WO2003065225A1

WO2003065225A1 - Dispositif de memoire, appareil terminal et systeme de reparation de donnees

Info

Publication number: WO2003065225A1
Application number: PCT/JP2003/000500
Authority: WO
Inventors: Yoshiaki Nakanishi; Osamu Sasaki; Yoshihiko Takagi
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2002-01-31
Filing date: 2003-01-22
Publication date: 2003-08-07
Also published as: US20040073846A1; TW200302419A; CN1308849C; KR20040080936A; CN1498371A; JPWO2003065225A1; EP1471429A1; EP1471429A4

Description

明細書メモリデバイス、端末装置及ぴデータ修復システム技術分野

本発明は、ダウンロードしたデータの破損箇所を修復する修復システムと、そのシステムを構成するメモリデバイス及び端末装置に関し、特に、メモリデバイスに記録されたデ一タを効率的に修復できるようにするものである。背景技術

従来から、端末装置の処理を規定するプログラムなどのデータを、サーバからネットワークを通じて端末装置にダウンロードすることは広く行われている。端末装置の記憶手段に格納されたデータは、ダウンロード時の送信異常や、ハード装置の故障、ウィルスによるデータ消失、外部からの攻撃による破壊など、様々な原因で破損する場合がある。

こうしたデータの破損は、サーバがデータとともに伝送したチェックサムなどの検査情報と、記憶手段に格納したデータから計算したチェックサムとの一致を検査することにより発見できる。

蓄積したデータを外部からの破壊や改竄から守る必要がある場合は、 I C力ードなどの耐タンパ性（外部からの攻撃に対する耐性）を備えた記憶手段にデータを格納することが行われている。耐タンパ性は、ダミー回路を設けたり、処理時間を一定時間内に制限したり、熱や電磁波の影響を受けない構造にしたりして実現される。

また、破損してしまったデータを修復する方法として、特開平 4一 3 4 0 1 5 0号公報には、データの異常を発見した場合に、端末装置がサーバにダウンロード要求を発し、サーバから改めてプログラムデータのダウンロードを受ける方式が記載されている。また、特開平 1 1一 1 8 4 7 0 5号公報には、端末装置が第 1及び第 2の記憶手段を持ち、ダウンロードされたデータをこれらの記憶手段の双方に重複して格納し、第 1の記憶手段で記憶するデータが破損した場合に、第 2の記憶手段で記憶するデータを第 1の記憶手段に上書きする方式が記载されている。し力、し、耐タンパ性の記憶装置は、コストが高く、また、多くの記憶容量を確保することができない。そのため、データ量の多い音楽データなどを蓄積することは不可能である。

また、データの破損が発見された際にサーバから改めてデータのダウンロードを受ける方式では、そのダウンロードのために多くの通信時間が必要になると言う問題点がある。

また、データを重複して保持する方式では、端末装置が多くの記憶容量を備えた記憶手段を持たなければならないと言う問題点がある。

また、近年は携帯端末による、物品やエンタテイメントコンテンツデータの購入、ネットバンキングなどの E C (電子商取引）が浸透し始めている。また、アドレス帳やスケジュール管理の用途としても用いられている。これらの情報をネットワーク上のサーバで管理することも可能であるが、情報を取り出すまでにかかるタイムラグや、ネットワーク障害時に必要な情報にアクセスできない場合があるという問題をかかえることになる。よって、これらの情報を含めて、携帯端末で取り扱うデータの記憶媒体として、すぐにアクセス可能で、十分な容量を持つカードデバイスの需要は大きい。しカゝし、同時に、カードデバイスの情報が破損した際に、確実にかつ少ないコスト（時間含む）で情報を修復できないと、それらの情報の処理にとって障害となるばかりではなく、ユーザに対して不利益を与え、新しいサービスの普及にとって大きな妨げとなってしまう。また、新しいサービスが拡大して行かないことは、 I T (Information Technology) 技術そのものの発展にとっても妨げとなる。発明の開示本発明の目的は、破損したデータの修復を効率的に行うことができるデータ修復システムと、そのシステムを実現するメモリデバイス及ぴ端末装置を提供することである。 '

この目的は、耐タンパ性のメモリ領域と非耐タンパ性のメモリ領域とをメモリデバイスに設け、非耐タンパ性のメモリ領域にデータを格納し、耐タンパ性のメ,モリ領域に前記データの破損の検査に用いる検査情報を格納することにより達成される。図面の簡単な説明

図 1は、本発明の実施の形態 1におけるデータ修復システムの全体構成を示す図、

図 2は、本発明の実施の形態 1におけるメモリデバイスのハードウエア構成を示す図、 .

図 3は、本発明の実施の形態 1における検査情報の第 1のデータ構成例を示す図、

図 4は、本発明の実施の形態 1における検査情報の第 2のデータ構成例を示す図、

図 5は、本発明の実施の形態 1におけるメモリデバイスのデータ処理動作を示す図、

図 6は、本発明の実施の形態 1におけるメモリデバイスの書き込み手順を示すフロー図、

図 7は、本発明の実施の形態 1におけるメモリデバイスのデータ破損検査を伴う書き込み手順を示すフ口一図、

図 8は、本発明の実施の形態 1におけるメモリデバイスのデータ破損検査手順を示すフロー図、

図 9は、本発明の実施の形態 1におけるメモリデバイスのデータ修復処理動作を示す図、図 1 0は、本発明の実施の形態 1におけるデータ修復システムでの修正情報取得動作を示す図、

図 1 1は、本発明の実施の形態 1におけるメモリデバイスの修正データ書き込み手順を示すフロー図、

図 1 2は、本発明の実施の形態 1におけるメモリデバイスのデータ読み出し手順を示すフロー図、

図 1 3は、本発明の実施の形態 2におけるメモリデバイスのハードウェア構成を示す図、

図 1 4は、本発明の実施の形態 2におけるメモリデバイスの暗号化データに対する処理動作 1を示す図、

図 1 5は、本発明の実施の形態 2におけるメモリデバイスの暗号化データに対する処理動作 2を示す図、

図 1 6は、本発明の実施の形態 3におけるメモリデバイスの署名付き検査情報の書き込み動作を示す図、

図 1 7は、本発明の実施の形態 3におけるメモリデバイスの暗号通信路で伝送された検査情報の書き込み動作を示す図、

図 1 8は、本宪明の実施の形態 4におけるメモリデバイスの署名付き検査情報の書き込み動作を示す図、

図 1 9は、本発明の実施の形態 4におけるメモリデバイスの署名無し検査情報の書き込み動作を示す図、

図 2 0は、本発明の実施の形態 5におけるメモリデバイスのデータ処理動作を示す図、及び、

図 2 1は、本発明の実施の形態 5におけるシステムでのコンテンツ配信動作を示す図である。発明を実施するための最良の形態

以下、本発明の実施の形態について、図面を用いて説明する。なお、本明細書においてデータの破損とは、データが本来のデータから変化したり、データが欠落したりしたものを言う。

(実施の形態 1 )

本発明の実施形態 1におけるデータ修復システムは、図 1に示すように、ダゥンロードの対象のデータを管理するサーバ 10と、サーバ 10との伝送路を確保してダウンロードされるデータを受信する端末 20と、端末 20に装着されてダウンロードしたデータを記憶するメモリデバイス 30とで構成される。

ダウンロード対象のデータは、ユーザによるデータの変更を許さないプログラムデータや音楽データ、地図データなどの不変データである。サーバ 10は、これらのデータを複数のブロックに分割して、各ブロックに、そのブロックのデータに対する検査情報（ハッシュ値、チェックサム、 C R C ( Cyclic Redundancy Check) 、署名など）を生成し、そのデータ本体と検査情報とを保持 '管理する。そして、端末 20からデータの要求があると、そのデータのデータ本体と検査情報とを端末 20にダウンロードする。

図 3は、検査情報の一例を示している。この検査情報には、データのフアイノレ名と、データ取得先のサーバ名や U R L (Uniform Resource Locator) 、データ発行会社名などを表す発行元の情報と、フアイルサイズと、各ブロックのブロックサイズと、各プロックのハッシュ値とが含まれている。

メモリデバイス 30は、メモリカード等と称せられる記憶媒体であり、フラッシュメモリ等から成るメモリ 31と、メモリ 31へのデータの書き込み/読み出しを制御するメモリコントローラ 32 とを備えている。メモリコントローラ 32は、耐タンパ性を備えているが、メモリ 31は非耐タンパである。サーバ 10 からダウンロードされたデータの内、データ本体はメモリデバイス 30のメモリ 31の領域に格納され、検査情報はメモリコントローラ 32に格納される。図 2は、メモリデバイス 30のハード構成を示している。メモリコントローラ 32 は、メモリデバイス 30 の動作を制御する C P U (Central Processing Unit) 323と、 C P U323が作業領域として使用する R AM (Random Access Memory) 322 と、 C P U323の動作を規定するプログラムが格納された R O M (Read Only Memory) 321 と、 E E P R O M (Electrically Erasable Programmable Read Only Memory)等から成る耐タンパ性を有する内部不揮発性メモリ 324と、端末 20との間でデータを入出力する入出力部 ( I /O) 325と、メモリ 31との間の 1 /〇326とを備えている。

図 5は、メモリデバイス 30におけるデータ処理を模式的に示している。メモリコントローラ 32は、メモリ 31にデータ本体を書き込み、内部不揮発性メモリ 324に検査情報を書き込む書込部 327と、検査情報を用いてデータ本体の破損を検出する検查部 328と、メモリ 31に格納されたデータ本体を外部に読み出す読出部 329 とを備えている。この書込部 327、検査部 328及び読出部 329の各機能は、 C P U323がプログラムで規定された処理を行うことにより実現される。

サーバ 10からダウンロードしたデータをメモリデバイス 30に書き込む場合、端末 20は、サーバ 10から取得したデータ本体と検查情報とを書き込み要求とともにメモリデバイス 30に出力する。

書込部 327は、図 6のフロー図に示すように、

ステップ S T 1 ：各プロックのハッシュ情報を含む検查情報を内部不揮発性メモリ 324に書き込む。

ステップ S T 2 ：ファイルのデータ本体をメモリ 31に書き込む。

この書き込み処理が終了すると、書込部 327は、端末 20に書き込み完了通知を出力する。

また、メモリデバイス 30からデータを読み出す場合は、読み出すべきデータの破損の有無が検査される。この場合、端末 20からメモリデバイス 30に、選択したファイルのデータ破損の検査要求が入力し、検査部 328は、図 8のフロー図に示す処理を行う。

ステップ S T 10 :内部不揮発性メモリ 324から検査情報を読み出し、その中の "プロックサイズ" の情報を基に各ブロックの範囲を確認し、メモリ 31に格納されたデータ本体の着目するブロックのデータに対するハッシュ値を計算する。

ステップ S T 11：算出したハッシュ値と、検査情報に含まれる該当するブロックのハッシュ値とを比較し、それらが一致しないときは、ステップ S T 13 に進む。

ステップ S T 13 :そのブロック位置を特定する情報とプロックサイズと発行元の情報とを含むエラー報告を作成し、このエラー報告を検査結果として端末 20に出力する。

また、ステップ S T 11において、算出したハッシュ値と検査情報に含まれる該当するプロックのハッシュ値とが一致するときは、ステップ S T 12に進む。ステップ S T 12：最終ブロックに達するまで、順次プロックを変えてステツプ S T 10以下の処理を繰り返し、最終プロックに達した場合は検査処理を終了して、 "正常" を表す検查結果を端末 20に出力する。

エラーの検査結果を受けた端末 20は、破損データを含むプロックのデータをサーバ 10から取得し、メモリデバイス 30は、これを用いてメモリ 31のデータを修復する。図 9は、このデータ修復処理の手順を模式的に示している。このメモリデバイス 30のメモリコントローラ 32は、内部不揮発性メモリ 324 及び検査部 328の他に、メモリ 31に格納されたデータを修復する修正部 330 を備えている。この修正部 330の機能は、 C P U323がプログラムで規定された処理を行うことにより実現される。

端末 20から破損データの検查要求が入力すると（1 ) 、メモリデバイス 30 の検查部 328は、図 8の手順により、データ破損が生じているブロック位置を特定する情報、プロックサイズ及び発行元情報を含むエラー報告を検査結果として端末 20に出力する（2 ) 。

端末 20は、このエラー報告をトリガーとして、データ破損が生じているブ口ックのデータを発行元のサーバ 10に要求する。サーバ 10は、管理するデータの中から、該当するブロックのデータ本体を読み出して端末 20にダウン口ードする（3 ) 。

図 1 0は、この模様を模式的に示している。端末 20は、メモリデバイス 30 から受信した発行元（U R L) 、破損データを含むプロック位置、ブロックサィズを基に、サーバ 10に対して、破損データを含むプロックの正常データ（部分データ) を要求する（①）。サーバ 10は、検査情報を参照し、要求された部分データを端末 20に返送する（②）。このように、サーバ上のファイルの特定位置から特定サイズ分の情報を取得することは既知の技術であり、既存の F T P (File Transfer Protocol)や、 H T T P (Hypertext Transfer Protocol) サーバにおいても行われている。

修正すべきプロックのデータ本体を取得した端末 20は、このデータ本体と修正すべきプロックを指定する情報とを含む部分修正情報を作成して、修正要求とともにメモリデバイス 30に出力する ( 4 ) 。

部分修正情報を受信したメモリデバイス 30の修正部 330は、図 1 1に示す手順でデータの修復を実行する。

ステップ S T20：部分修正情報に含まれるブロックのデータ本体のハッシュ値を計算する。

ステップ S T21 :算出したハッシュ値と、内部不揮発性メモリ 324に格納された検査情報に含まれる該当するプロックのハッシュ値とを比較する。それらが一致しないときは、ステップ S T24に進む。

ステップ S T24：端末 20にそのプロックのデータ本体を再取得するように促す "再書き込み用前処理" を行い、データ本体が再取得された場合に、ステップ S T 20からの手順を繰り返す。

また、ステップ S T21において、算出したハッシュ値と検査情報に含まれる該当するブロックのハッシュ値とがー致するときは、ステップ S T22に進む。ステップ S T22：そのデータ本体をメモリ 31に上書きする。

ステップ S T 23：部分修正情報の中に他のブロックのデータ本体が含まれている場合は、ステップ S T20以降の手順を繰り返し、部分修正情報の中に書き込むべきデータ本体が無くなれば修復処理を終了する。

こうしてデータの修復処理が終了すると、修正部 330は、端末 20に修正完了通知を出力する（5 ) 。

データが修復された場合、検查部 328の検査結果は "正常" になる。

端末 20がメモリデバイス 30から "正常" の検査結果を得たファイルデータの読み出しを要求すると、メモリデバイス 30の読出部 329は、メモリ 31から該当するデータ本体を読み出して端末 20に出力する。

また、端末 20がメモリデバイス 30に、データ破損の検査を経ずに、フアイルデータの読み出しを要求した場合には、読出部 329から検査部 328に対して、読み出そうとする各ブロックのデータ破損についての検査要求が出され、 "正常" の検査結果が得られたブロックのデータが順次読み出される。図 1 2のフロー図は、この読み出し処理の動作を示している。

ステップ S T 30 :ファイルデータの読み出し要求を受けた読出部 329は、要求されたファイル名を検査部 328に伝えて、ファイルデータの破損の検査を要求する。

読出部 329から検査要求を受けた検査部 328は、内部不揮発性メモリ 324から該当するファイルの検查情報を読み出し、ブロックサイズから各プロックの範囲を確認して、メモリ 31に格納されたデータ本体の着目するブロックのデータに対するハッシュ値を計算する。

ステップ S T 31：算出したハッシュ値と、検査情報に含まれる該当するブロックのハッシュ値とを比較する。それらが一致しないときは、ステップ S T 34 に進む。

ステップ S T 34：そのブロック位置を特定する情報とブロックサイズと発行元の情報とを含むエラー報告を作成し、このエラー報告を検査結果として読出部 329に出力する。エラー報告を受けた読出部 329は、エラー報告を端末 20 に出力する。

また、ステップ S T 31において、計算したハッシュ値と検査情報に含まれる該当するプロックのハッシュ値とがー致するときは、ステップ S T32に進む。ステップ S T 32 :検査部 328は、ブロック位置を特定する情報と、そのプロックが "正常"であることを表す情報とを検査結果に含めて読出部 329に伝え、読出部 329は、そのブロックのデータ本体をメモリ 31から読み出す。

ステップ S T 33：指定されたファイルの最終ブロックに達するまで、順次ブ口ックを変えてステップ S T 30以下の処理を繰り返し、最終プロックに達した場合は読み出し処理を終了する。

また、読出部 329からエラー報告を受けた端末 20は、このエラー報告をトリガ一として、データ破損が生じているブロックのデータ本体を発行元のサーバ 10から取得し、メモリデバイス 30は、それを用いてデータの修復処理を行う。この処理は、図 9及び図 1 1で示したものと同じである。そして、修復されたデータの検査結果は "正常" となり、読出部 329は、修復されたデータ本体をメモリ 31から読み出す。

この読み出し処理では、検査結果が "正常" と判定されたプロックのデータ本体を直ぐに読み出しているため、検査終了からデータ読み出しの間にデータ破損が発生する可能性をゼロにすることができる。

このように、このデータ修復システムでは、メモリデバイスに蓄積したデータが破損しているとき、正常データを外部から取得して修復しているため、バックァップ用のデータを重複して保持する場合に比べて、メモリデバイスの蓄積効率を高めることができる。また、検査情報の生成単位を、データ全体ではなく、ブロック単位としているため、データ破損個所を小さな範囲に限定することができ、修復用の正常データを外部から取得する際のデータ通信時間を短縮することができる。

また、この検査情報をメモリデバイスの耐タンパ性の蓄積領域に格納し、データ本体をメモリデバイスの非タンパ性の蓄積領域に格納しているため、 I C カードのように全ての情報を耐タンパ性の蓄積領域に格納する場合に比べて、メモリデバイスの構成を簡素化することができ、低コストでの製造が可能になる。また、耐タンパ性の蓄積領域に格納した検査情報は、データ破壊や改竄から守ることができるため、データ本体が破損した場合でも、この検査情報を用いてデータ破損を確実に検出することができ、正常データを外部から取得して完全に修復することができる。

なお、図 3では、ファイル名を含む検査情報の例を示したが、図 4に示すように、検査情報にファイル名を含めないことも可能である。この場合、発行元の情報としてファイル取得先の U R Lを表すようにすれば、ファイルごとに U R Lが異なり、 U R Lでファイルが特定できるので、検査情報へのファイル名の記述が不要になる。

また、検査情報で各プロックのデータ本体を格納するメモリデバイスのメモリ領域を指定し、図 4に示すように、そのメモリ領域を表すブロック番号と、そのメモリ領域に格納するデータ本体のハッシュ値とを対応付けて検查情報に記述するようにすれば、メモリデバイス 30の検査部 328がメモリ 31に格納されたデ一タ本体の破損をチェックする場合に、その処理が容易になる。

また、図 6では、サーバ 10からダウンロードしたデータをメモリデバイス 30に取り敢えず書き込み、読み出し時にデータ破損を検出する場合の書き込み手順について示しているが、データの書き込み時にデータ破損をチェックし、正常なデータを書き込むようにすることも可能である。この場合、図 5の書込部 327及び検査部 328により、図 7のフロー図に示す書き込み処理が行われる。ステップ S T40：メモリデバイス 30の書込部 327は、各ブロックのハツシュ情報を含む検査情報を内部不揮発性メモリ 324に書き込み、ステップ S T41 に進む。

ステップ S T41：—つのプロックのデータ本体をメモリ 31に書き込む。ステップ S T 42：検査部 328は、このブロックのデータ本体のハッシュ値を計算し、ステップ S T43に進む。

ステップ S T43 :算出したハッシュ値と、内部不揮発性メモリ 324に格納した検査情報に含まれる該当するプロックのハッシュ値とを比較する。それらが一致しないときは、ステップ S T45に進む。

ステップ S T45：端末 20にそのブロックのデータ本体を再取得するように促し、また、再取得したデータ本体の書き込み位置を元のデータ本体が書き込まれていたメモリ 31上の位置から変更する "再書き込み用前処理" を行い、データ本体が再取得された場合に、ステップ S T41からの手順を繰り返す。なお、データ本体の書き込み位置の変更は、データ破損の生じたメモリ領域が、物理的に壌れてレ、る可能性があり、そのための措置である。

また、ステップ S T43において、算出したハッシュ値と検査情報に含まれる該当するプロックのハッシュ値とがー致するときは、ステップ S T 44に進む。ステップ S T44 :そのプロックが最終プロックであるか否かを識別し、最終ブロックでなければ、ステップ S T41以降の手順を繰り返し、最終ブロックであれば、書き込み処理を終了する。

書き込み処理が終了すると、書込部 327は、端末 20に書き込み完了通知を出力する。こうした処理により、データ破損を含まないデータ本体の書き込みが保証され、データ読み出し時の検査において、データ破損が発生する割合を低減することができる。

また、ここでは、端末が、メモリデバイスからエラー報告を受けて、データ破損を含むブロックデータの再取得を実行しているが、これは、メモリデバイスが、端末に対して、データの発行元とブロック位置とを指定して発行元への配信要求命令を出し、端末がその命令に従って発行元からデータを再取得する、と言う形態であっても良い。

また、このデータ修復システムでは、検査情報の生成単位をブロック単位とし、データ破損個所を小さな範囲に限定しているため、データが破損したプロックの情報を収集、解析して有益な情報を得ることができる。

サーバは、各端末からデータ復旧のために要求されたブロックの統計情報から次のような角军析が可能である。

固定データの同一個所の破損が多数のユーザで発生する場合は、①プログラムのバグによるデータ破壊の可能性がある。 ②データ（例えば、音楽ファイルなど）の不正利用方法が流布している可能性がある。

また、プログラムの同一個所の破損が多数のユーザで発生する場合は、 ①ゥィルスによるプログラム改竄の可能性がある。 ②プロダラム不正改造方法が流布している可能性がある。

また、同一ユーザによる修正が頻発する場合は、メモリデバイスのハードウエアが故障している可能性があり、この解析結果を基に、メモリデバイスの修理ゃ交換を勧める情報を端末に送るなどのサービスが可能になる。

また、端末は、メモリデバイスからのエラ一報告の回数が閾値を越えた場合、あるいは、一定時間内に閾値を越えるエラー報告を受けた場合に、メモリデバィスのハードゥエア故障や外部からの攻撃の可能性があるものと見て、 ①メモリデバイスからのエラ一報告の受付を停止する、 ②ェラ一報告のサーバへの送出を停止する、 ③サーバからの修復データの取得を停止する、 ④メモリデバイスを交換する、等の措置を取ることができる。

また、端末は、メモリデバイスの利用回数が閾値を越えた場合、メモリデバイスの寿命が尽きる前に、新しいメモリデバイスにデータを移し変える措置を取ることもできる。

また、データ破損の頻度により、メモリデバイス自身がデータ修復の自律機能を停止するようにしても良い。自律機能の停止とは、書込部 327、検査部 328、読出部 329などの、データ取得や読み出しに必要なメモリデバイス内の全部または一部の諸機能を停止させることである。自律機能停止の条件は、データ破損の検出回数が閾値を越えた場合、あるいは、一定期間内に閾値を越えるデータ破損を検出した場合などであり、停止の形態は、 ①一定期間（一定周期）停止する、 ②次回のリセットまで停止する、 ③完全停止する（この場合、専門業者に依頼して機能回復を図る）、などである。

(実施の形態 2 )

実施の形態 2では、暗号化されたデータ本体をメモリデバイスに格納するデータ修復システムについて説明する。

このメモリデバイスは、図 1 3に示すように、メモリコントローラ 32が、暗号化データを復号化する喑号コプロセッサ 331を備えている。その他の構成は実施の形態 1 (図 2 ) と変わりがない。

図 1 4は、このメモリデバイス 30におけるデータ処理を模式的に示している。メモリコントローラ 32は、書込部 327、検査部 328、読出部 329及び内部不揮発性メモリ 324の他に、暗号化データを復号化する復号部 332を備えている。この復号部 332の機能は、暗号コプロセッサ 331により実現される。このシステムのサーバ 10は、ファイルデータを暗号化した後、複数のブロックに分割し、各ブロックのデータに対する検査情報（ハッシュ値、チヱックサム、 C R C、署名など）を生成して、その暗号化データと検査情報とを保持■ 管理する。そして、端末 20からデータの要求があると、暗号化データと検査情報とを端末 20にダウンロードする。

端末 20は、サーバ 10から取得した暗号ィヒデータと検査情報とを書き込み要求とともにメモリデバイス 30に出力する。

メモリコントローラ 32の書込部 327は、図 6または図 Ίに示す手順で、検查情報を内部不揮発性メモリ 324に、また、暗号化データをメモリ 31に書き込む。

メモリコントローラ 32の検査部 328は、暗号化データの破損を検査する場合、メモリ 31に格納された各ブロックの暗号化データのハッシュ値を計算し、算出したハッシュ値と、内部不揮発性メモリ 324に格納された検査情報に含まれる該当するプロックのハッシュ値とを比較する。そして、それらが一致するときは "正常" の検査結果を出力し、不一致であるときはエラー報告を出力する。

また、メモリデバイス 30に格納されたデータを読み出す場合は、検査部 328 の検査結果が "正常"であるプロックの暗号化データが復号部 332で復号化され、読出部 329から読み出される。その他の動作は実施の形態 1と変わりがない。

また、図 1 5は、データを暗号ィヒする場合の他の形態を示している。

このシステムのサーバ 10は、フアイルデータを複数のブロックに分割し、各プロックのデータに対する検査情報を生成した後、各プロックのデータを暗号化し、その暗号化データと検査情報とを保持 '管理する。そして、端末 20 からデータの要求があると、暗号化データと検査情報とを端末 20にダウン口ードする。

端末 20は、サーバ 10から取得した暗号化データと検査情報とを書き込み要求とともにメモリデバイス 30に出力する。

メモリコントローラ 32の書込部 327は、図 1 4の場合と同様に、検査情報を内部不揮発性メモリ 324に、また、暗号化データをメモリ 31に書き込む。メモリコントローラ 32の検査部 328は、暗号化データの破損を検査する場合、メモリ 31に格納された各プロックの暗号化データを復号部 332で復号化し、得られたデータのハッシュ値を計算して、検査情報に含まれる該当するブロックのハッシュ値と比較する。そして、それらが一致するときは "正常" の検査結果を出力し、不一致であるときはエラー報告を出力する。

また、読出部 329は、検査部 328の検査結果が "正常" である場合にだけ、復号部 332で復号化されたデータを外部に読み出す。

その他の動作は実施の形態 1と変わりがない。

このように、図 1 4では、暗号化したデータの検査情報を用いてデータ破損を検査し、図 1 5では、復号化したデータの検査情報を用いてデータ破損を検査しているが、いずれの場合でも、暗号化データを復号化して読み出すには、必ず検査部の検査手順を通らなければならない。

このシステムでは、サーバと端末との間で、データが暗号化されて伝送され、また、メモリデバイスの非耐タンパのメモリ領域にデータが暗号化されて蓄積されるため、データのセキュリティを守ることができる。

なお、ここでは、メモリコントローラ 32に暗号コプロセッサ 331を設ける場合について説明したが、暗号コプロセッサ 331の機能を C P U323が代わつて行うようにしても良い。

(実施の形態 3 )

実施の形態 3では、検査情報の改竄防止の措置を講じたデータ修復システムについて説明する。

このシステムでは、サーバが端末に対して、ブロックに分割したデータと、署名を付した検査情報とをダウンロードし、メモリデバイスは、検査情報を格納する際に、その署名を検証する。

図 1 6は、このメモリデバイス 30のデータ処理を模式的に示している。メモリコントローラ 32は、書込部 327及び内部不揮発性メモリ 324の他に、検査情報の署名を検証する署名検証部 333 を備えている。この署名検証部 333 の機能は、 C P U323がプログラムで規定された処理を行うことにより実現される。

このシステムのサーバ 10は、複数のブロックに分割したデータと、その検査情報とを保持■管理し、端末 20からデータの要求があつたときに、データ本体と、署名を付した検査情報とを端末 20にダウンロードする。

端末 20は、サーバ 10から取得したデータと署名付きの検査情報とを書き込み要求とともにメモリデバイス 30に出力する。

メモリコントローラ 32の書込部 327は、署名付きの検査情報を署名検証部 333に渡し、データ本体をメモリ 31に書き込む。

署名検証部 333は、検査情報に付された署名を検証し、検査情報が改竄されていないことを確認した後、検査情報を内部不揮発性メモリ 324に格納する。その他の処理は実施の形態 1と変わりがない。

このシステムでは、検查情報に付された署名を検証することで、サーバから送信された検査情報が、メモリデバイスの耐タンパ性のメモリ領域に格納される以前に悪意の第 3者によって改竄される事態を防止することができる。

また、図 1 7は、検査情報の改竄を防止するため、検査情報を暗号通信路で伝送する場合を示している。

このメモリコントローラ 32は、データをメモリ 31に書き込むデータ書込部 336と、検査情報を内部不揮焭性メモリ 324に書き込む検査情報書込部 335とを備えている。このデータ書込部 336及び検査情報書込部 335の機能は、 C P U323がプログラムで規定された処理を行うことにより実現される。

このシステムでは、検査情報が、サーバ 10からメモリデバイス 30の検査情報書込部 335に暗号通信路を通じて伝送される。この暗号通信路は、 I Cカードにおけるセキュアメッセージングなどと同様に、サーバ 10 と検査情報書込部 335とが直接構築する。検査情報書込部 335は、受信した検査情報を耐タンパ性の内部不揮発性メモリ 324に書き込む。

また、データは、サーバ 10からメモリデバイス 30に通常の伝送路で伝送され、データ書込部 336は、受信したデータをメモリ 31に書き込む。

このシステムでは、検査情報を暗号通信路で伝送しているため、検査情報が、メモリデバイスの耐タンパ性のメモリ領域に格納される以前に悪意の第 3者によつて改竄される事態を防ぐことができる。

(実施の形態 4 )

実施の形態 4では、耐タンパ性のメモリ領域の使用効率を高めたデータ修復システムについて説明する。

メモリデバイスに格納するデータそのものが大き <なると、それに対応して検査情報のデータ量も増大し、検査情報を耐タンパ性のメモリ領域に書き込むことが困難になる。そのため、このシステムでは、検查情報をメモリデバイスの非耐タンパのメモリ領域に書き込み、その検査情報のデータ破損を検査するための検査情報（検査情報用検査情報）をメモリデバイスの耐タンパ性のメモリ領域に書き込むようにしている。

図 1 8は、このメモリデバイス 30のデータ処理を模式的に示している。メモリコントローラ 32は、図 1 6の場合と同様に、書込部 327、署名検証部 333 及ぴ内部不揮発性メモリ 324を備えており、また、サーバ 10からは、データ本体と署名を付した検査情報とがダウンロードされる。

このメモリコントローラ 32の書込部 327は、署名付きの検査情報を署名検証部 333に渡し、署名検証部 333が検査情報に付された署名を検証して、検査情報が改竄されていないことを確認すると、書込部 327は、署名付きの検査情報とデータ本体とをメモリ 31に書き込む。

一方、署名検証部 333は、検査情報及び署名に対するハッシュ値（即ち、検査情報用検査情報）を算出し、この検査情報用検査情報を内部不揮発性メモリ 324に格納する。

この場合、検査部 328は、ブロックのデータ破損を検査するとき、署名付き検査情報をメモリ 31から読み出し、その検査情報に破損が生じていないことを、内部不揮発性メモリ 324に格納された検查情報用検査情報を用いて確認する。その後の検査処理は実施の形態 1と同じである。また、検査情報が破損しているときは、サーバから検査情報を取得し直す。

また、図 1 9は、 'メモリデバイス 30がサーバからデータ本体と署名無しの検査情報とを受信する場合のデータ処理を模式的に示している。このメモリコントローラ 32は、書込部 327及び内部不揮発性メモリ 324の他に検査情報用検査情報を生成する検査情報用検査情報生成部 337を備えている。この検査情報用検査情報生成部 337の機能は、 C P U323がプログラムで規定された処理を行うことにより実現される。

このシステムのサーバ 10は、データ本体と署名なしの検査情報とを端末 20 にダウンロードする。なお、この検査情報は、図 1 7に示すように、暗号通信路を用いて伝送するようにしても良い。

このメモリコントローラ 32の書込部 327は、データ本体と検査情報とを受信すると、検査情報を検査情報用検査情報生成部 337に伝えるとともに、この検査情報とデータ本体とをメモリ 31に書き込む。

検査情報用検査情報生成部 337 は、検査情報のデータに対するハッシュ値 (即ち、検査情報用検査情報）を算出し、この検査情報用検査情報を内部不揮発性メモリ 324に格納する。

この場合、検査部 328は、メモリ 31に格納されたデータ本体のデータ破損を検査するとき、検査情報をメモリ 31から読み出し、その検査情報に破損が生じていないことを、内部不揮発性メモリ 324に格納された検査情報用検査情報を用いて確認する。その後の検査処理は実施の形態 1と同じである。また、検査情報が破損しているときは、サーバから検查情報を取得し直す。

このシステムでは、検査情報そのものを非耐タンパのメモリ 31に置くことで、耐タンパ性のメモリ領域の使用量を削減することができる。この場合、非耐タンパのメモリ 31に格納した検査情報は、書き込んでから読み出すまでの間にデータ破損の生じる可能性があるが、耐タンパ性のメモリ領域で検査情報用検査情報を保持することにより、検査情報が正常であるか否かを判定することができ、検査情報が正常でないときには、サーバから検査情報を取り直すことにより、常に誤りのない検査情報を用いてデータ本体の破損を検査することができる。

(実施の形態 5 )

実施の形態 5では、データ修復の機能を利用するシステムであって、検查情報のみを先にダウンロードし、データ本体は、それを使用する時にダウンロードするシステムについて説明する。

図 2 0は、このシステムでのメモリデバイス 30のデータ処理を模式的に示している。メモリコントローラ 32は、検査部 328、読出部 329、修正部 330 及び内部不揮発性メモリ 324の他に、検査情報の更新処理を行う検査情報更新部 334を備えている。この検査情報更新部 334の機能は、 C P U323がプログラムで規定された処理を行うことにより実現される。

このシステムのサーバ 10は、例えば、新規作成したプログラムデータを複数のプロックに分割し、各プロックのデータ本体と、その検査情報とを保持 - 管理する。そして、端末 20からの要求に応じて、あるいは、プッシュ型のサ一ビスにより、その新規な検査情報のみを端末 20にダウンロードする。端末 20は、サーバ 10から取得した新検査情報を、検査情報の更新要求とともにメモリデバイス 30に出力する。

メモリコントローラ 32の検査情報更新部 334は、新検査情報を内部不揮発性メモリ 324に書き込む。この新検査情報に対応するプログラムデータは、未だメモリ 31に格納されていない。

この新たなプログラムデータをユーザが使用するとき、ユーザの操作に基づいて端末 20からメモリデバイス 30にデータの読み出し要求が出力される（1 )。読み出し要求を受けたメモリコントローラ 32の読出部 329は、図 1 2に示す手順で、検査部 320に検査要求を出力する。検査部 328は、内部不揮性メモリ 324から新検査情報を読み出し、また、メモリ 31に格納されたデータ本体を読み出して、そのデータのハッシュ値を計算しょうとする。しかし、メモリ 31には該当するデータが格納されていないため、検査結果としてエラー報告を読出部 329に出力する。エラー報告を受けた読出部 329は、それを端末 20に出力する（2 ) 。

端末 20は、このエラー報告を卜リガーとして、 .検査情報に対応するプログラムデータを発行元のサーバ 10に要求し、サーバ 10は、そのプログラムデータを端末 20にダウンロードする。このデータを取得した端末 20は、このデータを含む部分修正情報を作成し、修正要求とともにメモリデバイス 30に出力する（3 ) 。

部分修正情報を受信したメモリデバイス 30の修正部 330は、図 1 1に示す手順でプログラムデータをメモリ 31に書き込み、端末 20に修正完了通知を出力する（4 ) 。

プログラムデータがメモリ 31に書き込まれたことによって、検査部 328は、そのデータが "正常" である旨の検査結果を読出部 329 に伝え、読出部 329 は、そのプログラムデータをメモリ 31から読み出して端末 20に出力する（5 )。このように、このシステムでは、メモリデバイス内で保持する検查情報を先行して更新し、その検査情報に対応するデータ本体の更新を、その使用時まで遅らせることができる。

図 2 1は、このシステムの応用例として、サーバ 10 、検査情報とカタ口グ情報とを先行して端末 20にダウンロードし、ユーザが力タ口グ情報で表示するコンテンツを希望したとき、そのコンテンツのデータを端末 20にダウンロードするシステムの手順を示している。まず、①端末 20は、サーバ 10からカタ口グ情報と検査情報とを取得する。

②端末 20は、メモリデバイス 30に、取得したカタ口グ情報と検査情報とを書き込む。カタ口グ情報及び検査情報は、メモリデバイス 30の耐タンパ性のメモリ領域に書き込まれる。

③端末 20は、メモリデバイス 30に格納されたカタ口グ情報を参照する。

④端末 20は、メモリデバイス 30からカタ口グ情報に対応するコンテンッデータの読み出しを行う。

⑤メモリデバイス 30は、エラー報告を端末 20に返す。

⑥端末 20は、コンテンツデータをサーバ 10に要求し、サーバ 10は端末 20 にコンテンツを配信する。

⑦端末 20は、メモリデバイス 30の非耐タンパのメモリ領域にコンテンツデータを書き込む。

⑧メモリデバイス 30は、データの破損チェックを行いながら、コンテンツデータを端末 20に読み出す。

なお、 ①において、カタログ情報と検査情報とは、あらかじめメモリデバイス内に格納されていても良い。また、 ②において、カタログ情報は非耐タンパのメモリ領域に格納しても良い。

このように、このシステムでは、データ本体が必要になるまでデータ本体の配信を遅らせることができる。

また、このシステムでは、配信したコンテンツのデータが破損したとき、端末は、検査情報を基に、コンテンツデータを自動復元することができる。そのため、この検査情報を販売することにより、コンテンツデータの破損時に自動復元可能なコンテンッ配信サービスを提供したり、データ補修を目的とするサ一ビスを提供したりすることが可能になり、新たなビジネスが成立する。

なお、各実施形態では、メモリデバイスが、外部からのトリガー（検査要求、読み出し要求）によって、データ破損の検査を行う場合について説明した力メモリコントローラが自発的に（例えば、一定の周期で）データ破損の検査を行い、データが破損している場合に、その検査結果を外部に報告するようにしても良い。

また、各実施形態では、メモリデバイスに格納するデータ及び検査情報をサーバからダウンロードする場合について説明したが、このデータ及び /または検査情報は、メモリデバイスの製造時や配付時に書き込んでも良い。

また、各実施形態では、データをブロック単位で検査する場合について説明したが、本発明はプロック単位に限定されるものではない。

また、本発明におけるメモリデバイスには、カード形態のものだけでなく、ハードディスクなど、その他の形態の記憶装置も含まれる。

以上の説明から明らかなように、本発明のメモリデバイスは、検査情報を耐タンパ性の蓄積領域に格納し、データ本体を非タンパ性の蓄積領域に格納しているため、全ての情報を耐タンパ性の蓄積領域に格納する場合に比べて、多くのデータを格納することができ、また、低コストでの製造が可能になる。また、データ本体が破損した場合でも、耐タンパ性の蓄積領域に格納した検査情報を用いてデータ破損を確実に検出し、完全に修復することができる。

また、本発明のシステムでは、メモリデバイスに蓄積したデータが破損しているとき、正常データを外部から取得して修復するので、メモリデバイス内でバックァップ用のデータを重複して保持する必要が無く、メモリデバイスの蓄積効率を高めることができる。また、検查情報の生成単位を、データ全体ではなく、ブロック単位としているため、データ破損個所を小さな範囲に限定することができ、修復用の正常データを外部から取得する際のデータ通信時間を短縮することができる。また、本発明のデータ修復システムの機能を利用して、データ本体が必要になるまでデータ本体の配信を遅らせるコンテンツ配信サービスを提供したり、コンテンツデータの破損時に自動復元可能なコンテンツ配信サービスを提供したり、あるいは、データ補修を目的とするサービスを提供したりすることができ、新たなビジネスの展開が可能になる。

本明細書は、 2002年 1月 31日出願の特願 2002— 023704に基づくものである。この内容をここに含めておく。産業上の利用可能性

本発明は、例えば、端末装置の処理を規定するプログラムなどのデータを、サーバからネットワークを通じて端末装置にダウンロードするシステムに用いるに好適である。

Claims

請求の範囲

1 . 耐タンパ性のメモリ領域と非耐タンパ性のメモリ領域とを備え、前記非耐タンパ性のメモリ領域にデータを格納し、前記耐タンパ性のメモリ領域に前記データの破損の検査に用いる検查情報を格納したメモリデバイス。

2 . データを格納する非耐タンパ性の第 1のメモリ領域と、データ破損の検査に用いる検査情報を格納する耐タンパ性の第 2のメモリ領域と、外部から取得したデータを前記第 1のメモリ領域に書き込み、前記検查情報を前記第 2のメモリ領域に書き込む書き込み手段と、前記検查情報を用いてデータ破損を検査 "る検査手段と、前記検査手段が正常と判定したデータを読み出す読み出し手段とを備え、前記検査手段は、外部から取得した前記データをプロック単位で正常か否かを判定するメモリデバイス。

3 . 前記検查情報が、外部から取得した前記データのプロック単位の検査情報を含み、前記書き込み手段は、前記検査情報を前記第 2のメモリ領域に書き込む請求の範囲 2記載のメモリデバイス。

4 . 前記書き込み手段は、前記検査情報を暗号通信路を通じて取得し、前記検査情報を前記第 2のメモリ領域に書き込む請求の範囲 2記載のメモリデバイス。

5 . 前記書き込み手段は、前記検査情報を暗号通信路を通じて取得し、前記検査情報を前記第 2のメモリ領域に書き込む請求の範囲 3記載のメモリデバイス。

6 . 前記書き込み手段は、外部から取得した前記検査情報に付されている署名を検証した後、前記検査情報を前記第 2のメモリ領域に書き込む請求の範囲 3 記載のメモリデバイス。

7 . 前記書き込み手段は、データ破損の検査に用いる検査情報を取得して前記検査情報を検証する検証用検査情報を作成し、前記検証用検査情報を前記第 2 のメモリ領域に書き込み、データ破損の検査に用いる前記検査情報を前記第 1 のメモリ領域に書き込む請求の範囲 2記載のメモリデバイス。

8 . 前記書き込み手段は、署名付きの前記検査情報を取得して、前記署名付きの検査情報を検証する検証用検査情報を作成し、前記検証用検査情報を前記第 2のメモリ領域に書き込み、前記署名付きの検査情報を前記第 1のメモリ領域に書き込む請求の範囲 7記載のメモリデバイス。

9 . 前記書き込み手段は、前記検査情報を用いて前記第 1のメモリ領域に書き込むデータの破損を検査し、正常なデータを前記第 1のメモリ領域に書き込む請求の範囲 2記載のメモリデバイス。

1 0 . 前記検査情報が、検査対象のデータの取得先を示す発行元情報を含み、前記検査手段は、前記検査情報を用いてデータ破損が生じているプロック単位を検出したとき、前記発行元情報と前記ブロック単位を示す情報とを含むエラ一報告を出力する請求の範囲 2記載のメモリデバイス。

1 1 . 前記検査情報が、検査対象のデータの取得先を示す発行元情報を含み、前記検査手段は、前記検査情報を用いてデータ破損が生じているプロック単位を検出したとき、前記発行元情報と前記プロック単位を示す情報とを含むェラ一報告を出力する請求の範囲 3記載のメモリデバイス。

1 2 . 前記検査情報が、検査対象のデータの取得先を示す発行元情報を含み、前記検査手段は、前記検査情報を用いてデータ破損が生じているプロック単位を検出したとき、前記プロック単位のデータの前記発行元に対する配信要求を出力する請求の範囲 2記載のメモリデバイス。

1 3 . 前記検査情報が、検査対象のデータの取得先を示す発行元情報を含み、前記検査手段は、前記検査情報を用いてデータ破損が生じているプロック単位を検出したとき、前記プロック単位のデータの前記発行元に対する配信要求を出力する請求の範囲 3記載のメモリデバイス。

1 4 . 前記検査手段は、データ破損が生じているブロック単位の検査を自発的に行う請求の範囲 1 0記載のメモリデバイス。

1 5 . 前記検査手段は、データ破損が生じているブロック単位の検査を自発的に行う請求の範囲 1 1記載のメモリデバイス。

1 6 . 前記検査手段は、データ破損が生じているブロック単位の検査を自発的に行う請求の範囲 1 2記載のメモリデバイス。

1 7 . 前記検査手段は、データ破損が生じているブロック単位の検査を自発的に行う請求の範囲 1 3記載のメモリデバイス。

1 8 . データ破損が生じているブロック単位を検出する前記検査手段の検出回数が閾値を越えたとき、動作を停止する請求の範囲 2記載のメモリデバイス。

1 9 . 前記読み出し手段は、前記検査手段が正常と判定したプロック単位のデータを順次読み出す請求の範囲 2記載のメモリデバイス。

2 0 . 外部から取得した前記プロック単位のデータを前記検査情報を用いて検查し、前記データが正常であるとき、当該データを、前記第 1のメモリ領域に書き込む修正手段を備える請求の範囲 2記載のメモリデバイス。

2 1 . 前記エラー報告に対応したブロック単位のデータを外部から取得し、前記データを前記検査情報を用いて検査し、前記データが正常であるとき、当該データを、前記第 1のメモリ領域に書き込む修正手段を備える請求の範囲 1 0 記載のメモリデバイス。

2 2 . 前記エラー報告に対応したブロック単位のデータを外部から取得し、前記データを前記検査情報を用いて検査し、前記データが正常であるとき、当該データを、前記第 1のメモリ領域に書き込む修正手段を備える請求の範囲 1 1 記載のメモリデバイス。

2 3 . 暗号化データを復号化する復号化手段を備え、前記復号化手段は、前記検査手段が正常と判定した暗号化データのプロック単位のみを復号化し、前記読み出し手段は、前記復号化手段が復号化したプロック単位のデータを順次読み出す請求の範囲 2記載のメモリデバイス。

2 4 . 暗号化データを復号化する復号化手段を備え、前記検査手段は、前記検查情報を用いて、前記復号化手段が復号化したブロック単位のデータに含まれるデータ破損を検査し、前記読み出し手段は、前記検査手段が正常と判定したプロック単位のデータを順次読み出す請求の範囲 2記載のメモリデバイス。

2 5 . 検査対象のデータに先行して前記検査情報を更新する検査情報更新手段を備え、前記データの前記第 1のメモリ領域への書き込みを前記修正手段が行う請求の範囲 2 0記載のメモリデバイス。

2 6 . データをメモリデバイスの非耐タンパ性のメモリ領域に格納し、前記データの破損の検査に用いる検查情報を前記メモリデバイスの耐タンパ性のメモリ領域に格納する端末装置。

2 7 . ブロック単位に分けたデータと、各ブロックのデータ破損を検査するための検査情報とをサーバから取得し、前記データをメモリデバイスにおける非耐タンパ性の第 1のメモリ領域に格納し、前記検査情報を前記メモリデバイスにおける耐タンパ性の第 2のメモリ領域に格納する端末装置。

2 8 . 前記メモリデバイスから、データ破損が生じているブロックを示すエラ一報告を得て、当該ブロックのデータを前記サーバから取得し、前記メモリデバイスの第 1のメモリ領域に格納する請求の範囲 2 7記載の端末装置。

2 9 . 前記メモリデバイスから、データ破損が生じているブロック単位のデータの発行元に対する配信要求が出力されたとき、当該ブロックのデータを前記発行元のサーバから取得し、前記メモリデバイスの第 1のメモリ領域に格納する請求の範囲 2 7記載の端末装置。

3 0 . 前記メモリデバイスからの前記エラー報告の回数または前記配信要求の回数が閾値を越えたとき、前記サーバからのデータ取得を停止する請求の範囲 2 8記載の端末装置。

3 1 . 前記メモリデバイスからの前記エラー報告の回数または前記配信要求の回数が閾値を越えたとき、前記サーバからのデータ取得を停止する請求の範囲

2 9記載の端末装置。

3 2 . データと前記データの破損を検査する検査情報とを管理するサーバと、前記サーバから前記データ及び検査情報を取得する端末装置と、前記端末装置が前記サーバから取得した前記データを非耐タンパ性のメモリ領域に格納し、前記検査情報を耐タンパ性のメモリ領域に格納するメモリデバイスとを備え、前記メモリデバイスは、前記検査情報を用いて前記データの破損を検出し、前記端末装置は、破損が検出されたデータを前記サーバから取得し、前記メモリデバイスは、前記端末装置が取得したデータを用いてデータの破損を修復するデータ修復システム。

3 3 . ブロック単位に分けたデータと各ブロックのデータ破損を検査するための検査情報とを管理するサーバと、前記サーバから前記データと前記検査情報とを取得する端末装置と、前記端末装置が取得した前記データを非耐タンパ性の第 1のメモリ領域に格納し、前記検査情報を耐タンパ性の第 2のメモリ領域に格納するメモリデバイスとを備え、前記メモリデバイスは、前記検查情報を用いてデータ破損が生じているブロックを検出し、前記端末装置は、検出された前記ブロックのデータを前記サーバから取得し、前記メモリデバイスは、前記端末装置が取得したデータを用いてデータ破損を修復するデータ修復システム

3 4 . 前記端末装置は、前記サーバから前記検査情報を前記データに先行して取得し、前記メモリデバイスは、前記検查情報を格納し、前記データの読み出し要求があつたときに、未蓄積の前記データをデータ破損が生じているデータとして検出し、これを受けた前記端末装置が、前記データを前記サーバから取得して、前記メモリデバイスに格納する請求の範囲 3 3記載のデータ修復システム。

3 5 . データを格納する非耐タンパ性の第 1のメモリ領域と、データ破損の検査に用いる検査情報を格納する耐タンパ性の第 2のメモリ領域と、外部から取得したデータを前記第 1のメモリ領域に書き込み、前記検査情報を前記第 2のメモリ領域に書き込む書き込み手段と、前記外部から取得したデータの破損を前記検査情報を用いて検査する検査手段と、前記検査手段が正常と判定したデータを読み出す読み出し手段とを備えるメモリデバイス。

3 6 . データとこのデータの破損を検査するための検査情報とをサーバから取得し、前記データをメモリデバイスにおける非耐タンパ性の第 1のメモリ領域に格納し、前記検査情報を前記メモリデバイスにおける耐タンパ性の第 2のメモリ領域に格納する端末装置。

3 7 . データとこのデータの破損を検査するための検查情報とを管理するサーバと、前記サーバから前記データと前記検査情報とを取得する端末装置と、前記端末装置が取得した前記データを非耐タンパ性の第 1のメモリ領域に格納し、前記検査情報を耐タンパ性の第 2のメモリ領域に格納するメモリデバイスとを備え、前記メモリデバイスは、前記検査情報を用いて前記データの破損の有無を検出し、前記端末装置は、前記破損が検出されたデータを前記サーバから取得し、前記メモリデバイスは、前記端末装置が取得したデータを用いてデ一タ破損を修復するデータ修復 V