USBストレージデバイス
【課題】 記憶データが漏洩しても解読できないようにデータを暗号化させて記憶できるUSBストレージデバイスを提供する。
【解決手段】 暗号化アプリケーションは、セッション鍵生成手段と、セッション鍵を小型ICカードに送信する手段と、セッション鍵で平文データを暗号化し第1暗号化データを作成する手段と、暗号済みデータの一部の抽出データを小型ICカードに送信する手段と、暗号化データを暗号済みデータの元の抽出位置に戻して第2暗号化データを作成する手段と、小型ICカードから受信した暗号化セッション鍵を受信して、第2暗号化データの先頭位置に暗号化セッション鍵を付加して第3暗号化データを作成する手段とを有し、小型ICカードは、受信したセッション鍵を暗号鍵で暗号化し、USBストレージデバイスに返送する処理と、受信した抽出データを暗号鍵で暗号化し、USBストレージデバイスに返送する処理とを行う手段とを有する。
【解決手段】 暗号化アプリケーションは、セッション鍵生成手段と、セッション鍵を小型ICカードに送信する手段と、セッション鍵で平文データを暗号化し第1暗号化データを作成する手段と、暗号済みデータの一部の抽出データを小型ICカードに送信する手段と、暗号化データを暗号済みデータの元の抽出位置に戻して第2暗号化データを作成する手段と、小型ICカードから受信した暗号化セッション鍵を受信して、第2暗号化データの先頭位置に暗号化セッション鍵を付加して第3暗号化データを作成する手段とを有し、小型ICカードは、受信したセッション鍵を暗号鍵で暗号化し、USBストレージデバイスに返送する処理と、受信した抽出データを暗号鍵で暗号化し、USBストレージデバイスに返送する処理とを行う手段とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子機器に接続してデータの送受信を行うUSBコネクタ部と、暗号化アプリケーションが格納されているメモリ部と、少なくとも本人認証機能及び暗号化機能を有する小型ICカードを着脱可能に装着したリーダライタ部とを備えたUSBストレージデバイスに関する。
【背景技術】
【0002】
従来、パーソナルコンピュータ(パソコン)などの電子機器に着脱可能に装着させて、データを記憶させることができる大容量外部記憶デバイスとして、USBストレージデバイスが使用されている。
これらのUSBストレージデバイスは、大容量のデータを記憶させることが可能であると共に、小型、軽量であり持ち運びしやすいことから、近年、安価でより容量の大きな製品が開発、販売され、バックアップや、データの移動などにおいて利用され、急速に普及してきている。(例えば、特許文献1〜3参照)
【0003】
【特許文献1】特開2001−35092号公報 特開2005−276025号公報 特開2006−195629号公報
【0004】
しかしながら、大容量のデータを簡単に持ち運べるという利便性を有する反面、持出したUSBストレージデバイスを外出先でうっかり落としてしまったり、置き忘れてしまうなどして紛失したり、盗難にあったりなどして、第三者に渡ってしまうことも予想され、重要なデータが第三者に洩れて、不正利用が行われ被害が発生するという危険性もある。
このような事故を防止する方法として、パソコンからUSBストレージデバイスにデータを書き込む際に、パソコンに搭載させた暗号化ツールを利用して、パソコンからUSBストレージデバイスに書き込むデータを、一旦、書き込み前に暗号化させてからUSBストレージデバイス内のメモリに書き込むことで、仮にUSBストレージデバイスが第三者に渡ったとしても記憶されたデータの内容がわからないようにするなどのセキュリティ対策を図っている。
そして、USBストレージデバイスのメモリに記憶された、暗号化されたデータを解読する場合には、USBストレージデバイスから暗号化されて記憶されているデータをパソコンで読み取った後に、パソコンに搭載されている復号ツールを利用して、復号処理を行ってから読み取れるようにしている。
【0005】
上記の方法を利用すれば、たとえUSBストレージデバイスが紛失したり、盗まれた場合でも、USBストレージデバイスに記憶されているデータが簡単に漏洩することがなくなるが、これらのシステムを活用する前提として、パソコン側に暗号化ツールや復号ツールを搭載させて用意しておかなければならないという制約が生じる。
つまり、USBストレージデバイスの利用者が、特定の複数のパソコンだけを使用して、それらのパソコン間でUSBストレージデバイスを用いてデータの移動を行うだけの利用を目的とするのであれば、そのような方法でもよいが、不特定のパソコンを使用してUSBストレージデバイスの利用を行うことを目的としている場合には、USBストレージデバイスの利用が特定のパソコンだけに制限されてしまい当初の利用目的が達成できないという問題がある。
また、上記の暗号化処理を行えるようにして不特定のパソコンでUSBストレージデバイスの使用が行えるようにするために、全てのパソコンに暗号化ツールや復号ツールを搭載させておけばよいが、全てのパソコンに暗号化ツールや復号ツールを搭載させておくということは、パソコンのメモリ容量上、機能上、コスト上などからも負担になり好ましくないという問題がある。
【0006】
また、USBストレージデバイスのメモリ内に認証に使用するパスワードの情報(ハッシュ化されたパスワードなど)を格納しておき、認証処理を行うことも行われているが、これらの情報は、通常のメモリ内に格納されており物理的攻撃や論理的攻撃に対して弱く(耐タンパ性が弱い)、パスワードの情報が漏洩されて不正行為が行われる危険性を有しているという問題がある。
【発明の開示】
【発明が解決しようとする課題】
【0007】
本発明は、パソコン側に予め暗号化ツールや復号ツールを用意することなく、USBストレージデバイスのメモリに暗号化させてデータを記憶でき、また、パソコンでUSBストレージデバイスのメモリに記憶されている暗号化データを読み取る際には、復号させてパソコンに送信できるようにして、USBストレージデバイスが不特定多数のパソコンで利用できるようにし、更に、USBストレージデバイスのメモリ内に記憶されているデータが漏洩された場合でも、解読できないようにデータを暗号化させて記憶できるようにしたUSBストレージデバイスを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明のUSBストレージデバイスは、電子機器に接続してデータの送受信を行うUSBコネクタ部と、暗号化アプリケーションが格納されているメモリ部と、少なくとも本人認証機能及び暗号化機能を有する小型ICカードを着脱可能に装着したリーダライタ部とを備えたUSBストレージデバイスであって、前記暗号化アプリケーションは、セッション鍵を生成する手段と、前記生成したセッション鍵を前記小型ICカードに送信する手段と、前記鍵生成手段で生成したセッション鍵を利用して平文データを暗号化して第1暗号化データを作成する手段と、前記暗号化した暗号済みデータの一部の抽出データを小型ICカードに送信する手段と、小型ICカードから受信した暗号化データを、前記暗号済みデータの元の抽出位置に戻して第2暗号化データを作成する手段と、小型ICカードから受信した、暗号化されたセッション鍵を受信して、第2暗号化データの先頭位置に前記暗号化されたセッション鍵を付加して1ファイル化した第3暗号化データを作成する手段と、を有し、前記小型ICカードは、暗号鍵が記憶されたメモリ部と、前記リーダライタ部から受信したセッション鍵を、前記暗号鍵を用いて暗号化して、前記USBストレージデバイスに返送する処理と、前記リーダライタ部から受信した前記抽出データを、前記暗号鍵を用いて暗号化して、前記USBストレージデバイスに返送する処理とを行う手段と、を有していることを特徴とする。
【0009】
また、本発明のUSBストレージデバイスは、前記小型ICカードは、本人認証用情報が記憶されたメモリ部と、前記本人認証用情報に基づく認証処理を行う手段と、を有していることを特徴とする。
【0010】
更に、本発明のUSBストレージデバイスは、前記小型ICカードが、SIMカード、UIMカード、USIMカードのいづれかであることを特徴とする。
【発明の効果】
【0011】
したがって、本発明のUSBストレージデバイスは、USBストレージデバイスで生成されたセッション鍵を用いてデータを暗号化した後に、更に、USBストレージデバイス内に装着された小型ICカード内に記憶されている暗号鍵を用いて暗号化したデータの一部を暗号化して、既に暗号化されているデータに追加させる処理を行うので、USBストレージデバイスのメモリに記憶されたデータが漏洩されたとしても、そのデータを解読することができないため、データの漏洩を防止することができると共に、小型ICカードが装着されたUSBストレージデバイスにおいて、それらの暗号化処理が行われるので、不特定多数のパソコンで利用できるという効果がある。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施形態に係るUSBストレージデバイスを図面に基づいて説明する。
尚、本発明の実施形態では、電子機器としてパソコンを用いた場合について説明するが、USBストレージデバイスを利用できる電子機器であれば、パソコンに限らず本発明を適応できるものである。
図1には、本発明の実施形態に係るUSBストレージデバイス1を、電子機器であるパソコン2のUSBコネクタに装着させた状態を示す斜視図が示されている。
このUSBストレージデバイス1にも、パソコン2のUSBコネクタと交信可能に接続するためのUSBコネクタ3が備えられている。
図1に示すように、USBコネクタ3をパソコン2のUSBコネクタに挿入することで、パソコン2によりUSBストレージデバイス1へのデータの書き込みや、USBストレージデバイス1のメモリに記憶されたデータをパソコン2で読み取れるようになる。
【0013】
また、USBストレージデバイス1は、本人認証機能及び暗号化機能を有する小型ICカード4が着脱可能に装着できるように構成されている。
この小型ICカード4は、例えば、SIMカード、UIMカード、USIMカードなどのカードであり、メモリとCPUを備えており、小型ICカード4に備えられているリーダライタ部により、USBストレージデバイス1と小型ICカード4との間で、データの送受信を行えるように構成されている。
【0014】
図2に示すように、USBストレージデバイス1には、小型ICカード4との間でデータの書き込みや読み取りを行うICカードリーダライタ部5と、ICカードリーダライタ部5に接続された第1コントローラ部6と、メモリ7と、メモリ7に接続された第2コントローラ部8と、第1コントローラ部6と第2コントローラ部8に接続されたUSBインターフェース部9とが備えられている。
また、USBインターフェース部9は、USBコネクタ3に接続されている。
メモリ7は、第2コントローラ部8により擬似的に仮想CD−ROM7aと通常のメモリ部分7bとに分かれており、パソコン2上からは2つのデバイスが接続されているものとして検知される。
【0015】
仮想CD−ROM7aには、小型ICカード4を利用する暗号化アプリケーションが格納されている。
CD−ROMの自動実行機能を持ったOS上では、この暗号化アプリケーションが読み出され、パソコン2のメモリ上で自動的に実行される。
この暗号化アプリケーションは、USBインターフェース部9を介して通信する機能を有している。
【0016】
暗号化アプリケーション起動時の流れは、図3のようになる。
図3に基づいて、暗号化アプリケーション起動時の流れを説明する。
まず、暗号化アプリケーションを起動させる。(ステップS1)
そして、暗号化アプリケーションは、USBストレージデバイス1に小型ICカード4がつながっているか否かの確認処理を行う。(ステップS2)
ここで、小型ICカード4がつながっていることが確認できない場合には、処理を終了する。
また、暗号化アプリケーションが起動できない旨の情報をパソコンに送信して処理を終了してもよい。
また、小型ICカード4がつながっていることが確認できた場合には、USBストレージデバイス1と小型ICカード4との間を安全に通信するためのセッション鍵を生成して、小型ICカード4との間でセッション鍵の交換を行なう。
これにより、セッション鍵の交換が行われた後において、USBストレージデバイス1と小型ICカード4との間で送受信されるデータは、セッション鍵を用いて暗号化/復号を行なうように通信経路暗号化の初期化が行われる。(ステップS3)
【0017】
その後、利用者がパソコン2に入力したパスワードが、パソコン2からUSBストレージデバイス1に送信されてきた場合に、USBストレージデバイス1から小型ICカード4にパスワードを送信し、小型ICカード4に記憶されているパスワードとの照合処理によるユーザ認証が行われる。(ステップS4)
このユーザ認証で認証が受けられた場合には、暗号化アプリケーションが、USBストレージデバイス1のメモリ7aへ格納するファイルの入力待ち状態へと遷移する。(ステップS5)
また、このユーザ認証で認証が受けられない場合には、暗号化アプリケーションが終了される。
【0018】
次に、パソコン2からUSBストレージデバイス1に送信されてきたデータを、小型ICカード4を利用して暗号化し、USBストレージデバイス1のメモリ7aに格納する手順を、図4及び図5に基づいて説明する。
図4及び図5には、USBストレージデバイス1内で実行される処理と、小型ICカード4内で実行される処理とが、区別できるように示されている。
まず、パソコン2からUSBストレージデバイス1に送信されてきたデータ、つまり平文データを暗号化されたデータとして、メモリ7aに格納する場合に、鍵生成手段によりセッション鍵13が生成される。(ステップS11)
そして、平文データを、セッション鍵13を用いて暗号化して第1暗号化データ10が作成される。(ステップS12)
また、その生成されたセッション鍵13が、USBストレージデバイス1に装着されている小型ICカード4に送信される。(ステップS13)
【0019】
小型ICカード4において、USBストレージデバイス1のリーダライタ部から受信したセッション鍵13が、小型ICカード4のメモリに記憶されている暗号鍵14を用いて暗号化される。(ステップS14)
そして、暗号鍵14を用いて暗号化されたセッション鍵15が、USBストレージデバイス1に返送される。(ステップS15)
【0020】
次に、USBストレージデバイス1内では、既にセッション鍵13を用いて暗号化した第1暗号化データ10の中から部分的にデータが抽出される。(ステップS16)
そして、部分的に抽出されたデータが、ひとつにまとめられる。(ステップS17)
更に、ひとつにまとめられた抽出データ16が、USBストレージデバイス1から小型ICカード4内へ送信される。(ステップS18)
【0021】
次に、USBストレージデバイス1から小型ICカード4で受信した抽出データは、小型ICカード4のメモリに記憶されている暗号鍵を用いて暗号化される。(ステップS19)
そして、暗号化された抽出データ17は、小型ICカード4からUSBストレージデバイス1へ送信される。(ステップS20)
USBストレージデバイス1は、小型ICカード4から受信した暗号化された抽出データ17について、第1暗号化データ10の中から部分的に抽出した元の位置に戻して、第2暗号化データ11を作成する。(ステップS21)
次に、USBストレージデバイス1内において、第2暗号化データ11の先頭位置に、既に小型ICカード4から受信している暗号化されたセッション鍵15を付加して、1ファイル化された第3暗号化データ12を作成する。(ステップS22)
上記の処理により、作成された第3暗号化データ12は、USBストレージデバイス1内のメモリ7aに格納されて、第三者が解読できない状態で記憶される。
【0022】
上記したように、本発明のUSBストレージデバイスは、小型ICカード4内に記憶されている暗号鍵14が、小型ICカード4内から読み出されることがないために、小型ICカード4内において、暗号鍵14を用いて、セッション鍵13の暗号化と、第1暗号化データ10の中から部分的に抽出されたデータの暗号化とが行われて、USBストレージデバイスに戻された場合に、USBストレージデバイス1内のメモリ7aに格納された暗号化データが不正に読み取られても、復号できないようにしてある。
また、本発明のUSBストレージデバイスは、上記したパソコンに限定されるものではなく、USBストレージデバイスを使用してデータの書き込みやデータの読み取りを行うことができる電子機器に広く適応できるものである。
【0023】
尚、小型ICカード4の代わりに通常使用されている形状(85.60 × 53.98 mm)のICカードを用いるようにしてもよい。
この場合には、USBストレージデバイスに、通常使用されている形状のICカードを装着できるリーダライタを設ける。
【図面の簡単な説明】
【0024】
【図1】本発明の実施形態に係るUSBストレージデバイスに関し、電子機器であるパソコンのUSBコネクタに装着させた状態を示す斜視図である。
【図2】本発明の実施形態に係るUSBストレージデバイスのシステム構成を示す図である。
【図3】本発明の実施形態に係るUSBストレージデバイスに関し、暗号化アプリケーション起動時の初期化の処理手順を示すフローチャートである。
【図4】本発明の実施形態に係るUSBストレージデバイスに関し、暗号化アプリケーションの処理手順を示すフローチャートである。
【図5】本発明の実施形態に係るUSBストレージデバイスに関し、暗号化アプリケーションの処理手順を示す概要図である。
【符号の説明】
【0025】
1 USBストレージデバイス
2 パソコン
3 USBコネクタ
4 小型ICカード
5 ICカードリーダライタ部
6 第1コントローラ部
7 メモリ
7a 仮想CD−ROM
7b 通常のメモリ部分
8 第2コントローラ部
9 USBインターフェース部
10 第1暗号化データ
11 第2暗号化データ
12 第3暗号化データ
13 セッション鍵
14 暗号鍵
15 暗号化されたセッション鍵
16 ひとつにまとめられた抽出データ
17 暗号化された抽出データ
【技術分野】
【0001】
本発明は、電子機器に接続してデータの送受信を行うUSBコネクタ部と、暗号化アプリケーションが格納されているメモリ部と、少なくとも本人認証機能及び暗号化機能を有する小型ICカードを着脱可能に装着したリーダライタ部とを備えたUSBストレージデバイスに関する。
【背景技術】
【0002】
従来、パーソナルコンピュータ(パソコン)などの電子機器に着脱可能に装着させて、データを記憶させることができる大容量外部記憶デバイスとして、USBストレージデバイスが使用されている。
これらのUSBストレージデバイスは、大容量のデータを記憶させることが可能であると共に、小型、軽量であり持ち運びしやすいことから、近年、安価でより容量の大きな製品が開発、販売され、バックアップや、データの移動などにおいて利用され、急速に普及してきている。(例えば、特許文献1〜3参照)
【0003】
【特許文献1】特開2001−35092号公報 特開2005−276025号公報 特開2006−195629号公報
【0004】
しかしながら、大容量のデータを簡単に持ち運べるという利便性を有する反面、持出したUSBストレージデバイスを外出先でうっかり落としてしまったり、置き忘れてしまうなどして紛失したり、盗難にあったりなどして、第三者に渡ってしまうことも予想され、重要なデータが第三者に洩れて、不正利用が行われ被害が発生するという危険性もある。
このような事故を防止する方法として、パソコンからUSBストレージデバイスにデータを書き込む際に、パソコンに搭載させた暗号化ツールを利用して、パソコンからUSBストレージデバイスに書き込むデータを、一旦、書き込み前に暗号化させてからUSBストレージデバイス内のメモリに書き込むことで、仮にUSBストレージデバイスが第三者に渡ったとしても記憶されたデータの内容がわからないようにするなどのセキュリティ対策を図っている。
そして、USBストレージデバイスのメモリに記憶された、暗号化されたデータを解読する場合には、USBストレージデバイスから暗号化されて記憶されているデータをパソコンで読み取った後に、パソコンに搭載されている復号ツールを利用して、復号処理を行ってから読み取れるようにしている。
【0005】
上記の方法を利用すれば、たとえUSBストレージデバイスが紛失したり、盗まれた場合でも、USBストレージデバイスに記憶されているデータが簡単に漏洩することがなくなるが、これらのシステムを活用する前提として、パソコン側に暗号化ツールや復号ツールを搭載させて用意しておかなければならないという制約が生じる。
つまり、USBストレージデバイスの利用者が、特定の複数のパソコンだけを使用して、それらのパソコン間でUSBストレージデバイスを用いてデータの移動を行うだけの利用を目的とするのであれば、そのような方法でもよいが、不特定のパソコンを使用してUSBストレージデバイスの利用を行うことを目的としている場合には、USBストレージデバイスの利用が特定のパソコンだけに制限されてしまい当初の利用目的が達成できないという問題がある。
また、上記の暗号化処理を行えるようにして不特定のパソコンでUSBストレージデバイスの使用が行えるようにするために、全てのパソコンに暗号化ツールや復号ツールを搭載させておけばよいが、全てのパソコンに暗号化ツールや復号ツールを搭載させておくということは、パソコンのメモリ容量上、機能上、コスト上などからも負担になり好ましくないという問題がある。
【0006】
また、USBストレージデバイスのメモリ内に認証に使用するパスワードの情報(ハッシュ化されたパスワードなど)を格納しておき、認証処理を行うことも行われているが、これらの情報は、通常のメモリ内に格納されており物理的攻撃や論理的攻撃に対して弱く(耐タンパ性が弱い)、パスワードの情報が漏洩されて不正行為が行われる危険性を有しているという問題がある。
【発明の開示】
【発明が解決しようとする課題】
【0007】
本発明は、パソコン側に予め暗号化ツールや復号ツールを用意することなく、USBストレージデバイスのメモリに暗号化させてデータを記憶でき、また、パソコンでUSBストレージデバイスのメモリに記憶されている暗号化データを読み取る際には、復号させてパソコンに送信できるようにして、USBストレージデバイスが不特定多数のパソコンで利用できるようにし、更に、USBストレージデバイスのメモリ内に記憶されているデータが漏洩された場合でも、解読できないようにデータを暗号化させて記憶できるようにしたUSBストレージデバイスを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明のUSBストレージデバイスは、電子機器に接続してデータの送受信を行うUSBコネクタ部と、暗号化アプリケーションが格納されているメモリ部と、少なくとも本人認証機能及び暗号化機能を有する小型ICカードを着脱可能に装着したリーダライタ部とを備えたUSBストレージデバイスであって、前記暗号化アプリケーションは、セッション鍵を生成する手段と、前記生成したセッション鍵を前記小型ICカードに送信する手段と、前記鍵生成手段で生成したセッション鍵を利用して平文データを暗号化して第1暗号化データを作成する手段と、前記暗号化した暗号済みデータの一部の抽出データを小型ICカードに送信する手段と、小型ICカードから受信した暗号化データを、前記暗号済みデータの元の抽出位置に戻して第2暗号化データを作成する手段と、小型ICカードから受信した、暗号化されたセッション鍵を受信して、第2暗号化データの先頭位置に前記暗号化されたセッション鍵を付加して1ファイル化した第3暗号化データを作成する手段と、を有し、前記小型ICカードは、暗号鍵が記憶されたメモリ部と、前記リーダライタ部から受信したセッション鍵を、前記暗号鍵を用いて暗号化して、前記USBストレージデバイスに返送する処理と、前記リーダライタ部から受信した前記抽出データを、前記暗号鍵を用いて暗号化して、前記USBストレージデバイスに返送する処理とを行う手段と、を有していることを特徴とする。
【0009】
また、本発明のUSBストレージデバイスは、前記小型ICカードは、本人認証用情報が記憶されたメモリ部と、前記本人認証用情報に基づく認証処理を行う手段と、を有していることを特徴とする。
【0010】
更に、本発明のUSBストレージデバイスは、前記小型ICカードが、SIMカード、UIMカード、USIMカードのいづれかであることを特徴とする。
【発明の効果】
【0011】
したがって、本発明のUSBストレージデバイスは、USBストレージデバイスで生成されたセッション鍵を用いてデータを暗号化した後に、更に、USBストレージデバイス内に装着された小型ICカード内に記憶されている暗号鍵を用いて暗号化したデータの一部を暗号化して、既に暗号化されているデータに追加させる処理を行うので、USBストレージデバイスのメモリに記憶されたデータが漏洩されたとしても、そのデータを解読することができないため、データの漏洩を防止することができると共に、小型ICカードが装着されたUSBストレージデバイスにおいて、それらの暗号化処理が行われるので、不特定多数のパソコンで利用できるという効果がある。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施形態に係るUSBストレージデバイスを図面に基づいて説明する。
尚、本発明の実施形態では、電子機器としてパソコンを用いた場合について説明するが、USBストレージデバイスを利用できる電子機器であれば、パソコンに限らず本発明を適応できるものである。
図1には、本発明の実施形態に係るUSBストレージデバイス1を、電子機器であるパソコン2のUSBコネクタに装着させた状態を示す斜視図が示されている。
このUSBストレージデバイス1にも、パソコン2のUSBコネクタと交信可能に接続するためのUSBコネクタ3が備えられている。
図1に示すように、USBコネクタ3をパソコン2のUSBコネクタに挿入することで、パソコン2によりUSBストレージデバイス1へのデータの書き込みや、USBストレージデバイス1のメモリに記憶されたデータをパソコン2で読み取れるようになる。
【0013】
また、USBストレージデバイス1は、本人認証機能及び暗号化機能を有する小型ICカード4が着脱可能に装着できるように構成されている。
この小型ICカード4は、例えば、SIMカード、UIMカード、USIMカードなどのカードであり、メモリとCPUを備えており、小型ICカード4に備えられているリーダライタ部により、USBストレージデバイス1と小型ICカード4との間で、データの送受信を行えるように構成されている。
【0014】
図2に示すように、USBストレージデバイス1には、小型ICカード4との間でデータの書き込みや読み取りを行うICカードリーダライタ部5と、ICカードリーダライタ部5に接続された第1コントローラ部6と、メモリ7と、メモリ7に接続された第2コントローラ部8と、第1コントローラ部6と第2コントローラ部8に接続されたUSBインターフェース部9とが備えられている。
また、USBインターフェース部9は、USBコネクタ3に接続されている。
メモリ7は、第2コントローラ部8により擬似的に仮想CD−ROM7aと通常のメモリ部分7bとに分かれており、パソコン2上からは2つのデバイスが接続されているものとして検知される。
【0015】
仮想CD−ROM7aには、小型ICカード4を利用する暗号化アプリケーションが格納されている。
CD−ROMの自動実行機能を持ったOS上では、この暗号化アプリケーションが読み出され、パソコン2のメモリ上で自動的に実行される。
この暗号化アプリケーションは、USBインターフェース部9を介して通信する機能を有している。
【0016】
暗号化アプリケーション起動時の流れは、図3のようになる。
図3に基づいて、暗号化アプリケーション起動時の流れを説明する。
まず、暗号化アプリケーションを起動させる。(ステップS1)
そして、暗号化アプリケーションは、USBストレージデバイス1に小型ICカード4がつながっているか否かの確認処理を行う。(ステップS2)
ここで、小型ICカード4がつながっていることが確認できない場合には、処理を終了する。
また、暗号化アプリケーションが起動できない旨の情報をパソコンに送信して処理を終了してもよい。
また、小型ICカード4がつながっていることが確認できた場合には、USBストレージデバイス1と小型ICカード4との間を安全に通信するためのセッション鍵を生成して、小型ICカード4との間でセッション鍵の交換を行なう。
これにより、セッション鍵の交換が行われた後において、USBストレージデバイス1と小型ICカード4との間で送受信されるデータは、セッション鍵を用いて暗号化/復号を行なうように通信経路暗号化の初期化が行われる。(ステップS3)
【0017】
その後、利用者がパソコン2に入力したパスワードが、パソコン2からUSBストレージデバイス1に送信されてきた場合に、USBストレージデバイス1から小型ICカード4にパスワードを送信し、小型ICカード4に記憶されているパスワードとの照合処理によるユーザ認証が行われる。(ステップS4)
このユーザ認証で認証が受けられた場合には、暗号化アプリケーションが、USBストレージデバイス1のメモリ7aへ格納するファイルの入力待ち状態へと遷移する。(ステップS5)
また、このユーザ認証で認証が受けられない場合には、暗号化アプリケーションが終了される。
【0018】
次に、パソコン2からUSBストレージデバイス1に送信されてきたデータを、小型ICカード4を利用して暗号化し、USBストレージデバイス1のメモリ7aに格納する手順を、図4及び図5に基づいて説明する。
図4及び図5には、USBストレージデバイス1内で実行される処理と、小型ICカード4内で実行される処理とが、区別できるように示されている。
まず、パソコン2からUSBストレージデバイス1に送信されてきたデータ、つまり平文データを暗号化されたデータとして、メモリ7aに格納する場合に、鍵生成手段によりセッション鍵13が生成される。(ステップS11)
そして、平文データを、セッション鍵13を用いて暗号化して第1暗号化データ10が作成される。(ステップS12)
また、その生成されたセッション鍵13が、USBストレージデバイス1に装着されている小型ICカード4に送信される。(ステップS13)
【0019】
小型ICカード4において、USBストレージデバイス1のリーダライタ部から受信したセッション鍵13が、小型ICカード4のメモリに記憶されている暗号鍵14を用いて暗号化される。(ステップS14)
そして、暗号鍵14を用いて暗号化されたセッション鍵15が、USBストレージデバイス1に返送される。(ステップS15)
【0020】
次に、USBストレージデバイス1内では、既にセッション鍵13を用いて暗号化した第1暗号化データ10の中から部分的にデータが抽出される。(ステップS16)
そして、部分的に抽出されたデータが、ひとつにまとめられる。(ステップS17)
更に、ひとつにまとめられた抽出データ16が、USBストレージデバイス1から小型ICカード4内へ送信される。(ステップS18)
【0021】
次に、USBストレージデバイス1から小型ICカード4で受信した抽出データは、小型ICカード4のメモリに記憶されている暗号鍵を用いて暗号化される。(ステップS19)
そして、暗号化された抽出データ17は、小型ICカード4からUSBストレージデバイス1へ送信される。(ステップS20)
USBストレージデバイス1は、小型ICカード4から受信した暗号化された抽出データ17について、第1暗号化データ10の中から部分的に抽出した元の位置に戻して、第2暗号化データ11を作成する。(ステップS21)
次に、USBストレージデバイス1内において、第2暗号化データ11の先頭位置に、既に小型ICカード4から受信している暗号化されたセッション鍵15を付加して、1ファイル化された第3暗号化データ12を作成する。(ステップS22)
上記の処理により、作成された第3暗号化データ12は、USBストレージデバイス1内のメモリ7aに格納されて、第三者が解読できない状態で記憶される。
【0022】
上記したように、本発明のUSBストレージデバイスは、小型ICカード4内に記憶されている暗号鍵14が、小型ICカード4内から読み出されることがないために、小型ICカード4内において、暗号鍵14を用いて、セッション鍵13の暗号化と、第1暗号化データ10の中から部分的に抽出されたデータの暗号化とが行われて、USBストレージデバイスに戻された場合に、USBストレージデバイス1内のメモリ7aに格納された暗号化データが不正に読み取られても、復号できないようにしてある。
また、本発明のUSBストレージデバイスは、上記したパソコンに限定されるものではなく、USBストレージデバイスを使用してデータの書き込みやデータの読み取りを行うことができる電子機器に広く適応できるものである。
【0023】
尚、小型ICカード4の代わりに通常使用されている形状(85.60 × 53.98 mm)のICカードを用いるようにしてもよい。
この場合には、USBストレージデバイスに、通常使用されている形状のICカードを装着できるリーダライタを設ける。
【図面の簡単な説明】
【0024】
【図1】本発明の実施形態に係るUSBストレージデバイスに関し、電子機器であるパソコンのUSBコネクタに装着させた状態を示す斜視図である。
【図2】本発明の実施形態に係るUSBストレージデバイスのシステム構成を示す図である。
【図3】本発明の実施形態に係るUSBストレージデバイスに関し、暗号化アプリケーション起動時の初期化の処理手順を示すフローチャートである。
【図4】本発明の実施形態に係るUSBストレージデバイスに関し、暗号化アプリケーションの処理手順を示すフローチャートである。
【図5】本発明の実施形態に係るUSBストレージデバイスに関し、暗号化アプリケーションの処理手順を示す概要図である。
【符号の説明】
【0025】
1 USBストレージデバイス
2 パソコン
3 USBコネクタ
4 小型ICカード
5 ICカードリーダライタ部
6 第1コントローラ部
7 メモリ
7a 仮想CD−ROM
7b 通常のメモリ部分
8 第2コントローラ部
9 USBインターフェース部
10 第1暗号化データ
11 第2暗号化データ
12 第3暗号化データ
13 セッション鍵
14 暗号鍵
15 暗号化されたセッション鍵
16 ひとつにまとめられた抽出データ
17 暗号化された抽出データ
【特許請求の範囲】
【請求項1】
電子機器に接続してデータの送受信を行うUSBコネクタ部と、暗号化アプリケーションが格納されているメモリ部と、少なくとも本人認証機能及び暗号化機能を有する小型ICカードを着脱可能に装着したリーダライタ部とを備えたUSBストレージデバイスであって、
前記暗号化アプリケーションは、セッション鍵を生成する手段と、前記生成したセッション鍵を前記小型ICカードに送信する手段と、前記鍵生成手段で生成したセッション鍵を利用して平文データを暗号化して第1暗号化データを作成する手段と、前記暗号化した暗号済みデータの一部の抽出データを小型ICカードに送信する手段と、小型ICカードから受信した暗号化データを、前記暗号済みデータの元の抽出位置に戻して第2暗号化データを作成する手段と、小型ICカードから受信した、暗号化されたセッション鍵を受信して、第2暗号化データの先頭位置に前記暗号化されたセッション鍵を付加して1ファイル化した第3暗号化データを作成する手段と、を有し、
前記小型ICカードは、暗号鍵が記憶されたメモリ部と、前記リーダライタ部から受信したセッション鍵を、前記暗号鍵を用いて暗号化して、前記USBストレージデバイスに返送する処理と、前記リーダライタ部から受信した前記抽出データを、前記暗号鍵を用いて暗号化して、前記USBストレージデバイスに返送する処理とを行う手段と、を有していることを特徴とするUSBストレージデバイス。
【請求項2】
前記小型ICカードは、本人認証用情報が記憶されたメモリ部と、前記本人認証用情報に基づく認証処理を行う手段と、を有していることを特徴とする請求項1記載のUSBストレージデバイス。
【請求項3】
前記小型ICカードが、SIMカード、UIMカード、USIMカードのいづれかであることを特徴とする請求項1記載のUSBストレージデバイス。
【請求項1】
電子機器に接続してデータの送受信を行うUSBコネクタ部と、暗号化アプリケーションが格納されているメモリ部と、少なくとも本人認証機能及び暗号化機能を有する小型ICカードを着脱可能に装着したリーダライタ部とを備えたUSBストレージデバイスであって、
前記暗号化アプリケーションは、セッション鍵を生成する手段と、前記生成したセッション鍵を前記小型ICカードに送信する手段と、前記鍵生成手段で生成したセッション鍵を利用して平文データを暗号化して第1暗号化データを作成する手段と、前記暗号化した暗号済みデータの一部の抽出データを小型ICカードに送信する手段と、小型ICカードから受信した暗号化データを、前記暗号済みデータの元の抽出位置に戻して第2暗号化データを作成する手段と、小型ICカードから受信した、暗号化されたセッション鍵を受信して、第2暗号化データの先頭位置に前記暗号化されたセッション鍵を付加して1ファイル化した第3暗号化データを作成する手段と、を有し、
前記小型ICカードは、暗号鍵が記憶されたメモリ部と、前記リーダライタ部から受信したセッション鍵を、前記暗号鍵を用いて暗号化して、前記USBストレージデバイスに返送する処理と、前記リーダライタ部から受信した前記抽出データを、前記暗号鍵を用いて暗号化して、前記USBストレージデバイスに返送する処理とを行う手段と、を有していることを特徴とするUSBストレージデバイス。
【請求項2】
前記小型ICカードは、本人認証用情報が記憶されたメモリ部と、前記本人認証用情報に基づく認証処理を行う手段と、を有していることを特徴とする請求項1記載のUSBストレージデバイス。
【請求項3】
前記小型ICカードが、SIMカード、UIMカード、USIMカードのいづれかであることを特徴とする請求項1記載のUSBストレージデバイス。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2009−15471(P2009−15471A)
【公開日】平成21年1月22日(2009.1.22)
【国際特許分類】
【出願番号】特願2007−174680(P2007−174680)
【出願日】平成19年7月3日(2007.7.3)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
【公開日】平成21年1月22日(2009.1.22)
【国際特許分類】
【出願日】平成19年7月3日(2007.7.3)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
[ Back to top ]