JP2006107305A - Data storage device - Google Patents

Data storage device Download PDF

Info

Publication number
JP2006107305A
JP2006107305A JP2004295654A JP2004295654A JP2006107305A JP 2006107305 A JP2006107305 A JP 2006107305A JP 2004295654 A JP2004295654 A JP 2004295654A JP 2004295654 A JP2004295654 A JP 2004295654A JP 2006107305 A JP2006107305 A JP 2006107305A
Authority
JP
Japan
Prior art keywords
storage device
data storage
access
data
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004295654A
Other languages
Japanese (ja)
Inventor
Toshio Okochi
俊夫 大河内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004295654A priority Critical patent/JP2006107305A/en
Publication of JP2006107305A publication Critical patent/JP2006107305A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To prevent an access history from being altered at low cost by enhancing the data confidentiality of a data storage device. <P>SOLUTION: When access is given to data from the outside, a control part generates an access history and writes the access history in a storage medium. Then, a message authentication code generated from the access history by a generating key is attached to the access history. In addition, a key for authenticating an access source, a management server authentication key for allowing a change in configuration information and a message authentication code generation key are stored in a tamper-proof module in the data storage device. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、データ記憶装置に係り、特に、情報システムのデータへのアクセス履歴を改竄不可能な形で記録するのに好適なデータ記憶装置に関する。   The present invention relates to a data storage device, and more particularly to a data storage device suitable for recording an access history of data in an information system in a form that cannot be falsified.

コンピュータとネットワークが、我々の生活と不可分になるにつれて、システムにおける個人情報の保護の重要性が高まってきている。個人情報を適切に保護するためには、コンピュータシステムの記憶装置にアクセスログを残し、不正なアクセスを監視するのが基本となる。   As computers and networks become inseparable from our lives, the importance of protecting personal information in systems is increasing. In order to appropriately protect personal information, it is fundamental to leave an access log in a storage device of a computer system and monitor unauthorized access.

以下の特許文献1の「アクセス資格認証付きデータ」は、サーバがユーザのアクセス資格を検証し、検証が成功したときに、データ記憶装置に追記型(Write-Once型)の記録をおこなうものであり、特に、段落番号0035、0317、0318などに、アクセスログを追記型の記録媒体に記録することにより、改竄を防止できることが示唆されている。   The “data with access qualification authentication” in the following Patent Document 1 is a server that verifies a user's access qualification, and records data in a write-once type in a data storage device when the verification is successful. In particular, it has been suggested in paragraph numbers 0035, 0317, 0318, etc. that falsification can be prevented by recording the access log on a write-once recording medium.

特開2001−117823号公報JP 2001-117823 A Douglas R. Stinson, “Cryptography: theory and practice”, CRC Press LLC,1995 : Chapter 7 “Hash Function”Douglas R. Stinson, “Cryptography: theory and practice”, CRC Press LLC, 1995: Chapter 7 “Hash Function”

個人情報保護法に見られるように、情報の利用方法についての規制が厳格化され、企業や公的機関は情報の利用方法について法令や各種規則を遵守することが義務付けられ、また遵守していることを第三者に立証することを求められるようになりつつある。   As seen in the Personal Information Protection Law, regulations on how information is used have become stricter, and companies and public institutions are obliged to comply with laws and regulations regarding the use of information. There is a growing need to prove this to a third party.

個人情報保護にかかわる不正は、多くの場合内部の人間による犯行であることが知られている。従来の計算機システムや記録装置は暗号化やアクセス制御の機能、データのアクセス記録保存機能を有しているが、こうした機能は情報に対する正規のアクセス権をもつ内部の人間が、それらの情報を不正に利用するという行為を防止することはできない。このため、システム管理権限をもつ内部の人間による情報の不正利用を抑止するための機構の必要性が高まっている。   It is known that fraud related to the protection of personal information is often a crime by an internal human being. Conventional computer systems and recording devices have encryption and access control functions, and data access record storage functions, but these functions are used by internal persons with legitimate access rights to information. It is not possible to prevent the act of using it. For this reason, there is an increasing need for a mechanism for preventing unauthorized use of information by an internal person having system management authority.

上記従来技術では、追記型の記憶媒体にアクセスログを記憶するこによって、改竄等に対処できるとしているが、データ本体が磁気ディスク等の書き換え可能な媒体に記録されている場合、アクセスログだけがデータとは別の媒体に保存されるため、例えば、物理的な手段でアクセスログだけが破壊される可能性があり、また、アクセスログだけをデータとは別の媒体に保存するようにすると装置のコストも上昇する。   In the above prior art, the access log is stored in a write-once storage medium, so that tampering can be dealt with. However, when the data body is recorded on a rewritable medium such as a magnetic disk, only the access log is stored. Since the data is stored in a medium different from the data, for example, only the access log may be destroyed by physical means, and if only the access log is stored in a medium different from the data, the device The cost of will also increase.

本発明は、上記問題点を解決するためになされたもので、その目的は、データの機密性を高め、データ記憶装置のアクセス履歴の改竄を防止する仕組みを低コストで提供することにある。   The present invention has been made to solve the above problems, and an object of the present invention is to provide a mechanism for enhancing the confidentiality of data and preventing falsification of the access history of the data storage device at a low cost.

本発明に係るデータ記憶装置では、外部からデータへのアクセスがあったときに、制御部がアクセス履歴を生成し、記憶媒体に書き込む。そして、アクセス履歴には、アクセス履歴から生成用鍵によって生成されたメッセージ認証コード(MAC、Message Authentication Code)を付加する。   In the data storage device according to the present invention, when the data is accessed from the outside, the control unit generates an access history and writes it in the storage medium. Then, a message authentication code (MAC, Message Authentication Code) generated from the access history using the generation key is added to the access history.

また、アクセス元を認証する鍵、構成情報の変更を許す管理サーバの管理サーバ認証鍵、メッセージ認証コード生成鍵を、データ記憶装置内の耐タンパモジュールに格納する。   In addition, a key for authenticating the access source, a management server authentication key for the management server that permits change of configuration information, and a message authentication code generation key are stored in a tamper resistant module in the data storage device.

これらの暗号鍵の初期設定・更新等の管理を利用者やシステム管理者とは別の外部機関等がおこなうのが望ましい。   It is desirable to manage the initial setting / update of these encryption keys by an external organization other than the user or system administrator.

上記構成により、物理的な手段を用いても、また内部の人間からも改竄や消去が困難なアクセス履歴をデータ本体と同一記憶媒体上に強制的に残すことを可能にする。これにより、データに対する正規のアクセス権を持つユーザーやシステム管理者によるアクセス履歴の改竄を困難にし、不正アクセスを抑止する。また、各種認証鍵を耐タンパモジュールに格納することによって、物理的な手段を用いてもアクセス履歴のみを選択的に改竄・破壊することを困難にするとともに、低コストでの記憶装置への実装を可能にする。   With the above configuration, it is possible to forcibly leave an access history on the same storage medium as that of the data body, which is difficult to falsify or erase even by using physical means or by an internal person. This makes it difficult for a user or a system administrator who has a legitimate access right to the data to modify the access history, and prevents unauthorized access. In addition, by storing various authentication keys in the tamper-resistant module, it is difficult to selectively tamper and destroy only the access history even using physical means, and it can be implemented in a storage device at low cost. Enable.

このデータ記憶装置では、外部の計算機などがソフトウェアでのアクセス履歴を記録する機能を備えていなくても、データ記憶装置の制御部がアクセス履歴を強制的に、かつ改竄不可能な形で保存する。   In this data storage device, even if an external computer or the like does not have a function for recording access history by software, the control unit of the data storage device compulsorily stores the access history in a form that cannot be falsified. .

また、アクセス履歴をデータ本体と同じ記憶媒体に強制的に記録することにより、物理的な手法を用いてもアクセス履歴だけを選択的に消去、破壊することが困難であり、意図的なアクセス履歴紛失のリスクを低減できる。さらに、ディスク装置の制御部がログ保存処理をおこなうことで、アクセス制御機能(特定のIDをもった計算機にのみアクセスを許す等)やデータ暗号化機能と一体化した実装が可能でコスト低減が可能である。   In addition, by forcibly recording the access history in the same storage medium as the data body, it is difficult to selectively erase or destroy only the access history even if a physical method is used. The risk of loss can be reduced. In addition, the log storage process is performed by the disk unit's control unit, so it can be integrated with the access control function (for example, allowing access only to a computer with a specific ID) and the data encryption function, reducing costs. Is possible.

本発明によれば、データの機密性を高め、データ記憶装置のアクセス履歴の改竄を防止する仕組みを低コストで提供することができる。   ADVANTAGE OF THE INVENTION According to this invention, the mechanism which raises the confidentiality of data and prevents falsification of the access history of a data storage device can be provided at low cost.

以下、本発明に係る各実施形態を、図1ないし図6を用いて説明する。   Embodiments according to the present invention will be described below with reference to FIGS.

〔実施形態1〕
以下、本発明に係る第一の実施形態を、図1ないし図4を用いて説明する。
図1は、本発明の第一の実施形態に係るデータ記憶装置の内部構成図である。
図2は、アクセス履歴32のデータ構造の一例を示す図である。
図3は、本発明の第一の実施形態において外部の計算機からアクセスするときの手順を示すフローチャートである。
図4は、管理サーバー7の認証を説明する図である。 Embodiment 1
A first embodiment according to the present invention will be described below with reference to FIGS.
FIG. 1 is an internal configuration diagram of a data storage device according to the first embodiment of the present invention.
FIG. 2 is a diagram illustrating an example of the data structure of the access history 32.
FIG. 3 is a flowchart showing a procedure when accessing from an external computer in the first embodiment of the present invention.
FIG. 4 is a diagram for explaining the authentication of the management server 7.

本実施形態のデータ記憶装置は、磁気ディスク装置を例に採り説明するが、本発明は、他の記憶装置、例えば、フラッシュメモリスティック、各種規格のメモリカード、ICカードなどに適用可能である。   The data storage device of the present embodiment will be described by taking a magnetic disk device as an example, but the present invention is applicable to other storage devices such as flash memory sticks, memory cards of various standards, IC cards, and the like.

本実施形態のデータ記憶装置1は、制御部2と記憶媒体3から構成される。制御部2は、ネットワークインタフェース201、CPU202、ディスクヘッド制御部203、RAM(随時読み出し書き込み可能メモリ)204、ROM(読み出し専用メモリ)205、EEPROM(電気的消去可能メモリ)206から構成される。ここで外部とのインターフェイスとして、ネットワークインターフェイス201の場合を説明したが、他のインターフェイス、例えば、USBなどのポートインターフェイス、バスインターフェイスなどでもよい。   The data storage device 1 according to the present embodiment includes a control unit 2 and a storage medium 3. The control unit 2 includes a network interface 201, a CPU 202, a disk head control unit 203, a RAM (anytime read / write memory) 204, a ROM (read only memory) 205, and an EEPROM (electrically erasable memory) 206. Here, the case of the network interface 201 has been described as an interface with the outside, but other interfaces such as a port interface such as a USB, a bus interface, and the like may be used.

EEPROM206には、クライアント認証鍵601、管理サーバー認証鍵602、MAC生成鍵603、データ暗号化鍵604、アクセス履歴形式情報605が格納されている。   The EEPROM 206 stores a client authentication key 601, a management server authentication key 602, a MAC generation key 603, a data encryption key 604, and access history format information 605.

クライアント認証鍵601は、このデータ記憶装置1にアクセスするアクセス元の計算機であるクライアントを認証するための鍵である。このクライアント認証鍵601を用いたクライアントの認証方法は、後に説明する。   The client authentication key 601 is a key for authenticating a client that is an access source computer that accesses the data storage device 1. A client authentication method using the client authentication key 601 will be described later.

管理サーバー認証鍵602は、このデータ記憶装置1の構成情報を変更可能な管理サーバー602を認証するための鍵である。データ記憶装置1の構成情報と管理サーバー602については、後に説明する。   The management server authentication key 602 is a key for authenticating the management server 602 that can change the configuration information of the data storage device 1. The configuration information of the data storage device 1 and the management server 602 will be described later.

MAC生成鍵603は、メッセージ認証コード(MAC)33を生成するための鍵である。   The MAC generation key 603 is a key for generating a message authentication code (MAC) 33.

データ暗号化鍵604は、外部からのデータを暗号化して記憶媒体3に書き込むための鍵である。   The data encryption key 604 is a key for encrypting external data and writing it to the storage medium 3.

記憶媒体3には、データ31、アクセス履歴32、アクセス記録のメッセージ認証コード(MAC)33が格納される。   The storage medium 3 stores data 31, access history 32, and access record message authentication code (MAC) 33.

アクセス履歴32の形式については、次に説明する。   The format of the access history 32 will be described next.

メッセージ認証コード33は、アクセス履歴32のレコードの一部、または、ハッシュ関数などにより一部を取り出したデータを、EEPROM中に格納されたメッセージ認証コード生成用鍵603によって暗号化されて格納されるコードである。(この技術については、上記非特許文献1に記載がある。)
したがって、アクセス履歴32を改竄した場合には、メッセージ認証コード生成用鍵603により再び暗号化した結果と、メッセージ認証コード33が異なることになるため不正な改竄などを発見することができる。 The message authentication code 33 is stored by encrypting a part of the record of the access history 32 or data extracted by a hash function or the like with the message authentication code generation key 603 stored in the EEPROM. Code. (This technology is described in Non-Patent Document 1 above.)
Therefore, when the access history 32 is tampered with, the message authentication code 33 is different from the result of re-encryption with the message authentication code generation key 603, so that unauthorized tampering can be found.

これは、アクセス履歴32などを監査したい場合に、この記憶装置に監査コマンドを送信することにより、結果を出力させてそれをチェックすることができる。   When the access history 32 or the like is to be audited, the audit command is transmitted to this storage device, so that the result can be output and checked.

次に、図2を用いてアクセス履歴32のデータ構造を説明する。   Next, the data structure of the access history 32 will be described with reference to FIG.

記憶媒体に記録されたファイルへのアクセスが発生する毎に、アクセス履歴32に1レコードが追加される。アクセス履歴32の各レコードは、トランザクションID321、アクセス元ID322、アクセス元アプリケーション323、アクセス元ユーザー名324、ファイル名325、アクセス時刻326、アクセスタイプ327の各フィールドから構成される。   Each time an access to a file recorded on the storage medium occurs, one record is added to the access history 32. Each record of the access history 32 includes fields of transaction ID 321, access source ID 322, access source application 323, access source user name 324, file name 325, access time 326, and access type 327.

トランザクションID321は、ディスク装置が受け付けたデータアクセス処理に時系列的に番号を付けたものである。   The transaction ID 321 is a time-sequential number assigned to the data access processing accepted by the disk device.

アクセス元ID322は、アクセス元計算機のIDである。   The access source ID 322 is the ID of the access source computer.

アプリケーション323は、アクセス元のアプリケーションソフトウェアの名称やコードなどである。   The application 323 is the name and code of the access source application software.

ユーザー324は、アクセス元の計算機およびアプリケーションソフトウェアを使用しているユーザーのユーザIDやユーザ名称などである。   The user 324 is a user ID or a user name of a user who is using the access source computer and application software.

ファイル名325は、アクセス対象のファイル名、時刻326は当該トランザクションが発生または終了した時刻である。   The file name 325 is the name of the file to be accessed, and the time 326 is the time when the transaction occurred or ended.

アクセスタイプ327には、ファイルに対する読み出し、書き込み、作成、消去等のアクセスの種類を記録する。   The access type 327 records the type of access such as reading, writing, creating, and erasing the file.

次に、図1および図3を参照しつつ、アクセス元の計算機からデータ記憶装置1に格納されたファイルへのアクセスが発生したときのデータ記憶装置1の動作を説明する。前提として、記憶媒体3に格納されているデータ31は、データ暗号化鍵604によって暗号化されているものとする。   Next, the operation of the data storage device 1 when an access to a file stored in the data storage device 1 occurs from the access source computer will be described with reference to FIGS. 1 and 3. It is assumed that the data 31 stored in the storage medium 3 is encrypted with the data encryption key 604.

データ記憶装置1は、ネットワークインタフェース201を介してアクセス要求を受けると(501)アクセス要求元の認証をおこなう。アクセス要求元の認証は、例えば、アクセス要求元が予め配布された共通の暗号鍵を所有していることを確認することによっておこなう。この方法では、例えば、データ記憶装置1はアクセス要求元に秘密の乱数を送り、アクセス要求元の計算機はディスク装置と共有している暗号鍵を用いてこの乱数を暗号化してディスク装置に返送し、ディスク装置が同じ暗号鍵を用いてこれを復号化し元の乱数と一致することを確認することで実現される。   When the data storage device 1 receives an access request via the network interface 201 (501), it authenticates the access request source. Authentication of the access request source is performed by, for example, confirming that the access request source has a common encryption key distributed in advance. In this method, for example, the data storage device 1 sends a secret random number to the access request source, and the access request source computer encrypts this random number using the encryption key shared with the disk device and returns it to the disk device. The disk device is realized by decrypting it using the same encryption key and confirming that it matches the original random number.

アクセス要求元の認証が失敗した場合は、データ記憶装置1は不許可応答をおこなう(510)。アクセス要求元の認証が成功すると、データ記憶装置1は引き続いてアクセス権の照合をおこなう(503)。アクセス権照合503は、アクセス要求の種類と、アクセス要求元が有する権限とを照合し、アクセス要求元の計算機、アプリケーション、ユーザーが適切なアクセス権をもつか否かの検査をおこなう。アクセス権の種類としては、データ読み出し許可、データ読み出し書き込み許可、構成情報のみ読み出し許可等の種類がある。   If authentication of the access request source fails, the data storage device 1 makes a non-permission response (510). If the authentication of the access request source is successful, the data storage device 1 subsequently verifies the access right (503). The access right verification 503 compares the type of access request with the authority of the access request source, and checks whether the computer, application, and user of the access request source have an appropriate access right. Types of access rights include data read permission, data read / write permission, and configuration information read permission.

アクセス権照合が失敗した場合、データ記憶装置1は不許可応答をおこなう(510)。   If the access right verification fails, the data storage device 1 makes a non-permission response (510).

アクセス権照合が成功すると、ディスク制御部2はアクセス記録の生成をおこない(504)、さらに、そのアクセス記録のメッセージ認証コード33の生成をおこない(505)、アクセス履歴32およびメッセージ認証コード33を記憶媒体3のアクセス履歴記録領域とメッセージ認証コード記録領域33に書き込む。   When the access right verification is successful, the disk control unit 2 generates an access record (504), further generates a message authentication code 33 for the access record (505), and stores the access history 32 and the message authentication code 33. Write to the access history recording area and the message authentication code recording area 33 of the medium 3.

続いて、データ記憶装置1の制御部2は、記憶媒体3からアクセス対象データを読み出し(507)、データ暗号化鍵604によるデータの復号化をおこない(508)、データをアクセス要求元に送信する(509)。   Subsequently, the control unit 2 of the data storage device 1 reads access target data from the storage medium 3 (507), decrypts the data with the data encryption key 604 (508), and transmits the data to the access request source. (509).

なお、アクセス権照合が失敗した場合にも同様にアクセス履歴を生成・記録するように構成することも可能である。この場合、アクセスタイプ327には、アクセス権不一致を示す情報を記録する。   It should be noted that the access history can be generated and recorded in the same manner even when the access right verification fails. In this case, information indicating access right mismatch is recorded in the access type 327.

次に、図4を用いて管理サーバー7の認証と、このデータ記憶装置1の構成情報の変更について説明する。   Next, the authentication of the management server 7 and the change of the configuration information of the data storage device 1 will be described with reference to FIG.

管理サーバー7は、このデータ記憶装置1の構成情報を変更できるサーバーである。   The management server 7 is a server that can change the configuration information of the data storage device 1.

ここで、データ記憶装置1の構成情報とは、データ入出力の正当性とアクセス履歴の正当性とを保証するための情報であり、具体的には、アクセス履歴形式605、クライアント認証の方法(クライアント認証鍵601の使用の有無、形式など)、管理サーバー認証の方法(管理サーバー認証鍵602の使用の有無、形式など)、データの暗号化の方法(データ暗号化鍵604の使用の有無、形式など)、アクセス履歴のメッセージ認証の方法(メッセージ生成用鍵603の形式など)などである。   Here, the configuration information of the data storage device 1 is information for assuring the validity of data input / output and the validity of the access history. Specifically, the access history format 605, the client authentication method ( Whether or not the client authentication key 601 is used, the format, etc.), the management server authentication method (whether the management server authentication key 602 is used, the format, etc.), the data encryption method (the use of the data encryption key 604, Format), a message authentication method of the access history (format of the message generation key 603, etc.), etc.

管理サーバー7は、管理サーバー認証鍵701を有してなり、管理サーバー7によるディスク装置2のアクセス履歴記録方法を設定または変更は、ディスク装置2内の上記に関する制御情報を書き換えることによっておこなわれる。   The management server 7 has a management server authentication key 701, and setting or changing the access history recording method of the disk device 2 by the management server 7 is performed by rewriting the control information related to the above in the disk device 2.

この際、データ記憶装置1は、管理サーバー認証鍵602を用いて管理サーバー7の認証をおこない、ディスク装置に予め登録された管理サーバーにのみ上記の構成情報の変更を許可する。   At this time, the data storage device 1 authenticates the management server 7 using the management server authentication key 602 and permits the change of the configuration information only to the management server registered in advance in the disk device.

図4に示された例では、データ記憶装置1で管理サーバー認証鍵602による認証と、管理サーバID604の認証をおこなって双方で認められたときにのみ、上記の構成情報の変更を許可されることにしている。   In the example shown in FIG. 4, the change of the configuration information is permitted only when the authentication by the management server authentication key 602 and the authentication of the management server ID 604 are performed in the data storage device 1 and both are recognized. I have decided.

これにより、構成情報を不正に操作してアクセス記録の保存内容を変更し、またはアクセス記録の保存を停止するような攻撃を阻止することができる。   Thereby, it is possible to prevent an attack that illegally manipulates the configuration information to change the stored content of the access record or stop the storage of the access record.

管理サーバID604の認証は、管理サーバー7から自らのIDを送信し、それと一致するか確かめることによっておこなう。   Authentication of the management server ID 604 is performed by transmitting its own ID from the management server 7 and confirming whether or not it matches.

管理サーバー認証鍵による認証を、秘密鍵暗号方式でおこなう場合には、管理サーバー7の有する管理サーバー認証鍵701と、データ記憶装置1の有する管理サーバー認証鍵602は、共通の暗号鍵を用いる。   When authentication using the management server authentication key is performed by a secret key encryption method, the management server authentication key 701 included in the management server 7 and the management server authentication key 602 included in the data storage device 1 use a common encryption key.

また、管理サーバー認証鍵による認証は、公開鍵暗号方式を用いておこなうこともできる。その際に、データ記憶装置1の管理サーバー認証鍵603は、公開鍵暗号の公開鍵を用い、管理サーバー7の管理サーバー認証鍵702は、それに対応する秘密鍵を用いればよい。例えば、データ記憶装置1は、管理サーバー7に乱数データを送信する。管理サーバー7は、秘密鍵である管理サーバー認証鍵702によりそのデータを暗号化して、データ記憶装置1に送り返す。データ記憶装置1は、公開鍵である管理サーバー認証鍵603により、それを複合化して元の乱数データと一致するかを検証すればよい。   Authentication using the management server authentication key can also be performed using a public key cryptosystem. At this time, the management server authentication key 603 of the data storage device 1 may be a public key encryption public key, and the management server authentication key 702 of the management server 7 may be a corresponding private key. For example, the data storage device 1 transmits random number data to the management server 7. The management server 7 encrypts the data with the management server authentication key 702 that is a secret key, and sends it back to the data storage device 1. The data storage device 1 only has to verify whether it matches the original random number data by decrypting it with the management server authentication key 603 that is a public key.

この方法は、データ記憶装置1の鍵の管理が楽になるのが利点である。   This method has an advantage that the key management of the data storage device 1 becomes easy.

〔実施形態2〕
以下、本発明に係る第二の実施形態を、図5および図6を用いて説明する。
図5は、本発明の第二の実施形態に係るデータ記憶装置の内部構成図である。
図6は、本発明の第二の実施形態において外部の計算機からアクセスするときの手順を示すフローチャートである。 [Embodiment 2]
Hereinafter, a second embodiment according to the present invention will be described with reference to FIGS. 5 and 6.
FIG. 5 is an internal block diagram of the data storage device according to the second embodiment of the present invention.
FIG. 6 is a flowchart showing a procedure when accessing from an external computer in the second embodiment of the present invention.

ディスク装置の制御部2は耐タンパモジュール207を備える。耐タンパモジュール207には、マイクロコントローラ208、乱数生成期209、RAM210、ROM212、EEPROM212を備え、EEPROM212にはクライアント認証鍵601、管理サーバー認証鍵602、MAC生成鍵603、データ暗号化鍵604、アクセス履歴形式情報605が格納されている。耐タンパモジュール207は、例えば、ICカード用LSIのようなセキュリティモジュールであり、例えば、電流値や電磁波を読み取ってそれを測定するなどの物理的な手法を用いても内部のデータを読みとることが困難なように、内部が暗号化されているなどの耐タンパ技術が施されたデバイスである。   The control unit 2 of the disk device includes a tamper resistant module 207. The tamper resistant module 207 includes a microcontroller 208, a random number generation period 209, a RAM 210, a ROM 212, and an EEPROM 212. The EEPROM 212 includes a client authentication key 601, a management server authentication key 602, a MAC generation key 603, a data encryption key 604, and an access. History format information 605 is stored. The tamper resistant module 207 is a security module such as an LSI for an IC card, for example, and can read internal data even by using a physical method such as reading a current value or electromagnetic wave and measuring it. It is a device that has been tamper-resistant, such as the inside being encrypted so that it is difficult.

次に、図6を用いてアクセス元の計算機からデータ記憶装置1に格納されたファイルへのアクセスが発生したときのデータ記憶装置1の動作を説明する。   Next, the operation of the data storage device 1 when an access to a file stored in the data storage device 1 occurs from the access source computer will be described with reference to FIG.

データ記憶装置1は、ネットワークインタフェース201を介してアクセス要求を受けると(521)、アクセス要求元の認証をおこなう(522)。アクセス要求元の認証は、たとえばアクセス要求元が予め配布された共通の暗号鍵を所有していることを確認することによっておこなう。例えば、耐タンパモジュール207は乱数生成器209を用いて乱数を生成し、制御部のCPU202はその生成された乱数データを読み出してアクセス要求元に送る。アクセス要求元の計算機は、ディスク装置と共有している暗号鍵を用いてこの乱数を暗号化してディスク装置に返送する。制御部のCPU202は、これを耐タンパモジュール207に送り、耐タンパモジュール207は、同じ暗号鍵を用いてこれを復号化し元の乱数と一致することを確認することで実現される。耐タンパモジュール207は、認証が成功するとそれを制御部のCPU202に伝える。   When receiving an access request via the network interface 201 (521), the data storage device 1 authenticates the access request source (522). The access request source is authenticated by, for example, confirming that the access request source has a common encryption key distributed in advance. For example, the tamper resistant module 207 generates a random number using the random number generator 209, and the CPU 202 of the control unit reads the generated random number data and sends it to the access request source. The access request source computer encrypts this random number using the encryption key shared with the disk device and returns it to the disk device. The CPU 202 of the control unit sends this to the tamper resistant module 207, and the tamper resistant module 207 is realized by decrypting it using the same encryption key and confirming that it matches the original random number. When the authentication is successful, the tamper resistant module 207 notifies the CPU 202 of the control unit.

アクセス要求元の認証が失敗した場合は、データ記憶装置1は不許可応答をおこなう。   If the authentication of the access request source fails, the data storage device 1 makes a non-permission response.

アクセス要求元の認証が成功すると、データ記憶装置1は引き続いてアクセス権の照合をおこなう。アクセス権照合503は、アクセス要求の種類と、アクセス要求元が有する権限とを照合し、アクセス要求元の計算機、アプリケーション、ユーザーが適切なアクセス権をもつかどうかの検査をおこなう。この検査の方法は、第一の実施形態とまったく同じである。アクセス権照合が失敗した場合には、データ記憶装置1は不許可応答をおこなう。アクセス権照合が成功すると、ディスク制御部2はアクセス記録を生成し(524)、そのアクセス記録を耐タンパモジュール207に送り、耐タンパモジュール207は、MAC生成鍵604を用いてそのアクセス記録のメッセージ認証コード33を生成する。制御部2は、アクセス履歴32とメッセージ認証コード33を記憶媒体3のアクセス履歴記録領域とメッセージ認証コード記録領域33に書き込む。   If the authentication of the access request source is successful, the data storage device 1 subsequently verifies the access right. The access right collation 503 collates the type of access request with the authority of the access request source, and checks whether the access request source computer, application, or user has an appropriate access right. This inspection method is exactly the same as in the first embodiment. If the access right verification fails, the data storage device 1 makes a non-permission response. When the access right verification is successful, the disk control unit 2 generates an access record (524), sends the access record to the tamper resistant module 207, and the tamper resistant module 207 uses the MAC generation key 604 to send the message of the access record. An authentication code 33 is generated. The control unit 2 writes the access history 32 and the message authentication code 33 in the access history recording area and the message authentication code recording area 33 of the storage medium 3.

アクセス元の認証が失敗した場合にも同様にアクセス履歴を生成・記録するように構成することも可能である。   It is also possible to configure so that an access history is generated and recorded in the same manner when access source authentication fails.

次に、データ記憶装置1の制御部2は、記憶媒体3からアクセス対象データを読み出し(507)、データ暗号化鍵による復号化をおこない(508)、データをアクセス要求元に送信する(509)。   Next, the control unit 2 of the data storage device 1 reads the access target data from the storage medium 3 (507), performs decryption with the data encryption key (508), and transmits the data to the access request source (509). .

また、管理サーバーによってデータ記憶装置1の構成情報を変更する際には、ディスク装置2は、管理サーバーの認証をおこなうが、第二の実施形態においてはこの認証処理は、耐タンパモジュール207によっておこなわれる。   When the configuration information of the data storage device 1 is changed by the management server, the disk device 2 authenticates the management server. In the second embodiment, this authentication process is performed by the tamper resistant module 207. It is.

本実施形態によれば、クライアント認証鍵601、管理サーバー認証鍵603、MAC生成鍵603、データ暗号化鍵604、およびアクセス履歴形式情報605は、すべて耐タンパモジュール207内に格納される。また、アクセス元認証処理、管理サーバー認証処理、アクセス記録のメッセージ認証コード生成処理は耐タンパモジュール207の内部で実行される。これにより、物理的方法を用いてもこれらの鍵を読み出すことが一層困難になる。   According to this embodiment, the client authentication key 601, management server authentication key 603, MAC generation key 603, data encryption key 604, and access history format information 605 are all stored in the tamper resistant module 207. Further, the access source authentication process, the management server authentication process, and the access record message authentication code generation process are executed inside the tamper resistant module 207. This makes it even more difficult to read these keys using physical methods.

本発明の第一の実施形態に係るデータ記憶装置の内部構成図である。It is an internal block diagram of the data storage device which concerns on 1st embodiment of this invention. アクセス履歴32のデータ構造の一例を示す図である。6 is a diagram illustrating an example of a data structure of an access history 32. FIG. 本発明の第一の実施形態において外部の計算機からアクセスするときの手順を示すフローチャートである。It is a flowchart which shows the procedure at the time of accessing from the external computer in 1st embodiment of this invention. 管理サーバー7の認証を説明する図である。It is a figure explaining the authentication of the management server. 本発明の第二の実施形態に係るデータ記憶装置の内部構成図である。It is an internal block diagram of the data storage device which concerns on 2nd embodiment of this invention. 本発明の第二の実施形態において外部の計算機からアクセスするときの手順を示すフローチャートである。It is a flowchart which shows the procedure when accessing from an external computer in 2nd embodiment of this invention.

Claims (11)

外部との入出力インタフェースを備え、データの読み出しと書き込みをおこなう記憶媒体と、前記記憶媒体への入出力を制御する制御部とを有するデータ記憶装置において、
前記制御部は、前記外部との入出力インターフェイスを介した入出力のアクセス履歴を生成し、そのアクセス履歴を前記記憶媒体に記録することを特徴とするデータ記憶装置。 In a data storage device having an input / output interface with the outside, a storage medium for reading and writing data, and a control unit for controlling input / output to the storage medium,
The data storage device, wherein the control unit generates an input / output access history via the external input / output interface, and records the access history in the storage medium. 前記制御部は、前記アクセス履歴の正当性を保証するための付加的情報を生成し、前記記憶媒体に記録することを特徴とする請求項1記載のデータ記憶装置。   The data storage device according to claim 1, wherein the control unit generates additional information for guaranteeing the validity of the access history and records the additional information on the storage medium. 前記アクセス履歴の正当性を保証するための付加的情報は、各アクセス履歴に対して付されるメッセージ認証コードであって、前記メッセージ認証コードを生成する鍵データ格納する記憶部を有することを特徴とする請求項2記載のデータ記憶装置。   The additional information for guaranteeing the legitimacy of the access history is a message authentication code attached to each access history, and has a storage unit for storing key data for generating the message authentication code. The data storage device according to claim 2. 前記外部からのデータアクセスの正当性とアクセス履歴の正当性とを保証するための構成情報の変更をおこなう計算機を認証することを特徴とする請求項1記載のデータ記憶装置。   2. The data storage device according to claim 1, wherein a computer that changes the configuration information for guaranteeing the validity of the external data access and the validity of the access history is authenticated. 前記外部からのデータアクセスの正当性とアクセス履歴の正当性とを保証するための構成情報の変更をおこなう計算機の認証を、登録された計算機の識別番号をによっておこなうことを特徴とする請求項4記載のデータ記憶装置。   5. The computer authentication for changing the configuration information for guaranteeing the validity of the external data access and the validity of the access history is performed by using the identification number of the registered computer. The data storage device described. データ記憶装置と構成情報の変更をおこなう計算機とが共通の暗号鍵を有し、その暗号鍵を用いて、このデータ記憶装置が前記構成情報の変更をおこなう計算機の認証をおこなうこと特徴とする請求項4のデータ記憶装置。   The data storage device and the computer that changes the configuration information have a common encryption key, and the data storage device authenticates the computer that changes the configuration information by using the encryption key. Item 5. A data storage device according to item 4. 前記外部からのデータアクセスの正当性とアクセス履歴の正当性とを保証するための構成情報の変更をおこなう計算機が、公開鍵暗号の秘密鍵を有し、
データ記憶装置が、その秘密鍵に対応する公開鍵を有し、前記公開鍵により前記構成情報の変更をおこなう計算機の有する秘密鍵の正当性をチェックすることにより、前記構成情報の変更をおこなう計算機の認証をおこなうこと特徴とする請求項4のデータ記憶装置。 The computer that changes the configuration information for ensuring the validity of the external data access and the validity of the access history has a secret key for public key cryptography,
A data storage device having a public key corresponding to the secret key, and a computer that changes the configuration information by checking the validity of the secret key of the computer that changes the configuration information using the public key 5. The data storage device according to claim 4, wherein authentication is performed. 耐タンパモジュールを有し、前記耐タンパモジュールに前記メッセージ認証コードを生成する鍵データ格納することを特徴とする請求項3記載のデータ記憶装置。   4. The data storage device according to claim 3, further comprising a tamper resistant module, wherein key data for generating the message authentication code is stored in the tamper resistant module. 耐タンパモジュールを有し、前記耐タンパモジュール内において、前記構成情報の変更をおこなう計算機を認証をおこなうことを特徴とする請求項4記載のデータ記憶装置。   5. The data storage device according to claim 4, further comprising a tamper-resistant module, wherein a computer that changes the configuration information is authenticated in the tamper-resistant module. 耐タンパモジュールを有し、前記耐タンパモジュール内において、前記外部からのデータアクセスの正当性の判定をおこなうことを特徴とする請求項1記載のデータ記憶装置。   The data storage device according to claim 1, further comprising a tamper resistant module, wherein the validity of data access from the outside is determined in the tamper resistant module. 前記耐タンパモジュール内に乱数生成装置と認証鍵とを有し、前記乱数生成装置により生成された乱数データと前記認証鍵により、このデータ記憶装置をアクセスする計算機の正当性を判定することを特徴とする請求項10記載のデータ記憶装置。
The tamper resistant module has a random number generation device and an authentication key, and the randomness data generated by the random number generation device and the authentication key are used to determine the validity of a computer that accesses the data storage device. The data storage device according to claim 10.
JP2004295654A 2004-10-08 2004-10-08 Data storage device Pending JP2006107305A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004295654A JP2006107305A (en) 2004-10-08 2004-10-08 Data storage device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004295654A JP2006107305A (en) 2004-10-08 2004-10-08 Data storage device

Publications (1)

Publication Number Publication Date
JP2006107305A true JP2006107305A (en) 2006-04-20

Family

ID=36376949

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004295654A Pending JP2006107305A (en) 2004-10-08 2004-10-08 Data storage device

Country Status (1)

Country Link
JP (1) JP2006107305A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007310579A (en) * 2006-05-17 2007-11-29 Fujitsu Ltd Document access management program, document access management device and document access management method
JP2009205627A (en) * 2008-02-29 2009-09-10 Fujitsu Ltd Storage area allocation method and information processor

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007310579A (en) * 2006-05-17 2007-11-29 Fujitsu Ltd Document access management program, document access management device and document access management method
JP2009205627A (en) * 2008-02-29 2009-09-10 Fujitsu Ltd Storage area allocation method and information processor

Similar Documents

Publication Publication Date Title
EP0895148B1 (en) Software rental system and method for renting software
US6871278B1 (en) Secure transactions with passive storage media
JP4550050B2 (en) Usage authentication method, usage authentication program, information processing apparatus, and recording medium
JP4463887B2 (en) Protected storage of core data secrets
US8555075B2 (en) Methods and system for storing and retrieving identity mapping information
JP3614057B2 (en) Access qualification authentication method and apparatus, and auxiliary information creation method and apparatus for certification
CN109376504A (en) A kind of picture method for secret protection based on block chain technology
US7844832B2 (en) System and method for data source authentication and protection system using biometrics for openly exchanged computer files
US20050060568A1 (en) Controlling access to data
US20050060561A1 (en) Protection of data
JP2004295271A (en) Card and pass code generator
JP2003058840A (en) Information protection management program utilizing rfid-loaded computer recording medium
EP1365306A2 (en) Data protection system
US20090287942A1 (en) Clock roll forward detection
US20080263630A1 (en) Confidential File Protecting Method and Confidential File Protecting Device for Security Measure Application
Mavrovouniotis et al. Hardware security modules
CN110837634B (en) Electronic signature method based on hardware encryption machine
JP2008005408A (en) Recorded data processing apparatus
JP4673150B2 (en) Digital content distribution system and token device
JP2001337600A (en) Electronic data storage system, history verifying device, electronic data storing method and recording medium
CN113806785B (en) Method and system for carrying out security protection on electronic document
JP4765262B2 (en) Electronic data storage device, program
JP2006107305A (en) Data storage device
JP4710232B2 (en) Electronic data storage system that stores electronic data while guaranteeing the evidence
CN116599750A (en) System and method for ensuring traceability of data change by utilizing encryption technology