JP4266412B2 - データ保存システム - Google Patents
データ保存システム Download PDFInfo
- Publication number
- JP4266412B2 JP4266412B2 JP30410998A JP30410998A JP4266412B2 JP 4266412 B2 JP4266412 B2 JP 4266412B2 JP 30410998 A JP30410998 A JP 30410998A JP 30410998 A JP30410998 A JP 30410998A JP 4266412 B2 JP4266412 B2 JP 4266412B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- file
- medium
- data file
- storage medium
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明はデータ保存システムに関するものである。
【0002】
【従来の技術】
例えば光磁気ディスクやCD−R,DVD,DAT等の可搬型保存媒体に、テキストファイルや画像ファイル等のデジタルデータを保存した場合には、悪意あるユーザが、当該デジタルデータを全く形跡を残すことなく改竄したり、不正に他のファイルと差し替えたり、不正に消去することが可能である。
【0003】
データの改竄検知に関しては、保存するデータファイルに電子署名を付ける方法が一般的である(例えば、特開平7−221751号公報や特開平7−131449号公報等)。電子署名法は暗号技術を用いた方法であり、基本的にはデータに公知の処理を施してあるコードを抽出し、そのコードを本人しか知らない暗号鍵を用いて暗号化したものを改竄防止用のコード(電子署名)として、オリジナルのデータファイルに対応させて保存することからなる。改竄の有無を検知するには、まず、検知するデータに上記の公知の処理を施してコード1を抽出する。また、電子署名データを復号用の鍵を用いて復号してコード2を取り出す。その後、コード1とコード2を比較することで、両者が一致した場合には改竄がなかった、一致しない場合は改竄があったことがわかる。
【0004】
電子署名を用いる通常の方法では、データファイル作成者以外の第3者がデータ内容を改竄するとそれを検知することができる。しかし、この方法では、データファイル作成者はいつでもデータから電子署名を作成できるため、本物の書類作成後、何時でもデータファイルを作成しなおし、自分しか知らない暗号鍵を用いて、そのデータファイルがあたかも本物であるかのように、電子署名を付与することが可能である。例えば、3年前に作成した公文書(デジタルデータ)の内容を、時間を3年遅らせたPCを用いて改竄し、自分しか知らない暗号鍵を用いて電子署名を付与することで、あたかも3年前に作成した公文書で内容は3年前から改竄されていないように見せかけることができてしまう。問題となるのは、改竄防止用のコードである電子署名を作成する手段(暗号鍵)を、ユーザが自由に使用できるという点である。
【0005】
上記のような問題を克服するためには、データファイルの改竄防止用コード作成のための暗号鍵を、ユーザではなく、ハードウェア及びソフトウェア的に安全性が確保されたデータ保存装置が管理し、改竄防止コードはユーザが自由に作成できないようにすることで実現できる。
【0006】
【発明が解決しようとする課題】
しかし、上記の方法を用いた場合でも、可搬型保存媒体からデータファイルを消去するという改竄は検知することができない。また、ユーザが上記のデータ保存装置を用いて不正に作成したデータファイルと本物のデータファイルを差し替えるという改竄も検知することができない。つまり、データ作成時に予め本物のデータファイルと偽りの内容を記録している偽物のデータファイルとを上記データ保存装置で作成し、それぞれ別の可搬型保存媒体1,2上に同名のファイルで格納する(この場合、第3者は、偽物を格納した可搬型保存媒体の存在を知らない)。どちらも、データ保存装置の電子署名を持っており、データファイルとしては改竄されていないことが示される。その後、汎用のPCなどを用いて、可搬型保存媒体2上の偽物のデータファイルを、可搬型保存媒体1上の本物のデータファイルに上書きすることで、データファイルを不正の痕跡を残さずに差し替えることができてしまう。
【0007】
本発明は、このような課題に着目してなされたものであり、その目的とするところは、汎用の保存媒体上に格納するデータファイルに対して、上述したような消去や差し替えを含む改竄がなされたことを検知できるデータ保存システムを提供することを目的とする。
【0008】
【課題を解決するための手段】
上記の目的を達成するために、本発明の第1の態様に係るデータ保存システムは、ファイル管理機能を用いて保存媒体に対してデータの保存、削除等を行なうデータ保存装置を備えたデータ保存システムであって、前記データ保存装置に固有の秘密情報を格納する格納手段と、前記格納手段に格納された秘密情報と、保存すべきデータとを用いて所定の暗号化処理を行うことにより前記保存すべきデータの改竄防止用データである第1の電子署名データを生成する生成手段と、前記保存すべきデータと前記第1の電子署名データとを対応させて前記保存媒体に記録する第1の記録手段と、前記保存媒体に予め記録されている媒体管理用データファイルに、前記第1の電子署名データを、前記保存すべきデータのファイルを識別する情報と対応させて記録する第2の記録手段と、前記格納手段に格納されている秘密情報と、前記媒体管理用データファイルを用いて所定の暗号化処理を行うことにより、前記媒体管理用データファイルの改竄防止用データである第2の電子署名データを作成し、該第2の電子署名データと前記媒体管理用データファイルとを対応させて、前記保存媒体に記録する第3の記録手段と、を具備するデータ保存システムにおいて、前記保存媒体に記録されている媒体管理用データファイルからメッセージダイジェストを抽出し、前記媒体管理用データファイルの前記第2の電子署名データを、前記格納手段に格納された復号鍵を用いて第2のコードに変換し、前記メッセージダイジェストと前記第2のコードとを比較することによって、前記媒体管理用データファイルが改竄されているか否かを検知する第1の検知手段と、前記媒体管理用データファイルに登録されているファイルを全て、前記保存媒体上に存在しているか否かを確認する確認手段と、前記媒体管理用データファイルのレコードに登録されているデータファイルの前記第1の電子署名データと、保存媒体上に前記データファイルと対応させて記録されている前記データファイルの前記第1の電子署名データとが一致するかどうかを検知する第2の検知手段と、前記保存媒体に保存された前記保存すべきデータからメッセージダイジェストを抽出し、対応する前記第1の電子署名データを、前記格納手段に格納されている復号鍵を用いて第1のコードに変換し、前記メッセージダイジェストと前記第1のコードとを比較することによって、前記保存すべきデータが改竄されているか否かを検知する第3の検知手段と、を具備する。
【0009】
また、本発明の第2の態様に係るデータ保存システムは、第1の態様に係るデータ保存システムにおいて、前記保存すべきデータは、通信回線を介して外部装置から送られてきたデータか、あるいは、前記データ保存装置のデータ入力機能を用いて入力されたデータである。
【0010】
また、本発明の第3の態様に係る発明は、第2の態様に係る発明において、前記保存媒体を初期化するとき、あるいは初めてファイルを記録するときに、前記媒体管理用データファイルを前記保存媒体に記録する手段を有する。
【0011】
また、本発明の第4の態様に係るデータ保存システムは、第1または第2の態様に係るデータ保存システムにおいて、前記ファイル管理機能は、前記保存媒体上のデータファイルを削除するときに、前記媒体管理用データファイルから消去するデータファイルのレコードも削除する機能を持つ。
【0012】
また、本発明の第5の態様に係るデータ保存システムは、第1から第4のいずれか1つの態様に係るデータ保存システムにおいて、前記保存媒体は、前記データ保存装置に着脱自在な可搬型保存媒体か、あるいは、前記データ保存装置内に配置された固定型保存媒体である。
【0015】
【発明の実施の形態】
まず、図1及び図2を参照して本発明の実施形態の概略を説明する。本実施形態のデータ保存システムを用いて保存媒体にデータを記録するときには、まず、図1に示すように、データ保存装置内の秘密情報を用いてデータファイルから改竄防止用データ(ここでは電子署名)を作成し(ステップS1)、この作成した電子署名を当該データファイルと対応付けて可搬型保存媒体に記録する(ステップS2)。
【0016】
次に、記録したデータファイルの改竄防止用データ(電子署名)をデータファイルの識別情報と共にレコードとして、可搬型保存媒体上の保存媒体管理用の管理ファイル(以下、媒体管理用データファイルと呼ぶ)に記録する(ステップS3)。
【0017】
次に、上記媒体管理用データファイルに対しても改竄防止用データ(電子署名)を作成して(ステップS4)、可搬型保存媒体上に記録する(ステップS5)。
【0018】
次に上記のようにして記録されたデータが不正な第3者によって改竄されたかどうかを検証する方法を図2を参照して説明する。改竄検証の要求があったときには、まず媒体管理用データファイルの改竄を検証する(ステップS10)。次に登録されている全てのデータファイルの存在を確認し(ステップS11)、媒体管理用データファイルのレコード中の改竄防止用データと、対応するデータファイルの改竄防止用データ(電子署名)とを比較する(ステップS12)。このようにして全てのデータファイルに対して改竄を検証する(ステップS13)。
【0019】
すなわち、媒体管理用データファイルは、可搬型保存媒体に必ず1つずつ存在するはずなので、当該ファイルが存在しない場合には、可搬型保存媒体に対して不正な処理がなされたことを検知できる。また、媒体管理用データファイルの改竄防止用データ(電子署名)から、媒体管理用データが改竄されたことが検知された場合にも、可搬型保存媒体に何らかの不正な処理がなされたことを検知することができる。
【0020】
また、媒体管理用データファイル中のレコードに記録されている改竄防止用データと対応するデータファイルの改竄防止用データが異なる場合には、不正な差し替えが行われたことが検知できる。
【0021】
また、媒体管理用データファイル中のレコードに存在するファイルが、可搬型保存媒体上に存在しない場合には、不正な消去が行われたことが検知できる。
また、データファイルと、このデータファイルの改竄防止用データを用いることで、通常の電子署名と同様の方法で、データファイルが改竄されているかどうかを調べることができる。この処理は、保存媒体上のすべてのデータファイルに対して行なう。
【0022】
以下に、上記した概略を後述する第1〜第3実施形態によりさらに詳細に説明する。ここでは改竄防止用データとして電子署名を用いた場合について説明するが、データの改竄を検知できるコードであるならば電子署名以外のコードであってもよいことは勿論である。
【0023】
図3は本発明の第1実施形態に係るデータ保存システムの構成を示す図であり、データ保存装置30と、このデータ保存装置30に着脱自在な可搬型保存媒体2とからなり、保存すべきデータは通信回線3を介してホストコンピュータ1から供給される。データ保存装置30としては、ハードウェア的にはコンピュータの本体部分だけを使い、本体外壁を強固にパッケージ化したような構成を用いる。また、可搬型保存媒体2としては、光ディスクや可搬型ハードディスク、DAT,PCMCIAカード型メモリ、コンパクトフラッシュメモリなどの汎用の記録媒体を用いる。同様に、記録媒体を駆動する装置としても汎用の媒体駆動装置が用いられる。
【0024】
図3に示すように、データ保存装置30は、通信回線3に接続可能な通信ポート11と、コマンド処理部12と、CPU21と、CPU作業用メモリ22と、プログラム格納用ROM23と、暗号鍵格納用メモリ24と、ファイル管理部25と、暗号・復号処理部26と、可搬型保存媒体2を駆動可能な可搬型保存媒体駆動装置27とを備えている。
【0025】
また、本実施形態では、ユーザは他のパソコン等の情報機器(図1ではホストコンピュータ1)から通信回路3を通してしか、データ保存装置30及び可搬型保存媒体2内のデータにアクセスできないようになっている。つまり、ユーザがデータ保存装置30にデータを保存するためには、ホストコンピュータ1から、コマンド、データ及び必要な各種属性値を通信回線3を通してデータ保存装置30へ送る。データ保存装置30側では、受け取ったコマンドが正当な処理要求である場合にのみ保存の処理を行う。このような、従来のデータ保存システムとしては、原本性保証電子保存システム(“原本性保証電子保存システムの開発−システムの構築”、MEDICAL IMAGING TECHNOLOGY,Vol.16 NO.4,p401−402,July 1998)がある。
【0026】
まず、可搬型保存媒体2を初期化する方法を説明する。ここで説明する初期化の方法は後述する第2、第3実施形態に対しても同様に適用することができる。
まず、ファイル管理部25の機能を用いて、可搬型保存媒体2にファイルが含まれているかどうかを調べる。ファイルが可搬型保存媒体2中に存在する場合には、初期化の処理は行わない。可搬型保存媒体2上にファイルが存在しない場合には、以下の手順で可搬型保存媒体2を初期化する。
【0027】
可搬型保存媒体2に対して必要に応じて論理フォーマットを施す。その後、可搬型保存媒体2上に媒体管理用データファイルを生成する。初期化時には媒体管理用データファイルに、データを初期化した時間や初期化したユーザに関する情報などを書き込む。次に、暗号鍵格納用メモリ24から電子署名作成用の暗号鍵データを読み出し、媒体管理用データファイルのデータと読み出した暗号鍵データから暗号・復号処理部26の機能を用いて改竄防止用データとしてデータ保存装置30の電子署名のデータを求めて、媒体管理用データファイルと対応づけて可搬型保存媒体2上に保存する。
【0028】
次に、第1実施形態におけるデータ保存方法を説明する。データを保存するときには、ホストコンピュータ1から通信回線3を通してデータを保存するためのコマンド、データ及び必要な各種属性値を受け取る。ここで、各種属性とは、ファイル名、ユーザのアカウント名、ファイルサイズ、ファイル生成時刻等のファイル属性値などがある。次に、暗号鍵格納用メモリ24から電子署名作成用の暗号鍵データを読み出し、前記暗号鍵データと上記データから暗号・復号処理部26の機能を用いて改竄防止用データとしてデータ保存装置30の電子署名を求めて、データファイルと対応付けて保存する。
【0029】
図4は可搬型保存媒体2に、保存するデータ1のファイル101と、データ1の電子署名102を対応付けて記録した状態を示している。その他のデータがある場合にはデータ2、データ3、…が電子署名2、3、…とそれぞれ対応付けて記録される。
【0030】
次に、データ保存装置30の電子署名のデータを、保存すべきデータファイルのファイル名などのファイル識別子とともに、媒体管理用データファイル103中にレコードとして保存する。
【0031】
図4は可搬型保存媒体2の媒体管理用データファイル103に、識別子1と電子署名1とを対応付けてデータファイル1のレコード105として記録した状態を示している。データ2、3、…がある場合には識別子2、3、…と電子署名2、3、…とが対応付けて記録される。
【0032】
その後、この媒体管理用データファイル103が改竄されないように、前記暗号鍵データを用いて媒体管理用データファイル103から、暗号・復号処理部26の機能を用いて媒体管理用データファイル103に対する改竄防止用コードであるデータ保存装置30の電子署名104を求め、媒体管理用データファイル103と対応させて可搬型保存媒体2上に保存する。なお、図中には示していないが媒体管理用データファイル103内には、前述した保存媒体初期化時の初期化データも記録されている。図4は可搬型保存媒体2上に媒体管理用データファイル103の電子署名104を記録した状態を示している。
【0033】
図5は本発明の第2実施形態に係るデータ保存システムの構成を示す図であり、データ保存装置として、デジタルカメラのような画像入力装置を用いた場合の例である。図中、図3と同じ番号のモジュールは図3と同じ機能を果たすことを意味する。
【0034】
データは、画像撮像部30にて図示していないレンズ系、CCD素子、A/D変換器、ファイルフォーマット作成部等を経て、画像データとしてCPU作業用メモリ22に蓄積される。その後、ユーザがデジタルカメラ40のユーザインタフェース29を通して、上記画像データを保存するという指示をデジタルカメラ40に送ると、暗号鍵格納用メモリ24から電子著名作成用の暗号鍵データを読み出し、暗号鍵と上記データから暗号・復号処理部26の機能を用いて改竄防止用データとして電子署名を求めて、図4に示すようにデータファイル101と対応付けて保存する。
【0035】
さらに、この時に電子署名のデータを、保存するデータファイルのファイル名などのファイル識別子とともに媒体管理用データファイル103中にレコード105として保存する。その後、この媒体管理用データファイル103が改竄されないように、前記暗号鍵データと媒体管理用データファイル103から、暗号・復号処理部26の機能を用いて媒体管理用データファイル103の電子署名を求め、媒体管理用データファイル103と対応させて可搬型保存媒体2上に保存する。
【0036】
図6は本発明の第3実施形態に係るデータ保存システムの構成を示す図であり、データ保存装置としてデジタル録音機のような音声入力装置を用いた場合の例である。図中、図3と同じ番号のモジュールは図3と同じ機能を果たすことを意味する。
【0037】
データは、音声入力部50にて図示していないマイク、A/D変換器、ファイルフォーマット作成部等を経て、音声データとしてCPU作業用メモリ22に蓄積される。その後、ユーザがデジタル録音機60のユーザインタフェース29を通して、上記音声データを保存するというコマンドを入力すると、暗号鍵格納用メモリ24から電子署名作成用の暗号鍵データを読み出し、暗号鍵と上記データから暗号・復号処理部26の機能を用いて改竄防止用データとして電子署名を求めて、図4に示すようにデータファイル101と対応付けて保存する。
【0038】
さらに、この時に電子署名のデータを媒体管理用データファイル103中に、保存するデータファイルのファイル名などのファイル識別子とともにレコード105として保存する。その後、この媒体管理用データファイル103自体が改竄されないように、前記暗号鍵データと媒体管理用データファイル103のデータから、暗号・復号処理部26の機能を用いて媒体管理用データファイル103の電子署名104を求め、媒体管理用データファイル103と対応させて可搬型保存媒体2上に保存する。
【0039】
次に、本実施形態のデータ保存システムを用いて可搬型保存媒体2からデータファイルを正規の手続きで消去する方法について説明する。
第1実施形態の場合は、ホストコンピュータ1から送られてきたデータファイルを消去するコマンドに応じて、可搬型保存媒体2上の指定されたファイルを消去する。第2、第3実施形態の場合には、ユーザインタフェース29を用いてユーザが入力したデータファイル消去要求に応じて、可搬型保存媒体2上の指定されたファイルを消去する。
【0040】
データファイルを可搬型保存媒体2から消去する場合には、同時に媒体管理用データファイル103上の消去するデータファイルのレコードも削除する。その後、暗号鍵格納用メモリ24から電子署名作成用の暗号鍵データを読み出し、媒体管理用データファイル103と暗号鍵データから暗号・復号処理部26の機能を用いて改竄防止用データとしてデータ保存装置の電子署名104のデータを作成しなおし、媒体管理用データファイル103と対応づけて可搬型保存媒体2上に上書きにより保存する。
【0041】
なお、レコードの削除は、媒体管理用データファイル103から実際に削除しても良いし、また、各レコードの先頭などに削除されたかどうかを示すフラグを設け、例えばそのレコードが存在するなら対応するフラグを1に、削除されたなら0にすることで、媒体管理用データファイル103からレコードを削除したことにしてもよい(後者を仮削除と呼ぶ)。なお、仮削除をする場合には、媒体管理用データファイル103に対応する電子署名104を作成する際にフラグの情報も含める。
【0042】
次に、本実施形態のデータ保存システムを用いて可搬型保存媒体2からデータファイルの識別子を正規の手続きで変更する手法について説明する。ファイル名の変更、ディレクトリの変更等、ファイル識別子を変更する場合には、同時に媒体管理用データファイル103上の対応するレコードのファイル識別子をも変更する。その後、暗号鍵格納用メモリ24から電子署名作成用の暗号鍵データを読み出し、媒体管理用データファイル103と暗号鍵データから暗号・復号処理部26の機能を用いて改竄防止用データとしてデータ保存装置30の電子署名のデータを作成しなおし、媒体管理用データファイル103と対応づけて可搬型保存媒体2上に上書きにより保存する。
【0043】
次に、第1実施形態の方法を用いて本実施形態のデータ保存システムの不正な消去を含むデータの改竄検知の方法を説明する。改竄検知の方法は、基本的に第2、第3実施形態においても同様である。第1実施形態の場合と異なる処理を行う必要のある部分については個々に説明する。
【0044】
まず、可搬型保存媒体2上のデータファイルの改竄を検知するために、各々のデータファイル(媒体管理用データファイルを含む)のデータ及び、対応する電子署名と暗号鍵格納用メモリ24から読み出した改竄検知用データとしての復号用の鍵から、暗号・復号処理部26の機能を用いて個々のファイルの改竄検知を行う。改竄の有無を検知するには、まず、検知するデータに所定の処理を施してメッセージ・ダイジェストと呼ばれるコード(コード1と呼ぶ)を抽出する。また、データファイルの電子署名データを、暗号鍵格納用メモリ24から読み出した復号用の鍵を用いて復号してコード(コード2と呼ぶ)を取り出す。
【0045】
その後、前記所定の処理を施して得られたコード1と前記電子署名を復号化して得たコード2とを比較し、両者が一致している場合には改竄されていない、一致していない場合にはデータファイルが改竄されていると判断することで改竄検知の処理を行う。改竄されている場合には、第1実施形態の場合には通信回路3を介してホストコンピュータ1側に、第2、第3実施形態の場合にはユーザインタフェース29を介してユーザに改竄があったことを通知する。
【0046】
また、可搬型保存媒体2上のデータファイルの不正な消去を検知するには、ファイル管理部25の機能を用いて媒体管理用データファイル103にレコードとして登録されているファイルが、すべて可搬型保存媒体2上に存在するかどうかを調べる。もし、ファイルが一つでも存在しない場合には、データファイルが不正に消去させていることになる。不正な消去があった場合には、第1実施形態の場合には通信回路3を介してホストコンピュータ1側に、第2、第3実施形態の場合にはユーザインタフェース29を介してユーザに不正にデータが消去されたことを通知する。
【0047】
また、可搬型保存媒体2上のデータファイルの不正な差し替えを検知するには、ファイル管理部25の機能を用いて、保存されている全てのデータファイルの電子署名と媒体管理用データファイル103の対応するレコードに記録されている電子署名とを照合する。一致しないデータファイルがある場合には、そのファイルは不正に差し替えられたことになる。不正な差し替えがあった場合には、第1実施形態の場合には通信回線3を介してホストコンピュータ1側に、第2、第3実施形態の場合にはユーザインタフェース29を介してユーザに不正にデータが消去されたことを通知する。
【0048】
また、上記の処理を行っているときに、媒体管理用データファイル103にレコードが登録されていないファイルが可搬型保存媒体2上に存在した場合には、本実施形態のデータ保存システム以外のシステムを用いてデータファイルが保存されたことになり、この場合にも不正があったとして、第1実施形態の場合には通信回線3を介してホストコンピュータ1側に、第2、第3実施形態の場合にはユーザインタフェース29を介してユーザに不正にデータが保存されていることを通知する。
【0049】
さらに、改竄防止用データ作成及び改竄検知の手段として、公開鍵暗号方式のように、改竄防止用データ作成時と改竄検知時で用いる情報(鍵)が異なるものを用いた場合、改竄防止用データ作成のための情報だけをデータ保存装置内に安全に格納すればよいので、改竄検知用の情報を公開することでデータ保存装置以外の汎用の装置でも改竄検知の処理を行うことができる。
【0050】
なお、上記実施形態中では媒体管理データのレコード中には、データファイルの識別子とデータファイルの電子署名を記録するとしか記述しなかったが、ファイルに関する他の情報等をレコードの属性中に定義しても構わない。例えば、媒体管理データ中のレコードを検索で使えるようにするためにレコード中に、キーワードを含めるといった構成も考えられる。
【0051】
また、媒体管理用データファイルとして、可搬型保存媒体2上の全てのファイルをまとめて1つのファイルとしたものを用いても、(このファイルを媒体管理用データファイル′と呼ぶ)、改竄検知に関しては同様の効果は得られる。しかし、この場合には媒体管理用データファイル′のサイズが非常に大きくなり、電子署名104を作成するために処理時間が非常に長くかかってしまう。しかも、電子署名104は可搬型保存媒体上のどのファイルを更新しても、必ず更新される必要があるため非常に効率の悪いデータ保存システムになってしまう。
【0052】
一方、本実施形態で提案した手法では媒体管理用データファイルに記録されるデータは、前記媒体管理用データファイル′に比べ非常に小さくなる。媒体管理用データファイルのレコードのサイズは、ファイルの識別子とファイルに対応した電子署名のサイズの合計なのでせいぜい数百バイトであり、一方、通常のファイルのサイズは、数十キロ〜数メガバイトである。したがって、媒体管理用データファイルは媒体管理用データファイル′に比べて1/100〜1/10000程度小さくなる。そのため、提案した手法を用いることで電子署名104を更新するための処理時間は短くなる。
【0053】
以上、上記した実施形態を要約すると以下のようになる。すなわち、データ保存システムを用いてデータファイルを保存するときには、データファイルの改竄防止用データ(電子署名)を作成して、データファイルと対応付けて可搬型保存媒体2上に保存するとともに、媒体管理用データファイル103にデータファイルの識別子と前記改竄防止用データをレコードとして記録し、さらに、媒体管理用データファイル103の改竄防止用データを作成して、可搬型保存媒体2上に保存する。
【0054】
また、データ保存システムを用いて改竄を検知するときには、前記媒体管理用データファイル103と媒体管理用データファイル103の改竄防止用データ104を用いて改竄の有無を検証する。さらに、媒体管理用データファイル103のレコードに登録されているデータファイルが全て可搬型保存媒体2上に存在するかどうかを確認し、不正な消去が行われなかったか確認する。また、データファイルの改竄防止用データと、媒体管理用データファイル103のレコードに記録されているデータファイルの改竄防止用データを照合し、一致しているかどうかを調べることで、データファイルの不正な差し替えがなかったか否かを確認する。その後、可搬型保存媒体2上の各データファイルと対応する改竄防止用データを用いてデータファイルの改竄の有無を検証する。
【0055】
以上の処理において、不正を検知した場合には通信回線3、もしくはインタフェース29を用いてユーザに不正があったことを通知する。
上記した実施形態によれば、データ保存装置以外には、可搬型保存媒体2にデータを保存するときに作成する改竄防止用データを作成できないようにすることが可能となる。また、可搬型保存媒体2に保存される全てのファイルの改竄防止用データは、可搬型保存媒体2上の媒体管理用データファイル103に登録され、媒体管理用データファイル103自体にも改竄防止用データが付けられる。以上の処理を行うことで、データファイルの不正消去、不正コピーを含む可搬型保存媒体2上のファイルの改竄を防止することが可能となる。
【0056】
つまり、データファイルの改竄防止用データを調べることで、データファイルが本実施形態の保存システム以外のシステムを用いて不正に改竄されたかどうかを検知できる。また、媒体管理用データファイル103に登録されている改竄防止用データと、対応するデータファイルの改竄防止用データを比較することで、本実施形態の保存システム以外のシステムを用いて不正にデータファイルが消去、あるいはコピーされたかどうかを検知できる。このようにして、汎用の可搬型保存媒体を用いても、データファイルの不正な消去、コピーを含む改竄を防止できる。
【0057】
なお、上記した実施形態ではデータ保存装置に着脱自在な可搬型保存媒体を用いたが、データ保存装置内に配置された固定型保存媒体を用いるようにしてもよい。
【図面の簡単な説明】
【図1】本発明の実施形態に係るデータ保存方法を説明するためのフローチャートである。
【図2】記録されたデータが不正な第3者によって改竄されたかどうかを検証する方法を説明するためのフローチャートである。
【図3】本発明の第1実施形態に係るデータ保存システムの構成を示す図である。
【図4】可搬型保存媒体に本実施形態の方法によりデータファイルを保存した状態を示す図である。
【図5】本発明の第2実施形態に係るデータ保存システムの構成を示す図である。
【図6】本発明の第3実施形態に係るデータ保存システムの構成を示す図である。
【符号の説明】
1…ホストコンピュータ、
2…可搬型保存媒体、
3…通信回線、
11…通信ポート、
12…コマンド処理部、
21…CPU、
22…CPU作業用メモリ、
23…プログラム格納用ROM、
24…暗号鍵格納用メモリ、
25…ファイル管理部、
26…暗号・復号処理部、
27…可搬型保存媒体駆動装置、
28…ハードディスク、
101…保存するデータ1のファイル、
102…データ1の電子署名、
103…媒体管理用データファイル、
104…媒体管理用データファイルの電子署名、
105…データファイル1のレコード。
【発明の属する技術分野】
本発明はデータ保存システムに関するものである。
【0002】
【従来の技術】
例えば光磁気ディスクやCD−R,DVD,DAT等の可搬型保存媒体に、テキストファイルや画像ファイル等のデジタルデータを保存した場合には、悪意あるユーザが、当該デジタルデータを全く形跡を残すことなく改竄したり、不正に他のファイルと差し替えたり、不正に消去することが可能である。
【0003】
データの改竄検知に関しては、保存するデータファイルに電子署名を付ける方法が一般的である(例えば、特開平7−221751号公報や特開平7−131449号公報等)。電子署名法は暗号技術を用いた方法であり、基本的にはデータに公知の処理を施してあるコードを抽出し、そのコードを本人しか知らない暗号鍵を用いて暗号化したものを改竄防止用のコード(電子署名)として、オリジナルのデータファイルに対応させて保存することからなる。改竄の有無を検知するには、まず、検知するデータに上記の公知の処理を施してコード1を抽出する。また、電子署名データを復号用の鍵を用いて復号してコード2を取り出す。その後、コード1とコード2を比較することで、両者が一致した場合には改竄がなかった、一致しない場合は改竄があったことがわかる。
【0004】
電子署名を用いる通常の方法では、データファイル作成者以外の第3者がデータ内容を改竄するとそれを検知することができる。しかし、この方法では、データファイル作成者はいつでもデータから電子署名を作成できるため、本物の書類作成後、何時でもデータファイルを作成しなおし、自分しか知らない暗号鍵を用いて、そのデータファイルがあたかも本物であるかのように、電子署名を付与することが可能である。例えば、3年前に作成した公文書(デジタルデータ)の内容を、時間を3年遅らせたPCを用いて改竄し、自分しか知らない暗号鍵を用いて電子署名を付与することで、あたかも3年前に作成した公文書で内容は3年前から改竄されていないように見せかけることができてしまう。問題となるのは、改竄防止用のコードである電子署名を作成する手段(暗号鍵)を、ユーザが自由に使用できるという点である。
【0005】
上記のような問題を克服するためには、データファイルの改竄防止用コード作成のための暗号鍵を、ユーザではなく、ハードウェア及びソフトウェア的に安全性が確保されたデータ保存装置が管理し、改竄防止コードはユーザが自由に作成できないようにすることで実現できる。
【0006】
【発明が解決しようとする課題】
しかし、上記の方法を用いた場合でも、可搬型保存媒体からデータファイルを消去するという改竄は検知することができない。また、ユーザが上記のデータ保存装置を用いて不正に作成したデータファイルと本物のデータファイルを差し替えるという改竄も検知することができない。つまり、データ作成時に予め本物のデータファイルと偽りの内容を記録している偽物のデータファイルとを上記データ保存装置で作成し、それぞれ別の可搬型保存媒体1,2上に同名のファイルで格納する(この場合、第3者は、偽物を格納した可搬型保存媒体の存在を知らない)。どちらも、データ保存装置の電子署名を持っており、データファイルとしては改竄されていないことが示される。その後、汎用のPCなどを用いて、可搬型保存媒体2上の偽物のデータファイルを、可搬型保存媒体1上の本物のデータファイルに上書きすることで、データファイルを不正の痕跡を残さずに差し替えることができてしまう。
【0007】
本発明は、このような課題に着目してなされたものであり、その目的とするところは、汎用の保存媒体上に格納するデータファイルに対して、上述したような消去や差し替えを含む改竄がなされたことを検知できるデータ保存システムを提供することを目的とする。
【0008】
【課題を解決するための手段】
上記の目的を達成するために、本発明の第1の態様に係るデータ保存システムは、ファイル管理機能を用いて保存媒体に対してデータの保存、削除等を行なうデータ保存装置を備えたデータ保存システムであって、前記データ保存装置に固有の秘密情報を格納する格納手段と、前記格納手段に格納された秘密情報と、保存すべきデータとを用いて所定の暗号化処理を行うことにより前記保存すべきデータの改竄防止用データである第1の電子署名データを生成する生成手段と、前記保存すべきデータと前記第1の電子署名データとを対応させて前記保存媒体に記録する第1の記録手段と、前記保存媒体に予め記録されている媒体管理用データファイルに、前記第1の電子署名データを、前記保存すべきデータのファイルを識別する情報と対応させて記録する第2の記録手段と、前記格納手段に格納されている秘密情報と、前記媒体管理用データファイルを用いて所定の暗号化処理を行うことにより、前記媒体管理用データファイルの改竄防止用データである第2の電子署名データを作成し、該第2の電子署名データと前記媒体管理用データファイルとを対応させて、前記保存媒体に記録する第3の記録手段と、を具備するデータ保存システムにおいて、前記保存媒体に記録されている媒体管理用データファイルからメッセージダイジェストを抽出し、前記媒体管理用データファイルの前記第2の電子署名データを、前記格納手段に格納された復号鍵を用いて第2のコードに変換し、前記メッセージダイジェストと前記第2のコードとを比較することによって、前記媒体管理用データファイルが改竄されているか否かを検知する第1の検知手段と、前記媒体管理用データファイルに登録されているファイルを全て、前記保存媒体上に存在しているか否かを確認する確認手段と、前記媒体管理用データファイルのレコードに登録されているデータファイルの前記第1の電子署名データと、保存媒体上に前記データファイルと対応させて記録されている前記データファイルの前記第1の電子署名データとが一致するかどうかを検知する第2の検知手段と、前記保存媒体に保存された前記保存すべきデータからメッセージダイジェストを抽出し、対応する前記第1の電子署名データを、前記格納手段に格納されている復号鍵を用いて第1のコードに変換し、前記メッセージダイジェストと前記第1のコードとを比較することによって、前記保存すべきデータが改竄されているか否かを検知する第3の検知手段と、を具備する。
【0009】
また、本発明の第2の態様に係るデータ保存システムは、第1の態様に係るデータ保存システムにおいて、前記保存すべきデータは、通信回線を介して外部装置から送られてきたデータか、あるいは、前記データ保存装置のデータ入力機能を用いて入力されたデータである。
【0010】
また、本発明の第3の態様に係る発明は、第2の態様に係る発明において、前記保存媒体を初期化するとき、あるいは初めてファイルを記録するときに、前記媒体管理用データファイルを前記保存媒体に記録する手段を有する。
【0011】
また、本発明の第4の態様に係るデータ保存システムは、第1または第2の態様に係るデータ保存システムにおいて、前記ファイル管理機能は、前記保存媒体上のデータファイルを削除するときに、前記媒体管理用データファイルから消去するデータファイルのレコードも削除する機能を持つ。
【0012】
また、本発明の第5の態様に係るデータ保存システムは、第1から第4のいずれか1つの態様に係るデータ保存システムにおいて、前記保存媒体は、前記データ保存装置に着脱自在な可搬型保存媒体か、あるいは、前記データ保存装置内に配置された固定型保存媒体である。
【0015】
【発明の実施の形態】
まず、図1及び図2を参照して本発明の実施形態の概略を説明する。本実施形態のデータ保存システムを用いて保存媒体にデータを記録するときには、まず、図1に示すように、データ保存装置内の秘密情報を用いてデータファイルから改竄防止用データ(ここでは電子署名)を作成し(ステップS1)、この作成した電子署名を当該データファイルと対応付けて可搬型保存媒体に記録する(ステップS2)。
【0016】
次に、記録したデータファイルの改竄防止用データ(電子署名)をデータファイルの識別情報と共にレコードとして、可搬型保存媒体上の保存媒体管理用の管理ファイル(以下、媒体管理用データファイルと呼ぶ)に記録する(ステップS3)。
【0017】
次に、上記媒体管理用データファイルに対しても改竄防止用データ(電子署名)を作成して(ステップS4)、可搬型保存媒体上に記録する(ステップS5)。
【0018】
次に上記のようにして記録されたデータが不正な第3者によって改竄されたかどうかを検証する方法を図2を参照して説明する。改竄検証の要求があったときには、まず媒体管理用データファイルの改竄を検証する(ステップS10)。次に登録されている全てのデータファイルの存在を確認し(ステップS11)、媒体管理用データファイルのレコード中の改竄防止用データと、対応するデータファイルの改竄防止用データ(電子署名)とを比較する(ステップS12)。このようにして全てのデータファイルに対して改竄を検証する(ステップS13)。
【0019】
すなわち、媒体管理用データファイルは、可搬型保存媒体に必ず1つずつ存在するはずなので、当該ファイルが存在しない場合には、可搬型保存媒体に対して不正な処理がなされたことを検知できる。また、媒体管理用データファイルの改竄防止用データ(電子署名)から、媒体管理用データが改竄されたことが検知された場合にも、可搬型保存媒体に何らかの不正な処理がなされたことを検知することができる。
【0020】
また、媒体管理用データファイル中のレコードに記録されている改竄防止用データと対応するデータファイルの改竄防止用データが異なる場合には、不正な差し替えが行われたことが検知できる。
【0021】
また、媒体管理用データファイル中のレコードに存在するファイルが、可搬型保存媒体上に存在しない場合には、不正な消去が行われたことが検知できる。
また、データファイルと、このデータファイルの改竄防止用データを用いることで、通常の電子署名と同様の方法で、データファイルが改竄されているかどうかを調べることができる。この処理は、保存媒体上のすべてのデータファイルに対して行なう。
【0022】
以下に、上記した概略を後述する第1〜第3実施形態によりさらに詳細に説明する。ここでは改竄防止用データとして電子署名を用いた場合について説明するが、データの改竄を検知できるコードであるならば電子署名以外のコードであってもよいことは勿論である。
【0023】
図3は本発明の第1実施形態に係るデータ保存システムの構成を示す図であり、データ保存装置30と、このデータ保存装置30に着脱自在な可搬型保存媒体2とからなり、保存すべきデータは通信回線3を介してホストコンピュータ1から供給される。データ保存装置30としては、ハードウェア的にはコンピュータの本体部分だけを使い、本体外壁を強固にパッケージ化したような構成を用いる。また、可搬型保存媒体2としては、光ディスクや可搬型ハードディスク、DAT,PCMCIAカード型メモリ、コンパクトフラッシュメモリなどの汎用の記録媒体を用いる。同様に、記録媒体を駆動する装置としても汎用の媒体駆動装置が用いられる。
【0024】
図3に示すように、データ保存装置30は、通信回線3に接続可能な通信ポート11と、コマンド処理部12と、CPU21と、CPU作業用メモリ22と、プログラム格納用ROM23と、暗号鍵格納用メモリ24と、ファイル管理部25と、暗号・復号処理部26と、可搬型保存媒体2を駆動可能な可搬型保存媒体駆動装置27とを備えている。
【0025】
また、本実施形態では、ユーザは他のパソコン等の情報機器(図1ではホストコンピュータ1)から通信回路3を通してしか、データ保存装置30及び可搬型保存媒体2内のデータにアクセスできないようになっている。つまり、ユーザがデータ保存装置30にデータを保存するためには、ホストコンピュータ1から、コマンド、データ及び必要な各種属性値を通信回線3を通してデータ保存装置30へ送る。データ保存装置30側では、受け取ったコマンドが正当な処理要求である場合にのみ保存の処理を行う。このような、従来のデータ保存システムとしては、原本性保証電子保存システム(“原本性保証電子保存システムの開発−システムの構築”、MEDICAL IMAGING TECHNOLOGY,Vol.16 NO.4,p401−402,July 1998)がある。
【0026】
まず、可搬型保存媒体2を初期化する方法を説明する。ここで説明する初期化の方法は後述する第2、第3実施形態に対しても同様に適用することができる。
まず、ファイル管理部25の機能を用いて、可搬型保存媒体2にファイルが含まれているかどうかを調べる。ファイルが可搬型保存媒体2中に存在する場合には、初期化の処理は行わない。可搬型保存媒体2上にファイルが存在しない場合には、以下の手順で可搬型保存媒体2を初期化する。
【0027】
可搬型保存媒体2に対して必要に応じて論理フォーマットを施す。その後、可搬型保存媒体2上に媒体管理用データファイルを生成する。初期化時には媒体管理用データファイルに、データを初期化した時間や初期化したユーザに関する情報などを書き込む。次に、暗号鍵格納用メモリ24から電子署名作成用の暗号鍵データを読み出し、媒体管理用データファイルのデータと読み出した暗号鍵データから暗号・復号処理部26の機能を用いて改竄防止用データとしてデータ保存装置30の電子署名のデータを求めて、媒体管理用データファイルと対応づけて可搬型保存媒体2上に保存する。
【0028】
次に、第1実施形態におけるデータ保存方法を説明する。データを保存するときには、ホストコンピュータ1から通信回線3を通してデータを保存するためのコマンド、データ及び必要な各種属性値を受け取る。ここで、各種属性とは、ファイル名、ユーザのアカウント名、ファイルサイズ、ファイル生成時刻等のファイル属性値などがある。次に、暗号鍵格納用メモリ24から電子署名作成用の暗号鍵データを読み出し、前記暗号鍵データと上記データから暗号・復号処理部26の機能を用いて改竄防止用データとしてデータ保存装置30の電子署名を求めて、データファイルと対応付けて保存する。
【0029】
図4は可搬型保存媒体2に、保存するデータ1のファイル101と、データ1の電子署名102を対応付けて記録した状態を示している。その他のデータがある場合にはデータ2、データ3、…が電子署名2、3、…とそれぞれ対応付けて記録される。
【0030】
次に、データ保存装置30の電子署名のデータを、保存すべきデータファイルのファイル名などのファイル識別子とともに、媒体管理用データファイル103中にレコードとして保存する。
【0031】
図4は可搬型保存媒体2の媒体管理用データファイル103に、識別子1と電子署名1とを対応付けてデータファイル1のレコード105として記録した状態を示している。データ2、3、…がある場合には識別子2、3、…と電子署名2、3、…とが対応付けて記録される。
【0032】
その後、この媒体管理用データファイル103が改竄されないように、前記暗号鍵データを用いて媒体管理用データファイル103から、暗号・復号処理部26の機能を用いて媒体管理用データファイル103に対する改竄防止用コードであるデータ保存装置30の電子署名104を求め、媒体管理用データファイル103と対応させて可搬型保存媒体2上に保存する。なお、図中には示していないが媒体管理用データファイル103内には、前述した保存媒体初期化時の初期化データも記録されている。図4は可搬型保存媒体2上に媒体管理用データファイル103の電子署名104を記録した状態を示している。
【0033】
図5は本発明の第2実施形態に係るデータ保存システムの構成を示す図であり、データ保存装置として、デジタルカメラのような画像入力装置を用いた場合の例である。図中、図3と同じ番号のモジュールは図3と同じ機能を果たすことを意味する。
【0034】
データは、画像撮像部30にて図示していないレンズ系、CCD素子、A/D変換器、ファイルフォーマット作成部等を経て、画像データとしてCPU作業用メモリ22に蓄積される。その後、ユーザがデジタルカメラ40のユーザインタフェース29を通して、上記画像データを保存するという指示をデジタルカメラ40に送ると、暗号鍵格納用メモリ24から電子著名作成用の暗号鍵データを読み出し、暗号鍵と上記データから暗号・復号処理部26の機能を用いて改竄防止用データとして電子署名を求めて、図4に示すようにデータファイル101と対応付けて保存する。
【0035】
さらに、この時に電子署名のデータを、保存するデータファイルのファイル名などのファイル識別子とともに媒体管理用データファイル103中にレコード105として保存する。その後、この媒体管理用データファイル103が改竄されないように、前記暗号鍵データと媒体管理用データファイル103から、暗号・復号処理部26の機能を用いて媒体管理用データファイル103の電子署名を求め、媒体管理用データファイル103と対応させて可搬型保存媒体2上に保存する。
【0036】
図6は本発明の第3実施形態に係るデータ保存システムの構成を示す図であり、データ保存装置としてデジタル録音機のような音声入力装置を用いた場合の例である。図中、図3と同じ番号のモジュールは図3と同じ機能を果たすことを意味する。
【0037】
データは、音声入力部50にて図示していないマイク、A/D変換器、ファイルフォーマット作成部等を経て、音声データとしてCPU作業用メモリ22に蓄積される。その後、ユーザがデジタル録音機60のユーザインタフェース29を通して、上記音声データを保存するというコマンドを入力すると、暗号鍵格納用メモリ24から電子署名作成用の暗号鍵データを読み出し、暗号鍵と上記データから暗号・復号処理部26の機能を用いて改竄防止用データとして電子署名を求めて、図4に示すようにデータファイル101と対応付けて保存する。
【0038】
さらに、この時に電子署名のデータを媒体管理用データファイル103中に、保存するデータファイルのファイル名などのファイル識別子とともにレコード105として保存する。その後、この媒体管理用データファイル103自体が改竄されないように、前記暗号鍵データと媒体管理用データファイル103のデータから、暗号・復号処理部26の機能を用いて媒体管理用データファイル103の電子署名104を求め、媒体管理用データファイル103と対応させて可搬型保存媒体2上に保存する。
【0039】
次に、本実施形態のデータ保存システムを用いて可搬型保存媒体2からデータファイルを正規の手続きで消去する方法について説明する。
第1実施形態の場合は、ホストコンピュータ1から送られてきたデータファイルを消去するコマンドに応じて、可搬型保存媒体2上の指定されたファイルを消去する。第2、第3実施形態の場合には、ユーザインタフェース29を用いてユーザが入力したデータファイル消去要求に応じて、可搬型保存媒体2上の指定されたファイルを消去する。
【0040】
データファイルを可搬型保存媒体2から消去する場合には、同時に媒体管理用データファイル103上の消去するデータファイルのレコードも削除する。その後、暗号鍵格納用メモリ24から電子署名作成用の暗号鍵データを読み出し、媒体管理用データファイル103と暗号鍵データから暗号・復号処理部26の機能を用いて改竄防止用データとしてデータ保存装置の電子署名104のデータを作成しなおし、媒体管理用データファイル103と対応づけて可搬型保存媒体2上に上書きにより保存する。
【0041】
なお、レコードの削除は、媒体管理用データファイル103から実際に削除しても良いし、また、各レコードの先頭などに削除されたかどうかを示すフラグを設け、例えばそのレコードが存在するなら対応するフラグを1に、削除されたなら0にすることで、媒体管理用データファイル103からレコードを削除したことにしてもよい(後者を仮削除と呼ぶ)。なお、仮削除をする場合には、媒体管理用データファイル103に対応する電子署名104を作成する際にフラグの情報も含める。
【0042】
次に、本実施形態のデータ保存システムを用いて可搬型保存媒体2からデータファイルの識別子を正規の手続きで変更する手法について説明する。ファイル名の変更、ディレクトリの変更等、ファイル識別子を変更する場合には、同時に媒体管理用データファイル103上の対応するレコードのファイル識別子をも変更する。その後、暗号鍵格納用メモリ24から電子署名作成用の暗号鍵データを読み出し、媒体管理用データファイル103と暗号鍵データから暗号・復号処理部26の機能を用いて改竄防止用データとしてデータ保存装置30の電子署名のデータを作成しなおし、媒体管理用データファイル103と対応づけて可搬型保存媒体2上に上書きにより保存する。
【0043】
次に、第1実施形態の方法を用いて本実施形態のデータ保存システムの不正な消去を含むデータの改竄検知の方法を説明する。改竄検知の方法は、基本的に第2、第3実施形態においても同様である。第1実施形態の場合と異なる処理を行う必要のある部分については個々に説明する。
【0044】
まず、可搬型保存媒体2上のデータファイルの改竄を検知するために、各々のデータファイル(媒体管理用データファイルを含む)のデータ及び、対応する電子署名と暗号鍵格納用メモリ24から読み出した改竄検知用データとしての復号用の鍵から、暗号・復号処理部26の機能を用いて個々のファイルの改竄検知を行う。改竄の有無を検知するには、まず、検知するデータに所定の処理を施してメッセージ・ダイジェストと呼ばれるコード(コード1と呼ぶ)を抽出する。また、データファイルの電子署名データを、暗号鍵格納用メモリ24から読み出した復号用の鍵を用いて復号してコード(コード2と呼ぶ)を取り出す。
【0045】
その後、前記所定の処理を施して得られたコード1と前記電子署名を復号化して得たコード2とを比較し、両者が一致している場合には改竄されていない、一致していない場合にはデータファイルが改竄されていると判断することで改竄検知の処理を行う。改竄されている場合には、第1実施形態の場合には通信回路3を介してホストコンピュータ1側に、第2、第3実施形態の場合にはユーザインタフェース29を介してユーザに改竄があったことを通知する。
【0046】
また、可搬型保存媒体2上のデータファイルの不正な消去を検知するには、ファイル管理部25の機能を用いて媒体管理用データファイル103にレコードとして登録されているファイルが、すべて可搬型保存媒体2上に存在するかどうかを調べる。もし、ファイルが一つでも存在しない場合には、データファイルが不正に消去させていることになる。不正な消去があった場合には、第1実施形態の場合には通信回路3を介してホストコンピュータ1側に、第2、第3実施形態の場合にはユーザインタフェース29を介してユーザに不正にデータが消去されたことを通知する。
【0047】
また、可搬型保存媒体2上のデータファイルの不正な差し替えを検知するには、ファイル管理部25の機能を用いて、保存されている全てのデータファイルの電子署名と媒体管理用データファイル103の対応するレコードに記録されている電子署名とを照合する。一致しないデータファイルがある場合には、そのファイルは不正に差し替えられたことになる。不正な差し替えがあった場合には、第1実施形態の場合には通信回線3を介してホストコンピュータ1側に、第2、第3実施形態の場合にはユーザインタフェース29を介してユーザに不正にデータが消去されたことを通知する。
【0048】
また、上記の処理を行っているときに、媒体管理用データファイル103にレコードが登録されていないファイルが可搬型保存媒体2上に存在した場合には、本実施形態のデータ保存システム以外のシステムを用いてデータファイルが保存されたことになり、この場合にも不正があったとして、第1実施形態の場合には通信回線3を介してホストコンピュータ1側に、第2、第3実施形態の場合にはユーザインタフェース29を介してユーザに不正にデータが保存されていることを通知する。
【0049】
さらに、改竄防止用データ作成及び改竄検知の手段として、公開鍵暗号方式のように、改竄防止用データ作成時と改竄検知時で用いる情報(鍵)が異なるものを用いた場合、改竄防止用データ作成のための情報だけをデータ保存装置内に安全に格納すればよいので、改竄検知用の情報を公開することでデータ保存装置以外の汎用の装置でも改竄検知の処理を行うことができる。
【0050】
なお、上記実施形態中では媒体管理データのレコード中には、データファイルの識別子とデータファイルの電子署名を記録するとしか記述しなかったが、ファイルに関する他の情報等をレコードの属性中に定義しても構わない。例えば、媒体管理データ中のレコードを検索で使えるようにするためにレコード中に、キーワードを含めるといった構成も考えられる。
【0051】
また、媒体管理用データファイルとして、可搬型保存媒体2上の全てのファイルをまとめて1つのファイルとしたものを用いても、(このファイルを媒体管理用データファイル′と呼ぶ)、改竄検知に関しては同様の効果は得られる。しかし、この場合には媒体管理用データファイル′のサイズが非常に大きくなり、電子署名104を作成するために処理時間が非常に長くかかってしまう。しかも、電子署名104は可搬型保存媒体上のどのファイルを更新しても、必ず更新される必要があるため非常に効率の悪いデータ保存システムになってしまう。
【0052】
一方、本実施形態で提案した手法では媒体管理用データファイルに記録されるデータは、前記媒体管理用データファイル′に比べ非常に小さくなる。媒体管理用データファイルのレコードのサイズは、ファイルの識別子とファイルに対応した電子署名のサイズの合計なのでせいぜい数百バイトであり、一方、通常のファイルのサイズは、数十キロ〜数メガバイトである。したがって、媒体管理用データファイルは媒体管理用データファイル′に比べて1/100〜1/10000程度小さくなる。そのため、提案した手法を用いることで電子署名104を更新するための処理時間は短くなる。
【0053】
以上、上記した実施形態を要約すると以下のようになる。すなわち、データ保存システムを用いてデータファイルを保存するときには、データファイルの改竄防止用データ(電子署名)を作成して、データファイルと対応付けて可搬型保存媒体2上に保存するとともに、媒体管理用データファイル103にデータファイルの識別子と前記改竄防止用データをレコードとして記録し、さらに、媒体管理用データファイル103の改竄防止用データを作成して、可搬型保存媒体2上に保存する。
【0054】
また、データ保存システムを用いて改竄を検知するときには、前記媒体管理用データファイル103と媒体管理用データファイル103の改竄防止用データ104を用いて改竄の有無を検証する。さらに、媒体管理用データファイル103のレコードに登録されているデータファイルが全て可搬型保存媒体2上に存在するかどうかを確認し、不正な消去が行われなかったか確認する。また、データファイルの改竄防止用データと、媒体管理用データファイル103のレコードに記録されているデータファイルの改竄防止用データを照合し、一致しているかどうかを調べることで、データファイルの不正な差し替えがなかったか否かを確認する。その後、可搬型保存媒体2上の各データファイルと対応する改竄防止用データを用いてデータファイルの改竄の有無を検証する。
【0055】
以上の処理において、不正を検知した場合には通信回線3、もしくはインタフェース29を用いてユーザに不正があったことを通知する。
上記した実施形態によれば、データ保存装置以外には、可搬型保存媒体2にデータを保存するときに作成する改竄防止用データを作成できないようにすることが可能となる。また、可搬型保存媒体2に保存される全てのファイルの改竄防止用データは、可搬型保存媒体2上の媒体管理用データファイル103に登録され、媒体管理用データファイル103自体にも改竄防止用データが付けられる。以上の処理を行うことで、データファイルの不正消去、不正コピーを含む可搬型保存媒体2上のファイルの改竄を防止することが可能となる。
【0056】
つまり、データファイルの改竄防止用データを調べることで、データファイルが本実施形態の保存システム以外のシステムを用いて不正に改竄されたかどうかを検知できる。また、媒体管理用データファイル103に登録されている改竄防止用データと、対応するデータファイルの改竄防止用データを比較することで、本実施形態の保存システム以外のシステムを用いて不正にデータファイルが消去、あるいはコピーされたかどうかを検知できる。このようにして、汎用の可搬型保存媒体を用いても、データファイルの不正な消去、コピーを含む改竄を防止できる。
【0057】
なお、上記した実施形態ではデータ保存装置に着脱自在な可搬型保存媒体を用いたが、データ保存装置内に配置された固定型保存媒体を用いるようにしてもよい。
【図面の簡単な説明】
【図1】本発明の実施形態に係るデータ保存方法を説明するためのフローチャートである。
【図2】記録されたデータが不正な第3者によって改竄されたかどうかを検証する方法を説明するためのフローチャートである。
【図3】本発明の第1実施形態に係るデータ保存システムの構成を示す図である。
【図4】可搬型保存媒体に本実施形態の方法によりデータファイルを保存した状態を示す図である。
【図5】本発明の第2実施形態に係るデータ保存システムの構成を示す図である。
【図6】本発明の第3実施形態に係るデータ保存システムの構成を示す図である。
【符号の説明】
1…ホストコンピュータ、
2…可搬型保存媒体、
3…通信回線、
11…通信ポート、
12…コマンド処理部、
21…CPU、
22…CPU作業用メモリ、
23…プログラム格納用ROM、
24…暗号鍵格納用メモリ、
25…ファイル管理部、
26…暗号・復号処理部、
27…可搬型保存媒体駆動装置、
28…ハードディスク、
101…保存するデータ1のファイル、
102…データ1の電子署名、
103…媒体管理用データファイル、
104…媒体管理用データファイルの電子署名、
105…データファイル1のレコード。
Claims (5)
- ファイル管理機能を用いて保存媒体に対してデータの保存、削除等を行なうデータ保存装置を備えたデータ保存システムであって、
前記データ保存装置に固有の秘密情報を格納する格納手段と、
前記格納手段に格納された秘密情報と、保存すべきデータとを用いて所定の暗号化処理を行うことにより前記保存すべきデータの改竄防止用データである第1の電子署名データを生成する生成手段と、
前記保存すべきデータと前記第1の電子署名データとを対応させて前記保存媒体に記録する第1の記録手段と、
前記保存媒体に予め記録されている媒体管理用データファイルに、前記第1の電子署名データを、前記保存すべきデータのファイルを識別する情報と対応させて記録する第2の記録手段と、
前記格納手段に格納されている秘密情報と、前記媒体管理用データファイルを用いて所定の暗号化処理を行うことにより、前記媒体管理用データファイルの改竄防止用データである第2の電子署名データを作成し、該第2の電子署名データと前記媒体管理用データファイルとを対応させて、前記保存媒体に記録する第3の記録手段と、
を具備するデータ保存システムにおいて、
前記保存媒体に記録されている媒体管理用データファイルからメッセージダイジェストを抽出し、前記媒体管理用データファイルの前記第2の電子署名データを、前記格納手段に格納された復号鍵を用いて第2のコードに変換し、前記メッセージダイジェストと前記第2のコードとを比較することによって、前記媒体管理用データファイルが改竄されているか否かを検知する第1の検知手段と、
前記媒体管理用データファイルに登録されているファイルを全て、前記保存媒体上に存在しているか否かを確認する確認手段と、
前記媒体管理用データファイルのレコードに登録されているデータファイルの前記第1の電子署名データと、保存媒体上に前記データファイルと対応させて記録されている前記データファイルの前記第1の電子署名データとが一致するかどうかを検知する第2の検知手段と、
前記保存媒体に保存された前記保存すべきデータからメッセージダイジェストを抽出し、対応する前記第1の電子署名データを、前記格納手段に格納されている復号鍵を用いて第1のコードに変換し、前記メッセージダイジェストと前記第1のコードとを比較することによって、前記保存すべきデータが改竄されているか否かを検知する第3の検知手段と、
を具備することを特徴とするデータ保存システム。 - 前記保存すべきデータは、通信回線を介して外部装置から送られてきたデータか、あるいは、前記データ保存装置のデータ入力機能を用いて入力されたデータであることを特徴とする請求項1に記載のデータ保存システム。
- 前記保存媒体を初期化するとき、あるいは初めてファイルを記録するときに、前記媒体管理用データファイルを前記保存媒体に記録する手段を有することを特徴とする請求項1または2記載のデータ保存システム。
- 前記ファイル管理機能は、前記保存媒体上のデータファイルを削除するときに、前記媒体管理用データファイルから消去するデータファイルのレコードも削除する機能を持つことを特徴とする請求項1または2記載のデータ保存システム。
- 前記保存媒体は、前記データ保存装置に着脱自在な可搬型保存媒体か、あるいは、前記データ保存装置内に配置された固定型保存媒体であることを特徴とする請求項1から4のいずれか1つに記載のデータ保存システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP30410998A JP4266412B2 (ja) | 1998-10-26 | 1998-10-26 | データ保存システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP30410998A JP4266412B2 (ja) | 1998-10-26 | 1998-10-26 | データ保存システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000132459A JP2000132459A (ja) | 2000-05-12 |
| JP4266412B2 true JP4266412B2 (ja) | 2009-05-20 |
Family
ID=17929148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP30410998A Expired - Fee Related JP4266412B2 (ja) | 1998-10-26 | 1998-10-26 | データ保存システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4266412B2 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002229835A (ja) * | 2001-01-31 | 2002-08-16 | Olympus Optical Co Ltd | コンピュータによるファイル管理システムおよびそのプログラムとプログラム記録媒体 |
| US8270820B2 (en) | 2001-02-23 | 2012-09-18 | Hewlett-Packard Development Company, L.P. | Archiving and sharing of multimedia content |
| AU2002219608A1 (en) * | 2002-01-11 | 2003-07-30 | Fujitsu Limited | Security system using optical information recording medium |
| US8539232B2 (en) | 2002-06-26 | 2013-09-17 | Sony Corporation | Information terminal apparatus, information processing apparatus and information communication system |
| WO2004068350A1 (ja) | 2003-01-30 | 2004-08-12 | Fujitsu Limited | データ改ざん検出方法、データ改ざん検出装置及びデータ改ざん検出プログラム |
| JP4473513B2 (ja) | 2003-02-27 | 2010-06-02 | 富士通株式会社 | 原本性検証装置および原本性検証プログラム |
| JP4590842B2 (ja) * | 2003-08-08 | 2010-12-01 | ソニー株式会社 | データ書き込み装置、データ書き込み方法、データ読み出し装置、データ読み出し方法及びプログラム |
| JP4647918B2 (ja) * | 2004-02-16 | 2011-03-09 | アマノ株式会社 | タイムスタンプ方法 |
| WO2005114429A1 (ja) * | 2004-05-24 | 2005-12-01 | Hypergear Inc | 記憶装置の監査の方法、及び記憶装置 |
| JP4680543B2 (ja) * | 2004-07-06 | 2011-05-11 | 三菱電機株式会社 | ログ作成システム及びログ作成方法 |
| KR101089864B1 (ko) * | 2004-11-12 | 2011-12-05 | 소니 주식회사 | 데이터 처리 장치, 데이터 처리 방법 및 프로그램을 기록한 컴퓨터 판독가능한 기록 매체 |
| JP2010166595A (ja) * | 2010-03-08 | 2010-07-29 | Sony Corp | 情報機器及び位置・時刻情報送信方法 |
-
1998
- 1998-10-26 JP JP30410998A patent/JP4266412B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2000132459A (ja) | 2000-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3748155B2 (ja) | 改ざん防止/検出機能を有するファイル管理システム | |
| US6378071B1 (en) | File access system for efficiently accessing a file having encrypted data within a storage device | |
| US7509683B2 (en) | System and method for authenticating digital content | |
| US8429401B2 (en) | Method and apparatus for virtually erasing data from WORM storage devices | |
| JP4266412B2 (ja) | データ保存システム | |
| JP4662138B2 (ja) | 情報漏洩防止方法及びシステム | |
| US20090222500A1 (en) | Information storage device and method capable of hiding confidential files | |
| JP4049498B2 (ja) | 原本性保証電子保存方法、装置及びコンピュータ読み取り可能な記録媒体 | |
| JPH10312335A (ja) | データ処理方法およびデータ処理装置 | |
| US20030145182A1 (en) | Data storage apparatus, data storing method, data verification apparatus, data access permission apparatus, and program and storage medium therefor | |
| CN111324901A (zh) | 一种用于创建和解密企业安全加密文件的方法 | |
| JP2000228060A (ja) | 可搬型記憶媒体を用いたデータ記録/再生装置 | |
| US20030126446A1 (en) | Method and system for providing a secure time reference in a worm environment | |
| JP2000286839A (ja) | 情報記録装置、真正性検証方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| JP5631251B2 (ja) | 情報漏洩防止方法 | |
| JP2008527518A (ja) | 電子透かし機能を備えた携帯型データ担体 | |
| JP4807289B2 (ja) | 情報処理装置及びファイル処理方法並びにプログラム | |
| JP4765262B2 (ja) | 電子データ保管装置、プログラム | |
| JP2002015511A (ja) | リムーバブルメディアを用いたオフライン共有セキュリティシステム | |
| JP2003016724A (ja) | 情報管理方法 | |
| JPH11154944A (ja) | 著作物流通方法及びシステム、著作物保護装置、及び記録媒体 | |
| JP4710232B2 (ja) | 電子データの証拠性を保証しながら同データを保管する電子データ保管システム | |
| JP3862903B2 (ja) | 原本性保証電子保存装置、原本性保証電子保存方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| EP1335363A2 (en) | Valid medium management system | |
| JP4671913B2 (ja) | 原本性保証電子保存装置、原本性保証電子保存方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050615 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080227 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080304 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080507 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090127 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090217 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120227 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120227 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130227 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140227 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |