JP2004126745A - データ保護装置 - Google Patents
データ保護装置 Download PDFInfo
- Publication number
- JP2004126745A JP2004126745A JP2002286842A JP2002286842A JP2004126745A JP 2004126745 A JP2004126745 A JP 2004126745A JP 2002286842 A JP2002286842 A JP 2002286842A JP 2002286842 A JP2002286842 A JP 2002286842A JP 2004126745 A JP2004126745 A JP 2004126745A
- Authority
- JP
- Japan
- Prior art keywords
- data
- key
- auxiliary storage
- storage device
- hard disk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】補助記憶装置に記憶されるデータの暗号強度の向上を図り、必要に応じて補助記憶装置に対する円滑なアクセス制御を簡易な構成で実現するデータ保護装置を提供する。
【解決手段】ハードディスク等の補助記憶装置に記憶させるデータを暗号/復号部15によって暗号化した後に、暗号文を配列変換部17によって複数のブロックに分割させ各ブロックの並び方を変更させた後にハードディスクに記憶させる。マスタキーの他にデータ保護装置1を動作させてハードディスクのデータにアクセスするためのスペアキーを作成可能にし、各スペアキーには、権限管理部16によって個別にアクセス権を設定するようにする。
【選択図】図3
【解決手段】ハードディスク等の補助記憶装置に記憶させるデータを暗号/復号部15によって暗号化した後に、暗号文を配列変換部17によって複数のブロックに分割させ各ブロックの並び方を変更させた後にハードディスクに記憶させる。マスタキーの他にデータ保護装置1を動作させてハードディスクのデータにアクセスするためのスペアキーを作成可能にし、各スペアキーには、権限管理部16によって個別にアクセス権を設定するようにする。
【選択図】図3
Description
【0001】
【発明の属する技術分野】
この発明は、ハードディスク等の補助記憶装置の記憶内容を保護するデータ保護装置に関する。
【0002】
【従来の技術】
パーソナルコンピュータ(以下、パソコンという。)等の補助記憶装置のデータには、貴重な財産的価値があるため、これを適切に保護することが従来から重要視されている。特に、インターネットが普及している今日においては、インターネットを経由して補助記憶装置に不正アクセスされることがあることから、これを効果的に防止するためのファイアウォール等の機器が幅広く開発されている。
【0003】
ところが、インターネットを経由する補助記憶装置への不正アクセスに加えて、実際にパソコンが置かれている場所に物理的に侵入して補助記憶装置内の貴重なデータを盗みとるいった犯罪も少なくないため、物理的侵入をも想定したセキュリティ対策を行う必要がある。また、パソコンに対する侵入を防止する手段が万全であったとしても、パソコンを下取りに出す場合に補助記憶装置の物理フォーマットを怠ってしまう等の人為的なミスで、補助記憶装置の内容が漏洩することもある。
【0004】
このため、パソコンに対する侵入を防止する対策を講じるだけでなく、これに加えて、万一、パソコンへの侵入を許してしまった場合や、パソコンごと他の者の手に渡ってしまった場合にも、補助記憶装置の内容が読み取られないようにすることも重要といえる。
【0005】
そこで、従来技術の中には、ハードディスク(補助記憶装置)とパソコンとの間にデータの転送を制御するためのセキュリティボード(データ保護装置)を配置して、パソコンからのデータを当該セキュリティボードにおいて暗号化した上でハードディスクに記憶するとともに、当該セキュリティボードにマスタキーを装着している場合にのみ補助記憶装置に記憶したデータを復号しながら読み出すことを可能にして、正当な権限のある者のみが補助記憶装置内のデータにアクセスできるようにしてデータの保護を図るものがあった(例えば、非特許文献1参照。)。
【0006】
【非特許文献1】
“HDDへの書き込みデータを暗号化してキーでロックできるPCIカード”、[online]、[平成14年8月1日検索]、インターネット<URL:http://www.watch.impress.co.jp/akiba/hotline/20020629/etc_se64.html>
【発明が解決しようとする課題】
しかしながら、従来のデータ保護装置では、補助記憶装置に記憶されるデータの先頭から順番に暗号化するとともに、暗号化の順序で当該データが補助記憶装置に記憶されているため、暗号化される前のデータ(以下、平文という。)を推測して、この平文と暗号文との差分を解析することによって暗号文の解読がされる虞があった。
【0007】
例えば、ハードディスクのマスターブードレコードに記憶されているデータは、当該ハードディスクの記憶状態等から比較的容易に推測できるため、マスターブードレコードの平文とマスターブードレコードの暗号文との差分解析から暗号が解読されることがあった。
【0008】
さらに、従来のデータ保護装置では、マスタキー等を用いたエンティティ認証を行い、補助記憶装置へのアクセスの可否のみについて判断することは可能であるが、マスタキーの所持者以外の者に必要な範囲内においてアクセス権を設定した上で補助記憶装置へのアクセスを認める等、円滑なアクセス制御を行うことはできなかった。
【0009】
この発明の目的は、補助記憶装置に記憶されるデータの暗号強度の向上を図り、必要に応じて補助記憶装置に対する円滑なアクセス制御を簡易な構成で実現するデータ保護装置を提供することである。
【0010】
【課題を解決するための手段】
この発明は以下の構成を備えている。
【0011】
(1)マスタキーがキー装着部に装着されていないときは、補助記憶装置が認識されないようにする認識無効化手段と、
補助記憶装置に記憶させるデータを前記マスタキーに付与された暗号化情報に基づいて暗号化する暗号化手段と、
前記暗号化手段により暗号化されたデータを複数のブロックに分割し、前記ブロックの配列を前記暗号化情報に基づいて変更する配列変更手段と、
前記キー装着部に前記マスタキーが装着されているときは、入力された読出要求に係るデータについて、前記配列変更手段によって変更された前記配列を元に戻すとともに前記暗号化手段によって暗号化されたデータを復号化する処理を行うデータ還元手段と、を備えてなることを特徴とする。
【0012】
この構成においては、ハードディスク等の補助記憶装置に記憶させるデータが暗号化手段によって暗号化された後に、配列変更手段によって複数のブロックに分割されるとともに、各ブロックの並び方が変更された後に補助記憶装置に記憶される。
【0013】
したがって、平文と暗号化されたデータ(以下、暗号文という。)の対応関係が把握されて、これらの差分から暗号アルゴリズムや暗号キー等が把握されて暗号が容易に解読されることが防止される。
【0014】
また、認識無効化手段によって、マスタキーがキー装着部に装着されていないときは、前記補助記憶装置がホスト装置から認識されないため、マスタキーを用いたエンティティ認証が実現され、第三者に補助記憶装置の記憶内容が漏洩することが防止される。
【0015】
さらに、データ還元手段によって、前記キー装着部に前記マスタキーが装着されているときは、前記配列変更手段によって配列の変更がされた暗号文が確実に平文に戻されることから、正規のユーザによる復号化が適正に行われるようにしつつ、不正な者がたとえ補助記憶装置ごと盗み出した場合でも当該補助記憶装置の記憶内容が漏洩することが防止される。
【0016】
(2)前記マスタキーには、単一または複数のスペアキーがあり、前記スペアキー毎に前記補助記憶装置に記憶されているデータに対するアクセス権を設定する権限設定手段を備えたことを特徴とする。
【0017】
この構成においては、マスタキーの他にデータ保護装置を動作させて補助記憶装置のデータにアクセスするためのスペアキーがあり、各スペアキーは、権限設定手段によって個別にアクセス権が設定されている。
【0018】
したがって、補助記憶装置の記憶内容についての最高責任者等にマスタキーを付与するとともに、この補助記憶装置の記憶内容にアクセスする他の者には、個々に当該記憶内容に関する運用上で必要になる最低限のアクセス権が設定されたスペアキーを付与することにより、当該補助記憶装置についてのアクセス制御が円滑に行われる。
【0019】
(3)前記補助記憶装置の記憶領域は複数に分割されており、前記権限設定手段は、前記補助記憶装置の記憶領域毎に実行可能な処理内容を設定することを特徴とする。
【0020】
この構成においては、補助記憶装置の記憶領域を複数に分割して、マスタキーにはすべての記憶領域にアクセスする権限を付与するとともに、各スペアキーには、当該スペアキーの所持者がアクセスすべき記憶領域にのみアクセス可能になるように権限を付与している。
【0021】
したがって、スペアキーの所持者に必要以上に権限が与えられることがないため、作業の効率化等のために多量にスペアキーを生成して多数の者に当該補助記憶装置に対するアクセスを認めている場合でも、セキュリティレベルの低下が防止される。
【0022】
(4)前記キー装着部は複数形成されており、前記認識無効化手段は、すべてのキー装着部に前記マスタキーまたは前記スペアキーが装着されるまで、前記補助記憶装置が認識されないようにすることを特徴とする。
【0023】
この構成においては、単一のマスタキーまたはスペアキーのみでは補助記憶装置が動作せず、複数形成されているキー装着部のすべてにマスタキーまたはスペアキーが装着された場合にのみ当該補助記憶装置が動作する。
【0024】
したがって、補助記憶装置を管理する複数の者の合意によらないと補助記憶装置が動作しないため、当該補助記憶装置に極秘情報等を記憶させておけば、複数の管理者による相互牽制の作用によって、当該極秘情報等の機密性が適正に保持される。
【0025】
(5)前記配列変更手段は、前記暗号化手段が一度に暗号化するデータのサイズに基づいて、前記ブロックのサイズを決定することを特徴とする。
【0026】
この構成においては、例えば、共通暗号鍵方式のDESによって暗号化する場合、64ビットずつ暗号化されることを考慮して各ブロックのサイズが64ビットに設定されたり、64ビットの倍数である128ビットまたは256ビットに設定される等、用いる暗号方式に応じて各ブロックのサイズが決定される。
【0027】
したがって、同時に暗号化されるデータは、必ず同一のブロックに属するため、暗号化されたデータが迅速に各ブロックに配分され、前記配列変更手段による前記ブロックの配列の変更の便宜が図られる。
【0028】
(6)前記補助記憶装置はハードディスクであり、前記配列変更手段は、前記ハードディスクに記憶させるデータを前記ハードディスクの1セクタの大きさのブロックに分割して、これら複数のブロックを適当な記憶領域に割り当てることを特徴とする。
【0029】
この構成においては、前記暗号化手段によって暗号化されたデータは、前記配列変更手段によってハードディスクの中の適当なセクタが設定され、当該セクタに記憶されることにより、1セクタのサイズに相当するブロックの配列が適正に変更される。
【0030】
したがって、暗号が解読されることがないように各ブロックの配列を変更しつつも、データを読み出すときには、前記配列変更手段によって設定されたセクタ毎に読み出すことが可能になるため、暗号化されたデータの読出処理が迅速に行われる。
【0031】
【発明の実施の形態】
以下、図を用いて本発明のデータ保護装置の実施形態を説明する。
【0032】
図1は、本発明のデータ保護装置が適用されるパソコンの正面図である。データ管理装置1は、パソコン20とハードディスクとの間に配置されて、パソコン20とハードディスクとの間で転送されるデータの暗号化および復号化を行うものであり、本実施形態では、パソコン20の筐体の3.5インチベイに取り付けられ、パソコン20およびハードディスクのそれぞれとIDEインタフェースを介して接続されている。
【0033】
図2は、データ保護装置1の構成を示している。本実施形態では、データ保護装置1の主要部分は、通常のRAIDコントローラの構成を利用している。同図に示すように、データ保護装置1は、ホストIDEコネクタ2、ハードディスク用IDEコネクタ3、パワーコネクタ4、キー装着部5(5a〜5c)、操作ボタン6、表示パネル7、およびプロセス部10を備えている。
【0034】
ホストIDEコネクタ2は、IDEケーブルを介してパソコン20のIDEコネクタに接続される。ハードディスク用IDEコネクタ3は、IDEケーブルを介して、5インチベイ内のハードディスクに接続される。なお、本実施形態では、ハードディスク用IDEコネクタ3は2つ設けられているが、ハードディスク用IDEコネクタ3の数は必要に応じて増減させることが可能である。
【0035】
パワーコネクタ4は、パソコン20の電源ユニットから延び出しているパワーケーブルに接続される。キー装着部5(5a〜5c)は、マスタキーまたはスペアキーが装着される。ここで、マスタキーは、データ保護装置1と対になって作成される固有のものであり、スペアキーはこのマスタキーを用いて作成されるものであるが、その詳細については後述する。プロセス部10は、複数のプロッセッサやチップセットを備えており、データ保護装置1の中枢となるものである。
【0036】
図3は、データ保護装置1のプロセス部10の構成を示している。同図に示すように、プロセス部10は、CPU11、ROM12、RAM13、キー検出部14、暗号/復号部15、および権限管理部16を備えている。
【0037】
ROM12には、CPU11を動作させるためのファームウェアが格納されている。このファームウェアは、ハードディスクに転送するデータを所定のサイズ毎に分割して分割された複数のデータをハードディスクの適当な記憶領域に記憶させる、通常、RAIDシステムで用いられるプログラムが含まれている。
【0038】
RAM13は、暗号化、復号化、データの分割および配列の変更の便宜のために一時的にデータを格納することができる。キー検出部14は、キー装着部5に装着されているキーを検出する。CPU11からの指令に基づいて、キー検出部14は、装着されているキーに記録されている情報を読み取って、RAM13に記憶させる。権限管理部16は、EEPROMを備えており、後述するスペアキー毎に設定されるアクセス権を管理する。
【0039】
そして、暗号/復号部15は、ハードディスクに記憶させるデータの暗号化を行う。なお、本実施形態では、暗号/復号部15は共通鍵暗号方式のDESによってハードディスクに記憶されるデータの暗号化、およびパソコン20に読み出されるデータの復号化をしている。
【0040】
図4は、暗号/復号部15によって行われる暗号化の処理手順の一例を示すフローチャートである。ここで、共通鍵暗号方式のDESでは、64ビットを1単位として暗号化が行われ、暗号文が作成されるため、暗号/復号部15は、まず、ハードディスクに記憶されるデータを64ビット毎のブロックに分割する(s1)。
【0041】
そして、暗号/復号部15は、キー装着部5に装着されているマスタキーに記されている56ビットの共通鍵の情報を読み込む(s2)。暗号化および復号化に使用される共通鍵の情報を取得すると、暗号/復号部15は、この共通鍵に基づいて16種類のラウンドキーを作成する(s3)。ここで、ラウンドキーとはDESに含まれる16ラウンドの暗号化処理の各ラウンドに用いられるキーをいう。なお、各ラウンドでは、上述の64ビットのデータに対してローテート処理、XOR処理、転置処理、およびSボックス処理がそれぞれ行われる。
【0042】
次に、16ラウンド分のラウンドキーがすべて作成されると、暗号/復号部15は、上述のブロック化されたデータについて初期転置を行う(s5)。次に、暗号/復号部15は、ラウンドキーを用いてローテート、XOR演算、転置、およびSボックスからなる各ラウンドの処理を実行する(s6)。
【0043】
各ラウンドが終了する度に暗号/復号部15は、全16ラウンドが完了したか否かを判断し(s7)、すべてのラウンドが完了している場合には、64ビットデータのうちの前半32ビットと後半の32ビットとを置換するとともに(s8)、所定の最終転置処理を行い(s9)、暗号化処理を終了させる。
【0044】
以上の処理により、64ビットのデータの暗号化が行われるが、この暗号文を復号化して平文にする場合には、上述とは逆の手順で処理を行うことができる。
【0045】
ここで、共通鍵暗号方式は、暗号化と復号化に同じ鍵が使用されるところ、マスタキーをキー装着部5に装着していない状態では、ハードディスクに記憶されているデータの復号化に必要な共通鍵の情報が得られないため、ハードディスクのみ盗み出された場合でも、当該ハードディスクの記憶内容が漏洩することを防止できる。
【0046】
さらに、本発明では、暗号/復号部15によって暗号化が行われると、この暗号文を記憶すべきハードディスクの記憶領域が、マスタキーの暗号情報に基づくアルゴリズムで設定され、当該暗号文は、設定された記憶領域に記憶される。記憶領域の設定、すなわちアドレス変換は、ROM12に格納されたファームウェアによって行われる。なお、ここでは、このアドレス変換が本発明の配列変更を構成する。
【0047】
図5は、アドレス変換の一例を示している。暗号/復号部15によって暗号化された64ビットの暗号文はハードディスクに記憶されるが、このとき、ROM11のファームウェアは、1メガバイト(ハードディスクの2048セクタ分のサイズ)を1単位として、マスタキーに記されているアドレス変換情報を参照しながらアドレス変換を行う。パソコン20からのコマンドはその指定アドレスによって、アドレス加算又は減算によるアドレス変換(論理アドレスから物理アドレスへの変換)が行われる。この結果、同図の右側のハードディスク(物理HDD)のように実際上、1メガバイト単位のデータが、その配列が変更されてハードディスクに格納される。
【0048】
一方で、配列変換された暗号文を読み出す場合において、マスタキーをキー装着部5に装着しているときには、データ保護装置1は、マスタキーから暗号化に使用した共通鍵の情報および配列変換のアルゴリズムを抽出して、配列が変更されていない論理上のブロックの配列と実際に配列が変更されたブロックとの対応関係を把握し、読み出しを行うべき領域から暗号文を読み出すとともに、暗号化されているデータを順次復号化することで、平文としてパソコン20に供給することができる。
【0049】
このように、ハードディスクに記憶するデータを暗号化した後に、ブロック化して各ブロックの配列を変更することにより、ハードディスクのセクタ0のマスターブートレコードの内容(平文)と、暗号化されたセクタ0の内容(暗号文)を比較しても暗号アルゴリズムや暗号化に用いた鍵が推測することができないため、暗号の強度を向上させることが可能になる。
【0050】
また、図6は、上述のブロックの配列変更のバリエーションの一つを示している。同図が示すように、ここでは、暗号文は、先頭セクタアドレス+αのアドレスから順次記憶されていき、当該暗号文の末尾が先頭セクタアドレス+α−1のアドレスに記憶されている。このため、セクタ0にマスターブートレコードの暗号文が記憶されることを防止することができ、差分解析により暗号が容易に解読されることを防止することができる。また、各ブロックの配列の変更に複雑なアルゴリズムを使用することがないため、迅速に暗号化および復号化の処理を行うことが可能になる。
【0051】
次にデータ保護装置1におけるスペアキーを用いたアクセス制御の方法を説明する。上述のように、データ管理装置1は、キー装着部5にマスタキーを装着することでパソコン20にデータ管理装置1に接続されているハードディスクを認識させることや、このハードディスクに暗号化されて記憶されているデータを復号化することができる。
【0052】
ところが、例えば、マスタキーをパソコン20の管理をする責任者に与えた場合、この責任者以外にもパソコン20のハードディスクにアクセスする必要がある者が存在する場合がある。その一方で、責任者以外の者に、当該ハードディスクへのアクセスに関するすべての権限を与えたのではセキュリティ上の問題を生じる場合がある。
【0053】
そこで、データ管理装置1では、マスタキーの所有者が任意にスペアキーを作成できるようにしており、かつ、作成したスペアキーのそれぞれに当該ハードディスクに対するアクセス権を設定できるようにしている。
【0054】
原則としてスペアキーは、すべて同一の形状をしているが、各スペアキーごとに固有のシリアル番号が付与されている。このため、データ管理装置1に使用可能なスペアキーを作成するにあたっては、スペアキーに付与されているシリアル番号がデータ保護装置1において使用可能なシリアル番号であることを登録する必要があり、さらに、登録したシリアル番号についてアクセス権を設定することが必要となる。
【0055】
データ管理装置1では、スペアキーのアクセス権の設定が、パソコン20の責任者またはその承認を受けた者によって行われる必要があるため、マスタキーをキー装着部5に装着した状態でのみスペアキーのアクセス権の設定が行われるようにしている。
【0056】
図7は、権限管理部16によるスペアキーのアクセス権の設定の処理手順を示すフローチャートである。まず、権限管理部16は、権限設定コマンドの入力の有無を検出している(s11)。ここでは、パソコン20が動作中にキー装着部5にスペアキーが装着されたことを、権限設定コマンドの入力とみなしている。なお、この権限設定コマンドを、データ管理装置1の前面側の操作ボタン6を介して行ったり、パソコン20のユーティリティを介して行うようにしてもよい。
【0057】
そして、s11の工程で権限設定コマンドの入力が検出されると、権限管理部16は、キー検出部14にマスタキーがキー装着部5に装着されているか否かを判断させる(s12)。ここで、キー装着部5にマスタキーが装着されていない場合には、スペアキーに対するアクセス権を設定を認めるのは妥当でないため、権限管理部16は、権限設定処理を行わない。
【0058】
s12の判断工程において、キー装着部5にマスタキーが装着されている場合には、権限管理部16は、正当な管理者による権限設定コマンドであるとみなして、権限設定処理を開始するが、まず最初に、権限管理部16は各スペアキーに固有のシリアル番号を読み込む(s13)。
【0059】
次に、権限管理部16は、このスペアキーに付与されるアクセス権の設定が入力されるまで待機する(s14)。ここでは、このアクセス権の設定の入力は、データ保護装置1の表示パネル7を参照しながら操作ボタン6によって行う。なお、操作ボタン6を介してアクセス権の設定の入力をするのではなく、例えば、パソコン20のユーティリティを利用してアクセス権の設定の入力をするようにしてもよい。
【0060】
s14の工程で、スペアキーに付与されるアクセス権の設定が入力されると、権限管理部16は、入力されたアクセス権の設定内容を受け付けて(s15)、当該スペアキーのシリアル番号と入力されたアクセス権とを登録する(s16)。このとき、同時にマスタキーの暗号化情報がスペアキーに備えられたICメモリに複写される。
【0061】
図8は、権限設定処理によって設定されるスペアキーのアクセス権の一例を示す図である。同図に示すようにデータ保護装置1は、ハードディスクを複数のパーティション(本実施形態では4つ。)に区分けして管理しているが、ここで、データ保護装置1は以下の方法によって複数パーティションの管理をしている。
【0062】
まず、データ保護装置1では、ハードディスクを論理的にマスタドライブとスレーブドライブとに分割することができる。また、例えば、物理的に1つのハードディスクに複数の論理領域を作成することが可能であり、データ保護装置1では、ハードディスクのパーティションテーブルを解析して、パーティション毎の開始アドレス、終了アドレスを算出している。
【0063】
図8に示すように、本実施形態ではデータ保護装置1は、論理的に分割された4つのパーティション毎にリード・ライト許可、リードのみ許可、不可視属性に設定することができる。同図において、マスタキーはすべてのパーティションにおいて、リード・ライトが共に許可されている。また、スペアキー1は、パーティション1〜3についてリード・ライトが共に許可されているが、パーティション4にはアクセスすることができない。さらに、スペアキー2は、パーティション3に対するリードのみが許可されており、その他の処理は一切行うことはできない。
【0064】
この場合、例えば、スペアキー2を派遣社員等に持たせることで、パソコン20のハードディスクの記憶内容の機密性を保ちつつ、当該派遣社員が業務上必要になる最低限の権限を付与することができる等、円滑なアクセス権の設定が可能になる。
【0065】
上述のように、マスタキーの所持者は、原則として、パソコン20のハードディスクへのアクセスに関してすべての権限を取得すべきであるが、例えば極秘レベルのデータに対しては、マスタキーの所持者といえど単独ではアクセスできないように設定することが便宜上好ましいことがある。
【0066】
そこで、データ保護装置1では、キー装着部5のすべてにキーが装着されない限り、ハードディスクに作成した極秘レベルのデータを記憶している特別のパーティションにはアクセスできないようにすることもできる。なお、この特別のパーティションに記憶されるデータは極秘レベルのデータに限らず、例えば、複数人が共有するデータであって、全員の合意によって当該データの編集を行う等の取り決めをしているデータ等であってもよい。なお、キー装着部5のすべてにキーが装着されない限りハードディスク自体がパソコン20に認識されないようにしてハードディスク全体を保護するようにすることもできる。
【0067】
次に、データ保護装置1の動作について、パソコン20の起動から順をおって説明する。図9は、認識無効化手段の動作手順を示すフローチャートである。同図に示すように、CPU11は、データ保護装置1の電源がオンされると(s21)、パソコン20からのATA_Identifyコマンドを受けつける(s22)。
【0068】
そして、CPU11は、キー装着部5にマスタキーまたはスペアキーのいずれかが装着されているか否かをキー検出部14に検出させる(s23)。このとき、キー検出部14がマスタキーまたはスペアキーのいずれのキーも検出しない場合には、CPU11は、ATA_Identifyに応答することがないため、パソコン20側では、データ保護装置1およびデータ保護装置1を介して接続されているハードディスクを認識することができない。
【0069】
これに対して、キー検出部14がマスタキーまたはスペアキーのいずれかのキーを検出した場合には、CPU11は、ATA_Identifyに応答して、パソコン20に対して、形式、記憶容量等の属性情報を供給する。このため、パソコン20は、データ保護装置1を介して接続されているハードディスクを認識することができるようになる。なお、ハードディスクに上述の極秘レベルのデータ等を格納している場合には、キー装着部5のすべてにキーが装着されない限り、CPU11がATA_Identifyに応答しないように設定できるようにしてもよい。
【0070】
パソコン20によってハードディスクが適正に認識された後は、マスタキーまたはスペアキーに記憶されている暗号化情報を用いて、パソコン20とハードディスクとの間で通信されるデータの暗号化、配列変換、配列還元、および復号化を行いつつ、データの書込および読出等の処理を行うことができる。
【0071】
なお、上述の実施形態では、共通暗号鍵方式のDESを採用しているが、さらに暗号強度を求める場合には、AES等の暗号方式を利用するようにしてもよい。また、ブロックをハードディスク2セクタ分のサイズにしており、セクタごとアドレス変換しているが、ブロックのサイズを例えば、一度に暗号化されるデータのサイズに基づいて決めるようにして、同一セクタ内でデータの順序を変更しつつ記憶させるようにしてもよい。
【0072】
具体的には、1セクタが512バイトである場合、64ビット(8バイト)の暗号文が64個分だけ1セクタに格納されるところ、同一のセクタ内において64個の暗号文の配列を所定のアルゴリズムで変換えることによっても暗号文と平文との差分を解析されることがなく、暗号強度を向上させることができる。
【0073】
【発明の効果】
以上のように、この発明によれば、以下の効果を奏することができる。
【0074】
(1)ハードディスク等の補助記憶装置に記憶させるデータを暗号化手段によって暗号化した後に、配列変更手段によって複数のブロックに分割するとともに、各ブロックの並び方を変更してから補助記憶装置に記憶することにより、平文と暗号文の対応関係が把握されて、これらの差分から暗号アルゴリズムや暗号キー等が把握されて暗号が容易に解読されることを防止することができる。
【0075】
また、認識無効化手段によって、マスタキーがキー装着部に装着されていないときは、前記補助記憶装置をホスト装置に認識させないため、マスタキーを用いたエンティティ認証を実現することができ、第三者に補助記憶装置の記憶内容が漏洩することを防止することができる。
【0076】
さらに、データ還元手段によって、前記キー装着部に前記マスタキーが装着されているときは、前記配列変更手段によって配列の変更がされた暗号文が確実に平文に戻されることから、正規のユーザによる復号化が適正に行われるようにしつつ、不正な者がたとえ補助記憶装置ごと盗み出した場合でも当該補助記憶装置の記憶内容が漏洩することを防止することができる。
【0077】
(2)マスタキーの他にデータ保護装置を動作させて補助記憶装置のデータにアクセスするためのスペアキーがあり、各スペアキーは、権限設定手段によって個別にアクセス権を設定することができることにより、補助記憶装置の記憶内容についての最高責任者にマスタキーを付与するとともに、この補助記憶装置の記憶内容にアクセスする他の者には、個々に当該記憶内容に関する運用上で必要になる最低限のアクセス権が設定されたスペアキーを付与することにより、当該補助記憶装置に関するアクセス制御を円滑に行うことができる。
【0078】
(3)補助記憶装置の記憶領域を複数に分割して、マスタキーにはすべての記憶領域にアクセスする権限を付与するとともに、各スペアキーには、当該スペアキーの所持者がアクセスすべき記憶領域にのみアクセス可能になるように権限を付与していることにより、スペアキーの所持者に必要以上に権限が与えられることがないため、作業の効率化等のために多量にスペアキーを生成して多数の者に当該補助記憶装置に対するアクセスを認めている場合でも、セキュリティレベルの低下を防止することができる。
【0079】
(4)単一のマスタキーまたはスペアキーのみでは補助記憶装置を動作させることができず、複数形成されているキー装着部のすべてにマスタキーまたはスペアキーを装着した場合にのみ当該補助記憶装置を動作させることができることにより、補助記憶装置を管理する複数の者の合意によらないと補助記憶装置を動作させることができないため、当該補助記憶装置に極秘情報等を記憶させておけば、複数の管理者による相互牽制の作用によって、当該極秘情報等の機密性を適正に保持することができる。
【0080】
(5)例えば、共通暗号鍵方式のDESによって暗号化する場合、64ビットずつ暗号化されることを考慮して各ブロックのサイズを64ビットに設定したり、64ビットの倍数である128ビットまたは256ビットに設定する等、用いる暗号方式に応じて各ブロックのサイズを決定することにより、同時に暗号化するデータを、必ず同一のブロックに格納できるため、暗号化されたデータを迅速に各ブロックに配分し、前記配列変更手段による前記ブロックの配列の変更についての便宜を図ることができる。
【0081】
(6)前記暗号化手段によって暗号化されたデータは、前記配列変更手段によってハードディスクの中の適当なセクタが設定され、当該セクタに記憶されることにより、1セクタのサイズに相当するブロックの配列を適正に変更することができることにより、暗号が解読されることがないように各ブロックの配列を変更しつつも、データを読み出すときには、前記配列変更手段によって設定されたセクタ毎に読み出すことが可能になるため、暗号化されたデータの読出処理を迅速に行うことができる。
【0082】
よって、補助記憶装置に記憶されるデータの暗号強度の向上を図り、必要に応じて補助記憶装置に対する円滑なアクセス制御を簡易な構成で実現するデータ保護装置を提供することができる。
【図面の簡単な説明】
【図1】本発明のデータ保護装置の使用状態を示す図である。
【図2】本発明のデータ保護装置の構成を示す図である。
【図3】データ保護装置のプロセス部の構成を示している。
【図4】データ保護装置の暗号化の処理手順の一例を示すフローチャートである。
【図5】データ保護装置の配列変換の一例を示す図である。
【図6】配列変換の他の一例を示す図である。
【図7】権限設定部によるスペアキーのアクセス権の設定の処理手順を示すフローチャートである。
【図8】権限設定処理によって設定されるスペアキーのアクセス権の一例を示す図である。
【図9】認識無効化手段の動作手順を示すフローチャートである。
【符号の説明】
1−データ保護装置
2−ホストIDEコネクタ
3−ハードディスク用IDEコネクタ
4−パワーコネクタ
5(5a〜5c)−キー装着部
6−操作ボタン
7−表示パネル
10−プロセス部
20−パソコン
【発明の属する技術分野】
この発明は、ハードディスク等の補助記憶装置の記憶内容を保護するデータ保護装置に関する。
【0002】
【従来の技術】
パーソナルコンピュータ(以下、パソコンという。)等の補助記憶装置のデータには、貴重な財産的価値があるため、これを適切に保護することが従来から重要視されている。特に、インターネットが普及している今日においては、インターネットを経由して補助記憶装置に不正アクセスされることがあることから、これを効果的に防止するためのファイアウォール等の機器が幅広く開発されている。
【0003】
ところが、インターネットを経由する補助記憶装置への不正アクセスに加えて、実際にパソコンが置かれている場所に物理的に侵入して補助記憶装置内の貴重なデータを盗みとるいった犯罪も少なくないため、物理的侵入をも想定したセキュリティ対策を行う必要がある。また、パソコンに対する侵入を防止する手段が万全であったとしても、パソコンを下取りに出す場合に補助記憶装置の物理フォーマットを怠ってしまう等の人為的なミスで、補助記憶装置の内容が漏洩することもある。
【0004】
このため、パソコンに対する侵入を防止する対策を講じるだけでなく、これに加えて、万一、パソコンへの侵入を許してしまった場合や、パソコンごと他の者の手に渡ってしまった場合にも、補助記憶装置の内容が読み取られないようにすることも重要といえる。
【0005】
そこで、従来技術の中には、ハードディスク(補助記憶装置)とパソコンとの間にデータの転送を制御するためのセキュリティボード(データ保護装置)を配置して、パソコンからのデータを当該セキュリティボードにおいて暗号化した上でハードディスクに記憶するとともに、当該セキュリティボードにマスタキーを装着している場合にのみ補助記憶装置に記憶したデータを復号しながら読み出すことを可能にして、正当な権限のある者のみが補助記憶装置内のデータにアクセスできるようにしてデータの保護を図るものがあった(例えば、非特許文献1参照。)。
【0006】
【非特許文献1】
“HDDへの書き込みデータを暗号化してキーでロックできるPCIカード”、[online]、[平成14年8月1日検索]、インターネット<URL:http://www.watch.impress.co.jp/akiba/hotline/20020629/etc_se64.html>
【発明が解決しようとする課題】
しかしながら、従来のデータ保護装置では、補助記憶装置に記憶されるデータの先頭から順番に暗号化するとともに、暗号化の順序で当該データが補助記憶装置に記憶されているため、暗号化される前のデータ(以下、平文という。)を推測して、この平文と暗号文との差分を解析することによって暗号文の解読がされる虞があった。
【0007】
例えば、ハードディスクのマスターブードレコードに記憶されているデータは、当該ハードディスクの記憶状態等から比較的容易に推測できるため、マスターブードレコードの平文とマスターブードレコードの暗号文との差分解析から暗号が解読されることがあった。
【0008】
さらに、従来のデータ保護装置では、マスタキー等を用いたエンティティ認証を行い、補助記憶装置へのアクセスの可否のみについて判断することは可能であるが、マスタキーの所持者以外の者に必要な範囲内においてアクセス権を設定した上で補助記憶装置へのアクセスを認める等、円滑なアクセス制御を行うことはできなかった。
【0009】
この発明の目的は、補助記憶装置に記憶されるデータの暗号強度の向上を図り、必要に応じて補助記憶装置に対する円滑なアクセス制御を簡易な構成で実現するデータ保護装置を提供することである。
【0010】
【課題を解決するための手段】
この発明は以下の構成を備えている。
【0011】
(1)マスタキーがキー装着部に装着されていないときは、補助記憶装置が認識されないようにする認識無効化手段と、
補助記憶装置に記憶させるデータを前記マスタキーに付与された暗号化情報に基づいて暗号化する暗号化手段と、
前記暗号化手段により暗号化されたデータを複数のブロックに分割し、前記ブロックの配列を前記暗号化情報に基づいて変更する配列変更手段と、
前記キー装着部に前記マスタキーが装着されているときは、入力された読出要求に係るデータについて、前記配列変更手段によって変更された前記配列を元に戻すとともに前記暗号化手段によって暗号化されたデータを復号化する処理を行うデータ還元手段と、を備えてなることを特徴とする。
【0012】
この構成においては、ハードディスク等の補助記憶装置に記憶させるデータが暗号化手段によって暗号化された後に、配列変更手段によって複数のブロックに分割されるとともに、各ブロックの並び方が変更された後に補助記憶装置に記憶される。
【0013】
したがって、平文と暗号化されたデータ(以下、暗号文という。)の対応関係が把握されて、これらの差分から暗号アルゴリズムや暗号キー等が把握されて暗号が容易に解読されることが防止される。
【0014】
また、認識無効化手段によって、マスタキーがキー装着部に装着されていないときは、前記補助記憶装置がホスト装置から認識されないため、マスタキーを用いたエンティティ認証が実現され、第三者に補助記憶装置の記憶内容が漏洩することが防止される。
【0015】
さらに、データ還元手段によって、前記キー装着部に前記マスタキーが装着されているときは、前記配列変更手段によって配列の変更がされた暗号文が確実に平文に戻されることから、正規のユーザによる復号化が適正に行われるようにしつつ、不正な者がたとえ補助記憶装置ごと盗み出した場合でも当該補助記憶装置の記憶内容が漏洩することが防止される。
【0016】
(2)前記マスタキーには、単一または複数のスペアキーがあり、前記スペアキー毎に前記補助記憶装置に記憶されているデータに対するアクセス権を設定する権限設定手段を備えたことを特徴とする。
【0017】
この構成においては、マスタキーの他にデータ保護装置を動作させて補助記憶装置のデータにアクセスするためのスペアキーがあり、各スペアキーは、権限設定手段によって個別にアクセス権が設定されている。
【0018】
したがって、補助記憶装置の記憶内容についての最高責任者等にマスタキーを付与するとともに、この補助記憶装置の記憶内容にアクセスする他の者には、個々に当該記憶内容に関する運用上で必要になる最低限のアクセス権が設定されたスペアキーを付与することにより、当該補助記憶装置についてのアクセス制御が円滑に行われる。
【0019】
(3)前記補助記憶装置の記憶領域は複数に分割されており、前記権限設定手段は、前記補助記憶装置の記憶領域毎に実行可能な処理内容を設定することを特徴とする。
【0020】
この構成においては、補助記憶装置の記憶領域を複数に分割して、マスタキーにはすべての記憶領域にアクセスする権限を付与するとともに、各スペアキーには、当該スペアキーの所持者がアクセスすべき記憶領域にのみアクセス可能になるように権限を付与している。
【0021】
したがって、スペアキーの所持者に必要以上に権限が与えられることがないため、作業の効率化等のために多量にスペアキーを生成して多数の者に当該補助記憶装置に対するアクセスを認めている場合でも、セキュリティレベルの低下が防止される。
【0022】
(4)前記キー装着部は複数形成されており、前記認識無効化手段は、すべてのキー装着部に前記マスタキーまたは前記スペアキーが装着されるまで、前記補助記憶装置が認識されないようにすることを特徴とする。
【0023】
この構成においては、単一のマスタキーまたはスペアキーのみでは補助記憶装置が動作せず、複数形成されているキー装着部のすべてにマスタキーまたはスペアキーが装着された場合にのみ当該補助記憶装置が動作する。
【0024】
したがって、補助記憶装置を管理する複数の者の合意によらないと補助記憶装置が動作しないため、当該補助記憶装置に極秘情報等を記憶させておけば、複数の管理者による相互牽制の作用によって、当該極秘情報等の機密性が適正に保持される。
【0025】
(5)前記配列変更手段は、前記暗号化手段が一度に暗号化するデータのサイズに基づいて、前記ブロックのサイズを決定することを特徴とする。
【0026】
この構成においては、例えば、共通暗号鍵方式のDESによって暗号化する場合、64ビットずつ暗号化されることを考慮して各ブロックのサイズが64ビットに設定されたり、64ビットの倍数である128ビットまたは256ビットに設定される等、用いる暗号方式に応じて各ブロックのサイズが決定される。
【0027】
したがって、同時に暗号化されるデータは、必ず同一のブロックに属するため、暗号化されたデータが迅速に各ブロックに配分され、前記配列変更手段による前記ブロックの配列の変更の便宜が図られる。
【0028】
(6)前記補助記憶装置はハードディスクであり、前記配列変更手段は、前記ハードディスクに記憶させるデータを前記ハードディスクの1セクタの大きさのブロックに分割して、これら複数のブロックを適当な記憶領域に割り当てることを特徴とする。
【0029】
この構成においては、前記暗号化手段によって暗号化されたデータは、前記配列変更手段によってハードディスクの中の適当なセクタが設定され、当該セクタに記憶されることにより、1セクタのサイズに相当するブロックの配列が適正に変更される。
【0030】
したがって、暗号が解読されることがないように各ブロックの配列を変更しつつも、データを読み出すときには、前記配列変更手段によって設定されたセクタ毎に読み出すことが可能になるため、暗号化されたデータの読出処理が迅速に行われる。
【0031】
【発明の実施の形態】
以下、図を用いて本発明のデータ保護装置の実施形態を説明する。
【0032】
図1は、本発明のデータ保護装置が適用されるパソコンの正面図である。データ管理装置1は、パソコン20とハードディスクとの間に配置されて、パソコン20とハードディスクとの間で転送されるデータの暗号化および復号化を行うものであり、本実施形態では、パソコン20の筐体の3.5インチベイに取り付けられ、パソコン20およびハードディスクのそれぞれとIDEインタフェースを介して接続されている。
【0033】
図2は、データ保護装置1の構成を示している。本実施形態では、データ保護装置1の主要部分は、通常のRAIDコントローラの構成を利用している。同図に示すように、データ保護装置1は、ホストIDEコネクタ2、ハードディスク用IDEコネクタ3、パワーコネクタ4、キー装着部5(5a〜5c)、操作ボタン6、表示パネル7、およびプロセス部10を備えている。
【0034】
ホストIDEコネクタ2は、IDEケーブルを介してパソコン20のIDEコネクタに接続される。ハードディスク用IDEコネクタ3は、IDEケーブルを介して、5インチベイ内のハードディスクに接続される。なお、本実施形態では、ハードディスク用IDEコネクタ3は2つ設けられているが、ハードディスク用IDEコネクタ3の数は必要に応じて増減させることが可能である。
【0035】
パワーコネクタ4は、パソコン20の電源ユニットから延び出しているパワーケーブルに接続される。キー装着部5(5a〜5c)は、マスタキーまたはスペアキーが装着される。ここで、マスタキーは、データ保護装置1と対になって作成される固有のものであり、スペアキーはこのマスタキーを用いて作成されるものであるが、その詳細については後述する。プロセス部10は、複数のプロッセッサやチップセットを備えており、データ保護装置1の中枢となるものである。
【0036】
図3は、データ保護装置1のプロセス部10の構成を示している。同図に示すように、プロセス部10は、CPU11、ROM12、RAM13、キー検出部14、暗号/復号部15、および権限管理部16を備えている。
【0037】
ROM12には、CPU11を動作させるためのファームウェアが格納されている。このファームウェアは、ハードディスクに転送するデータを所定のサイズ毎に分割して分割された複数のデータをハードディスクの適当な記憶領域に記憶させる、通常、RAIDシステムで用いられるプログラムが含まれている。
【0038】
RAM13は、暗号化、復号化、データの分割および配列の変更の便宜のために一時的にデータを格納することができる。キー検出部14は、キー装着部5に装着されているキーを検出する。CPU11からの指令に基づいて、キー検出部14は、装着されているキーに記録されている情報を読み取って、RAM13に記憶させる。権限管理部16は、EEPROMを備えており、後述するスペアキー毎に設定されるアクセス権を管理する。
【0039】
そして、暗号/復号部15は、ハードディスクに記憶させるデータの暗号化を行う。なお、本実施形態では、暗号/復号部15は共通鍵暗号方式のDESによってハードディスクに記憶されるデータの暗号化、およびパソコン20に読み出されるデータの復号化をしている。
【0040】
図4は、暗号/復号部15によって行われる暗号化の処理手順の一例を示すフローチャートである。ここで、共通鍵暗号方式のDESでは、64ビットを1単位として暗号化が行われ、暗号文が作成されるため、暗号/復号部15は、まず、ハードディスクに記憶されるデータを64ビット毎のブロックに分割する(s1)。
【0041】
そして、暗号/復号部15は、キー装着部5に装着されているマスタキーに記されている56ビットの共通鍵の情報を読み込む(s2)。暗号化および復号化に使用される共通鍵の情報を取得すると、暗号/復号部15は、この共通鍵に基づいて16種類のラウンドキーを作成する(s3)。ここで、ラウンドキーとはDESに含まれる16ラウンドの暗号化処理の各ラウンドに用いられるキーをいう。なお、各ラウンドでは、上述の64ビットのデータに対してローテート処理、XOR処理、転置処理、およびSボックス処理がそれぞれ行われる。
【0042】
次に、16ラウンド分のラウンドキーがすべて作成されると、暗号/復号部15は、上述のブロック化されたデータについて初期転置を行う(s5)。次に、暗号/復号部15は、ラウンドキーを用いてローテート、XOR演算、転置、およびSボックスからなる各ラウンドの処理を実行する(s6)。
【0043】
各ラウンドが終了する度に暗号/復号部15は、全16ラウンドが完了したか否かを判断し(s7)、すべてのラウンドが完了している場合には、64ビットデータのうちの前半32ビットと後半の32ビットとを置換するとともに(s8)、所定の最終転置処理を行い(s9)、暗号化処理を終了させる。
【0044】
以上の処理により、64ビットのデータの暗号化が行われるが、この暗号文を復号化して平文にする場合には、上述とは逆の手順で処理を行うことができる。
【0045】
ここで、共通鍵暗号方式は、暗号化と復号化に同じ鍵が使用されるところ、マスタキーをキー装着部5に装着していない状態では、ハードディスクに記憶されているデータの復号化に必要な共通鍵の情報が得られないため、ハードディスクのみ盗み出された場合でも、当該ハードディスクの記憶内容が漏洩することを防止できる。
【0046】
さらに、本発明では、暗号/復号部15によって暗号化が行われると、この暗号文を記憶すべきハードディスクの記憶領域が、マスタキーの暗号情報に基づくアルゴリズムで設定され、当該暗号文は、設定された記憶領域に記憶される。記憶領域の設定、すなわちアドレス変換は、ROM12に格納されたファームウェアによって行われる。なお、ここでは、このアドレス変換が本発明の配列変更を構成する。
【0047】
図5は、アドレス変換の一例を示している。暗号/復号部15によって暗号化された64ビットの暗号文はハードディスクに記憶されるが、このとき、ROM11のファームウェアは、1メガバイト(ハードディスクの2048セクタ分のサイズ)を1単位として、マスタキーに記されているアドレス変換情報を参照しながらアドレス変換を行う。パソコン20からのコマンドはその指定アドレスによって、アドレス加算又は減算によるアドレス変換(論理アドレスから物理アドレスへの変換)が行われる。この結果、同図の右側のハードディスク(物理HDD)のように実際上、1メガバイト単位のデータが、その配列が変更されてハードディスクに格納される。
【0048】
一方で、配列変換された暗号文を読み出す場合において、マスタキーをキー装着部5に装着しているときには、データ保護装置1は、マスタキーから暗号化に使用した共通鍵の情報および配列変換のアルゴリズムを抽出して、配列が変更されていない論理上のブロックの配列と実際に配列が変更されたブロックとの対応関係を把握し、読み出しを行うべき領域から暗号文を読み出すとともに、暗号化されているデータを順次復号化することで、平文としてパソコン20に供給することができる。
【0049】
このように、ハードディスクに記憶するデータを暗号化した後に、ブロック化して各ブロックの配列を変更することにより、ハードディスクのセクタ0のマスターブートレコードの内容(平文)と、暗号化されたセクタ0の内容(暗号文)を比較しても暗号アルゴリズムや暗号化に用いた鍵が推測することができないため、暗号の強度を向上させることが可能になる。
【0050】
また、図6は、上述のブロックの配列変更のバリエーションの一つを示している。同図が示すように、ここでは、暗号文は、先頭セクタアドレス+αのアドレスから順次記憶されていき、当該暗号文の末尾が先頭セクタアドレス+α−1のアドレスに記憶されている。このため、セクタ0にマスターブートレコードの暗号文が記憶されることを防止することができ、差分解析により暗号が容易に解読されることを防止することができる。また、各ブロックの配列の変更に複雑なアルゴリズムを使用することがないため、迅速に暗号化および復号化の処理を行うことが可能になる。
【0051】
次にデータ保護装置1におけるスペアキーを用いたアクセス制御の方法を説明する。上述のように、データ管理装置1は、キー装着部5にマスタキーを装着することでパソコン20にデータ管理装置1に接続されているハードディスクを認識させることや、このハードディスクに暗号化されて記憶されているデータを復号化することができる。
【0052】
ところが、例えば、マスタキーをパソコン20の管理をする責任者に与えた場合、この責任者以外にもパソコン20のハードディスクにアクセスする必要がある者が存在する場合がある。その一方で、責任者以外の者に、当該ハードディスクへのアクセスに関するすべての権限を与えたのではセキュリティ上の問題を生じる場合がある。
【0053】
そこで、データ管理装置1では、マスタキーの所有者が任意にスペアキーを作成できるようにしており、かつ、作成したスペアキーのそれぞれに当該ハードディスクに対するアクセス権を設定できるようにしている。
【0054】
原則としてスペアキーは、すべて同一の形状をしているが、各スペアキーごとに固有のシリアル番号が付与されている。このため、データ管理装置1に使用可能なスペアキーを作成するにあたっては、スペアキーに付与されているシリアル番号がデータ保護装置1において使用可能なシリアル番号であることを登録する必要があり、さらに、登録したシリアル番号についてアクセス権を設定することが必要となる。
【0055】
データ管理装置1では、スペアキーのアクセス権の設定が、パソコン20の責任者またはその承認を受けた者によって行われる必要があるため、マスタキーをキー装着部5に装着した状態でのみスペアキーのアクセス権の設定が行われるようにしている。
【0056】
図7は、権限管理部16によるスペアキーのアクセス権の設定の処理手順を示すフローチャートである。まず、権限管理部16は、権限設定コマンドの入力の有無を検出している(s11)。ここでは、パソコン20が動作中にキー装着部5にスペアキーが装着されたことを、権限設定コマンドの入力とみなしている。なお、この権限設定コマンドを、データ管理装置1の前面側の操作ボタン6を介して行ったり、パソコン20のユーティリティを介して行うようにしてもよい。
【0057】
そして、s11の工程で権限設定コマンドの入力が検出されると、権限管理部16は、キー検出部14にマスタキーがキー装着部5に装着されているか否かを判断させる(s12)。ここで、キー装着部5にマスタキーが装着されていない場合には、スペアキーに対するアクセス権を設定を認めるのは妥当でないため、権限管理部16は、権限設定処理を行わない。
【0058】
s12の判断工程において、キー装着部5にマスタキーが装着されている場合には、権限管理部16は、正当な管理者による権限設定コマンドであるとみなして、権限設定処理を開始するが、まず最初に、権限管理部16は各スペアキーに固有のシリアル番号を読み込む(s13)。
【0059】
次に、権限管理部16は、このスペアキーに付与されるアクセス権の設定が入力されるまで待機する(s14)。ここでは、このアクセス権の設定の入力は、データ保護装置1の表示パネル7を参照しながら操作ボタン6によって行う。なお、操作ボタン6を介してアクセス権の設定の入力をするのではなく、例えば、パソコン20のユーティリティを利用してアクセス権の設定の入力をするようにしてもよい。
【0060】
s14の工程で、スペアキーに付与されるアクセス権の設定が入力されると、権限管理部16は、入力されたアクセス権の設定内容を受け付けて(s15)、当該スペアキーのシリアル番号と入力されたアクセス権とを登録する(s16)。このとき、同時にマスタキーの暗号化情報がスペアキーに備えられたICメモリに複写される。
【0061】
図8は、権限設定処理によって設定されるスペアキーのアクセス権の一例を示す図である。同図に示すようにデータ保護装置1は、ハードディスクを複数のパーティション(本実施形態では4つ。)に区分けして管理しているが、ここで、データ保護装置1は以下の方法によって複数パーティションの管理をしている。
【0062】
まず、データ保護装置1では、ハードディスクを論理的にマスタドライブとスレーブドライブとに分割することができる。また、例えば、物理的に1つのハードディスクに複数の論理領域を作成することが可能であり、データ保護装置1では、ハードディスクのパーティションテーブルを解析して、パーティション毎の開始アドレス、終了アドレスを算出している。
【0063】
図8に示すように、本実施形態ではデータ保護装置1は、論理的に分割された4つのパーティション毎にリード・ライト許可、リードのみ許可、不可視属性に設定することができる。同図において、マスタキーはすべてのパーティションにおいて、リード・ライトが共に許可されている。また、スペアキー1は、パーティション1〜3についてリード・ライトが共に許可されているが、パーティション4にはアクセスすることができない。さらに、スペアキー2は、パーティション3に対するリードのみが許可されており、その他の処理は一切行うことはできない。
【0064】
この場合、例えば、スペアキー2を派遣社員等に持たせることで、パソコン20のハードディスクの記憶内容の機密性を保ちつつ、当該派遣社員が業務上必要になる最低限の権限を付与することができる等、円滑なアクセス権の設定が可能になる。
【0065】
上述のように、マスタキーの所持者は、原則として、パソコン20のハードディスクへのアクセスに関してすべての権限を取得すべきであるが、例えば極秘レベルのデータに対しては、マスタキーの所持者といえど単独ではアクセスできないように設定することが便宜上好ましいことがある。
【0066】
そこで、データ保護装置1では、キー装着部5のすべてにキーが装着されない限り、ハードディスクに作成した極秘レベルのデータを記憶している特別のパーティションにはアクセスできないようにすることもできる。なお、この特別のパーティションに記憶されるデータは極秘レベルのデータに限らず、例えば、複数人が共有するデータであって、全員の合意によって当該データの編集を行う等の取り決めをしているデータ等であってもよい。なお、キー装着部5のすべてにキーが装着されない限りハードディスク自体がパソコン20に認識されないようにしてハードディスク全体を保護するようにすることもできる。
【0067】
次に、データ保護装置1の動作について、パソコン20の起動から順をおって説明する。図9は、認識無効化手段の動作手順を示すフローチャートである。同図に示すように、CPU11は、データ保護装置1の電源がオンされると(s21)、パソコン20からのATA_Identifyコマンドを受けつける(s22)。
【0068】
そして、CPU11は、キー装着部5にマスタキーまたはスペアキーのいずれかが装着されているか否かをキー検出部14に検出させる(s23)。このとき、キー検出部14がマスタキーまたはスペアキーのいずれのキーも検出しない場合には、CPU11は、ATA_Identifyに応答することがないため、パソコン20側では、データ保護装置1およびデータ保護装置1を介して接続されているハードディスクを認識することができない。
【0069】
これに対して、キー検出部14がマスタキーまたはスペアキーのいずれかのキーを検出した場合には、CPU11は、ATA_Identifyに応答して、パソコン20に対して、形式、記憶容量等の属性情報を供給する。このため、パソコン20は、データ保護装置1を介して接続されているハードディスクを認識することができるようになる。なお、ハードディスクに上述の極秘レベルのデータ等を格納している場合には、キー装着部5のすべてにキーが装着されない限り、CPU11がATA_Identifyに応答しないように設定できるようにしてもよい。
【0070】
パソコン20によってハードディスクが適正に認識された後は、マスタキーまたはスペアキーに記憶されている暗号化情報を用いて、パソコン20とハードディスクとの間で通信されるデータの暗号化、配列変換、配列還元、および復号化を行いつつ、データの書込および読出等の処理を行うことができる。
【0071】
なお、上述の実施形態では、共通暗号鍵方式のDESを採用しているが、さらに暗号強度を求める場合には、AES等の暗号方式を利用するようにしてもよい。また、ブロックをハードディスク2セクタ分のサイズにしており、セクタごとアドレス変換しているが、ブロックのサイズを例えば、一度に暗号化されるデータのサイズに基づいて決めるようにして、同一セクタ内でデータの順序を変更しつつ記憶させるようにしてもよい。
【0072】
具体的には、1セクタが512バイトである場合、64ビット(8バイト)の暗号文が64個分だけ1セクタに格納されるところ、同一のセクタ内において64個の暗号文の配列を所定のアルゴリズムで変換えることによっても暗号文と平文との差分を解析されることがなく、暗号強度を向上させることができる。
【0073】
【発明の効果】
以上のように、この発明によれば、以下の効果を奏することができる。
【0074】
(1)ハードディスク等の補助記憶装置に記憶させるデータを暗号化手段によって暗号化した後に、配列変更手段によって複数のブロックに分割するとともに、各ブロックの並び方を変更してから補助記憶装置に記憶することにより、平文と暗号文の対応関係が把握されて、これらの差分から暗号アルゴリズムや暗号キー等が把握されて暗号が容易に解読されることを防止することができる。
【0075】
また、認識無効化手段によって、マスタキーがキー装着部に装着されていないときは、前記補助記憶装置をホスト装置に認識させないため、マスタキーを用いたエンティティ認証を実現することができ、第三者に補助記憶装置の記憶内容が漏洩することを防止することができる。
【0076】
さらに、データ還元手段によって、前記キー装着部に前記マスタキーが装着されているときは、前記配列変更手段によって配列の変更がされた暗号文が確実に平文に戻されることから、正規のユーザによる復号化が適正に行われるようにしつつ、不正な者がたとえ補助記憶装置ごと盗み出した場合でも当該補助記憶装置の記憶内容が漏洩することを防止することができる。
【0077】
(2)マスタキーの他にデータ保護装置を動作させて補助記憶装置のデータにアクセスするためのスペアキーがあり、各スペアキーは、権限設定手段によって個別にアクセス権を設定することができることにより、補助記憶装置の記憶内容についての最高責任者にマスタキーを付与するとともに、この補助記憶装置の記憶内容にアクセスする他の者には、個々に当該記憶内容に関する運用上で必要になる最低限のアクセス権が設定されたスペアキーを付与することにより、当該補助記憶装置に関するアクセス制御を円滑に行うことができる。
【0078】
(3)補助記憶装置の記憶領域を複数に分割して、マスタキーにはすべての記憶領域にアクセスする権限を付与するとともに、各スペアキーには、当該スペアキーの所持者がアクセスすべき記憶領域にのみアクセス可能になるように権限を付与していることにより、スペアキーの所持者に必要以上に権限が与えられることがないため、作業の効率化等のために多量にスペアキーを生成して多数の者に当該補助記憶装置に対するアクセスを認めている場合でも、セキュリティレベルの低下を防止することができる。
【0079】
(4)単一のマスタキーまたはスペアキーのみでは補助記憶装置を動作させることができず、複数形成されているキー装着部のすべてにマスタキーまたはスペアキーを装着した場合にのみ当該補助記憶装置を動作させることができることにより、補助記憶装置を管理する複数の者の合意によらないと補助記憶装置を動作させることができないため、当該補助記憶装置に極秘情報等を記憶させておけば、複数の管理者による相互牽制の作用によって、当該極秘情報等の機密性を適正に保持することができる。
【0080】
(5)例えば、共通暗号鍵方式のDESによって暗号化する場合、64ビットずつ暗号化されることを考慮して各ブロックのサイズを64ビットに設定したり、64ビットの倍数である128ビットまたは256ビットに設定する等、用いる暗号方式に応じて各ブロックのサイズを決定することにより、同時に暗号化するデータを、必ず同一のブロックに格納できるため、暗号化されたデータを迅速に各ブロックに配分し、前記配列変更手段による前記ブロックの配列の変更についての便宜を図ることができる。
【0081】
(6)前記暗号化手段によって暗号化されたデータは、前記配列変更手段によってハードディスクの中の適当なセクタが設定され、当該セクタに記憶されることにより、1セクタのサイズに相当するブロックの配列を適正に変更することができることにより、暗号が解読されることがないように各ブロックの配列を変更しつつも、データを読み出すときには、前記配列変更手段によって設定されたセクタ毎に読み出すことが可能になるため、暗号化されたデータの読出処理を迅速に行うことができる。
【0082】
よって、補助記憶装置に記憶されるデータの暗号強度の向上を図り、必要に応じて補助記憶装置に対する円滑なアクセス制御を簡易な構成で実現するデータ保護装置を提供することができる。
【図面の簡単な説明】
【図1】本発明のデータ保護装置の使用状態を示す図である。
【図2】本発明のデータ保護装置の構成を示す図である。
【図3】データ保護装置のプロセス部の構成を示している。
【図4】データ保護装置の暗号化の処理手順の一例を示すフローチャートである。
【図5】データ保護装置の配列変換の一例を示す図である。
【図6】配列変換の他の一例を示す図である。
【図7】権限設定部によるスペアキーのアクセス権の設定の処理手順を示すフローチャートである。
【図8】権限設定処理によって設定されるスペアキーのアクセス権の一例を示す図である。
【図9】認識無効化手段の動作手順を示すフローチャートである。
【符号の説明】
1−データ保護装置
2−ホストIDEコネクタ
3−ハードディスク用IDEコネクタ
4−パワーコネクタ
5(5a〜5c)−キー装着部
6−操作ボタン
7−表示パネル
10−プロセス部
20−パソコン
Claims (6)
- マスタキーがキー装着部に装着されていないときは、補助記憶装置が認識されないようにする認識無効化手段と、
補助記憶装置に記憶させるデータを前記マスタキーに付与された暗号化情報に基づいて暗号化する暗号化手段と、
前記暗号化手段により暗号化されたデータを複数のブロックに分割し、前記ブロックの配列を前記暗号化情報に基づいて変更する配列変更手段と、
前記キー装着部に前記マスタキーが装着されているときは、入力された読出要求に係るデータについて、前記配列変更手段によって変更された前記配列を元に戻すとともに前記暗号化手段によって暗号化されたデータを復号化する処理を行うデータ還元手段と、を備えてなるデータ保護装置。 - 前記マスタキーには、単一または複数のスペアキーがあり、前記スペアキー毎に前記補助記憶装置に記憶されているデータに対するアクセス権を設定する権限設定手段を備えたことを特徴とする請求項1に記載のデータ保護装置。
- 前記補助記憶装置の記憶領域は複数に分割されており、前記権限設定手段は、前記補助記憶装置の記憶領域毎に実行可能な処理内容を設定することを特徴とする請求項2に記載のデータ保護装置。
- 前記キー装着部は複数形成されており、前記認識無効化手段は、すべてのキー装着部に前記マスタキーまたは前記スペアキーが装着されるまで、前記補助記憶装置が認識されないようにすることを特徴とする請求項1〜3に記載のデータ保護装置。
- 前記配列変更手段は、前記暗号化手段が一度に暗号化するデータのサイズに基づいて、前記ブロックのサイズを決定することを特徴とする請求項1〜4のいずれかに記載のデータ保護装置。
- 前記補助記憶装置はハードディスクであり、前記配列変更手段は、前記ハードディスクに記憶させるデータを前記ハードディスクの1セクタの大きさのブロックに分割して、これら複数のブロックを適当な記憶領域に割り当てることを特徴とする請求項1〜5のいずれかに記載のデータ保護装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002286842A JP4574108B2 (ja) | 2002-09-30 | 2002-09-30 | データ保護装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002286842A JP4574108B2 (ja) | 2002-09-30 | 2002-09-30 | データ保護装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004126745A true JP2004126745A (ja) | 2004-04-22 |
| JP4574108B2 JP4574108B2 (ja) | 2010-11-04 |
Family
ID=32279807
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002286842A Expired - Lifetime JP4574108B2 (ja) | 2002-09-30 | 2002-09-30 | データ保護装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4574108B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007336441A (ja) * | 2006-06-19 | 2007-12-27 | National Institute Of Advanced Industrial & Technology | 暗号化によるコンピュータデータ保護システム |
| JP2009100250A (ja) * | 2007-10-17 | 2009-05-07 | Kyocera Mita Corp | 難読化装置及びプログラム |
| JP2016133829A (ja) * | 2015-01-15 | 2016-07-25 | 株式会社東芝 | 電子機器、記憶装置へのアクセス制御方法およびプログラム |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07104882A (ja) * | 1993-10-06 | 1995-04-21 | Toshiba Corp | ポータブルコンピュータシステム |
| JPH10173646A (ja) * | 1996-12-13 | 1998-06-26 | Mitsubishi Electric Corp | 暗号化補助方法、復号化補助方法、およびそれらの方法を用いた装置 |
| JPH1124859A (ja) * | 1997-07-07 | 1999-01-29 | Sharp Corp | マルチファンクションネットワークプリンタシステム |
| JP2001243517A (ja) * | 2000-02-28 | 2001-09-07 | Oki Electric Ind Co Ltd | Idカードによる自動取引装置の管理方法 |
| JP2001325569A (ja) * | 2000-03-08 | 2001-11-22 | R & D Associates:Kk | 電子錠、電子錠システム、及び電子錠が設けられた被施錠物の利用サービス提供方法 |
| JP2001325232A (ja) * | 2000-03-08 | 2001-11-22 | R & D Associates:Kk | データベースシステム |
| JP2002183325A (ja) * | 2000-12-11 | 2002-06-28 | Daiwa Securities Group Inc | データ管理装置 |
| JP2002229739A (ja) * | 2001-01-30 | 2002-08-16 | Furuno Electric Co Ltd | タッチパネル機器システム、タッチパネル操作用ペン、およびタッチパネル機器 |
| JP2002266536A (ja) * | 2001-03-09 | 2002-09-18 | Matsushita Electric Ind Co Ltd | 宅内への不法侵入防止システム |
-
2002
- 2002-09-30 JP JP2002286842A patent/JP4574108B2/ja not_active Expired - Lifetime
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07104882A (ja) * | 1993-10-06 | 1995-04-21 | Toshiba Corp | ポータブルコンピュータシステム |
| JPH10173646A (ja) * | 1996-12-13 | 1998-06-26 | Mitsubishi Electric Corp | 暗号化補助方法、復号化補助方法、およびそれらの方法を用いた装置 |
| JPH1124859A (ja) * | 1997-07-07 | 1999-01-29 | Sharp Corp | マルチファンクションネットワークプリンタシステム |
| JP2001243517A (ja) * | 2000-02-28 | 2001-09-07 | Oki Electric Ind Co Ltd | Idカードによる自動取引装置の管理方法 |
| JP2001325569A (ja) * | 2000-03-08 | 2001-11-22 | R & D Associates:Kk | 電子錠、電子錠システム、及び電子錠が設けられた被施錠物の利用サービス提供方法 |
| JP2001325232A (ja) * | 2000-03-08 | 2001-11-22 | R & D Associates:Kk | データベースシステム |
| JP2002183325A (ja) * | 2000-12-11 | 2002-06-28 | Daiwa Securities Group Inc | データ管理装置 |
| JP2002229739A (ja) * | 2001-01-30 | 2002-08-16 | Furuno Electric Co Ltd | タッチパネル機器システム、タッチパネル操作用ペン、およびタッチパネル機器 |
| JP2002266536A (ja) * | 2001-03-09 | 2002-09-18 | Matsushita Electric Ind Co Ltd | 宅内への不法侵入防止システム |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007336441A (ja) * | 2006-06-19 | 2007-12-27 | National Institute Of Advanced Industrial & Technology | 暗号化によるコンピュータデータ保護システム |
| JP2009100250A (ja) * | 2007-10-17 | 2009-05-07 | Kyocera Mita Corp | 難読化装置及びプログラム |
| JP2016133829A (ja) * | 2015-01-15 | 2016-07-25 | 株式会社東芝 | 電子機器、記憶装置へのアクセス制御方法およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4574108B2 (ja) | 2010-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4169822B2 (ja) | 記憶媒体のデータ保護方法、その装置及びその記憶媒体 | |
| JP4398145B2 (ja) | 自動データベース暗号化の方法および装置 | |
| US7428306B2 (en) | Encryption apparatus and method for providing an encrypted file system | |
| US20040172538A1 (en) | Information processing with data storage | |
| CN102271037B (zh) | 基于在线密钥的密钥保护装置 | |
| JP4170466B2 (ja) | コマンド認証方法 | |
| US20050262361A1 (en) | System and method for magnetic storage disposal | |
| JP5417092B2 (ja) | 暗号化属性を用いて高速化された暗号法 | |
| US8200964B2 (en) | Method and apparatus for accessing an encrypted file system using non-local keys | |
| JP2003058840A (ja) | Rfid搭載コンピュータ記録媒体利用の情報保護管理プログラム | |
| JP2001117823A (ja) | アクセス資格認証機能付きデータ記憶装置 | |
| JP2010517448A (ja) | セキュアファイル暗号化 | |
| JPH0383132A (ja) | ソフトウェア保護制御方式 | |
| JP2016507196A (ja) | 認証および鍵交換のための方法およびデバイス | |
| JP2024511236A (ja) | コンピュータファイルのセキュリティ暗号化方法、復号化方法および読み取り可能な記憶媒体 | |
| JP2008005408A (ja) | 記録データ処理装置 | |
| JP4574108B2 (ja) | データ保護装置 | |
| JP3184189B2 (ja) | 電子化データ保護システム、使用許諾者側装置、使用者側装置、使用許諾情報生成処理方法および電子化データ復号処理方法 | |
| JP2008147946A (ja) | 認証方法、認証システム、及び外部記憶媒体 | |
| JP2001217822A (ja) | 暗号化記録装置 | |
| JP4265156B2 (ja) | 情報漏洩防止装置および情報漏洩防止方法 | |
| JP3797531B2 (ja) | ディジタルデータの不正コピー防止システム | |
| CN112784321B (zh) | 磁盘资安系统 | |
| JP5180362B1 (ja) | コンテンツ再生装置およびコンテンツ再生プログラム | |
| JP4604523B2 (ja) | データの移管方法およびデータの保管装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050921 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090106 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090309 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090309 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090804 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091002 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100727 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100818 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4574108 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130827 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |