JP3012130B2 - Data delivery method - Google Patents
Data delivery methodInfo
- Publication number
- JP3012130B2 JP3012130B2 JP30619093A JP30619093A JP3012130B2 JP 3012130 B2 JP3012130 B2 JP 3012130B2 JP 30619093 A JP30619093 A JP 30619093A JP 30619093 A JP30619093 A JP 30619093A JP 3012130 B2 JP3012130 B2 JP 3012130B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- key
- user
- storage device
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【0001】[0001]
【産業上の利用分野】本発明は、ネットワークを介して
データを送受信するデータ配送方法に関わり、特にデー
タの提供者側でデータを暗号化して送信し、データの利
用者側で暗号データを復号化して利用するデータ配送方
法に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a data delivery method for transmitting and receiving data via a network, and more particularly, to encrypting and transmitting data on a data provider side and decrypting encrypted data on a data user side. It relates to a data delivery method that is used in the form of data.
【0002】[0002]
【従来の技術】ネットワークを介してデータの送受信を
行うデータ配送システムにおいては、データの利用者が
ネットワークを介して利用者側に配置されたシステムで
データにアクセスした回数や期間などをデータ提供者側
で把握あるいは管理したい場合がある。2. Description of the Related Art In a data delivery system for transmitting and receiving data via a network, the number of data users and the period of access to the data by a system arranged on the user side via the network are determined by the data provider. Sometimes you want to know or manage.
【0003】この要求に対し、次のような従来技術があ
る。[0003] In response to this demand, there is the following prior art.
【0004】(1)データ利用者側の補助記憶装置上に
データ利用者のアクセスの履歴情報をファイルとして保
存する。この履歴情報ファイルの内容は、定期的にデー
タ提供者側からネットワークを介して取り出すか、デー
タ利用者側からネットワークを介して定期的に転送させ
るようにする。(1) Data user access history information is stored as a file in an auxiliary storage device on the data user side. The contents of the history information file are periodically taken out from the data provider via the network, or transferred periodically from the data user via the network.
【0005】(2)データ利用者がデータにアクセスす
る都度、ネットワークを介してその旨を通知するメッセ
ージをデータ提供者側に送信させ、そのメッセージの内
容をデータ提供者側の補助記憶装置上に履歴情報ファイ
ルとして保存する。(2) Each time a data user accesses data, a message notifying the fact is transmitted to the data provider via the network, and the contents of the message are stored in the auxiliary storage device of the data provider. Save as a history information file.
【0006】ところが、このようにして作成した履歴情
報ファイルの内容がデータ利用者によって故意に改ざん
されたり、隠蔽されたりする場合がある。However, the contents of the history information file created as described above may be intentionally falsified or hidden by the data user.
【0007】そこで、履歴情報ファイルの改ざんや隠蔽
を防止する方法として、次のような技術がある。Therefore, there is the following technique as a method for preventing the falsification or hiding of the history information file.
【0008】(1)データ利用者側で補助記憶装置上に
保存される履歴情報ファイルを暗号化することにより、
改ざんを防ぐ。(1) By encrypting the history information file stored on the auxiliary storage device on the data user side,
Prevent tampering.
【0009】(2)データ利用者のアクセス要求の度に
ネットワークを介してデータを転送し、アクセス完了後
に廃棄することにより、アクセス履歴情報の隠蔽を防
ぐ。(2) Data is transferred via the network each time a data user requests access, and is discarded after access is completed, thereby preventing concealment of access history information.
【0010】(3)アクセス履歴情報をICカードなど
のインタフェースが限定された機器を利用して保存する
ことにより、履歴情報の改ざんや隠蔽を防止する。(3) By preventing access history information from being falsified or concealed by storing the access history information using a device having a limited interface such as an IC card.
【0011】この他に、「日経コンピュータ」(193
3.11.1号 p72〜p73)の「識別、認証シス
テム」に使用されている方法がある。In addition, "Nikkei Computer" (193)
There is a method used for the “identification and authentication system” in 3.11.1, p.72 to p.73).
【0012】[0012]
【発明が解決しようとする課題】しかし、これらの方法
ではデータへのアクセスはその履歴と無関係に行うこと
が可能であり、データ利用者がデータへアクセスした
後、履歴情報ファイルを過去のものと置き換える、ある
いはネットワークを履歴情報が転送されるのを妨害する
など、データ利用者側の簡単な操作でデータアクセス履
歴情報の隠蔽が可能になってしまうという問題がある。However, in these methods, access to data can be performed irrespective of the history, and after the data user accesses the data, the history information file is changed to the past. There is a problem that the data access history information can be hidden by a simple operation on the data user side, for example, by replacing the history information or preventing the transfer of the history information through the network.
【0013】また、データ利用者のアクセス権の消滅な
どにより、ある時期からデータへのアクセスを拒否した
い場合、データ利用者の補助記憶装置上のデータを消去
する必要があるが、データ利用者によるデータの複写お
よび隠蔽により実質的には無期限のデータアクセスを防
止できないという問題がある。When it is desired to deny access to data from a certain time due to the disappearance of the access right of the data user, it is necessary to delete the data in the auxiliary storage device of the data user. There is a problem in that data access indefinitely cannot be prevented by copying and hiding data.
【0014】本発明の目的は、データへの不正なアクセ
スを防止し、かつデータへアクセスしたことをデータ提
供者側で確実に把握することができるデータ配送方法を
提供することである。An object of the present invention is to provide a data delivery method capable of preventing unauthorized access to data and ensuring that the data provider can access the data.
【0015】[0015]
【課題を解決するための手段】上記目的を達成するため
に本発明は、データ提供者側装置がデータ提供者側記憶
装置に格納したデータをデータ利用者側装置からの利用
要求に応じてデータ利用者側装置に配送するデータ配送
システムにおいて、配送対象のデータに対し、データ提
供者側装置において非対称暗号法の公開鍵と秘密鍵とで
構成された1対の鍵データを生成し、その一方の鍵デー
タで暗号化してデータ利用者側装置に配送してデータ利
用者側記憶装置に格納しておき、その格納されたデータ
の利用要求に対しては、他方の鍵データを復号鍵として
データ利用者側装置に転送して復号化させたうえ、その
復号データに対してデータ提供者側装置において新たに
生成した1対の鍵データの一方の鍵データで暗号化して
データ利用者側記憶装置に再格納する手順を同一データ
利用者側装置からの利用要求が発行される度に繰返し、
前記データ提供者側記憶装置に格納されたデータを利用
要求に応じてデータ利用者側装置に配送するようにした
ものである。SUMMARY OF THE INVENTION In order to achieve the above object, the present invention provides a data provider device which stores data stored in a data provider storage device in response to a use request from the data user device. In a data delivery system for delivery to a user device, a pair of key data composed of a public key and a secret key of asymmetric cryptography is generated in a data provider device for data to be delivered. The data is encrypted with the key data and delivered to the data
It is stored in the user side storage device, and in response to a use request of the stored data, the other key data is transferred to the data user side device as a decryption key and decrypted. Is encrypted with one key data of a pair of key data newly generated in the data provider side device.
The procedure of restoring data in the data user side storage device is repeated every time a use request is issued from the same data user side device,
The data stored in the data provider storage device is delivered to the data user device in response to a use request.
【0016】そのうえで、同一データ利用者側装置から
の利用要求の履歴をデータ提供者側装置において監視
し、その履歴に応じてデータ利用者側記憶装置に格納さ
れたデータの利用を規制するようにしたことを特徴とす
る。Then, the history of the usage request from the same data user side device is monitored by the data provider side device, and the use of the data stored in the data user side storage device is regulated according to the history. It is characterized by having done.
【0017】さらに、1対の鍵データを非対称暗号法の
公開鍵と秘密鍵とで構成したことを特徴とする。Further, the present invention is characterized in that the pair of key data is composed of a public key and a secret key of asymmetric cryptography.
【0018】[0018]
【作用】本発明によれば、配送対象のデータに対し、デ
ータ提供者側装置において公開鍵と秘密鍵とで構成され
た1対の鍵データを生成する。例えば、鍵データA1,
A2を生成する。そして、その一方の鍵データA1で配
送対象のデータを暗号化してデータ利用者側装置に配送
してデータ利用者側記憶装置に格納する。According to the present invention, a pair of key data composed of a public key and a secret key is generated in the data provider device for data to be delivered. For example, key data A1,
Generate A2. Then, the data to be delivered is encrypted with the one key data A1 and delivered to the data user side device.
And store it in the data user side storage device.
【0019】その格納されたデータに対して利用要求が
あったならば、他方の鍵データA2を復号鍵としてデー
タ利用者側装置に転送し、この鍵データA2で復号化さ
せて利用させる。この時、その復号データに対してデー
タ提供者側装置において新たに生成した1対の鍵データ
B1,B2の一方の鍵データB1で暗号化してデータ利
用者側記憶装置に再格納する。この手順を同一データ利
用者側装置からの利用要求が発行される度に繰返し、デ
ータ提供者側記憶装置に格納されたデータを利用要求に
応じてデータ利用者側装置に配送する。When there is a use request for the stored data, the other key data A2 is transferred to the data user side device as a decryption key, and is decrypted with this key data A2 and used. At this time, the data provider encrypts the decrypted data with one key data B1 of a pair of key data B1 and B2 newly generated by the data provider side, and uses the data.
Re-store in the user's storage device. Repeat this procedure every time the use request from the same data user side apparatus is issued, de
The data stored in the data provider side storage device is delivered to the data user side device in response to a use request.
【0020】すなわち、データ利用者側装置ではデータ
にアクセスする度に新たな復号鍵が与えられ、その復号
鍵でデータをアクセスする。そして、一度アクセスした
データは、新たな鍵データで暗号化されてデータ利用者
側記憶装置に再格納される。このため、データ利用者側
装置では、新たな利用要求を行って新たな復号鍵が再発
行された時以外はデータをアクセスすることはできな
い。すなわち、データ提供者側装置に正規に配送依頼を
行なわない限り、データをアクセスすることはできなく
なる。よって、データへの不正なアクセスを防止し、か
つデータへアクセスしたことをデータ提供者側で確実に
把握することができる。That is, the data user side device is given a new decryption key every time data is accessed, and accesses the data with the new decryption key. And, once accessed data, it is encrypted with a new key data data users
It is stored again in the side storage device. Therefore, the data user side device cannot access data except when a new use request is made and a new decryption key is reissued. That is, the data cannot be accessed unless the delivery request is sent to the data provider side. Therefore, unauthorized access to data can be prevented, and the data provider can reliably grasp that data has been accessed.
【0021】そのうえで、同一データ利用者側装置から
の利用要求の履歴をデータ提供者側装置において監視す
る。これにより、その履歴に応じてデータ提供者側記憶
装置に格納されたデータの利用を規制することができ
る。Then, the history of the use request from the same data user side device is monitored in the data provider side device. This makes it possible to regulate the use of data stored in the data provider storage device according to the history.
【0022】[0022]
【実施例】以下、本発明を図示する実施例に基づき詳細
に説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The present invention will be described in detail below with reference to the illustrated embodiments.
【0023】(実施例1)まず、非対称暗号法を用いる
実施例について説明する。(Embodiment 1) First, an embodiment using asymmetric cryptography will be described.
【0024】図1は、データ提供者側及び利用者側のシ
ステムの全体を構成を示すブロック図である。FIG. 1 is a block diagram showing the overall configuration of the data provider and user systems.
【0025】図1において、101及び102はネット
ワーク103を介して通信を行う機能を有する計算機シ
ステムであり、101はデータ利用者側の計算機システ
ム、102はデータ提供者側の計算機システムである。In FIG. 1, reference numerals 101 and 102 denote computer systems having a function of communicating via a network 103, 101 denotes a data user's computer system, and 102 denotes a data provider's computer system.
【0026】104〜106は、補助記憶装置、107
は計算機システム101を操作するための端末装置、1
08は利用者側でデータを出力するための端末装置であ
る。この出力装置108は、印字装置やディスプレイ装
置などのデータ保存機能あるいはデータ転送機能を具備
しないもので構成される。Reference numerals 104 to 106 denote auxiliary storage devices;
Are terminal devices for operating the computer system 101;
Reference numeral 08 denotes a terminal device for outputting data on the user side. The output device 108 is configured by a device such as a printing device or a display device that does not have a data storage function or a data transfer function.
【0027】109は非対称暗号法のアルゴリズムに従
って暗号鍵、復号鍵のデータを生成する鍵生成部、11
0は鍵データをネットワーク103を介して転送する鍵
配送部である。Reference numeral 109 denotes a key generation unit that generates data of an encryption key and a decryption key in accordance with the algorithm of the asymmetric encryption method.
Reference numeral 0 denotes a key distribution unit that transfers key data via the network 103.
【0028】111はデータ利用者がデータにアクセス
するために送信して来る復号鍵転送要求の回数や日時等
を管理するリクエスト履歴処理部、112は鍵生成部1
09で生成した鍵データに従って配送対象のデータを暗
号化する暗号化処理部、113は暗号データにアクセス
するために必要な復号鍵をデータ提供者側にネットワー
ク103を介して要求する鍵リクエスト送信部である。Reference numeral 111 denotes a request history processing unit which manages the number of times and date / time of decryption key transfer requests transmitted to access data by a data user, and 112 denotes a key generation unit 1
09: an encryption processing unit for encrypting data to be delivered in accordance with the key data generated in step 09; a key request transmission unit 113 for requesting a decryption key necessary for accessing the encrypted data to the data provider via the network 103 It is.
【0029】114は暗号データを復号鍵を使用して復
号化する復号化処理部、115は復号データを再び暗号
鍵を使用して暗号化し、補助記憶装置104に格納する
暗号化処理部である。Reference numeral 114 denotes a decryption processing unit for decrypting the encrypted data using the decryption key. Reference numeral 115 denotes an encryption processing unit for encrypting the decrypted data again using the encryption key and storing it in the auxiliary storage device 104. .
【0030】図2は、データ提供者側の計算機システム
102が鍵ペアに関するデータを格納する鍵データ格納
テーブル200の構成を示すもので、この鍵データ格納
テーブル200は補助記憶装置105内に個々の利用者
別に作成される。FIG. 2 shows the configuration of a key data storage table 200 in which the computer system 102 on the data provider side stores data related to a key pair. Created for each user.
【0031】そして、各利用者の鍵データ格納テーブル
200は、利用者を識別するためのユーザID201を
格納する領域と、当該ユーザが利用する複数のデータの
それぞれを識別するためのデータID202を格納する
領域と、暗号鍵および復号鍵からなる鍵ペア203を格
納する領域と、鍵ペア203が既にデータ利用者側に転
送済みであることを示すフラグ204の格納領域とから
構成されている。The key data storage table 200 for each user stores an area for storing a user ID 201 for identifying the user and a data ID 202 for identifying each of a plurality of data used by the user. An area for storing a key pair 203 composed of an encryption key and a decryption key, and a storage area for a flag 204 indicating that the key pair 203 has already been transferred to the data user side.
【0032】ここで、鍵ペア203のうち、A1,B
1,C1,…,…が暗号鍵、A2,B2,C2,…,…
が復号鍵である。Here, of the key pair 203, A1, B
1, C1,... Are encryption keys, A2, B2, C2,.
Is a decryption key.
【0033】図3は、データ利用者側に転送される鍵情
報の構成をもので、鍵データであることを示すデータI
D301、復号鍵データ302、暗号鍵データ303で
構成されている。FIG. 3 shows the structure of the key information transferred to the data user side.
D301, decryption key data 302, and encryption key data 303.
【0034】図4は、本システムの処理の流れを表すフ
ローチャートである。以下、このフローチャートに従
い、本実施例の動作を説明する。FIG. 4 is a flowchart showing the flow of the processing of this system. Hereinafter, the operation of this embodiment will be described with reference to this flowchart.
【0035】まず、データ利用者はデータ提供者側から
のデータの提供(配送)を受けるに先立って、データ提
供者が一意に識別可能なユーザID201をデータ提供
者側計算機システム102で登録する。このユーザID
201は図2の鍵データ格納テーブル200に格納され
る。また、異なるデータの提供を受ける場合は、その度
に該当するデータを識別するデータID202をデータ
提供者側計算システム102で登録する。このデータI
D202は図2の鍵データ格納テーブル200に格納さ
れる。First, the data user registers a user ID 201 that can be uniquely identified by the data provider in the data provider side computer system 102 before receiving the data provision (delivery) from the data provider side. This user ID
201 is stored in the key data storage table 200 of FIG. In addition, when different data is provided, a data ID 202 for identifying the corresponding data is registered in the data provider side computing system 102 each time. This data I
D202 is stored in the key data storage table 200 of FIG.
【0036】これに対し、データ提供者側計算システム
102は、該当するデータへのアクセスが利用者に許さ
れる期間を決定し、リクエスト履歴処理部11によって
補助記憶装置106に格納する。On the other hand, the data provider side computing system 102 determines a period during which the user is allowed to access the corresponding data, and stores it in the auxiliary storage device 106 by the request history processing unit 11.
【0037】この後、データ提供者側計算システム10
2は、配送対象データの転送に先立ち、非対称暗号法の
アルゴリズムに従い、鍵生成部109で非対称の鍵ペア
203を一対生成する(ステップ401)。例えば、A
1,A2といった鍵ペア203の鍵データを一対生成す
る。この鍵ペア203は図2の鍵データ格納テーブル2
00に格納される。Thereafter, the data provider side computing system 10
2, the key generation unit 109 generates a pair of asymmetric key pairs 203 in accordance with the algorithm of the asymmetric encryption method before transferring the data to be delivered (step 401). For example, A
A pair of key data of the key pair 203 such as 1 and A2 is generated. This key pair 203 corresponds to the key data storage table 2 in FIG.
00 is stored.
【0038】次に、配送対象データを鍵ペア203の一
方を暗号鍵として暗号化する(ステップ402)。例え
ば、鍵データA1を暗号鍵として暗号化する。そして、
鍵データA1は使用済みであることを示すフラグ204
をセットする。Next, the data to be delivered is encrypted using one of the key pairs 203 as an encryption key (step 402). For example, the key data A1 is encrypted as an encryption key. And
Flag 204 indicating that key data A1 has been used
Is set.
【0039】次に、暗号化された配布対象のデータをデ
ータIDと共にネットワーク103を介して利用者側の
計算機システム101に転送する(ステップ403)。Next, the encrypted data to be distributed is transferred to the user's computer system 101 via the network 103 together with the data ID (step 403).
【0040】利用者側の計算機システム101は、暗号
データを受信すると、その暗号データを補助記憶装置1
04に格納する(ステップ404)。Upon receiving the encrypted data, the computer system 101 on the user side stores the encrypted data in the auxiliary storage device 1.
04 (step 404).
【0041】この状態で、端末装置107からデータ利
用者によるデータへのアクセス要求および出力装置10
8による出力要求が入力されると(ステップ405)、
計算機システム101は、復号鍵転送要求としてアクセ
スしたいデータのIDを鍵リクエスト送信部113から
データ提供者側の計算機システム102に転送する(ス
テップ406)。In this state, the data access request from the data user from the terminal device 107 and the output device 10
8 (step 405),
The computer system 101 transfers the ID of the data to be accessed as the decryption key transfer request from the key request transmission unit 113 to the computer system 102 on the data provider side (step 406).
【0042】復号鍵転送要求は、リクエスト履歴処理部
111によって受信され、履歴情報として補助記憶装置
106に格納される。The decryption key transfer request is received by the request history processing unit 111 and stored in the auxiliary storage device 106 as history information.
【0043】ここで、前もって設定・登録しておいた期
間に対して、復号鍵転送要求を受信した日時が超過して
いる場合は、アクセス権が消滅している者からの利用要
求であるので、この時点で処理を終了する(ステップ4
07)。Here, if the date and time of receiving the decryption key transfer request exceeds the period set and registered in advance, it is a use request from a person whose access right has expired. At this point, the process ends (step 4).
07).
【0044】この場合、鍵データA1,A2は両方共使
用済みとしてフラグ204をセットする。In this case, the key data A1 and A2 are both used and the flag 204 is set.
【0045】しかし、超過していなかった場合は、鍵生
成部109でさらに別のペア鍵データB1,B2を新た
に生成する(ステップ408)。この新たな鍵データB
1,B2は鍵データ格納テーブル200に格納される。However, if it does not exceed, the key generation unit 109 newly generates another pair key data B1, B2 (step 408). This new key data B
1 and B2 are stored in the key data storage table 200.
【0046】次に、データIDと鍵データA2,B1を
それぞれ図3のデータ構造に組立て、鍵配送部110に
よって利用者側の計算機システム101に転送する(ス
テップ409)。そして、鍵データA2,B1は使用済
みであることを示すフラグ204をセットする。Next, the data ID and the key data A2 and B1 are assembled into the data structure shown in FIG. 3, respectively, and transferred to the user computer system 101 by the key distribution unit 110 (step 409). Then, the flag 204 indicating that the key data A2 and B1 have been used is set.
【0047】データ利用者側の計算機システム101
は、受信した鍵データA2で補助記憶装置104に格納
されている暗号データを復号化し、出力装置108から
出力する(ステップ410)。Computer system 101 on the data user side
Decrypts the encrypted data stored in the auxiliary storage device 104 with the received key data A2, and outputs the decrypted data from the output device 108 (step 410).
【0048】そして、出力装置108への出力が完了し
たならば、鍵データB1を用いて復号データを暗号化
し、補助記憶装置104に再格納する(ステップ41
1)。When the output to the output device 108 is completed, the decrypted data is encrypted using the key data B1 and stored again in the auxiliary storage device 104 (step 41).
1).
【0049】以降、ここまでの処理を同一利用者からの
復号鍵転送要求が発行される度に繰り返す(ステップ4
12〜415)。Thereafter, the above processing is repeated every time a decryption key transfer request is issued from the same user (step 4).
12-415).
【0050】このように、配送対象のデータに対し、デ
ータ提供者側の計算機システム102において1対の鍵
データを生成し、その一方の鍵データで暗号化してデー
タ利用者側の計算機システム101に配送してデータ利
用者側補助記憶装置104に格納しておき、その格納さ
れたデータの利用要求に対しては、他方の鍵データを復
号鍵としてデータ利用者側の計算機システム101に転
送して復号化させたうえ、その復号データに対してデー
タ提供者側の計算機システム102において新たに生成
した1対の鍵データの一方の鍵データで暗号化してデー
タ利用者側補助記憶装置104に再格納する手順を同一
データ利用者からの利用要求が発行される度に繰返すこ
とにより、データ利用者側の計算機システム101で
は、新たな利用要求を行って新たな復号鍵が再発行され
た時以外はデータ利用者側補助記憶装置104内のデー
タをアクセスすることはできなくなる。[0050] Day Thus, on the data in shipping, to generate a pair of key data in the computer system 102 of the data provider side, encrypted with one of its key data
Data to the computer system 101 of the user
It is stored in the user-side auxiliary storage device 104, and in response to a use request of the stored data, the other key data is transferred to the data user's computer system 101 as a decryption key and decrypted. Additionally, data encrypted with one key data of a pair of key data newly generated in the computer system 102 of the data provider side with respect to the decoded data
By repeating the procedure of restoring data in the data user- side auxiliary storage device 104 every time a use request is issued from the same data user, the data user's computer system 101 issues a new use request and Except when the decryption key is reissued, the data in the data user side auxiliary storage device 104 cannot be accessed.
【0051】すなわち、データ提供者側の計算機システ
ム102に正規に配送依頼を行なわない限り、データを
アクセスすることはできなくなる。よって、データへの
不正なアクセスを防止し、かつデータへアクセスしたこ
とをデータ提供者の計算機システム102で確実に把握
することができる。That is, the data cannot be accessed unless the delivery request is sent to the computer system 102 of the data provider on a regular basis. Therefore, unauthorized access to data can be prevented, and the fact that the data has been accessed can be reliably grasped by the computer system 102 of the data provider.
【0052】また、同一データ利用者からの利用要求の
履歴をリクエスト履歴処理部111で監視し、利用可能
な期間が超過している場合はデータの利用を禁止するこ
とにより、利用権限のないアクセスを禁止することがで
きる。Also, the history of use requests from the same data user is monitored by the request history processing unit 111 , and when the usable period is over, the use of the data is prohibited, so that access without the use right is prohibited. Can be banned.
【0053】(実施例2)次に、データへのアクセス回
数を限定する実施例について説明する。(Embodiment 2) Next, an embodiment for limiting the number of times data is accessed will be described.
【0054】図5は、データ提供者側の計算機システム
102が鍵データを格納する鍵データ格納テーブル50
0の構成を示すもので、この鍵データ格納テーブル50
0は補助記憶装置105内に個々の利用者別に作成され
る。FIG. 5 shows a key data storage table 50 in which the computer system 102 on the data provider side stores key data.
0, the key data storage table 50
0 is created in the auxiliary storage device 105 for each user.
【0055】そして、各利用者の鍵データ格納テーブル
500は、利用者を識別するためのユーザID501を
格納する領域と、当該ユーザが利用する複数のデータの
それぞれを識別するためのデータID502を格納する
領域と、復号鍵データ503を格納する領域と、この復
号鍵データ503が既にデータ利用者側に転送済みであ
ることを示すフラグ504の格納領域とから構成されて
いる。The key data storage table 500 of each user stores an area for storing a user ID 501 for identifying the user and a data ID 502 for identifying each of a plurality of data used by the user. An area for storing the decryption key data 503 and a storage area for a flag 504 indicating that the decryption key data 503 has already been transferred to the data user side.
【0056】図6は、データ利用者側の計算機システム
101が持つ鍵に関する情報を格納する鍵データ格納テ
ーブル600の構成を示すもので、この鍵データ格納テ
ーブル600は補助記憶装置104内に個々のデータI
D別に作成される。FIG. 6 shows the configuration of a key data storage table 600 for storing information related to a key possessed by the computer system 101 on the data user side. Data I
Created for each D.
【0057】そして、テーブル600内の鍵データが適
用されるデータID601を格納する領域と、暗号鍵デ
ータ602を格納する領域と、この暗号鍵データ602
が既に暗号化処理に使用済みであることを示すフラグ6
03の格納領域とから構成されている。An area in the table 600 for storing the data ID 601 to which the key data is applied, an area for storing the encryption key data 602, and an area for storing the encryption key data 602.
6 indicating that has already been used for encryption processing
03 storage areas.
【0058】図7は、データ提供者側の計算機システム
102から利用者側の計算機システム101に転送され
る情報の構成を示すもので、データ種別を示すデータI
D701と、復号鍵データ702とで構成されている。FIG. 7 shows the structure of information transferred from the computer system 102 on the data provider side to the computer system 101 on the user side.
D701 and decryption key data 702.
【0059】図8は、本実施例の処理の流れを表すフロ
ーチャートである。以下、このフローチャートに従い、
本実施例の動作を説明する。FIG. 8 is a flowchart showing the flow of the processing of this embodiment. Hereinafter, according to this flowchart,
The operation of this embodiment will be described.
【0060】まず、データ利用者はデータ提供者側から
のデータの提供(配送)を受けるに先立って、データ提
供者が一意に識別可能なユーザID501をデータ提供
者側計算機システム102で登録する。このユーザID
201は図5の鍵データ格納テーブル500に格納され
る。また、異なるデータの提供を受ける場合は、その度
に該当するデータを識別するデータID502をデータ
提供者側計算システム102で登録する。このデータI
D502は図5の鍵データ格納テーブル500に格納さ
れる。First, the data user registers a user ID 501 that can be uniquely identified by the data provider in the data provider side computer system 102 before receiving the provision (delivery) of the data from the data provider side. This user ID
201 is stored in the key data storage table 500 of FIG. In addition, when different data is provided, a data ID 502 for identifying the corresponding data is registered in the data provider-side computing system 102 each time. This data I
D502 is stored in the key data storage table 500 of FIG.
【0061】これに対し、データ提供者側計算システム
102は、該当するデータへのアクセスが利用者に許さ
れる回数を決定し、リクエスト履歴処理部11によって
補助記憶装置106に格納する。On the other hand, the data provider-side computing system 102 determines the number of times the user is allowed to access the corresponding data, and stores it in the auxiliary storage device 106 by the request history processing unit 11.
【0062】この後、データ提供者側計算システム10
2は、配送対象データの転送に先立ち、非対称暗号法の
アルゴリズムに従い、鍵生成部109で非対称の鍵ペア
を上記回数と同じ数だけ生成する(ステップ801)。
例えば、A1,A2,B1,B2といった鍵ペアの鍵デ
ータを生成する。Thereafter, the data provider side computing system 10
2, the key generation unit 109 generates the same number of asymmetric key pairs as the number of times according to the algorithm of the asymmetric cryptography prior to the transfer of the delivery target data (step 801).
For example, key data of a key pair such as A1, A2, B1, and B2 is generated.
【0063】この鍵ペアのうちA2,B2,C2は復号
鍵データとして図5の鍵データ格納テーブル500に格
納する。また、A1,B1,C1は図6と同一構成の暗
号鍵データリストとして補助記憶装置105に一時格納
する。A2, B2, and C2 of the key pair are stored as decryption key data in the key data storage table 500 of FIG. A1, B1, and C1 are temporarily stored in the auxiliary storage device 105 as an encryption key data list having the same configuration as that of FIG.
【0064】次に、暗号鍵データA1を使用して配布対
象のデータを暗号化する(ステップ802)。そして、
図5の鍵データ格納テーブル500において鍵データA
1は使用済みであることを示すフラグ504をセットす
る。Next, the data to be distributed is encrypted using the encryption key data A1 (step 802). And
In the key data storage table 500 of FIG.
1 sets a flag 504 indicating that it has been used.
【0065】次に、暗号化された配布対象のデータを補
助記憶装置105に一時格納しておいた暗号鍵データリ
ストと共にネットワーク103を介して利用者側の計算
機システム101に転送する(ステップ803)。Next, the encrypted data to be distributed is transferred to the user computer system 101 via the network 103 together with the encryption key data list temporarily stored in the auxiliary storage device 105 (step 803). .
【0066】利用者側の計算機システム101は、暗号
データを受信すると、その暗号データを補助記憶装置1
04に格納する(ステップ804)。また、暗号鍵デー
タリストも補助記憶装置104内に作成された図6の鍵
データ格納テーブル600に格納する。Upon receiving the encrypted data, the computer system 101 on the user side stores the encrypted data in the auxiliary storage device 1.
04 (step 804). The encryption key data list is also stored in the key data storage table 600 of FIG. 6 created in the auxiliary storage device 104.
【0067】この状態で、端末装置107からデータ利
用者によるデータへのアクセス要求および出力装置10
8による出力要求が入力されると(ステップ805)、
計算機システム101は、復号鍵転送要求としてアクセ
スしたいデータのIDを鍵リクエスト送信部113から
データ提供者側の計算機システム102に転送する(ス
テップ806)。In this state, the data access request from the data user from the terminal device 107 and the output device 10
8 is input (step 805),
The computer system 101 transfers the ID of the data to be accessed as the decryption key transfer request from the key request transmission unit 113 to the computer system 102 on the data provider side (step 806).
【0068】復号鍵転送要求は、リクエスト履歴処理部
111によって受信され、履歴情報として補助記憶装置
106に格納される。The decryption key transfer request is received by the request history processing section 111 and stored in the auxiliary storage device 106 as history information.
【0069】ここで、前もって作成・登録しておいた復
号鍵群に対して、未使用の復号鍵がない場合は、アクセ
ス権が消滅している者からの利用要求であるので、この
時点で処理を終了する(ステップ807)。Here, if there is no unused decryption key for the decryption key group created and registered in advance, it is a use request from a person whose access right has expired. The process ends (step 807).
【0070】しかし、未使用の復号鍵があれば、データ
IDと鍵データA2とを図7のデータ構造に組立て、鍵
配送部110によって利用者側の計算機システム101
に転送する(ステップ808)。そして、鍵データA2
は使用済みであることを示すフラグ504をセットす
る。However, if there is an unused decryption key, the data ID and the key data A2 are assembled into the data structure shown in FIG.
(Step 808). And key data A2
Sets a flag 504 indicating that it has been used.
【0071】データ利用者側の計算機システム101
は、受信した鍵データA2で補助記憶装置104に格納
されている暗号データを復号化し、出力装置108から
出力する(ステップ809)。Computer system 101 on the data user side
Decrypts the encrypted data stored in the auxiliary storage device 104 with the received key data A2, and outputs the decrypted data from the output device 108 (step 809).
【0072】そして、出力装置108への出力が完了し
たならば、鍵データB1を用いて復号データを暗号化
し、補助記憶装置104に再格納する(ステップ81
0)。When the output to the output device 108 is completed, the decrypted data is encrypted using the key data B1 and stored again in the auxiliary storage device 104 (step 81).
0).
【0073】以降、ここまでの処理を同一利用者からの
復号鍵転送要求が発行される度に繰り返す(ステップ8
11〜814)。Thereafter, the above processing is repeated every time a decryption key transfer request is issued from the same user (step 8).
11-814).
【0074】そして、予めユーザ別に登録しておいた復
号鍵のうち未使用の復号鍵が無くなったならば処理を終
了する。Then, if there is no longer any unused decryption key among the decryption keys registered for each user in advance, the process ends.
【0075】従って、この実施例においては、予めユー
ザ別に登録しておいた復号鍵と同一回数のアクセスは許
可されるが、それを超えるアクセスは禁止される。Therefore, in this embodiment, access is permitted the same number of times as the decryption key registered for each user in advance, but access beyond that is prohibited.
【0076】なお、上記各実施例において暗号化した配
布対象のデータは利用者側の補助記憶装置104に格納
しているが、提供者側と利用者側が共通にアクセス可能
な補助記憶装置に格納する構成であってもよい。In the above embodiments, the encrypted data to be distributed is stored in the auxiliary storage device 104 of the user, but is stored in the auxiliary storage device that can be accessed by both the provider and the user. The configuration may be as follows.
【0077】また、ネットワーク103を介してデータ
を配布しているが、ネットワークを使用しない構成であ
っても適用できることは言うまでもない。Although data is distributed via the network 103, it goes without saying that the present invention can be applied to a configuration that does not use a network.
【0078】[0078]
【発明の効果】以上のように本発明においては、配送対
象のデータに対し、データ提供者側装置において1対の
鍵データを生成し、その一方の鍵データで暗号化してデ
ータ利用者側装置に配送してデータ利用者側記憶装置に
格納しておき、その格納されたデータの利用要求に対し
ては、他方の鍵データを復号鍵としてデータ利用者側装
置に転送して復号化させたうえ、その復号データに対し
てデータ提供者側装置において新たに生成した1対の鍵
データの一方の鍵データで暗号化してデータ利用者側記
憶装置に再格納する手順を同一データ利用者側装置から
の利用要求が発行される度に繰返し、データ提供者側記
憶装置に格納されたデータを利用要求に応じてデータ利
用者側装置に配送するようにしたので、データ利用者側
装置では、新たな利用要求を行って新たな復号鍵が再発
行された時以外はデータをアクセスすることはできな
い。すなわち、データ提供者側装置に正規に配送依頼を
行なわない限り、データをアクセスすることはできなく
なる。よって、データへの不正なアクセスを防止し、か
つデータへアクセスしたことをデータ提供者側で確実に
把握することができる。In the present invention as described above, according to the present invention, on the data in shipping, the data provider side apparatus generates a pair of key data, encrypted with one of its key data de
The data is delivered to the data user side device and stored in the data user side storage device, and in response to a use request of the stored data, the other key data is transferred to the data user side device as a decryption key. The data provider side encrypts the decrypted data with one key data of a pair of key data newly generated in the data provider side apparatus, and encrypts the decrypted data in the data user side storage apparatus. The procedure of restoring is repeated every time a use request is issued from the same data user side device, and the data stored in the data provider side storage device is returned to the data user side device according to the use request. , The data user side device cannot access the data except when a new use request is made and a new decryption key is reissued. That is, the data cannot be accessed unless the delivery request is sent to the data provider side. Therefore, unauthorized access to data can be prevented, and the data provider can reliably grasp that data has been accessed.
【0079】そのうえで、同一データ利用者側装置から
の利用要求の履歴をデータ提供者側装置において監視す
るようにしたので、その履歴に応じてデータ利用者側記
憶装置に格納されたデータの利用を規制することができ
る。In addition, since the history of the usage request from the same data user side device is monitored in the data provider side device, it is stored in the data user side storage device according to the history. Data usage can be regulated.
【図1】本発明の第1の実施例のシステム構成図であ
る。FIG. 1 is a system configuration diagram of a first embodiment of the present invention.
【図2】第1の実施例においてデータ提供者側システム
に作成される鍵データ管理テーブルの構成図である。FIG. 2 is a configuration diagram of a key data management table created in a data provider system in the first embodiment.
【図3】第1の実施例においてデータ利用者側に転送さ
れる鍵データの構成図である。FIG. 3 is a configuration diagram of key data transferred to a data user in the first embodiment.
【図4】第1の実施例の処理の流れを示すフローチャー
トである。FIG. 4 is a flowchart illustrating a flow of a process according to the first embodiment.
【図5】第2の実施例においてデータ提供者側システム
に作成される鍵データ管理テーブルの構成図である。FIG. 5 is a configuration diagram of a key data management table created in a data provider system in a second embodiment.
【図6】第2の実施例においてデータ利用者側システム
に作成される鍵データ管理テーブルの構成図である。6 is a block diagram of a key data management tables created user system data utilization in the second embodiment.
【図7】第2の実施例においてデータ利用者側に転送さ
れる鍵データの構成図である。FIG. 7 is a configuration diagram of key data transferred to a data user in a second embodiment.
【図8】第2の実施例の処理の流れを示すフローチャー
トである。FIG. 8 is a flowchart illustrating a flow of a process according to the second embodiment.
101,102…計算機システム、104,105,1
06…補助記憶装置、107…端末装置、108…出力
装置、109…鍵生成部、110…鍵配送部、111…
リクエスト履歴処理部、112…暗号化処理部、113
…鍵リクエスト送信部、114…復号化処理部、115
…暗号化処理部。101, 102: Computer system, 104, 105, 1
06 ... Auxiliary storage device, 107 ... Terminal device, 108 ... Output device, 109 ... Key generation unit, 110 ... Key distribution unit, 111 ...
Request history processing unit, 112 ... encryption processing unit, 113
... Key request transmission unit, 114... Decryption processing unit, 115
... Encryption processing unit.
Claims (3)
憶装置に格納したデータをデータ利用者側装置からの利
用要求に応じてデータ利用者側装置に配送するデータ配
送システムにおいて、 配送対象のデータに対し、データ提供者側装置において
非対称暗号法の公開鍵と秘密鍵とで構成された1対の鍵
データを生成し、その一方の鍵データで暗号化してデー
タ利用者側装置に配送してデータ利用者側記憶装置に格
納しておき、 その格納されたデータの利用要求に対しては、他方の鍵
データを復号鍵としてデータ利用者側装置に転送して復
号化させたうえ、その復号データに対してデータ提供者
側装置において新たに生成した1対の鍵データの一方の
鍵データで暗号化してデータ利用者側記憶装置に再格納
する手順を同一データ利用者側装置からの利用要求が発
行される度に繰返し、前記データ提供者側記憶装置に格
納されたデータを利用要求に応じてデータ利用者側装置
に配送することを特徴とするデータ配送方法。A data delivery system for delivering data stored in a data provider side storage device by a data provider side device to a data user side device in response to a use request from the data user side device. in, on the data in shipping, a pair of key data is composed of a public key and a private key of an asymmetric cryptography generates the data provider side apparatus, encrypted with one of its key data Day
The data is delivered to the data user side device and stored in the data user side storage device. In response to the use request of the stored data, the other key data is transferred to the data user side device as a decryption key. The procedure for encrypting the decrypted data with one key data of a pair of key data newly generated in the data provider device and re-storing the decrypted data in the data user storage device is the same. Data delivery characterized by repeating each time a use request from the data user side device is issued, and delivering the data stored in the data provider side storage device to the data user side device according to the use request. Method.
の履歴をデータ提供者側装置において監視し、その履歴
に応じてデータ利用者側記憶装置に格納されたデータの
利用を規制することを特徴とする請求項1記載のデータ
配送方法。2. A monitor in the data provider side apparatus a history of use request from the same data user side apparatus, to restrict the use of the data stored in the data user storage device according to the history The data delivery method according to claim 1, wherein:
置とで共通にアクセス可能な記憶装置を備え、データ提
供者側装置が前記記憶装置に格納したデータをデータ利
用者側装置からの利用要求に応じてデータ利用者側装置
で利用可能に前記記憶装置に格納するデータ配送システ
ムにおいて、 配送対象のデータに対し、データ提供者側装置において
非対称暗号法の公開鍵と秘密鍵とで構成された1対の鍵
データを生成し、その一方の鍵データで暗号化して前記
記憶装置に格納しておき、 その格納されたデータの利用要求に対しては、他方の鍵
データを復号鍵としてデータ利用者側装置に転送して復
号化させたうえ、その復号データに対してデータ提供者
側装置において新たに生成した1対の鍵データの一方の
鍵データで暗号化して前記記憶装置に再格納する手順を
同一データ利用者側装置からの利用要求が発行される度
に繰返し、前記記憶装置に格納されたデータを利用要求
に応じてデータ利用者側装置に配送することを特徴とす
るデータ配送方法。 3. A storage device which is commonly accessible by a data provider device and a data user device, wherein the data provider device uses data stored in the storage device from the data user device. In a data distribution system for storing data in a storage device so that it can be used by a data user side device in response to a request, the data provider side device comprises a public key and a secret key of asymmetric cryptography in the data provider side. A pair of key data is generated, encrypted with one of the key data, and stored in the storage device. In response to a request for using the stored data, the other key data is used as a decryption key. The data is transferred to the user side device to be decrypted, and the decrypted data is encrypted with one key data of a pair of key data newly generated in the data provider side device, and the storage device is decrypted. The procedure is repeated each time a use request from the same data user side device is issued, and the data stored in the storage device is delivered to the data user side device according to the use request. Data delivery method to be used.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP30619093A JP3012130B2 (en) | 1993-12-07 | 1993-12-07 | Data delivery method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP30619093A JP3012130B2 (en) | 1993-12-07 | 1993-12-07 | Data delivery method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH07162408A JPH07162408A (en) | 1995-06-23 |
| JP3012130B2 true JP3012130B2 (en) | 2000-02-21 |
Family
ID=17954102
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP30619093A Expired - Fee Related JP3012130B2 (en) | 1993-12-07 | 1993-12-07 | Data delivery method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3012130B2 (en) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11265349A (en) * | 1998-03-17 | 1999-09-28 | Toshiba Corp | Computer system and secret protection method, transmitting/receiving log management method, mutual checking method, and a disclosed key generation management method to be applied to its system |
| US6847719B1 (en) * | 2000-08-11 | 2005-01-25 | Eacceleration Corp. | Limiting receiver access to secure read-only communications over a network by preventing access to source-formatted plaintext |
| JP4552471B2 (en) * | 2004-03-22 | 2010-09-29 | 富士ゼロックス株式会社 | Print control program, print control apparatus, print control system, and print control method |
| JP2010045535A (en) * | 2008-08-11 | 2010-02-25 | Buffalo Inc | Cryptographic-key management system, external device, and cryptographic-key management program |
| JP6181573B2 (en) * | 2014-02-18 | 2017-08-16 | Kddi株式会社 | Data sharing system, data sharing method and program |
-
1993
- 1993-12-07 JP JP30619093A patent/JP3012130B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH07162408A (en) | 1995-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109033855B (en) | Data transmission method and device based on block chain and storage medium | |
| Blaze | Key Management in an Encrypting File System. | |
| US6118874A (en) | Encrypted data recovery method using split storage key and system thereof | |
| US8955158B2 (en) | Method and apparatus for transmitting rights object information between device and portable storage | |
| US6834112B1 (en) | Secure distribution of private keys to multiple clients | |
| US6131090A (en) | Method and system for providing controlled access to information stored on a portable recording medium | |
| CA2315933C (en) | Method and system for granting access to information for electronic commerce | |
| US6189101B1 (en) | Secure network architecture method and apparatus | |
| EP2494486B1 (en) | System for protecting an encrypted information unit | |
| US10417392B2 (en) | Device-independent management of cryptographic information | |
| US20080167994A1 (en) | Digital Inheritance | |
| JP2004522330A (en) | Encryption of data to be stored in the information processing system | |
| CN1327662A (en) | Method and device for securely distributing public/secret key pairs | |
| JP2004120736A5 (en) | ||
| JP2019174995A (en) | Access restriction system, access restriction method and access restriction program | |
| JP2003527035A (en) | Automatic identification protection system with remote third party monitoring | |
| US20030076957A1 (en) | Method, system and computer program product for integrity-protected storage in a personal communication device | |
| US20030046213A1 (en) | Anonymous processing of usage rights with variable degrees of privacy and accuracy | |
| JPH07123086A (en) | Copyright communication management system using IC card | |
| KR100286904B1 (en) | System and method for security management on distributed PC | |
| KR100656402B1 (en) | Method and device for securely distributing digital content | |
| JP3012130B2 (en) | Data delivery method | |
| EP2299379A1 (en) | Digital rights management system with diversified content protection process | |
| JPH03131139A (en) | Key management system for cryptographic key | |
| EP1288830A1 (en) | Anonymous processing of usage rights with variable degrees of privacy and accuracy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081210 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111210 Year of fee payment: 12 |
|
| LAPS | Cancellation because of no payment of annual fees |