JP4753819B2 - Information processing method, program and apparatus for enhancing evidence capability and / or evidence value of electromagnetic records - Google Patents
Information processing method, program and apparatus for enhancing evidence capability and / or evidence value of electromagnetic records Download PDFInfo
- Publication number
- JP4753819B2 JP4753819B2 JP2006252819A JP2006252819A JP4753819B2 JP 4753819 B2 JP4753819 B2 JP 4753819B2 JP 2006252819 A JP2006252819 A JP 2006252819A JP 2006252819 A JP2006252819 A JP 2006252819A JP 4753819 B2 JP4753819 B2 JP 4753819B2
- Authority
- JP
- Japan
- Prior art keywords
- evidence
- electromagnetic
- value
- information processing
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、電磁的記録に証拠能力又は証拠価値を高める措置を講じてから、該電磁的記録を出力する情報処理方法、プログラム及び装置に関する。 The present invention relates to an information processing method, program, and apparatus for outputting an electromagnetic record after taking measures to increase the evidence capability or evidence value of the electromagnetic record.
近年、電子帳簿保存法、電子署名法、電子文書法などの電子文書関連法制度により、電磁的記録の保存、作成、縦覧、交付等が法的に認められるようになった。一方、企業等の組織の法令遵守や善管注意義務を履行するため、組織の内部統制の仕組みを構築し、当該活動の結果を証拠として残すことにより、内部統制監査や株主代表訴訟等に備える必要性が高まっている。一般に、組織の内部統制に係る情報システムが出力する記録は、膨大な量となりがちであるため、経済性、検索の容易性等に鑑み、紙面ではなく電磁的記録のまま保管することが望まれている。 In recent years, electronic document-related legal systems such as the Electronic Book Storage Law, Electronic Signature Law, and Electronic Document Law have legally allowed the storage, creation, general inspection, and delivery of electromagnetic records. On the other hand, in order to fulfill the legal compliance and duty of good caution of organizations such as companies, the organization's internal control system is established and the results of the activities are left as evidence to prepare for internal control audits and shareholder representative lawsuits. There is a growing need. In general, the records output by an information system related to an organization's internal control tend to be enormous. Therefore, in view of economy, ease of search, etc., it is desirable to store electromagnetic records instead of paper. ing.
電磁的記録に電子文書としての法的要件を与え、刑事訴訟における証拠能力及び/又は証拠価値並びに民事訴訟における証拠価値を高めるための技術が開示されている。電磁的記録が改竄されていないこと(完全性)を証明するハッシュ技術、署名作成者が誰か(真正性)を証明する電子署名技術、ある時刻以前に電磁的記録が存在していたこと(実在性)並びにある時刻以前に電磁的記録が改竄されていないこと(完全性)を証明するタイムスタンプ技術等が広く知られている(非特許文献1)。 Techniques have been disclosed for providing legal requirements for electronic records to electronic records and enhancing the evidence capacity and / or evidence value in criminal cases and the evidence value in civil cases. Hash technology that proves that electromagnetic records have not been tampered with (integrity), electronic signature technology that proves who the signature creator is (authenticity), and that electromagnetic records existed before a certain time (real And a time stamp technique for proving that electromagnetic recording has not been tampered with before a certain time (completeness) (Non-Patent Document 1).
また、過去における電子署名の非生成を証明しようとする技術がある。例えば、電子署名に加えて別の改竄検知措置等を行う方法が提案されている(非特許文献2)。偽造された電子署名に該改竄検知措置が施されていないことを検証することにより、該電子署名の偽造を証明するものである。該改竄検知措置とは、具体的には、生成する複数の電子署名の間に時系列の連鎖構造を持たせるという方法である。該方法によって複数の電子署名間の生成順序を証明し、及び該電子署名間に第三の電子署名の存在しないことを証明しようとするものである。
要証事実の存在又は不存在について判断を下す根拠となる電磁的記録は、該記録が必要とされる以前から、上記の完全性、真正性、実在性を満たすための技術的手段を講じていなければ意味がない。監査や訴訟等のため、第三者による提出要求を受けてから事後的に上記の技術的手段を施しても証拠能力や証拠価値が高まることはない。例えば、事件性が指摘された時以降の日時を示すタイムスタンプが押された電磁的記録は、事後の捏造であるとの疑義を払拭することができないからである。したがって、電磁的記録は、出力から時を置かず、完全性、真正性、実在性を満たしておくことが望ましい。 The electromagnetic records that serve as the basis for determining the existence or nonexistence of a proof fact have taken technical measures to satisfy the above-mentioned integrity, authenticity, and existence before the records are required. Without it, there is no point. Even if the above technical measures are applied after receiving a request for submission by a third party for auditing or litigation, the evidence capacity and evidence value will not increase. For example, the electromagnetic record with a time stamp indicating the date and time after the incident is pointed out cannot be dismissed as a subsequent forgery. Therefore, it is desirable for electromagnetic recording to satisfy integrity, authenticity, and reality without leaving time from the output.
加えて、内部統制等の業務履歴が「業務の通常の過程において作成された書面」(刑事訴訟法323条2号)であると認められるためには、業務の通常の過程を継続して連続的に、技け漏れなく(網羅性)、記録すると良い。事件性が指摘される以前から記録された網羅性のある業務履歴は、自己に有利な証拠のみを選択して提出し、不利な証拠を隠蔽しているとの疑義を払拭することができる。それによって、刑事訴訟においては証拠能力及び証拠価値が、また民事訴訟においては証拠価値が認められる蓋然性が高くなるからである。網羅性を論理的な完全さを以って証明するためには、該記録の存在の証明のみならず、該記録以外の記録が他に存在しないことの証明(不存在の証明)が必要である。監査人、訴訟の相手方、第三者等から提出される証拠の不存在を積極的に証明することにより、監査、訴訟等を自己に有利に展開することができる。 In addition, in order for the business history of internal control, etc. to be recognized as “documents created in the normal process of business” (Article 323-2 of the Criminal Procedure Code), the normal process of business is continued continuously. Therefore, it is good to record without omission (coverability). The comprehensive business history recorded before the incident was pointed out can be used to select and submit only evidence that is advantageous to the self, and dispel the suspicion that the adverse evidence is concealed. This increases the probability that evidence capacity and evidence value will be recognized in criminal cases and evidence value in civil cases. In order to prove completeness with logical completeness, it is necessary not only to prove the existence of the record but also to prove that there is no other record other than the record (proof of the absence). is there. By positively proving the absence of evidence submitted by an auditor, litigation partner, third party, etc., it is possible to develop audits, litigation, etc. in an advantageous manner.
しかし、前述の背景技術の実施例は、該電磁的記録が媒体に記録された以後、該記録に対して該技術的手段を講じる。該記録の出力から該技術的手段の措置までの間に一定の、あるいは時として長時間が経過してしまうことがある。すなわち電磁的記録に証拠能力や証拠価値を高めるための措置がなされない期間が存在する(問題1)。 However, the above-described background art embodiments take the technical measures on the recording after the electromagnetic recording is recorded on the medium. A certain or sometimes long time may elapse between the output of the record and the action of the technical means. That is, there is a period in which no measures are taken to increase the evidence capacity and evidence value in electromagnetic records (Problem 1).
また、業務履歴として出力される電磁的記録は、業務毎に一定の記録単位(メッセージ、帳票、伝票、トランザクション、ファイル、イベント等)を持ち、時系列の履歴として該記録が積み重なるという特性を持つ。一方、前述の背景技術の実施例は、出力された記録単位毎又は該記録単位をさらにまとめた単位毎に該技術的手段を講ずるか否かを任意に選択できる。すなわち、一連の履歴の中から任意の一部を技き出した残りの履歴のみに対して該技術的手段を講じることができ、かつ抜き出された履歴が存在することについて第三者は知ることができない。したがって、該技術的手段を講じた電磁的記録には網羅性がなく、該記録以外の記録が他に存在しないことの証明はできない(問題2)。例えば、前述の電子署名に加えて別の改竄検知措置等を施す電子署名方法の場合、署名者本人に該改竄検知措置等を行わずに電子署名のみを実行する能力や選択肢が残されている。したがって、電子署名に該改竄検知措置等が含まれていないことのみを抗弁として、第三者に対し自己の電子署名の否認又は電子署名の非生成を証明することはできない。この場合、電子署名の非生成を証明するには、自らが行う電子署名には必ず該改竄検知措置を含めるという電子署名生成の運用事実に関する別途の証拠を必要とする。 In addition, the electromagnetic record output as the business history has a characteristic that each business has a fixed recording unit (message, form, slip, transaction, file, event, etc.), and the records are stacked as a time series history. . On the other hand, in the embodiments of the background art described above, it is possible to arbitrarily select whether to take the technical means for each output recording unit or for each unit in which the recording units are further combined. In other words, the third party can know that the technical means can be taken only for the remaining history that has worked out any part of the series of history, and that the extracted history exists. I can't. Therefore, the electromagnetic recording using the technical means is not comprehensive, and it cannot be proved that there is no other recording other than the recording (problem 2). For example, in the case of an electronic signature method that performs another alteration detection measure in addition to the above-described electronic signature, the signer himself has the ability and option to execute only the electronic signature without performing the alteration detection measure. . Therefore, it is not possible to prove to a third party that the electronic signature is denied or the electronic signature is not generated, using only the fact that the electronic signature does not include the falsification detection measure. In this case, in order to prove the non-generation of the electronic signature, a separate proof regarding the operational fact of the generation of the electronic signature that the tampering detection measure is necessarily included in the electronic signature performed by itself is required.
さらに、上記の網羅性をより困難にする要因の一つに、業務運用はハードウェアの更改期間を超えて継続することが挙げられる。連鎖構造を持つ電磁的記録を生成する情報処理装置をハードウェアごと更改するとき、旧ハードウェアから新ハードウェアへと連鎖構造を持つ電磁的記録を移転しなければ電磁的記録の連鎖構造は維持できない。しかし、従来の実施例では、異なるハードウェアへ電磁的記録を移転する際、任意の電磁的記録から連鎖構造を再開する操作を防止できない(問題3)。連鎖構造のある電磁的記録のうち未だ第三者による公証を受けていない電磁的記録を抹消し、残された電磁的記録の最後の電磁的記録に続けて、その後生成される電磁的記録から新しい連鎖構造を再開するという不正が考えられる。ハードウェア更改に伴う電磁的記録の履歴の承継において、承継される履歴の網羅性が証明できなければ、証拠能力や証拠価値が損なわれかねない。 Furthermore, one of the factors that make the above comprehensiveness more difficult is that business operations continue beyond the hardware renewal period. When an information processing device that generates an electromagnetic record with a chain structure is renewed with hardware, the chain structure of the electromagnetic record is maintained unless the electromagnetic record with the chain structure is transferred from the old hardware to the new hardware. Can not. However, in the conventional example, when the electromagnetic recording is transferred to different hardware, the operation of resuming the chain structure from any electromagnetic recording cannot be prevented (Problem 3). Erasing electromagnetic records that have not yet been notarized by a third party among the electromagnetic records with a chain structure, following the last electromagnetic record of the remaining electromagnetic records, An injustice to resume a new chain structure is possible. In the succession of the history of electromagnetic records associated with hardware renewal, if the completeness of the history to be inherited cannot be proved, the evidence capacity and evidence value may be impaired.
そこで、本発明は、上記問題に鑑みて下記の解決すべき課題を設定し、これらの課題を解決することを目的とする。すなわち、証拠能力及び/又は証拠価値が要求される電磁的記録は媒体に出力される以前に、証拠能力及び/又は証拠価値を高めるための措置が施される(課題1)、証拠能力及び/又は証拠価値が要求される電磁的記録はすべて課題1の措置が施され、該措置が施されない電磁的記録は出力が制限される(課題2)、電磁的記録の出力主体であるハードウェアに更改があっても、連鎖構造を持つ電磁的記録の網羅性が証明される(課題3)。
In view of the above problems, an object of the present invention is to set the following problems to be solved and to solve these problems. That is, before an electromagnetic record that requires evidence capacity and / or evidence value is output to the medium, measures are taken to increase the evidence capacity and / or evidence value (Issue 1). Or, all the electromagnetic records that require evidence value are subject to the
本発明は、一面では、電磁的記録を補助記憶装置に出力可能な情報処理装置において、電磁的記録の証拠能力及び/又は証拠価値を高めるための情報処理方法を与える。 In one aspect, the present invention provides an information processing method for increasing the evidence capability and / or evidence value of electromagnetic recording in an information processing apparatus capable of outputting electromagnetic recording to an auxiliary storage device.
この方法は、電磁的記録を補助記憶装置に出力可能な情報処理装置において、電磁的記録の証拠能力及び/又は証拠価値を高めるための情報処理方法であって、ユーザによる任意の書込みを許可する第1の記憶領域への電磁的記録の書込みと共に、ユーザによる任意の書込みと書換えと上書きと削除とを禁止し、特定の追記のみを許可する第2の記憶領域へ、第1の記憶領域へ書込むのと同じ電磁的記録を追記するステップと、第1の記憶領域への電磁的記録の書込みと第2の記憶領域への電磁的記録の追記のどちらかが成功しないとき、既に書込まれた第1及び第2の記憶領域の電磁的記録を消去するステップとからなることを特徴とする。 This method is an information processing method for increasing the evidence capability and / or evidence value of electromagnetic recording in an information processing apparatus capable of outputting electromagnetic recording to an auxiliary storage device, and permits arbitrary writing by a user. Along with the writing of the electromagnetic recording to the first storage area, arbitrary writing, rewriting, overwriting, and deletion by the user are prohibited, and only the specific additional writing is permitted, to the first storage area. The step of appending the same electromagnetic record as the one to be written, and writing either when writing the electromagnetic record to the first storage area or appending the electromagnetic record to the second storage area is not successful And erasing the electromagnetic recording in the first and second storage areas.
また、本発明の電磁的記録の証拠能力及び/又は証拠価値を高めるための情報処理方法は、時刻情報を第2の記憶領域へ追記するステップをさらに含んでも良い。前記電磁的記録に時刻情報を付加した情報に対してハッシュ演算を行い、該ハッシュ演算により算出されたハッシュ値を第2の記憶領域へ追記するステップをさらに含んでも良い。 In addition, the information processing method for enhancing the evidence capability and / or evidence value of electromagnetic recording according to the present invention may further include a step of adding time information to the second storage area. The method may further include performing a hash operation on information obtained by adding time information to the electromagnetic recording, and additionally writing the hash value calculated by the hash operation to the second storage area.
前記電磁的記録に時刻情報を付加した情報に対して第1のハッシュ演算を行い、該第1のハッシュ演算により算出されたハッシュ値と1つ前の第1のハッシュチェーン値との排他的論理和に対して第2のハッシュ演算を行い、該第2のハッシュ演算により算出された第2のハッシュチェーン値を第2の記憶領域へ追記するステップをさらに含んでも良い。前記第2のハッシュチェーン値に対して、秘密鍵を用いて暗号化することにより電子署名を生成し、該電子署名を前記第2の記憶領域へ追記するステップをさらに含んでも良い。 A first hash operation is performed on information obtained by adding time information to the electromagnetic recording, and an exclusive logic between the hash value calculated by the first hash operation and the previous first hash chain value is obtained. A step of performing a second hash operation on the sum and additionally writing the second hash chain value calculated by the second hash operation to the second storage area may be further included. The method may further include a step of generating an electronic signature by encrypting the second hash chain value using a secret key and adding the electronic signature to the second storage area.
また、前記第1および第2のハッシュ演算、および秘密鍵による暗号化を、耐タンパ性のある装置で行うことが好ましい。 Further, it is preferable that the first and second hash operations and the encryption with the secret key are performed by a tamper-resistant device.
さらに、本発明は、本発明の電磁的記録の証拠能力及び/又は証拠価値を高めるための2台の情報処理装置がハッシュダイジェスト及び電子署名の連鎖を形成する方法を与える。 Furthermore, the present invention provides a method in which two information processing devices for enhancing the evidence capability and / or evidence value of the electromagnetic record of the present invention form a chain of hash digest and electronic signature.
この方法は、第2のハッシュチェーン値に対して電子署名を生成し、該電子署名を前記第2の記憶領域へ追記して電磁的記録の証拠能力及び/又は証拠価値を高める2台の情報処理装置の間において、生成された第1の電子署名を外部の情報処理装置に出力するステップと、外部の情報処理装置において第1の電子署名に対して生成された第2の電子署名が外部の情報処理装置から入力されると、第2の電子署名に対し第3の電子署名を生成するステップとからなることを特徴とする。 This method generates two electronic signatures for a second hash chain value and appends the electronic signature to the second storage area to increase the evidence capability and / or evidence value of electromagnetic records. A step of outputting the generated first electronic signature to an external information processing apparatus between the processing apparatuses, and a second electronic signature generated for the first electronic signature in the external information processing apparatus is external And generating a third electronic signature with respect to the second electronic signature.
本発明は、別の面では、電磁的記録を補助記憶装置に出力可能な情報処理装置において、電磁的記録の証拠能力及び/又は証拠価値を高めるためのプログラムを与え、かつ、電磁的記録の証拠能力及び/又は証拠価値を高めるための2台の情報処理装置がハッシュダイジェスト及び電子署名の連鎖を形成するプログラムを与える。本発明のプログラムは、上述の電磁的記録の証拠能力及び/又は証拠価値を高めるため情報処理方法と同じステップを有する。 In another aspect, the present invention provides a program for enhancing the evidence capability and / or evidence value of electromagnetic recording in an information processing apparatus capable of outputting electromagnetic recording to an auxiliary storage device, and Two information processing devices for increasing the evidence capability and / or evidence value provide a program for forming a chain of hash digests and electronic signatures. The program of the present invention has the same steps as the information processing method in order to increase the evidence capability and / or evidence value of the above-described electromagnetic record.
本発明は、さらに別の面では、バスで結ばれた、中央演算処理装置、主記憶装置、タイマ、一つあるいは複数の補助記憶装置を具備し、上述の情報処理方法を実施することにより電磁的記録の証拠能力及び/又は証拠価値を高める情報処理装置を与える。 In another aspect, the present invention includes a central processing unit, a main storage device, a timer, and one or a plurality of auxiliary storage devices connected by a bus, and performs electromagnetic processing by performing the information processing method described above. An information processing apparatus that enhances the evidence ability and / or evidence value of a historical record is provided.
本発明によれば、証拠能力及び/又は証拠価値が要求される電磁的記録は、補助記憶装置の媒体に書込まれる前に、証拠能力及び/又は証拠価値を高めるための措置が施され、該措置が施されない電磁的記録は媒体に残ることがない。すなわち、本発明によれば一度出力された電磁的記録に証拠能力や証拠価値を高めるための措置がなされずに放置される期間などあり得ない。さらに、本発明による証拠能力及び/又は証拠価値を高めるための措置は、情報処理装置によって自動的に実行されるため、該自動実行される措置に対してユーザは窓意的に変更を加えることはできない。したがって、証拠となる業務履歴の網羅性が保障され、該記録以外の記録が他に存在しないことの証明(不存在の証明)が容易になる。 In accordance with the present invention, electromagnetic records that require evidence capacity and / or evidence value are subjected to measures to increase evidence capacity and / or evidence value before being written to the auxiliary storage medium. Electromagnetic records that are not subjected to this measure will not remain on the medium. That is, according to the present invention, there is no period in which the electromagnetic record once output is left without taking measures for increasing the evidence ability and the evidence value. Furthermore, since the measures for increasing the evidence capacity and / or the evidence value according to the present invention are automatically executed by the information processing apparatus, the user can intentionally change the automatically executed measures. I can't. Therefore, the completeness of the business history as evidence is ensured, and proof that there is no other record other than the record (proof of non-existence) becomes easy.
さらに、本発明によれば、業務履歴を出力するハードウェアを更改するとき、連鎖構造のある電磁的記録のうち未だ第三者による公証を受けていない電磁的記録を抹消し、残された電磁的記録の最後の電磁的記録に続けて、その後生成される電磁的記録から新しい連鎖構造を再開するという不正を防止することが可能となる。電磁的記録の出力主体であるハードウェアに更改があっても、連鎖構造を持つ電磁的記録の網羅性を証明することが容易になる。 Further, according to the present invention, when the hardware that outputs the business history is renewed, the electromagnetic records that have not yet been notarized by a third party are deleted from the electromagnetic records having a chain structure, and the remaining electromagnetic records are deleted. It is possible to prevent the fraud of resuming a new chain structure from the electromagnetic record generated after the last electromagnetic record of the target record. Even if the hardware that is the main output of electromagnetic recording is renewed, it becomes easy to prove the completeness of the electromagnetic recording having a chain structure.
以下、本発明の実施形態と添付図面とにより本発明を詳細に説明する。なお、複数の図面に同じ要素を示す場合には同一の参照符号を付ける。 Hereinafter, the present invention will be described in detail with reference to embodiments of the present invention and the accompanying drawings. In addition, when showing the same element in several drawing, the same referential mark is attached | subjected.
図1Aは、本発明の第1の実施形態による電磁的記録の証拠能力及び/又は証拠価値を高める情報処理装置の構成を示す略ブロック図である。図1Aにおいて、該情報処理装置は、中央演算処理装置(CPU)1001、主記憶装置1002、タイマ1A25、バス1004、補助記憶装置であるI/O装置1005、1006、1007とを備えた、仮想記憶方式の電子計算機である。図1Aは1実施例であって、CPU及びバスは複数あっても良く、I/O装置の数量はこれより少なくても多くても良く、図1Aの記載に限定されない。
FIG. 1A is a schematic block diagram showing the configuration of an information processing apparatus for increasing the evidence capability and / or evidence value of electromagnetic recording according to the first embodiment of the present invention. 1A, the information processing apparatus includes a central processing unit (CPU) 1001, a
CPU1001は、内部に算術論理ユニット(ALU)、レジスタ、プログラムカウンタと付加回路とからなるシーケンサなどを具備し、主記憶上のプログラムに従って各種の演算を行う。CPU1001内部には、その他に割込み制御ユニット(ICU)、メモリ管理ユニット(MMU)、二次キャッシュなどを備えていても良い。
The
主記憶装置1002は、読み書きの可能な大容量のメモリである。主記憶装置1002内部に振られたアドレスによって語(Word)を指定し、語を単位として命令とデータを保持する。
The
タイマ1A25は、クロックの発振器とカウンタと独立した電池とを具備した、情報処理装置内部のいわゆるリアルタイムクロック(RTC)である。タイマ1A25は、問合せに対して時刻情報を返す。 The timer 1A25 is a so-called real time clock (RTC) inside the information processing apparatus, which includes a clock oscillator and a counter and an independent battery. The timer 1A25 returns time information in response to the inquiry.
I/O装置1005、1006、1007は、入出力の可能な補助記憶装置であり、媒体を具備するか又は媒体を具備した補助記憶装置と通信の可能なネットワークインターフェースである。
The I /
該情報処理装置の起動時に、主記憶装置1002にはOS1013及び割込みハンドラ1000がロードされる。割込みハンドラ1000は、OS1013の一部であっても良いし、OS1013とハードウェアの間に位置する仮想マシンモニタ(VMM)の一部として構成されても良い。該情報処理装置の起動後、主記憶装置1002上に、ユーザの操作によりアプリケーションソフトウェア1012が保持され、さらにアプリケーションソフトウェア1012により電磁的記録が作成される。
When the information processing apparatus is activated, the
ページテーブル1003は、仮想記憶を管理するために仮想アドレス空間を分割したページの配列構造である。ページテーブル1003は、I/O装置1005、1006、1007を制御するアドレスに対して書込み禁止の設定をしたエントリを含むことができる。アプリケーションソフトウェア1012が電磁的記録1011のファイル書込みを行うと、オペレーティングシステム(OS)1013に含まれるファイルシステムは、デバイスドライバ1014を検索し呼び出す。呼び出されたデバイスドライバ1014は、I/O装置を制御するアドレスに対し、I/O装置の書込み命令を発行する。書込みが禁止されたページに対する書込みを受けたCPU1001内部には、CPUの記憶保護機能によって割込みが発生する。なお、ページテーブル1003は、図1Aにおいては、主記憶装置1002の内部に保持されているが、この構成に限定されるものではなく、CPU1001と一体化した又はCPUから独立したメモリ管理ユニット(MMU)の内部に保持されていても良い。
The page table 1003 is an array structure of pages obtained by dividing a virtual address space in order to manage virtual memory. The page table 1003 can include an entry in which write prohibition is set for an address that controls the I /
該割込みによって、CPU1001は実行中のプログラム(出力ルーチンなど)を中断し、当該プログラムの命令実行中のCPU内部のレジスタ、フラグ情報などを主記憶装置上に退避した後、割込みハンドラ1000を呼び出す。割込みによる他に、アプリケーションソフトウェア1012によって割込みハンドラ1000を直接呼び出すこともできる。割込みハンドラ1000は、次の一連の処理を実行する。
In response to the interrupt, the
CPU割込みによって割込みハンドラ1000が呼び出された場合、ページテーブルへの書込み制御は、割込み制御処理1020に移される。割込み制御処理1020は、割込みハンドラ1000の全体を制御するメインルーチンであり、各サブルーチンの起動と終了、順序制御、サブルーチン間のデータの送受制御、主記憶装置1000上に一時的に保持されるデータの暗号化及び復号化、及びI/O処理1023を通じたデータの送受制御を行う。なお、割込み制御処理1020が持つ暗号鍵と暗号アルゴリズムは後述する値保護処理1A27の暗号鍵と暗号アルゴリズムと同じである。該暗号鍵は、該情報処理装置の使用者のみならず、運用管理者も入手できない状態で、信頼できる第三者により管理されていることが望ましい。
When the interrupt
始めに、割込み制御処理1020は、I/O装置への書込み命令の書込みを受けたページが所定のアドレス(後述する運用領域O内のアドレス)であるかを判定するため、比較・登録処理1021を起動する。次いで、割込み制御処理1020は、比較・登録処理1021の処理結果に応じて、書込み命令の対象となる電磁的記録をI/O処理1023及びハッシュ演算処理1A26に渡し、又は割込みハンドラ1000を終了し、割込み前の状態に復帰させる。他方、個別のアプリケーションソフトウェア1012によって呼び出された場合には、割込み制御処理1020は、比較・登録処理1021、I/O処理1023、署名生成・検証処理1A29又は鍵保護処理1A30を呼び出す。
First, the interrupt
比較・登録処理1021は、割込み制御処理1020によって起動される。比較・登録処理1021は、I/O装置への書込み命令の書込みを受けたページのアドレスと、アドレステーブル1022に登録済のアドレスとを比較し、又は個別のアプリケーションソフトウェア1012を通したユーザ操作により、アドレステーブル1022に任意のアドレスの領域指定及び属性指定の登録を行う。アドレステーブル1022は、所定の領域(後述する運用領域O、保護領域P)を示すアドレス及び該領域同士の対応関係を示し、I/O装置1005、1006、1007のいずれかの内部に記憶される。アドレステーブル1022は、比較・登録処理1021によりI/O処理1023を通じて、読出され、書き込まれる。アドレステーブル1022は任意のアプリケーションソフトウェア1012によってアクセスされ、変更されることはない。
The comparison /
ハッシュ演算処理1A26は、ハッシュ演算アルゴリズムを持ち、ハッシュ演算を行う。該ハッシュ演算アルゴリズムは、危殆化を考慮して、割込み制御処理1020を通じたユーザ操作により、随時変更することができる。ハッシュ演算処理1A26は、割込み制御処理1020から渡された書込み命令の対象となる電磁的記録とタイマ1A25から得た時刻情報と排他的論理和(XOR)演算処理1024から渡された処理結果とを対象としてハッシュ演算を行う。ハッシュ演算処理の結果は、排他的論理和(XOR)演算処理1024、署名生成・検証処理1A29、I/O処理1023に渡される。また、割込み制御処理1020を通じてユーザが入力した任意の電磁的記録に対して、ハッシュ演算処理1A26は、ハッシュ演算を行い、演算結果をI/O処理1023に返す。
The hash calculation process 1A26 has a hash calculation algorithm and performs a hash calculation. The hash calculation algorithm can be changed at any time by a user operation through the interrupt
排他的論理和(XOR)演算処理1024は、ハッシュ演算処理1A26の演算結果と値保護処理1A27によって保存された値1A28との排他的論理和(XOR)演算を行う。排他的論理和(XOR)演算の結果は、割込み制御処理1020を通してハッシュ演算処理1A26に返される。
The exclusive OR (XOR)
署名生成・検証処理1A29は、公開鍵暗号方式による暗号化アルゴリズムを持ち、暗号化演算を行うことによって、電子署名を生成し又は検証を行う。該暗号化アルゴリズムは危殆化を考慮して、割込み制御処理1020を通じたユーザ操作により随時変更することができる。署名生成・検証処理1A29は、割込み制御処理1020を通してハッシュ演算処理1A26から渡されたハッシュ演算結果から電子署名を生成し、該電子署名はI/O処理1023に渡される。該公開鍵暗号方式に用いられる秘密鍵と公開鍵は、鍵保護処理1A30が保護する秘密鍵・公開鍵1A31である。署名生成・検証処理1A29は、署名の生成と検証の都度、鍵保護処理1A30にアクセスして秘密鍵又は公開鍵を取得する。割込み制御処理1020を通じたユーザ操作によって、署名生成・検証処理1A29は、ユーザが入力した任意の電磁的記録に対して電子署名を生成し、及びユーザが入力したハッシュ値及び電子署名に対しては署名を復号化し、該ハッシュ値との一致を検証することができる。
The signature generation / verification process 1A29 has an encryption algorithm based on a public key cryptosystem, and generates or verifies an electronic signature by performing an encryption operation. The encryption algorithm can be changed at any time by a user operation through the interrupt
鍵保護処理1A30は、暗号鍵と暗号アルゴリズムを持ち、秘密鍵・公開鍵1A31の暗号化と復号化を行い、これらを保護する。該暗号鍵と該暗号アルゴリズムは割込み制御処理1020及び後述する値保護処理1A27の暗号鍵と暗号アルゴリズムと同じでなくても良いが、該暗号鍵は、該情報処理装置の使用者のみならず、運用管理者も入手できない状態で、信頼できる第三者により管理されていることが望ましい。鍵保護処理1A30によって暗号化された秘密鍵・公開鍵1A31は、I/O装置1005、1006、1007のいずれかに書込まれ、読出される。署名生成及び検証処理の実行の都度、秘密鍵・公開鍵1A31は読出され、鍵保護処理1A30によって復号化された後、署名生成・検証処理1A29に渡される。秘密鍵・公開鍵1A31は、公開鍵暗号方式の秘密鍵及び公開鍵であり、秘密鍵と公開鍵のペアは鍵管理の安全性を考慮して随時変更することができる。変更された秘密鍵と公開鍵は、鍵保護処理1A30によって暗号化された後、I/O処理1023によってI/O装置1005、1006、1007のいずれかに書込まれる。
The key protection processing 1A30 has an encryption key and an encryption algorithm, encrypts and decrypts the private key / public key 1A31, and protects them. The encryption key and the encryption algorithm may not be the same as the encryption key and the encryption algorithm of the interrupt
I/O処理1023は、割込み制御処理1020よって起動される。I/O処理1023の出力対象となる電磁的記録は、証拠能力及び/又は証拠価値を高める必要のある電磁的記録、アドレステーブル1022中のI/Oアドレス、タイマ1A25の生成する時刻情報、ハッシュ演算処理1A26の演算結果、値1A28、署名生成・検証処理1A29の処理結果及び秘密鍵・公開鍵1A31である。I/O装置1005、1006、1007のいずれかに出力する場合、I/O処理は、デバイスドライバ1014を検索し、デバイスドライバ1014によってI/O装置1005、1006、1007のいずれかに書込み命令を行う。I/O処理1023の入力対象は、アドレステーブル1022中のI/Oアドレス、秘密鍵・公開鍵1A31、ユーザが入力する任意の電磁的記録である。
The I /
値保護処理1A27は、暗号鍵と暗号アルゴリズムを持ち、値1A28の暗号化と復号化を行い、これを保護する。該暗号鍵と該暗号アルゴリズムは、割込み制御処理1020の暗号鍵と暗号アルゴリズムと同じである。該暗号鍵は、該情報処理装置の使用者のみならず、運用管理者も入手できない状態で、信頼できる第三者により管理されていることが望ましい。値保護処理1A27は、証拠能力及び/又は証拠価値を高める必要のある電磁的記録の書込みの完了を確認した割込み制御処理1020によって起動される。I/O装置1005、1006、1007のいずれかに書き込まれたハッシュ演算処理1A26の結果が、値1A28となる。値1A28は、I/O装置に書込まれる前の主記憶装置1002に保持されていたデータを基にして、値保護処理1A27により暗号化された後、I/O処理1023によって値1A28に上書き保存される。値1A28は、I/O装置1005、1006、1007のいずれかに書込まれ、読出される。I/O装置1005、1006、1007によって読出された値1A28は、値保護処理1A27によって復号化された後、割込み制御処理1020を通じて値1A28を排他的論理和(XOR)演算処理1024に引渡される。
The value protection process 1A27 has an encryption key and an encryption algorithm, encrypts and decrypts the value 1A28, and protects it. The encryption key and the encryption algorithm are the same as the encryption key and the encryption algorithm of the interrupt
図2は、証拠能力及び/又は証拠価値を高める必要のある電磁的記録を証拠記録として生成し、保管するレコードのテーブル例を示す。証拠能力及び/又は証拠価値を高める必要のある電磁的記録をDkとする。図1Aのタイマ1A25によって生成された時刻情報をタイマ値Tkとする。図1Aのハッシュ演算処理1A26の演算結果をハッシュ値Hk及びハッシュチェーン値HCkとする。図1Aの署名生成・検証処理1A29により生成された電子署名をSkとする。証拠記録レコードRkをRk={Dk,Tk,Hk,HCk,Sk}とする。各記号の下付き文字kはk={0,1,2,…,n}とし、レコードの発生順序を示す序数である。証拠記録レコードRkは、生成された順に逐次累積し、履歴として記録される。 FIG. 2 shows an example of a table of records for generating and storing an electromagnetic record that needs to be improved in evidence capacity and / or evidence value as an evidence record. Let D k be an electromagnetic record that needs to be improved in evidence capacity and / or evidence value. The time information generated by the timer 1A25 of Figure 1A and the timer value T k. The calculation result of the hash calculation process 1A26 in Figure 1A and the hash value H k and the hash chain value HC k. An electronic signature generated by the signature generation and verification process 1A29 in Fig. 1A and S k. Let the evidence record record R k be R k = {D k , T k , H k , HC k , S k }. The subscript k of each symbol is k = {0, 1, 2,..., N}, and is an ordinal number indicating the generation order of records. The evidence record records Rk are sequentially accumulated in the order in which they are generated and recorded as a history.
ハッシュ値Hnは、2つの値DnとTnを連結したデータDn|Tnのハッシュ関数h(Dn|Tn)である。記号|は連結を表し、記号h()はハッシュ関数を表す。ハッシュチェーン値HCnは、n−1番目のハッシュチェーン値HCn−1とn番目のハッシュ値Hnとの排他的論理和HCn−1(+)Hnのハッシュ関数h(HCn−1(+)Hn)である。記号(+)は排他的論理和(XOR)演算を表す。電子署名Snは、ハッシュチェーン値HCnの暗号処理c(HCn)の結果である。記号c()は、暗号アルゴリズムによる暗号化を表す。 Hash value H n is two values D n and T n data linked D n | a | (T n D n) T n of the hash function h. The symbol | represents concatenation, and the symbol h () represents a hash function. Hash chain value HC n is, n-1-th hash chain value HC n-1 and the exclusive OR of the n-th hash value H n HC n-1 (+ ) H n of the hash function h (HC n- 1 (+) H n ). The symbol (+) represents an exclusive OR (XOR) operation. The electronic signature S n is a result of the cryptographic processing c (HC n ) of the hash chain value HC n . The symbol c () represents encryption by an encryption algorithm.
電磁的記録D0は、電磁的記録Dkを生成するエンティティ(主体)を示すための初期情報として用いる。電磁的記録D0は、電磁的記録の生成主体である該情報処理装置又は該情報処理システム、さらには該情報処理装置又は情報処理システムの管理運用主体に固有の情報を含むことが好ましい。電磁的記録D0に相応しい、主体に固有の情報とは、例えば、該電子計算機の機体番号、BIOS、ブートローダ、拡張ROMデータ、オペレーティングシステム(OS)1013のライセンス番号、アプリケーションソフトウェア1012のライセンス番号、管理者名、運用者名又はこれらの情報のハッシュダイジェスト又は該情報処理システムにおいて使用する全てのプログラム全体のハッシュダイジェストなどに、暗号化された秘密鍵・公開鍵1A31を加えた情報が考えられる。−1番目のハッシュチェーン値HC−1が存在しないためHC−1=0とし、ハッシュチェーン値HC0は、0とH0との排他的論理和0(+)H0のハッシュ関数h(0(+)H0)とする。
Electromagnetic record D 0 is used as the initial information to indicate an entity that generates electromagnetic record D k (principal). The electromagnetic recording D 0 preferably includes information unique to the information processing apparatus or the information processing system that is the generation subject of the electromagnetic recording, and further to the management and operation subject of the information processing apparatus or information processing system. The information specific to the subject suitable for the electromagnetic recording D 0 is, for example, the machine number of the electronic computer, BIOS, boot loader, expansion ROM data, license number of the operating system (OS) 1013, license number of the
証拠記録レコードRnは、その構造と生成過程に基づき、ハッシュ値Hnによって電磁的記録Dnの完全性への、電子署名Snによって署名作成者の真正性への、電磁的記録D0によって電磁的記録Dnを生成する主体への、タイマ値Tnによって電磁的記録Dnの生成時刻又は生成間隔への、ハッシュチェーン値HCnによって電磁的記録DnとDn−1との連続性への、合理的な保証が与えられる。また、証拠記録レコードRn又は少なくとも電子署名Snは、可能ならばその全てを生成の都度、タイムスタンプサービスなどの公証サービスを提供する信頼できる第三者(TTP)に保管させることが好ましい。TTPによるタイムスタンプは、証拠記録レコードRnの実在性に対する合理的保証を与えることができる。しかし、費用面や運用面の問題により証拠記録レコードRn又は電子署名Snの全てをTTPに保管させることが困難な場合には、業務運用上、重要な証拠記録レコードRn又は電子署名Snを選択して、若しくは可能な限り短周期かつ定期的に、証拠記録レコードRn又は電子署名SnをTTPに保管させても良い。 Evidence record record R n is based on its structure and generation process, electromagnetic record D 0 to hash signature value H n to the integrity of electromagnetic record D n and electronic signature S n to the authenticity of the signature creator. by to subject that generates electromagnetic record D n, to generate a time or generation interval of the electromagnetic record D n by the timer value T n, the electronic records D n and D n-1 by a hash chain value HC n A reasonable guarantee is given to continuity. The evidence record record R n or at least the electronic signature S n is preferably stored in a reliable third party (TTP) that provides a notary service such as a time stamp service whenever possible. Timestamp by TTP can provide reasonable assurance against reality evidence recording records R n. However, if all the evidence recorded record R n or digital signature S n by cost side and operational problems it is difficult to store in the TTP, business operations, important evidence record records R n or digital signature S The evidence record record R n or the electronic signature S n may be stored in the TTP by selecting n or periodically and as short as possible.
図3Aは、証拠能力及び/又は証拠価値を高める必要のある電磁的記録の取扱いを定めるための一のI/O装置内における領域指定の例の概念図である。図3Bは、証拠能力及び/又は証拠価値を高める必要のある電磁的記録の取扱いを定めるための複数のI/O装置内における領域指定の例の概念図である。 FIG. 3A is a conceptual diagram of an example of region designation within one I / O device to define the handling of electromagnetic records that need to increase evidence capacity and / or evidence value. FIG. 3B is a conceptual diagram of an example of region designation in multiple I / O devices to define the handling of electromagnetic records that need to increase evidence capacity and / or evidence value.
運用領域Oとは、アプリケーションソフトウェア1012又はオペレーティングシステム(OS)1013が生成する電磁的記録Dkの内、ユーザの指定により証拠能力及び/又は証拠価値を高める必要がある電磁的記録の出力先となるI/O装置の書込み領域である。運用領域Oは、アプリケーションソフトウェア1012及びオペレーティングシステム(OS)1013によって直接、書込みが可能である。保護領域Pとは、運用領域Oに書込まれる電磁的記録Dkを運用領域Oとは別に証拠記録レコードRk={Dk,Tk,Hk,HCk,Sk}として書込み、そして保護するI/O装置の領域である。非指定領域とは、運用領域O又は保護領域Pでない領域であって、本発明に必須の構成要素ではない。一方、運用領域O又は保護領域P(以下、O又はPを「指定領域」という)は、本発明にとり不可欠の構成要素である。非指定領域の存在は、本発明を使用するユーザにとっての本発明の構成の自由度を示すに過ぎない。運用領域O、保護領域P、非指定領域は互いに排他的である。指定領域の概念は、電磁的記録Dkに対して別の側面から次の定義を与えることができる。すなわち、電磁的記録Dkとは、運用領域Oに書込まれる全ての電磁的記録であり、かつ運用領域Oへの書込みの都度、書込みと同時又はそれ以前に保護領域Pに証拠記録レコードRk={Dk,Tk,Hk,HCk,Sk}の一部として書込まれ、そして保護されるところの、電磁的記録である。したがって、ユーザは、アプリケーションソフトウェア1012又はオペレーティングシステム(OS)1013が生成する電磁的記録の出力先に運用領域Oを指定することによって、証拠能力及び/又は証拠価値を高めることが必要な、ユーザにとっての電磁的記録Dkを定義することが可能となる。
The operation area O refers to an output destination of an electromagnetic record that needs to be improved in evidence capacity and / or evidence value according to the user's designation among the electromagnetic records Dk generated by the
図3Aは、一のI/O装置3A02内に、運用領域O、保護領域P、非指定領域を割り当てる。I/O装置3A02は、少なくとも1回の書込みと複数回の読出しの可能な補助記憶媒体を含む装置である。他方、図3Bは、複数のI/O装置3B02、3B03、3B04のそれぞれに対し、非指定領域、運用領域O、及び保護領域Pを割り当てる。保護領域Pを割り当てたI/O装置3B04は、少なくとも1回の書込みと複数回の読出し可能な補助記憶媒体を含む装置であるか、又は少なくとも1回の書込みと複数回の読出し可能な補助記憶媒体を含む装置に接続されたネットワークインターフェース装置である。I/O装置3B02、3B03は、記憶媒体を含んでも良いし、記憶媒体を含まない単なる出力装置であっても良い。 In FIG. 3A, an operation area O, a protection area P, and a non-designated area are allocated in one I / O device 3A02. The I / O device 3A02 is a device including an auxiliary storage medium that can be written at least once and read a plurality of times. On the other hand, in FIG. 3B, a non-designated area, an operation area O, and a protection area P are allocated to each of the plurality of I / O devices 3B02, 3B03, and 3B04. The I / O device 3B04 to which the protection area P is assigned is a device that includes an auxiliary storage medium that can be written at least once and read a plurality of times, or an auxiliary storage that can be read at least once and read a plurality of times. A network interface device connected to a device including a medium. The I / O devices 3B02 and 3B03 may include a storage medium, or may be a simple output device that does not include a storage medium.
バス3A01、3B01は、システムバス又はI/Oバスであり、ISAバス、PCIバス、SCSIバスなどのバスの種類は問わない。図3Bにおいて、バス3B01は、1本のバスとして記載されているが、I/O装置3B02、3B03、3B04のそれぞれに対し、各1本ずつのバスを構成しても良い。図3Bは、一実施例を概念的に例示するに過ぎず、バス及びI/O装置の数と組み合わせは任意に決定することができる。 The buses 3A01 and 3B01 are system buses or I / O buses, and the types of buses such as an ISA bus, a PCI bus, and a SCSI bus are not limited. In FIG. 3B, the bus 3B01 is described as one bus, but one bus may be configured for each of the I / O devices 3B02, 3B03, and 3B04. FIG. 3B only conceptually illustrates one embodiment, and the number and combination of buses and I / O devices can be arbitrarily determined.
図4は、指定領域である運用領域O及び保護領域Pが持つ電磁的記録の属性及び許可/禁止される操作ならびに運用領域O及び保護領域Pの関連を示す図である。前述したように、運用領域Oには電磁的記録Dkが出力される。運用領域Oに許可される操作は、少なくともI/O装置への出力操作でさえあれば良く、書換え、上書き、空き領域への追記、削除、読出しの各操作への制限は任意である。一方、保護領域Pには、これも前述したとおり、証拠記録レコードRkが書込まれる。保護領域Pには、運用領域Oに電磁的記録Dkの出力要求に基づく証拠記録レコードRk以外の書込み操作は一切許容されない。しかも、証拠記録レコードRkの書込み操作は、ユーザによる任意の操作は許可されず、該情報処理装置によって自動的に行われ、かつ書換え、上書き及び削除は禁止され、空き領域への追記が許可される。証拠記録レコードRkの読出し操作については、ユーザが任意に実行可能である。 FIG. 4 is a diagram illustrating the attributes of electromagnetic recording and the permitted / prohibited operations of the operation area O and the protection area P, which are designated areas, and the relationship between the operation area O and the protection area P. As described above, the electromagnetic recording Dk is output to the operation area O. The operation permitted to the operation area O only needs to be at least an output operation to the I / O device, and restrictions on the operations of rewriting, overwriting, adding to a free area, deleting, and reading are arbitrary. On the other hand, the evidence record record R k is written in the protected area P as described above. In the protection area P, writing operations other than the evidence record record R k based on the output request of the electromagnetic record D k in the operation area O are not allowed at all. In addition, the write operation of the evidence record record R k is not permitted by the user, is automatically performed by the information processing apparatus, and rewriting, overwriting, and deletion are prohibited, and additional writing to the free area is permitted. Is done. For read operations evidence recording record R k, the user can arbitrarily execute.
図4の運用領域Oと保護領域Pとを結ぶ実線の下部に記載した記号1..*は、運用領域Oと保護領域Pとの対応関係を表す。すなわち、1の保存領域Pに対して、1又は2以上の運用領域Oが設定される。その逆、1の運用領域Oに対して2以上の保護領域Pを設定することもできる。同一の該情報処理装置内に複数の保護領域Pと運用領域Oとを、上述の指定領域O、Pの対応関係を満たしながら設定することができる。
図5は、本実施例1の図1の情報処理装置が割込みハンドラ1000を起動するための割込み設定手順及び割込み手順の例を示すフローチャートである。図5の左半分に記載した設定手順とは、割込みハンドラ1000を起動する割込み手順を実現するための事前準備として必要な設定を行う手順を表す。図5の右半分に記載した割込み手順とは、該設定手順が完了した状態から、アプリケーションソフトウェア1013による電磁的記録1011の書込み操作から割込みハンドラ1000の起動に至る割込み手順を表す。ステップS503及びステップS504から右に伸びる矢印は、ステップS503及びステップS504が、それぞれの矢印の指し示す割込み手順の各ステップの移行過程を実現する上で前提となる設定条件であることを示している。
FIG. 5 is a flowchart illustrating an example of an interrupt setting procedure and an interrupt procedure for starting the interrupt
図5の設定手順は次のとおりである。該情報処理装置の起動によって、割込み設定ルーチンが起動する(S501)。該割込み設定ルーチンは、OSの一部のルーチンでもよいし、仮想マシンモニタの一部のルーチンでも良い。該割り込み設定ルーチンによって、CPUは特権モードへ移行する(S502)。次いで、アドレステーブル1022に基づいて該情報処理装置に接続されたI/O装置の指定領域O、Pの制御用アドレスを割出し、これに対応するページテーブル1003のエントリのアクセス権を設定する書込み可能ビットをOFF(書込み禁止)に設定する(S503)。さらに、記憶保護割込みに対応する割込み先アドレス内の分岐命令を割込みハンドラ1000の実行命令とする設定を行う(S504)。その後、ユーザモードへ復帰する(S505)。以上が、続く割込み手順を実行するための該情報処理装置の起動時に必要な手順である。 The setting procedure of FIG. 5 is as follows. When the information processing apparatus is activated, an interrupt setting routine is activated (S501). The interrupt setting routine may be a part of the OS routine or a part of the virtual machine monitor routine. The CPU shifts to the privileged mode by the interrupt setting routine (S502). Next, based on the address table 1022, the address for controlling the designated areas O and P of the I / O device connected to the information processing device is determined, and the access right for the entry of the page table 1003 corresponding thereto is set. The possible bit is set to OFF (write prohibition) (S503). Further, the branch instruction in the interrupt destination address corresponding to the memory protection interrupt is set as the execution instruction of the interrupt handler 1000 (S504). Thereafter, the user mode is restored (S505). The above is the procedure necessary when starting up the information processing apparatus for executing the subsequent interrupt procedure.
図5の割込み手順は次のとおりである。ユーザがアプリケーションソフトウェア1012を操作してI/O装置に対し電磁的記録を出力する場合、一般に、アプリケーションソフトウェア1021は、ソフトウェア割込みにより出力ルーチンを呼出すことが多い。出力ルーチンとは、すなわちOS1013のAPIである(S506)。このシステムコールに応答したOS1013のファイルシステムは、書込み先ファイルの論理名から、該ファイルの位置を示す論理アドレスのあるI/O装置にアクセスするためのデバイスドライバ1014を検索し、起動する(S507)。起動したデバイスドライバ1014は、該I/O装置を制御するアドレスに対応するページテーブルエントリに書込み命令を発行する(S508)。このとき既に該ページテーブルエントリは、ステップS503によって書込み禁止となっているため、CPUの記憶保護割込みが発生する(S509)。このときCPUは、ステップS508の書込み命令の完了する前に、CPU内部のレジスタ、フラグ情報を主記憶装置1002内のスタックに退避し、CPU内部状態を保存する(S510)。さらに、CPUは、所定の割込み先アドレスへジャンプし(S511)、該割込み先アドレス内の分岐命令を実行する(S512)。該分岐命令は、事前にステップS504によって割込みハンドラ1000の実効命令に設定されている。これにより割込みハンドラ1000が起動され(S513)、割込み手順は完了する。以上はアプリケーションソフトウェアによって出力ルーチンが呼出され、さらに該割込みルーチンが呼出される過程である。これに続くステップS7A02については、後述の図7Aにおいて説明する。
The interrupt procedure in FIG. 5 is as follows. When the user operates the
図6Aは、該情報処理装置の指定領域O、Pを指定して運用を開始するまでの手順を示すフローチャートである。ユーザは、割込みハンドラ1000に含まれる該情報処理装置の運用領域O及び保護領域Pの指定入力を行うためのプログラムを起動することにより、割込みハンドラ1000に処理を移し、割込み制御処理1020によって特権モードへ移行(S6A01)し、次いで、比較・登録処理1021を起動する。
FIG. 6A is a flowchart showing a procedure until the designated areas O and P of the information processing apparatus are designated and the operation is started. The user starts the program for performing the designation input of the operation area O and the protection area P of the information processing apparatus included in the interrupt
ユーザは、比較・登録処理1021により、対となる運用領域Oと保護領域Pの指定入力を行う(S6A02)。次に、比較・登録処理1021は、ユーザの指定先O及びPとアドレステーブル1022にあるアドレスの領域とを比較することにより、判定(S6A03、S6A04)を行う。該指定先Oが既に保護領域Pとして指定済みの場合、その旨エラー表示(S6A05)が返され、ステップS6A02に戻る。次に、該指定先Oが保存領域Pとして未指定の場合、該指定先Pの判定(S6A04)に移る。該指定先Pが既に運用領域Oとして指定済みの場合、その旨エラー表示(S6A05)が返され、ステップS6A02に戻る。該指定先Pが運用領域Oとして未指定の場合、該指定領域O、Pを制御するアドレスに対応するページテーブルのエントリのアクセス権を設定する書込み可能ビットを判定(S6A06)し、これがONならば、I/O処理1023によってOFF(書込み禁止)に設定(S6A07)の後、ステップS6A06の判定に戻る。ステップS6A06の判定結果がYesの場合、ステップS6A08に移る。
The user performs designation input of the paired operation area O and protection area P by the comparison / registration process 1021 (S6A02). Next, the comparison /
ステップS6A08では、ユーザが指定したO及びPの対をそれぞれ運用領域O、保護領域Pとしてアドレステーブル1022に登録するため、I/O処理1023が起動される。I/O処理1023は、アドレステーブル1022を記憶しているI/O装置を制御するアドレスのページテーブルエントリのアクセス権を設定するビットをON(書込み許可)に設定する(S6A08)。I/O処理1023は、CPUから該アドレスに対して、ユーザ指定の該アドレステーブルを書込む命令を発行することによって、アドレステーブル1022を記憶するI/O装置に、指定領域O、Pがアドレステーブルに書込まれ、登録される(S6A09)。次に、I/O処理1023は、アドレステーブル1022の記憶されたI/O装置を制御するアドレスのページテーブルエントリのアクセス権を設定するビットをOFF(書込み禁止)に設定(S6A10)した後、割込み制御処理1020は終了してユーザモードに復帰する。以上、ステップS6A01乃至S6A11は、ユーザが指定領域O、Pの指定入力を行うためのプログラムによる一連の流れである。
In step S6A08, the I /
次に、ユーザは、証拠能力及び/又は証拠価値を高める必要のある電磁的記録Dnを生成するアプリケーションソフトウェア又はOSを選択して起動する(S6A12)。続いて、選択されたアプリケーションソフトウェア又はOSの生成する電磁的記録Dnの出力先を運用領域Oに設定する(S6A13)。以上、ステップS6A12乃至S6A13において、ユーザは、電磁的記録の生成履歴を残すべきアプリケーションソフトウェア又はOSを決定し、その出力先をOに設定するだけで、出力された電磁的記録は、全て証拠として生成履歴が残されることになる。 Next, the user selects and starts application software or an OS that generates an electromagnetic record D n that needs to increase the evidence capability and / or the evidence value (S6A12). Subsequently, it sets the output destination of the electromagnetic record D n generated by the application software or OS selected in the operational area O (S6A13). As described above, in steps S6A12 to S6A13, the user simply determines the application software or OS that should retain the electromagnetic record generation history, sets the output destination to O, and all the output electromagnetic records are used as evidence. A generation history is left.
図7Aは、本実施例1の図1Aの該情報処理装置の電磁的記録及び証拠記録レコードをI/O装置に書込む処理の流れの例を示すフローチャートである。図6Aの手順を終え、運用開始準備が整っていることを前提として以下、詳述する。 FIG. 7A is a flowchart illustrating an example of a flow of processing for writing the electromagnetic recording and the evidence recording record of the information processing apparatus of FIG. 1A of the first embodiment into the I / O apparatus. This will be described in detail below on the assumption that the procedure of FIG.
前述した図5において割込みハンドラ1000が起動する(S513)と、先ず、割込み制御処理1020が呼び出され、割込み制御処理1020は、ステップS510によってスタック内に保存されたCPU内部のレジスタ、フラグ情報を基にI/O装置への書込み命令の対象となったアドレスを読出す(S7A02)。次に、I/O装置への書込み命令を受けたページが運用領域O内のアドレスであるかを判定するため、比較・登録処理1021を起動して、読出した該アドレスを比較・登録処理1021に渡す。
When the interrupt
比較・登録処理1021は、I/O装置への書込み命令を受けたページのアドレスとアドレステーブル1022に登録された指定領域0のアドレスとを比較する。該比較により、ステップS7A03では、該書込み命令の書込みを受けたページのアドレスが運用領域O内のアドレスであるか否かを判定する。ステップS7A03の判定結果がNoの場合、ステップS7A18へ移行し、エラーを処理する。該判定結果がNoであるということは書込み禁止を意味し、その旨のエラーをCPUに通知する。
The comparison /
ステップS7A03の判定結果がYesの場合、比較・登録処理1021は、結果を割込み制御処理1020に返し、割込み制御処理1020は、ステップS510によってスタック内に保存されたCPU情報を基にI/O装置への書込み命令の対象となった電磁的記録Dnを読出して(S7A04)、該電磁的記録Dnを主記憶に保存する(S7A09)。次に、割込み処理1020は、I/O処理1023を介してタイマ1A25に時刻情報を要求する。
If the determination result in step S7A03 is Yes, the comparison /
要求を受けたタイマ1A25は、タイマ値Tnを算出する(S7AO5)。該タイマ値Tnは、当該タイマ1A25が要求を受けた時点の時刻情報である。I/O処理1023は、タイマ値Tnの入力を受け、これを主記憶に保存し(S7AO9)、割込み制御処理1020に戻る。
Timer 1A25 having received the request, calculates a timer value T n (S7AO5). The timer value T n is the time information of the time when the timer 1A25 has received the request. I /
次に、割込み制御処理1020は、ハッシュ演算処理1A26を起動する。ハッシュ演算処理1A26は、主記憶内に保存された該Dn及びTnの連結データDn|Tnのハッシュ関数h(Dn|Tn)を演算し、ハッシュ値Hnを求める(S7A06)。ハッシュ演算処理1A26は、ハッシュ値Hnを主記憶に保存し(S7A09)、排他的論理和演算処理1024にハッシュ値Hnを引き渡す。
Next, the interrupt
排他的論理和演算処理1024は、ハッシュ演算処理1A26からハッシュ値Hnを受取ると、値保護処理1A27にアクセスして値1A28に保存されているHCn−1を取得する。このとき値保護処理1A27は、HCn−1が暗号化されている値1A28を復号化して、ハッシュ演算処理1A26に引渡す。排他的論理和演算処理1024は、HCn−1とHnの排他的論理和(XOR)であるHCn−1(+)Hnを演算して、ハッシュ演算処理1A26に、HCn−1(+)Hnの値を返す。
Exclusive OR
HCn−1(+)Hnを受取ったハッシュ演算処理1A26は、HCn−1(+)Hnのハッシュ関数h(HCn−1(+)Hn)の演算を行い、ハッシュチェーン値HCnを求める(S7A07)。ハッシュ演算処理1A26は、HCnを主記憶に保存(S7A09)し、署名生成・検証処理1A29を起動する。 Hash calculation process received a HC n-1 (+) H n 1A26 performs calculation of HC n-1 (+) H n of the hash function h (HC n-1 (+ ) H n), the hash chain value HC n is obtained (S7A07). The hash calculation process 1A26 stores HC n in the main memory (S7A09), and starts the signature generation / verification process 1A29.
起動された署名生成・検証処理1A29は、鍵保護処理1A30にアクセスして秘密鍵・公開鍵1A31から秘密鍵を取得する。このとき鍵保護処理1A30は、秘密鍵が暗号化されている秘密鍵・公開鍵1A31を復号化して、秘密鍵を署名生成・検証処理1A29に引渡す。該秘密鍵を用いて主記憶に保存されたHCnを暗号化処理c(HCn)することにより電子署名Snを演算する(S7A08)。電子署名Snは主記憶に保存される(S7A0)。 The activated signature generation / verification process 1A29 accesses the key protection process 1A30 and acquires the secret key from the secret key / public key 1A31. At this time, the key protection process 1A30 decrypts the secret key / public key 1A31 in which the secret key is encrypted, and delivers the secret key to the signature generation / verification process 1A29. Calculating a digital signature S n by encrypting process c (HC n) the HC n stored in the main memory by using the secret key (S7A08). Electronic signature S n are stored in the main memory (S7A0).
なお、ステップS7A09における各値を保存する主記憶装置1002上の領域は、所定の一時記憶領域とし、割込み制御処理1020による暗号化によって保護されるものとする。割込み制御処理1020は、該一時記憶領域への書込み時には暗号化し、読出し時には復号化を行う。
It is assumed that the area on the
主記憶に証拠記録レコードRn={Dn,Tn,Hn,HCn,Sn}が揃うと、I/O処理1023は、指定領域O、Pの空き領域を求め、それぞれ電磁的記録Dn、証拠記録レコードRnを書込むための空き領域の有無を判定する(S7A10)。空き領域の有無の判定は、指定領域Oの判定結果と保護領域Pの判定結果との論理積によって行う。すなわち、指定領域Oと保護領域Pのいずれか片方でも空き領域が不足する場合には、判定結果をNoとする。
When the evidence record records R n = {D n , T n , H n , HC n , S n } are prepared in the main memory, the I /
判定結果がNoの場合、エラー処理S7A18を行う。すなわち、空き領域が不足する旨のエラーをCPUに通知し、主記憶装置1002に保存された電磁的記録Dnと証拠処理レコードRnを消去する。
If the determination result is No, error processing S7A18 is performed. That is, the CPU notifies the CPU of an error that the free space is insufficient, and erases the electromagnetic record D n and the evidence processing record R n stored in the
ステップS7A10の判定結果がYesの場合、I/O処理1023は、指定領域O、Pの制御用アドレスに対応するページテーブルのエントリのアクセス権の書込み可能ビットをON(書込み許可)に設定する(S7A11)。次に、I/O処理1023は、指定領域O、Pそれぞれの該アドレスに対応するI/O装置にアクセスするためのデバイスドライバ1014を検索し、該デバイスドライバ1014に分岐する。起動されたデバイスドライバ1014は、保護領域Pを制御するアドレスに証拠記録レコードRnを、運用領域Oを制御するアドレスに電磁的記録Dnを、それぞれ書込む命令を発行する(S7A12)。このとき電磁的記録Dnの書込み命令は、ユーザ操作に基づく命令であって、書換え、上書き、空き領域への追記、削除、読出しは任意である。一方、証拠記録レコードRnの書込み命令は、書換え、上書き及び削除は行わず、空き領域への追記のみが実行される。
When the determination result of step S7A10 is Yes, the I /
該書込み命令を受けたI/O装置は、Rn、Dnの順に書込みを実行する(S7A13)。該I/O装置の書込み動作の完了又は中断は、該I/O装置からCPUに送出された状態情報により確認される。何らかの要因により該I/O装置の書込み動作が中断された場合には、中断の要因毎にエラー処理S7A19が実行される。該書込みの完了と中断の判定は、電磁的記録Dnの書込み完了と証拠記録レコードRnの書込み完了との論理積によって行う。すなわち、電磁的記録Dnと証拠記録レコードRnのどちらか一方でも書込みを完了しない限り、エラーと判定する。エラー処理S7A19は、エラー要因を表示する他、書込み実行S7A13によって途中まで書込まれた電磁的記録Dn又は証拠記録レコードRnがある場合には、これを削除することによって、電磁的記録Dn及び証拠記録レコードRnの同時書込みが成立しない状態を回避することができる。 The I / O device that has received the write command executes writing in the order of R n and D n (S7A13). Completion or interruption of the write operation of the I / O device is confirmed by the status information sent from the I / O device to the CPU. When the write operation of the I / O device is interrupted for some reason, error processing S7A19 is executed for each interrupt factor. Determination of該書inclusive and completion interruption is performed by the logical product of the write completion of the write completion and evidence recording records R n of the electromagnetic record D n. That is, until you have completed either parameter writing electromagnetic record D n and evidence recording record R n, is determined as an error. Error handling S7A19, in addition to displaying the error cause, if there is the written electromagnetic records D n or evidence recording record R n halfway the write execution S7A13 by deleting this electromagnetic record D simultaneous writing of n and evidence recording record R n can be avoided state does not hold.
以上によって、電磁的記録DnはI/O装置に出力されるならば証拠記録レコードRnも出力され、証拠記録レコードRnが出力されないならば電磁的記録Dnは出力されれることがない。すなわち、証拠作りのなされない電磁的記録が媒体に書込まれることはない。 As described above, if the electromagnetic record D n is output to the I / O device, the evidence record record R n is also output. If the evidence record record R n is not output, the electromagnetic record D n is not output. . That is, electromagnetic records that are not evidenced are never written to the media.
なお、指定領域Oに書込まれる電磁的記録Dnは、割込み処理制御1020によって復号化される必要があるが、他方、保護領域Pに書込まれる証拠記録レコードRnは、復号化されず、暗号化されたまま出力されていても良い。暗号化・復号化の判断は、証拠記録レコードRnを運用する管理者の判断による。
Note that the electromagnetic record D n written in the designated area O needs to be decrypted by the interrupt
該I/O装置の書込み動作が完了した場合には、割込み制御処理1020は、値保護処理1A27を呼出し、主記憶装置1002上の一時記憶領域において暗号化されたHCnを引渡す。値保護処理1A27は、値1A28に暗号化されて保存されていた値HCn−1に暗号化されたハッシュチェーン値HCnを上書きし、値1A28に保存する(S7A14)。このとき、値1A28が記憶されているI/O装置の制御用アドレスに対応するページテーブルエントリのアクセス権の書込み可能ビットを確認し、該ビットがOFF(書込み禁止)ならば、これをON(書込み許可)に変更し、ハッシュチェーン値HCnの上書き完了後、またOFF(書込み禁止)に戻すものとする。
When the write operation of the I / O device is completed, the interrupt
次にステップS7A15に移る。割込み制御処理1020は、ここまで終了した処理の状態に基づいて、該割込みハンドラ1000による割込み発生前にCPU1001が実行していたプログラムが、割込みハンドラ1000の割込みの終了後に実行すべき命令のプログラムカウンタの値を求める。
Next, the process proceeds to step S7A15. The interrupt
例えば、該割込み発生前のCPU1001が実行していたプログラムがデバイスドライバによる出力ルーチンであったと仮定し説明する。この仮定において、ステップS7A13の書込みが完了したときには、該出力ルーチンが予定していた命令のうち少なくとも一部は、割込みハンドラ1000によって既に実行されたことになる。したがって、割込みハンドラ1000が実行済みの命令の次の命令アドレスの行先の番地を新たなプログラムカウンタの値として算出するのである。こうして求められた次の番地を新たにプログラムカウンタに入力することで、割込み発生前にCPU1001が実行していたプログラムは、割込まれた時以降に割込みハンドラ1000によって実行された命令をスキップし、未だ割込みハンドラ1000によって実行されていない命令から再開することができる。すなわち、これによって該割込みハンドラと該割込まれたプログラムとの重複した命令の実行の回避を図るのである。エラー処理S7A19を経た後においても、これと同様に、次に実行すべきプログラムカウンタの値を求めることは言うまでもない。
For example, it is assumed that the program executed by the
こうしてプログラムカウンタの値を算出した割込み処理1020は、I/O処理1023によって、該スタック内のプログラムカウンタの値を更新する(S7A15)。
The interrupt
ステップS7A16は、ステップS7A11の逆の手順である。指定領域O、Pの制御用アドレスに対応するページテーブルのエントリのアクセス権の書込み可能ビットをOFF(書込み禁止)に戻す(S7A15)。 Step S7A16 is the reverse procedure of step S7A11. The writable bit of the access right of the page table entry corresponding to the control addresses of the designated areas O and P is returned to OFF (write prohibited) (S7A15).
以上により、割込みハンドラ1000は終了し、該割込みの発生前に実行していたプログラムへ復帰する(S7A17)。CPU1001は、スタックに退避していた各種レジスタ、フラグの内容を読出して、CPU1001内部に保持し、更新されたプログラムカウンタの値が示す命令アドレスに格納された命令の実行に移る。割込みによって中断されていたプログラムは、該割込みの発生及び割込みハンドラによるいくつかの命令のスキップの影響を何ら受けることなく、以後の動作を継続する。
Thus, the interrupt
図8は、本実施例1の図1Aの該情報処理装置を更改しながら運用を継続する場合に、証拠記録レコードの連鎖を承継するデータ構造の例を示す図である。図8の記号の意味は、図2における記号と同一の記号については、同義であるため説明を省略する。また、同一の記号に’(ダッシュ)が付された記号は、属性が同じであることを意味し、具体的な値の異同は問わない。特に、関数を表す記号h’()、C’()は同一のアルゴリズムでも良いし、異なるアルゴリズムでも良い。 FIG. 8 is a diagram illustrating an example of a data structure that inherits the chain of evidence record records when the information processing apparatus of FIG. The meanings of the symbols in FIG. 8 are the same as those in FIG. In addition, the symbols having the same symbol with '(dash) mean that the attributes are the same, and the specific values may be different. In particular, the symbols h ′ () and C ′ () representing functions may be the same algorithm or different algorithms.
エンティティAとは、更改前の該情報処理装置であり、証拠記録レコードRkを出力する主体を表す。エンティティA’とは更改後の該情報処理装置であり、証拠記録レコードR’kを出力する主体を表す。図8において、エンティティAによる証拠記録レコードRkを生成しなければならない業務運用は、Rnを以って終了したものとし、更改されたエンティティA’により該業務運用を継続するものとする。 An entity A, a renewal before the information processing apparatus, represents the principal output evidence recording record R k. The entity A ′ is the information processing apparatus after the renewal, and represents an entity that outputs the evidence record record R ′ k . In FIG. 8, it is assumed that the business operation for which the evidence record record R k by the entity A has to be generated is completed with R n and the business operation is continued by the renewed entity A ′.
電磁的記録D’−1は、電磁的記録D’kを生成するエンティティA’を示すための初期情報D’0の基礎データである。電磁的記録D’−1は、電磁的記録を生成するエンティティA’としての該情報処理装置又は該情報処理システム、さらには該情報処理装置又は情報処理システムの管理運用主体に固有の情報を含むことが好ましい。電磁的記録D’−1に相応しい、主体に固有の情報とは、例えば、該電子計算機の機体番号、オペレーティングシステム(OS)1013のライセンス番号、アプリケーションソフトウェア1012のライセンス番号、管理者名、運用者名又はこれらの情報のハッシュダイジェスト又は該情報処理システムにおいて使用する全てのプログラム全体のハッシュダイジェストなどに、暗号化された秘密鍵・公開鍵1A31を加えた情報が考えられる。
The electromagnetic record D ′ −1 is basic data of initial information D ′ 0 for indicating the entity A ′ that generates the electromagnetic record D ′ k . The electromagnetic record D ′ −1 includes information specific to the information processing apparatus or the information processing system as the entity A ′ that generates the electromagnetic record, and further to the management operation entity of the information processing apparatus or the information processing system It is preferable. Information unique to the subject suitable for the electromagnetic record D′- 1 includes, for example, the machine number of the electronic computer, the license number of the operating system (OS) 1013, the license number of the
ェンティティA’の秘密鍵によってD’−1を暗号化して電子署名S’−1=c’(D’−1)を求め(S905)、エンティティAのn+1番目の電磁的記録Dn+1=S’−1としてエンティティAに入力する(S907)。 The digital signature S ′ −1 = c ′ (D ′ −1 ) is obtained by encrypting D ′ −1 with the private key of the entity A ′ (S905), and the (n + 1) th electromagnetic record D n + 1 = S ′ of the entity A -1 is input to the entity A (S907).
電磁的記録Dn+1の入力に基づいて生成された電子署名Sn+1(S908)は、電磁的記録D’kを生成するエンティティA’を示すための初期情報D’0=Sn+1となる(S910)。これは電磁的記録D0が電磁的記録Dkを生成するエンティティAを示すための初期情報として用いられるのと同じである。エンティティA’に対する電磁的記録D’0の入力によって、初期レコードR’0が生成される(S911)。 The electronic signature S n + 1 (S908) generated based on the input of the electromagnetic record D n + 1 is the initial information D ′ 0 = S n + 1 for indicating the entity A ′ that generates the electromagnetic record D ′ k (S910). ). This is the same as that used as the initial information to indicate the entity A to electromagnetic records D 0 to generate electromagnetic record D k. The initial record R ′ 0 is generated by the input of the electromagnetic record D ′ 0 to the entity A ′ (S911).
以上は、エンティティA’しか生成できない電子署名S’−1をエンティティAへ渡し、電子署名S’−1とエンティティAのハッシュチェーンHCnとを関与させて連続性を持たせたハッシュチェーンHCn+1からエンティティAしか生成できない電子署名Sn+1を生成し、さらにエンティティA’へ渡し、電子署名Sn+1を基にエンティティA’しか生成できない電子署名S’0を生成するプロセスである。各値S’−1、HCn、HCn+1、Sn+1、S’0の構造は、該プロセスの存在を示す証拠となる。 As described above, the electronic signature S ′ −1 that can only be generated by the entity A ′ is passed to the entity A, and the hash chain HC n + 1 having the continuity is obtained by involving the electronic signature S ′ −1 and the hash chain HC n of the entity A. In this process, an electronic signature S n + 1 that can be generated only by entity A is generated, passed to entity A ′, and an electronic signature S ′ 0 that can be generated only by entity A ′ is generated based on electronic signature S n + 1 . The structure of each value S ′ −1 , HC n , HC n + 1 , S n + 1 , S ′ 0 is evidence that the process exists.
各値S’−1、HCn、HCn+1、Sn+1、S’0の構造は、少なくとも電子署名Sn+1が生成される直前までは電子署名SnがエンティティAにおける最新の電子署名であり、電子署名Snが生成された後から、つまり事後的に過去に遡って、任意のn−α番目の電子署名Sn−αの直後に電磁的記録をDn−α+1=S’−1とするn−α+1番目の電子署名Sn−α+1を生成することは不可能であることを示す。したがって、連鎖構造のある電磁的記録のうち未だ第三者による公証を受けていないエンティティAの証拠記録レコードを抹消し、残された証拠記録レコードのうち最新の証拠記録レコードに続けて、その後エンティティA’において生成される証拠記録レコードから新しい連鎖構造を再開するという不正を防止することができる。 The structure of each value S ′ −1 , HC n , HC n + 1 , S n + 1 , S ′ 0 is that the electronic signature S n is the latest electronic signature in the entity A until at least immediately before the electronic signature S n + 1 is generated, After the electronic signature S n is generated, that is, retroactively, the electromagnetic record is recorded as D n−α + 1 = S ′ −1 immediately after any n−αth electronic signature S n−α. This indicates that it is impossible to generate the (n-α + 1) th electronic signature S n-α + 1 . Therefore, among the electromagnetic records having the chain structure, the evidence record record of the entity A that has not been notarized by the third party is deleted, and the latest evidence record record among the remaining evidence record records is followed by the entity record. It is possible to prevent an illegal act of restarting a new chain structure from the evidence record record generated in A ′.
さらに、電子署名Sn+1の存在は、エンティティA’がエンティティAの動作可能な時点以前において存在していたこと示す。また、電子署名S’0の存在は、エンティティAがエンティティA’の動作可能な時点以前において存在していたことを示す。したがって、電子署名Sn+1及びS’0の存在は、エンティティA及びA’の双方が同時に動作可能な重複する時期があり得たことを示す。そして電子署名S’−1をエンティティAに入力し、該入力に基づく出力結果の一つである電子署名Sn+1をエンティティA’に入力して電子署名S’0を出力するということは、すなわち、エンティティA及びA’の操作を実行し得る者が同一者であるか又は同一者でない場合は、それぞれを操作し得る者が互いに連携していたことを意味する。異なる2つのエンティティAとA’との連携した操作が存在したことを一連の電子署名S’−1、Sn+1、S’0が示している。 Further, the presence of the electronic signature S n + 1 indicates that the entity A ′ existed before the time when the entity A can operate. The presence of the electronic signature S ′ 0 indicates that the entity A existed before the time when the entity A ′ can operate. Thus, the presence of electronic signatures S n + 1 and S ′ 0 indicates that there could have been overlapping periods when both entities A and A ′ can operate simultaneously. Then, inputting the electronic signature S ′ −1 to the entity A, inputting the electronic signature S n + 1 which is one of the output results based on the input to the entity A ′, and outputting the electronic signature S ′ 0 means that When the persons who can execute the operations of the entities A and A ′ are the same person or are not the same person, it means that persons who can operate the entities A and A ′ cooperate with each other. A series of electronic signatures S ′ −1 , S n + 1 , and S ′ 0 indicate that there is a coordinated operation between two different entities A and A ′.
図9は、図8の証拠記録レコードの連鎖を承継するデータ構造の例を実現するための手順の例を示すフローチャートである。図8と同様に、エンティティAとは更改前の該情報処理装置であり、図8の証拠記録レコードRkを出力する主体を表す。エンティティA’とは更改後の該情報処理装置であり、図8の証拠記録レコードR’kを出力する主体を表す。ここで、エンティティAとA’は、少なくともハードウェアが異なるものとし、かつ同一のネットワークに接続され、互いに通信可能であるとする。 FIG. 9 is a flowchart showing an example of a procedure for realizing an example of a data structure that inherits the chain of evidence record records of FIG. Similar to FIG. 8, a said information processing apparatus before renewal and the entity A, representing the principal of outputting the evidence recorded record R k in FIG. The entity A ′ is the information processing apparatus after the renewal, and represents the entity that outputs the evidence record record R ′ k in FIG. Here, it is assumed that the entities A and A ′ have at least different hardware, are connected to the same network, and can communicate with each other.
図9のステップS901は、本実施例の該情報処理装置であるエンティティAが電磁的記録Dnを以って、証拠を必要とする最後の業務運用を終えた状態である。次に、ユーザは、エンティティAがエンティティA’と必要な情報S’−1及びSn+1の送受を行うため、業務承継プログラムを起動する(S902)。該プログラムは、割込み制御処理1020を経てI/O処理1023を起動し、入力待ち状態で待機する。
Step S901 of FIG. 9 is a state in which the entity A is the information processing apparatus of the present embodiment drives out electromagnetic record D n, finished last business operations that require proof. Next, the user activates the business succession program so that the entity A transmits and receives the necessary information S ′ −1 and S n + 1 with the entity A ′ (S902). The program activates the I /
図9のステップS6A14は、本実施例の該情報処理装置であるエンティティA’が運用開始のための準備を終えた状態を表している。次に、ユーザは、エンティティA’にD’0を入力して電子署名S’−1を生成し、エンティティAと必要な情報S’−1及びSn+1の送受を行ってR’0を生成するため業務承継プログラムを起動する(S903)。 Step S6A14 in FIG. 9 represents a state in which the entity A ′, which is the information processing apparatus of this embodiment, has completed preparations for starting operation. Next, the user inputs D ′ 0 to the entity A ′ to generate an electronic signature S ′ −1 , and transmits / receives the entity A and necessary information S ′ −1 and S n + 1 to generate R ′ 0 . Therefore, the business succession program is started (S903).
次に、ユーザは、予め定めた電磁的記録D’−1を該プログラムから入力する(S904)。該プログラムは、割込み制御処理1020からI/O処理1023を起動し、電磁的記録D’−1の入力を受ける。割込み制御処理1020は、署名生成・検証処理1A29を起動して電磁的記録D’−1を署名生成・検証処理1A29に渡し、署名生成・検証処理1A29は、秘密鍵・公開鍵1A31内の秘密鍵を用いて電子署名S’−1=c’(D’−1)の演算を行う(S905)。電子署名S’−1は、I/O処理1023の出力によりネットワークを通じてエンティティA’からエンティティAへと送信される(S906)。このとき割込み制御処理1020によって、電子署名S’−1は復号化されるものとする。
Next, the user inputs a predetermined electromagnetic recording D′- 1 from the program (S904). The program activates the I /
エンティティA’とネットワークで接続されたエンティティAは、ネットワークインターフェースからのI/O割込みを受けて、I/O処理1023により電子署名S’−1を受信する。電子署名S’−1を受信したI/O処理1023は、運用領域OにS’−1を書込む。電子署名S’−1は、エンティティAのn+1番目の電磁的記録Dn+1=S’−1としてエンティティAに入力されたことになる(S907)。この時、割込みが発生し、割込みハンドラ1000による図7Aの割込みルーチンが実行されて、保護領域Pに電子署名Sn+1が生成される(S908)。すると、該割込みルーチンが割込む前にCPUが実行していた業務承継プログラムに復帰する。割込みから復帰した業務承継プログラムは、電子署名Sn+1をI/O処理1023の出力により、ネットワークを通じてエンティティAからエンティティA’へと送信し(S909)、該プログラムを終了する(S913)。なお、ステップS909の送信時には、割込み制御処理1020によって、電子署名Sn+1は復号化されるものとする。
The entity A connected to the entity A ′ via the network receives the I / O interrupt from the network interface and receives the electronic signature S ′ −1 by the I /
エンティティAとネットワークで接続されたエンティティA’は、ネットワークインターフェースからのI/O割込みを受けて、I/O処理1023により電子署名Sn+1を受信する。電子署名Sn+1を受信したI/O処理1023は、運用領域O’にSn+1を書込む。電子署名Sn+1は、エンティティA’の初期データD’0=Sn+1としてエンティティAに入力されたことになる(S910)。この時、割込みが発生し、割込みハンドラ1000による図7Aの割込みルーチンが実行されて保護領域P’に電子署名Sn+1を含む初期レコードR’0が生成され(S911)、該プログラムを終了する。
The entity A ′ connected to the entity A via the network receives an I / O interrupt from the network interface and receives the electronic signature S n + 1 by the I /
以上により、本実施例1の図1Aの該情報処理装置を更改しながら運用を継続する場合に、図8の証拠記録レコードの連鎖を承継するデータ構造の例を実現するための手順が完了する。 Thus, the procedure for realizing the example of the data structure that inherits the chain of evidence record records in FIG. 8 is completed when the information processing apparatus in FIG. .
本発明の実施例2は、本発明の実施例1と機能は同じであるが、該機能を実現する構成に違いがある。実施例1と実施例2との異同を明らかにするため、実施例の説明に使用する図の対比を行う。下表に示すとおり、実施例1と実施例2において使用する図面の違いは図1Aと図1Bのみであり、他はすべて同じ図面を使用する。
したがって、以下の説明は図1Bについてのみ行うこととする。 Therefore, the following description will be given only for FIG. 1B.
図1Bは、本発明の第2の実施形態による電磁的記録の証拠能力及び/又は証拠価値を高める情報処理装置の構成を示す略ブロック図である。図1Aと同一の参照符号を付したものは同じ要素を示し、既に本発明の第1の実施形態を示す実施例1によって説明済みであることから、本実施例2では説明を省略する。ここでは図1Aに含まれていない構成要素を中心に実施例1との違いを詳細に説明する。 FIG. 1B is a schematic block diagram showing the configuration of an information processing apparatus for increasing the evidence capability and / or evidence value of electromagnetic recording according to the second embodiment of the present invention. Components having the same reference numerals as those in FIG. 1A indicate the same elements, and have already been described in Example 1 showing the first embodiment of the present invention, and thus description thereof is omitted in Example 2. Here, differences from the first embodiment will be described in detail with a focus on components not included in FIG. 1A.
図1Bと図1Aとの最大の違いは、図1Bの情報処理装置がトラステッドプラットフォームモジュール(Trusted Platform Module)1B01を具備し、割込みハンドラ1000内のサブルーチンを構成する処理が少ないことである。
The biggest difference between FIG. 1B and FIG. 1A is that the information processing apparatus of FIG. 1B includes a trusted platform module 1B01, and there are few processes constituting a subroutine in the interrupt
TPM1B01は、集積回路に物理的及び論理的な攻撃に対して耐タンパ性を持たせた、いわゆるセキュリティチップの一種であり、バス1004に接続される。TPM1B01は、タイマ部1B25、ハッシュ演算部1B26、値格納部1B27、暗号演算部1B28、鍵格納部1B30を構成要素に含む。TPM1B01は、I/O装置の一種としてI/0処理1023によりアクセスすることができる。
The TPM 1 B 01 is a kind of so-called security chip that makes an integrated circuit resistant to physical and logical attacks, and is connected to the
図1Bの割込みハンドラ1B00には、図1Aの割込みハンドラ1000にある次の要素を欠く。すなわち、ハッシュ演算処理1A26、署名生成・検証処理1A29、鍵保護処理1A30、秘密鍵・公開鍵1A31である。
The interrupt handler 1B00 of FIG. 1B lacks the following elements in the interrupt
タイマ部1B25は、時間間隔を計測し、計測された経過時間に対して電子署名を生成し出力する。タイマ部1B25は、図1Aにおけるタイマ1A25に相当する機能を果す。したがって、図1Bでは、タイマ1A25は使用されないため、記載を省略しているが、該情報処理装置内にタイマ1A25が実装されてはならないことを意味するものではない。 The timer unit 1B25 measures the time interval, and generates and outputs an electronic signature for the measured elapsed time. The timer unit 1B25 performs a function corresponding to the timer 1A25 in FIG. 1A. Therefore, in FIG. 1B, the timer 1A25 is not used, and thus the description is omitted. However, this does not mean that the timer 1A25 should not be mounted in the information processing apparatus.
ハッシュ演算部1B26は、ハッシュアルゴリズムを格納し、外部から入力されたデータに対して、ハッシュ演算部1B26の内部でハッシュ演算を行い、演算結果であるハッシュ値を外部に出力する。ハッシュアルゴリズムは、TPM1B01の工場出荷後は変更できない。ハッシュ演算部1B26は、図1Aにおけるハッシュ演算処理1A26に相当する機能を果す。 The hash calculation unit 1B26 stores a hash algorithm, performs a hash calculation inside the hash calculation unit 1B26 on data input from the outside, and outputs a hash value as a calculation result to the outside. The hash algorithm cannot be changed after the factory shipment of TPM1B01. The hash calculation unit 1B26 performs a function corresponding to the hash calculation process 1A26 in FIG. 1A.
値格納部1B27は、工場出荷時に格納される値を保持するレジスタである。該情報処理装置に固有の情報(機体番号、BIOS、ブートローダ、拡張ROMデータなど)のハッシュ値を値格納部1B27に保存することができ、TPM1B01の工場出荷後は該ハッシュ値を変更できない。なお、図1Aには、値格納部1B27に該当する要素はない。値格納部1B27に保存された該情報処理装置に固有の情報は、図2及び図8の電磁的記録D0、図8の電磁的記録D’−1として使用する。値格納部1B27は、電磁的記録D0、D’−1を記憶し、出力する機能を提供する。 The value storage unit 1B27 is a register that holds a value stored at the time of factory shipment. A hash value of information unique to the information processing apparatus (machine number, BIOS, boot loader, expansion ROM data, etc.) can be stored in the value storage unit 1B27, and the hash value cannot be changed after the TPM 1B01 is shipped from the factory. In FIG. 1A, there is no element corresponding to the value storage unit 1B27. Specific information to the information processing apparatus stored in the value storing section 1B27 is electromagnetic records D 0 in FIG. 2 and FIG. 8, for use as electromagnetic record D '-1 in FIG. The value storage unit 1B27 provides a function of storing and outputting the electromagnetic records D 0 and D ′ −1 .
暗号演算部1B29は、暗号アルゴリズムを格納し、外部から入力されたデータに対して、暗号演算部1B29の内部で暗号演算を行い、演算結果である暗号化データ又は復号化データを外部に出力する。暗号アルゴリズムは、TPM1B01の工場出荷後は変更できない。暗号演算部1B29は、図1Aにおける署名生成・検証処理1A29に相当する機能を果す。 The cryptographic operation unit 1B29 stores the cryptographic algorithm, performs cryptographic operations on the data input from the outside, inside the cryptographic operation unit 1B29, and outputs the encrypted data or decrypted data that is the operation result to the outside. . The encryption algorithm cannot be changed after the TPM 1B01 is shipped from the factory. The cryptographic operation unit 1B29 performs a function corresponding to the signature generation / verification process 1A29 in FIG. 1A.
鍵格納部1B30は、工場出荷時に格納される暗号化鍵のペアを保持するレジスタである。TPM1B01の工場出荷後は該鍵ペアを変更することはできない。鍵格納部1B30は、図1Aにおける秘密鍵・公開鍵1A31に該当する機能を果す。 The key storage unit 1B30 is a register that holds a pair of encryption keys stored at the time of factory shipment. After the TPM 1B01 is shipped from the factory, the key pair cannot be changed. The key storage unit 1B30 performs a function corresponding to the private key / public key 1A31 in FIG. 1A.
本発明の実施例3は、本発明の実施例1と課題を解決するための根本的な思想は同じであるが、該根本思想を実現するための具体的手段と構成に違いがある。実施例1と実施例3との異同を明らかにするため、実施例の説明に使用する図の対比を行う。下表に示すとおり、実施例1と実施例3において使用する図面の違いは、装置構成を示す図1Aと図1C、割込み手順を示す図5、開始手順を示す図6Aと図6B、処理フローを示す図7Aと図7Bであり、他はすべて同じ図面を使用する。
したがって、以下の説明は図1C、図6B、図7Bについてのみ行うこととする。 Therefore, the following description will be given only for FIGS. 1C, 6B, and 7B.
図1Cは、本発明の第3の実施形態による電磁的記録の証拠能力及び/又は証拠価値を高める情報処理装置の構成を示す略ブロック図である。図1Aと同一の参照符号を付したものは同じ要素を示し、既に本発明の第1の実施形態を示す実施例1によって説明済みであることから、本実施例3では説明を省略する。ここでは図1Aに含まれていない構成要素を中心に実施例1との違いを詳細に説明する。 FIG. 1C is a schematic block diagram showing the configuration of an information processing apparatus for increasing the evidence capability and / or evidence value of electromagnetic recording according to the third embodiment of the present invention. The same reference numerals as those in FIG. 1A denote the same elements, and since they have already been described in Example 1 showing the first embodiment of the present invention, description thereof is omitted in Example 3. Here, differences from the first embodiment will be described in detail with a focus on components not included in FIG. 1A.
図1Cと図1Aとの最大の違いは、図1Cの情報処理装置がバスブリッジ1C00を具備し、割込みハンドラ1000を必要としないことである。図1Cの主記憶装置1002には、ページテーブル1003、電磁的記録1011、アプリケーションソフトウェア1012、オペレーティングシステム1013、デバイスドライバ1014の記載がないが、このことは、これらの構成要素が主記憶装置1002上に保持されてはならないということを意味するものではない。
The biggest difference between FIG. 1C and FIG. 1A is that the information processing apparatus of FIG. 1C includes a bus bridge 1C00 and does not require the interrupt
一方、図1Cには、図1Aにはないバス構成を持つ。すなわち、図1Cのバスは、システムバス1C03とI/Oバス1C04の少なくとも2種類以上、かつ2本以上のバスにより構成され、バスブリッジ1C00により該複数のバスが相互に接続される。 On the other hand, FIG. 1C has a bus configuration not shown in FIG. 1A. That is, the bus in FIG. 1C includes at least two types of system bus 1C03 and I / O bus 1C04, and two or more buses, and the plurality of buses are connected to each other by a bus bridge 1C00.
バスブリッジ1C00は、システムバス1C31とI/Oバス1C04との間の橋渡しを行って、該2種のバスが持つアドレス線、データ線、制御線の3種の信号線を相互に接続する。発信元アドレスとあて先アドレスが同一バス上にある場合、バスブリッジは、該信号を他方のバスには伝えない。CPUと主記憶装置間は高速な同期バス、I/O装置間はPCIバスや標準バスとし、両バスをバスブリッジで繋ぐことにより、システム全体の高速性を実現するシステムもある。 The bus bridge 1C00 performs a bridge between the system bus 1C31 and the I / O bus 1C04, and connects the three types of signal lines of the two types of buses, address lines, data lines, and control lines. When the source address and the destination address are on the same bus, the bus bridge does not transmit the signal to the other bus. In some systems, a high-speed synchronous bus is used between the CPU and the main storage device, and a PCI bus or standard bus is used between the I / O devices.
本実施例3におけるバスブリッジ1C00は、上述の高速性の効果を狙ったものではなく、CPU1001からI/O装置1005、1006、1007のいずれかに対する電磁的記録Dnの書込み信号が該I/O装置に伝達される前に、証拠記録レコードRnを生成し、及び電磁的記録Dnの書込み命令の前に証拠記録レコードRnの書込み命令を目的のI/0装置に発信することを目的とする。実施例1の割込みハンドラ1000がCPUの演算処理の過程に割込むのに対して、本実施例3のバスブリッジ1C00は、バス信号の伝送過程に割込む点に大きな相違がある。したがって、本発明の実施例1において必要とされた図5、すなわち該情報処理装置が割込みハンドラを起動するための割込み設定手順及び割込み手順の例を示すフローチャートは、本実施例3においては必要がない。
Bus bridge 1C00 in the third embodiment, not aimed at high-speed of the effect described above, the write signal of the electromagnetic record D n for any I /
バスブリッジ1C00によって実現される機能は、大きく次の3点である。
(1)システムバス1C03とI/Oバス1C04との間の信号の伝送
(2)電磁的記録の検出、証拠記録レコードの生成、I/O装置に対する電磁的記録及び証拠記録レコードの書込みの制御
(3)ユーザ操作によるバスブリッジ1C00への各種設定及び電子署名の生成と検証
The functions realized by the bus bridge 1C00 are roughly the following three points.
(1) Transmission of signal between system bus 1C03 and I / O bus 1C04 (2) Control of electromagnetic recording detection, generation of evidence record record, electromagnetic recording to I / O device and writing of evidence record record (3) Various settings to the bus bridge 1C00 by user operation and generation and verification of an electronic signature
図1C内の実線を用いた矢印は、システムバス1C03とバスブリッジ1C00との間及びI/Oバス1C04とバスブリッジ1C00との間に伝わるアドレス、データ、制御並びにバスブリッジ1C00の内部に保持又は内部から生成されるデータの流れを表す。同図内の長短破線を用いた矢印は、CPUからバスブリッジ1C00に対して発行される命令とそれに対する応答、及びデータの流れを表す。同図内の短破線を用いた矢印は、バスブリッジ1C00内部の制御及び応答の流れを表す。 An arrow using a solid line in FIG. 1C indicates that the address, data, and control transmitted between the system bus 1C03 and the bus bridge 1C00 and between the I / O bus 1C04 and the bus bridge 1C00 are held inside the bus bridge 1C00. Represents the flow of data generated from the inside. Arrows using long and short broken lines in the figure represent instructions issued from the CPU to the bus bridge 1C00, responses to the instructions, and data flow. An arrow using a short broken line in the figure represents a flow of control and response in the bus bridge 1C00.
バスブリッジ1C00は、I/Oインターフェース部1411、タイマ部1412、ハッシュ演算部1413、排他的論理和(XOR)演算部1414、値格納部1415、鍵格納部1416、署名生成・検証部1417、書込みバッファ部1418、制御部1419、アドレステーブル格納部1420を構成要素とする。
The bus bridge 1C00 includes an I /
制御部1419は、バスブリッジ1C00内部の全ての構成要素の動作状態を監視し制御を行う。加えて、ユーザがバスブリッジ1C00への各種設定及び電子署名の生成と検証を行うため、I/Oインタフェース1411を通じてCPU1001からバスブリッジ1C00に対する命令を受付け、応答を行い、命令に応じてハッシュ演算部1413、鍵格納部1416、署名生成・検証部1417、アドレステーブル格納部1420に対するデータの送受と制御を行う。
The
I/Oインタフェース部1411は、CPU1001からI/O装置1005、1006、1007のいずれかに対する命令を書込むコマンドレジスタと、CPU1001からI/O装置1005、1006、1007のいずれかを指定するアドレスを書込むアドレスレジスタと、書込み読出し対象となるデータを書込むデータレジスタと、CPU1001にバスブリッジ1C00及びI/O装置1005、1006、1007の入出力の状態などを通知する状態情報を書込むステータスレジスタとを具備する。I/Oインタフェース部は、コマンドレジスタからCPU1001からの書込み命令を検出し、アドレスレジスタから該書込み命令に係る物理アドレスとアドレステーブル格納部1420に格納された物理アドレスとを比較し、判定し、判定結果に応じた動作を行う。
The I /
該判定結果に応じた動作とは、前述のバスブリッジ1C00の3つの機能に適うものである。I/Oインタフェース部1411は、判定結果から機能(1)を実現するため、システムバス1C03とI/Oバス1C04との間の各種信号を透過的に転送し、機能(2)を実現するため、該判定結果を制御部1419に通知し、データレジスタからバスブリッジ1C00内部の他の構成要素に対してデータを送信し、ステータスレジスタから特定の書込み命令を実行したI/O装置の実行結果の通知を制御部1419に通知し、機能(3)を実現するため、バスブリッジ1C00に固有のI/Oアドレスを与え、CPU1001と制御部1419との間の命令と応答の交換を行う。
The operation according to the determination result is suitable for the three functions of the bus bridge 1C00 described above. The I /
タイマ部1412は、クロックの発振器とカウンタと独立した電池とを具備した、バスブリッジ1C00内部のいわゆるリアルタイムクロック(RTC)である。若しくは時間間隔を計測し、計測された経過時間に対して電子署名を生成し出力するティツクカウンタであっても良い。タイマ部1411は、制御部1419の問合せに対して時刻又は時間情報を書込みバッファ部1418及びハッシュ演算部1412に出力する。図1Cでは、タイマ1A25は使用されないため記載を省略しているが、該情報処理装置内にタイマ1A25が実装されてはならないことを意味するものではない。
The
ハッシュ演算部1413は、ハッシュ演算アルゴリズムを持ち、ハッシュ演算を行う。該ハッシュ演算アルゴリズムは、危殆化を考慮して、制御部1419を通じたユーザ操作により随時変更することができる。ハッシュ演算部1413は、I/Oインタフェース部1411から受信した電磁的記録とタイマ部1412から受信したタイマ値と排他的論理和(XOR)演算部1414から受信した演算結果とを対象としてハッシュ演算を行う。ハッシュ演算処理の結果は、書込みバッファ部1418と排他的論理和(XOR)演算部1414と署名生成・検証部1417に送信される。また、制御部1419を通じてユーザが入力した任意の電磁的記録に対して、ハッシュ演算部1413は、ハッシュ演算を行い、演算結果を制御部1419に返す。
The
排他的論理和(XOR)演算部1414は、ハッシュ演算部1413の演算結果と値格納部1415に格納された値との排他的論理和(XOR)演算を行う。排他的論理和(XOR)演算の結果は、ハッシュ演算部1413に返される。
The exclusive OR (XOR)
署名生成・検証部1417は、公開鍵暗号方式による暗号化アルゴリズムを持ち、暗号化演算を行うことによって、電子署名を生成し又は検証を行う。該暗号化アルゴリズムは、危殆化を考慮して、制御部1419を通じたユーザ操作により随時変更することができる。署名生成・検証部1417は、ハッシュ演算部1413から渡されたハッシュ演算結果から電子署名を生成し、該電子署名は、書込みバッファ部1418に送信される。該公開鍵暗号方式に用いられる秘密鍵と公開鍵は、鍵格納部1416に格納され、署名生成・検証部1417は、署名の生成と検証の都度、鍵格納部1416にアクセスして秘密鍵又は公開鍵を取得する。制御部1419を通じたユーザ操作によって、署名生成・検証部1417は、ユーザが入力した任意の電磁的記録に対して電子署名を生成し、及びユーザが入力したハッシュ値及び電子署名に対しては署名を復号化し、該ハッシュ値との一致を検証することができる。
The signature generation /
鍵格納部1416は、集積回路に物理的及び論理的な攻撃に対して耐タンパ性を持たせたセキュリティチップの一種である。鍵格納部1416は、署名生成・検証部1417及び制御部1419による所定の方法によってしかアクセスを受付けない。鍵格納部1416が格納するのは、公開鍵暗号方式の秘密鍵及び公開鍵であり、秘密鍵と公開鍵のペアは、鍵管理の安全性を考慮して、制御部1419を通じたユーザ操作により随時変更することができる。
The
書込みバッファ部1418は、制御部1419からI/O装置1005、1006、1007のいずれかに対する命令を書込むコマンドレジスタと、制御部1419からI/O装置1005、1006、1007のいずれかを指定するアドレスを書込むアドレスレジスタと、書込み対象となる電磁的記録及び証拠記録レコードを書込むデータレジスタとを具備する。書込み対象となる電磁的記録及び証拠記録レコードは、I/Oインタフェース部1411から受信した電磁的記録と、タイマ部1412から受信したタイマ値と、ハッシュ演算部1413から受信した演算結果と、署名生成・検証部1417から受信した電子署名とにより構成される。書込みバッファ部1418に書込まれた電磁的記録及び証拠記録レコードは、制御部1419が発行する命令によって、それぞれ所定のアドレスが指定され、I/O装置1005、1006、1007のいずれかに対する書込み命令を構成してI/Oバス1C04に転送される。また、制御部1419の制御によって、書込みバッファ部1418に書込まれたハッシュ演算部1413の演算結果の一部は、値格納部1415に送信される。
The
値格納部1415は、集積回路に物理的及び論理的な攻撃に対して耐タンパ性を持たせたセキュリティチシプの一種である。値格納部1415は、書込みバッファ部1418及び制御部1419による所定の方法によってしかアクセスを受付けない。値格納部1415が格納するのは、書込みバッファ部に書込まれたハッシュ演算部1413の演算結果の一部である。値格納部1415に格納される値は、制御部1419による所定の方法以外によっては変更することができず、該値の出力先は、排他的論理和(XOR)演算部1414に限られている。
The
アドレステーブル格納部1420は、指定領域O、Pそれぞれの物理アドレス及び運用領域Oと保護領域Pとの対応関係を示すアドレステーブルを記憶するレジスタである。アドレステーブルは、制御部1419を通じたI/Oインタフェース部1411によって読出される他、制御部1419を通じたユーザ操作によって書込まれ、読出される。
The address
図6Bは、本発明の実施例3における該情報処理装置の指定領域O、Pを指定して運用を開始するまでの手順を示すフローチャートである。ユーザは、該情報処理装置の運用領域O及び保護領域Pの指定入力を行うためのプログラムを起動することにより、該手順を開始する。該プログラムは、CPU1001よりI/Oインタフェース部1411固有のI/0アドレスを指定し、I/Oインタフェース部1411を通して制御部1419にアクセスする。
FIG. 6B is a flowchart showing a procedure until the operation is started by specifying the designated areas O and P of the information processing apparatus according to the third embodiment of the present invention. The user starts the procedure by starting a program for performing designation input of the operation area O and the protection area P of the information processing apparatus. The program designates an I / O address unique to the I /
制御部1419にアクセスしたユーザは、該プログラムにより、対となる運用領域Oと保護領域Pの指定入力を行う(S6B01)。これを受けた制御部1419は、ユーザの指定先O及びPとアドレステーブル格納部1420内のアドレステーブルにある領域とを比較することにより、判定(S6B03、S6B04)を行う。該指定先Oが既に保護領域Pとして指定済みの場合、その旨エラー表示(S6B02)が返され、ステップS6B01に戻る。次に、該指定先Oが保存領域Pとして未指定の場合、該指定先Pの判定(S6B04)に移る。該指定先Pが既に運用領域Oとして指定済みの場合、その旨エラー表示(S6B02)が返され、ステップS6B01に戻る。該指定先Pが運用領域Oとして未指定の場合、ステップS6B05に移る。ステップS6B05では、制御部1419は、ユーザが指定したO及びPの対をそれぞれ運用領域O、保護領域Pとしてアドレステーブルに登録する。以上、ステップS6B01乃至S6B05は、ユーザが指定領域O、Pの指定入力を行うためのプログラムによる一連の流れである。
The user who has accessed the
次に、ユーザは、証拠能力及び/又は証拠価値を高める必要のある電磁的記録Dnを生成するアプリケーションソフトウェア又はOSを選択して起動する(S6B06)。続いて、選択されたアプリケーションソフトウェア又はOSの生成する電磁的記録Dnの出力先を運用領域Oに設定する(S6B07)。以上、ステップS6B06乃至S6B07において、ユーザは、電磁的記録の生成履歴を残すべきアプリケーションソフトウェア又はOSを決定し、その出力先をOに設定するだけで、出力された電磁的記録は、全て証拠として生成履歴が残されることになる。 Next, the user selects and starts application software or an OS that generates an electromagnetic record D n that needs to increase the evidence capability and / or evidence value (S6B06). Subsequently, it sets the output destination of the electromagnetic record D n generated by the application software or OS selected in the operational area O (S6B07). As described above, in steps S6B06 to S6B07, the user simply determines the application software or OS that should retain the generation history of electromagnetic records, sets the output destination to O, and all the output electromagnetic records are used as evidence. A generation history is left.
図7Bは、本実施例3の図1Cの該情報処理装置の電磁的記録及び証拠記録レコードをI/O装置に書込む処理の流れの例を示すフローチャートである。図6Bの手順を終え、運用開始準備が整っていることを前提として以下、詳述する。 FIG. 7B is a flowchart illustrating an example of a flow of processing for writing the electromagnetic recording and the evidence recording record of the information processing apparatus in FIG. 1C of the third embodiment into the I / O apparatus. This will be described in detail below on the assumption that the procedure of FIG.
図7Bの手順は、CPU1001から何らかの命令がシステムバス1C03に発行された時点から開始される。システムバス1C03とI/Oインタフェース部1411で接続するバスブリッジ1C00は、システムバス1C03から該命令を受信する(S7B01)。受信した命令と該命令に係るアドレス及びデータは、それぞれI/Oインタフェース部1411内部のコマンドレジスタ、アドレスレジスタ、データレジスタに書込まれる。
The procedure in FIG. 7B starts when a certain instruction is issued from the
I/Oインタフェース部1411は、コマンドレジスタ内に書込まれた命令を読取って、該命令が書込み命令であるか否かを判定する(S7B02)。ステップS7B02の判定結果がNoの場合、コマンドレジスタ、アドレスレジスタ、データレジスタ内の情報は、それぞれ透過的にI/Oバス1C04へ転送される(S7B14)。書込み命令でない場合には電磁的記録Dnが記憶媒体に出力されないからである。該判定結果がYesの場合、次の判定ステップS7B03に移行する。
The I /
ステップS7B03は、I/Oインタフェース部1411のアドレスレジスタ内に書込まれた物理アドレスを読取り、該アドレスがアドレステーブル格納部1420に登録されたアドレステーブルの運用領域O内のアドレスであるか否かを判定する(S7B03)。
In step S7B03, the physical address written in the address register of the I /
ステップS7B03の判定結果がNoの場合、該アドレスが保護領域Pであるか否かを判定する(S7B13)。ステップS7B13の判定結果がNoの場合、該アドレスは非指定領域内のアドレスであることから、コマンドレジスタ、アドレスレジスタ、データレジスタ内の情報は、それぞれ透過的にI/Oバス1C04へ転送される(S7B14)。ステップS7B13の判定結果がYesの場合、ステップS7B15へ移行し、エラー処理を行う。該エラー処理によって、I/Oインタフェース部1411のコマンドレジスタ、アドレスレジスタ、データレジスタ内の情報は破棄され、保護領域Pへの書込みが禁止である旨の通知がCPU1001に返される。
When the determination result of step S7B03 is No, it is determined whether or not the address is the protection area P (S7B13). If the determination result in step S7B13 is No, since the address is an address in the non-designated area, information in the command register, address register, and data register is transparently transferred to the I / O bus 1C04. (S7B14). When the determination result of step S7B13 is Yes, the process proceeds to step S7B15 to perform error processing. By the error processing, information in the command register, address register, and data register of the I /
ステップS7B03の判定結果がYesの場合、I/Oインタフェース部1411のデータレジスタ内のデータは、電磁的記録Dnであると判定され、I/Oインタフェース部1411は、制御部1419に対し該判定結果を通知する。該通知を受けた制御部1419は、電磁的記録及び証拠記録レコードをそれぞれの物理アドレスのI/O装置に対して書込むため、書込みバッファ部1418、タイマ部1412、ハッシュ演算部1413、排他的論理和(XOR)演算部1414、値格納部1415、鍵格納部1416、署名生成・検証部1417の制御を開始する。
If the determination result of step S7B03 is Yes, the data in the data registers of the I /
I/Oインタフェース部1411において識別された電磁的記録Dnは、書込みバッファ部1418とハッシュ演算部1413に送信される。書込みバッファ部1418は、制御部1419の制御を受けて、電磁的記録Dnを保存する(S7B08)。
The electromagnetic recording D n identified by the I /
制御部1419からタイマ値の出力要求を受けたタイマ部1412は、タイマ値Tnを算出(S7BO4)し、タイマ値Tnは、書込みバッファ部1418とハッシュ演算部1413に送信される。書込みバッファ部1418は、制御部1419の制御を受けて、タイマ値Tnを保存する(S7B08)。
制御部1419からハッシュ演算実行の要求を受けたハッシュ演算部1413は、I/Oインタフェース部1411から受信した電磁的記録Dnとタイマ部1412から受信したタイマ値Tnとを連結し、値Dn|Tnのハッシュ関数h(Dn|Tn)からハッシュ値Hnを演算する(S7B05)。ハッシュ値Hnは、書込みバッファ部1418と排他的論理和(XOR)演算部1414に送信される。書込みバッファ部1418は、制御部1419の制御を受けて、ハッシュ値Hnを保存する(S7B08)。また、このとき制御部1419は、値格納部1415に対して、格納値HCn−1を排他的論理和(XOR)演算部1414に送信させる。
Upon receiving the hash calculation execution request from the
制御部1419から排他的論理和(XOR)演算実行の要求を受けた排他的論理和(XOR)演算部1414は、ハッシュ演算部1413から受信したハッシュ値Hnと値格納部1415から受信した格納値HCn−1の排他的論理和を演算する。排他的論理和の演算結果HCn−1(+)Hnを受信したハッシュ演算部1413は、ハッシュ関数h(HCn−1(+)Hn)の演算を行う(S7B06)。ハッシュ関数h(HCn−1(+)Hn)の演算結果であるハッシュチェーン値HCnは、書込みバッファ部1418と署名生成・検証部に送信される。書込みバッファ部1418は、制御部1419の制御を受けて、ハッシュチェーン値HCnを保存する(S7B08)。
The exclusive OR (XOR)
制御部1418から暗号演算実行の要求を受けた署名生成・検証部1417は、鍵格納部1416にアクセスして得た秘密鍵を用いて、ハッシュ演算部1413から受信したハッシュチェーン値HCnに対して、暗号演算、すなわち電子署名演算c(HCn)を行う(S7B07)。電子署名演算c(HCn)の結果である電子署名Snは、書込みバッファ部1418に送信される。書込みバッファ部1418は、制御部1419の制御を受けて、電子署名Snを保存する(S7B08)。
The signature generation /
書込みバッファ部1418に電磁的記録Dnと証拠記録レコードRn={Dn,Tn,Hn,HCn,Sn}が揃ったことを検知した制御部1419は、電磁的記録Dnと証拠記録レコードRnの大きさを算出して、指定領域O、PのあるI/O装置の空き領域の有無を判定する(S7B09)。空き領域の有無の判定は、指定領域Oの判定結果と保護領域Pの判定結果との論理積によって行う。すなわち、指定領域Oと保護領域Pのいずれか片方でも空き領域が不足する場合には、判定結果をNoとする。判定結果がNoの場合、エラー処理S7B15に移行する。該エラー処理によって、書込みバッファ部1418のコマンドレジスタ、アドレスレジスタ、データレジスタ内の情報(電磁的記録Dnと証拠記録レコードRn)は破棄され、保護領域Pへの書込みが禁止である旨の通知がCPU1001に返される。
When the
ステップS7B09の判定結果がYes、すなわち指定領域O、Pの空き領域がある場合、制御部1419は、書き込みバッファ部1418のコマンドレジスタ、アドレスレジスタ、データレジスタから、証拠記録レコードRnを保護領域Pへ、電磁的記録Dnを運用領域Oへ書込む命令をI/Oバス1C04へ発行する(S7B10)。このとき、電磁的記録Dnの書込み命令は、ユーザ操作に基づく命令であって、書換え、上書き、空き領域への追記、削除、読出しは任意である。一方、証拠記録レコードRnの書込み命令は、書換え、上書き及び削除は行わず、空き領域への追記のみが実行される。
If the determination result in step S7B09 is Yes, that is, if there are free areas in the designated areas O and P, the
該書込み命令を受けたI/O装置は、Rn、Dnの順に書込みを実行する(S7B11)。該I/O装置の書込み動作の完了又は中断は、該I/O装置からCPUに送出された状態情報を受けたI/Oインタフェース部1411から制御部1419への通知により検知される。何らかの要因により該I/O装置の書込み動作が中断された場合には、中断の要因毎にエラー処理S7B15が実行される。該書込みの完了と中断の判定は、電磁的記録Dnの書込み完了と証拠記録レコードRnの書込み完了との論理積によって判定される。すなわち、電磁的記録Dnと証拠記録レコードRnのどちらか一方でも書込みを完了しない限り、エラーと判定する。エラー処理S7B15は、エラー状態及び要因をCPUに通知する他、書込み実行S7B11によって途中まで書込まれた電磁的記録Dn又は証拠記録レコードRnがある場合には、これを削除する命令を発行することによって、電磁的記録Dn及び証拠記録レコードRnの同時書込みが成立しない状態を回避することができる。
The I / O device that has received the write command executes writing in the order of R n and D n (S7B11). Completion or interruption of the write operation of the I / O device is detected by a notification from the I /
ステップS7B11の書込み実行が完了した場合には、制御部1419は、書込みバッファ部1418及び値格納部1415を制御して、書込みバッファ1419のデータレジスタ内のハッシュチェーン値HCnを値格納部1415に送信し、ハッシュチェーン値HCnを受信した値格納部1415は、値格納部に保存されていた格納値HCn−1にハッシュチェーン値HCnを上書きし、保存する(S7B12)。
When the write execution in step S7B11 is completed, the
以上により、バスブリッジ1C00による電磁的記録Dn及び証拠記録レコードRnをI/0装置に書込む処理は、CPU1001の書込み命令以外の命令に依存することなく開始、終了することが可能となる。
As described above, the process of writing the electromagnetic recording D n and the evidence recording record R n to the I / O device by the bus bridge 1C00 can be started and ended without depending on the instruction other than the writing instruction of the
本発明の実施例4は、本発明の実施例3と機能は同じであるが該機能を実現する構成に違いがある。実施例1、実施例3及び実施例4との異同を明らかにするため、実施例の説明に使用する図の対比を行う。下表に示すとおり、実施例3と実施例4において使用する図面の違いは、図1Cと図1Dのみであり、他はすべて同じ図面を使用する。
したがって、以下の説明は図1Dについてのみ行うこととする。 Therefore, the following description will be given only for FIG. 1D.
図1Dは、本発明の第4の実施形態による電磁的記録の証拠能力及び/又は証拠価値を高める情報処理装置の構成を示す略ブロック図である。図1A、図1Cと同一の参照符号を付したものは同じ要素を示し、既に本発明の第1の実施形態と第3の実施形態を示す実施例3とによって説明済みであることから、本実施例4では説明を省略する。ここでは、図1Cに含まれていない構成要素並びに構造を中心に実施例3との違いを詳細に説明する。 FIG. 1D is a schematic block diagram showing the configuration of an information processing apparatus for increasing the evidence capability and / or evidence value of electromagnetic recording according to the fourth embodiment of the present invention. The same reference numerals as those in FIGS. 1A and 1C indicate the same elements, and have already been described in Example 3 showing the first embodiment and the third embodiment of the present invention. In the fourth embodiment, the description is omitted. Here, differences from the third embodiment will be described in detail with a focus on components and structures not included in FIG. 1C.
図1Dと図1Cとの最大の違いは、図1Dの情報処理装置は、図1Cのバスブリッジ1C00内部の構成要素をI/O装置1D00内部に具備し、I/O装置1D00の外部に複数のバスとバスブリッジを必須とはしないことである。 The biggest difference between FIG. 1D and FIG. 1C is that the information processing apparatus of FIG. 1D has the internal components of the bus bridge 1C00 of FIG. The bus and the bus bridge are not essential.
本実施例4の情報処理装置の構成において、I/O装置1D00は、I/O装置の一つであるという点において、他のI/O装置1005と変わるところはなく、ハードディスクドライブとして機能する。さらに、I/O装置1D00は、該情報処理装置に接続されたストレージシステムとして構成されても良い。
In the configuration of the information processing apparatus according to the fourth embodiment, the I / O apparatus 1D00 is one of the I / O apparatuses, and is not different from the other I /
I/Oバス1D21は、I/O装置1D00内部にあって、HDDID22、1D23と、I/O装置1D00内部のその他の構成要素とを接続するためのバスである。HDD1D22、1D23は、ハードテイスクドライブ(HDD)である。図1Dでは、2台のHDDを記載しているが、2台に限定されるものではなく、1台でも3台以上であっても良い。 The I / O bus 1D21 is in the I / O device 1D00, and is a bus for connecting the HDD IDs 22 and 1D23 to other components in the I / O device 1D00. The HDDs 1D22 and 1D23 are hard disk drives (HDD). In FIG. 1D, two HDDs are shown, but the number is not limited to two, and may be one or three or more.
HDD1D22、1D23のいずれかは、運用領域O又は保護領域Pとして設定される。この設定は、工場出荷前に実施されても良いし、ユーザの運用管理者又はエンドユーザにより実施されても良い。非指定領域はあっても良いが、I/O装置1D00の他にI/O装置1005が接続されている場合には、I/O装置1D00の内部に非指定領域を敢えて残す意義と用途は必ずしも多いとはいえない。
One of the HDDs 1D22 and 1D23 is set as the operation area O or the protection area P. This setting may be performed before shipment from the factory, or may be performed by a user operation manager or an end user. There may be a non-designated area, but when the I /
本発明は、上述の実施例1乃至4によって、工業的に量産が可能な情報処理装置、方法、及びプログラムとして、生産及び使用を可能とするものである。したがって、本発明は、主に情報処理産業として実施できる性質を有していることから、産業上利用することができる発明である。 The present invention enables production and use as an information processing apparatus, method, and program that can be industrially mass-produced by the above-described first to fourth embodiments. Therefore, the present invention is an invention that can be used industrially because it has a property that can be implemented mainly as an information processing industry.
1000,1B00 割込みハンドラ
1B01 トラステッドプラットフォームモジュール(TPM)
1C00 バスブリッジ
1D00 I/O装置
1001 中央演算処理装置(CPU)
1002 主記憶装置
1003 ページテーブル
1C03 システムバス
1C04,1D21 I/Oバス
1004 バス
1005,1006,1007 I/O装置
1011 電磁的記録
1012 アプリケーションソフトウェア
1013 オペレーティングシステム(OS)
1014 デバイスドライバ
1020 割込み制御処理
1021 比較・登録処理
1022 アドレステーブル
1023 I/O処理
1024 排他的論理和(XOR)演算処理
1A25 タイマ
1A26 ハッシュ演算処理
1A27 値保護処理
1A28 値
1A29 署名生成・検証処理
1A30 鍵保護処理
1A31 秘密鍵・公開鍵
1B25 タイマ部
1B26 ハッシュ演算部
1B27 値格納部
1B29 暗号演算部
1B30 鍵格納部
1411 I/Oインタフェース部
1412 タイマ部
1413 ハッシュ演算部
1414 排他的論理和(XOR)演算部
1415 値格納部
1416 鍵格納部
1417 署名生成・検証部
1418 書込みバッファ部
1419 制御部
1420 アドレステーブル格納部
1D22,1D23 ハードディスクドライブ(HDD)
1000, 1B00 Interrupt handler 1B01 Trusted platform module (TPM)
1C00 Bus bridge 1D00 I /
1002
1014
Claims (10)
ユーザによる任意の書込みを許可する第1の記憶領域への電磁的記録の書込みと共に、ユーザによる任意の書込みと書換えと上書きと削除とを禁止し、特定の追記のみを許可する第2の記憶領域へ、第1の記憶領域へ書込むのと同じ電磁的記録を追記するステップと、
第1の記憶領域への電磁的記録の書込みと第2の記憶領域への電磁的記録の追記のどちらかが成功しないとき、既に書込まれた第1及び第2の記憶領域の電磁的記録を消去するステップと、
からなることを特徴とする電磁的記録の証拠能力及び/又は証拠価値を高める情報処理方法。 In an information processing apparatus capable of outputting electromagnetic recording to an auxiliary storage device, an information processing method for increasing the evidence capability and / or evidence value of electromagnetic recording,
A second storage area that prohibits arbitrary writing, rewriting, overwriting, and deletion by the user, and writing only a specific additional writing together with the writing of the electromagnetic record to the first storage area that permits arbitrary writing by the user And appending the same electromagnetic recording as writing to the first storage area;
The electromagnetic recording of the first and second storage areas already written when either the writing of the electromagnetic recording to the first storage area or the additional recording of the electromagnetic recording to the second storage area is not successful. A step of deleting
An information processing method for enhancing the evidence ability and / or evidence value of electromagnetic records, characterized by comprising:
生成された第1の電子署名を外部の情報処理装置に出力するステップと、
外部の情報処理装置において第1の電子署名に対して生成された第2の電子署名が外部の情報処理装置から入力されると、第2の電子署名に対し第3の電子署名を生成するステップと、
からなることを特徴とするハッシュダイジェスト及び電子署名の連鎖を形成する方法。 An electronic signature is generated with respect to the second hash chain value by the information processing method according to claim 5 or 6, and the electronic signature is added to the second storage area so that the evidence capability of electromagnetic recording and / or Or, between two information processing devices that increase the evidence value,
Outputting the generated first electronic signature to an external information processing apparatus;
A step of generating a third electronic signature for the second electronic signature when the second electronic signature generated for the first electronic signature in the external information processing apparatus is input from the external information processing apparatus. When,
A method for forming a chain of hash digests and electronic signatures characterized by comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006252819A JP4753819B2 (en) | 2006-09-19 | 2006-09-19 | Information processing method, program and apparatus for enhancing evidence capability and / or evidence value of electromagnetic records |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006252819A JP4753819B2 (en) | 2006-09-19 | 2006-09-19 | Information processing method, program and apparatus for enhancing evidence capability and / or evidence value of electromagnetic records |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008077179A JP2008077179A (en) | 2008-04-03 |
JP4753819B2 true JP4753819B2 (en) | 2011-08-24 |
Family
ID=39349197
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006252819A Expired - Fee Related JP4753819B2 (en) | 2006-09-19 | 2006-09-19 | Information processing method, program and apparatus for enhancing evidence capability and / or evidence value of electromagnetic records |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4753819B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010041393A (en) * | 2008-08-05 | 2010-02-18 | Sharp Corp | Complex storage medium module, terminal device, and storage reproducing system |
JP5183517B2 (en) * | 2009-02-05 | 2013-04-17 | 三菱電機株式会社 | Information processing apparatus and program |
JP2012027570A (en) * | 2010-07-21 | 2012-02-09 | Keet Seisakusho:Kk | Data storage system for field equipment |
EP3029598B1 (en) * | 2013-07-31 | 2019-03-06 | Martínez Monreal, Salud | Method implemented by computer for capturing evidentiary audiovisual and/or multimedia information and computer program |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3791758B2 (en) * | 2001-01-22 | 2006-06-28 | 日本電信電話株式会社 | Mutual certification path construction method and user device and certificate authority processing program |
JP2002319271A (en) * | 2001-04-19 | 2002-10-31 | Sony Corp | Information processing device and method, recording medium and program |
JP2003143139A (en) * | 2001-11-07 | 2003-05-16 | Fujitsu Ltd | Program and method for storing and verifying digital data |
JP4266096B2 (en) * | 2002-03-26 | 2009-05-20 | 株式会社日立製作所 | File storage system and NAS server |
JP4125975B2 (en) * | 2003-02-28 | 2008-07-30 | セイコープレシジョン株式会社 | Time stamp system and program thereof |
JP3880957B2 (en) * | 2003-10-20 | 2007-02-14 | 日本電信電話株式会社 | Root certificate distribution system, root certificate distribution method, computer executable root certificate distribution program, server device, and client device |
JP4569118B2 (en) * | 2004-02-05 | 2010-10-27 | 株式会社日立製作所 | Verification result recording method and apparatus for creating signature verification log |
JP4604523B2 (en) * | 2004-03-15 | 2011-01-05 | 株式会社日立製作所 | Data transfer method and data storage device |
-
2006
- 2006-09-19 JP JP2006252819A patent/JP4753819B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008077179A (en) | 2008-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5175856B2 (en) | Protection and method of flash memory block in secure device system | |
JP5191043B2 (en) | System and method for preventing unauthorized start of program | |
EP1365306A2 (en) | Data protection system | |
EP1995681A1 (en) | Authenticity assurance system for spreadsheet data | |
US20120110343A1 (en) | Trustworthy timestamps on data storage devices | |
JP2009230741A (en) | Method and apparatus for verifying archived data integrity in integrated storage system | |
GB2404537A (en) | Controlling access to data using software wrappers | |
JP2013506910A (en) | Write Once Read Many (WORM) Memory Device Authentication and Secure Ring | |
JP4012771B2 (en) | License management method, license management system, license management program | |
KR20140051350A (en) | Digital signing authority dependent platform secret | |
JP2012090231A (en) | Storage device and secure erase method | |
Catuogno et al. | A trusted versioning file system for passive mobile storage devices | |
JP4753819B2 (en) | Information processing method, program and apparatus for enhancing evidence capability and / or evidence value of electromagnetic records | |
US20100132052A1 (en) | Information processing system, information processing method, and computer readable medium | |
JP4895990B2 (en) | Image processing apparatus and data erasing method | |
JP2007316944A (en) | Data processor, data processing method and data processing program | |
JP2000132459A (en) | Data storage system | |
JPWO2004068350A1 (en) | Data alteration detection method, data alteration detection device, and data alteration detection program | |
JP2009064126A (en) | Ic card system, terminal device therefor and program | |
TW202040396A (en) | Online bidding method and online bidding system using the encrypted block chain technology to provide a secured and reliable bidding system | |
JP2004213057A (en) | System for preventing unauthorized use of software | |
JP2003140971A (en) | Data alter detecting system | |
JP4710232B2 (en) | Electronic data storage system that stores electronic data while guaranteeing the evidence | |
WO2022091619A1 (en) | User information management system, user information management method, and computer program | |
JP4671913B2 (en) | Originality assurance electronic storage device, originality assurance electronic storage method and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080724 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20081017 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110308 |
|
TRDD | Decision of grant or rejection written | ||
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110518 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110524 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110524 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140603 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |