WO2005111809A1

WO2005111809A1 - ファイル管理装置、ファイル管理方法、ファイル管理プログラム及びファイル管理プログラムを記録したコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2005111809A1
Application number: PCT/JP2005/004940
Authority: WO
Inventors: Yuichi Kato; Tsutomu Kumazaki; Kazuhiko Yamashita
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2004-05-13
Filing date: 2005-03-18
Publication date: 2005-11-24
Also published as: JPWO2005111809A1; KR20070006655A; US20070033235A1; CN1820259A; EP1752879A1

Abstract

　ボリュームの改ざんを確実に検出することができるファイル管理装置、ファイル管理方法、ファイル管理プログラム及びファイル管理プログラムを記録したコンピュータ読み取り可能な記録媒体を提供する。　ＨＤＤ１３０は、ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データ１５２を記憶し、著作権データ作成部２０５は、ファイルの書き込み時に、ボリューム管理データ１５２の改ざんを検出するためのボリューム著作権データ１３４を作成し、ＨＤＤ１３０とは物理的に異なる位置に配置されたフラッシュＲＡＭ１３２は、ボリューム著作権データ１３４を記憶し、著作権データ比較部２０６は、ボリュームのマウント時に、ボリューム管理データ１５２とボリューム著作権データ１３４とを比較し、改ざんがないと判断された場合、制御部２０２はボリュームをマウントする。

Description

明細書

ファイル管理装置、ファイル管理方法、ファイル管理プログラム及びフアイル管理プログラムを記録したコンピュータ読み取り可能な記録媒体

技術分野

[0001] 本発明は、磁気的或いは光学的或いは電気的或いはその他物理的手段又は化学的手段や、これらの組み合わせによって情報を記憶する情報記憶装置等にぉ、て、ファイル単位の情報の記憶をより効率的且つ安全に行うためのファイル管理装置、フアイル管理方法、ファイル管理プログラム及びファイル管理プログラムを記録したコンピュータ読み取り可能な記録媒体に関するものである。

[0002] 更に、これらの情報が不正に改ざんされたことを検出することのできるファイル管理システム等に関するものであり、この不正に改ざんされたことを検出することのできる情報には、例えばコピーを管理するための著作権情報等も含まれている。

[0003] 更に、これらの情報の管理や不正に改ざんされたことをより確実に行うため、フアイル情報の更新中等に例えば電源がオフとなったような場合でも、安全に情報の管理や改ざんの検出を行うことができるファイル管理システム等に関するものである。背景技術

[0004] 従来の、ファイル管理装置、ファイル管理方法、ファイル管理プログラム及びフアイル管理プログラムを記録したコンピュータ読み取り可能な記録媒体の例としては、例えば下記特許文献 1に記載された記録 ·再生装置があった。

[0005] 図 10は、従来の記録'再生装置の一例であるミュージックサーバ 900の概略構成を示すブロック図である。

[0006] このミュージックサーバ 900において、音楽データは、 HDD910、 CD— ROMドライブ 909又は音楽データ用 DRAM911に記録される。 HDD910は読み書き可能であり、 CD— ROMドライブ 909は読み出し専用であり、音楽データ用 DRAM911は読み書き可能であるが、通常一時的な記録に使用される。

[0007] ミュージックサーノ 900の操作はユーザがキーボード 902を使って行い、その操作情報は入力制御部 901からバス 940を経由して CPU908へ送られる。 CPU908は、この操作情報やその他の情報に基づ、て、ミュージックサーバ 900全体の制御を行う。 CPU908はこの制御を行うために ROM906と RAM905とフラッシュ RAM907とその他図示しな、幾つかの要素とを使用する。

[0008] CPU908と ROM906と RAM905とフラッシュ RAM907とは、バス 941で接続されている。 ROM906は、 CPU908を制御するためのプログラムや、その他の変更されることがないデータを記憶する。 RAM905は、一時的なデータを記憶する。フラッシュ RAM907は、変更されることもあるが、電源がオフされても記憶を継続しなければならないデータ、例えば後述するパラメータ等のデータを記憶する。操作情報や、 C PU908によって制御されるミュージックサーバ 900の状態は、 LCDドライバ 925を経由して LCD926に表示される。

[0009] ミュージックサーバ 900は、モデム 920と公衆電話回線端子 919とを経由して、或いは 1394ドライノ 929と 1394— I/F928と 1394端子 931とを経由して、それぞれ仕様が定められたインターフェースで外部の機器やネットワークと接続されている。このように接続することにより、ミュージックサーバ 900は、外部の機器やネットワークから音楽データやそれに関連するデータを始めとして各種の情報を入手したり、逆に各種の情報を送り出したりすることができる。

[0010] ミュージックサーバ 900は、音楽データを入出力するための専用インターフェースとして、光デジタル入力端子 917、マイク端子 913、ライン入力端子 915及びスピーカ端子 924を備えている。

[0011] 光デジタル入力端子 917から入力された音楽データは、圧縮エンコーダ 912を経て音楽データ用 DRAM911や HDD910に記録される。ライン入力端子 915から入力された音楽データは、 AZD変 918によってアナログデータ力デジタルデータに変換され、圧縮エンコーダ 912を経て音楽データ用 DRAM911や HDD910に記録される。マイク端子 913から入力された音楽データは、 AMP (アンプ） 914によつて増幅され、 AZD変 918によってアナログデータ力もデジタルデータに変換され、圧縮ェンコーダ 912を経て音楽データ用 DRAM911や HDD910に記録される

[0012] また、音楽データ用 DRAM911や HDD910に記録されている音楽データは、圧縮デコーダ 921によってデコードされ、 DZA変換器 922によってデジタルデータからアナログデータに変換され、 AMP923によって増幅されてスピーカ端子 924から出力される。

[0013] 但し、このようなミュージックサーバ 900の構成はあくまでも 1つの例であって、必ずしもこのような構成だけに限るものではないが、その他の構成については省略する。

[0014] このミュージックサーバ 900においては、例えばマイク端子 913等の外部力も入力された音楽データを HDD910に転送する時、記録されるデータはー且 DRAM911 に格納される。そして一定単位（ブロック）毎に DRAM911から読み出され、このブロック単位のデータが HDD910に記録される。また、 HDD910からデータを再生する時は、 HDD910から再生されたデータはー且 DRAM911に格納される。そして一定単位 (ブロック）毎に DRAM911から読み出され、このデータが例えばスピーカ端子 924に出力される。データの転送は、 DMAコントローラ 937により、 DMA (Direct Memory Access)制御で行われる。

[0015] DRAM911は、図 11に示すように複数のバンク、例えば BNK0、 BNK1、 ΒΝΚ2 · • ·に分割されている。各バンク BNK0、 BNK1、 ΒΝΚ2· · ·は、図 11に示すように複数のブロック、例えば BLK0、 BLK1、 BLK2- · ·に分割されている。各ブロック BLK 0、 BLK1、 BLK2 ' · ·のサイズは、クラスタのサイズに対応している。

[0016] このように、外部力もの音楽データを HDD910に一定単位毎に転送する時に、データの転送順序を変えたり、オフセットを変えたりして並べ替えることによって、スクランブルをかけることができる。

[0017] 例えば、ブロック毎の並べ替えのパラメータを a3とし、このパラメータ a3を機器毎に固有の写像 f3で変換して b3とし、この変換されたパラメータ b3をフラッシュ RAM907 に格納しておく。このようにすると、 HDD910中のディタスに記録されるデータのブロックは、パラメータ a3に応じて並べ替えられることになる。従って、記録時の機器と同じ機器でなければ、正しくデータを転送することができな、。

[0018] し力しながら、このような従来のファイル管理システム及びファイル管理方法等では、著作権管理等のコピー管理を行うために、管理対象のファイルとは別に、改ざん検出のためのデータを含むファイルを別途作成し、アプリケーションがこれらのデータの整合性を管理しながら動作して、た。

[0019] そのために、アプリケーションの処理シーケンスが複雑になり、アプリケーションの開発工数が大きくなると共に、それぞれのアプリケーション毎に、著作権管理のための処理シーケンスを用意しなければならな力つた。

[0020] また、管理対象のファイルとこのファイルに対応する改ざん検出用データファイルが、ファイルシステム上で別ファイルとして管理されているため、ファイルアクセス中に電源がオフされたような異常動作発生時に、管理対象のファイルとこのファイルに対応する改ざん検出用データファイルとの整合性が崩れてしまい、正常なデータを改ざんされていると判断したり、改ざんされているデータを正常なデータと判断したりしてしまつことがあった。

[0021] さらにまた、上記の例のような従来のファイル管理システム及びファイル管理方法等では、ファイル内のデータを保護するため、データ配置順序の並べ替えを行っているので、個々のブロック内ではデータの内容がそのまま保持され、ディスクヘッドのシークが増えて記録装置のアクセス速度が低下するという欠点が存在した。

特許文献 1：特開 2001— 118328号公報

発明の開示

[0022] 本発明は、上記の問題を解決するためになされたもので、ボリュームの改ざんを確実に検出することができるファイル管理装置、ファイル管理方法、ファイル管理プログラム及びファイル管理プログラムを記録したコンピュータ読み取り可能な記録媒体を提供することを目的とするものである。

[0023] 本発明に係るファイル管理装置は、ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データを記憶する第 1の記憶手段と、ファィルの書き込み時に、前記ボリューム管理データの改ざんを検出するためのボリユーム改ざん検出データを作成するデータ作成手段と、前記第 1の記憶手段とは物理的に異なる位置に配置され、前記データ作成手段によって作成されたボリューム改ざん検出データを記憶する第 2の記憶手段と、前記ボリュームのマウント時に、前記ボリューム管理データを前記第 1の記憶手段から読み出すと共に、前記ボリューム改ざん検出データを前記第 2の記憶手段から読み出し、読み出したボリューム管理データとボリューム改ざん検出データとを比較するデータ比較手段と、前記データ比較手段によって改ざんがなヽと判断された場合、前記ボリュームをマウントするマウント手段とを備える。

[0024] この構成によれば、第 1の記憶手段には、ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データが記憶される。そして、データ作成手段によって、ファイルの書き込み時に、ボリューム管理データの改ざんを検出するためのボリューム改ざん検出データが作成される。第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段には、データ作成手段により作成されたボリューム改ざん検出データが記憶される。そして、ボリュームのマウント時に、データ比較手段によって、ボリューム管理データが第 1の記憶手段力読み出されると共に、ボリューム改ざん検出データが第 2の記憶手段力読み出され、読み出されたボリユーム管理データとボリューム改ざん検出データとが比較される。データ比較手段により改ざんがないと判断された場合、マウント手段によって、ボリュームがマウントされる。

[0025] したがって、第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段に記憶されているボリューム改ざん検出データを用いてボリュームが改ざんされたか否かの判断が行われるので、ボリュームの改ざんを確実に検出することができ、不正なボリュームの改ざんを防止することができる。

[0026] 本発明の目的、特徴及び利点は、以下の詳細な説明と添付図面とによって、より明白となる。

図面の簡単な説明

[0027] [図 1]本発明の一実施の形態であるファイル管理システムのハードウェアとソフトゥェァとの概略構成を示す図である。

[図 2]本発明に係るファイル管理システムの構成の一例を示す機能ブロック図である

[図 3]本発明の一実施の形態であるファイル管理システムにおけるファイル構成の一例を示す図である。

[図 4]ファイルを作成する際に行われるファイル作成処理について説明するためのフローチャートである。

[図 5]本発明の一実施の形態であるファイル管理システムにおけるファイル管理データの一例を示す図である。

[図 6]ボリュームをマウントする際に行われる改ざん検出処理について説明するためのフローチャートである。

[図 7]ファイルをオープンする際に行われる改ざん検出処理について説明するためのフローチャートである。

[図 8]本発明の一実施の形態であるファイル管理システムにおけるファイル管理データの更新を説明するための図である。

[図 9]ファイルを更新する際のファイル更新処理について説明するためのフローチヤートである。

[図 10]従来の記録'再生装置の例であるミュージックサーバの概略ブロック構成を示す図である。

[図 11]従来の記録 '再生装置の例であるミュージックサーバにおける記憶領域の構成を示す図である。

発明を実施するための最良の形態

[0028] 以下、本発明の一実施の形態によるファイル管理装置ついて図面を参照しながら説明する。

[0029] 図 1は、本発明の一実施の形態であるファイル管理システム 100のハードウェア 17 3とソフトウェア 171との概略構成を示す図である。なお、図 1では、ハードウェアとソフトウェアとを説明の便宜上、分けて記載している力図 1に示すソフトウェア 171は、ハードウェア 173の ROM194に記憶されており、 CPU191がこれらのソフトウェア 171を実行する。

[0030] ハードウェア 173は、入出力部 192と CPU (中央演算処理装置） 191と RAM (ランダムアクセスメモリ） 193と ROM (リードオンリメモリ） 194と HDD (ノヽードディスクドライブ） 130とフラッシュ RAM132とその他図示しない幾つかの要素とから構成されている。なお、このハードウェア 173は一般的に使用されているパーソナルコンピュータ（ PC)と同様であるから、これ以上の詳細な説明は省略する。また、本発明は、パーソナルコンピュータだけでなく、 CDや DVD等の光ディスクに情報を記録及び Z又は再生する情報記録再生装置 (いわゆる、 DVDレコーダー)や、携帯電話機などにも適用可能である。

[0031] ソフトウェア 171は、ハードウェア 173の各種構成要素を制御したりデータの入出力を行うための各種ドライバ 183と、オペレーティングシステム（OS) 181と、ファイルシステム 120と、アプリケーション 122と、その他図示しない幾つかのソフトウェア要素とカゝら構成されている。

[0032] 本実施の形態のファイル管理システム 100において特徴的であるのは、ファイルシステム 120であって、各種ドライバ 183と OS181とアプリケーション 122とは、一般的に使われているものと変わらないので、以後はファイルシステム 120を中心に詳細な説明を行い、それ以外については最低必要限の説明に留める。また、アプリケーション 122が一般的に使われているものと変わらないということは本発明の 1つの特徴でもあるが、これについては別途説明する。

[0033] 図 2は、本発明に係るファイル管理システムの構成の一例を示す機能ブロック図である。図 2に示すファイル管理システム 100は、ファイルシステム 120、アプリケーション 122、 HDD130及びフラッシュ RAM 132を備えて構成される。

[0034] ファイルシステム 120は、図 1に示す CPU191がファイルシステム 120を実行することにより、入出力部 201、制御部 202、ボリューム管理部 203、ファイルデータ入出力部 204、著作権データ作成部 205、著作権データ比較部 206及び著作権データ入出力部 207として機能する。

[0035] HDD130は、ボリューム管理データ 152、ファイル配置データ 154、ファイル属性データテーブル 160、ファイルデータ部 180及びファイル著作権データテーブル 17 0を記憶する。フラッシュ RAM132は、ボリューム著作権データ 134を記憶する。なお、ボリューム管理データ 152、ファイル配置データ 154、ファイル属性データテープル 160、ファイルデータ部 180、ファイル著作権データテーブル 170及びボリューム著作権データ 134につ、ては後述する。

[0036] なお、本実施の形態におけるボリュームとは、 HDD 130の記憶領域を表す論理ボリュームであるが、本発明は特にこれに限定されない。ボリュームは、 HDD130自体を表す物理ボリュームであってもよい。また、 HDD130は、 HDD130が複数のボリュームで構成される場合、各ボリューム毎のボリューム管理データを記憶してもよ、。

[0037] 入出力部 201は、アプリケーション 122から入力される種々の要求を制御部 202へ出力し、制御部 202から入力される応答をアプリケーション 122へ出力する。制御部 202は、ボリューム管理部 203、著作権データ作成部 205及び著作権データ比較部 206に指示を出し、ファイルシステム全体を制御する。

[0038] ボリューム管理部 203は、ファイルシステムに関連し、 HDD130に記憶されるボリューム管理データ 152、ファイル配置データ 154、ファイル属性データテーブル 160及びファイルデータ部 180を管理する。ファイルデータ入出力部 204は、ボリューム管理部 203からの指示により、 HDD130に対して各種データの読み書きを行う。

[0039] 著作権データ作成部 205は、制御部 202からの指示と、ボリューム管理部 203から受け取ったファイルのデータに基づいて、ボリューム著作権データ 134及びファイル著作権データテーブル 170を作成する。

[0040] 著作権データ入出力部 207は、著作権データ作成部 205によって作成されたボリユーム著作権データ 134をフラッシュ RAM132に書き込み、フラッシュ RAM132に記憶されているボリューム著作権データ 134を読み出す。また、著作権データ入出力部 207は、著作権データ作成部 205によって作成されたファイル著作権データテーブル 170を HDD130に書き込み、 HDD 130に記憶されているファイル著作権データテーブル 170を読み出す。

[0041] 著作権データ比較部 206は、ボリューム管理部 203から受け取ったボリューム管理データ 152と、著作権データ入出力部 207から受け取ったボリューム著作権データ 1 34とを比較し、改ざんされていないかを検査する。また、著作権データ比較部 206は、ボリューム管理部 203から受け取ったファイルデータと、著作権データ入出力部 20 7から受け取ったファイル著作権データとを比較し、改ざんされて、な、かを検査する。

[0042] なお、本実施の形態において、ファイル管理システム 100がファイル管理装置の一例に相当し、 HDD130が第 1の記憶手段の一例に相当し、著作権データ作成部 20 5がデータ作成手段の一例に相当し、フラッシュ RAM132が第 2の記憶手段の一例に相当し、著作権データ比較部 206がデータ比較手段の一例に相当し、制御部 20 2がマウント手段及びオープン手段の一例に相当し、ボリューム著作権データ 134がボリューム改ざん検出データの一例に相当し、ファイル著作権データがファイル改ざん検出データの一例に相当する。

[0043] 次に、ファイル管理システム 100におけるファイル構成について説明する。図 3は、本発明の一実施の形態であるファイル管理システム 100におけるファイル構成の一例を示す図である。このファイル構成は、ファイルシステム 120によって作成 '管理' 制御 ·更新 ·削除されるファイル構成でもある。

[0044] ファイルシステム 120は、アプリケーション 122から呼び出されることによって起動され、その処理を開始する。例えば、アプリケーション 122が、 HDD130内に 1つの新しいファイル Aを作成するために、ファイルシステム 120を呼び出して起動したケースを例として取り上げ、ファイル管理システム 100とファイルシステム 120とについて説明する。

[0045] 1つの新しいファイル Aを HDD130内に作成するためにファイルシステム 120が起動されると、ファイルシステム 120はまず、 HDD130内のボリューム管理データ 152 を参照することによって、この HDD 130全体のファイルシステムの状態を取得する。

[0046] 特に、その時必要となるのは、 HDD 130全体のファイルシステムのファイル配置状態を示すファイル配置データ 154と、 HDD130全体のファイルの著作権情報を管理しているボリューム著作権データ 134とである。ボリューム著作権データ 134は、 HD D130以外の記録メディアである例えばフラッシュ RAM132に記憶されている。

[0047] フラッシュ RAM 132を使用するのは、電源がオフになっても記憶内容を保持することが可能な不揮発性メモリだ力もである。また、 HDD 130以外の記録メディアを使用するのは、 HDD130が改ざんされたり、何等かの損傷や故障等が生じても、管理状態を維持するためである。

[0048] なお、ボリューム著作権データ 134を記憶する記録媒体として HDD130以外のフラッシュ RAM132を使用するのはあくまでも一例であって、他の半導体メモリや磁気メモリや光学的なメモリやこれらの組み合わせによって情報を記憶するものであっても構わない。 [0049] ボリューム著作権データ 134は、 HDD130のボリューム全体に記憶されている全データの著作権管理情報であって、例えば HDD130のボリューム全体に記憶されている各ファイルの中の最も厳しい著作権情報を代表として使用して著作権管理を行つてもよい。また、例えば HDD130のボリューム全体に記憶されている各ファイルの中の最も緩い著作権情報を代表として使用して著作権管理を行ってもよい。さらに、このように 1つの著作権情報を代表として使用して著作権管理を行うのではなぐフアイル群を何等かの方法でグループ分けしてグループ単位で著作権管理を行っても構わない。さらにまた、個々のファイル単位で著作権管理を行っても構わないし、これらの著作権管理方法を組み合わせて HDD130のボリューム全体の著作権管理を行つても構わない。

[0050] 著作権管理モジュール 124は、このようなボリューム著作権データ 134の管理を行う。しかしながらこれもあくまでも一例であって、必ずしも著作権管理モジュール 124 が行うことは必須の条件ではなぐファイルシステム 120自身や、ファイルシステム 12 0の一部や、ファイルシステム 120以外の何等かのソフトウェアが行っても構わない。或いは又、他の実施の形態では、必ずしもこのようなボリューム著作権データ 134が存在しな!、ようなファイル管理システム 100であっても構わな!/、。

[0051] 本実施の形態では、あくまで 1つの例として、著作権管理モジュール 124がフラッシュ RAM132に記憶されたボリューム著作権データ 134を使って、 HDD130全体の著作権管理を行うと仮定して説明する。

[0052] ここで、ファイルを作成する際のファイル作成処理について説明する。図 4は、フアイルを作成する際に行われるファイル作成処理について説明するためのフローチヤ一トである。なお、図 4に示すファイル作成処理は、図 2に示すファイル管理システム 10 0によって実行される処理である。また、図 5は、ファイル管理データの構成の一例を示す図である。

[0053] まず、アプリケーション 122から新たなファイルを作成する要求があると、ステップ S1 01において、ファイルデータ入出力部 204は、ファイル配置データ 154を読み出し、ボリューム管理部 203へ出力する。ボリューム管理部 203は、入力されたファイル配置データ 154を著作権データ作成部 205へ出力する。著作権データ作成部 205は、新規作成するファイルのファイル番号を決定する。

[0054] ファイル配置データ 154は、この HDD130ボリューム全体に記憶されている各ファィルの配置データを記憶管理するもので、その一例を例えば図 5に示す。図 5に示す例では、ファイル配置データ 154にはファイル番号「3」とファイル番号「5」とファイル番号「19」との 3つのファイルが登録されており、この 3つのファイルが HDD130のボリューム全体に記憶されて、ることを示して、る。勿論これはあくまでも一例であって、より多くのファイルが記憶されていても構わない。

[0055] 各ファイル番号は各ファイルを識別し、特定するための IDに相当する。各ファイルを識別し、特定するための IDも、必ずしもこのようなファイル番号である必要はなぐ例えばファイルが存在するディレクトリのフルパスとファイル名であったり、その略号や略称を使ったり、その一部だけを使ったり、これらを組み合わせて使うことも可能である。し力しながら本実施の形態では説明の便宜のため、 1つの例として、各ファイル番号を各ファイルを識別し、特定するための IDに相当するものと仮定して説明する。

[0056] ファイル番号「3」とファイル番号「5」とファイル番号「19」との 3つのファイルには、それぞれ管理データ番号が対応付けて記憶されている。図 5に示す例では、ファイル番号「3」に対応付けられているファイルの管理データ番号は「10」であり、ファイル番号「5」に対応付けられているファイルの管理データ番号は「20」であり、ファイル番号「19」に対応付けられて、るファイルの管理データ番号は「23」である。

[0057] 例えば、ファイル番号「3」とファイル番号「5」とで特定されるファイルが既に存在して、たところに、新しくファイル Aを作成するためにファイルシステム 120が起動されたと仮定する。このようにしてファイルシステム 120が起動されると、ファイルシステム 1 20は、ファイル Aを新しく作成するためにファイル番号「19」を作成し、ファイル配置データ 154に登録する。図 5はその時のファイル配置データ 154を示すものである。

[0058] ファイルシステム 120は、ファイル配置データ 154に、新しく作成するファイル Aのためのファイル番号「19」を登録すると、次にこのファイル番号「19」に対応する管理データ番号「23」を割り当て、ファイル属性データ A(162)をファイル属性データテープル 160に作成する。

[0059] 図 4に戻って、ステップ S 102において、ファイルデータ入出力部 204は、ファイル属性データテーブル 160を読み出し、ボリューム管理部 203へ出力する。ボリューム管理部 203は、入力されたファイル属性データテーブル 160を著作権データ作成部 205へ出力する。著作権データ作成部 205は、ファイル属性データテーブル 160に新たな管理データ番号を割り当て、新規作成するファイルのファイル属性データを書き込む位置を決定する。

[0060] このファイル属性データ A(162)は、新しく作成するファイル Aに関する各種属性データを含むデータである。図 5に示す例では、例えばファイル属性データ A(162)は、管理データ番号「23」と、著作権データ番号「301」と、ファイルデータ番号「7091」と、管理用データ「YXOL' ·」とを含んでいる。勿論これも、あくまでも一例であって、より多くの情報が含まれてヽても構わな、し、一部の情報を含んで、なくても構わない。また、このような情報の内容もあくまでも仮の一例である。

[0061] 著作権データ番号「301」は、この新しく作成するファイル Aのためのファイル著作権データ A(164)を、ファイル著作権データテーブル 170で記憶管理するための管理番号である。

[0062] 図 4に戻って、ステップ S103において、ファイルデータ入出力部 204は、ファイルデータ部 180を読み出し、ボリューム管理部 203へ出力する。ボリューム管理部 203 は、入力されたファイルデータ部 180を著作権データ作成部 205へ出力する。著作権データ作成部 205は、ファイルデータ部 180に新規にファイルデータ番号を割り当て、新規作成するファイルデータを書き込む位置を決定する。なお、書き込むフアイルデータが存在する場合は、ここで書き込んでもよ!/、。

[0063] ファイルデータ番号「7091」は、この新しく作成するファイル Aのための実際のファィルデータ A(163)を、ファイルデータ部 180で記憶管理するための管理番号である。図 5に示すように、この新しく作成するファイル Aのためのファイルデータ番号は、フアイル属性データテーブル 160の、管理データ番号「23」の所に記憶 ·管理されて!ヽる「7091」であり、この新しく作成するファイル Aのための実際のファイルデータ A(16 3)は、ファイルデータ部 180の、ファイルデータ番号「7091」の所に記憶'管理されている。

[0064] 図 5に示す例では、この新しく作成するファイル Aのための実際のファイルデータ A (163)の内容は特に何等かに特定せず、単に「」で示している。この実際のファイルデータ A(163)が、アプリケーション 122によって、実際に読み書きされるデータである。

[0065] 図 4に戻って、ステップ S 104において、著作権データ入出力部 207は、ファイル著作権データテーブル 170を読み出し、ボリューム管理部 203へ出力する。ボリューム管理部 203は、入力されたファイル著作権データテーブル 170を著作権データ作成部 205へ出力する。著作権データ作成部 205は、新規作成するファイルの著作権データを書き込むため、ファイル著作権データテーブル 170に著作権データ番号を割り当てる。そして、著作権データ作成部 205は、ファイル著作権データを作成し、作成したファイル著作権データを著作権データ番号に対応付けてファイル著作権データテーブル 170に記憶する。著作権データ作成部 205は、作成したファイル著作権データテーブル 170を著作権データ入出力部 207へ出力する。このとき、著作権データ作成部 205は、ファイルデータに基づいたチェックデータを作成し、作成したチエックデータを含むファイル著作権データを作成する。著作権データ入出力部 207 は、著作権データ作成部 205によって作成されたファイル著作権データテーブル 17 0を HDD130に書き込む。

[0066] 図 5に示すように、この新しく作成するファイル Aのための著作権データ番号は、フアイル属性データテーブル 160の、管理データ番号「23」の所に記憶 ·管理されて!ヽる「301」であり、この新しく作成するファイル Aのためのファイル著作権データ A(164 )は、ファイル著作権データテーブル 170の、著作権データ番号「301」の所に記憶' 管理されて!、る「YT9KLZ · ·」である。

[0067] このファイル著作権データ A (164)は、上記ボリューム著作権データ 134が HDD1 30のボリューム全体の著作権を管理するための情報であつたのに対して、各ファイル単位で著作権を管理するための情報である。

[0068] このファイル著作権データ A (164)は、通常改ざんされることを防止するため、暗号化されていたり、電子署名が行われていたり、電子透力しが付加されていたり、その他の各種処理が行われていることがある力 S、必ずしもこのような処理に限るものではなぐ他の各種処理が行われていても構わないし、何等特別な処理が行われていなくても構わない。

[0069] また、このファイル著作権データ A (164)が表す著作権管理の内容は、例えば、フアイル Aに対するコピー制御情報である、コピーワンス（1回だけコピー可能）、コピーネバー（コピ一一切不可）、コピーフリー (自由にコピー可能）、その他である。

[0070] あるいはまた、他の例では、このファイル著作権データ A (164)が表す著作権管理の内容は、ファイル A全体の改ざんを禁止し検出するためのチェックデータであったり、暗号ィ匕ゃ電子透力しのための鍵である。

[0071] このような情報をファイル著作権データ A(164)として記憶することによって、フアイル Aのデータの一部でも改ざんが行われることを阻止すると共に、仮に改ざんが行われた時にもそれを検出することが可能である。しかしながらこれもあくまでも一例であつて、他の種々の著作権管理の内容を表して、ても構わな、。

[0072] このように、本発明ではデータの内容を暗号ィ匕し、その暗号鍵をファイル内で管理しているため、ファイルシステムの一部に対する不正なアクセスをも有効に防止することができ、ファイル管理システムが DVDレコーダーに適用される場合、ディスクヘッドのシークが増えてアクセス速度が低下することもな!/、。

[0073] 図 4に戻って、ステップ S105において、著作権データ作成部 205は、ステップ S10 2で決定されたファイル属性データテーブル 160の書き込み位置に、ステップ S103 で割り当てられたファイルデータ番号、ステップ S 104で割り当てられた著作権データ番号、及び管理用データを書き込む。

[0074] ファイル属性データテーブル 160の管理用データは、例えばその新しく作成するフアイル Aの作成者、管理者、所有者、作成年月日、作成時刻、容量、保存期限、チェックデータ、暗号化に関する各種情報、その他各種管理のための情報を含んでいる

[0075] 上記の実施の形態の一例ではファイル著作権データ A (164)に、コピー制御のための各種情報や、改ざん検出のための情報を記憶するように説明したが、他の実施の形態ではこのファイル属性データテーブル 160の管理用データに、これらコピー制御のための各種情報や、改ざん検出のための情報を記憶しても構わな！/、。

[0076] この実施の形態の例では、このファイル属性データテーブル 160の管理用データに、例えばファイル Aに対するコピー制御情報である、コピーワンス（1回だけコピー可能）、コピーネバー（コピ一一切不可）、コピーフリー (自由にコピー可能）、その他や、或いは又、他の例では、ファイル A全体の改ざんを禁止し検出するためのチェックデータであったり、暗号ィ匕ゃ電子透力しのための鍵や、これらの両方が記憶されることちある。

[0077] このような情報をファイル属性データテーブル 160の管理用データとして記憶することによって、ファイル Aのデータの一部でも改ざんが行われることを阻止すると共に、仮に改ざんが行われた時にもそれを検出することが可能である。しかしながらこれもあくまでも一例であって、これらの情報と共に、或いはこれらの情報とは別に、他の種々の情報を記憶して、ても構わな、。

[0078] 次に、ステップ S106において、著作権データ作成部 205は、ステップ S101で決定されたファイル配置データ 154のファイル番号に、ステップ S 102で割り当てられた管理データ番号を対応付ける。

[0079] 図 5に示すように、ファイルシステム 120は、ファイル番号「19」に管理データ番号「 23」を対応付けてファイル配置データ 154に登録する。このファイル番号「19」と管理データ番号「23」とは勿論あくまでも 1つの仮想的な例である力通常は、それまでに使われて、な力つた、、わゆる空き番号が割り当てられて使用される。

[0080] 図 4に戻って、ステップ S 107において、ファイルデータ入出力部 204は、ボリューム管理データ 152を読み出し、ボリューム管理部 203へ出力する。ボリューム管理部 20 3は、入力されたボリューム管理データ 152を更新し、ファイルデータ入出力部 204 及び著作権データ作成部 205へ出力する。ファイルデータ入出力部 204は、ボリューム管理部 203によって更新されたボリューム管理データ 152を HDD130に書き込む。

[0081] 次に、ステップ S108において、著作権データ作成部 205は、ボリューム管理部 20 3によって更新されたボリューム管理データ 152に基づいてボリューム著作権データ 134を作成し、著作権データ入出力部 207へ出力する。著作権データ入出力部 207 は、著作権データ作成部 205によって作成されたボリューム著作権データ 134をフラッシュ RAMI 32に書き込み、処理を終了する。 [0082] 以上の説明では、新しく作成するファイル Aについて説明した力このファイル Aが一旦作成された後参照され、更新される時には、以上の説明と同様に、アプリケーシヨン 122から呼び出されることによってファイルシステム 120が起動され、参照や更新の処理を開始する。

[0083] この処理の最初では、ファイルシステム 120はボリューム管理データ 152を参照して、ボリューム著作権データ 134とファイル配置データ 154とを取り出す。著作権管理モジュール 124は、例えばボリューム著作権データ 134を参照することによってボリューム全体の著作権管理を行う。これについては既に上記した通りであるから、詳細な説明は省略する。

[0084] 一方、ファイルシステム 120はファイル配置データ 154、ファイル属性データテープル 160、ファイル著作権データテーブル 170を参照することによって、ファイル Aの管理を行い、ファイル Aの参照や更新を許可或いは禁止する。同時に必要に応じてフアイルシステム 120は、ファイル配置データ 154、ファイル属性データテーブル 160 及びファイル著作権データテーブル 170の更新を実行する。

[0085] また、ファイルシステム 120は、ファイル配置データ 154、ファイル属性データテーブル 160及びファイルデータ部 180を参照或いは更新することによって、アプリケーシヨン 122から要求されたファイル Aの参照や更新を実行する。

[0086] 同時に、必要に応じてファイルシステム 120はファイル配置データ 154、ファイル属性データテーブル 160及びファイル著作権データテーブル 170の更新を行うこともある。例えば、ファイル著作権データ A (164)力コピーワンス等のコピー制御情報を記憶している時には、ファイルシステム 120はこのファイル著作権データ A (164)の内容を参照することによって、コピー制御を実行する。

[0087] あるいは、ファイル著作権データ A (164)力ファイルデータ A (163)のチェックデータゃ暗号鍵や電子透かしに関する情報等を記憶して、る時には、ファイルシステム 120はこのファイル著作権データ A(164)の内容を参照することによって、ファイルデータ A(163)に対して、その一部についても改ざんが行われていないか確認検証を行うことができる。

[0088] これらは例えば、ファイル属性データテーブル 160の管理用データに、コピーワンス等のコピー制御情報を記憶している時には、ファイルシステム 120はこのファイル属性データテーブル 160の管理用データの内容を参照することによって、コピー制御を実行することができる。あるいは、ファイル属性データテーブル 160の管理用データが、ファイルデータ A(163)のチヱックデータや暗号鍵や電子透かしに関する情報等を記憶している時には、ファイルシステム 120はこのファイル属性データテープル 160の管理用データの内容を参照することによって、ファイルデータ A(163)に対して、その一部につ！ヽても改ざんが行われて！/ヽな、か確認検証を行うことができる。

[0089] 上記のように、ファイルシステム 120が、ボリューム著作権データ 134による著作権管理と、ファイル配置データ 154、ファイル属性データテーブル 160、ファイル著作権データテーブル 170及びファイルデータ部 180に記憶されているファイル番号、管理データ番号、著作権データ番号、ファイルデータ番号、管理用データ、ファイル著作権データ及びファイルデータとを全て確認してその整合性を検証した後に、 HDD13 0のボリュームをマウントしたり、ファイルデータをオープンする等の処理を行う実施の形態も可能である。

[0090] 次に、ボリュームをマウントする際の改ざん検出処理について説明する。図 6は、ボリュームをマウントする際に行われる改ざん検出処理について説明するためのフローチャートである。なお、図 6に示すボリュームの改ざん検出処理は、図 2に示すフアイル管理システム 100によって実行される処理である。

[0091] まず、アプリケーション 122から HDD130へのアクセス要求があると、ステップ S20 1において、著作権データ比較部 206は、ボリューム管理データ 152を取得する。すなわち、制御部 202は、入出力部 201を介してアプリケーション 122からマウント要求が入力されると、ボリューム管理部 203にボリューム管理データ 152を取得するよう指示する。ボリューム管理部 203は、ファイルデータ入出力部 204に対し、ボリューム管理データ 152を読み出すよう指示する。ファイルデータ入出力部 204は、 HDD130 力もボリューム管理データ 152を読み出し、ボリューム管理部 203へ出力する。ボリューム管理部 203は、入力されたボリューム管理データ 152を著作権データ比較部 20 6へ出力する。

[0092] 次に、ステップ S 202において、著作権データ比較部 206は、ボリューム著作権データ 134を取得する。すなわち、制御部 202は、入出力部 201を介してアプリケーシヨン 122からマウント要求が入力されると、ボリューム管理部 203にボリューム管理データ 152を取得するよう指示すると同時に、著作権データ比較部 206にボリューム著作権データ 134を取得するよう指示する。著作権データ比較部 206は、著作権データ入出力部 207に対し、ボリューム著作権データ 134を読み出すよう指示する。著作権データ入出力部 207は、フラッシュ RAM132に記憶されているボリューム著作権データ 134を読み出し、著作権データ比較部 206へ出力する。

[0093] 次に、ステップ S203において、著作権データ比較部 206は、ボリューム管理部 20 3から入力されたボリューム管理データ 152と、著作権データ入出力部 207から入力されたボリューム著作権データ 134とを比較し、ボリュームの改ざんの有無を判断する。

[0094] 改ざんされて!/、な!/、と判断された場合 (ステップ S203で NO)、ステップ S 204において、著作権データ比較部 206は、ボリュームが改ざんされていないことを制御部 20 2へ伝え、制御部 202は、マウント処理が正常に行われたとしてボリュームの改ざん検出処理を終了する。

[0095] 一方、改ざんされて!/、ると判断された場合 (ステップ S203で YES)、ステップ S 205 において、著作権データ比較部 206は、ボリュームが改ざんされていることを制御部 202へ伝え、制御部 202は、マウント処理が正常に行われず、失敗したとしてボリュームの改ざん検出処理を終了する。この場合、制御部 202は、アプリケーション 122 へマウント処理が失敗したことを通知する。

[0096] 次に、ファイルをオープンする際の改ざん検出処理について説明する。図 7は、ファィルをオープンする際に行われる改ざん検出処理について説明するためのフローチヤートである。なお、図 7に示すファイルの改ざん検出処理は、図 2に示すファイル管理システム 100によって実行される処理である。

[0097] まず、アプリケーション 122からファイルをオープンする要求があると、ステップ S30 1において、著作権データ比較部 206は、ファイル配置データ 154を取得する。すなわち、制御部 202は、入出力部 201を介してアプリケーション 122からファイルオーブン要求が入力されると、ボリューム管理部 203にファイル配置データ 154を取得するよう指示する。ボリューム管理部 203は、ファイルデータ入出力部 204に対し、フアイル配置データ 154を読み出すよう指示する。ファイルデータ入出力部 204は、 HDD 130からファイル配置データ 154を読み出し、ボリューム管理部 203へ出力する。ボリユーム管理部 203は、入力されたファイル配置データ 154を著作権データ比較部 20 6へ出力する。なお、アプリケーション 122は、オープンするファイルのファイル番号を指定する。著作権データ比較部 206は、ボリューム管理部 203から入力されたフアイル配置データ 154の中からファイル番号に対応する管理データ番号を取得する。

[0098] 次に、ステップ S302において、著作権データ比較部 206は、ファイル属性データテーブル 160を取得する。すなわち、制御部 202は、ボリューム管理部 203にフアイル属性データテーブル 160を取得するよう指示する。ボリューム管理部 203は、ファィルデータ入出力部 204に対し、ファイル属性データテーブル 160を読み出すよう指示する。ファイルデータ入出力部 204は、 HDD130からファイル属性データテープル 160を読み出し、ボリューム管理部 203へ出力する。ボリューム管理部 203は、入力されたファイル属性データテーブル 160を著作権データ比較部 206へ出力する。著作権データ比較部 206は、ボリューム管理部 203から入力されたファイル属性データテーブル 160の中から、ステップ S301で取得した管理データ番号に対応する著作権データ番号、ファイルデータ番号及び管理用データを取得する。

[0099] 次に、ステップ S303において、著作権データ比較部 206は、ファイルデータ部 18 0を取得する。すなわち、制御部 202は、ボリューム管理部 203にファイルデータ部 1 80を取得するよう指示する。ボリューム管理部 203は、ファイルデータ入出力部 204 に対し、ファイルデータ部 180を読み出すよう指示する。ファイルデータ入出力部 20 4は、 HDD130からファイルデータ部 180を読み出し、ボリューム管理部 203へ出力する。ボリューム管理部 203は、入力されたファイルデータ部 180を著作権データ比較部 206へ出力する。著作権データ比較部 206は、ボリューム管理部 203から入力されたファイルデータ部 180の中から、ステップ S302で取得したファイルデータ番号に対応するファイルデータを取得する。

[0100] 次に、ステップ S304において、著作権データ比較部 206は、ファイル著作権データテーブル 170を取得する。すなわち、制御部 202は、著作権データ比較部 206にファイル著作権データテーブル 170を取得するよう指示する。著作権データ比較部 2 06は、著作権データ入出力部 207に対し、ファイル著作権データテーブル 170を読み出すよう指示する。著作権データ入出力部 207は、 HDD130からファイル著作権データテーブル 170を読み出し、著作権データ比較部 206へ出力する。

[0101] 次に、ステップ S305において、著作権データ比較部 206は、ステップ S303で取得したファイルデータと、ステップ S304で取得したファイル著作権データテーブル 170 のファイル著作権データに含まれるチェックデータとを比較し、ファイルの改ざんの有無を判断する。

[0102] 改ざんされて!/ヽな、と判断された場合 (ステップ S305で NO)、ステップ S306において、著作権データ比較部 206は、ファイルが改ざんされていないことを制御部 202 へ伝え、制御部 202は、ファイルオープン処理が正常に行われたとしてファイルの改ざん検出処理を終了する。

[0103] 一方、改ざんされていると判断された場合 (ステップ S305で YES)、ステップ S307 において、著作権データ比較部 206は、ファイルが改ざんされていることを制御部 20 2へ伝え、制御部 202は、ファイルオープン処理が正常に行われず、失敗したとしてファイルの改ざん検出処理を終了する。この場合、制御部 202は、アプリケーション 1 22へファイルオープン処理が失敗したことを通知する。

[0104] 次に、このファイルシステム 120力ファイル配置データ 154、ファイル属性データテーブル 160、ファイル著作権データテーブル 170、ファイルデータ部 180の更新を行う時の処理を、図 8及び図 9を使って詳細に説明する。図 8は、本発明の一実施の形態であるファイル管理システム 100におけるファイルの更新を説明するための図である。

[0105] 図 8に示す例では、ファイル Aのファイル著作権データ Aは、「YT9KLZ' ·」から「6 TB89F' ·」に変更され、これに伴って著作権データ番号は「301」から「124」に変更され、ファイルデータ番号は「7091」から「2560」に変更される。

[0106] 実際のファイルデータ Aは、単に「」で示しているため、具体的な内容は解らないが、アプリケーション 122の要求に応じて、アプリケーション 122が必要とする何等かの変更が行われて、る。管理用データも「YXOL · ·」力ら「7GS5 · ·」に変更され、以上の変更に伴って管理データ番号は「23」から「34」に変更されて!、る

[0107] このような変更は種々の原因の発生によって行われる。例えば、管理用データ「YX OL' '」が何等かの原因、例えば保存期限が変更されたことや、暗号ィ匕に関する各種情報、例えばセキュリティ向上のために一定期間が経過すると暗号鍵ゃ復号鍵ゃ電子透力しの情報を変更するケース等で行われることがある。

[0108] あるいは、ファイルデータ A自身の内容力アプリケーション 122からの要求によつて変更されることによって、チェックデータが変わったことに起因しても発生することがある。

[0109] また、ファイル著作権データ Aが何等かの原因、例えば以前はコピーワンス（1回だけコピー可）であったが、 1回コピーが行われたためにコピーネバー（コピ一一切不可

)になったようなケースでも変更が発生することがある。し力しながらこれもあくまでも一例であって、他の種々の原因でもこれらの変更は発生することがあるし、実施の形態によっては発生しな、こともある。

[0110] また、図 8に示す例では、ファイルデータ番号、ファイル著作権データ A (164)、著作権データ番号、管理データ番号の全てが変更されたと仮定しているが、これもあくまでも一例であって、必ずしもこの例のようにこれら全てが変更されることは必須ではなぐこの一部だけが変更される実施の形態もある。

[0111] それぞれの説明については本質的には何等変わらないので、図 8の例のようにファィルデータ番号、ファイル著作権データ A (164)、著作権データ番号、管理データ番号の全てが変更されたと仮定して説明する。

[0112] 図 9は、ファイルを更新する際のファイル更新処理について説明するためのフローチャートである。なお、図 9に示すファイル更新処理は、図 2に示すファイル管理システム 100によって実行される処理である。

[0113] まず、入出力部 201は、アプリケーション 122からのファイルデータの更新要求を制御部 202へ出力する。制御部 202は、ボリューム管理部 203に対してファイルデータの更新を指示し、更新すべきファイルデータをボリューム管理部 203及び著作権データ作成部 205へ出力する。ステップ S401において、ボリューム管理部 203は、ファィルデータ入出力部 204を介してファイルデータ部 180を読み出し、現在記憶されて V、るファイルデータ番号とは異なるファイルデータ番号を割り当て、ファイルデータを書き込む位置を決定する。このとき、ファイルデータが書き込まれる位置は、更新前のファイルデータとは異なる位置である。ボリューム管理部 203は、決定したファイルデータ番号に対応する位置にファイルデータを書き込む。

[0114] 図 8に示すように、ファイルデータ A(163)の全部或いは一部が新しいファイルデータ A (説明の便宜のため同じ記号で示す）に変更されたと仮定すると、新しいファイルデータ Aは、ファイルデータ部 180の例えば従来空き領域であった箇所に記録され、そのファイルデータ番号は例えば「2560」のように設定される。

[0115] あるいは、例えばファイルデータ番号「2560」の領域が空き領域であったため、その空き領域を検出して新しいファイルデータ Aを記録する実施の形態であっても構わない。実質的には何等変わらない。

[0116] 図 9に戻って、ステップ S402において、ボリューム管理部 203は、著作権データ入出力部 207を介してファイル著作権データテーブル 170を読み出し、現在記憶されている著作権データ番号とは異なる著作権データ番号を割り当て、ファイル著作権データを書き込む位置を決定する。このとき、ファイル著作権データが書き込まれる位置は、更新前のファイル著作権データとは異なる位置である。そして、著作権データ作成部 205は、ファイルデータに基づいたチェックデータを作成し、作成したチエツクデータを含むファイル著作権データを作成する。著作権データ入出力部 207は、著作権データ作成部 205によって作成されたファイル著作権データテーブル 170を HDD130に書き込む。

[0117] 図 8に示すように、ファイル著作権データ A (164)が、「YT9KLZ' ·」から「6TB89

F' ·」に変更されたと仮定する。このような変更が発生する原因と、その意味する内容については既に上記の通りである。

[0118] この時には、ファイル著作権データテーブル 170の空き領域を検出し、その領域のファイル著作権データとして「6TB89F' ·」が記録され、その領域の著作権データ番号として例えば「124」が設定される。

[0119] あるいは、ファイル著作権データテーブル 170の著作権データ番号が「124」の領域が空き領域であることを検出し、その領域のファイル著作権データとして「6TB89F

• ·」が記録される実施の形態であっても構わな、。

[0120] 図 9に戻って、ステップ S403において、ボリューム管理部 203は、ファイルデータ入出力部 204を介してファイル属性データテーブル 160を読み出し、現在記憶されている管理データ番号とは異なる管理データ番号を割り当て、ファイル属性データを書き込む位置を決定する。そして、ボリューム管理部 203は、ステップ S401で決定したファイルデータ番号と、ステップ S402で決定した著作権データ番号と、管理用データとをファイル属性データテーブル 160に書き込む。

[0121] 図 8に示すように、このファイルデータ番号「2560」は、ファイル属性データテープル 160の空き領域のファイルデータ番号の欄に記録され、その管理データ番号が例えば「34」のように設定される。

[0122] あるいは、ファイル属性データテーブル 160の管理データ番号が「34」の領域が空き領域であることを検出し、その領域のファイルデータ番号に上記「2560」を記録する実施の形態であっても構わな、。

[0123] そしてこの著作権データ番号「124」力上記ファイル属性データテーブル 160の、新、ファイルデータ Aのために設定された管理データ番号「34」の著作権データ番号の欄に記録される。

[0124] また、管理用データも「YXOL' '」から「7GS5 ' '」に変更され、ファイル属性データテーブル 160の新しいファイルデータ Aのための領域である管理データ番号「34」の管理データの欄に記録される。このような変更が発生する原因と、その意味する内容についても既に上記の通りである。

[0125] このようにして、新しいファイルデータ Aのための新しいファイルデータ A (163)自身と、新しいファイルデータ番号「2560」と、ファイル著作権データ A「6TB89F' ·」 ( 164)と、著作権データ番号「124」と、管理用データ「7GS5 '，」と、管理データ番号「 34」との全てが、ファイルデータ部 180とファイル著作権データテーブル 170とフアイル属性データテーブル 160とに作成される。

[0126] しかしながら、この段階では元のファイルデータ Aのための、管理データ番号「23」と、ファイルデータ番号「7091」と、著作権データ番号「301」と、ファイル著作権データ A「YT9KLZ' ·」（164)と、ファイルデータ A(163)自身と、管理用データ「YXOL • ·」とは、全て全く変更されることなぐそのまま保持されている。

[0127] 従って、この段階までのファイルデータ Aの更新過程の途中で、仮に電源がオフされたり、その他各種の異常状態が発生したとしても、元のファイルデータ Aのためのフアイルシステム構成がそのまま維持され、何等ファイルシステムに不整合が発生することはない。

[0128] 図 9に戻って、ステップ S404において、ボリューム管理部 203は、ファイルデータ入出力部 204を介してファイル配置データ 154を読み出し、更新するファイルデータのファイル番号に対応する管理データ番号を、ステップ S403で決定した管理データ番号に書き換える。

[0129] 図 8に示すように、新しいファイルデータ Aのための新しいファイルデータ A(163) 自身、新しいファイルデータ番号「2560」、ファイル著作権データ A「6TB89F' ·」 (1 64)、著作権データ番号「124」、管理用データ「7GS5 ' '」、及び管理データ番号「3 4」の全てが、ファイルデータ部 180とファイル著作権データテーブル 170とファイル属性データテーブル 160とに作成された後に、新しいファイルデータ Aのためのファィル配置データ 154内のファイル番号「19」に対応する管理データ番号が「23」から「 34」に変更され、ファイルデータ Aの内容が従来のもの力新しいものに変更される。

[0130] なお、本実施の形態では、 HDD130は、ファイル配置データ 154を 1つだけ記憶しているが、本発明は特にこれに限定されず、 HDD130は、ファイル配置データ 154 を 2つ記憶してもよい。

[0131] すなわち、ファイルデータを更新する場合、ボリューム管理部 203は、 2つのフアイル配置データのうちの一方のファイル配置データに記憶されている更新前の管理データ番号を削除する。そして、ボリューム管理部 203は、一方のファイル配置データに記憶されている管理データ番号を更新後の新たな管理データ番号に書き換える。次に、ボリューム管理部 203は、他方のファイル配置データに記憶されている更新前の管理データ番号を削除する。そして、ボリューム管理部 203は、他方のファイル配置データに記憶されている管理データ番号を更新後の新たな管理データ番号に書き換える。 [0132] このように、 HDD130は、 2つのファイル配置データを記憶し、ボリューム管理部 20 3は、一方のファイル配置データの管理データ番号を書き換えた後、他方のファイル配置データの管理データ番号を書き換える。したがって、ファイル配置データの管理データ番号を書き換えている途中で、電源がオフされたとしても、 2つのファイル配置データのうちのどちらか一方にはファイル番号に対応する管理データ番号が必ず記憶されており、ファイル番号に対応する管理データ番号が無くなるという不具合を解消することができる。

[0133] 図 9に戻って、ステップ S405において、ボリューム管理部 203は、ファイルデータに記憶されている更新前のファイルデータ番号に対応するファイルデータを削除する。次に、ステップ S406において、ボリューム管理部 203は、ファイル著作権データテーブル 170に記憶されている更新前の著作権データ番号に対応するファイル著作権データを削除する。次に、ステップ S407において、ボリューム管理部 203は、ファイル属性データテーブル 160に記憶されている更新前の管理データ番号に対応するファィル属性データ (著作権データ番号、ファイルデータ番号及び管理用データ)を削除する。

[0134] 次に、ステップ S408において、ファイルデータ入出力部 204は、ボリューム管理データ 152を読み出し、ボリューム管理部 203へ出力する。ボリューム管理部 203は、入力されたボリューム管理データ 152を更新し、ファイルデータ入出力部 204へ出力する。ファイルデータ入出力部 204は、ボリューム管理部 203によって更新されたボリユーム管理データ 152を HDD130に書き込む。

[0135] 次に、ステップ S409において、ボリューム管理部 203は、更新したボリューム管理データ 152を著作権データ作成部 205へ出力する。著作権データ作成部 205は、ボリューム管理部 203によって更新されたボリューム管理データ 152に基づいてボリューム著作権データ 134を作成し、著作権データ入出力部 207へ出力する。著作権データ入出力部 207は、著作権データ作成部 205によって作成されたボリューム著作権データ 134をフラッシュ RAM 132に書き込み、処理を終了する。

[0136] 以上説明したように、このようなファイルシステム 120が実行するファイルデータ Aの更新処理によって、ファイルデータ Aの更新処理過程の途中段階で、仮に電源がォフされたり、その他各種の異常状態が発生したとしても、元のファイルデータ Aのためのファイルシステム構成がそのまま維持され、何等ファイルシステムに不整合が発生することはなヽことが示される。

[0137] また、これらの処理は全てファイルシステム 120が行うため、アプリケーション 122は何等関与する必要がないことも示される。更に、ファイル著作権データ A (164)或いはファイル属性データテーブル 160の管理用データのどちらか一方或いは両方に改ざん検出のためのチェックデータや暗号鍵や電子透かしに関する情報が保持されている実施の形態では、ファイルデータ A(163)の一部にでも不正な改ざんが行われたならばそれを検出することが可能であることも示される。

[0138] これによつて、アプリケーションの処理負荷が軽減されると共に、アプリケーション開発の工程も大きく短縮ィ匕されると同時に、ファイルシステムがファイルの更新処理を実行中に電源オフ等の異常事態が発生したケースでもファイルシステムの整合性を維持確保することが可能である。

[0139] さらにまた、アプリケーションに依存しない、統一的な著作権管理やファイルの一部又は全部に対する改ざん管理を行うことも可能になる。

[0140] なお、上述した具体的実施形態には以下の構成を有する発明が主に含まれている

[0141] 本発明に係るファイル管理装置は、ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データを記憶する第 1の記憶手段と、ファィルの書き込み時に、前記ボリューム管理データの改ざんを検出するためのボリユーム改ざん検出データを作成するデータ作成手段と、前記第 1の記憶手段とは物理的に異なる位置に配置され、前記データ作成手段によって作成されたボリューム改ざん検出データを記憶する第 2の記憶手段と、前記ボリュームのマウント時に、前記ボリューム管理データを前記第 1の記憶手段から読み出すと共に、前記ボリューム改ざん検出データを前記第 2の記憶手段から読み出し、読み出したボリューム管理データとボリューム改ざん検出データとを比較するデータ比較手段と、前記データ比較手段によって改ざんがなヽと判断された場合、前記ボリュームをマウントするマウント手段とを備える。 [0142] この構成によれば、第 1の記憶手段には、ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データが記憶される。そして、データ作成手段によって、ファイルの書き込み時に、ボリューム管理データの改ざんを検出するためのボリューム改ざん検出データが作成される。第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段には、データ作成手段により作成されたボリューム改ざん検出データが記憶される。そして、ボリュームのマウント時に、データ比較手段によって、ボリューム管理データが第 1の記憶手段力読み出されると共に、ボリューム改ざん検出データが第 2の記憶手段力読み出され、読み出されたボリユーム管理データとボリューム改ざん検出データとが比較される。データ比較手段により改ざんがないと判断された場合、マウント手段によって、ボリュームがマウントされる。

[0143] したがって、第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段に記憶されているボリューム改ざん検出データを用いてボリュームが改ざんされたか否かの判断が行われるので、ボリュームの改ざんを確実に検出することができ、不正なボリュームの改ざんを防止することができる。

[0144] また、上記のファイル管理装置において、前記第 1の記憶手段は、前記ファイルを管理するためのファイル管理データをさらに記憶し、前記データ作成手段は、フアイルの書き込み時に、前記ファイル管理データの改ざんを検出するためのファイル改ざん検出データをさらに作成し、前記第 2の記憶手段は、前記データ作成手段によつて作成されたファイル改ざん検出データをさらに記憶し、前記データ比較手段は、前記ファイルのオープン時に、前記ファイル管理データを前記第 1の記憶手段から読み出すと共に、前記ファイル改ざん検出データを前記第 2の記憶手段から読み出し、読み出したファイル管理データとファイル改ざん検出データとをさらに比較し、前記ファィルデータ比較手段によって改ざんがなヽと判断された場合、前記ファイルをオーブンするオープン手段とをさらに備えることが好ましい。

[0145] この構成によれば、第 1の記憶手段には、ファイルを管理するためのファイル管理データがさらに記憶されている。そして、データ作成手段によって、ファイルの書き込み時に、ファイル管理データの改ざんを検出するためのファイル改ざん検出データがさら〖こ作成される。第 2の記憶手段には、データ作成手段により作成されたファイル改ざん検出データがさらに記憶される。そして、データ比較手段によって、ファイルのオープン時に、ファイル管理データが第 1の記憶手段力も読み出されると共に、フアイル改ざん検出データが第 2の記憶手段力読み出され、読み出されたファイル管理データとファイル改ざん検出データとがさらに比較される。ファイルデータ比較手段により改ざんがないと判断された場合、オープン手段によって、ファイルがオープンされる。

[0146] したがって、第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段に記憶されているファイル改ざん検出データを用いてファイルが改ざんされた力否かの判断が行われるので、ボリューム内の個々のファイルに対する改ざんを確実に検出することができ、不正なファイルの改ざんを防止することができる。

[0147] また、上記のファイル管理装置において、前記第 1の記憶手段は、前記ファイル管理データを前記ファイル改ざん検出データに関連付けて記憶することが好ましい。

[0148] この構成によれば、ファイル管理データがファイル改ざん検出データに関連付けて記憶されるので、ファイル管理データとファイル改ざん検出データとの比較を確実に行うことができる。

[0149] また、上記のファイル管理装置において、前記第 1の記憶手段は、前記ファイル改ざん検出データを特定可能なデータを含む前記ファイル管理データを記憶することが好ましい。

[0150] この構成によれば、ファイル改ざん検出データを特定可能なデータを含むファイル管理データが記憶されて、るので、ファイル改ざん検出データを特定可能なデータを参照してファイル管理データに関連付けられているファイル改ざん検出データを特定することができる。

[0151] また、上記のファイル管理装置において、前記ファイル改ざん検出データと、前記ファイル改ざん検出データを特定可能なデータとを更新する場合、前記データ作成手段は、新しいファイル改ざん検出データを作成した後に、新しいファイル改ざん検出データを特定するようにファイル改ざん検出データを特定可能なデータを変更することが好ましい。 [0152] この構成によれば、ファイル改ざん検出データと、ファイル改ざん検出データを特定可能なデータとが更新される場合、データ作成手段によって、新しいファイル改ざん検出データが作成された後に、新しいファイル改ざん検出データが特定されるようにファイル改ざん検出データを特定可能なデータが変更される。

[0153] したがって、ファイル改ざん検出データと、ファイル改ざん検出データを特定可能なデータとが更新される間に、電源オフ等の異常動作が発生したとしても、新しいフアイル改ざん検出データが作成された後に、ファイル改ざん検出データを特定可能なデータが変更されるので、更新前のファイル改ざん検出データと、更新前のファイル改ざん検出データを特定可能なデータとが残り、データの整合性を維持することができ、ファイルの改ざんの検出を正常に行うことができる。

[0154] また、上記のファイル管理装置において、前記ファイル改ざん検出データと、前記ファイル改ざん検出データを特定可能なデータとを更新する場合、第 1の記憶手段は、更新前のファイル改ざん検出データを特定可能なデータと、新しいファイル改ざん検出データを特定可能なデータとを記憶し、前記データ作成手段は、新しいフアイル改ざん検出データを作成した後に、新し、ファイル改ざん検出データを特定するようにファイル改ざん検出データを特定可能なデータを変更し、前記第 1の記憶手段に記憶されている更新前のファイル改ざん検出データを特定可能なデータを削除することが好ましい。

[0155] この構成によれば、ファイル改ざん検出データと、ファイル改ざん検出データを特定可能なデータとが更新される場合、第 1の記憶手段には、更新前のファイル改ざん検出データを特定可能なデータと、新、ファイル改ざん検出データを特定可能なデータとが記憶される。そして、データ作成手段によって、新しいファイル改ざん検出データが作成された後に、新しいファイル改ざん検出データを特定するようにファイル改ざん検出データを特定可能なデータが変更され、第 1の記憶手段に記憶されている更新前のファイル改ざん検出データを特定可能なデータが削除される。

[0156] したがって、ファイル改ざん検出データと、ファイル改ざん検出データを特定可能なデータとが更新される場合、ファイル改ざん検出データを特定可能なデータが変更されるまで、更新前のファイル改ざん検出データを特定可能なデータが記憶されてヽるので、更新中に電源オフ等の異常動作が発生したとしても、データの整合性を維持することができ、ファイルの改ざんの検出を正常に行うことができる。

[0157] また、上記のファイル管理装置において、前記データ作成手段は、ボリュームに含まれる全部又は一部のファイルの世代管理情報と、ボリュームに含まれる全部又は一部のファイルのエラーチェックコードと、ボリュームの残り記録容量と、ボリュームのボリユーム管理データの全部又は一部と、ボリュームを記録している記録媒体に固有な情報とのうちの全部又は一部を含む前記ボリューム改ざん検出データを作成することが好ましい。

[0158] この構成によれば、データ作成手段によって、ボリュームに含まれる全部又は一部のファイルの世代管理情報と、ボリュームに含まれる全部又は一部のファイルのエラ一チェックコードと、ボリュームの残り記録容量と、ボリュームのボリューム管理データの全部又は一部と、ボリュームを記録している記録媒体に固有な情報とのうちの全部又は一部を含むボリューム改ざん検出データが作成される。したがって、このような情報を含むボリューム改ざん検出データとボリューム管理データとが比較されるので、ボリュームの改ざんを確実に検出することができる。

[0159] また、上記のファイル管理装置において、前記データ作成手段は、ファイルのサイズ情報と、ファイルの記録開始時刻情報と、ファイルの記録終了時刻情報と、ファイルの暗号化鍵と、ファイルの記録されている領域のパスを示す情報と、ファイルに含まれる全部又は一部のデータのハッシュ値と、ファイルに含まれる全部又は一部のデータのエラーチェックコードとのうちの全部又は一部を含む前記ファイル改ざん検出データを作成することが好ましヽ。

[0160] この構成によれば、データ作成手段によって、ファイルのサイズ情報と、ファイルの記録開始時刻情報と、ファイルの記録終了時刻情報と、ファイルの暗号化鍵と、ファィルの記録されて!、る領域のパスを示す情報と、ファイルに含まれる全部又は一部のデータのハッシュ値と、ファイルに含まれる全部又は一部のデータのエラーチェックコードとのうちの全部又は一部を含む前記ファイル改ざん検出データが作成される。したがって、このような情報を含むファイル改ざん検出データとファイル管理データとが比較されるので、ファイルの改ざんを確実に検出することができる。 [0161] 本発明に係るファイル管理方法は、ファイルの書き込み時に、前記ボリューム管理データの改ざんを検出するためのボリューム改ざん検出データを作成するデータ作成ステップと、ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データを第 1の記憶手段に記憶する第 1の記憶ステップと、前記データ作成ステップにお、て作成されたボリューム改ざん検出データを、前記第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段に記憶する第 2の記憶ステップと、前記ボリュームのマウント時に、前記ボリューム管理データを前記第 1 の記憶手段から読み出すと共に、前記ボリューム改ざん検出データを前記第 2の記憶手段から読み出し、読み出したボリューム管理データとボリューム改ざん検出データとを比較するデータ比較ステップと、前記データ比較ステップにお、て改ざんがな V、と判断された場合、前記ボリュームをマウントするマウントステップとを含む。

[0162] この構成によれば、データ作成ステップにおいて、ファイルの書き込み時に、ボリューム管理データの改ざんを検出するためのボリューム改ざん検出データが作成される。そして、第 1の記憶ステップにおいて、ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データが第 1の記憶手段に記憶される。また、第 2の記憶ステップにおいて、データ作成ステップで作成されたボリューム改ざん検出データが、第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段に記憶される。データ比較ステップにおいて、ボリュームのマウント時に、ボリューム管理データが第 1の記憶手段力読み出されると共に、ボリューム改ざん検出データが第 2の記憶手段力読み出され、読み出されたボリューム管理データとボリューム改ざん検出データとが比較される。データ比較ステップで改ざんがな、と判断された場合、マウントステップにおいて、ボリュームがマウントされる。

[0163] したがって、第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段に記憶されているボリューム改ざん検出データを用いてボリュームが改ざんされたか否かの判断が行われるので、ボリュームの改ざんを確実に検出することができ、不正なボリュームの改ざんを防止することができる。

[0164] 本発明に係るファイル管理プログラムは、ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データを記憶する第 1の記憶手段と、ファイルの書き込み時に、前記ボリューム管理データの改ざんを検出するためのボリューム改ざん検出データを作成するデータ作成手段と、前記第 1の記憶手段とは物理的に異なる位置に配置され、前記データ作成手段によって作成されたボリユーム改ざん検出データを記憶する第 2の記憶手段と、前記ボリュームのマウント時に、前記ボリューム管理データを前記第 1の記憶手段から読み出すと共に、前記ボリユーム改ざん検出データを前記第 2の記憶手段力読み出し、読み出したボリューム管理データとボリューム改ざん検出データとを比較するデータ比較手段と、前記データ比較手段によって改ざんがないと判断された場合、前記ボリュームをマウントするマウント手段としてコンピュータを機能させる。

[0165] この構成によれば、第 1の記憶手段には、ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データが記憶される。そして、データ作成手段によって、ファイルの書き込み時に、ボリューム管理データの改ざんを検出するためのボリューム改ざん検出データが作成される。第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段には、データ作成手段により作成されたボリューム改ざん検出データが記憶される。そして、ボリュームのマウント時に、データ比較手段によって、ボリューム管理データが第 1の記憶手段力読み出されると共に、ボリューム改ざん検出データが第 2の記憶手段力読み出され、読み出されたボリユーム管理データとボリューム改ざん検出データとが比較される。データ比較手段により改ざんがないと判断された場合、マウント手段によって、ボリュームがマウントされる。

[0166] したがって、第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段に記憶されているボリューム改ざん検出データを用いてボリュームが改ざんされたか否かの判断が行われるので、ボリュームの改ざんを確実に検出することができ、不正なボリュームの改ざんを防止することができる。

[0167] 本発明に係るファイル管理プログラムを記録したコンピュータ読み取り可能な記録媒体は、ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データを記憶する第 1の記憶手段と、ファイルの書き込み時に、前記ボリューム管理データの改ざんを検出するためのボリューム改ざん検出データを作成するデータ作成手段と、前記第 1の記憶手段とは物理的に異なる位置に配置され、前記データ作成手段によって作成されたボリューム改ざん検出データを記憶する第

2の記憶手段と、前記ボリュームのマウント時に、前記ボリューム管理データを前記第 1の記憶手段から読み出すと共に、前記ボリューム改ざん検出データを前記第 2の記憶手段から読み出し、読み出したボリューム管理データとボリューム改ざん検出データとを比較するデータ比較手段と、前記データ比較手段によって改ざんがないと判断された場合、前記ボリュームをマウントするマウント手段としてコンピュータを機會させる。

[0168] この構成によれば、第 1の記憶手段には、ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データが記憶される。そして、データ作成手段によって、ファイルの書き込み時に、ボリューム管理データの改ざんを検出するためのボリューム改ざん検出データが作成される。第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段には、データ作成手段により作成されたボリューム改ざん検出データが記憶される。そして、ボリュームのマウント時に、データ比較手段によって、ボリューム管理データが第 1の記憶手段力読み出されると共に、ボリューム改ざん検出データが第 2の記憶手段力読み出され、読み出されたボリユーム管理データとボリューム改ざん検出データとが比較される。データ比較手段により改ざんがないと判断された場合、マウント手段によって、ボリュームがマウントされる。

[0169] したがって、第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段に記憶されているボリューム改ざん検出データを用いてボリュームが改ざんされたか否かの判断が行われるので、ボリュームの改ざんを確実に検出することができ、不正なボリュームの改ざんを防止することができる。

産業上の利用可能性

[0170] 本発明は、アプリケーション力も独立したファイルシステム力ファイルの管理と更新を行うことによって、アプリケーションの処理負荷が軽減されると共に、アプリケーション開発の工程も大きく短縮ィ匕されると同時に、ファイルシステムがファイルの更新処理を実行中に電源オフ等の異常事態が発生したケースでもファイルシステムの整合性を維持確保することが可能である。

更に又、アプリケーションに依存しない、統一的な著作権管理やファイルの一部又は全部に対する改ざん管理を行うことも可能になるという絶大な効果を有し、その産業上の利用可能性は極めて大である。

Claims

請求の範囲

[1] ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データを記憶する第 1の記憶手段と、

ファイルの書き込み時に、前記ボリューム管理データの改ざんを検出するためのボリューム改ざん検出データを作成するデータ作成手段と、

前記第 1の記憶手段とは物理的に異なる位置に配置され、前記データ作成手段によって作成されたボリューム改ざん検出データを記憶する第 2の記憶手段と、前記ボリュームのマウント時に、前記ボリューム管理データを前記第 1の記憶手段から読み出すと共に、前記ボリューム改ざん検出データを前記第 2の記憶手段から読み出し、読み出したボリューム管理データとボリューム改ざん検出データとを比較するデータ比較手段と、

前記データ比較手段によって改ざんがないと判断された場合、前記ボリュームをマゥントするマウント手段とを備えることを特徴とするファイル管理装置。

[2] 前記第 1の記憶手段は、前記ファイルを管理するためのファイル管理データをさらし、

前記データ作成手段は、ファイルの書き込み時に、前記ファイル管理データの改ざんを検出するためのファイル改ざん検出データをさらに作成し、

前記第 2の記憶手段は、前記データ作成手段によって作成されたファイル改ざん検出データをさらに記憶し、

前記データ比較手段は、前記ファイルのオープン時に、前記ファイル管理データを前記第 1の記憶手段から読み出すと共に、前記ファイル改ざん検出データを前記第 2の記憶手段から読み出し、読み出したファイル管理データとファイル改ざん検出デ一タとをさらに比較し、

前記ファイルデータ比較手段によって改ざんがないと判断された場合、前記フアイルをオープンするオープン手段とをさらに備えることを特徴とする請求項 1記載のファィル管理装置。

[3] 前記第 1の記憶手段は、前記ファイル管理データを前記ファイル改ざん検出データに関連付けて記憶することを特徴とする請求項 2記載のファイル管理装置。

[4] 前記第 1の記憶手段は、前記ファイル改ざん検出データを特定可能なデータを含む前記ファイル管理データを記憶することを特徴とする請求項 3に記載のファイル管理システム。

[5] 前記ファイル改ざん検出データと、前記ファイル改ざん検出データを特定可能なデ一タとを更新する場合、前記データ作成手段は、新しいファイル改ざん検出データを作成した後に、新、ファイル改ざん検出データを特定するようにファイル改ざん検出データを特定可能なデータを変更することを特徴とする請求項 4記載のファイル管理装置。

[6] 前記ファイル改ざん検出データと、前記ファイル改ざん検出データを特定可能なデ一タとを更新する場合、第 1の記憶手段は、更新前のファイル改ざん検出データを特定可能なデータと、新し、ファイル改ざん検出データを特定可能なデータとを記憶し、前記データ作成手段は、新しいファイル改ざん検出データを作成した後に、新しいファイル改ざん検出データを特定するようにファイル改ざん検出データを特定可能なデータを変更し、前記第 1の記憶手段に記憶されて!、る更新前のファイル改ざん検出データを特定可能なデータを削除することを特徴とする請求項 5記載のファイル管理装置。

[7] 前記データ作成手段は、ボリュームに含まれる全部又は一部のファイルの世代管理情報と、ボリュームに含まれる全部又は一部のファイルのエラーチェックコードと、ボリュームの残り記録容量と、ボリュームのボリューム管理データの全部又は一部と、ボリュームを記録している記録媒体に固有な情報とのうちの全部又は一部を含む前記ボリューム改ざん検出データを作成することを特徴とする請求項 1一 6のいずれかに記載のファイル管理装置。

[8] 前記データ作成手段は、ファイルのサイズ情報と、ファイルの記録開始時刻情報と、ファイルの記録終了時刻情報と、ファイルの暗号ィ匕鍵と、ファイルの記録されている領域のパスを示す情報と、ファイルに含まれる全部又は一部のデータのノ、ッシュ値と、ファイルに含まれる全部又は一部のデータのエラーチェックコードとのうちの全部又は一部を含む前記ファイル改ざん検出データを作成することを特徴とする請求項 2— 7の、ずれかに記載のファイル管理装置。

[9] ファイルの書き込み時に、前記ボリューム管理データの改ざんを検出するためのボリューム改ざん検出データを作成するデータ作成ステップと、

ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データを第 1の記憶手段に記憶する第 1の記憶ステップと、

前記データ作成ステップにおヽて作成されたボリューム改ざん検出データを、前記第 1の記憶手段とは物理的に異なる位置に配置された第 2の記憶手段に記憶する第 2の記憶ステップと、

前記ボリュームのマウント時に、前記ボリューム管理データを前記第 1の記憶手段から読み出すと共に、前記ボリューム改ざん検出データを前記第 2の記憶手段から読み出し、読み出したボリューム管理データとボリューム改ざん検出データとを比較するデータ比較ステップと、

前記データ比較ステップにお、て改ざんがな、と判断された場合、前記ボリュームをマウントするマウントステップとを含むことを特徴とするファイル管理方法。

[10] ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データを記憶する第 1の記憶手段と、

前記データ比較手段によって改ざんがないと判断された場合、前記ボリュームをマゥントするマウント手段としてコンピュータを機能させることを特徴とするファイル管理プログラム。

[11] ファイルを記憶すると共に、そのファイルを含むボリュームを管理するためのボリューム管理データを記憶する第 1の記憶手段と、ファイルの書き込み時に、前記ボリューム管理データの改ざんを検出するためのボリューム改ざん検出データを作成するデータ作成手段と、

前記データ比較手段によって改ざんがないと判断された場合、前記ボリュームをマゥントするマウント手段としてコンピュータを機能させることを特徴とするファイル管理プログラムを記録したコンピュータ読み取り可能な記録媒体。