JP6645225B2 - Data security device - Google Patents
Data security device Download PDFInfo
- Publication number
- JP6645225B2 JP6645225B2 JP2016019921A JP2016019921A JP6645225B2 JP 6645225 B2 JP6645225 B2 JP 6645225B2 JP 2016019921 A JP2016019921 A JP 2016019921A JP 2016019921 A JP2016019921 A JP 2016019921A JP 6645225 B2 JP6645225 B2 JP 6645225B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- unit
- processing
- processed
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 claims description 155
- 238000000034 method Methods 0.000 claims description 78
- 230000008569 process Effects 0.000 claims description 68
- 238000001514 detection method Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000013500 data storage Methods 0.000 claims description 8
- 238000004148 unit process Methods 0.000 claims description 4
- 238000003754 machining Methods 0.000 claims 6
- 230000006870 function Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Description
本発明は、データを格納する記憶装置と、記憶装置に対するデータの入力及び出力を制御する制御部と、備えるデータ保全装置に関する。 The present invention relates to a data storage device including a storage device that stores data, a control unit that controls input and output of data to and from the storage device.
従来、特許文献1に記載のように、記憶装置とアクセス制御部(制御部)とを備えるストレージデバイス制御装置(データ保全装置)が知られている。記憶装置は、データを記憶するものである。アクセス制御部は、記憶装置に対してデータの入力及び出力を制御するものである。 Conventionally, as described in Patent Document 1, a storage device control device (data security device) including a storage device and an access control unit (control unit) is known. The storage device stores data. The access control unit controls data input and output with respect to the storage device.
ところで、記憶装置に格納されたデータは、プライバシー情報を含む場合がある。この場合に上記構成では、記憶部に入力されたデータが、プライバシー情報を含んだ状態でアクセス制御部へ出力される。これによれば、記憶装置からアクセス制御部へ出力されたデータからプライバシー情報が読み取られる虞がある。 By the way, data stored in the storage device may include privacy information. In this case, in the above configuration, the data input to the storage unit is output to the access control unit in a state including the privacy information. According to this, privacy information may be read from data output from the storage device to the access control unit.
本発明はこのような課題に鑑みてなされたものであり、記憶装置から制御部へ出力されたデータからプライバシー情報が読み取られるのを抑制するデータ保全装置を提供することを目的とする。 The present invention has been made in view of such a problem, and an object of the present invention is to provide a data security device that suppresses reading of privacy information from data output from a storage device to a control unit.
本発明は、上記目的を達成するために以下の技術的手段を採用する。なお、括弧内の符号は、ひとつの態様として下記の実施形態における具体的手段との対応関係を示すものであって、技術的範囲を限定するものではない。 The present invention employs the following technical means to achieve the above object. In addition, the code | symbol in a parenthesis shows the correspondence with the specific means in the following embodiment as one aspect, and does not limit a technical range.
本発明のひとつは、データを格納する記憶装置(20)と、
記憶装置に格納すべきデータを入力するとともに、記憶装置にデータ格納指令およびデータ読出し指令を与える制御部(10)と、を備え、
記憶装置は、
制御部からのデータ格納指令に応じて、記憶装置において制御部から入力されるデータが受信され、この受信されたデータを格納する記憶部(26)と、
データが記憶部に格納される前と、記憶部から読み出された後とのいずれか一方において、データに含まれるプライバシー情報を検出する検出部(S46)と、
検出部により検出されたプライバシー情報が復元できない状態となるように、記憶部から読み出されたデータを加工して、加工データを生成する加工部(S48)と、
制御部からのデータ読出し指令に応じて、加工部により加工された加工データを出力する出力部(S52)と、を備え、
記憶装置は、記憶部に格納されたデータが改竄されたか否かを判定するためのデータ認証子を、当該データに基づき算出する算出部(S42)と、データ認証子に基づいてデータが改竄されたか否かを判定する判定部(S44)と、をさらに有し、
算出部は、制御部からのデータを受信した際、受信したデータに基づきデータ認証子を算出するとともに、算出したデータ認証子を記憶部に格納し、且つ、記憶部からデータが読み出された際、加工部がデータを加工する前に、読み出したデータに基づきデータ認証子を算出し、
判定部は、受信したデータに基づいて算出されたデータ認証子と、読み出したデータに基づいて算出されたデータ認証子とを比較し、それぞれのデータ認証子同士が一致する場合にデータが改竄されていないと判定し、それぞれのデータ認証子同士が一致しない場合にデータが改竄されたと判定する。
One of the present invention is a storage device (20) for storing data,
A control unit (10) for inputting data to be stored in the storage device and giving a data storage command and a data read command to the storage device ,
The storage device is
A storage unit that receives data input from the control unit in the storage device in response to a data storage command from the control unit, and stores the received data ;
A detecting unit (S46) for detecting privacy information included in the data either before data is stored in the storage unit or after data is read from the storage unit ;
As privacy information detected by the detection unit is a state that can not be restored, by processing the data read from the storage unit, the processing unit which generates processing data and (S48),
An output unit (S52) for outputting processed data processed by the processing unit in response to a data read command from the control unit;
The storage device calculates a data authenticator for determining whether the data stored in the storage unit has been tampered with based on the data. A calculation unit (S42) calculates the data authenticator based on the data. And a determining unit (S44) for determining whether or not
When receiving the data from the control unit, the calculation unit calculates the data authenticator based on the received data, stores the calculated data authenticator in the storage unit, and reads the data from the storage unit. At this time, before the processing unit processes the data, a data authenticator is calculated based on the read data,
The determination unit compares the data authenticator calculated based on the received data with the data authenticator calculated based on the read data. If the data authenticators match, the data is tampered. If the data authenticators do not match each other, it is determined that the data has been tampered with .
上記構成において、制御部へ出力された加工データは、プライバシー情報が復元できない状態となるように加工されている。これによれば、記憶装置から制御部へ出力されたデータからプライバシー情報が読み取られるのを抑制することができる。 In the above configuration, the processed data output to the control unit is processed so that the privacy information cannot be restored. According to this, it is possible to prevent privacy information from being read from data output from the storage device to the control unit.
図面を参照して説明する。なお、複数の実施形態において、共通乃至関連する要素には同一の符号を付与するものとする。 This will be described with reference to the drawings. Note that, in a plurality of embodiments, common or related elements are given the same reference numerals.
(第1実施形態)
先ず、図1及び図2に基づき、データ保全装置100の概略構成について説明する。
(1st Embodiment)
First, a schematic configuration of the
図1に示すように、データ保全装置100は、電子制御装置200を備えている。本実施形態において電子制御装置200は、車両用のECUである。そのため、電子制御装置200は、車載電子制御装置と称することもできる。なお、電子制御装置200が車両用のECUとされない例を採用することもできる。データ保全装置100は、電子制御装置200に加えて他の構成要素を備えていてもよい。
As shown in FIG. 1, the
電子制御装置200は、マイコン10を備えている。マイコン10は、特許請求の範囲に記載の制御部に相当する。本実施形態において、電子制御装置200は、ストレージデバイス20をさらに備えている。言い換えると、電子制御装置200は、ストレージデバイス20を内蔵している。ストレージデバイス20は、特許請求の範囲に記載の記憶装置に相当する。以上により、データ保全装置100は、マイコン10とストレージデバイス20とを備えている。マイコン10は、ストレージデバイス20と電気的に接続されている。
The
マイコン10は、ストレージデバイス20にデータを入力する。言い換えると、マイコン10は、ストレージデバイス20へデータを取り込む。さらに言い換えると、ストレージデバイス20は、マイコン10からデータを取り込む。そして、ストレージデバイス20は、マイコン10から入力されたデータを格納する。以下、データ保全装置100において、マイコン10がストレージデバイス20へデータを入力し、入力されたデータをストレージデバイス20が格納する処理を入力処理と示す。入力処理については、下記で詳細に説明する。
The
ストレージデバイス20に格納されるデータとしては、車両の故障解析や、事故の証拠データの解析等に用いられるものを採用する。そのため、このデータは、車両の故障解析や、事故の証拠データの解析等を行う際に、ストレージデバイス20からマイコン10へ出力される。言い換えると、マイコン10は、ストレージデバイス20からデータを読み出す。
As data stored in the
以下、データ保全装置100において、ストレージデバイス20からマイコン10へデータが出力される際の処理を出力処理と示す。出力処理では、データ保全装置100に対してデータを読み出すための読出機器が電気的に接続される。読出機器は、マイコン10と電気的に接続され、マイコン10を介してストレージデバイス20からデータを読み出す。出力処理については、下記で詳細に説明する。
Hereinafter, in the
ストレージデバイス20に格納されるデータは、詳しく言うと、ドライブレコーダの画像データ、ドライバの運転特性データ、法規情報等である。運転特性データとは、例えば、アクセル開度と日時とが対応するデータ、ブレーキの作動状況と日時とが対応するデータ、及び、車両が走行した場所を示すデータである。
More specifically, the data stored in the
以下、マイコン10からストレージデバイス20に入力されたデータをローデータと示す。ローデータは、生データと称することもできる。ローデータは、プライバシー情報を含む場合がある。プライバシー情報とは、プライバシー関する情報である。詳しく言うと、プライバシー情報とは、個人の生活に関わるものであり、公知になっておらず、且つ、通常は公開を望まない情報である。
Hereinafter, data input from the
ローデータが画像データである場合、この画像データに含まれる人物の顔の画像等がプライバシー情報に相当する。また、上記した運転特性データは、このデータからドライバの行動パターンを読み取ることが可能であるため、プライバシー情報に相当する。 When the raw data is image data, an image of a face of a person included in the image data corresponds to the privacy information. The driving characteristic data described above corresponds to privacy information because the behavior pattern of the driver can be read from this data.
例えば、電子制御装置200がドライブレコーダと電気的に接続され、ドライブレコーダからマイコン10を介してストレージデバイス20へ、ローデータとして画像データが入力される。また、マイコン10は、制御対象を制御するためのデータとして運転特性データを作成し、ローデータとして運転特性データをストレージデバイス20へ入力する例を採用することもできる。さらに、電子制御装置200が他のECUと電気的に接続され、このECUからマイコン10を介してストレージデバイス20へ、ローデータとして運転特性データが入力される例を採用することもできる。
For example, the
図2に示すように、ストレージデバイス20は、入出力I/F22と、制御コントローラ24と、記憶部26と、を有している。入出力I/F22は、ストレージデバイス20のインターフェース回路である。入出力I/F22は、マイコン10と制御コントローラ24とを電気的に中継している。
As shown in FIG. 2, the
制御コントローラ24は、記憶部26に対してデータの入力及び出力を制御するものである。詳しく言うと、制御コントローラ24は、入出力I/F22を介してマイコン10から入力されたデータを記憶部26に入力する。また、制御コントローラ24は、記憶部26に格納されたデータを読み出し、読み出したデータをマイコン10へ入出力I/F22を介して出力する。
The
また、制御コントローラ24は、マイコン10から入力されたローデータに含まれるプライバシー情報を検出する。詳しく言うと、制御コントローラ24は、マイコン10から入力されたローデータにプライバシー情報が含まれているか否かを検出するとともに、ローデータのうちのプライバシー情報が含まれている箇所を検出する。
Further, the
また、制御コントローラ24は、検出したプライバシー情報が復元できない状態となるようにローデータを加工する。詳しく言うと、制御コントローラ24は、プライバシー情報が読み取りできない状態となるように、且つ、復元できない状態となるように、ローデータを加工する。言い換えると、制御コントローラ24は、加工によりローデータのプライバシー情報を保護する。これにより、制御コントローラ24は、ローデータから加工データを生成する。すなわち、加工データは、制御コントローラ24によってローデータが加工されたものである。
Further, the
プライバシー情報として人物の特定が可能な画像データをローデータが含む場合、制御コントローラ24は、データの加工処理として、人物の特定ができないように画像データを単一色で加工する。詳しく言うと、画像データが人物の顔の画像を含む場合、顔の画像を単一色で塗り潰す。なお、制御コントローラ24が、加工処理として、画像データにモザイク処理を施す例を採用することもできる。
When the raw data includes image data that can specify a person as privacy information, the
また、プライバシー情報が詳細な場所を示す運転特性データである場合、制御コントローラ24は、加工処理として、ローデータを場所に関しないデータに加工する。詳細な場所を示す運転特性データとは、車両が走行した詳細な場所と日時とが対応するデータ等である。例えば、制御コントローラ24は、加工データとして、場所ではなく距離を示すデータや、特定の場所に行った回数を示すデータを生成する。
If the privacy information is driving characteristic data indicating a detailed place, the
プライバシー情報が時系列に沿った運転特性データである場合、制御コントローラ24は、加工処理として、ローデータを時間に関しないデータに加工する。時系列に沿った運転特性データとは、日時とアクセル開度とが対応するデータ等である。例えば、制御コントローラ24は、アクセル開度に対して閾値を設け、アクセル開度が閾値を超過した回数を算出する。そして、制御コントローラ24は、加工データとして、算出した回数と閾値とが対応するデータを生成する。これらの加工処理を、データをなますと言い換えることもできる。すなわち、加工データを、なましたデータと言い換えることもできる。
When the privacy information is time-series driving characteristic data, the
ローデータには、プライバシー情報以外の情報として、車両の故障解析や事故の証拠データの解析に必須なデータが含まれている場合がある。以下、車両の故障解析や事故の証拠データの解析に必須なデータを、必須データと示す。詳しく言うと、必須データとは、法規情報、GPSの位置情報、日時に関する情報、及び、車速情報等である。制御コントローラ24は、必須データを加工しない。本実施形態において、制御コントローラ24は、ローデータのうちのプライバシー情報以外を加工しない。
The raw data may include, as information other than the privacy information, data essential for vehicle failure analysis and analysis of accident evidence data. Hereinafter, data essential for vehicle failure analysis and analysis of accident evidence data will be referred to as essential data. More specifically, the essential data includes legal information, GPS position information, date and time information, vehicle speed information, and the like. The
また、制御コントローラ24は、データが改竄されたか否かを判定するための認証子を算出する。制御コントローラ24は、例えば、改竄の判定対象であるデータに対してAESに基づく演算を行うことで認証子を算出する。AESは、Advanced Encryption Standardの略称である。
Further, the
本実施形態において、制御コントローラ24は、ローデータ及び加工データの両方に対して認証子を算出する。以下、ローデータに対して算出された認証子を第1認証子と示す。また、加工データに対して算出された認証子を第2認証子と示す。そして、制御コントローラ24は、認証子を用いてデータが改竄されたか否かを判定する。
In the present embodiment, the
また、制御コントローラ24は、データが破損しているか否かを判定するためのCRC値を算出する。詳しく言うと、制御コントローラ24は、ローデータ及び加工データの両方に対してCRC値を算出する。CRCとは、Cyclic Redundancy Checkの略称である。以下、ローデータに対して算出されたCRC値を第1CRC値と示す。また、加工データに対して算出されたCRC値を第2CRC値と示す。そして、制御コントローラ24は、CRC値を用いてデータが破損しているか否かを判定する。
Further, the
マイコン10は、制御コントローラ24と同様に、加工データに基づき第2認証子及び第2CRC値を算出する。また、マイコン10は、第2認証子を用いて加工データが改竄されたか否かを判定する。さらに、マイコン10は、第2CRC値を用いて加工データが破損しているか否かを判定する。
The
記憶部26は、データを格納するものである。記憶部26としては、例えば、NAND型のフラッシュメモリを採用することができる。記憶部26は、記憶領域として、電気的に書き換え可能な書換領域26aと、電気的に書き換えできない非書換領域26bと、を有している。
The storage unit 26 stores data. As the storage unit 26, for example, a NAND flash memory can be adopted. The storage unit 26 has, as storage areas, an electrically
書換領域26aでは、格納されたデータの消去及び再度の書き込みが可能とされている。これに対し、非書換領域26bでは、格納されたデータの消去及び再度の書き込みが不可能とされている。非書換領域26bは、OTP領域と称することもできる。
In the
入力処理において制御コントローラ24は、マイコン10から入力されたデータに含まれる必須データを検出し、必須データを非書換領域26bに格納する。なお、制御コントローラ24が必須データの検出を行うデータは、ローデータ及び加工データのどちらでもよい。例えば、制御コントローラ24は、マイコン10から入力されたデータのうちの必須データ以外のデータを書換領域26aに格納する。
In the input process, the
次に、図2及び図3に基づき、データ保全装置100における入力処理の処理手順について説明する。以下、マイコン10からストレージデバイス20に入力されるローデータが、ドライブレコーダの画像データとされた構成について説明する。
Next, a processing procedure of the input processing in the
データ保全装置100は、例えば、ドライブレコーダからマイコン10へデータが送信されることにより入力処理を開始する。入力処理においてマイコン10は、先ず、ストレージデバイス20に対してデータの格納を要求する格納コマンドを送信する。
The
入力処理において制御コントローラ24は、先ず、マイコン10から格納コマンドを受信したか否かを判定する(S10)。制御コントローラ24は、S10において格納コマンドを受信していないと判定すると、再びS10の処理を行う。すなわち、制御コントローラ24は、格納コマンドを受信するまでS10の判定を繰り返し行う。
In the input process, the
ドライブレコーダは、複数のタイミングでマイコン10にデータを入力する。マイコン10は、ドライブレコーダからデータが入力される度に、このデータをストレージデバイス20へ入力する。マイコン10は、格納コマンドを送信した後、入出力I/F22を介してローデータを制御コントローラ24に入力する。以下、ストレージデバイス20が1回の入力処理で格納する全てのデータを全データと示す。全データは、ドライブレコーダが所定の期間に出力する全てのデータである。
The drive recorder inputs data to the
マイコン10は、ストレージデバイス20へ全データを入力した後に、ストレージデバイス20に完了信号を送信する。完了信号とは、全データの入力が完了したことを示す信号である。マイコン10は、例えば、ドライブレコーダからデータが入力された後において次のデータが所定時間内に入力されない場合、ドライブレコーダからのデータの入力が終了したと判定する。そして、マイコン10は、ドライブレコーダからのデータの入力が終了したと判定した場合、ストレージデバイス20へ全データを入力した後に、完了信号を送信する。マイコン10は、完了信号を送信すると入力処理を終了する。
After inputting all the data to the
制御コントローラ24は、S10において格納コマンドを受信したと判定すると、ローデータがマイコン10から入力されたか否かを判定する(S12)。制御コントローラ24は、S12においてローデータが入力されていないと判定すると、再びS12の処理を行う。すなわち、制御コントローラ24は、ローデータが入力されるまでS12の判定を繰り返し行う。このローデータとは、全データのうちの少なくとも一部のデータである。
When determining that the storage command has been received in S10, the
制御コントローラ24は、S12においてローデータが入力されたと判定すると、S12で入力されたローデータに対して第1認証子及び第1CRC値を算出する(S14)。言い換えると、制御コントローラ24は、全データのうちのマイコン10から入力されたローデータに対し、第1認証子及び第1CRC値を計算する。なお、制御コントローラ24においてS14の処理を行う機能は、特許請求の範囲に記載の算出部に相当する。
When determining that the raw data is input in S12, the
次に、制御コントローラ24は、S14において第1認証子及び第1CRC値を算出したローデータを記憶部26に格納する(S16)。言い換えると、制御コントローラ24は、全てのデータのうちのS14において第1認証子及び第1CRC値を算出したローデータを、記憶部26に入力する。
Next, the
次に、制御コントローラ24は、マイコン10から完了信号を受信したか否かに基づき、全データをマイコン10から受信したか否かを判定する(S18)。言い換えると、制御コントローラ24は、マイコン10から全データが入力されたか否かを判定する。制御コントローラ24は、完了信号を受信していない場合、全データがマイコン10から入力されていないと判定する。
Next, the
S18において全データが入力されていないと判定された場合、制御コントローラ24がS14及びS16で処理を行ったローデータと異なる新たなローデータがマイコン10から制御コントローラ24へ入力される。そのため、制御コントローラ24は、S18において全データが入力されていないと判定した場合、新たに入力されたローデータに対してS14及びS16の処理を行い、再びS18の判定を行う。以上によれば、制御コントローラ24は、全データに対して第1CRC値及び第1認証子を算出するとともに全データを記憶部26に格納するまで、S14〜S18の処理を繰り返し行う。
If it is determined in S18 that all the data has not been input, new raw data different from the raw data processed by the
制御コントローラ24は、完了信号を受信した場合、S18において全データがマイコン10から入力された判定する。制御コントローラ24は、S18において全データがマイコン10から入力された判定すると、算出した第1認証子及び第1CRC値を記憶部26に格納する(S20)。制御コントローラ24がS20で格納する第1認証子及び第1CRC値は、全データに対して制御コントローラ24が計算した値である。なお、この全データは、ローデータである。制御コントローラ24は、S20の処理を行った後に入力処理を終了する。
When receiving the completion signal, the
次に、図2、図4及び図5に基づき、データ保全装置100における出力処理の処理手順について説明する。
Next, a processing procedure of the output processing in the
データ保全装置100では、例えば、読出機器からマイコン10へデータを読み出すための信号が入力された場合に出力処理を開始する。図4に示すように、制御コントローラ24は、出力処理を開始すると、マイコン10から読出コマンドを受信したか否かを判定する(S40)。読出コマンドとは、マイコン10が制御コントローラ24に対してデータの読み出しを要求するコマンドである。
In the
制御コントローラ24は、S40において読出コマンドを受信していないと判定すると、再びS40の処理を行う。すなわち、制御コントローラ24は、読出コマンドを受信するまでS40の判定を繰り返し行う。
If the
次に、制御コントローラ24は、記憶部26からローデータを読み出して、読み出したローデータに対して第1認証子及び第1CRC値を算出する(S42)。このとき、制御コントローラ24が第1認証子及び第1CRC値を算出するローデータは、記憶部26に格納されていた全データである。なお、S42において、制御コントローラ24は、ローデータとともに格納されていた第1認証子及び第1CRC値も読み出す。制御コントローラ24においてS42の処理を行う機能は、特許請求の範囲に記載の算出部に相当する。
Next, the
次に、制御コントローラ24は、第1認証子及び第1CRC値が期待値か否かを判定する(S44)。詳しく言うと、制御コントローラ24は、S42で算出した第1認証子が、ローデータとともに記憶部26に格納されていた第1認証子と一致しているか否かを判定する。言い換えると、制御コントローラ24は、S42で算出した第1認証子と、S20で格納した第1認証子と、を比較し、第1認証子同士が一致しているか否かを判定する。さらに言い換えると、制御コントローラ24は、ローデータの入力時に算出した第1認証子と、ローデータの出力時に算出した第1認証子と、を比較し、第1認証子同士が一致するか否かを判定する。
Next, the
第1認証子が期待値であると判定された場合、制御コントローラ24がS14の処理を行った後からS42の処理を行うまでにローデータは改竄されていない。よって、制御コントローラ24は、第1認証子同士が一致する場合に、ローデータが改竄されていないと判定する。なお、制御コントローラ24においてS44の処理を行う機能は、特許請求の範囲に記載の判定部に相当する。
If it is determined that the first authenticator has the expected value, the raw data has not been tampered with after the
また、制御コントローラ24は、S42で算出した第1CRC値が、ローデータとともに記憶部26に格納されていた第1CRC値と一致しているか否かを判定する。言い換えると、制御コントローラ24は、S42で算出した第1CRC値が、S20で格納した第1CRC値と一致しているか否かを判定する。
Further, the
第1CRC値が期待値であると判定された場合、制御コントローラ24がS14の処理を行った後からS42の処理を行うまでにローデータは破損していない。よって、制御コントローラ24は、第1CRC値同士が一致する場合に、ローデータが破損していないと判定する。
When it is determined that the first CRC value is the expected value, the raw data is not damaged after the
制御コントローラ24は、S44において第1認証子及び第1CRC値の両方が期待値であると判定すると、記憶部26から読み出したローデータに対して、加工対象の検出を行う。言い換えると、制御コントローラ24は、記憶部26から読み出したローデータに対して、プライバシー情報の検出を行う。そして、制御コントローラ24は、加工対象を検出したか否かを判定する(S46)。制御コントローラ24においてS46の処理を行う機能は、特許請求の範囲に記載の検出部に相当する。
When the
制御コントローラ24は、S46でプライバシー情報を検出したと判定すると、検出したプライバシー情報に対して加工を行う(S48)。制御コントローラ24においてS48の処理を行う機能は、特許請求の範囲に記載の加工部に相当する。本実施形態において、制御コントローラ24は、S46において全データの一部のデータに対して検出を行い、全データに対する検出を完了する前にS48でプライバシー情報の加工を行う。
When determining that the privacy information is detected in S46, the
次に、制御コントローラ24は、S48で加工したデータに対して第2認証子及び第2CRC値を算出する(S50)。詳しく言うと、制御コントローラ24は、全データのうちのS46及びS48で処理したデータに対して第2認証子及び第2CRC値を計算する。
Next, the
制御コントローラ24は、S46においてプライバシー情報を検出しないと判定すると、S48の処理を行うことなく、S46で判定を行ったデータに対して第2認証子及び第2CRC値を算出する(S50)。すなわち、制御コントローラ24は、S46においてプライバシー情報を検出しない場合、S48の処理を行うことなくS50の処理を行う。なお、制御コントローラ24においてS50の処理を行う機能は、特許請求の範囲に記載の第1算出部に相当する。
When determining that the privacy information is not detected in S46, the
次に、制御コントローラ24は、全てのデータのうちのS46〜S50で処理したデータをマイコン10へ出力する。詳しく言うと、制御コントローラ24は、プライバシー情報を加工したデータ、又は、プライバシー情報が含まれていないデータをマイコン10へ出力する(S52)。
Next, the
次に、制御コントローラ24は、マイコン10に対する全データの読み出しが完了したか否かを判定する(S54)。言い換えると、制御コントローラ24は、全データをマイコン10へ出力したか否かを判定する。制御コントローラ24は、例えば、S52で出力したデータの内容に基づきS54の判定を行う。制御コントローラ24は、S52で出力したデータがデータの切れ目を含む場合等に、全データをマイコン10へ出力したと判定する。
Next, the
S54において全データがマイコン10へ読み出されていないと判定された場合、S46〜S52の処理が行われていないローデータがストレージデバイス20に残されている。そのため、制御コントローラ24は、S54において全データの読み出しが完了していないと判定すると、残されたデータの少なくとも一部に対してS46〜S52の処理を行い、再びS54の判定を行う。以上によれば、制御コントローラ24は、マイコン10へ全データを出力するまで、S46〜S54の処理を繰り返し行う。
If it is determined in S54 that all data has not been read out to the
制御コントローラ24は、S54において全データの読み出しが完了したと判定すると、第2認証子及び第2CRC値をマイコン10へ出力する(S56)。なお、制御コントローラ24がS56で出力する第2認証子及び第2CRC値は、制御コントローラ24が全データに対して計算した値である。制御コントローラ24は、S56の処理を行った後に出力処理を終了する。
When the
また、制御コントローラ24は、S44において、第1認証子及び第1CRC値の少なくとも一方が期待値と一致しない場合、読出コマンドに対する否定応答をマイコン10へ送信する(S58)。この場合、制御コントローラ24は、ローデータ及び加工データをマイコン10に出力しない。すなわち、マイコン10は、ストレージデバイス20からローデータ及び加工データを読み出さない。
If at least one of the first authenticator and the first CRC value does not match the expected value in S44, the
図5に示すように、マイコン10は、出力処理を開始すると、制御コントローラ24に対してデータの出力を要求する読出コマンドを送信する(S80)。次に、マイコン10は、制御コントローラ24からデータを受信したか否かを判定する(S82)。詳しく言うと、マイコン10は、制御コントローラ24がS52で出力したデータを受信したか否かを判定する。マイコン10は、データを受信していないと判定すると、再びS82の処理を行う。言い換えると、マイコン10は、制御コントローラ24からデータを受信するまでS82の処理を繰り返し行う。
As shown in FIG. 5, when starting the output processing, the
マイコン10は、S82においてデータを受信したと判定すると、受信したデータに対して第2認証子及び第2CRC値を算出する(S84)。なお、S82においてマイコン10が第2認証子及び第2CRC値を算出するデータは、全データのうちのマイコン10が制御コントローラ24から受信したデータである。マイコン10においてS84の処理を行う機能は、特許請求の範囲に記載の第2算出部に相当する。
If the
次に、マイコン10は、ストレージデバイス20からの全データの読み出しが完了したか否かを判定する(S86)。言い換えると、マイコン10は、制御コントローラ24が全データを出力したか否かを判定する。マイコン10は、例えば、制御コントローラ24から読み出したデータの内容に基づきS86の判定を行う。S86においてマイコン10が判定を行う全データは、ローデータがプライバシー情報を含む場合、制御コントローラ24によりプライバシー情報が加工されたデータを含んでいる。言い換えると、S86においてマイコン10が判定を行う全データは、加工データである。
Next, the
S86において全データの読み出しが完了していないと判定された場合、S84で処理されたデータと異なる新たなデータが制御コントローラ24からマイコン10へ読み出される。そのため、マイコン10は、S86において全データの読み出しが完了していないと判定した場合、新たに入力されるデータに対してS84の処理を行い、再びS86の判定を行う。以上によれば、マイコン10は、全データに対して第2認証子及び第2CRC値を算出するまで、S84及びS86の処理を繰り返し行う。
If it is determined in S86 that reading of all data has not been completed, new data different from the data processed in S84 is read from the
マイコン10は、S86において全データの読み出しが完了したと判定した場合、制御コントローラ24から第2認証子及び第2CRC値を受信する(S88)。マイコン10がS88において受信する第2認証子及び第2CRC値は、制御コントローラ24がS56で出力したものである。
When the
次に、マイコン10は、第2認証子及び第2CRC値が期待値か否かを判定する(S90)。詳しく言うと、マイコン10は、S84で算出した第2認証子が、S88で受信した第2認証子と一致するか否かを判定する。第2認証子が期待値であると判定された場合、制御コントローラ24がS50の処理を行った後からマイコン10がS84の処理を行うまでに加工データは改竄されていない。よって、マイコン10は、第2認証子同士が一致する場合、加工データが改竄されていないと判定する。なお、マイコン10においてS90の処理を行う機能は、特許請求の範囲に記載の改竄判定部に相当する。
Next, the
また、マイコン10は、S84で算出した第2CRC値が、S88で受信した第2CRC値と一致するか否かを判定する。第2CRC値が期待値であると判定された場合、制御コントローラ24がS50の処理を行った後からマイコン10がS84の処理を行うまでに加工データは破損していない。よって、マイコン10は、第2CRC値同士が一致する場合、加工データが破損していないと判定する。
Further, the
マイコン10は、第2認証子及び第2CRC値の両方が期待値である場合に、加工データが正常データであると判定する(S92)。正常データとは、改竄されておらず、且つ、破損していない加工データである。例えば、マイコン10は、加工データが正常データか否か示すフラグを有している。S92においてマイコン10は、フラグを所定の値に設定する。
When both of the second authenticator and the second CRC value are expected values, the
マイコン10は、第2認証子及び第2CRC値の少なくとも一方が期待値ではない場合、加工データが異常データであると判定する(S94)。異常データとは、改竄されたデータ、及び、破損しているデータの少なくとも一方である。例えば、S94においてマイコン10は、フラグの値を、S92で設定する値と異なる値に設定する。
If at least one of the second authenticator and the second CRC value is not the expected value, the
マイコン10は、S92又はS94の処理を行った後、加工データに対する判定結果を読出機器に通知する(S96)。詳しく言うと、マイコン10は、S92の処理を行った場合、加工データが正常データであることを示す信号を読出機器に送信する。一方、マイコン10は、S94の処理を行った場合、加工データが異常データであることを示す信号を読出機器に送信する。マイコン10は、S96の処理を行った後に出力処理を終了する。
After performing the processing of S92 or S94, the
次に、上記したデータ保全装置100の効果について説明する。
Next, effects of the
本実施形態において、ストレージデバイス20からマイコン10へ出力される加工データは、プライバシー情報が復元できない状態となるように加工されている。これによれば、ストレージデバイス20からマイコン10へ出力されたデータからプライバシー情報が読み取られるのを抑制することができる。
In the present embodiment, the processed data output from the
ところで、記憶部26に格納されるローデータは、悪意のある第三者等によって改竄される場合がある。これに対し本実施形態では、ローデータが改竄されたか否かを第1認証子に応じて制御コントローラ24が判定している。よって、データ保全装置100では、ストレージデバイス20内でローデータが改竄されたか否かを判定することができる。
By the way, the raw data stored in the storage unit 26 may be falsified by a malicious third party or the like. On the other hand, in the present embodiment, the
本実施形態において、ローデータが改竄されたと判定された場合、ローデータ及び加工データはストレージデバイス20からマイコン10へ出力されない。これによれば、改竄されたデータがストレージデバイス20の外部に出力されるのを抑制することができる。
In this embodiment, when it is determined that the raw data has been tampered with, the raw data and the processed data are not output from the
本実施形態によれば、マイコン10からストレージデバイス20に入力されたローデータは、検出及び加工されることなく記憶部26に入力される。これによれば、ストレージデバイス20では、入力処理を簡素化することができる。よって、ストレージデバイス20では、入力処理を高速化することができる。したがって、容量の大きいローデータがマイコン10からストレージデバイス20に入力される場合であっても、入力処理が追いつかずデータを取りこぼしてしまうのを効果的に抑制することができる。
According to the present embodiment, the raw data input from the
本実施形態では、加工データが改竄されたか否かを第2認証子に応じてマイコン10が判定している。よって、マイコン10は、読み出した加工データが改竄されたか否かを判定することができる。
In the present embodiment, the
書換領域26aに格納されたデータに較べて、非書換領域26bに格納されたデータは改竄され難い。これに対し本実施形態では、必須データが、非書換領域26bに格納される。これによれば、必須データが改竄されるのを効果的に抑制することができる。
Data stored in the
本実施形態では、制御コントローラ24が画像データを単一色で加工する。これによれば、モザイク処理を施す例に較べて、制御コントローラ24の処理を簡素化することができる。
In the present embodiment, the
(第2実施形態)
本実施形態において、第1実施形態に示したデータ保全装置100と共通する部分についての説明は割愛する。
(2nd Embodiment)
In the present embodiment, the description of the parts common to the
本実施形態では、図6に示すように、入力処理において制御コントローラ24が、データを加工した後に、加工したデータを記憶部26に格納する。そして、出力処理において制御コントローラ24は、加工データを記憶部26から読み出して、読み出した加工データをマイコン10へ出力する。なお、マイコン10における入力処理及び出力処理の処理手順は、第1実施形態と同じである。
In the present embodiment, as shown in FIG. 6, in the input process, the
図7に示すように、入力処理において制御コントローラ24は、S12においてローデータが入力されたと判定すると、入力されたローデータに対して加工対象の検出を行い、加工対象を検出したか否かを判定する(S22)。制御コントローラ24においてS22の処理を行う機能は、特許請求の範囲に記載の検出部に相当する。
As shown in FIG. 7, when the
そして、制御コントローラ24は、S22でプライバシー情報を検出したと判定すると、検出したプライバシー情報の加工を行う(S24)。制御コントローラ24においてS24の処理を行う機能は、特許請求の範囲に記載の加工部に相当する。
Then, when determining that the privacy information is detected in S22, the
次に、制御コントローラ24は、S24で加工したデータに対して第2認証子及び第2CRC値を算出する(S26)。詳しく言うと、制御コントローラ24は、全データのうちのS22及びS24で処理したデータに対して第2認証子及び第2CRC値を計算する。
Next, the
制御コントローラ24は、S22においてプライバシー情報を検出しないと判定すると、S24の処理を行うことなく、S22で判定を行ったデータに対して第2認証子及び第2CRC値を算出する(S26)。すなわち、制御コントローラ24は、S22においてプライバシー情報を検出しないと判定すると、S24の処理を行うことなくS26の処理を行う。制御コントローラ24においてS26の処理を行う機能は、特許請求の範囲に記載の算出部に相当する。
When determining that the privacy information is not detected in S22, the
次に、制御コントローラ24は、記憶部26にデータを格納する(S28)。詳しく言うと、制御コントローラ24は、全データのうちのS22〜S26で処理したデータを記憶部26に格納する。そして、制御コントローラ24は、マイコン10からの全データの受信が完了したか否かを判定する(S30)。
Next, the
制御コントローラ24は、S30において全データの受信が完了していないと判定すると、マイコン10から新たに入力されるデータの少なくとも一部に対してS22〜S28の処理を行い、再びS30の判定を行う。以上によれば、制御コントローラ24は、全データを記憶部26に格納するまで、S22〜S30の処理を繰り返し行う。
If the
制御コントローラ24は、S30において全データの受信が完了したと判定すると、第2認証子及び第2CRC値を記憶部26に格納する(S32)。なお、制御コントローラ24がS32で格納する第2認証子及び第2CRC値は、制御コントローラ24が全データに対して計算した値である。制御コントローラ24は、S32の処理を行った後に入力処理を終了する。
When the
図8に示すように、出力処理において制御コントローラ24は、S40において読出コマンドを受信したと判定すると、記憶部26から加工データを読み出して、読み出した加工データに対して第2認証子及び第2CRC値を算出する(S60)。このとき、制御コントローラ24が第2認証子及び第2CRC値を算出する加工データは、記憶部26に格納されていた全データである。なお、S60では、制御コントローラ24が、加工データとともに格納されていた第2認証子及び第2CRC値も読み出す。制御コントローラ24においてS60の処理を行う機能は、特許請求の範囲に記載の算出部及び第1算出部に相当する。
As shown in FIG. 8, in the output process, when the
次に、制御コントローラ24は、第2認証子及び第2CRC値が期待値か否かを判定する(S62)。詳しく言うと、制御コントローラ24は、S60で算出した第2認証子が、加工データとともに記憶部26に格納されていた第2認証子と一致しているか否かを判定する。第2認証子が期待値であると判定された場合、制御コントローラ24がS26の処理を行った後からS60の処理を行うまでに加工データは改竄されていない。よって、制御コントローラ24は、第2認証子同士が一致する場合、加工データが改竄されていないと判定する。制御コントローラ24においてS62の処理を行う機能は、特許請求の範囲に記載の判定部に相当する。
Next, the
また、制御コントローラ24は、S62で算出した第2CRC値が、加工データとともに記憶部26に格納されていた第2CRC値と一致しているか否かを判定する。制御コントローラ24は、第2CRC値同士が一致する場合に、加工データが破損していないと判定する。
Further, the
制御コントローラ24は、S62において第2認証子及び第2CRC値の両方が期待値であると判定すると、マイコン10へ加工データを出力する(S52)。次に、制御コントローラ24は、マイコン10に対する全データの読み出したが完了したか否かを判定する(S54)。
When determining that both the second authenticator and the second CRC value are the expected values in S62, the
制御コントローラ24は、S54において全データの読み出しが完了していないと判定すると、残されたデータの少なくとも一部に対してS52の処理を行い、再びS54の判定を行う。以上によれば、制御コントローラ24は、マイコン10へ全データを出力するまで、S52及びS54の処理を繰り返し行う。
If the
制御コントローラ24は、S54において全データの読み出しが完了したと判定すると、S56の処理を行う。制御コントローラ24は、S56の処理を行った後に出力処理を終了する。なお、マイコン10は、出力処理におけるS90の判定において、S84で算出した第2認証子及び第2CRC値と、制御コントローラ24がS60で算出した第2認証子及び第2CRC値と、を比較して判定を行う。
When the
制御コントローラ24は、S62において第2認証子及び第2CRC値の少なくとも一方が期待値と一致しない場合、S58の処理を行う。これにより、制御コントローラ24は出力処理を終了する。
When at least one of the second authenticator and the second CRC value does not match the expected value in S62, the
ところで、記憶部26に格納されているデータは、悪意のある第三者等によって読み出される場合がある。これに対し、本実施形態では、ローデータではなく加工データが記憶部26に格納される。これによれば、ローデータが記憶部26に格納される構成に較べて、プライバシー情報が読み取られるのを効果的に抑制することができる。 By the way, the data stored in the storage unit 26 may be read by a malicious third party or the like. On the other hand, in the present embodiment, not the raw data but the processed data is stored in the storage unit 26. According to this, compared to a configuration in which raw data is stored in the storage unit 26, reading of privacy information can be effectively suppressed.
本実施形態において、制御コントローラ24は、第2認証子に応じて加工データが改竄されたか否かを判定している。これによれば、データ保全装置100では、ストレージデバイス20内で加工データが改竄されたか否かを判定することができる。
In the present embodiment, the
本実施形態では、加工データが改竄されていないと判定された場合にのみ、加工データがマイコン10へ出力される。これによれば、改竄された加工データがストレージデバイス20の外部に出力されるのを抑制することができる。
In the present embodiment, the processed data is output to the
(第3実施形態)
本実施形態において、第1実施形態に示したデータ保全装置100と共通する部分についての説明は割愛する。
(Third embodiment)
In the present embodiment, the description of the parts common to the
本実施形態において、制御コントローラ24は、データを読み出すためのセキュリティ認証をマイコン10に対して行う。そして、制御コントローラ24は、認証が成立した場合に加工データをマイコン10へ出力し、認証が成立しない場合にローデータ及び加工データをマイコン10へ出力しない。言い換えると、制御コントローラ24は、マイコン10に対して、記憶部26に格納されたデータのアクセスを許可するか否かの判定を行う。また、ストレージデバイス20がセキュリティアクセス機構を有していると言い換えることもできる。さらに言い換えると、制御コントローラ24は、マイコン10に対するデータの出力を無効化している。本実施形態では、制御コントローラ24が、マイコン10を介して読出機器のセキュリティ認証を行う。
In the present embodiment, the
図9に示すように、出力処理において制御コントローラ24は、S40で読出コマンドを受信したと判定すると、マイコン10に対してセキュリティ認証を行う(S64)。例えば、制御コントローラ24は、マイコン10に対してCHAP認証を行う。CHAPは、Challenge Handshake Authentication Protocolの略称である。CHAP認証では、制御コントローラ24及びマイコン10がAESに基づく演算等を行う。
As shown in FIG. 9, in the output process, when the
次に、制御コントローラ24は、S64で行った認証が成立したか否かを判定する(S66)。制御コントローラ24は、S66において認証が成立したと判定すると、S42〜S56の処理を行う。すなわち、制御コントローラ24は、ローデータを加工し、加工データをマイコン10へ出力する。なお、制御コントローラ24においてS64及びS66の処理を行う機能は、特許請求の範囲に記載の出力認証部に相当する。
Next, the
制御コントローラ24は、S66において認証が成立しないと判定すると、S58の処理を行う。そのため、制御コントローラ24は、S66において認証が成立しないと判定すると、加工データ及びローデータをマイコン10に出力しない。
When the
本実施形態では、制御コントローラ24の認証が成立した場合にのみ、ストレージデバイス20からマイコン10へ加工データが読み出される。これによれば、データの機密性を向上することができる。
In the present embodiment, the processed data is read from the
なお、本実施形態では、データの出力を無効化するためのセキュリティ認証を制御コントローラ24が行う例を示したが、これに限定するものではない。制御コントローラ24とは別に、データの出力を無効化するためのセキュリティ認証を行う回路又は装置が、ストレージデバイス20に設けられていてもよい。
In the present embodiment, an example is described in which the
(第4実施形態)
本実施形態において、第1実施形態に示したデータ保全装置100と共通する部分についての説明は割愛する。
(Fourth embodiment)
In the present embodiment, the description of the parts common to the
本実施形態において、制御コントローラ24は、ローデータの加工を無効化するためのセキュリティ認証をマイコン10に対して行う。詳しく言うと、制御コントローラ24は、認証が成立した場合にローデータをマイコン10へ出力し、認証が成立しない場合に加工データをマイコン10へ出力する。言い換えると、制御コントローラ24は、マイコン10に対して、記憶部26に格納されたローデータのアクセスを許可するか否かの判定を行う。本実施形態において、制御コントローラ24は、マイコン10を介して読出機器のセキュリティ認証を行う。
In the present embodiment, the
図10に示すように、出力処理において制御コントローラ24は、第1認証子及び第1CRC値の両方が期待値であるとS44で判定すると、マイコン10に対してセキュリティ認証を行う(S68)。そして、制御コントローラ24は、S68で行った認証が成立したか否かを判定する(S70)。なお、制御コントローラ24においてS68及びS70の処理を行う機能は、特許請求の範囲に記載の加工認証部に相当する。
As shown in FIG. 10, in the output process, when the
制御コントローラ24は、S70において認証が成立しないと判定すると、S46〜S56の処理を行う。これにより、制御コントローラ24は、ローデータを加工し、加工データをマイコン10へ出力する。
If the
一方、制御コントローラ24は、S70において認証が成立したと判定すると、ローデータを、加工することなくマイコン10へ出力する(S72)。次に、制御コントローラ24は、マイコン10に対する全データの読み出しが完了したか否かを判定する(S74)。制御コントローラ24は、S74において全データの読み出しが完了していないと判定すると、再びS72及びS74の処理を行う。以上によれば、制御コントローラ24は、ローデータである全データをマイコン10へ出力するまで、S72及びS74の処理を繰り返し行う。
On the other hand, if the
制御コントローラ24は、S74において全データの読み出しが完了したと判定すると、S42で算出した第1認証子及び第1CRC値をマイコン10へ出力する(S76)。制御コントローラ24は、S76の処理を行った後、出力処理を終了する。
If the
ストレージデバイス20に格納されたデータを用いて警察等が事故の証拠データの解析や故障解析を行う場合、加工データではなくローデータをマイコン10へ読み出すことが必要な場合がある。これに対し本実施形態では、認証が成立しない場合にマイコン10へ加工データが出力され、認証が成立した場合にローデータが出力される。したがって、プライバシー情報の機密性を確保しつつ、必要な場合にローデータをマイコン10へ読み出すことができる。
When a police or the like analyzes accident evidence data or failure analysis using data stored in the
なお、本実施形態では、データの加工を無効化するためのセキュリティ認証を制御コントローラ24が行う例を示したが、これに限定するものではない。制御コントローラ24とは別に、データの加工を無効化するためのセキュリティ認証を行う回路又は装置が、ストレージデバイス20に設けられていてもよい。
In the present embodiment, an example is described in which the
以上、本発明の好ましい実施形態について説明したが、本発明は上記実施形態になんら制限されることなく、本発明の主旨を逸脱しない範囲において、種々変形して実施することが可能である。 As described above, the preferred embodiments of the present invention have been described. However, the present invention is not limited to the above embodiments, and can be variously modified and implemented without departing from the gist of the present invention.
上記実施形態では、プライバシー情報の検出、データの加工、認証子とCRC値の算出、及び、改竄と破損の判定の処理を制御コントローラ24が行う例を示した。しかしながら、これに限定するものではない。制御コントローラ24とは別の回路又は装置が、プライバシー情報の検出、データの加工、認証子とCRC値の算出、及び、改竄と破損の判定の少なくとも1つの処理を行ってもよい。
In the above-described embodiment, an example has been described in which the
上記実施形態では、制御コントローラ24及びマイコン10が、認証子及びCRC値の両方を算出する例を示したが、これに限定するものではない。制御コントローラ24及びマイコン10が、認証子を算出し、CRC値を算出しない例を採用することもできる。よって、制御コントローラ24及びマイコン10が、データの改竄は判定するが、データの破損については判定しない例を採用することもできる。
In the above-described embodiment, an example has been described in which the
また、制御コントローラ24及びマイコン10が、認証子及びCRC値の両方を算出しない例を採用することもできる。よって、制御コントローラ24及びマイコン10が、データの改竄及び破損の両方を判定しない例を採用することもできる。
Further, an example in which the
上記実施形態では、電子制御装置200がストレージデバイス20を備える例を示したが、これに限定するものではない。図11の第1変形例に示すように、電子制御装置200がストレージデバイス20を備えない例を採用することもできる。第1変形例では、電子制御装置200が、ストレージデバイス20と外部接続されている。なお第1変形例においても、データ保全装置100は、マイコン10及びストレージデバイス20の両方を備えている。
In the above embodiment, the example in which the
上記実施形態では、入力処理において制御コントローラ24がプライバシー情報の検出及び加工の両方を行う例、及び、出力処理において制御コントローラ24がプライバシー情報の検出及び加工の両方を行う例を示した。しかしながら、これに限定するものではない。制御コントローラ24は、入力処理においてプライバシー情報の検出を行うとともに、出力処理においてプライバシー情報の加工を行う例を採用することもできる。この例では、ストレージデバイス20において、入力処理及び出力処理の処理負荷が平滑化される。したがって、入力処理に掛かる時間、及び、出力処理に掛かる時間の一方が長くなるのを抑制することができる。
In the above-described embodiment, an example in which the
10…マイコン、20…ストレージデバイス、22…入出力I/F、24…制御コントローラ、26…記憶部、26a…書換領域、26b…非書換領域、100…データ保全装置、200…電子制御装置 Reference Signs List 10: microcomputer, 20: storage device, 22: input / output I / F, 24: controller, 26: storage unit, 26a: rewrite area, 26b: non-rewrite area, 100: data security device, 200: electronic control device
Claims (11)
前記記憶装置に格納すべきデータを入力するとともに、前記記憶装置にデータ格納指令およびデータ読出し指令を与える制御部(10)と、を備え、
前記記憶装置は、
前記制御部からのデータ格納指令に応じて、前記記憶装置において前記制御部から入力されるデータが受信され、この受信されたデータを格納する記憶部(26)と、
データが前記記憶部に格納される前と、前記記憶部から読み出された後とのいずれか一方において、データに含まれるプライバシー情報を検出する検出部(S46)と、
前記検出部により検出された前記プライバシー情報が復元できない状態となるように、前記記憶部から読み出されたデータを加工して、加工データを生成する加工部(S48)と、
前記制御部からのデータ読出し指令に応じて、前記加工部により加工された加工データを出力する出力部(S52)と、を備え、
前記記憶装置は、前記記憶部に格納されたデータが改竄されたか否かを判定するためのデータ認証子を、当該データに基づき算出する算出部(S42)と、データ認証子に基づいてデータが改竄されたか否かを判定する判定部(S44)と、をさらに有し、
前記算出部は、前記制御部からデータを受信した際、受信したデータに基づきデータ認証子を算出するとともに、算出したデータ認証子を前記記憶部に格納し、且つ、前記記憶部からデータが読み出された際、前記加工部がデータを加工する前に、読み出したデータに基づきデータ認証子を算出し、
前記判定部は、受信したデータに基づいて算出されたデータ認証子と、読み出したデータに基づいて算出されたデータ認証子とを比較し、データ認証子同士が一致する場合にデータが改竄されていないと判定し、データ認証子同士が一致しない場合にデータが改竄されたと判定するデータ保全装置。 A storage device (20) for storing data;
A control unit (10) for inputting data to be stored in the storage device and giving a data storage command and a data read command to the storage device .
The storage device,
A storage unit (26) that receives data input from the control unit in the storage device in response to a data storage command from the control unit, and stores the received data ;
A detecting unit (S46) for detecting privacy information included in the data either before data is stored in the storage unit or after data is read from the storage unit ;
Wherein as the privacy information detected by the detection unit is a state that can not be restored, by processing the data read from the storage unit, the processing unit which generates processing data and (S48),
An output unit (S52) for outputting processed data processed by the processing unit in response to a data read command from the control unit;
The storage device includes: a calculation unit (S42) that calculates a data authenticator for determining whether data stored in the storage unit has been tampered based on the data; A determination unit (S44) for determining whether or not tampering has been performed;
The calculating unit, when receiving data from the control unit, calculates a data authenticator based on the received data, stores the calculated data authenticator in the storage unit, and reads data from the storage unit. When issued, before the processing unit processes the data, calculate the data authenticator based on the read data,
The determining unit compares the data authenticator calculated based on the received data with the data authenticator calculated based on the read data, and if the data authenticators match each other, the data is tampered. A data security device that determines that data has not been tampered with and determines that data has been tampered with when the data authenticators do not match .
前記加工部は、前記制御部からのデータ読出し指令に応じて前記記憶部から読み出されたデータに対して、前記検出部によるプライバシー情報の検出結果に基づいて加工を行う請求項1又は2に記載のデータ保全装置。 When receiving data from the control unit, the detection unit, before the data is stored in the storage unit, performs detection of the privacy information included in the data ,
The processing unit, the data read from the storage unit in response to a data read command from the control unit, to claim 1 or 2 for machining on the basis of the detection result of the privacy information by the detecting unit Data security device as described.
前記加工部は、前記検出部によるプライバシー情報の検出結果に基づいて、前記記憶部から読み出されたデータに対して加工を行う請求項1又は2に記載のデータ保全装置。 Wherein the detection unit performs detection of the privacy information to read out data from the storage unit in response to a data read command from the control unit,
The processing unit, the detecting unit based on a detection result of the privacy information by the data security device according to machining to claim 1 or 2 intends row for data read from the storage unit.
前記加工部は、前記加工認証部において未加工データへのアクセスを許可する認証が成立しない場合、読み出したデータを加工して、前記加工データを生成し、前記出力部は、前記加工部によって生成された加工データを出力し、一方、前記加工部は、前記加工認証部において未加工データへのアクセスを許可する認証が成立した場合、読み出したデータを加工せず、前記出力部は、前記加工部によって加工されていないデータを出力する請求項1乃至4のいずれか1項に記載のデータ保全装置。 The storage device, before the data read from the storage unit is processed by the processing unit, performs a security authentication as to whether to permit access to the raw data to the control unit, security It further includes a processing authentication unit (S68, S70) for determining whether the authentication is established,
The processing unit processes the read data to generate the processed data when the authentication for permitting access to the unprocessed data is not established in the processing authentication unit , and the output unit generates the processed data by the processing unit. The processing unit outputs the processed data. On the other hand, the processing unit does not process the read data when the authentication for permitting access to the unprocessed data is established in the processing authentication unit . The data security device according to any one of claims 1 to 4 , which outputs data that has not been processed by the unit.
前記出力部は、前記第1算出部が算出した加工データ認証子を、加工データとともに前記制御部へ出力し、
前記制御部は、前記出力部から出力された加工データに基づき加工データ認証子を算出する第2算出部(S84)と、加工データ認証子に基づいて、前記出力部から出力された加工データが改竄されたか否かを判定する改竄判定部(S90)と、を有し、
前記改竄判定部は、前記第1算出部により算出された加工データ認証子と、前記第2算出部により算出された加工データ認証子とを比較し、それぞれの加工データ認証子同士が一致する場合に加工データが改竄されていないと判定し、それぞれの加工データ認証子同士が一致しない場合に加工データが改竄されたと判定する請求項1乃至5のいずれか1項に記載のデータ保全装置。 The storage device processing data authenticator for determining whether the processing data has been tampered, further comprising a first calculation unit for calculating, based on the machining data (S50),
The output unit outputs the processing data authenticator calculated by the first calculation unit to the control unit together with processing data,
Wherein the control unit includes a second calculating section (S84) for calculating a machining data authenticator based on the processed data output from the output unit, based on the machining data authenticator, processed data output from the output unit A falsification determining unit (S90) for determining whether or not the data has been tampered with;
The tampering judgment unit, a processing data authenticator calculated by the first calculation unit, compares the processed data authenticator calculated by the second calculating unit, when the respective processed data authenticator each other matches 6. The data security apparatus according to claim 1 , wherein the data processing device determines that the processed data has not been tampered with, and determines that the processed data has been tampered with if the respective processed data authenticators do not match.
前記記憶装置に格納すべきデータを入力するとともに、前記記憶装置にデータ格納指令およびデータ読出し指令を与える制御部(10)と、を備え、
前記記憶装置は、
前記制御部からのデータ格納指令に応じて、前記記憶装置において前記制御部から入力されるデータが受信され、この受信されたデータに含まれるプライバシー情報を検出する検出部(S22)と、
前記検出部により検出された前記プライバシー情報が復元できない状態となるようにデータを加工して、加工データを生成する加工部(S24)と、
前記加工部によって加工された加工データを格納する記憶部(26)と、
前記制御部からのデータ読出し指令に応じて、前記記憶部に格納された加工データを出力する出力部(S52)と、を備え、
前記記憶装置は、前記記憶部に格納された加工データが改竄されたか否かを判定するための加工データ認証子を、当該加工データに基づき算出する算出部(S26、S60)と、加工データ認証子に基づいて加工データが改竄されたか否かを判定する判定部(S62)と、をさらに有し、
前記算出部は、前記加工部によって生成された加工データが前記記憶部に格納される前に、当該加工データに基づいて加工データ認証子を算出するとともに、算出した加工データ認証子を前記記憶部に格納し、且つ、前記記憶部から加工データが読み出された際、読み出した加工データに基づき加工データ認証子を算出し、
前記判定部は、前記記憶部に格納される前の加工データに基づいて算出された加工データ認証子と、前記記憶部から読み出した加工データに基づいて算出された加工データ認証子とを比較し、加工データ認証子同士が一致する場合に加工データが改竄されていないと判定し、加工データ認証子同士が一致しない場合に加工データが改竄されたと判定するデータ保全装置。 A storage device (20) for storing data;
A control unit (10) for inputting data to be stored in the storage device and giving a data storage command and a data read command to the storage device.
The storage device,
A detection unit (S22) that receives data input from the control unit in the storage device in response to a data storage command from the control unit, and detects privacy information included in the received data;
A processing unit (S24) that processes data so that the privacy information detected by the detection unit cannot be restored and generates processed data;
A storage unit (26) for storing processing data processed by the processing unit;
An output unit (S52) for outputting machining data stored in the storage unit in response to a data read command from the control unit,
A calculating unit (S26, S60) for calculating, based on the processed data, a processed data authenticator for determining whether the processed data stored in the storage unit has been tampered with; A determination unit (S62) for determining whether the processed data has been tampered with based on the child.
The calculation unit calculates a processing data authenticator based on the processing data before the processing data generated by the processing unit is stored in the storage unit, and stores the calculated processing data authenticator in the storage unit. And, when processed data is read from the storage unit, calculate a processed data authenticator based on the read processed data,
The determination unit compares the processed data authenticator calculated based on the processed data before being stored in the storage unit with the processed data authenticator calculated based on the processed data read from the storage unit. A data security device that determines that the processed data has not been tampered with when the processed data authenticators match, and determines that the processed data has been tampered with when the processed data authenticators do not match .
前記出力部は、前記出力認証部において加工データの出力を許可する認証が成立した場合、前記制御部からのデータ読出し指令に応じて、前記加工部によって生成された加工データを出力し、一方、前記出力認証部において加工データの出力を許可する認証が成立しない場合、前記制御部からのデータ読出し指令があっても、加工データを出力しない請求項1乃至4、及び6乃至8のいずれか1項に記載のデータ保全装置。 The storage device further includes an output authentication unit (S64, S66) that performs security authentication as to whether or not to permit the control unit to output the processed data, and determines whether security authentication is established. ,
The output unit outputs the processed data generated by the processing unit in response to a data read command from the control unit when the authentication that permits the output of the processed data is established in the output authentication unit . If the authentication to enable the output of processed data at said output authentication unit is not established, even if the data reading command from the control unit, any one of claims 1 to 4, and 6 to 8 does not output the processed data 1 Data security device according to the paragraph.
データのうちの前記検出部が検出した前記プライバシー情報以外の少なくとも一部のデータは、前記非書換領域に格納されるとともに、前記加工部によって加工されることなく、前記出力部によって前記制御部へ出力される請求項1乃至9のいずれか1項に記載のデータ保全装置。 The storage unit has a non-rewritable area (26b) that cannot be electrically rewritten as a storage area,
At least part of the data other than the privacy information detected by the detection unit is stored in the non-rewritable area, and is not processed by the processing unit, but is output to the control unit by the output unit. The data security device according to any one of claims 1 to 9 , which outputs the data.
前記加工部は、人物の特定ができないように前記画像データを単一色で加工する請求項1乃至10のいずれか1項に記載のデータ保全装置。 Data input from the control unit includes, as privacy information, image data capable of identifying a person,
The data security device according to any one of claims 1 to 10 , wherein the processing unit processes the image data in a single color so that a person cannot be identified.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016019921A JP6645225B2 (en) | 2016-02-04 | 2016-02-04 | Data security device |
DE102017201555.1A DE102017201555B4 (en) | 2016-02-04 | 2017-01-31 | DATA INTEGRITY FACILITY |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016019921A JP6645225B2 (en) | 2016-02-04 | 2016-02-04 | Data security device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017138842A JP2017138842A (en) | 2017-08-10 |
JP6645225B2 true JP6645225B2 (en) | 2020-02-14 |
Family
ID=59522573
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016019921A Active JP6645225B2 (en) | 2016-02-04 | 2016-02-04 | Data security device |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6645225B2 (en) |
DE (1) | DE102017201555B4 (en) |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1603044B1 (en) | 2003-02-07 | 2016-05-04 | Panasonic Intellectual Property Corporation of America | Terminal device and data protection system using the same |
JP2005228225A (en) * | 2004-02-16 | 2005-08-25 | Matsushita Electric Ind Co Ltd | Memory card adaptor |
US20070250228A1 (en) * | 2006-04-19 | 2007-10-25 | Snap-On Incorporated | Configurable method and system for vehicle fault alert |
JP2008102762A (en) * | 2006-10-19 | 2008-05-01 | Denso Corp | Image collection system and recording device |
JP4498370B2 (en) | 2007-02-14 | 2010-07-07 | 株式会社東芝 | Data writing method |
KR100905675B1 (en) | 2007-08-13 | 2009-07-03 | 한국전자통신연구원 | Arraratus and method for recognizing fingerprint |
US20110126020A1 (en) * | 2007-08-29 | 2011-05-26 | Toshiyuki Isshiki | Content disclosure system and method for guaranteeing disclosed contents in the system |
JP4807364B2 (en) * | 2008-02-22 | 2011-11-02 | 日本電気株式会社 | Information management device |
JP5343817B2 (en) | 2009-11-11 | 2013-11-13 | トヨタ自動車株式会社 | Storage device |
JP5389972B2 (en) * | 2012-03-30 | 2014-01-15 | 楽天株式会社 | Data processing system, data processing system control method, user device, user device control method, data processing device, data processing device control method, program, and information storage medium |
JP6241373B2 (en) * | 2014-06-19 | 2017-12-06 | 株式会社デンソー | Storage device, flash memory control device, and program |
-
2016
- 2016-02-04 JP JP2016019921A patent/JP6645225B2/en active Active
-
2017
- 2017-01-31 DE DE102017201555.1A patent/DE102017201555B4/en active Active
Also Published As
Publication number | Publication date |
---|---|
DE102017201555A1 (en) | 2017-08-24 |
JP2017138842A (en) | 2017-08-10 |
DE102017201555B4 (en) | 2022-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102159540B1 (en) | Information processing apparatus, information processing system, information processing method, and computer program | |
US20130081144A1 (en) | Storage device and writing device | |
US20170255384A1 (en) | Efficient secure boot carried out in information processing apparatus | |
EP1788506A2 (en) | Method and apparatus for securely updating and boot code image | |
US20130117578A1 (en) | Method for verifying a memory block of a nonvolatile memory | |
KR102062073B1 (en) | Information processing apparatus and method of controlling the apparatus | |
JP6391439B2 (en) | Information processing apparatus, server apparatus, information processing system, control method, and computer program | |
JP2018081349A (en) | Falsification detection system, verification ecu, ecu to be verified, program | |
JP6659180B2 (en) | Control device and control method | |
US20210374230A1 (en) | Cryptography module and method for operating same | |
WO2021260984A1 (en) | Information processing device, information processing method, and program | |
JP6645225B2 (en) | Data security device | |
JP2004051056A (en) | Electronic controller for automobile | |
CN116991671A (en) | DCS controller and trusted start audit log recording method and system thereof | |
CN117009976A (en) | Firmware loading control method, device and chip | |
CN113486360B (en) | RISC-V based safe starting method and system | |
US11323265B2 (en) | Storage device providing high security and electronic device including the storage device | |
JP2016167113A (en) | On-vehicle control unit | |
JP4828996B2 (en) | Information processing apparatus and unauthorized execution prohibition method of security release program using the same | |
JP7062927B2 (en) | Vehicle electronics | |
JP6463435B1 (en) | Control device and control method | |
JP2007188138A (en) | Microcomputer and its security control method | |
JP4661244B2 (en) | Air conditioner | |
US9239918B2 (en) | Method and apparatus for software-hardware authentication of electronic apparatus | |
US20240104219A1 (en) | Information processing apparatus, information processing method, and non-transitory computer readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180425 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190528 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190722 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191210 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191223 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6645225 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |