外部記憶媒体とそれに関連する装置
【課題】 外部記憶媒体に記憶されたデータを保護しつつ、この媒体にアクセスするための特定ソフトウェアを事前にインストールする必要なく、この媒体を介してデータを安全に他のデバイスに転送することができる外部記憶媒体を提供する。
【解決手段】 ユーザデータ記憶ユニット27と、失効条件記憶ユニット24と、タイマ23と、媒体2がコンピュータに接続されているか否かを監視する接続性検出モジュール22と、媒体全体の動作を制御する制御モジュール25とで構成されている。特に、制御モジュール25は、媒体2がコンピュータ1から取り外されていることを接続性検出モジュール22が検出すると同時にタイマ23を作動開始させて、タイマ23によって測定された時間値を失効条件と比較し、それらが合致すると判定される場合には、媒体2に接続された他のコンピュータ3のユーザが、ユーザデータにそれ以後もはや自由にアクセスできないようにするための処理を実行するよう構成されている。
【解決手段】 ユーザデータ記憶ユニット27と、失効条件記憶ユニット24と、タイマ23と、媒体2がコンピュータに接続されているか否かを監視する接続性検出モジュール22と、媒体全体の動作を制御する制御モジュール25とで構成されている。特に、制御モジュール25は、媒体2がコンピュータ1から取り外されていることを接続性検出モジュール22が検出すると同時にタイマ23を作動開始させて、タイマ23によって測定された時間値を失効条件と比較し、それらが合致すると判定される場合には、媒体2に接続された他のコンピュータ3のユーザが、ユーザデータにそれ以後もはや自由にアクセスできないようにするための処理を実行するよう構成されている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、外部記憶媒体、特に、コンピュータに接続することが可能で、アクセス制御などのセキリュティ要件を考慮しながらデータを書き込むことが可能な外部記憶媒体に関する。
【背景技術】
【0002】
データを安全に記憶するための最も一般的なアプローチは、復号鍵を知らない無許可のユーザが記憶されたデータを読み出すことを困難にするために何らかの方式の暗号化を利用することである。ユーザデータを暗号化することが可能な広範な製品が存在する。入手可能な製品は、大まかに2つのカテゴリに分類できる。1つはハードウェアベースのソリューションで、もう1つはソフトウェアベースのソリューションである。
【0003】
まず既存のソフトウェア暗号化ソリューションを手短に紹介する。
【0004】
多数のソフトウェア暗号化ソリューションが存在している。汎用の暗号化ソフトウェア(例えば、PGP社(PGP Corporation)のPGPなど)、リムーバブル・メディア専用のソフトウェア(例えば、ADVCテクノロジー社(ADVS Technologies Inc.)のFlashDriveCryptoなど)あるいは1つの特定モデル専用のソフトウェア(Sandisk社(Sandisk Inc.)のCruzerLockなど)が存在する。後者2つのソフトウェアは、ソフトウェア・ライセンシング・モデル(software licensing model)に主な違いがある。汎用の暗号化ソフトウェアは、媒体が変わるごとに余分な要件が課されることから、利用がより面倒なことがある。
【0005】
Dekart社のプライベートディスク(Dekart Private Disk)というディスク暗号化ソフトウェアは、暗号化イメージをそこに保存することによって、任意の媒体を暗号化する。媒体にアクセスするために必要な実行ファイルは、外部デバイスに記憶することが可能である。他のコンピュータで利用する際に特定のソフトウェアをインストールする必要は全くない。この製品は、マイクロソフト・ウィンドウズ(登録商標)・オペレーティングシステム(Microsoft Windows(登録商標)operating systems)でのみ利用可能である。
【0006】
PGP社は、いくつかある特徴の中で特にファイルを暗号化し復号することが可能ないくつかのソフトウェアツールを提供している。加えて、これらソフトウェアツールは、暗号化データを含む仮想ディスクドライブを提供する。PGP鍵がクレデンシャル(credential:信用証明データ)としてこれらのファイル及びドライブを暗号化し復号するために使用される。暗号化されたユーザデータにアクセスするために各デバイスにPGPソフトウェアがインストールされる必要がある。
【0007】
ハードウェアに実装される暗号化エンジンを少なくとも有している、周知のハードウェア暗号化ソリューションが存在する。
【0008】
一部のものについては、取り外し可能なハードウェアに鍵を記憶させることも可能である。一部の利用可能なソリューションでは、その鍵は指紋のスキャンなどのバイオメトリック(biometric)データに基づいて解除することが可能である。
【0009】
指紋認証を利用してデータを保護する、バイオメトリックUSBキー(USB-key)ドライブなどの、バイオメトリック・ソリューションが存在する。またこれらのソリューションでは、データにアクセスするために追加のソフトウェアをインストールするだけでなくハードウェアも必要である。
【0010】
利用可能なハードウェア・ソリューションは、暗号化データにアクセスすることに関して、特定ソフトウェアをホスト(host)にインストールする必要があったり、あるいはソリューションの実用性に疑問があることなど、異なる不利な点を有している。例えば、あるハードウェア・ソリューションがデータを暗号化するのに追加のハードウェア・トークン(例えば、スマートカード)を必要とする場合、そのハードウェア・ソリューションを利用するためにユーザは恐らくそのトークンを常に手元に置いておかなくてはならない。ユーザがトークンをなくせば、アクセスは不可能になる。
【0011】
外部記憶媒体の利用は、セキリュティの観点から多くの会社が重要だと考えている。ほとんどの場合において、外部記憶媒体におけるデータの暗号化は十分ではあるだろう。しかしながら、このアプローチには現実的な問題が存在する。暗号化データにアクセスするには、媒体が取り付けられたコンピュータ上で特定の暗号化ソフトウェアが実行されなくてはならなかったり、あるいはハードウェア暗号化が利用される場合にはアクセス・クレデンシャル(access credentials)を外部記憶媒体に伝達することが可能な少なくとも特別なソフトウェアが必要とされる。しかしながら、外部記憶媒体を利用したデータ転送の目的だけで追加のソフトウェアをインストールすることは、多くの場合に望ましくなくあるいは非現実的である。このような追加的なインストールは、ユーザにとって不便である、あるいはそれは会社が許容可能と見なすソフトウェア・インストールを規定する社内セキリュティ規定によりまさに望ましくない、もしくは更に禁止される場合がある。それゆえ、従来技術において周知のソフトウェアベース並びにハードウェアベースのソリューションは、克服すべき不都合を伴う。
【0012】
更に、従来技術において周知のソリューションには更なる欠点が存在する。例えば、従来技術において周知の一部のソリューションでは、場合によっては未知のコンピュータ上でパスワードを入力することが求められる。しかしながら、このコンピュータは、このパスワードのログを取っている可能性がある。パスワードの再使用が広範に利用されるため、このことは外部記憶媒体に記憶されたデータのセキリュティを危うくするだけでなく他のデータの情報漏洩にもつながる。それゆえ、未知のしかも場合によっては信頼できないデバイス上でパスワードを入力する必要の全くないソリューションを提供することが望ましい。他方、バイオメトリを利用する外部記憶媒体に対するハードウェアベースの暗号化ソリューションは上述した問題には悩まされることはないだろう。しかしながら、バイオメトリック・センサ及びソフトウェアはハードウェアのコストと媒体サイズを著しく増大させる。更に、生態認証(biometry)は、利害が対立する当事者が関与する状況において、監視下にない環境で利用されるので、それが提供するセキリュティ保障は、比較的低い。このことは、特に低コストのバイオメトリック・センサに当てはまる。
【発明の開示】
【発明が解決しようとする課題】
【0013】
以上の問題点から、外部記憶媒体に記憶されたデータを保護しつつ、この媒体にアクセスするための特定ソフトウェアを事前にインストールする必要なく、この媒体を介してデータを安全に他のデバイスに転送することができることが望ましい。本発明の目的は、その方法を提供することにある。
【課題を解決するための手段】
【0014】
上記課題を解決するため、コンピュータに接続することができ、そのコンピュータのユーザがユーザデータを書き込む又は読み出すことができる外部記憶媒体が提供される。この外部記憶媒体は、
前記ユーザデータを記憶するための記憶ユニットと、
失効条件(expiration condition)を記憶するための記憶ユニットと、
時間値又はイベント数の値あるいは前記時間値と前記イベント数の値の両方をインクリメンタルに測定するタイマ又はカウンタ、あるいは前記タイマ及び前記カウンタの両方と、
当該外部記憶媒体が、前記コンピュータに接続されているか否かを検出するための接続性検出モジュール(connectivity detection module)と、
当該外部記憶媒体が、前記コンピュータから取り外されていることを前記接続性検出モジュールが検出した場合において前記タイマ又は前記カウンタを作動開始させて、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値と前記イベント数の値の両方が前記失効条件と比較し、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値及び前記イベント数の値の両方が前記失効条件と合致すると判定した場合には、当該外部記憶媒体に接続されたコンピュータのユーザが、前記ユーザデータにそれ以後もはや自由にアクセスすることができないようにするための処理を実行するように構成されている制御モジュール(control detection module)と
を備えるものである。
【0015】
このソリューションは、ユーザデータへの自由なアクセスを制限する失効条件を設定することによって、必要な特定ソフトウェアをインストールする問題を回避する。制限なしにデータにアクセスできるようなフレームを設定する失効条件を付けて、信頼できるコンピュータ(trusted computer)からの取り外しを契機にカウンタ又はタイマを作動させることにより、本発明の外部記憶媒体を接続することが可能な信頼できないデバイス(un-trusted device)に何らかのソフトウェアあるいはハードウェアをインストールする必要性を回避することが可能である。
【0016】
当該外部記憶媒体は、1つの態様として、前記ユーザデータへのユーザのアクセスをそれに基づいて許可又は拒否するアクセス・クレデンシャル(access credentials)を記憶するための記憶ユニットを更に備えており、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、前記アクセス・クレデンシャルに基づいて前記ユーザデータを暗号化又は復号化することを含んでいる。
【0017】
アクセス・クレデンシャルは、信頼できるデバイスのユーザが、ユーザデータに自由にアクセスできる有効期限(expiration time)が経過した後も、ユーザデータを保護しつつ、そのユーザデータにアクセスし続けることができることを保障する。これは、アクセス・クレデンシャルを失効条件とともに規定することによって、つまり例えば、アクセス・クレデンシャル及びそれらの失効条件の期限が当該記憶媒体に規定され且つ書き込みが完了したところでコンピュータ又は携帯電話機から当該記憶媒体が取り外された後は、制限時間の間だけそれらが有効であると定めることによって可能となる。当該記憶媒体が異なるコンピュータに取り付けられた場合には、失効条件が満たされる前(すなわち、規定された時間が経過するまで)であれば、当該外部記憶媒体上の全ての暗号化されたデータにアクセスすることが可能である。期限が切れた後は、許可されたユーザのみがユーザデータにアクセスすることが可能である。
【0018】
当該外部記憶媒体の1つの態様において、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、前記ユーザデータを削除することを含んでいる。
【0019】
ユーザデータの削除は、無許可のユーザによるアクセスを制限する、シンプルではあるが有効な方法である。本態様は、何人たりとも、例え当該記憶媒体にデータを書き込んだユーザであっても、期限が切れた後はもはやアクセスすることは不可能であるという不都合な点はあるが、その反面、暗号化を適用し、鍵などのアクセス・クレデンシャルを定義する必要が全くないという簡便さがある。
【0020】
当該外部記憶媒体の1つの態様において、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための処理は、当該外部記憶媒体に記憶された前記アクセス・クレデンシャルを削除することを含んでいる。
【0021】
アクセス・クレデンシャルを削除することにより無許可の第三者は当該記憶媒体に暗号化された形で記憶されたデータにアクセスすることができないことが保障される。
【0022】
当該外部記憶媒体の1つの態様において、前記カウンタによって測定されるイベントの数は、ユーザによる前記ユーザデータへのアクセス数である。これにより、ユーザはユーザデータへの制限されたアクセス数を規定することができる。斯かる態様では、例えばオーディオデータファイルを聴くことができる回数又は動画データファイルを視聴することができる回数を制限するデジタル権利管理(digital right management)が実施できる。
【0023】
当該外部記憶媒体の1つの態様において、前記失効条件は、(1)前記ユーザデータへのアクセス数又は(2)当該外部記憶媒体が前記コンピュータから取り外された後の有効期限(expiration time)、あるいは、(1)及び(2)の両方である。
【0024】
有効期限及びアクセス数は、失効条件を規定するためにそれぞれ単独又は双方の組み合わせで使用することが可能である。
【0025】
当該外部記憶媒体は、1つの態様として、前記アクセス・クレデンシャルに基づいて、前記ユーザデータを暗号化又は復号化、あるいは、暗号化及び復号化の両方を行うための暗号化モジュールと、暗号化されたユーザデータを記憶するためのストレージ(storage)と、暗号化されていないユーザデータを記憶するためのストレージとを更に備えるものである。
【0026】
暗号化されたデータを記憶するストレージと暗号化されていないデータを記憶するストレージとを暗号化モジュールと一緒に提供することにより、失効条件が満たされた後も制限がされないユーザデータと、失効条件が満たされた後にアクセスが制限されるユーザデータとを記憶することが可能である。
【0027】
当該外部記憶媒体の1つの態様において、前記失効条件は、前記コンピュータのユーザによって明確に変更されない限り事前に定められた値を設定する。例えば、期限付きの遅延時間(有効時間)は固定することができる。すなわち、当該外部記憶媒体が取り外されるごとに、アクセス・クレデンシャルはこの時間の間は有効であり続ける。
【0028】
更なる態様として、期限付きの遅延時間は、当該外部記憶媒体が取り外される前に毎回明確に設定することができる。
【0029】
当該外部記憶媒体は、更なる態様として、前記アクセス・クレデンシャルが専用のファイル及び専用のディレクトリの少なくとも一方に対してのみ有効であることを規定するためのモジュールを備えるものである。これにより、保護が必要なデータとアクセス制限が必要ないデータとの区別化が可能となる。
【0030】
上記課題を解決するための手段の別の形態として、上記いずれかの態様の外部記憶媒体に接続されるための外部記憶媒体アクセス・インタフェースと、前記コンピュータのユーザが、前記外部記憶媒体に設定される前記失効条件と前記外部記憶媒体に記憶される前記アクセス・クレデンシャルとの少なくとも一方を設定又は規定することを可能にするための外部記憶媒体設定モジュール(external medium configuration module)とで構成される装置が提供される。
【0031】
アクセス・クレデンシャル又は失効条件、あるいはアクセス・クレデンシャル及び失効条件の両方を設定するために、(例えば、特定ソフトウェアを実行する)その目的専用のモジュールを備える装置(ホスト)が提供される。アクセス・クレデンシャルは、前記外部記憶媒体が取り外された後も(失効条件が満たされるまでは)有効なままであり続けるので、他のホストにもそのソフトウェアをインストールする必要はない。主に前記外部記憶媒体の所有者によって使用されるデバイスにその特定ソフトウェアをインストールする必要があるだけで、失効条件が満たされない限り、他のホストも前記外部記憶媒体上のユーザデータにアクセスすることができる。
【発明の効果】
【0032】
これは、現行のソリューションに存在する重大な問題を克服する。暗号化技術に基づく全てのソフトウェア及びほとんどのハードウェアでは、外部記憶媒体にアクセスするコンピュータにソフトウェアがインストールされる必要がある。時としてこれは、そのコンピュータに対する管理上の制限のため、あるいはオペレーティングシステムの非互換性のために不可能である。それに対し、上述した本発明の外部記憶媒体及びそれに関連する装置によるソリューションは、ただ1つのデバイスのみが外部記憶媒体にアクセスして設定(configure)する準備をする必要があるだけなので、利用が容易である。
【0033】
上記モジュールがインストールされる装置としては、本発明による上記外部記憶媒体を取り付けることができるようなコンピュータ、携帯電話機、又は別の移動もしくは固定デバイスであることが可能である。
【発明を実施するための最良の形態】
【0034】
以下、添付図面を参照して本発明の実施の最良の形態を詳細に説明する。まず図1に基本のセットアップ(構成)を示す。最初に、外部記憶媒体2が接続路1.2を介して信頼できるデバイス1(例えば、コンピュータ又は携帯電話機)に接続されている。信頼できるデバイスは、接続路1.2を介して任意のデータ(例えば、ユーザデータ)を外部記憶媒体に書き込んでそれに記憶させることができる。こうして記憶されるデータは、斯かるデータへの制限されたアクセスのみを許す(自由にアクセスできない)やり方で外部記憶媒体に記憶されることができる。ここで、ユーザデータという用語が使用される場合、この用語は、ユーザが外部記憶媒体に記憶したいと考えるデータのうち何らかのやり方でそのデータへのアクセスを制限して何とかして保護すべきと考えている任意のデータを指す。
【0035】
次に、図2を参照して、(ユーザ)データを、制限されたアクセスのみを許可するようなやり方で記憶するためのメカニズムについて更に説明する。信頼できるデバイス1は、外部記憶媒体にアクセスするための何らかの外部記憶媒体アクセス・インタフェース12(ソフトウェア、ハードウェア、又は両方の組み合わせで実現される)を有している。このインタフェースは、外部記憶媒体及び信頼できるデバイスを相互接続してデータを交換することができるようにするインタフェース、例えばUSBインタフェース、ブルートュース(Bluetooth)インタフェース、IrDAインタフェース、その他のインタフェースであり得る。更に、外部記憶媒体に、アクセスが制限されるようにデータを記憶するため、信頼できるデバイス1は、外部デバイス(外部記憶媒体)にアクセス・クレデンシャル(access credentials)を設定するためのモジュール11(ソフトウェア、ハードウェア、又は両方の組み合わせで実現される)が組み込まれている。アクセス・クレデンシャルを外部記憶媒体に設定又は書き込むことに加え、アクセス・クレデンシャルの有効期限を定める失効条件(expiration condition)がモジュール11によって設定される。
【0036】
アクセス・クレデンシャルは、(ユーザ)データにアクセスするための条件又は要件を定める任意のデータであり得る。言い換えると、アクセス・クレデンシャルは、外部記憶媒体に記憶されたユーザデータへのアクセスがそれに基づいてユーザに許可又は拒否されるデータである。アクセス・クレデンシャルは、例えば、外部記憶媒体に暗号化された形で記憶されたデータを復号するのに必要な1つ以上の鍵(キー)であってもよい。
【0037】
一方、信頼できるデバイス1の設定モジュール(configuration module)11によって設定もしくは規定されるアクセス・クレデンシャルに対する失効条件は、例えば、時刻(ある特定の時点)もしくは期間(ある特定の時間的な幅)といった有効期限(expiration time)であり得る。これは、アクセス・クレデンシャルが有効である期限を定めている。信頼できるデバイスは、外部記憶媒体へ、アクセス・クレデンシャルだけでなくそれらの有効性に関する、例えば有効期限や期限切れの判定基準(expiration criterion)といった条件もしくは基準も書き込むようになっている。
【0038】
本発明の実施の一形態によれば、アクセス・クレデンシャルは、外部記憶媒体に暗号化された形で記憶され、アクセス・クレデンシャル(複数)が有効である又は存在している限りにおいてのみユーザによるアクセス又は読み出しが可能となるようなユーザデータを復号するための、1つ以上の鍵(キー)である。この実施形態によれば、有効期限に達したと同時に鍵(キー)が削除されるまでは、(外部記憶媒体に暗号化された形で記憶された)ユーザデータにアクセス可能であるという効果をもたらすことができる。
【0039】
アクセス・クレデンシャルが1つ以上の鍵(キー)である更なる実施の形態によれば、ユーザデータが外部記憶媒体に暗号化されていない形で記憶される。失効条件(例えば、ある特定の時期の到来)が満たされると、アクセス・クレデンシャル(キー)はそれまでは暗号化されていなかったデータを暗号化するために使用され、その結果、データを復号するための鍵を知らないユーザは、もはやそれらのデータにアクセスすることはできないようになる。この実施形態は、先の実施形態とは真逆のケースである。というのも、先のケースではデータはまず最初に暗号化された形で外部記憶媒体に記憶されたのに対して、このケースではデータはまず最初に暗号化されていない形で記憶されるからである。
【0040】
