JP5962918B2 - 記憶装置、ホスト装置、記憶システム - Google Patents

記憶装置、ホスト装置、記憶システム Download PDF

Info

Publication number
JP5962918B2
JP5962918B2 JP2013013491A JP2013013491A JP5962918B2 JP 5962918 B2 JP5962918 B2 JP 5962918B2 JP 2013013491 A JP2013013491 A JP 2013013491A JP 2013013491 A JP2013013491 A JP 2013013491A JP 5962918 B2 JP5962918 B2 JP 5962918B2
Authority
JP
Japan
Prior art keywords
data
detection
calculated value
host device
memory card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013013491A
Other languages
English (en)
Other versions
JP2013214287A5 (ja
JP2013214287A (ja
Inventor
穣 中村
穣 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2013013491A priority Critical patent/JP5962918B2/ja
Priority to US13/785,449 priority patent/US20130238566A1/en
Publication of JP2013214287A publication Critical patent/JP2013214287A/ja
Publication of JP2013214287A5 publication Critical patent/JP2013214287A5/ja
Application granted granted Critical
Publication of JP5962918B2 publication Critical patent/JP5962918B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/215Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/06Auxiliary circuits, e.g. for writing into memory
    • G11C16/22Safety or protection circuits preventing unauthorised or accidental access to memory cells

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Quality & Reliability (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Television Signal Processing For Recording (AREA)

Description

本開示は、例えば格納されたファイルデータが改ざん行為を受けていない否かを判断する機能を備える記憶装置、及びそのような記憶装置にアクセスするホスト装置、並びにこれらを備える記憶システムに関する。
従来のカメラによる写真撮影では、銀塩フィルムに画像そのものをダイレクトに保存する。従って、画像を修正して改ざんした場合であっても、銀塩フィルムにその痕跡が残るため、容易に改ざんを確認できた。しかしながら、デジタル・スチル・カメラ(以下、「DSC」と称する)の場合、撮影データなどからなるファイルは、書き換え可能なメディアであるフラッシュメモリカード等に保存されることが一般的である。
ここで、DSCの特徴のひとつは、撮影後も撮影者が不要と判断した写真撮影のファイルを選択的に消去できることにある。またアーカイブ用の他のメディアにファイルを保存した後、フラッシュメモリカードに保存した写真のファイルを全消去し、新しいカードと同様に再利用することもできる。このため、フラッシュメモリカードは、フラッシュメモリに保存されたファイルを書き換える制御機能を備える。しかしながら、この機能を用いると、フラッシュメモリカードに保存された写真撮影のファイルに修整を加えたり、撮影日付や付随する撮影設定情報や位置情報などで部分的に修正を施したりして、改ざんした写真撮影のファイルに置き換えることも可能になる。この場合、ファイルとしての書式に書き換えた痕跡が無い限り、改ざんを見つけることは困難になる。
そのため、DSCによる写真撮影を、何らかの法的な証拠として用いたい場合においては、上記の問題は深刻となる。このため、保存したデータを書き換えられないようにするため、フラッシュメモリの代わりに、例えば、ワンタイム・プログラム・メモリ(以下、「OTP」と称する)からなるメモリカード等を用いることが考えられる。もしくは、フラッシュメモリを用いるものの、フラッシュメモリを制御するバックエンド部を書き換え制御できない特殊仕様に変えて対応したメモリカード等を用いることも考えられる。なお、本開示に関連する先行技術文献情報としては、例えば、特許文献1がある。
特表2009−526333号公報
上記のように、データの改ざんの検出が困難になるフラッシュメモリカードの欠点を補うために、OTPからなるメモリカードを用いる場合、フラッシュメモリほどの大容量化が難しく、撮影枚数が制限されるというデメリットがある。また、フラッシュメモリを用いるものの特殊な制御で書き換えできない様に施したメモリカードを用いる場合、コントローラのファームウエアの書き換えや、フラッシュメモリへのダイレクトにアクセスして直接データを書き換えることによる改ざんがなされるというリスクが残る。また、これらのメモリカードの場合、いずれも、デジタル化の本来のメリットのひとつである、不要なデータを自由に消去して再撮影できるというメリットが損なわれる。
そこで、本開示は、本来のデジタル化のメリットを損なうこと無く、安全にかつ容易に改ざんを検出させることが可能な記憶装置、ホスト装置、及びそれらを含む記憶システムを提供する。
以下の開示では、格納されたファイルそのものの改ざんを防止するのではなく、改ざんの有無を検出するためのデータを、撮影データを格納するフラッシュメモリとは異なる書き換えができないメモリに記録し、改ざんの有無を検出することが可能な記憶装置、ホスト装置、記憶システムを提案する。さらに、上記記憶装置等は、格納されたファイルから計算されるデータと比較することにより、改ざんの有無を通知する。
本開示における記憶装置は、データの読み出し及び書き換えが可能であって、ファイルデータが格納される第1記憶領域と、データの読み出し及び未書き込み領域の追記書き込みが可能であって、ファイルデータから算出される改ざん検出用の第1算出値が格納される第2記憶領域と、第1、第2記憶領域へのアクセス制御を行うコントローラとを具備し、コントローラは、外部のホスト装置からのコマンドを受け、第1、第2記憶領域へのアクセスを行うフロントエンド部と、第1算出値を前記ホスト装置に読み出すこと無く、第1算出値とファイルデータから算出される改ざん検出用の第2算出値とが一致するか否かを判定し、その判定結果を前記ホスト装置に通知する改ざん検出通知部とを備える。
本開示の記憶装置等によれば、再撮影できるという本来のデジタル化のメリットを損なうこと無く、安全にかつ容易に改ざんを検出させることが可能になる。
実施の形態1に係るメモリカードの構成例を示すブロック図。 実施の形態1に係るDSCの構成例を示すブロック図。 実施の形態1に係る読み出し装置の構成例を示すブロック図。 実施の形態1に係る改ざんチェック動作を示すフロー図。 実施の形態1に係る第2パーティションに格納される情報のフォーマット例を示す図表。 実施の形態2に係るメモリカードの構成例を示すブロック図。 実施の形態3に係るメモリカードの構成例を示すブロック図。 実施の形態3に係る改ざん検出撮影専用DSCの構成例を示すブロック図。 実施の形態3に係るデータ書き込みシーケンスを示すタイミングチャート。 実施の形態4に係るメモリカードの構成例を示すブロック図。 実施の形態5に係る第2パーティションを示すブロック図。 図10中の補完読出し器、補完書込み器の構成例を示す等価回路図。 実施の形態5に係るフラグ補完器の動作を示す図表。
以下、適宜図面を参照しながら、実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。
なお、発明者(ら)は、当業者が本開示を十分に理解するために添付図面および以下の説明を提供するのであって、これらによって特許請求の範囲に記載の主題を限定することを意図するものではない。
[実施の形態1]
まず、実施の形態1について説明する。
<1.構成>
1−1.メモリカード(記憶装置)
図1は、実施の形態1に係る改ざん検出が可能なメモリカード(記憶装置)10の構成を示す。図示するように、実施の形態1に係る改ざん検出メモリカード10は、第1パーティション120、第2パーティション130、及びコントローラ110を備える。
第1パーティション(第1記憶領域)120は、本実施の形態1の場合、フラッシュメモリにより構成される。フラッシュメモリは、図示しないがマトリックス状に配置される複数のフラッシュメモリ素子からなる不揮発性のメモリセルを有する。第1パーティション120には、ユーザにより撮像された写真データ等のファイルデータが格納される。第1パーティション120に格納されたファイルデータは、DSC等の外部のホスト装置により、読み出し、消去等が可能である。
第2パーティション(第2記憶領域)130は、本実施の形態1の場合、ワンタイム・プログラム・メモリ(OTP:One time program memory)により構成される。OTPとは、1回の書き込みのみ許容されるメモリをいう。そのため、OTPでは、例えば、ビット単位で、”0”状態から”1”状態への1回の書き込みは許される。しかし、それ以降の、”1”状態から”0”状態へ戻すように書き込むことは不可能である。なお、第1パーティション120は、第2パーティション130と異なるLSIメモリチップで構成することができる。また、これに限られず、OTPを、第1パーティション120と同じメモリチップもしくは、他のフラッシュメモリチップで構成することも可能である。さらに、第2パーティション130には、第1パーティション120に格納されたファイルが改ざんされたか否かを検出するための数値、即ち改ざん検出用の算出値(改ざん検出用の第1算出値)が格納される。この改ざん検出用の算出値は、例えば、ファイルのデータから固定長のハッシュ値を算出すること等により生成される。詳細については、後述する。
コントローラ110は、外部のホスト装置よりコマンドを受け取り、データの書き込み、読み出しを制御し、データを受信し、これをホスト装置に送信する。加えて、コントローラ110は、改ざん検出用の算出値に関連する制御を行い、第1、第2パーティション120、130を制御する。コントローラ110は、フロントエンド部111、バックエンド部112、改ざん検出制御部113、改ざん検出通知部114、及び不一致検出追記部115を備える。
フロントエンド部111は、外部のホスト装置とのインターフェースを制御する。バックエンド部112は、第1パーティション120を制御する。改ざん検出制御部113は、上記改ざん検出用の算出値に関連し、第2パーティション130を制御する。改ざん検出通知部114は、第2パーティション130に格納される上記改ざん検出用算出値(改ざん検出用の第1算出値)を外部に読み出すこと無く、外部のホスト装置から与えられる改ざん検出用の第2算出値と、改ざん検出用の第1算出値とが一致するか否かを判定し、その判定結果を外部のホスト装置に通知する。不一致検出追記部115は、上記改ざん検出通知部114による判定結果が不一致の場合、不一致の改ざん検出用の第2算出値を、第2パーティション130に追記する。なお、上記関連の改ざん検出機能群114、115の詳細については、後述する。
1−2.改ざんチェックDSC(ホスト装置)
図2は、本実施の形態のメモリカード10に対する改ざんチェックを可能とするDSCの構造を示す図である。改ざんチェックDSC20は、上記メモリカード10のホスト装置である。図示するように、本実施の形態のDSC20は、インターフェース回路210、改ざん検出用算出器211、全体制御部220、メモリ230、表示部240、及びカメラ部250から構成される。
インターフェース回路210は、メモリカード20とのインターフェース処理を行う。改ざん検出用算出器211は、カメラ部250により写真撮影した画像ファイルのデータから、所定のアルゴリズムにより計算を行い、改ざん検出用の算出値を算出する。全体制御部220は、このDSD20の全体を制御するマイコンからなる。メモリ230は、制御用記憶装置および写真データ等を一時的に保存する。表示部240は、撮影画像や各種の必要な情報を表示する。カメラ部250は、写真撮影を行う。
上記の構成において、カメラ部250において写真撮影で生成される写真データ等は、全体制御部220の制御により、メモリカード10においてファイルデータとして、バックエンド部112を介して、第1パーティション120に格納される。つまり、DSC20は、写真撮影したファイルデータを、外部メモリとしてのメモリカード10に格納できる。
上記DSC20と上記メモリカード10とにより、ファイルの改ざんの有無を確認できる記録システムを構成する。即ち、本実施の形態1では、DSC20は、写真撮影したファイルデータをメモリカード10に格納する際に、改ざん検出用算出器211で、写真撮影したファイルのデータから、改ざん検出用の算出値(第1算出値)を所定のアルゴリズムで計算する。そして、メモリカード10へのデータ書き込み時に、全体制御部220は、専用のコマンドを発行し、その専用のコマンドと共に上記の改ざん検出用の算出値をメモリカード10へ送信する。
メモリカード10は、受信した専用コマンドにより、改ざん検出用算出値の第2パーティションへの書き込みを認識する。そのため、受信された改ざん検出用算出値は、フロントエンド部111及び改ざん検出制御部113を介して、第2パーティション130に格納される。詳細な動作、改ざん検出用算出値を格納する際のフォーマットの例については、後述する。なお、メモリカード10に格納された写真撮影されたファイルデータは、従来のフラッシュメモリカードと同様に、従来のDSCやパソコンなどで、読み出すことが可能である。
1−3.改ざんチェック読み出し装置(ホスト装置)
図3に本実施形態の読み出し装置の構造を示す。図示するチェック読み出し装置30は、メモリカード10が記憶するデータの改ざんの有無をチェックする機能を有するホスト装置である。ここで、改ざんの有無をチェックは、前述のDSC20でも可能であるが、図3に示す専用の改ざんチェック用の読み出し装置30を用いてチェックすることも可能である。
読み出し装置30は、インターフェース回路310、改ざん検出用算出器311、全体制御部320、メモリ330、及び表示部340により構成される。インターフェース回路310を介してコマンドやデータ等を送信し、前述のメモリカード10と通信する。改ざん検出用算出器311は、インターフェース回路310を介してメモリカード10の第1パーティション120から読み出された写真撮影のファイルデータから、所定のアルゴリズムに従い、改ざん検出用算出値を算出する。全体制御部320は、マイコン等からなり、読み出し装置の全体を制御する。メモリ330は、制御用プログラムや写真データ等を一時に保存する。表示部340は、撮影画像や各種の必要な情報等を表示する。DSC20に代えて、読み出し装置30と上記メモリカード10と共に、ファイルの改ざんの有無を確認できる記録システムを構成することが可能である。
<2.改ざんチェックのための仕掛けと動作>
次に、実施の形態1に係る改ざんチェックのための仕掛けと動作について説明する。ここでは、DSC20とメモリカード10とを備える記録システムの構成における改ざんチェック動作を一例に挙げて説明する。
2−1.改ざんチェックのための仕掛け(ファイルデータ生成時)
ファイルデータ生成時(ファイルデータ書き込み時)に行われる改ざんチェックのための仕掛けについて、説明する。まず、改ざんチェックの対象となるファイルデータは、DSC20が備えるカメラ部250により撮影された画像データから生成される。そして、生成されたファイルデータは、DSC20からメモリカード10へ転送され、メモリカード10において、バックエンド部112を介して、第1パーティション120に書き込まれ、格納される。
ここで、DSC20が当該ファイルデータをメモリカード10の第1パーティション120に書き込む際、当該ファイルデータは改ざん検出用算出器211を通過する。改ざん検出用算出器211は、所定のアルゴリズムを用いて、当該ファイルデータから改ざん検出用の第1算出値を算出する。算出された改ざん検出用の第1算出値は、DSC20からメモリカード10へ転送され、メモリカード10において改ざん検出制御部113を介して、第2パーティション130に書き込まれ、格納される。このようにして、メモリカード10において、ファイルデータとともに改ざん検出用の第1算出値が記録される。
2−2.改ざんチェック動作(ファイルデータ読み出し時)
次に、図4に沿って、上述のようにしてメモリカード10に書き込まれたファイルデータの改ざんの有無を確認する改ざんチェック動作について説明する。
(Step S11(ファイルデータの読み出し))
図4に示すように、まず、DSC20の全体制御部220は、メモリカード10の第1パーティション120に格納されたファイルデータを、メモリカード10から読み出す。読み出されたファイルデータは、メモリ230に一時的に保持される。
(Step S12(改ざん検出用の第2算出値の算出))
続いて、DSC20の改ざん検出用算出器211は、読み出したファイルデータから、所定のアルゴリズムを用いて、改ざん検出用の第2算出値を計算する。なお、改ざん検出用の第2算出値の計算は、ファイルデータ読み出しメモリ230に一時的に保持させる最中に、改ざん検出用算出器211で、改ざん検出用の第2算出値を計算しても良い。
(Step S13(問い合わせデータの送信))
DSC20の制御部220は、改ざんの有無をチェックするために、インターフェース回路210を介して、算出した改ざん検出用の第2算出値を問い合わせデータとして改ざん検出用の専用コマンドと共にメモリカード10へ送信し、メモリカード10への問い合わせを行う。
(Step S14(改ざん検出用の第1、第2算出値の判定))
メモリカード10が改ざん検出用の専用コマンドを受信すると、メモリカード10の改ざん検出通知部114は、第2パーティション130に格納され、ファイル名で管理された改ざん検出用の第1算出値と、ファイル名とともに送信された問い合わせデータ中の改ざん検出用の第2算出値とが一致するか否かをチェックする。具体的な判定については、図5において、後述する。
(Step S15(判定結果の通知))
メモリカード10の改ざん検出通知部114は、上記ステップS14でチェックした判定結果を、ホスト装置であるDSC20に通知する。
(Step S16(判定結果の利用))
続いて、DSC20は、メモリカード10から通知された上記一致/不一致の判定結果を受け取り、これにより、ファイルデータの改ざんの有無を確認する。
(Step S17(不一致検出データの第2パーティションへの追記))
続いて、上記ステップS14の判定において不一致の結果が検出された場合、メモリカード10が備える不一致検出追記器115は、不一致を示す情報として不一致検出データ(識別フラグ(F))を第2パーティション130に追記する。詳細は、図5において、後述する。
なお、図3に示した読み出し装置30とメモリカード10とを備える記憶システムの場合も、上記動作と実質的に同様である。但し、読み出し装置30は、DSC20と比較してカメラ部250がなく、写真データ等のファイルデータを生成する機能を備えない点で、相違する。そのため、読み出し装置30の場合、改ざん検出用算出器311は、メモリカード10から読み出したファイルデータから改ざん検出用の第2算出値を算出する時のみ利用され、ファイルデータ生成時に算出される改ざん検出用の第1算出値を算出しない。
第2パーティションに格納される情報フォーマット
ここで、図5を用い、第2パーティション130に格納される情報のフォーマット例を説明する。図5に示す表1には、領域(a)に格納アドレス(0、1、2、3、、、)が格納される。領域(b)にファイル名(ASCIIストリングス)が格納される。領域(c)に識別フラグが格納される。領域(d)に改ざん検出用の算出値が格納される。上記のように、領域(b)、(d)にファイル名と改ざん検出用の算出値とを関連付けて格納することで、写真撮影したファイルデータと、改ざん検出用の算出値とを関連付けている。
さらに、領域(c)に、以下の3つの状態(1)、(2)、及び(3)に対応する識別フラグが格納される。
状態(1)は、格納情報が、ファイル生成時、つまり写真撮影した際に、第2パーティション130に格納された情報である。この場合には、識別フラグのコードが、例えば「C」(”1100”)とされる。
状態(2)は、格納情報が、読み出し時の照合の際において、改ざん検出用の第1、第2算出値が不一致となった際に、第2パーティション130に追記された情報である。この読み出し時の照合で不一致の場合には、識別フラグのコードが、例えば「F」(”1111”)とされる。例えば、メモリカード10の改ざん検出通知部114は、格納アドレス0と同一のファイル名(DSC_0011.JPG)において、第2パーティション130に格納された改ざん検出用の第1算出値(0x123456...)と、算出されたホスト装置からの問い合わせデータ中の改ざん検出用の第2算出値(0x223456...)とが一致するか否かをチェックする。このファイル名(DSC_0011.JPG)の場合、上記の通り、第1、第2算出値は、不一致となる。そのため、格納アドレス4において、ファイル名(DSC_0011.JPG)の識別フラグの状態(2)として、「F(0xF)」と追記される。
状態(3)は、格納情報が、未使用状態である。この未使用の場合は、未書き込み格納アドレスの識別フラグのコードとして、例えば「0」(”0000”)、即ち、未書き込みのコード(ヌルストリングス)にする。
ここで、第2パーティション130は、OTPから構成される。そのため、格納されたデータは、一度書き込まれると、その後の書き換えや消去ができず、追記しかできない。従って、データの改ざんが困難となり、格納されたデータを全て残すことができる。例えば、ファイルデータとしてファイル名DSC_0011.JPGが格納される場合、表1中のアドレス0に、識別フラグのコードが「0」から「C」(”0000”→”1100”)として格納される。その後、上記ステップS14の際に、同一のファイル名DSC_0011.JPGにおいて、算出値が不一致と判定されると、アドレス4に、識別フラグのコードが「C(0xC)」から「F(0xF)」(”1100”→”1111”)として追記される。このように、第2パーティション130としてOTPを用いることで、格納されたファイルデータは、書き換えや消去ができない。例えば、先の例で言うと、識別フラグのコードが「F」(”1111”)と追記されたアドレス4、5、6のファイル名DSC_0011.JPGのファイルデータは、ファイルコードの書き換えとして、「F」から「C」(”1111”→”1100”)とすることは不可能である。
その一方で、ファイルデータの全てについて、第2パーティション130に追記すると、膨大な容量が必要となる。そのため、以降、メモリカード10は改ざん検出システム用のメモリカードとしては使えなくなり、通常のフラッシュメモリカードとしての使い方の範囲、即ち、第1パーティション120によるファイルデータの格納のみでしか使用できない。
しかしながら、図5に示す表1からも明らかなように、実施の形態1に係る第2のパーティション130に格納される各情報は、全てのファイルデータについて追記することはなく、各領域(a)〜(d)において必要な情報に区分けして格納される。そのため、第2のパーティション130に格納される各情報は、例えば、凡そ100万バイト以上になる写真撮影情報に比べても、極めて小さく32バイト程度に圧縮して格納させることができる。その結果、第2パーティション130のメモリサイズは、第1パーティション120のメモリサイズに比べ、例えば3万分の1以下程度とすることができる。従って、第2パーティション130をOTP素子で構成しても、充分な枚数の写真撮影が可能になる。さらには、撮影した写真を消去してリサイクルした場合での写真撮影もまかなうことができる(例えば、ファイル名に11バイト、認識フラグに1バイト、改ざん検出用算出値に20バイト)。
なお、代表的な改ざん検出用の第1、第2算出値の例としては、ハッシュ値がある。ハッシュ値は、データのサイズに関係なく、固定長のデータになる。代表的な例としては、160ビットの値である。データとしては、写真撮影したファイルそのもののみならず、ファイルを生成した日付情報や、ファイルのサイズ情報などを含めたものを扱うことができる。また、代表的な算出アルゴリズムとしてはSHA−1が挙げられる。
<3.作用効果>
上記実施の形態1に係る構成及び動作によれば、少なくとも以下の効果が得られる。
(1)本来のデジタル化のメリットを損なうこと無く、安全にかつ容易に改ざんを検出させることが可能である。
上記のように、実施の形態1に係る第2パーティション(第2記憶領域)130は、データの読み出し及び未書き込み領域の追記書き込みが可能であり、第2パーティション130には、少なくとも改ざん検出用の第1算出値が格納される。そのため、改ざん検出用の第1算出値が第2パーティション130に追記された場合であっても、図5に示した表1から明らかのように、第2のパーティション130に格納される各情報は、例えば、凡そ100万バイト以上になる写真撮影情報に比べても、極めて小さく32バイト程度に圧縮して格納させることができる。その結果、第2パーティション130のメモリサイズは、第1パーティション(第1記憶領域)120のメモリサイズに比べ、例えば3万分の1以下程度とすることができる。従って、第2パーティション130をOTPで構成しても、充分な枚数の写真撮影が可能になり、デジタル化のメリットを損なうことが無い。
加えて、図4に示したステップS14、S15の説明から明らかなように、実施の形態1に係る改ざん検出通知部114は、第2パーティション130に格納され、例えばハッシュ値等から構成される改ざん検出用の第1算出値を、メモリカード10の外部のホスト装置20及び30に読み出すことはない。さらに、改ざん検出通知部114は、ホスト装置20及び30がファイルデータから算出した改ざん検出用の第2算出値を、該当するファイル名とともに受け取り、該当する改ざん検出用の第1算出値とが一致するか否かを判定し、その判定結果を外部のホスト装置20及び30に通知する。
このように、比較的高いセキュリティ環境で漏洩を防ぐ必要のある、例えばハッシュ値等から構成される改ざん検出用の第1算出値そのものを、ホスト装置20及び30が直接読み出し、メモリカード10の外部に露出させることがないので、安全にファイルデータの改ざんを検出することが可能となる。また、ホスト装置20及び30は、メモリカード10から通知される結果を確認することで、容易にファイルデータの改ざんを検出することが可能である。なお、ホスト装置20及び30は、通知された判定結果を、必要に応じて利用すること(例えば、改ざんのおそれがある旨の表示等)が可能である。
[実施の形態2]
図6を用いて実施の形態2について説明する。この説明において、上記実施の形態1と重複する部分の説明については、省略する。
<構成>
図6に示すように、実施の形態2に係るメモリカード10は、コントローラ110が無効判定器116を更に備える点で、上記実施の形態1と相違する。無効判定器116は、ファイルに対する改ざん検出通知を行う際(上記ステップS15)、問い合わせデータの内容に関わらず、無効の判定を外部のホスト装置20及び30に出力する。
<改ざんチェック動作>
実施の形態2に係るメモリカード10は、ホスト装置から改ざん検出用の専用コマンドを受け、改ざん検出用の第1、第2算出値の一致チェックを行った際、不一致が検出された場合、不一致検出追記器115により、不一致検出データを第2パーティション130に追記する(ステップS17)。
実施の形態2では、さらに、各ファイル名の不一致回数が所定の回数を超えていた場合は、識別フラグとして格納する上記状態(1)〜(3)に加えて、不一致検出追記部115が、領域(c)に、無効の状態(4)を示すフラグ情報を追加し、第2パーティション130に格納する。例えば、所定の閾値回数が4回である場合、ファイル名DSC_0011.JPGの不一致回数が所定の4回を超えると、不一致検出追記部115が、領域(c)に状態(4)として、無効の状態を示すフラグ情報「A(0xA)」を追加し、第2パーティション130に格納する(図示せず)。
これにより、無効判定器116は、以降の改ざんチェック動作において、改ざん検出用専用コマンドを受けて、該当するファイルデータに対する改ざん検出通知を行う際(上記ステップS15)に、所定の閾値回数を超えている場合、問い合わせデータの内容に関わらず、無効の判定を外部のホスト装置に出力する。実施の形態2のメモリカード10の特有の形態は、以上である。その他の構成、動作については、実質的に上記第1の実施形態と同様であるため、詳細な説明については省略する。
<作用効果>
実施の形態2によれば、少なくとも実施の形態1と同様の効果が得られる。さらに、実施の形態2に係るメモリカード10は、コントローラ110が無効判定器116を更に備える。さらに、各ファイル名の不一致回数が所定の回数を超えていた場合は、不一致検出追記部115が、領域(c)に、状態(4)として、無効の状態を示すフラグ情報を追加し、第2パーティション130に格納する。これにより、無効判定器116は、以降の改ざんチェック動作において、改ざん検出用専用コマンドを受けて、該当するファイルに対する改ざん検出通知を行う際(上記ステップS15)に、問い合わせデータの内容に関わらず、無効の判定を外部のホスト装置20及び30に出力する。
このような無効の判定を行うことは、以下のような行為の防止に有効である。例えば、まず、ファイルデータを改ざん(例えば、写真データやタイムスタンプデータ等を改ざん)したにも関わらず、改ざん目的に影響を及ぼさない領域のデータ(例えば、写真データのフォーマット上、無意味なデータが詰まった領域のデータ等)を試行的に変化させる。そして、そのファイルデータでの改ざん検出用の第2算出値で幾度となくメモリカード10に問い合わせ、改ざん検出用の第1算出値と同じになるまで試行させるという行為である。
[実施の形態3]
図7、図7A、及び図8を用いて実施の形態3について説明する。この説明において、上記実施の形態1と重複する部分の説明については、省略する。
<構成>
ここで、上記実施の形態1、2では、ホスト装置(DSC20、読み出し装置30)側において、改ざん検出用の第1、第2算出値を算出する改ざん検出用の算出器211、311を設けている。すなわち、写真撮影したファイルデータをメモリカード10に格納するときに、DSC20のホスト装置が備える改ざん検出用算出器211が、写真撮影したファイルデータをメモリカード10に書き込むと同時に、改ざん検出用の第1算出値を算出する。そして、全体制御部220が専用のコマンドを発行し、その第1算出値を、メモリカード10に送信する。もしくは、ホスト装置が改ざんチェックのために、メモリカード10から写真撮影したファイルを読出すと同時に、ホスト装置が備える改ざん検出用算出器211及び311が、改ざん検出用の第2算出値を算出し、全体制御部220及び330が専用のコマンドを発行し、その第2算出値を、メモリカード10に送信する。
これに対して、実施の形態3では、図7に示すように、改ざん検出用の算出器119及び算出保存器117をメモリカード10側に設けている。このようなメモリカード10に対しては、図7Aに示すような改ざん検出撮影専用DSC20Aで対応することができる。図7Aに示す改ざん検出撮影専用DSC20Aは、前述のDSC20と比較して、ファイルデータの書き込み時に第1算出値を算出するための改ざん検出用算出器211を必要としない。ここで、改ざん検出撮影専用DSC20Aとは、DSCの一形態であり、改ざん検出撮影専用の装置であって、写真再生時にはファイルデータの改ざん検出を行わないホスト装置をいう。そのため、後述するように、改ざん検出撮影専用DSC20Aは、改ざん検出用の第1算出値をメモリカード10に通知しない代わりに、専用の開始コマンドと終了コマンドとをメモリカード10に発行する。
図7に示す改ざん検出用算出器119は、バックエンド部112に配置され、フロントエンド部111を介して、改ざん検出撮影専用DSC20Aから発行される専用の改ざん検出用算出値に係る開始コマンドと終了コマンドとを受け、その間に受け取ったデータから改ざん検出用の第1算出値を計算する。算出保存器117は、改ざん検出用算出器119が算出した改ざん検出用の第1算出値を第2パーティション130に格納する。また、ステップS15で不一致を通知した時のみ、ステップS17で改ざん検出用算出器119が算出した改ざん検出用の第2算出値を第2パーティション130に格納する。このように、本実施の形態3では、メモリカード10側に改ざん検出用算出器119を備え、メモリカード10へのデータ書き込み時に、ホスト装置(図7Aに示す改ざん検出撮影専用DSC20A)が、メモリカード10に第1算出値を通知する必要は無い。なお、当該改ざん検出撮影専用DSC20Aにより撮影されたファイルデータに改ざんチェックを行う場合には、読み出し装置30を用いる。
<改ざんチェック動作>
次に、実施の形態3に係る改ざんチェック動作について説明する。まず、実施の形態1と同様に、改ざん検出撮影専用DSC20Aが備えるカメラ部250により生成されたファイルデータは、DSC20からメモリカード10へ転送され、メモリカード10において、バックエンド部112を介して、第1パーティション120に書き込まれ、格納される。さらに、実施の形態3では、転送された当該ファイルデータは改ざん検出用算出器119を通過する。改ざん検出用算出器119は、所定のアルゴリズムを用いて、当該ファイルデータから改ざん検出用の第1算出値を計算する。次いで、算出された改ざん検出用の第1算出値は、改ざん検出用算出器119から算出用保存器117へ送信される。算出用保存器117は、改ざん検出用の第1算出値を第2パーティション130に書き込み、格納させる。
この時、図8に示すように、改ざん検出撮影専用DSC20Aのホスト装置は、ファイルデータを書き込む際に、改ざん検出用の第1算出値をメモリカード10に通知することなく、専用の開始コマンド、ライトコマンド、アドレス、データ、及び終了コマンドを順次メモリカード10に発行する。図8に示すように、時刻t1において、改ざん検出撮影専用DSC20Aのホスト装置は、メモリカード10がレディ状態で、改ざん検出用算出に関する専用の開始コマンド(COM)を発行する。これを受けて、メモリカード10の改ざん検出用算出器119は、改ざん検出用の第1算出値の算出に移行する。
続いて、時刻t2において、改ざん検出撮影専用DSC20Aのホスト装置は、メモリカード10に、ライトコマンド(WF)を発行する。時刻t3において、改ざん検出撮影専用DSC20Aのホスト装置は、メモリカード10に、上記読み出したファイルデータのアドレス(ADD)を送信する。時刻t4において、改ざん検出撮影専用DSC20Aのホスト装置は、メモリカード10に、上記アドレスのファイルデータ(DATA)を送信する。時刻t5において、改ざん検出撮影専用DSC20Aのホスト装置は、メモリカード10に、終了コマンド(CF)を発行する。時刻t6において、メモリカード10は、以下の動作を行うためにビジィ状態(BUSY)となる。
また、改ざん検出用の第2算出値は、読み出し装置30のホスト装置が発行する別の専用コマンド(図示せず)をメモリカード10が受け、バックエンド部112を介して読み出し装置30のホスト装置に通知される。これにより、読み出し装置30のホスト装置は、上記ステップS13以降の動作と同様の動作を行うことで、改ざんのチェックが可能となる。その他の構成、動作については、実質的に上記第1の実施形態と同様であるため、詳細な説明については省略する。
<作用効果>
実施の形態3によれば、少なくとも実施の形態1と同様の効果が得られる。さらに、実施の形態3では、改ざん検出撮影専用DSC20Aのホスト装置は、改ざん検出用算出器211を必要とせず、メモリカード10側に改ざん検出用算出器119、及び算出保存器117を備える。そのため、改ざん検出撮影専用DSC20Aのホスト装置の改ざん検出用算出器211が不要となり、改ざん検出撮影専用DSC20Aのホスト装置の動作負荷を軽減できる点で有利である。このように、必要に応じて、実施の形態3を適用することが可能である。なお、必要に応じて、ホスト装置が改ざん検出用算出器211を備えることももちろん可能である。
このように、改ざん検出撮影専用DSC20Aは、改ざん検出用算出器211を備えないため、写真撮影したファイルデータ生成時に、改ざん検出用の第1算出値をメモリカード10に通知する必要がない、それは、撮影直後の撮影した写真データを確認のため再生する場合は、撮影者と同じ人が再生をするので、改ざんを疑う必要がほとんど無いと考えられるからである。従って、本実施の形態3に係るメモリカード10と、改ざん検出撮影専用DSC20Aとを備えるシステムによれば、改ざん検出撮影専用DSC20Aは、既存のDSCとほぼ同じ構成及び製造コストで実現できることなる。なお、改ざんチェックを行う場合は、上記のように読み出し装置30を用いれば良い。
[実施の形態4]
実施の形態4について説明する。この説明において、上記実施の形態3と重複する部分の説明については、省略する。
<構成>
図9に示すように、本例では、メモリカード10のコントローラ110が、比較器118を更に備える点で、上記実施の形態3と相違する。比較器118は、ファイルデータを生成するときに改ざん検出用算出器119により計算され第2パーティションに格納された改ざん検出用の第1算出値と、ファイルデータを読み出すときに改ざん検出用算出器119により計算された改ざん検出用の第2算出値とを比較して、その比較結果をホスト装置に通知する。
<改ざんチェック動作>
実施の形態4に係る改ざんチェック動作は、写真撮影したファイルをメモリカード10の第1パーティション120から読み出す際(S11)、ホスト装置が、専用の読み出しファイルの開始コマンドと、終了コマンドとを発行し、メモリカード10に通知する(S13)。このシーケンスは、上記図8に示したものと同様である。即ち、図8と同様に、読み出し時改ざん検出用算出に関する専用の開始コマンドを発行し、これを受けて、メモリカード10の改ざん検出用算出器119は、改ざん検出用の第2算出値の算出に移行する。続いて、時刻t2において、ホスト装置は、メモリカード10に、リードコマンドを発行し、以下はファイルデータをメモリカード10に書き込むときの動作と同様である。但し、実施の形態3と比較して、図8で示すライトコマンド(WF)がリードコマンドに換わる点と、データ(DATA)の向き、つまりデータのメモリカード10への入力がメモリカード10から出力される点とが相違する。そして、ホスト装置20及び30は、上記ステップS13以降の動作と同様の動作(ただし、ステップS13の際に改ざん検出用の第2算出値は送信されない)を行うことで、改ざんのチェックが可能となる。この結果、ホスト装置20及び30が改ざん検出用の第2算出値を送信することなく、メモリカード10は第2算出値を入手できる。
続いて、比較器118は、第2パーティション130に保存された改ざん検出用の第1算出値と、改ざん検出用の第2算出値との比較を行い、その比較結果をDSC20もしくは、読み出し装置30等のホスト装置に通知する。ここで、比較器118がホスト装置に通知する比較結果は、判定した結果のみであり、例えばファイルを生成した日付情報やファイルのサイズ情報などを含むハッシュ値等を含まない。そのため、秘匿性をより向上できる。上記のように、実施の形態4によれば、DSC20及び読み出し装置30のホスト装置は、改ざん検出用算出器211及び311が不要となる。その他の構成、動作については、実質的に上記第3の実施形態と同様であるため、詳細な説明については省略する。
<作用効果>
実施の形態4によれば、少なくとも実施の形態1と同様の効果が得られる。さらに、実施の形態4では、比較器118が、第2パーティション130に保存された改ざん検出用の第1、第2算出値の比較を行い、比較結果をホスト装置に通知する。このように、実施の形態4によれば、比較器118がホスト装置に通知する比較結果は、判定した結果のみであり、例えばファイルを生成した日付情報等を含むハッシュ値等を外部のホスト装置に通知することはない。そのため、実施の形態4によれば、ハッシュ値等により構成される第1及び第2算出値をホスト装置20及び30からメモリカード10が受け取る必要がない。そのため、実施の形態4では、メモリカード10とホスト装置20及び30とのインターフェースのバス上に、第1及び第2算出値のデータ値を露出させることがなく、従来と比較して、秘匿性をより向上できる。
[実施の形態5(コンプリメンタリ型第2パーティション)]
次に、実施の形態5について説明する。実施の形態5は、第2パーティション130が相互に補完型(コンプリメンタリ型)である例に関する。この説明において、上記実施の形態1と重複する部分の説明については、省略する。
<構成>
ここで、上記のように、改ざん検出用算出値を格納するOTP素子から成る第2パーティション130は、OTPであるが故に、ビット単位で書込んだ情報を元に状態に書き戻したり、フラッシュメモリの様に消去動作で状態をリセットすることができない。ただし書き込んでいないビットとの組合せで、2進数を表す場合は、書き込んでいないビットのみを追加的に書き込み状態を変えることができる。例えば、書き込んでいないビットを「0」、書き込んだビットを「1」としたとき、2進数で”0101”、つまり10進数で「5」の値が保存されているOTPで、2つ目の「0」のビットのみを追加的に書き込むと、2進数で”0111”、つまり10進数で「7」の値に変えることができる。そこで、実子の形態5では、この様なビット単位での改ざんを防ぐことを提案する。
図10に示すように、実施の形態5は、第2パーティション130が、2つのコンプリメンタリ型の第2パーティション131、132(OTP1、OTP2)により構成される点で、上記実施の形態1と相違する。このように、実施の形態5では、第2パーティション130のメモリを、第2パーティションのメモリ1(以下、「OTP1」と称する場合がある)と、第2パーティションのメモリ2(以下、「OTP2」と称する場合がある)とに分ける。
OTP1には、図5の表1に示した領域(b)〜(d)のファイル名、識別フラグ情報、改ざん検出用算出値を格納する。一方、OTP2には、それらの値を反転させて得られるファイル名、識別フラグ情報、改ざん検出用算出値を格納する。このように、OTP1とOTP2とは、コンプリメンタリの関係なデータを格納する。OTP1、OTP2に格納されたデータは、補完読出し器141A、141Bを用いて、読み出され、簡単に改ざんが行われたかどうかをチェックすることができる。なお、補完読出し器141A、141Bは、後述するように、ビット毎に排他的論理和をとるだけで容易に実現可能である。
さらに、OTP1、OTP2へのデータ書き込みは、補完書込み器142A、142Bにて行われる。補完書込み器142Aは、データIO143Aを介して入力される改ざん検出用算出値を、OTP1、OTP2へそれぞれデータ書き込みを行う。補完書込み器142Bは、データIO143Bを介して入力されるファイル名のデータを、OTP1、OTP2へそれぞれデータ書き込みを行う。なお、補完書込み器142A、142Bは、後述するように、ビット毎に簡単なロジックを付けることで容易に実現可能である。識別フラグは、必要に応じて、状態を変える必要があるので、フラグ補完器145を用いて、少し異なる動作を行わせる。フラグ補完器145の動作については、表2を用いて、後述する。
補完読み出し器141A、補完書き込み器142Aの構成例
次に、図11を用い、補完読み出し器、補完書き込み器の構成例について説明する。ここでは、補完読み出し器141A、補完書き込み器142Aを一例に挙げる。
図11に示すように、補完読み出し器141Aは、排他的論理和回路151Aにより構成される。排他的論理和回路151Aは、入力にOTP1、OTP2からの改ざん検出用算出値及びその反転データが与えられ、排他的論理和が計算された出力結果が出力される。そのため、入力データが一致する場合(改ざんが無い場合)には、”0”出力となる。また、OTP2からの読み出しでデータも改ざん結果の出力としてコントローラ110へ出力される。
補完書き込み器142Aは、バッファ回路152Aにより構成される。バッファ回路152Aは、入力される書込みデータから、OTP1には改ざん検出用計算値を書き込み、OTP2にはデータ反転させた改ざん検出用計算値を書き込む。
<改ざんチェック動作>
上記構成において、実施の形態5に係る改ざんチェック動作は、例えば、図4に示すステップS14の際において第1、第2改ざん検出用算出値の一致/不一致を判定する場合に、ファイル名、識別フラグ、改ざん検出用算出値の相補的なデータを利用する点で、実施の形態1と相違する。例えば、改ざん検出用算出値は、OTP1、OTP2から補完読み出し器141Aにより読み出される相補的なデータが用いられる。ファイル名は、OTP1、OTP2から補完読み出し器141Bにより読み出される相補的なデータが用いられる。識別フラグは、OTP1、OTP2からフラグ補完器145により読み出される相補的なデータが用いられる。なお、識別フラグに関し、フラグ補完器145の動作については、次で詳しく説明する。
フラグ補完器145の動作
次に、図12に示す表2を用い、上記フラグ補完器145の動作について説明する。
図12(a)に示すように、初期状態の場合、最初何も記録されていないときは、OTP1、OTP2ともに4ビットとも全て”0”(all 0)である。そのため、この状態のとき、読出し操作を行ったホスト装置等は、メモリカード10に該当のデータがまだ格納されていないことを知ることができる。図12(b)に示すように、写真撮影されファイルデータが生成された場合は、DSC20等のホスト装置からのコマンドにより、OTP1に2進数で”1100”、OTP2に補完的に”0011”のデータが格納される。
次いで、図12(c)に示すように、保存されている写真に改ざんが無いかをチェックするために、上記ステップS14において改ざん検出用の第1、第2算出値を読出した結果、これらのデータが一致しており、ファイルデータの改ざんがないと判定される場合には、OTP1、OTP2のデータを読み出すのみである。そのため、データ書き込みはなされないため、データに変化は生じない(データ状態が保持される)。一方、図12(d)に示すように、上記ステップS14において改ざん検出用の第1、第2算出値と写真データを読み出し算出した結果、これらのデータとが一致せず、異常と判断された場合には、毎回計算しなくても済む様に、識別フラグそのものをビット単位で書き加え、データ状態を変更する(S17)。具体的には、OTP1に、”0011”を書き加え、OTP2に補完的に”1100”を書き加える。ただし、OTPの特性故に、「1」は「0」に書き戻すことはできないため、OTP1、OTP2にはともに、”1111”のデータが保持される。そのため、これ以降、この格納アドレスの読出し操作を行ったホスト装置は、読み出した識別フラグデータの”1111”を確認することにより、本格納アドレスのデータは無効であることを知ることができる。
図12(e)に示すように、機器が何らかの改ざん行為を判断した場合も、同様に、OTP1に”0011”、OTP2に”1100”が書き加えられるため、本格納アドレスのデータを無効(”1111”を保持)にすることができる。なお、図12(f)に示すように、OTP1、OTP2のデータが上記以外の場合は、フラグ補完器145は、上記以外のデータが保持されるため、改ざん有りと判断できる。
<作用効果>
実施の形態5によれば、少なくとも上記(1)と同様の効果が得られる。さらに、実施の形態5では、第2パーティション130は、2つのコンプリメンタリ型の第2パーティション131、132(OTP1、OTP2)により構成される。そのため、仮に、第2パーティション130に外部から直接改ざんが行われた場合であっても、2つのコンプリメンタリ型の第2パーティション131、132(OTP1、OTP2)から読み出したデータを利用することにより、容易にそれを検出できる。従って、セキュリティの精度を向上でき、信頼性の高いシステムを構築することができる点で、さらに有利である。
[その他の実施の形態]
上記各実施の形態1〜5では、第2パーティション130をOTPで構成する場合を一例として説明した。しかしながら、上記の通り、フラッシュメモリを用いて、改ざん検出制御部113が、第2パーティション130を書き換えや消去ができない形態で制御して、同様の機能を実現させることもできる。また、各実施の形態では、写真撮影のファイルデータを一例に説明したが、写真撮影のファイルデータに限定されることはない。例えば、動画データなど一般的なその他のファイルデータに適用可能である。ただし、実施の形態3、4で説明した、メモリカード10が専用の開始コマンドと終了コマンドを受けて、メモリカード10内部で、改ざん検出用算出値を計算する例に関しては、ファイルの書き込み、読み出しが、ひとつのファイル分、連続して行われることを前提にしている。そのため、複数のファイルをオープンして、ランダムに読み書きする記録システムの場合は、その趣旨にそぐわない。
以上のように、実施の形態1〜5によれば、従来のDSCと同様に、写真撮影を行ったり、不要なファイルを消去したりできることに加え、撮影されたファイルが改ざんを受けていないことを容易に確認できるため、より信頼性を向上できる。
また、本開示における技術の例示として、実施の形態1〜5を説明した。そのために、添付図面および詳細な説明を提供した。したがって、添付図面および詳細な説明に記載された構成要素の中には、課題解決のために必須な構成要素だけでなく、上記技術を例示するために、課題解決のためには必須でない構成要素も含まれ得る。そのため、それらの必須ではない構成要素が添付図面や詳細な説明に記載されていることをもって、直ちに、それらの必須ではない構成要素が必須であるとの認定をするべきではない。
また、上述の実施の形態は、本開示における技術を例示するためのものであるから、特許請求の範囲またはその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。
本開示は、例えばメモリカード及び記録システム等において記録されたファイルが改ざんされていないことを保証する必要のある分野でのアプリケーション等において適用可能である。
10 改ざん検出メモリカード
110 コントローラ
111 フロントエンド部
112 バックエンド部
113 改ざん検出制御部
114 改ざん検出通知器
115 不一致検出追記器
116 無効判定器
117 算出保存器
118 算出値計算比較器
120 第1パーティション
130 第2パーティション
20 改ざんチェック用のDSC
210 インターフェース回路
211 改ざん検出用算出器
220 全体制御部
230 メモリ
240 表示部
250 カメラ部
30 改ざんチェック読み出し器
310 インターフェース回路
311 改ざん検出用算出器
320 全体制御部
330 メモリ
340 表示部
40 フラッシュメモリカード
410 コントローラ
411 フロントエンド部
412 バックエンド部
420 フラッシュメモリ

Claims (3)

  1. データの読み出し及び書き換えが可能であって、ファイルデータが格納される第1記憶領域と、
    データの読み出し及び未書き込み領域の追記書き込みが可能であって、前記ファイルデータから算出される改ざん検出用の第1算出値が格納される第2記憶領域と、
    前記第1、第2記憶領域へのアクセス制御を行うコントローラとを具備し、前記コントローラは、
    外部のホスト装置からのコマンドを受け、前記第1、第2記憶領域へのアクセスを行うフロントエンド部と、
    前記第1算出値を前記ホスト装置に読み出すこと無く、前記第1算出値と前記ファイルデータから算出される改ざん検出用の第2算出値とが一致するか否かを判定し、その判定結果を前記ホスト装置に通知する改ざん検出通知部と、
    前記判定結果が不一致の場合、不一致を示す前記第2算出値を前記第2記憶領域に追記する追記部と
    を備える記憶装置。
  2. 前記コントローラは、前記追記部により前記第2記憶領域に前記不一致を示す第2算出値が所定の回数以上に追記される場合、前記ホスト装置にエラーを出力し、そのエラー出力以降、前記ホスト装置からのコマンドの内容に関わらず、無効の判定を前記ホスト装置に出力する無効判定部を備える
    請求項に記載の記憶装置。
  3. データの読み出し及び書き換えが可能であって、ファイルデータが格納される第1記憶領域と、
    データの読み出し及び未書き込み領域の追記書き込みが可能であって、前記ファイルデータから算出される改ざん検出用の第1算出値が格納される第2記憶領域と、
    前記第1、第2記憶領域へのアクセス制御を行うコントローラとを具備し、前記コントローラは、
    外部のホスト装置からのコマンドを受け、前記第1、第2記憶領域へのアクセスを行うフロントエンド部と、
    前記第1算出値を前記ホスト装置に読み出すこと無く、前記第1算出値と前記ファイルデータから算出される改ざん検出用の第2算出値とが一致するか否かを判定し、その判定結果を前記ホスト装置に通知する改ざん検出通知部とを備え、
    前記第2記憶領域は、互いに相補型のデータを記憶する2つのメモリにより構成され
    憶装置。
JP2013013491A 2012-03-09 2013-01-28 記憶装置、ホスト装置、記憶システム Expired - Fee Related JP5962918B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013013491A JP5962918B2 (ja) 2012-03-09 2013-01-28 記憶装置、ホスト装置、記憶システム
US13/785,449 US20130238566A1 (en) 2012-03-09 2013-03-05 Storage device, host device, and storage system

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2012052657 2012-03-09
JP2012052657 2012-03-09
JP2013013491A JP5962918B2 (ja) 2012-03-09 2013-01-28 記憶装置、ホスト装置、記憶システム

Publications (3)

Publication Number Publication Date
JP2013214287A JP2013214287A (ja) 2013-10-17
JP2013214287A5 JP2013214287A5 (ja) 2015-06-18
JP5962918B2 true JP5962918B2 (ja) 2016-08-03

Family

ID=49114992

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013013491A Expired - Fee Related JP5962918B2 (ja) 2012-03-09 2013-01-28 記憶装置、ホスト装置、記憶システム

Country Status (2)

Country Link
US (1) US20130238566A1 (ja)
JP (1) JP5962918B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10637648B2 (en) * 2017-03-24 2020-04-28 Micron Technology, Inc. Storage device hash production

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4626136B2 (ja) * 1999-10-22 2011-02-02 株式会社日立製作所 ディジタル署名処理システムおよびディジタル署名生成処理プログラムが記憶された記憶媒体
US7533063B2 (en) * 2001-06-14 2009-05-12 Silicon Storage Technology, Inc. Smart memory card wallet
JP2003228284A (ja) * 2002-01-31 2003-08-15 Fujitsu Ltd データ保存装置、データ保存方法、データ検証装置、データアクセス許可装置、プログラム、記録媒体
JP2004272893A (ja) * 2003-02-21 2004-09-30 Matsushita Electric Ind Co Ltd ソフトウェア管理システム、記録媒体及び情報処理装置
US7937593B2 (en) * 2004-08-06 2011-05-03 Broadcom Corporation Storage device content authentication
US8291226B2 (en) * 2006-02-10 2012-10-16 Qualcomm Incorporated Method and apparatus for securely booting from an external storage device
US8528102B2 (en) * 2006-10-06 2013-09-03 Broadcom Corporation Method and system for protection of customer secrets in a secure reprogrammable system
EP2096546B1 (en) * 2006-12-15 2018-08-08 Panasonic Corporation Write once recording device
US7778074B2 (en) * 2007-03-23 2010-08-17 Sigmatel, Inc. System and method to control one time programmable memory
US8695087B2 (en) * 2008-04-04 2014-04-08 Sandisk Il Ltd. Access control for a memory device
US8266366B2 (en) * 2008-04-11 2012-09-11 SanDisk Technologies, Inc. Memory device operable in read-only and write-once, read-many (WORM) modes of operation

Also Published As

Publication number Publication date
US20130238566A1 (en) 2013-09-12
JP2013214287A (ja) 2013-10-17

Similar Documents

Publication Publication Date Title
US20190102262A1 (en) Automated continuous checkpointing
US20110202709A1 (en) Optimizing storage of common patterns in flash memory
TWI498899B (zh) 資料寫入方法、記憶體控制電路單元與記憶體儲存裝置
TW200921360A (en) Data preserving method and data accessing method for non-volatile memory
TWI459202B (zh) 資料處理方法、記憶體控制器與記憶體儲存裝置
TW201217968A (en) Data writing method, memory controller and memory storage apparatus
TWI705687B (zh) 用於資料加解密的金鑰管理裝置及處理器晶片
Geier The differences between SSD and HDD technology regarding forensic investigations
WO2024087939A1 (zh) 固态硬盘及其限次访问控制方法、电子设备
Vieyra et al. Solid state drive forensics: Where do we stand?
US8074046B2 (en) Semiconductor memory device and operation method thereof
JP5962918B2 (ja) 記憶装置、ホスト装置、記憶システム
US20110161386A1 (en) Semiconductor device with a plurality of write conditions and memory system
TWI519166B (zh) 影像錄製系統、裝置與錄影時的資料存取方法
JPH0546490A (ja) メモリカード装置
TW201001421A (en) Memory device and data storing method
KR101889222B1 (ko) 악성코드탐지를 수행하는 이동식저장장치 및 이를 위한 방법
US11620234B2 (en) Operation-deterministic write operations for data recovery and integrity checks
JP2006133923A (ja) データ記録再生装置、記録再生方法、プログラム並びにデータ記録媒体
KR101265691B1 (ko) 저장 장치의 식별자 관리 방법, 복원 방법 및 그 장치
JPH11120044A (ja) データ処理装置、データ処理方法、データ処理システム及び記録媒体
JP2020095396A (ja) 電子デバイス、異常検知方法およびプログラム
US11709785B2 (en) Just-in-time post-processing computation capabilities for encrypted data
JP2009134514A (ja) メモリコントローラ、不揮発性記憶装置、及び不揮発性記憶システム
JP3624647B2 (ja) 記憶装置、データ管理装置、データ管理システム、データ管理方法、ファイル管理装置、記録媒体及びファイル管理システム

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20141006

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20141014

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150430

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150430

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160531

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160614

R151 Written notification of patent or utility model registration

Ref document number: 5962918

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees