JP4091139B2 - データ保存装置及びデータ保存方法 - Google Patents
データ保存装置及びデータ保存方法 Download PDFInfo
- Publication number
- JP4091139B2 JP4091139B2 JP09263097A JP9263097A JP4091139B2 JP 4091139 B2 JP4091139 B2 JP 4091139B2 JP 09263097 A JP09263097 A JP 09263097A JP 9263097 A JP9263097 A JP 9263097A JP 4091139 B2 JP4091139 B2 JP 4091139B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- authenticator
- recording medium
- information
- medium
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Indexing, Searching, Synchronizing, And The Amount Of Synchronization Travel Of Record Carriers (AREA)
- Storage Device Security (AREA)
- Signal Processing For Digital Recording And Reproducing (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、データ保存装置およびデータ保存方法に関し、例えば、光磁気ディスクなどの、書換可能であり、かつ、交換可能な記録媒体へデータを保存するデータ保存装置およびデータ保存方法に関する。
【0002】
【従来の技術】
近年、各種の情報が、電子化されて記録媒体内に保存され、再利用されるようになってきている。情報の格納に使用されている記録媒体としては、さまざまなものがあるが、大容量の記憶が可能であり、かつ、書換可能な記録媒体である光磁気ディスク(MO)が、最近、盛んに使用されるようになってきている。
【0003】
【発明が解決しようとする課題】
光磁気ディスクは、書換可能な記録媒体であるため用途が広いという利点を有するが、書換可能であるが故に、データの改竄や、日付データの改竄が容易であるという欠点も有していた。また、交換可能な記録媒体であるために、不都合なデータが記憶された媒体を廃棄してしまい、その代わりに、改竄データを記録した別媒体を用意するといったことも可能となっていた。その結果として、光磁気ディスクなどの書換可能であり、かつ、交換可能な記録媒体へ記録されたデータは、書類に印刷されたデータ等に比して、データの作成日付や内容が改竄されていないものであることを証明することが難しいものとなっていた。
【0004】
そこで、本発明の第1の課題は、書換可能であり、かつ、交換可能な記録媒体へ、データをその作成日時が証明できる形態で保存することが出来るデータ保存装置、データ保存方法を提供することにある。
【0005】
また、本発明の第2の課題は、記録媒体が不正廃棄された場合、そのことを検出できるデータ保存装置、データ保存方法を提供することにある。
【0006】
【課題を解決するための手段】
本発明は、上記第1の課題を解決するために、着脱可能であり、かつ、書換可能な記録媒体にデータを保存するためのデータ保存装置を、時間情報を出力する手段であって、出力する時間情報の調整が行えない時間情報出力手段と、データの書込要求を受けたときに、そのデータと時間情報出力手段が出力する時間情報を含む情報を入力としたハッシュ関数処理値を求めることによって、データの認証子を作成する認証子作成手段と、この認証子作成手段によって作成された認証子と、その認証子の作成に用いられたデータと時間情報とを、記録媒体に書き込む書込手段とを用いて構成する。
【0007】
このデータ保存装置によれば、記録媒体へのデータの書込時には、出力する時間情報の調整が行えない時間情報出力手段からの時間情報と、その時間情報とデータとを用いて作成された認証子もが記録媒体に書き込まれるので、データをその作成日時が証明できる形態で(データ改竄等が行われた場合には、そのことが検出できる形態で)保存することが出来ることになる。
【0008】
なお、本発明によるデータ保存装置を実現する際には、認証子作成手段として、記録媒体に記憶されている媒体識別情報と、データと時間情報を含む情報を入力としたハッシュ関数処理値を求めることによって、データの認証子を作成する手段を用いることが出来る。
【0009】
そのような認証子作成手段を採用する場合には、さらに、記記録媒体に記憶された複数のデータに関する認証子からなる情報を入力としたハッシュ関数処理値を求めることによって、それら複数のデータからなるデータグループに関する認証子である累積認証子を作成する累積認証子作成手段と、この累積認証子作成手段によって作成された累積認証子を、データグループとの対応関係がわかる形態で記録媒体に書き込む累積認証子書込手段とを付加しても良い。
【0010】
また、書込手段を、記録媒体のデータの記憶に用いられていない領域のみにデータの書き込みを行う手段としておくと共に、記録媒体に書き込むべきデータの作成者情報を取得する作成者情報取得手段と、この作成者情報取得手段によって取得された作成者取得情報を、書込手段によって記録媒体に記憶された認証子及び時間情報と共に記憶する記憶手段と、記録媒体が初版媒体であった場合において所定の条件が満たされたときに、記録媒体に記憶された全てのデータに関する認証子を含む情報を入力としたハッシュ関数処理値である累積認証子と、記憶手段に記憶された情報と、記録媒体の媒体識別情報とを含む履歴情報を、記録媒体に書き込む第1履歴情報・累積認証子書込手段と、記録媒体が初版媒体でなかった場合において所定の条件が満たされたときに、その記録媒体の一世代前の記録媒体である前世代記録媒体に記憶された履歴情報と累積認証子を取得し、記録媒体に記憶された全てのデータに関する認証子と全世代記録媒体に記憶されていた累積認証子を含む情報を入力としたハッシュ関数処理値である累積認証子を求め、求めた累積認証子と、記憶手段に記憶された情報と、記録媒体の媒体識別情報とを含む履歴情報を、記録媒体に書き込む第2履歴情報・累積認証子書込手段とを付加して、データ保存装置を構成することも出来る。
【0011】
このように本発明のデータ保存装置を構成した場合には、上記第2の課題をも解決できることになる。
【0012】
【発明の実施の形態】
以下、本発明の一実施形態を、図面を参照して具体的に説明する。
実施形態のデータ保存装置は、光磁気ディスク(以下、MOと表記する)にデータを保存する装置であり、一般媒体処理機能と保存目的媒体処理機能(追記録機能)と名付けた機能を有している。ここでは、まず、一般媒体処理時における実施形態のデータ保存装置によるデータ保存方法の概要を説明する。
【0013】
図1に模式的に示したように、一般媒体処理時、本データ保存装置は、データ“DATA”をMO内に保存する際、データ保存装置内部に備えられたタンパーフリー時計の出力である日付データ“DATE”と、履歴情報“LOG”をも、その“DATA”と対応づけてMO内に保存する。さらに、データ保存装置は、MOに予め与えられている媒体ID“MID”とデータ“DATA”と日付データ“DATE”と履歴情報“LOG”とを入力としたときのハッシュ関数出力を得て、そのハッシュ関数出力を、データ“DATA”に関するデジタル署名“CS”として、MO内に保存する。なお、あるデータの伝送やコピーは、媒体ID、データ、日付、履歴情報、デジタル署名からなる情報単位で行う。
【0014】
また、履歴情報“LOG”としては、図2に模式的に示したような、データの作成履歴、コピー履歴を表す情報が記憶される。また、デジタル署名“CS”は、図3(a)に示したISO8731−1に基づく構成を有する機構を用いて得られている。すなわち、デジタル署名を取得すべきデータが、nブロック分のデータ(D1〜Dn)であった場合、図3(b)に示したように、まず、最初のブロックデータD1が、DESにより暗号化され、データC1が得られる。次いで、そのデータC1と、次のブロックデータD2のEORが、再度、DESにより暗号化され、データC2が得られる。その後、同様の処理が、データCi-1とブロックデータCi(i=3〜n)に対して繰り返され、データCn-1とブロックデータCnとが関係する暗号化結果(64ビット)の上位32ビットが、トランケートにより取り出され、デジタル署名“CS”とされている。
【0015】
そして、データ検証時には、図4に模式的に示したように、MO内に保存されている“MID”と、“DATA”と、その“DATA”に関する“DATE”及び“LOG”を入力としたときのハッシュ関数出力を得る。そして、そのハッシュ関数出力を、MO内のその“DATA”に関する“CS”と比較することによって、“DATA”に対する改竄の有無を判定する。すなわち、ハッシュ関数出力と“CS”とが一致している場合には、“DATA”に対する改竄がなされていないと判定し、両者が一致していない場合には、改竄がなされていると判定する。
【0016】
実施形態のデータ保存装置は、上述したようなデータの保存、検証機能に加えて、累積認証子生成機能を有する。以下、機能ブロック図等を用いて、実施形態のデータ保存装置の累積認証子生成機能を説明するとともに、データ保存機能、データ検証機能を、さらに具体的に説明する。
【0017】
図5に、実施形態のデータ保存装置の機能ブロック図を示す。なお、この機能ブロック図は、MOへのデータ保存時(署名時)の機能のみを示した機能ブロックとなっている。ただし、図では、履歴情報に関する表記を省略してある。
【0018】
図示したように、実施形態のデータ保存装置は、MOドライブ11を備えたパーソナルコンピュータ(パソコン)12に、認証子の生成を担当する書類管理PCカード13を接続することによって実現されている。
【0019】
MOへのデータ保存時、キーボード14を利用して作成されたDATAは、PC12によって、MOドライブ11内のMOに書き込まれる。PC12は、DATAのMOへの書込と共に、MO内に記憶されている媒体IDとそのDATAとを、書類管理PCカード13に供給する。媒体ID、DATAは、書類管理PCカード13内の認証子生成機構22に供給され、認証子生成機構22は、供給されたデータを用いて、認証子MACを生成するための処理を開始する。書類管理PCカード13は、DATAの受信完了後、タンパーフリー時計21の出力(TIME)を、PC12並びに認証子生成機構22に供給する。そして、媒体ID、DATA、TIMEの入力の結果として認証子生成機構22が出力する認証子MACを、PC12に供給するとともに、認証子格納メモリ23に格納する。TIME、MACの供給を受けたPC12は、それらのMOへの書き込みを行い、MO内に、DATAとTIMEとMACからなる情報が保存される。
【0020】
また、DATAの書込によりMO内にデータの記憶余地がなくなった場合、書類管理PCカード13によって、認証子格納メモリ23内に記憶されている認証子を用いた累積認証子(累積MAC、MAC tot)24の生成処理が行われ、MAC totが、PC12を介して、MOに書き込まれる。この累積認証子の生成処理は、認証子生成機構22を利用して行われる。
【0021】
以下、図6を用いて、書類管理PCカード13による認証子生成動作および累積認証子生成動作を詳細に説明する。なお、図6は、書類管理PCカード13の構成をより具体的に示した機能ブロック図であり、図中、鍵付きハッシング関数処理部と表記してあるブロックが、図5における認証子生成機構22に相当している。
【0022】
認証子の生成を行う際、セレクタ2は、入力切替制御信号によって、外部からのデータ入力を鍵付きハッシング処理部に供給するように制御される。また、セレクタ1は、出力切替制御信号によって、鍵付きハッシング処理部からのデータを、認証子メモリに供給するように制御され、その結果として、上述したような認証子生成並びに生成された認証子の認証子メモリへの格納が行われる。
【0023】
一方、累積認証子の生成を行う際には、セレクタ2は、入力切替制御信号によって、ゲート回路からのデータを鍵付きハッシング処理部に供給するように制御される。また、セレクタ1は、出力切替制御信号によって、鍵付きハッシング処理部からの出力される所定数のデータを認証子メモリに供給した後、鍵付きハッシング処理部から出力されるデータをMAC totとして出力するように制御される。そして、累積認証子生成処理の開始時、アドレスカウンタとゲート回路には、スタートパルスが与えられる。
【0024】
スタートパルスが与えられたアドレスカウンタは、認証子メモリに対して、内部に記憶されたMACを順次出力させるための制御を開始する。スタートパルスが与えられたゲート回路は、ON状態となり、認証子メモリからのMACをセレクタ2に供給する。その結果として鍵付きハッシング関数処理部が出力するデータは、セレクタ1を介してデータストローブ回路に入力される。MACカウンタは、データストローブ回路のストローブ信号出力をカウントし、そのカウント結果を比較器に出力する。比較器は、MACカウンタからのデータと、設定値とを比較し、両者が一致したときに、ストップパルスをアドレスカウンタとゲート回路に供給する。
【0025】
すなわち、累積認証子生成処理時、書類管理PCカード13内では、図7に示したようなタイミングで、累積認証子(MAC tot)が生成される。そして、生成されたMAC totがPC12によってMO内に保存されるので、MO内には、結局、図8に模式的に示したように、MO内に記憶されている全てのDATAに関するMACを用いて作成されたデジタル署名が、MAC totとして保存される。
【0026】
なお、実施形態のデータ保存装置は、このような、MO内の全てのデータに関係する累積認証子を付ける機能の他に、MO内のデータに対してグループ毎に累積認証子を付ける機能も有している。詳細については後述するが、この機能は、ほぼ、上述した累積認証子付与機能に、累積認証子を作成するデータを指定する機能を付加したものになっている。
【0027】
次に、図9に示した機能ブロック図を用いて、実施形態のデータ保存装置のデータ検証時の動作を説明する。
データ検証時、PC12は、検証を行うことを指示されたDATAと、そのDATAに関するTIMEとMACをMOから読み出して、書類管理PCカード13に供給する。書類管理PCカード13は、供給されたDATAとTIMEからMACを作成し、作成したMACを、供給されたMACと比較する。そして、両MACが一致していた場合には、当該DATAが改竄されていないデータであることを表示器に表示し、一致していなかった場合には、当該DATAが改竄されたデータであることを表示器に表示する。また、書類管理PCカード13は、同様の通知をPC12に対しても行う。
【0028】
また、累積認証子を用いた検証を行うことを指示された際、PC12は、MO内の全てのDATAとTIMEを読み出して、書類管理PCカード13に供給するとともに、MO内のMAC totを書類管理PCカード13に供給する。書類管理PCカード13は、供給された全てのDATAとTIMEとからMACを作成し、作成したMACを、供給されたMAC totと比較する。そして、両データが一致していた場合には、MO内の各DATAが改竄されていないデータであることを表示器に表示するとともに、その旨をPC12に通知する。一方、一致していなかった場合には、何らかの改竄がMOに対して行われていることを表示器に表示するとともに、その旨をPC12に通知する。
【0029】
実施形態のデータ保存装置は、以上説明したような機能に加え、保存目的媒体処理機能(追記録機能)を有している。この追記録機能を使用した際、データが保存されるMOには、そのMOの一世代前のMOに関する情報が保存される。
【0030】
以下、実施形態のデータ保存装置の追記録機能を具体的に説明する。追記録時、前述した書類管理PCカードは、追記録・署名・検証モジュールとして機能する。追記録・署名・検証モジュールが、1個のデータを保存する際の基本的な動作は、既に説明したものと同様のものである。ただし、追記録時には、版数も保存されるため、追記録・署名・検証モジュールは、以下のように動作する。
【0031】
最初のデータの記録時、追記録・署名・検証モジュールは、図10(a)に示したように、追記録・署名・検証モジュールは、媒体格納残量判定装置(PC12)から、データを格納できる容量が残っているか否かの通知を受ける(▲1▼)。残っていること(ON)を通知された追記録・署名・検証モジュールは、媒体IDと版数とデータを取得する(▲2▼〜▲4▼)。そして、媒体IDと版数とデータを取得した追記録・署名・検証モジュールは、日付と認証子を生成(▲5▼、▲6▼)する。すなわち、追記録・署名・検証モジュールは、図10(b)に模式的に示してあるように、タンパーフリー時計が出力する日付と、媒体ID、版数、データのハッシュ関数処理値(認証子)を出力する。そして、それらが、PCによってMOに書き込まれる。また、PCは、MOに書き込んだ版数、日付、認証子と、MOの媒体ID、MOに書き込んだデータの作成者情報(PCの使用者情報)からなる情報を、累積履歴情報の一要素として、ワーク媒体(実施形態のデータ保存装置ではハードディスク)に記憶する処理も行う。なお、累積履歴情報の詳細については後述する。
【0032】
次にデータの書込が行われる場合、図11(a)に示したように、追記録・署名・検証モジュールは、まず、媒体IDと版数とデータと日付と認証子を取得する(▲2▼〜▲6▼)。そして、認証子が他の情報に対応するものであることを確認した上で、版数の発行を行う(▲7▼)。すなわち、追記録・署名・検証モジュールは、図11(b)に模式的に示してあるように、PCから与えられた媒体ID、版数、データのハッシュ関数処理値(認証子)と、PCから与えられた認証子とが一致しているか否かを判定し、両者が一致していた場合には、版数に“1”を加えた値を、今回書き込むデータの版数として出力する。この後、追記録・署名・検証モジュール並びにPCは、図10を用いて説明したのと同じ処理を行うことによって、版数、データ、日付、認証子からなる情報を、MO内に記憶する。また、PCは、この場合も、MOに書き込んだ版数、日付、認証子と、MOの媒体ID、MOに書き込んだデータの作成者情報からなる情報を、累積履歴情報の一要素として、ワーク媒体に記憶する処理を行う。
【0033】
このような処理を繰り返した結果、MO内にデータの記憶余地がなくなると、図12(a)に示したように、媒体格納残量判定装置(PC)から追記録・署名・検証モジュールにその旨が通知される(▲1▼:OFF)。当該通知を受けた追記録・署名・検証モジュールは、最後の認証子の内容を取得する(▲2▼)。また、PCは、ワーク媒体に記憶されている累積履歴情報をMOに保存する(▲3▼)とともに、累積履歴情報を追記録・署名・検証モジュールに供給する(▲4▼)。追記録・署名・検証モジュールは、図12(b)に模式的に示したように、取得した累積認証子と累積履歴情報から累積認証子を生成する。そして、PCは、追記録・署名・検証モジュールが生成した累積認証子と終了コードをMOに書き込む(▲5▼、▲6▼)。
【0034】
以下、MOに保存される累積履歴情報、累積認証子を、さらに、具体的に説明する。なお、初版媒体と第二版以降の媒体では、累積履歴情報の内容が異なっているため、ここでは、3枚の媒体にわたって追記録が行われた場合を例に、MOに保存される累積履歴情報、累積認証子に関する説明を行うことにする。
【0035】
図13(a)に示してあるように、媒体IDが2125である初版媒体に、2個のデータが保存された場合、その媒体が初版媒体であることを示す通版001と、その媒体の媒体ID2125と、データ保存時に収集された2組の情報からなる累積履歴情報が記憶される。また、その累積履歴情報を用いて作成された認証子が累積認証子として記憶される。
【0036】
第二版媒体1003には、図13(b)に示したように、初版媒体ID2125の履歴情報と、媒体1003の履歴情報とからなる履歴情報が記憶される。そして、第二版媒体2108には、図13(c)に示したように、第二版媒体1003の履歴情報と、媒体2108の履歴情報とからなる履歴情報が記憶される。
【0037】
すなわち、図14に模式的に示したように、初版媒体には、自媒体の関する履歴情報が記憶され、初版媒体を除く各媒体には、一世代前の媒体の履歴情報と自媒体に関する履歴情報が記憶される。
【0038】
データ検証時のデータ読み出し処理は、図9等を用いて説明した手順と同様の手順で行われる。すなわち、図15(a)、(b)に示したように、追記録・署名・検証モジュールは、媒体ID、版数、データ、日付、認証子を取得し、媒体ID、版数、データ、日付のハッシュ関数処理値と認証子の値を比較する。そして、両者が一致していた場合には、改竄がなされていない旨を表示器に表示するとともに、PCに通知する。
【0039】
ここで、流れ図を用いて、上述した実施形態のデータ保存装置の動作の補足説明を行っておく。
図16に、MOへのデータ書込要求がなされた際のデータ保存装置の動作の流れを示す。既に説明したように、一般媒体処理と保存目的媒体処理とに大別されており、データ書込要求がなされたとき、PCは、セットされている媒体が保存目的媒体でない場合(ステップS101;N)には、一般媒体処理を実行する(ステップS102)。
【0040】
一方、セットされている媒体が保存目的媒体である場合(ステップS101;Y)において、その媒体が新規な媒体である場合(ステップS103;Y)、PCは、ワーク媒体に一世代前の保存媒体の累積履歴情報を格納する(ステップS104)。ワーク媒体の累積履歴情報から、一世代前の保存媒体の累積認証子が得られることを確認(ステップS105;Y)した上で、ステップS109に進む。当該累積認証子が得られなかった場合(ステップS105;N)には、ワーク媒体に一世代前の保存媒体の累積履歴情報を再格納(ステップS106)し、ステップS105に戻る。なお、セットされた媒体が初版媒体である場合、PCは、これらの処理を行わない。
【0041】
セットされている媒体が新規な媒体でなかった場合(ステップS103;N)、PCは、保存領域が確保されているか否かを判断する(ステップS107)。そして、保存領域が確保されていなかった場合(ステップS107;N)、PCは、容量不足通知を書類管理PCカード(追記録・署名・検証モジュール)に通知するとともに、表示し(ステップS108)、上述した累積履歴情報の保存処理を実行(ステップS109)、処理を終了する。なお、容量不足通知が表示された場合、ユーザによって、新たな媒体がMOドライブ11にセットされることになる。
【0042】
保存領域が確保されていた場合(ステップS107;Y)、PCは、ステップS110に進み、既に説明した手順によるデータ保存処理を実行(ステップS111)し、処理を終了する。なお、このステップで行われるデータ保存は、追記録であるので、当然のことではあるが、図17に示したように、MOに媒体IDが記憶されており、かつ、データを保存しようとしているブロックにユーザデータが存在していないことを確認できたときのみに行われる。
【0043】
最後に、一般媒体処理の一機能として用意されている、MO内のデータに対してグループ毎に累積認証子を付ける機能(以下、立体認証機能と表記する)の用途説明を行う。
【0044】
近年、盛んに使用されるようになってきたCALSなどでは、ある1データが、構造化データと、その管理情報とで表されている。構造化データが単純なものであった場合には、管理情報と構造化データとを組み合わせたものをデータとし、実施形態のデータ保存装置を用いて、そのデータに、日付、認証子等を付加し、それらを伝送すれば良いのであるが、一般に、構造化データは、構造的、あるいは、セキュリティレベル的に階層化された多数のオブジェクト情報を含む。また、各オブジェクト情報は、異なる者によって異なるコンピュータ上で内容更新が行われることが多い。このため、セキュリティレベルなどに応じた管理が各オブジェクト情報に対して行えることが望ましい。
【0045】
立体認証機能は、このような管理を可能とするために用意したものである。ここでは、データ送信時を例に、立体認証機能を説明することにする。
ユーザは、立体認証機能を用いたデータ送信を行う際、送信先を特定する情報、送信先に送信すべき幾つかのデータの識別情報等を、本装置に入力する。このような情報の入力を受けたデータ管理装置(パソコン12)は、図18に示したように、まず、送信が指示された1個以上の保存データ(データから認証子までのデータ)をMOから読み出す(ステップS201)。次いで、パソコン12は、送信を指示した者のユーザID等を認識し、そのユーザIDと、送信が指示された保存データの識別情報、送信元識別情報、送信先識別情報等を組み合わせて送信履歴情報用情報を作成する(ステップS202)。次いで、読み出した各保存データの認証子、作成した送信情報用情報を、書類管理PCカード13に供給する(ステップS203)。
【0046】
書類管理PCカード13は、パソコン12から供給された認証子、送信履歴情報用情報、タンパーフリー時計21のその時点における出力(時間情報)を、認証子生成部22に供給する(ステップS204)。そして、認証子生成部22にそれらの入力情報に基づき認証子を生成させ、認証子生成部22に供給した時間情報と、認証子生成部22が生成した認証子とをパソコン12に供給する(ステップS205)。
【0047】
時間情報と認証子の供給を受けたパソコン12は、送信が指示されている保存データが、送信履歴情報用情報に時間情報を付加した送信履歴情報並びに認証子と共に送信先に送信する(ステップS206)。そして、送信が正常に完了したことを確認した後に、送信履歴情報と認証子とをMOドライブ11に保存し(ステップS207)、処理を終了する。
【0048】
一方、ステップS206で送信されたデータを受信する、送信先に存在するデータ保存装置では、図19に示した手順で当該データが処理される。
まず、受信側データ保存装置を構成するパソコン12は、受信したデータに含まれる、末尾の認証子を除く認証子と送信履歴情報を、書類管理PCカード13に供給する(ステップS301)。書類管理PCカード13は、供給された情報のハッシュ値を求める(ステップS302)。その後、パソコン12は、受信したデータの末尾に含まれる認証子を書類管理PCカード13に供給する(ステップS303)。書類管理PCカード13は、その認証子とハッシュ値を比較し、両者が一致しているか否かを示す情報をパソコン12に対して出力する(ステップS304)。
【0049】
パソコン12は、両者が一致していないことを示す情報が入力された際(ステップS306;N)には、受信したデータを、改竄されたデータとして処理する(ステップS307)。具体的には、改竄データが受信されたことをユーザに通知し、その後、ユーザの指示内容に従って動作する。一方、両者が一致していないことを示す情報が入力された際(ステップS306;N)、パソコン12は、受信したデータを、MOドライブ11に保存し(ステップS308)、処理を終了する。
【0050】
なお、データの送信を伴わない立体認証機能が起動された場合、パソコン12は、ステップS202相当のステップにおいて、ユーザによって入力された複数の保存データの識別情報に基づき、送信元、送信先識別情報を含まない送信履歴情報用情報相当の情報(以下、グループ化履歴情報用情報と表記する)を作成する。そして、ステップS203〜S205相当のステップにおいて、パソコン12あるいは書類管理PCカード13は、送信履歴情報用情報の代わりにそのグループ化履歴情報用情報を用いた処理を行う。その後、パソコン12は、ステップS206相当のステップにおいて、グループ化履歴情報用情報に時間情報(タンパーフリー時計21の出力)を付加した情報であるグループ化履歴情報と、書類管理PCカード13が生成した認証子とをMO内に記憶する。
【0051】
すなわち、この立体認証機能を用いれば、図20に模式的に示したように、各オブジェクト情報とその管理情報に個別に認証子を付けた上で、それら全体に認証子(累積認証子)を付けることができる。このため、それらの情報に対する改竄操作あるいはウィルス混入を簡単に検出できることになる。なお、立体認証機能による認証子の付加対象は、どのようなものであっても良いが、例えば、図21に模式的に示したように、改版されていく情報の、変更要素(変更された構成要素の差分情報)と変更履歴管理情報にこの立体認証機能を用いて認証子を付加しておけば、従来に比して、情報の真性性を容易に保証できることになる。
【0052】
なお、実施形態のデータ保存装置は、全てのデータに認証子を付与する装置であったが、ユーザから指定されたデータだけに対して認証子を付与するよう装置を構成しても良いことは当然である。さらに、書類管理PCカード13にデータを暗号化する機能を持たせたセキュアPCカードを用い、図22に模式的に示したように、内容を読み取られたくない本文に関しては暗号文に変換後、ネットワークに転送され、内容を読み取られてもかまわない要約、料金に関しては平文のまま、ただし、改竄の有無を検証できることが望ましい領域に関しては認証子を付与した形で、ネットワークに転送されるようにしても良いことは当然である。
【0053】
【発明の効果】
本発明によるデータ保存装置、データ保存方法を用いれば、データをその作成日時が証明できる形態で、書換可能であり、かつ、交換可能な記録媒体に保存することが出来る。
【図面の簡単な説明】
【図1】実施形態のデータ保存装置によるデータ保存手順の概要を示した説明図である。
【図2】実施形態のデータ保存装置によってMOに保存される履歴情報の説明図である。
【図3】実施形態のデータ保存装置で用いられているデジタル署名作成手順の説明図である。
【図4】実施形態のデータ保存装置によって保存されたデータの検証手順の概要を示した説明図である。
【図5】実施形態のデータ保存装置のデータ保存機能を説明するための機能ブロック図である。
【図6】実施形態のデータ保存装置の構成要素である書類管理PCカードが有する累積認証子生成機能を説明するための機能ブロック図である。
【図7】書類管理PCカードの累積認証子生成機能を説明するためのタイミング図である。
【図8】累積認証子と認証子の関係を示した模式図である。
【図9】実施形態のデータ保存装置のデータ検証機能を説明するための機能ブロック図である。
【図10】実施形態のデータ保存装置の追記録動作の説明図である。
【図11】実施形態のデータ保存装置の追記録動作の説明図である。
【図12】実施形態のデータ保存装置の追記録動作の説明図である。
【図13】実施形態のデータ保存装置による累積認証子格納動作の説明図である。
【図14】実施形態のデータ保存装置によって追記録が行われた複数の保存媒体に格納される累積認証子の相互関係を説明するための図である。
【図15】実施形態のデータ保存装置による、追記録されたデータの検証手順の説明図である。
【図16】MOへのデータ書込要求がなされた際における、実施形態のデータ保存装置の動作手順を示した流れ図である。
【図17】実施形態のデータ保存装置における、追記録動作の補足的な流れ図である。
【図18】実施形態のデータ保存装置が有する立体認証機能を説明するための流れ図である。
【図19】実施形態のデータ保存装置が有する立体認証機能を説明するための流れ図である。
【図20】実施形態のデータ保存装置が有する立体認証機能の一適用例を示した図である。
【図21】実施形態のデータ保存装置が有する立体認証機能の一適用例を示した図である。
【図22】上位層における書類秘匿・署名処理概念の説明図である。
【符号の説明】
11 MOドライブ
12 パーソナルコンピュータ
13 書類管理PCカード
14 キーボード
21 タンパーフリー時計
22 認証子生成機構
23 認証子メモリ
【発明の属する技術分野】
本発明は、データ保存装置およびデータ保存方法に関し、例えば、光磁気ディスクなどの、書換可能であり、かつ、交換可能な記録媒体へデータを保存するデータ保存装置およびデータ保存方法に関する。
【0002】
【従来の技術】
近年、各種の情報が、電子化されて記録媒体内に保存され、再利用されるようになってきている。情報の格納に使用されている記録媒体としては、さまざまなものがあるが、大容量の記憶が可能であり、かつ、書換可能な記録媒体である光磁気ディスク(MO)が、最近、盛んに使用されるようになってきている。
【0003】
【発明が解決しようとする課題】
光磁気ディスクは、書換可能な記録媒体であるため用途が広いという利点を有するが、書換可能であるが故に、データの改竄や、日付データの改竄が容易であるという欠点も有していた。また、交換可能な記録媒体であるために、不都合なデータが記憶された媒体を廃棄してしまい、その代わりに、改竄データを記録した別媒体を用意するといったことも可能となっていた。その結果として、光磁気ディスクなどの書換可能であり、かつ、交換可能な記録媒体へ記録されたデータは、書類に印刷されたデータ等に比して、データの作成日付や内容が改竄されていないものであることを証明することが難しいものとなっていた。
【0004】
そこで、本発明の第1の課題は、書換可能であり、かつ、交換可能な記録媒体へ、データをその作成日時が証明できる形態で保存することが出来るデータ保存装置、データ保存方法を提供することにある。
【0005】
また、本発明の第2の課題は、記録媒体が不正廃棄された場合、そのことを検出できるデータ保存装置、データ保存方法を提供することにある。
【0006】
【課題を解決するための手段】
本発明は、上記第1の課題を解決するために、着脱可能であり、かつ、書換可能な記録媒体にデータを保存するためのデータ保存装置を、時間情報を出力する手段であって、出力する時間情報の調整が行えない時間情報出力手段と、データの書込要求を受けたときに、そのデータと時間情報出力手段が出力する時間情報を含む情報を入力としたハッシュ関数処理値を求めることによって、データの認証子を作成する認証子作成手段と、この認証子作成手段によって作成された認証子と、その認証子の作成に用いられたデータと時間情報とを、記録媒体に書き込む書込手段とを用いて構成する。
【0007】
このデータ保存装置によれば、記録媒体へのデータの書込時には、出力する時間情報の調整が行えない時間情報出力手段からの時間情報と、その時間情報とデータとを用いて作成された認証子もが記録媒体に書き込まれるので、データをその作成日時が証明できる形態で(データ改竄等が行われた場合には、そのことが検出できる形態で)保存することが出来ることになる。
【0008】
なお、本発明によるデータ保存装置を実現する際には、認証子作成手段として、記録媒体に記憶されている媒体識別情報と、データと時間情報を含む情報を入力としたハッシュ関数処理値を求めることによって、データの認証子を作成する手段を用いることが出来る。
【0009】
そのような認証子作成手段を採用する場合には、さらに、記記録媒体に記憶された複数のデータに関する認証子からなる情報を入力としたハッシュ関数処理値を求めることによって、それら複数のデータからなるデータグループに関する認証子である累積認証子を作成する累積認証子作成手段と、この累積認証子作成手段によって作成された累積認証子を、データグループとの対応関係がわかる形態で記録媒体に書き込む累積認証子書込手段とを付加しても良い。
【0010】
また、書込手段を、記録媒体のデータの記憶に用いられていない領域のみにデータの書き込みを行う手段としておくと共に、記録媒体に書き込むべきデータの作成者情報を取得する作成者情報取得手段と、この作成者情報取得手段によって取得された作成者取得情報を、書込手段によって記録媒体に記憶された認証子及び時間情報と共に記憶する記憶手段と、記録媒体が初版媒体であった場合において所定の条件が満たされたときに、記録媒体に記憶された全てのデータに関する認証子を含む情報を入力としたハッシュ関数処理値である累積認証子と、記憶手段に記憶された情報と、記録媒体の媒体識別情報とを含む履歴情報を、記録媒体に書き込む第1履歴情報・累積認証子書込手段と、記録媒体が初版媒体でなかった場合において所定の条件が満たされたときに、その記録媒体の一世代前の記録媒体である前世代記録媒体に記憶された履歴情報と累積認証子を取得し、記録媒体に記憶された全てのデータに関する認証子と全世代記録媒体に記憶されていた累積認証子を含む情報を入力としたハッシュ関数処理値である累積認証子を求め、求めた累積認証子と、記憶手段に記憶された情報と、記録媒体の媒体識別情報とを含む履歴情報を、記録媒体に書き込む第2履歴情報・累積認証子書込手段とを付加して、データ保存装置を構成することも出来る。
【0011】
このように本発明のデータ保存装置を構成した場合には、上記第2の課題をも解決できることになる。
【0012】
【発明の実施の形態】
以下、本発明の一実施形態を、図面を参照して具体的に説明する。
実施形態のデータ保存装置は、光磁気ディスク(以下、MOと表記する)にデータを保存する装置であり、一般媒体処理機能と保存目的媒体処理機能(追記録機能)と名付けた機能を有している。ここでは、まず、一般媒体処理時における実施形態のデータ保存装置によるデータ保存方法の概要を説明する。
【0013】
図1に模式的に示したように、一般媒体処理時、本データ保存装置は、データ“DATA”をMO内に保存する際、データ保存装置内部に備えられたタンパーフリー時計の出力である日付データ“DATE”と、履歴情報“LOG”をも、その“DATA”と対応づけてMO内に保存する。さらに、データ保存装置は、MOに予め与えられている媒体ID“MID”とデータ“DATA”と日付データ“DATE”と履歴情報“LOG”とを入力としたときのハッシュ関数出力を得て、そのハッシュ関数出力を、データ“DATA”に関するデジタル署名“CS”として、MO内に保存する。なお、あるデータの伝送やコピーは、媒体ID、データ、日付、履歴情報、デジタル署名からなる情報単位で行う。
【0014】
また、履歴情報“LOG”としては、図2に模式的に示したような、データの作成履歴、コピー履歴を表す情報が記憶される。また、デジタル署名“CS”は、図3(a)に示したISO8731−1に基づく構成を有する機構を用いて得られている。すなわち、デジタル署名を取得すべきデータが、nブロック分のデータ(D1〜Dn)であった場合、図3(b)に示したように、まず、最初のブロックデータD1が、DESにより暗号化され、データC1が得られる。次いで、そのデータC1と、次のブロックデータD2のEORが、再度、DESにより暗号化され、データC2が得られる。その後、同様の処理が、データCi-1とブロックデータCi(i=3〜n)に対して繰り返され、データCn-1とブロックデータCnとが関係する暗号化結果(64ビット)の上位32ビットが、トランケートにより取り出され、デジタル署名“CS”とされている。
【0015】
そして、データ検証時には、図4に模式的に示したように、MO内に保存されている“MID”と、“DATA”と、その“DATA”に関する“DATE”及び“LOG”を入力としたときのハッシュ関数出力を得る。そして、そのハッシュ関数出力を、MO内のその“DATA”に関する“CS”と比較することによって、“DATA”に対する改竄の有無を判定する。すなわち、ハッシュ関数出力と“CS”とが一致している場合には、“DATA”に対する改竄がなされていないと判定し、両者が一致していない場合には、改竄がなされていると判定する。
【0016】
実施形態のデータ保存装置は、上述したようなデータの保存、検証機能に加えて、累積認証子生成機能を有する。以下、機能ブロック図等を用いて、実施形態のデータ保存装置の累積認証子生成機能を説明するとともに、データ保存機能、データ検証機能を、さらに具体的に説明する。
【0017】
図5に、実施形態のデータ保存装置の機能ブロック図を示す。なお、この機能ブロック図は、MOへのデータ保存時(署名時)の機能のみを示した機能ブロックとなっている。ただし、図では、履歴情報に関する表記を省略してある。
【0018】
図示したように、実施形態のデータ保存装置は、MOドライブ11を備えたパーソナルコンピュータ(パソコン)12に、認証子の生成を担当する書類管理PCカード13を接続することによって実現されている。
【0019】
MOへのデータ保存時、キーボード14を利用して作成されたDATAは、PC12によって、MOドライブ11内のMOに書き込まれる。PC12は、DATAのMOへの書込と共に、MO内に記憶されている媒体IDとそのDATAとを、書類管理PCカード13に供給する。媒体ID、DATAは、書類管理PCカード13内の認証子生成機構22に供給され、認証子生成機構22は、供給されたデータを用いて、認証子MACを生成するための処理を開始する。書類管理PCカード13は、DATAの受信完了後、タンパーフリー時計21の出力(TIME)を、PC12並びに認証子生成機構22に供給する。そして、媒体ID、DATA、TIMEの入力の結果として認証子生成機構22が出力する認証子MACを、PC12に供給するとともに、認証子格納メモリ23に格納する。TIME、MACの供給を受けたPC12は、それらのMOへの書き込みを行い、MO内に、DATAとTIMEとMACからなる情報が保存される。
【0020】
また、DATAの書込によりMO内にデータの記憶余地がなくなった場合、書類管理PCカード13によって、認証子格納メモリ23内に記憶されている認証子を用いた累積認証子(累積MAC、MAC tot)24の生成処理が行われ、MAC totが、PC12を介して、MOに書き込まれる。この累積認証子の生成処理は、認証子生成機構22を利用して行われる。
【0021】
以下、図6を用いて、書類管理PCカード13による認証子生成動作および累積認証子生成動作を詳細に説明する。なお、図6は、書類管理PCカード13の構成をより具体的に示した機能ブロック図であり、図中、鍵付きハッシング関数処理部と表記してあるブロックが、図5における認証子生成機構22に相当している。
【0022】
認証子の生成を行う際、セレクタ2は、入力切替制御信号によって、外部からのデータ入力を鍵付きハッシング処理部に供給するように制御される。また、セレクタ1は、出力切替制御信号によって、鍵付きハッシング処理部からのデータを、認証子メモリに供給するように制御され、その結果として、上述したような認証子生成並びに生成された認証子の認証子メモリへの格納が行われる。
【0023】
一方、累積認証子の生成を行う際には、セレクタ2は、入力切替制御信号によって、ゲート回路からのデータを鍵付きハッシング処理部に供給するように制御される。また、セレクタ1は、出力切替制御信号によって、鍵付きハッシング処理部からの出力される所定数のデータを認証子メモリに供給した後、鍵付きハッシング処理部から出力されるデータをMAC totとして出力するように制御される。そして、累積認証子生成処理の開始時、アドレスカウンタとゲート回路には、スタートパルスが与えられる。
【0024】
スタートパルスが与えられたアドレスカウンタは、認証子メモリに対して、内部に記憶されたMACを順次出力させるための制御を開始する。スタートパルスが与えられたゲート回路は、ON状態となり、認証子メモリからのMACをセレクタ2に供給する。その結果として鍵付きハッシング関数処理部が出力するデータは、セレクタ1を介してデータストローブ回路に入力される。MACカウンタは、データストローブ回路のストローブ信号出力をカウントし、そのカウント結果を比較器に出力する。比較器は、MACカウンタからのデータと、設定値とを比較し、両者が一致したときに、ストップパルスをアドレスカウンタとゲート回路に供給する。
【0025】
すなわち、累積認証子生成処理時、書類管理PCカード13内では、図7に示したようなタイミングで、累積認証子(MAC tot)が生成される。そして、生成されたMAC totがPC12によってMO内に保存されるので、MO内には、結局、図8に模式的に示したように、MO内に記憶されている全てのDATAに関するMACを用いて作成されたデジタル署名が、MAC totとして保存される。
【0026】
なお、実施形態のデータ保存装置は、このような、MO内の全てのデータに関係する累積認証子を付ける機能の他に、MO内のデータに対してグループ毎に累積認証子を付ける機能も有している。詳細については後述するが、この機能は、ほぼ、上述した累積認証子付与機能に、累積認証子を作成するデータを指定する機能を付加したものになっている。
【0027】
次に、図9に示した機能ブロック図を用いて、実施形態のデータ保存装置のデータ検証時の動作を説明する。
データ検証時、PC12は、検証を行うことを指示されたDATAと、そのDATAに関するTIMEとMACをMOから読み出して、書類管理PCカード13に供給する。書類管理PCカード13は、供給されたDATAとTIMEからMACを作成し、作成したMACを、供給されたMACと比較する。そして、両MACが一致していた場合には、当該DATAが改竄されていないデータであることを表示器に表示し、一致していなかった場合には、当該DATAが改竄されたデータであることを表示器に表示する。また、書類管理PCカード13は、同様の通知をPC12に対しても行う。
【0028】
また、累積認証子を用いた検証を行うことを指示された際、PC12は、MO内の全てのDATAとTIMEを読み出して、書類管理PCカード13に供給するとともに、MO内のMAC totを書類管理PCカード13に供給する。書類管理PCカード13は、供給された全てのDATAとTIMEとからMACを作成し、作成したMACを、供給されたMAC totと比較する。そして、両データが一致していた場合には、MO内の各DATAが改竄されていないデータであることを表示器に表示するとともに、その旨をPC12に通知する。一方、一致していなかった場合には、何らかの改竄がMOに対して行われていることを表示器に表示するとともに、その旨をPC12に通知する。
【0029】
実施形態のデータ保存装置は、以上説明したような機能に加え、保存目的媒体処理機能(追記録機能)を有している。この追記録機能を使用した際、データが保存されるMOには、そのMOの一世代前のMOに関する情報が保存される。
【0030】
以下、実施形態のデータ保存装置の追記録機能を具体的に説明する。追記録時、前述した書類管理PCカードは、追記録・署名・検証モジュールとして機能する。追記録・署名・検証モジュールが、1個のデータを保存する際の基本的な動作は、既に説明したものと同様のものである。ただし、追記録時には、版数も保存されるため、追記録・署名・検証モジュールは、以下のように動作する。
【0031】
最初のデータの記録時、追記録・署名・検証モジュールは、図10(a)に示したように、追記録・署名・検証モジュールは、媒体格納残量判定装置(PC12)から、データを格納できる容量が残っているか否かの通知を受ける(▲1▼)。残っていること(ON)を通知された追記録・署名・検証モジュールは、媒体IDと版数とデータを取得する(▲2▼〜▲4▼)。そして、媒体IDと版数とデータを取得した追記録・署名・検証モジュールは、日付と認証子を生成(▲5▼、▲6▼)する。すなわち、追記録・署名・検証モジュールは、図10(b)に模式的に示してあるように、タンパーフリー時計が出力する日付と、媒体ID、版数、データのハッシュ関数処理値(認証子)を出力する。そして、それらが、PCによってMOに書き込まれる。また、PCは、MOに書き込んだ版数、日付、認証子と、MOの媒体ID、MOに書き込んだデータの作成者情報(PCの使用者情報)からなる情報を、累積履歴情報の一要素として、ワーク媒体(実施形態のデータ保存装置ではハードディスク)に記憶する処理も行う。なお、累積履歴情報の詳細については後述する。
【0032】
次にデータの書込が行われる場合、図11(a)に示したように、追記録・署名・検証モジュールは、まず、媒体IDと版数とデータと日付と認証子を取得する(▲2▼〜▲6▼)。そして、認証子が他の情報に対応するものであることを確認した上で、版数の発行を行う(▲7▼)。すなわち、追記録・署名・検証モジュールは、図11(b)に模式的に示してあるように、PCから与えられた媒体ID、版数、データのハッシュ関数処理値(認証子)と、PCから与えられた認証子とが一致しているか否かを判定し、両者が一致していた場合には、版数に“1”を加えた値を、今回書き込むデータの版数として出力する。この後、追記録・署名・検証モジュール並びにPCは、図10を用いて説明したのと同じ処理を行うことによって、版数、データ、日付、認証子からなる情報を、MO内に記憶する。また、PCは、この場合も、MOに書き込んだ版数、日付、認証子と、MOの媒体ID、MOに書き込んだデータの作成者情報からなる情報を、累積履歴情報の一要素として、ワーク媒体に記憶する処理を行う。
【0033】
このような処理を繰り返した結果、MO内にデータの記憶余地がなくなると、図12(a)に示したように、媒体格納残量判定装置(PC)から追記録・署名・検証モジュールにその旨が通知される(▲1▼:OFF)。当該通知を受けた追記録・署名・検証モジュールは、最後の認証子の内容を取得する(▲2▼)。また、PCは、ワーク媒体に記憶されている累積履歴情報をMOに保存する(▲3▼)とともに、累積履歴情報を追記録・署名・検証モジュールに供給する(▲4▼)。追記録・署名・検証モジュールは、図12(b)に模式的に示したように、取得した累積認証子と累積履歴情報から累積認証子を生成する。そして、PCは、追記録・署名・検証モジュールが生成した累積認証子と終了コードをMOに書き込む(▲5▼、▲6▼)。
【0034】
以下、MOに保存される累積履歴情報、累積認証子を、さらに、具体的に説明する。なお、初版媒体と第二版以降の媒体では、累積履歴情報の内容が異なっているため、ここでは、3枚の媒体にわたって追記録が行われた場合を例に、MOに保存される累積履歴情報、累積認証子に関する説明を行うことにする。
【0035】
図13(a)に示してあるように、媒体IDが2125である初版媒体に、2個のデータが保存された場合、その媒体が初版媒体であることを示す通版001と、その媒体の媒体ID2125と、データ保存時に収集された2組の情報からなる累積履歴情報が記憶される。また、その累積履歴情報を用いて作成された認証子が累積認証子として記憶される。
【0036】
第二版媒体1003には、図13(b)に示したように、初版媒体ID2125の履歴情報と、媒体1003の履歴情報とからなる履歴情報が記憶される。そして、第二版媒体2108には、図13(c)に示したように、第二版媒体1003の履歴情報と、媒体2108の履歴情報とからなる履歴情報が記憶される。
【0037】
すなわち、図14に模式的に示したように、初版媒体には、自媒体の関する履歴情報が記憶され、初版媒体を除く各媒体には、一世代前の媒体の履歴情報と自媒体に関する履歴情報が記憶される。
【0038】
データ検証時のデータ読み出し処理は、図9等を用いて説明した手順と同様の手順で行われる。すなわち、図15(a)、(b)に示したように、追記録・署名・検証モジュールは、媒体ID、版数、データ、日付、認証子を取得し、媒体ID、版数、データ、日付のハッシュ関数処理値と認証子の値を比較する。そして、両者が一致していた場合には、改竄がなされていない旨を表示器に表示するとともに、PCに通知する。
【0039】
ここで、流れ図を用いて、上述した実施形態のデータ保存装置の動作の補足説明を行っておく。
図16に、MOへのデータ書込要求がなされた際のデータ保存装置の動作の流れを示す。既に説明したように、一般媒体処理と保存目的媒体処理とに大別されており、データ書込要求がなされたとき、PCは、セットされている媒体が保存目的媒体でない場合(ステップS101;N)には、一般媒体処理を実行する(ステップS102)。
【0040】
一方、セットされている媒体が保存目的媒体である場合(ステップS101;Y)において、その媒体が新規な媒体である場合(ステップS103;Y)、PCは、ワーク媒体に一世代前の保存媒体の累積履歴情報を格納する(ステップS104)。ワーク媒体の累積履歴情報から、一世代前の保存媒体の累積認証子が得られることを確認(ステップS105;Y)した上で、ステップS109に進む。当該累積認証子が得られなかった場合(ステップS105;N)には、ワーク媒体に一世代前の保存媒体の累積履歴情報を再格納(ステップS106)し、ステップS105に戻る。なお、セットされた媒体が初版媒体である場合、PCは、これらの処理を行わない。
【0041】
セットされている媒体が新規な媒体でなかった場合(ステップS103;N)、PCは、保存領域が確保されているか否かを判断する(ステップS107)。そして、保存領域が確保されていなかった場合(ステップS107;N)、PCは、容量不足通知を書類管理PCカード(追記録・署名・検証モジュール)に通知するとともに、表示し(ステップS108)、上述した累積履歴情報の保存処理を実行(ステップS109)、処理を終了する。なお、容量不足通知が表示された場合、ユーザによって、新たな媒体がMOドライブ11にセットされることになる。
【0042】
保存領域が確保されていた場合(ステップS107;Y)、PCは、ステップS110に進み、既に説明した手順によるデータ保存処理を実行(ステップS111)し、処理を終了する。なお、このステップで行われるデータ保存は、追記録であるので、当然のことではあるが、図17に示したように、MOに媒体IDが記憶されており、かつ、データを保存しようとしているブロックにユーザデータが存在していないことを確認できたときのみに行われる。
【0043】
最後に、一般媒体処理の一機能として用意されている、MO内のデータに対してグループ毎に累積認証子を付ける機能(以下、立体認証機能と表記する)の用途説明を行う。
【0044】
近年、盛んに使用されるようになってきたCALSなどでは、ある1データが、構造化データと、その管理情報とで表されている。構造化データが単純なものであった場合には、管理情報と構造化データとを組み合わせたものをデータとし、実施形態のデータ保存装置を用いて、そのデータに、日付、認証子等を付加し、それらを伝送すれば良いのであるが、一般に、構造化データは、構造的、あるいは、セキュリティレベル的に階層化された多数のオブジェクト情報を含む。また、各オブジェクト情報は、異なる者によって異なるコンピュータ上で内容更新が行われることが多い。このため、セキュリティレベルなどに応じた管理が各オブジェクト情報に対して行えることが望ましい。
【0045】
立体認証機能は、このような管理を可能とするために用意したものである。ここでは、データ送信時を例に、立体認証機能を説明することにする。
ユーザは、立体認証機能を用いたデータ送信を行う際、送信先を特定する情報、送信先に送信すべき幾つかのデータの識別情報等を、本装置に入力する。このような情報の入力を受けたデータ管理装置(パソコン12)は、図18に示したように、まず、送信が指示された1個以上の保存データ(データから認証子までのデータ)をMOから読み出す(ステップS201)。次いで、パソコン12は、送信を指示した者のユーザID等を認識し、そのユーザIDと、送信が指示された保存データの識別情報、送信元識別情報、送信先識別情報等を組み合わせて送信履歴情報用情報を作成する(ステップS202)。次いで、読み出した各保存データの認証子、作成した送信情報用情報を、書類管理PCカード13に供給する(ステップS203)。
【0046】
書類管理PCカード13は、パソコン12から供給された認証子、送信履歴情報用情報、タンパーフリー時計21のその時点における出力(時間情報)を、認証子生成部22に供給する(ステップS204)。そして、認証子生成部22にそれらの入力情報に基づき認証子を生成させ、認証子生成部22に供給した時間情報と、認証子生成部22が生成した認証子とをパソコン12に供給する(ステップS205)。
【0047】
時間情報と認証子の供給を受けたパソコン12は、送信が指示されている保存データが、送信履歴情報用情報に時間情報を付加した送信履歴情報並びに認証子と共に送信先に送信する(ステップS206)。そして、送信が正常に完了したことを確認した後に、送信履歴情報と認証子とをMOドライブ11に保存し(ステップS207)、処理を終了する。
【0048】
一方、ステップS206で送信されたデータを受信する、送信先に存在するデータ保存装置では、図19に示した手順で当該データが処理される。
まず、受信側データ保存装置を構成するパソコン12は、受信したデータに含まれる、末尾の認証子を除く認証子と送信履歴情報を、書類管理PCカード13に供給する(ステップS301)。書類管理PCカード13は、供給された情報のハッシュ値を求める(ステップS302)。その後、パソコン12は、受信したデータの末尾に含まれる認証子を書類管理PCカード13に供給する(ステップS303)。書類管理PCカード13は、その認証子とハッシュ値を比較し、両者が一致しているか否かを示す情報をパソコン12に対して出力する(ステップS304)。
【0049】
パソコン12は、両者が一致していないことを示す情報が入力された際(ステップS306;N)には、受信したデータを、改竄されたデータとして処理する(ステップS307)。具体的には、改竄データが受信されたことをユーザに通知し、その後、ユーザの指示内容に従って動作する。一方、両者が一致していないことを示す情報が入力された際(ステップS306;N)、パソコン12は、受信したデータを、MOドライブ11に保存し(ステップS308)、処理を終了する。
【0050】
なお、データの送信を伴わない立体認証機能が起動された場合、パソコン12は、ステップS202相当のステップにおいて、ユーザによって入力された複数の保存データの識別情報に基づき、送信元、送信先識別情報を含まない送信履歴情報用情報相当の情報(以下、グループ化履歴情報用情報と表記する)を作成する。そして、ステップS203〜S205相当のステップにおいて、パソコン12あるいは書類管理PCカード13は、送信履歴情報用情報の代わりにそのグループ化履歴情報用情報を用いた処理を行う。その後、パソコン12は、ステップS206相当のステップにおいて、グループ化履歴情報用情報に時間情報(タンパーフリー時計21の出力)を付加した情報であるグループ化履歴情報と、書類管理PCカード13が生成した認証子とをMO内に記憶する。
【0051】
すなわち、この立体認証機能を用いれば、図20に模式的に示したように、各オブジェクト情報とその管理情報に個別に認証子を付けた上で、それら全体に認証子(累積認証子)を付けることができる。このため、それらの情報に対する改竄操作あるいはウィルス混入を簡単に検出できることになる。なお、立体認証機能による認証子の付加対象は、どのようなものであっても良いが、例えば、図21に模式的に示したように、改版されていく情報の、変更要素(変更された構成要素の差分情報)と変更履歴管理情報にこの立体認証機能を用いて認証子を付加しておけば、従来に比して、情報の真性性を容易に保証できることになる。
【0052】
なお、実施形態のデータ保存装置は、全てのデータに認証子を付与する装置であったが、ユーザから指定されたデータだけに対して認証子を付与するよう装置を構成しても良いことは当然である。さらに、書類管理PCカード13にデータを暗号化する機能を持たせたセキュアPCカードを用い、図22に模式的に示したように、内容を読み取られたくない本文に関しては暗号文に変換後、ネットワークに転送され、内容を読み取られてもかまわない要約、料金に関しては平文のまま、ただし、改竄の有無を検証できることが望ましい領域に関しては認証子を付与した形で、ネットワークに転送されるようにしても良いことは当然である。
【0053】
【発明の効果】
本発明によるデータ保存装置、データ保存方法を用いれば、データをその作成日時が証明できる形態で、書換可能であり、かつ、交換可能な記録媒体に保存することが出来る。
【図面の簡単な説明】
【図1】実施形態のデータ保存装置によるデータ保存手順の概要を示した説明図である。
【図2】実施形態のデータ保存装置によってMOに保存される履歴情報の説明図である。
【図3】実施形態のデータ保存装置で用いられているデジタル署名作成手順の説明図である。
【図4】実施形態のデータ保存装置によって保存されたデータの検証手順の概要を示した説明図である。
【図5】実施形態のデータ保存装置のデータ保存機能を説明するための機能ブロック図である。
【図6】実施形態のデータ保存装置の構成要素である書類管理PCカードが有する累積認証子生成機能を説明するための機能ブロック図である。
【図7】書類管理PCカードの累積認証子生成機能を説明するためのタイミング図である。
【図8】累積認証子と認証子の関係を示した模式図である。
【図9】実施形態のデータ保存装置のデータ検証機能を説明するための機能ブロック図である。
【図10】実施形態のデータ保存装置の追記録動作の説明図である。
【図11】実施形態のデータ保存装置の追記録動作の説明図である。
【図12】実施形態のデータ保存装置の追記録動作の説明図である。
【図13】実施形態のデータ保存装置による累積認証子格納動作の説明図である。
【図14】実施形態のデータ保存装置によって追記録が行われた複数の保存媒体に格納される累積認証子の相互関係を説明するための図である。
【図15】実施形態のデータ保存装置による、追記録されたデータの検証手順の説明図である。
【図16】MOへのデータ書込要求がなされた際における、実施形態のデータ保存装置の動作手順を示した流れ図である。
【図17】実施形態のデータ保存装置における、追記録動作の補足的な流れ図である。
【図18】実施形態のデータ保存装置が有する立体認証機能を説明するための流れ図である。
【図19】実施形態のデータ保存装置が有する立体認証機能を説明するための流れ図である。
【図20】実施形態のデータ保存装置が有する立体認証機能の一適用例を示した図である。
【図21】実施形態のデータ保存装置が有する立体認証機能の一適用例を示した図である。
【図22】上位層における書類秘匿・署名処理概念の説明図である。
【符号の説明】
11 MOドライブ
12 パーソナルコンピュータ
13 書類管理PCカード
14 キーボード
21 タンパーフリー時計
22 認証子生成機構
23 認証子メモリ
Claims (2)
- 着脱可能であり、かつ、書換可能な記録媒体にデータを保存するためのデータ保存装置であって、
前記記録媒体へのデータの書込要求を受けたときに、該データの作成日時としての時間情報を出力する手段であって、出力する時間情報の調整が行えない時間情報出力手段と、
前記記録媒体へのデータの書込要求を受けたときに、そのデータと前記時間情報出力手段が出力する前記時間情報を含む情報を入力としたハッシュ関数処理値を求めることによって、前記データの認証子を作成する認証子作成手段と、
この認証子作成手段によって作成された認証子と、その認証子の作成に用いられたデータと時間情報とを、前記記録媒体に書き込む書込手段とを備え、
前記記録媒体には、固有の媒体識別情報が記憶されており、
前記認証子作成手段は、前記記録媒体に記憶されている前記媒体識別情報と、前記データと前記時間情報を含む情報を入力としたハッシュ関数処理値を求めることによって、前記データの認証子を作成し、
前記書込手段は、前記記録媒体のデータの記憶に用いられていない領域のみにデータの書き込みを行う手段であり、
前記記録媒体に書き込むべきデータの作成者情報を取得する作成者情報取得手段と、
この作成者情報取得手段によって取得された作成者取得情報を、前記書込手段によって前記記録媒体に記憶された認証子及び時間情報と共に記憶する記憶手段と、
前記記録媒体が初版媒体であった場合において所定の条件が満たされたときに、前記記録媒体に記憶された全てのデータに関する認証子を含む情報を入力としたハッシュ関数処理値である累積認証子と、前記記憶手段に記憶された情報と、前記記録媒体の媒体識別情報とを含む履歴情報を、前記記録媒体に書き込む第1履歴情報・累積認証子書込手段と、
前記記録媒体が初版媒体でなかった場合において前記所定の条件が満たされたときに、その記録媒体の一世代前の記録媒体である前世代記録媒体に記憶された履歴情報と累積認証子を取得し、前記記録媒体に記憶された全てのデータに関する認証子と前記前世代記録媒体に記憶されていた累積認証子を含む情報を入力としたハッシュ関数処理値である累積認証子を求め、求めた累積認証子と、前記記憶手段に記憶された情報と、前記記録媒体の媒体識別情報とを含む履歴情報を、前記記録媒体に書き込む第2履歴情報・累積認証子書込手段とを、さらに備えるデータ保存装置。 - 着脱可能であり、かつ、書換可能な記録媒体にデータを保存するためのデータ保存方法であって、
前記記録媒体へのデータの書込要求を受けたときに、タンパーフリー時計が該データの作成日時としての時間情報を出力するステップと、
前記記録媒体へのデータの書込要求を受けたときに、そのデータと、前記タンパーフリー時計が出力する前記時間情報を含む情報を入力としたハッシュ関数処理値を求めることによって、前記データの認証子を作成する認証子作成ステップと、
この認証子作成ステップにおいて作成された認証子と、その認証子の作成に用いられたデータと時間情報とを、前記記録媒体に書き込む書込ステップとを含み、
前記記録媒体には、固有の媒体識別情報が記憶されており、
前記認証子作成ステップは、前記記録媒体に記憶されている前記媒体識別情報と、前記データと前記時間情報を含む情報を入力としたハッシュ関数処理値を求めることによって、前記データの認証子を作成するステップであり、
前記書込ステップは、前記記録媒体のデータの記憶に用いられていない領域のみにデータの書き込みを行うステップであり、
前記記録媒体に書き込むべきデータの作成者情報を取得する作成者情報取得ステップと、
この作成者情報取得ステップにおいて取得された作成者情報を、前記書込ステップにお いて前記記録媒体に記憶された認証子及び時間情報と共に記憶手段に記憶する記憶ステップと、
前記記録媒体が初版媒体であった場合において所定の条件が満たされたときに、前記記録媒体に記憶された全てのデータに関する認証子を含む情報を入力としたハッシュ関数処理値である累積認証子と、前記記憶手段に記憶された情報と、前記記録媒体の媒体識別情報とを含む履歴情報を、前記記録媒体に書き込む第1履歴情報・累積認証子書込ステップと、
前記記録媒体が初版媒体でなかった場合において前記所定の条件が満たされたときに、その記録媒体の一世代前の記録媒体である前世代記録媒体に記憶された履歴情報と累積認証子を取得し、前記記録媒体に記憶された全てのデータに関する認証子と前記前世代記録媒体に記憶されていた累積認証子を含む情報を入力としたハッシュ関数処理値である累積認証子を求め、求めた累積認証子と、前記記憶手段に記憶された情報と、前記記録媒体の媒体識別情報とを含む履歴情報を、前記記録媒体に書き込む第2履歴情報・累積認証子書込ステップとを、さらに含むデータ保存方法。
Priority Applications (8)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP09263097A JP4091139B2 (ja) | 1997-04-10 | 1997-04-10 | データ保存装置及びデータ保存方法 |
| US09/017,059 US6144745A (en) | 1997-04-07 | 1998-01-27 | Method of and apparatus for retaining and verifying of data on recording medium |
| EP98300595A EP0871141A3 (en) | 1997-04-07 | 1998-01-28 | Method of and apparatus for retaining data on recording medium |
| KR1019980007438A KR100566355B1 (ko) | 1997-04-07 | 1998-03-06 | 기록매체상에데이터를보존하기위한방법및장치 |
| CNA031425801A CN1482614A (zh) | 1997-04-07 | 1998-03-18 | 在记录介质上保留数据的方法和设备 |
| CNB03142743XA CN1249583C (zh) | 1997-04-07 | 1998-03-18 | 在记录介质上保留数据的方法和设备 |
| CNB98105675XA CN1136502C (zh) | 1997-04-07 | 1998-03-18 | 在记录介质上保留数据的方法和设备 |
| CNB031427448A CN1257459C (zh) | 1997-04-07 | 1998-03-18 | 在记录介质上保留数据的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP09263097A JP4091139B2 (ja) | 1997-04-10 | 1997-04-10 | データ保存装置及びデータ保存方法 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005240370A Division JP4122351B2 (ja) | 2005-08-22 | 2005-08-22 | カード装置、データ保存装置、及び、データ保存及び検証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH10289523A JPH10289523A (ja) | 1998-10-27 |
| JP4091139B2 true JP4091139B2 (ja) | 2008-05-28 |
Family
ID=14059771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP09263097A Expired - Fee Related JP4091139B2 (ja) | 1997-04-07 | 1997-04-10 | データ保存装置及びデータ保存方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4091139B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6367019B1 (en) * | 1999-03-26 | 2002-04-02 | Liquid Audio, Inc. | Copy security for portable music players |
| JP4256100B2 (ja) | 2002-01-31 | 2009-04-22 | 富士通株式会社 | 正当媒体管理システム |
| JP4485785B2 (ja) * | 2003-12-15 | 2010-06-23 | 株式会社リコー | 電子データ処理システム及び電子データ処理方法 |
| WO2005109207A1 (ja) * | 2004-05-06 | 2005-11-17 | Hypergear Inc | 電子ファイル時刻認証自動取得方法、および、電子ファイル時刻認証自動取得機能を備える通信端末装置 |
| JP4671913B2 (ja) * | 2006-06-05 | 2011-04-20 | 株式会社リコー | 原本性保証電子保存装置、原本性保証電子保存方法およびプログラム |
| US8200961B2 (en) * | 2006-11-19 | 2012-06-12 | Igware, Inc. | Securing a flash memory block in a secure device system and method |
| JP5233521B2 (ja) * | 2008-08-29 | 2013-07-10 | 大日本印刷株式会社 | Icチップ、データ読出し方法、データ読出しプログラム及び記録媒体等 |
-
1997
- 1997-04-10 JP JP09263097A patent/JP4091139B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH10289523A (ja) | 1998-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100566355B1 (ko) | 기록매체상에데이터를보존하기위한방법및장치 | |
| US6442691B1 (en) | Authenticated time device | |
| RU2300844C2 (ru) | Персональный криптозащитный комплекс | |
| KR100394924B1 (ko) | 저작권 관리 장치, 전자 저작물 판매 장치, 전자 서적표시 장치, 키 정보 관리 장치 및 이들을 통신 회선으로접속한 전자 저작물 유통 관리 시스템 | |
| JP3748155B2 (ja) | 改ざん防止/検出機能を有するファイル管理システム | |
| TW514844B (en) | Data processing system, storage device, data processing method and program providing media | |
| JP2004180278A (ja) | 情報処理装置、サーバ装置、電子データ管理システム、情報処理システム、情報処理方法、コンピュータプログラム及びコンピュータ読み取り可能な記憶媒体 | |
| JP2002281019A (ja) | 携帯可能情報記憶媒体およびその認証方法 | |
| JP4091139B2 (ja) | データ保存装置及びデータ保存方法 | |
| US20030126446A1 (en) | Method and system for providing a secure time reference in a worm environment | |
| JP4208082B2 (ja) | データ改ざん検出方法、データ改ざん検出装置及びデータ改ざん検出プログラム | |
| JP4266412B2 (ja) | データ保存システム | |
| JP2000286839A (ja) | 情報記録装置、真正性検証方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| JP2003281333A (ja) | 電子署名システム、電子署名方法、電子署名プログラム、および、電子署名プログラムを記録した記録媒体 | |
| JP4124936B2 (ja) | 電子申請システム及び書類保存装置並びにコンピュータ読み取り可能な記録媒体 | |
| CN1637851B (zh) | 在加载的复合内容中选择性解密可用内容的音乐装置 | |
| JP4122351B2 (ja) | カード装置、データ保存装置、及び、データ保存及び検証方法 | |
| JP2006268513A (ja) | 端末装置のログオン管理装置 | |
| JP2007140961A (ja) | 不正にコピーされたファイルの使用防止装置およびプログラム | |
| JP3474075B2 (ja) | 複数の記録媒体上へのデータ記録方法および装置 | |
| JP4842836B2 (ja) | 認証コードを復旧する方法 | |
| JP2000089670A (ja) | 電子化書類の認証装置及び認証方法 | |
| JP3997197B2 (ja) | 画像処理システム | |
| WO2008015740A1 (fr) | Programme de vérification de document, support d'enregistrement, procédé de vérification de document et dispositif de vérification de document | |
| JP2002244554A (ja) | タイムスタンプ生成方法及び確認方法並びに装置並びにシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041005 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041206 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050621 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050822 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20051003 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20051021 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080117 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080228 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110307 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110307 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120307 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130307 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130307 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140307 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |