JP2008005408A - 記録データ処理装置 - Google Patents
記録データ処理装置 Download PDFInfo
- Publication number
- JP2008005408A JP2008005408A JP2006175361A JP2006175361A JP2008005408A JP 2008005408 A JP2008005408 A JP 2008005408A JP 2006175361 A JP2006175361 A JP 2006175361A JP 2006175361 A JP2006175361 A JP 2006175361A JP 2008005408 A JP2008005408 A JP 2008005408A
- Authority
- JP
- Japan
- Prior art keywords
- computer system
- data
- information
- external storage
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】 コンピュータシステムのデータ処理装置に関し、コンピュータシステムと外部記憶装置間をブリッジするデータ暗号化装置であって、不正なコンピュータシステムに接続されて、データ暗号化装置の内部情報が解析されることを防止するデータ暗号化装置を提供する。
【解決手段】 HDDとHDDコントローラ間に挿入される暗号化、複合化モジュールにCPUを内蔵し、電源立ち上げ後、HDDコントローラと暗号化モジュール間で所定でのデータ転送が行えない場合、不正な使用だと判断し、内部のFLASHにある暗号鍵を消去する。
【選択図】 図2
【解決手段】 HDDとHDDコントローラ間に挿入される暗号化、複合化モジュールにCPUを内蔵し、電源立ち上げ後、HDDコントローラと暗号化モジュール間で所定でのデータ転送が行えない場合、不正な使用だと判断し、内部のFLASHにある暗号鍵を消去する。
【選択図】 図2
Description
本発明は、コンピュータシステムのデータ処理装置に関し、特に外部記憶装置に保持されているデータの機密性を維持するデータ暗号化復号装置に関する。
コンピュータシステムにおいて、 データは外部記憶装置に保持されることが多い。外部記憶装置は、HDDに代表されるように、コンピュータシステムとはケーブル (e.g. IDE、SCSI、USB、IEEE1395) 等で接続されていて、コンピュータシステムとの物理的な一体感が小さく、分離することが可能である。したがって、外部記憶装置をコンピュータシステムから分離し、解析することによって、 外部記憶装置内のデータが漏洩してしまうという脅威が存在する。
上記の脅威に対抗する対策の一つとして、外部記憶装置に保持するデータを暗号化する方法がある。外部記憶装置に書き込むデータを暗号化し、また外部記憶装置から読み込みデータを復号することによって、 外部記憶装置に保持されているデータの漏洩を防止する。
既存のコンピュータシステムに、新たに暗号化復号機能を追加する方法として、3つの方法が考えられる。
第1の方法は、コンピュータシステムに暗号化復号機能を新規に追加する方法である。この方法の場合、既存のコンピュータシステムに対して、暗号化復号機能を新規に追加する必要があり、コンピュータシステムの変更が大きくなるという問題がある。
第2の方法は、外部記憶装置に暗号化復号機能を追加する方法である。この方法の場合、外部記憶装置自身に暗号化復号機能を追加する必要があり、汎用的な外部記憶装置が利用できないという問題がある。
第3の方法は、コンピュータシステムと外部記憶装置との間をブリッジする新たな装置を設ける方法である。第3の方法に関連して、特開平04-098552 (電子ファイリング装置) と特開平11-085621 (記録データ暗号化装置) の発明がある。
特開平04-098552 (電子ファイリング装置) は、暗号化手段、復号手段、データ処理手段および外部記憶装置から構成される電子ファイリング装置であって、外部記憶装置に記録するデータを暗号化し、外部記憶装置から読み出すデータを復号する。また、暗号化または復号に必須の情報を取り外し可能な構造を有する。
特開平11-085621 (記録データ暗号化装置) は、コンピュータシステムと外部記憶装置の間に接続される記録データ暗号化装置であって、鍵情報を記憶する記憶手段と、 コンピュータシステムから送られたデータを前記記憶手段に記憶された前記鍵情報を加味して暗号化し外部記憶装置へ転送する暗号化手段と、外部記憶装置から読み出した暗号化されたデータを記憶手段に記憶された鍵情報を加味して復号化しコンピュータシステムへ転送する復号化手段と、 暗号化手段と復号化手段を監視しそれらの動作を制御するプロトコル制御手段を備え、コンピュータシステムおよび外部記憶装置に変更を加えることなく、外部記憶装置に記憶するデータの暗号化を実現し、 外部記憶装置内のデータの漏洩を防止している。また、鍵情報をICカード等の着脱可能な第2の外部記憶装置に記憶可能である。
特開平04-098552号公報
特開平11-085621号公報
特開平04-098552 (電子ファイリング装置) は、イメージスキャナ、ディスプレイ、プリンタまたは操作パネルを制御するデータ処理手段が暗号化手段および復号手段を制御している。つまり、当該従来例は、暗号化手段および復号手段がデータ処理手段から分離可能となっており、物理的な構成においては上記第3の方法 (ブリッジする新たな装置を設ける方法) に分類できる。しかし、データ処理手段が暗号化手段および復号手段を制御しており、 機能的な構成においては上記第1の方法 (コンピュータシステムに暗号化復号機能を追加する方法) であり、コンピュータシステムの変更が大きくなるという問題がある。
特開平11-085621 (記録データ暗号化装置)は、コンピュータシステムおよび外部記憶装置に変更を加えることなく、外部記憶装置に記憶するデータを暗号化し、外部記憶装置内のデータの漏洩を防止した。つまり、外部記憶装置単体の盗難という脅威に対しては、データの暗号化によって対抗していた。しかし、暗号化で利用した鍵情報は、記録データ暗号化装置に保持されている。つまり、外部記憶装置と記録データ暗号化装置のセットで盗難された場合、外部記憶装置と記録データ暗号化装置をセットで異なるコンピュータシステムに接続することで容易に外部記憶装置のデータにアクセスすることが可能となるという問題がある。さらに、異なるコンピュータシステムに接続可能であるため、悪意のあるコンピュータシステムが、インタフェースを通して不正な情報を記録データ暗号化装置に与え、そこから得られる情報を解析することで記録データ暗号化装置の内部情報が解析される可能性があるという問題がある。
また、悪意のあるエンティティ (コンピュータシステム)からの不正を防止するための一般的な対策として、識別認証機能がある。そこで、特開平11-085621 (記録データ暗号化装置) において、コンピュータシステムと記録データ暗号化装置間で識別認証機能を追加する方式が考えられる。しかし、単純に識別認証機能を追加した場合では、不正な情報を記録データ暗号化装置に繰り返し与え、そこから得られる情報を解析することで、 記録データ暗号化装置の内部情報が解析される可能性が残る。
本発明は、上記実情をかんがみてなされたものであり、コンピュータシステムおよび外部記憶装置に変更を最小にするためにコンピュータシステムと外部記憶装置間をブリッジするデータ暗号化装置であって、 不正なコンピュータシステムに接続されて、データ暗号化装置の内部情報が解析されることを防止するデータ暗号化装置を提供することを目的とする。
不正なコンピュータシステムに接続されて、データ暗号化装置の内部情報が解析されることを防止できる。
本発明の実施の形態について図面を参照して詳細に説明する。
(第一の実施の形態)
本実施の形態では、データ暗号化装置について説明する。第一にデータ暗号化装置の利用環境について説明する。次に、データ暗号化装置の構成を説明し、最後に、当該装置でデータの機密性を維持する動作を説明する。
本実施の形態では、データ暗号化装置について説明する。第一にデータ暗号化装置の利用環境について説明する。次に、データ暗号化装置の構成を説明し、最後に、当該装置でデータの機密性を維持する動作を説明する。
データ暗号化装置の利用環境について
データ暗号化装置の利用環境について、図1を用いて説明する。図1に、データ暗号化装置、外部記憶装置およびコンピュータシステムの関係を示した。
データ暗号化装置の利用環境について、図1を用いて説明する。図1に、データ暗号化装置、外部記憶装置およびコンピュータシステムの関係を示した。
データ暗号化装置は、コンピュータシステムと外部記憶装置間をブリッジするように設置される。データ暗号化装置は、コンピュータシステムから送信されたデータを暗号化し外部記憶装置に転送し、かつ外部記憶装置から読み込まれたデータを復号しコンピュータシステムに転送する。コンピュータシステムとデータ暗号化装置間、およびデータ暗号化装置と外部記憶装置間のインタフェースは、SCSI、IDE、USB、IEEE1394、またはWireless USB等、さまざまなインタフェースを利用することができる。
コンピュータシステムは、データ処理装置であって、バンキングシステム、 DTP (DeskTop Publishing) システム、またはMFP (Multi Function Printer) 等であり、特定のデータ処理装置に限定しない。外部記憶装置は、データを保持する装置であって、HDD (Hard Disk Drive)、またはCD-R/CD-RW/DVD-R/DVD-RWのような書き換え可能な磁気ディスク等であり、特定の外部記憶装置に限定しない。
なお、本発明は、コンピュータシステムを含む盗難によるデータ漏洩は想定しない。つまり、コンピュータシステムは、大きな筐体や入退室管理が実施されている居室に設置されている筐体であり、物理的に盗難が困難であると想定する。したがって、本発明は、外部記憶装置やデータ暗号化装置の盗難によるデータ漏洩を想定する。
データ暗号化装置の構成について
次に、データ暗号化装置ついて、図2を用いて構成を説明する。図2に示した四角の各ブロックは機能別の構成要素であり、データ暗号化装置は、第一の接続手段、第二の接続手段、暗号化復号手段、鍵管理手段、および識別認証手段から構成される。
次に、データ暗号化装置ついて、図2を用いて構成を説明する。図2に示した四角の各ブロックは機能別の構成要素であり、データ暗号化装置は、第一の接続手段、第二の接続手段、暗号化復号手段、鍵管理手段、および識別認証手段から構成される。
第一の接続手段は、コンピュータシステムと接続するためのインタフェースであって、SCSI、IDE、USB、IEEE1394、またはWireless USB等、さまざまなインタフェースを利用することが可能である。
第二の接続手段は、外部記憶装置と接続するためのインタフェースであって、SCSI、IDE、USB、IEEE1394、またはWireless USB等、さまざまなインタフェースを利用することが可能である。通常、第一の接続手段と第二の接続手段は、同一のインタフェースであるが、異なる場合も想定される。なお、本発明は、インタフェースに依存する発明でないため、本発明で利用するインタフェースを特定のインタフェースに限定しない。
暗号化復号手段は、 後述の鍵管理手段で保持している鍵情報を用いてコンピュータシステムから送信されたデータを暗号化し、 外部記憶装置から読み込んだデータを復号する。データの暗号アルゴリズムは、AES (Advanced Encryption Standard) など共通鍵暗号方式、RSA など公開鍵暗号方式、または共通鍵方式と公開鍵方式を組み合わせたハイブリッド方式などが利用可能である。本発明は暗号アルゴリズムに依存する方式でないため、 本発明で利用する暗号アルゴリズムを特定の暗号アルゴリズムに限定しない。
鍵管理手段は、前記暗号化復号手段の暗号化処理や復号処理で利用する鍵情報を維持、管理する。
識別認証手段は、コンピュータシステムを識別認証する手段である。 識別認証するための具体的な方法は、 以下の方法が考えられる。
・ コンピュータシステムとデータ暗号化装置間であらかじめ認証情報を共有しており、コンピュータシステムから受信した認証情報とデータ暗号化装置で保持している認証情報が一致するかどうかを検査し、コンピュータシステムを認証する方法。
・ コンピュータシステムとデータ暗号化装置間であらかじめ認証情報を共有しており、認証情報を用いてチャレンジアンドレスポンス認証することにより、コンピュータシステムを認証する方法。
・ データ暗号化装置がコンピュータシステムの公開鍵証明書を保持しており、データ暗号化装置は、コンピュータシステムのデジタル署名を受信し、デジタル署名を検証することにより、コンピュータシステムを認証する方法。なお、デジタル署名を受信すると同時に公開鍵証明書を受信することも可能である。
・ コンピュータシステムとデータ暗号化装置間であらかじめ認証情報を共有しており、コンピュータシステムから受信した認証情報とデータ暗号化装置で保持している認証情報が一致するかどうかを検査し、コンピュータシステムを認証する方法。
・ コンピュータシステムとデータ暗号化装置間であらかじめ認証情報を共有しており、認証情報を用いてチャレンジアンドレスポンス認証することにより、コンピュータシステムを認証する方法。
・ データ暗号化装置がコンピュータシステムの公開鍵証明書を保持しており、データ暗号化装置は、コンピュータシステムのデジタル署名を受信し、デジタル署名を検証することにより、コンピュータシステムを認証する方法。なお、デジタル署名を受信すると同時に公開鍵証明書を受信することも可能である。
上記方法は、データ暗号化装置がコンピュータシステムを識別認証する一例であって、本発明は特定の識別認証方法に限定しない。
データ暗号化装置の動作について
次に、図3を用いて、データ暗号化装置の動作を説明する。
次に、図3を用いて、データ暗号化装置の動作を説明する。
識別認証手段は、コンピュータシステムを識別認証する (ステップ0301)。
認証に成功した場合、暗号化復号手段は、 鍵管理手段に保持されている鍵情報を用いて、第一の接続手段から入力されるデータを暗号化して第二の接続手段へ出力し、かつ第二の接続手段から入力されるデータを復号して第一の接続手段へ出力する (ステップ0302)。
認証に失敗した場合、識別認証手段は、 鍵管理手段に保持されている鍵情報を消去する (ステップ0303)。
以上の手順によって、外部記憶装置に保持されているデータを暗号化することを実現できる。
本実施の形態は、コンピュータシステムおよび外部記憶装置間をブリッジするデータ暗号化装置であって、識別認証手段によってコンピュータシステムを識別認証し、認証に失敗した場合に鍵管理手段に管理されている鍵情報を消去する。したがって、データ暗号化装置を不正なコンピュータシステムに接続し、任意の情報を送信することによるデータ暗号化装置の内部情報の解析を防止することを実現している。
(第二の実施の形態)
本実施の形態では、 不正なコンピュータシステムからの攻撃からデータを保護することを可能にするデータ暗号化装置について説明する。
本実施の形態では、 不正なコンピュータシステムからの攻撃からデータを保護することを可能にするデータ暗号化装置について説明する。
以下に、データ暗号化装置の構成を説明し、次にデータ暗号化装置の動作を説明する。
データ暗号化装置の構成について
データ暗号化装置について、図4を用いて構成を説明する。図4に示した四角の各ブロックは機能別の構成要素であり、データ暗号化装置は、第一の接続手段、第二の接続手段、暗号化復号手段、制御手段、鍵共有手段、状態管理手段および識別認証手段から構成される。
データ暗号化装置について、図4を用いて構成を説明する。図4に示した四角の各ブロックは機能別の構成要素であり、データ暗号化装置は、第一の接続手段、第二の接続手段、暗号化復号手段、制御手段、鍵共有手段、状態管理手段および識別認証手段から構成される。
第一の接続手段は、コンピュータシステムと接続するためのインタフェースであって、SCSI、IDE、USB、IEEE1394、またはWireless USB等、さまざまなインタフェースを利用することが可能である。
第二の接続手段は、外部記憶装置と接続するためのインタフェースであって、SCSI、IDE、USB、IEEE1394、またはWireless USB等、さまざまなインタフェースを利用することが可能である。通常、第一の接続手段と第二の接続手段は、同一のインタフェースであるが、異なる場合も想定される。なお、本発明は、インタフェースに依存する発明でないため、本発明で利用するインタフェースを特定のインタフェースに限定しない。
暗号化復号手段は、後述の制御手段に従って、鍵情報を用いてコンピュータシステムから送信されたデータを暗号化し、外部記憶装置から読み込んだデータを復号する。 データの暗号アルゴリズムは、 AES (Advanced Encryption Standard) など共通鍵暗号方式、RSA など公開鍵暗号方式、または共通鍵方式と公開鍵方式を組み合わせたハイブリッド方式などが利用可能である。本発明は暗号アルゴリズムに依存する方式でないため、本発明で利用する暗号アルゴリズムを特定の暗号アルゴリズムに限定しない。
制御手段は、以下の機能を有する。
・ データ暗号化装置の起動時に、第一の接続手段および第二の接続手段を制御し、コンピュータシステムと外部記憶装置間の情報の送受信を遮断する。
・ 暗号化復号手段で用いる鍵情報の存在を確認した場合に、第一の接続手段および第二の接続手段を制御し、コンピュータシステムと外部記憶装置間の情報の送受信を許可する。
・ 情報の送受信に関して、制御手段は、コンピュータシステムから送信された情報がコマンド等の制御情報であるか、またはデータであるかを判断し、データの場合だけ暗号化復号手段を動作させ暗号化する。なお、制御情報であるか、データであるかの判断は、コンピュータシステムまたは外部記憶装置間のインタフェース (e.g. SCSI、IDE、USB、IEEE1394等) の仕様に依存する。
・ 外部記憶装置から読み込んだ情報が応答等の制御情報であるか、またはデータであるかを判断し、データの場合だけ暗号化復号手段を動作させ復号する。
・ 後述の識別認証手段による認証結果に応じて、 アクセスの正当性を判断し、不正なアクセスと判断した場合、鍵共有手段で生成した鍵情報または状態管理手段で保持しているシード情報を消去する。なお、不正なアクセスの判断基準は、一度の認証の失敗であったり、連続する認証の失敗であったりと、コンピュータシステムの利用形態に応じて、さまざまな判断基準を設定することが可能である。
・ データ暗号化装置の起動時に、第一の接続手段および第二の接続手段を制御し、コンピュータシステムと外部記憶装置間の情報の送受信を遮断する。
・ 暗号化復号手段で用いる鍵情報の存在を確認した場合に、第一の接続手段および第二の接続手段を制御し、コンピュータシステムと外部記憶装置間の情報の送受信を許可する。
・ 情報の送受信に関して、制御手段は、コンピュータシステムから送信された情報がコマンド等の制御情報であるか、またはデータであるかを判断し、データの場合だけ暗号化復号手段を動作させ暗号化する。なお、制御情報であるか、データであるかの判断は、コンピュータシステムまたは外部記憶装置間のインタフェース (e.g. SCSI、IDE、USB、IEEE1394等) の仕様に依存する。
・ 外部記憶装置から読み込んだ情報が応答等の制御情報であるか、またはデータであるかを判断し、データの場合だけ暗号化復号手段を動作させ復号する。
・ 後述の識別認証手段による認証結果に応じて、 アクセスの正当性を判断し、不正なアクセスと判断した場合、鍵共有手段で生成した鍵情報または状態管理手段で保持しているシード情報を消去する。なお、不正なアクセスの判断基準は、一度の認証の失敗であったり、連続する認証の失敗であったりと、コンピュータシステムの利用形態に応じて、さまざまな判断基準を設定することが可能である。
鍵共有手段は、前記暗号化復号手段の暗号化処理や復号処理で利用する鍵情報を生成する。なお、鍵情報の生成方法の詳細は後述する。
状態管理手段は、前記鍵共有手段で鍵情報を生成するときに利用する鍵のシード情報(以下、シード情報)を保持している(非初期化状態)か否か (初期化状態)によって、データ暗号化装置の状態を検査する。さらに、シード情報を保持していないと判断した場合に、シード情報を生成し、生成したシード情報を保持する。なお、シード情報は、データ暗号化装置に固有の情報である。
識別認証手段は、コンピュータシステムを識別認証する手段である。識別認証するための具体的な方法は、以下の方法が考えられる。
・ コンピュータシステムとデータ暗号化装置間であらかじめ認証情報を共有しており、コンピュータシステムから受信した認証情報とデータ暗号化装置で保持している認証情報が一致するかどうかを検査し、 コンピュータシステムを認証する方法。
・ コンピュータシステムとデータ暗号化装置間であらかじめ認証情報を共有しており、認証情報を用いてチャレンジアンドレスポンス認証することにより、コンピュータシステムを認証する方法。
・ データ暗号化装置がコンピュータシステムの公開鍵証明書を保持しており、データ暗号化装置は、コンピュータシステムのデジタル署名を受信し、デジタル署名を検証することにより、コンピュータシステムを認証する方法。なお、デジタル署名を受信すると同時に公開鍵証明書を受信することも可能である。
・ コンピュータシステムとデータ暗号化装置間であらかじめ認証情報を共有しており、コンピュータシステムから受信した認証情報とデータ暗号化装置で保持している認証情報が一致するかどうかを検査し、 コンピュータシステムを認証する方法。
・ コンピュータシステムとデータ暗号化装置間であらかじめ認証情報を共有しており、認証情報を用いてチャレンジアンドレスポンス認証することにより、コンピュータシステムを認証する方法。
・ データ暗号化装置がコンピュータシステムの公開鍵証明書を保持しており、データ暗号化装置は、コンピュータシステムのデジタル署名を受信し、デジタル署名を検証することにより、コンピュータシステムを認証する方法。なお、デジタル署名を受信すると同時に公開鍵証明書を受信することも可能である。
上記方法は、データ暗号化装置がコンピュータシステムを識別認証する一例であって、本発明は特定の識別認証方法に限定しない。
データ暗号化装置の動作についてその1(鍵情報の生成)
次に、鍵情報の生成動作を説明する。
次に、鍵情報の生成動作を説明する。
鍵共有手段は、コンピュータシステムからコンピュータシステムの固有情報(以下、固有情報) を受信する。固有情報は個々のコンピュータシステムに固有の情報であって、シリアル番号、 LAN I/Fを持つコンピュータシステムにおけるMACアドレス、またはそれらの情報を組み合わせた情報など、 さまざまな情報を利用することが可能である。
鍵共有手段は、 受信した固有情報と状態管理手段に保持しているシード情報から鍵情報を生成する。固有情報とシード情報から鍵情報を生成する方法は、以下の方法が考えられる。
・ 固有情報とシード情報の排他的論理和を鍵情報とする方法
・ 一方向性ハッシュ関数に固有情報とシード情報を入力し、出力を鍵情報とする方法
・ 固有情報を暗号化関数の鍵とし、シード情報を暗号化処理し、出力を鍵情報とする方法
・ シード情報を暗号化関数の鍵とし、固有情報を暗号化処理し、出力を鍵情報とする方法
・ Diffie-Hellman鍵共有方式 (RFC 2631) に基づいて鍵情報を共有する方法。ただし、データ暗号化装置だけが鍵情報を保持できればよいので、例えば、シード情報をデータ暗号化装置のDH鍵共有方式の秘密鍵とし、固有情報をデータ暗号化装置の公開鍵とコンピュータシステムの固有の情報から得られる情報とする。
・ 固有情報とシード情報の排他的論理和を鍵情報とする方法
・ 一方向性ハッシュ関数に固有情報とシード情報を入力し、出力を鍵情報とする方法
・ 固有情報を暗号化関数の鍵とし、シード情報を暗号化処理し、出力を鍵情報とする方法
・ シード情報を暗号化関数の鍵とし、固有情報を暗号化処理し、出力を鍵情報とする方法
・ Diffie-Hellman鍵共有方式 (RFC 2631) に基づいて鍵情報を共有する方法。ただし、データ暗号化装置だけが鍵情報を保持できればよいので、例えば、シード情報をデータ暗号化装置のDH鍵共有方式の秘密鍵とし、固有情報をデータ暗号化装置の公開鍵とコンピュータシステムの固有の情報から得られる情報とする。
上記方法は、固有情報とシード情報から鍵情報を生成する一例であって、本発明における鍵情報の生成方法は、2入力の関数「鍵情報 = f(シード情報、固有情報)」であればどのような関数でもよい。
また、鍵情報と鍵情報検証情報とをセットで鍵情報として管理することで、鍵情報の正当性を検証することも可能である。 鍵情報検証情報の一例として、鍵情報のハッシュ値が考えられる。
なお、シード情報の生成方法は、鍵情報の生成方法と暗号アルゴリズムに依存する。乱数を暗号アルゴリズムの鍵として利用できる場合は、シード情報も乱数または擬似乱数として生成することも可能である。一方、特定の条件を満たす情報を暗号アルゴリズムの鍵として利用しなければならない場合は、例えば、鍵情報を生成し、生成した鍵情報とシード情報から「鍵情報=f(シード情報、固有情報)」を満たすシード情報を求める必要がある。
データ暗号化装置の動作についてその2
次に、図5を用いて、データ暗号化装置の動作を説明する。
次に、図5を用いて、データ暗号化装置の動作を説明する。
制御手段は、第一の接続手段および第二の接続手段を制御し、コンピュータシステムと外部記憶装置間の情報の送受信を遮断する (ステップ0501)。
状態管理手段は、データ暗号化装置内に保持されているシード情報の有無を検査する (ステップ0502)。
シード情報が保持されていない場合は、シード情報を生成する (ステップ0503)。
シード情報の生成後、またはステップ0502でシード情報を保持していると確認した場合、識別認証手段は、コンピュータシステムを認証する。認証に成功した場合はステップ0505へ進み、 認証に失敗した場合はステップ0510に進む (ステップ0504)。
コンピュータシステムの認証に成功した場合、鍵共有手段は、コンピュータシステムから固有情報を受信する (ステップ0505)。
コンピュータシステムの認証に失敗した場合、制御手段はアクセスの正当性を判断する (ステップ0510)。正当なアクセスと判断した場合、ステップ0504へ戻り、不正なアクセスと判断した場合、制御手段は鍵情報およびシード情報を消去し、ステップ0501へ戻る (ステップ0511)。
鍵共有手段は、コンピュータシステムから固有情報を受信する (ステップ0505)。
鍵共有手段は、固有情報とシード情報から鍵情報を生成する (ステップ0506)。 なお、鍵情報として鍵情報検証情報をセットで管理している場合、生成した鍵情報の正当性を検証することが可能である。
制御手段は鍵情報の有無を検査し、鍵情報が保持されていない場合は、ステップ0502に戻る(ステップ0507)。なお、ステップ0506において鍵情報の正当性を検証できなかった場合、鍵情報を保持していないと判断することも可能である。
制御手段は、第一の接続手段および第二の接続手段を制御し、コンピュータシステムと外部記憶装置間の情報の送受信を許可する (ステップ0508)。
制御手段は、第一の接続手段および第二の接続手段を制御し、コンピュータシステムと外部記憶装置間の情報の送受信を許可する (ステップ0508)。
制御手段は、コンピュータシステムから送信された情報がコマンド等の制御情報であるか、またはデータであるかを判断し、データの場合だけ暗号化復号手段を動作させ暗号化する。さらに制御手段は、外部記憶装置から読み込んだ情報が応答等の制御情報であるか、またはデータであるかを判断し、データの場合だけ暗号化復号手段を動作させ復号する (ステップ0509)。なお、暗号化復号手段は、ステップ0506で生成した鍵情報を用いて、暗号化または復号する。
以上の手順によって、外部記憶装置に保持されているデータを暗号化することを実現できる。
なお、ステップ0509のデータの暗号化復号処理は第一の実施の形態と同様であり、ステップ0504の識別認証方式は第二の実施の形態と同様である。
さらに、ステップ0509のデータの暗号化復号処理に関して、データのフローを例示して、詳細に説明する。データを外部記憶装置に書き込む場合のデータフローを図6に示し、データを外部記憶装置から読み込む場合のデータフローを図7に示す。
コンピュータシステムから外部記憶装置にデータを書き込む場合のデータフローを図6に示す。制御手段は、コンピュータシステムから「コマンド」と「データ」からなる情報を受け取る。「コマンド」は書き込みに相当する制御情報であり、「データ」は外部記憶装置に書き込まれるデータである。制御手段は、暗号化復号手段を動作させ、「データ」を暗号化する。制御手段は、「コマンド」と暗号化処理によって得られた「暗号化データ」からなる情報を外部記憶装置に送信する。次に、制御手段は外部記憶装置での書き込み結果としての「応答」を受け取り、制御情報である「応答」をそのままコンピュータシステムへ送信する。
外部記憶装置からコンピュータシステムにデータを読み出す場合のデータフローを図7に示す。制御手段は、コンピュータシステムから「コマンド」を受け取る。「コマンド」は読み出しに相当する制御情報である。制御手段は、「コマンド」をそのまま外部記憶装置に送信する。次に制御手段は、外部記憶装置での読み出し結果として、「応答」と「暗号化データ」を受け取る。制御手段は、暗号化復号手段を動作させ、「暗号化データ」を復号し、「応答」と「データ」からなる情報をコンピュータシステムへ送信する。
なお、図6および図7に示したデータフローは一例であり、複数のインタフェースを跨る具体的なデータフローはコンピュータシステムとデータ暗号化装置間のインタフェースの仕様、およびデータ暗号化装置と外部記憶装置間のインタフェース仕様に依存する。例えば、「データ」がなく、「コマンド」と「応答」だけのデータフローも考えら得る。さらに、コンピュータシステムとデータ暗号化装置間のインタフェースとデータ暗号化装置と外部記憶装置間のインタフェースが異なる場合も考えられる。この場合、制御手段は、データの暗号化復号処理に加えて、インタフェース仕様の変換を同時に行うことで実現可能である。
図6および図7で示したとおり、被暗号化情報は「データ」である。したがって、鍵情報を保持しない等、データ暗号化装置が初期状態の場合、制御手段はコンピュータシステムと外部記憶手段間の送受信を遮断する情報を「データ」に限定することも可能である。
データ暗号化装置の状態表示について
データ暗号化装置は、外部記憶装置に記録するデータの暗号化等、データの機密性に関して重要な機能を担う。重要な機能を担っているため、当該処理が正しく実行されているかどうかを利用者に通知することは、利用者に安心感を与えるという観点で重要な要素である。
データ暗号化装置は、外部記憶装置に記録するデータの暗号化等、データの機密性に関して重要な機能を担う。重要な機能を担っているため、当該処理が正しく実行されているかどうかを利用者に通知することは、利用者に安心感を与えるという観点で重要な要素である。
データ暗号化装置の利用環境を図1に示した。図1に示したように、一般的にデータ暗号化装置は、コンピュータシステムとつながるインタフェースと外部記憶装置とつながるインタフェースだけを有し、LED/ディスプレイ等のマンマシンインタフェースを持たない。また、データ暗号化装置を外部記憶装置と同様に、コンピュータシステム内部に設置して利用する場合、データ暗号化装置は、物理的にマンマシンインタフェースを持つことが困難である。
したがって、コンピュータシステムの利用者は、暗号化処理および復号処理が可能な状態である等のデータ暗号化装置の状態をデータ暗号化装置から直接判断することが困難である。一方、コンピュータシステムは、通常、マンマシンインタフェースを有する。そこで、データ暗号化装置の状態をコンピュータシステムに送信し、コンピュータシステムの有するマンマシンインタフェースを用いて暗号化装置の状態を利用者に通知することが考えられる。
一例を以下に示す。 鍵共有手段で鍵情報を生成し、生成した鍵情報の正当性を検証し、かつ制御手段で情報の送受信を許可した場合、データ暗号化装置はコンピュータシステムに暗号化処理かつ復号処理が可能であると通知する。当該通知を受信したコンピュータシステムはディスプレイに暗号通信可能を示すアイコンを表示する。以上により、重要な機能を担っているデータ暗号化装置の状態を利用者に通知し、利用者に安心感を与えることを可能にする。
本実施の形態は、コンピュータシステムおよび外部記憶装置間をブリッジするデータ暗号化装置であって、制御手段と暗号化復号手段で外部記憶装置に書き込むデータを暗号化することによって外部記憶装置のデータの機密性を維持することを実現している。特に暗号化または復号に用いる鍵情報はコンピュータシステムの固有情報とデータ暗号化装置の固有情報から生成されるため、コンピュータシステムとデータ暗号装置の異なる組から正当な鍵情報を生成することができない。また、コンピュータシステムの固有情報の受信前にコンピュータシステムを認証することによって、 正当なコンピュータシステムの固有情報の受信を実現している。さらに、コンピュータシステムの認証時にアクセスの正当性を判断し、不正なアクセスと判断した場合に、鍵情報およびシード情報を消去する。
したがって、データ暗号化装置と外部記憶装置のセットの盗難による外部記憶装置のデータの機密性を維持することを実現している。また、状態管理手段によって、鍵情報に関する状態としてシード情報の有無を管理し、鍵情報を保持していない場合は自動的に鍵情報に関するシード情報を生成することによって、鍵情報の管理の自動化を実現している。さらに、不正なアクセスを検出した時に鍵情報およびシード情報を自動的に消去することにより、インタフェースを経由した不正なアクセスからの情報の保護を実現している。
Claims (8)
- コンピュータシステムと外部記憶装置の間に接続されるデータ処理装置において、
前記コンピュータシステムと接続するための第一の接続手段と、
前記外部記憶装置と接続するための第二の接続手段と、
鍵情報を維持、管理する鍵管理手段と、
前記鍵管理手段で管理している前記鍵情報に基づいて前記コンピュータシステムから送られたデータを暗号化し前記外部記憶装置へ転送する暗号化手段と、
前記鍵管理手段で管理している前記鍵情報に基づいて前記外部記憶装置から送られたデータを復号し前記コンピュータシステムへ転送する復号手段と、
前記コンピュータシステムを識別認証する識別認証手段とを備え、
前記識別認証手段によって不正なコンピュータシステムと判断した際に、前記鍵管理手段で保持している前記鍵情報を消去すること
を特徴とするデータ処理装置。 - コンピュータシステムと外部記憶装置の間に接続されるデータ処理装置において、
前記コンピュータシステムと接続するための第一の接続手段と、
前記外部記憶装置と接続するための第二の接続手段と、
前記コンピュータシステムを識別認証する識別認証手段と、
前記コンピュータシステムとの間で鍵情報を共有する鍵共有手段と、
前記鍵共有手段で共有した前記鍵情報に基づいて前記コンピュータシステムから送られたデータを暗号化し前記外部記憶装置へ転送する暗号化手段と、
前記鍵共有手段で共有した前記鍵情報に基づいて前記外部記憶装置から送られたデータを復号し前記コンピュータシステムへ転送する復号手段と、
前記暗号化手段および前記復号手段の動作を制御する制御手段と
を備えることを特徴とするデータ処理装置。 - 請求項2に記載のデータ処理装置であり、
当該データ処理装置が初期状態であるかどうかを管理する状態管理手段を備え、
前記制御手段は前記状態管理手段に応じて、 前記第一の接続手段および前記第二の接続手段の動作を制御する
ことを特徴とするデータ処理装置。 - 請求項3に記載のデータ処理装置であり、
前記状態管理手段は、 前記鍵情報の有無によって当該データ処理装置が初期状態であるかどうかを管理する
ことを特徴とするデータ処理装置。 - 請求項2から請求項4に記載のデータ処理装置であり、
前記鍵共有手段は、
前記コンピュータシステムに固有の情報および当該データ処理装置に固有の情報に基づいて前記鍵情報を共有する
ことを特徴とするデータ処理装置。 - 請求項5に記載のデータ処理装置であり、
前記鍵共有手段は、
前記コンピュータシステムに固有の情報として、 前記コンピュータシステムのシリアル情報に基づいて前記鍵情報を共有する
ことを特徴とするデータ処理装置。 - 請求項2から請求項6に記載のデータ処理装置であり、
前記制御手段は、
前記鍵共有手段と前記状態管理手段に応じて、 前記コンピュータシステムから送られたデータのうち前記外部記憶装置の制御に関わるデータ以外を暗号化し、
前記外部記憶装置から送られたデータのうち前記外部記憶装置からの応答に関わるデータ以外を復号するように前記暗号化手段および前記復号手段の動作を制御する
ことを特徴とするデータ処理装置。 - 請求項2に記載の記録データ処理装置であり、
前記鍵共有手段は、
前記認証手段によって認証したコンピュータシステムに固有の情報に基づいて前記鍵情報を共有する
ことを特徴とする記録データ処理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006175361A JP2008005408A (ja) | 2006-06-26 | 2006-06-26 | 記録データ処理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006175361A JP2008005408A (ja) | 2006-06-26 | 2006-06-26 | 記録データ処理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008005408A true JP2008005408A (ja) | 2008-01-10 |
Family
ID=39009394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006175361A Withdrawn JP2008005408A (ja) | 2006-06-26 | 2006-06-26 | 記録データ処理装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008005408A (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011248124A (ja) * | 2010-05-27 | 2011-12-08 | Canon Inc | データ暗号化装置およびその制御方法 |
JP2012064228A (ja) * | 2011-10-20 | 2012-03-29 | Toshiba Corp | 記憶装置及び認証方法 |
JP2012064229A (ja) * | 2011-10-20 | 2012-03-29 | Toshiba Corp | 記憶システム及び認証方法 |
WO2012053037A1 (ja) * | 2010-10-21 | 2012-04-26 | Shikinami Yasuo | 相補的に強化された強化複合体及びその製造方法 |
JP2013504126A (ja) * | 2009-09-04 | 2013-02-04 | セーケ トーマス | データ交換を認証および制御する個別の形式を備える個人用多機能アクセス装置 |
JP2013097795A (ja) * | 2011-10-27 | 2013-05-20 | Toshiba Corp | 機器 |
US8650654B2 (en) | 2010-09-17 | 2014-02-11 | Kabushiki Kaisha Toshiba | Memory device, memory system, and authentication method |
US8782804B2 (en) | 2011-04-08 | 2014-07-15 | Kabushiki Kaisha Toshiba | Storage device, storage system, and authentication method |
-
2006
- 2006-06-26 JP JP2006175361A patent/JP2008005408A/ja not_active Withdrawn
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013504126A (ja) * | 2009-09-04 | 2013-02-04 | セーケ トーマス | データ交換を認証および制御する個別の形式を備える個人用多機能アクセス装置 |
JP2011248124A (ja) * | 2010-05-27 | 2011-12-08 | Canon Inc | データ暗号化装置およびその制御方法 |
US8650654B2 (en) | 2010-09-17 | 2014-02-11 | Kabushiki Kaisha Toshiba | Memory device, memory system, and authentication method |
WO2012053037A1 (ja) * | 2010-10-21 | 2012-04-26 | Shikinami Yasuo | 相補的に強化された強化複合体及びその製造方法 |
US8782804B2 (en) | 2011-04-08 | 2014-07-15 | Kabushiki Kaisha Toshiba | Storage device, storage system, and authentication method |
US9064108B2 (en) | 2011-04-08 | 2015-06-23 | Kabushiki Kaisha Toshiba | Storage device, storage system, and authentication method |
JP2012064228A (ja) * | 2011-10-20 | 2012-03-29 | Toshiba Corp | 記憶装置及び認証方法 |
JP2012064229A (ja) * | 2011-10-20 | 2012-03-29 | Toshiba Corp | 記憶システム及び認証方法 |
JP2013097795A (ja) * | 2011-10-27 | 2013-05-20 | Toshiba Corp | 機器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6275653B2 (ja) | データ保護方法及びシステム | |
CN101971186B (zh) | 信息泄露防止装置和方法及其程序 | |
US8898477B2 (en) | System and method for secure firmware update of a secure token having a flash memory controller and a smart card | |
US10211977B1 (en) | Secure management of information using a security module | |
US7743413B2 (en) | Client apparatus, server apparatus and authority control method | |
US8909932B2 (en) | Method and apparatus for security over multiple interfaces | |
US20080072071A1 (en) | Hard disc streaming cryptographic operations with embedded authentication | |
CN101441601B (zh) | 一种硬盘ata指令的加密传输的方法及系统 | |
EP2780855B1 (en) | Method and storage device for protecting content | |
JP5793709B2 (ja) | 鍵実装システム | |
CN113545006A (zh) | 远程授权访问锁定的数据存储设备 | |
JPWO2005096158A1 (ja) | 利用認証方法、利用認証プログラム、情報処理装置および記録媒体 | |
JP2016520265A (ja) | セキュリティパラメータに基づくワーキングセキュリティキーの生成 | |
JP2008005408A (ja) | 記録データ処理装置 | |
EP3059897B1 (en) | Methods and devices for authentication and key exchange | |
CN101770559A (zh) | 数据保护装置和方法 | |
JP2008033512A (ja) | セキュリティチップ及びプラットフォーム | |
JP2009080772A (ja) | ソフトウェア起動システム、ソフトウェア起動方法、及びソフトウェア起動プログラム | |
JP2008527892A (ja) | セキュアホストインタフェース | |
JP2007282064A (ja) | データ処理装置、データ処理方法、記憶媒体、プログラム | |
JP2007199978A (ja) | 情報処理装置、携帯端末装置及び情報処理実行制御方法 | |
JP2008004065A (ja) | 半導体装置、電子機器及び機器認証プログラム | |
CN113383335A (zh) | 数据存储设备事件的安全日志记录 | |
JP2008147946A (ja) | 認証方法、認証システム、及び外部記憶媒体 | |
JP2004038476A (ja) | 暗号化装置及び暗号化システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20090901 |