JP3701156B2 - Data backup device - Google Patents

Data backup device Download PDF

Info

Publication number
JP3701156B2
JP3701156B2 JP29847999A JP29847999A JP3701156B2 JP 3701156 B2 JP3701156 B2 JP 3701156B2 JP 29847999 A JP29847999 A JP 29847999A JP 29847999 A JP29847999 A JP 29847999A JP 3701156 B2 JP3701156 B2 JP 3701156B2
Authority
JP
Japan
Prior art keywords
data
encryption key
authentication
card
administrator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP29847999A
Other languages
Japanese (ja)
Other versions
JP2001119389A (en
Inventor
▲隆▼史 小笠原
勇 臼井
勝 石田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kenwood KK
Original Assignee
Kenwood KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kenwood KK filed Critical Kenwood KK
Priority to JP29847999A priority Critical patent/JP3701156B2/en
Publication of JP2001119389A publication Critical patent/JP2001119389A/en
Application granted granted Critical
Publication of JP3701156B2 publication Critical patent/JP3701156B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、ICカード等のデータ読書き自在の携帯カードを利用するデータバックアップ装置に係り、詳しくはセキュリティを向上したデータバックアップ装置に関するものである。
【0002】
【従来の技術】
機密性を有するデータのデータバックアップ装置等では、データを暗号化して、バックアップ用データとして記憶装置へ記録するとともに、データリカバリのためのバックアップ用データの復号等の操作には所定の管理者しか関与できないようにしている。
【0003】
従来のデータバックアップ装置では、管理者の認証は、データバックアップ装置に組み込まれて起動中のOSやアプリケーションに対して操作認証を求める形式のソフトウエア認証だけであった。
【0004】
【発明が解決しようとする課題】
本人認証には、ソフトウエアで構築された認証プログラムにパスワードを打込み、あらかじめ設定登録されたパスワード情報と比較する方式が一般的であるが、この場合、第三者であってもパスワード情報を入手すれば簡単に認証することができ、セキュリティ面で問題がある。また、この問題を解決するために、個人を特定する指紋認証などが考案されたが、判定がソフトウエアに委ねているため、スキルのある人が不正な操作でログオンをすることを防止できなかった。
【0005】
この発明の目的は、上述の問題点を克服できるデータバックアップ装置を提供することである。
【0006】
【課題を解決するための手段】
認証装置によれば、
コンピュータ装置に装着されたセキュリティカード(11)に記録されているセキュリティカード側認証用固有データS1、及び管理者が所有する管理者携帯カード(12)に記録されている管理者携帯カード側認証用データM1があり、
セキュリティカード側認証用固有データS1を暗号キーにして管理者携帯カード側認証用データM1を暗号化した暗号データを検証値Vとしてコンピュータ装置内にあらかじめ記憶しておき、
認証時では、被認証者の携帯カード(12)から読み出した被認証者携帯カード側認証用データMcを、暗号キーとしてのセキュリティカード側認証用固有データS1に基づいて暗号化し、
被認証者に係る該暗号データを検証値Vと照合し、
両者が一致している場合、その被認証者をコンピュータ装置の管理者として認証するようになっている。
【0007】
コンピュータ装置には、例えばデータバックアップ装置(10)が含まれる。携帯カード(12)は例えば所定容量のデータを読書き自在になっているICカードから成る。セキュリティカード(11)は、ボードとも呼ばれることもあり、例えば汎用コンピュータの空きスロットに挿入され得るものである。
【0008】
認証のルーチンは、例えば暗号化アプリケーションが行う。その場合、第三者が該アプリケーションを逆アセンブラーで解析し、暗号アルゴリズムを解読するのは煩雑あるいはほぼ困難であり、クラッカー(データ不正利用者)が管理者携帯カード側認証用データM1及びセキュリティカード側認証用固有データS1を知得したとしても、それらより暗号化された検証値Vを導出することは困難である。また、管理者携帯カード側認証用データM1は管理者携帯カード(12)に存在するので、管理者が、管理者携帯カード(12)を他人に貸さずに、自分で保持している限り、クラッカーが管理者携帯カード側認証用データM1を知得するのは困難である。管理者携帯カード側認証用データM1は、通常はパスワードと異なり、管理者自身も知得していないのが普通であり、そのような場合には、パスワードの場合と異なり、管理者が管理者携帯カード側認証用データM1をうっかり他人に漏らすような事態を回避できる。、
【0009】
パスワードの認証では、管理者携帯カード(12)と同一の体系で発行された別の携帯カード(12)である場合、その別の携帯カード(12)の正規利用者が認証を受けると、通常は、パスワードの照合値が携帯カード(12)内に保存されていて、その照合値を携帯カード(12)から読み出すことになるので、認証をクリアしてしまうことがある。これに対して、この認証装置では、検証値Vがコンピュータ装置内に保存され、かつ暗号化されているので、管理者が、認証を必要とするコンピュータ装置から離れていても、管理者携帯カード側認証用データM1をコンピュータ装置に置き忘れることなく、保持している限り、管理者不在中に管理者以外の者が管理者として認証される危険を回避できる。こうして、管理者はコンピュータ装置から離れても、セキュリティを保持でき、コンピュータ装置の無人運転が可能になる。
【0010】
暗号処理装置によれば、
コンピュータ装置に装着されたセキュリティカード(11)に記録されているセキュリティカード側暗号キー生成用固有データS2、及び管理者が所有する管理者携帯カード(12)に暗号で記録されている管理者携帯カード側暗号キー生成用データM2があり、
セキュリティカード側暗号キー生成用固有データS2と管理者携帯カード側暗号キー生成用データM2とを暗号化したものに基づいて暗号キーを生成し、
生成した暗号キーをコンピュータ装置内の消去自在の暗号キー記録用メモリ(33)に記録し、
データバックアップ時には、前記暗号キー記録用メモリ(33)から読み出した暗号キーに基づいて被バックアップデータを、暗号化して、暗号化バックアップデータとして記憶装置に記憶し、
データリカバリ時には、暗号キー記録用メモリ(33)から読み出した暗号キーに基づいて暗号化バックアップデータを復号するようにしている。
【0011】
通常の暗号では、暗号キーは復号キーを兼ねる。しかし、暗号キーが復号キーと同一であろうとなかろうと、暗号キーが不明であれば、復号キーも不明であり、暗号データを復号化することはできない。
【0012】
セキュリティカード側暗号キー生成用固有データS2と管理者携帯カード側暗号キー生成用データM2とを暗号化したものに基づいて暗号キーを生成する具体例を挙げると、次のとおりである。すなわち、例えば、セキュリティカード(11)の所定ROMに16バイトの固有(ユニーク)の文字列Lsを用意し、管理者携帯カード(12)のROMにあらがしめ書き込まれている暗号キー生成用の16バイトの文字列Liとを所定の暗号アルゴリズムで暗号化し、それを目的の暗号キーとする。
【0013】
暗号キーが管理者により設定される方式では、暗号キーを安易に消去できず、また、暗号キーが常時、暗号キー記録用メモリに保存されているので、クラッカーにより暗号キーを見つけられる危険が高まる。これに対して、この暗号処理装置では、暗号キーは、コンピュータ装置(セキュリティカード(11)を組み込まれたコンピュータ装置)及び管理者携帯カード(12)には元々は存在せず、セキュリティカード(11)のセキュリティカード側暗号キー生成用固有データS2と管理者携帯カード(12)の暗号化された管理者携帯カード側暗号キー生成用データM2とに基づいて生成するようになっている。したがって、コンピュータ装置が窃盗されそうになった場合等、セキュリティに問題がありそうな場合には、速やかに暗号キーを暗号キー記録用メモリ(33)から消去しても、また、暗号キーが必要となる場合は、適宜、管理者携帯カード(12)の提示を求めて、消去した暗号キーを再生成できる。こうして、コンピュータ装置に重大な支障を与えることなく、暗号キーを適宜、生成、消去して、データのセキュリティを向上できる。
【0014】
暗号処理装置はさらに次のものを有している。
コンピュータ装置が設定場所から移動されるのを検出する検出手段(40,41)
検出手段(40,41)がコンピュータ装置の移動を検出すると、暗号キー記録用メモリ(33)から暗号キーを直ちに消去する暗号キー消去手段
【0015】
検出手段(40,41)は、例えば二次元又は三次元の各座標軸方向の角速度を検出する角速度センサより成る。角速度センサにより移動を検出すること自体は、例えばビデオカメラの手振れを検出する場合等、種々の技術分野で適用されている。暗号キーは、真性の管理者携帯カード(12)があれば、暗号キーを適宜、生成自在であり、暗号キー記録用メモリ(33)から消去されても、バックアップデータの復号が以降、できなくなると言うものではない。
【0016】
このように、コンピュータ装置が窃盗される場合は、コンピュータ装置は設定場所から移動されるので、その移動は検出手段(40,41)により検出される。検出手段(40,41)によりコンピュータ装置の移動が検出されると、暗号キー記録用メモリ(33)から暗号キーが消去されるので、コンピュータ装置は、たとえ他の場所へ移動されても、暗号キーを保持しておらず、暗号キーを生成するには、管理者携帯カード(12)の管理者携帯カード側暗号キー生成用データM2が必要であるので、コンピュータ装置を窃盗されても、データのセキュリティを確保できる。
【0017】
なお、窃盗者は、コンピュータ装置を移動する前に、コンピュータ装置の電源を切る場合が想定されるが、その対策としては、コンピュータ装置に停電後、所定時間は作動を保証できるバックアップ電源を装備しておき、かつ停電検出センサを装備しておくことにより、不正移動開始前の停電に対しても、暗号キー記録用メモリ(33)から暗号キーを消去する処理を保証することが考えられる。
【0018】
この発明のデータバックアップ装置(10)によれば、平データを暗号化した暗号データを平データのバックアップ用データとして記憶装置に記憶し、バックアップ必要時には、記憶装置から読み出した暗号データを復号することにより、平データをリカバリし、少なくとも操作者からの暗号データの復号による平データのリカバリの指示に対しては、管理者として認証された操作者のみが関与するようにしている。そして、このデータバックアップ装置(10)において、
データバックアップ装置(10)に装備されたセキュリティカード(11)に記録されているセキュリティカード側認証用固有データS1、及び管理者が所有する管理者携帯カード(12)に記録されている管理者携帯カード側認証用データM1があり、
セキュリティカード側認証用固有データS1を暗号キーにして管理者携帯カード側認証用データM1を暗号化した暗号データを検証値Vとしてデータバックアップ装置 (10)内にあらかじめ記憶しておき、
認証(以下、この認証を「ペアリング認証」と言う。)時では、カードデータ読取器(15)を介して被認証者の携帯カード(12)から読み出した被認証者携帯カード側認証用データMcを、暗号キーとしてのセキュリティカード側認証用固有データS1に基づいて暗号化し、
被認証者に係る暗号データを検証値Vと照合し、
両者が一致している場合、その被認証者をデータバックアップ装置(10)の管理者として認証するようになっている。
【0019】
”バックアップ用データ”とは、被バックアップデータをバックアップして生成されるデータ(=データリカバリのために保存されたデータ)を言うものとする。通常のデータバックアップ装置(10)では、24時間運転され、スケジュールに従い、所定のバックアップ対象ホスト(例えばパーソナルコンピュータ)からバックアップしたい各データを定期的に保存する。データバックアップ装置(10)からバックアップデータを窃盗されるのを確実に防止するためには、管理者も、常時、データバックアップ装置(10)の傍に待機し、バックアップデータが窃盗されないよう監視している必要があるが、そのようなことは、無理であり、また、非能率である。このデータバックアップ装置(10)では、管理者は、データバックアップ装置(10)から離れる場合は、管理者携帯カード(12)を持って離れることにすれば、データのセキュリティ上、重大であるデータリカバリの指示には、管理者の認証が必要となり、その認証には、管理者携帯カード(12)が必要であるので、データのセキュリティを保証できる。
【0020】
この発明のデータバックアップ装置(10)によれば、ペアリング認証は、被認証者が、自己の所有する携帯カード(12)についてのパスワードを提示し、その提示パスワードが携帯カード(12)に係るパスワードと一致することを確認するパスワード認証を済ませた後、実施するようになっている。
【0021】
管理者が、データバックアップ装置(10)から離れていて、かつ知らない間に、管理者携帯カード(12)を窃盗されていて、窃盗者がデータバックアップ装置(10)においてペアリング認証をクリアすることがある。しかし、ペアリング認証に先立って、パスワード認証を実施するようにしておけば、窃盗者は、管理者携帯カード(12)は窃盗できても、パスワードは知らないので、パスワード認証をクリアできない。
【0022】
この発明のデータバックアップ装置(10)によれば、
データバックアップ装置(10)に装着されたセキュリティカード(11)に記録されているセキュリティカード側暗号キー生成用固有データS2、及びペアリング認証により認証された管理者が所有する管理者携帯カード(12)に暗号で記録されている管理者携帯カード側暗号キー生成用データM2があり、
セキュリティカード側暗号キー生成用固有データS2と管理者携帯カード側暗号キー生成用データM2とを暗号化したものに基づいて暗号キーを生成し、
生成した暗号キーをデータバックアップ装置(10)内の消去自在の暗号キー記録用メモリ(33)に記録し、
データリカバリ時には、暗号キー記録用メモリ(33)から読み出した暗号キーに基づいて暗号化バックアップデータを復号するようにしている。
【0023】
暗号キーの生成は、被認証者から提示された携帯カード(12)が真性の管理者携帯カード(12)として認証されてから行われる。したがって、データバックアップ装置(10)において暗号化されているバックアップ用データの復号は、真性の管理者からの指示の場合のみ、実施され、データのセキュリティが向上する。暗号キーは、データバックアップ装置(10)に常時存在するものでなく、データバックアップ装置(10)がデータのセキュリティ上、問題があると判断した場合は、適宜、消去され、消去状態においてデータバックアップ装置(10)及び管理者携帯カード(12)には存在せず、また、暗号キーは、真性の管理者携帯カード(12)の提示により管理者携帯カード側暗号キー生成用データM2を読み出して、再生成できるようになってるので、データバックアップ装置(10)の運用上の問題を起こすことなく、データのセキュリティを確保できる。
【0024】
この発明のデータバックアップ装置(10)はさらに次の要素を有している。
データバックアップ装置 (10)がその決められた設置場所から移動されるのを検出する検出手段(40,41)、及び
検出手段(40,41)がデータバックアップ装置 (10)の移動を検出すると、暗号キー記録用メモリ(33)から暗号キーを直ちに消去する暗号キー消去手段
【0025】
暗号キー記録用メモリ(33)から消去されても、真性の管理者携帯カード(12)があれば、暗号キーを適宜、生成自在であるので、真意の管理者によるバックアップ用データの復号を確保しつつ、データバックアップ装置(10)の窃盗に対しては、暗号キーを消去して、データのセキュリティを確保できる。
【0026】
【発明の実施の形態】
以下、発明の実施の形態について図面を参照して説明する。
図1及び図2はデータバックアップ装置10(図面にはDSUと記載。DSU:Data Backup Unit。)全体を二分割してそれぞれの各部を示している。データバックアップ装置10は、汎用コンピュータと、その汎用コンピュータに追加的に組み込まれるハード部分及びソフト部分とから成る。データバックアップ装置10の各要素の内、セキュリティカード11及びICカード読取・書込器15等はハードから成り、Bを最初に付してある符号で指示したブロックはソフト上の処理を表している。データバックアップ装置10の基本的仕様は次の(a)〜(c)である。
(a)バックアップ対象ホスト(パーソナルコンピュータ)からバックアップしたい各データをスケジュールに従って定期的に保存する。
(b)データを格納する際、データを暗号化して記録媒体(例:ハードディスク)に保存する。
(c)対象ホストのデータが事故で消去された場合、データリカバリ用に保存されている暗号化データを復号化して戻し、データの復元をすることができる機能をもつ。
【0027】
このデータバックアップ装置10はさらに次の追加仕様(d)〜(f)をもつ。
(d)ユーザーが決めたスケジュール通りに動作する必要があり、むやみに操作されない仕組みを構築する必要がある。
(e)バックアップスケジュールを設定後、24時間連続運転を行う。
(f)無人運転可能にする[←専門のオペレーターが絶えず装置を監視する必要が無い]。
【0028】
上述の仕様(a)〜(f)の実現のために、データバックアップ装置10では具体的に次の処理を行うようになっている。
▲1▼起動時に、専用のICカード12による操作者の認証を行う[パスワード認証]。
▲2▼データバックアップ装置の特定[ペアリング認証:データバックアップ装置10とICカード12との一対比較]
▲3▼認証、暗号キーの生成、及びバックアップスケジュールの設定終了後、管理者は、データバックアップ装置10の場所を離れても、自己のICカード12をICカード読取・書込器15から抜いて、所持していれば、データセキュリティを確保しつつ、無人運転を行う。
▲4▼データバックアップ装置自動運転中、管理者のICカード12がICカード読取・書込器15から一旦、抜かれてから、データリカバリ等の操作を試みると、操作者に対して認証を求める。操作者が、ICカード12無しや認証無しで、操作しようとしても(不正操作の場合)、操作は受け付けない[←不正操作からの保護]。
▲5▼データバックアップ装置組込みコンピュータが窃盗の目的で移動されると、暗号キーの情報が一時保管のメモリから消去され、暗号データの復号化を不可能にする。
【0029】
図3はデータバックアップ装置10におけるパスワード認証の説明図である。ICカード12には、所定量のデータが読取専用になっているとともに、所定量のデータが読書き自在に書き込まれる。データバックアップ装置10の管理者は、専用のICカード12を所有する。持ち運び自在のハードウェアと言う意味での携帯型のICカード読取・書込器15は、ICカード12からデータを読み出し、かつICカード12へデータを書き込むハードウエアであり、これに対して、ICカードサービスB13は、データバックアップ装置10のソフトウェアとは独立した認証専門のソフトウェアであり、OSへのデータバックアップ装置10の本体のソフトのインストール時に、別のソフトとして並行してインストールされる。管理者が、事前の設定登録時やパスワード変更時にに、キーボード14より登録用のパスワードを打ち込むと、ICカードサービスB13内の固有(ユニーク)のデータS3に基づいてその打ち込みパスワードが暗号化され、ICカード12へ格納される(以下、この格納データを「M3」と言う。)。パスワード認証(=本人認証)として、データバックアップ装置10の起動時及びデータバックアップ装置10から本人確認を求められると、管理者は、ICカード12をICカード読取・書込器15へ差し込んでから、キーボード14より自分のパスワードを入力する。この入力パスワードは、ICカードサービスB13の固有データS3に基づいて暗号化され、それが前述のM3と照合され、一致すれば、管理者本人と認証される。
【0030】
図4はICカード12とデータバックアップ装置10とのペアリング認証の説明図である。図3のパスワード認証では、ICカードが、管理者のICカード12と同一の体系で発行されたものであれば、管理者のICカードでなくても、パスワード認証をクリアする恐れがある。したがって、このペアリング認証(データバックアップ装置10とその管理者との一対の認証。図1では”DBU特定”と、記載されている。)を実施する。ペアリング認証に先立ち、データバックアップ装置10は、あらかじめ、真正の管理者のICカード12に対する検証値Vを生成し、データバックアップ装置組込みコンピュータのメモリ(RAM)に記録しておく。すなわち、管理者によるデータバックアップ装置10の初期設定又は設定値の変更の段階において、真正の管理者が所有するICカード12をICカード読取・書込器15のスロットへ挿入すると、そのICカード12から、そのICカード12の識別用のコード(以下、「識別コードM1」と言う。)が読み込まれ、B20では、その識別コードM1は、データバックアップ装置10の第1のROM17に記録されている固有(ユニーク)データ(以下、「第1の固有データS1」と言う。)を暗号キーにして暗号データへ変換される。なお、固有データとは、各セキュリティカード11のみがもつデータであり、絶対とは言えないが、同一の固有データをもつセキュリティカード11はほぼ存在しないようにしているデータである。該暗号データは検証値Vとしてデータバックアップ装置10の読書き自在のメモリ(汎用コンピュータにメモリとして装備されているRAM)に記録される。そのような設定記録がすでに済まされた後、このペアリング認証では、被認証者がICカード読取・書込器15のスロットに挿入したICカード12について、そのICカード12から識別コードM1を読み出し、その読み出した識別コードM1が、第1のROM17の第1の固有データS1を暗号キーにして暗号データCへ変換される。一方、B22では、データバックアップ装置10のRAMから検証値Vを読み出し、B21では、B20の暗号データCとB22の検証値Vとが比較され、その結果が出力される(B21)。結果が”一致”であれば、被認証者はペアリング認証をクリアする。
【0031】
図5は暗号キーを生成する処理の説明図である。暗号キー生成処理は、図3及び図4の2段階の認証をクリアした場合にのみ、実施される。ICカード読取・書込器15のスロットに挿入されているICカード12から所定の暗号キー生成用データM2を読み取る。一方、データバックアップ装置10の第2のROM27からは第2の固有データS2を読み取る。そして、データM2とデータS2とを暗号アルゴリズム(この暗号アルゴリズムは、バックアップしようとする平データを暗号データへ変換する場合に用いられる暗号アルゴリズムと同一であってもよいし、異なっていてもよい。)により暗号化し(B30)、その暗号化データに基づいて暗号キーを生成する(B31)。B31で生成された暗号キーはデータバックアップ装置組込みコンピュータのRAM33に格納される。RAM33に記録された暗号キーは暗号化/復号化(B34)の際に参照され、使用されるようになっており、暗号キーが無いと(暗号キーの有無は例えばヌルか否かにより判断する。)、暗号化も復号化も困難になる。
【0032】
図6はデータバックアップ装置組込みコンピュータの自動運転中の不正操作の保護処理の説明図である。データバックアップ装置組込みコンピュータの起動後に各種設定(例:バックアップのスケジュール設定)をして、データバックアップ装置組込みコンピュータが自動運転を開始してから、管理者は、データバックアップ装置組込みコンピュータから離れる場合、離れている間にデータバックアップ装置組込みコンピュータを不正に操作されないよう、自分のICカード12をICカード読取・書込器15のスロットから抜く。真正の管理者が離れている隙を利用して、不正使用者がデータバックアップ装置組込みコンピュータを操作しようとすると(B27)、データバックアップ装置10は、ICカード読取・書込器15にICカード12に挿入されていないことを検出して、被認証者にICカード12をICカード読取・書込器15へ挿入するように、案内を出す。これに対して、被認証者が、真正の管理者のICカード以外のICカード12を挿入すると、たとえパスワード認証はクリアしても、ペアリング認証をクリアできず(B34)、不正使用者によるデータバックアップ装置組込みコンピュータの操作は不能になる(B25)。
【0033】
図7はデータバックアップ装置組込みコンピュータの不正移動の対策処理の説明図である。セキュリティカード11には、所定平面としてのx−y座標面におけるx軸及びy軸方向の角速度を検出するx軸方向角速度センサ40及びy軸方向角速度センサ41が設けられている。窃盗者がデータバックアップ装置組込みコンピュータを持ち出そうとすると(B45)、データバックアップ装置組込みコンピュータは移動するので、この移動がx軸方向角速度センサ40及びy軸方向角速度センサ41により検出され、コンパレータ42は、y軸方向角速度センサ41及びコンパレータ42の出力が基準値を上回ると、異常検出ロジック回路50へ所定の信号を出力する。異常検出ロジック回路50は、コンパレータ42からの出力からデータバックアップ装置組込みコンピュータに今回、作用した角速度がデータバックアップ装置組込みコンピュータの運転時のものではない、すなわちデータバックアップ装置組込みコンピュータが不正に移動されようとしていると判断できる。異常検出ロジック回路50は、データバックアップ装置組込みコンピュータの不正移動以外の異常として、OS異常(B46)及びデータバックアップ装置異常(B47)も検出するようになっており、いずれかの異常が起きると、直ちに、(a)データバックアップ装置組込みコンピュータのRAM33の暗号キーをクリアし(B53)、(b)セキュリティカード11内の圧電ブザー61を作動させ、(c)データバックアップ装置10を停止させる(B62)。なお、図2において、OS異常(B46)、DBU異常(B47)、及びOK(B23.図1)から異常検出ロジック回路50への入力にOFFが記載されているが、理由は、このデータバックアップ装置10では、電源投入時(=起動時)に、圧電ブザー61等が作動して、警報音が鳴り出すことになっており、すなわち、異常検出ロジック回路50はON状態となり、その後、OS及びデータバックアップ装置ソフトが立ち上がるのに伴い、OS及びデータバックアップ装置ソフトからOFF信号が出力されて、異常検出ロジック回路50がオフになって、警報音が鳴り止むことを意味している。同様に、ペアリング認証でOK(認証)が出されるときも(B23)、異常検出ロジック回路50へOFF信号が出され、異常検出ロジック回路50はOFFになる。異常検出ロジック回路50 がOFFFになる条件は、異常検出ロジック回路50へ接続されているB23,B46,B47の 全てからOFF信号が出力されているときである。例外として、異常検出ロジック回路50は、OFF時に、コンパレータ42から不正持ち出しの信号を入力すると、データバックアップ装置組み込みコンピュータの電源が切られるまで、警報音を鳴らし続ける。また、異常検出ロジック回路50が動作すると、前述の(a)〜(c)に加えて、(d)D−SuB端子を介して本体外へ警報信号を出力する。これにより本体外に警報ランブや拡声器を接続することも可能となる。
【0034】
図8はセキュリティカード11の斜視図である。第1のROM17、第2のROM27、x軸方向角速度センサ40、y軸方向角速度センサ41、異常検出ロジック回路50、及び圧電ブザー61等のセキュリティカード11の各素子が1枚の基板64上にマウントされている。端子部65は、基板64の側辺に沿って設けられ、データバックアップ装置組込みコンピュータ本体のコネクタへ挿抜自在に差し込まれる。壁部66はデータバックアップ装置組込みコンピュータの外部に露出し、9PのD−Sub用ケーブル端子が壁部66の外面側から壁部66のコネクタへ分離自在に接続されるようになっている。
【図面の簡単な説明】
【図1】データバックアップ装置全体を二分割した一方の部分を示す図である。
【図2】データバックアップ装置全体を二分割した他方の部分を示す図である。
【図3】データバックアップ装置におけるパスワード認証の説明図である。
【図4】ICカードとデータバックアップ装置とのペアリング認証の説明図である。
【図5】暗号キーを生成する処理の説明図である。
【図6】データバックアップ装置組込みコンピュータの自動運転中の不正操作の保護処理の説明図である。
【図7】データバックアップ装置組込みコンピュータの不正移動の対策処理の説明図である。
【図8】セキュリティカードの斜視図である。
【符号の説明】
10 データバックアップ装置(データバックアップ装置)
11 セキュリティカード
12 ICカード(管理者携帯カード)
15 ICカード読取・書込器(カードデータ読取器)
33 RAM(暗号キー記録用メモリ)
40 x軸方向角速度センサ(検出手段)
41 y軸方向角速度センサ(検出手段)[0001]
BACKGROUND OF THE INVENTION
  The present invention uses a portable card such as an IC card that can freely read and write data.Data backIn detail, the security has been improved.dataThe present invention relates to a backup device.
[0002]
[Prior art]
In a data backup device for confidential data, the data is encrypted and recorded in the storage device as backup data, and only a predetermined administrator is involved in operations such as decryption of the backup data for data recovery. I can't do it.
[0003]
In a conventional data backup device, the administrator authentication is only software authentication in a format that requires operation authentication for an operating system or application installed in the data backup device.
[0004]
[Problems to be solved by the invention]
For personal authentication, a method is generally used in which a password is entered into an authentication program built with software and compared with password information registered in advance. In this case, even third parties obtain password information. This makes it easy to authenticate, and there is a problem with security. In addition, in order to solve this problem, fingerprint authentication that identifies individuals was devised, but since judgment is left to the software, it cannot prevent skilled people from logging on by unauthorized operations. It was.
[0005]
  The object of the present invention is to overcome the above-mentioned problemsdataIt is to provide a backup device.
[0006]
[Means for Solving the Problems]
  Authentication deviceAccording to
  Security card side authentication unique data S1 recorded on the security card (11) attached to the computer device, and administrator mobile card side authentication recorded on the administrator mobile card (12) owned by the administrator There is data M1,
  Encryption data obtained by encrypting the administrator mobile card side authentication data M1 using the security card side authentication unique data S1 as an encryption key is stored in advance in the computer apparatus as a verification value V,
  At the time of authentication, the authentication subject mobile card side authentication data Mc read from the authentication subject mobile card (12) is encrypted based on the security card side authentication unique data S1 as an encryption key,
  Collating the encrypted data relating to the person to be authenticated with the verification value V;
  If the two match, the person to be authenticated is authenticated as an administrator of the computer device.
[0007]
The computer device includes, for example, a data backup device (10). The portable card (12) is composed of, for example, an IC card that can freely read and write a predetermined amount of data. The security card (11) is sometimes called a board and can be inserted into, for example, an empty slot of a general-purpose computer.
[0008]
The authentication routine is performed by, for example, an encryption application. In that case, it is complicated or almost difficult for a third party to analyze the application with a disassembler and to decrypt the encryption algorithm, and the cracker (data unauthorized user) uses the administrator mobile card side authentication data M1 and the security card. Even if the side authentication specific data S1 is acquired, it is difficult to derive the encrypted verification value V from them. Moreover, since the administrator mobile card side authentication data M1 exists in the administrator mobile card (12), as long as the administrator holds the administrator mobile card (12) by himself without lending it to others, It is difficult for the cracker to know the administrator mobile card side authentication data M1. The administrator mobile card side authentication data M1 is usually different from the password and is usually not even known by the administrator. In such a case, unlike the password, the administrator is the administrator. It is possible to avoid a situation where the mobile card side authentication data M1 is inadvertently leaked to another person. ,
[0009]
In the password authentication, if it is another mobile card (12) issued in the same system as the administrator mobile card (12), when the authorized user of the other mobile card (12) is authenticated, it is usually Since the password verification value is stored in the mobile card (12) and the verification value is read from the mobile card (12), the authentication may be cleared. On the other hand, in this authentication apparatus, since the verification value V is stored in the computer apparatus and encrypted, even if the administrator is away from the computer apparatus that requires authentication, the administrator mobile card As long as the side authentication data M1 is retained in the computer device without being forgotten, it is possible to avoid the risk that a person other than the administrator is authenticated as the administrator while the administrator is absent. Thus, even if the administrator is away from the computer device, security can be maintained and the computer device can be operated unattended.
[0010]
  Cryptographic processing deviceAccording to
  Security card side encryption key generation unique data S2 recorded on the security card (11) attached to the computer device and the administrator mobile phone recorded in the administrator mobile card (12) owned by the administrator There is card side encryption key generation data M2,
  An encryption key is generated based on the encryption of the security card side encryption key generation unique data S2 and the administrator mobile card side encryption key generation data M2,
  Record the generated encryption key in the erasable encryption key recording memory (33) in the computer device,
  At the time of data backup, the data to be backed up is encrypted based on the encryption key read from the encryption key recording memory (33), and stored in the storage device as encrypted backup data,
  At the time of data recovery, the encrypted backup data is decrypted based on the encryption key read from the encryption key recording memory (33).
[0011]
In normal encryption, the encryption key also serves as the decryption key. However, whether the encryption key is the same as the decryption key or not, if the encryption key is unknown, the decryption key is also unknown and the encrypted data cannot be decrypted.
[0012]
A specific example in which the encryption key is generated based on the encryption of the security card side encryption key generation unique data S2 and the administrator mobile card side encryption key generation data M2 is as follows. That is, for example, a 16-byte unique (unique) character string Ls is prepared in a predetermined ROM of the security card (11), and is used for generating an encryption key written in the ROM of the administrator mobile card (12). The 16-byte character string Li is encrypted with a predetermined encryption algorithm, and is used as a target encryption key.
[0013]
In the method in which the encryption key is set by the administrator, the encryption key cannot be easily deleted, and since the encryption key is always stored in the encryption key recording memory, the risk of finding the encryption key by a cracker increases. . In contrast, in this cryptographic processing apparatus, the cryptographic key does not originally exist in the computer apparatus (computer apparatus in which the security card (11) is incorporated) and the administrator mobile card (12). ) Security card side encryption key generation unique data S2 and the administrator mobile card side encryption key generation data M2 encrypted of the administrator mobile card (12). Therefore, if there is a security problem, such as when a computer device is about to be stolen, it is necessary to erase the encryption key from the encryption key recording memory (33) immediately or to use the encryption key. In such a case, the erased encryption key can be regenerated by appropriately requesting the administrator mobile card (12) to be presented. In this way, it is possible to improve the data security by appropriately generating and deleting the encryption key without seriously affecting the computer device.
[0014]
  Cryptographic processing deviceAlso has the following:
  Detection means (40, 41) for detecting the computer device being moved from the set location
  Encryption key erasure means for immediately erasing the encryption key from the encryption key recording memory (33) when the detection means (40, 41) detects the movement of the computer device
[0015]
The detection means (40, 41) is composed of, for example, an angular velocity sensor that detects angular velocities in the two-dimensional or three-dimensional coordinate axis directions. The detection of the movement itself by the angular velocity sensor is applied in various technical fields, for example, when detecting a camera shake of a video camera. If there is an authentic administrator mobile card (12), the encryption key can be generated as appropriate, and even if it is deleted from the encryption key recording memory (33), the backup data cannot be decrypted thereafter. That is not to say.
[0016]
As described above, when the computer device is stolen, the computer device is moved from the set place, and the movement is detected by the detection means (40, 41). When the movement of the computer device is detected by the detection means (40, 41), the encryption key is erased from the encryption key recording memory (33). Therefore, even if the computer device is moved to another location, the encryption key is deleted. In order to generate the encryption key without holding the key, the administrator mobile card side encryption key generation data M2 of the administrator mobile card (12) is necessary. Security can be ensured.
[0017]
It is assumed that the thief turns off the computer device before moving the computer device. As a countermeasure, the computer device is equipped with a backup power source that can guarantee operation for a predetermined time after a power failure. In addition, by providing a power failure detection sensor, it is conceivable to guarantee the processing for deleting the encryption key from the encryption key recording memory (33) even in the event of a power failure before the start of unauthorized movement.
[0018]
  According to the data backup device (10) of the present invention, the encrypted data obtained by encrypting the plain data is stored in the storage device as the backup data for the plain data, and the encrypted data read from the storage device is decrypted when the backup is necessary. Thus, the flat data is recovered, and at least the operator who is authenticated as the administrator is involved in at least the flat data recovery instruction by decrypting the encrypted data from the operator. And in this data backup device (10),
  Security card side authentication specific data S1 recorded on the security card (11) equipped in the data backup device (10) and the administrator mobile phone recorded on the administrator mobile card (12) owned by the administrator There is card-side authentication data M1,
  Encryption data obtained by encrypting the administrator mobile card side authentication data M1 using the security card side authentication unique data S1 as an encryption key is used as a verification value V.Data backup device (Ten)In advance,
  At the time of authentication (hereinafter, this authentication is referred to as “pairing authentication”), the authentication-subject mobile card side authentication data read from the authentication subject's mobile card (12) via the card data reader (15) Mc is encrypted based on the security card side authentication specific data S1 as an encryption key,
  The encrypted data relating to the person to be authenticated is checked against the verification value V,
  If they match, the person to be authenticated is authenticated as the administrator of the data backup device (10).
[0019]
“Backup data” refers to data generated by backing up data to be backed up (= data stored for data recovery). The normal data backup device (10) is operated for 24 hours, and regularly stores each data to be backed up from a predetermined backup target host (for example, a personal computer) according to a schedule. In order to prevent the backup data from being stolen from the data backup device (10), the administrator always stands by the data backup device (10) and monitors the backup data to prevent it from being stolen. It is necessary, but it is impossible and inefficient. In this data backup device (10), when the administrator leaves the data backup device (10), if the administrator carries the administrator's mobile card (12) away, the data recovery, which is critical for data security, will occur. Is required to authenticate the administrator, and the administrator mobile card (12) is required for the authentication, so data security can be guaranteed.
[0020]
According to the data backup device (10) of the present invention, in the pairing authentication, the person to be authenticated presents the password for the portable card (12) owned by the person to be authenticated, and the presented password relates to the portable card (12). It is implemented after password authentication to confirm that it matches the password.
[0021]
The administrator is away from the data backup device (10) and without knowing that the administrator mobile card (12) has been stolen, and the thief clears the pairing authentication in the data backup device (10) Sometimes. However, if password authentication is performed prior to pairing authentication, the thief cannot steal the administrator mobile card (12) but does not know the password, and therefore cannot clear the password authentication.
[0022]
According to the data backup device (10) of the present invention,
The security card side encryption key generation unique data S2 recorded in the security card (11) attached to the data backup device (10), and the administrator mobile card (12 ), The administrator mobile card side encryption key generation data M2 is recorded in an encrypted manner,
An encryption key is generated based on the encryption of the security card side encryption key generation unique data S2 and the administrator mobile card side encryption key generation data M2,
Record the generated encryption key in the erasable encryption key recording memory (33) in the data backup device (10),
At the time of data recovery, the encrypted backup data is decrypted based on the encryption key read from the encryption key recording memory (33).
[0023]
The generation of the encryption key is performed after the mobile card (12) presented by the person to be authenticated is authenticated as the authentic administrator mobile card (12). Therefore, the decryption of the backup data encrypted in the data backup device (10) is performed only in the case of an instruction from the true administrator, and the data security is improved. The encryption key does not always exist in the data backup device (10), and if the data backup device (10) determines that there is a problem in terms of data security, it is appropriately deleted and the data backup device in the erased state (10) and the administrator mobile card (12) are not present, and the encryption key is read from the administrator mobile card side encryption key generation data M2 by presenting the authentic administrator mobile card (12), Since data can be regenerated, data security can be ensured without causing operational problems of the data backup device (10).
[0024]
  The data backup device (10) of the present invention further includes the following elements.
  Data backup device (Ten)Detecting means (40, 41) for detecting the movement of the vehicle from its predetermined installation location,as well as
  Detection means (40, 41)Data backup device (Ten)Key eraser that immediately erases the encryption key from the encryption key recording memory (33) when the movement of the key is detected.
[0025]
Even if it is erased from the encryption key recording memory (33), if there is an authentic administrator mobile card (12), the encryption key can be generated as appropriate, ensuring that the true administrator decrypts the backup data. However, for theft of the data backup device (10), the encryption key can be erased to ensure data security.
[0026]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
1 and 2 show the respective parts of the data backup device 10 (denoted as DSU in the drawing; DSU: Data Backup Unit) divided into two parts. The data backup device 10 includes a general-purpose computer and hardware and software portions additionally incorporated in the general-purpose computer. Among the elements of the data backup device 10, the security card 11 and the IC card reader / writer 15 and the like are composed of hardware, and the block designated by the reference symbol with B first represents software processing. . The basic specifications of the data backup device 10 are the following (a) to (c).
(A) Each data to be backed up from the backup target host (personal computer) is periodically saved according to the schedule.
(B) When storing data, the data is encrypted and stored in a recording medium (eg, hard disk).
(C) When the data of the target host is deleted due to an accident, the encrypted data stored for data recovery is decrypted and returned to restore the data.
[0027]
The data backup device 10 further has the following additional specifications (d) to (f).
(D) It is necessary to operate according to the schedule determined by the user, and it is necessary to construct a mechanism that is not operated unnecessarily.
(E) After setting the backup schedule, continuous operation is performed for 24 hours.
(F) Enable unattended operation [← specialized operator does not need to constantly monitor the device].
[0028]
In order to realize the above specifications (a) to (f), the data backup device 10 specifically performs the following processing.
(1) At start-up, the operator is authenticated by the dedicated IC card 12 [password authentication].
(2) Identification of data backup device [Pairing authentication: Pair comparison between data backup device 10 and IC card 12]
(3) After completion of authentication, encryption key generation, and backup schedule setting, the administrator removes his / her IC card 12 from the IC card reader / writer 15 even if he / she leaves the data backup device 10. If you have one, you can drive unattended while ensuring data security.
(4) During automatic operation of the data backup device, if the administrator's IC card 12 is once removed from the IC card reader / writer 15 and an operation such as data recovery is attempted, the operator is asked for authentication. Even if the operator tries to operate without the IC card 12 or authentication (in the case of an unauthorized operation), the operation is not accepted [← protection from unauthorized operation].
(5) Data backup device When a computer with a built-in data is moved for the purpose of theft, the information on the encryption key is erased from the temporary storage memory, making it impossible to decrypt the encrypted data.
[0029]
FIG. 3 is an explanatory diagram of password authentication in the data backup device 10. A predetermined amount of data is read-only on the IC card 12, and a predetermined amount of data is written in a freely readable and writable manner. The administrator of the data backup device 10 has a dedicated IC card 12. The portable IC card reader / writer 15 in the sense of portable hardware is hardware that reads data from the IC card 12 and writes data to the IC card 12. The card service B13 is authentication-specific software independent of the software of the data backup device 10, and is installed in parallel as separate software when the software of the main body of the data backup device 10 is installed in the OS. When the administrator inputs a password for registration from the keyboard 14 at the time of prior setting registration or password change, the password is encrypted based on the unique (unique) data S3 in the IC card service B13. It is stored in the IC card 12 (hereinafter, this stored data is referred to as “M3”). As password authentication (= person authentication), when the data backup device 10 is started and when the data backup device 10 asks for identity verification, the administrator inserts the IC card 12 into the IC card reader / writer 15, Enter your password from the keyboard 14. This input password is encrypted based on the unique data S3 of the IC card service B13, and is compared with the above-mentioned M3. If they match, the administrator is authenticated.
[0030]
FIG. 4 is an explanatory diagram of pairing authentication between the IC card 12 and the data backup device 10. In the password authentication of FIG. 3, if the IC card is issued in the same system as the administrator's IC card 12, the password authentication may be cleared even if it is not the administrator's IC card. Therefore, this pairing authentication (a pair of authentications between the data backup device 10 and its administrator, which is described as “DBU identification” in FIG. 1) is performed. Prior to pairing authentication, the data backup device 10 generates a verification value V for the IC card 12 of the authentic administrator in advance and records it in the memory (RAM) of the computer with the built-in data backup device. That is, when the IC card 12 owned by the authentic administrator is inserted into the slot of the IC card reader / writer 15 at the stage of initial setting of the data backup device 10 or change of the set value by the administrator, the IC card 12 The identification code (hereinafter referred to as “identification code M1”) of the IC card 12 is read from the data, and the identification code M1 is recorded in the first ROM 17 of the data backup device 10 in B20. The unique (unique) data (hereinafter referred to as “first unique data S1”) is converted into encrypted data using the encryption key. Note that the unique data is data that only each security card 11 has, and it is not absolute, but it is data in which almost no security card 11 having the same unique data exists. The encrypted data is recorded as a verification value V in a readable / writable memory (RAM equipped as a memory in a general-purpose computer) of the data backup device 10. After such setting recording has already been completed, in this pairing authentication, the identification code M1 is read from the IC card 12 for the IC card 12 inserted into the slot of the IC card reader / writer 15 by the person to be authenticated. The read identification code M1 is converted into encrypted data C using the first unique data S1 of the first ROM 17 as an encryption key. On the other hand, in B22, the verification value V is read from the RAM of the data backup device 10, and in B21, the encrypted data C of B20 is compared with the verification value V of B22, and the result is output (B21). If the result is “match”, the person to be authenticated clears the pairing authentication.
[0031]
FIG. 5 is an explanatory diagram of processing for generating an encryption key. The encryption key generation process is performed only when the two-step authentication in FIGS. 3 and 4 is cleared. A predetermined encryption key generation data M2 is read from the IC card 12 inserted in the slot of the IC card reader / writer 15. On the other hand, the second unique data S2 is read from the second ROM 27 of the data backup device 10. Then, the data M2 and the data S2 are encrypted using an encryption algorithm (this encryption algorithm may be the same as or different from the encryption algorithm used when converting plain data to be backed up into encrypted data. ) (B30), and an encryption key is generated based on the encrypted data (B31). The encryption key generated in B31 is stored in the RAM 33 of the data backup device embedded computer. The encryption key recorded in the RAM 33 is referred to and used at the time of encryption / decryption (B34). If there is no encryption key (the presence / absence of the encryption key is determined based on whether it is null, for example). ), Encryption and decryption become difficult.
[0032]
FIG. 6 is an explanatory diagram of a protection process for unauthorized operations during automatic operation of a computer with a built-in data backup device. After starting up the computer with built-in data backup device, make various settings (eg, backup schedule setting), and after the computer with built-in data backup device starts automatic operation, the administrator should leave the computer with built-in data backup device. During this time, the user's IC card 12 is removed from the slot of the IC card reader / writer 15 so that the computer with built-in data backup device cannot be illegally operated. If an unauthorized user tries to operate the computer with the built-in data backup device by using the time when the genuine administrator is away (B27), the data backup device 10 sends the IC card 12 to the IC card reader / writer 15 with the IC card 12 When it is detected that the IC card 12 is not inserted into the IC card reader / writer 15, the user is guided to insert the IC card 12 into the IC card reader / writer 15. On the other hand, if the person to be authenticated inserts an IC card 12 other than the IC card of the authentic administrator, even if password authentication is cleared, pairing authentication cannot be cleared (B34), and an unauthorized user The operation of the computer with the built-in data backup device becomes impossible (B25).
[0033]
FIG. 7 is an explanatory diagram of countermeasures against illegal movement of a computer with a built-in data backup device. The security card 11 is provided with an x-axis direction angular velocity sensor 40 and a y-axis direction angular velocity sensor 41 that detect angular velocities in the x-axis and y-axis directions on an xy coordinate plane as a predetermined plane. When the thief tries to take the data backup device built-in computer (B45), the data backup device built-in computer moves, and this movement is detected by the x-axis direction angular velocity sensor 40 and the y-axis direction angular velocity sensor 41. When the outputs of the y-axis direction angular velocity sensor 41 and the comparator 42 exceed the reference value, a predetermined signal is output to the abnormality detection logic circuit 50. In the abnormality detection logic circuit 50, the angular velocity applied to the data backup device built-in computer from the output from the comparator 42 this time is not the one during operation of the data backup device built-in computer, that is, the data backup device built-in computer may be illegally moved. Can be judged. The abnormality detection logic circuit 50 is configured to detect an OS abnormality (B46) and a data backup apparatus abnormality (B47) as an abnormality other than the unauthorized movement of the data backup device built-in computer. Immediately, (a) the encryption key in the RAM 33 of the data backup device embedded computer is cleared (B53), (b) the piezoelectric buzzer 61 in the security card 11 is activated, and (c) the data backup device 10 is stopped (B62). . In FIG. 2, OFF is described in the input to the abnormality detection logic circuit 50 from the OS abnormality (B46), DBU abnormality (B47), and OK (B23. FIG. 1). In the device 10, when the power is turned on (= start-up), the piezoelectric buzzer 61 and the like are activated and an alarm sound is generated. That is, the abnormality detection logic circuit 50 is turned on, and then the OS and data This means that as the backup device software starts up, an OFF signal is output from the OS and the data backup device software, the abnormality detection logic circuit 50 is turned off, and the alarm sound stops. Similarly, when OK (authentication) is issued by pairing authentication (B23), an OFF signal is output to the abnormality detection logic circuit 50, and the abnormality detection logic circuit 50 is turned OFF. The condition that the abnormality detection logic circuit 50 becomes OFFF is when an OFF signal is output from all of B23, B46, and B47 connected to the abnormality detection logic circuit 50. As an exception, when the abnormality detection logic circuit 50 receives an illegal take-out signal from the comparator 42 when it is OFF, the abnormality detection logic circuit 50 continues to sound an alarm until the power of the computer incorporating the data backup device is turned off. Further, when the abnormality detection logic circuit 50 operates, in addition to the above (a) to (c), (d) an alarm signal is output to the outside of the main body via the D-SuB terminal. As a result, an alarm lamp or loudspeaker can be connected outside the main body.
[0034]
FIG. 8 is a perspective view of the security card 11. Each element of the security card 11 such as the first ROM 17, the second ROM 27, the x-axis direction angular velocity sensor 40, the y-axis direction angular velocity sensor 41, the abnormality detection logic circuit 50, and the piezoelectric buzzer 61 is formed on one substrate 64. Mounted. The terminal portion 65 is provided along the side of the substrate 64 and is detachably inserted into the connector of the data backup device built-in computer main body. The wall portion 66 is exposed to the outside of the computer with the built-in data backup device, and the 9P D-Sub cable terminal is detachably connected from the outer surface side of the wall portion 66 to the connector of the wall portion 66.
[Brief description of the drawings]
FIG. 1 is a diagram showing one part of an entire data backup device divided into two.
FIG. 2 is a diagram showing the other part of the entire data backup device divided into two parts.
FIG. 3 is an explanatory diagram of password authentication in the data backup device.
FIG. 4 is an explanatory diagram of pairing authentication between an IC card and a data backup device.
FIG. 5 is an explanatory diagram of a process for generating an encryption key.
FIG. 6 is an explanatory diagram of a protection process for unauthorized operations during automatic operation of a data backup device embedded computer;
FIG. 7 is an explanatory diagram of countermeasures against illegal movement of a computer with a built-in data backup device.
FIG. 8 is a perspective view of a security card.
[Explanation of symbols]
10 Data backup device (data backup device)
11 Security card
12 IC card (administrator mobile card)
15 IC card reader / writer (card data reader)
33 RAM (encryption key recording memory)
40 x-axis direction angular velocity sensor (detection means)
41 y-axis direction angular velocity sensor (detection means)

Claims (3)

平データを暗号化した暗号データを平データのバックアップ用データとして記憶装置に記憶し、バックアップ必要時には、前記記憶装置から読み出した暗号データを復号することにより、平データをリカバリし、少なくとも操作者からの暗号データの復号による平データのリカバリの指示に対しては、管理者として認証された操作者のみが関与するようにしているデータバックアップ装置(10)において、
データバックアップ装置(10)に装備されたセキュリティカード(11)に記録されているセキュリティカード側認証用固有データS1、及び管理者が所有する管理者携帯カード(12)に記録されている管理者携帯カード側認証用データM1があり、
セキュリティカード側認証用固有データS1を暗号キーにして管理者携帯カード側認証用データM1を暗号化した暗号データを検証値Vとしてデータバックアップ装置 (10)内にあらかじめ記憶しておき、
認証(以下、この認証を「ペアリング認証」と言う。)時では、カードデータ読取器(15)を介して被認証者の携帯カード(12)から読み出した被認証者携帯カード側認証用データMcを、暗号キーとしてのセキュリティカード側認証用固有データS1に基づいて暗号化し、
被認証者に係る暗号データを検証値Vと照合し、
両者が一致している場合、その被認証者を前記データバックアップ装置(10)の管理者として認証するようになっており、
さらに、
前記データバックアップ装置(10)に装着されたセキュリティカード(11)に記録されているセキュリティカード側暗号キー生成用固有データS2、及び前記ペアリング認証により認証された管理者が所有する管理者携帯カード(12)に暗号で記録されている管理者携帯カード側暗号キー生成用データM2があり、
セキュリティカード側暗号キー生成用固有データS2と管理者携帯カード側暗号キー生成用データM2とを暗号化したものに基づいて暗号キーを生成し、
生成した暗号キーを前記データバックアップ装置(10)内の消去自在の暗号キー記録用メモリ(33)に記録し、
データリカバリ時には、前記暗号キー記録用メモリ(33)から読み出した暗号キーに基づいて暗号化バックアップデータを復号するようにしていることを特徴とするデータバックアップ装置。The encrypted data obtained by encrypting the plain data is stored in the storage device as backup data for the plain data, and when the backup is necessary, the plain data is recovered by decrypting the encrypted data read from the storage device, at least from the operator. In the data backup device (10) in which only the operator authenticated as the administrator is involved in the instruction to recover the plain data by decrypting the encrypted data of
Security card side authentication specific data S1 recorded on the security card (11) equipped in the data backup device (10) and the administrator mobile phone recorded on the administrator mobile card (12) owned by the administrator There is card-side authentication data M1,
The encrypted data obtained by encrypting the administrator mobile card side authentication data M1 using the security card side authentication unique data S1 as an encryption key is stored in advance in the data backup device (10) as a verification value V,
At the time of authentication (hereinafter, this authentication is referred to as “pairing authentication”), the authentication-subject mobile card side authentication data read from the authentication subject's mobile card (12) via the card data reader (15) Mc is encrypted based on the security card side authentication specific data S1 as an encryption key,
The encrypted data relating to the person to be authenticated is checked against the verification value V,
If both match, the person to be authenticated is authenticated as an administrator of the data backup device (10) ,
further,
Security card side encryption key generation unique data S2 recorded in the security card (11) attached to the data backup device (10), and the administrator mobile card owned by the administrator authenticated by the pairing authentication (12) includes the administrator mobile card side encryption key generation data M2 recorded in an encryption,
An encryption key is generated based on the encryption of the security card side encryption key generation unique data S2 and the administrator mobile card side encryption key generation data M2,
Generated encryption key recorded in the erasure freely encryption key recording memory (33) of the data backup device (10),
A data backup device, wherein the encrypted backup data is decrypted based on the encryption key read from the encryption key recording memory (33) during data recovery. 前記ペアリング認証は、被認証者が、自己の所有する携帯カード(12)についてのパスワードを提示し、その提示パスワードが前記携帯カード(12)に係るパスワードと一致することを確認するパスワード認証を済ませた後、実施するようになっていることを特徴とする請求項1記載のデータバックアップ装置。  In the pairing authentication, the person to be authenticated presents a password for the mobile card (12) owned by the user, and password authentication is performed to confirm that the presented password matches the password related to the mobile card (12). 2. The data backup apparatus according to claim 1, wherein the data backup apparatus is implemented after completion. 前記データバックアップ装置 (10)がその決められた設置場所から移動されるのを検出する検出手段(40,41)、及び
前記検出手段(40,41)が前記データバックアップ装置 (10)の移動を検出すると、前記暗号キー記録用メモリ(33)から暗号キーを直ちに消去する暗号キー消去手段、
を有していることを特徴とする請求項1又は2記載のデータバックアップ装置。Detection means (40, 41) for detecting that the data backup device (10) is moved from the determined installation location, and the detection means (40, 41) detects the movement of the data backup device (10) . When detected, encryption key erasure means for immediately erasing the encryption key from the encryption key recording memory (33),
The data backup apparatus according to claim 1 , wherein the data backup apparatus includes:
JP29847999A 1999-10-20 1999-10-20 Data backup device Expired - Fee Related JP3701156B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP29847999A JP3701156B2 (en) 1999-10-20 1999-10-20 Data backup device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP29847999A JP3701156B2 (en) 1999-10-20 1999-10-20 Data backup device

Publications (2)

Publication Number Publication Date
JP2001119389A JP2001119389A (en) 2001-04-27
JP3701156B2 true JP3701156B2 (en) 2005-09-28

Family

ID=17860240

Family Applications (1)

Application Number Title Priority Date Filing Date
JP29847999A Expired - Fee Related JP3701156B2 (en) 1999-10-20 1999-10-20 Data backup device

Country Status (1)

Country Link
JP (1) JP3701156B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG126766A1 (en) * 2004-06-10 2006-11-29 Oneempower Pte Ltd Data storage method and system
JP4803981B2 (en) * 2004-09-14 2011-10-26 キヤノン株式会社 Data processing apparatus, data processing method, and computer program

Also Published As

Publication number Publication date
JP2001119389A (en) 2001-04-27

Similar Documents

Publication Publication Date Title
US6367017B1 (en) Apparatus and method for providing and authentication system
US7134016B1 (en) Software system with a biometric dongle function
US20090150631A1 (en) Self-protecting storage device
US20090080662A1 (en) Key Recovery in Encrypting Storage Devices
CN102884535A (en) Protected device management
JPWO2006004130A1 (en) Data management method, program thereof, and program recording medium
JPH09171416A (en) Computer illegal use prevention device
WO2012050585A1 (en) Authenticate a fingerprint image
JP2009526472A (en) Data security including real-time key generation
CN104361298B (en) The method and apparatus of Information Security
KR100693874B1 (en) Computer-readable medium with microprocessor to control reading and computer arranged to communicate with such a medium
JP2000330783A (en) Software illegal copy prevention system and recording medium with software illegal copy prevention program recorded thereon
JP3701156B2 (en) Data backup device
SE526732C2 (en) Security arrangement for ensuring access to device such as portable computer, has key unit with input and communication units to identify user before key unit accepts locking-unlocking
CN1381787A (en) Method and system for protecting hard disk of computer
JP4104801B2 (en) IC card reader and IC card system
JP2007265400A (en) Portable memory
JP2002015511A (en) Off-line sharing security system using removable media
EP0610497A1 (en) A dongle
JP3885562B2 (en) In-vehicle biometric authentication device and biometric information registration method
JP2001092668A (en) Electronic equipment and method for rewriting inside program of the same equipment and computer readable information storage medium recorded with program having function for rewriting the same program
JP2009211487A (en) Information processor, information processing system and program
JP7071319B2 (en) Data storage device with fingerprint authentication function and how to create data for restoration
JP3561203B2 (en) Memory device
JP4792874B2 (en) Authentication system, authentication method, and program

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041007

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050420

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050608

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050706

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050712

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080722

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090722

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090722

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100722

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110722

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110722

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120722

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120722

Year of fee payment: 7

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120722

Year of fee payment: 7

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120722

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130722

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees