JP6426520B2 - Encryption key management system and encryption key management method - Google Patents
Encryption key management system and encryption key management method Download PDFInfo
- Publication number
- JP6426520B2 JP6426520B2 JP2015072484A JP2015072484A JP6426520B2 JP 6426520 B2 JP6426520 B2 JP 6426520B2 JP 2015072484 A JP2015072484 A JP 2015072484A JP 2015072484 A JP2015072484 A JP 2015072484A JP 6426520 B2 JP6426520 B2 JP 6426520B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- user
- authentication
- information
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本実施形態は、暗号鍵管理システムおよび暗号鍵管理方法
に関する。
The present embodiment relates to an encryption key management system and an encryption key management method.
近年、個人情報などの秘匿したい情報(以下、秘匿情報という。)について、ユーザ認証により情報を保護できるだけでなく、データベースの複製やHDDの抜き取り(2次記憶の詐取)、又はバックアップメディアの盗難(3次記憶の詐取)など、2次記憶や3次記憶に保存された情報が詐取された場合あっても秘匿情報を保護できるシステムが求められている。 In recent years, not only can protect information by user authentication about information that you want to conceal such as personal information (hereinafter referred to as confidential information), you can copy database or extract HDD (spoofing of secondary storage) or theft of backup media ( There is a need for a system that can protect confidential information even when information stored in secondary storage or tertiary storage is spoofed, such as tertiary storage misrepresentation).
このような要求に対し、データサーバ側で秘匿情報を暗号化して保存し、その暗号化に使用した暗号鍵をアプリケーションサーバ側に保存するシステムなどが知られているが、両サーバの2次記憶の情報が詐取されてしまうと、暗号化された秘匿情報を暗号鍵で復号することが可能になってしまう。 In response to such a request, there is known a system in which confidential information is encrypted and stored on the data server side, and the encryption key used for the encryption is stored on the application server side. If the information in question is spoofed, it becomes possible to decrypt the encrypted confidential information with the encryption key.
そこで、システムを利用するユーザ自身しか知り得ない情報(例えばパスワード)から作成した暗号鍵(鍵ハッシュ)をシステム内に保存する手法が有効となっている。 Therefore, a method of storing in the system an encryption key (key hash) created from information (for example, a password) which can be known only by the user who uses the system is effective.
しかしながら、従来技術においては、ユーザが認証後にシステムを利用しながら、並行してパスワードを変更した場合には、認証時に作成した暗号鍵(以下、旧暗号鍵という。)と、パスワード変更によって新たに作成された暗号鍵(以下、新暗号鍵という。)の内容が異なってしまう。この結果、旧暗号鍵を用いて秘匿された情報(保護データ)を新暗号鍵で復号しようとすると失敗してしまうため、復号時のエラーを回避するためには再認証を行った上で新暗号鍵を作成しなければならず、作業効率の低下を招くという問題があった。 However, in the prior art, when the user changes the password in parallel while using the system after authentication, a new encryption key (hereinafter referred to as an old encryption key) created at the time of authentication and a password change are newly made. The contents of the created encryption key (hereinafter referred to as a new encryption key) will be different. As a result, if it is attempted to decrypt the information (protected data) concealed using the old encryption key with the new encryption key, in order to avoid the error at the time of decryption, the new authentication is performed after the re-authentication. There is a problem that it is necessary to create an encryption key, resulting in a decrease in work efficiency.
そこで、本発明は、上記従来技術の問題に鑑み、認証されたユーザがシステムを利用している際に、並行してパスワードの変更があった場合に、再認証を実行することなく、パスワード変更前の旧暗号鍵によって暗号化された保護データを継続して復号可能にするものである。 Therefore, in view of the above-described problems of the prior art, the present invention changes the password without executing re-authentication when there is a change in the password in parallel while the authenticated user is using the system. The protection data encrypted by the previous old encryption key is continuously decodable.
本実施形態の暗号鍵管理システムは、マスター鍵により保護データを暗号化および復号化するサーバと、ユーザIDおよびパスワードを含む入力情報に基づいて前記サーバにネットワークを介してユーザ認証を要求するとともに、前記保護データの暗号化および復号化を要求するユーザ端末と、を備える暗号鍵管理システムであって、前記サーバが、前記ユーザID、前記パスワードから算出されたパスワードハッシュ、および前記パスワードハッシュのリビジョンを関連付けたユーザ情報を記憶するユーザ情報記憶手段と、前記ユーザID、前記パスワードから算出された鍵ハッシュにより前記マスター鍵を暗号化した暗号化済鍵、および前記リビジョンを関連付けた鍵情報を記憶する鍵情報記憶手段と、前記入力情報と前記ユーザ情報とを照合して前記ユーザ認証が完了した場合に、認証IDを発行するとともに、この認証IDに対して、前記ユーザID、前記リビジョン、前記鍵ハッシュ、および認証時刻を関連付けた認証情報を生成し、保持する認証手段と、前記パスワードを新たなパスワードへ変更する場合に、前記認証情報に含まれる前記ユーザIDと前記リビジョンの組合せを検索キーとして前記鍵情報から取得した前記暗号化済鍵を、前記鍵ハッシュで復号して前記マスター鍵を取得するとともに、前記新たなパスワードと前記マスター鍵に基づいて新たな暗号化済鍵を作成し、前記ユーザID、前記新たなパスワードに係る新たなリビジョン、および前記新たな暗号化済鍵を関連付けた新たな鍵情報を同一の前記ユーザIDに係る他の鍵情報と併存した状態で前記鍵情報記憶手段へ保存する鍵再暗号化手段と、を有することを特徴とする。 The encryption key management system according to the present embodiment requires a server that encrypts and decrypts protected data with a master key, and requests the server for user authentication via a network based on input information including a user ID and a password. An encryption key management system comprising: a user terminal requesting encryption and decryption of the protected data, wherein the server includes: a revision of the password hash calculated from the user ID, the password, and the password hash User information storage means for storing associated user information, the user ID, an encrypted key obtained by encrypting the master key with the key hash calculated from the password, and a key for storing key information associating the revision Information storage means, the input information and the user information; When the user authentication is completed by collation, an authentication ID is issued, and authentication information in which the user ID, the revision, the key hash, and the authentication time are associated with the authentication ID is generated and held. Authentication means, and when changing the password to a new password, the encrypted key obtained from the key information using the combination of the user ID and the revision included in the authentication information as a search key is the key The master key is obtained by decryption using a hash, and a new encrypted key is created based on the new password and the master key, the user ID, a new revision related to the new password, and In a state where new key information associated with a new encrypted key coexists with other key information related to the same user ID And having a key re-encryption unit for storing the key information storing means.
以下、本実施形態に係る暗号鍵管理システムについて図面を参照して詳細に説明する。 Hereinafter, the encryption key management system according to the present embodiment will be described in detail with reference to the drawings.
図1は、一実施形態に係る暗号鍵管理システムの全体構成の一例を示すブロック図である。同図に示されるように、暗号鍵管理システムは、ユーザ端末1、認証サーバ2、ユーザDB3、アプリケーションサーバ4、およびデータサーバ5が通信ネットワークNWを介して接続されることで構成されている。
FIG. 1 is a block diagram showing an example of the entire configuration of a cryptographic key management system according to an embodiment. As shown in the figure, the encryption key management system is configured by connecting a
各装置は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、入力装置、表示装置、HDD(Hard Disk Drive)などの大容量の記憶装置、および通信装置などから構成されたコンピュータであり、台数はそれぞれ任意である。また、本システムでは複数台のサーバを含んでいるが、一台あるいは複数台のサーバに適宜統合あるいは分散した上でネットワーク接続してもよい。 Each device includes a central processing unit (CPU), a read only memory (ROM), a random access memory (RAM), an input device, a display device, a large-capacity storage device such as a hard disk drive (HDD), and a communication device. The computer is configured, and the number is arbitrary. In addition, although the present system includes a plurality of servers, it may be connected to one or more servers after being appropriately integrated or dispersed.
ユーザ端末1は、ユーザがデータ編集作業などに用いるパーソナルコンピュータなどの情報端末であり、認証依頼手段11、データ参照依頼手段12、データ登録依頼手段13、パスワード変更依頼手段14を有している。
The
認証依頼手段11は、認証サーバ2に対してユーザIDおよびパスワードを含む入力情報を送信し、ユーザ認証処理を要求する。データ参照依頼手段12は、ユーザ認証の完了後、認証情報に基づいてアプリケーションサーバ4に接続し、データサーバ5内で管理されている保護データの参照処理を要求する。
The authentication request means 11 transmits input information including a user ID and a password to the
データ登録依頼手段13は、認証情報に基づいてアプリケーションサーバ4に接続し、データサーバ5へ保護データの登録処理を要求する。パスワード変更依頼手段14は、認証サーバ2に対して既存のパスワードから新たなパスワードへの変更処理を要求する。
The data registration request means 13 connects to the
認証サーバ2は、認証処理を実行するサーバコンピュータであり、認証情報提供手段22、パスワード変更手段23、認証維持手段24、認証情報確認手段25、鍵掃除手段26、認証削除手段27を有している。
The
認証手段21は、入力情報に含まれるユーザIDおよびパスワードから算出した新たなパスワードハッシュを、ユーザDB3が記憶するユーザ情報と照合してユーザ認証を行う。認証手段21は、ユーザ認証が完了(成功)した場合に、固有の認証IDを発行するとともに、この認証IDに対して、ユーザごとに固有なユーザID、パスワードの世代番号であるリビジョン、鍵ハッシュ、および認証時刻を関連付けた認証情報を生成し、保持する。尚、鍵ハッシュは、所定のハッシュ関数を用いて算出するものとする。
The authentication means 21 performs user authentication by collating the new password hash calculated from the user ID and password contained in the input information with the user information stored in the
図2は、認証情報の一例を示す図である。ここでは、認証情報が、認証IDごとに、ユーザID、リビジョン、鍵ハッシュ、最後に認証情報にアクセスした時刻を関連付けた情報であることが示されている。鍵ハッシュは、鍵用のハッシュ関数Hk(x)を用いて算出する。ハッシュ関数Hk(x)のxとしては、パスワードの平文Pn_m(n:ユーザ番号,m:リビジョン番号)が使用されている。 FIG. 2 is a diagram showing an example of authentication information. Here, it is shown that the authentication information is information in which the user ID, the revision, the key hash, and the time of the last access to the authentication information are associated for each authentication ID. The key hash is calculated using the hash function Hk (x) for the key. The plaintext Pn_m (n: user number, m: revision number) of the password is used as x of the hash function Hk (x).
認証情報提供手段22は、アプリケーションサーバ4から認証IDを受信した場合に、当該認証IDの認証情報をアプリケーションサーバ4に提供する。
パスワード変更手段23は、ユーザ端末1からパスワードの変更要求があった場合に、ユーザID、新たなパスワードから算出したパスワードハッシュ、およびパスワードのリビジョンからなる新たなユーザ情報をユーザDB3に送信し、ユーザ情報を更新する。また、パスワード変更手段23は、ユーザID、現時点のパスワードのリビジョンと鍵ハッシュ、新たなパスワードに基づく鍵ハッシュをユーザDB3へ送信し、新たな鍵情報の登録を行う。
When receiving the authentication ID from the
When there is a password change request from the
認証維持手段24は、アプリケーションサーバ4が保持する認証情報の認証IDを受信した場合に、受信した認証IDに基づいて認証サーバ2内で保持する認証情報を検索し、認証IDが一致する認証情報の時刻を現在時刻に更新することで認証を維持する。
認証情報確認手段25は、鍵掃除手段26から受信したユーザIDとリビジョンの組合せ情報に対応する認証情報が認証サーバ2内に存在するか否かを確認し、組合せごとの確認結果を鍵掃除手段26へ送信する。
When the authentication maintenance means 24 receives the authentication ID of the authentication information held by the
The authentication information confirmation means 25 confirms whether or not the authentication information corresponding to the combination information of the user ID and the revision received from the key cleaning means 26 exists in the
鍵掃除手段26は、ユーザDB3が記憶する鍵情報を参照して、ユーザIDとリビジョンの組合せ情報を抽出し、認証情報確認手段25へ定期的に送信する。そして、鍵掃除手段26は、認証情報確認手段25からの応答情報として、認証サーバ2内に存在しない鍵情報があった場合には、この鍵情報を削除する。
認証削除手段27は、認証サーバ2側で保持している認証情報の時刻と現在時刻を定期的に比較し、所定のタイムアウト時間が経過した認証情報を削除する。
The
The authentication deletion means 27 periodically compares the time of the authentication information held on the
ユーザDB3は、認証サーバ2における認証処理、データサーバ5におけるデータ書込み・読取処理にそれぞれ必要な情報を記憶するデータベースであり、ユーザ情報記憶手段31、鍵情報記憶手段32、鍵再暗号化手段33を有している。
The
ユーザ情報記憶手段31は、ユーザを特定するユーザID、パスワードハッシュ、リビジョンを関連付けたユーザ情報を記憶する。図3は、ユーザ情報の一例を示す図である。パスワードハッシュは、パスワード用のハッシュ関数Hp(x)を用いて算出する。ハッシュ関数Hp(x)のxとしては、パスワードの平文Pn_m(n:ユーザ番号,m:リビジョン番号)が使用されている。 The user information storage unit 31 stores user information identifying a user, password hash, and user information associated with a revision. FIG. 3 is a diagram showing an example of user information. The password hash is calculated using the password hash function Hp (x). As x of the hash function Hp (x), the plaintext Pn_m (n: user number, m: revision number) of the password is used.
鍵情報記憶手段32は、ユーザID、リビジョン、および暗号化済鍵を関連付けた鍵情報を記憶する。図4は、鍵情報の一例を示す図である。暗号化済鍵は、鍵用の関数Ck(x,y)を用いて算出されている。ここでは、関数Ck(x,y)のxには鍵ハッシュ、yにはマスター鍵(共通鍵)Mが使用されている。 The key information storage means 32 stores key information associated with the user ID, the revision, and the encrypted key. FIG. 4 is a diagram showing an example of key information. The encrypted key is calculated using the function Ck (x, y) for the key. Here, a key hash is used for x of the function Ck (x, y), and a master key (common key) M is used for y.
鍵再暗号化手段33は、ユーザ認証で入力されたパスワードを新たなパスワードへ変更する場合に、認証情報に含まれるユーザIDとリビジョンの組合せを検索キーとして鍵情報から取得した暗号化済鍵を、認証情報に含まれる鍵ハッシュで復号してマスター鍵を取得するとともに、新たなパスワードとマスター鍵に基づいて新たな暗号化済鍵を作成し、ユーザID、新たなパスワードに係る新たなリビジョン、および新たな暗号化済鍵を関連付けた新たな鍵情報を同一のユーザIDに係る他の鍵情報と併存した状態で鍵情報記憶手段32へ保存する。 The key re-encryption means 33 uses the combination of the user ID and the revision included in the authentication information as the search key as the search key when changing the password input in the user authentication to a new password, as an encrypted key Decrypts with a key hash included in the authentication information to obtain a master key, and creates a new encrypted key based on the new password and the master key, a user ID, a new revision related to the new password, The new key information associated with the new encrypted key is stored in the key information storage unit 32 in the state of coexistence with other key information related to the same user ID.
また、鍵再暗号化手段33は、ユーザ端末1側から共通の認証IDに対して認証時と異なる他のユーザIDおよび他のパスワードを関連付けるパスワード変更要求があった場合に、他のパスワードから他の鍵ハッシュを生成するとともに、認証サーバ2に保持されている認証情報から共通の認証IDに関連付けられているユーザID、鍵ハッシュを取得してマスター鍵を復号し、このマスター鍵により他の鍵ハッシュを暗号化した他の暗号化済鍵、他のユーザID、および他のパスワードのリビジョンを組み合わせた他の鍵情報を鍵情報記憶手段32に保存する。
Also, when the key re-encryption means 33 requests from the
アプリケーションサーバ4は、種々のアプリケーション(図示省略する)の実行によりユーザ端末1に対してサービスを提供するサーバコンピュータであり、データ登録手段41、認証情報参照手段42、データ参照手段43、認証維持依頼手段44、認証削除手段45を有している。
The
データ登録手段41は、認証済みのユーザ端末1からデータ登録要求があった場合に、受信データをデータサーバ5へ登録する。
認証情報参照手段42は、アプリケーションの実行に伴って認証情報が必要になった場合に、認証サーバ2に対して認証情報の参照を要求する。
The data registration means 41 registers received data in the
The authentication
データ参照手段43は、認証済みのユーザ端末1からデータ参照要求があった場合に、データサーバ5から保護データを取得し、ユーザ端末1へ返信する。
認証維持依頼手段44は、アプリケーションサーバ4側で保持している認証情報の認証IDを認証サーバ2へ定期的に送信し、認証維持を要求する。認証削除手段45は、アプリケーションサーバ4側で保持している認証情報の時刻と現在時刻を定期的に比較し、所定のタイムアウト時間が経過した認証情報を削除する。
When there is a data reference request from the authenticated
The authentication maintenance request means 44 periodically transmits the authentication ID of the authentication information held on the
データサーバ5は、保護データを管理するサーバコンピュータであり、保護データ記憶手段51、データ書込手段52、データ読取手段53を有している。
The
保護データ記憶手段51は、ユーザ端末1からアプリケーションサーバ4を介して登録要求のあった保護データを暗号化してデータIDごとに記憶する。図5は、保護データの一例を示す図である。ここでは、保護データを特定するデータIDに対して保護データをカラムごとにデータ用の関数Cd(x,y)により暗号化して関連付けて記憶している。ここでは、関数Cd(x,y)のxはマスター鍵M、yはDn_mデータの平文(n:データ番号,m:カラム)となっている。
The protected
データ書込手段52は、ユーザ端末1からアプリケーションサーバ4を介して取得したデータを鍵情報から復号したマスター鍵により暗号化し、これを保護データとして保護データ記憶手段51に書き込む。データ読取手段53は、保護データ記憶手段51から暗号化された保護データを読取り、鍵情報の暗号化済鍵から復号したマスター鍵で復号してアプリケーションサーバ4へ送信する。
The data writing means 52 encrypts the data acquired from the
続いて、暗号鍵管理システムを構成する装置間の処理の流れを具体的に説明する。
(1)ユーザ認証処理
図6は、ユーザ認証処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1の認証依頼手段11を用いて、ユーザID[U1]とパスワード[P1_1]を入力すると、ユーザ端末1は、認証サーバ2の認証手段21に対して、ユーザID[U1]、パスワード[P1_1]とともに認証を要求する。
Subsequently, the flow of processing between devices constituting the encryption key management system will be specifically described.
(1) User Authentication Process FIG. 6 is an explanatory diagram of the user authentication process. As shown in the figure, when the user inputs the user ID [U1] and the password [P1_1] using the authentication request means 11 of the
認証手段21は、ユーザID[U1]、及びパスワード[P1_1]から生成したパスワードハッシュ[Hp(P1_1)]を、ユーザDB3が保持するユーザ情報と突き合わせることにより、ユーザを認証する。ユーザ情報には、ユーザID[U1]、パスワードハッシュ[Hp(P1_1)]のほか、パスワードハッシュの更新回数を表す、リビジョン[R1]を持つ。
The
認証に成功すると、認証手段21は、認証処理毎に付与する認証ID[A1]、ユーザID[U1]、リビジョン[R1]、認証時刻[T1]、パスワード[P1_1]から生成した鍵ハッシュ[Hk(P1_1)]の組を認証情報に新規追加し、認証ID[A1]を認証依頼手段11に応答する。
When the authentication is successful, the
(2)保護データ登録処理
図7は、保護データ登録処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のデータ登録依頼手段13を用いて、認証ID[A1]とともに、登録データキー[D1]、登録データ値[D1_1]、[D1_2]を入力すると、ユーザ端末1は、アプリケーションサーバ4のデータ登録手段41に対して、認証ID[A1]、登録データキー[D2]、登録データ値[D2_1]、[D2_2]とともにデータ登録を要求する。
(2) Protected Data Registration Process FIG. 7 is an explanatory diagram of the protected data registration process. As shown in the figure, the user inputs the registration data key [D1] and the registration data values [D1_1] and [D1_2] together with the authentication ID [A1] using the data registration request means 13 of the
データ登録手段41は、認証情報参照手段42に認証ID[A1]を与えることにより、認証サーバ2の認証情報提供手段22を介して、認証ID[A1]に紐付く、ユーザID[U1]、リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]を取得し、アプリケーションサーバ4内の認証情報にそれらを新規追加する。
The data registration means 41 gives the authentication ID [A1] to the authentication information reference means 42, whereby the user ID [U1] is linked to the authentication ID [A1] via the authentication information provision means 22 of the
次に、データ登録手段41は、データサーバ5のデータ書込手段52に対して、ユーザID[U1]、リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]、登録データキー[D2]、登録データ値[D2_1]、[D2_2]を与え、保護データの登録を要求する。
Next, the
データ書込手段52は、ユーザDB3が保持する鍵情報の中から、ユーザID[U1]、リビジョン[R1]に紐付く、暗号化済鍵[Ck(Hk(P1_1),M)]を取得し、鍵ハッシュ[Hk(P1_1)]を用いてマスター鍵[M]を復号する。
The data writing means 52 acquires an encrypted key [Ck (Hk (P1_1), M)] associated with the user ID [U1] and the revision [R1] from among the key information held by the
次に、データ書込手段52は、マスター鍵[M]を用いて登録データ値[D2_1]、[D2_2]を暗号化し、それぞれ[Cd(M, D2_1)]、[Cd(M, D2_2)]として保護データに登録する。 Next, the data writing means 52 encrypts the registered data values [D2_1] and [D2_2] using the master key [M], and respectively encrypts [Cd (M, D2_1)] and [Cd (M, D2_2)]. Register as protected data.
(3)保護データ取得処理
図8は、保護データ取得処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のデータ参照依頼手段12を用いて、認証ID[A1]とともに、参照データキー[D1]を入力すると、ユーザ端末1は、アプリケーションサーバ4のデータ参照手段43に対し、認証ID[A1]、参照データキー[D1]とともにデータ参照を要求する。
(3) Protected Data Acquisition Process FIG. 8 is an explanatory diagram of the protected data acquisition process. As shown in the figure, when the user inputs the reference data key [D1] together with the authentication ID [A1] using the data reference request means 12 of the
データ参照手段43は、認証情報参照手段42に認証ID[A1]を与えることにより、認証サーバ2の認証情報提供手段22を介して、認証ID[A1]に紐付く、ユーザID[U1]、リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]を取得し、アプリケーションサーバ4内の認証情報にそれを新規追加する。
The data reference means 43 gives the authentication ID [A1] to the authentication information reference means 42, whereby the user ID [U1] is linked to the authentication ID [A1] via the authentication
次に、データ参照手段43は、データサーバ5のデータ読取手段53に対して、ユーザID[U1]、リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]、参照データキー[D1]を与え、保護データの参照を要求する。
Next, the data reference means 43 gives the user ID [U1], the revision [R1], the key hash [Hk (P1_1)] and the reference data key [D1] to the data reading means 53 of the
データ読取手段53は、ユーザDB3が保持する鍵情報の中から、ユーザID[U1]、リビジョン[R1]に紐付く、暗号化済鍵[Ck(Hk(P1_1),M)]を取得し、鍵ハッシュ[Hk(P1_1)]を用いてマスター鍵[M]を復号する。次に、データ読取手段53は、マスター鍵[M]を用いて保護データが保持する[Cd(M, D1_1)]、[Cd(M, D1_2)]を復号し、それぞれ参照データ値[D1_1]、[D1_2]としてデータ参照手段43に応答する。最後に、データ参照手段43は、受け取った参照データ値[D1_1]、[D1_2]をデータ参照依頼手段12に応答する。
The data reading means 53 acquires an encrypted key [Ck (Hk (P1_1), M)] associated with the user ID [U1] and the revision [R1] from the key information held by the
(4)第1のパスワード変更処理
図9は、同一ユーザの要求によるパスワード変更処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のパスワード変更依頼手段14を用いて、認証ID[A1]とともに、ログインユーザ自身のユーザID(以下、自ユーザIDという。)[U1]、新パスワード[P1_2]を入力すると、ユーザ端末1は、認証サーバ2のパスワード変更手段23に対し、認証ID[A1]、ユーザID[U1]、[P1_2]とともにパスワード変更を要求する。
(4) First Password Change Processing FIG. 9 is an explanatory diagram of password change processing in response to a request from the same user. As shown in the figure, the user uses the password change request means 14 of the
パスワード変更手段23は、自身が保持する認証情報の中から、認証ID[A1]に紐付く、自ユーザID[U1]、変更前のパスワード(以下、旧パスワードという。)のリビジョン(以下、旧リビジョンという。)[R1]、旧パスワード[P1_1]から生成した鍵ハッシュ[Hk(P1_1)]を取得し、さらに[P1_2]から鍵ハッシュ[Hk(P1_2)]を生成する。
Among the authentication information held by the
次に、パスワード変更手段23は、ユーザDB3の鍵再暗号化手段33に対して、ユーザID[U1]、リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]、ユーザID[U1]、鍵ハッシュ[Hk(P1_2)]を与え、マスター鍵[M]の再暗号化を要求する。
Next, the
鍵再暗号化手段33は、ユーザDB3が保持する鍵情報の中から、ユーザID[U1]、リビジョン[R1]に紐付く、旧暗号化済鍵[Ck(Hk(P1_1),M)]を取得し、鍵ハッシュ[Hk(P1_1)]を用いてマスター鍵[M]を復号する。また、ユーザID[U1]に紐付くリビジョンのうち、最新の旧リビジョン[R1]を取得する。
The key re-encrypting means 33 extracts the old encrypted key [Ck (Hk (P1_1), M)] associated with the user ID [U1] and the revision [R1] among the key information held by the
次に、鍵再暗号化手段33は、マスター鍵[M]を[Hk(P1_2)]を用いて暗号化し、生成された新暗号化済鍵[Ck(Hk(P1_2),M)]、ユーザID[U1]、及び新リビジョン[R2]を鍵情報に新規追加する。 Next, the key re-encryption means 33 encrypts the master key [M] using [Hk (P1_2)], and the generated new encrypted key [Ck (Hk (P1_2), M)], the user Add ID [U1] and new revision [R2] to key information.
最後に、パスワード変更手段23は、ユーザDB3が保持するユーザ情報に存在する、ユーザID[U1]に紐付くリビジョン[R1]、パスワードハッシュ[Hp(P1_1)]を、鍵再暗号化手段33から応答として受け取ったリビジョン[R2]、新パスワード[P1_2]から生成したパスワードハッシュ[Hp(P1_2)]で上書更新し、パスワード変更依頼手段14に応答する。
Finally, the
(5)第2のパスワード変更処理
図10は、他のユーザの要求によるパスワード変更処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のパスワード変更依頼手段14を用いて、認証ID[A1]とともに、ログインユーザ以外のユーザID(以下、他ユーザIDという。)[U2]、新パスワード[P2_6]を入力すると、ユーザ端末1は、認証サーバ2のパスワード変更手段23に、認証ID[A1]、他ユーザID[U2]、新パスワード[P2_6]とともにパスワード変更を要求する。
(5) Second Password Change Processing FIG. 10 is an explanatory diagram of password change processing at the request of another user. As shown in the figure, the user uses the password change request means 14 of the
認証サーバ2のパスワード変更手段23は、自身が保持する認証情報の中から、認証ID[A1]に紐付く、自ユーザID[U1]、自リビジョン[R1]、自パスワード[P1_1]から生成した鍵ハッシュ[Hk(P1_1)]を取得し、さらに[P2_6]から鍵ハッシュ[Hk(P2_6)]を生成する。次に、パスワード変更手段23は、ユーザDB3の鍵再暗号化手段33に対して、ユーザID[U1]、自リビジョン[R1]、鍵ハッシュ[Hk(P1_1)]、他ユーザID[U2]、[Hk(P2_6)]を与え、マスター鍵[M]の再暗号化を要求する。
The
ユーザDB3の鍵再暗号化手段33は、ユーザDB3が保持する鍵情報の中から、ユーザID[U1]、自リビジョン[R1]に紐付く、自暗号化済鍵[Ck(Hk(P1_1),M)]を取得し、鍵ハッシュ[Hk(P1_1)]を用いてマスター鍵[M]を復号する。また、[U2]に紐付くリビジョンのうち、最新の旧リビジョン[R5]を取得する。次に、鍵再暗号化手段33は、鍵ハッシュ[Hk(P2_6)]を用いてマスター鍵[M]を暗号化し、生成された新暗号化済鍵[Ck(Hk(P2_6),M)]、他ユーザID[U2]、及び新リビジョン[R6]の組合せを鍵情報に新規追加する。
Among the key information held by the
最後に、認証サーバ2のパスワード変更手段23は、ユーザDB3のユーザ情報記憶手段31が保持するユーザ情報内に存在する、他ユーザID[U2]に紐付くリビジョン[R5]、パスワードハッシュ[Hp(P2_5)]を、鍵再暗号化手段33から応答として受け取った[R6]、[P2_6]から生成したパスワードハッシュ[Hp(P2_6)]で上書更新し、パスワード変更依頼手段14に応答する。
Finally, the
管理者などの上位ユーザが下位の一般ユーザのパスワードを変更するような場合に、他人に設定する新しいパスワードで鍵を暗号化する必要があるが、この鍵を自身のパスワードを用いて取得し、他人の新しいパスワードを使って暗号化を行い、他人が新しいパスワードを使用した際に鍵を取得できるようにしている。仕組は本人のパスワードを変更する場合(上記(5))と同じであり、処理の対象が他人のユーザ情報に変わるだけである。 When a higher-level user such as an administrator changes the password of a lower-level general user, it is necessary to encrypt the key with a new password set for others, but this key is acquired using its own password, It encrypts using another person's new password, so that others can obtain a key when they use the new password. The structure is the same as in the case of changing the password of the user ((5) above), and the object of processing is only changed to the user information of another person.
(6)認証維持処理
図11は、認証維持処理の説明図である。同図に示されるように、アプリケーションサーバ4の認証維持依頼手段44は、定期的に、自機が保持する認証情報の中から、現在使用されているものを抽出し、対応する時刻を現在時刻で上書更新する。また、認証維持依頼手段44は、定期的に、認証サーバ2の認証維持手段24に、自機が保持する認証情報に含まれる認証ID([A1]、[A2])とともに認証維持を要求する。
(6) Authentication Maintenance Process FIG. 11 is an explanatory diagram of the authentication maintenance process. As shown in the figure, the authentication maintenance request means 44 of the
認証サーバ2の認証維持手段24は、アプリケーションサーバ4(認証維持依頼手段44)から与えられた認証ID[A1]、[A2]と自機が保持する認証情報を突き合わせ、同一認証IDに紐付く時刻を現在時刻[T6]で上書更新し、認証維持依頼手段44に応答する。
The authentication maintaining means 24 of the
(7)鍵情報掃除処理
図12は、鍵情報掃除処理の説明図である。同図に示されるように、認証サーバ2の鍵掃除手段26は、定期的に、ユーザDB3が保持する鍵情報の中から、古いリビジョンをユーザIDに紐付けて取得する。
(7) Key Information Cleaning Process FIG. 12 is an explanatory diagram of the key information cleaning process. As shown in the figure, the key cleaning means 26 of the
次に、鍵掃除手段26は、同サーバの認証情報確認手段25及び他の認証サーバ2´(認証情報確認手段25)のそれぞれに対して、取得したユーザIDと旧リビジョンの組([U1],[R3])、([U1],[R4])、([U2],[R3])が認証情報に含まれていないことの確認を要求する。 Next, the key cleaning means 26 sets the acquired user ID and old revision for each of the authentication information confirmation means 25 and the other authentication server 2 '(authentication information confirmation means 25) of the same server ([U1]. , [R3], ([U1], [R4]), ([U2], [R3]) are requested to confirm that they are not included in the authentication information.
認証情報確認手段25は、与えられたユーザIDと旧リビジョンの組と認証情報を突き合わせ、存在の確認結果([U1],[R3],true)、([U1],[R4],false)、([U2],[R3],false)を鍵掃除手段26に応答する。
The authentication
最後に、鍵掃除手段26は、認証情報に存在しないことが判明した、ユーザIDと旧リビジョンの組([U1],[R4])、([U2],[R3])を鍵情報から削除する。過去のリビジョンの暗号化済鍵が使われなくなったことを確認してユーザDB3から削除することで、不要になった古いデータがユーザDB3内に保存され続けることを防ぐことができる。尚、他の認証サーバ2´においても同様の処理が行われるものとする。
Finally, the key cleaning means 26 deletes the pair ([U1], [R4]) and ([U2], [R3]) of the user ID and the old revision which are found not to exist in the authentication information from the key information Do. By confirming from the
(8)認証情報削除処理
図13は、認証情報削除処理の説明図である。同図に示されるように、認証サーバ2(又はアプリケーションサーバ4)の認証削除手段27(又は認証削除手段45)は、定期的に、自機が保持する認証情報の中から、時刻が現在時刻から一定時間以上古い、すなわち、最後の認証から一定時間以上経過した情報を削除する。
(8) Authentication Information Deletion Process FIG. 13 is an explanatory diagram of the authentication information deletion process. As shown in the figure, the authentication deletion means 27 (or the authentication deletion means 45) of the authentication server 2 (or the application server 4) periodically sets the current time from the authentication information held by the own device. Delete information that is older than a certain period of time, ie, older than a certain period of time since the last authentication.
以下、上記のように構成された暗号鍵管理システムの一連の動作を説明する。図14は、一実施形態に係る暗号鍵管理システムにおけるパスワード変更時の動作の一例を示すシーケンス図である。 Hereinafter, a series of operations of the encryption key management system configured as described above will be described. FIG. 14 is a sequence diagram showing an example of an operation at the time of password change in the encryption key management system according to an embodiment.
先ず、ユーザ端末1が、ユーザからの入力情報{ユーザID_1,パスワード_1}を認証サーバ2に送信し、認証要求を行う(S101)。
次に、認証サーバ2は、パスワード_1に基づいて鍵ハッシュを作成し(S102)、保持している認証情報において同ユーザIDに関連付けられた最新リビジョン_1の鍵ハッシュ_1と比較する(S103)。比較結果が一致すると、認証サーバ2は、認証ID{認証ID_1}をユーザ端末1へ返信する(S104)。
First, the
Next, the
次に、ユーザ端末1は、認証ID{認証ID_1}に基づいてアプリケーションサーバ4に接続要求を行う(S105)。
次に、アプリケーションサーバ4が、認証ID{認証ID_1}に基づいて認証サーバ2に認証情報の参照を要求すると(S106)、認証サーバ2は認証ID{認証ID_1}、リビジョン{リビジョン_1}、鍵ハッシュ{鍵ハッシュ_1}を含む認証情報を返信する(S107)。そして、アプリケーションサーバ4は、ユーザ端末1に接続完了を通知する(S108)。
Next, the
Next, when the
次に、ユーザ端末1´が、同一ユーザからの入力情報{ユーザID_1,パスワード_1}を認証サーバ2に送信し、認証要求を行うと(S109)、認証サーバ2は、入力パスワード{パスワード_1}に基づいて鍵ハッシュを作成し(S110)、保持している認証情報において同ユーザIDに関連付けられたリビジョン{リビジョン_1}の鍵ハッシュ{鍵ハッシュ_1}と比較する(S111)。比較結果が一致すると、認証サーバ2は、S104とは異なる認証情報{認証ID_2}をユーザ端末1´へ返信する(S112)。
Next, when the
次に、ユーザ端末1´が、{認証ID_2,パスワード_2}を含むパスワードの変更要求を認証サーバ2へ送信すると(S113)、認証サーバ2は、{パスワード_2}による鍵ハッシュ{鍵ハッシュ_2}を作成し、変更後のリビジョン{リビジョン_2}および鍵ハッシュ{鍵ハッシュ_2}をメモリ領域(図示省略する)に保持する(S114)。
Next, when the
次に、認証サーバ2は、ユーザDB3に対して{ユーザID_1}に関連付けられている{リビジョン_1,鍵ハッシュ_1}、{リビジョン_2,鍵ハッシュ_2}を送信し、鍵再暗号化を要求する(S115)。従来技術との違いは、ここで新しいパスワードの鍵ハッシュ{鍵ハッシュ_2}で復号できる暗号化済鍵を作成するだけでなく、古いパスワードの鍵ハッシュ{鍵ハッシュ_1}で復号できる暗号化済鍵を残すことである。
Next, the
次に、ユーザDB3は、鍵再暗号化が完了すると、これを認証サーバ2へ通知する(S116)。すなわち、この時点では二つのユーザ端末1、ユーザ端末1´がそれぞれ異なる認証IDで認証済みとなっている。
Next, when the key re-encryption is completed, the
次に、最初に認証済みのユーザ端末1が、アプリケーションサーバ4に対してデータ参照を要求すると(S117)、アプリケーションサーバ4はデータサーバ5に{リビジョン_1,鍵ハッシュ_1}を送信し、データ読取を要求する(S118)。
Next, when the authenticated
次に、ユーザDB3は、データサーバ5に鍵ハッシュ{鍵ハッシュ_1}で復号可能な暗号化済鍵の送信を要求し(S119)、これをユーザDB3が返信する(S120)。
Next, the
次に、データサーバ5は、鍵ハッシュ{鍵ハッシュ_1}により暗号化済鍵を復号してマスター鍵を取得し(S121)、このマスター鍵により保護データを復号して読取り(S122)、読取データをアプリケーションサーバ4へ送信する(S123)。
そして、アプリケーションサーバ4は、ユーザ端末1にデータ参照を開始させる(S124)。
Next, the
Then, the
このように、本実施形態に係る暗号鍵管理システムによれば、以下のような効果を奏する。
(1)認証されたユーザがシステムを利用している際に、並行してパスワードの変更があった場合でも、再認証を実行することなく、パスワード変更前のパスワードのリビジョンとユーザIDの組合せに係る暗号化済鍵によって保護データを継続して復号可能となる。例えば、ユーザ端末1が複数のアプリケーションサーバ4に接続されているような場合でも、アプリケーションサーバ4ごとに再認証を行う必要が無くなる利点がある。
(2)同一認証IDの認証情報を利用中の他のユーザによってパスワードが変更された場合にも、認証済みのユーザは継続して保護データの登録・読取作業を行うことができる。
(3)古い鍵ハッシュに基づいて開始された処理に時間がかかる場合や、アプリケーションサーバの台数が多い場合であっても、パスワード変更による暗号関連情報の同期のために、再認証、ロック、処理完了待ち等が発生せず、操作性が向上する。
As described above, according to the encryption key management system according to the present embodiment, the following effects can be obtained.
(1) Even when the password is changed in parallel while the authenticated user is using the system, without performing re-authentication, the combination of password revision before password change and user ID The protected data can be continuously decrypted by the encrypted key. For example, even when the
(2) Even when the password is changed by another user who is using the authentication information of the same authentication ID, the authenticated user can continue the registration / reading work of protection data.
(3) Even when the process started based on the old key hash takes a long time or the number of application servers is large, re-authentication, lock, process for synchronization of encryption related information by password change There is no waiting for completion, etc., and operability improves.
以上、本発明の実施形態を説明したが、本実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。この新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。本実施形態およびその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。 Although the embodiments of the present invention have been described above, the embodiments are presented as examples and are not intended to limit the scope of the invention. This novel embodiment can be implemented in other various forms, and various omissions, replacements, and changes can be made without departing from the scope of the invention. The present embodiment and the modifications thereof are included in the scope and the gist of the invention, and are included in the invention described in the claims and the equivalent scope thereof.
1…ユーザ端末、
2…認証サーバ、
3…ユーザDB、
4…アプリケーションサーバ、
5…データサーバ、
11…認証依頼手段、
12…データ参照依頼手段、
13…データ登録依頼手段、
14…パスワード変更依頼手段、
21…認証手段、
22…認証情報提供手段、
23…パスワード変更手段、
24…認証維持手段、
25…認証情報確認手段、
26…鍵掃除手段、
27…認証削除手段、
31…ユーザ情報記憶手段、
32…鍵情報記憶手段、
33…鍵再暗号化手段、
41…データ登録手段、
42…認証情報参照手段、
43…データ参照手段、
44…認証維持依頼手段、
45…認証削除手段、
51…保護データ記憶手段、
52…データ書込手段、
53…データ読取手段。
1 ... User terminal,
2 ... authentication server,
3 ... User DB,
4 ... application server,
5 ... data server,
11: Authentication request means,
12 ... Data reference request means,
13 ... Data registration request means,
14: Password change request means,
21 ... authentication means,
22: Means for providing authentication information,
23: Password change means,
24 ... Means of maintaining certification,
25 ... authentication information confirmation means,
26 ... Key cleaning means,
27 ... authentication deletion means,
31: User information storage means,
32: Key information storage means,
33: Key re-encryption means,
41: Data registration means,
42 ... authentication information reference means,
43 ... data reference means,
44. Means for requesting maintenance of certification,
45 ... authentication deletion means,
51 ... protected data storage means,
52: Data writing means,
53: Data reading means.
Claims (5)
ユーザIDおよびパスワードを含む入力情報に基づいて前記サーバにユーザ認証を要求するとともに、前記保護データの暗号化および復号化を要求するユーザ端末と、を備え、
前記サーバが、
前記ユーザID、前記パスワードから算出されたパスワードハッシュ、および前記パスワードハッシュのリビジョンを関連付けたユーザ情報を記憶するユーザ情報記憶手段と、
前記ユーザID、前記パスワードから算出された鍵ハッシュにより前記マスター鍵を暗号化した暗号化済鍵、および前記リビジョンを関連付けた鍵情報を記憶する鍵情報記憶手段と、
前記入力情報と前記ユーザ情報とを照合して前記ユーザ認証が完了した場合に、認証IDを発行するとともに、この認証IDに対して、前記ユーザID、前記リビジョン、前記鍵ハッシュ、および認証時刻を関連付けた認証情報を生成し、保持する認証手段と、
前記パスワードを新たなパスワードへ変更する場合に、前記認証情報に含まれる前記ユーザIDと前記リビジョンの組合せを検索キーとして前記鍵情報から取得した前記暗号化済鍵を、前記鍵ハッシュで復号して前記マスター鍵を取得するとともに、前記新たなパスワードと前記マスター鍵に基づいて新たな暗号化済鍵を作成し、前記ユーザID、前記新たなパスワードに係る新たなリビジョン、および前記新たな暗号化済鍵を関連付けた新たな鍵情報を同一の前記ユーザIDに係る他の鍵情報と併存した状態で前記鍵情報記憶手段へ保存する鍵再暗号化手段と、
を有することを特徴とする暗号鍵管理システム。 A server that encrypts and decrypts protected data with a master key;
A user terminal that requests the server for user authentication based on input information including a user ID and a password, and requests encryption and decryption of the protected data;
The server
User information storage means for storing user information associated with the user ID, a password hash calculated from the password, and a revision of the password hash;
Key information storage means for storing key information in which the master ID is encrypted by the key hash calculated from the user ID, the password, and key information in which the revision is associated;
When the user authentication is completed by comparing the input information with the user information, an authentication ID is issued, and the user ID, the revision, the key hash, and the authentication time are issued to the authentication ID. An authentication unit that generates and holds associated authentication information;
When the password is changed to a new password, the encrypted key acquired from the key information is decrypted using the key hash with the combination of the user ID and the revision included in the authentication information as a search key. While acquiring the master key, a new encrypted key is created based on the new password and the master key, the user ID, a new revision related to the new password, and the new encrypted Key re-encryption means for storing new key information associated with a key in the key information storage means in the state of coexistence with other key information related to the same user ID;
The encryption key management system characterized by having.
前記サーバが、前記ユーザID、前記パスワードから算出されたパスワードハッシュ、および前記パスワードハッシュのリビジョンを関連付けたユーザ情報を記憶領域へ記憶するユーザ情報記憶ステップと、
前記ユーザID、前記パスワードから算出された鍵ハッシュにより前記マスター鍵を暗号化した暗号化済鍵、および前記リビジョンを関連付けた鍵情報を前記記憶領域へ記憶する鍵情報記憶ステップと、
前記入力情報と前記ユーザ情報とを照合して前記ユーザ認証が完了した場合に、認証IDを発行するとともに、この認証IDに対して、前記ユーザID、前記リビジョン、前記鍵ハッシュ、および認証時刻を関連付けた認証情報を生成し、保持する認証ステップと、
前記ユーザ認証で入力された前記パスワードを新たなパスワードへ変更する場合に、前記認証情報に含まれる前記ユーザIDと前記リビジョンの組合せを検索キーとして前記鍵情報から取得した前記暗号化済鍵を、前記認証情報に含まれる前記鍵ハッシュで復号して前記マスター鍵を取得するとともに、前記新たなパスワードと前記マスター鍵に基づいて新たな暗号化済鍵を作成し、前記ユーザID、前記新たなパスワードに係る新たなリビジョン、および前記新たな暗号化済鍵を関連付けた新たな鍵情報を同一の前記ユーザIDに係る他の鍵情報と併存した状態で前記記憶領域へ保存する鍵再暗号化ステップと、
を有することを特徴とする暗号鍵管理方法。 A server that encrypts and decrypts protected data with a master key, and a user terminal that requests the server for user authentication based on input information including a user ID and a password, and also requests encryption and decryption of the protected data. A method of managing encryption keys in a computer system comprising
A user information storing step of storing, in a storage area, user information in which the server associates the user ID, a password hash calculated from the password, and a revision of the password hash in a storage area;
A key information storage step of storing, in the storage area, key information in which the master ID is encrypted by the key hash calculated from the user ID, the encrypted key, and key information in which the revision is associated;
When the user authentication is completed by comparing the input information with the user information, an authentication ID is issued, and the user ID, the revision, the key hash, and the authentication time are issued to the authentication ID. An authentication step of generating and holding associated authentication information;
When changing the password input in the user authentication to a new password, the encrypted key obtained from the key information using the combination of the user ID and the revision included in the authentication information as a search key is The key hash contained in the authentication information is decrypted to obtain the master key, and a new encrypted key is created based on the new password and the master key, and the user ID, the new password And a key re-encryption step of storing new key information associated with the new encrypted key and new key information associated with the new encrypted key in the storage area in coexistence with other key information associated with the same user ID. ,
A cryptographic key management method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015072484A JP6426520B2 (en) | 2015-03-31 | 2015-03-31 | Encryption key management system and encryption key management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015072484A JP6426520B2 (en) | 2015-03-31 | 2015-03-31 | Encryption key management system and encryption key management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016192715A JP2016192715A (en) | 2016-11-10 |
JP6426520B2 true JP6426520B2 (en) | 2018-11-21 |
Family
ID=57245729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015072484A Expired - Fee Related JP6426520B2 (en) | 2015-03-31 | 2015-03-31 | Encryption key management system and encryption key management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6426520B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11956223B2 (en) * | 2018-12-04 | 2024-04-09 | Journey.ai | Securing attestation using a zero-knowledge data management network |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10305690B1 (en) * | 2017-11-29 | 2019-05-28 | Fingerprint Cards Ab | Two-step central matching |
SG10201902395SA (en) * | 2019-03-18 | 2019-11-28 | Qrypted Tech Pte Ltd | Method and system for a secure transaction |
CN113079001B (en) * | 2021-03-08 | 2023-03-10 | 北京忆芯科技有限公司 | Key updating method, information processing apparatus, and key updating device |
CN115037450B (en) * | 2021-11-19 | 2023-04-14 | 荣耀终端有限公司 | Data protection method and electronic equipment |
CN116527236B (en) * | 2023-06-29 | 2023-09-19 | 深圳市亲邻科技有限公司 | Information change verification method and system for encryption card |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0530103A (en) * | 1991-07-23 | 1993-02-05 | Fujitsu Ltd | Password setting system by remote control |
US6249866B1 (en) * | 1997-09-16 | 2001-06-19 | Microsoft Corporation | Encrypting file system and method |
JP4078792B2 (en) * | 2000-06-21 | 2008-04-23 | ソニー株式会社 | Information recording device, information reproducing device, encryption processing key updating method, and program providing medium |
US7302570B2 (en) * | 2003-08-19 | 2007-11-27 | International Business Machines Corporation | Apparatus, system, and method for authorized remote access to a target system |
JP2006268719A (en) * | 2005-03-25 | 2006-10-05 | Nec Corp | Password authentication system and method |
US20080184035A1 (en) * | 2007-01-30 | 2008-07-31 | Technology Properties Limited | System and Method of Storage Device Data Encryption and Data Access |
JP5333785B2 (en) * | 2010-06-07 | 2013-11-06 | トヨタ自動車株式会社 | KEY DEVICE, LOCK CONTROL DEVICE, CONTROL PROGRAM, AND CONTROL METHOD |
-
2015
- 2015-03-31 JP JP2015072484A patent/JP6426520B2/en not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11956223B2 (en) * | 2018-12-04 | 2024-04-09 | Journey.ai | Securing attestation using a zero-knowledge data management network |
Also Published As
Publication number | Publication date |
---|---|
JP2016192715A (en) | 2016-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8856530B2 (en) | Data storage incorporating cryptographically enhanced data protection | |
US8111828B2 (en) | Management of cryptographic keys for securing stored data | |
CN106462718B (en) | Store the rapid data protection of equipment | |
JP6426520B2 (en) | Encryption key management system and encryption key management method | |
JP4902207B2 (en) | System and method for managing multiple keys for file encryption and decryption | |
US7925023B2 (en) | Method and apparatus for managing cryptographic keys | |
US9088557B2 (en) | Encryption key management program, data management system | |
JP2019522412A (en) | Registration / authorization method, apparatus and system | |
CN105103488A (en) | Policy enforcement with associated data | |
KR20170083039A (en) | Roaming content wipe actions across devices | |
WO2008121157A2 (en) | Cryptographic key management system facilitating secure access of data portions to corresponding groups of users | |
US20100098246A1 (en) | Smart card based encryption key and password generation and management | |
US20150143107A1 (en) | Data security tools for shared data | |
EP3395004B1 (en) | A method for encrypting data and a method for decrypting data | |
WO2020253105A1 (en) | Authorization management method, system, apparatus, and computer readable storage medium | |
JP6049914B2 (en) | Cryptographic system, key generation device, and re-encryption device | |
US20220200791A1 (en) | Method for encrypting and storing computer files and associated encryption and storage device | |
JP4597784B2 (en) | Data processing device | |
JPH11331145A (en) | Information sharing system, information preserving device, information processing method and recording medium therefor | |
TWI430643B (en) | Secure key recovery system and method | |
CN115499228A (en) | Key protection method, device, equipment and storage medium | |
CN115412236A (en) | Method for key management and password calculation, encryption method and device | |
CN108345801B (en) | Ciphertext database-oriented middleware dynamic user authentication method and system | |
JP6293617B2 (en) | Authentication control system, control server, authentication control method, program | |
JP6092159B2 (en) | Encryption key management apparatus and encryption key management method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180118 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180911 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180925 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181025 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6426520 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |