JP4909474B2 - Secure electronic media management system, method, program, and recording medium - Google Patents

Secure electronic media management system, method, program, and recording medium Download PDF

Info

Publication number
JP4909474B2
JP4909474B2 JP2001277621A JP2001277621A JP4909474B2 JP 4909474 B2 JP4909474 B2 JP 4909474B2 JP 2001277621 A JP2001277621 A JP 2001277621A JP 2001277621 A JP2001277621 A JP 2001277621A JP 4909474 B2 JP4909474 B2 JP 4909474B2
Authority
JP
Japan
Prior art keywords
security
data
media
file
management system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001277621A
Other languages
Japanese (ja)
Other versions
JP2003085046A (en
Inventor
洋一 金井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2001277621A priority Critical patent/JP4909474B2/en
Publication of JP2003085046A publication Critical patent/JP2003085046A/en
Application granted granted Critical
Publication of JP4909474B2 publication Critical patent/JP4909474B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、セキュア電子メディア管理システム、方法、プログラム、及び記録媒体に関し、より詳細には、電子データの真正性を維持し、電子データを長期間に渡って電子的な証拠として扱うためのセキュリティメディアを管理するセキュア電子メディア管理システム、方法、さらには該システムとしてコンピュータを機能させるためのプログラム、及び該プログラムを記録したコンピュータ読み取り可能な記録媒体に関する。
【0002】
【従来の技術】
情報システムが高度に発展する中、電子データのセキュリティについて関心が高まっている。セキュリティという言葉は広い意味で使用されるが、特に媒体に記録された電子データを証拠として扱えるよう真正性を確保する技術や、長期にデータを保存可能とする保存性確保の技術が電子政府の実現においても必要となってきている。電子データの長期保存の観点からすれば磁気ディスクよりも光ディスクが適していることは良く知られているため、様々な情報システムにおいて記録として残す電子データを最終的に光ディスクに記録するようにしたものが多くなってきている。
【0003】
電子データを証拠として記録する技術としては、特開2000−285024号公報「原本性保証電子保存方法及び装置」、特開2000−339223号公報「原本性保証電子保存方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体」、特開2001−005728号公報「原本性保証電子保存装置、原本性保証電子保存方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体」、特開2001−147898号公報「原本性保証電子保存方法、装置及びコンピュータ読み取り可能な記録媒体」、特開平10−283262号公報「ファイルシステムおよびプログラム記憶媒体」、小尾他:原本性保証電子保存システムの開発―基本機能の実現―,Medical Imaging Technology,Vol.16,No.4,Proceedings of JAMIT Annual Meeting'98(1998)、金井他:原本性保証電子保存システムの開発―システムの構築―,Medical Imaging Technology,Vol.16,No.4,Proceedings of JAMIT Annual Meeting'98(1998)、国分他:原本性保証電子保存システムの開発,(特)情報処理振興事業協会発行 創造的ソフトウェア育成事業及びエレクトロニック・コマース推進事業 最終成果発表会論文集 創造的ソフトウェア育成事業編(1998)、金井:原本性保証電子保存システムについて,Vol.34,No.8,行政&ADP(1998)、がある。
【0004】
上述した技術は、証拠として残す電子データを外部から受け取り、その電子データに対して改ざん検知コードを計算する等の処理を行い、その改ざん検知コードを、受け取った電子データとともに光ディスクなどに記録するというものである。
【0005】
【発明が解決しようとする課題】
これらの保存システムの場合、既に光ディスクに記録されている電子データを証拠として残すためには、一度光ディスクから電子データを読み出し、その電子データを保存システムに送り込み、保存システムが改ざん検知コードとともに電子データを新たな光ディスクに記録するという方法をとらざるを得なかった。この場合、既に光ディスクに電子データが記録されていたにもかかわらず、それを読み出してから再度光ディスクに記録するという無駄な処理を行わなければならなかった。
【0006】
また、長期に渡って電子データを保存しておくことを想定した場合、上記の保存システムによって光ディスクに記録された改ざん検知コードは、周囲のシステムの計算能力の向上に伴って相対的に強度が低下するという問題があった。もちろん、そのような場合でも改ざん検知コードを強度の高いものにつけかえれば良いが、光ディスク一枚一枚の電子データ一つ一つに対して改ざん検知コードを計算し直すのは現実的ではない。すなわち、長期に渡る安全性を確保するのに手間がかかるという問題がある。
【0007】
また、電子データの真正性を確保するために利用できる技術としては、メッセージ認証技術、電子署名技術(RSA digital signature PKCS #1)や電子公証技術(Surety社のDigital Notaryサービス)が広く知られている。それらの技術を使って、保存する電子データの真正性を確保する技術としては、上述の特開平10−283262号公報及び特開2000−285024号公報、さらには、特開平10−283264号公報「複数の記録媒体へのデータ記録方法および記録内容の正当性検証方式」、特開平11−143361号公報「電子データ保管装置、保管システム、および保管方法」、特開平11−149413号公報「改ざん防止/検出機能を有するファイル管理システム」、特開2000−132459号公報「データ保存システム」、特開2000−181803号公報「鍵管理機能付電子データ保管装置および電子データ保管方法」等、数多く知られている。
【0008】
しかしながら、これらの技術はすべて真正性を確保するシステム本体に保存された電子データについてのみ真正性の確保ができるものである。
【0009】
本発明は上述のごとき実情に鑑みてなされたものであり、電子データの真正性を維持し、電子データを長期間に渡って安全性を確保しながら電子的な証拠として扱えるようにするセキュア電子メディア管理システム、方法、さらには該システムとしてコンピュータを機能させるためのプログラム、及び該プログラムを記録したコンピュータ読み取り可能な記録媒体を提供することをその目的とする。
【0010】
また、本発明は、他のシステムによって光ディスク等のオフラインメディアに既に記録されている電子データやネットワーク経由で外部から受け取った電子データ、さらにはシステム内部で作成した電子データの真正性を維持し、電子データを長期間に渡って安全性を確保しながら電子的な証拠として扱えるようにするセキュア電子メディア管理システム、方法、さらには該システムとしてコンピュータを機能させるためのプログラム、及び該プログラムを記録したコンピュータ読み取り可能な記録媒体を提供することをその目的とする。
【0011】
さらに、本発明は、長期間に亘ってセキュリティメディアを更新していく際にその真正性確保の状態を適切に保つことが可能な、セキュア電子メディア管理システム、方法、さらには該システムとしてコンピュータを機能させるためのプログラム、及び該プログラムを記録したコンピュータ読み取り可能な記録媒体を提供することを他の目的とする。
【0012】
さらに、本発明は、既存のデータメディアを元にしてセキュリティメディアを作成する際、セキュリティメディアとデータメディアの関連性を確認することが可能な、セキュア電子メディア管理システム、方法、さらには該システムとしてコンピュータを機能させるためのプログラム、及び該プログラムを記録したコンピュータ読み取り可能な記録媒体を提供することを他の目的とする。
【0013】
【課題を解決するための手段】
請求項1の発明は、データの真正性を確保するためのセキュア電子メディア管理システムであって、ユーザからの要求を受け付けるリクエスト受付手段と、対象となるデータを記憶媒体から取得するデータ取得手段と、前記データからハッシュ値を算出する算出手段と、該データを保護するために前記データのファイル名と前記ハッシュ値とからなるセキュリティファイルを作成するセキュリティファイル作成手段と、該セキュリティファイルを1つ又は複数集めてセキュリティ情報を作成するセキュリティ情報作成手段と、該セキュリティ情報を前記記憶媒体とは異なるセキュリティメディアに記録するセキュリティ情報記録手段と、ユーザに処理結果を通知するレスポンス通知手段とを備えたことを特徴としている。
【0014】
請求項2の発明は、請求項1の発明において、前記データ取得手段により取得したデータをデータメディアに記録してデータメディアを作成するデータメディア作成手段を更に備えたことを特徴としたものである。
【0015】
請求項3の発明は、請求項1又は2の発明において、前記セキュリティ情報作成手段によって作成されたセキュリティ情報を保護するセキュリティ情報保護手段を更に備えたことを特徴としたものである。
【0016】
請求項4の発明は、請求項1乃至3のいずれか1の発明において、前記セキュリティ情報作成手段によって作成されたセキュリティ情報が保護している対象データと、前記セキュリティ情報記録手段によって記録することにより作成されたセキュリティメディアとを関連付ける情報を作成するセキュリティメディア関連付け手段を更に備えたことを特徴としたものである。
【0017】
請求項5の発明は、請求項1乃至4のいずれか1の発明において、前記セキュリティファイル作成手段は、外部から取得する公証データを使用して、前記データを保護することを特徴としたものである。
【0018】
請求項6の発明は、請求項1乃至5のいずれか1の発明において、前記セキュリティファイル作成手段は、複数の鍵を使用して生成した複数の電子署名を使用して、前記データを保護することを特徴としたものである。
【0019】
請求項7の発明は、データの真正性を確保するためのセキュア電子メディア管理システムであって、ユーザからの要求を受け付けるリクエスト受付手段と、更新対象のセキュリティメディアからセキュリティ情報を取得するセキュリティ情報取得手段と、該セキュリティ情報を新しいセキュリティ情報に更新するセキュリティ情報更新手段と、該新しいセキュリティ情報を該セキュリティメディア又は新しいセキュリティメディアに記録するセキュリティ情報記録手段と、ユーザに処理結果を通知するレスポンス通知手段とを備え、セキュリティメディアを更新することを特徴としたものである。
【0020】
請求項8の発明は、請求項7の発明において、データを保護するために複数の鍵を使用して生成した複数の電子署名を使用して作成されたセキュリティファイルに対し、前記セキュリティ情報更新手段は、前記複数の電子署名のうち少なくとも一つの電子署名の検証に成功することでセキュリティ情報の検証が成功したとみなしてセキュリティ情報の更新を行うことを特徴としたものである。
【0021】
請求項9の発明は、データの真正性を確保するためのセキュア電子メディア管理システムであって、ユーザからの要求を受け付けるリクエスト受付手段と、対象となるデータを記憶媒体から取得するデータ取得手段と、メディアからセキュリティファイルを取得するセキュリティファイル取得手段と、前記データの真正性を該セキュリティファイルにより検証するデータ真正性検証手段と、ユーザに処理結果を通知するレスポンス通知手段とを備え、前記セキュリティファイルはデータのファイル名とデータから算出されたハッシュ値とを含むことを特徴としたものである。
【0022】
請求項10の発明は、請求項9の発明において、セキュリティメディアの中から、検証対象のデータに該当するセキュリティファイルを自動的に判別するセキュリティファイル自動判別手段を更に備えたことを特徴としたものである。
【0023】
請求項11の発明は、請求項9又は10の発明において、セキュリティファイル取得手段によってセキュリティファイルを取得する際に、セキュリティメディアに記録されているセキュリティ情報の真正性を検証するセキュリティ情報検証手段を更に備えたことを特徴としたものである。
【0024】
請求項12の発明は、請求項9乃至11のいずれか1の発明において、セキュリティ情報作成手段によって作成されたセキュリティ情報が保護している対象データと、セキュリティ情報記録手段によって作成されたセキュリティメディアとを関連付ける情報を作成するセキュリティメディア関連付け手段を更に備え、該セキュリティメディア関連付け手段によって作成された関連付け情報を元にして検証対象のデータから該データに該当するセキュリティメディアを検索するセキュリティメディア検索手段を更に備えたことを特徴としたものである。
【0025】
請求項13の発明は、請求項9乃至12のいずれか1の発明において、データを保護するために複数の鍵を使用して生成した複数の電子署名を使用して作成されたセキュリティファイルに対し、前記データ真正性検証手段は、前記複数の電子署名のうち少なくとも一つの電子署名の検証に成功することでデータの検証が成功したとみなすことを特徴としたものである。
【0030】
請求項1の発明は、請求項1乃至1のいずれか1記載のセキュア電子メディア管理システムの各手段として又は該システムの各手段として、コンピュータを機能させるプログラムである。
【0031】
請求項1の発明は、請求項1記載のプログラムを記録したコンピュータ読み取り可能な記録媒体である。
【0032】
【発明の実施の形態】
図1及び図2は、本発明の一実施形態に係るセキュア電子メディア管理システムにおけるセキュリティメディア作成処理を説明するための図である。
本実施形態に係るセキュア電子メディア管理システム(しばしば、本システムと略す)は、電子データ(以下、単にデータと称す)の真正性を確保するためのシステムである。本システムにおいてデータの真正性確保のためのセキュリティメディアを作成する処理は、データメディア登録処理及びそれに基づくセキュリティメディア作成処理を含むものとする。
【0033】
データメディア登録処理においては、まず、データメディア登録要求,セキュリティメディア作成要求等のユーザからの様々な処理要求を受け付けるためのリクエスト受付手段11により、ユーザからのデータメディア登録要求を受け付けると(ステップS1)、データ取得手段14により保護対象となるデータ(登録するデータ)を取得する(ステップS2)。例えばデータメディアM1や記憶媒体R1からネットワークを介して、或いは本システムにマウントされたデータメディアM1や本システム内部の記憶媒体R1から取得する。セキュリティファイル作成手段13により、取得データを保護するためのセキュリティファイルを作成する(ステップS3)。作成したセキュリティファイルは、実際にはセキュリティファイル記録手段15により本システム内の内部記憶媒体R2に記録すればよい。
【0034】
セキュリティメディア作成処理においては、まず、セキュリティ情報作成手段16により、そのセキュリティファイルを1つ又は複数集めてセキュリティ情報を作成する(ステップS4)。実際には内部記憶媒体R2に記憶された該当する1又は複数のセキュリティファイルをセキュリティファイル取得手段17により取得し、セキュリティ情報作成手段16によりセキュリティ情報を作成する。セキュリティ情報記録手段18により、そのセキュリティ情報をセキュリティメディアM2に記録する(ステップS5)。さらに、ユーザに様々な処理結果を通知するためのレスポンス通知手段12により、ユーザにこの処理結果を通知する(ステップS6)。
【0035】
図3及び図4は、本発明の他の実施形態に係るセキュア電子メディア管理システムにおけるセキュリティメディア更新処理を説明するための図である。
本実施形態に係るセキュア電子メディア管理システム(以下、本システムと略す)は、データの真正性を確保するためのシステムである。本システムにおいては、データの真正性を確保するためのセキュリティメディア更新処理を実行できるものとする。なお、便宜上、図1におけるリクエスト受付手段11,レスポンス通知手段12,セキュリティ情報記録手段18を本実施形態の説明において援用するが、本システムの対応する各手段を図1のシステムとは別の手段として設けてもよい。
【0036】
本システムにおけるセキュリティメディア更新処理においては、リクエスト受付手段11によりユーザからのセキュリティメディア更新要求を受け付けると(ステップS11)、まず、セキュリティ情報取得手段20により更新対象のセキュリティメディアM2からセキュリティ情報を取得する(ステップS12)。セキュリティ情報更新手段19により、そのセキュリティ情報を新しいセキュリティ情報に更新し(ステップS13)、セキュリティ情報記録手段18により、その新しいセキュリティ情報を取得元のセキュリティメディアM2もしくは新しいセキュリティメディアに記録する(ステップS14)。さらに、レスポンス通知手段12によりユーザに処理結果を通知する(ステップS15)。
【0037】
図5及び図6は、本発明の他の実施形態に係るセキュア電子メディア管理システムにおけるデータ検証処理を説明するための図である。
本実施形態に係るセキュア電子メディア管理システム(以下、本システムと略す)は、データの真正性を確保するためのシステムである。本システムにおいては、データの真正性を確保するためのデータ検証処理を実行できるものとする。なお、便宜上、図1におけるリクエスト受付手段11,レスポンス通知手段12,データ取得手段14及び図3におけるセキュリティ情報取得手段20を本実施形態の説明において援用するが、本システムの対応する各手段を図1,図3のシステムとは別の手段として設けてもよい。
【0038】
本システムにおけるデータ検証処理においては、リクエスト受付手段11によりユーザからのデータ検証要求を受け付けると(ステップS21)、対象データ及びセキュリティファイルを取得する(ステップS22,S23)。セキュリティファイルは、セキュリティファイル取得手段(実際にはセキュリティ情報内のセキュリティファイルを取得するのでセキュリティ情報取得手段20)によりセキュリティメディアM2から取得する。一方、対象となるデータは、データ取得手段14により取得する。例えばデータメディアM1や記憶媒体R1からネットワークを介して、或いは本システムにマウントされたデータメディアM1や本システム内部の記憶媒体R1から取得する。データ真正性検証手段21により、取得したデータの真正性をそのセキュリティファイルによって検証する(ステップS24)。さらに、レスポンス通知手段12によりユーザに処理結果を通知する(ステップS25)。
【0039】
図7は、本発明の他の実施形態に係るセキュア電子メディア管理システムの一構成例を示す図である。
本実施形態のセキュア電子メディア管理システムは、上述した各実施形態のいずれか複数のシステムを組み合わせたシステムであり、例えば全て組み合わせた場合には、少なくともリクエスト受付手段11,レスポンス通知手段12,セキュリティファイル作成手段13,データ取得手段14,セキュリティファイル記録手段15,セキュリティ情報作成手段16,セキュリティファイル取得手段17,セキュリティ情報記録手段18,セキュリティ情報更新手段19,セキュリティ情報取得手段20,データ真正性検証手段21を含むこととなる。なお、各手段に関する詳細な説明は省略する。
【0040】
(実施例)
図8は、本発明に係るセキュア電子メディア管理システムの一実施例を示す構成図で、図中、30はセキュア電子メディア管理システム(以下、本システムと略す)、38は本システム30とネットワーク(一般的な通信路で構わない)で接続されたエンドユーザ端末,業務サーバ装置等の外部システムである。セキュア電子メディア管理システム30は、通信ネットワークを介して外部システム38との通信を行うためのインターフェース部である通信ポート31と、セキュリティファイルの電子署名を検証する暗号処理ボード32と、持ち運び可能なデータ記憶媒体を駆動させる駆動装置の一例としての光ディスクドライブ1(34),光ディスクドライブ2(35)と、EEPROM,HDD等の内部記憶媒体36と、ROM,HDD等のプログラム格納媒体37とを具備する。
【0041】
通信ポート31は、上述したデータメディア登録処理,セキュリティメディア作成処理,セキュリティメディア更新処理,データ検証処理等の指示及びそれらの処理結果の通知を外部システム38との間で送受信するためのポートである。
【0042】
プログラム格納媒体37は、主制御プログラム、本発明に係る電子メディア管理プログラムなどの各種プログラム、実際には上述した又は後述する各手段として本システムを機能させるためのプログラムを格納したメモリであり、例えば書換可能なEEPROMや読み出し専用のROMなどからなる。プロセッサ33は、プログラム格納媒体37に格納された各種プログラムを読み出して実行する制御装置である。内部記憶媒体36は、各種プログラムの実行に必要となるパラメータを記憶し、さらにセキュリティファイルやシリアル番号等を記憶するEEPROMなどからなるメモリである。
【0043】
暗号処理ボード32としては、三菱電機のMISTYKEYPER等が例として挙げられる。基本的に、ボード内部で公開鍵暗号方式の鍵ペアを生成することができ、その鍵ペアをボード内部で保持することができ、その鍵ペアに対して外部で発行された公開鍵認証書をボード内部で保持することができ、その鍵を使用してボード内部で暗号処理を実行することができ、さらに生成した秘密鍵は外部に読み出すことができず、ボード自身が物理的な耐タンパー性を持っているようなものを想定している。
【0044】
図8におけるセキュア電子メディア管理システム30では、暗号処理を行う暗号処理ボード32を組み込み、暗号処理ボード32で鍵生成,鍵保管,暗号化,復号化の処理を行っているが、プログラム格納媒体37に鍵生成プログラム,暗号化プログラム,復号化プログラムなどを格納し、プロセッサ33によってそれらプログラムを実行する方式としてもよい。その際、鍵生成プログラムにより生成された、或いは外部で生成した公開鍵ペアの秘密鍵を暗号処理ボード32のようなハードウェアを使用して、ハードウェア内部に安全に保管することが好ましい。
【0045】
本システムで外部からの要求を受けて様々な処理を行う前に、既に暗号処理ボード32は内部で公開鍵暗号方式の鍵ペアを生成してあり、生成した鍵ペアのうちの公開鍵に対して外部で発行された公開鍵認証書を内部に保持してあることを想定している。さらに、生成した鍵ペアのうち、秘密鍵を使用して電子署名を生成することができ、公開鍵を使用して電子署名を検証できる状態となっていることを想定している。
【0046】
図9及び図10は、図8のセキュア電子メディア管理システムにおけるセキュリティメディア作成処理の一実施例を説明するための図である。以下、図8乃至図10を参照しながら、本実施例を図1の各手段に基づいて詳細に説明する。
データメディア登録処理においては、光ディスクドライブ1(34)に光ディスク(データメディア41)を装着しておく。リクエスト受付手段11により、外部システム38を使用するユーザからネットワーク経由でデータメディア登録処理の要求を受け取ると、まず、データ取得手段14により光ディスクドライブ1(34)にマウントされたデータメディア41に記録されているすべての保護対象の電子データ(ファイル)42を読み出す。次に、セキュリティファイル作成手段13により、取得したデータファイル42に対して次の(1)〜(5)に基づきセキュリティファイル45を作成する。すなわち、(1)データ取得手段14で得られた各ファイル42に対してそれぞれハッシュ値43を計算する。(2)読み出したファイル42のファイル名と、計算したハッシュ値43のペアを1エントリ(ハッシュエントリ)とするリスト(ハッシュリスト)44を作成する。(3)内部記憶媒体36からデータメディアシリアル番号を読み出す。(4)データメディアシリアル番号を1増加させて内部記憶媒体36に記録する。(5)ハッシュリスト44に対して本システム内部(ここでは暗号処理ボード32)に保持している秘密鍵で電子署名を計算し、その電子署名をハッシュリスト44にて付与し、セキュリティファイル45とする。
【0047】
セキュリティファイル作成手段13で作成したセキュリティファイル45を、セキュリティファイル記録手段15によりデータメディアシリアル番号を含むファイル名で内部記憶媒体36に記録する。その後、レスポンス通知手段12により、データメディア登録結果としてデータメディアシリアル番号をネットワーク経由で外部(要求元)に通知する。なお、後述の実施例で説明するが、要求元は、通知されたデータメディアシリアル番号をデータメディア41に電子データとして記録するか、データメディア41の表面にラベルとして印刷しておくか、外部データベースで管理するか等して、データメディア41とデータメディアシリアル番号の関係付けを行っておくことが好ましい。
【0048】
内部記憶媒体36に記録されたセキュリティファイル45をセキュリティメディア46に記録する処理においては、光ディスクドライブ2(35)に新しい光ディスク(セキュリティメディア)46を装着しておく。まず、リクエスト受付手段11により、外部システム38を使用するユーザからセキュリティメディア作成要求とともにデータメディアシリアル番号のリストをネットワーク経由で受け付けておく。セキュリティファイル取得手段17により、リクエスト受付手段11で受け付けたリストに含まれるデータメディアシリアル番号に該当するセキュリティファイル45を内部記憶媒体36から読み出して取得する。セキュリティ情報作成手段16により、次の(1)〜(3)に基づいてセキュリティ情報を作成する。すなわち、(1)内部記憶媒体36からセキュリティメディアシリアル番号を読み出す。(2)セキュリティメディアシリアル番号を1増加させて内部記憶媒体36に記録する。(3)セキュリティファイル取得手段17により取得したセキュリティファイル45とセキュリティメディアシリアル番号をまとめてセキュリティ情報とする。作成されたセキュリティ情報は、セキュリティ情報記録手段18により光ディスクドライブ2(35)にマウントされたセキュリティメディア46に記録する。レスポンス通知手段12により、外部システム38を使用するユーザに、セキュリティメディア作成結果としてセキュリティメディアシリアル番号をネットワーク経由で通知する。なお、セキュリティファイル45もシリアル番号を付与して表すようにしてもよい。
【0049】
図8のセキュア電子メディア管理システムにおけるセキュリティメディア更新処理の一実施例を図3の各手段に基づいて詳細に説明する。
長期に渡って真正性を確保するために、セキュリティメディアの更新を行うことがある。本実施例のセキュリティメディア更新処理を行うには、まず、光ディスクドライブ1(34)に更新するセキュリティメディアを、光ディスクドライブ2(35)に新しい光ディスクを、それぞれ装着しておく。
この状態で、リクエスト受付手段11により、外部システム38を使用するユーザからネットワーク経由でセキュリティメディア更新要求を受け付け、セキュリティ情報取得手段20により、光ディスクドライブ1(34)にマウントされている更新対象のセキュリティメディアからすべてのセキュリティ情報を読み出す。セキュリティ情報更新手段19により、次の(1)〜(5)に基づいて取得したセキュリティ情報を更新し、新しいセキュリティ情報を作成する。すなわち、(1)読み出したセキュリティ情報に含まれる各セキュリティファイルの電子署名を、暗号処理ボード32を使用して検証する。(2)検証に成功したセキュリティファイルのみ、暗号処理ボード32で電子署名を計算しなおしてセキュリティファイルに付与する。(3)内部記憶媒体36からセキュリティメディアシリアル番号を読み出す。(4)セキュリティメディアシリアル番号を1増加させて内部記憶媒体36に記録する。(5)電子署名を付与しなおしたセキュリティファイルとセキュリティメディアシリアル番号をまとめてセキュリティ情報とする。この新しいセキュリティ情報は、セキュリティ情報記録手段18により、光ディスクドライブ2(35)にマウントされている新しいセキュリティメディアに記録される。レスポンス通知手段12により、外部システム38を使用するユーザに、セキュリティメディア更新結果として新しいセキュリティメディアシリアル番号をネットワーク経由で通知する。
【0050】
この更新処理を行うのは、暗号アルゴリズムとして新しい強度の高いものに変更する場合が主になるため、この処理を行う前に、新しい暗号アルゴリズムに対応するため、新しい暗号処理ボードが本システムに装着されていることを想定している。新しい暗号処理ボードには、古い暗号処理ボードで使用していた秘密鍵に対応する公開鍵証明書を記録しておくことになる。
【0051】
この方法の場合、セキュリティファイルに含まれているハッシュ値の更新がなされないが、電子署名を計算するのに用いた秘密鍵を解読するのに比較して、同じハッシュ値を持つ「意味のある」電子データを作成することの方が遥かに困難であるため構わない。
【0052】
図8のセキュア電子メディア管理システムにおけるデータ検証処理の一実施例を図5の各手段に基づいて詳細に説明する。
作成されたセキュリティメディアは本システムで利用することも可能であるが、外部で利用することも可能である。セキュリティメディアに記録されるセキュリティファイルの仕様を公開することにより、基本的には公開鍵暗号方式を使用して外部でもデータメディア内のデータの真正性を検証することができる。ここでは本システムでデータメディアの真正性検証を行う場合の処理を説明する。基本的には外部においても処理することは同じである。
【0053】
本実施例におけるデータ検証処理を行うには、まず、光ディスクドライブ1(34)に検証するデータメディアを、光ディスクドライブ2(35)にデータメディアに対応するセキュリティメディアを、それぞれ装着しておく。
この状態で、リクエスト受付手段11により、外部システム38を使用するユーザからデータ検証要求とともにファイル名,データメディアシリアル番号をネットワーク経由で受け付ける。次に、セキュリティ情報取得手段20により光ディスクドライブ2(35)にマウントされたセキュリティメディアに記録されているセキュリティ情報のうち、指定されたデータメディアシリアル番号に該当するセキュリティファイルを読み出す。データ取得手段14により、光ディスクドライブ1(34)にマウントされたデータメディアから、指定されたファイル名のファイル(保護されている対象データ)を読み出す。データ真正性検証手段21により、次の(1)〜(5)に基づき対象データ(ファイル)の真正性を検証する。すなわち、(1)読み出したセキュリティファイルに付与されている電子署名を暗号処理ボード32により検証する。(2)検証に成功した場合、そのセキュリティファイルに記録されている、外部から指定されたファイル名に対応するハッシュ値を取り出し、検証に失敗した場合には外部(要求元)にエラーを通知する。(3)読み出したファイルのハッシュ値を計算する。(4)計算したハッシュ値と先に取り出したハッシュ値を比較する。(5)比較して一致すれば真正性の検証成功とし、ハッシュ値が異なればエラーとする。なお、レスポンス通知手段12により、外部システム38を使用するユーザに、データ検証結果をネットワーク経由で通知する。
【0054】
電子署名の計算方法、付与方法、検証方法はPKCS #7(Public Key Cryptography Standard)のような標準に従って行えばよい。また、電子署名データには上位の認証書がすべて記録されることを想定している。
【0055】
上述の説明で分かるように、図8のシステム構成例においては、光ディスクドライブ1(34)はデータメディアやセキュリティメディアの読み出しにしか使用していない。したがって、本発明のセキュア電子メディア管理システムに直接接続されているデータメディア用ドライブではなく、例えばネットワークを介して他のシステム(例えばメディアジュークボックス等)に装着されているデータメディアからデータを取り出すようにしても構わない。また、メディアの差し替えを行えば、光ディスクドライブ1(34)が光ディスクドライブ2(35)の役割も果たすようなシステム構成でも構わない。
【0056】
(ユーザインタラクションに関する別実施例)
図8で説明した各実施例では、リクエスト受付手段11により外部(ユーザ)からネットワーク経由で処理要求を受け取り、レスポンス通知手段12によりその処理結果をネットワーク経由で返している。すなわち、ユーザと本システムとのインタラクションはネットワーク経由のみとなっている。本発明に係るセキュア電子メディア管理システムがネットワークに接続されずに単体で動作するように実現される場合には、システムとユーザ間のやり取りを以下のようにすることもできる。
【0057】
図11は、本発明の他の実施形態に係るセキュア電子メディア管理システムの一構成例を示す概観図で、ユーザインタラクションに関する別実施例のイメージを説明するための図で、図中、50はこの実施例のセキュア電子メディア管理システムである。
図8で説明したデータメディア登録処理におけるリクエスト受付手段11では、外部からのデータメディア登録要求を受け付けていたが、本実施例のセキュア電子メディア管理システム(しばしば、本システムと略す)50においては、少なくとも図8のシステム30における暗号処理ボード32,プロセッサ33,内部記憶媒体36,プログラム格納媒体37,データメディア用に光ディスクドライブ1(34),セキュリティメディア用に光ディスクドライブ2(35)に対応する構成要素が具備されているものとし、さらに、リクエスト受付手段11としてデータメディア登録ボタン51を設けている。ユーザが本システム50に接続されているデータメディア登録ボタン51を押すことによって、データメディア登録要求を受け付け、ユーザのシステム操作を簡便に行うことを可能としている。
【0058】
同様に、セキュリティメディア作成処理におけるリクエスト受付手段11においても外部からのセキュリティメディア作成要求を受け付けていたが、本実施例のセキュア電子メディア管理システム50におけるリクエスト受付手段11においては、ユーザが本システム50に接続されているセキュリティメディア作成ボタンを押すことによって、セキュリティメディア作成要求を受け付けることを可能としている。なお、図11では、セキュリティメディア作成ボタンは上述のデータメディア登録ボタン51と兼ねたボタンとして示している。要求とともに渡されるべきデータメディアシリアル番号のリストは、本システム50が内部に保持しているすべてのセキュリティファイルに該当するデータメディアシリアル番号のリストとする。
【0059】
さらに、セキュリティメディア更新処理におけるリクエスト受付手段11においても外部からのセキュリティメディア更新要求を受け付けていたが、本実施例のセキュア電子メディア管理システム50におけるリクエスト受付手段11においては、ユーザが本システムに接続されているセキュリティメディア更新ボタン52を押すことによって、セキュリティメディア更新要求を受け付けることを可能としている。
【0060】
さらに、データ検証処理におけるリクエスト受付手段11においても外部からのデータ検証要求を受け付けていたが、本実施例のセキュア電子メディア管理システム50におけるリクエスト受付手段11においては、ユーザが本システム50に接続されているデータ検証ボタン53を押すことによって、データ検証要求を受け付けることを可能としている。要求とともに渡されるべきデータメディアシリアル番号は、次のセキュリティファイル自動判別手段により自動的に取得する。また、要求とともに渡されるべき検証対象(ファイル名)は、データメディア中の全ファイルとする。
【0061】
セキュリティファイル自動判別手段における判別処理では、光ディスクドライブ34にはデータメディアが、光ディスクドライブ35にはそのデータメディアに対応するセキュリティメディアがマウントされていることを想定し、次の(1)〜(7)に基づいてセキュリティファイルを自動的に判別する。
(1)光ディスクドライブ34にマウントされたデータメディアに記録されているすべてのデータ(ファイル)のリストを作成する。
(2)そのファイルリストと内容が一致するセキュリティファイルを、光ディスクドライブ35にマウントされたセキュリティメディアから検索する。勿論、検索を高速化するためにハッシュテーブルを作成して合致するものを探すことが好ましい。
(3)ファイルリストが一致するメディアが複数検索に引っかかってしまった場合には、データメディアからいくつかのファイルを順番又はランダムに読み出す。
(4)そのファイルのハッシュ値を計算する。
(5)検索に引っかかったセキュリティファイルの中のハッシュ値、ファイル名のペアと一致するかどうか確認する。
(6)上述の(3)〜(5)の作業を何回か繰り返すことによって完全に一致するセキュリティファイルを特定する。
(7)一致したセキュリティファイルにファイル名として付与されているものがデータメディアシリアル番号となる。
【0062】
なお、図11においては物理的に各種ボタン51,52,53を設けた例を示しているが、本システム50と接続した表示装置の画面上に各種ボタンに対応する処理を行うためのグラフィカルユーザインターフェイスを設けるよう設計してもよい。勿論、外部からの登録要求を受け付けるための通信ポートを併せて具備してもよい。
【0063】
図11を参照して説明した各実施例を組み合わせることにより、すべてユーザからの入力作業がワンタッチでできるようになる。したがって、上述した説明において「ボタンを押す」と記述したところを、音声による指示で要求が出せるようにすることも、認識しなければならない指示内容が基本的に4種類しかないため比較的容易である。上述の実施例の特徴はボタンを押すことではなく、ワンタッチで指示できるようにしたことである。また、セキュリティファイルの自動判別手段を設けたところも特徴がある。図11で説明した各実施例によれば、外部で作成されたメディア(外部システムで保存されたデータ)であれ、システム内で作成したメディア(システム内に保存されたデータ)であれ、その真正性を確保できるようにしたところであり、さらにはその真正性確保の状態を適切に保つことが可能となる。
【0064】
次に、レスポンス通知手段12に関する別実施例を説明する。
図8で説明したデータメディア登録処理,セキュリティメディア作成処理におけるレスポンス通知手段12においては、外部へそれぞれデータメディア登録結果,セキュリティメディア作成結果を通知していたが、本実施例のセキュア電子メディア管理システム(以下、本システムと略す)におけるレスポンス通知手段12では、それぞれデータメディアシリアル番号,セキュリティメディアシリアル番号を本システム(例えば上述のシステム50)に接続されているステータスモニタ(表示装置)に表示することによって、ユーザにそれぞれデータメディア登録結果,セキュリティメディア作成結果を通知することを可能としている。
【0065】
同様に、セキュリティメディア更新処理におけるレスポンス通知手段12においても外部へセキュリティメディア更新結果を通知していたが、本実施例のセキュア電子メディア管理システムにおけるレスポンス通知手段12では、新しいセキュリティメディアシリアル番号を本システムに接続されているステータスモニタ(表示装置)に表示することによって、ユーザにセキュリティメディア更新結果を通知することを可能としている。
【0066】
さらに、データ検証処理におけるレスポンス通知手段12においても外部へデータ検証結果を通知していたが、本実施例のセキュア電子メディア管理システムにおけるレスポンス通知手段12では、本システムに接続されているステータスモニタ(表示装置)に表示することによって、ユーザにデータ検証結果を通知することを可能としている。
【0067】
上述したレスポンス通知手段12の各実施例によれば、ユーザが特別な操作をせずにユーザに処理結果を通知できる。また、ユーザへの通知についてもステータスモニタに表示するだけでなく、音声による結果通知を行ってもよい。
【0068】
(データ入力に関する別実施例)
図8を参照した各実施例では、セキュリティ保護したい電子データが保存されたデータメディアをセキュア電子メディア管理システムにマウントし、そのデータメディアからハッシュ値を取り出してハッシュリストを作成し、そのハッシュリストを暗号技術で保護してセキュリティメディアに格納するというセキュリティメディア作成処理を説明した。そのため、すでに保護したい電子データはデータメディアという形で光ディスクなどに書き込まれていることを想定していた。勿論このような仕組みであれば、既存のシステムと光ディスクを介して接続できるため、非常に親和性が高く便利である。しかしその一方で、セキュア電子メディア管理システムにも光ディスク書き込み装置が備えられているのに、データメディアを作成するために外部にも別途光ディスク書き込み装置を持たなければならなくなる。したがって、データメディアが光ディスクである必要もなく、図8のシステムにネットワーク接続されたコンピュータ内のハードディスク等の記憶媒体(記憶装置)であっても、その真正性を確保することが可能なシステム、すなわち光ディスクに記録されていない電子データであってもその真正性を確保することが可能なシステムであることが好ましい。さらに、真正性を確保すると同時に光ディスクに書き出すことが可能なシステムが好ましい。
【0069】
そこで、図8で説明したデータメディア登録処理におけるデータ取得手段14の代替手段としてデータメディア作成手段を更に設けた(或いはデータメディア作成手段を備えたデータ取得手段の)別実施例を挙げる。なお、本実施例においてはデータメディアを作成する手順を含んでいるため、先のセキュリティファイル自動判別手段は次のように非常に簡素化可能となる。すなわち、光ディスクドライブ1(34)にはデータメディアが、光ディスクドライブ2(35)にはそのデータメディアに対応するセキュリティメディアがマウントされていることを想定し、(1)光ディスクドライブ1(34)にマウントされたデータメディアからデータメディアシリアル番号を取得し、(2)データメディアシリアル番号が取得できないときは上述したセキュリティファイル自動判別手段で取得する。
【0070】
本実施例におけるデータ取得手段14においては、次の(1)〜(3)に基づきデータを取得する。すなわち、(1)ネットワーク経由で受け取ったデータ(ファイル)を本実施例のセキュア電子メディア管理システム(以下、本システムと略す)の内部記憶媒体に格納する。(2)リクエスト受付手段11でデータメディアの登録が要求されると、内部記憶媒体に格納されているファイルをすべて読み出す。(3)セキュリティファイル作成手段13で得られるデータメディアシリアル番号と先に読み出したファイルを元に、次の(1),(2)に基づくデータメディア作成手段によってデータメディアに書き込む。すなわち、(1)光ディスクドライブ1(34)にマウントされている新しいデータメディアに、受け取ったファイルを書き込み、(2)データメディアにデータメディアシリアル番号をボリューム名として記録する。
【0071】
本実施例においてネットワーク経由でファイルを受け取る最も簡便な方法は、本システムの内部HDDを共有フォルダとしてネットワーク上で共有しておき、普段は自由にネットワーク経由で共有フォルダのアクセスを可能にしておくことである。UNIX(登録商標)のquotaのような仕組みを活用して、共有フォルダに格納できるデータ容量を光ディスク1枚に書き込める容量に制限するということをすれば、ユーザから光ディスクへの書き出しが要求された時点で共有フォルダに格納されている電子データがすべて光ディスクに書き込めるため、余分な処理が必要なく簡便である。
【0072】
また、図8で説明したデータ検証処理におけるデータ取得手段14として、次の(1)〜(5)に基づきデータを取得するようにしてもよい。すなわち、(1)ファックス回線を通してファックスデータを受け取る。(2)受け取ったファックスデータをイメージデータに変換する。(3)イメージデータをファイルとして本システムの内部記憶媒体に格納する。(4)図11で説明したデータメディア登録処理におけるリクエスト受付手段11でデータメディアの登録が要求されると、内部記憶媒体に格納されているファイルをすべて読み出す。(5)データメディア登録処理におけるセキュリティファイル作成手段13で得られるデータメディアシリアル番号と、先に読み出したファイルを元に、上述したデータメディア作成手段によってデータメディアに書き込む。
【0073】
本実施例によれば、ファックスデータを受け取ってそれをデータメディアとしてそのまま記録し、セキュリティファイルでロックをかけるようにすることで、ファックスデータを受け取ったという証拠を本システムにより残すことができるようになる。
【0074】
ここで上述した別実施例の特徴は、ネットワーク経由やファックス経由のデータ入力を実施例として示したことよりも、データメディア作成手段を設けたことである。データメディア作成手段を設けたことで、ユーザは別途光ディスク書き込み装置をもつ必要がなく、また、データメディアにシリアル番号が記載されるため、セキュリティファイルの検索も非常に高速化されて利便性が高まることになる。
【0075】
(セキュリティプロテクトに関する別実施例)
図8を参照した各実施例では、セキュリティファイル作成手段13において、セキュリティファイルを保護する方法として暗号処理ボードで電子署名を計算している。暗号処理ボードを使用することにより、電子署名に使用する秘密鍵を極力漏洩しないように保護しているが、周囲の情報システムの計算能力向上によって秘密鍵が解読されたり、偶然に秘密鍵が暴露されたりすることにより、セキュリティメディアの信頼性が低下してしまう可能性がある。したがって、長期間に亘ってセキュリティメディアを更新していく際に秘密鍵が破られたときの対策(セキュリティ強化)を講じておくことが好ましい。
【0076】
そこで、セキュリティファイル作成手段13として、次の(1)〜(5)に基づいてセキュリティファイルを作成するようにしてもよい(第2のセキュリティファイル作成手段)。すなわち、(1)データ取得手段14で得られた各ファイルに対してそれぞれハッシュ値を計算する。(2)読み出したファイルのファイル名と、計算したハッシュ値のペアを1エントリとするリスト(ハッシュリスト)を作成する。(3)内部記憶媒体からデータメディアシリアル番号を読み出す。(4)データメディアシリアル番号を1増加させて内部記憶媒体に記録する。(5)ハッシュリストに対して、次の改ざん検知コード取得手段により改ざん検知コードを取得し、それをハッシュリストに付与してセキュリティファイルとする。
【0077】
改ざん検知コード取得手段では、次の(1)〜(3)に基づき改ざん検知コードを取得する。すなわち、(1)ハッシュリストに対してハッシュ値を計算し、ハッシュリストハッシュとする。(2)ハッシュリストハッシュを外部の電子公証サービス(Surety社など)にネットワーク経由で送付し、電子公証データ(セキュアタイムスタンプ等)を取得する。(3)取得した電子公証データを改ざん検知コードとする。
【0078】
第2のセキュリティファイル作成手段を使用することで、セキュリティ強度を高めることができる。すなわち、このセキュリティファイル作成手段を使用すると、例えばSurety社が提供するDigital Notaryサービスは、秘密鍵を使用せずに改ざん検知コードとして使用できる安全なタイムスタンプを提供するため、鍵が暴露されることを心配する必要はない。したがって、セキュリティメディア更新処理のような処理そのものが必要なくなる。その上、セキュリティファイルの作成日時が確定されるため、データメディアが存在していた日時を証明するためにも役立てることができる。もちろん他にも例えばDigiStamp社もタイムスタンプサービスを提供しているため、それを利用することも可能である。DigiStamp社の場合にはタイムスタンプとして電子署名技術を応用しているため、有効期限が切れる前にタイムスタンプ自身の更新は行わなければならない。
【0079】
また、上述の第2のセキュリティファイル作成手段において、次の(1)〜(3)に基づく改ざん検知コード取得手段により改ざん検知コードを取得し、セキュリティファイルの作成に使用するようにしてもよい(第3のセキュリティファイル作成手段)。すなわち、(1)ハッシュリストに対して暗号処理ボードに格納されている署名鍵1(認証局1による公開鍵証明書有り)を使用して署名アルゴリズム1により電子署名1を計算する。(2)ハッシュリストに対して暗号処理ボードに格納されている署名鍵2(認証局2による公開鍵証明書有り)を使用して署名アルゴリズム2により電子署名2を計算する。(3)電子署名1と電子署名2を合わせて改ざん検知コードとする。
【0080】
ここでのセキュリティファイル作成手段(第3)を使用すると、二つの署名鍵が同時に暴露される可能性は極めて低くなるため、セキュリティ強度、すなわち安全性を高めることができる。
【0081】
本システムを普通に運用したとき、セキュリティメディア更新処理のような処理を実施しなければならなくなるのは、セキュリティメディアに記録されているセキュリティファイルの電子署名の有効期限が切れる直前ということになる。しかし、有効期限が切れる前に何らかの理由(例えばルート認証局の鍵が暴露されたなど)で、セキュリティファイルを保護していた電子署名に使用していた署名鍵の公開鍵証明書がCRL(Certificate Revocation List)に載ってしまう可能性がある。そのような状況が起こると、図1で説明したセキュリティファイル作成手段13における方法の場合には、セキュリティファイルを保護していた電子署名はもはや信頼できないため、セキュリティメディアの更新ができなくなってしまうことになる。
【0082】
しかし、上述の第3のセキュリティファイル作成手段における方法を用いれば、セキュリティファイルを保護していた2つの署名鍵の公開鍵証明書が両方とも同時にCRLに掲載される可能性は極めて低いため、万が一片方の署名鍵の公開鍵証明書がCRLに掲載された場合には、そのタイミングでセキュリティメディア更新処理を実行することができる。その時点ではもう片方の署名鍵による電子署名は有効であるため、セキュリティメディア更新処理の実行には支障をきたさないようにできる。
【0083】
さらに別のセキュリティプロテクトに関する実施例として、上述の第3のセキュリティファイル作成手段に対応して、データ真正性検証手段21の代替実施例を示す。
図5で説明したデータ検証処理におけるデータ真正性検証手段21として、次の(1)〜(6)に基づくデータ真正性検証手段(第2)でデータの真正性検証を行うようにしてもよい。すなわち、(1)読み出したセキュリティファイルに付与されている改ざん検知コード(電子署名1と電子署名2)を暗号処理ボードにより検証する。(2)少なくとも片方の検証(検証にはCRLの確認も含む)に成功した場合、そのセキュリティファイルに記録されている、外部から指定されたファイル名に対応するハッシュ値を取り出す。(3)読み出したファイルのハッシュ値を計算する。(4)計算したハッシュ値と先に取り出したハッシュ値を比較する。(5)比較して一致すれば検証成功とする。(6)ただし、電子署名1と電子署名2の両方の検証が成功していない場合にはレスポンス通知手段によりセキュリティメディアの更新を促す警告を通知する。
【0084】
さらに別のセキュリティプロテクトに関する実施例として、第3のセキュリティファイル作成手段に対応して、図3で説明したセキュリティ情報更新手段19の代替実施例を示す。
図3で説明したセキュリティメディア更新処理におけるセキュリティ情報更新手段19として、次の(1)〜(5)に基づくセキュリティ情報更新手段(第2)でセキュリティ情報の更新を行うようにしてもよい。すなわち、(1)読み出したセキュリティ情報に含まれる各セキュリティファイルの改ざん検知コード(電子署名1と電子署名2)を、暗号処理ボードを使用して検証する。(2)少なくとも片方の検証に成功したセキュリティファイルのみ、暗号処理ボードで改ざん検知コードを新しい署名鍵で計算しなおしてセキュリティファイルに付与する。(3)内部記憶媒体からセキュリティメディアシリアル番号を読み出す。(4)セキュリティメディアシリアル番号を1増加させて内部記憶媒体に記録する。(5)改ざん検知コードを付与しなおしたセキュリティファイルとセキュリティメディアシリアル番号をまとめてセキュリティ情報とする。
【0085】
さらに、別のセキュリティプロテクトに関する実施例を説明する。
セキュリティメディアを作成するセキュリティメディア作成処理において、図1で説明したセキュリティ情報作成手段16では単にセキュリティメディア番号とセキュリティファイルをまとめてセキュリティ情報としているだけであるが、このセキュリティ情報そのものは保護されていないため、セキュリティメディアに記録されたセキュリティ情報が何者かによって改ざんされる可能性がある。そこで、以下にセキュリティ情報作成手段16の代替手段としてセキュリティ情報作成手段(第3)を示す。
【0086】
本実施例においては、図1で説明したセキュリティメディア作成処理におけるセキュリティ情報作成手段16として、次の(1)〜(4)に基づくセキュリティ情報作成手段(第3)でセキュリティ情報の作成を行う。すなわち、(1)内部記憶媒体からセキュリティメディアシリアル番号を読み出す。(2)セキュリティメディアシリアル番号を1増加させて内部記憶媒体に記録する。(3)セキュリティファイル取得手段17で取得したセキュリティファイルとセキュリティメディアシリアル番号をまとめてセキュリティ情報とする。(4)セキュリティ情報を次のセキュリティ情報保護手段により保護したセキュリティ情報とする。
【0087】
図12は、本発明の他の実施形態に係るセキュア電子メディア管理システムにおけるセキュリティ情報保護処理を詳細に説明するための図で、セキュリティメディアのプロテクトの概念を示す図である。
セキュリティ情報保護手段では、次の(1)〜(5)に基づきセキュリティ情報を保護する。すなわち、(1)セキュリティ情報に含まれる各セキュリティファイル45のファイル名と、そのファイルに含まれる電子署名を一つのエントリとするセキュリティファイルリスト47を作成する。(2)セキュリティ情報に含まれるセキュリティメディア46のシリアル番号を、そのセキュリティファイルリスト47に付与する。(3)セキュリティメディアシリアル番号が付与されたセキュリティファイルリスト48に対して暗号処理ボードで電子署名を計算する。(4)計算した電子署名をセキュリティファイルリスト47に付与する。(5)セキュリティファイルリスト(電子署名付与後のセキュリティファイルリスト48)と元のセキュリティ情報をあわせて新しいセキュリティ情報とする。
これにより、セキュリティメディアに記録されている情報そのものについても不正な改ざんから保護することができる。
【0088】
さらに別のセキュリティプロテクトに関する実施例を説明する。
セキュリティメディアが改ざんされた場合にはそれを検出できるよう、データ検証をするデータ検証処理におけるセキュリティ情報取得手段20の代替手段として、次の(1)〜(4)に基づくセキュリティ情報取得手段(第2)を適用すればよい。すなわち、(1)光ディスクドライブ2(35)にマウントされたセキュリティメディアに記録されているセキュリティ情報のうち、指定されたデータメディアシリアル番号に該当するセキュリティファイルを読み出す。(2)後述するセキュリティ情報検証手段により、セキュリティ情報の検証を行う。(3)検証が成功すれば、先に読み出したセキュリティファイルをそのまま使用する。(4)検証に失敗すれば、レスポンス通知手段12によりユーザにそれを警告する。
【0089】
セキュリティ情報検証手段においては、次の(1)〜(6)に基づきセキュリティ情報を検証する。すなわち、(1)セキュリティメディア内のセキュリティ情報からセキュリティファイルリストを取得する。(2)セキュリティファイルリストに付与されている電子署名を暗号処理ボードにより検証する。(3)検証に成功した場合、指定されたデータメディアシリアル番号に該当するセキュリティファイルリストのエントリを取り出す。(4)取り出したエントリに含まれる、セキュリティファイルの電子署名が、該当するセキュリティファイルに付与されているものと同じかどうか照合する。(5)同じであれば検証成功とする。(6)ここまでの処理に失敗すれば、検証失敗とする。
この実施例で特徴的なのは、セキュリティ情報検証手段を新たに設けたことである。これにより、セキュリティメディアが改ざんされていた場合にはそれを検出することが可能となる。
【0090】
(セキュリティメディアの自動検索に関する別実施例)
上述した各セキュリティファイル自動判別手段によって、正しい組み合わせのデータメディアとセキュリティメディアが本システムにマウントされていれば、自動的に適切なセキュリティファイルを探し出すことが可能である。
しかし現実には、ユーザは中身を読めば分かるデータメディアに比べて中身を読んでもユーザにとっては意味をなさないデータだけが記録されているセキュリティメディアには興味を持たないため、データメディアとセキュリティメディアはいつしかばらばらに扱うようになる。そのため、いざデータメディアの真正性検証を行おうと思っても、そのデータメディアに対応するセキュリティメディアがどれであるか、ばらばらに管理してしまったがために分からなくなってしまうことが予測される。換言すると、既存のデータメディアを元にしてセキュリティメディアを作成するため、セキュリティメディアとデータメディアの関連性を記録することが難しいという問題があった。つまりデータメディアはすでに完成しているために、セキュリティメディアのリンク情報が記録できず、その真正性を確認したいときにどのセキュリティメディアを使用すれば良いのか分からないという問題があった。
【0091】
そこで、セキュリティメディアとデータメディアの関連が不明確にならないよう、データメディアとセキュリティメディアを関連付けることが可能な実施例を以下に説明する。
図1で説明したデータメディア作成手段13のように、データメディアの書き込みを本システムが行っていて、データメディアそのものにデータメディアシリアル番号が記録されていることを前提にできるのであれば、単純にセキュリティメディア作成処理の中で本システム内部記憶媒体にデータメディアシリアル番号とセキュリティメディアシリアル番号を対応付けるテーブルを作成して保存しておけば良いため、何も難しいことはない。しかし、外部で記録され、データメディアシリアル番号が記録されていないデータメディアを使用するケースを考え、以下のような方法でデータメディアシリアル番号とセキュリティメディアシリアル番号の関連付けを行う。
【0092】
セキュリティメディア作成処理において、セキュリティ情報作成手段16の代替手段として、次の(1)〜(4)に基づくセキュリティ情報作成手段によりセキュリティ情報を作成するようにすればよい。すなわち、(1)内部記憶媒体からセキュリティメディアシリアル番号を読み出す。(2)セキュリティメディアシリアル番号を1増加させて内部記憶媒体に記録する。(3)セキュリティファイル取得手段17で取得したセキュリティファイルとセキュリティメディアシリアル番号をまとめてセキュリティ情報とする。(4)後述するセキュリティメディア関連付け手段により関連付けリストを作成する。
【0093】
セキュリティメディア関連付け手段においては、次の(1)〜(4)に基づき関連付けリストを作成する。すなわち、(1)セキュリティファイルからファイルリスト部分のみを取り出す。(2)取り出したファイルリスト部分のハッシュ値を計算してファイルリストハッシュとする。(3)対応するデータメディアシリアル番号と、ファイルリストハッシュと、セキュリティメディアシリアル番号を一つのエントリとする、セキュリティメディア関連付けリストを作成する。(4)セキュリティメディア関連付けリストを内部記憶媒体に記録する。
【0094】
さらに別のセキュリティメディアの自動検索に関する実施例を説明する。
データ検証処理において、リクエスト受付手段11の更に代替手段として、次の(1)〜(4)に基づくリクエスト受付手段によりリクエストを受け付けるとよい。すなわち、(1)ユーザが本システムに接続されているデータ検証ボタンを押すことによって、データ検証要求を受け付ける。(2)光ディスクドライブ1(34)にマウントされているデータメディアについて、後述するセキュリティメディア検索手段により自動的にセキュリティメディアシリアル番号を取得する。(3)により、ユーザにセキュリティメディアシリアル番号を通知し、対応するセキュリティメディアを光ディスクドライブ2(35)にマウントするよう促す。その結果セキュリティメディアが光ディスクドライブ2(35)にマウントされる。(4)セキュリティファイル自動判別手段によりデータメディアシリアル番号を自動的に取得する。また、検証対象(ファイル名)は、データメディア中の全ファイルとする。
【0095】
セキュリティメディア検索手段においては、次の(1)〜(5)に基づいてセキュリティメディア番号を自動的に取得する。すなわち、(1)内部記憶媒体からセキュリティメディア関連付けリストを取得する。(2)データメディアにデータメディアシリアル番号が記録されていれば、それを元にセキュリティメディア関連付けリストから該当するセキュリティメディアシリアル番号を得る。(3)データメディアにデータメディアシリアル番号が記録されていなければ、データメディアからファイルリストを取得する。(4)取得したファイルリストのハッシュ値を計算してファイルリストハッシュとする。(5)そのファイルリストハッシュが一致するセキュリティメディアシリアル番号を得る(複数の可能性有り)。
【0096】
セキュリティ情報作成手段にセキュリティメディア関連付け手段を加え、リクエスト受付手段にセキュリティメディア検索手段を加えたことにより、データメディアシリアル番号が記録されていないデータメディアであっても自動的に対応するセキュリティメディアを探し出すことができるようになり、ユーザの利便性を大きく高める効果がある。
【0097】
また、ユーザから見ればどのデータメディアが本システムにすでに登録されたのかが分からず、場合によっては同じメディアを二重に登録してしまったり、登録したつもりで登録をしていないメディアが存在してしまったりする可能性があったが、上述の実施例により、疑わしいデータメディアを本システムにマウントしてデータ検証ボタンを押せば、そのデータメディアが登録されているかどうかが即座に分かる(登録されていなければセキュリティメディアが検索されず、データ検証ができない)という効果もある。
【0098】
以上、本発明のセキュア電子メディア管理システムにおけるセキュリティメディアの作成、更新、及び検証処理を中心に各実施形態を説明してきたが、本発明は、これらのシステムにおいて実行される各処理の手順を構成要素とするセキュア電子メディア管理方法しても実現可能である。また、本発明は、コンピュータをセキュア電子メディア管理システム(又は該システムの各手段)として機能させるためのプログラム、及び該プログラムを記録したコンピュータ読取り可能な記録媒体としての形態も可能である。
【0099】
本発明によるセキュア電子メディア管理の各処理を実現するためのプログラムやデータを記憶した記録媒体の実施形態を説明する。記録媒体としては、具体的には、CD−ROM、光磁気ディスク、DVD−ROM、FD、フラッシュメモリ、及びその他各種ROMやRAM等が想定でき、これら記録媒体に上述した本発明の各実施形態に係る各処理をコンピュータに実行させ、セキュア電子メディア管理の機能を実現するためのプログラムを記録して流通させることにより、当該機能の実現を容易にする。そしてコンピュータ等の情報処理装置に上記のごとくの記録媒体を装着して情報処理装置によりプログラムを読み出すか、若しくは情報処理装置が備えている記憶媒体に当該プログラムを記憶させておき、必要に応じて読み出すことにより、本発明に係わるセキュア電子メディア管理機能を実行することができる。
【0100】
【発明の効果】
本発明によれば、既に他のシステムによって光ディスクに記録されている電子データやネットワーク経由で外部から受け取った電子データ、さらにはシステム内部で作成した電子データの真正性を維持し、電子データを長期間に渡って安全性を確保しながら電子的な証拠として扱うことが可能となる。さらに、本発明によれば、手間をかけることなく長期に渡る安全性を確保することが可能である。
【図面の簡単な説明】
【図1】 本発明の一実施形態に係るセキュア電子メディア管理システムにおけるセキュリティメディア作成処理を説明するための図である。
【図2】 本発明の一実施形態に係るセキュア電子メディア管理システムにおけるセキュリティメディア作成処理を説明するための図である。
【図3】 本発明の他の実施形態に係るセキュア電子メディア管理システムにおけるセキュリティメディア更新処理を説明するための図である。
【図4】 本発明の他の実施形態に係るセキュア電子メディア管理システムにおけるセキュリティメディア更新処理を説明するための図である。
【図5】 本発明の他の実施形態に係るセキュア電子メディア管理システムにおけるデータ検証処理を説明するための図である。
【図6】 本発明の他の実施形態に係るセキュア電子メディア管理システムにおけるデータ検証処理を説明するための図である。
【図7】 本発明の他の実施形態に係るセキュア電子メディア管理システムの一構成例を示す図である。
【図8】 本発明に係るセキュア電子メディア管理システムの一実施例を示す構成図である。
【図9】 図8のセキュア電子メディア管理システムにおけるセキュリティメディア作成処理の一実施例を説明するための図である。
【図10】 図8のセキュア電子メディア管理システムにおけるセキュリティメディア作成処理の一実施例を説明するための図である。
【図11】 本発明の他の実施形態に係るセキュア電子メディア管理システムの一構成例を示す概観図である。
【図12】 本発明の他の実施形態に係るセキュア電子メディア管理システムにおけるセキュリティ情報保護処理を詳細に説明するための図である。
【符号の説明】
11…リクエスト受付手段、12…レスポンス通知手段、13…セキュリティファイル作成手段、14…データ取得手段、15…セキュリティファイル記録手段、16…セキュリティ情報作成手段、17…セキュリティファイル取得手段、18…セキュリティ情報記録手段、19…セキュリティ情報更新手段、20…セキュリティ情報取得手段、21…データ真正性検証手段、30,50…セキュア電子メディア管理システム、31…通信ポート、32…暗号処理ボード、33…プロセッサ、34…光ディスクドライブ1、35…光ディスクドライブ2、36…内部記憶媒体、37…プログラム格納媒体、38…外部システム、41…データメディア、42…データファイル、43…ハッシュ値、44…ハッシュリスト、45…セキュリティファイル、46…セキュリティメディア、47…セキュリティファイルリスト、48…電子署名付与後のセキュリティファイルリスト、51,52,53…各処理ボタン、M1…データメディア、M2…セキュリティメディア、R1…記憶媒体、R2…内部記憶媒体。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a secure electronic media management system, method, program, and recording medium, and more particularly, security for maintaining the authenticity of electronic data and treating electronic data as electronic evidence for a long period of time. The present invention relates to a secure electronic media management system and method for managing media, a program for causing a computer to function as the system, and a computer-readable recording medium on which the program is recorded.
[0002]
[Prior art]
As information systems are highly developed, there is a growing interest in the security of electronic data. The term security is used in a broad sense. In particular, e-government has technologies that ensure authenticity so that electronic data recorded on media can be treated as evidence, and technologies that ensure storability that can store data for a long period of time. It is also necessary for realization. From the viewpoint of long-term storage of electronic data, it is well known that an optical disk is more suitable than a magnetic disk. Therefore, electronic data to be recorded as a record in various information systems is finally recorded on the optical disk. There are many more.
[0003]
As techniques for recording electronic data as evidence, Japanese Patent Application Laid-Open No. 2000-285024 “Originality Assurance Electronic Storage Method and Device”, Japanese Patent Application Laid-Open No. 2000-339223 “Originality Assurance Electronic Storage Method and Method” are executed on a computer. Computer-readable recording medium on which program to be recorded is recorded ", Japanese Patent Application Laid-Open No. 2001-005728," Originality assurance electronic storage device, originality assurance electronic storage method, and computer-readable recording medium on which program for causing computer to execute the method ""Recordingmedium", Japanese Patent Application Laid-Open No. 2001-147898, "Originality assurance electronic storage method, apparatus and computer-readable recording medium", Japanese Patent Application Laid-Open No. 10-283262, "File system and program storage medium", Oo et al .: Originality Development of guaranteed electronic storage system Realization of this function-, Medical Imaging Technology, Vol.16, No.4, Proceedings of JAMIT Annual Meeting '98 (1998), Kanai et al .: Development of originality assurance electronic storage system-System construction-, Medical Imaging Technology, Vol.16, No.4, Proceedings of JAMIT Annual Meeting '98 (1998), Kokubu et al .: Development of originality-guaranteed electronic storage system, (Special) Published by Information-technology Promotion Agency, Creative Software Development Business and Electronic Commerce Promotion Business Final Results Presentation Proceedings Creative Software Development Project (1998), Kanai: Originality Assured Electronic Storage System, Vol. 34, No. 8, Administration & ADP (1998).
[0004]
The technology described above receives electronic data to be left as evidence from outside, performs processing such as calculating a falsification detection code for the electronic data, and records the falsification detection code on the optical disc together with the received electronic data. Is.
[0005]
[Problems to be solved by the invention]
In the case of these storage systems, in order to leave the electronic data already recorded on the optical disk as evidence, the electronic data is once read from the optical disk, sent to the storage system, and the storage system includes the electronic data together with the falsification detection code. Must be recorded on a new optical disc. In this case, even though electronic data has already been recorded on the optical disk, it has been necessary to perform a useless process of reading it and recording it again on the optical disk.
[0006]
If it is assumed that electronic data is stored for a long period of time, the tampering detection code recorded on the optical disk by the above storage system has a relatively high strength as the calculation capability of the surrounding system increases. There was a problem of lowering. Of course, even in such a case, it is only necessary to replace the tamper detection code with a high strength one, but it is not realistic to recalculate the tamper detection code for each piece of electronic data on each optical disk. That is, there is a problem that it takes time to ensure safety over a long period of time.
[0007]
In addition, message authentication technology, digital signature technology (RSA digital signature PKCS # 1) and electronic notarization technology (Surety's Digital Notary service) are widely known as technologies that can be used to ensure the authenticity of electronic data. Yes. As techniques for ensuring the authenticity of electronic data to be stored using these techniques, the above-mentioned Japanese Patent Laid-Open Nos. 10-283262 and 2000-285024, and further, Japanese Patent Laid-Open No. 10-283264, “ Method of recording data on a plurality of recording media and method of verifying validity of recorded contents ", Japanese Patent Application Laid-Open No. 11-143361" Electronic data storage device, storage system, and storage method ", Japanese Patent Application Laid-Open No. 11-149413," Tampering prevention / File management system having detection function ", Japanese Patent Application Laid-Open No. 2000-13259," Data storage system ", Japanese Patent Application Laid-Open No. 2000-181803," Electronic data storage device with key management function and electronic data storage method " ing.
[0008]
However, all of these techniques can ensure authenticity only for electronic data stored in the system main body that ensures authenticity.
[0009]
The present invention has been made in view of the above circumstances, and secure electronic that maintains the authenticity of electronic data and can handle electronic data as electronic evidence while ensuring safety over a long period of time. It is an object of the present invention to provide a media management system and method, a program for causing a computer to function as the system, and a computer-readable recording medium on which the program is recorded.
[0010]
In addition, the present invention maintains the authenticity of electronic data already recorded on an offline medium such as an optical disk by another system, electronic data received from the outside via a network, and electronic data created inside the system, Secure electronic media management system and method for allowing electronic data to be handled as electronic evidence while ensuring safety over a long period of time, and a program for causing a computer to function as the system, and the program recorded An object is to provide a computer-readable recording medium.
[0011]
Furthermore, the present invention provides a secure electronic media management system, method, and computer as the system capable of appropriately maintaining the state of authenticity when updating security media over a long period of time. It is another object of the present invention to provide a functioning program and a computer-readable recording medium on which the program is recorded.
[0012]
Furthermore, the present invention provides a secure electronic media management system, method, and further, as a system capable of confirming the relationship between security media and data media when creating security media based on existing data media. Another object is to provide a program for causing a computer to function and a computer-readable recording medium on which the program is recorded.
[0013]
[Means for Solving the Problems]
The invention of claim 1 is a secure electronic media management system for ensuring the authenticity of data, comprising a request receiving means for receiving a request from a user, and target data. From storage media Data acquisition means for acquiring; Calculating means for calculating a hash value from the data; To protect the data The file name of the data and the hash value Security file creation means for creating a security file comprising: security information creation means for creating security information by collecting one or more of the security files; and Different from the storage medium Security information recording means for recording on security media and response notification means for notifying the user of processing results Was it It is characterized by.
[0014]
According to a second aspect of the present invention, in the first aspect of the invention, the data acquisition unit further includes a data medium creation unit that records the data acquired by the data acquisition unit on a data medium to create a data medium. .
[0015]
The invention of claim 3 is the invention of claim 1 or 2, further comprising security information protection means for protecting the security information created by the security information creation means.
[0016]
According to a fourth aspect of the present invention, in the invention according to any one of the first to third aspects, the target information protected by the security information created by the security information creating means is recorded by the security information recording means. The present invention is characterized by further comprising security media association means for creating information for associating the created security media.
[0017]
The invention of claim 5 is the invention according to any one of claims 1 to 4, wherein the security file creation means protects the data using notarized data acquired from the outside. is there.
[0018]
According to a sixth aspect of the present invention, in any one of the first to fifth aspects, the security file creating means protects the data using a plurality of electronic signatures generated using a plurality of keys. It is characterized by that.
[0019]
The invention of claim 7 is a secure electronic media management system for assuring the authenticity of data, and includes a request reception means for receiving a request from a user, and security information acquisition for acquiring security information from a security medium to be updated. Means, security information updating means for updating the security information to new security information, security information recording means for recording the new security information on the security medium or new security media, and response notification means for notifying the user of the processing result And updating the security media.
[0020]
According to an eighth aspect of the present invention, in the invention of the seventh aspect, the security information updating means for the security file created using a plurality of electronic signatures generated by using a plurality of keys for protecting data. Is characterized in that the security information is updated assuming that the verification of the security information is successful by successfully verifying at least one of the plurality of electronic signatures.
[0021]
The invention of claim 9 is a secure electronic media management system for ensuring the authenticity of data, comprising: a request receiving means for receiving a request from a user; From storage media Data acquisition means for acquiring; Security file from media Security file acquisition means for acquiring data authenticity verification means for verifying the authenticity of the data by the security file, and response notification means for notifying the user of the processing result, The security file includes a file name of data and a hash value calculated from the data It is characterized by that.
[0022]
The invention of claim 10 is the invention of claim 9, further comprising automatic security file discrimination means for automatically discriminating a security file corresponding to data to be verified from security media. It is.
[0023]
The invention of claim 11 further comprises security information verification means for verifying the authenticity of the security information recorded on the security medium when the security file is acquired by the security file acquisition means in the invention of claim 9 or 10. It is characterized by having provided.
[0024]
The invention of claim 12 is the invention according to any one of claims 9 to 11, wherein the target data protected by the security information created by the security information creating means, the security media created by the security information recording means, Security media association means for creating information for associating the security media, and security media retrieval means for retrieving security media corresponding to the data from the data to be verified based on the association information created by the security media association means It is characterized by having provided.
[0025]
According to a thirteenth aspect of the present invention, in the invention according to any one of the ninth to twelfth aspects, a security file created using a plurality of electronic signatures generated by using a plurality of keys to protect data. The data authenticity verification means is characterized in that data verification is considered successful by successfully verifying at least one of the plurality of electronic signatures.
[0030]
Claim 1 4 The invention of claim 1 to 1 3 A program for causing a computer to function as each means of the secure electronic media management system according to any one of the above or as each means of the system.
[0031]
Claim 1 5 The invention of claim 1 4 A computer-readable recording medium on which the described program is recorded.
[0032]
DETAILED DESCRIPTION OF THE INVENTION
1 and 2 are diagrams for explaining security media creation processing in a secure electronic media management system according to an embodiment of the present invention.
A secure electronic media management system (often abbreviated as this system) according to the present embodiment is a system for ensuring the authenticity of electronic data (hereinafter simply referred to as data). In the present system, processing for creating security media for ensuring data authenticity includes data media registration processing and security media creation processing based on the data media registration processing.
[0033]
In the data media registration process, first, a request for data media registration from the user is received by the request receiving means 11 for receiving various processing requests from the user such as a data media registration request and a security media creation request (step S1). ), Data to be protected (data to be registered) is acquired by the data acquisition means 14 (step S2). For example, the data is acquired from the data medium M1 or the storage medium R1 via the network, or from the data medium M1 mounted in the system or the storage medium R1 in the system. The security file creation means 13 creates a security file for protecting the acquired data (step S3). The created security file may actually be recorded on the internal storage medium R2 in the system by the security file recording means 15.
[0034]
In the security media creation process, first, the security information creation means 16 collects one or more security files to create security information (step S4). Actually, one or a plurality of corresponding security files stored in the internal storage medium R2 are acquired by the security file acquisition means 17, and the security information generation means 16 generates security information. The security information recording means 18 records the security information on the security medium M2 (step S5). Further, the response notification means 12 for notifying the user of various processing results notifies the user of the processing results (step S6).
[0035]
3 and 4 are diagrams for explaining security media update processing in a secure electronic media management system according to another embodiment of the present invention.
A secure electronic media management system (hereinafter abbreviated as “this system”) according to the present embodiment is a system for ensuring the authenticity of data. In this system, it is assumed that security media update processing for ensuring the authenticity of data can be executed. For convenience, the request accepting unit 11, the response notifying unit 12, and the security information recording unit 18 in FIG. 1 are used in the description of the present embodiment, but each unit corresponding to the present system is a unit different from the system in FIG. You may provide as.
[0036]
In the security media update process in this system, when a security media update request is received from the user by the request receiving unit 11 (step S11), first, security information is acquired from the security media M2 to be updated by the security information acquiring unit 20. (Step S12). The security information updating means 19 updates the security information to new security information (step S13), and the security information recording means 18 records the new security information on the acquisition source security medium M2 or new security media (step S14). ). Further, the response notification means 12 notifies the user of the processing result (step S15).
[0037]
5 and 6 are diagrams for explaining data verification processing in the secure electronic media management system according to another embodiment of the present invention.
A secure electronic media management system (hereinafter abbreviated as “this system”) according to the present embodiment is a system for ensuring the authenticity of data. In this system, it is assumed that data verification processing for ensuring the authenticity of data can be executed. For convenience, the request accepting unit 11, the response notifying unit 12, the data acquiring unit 14, and the security information acquiring unit 20 in FIG. 3 are incorporated in the description of the present embodiment. 1, it may be provided as a means different from the system of FIG.
[0038]
In the data verification process in this system, when a request for data verification from the user is received by the request receiving means 11 (step S21), target data and a security file are acquired (steps S22 and S23). The security file is acquired from the security medium M2 by security file acquisition means (actually, the security information acquisition means 20 acquires the security file in the security information). On the other hand, target data is acquired by the data acquisition means 14. For example, the data is acquired from the data medium M1 or the storage medium R1 via the network, or from the data medium M1 mounted in the system or the storage medium R1 in the system. The data authenticity verification means 21 verifies the authenticity of the acquired data with the security file (step S24). Further, the response notification means 12 notifies the user of the processing result (step S25).
[0039]
FIG. 7 is a diagram showing a configuration example of a secure electronic media management system according to another embodiment of the present invention.
The secure electronic media management system according to the present embodiment is a system that combines any one of the above-described embodiments. For example, when all are combined, at least the request reception unit 11, the response notification unit 12, and the security file Creation means 13, data acquisition means 14, security file recording means 15, security information creation means 16, security file acquisition means 17, security information recording means 18, security information update means 19, security information acquisition means 20, data authenticity verification means 21 will be included. Detailed description regarding each means is omitted.
[0040]
(Example)
FIG. 8 is a block diagram showing an embodiment of a secure electronic media management system according to the present invention. In FIG. 8, 30 is a secure electronic media management system (hereinafter abbreviated as this system), and 38 is a network ( An external system such as an end user terminal or a business server device connected by a general communication path). The secure electronic media management system 30 includes a communication port 31 that is an interface unit for communicating with an external system 38 via a communication network, a cryptographic processing board 32 that verifies an electronic signature of a security file, and portable data. An optical disk drive 1 (34) and an optical disk drive 2 (35) as an example of a drive device for driving a storage medium, an internal storage medium 36 such as an EEPROM or HDD, and a program storage medium 37 such as a ROM or HDD are provided. .
[0041]
The communication port 31 is a port for transmitting / receiving an instruction of the above-described data media registration processing, security media creation processing, security media update processing, data verification processing, and the like and notification of the processing results to and from the external system 38. .
[0042]
The program storage medium 37 is a memory storing various programs such as a main control program and an electronic media management program according to the present invention, and actually programs for causing the system to function as each means described above or described later. It consists of a rewritable EEPROM or a read-only ROM. The processor 33 is a control device that reads and executes various programs stored in the program storage medium 37. The internal storage medium 36 is a memory composed of an EEPROM or the like that stores parameters necessary for executing various programs and further stores a security file, a serial number, and the like.
[0043]
An example of the cryptographic processing board 32 is MISTYKEYPER from Mitsubishi Electric. Basically, a public key cryptosystem key pair can be generated inside the board, the key pair can be held inside the board, and a public key certificate issued externally to the key pair can be stored. It can be held inside the board, and the key can be used to perform cryptographic processing inside the board, and the generated private key cannot be read out outside, and the board itself is physically tamper resistant Assuming something like that.
[0044]
In the secure electronic media management system 30 shown in FIG. 8, a cryptographic processing board 32 for performing cryptographic processing is incorporated, and key generation, key storage, encryption, and decryption processing are performed by the cryptographic processing board 32. Alternatively, a key generation program, an encryption program, a decryption program, and the like may be stored in the processor 33 and executed by the processor 33. At that time, it is preferable to securely store the private key of the public key pair generated by the key generation program or externally using hardware such as the cryptographic processing board 32 inside the hardware.
[0045]
Prior to performing various processes in response to external requests in this system, the cryptographic processing board 32 has already generated a public key encryption key pair internally, and the public key of the generated key pair It is assumed that a public key certificate issued externally is held internally. Furthermore, it is assumed that an electronic signature can be generated using a secret key among the generated key pairs, and the electronic signature can be verified using a public key.
[0046]
9 and 10 are diagrams for explaining an embodiment of the security media creation process in the secure electronic media management system of FIG. Hereinafter, the present embodiment will be described in detail based on the respective means shown in FIG. 1 with reference to FIGS.
In the data medium registration process, the optical disk (data medium 41) is loaded in the optical disk drive 1 (34). When the request receiving means 11 receives a request for data media registration processing from the user using the external system 38 via the network, it is first recorded on the data medium 41 mounted on the optical disc drive 1 (34) by the data acquiring means 14. All the electronic data (files) 42 to be protected are read out. Next, the security file creation unit 13 creates a security file 45 for the acquired data file 42 based on the following (1) to (5). That is, (1) a hash value 43 is calculated for each file 42 obtained by the data acquisition means 14. (2) A list (hash list) 44 is created in which the pair of the file name of the read file 42 and the calculated hash value 43 is one entry (hash entry). (3) Read the data media serial number from the internal storage medium 36. (4) The data media serial number is incremented by 1 and recorded in the internal storage medium 36. (5) An electronic signature is calculated for the hash list 44 using a secret key held in the system (here, the cryptographic processing board 32), and the electronic signature is assigned by the hash list 44. To do.
[0047]
The security file 45 created by the security file creation unit 13 is recorded on the internal storage medium 36 by the security file recording unit 15 with the file name including the data media serial number. Thereafter, the response notification means 12 notifies the data media serial number to the outside (request source) via the network as a data media registration result. As will be described later in the embodiment, the request source records the notified data media serial number as electronic data on the data media 41, or prints it as a label on the surface of the data media 41, or an external database. It is preferable to associate the data medium 41 with the data medium serial number, for example, by managing in the above.
[0048]
In the process of recording the security file 45 recorded on the internal storage medium 36 on the security medium 46, a new optical disk (security medium) 46 is mounted in the optical disk drive 2 (35). First, the request receiving means 11 receives a list of data media serial numbers from the user using the external system 38 together with a security media creation request via the network. The security file acquisition unit 17 reads and acquires the security file 45 corresponding to the data media serial number included in the list received by the request reception unit 11 from the internal storage medium 36. The security information creating means 16 creates security information based on the following (1) to (3). (1) The security media serial number is read from the internal storage medium 36. (2) The security media serial number is incremented by 1 and recorded in the internal storage medium 36. (3) The security file 45 and the security media serial number acquired by the security file acquisition unit 17 are collectively used as security information. The created security information is recorded on the security medium 46 mounted on the optical disc drive 2 (35) by the security information recording means 18. The response notification means 12 notifies the user who uses the external system 38 of the security media serial number as a security media creation result via the network. The security file 45 may also be represented with a serial number.
[0049]
An embodiment of the security media update process in the secure electronic media management system of FIG. 8 will be described in detail based on each means of FIG.
Security media may be updated to ensure authenticity over a long period of time. To perform the security media update process of this embodiment, first, the security media to be updated in the optical disc drive 1 (34) and the new optical disc in the optical disc drive 2 (35) are respectively loaded.
In this state, the request receiving unit 11 receives a security media update request from the user who uses the external system 38 via the network, and the security information acquisition unit 20 uses the security to be updated mounted on the optical disc drive 1 (34). Read all security information from the media. The security information update unit 19 updates the security information acquired based on the following (1) to (5) to create new security information. That is, (1) the digital signature of each security file included in the read security information is verified using the cryptographic processing board 32. (2) Only the security file that has been successfully verified is recalculated by the cryptographic processing board 32 and added to the security file. (3) Read the security media serial number from the internal storage medium 36. (4) The security media serial number is incremented by 1 and recorded in the internal storage medium 36. (5) The security file to which the electronic signature has been reassigned and the security media serial number are put together as security information. This new security information is recorded on a new security medium mounted on the optical disc drive 2 (35) by the security information recording means 18. The response notification means 12 notifies the user who uses the external system 38 of a new security media serial number as a security media update result via the network.
[0050]
This update process is mainly performed when the encryption algorithm is changed to a new one with higher strength. Before this process is performed, a new encryption processing board is installed in the system to support the new encryption algorithm. It is assumed that In the new cryptographic processing board, a public key certificate corresponding to the secret key used in the old cryptographic processing board is recorded.
[0051]
In the case of this method, the hash value included in the security file is not updated, but compared to decrypting the private key used to calculate the electronic signature, it has the same hash value It's okay to create electronic data because it is much more difficult.
[0052]
An embodiment of the data verification process in the secure electronic media management system of FIG. 8 will be described in detail based on each means of FIG.
The created security media can be used in this system, but can also be used externally. By publishing the specifications of the security file recorded on the security media, it is possible to verify the authenticity of data in the data media even outside using a public key cryptosystem. Here, the processing in the case where the authenticity of the data medium is performed in this system will be described. Basically, processing is also the same outside.
[0053]
In order to perform the data verification processing in this embodiment, first, a data medium to be verified is mounted on the optical disk drive 1 (34), and a security medium corresponding to the data medium is mounted on the optical disk drive 2 (35).
In this state, the request receiving means 11 receives a file name and a data media serial number along with a data verification request from a user using the external system 38 via the network. Next, the security information corresponding to the designated data media serial number is read out from the security information recorded on the security media mounted on the optical disc drive 2 (35) by the security information acquisition means 20. The data acquisition unit 14 reads out a file having a specified file name (protected target data) from the data medium mounted on the optical disc drive 1 (34). The data authenticity verification means 21 verifies the authenticity of the target data (file) based on the following (1) to (5). That is, (1) the digital signature attached to the read security file is verified by the cryptographic processing board 32. (2) When the verification is successful, the hash value corresponding to the file name specified from the outside recorded in the security file is extracted, and when the verification fails, an error is notified to the outside (request source). . (3) The hash value of the read file is calculated. (4) Compare the calculated hash value with the previously extracted hash value. (5) If the comparison results in a match, the authenticity verification is successful, and if the hash values are different, an error is determined. The response notification unit 12 notifies the user who uses the external system 38 of the data verification result via the network.
[0054]
The calculation method, the adding method, and the verification method of the electronic signature may be performed in accordance with a standard such as PKCS # 7 (Public Key Cryptography Standard). In addition, it is assumed that all the upper certificate is recorded in the electronic signature data.
[0055]
As can be seen from the above description, in the system configuration example of FIG. 8, the optical disc drive 1 (34) is used only for reading data media and security media. Therefore, instead of a data media drive directly connected to the secure electronic media management system of the present invention, for example, data is taken out from a data media attached to another system (for example, a media jukebox) via a network. It doesn't matter. Further, a system configuration in which the optical disk drive 1 (34) also serves as the optical disk drive 2 (35) may be used as long as the medium is replaced.
[0056]
(Another embodiment regarding user interaction)
In each embodiment described with reference to FIG. 8, the request receiving unit 11 receives a processing request from the outside (user) via the network, and the response notifying unit 12 returns the processing result via the network. That is, the interaction between the user and this system is only via the network. When the secure electronic media management system according to the present invention is implemented so as to operate alone without being connected to the network, the exchange between the system and the user can be performed as follows.
[0057]
FIG. 11 is an overview diagram showing an example of the configuration of a secure electronic media management system according to another embodiment of the present invention. FIG. 11 is a diagram for explaining an image of another example regarding user interaction. 1 is a secure electronic media management system according to an embodiment.
The request receiving means 11 in the data media registration process described with reference to FIG. 8 accepts an external data media registration request. However, in the secure electronic media management system (often abbreviated as this system) 50 of this embodiment, Configuration corresponding to at least the cryptographic processing board 32, the processor 33, the internal storage medium 36, the program storage medium 37, the optical disk drive 1 (34) for data media, and the optical disk drive 2 (35) for security media in the system 30 of FIG. In addition, a data media registration button 51 is provided as the request receiving means 11. When the user presses the data media registration button 51 connected to the system 50, the data media registration request is accepted, and the user can easily perform the system operation.
[0058]
Similarly, the request accepting unit 11 in the security media creating process accepts an external security media creation request. However, in the request accepting unit 11 in the secure electronic media management system 50 of the present embodiment, the user receives the system 50. It is possible to accept a security media creation request by pressing a security media creation button connected to. In FIG. 11, the security media creation button is shown as a button that also functions as the data media registration button 51 described above. The list of data media serial numbers to be passed along with the request is a list of data media serial numbers corresponding to all security files stored in the system 50.
[0059]
Further, the request receiving unit 11 in the security media update process also receives an external security media update request. However, in the request receiving unit 11 in the secure electronic media management system 50 of this embodiment, the user connects to this system. By pressing a security media update button 52, a security media update request can be accepted.
[0060]
Further, the request receiving unit 11 in the data verification process also receives an external data verification request. However, in the request receiving unit 11 in the secure electronic media management system 50 of this embodiment, the user is connected to the system 50. A data verification request can be received by pressing the data verification button 53. The data media serial number to be passed along with the request is automatically acquired by the following security file automatic discrimination means. Further, the verification target (file name) to be passed with the request is all files in the data medium.
[0061]
In the discrimination process in the security file automatic discrimination means, it is assumed that a data medium is mounted on the optical disk drive 34 and a security medium corresponding to the data medium is mounted on the optical disk drive 35, and the following (1) to (7) ) To automatically determine the security file.
(1) A list of all data (files) recorded on the data medium mounted on the optical disk drive 34 is created.
(2) A security file whose contents match the file list is searched from the security media mounted on the optical disc drive 35. Of course, in order to speed up the search, it is preferable to create a hash table and search for a match.
(3) When a plurality of media with matching file lists are caught in a search, several files are sequentially or randomly read from the data media.
(4) The hash value of the file is calculated.
(5) Check whether the hash value and file name pair in the security file caught in the search match.
(6) A completely matching security file is specified by repeating the above operations (3) to (5) several times.
(7) The data media serial number is given to the matched security file as the file name.
[0062]
Although FIG. 11 shows an example in which various buttons 51, 52, 53 are physically provided, a graphical user for performing processing corresponding to the various buttons on the screen of a display device connected to the system 50. It may be designed to provide an interface. Of course, a communication port for accepting an external registration request may also be provided.
[0063]
By combining the embodiments described with reference to FIG. 11, all input operations from the user can be performed with one touch. Therefore, it is relatively easy to make it possible to issue a request with a voice instruction in place of “pressing a button” in the above description because there are basically only four types of instruction contents to be recognized. is there. A feature of the above-described embodiment is that an instruction can be given by one touch instead of pressing a button. Another feature is that automatic security file discrimination means is provided. According to each embodiment described with reference to FIG. 11, whether it is an externally created medium (data saved in an external system) or a media created in the system (data saved in the system), its authenticity It is possible to ensure the authenticity, and it is possible to appropriately maintain the state of authenticity.
[0064]
Next, another embodiment relating to the response notification means 12 will be described.
The response notifying means 12 in the data media registration process and the security media creation process described in FIG. 8 notifies the data media registration result and the security media creation result to the outside, respectively, but the secure electronic media management system of this embodiment In the response notification means 12 (hereinafter abbreviated as “this system”), the data media serial number and the security media serial number are respectively displayed on a status monitor (display device) connected to this system (for example, the system 50 described above). Thus, it is possible to notify the user of the data media registration result and the security media creation result, respectively.
[0065]
Similarly, the response notification means 12 in the security media update processing also notifies the security media update result to the outside. However, in the response notification means 12 in the secure electronic media management system of the present embodiment, the new security media serial number is entered. By displaying on a status monitor (display device) connected to the system, it is possible to notify the user of the security media update result.
[0066]
Further, the response notification means 12 in the data verification processing also notifies the data verification result to the outside. However, the response notification means 12 in the secure electronic media management system of this embodiment uses the status monitor ( By displaying on the display device, it is possible to notify the user of the data verification result.
[0067]
According to each embodiment of the response notification unit 12 described above, the user can be notified of the processing result without performing a special operation. In addition, the notification to the user is not only displayed on the status monitor, but the result may be notified by voice.
[0068]
(Another embodiment regarding data input)
In each embodiment shown in FIG. 8, a data medium storing electronic data to be secured is mounted on a secure electronic media management system, a hash value is extracted from the data medium, and a hash list is created. We explained the security media creation process that protects with cryptographic technology and stores it in the security media. For this reason, it has been assumed that electronic data to be protected has already been written on an optical disk or the like in the form of a data medium. Of course, such a mechanism can be connected to an existing system via an optical disk, and is very convenient and highly compatible. However, on the other hand, the secure electronic media management system is also equipped with an optical disk writing device, but in order to create a data medium, an external optical disk writing device must also be provided. Therefore, the data medium need not be an optical disk, and even if it is a storage medium (storage device) such as a hard disk in a computer connected to the system of FIG. That is, it is preferable that the system can ensure the authenticity of electronic data that is not recorded on the optical disc. Furthermore, a system that can ensure authenticity and simultaneously write to an optical disc is preferable.
[0069]
Therefore, another embodiment in which a data media creating means is further provided (or a data obtaining means having a data media creating means) as an alternative means of the data obtaining means 14 in the data media registration process described in FIG. Since the present embodiment includes a procedure for creating a data medium, the security file automatic discrimination means can be greatly simplified as follows. That is, it is assumed that a data medium is mounted on the optical disk drive 1 (34) and a security medium corresponding to the data medium is mounted on the optical disk drive 2 (35), and (1) the optical disk drive 1 (34) A data medium serial number is acquired from the mounted data medium. (2) When the data medium serial number cannot be acquired, it is acquired by the security file automatic discrimination means described above.
[0070]
The data acquisition means 14 in the present embodiment acquires data based on the following (1) to (3). That is, (1) data (file) received via the network is stored in the internal storage medium of the secure electronic media management system (hereinafter abbreviated as this system) of this embodiment. (2) When registration of the data medium is requested by the request receiving means 11, all the files stored in the internal storage medium are read out. (3) Based on the data media serial number obtained by the security file creation means 13 and the previously read file, the data media creation means based on the following (1) and (2) are written to the data medium. That is, (1) the received file is written to a new data medium mounted on the optical disk drive 1 (34), and (2) the data medium serial number is recorded as a volume name on the data medium.
[0071]
In this embodiment, the simplest method for receiving a file via the network is to share the internal HDD of the system as a shared folder on the network, and usually allow the shared folder to be freely accessed via the network. It is. By using a mechanism such as UNIX (registered trademark) quota to limit the data capacity that can be stored in the shared folder to the capacity that can be written to one optical disk, when the user requests writing to the optical disk Since all the electronic data stored in the shared folder can be written on the optical disc, no additional processing is required and it is simple.
[0072]
Further, data may be acquired based on the following (1) to (5) as the data acquisition means 14 in the data verification process described with reference to FIG. (1) Fax data is received through a fax line. (2) Convert the received fax data into image data. (3) Store the image data as a file in the internal storage medium of the system. (4) When registration of the data medium is requested by the request receiving means 11 in the data medium registration process described with reference to FIG. 11, all the files stored in the internal storage medium are read out. (5) Based on the data media serial number obtained by the security file creation means 13 and the previously read file in the data media registration process, the data media creation means writes the data media.
[0073]
According to this embodiment, by receiving the fax data, recording it as a data medium as it is, and locking it with a security file, the system can leave evidence that the fax data has been received. Become.
[0074]
The feature of the other embodiment described above is that a data medium creating means is provided rather than data input via a network or fax being shown as an embodiment. By providing the data media creation means, the user does not need to have a separate optical disk writing device, and since the serial number is written on the data media, the search for the security file is greatly accelerated and the convenience is increased. It will be.
[0075]
(Another embodiment regarding security protection)
In each embodiment with reference to FIG. 8, the security file creation means 13 calculates an electronic signature with a cryptographic processing board as a method of protecting the security file. By using a cryptographic processing board, the private key used for electronic signatures is protected from leaking as much as possible, but the private key is decrypted due to the improvement of the computing power of the surrounding information system, or the private key is revealed by chance. In some cases, the reliability of security media may be reduced. Therefore, it is preferable to take measures (security enhancement) when the secret key is broken when updating the security media over a long period of time.
[0076]
Therefore, the security file creation means 13 may create a security file based on the following (1) to (5) (second security file creation means). That is, (1) a hash value is calculated for each file obtained by the data acquisition means 14. (2) A list (hash list) is created in which a pair of the file name of the read file and the calculated hash value is one entry. (3) Read the data media serial number from the internal storage medium. (4) The data media serial number is incremented by 1 and recorded on the internal storage medium. (5) For the hash list, the falsification detection code is acquired by the next falsification detection code acquisition means, and it is added to the hash list to form a security file.
[0077]
The falsification detection code acquisition means acquires the falsification detection code based on the following (1) to (3). That is, (1) a hash value is calculated for a hash list to obtain a hash list hash. (2) Hash list A hash is sent to an external electronic notary service (such as Surety) via a network to obtain electronic notary data (such as a secure time stamp). (3) The acquired electronic notary data is used as a falsification detection code.
[0078]
By using the second security file creation means, the security strength can be increased. That is, when this security file creation means is used, the Digital Notify service provided by, for example, Surety provides a safe time stamp that can be used as a falsification detection code without using a secret key, so that the key is exposed. There is no need to worry about. Accordingly, processing itself such as security media update processing is not necessary. In addition, since the creation date and time of the security file is fixed, it can be used to prove the date and time when the data medium existed. Of course, for example, DigiStamp also provides a time stamp service, which can be used. In the case of DigiStamp, electronic signature technology is applied as a time stamp, so the time stamp itself must be updated before the expiration date.
[0079]
Further, in the second security file creation means described above, the falsification detection code may be acquired by the falsification detection code acquisition means based on the following (1) to (3) and used for the creation of the security file ( Third security file creation means). That is, (1) the digital signature 1 is calculated by the signature algorithm 1 using the signature key 1 (with the public key certificate by the certificate authority 1) stored in the cryptographic processing board for the hash list. (2) The digital signature 2 is calculated by the signature algorithm 2 using the signature key 2 (with the public key certificate by the certificate authority 2) stored in the cryptographic processing board for the hash list. (3) The electronic signature 1 and the electronic signature 2 are combined into a falsification detection code.
[0080]
If the security file creation means (third) here is used, the possibility that the two signature keys are exposed at the same time becomes extremely low, so that the security strength, that is, the safety can be increased.
[0081]
When this system is operated normally, processing such as security media update processing must be performed just before the expiration date of the electronic signature of the security file recorded on the security media. However, the public key certificate of the signing key used for the electronic signature that protected the security file for some reason (for example, the key of the root certificate authority was exposed) before the expiration date expires, CRL (Certificate (Revocation List). When such a situation occurs, in the case of the method in the security file creation means 13 described with reference to FIG. 1, the security signature cannot be renewed because the electronic signature that protected the security file is no longer reliable. become.
[0082]
However, if the method in the third security file creation means described above is used, it is extremely unlikely that both public key certificates of the two signature keys that protected the security file will be posted on the CRL at the same time. When the public key certificate of one signature key is posted on the CRL, the security media update process can be executed at that timing. At that time, the electronic signature using the other signature key is valid, so that the execution of the security media update process can be prevented.
[0083]
As still another embodiment relating to security protection, an alternative embodiment of the data authenticity verification means 21 corresponding to the above-described third security file creation means will be shown.
As the data authenticity verification means 21 in the data verification processing described with reference to FIG. 5, data authenticity verification may be performed by data authenticity verification means (second) based on the following (1) to (6). . That is, (1) The tampering detection code (electronic signature 1 and electronic signature 2) given to the read security file is verified by the cryptographic processing board. (2) When at least one of the verifications (including verification of CRL in verification) is successful, the hash value corresponding to the file name specified from the outside recorded in the security file is extracted. (3) The hash value of the read file is calculated. (4) Compare the calculated hash value with the previously extracted hash value. (5) If the comparison results in a match, the verification is successful. (6) However, if the verification of both the electronic signature 1 and the electronic signature 2 is not successful, a warning notifying the security media to be updated is notified by the response notification means.
[0084]
As still another embodiment relating to security protection, an alternative embodiment of the security information updating means 19 described with reference to FIG. 3 is shown corresponding to the third security file creating means.
As the security information update unit 19 in the security media update process described with reference to FIG. 3, the security information update unit (second) based on the following (1) to (5) may be used to update the security information. That is, (1) the alteration detection code (electronic signature 1 and electronic signature 2) of each security file included in the read security information is verified using the cryptographic processing board. (2) Only a security file that has been successfully verified at least one of them is recalculated with a new signature key on the cryptographic processing board and assigned to the security file. (3) Read the security media serial number from the internal storage medium. (4) The security media serial number is incremented by 1 and recorded on the internal storage medium. (5) The security file to which the alteration detection code has been reassigned and the security media serial number are collected as security information.
[0085]
Further, another embodiment relating to security protection will be described.
In the security media creation process for creating the security media, the security information creation means 16 described with reference to FIG. 1 simply collects the security media number and the security file as security information, but the security information itself is not protected. Therefore, there is a possibility that the security information recorded on the security media is altered by someone. Therefore, security information creating means (third) is shown below as an alternative to the security information creating means 16.
[0086]
In this embodiment, as the security information creation means 16 in the security media creation process described in FIG. 1, security information creation means (third) based on the following (1) to (4) creates security information. (1) The security media serial number is read from the internal storage medium. (2) The security media serial number is incremented by 1 and recorded on the internal storage medium. (3) The security file acquired by the security file acquisition means 17 and the security media serial number are collected as security information. (4) Security information is security information protected by the following security information protection means.
[0087]
FIG. 12 is a diagram for explaining security information protection processing in a secure electronic media management system according to another embodiment of the present invention in detail, and is a diagram showing the concept of security media protection.
The security information protection means protects the security information based on the following (1) to (5). That is, (1) a security file list 47 is created, in which the file name of each security file 45 included in the security information and the electronic signature included in the file are one entry. (2) The serial number of the security medium 46 included in the security information is assigned to the security file list 47. (3) The digital signature is calculated by the encryption processing board for the security file list 48 to which the security media serial number is assigned. (4) Assign the calculated electronic signature to the security file list 47. (5) The security file list (security file list 48 after the electronic signature is added) and the original security information are combined into new security information.
Thereby, the information itself recorded on the security media can be protected from unauthorized tampering.
[0088]
Another embodiment relating to security protection will be described.
As an alternative to the security information acquisition means 20 in the data verification process for data verification so that it can be detected when the security media has been tampered with, security information acquisition means (No. 1) based on the following (1) to (4) 2) should be applied. That is, (1) the security file corresponding to the designated data media serial number is read out of the security information recorded on the security media mounted on the optical disc drive 2 (35). (2) Security information is verified by security information verification means described later. (3) If the verification is successful, the security file read out first is used as it is. (4) If the verification fails, the response notification means 12 alerts the user.
[0089]
The security information verification means verifies the security information based on the following (1) to (6). That is, (1) A security file list is acquired from security information in the security media. (2) The digital signature attached to the security file list is verified by the cryptographic processing board. (3) If the verification is successful, the security file list entry corresponding to the designated data media serial number is extracted. (4) It is verified whether the electronic signature of the security file included in the extracted entry is the same as that given to the corresponding security file. (5) If they are the same, the verification is successful. (6) If the processing so far fails, the verification is failed.
The feature of this embodiment is that a security information verification means is newly provided. As a result, if the security media has been tampered with, it can be detected.
[0090]
(Another example regarding automatic search of security media)
If the correct combination of data media and security media are mounted on the system by the security file automatic discrimination means described above, an appropriate security file can be automatically found.
However, in reality, the user is not interested in security media that only records data that does not make sense for the user even if the contents are read compared to data media that can be understood by reading the contents. Will be dealt with separately. For this reason, it is predicted that even if an attempt is made to verify the authenticity of a data medium, the security medium corresponding to the data medium has been managed separately, so that it will not be understood. In other words, since the security media is created based on the existing data media, there is a problem that it is difficult to record the relationship between the security media and the data media. That is, since the data medium has already been completed, the link information of the security medium cannot be recorded, and there is a problem that it is not known which security medium should be used when it is desired to confirm the authenticity.
[0091]
Therefore, an embodiment in which the data medium and the security medium can be associated with each other is described below so that the relation between the security medium and the data medium is not obscured.
If the present system is writing data media and the data media serial number is recorded on the data media itself as in the data media creation means 13 described with reference to FIG. Since it is sufficient to create and save a table that associates the data media serial number and the security media serial number in the internal storage medium of the system during the security media creation process, there is nothing difficult. However, considering the case of using a data medium recorded externally and not recorded with a data medium serial number, the data medium serial number is associated with the security media serial number by the following method.
[0092]
In the security media creation process, security information may be created by security information creation means based on the following (1) to (4) as an alternative to the security information creation means 16. (1) The security media serial number is read from the internal storage medium. (2) The security media serial number is incremented by 1 and recorded on the internal storage medium. (3) The security file acquired by the security file acquisition means 17 and the security media serial number are collected as security information. (4) An association list is created by security media association means described later.
[0093]
The security media association means creates an association list based on the following (1) to (4). That is, (1) Only the file list portion is extracted from the security file. (2) A hash value of the extracted file list part is calculated to obtain a file list hash. (3) Create a security media association list with the corresponding data media serial number, file list hash, and security media serial number as one entry. (4) Record the security media association list in the internal storage medium.
[0094]
Another embodiment relating to automatic search of security media will be described.
In the data verification process, as a further alternative to the request receiving unit 11, a request may be received by a request receiving unit based on the following (1) to (4). That is, (1) a data verification request is accepted when a user presses a data verification button connected to the system. (2) For the data medium mounted on the optical disk drive 1 (34), the security media serial number is automatically acquired by the security media search means described later. (3) notifies the user of the security media serial number and prompts the corresponding security media to be mounted on the optical disc drive 2 (35). As a result, the security medium is mounted on the optical disc drive 2 (35). (4) The data media serial number is automatically obtained by the security file automatic discrimination means. The verification target (file name) is all files in the data medium.
[0095]
The security media retrieval means automatically acquires the security media number based on the following (1) to (5). That is, (1) A security media association list is acquired from an internal storage medium. (2) If a data media serial number is recorded in the data media, the corresponding security media serial number is obtained from the security media association list based on the data media serial number. (3) If no data media serial number is recorded on the data media, a file list is acquired from the data media. (4) A hash value of the acquired file list is calculated to obtain a file list hash. (5) Obtain a security media serial number that matches the file list hash (possibly with multiple possibilities).
[0096]
By adding a security media association unit to the security information creation unit and a security media search unit to the request receiving unit, a corresponding security medium is automatically searched even for a data medium in which no data media serial number is recorded. Thus, the convenience of the user can be greatly improved.
[0097]
In addition, from the user's perspective, it is not clear which data media has already been registered in this system. In some cases, the same media may be registered twice, or there may be media that is not registered because it was registered. However, according to the above embodiment, if you mount a suspicious data medium on this system and press the data verification button, you can immediately know whether the data medium is registered (registered). If not, the security media is not searched and the data cannot be verified.
[0098]
As mentioned above, although each embodiment has been described centering on the creation, update, and verification processing of the security media in the secure electronic media management system of the present invention, the present invention configures the procedure of each processing executed in these systems. It can also be realized by a secure electronic media management method as an element. Further, the present invention can also be implemented as a program for causing a computer to function as a secure electronic media management system (or each means of the system) and a computer-readable recording medium on which the program is recorded.
[0099]
An embodiment of a recording medium storing a program and data for realizing each process of secure electronic media management according to the present invention will be described. As the recording medium, specifically, a CD-ROM, a magneto-optical disk, a DVD-ROM, an FD, a flash memory, and various other ROMs and RAMs can be assumed. By making a computer execute each process according to the above and recording and distributing a program for realizing the secure electronic media management function, the function can be easily realized. Then, the recording medium as described above is mounted on an information processing apparatus such as a computer and the program is read by the information processing apparatus, or the program is stored in a storage medium provided in the information processing apparatus. By reading, the secure electronic media management function according to the present invention can be executed.
[0100]
【Effect of the invention】
According to the present invention, it is possible to maintain the authenticity of electronic data already recorded on an optical disc by another system, electronic data received from the outside via a network, or electronic data created inside the system. It becomes possible to treat it as electronic evidence while ensuring safety over a period of time. Furthermore, according to the present invention, it is possible to ensure long-term safety without taking time and effort.
[Brief description of the drawings]
FIG. 1 is a diagram for explaining security media creation processing in a secure electronic media management system according to an embodiment of the present invention.
FIG. 2 is a view for explaining security media creation processing in the secure electronic media management system according to the embodiment of the present invention.
FIG. 3 is a diagram for explaining security media update processing in a secure electronic media management system according to another embodiment of the present invention.
FIG. 4 is a diagram for explaining security media update processing in a secure electronic media management system according to another embodiment of the present invention.
FIG. 5 is a diagram for explaining data verification processing in a secure electronic media management system according to another embodiment of the present invention.
FIG. 6 is a diagram for explaining data verification processing in a secure electronic media management system according to another embodiment of the present invention.
FIG. 7 is a diagram showing a configuration example of a secure electronic media management system according to another embodiment of the present invention.
FIG. 8 is a block diagram showing an embodiment of a secure electronic media management system according to the present invention.
9 is a diagram for explaining an embodiment of security media creation processing in the secure electronic media management system of FIG. 8; FIG.
FIG. 10 is a diagram for explaining an embodiment of security media creation processing in the secure electronic media management system of FIG. 8;
FIG. 11 is an overview diagram showing a configuration example of a secure electronic media management system according to another embodiment of the present invention.
FIG. 12 is a diagram illustrating in detail security information protection processing in a secure electronic media management system according to another embodiment of the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 11 ... Request reception means, 12 ... Response notification means, 13 ... Security file creation means, 14 ... Data acquisition means, 15 ... Security file recording means, 16 ... Security information creation means, 17 ... Security file acquisition means, 18 ... Security information Recording means 19 ... Security information update means 20 ... Security information acquisition means 21 ... Data authenticity verification means 30, 50 ... Secure electronic media management system 31 ... Communication port 32 ... Cryptographic processing board 33 ... Processor 34 ... Optical disk drive 1, 35 ... Optical disk drive 2, 36 ... Internal storage medium, 37 ... Program storage medium, 38 ... External system, 41 ... Data medium, 42 ... Data file, 43 ... Hash value, 44 ... Hash list, 45 …Security File 46 ... Security media 47 ... Security file list 48 ... Security file list after adding digital signature 51, 52, 53 ... Process buttons M1 ... Data media M2 ... Security media R1 ... Storage media ... internal storage medium.

Claims (15)

データの真正性を確保するためのセキュア電子メディア管理システムであって、ユーザからの要求を受け付けるリクエスト受付手段と、対象となるデータをデータメディアから取得するデータ取得手段と、前記データからハッシュ値を算出する算出手段と、該データを保護するために前記データのファイル名と前記ハッシュ値とからなるセキュリティファイルを作成するセキュリティファイル作成手段と、該セキュリティファイルを1つ又は複数集めてセキュリティ情報を作成するセキュリティ情報作成手段と、該セキュリティ情報を前記データメディアとは異なるセキュリティメディアに記録するセキュリティ情報記録手段と、ユーザに処理結果を通知するレスポンス通知手段とを備えたことを特徴とするセキュア電子メディア管理システム。  A secure electronic media management system for ensuring the authenticity of data, a request receiving means for receiving a request from a user, a data acquiring means for acquiring target data from a data medium, and a hash value from the data Calculating means for calculating, security file creating means for creating a security file composed of the file name of the data and the hash value to protect the data, and creating security information by collecting one or more of the security files Security information generating means, security information recording means for recording the security information on a security medium different from the data medium, and response notifying means for notifying the user of the processing result Management system . 前記データ取得手段により取得したデータをデータメディアに記録してデータメディアを作成するデータメディア作成手段を更に備えたことを特徴とする請求項1記載のセキュア電子メディア管理システム。  2. The secure electronic media management system according to claim 1, further comprising data media creation means for creating data media by recording the data obtained by the data obtaining means on a data medium. 前記セキュリティ情報作成手段によって作成されたセキュリティ情報を保護するセキュリティ情報保護手段を更に備えたことを特徴とする請求項1又は2記載のセキュア電子メディア管理システム。  3. The secure electronic media management system according to claim 1, further comprising security information protection means for protecting security information created by the security information creation means. 前記セキュリティ情報作成手段によって作成されたセキュリティ情報が保護している対象データと、前記セキュリティ情報記録手段によって記録することにより作成された前記セキュリティメディアとを関連付ける情報を作成するセキュリティメディア関連付け手段を更に備えたことを特徴とする請求項1乃至3のいずれか1記載のセキュア電子メディア管理システム。  Security media association means for creating information for associating target data protected by the security information created by the security information creation means with the security media created by recording by the security information recording means The secure electronic media management system according to any one of claims 1 to 3, wherein 前記セキュリティファイル作成手段は、外部から取得する公証データを使用して、前記データを保護することを特徴とする請求項1乃至4のいずれか1記載のセキュア電子メディア管理システム。  5. The secure electronic media management system according to claim 1, wherein the security file creation means protects the data using notarized data acquired from the outside. 前記セキュリティファイル作成手段は、複数の鍵を使用して生成した複数の電子署名を使用して、前記データを保護することを特徴とする請求項1乃至5のいずれか1記載のセキュア電子メディア管理システム。  6. The secure electronic media management according to claim 1, wherein the security file creating means protects the data using a plurality of electronic signatures generated using a plurality of keys. system. データの真正性を確保するためのセキュア電子メディア管理システムであって、ユーザからの要求を受け付けるリクエスト受付手段と、更新対象のセキュリティメディアからセキュリティ情報を取得するセキュリティ情報取得手段と、該セキュリティ情報を新しいセキュリティ情報に更新するセキュリティ情報更新手段と、該新しいセキュリティ情報を該セキュリティメディア又は新しいセキュリティメディアに記録するセキュリティ情報記録手段と、ユーザに処理結果を通知するレスポンス通知手段とを備え、セキュリティメディアを更新することを特徴とするセキュア電子メディア管理システム。  A secure electronic media management system for ensuring the authenticity of data, a request receiving means for receiving a request from a user, a security information acquiring means for acquiring security information from a security medium to be updated, and the security information Security information updating means for updating to new security information, security information recording means for recording the new security information on the security media or new security media, and response notification means for notifying the user of the processing result, A secure electronic media management system characterized by updating. データを保護するために複数の鍵を使用して生成した複数の電子署名を使用して作成されたセキュリティファイルに対し、前記セキュリティ情報更新手段は、前記複数の電子署名のうち少なくとも一つの電子署名の検証に成功することでセキュリティ情報の検証が成功したとみなしてセキュリティ情報の更新を行うことを特徴とする請求項7記載のセキュア電子メディア管理システム。  For a security file created using a plurality of electronic signatures generated using a plurality of keys to protect data, the security information updating means includes at least one electronic signature of the plurality of electronic signatures. 8. The secure electronic media management system according to claim 7, wherein the security information is updated on the assumption that the verification of the security information is successful by succeeding in the verification. データの真正性を確保するためのセキュア電子メディア管理システムであって、ユーザからの要求を受け付けるリクエスト受付手段と、対象となるデータを取得するデータ取得手段と、メディアからセキュリティファイルを取得するセキュリティファイル取得手段と、前記データの真正性を該セキュリティファイルにより検証するデータ真正性検証手段と、ユーザに処理結果を通知するレスポンス通知手段とを備え、前記セキュリティファイルはデータのファイル名とデータから算出されたハッシュ値とを含むことを特徴とするセキュア電子メディア管理システム。  A secure electronic media management system for ensuring the authenticity of data, a request receiving means for receiving a request from a user, a data acquiring means for acquiring target data, and a security file for acquiring a security file from a medium Obtaining means, data authenticity verifying means for verifying the authenticity of the data with the security file, and response notifying means for notifying the user of the processing result, wherein the security file is calculated from the file name and data A secure electronic media management system characterized by including a hash value. セキュリティメディアの中から、検証対象のデータに該当するセキュリティファイルを自動的に判別するセキュリティファイル自動判別手段を更に備えたことを特徴とする請求項9記載のセキュア電子メディア管理システム。  10. The secure electronic media management system according to claim 9, further comprising security file automatic discrimination means for automatically discriminating a security file corresponding to data to be verified from security media. セキュリティファイル取得手段によってセキュリティファイルを取得する際に、前記セキュリティメディアに記録されているセキュリティ情報の真正性を検証するセキュリティ情報検証手段を更に備えたことを特徴とする請求項9又は10記載のセキュア電子メディア管理システム。  The secure information verification means according to claim 9 or 10, further comprising security information verification means for verifying the authenticity of the security information recorded on the security media when the security file is acquired by the security file acquisition means. Electronic media management system. セキュリティ情報作成手段によって作成されたセキュリティ情報が保護している対象データと、セキュリティ情報記録手段によって作成されたセキュリティメディアとを関連付ける情報を作成するセキュリティメディア関連付け手段を更に備え、該セキュリティメディア関連付け手段によって作成された関連付け情報を元にして検証対象のデータから該データに該当するセキュリティメディアを検索するセキュリティメディア検索手段を更に備えたことを特徴とする請求項9乃至11のいずれか1記載のセキュア電子メディア管理システム。A target data security information generated by the security information creating means is protecting, further comprising a security media association means for creating information for associating the security media created by the security information recording means, by the security media association means The secure electronic device according to any one of claims 9 to 11, further comprising security media search means for searching for security media corresponding to the data to be verified from data to be verified based on the created association information. Media management system. データを保護するために複数の鍵を使用して生成した複数の電子署名を使用して作成されたセキュリティファイルに対し、前記データ真正性検証手段は、前記複数の電子署名のうち少なくとも一つの電子署名の検証に成功することでデータの検証が成功したとみなすことを特徴とする請求項9乃至12のいずれか1記載のセキュア電子メディア管理システム。  For a security file created using a plurality of electronic signatures generated using a plurality of keys to protect data, the data authenticity verification means includes at least one electronic signature of the plurality of electronic signatures. The secure electronic media management system according to any one of claims 9 to 12, wherein the verification of the data is considered successful by the successful verification of the signature. 請求項1乃至13のいずれか1記載のセキュア電子メディア管理システムとして又は該システムの各手段として、コンピュータを機能させるプログラム。  A program causing a computer to function as the secure electronic media management system according to any one of claims 1 to 13 or as each unit of the system. 請求項14記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。  The computer-readable recording medium which recorded the program of Claim 14.
JP2001277621A 2001-09-13 2001-09-13 Secure electronic media management system, method, program, and recording medium Expired - Fee Related JP4909474B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001277621A JP4909474B2 (en) 2001-09-13 2001-09-13 Secure electronic media management system, method, program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001277621A JP4909474B2 (en) 2001-09-13 2001-09-13 Secure electronic media management system, method, program, and recording medium

Publications (2)

Publication Number Publication Date
JP2003085046A JP2003085046A (en) 2003-03-20
JP4909474B2 true JP4909474B2 (en) 2012-04-04

Family

ID=19102121

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001277621A Expired - Fee Related JP4909474B2 (en) 2001-09-13 2001-09-13 Secure electronic media management system, method, program, and recording medium

Country Status (1)

Country Link
JP (1) JP4909474B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4901164B2 (en) 2005-09-14 2012-03-21 ソニー株式会社 Information processing apparatus, information recording medium, method, and computer program
JP6072584B2 (en) * 2013-03-27 2017-02-01 株式会社富士通エフサス Server apparatus and program management method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4187285B2 (en) * 1997-04-10 2008-11-26 富士通株式会社 Authenticator grant method and authenticator grant device
JP4049498B2 (en) * 1999-11-18 2008-02-20 株式会社リコー Originality assurance electronic storage method, apparatus, and computer-readable recording medium
JP4124936B2 (en) * 2000-01-20 2008-07-23 株式会社リコー Electronic application system, document storage device, and computer-readable recording medium
JP2001211160A (en) * 2000-01-28 2001-08-03 Mitsubishi Electric Corp Digital data storage system

Also Published As

Publication number Publication date
JP2003085046A (en) 2003-03-20

Similar Documents

Publication Publication Date Title
TW514844B (en) Data processing system, storage device, data processing method and program providing media
US8572673B2 (en) Data processing apparatus and method
US7900050B2 (en) Digital document management system, digital document management method, and digital document management program
JP4783112B2 (en) Signature history storage device
TW514845B (en) Data storage regenerator and data storage processing method and program providing media
JP4501349B2 (en) System module execution device
US6671804B1 (en) Method and apparatus for supporting authorities in a public key infrastructure
US8145520B2 (en) Method and system for verifying election results
US20080250403A1 (en) Method and apparatus for generating firmware update file and updating firmware by using the firmware update file
US7953972B2 (en) System and method for managing files
US7647646B2 (en) Information input/output system, key management device, and user device
EP1434119A2 (en) License management method and license management system
US20120110343A1 (en) Trustworthy timestamps on data storage devices
WO2000045358A1 (en) Method for securing safety of electronic information
JP2009230741A (en) Method and apparatus for verifying archived data integrity in integrated storage system
JP4132530B2 (en) Electronic storage device
EP3543891B1 (en) A computer implemented method and a system for tracking of certified documents lifecycle and computer programs thereof
JP4049498B2 (en) Originality assurance electronic storage method, apparatus, and computer-readable recording medium
JP2008060745A (en) Information processing system and program
JP4124936B2 (en) Electronic application system, document storage device, and computer-readable recording medium
JP4909474B2 (en) Secure electronic media management system, method, program, and recording medium
JP4137370B2 (en) Secure electronic media management method
JP2001337600A (en) Electronic data storage system, history verifying device, electronic data storing method and recording medium
WO1999037054A1 (en) A method of data storage and apparatus therefor
WO2022103782A1 (en) Centralized ledger system for device authentication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080904

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090210

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090305

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110713

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110726

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110922

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111025

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120110

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120116

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150120

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees