JP2008171116A - Storage device and its access control system - Google Patents

Storage device and its access control system Download PDF

Info

Publication number
JP2008171116A
JP2008171116A JP2007002409A JP2007002409A JP2008171116A JP 2008171116 A JP2008171116 A JP 2008171116A JP 2007002409 A JP2007002409 A JP 2007002409A JP 2007002409 A JP2007002409 A JP 2007002409A JP 2008171116 A JP2008171116 A JP 2008171116A
Authority
JP
Japan
Prior art keywords
server
authentication information
management
access
credential
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007002409A
Other languages
Japanese (ja)
Inventor
Tokai Morino
東海 森野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007002409A priority Critical patent/JP2008171116A/en
Publication of JP2008171116A publication Critical patent/JP2008171116A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To prevent tampering of data to be stored in a specific region of a storage device. <P>SOLUTION: When recognizing that a terminal is legal as an access destination, a server generates management authentication information for permitting access. The terminal is provided with a specific region set in a storage device to which access is permitted when predetermined conditions are satisfied, and configured to acquire management authentication information generated by the server, and to manage it by a management part. When a request for access from the server or the other access origin to the specific region is made, the permission of the access is authenticated by referring to the management authentication information to be managed by the management part. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、記憶装置及びそのアクセス制御システムに係り、特に、著作権に係わるコンテンツの保護が必要なデータを記憶する記憶装置にアクセスする場合における、記憶されたデータの改ざんや削除を防止するためのアクセス制御に関するものである。   The present invention relates to a storage device and an access control system thereof, and more particularly to prevent tampering or deletion of stored data when accessing a storage device storing data that requires protection of content related to copyright. Is related to access control.

インターネットやデジタル放送などの通信手段を利用して、映画や音楽などのコンテンツを配信するサービスが実用化されている。ネットワークに配信されるデジタルコンテンツは複製が容易であるため、その著作権を保護することが重要である。著作権の保護の一手段として、コンテンツを暗号化して配信する方法が行なわれている。これは、例えば共通鍵暗号方式などによってコンテンツを暗号化し、同時に暗号化されたコンテンツを復号するための復号鍵を作成する。暗号化されたコンテンツは対応する復号鍵がなければ再生できないため、復号鍵とその利用条件を対とした情報を安全に管理することでコンテンツの不正使用を防ぎ、コンテンツ著作者らの権利を保護するこができる。
また、情報漏えいや内部統制などで端末での操作ログを安全に保護することが要求されている。そのため、ログのデータに対するアクセス制御や暗号化により改ざんや削除を防止することができる。 Services that distribute contents such as movies and music using communication means such as the Internet and digital broadcasting have been put into practical use. Since digital content distributed over a network can be easily copied, it is important to protect the copyright. As a means for protecting the copyright, a method of encrypting and distributing content is performed. This encrypts content by, for example, a common key encryption method and creates a decryption key for decrypting the encrypted content at the same time. Encrypted content cannot be played back without a corresponding decryption key, so the information that pairs the decryption key and its usage conditions can be safely managed to prevent unauthorized use of the content and protect the rights of content authors Can do.
In addition, it is required to safely protect the operation log on the terminal due to information leakage or internal control. Therefore, falsification and deletion can be prevented by access control and encryption for log data.

例えば、特許文献1(特開2002−229859号公報)には、ディスクドライブに複数の所定の領域を、特別のアクセス条件を必要とする複数の秘匿領域として設定可能なディスク記憶媒体と、各秘匿領域に対応する複数の鍵情報および各秘匿領域に共通な固有情報を記憶している記憶手段と、鍵情報と固有情報から生成される各秘匿領域ごとの領域固有情報を使用して各秘匿領域毎にアクセス許可するか否かを決定するための認証処理を実行する認証手段を有するディスクドライブが開示されている。   For example, Patent Document 1 (Japanese Patent Application Laid-Open No. 2002-229859) discloses a disk storage medium that can set a plurality of predetermined areas in a disk drive as a plurality of secret areas that require special access conditions, and each secret. Each secret area using a plurality of key information corresponding to the area and unique information common to each secret area, and area specific information for each secret area generated from the key information and the unique information A disk drive having authentication means for executing an authentication process for determining whether or not to permit access every time is disclosed.

特開2002−229859号公報JP 2002-229859 A

上記従来技術を、端末に適用した場合、端末で動作するプログラムは認証に用いる情報を用いて認証を行い、ディスクドライブの秘匿領域にアクセスすることになる。このとき、端末上で動作するプログラムは認証に用いる情報を扱うことになるため、その実行プログラムを解析することにより、認証に用いる情報が第三者に取得されてしまうおそれがある。   When the above-described conventional technique is applied to a terminal, a program operating on the terminal performs authentication using information used for authentication and accesses a secret area of the disk drive. At this time, since the program operating on the terminal handles information used for authentication, there is a possibility that information used for authentication may be acquired by a third party by analyzing the execution program.

本発明の目的は、記憶装置に記憶されたデータの改ざんを防止することのできる記憶装置及びそのアクセス制御システムを提供することにある。   An object of the present invention is to provide a storage device and an access control system for the storage device that can prevent falsification of data stored in the storage device.

本発明に係るアクセス制御システムは、好ましくは、記憶装置を有する端末と、ネットワークを介して端末に接続され、記憶装置の記憶領域にアクセスすることができるサーバと、を含むアクセス制御システムにおいて、サーバは、端末がアクセス先として正当であると認識した場合、アクセスを許可する管理認証情報を生成する処理部と、を有し、端末は、所定の条件が満たされた場合にアクセスが許可される、記憶装置内に設定された第1の記憶領域と、前記処理部によって生成された、第1の記憶領域へアクセスするため使用される管理認証情報を管理する管理部とを有するアクセス制御システムとして構成される。   An access control system according to the present invention is preferably an access control system including a terminal having a storage device and a server connected to the terminal via a network and capable of accessing a storage area of the storage device. Includes a processing unit that generates management authentication information that permits access when the terminal recognizes that the terminal is valid as an access destination, and the terminal is permitted to access when a predetermined condition is satisfied. As an access control system comprising: a first storage area set in the storage device; and a management unit that manages management authentication information generated by the processing unit and used to access the first storage area Composed.

好ましい例では、前記端末は、公開鍵暗号を用いた暗号通信のセッションを確立して、前記サーバとの間で情報を通信する。
また好ましくは、前記サーバにおける前記処理部は、前記管理認証情報(第1の管理認証情報)を用いて記憶装置に関する認証を行い、更に第2の管理認証情報を生成し、第2の管理認証情報を用いて端末との間のセキュアセッションを開始する。
また、好ましくは、前記サーバの前記処理部は、前記第2の管理認証情報を用いて、記憶装置の第1の記憶領域に対する書込みアクセス、又は読込みアクセス、又は削除アクセス時の認証に用いられる、夫々異なるクレデンシャルを生成して管理する。
また、好ましくは、前記サーバの前記処理部は、記憶装置の第1の記憶領域に対する書込みアクセス、又は読込みアクセス、又は削除アクセス時の認証に用いられる、夫々異なるクレデンシャルを生成し、前記端末は、処理部で生成された書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルのいずれかを受信して、前記記憶装置内に設定された前記管理部に保持する。
また、好ましくは、前記端末に備えられた前記管理部は、前記第2の管理認証情報、又は前記書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを、記憶装置に形成された記憶領域又はメモリに記憶して管理する。
また、好ましくは、前記記憶装置内に複数の第1の記憶領域が設定されている場合、前記サーバの前記処理部は、各第1の記憶領域に対応して、前記書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを生成して管理する。
また、好ましくは、前記記憶装置内に、複数の第1の記憶領域が設定されている場合、前記管理部は、サーバから取得した、前記書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを、各第1の記憶領域に対応付けて管理する。
また、好ましくは、前記記憶装置内に、複数の第1の記憶領域が設定されている場合、前記管理部は、サーバから取得した、前記書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを、各第1の記憶領域に対応付けて管理する。
また、好ましくは、端末は、サーバとの間で暗号通信のセッションを確立して情報のやりとりを行い、サーバから第2の管理認証情報を受信した後に暗号通信のセッションを閉じ、サーバから前記書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを受信する際に、暗号通信のセッションを再度確立する。 In a preferred example, the terminal establishes a cryptographic communication session using public key cryptography, and communicates information with the server.
Further preferably, the processing unit in the server performs authentication related to a storage device using the management authentication information (first management authentication information), generates second management authentication information, and generates second management authentication. A secure session with the terminal is started using the information.
Preferably, the processing unit of the server is used for authentication during write access, read access, or deletion access to the first storage area of the storage device, using the second management authentication information. Generate and manage different credentials for each.
Preferably, the processing unit of the server generates different credentials used for authentication during write access, read access, or deletion access to the first storage area of the storage device, and the terminal includes: Either the write credential, the read credential, or the delete credential generated by the processing unit is received and held in the management unit set in the storage device.
Preferably, the management unit provided in the terminal stores the second management authentication information, the write credential, the read credential, or the delete credential in a storage area or a memory formed in a storage device. And manage.
Preferably, when a plurality of first storage areas are set in the storage device, the processing unit of the server corresponds to each first storage area, and the write credential or the read credential. Or create and manage delete credentials.
Preferably, when a plurality of first storage areas are set in the storage device, the management unit acquires the write credential, the read credential, or the delete credential acquired from the server. Managed in association with one storage area.
Preferably, when a plurality of first storage areas are set in the storage device, the management unit acquires the write credential, the read credential, or the delete credential acquired from the server. Managed in association with one storage area.
Preferably, the terminal establishes a cryptographic communication session with the server to exchange information, receives the second management authentication information from the server, closes the cryptographic communication session, and writes the information from the server. When the credential, the read credential, or the delete credential is received, the encryption communication session is re-established.

本発明に係る記憶装置は、好ましくは、また、好ましくは、ネットワークを介してサーバに接続可能な記憶装置において、所定の条件が満たされた場合にアクセスが許可される、記憶装置内に設定された第1の記憶領域と、自由にアクセスすることができる第2の記憶領域を有する記憶媒体と、サーバに第1の記憶領域へのアクセスを許可するために、サーバを認証する際に使用される管理認証情報であって、サーバで生成された管理認証情報を取得して管理する管理部と、サーバが第1の記憶領域をアクセスする時、管理部で管理されている管理認証情報を用いて認証する認証制御部と、を有する。
好ましくは、サーバで生成される管理認証情報は、第1の管理認証情報と、該第1の管理認証情報を用いた認証の結果に基づいて生成される第2の管理認証情報と、該第2の管理認証情報を用いた認証の結果に基づいて生成されるアクセス認証情報を含み、前記認証制御部は、サーバからの要求に応答して、予め取得されて管理部で管理される第1の管理認証情報を参照して、サーバから送られる第1の管理認証情報を検証してサーバを認証し、サーバの認証に成功した場合に、サーバから受信された第2の管理認証情報を管理部で管理し、記憶装置は、サーバからの要求に応答してサーバから第2の管理認証情報を受信すると、認証制御部は、管理部で管理される第2の管理認証情報を参照して、サーバからの第2の認証情報を検証してサーバを認証し、サーバの認証に成功した場合に、サーバから受信されたアクセス認証情報を管理部に設定する。
また、好ましくは、前記管理部は、前記アクセス認証情報として、第1の記憶領域をアクセスする時の認証に使用される書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを管理する。
また、好ましくは、前記記憶装置内に、複数の第1の記憶領域が設定されている場合、前記管理部は、前記書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを含む組を、各第1の記憶領域に対応付けて管理する。 The storage device according to the present invention is preferably set in a storage device that can be accessed when a predetermined condition is satisfied in a storage device that can be connected to a server via a network. Used to authenticate the server to allow the first storage area, a storage medium having a second storage area that can be freely accessed, and the server to allow access to the first storage area. Management authentication information that is acquired by the server and managed by the server, and when the server accesses the first storage area, the management authentication information managed by the management unit is used. And an authentication control unit for authenticating.
Preferably, the management authentication information generated by the server includes first management authentication information, second management authentication information generated based on a result of authentication using the first management authentication information, The access control information is generated based on the result of authentication using the management authentication information of No. 2, and the authentication control unit is first acquired in response to a request from the server and managed by the management unit. The first management authentication information sent from the server is verified by referring to the management authentication information of the server, and the server is authenticated. When the server authentication is successful, the second management authentication information received from the server is managed. When the storage device receives the second management authentication information from the server in response to the request from the server, the authentication control unit refers to the second management authentication information managed by the management unit. Verify the second authentication information from the server and It authenticates the server, upon a successful server authentication, sets the access authentication information received from the server to the management unit.
Preferably, the management unit manages, as the access authentication information, a write credential, a read credential, or a delete credential used for authentication when accessing the first storage area.
Preferably, when a plurality of first storage areas are set in the storage device, the management unit includes a set including the write credential, read credential, or delete credential for each first credential. It is managed in association with the storage area.

本発明に係るアクセス制御方法は、好ましくは、ネットワークを介してサーバから、端末の記憶装置にアクセスするアクセス制御方法において、記憶装置内に予め、所定の条件が満たされた場合にアクセスが許可される第1の記憶領域を定義するステップと、サーバにおいて端末がアクセス先として正当であると認識した場合、第1の記憶領域へのアクセスを許可する管理認証情報を生成するステップと、端末において、サーバより管理認証情報を取得して管理部に保持して管理するステップと、サーバ又は他を含むかもしれないアクセス元から、第1の記憶領域へアクセス要求があった時、管理部に保持された管理認証情報を参照して、アクセス許可の認証を行うステップと、を有するアクセス制御方法として構成される。
好ましくは、サーバにおいて前記管理認証情報として第1の管理認証情報を用いて記憶装置に関する認証を行うステップと、第1の管理認証情報を用いた認証が成功した場合に第2の管理認証情報を生成するステップと、第1の管理認証情報を用いた認証が成功した場合にアクセス認証情報を生成するステップとを有し、端末において、予めサーバから取得して第1の管理認証情報を保持するステップと、サーバからの要求に応答して、第1の管理認証情報を参照して、サーバから送られる第1の管理認証情報を検証してサーバを認証し、サーバの認証に成功した場合に、サーバから受信された第2の管理認証情報を取得して管理部に保持するステップと、サーバからの要求に応答してサーバから第2の管理認証情報を受信すると、管理部に保持された第2の管理認証情報を参照して、サーバからの第2の認証情報を検証してサーバを認証するステップと、認証の結果、サーバの認証に成功した場合に、サーバから受信されたアクセス認証情報を管理部に設定するステップと、を有する。
また、好ましくは、サーバは、前記アクセス認証情報として、第1の記憶領域をアクセスする時の認証に使用される書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを生成し、前記端末の管理部は、サーバより受信した書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを保持する。
また、好ましくは、前記第1の記憶領域に特定のプログラムを記憶する場合、前記サーバは管理部に設定された書込みクレデンシャルを用いて、第1の記憶領域に記憶されたプログラムの書き換えを行うことができ、端末は第1の記憶領域に記憶されたプログラムの書き換えを行なえず、読み出して処理装置で実行することのみが許容される。
また、好ましくは、前記第1の記憶領域に、コンテンツを利用するライセンスを記憶する場合、前記サーバは管理部に設定された書込みクレデンシャルを用いて、第1の記憶領域に記憶されるライセンス書き換えを行うことができ、端末は第1の記憶領域に設定された読込みクレデンシャルを用いてライセンスを読み出して、ライセンスを用いてコンテンツの利用を許可する。 The access control method according to the present invention is preferably an access control method in which a storage device of a terminal is accessed from a server via a network, and access is permitted when a predetermined condition is satisfied in advance in the storage device. A step of defining a first storage area, a step of generating management authentication information for permitting access to the first storage area when the terminal recognizes that the terminal is valid as an access destination in the server, and The management authentication information is acquired from the server and stored and managed in the management unit, and when there is an access request to the first storage area from an access source that may include the server or others, the management unit holds the management authentication information And authenticating access permission with reference to the management authentication information.
Preferably, the server performs authentication relating to the storage device using the first management authentication information as the management authentication information, and the second management authentication information is obtained when the authentication using the first management authentication information is successful. And generating access authentication information when authentication using the first management authentication information is successful. The terminal stores the first management authentication information obtained in advance from the server. In response to the step and the request from the server, the first management authentication information sent from the server is verified by referring to the first management authentication information, and the server is authenticated. Acquiring the second management authentication information received from the server and storing it in the management unit; and receiving the second management authentication information from the server in response to a request from the server, A step of verifying the second authentication information from the server with reference to the held second management authentication information and authenticating the server, and received from the server when the server authentication is successful as a result of the authentication. Setting the access authentication information in the management unit.
Preferably, the server generates a write credential, a read credential, or a delete credential used for authentication when accessing the first storage area as the access authentication information, and the management unit of the terminal includes: Holds the write credential, read credential, or delete credential received from the server.
Preferably, when storing a specific program in the first storage area, the server rewrites the program stored in the first storage area using a write credential set in the management unit. The terminal cannot rewrite the program stored in the first storage area, and is only allowed to read and execute it on the processing device.
Preferably, when the license for using the content is stored in the first storage area, the server rewrites the license stored in the first storage area using the write credential set in the management unit. The terminal reads the license using the read credentials set in the first storage area, and permits the use of the content using the license.

本発明に係るプログラムは、好ましくは、ネットワークを介してサーバに接続可能な記憶装置の記憶領域のアクセスを管理するために処理装置で実行されるプログラムであって、所定の条件が満たされた場合にアクセスが許可される第1の記憶領域に対するアクセス認証情報の設定をサーバへ要求する手段と、サーバにおいて端末がアクセス先として正当であると認識した場合、第1の記憶領域へのアクセスを許可する管理認証情報及びアクセス認証情報を生成する手段と、端末において、サーバより受信した管理認証情報及びアクセス認証情報を取得して管理部に保持する手段と、サーバ又は他を含むかもしれないアクセス元から、第1の記憶領域へアクセス要求があった時、管理部に保持されたアクセス認証情報を参照して、アクセスの認証を行う手段と、を有する処理装置上で実行可能なプログラムとして構成される。   The program according to the present invention is preferably a program executed by a processing device to manage access to a storage area of a storage device connectable to a server via a network, and a predetermined condition is satisfied Means for requesting the server to set access authentication information for the first storage area to which access is permitted, and access to the first storage area is permitted if the server recognizes that the terminal is valid as an access destination Means for generating management authentication information and access authentication information, means for acquiring management authentication information and access authentication information received from the server in the terminal and holding them in the management unit, and access sources that may include the server or others When an access request is made to the first storage area, the access authentication information held in the management unit is referred to It means for performing a testimony, configured as a program executable on a processing device having a.

本発明によれば、秘匿領域を有するハードディスクなどの記憶装置以外の装置に秘匿領域のデータを書き換えるための認証情報を持たないため、その装置内のプログラムを解析することにより、データを書き換えるための認証情報を取得することができない。このため、その装置内で変更する必要のないデータをより安全に秘匿領域のデータを改ざんから保護することができる。   According to the present invention, since there is no authentication information for rewriting data in the secret area in a device other than a storage device such as a hard disk having a secret area, the data in the data can be rewritten by analyzing the program in the device. Authentication information cannot be obtained. For this reason, data in the secret area can be protected from tampering more safely with data that does not need to be changed in the apparatus.

また、ハードディスク内でデータを管理する場合、削除するために必要な認証情報を秘匿領域を有するハードディスクなどの記憶装置以外の装置に持たないので、より安全に秘匿領域内のデータを不正な削除から保護することができる。   In addition, when managing data in the hard disk, the authentication information necessary for deletion is not stored in a device other than a storage device such as a hard disk having a secret area, so that data in the secret area can be safely deleted from unauthorized deletion. Can be protected.

[実施例1]
以下、本発明の一実施形態を、図面を参照して説明する。
図1は一実施形態によるアクセス制御システムの構成例を示す図である。図2は、書込みクレデンシャルを設定するフロー図である。
図1において、端末61はハードディスク(HDD)50を有し、ネットワーク60を介してサーバ100に接続して、HDD50へのアクセス制御システムを構成している。端末61は、また、端末61内のデータを処理する主CPU51、プログラムやデータを格納するメモリ53、基本的なI/Oを制御するプログラムを格納するROM54、外部機器とのI/Fを制御するネットワークI/F制御部55、HDD50とのI/Fを制御するハードディスクI/F制御部52を有する。 [Example 1]
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram illustrating a configuration example of an access control system according to an embodiment. FIG. 2 is a flow diagram for setting write credentials.
In FIG. 1, a terminal 61 has a hard disk (HDD) 50 and is connected to the server 100 via a network 60 to constitute an access control system for the HDD 50. The terminal 61 also controls a main CPU 51 that processes data in the terminal 61, a memory 53 that stores programs and data, a ROM 54 that stores programs that control basic I / O, and an I / F with external devices. Network I / F control unit 55, and hard disk I / F control unit 52 that controls I / F with HDD 50.

HDD50は、ハードディスクコントローラ20を実装した回路基板40、及びディスクやスピンドルモータや磁気ヘッドを実装し筐体に収められたHDA部21を有する。HDA部21の記憶領域25は、ユーザが利用する通常のデータを格納する通常領域26、プログラム71やアプリケーションデータ72を格納するシステム領域27を有する。   The HDD 50 includes a circuit board 40 on which the hard disk controller 20 is mounted, and an HDA unit 21 in which a disk, a spindle motor, and a magnetic head are mounted and housed in a housing. The storage area 25 of the HDA unit 21 has a normal area 26 for storing normal data used by the user, and a system area 27 for storing programs 71 and application data 72.

ハードディスクコントローラ20は、記憶領域へのアクセス制御用のCPU10、制御プログラムなどを格納するメモリ11、HDA部から読み出したデータ、書き込むデータを一時的にバッファRAM22に格納するための制御を行うバッファ制御部12、HDA部21のスピンドルモータを制御するサーボ制御部13、ホストとのI/Fを行うI/F制御部14、HDA部21に書き込みや読み出しを行うときに行う信号の変復調や誤り訂正を行う信号処理部15、HDA部21に格納されたデータにアクセスを行うときに認証を制御する認証制御部16、認証時に用いるクレデンシャルを管理するクレデンシャル管理部18を有して構成される。
また、回路基板40には、ハードディスクコントローラ20、一時的にデータを格納するバッファRAM22、ダイジェストデータを格納しておく不揮発メモリ23が実装される。なお、この例では、ハードディスクコントローラ20はハードディスクを制御する上での機能を一体化されたものが示されているが、これに限定されずに、一部機能を外付けの部品として回路基板40に実装しても良い。 The hard disk controller 20 is a CPU 10 for controlling access to a storage area, a memory 11 for storing a control program, a buffer control unit for performing control for temporarily storing data read from the HDA unit and data to be written in the buffer RAM 22 12. Servo control unit 13 for controlling the spindle motor of the HDA unit 21; I / F control unit 14 for performing I / F with the host; modulation / demodulation and error correction of signals performed when writing to and reading from the HDA unit 21 The signal processing unit 15 is configured to include an authentication control unit 16 that controls authentication when accessing data stored in the HDA unit 21 and a credential management unit 18 that manages credentials used during authentication.
The circuit board 40 is mounted with a hard disk controller 20, a buffer RAM 22 for temporarily storing data, and a nonvolatile memory 23 for storing digest data. In this example, the hard disk controller 20 is shown with integrated functions for controlling the hard disk, but is not limited to this, and the circuit board 40 has some functions as external components. May be implemented.

クレデンシャル管理部18は、書込み時の認証に用いる書込みクレデンシャル32、書込みクレデンシャル32を変更する時に用いる管理クレデンシャル31から構成される。   The credential management unit 18 includes a write credential 32 used for authentication at the time of writing and a management credential 31 used when changing the write credential 32.

サーバ100は、メモリ及びCPU(図示せず)を有し、メモリにアプリケーションプログラム91及びアプリケーションデータ92、及び管理用のクレデンシャルとして第1及び第2の管理クレデンシャル101,102、及びサーバ書込クレデンシャル103を保持する。ここで、管理クレデンシャル101,102及びサーバ書き込みクレデンシャル103は、暗号或いはパスワードである。CPUでアプリケーションプログラムを実行する。第1及び第2の管理クレデンシャル101,102、及びサーバ書込クレデンシャル103が暗号の場合、CPUで所定の乱数発生用プログラムを実行させることで、それらを生成する。   The server 100 has a memory and a CPU (not shown). The application program 91 and application data 92 in the memory, first and second management credentials 101 and 102 as management credentials, and server write credentials 103 are stored. Hold. Here, the management credentials 101 and 102 and the server writing credentials 103 are encryptions or passwords. An application program is executed by the CPU. When the first and second management credentials 101 and 102 and the server write credential 103 are encryption, they are generated by causing the CPU to execute a predetermined random number generation program.

次に、図1及び図2を参照して、クレデンシャルの設定動作について説明する。
なお、図8に、図2に対応するクレデンシャルの設定における各動作のタイミングチャートを示す。
まず、書き込みクレデンシャルを設定する動作を説明する。
端末61のHDD50の記憶領域25の通常領域26に格納されたインストーラを起動して、メモリ53にインストールプログラムをロードし、主CPU51はインストールプログラムを実行させる。そして、主CPU51は、HDD50内のクレデンシャル管理部18の管理クレデンシャル31に認証局の証明書を設定し、同時に公開鍵ペアを生成する(S101)。この時点で管理クレデンシャル31には、認証局の証明書とハードディスク内で生成された公開鍵ペア(公開鍵と秘密鍵)が設定されている。 Next, a credential setting operation will be described with reference to FIGS.
FIG. 8 shows a timing chart of each operation in the credential setting corresponding to FIG.
First, the operation for setting the write credentials will be described.
The installer stored in the normal area 26 of the storage area 25 of the HDD 50 of the terminal 61 is activated to load the installation program into the memory 53, and the main CPU 51 executes the installation program. Then, the main CPU 51 sets the certificate of the certificate authority in the management credential 31 of the credential management unit 18 in the HDD 50, and simultaneously generates a public key pair (S101). At this time, the management credential 31 is set with the certificate of the certificate authority and the public key pair (public key and secret key) generated in the hard disk.

次に、端末61は、サーバ100に対して書込みクレデンシャルの設定を要求する(S102)。この場合、サーバ100と端末61の間で認証を行い、不正なサーバもしくは端末(インストーラ)で無いことを確認する。
そして、サーバ100は、端末61で動作しているインストーラがHDD50に対して設定した認証局の証明書に対応した第一の管理クレデンシャル(証明書)を用いてHDD50と認証を行い、一時的にHDD50とサーバ100で共有するセッション鍵を共有しセキュアセッションを開始する(S103)。このとき、HDD50では、認証制御部16で、クレデンシャル管理部18の管理クレデンシャル31を用いて、認証およびセキュアセッションの制御を行う。 Next, the terminal 61 requests the server 100 to set write credentials (S102). In this case, authentication is performed between the server 100 and the terminal 61 to confirm that it is not an unauthorized server or terminal (installer).
Then, the server 100 authenticates with the HDD 50 using the first management credential (certificate) corresponding to the certificate of the certificate authority set by the installer operating on the terminal 61 for the HDD 50, and temporarily A session key shared by the HDD 50 and the server 100 is shared and a secure session is started (S103). At this time, in the HDD 50, the authentication control unit 16 controls the authentication and the secure session using the management credential 31 of the credential management unit 18.

サーバ100は、必要があれば管理クレデンシャルを第二の管理クレデンシャル102変更する(S105)。この動作は必須ではないが、例えば従来、公開鍵や共通鍵を用いて第一管理クレデンシャルを管理していた場合、機密管理を強化するためにその共通鍵を秘密鍵に変更する場合などに有意義である。例えば、ハードディスク内で生成した公開鍵ペアを認証局が発行した証明書(公開鍵)と秘密鍵に変更する。また、公開鍵認証ではなく共通鍵認証を用いる場合は、セキュリティの観点からサーバとハードディスクで共有する鍵を秘密鍵に変更するのが望ましい。
その後、一旦セキュアセッションを閉じる(S106)。 If necessary, the server 100 changes the management credentials to the second management credentials 102 (S105). This operation is not essential, but it is meaningful when, for example, the first management credential is managed using a public key or a common key, and the common key is changed to a secret key in order to strengthen confidentiality management. It is. For example, the public key pair generated in the hard disk is changed to a certificate (public key) issued by a certificate authority and a private key. When using common key authentication instead of public key authentication, it is desirable to change the key shared between the server and the hard disk to a secret key from the viewpoint of security.
Thereafter, the secure session is once closed (S106).

そして、サーバ100は、HDD50と、上記ステップS105で設定した第二の管理クレデンシャル102を用いてセキュアセッションを開始する(S107)。このとき、端末61の主CPU51では、HDD50とサーバ100とのデータのやり取りをハンドリングするだけであるため、共有されたセッション鍵を知ることはできない。   Then, the server 100 starts a secure session using the HDD 50 and the second management credential 102 set in step S105 (S107). At this time, since the main CPU 51 of the terminal 61 only handles the exchange of data between the HDD 50 and the server 100, the shared session key cannot be known.

サーバ100は、共有されたセッション鍵を用いてサーバ書込みクレデンシャル103を暗号化して端末61に送信する。サーバ書込みクレデンシャル103は、ネットワークI/F制御部55を介してメモリ53に一旦格納され、更に主CPU51でハードディスクI/F制御52を介してHDD50に転送され、認証制御部16でセッション鍵を用いて復号されクレデンシャル管理部18の書込みクレデンシャル32に設定される(S108)。その後、セキュアセッションを閉じて、書込みクレデンシャルの設定の動作を終了する。   The server 100 encrypts the server write credential 103 using the shared session key and transmits it to the terminal 61. The server write credential 103 is temporarily stored in the memory 53 via the network I / F control unit 55, further transferred to the HDD 50 via the hard disk I / F control 52 by the main CPU 51, and a session key is used by the authentication control unit 16. And is set to the write credential 32 of the credential management unit 18 (S108). Thereafter, the secure session is closed, and the operation of setting the write credentials is completed.

このように動作させることで、サーバ書込みクレデンシャル103を安全にHDD50に設定することが可能になり、HDD50以外の端末内では、サーバ書込みクレデンシャルを知ることはできない。
なお、ここでは、通常領域26に格納されたインストーラを実行する場合について説明したが、ネットワーク60を介してサーバ100からインストーラをメモリ53に格納してインストーラを実行するように構成してもよい。 By operating in this way, the server write credentials 103 can be safely set in the HDD 50, and the server write credentials cannot be known in a terminal other than the HDD 50.
Although the case where the installer stored in the normal area 26 is executed has been described here, the installer may be stored in the memory 53 from the server 100 via the network 60 and executed.

上記の動作により、サーバ100が書き込みクレデンシャルを設定した後で、サーバとHDD50が書込みクレデンシャルを用いて認証を行い、サーバがアプリケーションプログラムやそのアプリケーションプルグラムが用いるAPデータをHDD50のシステム領域27に格納する。   With the above operation, after the server 100 sets the write credentials, the server and the HDD 50 authenticate using the write credentials, and the server stores the application program and the AP data used by the application program in the system area 27 of the HDD 50. .

アプリケーションを動作させるときに、HDD50の通常領域26に格納されたプログラムローダを起動し、そのプログラムローダは、システム領域27に格納されているプログラム71を読み出し動作させる。そのプログラム72は、必要であればAPデータ72を読み出しそのデータを利用する。このように、システム領域に格納されたプログラムやAPデータは、プログラムの実行毎に端末61の主CPU51からロードされるため、例え、メモリ53上で改ざんされたとしても起動すれば元の状態にすることができる。   When the application is operated, a program loader stored in the normal area 26 of the HDD 50 is activated, and the program loader reads and operates the program 71 stored in the system area 27. The program 72 reads the AP data 72 if necessary and uses the data. As described above, since the program and AP data stored in the system area are loaded from the main CPU 51 of the terminal 61 every time the program is executed, even if the program and AP data are altered on the memory 53, they are restored to their original state. can do.

本実施例は、例えば、サーバ100から端末61に、コンピュータウィルスチェックプログラムやそのウィルス定義データを提供してシステム領域27に記憶し、端末61内でそれらのデータの変更を許さずに機密性を保って管理することが可能である。すなわち、サーバ100からは書き込みクレデンシャル103及び書き込みクレデンシャル32を用いて認証することで、更新したコンピュータウィルスチェックプログラムや新たなウィルス定義データをシステム領域27に書き込みことができるが、端末61内からはそれらを書き込んだり変更することはできない。端末61内ではシステム領域27に書き込まれたコンピュータウィルスチェックプログラムやそのウィルス定義データ(更新されたものも含む)を読み出して利用するのみである。また、APデータとして端末の動作や機能を定義するデータにすれば、ユーザが容易に変更することができないため、端末を安定に動作させたり、追加の料金を支払った場合のみその機能が動作できるようにすることも可能である。   In the present embodiment, for example, a computer virus check program and its virus definition data are provided from the server 100 to the terminal 61 and stored in the system area 27, and the confidentiality of the terminal 61 is allowed without changing the data. It is possible to keep and manage. That is, by authenticating from the server 100 using the write credential 103 and the write credential 32, an updated computer virus check program and new virus definition data can be written in the system area 27. Cannot be written or changed. In the terminal 61, the computer virus check program written in the system area 27 and its virus definition data (including updated ones) are only read and used. In addition, if the data defines the operation and function of the terminal as AP data, it cannot be easily changed by the user. Therefore, the function can be operated only when the terminal is stably operated or an additional fee is paid. It is also possible to do so.

なお、上記例では、システム領域27に対する書き込みクレデンシャルのみを設定して、サーバ100以外からの書き込みを制限するようにした。この場合、サーバ100及び端末61内からはこのシステム領域27のデータやプログラムを自由に読み出すことができる。しかし、サーバ100及び端末61からのシステム領域27への読み出しアクセスを制限したい場合があるかもしれない。そのような場合には、書き込みクレデンシャル32に加えて更に読み込みクレデンシャルも設定して管理することが好ましい。この場合、サーバ100では、書き込みクレデンシャルの生成用とは異なる乱数発生用プログラムを実行させて、読み込みクレデンシャルを生成して管理する。なお、読みこみクレデンシャルの設定は、後で述べる実施例2を実質的に同様である。   In the above example, only write credentials for the system area 27 are set, and writing from other than the server 100 is restricted. In this case, data and programs in the system area 27 can be freely read from the server 100 and the terminal 61. However, there may be a case where it is desired to restrict read access to the system area 27 from the server 100 and the terminal 61. In such a case, it is preferable to set and manage read credentials in addition to the write credentials 32. In this case, the server 100 generates and manages read credentials by executing a random number generating program different from that for generating write credentials. The setting of the read credentials is substantially the same as in the second embodiment described later.

また、上記例では、1つのシステム領域に記憶されるプログラムやAPデータの改ざんを防止するために、管理クレデンシャル31及び書き込みクレデンシャル32を保持している。しかし、記憶領域21に複数のシステム領域が定義され、各システム領域に対するアクセスを管理する場合には、各システム領域に対応してこれら管理クレデンシャル31及び書き込みクレデンシャル32の組を設定してクレデンシャル管理部18で管理することが好ましい。その場合、サーバ100は、各クレデンシャルの組を生成することになる。この変形例の考えは、後述する第2及び第3の実施例にも同様に適用できる。   In the above example, the management credential 31 and the write credential 32 are held in order to prevent falsification of programs and AP data stored in one system area. However, when a plurality of system areas are defined in the storage area 21 and access to each system area is managed, a set of the management credential 31 and the write credential 32 is set corresponding to each system area, and a credential management unit 18 is preferable. In that case, the server 100 generates each set of credentials. The idea of this modification can be similarly applied to second and third embodiments described later.

次に図3、図4を用いてサーバとHDDと間の認証の動作を詳細に説明する。
まず、図3を用いて公開鍵認証を用いた場合を説明する。
サーバ100は、HDD50にサーバ証明書を送信する(T001)。次に、HDD50では、サーバ証明書を、認証局公開鍵Koを用いて署名を検証しサーバ証明書が改ざんされていなく、認証局が発行した証明書であることを確認する(T002)。そして、HDD50はHDD公開鍵Khdoをサーバに転送する(T003)。サーバでは、CPUで乱数N1sを生成し(T004)、HDD50に転送する(T005)。HDD50では、CPU10で乱数N1hdを生成し(T006)、送信されてきた乱数N1sに対してHDD秘密鍵を用いて署名SN1sを生成する(T007)。そして、乱数N1hdと署名SN1sをサーバに転送する(T008)。 Next, the authentication operation between the server and the HDD will be described in detail with reference to FIGS.
First, a case where public key authentication is used will be described with reference to FIG.
The server 100 transmits a server certificate to the HDD 50 (T001). Next, the HDD 50 verifies the signature of the server certificate using the certificate authority public key Ko, and confirms that the server certificate has not been tampered with and is a certificate issued by the certificate authority (T002). Then, the HDD 50 transfers the HDD public key Khdo to the server (T003). In the server, the CPU generates a random number N1s (T004) and transfers it to the HDD 50 (T005). In the HDD 50, the CPU 10 generates a random number N1hd (T006), and generates a signature SN1s using the HDD private key for the transmitted random number N1s (T007). Then, the random number N1hd and the signature SN1s are transferred to the server (T008).

サーバ100では、送信されてきた乱数N1hdに対してサーバ秘密鍵Kspを用いてCPUで署名SN1hdを生成する(T009)。そして、署名SN1sを、HDD公開鍵Khdoを用いて検証し、HDD50が秘密鍵を所有していることを確認する(T010)。そして、乱数N2sを生成して、HDD公開鍵Khdoで暗号化し(T011)、HDD50に署名SN1hdと暗号化乱数N2sを送信する(T012)。
次に、HDD50では、署名SN1hdを、サーバ証明書に含まれるホスト公開鍵Ksoを用いて検証しサーバが秘密鍵を所有していることを確認する(T013)。そして、乱数N2hdを生成して、サーバ公開鍵Ksoで暗号化し(T014)、暗号化乱数N2hdをサーバに転送する(T015)。 In the server 100, the signature SN1hd is generated by the CPU using the server secret key Ksp for the transmitted random number N1hd (T009). Then, the signature SN1s is verified using the HDD public key Khdo, and it is confirmed that the HDD 50 owns the private key (T010). Then, the random number N2s is generated and encrypted with the HDD public key Khdo (T011), and the signature SN1hd and the encrypted random number N2s are transmitted to the HDD 50 (T012).
Next, the HDD 50 verifies the signature SN1hd using the host public key Kso included in the server certificate, and confirms that the server possesses the private key (T013). Then, a random number N2hd is generated, encrypted with the server public key Kso (T014), and the encrypted random number N2hd is transferred to the server (T015).

次にサーバ100では、CPUで暗号化乱数N2hdを、サーバ秘密鍵を用いて復号化し、生成したN2sとN2hdを用いてセッション鍵を生成する(T016)。HDD50でも、暗号化乱数N2sを、HDD秘密鍵を用いて復号化し、HDDで生成したN2hdとN2sを用いてサーバと同じアルゴリズムを用いてセッション鍵を生成する(T017)。   Next, in the server 100, the CPU encrypts the encrypted random number N2hd using the server secret key, and generates a session key using the generated N2s and N2hd (T016). The HDD 50 also decrypts the encrypted random number N2s using the HDD private key, and generates a session key using the same algorithm as the server using N2hd and N2s generated by the HDD (T017).

公開鍵で暗号化されたデータは、秘密鍵がないと復号化できないため、たとえホストI/F上のデータを盗聴されたとしても秘密鍵を所有していないとセッション鍵を生成するための乱数を復号できないため、端末61の主CPU51でも知られずに安全にセッション鍵を共有することができる。また、このように共有されたセッション鍵を用いてデータを暗号化することでサーバとHDD間でセキュアにデータの交換を行うことができる。そして、サーバではセッション鍵を用いてサーバ書込みクレデンシャルを暗号化して(T018)、HDD50に転送し(T019)、HDD50では、セッション鍵を用いてサーバ書込みクレデンシャルを復号化して書込みクレデンシャルに設定することができる(T120)。   Since the data encrypted with the public key cannot be decrypted without the secret key, even if the data on the host I / F is eavesdropped, a random number for generating a session key if the secret key is not owned Since the main CPU 51 of the terminal 61 is not known, the session key can be safely shared. Also, data can be securely exchanged between the server and the HDD by encrypting data using the session key shared in this way. The server encrypts the server write credential using the session key (T018) and transfers it to the HDD 50 (T019). In the HDD 50, the server write credential is decrypted using the session key and set as the write credential. Yes (T120).

次に、図4を用いて共通鍵認証を用いた場合を説明する。
まず、サーバ100とHDD50は、インストーラがHDDの管理クレデンシャル31に設定した共通秘密鍵Kcを、サーバに書込みクレデンシャルの設定を要求するときにサーバ100にも送信する。この場合は、サーバとインストーラで認証を行い、セキュアセッションを用いて送信する。 Next, a case where common key authentication is used will be described with reference to FIG.
First, the server 100 and the HDD 50 transmit the common secret key Kc set in the HDD management credentials 31 by the installer to the server 100 when requesting the server to set the write credentials. In this case, authentication is performed by the server and the installer, and transmission is performed using a secure session.

サーバは、CPUでHDDに乱数N1sを生成し(T101)、HDD50に転送する(T102)。HDD50では、乱数N1hdを生成し(T103)、送信されてきた乱数N1sに対して共通秘密鍵Kcを用いてレスポンスRN1sを生成する(T104)。レスポンスの生成は、共通秘密鍵Kcを用いて乱数を暗号化することで実現できる。そして、乱数N1hdとレスポンスRN1sをサーバに転送する(T105)。
サーバ100では、CPUで、送信されてきた乱数N1hdに対して共通秘密鍵Kcを用いてレスポンスRN1hdを生成する(T106)。そして、レスポンスRN1sを、共通秘密鍵Kcを用いて検証しHDDが共通秘密鍵Kcを所有していることを確認する(T107)。そして、乱数N2sを生成して、共通秘密鍵Kcで暗号化し(T108)、HDD50にレスポンスRN1hdと暗号化乱数N2sを送信する(T109)。 The server generates a random number N1s in the HDD by the CPU (T101) and transfers it to the HDD 50 (T102). The HDD 50 generates a random number N1hd (T103), and generates a response RN1s using the common secret key Kc for the transmitted random number N1s (T104). The response can be generated by encrypting a random number using the common secret key Kc. Then, the random number N1hd and the response RN1s are transferred to the server (T105).
In the server 100, the CPU generates a response RN1hd using the common secret key Kc for the transmitted random number N1hd (T106). The response RN1s is verified using the common secret key Kc, and it is confirmed that the HDD owns the common secret key Kc (T107). Then, the random number N2s is generated and encrypted with the common secret key Kc (T108), and the response RN1hd and the encrypted random number N2s are transmitted to the HDD 50 (T109).

次に、HDD50では、レスポンスRN1hdを、共通秘密鍵Kcを用いて検証しサーバが共通秘密鍵Kcを所有していることを確認する(T110)。そして、CPU10で乱数N2hdを生成して、共通秘密鍵Kcで暗号化し(T111)、暗号化乱数N2hdをサーバに転送する(T112)。次にサーバ100では、CPUで暗号化乱数N2hdを、共通秘密鍵Kcを用いて復号化し、ホストで生成したN2sとN2hdを用いてセッション鍵を生成する(T113)。   Next, the HDD 50 verifies the response RN1hd using the common secret key Kc, and confirms that the server owns the common secret key Kc (T110). Then, the CPU 10 generates a random number N2hd, encrypts it with the common secret key Kc (T111), and transfers the encrypted random number N2hd to the server (T112). Next, in the server 100, the encrypted random number N2hd is decrypted by the CPU using the common secret key Kc, and a session key is generated using N2s and N2hd generated by the host (T113).

HDD50でも、暗号化乱数N2sを、共通秘密鍵Kcを用いて復号化し、HDDで生成したN2hdとN2sを用いてサーバと同じアルゴリズムを用いてセッション鍵を生成する(T115)。そして、サーバ100はセッション鍵を用いてサーバ書込みクレデンシャルを暗号化して(T114)、HDDに転送する(T115)。HDD50では、セッション鍵を用いてサーバ書込みクレデンシャルを復号化して書込みクレデンシャルに設定する(T116)。   The HDD 50 also decrypts the encrypted random number N2s using the common secret key Kc, and generates a session key using the same algorithm as the server using N2hd and N2s generated by the HDD (T115). Then, the server 100 encrypts the server write credential using the session key (T114) and transfers it to the HDD (T115). The HDD 50 decrypts the server write credential using the session key and sets it as the write credential (T116).

また、共通鍵認証を用いてサーバ書込みクレデンシャルを設定する場合は、インストーラは、共通秘密鍵Kcを知っているため、インストーラが改ざんされていないことが必要になるため、先述したようにサーバとインストーラで認証を行う必要がある。しかし、サーバが一旦、第二の管理クレデンシャルを設定(図2のステップS105)すれば、それ以降は、端末内では、第二の管理クレデンシャルやサーバ書込みクレデンシャルを知ることはできないため、インストール後は改ざんをより強固に防ぐことが可能である。   Also, when setting the server write credentials using common key authentication, the installer knows the common secret key Kc, so it is necessary that the installer has not been tampered with. It is necessary to authenticate with. However, once the server sets the second management credential (step S105 in FIG. 2), the second management credential and the server write credential cannot be known in the terminal thereafter. It is possible to prevent tampering more firmly.

[実施例2]
図5は、システム領域にユーザには秘匿のデータが含まれる場合の構成例を示す。例えば、コンテンツ配信システムで用いるコンテンツ鍵を含んだライセンスを配信する場合に用いることができる。
実施例2において上述した実施例1と相違する点は、HDA部21のシステム領域27内にライセンス73を保持すること、及びサーバ100及び端末61からの読込時の認証に用いるサーバ読込クレデンシャル104と、ライセンス管理情報112を持つことである。そのため、実施例1で書き込みクレデンシャルに関する処理に加えて、更に読み込みクレデンシャルの管理が追加される。 [Example 2]
FIG. 5 shows a configuration example in the case where confidential data is included in the system area. For example, it can be used when a license including a content key used in a content distribution system is distributed.
The second embodiment is different from the first embodiment described above in that the license 73 is held in the system area 27 of the HDA unit 21 and the server read credentials 104 used for authentication at the time of reading from the server 100 and the terminal 61 are different from the first embodiment. Having license management information 112. Therefore, in addition to the processing related to the write credential in the first embodiment, management of read credential is further added.

例えば、図2を参照すれば、端末61は、サーバ100に対して書込みクレデンシャルおよび読込みクレデンシャルの設定を要求することになる(S102´)。
また、サーバ100はHDD50と、第二のクレデンシャル102を用いてセキュアセッションを開始した後、サーバ100は共有されたセッション鍵を用いてサーバ書込みクレデンシャル103、サーバ読込クレデンシャル104を暗号化して端末61に送信し、ネットワークI/F制御部55を介してメモリ53に送られ、主CPU51でハードディスク I/F制御52を介してHDD50に転送され、認証制御部16でセッション鍵を用いて復号されクレデンシャル管理部18の書込みクレデンシャル32、読込みクレデンシャル33に設定される(S108´)ことになる。
そして、セキュアセッションをクローズして書込みクレデンシャルの設定の動作を終了する。そして、インストーラに対してサーバ読込クレデンシャル104を通知し、通常領域26に暗号化などを施して安全に格納することができる。 For example, referring to FIG. 2, the terminal 61 requests the server 100 to set a write credential and a read credential (S102 ′).
After the server 100 starts a secure session using the HDD 50 and the second credential 102, the server 100 encrypts the server write credential 103 and the server read credential 104 using the shared session key, Sent to the memory 53 via the network I / F control unit 55, transferred to the HDD 50 via the hard disk I / F control 52 by the main CPU 51, decrypted using the session key by the authentication control unit 16, and credential management The writing credential 32 and the reading credential 33 of the unit 18 are set (S108 ′).
Then, the secure session is closed and the operation of setting the write credentials is completed. Then, the server read credential 104 is notified to the installer, and the normal area 26 can be encrypted and stored safely.

実施例2は、読込クレデンシャルをサーバから設定する例であるが、たとえば管理クレデンシャルを設定する前にインストーラが設定してもよい。また、実施例1では管理クレデンシャルは書込み/読込み用で共通であるが、書込みクレデンシャルを書き換えるための書込みクレデンシャル用管理クレデンシャル、読込みクレデンシャル用管理クレデンシャルを別々に管理してもよい。   The second embodiment is an example in which the read credential is set from the server. For example, the installer may set the management credential before setting the management credential. In the first embodiment, the management credentials are common for writing / reading. However, the management credentials for writing credentials and the management credentials for reading credentials for rewriting the writing credentials may be managed separately.

次に、コンテンツを利用するためのライセンスの配信について説明する。
まず、コンテンツ配信用のアプリケーションプログラム75を端末61で起動する。そして、サーバが提供するコンテンツから購入するコンテンツを選択し、料金の支払い方法などを選択し購入の処理が終わると、サーバ上のライセンス管理情報112にライセンスのデータが生成される。 Next, distribution of a license for using content will be described.
First, the application program 75 for content distribution is activated on the terminal 61. When the content to be purchased is selected from the content provided by the server, the payment method and the like are selected and the purchase processing is completed, license data is generated in the license management information 112 on the server.

そして端末61はサーバ100にライセンスの要求を行う。HDD50は、書込みクレデンシャルを用いてサーバ100と認証を行い、セキュアセッションを開始する。そして、サーバは、ライセンス管理情報112を参照して要求されたライセンスが購入済みか、すでに他の端末に送信してないかを確認する。購入済でありかつ他の端末に送信してなければ、HDD50に対してライセンスをセッション鍵で暗号化して送信する。HDD50では、セキュアセッションで共有したセッション鍵を用いて暗号処理部17で復号しシステム領域27にライセンスを書込む。このとき、さらに安全にするために暗号処理部17でHDD固有のIDなどを用いて暗号化して格納してもよい。   The terminal 61 requests the server 100 for a license. The HDD 50 authenticates with the server 100 using the write credentials and starts a secure session. Then, the server refers to the license management information 112 and confirms whether the requested license has been purchased or has not been transmitted to another terminal. If it has been purchased and has not been transmitted to another terminal, the license is encrypted with the session key and transmitted to the HDD 50. In the HDD 50, the encryption key 17 is decrypted using the session key shared in the secure session, and the license is written in the system area 27. At this time, for further safety, the encryption processing unit 17 may encrypt and store the data using an ID unique to the HDD.

また、このライセンスを利用する場合は、プログラム75は、インストーラがインストール時に格納したサーバ読込クレデンシャルを通常領域26から読み出して、HDD50と認証を行い、セッション鍵を共有する。そしてプロクラム75は、HDD50に対してライセンスを要求する。HDD50では、要求されたライセンスがシステム領域27に格納されているかどうかを確認し、格納されていれば暗号処理部17でライセンスを暗号化して主CPU61で動作するプログラム75に送信する。システム領域27に格納されているライセンスが暗号化されている場合は、HDD固有のIDなどを用いて復号化してからセッション鍵で暗号化する。
このように、端末61内では、書込みクレデンシャルを知らないため、たとえばライセンスの利用期限などの改ざんが防ぐことができ、コンテンツ鍵などの秘匿データも保護することが可能になる。 When using this license, the program 75 reads the server read credentials stored by the installer at the time of installation from the normal area 26, authenticates with the HDD 50, and shares the session key. Then, the program 75 requests the HDD 50 for a license. The HDD 50 checks whether or not the requested license is stored in the system area 27. If it is stored, the encryption processor 17 encrypts the license and transmits it to the program 75 operating on the main CPU 61. When the license stored in the system area 27 is encrypted, the license is decrypted using an ID unique to the HDD and then encrypted with the session key.
As described above, since the writing credentials are not known in the terminal 61, for example, it is possible to prevent tampering such as the license expiration date, and it is possible to protect confidential data such as a content key.

次に図6を参照して、サーバ100で管理されるライセンス管理情報について説明する。
ライセンス管理情報は、ライセンスを識別するライセンスID121、購入したユーザを識別するユーザID122、ライセンスを発行した端末ID123、発行したライセンスの有効期限を示すライセンス期限124、ライセンスデータ125により構成される。 Next, license management information managed by the server 100 will be described with reference to FIG.
The license management information includes a license ID 121 that identifies a license, a user ID 122 that identifies a purchased user, a terminal ID 123 that issued the license, a license expiration date 124 that indicates the expiration date of the issued license, and license data 125.

この様にライセンス管理情報を管理することで、以下のような制御が可能となる。
ユーザが複数の端末を所有するときに、ある端末からライセンスを要求し、すでに他の端末にそのライセンスが発行されている場合を考える。
まず、サーバは、ライセンスが要求してきたユーザが購入したライセンスかどうかをライセンスID121とユーザID122を検索して判定する。次に、サーバは端末ID123を参照してライセンスを発行した端末に対してライセンス削除を要求し、ライセンスを削除する。そして要求のあった端末にライセンスを発行し、端末ID123を更新する。このとき、ライセンスを持っている端末がライセンスの削除を拒否した場合は、ライセンスを削除せず、ライセンスを要求してきた端末にエラーを返す。 By managing the license management information in this way, the following control is possible.
Consider a case where when a user owns a plurality of terminals, a license is requested from a certain terminal and the license has already been issued to another terminal.
First, the server searches the license ID 121 and the user ID 122 to determine whether the license is a license purchased by the user who requested the license. Next, the server refers to the terminal ID 123, requests the terminal that issued the license to delete the license, and deletes the license. Then, a license is issued to the requested terminal, and the terminal ID 123 is updated. At this time, if the terminal having the license refuses to delete the license, the license is not deleted and an error is returned to the terminal that has requested the license.

また、ライセンスを持っている端末に接続できなかった場合は、発行ライセンス期限124を参照し、すでに期限が過ぎている場合は、ライセンスを削除することなくライセンスを発行する。ここで発行ライセンス期限124は、ライセンスデータに含まれる期限より短く設定されている。
このように、複数の端末でより便利にライセンスを共有することができる。 If the license cannot be connected to the terminal, the issuance license term 124 is referred to. If the term has already expired, the license is issued without deleting the license. Here, the issued license deadline 124 is set shorter than the deadline included in the license data.
In this way, a license can be shared more conveniently between a plurality of terminals.

[実施例3]
図7は、システム領域にログ情報を格納する場合の構成例を示す。
実施例3において、上記実施例1、2と相違する点は、HDD50のクレデンシャル管理部18が、更に削除時の認証に用いる削除クレデンシャル34を有すること、並びにメディアI/F81を介してメディア82が接続すること、及びサーバ100が削除時の認証に用いるサーバ削除クレデンシャル105と、ログ情報格納領域111を有することである。 [Example 3]
FIG. 7 shows a configuration example when log information is stored in the system area.
The third embodiment is different from the first and second embodiments in that the credential management unit 18 of the HDD 50 further has a deletion credential 34 used for authentication at the time of deletion, and the medium 82 is connected via the medium I / F 81. It is connected, and the server 100 has a server deletion credential 105 used for authentication at the time of deletion, and a log information storage area 111.

そのため、例えば、図2を参照すれば、端末61は、サーバ100に対して削除クレデンシャルの設定を要求する(S102´)。
また、サーバ100はHDD50と、第二のクレデンシャル102を用いてセキュアセッションを開始した後、サーバ100は共有されたセッション鍵を用いて削除クレデンシャル105を暗号化して端末61に送信し、ネットワークI/F制御部55を介してメモリ53に送られ、主CPU51でハードディスク I/F制御52を介してHDD50に転送され、認証制御部16でセッション鍵を用いて復号されクレデンシャル管理部18の削除クレデンシャル34に設定される(S108´)。 Therefore, for example, referring to FIG. 2, the terminal 61 requests the server 100 to set a deletion credential (S102 ′).
In addition, after starting a secure session using the HDD 50 and the second credential 102, the server 100 encrypts the deletion credential 105 using the shared session key and transmits it to the terminal 61, and the network I / O The data is sent to the memory 53 via the F control unit 55, transferred to the HDD 50 via the hard disk I / F control 52 by the main CPU 51, decrypted using the session key by the authentication control unit 16, and deleted credentials 34 of the credential management unit 18. (S108 ′).

なお、この例では、実施例1及び2における、書込みクレデンシャル32、読込みクレデンシャル33の設定については考慮していないが、これらのクレデンシャル32,33を設定するようにしてもよい。ここで、書き込みクレデンシャルは、データをシステム領域26に新たに書き込むためのクレデンシャルであり、データの更新は許可しない。   In this example, the setting of the write credential 32 and the read credential 33 in the first and second embodiments is not considered, but these credentials 32 and 33 may be set. Here, the write credential is a credential for newly writing data to the system area 26, and updating of data is not permitted.

次に、ログの格納の動作に関して説明する。
通常領域26に格納されたログ収集プログラム76は起動されると、端末61の動作のログ、たとえばネットワーク60にアクセスする動作やメディアI/F81に接続される外部メディア82に対する動作に関するログを、システム領域26にログ74として格納する。ログを格納する場合は、必要であればHDD50と認証を行い、ログを格納する。 Next, the log storing operation will be described.
When the log collection program 76 stored in the normal area 26 is activated, a log of the operation of the terminal 61, for example, a log relating to an operation to access the network 60 and an operation to the external media 82 connected to the media I / F 81 is displayed. Stored as log 74 in area 26. When storing the log, authentication with the HDD 50 is performed if necessary, and the log is stored.

そして、ログの格納領域が少なくなった場合や、定期的にサーバに対してログのアップロードを要求する。サーバ100はアップロードがあった場合は、HDD50と認証を行い、ログを読出しログ格納領域111に格納する。ここで、伝送路における改ざんを防止する必要があれば暗号処理部17を用いて暗号化してログを送信する。
ログのサーバへの格納が終了したら、サーバとHDD50は削除クレデンシャルを用いて認証を行う。そして、サーバはHDD50に対してログの削除を要求する。HDD50は、要求に従いシステム領域27内のログ74を削除する。 Then, when the storage area of the log becomes small, or periodically requests the server to upload the log. If there is an upload, the server 100 authenticates with the HDD 50, reads the log, and stores it in the log storage area 111. Here, if it is necessary to prevent tampering in the transmission path, the encryption processing unit 17 encrypts the log and transmits the log.
When the log is stored in the server, the server and the HDD 50 authenticate using the deletion credentials. Then, the server requests the HDD 50 to delete the log. The HDD 50 deletes the log 74 in the system area 27 according to the request.

このように、端末61内では、HDD50内のクレデンシャル管理部18以外には削除クレデンシャルを管理していないため、ログ収集プログラム76が格納したログに対する改ざんや削除を防止することが可能になる。
また、不正なプログラムにより無意味なログをシステム領域に書込み、ログの格納領域を無駄に消費させることも考えられるため、特定のプログラム(ここではログ収集プログラム)のみが書込みクレデンシャルと管理するように構成すれば、上述のような攻撃を防ぐことが可能である。 In this way, in the terminal 61, deletion credentials are not managed except by the credential management unit 18 in the HDD 50, so that it is possible to prevent tampering or deletion of the log stored by the log collection program 76.
It is also possible to write a meaningless log to the system area by an unauthorized program and waste the log storage area, so that only a specific program (here, the log collection program) manages it as write credentials. If configured, it is possible to prevent such an attack.

実施例1における記憶装置及びそのアクセス制御システムの例を示す図。1 is a diagram illustrating an example of a storage device and an access control system thereof in Embodiment 1. FIG. 実施例1におけるサーバがクレデンシャルを設定する一例を示すフロー図。FIG. 3 is a flowchart illustrating an example in which a server in the first embodiment sets credentials. 実施例1における公開鍵認証の一例を示すシーケンス図。FIG. 3 is a sequence diagram illustrating an example of public key authentication in the first embodiment. 実施例1における共通鍵認証の一例を示すシーケンス図。FIG. 3 is a sequence diagram illustrating an example of common key authentication in the first embodiment. 実施例2における記憶装置及びそのアクセス制御システムの例を示す図。6 is a diagram illustrating an example of a storage device and an access control system thereof according to Embodiment 2. FIG. 実施例2におけるライセンス管理情報の一例を示す図。FIG. 10 is a diagram illustrating an example of license management information according to the second embodiment. 実施例3における記憶装置及びそのアクセス制御システムの例を示す図。FIG. 10 is a diagram illustrating an example of a storage device and an access control system thereof according to a third embodiment. 実施例1におけるクレデンシャルの設定動作における各動作のタイミングチャート図。FIG. 6 is a timing chart of each operation in the credential setting operation in the first embodiment.

符号の説明Explanation of symbols

10:CPU,11:メモリ,12:バッファメモリ制御部,13:サーボ制御部,14:ホストI/F制御部,15:信号処理部,16:認証制御部,17:暗号処理部,18:クレデンシャル管理部,20:ハードディスクコントローラ,21:HDA部,22:バッファRAM,25:記憶領域,26:通常領域,27:システム領域,31:管理クレデンシャル,32:書込クレデンシャル,33:読込クレデンシャル,34:削除クレデンシャル,40:回路基板,50:ハードディスク(HDD),51:主CPU,52:HDD I/F制御部,53:メモリ,54:ROM,55:ネットワークI/F制御部,56:システムバス,60:ネットワーク,61:端末,71:プログラム,72:APデータ,73:ライセンス,74:ログ,91:プログラム,92:APデータ,100:サーバ,101:第1の管理クレデンシャル,102:第2の管理クレデンシャル,103:サーバ書込みクレデンシャル,104:サーバ読込クレデンシャル,103:サーバ削除クレデンシャル,111:ログ情報格納領域,112:ライセンス管理情報,121:ライセンスID,122:ユーザID,123:端末ID,124:発行ライセンス期限,125:ライセンスデータ 10: CPU, 11: Memory, 12: Buffer memory control unit, 13: Servo control unit, 14: Host I / F control unit, 15: Signal processing unit, 16: Authentication control unit, 17: Cryptographic processing unit, 18: Credential management unit, 20: hard disk controller, 21: HDA unit, 22: buffer RAM, 25: storage area, 26: normal area, 27: system area, 31: management credential, 32: write credential, 33: read credential, 34: Deletion credential, 40: Circuit board, 50: Hard disk (HDD), 51: Main CPU, 52: HDD I / F control unit, 53: Memory, 54: ROM, 55: Network I / F control unit, 56: System bus, 60: network, 61: terminal, 71: program, 72: AP data, 73: license, 4: log, 91: program, 92: AP data, 100: server, 101: first management credential, 102: second management credential, 103: server write credential, 104: server read credential, 103: server delete credential 111: Log information storage area, 112: License management information, 121: License ID, 122: User ID, 123: Terminal ID, 124: Issued license expiration date, 125: License data

Claims (19)

記憶装置を有する端末と、ネットワークを介して該端末に接続され、該記憶装置の記憶領域にアクセスすることができるサーバと、を含むアクセス制御システムにおいて、
該サーバは、該端末がアクセス先として正当であると認識した場合、アクセスを許可する管理認証情報を生成する処理部と、を有し、
該端末は、所定の条件が満たされた場合にアクセスが許可される、該記憶装置内に設定された第1の記憶領域と、前記処理部によって生成された、該第1の記憶領域へアクセスするため使用される該管理認証情報を管理する管理部とを有することを特徴とするアクセス制御システム。 In an access control system including a terminal having a storage device and a server connected to the terminal via a network and capable of accessing a storage area of the storage device,
The server includes a processing unit that generates management authentication information for permitting access when the terminal recognizes that the terminal is valid as an access destination;
The terminal accesses a first storage area set in the storage device that is permitted to be accessed when a predetermined condition is satisfied, and the first storage area generated by the processing unit. An access control system comprising: a management unit that manages the management authentication information used to perform the authentication. 前記端末は、公開鍵暗号を用いた暗号通信のセッションを確立して、前記サーバとの間で情報を通信することを特徴とする請求項1のアクセス制御システム。 2. The access control system according to claim 1, wherein the terminal establishes a cryptographic communication session using public key cryptography, and communicates information with the server. 前記サーバにおける前記処理部は、前記管理認証情報(第1の管理認証情報)を用いて該記憶装置に関する認証を行い、更に第2の管理認証情報を生成し、該第2の管理認証情報を用いて該端末との間のセキュアセッションを開始することを特徴とする請求項1又は2のアクセス制御システム。 The processing unit in the server performs authentication relating to the storage device using the management authentication information (first management authentication information), generates second management authentication information, and stores the second management authentication information. The access control system according to claim 1 or 2, wherein a secure session is started with the terminal. 前記サーバの前記処理部は、前記第2の管理認証情報を用いて、該記憶装置の該第1の記憶領域に対する書込みアクセス、又は読込みアクセス、又は削除アクセス時の認証に用いられる、夫々異なるクレデンシャルを生成して管理することを特徴とする請求項3のアクセス制御システム。 The processing unit of the server uses the second management authentication information to use different credentials used for authentication at the time of write access, read access, or deletion access to the first storage area of the storage device. 4. The access control system according to claim 3, wherein the access control system is generated and managed. 前記サーバの前記処理部は、該記憶装置の該第1の記憶領域に対する書込みアクセス、又は読込みアクセス、又は削除アクセス時の認証に用いられる、夫々異なるクレデンシャルを生成し、
前記端末は、該処理部で生成された書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルのいずれかを受信して、前記記憶装置内に設定された前記管理部に保持することを特徴とする請求項1乃至3のいずれかのアクセス制御システム。 The processing unit of the server generates different credentials used for authentication at the time of write access, read access, or deletion access to the first storage area of the storage device,
The terminal receives either the write credential, the read credential, or the delete credential generated by the processing unit, and holds the received credential in the management unit set in the storage device. The access control system according to any one of 1 to 3. 前記端末に備えられた前記管理部は、前記第2の管理認証情報、又は前記書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを、該記憶装置に形成された記憶領域又はメモリに記憶して管理することを特徴とする請求項4乃至5のいずれかのアクセス制御システム。 The management unit provided in the terminal stores and manages the second management authentication information, the write credential, the read credential, or the delete credential in a storage area or a memory formed in the storage device. The access control system according to any one of claims 4 to 5, wherein 前記記憶装置内に複数の第1の記憶領域が設定されている場合、前記サーバの前記処理部は、各第1の記憶領域に対応して、前記書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを生成して管理することを特徴とする請求項4乃至6のいずれかのアクセス制御システム。 When a plurality of first storage areas are set in the storage device, the processing unit of the server supplies the write credential, read credential, or delete credential corresponding to each first storage area. The access control system according to claim 4, wherein the access control system is generated and managed. 前記記憶装置内に、複数の第1の記憶領域が設定されている場合、前記管理部は、該サーバから取得した、前記書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを、各第1の記憶領域に対応付けて管理することを特徴とする請求項4乃至7のいずれかのアクセス制御システム。 When a plurality of first storage areas are set in the storage device, the management unit stores the write credentials, read credentials, or delete credentials acquired from the server in the first storage areas. The access control system according to claim 4, wherein the access control system is managed in association with each other. 該端末は、該サーバとの間で暗号通信のセッションを確立して情報のやりとりを行い、該サーバから該第2の管理認証情報を受信した後に該暗号通信のセッションを閉じ、該サーバから前記書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを受信する際に、該暗号通信のセッションを再度確立することを特徴とする請求項4乃至8のいずれかのアクセス制御システム。 The terminal establishes a cryptographic communication session with the server to exchange information, receives the second management authentication information from the server, closes the cryptographic communication session, and 9. The access control system according to claim 4, wherein when the write credential, the read credential, or the delete credential is received, the encryption communication session is reestablished. ネットワークを介してサーバに接続可能な記憶装置において、
所定の条件が満たされた場合にアクセスが許可される、該記憶装置内に設定された第1の記憶領域と、自由にアクセスすることができる第2の記憶領域を有する記憶媒体と、該サーバに該第1の記憶領域へのアクセスを許可するために、該サーバを認証する際に使用される管理認証情報であって、該サーバで生成された該管理認証情報を取得して管理する管理部と、該サーバが該第1の記憶領域をアクセスする時、該管理部で管理されている該管理認証情報を用いて認証する認証制御部と、を有することを特徴とする記憶装置。 In a storage device that can be connected to a server via a network,
A storage medium having a first storage area set in the storage device that is allowed to be accessed when a predetermined condition is satisfied, a second storage area that can be freely accessed, and the server Management authentication information used when authenticating the server in order to allow access to the first storage area, and managing to acquire and manage the management authentication information generated by the server And an authentication control unit that authenticates using the management authentication information managed by the management unit when the server accesses the first storage area. 該サーバで生成される該管理認証情報は、第1の管理認証情報と、該第1の管理認証情報を用いた認証の結果に基づいて生成される第2の管理認証情報と、該第2の管理認証情報を用いた認証の結果に基づいて生成されるアクセス認証情報を含み、
前記認証制御部は、該サーバからの要求に応答して、予め取得されて該管理部で管理される該第1の管理認証情報を参照して、該サーバから送られる該第1の管理認証情報を検証して該サーバを認証し、該サーバの認証に成功した場合に、該サーバから受信された第2の管理認証情報を該管理部で管理し、
該記憶装置は、該サーバからの要求に応答して該サーバから第2の管理認証情報を受信すると、該認証制御部は、該管理部で管理される該第2の管理認証情報を参照して、該サーバからの該第2の認証情報を検証して該サーバを認証し、該サーバの認証に成功した場合に、該サーバから受信された該アクセス認証情報を該管理部に設定することを特徴とする請求項10の記憶装置。 The management authentication information generated by the server includes first management authentication information, second management authentication information generated based on a result of authentication using the first management authentication information, and the second Including access authentication information generated based on the result of authentication using the management authentication information of
In response to a request from the server, the authentication control unit refers to the first management authentication information acquired in advance and managed by the management unit, and the first management authentication sent from the server If the server is authenticated by verifying the information, and the server is successfully authenticated, the second management authentication information received from the server is managed by the management unit;
When the storage device receives the second management authentication information from the server in response to the request from the server, the authentication control unit refers to the second management authentication information managed by the management unit. And verifying the second authentication information from the server to authenticate the server, and setting the access authentication information received from the server in the management unit when the server is successfully authenticated. The storage device according to claim 10. 前記管理部は、前記アクセス認証情報として、該第1の記憶領域をアクセスする時の認証に使用される書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを管理することを特徴とする請求項11の記憶装置。 12. The storage according to claim 11, wherein the management unit manages, as the access authentication information, a write credential, a read credential, or a delete credential used for authentication when accessing the first storage area. apparatus. 前記記憶装置内に、複数の第1の記憶領域が設定されている場合、前記管理部は、前記書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを含む組を、各第1の記憶領域に対応付けて管理することを特徴とする請求項12の記憶装置。 When a plurality of first storage areas are set in the storage device, the management unit associates a set including the write credential, read credential, or delete credential with each first storage area. The storage device according to claim 12, wherein the storage device is managed. ネットワークを介してサーバから、端末の該記憶装置にアクセスするアクセス制御方法において、
該記憶装置内に予め、所定の条件が満たされた場合にアクセスが許可される第1の記憶領域を定義するステップと、該サーバにおいて該端末がアクセス先として正当であると認識した場合、該第1の記憶領域へのアクセスを許可する管理認証情報を生成するステップと、
該端末において、該サーバより該管理認証情報を取得して管理部に保持して管理するステップと、該サーバ又は他を含むかもしれないアクセス元から、該第1の記憶領域へアクセス要求があった時、該管理部に保持された該管理認証情報を参照して、該アクセス許可の認証を行うステップと、を有することを特徴とするアクセス制御方法。 In an access control method for accessing the storage device of a terminal from a server via a network,
In the storage device, a step of defining a first storage area that is permitted to be accessed when a predetermined condition is satisfied, and when the server recognizes that the terminal is valid as an access destination, Generating management authentication information permitting access to the first storage area;
The terminal obtains the management authentication information from the server, stores it in the management unit and manages it, and there is an access request to the first storage area from an access source that may include the server or others. And a step of authenticating the access permission with reference to the management authentication information held in the management unit. 該サーバにおいて前記管理認証情報として第1の管理認証情報を用いて該記憶装置に関する認証を行うステップと、該第1の管理認証情報を用いた認証が成功した場合に第2の管理認証情報を生成するステップと、該第1の管理認証情報を用いた認証が成功した場合にアクセス認証情報を生成するステップとを有し、
該端末において、予め該サーバから取得して該第1の管理認証情報を保持するステップと、該サーバからの要求に応答して、該第1の管理認証情報を参照して、該サーバから送られる該第1の管理認証情報を検証して該サーバを認証し、該サーバの認証に成功した場合に、該サーバから受信された第2の管理認証情報を取得して該管理部に保持するステップと、
該サーバからの要求に応答して該サーバから第2の管理認証情報を受信すると、該管理部に保持された該第2の管理認証情報を参照して、該サーバからの該第2の認証情報を検証して該サーバを認証するステップと、該認証の結果、該サーバの認証に成功した場合に、該サーバから受信された該アクセス認証情報を該管理部に設定するステップと、を有することを特徴とする請求項14のアクセス制御方法。 Performing authentication related to the storage device using the first management authentication information as the management authentication information in the server, and the second management authentication information when authentication using the first management authentication information is successful. And generating access authentication information when authentication using the first management authentication information is successful,
The terminal obtains the first management authentication information from the server in advance and holds the first management authentication information. In response to the request from the server, the terminal refers to the first management authentication information and sends it from the server. The first management authentication information is verified to authenticate the server, and when the server authentication is successful, the second management authentication information received from the server is acquired and held in the management unit Steps,
When the second management authentication information is received from the server in response to the request from the server, the second authentication information from the server is referred to by referring to the second management authentication information held in the management unit Verifying the information and authenticating the server, and setting the access authentication information received from the server in the management unit when the authentication is successful as a result of the authentication. 15. The access control method according to claim 14, wherein: 該サーバは、前記アクセス認証情報として、該第1の記憶領域をアクセスする時の認証に使用される書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを生成し、
前記端末の該管理部は、該サーバより受信した書込みクレデンシャル、又は読込みクレデンシャル、又は削除クレデンシャルを保持することを特徴とする請求項15のアクセス制御方法。 The server generates, as the access authentication information, a write credential, a read credential, or a delete credential used for authentication when accessing the first storage area,
16. The access control method according to claim 15, wherein the management unit of the terminal holds a write credential, a read credential, or a delete credential received from the server. 前記第1の記憶領域に特定のプログラムを記憶する場合、前記サーバは該管理部に設定された該書込みクレデンシャルを用いて、該第1の記憶領域に記憶された該プログラムの書き換えを行うことができ、該端末は該第1の記憶領域に記憶された該プログラムの書き換えを行なえず、読み出して処理装置で実行することのみが許容されることすることを特徴とする請求項16のアクセス制御方法。 When storing a specific program in the first storage area, the server may rewrite the program stored in the first storage area by using the write credential set in the management unit. 17. The access control method according to claim 16, wherein the terminal is not allowed to rewrite the program stored in the first storage area, and is only allowed to be read and executed by a processing device. . 前記第1の記憶領域に、コンテンツを利用するライセンスを記憶する場合、前記サーバは該管理部に設定された該書込みクレデンシャルを用いて、該第1の記憶領域に記憶される該ライセンス書き換えを行うことができ、該端末は該第1の記憶領域に設定された該読込みクレデンシャルを用いて該ライセンスを読み出して、該ライセンスを用いて該コンテンツの利用を許可することを特徴とする請求項16のアクセス制御方法。 When storing the license for using the content in the first storage area, the server rewrites the license stored in the first storage area using the write credential set in the management unit. The terminal of claim 16, wherein the terminal reads the license using the read credential set in the first storage area, and permits the use of the content using the license. Access control method. ネットワークを介してサーバに接続可能な記憶装置の記憶領域のアクセスを管理するために処理装置で実行されるプログラムであって、
所定の条件が満たされた場合にアクセスが許可される第1の記憶領域に対するアクセス認証情報の設定を該サーバへ要求する手段と、該サーバにおいて該端末がアクセス先として正当であると認識した場合、該第1の記憶領域へのアクセスを許可する管理認証情報及びアクセス認証情報を生成する手段と、該端末において、該サーバより受信した該管理認証情報及び該アクセス認証情報を取得して管理部に保持する手段と、該サーバ又は他を含むかもしれないアクセス元から、該第1の記憶領域へアクセス要求があった時、該管理部に保持された該アクセス認証情報を参照して、アクセスの認証を行う手段と、を有する処理装置上で実行可能なプログラム。 A program executed by a processing device to manage access to a storage area of a storage device connectable to a server via a network,
Means for requesting the server to set access authentication information for the first storage area to which access is permitted when a predetermined condition is satisfied, and the server recognizes that the terminal is valid as an access destination A means for generating management authentication information and access authentication information for permitting access to the first storage area, and a management unit for acquiring the management authentication information and the access authentication information received from the server at the terminal. And when there is an access request to the first storage area from an access source that may include the server or others, refer to the access authentication information held in the management unit and access A program that can be executed on a processing device.
JP2007002409A 2007-01-10 2007-01-10 Storage device and its access control system Pending JP2008171116A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007002409A JP2008171116A (en) 2007-01-10 2007-01-10 Storage device and its access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007002409A JP2008171116A (en) 2007-01-10 2007-01-10 Storage device and its access control system

Publications (1)

Publication Number Publication Date
JP2008171116A true JP2008171116A (en) 2008-07-24

Family

ID=39699162

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007002409A Pending JP2008171116A (en) 2007-01-10 2007-01-10 Storage device and its access control system

Country Status (1)

Country Link
JP (1) JP2008171116A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012014529A (en) * 2010-07-01 2012-01-19 Toshiba Corp Storage device and information processor
US10353623B2 (en) 2017-09-13 2019-07-16 Toshiba Memory Corporation Storage device, storage control method, computer program product, and storage system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012014529A (en) * 2010-07-01 2012-01-19 Toshiba Corp Storage device and information processor
US10353623B2 (en) 2017-09-13 2019-07-16 Toshiba Memory Corporation Storage device, storage control method, computer program product, and storage system

Similar Documents

Publication Publication Date Title
US9075957B2 (en) Backing up digital content that is stored in a secured storage device
US8966580B2 (en) System and method for copying protected data from one secured storage device to another via a third party
JP4902207B2 (en) System and method for managing multiple keys for file encryption and decryption
JP4913871B2 (en) Upgrade memory cards with security mechanisms to prevent copying of secure content and applications
US9342701B1 (en) Digital rights management system and methods for provisioning content to an intelligent storage
US7971261B2 (en) Domain management for digital media
KR101100385B1 (en) Method and apparatus for digital rights management by using certificate revocation list
US7051211B1 (en) Secure software distribution and installation
US9805350B2 (en) System and method for providing access of digital contents to offline DRM users
US20090276474A1 (en) Method for copying protected data from one secured storage device to another via a third party
JP4857284B2 (en) Control structure generation system for multi-purpose content control
JP5180203B2 (en) System and method for controlling information supplied from a memory device
JP2013514587A (en) Content management method using certificate revocation list
US20060155651A1 (en) Device and method for digital rights management
JP2008123490A (en) Data storage device
CN102271037A (en) Key protectors based on online keys
JP2010182322A (en) Memory system with versatile content control
TW200828944A (en) Simplified management of authentication credientials for unattended applications
WO2007086015A2 (en) Secure transfer of content ownership
KR20230041971A (en) Method, apparatus and computer readable medium for secure data transfer over a distributed computer network
JP2009543211A (en) Content management system and method using a generic management structure
JP2009543207A (en) Content management system and method using certificate revocation list
JP2004070875A (en) Secure system
JP4969093B2 (en) Ticket protection method and client
JP2007011643A (en) Digital content distribution system and token device