加密备份方法以及解密恢复方法

文档序号:2391637阅读:725来源:国知局
专利名称:加密备份方法以及解密恢复方法
技术领域
本发明涉及一种使用IC卡等设备中所存储的电子密匙,对IC卡内以及移动电话等客户终端内的数据进行加密的数据备份方法,以及使用电子密匙安全、简单地恢复已备份的加密数据的数据恢复方法。
背景技术
作为简单、安全、即时地备份以及恢复客户终端的数据的方法,已经公布了一种能够在其他的个人计算机中也可构筑所使用过的个人计算机的环境的方法(参考特开2001-34580号公报)。具体的说,通过用户的密匙将PC上的用户的数据加密,并保存到服务器上进行备份。恢复时从服务器取得所备份的数据,通过用户的密匙来解密。另外,该密匙,最好在IC卡中生成并保存。
相关技术中,没有公布当保存密匙的IC卡发生故障或丢失时、用来恢复保存在服务器中的用户数据的方法。

发明内容
本发明的目的之一是,即使在保存密匙的IC卡发生故障或丢失时,也能够由用户简单且可靠地恢复数据。
另外一个目的在于,在使得用户陷于不测的事态等、而用户自身无法恢复客户端数据的情况下,如果是预先设定的恢复权限者,则能够恢复用户的客户端数据。
亦即,主要目的在于,提供一种即使在备份以及恢复中所使用的密匙数据丢失等时,也能够简单可靠地恢复客户端数据的加密备份方法以及解密恢复方法。
解决上述以及其他课题的本发明的加密备份方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述认证设备所执行的加密备份方法,其特征在于,包括生成对客户端数据进行加密的加密解密用密匙的步骤;将该加密解密用密匙保存到存储装置中的步骤;通过规定的输入接口受理任意的密码的步骤;将该密码作为第1密码保存在存储装置中的步骤;由该第1密码生成再发布用数据处理密匙的步骤;以及通过该再发布用数据处理密匙对上述加密解密用密匙进行加密并生成再发布用数据的步骤。
另外,本发明的加密备份方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述认证设备所执行的加密备份方法,其特征在于,包括通过规定的输入接口受理任意的密码的步骤;将该密码作为第1密码保存在存储装置中的步骤;以及根据保存在存储装置中的设备密匙与上述第1密码、生成对客户端数据进行加密的再发布用数据处理密匙的步骤。
另外,本发明的加密备份方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述认证设备所执行的加密备份方法,其特征在于,包括通过规定的输入接口受理任意的密码的步骤;将该密码作为第1密码保存在存储装置中的步骤;由该第1密码、生成对客户端数据进行加密的再发布用数据处理密匙的步骤;以及利用与被加密备份过的客户端数据的恢复保证者附加关联后保存在存储装置中的保证者密匙,对上述第1密码进行加密,来生成紧急时再发布用数据的步骤。
另外,本发明的解密恢复方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述认证设备所执行的解密恢复方法,其特征在于,包括通过规定的输入接口受理任意的密码的步骤;根据该密码生成再发布用数据处理密匙的步骤;将由作为从输入接口所受理的任意的密码的第1密码生成再发布用数据处理密匙,由该再发布用数据存储目的的信息处理装置中,取得通过该再发布用数据处理密匙对加密解密用密匙进行加密所事先生成的再发布用数据的步骤;以及通过上述再发布用数据处理密匙对该再发布用数据进行解密,并取出对加密客户端数据进行解密的加密解密用密匙的步骤。
另外,本发明的解密恢复方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述认证设备所执行的解密恢复方法,其特征在于,包括通过规定的输入接口受理任意的密码的步骤;以及根据保存在存储装置中的设备密匙与上述密码,生成对加密客户端数据进行解密的再发布用数据处理密匙的步骤。
另外,本发明的解密恢复方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述认证设备所执行的解密恢复方法,其特征在于,包括由该紧急时再发布用数据存储目的的信息处理装置中,取得紧急时再发布用数据的步骤,该紧急时再发布用数据是通过与被加密备份过的客户端数据的恢复保证者附加关联后保存在存储装置中的保证者密匙、对作为通过输入接口所受理的任意密码的第1密码进行加密而事先生成的紧急时再发布用数据;利用保存在存储装置中的保证者密匙,对该紧急时再发布用数据进行解密并取出第1密码的步骤;以及根据该第1密码,生成对加密客户端数据进行解密的再发布用数据处理密匙的步骤。
另外,本发明的解密恢复方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述认证设备所执行的解密恢复方法,其特征在于,包括由该紧急时再发布用数据存储目的的信息处理装置中,取得紧急时再发布用数据的步骤,该紧急时再发布用数据是通过与被加密备份过的客户端数据的恢复保证者附加关联后保存在存储装置中的保证者密匙、对作为通过输入接口所受理的任意密码的第1密码进行加密而事先生成的紧急时再发布用数据;利用保存在存储装置中的保证者密匙,对该紧急时再发布用数据进行解密并取出第1密码的步骤;根据该第1密码生成再发布用数据处理密匙的步骤;根据作为从输入接口所受理的任意的密码的第1密码生成再发布用数据处理密匙,并从该再发布用数据存储目的的信息处理装置中,取得通过该再发布用数据处理密匙对加密解密用密匙进行加密而事先生成的再发布用数据的步骤;以及通过上述再发布用数据处理密匙对该再发布用数据进行解密并取出对加密客户端数据进行解密的加密解密用密匙的步骤。
另外,本发明的解密恢复方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述认证设备所执行的解密恢复方法,其特征在于,包括由该紧急时再发布用数据存储目的的信息处理装置中,取得紧急时再发布用数据的步骤,该紧急时再发布用数据是通过与被加密备份过的客户端数据的恢复保证者附加关联后保存在存储装置中的保证者密匙、对作为通过输入接口所受理的任意密码的第1密码进行加密而事先生成的紧急时再发布用数据;利用与被加密备份过的客户端数据的恢复保证者附加关联后保存在存储装置中的保证者密匙,对该紧急时再发布用数据进行解密,并取出第1密码的步骤;以及根据该第1密码与保存在存储装置中的设备密匙,生成对加密客户端数据进行解密的再发布用数据处理密匙的步骤。
另外,本发明的解密恢复方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述认证设备所执行的解密恢复方法,其特征在于,包括由该紧急时再发布用数据存储目的的信息处理装置中,取得紧急时再发布用数据的步骤,该紧急时再发布用数据是通过与被加密备份过的客户端数据的恢复保证者附加关联后保存在存储装置中的保证者密匙、对认证设备中所生成的对客户端数据进行加密解密的加密解密用密匙进行加密而事先生成的紧急时再发布用数据;以及利用保存在存储装置中的保证者密匙,对该紧急时再发布用数据进行解密,并取出上述加密解密用密匙的步骤。
另外,本发明的解密恢复方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述认证设备所执行的解密恢复方法,其特征在于,包括由该紧急时再发布用数据存储目的的信息处理装置中,取得紧急时再发布用数据的步骤,该紧急时再发布用数据是通过与被加密备份过的客户端数据的恢复保证者附加关联后保存在存储装置中的保证者密匙、对由通过输入接口所受理的作为任意密码的第1密码所生成的再发布用数据处理密匙进行加密而事先生成的紧急时再发布用数据;利用保存在存储装置中的保证者密匙,对该紧急时再发布用数据进行解密,并取出上述再发布用数据处理密匙的步骤;根据从输入接口所受理的作为任意的密码的第1密码,生成再发布用数据处理密匙,并由该紧急时再发布用数据存储目的的信息处理装置中,取得通过该再发布用数据处理密匙对加密解密用密匙进行加密而事先生成的再发布用数据的步骤;以及通过上述再发布用数据处理密匙对该再发布用数据进行解密,并取出对加密客户端数据进行解密的加密解密用密匙的步骤。
另外,本发明的加密备份方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述备份装置所执行的加密备份方法,其特征在于,包括通过规定的输入接口,受理通过认证设备内所生成的加密解密用密匙所加密过的客户端数据的步骤;以及通过规定的输入接口,受理通过在认证设备内根据任意的密码所生成的再发布用数据处理密匙,对上述加密解密用密匙进行加密,由此所生成的再发布用数据的步骤。
另外,本发明的加密备份方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述备份装置所执行的加密备份方法,其特征在于,包括通过规定的输入接口,受理在认证设备内,通过保存在该认证设备中的设备密匙与根据任意的密码所生成的再发布用数据处理密匙,所加密过的加密客户端数据的步骤。
另外,本发明的加密备份方法,是一种在至少具有认证设备与备份装置作为构成要素的系统中的、上述备份装置所执行的加密备份方法,其特征在于,包括通过规定的输入接口,受理在认证设备内,通过根据任意的密码所生成的再发布用数据处理密匙所加密过的加密客户端数据的步骤;以及通过规定的输入接口,受理通过使用保存在认证设备中的保证者密匙的上述任意的密码的加密所生成的紧急时再发布用数据的步骤。
根据本发明,即使在备份或恢复中所使用的密匙数据丢失等时,也能够进行客户端数据的简便可靠的恢复。
此外,通过发明的实施方式以及附图,会使本申请所公布的课题及其解决方法更清楚。


图1为说明本发明的实施方式中的参与者的关系的示意图。
图2为本发明的实施方式中的系统整体图。
图3为本发明的实施方式中的硬件结构图。
图4为本发明的实施方式中的数据迁移图。
图5为本发明的实施方式中的用户登录处理的流程图。
图6为本发明的实施方式中的菜单选择处理的画面图。
图7为本发明的实施方式中的备份处理的画面图。
图8为本发明的实施方式中的备份处理的功能方框图。
图9为本发明的实施方式中的认证设备2次发布处理的流程图。
图10为本发明的实施方式中的加密备份处理的流程图。
图11为本发明的实施方式中的权限者设定处理的流程图。
图12为本发明的实施方式中的权限者设定处理的画面图。
图13为本发明的实施方式中的恢复处理的画面图。
图14为本发明的实施方式中的2次再发布处理的流程图。
图15为本发明的实施方式中的解密恢复处理的流程图。
图16为本发明的实施方式中的PW变更处理的画面图。
图17为本发明的实施方式中的PW变更处理的流程图。
图18为本发明的实施方式中的被回复者·权限者各自的模块内的数据关系图。
图19为本发明的实施方式中的紧急时恢复处理的流程图。
图20为本发明的实施方式中的紧急时再发布用数据再发布处理的流程图。
图21为本发明的实施方式中的紧急时恢复数据保存处理的流程图。
具体实施例方式
下面对照附图对实施本发明的最佳方式进行说明。图1中显示了至少包含有实现本发明的认证设备与备份装置的系统中的参与者的关系。例如,在这样的系统中,接收到来自用户的客户端数据的加密备份或解密恢复的请求之后,根据本发明进行处理。这里的参与者,例如为利用本系统的用户110、服务器运营商220、认证设备发布者330、紧急时恢复保证者440、紧急时恢复权限者550等5个。
紧急时恢复权限者550,在遭遇到不测事件、而使得用户110无法恢复客户端数据的情况下,具有能够强制恢复的紧急时恢复权限的用户110(从系统用户的立场来看与上述用户相同,因此给其标记相同的符号),对每一位用户存在1人以上。另一方面,紧急时恢复保证者440(恢复保证者),对于上述紧急时恢复权限者550来说,是保证紧急时恢复的机关。该紧急时恢复保证者440,在认证设备100中,保存所有的认证设备100中共通的紧急时恢复保证者密匙(保证者密匙),向认证设备发布者330发布认证设备100。
认证设备发布者330,在所接收的认证设备100中,保存所有的认证设备中共通的设备密匙、作为用户110所属的组织的密匙的用户组织密匙以及用户组织ID与权限者信息列表,向用户110以及权限者550发布认证设备100。
将以上的处理定义为认证设备100的1次发布处理。另外,也可以省略权限者信息列表的保存。这种情况下,通过后述的权限者设定处理,编辑并保存权限者信息列表。
这里,用户所属的组织是指,例如用户所工作的公司组织等预先登录在认证设备发布者330中的组织。另外,用户110与权限者550属于同一个用户组织。用户组织ID为唯一分配给每个这样的组织的ID。权限者信息列表是指,收集了包含多个权限者550的各自的权限者ID等的有关紧急时恢复的信息的列表。权限者ID是指,紧急时恢复权限者550的用户ID,由于对于1个用户来说,存在1个以上的权限者,因此权限者ID也为1个以上。关于用户ID将在后面进行详述。另外,保存在认证设备100中的紧急时恢复保证者密匙、设备密匙以及用户组织密匙,在上述紧急时恢复保证者以及认证设备发布者的规定装置等中,使用例如随机数等来生成。
用户110在用户终端200中使用认证设备100,生成客户端数据的恢复时所必要的恢复用数据、以及紧急时恢复所必要的紧急时恢复用的数据,在服务器运营商220所运营的服务器装置中进行备份。另外,服务器运营商220的服务器装置300,将用户110的恢复用数据、以及紧急时恢复权限者550的紧急时恢复用数据,分别发送给各个用户终端200进行恢复。
另外,在不实施紧急时恢复的情况下,也可以省略紧急时恢复保证者440以及紧急时恢复权限者550。另外,还能够省略紧急时恢复保证者密匙、用户组织密匙、用户组织ID、权限者信息列表。
图2中显示了使用本实施方式的客户终端数据备份/恢复系统的构成。认证设备100,保存紧急时恢复保证者密匙、用户组织密匙以及设备密匙等各种数据。另外,该认证设备100,与用户终端200电子连接,进行加密用密匙等各种电子密匙的生成以及数据加密等。关于具体的电子密匙的生成方法以及数据的加密方法将在后面进行说明。另外,该认证设备100可以被容纳在用户终端200中。
另外,用户终端200为用户110所持有的终端。该用户终端200预先保存用户110的客户端数据,通过因特网或移动电话网等通信网络400与服务器装置300相连接。
另外,服务器装置300,通过服务器运营商220所运营的服务器,根据来自用户终端200的请求,或成为客户端端数据的备份目的或成为恢复源。就是说,服务器装置300,相当于本发明中的备份装置。
图3中显示了认证设备100、用户终端200、和服务器装置300的硬件构成。认证设备100,具有进行加密用密匙等各种电子密匙的生成以及数据的加密等的数据的加工·运算的CPU101、CPU101能够直接读写的存储器102以及进行与用户终端200之间的数据交换的通信装置103。
上述存储器102,可以具有暂时保持存储功能与静态保持存储功能两种功能。另外,认证设备100,为了防止加密用密匙等各种电子密匙的伪造以及非法拷贝,最好具有抗篡改性。作为这样的认证设备100的具体例子,可以举出具有CPU功能的存储卡或IC卡等。
用户终端200,是具有进行应用程序的执行等的CPU201、CPU201可直接读写的存储器202、硬盘等外部存储装置205、进行与认证设备100之间的通信的认证设备通信装置203、进行与服务器装置300之间的通信的网络通信装置204、输入装置206(键盘、鼠标、键按钮、声音输入等)以及显示器等显示装置207的一般的计算机系统。作为用户终端200的具体例子,可以举出例如移动电话、PD(Personal Digital Assistant)、PC(Personal Computer)等。
服务器装置300,是具有进行应用程序的执行等的CPU301、CPU301可直接读写的存储器302、进行与用户终端200之间的通信的网络通信装置303以及保存数据的外部存储装置304的一般的计算机系统。作为服务器装置300的具体例子,可以举出例如PC服务器、工作站、主计算机等。
图4中说明本系统中的数据迁移。图中的表格中,横轴表示系统的状态。纵轴表示数据项目和该数据的保存目的的装置。图中,“○”表示存在数据,“-”表示不存在数据。
另外,在不进行紧急时恢复的情况下,可以省略权限者设定处理、紧急时恢复保证者密匙、用户组织密匙、权限者信息列表、用户组织ID、紧急时再发布用数据。
利用本系统时,首先在用户终端200与服务器装置300之间进行用户登录处理。另外,继该用户登录处理之后,进行用户终端200所具有的客户端数据在上述服务器装置300中的备份处理。
在该处理的流程中,首先,在认证设备100与服务器装置300之间,执行相当于用来利用认证设备100的初始化处理的2次发布处理(后述)。之后,执行用户终端200的客户端数据的加密备份处理,并进行针对服务器装置300的加密客户端数据等的备份处理。
被加密的客户端数据的恢复处理,在上述加密备份处理之后,在用户例如将认证设备100以及用户终端200这两方造成了丢失·故障的情况下进行。这种情况下,假定上述用户,预备有新认证设备以及新用户终端。
接下来,在认证设备100与服务器装置300之间,执行相当于用来利用认证设备100的初始化处理的2次发布处理。之后,将预先备份在服务器装置300中的、加密客户端数据解密恢复后保存在用户终端200中,将其回复到原来的状态。
另外,权限者设定处理中,进行紧急时恢复权限者的紧急时恢复的执行中所必要的设定。
图5中显示了用户登录处理的处理流程图。用户登录处理前的系统的数据配置如下所示(参照图4中的“初始状态”列)。认证设备100中,保存有设备密匙、紧急时恢复保证者密匙、用户组织密匙、权限者信息列表、用户组织ID。另外,在认证设备的1次发布处理时省略权限者信息列表的保存的情况下,不保存权限者信息列表。用户终端200中保存有用户的客户端数据。另一方面,服务器装置300中没有特别保存本系统的相关数据。
用户终端200,通过输入装置206(输入接口)从用户110接收姓名及住所这些用户登录信息的输入(步骤S101)。之后,用户终端200向服务器装置300发送包含有用户登录信息的用户登录请求消息。
另一方面,服务器装置300,一旦接收到该消息,对每个用户生成唯一的ID,作为用户ID分配给用户(步骤S102)。接下来,通过例如随机数等生成作为用来防止非法用户的访问的认证信息的、用户ID固有的服务器密码(以下将密码简称为“PW”)(步骤S103)。之后,将用户登录信息、用户ID以及服务器PW,作为用户信息保存在服务器装置300的外部存储装置304中(步骤S104)。另外,服务器装置300,向用户终端200发送包含有用户ID以及服务器PW的用户登录应答消息。
用户终端200,接收该消息,在显示装置207中显示所接收到的用户ID与服务器PW(步骤S105)。此时,用户110,将显示装置207中所显示的用户ID与服务器PW,例如记录在规定的记录媒体中秘密保存起来,通过自身进行管理。
另外,上述的用户登录处理中,用户ID与服务器PW双方或单方也可以不是由服务器装置300所生成的,而是由用户自身110所输入的。这种情况下省略步骤S102以及步骤S103。另外,要确认用户110所输入的用户ID是否被其他的用户已经登录过了,在已经被登录的情况下,请求重新输入用户ID直到接收到唯一的用户ID。
执行了这样的用户登录处理之后,在服务器装置300中,追加保存上述用户登录信息、用户ID以及服务器PW(参照图4)。
接下来,对用户登录处理后、用来进行菜单选择的处理流程进行说明。图6为菜单选择处理时的用户终端200的画面迁移图。假设画面例如为移动电话的显示画面。
用户终端200,在菜单选择处理开始之后,向认证设备100发送新的认证设备确认请求消息。认证设备100接收到该消息之后,判断自身是否是新的认证设备,与该结果一起将新的认证设备确认应答消息发送给用户终端200。另外,新的认证设备100,是指实施1次发布处理阶段的认证设备100。
判断是否为新的认证设备,是在2次发布处理以及2次再发布处理前后根据认证设备100内发生变化的数据来进行判断。例如,为后述的加密用密匙是否被保存在存储器102中,等等。
另外,在丢失之后再发布的认证设备100与用户终端200相连接等情况下,通过对例如用户终端200中不存在客户端数据、或服务器装置300中存在再发行用数据等事实进行验证,用户终端200能够判断该认证设备100是丢失之后再发布的设备。这里所判断的丢失历史信息在用户终端200中被输出给显示装置207等。这种情况下,由于需要进行2次再发布处理,因此例如在图6的例子中,通过强调显示画面11中的“2.回复处理”,或者只显示该回复处理的项目等等,引导用户进行2次再发布处理。
用户终端200接收到新的连接确认应答消息之后,在认证设备100为新的认证设备的情况下,在显示装置207中显示画面11,在不是新的认证设备的情况下显示画面12,分别受理利用菜单的选择。
若在画面11中选择“1.利用新的服务器”,进入2次发布处理,若选择“2.回复处理”,进入2次再发布处理。另外,在画面12中若选择“1.备份”,进入加密备份处理,若选择“2.恢复”,进入解密恢复处理,若选择“3.密码变更”,进入PW变更处理,若选择“4.权限者设定”,进入权限者设定处理。关于各个处理将在后面进行说明。
另外,在不实施紧急时恢复的情况下,画面12中省略“4.权限者设定”菜单。
接下来,对客户端数据的备份处理进行说明。客户端数据的备份处理是指,防备认证设备100或用户终端200的故障·丢失等,将恢复时所必要的各种数据加密后备份在服务器装置300中的处理。该处理,分为2次发布处理与加密备份处理这2个处理。上述2次发布处理中,将客户端数据的解密恢复中所必须的再发布用数据等备份在服务器装置300中,另外,在加密备份处理中,将用户终端200的客户端数据加密后备份在服务器装置300中。
另外,本实施方式中是在服务器装置300中备份数据的,但也可以在用户终端200中进行备份。
图7中显示了客户端数据的备份处理时的用户终端200的画面图,图8中显示了功能方框图。该图8的功能方框图中所示的各个功能部,是执行本发明的。以下,在规定的步骤中同时标出作为该步骤的执行主体的各功能部。图7中的画面,假设例如为移动电话的显示画面。下面用图7、图8以及图9(2次发布处理的处理流程),对认证设备100中的2次发布处理进行说明。
用户终端200,在显示装置207中显示画面21,从用户110受理用户ID、服务器PW以及用户PW的输入(步骤S201)。这里,用户PW是用户110任意设定的,是用来防止他人对认证设备100的非法利用的用户识别信息。
另外,本实施方式中使用的是用户PW,还可以不使用用户PW而使用用户的生物体信息进行生物体认证。作为生物体信息,例如有指纹、签名、虹膜等。
用户终端200,受理了来自用户110的数据输入之后,向认证设备100发送包含有用户ID、服务器PW以及用户PW的2次发行数据生成请求消息。
认证设备100,接收该消息,将用户ID、服务器PW以及用户PW暂存在存储器102中。接下来,产生例如随机数等,来生成解密用密匙(步骤S202)。接下来,根据用户ID、用户PW以及设备密匙,生成再发布数据处理密匙(步骤S203、密匙生成部122)。
关于本生成处理,考虑例如将用户PW与用户ID联结起来的数据作为输入数据,将设备密匙作为密匙数据,适用HMAC(带密匙杂凑(Hash)算法),将其输出作为再发布用数据处理密匙。或者,也可以把将杂凑函数(SHA1或MD5等)适用于将用户PW与用户ID联结起来的数据作为输入数据,将设备密匙作为密匙数据,适用公共密匙加密算法(DES或AES等),将其输出作为再发布用数据处理密匙。除此之外,如果是在用户PW或设备密匙为未知的情况下能够防止再发布用数据处理密匙的生成以及估计的算法,就能够适用于上述生成处理。
接下来,通过上述再发布用数据处理密匙,将加密解密用密匙加密并生成再发布用数据(步骤S204,加密部123)。
之后,向用户终端200发送包含有再发布用数据的2次发布数据生成应答消息。另外,数据的加密,适用DES以及AES等共通密匙加密算法。
另一方面,用户终端200,接收到该消息之后,向服务器装置300发送包含有用户ID、服务器PW以及再发布用数据的再发布用数据登录请求消息。
服务器装置300,接收该再发布用数据登录请求消息,将该所接收到的消息中所包含的用户ID以及服务器PW,与保存在外部存储装置304中的用户ID以及服务器PW相对照,判断是否为合法的用户(步骤S205)。在判断为是合法的用户的情况下,将所接收到的再发布用数据,保存在通过用户ID所唯一确定的用户110个别的数据保存区域中(步骤S206)。另外,服务器装置300,向用户终端200发送再发布用数据登录应答消息。
用户终端200,接收到该消息之后,向认证设备100发送2次发布数据保存请求消息。
认证设备100接收到该消息之后,将用户ID、服务器PW、用户PW、加密解密用密匙,静态保存在存储器102中(步骤S207),并向用户终端200发送2次发布数据保存应答消息,结束处理。
2次发布处理执行之后,在认证设备100中保存用户ID、服务器PW、用户PW、加密解密用密匙,在服务器装置300中保存再发布用数据(参照图4)。
接下来,对继上次2次发布处理之后的、加密备份处理进行说明。加密备份处理,在上次2次发布处理后才进行的情况下,从该2次发布处理继续进行,在加密备份处理为第2次之后的情况下,独立进行加密备份处理。
图10中显示了客户端加密备份处理的处理流程。用户终端200,在显示装置207中显示画面25(图7),从用户接受用户PW的输入(步骤S301)。另外,在2次发布处理后的首次备份的情况下,由于2次发布处理时已经输入了用户PW,因此,可以省略该步骤。
用户终端200受理用户PW的输入之后,在显示装置207中显示画面23,向认证设备100发送包含有用户PW的加密解密用密匙等请求消息。
认证设备100,接收到用户PW之后,将所接收到的用户PW,与保存在存储器102中的用户PW相对照,验证用户PW的正当性(步骤S302)。在这里的验证结果表示用户PW正确的情况下,认证设备100,将保存在存储器102中的、包含有用户ID、服务器PW以及加密解密用密匙的加密解密用密匙等应答消息,发送给用户终端200。
另外,虽然在图10中的流程图中省略了,但即使在用户PW错误的情况下,也能够重复从步骤301开始的处理(再次受理用户PW的输入),直到达到规定的次数。在该处理中,如果超过规定次数而用户PW仍然是错误的,则认证设备一概不执行后面的处理。
用户终端200,接收到加密解密用密匙等应答消息之后,通过加密解密用密匙,对保存在用户终端200中的客户端数据进行加密(步骤S303、加密部126),并生成加密客户端数据。之后,用户终端200,向服务器装置300发送包含有用户ID、服务器PW以及加密客户端数据的备份请求消息。
另外,步骤S303,也可以不在用户终端200内、而是在认证设备100内执行。这种情况下,要对上述处理流程进行如下变更。用户终端200,向认证设备100,代替加密解密用密匙等请求消息,发送包含有用户PW与客户端数据的加密客户端数据生成请求消息。认证设备100接收到该消息之后,执行步骤S302进行用户PW验证,如果用户PW正确,则使用存储器102中所保存的加密用密匙执行步骤S303。之后,向用户终端200,代替加密解密用密匙等应答消息,发送包含有用户ID、服务器PW以及加密客户端数据的加密客户端数据生成应答消息。用户终端200接收到该消息之后,省略步骤S303,向服务器装置300发送备份请求消息。
服务器装置300,接收到备份请求消息之后,进行用户认证(步骤S205)。在判断是合法用户的情况下,将所接收到的加密客户端数据,保存到通过用户ID所唯一确定的用户个别的数据保存区域中(步骤S305)。另外,向用户终端200发送备份应答请求消息。另外,用户终端200接收到该消息之后,在显示装置207中显示画面24,处理结束。
执行了这样的加密备份处理之后,服务器装置300中保存有加密客户端数据(参考图4)。
另外,本实施方式中,从初始状态开始到加密备份之后,是假定了在用户终端200中保存有客户端数据(参考图4),但没有保存客户端数据也可以。
这样,服务器装置300,将加密客户端数据与再发布用数据一起保存起来。再发布用数据,是通过再发布用数据处理密匙对加密解密加密客户端数据的加密解密用密匙加密过的数据。通过对加密解密用密匙进行加密并备份,防止了服务器运营商220非法对加密客户端数据进行解密。
本实施方式中仅对用户终端200内的客户端数据进行加密备份,但也可以不对用户终端200而是只对认证设备100内的数据进行加密备份,也可以对双方进行加密备份。不管在哪种情况下,都要添加从认证设备100向用户终端200发送认证设备内的数据的步骤。
另外,本实施方式中在加密备份的处理流程中,使用加密解密用密匙对客户端数据进行了加密(步骤S303),但也可以通过再发布用数据处理密匙对客户端数据进行加密。
这种情况下,不需要加密解密密匙,在2次发布处理的流程中,省略从2次发布数据生成请求消息到2次发布数据生成应答消息之间的一系列处理,代替再发布用数据登录请求消息,发送包含有用户ID与服务器PW的用户认证请求消息。另外,还省略步骤S206,代替再发布用数据登录应答消息,发送用户认证应答消息。再者,在步骤S207中还省略加密解密用密匙。
而后,在加密备份处理中,认证设备100在步骤S302执行之后,生成再发布用数据处理密匙(步骤S203),在加密解密用密匙等应答消息中,包含有再发布用数据处理密匙而不是加密解密用密匙。
另外,本实施方式中再发布用数据处理密匙,是根据设备密匙与用户PW而生成的,但在进行该生成时也可以省略设备密匙。这种情况下,将杂凑函数适用于用户PW的结果,作为再发布用数据处理密匙。作为杂凑函数的例子,有SHA1与MD5。
接下来,对权限者设定处理进行说明。权限者设定处理是指,编辑包含有权限者ID的权限者消息列表的处理、以及将紧急时恢复所必要的紧急时再发布用数据保存在服务器装置300中的处理。在不实施紧急时恢复的情况下,可以省略权限者设定处理。
图11中显示了权限者设定处理的处理流程,图12中显示了画面迁移图。用户终端200,在显示装置207中显示画面31,从用户接受用户PW的输入(步骤S401)。接下来,显示画面33,从用户110受理权限者名、权限者ID、执行权限比例等这些权限者消息输入(步骤S403)。
这里所说的执行权限比例,表示多个权限者550的紧急时恢复的执行权限的比例。给多个权限者550分别分配比例,在执行紧急时恢复处理时,如果没有得到总计100%以上的认可,就不能够让紧急时恢复处理结束。例如,就其给权限者A550分配100%的权限比例,给权限者B550分配50%的权限比例的情况,进行探讨。权限者A550能够通过自己本身来结束紧急时恢复处理。但是权限者B550,除了自己本身之外,如果没有得到执行权限比例与权限者B550合计起来达到100%以上的组合的权限者的认可,就不能够结束处理。
画面33中表示已保存的权限者消息列表的内容,不仅进行权限者信息的输入、还进行权限者的删除这种权限者信息的编辑。
用户110的权限者信息的输入之后,用户终端200,通过所输入的多个权限者的权限者消息,来判断是否能够执行紧急时恢复(步骤S404),在能够执行的情况下,在显示装置207中显示画面34,对用户110进行确认。在不能够执行的情况下,在显示装置207中显示画面37,重复步骤S403之后的处理。在能够执行的情况下,对用户110进行确认之后,用户终端200生成将多个权限者的权限者信息联结起来的权限者信息列表(步骤S405)。
之后,向认证设备100,发送包含有用户PW与权限者信息列表的紧急时再发布用数据生成请求消息。
认证设备100接收到紧急时再发布用数据生成请求消息之后,对用户PW进行验证(步骤S302)。如果用户PW正确,则根据紧急时恢复保证者密匙与用户组织密匙,生成紧急时再发布用数据处理密匙(步骤S406、密匙生成部124)。关于本生成,例如将紧急时恢复保证者密匙与用户组织密匙联结起来,使其适用杂凑函数来生成。除此之外,如果是在保证者密匙或用户组织密匙为未知的情况下,能够防止进行紧急时再发布用数据处理密匙的生成或估计的算法,就能够适用于上述生成处理。
另外,紧急时恢复保证者密匙与用户组织密匙,可以省略其中任一方。另外,也可以各自存在有多个。
接下来,通过上述紧急时再发布用数据处理密匙,对将用户PW、多个权限者信息以及用户组织ID联结起来的数据进行加密,生成紧急时再发布用数据(步骤S407,加密部125)。另外,也可以省略用户组织ID。另外,还可以代替用户PW、而使用再发布用数据或加密解密用密匙来执行步骤S407。认证设备100向用户终端200发送包含有该紧急时再发布用数据的紧急时再发布用数据生成应答消息。
用户终端200接收到该消息之后,向服务器装置300发送包含有用户ID、服务器PW以及紧急时再发布用数据的紧急时再发布用数据保存请求消息。
服务器装置300接收到该消息之后,进行用户认证(步骤S205),在判断是合法用户的情况下,将所接收到的紧急时再发布用数据,保存到通过用户ID所唯一特定的用户个别的数据保存区域中(步骤S408),另外,向用户终端200发送紧急时再发送用数据保存应答消息。
另一方面,用户终端200接收到该消息之后,向认证设备100发送权限者信息列表保存请求消息。认证设备100接收到该消息之后,将权限者信息列表静态保存在存储器102中(步骤S409)。之后,向用户终端200发送权限者信息列表保存应答消息。用户终端200接收到该消息之后,在显示装置207中显示画面35并结束处理。
另外,在步骤S403中,也可以不设定紧急时恢复的执行权限比例,而是设定执行条件人数。执行条件人数是指,执行紧急时恢复所需要的、进行认可的权限者的人数。例如,在设定条件人数为3人的情况下,如果没有得到3位权限者的认可,就不能够执行紧急时恢复。
在设定执行条件人数的情况下,执行步骤S401之后,在显示装置207中显示画面36并接受条件人数的输入。至于条件人数,或者在画面36中选择“1.”来设定1人以上的任意人数,或者选择“2.全体”。在选择“2.全体”的情况下,如果没有得到全体权限者的认可就不能够执行紧急时恢复。
接下来,用户终端200显示画面38,执行步骤S403。但省略权限比例的输入。以后的处理与设定权限比例的情况一样。但权限者消息列表中包含有执行条件人数数据,省略权限比例。
这样,通过设定权限者设定处理,用户110能够灵活地设定紧急时恢复的执行条件。另外,还能够灵活地应对权限者的增加以及变更这些权限者信息的变更。
另外,有时根据用户所属的组织的运营策略,还可以禁止设定用户110的权限者550。这种情况下,必须保存针对认证设备100的、在一次发布处理中的权限者信息列表。另外,在上述权限者设定处理中,省略步骤S403、S404、S405的处理,从紧急时再发布用数据生成请求消息中省略权限者信息列表。再者,还省略权限者信息列表保存请求消息的发送之后的处理。另外,在这样禁止了设定用户110的权限者550的情况下,可以将权限者设定处理包含在2次发布处理中。
接下来,对客户端数据的恢复处理进行说明。所谓客户端数据的恢复处理,可以认为是,在客户端数据的加密备份处理之后,例如用户将认证设备100以及用户终端200双方造成了丢失·故障等的情况下所执行的处理。这种情况下,对用户所准备的新的认证设备以及新的用户终端实施数据回复处理。该客户端数据的恢复处理,分为2次再发布处理与解密恢复处理等2个处理。2次再发布处理中使认证设备100处于2次发布处理后的状态,另外,在解密备份处理中,回复用户终端200的客户端数据。
另外,在本实施方式中,对服务器装置300中备份数据的情况进行了说明,但是在用户终端200中进行备份的情况下,是由用户终端200而不是服务器装置300进行数据的恢复处理。
图13中显示了用户终端200的画面图。假设图13中所示的画面例如是移动电话的显示画面。另外,图14中显示了认证设备100的2次再发布处理的处理流程。
用户终端200,在显示装置200中显示画面41,从用户110受理用户ID、服务器PW以及用户PW的输入(步骤S501)。之后,用户终端200在显示装置207中显示画面42,向服务器装置300发送包含有用户ID与服务器PW的再发布用数据请求消息。
服务器装置300,接收到该消息之后,使用用户ID与服务器PW进行用户认证(步骤S205)。若用户认证成功,从外部存储装置304取得由该用户ID所特定的、再发布用数据以及紧急时再发布用数据(步骤S502),向用户终端200发送包含有再发布用数据以及紧急时再发布用数据的再发布用数据应答消息。
用户终端200,一旦接收到该消息,就向认证设备100发送包含有用户ID、服务器PW、用户PW、再发布用数据以及紧急时再发布用数据的2次再发布数据保存请求消息。
另一方面,认证设备100,接收到该消息之后,将用户ID、服务器PW、用户PW、再发布用数据以及紧急时再发布用数据暂存在存储器102中。接下来,认证设备100,根据用户ID和用户PW、以及预先保存在认证设备100中的设备密匙,生成再发布用数据处理密匙(步骤S203,密匙生成部122)。接下来,通过该再发布用数据处理密匙对再发布用数据进行解密,取出加密解密用密匙(步骤S503)。接下来,根据紧急时恢复保证者密匙与用户组织密匙,生成紧急时再发布用数据处理密匙(步骤S406),通过该紧急时再发布用数据处理密匙对紧急时再发布用数据进行解密,取出权限者信息列表(步骤S407)。之后,将用户ID、服务器PW、用户PW、加密解密用密匙以及权限者信息列表静态保存在存储器102中(步骤S504),向用户终端200发送2次再发布数据保存应答消息并结束处理。
在执行这样的2次再发布处理后,在认证设备100中追加保存用户ID、服务器PW、用户PW、加密解密用密匙以及权限者信息列表(参考图4)。但是,在不实施紧急时恢复的情况下,或不进行权限者设定处理的情况下,不追加保存权限者信息列表。
另外,在上述的加密备份处理中,通过再发布用数据处理密匙对客户端数据进行加密的情况下,省略再发布用数据以及加密解密用密匙。
另外,在不用设备密匙生成再发布用数据处理密匙的情况下,在步骤S203中省略设备密匙。
另外,在不实施紧急时恢复的情况下,或事先不进行权限者设定处理的情况下,要省略紧急时再发布用数据以及权限者信息列表。
接下来,对继上述2次再发布处理之后的、解密恢复处理进行说明。解密恢复处理,在上述2次再发布处理之后才进行的情况下,从该2次再发布处理继续进行,而在解密恢复处理是第2次之后的情况下,只独立地进行解密恢复处理。图15中显示了解密恢复处理的处理流程。用户终端200,在显示装置207中显示画面44,从用户110受理用户PW的输入(步骤S601)。另外,在2次再发布处理后的第一次恢复的情况下,由于在2次再发布处理中已经输入了用户PW,因此,也可以省略该步骤。
用户终端200受理了用户PW的输入之后,向认证设备100发送包含有用户PW的加密解密用密匙等请求消息。
认证设备100接收到该消息之后,进行用户PW验证(步骤S302)。如果用户PW正确,则向用户终端200发送保存在存储器102中的、包含有用户ID、服务器PW以及加密解密用密匙的加密解密用密匙等应答消息。
另外,虽然在图15的流程中省略了,但在用户PW错误的情况下,也能够反复进行从步骤S601开始的处理(再次接收用户PW的输入),直到达到规定的次数。进行这样的处理时,在超过了规定次数且用户PW错误的情况下,认证设备100一概不执行之后的处理。
用户终端200接收到加密解密用密匙等应答消息之后,向服务器装置300发送包含有用户ID以及服务器PW的恢复请求消息。
服务器装置300接收到该消息之后,使用用户ID以及服务器PW进行用户认证(步骤S205),在认证成功的情况下,从外部存储装置304取得通过该用户ID所特定的加密客户端数据(步骤S602),向用户终端200发送包含有加密客户端数据的恢复应答消息。
用户终端200接收到该消息之后,通过加密解密用密匙对加密客户端数据进行解密,取出客户端数据(步骤S603)并保存(步骤S604),在显示装置207中显示画面43,结束处理。
另外,步骤S603,还可以不在用户终端200内、而是在认证设备100内执行。这种情况下,对上述的处理流程进行以下变更。
用户终端200,向认证设备100,发送包含有用户PW的用户ID等请求消息,而不是加密解密用密匙等请求消息。
认证设备100接收到该消息之后,执行步骤S302,向用户终端200发送包含有用户ID以及服务器PW的用户ID等的应答消息,而不是加密解密用密匙等应答消息。
另外,用户终端200从服务器装置300接收到恢复应答消息之后,向认证设备100发送包含有加密客户端数据的客户端数据解密请求消息。
认证设备100接收到该消息之后,执行步骤S603,向用户终端200发送包含有客户端数据的加密客户端数据解密应答消息。
用户终端200接收到该消息之后,执行步骤S604并结束处理。
另外,在通过加密备份处理,在与用户终端200的客户端数据一起还备份了认证设备100内的数据的情况下,将上述加密恢复处理流程进行如下变更。
在执行步骤S603之后,向认证设备100,发送包含有认证设备内的数据的认证设备保存请求消息。
认证设备100接收到该消息之后,在存储器102中保存该认证设备数据,向用户终端200发送认证设备数据保存应答消息。用户终端200,接收到该消息之后,执行步骤S506并结束处理。另外,在加密备份处理中只备份了认证设备内的数据,而不备份用户终端200内的客户端数据的情况下,省略步骤S506。
另外,在上述的加密备份处理中,通过再发布用数据处理密匙而不是加密解密用密匙对客户端数据进行加密的情况下,用户终端200,向认证设备100发送包含有用户PW的再发布用数据处理密匙等请求消息,而不是加密解密用密匙等请求消息。
认证设备100接收到该消息之后,根据用户ID、用户PW以及设备密匙生成再发布用数据处理密匙。之后,向用户终端200发送包含有用户ID、用户PW以及再发布用数据处理密匙的再发布用数据处理密匙等应答消息,而不是加密解密用密匙等应答消息。另外,步骤S603中使用再发布用数据处理密匙而不是加密解密用密匙。
执行了上述解密恢复处理之后,用户终端200处于保存有客户端数据的状态(参考图4)。
如上所述,通过在客户端数据的解密恢复中使用再发布用数据,能够不让服务器装置得知客户端数据的内容而进行备份及恢复。
另外,对再发布用数据进行加密解密的再发布用数据处理密匙,根据用户ID、用户PW以及在所有的认证设备中共通的设备密匙等来生成。通过使用用户ID能够生成用户各自的密匙,通过使用用户PW只有知道用户PW的人才能够生成密匙。另外,通过使用设备密匙,再发布用数据处理密匙的生成中认证设备100变成不可缺少的,故能够防止循环攻击PC等的密码。这样,能够安全地生成再发布用数据处理密匙。
再者,由于设备密匙对全体认证设备100都相同,因此,不需要对用户110分别发布认证设备100。所以,认证设备100的发布变得较容易。
另外,反过来,也可以将设备密匙不做成全体认证设备的共通密匙,而是做成个别密匙。这种情况下,由于设备密匙对每个用户110是个别的,因此能够比本实施方式更加安全地生成再发布用数据处理密匙,但认证设备100的发布变得复杂。例如,在用户丢失了认证设备100的情况下,必须将与该认证设备100中所设定的个别的设备密匙相同的设备密匙,设定在再发布认证设备100中。
接下来,对客户端数据的加密备份处理之后的、用户PW的变更处理进行说明。但是,在数据备份处理中,通过再发布用数据处理密匙对客户端数据进行加密的情况下,必须进行与下述的PW变更处理不同的处理。
图16中显示了PW变更处理的画面图,图17中显示了PW变更处理的流程图。另外,图16中的画面假设为移动电话的显示画面。
用户终端200,在显示装置207中显示画面31,从用户110受理用户PW(第2密码)与新用户PW(第3密码)的输入(步骤S701)。之后,用户终端200,在显示装置207中显示画面32的同时,向认证设备100发送包含有用户PW以及新用户PW的用户PW变更数据生成请求消息。
认证设备100,接收到该消息之后,将用户PW与新用户PW暂存在存储器102中,并进行用户PW的验证(步骤S302)。该验证结果,如果用户PW正确,就将其保存在存储器102中,根据设备密匙与用户ID,以及新用户PW,生成新再发行用数据处理密匙(步骤S203)。
另外,虽然在图17中的流程图中省略了,但即使在用户PW错误的情况下,也能够重复从步骤701开始的操作(再次受理用户PW的输入),直到达到规定的次数。在该处理中,如果超过给定次数而用户PW仍然错误,则认证设备一概不执行后面的处理。
接下来,认证设备100,通过新再发布用数据处理密匙对加密解密密匙进行加密,生成新再发布用数据(步骤S702)。接下来,根据紧急时恢复保证者密匙与用户组织密匙,生成紧急时再发布用数据处理密匙(步骤S406),通过该紧急时再发布用数据处理密匙,对将新用户PW、权限者消息列表以及用户组织ID联结起来的数据进行加密后,生成新紧急时再发布用数据(步骤S407)。之后,认证设备100,向用户终端200发送包含有用户ID、服务器PW、新再发布用数据以及新紧急时再发布用数据的用户PW变更数据生成应答消息。
用户终端200接收到该消息之后,向服务器装置发送包含有用户ID、服务器PW、新再发布用数据以及新紧急时再发布用数据的再发布用数据更新请求消息。
服务器装置300接收到该消息之后,使用用户ID与服务器PW进行用户认证(步骤S205),一旦认证成功,将再发布用数据置换为新再发布用数据,将紧急时再发布用数据置换为新紧急时再发布用数据(步骤S703),并向用户终端200发送再发布用数据更新应答消息。
用户终端200,接收到该消息之后,向认证设备100发送用户PW变更请求消息。
认证设备100,接收到该消息之后,将保存在存储器102中的用户PW置换为新用户PW(步骤S704),向用户终端200发送用户PW变更应答消息。用户终端200,在显示装置207中显示画面33,结束处理。
在不进行紧急时恢复的情况下,省略步骤S406以及步骤S407。另外,在用户PW变更数据生成应答消息以及再发布用数据更新请求消息中不包含新紧急时再发布用数据的情况下、在步骤S703中不进行紧急时再发布用数据的更新。
另外,在不使用设备密匙生成了再发布用数据处理密匙的情况下,步骤S203中省略设备密匙。
另外,在权限者设定处理的步骤S407中,对再发布用数据处理密匙而不是密码进行加密后做成紧急再发布用数据的情况下,PW变更处理流程的步骤S407对新再发布用数据处理密匙进行加密后做成新紧急时再发布用数据。
另外,在权限者设定处理的步骤S407中,对加密解密用密匙而不是密码进行加密后做成紧急再发布用数据的情况下,省略PW变更处理流程的步骤S406、步骤S407。另外,用户PW变更数据生成应答消息以及再发布用数据更新请求消息中不包含新紧急时再发布用数据,步骤S703中省略紧急时再发布用数据的更新。
接下来,对紧急时恢复处理进行说明。紧急时恢复是指,当用户110遭遇不测事件、在无法恢复用户110自己的客户端数据的情况下,根据具有能强制恢复的权限的紧急时恢复权限者550的命令,恢复用户110的客户端数据的处理。但是,在用户110事先没有进行权限者设定的情况下,不进行该处理。另外,对应于一个用户,存在1个以上的紧急时恢复权限者。
这里,为了在说明上进行区别,将紧急时恢复权限者所具有的用户终端200记为权限者终端200,将认证设备100记为权限者认证设备100,将紧急时恢复权限者550的用户ID记为权限者ID,将用户PW记为权限者PW,将服务器PW记为权限者服务器PW。该权限者ID,与用户110所具有的认证设备100所拥有的权限者信息列表中所记载的多个权限者ID中的一个相同。另外,将成为紧急时恢复的对象的用户110记为被回复者110,将被回复者110的用户ID记为被回复者ID,将用户PW记为被回复者PW。图18为说明被回复者110与紧急时恢复权限者A550所分别具有的、保存在认证设备100与用户终端200中的数据的示意图。紧急时恢复权限者A,为被回复者110的紧急时恢复权限者中的一位。图中,通过虚线箭头所连起来的数据表示数据内容相同。但是,在权限者设定处理中,通过执行条件人数设定了紧急时恢复的执行条件的情况下,省略图中的权限者信息中的权限比例数据,而包括执行条件人数数据。
下面,对照图19中所示的、紧急时恢复权限者550的一位进行紧急时恢复处理时的处理流程,对紧急时恢复处理进行说明。权限者终端200,首先从权限者550受理权限者PW与被回复者ID的输入(步骤S801)。之后,权限者终端200,向权限者认证设备100发送包含有权限者PW的权限者认证请求消息。
权限者认证设备100接收到该消息之后,对照所接收到的权限者PW与保存在存储器102中的权限者PW,对权限者PW进行验证(步骤S302)。如果权限者PW正确,则向用户终端200发送包含有权限者ID、权限者服务器PW的权限者认证应答消息。
权限者终端200接收到该消息之后,向服务器装置300发送包含有权限者ID、权限者服务器PW以及被回复者ID的紧急时恢复请求消息。
服务器装置300接收到该消息之后,使用所接收到的权限者ID与权限者服务器PW,进行用户认证(步骤S205)。若用户认证成功,服务器装置300,从外部存储装置304中,取的由被回复者ID所确定的被回复者的紧急时再发布用数据、被回复者的再发布用数据、和被回复者的加密客户端数据(步骤S802),向权限者终端200,发送包含有所取得的紧急时再发布用数据、再发布用数据以及加密客户端数据的紧急时恢复应答消息。
权限者终端200一旦接收到该消息,向权限者认证设备100发送包含有紧急时再发送用数据以及再发送用数据的回复处理请求消息。权限者认证设备100接收到该消息之后,根据保存在存储器102中的紧急时恢复保证者密匙与用户组织密匙,生成紧急时再发布用数据处理密匙后,暂存在存储器102中(步骤S406)。接下来,权限者认证设备100,使用该紧急时再发送用数据处理密匙,对紧急时再发送用数据进行解密,取出被回复者PW、权限者信息列表以及用户组织ID后,暂存在存储器102中(步骤S803)。
之后,权限者认证设备100,进行权限者验证(步骤S804),该权限者验证由以下验证组成第1验证,检查步骤S803中所暂存的权限者信息列表中所记载的若干个权限者ID中的一个,与权限者认证设备100所静态保存的、作为自己的用户ID的权限者ID是否一致;第2验证,检查步骤S803中所暂存的用户组织ID,与权限者认证设备100所静态保存的用户组织ID是否一致。该权限者验证中,如果第1以及第2双方的验证结果都表明一致,则在存储器102中所暂存的多个权限者消息列表中,给自己的权限者信息中附加验证,表示认可了紧急时恢复处理(步骤S805)。之后,权限者认证设备100,计算权限者信息列表中已经认可的权限者的执行权限的比例的总和,如果在100%以上,则进入紧急时恢复数据保存处理(图21)。如果不足100%,则进入紧急时再发布用数据再发布处理(图20)。
另外,在设定了执行条件人数而不是执行权限比例的情况下,统计权限者信息列表中已经认可的权限者的人数,在得到了执行条件人数的认可的情况下,进入紧急时恢复数据保存处理(图21)。在没有得到的情况下,进入紧急时再发布用数据再发布处理(图20)。
图20中显示了紧急时再发布用数据再发布处理的处理流程。权限者认证设备100,通过紧急时再发布用数据处理密匙,对暂存在存储器102中的被回复者PW、权限者信息列表以及用户组织ID进行加密,并再生成紧急时再发布用数据(步骤S407)。之后,权限者认证设备100,向权限者终端200发送包含有所生成的新紧急时再发布用数据的回复处理应答消息。
权限者终端200接收到该消息之后,向服务器装置300,发送包含有被回复者ID以及新紧急时再发布用数据的紧急时再发布用数据更新请求消息。
服务器装置300接收到该消息之后,将通过被回复者ID所确定的被回复者的紧急时再发布用数据,更新为新紧急时再发布用数据(步骤S806),向权限者终端200发送紧急时再发布用数据更新应答消息并结束处理。
图21中显示了紧急时恢复数据保存处理的处理流程。权限者认证设备100,根据被回复者ID与被回复者PW以及设备密匙,生成被回复者的再发布用数据处理密匙(步骤S203)。之后,权限者认证设备100,通过该再发送用数据处理密匙,对被回复者的再发送用数据进行解密,取出加密解密用密匙(步骤S807),向权限者终端200发送包含有加密解密用密匙的被回复者加密解密用密匙应答消息。
权限者终端200接收到该消息之后,通过加密解密用密匙对被回复者的加密客户端数据进行解密(步骤S809),取出被回复者110的客户端数据,保存在权限者终端200中并结束处理(步骤S810)。
这样,在执行紧急时恢复的情况下,所设定的多个权限者550分别进行紧急时恢复处理,通过给各个权限者消息中添加检验来进行对紧急时恢复执行的认可。如果没有收集到满足执行条件的权限者550的认可,则被回复者的客户端数据不能够恢复。另外,这里是假定紧急时恢复权限者550存在有多个,但根据用户所属的组织的运营策略,紧急时恢复权限者550也可以是1个。
另外,本实施方式中,在紧急时恢复处理的执行中,作为确认权限者的认证设备100的合法性的手段,是以权限者信息列表中是否记载有权限者ID进行了判断,但也可以在认证设备100中设置表示设备类型的数据项目,通过该数据项目的值,来确认权限者的认证设备100的合法性。例如,设定为若该数据项目的值为1则判断是合法权限者的认证设备100等。这样的设备类型数据,例如在1次发布处理时设定。在设定了设备类型数据的情况下,省略权限者信息列表。另外,在设定设备类型数据的同时,还设定执行条件人数等紧急时恢复执行条件数据。通过设置设备类型数据,发布紧急时恢复处理的能够·不能够执行这2种认证设备100。如果能够执行紧急时恢复处理的认证设备100是同一个用户组织,则对所有的用户110来说具有紧急时恢复权限。这种情况下,由于也可以不对每个用户110设定各自的权限者,因此能够比较容易地实现紧急时恢复功能。
另外,图21的步骤S809,还可以不在权限者终端200内、而是在认证设备100内执行。这种情况下,对图19的处理流程进行如下变更。
权限者终端200,向权限者认证设备100,不是发送回复处理请求消息,而发送包含有被回复者的紧急时再发布用数据、再发布用数据以及加密客户端数据的被回复者数据回复请求消息。再者,图21的处理流程中,权限者认证设备100,在步骤S807的执行之后,执行S809,向权限者终端200发送包含有被解密了的被回复者的客户端数据的被回复者数据解密应答消息,而不是发送回复处理应答消息。权限者终端200接收到该消息之后,执行步骤S810,结束处理。
另外,在权限者设定处理流程的步骤S407中,不是对用户PW而是对再发布用数据处理密匙行进加密后,将其作为紧急时再发布用数据的情况下,省略图21的处理流程的步骤S203。另外,在图20的处理流程中,不使用用户PW而使用再发布用数据处理密匙执行步骤S407。在对加密解密用密匙进行加密并作为紧急时再发送用数据的情况下,省略图21的处理流程的步骤S203以及S807。另外,在图20的处理流程中,不使用用户PW而使用加密解密用密匙执行步骤S407。
另外,在客户端数据的加密备份时,通过再发布用数据处理密匙对客户端数据进行过加密的情况下,在图19以及图21的处理流程中省略再发布用数据,并且省略步骤S807,在回复处理应答消息中包含有再发布用数据处理密匙而不是加密解密用密匙。权限者终端200接收到该消息之后,通过再发布用数据处理密匙,对被回复者的加密客户端数据进行解密。
另外,在不使用设备密匙生成了再发布用数据处理密匙的情况下,步骤S203中省略设备密匙。
另外,本发明中,即使在替换掉用户终端200,或者误删除客户端数据的情况下,也能够恢复客户端数据。这种情况下,省略2次再发布处理,只独立执行解密恢复处理。但解密恢复处理流程的步骤S601是必不可少的。
另外,本发明中,对认证设备100与用户终端200同时丢失·故障的情况下的数据恢复处理进行了说明,而在只有认证设备100丢失·故障的情况下,只执行2次再发布处理。但是,在客户端数据的加密备份处理中,在备份了认证设备100内的数据的情况下,要进行2次再发布处理与解密恢复处理双方。另外,在只有用户终端200丢失·故障的情况下,只执行解密恢复处理。这种情况下,步骤S601是必不可少的。
另外,如上所述,认证设备100、服务器装置300、或者用户终端200中的各个功能部121~126,在各个认证设备等中既可以通过硬件实现,也可以通过保存在HDD和内存等适当的存储装置中的程序来实现。这种情况下,具有各个功能部的上述各个认证设备100等中的CPU为了执行程序,而要从存储装置中将该程序读出到内存,并执行它。
根据本发明,即使在保存有密匙的IC卡发生故障或丢失的情况下,也能够通过用户来进行简便可靠的数据恢复。另外,即使在用户遭遇不测,从而不能够由用户自己进行客户端数据的恢复的情况下,也能够由预先所设定的恢复权限者来恢复上述客户端数据。
再者,即使在用户误删除了客户终端的数据的场合,或者更换了客户终端的场合,也能够简便可靠地进行客户端数据的恢复。
因此,即使在备份或恢复中所使用的密匙数据丢失等时,也能够简便可靠地进行客户端数据的恢复。
以上,就其本发明的实施方式,根据其实施方式进行了具体说明,但并不仅限于此,还可以在不脱离其宗旨的范围内进行各种变更。
权利要求
1.一种加密备份方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述认证设备来执行,其特征在于,包括以下步骤生成对客户端数据进行加密的加密解密用密匙的步骤;将该加密解密用密匙保存到存储装置中的步骤;通过规定的输入接口接收任意的密码的步骤;将该密码作为第1密码保存到存储装置中的步骤;由该第1密码生成再发布用数据处理密匙的步骤;以及通过该再发布用数据处理密匙对上述加密解密用密匙进行加密,并生成再发布用数据的步骤。
2.一种加密备份方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述认证设备来执行,其特征在于,包括以下步骤通过规定的输入接口接收任意的密码的步骤;将该密码作为第1密码保存在存储装置中的步骤;由保存在存储装置中的设备密匙与上述第1密码,生成对客户端数据进行加密的再发布用数据处理密匙的步骤。
3.根据权利要求1所述的加密备份方法,其特征在于,包括以下步骤通过规定的输入接口接收来自用户的第2密码以及第3密码的输入的步骤;比较该第2密码与保存在存储装置中的上述第1密码,在二者一致的情况下,将上述第3密码置换为上述存储装置中的上述第1密码的步骤;由上述第3密码生成第2再发布用数据处理密匙的步骤;以及通过该第2再发布用数据处理密匙,生成对上述加密解密用密匙进行加密的第2再发布用数据的步骤。
4.一种加密备份方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述认证设备来执行,其特征在于,包括以下步骤通过规定的输入接口接收任意的密码的步骤;将该密码作为第1密码保存在存储装置中的步骤;由该第1密码,生成对客户端数据进行加密的再发布用数据处理密匙的步骤;利用与被加密备份过的客户端数据的恢复保证者被附加关联后保存在存储装置中的保证者密匙,对上述第1密码进行加密,生成紧急时再发布用数据的步骤。
5.根据权利要求1所述的加密备份方法,其特征在于,包括利用与被加密备份过的客户端数据的恢复保证者被附加关联后保存在存储装置中的保证者密匙,对上述第1密码进行加密,生成紧急时再发布用数据的步骤。
6.根据权利要求4所述的加密备份方法,其特征在于,将利用上述保证者密匙进行加密的对象,作为上述再发布用数据处理密匙而不是作为上述第1密码。
7.根据利要求1所述的加密备份方法,其特征在于,包括利用与被加密备份过的客户端数据的恢复保证者被附加关联后保存在存储装置中的保证者密匙,对上述加密解密用密匙进行加密,生成紧急时再发布用数据的步骤。
8.根据权利要求1所述的加密备份方法,其特征在于,包括认证设备,将至少包含有对客户端数据进行加密的加密解密用密匙的加密备份指示,发送给客户端数据的保存装置的步骤。
9.根据权利要求2所述的加密备份方法,其特征在于,包括认证设备,将至少包含有对客户端数据进行加密的再发布用数据处理密匙的加密备份指示,发送给客户端数据的保存装置的步骤。
10.一种解密恢复方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述认证设备来执行,其特征在于,包括以下步骤通过规定的输入接口接收任意的密码的步骤;由该密码生成再发布用数据处理密匙的步骤;由通过输入接口所接收的作为任意的密码的第1密码、生成再发布用数据处理密匙,并由该再发布用数据存储目的的信息处理装置,取得通过该再发布用数据处理密匙对加密解密用密匙进行加密、事先生成的再发布用数据的步骤;以及通过上述再发布用数据处理密匙对该再发布用数据进行解密,取出对加密客户端数据进行解密的加密解密用密匙的步骤。
11.一种解密恢复方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述认证设备来执行,其特征在于,包括以下步骤通过规定的输入接口接收任意的密码的步骤;以及由保存在存储装置中的设备密匙与上述密码,生成对加密客户端数据进行解密的再发布用数据处理密匙的步骤。
12.一种解密恢复方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述认证设备来执行,其特征在于,包括以下步骤由紧急时再发布用数据存储目的的信息处理装置,取得紧急时再发布用数据的步骤,该紧急时再发布用数据是通过与被加密备份过的客户端数据的恢复保证者被附加关联后保存在存储装置中的保证者密匙、对由通过输入接口所接收的作为任意密码的第1密码进行加密而事先生成的紧急时再发布用数据;利用保存在存储装置中的保证者密匙,对该紧急时再发布用数据进行解密并取出第1密码的步骤;以及由该第1密码,生成对加密客户端数据进行解密的再发布用数据处理密匙的步骤。
13.一种解密恢复方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述认证设备来执行,其特征在于,包括以下步骤由紧急时再发布用数据存储目的的信息处理装置,取得紧急时再发布用数据的步骤,该紧急时再发布用数据是通过与被加密备份过的客户端数据的恢复保证者被附加关联后保存在存储装置中的保证者密匙、对由通过输入接口所接收的作为任意密码的第1密码进行加密而事先生成的紧急时再发布用数据;利用保存在存储装置中的保证者密匙,对该紧急时再发布用数据进行解密,并取出第1密码的步骤;由该第1密码生成再发布用数据处理密匙的步骤;以及由通过输入接口所接收的作为任意的密码的第1密码生成再发布用数据处理密匙,并由该再发布用数据存储目的的信息处理装置,取得通过该再发布用数据处理密匙对加密解密用密匙进行加密而事先生成的再发布用数据的步骤;以及用上述再发布用数据处理密匙对该再发布用数据进行解密,并取出对加密客户端数据进行解密的加密解密用密匙的步骤。
14.一种解密恢复方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述认证设备来执行,其特征在于,包括以下步骤由紧急时再发布用数据存储目的的信息处理装置,取得紧急时再发布用数据的步骤,该紧急时再发布用数据是通过与被加密备份过的客户端数据的恢复保证者被附加关联后保存在存储装置中的保证者密匙、对由通过输入接口所接收的作为任意密码的第1密码进行加密而事先生成的紧急时再发布用数据;利用与被加密备份过的客户端数据的恢复保证者被附加关联后保存在存储装置中的保证者密匙,对该紧急时再发布用数据进行解密,并取出第1密码的步骤;以及由该第1密码和保存在存储装置中的设备密匙,生成对加密客户端数据进行解密的再发布用数据处理密匙的步骤。
15.一种解密恢复方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述认证设备来执行,其特征在于,包括以下步骤由紧急时再发布用数据存储目的的信息处理装置,取得紧急时再发布用数据的步骤,该紧急时再发布用数据是通过与被加密备份过的客户端数据的恢复保证者附加关联后保存在存储装置中的保证者密匙、对认证设备中所生成的对客户端数据进行加密解密的加密解密用密匙进行加密而事先生成的紧急时再发布用数据;以及利用保存在存储装置中的保证者密匙,对该紧急时再发布用数据进行解密,并取出上述加密解密用密匙的步骤。
16.一种解密恢复方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述认证设备来执行,其特征在于,包括以下步骤由紧急时再发布用数据存储目的的信息处理装置,取得紧急时再发布用数据的步骤,该紧急时再发布用数据是通过与被加密备份过的客户端数据的恢复保证者附加关联后保存在存储装置中的保证者密匙、对由通过输入接口所受理的作为任意密码的第1密码所生成的再发布用数据处理密匙进行加密而事先生成的紧急时再发布用数据;利用保存在存储装置中的保证者密匙,对该紧急时再发布用数据进行解密,并取出上述再发布用数据处理密匙的步骤;由从输入接口所受理的作为任意的密码的第1密码生成再发布用数据处理密匙,并从该再发布用数据存储目的的信息处理装置,取得通过该再发布用数据处理密匙对加密解密用密匙进行加密而事先生成的再发布用数据的步骤;以及用上述再发布用数据处理密匙,对该再发布用数据进行解密,并取出对加密客户端数据进行解密的加密解密用密匙的步骤。
17.根据权利要求10所述的解密恢复方法,其特征在于,包括上述认证设备,将至少包含有对加密客户端数据进行解密的加密解密用密匙的解密恢复指示,发送给加密客户端数据的保存装置的步骤。
18.根据权利要求11述的解密恢复方法,其特征在于,包括上述认证设备,将至少包含有对加密客户端数据进行解密的再发布用数据处理密匙的解密恢复指示,发送给加密客户端数据的保存装置的步骤。
19.根据权利要求12述的解密恢复方法,其特征在于,包括认证设备,使用紧急时再发布用数据处理密匙,对再发布用数据进行解密,并取得包含有该再发布用数据的恢复权限者列表的步骤;对上述列表中所记载的某个恢复权限者的信息,进行与该认证设备所保存的信息之间的对照处理,执行权限者验证的步骤;对于上述权限者验证的结果没有问题的各恢复权限者,抽出在上述列表中对各个恢复权限者规定的执行权限强度的值,并计算出其总计值的步骤;在上述总计值为规定阈值或规定阈值以上的情况下,执行针对该恢复权限者的用户终端的紧急时恢复处理的指示的步骤。
20.根据权利要求19述的解密恢复方法,其特征在于,包括对于上述权限者验证的结果没有问题的各恢复权限者,计算在上述列表中的相应人数的步骤;在上述相应人数为规定阈值或规定阈值以上的情况下,执行针对该恢复权限者的用户终端的紧急时恢复处理的指示的步骤。
21.一种加密备份方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述备份装置来执行,其特征在于,包括以下步骤通过规定的输入接口,接收通过认证设备内所生成的加密解密用密匙所加密过的客户端数据的步骤;以及通过规定的输入接口,接收再发布用数据的步骤,该再发布用数据是通过在认证设备内由任意的密码所生成的再发布用数据处理密匙、对上述加密解密用密匙进行加密所生成的再发布用数据。
22.一种加密备份方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述备份装置来执行,其特征在于,包括以下步骤通过规定的输入接口,接收加密客户端数据的步骤,该加密客户端数据是在认证设备内通过保存在该认证设备中的设备密匙与由任意的密码所生成的再发布用数据处理密匙所加密过的加密客户端数据。
23.一种加密备份方法,其用于作为构成要素至少具有认证设备与备份装置的系统中,由上述备份装置来执行,其特征在于,包括以下步骤通过规定的输入接口,接收加密客户端数据的步骤,该加密客户端数据是通过在认证设备内由任意的密码所生成的再发布用数据处理密匙所加密的加密客户端数据;以及通过规定的输入接口,接收紧急时再发布用数据的步骤,该紧急时再发布用数据是通过使用保存在认证设备中的保证者密匙的上述任意的密码的加密所生成的紧急时再发布用数据。
24.根据权利要求21所述的加密备份方法,其特征在于,包括通过规定的输入接口,接收紧急时再发布用数据的步骤,该紧急时再发布用数据是通过使用被保存在认证设备中的保证者密匙的上述任意的密码的加密所生成的紧急时再发布用数据。
25.根据权利要求23所述的加密备份方法,其特征在于,包括通过规定的输入接口,接收紧急时再发布用数据的步骤,该紧急时再发布用数据是上述再发布用数据处理密匙而不是上述任意的密码的、基于上述保证者密匙的加密所生成的紧急时再发布用数据。
26.根据权利要求21所述的加密备份方法,其特征在于,包括通过规定的输入接口,接收紧急时再发布用数据的步骤,该紧急时再发布用数据是通过使用保存在认证设备中的保证者密匙的上述加密解密用密匙的加密所生成的紧急时再发布用数据。
全文摘要
通过认证设备内所生成的加密解密用密匙对用户的数据进行加密。由密码与设备内的设备密匙生成再发布用数据处理密匙,通过所生成的密匙对加密解密用密匙进行加密来生成再发布用数据。另外,通过由保证者密匙与用户组织密匙所生成的紧急时再发布用数据处理密匙,对密码与权限者的ID等进行加密来生成紧急时再发布用数据。在服务器装置中备份加密过的用户的数据、再发布用数据以及紧急时再发布用数据。这样,即使在备份以及恢复中所使用的密匙数据丢失等时,也能够进行客户端数据的简便可靠的恢复。
文档编号G09C1/00GK1684410SQ20051000231
公开日2005年10月19日 申请日期2005年1月17日 优先权日2004年4月13日
发明者葛西香里, 寺村健, 齐藤元伸 申请人:株式会社日立制作所
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1