WO2016175334A1

WO2016175334A1 - 端末装置およびコンピュータプログラム

Info

Publication number: WO2016175334A1
Application number: PCT/JP2016/063614
Authority: WO
Inventors: 真旭徳山
Original assignee: 真旭徳山
Priority date: 2015-04-30
Filing date: 2016-05-02
Publication date: 2016-11-03
Also published as: CN107710671B; CN111597535A; JP6049958B1; JP2017046358A; CN107710671A; JP6809878B2; US11704420B2; CN111597535B; US10929550B2; US20180121666A1; JPWO2016175334A1; US20210157943A1

Abstract

制御部（１１０）は、保存対象のファイルが指定されると、ファイル管理プログラムを実行することにより、保存対象のファイルを分割し、分割ファイルの論理アドレスに対応する暗号キーで暗号化し、論理アドレスに対応する記憶先に保存し、論理アドレスと暗号キーと保存先物理アドレスとを対応付けるテーブルを生成する。制御部（１１０）は、読み出し対象ファイルが指定されると、論理アドレスから対応する分割ファイルを特定し、テーブルを参照して分割ファイルの保存先の物理アドレスと暗号キーとを特定し、特定した物理アドレスから分割ファイルを読み出し、特定した暗号キーにより復号化する。

Description

端末装置およびコンピュータプログラム

　本発明は、データの暗号化機能を有する端末装置およびコンピュータプログラムに関する。

　データのセキュリティの要請が高まっている。セキュリティを維持するため様々な提案が成されている（例えば、特許文献１参照）。特許文献１は、保存しているデータを二重に暗号化して保護することを開示する。

特開２０１５－１８００号公報

　特許文献１に記載の技術は、暗号キーが漏れてしまうと、全ての情報が再生可能となってしまう。

　本発明は、より安全にデータを保護することができる端末装置を提供することを目的とする。

　上記課題を解決するため、この発明に係る端末装置は、
　保存対象のファイルを分割して分割ファイルを生成する分割手段と、
　複数の暗号化手法と複数の記憶先のうちのそれぞれ１つを選択する選択手段と、
　前記選択手段で選択された暗号化手法で、前記分割手段により生成された分割ファイルを暗号化し、前記暗号化した分割ファイルを前記選択手段により選択された物理的な記憶先に保存する保存手段と、
　前記分割ファイルを特定する情報と、前記暗号化手法と、保存先の物理アドレスとを対応付けて記憶するテーブルと、
　を備える。

　前記保存手段は、さらに、前記暗号化手法を特定する情報を前記物理的な記憶先に保存し、
　前記分割手段が生成した分割ファイルと、その分割ファイルを暗号化した暗号化手法を特定する情報と、を異なる記憶先に保存する、
ように構成してもよい。

　また、例えば、ユーザの生体情報を取得する取得手段と、
　前記取得手段が取得した生体情報を前記分割ファイルのサイズに変換する変換情報から、該分割ファイルのサイズを得る分割サイズ設定手段と、をさらに備え、
　前記分割手段は、前記分割サイズ設定手段が得たサイズの分割ファイルを生成する、
　ように構成してもよい。

　前記生体情報には、複数の種類の生体情報が含まれ、
　前記分割サイズ設定手段は、前記複数の種類の生体情報毎に、前記変換情報から前記分割ファイルのサイズを得、
　前記分割手段は、前記保存対象のファイルを分割して、前記分割サイズ設定手段が得たサイズのうち、１又は複数の分割ファイルを生成する、
　ように構成してもよい。

　前記分割サイズ設定手段は、ユーザの生体情報に基づく条件と、分割ファイルのサイズとを対応付けて記憶する分割サイズテーブルであり、
　前記選択手段は、前記取得手段が取得した生体情報に基づいて、前記分割サイズテーブルから、前記分割ファイルのサイズをさらに選択し、
　前記分割手段は、前記選択手段が選択したサイズの分割ファイルを生成する、
　ように構成してもよい。

　ユーザの生体情報を取得する取得手段と、
　前記取得手段が取得した生体情報から暗号キーを作成する作成手段と、をさらに備え、
　前記保存手段は、前記作成手段が作成した暗号キーで、前記分割ファイルを暗号化する、
　ように構成してもよい。

　前記生体情報には、複数の種類の生体情報が含まれ、
　前記作成手段は、前記複数の種類の生体情報から、それぞれ前記暗号キーを作成し、
　前記保存手段は、前記作成手段がそれぞれ作成した暗号キーのうち、１又は複数の暗号キーを用いて、前記分割ファイルを暗号化する、
　ように構成してもよい。

　また、例えば、読み出し対象ファイルに対応する前記分割ファイルを特定する分割ファイル特定手段と、
　前記テーブルを参照して前記分割ファイルの保存先の物理アドレスと前記暗号化手法とを特定する特定手段と、
　前記特定手段により特定された物理アドレスから前記分割ファイルを読み出し、特定された前記暗号化手法に基づいて復号化する再生手段と、
　をさらに備えても良い。

　前記分割ファイルは、例えば、１クラスタ分のデータから構成される。

　前記複数の記憶先の少なくとも１つは、着脱可能に取り付けられていることが望ましい。

　または、前記複数の記憶先の少なくとも１つは、クラウド上に配置されていることが望ましい。

　コンピュータを、上述の端末装置として機能させるためのコンピュータプログラムも発明に含まれる。

　本発明によれば、分割データ毎に暗号化手法と保存先を変更するので、復号化がより困難となる。これにより、より安全にデータを保護することができる。一方、処理負担は小さい。

本発明の実施の形態１にかかる端末装置のブロック図である。図１の端末装置が実行するファイルの分割を説明する図である。実施の形態１にかかるクラスタの構成を説明する図である。図１の端末装置が実行する暗号化処理を説明するための図である。ファイル管理テーブルの構成例を示す図である。図１の端末装置が実行するファイル格納処理のフローチャートである。図１の端末装置が実行するファイル再生処理のフローチャートである。電話帳ファイルの構成例を示す図である。スケジュールファイルの構成例を示す図である。実施の形態１にかかる端末装置等の変形例のブロック図である。本発明の実施の形態２にかかる端末装置等のブロック図である。実施の形態２にかかるファイル管理テーブルの例を示す図である。実施の形態２にかかる分割サイズテーブルの例を示す図である。図８に示す端末装置が実行するファイル格納処理のフローチャートである。図１１に示すファイル分割処理と暗号化処理の詳細例を示すフローチャートである。図１１に示す分散格納処理の詳細例を示すフローチャートである。図１１に示すファイル格納処理の実例を示す図である。１セクタの構成を例示する図である。生体情報に応じて、暗号キーを変更するための暗号キーテーブルの例を示す図である。生体情報に応じて格納先を変更するための格納先テーブルの例を示す図である。生体情報に応じて格納先を変更するための格納先テーブルの他の例を示す図である。生体情報に応じて暗号化に使用する生体情報を変更するための生体情報選択テーブルの例を示す図である。生体情報に応じて暗号化に使用する生体情報を変更するための生体情報選択テーブルの他の例を示す図である。生体情報に応じてパッドデータの位置を変更するためのパッドデータ位置選択テーブルの例を示す図である。図１９のパッドデータ位置選択テーブルによって実現する１セクタの構成を例示する図である。図１９のパッドデータ位置選択テーブルによって実現する１セクタの構成を例示する他の図である。

（実施の形態１）
　以下に、本発明の実施の形態１に係る端末装置を図面を参照して説明する。
　本実施形態の端末装置１０は、いわゆるスマートフォンであり、データを暗号化し且つ分散して保存する機能を備える。

　図１に示すように、端末装置１０は、制御部１１０と、制御部１１０に接続された、マイク１１と、スピーカ１２と、タッチパネル１３と、カメラ１４と、記憶部１１１、１１２と、通信部１１３とを備えている。

　マイク１１は、音声通話で、ユーザの音声をピックアップする装置である。スピーカ１２は、音声通話で、受信した音声を出力する。タッチパネル１３は、タッチセンサと表示装置とが積層されて構成される。タッチセンサは、ユーザの操作位置を判別する。表示装置は、制御部１１０の制御に沿って様々な情報を表示する。

　カメラ１４は、端末装置１０の正面に配置されており、被写体を撮像する。

　制御部１１０は、プロセッサ、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等から構成され、記憶部１１１、１１２に記憶されているアプリケーションプログラムを実行する。アプリケーションプログラムは、ファイル管理プログラム、メールプログラム、スケジュール管理プログラム等を含む。制御部１１０は、ファイル管理プログラムを実行することにより、様々なファイル（データ）を分散して、且つ、暗号化して保存し、複数箇所からデータを読み出して元データを復号する。

　記憶部１１１と１１２は、補助記憶装置として利用される不揮発性メモリであり、フラッシュメモリ等から構成されている。記憶部１１１にはファイル管理プログラムＦＭＰが格納され、記憶部１１２には、ファイルアロケーションテーブル（ファイル管理テーブル）ＦＭＴが記憶されている。また、記憶部１１１、１１２は、いわゆる電話帳データ、スケジュールデータ等の機密性の高い情報を分散して格納する。また、記憶部１１１、１１２は、それぞれ、端末装置１０に着脱可能に接続されている。具体的には、記憶部１１１，１１２は、端末装置１０の筐体に形成されたスロット等に装着され、コネクタＣＮを介して制御部１１０に接続されている。

　通信部１１３は、制御部１１０の制御に従って、基地局や近傍のアクセスポイントとの間で無線通信を行い、音声通話、メール通信、データ通信などを行う。

　次に、制御部１１０が、ファイル管理プログラムＦＭＰを実行することにより実行するファイル格納処理について、図２を参照して説明する。

　図２Ａに示すように、１つのファイルは、コンピュータのデスクアクセスの最小単位であるクラスタに分割される。１クラスタに含まれるセクタの数は任意であるが、以下の説明では、図２Ｂに示すように８個とする。本実施形態では、１セクタを512バイトとする。従って、１クラスタは、4,096バイト（約4Kバイト）のサイズを有する。
　アプリケーションプログラムは、セクタ及びクラスタを論理アドレスで管理する。
　クラスタはｎビットの論理アドレスの上位ｎ－３ビットで指定される。クラスタ内の各セクタは、論理アドレスの下位３ビットにより指定される。

　以下の説明において、クラスタについての論理アドレスは、ｎビットの論理アドレス全体の上位（ｎ－３）ビットを意味するものとする。

　記憶部１１１に記憶されているファイル管理プログラムＦＭＰは、ファイルを記憶部に格納する際、図２Ｃに示すように、奇数の論理アドレス（（ｎ－３）ビット）が割り当てられているクラスタ（以下、奇数論理アドレスクラスタ）と、偶数の論理アドレスが割り当てられているクラスタ（以下、偶数論理アドレスクラスタ）とに異なった処理を行う。

　まず、ファイル管理プログラムＦＭＰは、奇数論理アドレスが割り当てられているクラスタには、暗号キーＫＡによる暗号化処理を行い、記憶部１１１上の任意の物理アドレスＰＡに格納する。暗号キーＫＡは、記憶部１１２上に格納されている。一方、ファイル管理プログラムＦＭＰは、偶数論理アドレスが割り当てられているクラスタには、暗号キーＫＢによる暗号化処理を行い、記憶部１１２上の任意の物理アドレスＰＢに格納する。暗号キーＰＢは、記憶部１１１上に格納されている。

　ファイル管理プログラムＦＭＰは、上述の処理を行った後、図２Ｄに示すファイル管理テーブルＦＭＴを生成する。これは、論理アドレスＬｉで特定されるクラスタが、物理アドレスＰＡｉ（又はＰＢｉ）に格納され、キーＫＡ（又はＫＢ）で暗号化されていることを示す。ファイル管理テーブルは、制御部１１０内に格納されている。なお、論理アドレスＬｉからキーが特定されるので、キーＫＡ又はＫＢを記憶しなくてもよい。

　次に、上記のようにして、暗号化して分散して格納したファイルを再生する処理を説明する。

　ファイル管理プログラムＦＭＰは、アプリケーションプログラムからファイルへのアクセスの要求を受信すると、アクセス対象のファイルを構成するクラスタの論理アドレス（前述のように、ｎ－３ビット）を求める。

　ファイル管理プログラムＦＭＰは、アプリケーションプログラムからファイルへのアクセスの要求を受信すると、アクセス対象のファイルを構成する先頭クラスタの論理アドレスを求める。アクセスの要求は、例えば、先頭セクタの論理アドレスを含む。ファイル管理プログラムＦＭＰは、先頭セクタの論理アドレスから、先頭クラスタの論理アドレスを求める。ファイル管理プログラムＦＭＰは、先頭クラスタの論理アドレスを特定すると、ファイル管理テーブルＦＭＴを参照して、対応する物理アドレスを求め、さらに、暗号キーを特定する。次に、ファイル管理プログラムＦＭＰは、該当する物理アドレスからデータを読み出し、特定した暗号キーを使って符号化し、アプリケーションに渡す。

　ファイル管理プログラムＦＭＰは、同様の動作を後続するクラスタで実行し、全てのクラスタを復号し、アプリケーションプログラムに渡すと、処理を終了する。

　次に、制御部１１０によるファイル格納処理を図３に示すフローチャートを参照して説明する。まず、制御部１１０は、アプリケーションプログラムにより、ファイルの保存が要求されると、図３に示すファイル格納処理を開始する。

　まず、制御部１１０は、ファイル管理プログラムＦＭＰを実行し、保存対象のファイルを構成する先頭クラスタの論理アドレスＬｉを特定し、それが奇数であるか偶数であるかを判別する（ステップＳ１１）。論理アドレスＬｉが奇数であれば（ステップＳ１１：Ｙｅｓ）、図２Ｃに示すように、暗号キーＫＡで処理対象のクラスタを暗号化する（ステップＳ１２）。制御部１１０は、暗号化したクラスタを記憶部１１１上の空き領域に格納する（ステップＳ１３）。

　続いて、制御部１１０は、処理したクラスタの論理アドレスＬｉと格納した領域の物理アドレスＰＡｉと暗号キーＫＡを対応付けて、図２Ｄに示すように、ファイル管理テーブルＦＭＴに登録する（ステップＳ１４）。

　続いて、制御部１１０は、ファイルの保存が終了したか否かを判別し（ステップＳ１５）、終了していなければ（ステップＳ１５：Ｎｏ）、論理アドレスＬｉを＋１する（ステップＳ１８）。続いて、処理は、ステップＳ１１に戻り、次のクラスタを処理する。

　一方、ステップＳ１１で、処理対象のクラスタの論理アドレスが偶数であると判別されると（ステップＳ１１：Ｎｏ）、図２Ｃに示すように、暗号キーＫＢで処理対象のクラスタを暗号化する（ステップＳ１６）。制御部１１０は、暗号化したクラスタを記憶部１１２上の空き領域に格納する（ステップＳ１７）。

　続いて、制御部１１０は、処理したクラスタの論理アドレスＬｉと格納した領域の物理アドレスＰＢｉと暗号キーＫＢを対応付けて、図２Ｄに示すように、ファイル管理テーブルＦＭＴに登録する（ステップＳ１４）。

　ステップＳ１５で、ファイルの保存が終了したと判別されると（ステップＳ１５：Ｙｅｓ）、ファイル格納処理は終了する。

　次に、制御部１１０によるファイル再生処理を図４に示すフローチャートを参照して説明する。制御部１１０は、アプリケーションプログラムにより、ファイルの読み出しが要求されると、図４に示すファイル再生処理を開始する。

　なお、アプリケーションからは、例えば、ファイルを構成する先頭セクタの論理アドレスとデータ量の形式で、読み出し対象が特定される。

　まず、制御部１１０は、先頭クラスタの論理アドレスを求め、ファイル管理テーブルＦＭＴを参照し、処理対象のクラスタを暗号化した暗号キーと格納場所の物理アドレスを特定する（ステップＳ２１）。

　次に、制御部１１０は、ステップＳ２１で特定した物理アドレスよりクラスタを読み出す（ステップＳ２２）。次に、制御部１１０は、読み出したクラスタを、ステップＳ２１で特定した暗号キーで復号化し（ステップＳ２３）、アプリケーションプログラムに渡す。

　続いて、ファイルの読み出しが終了したか否かを判別し（ステップＳ２４）、終了していなければ（ステップＳ２４：Ｎｏ）、ステップＳ２１に戻り、次のクラスタに同様のファイル再生処理を続行する。

　ステップＳ２４で、ファイルの読み出しが終了したと判別されると（ステップＳ２４：Ｙｅｓ）、ファイル再生処理は終了する。

　このような構成によれば、１つのファイルが記憶部１１１と１１２に分散して記憶されている。さらに、記憶部１１１に格納されているクラスタは暗号キーＫＡで暗号化され、暗号キーＫＡは記憶部１１２に格納されている。また、記憶部１１２に格納されているクラスタは暗号キーＫＢで暗号化され、その暗号キーＫＢは記憶部１１１に格納されている。このため、仮に一方の記憶部１１１又は１１２のデータが外部に漏れたとしても、データの復元は困難である。

　また、ファイル管理プログラムＦＭＰが自動的に暗号化処理を行うため、制御負担が小さい。
　これにより、図５に示すようないわゆるアドレス帳、図６に例示するようなスケジュールデータ等を端末装置１０内に保存しても情報漏洩の危険が小さい。

　なお、この発明は上記実施の形態に限定されず種々の変形及び応用が可能である。例えば、上記実施の形態では、記憶部１１１と１１２とを着脱可能としたが、一方のみ着脱可能としても、両方固定としてもよい。

　また、２つの記憶部１１１、１１２にデータを分割して格納する例を示したが、記憶部の数は任意である。また、分割数も任意である。暗号化キーの数も任意である。

　クラスタ単位で、記憶先と暗号キーを特定したが、どのようなサイズを単位とするかは任意であり、処理負担とセキュリティを考慮して設定される。

　さらに、データ（分割ファイル）の格納先を、ネットワークを介して接続された外部のサーバ、データベース等としてもよい。

　暗号キーを異ならせることにより暗号手法を変更する例を示したが、暗号アルゴリズム自体を異ならせるようにしてもよい。

　なお、図７に示すように、ファイル管理テーブルＦＭＴを、制御部１１０内のフラッシュメモリ等の不揮発性メモリに記憶してもよい。
　また、図７に示すように、記憶部１１１と１１２を、ネットワークＮＷを介して、外部装置に配置してもよい。

　上記実施の形態では、暗号化に使用する暗号鍵を２つとしたが、３つ以上としてもよい。また、ファイルの記憶場所を２つとしたが、３つ以上でもよい。例えば、暗号キーの数をＭ（３以上の整数）個、格納場所をＮ（３以上の整数）個とする場合、制御部１１０は、クラスタの論理アドレスをＭ（３以上の整数）で割り、その余りｍｏｄ（Ｍ）で特定される暗号キーでクラスタを暗号化し、クラスタの論理アドレスをＮ（３以上の整数）で割り、その余りｍｏｄ（Ｎ）で特定される記憶場所に暗号化したクラスタを格納する。制御部１１０は、クラスタの論理アドレスと暗号鍵と記憶場所の物理アドレスと対応付けてファイル管理テーブルＦＭＴに格納する。なお、論理アドレスから暗号鍵を特定できるので、暗号鍵は省略してもよい。

（実施の形態２）
　次に、本発明の実施の形態２に係る端末装置を図面を参照して説明する。
　実施の形態２では、ユーザによって異なる方式でファイルを分散して保存することにより、ユーザに負担をかけずに、安全にデータを保存する端末装置を提供する。なお、実施の形態１に係る端末装置が備える構成と同等の構成については、同一の符号を付す。

　本実施の形態の端末装置１０Ａは、図８に示すように、クラウドＣＬ上の記憶装置２１０、２２０にネットワークを介して接続されている。端末装置１０Ａは、ユーザの生体情報を取得し、その生体情報に基づいてファイルＦＩを分割し、暗号化して記憶装置２１０、２２０に送信する機能を備える。なお、本実施の形態においては、生体情報として、指紋、声紋、虹彩を例に説明する。

　端末装置１０Ａは、制御部１１０と、制御部１１０に接続された、マイク１１と、スピーカ１２と、タッチパネル１３と、カメラ１４と、記憶部１１１と、通信部１１３とを備えている。

　マイク１１は、ユーザの音声をピックアップして、制御部１１０に渡す。スピーカ１２は、制御部１１０の指示により、ユーザに音声による情報を提供する。タッチパネル１３は、タッチセンサによってユーザの指紋を取得し、制御部１１０に渡す。カメラ１４は、制御部１１０の指示により、ユーザの虹彩画像を取得し、制御部１１０に渡す。

　制御部１１０は、プロセッサ、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等から構成され、記憶部１１１に記憶されているアプリケーションプログラムとファイル管理プログラムＦＭＰを実行する。
　制御部１１０は、ファイル管理プログラムＦＭＰを実行することにより、ユーザの生体情報を取得して、その生体情報に基づいて様々なファイルＦＩを分割し、且つ、暗号化して記憶装置２１０、２２０に送信し、保存する。また、制御部１１０は、ファイル管理プログラムＦＭＰを実行することにより、ユーザの生体情報を取得して、その生体情報に基づいて記憶装置２１０、２２０からデータを読み出して元データを復号する。

　記憶部１１１には、ファイル管理プログラムＦＭＰ、ファイル管理テーブルＦＭＴの他に、分割サイズテーブルＤＳＴと、暗号キーＫＦ、ＫＶ、ＫＩが格納される。

　本実施形態でのファイル管理テーブルＦＭＴは、図９に示すように、データ管理テーブルＤＭＴとクラスタ管理テーブルＣＭＴとを含む。

　データ管理テーブルＤＭＴは、保存対象のファイルＦＩを分割して得られたデータのデータ番号ｉと、暗号化後サイズと、暗号化に使用した暗号キーとを対応付けて記憶する。
　一方、クラスタ管理テーブルＣＭＴは、クラスタ番号ｊと格納先の物理アドレスと、そのクラスタに含まれているデータのデータ番号ｉとを対応付けて記憶する。

　記憶部１１１に格納される分割サイズテーブルＤＳＴは、格納対象のファイルＦＩを分割するサイズを規定する情報を格納するテーブルである。本実施の形態においては、分割サイズが、ユーザの生体情報に応じて変化する。このため、分割サイズテーブルＤＳＴは、図１０に示すように、生体情報と、その生体情報が満たすべき条件と、その条件が満たされたときに選択される分割サイズとが対応付けられている。

　図１０に示す分割サイズテーブルＤＳＴでは、指紋情報については、条件として、指紋の端点の数と分岐点の数との大小関係が設定されており、声紋情報については、条件として、音量が一番大きい周波数ｆ_ｔｏｐと二番目に大きい周波数ｆ_{ｓｅｃｏｎｄ}との大小関係が設定されており、虹彩情報については、条件として、アイリスコード中の１の数Ｎ_１と０の数Ｎ_０との大小関係が設定されている。

　図８に示す通信部１１３は、クラウドＣＬ上の記憶装置２１０、２２０と通信する。

　次に、制御部１１０が、ファイル管理プログラムＦＭＰを実行することにより実行するファイル格納処理について、図１１～１４を参照して説明する。

　本実施の形態におけるファイル格納処理は、ファイルＦＩを、ユーザの生体情報に基づいたサイズのデータに分割し、分割したファイルＦＩをその生体情報に基づいて暗号化し、分散して保存する処理である。
　制御部１１０は、ユーザ又はアプリケーションソフトウエアがファイルＦＩの保存を要求すると、図１１に示すファイルＦＩ格納処理を開始する。

　まず、制御部１１０は、ユーザに、生体情報（指紋情報、声紋情報、虹彩情報）の入力を要求する（ステップＳ１０）。具体的には、制御部１１０は、タッチパネル１３の表示装置に、タッチセンサに指の腹を乗せ、マイク１１に向かって所定の言葉を発し、カメラ１４を見つめることを指示する内容を表示等する。

　続いて、制御部１１０は、タッチパネル１３、マイク１１、カメラ１４のそれぞれに、生体情報を取得することを指示し、それらの生体情報を取得したかどうかを判断する（ステップＳ２０）。制御部１１０は、要求したすべての生体情報を取得するまで待機状態となる（ステップＳ２０；Ｎｏ）。一方、制御部１１０は、要求した生体情報をすべて取得したと判断すると（ステップＳ２０；Ｙｅｓ）、取得した生体情報から、それらの特徴情報を抽出する（ステップＳ３０）。

　制御部１１０は、例えば、指紋情報の特徴情報として、指紋に含まれる端点と分岐点のそれぞれの位置を抽出する。また、制御部１１０は、声紋情報の特徴情報として、サウンドスペクトル上で音量が山となる周波数と、その音量による順位とを抽出する。また、制御部１１０は、虹彩情報の特徴情報として、アイリスコードを抽出する。

　制御部１１０は、生体情報から特徴情報を抽出すると、保存対象ファイルＦＩを分割するファイル分割処理を実行し（ステップＳ４０）、分割したファイルＦＩ（データ）それぞれを暗号化する暗号化処理を実行し（ステップＳ５０）、さらに、暗号化した分割ファイルＦＩを記憶部２１０，２２０に分散して格納する分割格納処理を終了する（ステップＳ６０）。

　次に、ファイル格納処理の中で実行されるファイル分割処理（ステップＳ４０）～分散格納処理（ステップＳ６０）について、図１２－１４を参照して説明する。

　まず、図１４に示す「ＡＢＣＤＥＦＧＨＩＪＫＬ」というテキスト情報で構成されるファイルＦＩを分割する例を用いて、ファイル分割処理の概要を説明する。

　制御部１１０は、ファイル分割処理において、ファイルＦＩを構成するデータを、生体情報により特定されるサイズのデータに分割する。例えば、日本語のひらがなと漢字は、ＵＴＦ－８（Ｕｎｉｃｏｄｅ　Ｔｒａｎｓｆｏｒｍａｔｉｏｎ　Ｆｏｒｍａｔ－８）において、１文字が３バイトで表現される。図１４に示す例においては、「ＡＢＣＤＥＦＧＨＴＩＪＫＬ」の各文字が３バイトで表現されていると仮定する。ここで、制御部１１０が、ファイルＦＩを、先頭から、生体情報に従って、７バイト、９バイト、４バイト、・・・というように、３で割り切れないサイズ（バイト数）のデータを含むように分割する。これにより、「Ｃ」、「Ｅ」、「Ｉ」、「Ｋ」のそれぞれの文字表すコードが、途中で分割される。これにより、データ１～６の一部が流出しても、ファイルＦＩを解読することが困難となる。本実施形態では、このようにしてファイルＦＩを分割する。

　次に、ファイル分割処理（ステップＳ４０）と暗号化処理（ステップＳ５０）の詳細手順を説明する。
　制御部１１０は、ファイル分割処理を開始すると、図１２に示すように、まず、ステップＳ３０で抽出した特徴情報に基づいて、記憶部１１１に格納されている分割サイズテーブルＤＳＴを参照して、指紋情報による分割サイズＳ_Ｆと、声紋情報による分割サイズＳ_Ｖと、虹彩情報による分割サイズＳ_Ｉの３種類の分割サイズＳを求める（ステップＳ４１）。

　図１０に示す分割サイズテーブルＤＳＴによれば、例えば、指紋の端点が４で分岐点が５、声紋の音量が一番大きい周波数ｆ_ｔｏｐが３００Ｈｚ，二番目に大きい周波数ｆ_{ｓｅｃｏｎｄ}が４００Ｈｚ、アイリスコードの１の数Ｎ_１が１００５、０の数Ｎ_０が１０４３であるとすれば、指紋に関しては、端点＜分岐点となり、分割サイズＳ_Ｆとして５０３バイトが選択され、声紋に関しては、ｆ_ｔｏｐ＜ｆ_{ｓｅｃｏｎｄ}となって分割サイズＳ_Ｖとして４９１バイトが選択され、虹彩に関しては、Ｎ_１＜Ｎ_０となり、分割サイズＳ_Ｉとして、４７９バイトが選択される。

　分割サイズＳは、通常のデータ処理の単位である１セクタ（５１２バイト）未満のサイズに設定されている。さらに、素数バイトに設定されている。分割サイズＳは、１セクタよりも小さいサイズに設定されている。

　具体的には、続いて、制御部１１０は、データ番号を示すポインタｉに初期値「１」をセットする（ステップＳ４２）。

　次に、値ｉを３で割った時の余りＭｏｄ（ｉ，３）の値が１，２，０のいずれであるかを求める（ステップＳ４３，Ｓ４６）。

　Ｍｏｄ（ｉ，３）＝１の場合（ステップＳ４３；Ｙｅｓ）、制御部１１０は、ファイルＦＩの残存しているデータの先頭から分割サイズＳ_Ｆに相当する量のデータを切り出す（ステップＳ４４）。制御部１１０は、切り出したデータを暗号キーＫＦで暗号化する（ステップＳ４５）。

　Ｍｏｄ（ｉ，３）＝２の場合（ステップＳ４３；Ｎｏ、Ｓ４６；Ｙｅｓ）、制御部１１０は、ファイルＦＩの残存しているデータの先頭から分割サイズＳ_Ｖに相当する量のデータを切り出す（ステップＳ４７）。制御部１１０は、切り出したデータを暗号キーＫＶで暗号化する（ステップＳ４８）。

　Ｍｏｄ（ｉ，３）＝０の場合（ステップＳ４３；Ｎｏ、Ｓ４６；Ｎｏ）、制御部１１０は、ファイルＦＩの残存しているデータの先頭から分割サイズＳ_Ｉに相当する量のデータを切り出す（ステップＳ４９）。制御部１１０は、切り出したデータを暗号キーＫＩで暗号化する（ステップＳ５０）。

　暗号化されたデータのサイズはばらばらで、そのままでは、コンピュータでの処理が困難である。そこで、制御部１１０は、ステップＳ４５，Ｓ４８，Ｓ５０で暗号化したデータを、図１５に示すように、パッドデータと組み合わせて１セクタのデータを生成する（ステップＳ５１）。
　次に、図９に示すように、データ番号ｉとデータの暗号化後のサイズと暗号に使用した暗号キーとを、データ管理テーブルＤＭＴに登録する（ステップＳ５２）。

　続いて、未処理のデータが０バイトか否かを判別し、０バイトでなければ（ステップＳ５３；Ｎｏ）、データ番号ｉを＋１して（ステップＳ５４）、ステップＳ４３に戻り、保存対象ファイルＦＩからのデータの切り出しと暗号化を行う。
　ステップＳ５３で、未処理のデータが０バイトであると判別されると（ステップＳ５３；Ｙｅｓ）、処理はメインフローにリターンする。

　このようにして、ファイル分割・暗号化処理では、制御部１１０は、保存対象ファイルＦＩから、指紋により定まる分割サイズＳ_Ｆ、声紋により定まる分割サイズＳ_Ｖ、虹彩により定まる分割サイズＳ_Ｉにより、順番に格納対象ファイルＦＩから、順番に、データを切り出す。制御部１１０は、切り出したデータを暗号キーＫＦ，ＫＶ、ＫＩで順次暗号化し、１セクタ分のデータを順次生成する。

　次に、図１１に示す分散格納処理（ステップＳ６０）の詳細を図１３を参照して説明する。
　分割・暗号化処理により暗号化されたデータを含むセクタデータが順次生成される。生成されたセクタデータは、８個纏めてクラスタとして記憶装置２１０，２２０に格納される。
　このため、制御部１１０は、クラスタの順番を示すクラスタ番号ｊを１に初期化する（ステップＳ６１）。
　次に、分割・暗号化処理で生成されたセクタデータを、順番に８個ずつ組み合わせてクラスタを生成する（ステップＳ６２）。

　次に、制御部１１０は、保存対象のクラスタのクラスタ番号ｊが奇数であるか偶数であるかを判別する（ステップＳ６３）。クラスタ番号ｊが奇数であれば（ステップＳ６３：Ｙｅｓ）、そのクラスタを記憶装置２１０上の空き物理アドレスＰＡに格納する（ステップＳ６４）。

　続いて、制御部１１０は、処理したクラスタのクラスタ番号ｊと格納した領域の物理アドレスＰＡとそのクラスタに含まれているデータのデータ番号ｉとを対応付けて、図９に示すように、クラスタ管理テーブルＣＭＴに登録する（ステップＳ６６）。

　続いて、制御部１１０は、ファイルＦＩの保存が終了したか否かを判別し（ステップＳ６７）、終了していなければ（ステップＳ６７：Ｎｏ）、クラスタ番号ｊを＋１する（ステップＳ６８）。続いて、処理は、ステップＳ６２に戻り、次のクラスタを処理する。

　一方、ステップＳ６３で、処理対象のクラスタのクラスタ番号ｊが偶数であると判別されると（ステップＳ６３：Ｎｏ）、制御部１１０は、そのクラスタを記憶装置２２０上の空き物理アドレスＰＢに格納する（ステップＳ６５）。

　続いて、制御部１１０は、前述のステップＳ６６に進む。
　ステップＳ６７で、ファイルＦＩの保存が終了したと判別されると（ステップＳ６７：Ｙｅｓ）、ファイル格納処理は終了する。

　次に、制御部１１０によるファイル再生処理を説明する。
　制御部１１０は、復号対象のファイルＦＩが特定されると、そのファイルＦＩ用のクラスタ管理テーブルＣＭＴを読み出し、格納先の物理アドレスを特定し、クラスタを順次読み出す。
　次に、制御部１１０は、読み出したクラスタに含まれている各セクタから、クラスタ管理テーブルＣＭＴとデータ管理テーブルＤＭＴとの内容に従って、読み出した各クラスタに含まれているセクタから暗号化されたデータを抽出する。
　制御部１１０は、データ管理テーブルＤＭＴの内容に基づいて、抽出したデータを適切な暗号キーを使用して復号する。
　次に、データ番号ｉ順に復号したデータを連結することにより、元のデータ（ファイルＦＩ）を再生する。

　また、ファイルＦＩが、ユーザにユニークで、且つ、コンピュータがそのままでは認識できないサイズのデータクラスタに分割されるので、万が一データの一部が流出しても、流出したクラスタを解読することが困難であり、情報漏洩の危険が小さい。

　なお、この発明は、上記実施の形態に限定されず種々の変形及応用が可能である。例えば、上記実施の形態では、記憶装置２１０と２２０とがクラウドＣＬ上の装置であると説明したが、端末装置１０にローカル接続する装置であってもよい。

　また、２つの記憶装置２１０と２２０にファイルＦＩを分割して格納する例を示したが、記憶装置の数は任意である。また、分割サイズＳも任意である。暗号化キーの数も任意である。

　上記実施の形態では、分割サイズテーブルを用いてファイルＦＩの分割サイズを求める（算出する）例を説明したが、分割サイズＳを算出する手法はこれに限られない。制御部１１０が取得した生体情報から抽出した特徴情報を任意の関数（変換情報）によって変換する等の手法で、端末装置１０が取得した生体情報から分割サイズＳを得られるようにすればよい。

　また、上記変換情報は、端末装置１０内の記憶部１１１に限らず、例えば、端末装置１０とネットワークを介して接続されているサーバ等に保存されていてもよい。端末装置１０は、分割サイズＳを算出する際に、サーバに保存されている変換情報を記憶部１１１に一時的に保存し、生体情報を分割サイズＳに変換してもよいし、サーバに分割サイズＳを計算させて、ダウンロードするようにしてもよい。

　また、端末装置１０が取得する生体情報として、指紋情報、声紋情報、虹彩情報の３種類を挙げたが、これ以外の生体情報を利用するように構成してもよい。例えば、端末装置１０がユーザのくせを学習し、カメラで撮影したくせ字、タッチパネル１３上に描かれたくせ字に基づいた分割サイズＳでファイルＦＩを分割してもよい。

　上記実施の形態においては、ユーザの生体情報から抽出された特徴情報により、分割サイズＳが定まったが、生体情報に基づいて、暗号化キーを含む暗号化の手法が定まるようにしてもよい。
　例えば図１６に示すように、生体情報が満たすべき条件に応じて暗号キーを設定しておき、生体情報に応じて暗号キーを選択するようにしてもよい。図１６の暗号キーテーブルＥＫＴの例では、ステップＳ４５で暗号キーＫＦ１とＫＦ２の一方が選択されて使用され、ステップＳ４８で暗号キーＫＶ１とＫＶ２の一方が選択されて使用され、ステップＳ５０で暗号キーＫＩ１とＫＩ２の一方が選択されて使用される。なお、使用する暗号キーの数をより多くしてもよい。
　また、生体情報又は特徴量を関数などで、暗号キーに変換してもよい。

　また、ファイルＦＩの格納先も生体情報に基づいて定まるようにしてもよい。例えば図１７Ａ、１７Ｂに示すように、生体情報が満たす条件に応じてクラスタの格納先を設定しておき、生体情報に応じて格納先を選択するようにしてもよい。

　実施の形態２では、データ番号ｉが定まると、暗号化のために参照する生体情報が定まったが、生体情報に基づいて、暗号化のために参照する生体情報を変化させるようにしてもよい。

　例えば図１８Ａ、１８Ｂに例示するように、ある生体情報が満たすべき条件と、その条件がみたされた時に参照する生体情報（特徴量）とを対応付けても良い。図１８の例では、入力された指紋情報の特徴量から、端点≧（分岐点＋５）であると判別されれば、図１２に示す処理が実行される。一方、端点＜（分岐点＋５）と判別されれば、例えば、Ｍｏｄ（３）＝２のときに、虹彩情報を参照する。このため、ステップＳ４７で、虹彩に対応する分割サイズＳ（図１０の例では、４８７バイト又は４７９バイト）でデータが切り出されて、ステップＳ４８で暗号キーＫＩによる暗号化が成される。なお、ステップＳ４８で、暗号キーとして図１６に示すＫＩ１又はＫＩ２を使用するように変形することも可能である。

　図１５では、切り出されたサイズＳのデータを１セクタのデータとするために、パッドデータを末尾に配置したが、パッドデータの位置を生体情報に基づいて、変更するようにしてもよい。

　例えば図１９に示すように、ある生体情報が満たすべき条件と、その条件がみたされたときのパッドデータの位置とを対応付けても良い。図１９の例では、入力された虹彩情報の特徴量からＮ_１≧Ｎ_０であると判別されれば、図２０Ａに示すように、パッドデータが１セクタの先頭に配置される。また、入力された虹彩情報の特徴量から、Ｎ_１＜Ｎ_０であると判別されれば、図２０Ｂに示すように、格納対象ファイルから切り出されたサイズＳのデータの先頭１００バイトが１セクタの先頭に配置され、続いて、パッドデータが（１セクタのデータサイズ－Ｓ）だけ継続し、その後、切り出されたデータの残りの部分が配置される。この場合、データ管理テーブルＤＭＴには、パッドデータの位置とサイズを登録することが望ましい。

　上記実施の形態では、入力された生体情報から抽出された特徴量を暗号化のために参照する例を示したが、予め登録されている生体情報又は特徴量を参照するようにしてもよい。例えば、ユーザ登録時に認証用の生体情報又はその特徴量を登録して、制御部１１０又は記憶部１１１又は１１２に記憶しておく。ユーザは、端末装置１０又は１０Ａを使用する際に、マイク１１，タッチパネル１３，カメラ１４から生体情報を入力する。入力された生体情報は、ユーザを認証するために、登録されている生体情報又は特徴量と対比される。ユーザが認証された後、暗号化・復号化のために参照される生体情報又は特徴量は、登録されていた生体情報又は特徴量としてもよい。このような構成とすると、入力された生体情報は、端末装置１０、１０Ａの使用環境や操作により、変動するおそれがあるが、登録されている生体情報や特徴量は変動しないので、暗号化・復号化を安定して行うことができる。

　実施の形態では、いくつからのテーブルを示したが、これらは、テーブルの形態を取る必要はない。必要な情報を導き出せるならば、それは、関数やプログラムの形態でもよい。また、一部の情報を削除したり、その情報を導出するための他の情報を登録してもよい。例えば、図２Ｄに示すファイル管理テーブルＦＭＴにおける暗号キーＫＡ又はＫＢは、論理アドレスＬｉから導出できるので、削除してもよい。この場合、論理アドレスＬｉが暗号化に使用した暗号キーを特定する情報として機能する。図９に示すデータ管理テーブルＤＭＴにおける暗号キーＫＦ、ＫＶ，ＫＩも削除してもよい。また、例えば、図９に示すクラスタ管理テーブルＣＭＴにおけるデータ番号も削除可能である。第ｊ番目のクラスタには、データ番号ｉが８・（ｊ－１）＋１～８・ｊまでのデータが含まれている。

　暗号化・復号化のために参照する生体情報として、指紋情報、声紋情報、虹彩情報を例示したが、生体情報の種類はこれらに限定されない。例えば、これら以外に、静脈情報、顔情報、掌紋情報、サイン情報等を生体情報をとして取り込んでもよい、使用する情報の数も、３つに限定されず、１、２でもよいし、以上でもよい。

　また、各装置・部品の配置は任意に変更可能である。コンピュータを端末装置１０として機能させるためのコンピュータプログラムを、コンピュータが読み取り可能な非一時的な記録媒体（ＣＤ－ＲＯＭ等）に格納して配布し、当該プログラムをコンピュータにインストールすることにより、上述の処理を実行する端末装置１０を構成してもよい。

　本発明は、本発明の広義の精神と範囲を逸脱することなく、様々な実施の形態及び変形が可能とされるものである。また、上述した実施の形態は、本発明を説明するためのものであり、本発明の範囲を限定するものではない。すなわち、本発明の範囲は、実施の形態ではなく、請求の範囲によって示される。そして、請求の範囲内およびそれと同等の発明の意義の範囲内で施される様々な変形が、本発明の範囲内とみなされる。

　本発明は、２０１５年４月３０日に出願された日本国特許出願２０１５－０９３７２９号に基づく。本明細書中に日本国特許出願２０１５－０９３７２９号の明細書、特許請求の範囲、図面全体を参照として取り込むものとする。

１０　端末装置
１１　マイク
１２　スピーカ
１３　タッチパネル
１４　カメラ
１１１、１１２　記憶部
１１３　通信部
２１０、２２０　記憶装置
ＣＬ　クラウド

Claims

　保存対象のファイルを分割して分割ファイルを生成する分割手段と、
　複数の暗号化手法と複数の記憶先のうちのそれぞれ１つを選択する選択手段と、
　前記選択手段で選択された暗号化手法で、前記分割手段により生成された分割ファイルを暗号化し、前記暗号化した分割ファイルを前記選択手段により選択された物理的な記憶先に保存する保存手段と、
　前記分割ファイルを特定する情報と、前記暗号化手法と、保存先の物理アドレスとを対応付けて記憶するテーブルと、
　を備える端末装置。
　前記保存手段は、さらに、前記暗号化手法を特定する情報を前記物理的な記憶先に保存し、
　前記分割手段が生成した分割ファイルと、その分割ファイルを暗号化した暗号化手法を特定する情報と、を異なる記憶先に保存する、
　請求項１に記載の端末装置。
　ユーザの生体情報を取得する取得手段と、
　前記取得手段が取得した生体情報を前記分割ファイルのサイズに変換する変換情報から、該分割ファイルのサイズを得る分割サイズ設定手段と、をさらに備え、
　前記分割手段は、前記分割サイズ設定手段が得たサイズの分割ファイルを生成する、
　請求項１又は２に記載の端末装置。
　前記生体情報には、複数の種類の生体情報が含まれ、
　前記分割サイズ設定手段は、前記複数の種類の生体情報毎に、前記変換情報から前記分割ファイルのサイズを得、
　前記分割手段は、前記保存対象のファイルを分割して、前記分割サイズ設定手段が得たサイズのうち、１又は複数の分割ファイルを生成する、
　請求項３に記載の端末装置。
　前記分割サイズ設定手段は、ユーザの生体情報に基づく条件と、分割ファイルのサイズとを対応付けて記憶する分割サイズテーブルであり、
　前記選択手段は、前記取得手段が取得した生体情報に基づいて、前記分割サイズテーブルから、前記分割ファイルのサイズをさらに選択し、
　前記分割手段は、前記選択手段が選択したサイズの分割ファイルを生成する、
　請求項３又は４に記載の端末装置。
　ユーザの生体情報を取得する取得手段と、
　前記取得手段が取得した生体情報から暗号キーを作成する作成手段と、をさらに備え、
　前記保存手段は、前記作成手段が作成した暗号キーで、前記分割ファイルを暗号化する、
　請求項１から５の何れか１項に記載の端末装置。
　前記生体情報には、複数の種類の生体情報が含まれ、
　前記作成手段は、前記複数の種類の生体情報から、それぞれ前記暗号キーを作成し、
　前記保存手段は、前記作成手段がそれぞれ作成した暗号キーのうち、１又は複数の暗号キーを用いて、前記分割ファイルを暗号化する、
　請求項６に記載の端末装置。
　読み出し対象ファイルに対応する前記分割ファイルを特定する分割ファイル特定手段と、
　前記テーブルを参照して前記分割ファイルの保存先の物理アドレスと前記暗号化手法とを特定する特定手段と、
　前記特定手段により特定された物理アドレスから前記分割ファイルを読み出し、特定された前記暗号化手法に基づいて復号化する再生手段と、
　を含む、請求項１から７の何れか１項に記載の端末装置。
　前記分割ファイルは、１クラスタ分のデータから構成される、
　請求項１から８の何れか１項に記載の端末装置。
　前記複数の記憶先の少なくとも１つは、着脱可能に取り付けられている、
　請求項１から９の何れか１項に記載の端末装置。
　前記複数の記憶先の少なくとも１つは、クラウド上に配置されている、
　請求項１から９の何れか１項に記載の端末装置。
　コンピュータを、
　請求項１乃至１１の何れか１項に記載の端末装置として機能させるためのコンピュータプログラム。