのモードのみで動作するように鍵情報管理装置10を構成してもよい。
【0022】
通信部11は、通信網3を介して管理サーバ20と通信する。
通信部11は、例えば、無線通信によって通信網3のアクセスポイントと接続するが、有線によって接続するように構成してもよい。
また、本実施の形態では、通信部11を鍵情報管理装置10に備えたが、PC5が通信網3を用いた通信機能を有する場合、鍵情報管理装置10は、PC5の通信機能を用いて管理サーバ20と通信するように構成することもできる。
【0023】
バッテリ18は、CPU14や、鍵情報管理装置10のその他の構成要素に電力を供給して鍵情報管理装置10を単体で駆動するための電池であり、鍵情報管理装置10がPC5から離脱していても鍵情報管理装置10は、バッテリ18の供給する電力により動作し、タイマ部15による経過時間の計測、及び暗号鍵17の消去を行うことができる。
鍵情報管理装置10がPC5と接続している場合は、鍵情報管理装置10は、PC5から電力の供給を受けてバッテリ18の消耗を抑制する。
また、PC5の供給する電力によりバッテリ18を充電するように構成することもできる。
【0024】
鍵情報管理装置10は、外部からの不正な操作ができないように耐タンパ構造を有しており、外部から鍵情報管理装置10の内容を解析しようとすると、メモリ12やメモリ16に記憶してある情報が自動的に消去されるようになっている。
この目的のために、バッテリ18がメモリ12、16に供給する電力は、鍵情報管理装置10の筐体に張り巡らされたコイルを介して供給されるようになっており、鍵情報管理装置10を物理的にあけて内容を解析しようとするとコイルが断線してメモリ12、16の電力が途絶え、装置秘密鍵13や暗号鍵17などの記憶内容が消去される。
このような物理的な解析のほか、例えば、ユーザ認証に所定回数失敗すると消去するといったようにソフトウェア的な解析に対しても消去を行うように構成することもできる。
【0025】
管理サーバ20は、鍵情報管理装置10に暗号鍵17を送信するサーバである。
管理サーバ20は、CPU、RAM、ROM、ハードディスクなどで構成された記憶媒体などを備えており、これらを用いて通信部21、認証部22、暗号鍵DB(database)23などが形成されている。
通信部21は、通信網3を介して通信部11と通信し、鍵情報管理装置10との相互認証の際の通信、暗号鍵17の送信などを行う。
【0026】
認証部22は、鍵情報管理装置10を相互認証し、鍵情報管理装置10の特定を行う。
認証部22は、鍵情報管理装置10から装置秘密鍵13で暗号化されたデジタル署名値28を受信すると、これを装置公開鍵24で復号化して鍵情報管理装置10が適正な装置であるか認証する。
鍵情報管理装置10の特定は、例えば、鍵情報管理装置10に固有な情報(鍵情報管理装置10の機器IDなど)を管理サーバ20に送信して行う。
【0027】
更に、認証部22は、自己のサーバID情報から生成したデジタル署名値29を自己のサーバ秘密鍵25で暗号化して鍵情報管理装置10に送信し、鍵情報管理装置10にサーバ公開鍵27で復号化させることにより管理サーバ20の認証を行わせる。
この認証技術は、所謂PKI(Public Key Infrastructure)技術を用いたものである。
なお、暗号鍵時限制御システム1は、2要素認証を採用しており、認証部22は、ユーザ認証情報26(ユーザID、パスワード、PC情報など)も認証する。
【0028】
暗号鍵DB23は、記憶媒体に格納されており、鍵情報管理装置10(例えば、機器ID)と対応づけて暗号鍵17を記憶している。管理サーバ20は、認証によって鍵情報管理装置10を特定すると、当該鍵情報管理装置10の暗号鍵17を暗号鍵DB23から取得し、これを鍵情報管理装置10から取得した共通鍵19で暗号化して鍵情報管理装置10に送信する。
鍵情報管理装置10に送信された暗号鍵17は、鍵情報管理装置10の共通鍵19によって復号化されてメモリ16に記憶される。
【0029】
なお、本実施の形態では、PC5と鍵情報管理装置10を別体とし、着脱するように構成したが、鍵情報管理装置10をPC5に内蔵してもよい。
鍵情報管理装置10とPC5を別体とする場合、PC5の内部に暗号鍵17が存在しないためセキュリティが高まるほか、単一の鍵情報管理装置10を複数のPC5で使用することもできる。
一方、鍵情報管理装置10をPC5に内蔵する場合、ユーザが鍵情報管理装置10を着脱したり保管する手間を省くことができる。
【0030】
図2の各図は、タイマ部15が行う暗号鍵17の時限管理を説明するための図である。
図2(a)は、タイマ部15が、一律消去モードで動作する場合を示している。一例として、消去時間は12時間に設定されているものとする。
タイマ部15は、CPU14が管理サーバ20から暗号鍵17をダウンロードしてメモリ16に記憶すると経過時間の計測を開始し、暗号鍵17の使用状況にかかわらず消去時間(ここでは12時間)に達すると暗号鍵17を消去する。
【0031】
このように、一律消去モードでは、暗号鍵17をダウンロードしてから消去時間後に暗号鍵17が消去されるため、暗号鍵17が鍵情報管理装置10に記憶されている時間を消去時間に限定することができ、セキュリティを高めることができる。
また、消去時間を短く設定するほど暗号鍵17が鍵情報管理装置10に保存されている時間を短くすることができるので、よりセキュリティを高めることができる。
消去時間は、最短で0秒に設定することができる。この場合、PC5が暗号鍵17を要求すると、鍵情報管理装置10は、管理サーバ20から暗号鍵17をダウンロードしてPC5に送信し、メモリ16に暗号鍵17を記憶しない。
【0032】
図2(b)は、タイマ部15がリセットモードで動作する場合を示している。一例として、消去時間は12時間に設定されているものとする。
この場合、タイマ部15は、CPU14が管理サーバ20から暗号鍵17をダウンロードしてメモリ16に記憶すると経過時間の計測を開始し、消去時間経過前にPC5が暗号鍵17を使用すると、経過時間を0にリセットして経過時間の計測を再開する。そして、暗号鍵17が使用されずに消去時間が経過すると、タイマ部15は暗号鍵17を消去する。
【0033】
このように、リセットモードでは、PC5が暗号鍵17を使用する度に経過時間の計測をリセットするため、ユーザが消去時間内に鍵情報管理装置10を使用する限りにおいては、暗号鍵17は、鍵情報管理装置10から消去されない。
そのため、暗号鍵17を管理サーバ20からダウンロードする場合が減り、鍵情報管理装置10と管理サーバ20の情報処理負荷、及び通信網3の通信負荷を低減することができる。
そして、暗号鍵17が使用されずに消去時間が経過すると暗号鍵17は消去されるため、暗号鍵17の管理についてセキュリティを高めることができる。
【0034】
図2(c)は、リセットモードにおいて消去時間を6時間に設定した場合を示している。
この場合は、タイマ部15は、暗号鍵17がダウンロードされてから6時間以内にPC5が暗号鍵17を使用した場合に経過時間の計測をリセットし、暗号鍵17が使用されずに6時間が経過すると暗号鍵17を消去する。
このように、消去時間を短くすると、暗号鍵17が不使用によって消去される可能性は高まるが、鍵情報管理装置10が暗号鍵17に記憶されている時間が短縮されるため、暗号鍵17が遺漏するリスクを低減することができる。
【0035】
以上に説明したリセットモードにおいては、暗号鍵17が使用された時点でリセットしたが、消去時間内で暗号鍵17が使用されたことを条件に消去時間が経過した時点でリセットするように構成することもできる。
この場合、例えば、消去時間を12時間とすると、当該12時間以内に暗号鍵17が使用された場合、当該12時間経過時点で、消去時間を更に12時間延長する。
また、リセット回数を所定回数に制限するように構成することもできる。例えば、リセット回数を3回に制限した場合、鍵情報管理装置10は、3回までは消去時間を延長するが、4回目のリセットは行わずに暗号鍵17を消去する。
【0036】
以上のように、一律消去モード、リセットモードの何れも消去時間を任意に設定することができるが、消去時間を短くするほどセキュリティが高まるが暗号鍵17が消去される場合が増えるため、ユーザは、使用状況に応じて消去時間を設定することができる。
例えば、PC5をセキュリティの高いオフィスで使用する場合、消去時間を12時間〜18時間程度に設定し、PC5を出張先などに持ち出す場合には、出張先で使用する時間に合わせて(例えば、2時間)消去時間を設定する。
【0037】
例えば、PC5と鍵情報管理装置10を同じ鞄に入れて出張に出かけ、鞄ごと第三者に窃取された場合を想定すると、鍵情報管理装置10の記憶する暗号鍵17は、ユーザ認証によって保護されているため、第三者が当該保護を解除・回避して暗号鍵17を得ようと作業している間に消去時間が経過して暗号鍵17が消去されてしまう。このように鍵情報管理装置10の中に暗号鍵17が残らないため、極めて高いセキュリティを実現することができる。
【0038】
具体的な使用形態としては、例えば、次のようなケースが考えられる。
PC5のユーザは、通常は、セキュアなオフィスで9時から5時まで勤務している。当該ユーザは、通常は、消去時間を6時間に設定しており、9時前に出勤して鍵情報管理装置10に暗号鍵17をダウンロードし、退社するまで当該暗号鍵17をリセットしながら使用する。
【0039】
使用後、当該ユーザは、PC5から鍵情報管理装置10を離脱し、鍵情報管理装置10を机の引出に収納して施錠したり、あるいは、会社指定の金庫に保管するなどする。
夜間にPC5が窃取されたとしても、鍵情報管理装置10が無いため、データを復号化することができない。
仮に、PC5と鍵情報管理装置10の双方が窃取されたとしても、夜間にタイマ部15が暗号鍵17を消去してしまうため、データを復号化することはできない。
【0040】
次に、当該ユーザが、客先にPC5を持参してプレゼンテーションする場合を想定する。
客先が通信網3に接続可能な環境であれば、暗号鍵17を消去して鍵情報管理装置10を客先に持参し、客先で鍵情報管理装置10をダウンロードすれば移動中に暗号鍵17を携帯しないためセキュリティが高まる。
一方、客先が通信網3に接続可能か否かは通常不明である場合は、鍵情報管理装置10に暗号鍵17を記憶して客先まで携行する。
客先でのプレゼンテーションが2時間後である場合、当該ユーザは、消去時間を3時間程度に設定し、PC5と鍵情報管理装置10を携帯して客先に移動する。
このように、ユーザは、暗号鍵17の使用予定時間と消去時間を比較しながら使用予定時間よりも長めに、かつ、長すぎずに消去時間を設定することができる。
【0041】
そして、当該ユーザは、客先でPC5に鍵情報管理装置10を接続し、鍵情報管理装置10からPC5に暗号鍵17を読み込んでデータを復号し、プレゼンテーションを行う。
当該ユーザが客先に向かう途中に、PC5と鍵情報管理装置10を紛失したとしても、3時間程度で暗号鍵17が消去されてしまうため、データの遺漏を防止することができる。
また、当該ユーザが客先からオフィスに帰社する途中でPC5と鍵情報管理装置10を紛失したとしても、プレゼンテーションが終了するころまでには暗号鍵17が消去されているため、データの遺漏を防止することができる。
言うまでもなく、PC5を単体で紛失した場合もデータの遺漏を防止することができる。
【0042】
このように、PC5と鍵情報管理装置10を別体とすることによりセキュリティが高まり、更に、暗号鍵17に消去時間を設定することにより更にセキュリティが高まり、更に、消去時間を状況に応じて可変に設定することにより、セキュリティを高く維持したままユーザの利便性を図ることができる。
【0043】
図3は、鍵情報管理装置10が管理サーバ20から暗号鍵17をダウンロードする手順を説明するためのフローチャートである。
以下のフローチャートにおいて、PC5、鍵情報管理装置10、管理サーバ20が行う処理は、それぞれPC5のCPU、CPU14、管理サーバ20のCPUが所定のプログラムに従って行うものである。
【0044】
まず、鍵情報管理装置10をPC5に接続し、PC5で鍵情報管理アプリケーションを起動する(ステップ5)。
この起動は、ユーザがPC5を操作して起動してもよいし、あるいは、PC5が鍵情報管理装置10の接続を検知して自動的に起動してもよい。
PC5と鍵情報管理装置10は、鍵情報管理アプリケーションが起動するとPC5と鍵情報管理装置10の相互認証を以下のように行う(ステップ10)。
この相互認証は、ユーザ認証と、鍵情報管理装置10とPC5がお互いに対して行う機器認証の2要素認証を用いて行われる。
【0045】
まず、PC5は、ユーザ認証情報入力画面をPC5のディスプレイに表示し、ユーザは、これに対して自身のユーザIDとパスワードを入力する。
PC5は、ユーザからユーザ認証情報の入力を受け付けると、これを鍵情報管理装置10に送信する。
なお、ユーザ認証情報として、例えば、静脈や指紋といった生体情報など、他の情報を用いるように構成することも可能である。
【0046】
鍵情報管理装置10は、予めユーザ認証情報をメモリ12に記憶しており、PC5からユーザ認証情報が入力されると、これをメモリ12に記憶してあるユーザ認証情報と照合してユーザ認証を行う。
ユーザ認証に失敗した場合、鍵情報管理装置10は、その旨をPC5に通知し、PC5からのアクセスを受け付けない。
【0047】
相互認証に成功した場合、鍵情報管理装置10は、メモリ16に暗号鍵17が記憶されているか否かを確認する(ステップ15)。
暗号鍵17が記憶されている場合(ステップ15;Y)、鍵情報管理装置10は、後に図4、5で説明する処理を行う。
暗号鍵17が記憶されていない場合(ステップ15;N)、鍵情報管理装置10は、通信部11を用いて管理サーバ20に接続し、相互認証を行う(ステップ20)。
なお、鍵情報管理装置10と管理サーバ20は、SSL(Secure Sockets Layer)などの技術を用いて通信網3による通信経路を暗号化し、通信内容の遺漏を防止している。
【0048】
この相互認証では、鍵情報管理装置10と管理サーバ20は、互いに相手を認証することにより相手が適切なものであることを確認する。
まず、管理サーバ20が鍵情報管理装置10を認証する場合、鍵情報管理装置10は、暗号通信で使用する共通鍵19(乱数値)を生成し、サーバ公開鍵27で暗号化する。続けて鍵情報管理装置10は、クライアント端末5から入力されたユーザ認証情報26を共通鍵19で暗号化し、更に、ユーザ認証情報26をハッシュ化した値を装置秘密鍵13で暗号化したデジタル署名値28を生成する。これら暗号化情報(共通鍵19、ユーザ認証情報26、デジタル署名値28、及び鍵情報管理装置10の機器ID)を管理サーバ20に送信する。
【0049】
管理サーバ20は、機器IDにより鍵情報管理装置10を特定し、認証に用いる装置公開鍵24とデジタル署名値28を特定する。
そして、管理サーバ20は、記憶している装置公開鍵24とサーバ秘密鍵25を用いてユーザ認証情報の認証と鍵情報管理装置10の機器認証を行う。
まず、管理サーバ20は、サーバ公開鍵27で暗号化された共通鍵19をサーバ秘密鍵25で復号化して通信に必要な共通鍵19を取り出す。
一般に、共通鍵を用いた暗号処理の方が非対称鍵(秘密鍵、公開鍵)を用いた暗号処理よりも情報処理量が少なくて効率がよいため、鍵情報管理装置10と管理サーバ20は、まず、サーバ公開鍵27とサーバ秘密鍵25を用いて共通鍵19を共有し、以降、共通鍵19を用いて暗号通信を行う。
【0050】
次に、管理サーバ20は、当該共通鍵19を用いて、鍵情報管理装置10側の共通鍵19で暗号化されたユーザ認証情報を復号化し、次いで、装置秘密鍵13で暗号化されたデジタル署名値28を装置公開鍵24で復号化する。
そして、管理サーバ20は、これら復号化したユーザ認証情報26とデジタル署名値28による鍵情報管理装置10の検証を行う。検証が成功した場合は、引き続き処理を続行し、検証が失敗した場合は、不正なユーザ認証情報26、あるいは鍵情報管理装置10であることから接続要求を拒否する。
このように、管理サーバ20は、ユーザ認証情報26、機器情報(装置秘密鍵13、デジタル署名値28)による2要素認証により鍵情報管理装置10を認証することでセキュリティを高めている。
【0051】
一方、鍵情報管理装置10が管理サーバ20を認証する場合、管理サーバ20は、管理サーバID情報をハッシュ化した値に対してサーバ秘密鍵25で暗号化したデジタル署名値29を鍵情報管理装置10に送信する。
鍵情報管理装置10は、これをサーバ公開鍵27で復号化してデジタル署名値29を取り出し、管理サーバ20の検証を行う。検証が成功した場合は、引き続き処理を続行し、検証が失敗した場合は、不正な管理サーバ20であることから接続要求を拒否する。
以上のように、鍵情報管理装置10と管理サーバ20は、PKIを用いた認証と、2要素認証により相互認証を行う。
【0052】
鍵情報管理装置10と管理サーバ20が相互認証を行うと、管理サーバ20は、鍵情報管理装置10に対応する暗号鍵17を暗号鍵DB23で検索して取得し、これを共通鍵19で暗号化して鍵情報管理装置10に送信する(ステップ25)。
鍵情報管理装置10は、管理サーバ20から暗号鍵17を受信すると、これを共通鍵19で復号化してメモリ16に記憶する(ステップ30)。
そして、暗号鍵17がメモリ16に記憶されると、タイマ部15が経過時間の計測を開始する(ステップ35)。
【0053】
以上のように、鍵情報管理装置10は、メモリ16に暗号鍵17がない場合、管理サーバ20と相互認証の上、暗号鍵17を管理サーバ20からダウンロードしてメモリ16に記憶することができる。
そのため、消去時間経過などにより暗号鍵17が消去されてしまった場合でも、暗号鍵17をネットワーク経由で再度取得することができ、ユーザは、PC5の暗号化されたデータを使用することができる。
【0054】
なお、本実施の形態では、暗号鍵17を管理サーバ20からダウンロードするように構成したが、例えば、ユーザが暗号鍵17を所定の記憶媒体に記憶して金庫などの安全な場所に格納しておき、鍵情報管理装置10の暗号鍵17が消去された場合に、当該所定の記憶媒体から鍵情報管理装置10に暗号鍵17をコピーするといった方法も可能である。
【0055】
図4は、鍵情報管理装置10が一律消去モードで動作する場合の手順を説明するためのフローチャートである。
図3と同じステップには、同じステップ番号を付して説明を簡略化する。
鍵情報管理装置10において、タイマ部15は、暗号鍵17をダウンロードしてから消去時間が経過したか監視しており(ステップ40)、経過していない場合は(ステップ40;N)、監視を継続し、経過した場合は(ステップ40;Y)、メモリ16から暗号鍵17を消去する(ステップ45)。
【0056】
鍵情報管理アプリケーションの起動(ステップ5)、及びPC5と鍵情報管理装置10の相互認証は、図3の処理と同じである。
相互認証後、鍵情報管理装置10は、メモリ16が暗号鍵17を記憶しているか否かを確認し(ステップ15)、記憶していない場合には(ステップ15;N)、図3のステップ20〜35に示した暗号鍵17のダウンロード処理を行う(ステップ60)。
メモリ16が暗号鍵17を記憶していた場合(ステップ15;Y)、又は、暗号鍵17をダウンロードした後(ステップ60)、鍵情報管理装置10は、PC5に暗号鍵17を送信する(ステップ65)。
【0057】
PC5は、鍵情報管理装置10から暗号鍵17を受信すると、これを自己が有するメモリ(例えば、メインメモリ)の所定領域に記憶する(ステップ70)。
そして、PC5は、ユーザが記憶媒体6からデータを読み出す場合は、当該記憶した暗号鍵17でデータを復号化し、記憶媒体6にデータを記憶する場合は、当該記憶した暗号鍵17でデータを暗号化するといったように、暗号鍵17でデータの暗号化復号化処理を行う(ステップ75)。
ユーザが、記憶媒体6のデータの使用を終了すると(ステップ80)、PC5は、自己のメモリに記憶した暗号鍵17を消去する(ステップ85)。
【0058】
以上の例では、PC5は、鍵情報管理装置10から暗号鍵17を取得して記憶し、これを使用するように構成したが、暗号鍵17を使用するたびに鍵情報管理装置10から送信してもらい、PC5の内部に記憶しないように構成することもできる。
この場合、PC5には暗号鍵17が記憶されないのでよりセキュリティを高めることができる。
【0059】
また、鍵情報管理装置10は、ステップ65で暗号鍵17を送信した後、メモリ16に記憶した暗号鍵17を消去するように構成することもできる。
この場合、PC5に暗号鍵17を送信した後、鍵情報管理装置10には暗号鍵17が存在しないので、よりセキュリティを高めることができる。
【0060】
図5は、鍵情報管理装置10がリセットモードで動作する場合の手順を説明するためのフローチャートである。
図4と同じステップには、同じステップ番号を付して説明を簡略化する。
PC5が行う処理(ステップ5〜85)、及び鍵情報管理装置10がPC5に暗号鍵17を送信するまでの処理(ステップ15〜65)は、図4と同じである。
リセットモードでは、鍵情報管理装置10は、PC5に暗号鍵17を送信するとタイマ部15にリセット指令を発する(ステップ110)。
【0061】
タイマ部15は、リセット指令が発せられたか監視しており(ステップ115)、リセット指令があった場合は(ステップ115;Y)、経過時間の計測をリセットする(ステップ120)。
また、タイマ部15は、リセット指令がなかった場合(ステップ115;N)、又はリセットした後(ステップ120)、消去時間が経過したか確認し(ステップ40)、消去時間が経過していない場合は(ステップ40;N)、ステップ115に戻り、消去時間が経過した場合は(ステップ40;Y)、暗号鍵17を消去する(ステップ45)。
【0062】
以上の例では、鍵情報管理装置10は、暗号鍵17を送信した後(ステップ65)、リセット指令を発したが(ステップ110)、リセット指令を発するタイミングは、相互認証(ステップ10)の直後でもよい。
【0063】
以上に説明した本実施の形態によって、次のような効果を得ることができる。
(1)機密性に優れたHSMで構成された鍵情報管理装置10にタイマ部15とメモリ16を格納し、鍵情報管理装置10と通信する管理サーバ20を用いることにより、重要な暗号鍵17の安全な配布と保管を行うことができる。
(2)鍵情報管理装置10は、タイマ部15により、一定時間以上、ユーザからのアクセスが無くなった段階で、一時的に記録した暗号鍵17を消去する。暗号鍵17が消去されると、PC5のデータが復号処理できなくなるため、当該データを保護することができる。
(3)一定時間以上、PC5を使わなかった場合、例えば、PC5が携帯可能なノート型などの場合、紛失後消去時間が経過した場合に暗号鍵17が消滅することから、例えPC5の認証攻撃に成功したとしてもデータを復号化することできない。
(4)PC5と鍵情報管理装置10を別々に保管することから、同時に紛失しなければ、PC5の紛失後に認証攻撃を受ける心配がない。
(5)ユーザ認証することにより、認証攻撃を受けた際の時間稼ぎを行うことができ、その間に暗号鍵17を消滅させることができる。
【0064】
以上に説明した本実施の形態により、次の構成を得ることができる。
鍵情報管理装置10は、例えば、鍵情報管理装置10からダウンロードするなどして暗号鍵17を取得し、これをメモリ16に記憶するため、鍵情報(暗号鍵17)を取得する鍵情報取得手段と、前記取得した鍵情報を記憶する鍵情報記憶手段(メモリ16)を備えている。
また、鍵情報管理装置10は、ユーザ認証によりPC5のユーザが適切であるか、また、PC5を認証することによりPC5が適切であるか確認してから暗号鍵17をPC5に送信するため、前記記憶した鍵情報の提供先が適正な提供先であることを確認する確認手段と、前記提供先が適正であると確認した場合に、前記記憶した鍵情報を前記提供先に提供する鍵情報提供手段を備えている。
更に、鍵情報管理装置10は、タイマ部15で経過した時間を計測し、消去時間が経過した場合にメモリ16に記憶した暗号鍵17を消去するため、所定の時点(例えば、暗号鍵17のダウンロード時やリセット時)から経過した時間を計測する計測手段(タイマ部15)と、前記計測した時間が所定時間(消去時間)を経過した場合に、前記記憶した鍵情報を消去する消去手段(タイマ部15)を備えている。
【0065】
鍵情報管理装置10は、管理サーバ20から暗号鍵17をダウンロードするため、前記鍵情報取得手段は、所定の情報処理装置(管理サーバ20)から前記鍵情報を取得している。
また、ユーザが消去時間を設定することができるため、鍵情報管理装置10は、前記所定時間を設定する所定時間設定手段を備えている。
鍵情報管理装置10は、PC5に着脱できるため、前記鍵情報管理装置は、前記提供先(PC5)と着脱可能に構成されている。
更に、リセットモードでは、ユーザ認証が成功した場合(更に、暗号鍵17をPC5に送信した後などの条件を付加できる)、時間計測をリセットすることにより暗号鍵17を消去する時点を先送りして延長することができるため、前記確認手段が提供先が適正な提供先であることを確認した後に、前記消去手段が前記記憶した鍵情報を消去する時点を延長する延長手段を備えている。
鍵情報管理装置10では、各機能部が耐タンパ性を有するHSM内に形成されているため、鍵情報取得手段、鍵情報記憶手段、確認手段、鍵情報提供手段、計測手段、消去手段、所定時間設定手段、延長手段の各手段は、耐タンパ装置の内部に形成されている。
【符号の説明】
【0066】
1 暗号鍵時限制御システム
3 通信網
5 PC
6 記憶媒体
10 鍵情報管理装置
11 通信部
12 メモリ
13 装置秘密鍵
14 CPU
15 タイマ部
16 メモリ
17 暗号鍵
18 バッテリ
19 共通鍵
20 管理サーバ
21 通信部
22 認証部
23 暗号鍵DB
24 装置公開鍵
25 サーバ秘密鍵
26 ユーザ認証情報
27 サーバ公開鍵
28 デジタル署名値
29 デジタル署名値
【特許請求の範囲】
【請求項1】
鍵情報を取得する鍵情報取得手段と、
前記取得した鍵情報を記憶する鍵情報記憶手段と、
前記記憶した鍵情報の提供先が適正な提供先であることを確認する確認手段と、
前記提供先が適正であると確認した場合に、前記記憶した鍵情報を前記提供先に提供する鍵情報提供手段と、
所定の時点から経過した時間を計測する計測手段と、
前記計測した時間が所定時間を経過した場合に、前記記憶した鍵情報を消去する消去手段と、
を具備したことを特徴とする鍵情報管理装置。
【請求項2】
前記鍵情報取得手段は、所定の情報処理装置から前記鍵情報を取得することを特徴とする請求項1に記載の鍵情報管理装置。
【請求項3】
前記所定時間を設定する所定時間設定手段を具備したことを特徴とする請求項1、又は請求項2に記載の鍵情報管理装置。
【請求項4】
前記鍵情報管理装置は、前記提供先と着脱可能に構成されていることを特徴とする請求項1、請求項2、又は請求項3に記載の鍵情報管理装置。
【請求項5】
前記確認手段が提供先が適正な提供先であることを確認した後に、前記消去手段が前記記憶した鍵情報を消去する時点を延長する延長手段を具備したことを特徴とする請求項1から請求項4までの何れか1の請求項に記載の鍵情報管理装置。
【請求項6】
前記各手段は、耐タンパ装置の内部に形成されていることを特徴とする請求項1から請求項5までの何れか1の請求項に記載の鍵情報管理装置。
【請求項1】
鍵情報を取得する鍵情報取得手段と、
前記取得した鍵情報を記憶する鍵情報記憶手段と、
前記記憶した鍵情報の提供先が適正な提供先であることを確認する確認手段と、
前記提供先が適正であると確認した場合に、前記記憶した鍵情報を前記提供先に提供する鍵情報提供手段と、
所定の時点から経過した時間を計測する計測手段と、
前記計測した時間が所定時間を経過した場合に、前記記憶した鍵情報を消去する消去手段と、
を具備したことを特徴とする鍵情報管理装置。
【請求項2】
前記鍵情報取得手段は、所定の情報処理装置から前記鍵情報を取得することを特徴とする請求項1に記載の鍵情報管理装置。
【請求項3】
前記所定時間を設定する所定時間設定手段を具備したことを特徴とする請求項1、又は請求項2に記載の鍵情報管理装置。
【請求項4】
前記鍵情報管理装置は、前記提供先と着脱可能に構成されていることを特徴とする請求項1、請求項2、又は請求項3に記載の鍵情報管理装置。
【請求項5】
前記確認手段が提供先が適正な提供先であることを確認した後に、前記消去手段が前記記憶した鍵情報を消去する時点を延長する延長手段を具備したことを特徴とする請求項1から請求項4までの何れか1の請求項に記載の鍵情報管理装置。
【請求項6】
前記各手段は、耐タンパ装置の内部に形成されていることを特徴とする請求項1から請求項5までの何れか1の請求項に記載の鍵情報管理装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−77740(P2011−77740A)
【公開日】平成23年4月14日(2011.4.14)
【国際特許分類】
【出願番号】特願2009−225769(P2009−225769)
【出願日】平成21年9月30日(2009.9.30)
【出願人】(000002325)セイコーインスツル株式会社 (3,629)
【Fターム(参考)】
【公開日】平成23年4月14日(2011.4.14)
【国際特許分類】
【出願日】平成21年9月30日(2009.9.30)
【出願人】(000002325)セイコーインスツル株式会社 (3,629)
【Fターム(参考)】
[ Back to top ]