JP3936839B2 - データ保管システム - Google Patents
データ保管システム Download PDFInfo
- Publication number
- JP3936839B2 JP3936839B2 JP2000388997A JP2000388997A JP3936839B2 JP 3936839 B2 JP3936839 B2 JP 3936839B2 JP 2000388997 A JP2000388997 A JP 2000388997A JP 2000388997 A JP2000388997 A JP 2000388997A JP 3936839 B2 JP3936839 B2 JP 3936839B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- access log
- storage medium
- data
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Description
【発明の属する技術分野】
本発明は、光ディスクやDVD,磁気ディスクなどの記憶媒体によるデータのライブラリを用いたデータ保管システムに係り、特に、データの改ざんがあったことを検知できるようにしたデータ保管システムに関する。
【0002】
【従来の技術】
近年、メモリに格納されている電子情報を原本と見なすようになってきており、このため、かかる原本の改ざんということが大きな問題となってきている。かかる原本を管理し、要求に応じてクライアントにこの原本を発行するようにしたシステムでは、かかる発行済みの原本をクライアント端末に格納し、これをクライアントが何回も使用できるようにしているが、何回も使用されているうちに、この発行済み原本はその使用によって誤って改ざんされてしまうこともある。
【0003】
このような改ざんを検証できるようにした従来の技術の一例が、例えば、特開平11ー238049号公報に開示されている。これは、発行済みの原本が保管,管理されているもとの原本と同一か否かを確認することができるようにしたものであって、以下、この従来技術について説明する。
【0004】
この従来技術は、サーバに原本が保存されており、ワークステーションやパーソナルコンピュータなどのクライアント端末からこれを参照(発行)することができるようにしたものであって、所定の要約関数を用いてクライアントへの発行済み原本ともとの原本との同一性を検証するものである。具体的には、原本発行元のサーバ側で、予めもとの原本の情報に所定の要約関数を適応して生成される第1の要約情報を用意しておき、一方、クライアント側では、検証が必要な場合、発行済み原本に上記所定の要約関数を適用して第2の要約情報を生成し、サーバ側で用意されている第1の要約情報を取り込んでこれと第2の要約情報とを照合する。この照合の結果、第1,第2の要約情報が一致するときには、発行済み原本は改ざんされていないことになり、一致しない場合には、発行済み原本は改ざんされていることになる。
【0005】
しかし、かかる従来技術は、所詮ソフト的にネットワーク上でこれら原本の同一性を保証するものであって、要約関数を書き換えることも不可能ではない。このように要約関数の書き換えがあると、改ざんされていなくとも、発行済み原本が改ざんされたものとみなされてしまうことになるが、また、改ざんされたにもかかわらず、発行済み原本がもとの原本と同一とみなされてしまうもあり得る。このように、要約関数が書き換えられた場合には、かかる要約関数を用いて発行済み原本の要約情報を生成し、この要約情報を用いて発行済み原本のもとの原本の要約情報と照合すること自体意味のないものとなる。
【0006】
【発明が解決しようとする課題】
一方、追記制御される記憶媒体(以下、追記形の記憶媒体という)からなるライブラリを用い、これで電子情報としての原本を保存,管理するデータ保管システムでは、かかる原本の改ざんを防止するために、原本としてのファイルの作成や更新,参照,削除などのためのライブラリへのアクセスの履歴(アクセスログ)を残すことが行なわれている。新たなファイルを作成してライブラリに格納するときも(これを作成(Create)という)、ライブラリに格納されているファイルの内容を変更するときも(これを更新(Update))、ライブラリに格納されているファイルを読み取るときも(これを参照(Reference)という)、また、ライブラリに格納されている不要なファイルを除くときも(これを削除(Delete)という)、ライブラリにアクセスする。アクセスログはライブラリへのこのようなアクセスの履歴を表わすものであって、アクセス毎にこの目的(作成,更新,参照及び削除)やファイル名,その作成日時などが記録される。
【0007】
ここで、このライブラリは追記形の記憶媒体を用いるものであるから、作成されたファイルは、それが更新されて新たなファイルとなっても、そのままライブラリに残るし、また、ファイルが更新されても、更新前のファイルもそのままライブラリに残る。このファイルが不要となって削除の処理がなされても、このファイルは、作成時のものやその後更新されたときのものがそのまま残っている。このため、ライブラリでの作成されたときのファイルや更新されたファイルには、夫々に対応してアクセスログが設定されている。
【0008】
ライブラリでのファイルとアクセスログとの間にこのような関係があることから、アクセスログによってライブラリのファイルの管理を行なうことができ、ライブラリ内のファイルを改ざんしたときには、その改ざんされたファイルがライブラリに格納されるとともに、これに対するアクセスログも設定されることになるので、このアクセスログからファイルの改ざんを検知することが可能となる。
【0009】
しかしながら、アクセスログも改ざんされる可能性がある。このように改ざんされても、従来では、改ざんされたアクセスログも含めてライブラリのアクセス履歴を把握するものであるから、アクセスログの改ざんを検知することができなかった。
【0010】
本発明の目的は、かかる問題点を解消し、ライブラリのデータの改ざんの検知のために設けられたアクセスログの改ざんを検知できるようにしたデータ保管システムを提供することにある。
【0011】
【課題を解決するための手段】
上記目的を達成するために、本発明は、データが書き込まれる追記形の記憶媒体からなる記憶媒体ライブラリと、記憶媒体ライブラリに書き込まれるデータに対するアクセスログが追記されるアクセスログ保存用記憶媒体とを備えたデータ保管システムにおいて、記憶媒体ライブラリに記憶されたデータに対するアクセスログ保存用記憶媒体でのアクセスログの有無を判定することにより、アクセスログ保存用記憶媒体での改ざんの有無を検出するものである。
【0012】
また、本発明は、上記アクセスログ保存用記憶媒体でのアクセスログに対する記憶媒体ライブラリでのデータの有無を判定することにより、アクセスログ保存用記憶媒体での改ざんの有無を検出するものである。
【0013】
そして、アクセスログ保存用記憶媒体に記憶されるアクセスログ毎に検証フラグを設定し、アクセスログに対するデータが記憶媒体ライブラリに存在するか否かの検証をアクセスログに対して行なうことにより、アクセスログに対する前記データが記憶媒体ライブラリに存在するとき、検証フラグを検証済みとし、検証フラグが検証済みであるアクセスログに対しては、検証処理を省略するものである。
【0014】
上記アクセスログ保存用記憶媒体は、書き換え可能な記憶媒体であっても、また、追記形の記憶媒体であってもよい。
【0015】
【発明の実施の形態】
以下、本発明の実施形態を図面を用いて説明する。
図1は本発明によるデータ管理システムの一実施形態を示す概略構成図であって、1はサーバ、1aは制御ソフト、1bは運用DB(データべース)、2はアレイディスク、2aはハードディスク、3はディスクライブラリ、31〜3nは光ディスク、4a,4bはインターフェースケーブルである。
【0016】
同図において、このシステムでは、PC(パーソナルコンピュータ)もしくはワークステーションからなるサーバ1に、1または複数の高速アクセスが可能なハードディスクからなるアレイディスク2と複数の光ディスクからなるディスクライブラリ3とが夫々インターフェースケーブル4a,4bを介して接続されている。また、サーバ1内には、アレイディスク2とディスクライブラリ3とのアクセス制御を行なう制御ソフト1aと、ディスクライブラリ3でのファイルのディレクトリ構造を管理するためのファイル管理情報を保持する運用DB1bが設けられている。
【0017】
ここで、アレイディスク2とディスクライブラリ3とで階層記憶を構成している。
【0018】
即ち、サーバ1で予めインストールされた制御ソフト1aの制御により、ディスクライブラリ3の光ディスクを所定数ずつグループ化して夫々のグループをボリュームとしている。図1では、一例として、光ディスク31〜3nのグループを1つのボリュームとしている。また、制御ソフト1aは、アレイディスク2の夫々のハードディスクを、キャッシュメモリとして、ディスクライブラリ3内の夫々のボリュームに割り当てている。ここでは、アレイディスク2内のハードディスク2aを光ディスク31〜3nのボリュームに該当するキャシュメモリとする。
【0019】
かかる構成により、夫々のボリュームでは、そこに格納されているファイルのうち、アクセス頻度が高いファイルは、光ディスクから読み出されてそのボリュームに該当するキャッシュメモリに格納しておき、このファイルの外部への読取りなどはこのキャッシュメモリで行なわれるようにし、アクセス頻度が低いファイルは直接光ディスクから読み取るようにする。このようにして、全体的なアクセス性能を向上させる階層記憶管理を実現している。
【0020】
次に、図2により、光ディスク31〜3nとキャッシュメモリとしてのハードディスク2aとからなるボリューム5の動作について説明する。
【0021】
同図において、ボリューム5に対してファイル8のwrite(書込み)処理6が発生した場合には、制御ソフト1a(図1)の制御により、まず、このファイル8がキャッシュメモリ2aに書き込まれる(処理S1)。そして、このときの日時(更新日時)から予め設定されている一定時間経過すると、制御ソフト1aは、このファイル8はデータが確定したものとし、運用DB1b(図1)のファイル管理データを参照して、光ディスク31〜3nのうちの該当する光ディスクにこのファイル8を格納する(処理S2)。以上の動作を、光ディスクのファイル更新という。
【0022】
ボリューム5に対してファイル8のread(読出し)処理7が発生した場合には、制御ソフト1aの制御により、このファイル8がキャッシュメモリ2aに存在するときには、このキャッシュメモリ2aから読み出し(処理S3)、キャッシュメモリ2aに存在しなければ、制御ソフト1aは、運用DB1bのファイル管理情報を参照することにより、光ディスク31〜3nのうちの該当する光ディスクを探索し、該当する光ディスクからファイル8を読み出してキャッシュメモリ2aに格納する(処理S4)。そして、このキャッシュメモリ2aからこのファイル8を外部に読み出す(処理S3)。このように光ディスクからファイル8がキャッシュメモリ2aに格納されても、この光ディスクに格納されているこのファイル8は有効である。キャッシュメモリ2aに格納されているファイル8が光ディスクに戻されると、上記該当する光ディスクに残っているファイル8が更新されたことになって無効となり、キャッシュメモリ2aから戻されるファイル8は、更新されたファイルとして、上記該当する光ディスクの空き領域、もしくは同じボリューム5の他の光ディスクの空き領域に格納される。従って、次にこのファイル8が読み出されるときには、この更新されたファイル8が読み出されることになる。
【0023】
図3は図1におけるディスクライブラリ3の概略構成図であって、9,10はセル群、11は光ディスク、12,12a,12b,13,13aはセル、14はアクセッサ、15,16はドライブである。
【0024】
同図において、ここでは、ディスクライブラリ3の2つのセル群9,10を示しているが、かかるセル群としては、1個でもよいし、3個以上でもよい。
【0025】
セル群9は夫々が光ディスク11を有する複数のセル12からなり、同様に、セル群10も夫々が光ディスク11を有する複数のセル13からなっている。また、セル群9には、そこでの光ディスク11を駆動するためのドライブ15が備え付けられており、同様に、セル群10にも、そこでの光ディスク11を駆動するためのドライブ16が備え付けられている。また、アクセッサ14は指定されたセル12または13とドライブ15または16との間で光ディスク11を搬送するものであり、セル群9,10で共通に使用される。
【0026】
かかるディスクライブラリ3において、例えば、セル12a,13a,12bの順にアクセスの要求があったとすると、制御ソフト1aの制御のもとに、次のようにシーケンス処理が行なわれる。
【0027】
(1)まず、アクセッサ14がセル群9のセル12aまで移動し、このセル12aの光ディスク11を取り込んでドライブ15まで搬送し(処理S10)、この光ディスク11をドライブしてI/O処理を行なう。
【0028】
(2)上記処理S10が終わると、アクセッサ14はセル群10のセル13aまで移動し、このセル13aの光ディスク11を取り込んでドライブ16まで搬送する(処理S11)。ドライブ16は、ドライブ15でのセル12aからの光ディスク11のドライブの終了を待って、このセル13aからの光ディスク11をドライブし、I/O処理を行なう。
【0029】
(3)ドライブ15が先のセル12aからの光ディスク11のドライブを終了すると、アクセッサ14がドライブ15での光ディスク11を取り込んでセル12aまで搬送し(処理S12)、このセル12aに返す。
【0030】
(4)次いで、アクセッサ14はセル群9のセル12bまで移動し、このセル12bの光ディスク11を取り込んでドライブ15まで搬送する(処理S13)。そして、ドライブ15は、ドライブ16でのセル13aからの光ディスク11のドライブの終了を待ってこのセル12bからの光ディスク11をドライブし、I/O処理を行なう。
【0031】
次に、ディスクライブラリ3でのボリュームの通常のデータアクセス制御について説明する。
【0032】
図1において、ディスクライブラリ3でのファイルのディレクトリ構造は、ファイル管理情報として、運用DB1bに保持されており、ファイルは、通常、ディスクライブラリ3の光ディスクに保存されている。これら光ディスクは追記形の記憶媒体であるため、光ディスクに対してファイルの更新(即ち、アレイディスク2のキャッシュメモリから光ディスクへの更新済みファイルの書込み)があると、ディスクライブラリ3には、同じ内容のファイルが複数存在することになる。
【0033】
そこで、この実施形態では、これら複数存在する同一ファイルのうちの有効なファイル(最終の更新によるファイル)のデータアドレスをファイル管理情報として運用DB1bに保持し、このデータアドレスを用いることにより、目的する有効なファイルをアクセスすることができるようにしている。この点について、以下、図4により説明する。
【0034】
同図において、いま、ボリューム5の3個の光ディスク31,32,33を対象とし、光ディスク31,32では、データ記憶可能領域の全体にデータ(ファイル)が記憶されており、光ディスク33では、そのデータ記憶可能領域の一部にデータが記憶されていて記憶領域17をなし、それ以外の領域は空き領域となっている。
【0035】
そこで、いま、光ディスク31に格納されているファイル18の更新要求101があったとすると、制御ソフト1a(図1)の制御のもとに、このファイル18を更新した新たなファイル(更新済みファイル)18’を光ディスク33の記憶領域17に続く空き領域に書き込み(処理S20)、運用DB1bに保持されているファイル管理情報としての光ディスク31でのファイル18の物理アドレス(以下、LBAという)を光ディスク33でのファイル18’のLBAに変更する(処理S21)。これにより、光ディスク31でのファイル18は無効となり、これに代わって、光ディスク33でのファイル18’が有効となる。しかし、このファイル18は光ディスク31に記憶されたままで残される。
【0036】
また、光ディスク31に保存されているファイル19が長時間にわたる不使用のため、このファイルの削除要求102があると、制御ソフト1a(図1)の制御のもとに、運用DB1bでのファイル管理情報でのこのファイル19に関する情報が抹消される(処理S22)。これにより、ファイル19は無効となり、光ディスク31から削除されたことになる。この場合も、このファイル19は光ディスク31に記憶されたままで残される。
【0037】
さらに、ユーザからボリューム5に新たなファイル20を作成する要求103があった場合には、制御ソフト1a(図1)の制御のもとに、この新たなファイル20が光ディスク33の記憶領域17に続く空き領域に書き込み(処理S23)、運用DB1bに保持されているファイル管理情報に、光ディスク33の空き領域に格納されたファイル19に関するLBAなどのファイル管理情報が追加される(処理S24)。
【0038】
なお、運用DB1bのファイル管理情報としては、ファイル更新,削除,作成などを行なったユーザのユーザ情報(アクセスユーザ情報)も記録されている。これにより、誰がファイルの作成,更新などを行なったかを検証することができる。
【0039】
次に、図5により、この実施形態でのアクセスログの設定について説明する。
【0040】
同図において、ここでは、ボリューム5の3個の光ディスク31,32,33を対象とする。また、アクセスログ保存用記憶媒体21も設けられている。かかる記憶媒体21としては、追記形の記憶媒体であってよいが、好ましくは、磁気ディスクや磁気テープなどの書き換え可能な記憶媒体を用いる。これは、繰り返しアクセスログの書込みができるようにするためである。但し、書き換え可能な記憶媒体を用いる場合であっても、アクセスログの書込みは、これから説明するように、追記方式で行なう。
【0041】
いま、光ディスク31,32,33のデータ記憶可能領域が全て空き領域の状態にあり、この状態でファイル0の作成の要求202があると、制御ソフト1a(図1)の制御のもとに、先頭の光ディスク31の空き領域の先頭にこのファイル0の書込みが行なわれ(処理S30。なお、この場合、上記のように、キャッシュメモリ2a(図1)を介してこの書込みが行なわれる)、これとともに、アクセスログ保存用記憶媒体21の空き領域の先頭に、新規なファイル0の作成(CR)を示すアクセスログ22aが書き込まれる(処理S31)。アクセスログ保存用記憶媒体21に書き込まれるアクセスログは、後述するように、検証されるが、この場合、このアクセスログ22aには、これが未検証であることを示す検証フラグ(以下では、これを検証フラグ「未」として示すことにする)が設定される。
【0042】
その後、同様にして、光ディスク31にファイルの作成などが順次なされ(これに対するアクセスログは省略している)、光ディスク31全体が塞がって、ファイル0の更新の要求203があると、制御ソフト1aの制御のもとに、光ディスク31からファイル0が読み出され(処理S32)、その後、このファイル0がボリューム5の空き領域の先頭(この場合、光ディスク32のデータ記憶可能領域の先頭)に書き込まれる(処理S33)。そして、これとともに、アクセスログ保存用記憶媒体21の空き領域の先頭に、ファイル0の更新(UP)を示すアクセスログ22bが書き込まれる(処理S34)。この場合も、このアクセスログ22aには、これが未検証であることを示す検証フラグ「未」が設定される。
【0043】
この更新とは、ボリューム5に既に格納されているファイルを別の場所(アドレス)に入れ換える(更新する)ことであり、これは、先に説明したように、アクセス頻度が高いファイルを光ディスクから読み出してアレイディスク2のキャッシュメモリ2aに移し換え、このファイルを光ディスクから読み出す代わりにこのキャッシュメモリ2aから読み出すようにする場合、その後、このキャッシュメモリ2aから光ディスクに戻す場合に行なわれる。
【0044】
外部からのファイルの要求に対して直接ボリュームをアクセスすることを参照というが、ファイル0の参照の要求204があると、制御ソフト1aの制御のもとに、この場合、光ディスク32に保存されている更新されたファイル0が読み出され(処理S35)、これとともに、アクセスログ保存用記憶媒体21の空き領域の先頭に、ファイル0の参照(RF)を示すアクセスログ22cが書き込まれる(処理S36)。これに対しては、検証フラグは設定されない。
【0045】
ファイル0の削除の要求205があると、制御ソフト1aの制御のもとに、アクセスログ保存用記憶媒体21の空き領域の先頭に、ファイル0の削除(DL)を示すアクセスログ22dが書き込まれる(処理S37)。これに対しても、検証フラグは設定されない。
【0046】
このように、アクセスログは順次追記されるものであって、ボリューム5の光ディスクにファイルの書込みが行なわれる作成や更新の場合には、これに対してアクセスログ保存用記憶媒体21に書き込まれるアクセスログには、検証フラグも設定されるが、書込みが行なわれない参照や削除の場合には、かかる検証フラグは設定されない。この検証フラグは、ファイルが正しく書き込まれたことを検証し、ファイルの改ざんを検出することができるようにするためのものであり、ファイルの書込みが行なわれない参照や削除では、不要のものである。
【0047】
図6は上記ボリューム5のデータ構成を示す図である。
【0048】
ボリューム5は、図2で説明したように、複数の光ディスクのデータ記憶可能領域の全体からなるものであって、図6(a)に示すように、かかる一連のデータ記憶可能領域の先頭部にそれを示すヘッダ部が設けられ、それ以外の領域は、図6(b)に示すように、ファイルが記憶されるデータ部をなしている。かかるデータ部のうちのファイルがいまだ記憶されない領域が空き領域である。このデータ部では、上記のように、上記の作成や更新による新たなファイルは空き領域の先頭部に格納されることになる。各ファイルは、図6(c)に示すように、管理情報とファイルの情報内容を示すデータとからなっている。そして、この管理情報は、図6(d)に示すように、このファイルのファイル名やファイルサイズ,このファイルの作成日時,このファイルの属性やアクセス情報などからなっている。
【0049】
図7は図5に示すアクセスログ保存用記憶媒体21でのデータ構成を示す図である。
【0050】
アクセスログ保存用記憶媒体21では、図7(a)に示すように、そのデータ記憶可能領域の先頭にヘッダ部が設けられ、これに続いて、図7(b)に示すように、アクセスログが記憶されるデータ部となっている。新たなアクセスログは、このデータ部の先頭に記憶される。そして、各アクセスログは、図7(c)に示すように、作成や更新,参照,削除といったアクセスの種別を示す「アクセス種別」欄と、更新前のファイルに関する情報を記録する「更新前」欄と、更新後のファイルに関する情報を記録する「更新後」欄と、検証フラグを記録する「検証フラグ」欄とからなっており、「更新前」欄には更新前の、「更新後」欄には更新後の夫々、該当するファイルのファイル名やファイルサイズ、このファイルの作成日時、媒体ID(Identification)、LBAが記録される。
【0051】
ここで、アクセスログでの「更新前」欄と「更新後」欄とでのファイル名とファイルサイズとは必ずしも同一ではなく、また、「更新前」欄と「更新後」欄との作成日時は異なっているが、この「更新後」欄とのファイル名やファイルサイズ,作成日時は、このアクセスログに該当した光ディスクに格納されているファイルの管理情報(図6(c))でのファイル名,ファイルサイズ,作成日時と同一である。
【0052】
また、ファイルの作成の場合には、ボリューム5に新規にファイルが書き込まれることになるので、更新前のデータはなく、これに対するアクセスログの「更新前」欄には、何も記録されない。
【0053】
なお、参照「RF」や削除「DL」のアクセスログにも、検証フラグが「未」として設定されてもよいが、この場合には、アクセスログのアクセス種別が参照「RF」,削除「DL」であることにより、後述するアクセスログの検証の際、このアクセスログの検証フラグを無視するようにする。
【0054】
次に、図8により、この実施形態でのアクセスログの検証方法について説明する。
【0055】
図8(a)に示すように、ここでは、ボリューム5の3個の光ディスク31,32,33について説明するものとし、ファイル0が光ディスク31で作成されて、その後、光ディスク32で更新,参照,削除されているものとする。また、光ディスク31では、ファイル0の作成後、ファイル1が作成され、光ディスク32では、ファイル0の更新,参照,削除後、ファイル2が作成されているものとする。従って、アクセスログ保存用記憶媒体21では、図示する順で、アクセス種別が「CR(作成)」のファイル0のアクセスログ22a,アクセス種別が「CR」のファイル1のアクセスログ22b,アクセス種別が「UP(更新)」のファイル0のアクセスログ22c,アクセス種別が「RF(参照)」のファイル0のアクセスログ22d,アクセス種別が「DL(削除)」のファイル0のアクセスログ22e及びアクセス種別が「CR」のファイル2のアクセスログ22fが記憶され、アクセスログ22a,22b,22c及び22fに検証フラグ「未」が設定される。
【0056】
ここで、アクセスログ22aには、図8(b)に示すように、アクセス種別として、「CR」が設定され、また、「更新後」欄に図7(b)に示すようなデータが記憶されている。アクセスログ22b,22fも同様であるが、アクセスログ22c,22dでは、「更新前」欄と「更新後」欄にデータが記憶されている。アクセスログ22cでは、図8(b)に示す「更新後」欄のデータが「更新前」欄に記憶され、光ディスク32上のファイル0に関するデータが「更新後」欄に記憶される。また、アクセスログ22dでは、「更新前」,「更新後」欄に記憶されるデータは同じである。アクセスログ22eでは、「更新前」欄に光ディスク32上のファイル0に関するデータが記憶され、「更新後」欄には、データは記憶されない。
【0057】
かかる状態でアクセスログを検証する場合には、アクセスログ保存用記憶媒体21に記憶された順に先頭からアクセスログの検証を行なう。
【0058】
即ち、図8(a)においては、まず、アクセスログ22aの検証を行なうのであるが、このために、アクセスログ保存用記憶媒体21からアクセスログ22aを読み出し、その媒体ID22a1が「光ディスク31」を表わしていることから、このアクセスログ22aに対するファイル0の作成(CR)が光ディスク31で行なわれたものと判定し、また、アクセスログ22aのLBA22a2がアドレス「0」を示していることから、この光ディスク31のアドレス0からアクセスログ22aに記載のファイルサイズ分のデータを読み出す。そして、このように読み出したファイル0の管理情報(図6)での「ファイル名」,「ファイルサイズ」,「作成日時」とアクセスログ22aの「更新後」欄に記載の「ファイル名」,「ファイルサイズ」,「作成日時」とを照合することにより、アクセスログ22aを検証し、これらデータが全て等しいとき、アクセスログ22aが光ディスク31上の実際のデータとの照合がとれたものとして検証が終了し、このアクセスログ22aの検証フラグを「未」から検証済みを示す内容(ここでは、「済」と表わすことにする)に書き換える(以上、処理S40)。
【0059】
次に、アクセスログ22bの検証を行なう。この場合も、このアクセスログ22bをアクセスログ保存用記憶媒体21から読み出し、この読み出したアクセスログ22bの「更新後」欄のデータに基づいて光ディスク31からファイル1を読み出し、このファイル1の管理情報の「ファイル名」,「ファイルサイズ」,「作成日時」とアクセスログ22bの「更新後」欄に記載の「ファイル名」,「ファイルサイズ」,「作成日時」とを照合することにより、アクセスログ22bを検証する。これらが一致する場合には、検証済みとして、アクセスログ22bの検証フラグを「未」から「済」に書き換える(以上、処理S41)。
【0060】
次に、アクセスログ22cの検証を行なう。この場合も、このアクセスログ22cをアクセスログ保存用記憶媒体21から読み出し、この読み出したアクセスログ22cの「更新後」欄のデータに基づいて光ディスク32からファイル0を読み出し、このファイル0の管理情報の「ファイル名」,「ファイルサイズ」,「作成日時」とアクセスログ22cの「更新後」欄に記載の「ファイル名」,「ファイルサイズ」,「作成日時」とを照合することにより、アクセスログ22cを検証する。これらが一致する場合には、検証済みとして、アクセスログ22cの検証フラグを「未」から「済」に書き換える(以上、処理S42)。
【0061】
アクセスログ22d,22eについては、検証を行なわず、次に、アクセスログ22fについて、上記と同様の検証を行なう(処理S43)。
【0062】
図9はアクセスログ保存用記憶媒体21でアクセスログの改ざんが行なわれた状態を示す図である。
【0063】
同図において、ボリューム5の光ディスク31〜33でファイル0の作成(CR),ファイル1の作成(CR),ファイル0の更新(UP),ファイル0の参照(RF),ファイル0の削除(DL),ファイル2の作成(CR),ファイル3の作成(CR)がこの順で行なわれ、それらのアクセスログで検証が行なわれ、作成(CR)や更新(UP)のアクセスログ22a,22b,22c,22f,22gについて、これらの検証フラグが「済」に設定されているものとする。ボリューム5の網掛け部分がアクセスログの検証済みである。
【0064】
ここで、このように検証済みのファイルは正しいので、再度検証する必要はなく、このため、アクセスログ保存用記憶媒体21のアクセスログを新ためて検証する場合には、検証済みのアクセスログを飛ばしてかかるアクセスログの検証を繰り返さないようにする。このために、検証済みの最後のアクセスログのアクセスログ保存用記憶媒体21でのアドレスを確保しておき、次にアクセスログの新たな検証を行なうときには、この確保したアドレスを参照して、未検証の最初のアクセスログから検証を行なうようにする。
【0065】
かかる状態において、ファイル2を、ファイル3に続けて、光ディスク33に更新したとすると、このファイル3の更新に対するアクセスログ22hが、検証フラグ「未」の更新「UP」のアクセスログとして、アクセスログ保存用記憶媒体21にアクセスログ22gに続けて書き込まれる。
【0066】
ここで、アクセスログ保存用記憶媒体21として書き換え可能な記録媒体が用いられるものとすると、アクセスログ22hが検証される前に、外部から通常の手段によらずに不当にアクセスログ保存用記憶媒体21のデータが改ざんされることも考えられる。この実施形態は、かかる改ざんを検知することができるようにしている。
【0067】
いま、図9に示す検証済み後にファイル2の更新が行なわれ、これとともに、これに対するアクセスログ22hがアクセスログ保存用記憶媒体21に追記された状態で、アクセスログ保存用記憶媒体21でデータの改ざんがあり、アクセスログ22hが削除されてしまったものとする。その後、アクセスログの検証が実行されると、検証済みのアクセスログ22gの次に未検証のアクセスログがないため、この実施形態では、検証済みの最後のアクセスログ22gからボリューム5でのファイル3の最終アドレスを検出し、この最終アドレスに続いてファイルがあるか否かを確認する。この場合、更新されたファイル2があるので、これを読み出し、このファイル2の管理情報(図6(c),(d))をもとに、このファイル2のみ検証のアクセスログをアクセスログ保存用記憶媒体21で探索する。この探索は、アクセスログ保存用記憶媒体21での削除されたアクセスログ22hの後にも、アクセスログが存在することもあり得るので(この場合には、これらアクセスログに対するファイルがボリューム5に格納されている)、行なうものである。この場合には、この更新されたファイル2に対するアクセスログ22hが削除されているので、このファイル2に対するアクセスログを見つけることができない。
【0068】
従って、この場合には、アクセスログ保存用記憶媒体21でデータが改ざんされたものと判定する。かかる判定があると、アクセスログ保存用記憶媒体21の全体が信用できないものとなり、ひいては、ボリューム5に格納されているファイルは使用できないものとする。
【0069】
また、アクセスログ22hは消されていないが、その情報内容が変更される場合もありえる。このような場合には、上記のようにしてこのアクセスログ22hの検証を行なうが、このアクセスログ22hの内容に一致した管理情報のファイルをボリューム5から見つけ出すことができず、この場合も、アクセスログ保存用記憶媒体21でデータが改ざんされたものと判定する。
【0070】
このようにして、アクセスログの改ざんを検出することができるものであるが、アクセスログの改ざんとして、検証済みのアクセスログの書換えや削除が行なわれた場合には、そのアクセスログの検証は終了しており、これに該当するファイルは正しく格納されていて、これに対しては再度の検証を行なうこともないので、問題とはしないものとする。
【0071】
以上は、アクセスログ保存用記憶媒体21として書き換え可能な記憶媒体を用いた場合であるが、追記形の記憶媒体を用いた場合も、同様にして、アクセスログ保存用記憶媒体21の改ざんを検出することができる。例えば、ファイルを作成,更新,参照あるいは削除する場合に、特殊な手法でもってアクセスログ保存用記憶媒体21にアクセスログの書込みができないようになされることも考えられる。このような場合でも、ボリュームにファイルが存在しながら、アクセスログ保存用記憶媒体21にこれに対するアクセスログが存在しないことになるので、上記のようにして改ざんを検知することができる。
【0072】
図10は以上のアクセスログの改ざん検出の一連の動作を示すフローチャートである。
【0073】
同図において、改ざん検出のスケジュールに入ると(ステップ300)、アクセスログ保存用記憶媒体21での未検証の先頭のアクセスログを検索し(ステップ301)、未検証の先頭のアクセスログが見つかると(ステップ302)、このアクセスログに対するファイルをボリューム5から読み取り(ステップ303)、このファイルの管理情報とアクセスログの情報とを照合する(ステップ304)。これらが一致した場合には、このアクセスログの検証フラグを「未」から「済」に書き換えてステップ300に戻り、次の未検証アクセスログの検証に移るが、ステップ304の照合の結果、ファイルの管理情報とアクセスログの情報とが一致しない場合には、アクセスログ保存用記憶媒体21でのデータの改ざんがあったとして(ステップ305)、動作を終了する。
【0074】
また、ステップ302の処理で未検証の先頭のアクセスログが見つからない場合には、アクセスログが未検証のファイルがあるか否か探索し(ステップ306)、ファイルがなければ、アクセスログ保存用記憶媒体21でのデータの改ざんはないとして(ステップ307)、動作を終了するが、ファイルがある場合には、アクセスログ保存用記憶媒体21でのデータの改ざんがあったとして(ステップ305)、動作を終了する。
【0075】
以上のように、この実施形態では、アクセスログの検証という通常の運用内で、アクセスログの改ざんの有無を検出することができる。
【0076】
なお、上記実施形態では、ディスクライブラリ3を形成する記憶媒体を光ディスクとしたが、DVDなどの他の追記形の記憶媒体であってもよいし、また、磁気ディスクのような書き換え可能な記憶媒体であっても、追記形として使用可能な記憶媒体であってもよい。
【0077】
【発明の効果】
以上説明したように、本発明によれば、ファイルの改ざんを検知するために設けられたアクセスログの改ざんを検知することができ、保管したデータの信頼性がより向上する。
【0078】
また、スケジューリングにより、アクセスログの改ざんの検知処理を通常の運用内で自動的に行なうことができ、管理者やオペレータの介入も不要として、管理面,経済面で有利となる。
【図面の簡単な説明】
【図1】本発明による改ざん検知機能を有するデータ保管システムの一実施形態を示す構成図である。
【図2】図1におけるディスクライブラリのボリュームでのファイル書込み,読出し動作を説明するための図である。
【図3】図1におけるディスクライブラリのボリュームの概略構成とその動作を示す図である。
【図4】図1におけるディスクライブラリでのボリュームのファイル更新,ファイル削除,ファイル作成の各動作を示す図である。
【図5】図1に示す実施形態でのファイル作成,ファイル更新,ファイル参照,ファイル削除に対するアクセスログの設定を説明するための図である。
【図6】図1におけるディスクライブラリでのボリュームでの記憶フォーマットの1具体例を示す図である。
【図7】図5におけるアクセスログ保存用記憶媒体での記憶フォーマットの1具体例を示す図である。
【図8】図1に示した実施形態でのアクセスログの検証方法を示す図である。
【図9】図1に示した実施形態でのアクセスログの改ざんの検出方法を示す図である。
【図10】図1に示した実施形態でのアクセスログの検証とアクセスログの改ざん検出との動作を示すフローチャートである。
【符号の説明】
1 サーバ
1a 制御ソフト
1b 運用データベース
2 アレイディスク
2a ハードディスク(キャッシュメモリ)
3 ディスクライブラリ
31〜3n 光ディスク
4a,4b インターフェースケーブル
5 ボリューム
9,10 セル群
11 光ディスク
12,12a,12b,13,13a セル
14 アクセッサ
15,16 ドライブ
21 アクセスログ保存用記憶媒体
22a〜22h アクセスログ
Claims (5)
- データが書き込まれて記憶されたまま残される追記形の記憶媒体からなる記憶媒体ライブラリと、該記憶媒体ライブラリイに書き込まれるデータに対するアクセスログが追記されるアクセスログ保存用記憶媒体とを備えたデータ保管システムにおいて、
該記憶媒体ライブラリに記憶された該データに対する該アクセスログ保存用記憶媒体での該アクセスログの有無を判定することにより、該アクセスログ保存用記憶媒体での改ざんの有無を検出することを特徴とするデータ保管システム。 - データが書き込まれて記憶されたまま残される追記形の記憶媒体からなる記憶媒体ライブラリと、該記憶媒体ライブラリイに書き込まれるデータに対するアクセスログが追記されるアクセスログ保存用記憶媒体とを備えたデータ保管システムにおいて、
該アクセスログ保存用記憶媒体での該アクセスログに対する該記憶媒体ライブラリでの該データの有無を判定することにより、該アクセスログ保存用記憶媒体での改ざんの有無を検出することを特徴とするデータ保管システム。 - 請求項1または2において、
前記アクセスログ保存用記憶媒体に記憶される前記アクセスログ毎に検証フラグを設定し、
前記アクセスログに対する前記データが前記記憶媒体ライブラリに存在するか否かの検証を前記アクセスログに対して行なうことにより、前記アクセスログに対する前記データが前記記憶媒体ライブラリに存在するとき、前記検証フラグを検証済みとし、
前記検証フラグが検証済みである前記アクセスログに対しては、検証処理を省略することを特徴とするデータ保管システム。 - 請求項1,2または3において、
前記アクセスログ保存用記憶媒体は、書き換え可能な記憶媒体であることを特徴とするデータ保管システム。 - 請求項1,2または3において、
前記アクセスログ保存用記憶媒体は、追記形の記憶媒体であることを特徴とするデータ保管システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000388997A JP3936839B2 (ja) | 2000-12-21 | 2000-12-21 | データ保管システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000388997A JP3936839B2 (ja) | 2000-12-21 | 2000-12-21 | データ保管システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2002189634A JP2002189634A (ja) | 2002-07-05 |
JP3936839B2 true JP3936839B2 (ja) | 2007-06-27 |
Family
ID=18855639
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000388997A Expired - Fee Related JP3936839B2 (ja) | 2000-12-21 | 2000-12-21 | データ保管システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3936839B2 (ja) |
-
2000
- 2000-12-21 JP JP2000388997A patent/JP3936839B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2002189634A (ja) | 2002-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0479535B1 (en) | File managing method | |
CN100470548C (zh) | 管理隐藏区域的装置和方法 | |
US7904426B2 (en) | System and method for identifying a removable storage device | |
US7624275B2 (en) | Disk drive, control method thereof and disk-falsification detection method | |
CN1957414B (zh) | 一次写入盘的数据记录/再现 | |
US7864478B2 (en) | Verification of a tape data storage cartridge | |
JPH05313980A (ja) | 情報記録方法 | |
US7502284B2 (en) | Methods for optical disc sector verification | |
JPH1139801A (ja) | 情報記録方法 | |
JP2002074832A (ja) | データ改竄チェック装置および方法、ならびに、記録媒体 | |
JP3936839B2 (ja) | データ保管システム | |
JP2891877B2 (ja) | 記録媒体及び電子出版物利用システム及び処理方法 | |
JPH0876935A (ja) | バックアップデータ作成再生システム | |
JPH03192436A (ja) | 情報記録再生方式 | |
JPH03217972A (ja) | ファイル検索装置 | |
CN100562937C (zh) | 一次写入型光盘的数据记录方法和装置 | |
JPH11175380A (ja) | 情報再生方法 | |
JP2002297431A (ja) | 追記型記憶媒体ボリュームの再編成処理方法 | |
JPH0357037A (ja) | フアイル管理装置 | |
JPH1186512A (ja) | 光ディスクのデータ書換方法 | |
US7634172B1 (en) | Methods for recording multiple sessions on a rewritable DVD disc | |
JPH08212121A (ja) | 情報記録方法 | |
JP2004021632A (ja) | 記録媒体の未使用領域を有する記録単位に対して特定の情報を記録再生する方法 | |
JPH0325636A (ja) | データレコードの管理方法 | |
JP2982923B2 (ja) | ファイル管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060317 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060627 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060825 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070313 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070326 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130330 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |