JP2007026105A - Device, method, and program for file management - Google Patents

Device, method, and program for file management Download PDF

Info

Publication number
JP2007026105A
JP2007026105A JP2005207566A JP2005207566A JP2007026105A JP 2007026105 A JP2007026105 A JP 2007026105A JP 2005207566 A JP2005207566 A JP 2005207566A JP 2005207566 A JP2005207566 A JP 2005207566A JP 2007026105 A JP2007026105 A JP 2007026105A
Authority
JP
Japan
Prior art keywords
file
encryption
encrypted
management
determined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005207566A
Other languages
Japanese (ja)
Inventor
Akiyoshi Osugi
彰義 大杉
Shunichi Ota
俊一 太田
Mitsuhisa Nezu
満尚 根津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2005207566A priority Critical patent/JP2007026105A/en
Publication of JP2007026105A publication Critical patent/JP2007026105A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a device and a method for file management that can avoid performance loss during ciphering/deciphering processing of a file. <P>SOLUTION: At a request to write an application file, the file is read in a RAM 14 as a work area to automatically judge whether the file 50 is an object to be ciphered in a layer below an OS based upon a data pattern 52 in the file 50. When it is judged that the file is an object to be ciphered, a ciphering program stored in a ROM 12 is read out to cipher the file 50 according to the program. Then a ciphered information header 56 is added to the ciphered file 54, which is stored on an HDD 16 together with the added ciphered information header 56. Also, when it is judged that the file is not an object to be ciphered, the file 50 is stored on the HDD 16 without being ciphered. Consequently, files which are ciphered and not ciphered are stored on the HDD 16, and both the files are mixedly managed. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ファイル管理装置、ファイル管理方法、及びファイル管理プログラムにかかり、特に、ファイルの書き込み時又は読み出し時に、ファイルの暗号化/復号化の必要性を自動的に判別するファイル管理装置、ファイル管理方法、及びファイル管理プログラム
に関する。
The present invention relates to a file management device, a file management method, and a file management program, and in particular, a file management device that automatically determines the necessity of file encryption / decryption when writing or reading a file, and a file The present invention relates to a management method and a file management program.

近時、情報漏えい防止の観点から、オペレーション・システム(以下、「OS」という。)以下のレベルで、電子ファイルを暗号化して保存するファイル管理方法が種々検討されている。図12に示すように、OS以下のシステムにファイルの暗号化/復号化処理を行う機能を導入することで、上位アプリケーションの変更が不要になり、汎用性が確保される。即ち、上位アプリケーションでは、ファイルの暗号化/復号化処理を意識せずに、ファイルアクセスを行うことができる。   Recently, from the viewpoint of preventing information leakage, various file management methods for encrypting and storing electronic files at a level below an operation system (hereinafter referred to as “OS”) have been studied. As shown in FIG. 12, by introducing a function of performing file encryption / decryption processing into a system below the OS, it is not necessary to change the upper application, and versatility is ensured. That is, the host application can perform file access without being conscious of file encryption / decryption processing.

例えば、コンピュータの記憶領域に暗号化対象領域(暗号化フォルダ)と非暗号化対象領域(非暗号化フォルダ)とを設定し、非暗号化対象領域に記憶された電子ファイルを暗号化対象領域へ移動させた場合に該電子ファイルを自動的に暗号化し、暗号化対象領域から非暗号化対象領域へ移動させた場合に自動的に復号化する電子ファイルの暗号化/復号処理方法が提案されている(特許文献1)。
特開2002−215463号公報
For example, an encryption target area (encryption folder) and a non-encryption target area (non-encryption folder) are set in the storage area of the computer, and an electronic file stored in the non-encryption target area is transferred to the encryption target area. An electronic file encryption / decryption processing method has been proposed in which the electronic file is automatically encrypted when moved and automatically decrypted when moved from the encryption target area to the non-encryption target area. (Patent Document 1).
JP 2002-215463 A

しかしながら、特許文献1に記載された方法では、オペレータが電子ファイルを暗号化するか否かを判断し、暗号化すると判断した場合に、図13に示すように、ユーザがドラッグ&ドロップで電子ファイルを非暗号化フォルダから暗号化フォルダへ移動させており、ファイルの移動操作に伴うパフォーマンスロスが発生する、という問題がある。特に、近時のOS動作の高速化に伴い、より高速なファイルアクセスが要求されており、余計なパフォーマンスロスは回避する必要がある。   However, in the method described in Patent Document 1, when an operator determines whether or not to encrypt an electronic file and determines to encrypt the electronic file, the user can drag and drop the electronic file as shown in FIG. Is moved from the non-encrypted folder to the encrypted folder, and there is a problem in that a performance loss accompanying the file moving operation occurs. In particular, with the recent increase in OS operation speed, higher-speed file access is required, and it is necessary to avoid extra performance loss.

また、従来のファイル管理方法では、ハードディスク(HDD)全体或いはHDD内のファイル全部を暗号化する方法、又は特許文献1に記載されているようにフォルダ別に暗号化・非暗号化を行うファイル管理方式を採用しているが、扱うデータのすべてが必ずしも機密情報を含むわけではなく、ファイル毎に暗号化すべきである。しかしながら、組み込み系では、ファイル毎に暗号化の可否を判断することは難しい。また、ファイル毎に暗号化した場合、ディレクトリ構造やファイル管理が複雑になったり、パテーション数、ファイル数、ファイルサイズが増加する、という問題がある。   Further, in the conventional file management method, a method of encrypting the entire hard disk (HDD) or all files in the HDD, or a file management method for performing encryption / non-encryption for each folder as described in Patent Document 1 However, not all of the data to be handled necessarily contains confidential information and should be encrypted for each file. However, in the embedded system, it is difficult to determine whether encryption is possible for each file. In addition, when encryption is performed for each file, there are problems that the directory structure and file management become complicated, and the number of partitions, the number of files, and the file size increase.

本発明は、上記問題を解決すべく成されたものであり、本発明の目的は、ファイルの暗号化/復号化処理時にパフォーマンスロスの発生を回避することができるファイル管理装置、ファイル管理方法、及びファイル管理プログラムを提供することにある。   The present invention has been made to solve the above problems, and an object of the present invention is to provide a file management apparatus, a file management method, and a file management apparatus capable of avoiding performance loss during file encryption / decryption processing, And providing a file management program.

上記目的を達成するために本発明の第1のファイル管理装置は、ファイルを記憶する記憶手段と、前記記憶手段にファイルを記憶する前に、ファイルの暗号化の可否を示す暗号化情報に基づいて、ファイル毎に暗号化の必要性を判断する暗号化判断手段と、前記暗号化判断手段により暗号化が必要と判断されたファイルを暗号化する暗号化手段と、を備えたことを特徴とする。この第1のファイル管理装置によれば、OS以下の階層で暗号化が必要なファイルを自動的に判別して暗号化を行うので、ファイルの暗号化処理時にパフォーマンスロスの発生を回避することができる。   In order to achieve the above object, a first file management apparatus according to the present invention is based on storage means for storing a file and encryption information indicating whether or not the file can be encrypted before storing the file in the storage means. And encryption determining means for determining the necessity of encryption for each file, and encryption means for encrypting the file determined to be encrypted by the encryption determining means. To do. According to the first file management apparatus, files that need to be encrypted are automatically identified and encrypted at a level below the OS, so that performance loss can be avoided during file encryption processing. it can.

また、本発明の第2のファイル管理装置は、前記暗号化手段により暗号化されたファイルを管理するための管理情報に基づいて、ファイル毎に復号化の必要性を判断する復号化判断手段と、前記復号化判断手段により復号化が必要と判断されたファイルを復号化する復号化手段と、を更に備えたことを特徴とする。この第2のファイル管理装置によれば、OS以下の階層で復号化が必要なファイルを自動的に判別して復号化を行うので、ファイルの復号化処理時にパフォーマンスロスの発生を回避することができる。   Further, the second file management apparatus of the present invention comprises a decryption judging means for judging the necessity of decryption for each file based on management information for managing the file encrypted by the encrypting means. And a decrypting means for decrypting the file determined to be necessary for decryption by the decryption determining means. According to the second file management apparatus, a file that needs to be decrypted is automatically identified and decrypted in a hierarchy below the OS, so that it is possible to avoid the occurrence of performance loss during the decryption process of the file. it can.

以上説明したように本発明によれば、ファイルの暗号化/復号化処理時にパフォーマンスロスの発生を回避することができる、という効果がある。   As described above, according to the present invention, there is an effect that it is possible to avoid the occurrence of performance loss at the time of file encryption / decryption processing.

以下、図面を参照して本発明の実施の形態の一例を詳細に説明する。
(第1の実施の形態)
(ファイル管理装置の構成)
図1は本発明の実施の形態に係るファイル管理装置の構成図である。このファイル管理装置は、図1に示すように、装置全体の動作を司るCPU(中央処理装置)10と、後述する書き込み処理ルーチンや読み込み処理ルーチンなどのプログラムを含む各種プログラムや各種パラメータ等が予め記憶されたROM12と、CPU10による各種プログラムの実行時におけるワークエリア等として用いられるRAM14と、各種データを記憶するHDD(ハードディスク・ドライブ)16と、を備えている。また、HDD16には、ファイルを管理するファイルディレクトリ20が設けられている。
Hereinafter, an example of an embodiment of the present invention will be described in detail with reference to the drawings.
(First embodiment)
(Configuration of file management device)
FIG. 1 is a configuration diagram of a file management apparatus according to an embodiment of the present invention. As shown in FIG. 1, this file management apparatus has a CPU (central processing unit) 10 that controls the operation of the entire apparatus, various programs including various programs such as a write processing routine and a read processing routine described later, various parameters, and the like. A stored ROM 12, a RAM 14 used as a work area when the CPU 10 executes various programs, and an HDD (hard disk drive) 16 that stores various data are provided. The HDD 16 is provided with a file directory 20 for managing files.

CPU10、RAM12、及びROM14は、システムバス18を介して相互に接続されている。また、HDD16は、HDDを制御するHDDコントローラ21及びシステムバス18を介して、CPU10、RAM12、及びROM14と相互に接続されている。
(ファイル書き込み処理)
まず、アプリケーションがメモリ上で一時作成したアプリケーションファイルの書き込み要求があった場合のファイル書き込み処理について説明する。図2はファイル書き込み処理の手順を示す模式図であり、図3はCPU10が実行するファイル書き込み処理の処理ルーチンを示すフローチャートである。
The CPU 10, RAM 12, and ROM 14 are connected to each other via a system bus 18. The HDD 16 is connected to the CPU 10, the RAM 12, and the ROM 14 via an HDD controller 21 that controls the HDD and a system bus 18.
(File writing process)
First, a file writing process when there is a request for writing an application file temporarily created in the memory by the application will be described. FIG. 2 is a schematic diagram showing a procedure of the file writing process, and FIG. 3 is a flowchart showing a processing routine of the file writing process executed by the CPU 10.

図3に示すように、アプリケーションファイルの書き込み要求があると、ステップ100で、ファイルをワークエリアであるRAM14に読み込み、ファイル50のデータ内の任意のエリアに書かれているデータパターン52に基づいて、OS以下の階層でファイル50が暗号化すべき対象である(暗号化対象)か否かを自動判断する(図2(A))。データパターン52としては、画像ファイルのヘッダー情報、データパターン、データサイズ等が挙げられる。暗号化対象か否かの判断基準は、ユーザが適宜設定することもできる。   As shown in FIG. 3, when there is a request for writing an application file, in step 100, the file is read into the RAM 14 as a work area, and based on the data pattern 52 written in an arbitrary area in the data of the file 50. Then, it is automatically determined whether or not the file 50 is a target to be encrypted (encryption target) in the hierarchy below the OS (FIG. 2A). Examples of the data pattern 52 include header information, data pattern, data size, and the like of the image file. The user can set the criteria for determining whether or not to be encrypted as appropriate.

ステップ100で暗号化対象と判断された場合には、ステップ102に移行し、ROM12若しくはRAM14に記憶されたブロック暗号方式やストリーム暗号方式等を用いた暗号化プログラムを読み出し、当該プログラムに従ってファイル50を暗号化する(図2(B))。続くステップ104で、暗号化されたファイル54に暗号情報ヘッダー56を付加し(図2(C))、ステップ106で、暗号情報ヘッダー56を付加したファイル54をHDD16に格納して(図2(D))、ルーチンを終了する。一方、ステップ100で暗号化すべき対象ではない(暗号化非対象)と判断された場合には、ステップ106で、ファイル50を暗号化せずに(図2(E))、HDD16に格納して(図2(D))、ルーチンを終了する。その結果、HDD16には暗号化されたファイル(暗号化ファイル)と暗号化されていないファイル(非暗号化ファイル)とが格納され、両ファイルは混在管理されることになる。
(ファイル読み出し処理)
次に、蓄積装置に格納したアプリケーションファイルの読み出し要求があった場合のファイル読み出し処理について説明する。図4はファイル読み出し処理の手順を示す模式図であり、図5はCPUが実行するファイル読み出し処理の処理ルーチンを示すフローチャートである。
If it is determined in step 100 that the data is to be encrypted, the process proceeds to step 102 where an encryption program using a block encryption method or a stream encryption method stored in the ROM 12 or the RAM 14 is read, and the file 50 is read according to the program. Encryption is performed (FIG. 2B). In the next step 104, the encrypted information header 56 is added to the encrypted file 54 (FIG. 2C). In step 106, the file 54 to which the encrypted information header 56 is added is stored in the HDD 16 (FIG. D)), the routine is terminated. On the other hand, if it is determined in step 100 that the file is not to be encrypted (non-encrypted), the file 50 is stored in the HDD 16 without being encrypted in step 106 (FIG. 2E). (FIG. 2D), the routine is terminated. As a result, the HDD 16 stores an encrypted file (encrypted file) and an unencrypted file (unencrypted file), and both files are managed together.
(File read processing)
Next, a file reading process when there is a request for reading an application file stored in the storage device will be described. FIG. 4 is a schematic diagram showing the procedure of the file reading process, and FIG. 5 is a flowchart showing the processing routine of the file reading process executed by the CPU.

図5に示すように、アプリケーションファイルの読み出し要求があると、ステップ200で、HDD16から所望のファイルをRAM14に読み出し(図4(A))、ステップ202で、暗号情報ヘッダー56の有無により、OS以下の階層で読み出したファイルが復号化すべき対象である(復号化対象)か否かを自動判断する(図4(B))。ここで、読み出したファイルが暗号化ファイルの場合は復号化対象と判断され、非暗号化ファイルの場合は復号化非対象と判断される。   As shown in FIG. 5, when there is a request to read an application file, a desired file is read from the HDD 16 to the RAM 14 in step 200 (FIG. 4A), and the OS is checked depending on the presence or absence of the encryption information header 56 in step 202. It is automatically determined whether or not a file read in the following hierarchy is an object to be decrypted (decryption target) (FIG. 4B). Here, when the read file is an encrypted file, it is determined as a decryption target, and when it is a non-encrypted file, it is determined as a decryption non-target.

ステップ202で復号化対象と判断された場合(図4(C))には、ステップ204でファイル54から暗号情報ヘッダー56を削除する(図4(D))。続くステップ206でROM12に記憶された復号化プログラムを読み出し、当該プログラムに従ってファイル54を復号化して、復号化したファイルをユーザが指定した場所に展開し(図4(E))、ルーチンを終了する。一方、復号化非対象と判断された場合には、そのままのファイルをユーザが指定した場所に展開し(図4(E))、ルーチンを終了する。   If it is determined in step 202 that the data is to be decrypted (FIG. 4C), the encryption information header 56 is deleted from the file 54 in step 204 (FIG. 4D). In the next step 206, the decryption program stored in the ROM 12 is read out, the file 54 is decrypted according to the program, the decrypted file is expanded in the location designated by the user (FIG. 4E), and the routine is terminated. . On the other hand, if it is determined that it is not subject to decryption, the file as it is is expanded in a location designated by the user (FIG. 4E), and the routine is terminated.

以上説明した通り、本実施の形態では、暗号化ファイルと非暗号化ファイルとでHDDの記憶領域を分けることなく、暗号化ファイルと非暗号化ファイルとが混在管理されることになる。このように、システム上のファイル管理を同一領域で行うことができるので、ファイルの暗号化/復号化処理時に、ファイルの移動操作に伴うパフォーマンスロスは発生しない。   As described above, in the present embodiment, the encrypted file and the unencrypted file are managed together without dividing the HDD storage area between the encrypted file and the unencrypted file. As described above, since file management on the system can be performed in the same area, no performance loss due to the file move operation occurs during the file encryption / decryption processing.

また、本実施の形態では、OS以下の階層で暗号化/復号化処理の可否を自動判断するので、この自動判断機能を導入するに際して、上位アプリケーションの変更が不要であるため、機能の導入が簡単である。   In the present embodiment, whether or not encryption / decryption processing is possible is automatically determined at a level below the OS. Therefore, when this automatic determination function is introduced, it is not necessary to change the upper application. Simple.

更に、本実施の形態では、ファイル毎に暗号化/復号化処理を行うため、ファイル毎に異なる暗号化キーを設定することが可能である。例えば、ファイルディレクトリに使用した暗号化キーの管理番号を格納しておいて、復号化の際には、暗号化キーの管理番号を元に復号化するためのキーを用いることで、ファイル毎に異なる暗号化キーを設定しても復号化が可能となる。   Furthermore, in this embodiment, since encryption / decryption processing is performed for each file, it is possible to set a different encryption key for each file. For example, the management number of the encryption key used in the file directory is stored, and at the time of decryption, a key for decryption based on the management number of the encryption key is used for each file. Decryption is possible even if different encryption keys are set.

(第2の実施の形態)
第1の実施の形態では、ファイルのデータ内に書かれているデータパターンに基づいて暗号化対象であるか否かを自動判断する例について説明したが、第2の実施の形態では、ファイルデータの更新である場合には、HDDのファイルディレクトリに記憶されたファイル情報に基づいて暗号化対象であるか否かを自動判断する。
(Second Embodiment)
In the first embodiment, the example in which it is automatically determined whether or not it is an encryption target based on the data pattern written in the file data has been described. In the second embodiment, the file data In the case of the update, it is automatically determined whether or not it is an encryption target based on the file information stored in the file directory of the HDD.

図1に示すファイル管理装置のHDD16のファイルディレクトリ20には、図6に示すように、ファイル名22、拡張子24、属性26、更新時刻28、更新日30、ファイルが保存されているクラスタ32、ファイルサイズ34等のファイル情報が記憶されている。また、ファイルディレクトリ20には、暗号化設定の有無を示す「暗号化設定」項目36が設けられている。   In the file directory 20 of the HDD 16 of the file management apparatus shown in FIG. 1, as shown in FIG. 6, a file name 22, an extension 24, an attribute 26, an update time 28, an update date 30, and a cluster 32 in which files are stored. File information such as file size 34 is stored. Further, the file directory 20 is provided with an “encryption setting” item 36 indicating the presence / absence of encryption setting.

図7は第2の実施の形態でのファイル書き込み処理の処理ルーチンを示すフローチャートである。図7に示すように、アプリケーションファイルの書き込み要求があると、ステップ300で、ファイルをワークエリアであるRAM14に読み込み、新規作成ファイルか否かを判断する。ステップ300で新規作成ファイルであると判断された場合には、ステップ302に移行し、ファイルのデータ内の任意のエリアに書かれているデータパターンに基づいて、OS以下の階層でファイルが暗号化対象か否かを自動判断する。   FIG. 7 is a flowchart showing a processing routine of file writing processing in the second embodiment. As shown in FIG. 7, when there is a request for writing an application file, in step 300, the file is read into the RAM 14, which is a work area, and it is determined whether or not it is a newly created file. If it is determined in step 300 that the file is a newly created file, the process proceeds to step 302, and the file is encrypted in the hierarchy below the OS based on the data pattern written in an arbitrary area in the file data. Automatically determine whether it is a target.

ステップ300で新規作成ファイルではないと判断された場合には、ファイルデータの更新であるから、ステップ310に移行し、HDD16のファイルディレクトリ20からファイル情報を読み取る。そして、ステップ302で、読み取ったファイル情報に基づいて、OS以下の階層でファイルが暗号化対象か否かを自動判断する。暗号化対象か否かの判断基準は、ユーザが適宜設定することができる。例えば、所定の拡張子、ファイルサイズ、日付、属性、データパターン、ヘッダー情報、アクセス頻度等を持つファイルだけを暗号化対象とすることができる。   If it is determined in step 300 that the file is not a newly created file, the file data is updated, so the process proceeds to step 310 and the file information is read from the file directory 20 of the HDD 16. In step 302, based on the read file information, it is automatically determined whether or not the file is an encryption target in the hierarchy below the OS. A user can appropriately set a criterion for determining whether or not the data is to be encrypted. For example, only files having a predetermined extension, file size, date, attribute, data pattern, header information, access frequency, and the like can be targeted for encryption.

ステップ302で暗号化対象と判断された場合には、ステップ304に移行し、ROM12に記憶された暗号化プログラムを読み出し、当該プログラムに従ってファイルを暗号化する。続くステップ306で、「暗号化設定」項目36を「あり」にする等、ファイルディレクトリ20のファイル情報を記憶又は更新し、ステップ308で、暗号化されたファイルをHDD16に格納して、ルーチンを終了する。   If it is determined in step 302 that the data is to be encrypted, the process proceeds to step 304 where the encryption program stored in the ROM 12 is read and the file is encrypted according to the program. In the subsequent step 306, the file information of the file directory 20 is stored or updated such that the “encryption setting” item 36 is set to “present”, and in step 308, the encrypted file is stored in the HDD 16 and the routine is executed. finish.

一方、ステップ302で暗号化非対象と判断された場合には、ファイルを暗号化せずにステップ306に移行する。そして、ステップ306で、「暗号化設定」項目36を「なし」にする等、ファイルディレクトリ20のファイル情報を記憶又は更新し、ステップ308で、暗号化されたファイルをHDD16に格納して、ルーチンを終了する。   On the other hand, if it is determined in step 302 that the file is not to be encrypted, the process proceeds to step 306 without encrypting the file. Then, in step 306, the file information of the file directory 20 is stored or updated such that the “encryption setting” item 36 is set to “none”, and in step 308, the encrypted file is stored in the HDD 16, and the routine is executed. Exit.

図8は第2の実施の形態でのファイル読み出し処理の処理ルーチンを示すフローチャートである。図8に示すように、アプリケーションファイルの読み出し要求があると、ステップ400で、HDD16から所望のファイルをRAM14に読み出し、ステップ402で、HDD16のファイルディレクトリ20からファイル情報を読み取る。続くステップ404で、読み取ったファイル情報に基づいて、例えば「暗号化設定」の有無により、OS以下の階層で読み出したファイルが復号化対象か否かを自動判断する。   FIG. 8 is a flowchart showing a processing routine of file reading processing in the second embodiment. As shown in FIG. 8, when there is a request for reading an application file, a desired file is read from the HDD 16 to the RAM 14 at step 400, and file information is read from the file directory 20 of the HDD 16 at step 402. In the next step 404, based on the read file information, for example, whether or not the file read in the hierarchy below the OS is to be decrypted is determined based on the presence / absence of “encryption setting”.

ステップ404で復号化対象と判断された場合には、ステップ406でROM12若しくはRAM14に記憶された復号化プログラムを読み出し、当該プログラムに従ってファイルを復号化して、復号化したファイルをユーザが指定した場所に展開し、ルーチンを終了する。一方、ステップ404で復号化非対象と判断された場合には、そのままのファイルをユーザが指定した場所に展開し、ルーチンを終了する。   If it is determined in step 404 that the data is to be decrypted, the decryption program stored in the ROM 12 or RAM 14 is read in step 406, the file is decrypted according to the program, and the decrypted file is placed at the location designated by the user. Expand and exit routine. On the other hand, if it is determined in step 404 that decryption is not to be performed, the file as it is is expanded at a location designated by the user, and the routine is terminated.

以上の通り、第2の実施の形態では、第1の実施の形態と同様の効果を得ることができる。更に、第2の実施の形態では、ユーザは多様なファイル情報に基づいて暗号化対象か否かの判断基準を設定することもできるので、ユーザの判断によってセキュリティレベルと処理速度の調整を図ることも可能となる。   As described above, in the second embodiment, the same effects as those in the first embodiment can be obtained. Furthermore, in the second embodiment, since the user can set a criterion for determining whether or not to be encrypted based on various file information, the security level and the processing speed can be adjusted by the user's judgment. Is also possible.

(第3の実施の形態)
ファイルシステムにおいては、指定ファイルの追記、指定ファイルの部分読み出しといった処理が発生する。第1及び第2の実施の形態のように、ファイル毎に暗号化した場合には、追記や部分読み出しであっても、指定ファイルデータのすべてを一旦読み出し、メモリ上で復号化・追記・暗号化といった処理を行う必要がある。そこで、第3の実施の形態では、必要に応じ、ファイルをアクセスブロック単位(セクタ単位・クラスタ単位等)で暗号化することにより、データ追記や部分読み出し処理に対応する。
(Third embodiment)
In the file system, processing such as addition of a specified file and partial reading of a specified file occurs. When encrypted for each file as in the first and second embodiments, all specified file data is once read and decrypted / added / encrypted in memory, even in the case of appending or partial reading. It is necessary to perform processing such as conversion. Therefore, in the third embodiment, if necessary, the file is encrypted in access block units (sector units, cluster units, etc.) to cope with data addition and partial read processing.

図9はファイルがブロック毎に暗号化されている場合の部分上書き更新処理の手順を示す模式図である。   FIG. 9 is a schematic diagram showing a procedure of partial overwrite update processing when a file is encrypted for each block.

アプリケーションファイルの先頭からxByteのデータの上書き更新要求があると(図9(A))、HDD16から所望のファイル60の暗号情報ヘッダー62をRAM14に読み出して内容を解析し、OS以下の階層で上書き更新要求があったブロック64が復号化対象か否かを自動判断する(図9(B)、(C))。ここで、上書き更新要求があったブロック64が暗号化ブロックの場合は復号化対象と判断され、非暗号化ブロックの場合は復号化非対象と判断される。   When there is an xByte data overwrite update request from the beginning of the application file (FIG. 9A), the encryption information header 62 of the desired file 60 is read from the HDD 16 to the RAM 14, the contents are analyzed, and the data is overwritten at a level below the OS. It is automatically determined whether or not the block 64 for which an update request has been made is a decoding target (FIGS. 9B and 9C). Here, if the block 64 for which an overwrite update request has been made is an encrypted block, it is determined to be a decryption target, and if it is a non-encrypted block, it is determined to be a non-decryption target.

復号化対象と判断された場合には、ROM12に記憶された復号化プログラムを読み出し、当該プログラムに従って暗号化ブロック64を部分的に復号化する(図9(D))。次に、上書きデータをワークエリアであるRAM14に読み込み、ブロック64のデータを上書き更新する(図9(E))。そして、ブロック64を再度暗号化してHDD16に格納し、部分上書き更新処理を終了する(図9(F))。   When it is determined that the data is to be decrypted, the decryption program stored in the ROM 12 is read out, and the encryption block 64 is partially decrypted according to the program (FIG. 9D). Next, the overwriting data is read into the RAM 14 which is a work area, and the data in the block 64 is overwritten and updated (FIG. 9E). Then, the block 64 is encrypted again and stored in the HDD 16, and the partial overwrite update process is terminated (FIG. 9 (F)).

以上の通り、第3の実施の形態では、第1の実施の形態と同様に、ファイルの暗号化/復号化処理時に、ファイルの移動操作に伴うパフォーマンスロスは発生しない。また、OS以下の階層で暗号化/復号化処理の可否を自動判断し、上位アプリケーションの変更は不要であるため、自動判断機能の導入が簡単である。   As described above, in the third embodiment, as in the first embodiment, there is no performance loss associated with the file move operation during file encryption / decryption processing. In addition, since it is automatically determined whether or not encryption / decryption processing is possible in a hierarchy below the OS and no change of the upper application is necessary, it is easy to introduce an automatic determination function.

また、第3の実施の形態では、ファイルを更に複数個に分割したブロック単位で暗号化/復号化処理を行うため、ブロック毎に復号化・上書き更新・暗号化という処理を行うことができ、ファイルの部分的な読み出し処理、ファイルの部分的な上書き更新処理の場合にも、パフォーマンスロスが低減される。また、ブロック毎に異なる暗号化キーを設定することが可能である。   In the third embodiment, since the encryption / decryption process is performed in units of blocks obtained by further dividing the file into a plurality of blocks, the process of decryption / overwrite update / encryption can be performed for each block. Performance loss is also reduced in the case of partial file read processing and partial file overwrite update processing. Also, it is possible to set different encryption keys for each block.

なお、上記の実施の形態では、暗号化したファイルの管理は、保存したデータが暗号化されていることを示す管理情報を「暗号情報ヘッダー」としてファイルに付加してHDDに書き込むことにより行う例について説明したが、図10に示すように、管理情報をアプリケーションのヘッダー部分やデータ領域の一部に埋め込んでもよい。また、図11に示すように、ファイルディレクトリに「暗号化設定」という項目を追加する等して、管理情報をファイルシステムの管理領域(ファイルディレクトリエントリ)内に保持することもできる。或いは、管理情報をファイルシステムの管理情報以外の任意の記憶領域(例えば、HDD内のファイルシステムの非管理領域、HDD内のデータ記憶領域、又は他の記憶装置)に保持してもよい。   In the above embodiment, the management of the encrypted file is performed by adding management information indicating that the stored data is encrypted as an “encryption information header” to the file and writing it to the HDD. However, as shown in FIG. 10, the management information may be embedded in a header portion or a data area of the application. Also, as shown in FIG. 11, the management information can be held in the management area (file directory entry) of the file system by adding an item “encryption setting” to the file directory. Alternatively, the management information may be held in an arbitrary storage area other than the file system management information (for example, a non-management area of the file system in the HDD, a data storage area in the HDD, or another storage device).

本発明の実施の形態に係るファイル管理装置の構成図である。It is a block diagram of the file management apparatus which concerns on embodiment of this invention. 第1の実施の形態でのファイル書き込み処理の手順を示す模式図である。It is a schematic diagram which shows the procedure of the file writing process in 1st Embodiment. 第1の実施の形態でのファイル書き込み処理の処理ルーチンを示すフローチャートである。It is a flowchart which shows the processing routine of the file write-in process in 1st Embodiment. 第1の実施の形態でのファイル書き込み処理の手順を示す模式図である。It is a schematic diagram which shows the procedure of the file writing process in 1st Embodiment. 第1の実施の形態でのファイル読み出し処理の処理ルーチンを示すフローチャートである。It is a flowchart which shows the processing routine of the file read-out process in 1st Embodiment. ファイルディレクトリの構成を示す概念図である。It is a conceptual diagram which shows the structure of a file directory. 第2の実施の形態でのファイル書き込み処理の処理ルーチンを示すフローチャートである。It is a flowchart which shows the processing routine of the file writing process in 2nd Embodiment. 第2の実施の形態でのファイル読み出し処理の処理ルーチンを示すフローチャートである。It is a flowchart which shows the process routine of the file read-out process in 2nd Embodiment. 第3の実施の形態での部分上書き更新処理の手順を示す模式図である。It is a schematic diagram which shows the procedure of the partial overwrite update process in 3rd Embodiment. 管理情報をアプリケーションのデータ領域の一部に埋め込んだ例を示す図である。It is a figure which shows the example which embedded management information in a part of data area of the application. 管理情報をファイルシステムの管理領域内に保持する例を示す図である。It is a figure which shows the example which hold | maintains management information in the management area | region of a file system. ファイルの暗号化/復号化処理を行う機能を導入する階層を示す図である。It is a figure which shows the hierarchy which introduces the function which performs encryption / decryption processing of a file. 従来技術の問題点を説明するための図である。It is a figure for demonstrating the problem of a prior art.

符号の説明Explanation of symbols

10 CPU(中央処理装置)
12 ROM
14 RAM
16 HDD(ハードディスク・ドライブ)
18 システムバス
20 ファイルディレクトリ
21 HDDコントローラ
22 ファイル名
24 拡張子
26 属性
28 更新時刻
30 更新日
32 クラスタ
34 ファイルサイズ
36 項目
50 ファイル
52 データパターン
54 ファイル
56 暗号情報ヘッダー
60 ファイル
62 暗号情報ヘッダー
64 ブロック
10 CPU (Central Processing Unit)
12 ROM
14 RAM
16 HDD (Hard Disk Drive)
18 System bus 20 File directory 21 HDD controller 22 File name 24 Extension 26 Attribute 28 Update time 30 Update date 32 Cluster 34 File size 36 Item 50 File 52 Data pattern 54 File 56 Encryption information header 60 File 62 Encryption information header 64 Block

Claims (16)

ファイルを記憶する記憶手段と、
前記記憶手段にファイルを記憶する前に、ファイルの暗号化の可否を示す暗号化情報に基づいて、ファイル毎に暗号化の必要性を判断する暗号化判断手段と、
前記暗号化判断手段により暗号化が必要と判断されたファイルを暗号化する暗号化手段と、
を備えたファイル管理装置。
Storage means for storing files;
Before storing the file in the storage means, based on encryption information indicating whether or not the file can be encrypted, encryption determination means for determining the necessity of encryption for each file;
Encryption means for encrypting a file determined to be encrypted by the encryption determination means;
A file management device.
前記暗号化判断手段が暗号化の必要性を判断する判断基準を設定するための基準設定手段を更に備えた請求項1に記載のファイル管理装置。   The file management apparatus according to claim 1, further comprising reference setting means for setting a determination criterion for the encryption determination means to determine the necessity of encryption. 前記暗号化情報として、ファイルデータ内の任意のエリアに書かれたデータパターンを用いる請求項1又は2に記載のファイル管理装置。   The file management apparatus according to claim 1, wherein a data pattern written in an arbitrary area in the file data is used as the encryption information. 前記暗号化情報として、前記ファイル記憶手段に設けられたファイル管理領域に記憶されたファイル情報を用いる請求項1又は2に記載のファイル管理装置。   The file management apparatus according to claim 1, wherein file information stored in a file management area provided in the file storage unit is used as the encryption information. 前記ファイル情報が、ファイル名、拡張子、データサイズ、及び属性からなる群から選択される請求項4に記載のファイル管理装置。   The file management apparatus according to claim 4, wherein the file information is selected from the group consisting of a file name, an extension, a data size, and an attribute. 前記暗号化手段により暗号化されたファイルを管理するための管理情報に基づいて、ファイル毎に復号化の必要性を判断する復号化判断手段と、
前記復号化判断手段により復号化が必要と判断されたファイルを復号化する復号化手段と、
を更に備えた請求項1乃至5の何れか1項に記載のファイル管理装置。
Decryption judging means for judging the necessity of decryption for each file based on management information for managing the file encrypted by the encryption means;
Decryption means for decrypting a file determined to be decrypted by the decryption judgment means;
The file management apparatus according to claim 1, further comprising:
前記管理情報は、暗号化したファイルに付加される請求項6に記載のファイル管理装置。   The file management apparatus according to claim 6, wherein the management information is added to an encrypted file. 前記管理情報は、ファイルシステムの管理領域内に保持される請求項6に記載のファイル管理装置。   The file management apparatus according to claim 6, wherein the management information is held in a management area of a file system. 前記管理情報は、ファイルシステムの管理領域以外の記憶領域に保持される請求項6に記載のファイル管理装置。   The file management apparatus according to claim 6, wherein the management information is held in a storage area other than a management area of the file system. 前記管理情報は、前記記憶手段以外の記憶手段に保持される請求項6に記載のファイル管理装置。   The file management apparatus according to claim 6, wherein the management information is held in a storage unit other than the storage unit. ファイルを記憶する記憶手段と、
前記記憶手段にファイルを記憶する前に、ファイルを構成する各ブロックの暗号化の可否を示す暗号化情報に基づいて、ブロック毎に暗号化の必要性を判断する暗号化判断手段と、
前記暗号化判断手段により暗号化が必要と判断されたブロックを暗号化する暗号化手段と、
を備えたファイル管理装置。
Storage means for storing files;
Before storing the file in the storage means, based on encryption information indicating whether or not each block constituting the file can be encrypted, encryption determination means for determining the necessity of encryption for each block;
Encryption means for encrypting blocks determined to be encrypted by the encryption determination means;
A file management device.
前記暗号化手段により暗号化されたファイルをブロック毎に管理するための管理情報に基づいて、ブロック毎に復号化の必要性を判断する復号化判断手段と、
前記復号化判断手段により復号化が必要と判断されたブロックを復号化する復号化手段と、
を更に備えた請求項11に記載のファイル管理装置。
Decryption determination means for determining the necessity of decryption for each block based on management information for managing the file encrypted by the encryption means for each block;
Decoding means for decoding blocks determined to be necessary for decoding by the decoding determination means;
The file management apparatus according to claim 11, further comprising:
ファイルの書き込み要求があった場合に、ファイルの暗号化の可否を示す暗号化情報に基づいてファイル毎に暗号化の必要性を判断し、暗号化が必要と判断されたファイルを暗号化して記憶するファイル管理方法。   When there is a file write request, the necessity of encryption is determined for each file based on the encryption information indicating whether the file can be encrypted, and the file that is determined to be encrypted is encrypted and stored. File management method. 暗号化されたファイルをブロック毎に管理するための管理情報に基づいてブロック毎に復号化の必要性を判断し、復号化が必要と判断されたブロックを復号化する請求項13に記載のファイル管理方法。   The file according to claim 13, wherein the necessity of decryption is determined for each block based on management information for managing the encrypted file for each block, and the block determined to be decrypted is decrypted. Management method. ファイルの書き込み要求があった場合に、ファイルの暗号化の可否を示す暗号化情報に基づいてファイル毎に暗号化の必要性を判断し、暗号化が必要と判断されたファイルを暗号化して記憶するファイル管理プログラム。   When there is a file write request, the necessity of encryption is determined for each file based on the encryption information indicating whether the file can be encrypted, and the file that is determined to be encrypted is encrypted and stored. File management program. 暗号化されたファイルをブロック毎に管理するための管理情報に基づいてブロック毎に復号化の必要性を判断し、復号化が必要と判断されたブロックを復号化する請求項15に記載のファイル管理プログラム。   The file according to claim 15, wherein the necessity of decryption is determined for each block based on management information for managing the encrypted file for each block, and the block determined to be decrypted is decrypted. Management program.
JP2005207566A 2005-07-15 2005-07-15 Device, method, and program for file management Pending JP2007026105A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005207566A JP2007026105A (en) 2005-07-15 2005-07-15 Device, method, and program for file management

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005207566A JP2007026105A (en) 2005-07-15 2005-07-15 Device, method, and program for file management

Publications (1)

Publication Number Publication Date
JP2007026105A true JP2007026105A (en) 2007-02-01

Family

ID=37786766

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005207566A Pending JP2007026105A (en) 2005-07-15 2005-07-15 Device, method, and program for file management

Country Status (1)

Country Link
JP (1) JP2007026105A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008234544A (en) * 2007-03-23 2008-10-02 Sky Kk File encrypting/decrypting system, file encrypting/decrypting method and file encrypting/decrypting program
JP2013125354A (en) * 2011-12-13 2013-06-24 Ntt Docomo Inc Information processing apparatus and information processing method

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05165728A (en) * 1991-12-17 1993-07-02 Fujitsu Ltd External storage sub-system
JPH07249264A (en) * 1994-03-10 1995-09-26 Intec:Kk Recording system and recording/reproducing system for cd-rom, and cd-rom disk
JPH07295892A (en) * 1994-04-26 1995-11-10 Mitsubishi Electric Corp Secure system
JPH113567A (en) * 1997-06-11 1999-01-06 Sony Corp Signal processing method and device therefor
JPH11149414A (en) * 1997-09-12 1999-06-02 Hitachi Software Eng Co Ltd Method for preserving data, its system and storage medium for data preservation processing
JP2005128996A (en) * 2003-09-30 2005-05-19 Dainippon Printing Co Ltd Information processing apparatus and system, and program

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05165728A (en) * 1991-12-17 1993-07-02 Fujitsu Ltd External storage sub-system
JPH07249264A (en) * 1994-03-10 1995-09-26 Intec:Kk Recording system and recording/reproducing system for cd-rom, and cd-rom disk
JPH07295892A (en) * 1994-04-26 1995-11-10 Mitsubishi Electric Corp Secure system
JPH113567A (en) * 1997-06-11 1999-01-06 Sony Corp Signal processing method and device therefor
JPH11149414A (en) * 1997-09-12 1999-06-02 Hitachi Software Eng Co Ltd Method for preserving data, its system and storage medium for data preservation processing
JP2005128996A (en) * 2003-09-30 2005-05-19 Dainippon Printing Co Ltd Information processing apparatus and system, and program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008234544A (en) * 2007-03-23 2008-10-02 Sky Kk File encrypting/decrypting system, file encrypting/decrypting method and file encrypting/decrypting program
JP2013125354A (en) * 2011-12-13 2013-06-24 Ntt Docomo Inc Information processing apparatus and information processing method

Similar Documents

Publication Publication Date Title
US7568112B2 (en) Data access control method for tamper resistant microprocessor using cache memory
US8495365B2 (en) Content processing apparatus and encryption processing method
JP2006155155A (en) Information leakage preventing device and method, and its program
US20040172538A1 (en) Information processing with data storage
JP4816012B2 (en) Information processing apparatus, software installation method, and optical disc
EP2477132A2 (en) Apparatus and method for managing digital rights using virtualization technique
WO2006075889A1 (en) Method and portable storage device for allocating secure area in insecure area
JP2007215028A (en) Device, method, program of data encryption, and recording medium
EP2028604A1 (en) File processing system and method, and file processing program
JP5645725B2 (en) Data processing apparatus, data processing system, and control method therefor
US20090022320A1 (en) Content copying device and content copying method
JP4606808B2 (en) Data erasing apparatus, image forming apparatus, data erasing method, and data erasing program
US20070168284A1 (en) Management of encrypted storage media
JP6343869B2 (en) Portable terminal device and decryption processing program
JP4895990B2 (en) Image processing apparatus and data erasing method
JP2007316944A (en) Data processor, data processing method and data processing program
JP2007336446A (en) Data encryption apparatus
JP2007026105A (en) Device, method, and program for file management
JP2001016195A (en) Information utilization controller
JP4109805B2 (en) Content management method and storage medium
JP2009175880A (en) Information processing apparatus and program
JP2696219B2 (en) Information protection method
JP2002175210A (en) Method of transferring and copying, and enciphering and deciphering data
JP5646382B2 (en) Content editing apparatus, content editing method, and content editing program
KR102013678B1 (en) Secure file system and management method having realtime encrypting data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080423

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101124

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101124

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110124

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110215