JP4101975B2 - 可搬型記憶媒体を用いたデータ記録/再生装置 - Google Patents

可搬型記憶媒体を用いたデータ記録/再生装置 Download PDF

Info

Publication number
JP4101975B2
JP4101975B2 JP14492899A JP14492899A JP4101975B2 JP 4101975 B2 JP4101975 B2 JP 4101975B2 JP 14492899 A JP14492899 A JP 14492899A JP 14492899 A JP14492899 A JP 14492899A JP 4101975 B2 JP4101975 B2 JP 4101975B2
Authority
JP
Japan
Prior art keywords
data
system management
recording
area
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP14492899A
Other languages
English (en)
Other versions
JP2000228060A (ja
Inventor
隆 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Olympus Corp
Original Assignee
Olympus Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Olympus Corp filed Critical Olympus Corp
Priority to JP14492899A priority Critical patent/JP4101975B2/ja
Publication of JP2000228060A publication Critical patent/JP2000228060A/ja
Application granted granted Critical
Publication of JP4101975B2 publication Critical patent/JP4101975B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Television Signal Processing For Recording (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、例えば、光磁気デイスク(MO)等の可搬型記憶媒体にデータを暗号化して記録すると共に、暗号化して記録されたデータを再生するデータ記録/再生装置及びデータを暗号化して可搬型記憶媒体に記録する際に予め可搬型記憶媒体への不正なアタックに対する防御対策を伴って記録/再生するようにしたデータ記録/再生装置に関する。
【0002】
【従来の技術】
周知のように、デジタル画像等のコンテンツに対し、その内容の秘匿性、真正性(改竄されていないこと)を確保するための技術は、従来から幾つか提案されている。
【0003】
例えば、特公平7−122960号公報には、デジタルカメラ内に乱数発生装置を設け、デジタルカメラで撮影された画像に対し、デジタルカメラ内で前記乱数系を用いて画像データを暗号化することにより、画像内容の秘匿性や真正性を確保するという手法が開示されている。
【0004】
また、特開平9−200730号公報には、カメラ内で画像データの電子署名を作成することにより、画像データが改竄されているかどうかを検知することができる手法が開示されている。
【0005】
また、光磁気デイスクを用いた医療画像の電子保存システムであるIS&C(Image Save & Carry)システム(参考資科「画像の電子保管とIS&Cシステム」、新医療1994年7月号P36−40)では、光磁気ディスクのファイルシステムやデバイスドライバを特殊化すると共に、専用のソフトウェア(データの改変が不可)以外ではアクセスできないようにすることにより、デジタル画像等のコンテンツの秘匿性、真正性を確保している。
【0006】
【発明が解決しようとする課題】
しかしながら、前者の特公平7−122960号公報や特開平9−200730号公報による手法では、画像内容の漏洩という脅威からコンテンツを保護することは可能であるが、悪意あるユーザーが汎用の計算機等を用いて画像ファイルにアクセスして画像ファイルを消去したり、データ内容を破壊する脅威、すなわち広い意味での画像内容の改竄から、コンテンツを守ることはできない。
【0007】
また、デジタルカメラで撮影される画像は100万面素を越える大きさであり、このような大きなサイズの画像データを暗号化したり、画像データから電子署名を求めたりする演算量は非常に大きくなり、処理時間も長くなってしまう。
【0008】
特に、デジタルカメラの内部で暗号等の処理を行おうとすると、内部のCPUの処理能力はそれほど大きなものが期待できないため、処理時間は無視できないほど長くなってしまう。
【0009】
この問題は、デジタルカメラに連写機能を備える場合などに顕著になる。
【0010】
また、デジタルビデオカメラ装置のように、動画のデータとなると、さらにデータサイズが大きくなるため、処理時間の問題はさらに深刻になる。
【0011】
一方、後者のIS&Cシステムのような専用のファイルシステムでは、データ暗号化の処理を必要としないので処理時間は問題にならない。
【0012】
しかし、ファイルシステムの構造が漏洩してしまった場合には、ある程度保存装置等の知識のあるユーザーなら、可搬型記憶媒体上のファイルにアクセスできてしまう。
【0013】
また、暗号化の手法を使った場合のように、可搬型記憶媒体上のファイルの安全性を守るための情報が漏洩した場合に、暗号化の鍵だけを取りかえれば済むというようなことはできない。
【0014】
さらには、データ内容の安全性確保のための装置としては、むしろ安全性確保のための機構を公開した上でも安全性を確保できることが望ましい。
【0015】
本発明はこれらの点に着目し、画像等の大容量のデータを可搬型記憶媒体に格納する場合に、データ内容の秘匿性、真正性を確保し、且つデータの不正な消去・破壊を含めた改竄を防止でき、且つ高速な処理を実現できるデータ記録/再生装置を提供することを目的とする。
【0016】
【課題を解決するための手段】
本発明によると、上記課題を解決するために、
(1) ユーザー用データが記録されるユーザー領域及び前記ユーザー用データを管理するためのシステム管理用データが記録されるシステム管理領域を有する可搬型記憶媒体に対して前記ユーザー用データ及び前記システム管理用データの記録/再生を行うデータ記録/再生装置において、
暗号化鍵信号又は暗号化鍵信号を生成するための暗号化鍵信号生成情報を含む暗号化秘密情報を保持する暗号化秘密情報保持手段と、
前記暗号化秘密情報保持手段に保持されている前記暗号化秘密情報を用いて暗号化処理を行う暗号化手段と、
前記暗号化手段により、前記可搬型記憶媒体のシステム管理領域に記録すべきシステム管理用データの少なくとも一部を暗号化処理して前記可搬型記憶媒体のシステム管理領域へ記録するシステム管理用データ記録手段と、
前記暗号化鍵信号又は暗号化鍵信号生成情報に対応する復号化鍵信号又は復号化鍵信号を生成するための復号化鍵信号生成情報を含む復号化秘密情報を保持する復号化秘密情報保持手段と、
前記復号化秘密情報保持手段に保持されている前記復号化秘密情報を用いて復号化処理を行う復号化手段と、
前記復号化手段により、前記可搬型記憶媒体のシステム管理領域に少なくとも一部が前記暗号化秘密情報を用いて暗号化して記録されている前記システム管理用データを読み出し、前記暗号化して記録されている部分のシステム管理用データを前記復号化手段を用いて復号化するシステム管理用データ再生手段と、
前記システム管理用データ再生手段により前記システム管理領域から読み出され、前記暗号化して記録されている部分を復号して得られるシステム管理用データに基づいて、前記ユーザー用データを前記可搬型記憶媒体のユーザー領域に暗号化することなく所定の形態で記録するユーザー用データ記録手段と、
前記ユーザー用データ記録手段により前記ユーザー領域に暗号化することなく所定の形態で記録されている前記ユーザー用データを、前記システム管理用データ再生手段により前記システム管理領域から読み出され、前記暗号化して記録されている部分を復号して得られるシステム管理用データに基づいて読み出すユーザー用データ再生手段と、
前記ユーザー用データ記録手段により前記可搬型記憶媒体のユーザー領域に暗号化することなく所定の形態で記録されている前記ユーザー用データの更新に伴って、前記暗号化手段により、前記可搬型記憶媒体のシステム管理領域に記録すべきシステム管理用データの少なくとも一部を暗号化処理して前記システム管理用データ記録手段により前記可搬型記憶媒体のシステム管理領域へ再記録するシステム管理用データ更新手段と、
前記ユーザー用データ記録手段が前記可搬型記録媒体のユーザー領域にユーザー用データを記録する際に、このユーザー用データを当該可搬型記録媒体のユーザー領域に論理的にアクセス可能な単位領域のサイズのデータ単位に分割するデータ分割手段と、
前記可搬型記録媒体のユーザー領域から未使用の単位記録領域を選択する記録領域選択手段とを有し、
前記ユーザー用データ記録手段は、
任意性のあるパラメータを用いてランダムなデータを生成するランダムデータ生成手段と、
前記可搬型記録媒体を初期化処理する際に、前記ランダムデータ生成手段によって得られたランダムデータを前記可搬型記録媒体のユーザー領域全体に書き込むランダムデータ書き込み手段とを有し、
前記システム管理用データ記録手段は、
前記データ生成手段に用いられる任意性のあるパラメータを前記可搬型記録媒体のシステム管理領域に記録するパラメータ記録手段を有し、
前記ユーザー用データ記録手段は、前記記録領域選択手段によって選択された未使用の単位記録領域に前記データ分割手段によって分割されたユーザー用データを所定の形態で記録することを特徴とするデータ記録/再生装置が提供される。
【0019】
(作用効果)
上記(1)の発明では、予めデータ記録装置内に暗号化又は復号化を行うための暗号化鍵又は復号化鍵(秘密鍵方式の暗号アルゴリズムを用いる場合は、暗号化鍵と復号化鍵は同じ)、もしくは暗号化鍵や復号化鍵を生成するための秘密情報を格納しておき、可搬型記憶媒体にデータを記録する場合に、可搬型記憶媒体上のシステム管理領域に記録されているルートデイレクトリテーブルのエントリーデータや可搬型記憶媒体上の物理的アドレスと論理的アドレスを対応づける情報が格納されたデータを前記暗号化鍵で暗号化して記録する。
また、上記(1)の発明では、前記ユーザー用データ記録手段が前記可搬型記録媒体のユーザー領域にユーザー用データを記録する際に、このユーザー用データを当該可搬型記録媒体のユーザー領域に論理的にアクセス可能な単位領域のサイズのデータ単位に分割するデータ分割手段と、前記可搬型記録媒体のユーザー領域から未使用の単位記録領域を選択する記録領域選択手段とを有し、前記ユーザー用データ記録手段は、前記データ分割手段によって分割されたユーザー用データを前記記録領域選択手段によって選択された未使用の単位記録領域に所定の形態で記録する。
また、上記(1)の発明では、前記ユーザー用データ記録手段は、任意性のあるパラメータを用いてランダムなデータを生成するランダムデータ生成手段と、前記可搬型記録媒体を初期化処理する際に、前記ランダムデータ生成手段によって得られたランダムデータを前記可搬型記録媒体のユーザー領域全体に書き込むランダムデータ書き込み手段とを有し、前記システム管理用データ記録手段は、前記データ生成手段に用いられる任意性のあるパラメータを前記可搬型記録媒体のシステム管理領域に記録するパラメータ記録手段を有する。
このように、実質的に、ユーザー用データを可搬型記録媒体のユーザー領域に論理的にアクセス可能な単位領域のサイズのデータ単位に分割して所定の形態で記録するように管理することが可能となるので、データ内容の秘匿性、真正性の確保が容易になると共に、より高速な処理を実現することができる。
【0020】
このようにすることにより、汎用のデータ記録/再生装置で前記可搬型記憶媒体にアクセスしようとしても、汎用の装置ではデータファイルにアクセスするための情報を読み出すことができないため、データにアクセスできない。
【0021】
また、ユーザーがデータ保存装置に対する知識が深く、例えば、SCSI(Small Computer System Interface)などの低レベルなコマンドを使って、上記データファイルにアクセスするための情報を読み出しても、暗号化の鍵を知らない限り、アクセスするための情報を解読することは極めて困難なため、データにアクセスすることは実際上できない。
【0022】
さらに、本発明による手法では、暗号化するのは可搬型記憶媒体のシステム管理領域に記録されているデータであり、例えば、システム管理用域のデータ全体を暗号化するとしても、このデータのサイズは、画像データや動画像データに比べるとはるかに小さいため、暗号化の演算を施すための処理時間は少なくて済むことになる。
【0023】
例えば、130万画素の画像データを圧縮せずにファイルに保存すると、約4メガバイトのデータサイズになるが、一方で1ギガバイトのディスクでも、システム管理領域のデータサイズは高々数百キロバイトである。
【0024】
つまり、システム管理領域のデータを暗号化するのに比べ、画像データを暗号化しようとすると、上記の例では数百倍の演算量を必要とすることになる。
【0025】
データサイズが数百メガバイト〜数ギガバイトにもなる動画データになると、この差はさらに顕著になる。
【0026】
なお、面像等のデータを可搬型記憶媒体中に書き込んでいる時間に並行してシステム管理用データの暗号化処理を行うようにすれば、暗号化の処理時間によるストレスを解消することがてきる
【0027】
通常、可搬型記憶媒体へデータを書き込む処理には専用のプロセッサが用いられ、そのため暗号化の処理を行うためのプロセッサ(例えば、CPU)とは異なる。
【0028】
また、画像データ等の可搬型記憶媒体への書き込みとシステム管理領域のデータを暗号化する処理を並列に行ってもデータ的な問題は起こらない。
【0029】
画像や動画像のデータは数メガバイト〜数百メガバイトに達し、データ書き込みにある程度時間を必要とする。
【0030】
したがって、データ書き込み時にシステム管理領域のデータを暗号化する処理を並行に行うことにより、暗号化による処理時間のストレスをなくすことが可能となる。
【0031】
なお、上記(1)の発明は後述する第1及び第2の実施の形態が対応し、関連する図は図1乃至図10及び図12、図15乃至図17、図20乃至図22、図29である。
【0034】
そして、(1)の発明中の論理的にアクセス可能な単位領域とは、FATファイルシステムなどで言うところのクラスタ領域に対応する。
【0035】
図15は、データが記録されるときに、ID=3,12,14,19に対応するハッチングされた領域で示すデータをクラスタのサイズで分解し、それを連続しないクラスタに記録する概念図を示している。
【0036】
従って、この場合、ID=2,4,13,18に対応する白抜き領域で示すデータはクラスタのサイズで分解されないものとしている。
【0037】
(作用効果)
通常のファイルシステムでは、データを記録する場合、ユーザー領域内で物理的にほぼ連続した領域へ記録する。
【0048】
また、本発明によると、上記課題を解決するために、
) 前記ランダムデータ書き込み手段は、
前記可搬型記録媒体のユーザー領域からデータを削除した際に、前記可搬型記録媒体のユーザー領域のデータを削除した領域に前記ランダムデータを再度書き込むものであることを特徴とする()記載のデータ記録/再生装置が提供される。
【0049】
この(2)の発明は後述する第2の実施の形態が対応し、関連する図は図20乃至図22である。
【0050】
(作用効果)
通常、可搬型記録媒体の初期化(出荷)時には、ユーザー領域は均一の値(各ビツトがが全てON、あるいはすべてOFF)となっている。
【0051】
したがって、可搬型記録媒体上に少数のデータしか記録されていない場合には、総当たり的アタックに対して組み合わせの数が少なくなるためデータの安全性の度合いが低くなる。
【0052】
しかるに、上記(1)及び()の発明によると、可搬型記録媒体のユーザー領域は、可搬型記録媒体の初期化時にランダムな値が記録されているため、媒体上に少数のデータしか記録されていない場合でも、記録されていない領域のビットのON/OFFが一様でないため、アタックするためには総当たり的な手法が必要になり、データの安全性が向上する。
【0077】
また、本発明によると、上記課題を解決するために、
12前記ユーザー用データ記録手段は、
前記単位領域内シヤッフル、単位記録領域単位シヤッフル、及び前記ユーザー用データの全体に対するシャッフルの内から少なくとも二つの処理を組み合わせて行うことを特徴とする()記載のデータ記録/再生装置が提供される。
【0106】
また、本発明によると、上記課題を解決するために、
) 前記システム管理用データ再生手段は、
前記可搬型記録媒体のシステム管理領域から前記パラメータを読み出すパラメータ読み出し手段と、
前記可搬型記録媒体のシステム管理領域から読み出したパラメータを用いて生成したランダムデータと、前記可搬型記録媒体のユーザー領域の未使用領域のクラスタに記載されているランダムデータとを照合する手段と、
を有することを特徴とする()記載のデータ記録/再生装置が提供される。
【0107】
この()の発明は後述する第2の実施の形態が対応し、関連する図は図20乃至図22である。
【0108】
(作用効果)
この()の発明は、上記(),()の発明のデータ記録/再生装置で記録されたデータを読み出すためのデータ記録再生装置である。
【0109】
この()の発明によれば、悪意あるユーザーが他の記録装置を用いてデータを不正に消去した場合でも、消去されたユーザー領域のビットパターンが上記(),()の発明によつて記録されたパターンと異なることから、不正にデータを消去したという痕跡を残すことができるという効果が得られる。
【0110】
【発明の実施の形態】
以下図面を参照して本発明の実施の形態について説明する。
【0111】
(第1の実施形態)
まず、図1、図3、図4、図6乃至図10を用いて、本発明によるデータ記録/再生装置の第1の実施形態について説明する。
【0112】
なお、これらの各図中で同じ番号が割り当てられた部分は、同じ機能を持つものとする。
【0113】
図1は、第1の実施形態におけるデータ記憶/再生装置の構成を示すブロック図である。
【0114】
すなわち、このデータ記憶/再生装置101は、外部のPC110と通信を行う通信部102と、この通信部102にそれぞれ内部バスを介して接続されている作業用メモリ部103、鍵データ記憶用メモリ部104、制御部105、復号化部106、暗号化部107、可搬型記憶媒体駆動部108、媒体判定部109から構成される。
【0115】
通信部102は、SCSI(Small Computer System Interface)やイーサネット、シリアルケーブル等の通信ケーブル、あるいは赤外線などの無線を用いて、データ記録/再生装置外部のPC110やワークステーションなどのデータ作成・編集装置とデータやコマンドのやり取りをする機能を持つ。
【0116】
作業用メモリ103は、通信部102などから送られてきたデータや、各種処理の途中段階のデータをバッファリングすると共に、プログラムをロードするためのメモリである。
【0117】
また、鍵データ格納用メモリ部104は、秘密情報、例えば、DES等の暗号鍵を格納するためのメモリである。
【0118】
制御部105は、データ記憶/再生装置101の処理全体を制御する部分である。
【0119】
復号化部106は、鍵データ格納用メモリ部104からデータを復号化するための情報を読み出し、データを復号化する。
【0120】
同様に暗号化部107は、鍵データ格納用メモリ部104からデータを暗号化するための情報を読み出し、データを暗号化する。
【0121】
また、可搬型記憶媒体駆動部108は、制御部105からの処理要求に応じ、当該データ記憶/再生装置101に装填される可搬型記憶媒体100上の領域のデータの読み出し/書き込み(消去を含む)を行う。
【0122】
媒体判定部109は、当該データ記憶/再生装置101に装填される記憶媒体が、本発明による手法で記録されている可搬型記憶媒体100であるか、それ以外の記憶媒体であるかを判定する。
【0123】
図3は、一般的なファイルシステムを説明するための図であり、ここではWindowsやMS−DOSで用いられているFATファイルシステムの記憶媒体1上の構成を示している。
【0124】
一般に、FATファイルシステムの記憶媒体1では、システム管理領域7として、ブートセクタ(0EM IDやローダールーチン、デバイスに関する情報が記録されているBPB、及び予約領域からなる)2、FAT3、FATのコピー4、及びルートディレクトリのエントリテーブル5で構成されていると共に、ユーザー領域8としてファイル領域6で構成されている(詳細は次の文献を参照:“MS−DOSエンサイクロペデイアVolume1”、アスキー出版局(1989)p112−118)。
【0125】
一方、図4は、本発明による第1の実施形態で用いられる可搬型記憶媒体100上の構成を示している。
【0126】
図4では、システム管理領域7のデータは、図1の鍵データ格納用メモリ部104に格納されている暗号化鍵データと同じ鍵データで、且つ暗号化部107の暗号化法と同じ方法で暗号化されて記録されている。
【0127】
図6は、本発明による第1の実施形態におけるデータ読み出し時の処理の流れを示すフローチャートである。
【0128】
可搬型記憶媒体100からデータを読み出すときには、外部のPC110等からの可搬型記憶媒体100上のデータ読み出し要求(ステップS1)に応じて、まず、可搬型記憶媒体100のシステム管理領域に暗号化されて記録されているシステム管理用データを、可搬型記憶媒体駆動部108を用いて作業用メモリ103へ読み出す(ステップS2)。
【0129】
その後、読み出した暗号化されているシステム管理用データを、復号化部106を用いて復号化し(ステップS3)、システム管理用のデータを得る。
【0130】
システム管理用のデータが得られたならば、その情報を用いて指定のデータを読み出し(ステップS4)、通信部101を介して外部のPC110へ読み出したデータを送信して終了する(ステップS5)。
【0131】
図7は、第1の実施形態で可搬型記憶媒体100へ初めてアクセスしてデータを読み出すときの処理の流れを示すフローチャートである。
【0132】
可搬型記憶媒体100へ初めてアクセスしてデータを読み出すときには、外部のPC110等からの可搬型記憶媒体100上のデータ読み出し要求(ステップS21)に応じて、まず、アクセスが初めてであるか否かを判定(ステップS22)する。
【0133】
そして、アクセスが初めてあるときには、可搬型記憶媒体100のシステム管理領域に暗号化されて記録されているシステム管理用データを、可搬型記憶媒体駆動部108を用いて作業用メモリ103へ読み出す(ステップS23)。
【0134】
その後、読み出した暗号化されているシステム管理用データを、復号化部106を用いて復号化し(ステップS24)、システム管理用のデータを得る。
【0135】
システム管理用のデータが得られたならば、その情報を用いて指定のデータを読み出し(ステップS25)、通信部102を介して外部のPC110へ読み出したデータを送信して終了する(ステップS26)。
【0136】
しかるに、ステップS22において、アクセスが初めてではないときには、上記のステップS23,S24の処理をスルーして、前に得られているシステム管理用のデータの情報を用いて指定のデータを読み出し(ステップS25)、通信部102を介して外部のPC110へ読み出したデータを送信して終了する(ステップS26)。
【0137】
図8は、第1の実施形態でデータを書き込むときの処理の流れを示すフローチャートである。
【0138】
通信部102を介して外部のPC100から受け取ったデータを可搬型記憶媒体100へ書き込む場合には、まず、読み出し時と同様の手順で、システム管理用のデータを作業用メモリ103へ読み出す(ステップS40、S41)。
【0139】
その後、復号化されたシステム管理用のデータを用いて、外部のPC100から受け取ったデータを可搬型記憶媒体100へ書き込む(ステップS42、S43)。
【0140】
このとき、可搬型記憶媒体100上のデータの構成が更新されているので、当然、作業用メモリ103上のシステム管理用のデータも更新する(ステップS44)。
【0141】
その後、作業用メモリ103上のシステム管理用のデータを暗号化部107を用いて暗号化し(ステップS45)、可搬型記憶媒体駆動部108を用いて上記暗号化したシステム管理用のデータを可搬型記憶媒体100のシステム管理領域に書き込み(ステップS46)、終了する(ステップS47)。
【0142】
図9は、第1の実施形態で可搬型記憶媒体100へ初めてアクセスしてデータを書き込むときの処理の流れを示すフローチャートである。
【0143】
可搬型記憶媒体100へ初めてアクセスしてデータを書き込むときには、外部のPC110等からの可搬型記憶媒体100上のデータ書き込み要求(ステップS60)に応じて、まず、アクセスが初めてであるか否かを判定(ステップS61)する。
【0144】
そして、アクセスが初めてあるときには、可搬型記憶媒体100のシステム管理領域に暗号化されて記録されているシステム管理用データを、可搬型記憶媒体駆動部108を用いて作業用メモリ103へ読み出す(ステップS62)。
【0145】
その後、復号化されたシステム管理用のデータを用いて、外部のPC100から受け取ったデータを可搬型記憶媒体100へ書き込む(ステップS63、S64)。
【0146】
このとき、可搬型記憶媒体100上のデータの構成が更新されているので、当然、作業用メモリ103上のシステム管理用のデータも更新する(ステップS65)。
【0147】
その後、作業用メモリ103上のシステム管理用のデータを暗号化部107を用いて暗号化し(ステップS66)、可搬型記憶媒体駆動部108を用いて上記暗号化したシステム管理用のデータを可搬型記憶媒体100のシステム管理領域に書き込み(ステップS67)、終了する(ステップS68)。
【0148】
しかるに、ステップS61において、アクセスが初めてではないときには、上記のステップS62,S63の処理をスルーして、前に得られているシステム管理用のデータの情報を用いて、外部のPC100から受け取ったデータを可搬型記憶媒体100へ書き込む(ステップS63、S64)。
【0149】
このとき、可搬型記憶媒体100上のデータの構成が更新されているので、当然、作業用メモリ103上のシステム管理用のデータも更新する(ステップS65)。
【0150】
その後、作業用メモリ103上のシステム管理用のデータを暗号化部107を用いて暗号化し(ステップS66)、可搬型記憶媒体駆動部108を用いて上記暗号化したシステム管理用のデータを可搬型記憶媒体100のシステム管理領域に書き込み(ステップS67)、終了する(ステップS68)。
【0151】
すなわち、システム管理用のデータは、毎回暗号化して可搬型記憶媒体100のシステム管理領域に書き込まれることになる。
【0152】
図10の(a)は、第1の実施形態で可搬型記憶媒体100へ初めてアクセスしてデータを書き込むときの処理の流れを示す他のフローチャートである。
【0153】
可搬型記憶媒体100へ初めてアクセスしてデータを書き込むときには、外部のPC110等からの可搬型記憶媒体100上のデータ書き込み要求(ステップS80)に応じて、まず、アクセスが初めてであるか否かを判定(ステップS81)する。
【0154】
そして、アクセスが初めてあるときには、可搬型記憶媒体100のシステム管理領域に暗号化されて記録されているシステム管理用データを、可搬型記憶媒体駆動部108を用いて作業用メモリ103へ読み出す(ステップS82)。
【0155】
その後、復号化されたシステム管理用のデータを用いて、外部のPC100から受け取ったデータを可搬型記憶媒体100へ書き込む(ステップS83、S84)。
【0156】
このとき、可搬型記憶媒体100上のデータの構成が更新されているので、当然、作業用メモリ103上のシステム管理用のデータも更新して(ステップS85)、終了する(ステップS86)。
【0157】
しかるに、ステップS81において、アクセスが初めてではないときには、上記のステップS82,S83の処理をスルーして、前に得られているシステム管理用のデータの情報を用いて、外部のPC100から受け取ったデータを可搬型記憶媒体100へ書き込む(ステップS84)。
【0158】
このとき、可搬型記憶媒体100上のデータの構成が更新されているので、当然、作業用メモリ103上のシステム管理用のデータも更新して(ステップS85)、終了する(ステップS86)。
【0159】
図10の(b)は、第1の実施形態で可搬型記憶媒体100の排出要求があったときの処理の流れを示すフローチャートである。
【0160】
すなわち、可搬型記憶媒体100の排出要求があったときには、システム管理用データを暗号化(ステップS91)し、この暗号化されたシステム管理用のデータを可搬型記憶媒体100上のシステム管理領域に記録(ステップS92)した後、可搬型記憶媒体100を排出する(ステップS93)。
【0161】
すなわち、可搬型記憶媒体100を本発明によるデータ記録/再生装置101から排出するときだけ、システム管理用データを暗号化して可搬型記憶媒体100上のシステム管理領域に記録するものである。
【0162】
なお、以上の説明では、システム管理領域のデータを全て暗号化しているが、図5に示すように、FAT、FATのコピー、及びルートディレクトリのエントリテーブルのみを暗号化するようにしてもよい。
【0163】
また、ここまでの説明ではデータ記録装置の外部装置としてPCを例に説明したが、外部の装置としては、これに限定されない。
【0164】
例えば、PCの代わりにワークステーション、PDA等の情報編集機器であってもよいし、あるいはスキャナーやデジタルカメラ、デジタルビデオカメラのような映像撮像装置であっても構わない。
【0165】
なお、この発明の実施の形態の各構成は、当然、各種の変形、変更が可能である。
【0166】
図2に示すように、映像撮像装置130としては、光学系120、撮像部121、A/D変換部122、画像処理部123、フォーマット変換部124、ユーザーインタフエイス部125から構成されるとともに、データ記録/再生装置101としての構成要素である作業用メモリ部103、鍵データ記憶用メモリ部104、制御部105、復号化部106、暗号化部107、可搬型記憶媒体駆動部108、媒体判定部109から構成される。
【0167】
光学系120は、レンズ、鏡筒駆動系などから構成され、映像を撮像部121に結像する。
【0168】
また、撮像部121は光信号を電気信号に変換し、A/D変換部122では、前記電気信号をA/D変換してデジタル化したデータを作業用メモリ部103へ格納する。
【0169】
画像処理部123では、前記の作業用メモリ103に格納されたデジタルデータから、画像を生成するための各種処理(例えば、ホワイトバランスの調整、ガンマ変換、エッヂ強調処理など)を施す。
【0170】
フォーマット変換部124は、前記の画像のデータをJPEG等の保存形式に変換する部分である。
【0171】
また、ユーザーインタフェイス部125は、シャッター、液晶ファインダー、各種撮影モード設定用のボタンなどのユーザーインタフェイスからなる。
【0172】
ファイルの消去などの要求もユーザーインタフェイス部125を介して入力される。
【0173】
図2から分かるように、上記のような構成でも、図2の点線内は第1の実施形態のデータ記録/再生装置と同じである。
【0174】
また、第1の実施形態の場合に、通信部102を通して外部のPC110等とデータのやり取りをしていた部分が、図2では映像撮像装置内の点線外部との間でデータをやり取りすることに置き換わっただけである。
【0175】
したがって、図2のような構成においても、第1の実施形態の機能を備えることが可能である。
【0176】
上記のような構成によって、画像のような大容量のデータを、データ内容の秘匿性、真正性を確保し、且つ高速にデータを記録できるデータ記録装置を提供することが可能になる。
【0180】
(第2の実施形態)
ところで、上述したような第1の実施形態による手法においては、可搬型記録媒体上のデータをダンプして、順次読み出し位置を変えるという不正なアタック方法でデータ内容を読み出される可能性を有しているという危険がある。
【0181】
特に、デジタルカメラで撮影した画像を格納するような記録媒体の場合、撮影するデータの種類(“WORD”,“excel”,“text”,“jpeg”“tiff”,“mpeg”等のフォーマットのこと)も決まっており(JPEG,TIFF,FlashPix等)、さらにデータサイズもCCDの画素数が固定であることによってほぼ一定であるので、第1の実施形態による手法においては、上述のような不正なアタックに対して弱いという難点がある。
【0182】
そこで、この第2の実施形態では、このような不正なアタックに対する防御対策を伴ったデータ記録/再生装置を提供することを意図している。
【0183】
まず、この第2の実施形態で用いる用語について説明する。
【0184】
(1)論理的にアクセス可能な単位領域=クラスタ
(2)物理的にアクセス可能な単位領域=セクタ
(3)FAT :File Allocation Tableの略語であり、MS−DOSのフアイルシステム名である。以下の説明の中では、FATをファイルシステムが用いる管理テーブルの総称のように用いているが、“FAT”というのは飽くまでMS−DOSやWindowsで用いられているファイルシステムで用いている管理テーブルの名称である。
(4)疑似欠陥クラスタ:実際に物理的に壊れているわけではなく、正常か欠陥かを示す管理テーブルの内容を操作することで欠陥としたクラスタ(本明細書内での定義)。
(5)疑似ランダム :疑似乱数系列を用いて乱数を生成するため、“疑似”という言葉が付く。
【0185】
次に、第2の実施形態の概要について説明する。
【0186】
この第2の実施形態では、システム管理領域(FATを含む)を暗号化することをベースに、大きく分けて以下の5つの手法が含まれている。
【0187】
(1)データに対するクラスタの物理的な配置を疑似ランダム化する(連続性をなくす)。
【0188】
(2)疑似欠陥クラスタを作り、データの読み出しを困難にする。
【0189】
なお、上記(1),(2)に従属して以下のケースがある。
【0190】
a)データ初期化時に、ユーザー領域を疑似ランダムデータで初期化する。
【0191】
b)データ削除のときは、その領域を元のランダムデータに置き換える。
【0192】
これは、未使用かつ初期化時と異なるデータが記録されたクラスタがあるときに改竄の疑いありとするためである。
【0193】
(3)データ書き込み時にMOディスク等の記録媒体の未使用領域(上記疑似欠陥クラスタ領域も含む)に偽のデータも同時に書き込む。
【0194】
なお、この(3)はについては、上記(1)、(2)と併用可能である。
【0195】
(4)データに対する追記がない、データのサイズがほぼ一定であることを利用し、FATの小規模化(FAT暗号化の演算量を削減)を実現する。
【0196】
なお、この(4)に従属して以下のケースがある。
【0197】
a)データ記録時にシャッフルするなどの各種処理を行う。
【0198】
b)処理のパラメータをシステム管理額域に記録する。
【0199】
(5)データ記録時に、データのハッシュ値(OR Error Correcting Code/Error Detecting Code)を求め、システム管理領域に記録する。
【0200】
図11は、以上のような概要に基づく第2の実施形態の上記の5つの手法に対応するMS−DOS FAT16ファイルシステムのファイル管理手法を説明するための図である。
【0201】
すなわち、図11は、ファイル名file.textのファイルに対するアクセスを例にとったものである。
【0202】
この場合、ルートディレクトリのエントリ(又は、サブディレクトリのエントリ)を検索することにより、図11中にメニュー形式で示すようなfile.textのディレクトリエントリ(FAT16)を探す。
【0203】
ここでは、開始クラスタ(ID)としてFATエントリ(ID)が14である場合を示している。
【0204】
なお、図11中にメニュー形式で示すようなファイルの大きさは、4800bytesであって、例えば、1クラスタ=1024bytesであれば、5クラスタが必要となる場合を示している。
【0205】
また、ここでは、1クラスタ=2セクタ=1024bytesである場合を示している。
【0206】
図11中の“H”は、16進数を意味するものとする。
【0207】
そして、FATエントリ(ID)が11,12,13,14,15,16,17,18,19,20に対して、各クラスタCH,DH,FFFFH,FH,10H,12H,FFF7H,13H,FFFFH,0Hがそれぞれ上記疑似ランダムによるランダム化されて割り当てられている例である。
【0208】
この例では、1つのデータのFATリンク以下のようになる。
【0209】
まず、開始クラスタ(ID)としてFATエントリ(ID)が14からアクセスが開始され、FH=15でFATエントリ(ID)が15に移行し、10H=16でFATエントリ(ID)が16に移行し、12H=18でFATエントリ(ID)が18に移行し、13H=19でFATエントリ(ID)が19に移行する。
【0210】
なお、FATエントリ(ID)が17のFFF7Hは、上記疑似欠陥クラスタ領域としての不良クラスタであるため、FATエントリ(ID)が16からFATエントリ(ID)が18に移行している。
【0211】
また、FATエントリ(ID)が19のFFF8〜FFFFHは、ファイルの最後のクラスタである。
【0212】
そして、FATエントリ(ID)が20の0Hは、未使用クラスタである。
【0213】
次に、以上のような概要に基づく第2の実施形態の上記の5つの手法に対応する各具体例について図12乃至図37を参照して説明する。
【0214】
なお、これらの各図中で上述した第1の実施形態と同じ番号が割り当てられた部分は、同じ機能を持つものとする。
【0215】
(第1の具体例)
まず、図12乃至図17を用いて、本発明によるデータ記録/再生装置の第2の実施形態の第1の具体例について説明する。
【0216】
図12は、第2の実施形態における第1の具体例によるデータ記録/再生装置の構成を示すブロック図である。
【0217】
すなわち、このデータ記憶/再生装置101は、外部のPC110と通信を行う通信部102と、この通信部102にそれぞれ内部バスを介して接続されている作業用メモリ部103、鍵データ記憶用メモリ部104、制御部105、復号化部106、暗号化部107、可搬型記憶媒体駆動部108、媒体判定部109(図示せず、第1の実施形態参照)、データ分割部201、クラスタ選択部202から構成される。
【0218】
通信部102は、SCSI(Small Computer System Interface)やイーサネット、シリアルケーブル等の通信ケーブル、あるいは赤外線などの無線を用いて、データ記録/再生装置外部のPC110やワークステーションなどのデータ作成・編集装置とデータやコマンドのやり取りをする機能を持つ。
【0219】
作業用メモリ103は、通信部102などから送られてきたデータや、各種処理の途中段階のデータをバッファリングすると共に、プログラムをロードするためのメモリである。
【0220】
また、鍵データ格納用メモリ部104は、秘密情報、例えば、DES等の暗号鍵を格納するためのメモリである。
【0221】
制御部105は、データ記憶/再生装置101の処理全体を制御する部分である。
【0222】
復号化部106は、鍵データ格納用メモリ部104からデータを復号化するための情報を読み出し、データを復号化する。
【0223】
同様に暗号化部107は、鍵データ格納用メモリ部104からデータを暗号化するための情報を読み出し、データを暗号化する。
【0224】
また、可搬型記憶媒体駆動部108は、制御部105からの処理要求に応じ、当該データ記憶/再生装置101に装填される可搬型記憶媒体100上の領域のデータの読み出し/書き込み(消去を含む)を行う。
【0225】
なお、図示しない媒体判定部109では、当該データ記憶/再生装置101に装填される記憶媒体が、本発明による手法で記録されている可搬型記憶媒体100であるか、それ以外の記憶媒体であるかを判定する。
【0226】
データ分割部201は、データを可搬型記録媒体100上で論理的にアクセス可能な単位領域のサイズに分割する。
【0227】
クラスタ選択部202は、所定の規則に従って可搬型記録媒体100から使用されていないクラスタを論理的にアクセス可能な単位領域のクラスタとして選択する。
【0228】
すなわち、この第1の具体例によるデータ記録/再生装置は、上述したような第1の実施形態によるデータ記録/再生装置において、データを可搬型記録媒体100に記録する処理において、データ分割部201によりデータを可搬型記録媒体100上で論理的にアクセス可能な単位領域のサイズに分割すると共に、クラスタ選択部202により所定の規則に従って可搬型記録媒体100から使用されていないクラスタを論理的にアクセス可能な単位領域のクラスタとして選択することにより、制御部105からの処理要求に応じて前記分割されたデータを前記選択された論理的にアクセス可能な単位領域のクラスタに逐次記録することを特徴としている。
【0229】
すなわち、通常、データを可搬型記録媒体としての例えばMO等のディスクに記録するときには、クラスタが連続的につながっている領域にデータを記録するようにしているが、この方法だと、ディスクのユーザー領域を順次ダンプしていくことで、ディスクに書き込まれたデータが読み出されるという脅威がある。
【0230】
そこで、この第1の具体例によるデータ記録/再生装置では、データを書き込むときに、あえて連続性のないクラスタを選んでデータを書き込むことで、上記脅威を回避する手法を採用するものとしている。
【0231】
例えば、ディスクサイズ1G、画像サイズ6M(200万画素非圧縮)の場合、クラスタのサイズが16Kのケースでも、ディスク全体のクラスタ数は62500個あり、画像データ1つを記録するためのクラスタ数は375個ある。
【0232】
このようなディスクに対して第1の具体例による手法を採用すれば、システム管理領域が暗号化されてクラスタ間のリンクが分からない場合には、手探りで画像データを復元しようにも、62500個のクラスタから(初期化時にディス.クの全領域にランダムなデータを書き込んでいるので)正しい順番で375個のクラスタに記録されたデータを読みださなければならず、解読は相当困難になる(単純計算で約62500375 通りの組み合わせがある)。
【0233】
仮に、データを書き込む前と後の記録媒体全領域がダンプされ、前記2つのダンプされたデータ比較することにより、データが記録されている領域があばかれたとしても、データを読み出すためのデータの順番がわからないので、375!通りの組み合わせから本当のデータを解読する必要がある。
【0234】
実際には、画像データの場合、周波数や色相関などの情報から、375!通りよりもう少し探索範囲を狭めることは可能ではあるが、解読自体は不可能に近いと言える。
【0235】
そして、この第1の具体例による手法では、クラスタの物理的な連続性がなくなるため、読み出し速度は低下するが、基本的に通常のファイルステムと同じで、システム管理領域のデータサイズは変わらない。
【0236】
図13は、この第1の具体例による手法に基づいたFAT16ファイルシステムにおけるデータ管理形態を示している。
【0237】
すなわち、図13は、先に第2の実施形態の概要について説明した図11からクラスタ部分を取り出して示したものであって、疑似欠陥クラスタ領域を設けていない以外は図11に準じている。
【0238】
この例では、1つのデータのFATリンク以下のようになる。
【0239】
まず、開始クラスタ(ID)としてFATエントリ(ID)が14からアクセスが開始され、FH=15でFATエントリ(ID)が15に移行し、10H=16でFATエントリ(ID)が16に移行し、11H=17でFATエントリ(ID)が17に移行し、12H=18でFATエントリ(ID)が18に移行する。
【0240】
なお、FATエントリ(ID)が18のFFFFHは、ファイルの最後のクラスタである。
【0241】
図14は、通常のファイルシステムを用いた場合に、システム管理領域とユーザー領域とを有する可搬型記録媒体のユーザー領域にデータが記録されるときの例を参考的に示している。
【0242】
この場合、可搬型記録媒体では、データの物理的配置として、例えば、ID(アドレス)=2〜37のクラスタ領域をできるだけ物理的な連続性を確保するように配置されている。
【0243】
そして、この図14においては、ハッチングを有するID(アドレス)=14〜18のクラスタ領域にデータが書き込まれる例を示している。
【0244】
図15は、この第1の具体例による手法に基づいたデータの記録形態を示している。
【0245】
すなわち、この図15においては、記録するデータは、まず、クラスタのサイズに分割され、各々、ランダムに選択されたクラスタID(アドレス)=2,3,4…12,13,14…17,18,19…33のクラスタ領域に記録されることを示している。
【0246】
図16は、この第1の具体例による場合の1つのデータのFATリンクを図14の一部と対応付けて示している。
【0247】
この図16から分かるように、基本的にFATシステムで扱うことが可能な手法である。
【0248】
図17は、この第1の具体例によるファイルシステムを用いた場合に、システム管理領域とユーザー領域とを有する可搬型記録媒体のユーザー領域にデータが記録されるときの例を示している。
【0249】
この場合、可搬型記録媒体では、データの物理的配置として、例えば、ID(アドレス)=2〜37のクラスタ領域をできるだけ物理的な連続性をなくすようにランダム化して配置されている。
【0250】
そして、この図17においては、ハッチングを有するID(アドレス)=3,12,14,17,19,33クラスタ領域にデータが書き込まれる例を示している。
【0251】
(第2の具体例)
次に、図18及び図19を用いて、本発明によるデータ記録/再生装置の第2の実施形態の第2の具体例について説明する。
【0252】
図18は、第2の実施形態における第2の具体例によるデータ記録/再生装置の構成を示すブロック図である。
【0253】
すなわち、このデータ記憶/再生装置101は、外部のPC110と通信を行う通信部102と、この通信部102にそれぞれ内部バスを介して接続されている作業用メモリ部103、鍵データ記憶用メモリ部104、制御部105、復号化部106、暗号化部107、可搬型記憶媒体駆動部108、媒体判定部109(図示せず、第1の実施形態参照)、クラスタ選択部301、乱数発生部302から構成される。
【0254】
通信部102は、SCSI(Small Computer System Interface)やイーサネット、シリアルケーブル等の通信ケーブル、あるいは赤外線などの無線を用いて、データ記録/再生装置外部のPC110やワークステーションなどのデータ作成・編集装置とデータやコマンドのやり取りをする機能を持つ。
【0255】
作業用メモリ103は、通信部102などから送られてきたデータや、各種処理の途中段階のデータをバッファリングすると共に、プログラムをロードするためのメモリである。
【0256】
また、鍵データ格納用メモリ部104は、秘密情報、例えば、DES等の暗号鍵を格納するためのメモリである。
【0257】
制御部105は、データ記憶/再生装置101の処理全体を制御する部分であり、後述する欠陥クラスタ情報の書き込み制御はこの制御部105で行われることになる。
【0258】
復号化部106は、鍵データ格納用メモリ部104からデータを復号化するための情報を読み出し、データを復号化する。
【0259】
同様に暗号化部107は、鍵データ格納用メモリ部104からデータを暗号化するための情報を読み出し、データを暗号化する。
【0260】
また、可搬型記憶媒体駆動部108は、制御部105からの処理要求に応じ、当該データ記憶/再生装置101に装填される可搬型記憶媒体100上の領域のデータの読み出し/書き込み(消去を含む)を行う。
【0261】
なお、図示しない媒体判定部109では、当該データ記憶/再生装置101に装填される記憶媒体が、本発明による手法で記録されている可搬型記憶媒体100であるか、それ以外の記憶媒体であるかを判定する。
【0262】
クラスタ選択部301は、所定の規則に従って可搬型記録媒体100から論理的にアクセス可能な単位領域のクラスタとして選択する。
【0263】
乱数発生部302は、後述する欠陥クラスタ情報の書き込み制御に用いられるランダムなデータとして任意性のあるパラメータを用いたランダムデータを生成するための乱数を発生する。
【0264】
すなわち、この第2の具体例によるデータ記録/再生装置は、上述したような第1の実施形態によるデータ記録/再生装置において、データを可搬型記録媒体100に記録する処理において、クラスタ選択部301及び乱数発生部302とにより前記可搬型記録媒体100から論理的にアクセス可能な単位領域をランダムに複数選ぶと共に、制御部105により前記可搬型記録媒体100上で論理的にアクセス可能な単位領域を欠陥領域として前記システム管理用データに登録することを特徴としている。
【0265】
そして、この第2の具体例では、初期化時に、可搬型記録媒体100上にランダムに疑似欠陥クラスタを作ることを特徴としている。
【0266】
ここでいう疑似欠陥クラスタとは、実際にユーザー領域のクラスタを破壊するのではなく、単に、FATエントリに対応するクラスタが壊れているという情報を記録するだけである(システム管理用データを暗号化しているので、この情報は誰にも分からない)。
【0267】
記録媒体に書き込まれるデータは、真のデータの所々に疑似欠陥セクタが入り込んでいる。
【0268】
例えば、全クラスタの10%が疑似欠陥セクタの場合、前例の条件では(375+38)個のクラスタに38個の疑似欠陥クラスタ(偽データ)が含まれていることになる。
【0269】
従って、データを読み出すためには62500個のクラスタ全体から、データが記録されている領域を探し出し、その後、さらに疑似欠陥クラスタの部分を取り除く必要がある。
【0270】
仮に、データを書き込む前と後の記録媒体全領域がダンプされ、前記2つのダンプされたデータ比較することにより、データが記録されている領域があばかれたとしても、後述する第6乃至第11の具体例による手法と併用することにより、データ内容を強靭に保護することが可能である。
【0271】
なお、JPEG等の圧縮画像の場合には、各クラスタに記録されているデータそのものが直接画像を表現しないため、第6乃至第11の具体例による手法と併用することは特に必要なく、この第2の具体例による手法のみでデータ内容を強靭に保護することが可能である。
【0272】
この第2の具体例による手法では、疑似欠陥クラスタの分だけディスク領域に無駄が生じることになる。
【0273】
しかし、この第2の具体例の場合、欠陥クラスタ情報は通常の方法で図11に示したようにFATエントリ内に記録されるため、わざわざ欠陥クラスタ情報(位置)をFAT以外のところに別途記録しておく必要はない。
【0274】
そして、この第2の具体例による手法では、基本的に通常のファイルステムと同じであるため実装が簡単であると共に、データを書き込むクラスタに連続性があるためデータの書き込み速度が速いという利点がある。
【0275】
図19の(a),(b)は、通常の場合のFATリンクの初期化状態と、この第2の具体例による手法に基づいたFATリンクの初期化状態とを対比させて示している。
【0276】
すなわち、図19の(a)に示すように、通常の場合のFATリンクの初期化状態では、通常の場合と何等変わりがない。
【0277】
これに対し、図19の(b)に示すように、この第2の具体例による手法では、FATエントリ(ID)=12,17のところに、FFF7Hなる疑似欠陥クラスタ領域であることを示すコードが付されている。
【0278】
(第3の具体例)
次に、図20乃至図22を用いて、本発明によるデータ記録/再生装置の第2の実施形態の第3の具体例について説明する。
【0279】
図20は、第2の実施形態における第3の具体例によるデータ記録/再生装置の構成を示すブロック図である。
【0280】
すなわち、このデータ記憶/再生装置101は、外部のPC110と通信を行う通信部102と、この通信部102にそれぞれ内部バスを介して接続されている作業用メモリ部103、鍵データ記憶用メモリ部104、制御部105、復号化部106、暗号化部107、可搬型記憶媒体駆動部108、媒体判定部109(図示せず、第1の実施形態参照)、クラスタ照合部401、乱数発生部402から構成される。
【0281】
通信部102は、SCSI(Small Computer System Interface)やイーサネット、シリアルケーブル等の通信ケーブル、あるいは赤外線などの無線を用いて、データ記録/再生装置外部のPC110やワークステーションなどのデータ作成・編集装置とデータやコマンドのやり取りをする機能を持つ。
【0282】
作業用メモリ103は、通信部102などから送られてきたデータや、各種処理の途中段階のデータをバッファリングすると共に、プログラムをロードするためのメモリである。
【0283】
また、鍵データ格納用メモリ部104は、秘密情報、例えば、DES等の暗号鍵を格納するためのメモリである。
【0284】
制御部105は、データ記憶/再生装置101の処理全体を制御する部分である。
【0285】
復号化部106は、鍵データ格納用メモリ部104からデータを復号化するための情報を読み出し、データを復号化する。
【0286】
同様に暗号化部107は、鍵データ格納用メモリ部104からデータを暗号化するための情報を読み出し、データを暗号化する。
【0287】
また、可搬型記憶媒体駆動部108は、制御部105からの処理要求に応じ、当該データ記憶/再生装置101に装填される可搬型記憶媒体100上の領域のデータの読み出し/書き込み(消去を含む)を行う。
【0288】
なお、図示しない媒体判定部109では、当該データ記憶/再生装置101に装填される記憶媒体が、本発明による手法で記録されている可搬型記憶媒体100であるか、それ以外の記憶媒体であるかを判定する。
【0289】
クラスタ照合部401は、後述するように、システム管理領域から読み出したパラメータを用いて生成したランダムデータと、前記可搬型記録媒体の未使用領域のクラスタに記録されているデータとが初期化時と同じであるか否かを照合する。
【0290】
乱数発生部402は、後述するユーザー領域全体に前記ランダムデータの書き込み制御に用いられるランダムなデータとして任意性のあるパラメータを用いたランダムデータを生成するための乱数を発生する。
【0291】
すなわち、この第3の具体例によるデータ記録/再生装置は、上述したような第1の実施形態によるデータ記録/再生装置において、データを可搬型記録媒体100に記録する処理において、前記可搬型記録媒体を初期化するために、乱数発生部402により任意性のあるパラメータを用いてランダムなデータを生成して、制御部105からの処理要求に応じてユーザー領域全体に前記ランダムデータを書き込むと共に、前記システム管理領域に予め記録しておいた前記パラメータを読み出し、クラスタ照合部401により前記システム管理領域から読み出したパラメータを用いて生成したランダムデータと、前記可搬型記録媒体の未使用領域のクラスタに記録されているデータとが初期化時と同じであるか否かを照合し、制御部105からの処理要求に応じて前記可搬型記録媒体からデータを削除するときに、前記可搬型記録媒体の未使用の領域に疑似ランダムデータを書き込むことを特徴としている。
【0292】
そして、この第3の具体例による手法は、前述した第1及び第2の具体例による手法を補うものである。
【0293】
すなわち、通常、データを可搬型記録媒体としての例えばMO等のディスクに記録するときに、データが記録されていないディスクはディスク領域全体が例えば0(OFF)で初期化されている場合が考えられる。
【0294】
そのような場合、前述した第1及び第2の具体例による手法だけではデータが記録されている領域とされていない領域は、ディスク全体をダンプすることですぐに分かってしまうという脅威がある。
【0295】
そこで、この第3の具体例による手法では、予めデイスク全体をランダムな値で初期化してしまうことにより、上記脅威を低減させる手法である。
【0296】
この手法は、データを記録した後でデータ内容を改窺するアタックに対しては効果がある。
【0297】
しかるに、この第3の具体例による手法では、データ記録前と記録後の差分をとるというアタックには何ら効果がないが、このアタックに対する対策は次に述べる第4の具体例による手法で対策することができる。
【0298】
また、ファイルシステムに関する知識を有し、かつ悪意あるユーザーによって上記の初期化されたディスクのユーザー領域が他のデータ記録装置で低レベルの手段を用いて0などに一様に初期化される恐れがある。
【0299】
そこで、この第3の具体例による手法では、未使用の領域には場所に依存する特定のデータ(疑似ランダムデータ)を書き込み、ユーザー領域に不正にデータが書き込まれていないかをチェックすることができる機能を備える。
【0300】
このため、第3の具体例による手法では、具体的には、疑似乱数生成系列とその種(ここでは、パラメータと呼び、シスァム管理領域に暗号化して記録されるもの)を用いる。
【0301】
すなわち、乱数生成の種が分かっていれば、どのクラスタにどんな乱数列が記録されたか分かるため、上記のようにユーザー領域に不正にデータが書き込まれていないかをチェックすることができるからである。
【0302】
また、通常、データファイルを消去する場合には、単に、FATエントリから対応するFATリンク部分を未使用(0H)にするだけであるが、このようにすると上記の手法を採用することができない。
【0303】
そこで、この第3の具体例による手法では、消去した場合には、そのファイルが使用していたクラスタの値を、上記乱数の種を用いて、初期化時と同じ値にするようにしている。
【0304】
図21は、この第3の具体例による手法を説明するための概念図である。
【0305】
図22は、この第3の具体例による手法を説明するためのフローチャートである。
【0306】
すなわち、FATエントリのIDをnとし、システム管理領域に予め記録しておく前記パラメータをxとするとき、これらのn,xをランダムデータ生成装置に入力して1クラスタ分のランダムデータを生成する(ステップS11,S12,S13)。
【0307】
そして、この1クラスタ分のランダムデータを可搬型記録媒体のユーザー領域におけるn番目のクラスタに記録するようにすることにより、ユーザー領域をランダムな値で全面的に初期化すると共に、システム管理用データを暗号化して可搬型記録媒体のシステム管理領域に記録した後、終了する(ステップS14,S15,S16,S17)。
【0308】
(第4の具体例)
次に、図23を用いて、本発明によるデータ記録/再生装置の第2の実施形態の第4の具体例について説明する。
【0309】
図23は、第2の実施形態における第4の具体例によるデータ記録/再生装置の機能を説明するためのフローチャートである。
【0310】
なお、この第4の具体例によるデータ記録/再生装置の構成については、前述した第3の具体例によるデータ記録/再生装置の構成と同じであるため、その説明を省略するものとする。
【0311】
すなわち、この第4の具体例によるデータ記録/再生装置は、上述したような第1の実施形態によるデータ記録/再生装置において、データを可搬型記録媒体100に記録する処理において、乱数発生部402により任意性のあるパラメータを用いてランダムなデータを生成して、制御部105からの処理要求に応じてユーザー領域から複数選択した未使用の領域に前記ランダムなデータを書き込むことを特徴としている。
【0312】
そして、この第4の具体例は、図23に示すように、ディスクにデータを記録するとき(ステップS51,S52)に、ダミーデータを同時に記録する(ステップS53〜S57)という手法である。
【0313】
すなわち、ダミーデータの同時記録については、FATエントリのIDをnとするとき、このnをランダムデータ生成装置に入力してランダムデータを生成する(ステップS53,S54)。
【0314】
そして、未使用のクラスタ領域をランダムに選択し、この選択したクラスタ領域にランダムデータをN≦n(但し、Nは、ランダムデータを書き込むクラスタ領域数)となるまで記録するようにすると共に、システム管理用データを暗号化して可搬型記録媒体のシステム管理領域に記録した後、終了する(ステップS55,S56,S57,S58,S59)。
【0315】
この第4の具体例による手法では、システム管理データが第1の実施形態に示したように暗号化されているので、ダミーデータが真のデータと一緒に記録されていることについては、ユーザーからは見分けがつかない。
【0316】
また、ダミーデータは未使用領域(疑似欠陥クラスタを含む)を未使用のステータスのままで使うので、ディスク等の可搬型記録媒体領域をまったく無駄にしない(FATには一切記録しないので、ファイルにならない)。
【0317】
(第5の具体例)
次に、図24及び図25を用いて、本発明によるデータ記録/再生装置の第2の実施形態の第5の具体例について説明する。
【0318】
図24は、第2の実施形態における第5の具体例によるデータ記録/再生装置の機能を説明するためにFATエントリ構成を示している図である。
【0319】
このFATエントリ(ID)構成は、図24に示すように、開始クラスタID、最後のクラスタID、欠陥クラスタの個数、欠陥クラスタ1のID、欠陥クラスタ2のID等を有している。
【0320】
図25の(a),(b)は、第1の具体例に準じた場合のFATファイルシステムと、この第5の具体例による手法に基づいたファイルシステムとを対比させて示している図である。
【0321】
すなわち、図25の(a)に示すように、第1の具体例に準じた場合のFATファイルシステムでは、第1の具体例の場合とほぼ変わりがない。
【0322】
これに対し、図25の(b)に示すように、この第2の具体例による手法では、FATエントリ(ID)=K−1,K,K+1,K+2,K+3,K+4,K+5において、開始クラスタ(ID)としてFATエントリ(ID)がK(14)からアクセスが開始され、K+1(15),K+2(1),K+3(17)に移行する。
【0323】
なお、この第5の具体例によるデータ記録/再生装置の構成については、前述した第2の具体例によるデータ記録/再生装置の構成と同じであるため、その説明を省略するものとする。
【0324】
すなわち、この第5の具体例によるデータ記録/再生装置は、上述したような第1の実施形態によるデータ記録/再生装置において、データを可搬型記録媒体100に記録する処理において、前記システム管理領域に、データを記録する領域の、論理的にアクセス可能な先頭及び最後尾の単位領域のIDと、前記データを記録する連続領域内の欠陥領域の情報をファイル管理用テーブルに記録すると共に、前記可搬型記録媒体上のデータに対する読み出し、書き込み等のアクセスを行う場合に、前記フアイル管理用テーブルからデータの可搬型記録媒体上の物理的なアドレスを求めることを特徴としている。
【0325】
そして、この第5の具体例による手法は、以下に示すような観点に基づいている。
【0326】
例えば、デジタルカメラのデータ記録装置の場合、200万画素の非圧縮データならば、そのデータのサイズは6Mバイトであり、FAT16のシステムでは必要なクラスタ数は、クラスタサイズを16Kバイトとしても367個となり、1つの画像フアイルを管理するのに必要な管理データは367×2=734バイト必要になる。
【0327】
ところで、デジタルカメラでは、通常データに対して後から追記するような処理は行われないと共に、1つのデータは通常連続するクラスタに連続して記録される。
【0328】
従って、通常のFATシステムの場合のようにFATの全てをリンクする必要はなく、クラスタの開始ID(アドレス)と最後のID及び、途中に欠陥クラスタがある場合にはその情報が記録されていれば、データにアクセスすることが可能である。
【0329】
最近のMO等のディスクでは、欠陥クラスタがほとんど存在しないのが普通であるため、上記の手法でデータファイルを管理するのに必要な領域は、上記の例の場合、FAT16システムの数百分の1になる。
【0330】
本システムでは、システム管理領域を暗号化することを考えると、システム管理領域のデータ量の削減は処理時間の短縮には極めて有効な手段であると考えられる。
【0331】
この第5の具体例による手法は、連続するクラスタを用いることが条件であるため、上述した第1、第3及び第4の具体例による手法に対しては適用することができない。
【0332】
(第6乃至第11の具体例)
次に、図26乃至及び図32を用いて、本発明によるデータ記録/再生装置の第2の実施形態の第6乃至第11の具体例について説明する。
【0333】
なお、この第6乃至第11の具体例は、いずれも前述した第5の具体例による手法に従属的に適用されるものである。
【0334】
すなわち、この第6乃至第11の具体例は、前述した第5の具体例による手法が、データフアイルを管理するのに必要なフアイルシステムのデータ量を少なくできることを利用し、フアイルシステムのデータに書き込むデータをフアイルに異なるでシャッフルしたり、暗号化したりできるようにする手法である。
【0335】
図26は、第2の実施形態における第6乃至第11の具体例によるデータ記録/再生装置の機能を共通に説明するためにFATエントリ構成を示している図である。
【0336】
このFATエントリ(ID)構成は、図26に示すように、開始クラスタID、最後のクラスタID、処理情報、欠陥クラスタの個数、欠陥クラスタ1のID、欠陥クラスタ2のID等を有している。
【0337】
図27は、第2の実施形態における第6乃至第11の具体例によるデータ記録/再生装置の機能を共通に説明するためのフローチャートである。
【0338】
この処理フローは、図27に示すように、まず、データが入力されると、データ処理情報を作成してFAT中に記録する(ステップS71,S72)。
【0339】
次に、データ処理情報に従って入力データを処理すると共に、可搬型記憶媒体上にデータを記録する(ステップS73,S74)。
【0340】
次に、FAT及びディレクトリエントリの情報を更新すると共に、システム管理用データを暗号化して可搬型記憶媒体上にデータを記録した後、終了する(ステップS75,S76,S77)。
【0341】
そして、第6の具体例によるデータ記録/再生装置は、上述したような第5の具体例によるデータ記録/再生装置において、データを前記可搬型記憶媒体のユーザー領域へ書き込む処理を行うときに、データ全体、もしくはデータの一部に対して所定の処理を施すと共に、前記処理を施した領域のデータ上のアドレス、またはアドレスに関連する情報、及び前記処理に必要なパラメータをシステム管理用データに記録することを特徴としている。
【0342】
図28は、第2の実施形態における第7の具体例によるデータ記録/再生装置の構成を示すブロック図である。
【0343】
すなわち、このデータ記憶/再生装置101は、外部のPC110と通信を行う通信部102と、この通信部102にそれぞれ内部バスを介して接続されている作業用メモリ部103、鍵データ記憶用メモリ部104、制御部105、復号化部106、暗号化部107、可搬型記憶媒体駆動部108、媒体判定部109(図示せず、第1の実施形態参照)、シャッフル処理部501から構成されている。
【0344】
通信部102は、SCSI(Small Computer System Interface)やイーサネット、シリアルケーブル等の通信ケーブル、あるいは赤外線などの無線を用いて、データ記録/再生装置外部のPC110やワークステーションなどのデータ作成・編集装置とデータやコマンドのやり取りをする機能を持つ。
【0345】
作業用メモリ103は、通信部102などから送られてきたデータや、各種処理の途中段階のデータをバッファリングすると共に、プログラムをロードするためのメモリである。
【0346】
また、鍵データ格納用メモリ部104は、秘密情報、例えば、DES等の暗号鍵を格納するためのメモリである。
【0347】
制御部105は、データ記憶/再生装置101の処理全体を制御する部分である。
【0348】
復号化部106は、鍵データ格納用メモリ部104からデータを復号化するための情報を読み出し、データを復号化する。
【0349】
同様に暗号化部107は、鍵データ格納用メモリ部104からデータを暗号化するための情報を読み出し、データを暗号化する。
【0350】
また、可搬型記憶媒体駆動部108は、制御部105からの処理要求に応じ、当該データ記憶/再生装置101に装填される可搬型記憶媒体100上の領域のデータの読み出し/書き込み(消去を含む)を行う。
【0351】
なお、図示しない媒体判定部109では、当該データ記憶/再生装置101に装填される記憶媒体が、本発明による手法で記録されている可搬型記憶媒体100であるか、それ以外の記憶媒体であるかを判定する。
【0352】
シャッフル処理部501は、上述したような第6の具体例によるデータ記録/再生装置において、前記所定の処理として、ブロック内のシャッフル処理を行うものである。
【0353】
そして、この第7の具体例によるデータ記録/再生装置は、上述したような第6の具体例によるデータ記録/再生装置において、前記所定の処理として、を行うことを特徴としている。
【0354】
図29は、第2の実施形態における第7の具体例によるデータ記録/再生装置の機能を説明するために示している図である。
【0355】
すなわち、この第7の具体例による手法では、可搬型記憶媒体100上のユーザー領域のファイルfile.textのデータが記録されている領域で、クラスタ単位でシャッフル処理を行うと共に、その処理情報をシャッフル処理の情報(パラメータ等)を可搬型記憶媒体100上のシステム管理領域に記録するようにしている。
【0356】
図30は、第2の実施形態における第8の具体例によるデータ記録/再生装置の機能を説明するために示している図である。
【0357】
すなわち、この第8の具体例による手法では、前述した第7の具体例による手法と同様にシャッフル処理を行うものであるが、その際可搬型記憶媒体100上のユーザー領域のファイルfile.textのデータが記録されている領域で、クラスタ内でブロック単位でシャッフル処理を行うと共に、その処理情報をシャッフル処理の情報(パラメータ等)を可搬型記憶媒体100上のシステム管理領域に記録するようにしている。
【0358】
そして、この第8の具体例によるデータ記録/再生装置は、上述したような第6の具体例によるデータ記録/再生装置において、前記所定の処理として、ブロック単位でシャッフル処理を行うことを特徴としている。
【0359】
図31は、第2の実施形態における第9の具体例によるデータ記録/再生装置の機能を説明するために示している図である。
【0360】
すなわち、この第9の具体例による手法では、前述した第7の具体例による手法と同様にシャッフル処理を行うものであるが、その際可搬型記憶媒体100上のユーザー領域のファイルfile.textのデータが記録されている領域で、データ全体に対してシャッフル処理を行うと共に、その処理情報をシャッフル処理の情報(パラメータ等)を可搬型記憶媒体100上のシステム管理領域に記録するようにしている。
【0361】
そして、この第9の具体例によるデータ記録/再生装置は、上述したような第6の具体例によるデータ記録/再生装置において、前記所定の処理として、データ全体に対するシャッフル処理を行うことを特徴としている。
【0362】
図32は、第2の実施形態における第10の具体例によるデータ記録/再生装置の機能を説明するために示している図である。
【0363】
すなわち、この第10の具体例による手法では、前述した第7の具体例による手法のようにシャッフル処理を行うのでなく、可搬型記憶媒体100上のユーザー領域のファイルfile.textのデータが記録されている領域で、データ全体に対して暗号化処理を行うと共に、その処理情報をアルゴリズムに関する情報(暗号鍵の情報等)として可搬型記憶媒体100上のシステム管理領域に記録するようにしている。
【0364】
そして、この第10の具体例によるデータ記録/再生装置は、上述したような第6の具体例によるデータ記録/再生装置において、前記所定の処理として、データ全体に対する暗号化処理を行うことを特徴としている。
【0365】
そして、第11の具体例によるデータ記録/再生装置は、上述したような第7乃至第10の具体例によるデータ記録/再生装置において、前記所定の処理として、前記ブロック内のシャッフル処理、ブロック単位でシャッフル処理、データ全体に対するシャッフル処理及びデータ全体に対する暗号化処理のうちの少なくとも2つ以上の処理を組み合わせたことを特徴としている。
【0366】
(第12の具体例)
次に、図33乃至図38を用いて、本発明によるデータ記録/再生装置の第2の実施形態の第12の具体例について説明する。
【0367】
図33は、第2の実施形態における第12の具体例によるデータ記録/再生装置の構成を示すブロック図である。
【0368】
すなわち、このデータ記憶/再生装置101は、外部のPC110と通信を行う通信部102と、この通信部102にそれぞれ内部バスを介して接続されている作業用メモリ部103、鍵データ記憶用メモリ部104、制御部105、復号化部106、暗号化部107、可搬型記憶媒体駆動部108、媒体判定部109(図示せず、第1の実施形態参照)、ハッシュ演算部601から構成される。
【0369】
通信部102は、SCSI(Small Computer System Interface)やイーサネット、シリアルケーブル等の通信ケーブル、あるいは赤外線などの無線を用いて、データ記録/再生装置外部のPC110やワークステーションなどのデータ作成・編集装置とデータやコマンドのやり取りをする機能を持つ。
【0370】
作業用メモリ103は、通信部102などから送られてきたデータや、各種処理の途中段階のデータをバッファリングすると共に、プログラムをロードするためのメモリである。
【0371】
また、鍵データ格納用メモリ部104は、秘密情報、例えば、DES等の暗号鍵を格納するためのメモリである。
【0372】
制御部105は、データ記憶/再生装置101の処理全体を制御する部分である。
【0373】
復号化部106は、鍵データ格納用メモリ部104からデータを復号化するための情報を読み出し、データを復号化する。
【0374】
同様に暗号化部107は、鍵データ格納用メモリ部104からデータを暗号化するための情報を読み出し、データを暗号化する。
【0375】
また、可搬型記憶媒体駆動部108は、制御部105からの処理要求に応じ、当該データ記憶/再生装置101に装填される可搬型記憶媒体100上の領域のデータの読み出し/書き込み(消去を含む)を行う。
【0376】
なお、図示しない媒体判定部109では、当該データ記憶/再生装置101に装填される記憶媒体が、本発明による手法で記録されている可搬型記憶媒体100であるか、それ以外の記憶媒体であるかを判定する。
【0377】
ハッシュ演算部601は、データからハッシュ関数を用いてハッシュ値を演算する。
【0378】
すなわち、この第12の具体例によるデータ記録/再生装置は、上述したような第1の実施形態によるデータ記録/再生装置において、データを前記可搬型記録媒体100に記録する処理において、データに所定のコード抽出処理を施して得られたコードをシステム管理領域に記録すると共に、前記可搬型記録媒体100からデータを読み出すときに、前記所定のコード抽出処理を施して得られたコードを前記システム管理領域に記録されている前記コードと照合することを特徴としている。
【0379】
そして、この第12の具体例によるデータ記録/再生装置は、前述した第1乃至第11の具体例によるデータ記録/再生装置とは独立しているが、それらと適宜に併用することも可能である。
【0380】
通常、通信等で改竄検知に用いられている電子書名の方式は以下のようになっている。
【0381】
Figure 0004101975
【0382】
しかるに、この第12の具体例によるデータ記録/再生装置の場合は、このような電子書名の方式によるよりも簡単な手法でデータの改竄を検知することができる。
【0383】
すなわち、この第12の具体例による手法では、データからハッシュ関数を用いてハッシュ値を求め、それをシステム管理領域にデータファイルと対応づけて記録するようにしている。
【0384】
なぜなら、データ管理領域は暗号化するため、ユーザーはシステム管理領域のハッシュ値を変更することはできないからである。
【0385】
よって、この第12の具体例による手法では、ユーザーがデータを書き換えても、システム管理領域に記録されているデータのハッシュ値と矛盾するので改竄を検知することができる。
【0386】
図34は、上記改竄検知法を用いたこの第12の具体例による手法によるファイルシステムのFAT16の場合のエントリ構成を示している図である。
【0387】
この例では、1つのデータのFATリンク以下のようになる。
【0388】
まず、開始クラスタ(ID)としてFATエントリ(ID)が14からアクセスが開始され、FH=15でFATエントリ(ID)が15に移行し、10H=16でFATエントリ(ID)が16に移行し、11H=17でFATエントリ(ID)が17に移行し、12H=18でFATエントリ(ID)が18に移行する。
【0389】
なお、FATエントリ(ID)が18のFFFFHは、ファイルの最後のクラスタである。
【0390】
そして、FATエントリ(ID)が19と20のところにハッシュ値が記録されている。
【0391】
図35は、上記改竄検知法を用いたこの第12の具体例による手法を前述した第6の具体例による手法に適用したファイルシステムの場合のエントリ構成を示している図である。
【0392】
このFATエントリ(ID)構成は、図35に示すように、開始クラスタID、最後のクラスタID、ハッシュ値、欠陥クラスタの個数、欠陥クラスタ1のID、欠陥クラスタ2のID等を有している。
【0393】
図36は、上記改竄検知法をを用いたこの第12の具体例による手法を説明するディスク等の可搬型記録媒体上での概念図である。
【0394】
すなわち、この第12の具体例による手法では、可搬型記憶媒体100上のユーザー領域のファイルfile.textのデータが記録されている領域で、データからハッシュ関数を用いてハッシュ値を求め、そのハッシュ値をシステム管理領域にデータファイルと対応づけて記録するようにしている。
【0395】
図37は、この第12の具体例によるデータ書き込み時のフローチャートである。
【0396】
この処理フローは、図37に示すように、まず、データが入力されると、データからハッシュ関数を用いてハッシュ値を求め、そのハッシュ値をFAT中に記録する(ステップS101,S102)。
【0397】
次に、可搬型記憶媒体上にデータを記録する(ステップS103)。
【0398】
次に、FAT及びディレクトリエントリの情報を更新すると共に、システム管理用データを暗号化して可搬型記憶媒体上にデータを記録した後、終了する(ステップS104,S105,S106)。
【0399】
図38は、この第12の具体例によるデータ続み出し時のフローチャートである。
【0400】
この処理フローは、図38に示すように、まず、ファイル名が入力されると、システム管理用データを読み出して復号化する(ステップS31,S32)。
【0401】
次に、FAT及びディレクトリエントリの情報を取得すると共に、可搬型記憶媒体からデータを読み出す(ステップS33,S34)。
【0402】
次に、データからハッシュ関数を用いてハッシュ値を求め、システム管理用データ中に記録されているハッシュ値と照合する(ステップS35)。
【0403】
次に、ハッシュ値が一致しているか否かを判定し、ハッシュ値が一致していればそのままする終了するが、ハッシュ値が一致していなければデータが改竄されていることを通知した後、終了する(ステップS36,S37,S38)。
【0404】
【発明の効果】
従って、以上説明したように、本発明によれば、画像等の大容量のデータを可搬型記憶媒体に格納する場合に、データ内容の秘匿性、真正性を確保し、且つデータの不正な消去・破壊を含めた改竄を防止でき、且つ高速な処理を実現できるデータ記録/再生装置を提供することができる。
【図面の簡単な説明】
【図1】図1は、第1の実施形態におけるデータ記憶/再生装置の構成を示すブロック図である。
【図2】図2は、本発明の変形例におけるデータ記憶/再生装置の構成を示すブロック図である。
【図3】図3は、一般的なファイルシステムを説明するための図である。
【図4】図4は、本発明による第1の実施形態を用いられる可搬型記憶媒体100上の構成を示す図である。
【図5】第1の実施形態における記憶媒体上の構成(システム管理領域の一部を暗号化)を説明するための図である。
【図6】図6は、本発明による第1の実施形態におけるデータ読み出し時の処理の流れを示すフローチャートである。
【図7】図7は、第1の実施形態で可搬型記憶媒体100へ初めてアクセスしてデータを読み出すときの処理の流れを示すフローチャートである。
【図8】図8は、第1の実施形態でデータを書き込むときの処理の流れを示すフローチャートである。
【図9】図9は、第1の実施形態で可搬型記憶媒体100へ初めてアクセスしてデータを書き込むときの処理の流れを示すフローチャートである。
【図10】図10の(a)は、第1の実施形態で可搬型記憶媒体100へ初めてアクセスしてデータを書き込むときの処理の流れを示す他のフローチャートであり、図10の(b)は、第1の実施形態で可搬型記憶媒体100の排出要求があったときの処理の流れを示すフローチャートである。
【図11】図11は、本発明による第2の実施形態における5つの手法に対応するMS−DOS FAT16ファイルシステムのファイル管理手法を説明するための図である。
【図12】図12は、第2の実施形態における第1の具体例によるデータ記録/再生装置の構成を示すブロック図である。
【図13】図13は、第2の実施形態における第1の具体例による手法に基づいたFAT16ファイルシステムにおけるデータ管理形態を示す図である。
【図14】図14は、通常のファイルシステムを用いた場合に、システム管理領域とユーザー領域とを有する可搬型記録媒体のユーザー領域にデータが記録されるときの例を参考的に示す図である。
【図15】図15は、第2の実施形態における第1の具体例による手法に基づいたデータの記録形態を示す図である。
【図16】図16は、第2の実施形態における第1の具体例による場合の1つのデータのFATリンクをず14の一部と対応付けて示す図である。
【図17】図17は、第2の実施形態における第1の具体例によるファイルシステムを用いた場合に、システム管理領域とユーザー領域とを有する可搬型記録媒体のユーザー領域にデータが記録されるときの例を示す図である。
【図18】図18は、第2の実施形態における第2の具体例によるデータ記録/再生装置の構成を示すブロック図である。
【図19】図19の(a),(b)は、通常の場合のFATリンクの初期化状態と、この第2の具体例による手法に基づいたFATリンクの初期化状態とを対比させて示す図である。
【図20】図20は、第2の実施形態における第3の具体例によるデータ記録/再生装置の構成を示すブロック図である。
【図21】図21は、この第3の具体例による手法を説明するための概念図である。
【図22】図22は、この第3の具体例による手法を説明するためのフローチャートである。
【図23】図23は、第2の実施形態における第4の具体例によるデータ記録/再生装置の機能を説明するためのフローチャートである。
【図24】図24は、第2の実施形態における第5の具体例によるデータ記録/再生装置の機能を説明するためにFATエントリ構成を示している図である。
【図25】図25の(a),(b)は、第2の実施形態における第1の具体例に準じた場合のFATファイルシステムと、第2の実施形態における第5の具体例による手法に基づいたファイルシステムとを対比させて示している図である。
【図26】図26は、第2の実施形態における第6乃至第11の具体例によるデータ記録/再生装置の機能を共通に説明するためにFATエントリ構成を示している図である。
【図27】図27は、第2の実施形態における第6乃至第11の具体例によるデータ記録/再生装置の機能を共通に説明するためのフローチャートである。
【図28】図28は、第2の実施形態における第7の具体例によるデータ記録/再生装置の構成を示すブロック図である。
【図29】図29は、第2の実施形態における第7の具体例によるデータ記録/再生装置の機能を説明するために示している図である。
【図30】図30は、第2の実施形態における第8の具体例によるデータ記録/再生装置の機能を説明するために示している図である。
【図31】図31は、第2の実施形態における第9の具体例によるデータ記録/再生装置の機能を説明するために示している図である。
【図32】図32は、第2の実施形態における第10の具体例によるデータ記録/再生装置の機能を説明するために示している図である。
【図33】図33は、第2の実施形態における第12の具体例によるデータ記録/再生装置の構成を示すブロック図である。
【図34】図34は、第2の実施形態における第12の具体例による手法によるファイルシステムのFAT16の場合のエントリ構成を示している図である。
【図35】図35は、第2の実施形態における第12の具体例による手法を前述した第6の具体例による手法に適用したファイルシステムの場合のエントリ構成を示している図である。
【図36】図36は、第2の実施形態における第12の具体例による手法を説明するディスク等の可搬型記録媒体上での概念図である。
【図37】図37は、第2の実施形態における第12の具体例によるデータ書き込み時のフローチャートである。
【図38】図38は、第2の実施形態における第12の具体例によるデータ続み出し時のフローチャートである。
【符号の説明】
100…可搬型記憶媒体、
101…データ記憶/再生装置、
110…PC、
102…通信部、
103…作業用メモリ部、
104…鍵データ記憶用メモリ部、
105…制御部、
106…復号化部、
107…暗号化部、
108…可搬型記憶媒体駆動部、
109…媒体判定部、
130…映像撮像装置、
120…光学系、
120…撮像部、
122…A/D変換部、
123…画像処理部、
124…フォーマット変換部、
125…ユーザーインタフエイス部。
201…データ分割部、
202…クラスタ選択部
301…クラスタ選択部、
302…乱数発生部、
401…クラスタ照合部、
402…乱数発生部、
501…シャッフル処理部、
601…ハッシュ演算部。

Claims (3)

  1. ユーザー用データが記録されるユーザー領域及び前記ユーザー用データを管理するためのシステム管理用データが記録されるシステム管理領域を有する可搬型記憶媒体に対して前記ユーザー用データ及び前記システム管理用データの記録/再生を行うデータ記録/再生装置において、
    暗号化鍵信号又は暗号化鍵信号を生成するための暗号化鍵信号生成情報を含む暗号化秘密情報を保持する暗号化秘密情報保持手段と、
    前記暗号化秘密情報保持手段に保持されている前記暗号化秘密情報を用いて暗号化処理を行う暗号化手段と、
    前記暗号化手段により、前記可搬型記憶媒体のシステム管理領域に記録すべきシステム管理用データの少なくとも一部を暗号化処理して前記可搬型記憶媒体のシステム管理領域へ記録するシステム管理用データ記録手段と、
    前記暗号化鍵信号又は暗号化鍵信号生成情報に対応する復号化鍵信号又は復号化鍵信号を生成するための復号化鍵信号生成情報を含む復号化秘密情報を保持する復号化秘密情報保持手段と、
    前記復号化秘密情報保持手段に保持されている前記復号化秘密情報を用いて復号化処理を行う復号化手段と、
    前記復号化手段により、前記可搬型記憶媒体のシステム管理領域に少なくとも一部が前記暗号化秘密情報を用いて暗号化して記録されている前記システム管理用データを読み出し、前記暗号化して記録されている部分のシステム管理用データを前記復号化手段を用いて復号化するシステム管理用データ再生手段と、
    前記システム管理用データ再生手段により前記システム管理領域から読み出され、前記暗号化して記録されている部分を復号して得られるシステム管理用データに基づいて、前記ユーザー用データを前記可搬型記憶媒体のユーザー領域に暗号化することなく所定の形態で記録するユーザー用データ記録手段と、
    前記ユーザー用データ記録手段により前記ユーザー領域に暗号化することなく所定の形態で記録されている前記ユーザー用データを、前記システム管理用データ再生手段により前記システム管理領域から読み出され、前記暗号化して記録されている部分を復号して得られるシステム管理用データに基づいて読み出すユーザー用データ再生手段と、
    前記ユーザー用データ記録手段により前記可搬型記憶媒体のユーザー領域に暗号化することなく所定の形態で記録されている前記ユーザー用データの更新に伴って、前記暗号化手段により、前記可搬型記憶媒体のシステム管理領域に記録すべきシステム管理用データの少なくとも一部を暗号化処理して前記システム管理用データ記録手段により前記可搬型記憶媒体のシステム管理領域へ再記録するシステム管理用データ更新手段と、
    前記ユーザー用データ記録手段が前記可搬型記録媒体のユーザー領域にユーザー用データを記録する際に、このユーザー用データを当該可搬型記録媒体のユーザー領域に論理的にアクセス可能な単位領域のサイズのデータ単位に分割するデータ分割手段と、
    前記可搬型記録媒体のユーザー領域から未使用の単位記録領域を選択する記録領域選択手段とを有し、
    前記ユーザー用データ記録手段は、
    任意性のあるパラメータを用いてランダムなデータを生成するランダムデータ生成手段と、
    前記可搬型記録媒体を初期化処理する際に、前記ランダムデータ生成手段によって得られたランダムデータを前記可搬型記録媒体のユーザー領域全体に書き込むランダムデータ書き込み手段とを有し、
    前記システム管理用データ記録手段は、
    前記データ生成手段に用いられる任意性のあるパラメータを前記可搬型記録媒体のシステム管理領域に記録するパラメータ記録手段を有し、
    前記ユーザー用データ記録手段は、前記記録領域選択手段によって選択された未使用の単位記録領域に前記データ分割手段によって分割されたユーザー用データを所定の形態で記録することを特徴とするデータ記録/再生装置。
  2. 前記ランダムデータ書き込み手段は、
    前記可搬型記録媒体のユーザー領域からデータを削除した際に、前記可搬型記録媒体のユーザー領域のデータを削除した領域に前記ランダムデータを再度書き込むものであることを特徴とする請求項1記載のデータ記録/再生装置。
  3. 前記システム管理用データ再生手段は、
    前記可搬型記録媒体のシステム管理領域から前記パラメータを読み出すパラメータ読み出し手段と、
    前記可搬型記録媒体のシステム管理領域から読み出したパラメータを用いて生成したランダムデータと、前記可搬型記録媒体のユーザー領域の未使用領域のクラスタに記載されているランダムデータとを照合する手段と、
    を有することを特徴とする請求項記載のデータ記録/再生装置。
JP14492899A 1998-12-02 1999-05-25 可搬型記憶媒体を用いたデータ記録/再生装置 Expired - Fee Related JP4101975B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP14492899A JP4101975B2 (ja) 1998-12-02 1999-05-25 可搬型記憶媒体を用いたデータ記録/再生装置

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP10-343013 1998-12-02
JP34301398 1998-12-02
JP14492899A JP4101975B2 (ja) 1998-12-02 1999-05-25 可搬型記憶媒体を用いたデータ記録/再生装置

Publications (2)

Publication Number Publication Date
JP2000228060A JP2000228060A (ja) 2000-08-15
JP4101975B2 true JP4101975B2 (ja) 2008-06-18

Family

ID=26476198

Family Applications (1)

Application Number Title Priority Date Filing Date
JP14492899A Expired - Fee Related JP4101975B2 (ja) 1998-12-02 1999-05-25 可搬型記憶媒体を用いたデータ記録/再生装置

Country Status (1)

Country Link
JP (1) JP4101975B2 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002229835A (ja) * 2001-01-31 2002-08-16 Olympus Optical Co Ltd コンピュータによるファイル管理システムおよびそのプログラムとプログラム記録媒体
US7492565B2 (en) 2001-09-28 2009-02-17 Epcos Ag Bandpass filter electrostatic discharge protection device
DE10246098A1 (de) 2002-10-02 2004-04-22 Epcos Ag Schaltungsanordnung
US7562230B2 (en) * 2003-10-14 2009-07-14 Intel Corporation Data security
JP4084827B2 (ja) * 2004-04-02 2008-04-30 松下電器産業株式会社 不正コンテンツ検知システム
JP4712316B2 (ja) * 2004-05-24 2011-06-29 シャープ株式会社 画像記憶装置,画像処理装置,画像記憶方法,画像記憶プログラムおよび画像記憶プログラムを記録した記録媒体
JP4655545B2 (ja) * 2004-08-23 2011-03-23 ソニー株式会社 メモリーカード及び再生装置
JP4655547B2 (ja) * 2004-08-24 2011-03-23 ソニー株式会社 メモリーカード及びその作成方法
WO2006038776A1 (en) * 2004-10-06 2006-04-13 Samsung Electronics Co., Ltd. Apparatus and method for securely storing data
US7711965B2 (en) 2004-10-20 2010-05-04 Intel Corporation Data security
JP4734906B2 (ja) * 2004-12-07 2011-07-27 ソニー株式会社 情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラム
JP3943118B2 (ja) * 2005-04-28 2007-07-11 Sbシステム株式会社 電子情報保存方法及び装置、電子情報分割保存方法及び装置、電子情報分割復元処理方法及び装置並びにそれらのプログラム
JP2008085986A (ja) * 2006-08-30 2008-04-10 Ricoh Co Ltd データ変換装置と電子装置とデータ変換方法
WO2010010616A1 (ja) * 2008-07-23 2010-01-28 富士通株式会社 記録制御装置、記録制御方法および記録制御プログラム
JP2011186889A (ja) * 2010-03-10 2011-09-22 Hitachi East Japan Solutions Ltd 記憶媒体、記憶媒体制御装置、記憶媒体制御方法、及び記憶媒体制御プログラム
JP6665616B2 (ja) * 2016-03-22 2020-03-13 日本電気株式会社 ストレージシステム
WO2018211676A1 (en) * 2017-05-18 2018-11-22 Nec Corporation Multiparty computation method, apparatus and program

Also Published As

Publication number Publication date
JP2000228060A (ja) 2000-08-15

Similar Documents

Publication Publication Date Title
JP4101975B2 (ja) 可搬型記憶媒体を用いたデータ記録/再生装置
US7269741B2 (en) Recording apparatus, medium, method, and related computer program
US7570560B2 (en) System and method for logical shredding of data stored on WORM media
US8495365B2 (en) Content processing apparatus and encryption processing method
US7298844B2 (en) Recording/reproducing apparatus, data moving method, and data deletion method
JP2001297038A (ja) データ記憶装置および記録媒体並びに記録媒体制御方法
US9558128B2 (en) Selective management of security data
US7216207B1 (en) System and method for fast, secure removal of objects from disk storage
JP4770012B2 (ja) メモリ装置
CN115268793A (zh) 一种基于数据加密和覆写的数据安全删除方法
US8429401B2 (en) Method and apparatus for virtually erasing data from WORM storage devices
JP3773697B2 (ja) メディア固有化情報を移動可能にする情報記録方法
US6671806B2 (en) Watermark detector
KR20010043582A (ko) 기록 액세스시에 위치와 키를 무작위화하여 저장매체 상에복제 방지를 하는 방법 및 장치
JP4895990B2 (ja) 画像処理装置及びデータ消去方法
US8983072B2 (en) Portable data carrier featuring secure data processing
KR20080041420A (ko) 보안 데이터를 관리하는 장치 및 그 방법
JP2000132459A (ja) データ保存システム
JP2006065503A (ja) 権利情報を格納した記録媒体、情報処理装置及び権利情報の管理方法
JP3981303B2 (ja) 半導体メモリカード、記録装置、プログラム、方法
US20250272007A1 (en) Data storage device and method of access in confidential mode and normal mode
JP2001356964A (ja) 暗号化データ記憶装置
JP2003273859A (ja) フラッシュメモリへの暗号情報の格納方法およびフラッシュメモリ用ドライブ
JP2004110932A (ja) フラッシュメモリ及びそのデータ書き換え方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060116

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070604

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070619

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070810

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071016

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080311

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080321

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110328

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110328

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120328

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120328

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130328

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140328

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees