JP6426520B2 - 暗号鍵管理システムおよび暗号鍵管理方法 - Google Patents
暗号鍵管理システムおよび暗号鍵管理方法 Download PDFInfo
- Publication number
- JP6426520B2 JP6426520B2 JP2015072484A JP2015072484A JP6426520B2 JP 6426520 B2 JP6426520 B2 JP 6426520B2 JP 2015072484 A JP2015072484 A JP 2015072484A JP 2015072484 A JP2015072484 A JP 2015072484A JP 6426520 B2 JP6426520 B2 JP 6426520B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- user
- authentication
- information
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
に関する。
パスワード変更手段23は、ユーザ端末1からパスワードの変更要求があった場合に、ユーザID、新たなパスワードから算出したパスワードハッシュ、およびパスワードのリビジョンからなる新たなユーザ情報をユーザDB3に送信し、ユーザ情報を更新する。また、パスワード変更手段23は、ユーザID、現時点のパスワードのリビジョンと鍵ハッシュ、新たなパスワードに基づく鍵ハッシュをユーザDB3へ送信し、新たな鍵情報の登録を行う。
認証情報確認手段25は、鍵掃除手段26から受信したユーザIDとリビジョンの組合せ情報に対応する認証情報が認証サーバ2内に存在するか否かを確認し、組合せごとの確認結果を鍵掃除手段26へ送信する。
認証削除手段27は、認証サーバ2側で保持している認証情報の時刻と現在時刻を定期的に比較し、所定のタイムアウト時間が経過した認証情報を削除する。
認証情報参照手段42は、アプリケーションの実行に伴って認証情報が必要になった場合に、認証サーバ2に対して認証情報の参照を要求する。
認証維持依頼手段44は、アプリケーションサーバ4側で保持している認証情報の認証IDを認証サーバ2へ定期的に送信し、認証維持を要求する。認証削除手段45は、アプリケーションサーバ4側で保持している認証情報の時刻と現在時刻を定期的に比較し、所定のタイムアウト時間が経過した認証情報を削除する。
(1)ユーザ認証処理
図6は、ユーザ認証処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1の認証依頼手段11を用いて、ユーザID[U1]とパスワード[P1_1]を入力すると、ユーザ端末1は、認証サーバ2の認証手段21に対して、ユーザID[U1]、パスワード[P1_1]とともに認証を要求する。
図7は、保護データ登録処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のデータ登録依頼手段13を用いて、認証ID[A1]とともに、登録データキー[D1]、登録データ値[D1_1]、[D1_2]を入力すると、ユーザ端末1は、アプリケーションサーバ4のデータ登録手段41に対して、認証ID[A1]、登録データキー[D2]、登録データ値[D2_1]、[D2_2]とともにデータ登録を要求する。
図8は、保護データ取得処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のデータ参照依頼手段12を用いて、認証ID[A1]とともに、参照データキー[D1]を入力すると、ユーザ端末1は、アプリケーションサーバ4のデータ参照手段43に対し、認証ID[A1]、参照データキー[D1]とともにデータ参照を要求する。
図9は、同一ユーザの要求によるパスワード変更処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のパスワード変更依頼手段14を用いて、認証ID[A1]とともに、ログインユーザ自身のユーザID(以下、自ユーザIDという。)[U1]、新パスワード[P1_2]を入力すると、ユーザ端末1は、認証サーバ2のパスワード変更手段23に対し、認証ID[A1]、ユーザID[U1]、[P1_2]とともにパスワード変更を要求する。
図10は、他のユーザの要求によるパスワード変更処理の説明図である。同図に示されるように、ユーザが、ユーザ端末1のパスワード変更依頼手段14を用いて、認証ID[A1]とともに、ログインユーザ以外のユーザID(以下、他ユーザIDという。)[U2]、新パスワード[P2_6]を入力すると、ユーザ端末1は、認証サーバ2のパスワード変更手段23に、認証ID[A1]、他ユーザID[U2]、新パスワード[P2_6]とともにパスワード変更を要求する。
図11は、認証維持処理の説明図である。同図に示されるように、アプリケーションサーバ4の認証維持依頼手段44は、定期的に、自機が保持する認証情報の中から、現在使用されているものを抽出し、対応する時刻を現在時刻で上書更新する。また、認証維持依頼手段44は、定期的に、認証サーバ2の認証維持手段24に、自機が保持する認証情報に含まれる認証ID([A1]、[A2])とともに認証維持を要求する。
図12は、鍵情報掃除処理の説明図である。同図に示されるように、認証サーバ2の鍵掃除手段26は、定期的に、ユーザDB3が保持する鍵情報の中から、古いリビジョンをユーザIDに紐付けて取得する。
図13は、認証情報削除処理の説明図である。同図に示されるように、認証サーバ2(又はアプリケーションサーバ4)の認証削除手段27(又は認証削除手段45)は、定期的に、自機が保持する認証情報の中から、時刻が現在時刻から一定時間以上古い、すなわち、最後の認証から一定時間以上経過した情報を削除する。
次に、認証サーバ2は、パスワード_1に基づいて鍵ハッシュを作成し(S102)、保持している認証情報において同ユーザIDに関連付けられた最新リビジョン_1の鍵ハッシュ_1と比較する(S103)。比較結果が一致すると、認証サーバ2は、認証ID{認証ID_1}をユーザ端末1へ返信する(S104)。
次に、アプリケーションサーバ4が、認証ID{認証ID_1}に基づいて認証サーバ2に認証情報の参照を要求すると(S106)、認証サーバ2は認証ID{認証ID_1}、リビジョン{リビジョン_1}、鍵ハッシュ{鍵ハッシュ_1}を含む認証情報を返信する(S107)。そして、アプリケーションサーバ4は、ユーザ端末1に接続完了を通知する(S108)。
そして、アプリケーションサーバ4は、ユーザ端末1にデータ参照を開始させる(S124)。
(1)認証されたユーザがシステムを利用している際に、並行してパスワードの変更があった場合でも、再認証を実行することなく、パスワード変更前のパスワードのリビジョンとユーザIDの組合せに係る暗号化済鍵によって保護データを継続して復号可能となる。例えば、ユーザ端末1が複数のアプリケーションサーバ4に接続されているような場合でも、アプリケーションサーバ4ごとに再認証を行う必要が無くなる利点がある。
(2)同一認証IDの認証情報を利用中の他のユーザによってパスワードが変更された場合にも、認証済みのユーザは継続して保護データの登録・読取作業を行うことができる。
(3)古い鍵ハッシュに基づいて開始された処理に時間がかかる場合や、アプリケーションサーバの台数が多い場合であっても、パスワード変更による暗号関連情報の同期のために、再認証、ロック、処理完了待ち等が発生せず、操作性が向上する。
2…認証サーバ、
3…ユーザDB、
4…アプリケーションサーバ、
5…データサーバ、
11…認証依頼手段、
12…データ参照依頼手段、
13…データ登録依頼手段、
14…パスワード変更依頼手段、
21…認証手段、
22…認証情報提供手段、
23…パスワード変更手段、
24…認証維持手段、
25…認証情報確認手段、
26…鍵掃除手段、
27…認証削除手段、
31…ユーザ情報記憶手段、
32…鍵情報記憶手段、
33…鍵再暗号化手段、
41…データ登録手段、
42…認証情報参照手段、
43…データ参照手段、
44…認証維持依頼手段、
45…認証削除手段、
51…保護データ記憶手段、
52…データ書込手段、
53…データ読取手段。
Claims (5)
- マスター鍵により保護データを暗号化および復号化するサーバと、
ユーザIDおよびパスワードを含む入力情報に基づいて前記サーバにユーザ認証を要求するとともに、前記保護データの暗号化および復号化を要求するユーザ端末と、を備え、
前記サーバが、
前記ユーザID、前記パスワードから算出されたパスワードハッシュ、および前記パスワードハッシュのリビジョンを関連付けたユーザ情報を記憶するユーザ情報記憶手段と、
前記ユーザID、前記パスワードから算出された鍵ハッシュにより前記マスター鍵を暗号化した暗号化済鍵、および前記リビジョンを関連付けた鍵情報を記憶する鍵情報記憶手段と、
前記入力情報と前記ユーザ情報とを照合して前記ユーザ認証が完了した場合に、認証IDを発行するとともに、この認証IDに対して、前記ユーザID、前記リビジョン、前記鍵ハッシュ、および認証時刻を関連付けた認証情報を生成し、保持する認証手段と、
前記パスワードを新たなパスワードへ変更する場合に、前記認証情報に含まれる前記ユーザIDと前記リビジョンの組合せを検索キーとして前記鍵情報から取得した前記暗号化済鍵を、前記鍵ハッシュで復号して前記マスター鍵を取得するとともに、前記新たなパスワードと前記マスター鍵に基づいて新たな暗号化済鍵を作成し、前記ユーザID、前記新たなパスワードに係る新たなリビジョン、および前記新たな暗号化済鍵を関連付けた新たな鍵情報を同一の前記ユーザIDに係る他の鍵情報と併存した状態で前記鍵情報記憶手段へ保存する鍵再暗号化手段と、
を有することを特徴とする暗号鍵管理システム。 - 前記鍵再暗号化手段は、前記ユーザ端末側から共通の前記認証IDに対して認証時と異なる他のユーザIDおよび他のパスワードを関連付けるパスワード変更要求があった場合に、前記他のパスワードから他の鍵ハッシュを生成するとともに、前記認証情報から共通の前記認証IDに関連付けられている前記ユーザID、前記鍵ハッシュを取得して前記マスター鍵を復号し、このマスター鍵により前記他の鍵ハッシュを暗号化した他の暗号化済鍵、前記他のユーザID、および前記他のパスワードのリビジョンを組み合わせた他の鍵情報を前記鍵情報記憶手段に保存することを特徴とする請求項1記載の暗号鍵管理システム。
- 前記鍵情報記憶手段内に記憶されている鍵情報に含まれる前記ユーザIDおよび前記リビジョンの組合せが前記認証手段内に保持されている前記認証情報の中に存在しない場合に、前記存在しない組合せに対応する前記鍵情報を前記鍵情報記憶手段から削除する鍵掃除手段を更に備えることを特徴とする請求項1または請求項2記載の暗号鍵管理システム。
- 前記サーバは、前記認証手段、前記鍵再暗号化手段、前記ユーザ情報記憶手段および前記鍵情報記憶手段を2以上のコンピュータに分散配置し、ネットワークを介して互いに接続することで構成されている請求項1乃至請求項3のいずれか一項記載の暗号鍵管理システム。
- マスター鍵により保護データを暗号化および復号化するサーバと、ユーザIDおよびパスワードを含む入力情報に基づいて前記サーバにユーザ認証を要求するとともに、前記保護データの暗号化および復号化を要求するユーザ端末と、からなるコンピュータシステムにおける暗号鍵管理方法であって、
前記サーバが、前記ユーザID、前記パスワードから算出されたパスワードハッシュ、および前記パスワードハッシュのリビジョンを関連付けたユーザ情報を記憶領域へ記憶するユーザ情報記憶ステップと、
前記ユーザID、前記パスワードから算出された鍵ハッシュにより前記マスター鍵を暗号化した暗号化済鍵、および前記リビジョンを関連付けた鍵情報を前記記憶領域へ記憶する鍵情報記憶ステップと、
前記入力情報と前記ユーザ情報とを照合して前記ユーザ認証が完了した場合に、認証IDを発行するとともに、この認証IDに対して、前記ユーザID、前記リビジョン、前記鍵ハッシュ、および認証時刻を関連付けた認証情報を生成し、保持する認証ステップと、
前記ユーザ認証で入力された前記パスワードを新たなパスワードへ変更する場合に、前記認証情報に含まれる前記ユーザIDと前記リビジョンの組合せを検索キーとして前記鍵情報から取得した前記暗号化済鍵を、前記認証情報に含まれる前記鍵ハッシュで復号して前記マスター鍵を取得するとともに、前記新たなパスワードと前記マスター鍵に基づいて新たな暗号化済鍵を作成し、前記ユーザID、前記新たなパスワードに係る新たなリビジョン、および前記新たな暗号化済鍵を関連付けた新たな鍵情報を同一の前記ユーザIDに係る他の鍵情報と併存した状態で前記記憶領域へ保存する鍵再暗号化ステップと、
を有することを特徴とする暗号鍵管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015072484A JP6426520B2 (ja) | 2015-03-31 | 2015-03-31 | 暗号鍵管理システムおよび暗号鍵管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015072484A JP6426520B2 (ja) | 2015-03-31 | 2015-03-31 | 暗号鍵管理システムおよび暗号鍵管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016192715A JP2016192715A (ja) | 2016-11-10 |
JP6426520B2 true JP6426520B2 (ja) | 2018-11-21 |
Family
ID=57245729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015072484A Expired - Fee Related JP6426520B2 (ja) | 2015-03-31 | 2015-03-31 | 暗号鍵管理システムおよび暗号鍵管理方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6426520B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11956223B2 (en) * | 2018-12-04 | 2024-04-09 | Journey.ai | Securing attestation using a zero-knowledge data management network |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10305690B1 (en) * | 2017-11-29 | 2019-05-28 | Fingerprint Cards Ab | Two-step central matching |
SG10201902395SA (en) * | 2019-03-18 | 2019-11-28 | Qrypted Tech Pte Ltd | Method and system for a secure transaction |
CN113079001B (zh) * | 2021-03-08 | 2023-03-10 | 北京忆芯科技有限公司 | 密钥更新方法、信息处理设备及密钥更新装置 |
CN115037450B (zh) * | 2021-11-19 | 2023-04-14 | 荣耀终端有限公司 | 数据保护方法及电子设备 |
CN116527236B (zh) * | 2023-06-29 | 2023-09-19 | 深圳市亲邻科技有限公司 | 一种加密卡的信息变更验证方法及*** |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0530103A (ja) * | 1991-07-23 | 1993-02-05 | Fujitsu Ltd | リモートによるパスワード設定方式 |
US6249866B1 (en) * | 1997-09-16 | 2001-06-19 | Microsoft Corporation | Encrypting file system and method |
JP4078792B2 (ja) * | 2000-06-21 | 2008-04-23 | ソニー株式会社 | 情報記録装置、情報再生装置、暗号処理キー更新方法、並びにプログラム提供媒体 |
US7302570B2 (en) * | 2003-08-19 | 2007-11-27 | International Business Machines Corporation | Apparatus, system, and method for authorized remote access to a target system |
JP2006268719A (ja) * | 2005-03-25 | 2006-10-05 | Nec Corp | パスワード認証システム及びパスワード認証方法 |
US20080184035A1 (en) * | 2007-01-30 | 2008-07-31 | Technology Properties Limited | System and Method of Storage Device Data Encryption and Data Access |
JP5333785B2 (ja) * | 2010-06-07 | 2013-11-06 | トヨタ自動車株式会社 | 鍵装置、錠制御装置、制御用プログラムおよび制御方法 |
-
2015
- 2015-03-31 JP JP2015072484A patent/JP6426520B2/ja not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11956223B2 (en) * | 2018-12-04 | 2024-04-09 | Journey.ai | Securing attestation using a zero-knowledge data management network |
Also Published As
Publication number | Publication date |
---|---|
JP2016192715A (ja) | 2016-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6426520B2 (ja) | 暗号鍵管理システムおよび暗号鍵管理方法 | |
CN106462718B (zh) | 存储设备的快速数据保护 | |
US8856530B2 (en) | Data storage incorporating cryptographically enhanced data protection | |
US8111828B2 (en) | Management of cryptographic keys for securing stored data | |
JP4902207B2 (ja) | ファイルの暗号化と復号化のための複数のキーを管理するシステムと方法 | |
US7925023B2 (en) | Method and apparatus for managing cryptographic keys | |
US9088557B2 (en) | Encryption key management program, data management system | |
JP2019522412A (ja) | 登録・認可方法、装置及びシステム | |
JP4597784B2 (ja) | データ処理装置 | |
KR20170083039A (ko) | 디바이스를 통한 콘텐츠 와이핑 동작 로밍 기법 | |
CN105103488A (zh) | 借助相关联的数据的策略施行 | |
WO2008121157A2 (en) | Cryptographic key management system facilitating secure access of data portions to corresponding groups of users | |
US20100098246A1 (en) | Smart card based encryption key and password generation and management | |
EP3395004B1 (en) | A method for encrypting data and a method for decrypting data | |
JP6049914B2 (ja) | 暗号システム、鍵生成装置及び再暗号化装置 | |
WO2020253105A1 (zh) | 授权管理方法、***、设备及计算机可读存储介质 | |
US20150143107A1 (en) | Data security tools for shared data | |
US20220200791A1 (en) | Method for encrypting and storing computer files and associated encryption and storage device | |
CN115412236A (zh) | 一种密钥管理和密码计算的方法、加密方法及装置 | |
TWI430643B (zh) | Secure key recovery system and method | |
JPH11331145A (ja) | 情報共有システム、情報保管装置およびそれらの情報処理方法、並びに記録媒体 | |
CN108345801B (zh) | 一种面向密文数据库的中间件动态用户认证方法及*** | |
JP6293617B2 (ja) | 認証制御システム、制御サーバ、認証制御方法、プログラム | |
JP6092159B2 (ja) | 暗号鍵管理装置および暗号鍵管理方法 | |
JP6806433B2 (ja) | 鍵管理システム、鍵管理装置、鍵管理方法、およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180118 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180911 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180925 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181025 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6426520 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |