JPH07162408A - Data delivery method - Google Patents
Data delivery methodInfo
- Publication number
- JPH07162408A JPH07162408A JP30619093A JP30619093A JPH07162408A JP H07162408 A JPH07162408 A JP H07162408A JP 30619093 A JP30619093 A JP 30619093A JP 30619093 A JP30619093 A JP 30619093A JP H07162408 A JPH07162408 A JP H07162408A
- Authority
- JP
- Japan
- Prior art keywords
- data
- key
- stored
- storage device
- user side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000002716 delivery method Methods 0.000 title claims description 6
- 238000012384 transportation and delivery Methods 0.000 claims abstract description 9
- 238000000034 method Methods 0.000 claims description 12
- 238000012546 transfer Methods 0.000 abstract description 18
- 230000005540 biological transmission Effects 0.000 abstract description 5
- 238000012545 processing Methods 0.000 description 20
- 238000013500 data storage Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 7
- 238000013523 data management Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
Abstract
Description
【0001】[0001]
【産業上の利用分野】本発明は、ネットワークを介して
データを送受信するデータ配送方法に関わり、特にデー
タの提供者側でデータを暗号化して送信し、データの利
用者側で暗号データを復号化して利用するデータ配送方
法に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a data delivery method for transmitting and receiving data via a network, and in particular, the data provider side encrypts and transmits the data, and the data user side decrypts the encrypted data. The present invention relates to a data delivery method that is used after being converted.
【0002】[0002]
【従来の技術】ネットワークを介してデータの送受信を
行うデータ配送システムにおいては、データの利用者が
ネットワークを介して利用者側に配置されたシステムで
データにアクセスした回数や期間などをデータ提供者側
で把握あるいは管理したい場合がある。2. Description of the Related Art In a data delivery system for transmitting and receiving data via a network, the data provider determines the number of times the data user has accessed the data through a system arranged on the user side and the period of time. There is a case where the side wants to grasp or manage.
【0003】この要求に対し、次のような従来技術があ
る。In response to this demand, there are the following conventional techniques.
【0004】(1)データ利用者側の補助記憶装置上に
データ利用者のアクセスの履歴情報をファイルとして保
存する。この履歴情報ファイルの内容は、定期的にデー
タ提供者側からネットワークを介して取り出すか、デー
タ利用者側からネットワークを介して定期的に転送させ
るようにする。(1) The history information of the access of the data user is stored as a file in the auxiliary storage device on the data user side. The contents of this history information file are taken out periodically from the data provider side via the network, or are periodically transferred from the data user side via the network.
【0005】(2)データ利用者がデータにアクセスす
る都度、ネットワークを介してその旨を通知するメッセ
ージをデータ提供者側に送信させ、そのメッセージの内
容をデータ提供者側の補助記憶装置上に履歴情報ファイ
ルとして保存する。(2) Each time the data user accesses the data, a message notifying the fact is transmitted to the data provider side via the network, and the content of the message is stored in the auxiliary storage device of the data provider side. Save as a history information file.
【0006】ところが、このようにして作成した履歴情
報ファイルの内容がデータ利用者によって故意に改ざん
されたり、隠蔽されたりする場合がある。However, the contents of the history information file thus created may be tampered with or intentionally hidden by the data user.
【0007】そこで、履歴情報ファイルの改ざんや隠蔽
を防止する方法として、次のような技術がある。Therefore, as a method of preventing falsification and concealment of the history information file, there are the following techniques.
【0008】(1)データ利用者側で補助記憶装置上に
保存される履歴情報ファイルを暗号化することにより、
改ざんを防ぐ。(1) By encrypting the history information file saved on the auxiliary storage device on the data user side,
Prevent tampering.
【0009】(2)データ利用者のアクセス要求の度に
ネットワークを介してデータを転送し、アクセス完了後
に廃棄することにより、アクセス履歴情報の隠蔽を防
ぐ。(2) Data is transferred via the network each time the data user makes an access request, and the data is discarded after the access is completed to prevent the access history information from being hidden.
【0010】(3)アクセス履歴情報をICカードなど
のインタフェースが限定された機器を利用して保存する
ことにより、履歴情報の改ざんや隠蔽を防止する。(3) The access history information is stored by using a device having a limited interface such as an IC card to prevent the history information from being falsified or hidden.
【0011】この他に、「日経コンピュータ」(193
3.11.1号 p72〜p73)の「識別、認証シス
テム」に使用されている方法がある。In addition to this, "Nikkei Computer" (193
There is a method used for the "identification and authentication system" in 3.11.1, p72 to p73).
【0012】[0012]
【発明が解決しようとする課題】しかし、これらの方法
ではデータへのアクセスはその履歴と無関係に行うこと
が可能であり、データ利用者がデータへアクセスした
後、履歴情報ファイルを過去のものと置き換える、ある
いはネットワークを履歴情報が転送されるのを妨害する
など、データ利用者側の簡単な操作でデータアクセス履
歴情報の隠蔽が可能になってしまうという問題がある。However, with these methods, it is possible to access the data independently of the history, and after the data user has accessed the data, the history information file is regarded as the past one. There is a problem that the data access history information can be concealed by a simple operation on the data user side, such as replacement or blocking transfer of history information through the network.
【0013】また、データ利用者のアクセス権の消滅な
どにより、ある時期からデータへのアクセスを拒否した
い場合、データ利用者の補助記憶装置上のデータを消去
する必要があるが、データ利用者によるデータの複写お
よび隠蔽により実質的には無期限のデータアクセスを防
止できないという問題がある。When it is desired to deny access to the data from a certain time due to the disappearance of the access right of the data user, it is necessary to erase the data on the auxiliary storage device of the data user. There is a problem that it is impossible to prevent virtually unlimited data access by copying and hiding data.
【0014】本発明の目的は、データへの不正なアクセ
スを防止し、かつデータへアクセスしたことをデータ提
供者側で確実に把握することができるデータ配送方法を
提供することである。An object of the present invention is to provide a data delivery method which prevents unauthorized access to data and allows the data provider side to surely know that the data has been accessed.
【0015】[0015]
【課題を解決するための手段】上記目的を達成するため
に本発明は、データ提供者側装置が記憶装置に格納した
データをデータ利用者側装置からの利用要求に応じてデ
ータ利用者側装置に配送するデータ配送システムにおい
て、配送対象のデータに対し、データ提供者側装置にお
いて非対称暗号法の公開鍵と秘密鍵とで構成された1対
の鍵データを生成し、その一方の鍵データで暗号化して
前記記憶装置に格納しておき、その格納されたデータの
利用要求に対しては、他方の鍵データを復号鍵としてデ
ータ利用者側装置に転送して復号化させたうえ、その復
号データに対してデータ提供者側装置において新たに生
成した1対の鍵データの一方の鍵データで暗号化して前
記記憶装置に再格納する手順を同一データ利用者側装置
からの利用要求が発行される度に繰返し、前記記憶装置
に格納されたデータを利用要求に応じてデータ利用者側
装置に配送するようにしたものである。In order to achieve the above object, the present invention provides a data user side device in response to a use request from a data user side device for data stored in a storage device by a data provider side device. In the data delivery system that delivers the data to the destination, a pair of key data composed of the public key and the private key of the asymmetric cryptography is generated in the data provider side device for the data to be delivered, and one of the key data is used. The encrypted data is stored in the storage device, and in response to the usage request of the stored data, the other key data is transferred to the data user side device as a decryption key to be decrypted and then decrypted. A procedure for encrypting data with one key data of a pair of key data newly generated in the data provider side device and re-storing the data in the storage device is requested by the same data user side device. It repeated each time it is the row, in which so as to deliver the data user side apparatus in accordance with data stored in the storage device to the use request.
【0016】そのうえで、同一データ利用者側装置から
の利用要求の履歴をデータ提供者側装置において監視
し、その履歴に応じて記憶装置に格納されたデータの利
用を規制するようにしたことを特徴とする。Further, the history of usage requests from the same data user side device is monitored in the data provider side device, and the use of the data stored in the storage device is regulated according to the history. And
【0017】さらに、1対の鍵データを非対称暗号法の
公開鍵と秘密鍵とで構成したことを特徴とする。Further, it is characterized in that a pair of key data is composed of a public key and a secret key of asymmetric cryptography.
【0018】[0018]
【作用】本発明によれば、配送対象のデータに対し、デ
ータ提供者側装置において公開鍵と秘密鍵とで構成され
た1対の鍵データを生成する。例えば、鍵データA1,
A2を生成する。そして、その一方の鍵データA1で配
送対象のデータを暗号化して記憶装置に格納する。According to the present invention, a pair of key data composed of a public key and a secret key is generated in the data provider side device for the data to be delivered. For example, the key data A1,
Generate A2. Then, the data to be delivered is encrypted with one of the key data A1 and stored in the storage device.
【0019】その格納されたデータに対して利用要求が
あったならば、他方の鍵データA2を復号鍵としてデー
タ利用者側装置に転送し、この鍵データA2で復号化さ
せて利用させる。この時、その復号データに対してデー
タ提供者側装置において新たに生成した1対の鍵データ
B1,B2の一方の鍵データB1で暗号化して記憶装置
に再格納する。この手順を同一データ利用者側装置から
の利用要求が発行される度に繰返し、記憶装置に格納さ
れたデータを利用要求に応じてデータ利用者側装置に配
送する。When there is a use request for the stored data, the other key data A2 is transferred to the data user side device as a decryption key and decrypted with this key data A2 for use. At this time, the decrypted data is encrypted with one key data B1 of the pair of key data B1 and B2 newly generated in the data provider side device, and stored again in the storage device. This procedure is repeated each time a usage request is issued from the same data user side device, and the data stored in the storage device is delivered to the data user side device in response to the usage request.
【0020】すなわち、データ利用者側装置ではデータ
にアクセスする度に新たな復号鍵が与えられ、その復号
鍵でデータをアクセスする。そして、一度アクセスした
データは、新たな鍵データで暗号化されて記憶装置に再
格納される。このため、データ利用者側装置では、新た
な利用要求を行って新たな復号鍵が再発行された時以外
はデータをアクセスすることはできない。すなわち、デ
ータ提供者側装置に正規に配送依頼を行なわない限り、
データをアクセスすることはできなくなる。よって、デ
ータへの不正なアクセスを防止し、かつデータへアクセ
スしたことをデータ提供者側で確実に把握することがで
きる。That is, the data user side apparatus is given a new decryption key each time the data is accessed, and the data is accessed with the decryption key. Then, the accessed data is encrypted with the new key data and stored again in the storage device. Therefore, the data user side device cannot access the data except when a new usage request is issued and a new decryption key is reissued. In other words, unless you make a delivery request to the data provider's device,
You will not be able to access the data. Therefore, the unauthorized access to the data can be prevented, and the data provider can surely know that the data has been accessed.
【0021】そのうえで、同一データ利用者側装置から
の利用要求の履歴をデータ提供者側装置において監視す
る。これにより、その履歴に応じて記憶装置に格納され
たデータの利用を規制することができる。Then, the history of the usage request from the same data user side device is monitored in the data provider side device. This makes it possible to regulate the use of the data stored in the storage device according to the history.
【0022】[0022]
【実施例】以下、本発明を図示する実施例に基づき詳細
に説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The present invention will be described in detail below with reference to illustrated embodiments.
【0023】(実施例1)まず、非対称暗号法を用いる
実施例について説明する。(Embodiment 1) First, an embodiment using the asymmetric cryptography will be described.
【0024】図1は、データ提供者側及び利用者側のシ
ステムの全体を構成を示すブロック図である。FIG. 1 is a block diagram showing the overall configuration of a system on the data provider side and a system on the user side.
【0025】図1において、101及び102はネット
ワーク103を介して通信を行う機能を有する計算機シ
ステムであり、101はデータ利用者側の計算機システ
ム、102はデータ提供者側の計算機システムである。In FIG. 1, 101 and 102 are computer systems having a function of communicating via the network 103, 101 is a computer system on the data user side, and 102 is a computer system on the data provider side.
【0026】104〜106は、補助記憶装置、107
は計算機システム101を操作するための端末装置、1
08は利用者側でデータを出力するための端末装置であ
る。この出力装置108は、印字装置やディスプレイ装
置などのデータ保存機能あるいはデータ転送機能を具備
しないもので構成される。Reference numerals 104 to 106 denote auxiliary storage devices, 107.
Is a terminal device for operating the computer system 101, 1
Reference numeral 08 is a terminal device for outputting data on the user side. The output device 108 is configured without a data storage function or a data transfer function such as a printing device or a display device.
【0027】109は非対称暗号法のアルゴリズムに従
って暗号鍵、復号鍵のデータを生成する鍵生成部、11
0は鍵データをネットワーク103を介して転送する鍵
配送部である。Reference numeral 109 is a key generation unit for generating data of an encryption key and a decryption key according to an asymmetric encryption algorithm, 11
Reference numeral 0 is a key distribution unit that transfers the key data via the network 103.
【0028】111はデータ利用者がデータにアクセス
するために送信して来る復号鍵転送要求の回数や日時等
を管理するリクエスト履歴処理部、112は鍵生成部1
09で生成した鍵データに従って配送対象のデータを暗
号化する暗号化処理部、113は暗号データにアクセス
するために必要な復号鍵をデータ提供者側にネットワー
ク103を介して要求する鍵リクエスト送信部である。Reference numeral 111 denotes a request history processing unit for managing the number of times and the date and time of the decryption key transfer request transmitted by the data user to access the data, and 112 denotes the key generation unit 1.
An encryption processing unit that encrypts the data to be delivered according to the key data generated in 09, and 113 is a key request transmission unit that requests the decryption key required to access the encrypted data from the data provider side via the network 103. Is.
【0029】114は暗号データを復号鍵を使用して復
号化する復号化処理部、115は復号データを再び暗号
鍵を使用して暗号化し、補助記憶装置104に格納する
暗号化処理部である。Reference numeral 114 is a decryption processing unit for decrypting the encrypted data using the decryption key, and 115 is an encryption processing unit for encrypting the decrypted data again using the encryption key and storing it in the auxiliary storage device 104. .
【0030】図2は、データ提供者側の計算機システム
102が鍵ペアに関するデータを格納する鍵データ格納
テーブル200の構成を示すもので、この鍵データ格納
テーブル200は補助記憶装置105内に個々の利用者
別に作成される。FIG. 2 shows the configuration of the key data storage table 200 in which the computer system 102 on the data provider side stores the data regarding the key pair. This key data storage table 200 is stored in the auxiliary storage device 105. Created for each user.
【0031】そして、各利用者の鍵データ格納テーブル
200は、利用者を識別するためのユーザID201を
格納する領域と、当該ユーザが利用する複数のデータの
それぞれを識別するためのデータID202を格納する
領域と、暗号鍵および復号鍵からなる鍵ペア203を格
納する領域と、鍵ペア203が既にデータ利用者側に転
送済みであることを示すフラグ204の格納領域とから
構成されている。The key data storage table 200 of each user stores an area for storing a user ID 201 for identifying the user and a data ID 202 for identifying each of a plurality of data used by the user. Area, an area for storing a key pair 203 including an encryption key and a decryption key, and a storage area for a flag 204 indicating that the key pair 203 has already been transferred to the data user side.
【0032】ここで、鍵ペア203のうち、A1,B
1,C1,…,…が暗号鍵、A2,B2,C2,…,…
が復号鍵である。Here, A1 and B of the key pair 203
1, C1, ..., Cryptographic keys, A2, B2, C2 ,.
Is the decryption key.
【0033】図3は、データ利用者側に転送される鍵情
報の構成をもので、鍵データであることを示すデータI
D301、復号鍵データ302、暗号鍵データ303で
構成されている。FIG. 3 shows the structure of the key information transferred to the data user side, which is data I indicating the key data.
It is composed of D301, decryption key data 302, and encryption key data 303.
【0034】図4は、本システムの処理の流れを表すフ
ローチャートである。以下、このフローチャートに従
い、本実施例の動作を説明する。FIG. 4 is a flow chart showing the flow of processing of this system. The operation of this embodiment will be described below with reference to this flowchart.
【0035】まず、データ利用者はデータ提供者側から
のデータの提供(配送)を受けるに先立って、データ提
供者が一意に識別可能なユーザID201をデータ提供
者側計算機システム102で登録する。このユーザID
201は図2の鍵データ格納テーブル200に格納され
る。また、異なるデータの提供を受ける場合は、その度
に該当するデータを識別するデータID202をデータ
提供者側計算システム102で登録する。このデータI
D202は図2の鍵データ格納テーブル200に格納さ
れる。First, the data user registers a user ID 201, which can be uniquely identified by the data provider, on the data provider computer system 102 before receiving (delivery) data from the data provider. This user ID
201 is stored in the key data storage table 200 of FIG. Also, when different data is provided, the data ID 202 for identifying the corresponding data is registered in the data provider side calculation system 102 each time. This data I
D202 is stored in the key data storage table 200 of FIG.
【0036】これに対し、データ提供者側計算システム
102は、該当するデータへのアクセスが利用者に許さ
れる期間を決定し、リクエスト履歴処理部11によって
補助記憶装置106に格納する。On the other hand, the data provider side computing system 102 determines the period during which the user is allowed to access the relevant data, and stores it in the auxiliary storage device 106 by the request history processing section 11.
【0037】この後、データ提供者側計算システム10
2は、配送対象データの転送に先立ち、非対称暗号法の
アルゴリズムに従い、鍵生成部109で非対称の鍵ペア
203を一対生成する(ステップ401)。例えば、A
1,A2といった鍵ペア203の鍵データを一対生成す
る。この鍵ペア203は図2の鍵データ格納テーブル2
00に格納される。After this, the data provider side computing system 10
Prior to the transfer of the data to be delivered, the key generation unit 109 generates a pair of asymmetric key pairs 203 by the key generation unit 109 (step 401). For example, A
A pair of key data of the key pair 203 such as 1 and A2 is generated. This key pair 203 is the key data storage table 2 of FIG.
Stored in 00.
【0038】次に、配送対象データを鍵ペア203の一
方を暗号鍵として暗号化する(ステップ402)。例え
ば、鍵データA1を暗号鍵として暗号化する。そして、
鍵データA1は使用済みであることを示すフラグ204
をセットする。Next, the data to be delivered is encrypted using one of the key pairs 203 as an encryption key (step 402). For example, the key data A1 is encrypted as an encryption key. And
Flag 204 indicating that the key data A1 has been used
Set.
【0039】次に、暗号化された配布対象のデータをデ
ータIDと共にネットワーク103を介して利用者側の
計算機システム101に転送する(ステップ403)。Next, the encrypted data to be distributed is transferred together with the data ID to the computer system 101 on the user side via the network 103 (step 403).
【0040】利用者側の計算機システム101は、暗号
データを受信すると、その暗号データを補助記憶装置1
04に格納する(ステップ404)。When the computer system 101 on the user side receives the encrypted data, the computer system 101 sends the encrypted data to the auxiliary storage device 1.
04 (step 404).
【0041】この状態で、端末装置107からデータ利
用者によるデータへのアクセス要求および出力装置10
8による出力要求が入力されると(ステップ405)、
計算機システム101は、復号鍵転送要求としてアクセ
スしたいデータのIDを鍵リクエスト送信部113から
データ提供者側の計算機システム102に転送する(ス
テップ406)。In this state, the data access request from the terminal device 107 by the data user and the output device 10
When the output request by 8 is input (step 405),
The computer system 101 transfers the ID of the data to be accessed as the decryption key transfer request from the key request transmission unit 113 to the computer system 102 on the data provider side (step 406).
【0042】復号鍵転送要求は、リクエスト履歴処理部
111によって受信され、履歴情報として補助記憶装置
106に格納される。The decryption key transfer request is received by the request history processing section 111 and stored in the auxiliary storage device 106 as history information.
【0043】ここで、前もって設定・登録しておいた期
間に対して、復号鍵転送要求を受信した日時が超過して
いる場合は、アクセス権が消滅している者からの利用要
求であるので、この時点で処理を終了する(ステップ4
07)。Here, if the date and time when the decryption key transfer request is received has exceeded the period set and registered in advance, it means that the request is for use by a person whose access right has disappeared. At this point, the process ends (step 4).
07).
【0044】この場合、鍵データA1,A2は両方共使
用済みとしてフラグ204をセットする。In this case, the key data A1 and A2 are both used and the flag 204 is set.
【0045】しかし、超過していなかった場合は、鍵生
成部109でさらに別のペア鍵データB1,B2を新た
に生成する(ステップ408)。この新たな鍵データB
1,B2は鍵データ格納テーブル200に格納される。However, if the number is not exceeded, the key generation unit 109 newly generates further paired key data B1 and B2 (step 408). This new key data B
1, B2 are stored in the key data storage table 200.
【0046】次に、データIDと鍵データA2,B1を
それぞれ図3のデータ構造に組立て、鍵配送部110に
よって利用者側の計算機システム101に転送する(ス
テップ409)。そして、鍵データA2,B1は使用済
みであることを示すフラグ204をセットする。Next, the data ID and the key data A2 and B1 are assembled into the data structure shown in FIG. 3, and transferred by the key distribution unit 110 to the computer system 101 on the user side (step 409). Then, the flag 204 indicating that the key data A2 and B1 have been used is set.
【0047】データ利用者側の計算機システム101
は、受信した鍵データA2で補助記憶装置104に格納
されている暗号データを復号化し、出力装置108から
出力する(ステップ410)。Computer system 101 on the data user side
Decrypts the encrypted data stored in the auxiliary storage device 104 with the received key data A2 and outputs it from the output device 108 (step 410).
【0048】そして、出力装置108への出力が完了し
たならば、鍵データB1を用いて復号データを暗号化
し、補助記憶装置104に再格納する(ステップ41
1)。When the output to the output device 108 is completed, the decrypted data is encrypted using the key data B1 and stored again in the auxiliary storage device 104 (step 41).
1).
【0049】以降、ここまでの処理を同一利用者からの
復号鍵転送要求が発行される度に繰り返す(ステップ4
12〜415)。Thereafter, the processing up to this point is repeated every time a decryption key transfer request is issued from the same user (step 4).
12-415).
【0050】このように、配送対象のデータに対し、デ
ータ提供者側の計算機システム102において1対の鍵
データを生成し、その一方の鍵データで暗号化して補助
記憶装置104に格納しておき、その格納されたデータ
の利用要求に対しては、他方の鍵データを復号鍵として
データ利用者側の計算機システム101に転送して復号
化させたうえ、その復号データに対してデータ提供者側
の計算機システム102において新たに生成した1対の
鍵データの一方の鍵データで暗号化して補助記憶装置1
04に再格納する手順を同一データ利用者からの利用要
求が発行される度に繰返すことにより、データ利用者側
の計算機システム101では、新たな利用要求を行って
新たな復号鍵が再発行された時以外は補助記憶装置10
4内のデータをアクセスすることはできなくなる。As described above, for the data to be delivered, the computer system 102 on the data provider side generates a pair of key data, which is encrypted with one of the key data and stored in the auxiliary storage device 104. In response to the use request of the stored data, the other key data is transferred as a decryption key to the computer system 101 on the data user side for decryption, and then the data provider side for the decrypted data. Of the pair of key data newly generated in the computer system 102 of FIG.
By repeating the procedure of re-storing in 04, every time a usage request is issued from the same data user, the computer system 101 on the data user side issues a new usage request and reissues a new decryption key. Auxiliary storage device 10 except when
The data in 4 can no longer be accessed.
【0051】すなわち、データ提供者側の計算機システ
ム102に正規に配送依頼を行なわない限り、データを
アクセスすることはできなくなる。よって、データへの
不正なアクセスを防止し、かつデータへアクセスしたこ
とをデータ提供者の計算機システム102で確実に把握
することができる。That is, the data cannot be accessed unless the computer system 102 on the data provider side is properly sent a request for delivery. Therefore, it is possible to prevent unauthorized access to the data and to surely know that the data has been accessed by the computer system 102 of the data provider.
【0052】また、同一データ利用者からの利用要求の
履歴をリクエスト履歴処理部11で監視し、利用可能な
期間が超過している場合はデータの利用を禁止すること
により、利用権限のないアクセスを禁止することができ
る。Further, the history of usage requests from the same data user is monitored by the request history processing unit 11, and if the available period has expired, the use of the data is prohibited, so that access without authorization is made. Can be banned.
【0053】(実施例2)次に、データへのアクセス回
数を限定する実施例について説明する。(Embodiment 2) Next, an embodiment will be described in which the number of times data is accessed is limited.
【0054】図5は、データ提供者側の計算機システム
102が鍵データを格納する鍵データ格納テーブル50
0の構成を示すもので、この鍵データ格納テーブル50
0は補助記憶装置105内に個々の利用者別に作成され
る。FIG. 5 shows a key data storage table 50 in which the computer system 102 on the data provider side stores key data.
This key data storage table 50 shows the configuration of 0.
0 is created in the auxiliary storage device 105 for each individual user.
【0055】そして、各利用者の鍵データ格納テーブル
500は、利用者を識別するためのユーザID501を
格納する領域と、当該ユーザが利用する複数のデータの
それぞれを識別するためのデータID502を格納する
領域と、復号鍵データ503を格納する領域と、この復
号鍵データ503が既にデータ利用者側に転送済みであ
ることを示すフラグ504の格納領域とから構成されて
いる。The key data storage table 500 of each user stores an area for storing a user ID 501 for identifying the user and a data ID 502 for identifying each of a plurality of data used by the user. Area, an area for storing the decryption key data 503, and a storage area for a flag 504 indicating that the decryption key data 503 has already been transferred to the data user side.
【0056】図6は、データ利用者側の計算機システム
101が持つ鍵に関する情報を格納する鍵データ格納テ
ーブル600の構成を示すもので、この鍵データ格納テ
ーブル600は補助記憶装置104内に個々のデータI
D別に作成される。FIG. 6 shows the configuration of a key data storage table 600 for storing information regarding keys possessed by the computer system 101 on the data user side. The key data storage table 600 is stored in the auxiliary storage device 104. Data I
Created for each D.
【0057】そして、テーブル600内の鍵データが適
用されるデータID601を格納する領域と、暗号鍵デ
ータ602を格納する領域と、この暗号鍵データ602
が既に暗号化処理に使用済みであることを示すフラグ6
03の格納領域とから構成されている。Then, an area for storing the data ID 601 to which the key data in the table 600 is applied, an area for storing the encryption key data 602, and this encryption key data 602
6 that indicates that has already been used for encryption processing
03 storage area.
【0058】図7は、データ提供者側の計算機システム
102から利用者側の計算機システム101に転送され
る情報の構成を示すもので、データ種別を示すデータI
D701と、復号鍵データ702とで構成されている。FIG. 7 shows the structure of information transferred from the computer system 102 on the data provider side to the computer system 101 on the user side. Data I indicating the data type is shown.
D701 and decryption key data 702.
【0059】図8は、本実施例の処理の流れを表すフロ
ーチャートである。以下、このフローチャートに従い、
本実施例の動作を説明する。FIG. 8 is a flow chart showing the flow of processing of this embodiment. Below, according to this flowchart,
The operation of this embodiment will be described.
【0060】まず、データ利用者はデータ提供者側から
のデータの提供(配送)を受けるに先立って、データ提
供者が一意に識別可能なユーザID501をデータ提供
者側計算機システム102で登録する。このユーザID
201は図5の鍵データ格納テーブル500に格納され
る。また、異なるデータの提供を受ける場合は、その度
に該当するデータを識別するデータID502をデータ
提供者側計算システム102で登録する。このデータI
D502は図5の鍵データ格納テーブル500に格納さ
れる。First, before receiving the provision (delivery) of data from the data provider side, the data user registers a user ID 501, which can be uniquely identified by the data provider, in the computer system 102 on the data provider side. This user ID
201 is stored in the key data storage table 500 of FIG. Further, when different data is provided, the data provider side computing system 102 registers the data ID 502 for identifying the corresponding data each time. This data I
D502 is stored in the key data storage table 500 of FIG.
【0061】これに対し、データ提供者側計算システム
102は、該当するデータへのアクセスが利用者に許さ
れる回数を決定し、リクエスト履歴処理部11によって
補助記憶装置106に格納する。On the other hand, the data provider side computing system 102 determines the number of times the user is allowed to access the corresponding data, and stores it in the auxiliary storage device 106 by the request history processing section 11.
【0062】この後、データ提供者側計算システム10
2は、配送対象データの転送に先立ち、非対称暗号法の
アルゴリズムに従い、鍵生成部109で非対称の鍵ペア
を上記回数と同じ数だけ生成する(ステップ801)。
例えば、A1,A2,B1,B2といった鍵ペアの鍵デ
ータを生成する。After this, the data provider side computing system 10
Prior to the transfer of the data to be delivered, No. 2 uses the asymmetric encryption algorithm to generate the number of asymmetric key pairs in the key generation unit 109 in the same number as the above number (step 801).
For example, key data of key pairs such as A1, A2, B1 and B2 is generated.
【0063】この鍵ペアのうちA2,B2,C2は復号
鍵データとして図5の鍵データ格納テーブル500に格
納する。また、A1,B1,C1は図6と同一構成の暗
号鍵データリストとして補助記憶装置105に一時格納
する。Of this key pair, A2, B2 and C2 are stored in the key data storage table 500 of FIG. 5 as decryption key data. Further, A1, B1 and C1 are temporarily stored in the auxiliary storage device 105 as an encryption key data list having the same configuration as in FIG.
【0064】次に、暗号鍵データA1を使用して配布対
象のデータを暗号化する(ステップ802)。そして、
図5の鍵データ格納テーブル500において鍵データA
1は使用済みであることを示すフラグ504をセットす
る。Next, the data to be distributed is encrypted using the encryption key data A1 (step 802). And
In the key data storage table 500 of FIG. 5, the key data A
1 sets a flag 504 indicating that it has been used.
【0065】次に、暗号化された配布対象のデータを補
助記憶装置105に一時格納しておいた暗号鍵データリ
ストと共にネットワーク103を介して利用者側の計算
機システム101に転送する(ステップ803)。Next, the encrypted data to be distributed is transferred to the computer system 101 on the user side via the network 103 together with the encryption key data list temporarily stored in the auxiliary storage device 105 (step 803). .
【0066】利用者側の計算機システム101は、暗号
データを受信すると、その暗号データを補助記憶装置1
04に格納する(ステップ804)。また、暗号鍵デー
タリストも補助記憶装置104内に作成された図6の鍵
データ格納テーブル600に格納する。Upon receipt of the encrypted data, the computer system 101 on the user side sends the encrypted data to the auxiliary storage device 1
04 (step 804). The encryption key data list is also stored in the key data storage table 600 of FIG. 6 created in the auxiliary storage device 104.
【0067】この状態で、端末装置107からデータ利
用者によるデータへのアクセス要求および出力装置10
8による出力要求が入力されると(ステップ805)、
計算機システム101は、復号鍵転送要求としてアクセ
スしたいデータのIDを鍵リクエスト送信部113から
データ提供者側の計算機システム102に転送する(ス
テップ806)。In this state, the data access request from the terminal device 107 by the data user and the output device 10
When the output request from the server 8 is input (step 805),
The computer system 101 transfers the ID of the data to be accessed as the decryption key transfer request from the key request transmission unit 113 to the computer system 102 on the data provider side (step 806).
【0068】復号鍵転送要求は、リクエスト履歴処理部
111によって受信され、履歴情報として補助記憶装置
106に格納される。The decryption key transfer request is received by the request history processing section 111 and stored in the auxiliary storage device 106 as history information.
【0069】ここで、前もって作成・登録しておいた復
号鍵群に対して、未使用の復号鍵がない場合は、アクセ
ス権が消滅している者からの利用要求であるので、この
時点で処理を終了する(ステップ807)。Here, if there is no unused decryption key with respect to the decryption key group created and registered in advance, it is a use request from a person whose access right has disappeared, so at this point The process ends (step 807).
【0070】しかし、未使用の復号鍵があれば、データ
IDと鍵データA2とを図3のデータ構造に組立て、鍵
配送部110によって利用者側の計算機システム101
に転送する(ステップ808)。そして、鍵データA2
は使用済みであることを示すフラグ504をセットす
る。However, if there is an unused decryption key, the data ID and the key data A2 are assembled into the data structure of FIG. 3, and the key distribution unit 110 causes the computer system 101 on the user side.
(Step 808). Then, the key data A2
Sets a flag 504 indicating that it has been used.
【0071】データ利用者側の計算機システム101
は、受信した鍵データA2で補助記憶装置104に格納
されている暗号データを復号化し、出力装置108から
出力する(ステップ809)。Computer system 101 on the data user side
Decrypts the encrypted data stored in the auxiliary storage device 104 with the received key data A2 and outputs it from the output device 108 (step 809).
【0072】そして、出力装置108への出力が完了し
たならば、鍵データB1を用いて復号データを暗号化
し、補助記憶装置104に再格納する(ステップ81
0)。When the output to the output device 108 is completed, the decrypted data is encrypted using the key data B1 and stored again in the auxiliary storage device 104 (step 81).
0).
【0073】以降、ここまでの処理を同一利用者からの
復号鍵転送要求が発行される度に繰り返す(ステップ8
11〜814)。Thereafter, the processing up to this point is repeated each time a decryption key transfer request is issued from the same user (step 8).
11-814).
【0074】そして、予めユーザ別に登録しておいた復
号鍵のうち未使用の復号鍵が無くなったならば処理を終
了する。Then, if there is no unused decryption key among the decryption keys registered in advance for each user, the process is terminated.
【0075】従って、この実施例においては、予めユー
ザ別に登録しておいた復号鍵と同一回数のアクセスは許
可されるが、それを超えるアクセスは禁止される。Therefore, in this embodiment, access is permitted the same number of times as the decryption key registered in advance for each user, but access beyond that is prohibited.
【0076】なお、上記各実施例において暗号化した配
布対象のデータは利用者側の補助記憶装置104に格納
しているが、提供者側と利用者側が共通にアクセス可能
な補助記憶装置に格納する構成であってもよい。Although the data to be distributed encrypted in each of the above-described embodiments is stored in the auxiliary storage device 104 on the user side, it is stored in the auxiliary storage device commonly accessible to the provider side and the user side. It may be configured to.
【0077】また、ネットワーク103を介してデータ
を配布しているが、ネットワークを使用しない構成であ
っても適用できることは言うまでもない。Further, although the data is distributed via the network 103, it goes without saying that the present invention can be applied even to a configuration not using the network.
【0078】[0078]
【発明の効果】以上のように本発明においては、配送対
象のデータに対し、データ提供者側装置において1対の
鍵データを生成し、その一方の鍵データで暗号化して前
記記憶装置に格納しておき、その格納されたデータの利
用要求に対しては、他方の鍵データを復号鍵としてデー
タ利用者側装置に転送して復号化させたうえ、その復号
データに対してデータ提供者側装置において新たに生成
した1対の鍵データの一方の鍵データで暗号化して前記
記憶装置に再格納する手順を同一データ利用者側装置か
らの利用要求が発行される度に繰返し、前記記憶装置に
格納されたデータを利用要求に応じてデータ利用者側装
置に配送するようにしたので、データ利用者側装置で
は、新たな利用要求を行って新たな復号鍵が再発行され
た時以外はデータをアクセスすることはできない。すな
わち、データ提供者側装置に正規に配送依頼を行なわな
い限り、データをアクセスすることはできなくなる。よ
って、データへの不正なアクセスを防止し、かつデータ
へアクセスしたことをデータ提供者側で確実に把握する
ことができる。As described above, according to the present invention, a pair of key data is generated in the data provider side device for the data to be delivered, and the one key data is encrypted and stored in the storage device. In response to the usage request of the stored data, the other key data is transferred to the data user side device as a decryption key and decrypted, and then the data provider side The procedure of encrypting with one key data of a pair of key data newly generated in the device and storing again in the storage device is repeated every time a use request is issued from the same data user side device. Since the data stored in is delivered to the data user side device in response to the use request, the data user side device does not issue a new use request and a new decryption key is reissued. Data It can not be accessed. In other words, the data cannot be accessed unless the data provider side device is properly sent a delivery request. Therefore, the unauthorized access to the data can be prevented, and the data provider can surely know that the data has been accessed.
【0079】そのうえで、同一データ利用者側装置から
の利用要求の履歴をデータ提供者側装置において監視す
るようにしたので、その履歴に応じて記憶装置に格納さ
れたデータの利用を規制することができる。Further, since the history of usage requests from the same data user side device is monitored in the data provider side device, the use of the data stored in the storage device can be restricted according to the history. it can.
【図1】本発明の第1の実施例のシステム構成図であ
る。FIG. 1 is a system configuration diagram of a first embodiment of the present invention.
【図2】第1の実施例においてデータ提供者側システム
に作成される鍵データ管理テーブルの構成図である。FIG. 2 is a configuration diagram of a key data management table created in the data provider system in the first embodiment.
【図3】第1の実施例においてデータ利用者側に転送さ
れる鍵データの構成図である。FIG. 3 is a configuration diagram of key data transferred to a data user side in the first embodiment.
【図4】第1の実施例の処理の流れを示すフローチャー
トである。FIG. 4 is a flowchart showing a processing flow of the first embodiment.
【図5】第2の実施例においてデータ提供者側システム
に作成される鍵データ管理テーブルの構成図である。FIG. 5 is a configuration diagram of a key data management table created in the data provider system in the second embodiment.
【図6】第2の実施例においてデータ提利用者側システ
ムに作成される鍵データ管理テーブルの構成図である。FIG. 6 is a configuration diagram of a key data management table created in the data providing user side system in the second embodiment.
【図7】第2の実施例においてデータ利用者側に転送さ
れる鍵データの構成図である。FIG. 7 is a configuration diagram of key data transferred to the data user side in the second embodiment.
【図8】第2の実施例の処理の流れを示すフローチャー
トである。FIG. 8 is a flowchart showing a flow of processing of the second embodiment.
101,102…計算機システム、104,105,1
06…補助記憶装置、107…端末装置、108…出力
装置、109…鍵生成部、110…鍵配送部、111…
リクエスト履歴処理部、112…暗号化処理部、113
…鍵リクエスト送信部、114…復号化処理部、115
…暗号化処理部。101, 102 ... Computer system, 104, 105, 1
06 ... auxiliary storage device, 107 ... terminal device, 108 ... output device, 109 ... key generation unit, 110 ... key distribution unit, 111 ...
Request history processing unit 112 ... Encryption processing unit 113
... key request transmission unit, 114 ... decryption processing unit, 115
... Encryption processing unit.
Claims (2)
たデータをデータ利用者側装置からの利用要求に応じて
データ利用者側装置に配送するデータ配送システムにお
いて、 配送対象のデータに対し、データ提供者側装置において
非対称暗号法の公開鍵と秘密鍵とで構成された1対の鍵
データを生成し、その一方の鍵データで暗号化して前記
記憶装置に格納しておき、 その格納されたデータの利用要求に対しては、他方の鍵
データを復号鍵としてデータ利用者側装置に転送して復
号化させたうえ、その復号データに対してデータ提供者
側装置において新たに生成した1対の鍵データの一方の
鍵データで暗号化して前記記憶装置に再格納する手順を
同一データ利用者側装置からの利用要求が発行される度
に繰返し、前記記憶装置に格納されたデータを利用要求
に応じてデータ利用者側装置に配送することを特徴とす
るデータ配送方法。1. A data delivery system for delivering data stored in a storage device by a data provider side device to a data user side device in response to a usage request from the data user side device. In the data provider side device, a pair of key data composed of a public key and a secret key of asymmetric cryptography is generated, encrypted with one of the key data, stored in the storage device, and stored in the storage device. In response to the data use request, the other key data is transferred to the data user side device as a decryption key to be decrypted, and the decrypted data is newly generated in the data provider side device. The procedure of encrypting with one key data of the paired key data and storing again in the storage device is repeated every time a use request is issued from the same data user side device, and the data stored in the storage device is repeated. Data delivery method characterized by delivering the data user side apparatus in accordance with data on the use request.
の履歴をデータ提供者側装置において監視し、その履歴
に応じて記憶装置に格納されたデータの利用を規制する
ことを特徴とする請求項1記載のデータ配送方法。2. The data provider side device monitors the history of usage requests from the same data user side device, and regulates the use of data stored in the storage device according to the history. The data delivery method according to item 1.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP30619093A JP3012130B2 (en) | 1993-12-07 | 1993-12-07 | Data delivery method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP30619093A JP3012130B2 (en) | 1993-12-07 | 1993-12-07 | Data delivery method |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH07162408A true JPH07162408A (en) | 1995-06-23 |
JP3012130B2 JP3012130B2 (en) | 2000-02-21 |
Family
ID=17954102
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP30619093A Expired - Fee Related JP3012130B2 (en) | 1993-12-07 | 1993-12-07 | Data delivery method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3012130B2 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11265349A (en) * | 1998-03-17 | 1999-09-28 | Toshiba Corp | Computer system and secret protection method, transmitting/receiving log management method, mutual checking method, and a disclosed key generation management method to be applied to its system |
JP2002204230A (en) * | 2000-08-11 | 2002-07-19 | Acceleration Software Internatl Corp | System and method for communication |
JP2005267494A (en) * | 2004-03-22 | 2005-09-29 | Fuji Xerox Co Ltd | Method, apparatus, system and program for controlling printing |
JP2010045535A (en) * | 2008-08-11 | 2010-02-25 | Buffalo Inc | Cryptographic-key management system, external device, and cryptographic-key management program |
JP2015153288A (en) * | 2014-02-18 | 2015-08-24 | Kddi株式会社 | Data sharing system, data sharing method, and program |
-
1993
- 1993-12-07 JP JP30619093A patent/JP3012130B2/en not_active Expired - Fee Related
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11265349A (en) * | 1998-03-17 | 1999-09-28 | Toshiba Corp | Computer system and secret protection method, transmitting/receiving log management method, mutual checking method, and a disclosed key generation management method to be applied to its system |
JP2002204230A (en) * | 2000-08-11 | 2002-07-19 | Acceleration Software Internatl Corp | System and method for communication |
JP2005267494A (en) * | 2004-03-22 | 2005-09-29 | Fuji Xerox Co Ltd | Method, apparatus, system and program for controlling printing |
JP2010045535A (en) * | 2008-08-11 | 2010-02-25 | Buffalo Inc | Cryptographic-key management system, external device, and cryptographic-key management program |
JP2015153288A (en) * | 2014-02-18 | 2015-08-24 | Kddi株式会社 | Data sharing system, data sharing method, and program |
Also Published As
Publication number | Publication date |
---|---|
JP3012130B2 (en) | 2000-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8955158B2 (en) | Method and apparatus for transmitting rights object information between device and portable storage | |
AU2005225951B2 (en) | Method and apparatus for playing back content based on digital rights management between portable storage and device, and portable storage for the same | |
US7155616B1 (en) | Computer network comprising network authentication facilities implemented in a disk drive | |
AU2005225953B2 (en) | Method and apparatus for acquiring and removing information regarding digital rights objects | |
US7779479B2 (en) | Method and apparatus for playing back content based on digital rights management between portable storage and device, and portable storage for the same | |
EP2494486B1 (en) | System for protecting an encrypted information unit | |
US20030204716A1 (en) | System and methods for digital content distribution | |
US20050267845A1 (en) | Apparatus and method for sending and receiving digital rights objects in converted format between device and portable storage | |
JPWO2004109972A1 (en) | User terminal for license reception | |
JP2006514490A (en) | Content distribution system and method between a plurality of parties having a rights management function | |
US20020166056A1 (en) | Hopscotch ticketing | |
EP1852799A2 (en) | Device-independent management of cytographic information. | |
JPH10161937A (en) | Access control method, and information utilizing device | |
JPH07123086A (en) | Copyright communication management system using IC card | |
KR100656402B1 (en) | Method and device for securely distributing digital content | |
JPH07162408A (en) | Data delivery method | |
KR100989371B1 (en) | How to manage digital rights for your personal home domain | |
EP2299379A1 (en) | Digital rights management system with diversified content protection process | |
WO2010061443A1 (en) | Network management program, network management method, and network management server | |
JPH10222567A (en) | Information access controller and method | |
JPH03131139A (en) | Key management system for cryptographic key | |
MXPA06011034A (en) | Method and apparatus for acquiring and removing information regarding digital rights objects | |
HK1108041A (en) | Digital rights management system with diversified content protection process |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081210 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111210 Year of fee payment: 12 |
|
LAPS | Cancellation because of no payment of annual fees |