JP2007041701A - データ移動方法 - Google Patents
データ移動方法 Download PDFInfo
- Publication number
- JP2007041701A JP2007041701A JP2005223077A JP2005223077A JP2007041701A JP 2007041701 A JP2007041701 A JP 2007041701A JP 2005223077 A JP2005223077 A JP 2005223077A JP 2005223077 A JP2005223077 A JP 2005223077A JP 2007041701 A JP2007041701 A JP 2007041701A
- Authority
- JP
- Japan
- Prior art keywords
- data
- movement
- source device
- destination device
- notification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】 データ移動時に障害が発生した場合などにおけるデータ損失の可能性を極小化するとともに,不正に複製が生成されてしまう危険性をなくすことの可能なデータ移動方法を提供する。
【解決手段】 移動元デバイス10および移動先デバイス20は,データ移動中状態,データ確定中状態,およびデータ移動後状態の3状態が定義可能であり,移動元デバイスおよび移動先デバイスがともにデータ移動中状態であるときに,移動元デバイスから移動先デバイスにデータ転送処理を行う工程と,データ転送処理が完了した旨のデータ転送完了通知を移動元デバイスから移動先デバイスに通知する工程と,データ転送完了通知を確認した旨のデータ転送完了確認通知を移動先デバイスから移動元デバイスに通知する工程と,移動先デバイスがデータ確定中状態に遷移して,データ確定処理を行う工程とを含む。
【選択図】 図1
【解決手段】 移動元デバイス10および移動先デバイス20は,データ移動中状態,データ確定中状態,およびデータ移動後状態の3状態が定義可能であり,移動元デバイスおよび移動先デバイスがともにデータ移動中状態であるときに,移動元デバイスから移動先デバイスにデータ転送処理を行う工程と,データ転送処理が完了した旨のデータ転送完了通知を移動元デバイスから移動先デバイスに通知する工程と,データ転送完了通知を確認した旨のデータ転送完了確認通知を移動先デバイスから移動元デバイスに通知する工程と,移動先デバイスがデータ確定中状態に遷移して,データ確定処理を行う工程とを含む。
【選択図】 図1
Description
本発明はデータ移動方法にかかり,特に,セキュアにデータが保存されたセキュリティデバイス間におけるデータ移動方法に関する。
セキュアにデータが保存されたセキュリティデバイス間でデータの移動を行う際は,不正な複製を防ぐために,むやみに再実行ができないような制限が必要である(例えば,特許文献1参照。)。しかし,このような制限を課した場合,データの移動先デバイスへのメモリアクセス時の障害や電力断が発生することにより,データを損失してしまう可能性があった。
また,データの複製を防ぐため,データ転送の成功後に,移動元デバイスを再実行不可能な状態に切り替え,移動先デバイスを転送されたデータが有効な状態に切り替えることが考えられる。この時,データ移動元・移動先の双方で,切り替えるためのコマンドを実行することになるが,特許文献1に開示された従来技術では,このコマンドの発行者を特定することができず,また,コマンド実行時に相手の状態を確認することができなかった。このため,移動元デバイスの状態を切り替えずに,移動先デバイスへの切り替えコマンドが実行された場合には,結果としてデータの複製が可能となってしまう危険性があった。
上記観点から,セキュリティデバイス間でデータの移動を行う際は,不正な複製を防ぐために,データの移動処理をむやみに再実行できないような仕組みが必要である。しかし,一方では,メモリアクセス時の障害の発生を考慮し,データの損失を伴わずに移動先デバイスへの書き込み処理を再実行できる仕組みが要求されている。
上述のように,セキュリティデバイス間でデータ移動を行う場合において,再実行ができないような制限を課した場合に,データの移動先デバイスへのメモリアクセス時の障害や電力断が発生することにより,データを損失してしまう可能性があった。
また,データ転送の成功後に,移動元デバイスを再実行不可能な状態に切り替え,移動先デバイスを転送されたデータが有効な状態に切り替える。この時,データ移動元・移動先の双方で,切り替えコマンドの発行者を特定することができず,また,切り替えコマンド実行時に相手の状態を確認することができない。このため,移動元デバイスの状態を切り替えずに,移動先デバイスへの切り替えコマンドが実行された場合には,結果としてデータの複製が可能となってしまう危険性があった。
本発明は,従来のデータ移動方法が有する上記問題点に鑑みてなされたものであり,本発明の目的は,データ移動時に障害が発生した場合などにおけるデータ損失の可能性を極小化するとともに,不正に複製が生成されてしまう危険性をなくすことの可能な,新規かつ改良されたデータ移動方法を提供することである。
上記課題を解決するため,本発明の第1の観点によれば,データの移動元となる移動元デバイスとデータの移動先となる移動先デバイスとの間におけるデータ移動方法が提供される。本発明のデータ移動方法において,前記移動元デバイスおよび前記移動先デバイスは,データの転送が可能なデータ移動中状態,データの転送が完了しているがアクセスはできないデータ確定中状態,およびデータの転送が完了してアクセスが可能なデータ移動後状態の3状態が定義可能であり;前記移動元デバイスおよび前記移動先デバイスがともにデータ移動中状態であるときに,前記移動元デバイスから前記移動先デバイスにデータ転送処理を行う工程と,前記データ転送処理が完了した旨のデータ転送完了通知を前記移動元デバイスから前記移動先デバイスに通知する工程と,前記データ転送完了通知を確認した旨のデータ転送完了確認通知を前記移動先デバイスから前記移動元デバイスに通知する工程と,前記移動先デバイスがデータ確定中状態に遷移して,データ確定処理を行う工程と,を含むことを特徴とする。
本発明にかかるデータ移動方法では,セキュリティデバイス間のデータ移動において,データの転送処理とそのコミット処理(確定処理)を分離する。そして,移動元デバイスを再実行不可能な状態にした直後に,移動先デバイスへ転送されたデータを有効とする状態へ切り替える。これにより,データ損失の可能性を極小化することが可能である。
上記のデータ移動方法において,種々の応用が可能である。例えば,前記データ転送完了通知が通知された前記移動元デバイスが,データの再転送が不可能な状態に切り替わる工程と,前記移動元デバイスがデータの再転送が不可能である旨のデータ再転送不可通知を,前記移動先デバイスに通知する工程と,前記移動先デバイスが,前記移動元デバイスからのデータ再転送不可通知の正当性を検証した後,データ移動後状態に遷移して,転送されたデータを有効な状態に切り替える処理を行う工程と,を含むことが可能である。移動元デバイスへのコミットを行わないと移動先デバイスに対するコミットコマンドを生成できない制限を加える。これにより,移動元デバイスに対して再実行が可能なまま,データ移動先に対するコミットが行えなくなる。
また,前記移動先デバイスは,前記移動元デバイスからのデータ再転送不可通知の正当性を検証する試行回数を所定回数に制限することが可能である。データ転送後のコミット処理の試行回数を制限することで,全数アタックなどによる不正なコミットを制限することが可能である。
また,前記データ転送完了通知を移動元デバイスから移動先デバイスに通知する工程において,前記データ移動先デバイスの正当性を担保するための値として,前記移動元デバイスが動的に生成した乱数値を通知することが可能である。これにより,後に前記移動元デバイスに対するコミットコマンドが前記移動先デバイスによって,正しく発行されたものであることを確認することが可能である。
また,前記データ転送完了確認通知を前記移動先デバイスから前記移動元デバイスに通知する工程において,前記データ移動元デバイスの正当性を担保するための値として,前記移動先デバイスが動的に生成した乱数値を通知することが可能である。これにより,後に移動先デバイスに対するコミットコマンドが前記移動元デバイスによって,正しく発行されたものであることを確認することが可能である。
また,前記移動元デバイスがデータ再転送不可通知を前記移動先デバイスに通知するためのコマンドは,前記移動元デバイスによって生成されるようにしてもよい。これにより,データ移動元が再実行不可能な状態にあることを確認した上で,移動先デバイスへ転送されたデータを有効とする状態へ変更できる。
また,前記移動元デバイスから前記移動先デバイスに転送されるデータは,例えば,ファイル構造に関するデータである。本発明は,移動元デバイスのファイル構造をそっくりそのまま移動先デバイスに移動し,移動元デバイスを廃棄するような状況,例えば,ICカードの更新や携帯電話の機種変更などに利用可能である。
上記課題を解決するため,本発明の第2の観点によれば,データの移動元となる移動元デバイスと,データの移動先となる移動先デバイスと,前記移動元デバイスおよび前記移動先デバイスのデータ移動を制御するコントローラと,の間におけるデータ移動方法が提供される。本発明のデータ移動方法において,前記移動元デバイスおよび前記移動先デバイスは,データの転送が可能なデータ移動中状態,データの転送が完了しているがアクセスはできないデータ確定中状態,およびデータの転送が完了してアクセスが可能なデータ移動後状態の3状態が定義可能であり;前記移動元デバイスおよび前記移動先デバイスがともにデータ移動中状態であるときに,前記移動元デバイスから前記コントローラを介して前記移動先デバイスにデータ転送処理を行う工程と,前記データ転送処理が完了した旨のデータ転送完了通知を前記移動元デバイスから前記コントローラを介して前記移動先デバイスに通知する工程と,前記データ転送完了通知を確認した旨のデータ転送完了確認通知を前記移動先デバイスから前記コントローラを介して前記移動元デバイスに通知する工程と,前記移動先デバイスがデータ確定中状態に遷移して,データ確定処理を行う工程と,
を含むことを特徴とする。
を含むことを特徴とする。
本発明にかかるデータ移動方法では,セキュリティデバイス間のデータ移動において,データの転送処理とそのコミット処理(確定処理)を分離する。そして,移動元デバイスを再実行不可能な状態にした直後に,移動先デバイスへ転送されたデータを有効とする状態へ切り替える。これにより,データ損失の可能性を極小化することが可能である。
上記データ移動方法において,種々の応用が可能である。例えば,前記データ転送処理を行う工程は,転送するデータのうち一部のデータを前記移動元デバイスから前記コントローラに転送する第1工程と,前記一部のデータを前記コントローラから前記移動先デバイスに転送する第2工程と,を含み,すべてのデータが転送されるまで,前記第1工程および第2工程を繰り返すようにしてもよい。
あるいは,前記データ転送処理を行う工程は,転送するすべてのデータを一括して前記移動元デバイスから前記コントローラに転送する工程と,前記すべてのデータを一括して前記コントローラから前記移動先デバイスに転送する工程と,を含むようにしてもよい。
また,前記データ転送完了通知が通知された前記移動元デバイスが,データの再転送が不可能な状態に切り替わる工程と,前記移動元デバイスがデータの再転送が不可能である旨のデータ再転送不可通知を,前記移動先デバイスに通知する工程と,前記移動先デバイスが,前記移動元デバイスからのデータ再転送不可通知の正当性を検証した後,データ移動後状態に遷移して,転送されたデータを有効な状態に切り替える処理を行う工程と,を含むことが可能である。移動元デバイスへのコミットを行わないと移動先デバイスに対するコミットコマンドを生成できない制限を加える。これにより,移動元デバイスに対して再実行が可能なまま,データ移動先に対するコミットが行えなくなる。
また,前記移動先デバイスは,前記移動元デバイスからのデータ再転送不可通知の正当性を検証する試行回数を所定回数に制限することが可能である。データ転送後のコミット処理の試行回数を制限することで,全数アタックなどによる不正なコミットを制限することが可能である。
また,前記データ転送完了通知を移動元デバイスから移動先デバイスに通知する工程において,前記移動先デバイスの正当性を担保するための値として,前記移動元デバイスが動的に生成した乱数値を通知することが可能である。これにより,後に前記移動元デバイスに対するコミットコマンドが前記移動先デバイスによって,正しく発行されたものであることを確認することが可能である。
また,前記データ転送完了確認通知を前記移動先デバイスから前記移動元デバイスに通知する工程において,前記移動元デバイスの正当性を担保するための値として,前記移動先デバイスが動的に生成した乱数値を通知することが可能である。これにより,後に前記移動先デバイスに対するコミットコマンドが前記移動元デバイスによって,正しく発行されたものであることを確認することが可能である。
また,前記移動元デバイスがデータ再転送不可通知を前記移動先デバイスに通知するためのコマンドは,前記移動元デバイスによって生成されるようにしてもよい。これにより,データ移動元が再実行不可能な状態にあることを確認した上で,移動先デバイスへ転送されたデータを有効とする状態へ変更できる。
また,前記移動元デバイスから前記移動先デバイスに転送されるデータは,例えば,ファイル構造に関するデータである。本発明は,移動元デバイスのファイル構造をそっくりそのまま移動先デバイスに移動し,移動元デバイスを廃棄するような状況,例えば,ICカードの更新や携帯電話の機種変更などに利用可能である。
また,本発明の他の観点によれば,コンピュータ(携帯電話,ICカード等を含む)に上記データ移動方法を実現させるためのプログラムと,そのプログラムを記録した,コンピュータにより読み取り可能な記録媒体が提供される。ここで,プログラムはいかなるプログラム言語により記述されていてもよい。また,記録媒体としては,例えば,CD−ROM,DVD−ROM,フレキシブルディスクなど,プログラムを記録可能な記録媒体として現在一般に用いられている記録媒体,あるいは将来用いられるいかなる記録媒体をも採用することができる。
以上のように,本発明によれば,データ転送処理とコミット処理(確定処理)を分離することで,データの転送自体の成功を担保した上で,データの有効・無効の切り替えを行えるようになった。これにより,データ転送時に障害が発生した場合などにおけるデータ損失の可能性を極小化した。また,データ転送後のコミット処理では,データの移動元デバイスと移動先デバイスがお互いに相手にコミットコマンド(確定コマンド)の発行を依頼し,お互いが相手の正当性と状態を確認した上で確定する方式を用いることで,データの不正な複製を防ぐことが可能である。
以下に添付図面を参照しながら,本発明にかかるデータ移動方法の好適な実施形態について詳細に説明する。なお,本明細書および図面において,実質的に同一の機能構成を有する構成要素については,同一の符号を付することにより重複説明を省略する。
図1〜図8を参照しながら,2つのセキュリティデバイス間でデータ移動を行う際の処理手順を説明する。ここで,セキュリティデバイスとは,セキュアに保護されたデータを保持するデバイスをいい,例えば,ICカードや携帯端末(携帯電話等)等を含む概念である。以下では,セキュリティデバイスのことを単にデバイスともいう。また,データの移動元となるセキュリティデバイスを「移動元デバイス」,データの移動先となるセキュリティデバイスを「移動先デバイス」と称する。
まず,本実施形態にかかるデータ移動方法の概略について,図1を参照しながら説明する。
本実施形態は,図1に示したように,データの移動元となる移動元デバイス10とデータの移動先となる移動先デバイス20との間におけるデータ移動方法である。本実施形態で扱うデータはファイル構造に関するデータである。本実施形態にかかるデータ移動方法は,移動元デバイスのファイル構造をそっくりそのまま移動先デバイスに転送し,移動元デバイスを廃棄するような状況を想定したものである。このような状況としては,例えば,ICカードの更新や携帯電話の機種変更などがある。
移動元デバイス10および移動先デバイス20は,図1に示したように,データの転送が可能な「データ移動中状態」,データの転送が完了しているがアクセスはできない「データ確定中状態」,およびデータの転送が完了してアクセスが可能な「データ移動後状態」の3状態が定義可能である。
図1に示したように,移動元デバイス10から移動先デバイス20にデータの移動を行う際には,まず,お互いが正当な通信相手であることを確認するため,2つのデバイス間で相互認証を行う(ステップS10)。次いで,移動元デバイス10および移動先デバイス20がともにデータ移動中状態であるときに,移動元デバイス10から移動先デバイス20にデータ転送処理を行う(ステップS20)。そして,データ転送処理が完了した旨のデータ転送完了通知を移動元デバイス10から移動先デバイス20に通知する(ステップS30)。
データ転送完了通知が通知された移動先デバイス20は,データ転送完了通知を確認した旨のデータ転送完了確認通知を移動元デバイス10に通知し,(ステップS40),データ確定中状態に遷移して,データ確定処理を行う。一方,データ転送完了確認通知を通知された移動元デバイス10は,データの再転送が不可能な状態に切り替わり,データの再転送が不可能である旨のデータ再転送不可通知を,移動先デバイスに通知する(ステップS50)。移動先デバイス20は,移動元デバイス10からのデータ再転送不可通知の正当性を検証した後,データ移動後状態に遷移して,転送されたデータを有効な状態に切り替える処理を行う。
以上,本実施形態にかかるデータ移動方法の概略について説明した。以下に,ステップS10〜S50の各段階について詳細に説明する。なお,以下の説明においては,移動元デバイス10および移動先デバイス20のデータ移動を制御するコントローラ30を介してデータ移動が行われる例について説明する。
<相互認証段階(ステップS10)>
相互認証段階(ステップS10)の詳細について,図2を参照しながら説明する。
まず,データの移動を行う際には,コントローラ30がPollingコマンド等の送信によって2つのセキュリティデバイスの存在を把握する(ステップS102,S104)。次に,その存在する2つのセキュリティデバイスが,データ移動処理を行うべき対象であるかの認証を行うために,コントローラ30を介して相互認証を行い,お互いが正当な通信相手であることを確認する(ステップS106)。
相互認証段階(ステップS10)の詳細について,図2を参照しながら説明する。
まず,データの移動を行う際には,コントローラ30がPollingコマンド等の送信によって2つのセキュリティデバイスの存在を把握する(ステップS102,S104)。次に,その存在する2つのセキュリティデバイスが,データ移動処理を行うべき対象であるかの認証を行うために,コントローラ30を介して相互認証を行い,お互いが正当な通信相手であることを確認する(ステップS106)。
<データ転送段階(ステップS20)>
データ転送段階(ステップS20)の詳細について,図3を参照しながら説明する。
相互認証が成功すると,以後,移動元デバイス10,移動先デバイス20間で,例えば,相互認証で生成され共有される暗号鍵を用いて,秘匿に情報のやりとりが行える。ここでは,移動元デバイス10と移動先デバイス20のみが知り得る暗号鍵(この暗号鍵はPKG生成鍵(パッケージ生成鍵)とも言われる)が共有される(ステップS202)。また,以降は,移動元デバイス10,移動先デバイス20共にデータ移動中状態となる。
データ転送段階(ステップS20)の詳細について,図3を参照しながら説明する。
相互認証が成功すると,以後,移動元デバイス10,移動先デバイス20間で,例えば,相互認証で生成され共有される暗号鍵を用いて,秘匿に情報のやりとりが行える。ここでは,移動元デバイス10と移動先デバイス20のみが知り得る暗号鍵(この暗号鍵はPKG生成鍵(パッケージ生成鍵)とも言われる)が共有される(ステップS202)。また,以降は,移動元デバイス10,移動先デバイス20共にデータ移動中状態となる。
コントローラ30は,移動元デバイス10に対して,移動すべきデータを読み出す旨のコマンド(以下,File Data Uploadコマンドとする)を発行する(ステップS204)。移動元デバイス10は,移動すべきデータを暗号鍵によって暗号化し,コントローラ30に返送する。次に,コントローラ30は移動先デバイス20に対して,移動元デバイス10から受信したデータを書き込む旨のコマンド(以下,File Data Downloadコマンドとする)を発行する(ステップS206)。
移動先デバイス20は,このコマンドのパラメータとして渡された移動元デバイス10のデータを,保持している暗号鍵を用いて復号し,復号文をメモリに書き込む(ステップS208)。File Data Downloadコマンドを受信した移動先デバイス20における暗号鍵を用いた復号処理は,移動先デバイス20が暗号鍵を保持している時であれば,何時行っても良い。
一度のコマンドで転送できるデータ容量には限度があるので,これらの処理を移動すべき全てのデータが転送できるまで繰り返す(本実施形態ではn回繰り返している)。
図3に示した一例では,移動元デバイス10からコントローラ30へのデータ転送と,コントローラ30から移動先デバイス20へのデータ転送を交互に行っているが,本発明はこれに限定されない。図4は,データ転送段階(S10)の他の一例を示す説明図である。図4に示したように,移動元デバイス10からコントローラ30へすべてのデータを転送した後,コントローラ30から移動先デバイス20へすべてのデータを転送するようにしてもよい。図4の場合,移動元デバイス10からのすべての転送データをFile Data Uploadコマンドを連続して繰り返すことでコントローラ30が一括して取得,保持しておいた後に,File Data Downloadコマンドを連続して繰り返し,移動先デバイス20へ一括して書き込みを行う。
<データ転送完了通知段階(ステップS30)>
データ転送完了通知段階(ステップS30)について,図5を参照しながら詳述する。
すべてのデータ転送が完了したのちに,コントローラ30は,移動元デバイス10に対して,転送されたデータの順序と値によって一意に決まる値を問い合わせる。本実施形態では,チェックサムを問い合わせる旨のコマンド(以下,Get Check Sumコマンドとする)によって,転送データ全体のチェックサム(以下,CheckSUMとする)を問い合わせる(ステップS302)。
データ転送完了通知段階(ステップS30)について,図5を参照しながら詳述する。
すべてのデータ転送が完了したのちに,コントローラ30は,移動元デバイス10に対して,転送されたデータの順序と値によって一意に決まる値を問い合わせる。本実施形態では,チェックサムを問い合わせる旨のコマンド(以下,Get Check Sumコマンドとする)によって,転送データ全体のチェックサム(以下,CheckSUMとする)を問い合わせる(ステップS302)。
移動元デバイス10では,CheckSUMの値を算出した上で,ある乱数値(以下,RndAとする)を生成し,保持する(ステップS304)。CheckSUMは転送したパケットの順序と全体のデータ値が保証できる値である。また,RndAは,後に移動元デバイス10に対するコミットコマンドとして発行されるRequest Commit Packetコマンドを受信した際に,それが正しく自らに対して発行されたものであるかどうかを検証するために用いられる。
次に,移動元デバイス10は,Get Check Sumコマンドの返送パケットとして,CheckSUM とともにRndAを暗号鍵で暗号化してコントローラ30に返す(ステップS306)。コントローラ30は,この値を,チェックサムを検証する旨のコマンド(以下,Verify Check Sumコマンドとする)のパラメータによって移動先デバイス20に送信する(ステップS308)。移動先デバイス20は,データ移動中状態であるときのみVerify Check Sumコマンドを受け付けることができる。
<データ転送完了確認段階(ステップS40)>
データ転送完了通知段階(ステップS40)について,図6を参照しながら詳述する。
Verify Check Sumコマンドを受信した移動先デバイス20は,暗号鍵を用いて復号し,復号文である値(RndAとCheckSUM)のうち,CheckSUMが転送されたデータから算出されるチェックサムと等しいことを確認する(ステップS402)。検証の結果,正当であると判断された場合は,データ転送処理を終了し,移動先デバイス20は,データ移動中状態からデータ確定状態へ遷移し,以下に説明する確定処理へ移行する(ステップS408)。
データ転送完了通知段階(ステップS40)について,図6を参照しながら詳述する。
Verify Check Sumコマンドを受信した移動先デバイス20は,暗号鍵を用いて復号し,復号文である値(RndAとCheckSUM)のうち,CheckSUMが転送されたデータから算出されるチェックサムと等しいことを確認する(ステップS402)。検証の結果,正当であると判断された場合は,データ転送処理を終了し,移動先デバイス20は,データ移動中状態からデータ確定状態へ遷移し,以下に説明する確定処理へ移行する(ステップS408)。
まず,移動先デバイス20は新たに乱数値(以下,RndBとする)を生成し,保持する(ステップS404)。このRndBは,後に移動先デバイス20に対するコミットコマンド(以下,Commitコマンドとする)を受信した際に,Commitコマンドが正しく自らに対して発行されたものであるかどうかを検証するために用いられる。さらに,転送終了の状態を表す固定値(以下,END_STATEとする)を生成する(ステップS406)。
この時点でデータ転送の成功が担保される。上記の検証の結果,正当であると判断された場合は,データ転送処理を終了し,移動先デバイス20は,データ移動中状態からデータ確定状態へ遷移し,以下に説明する確定処理へ移行する(ステップS408)。
Verify
Check Sumコマンドの返送パケットとして, END_STATEとRndBをRndAで暗号化し,得られた復号文をさらに暗号鍵で暗号化したものを返す(ステップS410)。コントローラ30は,Verify Check Sumコマンドの返送パケットによって受信したパラメータを,移動元デバイス10に対して,移動先デバイス20に対するコミットコマンドの発行を要求する旨のコマンド(以下,Request Commit Packetコマンドとする)のパラメータとして送信する(ステップS412)。
Check Sumコマンドの返送パケットとして, END_STATEとRndBをRndAで暗号化し,得られた復号文をさらに暗号鍵で暗号化したものを返す(ステップS410)。コントローラ30は,Verify Check Sumコマンドの返送パケットによって受信したパラメータを,移動元デバイス10に対して,移動先デバイス20に対するコミットコマンドの発行を要求する旨のコマンド(以下,Request Commit Packetコマンドとする)のパラメータとして送信する(ステップS412)。
<データ再転送不可通知(ステップS50)>
データ再転送不可通知(ステップS50)について,図7を参照しながら詳述する。
Request Commit Packetコマンドを受信した移動元デバイス10は,そのパラメータを暗号鍵によって復号し,得られた復号文をさらにRndAによって復号し,復号文としてEND_STATEが抽出できることを確認する(ステップS502)。この固定値が抽出できれば,暗号鍵を交換した相手(移動先デバイス20)がたしかにデータ転送を終了し,データ確定中状態に遷移したことが確認できるので,移動元デバイス10は,データ移動中状態から,データ転送処理が再度行えないデータ移動後状態へ遷移する(ステップS504)。
データ再転送不可通知(ステップS50)について,図7を参照しながら詳述する。
Request Commit Packetコマンドを受信した移動元デバイス10は,そのパラメータを暗号鍵によって復号し,得られた復号文をさらにRndAによって復号し,復号文としてEND_STATEが抽出できることを確認する(ステップS502)。この固定値が抽出できれば,暗号鍵を交換した相手(移動先デバイス20)がたしかにデータ転送を終了し,データ確定中状態に遷移したことが確認できるので,移動元デバイス10は,データ移動中状態から,データ転送処理が再度行えないデータ移動後状態へ遷移する(ステップS504)。
次に,移動元デバイス10は,移動先デバイス20に対するコミットパケットを生成し(ステップS506),Request Commit Packetの返送値として返す(ステップS508)。コミットパケットは,コミットコマンドを表す固定値(以下,COMMIT_CMDとする)をRndBによって暗号化し,得られた暗号文をさらに暗号鍵によって暗号化したものである。
コントローラ30は,受信したコミットパケットをCommitコマンドのパラメータとして付加し,移動先デバイス20に対して送信する(ステップS510)。移動先デバイス20は,前述のVerify Check Sumコマンドによる検証に成功しているときのみ(データ確定中状態のときのみ),Commitコマンドを受け付けることができる。
移動先デバイス20は,Commitコマンドのパラメータを,まず暗号鍵によって復号し,得られた復号文をさらにRndBを用いて復号し,復号文としてCOMMIT_CMDが抽出できることを確認する(ステップS512)。COMMIT_CMDが抽出できれば,たしかに移動元デバイス10がデータ移動を再度行えない状態へ遷移したこと,かつ,自らが要求したコミットコマンドが受信できたことが確認できるので,移動先デバイス20は,転送されたデータを有効とし(ステップS514),データ確定中状態からデータ移動後状態へ遷移する(ステップS516)。
また,Commitコマンドの受け付けとCOMMIT_CMDの検証処理は,全体のフローの中において特に重要な箇所となるため,試行回数を制限する。
図8は,以上説明したデータ移動方法における状態遷移および実行可能コマンドの説明図である。図8に示したステップ(S106等)は,上述の図2〜図7の各ステップに対応するものである。また,一般利用状態とは,データ移動を行っていないときの通常の利用状態のことである。
以上,本実施形態にかかるデータ移動方法について説明した。かかるデータ移動方法は,コンピュータ(携帯電話,ICカード等を含む)に上記データ移動方法を実現するためのコンピュータプログラムを組み込むことで,コンピュータに上記データ移動方法を実現させることが可能である。かかるコンピュータプログラムは,所定の記録媒体(例えば,CD−ROM)に記録された形で,あるいは,電子ネットワークを介したダウンロードの形で市場を流通させることが可能である。
(本実施形態の効果)
本実施形態によれば,相互認証段階(ステップS10)からデータ転送完了確認段階(ステップS40)の間で,処理が何らかの障害(電力断など)により失敗した場合は,移動元・移動先双方ともに,Pollingコマンドから再実行が可能であり,不正な複製およびデータの損失は発生しない。
本実施形態によれば,相互認証段階(ステップS10)からデータ転送完了確認段階(ステップS40)の間で,処理が何らかの障害(電力断など)により失敗した場合は,移動元・移動先双方ともに,Pollingコマンドから再実行が可能であり,不正な複製およびデータの損失は発生しない。
また,移動元デバイス10がデータ移動後状態に遷移した後,移動先デバイス20がデータ移動後状態に遷移するまでの間(図7に示した符号Xの間)で,処理が何らかの障害(電力断など)により失敗した場合は,データの損失は起こり得るが,全体のフローから見たときの発生確率は非常に小さい。また,この場合は,不正な複製は発生しない。
以上,添付図面を参照しながら本発明にかかるデータ移動方法の好適な実施形態について説明したが,本発明はかかる例に限定されない。当業者であれば,特許請求の範囲に記載された技術的思想の範疇内において各種の変更例または修正例に想到し得ることは明らかであり,それらについても当然に本発明の技術的範囲に属するものと了解される。
本発明はデータ移動方法に利用可能であり,特に,セキュアにデータが保存されたセキュリティデバイス間におけるデータ移動方法に利用可能である。
10 移動元デバイス
20 移動先デバイス
30 コントローラ
20 移動先デバイス
30 コントローラ
Claims (16)
- データの移動元となる移動元デバイスとデータの移動先となる移動先デバイスとの間におけるデータ移動方法であって,
前記移動元デバイスおよび前記移動先デバイスは,データの転送が可能なデータ移動中状態,データの転送が完了しているがアクセスはできないデータ確定中状態,およびデータの転送が完了してアクセスが可能なデータ移動後状態の3状態が定義可能であり,
前記移動元デバイスおよび前記移動先デバイスがともにデータ移動中状態であるときに,前記移動元デバイスから前記移動先デバイスにデータ転送処理を行う工程と,
前記データ転送処理が完了した旨のデータ移動完了通知を前記移動元デバイスから前記移動先デバイスに通知する工程と,
前記データ転送完了通知を確認した旨のデータ転送完了確認通知を前記移動先デバイスから前記移動元デバイスに通知する工程と,
前記移動先デバイスがデータ確定中状態に遷移して,データ確定処理を行う工程と,
を含むことを特徴とする,データ移動方法。 - 前記データ転送完了通知が通知された前記移動元デバイスが,データの再転送が不可能な状態に切り替わる工程と,
前記移動元デバイスがデータの再転送が不可能である旨のデータ再転送不可通知を,前記移動先デバイスに通知する工程と,
前記移動先デバイスが,前記移動元デバイスからのデータ再転送不可通知の正当性を検証した後,データ移動後状態に遷移して,転送されたデータを有効な状態に切り替える処理を行う工程と,
を含むことを特徴とする,請求項1に記載のデータ移動方法。 - 前記移動先デバイスは,前記移動元デバイスからのデータ再転送不可通知の正当性を検証する試行回数を所定回数に制限することを特徴とする,請求項2に記載のデータ移動方法。
- 前記データ転送完了通知を移動元デバイスから移動先デバイスに通知する工程において,後に前記移動先デバイスの正当性を担保するための値として,前記移動元デバイスが動的に生成した値を通知することを特徴とする,請求項1に記載のデータ移動方法。
- 前記データ転送完了確認通知を前記移動先デバイスから前記移動元デバイスに通知する工程において,後に前記移動元デバイスの正当性を担保するための値として,前記移動先デバイスが動的に生成した値を通知することを特徴とする,請求項1に記載のデータ移動方法。
- 前記移動元デバイスがデータ再転送不可通知を前記移動先デバイスに通知するためのコマンドは,前記移動元デバイスによって生成されることを特徴とする,請求項2に記載のデータ移動方法。
- 前記移動元デバイスから前記移動先デバイスに転送されるデータは,ファイル構造に関するデータであることを特徴とする,請求項1に記載のデータ移動方法。
- データの移動元となる移動元デバイスと,データの移動先となる移動先デバイスと,前記移動元デバイスおよび前記移動先デバイスのデータ移動を制御するコントローラと,の間におけるデータ移動方法であって,
前記移動元デバイスおよび前記移動先デバイスは,データの転送が可能なデータ移動中状態,データの転送が完了しているがアクセスはできないデータ確定中状態,およびデータの転送が完了してアクセスが可能なデータ移動後状態の3状態が定義可能であり,
前記移動元デバイスおよび前記移動先デバイスがともにデータ移動中状態であるときに,前記移動元デバイスから前記コントローラを介して前記移動先デバイスにデータ転送処理を行う工程と,
前記データ転送処理が完了した旨のデータ転送完了通知を前記移動元デバイスから前記コントローラを介して前記移動先デバイスに通知する工程と,
前記データ転送完了通知を確認した旨のデータ転送完了確認通知を前記移動先デバイスから前記コントローラを介して前記移動元デバイスに通知する工程と,
前記移動先デバイスがデータ確定中状態に遷移して,データ確定処理を行う工程と,
を含むことを特徴とする,データ移動方法。 - 前記データ転送処理を行う工程は,
移動するデータのうち一部のデータを前記移動元デバイスから前記コントローラに転送する第1工程と,
前記一部のデータを前記コントローラから前記移動先デバイスに転送する第2工程と,
を含み,
すべてのデータが転送されるまで,前記第1工程および第2工程を繰り返すことを特徴とする,請求項8に記載のデータ転送方法。 - 前記データ転送処理を行う工程は,
移動するすべてのデータを一括して前記移動元デバイスから前記コントローラに転送する工程と,
前記すべてのデータを一括して前記コントローラから前記移動先デバイスに転送する工程と,
を含むことを特徴とする,請求項8に記載のデータ転送方法。 - 前記データ転送完了通知が通知された前記移動元デバイスが,データの再転送が不可能な状態に切り替わる工程と,
前記移動元デバイスがデータの再転送が不可能である旨のデータ再転送不可通知を,前記移動先デバイスに通知する工程と,
前記移動先デバイスが,前記移動元デバイスからのデータ再転送不可通知の正当性を検証した後,データ移動後状態に遷移して,転送されたデータを有効な状態に切り替える処理を行う工程と,
を含むことを特徴とする,請求項8に記載のデータ移動方法。 - 前記移動先デバイスは,前記移動元デバイスからのデータ再転送不可通知の正当性を検証する試行回数を所定回数に制限することを特徴とする,請求項11に記載のデータ移動方法。
- 前記データ転送完了通知を移動元デバイスから移動先デバイスに通知する工程において,後に前記移動先デバイスの正当性を担保するための値として,前記移動元デバイスが動的に生成した値を通知することを特徴とする,請求項8に記載のデータ移動方法。
- 前記データ転送完了確認通知を前記移動先デバイスから前記移動元デバイスに通知する工程において,後に前記移動元デバイスの正当性を担保するための値として,前記移動先デバイスが動的に生成した値を通知することを特徴とする,請求項8に記載のデータ移動方法。
- 前記移動元デバイスがデータ再転送不可通知を前記移動先デバイスに通知するためのコマンドは,前記移動元デバイスによって生成されることを特徴とする,請求項11に記載のデータ移動方法。
- 前記移動元デバイスから前記移動先デバイスに転送されるデータは,ファイル構造に関するデータであることを特徴とする,請求項8に記載のデータ移動方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005223077A JP4595732B2 (ja) | 2005-08-01 | 2005-08-01 | データ移動方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005223077A JP4595732B2 (ja) | 2005-08-01 | 2005-08-01 | データ移動方法 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2007041701A true JP2007041701A (ja) | 2007-02-15 |
| JP2007041701A5 JP2007041701A5 (ja) | 2008-09-18 |
| JP4595732B2 JP4595732B2 (ja) | 2010-12-08 |
Family
ID=37799643
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005223077A Expired - Fee Related JP4595732B2 (ja) | 2005-08-01 | 2005-08-01 | データ移動方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4595732B2 (ja) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05324449A (ja) * | 1992-05-15 | 1993-12-07 | Pfu Ltd | データファイルのムーブ方式 |
| JPH09312643A (ja) * | 1996-05-22 | 1997-12-02 | Matsushita Electric Ind Co Ltd | 鍵共有方法及び暗号通信方法 |
| JP2001326662A (ja) * | 1999-11-18 | 2001-11-22 | Sony Corp | 通信方法及び通信装置 |
| JP2001332021A (ja) * | 2000-05-23 | 2001-11-30 | Matsushita Electric Ind Co Ltd | データ再生装置、データ記録再生装置、媒体および情報集合体 |
| JP2002077982A (ja) * | 2000-08-28 | 2002-03-15 | Matsushita Electric Ind Co Ltd | 基地局装置、通信端末装置及び無線通信方法 |
| JP2002366440A (ja) * | 2001-06-12 | 2002-12-20 | Hittsu Kenkyusho:Kk | 光無線通信装置 |
| JP2003092783A (ja) * | 2001-09-18 | 2003-03-28 | Sony Corp | 通信装置、通信システムおよびプログラム |
| JP2003204322A (ja) * | 2001-10-15 | 2003-07-18 | Mitsubishi Electric Corp | 暗号通信装置 |
| JP2004221684A (ja) * | 2003-01-09 | 2004-08-05 | Canon Inc | 無線システムにおける負荷分散方法 |
| JP2004362203A (ja) * | 2003-06-04 | 2004-12-24 | Toshiba Corp | 装置間伝送装置 |
-
2005
- 2005-08-01 JP JP2005223077A patent/JP4595732B2/ja not_active Expired - Fee Related
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05324449A (ja) * | 1992-05-15 | 1993-12-07 | Pfu Ltd | データファイルのムーブ方式 |
| JPH09312643A (ja) * | 1996-05-22 | 1997-12-02 | Matsushita Electric Ind Co Ltd | 鍵共有方法及び暗号通信方法 |
| JP2001326662A (ja) * | 1999-11-18 | 2001-11-22 | Sony Corp | 通信方法及び通信装置 |
| JP2001332021A (ja) * | 2000-05-23 | 2001-11-30 | Matsushita Electric Ind Co Ltd | データ再生装置、データ記録再生装置、媒体および情報集合体 |
| JP2002077982A (ja) * | 2000-08-28 | 2002-03-15 | Matsushita Electric Ind Co Ltd | 基地局装置、通信端末装置及び無線通信方法 |
| JP2002366440A (ja) * | 2001-06-12 | 2002-12-20 | Hittsu Kenkyusho:Kk | 光無線通信装置 |
| JP2003092783A (ja) * | 2001-09-18 | 2003-03-28 | Sony Corp | 通信装置、通信システムおよびプログラム |
| JP2003204322A (ja) * | 2001-10-15 | 2003-07-18 | Mitsubishi Electric Corp | 暗号通信装置 |
| JP2004221684A (ja) * | 2003-01-09 | 2004-08-05 | Canon Inc | 無線システムにおける負荷分散方法 |
| JP2004362203A (ja) * | 2003-06-04 | 2004-12-24 | Toshiba Corp | 装置間伝送装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4595732B2 (ja) | 2010-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7676042B2 (en) | Terminal apparatus, server apparatus, and digital content distribution system | |
| JP4856400B2 (ja) | 記憶装置及び情報処理端末 | |
| US7783884B2 (en) | Content providing system, information processing device and memory card | |
| JP4392672B2 (ja) | ソフトウェア無線通信装置、及びソフトウェア更新方法、並びに、ソフトウェア無線通信システム | |
| JP4209840B2 (ja) | Icカード、端末装置及びデータ通信方法 | |
| TW200842647A (en) | Upgrading a memory card that has security mechanisms that prevent copying of secure content and applications | |
| JP2009537092A (ja) | 権利オブジェクトの移動方法および電子装置 | |
| JP2007027896A (ja) | 通信カード、機密情報処理システム、機密情報転送方法およびプログラム | |
| JP2010198351A (ja) | 権利付コンテンツ管理装置 | |
| BRPI0712543A2 (pt) | mÉtodo e aparelho para efetuar o retorno de um objeto de gerÊncia de direitos | |
| JP2009017537A (ja) | 利用装置、サーバ装置、サービス利用システム、サービス利用方法、サービス利用プログラム及び集積回路 | |
| JP2008123482A (ja) | 記憶媒体制御方法 | |
| EP4222915A1 (en) | Providing cryptographically secure post-secrets-provisioning services | |
| EP1840781A1 (en) | System, device, method and computer program for transferring content | |
| JP5112924B2 (ja) | アプリケーション移動システム、アプリケーションの移動方法、プログラムおよび携帯端末 | |
| JP2007102785A (ja) | 保安方法及びシステム、その方法を記録したコンピュータで読み取り可能な記録媒体 | |
| US20080077790A1 (en) | Authentication system using electronic certificate | |
| US8904173B2 (en) | System and method for securely moving content | |
| JP2010113607A (ja) | 記録媒体装置、コンテンツ利用システム及び記録媒体装置の制御方法 | |
| JPWO2013054747A1 (ja) | 情報処理装置および方法、並びにプログラム | |
| JP4595732B2 (ja) | データ移動方法 | |
| JP4709583B2 (ja) | データ送信装置およびデータ送信方法 | |
| KR20130026453A (ko) | 처리 장치, 처리 방법 및 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체 | |
| JP2007329731A (ja) | 証明書更新方法、システム及びプログラム | |
| JP4755772B2 (ja) | 端末装置のプログラムデータ遠隔更新システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080801 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080801 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100511 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100630 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100824 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100906 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131001 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |