WO2008026238A1 - Système de traitement de données, procédé de traitement de données, et programme - Google Patents
Système de traitement de données, procédé de traitement de données, et programme Download PDFInfo
- Publication number
- WO2008026238A1 WO2008026238A1 PCT/JP2006/316847 JP2006316847W WO2008026238A1 WO 2008026238 A1 WO2008026238 A1 WO 2008026238A1 JP 2006316847 W JP2006316847 W JP 2006316847W WO 2008026238 A1 WO2008026238 A1 WO 2008026238A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- hash value
- data
- hash
- signature
- new
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Description
明 細 書
データ処理システム及びデータ処理方法及びプログラム
技術分野
[0001] この発明は、例えばコンテンツ流通システムや企業情報システムにおけるログに関 し、特にログデータに署名を付与することにより、検知できない改竄 (書き換え、不正 レコード挿入、削除など)を防ぎ、ログの完全性を確保するための技術に関する。 背景技術
[0002] 今日、コンテンツ流通システムや企業情報システムにお 、て、システムに属する機 器や装置から出力される「ログ」が重要な役割を果たすようになってきている。
例えば、コンテンツ流通システムでは、コンテンツホルダがコンテンツプロバイダ(配 信業者)に許可した許諾の範囲で (許可した販売量、販売価格などで)コンテンツの 販売が行われて 、るかを、コンテンツプロバイダが配備展開するコンテンツ配信シス テムのログを元にコンテンツホルダが検証することが行われている、或いは今後行わ れようとして 、る。
また、デジタル映画を映画館に供給するスタジオが許諾した範囲で (許可した上映 期間 ·上映回数で)映画を上映して!/ヽるかを、映画館システムのログを元にスタジオ が検証することが行われて 、る、或いは今後行われようとして 、る。
[0003] 一方、企業情報システムにお 、ては、顧客名簿ゃ企業機密の情報漏洩と!/、つたセ キユリティ問題が発生した場合に、予めシステムカゝら収集し保存してお ヽたログを分 析することで原因を追究したり、また、情報システムが正しく運用されていることを客 観的に示す監査などの目的のためにもログが用いられてきている。
[0004] このように、あらゆるシステムにおいて、ログが重要な役割を果たすようになつてきた 今日、ログデータの改竄はシステム運用上重大な脅威となり、その完全性の確保 (改 竄されて 、な 、ことの証明)が重要な課題となってきて!/、る。
[0005] このような背景の下、ログの完全性確保に向けて、大きく 2つのアプローチがある。
1. ログの改竄そのものを防止する。
2.ログが改竄された場合、それを確実に検知できるようにする。
このうち、本書で説明する発明は、上記の 2を主な目的としたものである。また、同 様の目的を持つ先行技術について、以下に説明する。
[0006] 例えば、特許文献 1は、アクセスログなど時系列に発生するデータごとにハッシュ' 署名をつけて保存するデータ記憶処理方法を開示している。その際、該当データと 一つ前のデータのハッシュを合成したデータのハッシュを取り、それに署名を付ける ハッシュチェーン構成を採って 、る。
[0007] し力しながら、この先行技術では、各レコード全てに署名を付けており、署名(秘密 鍵演算)処理は計算量が多いため(概ねハッシュ計算の 100— 1000倍)、レコードが 頻発するような状況下では処理負荷が高くなり、実用に向かないという問題点がある 。さらに、各レコードに署名が付与される分、全体のサイズが大きくなるという問題点も ある(署名に RSA (登録商標) (Rivest Shamir Adleman) 2048ビット鍵を用いた 場合、各レコードごとに 256バイト、 Base64変換すると約 342バイト、サイズが大きく なる)。
[0008] これに対し、非特許文献 1は、同じくログへの署名付与にハッシュチェーンを用いる 構成を開示'推奨している。この先行技術では、ハッシュチェーンの最後のハッシュ にのみ署名を付けた構成図を開示しており、署名負荷やログサイズを低減できる可 能性に言及している力 動的に変化するログデータに対し、どのようなタイミングで署 名を付与するか、また署名で守られて!/、な 、データをどのように検知できな 、改竄か ら守るかなど、具体的な実装方式には一切触れられておらず、アイデアのメリットを具 体的に享受することができない。
[0009] また、特許文献 2は、ログではな 、が、署名対象データを分割し、各々のハッシュを 算出し、それらを階層構造にした上で、最上位のハッシュに署名を付けることで、デ ータの改竄検知が行えるアイデアが開示されている。
[0010] し力しながら、この先行技術では、ある程度ログが蓄積された最終段階でのみ署名 を付けており、そこに至るまでの間にデータが改竄されても改竄に気付くことができな いという問題がある(ログというデータの性格上、最後だけではなぐ逐次署名を付け ていく必要がある)。
特許文献 1 :特開 2003— 143139号公報
特許文献 2 :特開 2001— 519930号公報
非特許文献 1 : Digital Cinema System Specification VI. 0 P. 116— 117 , July 20, 2005 Digital Cinema Initiatives, LLC, http: / / www. d cimovies. com/
発明の開示
発明が解決しょうとする課題
[0011] 本発明は、上記のような課題を解決することを主な目的とするとともに、更に、デー タが改竄された場合、改竄を検知できるだけでなぐ改竄された箇所をできるだけ限 定する機能も同時に合わせ持つ、データ処理システム、データ処理方法及びプログ ラムを得ることを主な目的とする。
課題を解決するための手段
[0012] この発明に係るデータ処理システムは、第一の記憶装置と第二の記憶装置とを用 い、逐次出力されるデータにハッシュ値を付カ卩し、ノ、ッシュ値が付加されたデータを 前記第二の記憶装置に格納するデータ処理システムであって、
前記第二の記憶装置にデータが格納される度に、前記第二の記憶装置に格納さ れる格納データに付加されて 、る、前記格納データ力も生成された第一のハッシュ 値と前記格納データの前に格納されたデータのハッシュ値から生成された第二のハ ッシュ値とを複製し、第一のハッシュ値と第二のハッシュ値の複製を前記第一の記憶 装置に格納するハッシュ値複製格納部と、
新たなデータが出力された際に、前記第二の記憶装置に最後に格納された最後尾 データに付加されて 、る最後尾の第一のハッシュ値及び第二のハッシュ値と、前記 第一の記憶装置に格納されている前記最後尾の第一のハッシュ値及び第二のハツ シュ値の複製とを比較するハッシュ値比較部と、
前記ハッシュ値比較部により前記最後尾の第一のハッシュ値及び第二のハッシュ 値と前記最後尾の第一のハッシュ値及び第二のハッシュ値の複製とがー致すると判 断された場合に、前記新たなデータ力 新たな第一のハッシュ値を生成するとともに 、前記最後尾の第一のノ、ッシュ値及び第二のハッシュ値力 新たな第二のハッシュ 値を生成するハッシュ値生成部と、
前記ハッシュ値生成部により生成された前記新たな第一のハッシュ値と前記新たな 第二のノ、ッシュ値とを前記新たなデータに付加し、前記新たな第一のハッシュ値と前 記新たな第二のハッシュ値とが付加された前記新たなデータを前記第二の記憶装置 に格納するデータ格納部とを有することを特徴とする。
[0013] 前記ハッシュ値生成部は、
前記ハッシュ値比較部により前記最後尾の第一のハッシュ値及び第二のハッシュ 値と前記最後尾の第一のノ、ッシュ値及び第二のハッシュ値の複製とがー致しないと 判断された場合に、前記新たなデータ力 新たな第一のハッシュ値を生成するととも に、前記最後尾の第一のハッシュ値及び第二のノ、ッシュ値以外の値力 新たな第二 のハッシュ値を生成することを特徴とする。
[0014] 前記データ処理システムは、更に、
前記ハッシュ値比較部により前記最後尾の第一のハッシュ値及び第二のハッシュ 値と前記最後尾の第一のノ、ッシュ値及び第二のハッシュ値の複製とがー致しないと 判断された場合に、前記最後尾データにおける改竄を通知する改竄検出レポートを 生成する改竄検出レポート生成部を有することを特徴とする。
[0015] 前記ハッシュ値複製格納部は、
前記第一の記憶装置として、耐タンパ一装置に前記第一のハッシュ値と第二のハツ シュ値の複製を格納することを特徴とする。
[0016] 前記データ処理システムは、更に、
複数のデータの中の特定のデータに対して署名を生成し、生成した署名を前記特 定のデータにのみ付加する署名生成部を有することを特徴とする。
[0017] 前記署名生成部は、
一定のデータ間隔ごとに、署名を生成することを特徴とする。
[0018] 前記署名生成部は、
一定の時間間隔ごとに、署名を生成することを特徴とする。
[0019] 前記署名生成部は、
前記データ処理システムを利用するアプリケーションプログラムからの指示に基づき 、署名を生成することを特徴とする。
[0020] 前記署名生成部は、
前記データ処理システムの外部から前記第二の記憶装置に格納されているデータ に対する転送要求があった際に、署名を生成することを特徴とする。
[0021] 前記署名生成部は、
前記データ処理システムを利用する利用者力もの指示に基づき、署名を生成する ことを特徴とする。
[0022] 前記署名生成部は、
前記データ処理システムの IDS (侵入検知システム) /IPS (侵入防止システム)が 不正侵入を検知した際に、署名を生成することを特徴とする。
[0023] 前記署名生成部は、
前記データ処理システムが稼動を終了する際に、最後に出力されたデータに対す る署名を生成することを特徴とする。
[0024] 前記データ処理システムは、更に、
前記データ処理システムの起動時に、前記第二の記憶装置に格納されて 、るデ一 タを検査し、署名が付加されている最後のデータより後に格納されたデータが存在す る場合に、署名が付加されている最後のデータより後に格納されたデータが存在す ることを通知するァラートを生成するデータ検査部とを有することを特徴とする。
[0025] 前記ハッシュ値生成部は、
複数個の第一のハッシュ値力も上位ハッシュ値を生成し、複数個の上位ハッシュ値 カも更なる上位ハッシュ値を生成して、複数階層にわたる上位ハッシュ値を生成する ことを特徴とする。
[0026] 前記データ処理システムは、
前記ハッシュ値生成部により生成された上位ハッシュ値のうち最上位の上位ハツシ ュ値を用いて署名を生成する署名生成部を有することを特徴とする。
[0027] この発明に係るデータ処理方法は、第一の記憶装置と第二の記憶装置とを用い、 逐次出力されるデータにハッシュ値を付加し、ハッシュ値が付加されたデータを前記 第二の記憶装置に格納するデータ処理方法であって、
前記第二の記憶装置にデータが格納される度に、前記第二の記憶装置に格納さ
れる格納データに付加されて 、る、前記格納データ力も生成された第一のハッシュ 値と前記格納データの前に格納されたデータのハッシュ値から生成された第二のハ ッシュ値とを複製し、第一のハッシュ値と第二のハッシュ値の複製を前記第一の記憶 装置に格納し、
新たなデータが出力された際に、前記第二の記憶装置に最後に格納された最後尾 データに付加されて 、る最後尾の第一のハッシュ値及び第二のハッシュ値と、前記 第一の記憶装置に格納されている前記最後尾の第一のハッシュ値及び第二のハツ シュ値の複製とを比較し、
前記最後尾の第一のノ、ッシュ値及び第二のハッシュ値と前記最後尾の第一のハツ シュ値及び第二のハッシュ値の複製とがー致すると判断された場合に、前記新たな データ力も新たな第一のハッシュ値を生成するとともに、前記最後尾の第一のノ、ッシ ュ値及び第二のノ、ッシュ値力も新たな第二のハッシュ値を生成し、
生成した前記新たな第一のノ、ッシュ値と前記新たな第二のハッシュ値とを前記新た なデータに付加し、前記新たな第一のハッシュ値と前記新たな第二のノ、ッシュ値とが 付加された前記新たなデータを前記第二の記憶装置に格納することを特徴とする。 この発明に係るプログラムは、第一の記憶装置と第二の記憶装置とを有するコンビ ユータに、逐次出力されるデータにハッシュ値を付加させ、ノ、ッシュ値が付加された データを前記第二の記憶装置に格納させるプログラムであって、
前記第二の記憶装置にデータが格納される度に、前記第二の記憶装置に格納さ れる格納データに付加されて 、る、前記格納データ力も生成された第一のハッシュ 値と前記格納データの前に格納されたデータのハッシュ値から生成された第二のハ ッシュ値とを複製し、第一のハッシュ値と第二のハッシュ値の複製を前記第一の記憶 装置に格納するハッシュ値複製格納処理と、
新たなデータが出力された際に、前記第二の記憶装置に最後に格納された最後尾 データに付加されて 、る最後尾の第一のハッシュ値及び第二のハッシュ値と、前記 第一の記憶装置に格納されている前記最後尾の第一のハッシュ値及び第二のハツ シュ値の複製とを比較するハッシュ値比較処理と、
前記ハッシュ値比較処理により前記最後尾の第一のハッシュ値及び第二のハツシ
ュ値と前記最後尾の第一のハッシュ値及び第二のハッシュ値の複製とがー致すると 判断された場合に、前記新たなデータ力 新たな第一のハッシュ値を生成するととも に、前記最後尾の第一のハッシュ値及び第二のノ、ッシュ値力ら新たな第二のノ、ッシ ュ値を生成するハッシュ値生成処理と、
前記ハッシュ値生成処理により生成された前記新たな第一のハッシュ値と前記新た な第二のハッシュ値とを前記新たなデータに付加し、前記新たな第一のハッシュ値と 前記新たな第二のハッシュ値とが付加された前記新たなデータを前記第二の記憶装 置に格納するデータ格納処理とをコンピュータに実行させることを特徴とする。
発明の効果
[0029] このように、この発明によれば、第二の記憶装置に格納される格納データの第一の ハッシュ値と第二のハッシュ値の複製を第一の記憶装置に格納し、新たなデータが 出力された際に、第二の記憶装置に格納されている最後尾の第一のハッシュ値及び 第二のハッシュ値と第一の記憶装置に格納されている最後尾の第一のハッシュ値及 び第二のノ、ッシュ値の複製とを比較することにより改竄を検知することができ、第二の 記憶装置に格納される全データに対して署名を付与する必要がなくなり、署名処理 負荷を低減し、署名によるデータ量の増大も防ぐことができる。
[0030] さらには、本発明は、従来技術が持つ問題を解決しつつ、検知不能な改竄を防ぎ、 改竄された場合、改竄された可能性のある箇所をできるだけ限定する機能を同時に 合わせ持つと!、う効果も奏するものである。
発明を実施するための最良の形態
[0031] 実施の形態 1.
(ログ出力装置及びログ出力プログラムの基本構成と、一定行数間隔、一定時間間 隔による署名付与)
[0032] (ログの形式とハッシュチェーンの形成)
図 1は、この発明の実施の形態 1によるログ出力装置におけるログの形式を示すブ ロック図である。
ディスク 1はログを記録 ·保持する。
ログレコード 10 (以下、単にレコードともいう)は、データ部 11とハッシュ部 12から構
成されている。ここで、データ部 11はログメッセージ本体である。
ハッシュ部 12は、さらにデータ部 11のハッシュ値であるデータハッシュ(DH) 13と、 一つ前のレコード 10のハッシュ部 12の更なるハッシュ値であるリンクハッシュ(LH) 1
4から構成されている(ただし、最初のレコードについては、データハッシュのハッシュ をリンクハッシュとする)。
データハッシュ(DH) 13は、第一のハッシュ値の例であり、リンクハッシュ(LH) 14 は、第二のハッシュ値の例である。
レコード 10のうち、ノ、ッシュ部 12の署名を計算し、それをハッシュ部 12の後ろに署 名(SIG) 15として付与したレコードが署名レコード 20である。
[0033] 最初のレコードから署名レコード 20まで、リンクハッシュ(LH) 14のリンク群(ノヽッシ ュチェーン)でつながれたレコード群が署名ブロック 1 (2)及び署名ブロック 2 (3)であ る。最後のブロック N (4)は、まだ署名が付けられていない未署名状態であることを示 している。
また、ブロック間でもハッシュチェーンはつながっている。図 1では、署名ブロック 2 ( 3)の最初のレコードのリンクハッシュ(LH) 14は署名ブロック 1 (2)の最後のレコード のハッシュ部 12に連結して!/、る。
このようにして生成したログを、他のシステムに転送する場合は、転送先でログの完 全性 (改竄されて 、な 、こと)を検証できるよう、最新レコードに署名が付 、た状態で 送るようにすれば、一度に複数の署名ブロックを送ってもょ 、。
[0034] 以上のようにログを構成することで、署名対象は最終レコードのハッシュ部 12とする ことができることから、署名付与時にログ全体を読み込んでハッシュを取る必要が無 いというメリットが得られる。
[0035] (ログ出力装置の構成例)
図 2は、この発明の実施の形態 1によるログ出力装置の構成例を示すブロック図で ある。
[0036] ログ出力装置 100は、 CPU (Central Processing Unit)、メモリ、ディスクや、キ 一ボード Zマウスのような入力機器、ディスプレイのような出力機器力も構成される一 般的なコンピュータを想定して 、る。
[0037] ログ出力装置 100は、ログ出力処理部 101を有している。ログ出力処理部 101は、 データ処理システムの例である。ログ出力処理部 101は、例えば、メモリに常駐する ログ出力常駐プログラムにより実現することができる。
ログ出力処理部 101は、各種アプリケーションプログラム 111 (以下、単に、アプリケ ーシヨンともいう)が出力するログをそれカ^ンタするログ出力ライブラリ 110を介して、 例えばプロセス間通信などにより受信し、署名付きログをディスク 112に出力する。
[0038] また、ログ出力装置 100は、最新ハッシュ記憶部 102を備えている。最新ハッシュ記 憶部 102は、例えばプロセスメモリ上に最新のハッシュ値を記憶するためのメモリ領 域を確保することで実現できる。
最新ハッシュ記憶部 102は、ログとしてディスク 112に出力された最新レコードのハ ッシュ部 12 (データハッシュ(DH) 13及びリンクハッシュ(LH) 14の両者)のコピーを 保持するように構成されて 、る。
最新ハッシュ記憶部 102 (プロセスメモリ)は第一の記憶装置の例であり、ディスク 1 12は、第二の記憶装置の例である。
[0039] また、ログ出力装置 100は、署名要求部 103を備えている。署名要求部 103は、外 部或いはログ出力装置 100内部からの署名要求を受け付け、ログ出力処理部 101 内の署名生成部 1013 (後述)に署名要求を出力することにより、ディスク 112上の口 グの最新レコードに署名が付与される。
署名要求部 103は具体的には、 UNIX (登録商標)プログラムにおけるシグナルノヽ ンドラなどの機構により実現することもできるし、ログ出力ライブラリ 110からの明示的 な署名要求や、タイマーを保持し、自身で署名生成のタイミングを与えることなども可 能である。
[0040] ログ出力装置 100は、自身で公開鍵ペアを保有しており、各々秘密鍵保持部 104 、公開鍵保持部 105に保持している。また、オプションで耐タンパ一装置 106を備え てもよく、その場合、最新ハッシュ記憶部 102及び秘密鍵保持部 104を、耐タンパ一 装置 106の中に備える構成を取ってもよ!、。
[0041] 次に、図 3にログ出力処理部 101 (データ処理システム)の内部構成例について説 明する。
[0042] ハッシュ値複製格納部 1015は、ディスク 112 (第二の記憶装置)にレコードが格納 される度に、格納されるレコードに付加されている、当該レコードのデータ部 11から 生成されたデータハッシュ (DH) 13 (第一のハッシュ値)と当該レコードの前に格納さ れたレコードのハッシュ部 12から生成されたリンクハッシュ(LH) 14 (第二のハッシュ 値)を複製し、データハッシュ(DH) 13及びリンクハッシュ(LH) 14の複製を最新ハツ シュ記憶部 102 (第一の記憶装置)に格納する。
[0043] ハッシュ値比較部 1011は、新たなデータ (データ部 11)が出力された際に、デイス ク 112に最後に格納された最後尾データに付加されて 、る最後尾のノ、ッシュ部 12 ( データハッシュ(DH) 13及びリンクハッシュ(LH) 14)と、最新ハッシュ記憶部 102に 格納されて 、る最後尾のハッシュ部 12の複製とを比較する。
[0044] ノ、ッシュ値生成部 1012は、ハッシュ値比較部 1011により最後尾のハッシュ部 12と 最後尾のハッシュ部 12の複製とがー致すると判断された場合に、新たなデータ (デ ータ部 11)から新たなデータハッシュ (DH) 13を生成するとともに、最後尾のハッシュ 部 12から新たなリンクハッシュ (LH) 14を生成する。
[0045] 署名生成部 1013は、署名要求部 103からの署名要求に基づき、複数のデータの うちの特定のデータ(最後尾のデータ)に対して署名を生成し、生成した署名を当該 特定のデータに付加する。署名生成部 1013は、例えば、一定のデータ間隔ごとに、 署名を生成するようにしてもいいし、一定の時間間隔ごとに、署名を生成するようにし てもよい。
[0046] データ格納部 1014は、ハッシュ値生成部 1012により生成された新たなデータハツ シュ(DH) 13とリンクハッシュ(LH) 14をハッシュ部 12として新たなデータ(データ部 11)に付加し、データハッシュ(DH) 13とリンクハッシュ(LH) 14が付カ卩された後のレ コード 10をディスク 112 (第二の記憶装置)に格納する。
また、データ格納部 1014は、署名生成部 1013により署名が生成された場合は、 署名が付加された署名レコード 20をディスク 112に格納する。
[0047] 改竄検出レポート生成部 1016は、ノ、ッシュ値比較部 1011により最後尾のハッシュ 部 12と最後尾のハッシュ部 12の複製とがー致しないと判断された場合に、最後尾デ ータにおける改竄を通知する改竄検出レポートを生成する。
[0048] なお、ハッシュ値比較部 1011により最後尾のハッシュ部 12と最後尾のハッシュ部 1 2の複製とがー致しないと判断された場合は、改竄検出レポート生成部 1016により 改竄検出レポートの生成とともに、ノ、ッシュ値生成部 1012は、新たなデータから新た なデータハッシュ(DH) 13を生成するとともに、最後尾のハッシュ部 12以外の値から 新たなリンクハッシュ (LH) 14を生成するようにしてもよい。この場合、新たなデータ は、改竄のあった最後尾データとリンクしないことになる。
[0049] (ログ出力装置のハードウ ア構成例)
次に、ログ出力処理部 101を含むログ出力装置 100のハードウェア構成例につい て説明する。
前述のように、ログ出力装置 100は、一般的なコンピュータで構成することができ、 例えば、図 10に示すノ、一ドウエア構成とすることができる。
なお、図 10の構成は、あくまでもログ出力装置 100のハードウェア構成の一例を示 すものであり、ログ出力装置 100のハードウェア構成は図 10に記載の構成に限らず 、他の構成であってもよい。
[0050] 図 10において、ログ出力装置 100は、プログラムを実行する CPU911 (Central Processing Unit,中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイ クロコンピュータ、プロセッサともいう)を備えている。
CPU911は、ノ ス 912を介して、例えば、 ROM (Read Only Memory) 913、 R AM (Random Access Memory) 914、通信ボード 915、表示装置 901、キーボ ード 902、マウス 903、磁気ディスク装置 920と接続され、これらのハードウェアデバイ スを制御する。
更に、 CPU911は、 FDD904 (Flexible Disk Drive)、コンパクトディスク装置 9 05 (CDD)、プリンタ装置 906、スキャナ装置 907と接続していてもよい。また、磁気 ディスク装置 920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶 装置でもよい。
RAM914は、揮発性メモリの一例である。 ROM913、 FDD904、 CDD905、磁 気ディスク装置 920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装 置あるいは記憶部の一例である。
通信ボード 915、キーボード 902、スキャナ装置 907、 FDD904などは、入力部、 入力装置の一例である。
また、通信ボード 915、表示装置 901、プリンタ装置 906などは、出力部、出力装置 の一例である。
[0051] 通信ボード 915は、ネットワークを介してログの転送先であるログ収集管理システム と接続されていてもよい。例えば、通信ボード 915は、 LAN (ローカルエリアネットヮ ーク)、インターネット、 WAN (ワイドエリアネットワーク)などに接続されていても構わ ない。
磁気ディスク装置 920には、オペレーティングシステム 921 (OS)、ウィンドウシステ ム 922、プログラム群 923、ファイル群 924が記憶されている。プログラム群 923のプ ログラムは、 CPU911、オペレーティングシステム 921、ウィンドウシステム 922により 実行される。
また、磁気ディスク装置 920に、図 1及び図 2に示した署名付きログが格納されるよ うにしてもよい。
[0052] 上記プログラム群 923には、本実施の形態及び以下に述べる実施の形態の説明に おいてログ出力処理部 101及びその内部構成として説明している機能を実行するプ ログラムが記憶されている。プログラムは、 CPU911により読み出され実行される。 ファイル群 924には、以下に述べる説明において、「一の判定」、「一の計算」、「一 の比較」、「一の評価」、「一の生成」等として説明している処理の結果を示す情報や データや信号値や変数値やパラメータが、「 ファイル」や「 データベース」の各項 目として記憶されている。「一ファイル」や「一データベース」は、ディスクやメモリなど の記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報ゃデ ータゃ信号値や変数値やパラメータは、読み書き回路を介して CPU911によりメイン メモリやキャッシュメモリに読み出され、抽出'検索 ·参照 ·比較 ·演算 ·計算 ·処理 '編 集 ·出力 ·印刷 '表示などの CPUの動作に用いられる。抽出'検索 ·参照 ·比較 ·演算 •計算 '処理'編集 '出力'印刷 ·表示の CPUの動作の間、情報やデータや信号値や 変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、ノッファメモリ等に一 時的に記憶される。
また、以下で説明するフローチャートの矢印の部分は主としてデータや信号の入出 力を示し、データや信号値は、 RAM914のメモリ、 FDD904のフレキシブルディスク 、 CDD905のコンパクトディスク、磁気ディスク装置 920の磁気ディスク、その他光デ イスク、ミニディスク、 DVD等の記録媒体に記録される。また、データや信号は、バス 912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
[0053] また、本実施の形態及び以下に述べる実施の形態の説明においてログ出力処理 部 101及びその内部構成として説明しているものは、「—回路」、「—装置」、「-機器 」、「手段」であってもよぐまた、「—ステップ」、「—手順」、「—処理」であってもよい。 すなわち、ログ出力処理部 101及びその内部構成として説明しているものは、 RO M913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトゥェ ァのみ、或いは、素子'デバイス'基板'配線などのハードウェアのみ、或いは、ソフト ウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実 施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク 、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、 DVD等の記録 媒体に記憶される。
プログラムは CPU911により読み出され、 CPU911により実行される。すなわち、プ ログラムは、本実施の形態及び以下に述べる実施の形態のログ出力処理部 101及 びその内部構成としてコンピュータを機能させるものである。あるいは、本実施の形態 及び以下に述べる実施の形態のログ出力処理部 101及びその内部構成の手順や 方法をコンピュータに実行させるものである。
[0054] このように、本実施の形態及び以下に述べる実施の形態に示すログ出力装置 100 は、処理装置たる CPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボ ード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンビュ ータであり、上記したようにログ出力処理部 101及びその内部構成として示された機 能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
[0055] (ログ出力時の動作)
次に、ログ出力時の動作について述べる。
図 5は、その時のログ出力処理部 101の動作 (データ処理方法)の例を示すフロー
チャートである。
[0056] ログ出力処理を開始すると、ログ出力処理部 101のハッシュ値比較部 1011が、ま ず、ステップ ST301にて、ディスク 112の最新レコードのハッシュ部 12、つまりデイス ク 112に最後に格納された最後尾データに付加されて 、る最後尾のノ、ッシュ部 12を 読み込む。
次にステップ ST302にて、ノ、ッシュ値比較部 1011は、最新ハッシュ記憶部 102 ( プロセスメモリ)上に保持している最後尾のハッシュ部 12のコピー値と比較する。 ステップ ST303において、不一致の場合は、ハッシュ値比較部 1011はディスク上 のログが改竄されたものと判断し、ステップ ST312にて改竄検出レポート生成部 101 6が改竄検出レポートを生成し、データ格納部 1014が改竄検出レポートをディスク 1 12に出力し、ログ出力処理を終了する。
一方、ステップ ST303において、最後尾のハッシュ部 12とそのコピーとがー致して いた場合は、ステップ ST304にて、ハッシュ値生成部 1012が、該当データのデータ 部 11からデータハッシュ(DH) 13を計算する。
次にステップ ST305にて、ノ、ッシュ値生成部 1012が、最新ハッシュ記憶部 102 ( プロセスメモリ)上に保持している最後尾のハッシュ部 12のコピーよりリンクハッシュ( LH) 14を計算し、ステップ ST306でデータハッシュとリンクハッシュを合わせて、ハツ シュ部 12を生成する。
そして、ステップ ST307にて、データ格納部 1014力 データ部 11とハッシュ部 12 を合わせてレコード 10を生成する。
[0057] ここで、ステップ ST308にて、署名生成部 1013が、署名要求部 103からの署名要 求がある力否かを判定し、署名要求がある場合は、さらにステップ ST309にてハツシ ュ部 12の署名 15を計算し、署名 15をレコード 10に付加し、署名要求がない場合は 特になにもしない。
[0058] 以上、生成したレコードをステップ ST310にてデータ格納部 1014がディスク 112 に出力し、ステップ ST311にて、ハッシュ値複製格納部 1015がステップ ST304— 3 06において生成されたハッシュ部 12のコピーを生成し、当該コピーを最新ハッシュ 記憶部 102 (プロセスメモリ)上に保持する。
以上でログ出力処理は終了である。
[0059] 以上のように動作することで、ディスク上に出力されたログにハッシュチェーンを形 成することができる。
[0060] また、署名で守られていないブロックが改竄されてしまうとそれを検知できなくなるが 、上で示した通り、プロセスメモリ上に最後尾レコードのハッシュ部 12 (DHと LHを合 わせたもの)を保持し、ディスクへのレコード書き出し時に随時比較するよう構成した ことにより、署名で守られていないブロックの改竄も検知することができる。
[0061] さらに、プロセスメモリ上に保持するハッシュ部 12のコピーを、耐タンパ一装置 106 に保持するよう構成することにより、検知できない改竄をより精度高く防ぐことができる 。すなわち、ディスク上の最後尾レコードのハッシュ部 12と、プロセスメモリ上に保持 したハッシュを同時に改竄されてしまうことを防ぐことができるのである。
[0062] また、図 7に示すように、ステップ ST303において、不一致の場合は、改竄検出レ ポート生成部 1016が改竄検出レポートを生成し (ステップ ST312)、データ格納部 1 014が改竄検出レポートをディスク 112に出力した後(ST313)、ハッシュ値生成部 1 012力 ログ出力データのデータ部 11からデータハッシュ(DH) 13を生成するととも に(ステップ ST314)、このデータハッシュ(DH) 13からリンクハッシュ(LH) 14を生 成する (ステップ ST315)。このようにすれば、新たなデータと改竄されている最後尾 データとを切り離し、当該新たなデータ力 新たなハッシュチェーンを形成することが できる。
[0063] また、本実施の形態に係る構成のメリットを特許文献 1に照らして説明する。
本実施の形態に記載のアイデアも、特許文献 1のアイデアも、ディスク上のログは、 データ部 11とハッシュ部 12に分けることができ、どちらも改竄対象になり得る。従って 、両アイデアともハッシュ部 12のコピーをメモリ上に持つ構成を取っている力 特許文 献 1では本実施の形態の構成によるデータノ、ッシュ(DH) 13相当のみメモリ上に保 持し、リンクハッシュ (LH) 14に相当する部分はメモリ上に保持していない。
代わりに、特許文献 1では、ディスク上のレコードに署名を付けることにより、リンクハ ッシュ部になされる可能性のある、検知できない改竄を防いでいる訳である。このよう な構成を取り続ける限り、ディスク上の毎レコードに署名を付けざるを得ず、冒頭で指
摘した署名処理負荷と 、う問題点から逃れることができな 、のである。
[0064] 一方、本実施の形態では、リンクハッシュ (LH) 14もメモリ上に保持する構成として いるため、検知できない改竄の防止をディスク上の全レコードへの署名に頼る必要が なぐ部分的に署名することが可能という大きな効果を生み出すことに成功しているの である。
このように、本実施の形態では、リンクハッシュの改竄の有無を検証し、リンクハツシ ュに改竄がなければ、ノ、ッシュチェーンが正当であることが確認できる。
[0065] (署名付与時の動作)
次に、署名付与時の動作 (ログ出力処理と独立に署名を付与する場合の動作)に ついて述べる。
図 6は、その時のログ出力処理部 101の動作例を示すフローチャートである。 署名処理を開始すると、まず、ステップ ST401にて、ノ、ッシュ値比較部 1011が、デ イスク上の最新レコードを読み込む。次にステップ ST402にて、読み込んだ最新レコ ードが署名済か否かを判定し、既に署名済の場合は署名処理を行う必要がな!、ため 、終了する。
署名がなされていない場合は、ステップ ST403にて、ハッシュ値比較部 1011は、 読み込んだレコードのハッシュ部 12とプロセスメモリ上に保持している最新レコードの ノ、ッシュ部 12とを比較する。
ステップ ST404にて、一致していない場合は、ハッシュ値比較部 1011は、ディスク 上のログレコードが改竄されたと判断し、ステップ 407にて、改竄検出レポート生成部 1016が改竄検出レポートを生成するとともに、データ格納部 1014が改竄検出レポ ートをディスクに出力し、署名処理を終了する。
ステップ ST404において一致していた場合は、ステップ ST405にて、署名生成部 1013が、ハッシュ部 12の署名を計算する。
次に、ステップ ST406にて、署名生成部 1013が、ディスク上の最新レコードに署 名を付け加え、署名処理を終了する。
[0066] 以上のように構成することで、ログをディスクに出力するタイミング以外においても、 ログ出力処理部 101が署名要求を受けた任意のタイミングで署名を付与することがで
きる。
[0067] (一定行数間隔による署名付与)
以上に説明した構成'動作に基づき、ログ出力処理部 101の署名生成部 1013は 一定行数間隔(一定のデータ間隔)にてログに署名を付けることができる。
なお、ログ出力処理部 101の内部に、図示しないレコード出力回数カウンタを設け 、一定回数に達したら自身で署名生成部 1013に署名要求を出し、ディスク上に書き 出したレコードに署名を付与するように構成することで、これを実現することができる。 所定の行数間隔は、同じく図示しない設定ファイルなどに指定し、ログ出力処理部 1 01が起動時にそれを読み込むよう構成することができる。
[0068] これにより、ログの署名による処理負荷、ログサイズの低減を図り、かつ、検知できな
V、改竄の無 、ログを出力することができる。
[0069] (一定時間間隔による署名付与)
以上に説明した構成'動作に基づき、ログ出力処理部 101の署名生成部 1013は 一定時間間隔にてログに署名を付けることができる。
ログ出力処理部 101の内部に、図示しないタイマーを設け、前回署名時から一定 時間経過したら自身で署名生成部 1013に署名要求を出し、ディスク上の最新レコー ドに署名を付与するように構成することで、これを実現することができる。所定の時間 間隔は、同じく図示しない設定ファイルなどに指定し、ログ出力処理部 101が起動時 にそれを読み込むよう構成することができる。
[0070] これにより、ログの署名による処理負荷、ログサイズの低減を図り、かつ、検知できな
V、改竄の無 、ログを出力することができる。
[0071] (ログの完全性検証 (正常時))
図 4は、図 1で説明した形式で出力されたログの、ログ検証手段 (例えば、ログ転送 先のログ収集管理システムに搭載されたログ検証プログラム)による検証手順を示す フローチャートである。
[0072] 検証処理を開始すると、ステップ ST201にて、ログの中力 最新レコード(ログの最 後のレコード)を読み込む。
ステップ ST202にて署名レコードか否かを判定し (通常は最新レコードが署名レコ
ードになるようにしてログを検証する)、署名レコードの場合は、ステップ ST206に進 む。署名レコードでない場合の処理は後述する。
ステップ ST206にて、ログ出力装置の公開鍵で署名を復号し、ステップ ST207に て復号した署名とレコードのハッシュ部 12を比較する。
ステップ ST208にて一致している場合はステップ ST212に進む。一致しない場合 の処理は後述する。
ステップ ST212では、データ部 11の検証を行うために、データ部 11のハッシュを 計算し、ハッシュ部 12のデータハッシュ(DH) 13との比較を行う。ステップ ST213に て一致して!/、る場合は ST215に進む。一致しな 、場合の処理は後述する。
ステップ ST215では、一つ前のレコードとのリンクの検証を行うため、一つ前のレコ ードを読み込む。
ステップ ST216にて一つ前のレコードが無い場合は、検証処理は終了である。 ステップ ST216にて一つ前のレコードがある場合は、ステップ ST217にて、今読み 込んだレコードを検証対象にし、ステップ ST218〖こて、検証対象レコードのハッシュ 部 12のハッシュを計算し、一つ前の検証対象レコードのハッシュ部 12のリンクハツシ ュ(LH) 14と比較する。ステップ ST218にて再度一致を確認する。
以上の処理をステップ ST216にてレコードが無いと判定されるまで繰り返すことに より、ログの検証を行うことができる。
(ログの完全性検証 (最新レコードが署名レコードでないケース))
ステップ ST202にて最新レコードが署名レコードでな 、と判定した場合、ステップ S T219にて、該当レコードは信用できな 、と判定する。
次に、最新の署名レコードを探すために、ステップ ST203にて次の(一つ前の)レコ ードを読む。
ステップ ST204にてレコードの有無を判定し、レコードがあった場合は再びステツ プ ST202にて署名レコードか否かを判定する。この処理を繰り返すことで、最新の署 名レコードを探す。
この処理の過程で、ステップ ST204にて署名レコードが無いと判定した場合は、ス テツプ ST205にて、ログ自体が検証不能と判断し、検証処理を終了する。
[0074] (ログの完全性検証 (ハッシュ部が改竄されたケース) )
ステップ ST208にて、ノ、ッシュ部 12が、復号した署名、または一つ前の検証対象レ コードのリンクハッシュ(LH) 14と一致しない場合、ステップ ST209にて、該当署名 ブロックの中で、検証対象レコードを含む、それより古いレコードは全て信用できない と判断し、ステップ ST210にて次の署名(ブロック)までログをサーチする。
ステップ ST211にて署名レコードがあると判定した場合は、そのレコードから再度ス テツプ ST206より検証処理を継続する。署名レコードが無いと判定した場合は、検証 処理は終了である。
[0075] (ログの完全性検証 (データ部が改竄されたケース) )
ステップ ST213にて、データ部 11のハッシュとデータハッシュ(DH) 13がー致しな い場合、ステップ ST214にて該当レコードのデータ部 11が改竄されていると判定し、 次にステップ ST215に戻り、一つ前のレコード力も再び検証処理を継続する。
[0076] 以上、本実施の形態では、ログのように時間軸に沿って逐次出力されるデータに対 し、そのデータ (メッセージ)本体に該当するデータ部と、新たに付加するハッシュ部 力も構成されるレコードを形成し、ディスクに出力するログ出力装置について説明し た。
そして、上記ログ出力装置において、ノ、ッシュ部は、データ部のハッシュ(以降、デ ータハッシュ,, DH"と呼ぶ)と、一つ前のレコードのハッシュ部のハッシュ(以降、リンク ハッシュ" LH"と呼ぶ)を合わせたもの力も成り(一つ前のレコードが無い場合は、 DH のハッシュを LHとする)、さらにハッシュ部のリンク力も成るハッシュチェーンが形成さ れることを説明した。
また、上記ログ出力装置は、ノ、ッシュチェーンの一部のレコードにのみ署名を付け ることを説明した。
また、上記ログ出力装置は、データが出力されたタイミングで、該データの DHと LH を計算してハッシュ部を生成することによりレコードを形成し、それをディスクに出力 するとともに、生成したハッシュ部(DH、 LH両方を含む)のコピーをプロセスメモリ上 に保持することを説明した。
また、上記ログ出力装置は、次のデータが出力された場合、ディスク上の最新レコ
ードのハッシュ部と、プロセスメモリ上に保持しているハッシュ部を比較し、一致すれ ばディスク上のレコードが改竄されていないと判断し、さらにハッシュチェーンでリンク されたレコードをディスクに出力し、一致しない場合は改竄されたと判断し、改竄を検 出したことをレコードに記録するとともに、次のデータは前のレコードとリンクせず、一 つ前のレコードが無いものとして新たにレコードを生成、記録することを説明した。
[0077] また、本実施の形態では、ノ、ッシュ部のコピーをプロセスメモリ上ではなぐプロダラ ムが動作する機器に搭載された耐タンパ一装置内に保持するログ出力装置につい て説明した。
[0078] 更に、本実施の形態では、一定ログレコード出力行数ごとに、ディスク上の最新レコ ードのハッシュ部に署名を付けるログ出力装置について説明した。
[0079] また、本実施の形態では、一定時間間隔ごとに、ディスク上の最新レコードのハツシ ュ部に署名を付けるログ出力装置について説明した。
[0080] 実施の形態 2.
(アプリケーション指示及び、外部からのログ転送要求に基づく署名付与) 本実施の形態では、ディスク上のログに署名を付けるタイミングとして、アプリケーシ ヨン 111による指示時、及び外部からのログ転送要求時を利用した実施の形態につ いて述べる。
なお、ログ出力装置、ログ出力処理部 101、ログ形式などの構成は、実施の形態 1 に記載のものと全て同じであるため、本実施の形態での記載は省略する。
[0081] (アプリケーション指示による署名付与)
実施の形態 1に説明した構成'動作に基づき、ログ出力処理部 101の署名生成部 1 013は、アプリケーション 111が指示するタイミングにてログに署名を付けることができ る。
[0082] アプリケーション 111が、リンクするログ出力ライブラリ 110に対し、ログ出力を要求 するとともに、出力後署名も同時に付けるようにログ出力処理部 101に指示するように 構成することで、これを実現することができる。署名要求の指示は、ログ出力ライブラリ 110が提供するログ出力 API (Application Programming Interface)に、署名 要求の有無を入力とする引数を追加するよう構成することができる。
[0083] これにより、例えば、ある業務アプリケーションの一つの処理単位を論理的な検証 対象ログとした場合、アプリケーシヨンが処理終了をログに記録する時に署名も付け るよう指示することで、論理的な検証対象ログの最後のレコードに署名を付与すること ができる。
[0084] (外部からのログ転送要求による署名付与)
実施の形態 1に説明した構成'動作に基づき、ログ出力処理部 101の署名生成部 1 013は、外部(例えば、ログ収集管理システム)からのログ転送要求があったタイミン グにてログに署名を付けることができる。
[0085] 図示しない外部のログ収集管理システムからログ転送要求を署名要求部 103で受 けるように構成することで、これを実現することができる。署名要求部 103は、ログ転 送要求を例えばシグナルの形で受信するよう構成することができる。
[0086] これにより、ログ収集管理システムは、ログ出力装置 100から受信したログの最後の レコードに署名が付 、て 、るので、全てのレコードにつ 、て完全性を確認することが できる。
[0087] 本実施の形態では、アプリケーションの指示するタイミングで、ディスク上の最新レコ ードのハッシュ部に署名を付けるログ出力装置について説明した。
[0088] また、本実施の形態では、外部からのログ転送要求時に、ディスク上の最新レコー ドのハッシュ部に署名を付けるログ出力装置について説明した。
[0089] 実施の形態 3.
(管理者やオペレータの指示に基づく署名付与)
本実施の形態では、管理者やオペレータによる指示があった場合に、ディスク上の ログに署名を付けることを想定した実施の形態にっ ヽて述べる。
なお、ログ出力装置、ログ出力処理部 101、ログ形式などの構成は、実施の形態 1 に記載のものと全て同じであるため、本実施の形態での記載は省略する。
[0090] 実施の形態 1に説明した構成'動作に基づき、ログ出力処理部 101の署名生成部 1 013は、管理者やオペレータ(ログ出力装置 100の利用者)からの署名要求があった タイミングにてログに署名を付けることができる。
管理者やオペレータからの署名要求を署名要求部 103で受けるように構成すること
で、これを実現することができる。
これにより、定期的な、或いは定型業務的なログ収集タイミング以外に、管理者'ォ ペレータが必要とするイレギュラーなタイミングにおいても、全レコードについて完全 性の検証が可能なログを得ることができる。
[0091] 以上のように、本実施の形態では、管理者 ·オペレータの指示するタイミングで、デ イスク上の最新レコードのハッシュ部に署名を付けるログ出力装置について説明した
[0092] 実施の形態 4.
(IDSZIPSが侵入を検知したタイミングに基づく署名付与)
本実施の形態では、ログ出力装置 100に併設された IDS (侵入検知システム)や、 I PS (侵入防止システム)が侵入を検知したタイミングで、ディスク上のログに署名を付 ける実施の形態について述べる。
なお、ログ出力装置、ログ出力処理部 101、ログ形式などの構成は、実施の形態 1 に記載のものと全て同じであるため、本実施の形態での記載は省略する。
[0093] IDSZIPSによる侵入検知イベントを、ログ出力装置の署名要求部 103で受けるよ うに構成することで、署名生成部 1013は、侵入検知イベントがあつたときに署名を生 成することができる。
これにより、ログ出力装置にセキュリティ上の脅威が及ぶ前に、ログに署名を付ける ことができる。
[0094] 以上のように、本実施の形態では、システムに併設の IDS (侵入検知システム) ZIP s (侵入防止システム)が侵入を検知したタイミングで、ディスク上の最新レコードのハ ッシュ部に署名を付けるログ出力装置について説明した。
[0095] 実施の形態 5.
(ログ出力処理部 101起動 Z終了時の動作)
本実施の形態では、ログ出力処理部 101が、起動 Z終了時にディスク上のログに 対して行う動作について、その実施の形態を述べる。
[0096] 本実施の形態に係るログ出力装置 100では、ログ出力処理部 101の内部構成を、 例えば、図 8に示すようにする。
図 8において、署名生成部 1013は、実施の形態 1に示したものと同様の機能を有 するが、本実施の形態では、ログ出力処理部 101が稼動を終了する際に、最後に出 力されたデータに対する署名を生成する。
そして、データ検査部 1017は、ログ出力処理部 101の起動時に、ディスク 112に 格納されているデータを検査し、署名が付加されている最後のデータより後に格納さ れたデータが存在する場合に、署名が付加されている最後のデータより後に格納さ れたデータが存在することを通知するァラートを生成する。署名が付加されて!ヽる最 後のデータより後に格納されたデータは、改竄されている可能性があるデータと考え られる力 である。
図 8において、署名生成部 1013及びデータ検査部 1017以外は、図 3に示したも のと同様である。
また、ログ形式は、実施の形態 1に記載のものと同じである。
[0097] (ログ出力処理部 101終了時の動作)
ログ出力処理部 101の署名生成部 1013は、稼動終了時 (ログ出力処理部 101を プログラムで構成する場合は、プログラム終了時)に、ディスク 112上の最新のログレ コード (最後にディスク 112に格納されたレコード)に署名を付与するように構成する。
UNIX (登録商標)においては、プロセス終了時に SIGTERMシグナルを受けるこ とが一般的であるため、 SIGTERMシグナルハンドラの中にこのような処理を含める よう構成することで、具体的に実現することができる。
[0098] これにより、ログ出力装置 100が停止中であっても、稼動停止の時間帯に、署名で 守られないレコードがディスク上に放置されるケースを無くすことができる。
[0099] (ログ出力処理部 101起動時の動作)
ログ出力処理部 101のデータ検査部 1017は、ログ出力処理部 101の起動時 (ログ 出力処理部 101をプログラムで構成する場合は、プログラム起動時)に、ディスク 112 上の最新ログレコードを参照し、署名が付与されていない場合、最後の署名の後に 記録されたログレコードは信用できない(ログ内に署名レコードがーつも無い場合は、 ログ全てが信用できない)旨のアラートをログに記録するよう構成する。
[0100] これにより、署名が付けられて 、な 、状態で改竄されたログを信用してしまうケース
を防ぐことができる。
[0101] 以上のように、本実施の形態では、稼動終了時に、ディスク上の最後のログレコード に署名を付けるログ出力装置について説明した。
また、本実施の形態では、起動時に、ディスク上の最後のログレコードに署名が付 与されて 、な 、場合、最後の署名の後に記録されたレコードは信用できな 、ことを口 グに記録するログ出力装置について説明した。
[0102] 実施の形態 6.
(ハッシュツリーとの組み合わせによる、改竄された可能性のある箇所の限定) 本実施の形態では、ディスク上のログが改竄された場合、改竄された可能性のある 場所をできるだけ限定するための実施の形態について述べる。
ノ、ッシュチェーンを用いたログの検証方法は、実施の形態 1や図 4に示した通り、レ コードのハッシュ部 12が改竄されてしまうと、同一署名ブロックの中で、その該当レコ ードより古いレコードは、実際に改竄されていなくても、検証できないため、信用でき ないと判定せざるを得ない。
従って、検知できない改竄を防ぐという第一の目的は達成しているものの、署名レコ ード或いはその近傍のレコードのハッシュ部 12が改竄されると、ログ全体或いは大部 分が信用できない場合がある。
本実施の形態では、レコードをハッシュチェーンのみならず、ハッシュツリーと呼ば れるリンク方法も同時に組み合わせてリンクすることにより、ログが改竄された場合、 改竄された可能性のある範囲をできるだけ限定することができる構成について説明 する。
[0103] (ハッシュツリーの構造)
図 9は、複数ログレコードからなる署名ブロック 2に、ノ、ッシュツリーを施した状態を 示す図である。ノ、ッシュチェーンも同時に形成されている力 図が煩雑になるため、 ノ、ッシュツリーによるリンク構成のみ示している。
一段目のデータハッシュ(DH1) 50は、各レコードのデータ部 11のハッシュである。 さらに一段目のデータハッシュ(DH1) 50を一定個数(図では 3個)合わせたデータ のハッシュを取ったもの力 二段目のデータハッシュ(DH2) 51である。
同様に、二段目のデータハッシュ (DH2) 51を一定個数(図では同じく 3個)合わせ たデータのハッシュを取ったもの力 三段目のデータハッシュ(DH3) 52である。 図 9では、三段目のデータハッシュまでしか図示していないが、レコードが増えるに つれ、四段目、五段目のデータハッシュが必要となることは言うまでも無い。
[0104] なお、署名を付ける場合は、最上段のデータハッシュ群を合わせたものに対して署 名を付けるよう構成する。また、図 9に示すレコードの下から 2つ分のように、一定個数 (図では 3個)に達しない半端なレコードが存在する場合は、一定個数に達していなく とも一つ上位のデータハッシュを生成し、署名 60を付ける際に、最上段のデータハツ シュ群に加え、半端なレコードをまとめたハッシュも加えた上で署名を付けるように構 成する。
[0105] 本実施の形態におけるログ出力装置 100の構成は図 2に示したものと同様であり、 また、ログ出力処理部 101の構成も図 3に示したものと同様である。
但し、本実施の形態では、ログ出力処理部 101のハッシュ値生成部 1012は、図 9 に示すように、複数個のデータハッシュ(DH) (第一のハッシュ値)から上位のデータ ハッシュ(DH) (上位ハッシュ値)を生成し、複数個の上位のデータハッシュ(DH)か ら更なる上位のデータハッシュ(更なる上位ハッシュ値)を生成して、複数階層にわた る上位のデータハッシュ(DH)を生成する。
また、本実施の形態では、ログ出力処理部 101の署名生成部 1013は、ノ、ッシュ値 生成部 1012により生成された上位のデータハッシュ(DH)のうち最上位のデータハ ッシュ(DH)を用いて署名を生成する。
[0106] (ハッシュツリーの検証)
次に、上記構造で作成されたハッシュツリーの検証につ!ヽて説明する。 まず、ログ出力装置 100からログを取得したログ収集管理システムでは、ログ出力 装置 100の公開鍵で署名を復号し、最上位ノードのハッシュ群を合わせたものと比較 する。つまり、最上位のデータハッシュ群を合わせたものと復号した署名力も抽出さ れたデータハッシュとを比較する。両者が一致すれば、さらに各々の最上位ノードの データハッシュを、一段下のノードのハッシュ群を合わせたもののハッシュと比較する 。このような比較を最下段のノードに達するまで繰り返し、全て一致していれば、ハツ
シュ部分の改竄がな 、ことを証明できる。
次に、各レコードごとにデータ部 11のノ、ッシュを計算し、各々対応する一段目のデ ータハッシュと比較することにより、データ部 11の改竄の有無を検知することができる
ここで、ノ、ッシュ部分に改竄があると、改竄があったノードの下位にぶら下がるレコ ード群のデータは、全て信用できないことになる。
例えば、図 9で三段目のデータハッシュのうち一番上にあるものが正しいものの(三 段目のデータハッシュと復号した署名力 抽出されたデータハッシュとが一致するも のの)、それに対応する二段目のデータハッシュ群を合わせたもののハッシュと一致 しない場合、それ以下のノード(図 9では上から 9レコード分)は、信用できないことに なる。
[0107] (ハッシュチェーンとハッシュツリーを組み合わせることによる効果)
以上説明したハッシュチェーンとハッシュツリーを組み合わせることによる効果を、 以下に説明する。
ノ、ッシュチェーンのみでは、先に述べた通り、署名レコード或いはその近傍のレコ ードのハッシュ部 12が改竄されると、信用できないレコードが大部分を占めてしまうと いう問題があることに触れた力 このような場合でも、ノ、ッシュツリーのハッシュ部(ハツ シュツリーのハッシュ部とは、 DH1、 DH2、 DH3をいう)が改竄されていなければ、 全レコードの検証を行うことができる。その逆(ハッシュツリーのハッシュ部の一部が改 竄されていても、ハッシュチェーンのハッシュ部(ノヽッシュチェーンのハッシュ部とは D HI及び LHをいう)が改竄されていない)の場合でも、全レコードの検証を行うことが できる。
また、ハッシュツリーのハッシュ部とハッシュチェーンのハッシュ部が同時に改竄さ れていたとしても、それがツリーの下位に近い方であれば、検証できる範囲は広く残 されており、ノ、ッシュチェーンで検証できない部分を検証可能とすることができるとい う効果を得ることができる。
[0108] 以上のように、本実施の形態では、ノ、ッシュチェーンのみならず、ノ、ッシュを階層的 にもリンクしながらディスクにレコードを出力し、署名のタイミングで、ツリーの最上位ノ
ードのハッシュ群にも署名を付けるログ出力装置について説明した。
[0109] なお、以上の実施の形態 1 6に示したログ出力装置 100、ログ出力処理部 101は 、例えば、コンテンツ流通システムや、企業情報システムにおいて求められるログの 完全性確保を、現実的な処理負荷、データ量で実現することを目的とした用途に有 用である。
[0110] なお、以上の実施の形態 1 6では、ログデータを例にして説明した力 ログデータ に限らず、逐次出力されるデータであれば実施の形態 1 6に示したログ出力装置は 適用可能である。
図面の簡単な説明
[0111] [図 1]この発明の実施の形態 1 5によるログ出力装置が出力するログの形式を示す ブロック図。
[図 2]この発明の実施の形態 1 5によるログ出力装置の構成例を示すブロック図。
[図 3]この発明の実施の形態 1によるログ出力処理部の内部構成例を示すブロック図
[図 4]図 1の形式で出力されたログの完全性を検証するためのフローチャート図。
[図 5]実施の形態 1によるログ出力処理部 101のログ出力時の動作例を示すフローチ ヤート図。
[図 6]実施の形態 1によるログ出力処理部 101の署名付与時の動作例を示すフロー チャート図。
[図 7]実施の形態 1によるログ出力処理部 101のログ出力時の動作例を示すフローチ ヤート図。
[図 8]この発明の実施の形態 5によるログ出力処理部の内部構成例を示すブロック図
[図 9]この発明の実施の形態 6によるログ出力装置が出力するログの形式を示すプロ ック図。
[図 10]この発明の実施の形態 1 6によるログ出力装置のハードウェア構成例を示す ブロック図。 符号の説明
100 ログ出力装置、 101 ログ出力処理部、 102 最新ハッシュ記憶部、 103 署 名要求部、 104 秘密鍵保持部、 105 公開鍵保持部、 106 耐タンパ一装置、 110 ログ出力ライブラリ、 111 アプリケーション、 1011 ハッシュ値比較部、 1012 ハツ シュ値生成部、 1013 署名生成部、 1014 データ格納部、 1015 ハッシュ値複製 格納部、 1016 改竄検出レポート生成部、 1017 データ検査部。
Claims
[1] 第一の記憶装置と第二の記憶装置とを用い、逐次出力されるデータにハッシュ値 を付加し、ハッシュ値が付加されたデータを前記第二の記憶装置に格納するデータ 処理システムであって、
前記第二の記憶装置にデータが格納される度に、前記第二の記憶装置に格納さ れる格納データに付加されて 、る、前記格納データ力も生成された第一のハッシュ 値と前記格納データの前に格納されたデータのハッシュ値から生成された第二のハ ッシュ値とを複製し、第一のハッシュ値と第二のハッシュ値の複製を前記第一の記憶 装置に格納するハッシュ値複製格納部と、
新たなデータが出力された際に、前記第二の記憶装置に最後に格納された最後尾 データに付加されて 、る最後尾の第一のハッシュ値及び第二のハッシュ値と、前記 第一の記憶装置に格納されている前記最後尾の第一のハッシュ値及び第二のハツ シュ値の複製とを比較するハッシュ値比較部と、
前記ハッシュ値比較部により前記最後尾の第一のハッシュ値及び第二のハッシュ 値と前記最後尾の第一のハッシュ値及び第二のハッシュ値の複製とがー致すると判 断された場合に、前記新たなデータ力 新たな第一のハッシュ値を生成するとともに 、前記最後尾の第一のノ、ッシュ値及び第二のハッシュ値力 新たな第二のハッシュ 値を生成するハッシュ値生成部と、
前記ハッシュ値生成部により生成された前記新たな第一のハッシュ値と前記新たな 第二のノ、ッシュ値とを前記新たなデータに付加し、前記新たな第一のハッシュ値と前 記新たな第二のハッシュ値とが付加された前記新たなデータを前記第二の記憶装置 に格納するデータ格納部とを有することを特徴とするデータ処理システム。
[2] 前記ハッシュ値生成部は、
前記ハッシュ値比較部により前記最後尾の第一のハッシュ値及び第二のハッシュ 値と前記最後尾の第一のノ、ッシュ値及び第二のハッシュ値の複製とがー致しないと 判断された場合に、前記新たなデータ力 新たな第一のハッシュ値を生成するととも に、前記最後尾の第一のハッシュ値及び第二のノ、ッシュ値以外の値力 新たな第二 のハッシュ値を生成することを特徴とする請求項 1に記載のデータ処理システム。
[3] 前記データ処理システムは、更に、
前記ハッシュ値比較部により前記最後尾の第一のハッシュ値及び第二のハッシュ 値と前記最後尾の第一のノ、ッシュ値及び第二のハッシュ値の複製とがー致しないと 判断された場合に、前記最後尾データにおける改竄を通知する改竄検出レポートを 生成する改竄検出レポート生成部を有することを特徴とする請求項 1に記載のデータ 処理システム。
[4] 前記ハッシュ値複製格納部は、
前記第一の記憶装置として、耐タンパ一装置に前記第一のハッシュ値と第二のハツ シュ値の複製を格納することを特徴とする請求項 1に記載のデータ処理システム。
[5] 前記データ処理システムは、更に、
複数のデータの中の特定のデータに対して署名を生成し、生成した署名を前記特 定のデータにのみ付加する署名生成部を有することを特徴とする請求項 1に記載の データ処理システム。
[6] 前記署名生成部は、
一定のデータ間隔ごとに、署名を生成することを特徴とする請求項 5に記載のデー タ処理システム。
[7] 前記署名生成部は、
一定の時間間隔ごとに、署名を生成することを特徴とする請求項 5に記載のデータ 処理システム。
[8] 前記署名生成部は、
前記データ処理システムを利用するアプリケーションプログラムからの指示に基づき 、署名を生成することを特徴とする請求項 5に記載のデータ処理システム。
[9] 前記署名生成部は、
前記データ処理システムの外部から前記第二の記憶装置に格納されているデータ に対する転送要求があった際に、署名を生成することを特徴とする請求項 5に記載の データ処理システム。
[10] 前記署名生成部は、
前記データ処理システムを利用する利用者力もの指示に基づき、署名を生成する
ことを特徴とする請求項 5に記載のデータ処理システム。
[11] 前記署名生成部は、
前記データ処理システムの IDS (侵入検知システム) /IPS (侵入防止システム)が 不正侵入を検知した際に、署名を生成することを特徴とする請求項 5に記載のデータ 処理システム。
[12] 前記署名生成部は、
前記データ処理システムが稼動を終了する際に、最後に出力されたデータに対す る署名を生成することを特徴とする請求項 5に記載のデータ処理システム。
[13] 前記データ処理システムは、更に、
前記データ処理システムの起動時に、前記第二の記憶装置に格納されて 、るデ一 タを検査し、署名が付加されている最後のデータより後に格納されたデータが存在す る場合に、署名が付加されている最後のデータより後に格納されたデータが存在す ることを通知するァラートを生成するデータ検査部とを有することを特徴とする請求項
12に記載のデータ処理システム。
[14] 前記ハッシュ値生成部は、
複数個の第一のハッシュ値力も上位ハッシュ値を生成し、複数個の上位ハッシュ値 カも更なる上位ハッシュ値を生成して、複数階層にわたる上位ハッシュ値を生成する ことを特徴とする請求項 1に記載のデータ処理システム。
[15] 前記データ処理システムは、
前記ハッシュ値生成部により生成された上位ハッシュ値のうち最上位の上位ハツシ ュ値を用いて署名を生成する署名生成部を有することを特徴とする請求項 14に記載 のデータ処理システム。
[16] 第一の記憶装置と第二の記憶装置とを用い、逐次出力されるデータにハッシュ値 を付加し、ハッシュ値が付加されたデータを前記第二の記憶装置に格納するデータ 処理方法であって、
前記第二の記憶装置にデータが格納される度に、前記第二の記憶装置に格納さ れる格納データに付加されて 、る、前記格納データ力も生成された第一のハッシュ 値と前記格納データの前に格納されたデータのハッシュ値から生成された第二のハ
ッシュ値とを複製し、第一のハッシュ値と第二のハッシュ値の複製を前記第一の記憶 装置に格納し、
新たなデータが出力された際に、前記第二の記憶装置に最後に格納された最後尾 データに付加されて 、る最後尾の第一のハッシュ値及び第二のハッシュ値と、前記 第一の記憶装置に格納されている前記最後尾の第一のハッシュ値及び第二のハツ シュ値の複製とを比較し、
前記最後尾の第一のノ、ッシュ値及び第二のハッシュ値と前記最後尾の第一のハツ シュ値及び第二のハッシュ値の複製とがー致すると判断された場合に、前記新たな データ力も新たな第一のハッシュ値を生成するとともに、前記最後尾の第一のノ、ッシ ュ値及び第二のノ、ッシュ値力も新たな第二のハッシュ値を生成し、
生成した前記新たな第一のノ、ッシュ値と前記新たな第二のハッシュ値とを前記新た なデータに付加し、前記新たな第一のハッシュ値と前記新たな第二のノ、ッシュ値とが 付加された前記新たなデータを前記第二の記憶装置に格納することを特徴とするデ ータ処理方法。
第一の記憶装置と第二の記憶装置とを有するコンピュータに、逐次出力されるデー タにハッシュ値を付加させ、ノ、ッシュ値が付加されたデータを前記第二の記憶装置に 格納させるプログラムであって、
前記第二の記憶装置にデータが格納される度に、前記第二の記憶装置に格納さ れる格納データに付加されて 、る、前記格納データ力も生成された第一のハッシュ 値と前記格納データの前に格納されたデータのハッシュ値から生成された第二のハ ッシュ値とを複製し、第一のハッシュ値と第二のハッシュ値の複製を前記第一の記憶 装置に格納するハッシュ値複製格納処理と、
新たなデータが出力された際に、前記第二の記憶装置に最後に格納された最後尾 データに付加されて 、る最後尾の第一のハッシュ値及び第二のハッシュ値と、前記 第一の記憶装置に格納されている前記最後尾の第一のハッシュ値及び第二のハツ シュ値の複製とを比較するハッシュ値比較処理と、
前記ハッシュ値比較処理により前記最後尾の第一のハッシュ値及び第二のハツシ ュ値と前記最後尾の第一のハッシュ値及び第二のハッシュ値の複製とがー致すると
判断された場合に、前記新たなデータ力 新たな第一のハッシュ値を生成するととも に、前記最後尾の第一のハッシュ値及び第二のノ、ッシュ値力ら新たな第二のノ、ッシ ュ値を生成するハッシュ値生成処理と、
前記ハッシュ値生成処理により生成された前記新たな第一のハッシュ値と前記新た な第二のハッシュ値とを前記新たなデータに付加し、前記新たな第一のハッシュ値と 前記新たな第二のハッシュ値とが付加された前記新たなデータを前記第二の記憶装 置に格納するデータ格納処理とをコンピュータに実行させることを特徴とするプロダラ ム。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008531898A JPWO2008026238A1 (ja) | 2006-08-28 | 2006-08-28 | データ処理システム及びデータ処理方法及びプログラム |
| CNA200680055594XA CN101507178A (zh) | 2006-08-28 | 2006-08-28 | 数据处理系统、数据处理方法以及程序 |
| US12/374,821 US20090328218A1 (en) | 2006-08-28 | 2006-08-28 | Data processing system, data processing method, and program |
| PCT/JP2006/316847 WO2008026238A1 (fr) | 2006-08-28 | 2006-08-28 | Système de traitement de données, procédé de traitement de données, et programme |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2006/316847 WO2008026238A1 (fr) | 2006-08-28 | 2006-08-28 | Système de traitement de données, procédé de traitement de données, et programme |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2008026238A1 true WO2008026238A1 (fr) | 2008-03-06 |
Family
ID=39135530
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2006/316847 WO2008026238A1 (fr) | 2006-08-28 | 2006-08-28 | Système de traitement de données, procédé de traitement de données, et programme |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20090328218A1 (ja) |
| JP (1) | JPWO2008026238A1 (ja) |
| CN (1) | CN101507178A (ja) |
| WO (1) | WO2008026238A1 (ja) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010102258A (ja) * | 2008-10-27 | 2010-05-06 | Digion Inc | 録音システム、録音方法及びプログラム |
| WO2010097942A1 (ja) * | 2009-02-27 | 2010-09-02 | 富士通株式会社 | 電子署名プログラム、電子署名装置、および電子署名方法 |
| WO2013054701A1 (ja) * | 2011-10-14 | 2013-04-18 | 株式会社日立製作所 | データの真正性保証方法、管理計算機及び記憶媒体 |
| JP2015508208A (ja) * | 2012-11-02 | 2015-03-16 | フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー | コンピュータ・システムのイベント・プロトコル・データの保護された預託のための方法、コンピュータ・プログラム・プロダクトおよびコンピュータ・システム |
| JP2015079404A (ja) * | 2013-10-18 | 2015-04-23 | 株式会社日立製作所 | 不正検知方法 |
| JPWO2016116999A1 (ja) * | 2015-01-19 | 2017-04-27 | 三菱電機株式会社 | パケット送信装置、パケット受信装置、パケット送信プログラムおよびパケット受信プログラム |
| JP2019193083A (ja) * | 2018-04-24 | 2019-10-31 | 日本電信電話株式会社 | 検知システムおよび検知方法 |
| JP2020154690A (ja) * | 2019-03-20 | 2020-09-24 | 株式会社リコー | ネットワーク機器、ログ記録方法、プログラム、およびログ記録システム |
| JP2020202442A (ja) * | 2019-06-06 | 2020-12-17 | 株式会社ワイビーエム | ハッシュチェーン利用データ非改ざん証明システム及びそのためのデータ管理装置 |
| JP2021061576A (ja) * | 2019-10-08 | 2021-04-15 | グラビティ株式会社 | データ管理システム、データ管理方法、データ管理装置、及びデータ管理プログラム |
| US10997008B2 (en) | 2017-09-25 | 2021-05-04 | Mitsubishi Electric Corporation | Controller and control system that manages event occurrence history utilizing a flash chain of event history data |
| EP3901801A1 (en) | 2020-04-20 | 2021-10-27 | Hitachi, Ltd. | Digital signature management method and digital signature management system |
| US20220058295A1 (en) * | 2020-08-20 | 2022-02-24 | Micron Technology, Inc. | Safety and security for memory |
| JP2022540959A (ja) * | 2019-08-01 | 2022-09-20 | ブルーム・テクノロジー・インコーポレイテッド | 元帳の証明可能プルーニングシステム |
| WO2023013446A1 (ja) * | 2021-08-03 | 2023-02-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 検証方法、サーバ、及び、プログラム |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7949666B2 (en) | 2004-07-09 | 2011-05-24 | Ricoh, Ltd. | Synchronizing distributed work through document logs |
| US8479004B2 (en) | 2006-08-31 | 2013-07-02 | Ricoh Co., Ltd | Paper-based document logging |
| US8006094B2 (en) | 2007-02-21 | 2011-08-23 | Ricoh Co., Ltd. | Trustworthy timestamps and certifiable clocks using logs linked by cryptographic hashes |
| US8996483B2 (en) | 2007-03-28 | 2015-03-31 | Ricoh Co., Ltd. | Method and apparatus for recording associations with logs |
| CN101299849B (zh) * | 2008-04-25 | 2010-05-12 | 中兴通讯股份有限公司 | 一种WiMAX终端及其启动方法 |
| US8185733B2 (en) * | 2008-10-02 | 2012-05-22 | Ricoh Co., Ltd. | Method and apparatus for automatically publishing content based identifiers |
| US8370689B2 (en) * | 2010-05-06 | 2013-02-05 | Utc Fire & Security Americas Corporation, Inc. | Methods and system for verifying memory device integrity |
| US8335951B2 (en) | 2010-05-06 | 2012-12-18 | Utc Fire & Security Americas Corporation, Inc. | Methods and system for verifying memory device integrity |
| US10129275B2 (en) | 2013-05-16 | 2018-11-13 | Nippon Telegraph And Telephone Corporation | Information processing system and information processing method |
| US9880983B2 (en) * | 2013-06-04 | 2018-01-30 | X1 Discovery, Inc. | Methods and systems for uniquely identifying digital content for eDiscovery |
| JP6194221B2 (ja) * | 2013-10-08 | 2017-09-06 | 任天堂株式会社 | 情報処理システム、情報処理装置、情報処理プログラム、およびセーブデータの記憶方法 |
| US10515231B2 (en) * | 2013-11-08 | 2019-12-24 | Symcor Inc. | Method of obfuscating relationships between data in database tables |
| US10346550B1 (en) | 2014-08-28 | 2019-07-09 | X1 Discovery, Inc. | Methods and systems for searching and indexing virtual environments |
| FR3030163B1 (fr) * | 2014-12-12 | 2016-12-30 | Oberthur Card Systems S A Regional Operating Headquarters | Procede de generation d’un fichier journal |
| KR102309203B1 (ko) * | 2015-04-23 | 2021-10-05 | 매그나칩 반도체 유한회사 | 반도체 칩의 위변조 방지 회로 및 방법 |
| US10613777B2 (en) | 2015-05-13 | 2020-04-07 | Bank Of America Corporation | Ensuring information security in data transfers by utilizing decoy data |
| US10326588B2 (en) | 2015-05-13 | 2019-06-18 | Bank Of America Corporation | Ensuring information security in data transfers by dividing and encrypting data blocks |
| US9811279B2 (en) * | 2015-05-13 | 2017-11-07 | Bank Of America Corporation | Securing physical-storage-media data transfers |
| US10193696B2 (en) * | 2015-06-02 | 2019-01-29 | ALTR Solutions, Inc. | Using a tree structure to segment and distribute records across one or more decentralized, acylic graphs of cryptographic hash pointers |
| FR3043482B1 (fr) * | 2015-11-06 | 2018-09-21 | Ingenico Group | Procede d'enregistrement securise de donnees, dispositif et programme correspondants |
| JP6647855B2 (ja) * | 2015-12-22 | 2020-02-14 | 任天堂株式会社 | データ交換システム、情報処理装置、データ交換プログラムおよびデータ交換方法 |
| GB2548851B (en) * | 2016-03-30 | 2018-07-25 | The Ascent Group Ltd | Validation of the integrity of data |
| US11018870B2 (en) * | 2017-08-10 | 2021-05-25 | Visa International Service Association | Biometric verification process using certification token |
| US10740499B2 (en) | 2018-03-12 | 2020-08-11 | Nuvoton Technology Corporation | Active shield portion serving as serial keypad |
| CN108809942A (zh) * | 2018-05-10 | 2018-11-13 | 山东恒云信息科技有限公司 | 云服务环境中对日志取证实现数据完整性验证的方法 |
| US11003653B2 (en) * | 2018-05-31 | 2021-05-11 | Intuit Inc. | Method and system for secure digital documentation of subjects using hash chains |
| US11144631B2 (en) | 2018-09-11 | 2021-10-12 | Apple Inc. | Dynamic switching between pointer authentication regimes |
| CN109299763B (zh) * | 2018-10-17 | 2021-11-02 | 国网江苏省电力有限公司无锡供电分公司 | 基于rfid密钥链的纸质涉密载体防篡改伪造方法 |
| US11240039B2 (en) * | 2019-06-28 | 2022-02-01 | Intel Corporation | Message index aware multi-hash accelerator for post quantum cryptography secure hash-based signing and verification |
| JP7395893B2 (ja) * | 2019-09-12 | 2023-12-12 | 富士フイルムビジネスイノベーション株式会社 | 機器及びプログラム |
| US11734012B2 (en) * | 2021-03-31 | 2023-08-22 | Bmc Software, Inc. | Systems and methods for efficient transfer of log data |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1139219A (ja) * | 1997-07-18 | 1999-02-12 | Fuji Xerox Co Ltd | 被検証データ生成装置、データ検証装置及び被検証データ生成プログラムを記録した媒体 |
| JP2001519930A (ja) * | 1998-02-04 | 2001-10-23 | サンマイクロシステムズ インコーポレーテッド | 階層型ハッシュを用いた効率的な認証及び完全性検査の方法及びその装置 |
| JP2002082834A (ja) * | 2000-09-07 | 2002-03-22 | Toshiba Corp | 履歴管理用の記憶媒体及びicカード |
| JP2002335241A (ja) * | 2001-03-22 | 2002-11-22 | Hitachi Ltd | 暗号化署名付きデジタルデータの有効性を回復する方法とシステム |
| WO2004068350A1 (ja) * | 2003-01-30 | 2004-08-12 | Fujitsu Limited | データ改ざん検出方法、データ改ざん検出装置及びデータ改ざん検出プログラム |
| JP2004304338A (ja) * | 2003-03-28 | 2004-10-28 | Ntt Data Corp | データ登録システム、データ登録方法及びプログラム |
| JP2005149011A (ja) * | 2003-11-13 | 2005-06-09 | Nippon Telegr & Teleph Corp <Ntt> | データ処理装置および履歴検証方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4014962B2 (ja) * | 2002-08-05 | 2007-11-28 | 株式会社熊谷組 | シールド掘進機、及び、カッタービットの交換方法 |
| JP4460251B2 (ja) * | 2003-09-19 | 2010-05-12 | 株式会社エヌ・ティ・ティ・ドコモ | 構造化文書署名装置、構造化文書適応化装置及び構造化文書検証装置。 |
| US20060031352A1 (en) * | 2004-05-12 | 2006-02-09 | Justin Marston | Tamper-proof electronic messaging |
| JP4776906B2 (ja) * | 2004-10-05 | 2011-09-21 | キヤノン株式会社 | 署名生成方法及び情報処理装置 |
| US8190915B2 (en) * | 2006-06-14 | 2012-05-29 | Oracle International Corporation | Method and apparatus for detecting data tampering within a database |
-
2006
- 2006-08-28 US US12/374,821 patent/US20090328218A1/en not_active Abandoned
- 2006-08-28 WO PCT/JP2006/316847 patent/WO2008026238A1/ja active Application Filing
- 2006-08-28 JP JP2008531898A patent/JPWO2008026238A1/ja active Pending
- 2006-08-28 CN CNA200680055594XA patent/CN101507178A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1139219A (ja) * | 1997-07-18 | 1999-02-12 | Fuji Xerox Co Ltd | 被検証データ生成装置、データ検証装置及び被検証データ生成プログラムを記録した媒体 |
| JP2001519930A (ja) * | 1998-02-04 | 2001-10-23 | サンマイクロシステムズ インコーポレーテッド | 階層型ハッシュを用いた効率的な認証及び完全性検査の方法及びその装置 |
| JP2002082834A (ja) * | 2000-09-07 | 2002-03-22 | Toshiba Corp | 履歴管理用の記憶媒体及びicカード |
| JP2002335241A (ja) * | 2001-03-22 | 2002-11-22 | Hitachi Ltd | 暗号化署名付きデジタルデータの有効性を回復する方法とシステム |
| WO2004068350A1 (ja) * | 2003-01-30 | 2004-08-12 | Fujitsu Limited | データ改ざん検出方法、データ改ざん検出装置及びデータ改ざん検出プログラム |
| JP2004304338A (ja) * | 2003-03-28 | 2004-10-28 | Ntt Data Corp | データ登録システム、データ登録方法及びプログラム |
| JP2005149011A (ja) * | 2003-11-13 | 2005-06-09 | Nippon Telegr & Teleph Corp <Ntt> | データ処理装置および履歴検証方法 |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010102258A (ja) * | 2008-10-27 | 2010-05-06 | Digion Inc | 録音システム、録音方法及びプログラム |
| EP2402882A4 (en) * | 2009-02-27 | 2014-09-17 | Fujitsu Ltd | PROGRAM, DEVICE AND METHOD FOR ELECTRONIC SIGNATURE |
| EP2402882A1 (en) * | 2009-02-27 | 2012-01-04 | Fujitsu Limited | Electronic signature program, electronic signature device, and electronic signature method |
| JP5174233B2 (ja) * | 2009-02-27 | 2013-04-03 | 富士通株式会社 | 電子署名プログラム、電子署名装置、および電子署名方法 |
| WO2010097942A1 (ja) * | 2009-02-27 | 2010-09-02 | 富士通株式会社 | 電子署名プログラム、電子署名装置、および電子署名方法 |
| US8566597B2 (en) | 2009-02-27 | 2013-10-22 | Fujitsu Limited | Digital signature program, digital signature apparatus, and digital signature method |
| JPWO2013054701A1 (ja) * | 2011-10-14 | 2015-03-30 | 株式会社日立製作所 | データの真正性保証方法、管理計算機及び記憶媒体 |
| JP2015180097A (ja) * | 2011-10-14 | 2015-10-08 | 株式会社日立製作所 | データの署名生成方法、データの署名検証方法及び管理計算機 |
| US9419804B2 (en) | 2011-10-14 | 2016-08-16 | Hitachi, Ltd. | Data authenticity assurance method, management computer, and storage medium |
| WO2013054701A1 (ja) * | 2011-10-14 | 2013-04-18 | 株式会社日立製作所 | データの真正性保証方法、管理計算機及び記憶媒体 |
| JP2015508208A (ja) * | 2012-11-02 | 2015-03-16 | フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー | コンピュータ・システムのイベント・プロトコル・データの保護された預託のための方法、コンピュータ・プログラム・プロダクトおよびコンピュータ・システム |
| US9473508B2 (en) | 2012-11-02 | 2016-10-18 | Fujitsu Technology Solutions Intellectual Property Gmbh | Method for the protected deposit of event protocol data of a computer system, computer program product and computer system |
| JP2015079404A (ja) * | 2013-10-18 | 2015-04-23 | 株式会社日立製作所 | 不正検知方法 |
| JPWO2016116999A1 (ja) * | 2015-01-19 | 2017-04-27 | 三菱電機株式会社 | パケット送信装置、パケット受信装置、パケット送信プログラムおよびパケット受信プログラム |
| US10997008B2 (en) | 2017-09-25 | 2021-05-04 | Mitsubishi Electric Corporation | Controller and control system that manages event occurrence history utilizing a flash chain of event history data |
| JP2019193083A (ja) * | 2018-04-24 | 2019-10-31 | 日本電信電話株式会社 | 検知システムおよび検知方法 |
| WO2019208524A1 (ja) * | 2018-04-24 | 2019-10-31 | 日本電信電話株式会社 | 検知システムおよび検知方法 |
| JP7119537B2 (ja) | 2018-04-24 | 2022-08-17 | 日本電信電話株式会社 | 検知システムおよび検知方法 |
| JP2020154690A (ja) * | 2019-03-20 | 2020-09-24 | 株式会社リコー | ネットワーク機器、ログ記録方法、プログラム、およびログ記録システム |
| JP7279439B2 (ja) | 2019-03-20 | 2023-05-23 | 株式会社リコー | ネットワーク機器、ログ記録方法、およびプログラム |
| JP2020202442A (ja) * | 2019-06-06 | 2020-12-17 | 株式会社ワイビーエム | ハッシュチェーン利用データ非改ざん証明システム及びそのためのデータ管理装置 |
| JP7277912B2 (ja) | 2019-06-06 | 2023-05-19 | 株式会社ワイビーエム | ハッシュチェーン利用データ非改ざん証明システム及びそのためのデータ管理装置 |
| JP2022540959A (ja) * | 2019-08-01 | 2022-09-20 | ブルーム・テクノロジー・インコーポレイテッド | 元帳の証明可能プルーニングシステム |
| JP7289983B2 (ja) | 2019-08-01 | 2023-06-12 | ブルーム・テクノロジー・インコーポレイテッド | 元帳の証明可能プルーニングシステム |
| JP2021061576A (ja) * | 2019-10-08 | 2021-04-15 | グラビティ株式会社 | データ管理システム、データ管理方法、データ管理装置、及びデータ管理プログラム |
| EP3901801A1 (en) | 2020-04-20 | 2021-10-27 | Hitachi, Ltd. | Digital signature management method and digital signature management system |
| US20220058295A1 (en) * | 2020-08-20 | 2022-02-24 | Micron Technology, Inc. | Safety and security for memory |
| WO2023013446A1 (ja) * | 2021-08-03 | 2023-02-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 検証方法、サーバ、及び、プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2008026238A1 (ja) | 2010-01-14 |
| CN101507178A (zh) | 2009-08-12 |
| US20090328218A1 (en) | 2009-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2008026238A1 (fr) | Système de traitement de données, procédé de traitement de données, et programme | |
| JP3272283B2 (ja) | 電子データ保管装置 | |
| JP2006511877A (ja) | ソフトウェアの改ざんを事前に対処することによって検出するためのシステムおよび方法 | |
| US10089497B2 (en) | Event log tamper detection | |
| JP5320378B2 (ja) | 物理的な近接性を検証する時間の近接性 | |
| US8539605B2 (en) | Data processing device and data processing method | |
| JP2008299494A (ja) | コンテンツデータ管理システム及び方法 | |
| US20070294205A1 (en) | Method and apparatus for detecting data tampering within a database | |
| CN109522747A (zh) | 一种基于区块链的防篡改日志记录系统及方法 | |
| US20080313475A1 (en) | Methods and systems for tamper resistant files | |
| JP5255991B2 (ja) | 情報処理装置、及びコンピュータプログラム | |
| WO2019210471A1 (zh) | 一种数据调用方法及数据调用装置 | |
| JPWO2004068350A1 (ja) | データ改ざん検出方法、データ改ざん検出装置及びデータ改ざん検出プログラム | |
| JP4553660B2 (ja) | プログラム実行装置 | |
| JP4753819B2 (ja) | 電磁的記録の証拠能力及び/又は証拠価値を高める情報処理方法、プログラム及び装置 | |
| US11295031B2 (en) | Event log tamper resistance | |
| JP2004086588A (ja) | ソフトウェア不正使用防止システム | |
| JP4299635B2 (ja) | 個人認証方法および書き込み制御方法 | |
| JP4898823B2 (ja) | アプリケーション情報改竄監視装置及び方法 | |
| CN114462998A (zh) | 一种日志防篡改方法、系统及存储介质 | |
| JP4862619B2 (ja) | ログ管理方式及びログ管理方法 | |
| US11163909B2 (en) | Using multiple signatures on a signed log | |
| TWI788682B (zh) | 透過第三方區塊鏈進行保單存證與驗證之系統及方法 | |
| JP7012922B2 (ja) | 認証子管理装置、認証子管理プログラム及び認証子管理方法 | |
| JP7056446B2 (ja) | 情報処理装置、情報処理システム及び情報処理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WWE | Wipo information: entry into national phase |
Ref document number: 200680055594.X Country of ref document: CN |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 06796881 Country of ref document: EP Kind code of ref document: A1 |
|
| ENP | Entry into the national phase |
Ref document number: 2008531898 Country of ref document: JP Kind code of ref document: A |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 12374821 Country of ref document: US |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| NENP | Non-entry into the national phase |
Ref country code: RU |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 06796881 Country of ref document: EP Kind code of ref document: A1 |