JP4629060B2 - 外部記憶媒体とそれに関連する装置 - Google Patents

外部記憶媒体とそれに関連する装置 Download PDF

Info

Publication number
JP4629060B2
JP4629060B2 JP2007034250A JP2007034250A JP4629060B2 JP 4629060 B2 JP4629060 B2 JP 4629060B2 JP 2007034250 A JP2007034250 A JP 2007034250A JP 2007034250 A JP2007034250 A JP 2007034250A JP 4629060 B2 JP4629060 B2 JP 4629060B2
Authority
JP
Japan
Prior art keywords
storage medium
external storage
user data
access
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007034250A
Other languages
English (en)
Other versions
JP2007220122A (ja
Inventor
アルフ・ツーゲンマイヤー
スヴェン・ラッハムント
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Publication of JP2007220122A publication Critical patent/JP2007220122A/ja
Application granted granted Critical
Publication of JP4629060B2 publication Critical patent/JP4629060B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2147Locking files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Description

本発明は、外部記憶媒体、特に、コンピュータに接続することが可能で、アクセス制御などのセキリュティ要件を考慮しながらデータを書き込むことが可能な外部記憶媒体に関する。
データを安全に記憶するための最も一般的なアプローチは、復号鍵を知らない無許可のユーザが記憶されたデータを読み出すことを困難にするために何らかの方式の暗号化を利用することである。ユーザデータを暗号化することが可能な広範な製品が存在する。入手可能な製品は、大まかに2つのカテゴリに分類できる。1つはハードウェアベースのソリューションで、もう1つはソフトウェアベースのソリューションである。
まず既存のソフトウェア暗号化ソリューションを手短に紹介する。
多数のソフトウェア暗号化ソリューションが存在している。汎用の暗号化ソフトウェア(例えば、PGP社(PGP Corporation)のPGPなど)、リムーバブル・メディア専用のソフトウェア(例えば、ADVCテクノロジー社(ADVS Technologies Inc.)のFlashDriveCryptoなど)あるいは1つの特定モデル専用のソフトウェア(Sandisk社(Sandisk Inc.)のCruzerLockなど)が存在する。後者2つのソフトウェアは、ソフトウェア・ライセンシング・モデル(software licensing model)に主な違いがある。汎用の暗号化ソフトウェアは、媒体が変わるごとに余分な要件が課されることから、利用がより面倒なことがある。
Dekart社のプライベートディスク(Dekart Private Disk)というディスク暗号化ソフトウェアは、暗号化イメージをそこに保存することによって、任意の媒体を暗号化する。媒体にアクセスするために必要な実行ファイルは、外部デバイスに記憶することが可能である。他のコンピュータで利用する際に特定のソフトウェアをインストールする必要は全くない。この製品は、マイクロソフト・ウィンドウズ(登録商標)・オペレーティングシステム(Microsoft Windows(登録商標)operating systems)でのみ利用可能である。
PGP社は、いくつかある特徴の中で特にファイルを暗号化し復号することが可能ないくつかのソフトウェアツールを提供している。加えて、これらソフトウェアツールは、暗号化データを含む仮想ディスクドライブを提供する。PGP鍵がクレデンシャル(credential:信用証明データ)としてこれらのファイル及びドライブを暗号化し復号するために使用される。暗号化されたユーザデータにアクセスするために各デバイスにPGPソフトウェアがインストールされる必要がある。
ハードウェアに実装される暗号化エンジンを少なくとも有している、周知のハードウェア暗号化ソリューションが存在する。
一部のものについては、取り外し可能なハードウェアに鍵を記憶させることも可能である。一部の利用可能なソリューションでは、その鍵は指紋のスキャンなどのバイオメトリック(biometric)データに基づいて解除することが可能である。
指紋認証を利用してデータを保護する、バイオメトリックUSBキー(USB-key)ドライブなどの、バイオメトリック・ソリューションが存在する。またこれらのソリューションでは、データにアクセスするために追加のソフトウェアをインストールするだけでなくハードウェアも必要である。
利用可能なハードウェア・ソリューションは、暗号化データにアクセスすることに関して、特定ソフトウェアをホスト(host)にインストールする必要があったり、あるいはソリューションの実用性に疑問があることなど、異なる不利な点を有している。例えば、あるハードウェア・ソリューションがデータを暗号化するのに追加のハードウェア・トークン(例えば、スマートカード)を必要とする場合、そのハードウェア・ソリューションを利用するためにユーザは恐らくそのトークンを常に手元に置いておかなくてはならない。ユーザがトークンをなくせば、アクセスは不可能になる。
外部記憶媒体の利用は、セキリュティの観点から多くの会社が重要だと考えている。ほとんどの場合において、外部記憶媒体におけるデータの暗号化は十分ではあるだろう。しかしながら、このアプローチには現実的な問題が存在する。暗号化データにアクセスするには、媒体が取り付けられたコンピュータ上で特定の暗号化ソフトウェアが実行されなくてはならなかったり、あるいはハードウェア暗号化が利用される場合にはアクセス・クレデンシャル(access credentials)を外部記憶媒体に伝達することが可能な少なくとも特別なソフトウェアが必要とされる。しかしながら、外部記憶媒体を利用したデータ転送の目的だけで追加のソフトウェアをインストールすることは、多くの場合に望ましくなくあるいは非現実的である。このような追加的なインストールは、ユーザにとって不便である、あるいはそれは会社が許容可能と見なすソフトウェア・インストールを規定する社内セキリュティ規定によりまさに望ましくない、もしくは更に禁止される場合がある。それゆえ、従来技術において周知のソフトウェアベース並びにハードウェアベースのソリューションは、克服すべき不都合を伴う。
更に、従来技術において周知のソリューションには更なる欠点が存在する。例えば、従来技術において周知の一部のソリューションでは、場合によっては未知のコンピュータ上でパスワードを入力することが求められる。しかしながら、このコンピュータは、このパスワードのログを取っている可能性がある。パスワードの再使用が広範に利用されるため、このことは外部記憶媒体に記憶されたデータのセキリュティを危うくするだけでなく他のデータの情報漏洩にもつながる。それゆえ、未知のしかも場合によっては信頼できないデバイス上でパスワードを入力する必要の全くないソリューションを提供することが望ましい。他方、バイオメトリを利用する外部記憶媒体に対するハードウェアベースの暗号化ソリューションは上述した問題には悩まされることはないだろう。しかしながら、バイオメトリック・センサ及びソフトウェアはハードウェアのコストと媒体サイズを著しく増大させる。更に、生態認証(biometry)は、利害が対立する当事者が関与する状況において、監視下にない環境で利用されるので、それが提供するセキリュティ保障は、比較的低い。このことは、特に低コストのバイオメトリック・センサに当てはまる。
以上の問題点から、外部記憶媒体に記憶されたデータを保護しつつ、この媒体にアクセスするための特定ソフトウェアを事前にインストールする必要なく、この媒体を介してデータを安全に他のデバイスに転送することができることが望ましい。本発明の目的は、その方法を提供することにある。
上記課題を解決するため、コンピュータに接続することができ、そのコンピュータのユーザがユーザデータを書き込む又は読み出すことができる外部記憶媒体が提供される。この外部記憶媒体は、
前記ユーザデータを記憶するための記憶ユニットと、
失効条件(expiration condition)を記憶するための記憶ユニットと、
時間値又はイベント数の値あるいは前記時間値と前記イベント数の値の両方をインクリメンタルに測定するタイマ又はカウンタ、あるいは前記タイマ及び前記カウンタの両方と、
当該外部記憶媒体が、前記コンピュータに接続されているか否かを検出するための接続性検出モジュール(connectivity detection module)と、
当該外部記憶媒体が、前記コンピュータから取り外されていることを前記接続性検出モジュールが検出した場合において前記タイマ又は前記カウンタを作動開始させて、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値と前記イベント数の値の両方が前記失効条件と比較し、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値及び前記イベント数の値の両方が前記失効条件と合致すると判定した場合には、当該外部記憶媒体に接続されたコンピュータのユーザが、前記ユーザデータにそれ以後もはや自由にアクセスすることができないようにするための処理を実行するように構成されている制御モジュール(control detection module)と
を備えるものである。
このソリューションは、ユーザデータへの自由なアクセスを制限する失効条件を設定することによって、必要な特定ソフトウェアをインストールする問題を回避する。制限なしにデータにアクセスできるようなフレームを設定する失効条件を付けて、信頼できるコンピュータ(trusted computer)からの取り外しを契機にカウンタ又はタイマを作動させることにより、本発明の外部記憶媒体を接続することが可能な信頼できないデバイス(un-trusted device)に何らかのソフトウェアあるいはハードウェアをインストールする必要性を回避することが可能である。
当該外部記憶媒体は、1つの態様として、前記ユーザデータへのユーザのアクセスをそれに基づいて許可又は拒否するアクセス・クレデンシャル(access credentials)を記憶するための記憶ユニットを更に備えており、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、前記アクセス・クレデンシャルに基づいて前記ユーザデータを暗号化又は復号化することを含んでいる。
アクセス・クレデンシャルは、信頼できるデバイスのユーザが、ユーザデータに自由にアクセスできる有効期限(expiration time)が経過した後も、ユーザデータを保護しつつ、そのユーザデータにアクセスし続けることができることを保障する。これは、アクセス・クレデンシャルを失効条件とともに規定することによって、つまり例えば、アクセス・クレデンシャル及びそれらの失効条件の期限が当該記憶媒体に規定され且つ書き込みが完了したところでコンピュータ又は携帯電話機から当該記憶媒体が取り外された後は、制限時間の間だけそれらが有効であると定めることによって可能となる。当該記憶媒体が異なるコンピュータに取り付けられた場合には、失効条件が満たされる前(すなわち、規定された時間が経過するまで)であれば、当該外部記憶媒体上の全ての暗号化されたデータにアクセスすることが可能である。期限が切れた後は、許可されたユーザのみがユーザデータにアクセスすることが可能である。
当該外部記憶媒体の1つの態様において、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、前記ユーザデータを削除することを含んでいる。
ユーザデータの削除は、無許可のユーザによるアクセスを制限する、シンプルではあるが有効な方法である。本態様は、何人たりとも、例え当該記憶媒体にデータを書き込んだユーザであっても、期限が切れた後はもはやアクセスすることは不可能であるという不都合な点はあるが、その反面、暗号化を適用し、鍵などのアクセス・クレデンシャルを定義する必要が全くないという簡便さがある。
当該外部記憶媒体の1つの態様において、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための処理は、当該外部記憶媒体に記憶された前記アクセス・クレデンシャルを削除することを含んでいる。
アクセス・クレデンシャルを削除することにより無許可の第三者は当該記憶媒体に暗号化された形で記憶されたデータにアクセスすることができないことが保障される。
当該外部記憶媒体の1つの態様において、前記カウンタによって測定されるイベントの数は、ユーザによる前記ユーザデータへのアクセス数である。これにより、ユーザはユーザデータへの制限されたアクセス数を規定することができる。斯かる態様では、例えばオーディオデータファイルを聴くことができる回数又は動画データファイルを視聴することができる回数を制限するデジタル権利管理(digital right management)が実施できる。
当該外部記憶媒体の1つの態様において、前記失効条件は、(1)前記ユーザデータへのアクセス数又は(2)当該外部記憶媒体が前記コンピュータから取り外された後の有効期限(expiration time)、あるいは、(1)及び(2)の両方である。
有効期限及びアクセス数は、失効条件を規定するためにそれぞれ単独又は双方の組み合わせで使用することが可能である。
当該外部記憶媒体は、1つの態様として、前記アクセス・クレデンシャルに基づいて、前記ユーザデータを暗号化又は復号化、あるいは、暗号化及び復号化の両方を行うための暗号化モジュールと、暗号化されたユーザデータを記憶するためのストレージ(storage)と、暗号化されていないユーザデータを記憶するためのストレージとを更に備えるものである。
暗号化されたデータを記憶するストレージと暗号化されていないデータを記憶するストレージとを暗号化モジュールと一緒に提供することにより、失効条件が満たされた後も制限がされないユーザデータと、失効条件が満たされた後にアクセスが制限されるユーザデータとを記憶することが可能である。
当該外部記憶媒体の1つの態様において、前記失効条件は、前記コンピュータのユーザによって明確に変更されない限り事前に定められた値を設定する。例えば、期限付きの遅延時間(有効時間)は固定することができる。すなわち、当該外部記憶媒体が取り外されるごとに、アクセス・クレデンシャルはこの時間の間は有効であり続ける。
更なる態様として、期限付きの遅延時間は、当該外部記憶媒体が取り外される前に毎回明確に設定することができる。
当該外部記憶媒体は、更なる態様として、前記アクセス・クレデンシャルが専用のファイル及び専用のディレクトリの少なくとも一方に対してのみ有効であることを規定するためのモジュールを備えるものである。これにより、保護が必要なデータとアクセス制限が必要ないデータとの区別化が可能となる。
上記課題を解決するための手段の別の形態として、上記いずれかの態様の外部記憶媒体に接続されるための外部記憶媒体アクセス・インタフェースと、前記コンピュータのユーザが、前記外部記憶媒体に設定される前記失効条件と前記外部記憶媒体に記憶される前記アクセス・クレデンシャルとの少なくとも一方を設定又は規定することを可能にするための外部記憶媒体設定モジュール(external medium configuration module)とで構成される装置が提供される。
アクセス・クレデンシャル又は失効条件、あるいはアクセス・クレデンシャル及び失効条件の両方を設定するために、(例えば、特定ソフトウェアを実行する)その目的専用のモジュールを備える装置(ホスト)が提供される。アクセス・クレデンシャルは、前記外部記憶媒体が取り外された後も(失効条件が満たされるまでは)有効なままであり続けるので、他のホストにもそのソフトウェアをインストールする必要はない。主に前記外部記憶媒体の所有者によって使用されるデバイスにその特定ソフトウェアをインストールする必要があるだけで、失効条件が満たされない限り、他のホストも前記外部記憶媒体上のユーザデータにアクセスすることができる。
これは、現行のソリューションに存在する重大な問題を克服する。暗号化技術に基づく全てのソフトウェア及びほとんどのハードウェアでは、外部記憶媒体にアクセスするコンピュータにソフトウェアがインストールされる必要がある。時としてこれは、そのコンピュータに対する管理上の制限のため、あるいはオペレーティングシステムの非互換性のために不可能である。それに対し、上述した本発明の外部記憶媒体及びそれに関連する装置によるソリューションは、ただ1つのデバイスのみが外部記憶媒体にアクセスして設定(configure)する準備をする必要があるだけなので、利用が容易である。
上記モジュールがインストールされる装置としては、本発明による上記外部記憶媒体を取り付けることができるようなコンピュータ、携帯電話機、又は別の移動もしくは固定デバイスであることが可能である。
以下、添付図面を参照して本発明の実施の最良の形態を詳細に説明する。まず図1に基本のセットアップ(構成)を示す。最初に、外部記憶媒体2が接続路1.2を介して信頼できるデバイス1(例えば、コンピュータ又は携帯電話機)に接続されている。信頼できるデバイスは、接続路1.2を介して任意のデータ(例えば、ユーザデータ)を外部記憶媒体に書き込んでそれに記憶させることができる。こうして記憶されるデータは、斯かるデータへの制限されたアクセスのみを許す(自由にアクセスできない)やり方で外部記憶媒体に記憶されることができる。ここで、ユーザデータという用語が使用される場合、この用語は、ユーザが外部記憶媒体に記憶したいと考えるデータのうち何らかのやり方でそのデータへのアクセスを制限して何とかして保護すべきと考えている任意のデータを指す。
次に、図2を参照して、(ユーザ)データを、制限されたアクセスのみを許可するようなやり方で記憶するためのメカニズムについて更に説明する。信頼できるデバイス1は、外部記憶媒体にアクセスするための何らかの外部記憶媒体アクセス・インタフェース12(ソフトウェア、ハードウェア、又は両方の組み合わせで実現される)を有している。このインタフェースは、外部記憶媒体及び信頼できるデバイスを相互接続してデータを交換することができるようにするインタフェース、例えばUSBインタフェース、ブルートュース(Bluetooth)インタフェース、IrDAインタフェース、その他のインタフェースであり得る。更に、外部記憶媒体に、アクセスが制限されるようにデータを記憶するため、信頼できるデバイス1は、外部デバイス(外部記憶媒体)にアクセス・クレデンシャル(access credentials)を設定するためのモジュール11(ソフトウェア、ハードウェア、又は両方の組み合わせで実現される)が組み込まれている。アクセス・クレデンシャルを外部記憶媒体に設定又は書き込むことに加え、アクセス・クレデンシャルの有効期限を定める失効条件(expiration condition)がモジュール11によって設定される。
アクセス・クレデンシャルは、(ユーザ)データにアクセスするための条件又は要件を定める任意のデータであり得る。言い換えると、アクセス・クレデンシャルは、外部記憶媒体に記憶されたユーザデータへのアクセスがそれに基づいてユーザに許可又は拒否されるデータである。アクセス・クレデンシャルは、例えば、外部記憶媒体に暗号化された形で記憶されたデータを復号するのに必要な1つ以上の鍵(キー)であってもよい。
一方、信頼できるデバイス1の設定モジュール(configuration module)11によって設定もしくは規定されるアクセス・クレデンシャルに対する失効条件は、例えば、時刻(ある特定の時点)もしくは期間(ある特定の時間的な幅)といった有効期限(expiration time)であり得る。これは、アクセス・クレデンシャルが有効である期限を定めている。信頼できるデバイスは、外部記憶媒体へ、アクセス・クレデンシャルだけでなくそれらの有効性に関する、例えば有効期限や期限切れの判定基準(expiration criterion)といった条件もしくは基準も書き込むようになっている。
本発明の実施の一形態によれば、アクセス・クレデンシャルは、外部記憶媒体に暗号化された形で記憶され、アクセス・クレデンシャル(複数)が有効である又は存在している限りにおいてのみユーザによるアクセス又は読み出しが可能となるようなユーザデータを復号するための、1つ以上の鍵(キー)である。この実施形態によれば、有効期限に達したと同時に鍵(キー)が削除されるまでは、(外部記憶媒体に暗号化された形で記憶された)ユーザデータにアクセス可能であるという効果をもたらすことができる。
アクセス・クレデンシャルが1つ以上の鍵(キー)である更なる実施の形態によれば、ユーザデータが外部記憶媒体に暗号化されていない形で記憶される。失効条件(例えば、ある特定の時期の到来)が満たされると、アクセス・クレデンシャル(キー)はそれまでは暗号化されていなかったデータを暗号化するために使用され、その結果、データを復号するための鍵を知らないユーザは、もはやそれらのデータにアクセスすることはできないようになる。この実施形態は、先の実施形態とは真逆のケースである。というのも、先のケースではデータはまず最初に暗号化された形で外部記憶媒体に記憶されたのに対して、このケースではデータはまず最初に暗号化されていない形で記憶されるからである。
本発明の実施の一形態におけるアクセス・クレデンシャルに加えて、失効条件が外部記憶媒体上に設定される。失効条件は、インクリメンタルに増分(1単位分ずつに増分)するカウンタ又はタイマの値と比較されるような別の値である。カウンタ又はタイマが失効条件に設定された値に達した場合、ユーザがもはや自由にユーザデータにアクセスできないようにするアクセス・クレデンシャルに基づく処理が実行される。この処理は、例えばアクセス・クレデンシャルを削除することであったり、あるいは、それまでは暗号化されていなかったユーザデータを暗号化して、暗号化が実行された後は、ユーザデータにはもはや自由にアクセスすることができないようにすることである。
本発明の実施の一形態によれば、失効条件は、イベント数をカウントするカウンタに設定されている或る特定の値に対応している。斯かるイベントは、例えばユーザデータへのアクセス数であり得る。ここで、失効条件は、例えばこの条件が満たされるまでは自由にアクセスすることが許されるユーザデータへの最大アクセス数とすることができる。その条件をモニタするため、実施の一形態による外部記憶媒体は、イベント数をカウントするカウンタを備えており、例えばイベント数は、ユーザデータにアクセスする度に1つずつカウント数を増やすようにカウントされる、ユーザデータへのアクセス数などである。この実施形態では、ユーザデータへのアクセス数が(失効条件が定める)最大カウント数(最大アクセス数)に達するまでユーザデータに自由にアクセス可能であるという効果を実現することができる。既に説明したように、最大アクセス数に達したら、ユーザデータへのこれ以上のアクセスを制限するアクセス・クレデンシャルに基づく処理が実行される。この処理は例えば、アクセス・クレデンシャル(このアクセス・クレデンシャルなしではユーザデータにもはやアクセスすることはできない)を削除することによって行われたり、あるいは、更なる形態として、その処理はそれまで暗号化されていなかったユーザデータをアクセス・クレデンシャルに基づいて暗号化して、それによりユーザデータへのアクセスが制限され、アクセス・クレデンシャル(例えば、キー)を知るユーザのみがそのデータに暗号化された後もアクセスできるようにすることによって行われる。従って、失効条件が満たされた後は、ユーザデータは無許可のアクセスから保護される。
更に、本発明の実施の更なる形態として、失効条件は、或る特定の期間とすることができる。この場合、失効条件は、例えば信頼できるデバイスから外部記憶媒体が取り外された後に時間を刻み始めるタイマの値と比較される。この形態によれば、有効期限が来るまでユーザデータはアクセス可能であるという効果をもたらすことができる。
本発明の実施の更なる形態として、失効条件は、或る特定の時刻(時点)とすることができる。この場合、タイマの時間値が失効条件として設定された時間と比較される。この時刻が来た場合、前述したようなアクセスを制限するための処理がトリガーされ、ユーザデータを無許可のアクセスから保護する。
これまでユーザデータについて記載してきたが、アクセス・クレデンシャルの設定及び失効条件の設定は、信頼できるデバイス1と外部記憶媒体2とが接続されている間に起こるものとして記載してきた。次に、これらの設定又は規定の後に動作するメカニズムについてより詳細に説明する。
ユーザデータを外部記憶媒体に書き込み、アクセス・クレデンシャル及び失効条件を外部記憶媒体に設定した後に、その外部記憶媒体を信頼できるデバイスから取り外して接続路1.2を解除することができる。
図3に概略的に示しているように、外部記憶媒体が取り外された後は、外部記憶媒体は任意の他のデバイス3に取り付けることができる。この他のデバイス3もまた、図2に示している外部記憶媒体アクセス・インタフェース12と同様の外部記憶媒体アクセス・インタフェース32を備えている。このインタフェース32を介して、デバイス3のユーザ(デバイス1のユーザと異なっている場合もある)は、外部記憶媒体に記憶されているユーザデータにアクセスを試みることができる。この試みが、失効条件が満たされる前に(例えば、失効条件がまだ満たされていないために、アクセス・クレデンシャルに基づく処理が実行される前に)行われる場合、(信頼できない)デバイス3の任意のユーザは、アクセス・クレデンシャルを知る必要なく、あるいはデバイス3に特定のソフトウェアもしくは(外部記憶媒体にそれを介してアクセス可能な一般的なアクセス・インタフェース以外の)特定のハードウェアをインストールする必要なく、記憶媒体2に記憶されたユーザデータに自由にアクセスすることができる。また一方、このインタフェースは、信頼できるデバイス1の外部記憶媒体アクセス・インタフェースに関連してすでに言及したような、外部記憶媒体にアクセスするために広く利用されるUSBインタフェース又はIrDAインタフェース、その他の標準インタフェースであり得る。
ユーザデータへのアクセスを制限するアクセス・クレデンシャルに基づく処理が実行されていない限り、すなわち、デバイス3の任意のユーザは失効条件が満たされない限りは(例えば、有効期限にまだ達していない限り、あるいは最大アクセス数にまだ達していない限りは)、ユーザデータに自由にアクセスすることができる。しかしながら、失効条件が満たされた後は、デバイス3の任意のユーザに対してアクセスが制限される。斯かるユーザは、外部記憶媒体に記憶されたユーザデータに、条件が満たされた以後も更にアクセスするための特別な知識を有する必要がある(例えば、アクセス・クレデンシャル、もしくはそれに基づくデータを知る必要がある)。
次に、図2を参照して、信頼できるデバイスの構成要素について詳しく説明する。図2は信頼できるデバイスを構成するモジュールを示しており、そこには外部記憶媒体アクセス・インタフェース12が存在する。このインタフェース12は、USBインタフェースなどの標準インタフェースであるハードウェアインタフェースから構成され得る。またこのインタフェースは、外部記憶媒体12にアクセスするために使用することができる何らかのソフトウェアを更に含み得る。このソフトウェアモジュールは、実施の一形態によれば、通常はオペレーティングシステムにバンドルされるデバイスドライバの形態をとる。言い換えると、インタフェース12は、外部記憶媒体にアクセスするための任意の標準インタフェースでよい。
インタフェース12に加えて、デバイス1は外部記憶媒体設定モジュール11を備えている。このモジュール11は、外部記憶媒体を設定(configure)するとともにアクセス制御クレデンシャル(access control credential)を転送するように動作する。モジュール11は、実施の一形態としてソフトウェアモジュールとして実現されるが、しかしそれはハードウェア、又はハードウェアとソフトウェアとの組み合わせとしても実現可能である。実施の一形態によれば、モジュール11は例えば、デバイス1のユーザを認証し、場合によっては更に、デバイス1のユーザのパーソナライズされたスマートカードに基づいてアクセス・クレデンシャルを生成もしくはサイン(sign)するために使用されるスマートカードリーダを備え得る。
実施の一形態によれば、このソフトウェアは外部記憶媒体に特化したものである。媒体2が、プロテクトされていない限り媒体からデータを読み出すためだけでなく、失効条件が満たされた後にそのデータがプロテクトされるようなやり方で媒体へデータを書き込むためにも利用されるならば、このソフトウェアは信頼できるデバイスにインストールされなければならない。モジュール11は、信頼できるデバイスにおける管理者特権が必要とされないようなやり方で構築することが可能であるが、実施の別の形態によれば管理権を持つユーザだけがモジュール11を使用することが可能である。
図3に外部記憶媒体が接続可能な他の(信頼できない)デバイス3の一例を示す。デバイス3のユーザは、外部記憶媒体に記憶されたユーザデータにそれへのアクセスがまだ制限されていない限りアクセスすることが可能である。斯かる他のデバイスは、図2のモジュール12と同一であり得て、且つ同一の目的を果たし得るような外部記憶媒体アクセス・モジュール32を備えている。このモジュールにより、デバイス3のユーザは、外部記憶媒体2に記憶されたユーザデータに、保護処理によりそのユーザデータへのアクセスがまだ制限されていない限りは、言い換えると失効条件がまだ満たされていない限りは、アクセスすることが可能である。
次に、図4を参照して実施の一形態による外部記憶媒体の動作について更に詳細に説明する。図4は、本発明の実施の一形態による外部記憶媒体のアーキテクチャを示している。
外部記憶媒体2は、通信モジュール21を備えている。このモジュールは、信頼できるデバイス1又は信頼できないデバイス3との通信を担当する。それは、例えばUSBインタフェース、IrDAインタフェース、ブルートュース(Bluetooth)インタフェース又はその他のインタフェース等、任意の標準インタフェースの形態をとることができる。そのため、通信モジュール21は、図2及び図3にそれぞれ示されているインタフェース12及び32に類似する。
通信モジュール21は、例えば、記憶媒体をデバイス1又は3から取り外す場合に、図1に示しているような接続路1.2及び2.3を解除する。
外部記憶媒体は、実施の一形態によれば、1つ以上の記憶(ストレージ)ユニットを更に備えている。図4には、暗号化されたユーザデータを記憶するための記憶ユニット27と、暗号化されていないユーザデータを記憶するための記憶ユニット28が示されている。物理的には、実施の一形態によるこれら2つの記憶ユニットは、1つの記憶素子として実装されることがあるが、その場合、その記憶素子は論理的に2つのエリア、すなわち暗号化されたデータに対するエリアと復号された(暗号化されていない)データに対するエリアとに分割される。この分割は、実施の一形態によれば、暗号化されたデータと復号された(暗号化されていない)データとに対してそれぞれの必要な記憶エリアに応じて動的に変更することが可能である。
外部記憶媒体2は、アクセス・クレデンシャルを記憶するためのストレージ24を更に備えている。このストレージは、物理的には、記憶ユニット27及び28と同じストレージの一部であり得る、あるいは、それは、例えば1以上の鍵(キー)を含んでいるアクセス・クレデンシャルを記憶するための専用の別個の記憶ユニットであり得る。
外部記憶媒体は、外部記憶ユニットの全体の動作を制御する制御ユニット25を更に備えている。この制御ユニットは、例えば、ストレージ24、27又は28の1つに記憶されたプログラム、あるいは更なるプログラム・ストレージ(図示せず)に記憶されたプログラムに従って動作するマイクロプロセッサによって実装され得る。制御ユニット25は、通信モジュール21を制御し、それにより記憶ユニット24、27及び28へのアクセスと、当該外部記憶媒体が接続可能なデバイス1又は3といったデバイスとの通信を制御するようになっている。
制御モジュール25は、暗号化データ記憶ユニット27に記憶されたデータの暗号化及び/又は復号を担当することができる暗号化モジュール25Aを更に備えている。暗号化モジュール25は、マイクロプロセッサによって実行されるコンピュータ・プログラムとして実装され得て、このマイクロプロセッサは、暗号化及び/又は復号を実行することが可能であり、その目的のためにストレージ24に記憶されたアクセス・クレデンシャル(例えば1つ以上の鍵)を利用することができる。
通信モジュール21は、実施の一形態として、暗号化されていないユーザデータ28へのアクセスと、暗号化モジュール25aを介して提供することができるデータへのアクセスとを仲介する。通信モジュール21は更に、その通信モジュールが信頼できるデバイス1から受信するような、あるいは制御ユニット25によって内部生成されたようなアクセス・クレデンシャルを、クレデンシャル・ストレージ24に転送することができる。
クレデンシャル・ストレージ24は、ストレージ24Aを更に備えることができる。このストレージ24Aには、暗号化データ記憶ユニット27に記憶されたユーザデータへのアクセスがもはや自由には行われないようにするための条件を規定する失効条件が保存され得る。失効条件は、実施の一形態によれば、その条件が満たされたと見なされるために経過する必要がある有効期間(expiration time period)を含んでいる。実施の更なる形態によれば、失効条件は、この条件がその時点で満たされたと見なされる実際の時刻であり得る。実施の更なる形態によれば、失効条件は、例えばユーザデータへのアクセスといった特定のイベントが生じた回数を表すカウンタ値に対応し得る。実施の更なる形態として、失効条件は、時間データとカウント数との組み合わせによって規定され得る。このとき、両方の条件(規定の時間値及びカウント数)が満たされた場合に、失効条件が満たされたと見なすことができる。実施の別の形態によれば、失効条件が満たされたと見なすため、条件(複数)のどれか1つの条件が満たされれば、例えばタイミングの条件又はカウント数の条件のどちらかが満たされれば十分であるとすることも可能である。
実施の更なる形態によれば、失効条件ストレージ24Aは、アクセス・クレデンシャル・ストレージの一部ではなく、別個のストレージ、あるいは例えば記憶ユニット27又は28の一方の一部とすることができる。
実施の更なる形態によれば、ストレージ24、24A、27、又は28のうちの1つ以上のものには、アクセス制御リスト(access control list)が記憶される。このアクセス制御リストは、どのデータ(例えば、どのファイル又はディレクトリ)が自由にアクセス可能であるか、また、どれが保護されるべきであるかを指定することができる。アクセス制御リストは、それによりユーザに応じて更に細かく差別化することができる。アクセス制御リストは、信頼できるデバイス1のユーザによってデータが外部記憶媒体2に書き込まれる時に設定され得る。その後、外部記憶媒体2は、どのデータが保護(プロテクト)されるべきかを知り、それに応じてデータを暗号化データ・ストレージ27又は暗号化されていないデータ・ストレージ28のいずれかに記憶する。暗号化データ・ストレージ27に記憶されるデータは、実施の一形態によれば、暗号化ユニット25Aを使用してそのデータを暗号化することにより、暗号化された形で記憶される。それらは、失効条件がまだ満たされていない限りはクレデンシャル・ストレージ24に記憶されたアクセス・クレデンシャルを使用することによって、復号することが可能である。
外部記憶媒体2は、タイマ及び/又はカウンタ23を更に備えている。このタイマ及び/又はカウンタ23は、ある特定の条件、例えば期間(time period)、実時間(actual time)、又は暗号化データ記憶ユニット27に記憶されたユーザデータへのアクセス数のようなイベント数などを、インクリメンタルに測定又は監視する。制御ユニット25は、タイマあるいはカウンタ23によって測定された時間又は計数値、あるいは測定された時間及び計数値の両方を比較する、すなわち、それをクレデンシャル・ストレージ25Aに記憶された失効条件と比較することができる。
外部記憶媒体2は、内部電源26(これは例えば、バッテリ又は任意の他の内部もしくは外部電源)を更に備えている。内部電源部品26は、タイマあるいはカウンタとクレデンシャル・ストレージとに電力供給をし、また場合によっては制御ユニット25にも電力を供給して、外部記憶媒体が電源から切り離された後もそれらが動作することができるようにする。
外部記憶媒体2は、接続性検出モジュール(connectivity detection module)22を更に備えている。この接続性検出モジュールは、外部記憶媒体2がデバイス1又は3のようなデバイスに現在接続されているかどうか、あるいは外部記憶媒体が斯かるデバイスから取り外されているかどうかを検出する役割を果たす。接続性検出モジュール22は例えば、マイクロプロセッサ、例えば制御モジュール25を実装するマイクロプロセッサによって実装され得る。あるいは、接続性検出モジュールは、実施の更なる形態によれば、何か他のハードウェア又はソフトウェア・コンポーネントで実装され得る。通信モジュール21は、接続の有無についてのステータス情報を接続性検出モジュール22に報告することができる。接続性検出モジュール22は、それを受けて外部記憶媒体2が現在デバイス(デバイス1又は3など)に接続されているか否かを判定するようになっている。
接続性検出モジュール22は、外部記憶媒体がデバイスにもはや接続されていないことを発見すると、そのことを制御モジュール25に報告し、制御モジュール25は、タイマあるいはカウンタ23をスタートさせる。この発見は、例えばUSB接続の場合には電力損失(power loss)の検出に基づいて行うこともできるが、他の適切な方法、例えば接続を繰り返しポーリングして適切なポーリング結果が受信されない場合は接続が解除されていると判断することによっても行うことができる。同様にして、接続性検出モジュールは、デバイス(デバイス1又は3など)との接続の確立も検出し、それを制御モジュール25に報告する。
実施の一形態によれば、タイマあるいはカウンタ23は、タイマで構成され、失効条件ストレージ24Aから適切な有効期限の情報が与えられる。タイマは接続性検出モジュール22(又は制御モジュール25が、接続性が失われたことに応答して、トリガリングを実行すること)によってトリガーされ、タイマは有効期限が経過するまでカウントダウンを行う。このタイマは、失効条件が満たされたことに対応し、それに応答して制御モジュール25がアクセス・クレデンシャルをクレデンシャル・ストレージ24から削除するためのトリガーを提供する。これは、クレデンシャル・ストレージ24にはもはやアクセス・クレデンシャルが存在しないという結果をもたらし、このアクセス・クレデンシャルがなければ暗号化データ・ストレージ27に記憶されたデータをもはや復号することはできないことになる。それゆえ、外部記憶媒体2が接続され得る(信頼できない)デバイス3のユーザは、暗号化データ・ストレージ27に記憶されたデータにもはやアクセスすることは不可能になる。そのデータを外部記憶媒体2に書き込むとともに、アクセス・クレデンシャル及び失効条件を実際に設定したデバイス1のユーザのみが、失効条件が満たされた後でもそのデータにアクセスすることができる。これは、デバイス1上の外部記憶媒体設定モジュール11がクレデンシャル・ストレージ24から削除されてしまったアクセス・クレデンシャルを知っているためであり、従ってデバイス1のユーザのみが依然としてそのデータにアクセスすることができる。こうして、そのデータは任意の第3者による無許可のアクセスから保護される。
このメカニズムによりデバイス1のユーザは、媒体2上のデータにその間だけ自由にアクセスできるような特定の時間枠を設定することができる。有効期限が経過した後は自由なアクセスを行うことはできない。これは、いまや非常に小型でほとんど誰にでも利用され、しかもセキリュティの観点から制御することが困難である外部記憶媒体に対する有効な保護のメカニズムである。斯かる外部記憶媒体2は、紛失したり、盗難に遭ったり、あるいは無許可の人物の手に渡る危険性がある。そこで、適切な短い時間枠を設定することにより、斯かる場合にもそこに記憶されたデータが保護されることが保障される。ただしこの時間枠内でだけ、例えば、1つのコンピュータから別のコンピュータへデータ転送するための自由なアクセスが許容される。現実的な観点から、有効期限は比較的小さな値、例えば、数分に設定されることが推奨される。この設定は、その時間中の無制限の利用には十分であり、しかしこの短い時間枠が過ぎれば保護が保障される。
実施の一形態によれば、有効期限は、デバイス1のユーザが設定モジュール11を使用して異なる値を設定するまで、事前に定められた値(例えば5分)が設定される場合がある。外部記憶媒体2には、この比較的短い時間枠の間だけセキリュティ上のリスクが存在する。従って、外部記憶媒体にデータが記憶されたあとにおいては、制限されたやり方でのみアクセスが可能である。
実施の一形態によれば、外部記憶媒体2が再度、デバイス1に接続されたことが接続性検出モジュールによって報告されるとすぐにカントダウンが停止され、タイマをリセットすることができる。これは、例えばクレデンシャル・ストレージ24に設定されたポリシーに依存し得る。
実施の一形態によれば、クレデンシャル・ストレージ24は、通信モジュール21によって伝達されたクレデンシャルを記憶する。アクセス・クレデンシャルは、ユーザデータのどの部分がアクセス可能かであるかについてのアクセス制御情報を含むことができる。このアクセス制御情報は、ユーザがどのデータにアクセスすることが許されるかを指定するために使用されることが可能である。制御ユニットは、それに応じてそのデータへのアクセスを制限する。
失効条件、例えば有効期限は、実施の一形態によれば、接続が失われた時間に関連しており、ユーザデータへの自由なアクセスのタイムリミットを指定する。この有効期限は、新しい接続が検出された後にリセットされるか、又はリセットされない場合がる。このタイムアウト動作は、タイマ・モジュールあるいはカウンタ・モジュールに伝えられ、タイマ・モジュールあるいはカウンタ・モジュールは、ユーザデータへのアクセスがそれに基づいて制限されるか、又は制約がなくなる条件を実際に規定する。
実施の一形態によれば、クレデンシャル・ストレージは暗号鍵を記憶するようになっている。これらの暗号鍵は、媒体2がデバイス1に接続されたときの設定段階の間にクレデンシャル・ストレージに書き込まれたものである。これらの鍵は、暗号化エンジンが暗号化ユーザデータ・ストレージ27に記憶されたユーザデータを暗号化及び復号化することを可能にするために、暗号化モジュール25Aによって使用される。これらの鍵が利用可能で且つ削除されていない限り、任意のユーザは、たとえ鍵を知らなくとも、暗号化データ記憶ユニット27に記憶されたユーザデータにアクセスすることができる。これは、暗号化モジュールがこれらのデータを復号し、その結果、ユーザはアクセス・クレデンシャルについて何も知らなくてもそのデータにアクセスすることが可能となるためである。しかしながら、失効条件が満たされたために鍵が一旦削除されると、ストレージ27における暗号化データへの自由なアクセスはもはや可能ではなくなる。
前述した実施形態によれば、ユーザデータは、媒体2が信頼できるデバイス1に接続され、データがデバイス1のユーザによって媒体2に書き込まれたときに、暗号化データ・ストレージ27に暗号化された形で記憶されている。しかしながら、実施の更なる形態によれば、ユーザデータは、暗号化データ・ストレージ27に暗号化されていない形で書き込まれ得る。この場合、暗号鍵もクレデンシャル・ストレージ24に書き込まれるが、しかし、失効条件が満たされていない限り、これらの暗号鍵はストレージ27のユーザデータにアクセスするためには必要ではない。なぜなら、これらのデータは暗号化されていないからである。しかしながら、失効条件が満たされると、クレデンシャル・ストレージ24内の暗号鍵は、暗号化ユーザデータ・ストレージ27に記憶されたデータを暗号化するために、暗号化モジュール25Aによって使用される。この瞬間から、暗号化ユーザデータ・ストレージ27に記憶されたデータにはどのユーザも自由にアクセスすることはもはやできなくなる。以後、ストレージ27に記憶されたユーザデータを復号するには暗号鍵を知ることが必要となる。しかしながら、これらの暗号鍵は、信頼できないどの第3者にも知られておらず、それらの暗号鍵は、そのユーザデータが媒体2に記憶されるときに外部記憶媒体にアクセス・クレデンシャルを設定したデバイス1のユーザのみが知っている。それゆえ、失効条件が満たされた後は、信頼できないどの第3者もストレージ27に記憶されたデータにアクセスすることはできない。
実施の更なる形態によれば、タイマあるいはカウンタ23は実際にはカウンタであり、このカウンタはイベント数をカウントする。実施の一形態として、これらのイベントは、暗号化ユーザデータ・ストレージ27に記憶されたデータへのアクセス数である。接続性検出モジュール22が接続損失(connectivity loss)を検出するとすぐにカウンタ23の作動開始がトリガーされ、カウンタは暗号化ユーザデータ・ストレージ27へのアクセス数のカウントを開始する。外部記憶媒体設定モジュール11を使用して、外部記憶媒体を設定(configuration)する間において、失効条件はイベント数として設定され、実施の一形態によれば、そのイベント数はストレージ27に記憶されたデータへのアクセス数に対応する。この失効条件は、失効条件ストレージ24Aに記憶される。外部記憶媒体2がデバイス1から取り外された(この事実は接続性検出モジュール22によって検出される)後に、カウンタ23は作動を開始し、制御ユニット25はカウンタ23の計数値を失効条件ストレージ24Aに設定された失効条件と比較する。それらが合致すると、言い換えるとカウント数が最大アクセス数に達した場合、クレデンシャル・ストレージに記憶されたアクセス・クレデンシャルに基づく処理、例えば暗号鍵の削除(ストレージ27に記憶されたデータが暗号化されている場合)、あるいはストレージ27に記憶されたデータの暗号化(これらのデータがそれまで暗号化されていなかった場合)等の処理がトリガーされる。これ以降、ストレージ27に記憶されたデータは、もはやアクセス可能ではなくなる。
実施の更なる形態によれば、タイマあるいはカウンタ23は、タイマ・モジュールとカウンタ・モジュールとで構成され得る。失効条件ストレージ24Aは、失効条件としてタイミングの条件とカウント数の条件とを記憶し得る。完全な失効条件は、例えば、それぞれ単一の失効条件(タイミングの条件及びアクセス数の条件)の両方が満たされた場合に条件が満たされることになる。実施の更なる形態では、これらの条件の1つが満たされれば十分であると見なされる。このような場合、ストレージ27に記憶されたデータへのアクセスを制限する処理が、例えば暗号鍵の削除あるいはそこに記憶されたデータの暗号化によってトリガーされる。
実施の更なる形態によれば、暗号化ユーザデータ・ストレージ27に記憶されたデータへのアクセスを制限するための処理は、単にこのデータを削除することだけで構成されている。この処理は、そのデータをそれ以後はもはや何人も読み出すことはできなくなるという効果をもたらすが、それだけでなく暗号化モジュール25Aを提供する必要性が回避されるほかに、暗号鍵が記憶されるクレデンシャル・ストレージを備える必要性が回避される。この実施形態によれば、この処理はこれまでのものよりずっとシンプルであり、その一方で、この形態はユーザデータ・ストレージ27(又は28)に記憶されたデータを削除した後は、このデータに何人ももはやアクセスできなくなるという不都合が伴う。
実施の更なる形態によれば、失効条件は、(時間的な幅である)有効期間(expiration period)には対応しておらず、実際には有効期限(expiration time)、言い換えると失効条件ストレージ24Aに設定された特定の時刻(時点)に対応している。この場合、タイマ23は、接続損失の検出後にゼロからカウントし始めるタイマではなく、実時間を継続的に測定するものである。制御ユニット25は、タイマ23によって測定されたこの時間を失効条件ストレージ24Aに記憶された時間と継続的に比較する。双方の時間が合致した場合、ユーザデータ・ストレージ27又は28に記憶されたデータへのアクセスを制限する処理が開始される。
次に、図5のシーケンス図を参照して本発明による実施の一形態の動作を説明する。図5の左側には信頼できるデバイス1、中央には外部記憶媒体2、右側にはその他のデバイスが示されている。
まず最初に、信頼できるデバイス1は外部記憶媒体2に接続されており、アクセス・クレデンシャル及び失効条件(クレデンシャル及びその寿命期間)が、外部記憶媒体に設定され、且つ、記憶される。その設定の完了が、ACK(acknowledgement)メッセージOKで通知される。
次に、ユーザデータが外部記憶媒体に書き込まれ、場合によっては、どのデータが自由にアクセス可能であるか、及び、どのデータがそのデータへのアクセスを制限することによって保護されるべきかを指定するようなアクセス制御リストACL(access control list)とともに書き込まれる。この場合も同様に、転送の完了がACKメッセージOKで通知される。その後、外部記憶媒体は信頼できるデバイス1から切断される。
切断をトリガーとして、上記で説明したように、タイマあるいはカウンタ23は、作動を開始する。外部記憶媒体は、その後別のデバイスに接続され得て、その別のデバイスは外部記憶媒体からデータを要求し得る。そのデータは、失効条件が満たされていない限りはアクセス可能であり、要求に応じて送信される。しかしながら、或る時間が経過した後あるいはユーザデータへのアクセスが或るアクセス数に達した後に、失効条件は実際に満たされたことになり、図5に示しているように、そのユーザデータへのアクセスを制限するための処理が、例えばアクセス・クレデンシャルを削除することによって実行される。その後に、外部記憶媒体が別のデバイス3に接続され、このデバイスが外部記憶媒体からデータを要求する場合、このデータへのアクセスは制限される。これは、要求されたデータが暗号化されており、対応する復号鍵がすでに削除されていることによりもはやアクセスができないようになっているからである。この場合、エラーメッセージが発行され、その後、他のデバイス3は、要求したデータにアクセスすることが可能になることなく、切断されなければならない。別の実施形態の場合における別の理由は、失効条件が満たされるまで暗号化されていなかったデータが、その条件が満たされたことを契機に暗号化され、必要な復号鍵について何も知らないような信頼できない第3者には、もはやそのデータを読み出すことが不可能となる。
当業者であれば、上記実施形態に関連して説明されたコンポーネント及びモジュールは、ソフトウェア、ハードウェア、又は双方の組み合わせで実現することが可能であることは、通常、理解されるであろう。
当業者であれば更に、上記実施形態における外部記憶媒体は、コンピュータに接続される代わりに、ユーザを書き込んだりあるいは読み出したりすることが可能な、例えば携帯電話機、スマートフォン、PDA、又は何か他のコンピュータ・デバイスといった、任意の他のデバイスに接続されることがあることが理解されるであろう。
本発明の実施形態による外部記憶媒体及びホストの利用形態を示している図である。 本発明の実施の一形態による信頼できるデバイスの概略的な構成図である。 本発明の実施の一形態による信頼できない他のデバイスの概略的な構成図である。 本発明の実施の一形態による外部記憶媒体の概略構成図である。 本発明の実施の一形態による外部記憶媒体及びホストの動作に関するシーケンス図である。
符号の説明
1 信頼できるデバイス
2 外部記憶媒体
3 信頼できない他のデバイス
1.2,2.3 接続路
11 外部記憶媒体設定モジュール
12,32 外部記憶媒体アクセス・インタフェース
21 通信モジュール
22 接続性検出モジュール
23 タイマ/カウンタ
24 クレデンシャル・ストレージ
24A 失効条件ストレージ
25 制御モジュール
25A 暗号化ユニット
26 内部電源
27 暗号化されたユーザデータ・ストレージ
28 暗号化されていないユーザデータ・ストレージ

Claims (7)

  1. コンピュータに接続することができ、前記コンピュータのユーザがユーザデータを書き込む又は読み出すことができる外部記憶媒体であって、
    前記ユーザデータを記憶するための第1の記憶ユニットと、
    失効条件を記憶するための第2の記憶ユニットと、
    1つ以上の鍵を含むアクセス・クレデンシャルを記憶するための第3の記憶ユニットと、
    時間値又はイベント数の値、あるいは前記時間値と前記イベント数の値の両方を徐々に増分するように測定するタイマ又はカウンタ、あるいは前記タイマ及び前記カウンタの両方と、
    当該外部記憶媒体が前記コンピュータに接続されているか否かを検出するための接続性検出モジュールと、
    当該外部記憶媒体が前記コンピュータから取り外されていることを前記接続性検出モジュールが検出した場合に前記タイマ又は前記カウンタを作動開始させて、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値と前記イベント数の値の両方前記失効条件と比較する制御モジュールと
    を備え
    当該外部記憶媒体は、第1の動作又は第2の動作のいずれかを実行するものであり、
    前記第1の動作では、前記ユーザデータが前記第1の記憶ユニットに書き込まれたときに、前記ユーザデータが暗号化された形式で記憶され、前記第3の記憶ユニットに記憶された前記アクセス・クレデンシャルは、前記暗号化されたユーザデータを復号化するのに必要なものであり、そして、前記失効条件が満たされない限り、当該外部記憶媒体に接続したコンピュータのユーザは、前記アクセス・クレデンシャルを用いて前記制御モジュールによって前記ユーザデータを復号するときには前記ユーザデータへのアクセスが制限されないようになっており、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値及び前記イベント数の値の両方が前記失効条件と合致すると前記制御モジュールが判定した場合には、前記制御モジュールが、前記第3の記憶ユニットから前記アクセス・クレデンシャルを削除する処理を実行し、これにより、当該外部記憶媒体に接続したコンピュータのユーザは、前記ユーザデータへのアクセスが制限されるようになっており、ここで、前記ユーザデータには、前記ユーザデータを当該外部記憶媒体に書き込むとともに前記アクセス・クレデンシャルを設定したユーザのみがアクセスできるようになっており、
    前記第2の動作では、前記ユーザデータが前記第1の記憶ユニットに書き込まれたときに、前記ユーザデータが暗号化されない形式で記憶され、前記失効条件が満たされない限り、当該外部記憶媒体に接続したコンピュータのユーザは、前記ユーザデータへのアクセスが制限されないようになっており、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値及び前記イベント数の値の両方が前記失効条件と合致すると前記制御モジュールが判定した場合には、前記制御モジュールが、前記第3の記憶ユニットに記憶された前記アクセス・クレデンシャルを用いて前記ユーザデータを暗号化する処理を実行し、これにより、当該外部記憶媒体に接続したコンピュータのユーザは、前記ユーザデータへのアクセスが制限されるようになっており、ここで、前記ユーザデータには、前記ユーザデータを当該外部記憶媒体に書き込むとともに前記アクセス・クレデンシャルを設定したユーザのみがアクセスできるようになっている、
    部記憶媒体。
  2. 前記カウンタによって測定されるイベントの数は、ユーザによる前記ユーザデータへのアクセス数である、請求項に記載の外部記憶媒体。
  3. 前記失効条件は、
    前記ユーザデータへのアクセス数、又は当該外部記憶媒体が前記コンピュータから取り外された後の有効期限、あるいは、
    前記ユーザデータへのアクセス数と、当該外部記憶媒体が前記コンピュータから取り外された後の有効期限の両方である、請求項1又は2に記載の外部記憶媒体。
  4. 前記ユーザデータを前記アクセス・クレデンシャルに基づいて、暗号化又は復号化、あるいは、暗号化と復号化の両方を行うための暗号化モジュールと、
    暗号化された前記ユーザデータを記憶するためのストレージと、
    暗号化されていない前記ユーザデータを記憶するためのストレージと
    を備えている、請求項1乃至のいずれか1項に記載の外部記憶媒体。
  5. 前記失効条件は、前記コンピュータのユーザによって明確に変更されない限りは事前に定められた値を設定している、請求項1乃至のいずれか1項に記載の外部記憶媒体。
  6. 前記アクセス・クレデンシャルは、前記アクセス・クレデンシャル専用ファイル又は前記アクセス・クレデンシャル専用のディレクトリ、あるいは前記アクセス・クレデンシャル専用ファイルと前記アクセス・クレデンシャル専用のディレクトリの両方に対してのみ有効であることを規定するためのモジュールを更に備えるものである、請求項1乃至のいずれか1項に記載の外部記憶媒体。
  7. 請求項1乃至のいずれか1項に記載された外部記憶媒体に接続されるための外部記憶媒体アクセス・インタフェースと、
    前記コンピュータのユーザが、前記外部記憶媒体に設定される前記失効条件又は前記外部記憶媒体に記憶される前記アクセス・クレデンシャル、あるいは前記外部記憶媒体に設定される前記失効条件と前記外部記憶媒体に記憶される前記アクセス・クレデンシャルの両方を、設定又は規定することを可能にするための外部記憶媒体設定モジュールと
    で構成されている装置。
JP2007034250A 2006-02-15 2007-02-15 外部記憶媒体とそれに関連する装置 Expired - Fee Related JP4629060B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP06101719A EP1821230B1 (en) 2006-02-15 2006-02-15 External storage medium

Publications (2)

Publication Number Publication Date
JP2007220122A JP2007220122A (ja) 2007-08-30
JP4629060B2 true JP4629060B2 (ja) 2011-02-09

Family

ID=36593793

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007034250A Expired - Fee Related JP4629060B2 (ja) 2006-02-15 2007-02-15 外部記憶媒体とそれに関連する装置

Country Status (4)

Country Link
US (1) US20070204335A1 (ja)
EP (1) EP1821230B1 (ja)
JP (1) JP4629060B2 (ja)
DE (1) DE602006002243D1 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080070779A (ko) * 2005-12-13 2008-07-30 인터디지탈 테크날러지 코포레이션 노드에서 유저 데이터를 보호하는 방법 및 시스템
EP1998270A1 (en) 2007-05-31 2008-12-03 NTT DoCoMo, Inc. External storage device
US20090037742A1 (en) * 2007-07-31 2009-02-05 International Business Machines Corporation Biometric authentication device, system and method of biometric authentication
US8181031B2 (en) * 2007-08-01 2012-05-15 International Business Machines Corporation Biometric authentication device and system
EP2028603B1 (en) 2007-08-20 2011-07-13 NTT DoCoMo, Inc. External storage medium adapter
JP2009064055A (ja) * 2007-09-04 2009-03-26 Hitachi Ltd 計算機システム及びセキュリティ管理方法
FR2924837B1 (fr) * 2007-12-07 2010-01-29 Thales Sa Support de partage securise de donnees
US8296564B2 (en) 2009-02-17 2012-10-23 Microsoft Corporation Communication channel access based on channel identifier and use policy
JP4707748B2 (ja) * 2009-03-31 2011-06-22 インターナショナル・ビジネス・マシーンズ・コーポレーション 外部記憶デバイス、外部記憶デバイスに記憶されたデータを処理するための方法、プログラムおよび情報処理装置
US8914874B2 (en) * 2009-07-21 2014-12-16 Microsoft Corporation Communication channel claim dependent security precautions
EP2450817A1 (en) * 2010-11-08 2012-05-09 Thomson Licensing Electronic component with time-limited use
JP5685150B2 (ja) 2011-06-08 2015-03-18 キヤノン株式会社 電子機器及びその制御方法
US20140082406A1 (en) * 2012-09-18 2014-03-20 Sandisk Technologies Inc. Data protection through power loss prediction
US9405925B2 (en) 2014-02-09 2016-08-02 Microsoft Technology Licensing, Llc Content item encryption on mobile devices
US10127398B2 (en) 2015-09-18 2018-11-13 Rovi Guides, Inc. Methods and systems for implementing parental controls
EP3346414A1 (en) * 2017-01-10 2018-07-11 BMI System Data filing method and system
US11356283B2 (en) * 2019-05-08 2022-06-07 Seagate Technology Llc Data storage using an encryption key with a time expiration associated therewith
US11025732B2 (en) * 2019-06-17 2021-06-01 Vmware, Inc. Method and apparatus to perform user authentication during cloud provider sessions
US11467848B2 (en) * 2020-05-07 2022-10-11 Capital One Services, Llc Portable operating system and portable user data
US20230074898A1 (en) * 2021-09-09 2023-03-09 Toyota Motor North America, Inc. Transport limitation for data reads
US12054157B2 (en) 2021-09-09 2024-08-06 Toyota Motor North America, Inc. Hardware timer data expiration

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61176667U (ja) * 1985-04-18 1986-11-04
JPS62249275A (ja) * 1986-04-23 1987-10-30 Hitachi Ltd 取引媒体による取引方式
JPS63204495A (ja) * 1987-02-20 1988-08-24 沖電気工業株式会社 情報貸出方式
JPH0844805A (ja) * 1994-08-01 1996-02-16 Fujitsu Ltd カード型記憶媒体用セキュリティ管理方法,カード型記憶媒体およびカード型記憶媒体用取引装置
JP2003122643A (ja) * 2001-07-09 2003-04-25 Matsushita Electric Ind Co Ltd コンテンツ読出装置
JP2005063079A (ja) * 2003-08-11 2005-03-10 Matsushita Electric Ind Co Ltd メモリカード装置、権利管理システムおよび時間管理方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2720532B1 (fr) * 1994-05-25 1997-09-12 Vincent Lorphelin Système de location sécurisée de logiciels par carte à mémoire.
US6249868B1 (en) * 1998-03-25 2001-06-19 Softvault Systems, Inc. Method and system for embedded, automated, component-level control of computer systems and other complex systems
US6145035A (en) * 1999-02-25 2000-11-07 Dallas Semiconductor Corporation Card cradle system and method
US20020004910A1 (en) * 2000-07-10 2002-01-10 Penzias Arno A. Network lock
MXPA04000193A (es) * 2001-07-09 2004-03-18 Matsushita Electric Ind Co Ltd Aparato para lectura de contenidos.
EP1610199A1 (en) * 2004-06-04 2005-12-28 Axalto SA Controlling access to a secure service by means of a removable security device
EP1780640A4 (en) * 2004-08-17 2009-08-19 Mitsubishi Electric Corp MEMORY BLOCK AND MEMORY PROCEDURE

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61176667U (ja) * 1985-04-18 1986-11-04
JPS62249275A (ja) * 1986-04-23 1987-10-30 Hitachi Ltd 取引媒体による取引方式
JPS63204495A (ja) * 1987-02-20 1988-08-24 沖電気工業株式会社 情報貸出方式
JPH0844805A (ja) * 1994-08-01 1996-02-16 Fujitsu Ltd カード型記憶媒体用セキュリティ管理方法,カード型記憶媒体およびカード型記憶媒体用取引装置
JP2003122643A (ja) * 2001-07-09 2003-04-25 Matsushita Electric Ind Co Ltd コンテンツ読出装置
JP2005063079A (ja) * 2003-08-11 2005-03-10 Matsushita Electric Ind Co Ltd メモリカード装置、権利管理システムおよび時間管理方法

Also Published As

Publication number Publication date
EP1821230A1 (en) 2007-08-22
DE602006002243D1 (de) 2008-09-25
JP2007220122A (ja) 2007-08-30
US20070204335A1 (en) 2007-08-30
EP1821230B1 (en) 2008-08-13

Similar Documents

Publication Publication Date Title
JP4629060B2 (ja) 外部記憶媒体とそれに関連する装置
US10922441B2 (en) Device and method for data security with a trusted execution environment
JP4880029B2 (ja) 暗号化されたストレージデバイスについてのチップセット鍵管理サービスの利用の強制
US7765373B1 (en) System for controlling use of a solid-state storage subsystem
EP2510442B1 (en) System and method for secured backup of data
US9251381B1 (en) Solid-state storage subsystem security solution
US8281388B1 (en) Hardware secured portable storage
US20080181406A1 (en) System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key
US10897359B2 (en) Controlled storage device access
CN102948114A (zh) 用于访问加密数据的单次使用认证方法
CN102884535A (zh) 受保护装置管理
CN109684866B (zh) 一种支持多用户数据保护的安全优盘系统
US9900326B2 (en) Method and apparatus for protecting computer files from CPU resident malware
US11531626B2 (en) System and method to protect digital content on external storage
JP2008005408A (ja) 記録データ処理装置
TW201415283A (zh) 檔案管理系統及方法
US8874907B1 (en) Controlling access to an NFS share
WO2023272747A1 (zh) 一种基于云端融合的科研数据安全保护系统及其工作方法
CN110059507B (zh) 一种实现智能安全u盘的系统及方法
CN111737722B (zh) 内网终端间数据安全摆渡方法及装置
Srivastava et al. Pendrive Security Based System
JP2011107801A (ja) 外付けストレージ用セキュリティ方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100803

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101001

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101019

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101110

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131119

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees