知財求人 - 知財ポータルサイト「IP Force」
▶ 株式会社東芝の特許一覧 ▶ 東芝エネルギーシステムズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-04-19
(45)【発行日】2024-04-30
(54)【発明の名称】セキュリティ管理システム及びセキュリティ管理方法
(51)【国際特許分類】
H04L 9/32 20060101AFI20240422BHJP
H04L 9/08 20060101ALI20240422BHJP
G06F 21/60 20130101ALI20240422BHJP
G06F 8/61 20180101ALI20240422BHJP
【FI】
H04L9/32 200A
H04L9/08 A
G06F21/60 360
G06F8/61
【請求項の数】
7
(21)【出願番号】P 2020181065
(22)【出願日】2020-10-29
(65)【公開番号】P2022071928
(43)【公開日】2022-05-17
【審査請求日】2023-02-27
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(73)【特許権者】
【識別番号】317015294
【氏名又は名称】東芝エネルギーシステムズ株式会社
(74)【代理人】
【識別番号】110001380
【氏名又は名称】弁理士法人東京国際特許事務所
(72)【発明者】
【氏名】黒田 英彦
(72)【発明者】
【氏名】富永 真哉
(72)【発明者】
【氏名】尾曲 貴志
(72)【発明者】
【氏名】力石 健司
(72)【発明者】
【氏名】代田 孝広
【審査官】中里 裕正
(56)【参考文献】
【文献】特開2017-085250(JP,A)
【文献】特開2001-350534(JP,A)
【文献】特開2001-265588(JP,A)
【文献】特開平10-083297(JP,A)
【文献】特開平09-034799(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
H04L 9/08
G06F 21/60
G06F 8/61
(57)【特許請求の範囲】
【請求項1】
機器に導入される移送データを作成する第1施設及び前記機器が設置される第2施設の各々において、秘匿情報を発行する発行部と、前記発行部から前記秘匿情報を一方向のみに伝送する素子と、
前記第1施設において前記移送データ、前記機器の識別データ及び前記秘匿情報を組み合わせて第1符号を生成する第1符号生成部と、
前記第1施設において、前記移送データ及び前記第1符号を外部記憶媒体に書き込む書込部と、
前記第2施設において、前記外部記憶媒体から前記移送データ及び前記第1符号を読み出す読出部と、
前記第2施設において、前記移送データ、前記識別データ及び前記秘匿情報を組み合わせて第2符号を生成する第2符号生成部と、
前記第2施設において、取得した前記第1符号と生成した前記第2符号との一致/不一致を照合する照合部と、を備えるセキュリティ管理システム。
【請求項2】
請求項1に記載のセキュリティ管理システムにおいて、前記第1施設において、前記秘匿情報に基づく暗号鍵で、前記第1符号及び前記移送データのうち少なくとも前記移送データを暗号化する暗号化部と、
前記第2施設において、前記外部記憶媒体から読み出した暗号化データを、前記秘匿情報に基づく復号鍵で、復号化する復号化部と、を備えるセキュリティ管理システム。
【請求項3】
請求項2に記載のセキュリティ管理システムにおいて、前記第1施設の前記発行部から前記秘匿情報が発行される時間に対し、遅れ時間を設定して前記第2施設の前記発行部から前記秘匿情報を発行させる遅延設定部を備えるセキュリティ管理システム。
【請求項4】
請求項1から請求項3のいずれか1項に記載のセキュリティ管理システムにおいて、前記秘匿情報は、前記発行の度に変化するセキュリティ管理システム。
【請求項5】
請求項2又は請求項3に記載のセキュリティ管理システムにおいて、前記第2施設の前記発行部から過去の前記秘匿情報の所定数を発行させ、前記外部記憶媒体から読み出した前記移送データを復号化し、
前記第2施設において発行された前記所定数の前記秘匿情報、復号化された前記移送データ及び前記識別データから、前記所定数の前記第2符号を生成し、
前記第2施設において、取得した前記第1符号と生成した前記所定数の前記第2符号とを照合するセキュリティ管理システム。
【請求項6】
請求項1から請求項5のいずれか1項に記載のセキュリティ管理システムにおいて、前記第1施設及び前記第2施設の前記発行部はコンピュータネットワークによらない手段で時刻を取得して同期させる又はタイミングを計って同期させるセキュリティ管理システム。
【請求項7】
機器に導入される移送データを作成する第1施設及び前記機器が設置される第2施設の各々において発行部が、秘匿情報を発行し、発行側からの一方向のみ伝送する素子を介して伝送させるステップと、前記第1施設において第1符号生成部が、前記移送データ、前記機器の識別データ及び前記秘匿情報を組み合わせて第1符号を生成するステップと、
前記第1施設において書込部が、前記移送データ及び前記第1符号を外部記憶媒体に書き込むステップと、
前記第2施設において読出部が、前記外部記憶媒体から前記移送データ及び前記第1符号を読み出すステップと、
前記第2施設において第2符号生成部が、前記移送データ、前記識別データ及び前記秘匿情報を組み合わせて第2符号を生成するステップと、
前記第2施設において照合部が、取得した前記第1符号と生成した前記第2符号との一致/不一致を照合するステップと、を含むセキュリティ管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、外部記憶媒体で電子情報を受け渡しする際のセキュリティ管理技術に関する。
【背景技術】
【0002】
社会インフラ、各種のプラントや工場等には、外部のコンピュータネットワークと接続されない施設がある。このような施設の機器に対するソフトウエアの保守や改造は必要なソフトウエアを記憶させた外部記憶媒体を用いる場合がある。このソフトウエアは、管理された第1施設で外部記憶媒体に記憶され、対象となる機器の設置された第2施設に受け渡しされる。そしてこの外部記憶媒体を対象となる機器に接続してソフトウエアを導入し、この機器の保守や改造が行われる。このような外部記憶媒体に記憶させたソフトウエアによる保守や改造では、外部記憶媒体及び記憶させたソフトウエアのセキュリティ管理が重要である。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2018-133030号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上述のセキュリティ管理では、一般に、ソフトウエアの暗号化によりその漏洩を防止し、ソフトウエアから生成した符号(ハッシュ値等)の照合によりその改竄を検知している。しかし従来技術において、ソフトウエアを暗号化したり復号化したりする鍵の共有方法や、符号(ハッシュ値等)の生成方法に関しては、セキュリティ管理のさらなる向上が求められる。
【0005】
本発明の実施形態は上述の課題を解決するためになされたものであり、外部のコンピュータネットワークに接続されない施設間で電子情報を受け渡しするに際し、情報の漏洩及び改竄を効果的に防止するセキュリティ管理技術を提供することを目的とする。
【課題を解決するための手段】
【0006】
実施形態に係るセキュリティ管理システムにおいて、機器に導入される移送データを作成する第1施設及び前記機器が設置される第2施設の各々において、秘匿情報を発行する発行部と、前記発行部から前記秘匿情報を一方向のみに伝送する素子と、前記第1施設において前記移送データ、前記機器の識別データ及び前記秘匿情報を組み合わせて第1符号を生成する第1符号生成部と、前記第1施設において、前記移送データ及び前記第1符号を外部記憶媒体に書き込む書込部と、前記第2施設において、前記外部記憶媒体から前記移送データ及び前記第1符号を読み出す読出部と、前記第2施設において、前記移送データ、前記識別データ及び前記秘匿情報を組み合わせて第2符号を生成する第2符号生成部と、前記第2施設において、取得した前記第1符号と生成した前記第2符号との一致/不一致を照合する照合部と、を備える。
【発明の効果】
【0007】
本発明の実施形態により、外部のコンピュータネットワークに接続されない施設間で電子情報を受け渡しするに際し、情報の漏洩及び改竄を効果的に防止するセキュリティ管理技術が提供される。
【図面の簡単な説明】
【0008】
【図1】本発明の第1実施形態に係るセキュリティ管理システムのブロック図。
【図2】本発明の第2実施形態に係るセキュリティ管理システムのブロック図。
【図3】第2実施形態の変形例を示すセキュリティ管理システムのブロック図。
【図4】本発明の実施形態に係るセキュリティ管理方法のフローチャート。
【発明を実施するための形態】
【0009】
(第1実施形態)
以下、本発明の実施形態を添付図面に基づいて説明する。図1は本発明の第1実施形態に係るセキュリティ管理システム10A(10)(以下、単に「システム10A」という)のブロック図である。このようにシステム10Aは、機器37に導入される移送データPを作成する第1施設11及び機器37が設置される第2施設12の各々において秘匿情報Sを発行する発行部15(15a,15b)と、発行部15から秘匿情報Sを一方向のみに伝送する素子29と、第1施設11の保存部16aに保存されている移送データP、保持部17aに保持されている機器37の識別データD及び発行部15aの秘匿情報Sを組み合わせて第1符号K1を生成する第1符号生成部21と、第1施設11において移送データP及び第1符号K1を外部記憶媒体39に書き込む書込部26と、を備えている。
以下、本発明の実施形態を添付図面に基づいて説明する。図1は本発明の第1実施形態に係るセキュリティ管理システム10A(10)(以下、単に「システム10A」という)のブロック図である。このようにシステム10Aは、機器37に導入される移送データPを作成する第1施設11及び機器37が設置される第2施設12の各々において秘匿情報Sを発行する発行部15(15a,15b)と、発行部15から秘匿情報Sを一方向のみに伝送する素子29と、第1施設11の保存部16aに保存されている移送データP、保持部17aに保持されている機器37の識別データD及び発行部15aの秘匿情報Sを組み合わせて第1符号K1を生成する第1符号生成部21と、第1施設11において移送データP及び第1符号K1を外部記憶媒体39に書き込む書込部26と、を備えている。
【0010】
さらにシステム10Aは、第2施設12において外部記憶媒体39から移送データP及び第1符号K1を読み出す読出部27と、第2施設12で読み出され保存部16bに保存された移送データP、保持部17bに保持されている識別データD(第1施設11の保持部17aに保持されているものと同一のもの)及び発行部15bの秘匿情報Sを組み合わせて第2符号K2を生成する第2符号生成部22と、読出部27で取得され保持部19に保持された第1符号K1と生成された第2符号K2との一致/不一致を照合する照合部35と、第2施設12において照合の結果が一致である場合に移送データPの機器37への導入を許可する導入許可部36と、を備えている。
【0011】
機器37は、電気、上下水道やガスなどの社会インフラ、鉄鋼や化学等のプラントや工場などの施設(第2施設12)における設備である。これらの設備には多種多様な電子機器が使用され、その数量も多い。移送データPは、機器37に導入されるもので、ソースコードや実行ファイル、データファイル等が記述されており、機器37にインストールされているソフトウエアをバージョンアップするためのデータ、保守点検や改造を行うのに必要なデータである。
【0012】
第2施設12に設けられた機器37の更新、保守や改造に必要な移送データPは、第1施設11において作成され、保存部16aに保存されている。なお、移送データPの第1施設11から第2施設12への移送は、第1施設11で移送データPを外部記憶媒体39に記憶させ、この外部記憶媒体39を第2施設12に受け渡してから読み出しを行うことで達成される。
【0013】
なお第1施設11と第2施設12を結ぶ通信ネットワークがあれば、これを用いて移送データPを送信することで容易である。しかし、そのような通信ネットワークを用いる方法では、情報漏洩、改竄、成りすまし、マルウエア感染などセキュリティ上の懸念がある。さらにその他の事情により、第1施設11と第2施設を通信ネットワークで結べない場合もある。このため、外部記憶媒体39を用いて第1施設11から第2施設12への移送データPの受け渡しが行われる。
【0014】
発行部15(15a,15b)は、第1施設11と第2施設12の各々に設けられ、それぞれにおいて所定のビット長を持つ同一の秘匿情報Sを発行する。そして伝送路には、秘匿情報Sを一方向のみに伝送する素子29が接続され、外部から伝送路を通じて発行部15へアクセスできないようになっている。また発行部15(15a,15b)は、電波時計、公共電波、時報などの受信機を備えて時刻情報を取得し、コンピュータネットワークによらない方法で内部時刻を修正することができる。なお内部時刻の修正間隔や頻度は自由に設定できる。
【0015】
発行部15は、マイクロコントローラ、パーソナル・コンピューター、スーパーコンピューターなどの汎用の電子機器、あるいは専用の電子装置や演算装置で構築される。発行される秘匿情報Sは、定数、擬似乱数、各種の暗号方式の鍵データなどを適用できる。また一方向の伝送路はLEDとPD等の素子29で容易に構成できる。
【0016】
保持部17(17a,17b)に保持されている識別データDは、移送データPを導入する対象である機器37に関連付けされた固有情報である。そもそも第2施設12の機器37は、移送データPを作成する第1施設11の事業者が設置したものなので、識別データDは第1施設11及び第2施設12の双方で共有されている。
【0017】
なお、第2施設12側の保持部17bは、機器37の記憶領域に個別に設けることができ、また第2施設12の内部ネットワークを利用してサーバまたはNAS(Network attached Storage)として複数の機器37の固有情報を一元管理することもできる。なお第1施設11及び第2施設12の双方で共有される識別データDとして、機器37の固有情報の他に、移送データPの特性情報や履歴情報、もしくはシーケンス番号等が挙げられる。
【0018】
ここで履歴情報は、歴代の移送データPによる点検や保守、改造の後の更新情報を書き込んでなるものであることから、第1施設11及び第2施設12で互いに一致した識別データDとして保持されている。またシーケンス番号は、移送の順送りで、重複なく付与されるものなので、同じく第1施設11及び第2施設12で互いに一致した識別データDとして保持されている。
【0019】
第1符号生成部21は、第1施設11の保存部16aに保存されている移送データP、保持部17aに保持されている識別データD及び秘匿情報Sを組み合わせて第1符号K1を生成する。第1符号生成部21は、これら移送データP、識別データD及び秘匿情報Sをバイナリ変換し、それぞれを、連結、四則演算(AND,OR,XOR)や四則演算を組み合せた計算を行ってパラメータ化する。また第1符号K1は、さらに外部記憶媒体39の情報も含めて生成してもよい。これにより、外部記憶媒体39は限定して使用許可される。
【0020】
そしてこのパラメータに対し、一方向性関数や認証付きブロック暗号のアルゴリズムを適用して計算されるメッセージ認証符号、あるいはデジタル署名の署名とすることで第1符号K1を生成する。一方向性関数としては、例えば、MD2,MD4,MD5,SHA-1,SHA-2,SHA-3,RIPEMD-128,RIPEMD-160が、認証付きブロック暗号のアルゴリズムにはCBC-MAC,CMAC,CCM,GCM/GMACが、デジタル署名にはRSAやDSAが適用できる。
【0021】
外部記憶媒体39は、第1施設11から第2施設12へ運搬され、読出部27へ接続される。読出部27は書込部26と同様の構成を持つ。また第2施設12の発行部15bは、第1施設11の発行部15aと同一の構成であり、それぞれ同一の擬似乱数や共通暗号鍵といった秘匿情報Sを発行する。
【0022】
第2符号生成部22は、説明を省略するが上述した第1符号生成部21と同一の機能を持つ。この第2符号生成部22は、保存部16bに保存されている移送データPと、保持部17bに保持されている識別データDと、発行部15bが発行した秘匿情報Sと、を組み合わせて第2符号K2を生成する。
【0023】
照合部35は、保持部19に保持された第1符号K1と、生成部22で生成した第2符号K2との一致/不一致を照合する。第1符号K1と第2符号K2とが一致する場合は、第1施設11から発送された移送データPと第2施設12で受領した移送データPとは同一であることが確認できる。一方で、第1符号K1と第2符号K2とが不一致の場合は、外部記憶媒体39による受け渡しの過程で、移送データPの改竄の可能性が疑われる。
【0024】
導入許可部36は、照合の結果が一致である場合、移送データPが改竄されていないこと及びこの移送データPが適用される対象(機器37)に間違いがないことが証明されたとみなし、移送データPの機器37への導入を許可する。これにより、機器37の更新、保守点検や改造がなされる。なお、読出部27、復号化部28、照合部35及び導入許可部36は、それぞれの対象機器37に一体化して設けることもできる。
【0025】
(第2実施形態)
以下、本発明の実施形態を添付図面に基づいて説明する。図2は本発明の第2実施形態に係るセキュリティ管理システム10B(10)のブロック図である。図3は第2実施形態の変形例を示すセキュリティ管理システム10B(10)(以下、単に「システム10B」という)のブロック図である。なお、図2において図1と共通の構成又は機能を有する部分は、同一符号で示し、重複する詳細な説明を省略する。
以下、本発明の実施形態を添付図面に基づいて説明する。図2は本発明の第2実施形態に係るセキュリティ管理システム10B(10)のブロック図である。図3は第2実施形態の変形例を示すセキュリティ管理システム10B(10)(以下、単に「システム10B」という)のブロック図である。なお、図2において図1と共通の構成又は機能を有する部分は、同一符号で示し、重複する詳細な説明を省略する。
【0026】
第2実施形態に係るシステム10Bは、上述したシステム10Bの構成に加えて、さらに、第1施設11において、秘匿情報Sに基づく暗号鍵Xで、第1符号K1及び移送データPのうち少なくとも移送データPを暗号化する暗号化部25を備えている。さらに第2施設12において、外部記憶媒体39から読み出した暗号化データを、秘匿情報Sに基づく復号鍵Yで、復号化する復号化部28を備えている。
【0027】
このようにシステム10Bは、第1施設11及び第2施設12の各々において秘匿情報Sを発行する発行部15(15a,15b)と、発行部15から秘匿情報Sを一方向のみに伝送する素子29と、第1施設11の保存部16aに保存されている移送データP、保持部17aに保持されている識別データD及び発行部15aの秘匿情報Sを組み合わせて第1符号K1を生成する第1符号生成部21と、第1施設11の暗号化部25で移送データP及び第1符号K1のうち少なくとも移送データPが暗号化された暗号化データを外部記憶媒体39に書き込む書込部26と、を備えている。
【0028】
作成部18aは、秘匿情報Sに基づき暗号鍵Xを作成する。また暗号方式は、共通鍵方式や公開鍵方式などの各種方式が適用できる。なお、共通鍵方式の場合は、作成部18aを省略して、秘匿情報Sをそのまま暗号鍵Xとして用いることができる。また公開鍵方式の場合は、この秘匿情報Sは秘密鍵に相当し、作成部18aで公開鍵が復号鍵Yとして作成される。
【0029】
そしてシステム10Bは、第2施設12において外部記憶媒体39から暗号化データ(移送データPt及び第1符号K1)を読み出す読出部27と、第2施設12において秘匿情報Sに基づき作成部18bで作成した復号鍵Yで暗号化データ(移送データPt及び第1符号K1)を復号化する復号化部28と、第2施設12において読み出され(復号化され)保存部16bに保存された移送データP、保持部17bに保持されている識別データD(第1施設11の保持部17aに保持されているものと同一のもの)及び発行部15bの秘匿情報Sを組み合わせて第2符号K2を生成する第2符号生成部22と、読出部27で取得され保持部19に保持された第1符号K1と生成された第2符号K2との一致/不一致を照合する照合部35と、第2施設12において照合の結果が一致である場合に移送データPの機器37への導入を許可する導入許可部36と、を備えている。
【0030】
第2実施形態において第1符号生成部21は、生成した第1符号K1を暗号化部25に送る。暗号化部25は、この第1符号K1と移送データPとを連結し、秘匿情報Sに基づく暗号鍵Xで暗号化する。そして、連結された移送データPと第1符号K1との暗号化データ(P||K1)tは、書込部26でマルウエアが無いことを確認したうえで、外部記憶媒体39に書き込まれる。
【0031】
また変形例として示す図3のように、暗号化部25は、秘匿情報Sに基づく暗号鍵Xで移送データPのみを暗号化し、暗号化した移送データPtと平文の第1符号K1とを連結したデータPt||K1を、書込部26でマルウエアが無いことを確認したうえで、外部記憶媒体39に書き込む。
【0032】
書込部26には、マルウエアの検出及び駆除をするソフトエアが備えられ、常時監視により、外部記憶媒体39へのマルウエア侵入を防止する。外部記憶媒体39は、記憶容量や持ち運び易さなどに応じて適切なものを選定できる。また外部記憶媒体39は書き込み時や読み取り時にパスワード入力を必要とさせてもよい。また暗号化データ(P||K1)t、Pt||K1を記憶させた外部記憶媒体39を複数作成してもよい。
【0033】
外部記憶媒体39は、第1施設11から第2施設12へ運搬され、読出部27へ接続される。外部記憶媒体39に記憶されている暗号化データ(P||K1)tは、暗号化されているため情報漏洩することがない。読出部27でマルウエアが無いことを確認されたのち、暗号化データ(P||K1)tは、復号化部28へ送られる。
【0034】
また変形例として示す図3のように、外部記憶媒体39に記憶されているデータPt||K1のうち移送データPtは暗号化されているため情報漏洩することがない。また1つのデータPt||K1に対して複数以上の外部記憶媒体39を作成した場合は、読出部27において全ての記憶データPt||K1が一致することを確認することで不正や不具合を検出できる。読出部27でマルウエアが無いことを確認されたのち、平文の第1符号K1は保持部19に保持され、暗号化された移送データPtは復号化部28へ送られる。
【0035】
作成部18bは、秘匿情報Sに基づき復号鍵Yを作成する。また暗号方式は、共通鍵方式や公開鍵方式などの各種方式が適用できる。なお、共通鍵方式の場合は、作成部18bを省略して、秘匿情報Sをそのまま複合鍵Yとして用いることができる。
【0036】
第2施設12の発行部15bは、第1施設11の発行部15aと同一の構成であり、それぞれ同一の擬似乱数や共通暗号鍵といった秘匿情報Sを発行する。またこの秘匿情報Sが公開鍵に関する情報である場合、この秘匿情報Sは秘密鍵に相当し、作成部18bで公開鍵が復号鍵Yとして作成される。また発行部15(15a,15b)が、時刻情報を取得する場合は、両者は同期して共通の秘匿情報を発行できる。
【0037】
復号化部28は、読出部27で外部記憶媒体39から読み出した暗号化データ(P||K1)t又は暗号化された移送データPtを、秘匿情報Sに基づく復号鍵Yで復号化する。そして復号化された移送データPは保存部16bに保存され、第1符号K1は保持部19に保持される。このように移送データPさらには第1符号K1も共に暗号化されることで、外部記憶媒体39による受け渡しの過程における、移送データPの改竄の可能性をさらに低減できる。
【0038】
(第3実施形態)
本発明の第3実施形態に係るセキュリティ管理システム10(以下、単に「システム10」という)は、図1及び図2のブロック図を参照して説明される。第3実施形態のシステム10は、秘匿情報Sの発行部15(15a,15b)において、遅延設定部(図示略)が設けられている。
本発明の第3実施形態に係るセキュリティ管理システム10(以下、単に「システム10」という)は、図1及び図2のブロック図を参照して説明される。第3実施形態のシステム10は、秘匿情報Sの発行部15(15a,15b)において、遅延設定部(図示略)が設けられている。
【0039】
発行部15(15a,15b)の内部時間は、タイマーや発信器やカウンターで計られる一定の時間周期で、基準時間が再設定され同期がとられる。また他の通信回線で同期信号を送信することで同期をとる。再設定の時間間隔や頻度は自由に設定できる。これにより、コンピュータネットワークによらない方法で時刻又はタイミングを取得し基準時間を再設定することができ、第1施設11と第2施設12が互いにコンピュータネットワークに接続される必要がなく、かつ時間ずれが起きることがなく、一対の秘匿情報を安全かつ効率的に同期して発行できる。
【0040】
遅延設定部(図示略)は、第1施設11の発行部15aにおける秘匿情報Sの発行に際し、遅延時間を設定して、第2施設12の発行部15bから対となる秘匿情報Sを発行する。第1施設11から第2施設12へ外部記憶媒体39を受け渡しするには所定の時間がかかる。このため、外部記憶媒体39が読出部27に接続するまでは、発行部15bにおける秘匿情報Sの発行は不要である。そこで、第2施設12の発行部15bから発行される秘匿情報Sを設定した遅延時間だけ遅らせる。
【0041】
外部記憶媒体39は所定の受渡時間をかけて第1施設11から第2施設12へ受け渡され、読出部27へ接続される。外部記憶媒体39から読み出された暗号化データは、復号化部28において遅延設定部(図示略)で設定した遅延時間だけ遅れて発行された秘匿情報Sで復号され、移送データP(及び第1符号K1)が取り出される。復号化部28で移送データPを復号するまでは秘匿情報Sは必要ないため、暗号鍵Xを求める秘匿情報Sを受渡時間だけ遅れて発行部15aから発行することで安全性を向上できる。さらに移送データPを暗号化した時間から復号化された時間までの経過時間を算出し、移送時間と経過時間との差が大きい場合は、不正と判定することもできる。
【0042】
(第4実施形態)
本発明の第4実施形態に係るセキュリティ管理システム10(以下、単に「システム10」という)は、図1及び図2のブロック図を参照して説明される。第4実施形態のシステム10は、第2施設12の照合部35において、第1施設11の発行部15aで発行させた過去の秘匿情報Sを、予め設定した数だけ記憶できる。そして、第2符号生成部22は、設定した秘匿情報Sの数だけ第2符号K2を生成する。また照合部35には、音、光、画像などの送信専用センサを備え、送信信号をトリガとして秘匿情報の発行を要求する。これらセンサはコンピュータネットワークとは切り離されている。
本発明の第4実施形態に係るセキュリティ管理システム10(以下、単に「システム10」という)は、図1及び図2のブロック図を参照して説明される。第4実施形態のシステム10は、第2施設12の照合部35において、第1施設11の発行部15aで発行させた過去の秘匿情報Sを、予め設定した数だけ記憶できる。そして、第2符号生成部22は、設定した秘匿情報Sの数だけ第2符号K2を生成する。また照合部35には、音、光、画像などの送信専用センサを備え、送信信号をトリガとして秘匿情報の発行を要求する。これらセンサはコンピュータネットワークとは切り離されている。
【0043】
第4実施形態の第1施設11の発行部15aは、第2施設12の機器37の点検や保守、改造を行う度ごと、或いはある一定の使用回数毎に秘匿情報Sを発行する。この発行部15aには、音、光、画像などの受信専用センサを備え、受信信号をトリガとして秘匿情報Sを発行する。これらセンサはコンピュータネットワークとは切り離されており、発行部15へアクセスすることはできない。秘匿情報についても、定数、擬似乱数、各種の暗号方式の鍵などが適用できる。
【0044】
第4実施形態のシステム10では、第1施設11と第2施設12とで、一対の秘匿情報Sが発行の度に変化することにより、秘匿情報Sを容易に変更でき、一対の秘匿情報Sを安全かつ効率的に共有できる。また照合部35において過去に発行した秘匿情報Sが予め設定された数だけ記憶されるため、記憶される数の秘匿情報Sによる照合が可能となり、第1施設11と第2施設12とで秘匿情報Sの発行にずれが生じた場合であっても、一対の秘匿情報Sを安全、かつ効率的に共有できる。
【0045】
図4のフローチャートに基づいて実施形態に係るセキュリティ管理方法を説明する(適宜、図1,図2参照)。まず第1施設11の発行部15aにおいて秘匿情報Sを発行する(S11)。次に第1施設11で移送データP、識別データD及び秘匿情報Sを組み合わせて第1符号K1を生成する(S12)。さらに秘匿情報Sに基づき暗号鍵Xを作成する(S13)。
【0046】
そして、この暗号鍵Xで移送データPを暗号化し(S14a)、この暗号化された移送データPt及び平文の第1符号K1を外部記憶媒体39に書き込む(S15a)。もしくは暗号鍵Xで第1符号K1及び移送データPを暗号化し(S14b)、この移送データP及び第1符号K1の暗号化データ(P||K1)tを外部記憶媒体39に書き込む(S15b)。なお(S13~S14までの暗号化処理を省略する場合もある。)
【0047】
そして、外部記憶媒体39を第1施設11から第2施設12に受け渡し(S16)、書き込まれている暗号化データを少なくとも読み出す(S17)。さらに第2施設12の発行部15bで発行した秘匿情報Sに基づき復号鍵Yを作成し(S18)、この復号鍵Yで暗号化データを復号する(S19)。そして外部記憶媒体39により第2施設12に受け渡された移送データP及び第1符号K1は、平文の状態でそれぞれ保存部16b及び保持部19に送られる。
【0048】
そして第2施設12で復号された移送データPは、識別データD及び秘匿情報Sと組み合わされて、生成部22において第2符号K2が生成される(S20)。そして、第1符号K1と第2符号K2とを照合して一致/不一致が判定される(S21)。そして、一致の判定結果が得られれば、移送データPの機器37への導入が許可され(S22,END)、不一致であれば移送データPの機器37への導入は許可されない(END)。
【0049】
以上述べた少なくともひとつの実施形態のセキュリティ管理システムによれば、暗号鍵の基となる秘匿情報を用いて電子情報を符号化することで、外部のコンピュータネットワークに接続されない施設間で電子情報を受け渡しするに際し、情報の漏洩及び改竄を効果的に防止することが可能となる。
【0050】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更、組み合わせを行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
【符号の説明】
【0051】
10(10A,10B)…セキュリティ管理システム、11…第1施設、12…第2施設、15(15a,15b)…秘匿情報の発行部、16(16a,16b)…移送データの保存部、17(17a,17b)…識別データの保持部、18a(18)…暗号鍵の作成部(作成部)、18b(18)…復号鍵の作成部(作成部)、19…第1符号の保持部、21…第1符号の生成部、22…第2符号の生成部、25…暗号化部、26…書込部、27…読出部、28…復号化部、29…素子、35…照合部、36…導入許可部、37…機器、39…外部記憶媒体、X…暗号鍵、Y…復号鍵、D…識別データ、P(Pt)…移送データ、K1…第1符号、K2…第2符号。
【図1】
【図2】
【図3】
【図4】