JP4439879B2 - データ処理装置および履歴検証方法 - Google Patents
データ処理装置および履歴検証方法 Download PDFInfo
- Publication number
- JP4439879B2 JP4439879B2 JP2003384032A JP2003384032A JP4439879B2 JP 4439879 B2 JP4439879 B2 JP 4439879B2 JP 2003384032 A JP2003384032 A JP 2003384032A JP 2003384032 A JP2003384032 A JP 2003384032A JP 4439879 B2 JP4439879 B2 JP 4439879B2
- Authority
- JP
- Japan
- Prior art keywords
- list
- history
- history information
- data processing
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
・番組、タイトル単位で課金される有料コンテンツの視聴、閲覧システム、
・監査が必要なコンピュータシステムの操作ログ、
・フライトレコーダーなど、
システムおよび装置の利用内容、もしくは回数に応じて料金が発生するサービスや、高いセキュリティが求められているコンピュータシステムにおいては、動作状況を記録した履歴データは重要であり、正しい課金や監査のために偽造、複製、削除、改ざんなどの不正な操作から防御しなければならない。
前記耐タンパ装置は、
・データ処理の内容を特定できる履歴情報Rを生成する履歴情報生成手段と、
・複数の履歴情報Rを要素とする履歴リストLiを保持する履歴リスト保持手段と、
・データ処理と、それに対応する履歴情報Rを履歴リストLiへ追加する処理とを行うデータ処理手段と、
・履歴リストLiの容量が不足した場合に、履歴情報Rを前記外部記憶装置に退避するとともに、退避する履歴情報Rの内容、および退避する順番を保証する退避記録Sを生成する退避手段と、
・生成された退避記録Sを保持する退避記録保持手段とを有し、
前記退避記録Sは
・n回目に退避される履歴情報Rnと、前回の退避記録Sn−1との連接に一方向性関数fを適用し生成される、つまり退避記録Sn=f(Rn|Sn−1)であり、
前記外部記憶装置は、
・履歴リストLiから退避された履歴情報Rを退避された順に先頭に追加する外部リストLoを保持する手段を有し、
前記通信装置は、
・監査の度ごと、データ処理装置ごとに任意の値(チャレンジ)を生成する検証装置から、該チャレンジを含む履歴提出要求を受信する履歴要求受信手段と、
・外部リストLo、退避記録S、チャレンジ、及び署名Sgを前記検証装置に送信する履歴情報送信手段とを有し、
前記耐タンパ装置は、さらに、
・装置製造時に封入された秘密鍵Skを外部から参照および変更ができないように保持する秘密鍵保持手段と、
・チャレンジと退避記録Sとの連接に対して前記秘密鍵Skを用いて電子署名Sgを生成する署名生成手段とを有し、
前記退避手段は、
・履歴提出に先立ち履歴リストLiの内容を順次、全て外部リストLoに退避する、
ことを特徴とする。
前記耐タンパ装置は、データ処理に先立ち生成された履歴情報について、履歴リストLiおよび外部リストLoを参照し、以前にデータ処理したことがあるかどうか検証する再処理検証手段を有し、
前記データ処理手段は、前記再処理検証手段において過去にデータ処理した実績があった場合、データ処理を行わないことを特徴とする。
前記履歴情報生成手段は、
・データ識別情報として処理データ中に含まれる、単調増加する値であるデータIDを履歴情報にも参照可能な形式で含め、
前記履歴リスト保持手段は、
・履歴リストを各履歴情報に含まれるデータIDの降順に整列させて保持し、
前記再処理検証手段は、
・履歴リスト、外部リストを先頭から走査し、対象データの持つデータIDより小さい値を持つレコードまで走査しても該当するデータIDを発見できない場合には、前記対象データは以前にデータ処理されていないと判断し、
前記退避手段は、
・履歴リストから外部リストヘの履歴情報の退避は、データIDの小さなものから順に行い、
・対象データが以前にデータ処理されたものでなく、且つ前記対象データの持つデータIDが履歴リストの履歴情報に含まれるデータIDの最小値より小さい場合、前記対象データのデータ処理後に該当する履歴情報を外部リストの正しいデータID位置に挿入し、該外部リストを用いて退避記録Sを再計算し、
前記退避記録保持手段は、前記対象データのデータ処理後に前記退避記録Sを更新することを特徴とする。
・外部リストLoの最後尾から走査範囲の前までの検査値を基点として外部リスト全体の検査値を求め、耐タンパ装置内の退避記録と比較することで検証を行い、
前記外部記憶装置は、
・外部リストの最後尾からの順番mと、最後尾からm番目までの履歴情報の検査値Cmとを保持する検査値保持手段と、
・外部リストの最後尾からm番目までの検査値Cmを基点に、n番目(m<n)までの検査値Cnを生成する検査値生成手段と、
を有することを特徴とする。
前記耐タンパ装置により、
・データ処理の内容を特定できる履歴情報Rを生成するステップと、
・複数の履歴情報Rを要素とする履歴リストLiを保持するステップと、
・履歴情報Rを履歴リストLiへ追加する処理を行うステップと、
・履歴リストLiの容量が不足した場合に、リスト中で最も古い履歴情報を前記外部記憶装置の外部リストLoに退避するとともに、退避する履歴情報Rの内容及び退避する順番を保証する退避記録Sを、n回目に退避される履歴情報Rnと、前回の退避記録Sn−1との連接に一方向性関数fを適用し、退避記録Sn=f(Rn|Sn−1)として生成するステップと、
・生成された退避記録Sを保持するステップと、
前記通信装置により、
・監査の度ごと、データ処理装置ごとに任意の値(チャレンジ)を生成する検証装置から、該チャレンジを含む履歴提出要求を該検証装置から受信するステップと、
前記耐タンパ装置により、
・装置製造時に封入され、外部から参照および変更ができないように保持された秘密鍵Skを用いて、チャレンジと退避記録Sとの連接に対して電子署名Sgを生成するステップと、
前記通信装置により、
・外部リストLo、退避記録S、チャレンジ、及び署名Sgを前記検証装置に送信するステップと、
を含むことを特徴とする。
前記耐タンパ装置により、外部リストLoの最後尾から履歴情報を退避した順に再度取り込み、前記退避記録Sの生成と同じ一方向性関数fを用いて、外部リストLo全体の検査値Cを、外部リストLoの最後尾からn番目の履歴情報Rnの検査値Cn=f(Rn|Cn−1)として生成し、検査値Cを退避記録Sと照合することで、外部リストLo全体の履歴情報の内容および順序の検証を行うステップ含むことを特徴とする。
外部記憶装置10は、外部リスト保持手段11、検査値生成手段12、検査値保持手段13から構成される。
通信装置20は、履歴要求受信手段21、履歴情報送信手段22から構成される。
耐タンパ装置30は、データ処理手段31、履歴情報生成手段32、再処理検証手段33、履歴リスト保持手段34、退避手段35、秘密鍵保持手段36、署名生成手段37、退避記録保持手段38、外部リスト検証手段39から構成される。
本実施例においては、データ処理装置100を構成する各手段の機能を、有料コンテンツの閲覧、課金処理と関連して説明する。図中S000〜S017は本実施例における有料コンテンツの閲覧、課金処理シーケンスを示す。
(S002):再生装置200はデータ処理装置100に暗号化されたコンテンツを入力する。
(S004):履歴情報Rを履歴リスト保持手段34の履歴リストLiに追加する。
(S005b):前回(n−1回目)の退避の際に生成した退避記録Sn−1を退避記録保持手段38から得る。
(S005c):履歴情報Rnと前回退避記銀Sn−1の連接を一方向性関数、例えばSHA−1などのハッシュ関数で処理し、新たな退避記録Sn=H(Rn|Sn−1)を生成し、退避記録保持手段38に保持する。
(S006):履歴情報Rnを外部リストLoに追加する。
(S008):再生装置200は復号化されたコンテンツを再生する。
(S010):通信装置20は履歴要求受信手段21により受信したチャレンジを耐タンパ装置30に入力する。
(S012):署名生成手段37により、チャレンジと退避記録保持手段38に保持されている退避記録Sとの連接に対して秘密鍵Skを用いて署名処理を行う。
(S013)(S014):通信装置20は外部記憶装置10から外部リストLoを得て、耐タンパ装置30から出力された退避記録S、署名情報Sg、チャレンジとともに、履歴情報送信手段22を用いて課金センタ400に送信する。
(S016):課金センタ400は更に外部リストLoに改ざんが加えられていないか次の方法で検証する。外部リストLo最後尾の履歴情報R1をハッシュ関数Hで処理した値を検査値C1とし、これを基点として最後尾からn番目の履歴情報Rnまでの検査値Cnを、RnとCn−1の連接のハッシュ値から得る。
C1=H(R1)
C2=H(R2|C1)
C3=H(R3|C2)
:
Cn=H(Rn|Cn−1)
こうして得た外部リスト全体の検査値Cと(S014)で送付されてきた退避記録Sとを比較し、同値であれば外部リストヘの改ざんは行われていないと判断する。
(SO17):外部リストLoから利用者が再生したコンテンツを特定し、課金処理を行う。
本実施例においては、データ処理装置100を構成する各手段の機能を、電子的価値移転処理と関連して説明する。
(S200):譲渡者側の電子的価値移転装置で受領者が指定されたトークン交換形式TEFを作成する。トークンTEFは、権利内容mのハッシュ値からなるトークンTと受領者情報に加えて、譲渡者の署名、耐タンパ証明書(TPG)等を含む。
(S201):譲渡者側の電子的価値移転装置から対応するトークンを削除する。
(S202):権利内容mとトークン交換形式TEFを受領者に渡す。
(S204):次に、TEFが正当なものかどうか受領者情報、譲渡者の署名、TPGの正当性を確認することで検証する。
(S207):S205で作成した、今回受領したTEFを示す履歴情報Rを履歴リストLiに追加する。
(S208):履歴リストLiが予め定めたある容量に達した場合、退避手段により、S005と同様の方法で履歴情報を外部リストLoに退避するとともに、退避記録Sを生成し、退避記録保持手段38に保持する。
本発明の他の実施例では、履歴情報生成手段32は、データ識別情報として処理データ中に含まれる、単調増加する値であるデータIDを履歴情報にも参照可能な形式で含め、履歴リスト保持手段は、履歴リストを各履歴情報に含まれるデータIDの降順に整列させて保持し、前記退避手段は、データIDの小さな履歴情報から順に外部リストに退避する。
10 外部記憶装置
11 外部リスト保持手段
12 検査値生成手段
13 検査値保持手段
20 通信装置
21 履歴要求受信手段
22 履歴情報送信手段
30 耐タンパ装置
31 データ処理手段
32 履歴情報生成手段
33 再処理検証手段
34 履歴リスト保持手段
35 退避手段
36 秘密鍵保持手段
37 著名生成手段
38 退避記録保持手段
39 外部リスト検証手段
200 再生装置
300 配信センタ
310 記録媒体
400 課金センタ
500 電子価値移転装置
Claims (7)
- 処理履歴の改ざんを検出できるデータ処理装置であって、耐タンパ装置と外部記憶装置と通信装置とから構成され、
前記耐タンパ装置は、
・データ処理の内容を特定できる履歴情報Rを生成する履歴情報生成手段と、
・複数の履歴情報Rを要素とする履歴リストLiを保持する履歴リスト保持手段と、
・データ処理と、それに対応する履歴情報Rを履歴リストLiへ追加する処理とを行うデータ処理手段と、
・履歴リストLiの容量が不足した場合に、履歴情報Rを前記外部記憶装置に退避するとともに、退避する履歴情報Rの内容、および退避する順番を保証する退避記録Sを生成する退避手段と、
・生成された退避記録Sを保持する退避記録保持手段とを有し、
前記退避記録Sは
・n回目に退避される履歴情報Rnと、前回の退避記録Sn−1との連接に一方向性関数fを適用し生成される、つまり退避記録Sn=f(Rn|Sn−1)であり、
前記外部記憶装置は、
・履歴リストLiから退避された履歴情報Rを退避された順に先頭に追加する外部リストLoを保持する手段を有し、
前記通信装置は、
・監査の度ごと、データ処理装置ごとに任意の値(チャレンジ)を生成する検証装置から、該チャレンジを含む履歴提出要求を受信する履歴要求受信手段と、
・外部リストLo、退避記録S、チャレンジ、及び署名Sgを前記検証装置に送信する履歴情報送信手段とを有し、
前記耐タンパ装置は、さらに、
・装置製造時に封入された秘密鍵Skを外部から参照および変更ができないように保持する秘密鍵保持手段と、
・チャレンジと退避記録Sとの連接に対して前記秘密鍵Skを用いて電子署名Sgを生成する署名生成手段とを有し、
前記退避手段は、
・履歴提出に先立ち履歴リストLiの内容を順次、全て外部リストLoに退避する、
ことを特徴とするデータ処理装置。 - 請求項1に記載のデータ処理装置において、
前記耐タンパ装置は、外部リストLoの最後尾から履歴情報を退避した順に再度取り込み、前記退避手段における退避記録の生成と同じ一方向性関数fを用いて、外部リストLo全体の検査値Cを、外部リストLoの最後尾からn番目の履歴情報Rnの検査値Cn=f(Rn|Cn−1)として生成し、検査値Cを退避記録Sと照合することで、外部リストLo全体の履歴情報の内容および順序の検証を行う外部リスト検証手段を有することを特徴とするデータ処理装置。 - 請求項1又は2に記載のデータ処理装置において、
前記耐タンパ装置は、データ処理に先立ち生成された履歴情報について、履歴リストLiおよび外部リストLoを参照し、以前にデータ処理したことがあるかどうか検証する再処理検証手段を有し、
前記データ処理手段は、前記再処理検証手段において過去にデータ処理した実績があった場合、データ処理を行わないことを特徴とするデータ処理装置。 - 請求項3に記載のデータ処理装置において、
前記履歴情報生成手段は、
・データ識別情報として処理データ中に含まれる、単調増加する値であるデータIDを履歴情報にも参照可能な形式で含め、
前記履歴リスト保持手段は、
・履歴リストを各履歴情報に含まれるデータIDの降順に整列させて保持し、
前記再処理検証手段は、
・履歴リスト、外部リストを先頭から走査し、対象データの持つデータIDより小さい値を持つレコードまで走査しても該当するデータIDを発見できない場合には、前記対象データは以前にデータ処理されていないと判断し、
前記退避手段は、
・履歴リストから外部リストヘの履歴情報の退避は、データIDの小さなものから順に行い、
・対象データが以前にデータ処理されたものでなく、且つ前記対象データの持つデータIDが履歴リストの履歴情報に含まれるデータIDの最小値より小さい場合、前記対象データのデータ処理後に該当する履歴情報を外部リストの正しいデータID位置に挿入し、該外部リストを用いて退避記録Sを再計算し、
前記退避記録保持手段は、前記対象データのデータ処理後に前記退避記録Sを更新することを特徴とするデータ処理装置。 - 請求項4に記載のデータ処理装置において、
前記外部リスト検証手段は、
・外部リストLoの最後尾から走査範囲の前までの検査値を基点として外部リスト全体の検査値を求め、耐タンパ装置内の退避記録と比較することで検証を行い、
前記外部記憶装置は、
・外部リストの最後尾からの順番mと、最後尾からm番目までの履歴情報の検査値Cmとを保持する検査値保持手段と、
・外部リストの最後尾からm番目までの検査値Cmを基点に、n番目(m<n)までの検査値Cnを生成する検査値生成手段と、
を有することを特徴とするデータ処理装置。 - 耐タンパ装置と外部記憶装置と通信装置とを備えるデータ処理装置によって、処理履歴の改ざんを検証する履歴検証方法であって、
前記耐タンパ装置により、
・データ処理の内容を特定できる履歴情報Rを生成するステップと、
・複数の履歴情報Rを要素とする履歴リストLiを保持するステップと、
・履歴情報Rを履歴リストLiへ追加する処理を行うステップと、
・履歴リストLiの容量が不足した場合に、リスト中で最も古い履歴情報を前記外部記憶装置の外部リストLoに退避するとともに、退避する履歴情報Rの内容及び退避する順番を保証する退避記録Sを、n回目に退避される履歴情報Rnと、前回の退避記録Sn−1との連接に一方向性関数fを適用し、退避記録Sn=f(Rn|Sn−1)として生成するステップと、
・生成された退避記録Sを保持するステップと、
前記通信装置により、
・監査の度ごと、データ処理装置ごとに任意の値(チャレンジ)を生成する検証装置から、該チャレンジを含む履歴提出要求を該検証装置から受信するステップと、
前記耐タンパ装置により、
・装置製造時に封入され、外部から参照および変更ができないように保持された秘密鍵Skを用いて、チャレンジと退避記録Sとの連接に対して電子署名Sgを生成するステップと、
前記通信装置により、
・外部リストLo、退避記録S、チャレンジ、及び署名Sgを前記検証装置に送信するステップと、
を含むことを特徴とする履歴検証方法。 - 請求項6に記載のデータ履歴検証方法において、
前記耐タンパ装置により、外部リストLoの最後尾から履歴情報を退避した順に再度取り込み、前記退避記録Sの生成と同じ一方向性関数fを用いて、外部リストLo全体の検査値Cを、外部リストLoの最後尾からn番目の履歴情報Rnの検査値Cn=f(Rn|Cn−1)として生成し、検査値Cを退避記録Sと照合することで、外部リストLo全体の履歴情報の内容および順序の検証を行うステップ含むことを特徴とする履歴検証方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003384032A JP4439879B2 (ja) | 2003-11-13 | 2003-11-13 | データ処理装置および履歴検証方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003384032A JP4439879B2 (ja) | 2003-11-13 | 2003-11-13 | データ処理装置および履歴検証方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005149011A JP2005149011A (ja) | 2005-06-09 |
JP4439879B2 true JP4439879B2 (ja) | 2010-03-24 |
Family
ID=34692584
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003384032A Expired - Fee Related JP4439879B2 (ja) | 2003-11-13 | 2003-11-13 | データ処理装置および履歴検証方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4439879B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090328218A1 (en) * | 2006-08-28 | 2009-12-31 | Mitsubishi Electric Corporation | Data processing system, data processing method, and program |
JP5014081B2 (ja) * | 2007-11-20 | 2012-08-29 | 三菱電機株式会社 | データ処理装置及びデータ処理方法及びプログラム |
JP5706122B2 (ja) * | 2010-09-21 | 2015-04-22 | 三井住友カード株式会社 | カード |
CN103207882B (zh) * | 2012-01-13 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 店铺访问数据处理方法及系统 |
JP5904596B2 (ja) * | 2013-08-28 | 2016-04-13 | Necプラットフォームズ株式会社 | 耐タンパ装置、及び方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3570114B2 (ja) * | 1996-10-21 | 2004-09-29 | 富士ゼロックス株式会社 | データ検証方法およびデータ検証システム |
JP2001337600A (ja) * | 2000-05-29 | 2001-12-07 | Toshiba Corp | 電子データ保管システム、履歴検証装置、電子データ保管方法及び記録媒体 |
JP2002215029A (ja) * | 2001-01-22 | 2002-07-31 | Seiko Epson Corp | 情報認証装置及びこれを使用したデジタルカメラ |
JP2003263299A (ja) * | 2002-03-07 | 2003-09-19 | Fuji Xerox Co Ltd | 印刷システムにおけるログ情報管理方法及び装置 |
-
2003
- 2003-11-13 JP JP2003384032A patent/JP4439879B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005149011A (ja) | 2005-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3570114B2 (ja) | データ検証方法およびデータ検証システム | |
Schneier et al. | Secure audit logs to support computer forensics | |
US7249102B1 (en) | Original data circulation method, system, apparatus, and computer readable medium | |
US20050195975A1 (en) | Digital media distribution cryptography using media ticket smart cards | |
Chong et al. | Secure audit logging with tamper-resistant hardware | |
US20050262321A1 (en) | Information processing apparatus and method, and storage medium | |
US7039808B1 (en) | Method for verifying a message signature | |
CN109243045A (zh) | 一种投票方法、装置、计算机设备及计算机可读存储介质 | |
AU2003282989A1 (en) | System and method to proactively detect software tampering | |
CN109254734B (zh) | 一种数据存储方法、装置、设备及计算机可读存储介质 | |
JPH1131130A (ja) | サービス提供装置 | |
JP4439879B2 (ja) | データ処理装置および履歴検証方法 | |
CN116976890A (zh) | 一种区块链的多签加密交易系统 | |
KR102013415B1 (ko) | 개인정보 접속기록 무결성 검증시스템 및 검증방법 | |
CN102004874B (zh) | 基于综合特征的数字资源监测预警方法 | |
CN101661573B (zh) | 电子印章制章方法和电子印章使用方法 | |
US20110208969A1 (en) | Method and apparatus for providing authenticity and integrity to stored data | |
CN112632602A (zh) | 区块链混币方法、装置、终端及存储介质 | |
CN118332530B (zh) | 一种基于人工智能的大数据水印方法和系统 | |
TWM579789U (zh) | Electronic contract signing device | |
JP7517723B2 (ja) | 電子署名システム、電子署名方法及び、電子署名プログラム | |
JP4373279B2 (ja) | 電子署名用icカードの管理方法 | |
US20040093310A1 (en) | Transaction system and method | |
JP4869956B2 (ja) | ウェブページ真偽確認装置、ウェブページ真偽確認方法、プログラム及びウェブページ真偽確認システム | |
JP2002006739A (ja) | 認証情報生成装置およびデータ検証装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060406 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20070613 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070613 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20081017 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090618 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090630 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090826 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090929 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100105 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100106 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130115 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |