JP2008166873A - データ管理装置及びデータ管理システム及びデータ管理方法及びプログラム - Google Patents
データ管理装置及びデータ管理システム及びデータ管理方法及びプログラム Download PDFInfo
- Publication number
- JP2008166873A JP2008166873A JP2006350737A JP2006350737A JP2008166873A JP 2008166873 A JP2008166873 A JP 2008166873A JP 2006350737 A JP2006350737 A JP 2006350737A JP 2006350737 A JP2006350737 A JP 2006350737A JP 2008166873 A JP2008166873 A JP 2008166873A
- Authority
- JP
- Japan
- Prior art keywords
- data
- common key
- information
- approval request
- device information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】端末間でのデータ移動を、著作権を保護した上で実現する。
【解決手段】センターシステム1において、製造番号とユーザIDとをデータ移動管理DB10に反映し、データ移動元端末2が製造番号とともにデータバックアップ要求をセンターシステム1に送信し、センターシステム1では共通暗号鍵を生成し、データ移動元端末2の製造番号に対応づけて記録し、データ移動元端末2に提供し、データ移動元端末2は当該暗号鍵を用いてデータを暗号化して出力し、データ移動先端末3が製造番号とともにデータリストア要求をセンターシステム1に送信し、センターシステム1では、データ移動管理DBから製造番号に該当するユーザIDを参照し、同一ユーザIDに対して記録されている共通暗号鍵をデータ移動先端末3に提供し、データ移動先端末3は提供された暗号鍵を用いて、外部から入力される暗号化データを復号し、リストアする。
【選択図】図1
【解決手段】センターシステム1において、製造番号とユーザIDとをデータ移動管理DB10に反映し、データ移動元端末2が製造番号とともにデータバックアップ要求をセンターシステム1に送信し、センターシステム1では共通暗号鍵を生成し、データ移動元端末2の製造番号に対応づけて記録し、データ移動元端末2に提供し、データ移動元端末2は当該暗号鍵を用いてデータを暗号化して出力し、データ移動先端末3が製造番号とともにデータリストア要求をセンターシステム1に送信し、センターシステム1では、データ移動管理DBから製造番号に該当するユーザIDを参照し、同一ユーザIDに対して記録されている共通暗号鍵をデータ移動先端末3に提供し、データ移動先端末3は提供された暗号鍵を用いて、外部から入力される暗号化データを復号し、リストアする。
【選択図】図1
Description
この発明は、例えば、カーナビゲーションシステム(以下、カーナビともいう)などの機器に記録した音楽CDデータなど、第三者が著作権を有し、個人が私的利用の範囲で仕事以外の目的に使用可能なデータに関し、機器の買換え時などにデータを買換え前の機器から買換え後の機器に移動する際、不正な利用を防止し、個人の持ち物であることを担保し、著作権保護を確実にした上でのデータ移動技術に関する。
今日、デジタルデータのコピー・移動を行う技術は既に確立されており、容易に行うことができるが、一方で容易であるが故に、著作権付きのデータに対する不正利用が問題となってくる。
コピーしたデータや、移動中のデータが、そのデータを利用する権利の無い第三者に不正にアクセスされたり、或いは利用する権利のある者が不正に第三者に渡すことは、重大な著作権侵害となる。
しかしながら、ユーザの視点からすると、対価を払って購入したデジタルコンテンツを、機器の買換えや故障等により失ってしまうことは問題であり、何らかの対策を講じなければ、デジタルコンテンツの流通を阻害し、社会問題に発展する可能性さえある。
この様な背景から、機器買換え時のデータ移動や、機器の故障に備えたデータバックアップなどは、一部の種類の機器で徐々に始められているものの、現状まだ十分になされているとは言い難い。以下、機器の種類ごとの状況を説明する。
コピーしたデータや、移動中のデータが、そのデータを利用する権利の無い第三者に不正にアクセスされたり、或いは利用する権利のある者が不正に第三者に渡すことは、重大な著作権侵害となる。
しかしながら、ユーザの視点からすると、対価を払って購入したデジタルコンテンツを、機器の買換えや故障等により失ってしまうことは問題であり、何らかの対策を講じなければ、デジタルコンテンツの流通を阻害し、社会問題に発展する可能性さえある。
この様な背景から、機器買換え時のデータ移動や、機器の故障に備えたデータバックアップなどは、一部の種類の機器で徐々に始められているものの、現状まだ十分になされているとは言い難い。以下、機器の種類ごとの状況を説明する。
[携帯電話]
携帯電話で購入・視聴するコンテンツとして、着メロ、着うたなどがある。これまで携帯買換え時に、着メロ・着うたなどの購入済みコンテンツを移動できなかった点が既に社会問題化した経緯があり、解決するための先行技術もある。
携帯電話で購入・視聴するコンテンツとして、着メロ、着うたなどがある。これまで携帯買換え時に、着メロ・着うたなどの購入済みコンテンツを移動できなかった点が既に社会問題化した経緯があり、解決するための先行技術もある。
例えば、特許文献1では、コンテンツのバックアップを行うサーバ側の管理テーブルを用いて、コンテンツを電話番号に紐付けて管理する構成を採ることにより、同じ電話番号を持つ端末にしかコンテンツをリストアできないよう作用させている。
また、特許文献2でも、電話番号(加入者番号)から生成される暗号鍵でコンテンツを暗号化する構成を採ることにより、同じ電話番号(加入者番号)を持つ端末でしかコンテンツを復号して使用できないよう作用させている。
携帯電話の場合、端末の機器IDとみなせる電話番号を同時にユーザIDとみなすことができ、さらに端末を買い替えても変わらないという電話番号固有の特殊な性質に依存した形で、個人の持ち物であることの担保を実現している。
また、特許文献3では、同じく携帯電話を主な対象とし、個人が所有するICカードに内蔵されている暗号鍵でコンテンツを暗号化するよう構成することで、コンテンツをICカードにバインドし、ICカードを所有する個人にしかコンテンツを利用できないよう作用させている。
[DVDレコーダ]
現状、データ移動は不可能である。業界全体に放送局側の意思が強く働いており、コピーワンスが唯一業界内でコンセンサスを得ている状況。ただし、コピーワンスのみでは不都合が多いことは社会的に認知されており、メーカー側は「出力保護付きコピーフリー(EPN:Encryption Plus Non−assertion)」を提案中である。
総務省も乗り出し、放送局側との調整が進められている。
現状、データ移動は不可能である。業界全体に放送局側の意思が強く働いており、コピーワンスが唯一業界内でコンセンサスを得ている状況。ただし、コピーワンスのみでは不都合が多いことは社会的に認知されており、メーカー側は「出力保護付きコピーフリー(EPN:Encryption Plus Non−assertion)」を提案中である。
総務省も乗り出し、放送局側との調整が進められている。
データ移動ではなく、データのバックアップのみを目的とした先行技術として、例えば、特許文献4がある。
該先行技術では、サーバ側で、コンテンツ並びに、ユーザID/パスワードといった利用者情報と機器IDを紐付けて管理し、コンテンツ再利用時にユーザ認証を行い、機器IDで暗号化したコンテンツをダウンロードさせるよう構成することにより、コンテンツの利用を個人に限定するよう作用させている。
特開2004−048180号公報
特開2003−110541号公報
特開2005−242913号公報
特開2002−329025号公報
該先行技術では、サーバ側で、コンテンツ並びに、ユーザID/パスワードといった利用者情報と機器IDを紐付けて管理し、コンテンツ再利用時にユーザ認証を行い、機器IDで暗号化したコンテンツをダウンロードさせるよう構成することにより、コンテンツの利用を個人に限定するよう作用させている。
以上、携帯電話においては、コンテンツを電話番号にバインドすることで、個人の持ち物であることを担保する先行技術(特許文献1、特許文献2)が開示されているが、上述の通り、電話番号はユーザIDとみなすことができ、さらに端末を買い替えても変わらないという特徴に大きく依存した構成を採っており、このような著作権を考慮したデータ移動に便利なIDを持たないカーナビやDVDレコーダ、携帯音楽プレーヤーなどの機器には、該先行技術を採用することができない。
また、特許文献3では、機器の他にICカードを用いる構成を採っているが、ICカードそのものの販売・運用などが別途必要となり、また、ICカードの不正入手や、不正提供などにより著作権が脅かされるという問題もあり、安全なデータ移動を実現する上で不十分である。
さらに、特許文献4では、コンテンツを機器IDにバインドするため、その機器でしかコンテンツを利用することができず、安全なバックアップ用途には利用できるが、本発明が目的とする、機器買換え時のデータ移動には利用することができない。
本発明は、上記のような課題を解決することを主な目的とし、電話番号のような便利なIDを持たない機器においても、デジタルデータの著作権を保護しつつ、安全にデータを移動することが可能なデータ移動方法、データ移動機器及びシステムを得ることを主な目的とする。
本発明に係るデータ管理装置は、
複数のデータ機器間のデータ移動を管理するデータ管理装置であって、
データ機器ごとに、データ機器に固有の機器情報とデータ機器の利用者に関する利用者情報とを対応づけて記憶するデータベースと、
いずれかのデータ機器の機器情報が含まれ、当該データ機器が保有するデータの複製の承認を求めるデータ複製承認要求を受信するデータ複製承認要求受信部と、
前記データ複製承認要求に含まれた機器情報と一致する機器情報が前記データベースにおいて検出された場合に、検出された機器情報に対して、複製データの暗号化のための共通鍵を生成する共通鍵生成部と、
前記共通鍵生成部により生成された共通鍵を前記データ複製承認要求の送信元に対して送信する第一の鍵送信部と、
いずれかのデータ機器の機器情報が含まれ、暗号化された複製データの復号及び復号された複製データの格納の承認を求めるデータ格納承認要求を受信するデータ格納承認要求受信部と、
前記データ格納承認要求に含まれた機器情報と一致する機器情報が前記データベースにおいて検出され、検出された機器情報に対応する利用者情報と一致する利用者情報が他の機器情報について検出され、当該他の機器情報に対して共通鍵が生成されている場合に、当該共通鍵を前記データ格納承認要求の送信元に送信する第二の鍵送信部とを有することを特徴とする。
複数のデータ機器間のデータ移動を管理するデータ管理装置であって、
データ機器ごとに、データ機器に固有の機器情報とデータ機器の利用者に関する利用者情報とを対応づけて記憶するデータベースと、
いずれかのデータ機器の機器情報が含まれ、当該データ機器が保有するデータの複製の承認を求めるデータ複製承認要求を受信するデータ複製承認要求受信部と、
前記データ複製承認要求に含まれた機器情報と一致する機器情報が前記データベースにおいて検出された場合に、検出された機器情報に対して、複製データの暗号化のための共通鍵を生成する共通鍵生成部と、
前記共通鍵生成部により生成された共通鍵を前記データ複製承認要求の送信元に対して送信する第一の鍵送信部と、
いずれかのデータ機器の機器情報が含まれ、暗号化された複製データの復号及び復号された複製データの格納の承認を求めるデータ格納承認要求を受信するデータ格納承認要求受信部と、
前記データ格納承認要求に含まれた機器情報と一致する機器情報が前記データベースにおいて検出され、検出された機器情報に対応する利用者情報と一致する利用者情報が他の機器情報について検出され、当該他の機器情報に対して共通鍵が生成されている場合に、当該共通鍵を前記データ格納承認要求の送信元に送信する第二の鍵送信部とを有することを特徴とする。
本発明によれば、携帯電話の電話番号のような特殊なIDを持たないデータ機器間においても、データを利用者にバインドし、第三者からの不正なアクセスや、データ所有者の悪意に基づく第三者への不正提供を防ぎ、機器間のデータ移動や、機器故障に備えたデータのバックアップ/リストアを、著作権を保護した上で実現することができる。
実施の形態1.
(移動元端末からのデータのバックアップ、及び移動先端末へのデータのリストア)
(センターにおけるデータ移動管理DBと、そのメンテナンス)
図1は、実施の形態1に係るデータ管理システム100の構成例を示す。
本実施の形態に係るデータ管理システムは、センターシステム1、データ移動元端末2、データ移動先端末3を有し、センターシステム1とデータ移動元端末2の間及びセンターシステム1とデータ移動先端末3との間は、ネットワーク4で接続される。
ネットワーク4は、例えば、インターネットや携帯電話通信網から構成される。
センターシステム1はデータ管理装置の例であり、データ移動元端末2は移動元データ機器の例であり、データ移動先端末3は移動先データ機器の例である。
(移動元端末からのデータのバックアップ、及び移動先端末へのデータのリストア)
(センターにおけるデータ移動管理DBと、そのメンテナンス)
図1は、実施の形態1に係るデータ管理システム100の構成例を示す。
本実施の形態に係るデータ管理システムは、センターシステム1、データ移動元端末2、データ移動先端末3を有し、センターシステム1とデータ移動元端末2の間及びセンターシステム1とデータ移動先端末3との間は、ネットワーク4で接続される。
ネットワーク4は、例えば、インターネットや携帯電話通信網から構成される。
センターシステム1はデータ管理装置の例であり、データ移動元端末2は移動元データ機器の例であり、データ移動先端末3は移動先データ機器の例である。
センターシステム1、データ移動元端末2、データ移動先端末3の内部構成要素を詳細に説明する前に、ここで、図4のフローチャートを用いて、センターシステム1、データ移動元端末2、データ移動先端末3の動作の流れを概説する。
センターシステム1は、データ移動管理DB10(データベース)を有する。
このデータ移動管理DB10は、端末ごとに、端末に固有の製造番号(機器情報)と端末に固有の秘匿ID(秘匿情報)と、端末の利用者の情報であるユーザID(利用者情報)とを対応づけて記憶している。
また、端末側でも、それぞれ自己の製造番号と秘匿IDを記憶している。
このデータ移動管理DB10は、端末ごとに、端末に固有の製造番号(機器情報)と端末に固有の秘匿ID(秘匿情報)と、端末の利用者の情報であるユーザID(利用者情報)とを対応づけて記憶している。
また、端末側でも、それぞれ自己の製造番号と秘匿IDを記憶している。
先ず、データを保有しているデータ移動元端末2が、当該データ移動元端末2の製造番号を含み、当該データ移動元端末2が保有するデータの複製の承認を求めるデータバックアップ要求(データ複製承認要求)をセンターシステム1に対して送信する(ST21)。
センターシステム1では、データバックアップ要求を受信し(ST11)(データ複製承認要求受信ステップ)、データバックアップ要求に含まれた製造番号をキーにデータ移動管理DB10を検索する(ST12)(情報検索ステップ)。
検索の結果、データバックアップ要求に含まれた製造番号と一致する製造番号がデータ移動管理DB10において検出された場合に、検出された製造番号に対して、複製データの暗号化のための共通鍵を生成し(ST13)(共通鍵生成ステップ)、更に、当該製造番号に対応付けられている秘匿IDを用いて、共通鍵を暗号化し、暗号化した共通鍵をデータバックアップ要求の送信元であるデータ移動元端末2に対して送信する(ST14)(第一の鍵送信ステップ)。
データ移動元端末2では、センターシステム1から送信された暗号化された共通鍵を受信し(ST22)、保有している秘匿IDを用いて、受信した暗号化された共通鍵を復号し、復号した共通鍵を用いて保有するデータの複製データを暗号化し、外部記憶媒体等に暗号化された複製データを出力する(ST23)。
センターシステム1では、データバックアップ要求を受信し(ST11)(データ複製承認要求受信ステップ)、データバックアップ要求に含まれた製造番号をキーにデータ移動管理DB10を検索する(ST12)(情報検索ステップ)。
検索の結果、データバックアップ要求に含まれた製造番号と一致する製造番号がデータ移動管理DB10において検出された場合に、検出された製造番号に対して、複製データの暗号化のための共通鍵を生成し(ST13)(共通鍵生成ステップ)、更に、当該製造番号に対応付けられている秘匿IDを用いて、共通鍵を暗号化し、暗号化した共通鍵をデータバックアップ要求の送信元であるデータ移動元端末2に対して送信する(ST14)(第一の鍵送信ステップ)。
データ移動元端末2では、センターシステム1から送信された暗号化された共通鍵を受信し(ST22)、保有している秘匿IDを用いて、受信した暗号化された共通鍵を復号し、復号した共通鍵を用いて保有するデータの複製データを暗号化し、外部記憶媒体等に暗号化された複製データを出力する(ST23)。
次に、複製データの格納先となるデータ移動先端末3が、当該データ移動先端末3の製造番号を含み、暗号化された複製データの復号及び復号された複製データの格納の承認を求めるデータリストア要求(データ格納承認要求)をセンターシステム1に対して送信する(ST31)。
センターシステム1では、データリストア要求を受信し(ST15)(データ格納承認要求受信ステップ)、データリストア要求に含まれた製造番号をキーにデータ移動管理DB10を検索する(ST16)(情報検索ステップ)。
検索の結果、データリストア要求に含まれた製造番号と一致する製造番号がデータ移動管理DB10において検出され、検出された製造番号に対応するユーザIDと一致するユーザIDがデータ移動元端末2の製造番号について検出された場合(すなわち、データ移動元端末2とデータ移動先端末3のユーザが同一と確認できた場合)に、データ移動元端末2の製造番号に対応付けられている共通鍵を検出する(ST17)。
更に、センターシステム1では、データリストア要求に含まれている製造番号に対応づけられている秘匿ID(すなわち、データ移動先端末3の秘匿ID)を用いて当該共通鍵を暗号化し、暗号化された共通鍵をデータリストア要求の送信元であるデータ移動先端末3に対して送信する(ST18)(第二の鍵送信ステップ)。
データ移動先端末3では、センターシステム1から送信された暗号化された共通鍵を受信し(ST32)、保有している秘匿IDを用いて、受信した暗号化された共通鍵を復号し、復号した共通鍵を用いて、データ移動元端末2により暗号化された複製データを復号し、復号された複製データを格納する(ST33)。
これにより、データ移動元端末2からデータ移動先端末3へのデータの移動が可能となる。
センターシステム1では、データリストア要求を受信し(ST15)(データ格納承認要求受信ステップ)、データリストア要求に含まれた製造番号をキーにデータ移動管理DB10を検索する(ST16)(情報検索ステップ)。
検索の結果、データリストア要求に含まれた製造番号と一致する製造番号がデータ移動管理DB10において検出され、検出された製造番号に対応するユーザIDと一致するユーザIDがデータ移動元端末2の製造番号について検出された場合(すなわち、データ移動元端末2とデータ移動先端末3のユーザが同一と確認できた場合)に、データ移動元端末2の製造番号に対応付けられている共通鍵を検出する(ST17)。
更に、センターシステム1では、データリストア要求に含まれている製造番号に対応づけられている秘匿ID(すなわち、データ移動先端末3の秘匿ID)を用いて当該共通鍵を暗号化し、暗号化された共通鍵をデータリストア要求の送信元であるデータ移動先端末3に対して送信する(ST18)(第二の鍵送信ステップ)。
データ移動先端末3では、センターシステム1から送信された暗号化された共通鍵を受信し(ST32)、保有している秘匿IDを用いて、受信した暗号化された共通鍵を復号し、復号した共通鍵を用いて、データ移動元端末2により暗号化された複製データを復号し、復号された複製データを格納する(ST33)。
これにより、データ移動元端末2からデータ移動先端末3へのデータの移動が可能となる。
次に、センターシステム1、データ移動元端末2、データ移動先端末3の内部構成要素を詳細に説明する。
センターシステム1は、データ移動管理DB10、機器製造情報受付部11、機器販売情報受付部12、データ移動要求受付部13から構成される。
データ移動管理DB10は、コンピュータ及び市販のリレーショナルデータベースシステムから構成されるものである。
データ移動管理DB10は、コンピュータ及び市販のリレーショナルデータベースシステムから構成されるものである。
機器製造情報受付部11は、機器製造メーカーから送られてくる機器の製造番号とそれに対応する秘匿IDを受け付け、データ移動管理DB10に反映する機能を持つコンピュータ及びプログラム等から構成される。
ここで、製造番号及び秘匿ID情報がどのような形態で送られてきてもよく、電子データとして受け取り、オンラインでデータ移動管理DBに反映する構成を採ってもよいし、印刷データとして受け取り、オペレータが手入力でデータを入力してもよい。
ここで、製造番号及び秘匿ID情報がどのような形態で送られてきてもよく、電子データとして受け取り、オンラインでデータ移動管理DBに反映する構成を採ってもよいし、印刷データとして受け取り、オペレータが手入力でデータを入力してもよい。
機器販売情報受付部12は、機器販売業者(車両備え付けの純正カーナビであれば、カーディーラー)から機器の製造番号と、販売後所有者のユーザIDを受け付け、データ移動管理DB10に反映する機能を持つコンピュータ及びプログラム等から構成される。
ここで、製造番号及びユーザID情報がどのような形態で送られてきてもよく、電子データとして受け取り、オンラインでデータ移動管理DBに反映する構成を採ってもよいし、印刷データとして受け取り、オペレータが手入力でデータを入力してもよい。
ここで、製造番号及びユーザID情報がどのような形態で送られてきてもよく、電子データとして受け取り、オンラインでデータ移動管理DBに反映する構成を採ってもよいし、印刷データとして受け取り、オペレータが手入力でデータを入力してもよい。
データ移動要求受付部13は、データ移動元端末2からのデータバックアップ要求や、データ移動先端末3からのデータリストア要求を受け付け、データを暗号、または復号するための暗号鍵を提供する機能を持つコンピュータ及びプログラム等から構成される。
なお、データ移動要求受付部13は、製造番号、秘匿ID、ユーザIDについては、データ移動管理DB10を参照するのみで、DBの更新は行わない。
但し、データ移動要求受付部13は、製造番号、秘匿ID、ユーザID以外の情報、例えば、暗号化及び復号化のための共通鍵の登録、データバックアップ要求の受信日時、データリストア要求の受信日時の登録等はデータ移動管理DB10に対して行う。
このように、データ移動管理DB10は、製造番号、秘匿ID、ユーザIDについては、機器製造情報受付部11、または機器販売情報受付部12からのみ更新され、データ移動要求受付部13からは更新されることは無い。
なお、データ移動要求受付部13は、製造番号、秘匿ID、ユーザIDについては、データ移動管理DB10を参照するのみで、DBの更新は行わない。
但し、データ移動要求受付部13は、製造番号、秘匿ID、ユーザID以外の情報、例えば、暗号化及び復号化のための共通鍵の登録、データバックアップ要求の受信日時、データリストア要求の受信日時の登録等はデータ移動管理DB10に対して行う。
このように、データ移動管理DB10は、製造番号、秘匿ID、ユーザIDについては、機器製造情報受付部11、または機器販売情報受付部12からのみ更新され、データ移動要求受付部13からは更新されることは無い。
図2は、データ移動要求受付部13の内部構成例を示す。
データバックアップ要求受信部1301(データ複製承認要求受信部)は、データ移動元端末2からのデータバックアップ要求(データ複製承認要求)を受信する。
データリストア要求受信部1302(データ格納承認要求受信部)は、データ移動先端末3からのデータリストア要求(データ格納承認要求)を受信する。
データ移動用暗号鍵生成部1303(共通鍵生成部)は、データバックアップ要求に含まれた製造番号と一致する製造番号がデータ移動管理DB10において検出された場合に、検出された製造番号に対して、データ移動用暗号鍵(共通鍵)を生成する。
また、データ移動用暗号鍵生成部1303は、データ移動用暗号鍵に対して秘匿IDを用いて暗号化を行う。
鍵送信部1304(第一の鍵送信部、第二の鍵送信部)は、データ移動用暗号鍵生成部1303により生成され、暗号化されたデータ移動用暗号鍵をデータバックアップ要求の送信元であるデータ移動元端末2に対して送信する。また、鍵送信部1304は、データリストア要求があった場合に、データ移動管理DB10から検出され、暗号化されたデータ移動用暗号鍵をデータリストア要求の送信元であるデータ移動先端末3に対して送信する。
データバックアップ要求受信部1301(データ複製承認要求受信部)は、データ移動元端末2からのデータバックアップ要求(データ複製承認要求)を受信する。
データリストア要求受信部1302(データ格納承認要求受信部)は、データ移動先端末3からのデータリストア要求(データ格納承認要求)を受信する。
データ移動用暗号鍵生成部1303(共通鍵生成部)は、データバックアップ要求に含まれた製造番号と一致する製造番号がデータ移動管理DB10において検出された場合に、検出された製造番号に対して、データ移動用暗号鍵(共通鍵)を生成する。
また、データ移動用暗号鍵生成部1303は、データ移動用暗号鍵に対して秘匿IDを用いて暗号化を行う。
鍵送信部1304(第一の鍵送信部、第二の鍵送信部)は、データ移動用暗号鍵生成部1303により生成され、暗号化されたデータ移動用暗号鍵をデータバックアップ要求の送信元であるデータ移動元端末2に対して送信する。また、鍵送信部1304は、データリストア要求があった場合に、データ移動管理DB10から検出され、暗号化されたデータ移動用暗号鍵をデータリストア要求の送信元であるデータ移動先端末3に対して送信する。
データ移動元端末2とデータ移動先端末3は、各々異なる秘匿IDを持つ他は、同じ構成を持つものである。
データ入出力部20は、データのバックアップ及びリストア時に、図示しない外付けHDD(Hard Disk Drive)のような外部媒体との間でデータのやり取りを行う機能を持った回路及びプログラム等から構成されるものである。
通信処理部21は、端末2、3とセンターシステム1の間で各種情報のやり取りを行う機能を持った回路及びプログラム等から構成されるものである。
秘匿ID記憶部22は、端末ごとにユニークな秘匿IDを記憶する半導体及びプログラム等から構成されるものである。
共通鍵演算処理部23は、共通鍵と被演算処理データを入力とし、共通鍵による暗号演算を施し出力する機能を持った回路及びプログラム等から構成されるものである。
秘匿ID記憶部22と共通鍵演算処理部23は、耐タンパー領域26の内部に存在するものである。
データ記憶部24は、移動対象となるデジタルデータを記録保持する内蔵ストレージなどに代表される半導体記憶装置及びプログラム等から構成されるものである。
製造番号記憶部25は、端末ごとにユニークな製造番号を記憶する半導体及びプログラム等から構成されるものである。
データ入出力部20は、データのバックアップ及びリストア時に、図示しない外付けHDD(Hard Disk Drive)のような外部媒体との間でデータのやり取りを行う機能を持った回路及びプログラム等から構成されるものである。
通信処理部21は、端末2、3とセンターシステム1の間で各種情報のやり取りを行う機能を持った回路及びプログラム等から構成されるものである。
秘匿ID記憶部22は、端末ごとにユニークな秘匿IDを記憶する半導体及びプログラム等から構成されるものである。
共通鍵演算処理部23は、共通鍵と被演算処理データを入力とし、共通鍵による暗号演算を施し出力する機能を持った回路及びプログラム等から構成されるものである。
秘匿ID記憶部22と共通鍵演算処理部23は、耐タンパー領域26の内部に存在するものである。
データ記憶部24は、移動対象となるデジタルデータを記録保持する内蔵ストレージなどに代表される半導体記憶装置及びプログラム等から構成されるものである。
製造番号記憶部25は、端末ごとにユニークな製造番号を記憶する半導体及びプログラム等から構成されるものである。
図3は、データ移動管理DB10のテーブル構造を示したものである。
製造番号(機器情報)及び秘匿ID(秘匿情報)は、各々端末に固有なものである。ユーザID(利用者情報)は所有者ごとに固有なものである。
製造番号、秘匿IDは端末を一意に識別することができ、ユーザIDは所有者を一意に識別することができる。
データ移動用暗号鍵(共通鍵)の欄には、データバックアップ要求に対応してデータ移動用暗号鍵が生成された際に、当該データ移動用暗号鍵が登録される。
バックアップ要求日時(データ複製承認要求日時)の欄は、データバックアップ要求があった日時が登録される。
また、リストア要求日時(データ格納承認要求日時)の欄は、データリストア要求があった日時が登録される。
製造番号(機器情報)及び秘匿ID(秘匿情報)は、各々端末に固有なものである。ユーザID(利用者情報)は所有者ごとに固有なものである。
製造番号、秘匿IDは端末を一意に識別することができ、ユーザIDは所有者を一意に識別することができる。
データ移動用暗号鍵(共通鍵)の欄には、データバックアップ要求に対応してデータ移動用暗号鍵が生成された際に、当該データ移動用暗号鍵が登録される。
バックアップ要求日時(データ複製承認要求日時)の欄は、データバックアップ要求があった日時が登録される。
また、リストア要求日時(データ格納承認要求日時)の欄は、データリストア要求があった日時が登録される。
(移動元端末からのデータバックアップ要求時の動作)
ここでは、データ移動元端末2からのデータバックアップ要求時の動作を詳細に説明する。
機器買換え時などに、内蔵HDDに蓄積されている音楽CDデータのような著作権付きデジタルデータを出力する際、端末の操作画面から、図示しないデータバックアップメニューを選択する。
データ移動元端末2は、製造番号記憶部25から端末の製造番号を読出し、データバックアップ要求(移動したいデータそのものは含まない)とともに通信処理部21からネットワーク4経由でセンターシステム1に送信する。
バックアップ要求を受けたセンターシステム1のデータ移動要求受付部13の処理を、図5のフローチャートを用いて説明する。
データバックアップ要求受信部1301が、データバックアップ要求を受信し、まずステップST100にて、データ移動管理DB10から、該当製造番号を有するレコードを検索する。
次に、ステップST101にてレコードが見つかった場合、ステップST102にて、データ移動用暗号鍵生成部1303が、データ移動用暗号鍵をランダム生成する。
次に、ステップST103にて、データ移動用暗号鍵生成部1303が、今生成したランダム鍵をデータ移動用暗号鍵カラムに記録する。
次に、ステップST104にて、データバックアップ要求受信部1301が現在時刻を取得し、バックアップ要求日時カラムに記録する。
次に、ステップST105にて、データ移動用暗号鍵生成部1303がデータ移動用暗号鍵を秘匿IDで暗号化する。
次にステップST106にて、鍵送信部1304が、今暗号化したデータ移動用暗号鍵を、データ移動元端末2に返す。
ステップST101にてレコードが見つからなかった場合は、ステップST107にて、データ移動管理DBに登録されていない端末からの不正なバックアップ要求であると判断し、次にステップST108にて移動元端末にエラーを返す。
以上で処理は終了である。
ここでは、データ移動元端末2からのデータバックアップ要求時の動作を詳細に説明する。
機器買換え時などに、内蔵HDDに蓄積されている音楽CDデータのような著作権付きデジタルデータを出力する際、端末の操作画面から、図示しないデータバックアップメニューを選択する。
データ移動元端末2は、製造番号記憶部25から端末の製造番号を読出し、データバックアップ要求(移動したいデータそのものは含まない)とともに通信処理部21からネットワーク4経由でセンターシステム1に送信する。
バックアップ要求を受けたセンターシステム1のデータ移動要求受付部13の処理を、図5のフローチャートを用いて説明する。
データバックアップ要求受信部1301が、データバックアップ要求を受信し、まずステップST100にて、データ移動管理DB10から、該当製造番号を有するレコードを検索する。
次に、ステップST101にてレコードが見つかった場合、ステップST102にて、データ移動用暗号鍵生成部1303が、データ移動用暗号鍵をランダム生成する。
次に、ステップST103にて、データ移動用暗号鍵生成部1303が、今生成したランダム鍵をデータ移動用暗号鍵カラムに記録する。
次に、ステップST104にて、データバックアップ要求受信部1301が現在時刻を取得し、バックアップ要求日時カラムに記録する。
次に、ステップST105にて、データ移動用暗号鍵生成部1303がデータ移動用暗号鍵を秘匿IDで暗号化する。
次にステップST106にて、鍵送信部1304が、今暗号化したデータ移動用暗号鍵を、データ移動元端末2に返す。
ステップST101にてレコードが見つからなかった場合は、ステップST107にて、データ移動管理DBに登録されていない端末からの不正なバックアップ要求であると判断し、次にステップST108にて移動元端末にエラーを返す。
以上で処理は終了である。
図3のテーブルを例にすると、例えば、データリストア要求に製造番号:00002653が含まれている場合、同じ製造番号が含まれる最下段のレコードが上記の「レコード1」となる。そして、このレコードに含まれるユーザID:U0001234と同じユーザIDを持つレコードを検索し、最上段のレコードが検索される。これが、上記の「レコード2」に対応する。そして、このレコード2に含まれている移動用暗号鍵:MHg0YTg2Y2U5Zgを、レコード1の秘匿ID:23086219で暗号化し、データリストア要求の送信元であるデータ移動先端末3に送信する。
次に、センターシステム1より、暗号化されたデータ移動用暗号鍵を受信した後の移動元端末2の処理を、図6のフローチャートを用いて説明する。
処理開始後、まずステップST200にて、通信処理部21が、センターシステム1から受信したデータ移動用暗号鍵を、耐タンパー領域26に格納する。
次に、ステップST201にて、共通鍵演算処理部23が、秘匿ID記憶部22から秘匿IDを読み出す。
次に、ステップST202にて、共通鍵演算処理部23が、秘匿IDを用いてデータ移動用暗号鍵を復号する。
次に、ステップST203にて、データ記憶部24から共通鍵演算処理部23に、逐次移動対象データを読み込む。
次に、ステップST204にて、共通鍵演算処理部23が、逐次読み込んだ移動対象データをデータ移動用暗号鍵で逐次暗号化し、データ入出力部20に出力する。
次に、ステップST205にて、データ入出力部20より、図示しない外部媒体に暗号化データを出力する。
以上で処理は終了である。
処理開始後、まずステップST200にて、通信処理部21が、センターシステム1から受信したデータ移動用暗号鍵を、耐タンパー領域26に格納する。
次に、ステップST201にて、共通鍵演算処理部23が、秘匿ID記憶部22から秘匿IDを読み出す。
次に、ステップST202にて、共通鍵演算処理部23が、秘匿IDを用いてデータ移動用暗号鍵を復号する。
次に、ステップST203にて、データ記憶部24から共通鍵演算処理部23に、逐次移動対象データを読み込む。
次に、ステップST204にて、共通鍵演算処理部23が、逐次読み込んだ移動対象データをデータ移動用暗号鍵で逐次暗号化し、データ入出力部20に出力する。
次に、ステップST205にて、データ入出力部20より、図示しない外部媒体に暗号化データを出力する。
以上で処理は終了である。
以上のように作用することで、移動対象データを暗号化した状態で、外部媒体にバックアップ出力することができる。
また、暗号化されていることで、第三者からの不正なアクセスを防ぐことができる。
更に、データ移動用暗号鍵や秘匿IDといった、暗号処理上重要なデータは、耐タンパー領域26の内部でのみ存在するよう構成しているため、安全にデータのバックアップ処理を行うことができる。
また、暗号化されていることで、第三者からの不正なアクセスを防ぐことができる。
更に、データ移動用暗号鍵や秘匿IDといった、暗号処理上重要なデータは、耐タンパー領域26の内部でのみ存在するよう構成しているため、安全にデータのバックアップ処理を行うことができる。
(移動先端末からのデータリストア要求時の動作)
ここでは、外部媒体に暗号化出力した移動対象データを、データ移動先端末3にリストアする際の、データリストア要求時の動作を詳細に説明する。
なお、該当ユーザは、データ移動先端末3を購入処理済みであり、データ移動先端末3の情報は、既にセンターシステム1のデータ移動管理DB10に反映されているものとする。
データ移動先端末3に外部媒体を接続した後、製造番号記憶部25から端末の製造番号を読出し、データリストア要求(リストアしたいデータそのものは含まない)とともに通信処理部21からネットワーク4経由でセンターシステム1に送信する。
リストア要求を受けたセンターシステム1のデータ移動要求受付部13の処理を、図7のフローチャートを用いて説明する。
データリストア要求受信部1302が、データリストア要求を受信し、まず、ステップST300にて、データ移動管理DB10において該当製造番号を有するレコードを検索する。このレコードを「レコード1」とする。
ST301にて、レコード1が見つかった場合、データリストア要求受信部1302は、ステップST302にて、レコード1からユーザIDを読み出す。
次に、データリストア要求受信部1302は、ステップST303にて、今読み出したユーザIDと同じユーザIDを有する他のレコードを検索する。このレコードを「レコード2」とする。
次に、ST304にてレコード2が見つかった場合、データリストア要求受信部1302は、ステップST305にて、現在時刻を取得しレコード1のリストア要求日時カラムに記録する。
次に、ステップST306にて、データリストア要求受信部1302は、レコード2からデータ移動用暗号鍵を読み出す。
次に、ステップST307にて、データ移動用暗号鍵生成部1303が、データ移動用暗号鍵をレコード1の秘匿IDで暗号化する。
次にステップST308にて、鍵送信部1304が、暗号化したデータ移動用暗号鍵をデータ移動先端末3に返す。
ステップST301にてレコード1が見つからなかった場合、ステップST309にて、データ移動管理DBに登録されていない端末からの不正なリストア要求と判断し、次にステップST310にて移動先端末にエラーを返す。
ステップST304にてレコード2が見つからなかった場合、ステップST309にて、データのバックアップを行っていないユーザからの不正なリストア要求と判断し、次にステップST310にて移動先端末にエラーを返す。
以上で処理は終了である。
ここでは、外部媒体に暗号化出力した移動対象データを、データ移動先端末3にリストアする際の、データリストア要求時の動作を詳細に説明する。
なお、該当ユーザは、データ移動先端末3を購入処理済みであり、データ移動先端末3の情報は、既にセンターシステム1のデータ移動管理DB10に反映されているものとする。
データ移動先端末3に外部媒体を接続した後、製造番号記憶部25から端末の製造番号を読出し、データリストア要求(リストアしたいデータそのものは含まない)とともに通信処理部21からネットワーク4経由でセンターシステム1に送信する。
リストア要求を受けたセンターシステム1のデータ移動要求受付部13の処理を、図7のフローチャートを用いて説明する。
データリストア要求受信部1302が、データリストア要求を受信し、まず、ステップST300にて、データ移動管理DB10において該当製造番号を有するレコードを検索する。このレコードを「レコード1」とする。
ST301にて、レコード1が見つかった場合、データリストア要求受信部1302は、ステップST302にて、レコード1からユーザIDを読み出す。
次に、データリストア要求受信部1302は、ステップST303にて、今読み出したユーザIDと同じユーザIDを有する他のレコードを検索する。このレコードを「レコード2」とする。
次に、ST304にてレコード2が見つかった場合、データリストア要求受信部1302は、ステップST305にて、現在時刻を取得しレコード1のリストア要求日時カラムに記録する。
次に、ステップST306にて、データリストア要求受信部1302は、レコード2からデータ移動用暗号鍵を読み出す。
次に、ステップST307にて、データ移動用暗号鍵生成部1303が、データ移動用暗号鍵をレコード1の秘匿IDで暗号化する。
次にステップST308にて、鍵送信部1304が、暗号化したデータ移動用暗号鍵をデータ移動先端末3に返す。
ステップST301にてレコード1が見つからなかった場合、ステップST309にて、データ移動管理DBに登録されていない端末からの不正なリストア要求と判断し、次にステップST310にて移動先端末にエラーを返す。
ステップST304にてレコード2が見つからなかった場合、ステップST309にて、データのバックアップを行っていないユーザからの不正なリストア要求と判断し、次にステップST310にて移動先端末にエラーを返す。
以上で処理は終了である。
センターシステム1より、暗号化されたデータ移動用暗号鍵を受信した後のデータ移動先端末3の処理を、図8のフローチャートを用いて説明する。
なお、暗号化された移動対象データを記録した外部媒体を、予めデータ移動先端末3に接続しておく。
処理開始後、まずステップST400にて、通信処理部21が、センターシステム1から受信したデータ移動用暗号鍵を、耐タンパー領域26に取り込む。
次に、ステップST401にて、共通鍵演算処理部23が、秘匿ID記憶部22から秘匿IDを読み出す。
次に、ステップST402にて、共通鍵演算処理部23にて、秘匿IDを用いてデータ移動用暗号鍵を復号する。
次に、ステップST403にて、外部媒体からデータ入出力部20を経由して共通鍵演算処理部23に、逐次移動対象データを読み込む。
次に、ステップST404にて、共通鍵演算処理部23が、逐次読み込んだ移動対象データをデータ移動用暗号鍵で逐次復号し、データ記憶部24にリストアする。
以上で処理は終了である。
なお、暗号化された移動対象データを記録した外部媒体を、予めデータ移動先端末3に接続しておく。
処理開始後、まずステップST400にて、通信処理部21が、センターシステム1から受信したデータ移動用暗号鍵を、耐タンパー領域26に取り込む。
次に、ステップST401にて、共通鍵演算処理部23が、秘匿ID記憶部22から秘匿IDを読み出す。
次に、ステップST402にて、共通鍵演算処理部23にて、秘匿IDを用いてデータ移動用暗号鍵を復号する。
次に、ステップST403にて、外部媒体からデータ入出力部20を経由して共通鍵演算処理部23に、逐次移動対象データを読み込む。
次に、ステップST404にて、共通鍵演算処理部23が、逐次読み込んだ移動対象データをデータ移動用暗号鍵で逐次復号し、データ記憶部24にリストアする。
以上で処理は終了である。
以上のように構成し作用させることで、外部媒体にバックアップされた、暗号化された移動対象データを、移動先端末にリストアすることができる。
また、暗号化されていることで、第三者からの不正なアクセスを防ぐことができる。
更に、データ移動用暗号鍵や秘匿IDといった、暗号処理上重要なデータは、耐タンパー領域26の内部でのみ存在するよう構成しているため、安全にデータのリストア処理を行うことができる。
また、暗号化されていることで、第三者からの不正なアクセスを防ぐことができる。
更に、データ移動用暗号鍵や秘匿IDといった、暗号処理上重要なデータは、耐タンパー領域26の内部でのみ存在するよう構成しているため、安全にデータのリストア処理を行うことができる。
そして、本実施の形態によれば、携帯電話の電話番号のような特殊なIDを持たない端末間においても、コンテンツデータを個人にバインドし、第三者からの不正なアクセスや、データ所有者の悪意に基づく第三者への不正提供を防ぎ、機器間で安全にデータを移動することができるようになる。
さらには、データバックアップ時やリストア時にユーザ認証という操作を必要としないため、入力アカウントやパスワードを盗まれて悪用される危険性も無く、より安全なデータ移動システムを提供できるものであり、また、公開鍵演算(RSA(登録商標)演算)を用いないため、端末コストを抑制できるという効果も奏するものである。
さらには、データバックアップ時やリストア時にユーザ認証という操作を必要としないため、入力アカウントやパスワードを盗まれて悪用される危険性も無く、より安全なデータ移動システムを提供できるものであり、また、公開鍵演算(RSA(登録商標)演算)を用いないため、端末コストを抑制できるという効果も奏するものである。
このような効果により、本実施の形態に係るデータ管理システムは、センターで機器のIDと所有者を管理された端末間のデータ移動や、端末故障に備えたデータのバックアップ/リストアを、著作権を保護した上で実現することを目的とした用途に有用である。
また、このような著作権付きデータ移動事象に対する第三者からの開示要求に対し、回答可能な監査証跡を得ることを目的とした用途に有用である。
また、このような著作権付きデータ移動事象に対する第三者からの開示要求に対し、回答可能な監査証跡を得ることを目的とした用途に有用である。
以上、本実施の形態では、少なくとも機器IDと所有者IDから成るレコードを持つDB(データ移動管理DB)をセンターで管理し、
機器ID情報を、例えば機器製造会社からのみ入手し、データ移動管理DBに反映し、機器IDと所有者IDから成る情報を、例えば機器販売会社からのみ入手し、データ移動管理DBに反映し、端末を保有するユーザ自体は、DBのメンテナンスに一切関わらず、
第一の端末(データ移動元端末)から機器IDとともにデータバックアップ要求を受け付け、センターで共通暗号鍵(データ移動用暗号鍵)をランダム生成し、データ移動管理DBの該当機器IDのレコードに記録し、さらにそれを端末に提供し、
端末は提供された暗号鍵を用いて、内蔵データを暗号化して出力し、
第二の端末(データ移動先端末)から機器IDとともにデータリストア要求を受け付け、センターで、データ移動管理DBから機器IDに該当する所有者IDを参照し、同一所有者IDを持つ他のレコードを検索し、記録されているデータ移動用暗号鍵を端末に提供し、
端末は提供された暗号鍵を用いて、外部から入力される暗号化データを復号し、内蔵データとしてリストアすることを特徴とする、データ移動方法、データ移動機器及びシステムについて説明した。
機器ID情報を、例えば機器製造会社からのみ入手し、データ移動管理DBに反映し、機器IDと所有者IDから成る情報を、例えば機器販売会社からのみ入手し、データ移動管理DBに反映し、端末を保有するユーザ自体は、DBのメンテナンスに一切関わらず、
第一の端末(データ移動元端末)から機器IDとともにデータバックアップ要求を受け付け、センターで共通暗号鍵(データ移動用暗号鍵)をランダム生成し、データ移動管理DBの該当機器IDのレコードに記録し、さらにそれを端末に提供し、
端末は提供された暗号鍵を用いて、内蔵データを暗号化して出力し、
第二の端末(データ移動先端末)から機器IDとともにデータリストア要求を受け付け、センターで、データ移動管理DBから機器IDに該当する所有者IDを参照し、同一所有者IDを持つ他のレコードを検索し、記録されているデータ移動用暗号鍵を端末に提供し、
端末は提供された暗号鍵を用いて、外部から入力される暗号化データを復号し、内蔵データとしてリストアすることを特徴とする、データ移動方法、データ移動機器及びシステムについて説明した。
また、本実施の形態では、端末製造時に、機器IDとして、一対一に対応する、製造番号と秘匿IDを割り付け、
端末では、ユーザが参照可能な領域に製造番号を記録し、ユーザが参照不可能な秘匿領域に秘匿IDを記録し、
センターでは、製造番号と秘匿IDを紐付けて、データ移動管理DBで管理し、
端末売買、及びバックアップ/リストア要求時の、ユーザや機器販売店による端末指定には製造番号を用い、
センターでは、データ移動用暗号鍵を、送信先端末の秘匿IDで共通鍵暗号化し、端末に送り、
端末の秘匿領域に、共通鍵演算機能を設け、秘匿領域内でデータ移動用暗号鍵を復号し、データの暗号化出力、及び復号リストアを行うことを特徴とする、データ移動方法、データ移動機器及びシステムについて説明した。
端末では、ユーザが参照可能な領域に製造番号を記録し、ユーザが参照不可能な秘匿領域に秘匿IDを記録し、
センターでは、製造番号と秘匿IDを紐付けて、データ移動管理DBで管理し、
端末売買、及びバックアップ/リストア要求時の、ユーザや機器販売店による端末指定には製造番号を用い、
センターでは、データ移動用暗号鍵を、送信先端末の秘匿IDで共通鍵暗号化し、端末に送り、
端末の秘匿領域に、共通鍵演算機能を設け、秘匿領域内でデータ移動用暗号鍵を復号し、データの暗号化出力、及び復号リストアを行うことを特徴とする、データ移動方法、データ移動機器及びシステムについて説明した。
実施の形態2.
(バックアップ、及びリストア処理失敗時の回復処理)
実施の形態1では、バックアップ時、及びリストア時の、機器及びシステムの基本動作について説明した。
ここで、バックアップ、リストアに要する時間は、移動するデータ量に応じて長くなる。カーナビを例に挙げると、データ量は数十GBに上ることもあり、暗号化処理を考慮すると、実際にかかる時間が数時間レベルに達する。
データ移動の途中で、例えば電源断のような異常が発生し、バックアップ、またはリストア処理が中断するような場合を考えると、その回復処理が必要となる。
しかしながら、バックアップ要求、リストア要求に伴う、センターシステム1側のデータ移動管理DB10更新処理は、既に1回目の要求時に行われてしまうため、リトライに伴う再要求は、既にバックアップ済みデータの再バックアップ、或いは既にリストア済みデータの再リストアといった不正な要求とみなされてしまい、リトライを行うことができないという問題が生ずる。
(バックアップ、及びリストア処理失敗時の回復処理)
実施の形態1では、バックアップ時、及びリストア時の、機器及びシステムの基本動作について説明した。
ここで、バックアップ、リストアに要する時間は、移動するデータ量に応じて長くなる。カーナビを例に挙げると、データ量は数十GBに上ることもあり、暗号化処理を考慮すると、実際にかかる時間が数時間レベルに達する。
データ移動の途中で、例えば電源断のような異常が発生し、バックアップ、またはリストア処理が中断するような場合を考えると、その回復処理が必要となる。
しかしながら、バックアップ要求、リストア要求に伴う、センターシステム1側のデータ移動管理DB10更新処理は、既に1回目の要求時に行われてしまうため、リトライに伴う再要求は、既にバックアップ済みデータの再バックアップ、或いは既にリストア済みデータの再リストアといった不正な要求とみなされてしまい、リトライを行うことができないという問題が生ずる。
本実施の形態では、この問題を解決するための構成、作用について説明する。
まず、バックアップ処理の場合、図6のステップST202にて、データ移動用暗号鍵を秘匿IDにより復号し、共通鍵演算処理部23での演算処理に用いる。
ここで、データ移動用暗号鍵を耐タンパー領域26から削除するタイミングを以下のようにする。
データ入出力部20は、全てのデータが処理され、外部記憶媒体に出力されることを監視し、全ての出力が完了したら、出力完了イベントを耐タンパー領域26に通知するよう構成する。耐タンパー領域26はこの通知をもって初めてデータ移動用暗号鍵を消去するよう構成する。
まず、バックアップ処理の場合、図6のステップST202にて、データ移動用暗号鍵を秘匿IDにより復号し、共通鍵演算処理部23での演算処理に用いる。
ここで、データ移動用暗号鍵を耐タンパー領域26から削除するタイミングを以下のようにする。
データ入出力部20は、全てのデータが処理され、外部記憶媒体に出力されることを監視し、全ての出力が完了したら、出力完了イベントを耐タンパー領域26に通知するよう構成する。耐タンパー領域26はこの通知をもって初めてデータ移動用暗号鍵を消去するよう構成する。
一方、バックアップ処理を開始する時の、データ入出力部20の処理手順を、図9のフローチャートを用いて説明する。
処理開始後、まずステップST500にて、データ入出力部は耐タンパー領域26にデータ移動用暗号鍵があるか否かを確認する。次にステップST501でデータ移動用暗号鍵が無い場合は、初めてのバックアップ要求と判断し、ステップST502にてセンターシステムにバックアップ要求を送り、通常の手順にてデータ移動用暗号鍵を取得する。次にステップST503にて、取得したデータ移動用暗号鍵を用いて、データの暗号化出力を行う。
ステップST501にてデータ移動用暗号鍵が既にある場合は、前回のバックアップ処理が失敗した上でのリトライと判断し、センターシステムへのバックアップ要求は行わず、ステップST504にて耐タンパー領域のデータ移動用暗号鍵を用いてデータの暗号化出力を行う。
処理開始後、まずステップST500にて、データ入出力部は耐タンパー領域26にデータ移動用暗号鍵があるか否かを確認する。次にステップST501でデータ移動用暗号鍵が無い場合は、初めてのバックアップ要求と判断し、ステップST502にてセンターシステムにバックアップ要求を送り、通常の手順にてデータ移動用暗号鍵を取得する。次にステップST503にて、取得したデータ移動用暗号鍵を用いて、データの暗号化出力を行う。
ステップST501にてデータ移動用暗号鍵が既にある場合は、前回のバックアップ処理が失敗した上でのリトライと判断し、センターシステムへのバックアップ要求は行わず、ステップST504にて耐タンパー領域のデータ移動用暗号鍵を用いてデータの暗号化出力を行う。
つまり、本実施の形態では、データ移動元端末2は、センターシステム1から受信した共通鍵を用いて保有するデータの複製データを暗号化して外部記憶媒体に出力するとともに、暗号化した複製データの外部記憶媒体への出力が正常に完了するまで共通鍵を保持し、複製データの暗号化及び暗号化した複製データの外部記憶媒体への出力が正常に完了しなかった場合に、保持している共有鍵を用いて、複製データの暗号化及び外部記憶媒体への出力を継続する。
以上の説明は、バックアップ処理について説明したが、同じ構成・作用をリストア処理に適用することも可能である。
つまり、データ移動先端末3は、センターシステム1から受信した共通鍵を用いて暗号化された複製データの復号及び復号された複製データの格納を行うとともに、暗号化された複製データの復号及び復号された複製データの格納が正常に完了するまで共通鍵を保持し、暗号化された複製データの復号及び復号された複製データの格納が正常に完了しなかった場合に、保持している共有鍵を用いて、暗号化された複製データの復号及び復号された複製データの格納を継続する。
つまり、データ移動先端末3は、センターシステム1から受信した共通鍵を用いて暗号化された複製データの復号及び復号された複製データの格納を行うとともに、暗号化された複製データの復号及び復号された複製データの格納が正常に完了するまで共通鍵を保持し、暗号化された複製データの復号及び復号された複製データの格納が正常に完了しなかった場合に、保持している共有鍵を用いて、暗号化された複製データの復号及び復号された複製データの格納を継続する。
本実施の形態では、以上のように構成することで、バックアップ処理又はリストア処理が途中で中断した場合でも、センターシステムに再要求を出すことなく、リトライ処理を行うことができる。
また、データ移動用暗号鍵は耐タンパー領域26に保存されるため、不正に用いられる危険性を避けた上で、リトライ処理が行える効果も奏する。
また、データ移動用暗号鍵は耐タンパー領域26に保存されるため、不正に用いられる危険性を避けた上で、リトライ処理が行える効果も奏する。
このように、本実施の形態では、データバックアップ処理や、データリストア処理が正常に完了するまで、センターから供給されたデータ移動用暗号鍵を秘匿領域に保持し、処理が完了した時点で消去することを特徴としたデータ移動方法、データ移動機器について説明した。
実施の形態3.
(バックアップ/リストア要求代行端末)
これまでの実施の形態では、データ移動元端末2及びデータ移動先端末3は、通信機能を内蔵するか、例えば、携帯電話を装着することにより通信機能を獲得し、この通信機能により、携帯電話通信網及びインターネットを用いてバックアップ/リストア要求を行うこととした。
しかしながら、例えばカーナビを例に挙げた場合、殆どの機種が携帯電話の装着が可能であるものの、携帯電話を持たない、或いは持っていてもカーナビに装着しないユーが多数存在することが考えられる。
このようなユーザに対しても、これまで述べたバックアップ/リストアサービスを提供できるようにするため、本実施の形態では、バックアップ/リストア要求代行端末5の構成と作用について説明する。
(バックアップ/リストア要求代行端末)
これまでの実施の形態では、データ移動元端末2及びデータ移動先端末3は、通信機能を内蔵するか、例えば、携帯電話を装着することにより通信機能を獲得し、この通信機能により、携帯電話通信網及びインターネットを用いてバックアップ/リストア要求を行うこととした。
しかしながら、例えばカーナビを例に挙げた場合、殆どの機種が携帯電話の装着が可能であるものの、携帯電話を持たない、或いは持っていてもカーナビに装着しないユーが多数存在することが考えられる。
このようなユーザに対しても、これまで述べたバックアップ/リストアサービスを提供できるようにするため、本実施の形態では、バックアップ/リストア要求代行端末5の構成と作用について説明する。
図10は、本実施の形態に係るデータ管理システム100のシステム構成例を示す。
図10で、センターシステム1、データ移動元端末2、データ移動先端末3、ネットワーク4は、図1の構成と同じである。
本実施の形態では、バックアップ/リストア要求代行端末5(仲介装置)が追加されている。
バックアップ/リストア要求代行端末5は、データ移動元端末2、データ移動先端末3とセンターシステム1とを仲介する装置である。
また、本実施の形態では、データ移動元端末2、データ移動先端末3には、データ移動用暗号鍵入力部27が新設されている。それ以外の構成要素については、図1と変わらないため、図示を省略している。つまり、データ移動元端末2、データ移動先端末3は、図示していないが、図1と同様の装置構成及び移動用暗号鍵入力部27を備える。
図10で、センターシステム1、データ移動元端末2、データ移動先端末3、ネットワーク4は、図1の構成と同じである。
本実施の形態では、バックアップ/リストア要求代行端末5(仲介装置)が追加されている。
バックアップ/リストア要求代行端末5は、データ移動元端末2、データ移動先端末3とセンターシステム1とを仲介する装置である。
また、本実施の形態では、データ移動元端末2、データ移動先端末3には、データ移動用暗号鍵入力部27が新設されている。それ以外の構成要素については、図1と変わらないため、図示を省略している。つまり、データ移動元端末2、データ移動先端末3は、図示していないが、図1と同様の装置構成及び移動用暗号鍵入力部27を備える。
ここで、バックアップ要求は、バックアップ/リストア要求代行端末5の図示しない操作画面より行い、バックアップ要求と製造番号を手入力などの方法により入力する。
それらをバックアップ要求受付部50が受け付け、要求送信部52からセンターシステムに送られる。
このようにしてバックアップ要求を受け付けた後のセンターシステムの動作は、図3と同じである。
それらをバックアップ要求受付部50が受け付け、要求送信部52からセンターシステムに送られる。
このようにしてバックアップ要求を受け付けた後のセンターシステムの動作は、図3と同じである。
次に、センターシステム1から返されたデータ移動用暗号鍵の処理方法について、図11のフローチャートを用いて説明する。
処理開始後、まずステップST600にて、移動用暗号鍵受信部53がデータ移動用暗号鍵を受信する。
次に、ステップST601にて、データ移動用暗号鍵出力部54がデータ移動用暗号鍵を例えばUSB(Universal Serial Bus)メモリなどの外部媒体に出力する。
次に、ステップST602にて、操作者の手作業により、外部媒体をデータ移動元端末2に装着する。
次に、ステップST603にて、データ移動元端末2のデータ移動用暗号鍵入力部27が、外部媒体に記録されているデータ移動用暗号鍵を読み込む。
次に、ステップST604にて、データ移動用暗号鍵を用いて、バックアップ処理を行う。
本ステップの処理詳細は、図4に示したものと同じである。
以上は、データのバックアップについて述べたが、リストア要求をバックアップ要求受付部50の代わりにリストア要求受付部51が受け付けることを除けば、リストア要求も同じ構成・作用により実現することができる。
処理開始後、まずステップST600にて、移動用暗号鍵受信部53がデータ移動用暗号鍵を受信する。
次に、ステップST601にて、データ移動用暗号鍵出力部54がデータ移動用暗号鍵を例えばUSB(Universal Serial Bus)メモリなどの外部媒体に出力する。
次に、ステップST602にて、操作者の手作業により、外部媒体をデータ移動元端末2に装着する。
次に、ステップST603にて、データ移動元端末2のデータ移動用暗号鍵入力部27が、外部媒体に記録されているデータ移動用暗号鍵を読み込む。
次に、ステップST604にて、データ移動用暗号鍵を用いて、バックアップ処理を行う。
本ステップの処理詳細は、図4に示したものと同じである。
以上は、データのバックアップについて述べたが、リストア要求をバックアップ要求受付部50の代わりにリストア要求受付部51が受け付けることを除けば、リストア要求も同じ構成・作用により実現することができる。
以上により、携帯電話を持たない、或いは用いないユーザに対しても、バックアップ/リストアサービスを提供することができるようになる。また、外部媒体を用いてバックアップ/リストア代行端末及びデータ移動元/移動先端末間でやり取りされるデータ移動用暗号鍵は、端末の秘匿IDで暗号化されているため、第三者による不正アクセスを受ける危険が無いという効果も奏するものである。
このように、本実施の形態では、バックアップ/リストア要求時の、センターへの送信データ(バックアップ要求、リストア要求、製造番号)の入力を、該当端末以外の代行端末を用いて行い、センターが生成するデータ移動用暗号鍵を、代行端末へダウンロードし、
該当端末と代行端末にメモリカードI/F(インタフェース)を設け、代行端末から該当端末へ、メモリカードによりデータ移動用暗号鍵を移動することを特徴とした、データ移動方法、データ移動及びシステムについて説明した。
該当端末と代行端末にメモリカードI/F(インタフェース)を設け、代行端末から該当端末へ、メモリカードによりデータ移動用暗号鍵を移動することを特徴とした、データ移動方法、データ移動及びシステムについて説明した。
実施の形態4.
(端末購入後、リストア猶予期間の限定)
本実施の形態では、データ移動用目的に作成されたバックアップが不正に利用されないようにすることを目的とした、移動先端末購入後のリストア猶予期間の限定について説明する。
(端末購入後、リストア猶予期間の限定)
本実施の形態では、データ移動用目的に作成されたバックアップが不正に利用されないようにすることを目的とした、移動先端末購入後のリストア猶予期間の限定について説明する。
図12は、センターシステム1の構成図である。
図1に示した構成に対し、データ移動管理DB定期チェック部14(通信送信部)が新設されている。
図13は、本実施の形態に係るデータ移動管理DBのデータ構成例を示す。図3に示した構成に対し、端末購入日時(データ機器購入日時)が新設されている。
図1に示した構成に対し、データ移動管理DB定期チェック部14(通信送信部)が新設されている。
図13は、本実施の形態に係るデータ移動管理DBのデータ構成例を示す。図3に示した構成に対し、端末購入日時(データ機器購入日時)が新設されている。
データ移動管理DB定期チェック部14は、定期的にデータ移動管理DBの各レコードをチェックし、端末購入日時とリストア要求日時、及び現在時刻を参照する。
次に、端末購入日時から一定期間経過しているレコードの中で、リストア要求日時カラムが空欄かつ、該当ユーザがバックアップ処理実施済みであるレコードを抽出し、そのユーザに電子メールなどの手段により、リストア処理の実施を促す。
次に、端末購入日時から一定期間経過しているレコードの中で、リストア要求日時カラムが空欄かつ、該当ユーザがバックアップ処理実施済みであるレコードを抽出し、そのユーザに電子メールなどの手段により、リストア処理の実施を促す。
つまり、データ移動管理DB定期チェック部14は、端末購入日時(データ機器購入日時)から一定期間が経過してもリストア要求日時(データ格納承認要求受信日時)が記憶されない機器IDが存在する場合に、当該機器IDに対応するユーザIDに示されている利用者が利用するパソコンや携帯電話といった通信装置に対して、データ移動を促す通知を電子メール等により送信する。
さらに、その後もリストア処理を行わないデータに関しては、リストア要求があってもデータ移動用暗号鍵を提供しないことにより、リストア操作を禁止する。
つまり、データ移動要求受付部13の鍵送信部1304は、データ移動管理DB定期チェック部14はより電子メール等によりリストア処理を促す通知が送信された後、一定期間経過後は、前記通知の送信の対象となった機器IDが含まれたデータリストア要求が送信されてきても、当該データリストア要求に対してはデータ移動用暗号鍵を送信しないようにする。
以上のように構成し作用することにより、バックアップしたデータのリストア忘れを防ぐことができる。さらに、リストアされないデータの不正利用を防ぐという効果も奏するようになる。
なお、上記の説明では、データ移動管理DB定期チェック部14は、リストア処理を促す通知を電子メール等で送信することとしたが、代わりに、データ移動管理DB定期チェック部14がリストア処理を促すユーザを抽出するまでの処理を行い、リストア処理を促す通知は操作者がダイレクトメール等を送信するようにしてもよい。
このように、本実施の形態では、センターのデータ移動管理DBのレコードに、端末購入日時カラムを設け、端末購入後一定期間リストアがなされないバックアップデータを検知し、それらについてリストア操作を促す、或いはリストア操作を禁止することを特徴とした、データ移動方法、データ移動機器及びシステムについて説明した。
以上、実施の形態1〜4では、データ移動を行う端末としてカーナビを例に挙げながら説明してきたが、この発明の適用範囲はカーナビに限定されるものではなく、携帯電話番号のような買換え時に変わらない特殊なIDを持たず、センターで機器IDと所有者IDが管理された端末であれば適用可能である。
なお、最後に、実施の形態1〜4で説明したセンターシステム1、データ移動元端末2、データ移動先端末3及びバックアップ/リストア要求代行端末5のハードウェア構成例について説明する。
図14は、実施の形態1〜4に示すセンターシステム1、データ移動元端末2、データ移動先端末3及びバックアップ/リストア要求代行端末5のハードウェア資源の一例を示す図である。なお、図14の構成は、あくまでもセンターシステム1、データ移動元端末2、データ移動先端末3及びバックアップ/リストア要求代行端末5のハードウェア構成の一例を示すものであり、センターシステム1、データ移動元端末2、データ移動先端末3及びバックアップ/リストア要求代行端末5のハードウェア構成は図14に記載の構成に限らず、他の構成であってもよい。
図14において、センターシステム1、データ移動元端末2、データ移動先端末3及びバックアップ/リストア要求代行端末5は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、フラッシュメモリ、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
通信ボード915は、図1に示すように、ネットワークに接続されている。例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
上記プログラム群923には、実施の形態1〜4の説明において「〜部」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、実施の形態1〜4の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の評価」、「〜の更新」、「〜の設定」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜4で説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
ファイル群924には、実施の形態1〜4の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の評価」、「〜の更新」、「〜の設定」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜4で説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、実施の形態1〜4の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」、であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1〜4の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1〜4の「〜部」の手順や方法をコンピュータに実行させるものである。
このように、実施の形態1〜4に示すセンターシステム1、データ移動元端末2、データ移動先端末3及びバックアップ/リストア要求代行端末5は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
1 センターシステム、2 データ移動元端末、3 データ移動先端末、4 ネットワーク、5 バックアップ/リストア要求代行端末、10 データ移動管理DB、11 機器製造情報受付部、12 機器販売情報受付部、13 データ移動要求受付部、14 データ移動管理DB定期チェック部、20 データ入出力部、21 通信処理部、22 秘匿ID記憶部、23 共通鍵演算処理部、24 データ記憶部、25 製造番号記憶部、26 耐タンパー領域、27 移動用暗号鍵入力部、50 バックアップ要求受付部、51 リストア要求受付部、52 要求送信部、53 移動用暗号鍵受信部、54 移動用暗号鍵出力部、100 データ管理システム、1301 データバックアップ要求受信部、1302 データリストア要求受信部、1303 データ移動用暗号鍵生成部、1304 鍵送信部。
Claims (14)
- 複数のデータ機器間のデータ移動を管理するデータ管理装置であって、
データ機器ごとに、データ機器に固有の機器情報とデータ機器の利用者に関する利用者情報とを対応づけて記憶するデータベースと、
いずれかのデータ機器の機器情報が含まれ、当該データ機器が保有するデータの複製の承認を求めるデータ複製承認要求を受信するデータ複製承認要求受信部と、
前記データ複製承認要求に含まれた機器情報と一致する機器情報が前記データベースにおいて検出された場合に、検出された機器情報に対して、複製データの暗号化のための共通鍵を生成する共通鍵生成部と、
前記共通鍵生成部により生成された共通鍵を前記データ複製承認要求の送信元に対して送信する第一の鍵送信部と、
いずれかのデータ機器の機器情報が含まれ、暗号化された複製データの復号及び復号された複製データの格納の承認を求めるデータ格納承認要求を受信するデータ格納承認要求受信部と、
前記データ格納承認要求に含まれた機器情報と一致する機器情報が前記データベースにおいて検出され、検出された機器情報に対応する利用者情報と一致する利用者情報が他の機器情報について検出され、当該他の機器情報に対して共通鍵が生成されている場合に、当該共通鍵を前記データ格納承認要求の送信元に送信する第二の鍵送信部とを有することを特徴とするデータ管理装置。 - 前記データベースは、
データ機器ごとに、データ機器とデータ管理装置との間のみで共有されているデータ機器に固有の秘匿情報と、機器情報と、利用者情報とを対応づけて記憶し、
前記共通鍵生成部は、
前記データベースにおいて前記データ複製承認要求に含まれた機器情報と一致する機器情報に対応づけられている秘匿情報を用いて、生成した共通鍵を暗号化し、
前記第一の鍵送信部は、
前記共通鍵生成部により暗号化された共通鍵を前記データ複製承認要求の送信元に対して送信することを特徴とする請求項1に記載のデータ管理装置。 - 前記データベースは、
データ機器ごとに、データ機器とデータ管理装置との間のみで共有されているデータ機器に固有の秘匿情報と、機器情報と、利用者情報とを対応づけて記憶し、
前記共通鍵生成部は、
前記データ格納承認要求の送信元に対して送信する共通鍵が検出された場合に、前記データベースにおいて前記データ格納承認要求に含まれた機器情報と一致する機器情報に対応づけられている秘匿情報を用いて当該共通鍵を暗号化し、
前記第二の鍵送信部は、
前記共通鍵生成部により暗号化された共通鍵を前記データ格納承認要求の送信元に対して送信することを特徴とする請求項1に記載のデータ管理装置。 - 前記データベースは、
前記データ複製承認要求に含まれた機器情報と一致する機器情報が検出された場合に、前記データ複製承認要求の受信日時を、データ複製承認要求日時として、検出された機器情報に対応づけて記憶し、
前記第二の鍵送信部は、
前記データベースにおいて前記他の機器情報に対してデータ複製承認要求日時が記憶されている場合に、前記他の機器情報に対する共通鍵を前記データ格納承認要求の送信元に対して送信することを特徴とする請求項1に記載のデータ管理装置。 - 前記データベースは、
データ機器ごとに、データ格納承認要求の受信日時であるデータ格納承認要求受信日時と、データ機器が購入された日時であるデータ機器購入日時とを、機器情報に対応づけて記憶し、
前記データ管理装置は、更に、
前記データ機器購入日時から一定期間が経過しても前記データ格納承認要求受信日時が記憶されない機器情報が存在する場合に、当該機器情報に対応する利用者情報に示されている利用者が利用する通信装置に対して、データ移動を促す通知を送信する通知送信部を有することを特徴とする請求項1に記載のデータ管理装置 - 前記第二の鍵送信部は、
前記通知送信部により前記通知が送信された後、一定期間経過後は、前記通知の送信の対象となった機器情報が含まれたデータ格納承認要求に対して共通鍵を送信しないことを特徴とする請求項4に記載のデータ管理装置。 - 少なくとも一つの機器がデータを保有している複数のデータ機器と、前記複数のデータ機器間のデータ移動を管理するデータ管理装置とを有するデータ管理システムであって、
前記複数のデータ機器のうちのデータを保有している移動元データ機器が、
当該移動元データ機器に固有の機器情報を含み、当該移動元データ機器が保有するデータの複製の承認を求めるデータ複製承認要求を前記データ管理装置に対して送信し、
前記データ管理装置は、
データ機器ごとに、データ機器に固有の機器情報とデータ機器の利用者に関する利用者情報とを対応づけて記憶するデータベースを有し、
前記データ複製承認要求を受信し、
前記データ複製承認要求に含まれた機器情報と一致する機器情報が前記データベースにおいて検出された場合に、検出された機器情報に対して、複製データの暗号化のための共通鍵を生成し、
生成した共通鍵を前記データ複製承認要求の送信元に対して送信し、
前記移動元データ機器は、
前記データ管理装置から送信された共通鍵を受信し、受信した共通鍵を用いて、保有するデータの複製データを暗号化し、
前記複数のデータ機器のうち複製データの格納先となる移動先データ機器が、
当該移動先データ機器の機器情報を含み、暗号化された複製データの復号及び復号された複製データの格納の承認を求めるデータ格納承認要求を前記データ管理装置に対して送信し、
前記データ管理装置は、
前記データ格納承認要求を受信し、
前記データ格納承認要求に含まれた機器情報と一致する機器情報が前記データベースにおいて検出され、検出された機器情報に対応する利用者情報と一致する利用者情報が前記移動元データ機器の機器情報について検出された場合に、前記移動元データ機器の機器情報に対する共通鍵を前記データ格納承認要求の送信元に対して送信し、
前記移動先データ機器は、
前記データ管理装置から送信された共通鍵を受信し、受信した共通鍵を用いて、前記移動元データ機器により暗号化された複製データを復号し、復号された複製データを格納することを特徴とするデータ管理システム。 - 各々のデータ機器は、
データ機器に固有の秘匿情報を保有し、
前記データ管理装置は
データ機器ごとに、秘匿情報と、機器情報と、利用者情報とを対応づけて記憶するデータベースを有し、
前記データ複製承認要求を受信し共通鍵を生成した場合に、前記データベースにおいて前記データ複製承認要求に含まれた機器情報と一致する機器情報に対応づけられている秘匿情報を用いて、生成した共通鍵を暗号化し、
暗号化された共通鍵を前記データ複製承認要求の送信元に対して送信し、
前記移動元データ機器は、
前記データ管理装置から送信された暗号化された共通鍵を受信し、保有している秘匿情報を用いて、受信した暗号化された共通鍵を復号し、復号した共通鍵を用いて保有するデータの複製データを暗号化することを特徴とする請求項7に記載のデータ管理システム。 - 各々のデータ機器は、
データ機器に固有の秘匿情報を保有し、
前記データ管理装置は
データ機器ごとに、秘匿情報と、機器情報と、利用者情報とを対応づけて記憶するデータベースを有し、
前記データ格納承認要求の送信元に対して送信する共通鍵が検出された場合に、前記データベースにおいて前記データ格納承認要求に含まれた機器情報と一致する機器情報に対応づけられている秘匿情報を用いて当該共通鍵を暗号化し、
暗号化された共通鍵を前記データ格納承認要求の送信元に対して送信し、
前記移動元データ機器は、
前記データ管理装置から送信された暗号化された共通鍵を受信し、保有している秘匿情報を用いて、受信した暗号化された共通鍵を復号し、復号した共通鍵を用いて、前記移動元データ機器により暗号化された複製データを復号し、復号された複製データを格納することを特徴とする請求項7に記載のデータ管理システム。 - 前記移動元データ機器は、
前記データ管理装置から受信した共通鍵を用いて保有するデータの複製データを暗号化して外部記憶媒体に出力するとともに、暗号化した複製データの前記外部記憶媒体への出力が正常に完了するまで前記共通鍵を保持し、
複製データの暗号化及び暗号化した複製データの前記外部記憶媒体への出力が正常に完了しなかった場合に、保持している共有鍵を用いて、複製データの暗号化及び外部記憶媒体への出力を継続することを特徴とする請求項7に記載のデータ管理システム。 - 前記移動先データ機器は、
前記データ管理装置から受信した共通鍵を用いて暗号化された複製データの復号及び復号された複製データの格納を行うとともに、暗号化された複製データの復号及び復号された複製データの格納が正常に完了するまで前記共通鍵を保持し、
暗号化された複製データの復号及び復号された複製データの格納が正常に完了しなかった場合に、保持している共有鍵を用いて、暗号化された複製データの復号及び復号された複製データの格納を継続することを特徴とする請求項7に記載のデータ管理システム。 - 少なくとも一つの機器がデータを保有している複数のデータ機器と、前記複数のデータ機器間のデータ移動を管理するデータ管理装置と、前記複数のデータ機器と前記データ管理装置とを仲介する仲介装置とを有するデータ管理システムであって、
前記仲介装置は、
当該移動元データ機器が保有するデータの複製の承認を求める要求であって、前記複数のデータ機器のうちのデータを保有している移動元データ機器に固有の機器情報を含むデータ複製承認要求を前記データ管理装置に対して送信し、
前記データ管理装置は、
データ機器ごとに、データ機器に固有の機器情報とデータ機器の利用者に関する利用者情報とを対応づけて記憶するデータベースを有し、
前記データ複製承認要求を受信し、
前記データ複製承認要求に含まれた機器情報と一致する機器情報が前記データベースにおいて検出された場合に、検出された機器情報に対して、複製データの暗号化のための共通鍵を生成し、
生成した共通鍵を前記データ複製承認要求の送信元に対して送信し、
前記仲介装置は、
前記データ管理装置から送信された共通鍵を受信し、
前記移動元データ機器は、
前記仲介装置が受信した共通鍵を取得し、取得した共通鍵を用いて保有するデータの複製データを暗号化し、
前記仲介装置は、
暗号化された複製データの復号及び復号された複製データの格納の承認を求める要求であって、前記複数のデータ機器のうちの複製データの格納先となる移動先データ機器の機器情報を含むデータ格納承認要求を前記データ管理装置に対して送信し、
前記データ管理装置は、
前記データ格納承認要求を受信し、
前記データ格納承認要求に含まれた機器情報と一致する機器情報が前記データベースにおいて検出され、検出された機器情報に対応する利用者情報と一致する利用者情報が前記移動元データ機器の機器情報について検出された場合に、前記移動元データ機器の機器情報に対する共通鍵を前記データ格納承認要求の送信元に対して送信し、
前記仲介装置は、
前記データ管理装置から送信された共通鍵を受信し、
前記移動先データ機器は、
前記仲介装置が受信した共通鍵を取得し、取得した共通鍵を用いて、前記移動元データ機器により暗号化された複製データを復号し、復号された複製データを格納することを特徴とするデータ管理システム。 - コンピュータが、複数のデータ機器間のデータ移動を管理するデータ管理方法であって、
データ機器ごとに、データ機器に固有の機器情報とデータ機器の利用者に関する利用者情報とを対応づけて記憶しているデータベースをコンピュータが検索する情報検索ステップと、
いずれかのデータ機器の機器情報が含まれ、当該データ機器が保有するデータの複製の承認を求めるデータ複製承認要求をコンピュータが受信するデータ複製承認要求受信ステップと、
前記データ複製承認要求に含まれた機器情報と一致する機器情報が前記情報検索ステップにより検出された場合に、検出された機器情報に対して、複製データの暗号化のための共通鍵をコンピュータが生成する共通鍵生成ステップと、
前記共通鍵生成ステップにより生成された共通鍵を前記データ複製承認要求の送信元に対してコンピュータが送信する第一の鍵送信ステップと、
いずれかのデータ機器の機器情報が含まれ、暗号化された複製データの復号及び復号された複製データの格納の承認を求めるデータ格納承認要求をコンピュータが受信するデータ格納承認要求受信ステップと、
前記データ格納承認要求に含まれた機器情報と一致する機器情報が前記情報検索ステップにより検出され、検出された機器情報に対応する利用者情報と一致する利用者情報が他の機器情報について検出され、当該他の機器情報に対して共通鍵が生成されている場合に、コンピュータが当該共通鍵を前記データ格納承認要求の送信元に送信する第二の鍵送信ステップとを有することを特徴とするデータ管理方法。 - 複数のデータ機器間のデータ移動を管理するコンピュータに、
データ機器ごとに、データ機器に固有の機器情報とデータ機器の利用者に関する利用者情報とを対応づけて記憶しているデータベースを検索する情報検索処理と、
いずれかのデータ機器の機器情報が含まれ、当該データ機器が保有するデータの複製の承認を求めるデータ複製承認要求を受信するデータ複製承認要求受信処理と、
前記データ複製承認要求に含まれた機器情報と一致する機器情報が前記情報検索処理により検出された場合に、検出された機器情報に対して、複製データの暗号化のための共通鍵を生成する共通鍵生成処理と、
前記共通鍵生成処理により生成された共通鍵を前記データ複製承認要求の送信元に対して送信する第一の鍵送信処理と、
いずれかのデータ機器の機器情報が含まれ、暗号化された複製データの復号及び復号された複製データの格納の承認を求めるデータ格納承認要求を受信するデータ格納承認要求受信処理と、
前記データ格納承認要求に含まれた機器情報と一致する機器情報が前記情報検索処理により検出され、検出された機器情報に対応する利用者情報と一致する利用者情報が他の機器情報について検出され、当該他の機器情報に対して共通鍵が生成されている場合に、当該共通鍵を前記データ格納承認要求の送信元に送信する第二の鍵送信処理とを実行させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006350737A JP2008166873A (ja) | 2006-12-27 | 2006-12-27 | データ管理装置及びデータ管理システム及びデータ管理方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006350737A JP2008166873A (ja) | 2006-12-27 | 2006-12-27 | データ管理装置及びデータ管理システム及びデータ管理方法及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008166873A true JP2008166873A (ja) | 2008-07-17 |
Family
ID=39695778
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006350737A Pending JP2008166873A (ja) | 2006-12-27 | 2006-12-27 | データ管理装置及びデータ管理システム及びデータ管理方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008166873A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013117946A (ja) * | 2012-10-04 | 2013-06-13 | Toshiba Corp | メモリカード、ホスト装置、及びシステム |
JP2013117947A (ja) * | 2012-10-04 | 2013-06-13 | Toshiba Corp | メモリ装置、ホスト装置、及びシステム |
US11151284B2 (en) * | 2019-01-02 | 2021-10-19 | Bank Of America Corporation | System for active and passive management of location-based copy data |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000098885A (ja) * | 1998-09-17 | 2000-04-07 | Sony Corp | コンテンツ管理方法及びコンテンツ記憶システム |
JP2004062317A (ja) * | 2002-07-25 | 2004-02-26 | Sanyo Electric Co Ltd | データ記憶装置 |
JP2006127061A (ja) * | 2004-10-27 | 2006-05-18 | Hitachi Ltd | 計算機システム、管理計算機、及びデータ管理方法 |
JP2006217320A (ja) * | 2005-02-04 | 2006-08-17 | Matsushita Electric Ind Co Ltd | 管理サーバ、機器、およびライセンス管理システム |
-
2006
- 2006-12-27 JP JP2006350737A patent/JP2008166873A/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000098885A (ja) * | 1998-09-17 | 2000-04-07 | Sony Corp | コンテンツ管理方法及びコンテンツ記憶システム |
JP2004062317A (ja) * | 2002-07-25 | 2004-02-26 | Sanyo Electric Co Ltd | データ記憶装置 |
JP2006127061A (ja) * | 2004-10-27 | 2006-05-18 | Hitachi Ltd | 計算機システム、管理計算機、及びデータ管理方法 |
JP2006217320A (ja) * | 2005-02-04 | 2006-08-17 | Matsushita Electric Ind Co Ltd | 管理サーバ、機器、およびライセンス管理システム |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013117946A (ja) * | 2012-10-04 | 2013-06-13 | Toshiba Corp | メモリカード、ホスト装置、及びシステム |
JP2013117947A (ja) * | 2012-10-04 | 2013-06-13 | Toshiba Corp | メモリ装置、ホスト装置、及びシステム |
US11151284B2 (en) * | 2019-01-02 | 2021-10-19 | Bank Of America Corporation | System for active and passive management of location-based copy data |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10489562B2 (en) | Modular software protection | |
JP5270694B2 (ja) | 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム | |
US8908869B2 (en) | Anchor point for digital content protection | |
JP4865854B2 (ja) | デジタル著作権管理方法および装置 | |
JP4625000B2 (ja) | データ保護システム及び記録担体 | |
KR100443621B1 (ko) | 개인용 컴퓨터 기반의 고유 아이디를 이용한 휴대용 정보단말기의 어플리케이션의 인증방법과 이를 이용한 시스템 | |
JP2001094554A (ja) | 情報送信システム、情報送信装置、情報受信装置、情報送信方法 | |
US20160371499A1 (en) | Deleting information to maintain security level | |
TW201947406A (zh) | 資料交換群組系統及方法 | |
JP2009080772A (ja) | ソフトウェア起動システム、ソフトウェア起動方法、及びソフトウェア起動プログラム | |
JP2008108231A (ja) | 情報漏洩抑止装置、情報漏洩抑止プログラム、情報漏洩抑止記録媒体、及び情報漏洩抑止システム | |
JP2001083874A (ja) | 情報提供システム、情報規制装置、情報受信装置及び情報提供方法 | |
JP2001067324A (ja) | 情報送信システム、情報送信装置及び情報受信装置 | |
JP2008166873A (ja) | データ管理装置及びデータ管理システム及びデータ管理方法及びプログラム | |
JP2001092880A (ja) | 情報提供システム、リスト送信装置、情報受信装置及び情報提供方法 | |
JP2007188445A (ja) | 情報漏えい防止システム及び情報漏えい防止方法 | |
JP3833635B2 (ja) | 情報管理システム、キー配信サーバ、情報管理方法、及びプログラム | |
KR20050032016A (ko) | 메모리 카드 내의 파일 구조 관리 방법 및 관련 기술 | |
JP2007199978A (ja) | 情報処理装置、携帯端末装置及び情報処理実行制御方法 | |
US20060230463A1 (en) | Method, apparatus, and computer program product for controlling copying and playback of digital data | |
JP4600021B2 (ja) | 暗号化データアクセス制御方法 | |
JP2007110175A (ja) | 管理サービス装置、バックアップサービス装置、通信端末装置及び記憶媒体 | |
JP2021150681A (ja) | 情報処理システム、情報処理プログラムおよび情報処理方法 | |
JP6524556B2 (ja) | 認証鍵複製システム | |
JP2001067795A (ja) | 情報受信システム及び情報受信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091001 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120703 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20121030 |