JP2009037173A - データ処理装置 - Google Patents

データ処理装置 Download PDF

Info

Publication number
JP2009037173A
JP2009037173A JP2007203712A JP2007203712A JP2009037173A JP 2009037173 A JP2009037173 A JP 2009037173A JP 2007203712 A JP2007203712 A JP 2007203712A JP 2007203712 A JP2007203712 A JP 2007203712A JP 2009037173 A JP2009037173 A JP 2009037173A
Authority
JP
Japan
Prior art keywords
data
encrypted
initial vector
encryption
format information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007203712A
Other languages
English (en)
Inventor
Ichiro Katsunoi
一朗 勝野井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2007203712A priority Critical patent/JP2009037173A/ja
Publication of JP2009037173A publication Critical patent/JP2009037173A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Facsimile Transmission Control (AREA)

Abstract

【課題】本発明は、データを暗号化してハードディスク等に格納するプリンタ装置、複合装置等のデータ処理装置に関する。
【解決手段】複合装置1は、暗号化対象の画像データをハードディスク10のアクセス単位であるセクタをデータブロックとして該データブロック毎にレジスタ部9から初期ベクトルまたは前の該データブロックの暗号化された暗号データを利用してAES制御部8で暗号化してハードディスク10に保管する際に、画像データのフォーマット情報に基づいて、画像データのデータブロックのうちどのデータブロックを初期ベクトルを用いてAES制御部8に暗号化させるかの初期ベクトル利用タイミングを制御する。したがって、画像データがJPEG等で符号化されているか否かのフォーマット情報に基づいて初期ベクトル利用タイミングを制御することができ、データの機密を保持しつつ、処理効率を向上させることができる。
【選択図】 図1

Description

本発明は、データ処理装置に関し、詳細には、データを暗号化してハードディスク等に格納するプリンタ装置、複合装置、コンピュータ等のデータ処理装置に関する。
近年、プリンタ装置、複写装置、複合装置等のデータ処理装置においては、処理対象のデータ、例えば、画像データを、ハードディスク等の記憶装置に保存して再利用等に供するようになってきており、この場合、画像データのセキュリティを確保するために、画像データをAES(Advanced Encryption Standard)等の暗号器で暗号化して記憶装置に保存している(特許文献1参照)。
このAESは、ブロック暗号方式であり、暗号対象データをブロック単位(128ビット)に分割して暗号化を行っている。このブロック暗号方式は、1つ前のブロックで暗号化したブロックと暗号化対象の現在の平文のブロックとの排他的論理和を演算し、そのブロックに対して所定の暗号化鍵で暗号化を行う。そして、暗号結果の暗号文は次のブロックとの排他的論理和の演算に使われることになり、AESでは、前のブロックと次々に連鎖させることにより暗号文が生成される。
そして、AESでは、第2のブロック以降は、前のブロックとの排他的論理和が演算されるが、第1のブロックは、前のブロックが存在しないため、前のブロックとの排他的論理和を演算することができない。そこで、AESでは、第1のブロックに対しては、初期ベクトル(IV:Initializing Vector)を与えて排他的論理和を演算するように構成されている。
このように、AES暗号化方式は、常に一つ前のブロックの暗号データを種として平分のブロックを次々と暗号化しているため、暗号データの途中のブロックから復号することができず、AESの暗号データは、先頭の暗号データから順に復号して、始めて復号することができ、データの機密を確保することができる。
ところが、データを記憶装置、例えば、ハードディスクに格納する場合、ハードディスクは、セクタ(通常、512バイト)単位でアクセスすることができ、セクタ単位に、格納されている暗号データを読み出し、復号できるようにする必要があるため、512バイト以上の画像データを暗号化する場合には、ハードディスク1台当たり512バイト毎に初期ベクトル(IV)を使用して暗号化している(特許文献2、特許文献3等参照)。
そして、従来のセクタ毎に初期ベクトル(IV)を用いた暗号化方式は、暗号化対象のデータの如何を問わず、セクタ毎に初期ベクトル(IV)の更新を行って暗号化している。
特開2006−259988号公報 特開2005−175605号公報 特開2005−223874号公報
しかしながら、上記従来技術にあっては、ブロック暗号化方式でデータを暗号化して、ハードディスク等のセクタ単位でアクセスを行う記憶装置に暗号データを保管する場合、セクタ毎に初期化ベクトル(IV)を更新しているため、データの機密を保持しつつ、処理効率を向上させる上で改良の必要があった。すなわち、従来のブロック暗号化方式では、記憶装置に格納するデータが、JPEG等で符号化されたデータであっても、該符号化されたデータを、セクタ毎に初期化ベクトル(IV)を更新して暗号化して、暗号データを記憶装置に格納している。ところが、このような符号化されたデータは、記憶装置から読み出すときには、途中から抜き出して読み出しても意味がなく、常に、符号化データの先頭から読み出されるため、途中のセクタで読み出されず、セクタ単位に初期化ベクトル(IV)を更新する意味がない。従来のブロック暗号化方式の技術では、無駄な初期化ベクトル(IV)の更新を行って、暗号化していることになり、データの機密を保持しつつ、処理効率を向上させる上で改良の必要があった。
そこで、本発明は、適切にデータの機密を保持するとともに、効率的にデータの暗号化処理を行うデータ処理装置を提供することを目的としている。
請求項1記載の発明のデータ処理装置は、所定のデータ記憶手段と、暗号化対象データを該データ記憶手段のアクセス単位をデータブロックとして該データブロック毎に所定の初期ベクトルまたは前の該データブロックの暗号化された暗号データを利用して暗号化する暗号化手段と、を備え、該暗号化手段の暗号化した暗号データを該データ記憶手段に格納するデータ処理装置であって、前記暗号化対象データのフォーマット情報に基づいて、該暗号化対象データの前記データブロックのうちどのデータブロックを前記初期ベクトルを用いて前記暗号化手段に暗号化させるかの初期ベクトル利用タイミングを制御する初期ベクトル制御手段を備えていることにより、上記目的を達成している。
この場合、例えば、請求項2に記載するように、前記データ処理装置は、所定の記憶手段のデータ領域に格納されている前記暗号化対象データを、該記憶手段のディスクリプタ領域のディスクリプタ情報に基づいて前記暗号化手段へDMA転送するDMAコントローラを備え、前記フォーマット情報が該記憶手段の該ディスクリプタ領域に格納されており、該DMAコントローラが、該ディスクリプタ領域から該フォーマット情報を読み出して該暗号化手段に渡してもよい。
また、請求項1または請求項2の場合、例えば、請求項3に記載するように、前記初期ベクトル制御手段は、前記フォーマット情報とともに、前記暗号化手段の台数、前記暗号データ記憶手段の台数及び前記暗号データ記憶手段への前記暗号データの格納形態のうち少なくともいずれかに基づいて前記初期ベクトル利用タイミングを制御してもよい。
さらに、請求項1から請求項3の場合、例えば、請求項4に記載するように、前記フォーマット情報は、前記暗号化対象データが符号化されたデータであるか否かを示す情報であり、前記初期ベクトル制御手段は、該暗号化対象データが符号データであることを該フォーマット情報が示していると、前記初期ベクトルを利用する前記初期ベクトル利用タイミングを、該暗号化対象データの最初の前記データブロックのみに制御し、該暗号化対象データが非符号データであることを該フォーマット情報が示していると、該初期ベクトル利用タイミングを、該暗号化対象データの前記データブロック毎に制御してもよい。
また、請求項1から請求項4の場合、例えば、請求項5に記載するように、前記データ処理装置は、前記データ記憶手段の前記暗号データを復号する復号手段を備え、前記初期ベクトル制御手段は、該暗号データの元の前記暗号化対象データのフォーマット情報に基づいて、該暗号データの前記データブロックのうちどのデータブロックを前記初期ベクトルを用いて該復号化手段に暗号化させるかの初期ベクトル利用タイミングを制御してもよい。
本発明のデータ処理装置によれば、暗号化対象データをデータ記憶手段のアクセス単位をデータブロックとして該データブロック毎に所定の初期ベクトルまたは前の該データブロックの暗号化された暗号データを利用して暗号化手段で暗号化してデータ記憶手段に保管する際に、該暗号化対象データのフォーマット情報に基づいて、該暗号化対象データのデータブロックのうちどのデータブロックを該初期ベクトルを用いて該暗号化手段に暗号化させるかの初期ベクトル利用タイミングを制御しているので、例えば、暗号化対象データがJPEG等で符号化されているか否かのフォーマット情報に基づいて初期ベクトル利用タイミングを制御することができ、データの機密を保持しつつ、処理効率を向上させることができる。
以下、本発明の好適な実施例を添付図面に基づいて詳細に説明する。なお、以下に述べる実施例は、本発明の好適な実施例であるから、技術的に好ましい種々の限定が付されているが、本発明の範囲は、以下の説明において特に本発明を限定する旨の記載がない限り、これらの態様に限られるものではない。
図1〜図4は、本発明のデータ処理装置の第1実施例を示す図であり、図1は、本発明のデータ処理装置の第1実施例を適用した複合装置1の要部ブロック構成図である。
図1において、複合装置1は、スキャナ2、符号圧縮部3、ライトDMAC4、アービタ5、メモリ6、リードDMAC7、AES制御部8、レジスタ部9及びハードディスク(HDD)10等を備えているとともに、図示しないが、複合装置1として必要なCPU(Central Processing Unit )、プリンタ部、ファクシミリ部等を備えており、コピー機能、スキャナ機能、プリンタ機能、ファクシミリ通信機能等を実行する。
メモリ6は、RAM(Random Access Memory)等で構成されていて、ディスクリプタ情報がCPUによって書き込まれるディスクリプタ領域6aと画像データの書き込まれる画像データ領域6bがあり、ディスクリプタは、DMA(Direct Memory Access)で用いられる転送情報であって、一般的に、メモリアドレスと転送量がCPUによって書き込まれる。DMAは、CPUが直接介在することなく、データ転送を行う技術であるが、メモリ6上に画像データが点在する場合に、ディスクリプタ方式を用いて、メモリ6上に点在する画像データを接続して連続的に転送を行う。このディスクリプタ方式では、DMAC(DMAコントローラ)が、ディスクリプタ情報を読み込み、ディスクリプタ情報に示されているスタートアドレスや転送量に基づいてデータ転送を行い、また、点在したデータを連続してアクセスできるように、ディスクリプタの中に次のディスクリプタが存在するポインタを格納して、一連の動作が終ると、次のディスクリプタのポインタへアクセスを行い、そのポインタのディスクリプタからディスクリプタ情報を取得して、再び転送を行うという動作を繰り返す。CPUは、この画像データをメモリ6に入出力する際に、画像データの分割部分毎に対応してディスクリプタ情報を複数作成する。各ディスクリプタ情報には、該ディスクリプタ情報に基づくDMA転送の開始前にDMACの行う動作を指示する指示ビットが含まれ、DMACは、複数のディスクリプタ情報を順次実行してDMA転送する毎に指示ビットに従った動作を行う。
スキャナ2は、原稿を主走査及び副走査して、該原稿の画像データを読み取ってデジタルの画像データを符号圧縮部3に出力する。
符号圧縮部3は、例えば、JPEGエンコーダ等であり、CPUの制御下で、スキャナ2からの画像データを所定の符号化方式、例えば、JPEG(Joint Picture Engineering Group)で符号化して、または、スキャナ2からの画像データをそのままライトDMAC4に渡す。
ライトDMAC4は、メモリ6上のディスクリプタ領域のライト用ディスクリプタ情報に基づいて符号圧縮部3から入力される画像データを受け取って、該画像データをアービタ5を介してメモリ6の画像データ領域6bに書き込む。そして、CPUは、ライトDMAC4によってメモリ6の画像データ領域6bに画像データが書き込まれると、該画像データの該メモリ6上のアドレス、転送ワード数及び画像フォーマット情報の各ディスクリプタ情報を、該メモリ6のディスクリプタ領域6aに書き込む。この画像フォーマット情報は、画像データが符号圧縮部3で符号化されているときには、アクティブ状態となり、画像データが符号化されていないときには、イン・アクティブ状態となる信号である。
リードDMAC(DMAコントローラ)7は、アービタ5を介してメモリ6のディスクリプタ領域6aのディスクリプタ情報を読み込んで、該ディスクリプタ情報に書き込まれている画像データの画像フォーマット情報をAES制御部8に転送し、次に、該ディスクリプタ情報の指示に応じてメモリ6の画像データ領域の画像データを読み込んで、AES制御部8に転送する。
なお、アービタ5は、ライトDMAC4及びリードDMAC7からのメモリアクセス要求信号を調停し、アクセス許可信号を出力するメモリ制御回路である。
AES制御部8は、図2に示すように、AESコア21と初期ベクトル更新信号生成部22等を備えており、図1のレジスタ部9は、初期ベクトル(IV)をAES制御部8のAESコア21に出力する。
初期ベクトル更新信号生成部(初期ベクトル制御手段)22には、上記ディスクリプタ情報の一部である画像データの画像フォーマット情報が入力され、初期ベクトル更新信号生成部22は、画像フォーマット情報に基づいて初期ベクトル更新信号の状態を制御して、AESコア21に出力する。初期ベクトル更新信号生成部22は、画像フォーマット情報がアクティブ状態であると、セクタ毎に初期ベクトルを更新する必要がないため、初期ベクトル更新信号を該画像データの最初のセクタ(データブロック)の1回だけアサートし、画像フォーマット情報がイン・アクティブ状態であると、セクタ毎に初期ベクトルを更新する必要があるため、初期ベクトル更新信号をセクタ毎にアサートする。すなわち、初期ベクトル更新信号生成部22は、画像データが符号データであることを画像フォーマット情報が示していると、初期ベクトルを利用する初期ベクトル利用タイミングである初期ベクトル更新信号のアサートタイミングを、暗号化対象データである画像データの最初のデータブロックである最初のセクタのみに制御し、画像データが非符号データであることを画像フォーマット情報が示していると、初期ベクトル利用タイミングである初期ベクトル更新信号のアサートタイミングを、画像データのデータブロック毎、すなわち、セクタ毎に制御する。
AESコア(暗号化手段)21には、リードDMAC7がメモリ6から読み込んだ画像データが入力されるとともに、レジスタ部9からの初期ベクトル(IV)が入力される。AESコア21は、リードDMAC7から入力される画像データをAES暗号化処理して、ハードディスク(データ記憶手段)10に書き込み、また、ハードディスク10から読み出されたAES暗号化されている画像データである暗号データを初期ベクトル(IV)を用いて復号処理する。AESコア21は、このAES暗号処理及び復号処理において、初期ベクトル更新信号がアサートされたときに、レジスタ部9からの初期ベクトル(IV)を用いてAES暗号処理を行い、また、初期ベクトル(IV)を用いてAES復号処理を行う。
次に、本実施例の作用を説明する。本実施例の複合装置1は、ハードディスク10に格納する画像データが符号化されているか否かを示す画像フォーマット情報に基づいて初期ベクトル(IV)の更新タイミングを制御する。
すなわち、複合装置1は、スキャナ2で読み取った原稿の画像データを必要に応じて符号圧縮部3でJPEG等に符号化して、ライトDMAC4によりメモリ6の画像データ領域6bの指定のアドレスに転送して書き込むが、このとき、CPUは、符号圧縮部3からライトDMAC4によって転送されて格納された画像データのメモリ6の画像データ領域6bのアドレス、転送ワード数及び画像フォーマット情報の各ディスクリプタ情報を、メモリ6のディスクリプタ領域6aに書き込む。
メモリ6の画像データ領域6aに画像データが格納された後、リードDMAC7の起動がかかると、リードDMAC7が、該画像データが転送されたときに、メモリ6のディスクリプタ領域6aにCPUによって書き込まれたディスクリプタ情報を読み込んで、該ディスクリプタ情報のうち、画像データの画像フォーマット情報をAES制御部8に渡す。
次に、リードDMAC7は、該読み込んだディスクリプタ情報で指定されているメモリ6の画像データ領域6bのメモリアドレスから画像データを読み込んで、AES制御部8に渡す。
AES制御部8は、AES暗号処理を行うのにセクタ(512バイト)毎に初期ベクトル(IV)を利用するか否か、すなわち、初期ベクトル(IV)の更新タイミングを、画像フォーマット情報に基づいて制御する。
すなわち、AES制御部8は、その初期ベクトル更新生成部22に、暗号化対象の画像データが符号データであるか否かの情報である画像フォーマット情報が入力される。初期ベクトル更新生成部22は、画像フォーマット情報が画像データが符号データであることを示すアクティブ状態であると、セクタ毎に初期ベクトルを更新する必要がないとして、図3に示すように、初期ベクトル更新信号を該画像データの最初のセクタの1回だけアサートし、画像フォーマット情報が符号データではないことを示すイン・アクティブ状態であると、セクタ毎に初期ベクトルを更新する必要があるとして、図4に示すように、初期ベクトル更新信号をセクタ毎にアサートする。
AESコア21は、初期ベクトル更新生成部22から入力される初期ベクトル更新信号がアサートされたときに、レジスタ部9からの初期ベクトル(IV)を用いて、リードDMAC7から入力される画像データをAES暗号化処理して、ハードディスク10に書き込む。
したがって、AESコア21は、画像データが符号データであって画像フォーマット情報がアクティブ状態であると、図3に示したように、初期ベクトル更新信号が初回のセクタのみアサートされるため、初回のセクタのみレジスタ部9からの初期ベクトル(IV)を用いてリードDMAC7から入力される画像データをAES暗号化処理して、暗号データをハードディスク10に書き込む。
また、AESコア21は、画像データが符号データでなく画像フォーマット情報がイン・アクティブ状態であると、図4に示したように、初期ベクトル更新信号がセクタ毎にアサートされるため、セクタ毎にレジスタ部9からの初期ベクトル(IV)を用いてリードDMAC7から入力される画像データをAES暗号化処理して、暗号データをハードディスク10に書き込む。
なお、上記説明では、暗号化対象の画像データが符号データであるか否かに基づいて初期ベクトル(IV)の利用タイミングを制御して該画像データを暗号化する場合について説明したが、ハードディスク10から暗号データを読み出して、復号化する場合にも、同様に初期ベクトル(IV)の利用タイミングを制御して、暗号データを復号化する。
このように、本実施例の複合装置1は、暗号化対象データである画像データをハードディスク10のアクセス単位であるセクタをデータブロックとして該データブロック毎にレジスタ部9から初期ベクトルまたは前の該データブロックの暗号化された暗号データを利用してAES制御部8で暗号化してハードディスク100に保管する際に、該画像データの画像フォーマット情報に基づいて、画像データのデータブロックのうちどのデータブロックを該初期ベクトルを用いてAES制御部8に暗号化させるかの初期ベクトル利用タイミングを制御している。
したがって、例えば、暗号化対象データがJPEG等で符号化されているか否かの画像フォーマット情報に基づいて初期ベクトル利用タイミングを制御することができ、データの機密を保持しつつ、処理効率を向上させることができる。
また、本実施例の複合装置1は、メモリ6の画像データ領域6aに格納されている暗号化対象の画像データを、リードDMAC7によって、メモリ6のディスクリプタ領域6bのディスクリプタ情報に基づいてAES制御部8へDMA転送し、画像フォーマット情報がメモリ6のディスクリプタ領域6bに格納されていて、リードDMAC7が、ディスクリプタ領域6bから画像フォーマット情報を読み出してAES制御部8に渡している。
したがって、複合装置1のCPUにかかる負荷を削減しつつ画像データ及び画像フォーマット情報を転送して暗号化を制御することができ、処理効率を向上させることができる。
さらに、本実施例の複合装置1は、画像フォーマット情報が、暗号化対象の画像データが符号化されたデータであるか否かを示す情報であり、初期ベクトル更新信号生成部22が、該画像データが符号データであることを画像フォーマット情報が示していると、初期ベクトルを利用する初期ベクトル利用タイミングを、該画像データの最初のデータブロックのみ、すなわち、最初のセクタのみに制御し、該画像データが非符号データであることを画像フォーマット情報が示していると、初期ベクトル利用タイミングを、該画像データのデータブロック毎、すなわち、セクタ毎に制御して、初期ベクトル更新信号をアサートする。
したがって、画像データが、例えば、JPEG等で符号化されているときには、最初のセクタのみ初期ベクトルを用いた符号化を行って、セクタ毎の初期ベクトルを用いた不必要な符号化を省き、画像データが符号化されていないときには、セクタ毎に初期ベクトルを用いた符号化を行い、データの機密を保持するとともに、データのフォーマット状態に応じたアクセスを可能とすることができ、適切なデータの取得を図りつつ、処理効率を向上させることができる。
また、本実施例の複合装置1は、初期ベクトル更新信号生成部22が、ハードディスク10からの暗号データの読取時に、該暗号データの元の画像データの画像フォーマット情報に基づいて、該暗号データのセクタ、すなわち、データブロックのうちどのデータブロックを初期ベクトルを用いてAESコア21で暗号化させるかの初期ベクトル利用タイミングを制御して、初期ベクトル更新信号のアサートを制御する。
したがって、画像データを画像フォーマット情報に応じて初期ベクトルの利用タイミングを制御して暗号化した暗号データを、適切に復号することができる。
図5〜図8は、本発明のデータ処理装置の第2実施例を示す図であり、図5は、本発明のデータ処理装置の第2実施例を適用した複合装置30の要部ブロック構成図である。
なお、本実施例は、上記第1実施例の複写装置30と同様の複合装置に適用したものであり、本実施例の説明においては、上記第1実施例と同様の構成部分には、同一の符号を付して、その詳細な説明を省略する。
図5において、複合装置30は、上記第1実施例と同様のスキャナ2、符号圧縮部3、ライトDMAC4、アービタ5、ディスクリプタ領域6aと画像データ領域6bを備えるメモリ6、リードDMAC7及びハードディスク10を備えているとともに、AES制御部31とレジスタ部32を備えている。
レジスタ部32は、初期ベクトル(IV)をAES制御部31に出力するとともに、搭載AES台数情報、搭載HDD台数情報、RAID構成情報をAES制御部31に出力する。RAID(Redundant Arrays of Inexpensive(またはIndependent) Disks)とは、複数台のハードディスクを組み合わせることで、仮想的な1台のハードディスクとして運用する技術であり、本実施例では、複数台のハードディスク10にデータを分散して読み書きして高速化するストライピング構成を示す「RAID 0」と、複数台のハードディスク10に同時に同じ内容を書き込むミラーリング構成を示す「RAID 1」のいずれの構成であるかの情報をRAID構成情報としてレジスタ部32がAES制御部31に出力する。
AES制御部31は、図6に示すように、AESコア41と初期ベクトル更新信号生成部42等を備えている。AESコア41には、初期ベクトル(IV)がレジスタ部32から入力され、初期ベクトル更新信号生成部42には、上記ディスクリプタ情報の一部である画像データの画像フォーマット情報が入力されるとともに、搭載AES台数情報、搭載HDD台数情報、RAID構成情報がレジスタ部32から入力される。なお、搭載AES台数は、複合装置30の搭載しているAESコア41の台数を示し、搭載HDD台数は、複合装置30の備えているハードディスク10の台数である。
初期ベクトル更新信号生成部42は、画像フォーマット情報に基づくとともに、搭載AES台数情報、搭載HDD台数情報、RAID構成情報に基づいて初期ベクトル更新信号(IV)をAESコア21に出力する。すなわち、初期ベクトル更新信号生成部42は、画像フォーマット情報がアクティブ時には、セクタ毎に初期ベクトル(IV)を更新する必要がないため、搭載AES台数情報、搭載HDD台数情報、RAID構成情報にかかわらず、画像データの最初のセクタの1回だけ初期ベクトル更新信号をアサートする。
一方、画像フォーマット情報がイン・アクティブ時には、初期ベクトル更新信号生成部42は、セクタ毎に初期ベクトル(IV)を更新する必要があるため、搭載AES台数情報、搭載HDD台数情報、RAID構成情報に応じて、図7及び図8のようにアサートする。
すなわち、接続されているハードディスク10の台数をm、AES搭載台数をnとした場合、初期ベクトル更新信号生成部42は、RAID構成が「RAID 1」のミラーリング時には、ハードディスク10のセクタのバイト数を512として、図7に示すように、512÷nバイト毎に初期ベクトル更新信号をアサートし、RAID構成が「RAID 0」のストラッピング時には、図8に示すように、512×m÷nバイト毎となる。そして、初期ベクトル更新信号生成部42は、RAID構成が「RAID 1」と「RAID 0」の併用のときには、(512×(m/2))/nバイト毎に初期ベクトル更新信号をアサートする。
次に、本実施例の作用を説明する。本実施例の複合装置1は、ハードディスク10へ格納する画像データが符号化されているか否かによって初期ベクトル(IV)の更新タイミングを制御するとともに、暗号化対象の画像データが符号データでないときには、ハードディスク10のRAID構成等によって初期ベクトル(IV)の更新タイミングを調整する。
すなわち、複合装置1は、スキャナ2で読み取った原稿の画像データを必要に応じて符号圧縮部3でJPEG等に符号化してライトDMAC4によりメモリ6の画像データ領域6bの指定のアドレスに転送して書き込むが、このとき、CPUは、符号圧縮部3からライトDMAC4によって転送されて格納された画像データのメモリ6の画像データ領域6bのアドレス、転送ワード数及び画像フォーマット情報の各ディスクリプタ情報を、メモリ6のディスクリプタ領域6aに書き込む。
メモリ6の画像データ領域6aに画像データが格納された後、リードDMAC7の起動がかかると、リードDMAC7が、該画像データが転送されたときに、メモリ6のディスクリプタ領域6aにCPUによって書き込まれたディスクリプタ情報を該ディスクリプタ領域6aから読み込み、該ディスクリプタ情報のうち、画像データの画像フォーマット情報をAES制御部8に渡す。
次に、リードDMAC7は、該読み込んだディスクリプタ情報で指定されているメモリ6の画像データ領域6bのメモリアドレスから画像データを読み込んで、AES制御部31に渡す。
AES制御部31は、AES暗号処理を行うのにセクタ(512バイト)毎に初期ベクトル(IV)を利用するか否か、すなわち、初期ベクトル(IV)の更新タイミングを、画像フォーマット情報に基づいて制御する。
すなわち、AES制御部31は、その初期ベクトル更新生成部42に、暗号化対象の画像データが符号データであるか否かの情報である画像フォーマット情報とともに、レジスタ部32から搭載AES台数情報、搭載HDD台数情報、RAID構成情報が入力される。初期ベクトル更新生成部22は、画像フォーマット情報が画像データが符号データであることを示すアクティブ状態であると、セクタ毎に初期ベクトルを更新する必要がないとして、図3に示したように、初期ベクトル更新信号を該画像データの最初のセクタの1回だけアサートし、画像フォーマット情報が画像データが符号データではないことを示すイン・アクティブ状態であると、各ハードディスク10においてセクタ毎に初期ベクトル(IV)を更新する必要があるとして、搭載AES台数情報、搭載HDD台数情報、RAID構成情報に基づいて、図7及び図8に示すように初期ベクトル更新信号をアサートする。
すなわち、初期ベクトル更新信号生成部42は、RAID構成が「RAID 1」のミラーリング時には、ハードディスク10のセクタのバイト数を512として、図7に示すように、512÷nバイト毎に初期ベクトル更新信号をアサートし、「RAID 0」のストラッピング時には、図8に示すように、512×m÷nバイト毎となる。そして、初期ベクトル更新信号生成部42は、RAID構成が「RAID 1」と「RAID 0」の併用のときには、(512×(m/2))/nバイト毎に初期ベクトル更新信号をアサートする。
そして、AESコア41は、初期ベクトル更新生成部42から入力される初期ベクトル更新信号がアサートされたときに、レジスタ部32からの初期ベクトル(IV)を用いて、リードDMAC7から入力される画像データをAES暗号化処理して、ハードディスク10に書き込む。
したがって、AESコア21は、画像データが符号データであって画像フォーマット情報がアクティブ状態であると、図3に示したように、初期ベクトル更新信号が初回のセクタのみアサートされるため、初回のみレジスタ部9からの初期ベクトル(IV)を用いてリードDMAC7から入力される画像データをAES暗号化処理して、暗号データをハードディスク10に書き込む。
また、AESコア21は、画像データが符号データでなく画像フォーマット情報がイン・アクティブ状態であると、図7及び図8に示したように、初期ベクトル更新信号が搭載AES台数情報、搭載HDD台数情報、RAID構成情報に基づいたタイミングでアサートされるため、該タイミング毎にレジスタ部32からの初期ベクトル(IV)を用いてリードDMAC7から入力される画像データをAES暗号化処理して、暗号データをハードディスク10に書き込む。
なお、上記説明では、暗号化対象の画像データが符号データであるか否か及び搭載AES台数情報、搭載HDD台数情報、RAID構成情報に基づいて初期ベクトル(IV)の利用タイミングを制御して該画像データを暗号化する場合について説明したが、ハードディスク10から暗号データを読み出して、復号化する場合にも、同様に初期ベクトル(IV)の利用タイミングを制御して暗号データの復号化を行う。
また、上記説明では、初期ベクトル更新信号を搭載AES台数情報、搭載HDD台数情報及びRAID構成情報に基づいたタイミングでアサートしているが、搭載AES台数情報、搭載HDD台数情報及びRAID構成情報の全てに基づくもの限るものではなく、搭載AES台数情報、搭載HDD台数情報及びRAID構成情報のうち少なくとも1つに基づいて初期ベクトル更新信号のアサートを制御すればよい。
このように、本実施例の複合装置1は、AES制御部8の初期ベクトル更新信号生成部2が、画像フォーマット情報とともに、AESの台数、ハードディスク10の台数及びハードディスク10への暗号データの格納形態であるRAID構成の各情報のうち少なくともいずれかに基づいて初期ベクトル更新信号のアサートタイミングを制御している。
したがって、搭載AES台数、搭載HDD台数及びRAID構成に適切なタイミングで初期ベクトル更新信号のアサートタイミングを制御することができ、汎用性を向上させることができる。
以上、本発明者によってなされた発明を好適な実施例に基づき具体的に説明したが、本発明は上記のものに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
本発明は、データをブロック暗号方式で暗号化してハードディスク等の記憶装置に格納するプリンタ、複写装置、複合装置、コンピュータ等のデータ処理装置に利用することができる。
本発明の第1実施例を適用した複合装置の要部ブロック構成図。 図1のAES制御部の要部ブロック構成図。 図1の複合装置による暗号化処理における画像フォーマット情報がアクティブのときの初期ベクトル更新信号と暗号化対象データとの関係を示す図。 図1の複合装置による暗号化処理における画像フォーマット情報がイン・アクティブのときの初期ベクトル更新信号と暗号化対象データとの関係を示す図。 本発明の第2実施例を適用した複合装置の要部ブロック構成図。 図5のAES制御部の要部ブロック構成図。 図5の複合装置による暗号化処理における画像フォーマット情報がイン・アクティブでハードディスクが「RAID 1」のときの初期ベクトル更新信号と暗号化対象データとの関係を示す図。 図5の複合装置による暗号化処理における画像フォーマット情報がイン・アクティブでハードディスクが「RAID 0」のときの初期ベクトル更新信号と暗号化対象データとの関係を示す図。
符号の説明
1 複合装置
2 スキャナ
3 符号圧縮部
4 ライトDMAC
5 アービタ
6 メモリ
7 リードDMAC
8 AES制御部
9 レジスタ部
10 ハードディスク(HDD)
6a ディスクリプタ領域
6b 画像データ領域
21 AESコア
22 初期ベクトル更新信号生成部
30 複合装置
31 AES制御部
32 レジスタ部
41 AESコア
42 初期ベクトル更新信号生成部

Claims (5)

  1. 所定のデータ記憶手段と、暗号化対象データを該データ記憶手段のアクセス単位をデータブロックとして該データブロック毎に所定の初期ベクトルまたは前の該データブロックの暗号化された暗号データを利用して暗号化する暗号化手段と、を備え、該暗号化手段の暗号化した暗号データを該データ記憶手段に格納するデータ処理装置であって、前記暗号化対象データのフォーマット情報に基づいて、該暗号化対象データの前記データブロックのうちどのデータブロックを前記初期ベクトルを用いて前記暗号化手段に暗号化させるかの初期ベクトル利用タイミングを制御する初期ベクトル制御手段を備えていることを特徴とするデータ処理装置。
  2. 前記データ処理装置は、所定の記憶手段のデータ領域に格納されている前記暗号化対象データを、該記憶手段のディスクリプタ領域のディスクリプタ情報に基づいて前記暗号化手段へDMA転送するDMAコントローラを備え、前記フォーマット情報が該記憶手段の該ディスクリプタ領域に格納されており、該DMAコントローラが、該ディスクリプタ領域から該フォーマット情報を読み出して該暗号化手段に渡すことを特徴とする請求項1記載のデータ処理装置。
  3. 前記初期ベクトル制御手段は、前記フォーマット情報とともに、前記暗号化手段の台数、前記暗号データ記憶手段の台数及び前記暗号データ記憶手段への前記暗号データの格納形態のうち少なくともいずれかに基づいて前記初期ベクトル利用タイミングを制御することを特徴とする請求項1または請求項2記載のデータ処理装置。
  4. 前記フォーマット情報は、前記暗号化対象データが符号化されたデータであるか否かを示す情報であり、前記初期ベクトル制御手段は、該暗号化対象データが符号データであることを該フォーマット情報が示していると、前記初期ベクトルを利用する前記初期ベクトル利用タイミングを、該暗号化対象データの最初の前記データブロックのみに制御し、該暗号化対象データが非符号データであることを該フォーマット情報が示していると、該初期ベクトル利用タイミングを、該暗号化対象データの前記データブロック毎に制御することを特徴とする請求項1から請求項3のいずれかに記載のデータ処理装置。
  5. 前記データ処理装置は、前記データ記憶手段の前記暗号データを復号する復号手段を備え、前記初期ベクトル制御手段は、該暗号データの元の前記暗号化対象データのフォーマット情報に基づいて、該暗号データの前記データブロックのうちどのデータブロックを前記初期ベクトルを用いて該復号化手段に暗号化させるかの初期ベクトル利用タイミングを制御することを特徴とする請求項1から請求項4のいずれかに記載のデータ処理装置。
JP2007203712A 2007-08-04 2007-08-04 データ処理装置 Pending JP2009037173A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007203712A JP2009037173A (ja) 2007-08-04 2007-08-04 データ処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007203712A JP2009037173A (ja) 2007-08-04 2007-08-04 データ処理装置

Publications (1)

Publication Number Publication Date
JP2009037173A true JP2009037173A (ja) 2009-02-19

Family

ID=40439102

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007203712A Pending JP2009037173A (ja) 2007-08-04 2007-08-04 データ処理装置

Country Status (1)

Country Link
JP (1) JP2009037173A (ja)

Similar Documents

Publication Publication Date Title
JP6067757B2 (ja) ストレージ装置とホスト間でデータ伝送を保護するためのストレージ・コントローラ・バス・インターフェースの使用
JP4551802B2 (ja) プロセッサ、メモリ、コンピュータシステムおよびデータ転送方法
JP4829632B2 (ja) データ暗号化装置、データ暗号化方法、データ暗号化プログラム、および記録媒体
JP2008085986A (ja) データ変換装置と電子装置とデータ変換方法
JP4843531B2 (ja) 暗号変換装置、暗号変換方法および暗号変換プログラム
JP2004226969A (ja) 暗号システム及び多様なモードを支援する方法
JP2007200113A (ja) 同一コンテンツから派生した形式の異なるコンテンツを複数個所で同時に利用することを防ぐ方法及びシステム
JP2010010824A (ja) 電子装置、および著作権保護チップ
JP5017136B2 (ja) ハードディスクドライブ用の暗号化復号化装置、及びハードディスクドライブ装置
KR101126596B1 (ko) 단일 및 다중 aes 동작을 지원하기 위한 듀얼 모드 aes 장치 및 방법
JP2006259988A (ja) データ処理装置とデータ処理方法
JP2007336446A (ja) データ暗号化装置
JP5481354B2 (ja) 情報処理装置
JP4853026B2 (ja) 情報処理装置及びプログラム
JP2006330126A (ja) 暗号化処理方法、および復号化処理方法
JP2009037173A (ja) データ処理装置
JP2001069481A (ja) データ処理装置
JP2010219883A (ja) 画像形成装置および画像形成方法
JP2007074507A (ja) 暗号化/復号化装置、電子機器及び暗号化/復号化装置の制御方法
JP2009075474A (ja) 暗号処理装置
JP4671034B2 (ja) Dma転送回路及びdmaコントローラ
JP2007065963A (ja) データ転送システム
JP4672971B2 (ja) 暗号化・復号方法及び装置
JP2018140500A (ja) 情報処理装置、印刷システムおよびプログラム
JP2007036464A (ja) コンテンツ暗号化装置、コンテンツ暗号化方法