JP2011233087A - Storage, control method and computer program - Google Patents
Storage, control method and computer program Download PDFInfo
- Publication number
- JP2011233087A JP2011233087A JP2010105319A JP2010105319A JP2011233087A JP 2011233087 A JP2011233087 A JP 2011233087A JP 2010105319 A JP2010105319 A JP 2010105319A JP 2010105319 A JP2010105319 A JP 2010105319A JP 2011233087 A JP2011233087 A JP 2011233087A
- Authority
- JP
- Japan
- Prior art keywords
- storage device
- time
- information processing
- data
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
情報処理装置に接続可能な記憶装置などに関する。 The present invention relates to a storage device that can be connected to an information processing device.
近年、USBメモリをはじめとする可搬型の記憶装置が広く普及している。 In recent years, portable storage devices such as USB memories have become widespread.
ユーザは、そのような記憶装置をパーソナルコンピュータなどの情報処理装置に接続し、記憶装置にデータを書き込んだり、記憶装置からデータを読み出したりすることができる。 A user can connect such a storage device to an information processing device such as a personal computer, and write data to the storage device or read data from the storage device.
可搬型の記憶装置は、一般に、操作方法が単純で扱いやすく、コンパクトで持ち運びに適しているので、ある情報処理装置に記憶されたデータを持ち出して他の情報処理装置で使用したい場合などに便利である。 Portable storage devices are generally easy to handle, easy to handle, compact and suitable for carrying around, so they are useful when you want to take data stored in one information processing device and use it in another information processing device. It is.
しかしながら、その扱いやすさおよびコンパクトさゆえ、ユーザは、しばしば、それを情報処理装置に差し込んだまま抜き忘れてしまったり、持ち運んでいる間に紛失してしまったりすることがある。また、盗難にあってしまうこともある。 However, due to its ease of handling and compactness, users often forget to unplug it while it is plugged into an information processing device or lose it while carrying it. It can also be stolen.
そのような場合に、記憶装置に保存されたデータに含まれる機密性の高い情報などが、第三者に漏えいしてしまうおそれがある。すなわち、可搬型の記憶装置は、便利な反面、セキュリティ上の問題を有している。 In such a case, highly confidential information included in the data stored in the storage device may be leaked to a third party. That is, the portable storage device is convenient, but has a security problem.
そこで、記憶装置のセキュリティの向上を図るため、USBメモリ等の携帯型記憶媒体に対して、通信機能を持たせることにより、遠隔から内部に記憶された情報の操作を可能とし、且つ通信が確立しない状態においても、時限的に内部情報を消去する、携帯型記憶媒体の管理システムが提案されている(特許文献1)。 Therefore, in order to improve the security of the storage device, it is possible to remotely manipulate the information stored in the portable storage medium such as a USB memory and establish communication. There has been proposed a portable storage medium management system for erasing internal information in a timely manner even in a state where it is not (Patent Document 1).
また、記憶装置に記憶されたデータを削除する削除時期を特定し、削除時期が経過したか否かを判定し、外部装置が接続されていないことが検知され、かつ、削除時期を経過したと判定された場合に、データを記憶手段から削除する記憶装置が提案されている(特許文献2)。 Further, it is determined that the deletion time for deleting the data stored in the storage device is determined, it is determined whether the deletion time has passed, it is detected that the external device is not connected, and the deletion time has passed. A storage device that deletes data from the storage means when it is determined is proposed (Patent Document 2).
特許文献1で提案されている記憶媒体の管理システム、および特許文献2で提案されている記憶装置では、ある程度セキュリティが確保されるもののいまだ不十分である。
The storage medium management system proposed in
すなわち、それらでは、ユーザが記憶装置を情報処理装置に差し込んだまま席を離れてしまった後に、第三者がその場で記憶装置に記憶されたデータを参照したり、記憶装置を抜き取って持ち去ったりした場合などには、セキュリティを確保できない。 That is, in those cases, after the user leaves the seat with the storage device inserted into the information processing device, a third party refers to the data stored in the storage device on the spot or removes the storage device and takes it away. Security cannot be ensured in the event of a failure.
本発明は、このような事情に鑑みてなされたものであり、セキュリティをより一層向上させた記憶装置を提供することを目的とする。 The present invention has been made in view of such circumstances, and an object thereof is to provide a storage device with further improved security.
以下に述べる記憶装置は、情報処理装置に接続可能な記憶装置であって、データを記憶する第一の記憶手段と、前記データを削除する時期を示す削除予定時刻を記憶する第二の記憶手段と、前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする第一のアクセス無効化手段と、を有する。 The storage device described below is a storage device that can be connected to the information processing device, and is a first storage unit that stores data, and a second storage unit that stores a scheduled deletion time that indicates when the data is deleted. And a first access invalidating means for disabling access to the data when the current time reaches the scheduled deletion time regardless of whether or not connected to the information processing apparatus. Have.
本発明によれば、セキュリティをより一層向上させた記憶装置を提供することができる。 According to the present invention, a storage device with further improved security can be provided.
まず、図1に示されるような、本実施形態に係る記憶装置1が有する機能を説明する。
First, the functions of the
記憶装置1は、持ち運びに適した可搬型(リムーバブル型)の記憶装置であり、内部に不揮発性メモリ12を備えている。
The
利用者は、記憶装置1を自己が使用するパソコンなどの情報処理装置2に接続し、認証を受けた後、持ち出したいデータを記憶装置1に記憶させることができる。
The user can store the data to be taken out in the
記憶装置1に記憶されたデータは、情報漏えいを防止する観点から、様々なタイミングで読出しが不可能となる。具体的には、下記(1)〜(9)のタイミングで読出しが不可能となる。ただし、利用者またはその管理者は、下記(1)〜(9)のタイミングのうち有効にすべきタイミングを、記憶装置1の使用目的に応じて選択することができる。
(1)設定された日時に達した時
(2)記憶装置1が情報処理装置2から取り外されてから所定の時間が経過した時
(3)接続が許可されていない情報処理装置2に記憶装置1が接続された回数が所定の回数に達した時
(4)記憶装置1が情報処理装置2に接続された後、利用者の認証が成功しないまま記憶装置1が情報処理装置2から取り外された回数が所定の回数に達した時
(5)記憶装置1が情報処理装置2に接続された後、利用者の認証が成功しないまま所定の時間が経過した時
(6)記憶装置1が情報処理装置2に接続された後、利用者の認証に失敗した回数が所定の回数に達した時
(7)記憶装置1が情報処理装置2に接続され利用者の認証が成功した後、利用者による操作が行われないまま所定の時間が経過した時
(8)利用者より記憶装置1を情報処理装置2から取り外す意思が示された後、取り外されないまま所定の時間が経過した時
(9)二次電池の残量が所定の値を下回った時
記憶装置1に記憶されたデータは、上記(1)のタイミングで読出しが不可能となるので、記憶装置1の使用状況などに関わらず、設定された日時に達すれば確実に読出しが不可能となる。
The data stored in the
(1) When the set date and time are reached (2) When a predetermined time has elapsed since the
記憶装置1に記憶されたデータは、上記(2)のタイミングで読出しが不可能となるので、所定の時間、記憶装置1が使用されなければ確実に読出しが不可能となる。
Since the data stored in the
なお、上記(1)、(2)のタイミングは、原則として記憶装置1が情報処理装置2に単に接続されることによっては延長されないことが、従来の記憶装置と異なる点の1つである。
One of the differences from the conventional storage device is that the timings (1) and (2) are not extended in principle by simply connecting the
記憶装置1に記憶されたデータは、上記(3)〜(6)のタイミングで読出しが不可能となるので、第三者による不正な使用が疑われる場合などに読出しが不可能となる。
Since the data stored in the
記憶装置1に記憶されたデータは、上記(7)、(8)のタイミングで読出しが不可能となるので、利用者が記憶装置1を情報処理装置2から抜き忘れたと考えられる場合などに読出しが不可能となる。
Since the data stored in the
記憶装置1に記憶されたデータは、上記(9)のタイミングで読出しが不可能となるので、二次電池の残量が足りないために読出しを不可能とする動作を実行できなくなってしまうということがない。
Since the data stored in the
このように、記憶装置1では、記憶されたデータは様々なタイミングで読出しが不可能となるので、情報漏えいを防止することができる。
Thus, in the
以下、このような機能を有する記憶装置1の実施形態について、図面を用いて説明する。
〔記憶装置1の構成〕
図1は記憶装置1のハードウェア構成の例を示す図であり、図2は記憶装置1の機能的な構成の例を示す図である。
Hereinafter, an embodiment of the
[Configuration of Storage Device 1]
FIG. 1 is a diagram illustrating an example of a hardware configuration of the
図1に示すように、記憶装置1は、コネクタ部10、制御部11、不揮発性メモリ12、ハブ13、切換えスイッチ14a、14b、充電回路15、二次電池16、DC/DCコンバータ17、および計時部18などを有している。
As shown in FIG. 1, the
コネクタ部10は、信号端子10aおよび電源端子10bなどを有しており、記憶装置1と情報処理装置2とを物理的に接続する際の接点となる。コネクタ部10の形状は、記憶装置1と情報処理装置2との接続に用いられるインタフェースに対応した形状となっている。インタフェースとして、例えば、USB(Universal Serial Bus)規格に準拠したシリアルインタフェースが用いられる。
The
コネクタ部10が、情報処理装置2の側に設けられた対応するコネクタ部に差し込まれることで、記憶装置1と情報処理装置2とが電気的に接続される。そして、信号端子10aを介して、記憶装置1と情報処理装置2との間で各種のデータがやり取りされる。また、電源端子10bを介して、情報処理装置2から記憶装置1へ電力が供給される。例えば、+5Vの直流電圧の電力が供給される。電源端子10bを介して供給された電力は、DC/DCコンバータ17を介して記憶装置1の各部に供給される。
The
制御部11は、不揮発性のメモリからなる記憶部を内蔵したCPU(Central Processing Unit)であり、記憶部に格納されているプログラムおよびデータならびに情報処理装置2から入力される各種のデータなどに基づいて、記憶装置1の全体的な制御を行う。
The
制御部11の記憶部には、図2に示すような各機能部を実現するためのプログラムが格納されている。
The storage unit of the
図2をも参照して、接続/非接続検知部101は、記憶装置1が情報処理装置2に接続されたこと、および記憶装置1が情報処理装置2から取り外されたことを検知する。検知は、電源端子10bに電圧が加わっているか否か、または電源端子10bに電流が流れているか否かなどを検出することにより行われる。
Referring also to FIG. 2, the connection /
電力供給指示部102は、電源オン/オフ信号S02をDC/DCコンバータ17に出力する。電源オン/オフ信号S02は、電源のオンまたはオフを指示するレベル信号である。
The power
初期設定部103は、情報処理装置2から入力された情報などに基づいて記憶装置1の初期設定を行う。
The
機器/ユーザ認証部104は、記憶装置1が接続された情報処理装置2、および記憶装置1を使用する利用者を認証する。
The device /
アラーム設定部105は、アラーム時刻S05を計時部18に設定する。
The
削除判別部106は、不揮発性メモリ12に記憶されたデータへのアクセスを不可能にするか否かを判別する。
The
キー/データ削除部107は、制御部11の記憶部などに記憶された暗号鍵、または不揮発性メモリ12に記憶されたデータを消去する。
The key /
制御部11の記憶部には、そのほか、所定のインタフェースに則って情報処理装置2と通信を行うためのプログラムが格納されている。
In addition, the storage unit of the
これらのプログラムが制御部11のCPUによって適宜実行されることで、制御部11による各種の制御が実現される。
These programs are appropriately executed by the CPU of the
不揮発性メモリ12は、データの記憶領域、およびデータの書込みおよび読出しを制御するためのコントローラなどを有している。不揮発性メモリ12の記憶領域に記憶されたデータは、不揮発性メモリ12に電力が供給されていない状態でも保持される。不揮発性メモリ12として、例えば、フラッシュメモリなどの半導体メモリが用いられる。
The
信号端子10aと制御部11および不揮発性メモリ12との間には、制御部11および不揮発性メモリ12の側に2つのポートを有するハブ13が設けられている。また、ハブ13と制御部11および不揮発性メモリ12との間、つまりハブ13の後段には、切換えスイッチ14a、14bが設けられている。このような構成により、制御部11および不揮発性メモリ12をそれぞれ情報処理装置2に接続することも、制御部11および不揮発性メモリ12を互いに接続することも可能となっている。
Between the
充電回路15は、記憶装置1が情報処理装置2に接続されているときに、電源端子10bを介して供給される電力を二次電池16に充電するための回路である。
The charging
二次電池16は、記憶装置1が情報処理装置2に接続されている間、時間の経過とともに充電され、記憶装置1が情報処理装置2に接続されていないときに、記憶装置1の各部に電力を供給するための電源となる。二次電池16として、例えば、大容量キャパシタが用いられる。
The
DC/DCコンバータ17は、制御部11または計時部18からの指示に応じて、制御部11、不揮発性メモリ12、およびハブ13などの記憶装置1の各部に電力を分配する。その際、記憶装置1の各部の動作に適した電圧に変換する。例えば、+3.3Vの直流電圧に変換する。記憶装置1が情報処理装置2に接続されているときは、電源端子10bを介して供給される電力を分配する。記憶装置1が情報処理装置2に接続されていないときは、制御部11から出力される電源オン/オフ信号S02において電源のオンが指示されている間、二次電池16から供給される電力を分配する。
The DC /
計時部18は、常時、電力の供給を受けて現在時刻(現在日時)を計時し続けるためのIC(Integrated Circuit)であり、RTC(Real Time Clock)と呼ばれることもある。計時部18は、記憶装置1が情報処理装置2に接続されていないときは、二次電池16から電力の供給を受ける。計時部18で計時されている現在時刻は、記憶装置1が情報処理装置2に接続されたときに、情報処理装置2において計時されている現在時刻に適宜補正される。
The
計時部18には、アラーム時刻S05を設定することが可能となっており、計時部18は、現在時刻がアラーム時刻S05に達すると、図2に示すように、電源オン信号S18をDC/DCコンバータ17に出力するようになっている。
〔初期化の際に行われる処理〕
次に、記憶装置1の初期化について説明する。
The
[Processes performed at initialization]
Next, initialization of the
記憶装置1の初期化は、初期化を行う作業者が情報処理装置2を用いて行う。作業者は、記憶装置1の利用者自身またはその管理者である。
Initialization of the
具体的には、作業者には、記憶装置1を初期化するための、情報処理装置2のOS(Operating System)に対応の初期化用プログラムが格納されたCD−ROMが配布される。初期化用プログラムには、ドライバ、初期設定用アプリケーション、および操作用アプリケーションなどが含まれている。初期設定用アプリケーションは、記憶装置1の初期化の際に必要となるプログラムである。操作用アプリケーションは、初期化済みの記憶装置1を使用する際に必要となるプログラムである。
Specifically, a CD-ROM storing an initialization program corresponding to the OS (Operating System) of the
作業者は、初期化用プログラムを情報処理装置2にインストールする。そして、記憶装置1を情報処理装置2に接続し、初期設定用アプリケーションを情報処理装置2において起動する。
The operator installs an initialization program in the
記憶装置1が情報処理装置2に接続されると、DC/DCコンバータ17を介して記憶装置1の各部に電源端子10bからの電力が供給される。
When the
一方、初期設定用アプリケーションは、作業者を誘導するための画面を情報処理装置2の表示装置に表示する。作業者はその画面の内容に従って必要な事項を入力して記憶装置1の初期化を行う。
On the other hand, the initial setting application displays a screen for guiding the worker on the display device of the
図3は記憶装置1の初期化の際に行われる処理の流れの例を示すシーケンス図であり、図4は初期設定テーブルFTの例を示す図である。
FIG. 3 is a sequence diagram showing an example of the flow of processing performed when the
以下、記憶装置1の初期化の際に行われる処理について、図3を用いて説明する。ただし、以下に説明する処理が実行される順序は、必ずしも図3に示される順序の通りでなくてもよい。
Hereinafter, a process performed when the
初期設定用アプリケーションは、制御部11に対して記憶内容をリセットするよう要求する(#301)。そして、制御部11における記憶内容は、工場出荷時の状態に戻される。
The initial setting application requests the
次に、初期設定用アプリケーションは、記憶装置1を使用する際の運用上の設定(ポリシー設定)を行う上で必要な事項を入力するよう作業者に促し、入力された内容を制御部11に送信する(#302〜#304)。制御部11の初期設定部103は、受信した内容を図4に示すような初期設定テーブルFTに設定する。初期設定テーブルFTは、制御部11の記憶部に保存される。
Next, the initial setting application prompts the operator to input items necessary for performing operational settings (policy settings) when using the
具体的には、初期設定用アプリケーションは、管理者パスワードおよび利用者パスワードを入力するよう作業者に促し、入力された両パスワードを制御部11に送信する(#302)。制御部11の初期設定部103は、受信した両パスワードを初期設定テーブルFTの管理者パスワードFT1および利用者パスワードFT2にそれぞれ設定する。
Specifically, the initial setting application prompts the operator to input an administrator password and a user password, and transmits both the input passwords to the control unit 11 (# 302). The
また、初期設定用アプリケーションは、記憶装置1の接続を許可する情報処理装置2を特定するための情報である固有IDを入力するよう促し、入力された固有IDを制御部11に送信する(#303)。ここで、作業者は、記憶装置1を接続して使用することを予定している情報処理装置2の固有IDを入力する。なお、初期化に用いた情報処理装置2の固有IDは、自動的に送信されるようにしてもよい。固有IDとして、例えば、MACアドレス(Media Access Control address)が用いられる。制御部11の初期設定部103は、受信した固有IDを初期設定テーブルFTの接続許可機器リストFT3に登録する。
In addition, the initial setting application prompts the user to input a unique ID that is information for specifying the
また、初期設定用アプリケーションは、記憶装置1に記憶されたデータを読出し不可能とするタイミングを示す削除設定情報を、指定または選択するなどの方法により入力するよう作業者に促し、入力された削除設定情報を制御部11に送信する(#304)。制御部11の初期設定部103は、受信した削除設定情報を初期設定テーブルFTの削除タイミングリストFT4の各削除タイミング情報DTに設定する。削除タイミングリストFT4の詳細については後述する。
In addition, the initial setting application prompts the operator to input deletion setting information indicating a timing at which data stored in the
また、初期設定用アプリケーションは、初期化用プログラムの一部としてインストールされた操作用アプリケーションをCD−ROMのフォーマットに変換したファイルであるCD−ROMイメージを作成し、作成したCD−ROMイメージを不揮発性メモリ12の所定の記憶領域に格納する(#305)。CD−ROMイメージが格納された記憶領域は、情報処理装置2のOSにおいて仮想的にCD−ROMドライブとして認識される。利用者は、CD−ROMに格納されたプログラムを利用する要領で操作用アプリケーションを利用することができる。
The initial setting application creates a CD-ROM image, which is a file obtained by converting the operation application installed as part of the initialization program into a CD-ROM format, and the created CD-ROM image is nonvolatile. Stored in a predetermined storage area of the memory 12 (# 305). The storage area in which the CD-ROM image is stored is virtually recognized as a CD-ROM drive by the OS of the
また、初期設定用アプリケーションは、情報処理装置2のOSに対応したファイルシステムに則って、不揮発性メモリ12の所定の記憶領域をリムーバブルディスクとしてフォーマットする(#306)。さらに、暗号化されたデータを格納するための暗号化領域をフォーマット済みの記憶領域に作成する(#307)。暗号化領域は、対応する暗号鍵が適用されることにより、情報処理装置2のOSにおいてディスクドライブとして認識される。利用者は、認証を受ければ、通常のファイル操作の要領で、暗号化領域にファイルを保存したり保存したファイルを開いたりすることができる。
The initial setting application formats a predetermined storage area of the
また、初期設定用アプリケーションは、暗号化領域へのアクセスに用いられる暗号鍵を生成し、生成した暗号鍵を制御部11に送信する(#308)。制御部11の初期設定部103は、受信した暗号鍵を初期設定テーブルFTの暗号鍵FT5に設定する。
The initial setting application generates an encryption key used for accessing the encryption area, and transmits the generated encryption key to the control unit 11 (# 308). The
また、初期設定用アプリケーションは、情報処理装置2において計時されている現在時刻を取得し、取得した現在時刻を制御部11に送信する(#309)。制御部11の初期設定部103は、受信した現在時刻を計時部18に設定する。
Further, the initial setting application acquires the current time counted by the
以上のようにして、記憶装置1が初期化され、初期化済みの制御部11の記憶部には、図4に示すような初期設定テーブルFTが保存される。
As described above, the
以下、初期設定テーブルFTの削除タイミングリストFT4の詳細について説明する。 Details of the deletion timing list FT4 of the initial setting table FT will be described below.
図5は削除タイミングリストFT4の例を示す図である。 FIG. 5 shows an example of the deletion timing list FT4.
削除タイミングリストFT4には、不揮発性メモリ12に記憶されたデータの読出しを不可能とするタイミングを示す各種の削除タイミング情報DTが登録される。各削除タイミング情報DTの値は、あらかじめ定められた値が設定されることもあるし、作業者によって入力された削除設定情報に基づいて設定されることもある。作業者によって入力される削除設定情報に示される値は、初期設定用アプリケーションから提供されるデフォルトの値であってもよい。
In the deletion timing list FT4, various types of deletion timing information DT indicating the timing at which reading of data stored in the
データ保持期限DT1は、データを保持しておく絶対的な期限を示す情報であり、本例では「2010年7月4日24時00分00秒」に設定されている。 The data retention time limit DT1 is information indicating an absolute time limit for retaining data, and is set to “4 July 2010, 24:00:00” in this example.
データ保持期間DT2は、記憶装置1が情報処理装置2から取り外された時を起点としてデータを保持しておく期間を示す情報であり、本例では「24時間」に設定されている。
The data holding period DT2 is information indicating a period for holding data starting from when the
未登録機器接続回数DT3は、接続が許可されていない情報処理装置2に記憶装置1が接続された回数が累積して何回目に達した時にデータを削除するかを示す情報であり、本例では「3回」に設定されている。
The unregistered device connection count DT3 is information indicating how many times the number of times that the
未認証取外し回数DT4は、利用者の認証が成功しない状態において記憶装置1が情報処理装置2から取り外された回数が累積して何回目に達した時にデータを削除するかを示す情報であり、本例では「3回」に設定されている。
The number of unauthenticated removals DT4 is information indicating how many times the number of times the
未認証時間DT5は、記憶装置1が情報処理装置2に接続されてから利用者の認証が成功しない状態が続いた場合に、データを保持しておく時間を示す情報であり、本例では「10分」に設定されている。
The unauthenticated time DT5 is information indicating the time for which data is held when the user authentication is not successful after the
認証失敗回数DT6は、利用者の認証に失敗した回数が累積して何回目に達した時にデータを削除するかを示す情報であり、本例では「5回」に設定されている。 The number of authentication failures DT6 is information indicating how many times the number of failed user authentications has been accumulated and reached, and is set to “5 times” in this example.
未操作時間DT7は、利用者の認証が成功してから利用者による操作が行われない状態が続いた場合に、データを保持しておく時間を示す情報であり、本例では「15分」に設定されている。 The no-operation time DT7 is information indicating a time for retaining data when a user operation is not performed after successful user authentication. In this example, the non-operation time DT7 is “15 minutes”. Is set to
取外し時間DT8は、記憶装置1と情報処理装置2との論理的な接続が解除されてから物理的な接続が切断されない状態が続いた場合に、データを保持しておく時間を示す情報であり、本例では「5分」に設定されている。
The removal time DT8 is information indicating a time for retaining data when the physical connection between the
電池下限電圧DT9は、二次電池16に充電された電圧がどれだけ低下するまでデータを保持しておくかの下限電圧を示す情報であり、本例では「3V」に設定されている。
The battery lower limit voltage DT9 is information indicating a lower limit voltage indicating how much data is held until the voltage charged in the
電池下限電圧DT9には、あらかじめ定められた値が設定され、作業者はその設定内容を変更できないようになっていることが好ましい。なお、電池下限電圧DT9は、DC/DCコンバータ17が動作可能な下限電圧、記憶装置1の各部における消費電力、および後述する電力監視周期などに基づいて設定される。
It is preferable that a predetermined value is set for the battery lower limit voltage DT9 so that the operator cannot change the setting content. The battery lower limit voltage DT9 is set based on the lower limit voltage at which the DC /
データの読出しを不可能とするタイミングとして各削除タイミング情報DT(DT1〜DT9)を適用するか否かは、あらかじめ設定されているか、作業者が選択できるようになっている。図5の例において、適用する削除タイミング情報DTには「有効」が設定され、適用しない削除タイミング情報DTには「無効」が設定されている。ここで、複数の削除タイミング情報DTの適用の有無が互いに連動するようになっていてもよい。例えば、データ保持期限DT1が適用される場合は、データ保持期間DT2が適用されないようになっていてもよい。なお、電池下限電圧DT9は、常に適用されることが好ましい。 Whether the deletion timing information DT (DT1 to DT9) is applied as a timing at which data cannot be read is set in advance or can be selected by the operator. In the example of FIG. 5, “valid” is set for the deletion timing information DT to be applied, and “invalid” is set for the deletion timing information DT that is not applied. Here, the presence / absence of application of a plurality of deletion timing information DT may be linked to each other. For example, when the data retention period DT1 is applied, the data retention period DT2 may not be applied. Battery lower limit voltage DT9 is preferably always applied.
また、利用者またはその管理者は、記憶装置1の初期化の後も、利用者パスワード、管理者パスワード、またはその両方による認証を受ければ、データ保持期限DT1、データ保持期間DT2をはじめとする各削除タイミング情報DTの設定内容を適宜変更することができるようになっている。
Further, if the user or the administrator receives authentication by the user password, the administrator password, or both even after the initialization of the
以下、データ保持期限DT1およびデータ保持期間DT2についてはいずれか一方のみが適用され、そのほかの各削除タイミング情報DTについてはすべてが適用されることを前提に説明する。そのため、以下の説明において、各削除タイミング情報DTが関係する処理にあっては、その削除タイミング情報DTを適用しない場合は行う必要がない。
〔データの保存の際に行われる処理〕
図6は、記憶装置1にデータが保存される際に行われる処理の流れの例を示すフローチャートである。
Hereinafter, description will be made on the assumption that only one of the data retention period DT1 and the data retention period DT2 is applied and all the other deletion timing information DT is applied. Therefore, in the following description, in the processing related to each deletion timing information DT, it is not necessary to perform when the deletion timing information DT is not applied.
[Processes performed when saving data]
FIG. 6 is a flowchart illustrating an example of a flow of processing performed when data is stored in the
以下、記憶装置1にデータが保存される際に行われる処理について、図6を用いて説明する。
Hereinafter, a process performed when data is stored in the
利用者は、初期化済みの記憶装置1を情報処理装置2に接続し、記憶装置1の不揮発性メモリ12に格納されている操作用アプリケーションを情報処理装置2において起動する。なお、操作用アプリケーションは、情報処理装置2のOSの機能によって記憶装置1を接続すれば自動的に起動されるようになっていてもよい。
The user connects the initialized
記憶装置1が情報処理装置2に接続されると、記憶装置1の各部に電源端子10bからの電力が供給され、制御部11が起動する(#401)。これより先、制御部11の電力供給指示部102は、記憶装置1を待機状態に移行させる(図7の#508)までの間、DC/DCコンバータ17に出力する電源オン/オフ信号S02において電源のオンを指示する。
When the
制御部11の機器/ユーザ認証部104は、記憶装置1が接続された情報処理装置2からその固有IDを取得し、取得した固有IDと初期設定テーブルFTの接続許可機器リストFT3に登録されている固有IDとを照合する(#402)。照合の結果、取得した固有IDが接続許可機器リストFT3に登録されている固有IDでないことが判明した場合は(#402でNo)、機器認証が失敗した旨を操作用アプリケーションに通知する(#403)。他方、登録されている固有IDであることが判明した場合は(#402でYes)、機器認証が成功した旨を操作用アプリケーションに通知する(#404)。
The device /
操作用アプリケーションは、機器認証が成功した旨の通知を受け取ると、利用者に利用者パスワードを入力するよう促すためのダイアログボックスなどの画面を情報処理装置2の表示装置に表示し、入力された利用者パスワードを制御部11に送信する。
When the operation application receives a notification that the device authentication has been successful, a screen such as a dialog box for prompting the user to input the user password is displayed on the display device of the
他方、操作用アプリケーションは、機器認証が失敗した旨の通知を受け取ると、利用者に情報処理装置2は記憶装置1を接続することが認められていない装置であることを知らせるための画面を情報処理装置2の表示装置に表示する。
On the other hand, when the operation application receives a notification that the device authentication has failed, the operation application displays a screen for informing the user that the
制御部11の機器/ユーザ認証部104は、利用者パスワードを受信すると、受信した利用者パスワードと初期設定テーブルFTの利用者パスワードFT2に設定されているパスワードとを照合する(#405)。照合の結果、両者が一致しなかった場合は(#405でNo)、ユーザ認証が失敗した旨を操作用アプリケーションに通知し(#406)、利用者パスワードを再び受信するまで待機する。他方、両者が一致した場合は(#405でYes)、操作用アプリケーションに、ユーザ認証が成功した旨を通知する(#407)。また、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵を送信する(#408)。
Upon receiving the user password, the device /
操作用アプリケーションは、暗号鍵を受信すると、受信した暗号鍵を不揮発性メモリ12の暗号化領域を管理する暗号化ファイルシステムに引き渡す。これにより、不揮発性メモリ12の暗号化領域が情報処理装置2のOSにおいてディスクドライブとして認識されるようになる。利用者は、通常のファイル操作の要領で、情報処理装置2の記憶装置などに記憶されているファイルのうち持ち出したいファイルを暗号化領域にコピーする選択を行えばよい。利用者によって選択されたファイルは、暗号鍵によって暗号化された状態で暗号化領域に保存される。
When the operation application receives the encryption key, the operation application hands over the received encryption key to the encryption file system that manages the encryption area of the
他方、操作用アプリケーションは、ユーザ認証が失敗した旨の通知を受け取ると、利用者に、入力されたパスワードが誤りであることを知らせるための画面、および正しいパスワードを再入力するよう促すための画面を情報処理装置2の表示装置に表示する。
On the other hand, when the operation application receives notification that the user authentication has failed, a screen for notifying the user that the entered password is incorrect and a screen for prompting the user to re-enter the correct password. Is displayed on the display device of the
なお、制御部11の機器/ユーザ認証部104は、機器認証(#402)またはユーザ認証(#405)のいずれか一方のみしか行わなくてもよい。
〔取外しの際に行われる処理〕
図7は記憶装置1が情報処理装置2から取り外された際に行われる処理の流れの例を示すフローチャート、図8は図7のアラーム時刻決定処理(#505)の例を示すフローチャートである。
Note that the device /
[Process to be performed at the time of removal]
FIG. 7 is a flowchart showing an example of the flow of processing performed when the
以下、記憶装置1が情報処理装置2から取り外された際に行われる処理について、図7および図8を用いて説明する。
Hereinafter, processing performed when the
利用者は、データを記憶装置1に保存し終えると、操作用アプリケーションなどを介して、記憶装置1を情報処理装置2から取り外す旨の選択を行う。すなわち、記憶装置1を情報処理装置2のOSから論理的に取り外す選択を行う。利用者は、その後に、記憶装置1を情報処理装置2から物理的に取り外す。
When the user finishes saving the data in the
操作用アプリケーションは、利用者によって取外しが選択されると、取外しが選択された旨を制御部11に送信する。この時点で、記憶装置1は、情報処理装置2に物理的には接続されているが、論理的には接続が解除された状態である。すなわち、通信が切断された状態であり、獲得した認証も解除された状態である。
When removal is selected by the user, the operation application transmits to the
制御部11の削除判別部106は、取外しが選択された旨を受信すると(#501)、その時点から削除タイミングリストFT4の取外し時間DT8に設定されている時間が経過するまでに記憶装置1が情報処理装置2から物理的に取り外されるか否かを監視する(#502)。時間内に接続/非接続検知部101によって取外しが検知されなかった場合は(#502でNo)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#503)。なお、暗号鍵が消去された後は、不揮発性メモリ12の暗号化領域に記憶されたデータにアクセスすることは不可能となる。他方、時間内に取外しが検知された場合は(#502でYes)、以降のステップ(#504〜#508)に進む。なお、以降のステップに係る処理は、二次電池16から供給される電力によって制御部11のCPUが動作することにより行われる。
When the
アラーム設定部105は、計時部18で計時されている現在時刻を取得する(#504)。そして、次のようにしてアラーム時刻S05を決定する(#505)。
The
すなわち、図8に示すように、アラーム設定部105は、初期設定テーブルFTを参照し、削除タイミングリストFT4のデータ保持期限DT1が有効(データ保持期間DT2が無効)に設定されている場合は(#601でYes)、削除タイミングリストFT4のデータ保持期限DT1に設定されている期限をデータ削除予定時刻として取得する(#602)。そして、データ削除予定時刻から現時時刻を引いた値をデータ保持予定時間として算出する(#603)。
That is, as illustrated in FIG. 8, the
他方、データ保持期限DT1が無効(データ保持期間DT2が有効)に設定されている場合は(#601でNo)、削除タイミングリストFT4のデータ保持期間DT2に設定されている期間をデータ保持予定時間として取得する(#604)。そして、現在時刻にデータ保持予定時間を足した値をデータ削除予定時刻として算出する(#605)。 On the other hand, when the data retention period DT1 is set to invalid (data retention period DT2 is valid) (No in # 601), the period set in the data retention period DT2 of the deletion timing list FT4 is set as the data retention scheduled time. (# 604). Then, a value obtained by adding the data retention scheduled time to the current time is calculated as the data deletion scheduled time (# 605).
次に、#603で算出しまたは#604で取得したデータ保持予定時間と電力監視周期とを比較する(#606)。ここで、電力監視周期とは、記憶装置1の各部に二次電池16からの電力が供給されている場合に、二次電池16の充電における残りの電圧を監視する周期(時間間隔)である。電力監視周期は、制御部11の記憶部にあらかじめ登録されている。
Next, the data retention scheduled time calculated in # 603 or acquired in # 604 is compared with the power monitoring cycle (# 606). Here, the power monitoring cycle is a cycle (time interval) for monitoring the remaining voltage in charging of the
データ保持予定時間が電力監視周期以下であれば(#606でYes)、#602で取得しまたは#605で算出したデータ削除予定時刻をアラーム時刻S05に決定する(#607)。他方、データ保持予定時間が電力監視周期よりも大きければ(#606でNo)、現在時刻に電力監視周期を足した値をアラーム時刻S05に決定する(#608)。 If the scheduled data retention time is less than or equal to the power monitoring period (Yes in # 606), the scheduled data deletion time acquired in # 602 or calculated in # 605 is determined as the alarm time S05 (# 607). On the other hand, if the scheduled data retention time is greater than the power monitoring period (No in # 606), a value obtained by adding the power monitoring period to the current time is determined as the alarm time S05 (# 608).
アラーム設定部105は、このようにして決定したアラーム時刻S05を計時部18に設定する(#506)。また、#602で取得しまたは#605で算出したデータ削除予定時刻を制御部11の記憶部に登録する(#507)。
The
なお、#507において、データ削除予定時刻を登録するのではなく、#504で取得した現在時刻を、データを保持する期間の起点となる起点時刻として登録してもよい。または、データ削除予定時刻を登録するとともに、起点時刻も登録してもよい。この場合に、削除タイミングリストFT4のデータ保持期限DT1が有効に設定されている場合は、#603で算出したデータ保持予定時間もあわせて登録しておく。また、利用者またはその管理者によって所定の操作が行われた際に、起点時刻の値を変更するようにしてもよい。例えば、記憶装置1が情報処理装置2に接続され、所定の認証が成功した後に、利用者またはその管理者によって起点時刻の変更を指示する操作がなされた際に、起点時刻の値を指定された時刻に変更してもよいし、利用者またはその管理者によって削除タイミングリストFT4のデータ保持期間DT2の設定の変更を指示する操作がなされた際に、起点時刻の値を自動的にその時点の現在時刻に変更してもよい。これらの点は、後述する図9の#709においても同様である。
In step # 507, instead of registering the scheduled data deletion time, the current time acquired in
アラーム設定部105によってアラーム時刻S05の設定およびデータ削除予定時刻の登録がなされると、電力供給指示部102は、DC/DCコンバータ17に出力する電源オン/オフ信号S02において電源のオフを指示する。その結果、記憶装置1の計時部18を除く各部には電力が供給されなくなり、記憶装置1は待機状態に移行する(#508)。ただし、計時部18は、その後も、二次電池16から供給される電力によって現在時刻の計時を継続する。
〔取外しの後に行われる処理〕
図9は、記憶装置1が情報処理装置2から取り外された後に行われる処理の流れの例を示すフローチャートである。
When the
[Processes performed after removal]
FIG. 9 is a flowchart illustrating an example of a flow of processing performed after the
以下、記憶装置1が情報処理装置2から取り外された後に行われる処理について、図9を用いて説明する。
Hereinafter, processing performed after the
計時部18は、計時している現在時刻が、設定されたアラーム時刻S05に達すると、DC/DCコンバータ17に電源オン信号S18を出力する。その結果、DC/DCコンバータ17を介して記憶装置1の各部に二次電池16からの電力が供給され、制御部11が起動する(#701)。これより先、制御部11の電力供給指示部102は、記憶装置1を再び待機状態に移行させる(#710)までの間、DC/DCコンバータ17に電源のオンを指示する。その間、次のような処理が行われる。
When the current time measured reaches the set alarm time S05, the
制御部11の削除判別部106は、計時部18で計時されている現在時刻を取得する(#702)。また、二次電池16の充電における残りの電圧を示す充電電圧S16を二次電池16から取得する(#703)。
The
次に、削除判別部106は、取得した現在時刻と記憶装置1の取外しの際に登録しておいたデータ削除予定時刻とを比較する(#704)。現在時刻がデータ削除予定時刻に達している場合は(#704でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#705)。
Next, the
なお、記憶装置1の取外しの際に起点時刻を登録しておいた場合は、#704において、削除タイミングリストFT4のデータ保持期間DT2に設定されている時間または登録しておいたデータ保持予定時間を起点時刻に足すことにより、データ削除予定時刻をその都度算出してもよい。後述する図12の#906においても同様である。
If the starting time is registered when the
他方、現在時刻がデータ削除予定時刻に達していない場合は(#704でNo)、取得した充電電圧S16と削除タイミングリストFT4の電池下限電圧DT9に設定されている下限電圧とを比較する(#706)。充電電圧S16が下限電圧より小さい場合は(#706でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#705)。ここで、暗号鍵を消去する理由は、データ削除予定時刻を迎える頃には二次電池16が制御部11のCPUを動作させるのに必要な電力を供給できなくなることにより、暗号鍵を消去できなくなることを回避するためである。
On the other hand, if the current time has not reached the scheduled data deletion time (No in # 704), the acquired charging voltage S16 is compared with the lower limit voltage set in the battery lower limit voltage DT9 in the deletion timing list FT4 (# 706). If the charging voltage S16 is smaller than the lower limit voltage (Yes in # 706), the key /
他方、充電電圧S16が下限電圧以上である場合は(#706でNo)、図7に示した#505〜#508と同様の処理を行う。すなわち、アラーム時刻S05を決定し(#707)、決定したアラーム時刻S05を計時部18に設定する(#708)。また、データ削除予定時刻を制御部11の記憶部に登録する(#709)。そして、電力供給指示部102によってDC/DCコンバータ17に電源のオフが指示されることにより、記憶装置1は、再び待機状態に移行し(#710)、次のアラーム時刻S05に達するまで待機する。
〔再接続の際に行われる処理〕
図10〜12は、データが保存された記憶装置1が再び情報処理装置2に接続された際に行われる処理の流れの例を示すフローチャートである。
On the other hand, when the charging voltage S16 is equal to or higher than the lower limit voltage (No in # 706), the same processing as # 505 to # 508 shown in FIG. 7 is performed. That is, the alarm time S05 is determined (# 707), and the determined alarm time S05 is set in the timer unit 18 (# 708). Also, the scheduled data deletion time is registered in the storage unit of the control unit 11 (# 709). Then, when the power
[Processes performed during reconnection]
10 to 12 are flowcharts illustrating an example of a flow of processing performed when the
以下、データが保存された記憶装置1が再び情報処理装置2に接続された際に行われる処理について、図10〜12を用いて説明する。
Hereinafter, processing performed when the
利用者は、データを保存した記憶装置1を情報処理装置2に接続し、記憶装置1の不揮発性メモリ12に格納されている操作用アプリケーションを情報処理装置2において起動する。
The user connects the
記憶装置1が情報処理装置2に接続されると、記憶装置1の各部に電源端子10bからの電力が供給され、制御部11が起動する(#801)
制御部11の機器/ユーザ認証部104は、機器認証が失敗した回数を計数するための機器認証失敗カウンタ、およびユーザ認証が失敗した回数を計数するためのユーザ認証失敗カウンタを用意する。また、制御部11の削除判別部106は、ユーザ認証を受けずに記憶装置1が取り外された回数を計数するための未認証取外しカウンタを用意する。
When the
The device /
これらのカウンタは、制御部11の記憶部に保存される。よって、記憶装置1の取外しを挟んでも、それらのカウンタに示される回数はリセットされない。
These counters are stored in the storage unit of the
機器/ユーザ認証部104は、図6に示した#402と同様の方法により機器認証を行う(#802)。機器認証が失敗した場合は(#802でNo)、機器認証が失敗した旨を操作用アプリケーションに通知するとともに(#803)、機器認証失敗カウンタをカウントアップする(#804)。そして、削除判別部106は、カウントアップ後の機器認証失敗カウンタに示される回数が削除タイミングリストFT4の未登録機器接続回数DT3に設定されている回数に達している場合は(#805でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#806)。他方、未登録機器接続回数DT3に設定されている回数に達していない場合は(#805でNo)、暗号鍵を消去しない。
The device /
機器/ユーザ認証部104は、機器認証が成功した場合は(#802でYes)、機器認証が成功した旨を操作用アプリケーションに通知するとともに(#807)、機器認証失敗カウンタをクリアする(#808)。
When the device authentication is successful (Yes in # 802), the device /
また、削除判別部106は、ユーザ認証が成功(#815でYes)していない状態で記憶装置1が情報処理装置2から物理的に取り外されたことが接続/非接続検知部101によって検知された場合は(#809でYes)、未認証取外しカウンタをカウントアップする(#810)。そして、カウントアップ後の未認証取外しカウンタに示される回数が削除タイミングリストFT4の未認証取外し回数DT4に設定されている回数に達している場合は(#811でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#812)。他方、未認証取外し回数DT4に設定されている回数に達していない場合は(#811でNo)、暗号鍵を消去しない。なお、#810〜#812のステップに係る処理は、二次電池16から供給される電力によって制御部11のCPUが動作することにより行われる。
In addition, the deletion /
また、削除判別部106は、#801で接続が検知された時点からユーザ認証が成功(#815でYes)していない状態で削除タイミングリストFT4の未認証時間DT5に設定されている時間が経過した場合は(#813でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#814)。
Further, the
機器/ユーザ認証部104は、操作用アプリケーションから利用者パスワードを受信し、図6に示した#405と同様の方法によりユーザ認証を行う(#815)。ユーザ認証が失敗した場合は(#815でNo)、ユーザ認証が失敗した旨を操作用アプリケーションに通知するとともに(#816)、ユーザ認証失敗カウンタをカウントアップする(#817)。そして、削除判別部106は、カウントアップ後のユーザ認証失敗カウンタに示される回数が削除タイミングリストFT4の認証失敗回数DT6に設定されている回数に達している場合は(#818でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#819)。他方、認証失敗回数DT6に設定されている回数に達していない場合は(#818でNo)、暗号鍵を消去せずに、利用者パスワードを再び受信するまで待機する。
The device /
機器/ユーザ認証部104は、ユーザ認証が成功した場合は(#815でYes)、ユーザ認証が成功した旨を操作用アプリケーションに通知するとともに(#820)、ユーザ認証失敗カウンタおよび未認証取外しカウンタをクリアする(#821、#822)。また、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵を送信する(#823)。
If the user authentication is successful (Yes in # 815), the device /
操作用アプリケーションが暗号鍵を受信すると、不揮発性メモリ12の暗号化領域が情報処理装置2のOSにおいてディスクドライブとして認識されるようになる。利用者は、通常のファイル操作の要領で、不揮発性メモリ12に保存したファイルを読み出したり、削除したり、新たなファイルを保存したりすることができる。
When the operation application receives the encryption key, the encrypted area of the
また、削除判別部106は、操作用アプリケーションにおいてユーザによる操作が行われるたびにそれを検知し、ユーザによる操作が前回行われた時点から削除タイミングリストFT4の未操作時間DT7に設定されている時間が経過するまでにユーザによる操作が行われるか否かを監視する(#824)。時間内にユーザによる操作が行われなかった場合は(#824でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#825)。
Further, the
また、削除判別部106は、図7に示した#501〜503と同様の処理を行う。すなわち、操作用アプリケーションから記憶装置1の取外しが選択された旨を受信すると(#826)、その時点から削除タイミングリストFT4の取外し時間DT8に設定されている時間が経過するまでに記憶装置1が情報処理装置2から物理的に取り外されるか否かを監視する(#827)。時間内に取外しが検知されなかった場合は(#827でNo)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#828)。
Further, the
記憶装置1が情報処理装置2に再接続されている間、以上のような処理が行われるが、制御部11の削除判別部106は、それと並行して図12に示すような処理を行う。
While the
すなわち、削除判別部106は、計時部18で計時されている現在時刻を取得する(#901)。そして、登録されているデータ削除予定時刻から現在時刻を引いた値を残り時間として算出し(#902)、算出した残り時間を操作用アプリケーションに送信する(#903)。また、残り時間が初めて所定の時間を切った場合に(#904でYes)、データの削除時期が近づいている旨を操作用アプリケーションに通知する(#905)。
That is, the
操作用アプリケーションは、利用者に残り時間を知らせるための画面を情報処理装置2の表示装置に表示し、残り時間を受信するたびに表示している残り時間を更新する。また、データの削除時期が近づいている旨の通知を受け取ると、利用者にその旨を知らせるためのポップアップなどの画面を情報処理装置2の表示装置に表示する。このような画面を表示する理由は、利用者が記憶装置1を使用している最中に不揮発性メモリ12に保存したデータが不意に消去されてしまうことがないようにするためである。
The operation application displays a screen for informing the user of the remaining time on the display device of the
なお、残り時間の送信は、図11の#815でユーザ認証が成功した際に一度だけ行われるようにしてもよい。 The remaining time may be transmitted only once when the user authentication is successful in # 815 of FIG.
また、記憶装置1の側で残り時間を算出して送信するのではなく、操作用アプリケーションの側で残り時間を算出してもよい。例えば、起点時刻が登録されている場合に、削除判別部106は、削除タイミングリストFT4のデータ保持期間DT2などに設定されている、データの保持時間と、現在時刻から起点時刻を引いた値である経過時間とを操作用アプリケーションに送信する。そして、操作用アプリケーションは、データの保持時間から経過時間を引いた値を残り時間として算出するとよい。
Further, instead of calculating and transmitting the remaining time on the
削除判別部106は、残り時間がなくなるまで、つまり、現在時刻がデータ削除予定時刻に達するまでの間(#906でNo)、一定時間ごとに#901〜#905のステップに係る処理を行う。現在時刻がデータ削除予定時刻に達すると(#906でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#907)。
The
このように、記憶装置1が情報処理装置2に接続されている状態であっても、現在時刻がデータ削除予定時刻に達すれば暗号鍵が消去され、その後は不揮発性メモリ12に記憶されたデータを復号化することは不可能となる。
As described above, even when the
ただし、記憶装置1が接続された情報処理装置2が特別な情報処理装置2である場合には、登録されているデータ削除予定時刻をいったん無効にするなどして、接続中は暗号鍵の消去が行われないようにしてもよい。
However, when the
具体的には、機器/ユーザ認証部104は、機器認証(#802)において、取得した固有IDがユーザによって特別に指定された情報処理装置2の固有IDであるか否かをも判別する。そして、そのような固有IDである場合は、ユーザ認証が成功(#815でYes)した時点などにおいて、アラーム設定部105は、登録されているデータ削除予定時刻を消去する。また、計時部18に設定したアラーム時刻S05も解除する。削除判別部106は、データ削除予定時刻が消去されているので、図12に示した処理を行わない。つまり、データ削除予定時刻の到達に基づく暗号鍵の消去が抑止される。
Specifically, the device /
特に、削除タイミングリストFT4のデータ保持期間DT2が有効(データ保持期限DT1が無効)に設定されている場合に、そのようにすると効果的である。 This is particularly effective when the data retention period DT2 of the deletion timing list FT4 is set to valid (data retention time limit DT1 is invalid).
例えば、利用者またはその管理者は、記憶装置1の初期化の際に、記憶装置1の接続を許可する情報処理装置2の中でも、日常使用する情報処理装置2の固有IDなどを特別な固有IDとして指定しておく。また、日常使用する情報処理装置2を使用しない可能性のある最大時間をデータ保持期間DT2に設定する。そうすることで、データ保持期間DT2に設定した最大時間を空けずに、日常使用する情報処理装置2に記憶装置1を接続して使用している限り、記憶装置1に保存したデータへアクセスすることができる。
For example, when initializing the
以上に説明したように、記憶装置1では、記憶されたデータが様々なタイミングで読出しが不可能となるので、情報漏えいを防止することができる。
As described above, in the
特に、図9の#705および図12の#907に示したように、記憶装置1が情報処理装置2に接続されていようがいまいが、データ保持期限DT1またはデータ保持期間DT2の設定に基づいて算出されるデータ削除予定時刻に現在時刻が達すれば、暗号鍵が消去され、その後に記憶装置1に記憶されたデータにアクセスすることはできなくなる。つまり、記憶装置1が情報処理装置2に単に差し込まれていることによっては、データを保持する期限は延長されない。よって、記憶装置1は、従来の記憶装置と較べてセキュリティがより一層向上している。
In particular, as shown in # 705 of FIG. 9 and # 907 of FIG. 12, whether the
前述の実施形態において、初期設定テーブルFTは、制御部11に内蔵された記憶部に格納されるようになっていたが、それとは別に用意された不揮発性メモリからなる記憶部に格納されるようにしてもよい。または、不揮発性メモリ12の一部の領域をそのために利用してもよい。また、初期設定テーブルFTに登録された個々の情報をまとめて1つのテーブルで管理する必要はなく、各情報を個別に、また異なる記憶部において管理してもよい。例えば、暗号鍵について、初期設定テーブルFTに登録されたその他の情報とは別に管理し、また不揮発性メモリ12の一部の領域に格納してもよい。
In the above-described embodiment, the initial setting table FT is stored in the storage unit built in the
また、前述の実施形態において、記憶装置1にデータが保存されていない場合には、暗号鍵の消去を行わなかったが、図10〜図12に示した、データが保存されている場合の処理と同様に、暗号鍵の消去を行ってもよい。その場合には、初期化済みの記憶装置1が初めて情報処理装置2に接続されたときに、機器認証失敗カウンタ、ユーザ認証失敗カウンタ、および未認証失敗カウンタを用意するとよい。
Further, in the above-described embodiment, when the data is not stored in the
また、前述の実施形態において、機器認証失敗カウンタは、機器認証が成功した時点でクリアされ、ユーザ認証失敗カウンタおよび未認証取外しカウンタは、ユーザ認証が成功した時点でクリアされていた。これらのカウンタは、それぞれそれらの時点でクリアされないようにしてもよい。つまり、認証の成功を挟んでそれらのカウンタに示される回数が累積されるようにしてもよい。 In the above-described embodiment, the device authentication failure counter is cleared when the device authentication is successful, and the user authentication failure counter and the unauthenticated removal counter are cleared when the user authentication is successful. Each of these counters may not be cleared at those times. That is, the number of times indicated by these counters may be accumulated with the success of authentication.
また、前述の実施形態において、記憶装置1の接続の時点からユーザ認証が成功していない状態で所定の時間が経過した場合に暗号鍵を消去したが、そのような状態にある時間の累積時間を算出し、算出した累積時間があらかじめ設定された時間に達したときに暗号鍵を消去するようにしてもよい。
Further, in the above-described embodiment, the encryption key is deleted when a predetermined time has passed since the user authentication has not been successful since the connection of the
また、前述の実施形態において、キー/データ削除部107は、所定のタイミングで不揮発性メモリ12の暗号化領域に保存されたデータの読出しを不可能とするために暗号鍵を消去したが、データの実体そのものを消去するようにしてもよい。その場合に、制御部11は、切換えスイッチ14a、14bを作動して制御部11と不揮発性メモリ12とを接続することにより、不揮発性メモリ12に直接アクセスすることができる。
In the above-described embodiment, the key /
前述の実施形態において、記憶装置1のハードウェア構成および機能的構成などは、本発明の主旨に沿って適宜変更することができる。また、記憶装置1において行われる処理内容および処理順序なども、本発明の主旨に沿って適宜変更することができる。
In the above-described embodiment, the hardware configuration and functional configuration of the
1 記憶装置
2 情報処理装置
11 制御部(第二の記憶手段)
12 不揮発性メモリ(第一の記憶手段)
16 二次電池(電力供給手段)
107 キー/データ削除部(第一のアクセス無効化手段、第二のアクセス無効化手段)
DESCRIPTION OF
12 Non-volatile memory (first storage means)
16 Secondary battery (power supply means)
107 Key / data deletion unit (first access invalidation means, second access invalidation means)
Claims (8)
データを記憶する第一の記憶手段と、
前記データを削除する時期を示す削除予定時刻を記憶する第二の記憶手段と、
前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする第一のアクセス無効化手段と、
を有する記憶装置。 A storage device connectable to an information processing device,
A first storage means for storing data;
Second storage means for storing a scheduled deletion time indicating a time to delete the data;
Regardless of whether or not connected to the information processing apparatus, when the current time reaches the scheduled deletion time, a first access invalidation means for making access to the data impossible,
A storage device.
前記第一のアクセス無効化手段は、前記データの復号化に必要な暗号鍵を削除することにより前記アクセスを不可能とする、
請求項1記載の記憶装置。 The data is encrypted and stored in the first storage means;
The first access invalidation means makes the access impossible by deleting an encryption key necessary for decrypting the data;
The storage device according to claim 1.
請求項1または2記載の記憶装置。 When connected to the information processing apparatus, a process for calculating a remaining time obtained by subtracting a current time from the scheduled deletion time and displaying a screen for notifying the user of the remaining time on the information processing apparatus. Having first display control means to perform,
The storage device according to claim 1 or 2.
請求項3記載の記憶装置。 When connected to the information processing apparatus and the remaining time is less than or equal to a predetermined time, a screen for informing the user that the scheduled deletion time is approaching is displayed on the information processing apparatus Having second display control means for performing processing for
The storage device according to claim 3.
請求項1または2記載の記憶装置。 An access invalidation inhibiting unit that inhibits the first access invalidating unit from disabling the access when connected to the information processing apparatus specially designated by a user;
The storage device according to claim 1 or 2.
前記情報処理装置に接続されていない場合であって前記電力供給手段が供給することができる電力が所定の値よりも低下した場合に、前記データへのアクセスを不可能とする第二のアクセス無効化手段と、
を有する請求項1ないし5のいずれかに記載の記憶装置。 Power supply means for supplying power necessary for its own operation when not connected to the information processing apparatus;
Second access invalidation that disables access to the data when the power that can be supplied by the power supply means is lower than a predetermined value when not connected to the information processing apparatus And
The storage device according to claim 1, comprising:
データを第一の記憶手段に記憶させる処理と、
前記データを削除する時期を示す削除予定時刻を第二の記憶手段に記憶させる処理と、
前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする処理と、
を実行させる記憶装置の制御方法。 A method of controlling a storage device connectable to an information processing device,
Processing for storing data in the first storage means;
A process of storing a scheduled deletion time indicating a time to delete the data in the second storage means;
Regardless of whether or not connected to the information processing device, when the current time reaches the scheduled deletion time, processing to make the data impossible to access;
For controlling a storage device.
データを第一の記憶手段に記憶させる処理と、
前記データを削除する時期を示す削除予定時刻を第二の記憶手段に記憶させる処理と、
前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする処理と、
を前記記憶装置に実行させるコンピュータプログラム。 A computer program used for a storage device connectable to an information processing device,
Processing for storing data in the first storage means;
A process of storing a scheduled deletion time indicating a time to delete the data in the second storage means;
Regardless of whether or not connected to the information processing device, when the current time reaches the scheduled deletion time, processing to make the data impossible to access;
A computer program for causing the storage device to execute.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010105319A JP2011233087A (en) | 2010-04-30 | 2010-04-30 | Storage, control method and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010105319A JP2011233087A (en) | 2010-04-30 | 2010-04-30 | Storage, control method and computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011233087A true JP2011233087A (en) | 2011-11-17 |
Family
ID=45322315
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010105319A Pending JP2011233087A (en) | 2010-04-30 | 2010-04-30 | Storage, control method and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011233087A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013012964A (en) * | 2011-06-30 | 2013-01-17 | Kyocera Document Solutions Inc | Electronic apparatus |
JP2013110475A (en) * | 2011-11-17 | 2013-06-06 | Toshiba Corp | Electronic apparatus, electronic apparatus control method, and electronic apparatus control program |
JP2018152703A (en) * | 2017-03-13 | 2018-09-27 | 株式会社三菱Ufj銀行 | Data access control program |
-
2010
- 2010-04-30 JP JP2010105319A patent/JP2011233087A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013012964A (en) * | 2011-06-30 | 2013-01-17 | Kyocera Document Solutions Inc | Electronic apparatus |
JP2013110475A (en) * | 2011-11-17 | 2013-06-06 | Toshiba Corp | Electronic apparatus, electronic apparatus control method, and electronic apparatus control program |
JP2018152703A (en) * | 2017-03-13 | 2018-09-27 | 株式会社三菱Ufj銀行 | Data access control program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5505010B2 (en) | Storage medium adapter and data access disabling method | |
CN103207975B (en) | The method of protection password and computing machine | |
JP4769861B2 (en) | Electronic device, management method, and management program | |
JP4888184B2 (en) | Storage device | |
EP2161673A1 (en) | Method and system for protecting data | |
JPWO2007116455A1 (en) | Electronic apparatus and information processing apparatus | |
US7024700B1 (en) | Computer with security function and method therefor | |
JPWO2007116454A1 (en) | Information processing apparatus and electronic apparatus | |
JP4575228B2 (en) | Use control method, management method, apparatus, and program of portable storage medium | |
JP2006330949A (en) | External storage medium security management system and method | |
JP2011233087A (en) | Storage, control method and computer program | |
US11586775B2 (en) | Securing data | |
JP2004070828A (en) | Electronic apparatus, its fraudulent usage preventing method, and its fraudulent usage preventing program | |
JP2015079525A (en) | Adapter for portable storage medium and method for disabling data access | |
JP5051291B2 (en) | Portable storage device | |
JP2009529718A (en) | Non-power electronic memory lock | |
CN103020509A (en) | Terminal equipment encryption and decryption method, device and terminal equipment | |
JP5662600B2 (en) | Portable storage medium adapter and data access disabling method | |
JP2004310387A (en) | Authentication confirmation system, authentication confirmation method, and portable information processor | |
JP4773679B2 (en) | Information processing device | |
JP2010166650A (en) | Device and method for managing uninterruptible power supply | |
JP2004355137A (en) | Information processing system, information processor, control method for information processor, disk array device, control method for disk array device, and control program | |
JP4819763B2 (en) | Portable external storage device and storage container for portable external storage device | |
EP2450817A1 (en) | Electronic component with time-limited use | |
JP2009075878A (en) | Information processor and method for booting operating system |