JP6645225B2 - Data security device - Google Patents

Data security device Download PDF

Info

Publication number
JP6645225B2
JP6645225B2 JP2016019921A JP2016019921A JP6645225B2 JP 6645225 B2 JP6645225 B2 JP 6645225B2 JP 2016019921 A JP2016019921 A JP 2016019921A JP 2016019921 A JP2016019921 A JP 2016019921A JP 6645225 B2 JP6645225 B2 JP 6645225B2
Authority
JP
Japan
Prior art keywords
data
unit
processing
processed
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016019921A
Other languages
Japanese (ja)
Other versions
JP2017138842A (en
Inventor
上原 一浩
一浩 上原
荒井 総一郎
総一郎 荒井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2016019921A priority Critical patent/JP6645225B2/en
Priority to DE102017201555.1A priority patent/DE102017201555B4/en
Publication of JP2017138842A publication Critical patent/JP2017138842A/en
Application granted granted Critical
Publication of JP6645225B2 publication Critical patent/JP6645225B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Description

本発明は、データを格納する記憶装置と、記憶装置に対するデータの入力及び出力を制御する制御部と、備えるデータ保全装置に関する。   The present invention relates to a data storage device including a storage device that stores data, a control unit that controls input and output of data to and from the storage device.

従来、特許文献1に記載のように、記憶装置とアクセス制御部(制御部)とを備えるストレージデバイス制御装置(データ保全装置)が知られている。記憶装置は、データを記憶するものである。アクセス制御部は、記憶装置に対してデータの入力及び出力を制御するものである。   Conventionally, as described in Patent Document 1, a storage device control device (data security device) including a storage device and an access control unit (control unit) is known. The storage device stores data. The access control unit controls data input and output with respect to the storage device.

特開2011−103077号公報JP 2011-103077 A

ところで、記憶装置に格納されたデータは、プライバシー情報を含む場合がある。この場合に上記構成では、記憶部に入力されたデータが、プライバシー情報を含んだ状態でアクセス制御部へ出力される。これによれば、記憶装置からアクセス制御部へ出力されたデータからプライバシー情報が読み取られる虞がある。   By the way, data stored in the storage device may include privacy information. In this case, in the above configuration, the data input to the storage unit is output to the access control unit in a state including the privacy information. According to this, privacy information may be read from data output from the storage device to the access control unit.

本発明はこのような課題に鑑みてなされたものであり、記憶装置から制御部へ出力されたデータからプライバシー情報が読み取られるのを抑制するデータ保全装置を提供することを目的とする。   The present invention has been made in view of such a problem, and an object of the present invention is to provide a data security device that suppresses reading of privacy information from data output from a storage device to a control unit.

本発明は、上記目的を達成するために以下の技術的手段を採用する。なお、括弧内の符号は、ひとつの態様として下記の実施形態における具体的手段との対応関係を示すものであって、技術的範囲を限定するものではない。   The present invention employs the following technical means to achieve the above object. In addition, the code | symbol in a parenthesis shows the correspondence with the specific means in the following embodiment as one aspect, and does not limit a technical range.

本発明のひとつは、データを格納する記憶装置(20)と、
記憶装置に格納すべきデータを入力するとともに、記憶装置にデータ格納指令およびデータ読出し指令を与える制御部(10)と、を備え、
記憶装置は、
制御部からのデータ格納指令に応じて、記憶装置において制御部から入力されるデータが受信され、この受信されたデータを格納する記憶部(26)と、
データが記憶部に格納される前と、記憶部から読み出された後とのいずれか一方において、データに含まれるプライバシー情報を検出する検出部(S46)と、
検出部により検出されたプライバシー情報が復元できない状態となるように、記憶部から読み出されたデータを加工し、加工データを生成する加工部(S48)と、
制御部からのデータ読出し指令に応じて、加工部により加工された加工データを出力する出力部(S52)と、を備え、
記憶装置は、記憶部に格納されたデータが改竄されたか否かを判定するためのデータ認証子を、当該データに基づき算出する算出部(S42)と、データ認証子に基づいてデータが改竄されたか否かを判定する判定部(S44)と、をさらに有し、
算出部は、制御部からのデータを受信した際、受信したデータに基づきデータ認証子を算出するとともに、算出したデータ認証子を記憶部に格納し、且つ、記憶部からデータが読み出された際、加工部がデータを加工する前に、読み出したデータに基づきデータ認証子を算出し、
判定部は、受信したデータに基づいて算出されたデータ認証子と、読み出したデータに基づいて算出されたデータ認証子とを比較し、それぞれのデータ認証子同士が一致する場合にデータが改竄されていないと判定し、それぞれのデータ認証子同士が一致しない場合にデータが改竄されたと判定するOne of the present invention is a storage device (20) for storing data,
A control unit (10) for inputting data to be stored in the storage device and giving a data storage command and a data read command to the storage device ,
The storage device is
A storage unit that receives data input from the control unit in the storage device in response to a data storage command from the control unit, and stores the received data ;
A detecting unit (S46) for detecting privacy information included in the data either before data is stored in the storage unit or after data is read from the storage unit ;
As privacy information detected by the detection unit is a state that can not be restored, by processing the data read from the storage unit, the processing unit which generates processing data and (S48),
An output unit (S52) for outputting processed data processed by the processing unit in response to a data read command from the control unit;
The storage device calculates a data authenticator for determining whether the data stored in the storage unit has been tampered with based on the data. A calculation unit (S42) calculates the data authenticator based on the data. And a determining unit (S44) for determining whether or not
When receiving the data from the control unit, the calculation unit calculates the data authenticator based on the received data, stores the calculated data authenticator in the storage unit, and reads the data from the storage unit. At this time, before the processing unit processes the data, a data authenticator is calculated based on the read data,
The determination unit compares the data authenticator calculated based on the received data with the data authenticator calculated based on the read data. If the data authenticators match, the data is tampered. If the data authenticators do not match each other, it is determined that the data has been tampered with .

上記構成において、制御部へ出力された加工データは、プライバシー情報が復元できない状態となるように加工されている。これによれば、記憶装置から制御部へ出力されたデータからプライバシー情報が読み取られるのを抑制することができる。   In the above configuration, the processed data output to the control unit is processed so that the privacy information cannot be restored. According to this, it is possible to prevent privacy information from being read from data output from the storage device to the control unit.

第1実施形態に係るデータ保全装置の概略構成を示すブロック図である。It is a block diagram showing a schematic structure of a data security device concerning a 1st embodiment. ストレージデバイスの概略構成を示すブロック図である。FIG. 2 is a block diagram illustrating a schematic configuration of a storage device. 制御コントローラにおける入力処理の処理手順を示すフローチャートである。6 is a flowchart illustrating a processing procedure of an input process in the controller. 制御コントローラにおける出力処理の処理手順を示すフローチャートである。6 is a flowchart illustrating a processing procedure of an output process in a control controller. マイコンにおける出力処理の処理手順を示すフローチャートである。5 is a flowchart illustrating a processing procedure of an output process in the microcomputer. 第2実施形態に係るデータ保全装置においてストレージデバイスの概略構成を示すブロック図である。It is a block diagram showing a schematic structure of a storage device in a data security device concerning a 2nd embodiment. 制御コントローラにおける入力処理の処理手順を示すフローチャートである。6 is a flowchart illustrating a processing procedure of an input process in the controller. 制御コントローラにおける出力処理の処理手順を示すフローチャートである。6 is a flowchart illustrating a processing procedure of an output process in a controller. 第3実施形態に係るデータ保全装置において制御コントローラにおける出力処理の処理手順を示すフローチャートである。It is a flow chart which shows a processing procedure of output processing in a controller in a data security device concerning a 3rd embodiment. 第4実施形態に係るデータ保全装置において制御コントローラにおける出力処理の処理手順を示すフローチャートである。It is a flow chart which shows a processing procedure of output processing in a controller in a data security device concerning a 4th embodiment. 第1変形例に係るデータ保全装置の概略構成を示すブロック図である。It is a block diagram showing a schematic structure of a data security device concerning a 1st modification.

図面を参照して説明する。なお、複数の実施形態において、共通乃至関連する要素には同一の符号を付与するものとする。   This will be described with reference to the drawings. Note that, in a plurality of embodiments, common or related elements are given the same reference numerals.

(第1実施形態)
先ず、図1及び図2に基づき、データ保全装置100の概略構成について説明する。 (1st Embodiment)
First, a schematic configuration of the data security device 100 will be described with reference to FIGS.

図1に示すように、データ保全装置100は、電子制御装置200を備えている。本実施形態において電子制御装置200は、車両用のECUである。そのため、電子制御装置200は、車載電子制御装置と称することもできる。なお、電子制御装置200が車両用のECUとされない例を採用することもできる。データ保全装置100は、電子制御装置200に加えて他の構成要素を備えていてもよい。   As shown in FIG. 1, the data security device 100 includes an electronic control device 200. In the present embodiment, the electronic control unit 200 is a vehicle ECU. Therefore, the electronic control device 200 can also be called an on-vehicle electronic control device. Note that an example in which the electronic control device 200 is not an ECU for a vehicle may be employed. The data security device 100 may include other components in addition to the electronic control device 200.

電子制御装置200は、マイコン10を備えている。マイコン10は、特許請求の範囲に記載の制御部に相当する。本実施形態において、電子制御装置200は、ストレージデバイス20をさらに備えている。言い換えると、電子制御装置200は、ストレージデバイス20を内蔵している。ストレージデバイス20は、特許請求の範囲に記載の記憶装置に相当する。以上により、データ保全装置100は、マイコン10とストレージデバイス20とを備えている。マイコン10は、ストレージデバイス20と電気的に接続されている。   The electronic control device 200 includes the microcomputer 10. The microcomputer 10 corresponds to a control unit described in the claims. In the present embodiment, the electronic control device 200 further includes a storage device 20. In other words, the electronic control device 200 includes the storage device 20. The storage device 20 corresponds to a storage device described in the claims. As described above, the data security device 100 includes the microcomputer 10 and the storage device 20. The microcomputer 10 is electrically connected to the storage device 20.

マイコン10は、ストレージデバイス20にデータを入力する。言い換えると、マイコン10は、ストレージデバイス20へデータを取り込む。さらに言い換えると、ストレージデバイス20は、マイコン10からデータを取り込む。そして、ストレージデバイス20は、マイコン10から入力されたデータを格納する。以下、データ保全装置100において、マイコン10がストレージデバイス20へデータを入力し、入力されたデータをストレージデバイス20が格納する処理を入力処理と示す。入力処理については、下記で詳細に説明する。   The microcomputer 10 inputs data to the storage device 20. In other words, the microcomputer 10 loads data into the storage device 20. In other words, the storage device 20 takes in data from the microcomputer 10. Then, the storage device 20 stores the data input from the microcomputer 10. Hereinafter, in the data security device 100, a process in which the microcomputer 10 inputs data to the storage device 20 and the storage device 20 stores the input data is referred to as an input process. The input processing will be described in detail below.

ストレージデバイス20に格納されるデータとしては、車両の故障解析や、事故の証拠データの解析等に用いられるものを採用する。そのため、このデータは、車両の故障解析や、事故の証拠データの解析等を行う際に、ストレージデバイス20からマイコン10へ出力される。言い換えると、マイコン10は、ストレージデバイス20からデータを読み出す。   As data stored in the storage device 20, data used for vehicle failure analysis, analysis of accident evidence data, and the like is employed. Therefore, this data is output from the storage device 20 to the microcomputer 10 when performing a failure analysis of the vehicle, analysis of evidence data of an accident, and the like. In other words, the microcomputer 10 reads data from the storage device 20.

以下、データ保全装置100において、ストレージデバイス20からマイコン10へデータが出力される際の処理を出力処理と示す。出力処理では、データ保全装置100に対してデータを読み出すための読出機器が電気的に接続される。読出機器は、マイコン10と電気的に接続され、マイコン10を介してストレージデバイス20からデータを読み出す。出力処理については、下記で詳細に説明する。   Hereinafter, in the data security device 100, a process when data is output from the storage device 20 to the microcomputer 10 is referred to as an output process. In the output process, a reading device for reading data from the data security device 100 is electrically connected. The reading device is electrically connected to the microcomputer 10 and reads data from the storage device 20 via the microcomputer 10. The output processing will be described in detail below.

ストレージデバイス20に格納されるデータは、詳しく言うと、ドライブレコーダの画像データ、ドライバの運転特性データ、法規情報等である。運転特性データとは、例えば、アクセル開度と日時とが対応するデータ、ブレーキの作動状況と日時とが対応するデータ、及び、車両が走行した場所を示すデータである。   More specifically, the data stored in the storage device 20 is image data of a drive recorder, driving characteristic data of a driver, regulatory information, and the like. The driving characteristic data is, for example, data corresponding to the accelerator opening and the date and time, data corresponding to the brake operation status and the date and time, and data indicating the location where the vehicle has traveled.

以下、マイコン10からストレージデバイス20に入力されたデータをローデータと示す。ローデータは、生データと称することもできる。ローデータは、プライバシー情報を含む場合がある。プライバシー情報とは、プライバシー関する情報である。詳しく言うと、プライバシー情報とは、個人の生活に関わるものであり、公知になっておらず、且つ、通常は公開を望まない情報である。   Hereinafter, data input from the microcomputer 10 to the storage device 20 is referred to as raw data. Raw data can also be referred to as raw data. Raw data may include privacy information. Privacy information is information about privacy. More specifically, the privacy information relates to the life of an individual, is not publicly known, and is information that is not normally desired to be disclosed.

ローデータが画像データである場合、この画像データに含まれる人物の顔の画像等がプライバシー情報に相当する。また、上記した運転特性データは、このデータからドライバの行動パターンを読み取ることが可能であるため、プライバシー情報に相当する。   When the raw data is image data, an image of a face of a person included in the image data corresponds to the privacy information. The driving characteristic data described above corresponds to privacy information because the behavior pattern of the driver can be read from this data.

例えば、電子制御装置200がドライブレコーダと電気的に接続され、ドライブレコーダからマイコン10を介してストレージデバイス20へ、ローデータとして画像データが入力される。また、マイコン10は、制御対象を制御するためのデータとして運転特性データを作成し、ローデータとして運転特性データをストレージデバイス20へ入力する例を採用することもできる。さらに、電子制御装置200が他のECUと電気的に接続され、このECUからマイコン10を介してストレージデバイス20へ、ローデータとして運転特性データが入力される例を採用することもできる。   For example, the electronic control unit 200 is electrically connected to the drive recorder, and image data is input as raw data from the drive recorder to the storage device 20 via the microcomputer 10. In addition, the microcomputer 10 may employ an example in which the driving characteristic data is created as data for controlling the control target, and the driving characteristic data is input to the storage device 20 as raw data. Further, an example in which the electronic control unit 200 is electrically connected to another ECU and the driving characteristic data is input as raw data from the ECU to the storage device 20 via the microcomputer 10 may be adopted.

図2に示すように、ストレージデバイス20は、入出力I/F22と、制御コントローラ24と、記憶部26と、を有している。入出力I/F22は、ストレージデバイス20のインターフェース回路である。入出力I/F22は、マイコン10と制御コントローラ24とを電気的に中継している。   As shown in FIG. 2, the storage device 20 includes an input / output I / F 22, a controller 24, and a storage unit 26. The input / output I / F 22 is an interface circuit of the storage device 20. The input / output I / F 22 electrically relays the microcomputer 10 and the controller 24.

制御コントローラ24は、記憶部26に対してデータの入力及び出力を制御するものである。詳しく言うと、制御コントローラ24は、入出力I/F22を介してマイコン10から入力されたデータを記憶部26に入力する。また、制御コントローラ24は、記憶部26に格納されたデータを読み出し、読み出したデータをマイコン10へ入出力I/F22を介して出力する。   The controller 24 controls input and output of data to and from the storage unit 26. More specifically, the controller 24 inputs data input from the microcomputer 10 to the storage unit 26 via the input / output I / F 22. In addition, the controller 24 reads data stored in the storage unit 26 and outputs the read data to the microcomputer 10 via the input / output I / F 22.

また、制御コントローラ24は、マイコン10から入力されたローデータに含まれるプライバシー情報を検出する。詳しく言うと、制御コントローラ24は、マイコン10から入力されたローデータにプライバシー情報が含まれているか否かを検出するとともに、ローデータのうちのプライバシー情報が含まれている箇所を検出する。   Further, the controller 24 detects privacy information included in the raw data input from the microcomputer 10. More specifically, the controller 24 detects whether or not the raw data input from the microcomputer 10 includes privacy information, and detects a portion of the raw data where the privacy information is included.

また、制御コントローラ24は、検出したプライバシー情報が復元できない状態となるようにローデータを加工する。詳しく言うと、制御コントローラ24は、プライバシー情報が読み取りできない状態となるように、且つ、復元できない状態となるように、ローデータを加工する。言い換えると、制御コントローラ24は、加工によりローデータのプライバシー情報を保護する。これにより、制御コントローラ24は、ローデータから加工データを生成する。すなわち、加工データは、制御コントローラ24によってローデータが加工されたものである。   Further, the controller 24 processes the raw data so that the detected privacy information cannot be restored. More specifically, the controller 24 processes the raw data so that the privacy information cannot be read and cannot be restored. In other words, the controller 24 protects the privacy information of the raw data by processing. Thereby, the controller 24 generates the processing data from the raw data. That is, the processed data is obtained by processing the raw data by the controller 24.

プライバシー情報として人物の特定が可能な画像データをローデータが含む場合、制御コントローラ24は、データの加工処理として、人物の特定ができないように画像データを単一色で加工する。詳しく言うと、画像データが人物の顔の画像を含む場合、顔の画像を単一色で塗り潰す。なお、制御コントローラ24が、加工処理として、画像データにモザイク処理を施す例を採用することもできる。   When the raw data includes image data that can specify a person as privacy information, the controller 24 processes the image data in a single color so that the person cannot be specified as data processing. More specifically, when the image data includes a face image of a person, the face image is filled with a single color. Note that an example in which the controller 24 performs the mosaic processing on the image data as the processing may be employed.

また、プライバシー情報が詳細な場所を示す運転特性データである場合、制御コントローラ24は、加工処理として、ローデータを場所に関しないデータに加工する。詳細な場所を示す運転特性データとは、車両が走行した詳細な場所と日時とが対応するデータ等である。例えば、制御コントローラ24は、加工データとして、場所ではなく距離を示すデータや、特定の場所に行った回数を示すデータを生成する。   If the privacy information is driving characteristic data indicating a detailed place, the controller 24 processes the raw data into data that does not relate to the place as a processing. The driving characteristic data indicating the detailed location is data or the like corresponding to the detailed location where the vehicle has traveled and the date and time. For example, the control controller 24 generates, as the processing data, data indicating a distance instead of a place, or data indicating the number of times of going to a specific place.

プライバシー情報が時系列に沿った運転特性データである場合、制御コントローラ24は、加工処理として、ローデータを時間に関しないデータに加工する。時系列に沿った運転特性データとは、日時とアクセル開度とが対応するデータ等である。例えば、制御コントローラ24は、アクセル開度に対して閾値を設け、アクセル開度が閾値を超過した回数を算出する。そして、制御コントローラ24は、加工データとして、算出した回数と閾値とが対応するデータを生成する。これらの加工処理を、データをなますと言い換えることもできる。すなわち、加工データを、なましたデータと言い換えることもできる。   When the privacy information is time-series driving characteristic data, the controller 24 processes the raw data into data that is not related to time as the processing. The driving characteristic data along the time series is data or the like corresponding to the date and time and the accelerator opening. For example, the controller 24 sets a threshold value for the accelerator opening and calculates the number of times the accelerator opening exceeds the threshold. Then, the controller 24 generates, as the processing data, data in which the calculated number of times corresponds to the threshold. These processings can be rephrased as data masquerading. In other words, the processed data can be rephrased as sham data.

ローデータには、プライバシー情報以外の情報として、車両の故障解析や事故の証拠データの解析に必須なデータが含まれている場合がある。以下、車両の故障解析や事故の証拠データの解析に必須なデータを、必須データと示す。詳しく言うと、必須データとは、法規情報、GPSの位置情報、日時に関する情報、及び、車速情報等である。制御コントローラ24は、必須データを加工しない。本実施形態において、制御コントローラ24は、ローデータのうちのプライバシー情報以外を加工しない。   The raw data may include, as information other than the privacy information, data essential for vehicle failure analysis and analysis of accident evidence data. Hereinafter, data essential for vehicle failure analysis and analysis of accident evidence data will be referred to as essential data. More specifically, the essential data includes legal information, GPS position information, date and time information, vehicle speed information, and the like. The controller 24 does not process the essential data. In the present embodiment, the controller 24 does not process any data other than the privacy information in the raw data.

また、制御コントローラ24は、データが改竄されたか否かを判定するための認証子を算出する。制御コントローラ24は、例えば、改竄の判定対象であるデータに対してAESに基づく演算を行うことで認証子を算出する。AESは、Advanced Encryption Standardの略称である。   Further, the controller 24 calculates an authenticator for determining whether or not the data has been tampered. The controller 24 calculates the authenticator, for example, by performing an operation based on AES on the data to be determined to be falsified. AES is an abbreviation for Advanced Encryption Standard.

本実施形態において、制御コントローラ24は、ローデータ及び加工データの両方に対して認証子を算出する。以下、ローデータに対して算出された認証子を第1認証子と示す。また、加工データに対して算出された認証子を第2認証子と示す。そして、制御コントローラ24は、認証子を用いてデータが改竄されたか否かを判定する。   In the present embodiment, the controller 24 calculates an authenticator for both the raw data and the processed data. Hereinafter, the authenticator calculated for the raw data is referred to as a first authenticator. The authenticator calculated for the processed data is referred to as a second authenticator. Then, the controller 24 determines whether the data has been tampered with the authenticator.

また、制御コントローラ24は、データが破損しているか否かを判定するためのCRC値を算出する。詳しく言うと、制御コントローラ24は、ローデータ及び加工データの両方に対してCRC値を算出する。CRCとは、Cyclic Redundancy Checkの略称である。以下、ローデータに対して算出されたCRC値を第1CRC値と示す。また、加工データに対して算出されたCRC値を第2CRC値と示す。そして、制御コントローラ24は、CRC値を用いてデータが破損しているか否かを判定する。   Further, the controller 24 calculates a CRC value for determining whether or not the data is damaged. More specifically, the controller 24 calculates a CRC value for both the raw data and the processed data. CRC is an abbreviation for Cyclic Redundancy Check. Hereinafter, the CRC value calculated for the raw data is referred to as a first CRC value. The CRC value calculated for the processed data is referred to as a second CRC value. Then, the controller 24 uses the CRC value to determine whether the data is damaged.

マイコン10は、制御コントローラ24と同様に、加工データに基づき第2認証子及び第2CRC値を算出する。また、マイコン10は、第2認証子を用いて加工データが改竄されたか否かを判定する。さらに、マイコン10は、第2CRC値を用いて加工データが破損しているか否かを判定する。   The microcomputer 10 calculates a second authenticator and a second CRC value based on the processing data, similarly to the controller 24. Further, the microcomputer 10 determines whether or not the processed data has been falsified using the second authenticator. Further, the microcomputer 10 determines whether or not the processing data is damaged using the second CRC value.

記憶部26は、データを格納するものである。記憶部26としては、例えば、NAND型のフラッシュメモリを採用することができる。記憶部26は、記憶領域として、電気的に書き換え可能な書換領域26aと、電気的に書き換えできない非書換領域26bと、を有している。   The storage unit 26 stores data. As the storage unit 26, for example, a NAND flash memory can be adopted. The storage unit 26 has, as storage areas, an electrically rewritable area 26a and an electrically unrewritable non-rewritable area 26b.

書換領域26aでは、格納されたデータの消去及び再度の書き込みが可能とされている。これに対し、非書換領域26bでは、格納されたデータの消去及び再度の書き込みが不可能とされている。非書換領域26bは、OTP領域と称することもできる。   In the rewriting area 26a, stored data can be erased and rewritten. On the other hand, in the non-rewritable area 26b, erasing and rewriting of stored data cannot be performed. The non-rewritable area 26b can also be called an OTP area.

入力処理において制御コントローラ24は、マイコン10から入力されたデータに含まれる必須データを検出し、必須データを非書換領域26bに格納する。なお、制御コントローラ24が必須データの検出を行うデータは、ローデータ及び加工データのどちらでもよい。例えば、制御コントローラ24は、マイコン10から入力されたデータのうちの必須データ以外のデータを書換領域26aに格納する。   In the input process, the controller 24 detects essential data included in the data input from the microcomputer 10 and stores the essential data in the non-rewriting area 26b. The data on which the controller 24 detects essential data may be either raw data or processed data. For example, the controller 24 stores data other than the essential data in the data input from the microcomputer 10 in the rewriting area 26a.

次に、図2及び図3に基づき、データ保全装置100における入力処理の処理手順について説明する。以下、マイコン10からストレージデバイス20に入力されるローデータが、ドライブレコーダの画像データとされた構成について説明する。   Next, a processing procedure of the input processing in the data security device 100 will be described with reference to FIGS. Hereinafter, a configuration in which the raw data input from the microcomputer 10 to the storage device 20 is the image data of the drive recorder will be described.

データ保全装置100は、例えば、ドライブレコーダからマイコン10へデータが送信されることにより入力処理を開始する。入力処理においてマイコン10は、先ず、ストレージデバイス20に対してデータの格納を要求する格納コマンドを送信する。   The data security device 100 starts input processing when data is transmitted from the drive recorder to the microcomputer 10, for example. In the input processing, the microcomputer 10 first transmits a storage command to the storage device 20 to request data storage.

入力処理において制御コントローラ24は、先ず、マイコン10から格納コマンドを受信したか否かを判定する(S10)。制御コントローラ24は、S10において格納コマンドを受信していないと判定すると、再びS10の処理を行う。すなわち、制御コントローラ24は、格納コマンドを受信するまでS10の判定を繰り返し行う。   In the input process, the controller 24 first determines whether a storage command has been received from the microcomputer 10 (S10). When determining that the storage command has not been received in S10, the controller 24 performs the processing of S10 again. That is, the controller 24 repeats the determination in S10 until the storage command is received.

ドライブレコーダは、複数のタイミングでマイコン10にデータを入力する。マイコン10は、ドライブレコーダからデータが入力される度に、このデータをストレージデバイス20へ入力する。マイコン10は、格納コマンドを送信した後、入出力I/F22を介してローデータを制御コントローラ24に入力する。以下、ストレージデバイス20が1回の入力処理で格納する全てのデータを全データと示す。全データは、ドライブレコーダが所定の期間に出力する全てのデータである。   The drive recorder inputs data to the microcomputer 10 at a plurality of timings. The microcomputer 10 inputs this data to the storage device 20 every time data is input from the drive recorder. After transmitting the storage command, the microcomputer 10 inputs the raw data to the controller 24 via the input / output I / F 22. Hereinafter, all data stored by the storage device 20 in one input process is referred to as all data. All data is all data output by the drive recorder during a predetermined period.

マイコン10は、ストレージデバイス20へ全データを入力した後に、ストレージデバイス20に完了信号を送信する。完了信号とは、全データの入力が完了したことを示す信号である。マイコン10は、例えば、ドライブレコーダからデータが入力された後において次のデータが所定時間内に入力されない場合、ドライブレコーダからのデータの入力が終了したと判定する。そして、マイコン10は、ドライブレコーダからのデータの入力が終了したと判定した場合、ストレージデバイス20へ全データを入力した後に、完了信号を送信する。マイコン10は、完了信号を送信すると入力処理を終了する。   After inputting all the data to the storage device 20, the microcomputer 10 transmits a completion signal to the storage device 20. The completion signal is a signal indicating that the input of all data has been completed. For example, if the next data is not input within a predetermined time after the data is input from the drive recorder, the microcomputer 10 determines that the input of the data from the drive recorder is completed. When the microcomputer 10 determines that the input of the data from the drive recorder has been completed, the microcomputer 10 transmits a complete signal after inputting all the data to the storage device 20. When transmitting the completion signal, the microcomputer 10 ends the input processing.

制御コントローラ24は、S10において格納コマンドを受信したと判定すると、ローデータがマイコン10から入力されたか否かを判定する(S12)。制御コントローラ24は、S12においてローデータが入力されていないと判定すると、再びS12の処理を行う。すなわち、制御コントローラ24は、ローデータが入力されるまでS12の判定を繰り返し行う。このローデータとは、全データのうちの少なくとも一部のデータである。   When determining that the storage command has been received in S10, the controller 24 determines whether raw data has been input from the microcomputer 10 (S12). If the controller 24 determines in S12 that the raw data has not been input, it performs the processing of S12 again. That is, the controller 24 repeats the determination in S12 until the low data is input. The raw data is at least a part of all data.

制御コントローラ24は、S12においてローデータが入力されたと判定すると、S12で入力されたローデータに対して第1認証子及び第1CRC値を算出する(S14)。言い換えると、制御コントローラ24は、全データのうちのマイコン10から入力されたローデータに対し、第1認証子及び第1CRC値を計算する。なお、制御コントローラ24においてS14の処理を行う機能は、特許請求の範囲に記載の算出部に相当する。   When determining that the raw data is input in S12, the controller 24 calculates a first authenticator and a first CRC value for the raw data input in S12 (S14). In other words, the controller 24 calculates the first authenticator and the first CRC value for the raw data input from the microcomputer 10 out of all the data. Note that the function of performing the processing of S14 in the controller 24 corresponds to the calculating unit described in the claims.

次に、制御コントローラ24は、S14において第1認証子及び第1CRC値を算出したローデータを記憶部26に格納する(S16)。言い換えると、制御コントローラ24は、全てのデータのうちのS14において第1認証子及び第1CRC値を算出したローデータを、記憶部26に入力する。   Next, the controller 24 stores the raw data for which the first authenticator and the first CRC value have been calculated in S14 in the storage unit 26 (S16). In other words, the controller 24 inputs the raw data for which the first authenticator and the first CRC value have been calculated in S14 of all the data to the storage unit 26.

次に、制御コントローラ24は、マイコン10から完了信号を受信したか否かに基づき、全データをマイコン10から受信したか否かを判定する(S18)。言い換えると、制御コントローラ24は、マイコン10から全データが入力されたか否かを判定する。制御コントローラ24は、完了信号を受信していない場合、全データがマイコン10から入力されていないと判定する。   Next, the controller 24 determines whether all data has been received from the microcomputer 10 based on whether a completion signal has been received from the microcomputer 10 (S18). In other words, the controller 24 determines whether or not all data has been input from the microcomputer 10. When the controller 24 has not received the completion signal, the controller 24 determines that all data has not been input from the microcomputer 10.

S18において全データが入力されていないと判定された場合、制御コントローラ24がS14及びS16で処理を行ったローデータと異なる新たなローデータがマイコン10から制御コントローラ24へ入力される。そのため、制御コントローラ24は、S18において全データが入力されていないと判定した場合、新たに入力されたローデータに対してS14及びS16の処理を行い、再びS18の判定を行う。以上によれば、制御コントローラ24は、全データに対して第1CRC値及び第1認証子を算出するとともに全データを記憶部26に格納するまで、S14〜S18の処理を繰り返し行う。   If it is determined in S18 that all the data has not been input, new raw data different from the raw data processed by the controller 24 in S14 and S16 is input from the microcomputer 10 to the controller 24. Therefore, if the controller 24 determines in S18 that all the data has not been input, it performs the processing of S14 and S16 on the newly input raw data, and performs the determination of S18 again. According to the above, the controller 24 calculates the first CRC value and the first authenticator for all data and repeats the processing of S14 to S18 until all the data are stored in the storage unit 26.

制御コントローラ24は、完了信号を受信した場合、S18において全データがマイコン10から入力された判定する。制御コントローラ24は、S18において全データがマイコン10から入力された判定すると、算出した第1認証子及び第1CRC値を記憶部26に格納する(S20)。制御コントローラ24がS20で格納する第1認証子及び第1CRC値は、全データに対して制御コントローラ24が計算した値である。なお、この全データは、ローデータである。制御コントローラ24は、S20の処理を行った後に入力処理を終了する。   When receiving the completion signal, the controller 24 determines that all data has been input from the microcomputer 10 in S18. When determining that all the data has been input from the microcomputer 10 in S18, the controller 24 stores the calculated first authenticator and first CRC value in the storage unit 26 (S20). The first authenticator and the first CRC value stored in S20 by the controller 24 are values calculated by the controller 24 for all data. Note that all the data is raw data. After performing the processing of S20, the controller 24 ends the input processing.

次に、図2、図4及び図5に基づき、データ保全装置100における出力処理の処理手順について説明する。   Next, a processing procedure of the output processing in the data security device 100 will be described with reference to FIGS.

データ保全装置100では、例えば、読出機器からマイコン10へデータを読み出すための信号が入力された場合に出力処理を開始する。図4に示すように、制御コントローラ24は、出力処理を開始すると、マイコン10から読出コマンドを受信したか否かを判定する(S40)。読出コマンドとは、マイコン10が制御コントローラ24に対してデータの読み出しを要求するコマンドである。   In the data security device 100, for example, an output process is started when a signal for reading data from the reading device to the microcomputer 10 is input. As shown in FIG. 4, when starting the output processing, the controller 24 determines whether a read command has been received from the microcomputer 10 (S40). The read command is a command by which the microcomputer 10 requests the controller 24 to read data.

制御コントローラ24は、S40において読出コマンドを受信していないと判定すると、再びS40の処理を行う。すなわち、制御コントローラ24は、読出コマンドを受信するまでS40の判定を繰り返し行う。   If the controller 24 determines in S40 that the read command has not been received, the controller 24 performs the processing of S40 again. That is, the controller 24 repeatedly performs the determination in S40 until the read command is received.

次に、制御コントローラ24は、記憶部26からローデータを読み出して、読み出したローデータに対して第1認証子及び第1CRC値を算出する(S42)。このとき、制御コントローラ24が第1認証子及び第1CRC値を算出するローデータは、記憶部26に格納されていた全データである。なお、S42において、制御コントローラ24は、ローデータとともに格納されていた第1認証子及び第1CRC値も読み出す。制御コントローラ24においてS42の処理を行う機能は、特許請求の範囲に記載の算出部に相当する。   Next, the controller 24 reads the raw data from the storage unit 26, and calculates a first authenticator and a first CRC value for the read raw data (S42). At this time, the raw data for which the controller 24 calculates the first authenticator and the first CRC value is all the data stored in the storage unit 26. In S42, the controller 24 also reads out the first authenticator and the first CRC value stored together with the raw data. The function of performing the process of S42 in the controller 24 corresponds to the calculating unit described in the claims.

次に、制御コントローラ24は、第1認証子及び第1CRC値が期待値か否かを判定する(S44)。詳しく言うと、制御コントローラ24は、S42で算出した第1認証子が、ローデータとともに記憶部26に格納されていた第1認証子と一致しているか否かを判定する。言い換えると、制御コントローラ24は、S42で算出した第1認証子と、S20で格納した第1認証子と、を比較し、第1認証子同士が一致しているか否かを判定する。さらに言い換えると、制御コントローラ24は、ローデータの入力時に算出した第1認証子と、ローデータの出力時に算出した第1認証子と、を比較し、第1認証子同士が一致するか否かを判定する。   Next, the controller 24 determines whether the first authenticator and the first CRC value are expected values (S44). Specifically, the controller 24 determines whether the first authenticator calculated in S42 matches the first authenticator stored in the storage unit 26 together with the raw data. In other words, the controller 24 compares the first authenticator calculated in S42 with the first authenticator stored in S20, and determines whether or not the first authenticators match. In other words, the controller 24 compares the first authenticator calculated when the raw data is input with the first authenticator calculated when the raw data is output, and determines whether the first authenticators match each other. Is determined.

第1認証子が期待値であると判定された場合、制御コントローラ24がS14の処理を行った後からS42の処理を行うまでにローデータは改竄されていない。よって、制御コントローラ24は、第1認証子同士が一致する場合に、ローデータが改竄されていないと判定する。なお、制御コントローラ24においてS44の処理を行う機能は、特許請求の範囲に記載の判定部に相当する。   If it is determined that the first authenticator has the expected value, the raw data has not been tampered with after the control controller 24 performs the processing in S14 and before performing the processing in S42. Therefore, the controller 24 determines that the raw data is not falsified when the first authenticators match. Note that the function of performing the processing of S44 in the controller 24 corresponds to the determination unit described in the claims.

また、制御コントローラ24は、S42で算出した第1CRC値が、ローデータとともに記憶部26に格納されていた第1CRC値と一致しているか否かを判定する。言い換えると、制御コントローラ24は、S42で算出した第1CRC値が、S20で格納した第1CRC値と一致しているか否かを判定する。   Further, the controller 24 determines whether the first CRC value calculated in S42 matches the first CRC value stored in the storage unit 26 together with the raw data. In other words, the controller 24 determines whether the first CRC value calculated in S42 matches the first CRC value stored in S20.

第1CRC値が期待値であると判定された場合、制御コントローラ24がS14の処理を行った後からS42の処理を行うまでにローデータは破損していない。よって、制御コントローラ24は、第1CRC値同士が一致する場合に、ローデータが破損していないと判定する。   When it is determined that the first CRC value is the expected value, the raw data is not damaged after the control controller 24 performs the processing in S14 and before performing the processing in S42. Therefore, when the first CRC values match, the controller 24 determines that the raw data is not damaged.

制御コントローラ24は、S44において第1認証子及び第1CRC値の両方が期待値であると判定すると、記憶部26から読み出したローデータに対して、加工対象の検出を行う。言い換えると、制御コントローラ24は、記憶部26から読み出したローデータに対して、プライバシー情報の検出を行う。そして、制御コントローラ24は、加工対象を検出したか否かを判定する(S46)。制御コントローラ24においてS46の処理を行う機能は、特許請求の範囲に記載の検出部に相当する。   When the controller 24 determines in S44 that both the first authenticator and the first CRC value are the expected values, the controller 24 detects the processing target for the raw data read from the storage unit 26. In other words, the controller 24 detects privacy information for the raw data read from the storage unit 26. Then, the controller 24 determines whether a processing target has been detected (S46). The function of performing the process of S46 in the controller 24 corresponds to the detecting unit described in the claims.

制御コントローラ24は、S46でプライバシー情報を検出したと判定すると、検出したプライバシー情報に対して加工を行う(S48)。制御コントローラ24においてS48の処理を行う機能は、特許請求の範囲に記載の加工部に相当する。本実施形態において、制御コントローラ24は、S46において全データの一部のデータに対して検出を行い、全データに対する検出を完了する前にS48でプライバシー情報の加工を行う。   When determining that the privacy information is detected in S46, the controller 24 processes the detected privacy information (S48). The function of performing the process of S48 in the controller 24 corresponds to a processing unit described in the claims. In the present embodiment, the controller 24 performs detection on a part of all data in S46, and processes privacy information in S48 before completing detection on all data.

次に、制御コントローラ24は、S48で加工したデータに対して第2認証子及び第2CRC値を算出する(S50)。詳しく言うと、制御コントローラ24は、全データのうちのS46及びS48で処理したデータに対して第2認証子及び第2CRC値を計算する。   Next, the controller 24 calculates a second authenticator and a second CRC value for the data processed in S48 (S50). More specifically, the controller 24 calculates a second authenticator and a second CRC value for data processed in S46 and S48 of all data.

制御コントローラ24は、S46においてプライバシー情報を検出しないと判定すると、S48の処理を行うことなく、S46で判定を行ったデータに対して第2認証子及び第2CRC値を算出する(S50)。すなわち、制御コントローラ24は、S46においてプライバシー情報を検出しない場合、S48の処理を行うことなくS50の処理を行う。なお、制御コントローラ24においてS50の処理を行う機能は、特許請求の範囲に記載の第1算出部に相当する。   When determining that the privacy information is not detected in S46, the controller 24 calculates the second authenticator and the second CRC value for the data determined in S46 without performing the process of S48 (S50). That is, when the privacy information is not detected in S46, the controller 24 performs the process of S50 without performing the process of S48. Note that the function of performing the process of S50 in the controller 24 corresponds to the first calculating unit described in the claims.

次に、制御コントローラ24は、全てのデータのうちのS46〜S50で処理したデータをマイコン10へ出力する。詳しく言うと、制御コントローラ24は、プライバシー情報を加工したデータ、又は、プライバシー情報が含まれていないデータをマイコン10へ出力する(S52)。   Next, the controller 24 outputs the data processed in S46 to S50 of all the data to the microcomputer 10. More specifically, the controller 24 outputs data obtained by processing privacy information or data that does not include privacy information to the microcomputer 10 (S52).

次に、制御コントローラ24は、マイコン10に対する全データの読み出しが完了したか否かを判定する(S54)。言い換えると、制御コントローラ24は、全データをマイコン10へ出力したか否かを判定する。制御コントローラ24は、例えば、S52で出力したデータの内容に基づきS54の判定を行う。制御コントローラ24は、S52で出力したデータがデータの切れ目を含む場合等に、全データをマイコン10へ出力したと判定する。   Next, the controller 24 determines whether the reading of all data from the microcomputer 10 has been completed (S54). In other words, the controller 24 determines whether or not all data has been output to the microcomputer 10. The controller 24 makes the determination in S54 based on the contents of the data output in S52, for example. The controller 24 determines that all data has been output to the microcomputer 10 when the data output in S52 includes a data break or the like.

S54において全データがマイコン10へ読み出されていないと判定された場合、S46〜S52の処理が行われていないローデータがストレージデバイス20に残されている。そのため、制御コントローラ24は、S54において全データの読み出しが完了していないと判定すると、残されたデータの少なくとも一部に対してS46〜S52の処理を行い、再びS54の判定を行う。以上によれば、制御コントローラ24は、マイコン10へ全データを出力するまで、S46〜S54の処理を繰り返し行う。   If it is determined in S54 that all data has not been read out to the microcomputer 10, raw data for which the processing of S46 to S52 has not been performed remains in the storage device 20. Therefore, if the controller 24 determines in S54 that the reading of all data has not been completed, the controller 24 performs the processing of S46 to S52 on at least a part of the remaining data, and performs the determination of S54 again. According to the above, the controller 24 repeats the processing of S46 to S54 until all the data is output to the microcomputer 10.

制御コントローラ24は、S54において全データの読み出しが完了したと判定すると、第2認証子及び第2CRC値をマイコン10へ出力する(S56)。なお、制御コントローラ24がS56で出力する第2認証子及び第2CRC値は、制御コントローラ24が全データに対して計算した値である。制御コントローラ24は、S56の処理を行った後に出力処理を終了する。   When the controller 24 determines in S54 that reading of all data has been completed, the controller 24 outputs a second authenticator and a second CRC value to the microcomputer 10 (S56). The second authenticator and second CRC value output by the controller 24 in S56 are values calculated by the controller 24 for all data. After performing the process of S56, the controller 24 ends the output process.

また、制御コントローラ24は、S44において、第1認証子及び第1CRC値の少なくとも一方が期待値と一致しない場合、読出コマンドに対する否定応答をマイコン10へ送信する(S58)。この場合、制御コントローラ24は、ローデータ及び加工データをマイコン10に出力しない。すなわち、マイコン10は、ストレージデバイス20からローデータ及び加工データを読み出さない。   If at least one of the first authenticator and the first CRC value does not match the expected value in S44, the controller 24 transmits a negative response to the read command to the microcomputer 10 (S58). In this case, the controller 24 does not output the raw data and the processed data to the microcomputer 10. That is, the microcomputer 10 does not read the raw data and the processed data from the storage device 20.

図5に示すように、マイコン10は、出力処理を開始すると、制御コントローラ24に対してデータの出力を要求する読出コマンドを送信する(S80)。次に、マイコン10は、制御コントローラ24からデータを受信したか否かを判定する(S82)。詳しく言うと、マイコン10は、制御コントローラ24がS52で出力したデータを受信したか否かを判定する。マイコン10は、データを受信していないと判定すると、再びS82の処理を行う。言い換えると、マイコン10は、制御コントローラ24からデータを受信するまでS82の処理を繰り返し行う。   As shown in FIG. 5, when starting the output processing, the microcomputer 10 transmits a read command requesting data output to the controller 24 (S80). Next, the microcomputer 10 determines whether or not data has been received from the controller 24 (S82). More specifically, the microcomputer 10 determines whether or not the data output by the controller 24 in S52 is received. If the microcomputer 10 determines that the data has not been received, it performs the process of S82 again. In other words, the microcomputer 10 repeats the process of S82 until data is received from the controller 24.

マイコン10は、S82においてデータを受信したと判定すると、受信したデータに対して第2認証子及び第2CRC値を算出する(S84)。なお、S82においてマイコン10が第2認証子及び第2CRC値を算出するデータは、全データのうちのマイコン10が制御コントローラ24から受信したデータである。マイコン10においてS84の処理を行う機能は、特許請求の範囲に記載の第2算出部に相当する。   If the microcomputer 10 determines that the data has been received in S82, the microcomputer 10 calculates a second authenticator and a second CRC value for the received data (S84). Note that the data for which the microcomputer 10 calculates the second authenticator and the second CRC value in S82 is the data that the microcomputer 10 received from the control controller 24 among all the data. The function of performing the process of S84 in the microcomputer 10 corresponds to a second calculating unit described in the claims.

次に、マイコン10は、ストレージデバイス20からの全データの読み出しが完了したか否かを判定する(S86)。言い換えると、マイコン10は、制御コントローラ24が全データを出力したか否かを判定する。マイコン10は、例えば、制御コントローラ24から読み出したデータの内容に基づきS86の判定を行う。S86においてマイコン10が判定を行う全データは、ローデータがプライバシー情報を含む場合、制御コントローラ24によりプライバシー情報が加工されたデータを含んでいる。言い換えると、S86においてマイコン10が判定を行う全データは、加工データである。   Next, the microcomputer 10 determines whether reading of all data from the storage device 20 has been completed (S86). In other words, the microcomputer 10 determines whether or not the control controller 24 has output all data. The microcomputer 10 makes the determination in S86 based on the contents of the data read from the controller 24, for example. When the raw data includes privacy information in S86, all data for which the microcomputer 10 makes a determination includes data in which privacy information has been processed by the controller 24. In other words, all data for which the microcomputer 10 makes a determination in S86 is processed data.

S86において全データの読み出しが完了していないと判定された場合、S84で処理されたデータと異なる新たなデータが制御コントローラ24からマイコン10へ読み出される。そのため、マイコン10は、S86において全データの読み出しが完了していないと判定した場合、新たに入力されるデータに対してS84の処理を行い、再びS86の判定を行う。以上によれば、マイコン10は、全データに対して第2認証子及び第2CRC値を算出するまで、S84及びS86の処理を繰り返し行う。   If it is determined in S86 that reading of all data has not been completed, new data different from the data processed in S84 is read from the controller 24 to the microcomputer 10. Therefore, when the microcomputer 10 determines that reading of all data is not completed in S86, the microcomputer 10 performs the process of S84 on newly input data, and performs the determination of S86 again. According to the above, the microcomputer 10 repeats the processing of S84 and S86 until the second authenticator and the second CRC value are calculated for all data.

マイコン10は、S86において全データの読み出しが完了したと判定した場合、制御コントローラ24から第2認証子及び第2CRC値を受信する(S88)。マイコン10がS88において受信する第2認証子及び第2CRC値は、制御コントローラ24がS56で出力したものである。   When the microcomputer 10 determines in S86 that the reading of all data has been completed, the microcomputer 10 receives the second authenticator and the second CRC value from the controller 24 (S88). The second authenticator and the second CRC value received by the microcomputer 10 in S88 are output by the controller 24 in S56.

次に、マイコン10は、第2認証子及び第2CRC値が期待値か否かを判定する(S90)。詳しく言うと、マイコン10は、S84で算出した第2認証子が、S88で受信した第2認証子と一致するか否かを判定する。第2認証子が期待値であると判定された場合、制御コントローラ24がS50の処理を行った後からマイコン10がS84の処理を行うまでに加工データは改竄されていない。よって、マイコン10は、第2認証子同士が一致する場合、加工データが改竄されていないと判定する。なお、マイコン10においてS90の処理を行う機能は、特許請求の範囲に記載の改竄判定部に相当する。   Next, the microcomputer 10 determines whether or not the second authenticator and the second CRC value are expected values (S90). More specifically, the microcomputer 10 determines whether the second authenticator calculated in S84 matches the second authenticator received in S88. When it is determined that the second authenticator is the expected value, the processed data is not falsified after the control controller 24 performs the processing of S50 and before the microcomputer 10 performs the processing of S84. Therefore, when the second authenticators match, the microcomputer 10 determines that the processed data has not been tampered with. The function of performing the process of S90 in the microcomputer 10 corresponds to a falsification determination unit described in the claims.

また、マイコン10は、S84で算出した第2CRC値が、S88で受信した第2CRC値と一致するか否かを判定する。第2CRC値が期待値であると判定された場合、制御コントローラ24がS50の処理を行った後からマイコン10がS84の処理を行うまでに加工データは破損していない。よって、マイコン10は、第2CRC値同士が一致する場合、加工データが破損していないと判定する。   Further, the microcomputer 10 determines whether or not the second CRC value calculated in S84 matches the second CRC value received in S88. When it is determined that the second CRC value is the expected value, the processed data is not damaged after the control controller 24 performs the processing of S50 and before the microcomputer 10 performs the processing of S84. Therefore, when the second CRC values match, the microcomputer 10 determines that the processed data is not damaged.

マイコン10は、第2認証子及び第2CRC値の両方が期待値である場合に、加工データが正常データであると判定する(S92)。正常データとは、改竄されておらず、且つ、破損していない加工データである。例えば、マイコン10は、加工データが正常データか否か示すフラグを有している。S92においてマイコン10は、フラグを所定の値に設定する。   When both of the second authenticator and the second CRC value are expected values, the microcomputer 10 determines that the processed data is normal data (S92). Normal data is processed data that has not been altered and is not damaged. For example, the microcomputer 10 has a flag indicating whether the processing data is normal data. In S92, the microcomputer 10 sets the flag to a predetermined value.

マイコン10は、第2認証子及び第2CRC値の少なくとも一方が期待値ではない場合、加工データが異常データであると判定する(S94)。異常データとは、改竄されたデータ、及び、破損しているデータの少なくとも一方である。例えば、S94においてマイコン10は、フラグの値を、S92で設定する値と異なる値に設定する。   If at least one of the second authenticator and the second CRC value is not the expected value, the microcomputer 10 determines that the processed data is abnormal data (S94). The abnormal data is at least one of falsified data and damaged data. For example, in S94, the microcomputer 10 sets the value of the flag to a value different from the value set in S92.

マイコン10は、S92又はS94の処理を行った後、加工データに対する判定結果を読出機器に通知する(S96)。詳しく言うと、マイコン10は、S92の処理を行った場合、加工データが正常データであることを示す信号を読出機器に送信する。一方、マイコン10は、S94の処理を行った場合、加工データが異常データであることを示す信号を読出機器に送信する。マイコン10は、S96の処理を行った後に出力処理を終了する。   After performing the processing of S92 or S94, the microcomputer 10 notifies the reading device of the determination result for the processed data (S96). More specifically, when performing the process of S92, the microcomputer 10 transmits a signal indicating that the processed data is normal data to the reading device. On the other hand, when performing the process of S94, the microcomputer 10 transmits a signal indicating that the processing data is abnormal data to the reading device. After performing the processing of S96, the microcomputer 10 ends the output processing.

次に、上記したデータ保全装置100の効果について説明する。   Next, effects of the data security device 100 will be described.

本実施形態において、ストレージデバイス20からマイコン10へ出力される加工データは、プライバシー情報が復元できない状態となるように加工されている。これによれば、ストレージデバイス20からマイコン10へ出力されたデータからプライバシー情報が読み取られるのを抑制することができる。   In the present embodiment, the processed data output from the storage device 20 to the microcomputer 10 is processed so that the privacy information cannot be restored. According to this, it is possible to prevent privacy information from being read from data output from the storage device 20 to the microcomputer 10.

ところで、記憶部26に格納されるローデータは、悪意のある第三者等によって改竄される場合がある。これに対し本実施形態では、ローデータが改竄されたか否かを第1認証子に応じて制御コントローラ24が判定している。よって、データ保全装置100では、ストレージデバイス20内でローデータが改竄されたか否かを判定することができる。   By the way, the raw data stored in the storage unit 26 may be falsified by a malicious third party or the like. On the other hand, in the present embodiment, the controller 24 determines whether or not the raw data has been falsified according to the first authenticator. Therefore, the data security device 100 can determine whether or not the raw data has been falsified in the storage device 20.

本実施形態において、ローデータが改竄されたと判定された場合、ローデータ及び加工データはストレージデバイス20からマイコン10へ出力されない。これによれば、改竄されたデータがストレージデバイス20の外部に出力されるのを抑制することができる。   In this embodiment, when it is determined that the raw data has been tampered with, the raw data and the processed data are not output from the storage device 20 to the microcomputer 10. According to this, the output of the falsified data to the outside of the storage device 20 can be suppressed.

本実施形態によれば、マイコン10からストレージデバイス20に入力されたローデータは、検出及び加工されることなく記憶部26に入力される。これによれば、ストレージデバイス20では、入力処理を簡素化することができる。よって、ストレージデバイス20では、入力処理を高速化することができる。したがって、容量の大きいローデータがマイコン10からストレージデバイス20に入力される場合であっても、入力処理が追いつかずデータを取りこぼしてしまうのを効果的に抑制することができる。   According to the present embodiment, the raw data input from the microcomputer 10 to the storage device 20 is input to the storage unit 26 without being detected and processed. According to this, in the storage device 20, the input processing can be simplified. Therefore, the storage device 20 can speed up the input processing. Therefore, even when raw data having a large capacity is input from the microcomputer 10 to the storage device 20, it is possible to effectively prevent the input processing from catching up and data being missed.

本実施形態では、加工データが改竄されたか否かを第2認証子に応じてマイコン10が判定している。よって、マイコン10は、読み出した加工データが改竄されたか否かを判定することができる。   In the present embodiment, the microcomputer 10 determines whether the processed data has been falsified according to the second authenticator. Therefore, the microcomputer 10 can determine whether the read processed data has been falsified.

書換領域26aに格納されたデータに較べて、非書換領域26bに格納されたデータは改竄され難い。これに対し本実施形態では、必須データが、非書換領域26bに格納される。これによれば、必須データが改竄されるのを効果的に抑制することができる。   Data stored in the non-rewritable area 26b is less likely to be falsified than data stored in the rewritable area 26a. On the other hand, in the present embodiment, essential data is stored in the non-rewrite area 26b. According to this, it is possible to effectively suppress tampering of essential data.

本実施形態では、制御コントローラ24が画像データを単一色で加工する。これによれば、モザイク処理を施す例に較べて、制御コントローラ24の処理を簡素化することができる。   In the present embodiment, the controller 24 processes the image data in a single color. According to this, the processing of the controller 24 can be simplified as compared with the example of performing the mosaic processing.

(第2実施形態)
本実施形態において、第1実施形態に示したデータ保全装置100と共通する部分についての説明は割愛する。 (2nd Embodiment)
In the present embodiment, the description of the parts common to the data security device 100 shown in the first embodiment will be omitted.

本実施形態では、図6に示すように、入力処理において制御コントローラ24が、データを加工した後に、加工したデータを記憶部26に格納する。そして、出力処理において制御コントローラ24は、加工データを記憶部26から読み出して、読み出した加工データをマイコン10へ出力する。なお、マイコン10における入力処理及び出力処理の処理手順は、第1実施形態と同じである。   In the present embodiment, as shown in FIG. 6, in the input process, the controller 24 processes the data, and then stores the processed data in the storage unit 26. Then, in the output processing, the controller 24 reads the processed data from the storage unit 26 and outputs the read processed data to the microcomputer 10. The processing procedure of the input processing and the output processing in the microcomputer 10 is the same as in the first embodiment.

図7に示すように、入力処理において制御コントローラ24は、S12においてローデータが入力されたと判定すると、入力されたローデータに対して加工対象の検出を行い、加工対象を検出したか否かを判定する(S22)。制御コントローラ24においてS22の処理を行う機能は、特許請求の範囲に記載の検出部に相当する。   As shown in FIG. 7, when the controller 24 determines in the input process that raw data has been input in S12, the controller 24 detects a processing target with respect to the input raw data, and determines whether the processing target has been detected. A determination is made (S22). The function of performing the processing of S22 in the controller 24 corresponds to the detecting unit described in the claims.

そして、制御コントローラ24は、S22でプライバシー情報を検出したと判定すると、検出したプライバシー情報の加工を行う(S24)。制御コントローラ24においてS24の処理を行う機能は、特許請求の範囲に記載の加工部に相当する。   Then, when determining that the privacy information is detected in S22, the controller 24 processes the detected privacy information (S24). The function of performing the processing of S24 in the controller 24 corresponds to the processing unit described in the claims.

次に、制御コントローラ24は、S24で加工したデータに対して第2認証子及び第2CRC値を算出する(S26)。詳しく言うと、制御コントローラ24は、全データのうちのS22及びS24で処理したデータに対して第2認証子及び第2CRC値を計算する。   Next, the controller 24 calculates a second authenticator and a second CRC value for the data processed in S24 (S26). More specifically, the controller 24 calculates a second authenticator and a second CRC value for the data processed in S22 and S24 of all data.

制御コントローラ24は、S22においてプライバシー情報を検出しないと判定すると、S24の処理を行うことなく、S22で判定を行ったデータに対して第2認証子及び第2CRC値を算出する(S26)。すなわち、制御コントローラ24は、S22においてプライバシー情報を検出しないと判定すると、S24の処理を行うことなくS26の処理を行う。制御コントローラ24においてS26の処理を行う機能は、特許請求の範囲に記載の算出部に相当する。   When determining that the privacy information is not detected in S22, the controller 24 calculates the second authenticator and the second CRC value for the data determined in S22 without performing the processing in S24 (S26). That is, when determining that the privacy information is not detected in S22, the controller 24 performs the process of S26 without performing the process of S24. The function of performing the process of S26 in the controller 24 corresponds to the calculating unit described in the claims.

次に、制御コントローラ24は、記憶部26にデータを格納する(S28)。詳しく言うと、制御コントローラ24は、全データのうちのS22〜S26で処理したデータを記憶部26に格納する。そして、制御コントローラ24は、マイコン10からの全データの受信が完了したか否かを判定する(S30)。   Next, the controller 24 stores the data in the storage unit 26 (S28). More specifically, the controller 24 stores the data processed in S22 to S26 of the entire data in the storage unit 26. Then, the controller 24 determines whether or not reception of all data from the microcomputer 10 has been completed (S30).

制御コントローラ24は、S30において全データの受信が完了していないと判定すると、マイコン10から新たに入力されるデータの少なくとも一部に対してS22〜S28の処理を行い、再びS30の判定を行う。以上によれば、制御コントローラ24は、全データを記憶部26に格納するまで、S22〜S30の処理を繰り返し行う。   If the controller 24 determines in S30 that the reception of all data has not been completed, the controller 24 performs the processing of S22 to S28 on at least a part of the data newly input from the microcomputer 10, and performs the determination of S30 again. . According to the above, the controller 24 repeats the processing of S22 to S30 until all the data is stored in the storage unit 26.

制御コントローラ24は、S30において全データの受信が完了したと判定すると、第2認証子及び第2CRC値を記憶部26に格納する(S32)。なお、制御コントローラ24がS32で格納する第2認証子及び第2CRC値は、制御コントローラ24が全データに対して計算した値である。制御コントローラ24は、S32の処理を行った後に入力処理を終了する。   When the controller 24 determines in S30 that the reception of all data has been completed, the controller 24 stores the second authenticator and the second CRC value in the storage unit 26 (S32). The second authenticator and the second CRC value stored in S32 by the controller 24 are values calculated by the controller 24 for all data. After performing the process of S32, the controller 24 ends the input process.

図8に示すように、出力処理において制御コントローラ24は、S40において読出コマンドを受信したと判定すると、記憶部26から加工データを読み出して、読み出した加工データに対して第2認証子及び第2CRC値を算出する(S60)。このとき、制御コントローラ24が第2認証子及び第2CRC値を算出する加工データは、記憶部26に格納されていた全データである。なお、S60では、制御コントローラ24が、加工データとともに格納されていた第2認証子及び第2CRC値も読み出す。制御コントローラ24においてS60の処理を行う機能は、特許請求の範囲に記載の算出部及び第1算出部に相当する。   As shown in FIG. 8, in the output process, when the controller 24 determines that the read command has been received in S40, the controller reads the processed data from the storage unit 26, and applies the second authenticator and the second CRC to the read processed data. A value is calculated (S60). At this time, the processed data for which the controller 24 calculates the second authenticator and the second CRC value are all the data stored in the storage unit 26. In S60, the controller 24 also reads the second authenticator and the second CRC value stored together with the processing data. The function of performing the process of S60 in the controller 24 corresponds to the calculating unit and the first calculating unit described in the claims.

次に、制御コントローラ24は、第2認証子及び第2CRC値が期待値か否かを判定する(S62)。詳しく言うと、制御コントローラ24は、S60で算出した第2認証子が、加工データとともに記憶部26に格納されていた第2認証子と一致しているか否かを判定する。第2認証子が期待値であると判定された場合、制御コントローラ24がS26の処理を行った後からS60の処理を行うまでに加工データは改竄されていない。よって、制御コントローラ24は、第2認証子同士が一致する場合、加工データが改竄されていないと判定する。制御コントローラ24においてS62の処理を行う機能は、特許請求の範囲に記載の判定部に相当する。   Next, the controller 24 determines whether the second authenticator and the second CRC value are expected values (S62). More specifically, the controller 24 determines whether or not the second authenticator calculated in S60 matches the second authenticator stored in the storage unit 26 together with the processing data. When it is determined that the second authenticator is the expected value, the processed data has not been tampered with after the control controller 24 performs the processing of S26 and before performing the processing of S60. Therefore, if the second authenticators match, the controller 24 determines that the processed data has not been tampered with. The function of performing the process of S62 in the controller 24 corresponds to the determining unit described in the claims.

また、制御コントローラ24は、S62で算出した第2CRC値が、加工データとともに記憶部26に格納されていた第2CRC値と一致しているか否かを判定する。制御コントローラ24は、第2CRC値同士が一致する場合に、加工データが破損していないと判定する。   Further, the controller 24 determines whether or not the second CRC value calculated in S62 matches the second CRC value stored in the storage unit 26 together with the processing data. When the second CRC values match, the controller 24 determines that the processed data is not damaged.

制御コントローラ24は、S62において第2認証子及び第2CRC値の両方が期待値であると判定すると、マイコン10へ加工データを出力する(S52)。次に、制御コントローラ24は、マイコン10に対する全データの読み出したが完了したか否かを判定する(S54)。   When determining that both the second authenticator and the second CRC value are the expected values in S62, the controller 24 outputs the processed data to the microcomputer 10 (S52). Next, the controller 24 determines whether the reading of all data from the microcomputer 10 has been completed (S54).

制御コントローラ24は、S54において全データの読み出しが完了していないと判定すると、残されたデータの少なくとも一部に対してS52の処理を行い、再びS54の判定を行う。以上によれば、制御コントローラ24は、マイコン10へ全データを出力するまで、S52及びS54の処理を繰り返し行う。   If the controller 24 determines in S54 that reading of all data has not been completed, the controller 24 performs the processing of S52 on at least a part of the remaining data, and performs the determination of S54 again. According to the above, the controller 24 repeats the processing of S52 and S54 until all the data is output to the microcomputer 10.

制御コントローラ24は、S54において全データの読み出しが完了したと判定すると、S56の処理を行う。制御コントローラ24は、S56の処理を行った後に出力処理を終了する。なお、マイコン10は、出力処理におけるS90の判定において、S84で算出した第2認証子及び第2CRC値と、制御コントローラ24がS60で算出した第2認証子及び第2CRC値と、を比較して判定を行う。   When the controller 24 determines in S54 that the reading of all data has been completed, the controller 24 performs the processing of S56. After performing the process of S56, the controller 24 ends the output process. Note that the microcomputer 10 compares the second authenticator and second CRC value calculated in S84 with the second authenticator and second CRC value calculated in S60 by the controller 24 in the determination of S90 in the output process. Make a decision.

制御コントローラ24は、S62において第2認証子及び第2CRC値の少なくとも一方が期待値と一致しない場合、S58の処理を行う。これにより、制御コントローラ24は出力処理を終了する。   When at least one of the second authenticator and the second CRC value does not match the expected value in S62, the controller 24 performs the process of S58. Thereby, the controller 24 ends the output processing.

ところで、記憶部26に格納されているデータは、悪意のある第三者等によって読み出される場合がある。これに対し、本実施形態では、ローデータではなく加工データが記憶部26に格納される。これによれば、ローデータが記憶部26に格納される構成に較べて、プライバシー情報が読み取られるのを効果的に抑制することができる。   By the way, the data stored in the storage unit 26 may be read by a malicious third party or the like. On the other hand, in the present embodiment, not the raw data but the processed data is stored in the storage unit 26. According to this, compared to a configuration in which raw data is stored in the storage unit 26, reading of privacy information can be effectively suppressed.

本実施形態において、制御コントローラ24は、第2認証子に応じて加工データが改竄されたか否かを判定している。これによれば、データ保全装置100では、ストレージデバイス20内で加工データが改竄されたか否かを判定することができる。   In the present embodiment, the controller 24 determines whether or not the processed data has been falsified according to the second authenticator. According to this, the data security device 100 can determine whether or not the processed data has been falsified in the storage device 20.

本実施形態では、加工データが改竄されていないと判定された場合にのみ、加工データがマイコン10へ出力される。これによれば、改竄された加工データがストレージデバイス20の外部に出力されるのを抑制することができる。   In the present embodiment, the processed data is output to the microcomputer 10 only when it is determined that the processed data has not been tampered with. According to this, it is possible to suppress the falsified processed data from being output to the outside of the storage device 20.

(第3実施形態)
本実施形態において、第1実施形態に示したデータ保全装置100と共通する部分についての説明は割愛する。 (Third embodiment)
In the present embodiment, the description of the parts common to the data security device 100 shown in the first embodiment will be omitted.

本実施形態において、制御コントローラ24は、データを読み出すためのセキュリティ認証をマイコン10に対して行う。そして、制御コントローラ24は、認証が成立した場合に加工データをマイコン10へ出力し、認証が成立しない場合にローデータ及び加工データをマイコン10へ出力しない。言い換えると、制御コントローラ24は、マイコン10に対して、記憶部26に格納されたデータのアクセスを許可するか否かの判定を行う。また、ストレージデバイス20がセキュリティアクセス機構を有していると言い換えることもできる。さらに言い換えると、制御コントローラ24は、マイコン10に対するデータの出力を無効化している。本実施形態では、制御コントローラ24が、マイコン10を介して読出機器のセキュリティ認証を行う。   In the present embodiment, the controller 24 performs security authentication on the microcomputer 10 for reading data. Then, the controller 24 outputs the processing data to the microcomputer 10 when the authentication is established, and does not output the raw data and the processing data to the microcomputer 10 when the authentication is not established. In other words, the controller 24 determines whether to permit the microcomputer 10 to access the data stored in the storage unit 26. In other words, the storage device 20 has a security access mechanism. In other words, the controller 24 invalidates data output to the microcomputer 10. In the present embodiment, the controller 24 performs security authentication of the reading device via the microcomputer 10.

図9に示すように、出力処理において制御コントローラ24は、S40で読出コマンドを受信したと判定すると、マイコン10に対してセキュリティ認証を行う(S64)。例えば、制御コントローラ24は、マイコン10に対してCHAP認証を行う。CHAPは、Challenge Handshake Authentication Protocolの略称である。CHAP認証では、制御コントローラ24及びマイコン10がAESに基づく演算等を行う。   As shown in FIG. 9, in the output process, when the controller 24 determines that the read command has been received in S40, it performs security authentication on the microcomputer 10 (S64). For example, the controller 24 performs CHAP authentication on the microcomputer 10. CHAP is an abbreviation for Challenge Handshake Authentication Protocol. In the CHAP authentication, the controller 24 and the microcomputer 10 perform calculations based on AES.

次に、制御コントローラ24は、S64で行った認証が成立したか否かを判定する(S66)。制御コントローラ24は、S66において認証が成立したと判定すると、S42〜S56の処理を行う。すなわち、制御コントローラ24は、ローデータを加工し、加工データをマイコン10へ出力する。なお、制御コントローラ24においてS64及びS66の処理を行う機能は、特許請求の範囲に記載の出力認証部に相当する。   Next, the controller 24 determines whether or not the authentication performed in S64 is established (S66). When determining that the authentication has been established in S66, the controller 24 performs the processing of S42 to S56. That is, the controller 24 processes the raw data and outputs the processed data to the microcomputer 10. The function of performing the processes of S64 and S66 in the controller 24 corresponds to the output authentication unit described in the claims.

制御コントローラ24は、S66において認証が成立しないと判定すると、S58の処理を行う。そのため、制御コントローラ24は、S66において認証が成立しないと判定すると、加工データ及びローデータをマイコン10に出力しない。   When the controller 24 determines that the authentication is not established in S66, the controller 24 performs the process of S58. Therefore, when determining that the authentication is not established in S66, the controller 24 does not output the processing data and the raw data to the microcomputer 10.

本実施形態では、制御コントローラ24の認証が成立した場合にのみ、ストレージデバイス20からマイコン10へ加工データが読み出される。これによれば、データの機密性を向上することができる。   In the present embodiment, the processed data is read from the storage device 20 to the microcomputer 10 only when the authentication of the controller 24 is established. According to this, the confidentiality of data can be improved.

なお、本実施形態では、データの出力を無効化するためのセキュリティ認証を制御コントローラ24が行う例を示したが、これに限定するものではない。制御コントローラ24とは別に、データの出力を無効化するためのセキュリティ認証を行う回路又は装置が、ストレージデバイス20に設けられていてもよい。   In the present embodiment, an example is described in which the controller 24 performs security authentication for invalidating data output. However, the present invention is not limited to this. Apart from the controller 24, a circuit or a device for performing security authentication for invalidating data output may be provided in the storage device 20.

(第4実施形態)
本実施形態において、第1実施形態に示したデータ保全装置100と共通する部分についての説明は割愛する。 (Fourth embodiment)
In the present embodiment, the description of the parts common to the data security device 100 shown in the first embodiment will be omitted.

本実施形態において、制御コントローラ24は、ローデータの加工を無効化するためのセキュリティ認証をマイコン10に対して行う。詳しく言うと、制御コントローラ24は、認証が成立した場合にローデータをマイコン10へ出力し、認証が成立しない場合に加工データをマイコン10へ出力する。言い換えると、制御コントローラ24は、マイコン10に対して、記憶部26に格納されたローデータのアクセスを許可するか否かの判定を行う。本実施形態において、制御コントローラ24は、マイコン10を介して読出機器のセキュリティ認証を行う。   In the present embodiment, the controller 24 performs security authentication on the microcomputer 10 for invalidating the processing of the raw data. More specifically, the controller 24 outputs the raw data to the microcomputer 10 when the authentication is established, and outputs the processing data to the microcomputer 10 when the authentication is not established. In other words, the controller 24 determines whether or not to permit the microcomputer 10 to access the raw data stored in the storage unit 26. In the present embodiment, the control controller 24 performs security authentication of the reading device via the microcomputer 10.

図10に示すように、出力処理において制御コントローラ24は、第1認証子及び第1CRC値の両方が期待値であるとS44で判定すると、マイコン10に対してセキュリティ認証を行う(S68)。そして、制御コントローラ24は、S68で行った認証が成立したか否かを判定する(S70)。なお、制御コントローラ24においてS68及びS70の処理を行う機能は、特許請求の範囲に記載の加工認証部に相当する。   As shown in FIG. 10, in the output process, when the controller 24 determines in S44 that both the first authenticator and the first CRC value are expected values, the controller 24 performs security authentication on the microcomputer 10 (S68). Then, the controller 24 determines whether or not the authentication performed in S68 is established (S70). Note that the function of performing the processes of S68 and S70 in the controller 24 corresponds to the processing authentication unit described in the claims.

制御コントローラ24は、S70において認証が成立しないと判定すると、S46〜S56の処理を行う。これにより、制御コントローラ24は、ローデータを加工し、加工データをマイコン10へ出力する。   If the controller 24 determines that the authentication is not established in S70, it performs the processing of S46 to S56. As a result, the controller 24 processes the raw data and outputs the processed data to the microcomputer 10.

一方、制御コントローラ24は、S70において認証が成立したと判定すると、ローデータを、加工することなくマイコン10へ出力する(S72)。次に、制御コントローラ24は、マイコン10に対する全データの読み出しが完了したか否かを判定する(S74)。制御コントローラ24は、S74において全データの読み出しが完了していないと判定すると、再びS72及びS74の処理を行う。以上によれば、制御コントローラ24は、ローデータである全データをマイコン10へ出力するまで、S72及びS74の処理を繰り返し行う。   On the other hand, if the controller 24 determines that the authentication has been established in S70, it outputs the raw data to the microcomputer 10 without processing (S72). Next, the controller 24 determines whether reading of all data from the microcomputer 10 has been completed (S74). If the controller 24 determines in S74 that the reading of all data has not been completed, it performs the processing of S72 and S74 again. According to the above, the controller 24 repeats the processing of S72 and S74 until all the data that is the raw data is output to the microcomputer 10.

制御コントローラ24は、S74において全データの読み出しが完了したと判定すると、S42で算出した第1認証子及び第1CRC値をマイコン10へ出力する(S76)。制御コントローラ24は、S76の処理を行った後、出力処理を終了する。   If the controller 24 determines in S74 that the reading of all data has been completed, the controller 24 outputs the first authenticator and the first CRC value calculated in S42 to the microcomputer 10 (S76). After performing the process of S76, the controller 24 ends the output process.

ストレージデバイス20に格納されたデータを用いて警察等が事故の証拠データの解析や故障解析を行う場合、加工データではなくローデータをマイコン10へ読み出すことが必要な場合がある。これに対し本実施形態では、認証が成立しない場合にマイコン10へ加工データが出力され、認証が成立した場合にローデータが出力される。したがって、プライバシー情報の機密性を確保しつつ、必要な場合にローデータをマイコン10へ読み出すことができる。   When a police or the like analyzes accident evidence data or failure analysis using data stored in the storage device 20, it may be necessary to read out raw data instead of processed data to the microcomputer 10. On the other hand, in the present embodiment, the processing data is output to the microcomputer 10 when the authentication is not established, and the raw data is output when the authentication is established. Therefore, the raw data can be read out to the microcomputer 10 when necessary while ensuring the confidentiality of the privacy information.

なお、本実施形態では、データの加工を無効化するためのセキュリティ認証を制御コントローラ24が行う例を示したが、これに限定するものではない。制御コントローラ24とは別に、データの加工を無効化するためのセキュリティ認証を行う回路又は装置が、ストレージデバイス20に設けられていてもよい。   In the present embodiment, an example is described in which the controller 24 performs security authentication for invalidating data processing, but the present invention is not limited to this. Apart from the controller 24, a circuit or a device for performing security authentication for invalidating data processing may be provided in the storage device 20.

以上、本発明の好ましい実施形態について説明したが、本発明は上記実施形態になんら制限されることなく、本発明の主旨を逸脱しない範囲において、種々変形して実施することが可能である。   As described above, the preferred embodiments of the present invention have been described. However, the present invention is not limited to the above embodiments, and can be variously modified and implemented without departing from the gist of the present invention.

上記実施形態では、プライバシー情報の検出、データの加工、認証子とCRC値の算出、及び、改竄と破損の判定の処理を制御コントローラ24が行う例を示した。しかしながら、これに限定するものではない。制御コントローラ24とは別の回路又は装置が、プライバシー情報の検出、データの加工、認証子とCRC値の算出、及び、改竄と破損の判定の少なくとも1つの処理を行ってもよい。   In the above-described embodiment, an example has been described in which the control controller 24 performs processing for detecting privacy information, processing data, calculating an authenticator and a CRC value, and determining tampering and damage. However, it is not limited to this. A circuit or device other than the controller 24 may perform at least one process of detecting privacy information, processing data, calculating an authenticator and a CRC value, and determining tampering and damage.

上記実施形態では、制御コントローラ24及びマイコン10が、認証子及びCRC値の両方を算出する例を示したが、これに限定するものではない。制御コントローラ24及びマイコン10が、認証子を算出し、CRC値を算出しない例を採用することもできる。よって、制御コントローラ24及びマイコン10が、データの改竄は判定するが、データの破損については判定しない例を採用することもできる。   In the above-described embodiment, an example has been described in which the controller 24 and the microcomputer 10 calculate both the authenticator and the CRC value, but the present invention is not limited to this. An example in which the controller 24 and the microcomputer 10 calculate the authenticator but do not calculate the CRC value may be adopted. Therefore, an example may be adopted in which the controller 24 and the microcomputer 10 determine whether data has been tampered with but do not determine whether data has been damaged.

また、制御コントローラ24及びマイコン10が、認証子及びCRC値の両方を算出しない例を採用することもできる。よって、制御コントローラ24及びマイコン10が、データの改竄及び破損の両方を判定しない例を採用することもできる。   Further, an example in which the controller 24 and the microcomputer 10 do not calculate both the authenticator and the CRC value can be adopted. Therefore, an example in which the control controller 24 and the microcomputer 10 do not determine both falsification and damage of data can be adopted.

上記実施形態では、電子制御装置200がストレージデバイス20を備える例を示したが、これに限定するものではない。図11の第1変形例に示すように、電子制御装置200がストレージデバイス20を備えない例を採用することもできる。第1変形例では、電子制御装置200が、ストレージデバイス20と外部接続されている。なお第1変形例においても、データ保全装置100は、マイコン10及びストレージデバイス20の両方を備えている。   In the above embodiment, the example in which the electronic control device 200 includes the storage device 20 has been described, but the present invention is not limited to this. As shown in a first modification of FIG. 11, an example in which the electronic control device 200 does not include the storage device 20 can be adopted. In the first modification, the electronic control unit 200 is externally connected to the storage device 20. Note that, also in the first modification, the data security device 100 includes both the microcomputer 10 and the storage device 20.

上記実施形態では、入力処理において制御コントローラ24がプライバシー情報の検出及び加工の両方を行う例、及び、出力処理において制御コントローラ24がプライバシー情報の検出及び加工の両方を行う例を示した。しかしながら、これに限定するものではない。制御コントローラ24は、入力処理においてプライバシー情報の検出を行うとともに、出力処理においてプライバシー情報の加工を行う例を採用することもできる。この例では、ストレージデバイス20において、入力処理及び出力処理の処理負荷が平滑化される。したがって、入力処理に掛かる時間、及び、出力処理に掛かる時間の一方が長くなるのを抑制することができる。   In the above-described embodiment, an example in which the control controller 24 performs both detection and processing of privacy information in the input processing, and an example in which the control controller 24 performs both detection and processing of privacy information in the output processing have been described. However, it is not limited to this. The controller 24 may employ an example in which privacy information is detected in the input processing and privacy information is processed in the output processing. In this example, in the storage device 20, the processing loads of the input processing and the output processing are smoothed. Therefore, it is possible to suppress an increase in one of the time required for the input processing and the time required for the output processing.

10…マイコン、20…ストレージデバイス、22…入出力I/F、24…制御コントローラ、26…記憶部、26a…書換領域、26b…非書換領域、100…データ保全装置、200…電子制御装置 Reference Signs List 10: microcomputer, 20: storage device, 22: input / output I / F, 24: controller, 26: storage unit, 26a: rewrite area, 26b: non-rewrite area, 100: data security device, 200: electronic control device

Claims (11)

データを格納する記憶装置(20)と、
前記記憶装置に格納すべきデータを入力するとともに、前記記憶装置にデータ格納指令およびデータ読出し指令を与える制御部(10)と、を備え、
前記記憶装置は、
前記制御部からのデータ格納指令に応じて、前記記憶装置において前記制御部から入力されるデータが受信され、この受信されたデータを格納する記憶部(26)と、
データが前記記憶部に格納される前と、前記記憶部から読み出された後とのいずれか一方において、データに含まれるプライバシー情報を検出する検出部(S46)と、
前記検出部により検出された前記プライバシー情報が復元できない状態となるように、前記記憶部から読み出されたデータを加工し、加工データを生成する加工部(S48)と、
前記制御部からのデータ読出し指令に応じて、前記加工部により加工された加工データを出力する出力部(S52)と、を備え、
前記記憶装置は、前記記憶部に格納されたデータが改竄されたか否かを判定するためのデータ認証子を、当該データに基づき算出する算出部(S42)と、データ認証子に基づいてデータが改竄されたか否かを判定する判定部(S44)と、をさらに有し、
前記算出部は、前記制御部からデータを受信した際、受信したデータに基づきデータ認証子を算出するとともに、算出したデータ認証子を前記記憶部に格納し、且つ、前記記憶部からデータが読み出された際、前記加工部がデータを加工する前に、読み出したデータに基づきデータ認証子を算出し、
前記判定部は、受信したデータに基づいて算出されたデータ認証子と、読み出したデータに基づいて算出されたデータ認証子とを比較し、データ認証子同士が一致する場合にデータが改竄されていないと判定し、データ認証子同士が一致しない場合にデータが改竄されたと判定するデータ保全装置。 A storage device (20) for storing data;
A control unit (10) for inputting data to be stored in the storage device and giving a data storage command and a data read command to the storage device .
The storage device,
A storage unit (26) that receives data input from the control unit in the storage device in response to a data storage command from the control unit, and stores the received data ;
A detecting unit (S46) for detecting privacy information included in the data either before data is stored in the storage unit or after data is read from the storage unit ;
Wherein as the privacy information detected by the detection unit is a state that can not be restored, by processing the data read from the storage unit, the processing unit which generates processing data and (S48),
An output unit (S52) for outputting processed data processed by the processing unit in response to a data read command from the control unit;
The storage device includes: a calculation unit (S42) that calculates a data authenticator for determining whether data stored in the storage unit has been tampered based on the data; A determination unit (S44) for determining whether or not tampering has been performed;
The calculating unit, when receiving data from the control unit, calculates a data authenticator based on the received data, stores the calculated data authenticator in the storage unit, and reads data from the storage unit. When issued, before the processing unit processes the data, calculate the data authenticator based on the read data,
The determining unit compares the data authenticator calculated based on the received data with the data authenticator calculated based on the read data, and if the data authenticators match each other, the data is tampered. A data security device that determines that data has not been tampered with and determines that data has been tampered with when the data authenticators do not match . 前記判定部は、データが改竄されていないと判定した場合に、前記出力部が前記加工データを前記制御部へ出力することを許可するとともに、データが改竄されたと判定した場合に、前記出力部が前記制御部へ出力することを許可しない請求項に記載のデータ保全装置。 The determination unit, when the data is determined not to be tampered, together with the output unit is allowed to output the processed data to the control unit, when it is determined that the data has been tampered with, the The data security device according to claim 1 , wherein the output unit does not permit the output to the control unit. 前記制御部からデータを受信した際、前記検出部は、データが前記記憶部に格納される前に、データに含まれる前記プライバシー情報の検出を行い、
前記加工部は、前記制御部からのデータ読出し指令に応じて前記記憶部から読み出されたデータに対して、前記検出部によるプライバシー情報の検出結果に基づいて加工を行う請求項1又は2に記載のデータ保全装置。 When receiving data from the control unit, the detection unit, before the data is stored in the storage unit, performs detection of the privacy information included in the data ,
The processing unit, the data read from the storage unit in response to a data read command from the control unit, to claim 1 or 2 for machining on the basis of the detection result of the privacy information by the detecting unit Data security device as described. 前記検出部は、前記制御部からのデータ読出し指令に応じて前記記憶部から読み出されたデータに対してプライバシー情報の検出を行い、
前記加工部は、前記検出部によるプライバシー情報の検出結果に基づいて、前記記憶部から読み出されたデータに対して加工を行請求項1又は2に記載のデータ保全装置。 Wherein the detection unit performs detection of the privacy information to read out data from the storage unit in response to a data read command from the control unit,
The processing unit, the detecting unit based on a detection result of the privacy information by the data security device according to machining to claim 1 or 2 intends row for data read from the storage unit. 前記記憶装置は、前記記憶部から読み出されたデータが前記加工部によって加工される前に前記制御部に対して未加工データへのアクセスを許可するか否かのセキュリティ認証を行い、セキュリティ認証が成立するか否かを判定する加工認証部(S68,S70)をさらに有し、
前記加工部は、前記加工認証部において未加工データへのアクセスを許可する認証が成立しない場合、読み出したデータを加工して、前記加工データを生成し、前記出力部は、前記加工部によって生成された加工データを出力し、一方、前記加工部は、前記加工認証部において未加工データへのアクセスを許可する認証が成立した場合、読み出したデータを加工せず、前記出力部は、前記加工部によって加工されていないデータを出力する請求項1乃至4のいずれか1項に記載のデータ保全装置。 The storage device, before the data read from the storage unit is processed by the processing unit, performs a security authentication as to whether to permit access to the raw data to the control unit, security It further includes a processing authentication unit (S68, S70) for determining whether the authentication is established,
The processing unit processes the read data to generate the processed data when the authentication for permitting access to the unprocessed data is not established in the processing authentication unit , and the output unit generates the processed data by the processing unit. The processing unit outputs the processed data. On the other hand, the processing unit does not process the read data when the authentication for permitting access to the unprocessed data is established in the processing authentication unit . The data security device according to any one of claims 1 to 4 , which outputs data that has not been processed by the unit. 前記記憶装置は、加工データが改竄されたか否かを判定するための加工データ認証子を、当該加工データに基づき算出する第1算出部(S50)をさらに有し、
前記出力部は、前記第1算出部が算出した加工データ認証子を、加工データとともに前記制御部へ出力し、
前記制御部は、前記出力部から出力された加工データに基づき加工データ認証子を算出する第2算出部(S84)と、加工データ認証子に基づいて、前記出力部から出力された加工データが改竄されたか否かを判定する改竄判定部(S90)と、を有し、
前記改竄判定部は、前記第1算出部により算出された加工データ認証子と、前記第2算出部により算出された加工データ認証子とを比較し、それぞれの加工データ認証子同士が一致する場合に加工データが改竄されていないと判定し、それぞれの加工データ認証子同士が一致しない場合に加工データが改竄されたと判定する請求項1乃至5のいずれか1項に記載のデータ保全装置。 The storage device processing data authenticator for determining whether the processing data has been tampered, further comprising a first calculation unit for calculating, based on the machining data (S50),
The output unit outputs the processing data authenticator calculated by the first calculation unit to the control unit together with processing data,
Wherein the control unit includes a second calculating section (S84) for calculating a machining data authenticator based on the processed data output from the output unit, based on the machining data authenticator, processed data output from the output unit A falsification determining unit (S90) for determining whether or not the data has been tampered with;
The tampering judgment unit, a processing data authenticator calculated by the first calculation unit, compares the processed data authenticator calculated by the second calculating unit, when the respective processed data authenticator each other matches 6. The data security apparatus according to claim 1 , wherein the data processing device determines that the processed data has not been tampered with, and determines that the processed data has been tampered with if the respective processed data authenticators do not match. データを格納する記憶装置(20)と、
前記記憶装置に格納すべきデータを入力するとともに、前記記憶装置にデータ格納指令およびデータ読出し指令を与える制御部(10)と、を備え、
前記記憶装置は、
前記制御部からのデータ格納指令に応じて、前記記憶装置において前記制御部から入力されるデータが受信され、この受信されたデータに含まれるプライバシー情報を検出する検出部(S22)と、
前記検出部により検出された前記プライバシー情報が復元できない状態となるようにデータを加工して、加工データを生成する加工部(S24)と、
前記加工部によって加工された加工データを格納する記憶部(26)と、
前記制御部からのデータ読出し指令に応じて、前記記憶部に格納された加工データを出力する出力部(S52)と、を備え、
前記記憶装置は、前記記憶部に格納された加工データが改竄されたか否かを判定するための加工データ認証子を、当該加工データに基づき算出する算出部(S26、S60)と、加工データ認証子に基づいて加工データが改竄されたか否かを判定する判定部(S62)と、をさらに有し、
前記算出部は、前記加工部によって生成された加工データが前記記憶部に格納される前に、当該加工データに基づいて加工データ認証子を算出するとともに、算出した加工データ認証子を前記記憶部に格納し、且つ、前記記憶部から加工データが読み出された際、読み出した加工データに基づき加工データ認証子を算出し、
前記判定部は、前記記憶部に格納される前の加工データに基づいて算出された加工データ認証子と、前記記憶部から読み出した加工データに基づいて算出された加工データ認証子とを比較し、加工データ認証子同士が一致する場合に加工データが改竄されていないと判定し、加工データ認証子同士が一致しない場合に加工データが改竄されたと判定するデータ保全装置。 A storage device (20) for storing data;
A control unit (10) for inputting data to be stored in the storage device and giving a data storage command and a data read command to the storage device.
The storage device,
A detection unit (S22) that receives data input from the control unit in the storage device in response to a data storage command from the control unit, and detects privacy information included in the received data;
A processing unit (S24) that processes data so that the privacy information detected by the detection unit cannot be restored and generates processed data;
A storage unit (26) for storing processing data processed by the processing unit;
An output unit (S52) for outputting machining data stored in the storage unit in response to a data read command from the control unit,
A calculating unit (S26, S60) for calculating, based on the processed data, a processed data authenticator for determining whether the processed data stored in the storage unit has been tampered with; A determination unit (S62) for determining whether the processed data has been tampered with based on the child.
The calculation unit calculates a processing data authenticator based on the processing data before the processing data generated by the processing unit is stored in the storage unit, and stores the calculated processing data authenticator in the storage unit. And, when processed data is read from the storage unit, calculate a processed data authenticator based on the read processed data,
The determination unit compares the processed data authenticator calculated based on the processed data before being stored in the storage unit with the processed data authenticator calculated based on the processed data read from the storage unit. A data security device that determines that the processed data has not been tampered with when the processed data authenticators match, and determines that the processed data has been tampered with when the processed data authenticators do not match . 前記判定部は、加工データが改竄されていないと判定した場合にのみ、前記出力部が加工データ前記制御部へ出力することを許可する請求項に記載のデータ保全装置。 The determination unit, only when the processing data is determined not to be falsified, the data security device of claim 7, wherein the output unit is allowed to output the processed data to the control unit. 前記記憶装置は、前記制御部に対して加工データの出力を許可するか否かのセキュリティ認証を行い、セキュリティ認証が成立するか否かを判定する出力認証部(S64,S66)をさらに有し、
前記出力部は、前記出力認証部において加工データの出力を許可する認証が成立した場合、前記制御部からのデータ読出し指令に応じて、前記加工部によって生成された加工データを出力し、一方、前記出力認証部において加工データの出力を許可する認証が成立しない場合、前記制御部からのデータ読出し指令があっても、加工データを出力しない請求項1乃至4、及び6乃至8のいずれか1項に記載のデータ保全装置。 The storage device further includes an output authentication unit (S64, S66) that performs security authentication as to whether or not to permit the control unit to output the processed data, and determines whether security authentication is established. ,
The output unit outputs the processed data generated by the processing unit in response to a data read command from the control unit when the authentication that permits the output of the processed data is established in the output authentication unit . If the authentication to enable the output of processed data at said output authentication unit is not established, even if the data reading command from the control unit, any one of claims 1 to 4, and 6 to 8 does not output the processed data 1 Data security device according to the paragraph. 前記記憶部は、記憶領域として、電気的に書き換えができない非書換領域(26b)を有し、
データのうちの前記検出部が検出した前記プライバシー情報以外の少なくとも一部のデータは、前記非書換領域に格納されるとともに、前記加工部によって加工されることなく、前記出力部によって前記制御部へ出力される請求項1乃至9のいずれか1項に記載のデータ保全装置。 The storage unit has a non-rewritable area (26b) that cannot be electrically rewritten as a storage area,
At least part of the data other than the privacy information detected by the detection unit is stored in the non-rewritable area, and is not processed by the processing unit, but is output to the control unit by the output unit. The data security device according to any one of claims 1 to 9 , which outputs the data. 前記制御部から入力されるデータは、プライバシー情報として、人物の特定が可能な画像データを含み、
前記加工部は、人物の特定ができないように前記画像データを単一色で加工する請求項1乃至10のいずれか1項に記載のデータ保全装置。 Data input from the control unit includes, as privacy information, image data capable of identifying a person,
The data security device according to any one of claims 1 to 10 , wherein the processing unit processes the image data in a single color so that a person cannot be identified.
JP2016019921A 2016-02-04 2016-02-04 Data security device Active JP6645225B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016019921A JP6645225B2 (en) 2016-02-04 2016-02-04 Data security device
DE102017201555.1A DE102017201555B4 (en) 2016-02-04 2017-01-31 DATA INTEGRITY FACILITY

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016019921A JP6645225B2 (en) 2016-02-04 2016-02-04 Data security device

Publications (2)

Publication Number Publication Date
JP2017138842A JP2017138842A (en) 2017-08-10
JP6645225B2 true JP6645225B2 (en) 2020-02-14

Family

ID=59522573

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016019921A Active JP6645225B2 (en) 2016-02-04 2016-02-04 Data security device

Country Status (2)

Country Link
JP (1) JP6645225B2 (en)
DE (1) DE102017201555B4 (en)

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1603044B1 (en) 2003-02-07 2016-05-04 Panasonic Intellectual Property Corporation of America Terminal device and data protection system using the same
JP2005228225A (en) * 2004-02-16 2005-08-25 Matsushita Electric Ind Co Ltd Memory card adaptor
US20070250228A1 (en) * 2006-04-19 2007-10-25 Snap-On Incorporated Configurable method and system for vehicle fault alert
JP2008102762A (en) * 2006-10-19 2008-05-01 Denso Corp Image collection system and recording device
JP4498370B2 (en) 2007-02-14 2010-07-07 株式会社東芝 Data writing method
KR100905675B1 (en) 2007-08-13 2009-07-03 한국전자통신연구원 Arraratus and method for recognizing fingerprint
US20110126020A1 (en) * 2007-08-29 2011-05-26 Toshiyuki Isshiki Content disclosure system and method for guaranteeing disclosed contents in the system
JP4807364B2 (en) * 2008-02-22 2011-11-02 日本電気株式会社 Information management device
JP5343817B2 (en) 2009-11-11 2013-11-13 トヨタ自動車株式会社 Storage device
JP5389972B2 (en) * 2012-03-30 2014-01-15 楽天株式会社 Data processing system, data processing system control method, user device, user device control method, data processing device, data processing device control method, program, and information storage medium
JP6241373B2 (en) * 2014-06-19 2017-12-06 株式会社デンソー Storage device, flash memory control device, and program

Also Published As

Publication number Publication date
DE102017201555A1 (en) 2017-08-24
JP2017138842A (en) 2017-08-10
DE102017201555B4 (en) 2022-01-27

Similar Documents

Publication Publication Date Title
KR102159540B1 (en) Information processing apparatus, information processing system, information processing method, and computer program
US20130081144A1 (en) Storage device and writing device
US20170255384A1 (en) Efficient secure boot carried out in information processing apparatus
EP1788506A2 (en) Method and apparatus for securely updating and boot code image
US20130117578A1 (en) Method for verifying a memory block of a nonvolatile memory
KR102062073B1 (en) Information processing apparatus and method of controlling the apparatus
JP6391439B2 (en) Information processing apparatus, server apparatus, information processing system, control method, and computer program
JP2018081349A (en) Falsification detection system, verification ecu, ecu to be verified, program
JP6659180B2 (en) Control device and control method
US20210374230A1 (en) Cryptography module and method for operating same
WO2021260984A1 (en) Information processing device, information processing method, and program
JP6645225B2 (en) Data security device
JP2004051056A (en) Electronic controller for automobile
CN116991671A (en) DCS controller and trusted start audit log recording method and system thereof
CN117009976A (en) Firmware loading control method, device and chip
CN113486360B (en) RISC-V based safe starting method and system
US11323265B2 (en) Storage device providing high security and electronic device including the storage device
JP2016167113A (en) On-vehicle control unit
JP4828996B2 (en) Information processing apparatus and unauthorized execution prohibition method of security release program using the same
JP7062927B2 (en) Vehicle electronics
JP6463435B1 (en) Control device and control method
JP2007188138A (en) Microcomputer and its security control method
JP4661244B2 (en) Air conditioner
US9239918B2 (en) Method and apparatus for software-hardware authentication of electronic apparatus
US20240104219A1 (en) Information processing apparatus, information processing method, and non-transitory computer readable medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180425

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190528

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190722

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191223

R151 Written notification of patent or utility model registration

Ref document number: 6645225

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250