[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2004038476A - Device and system for encoding - Google Patents

Device and system for encoding Download PDF

Info

Publication number
JP2004038476A
JP2004038476A JP2002193616A JP2002193616A JP2004038476A JP 2004038476 A JP2004038476 A JP 2004038476A JP 2002193616 A JP2002193616 A JP 2002193616A JP 2002193616 A JP2002193616 A JP 2002193616A JP 2004038476 A JP2004038476 A JP 2004038476A
Authority
JP
Japan
Prior art keywords
encryption
storage device
external storage
data
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002193616A
Other languages
Japanese (ja)
Inventor
Yutaka Nakatani
中谷 裕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2002193616A priority Critical patent/JP2004038476A/en
Publication of JP2004038476A publication Critical patent/JP2004038476A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To protect the secrecy of data stored in an external storage device without modifying an existing system and the external storage device themselves even when the same storage device is stolen or lost. <P>SOLUTION: The device is an encoder 12 of a system 11 connecting the external storage device 13. It is equipped with an installing means for installing the encoder 12 on a connection line of the system 11, an encoding part 12 for enciphering object data obtained from the system 11 and outputting them to the external storage device 13, and a decoding part 15 for decoding the encipher data obtained from the external storage device 13, and outputting them to the system 11. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、USB(ユニバーサル・シリアル・バス)などの外部接続インターフェースで接続された外部記憶装置に保存されるデータの機密性を保護する暗号化装置及び暗号化システムに関する。
【0002】
【従来の技術】
近年では、USBなど簡便な外部接続インターフェースの出現により、システムや機器に外部接続する2次記憶装置が普及している。
従来より、システムに接続された2次記憶装置に保存されるデータの機密性は、当該システムに搭載されているソフトウェア(例えば、オペレーティングシステム等)が、ユーザIDとパスワードの組合せによってユーザ認証を行い、ユーザ認証を確認できたユーザに対してのみ、そのユーザごとにデータ読み書きの許可を与える構成にすることで確保されている。
【0003】
また、特定のソフトウェアでは、データを記憶装置に保存する際に、当該データを各種暗号化技術によって暗号化し、保存データの機密性を向上させている。
また、例えば、特開2001−273059号等に記載されているように、USBホスト(コンピュータ)とUSBデバイス(外部記憶装置や、プリンタ、或いはスキャナなど)の間で認証を行い、USBデバイスが、特定のUSBホストでのみ使用可能となるように構成することで、USBデバイスの保護を図っている。
【0004】
【発明が解決しようとする課題】
しかしながら、上述したような従来のユーザIDとパスワードの組合せによるユーザ認証は、外部記憶装置自体の盗難や紛失などが発生した場合、外部記憶装置の内部に保存されたデータが第三者によって自由に読み出し可能な状態になり、機密上望ましくないという問題があった。
【0005】
このため、外部記憶装置が接続されたシステムは、外部記憶装置の盗難や紛失に備えて、外部記憶装置の内部に保存されたデータの機密性を保護するための機能が必要となる。
【0006】
そこで、従来では、主にソフトウェア機能によって、上記のデータ機密性保護が図られていた。例えば、コンピュータに搭載されたソフトウェアによってデータの機密性が保護されている場合、通常、ユーザはそのソフトウェアを搭載したコンピュータ上でのみ、データを読み書きすることが可能である。
【0007】
上述のように、ユーザが使用できるハードウェア資源を限定することは、データの機密性を向上させることができる反面、例えば、正当なユーザが、機密性を保護するソフトウェアを搭載していない他のコンピュータを使用し、外部記憶装置に対して、データの読み書きを実行しようとする場合に不便となってしまう問題があった。
【0008】
また、上述した特開2001−273059号等に記載されているような構成の場合、個々の外部記憶装置側で機密性確保のためのソフトウェアに対応する必要があり、既存の外部記憶装置を利用してデータの機密性を確保することができないという問題もあった。
【0009】
そこで本発明は、上記のような問題を鑑みて成されたもので、外部記憶装置に保存されたデータの機密性を保護する暗号化装置及び暗号化システムを提供することを目的とする。
【0010】
【課題を解決するための手段】
斯かる目的下において、本発明は、外部記憶装置が接続されたシステムの暗号化装置であって、上記システムの接続線上に、上記暗号装置を設置する設置手段と、上記システムから得られる入力データを暗号化して上記外部記憶装置に出力する暗号化手段と、上記外部記憶装置から得られる暗号化データを復号化して上記システムに出力する復号化手段とを備えたことを特徴とする。
【0011】
また、本発明は、複数の機器が互いに通信可能に接続されてなる情報処理機器のための暗号化システムであって、上記複数の機器のうち少なくとも1つの機器は、請求項1〜6の何れかに記載の暗号化装置の機能を有することを特徴とする。
【0012】
【発明の実施の形態】
以下、本発明の実施の形態について図面を用いて説明する。
〔第1の実施の形態〕
本発明は、例えば、図1に示すような暗号化システム100に適用される。
【0013】
図1に示すように、暗号化システム100は、システム11、暗号化装置12、及び外部記憶装置13を含んだ構成としている。
尚、以降、暗号文とは、第三者へ内容が漏洩しないようにするために、データをある一定の規則に従って意味のわからない形に変換(暗号化)したデータ(暗号データ)をいい、平文とは、暗号化を行う前のデータ、又は暗号文を元の形のデータに戻す変換(復号化)したデータ(対象データ)を意味することとする。
【0014】
システム11は、暗号化装置12に出力するための平文を作成する。
暗号化装置12は、暗号化部14、復号化部15、及び暗号鍵(秘密情報)16を含んで構成している。
暗号化部14は、システム11から送信された平文を、適当な暗号化方式を用いて暗号化し、生成した暗号文を外部記憶装置13に送信する。
尚、暗号化方式は、種々の方式(公開鍵方式や秘密鍵方式等)が存在するが、本発明ではいかなる暗号方式にも適用可能である。
復号化部15は、外部記憶装置13から送信されたデータを暗号文と仮定して、当該暗号文を復号化した後、システム11に送信する。
【0015】
暗号化装置12によって、平文を暗号化し、暗号文を復号化する場合、暗号化部14及び復号化部15は、暗号化装置12が記憶する暗号鍵(暗号情報)16を用いて、それぞれ暗号化又は復号化を行う。暗号化や復号化の際に、この暗号鍵16を用いることで、暗号化を行った暗号化装置12でのみ、暗号文を平文に復号化することが可能となる。ここで、暗号鍵16は、例えば、暗号化装置12ごとに固有の値となる情報として構成し、これをROM等に格納しておく。
【0016】
外部記憶装置13は、暗号化部14から得たデータが平文であるか又は暗号文であるかを管理せずに、外部記憶装置13内の記憶媒体に記録する。尚、暗号化部14による暗号化処理は、データのサイズに直接影響を与えないので、外部記憶装置13は、暗号化部14によって生成された暗号化データを保存することができる。
【0017】
つぎに、システム11と外部記憶装置13との間で交わされるプロトコルについて説明する。
システム11が外部記憶装置13に対してコマンドを発行した場合、外部記憶装置13は当該コマンドに応じた処理を行い、必要に応じてデータの転送も行う。
【0018】
例えば、外部記憶装置13へデータを書き込む場合、先ず、システム11は、外部記憶装置13に対して書込み命令(ライトコマンド)を発行し、書込みデータ(ライトデータ)を送信する。外部記憶装置13は、システム11からのライトデータを受信し、記憶媒体上に保存する。
この場合、外部記憶装置13がランダムアクセス可能な記憶装置であれば、外部記憶装置13の記憶媒体に対する書込み又は読込み処理は、ブロック単位で行われる。また、記憶媒体に保存する位置を示す論理ブロック番号などが、コマンドの一部として外部記憶装置13に出力される。
【0019】
尚、通常、外部記憶装置13は、外部から送信されたデータを保存する機能を有するだけで、送信データの内容に関しては関知しない。このため、暗号化されたデータが外部記憶装置13へ送信されたとしても、外部記憶装置13のデータ保存機能に対しては特段の影響を与えず、外部記憶装置13は、平文を保存する場合と同様の動作によって送信データ(暗号文データ)を記憶媒体に保存する。
【0020】
〔第2の実施の形態〕
本実施の形態では、図1に示した第1の実施の形態のシステム11と暗号化装置12及び外部記憶装置13の接続形態を他の接続形態に変更し、さらに第1の実施の形態の構成部に対して識別部23を付加した構成にしている。
【0021】
本実施の形態の暗号化システム100において、システム11に対する暗号化装置12及び外部記憶装置13の接続形態を、いわゆる一対多の接続形態にした例を図2(a)及び図2(b)に示す。
図2(a)は、集線装置21を介することで、システム11(親)に対し暗号化装置12(子)、外部記憶装置13(子)、及びデバイス22(子)が親子関係になって接続されている。また、図2(b)は、外部記憶装置13やデバイス22が、システム11側とデイジーチェーンで接続されている。
【0022】
図2(c)は、システム11に対し、上記図2(a)又は図2(b)に示す形態で接続する暗号化装置12の構成を示したものである。
尚、システム11、外部記憶装置13、及び暗号化装置12に含まれる暗号化部14と復号化部15は、上述した第1の実施の形態におけるシステム11、外部記憶装置13、及び暗号化装置12に含まれる暗号化部14と復号化部15とそれぞれ同様の機能を有するため、その詳細な説明は省略する。
【0023】
図2(c)に示す識別部23は、外部記憶装置13へ書き込むデータや外部記憶装置13から読み込むデータの一部を、暗号化装置12に含まれる暗号化部13又は復号化部15へ供給し、残りのデータは暗号化部13や復号化部15へ供給せずに、そのままシステム11やデバイス22等へ転送する。
【0024】
通常、システム11と接続する各種デバイスは、固有のID(アドレス)情報を有しており、システム11は、上記IDを識別情報として、データの転送先となるデバイスを指定することが可能となる。
【0025】
暗号化装置12は、識別部23がデバイス22を識別するために必要となるデバイスIDが記憶されたIDリスト24を備えている。
この場合、識別部23は、システム11から出力されるデータ(平文データ)の中から、IDリスト24に記憶(保持)されているIDと対応する転送先を有する書込みデータ(ライトデータ)を識別して抽出する。
また、識別部23は、外部記憶装置13やデバイス22から出力されるデータの中から、IDリスト24に記憶(保持)されているIDと対応する転送元を有する読込みデータ(リードデータ)を識別して抽出する。
これにより、識別部23は、暗号化部13又は復号化部15へ供給するデータと供給しないデータを区別することができる。
【0026】
例えば、システム11から出力される平文データのうち、対応する転送先がIDリスト24に存在したデータのみを書込みデータとして抽出すれば、当該抽出したデータのみを暗号化部13へ出力することができる。また、外部記憶装置13やデバイス22から出力されるデータのうち、対応する転送元がIDリスト24に存在したデータのみを読込みデータとして抽出すれば、当該抽出した読込みデータのみを復号化部15へ出力することも可能となる。
【0027】
IDリスト24にデバイスIDの情報を格納(登録)するには、暗号化装置12に含まれるID入力部25が備えるダイヤルやキーをユーザが操作することにより直接設定する。また、IDリスト24を編集するための専用ソフトウェアがシステム11側に備わっている場合は、当該ソフトウェアによってIDリスト24を編集することも可能である。
【0028】
デバイス22ごとに固有のID情報を設定する方式としては、例えば、デバイス22に対して固定IDを設定する方式や、デバイス22がシステム11に接続された時点でシステム11によって非固定IDを動的に設定する方式がある。デバイスIDが動的に設定される場合、暗号化装置12は、システム11から発行されるID設定情報からデバイスIDを検出し、これをIDリスト24に格納する。
【0029】
上述したように、識別部23は、暗号化部13又は復号化部15へ供給するデータと供給しないデータを区別できるので、例えば、暗号化部13によって暗号化されたデータ(暗号文データ)が記憶された外部記憶装置13と、暗号文データが記憶されていない外部記憶装置13とを構成することが可能となる。このため、ユーザは、暗号文データが記憶された外部記憶装置13について、特に厳重な機密保護のための対策を実行する等の対策を図ることができる。
〔第3の実施の形態〕
本実施の形態では、図1に示した第1の実施の形態の暗号化装置12に含まれる暗号鍵16を、フラッシュROMなどの書き換え可能な不揮発性記憶媒体(不図示)に保存することで、ユーザは暗号鍵16を変更する構成とする。
【0030】
尚、システム11、外部記憶装置13、及び暗号化装置12に含まれる暗号化部14と復号化部15は、図1に示した第1の実施の形態におけるシステム11、外部記憶装置13、及び暗号化装置12に含まれる暗号化部14と復号化部15とそれぞれ同様の機能を有するため、その詳細な説明は省略する。
【0031】
図1に示す暗号化装置12は、暗号鍵16の設定を変更するための暗号鍵入力部(不図示)を備えている。例えば、ユーザは、暗号鍵入力部が備えるダイヤルやキーを操作することによって、暗号鍵16や暗号鍵16のためのパスワードを設定又は変更する。このように、ユーザは暗号鍵16等の設定又は変更により、新たな設定値(変更値)を書き換え可能な不揮発性記憶媒体に保存することが可能となる。したがって、ユーザは、必要に応じて暗号鍵16等の値を変更することで、データの機密性を向上させることができる。
【0032】
尚、暗号鍵や暗号鍵のためのパスワードを設定するための専用ソフトウェアがシステム11側に備わっている場合は、当該ソフトウェアによって暗号鍵等を変更することも可能である。
【0033】
〔第4の実施の形態〕
本実施の形態では、図1に示した第1の実施の形態の暗号化装置12がコントローラ31を含み、コントローラ31は、暗号化部14による外部記憶装置13に記憶されている平文に対する暗号化動作を制御する構成になっている。
【0034】
本実施の形態の暗号化システム100の構成を図3に示す。
図3に示すように、暗号化装置12は、システム11と接続しておらず、外部記憶装置13と暗号文及び平文の送受信を行う。尚、暗号化装置12とシステム11が接続される構成であっても良い。
【0035】
暗号化装置12に含まれる暗号化部14と復号化部15、及び外部記憶装置13は、上述した第1の実施の形態における暗号化装置12の暗号化部14と復号化部15、及び外部記憶装置13とそれぞれ同様の機能を有するため、その詳細な説明は省略する。
【0036】
暗号化装置12に含まれるコントローラ31は、外部記憶装置13に記憶されている平文に対して、暗号化部14によって暗号化処理を施すか否かの判断をする。コントローラ31の動作例を、以下に示す。
先ず、コントローラ31は、外部記憶装置13に対してデータの読込み指令を出し、外部記憶装置13から暗号化されずに記憶されている平文データを読み込む。
次に、コントローラ31は、外部記憶装置13から読み込んだ平文データを、暗号化部14に出力する。暗号化部14は、外部記憶装置13から出力された平文データに対して、所定の暗号化方式によって暗号化処理を施し、暗号文を生成する。尚、暗号化の際には、暗号鍵16が用いられる。
次に、コントローラ31は、暗号化部14が生成した暗号文を、外部記憶装置13に出力する。
そして、外部記憶装置13は、コントローラ31から得た暗号文を記録媒体に書き込む。
【0037】
尚、外部記憶装置13がランダムアクセス可能でデータを書き込める記憶媒体の場合、コントローラ31は、外部記憶装置13に記憶されているデータの先頭のブロックから順番に平文データを読み出し、暗号化部14によって生成された暗号文を、記録媒体上の同じアドレスに書き込む処理を行い、これを最終ブロックまで繰り返す。
【0038】
上述したように、コントローラ31が、外部記憶装置13より読込む平文データを指定し、実際に読込んだ平文データを暗号化部14に供給することで、暗号文データを生成することができる。これにより、外部記憶装置13に記憶されている特定の平文データを対象としてその暗号文データを生成することができ、当該暗号文データを再度、外部記憶装置13上に記憶することができる。したがって、ユーザは、コントローラ31の動作を制御することで、外部記憶装置13に記憶されたデータの機密性を向上させることができる。
【0039】
〔第5の実施の形態〕
本実施の形態では、図1に示した第1の実施の形態の暗号化装置12がコントローラ31を含み、コントローラ31は、復号化部15による外部記憶装置13に記憶されている暗号文に対する復号化動作を制御する構成になっている。
【0040】
本実施の形態の暗号化システム100の構成を図4に示す。
図4に示すように、暗号化装置12は、システム11と接続しておらず、外部記憶装置13と暗号文及び平文の送受信を行う。尚、暗号化装置12とシステム11が接続される構成であっても良い。
【0041】
暗号化装置12に含まれる暗号化部14と復号化部15、及び外部記憶装置13は、上述した第1の実施の形態における暗号化装置12の暗号化部14と復号化部15、及び外部記憶装置13とそれぞれ同様の機能を有するため、その詳細な説明は省略する。
【0042】
暗号化装置12に含まれるコントローラ31は、外部記憶装置13に記憶されている暗号文に対して、復号化部15によって復号化処理を施すか否かの判断をする。コントローラ31の動作例を、以下に示す。
先ず、コントローラ31は、外部記憶装置13に対しデータの読込み指令を出し、外部記憶装置13から暗号化されて記憶されている暗号文データを読み込む。
次に、コントローラ31は、外部記憶装置13から読み込んだ暗号文データを、復号化部15に出力する。復号化部15は、外部記憶装置13から出力された暗号文データに対して、所定の復号化方式によって復号化処理を施し、平文を生成する。尚、復号化の際には、暗号鍵16が用いられる。
次に、コントローラ31は、復号化部15が生成した平文を、外部記憶装置13に出力する。
そして、外部記憶装置13は、コントローラ31から得た平文を記録媒体に書き込む。
【0043】
尚、外部記憶装置13がランダムアクセス可能でデータを書き込める記憶媒体の場合、コントローラ31は、外部記憶装置13に記憶されているデータの先頭のブロックから順番に暗号文データを読み出し、復号化部15によって生成された平文を、記録媒体上の同じアドレスに書き込む処理を行い、これを最終ブロックまで繰り返す。
【0044】
上述したように、コントローラ31が、外部記憶装置13より読込む暗号文データを指定し、実際に読込んだ暗号文データを復号化部15に供給することで、平文データを生成することができる。これにより、外部記憶装置13に記憶されている特定の暗号文データを対象としてその平文を生成することができ、当該平文データを再度、外部記憶装置13上に記憶することができる。したがって、ユーザは、コントローラ31の動作を制御することで、外部記憶装置13に記憶されたデータの機密性を向上させることができる。
【0045】
〔第6の実施の形態〕
本実施の形態では、図1に示した第1の実施の形態の暗号化装置12がUSBプロトコル解析部57を含み、USBプロトコル解析部57よってUSBプロトコル(通信プロトコル)を解析し、この解析結果から外部記憶装置13に出力する書込みデータ又は外部記憶装置13から入力する読込みデータを抽出して、暗号文や平文を生成する構成になっている。
【0046】
本実施の形態の暗号化システム100の構成を図5に示す。
図5に示すように、暗号化システム100は、システム11、コントローラ12、集線装置(USBハブ)51、デバイス52、外部記憶装置13を含んで構成している。
【0047】
尚、システム11、デバイス52、及び外部記憶装置13は、上述した第1又は第2の実施の形態におけるシステム11、デバイス52、及び外部記憶装置13とそれぞれ同様の機能を有するため、その詳細な説明は省略する。
【0048】
集線装置(USBハブ)51は、ネットワーク中継点として、デバイス52や暗号化装置12等の各種機器をシステム11にUSB接続(特定の接続)する。尚、USBハブ51には、暗号化装置12の以外のUSBデバイス52が接続されていても良い。
【0049】
暗号化装置12は、コントローラ53、暗号化部14、復号化部15、及び暗号鍵16を含んだ構成である。
コントローラ53は、SIE(シリアル・インターフェース・エンジン)54,55、識別部56、IDリスト(不図示)及びUSBプロトコル解析部57を含んだ構成としている。
【0050】
SIE54,55は、システム11(上流側)及び外部記憶装置13(下流側)から、USB信号線を介して入力されるシリアルデータを所定の形式に変換し、USBプロトコル解析部57に出力する。
また、SIE54,55は、SBプロトコル解析部57から出力されたデータをシリアル化して、USB信号線に出力する。
【0051】
USBプロトコル解析部57は、SIE54,55から得られるデータが、入力データ外部記憶装置13に対する書込みデータ(ライトデータ)であるか、或いは外部記憶装置13から読込むデータ(リードデータ)であるかを解析する。尚、USB外部記憶装置向けのプロトコルとして、例えば、マス・ストレージ・クラス等が標準化(標準プロトコル)されているが、USBプロトコル解析部57を、このような標準プロトコルに対応するように構成してもよい。
【0052】
尚、暗号化部14、復号化部15及び鍵16は、上述した第1の実施の形態の暗号化部14、復号化部15及び鍵16と、また、識別部56は、第2の実施の形態の識別部23とそれぞれ同様の機能を有するため、その詳細な説明は省略する。
【0053】
コントローラ53によるデータ処理のフローを図6に示す。
図6に示すように、システム11からの出力されたデータ(平文データ)は、USBハブ51を介して、SIE54に入力される(ステップS61)。
システム11と暗号化装置12はUSB接続のため、システム11からの出力データはUSBプロトコルに従うが、USBプロトコルでは、最初に、データを転送する宛先(デバイスアドレス及びエンドポイント番号)と、宛先に対するデータ読み込みであるか、書込みであるかを示す情報を、暗号化装置12に送信する。
【0054】
このため、識別部56は、SIE54から出力されたデータを受信すると、当該データの宛先が、図2(c)で示したようなIDリスト24に含まれているか否かを判断する(ステップS62)。
識別部56によって、データの転送宛先がIDリストに含まれていないと判断された場合、SIE54は、当該データ内容を変更せず、入力方向と逆側のSIE55に当該データを出力する(ステップS67)。
【0055】
一方、データの転送宛先がIDリストに含まれていると判断された場合、USBプロトコル解析部57は、宛先情報と共に送られてきたデータ読み込み/書込み情報によって、プロトコルシーケンスの当該データ部分が外部記憶装置13に対する書込みデータ(ライトデータ)であるか(ステップS63)、又は外部記憶装置13からの読込みデータ(リードデータ)であるか否かを判断する(ステップS64)。
【0056】
USBプロトコル解析部57によって、システム11と外部記憶装置13の間で取り交わされたプロトコルシーケンスが、データ書込みであると判断された場合、USBプロトコル解析部57は、システム11から送信されたデータ(書込みデータ)をSIE54から受信し、暗号化部14に出力する(ステップS65)。
暗号化部14は、USBプロトコル解析部57から得たデータに対して、暗号鍵16を用いて所定の暗号化を施し(ステップS65)、生成した暗号文を外部記憶装置13側のSIE55へ出力する(ステップS67)。
【0057】
一方、USBプロトコル解析部57によって、システム11と外部記憶装置13の間で取り交わされたプロトコルシーケンスが、データ読込みであると判断された場合、USBプロトコル解析部57は、外部記憶装置13から送信されたデータ(読込みデータ)をSIE55から受信し、復号化部15に出力する(ステップS66)。
復号化部15は、USBプロトコル解析部57から得たデータに対して、暗号鍵16を用いて所定の復号化を施し(ステップS65)、生成した平文をシステム11側のSIE54へ出力する(ステップS67)。
【0058】
上述したように、システム11から出力されたデータが、外部記憶装置13に対する書込みデータの場合のみ、暗号化部14によって生成された暗号文を外部記憶装置13に出力し、外部記憶装置13はこの暗号文を記憶媒体上に記憶する。また、外部記憶装置13からの読込みデータの場合のみ、復号化部15によって生成された平文をシステム11へ出力する。
したがって、ユーザは、USBプロトコル解析部57の解析結果に基づき特定のデータのみを外部記憶装置13へ記憶することができ、外部記憶装置13に記憶されるデータの機密性をより向上させることが可能となる。
【0059】
【発明の効果】
以上説明したように、本発明によれば、外部記憶装置が接続されたシステムの接続線上に暗号装置を設置し、当該暗号装置によってシステムから得られる対象データ(平文データ)又は外部記憶装置から得られる暗号データを、暗号化又は復号化する構成にしたので、外部記憶装置に保存されたデータの機密性を保護することが可能となる。
【0060】
例えば、暗号化装置は、システムから出力された対象データを外部記憶装置に格納する前に、所定の方式によって当該平文データを暗号化するので、第三者は、例えば暗号情報(暗号鍵)の内容を取得しない限り、暗号化されたデータ(暗号データ)を復号化して解読することができず、データの機密性を図ることができる。
【0061】
また、暗号装置は、外部記憶装置を識別する識別手段を備えるように構成すれば、システムが指定する所定の外部記憶装置に対してのみ、システムからの対象データを保存することができる。これにより、データの種類や内容等に応じて、外部記憶装置へ保存するデータの選別を行うことができ、データの機密性をより向上させることが可能となる。
【0062】
また、システムに対して、暗号化装置や外部記憶装置を、特定の接続、例えばUSB接続するような構成にすれば、システム及び外部記憶装置の構成や処理方法等を変更することなく、またシステム側及び外部記憶装置側でデータ保護のためのソフトウェアを備えることなく、当該暗号化装置での通信プロトコル(USBプロトコル)の解析に基づく一括管理によって、データの保護を効果的に行うことができる。
【0063】
また、例えば、暗号化装置を小型化する構成にすれば、当該暗号化装置を常時携帯したり、或いは厳重に保管したりすることが可能となり、外部記憶装置自体が盗難された場合でも、外部記憶装置内に保存されたデータが第三者に漏洩する可能性を最小限に防止できる。
【図面の簡単な説明】
【図1】本発明を適用した第1の実施の形態の暗号化システム100の構成図である。
【図2】本発明を適用した第2の実施の形態の暗号化システム100の構成図である。
【図3】本発明を適用した第4の実施の形態の暗号化システム100の構成図である。
【図4】本発明を適用した第5の実施の形態の暗号化システム100の構成図である。
【図5】本発明を適用した第6の実施の形態の暗号化システム100の構成図である。
【図6】コントローラ53によるデータ処理のフロー図である。
【符号の説明】
11  システム
12  暗号化装置
13  外部記憶装置
14  暗号化部
15  復号化部
16  暗号鍵
21  集線装置
22  デバイス
23  識別部
24  IDリスト
25  ID入力部
31  コントローラ
53  コントローラ
54  上流側SIE(シリアル・インターフェース・エンジン)
55  下流側SIE(シリアル・インターフェース・エンジン)
56  識別部
57  USBプロトコル解析部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an encryption device and an encryption system for protecting confidentiality of data stored in an external storage device connected by an external connection interface such as a USB (Universal Serial Bus).
[0002]
[Prior art]
In recent years, with the advent of a simple external connection interface such as a USB, a secondary storage device externally connected to a system or a device has become widespread.
2. Description of the Related Art Conventionally, the confidentiality of data stored in a secondary storage device connected to a system is determined based on the fact that software (eg, an operating system) mounted on the system performs user authentication based on a combination of a user ID and a password. This is ensured by a configuration in which data read / write permission is given only to each user who can confirm user authentication.
[0003]
In addition, with specific software, when data is stored in a storage device, the data is encrypted by various encryption techniques to improve the confidentiality of the stored data.
Further, for example, as described in Japanese Patent Application Laid-Open No. 2001-273059 or the like, authentication is performed between a USB host (computer) and a USB device (external storage device, printer, scanner, or the like). A USB device is protected by configuring it so that it can be used only by a specific USB host.
[0004]
[Problems to be solved by the invention]
However, in the conventional user authentication using a combination of a user ID and a password as described above, when the external storage device itself is stolen or lost, data stored in the external storage device can be freely used by a third party. There is a problem that the state becomes readable, which is not desirable for security.
[0005]
For this reason, a system to which the external storage device is connected needs a function for protecting the confidentiality of data stored inside the external storage device in preparation for theft or loss of the external storage device.
[0006]
Therefore, conventionally, the above data confidentiality protection has been achieved mainly by a software function. For example, when the confidentiality of data is protected by software installed in a computer, a user can usually read and write data only on a computer installed with the software.
[0007]
As described above, limiting the hardware resources that can be used by a user can improve the confidentiality of data. On the other hand, for example, a legitimate user can use other software without confidentiality protection software. There is a problem that it becomes inconvenient when trying to read and write data from and to an external storage device using a computer.
[0008]
In the case of the configuration described in Japanese Patent Application Laid-Open No. 2001-273059 or the like, it is necessary for each external storage device to support software for securing confidentiality. As a result, there is a problem that data confidentiality cannot be secured.
[0009]
The present invention has been made in view of the above problems, and has as its object to provide an encryption device and an encryption system for protecting the confidentiality of data stored in an external storage device.
[0010]
[Means for Solving the Problems]
For such a purpose, the present invention relates to an encryption device of a system to which an external storage device is connected, an installation means for installing the encryption device on a connection line of the system, and input data obtained from the system. Encryption means for encrypting the data and outputting the encrypted data to the external storage device, and decryption means for decrypting the encrypted data obtained from the external storage device and outputting the decrypted data to the system.
[0011]
Also, the present invention is an encryption system for an information processing device in which a plurality of devices are communicably connected to each other, wherein at least one device among the plurality of devices is any one of claims 1 to 6. It has the function of the encryption device described in (1).
[0012]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
The present invention is applied to, for example, an encryption system 100 as shown in FIG.
[0013]
As shown in FIG. 1, the encryption system 100 is configured to include a system 11, an encryption device 12, and an external storage device 13.
In the following, cipher text is data (encrypted data) that is converted (encrypted) into a form whose meaning is incomprehensible according to a certain rule in order to prevent the contents from being leaked to a third party. The term “data” means data before encryption or data (target data) obtained by converting (decrypting) ciphertext into original data.
[0014]
The system 11 creates a plaintext to be output to the encryption device 12.
The encryption device 12 includes an encryption unit 14, a decryption unit 15, and an encryption key (secret information) 16.
The encryption unit 14 encrypts the plaintext transmitted from the system 11 using an appropriate encryption method, and transmits the generated ciphertext to the external storage device 13.
Note that there are various encryption methods (public key method, secret key method, etc.), but the present invention is applicable to any encryption method.
The decryption unit 15 assumes that the data transmitted from the external storage device 13 is a ciphertext, and decrypts the ciphertext before transmitting the data to the system 11.
[0015]
When the plaintext is encrypted by the encryption device 12 and the encrypted text is decrypted, the encryption unit 14 and the decryption unit 15 use the encryption key (encryption information) 16 stored in the encryption device 12 to perform encryption. Or decryption. By using the encryption key 16 at the time of encryption or decryption, only the encrypting device 12 that has performed the encryption can decrypt the ciphertext into plaintext. Here, the encryption key 16 is configured, for example, as information that is a unique value for each encryption device 12, and this is stored in a ROM or the like.
[0016]
The external storage device 13 records the data obtained from the encryption unit 14 in a storage medium in the external storage device 13 without managing whether the data is plaintext or ciphertext. Since the encryption process by the encryption unit 14 does not directly affect the data size, the external storage device 13 can store the encrypted data generated by the encryption unit 14.
[0017]
Next, a protocol exchanged between the system 11 and the external storage device 13 will be described.
When the system 11 issues a command to the external storage device 13, the external storage device 13 performs a process according to the command, and also transfers data as necessary.
[0018]
For example, when writing data to the external storage device 13, first, the system 11 issues a write command (write command) to the external storage device 13 and transmits write data (write data). The external storage device 13 receives the write data from the system 11 and stores it on a storage medium.
In this case, if the external storage device 13 is a storage device that can be accessed randomly, writing or reading processing to or from the storage medium of the external storage device 13 is performed in block units. Further, a logical block number indicating a position to be stored in the storage medium is output to the external storage device 13 as a part of the command.
[0019]
Normally, the external storage device 13 only has a function of storing data transmitted from the outside, and does not care about the contents of the transmitted data. For this reason, even if the encrypted data is transmitted to the external storage device 13, the data storage function of the external storage device 13 is not particularly affected. The transmission data (ciphertext data) is stored in the storage medium by the same operation as described above.
[0020]
[Second embodiment]
In the present embodiment, the connection configuration of the system 11 of the first embodiment shown in FIG. 1, the encryption device 12, and the external storage device 13 is changed to another connection configuration, and furthermore, the connection configuration of the first embodiment is changed. The configuration is such that an identification unit 23 is added to the configuration unit.
[0021]
FIGS. 2A and 2B show an example in which the encryption system 12 and the external storage device 13 are connected to the system 11 in a so-called one-to-many connection manner in the encryption system 100 of the present embodiment. .
FIG. 2A shows that the encryption device 12 (child), the external storage device 13 (child), and the device 22 (child) have a parent-child relationship with the system 11 (parent) via the line concentrator 21. It is connected. In FIG. 2B, the external storage device 13 and the device 22 are connected to the system 11 by a daisy chain.
[0022]
FIG. 2C shows a configuration of an encryption device 12 connected to the system 11 in the form shown in FIG. 2A or 2B.
Note that the encryption unit 14 and the decryption unit 15 included in the system 11, the external storage device 13, and the encryption device 12 are the same as the system 11, the external storage device 13, and the encryption device in the first embodiment described above. 12 has the same functions as the encryption unit 14 and the decryption unit 15 included in the unit 12, and a detailed description thereof will be omitted.
[0023]
The identification unit 23 shown in FIG. 2C supplies a part of data to be written to the external storage device 13 or a part of data to be read from the external storage device 13 to the encryption unit 13 or the decryption unit 15 included in the encryption device 12. Then, the remaining data is not supplied to the encryption unit 13 or the decryption unit 15, but is transferred to the system 11, the device 22, or the like as it is.
[0024]
Usually, various devices connected to the system 11 have unique ID (address) information, and the system 11 can specify a device to which data is to be transferred using the ID as identification information. .
[0025]
The encryption device 12 includes an ID list 24 in which device IDs required for the identification unit 23 to identify the device 22 are stored.
In this case, the identification unit 23 identifies write data (write data) having a transfer destination corresponding to the ID stored (held) in the ID list 24 from the data (plain text data) output from the system 11. And extract.
The identification unit 23 identifies read data (read data) having a transfer source corresponding to an ID stored (held) in the ID list 24 from data output from the external storage device 13 or the device 22. And extract.
Accordingly, the identification unit 23 can distinguish between data supplied to the encryption unit 13 or the decryption unit 15 and data not supplied.
[0026]
For example, if only the data whose corresponding transfer destination exists in the ID list 24 among the plaintext data output from the system 11 is extracted as write data, only the extracted data can be output to the encryption unit 13. . If only the data whose corresponding transfer source exists in the ID list 24 among the data output from the external storage device 13 or the device 22 is extracted as read data, only the extracted read data is transmitted to the decoding unit 15. It is also possible to output.
[0027]
In order to store (register) the information of the device ID in the ID list 24, the user directly operates a dial or a key provided in the ID input unit 25 included in the encryption device 12 by directly operating the device. When the system 11 has dedicated software for editing the ID list 24, the ID list 24 can be edited by the software.
[0028]
Examples of a method for setting unique ID information for each device 22 include a method for setting a fixed ID for the device 22 and a method for dynamically setting a non-fixed ID by the system 11 when the device 22 is connected to the system 11. There is a method to set. When the device ID is dynamically set, the encryption device 12 detects the device ID from the ID setting information issued from the system 11 and stores the device ID in the ID list 24.
[0029]
As described above, since the identification unit 23 can distinguish between data supplied to the encryption unit 13 or the decryption unit 15 and data not supplied, for example, data (ciphertext data) encrypted by the encryption unit 13 It is possible to configure the external storage device 13 that stores therein and the external storage device 13 that does not store ciphertext data. For this reason, the user can take measures such as executing a strict security measure for the external storage device 13 in which the ciphertext data is stored.
[Third Embodiment]
In the present embodiment, the encryption key 16 included in the encryption device 12 of the first embodiment shown in FIG. 1 is stored in a rewritable nonvolatile storage medium (not shown) such as a flash ROM. , The user changes the encryption key 16.
[0030]
Note that the encryption unit 14 and the decryption unit 15 included in the system 11, the external storage device 13, and the encryption device 12 are the same as those of the system 11, the external storage device 13, and the first embodiment illustrated in FIG. Since the encryption unit 14 and the decryption unit 15 included in the encryption device 12 have the same functions as each other, a detailed description thereof will be omitted.
[0031]
The encryption device 12 shown in FIG. 1 includes an encryption key input unit (not shown) for changing the setting of the encryption key 16. For example, the user sets or changes the encryption key 16 or a password for the encryption key 16 by operating a dial or a key included in the encryption key input unit. As described above, the user can save a new set value (change value) in a rewritable nonvolatile storage medium by setting or changing the encryption key 16 or the like. Therefore, the user can improve the confidentiality of data by changing the value of the encryption key 16 and the like as necessary.
[0032]
If the system 11 has dedicated software for setting an encryption key and a password for the encryption key, the encryption key and the like can be changed by the software.
[0033]
[Fourth Embodiment]
In the present embodiment, the encryption device 12 according to the first embodiment shown in FIG. 1 includes a controller 31, and the controller 31 uses the encryption unit 14 to encrypt plaintext stored in the external storage device 13. The operation is controlled.
[0034]
FIG. 3 shows the configuration of the encryption system 100 according to the present embodiment.
As shown in FIG. 3, the encryption device 12 is not connected to the system 11, and transmits and receives the ciphertext and the plaintext to and from the external storage device 13. Note that a configuration in which the encryption device 12 and the system 11 are connected may be employed.
[0035]
The encryption unit 14, the decryption unit 15, and the external storage device 13 included in the encryption device 12 are the same as the encryption unit 14, the decryption unit 15, and the external storage device of the encryption device 12 in the first embodiment described above. Since the storage device 13 has the same functions as those of the storage device 13, detailed description thereof is omitted.
[0036]
The controller 31 included in the encryption device 12 determines whether or not the encryption unit 14 performs an encryption process on the plaintext stored in the external storage device 13. An operation example of the controller 31 will be described below.
First, the controller 31 issues a data read command to the external storage device 13 and reads plaintext data stored without encryption from the external storage device 13.
Next, the controller 31 outputs the plaintext data read from the external storage device 13 to the encryption unit 14. The encryption unit 14 performs an encryption process on the plaintext data output from the external storage device 13 using a predetermined encryption method, and generates a ciphertext. Note that the encryption key 16 is used for encryption.
Next, the controller 31 outputs the ciphertext generated by the encryption unit 14 to the external storage device 13.
Then, the external storage device 13 writes the ciphertext obtained from the controller 31 on a recording medium.
[0037]
When the external storage device 13 is a storage medium to which data can be written in a randomly accessible manner, the controller 31 reads out the plaintext data in order from the first block of the data stored in the external storage device 13, and The generated cipher text is written to the same address on the recording medium, and this process is repeated until the last block.
[0038]
As described above, the controller 31 can specify the plaintext data to be read from the external storage device 13 and supply the actually read plaintext data to the encryption unit 14 to generate the ciphertext data. As a result, the ciphertext data can be generated for specific plaintext data stored in the external storage device 13, and the ciphertext data can be stored on the external storage device 13 again. Therefore, the user can improve the confidentiality of the data stored in the external storage device 13 by controlling the operation of the controller 31.
[0039]
[Fifth Embodiment]
In the present embodiment, the encryption device 12 according to the first embodiment shown in FIG. 1 includes a controller 31, and the controller 31 uses the decryption unit 15 to decrypt a cipher text stored in the external storage device 13. Is configured to control the activation operation.
[0040]
FIG. 4 shows the configuration of the encryption system 100 according to the present embodiment.
As shown in FIG. 4, the encryption device 12 is not connected to the system 11, and transmits and receives the ciphertext and the plaintext to and from the external storage device 13. Note that a configuration in which the encryption device 12 and the system 11 are connected may be employed.
[0041]
The encryption unit 14, the decryption unit 15, and the external storage device 13 included in the encryption device 12 are the same as the encryption unit 14, the decryption unit 15, and the external storage device of the encryption device 12 in the first embodiment described above. Since the storage device 13 has the same functions as those of the storage device 13, detailed description thereof is omitted.
[0042]
The controller 31 included in the encryption device 12 determines whether or not the decryption unit 15 performs decryption processing on the cipher text stored in the external storage device 13. An operation example of the controller 31 will be described below.
First, the controller 31 issues a data read command to the external storage device 13 and reads encrypted data stored in the external storage device 13 in an encrypted manner.
Next, the controller 31 outputs the ciphertext data read from the external storage device 13 to the decryption unit 15. The decryption unit 15 performs a decryption process on the ciphertext data output from the external storage device 13 using a predetermined decryption method, and generates a plaintext. Note that the encryption key 16 is used for decryption.
Next, the controller 31 outputs the plaintext generated by the decryption unit 15 to the external storage device 13.
Then, the external storage device 13 writes the plaintext obtained from the controller 31 on the recording medium.
[0043]
When the external storage device 13 is a storage medium to which data can be written and which can be accessed randomly, the controller 31 reads the ciphertext data in order from the first block of the data stored in the external storage device 13, Is written to the same address on the recording medium, and this process is repeated until the last block.
[0044]
As described above, the controller 31 can specify the ciphertext data to be read from the external storage device 13 and supply the actually read ciphertext data to the decryption unit 15 to generate plaintext data. . Thereby, the plaintext can be generated for the specific ciphertext data stored in the external storage device 13, and the plaintext data can be stored on the external storage device 13 again. Therefore, the user can improve the confidentiality of the data stored in the external storage device 13 by controlling the operation of the controller 31.
[0045]
[Sixth Embodiment]
In the present embodiment, the encryption device 12 of the first embodiment shown in FIG. 1 includes a USB protocol analysis unit 57, and analyzes the USB protocol (communication protocol) by the USB protocol analysis unit 57. In this configuration, write data to be output to the external storage device 13 or read data to be input from the external storage device 13 are extracted to generate a ciphertext or a plaintext.
[0046]
FIG. 5 shows the configuration of the encryption system 100 according to the present embodiment.
As shown in FIG. 5, the encryption system 100 includes a system 11, a controller 12, a line concentrator (USB hub) 51, a device 52, and an external storage device 13.
[0047]
The system 11, the device 52, and the external storage device 13 have the same functions as those of the system 11, the device 52, and the external storage device 13 in the above-described first or second embodiment. Description is omitted.
[0048]
The line concentrator (USB hub) 51 connects various devices such as the device 52 and the encryption device 12 to the system 11 by USB connection (specific connection) as a network relay point. It should be noted that a USB device 52 other than the encryption device 12 may be connected to the USB hub 51.
[0049]
The encryption device 12 is configured to include a controller 53, an encryption unit 14, a decryption unit 15, and an encryption key 16.
The controller 53 includes SIEs (serial interface engines) 54 and 55, an identification unit 56, an ID list (not shown), and a USB protocol analysis unit 57.
[0050]
The SIEs 54 and 55 convert serial data input from the system 11 (upstream side) and the external storage device 13 (downstream side) via a USB signal line into a predetermined format, and output the format to the USB protocol analysis unit 57.
The SIEs 54 and 55 serialize the data output from the SB protocol analysis unit 57 and output the serialized data to a USB signal line.
[0051]
The USB protocol analysis unit 57 determines whether the data obtained from the SIEs 54 and 55 is write data (write data) to the input data external storage device 13 or data (read data) to be read from the external storage device 13. To analyze. As a protocol for the USB external storage device, for example, a mass storage class or the like is standardized (standard protocol). The USB protocol analyzer 57 is configured to support such a standard protocol. Is also good.
[0052]
The encryption unit 14, the decryption unit 15 and the key 16 are the same as the encryption unit 14, the decryption unit 15 and the key 16 of the first embodiment, and the identification unit 56 is the second embodiment. Since the identification unit 23 has the same functions as those of the identification unit 23, detailed description thereof is omitted.
[0053]
FIG. 6 shows a flow of data processing by the controller 53.
As shown in FIG. 6, the data (plaintext data) output from the system 11 is input to the SIE 54 via the USB hub 51 (step S61).
Since the system 11 and the encryption device 12 are connected by USB, the output data from the system 11 follows the USB protocol. In the USB protocol, first, a destination (device address and endpoint number) to which data is transferred, and data to the destination Information indicating whether reading or writing is performed is transmitted to the encryption device 12.
[0054]
Therefore, upon receiving the data output from the SIE 54, the identification unit 56 determines whether or not the destination of the data is included in the ID list 24 as shown in FIG. 2C (step S62). ).
When the identification unit 56 determines that the data transfer destination is not included in the ID list, the SIE 54 outputs the data to the SIE 55 on the opposite side to the input direction without changing the data content (step S67). ).
[0055]
On the other hand, if it is determined that the data transfer destination is included in the ID list, the USB protocol analysis unit 57 stores the data portion of the protocol sequence in the external storage based on the data read / write information transmitted together with the destination information. It is determined whether the data is write data (write data) for the device 13 (step S63) or read data (read data) from the external storage device 13 (step S64).
[0056]
When the USB protocol analyzing unit 57 determines that the protocol sequence exchanged between the system 11 and the external storage device 13 is data writing, the USB protocol analyzing unit 57 transmits the data ( Write data) is received from the SIE 54 and output to the encryption unit 14 (step S65).
The encryption unit 14 performs predetermined encryption on the data obtained from the USB protocol analysis unit 57 using the encryption key 16 (step S65), and outputs the generated ciphertext to the SIE 55 on the external storage device 13 side. (Step S67).
[0057]
On the other hand, when the USB protocol analysis unit 57 determines that the protocol sequence exchanged between the system 11 and the external storage device 13 is data reading, the USB protocol analysis unit 57 transmits the data from the external storage device 13 The received data (read data) is received from the SIE 55 and output to the decoding unit 15 (step S66).
The decryption unit 15 performs predetermined decryption on the data obtained from the USB protocol analysis unit 57 using the encryption key 16 (step S65), and outputs the generated plaintext to the SIE 54 of the system 11 (step S65). S67).
[0058]
As described above, only when the data output from the system 11 is write data to the external storage device 13, the ciphertext generated by the encryption unit 14 is output to the external storage device 13, and the external storage device 13 The ciphertext is stored on a storage medium. Only in the case of data read from the external storage device 13, the plaintext generated by the decryption unit 15 is output to the system 11.
Therefore, the user can store only specific data in the external storage device 13 based on the analysis result of the USB protocol analysis unit 57, and can further improve the confidentiality of the data stored in the external storage device 13. It becomes.
[0059]
【The invention's effect】
As described above, according to the present invention, an encryption device is installed on a connection line of a system to which an external storage device is connected, and target data (plaintext data) obtained from the system by the encryption device or obtained from an external storage device. Since the encryption data to be obtained is encrypted or decrypted, the confidentiality of the data stored in the external storage device can be protected.
[0060]
For example, the encryption device encrypts the plaintext data by a predetermined method before storing the target data output from the system in the external storage device. Unless the contents are obtained, the encrypted data (encrypted data) cannot be decrypted and decrypted, and the confidentiality of the data can be improved.
[0061]
Further, if the encryption device is configured to include an identification unit for identifying the external storage device, the target data from the system can be stored only in a predetermined external storage device designated by the system. As a result, data to be stored in the external storage device can be selected according to the type and content of the data, and the confidentiality of the data can be further improved.
[0062]
In addition, if the encryption device and the external storage device are configured to have a specific connection, for example, a USB connection to the system, the configuration and processing method of the system and the external storage device can be changed without changing the system. Data protection can be effectively performed by collective management based on analysis of a communication protocol (USB protocol) in the encryption device without providing software for data protection on the storage device side and the external storage device side.
[0063]
Further, for example, if the encryption device is configured to be miniaturized, the encryption device can be always carried or strictly stored, so that even if the external storage device itself is stolen, It is possible to minimize the possibility that data stored in the storage device is leaked to a third party.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of an encryption system 100 according to a first embodiment of the present invention.
FIG. 2 is a configuration diagram of an encryption system 100 according to a second embodiment to which the present invention is applied.
FIG. 3 is a configuration diagram of an encryption system 100 according to a fourth embodiment to which the present invention has been applied.
FIG. 4 is a configuration diagram of an encryption system 100 according to a fifth embodiment to which the present invention has been applied.
FIG. 5 is a configuration diagram of an encryption system 100 according to a sixth embodiment of the present invention.
FIG. 6 is a flowchart of data processing by a controller 53.
[Explanation of symbols]
11 System
12 Encryption device
13 External storage device
14 Encryption unit
15 Decoding unit
16 Encryption key
21 Concentrator
22 devices
23 Identification part
24 ID list
25 ID input section
31 Controller
53 Controller
54 Upstream SIE (Serial Interface Engine)
55 Downstream SIE (Serial Interface Engine)
56 Identification unit
57 USB Protocol Analyzer

Claims (7)

外部記憶装置が接続されたシステムの暗号化装置であって、
上記システムの接続線上に、上記暗号装置を設置する設置手段と、
上記システムから得られる対象データを暗号化した暗号データを上記外部記憶装置に出力する暗号化手段と、
上記外部記憶装置から得られる暗号データを復号化した対象データを上記システムに出力する復号化手段とを備えたことを特徴とする暗号化装置。An encryption device for a system to which an external storage device is connected,
Installation means for installing the encryption device on a connection line of the system,
Encryption means for outputting encrypted data obtained by encrypting the target data obtained from the system to the external storage device,
Decryption means for outputting to the system target data obtained by decrypting encrypted data obtained from the external storage device. 上記外部記憶装置を識別する識別手段を有し、
上記識別手段の識別結果に基づき、
上記暗号化手段は上記対象データを暗号化し、上記復号化手段は上記暗号データを復号化することを特徴とする請求項1記載の暗号化装置。Having identification means for identifying the external storage device,
Based on the identification result of the identification means,
2. The encryption apparatus according to claim 1, wherein the encryption unit encrypts the target data, and the decryption unit decrypts the encrypted data. 上記暗号化手段により上記対象データを暗号化するために、秘密情報を入力する入力手段を備えたことを特徴とする請求項1記載の暗号化装置。2. The encryption device according to claim 1, further comprising an input unit for inputting secret information in order to encrypt the target data by the encryption unit. 上記暗号化手段は、上記外部記憶装置から暗号化されていないデータを読み出して暗号データを生成し、上記外部記憶装置に出力することを特徴とする請求項1記載の暗号化装置。2. The encryption device according to claim 1, wherein the encryption unit reads unencrypted data from the external storage device to generate encrypted data, and outputs the encrypted data to the external storage device. 上記復号化手段は、上記外部記憶装置から暗号データを読み出して復号化した対象データを生成し、上記外部記憶装置に出力することを特徴とする請求項1記載の暗号化装置。2. The encryption device according to claim 1, wherein the decryption unit reads the encrypted data from the external storage device, generates decrypted target data, and outputs the decrypted target data to the external storage device. 特定の接続によって上記外部記憶装置が接続されたシステムの暗号化装置であって、
上記システムと上記外部記憶装置間の通信プロトコルを解析するプロトコル解析手段を有し、
上記プロトコル解析手段の解析結果に基づき、
上記暗号化手段は上記対象データを暗号化し、上記復号化手段は上記暗号データを復号化することを特徴とする請求項1記載の暗号化装置。An encryption device for a system in which the external storage device is connected by a specific connection,
Having protocol analysis means for analyzing a communication protocol between the system and the external storage device,
Based on the analysis result of the above protocol analysis means,
2. The encryption apparatus according to claim 1, wherein the encryption unit encrypts the target data, and the decryption unit decrypts the encrypted data. 複数の機器が互いに通信可能に接続されてなる情報処理機器のための暗号化システムであって、
上記複数の機器のうち少なくとも1つの機器は、請求項1〜6の何れかに記載の暗号化装置の機能を有することを特徴とする暗号化システム。An encryption system for an information processing device in which a plurality of devices are communicably connected to each other,
An encryption system, wherein at least one of the plurality of devices has the function of the encryption device according to claim 1.
JP2002193616A 2002-07-02 2002-07-02 Device and system for encoding Pending JP2004038476A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002193616A JP2004038476A (en) 2002-07-02 2002-07-02 Device and system for encoding

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002193616A JP2004038476A (en) 2002-07-02 2002-07-02 Device and system for encoding

Publications (1)

Publication Number Publication Date
JP2004038476A true JP2004038476A (en) 2004-02-05

Family

ID=31702540

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002193616A Pending JP2004038476A (en) 2002-07-02 2002-07-02 Device and system for encoding

Country Status (1)

Country Link
JP (1) JP2004038476A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006211157A (en) * 2005-01-26 2006-08-10 Fuji Xerox Co Ltd Service providing apparatus, service providing system, and service providing method
JP2008035438A (en) * 2006-07-31 2008-02-14 Fujitsu Ltd Data repeating apparatus
JP2009211524A (en) * 2008-03-05 2009-09-17 Shinko Electric Ind Co Ltd Virus checker and data communication method using the same
JP2015532817A (en) * 2012-09-05 2015-11-12 中興通訊股▲ふん▼有限公司 Method for realizing encryption in memory card, decryption method and device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006211157A (en) * 2005-01-26 2006-08-10 Fuji Xerox Co Ltd Service providing apparatus, service providing system, and service providing method
JP2008035438A (en) * 2006-07-31 2008-02-14 Fujitsu Ltd Data repeating apparatus
JP2009211524A (en) * 2008-03-05 2009-09-17 Shinko Electric Ind Co Ltd Virus checker and data communication method using the same
JP2015532817A (en) * 2012-09-05 2015-11-12 中興通訊股▲ふん▼有限公司 Method for realizing encryption in memory card, decryption method and device

Similar Documents

Publication Publication Date Title
US8107621B2 (en) Encrypted file system mechanisms
JP4703791B2 (en) Data re-encryption apparatus and method
US8929544B2 (en) Scalable and secure key management for cryptographic data processing
JP4555046B2 (en) Data transfer system and data transfer method
EP2817916B1 (en) Cryptographic transmission system using key encryption key
JP4619361B2 (en) Recording medium having encryption instruction information
JP3581601B2 (en) Data transfer device, data transfer system and recording medium
JP2008005408A (en) Recorded data processing apparatus
US7975141B2 (en) Method of sharing bus key and apparatus therefor
WO2006118101A1 (en) Confidential information processing host device and confidential information processing method
JP2007282064A (en) Device and method for processing data, storage medium and program
JP2004038476A (en) Device and system for encoding
JP2004199689A (en) Secure media card operation over unsecured pci bus
CN113158203B (en) SOC chip, circuit and external data read-write method of SOC chip
KR20020071274A (en) Universal Serial Bus(USB) security secondary storage device using Crypto Chip and Flash memory based on PC
JP2010219883A (en) Image forming apparatus, and image forming method
US20230208821A1 (en) Method and device for protecting and managing keys
JP3797531B2 (en) System for preventing unauthorized copying of digital data
JP2000244475A (en) File encryption system
JP7170588B2 (en) Data processing method and data processing system
KR20060107049A (en) Printing apparatus having security funcition and method for the same
US20110293087A1 (en) Data encryption device and control method thereof
JP2005020105A (en) Communication unit, information communication system, and information communication method
JP2009075474A (en) Cryptography processor
JP5076546B2 (en) Content data management system and apparatus