本発明の実施の一形態におけるアクセス・クレデンシャルに加えて、失効条件が外部記憶媒体上に設定される。失効条件は、インクリメンタルに増分(1単位分ずつに増分)するカウンタ又はタイマの値と比較されるような別の値である。カウンタ又はタイマが失効条件に設定された値に達した場合、ユーザがもはや自由にユーザデータにアクセスできないようにするアクセス・クレデンシャルに基づく処理が実行される。この処理は、例えばアクセス・クレデンシャルを削除することであったり、あるいは、それまでは暗号化されていなかったユーザデータを暗号化して、暗号化が実行された後は、ユーザデータにはもはや自由にアクセスすることができないようにすることである。
【0041】
本発明の実施の一形態によれば、失効条件は、イベント数をカウントするカウンタに設定されている或る特定の値に対応している。斯かるイベントは、例えばユーザデータへのアクセス数であり得る。ここで、失効条件は、例えばこの条件が満たされるまでは自由にアクセスすることが許されるユーザデータへの最大アクセス数とすることができる。その条件をモニタするため、実施の一形態による外部記憶媒体は、イベント数をカウントするカウンタを備えており、例えばイベント数は、ユーザデータにアクセスする度に1つずつカウント数を増やすようにカウントされる、ユーザデータへのアクセス数などである。この実施形態では、ユーザデータへのアクセス数が(失効条件が定める)最大カウント数(最大アクセス数)に達するまでユーザデータに自由にアクセス可能であるという効果を実現することができる。既に説明したように、最大アクセス数に達したら、ユーザデータへのこれ以上のアクセスを制限するアクセス・クレデンシャルに基づく処理が実行される。この処理は例えば、アクセス・クレデンシャル(このアクセス・クレデンシャルなしではユーザデータにもはやアクセスすることはできない)を削除することによって行われたり、あるいは、更なる形態として、その処理はそれまで暗号化されていなかったユーザデータをアクセス・クレデンシャルに基づいて暗号化して、それによりユーザデータへのアクセスが制限され、アクセス・クレデンシャル(例えば、キー)を知るユーザのみがそのデータに暗号化された後もアクセスできるようにすることによって行われる。従って、失効条件が満たされた後は、ユーザデータは無許可のアクセスから保護される。
【0042】
更に、本発明の実施の更なる形態として、失効条件は、或る特定の期間とすることができる。この場合、失効条件は、例えば信頼できるデバイスから外部記憶媒体が取り外された後に時間を刻み始めるタイマの値と比較される。この形態によれば、有効期限が来るまでユーザデータはアクセス可能であるという効果をもたらすことができる。
【0043】
本発明の実施の更なる形態として、失効条件は、或る特定の時刻(時点)とすることができる。この場合、タイマの時間値が失効条件として設定された時間と比較される。この時刻が来た場合、前述したようなアクセスを制限するための処理がトリガーされ、ユーザデータを無許可のアクセスから保護する。
【0044】
これまでユーザデータについて記載してきたが、アクセス・クレデンシャルの設定及び失効条件の設定は、信頼できるデバイス1と外部記憶媒体2とが接続されている間に起こるものとして記載してきた。次に、これらの設定又は規定の後に動作するメカニズムについてより詳細に説明する。
【0045】
ユーザデータを外部記憶媒体に書き込み、アクセス・クレデンシャル及び失効条件を外部記憶媒体に設定した後に、その外部記憶媒体を信頼できるデバイスから取り外して接続路1.2を解除することができる。
【0046】
図3に概略的に示しているように、外部記憶媒体が取り外された後は、外部記憶媒体は任意の他のデバイス3に取り付けることができる。この他のデバイス3もまた、図2に示している外部記憶媒体アクセス・インタフェース12と同様の外部記憶媒体アクセス・インタフェース32を備えている。このインタフェース32を介して、デバイス3のユーザ(デバイス1のユーザと異なっている場合もある)は、外部記憶媒体に記憶されているユーザデータにアクセスを試みることができる。この試みが、失効条件が満たされる前に(例えば、失効条件がまだ満たされていないために、アクセス・クレデンシャルに基づく処理が実行される前に)行われる場合、(信頼できない)デバイス3の任意のユーザは、アクセス・クレデンシャルを知る必要なく、あるいはデバイス3に特定のソフトウェアもしくは(外部記憶媒体にそれを介してアクセス可能な一般的なアクセス・インタフェース以外の)特定のハードウェアをインストールする必要なく、記憶媒体2に記憶されたユーザデータに自由にアクセスすることができる。また一方、このインタフェースは、信頼できるデバイス1の外部記憶媒体アクセス・インタフェースに関連してすでに言及したような、外部記憶媒体にアクセスするために広く利用されるUSBインタフェース又はIrDAインタフェース、その他の標準インタフェースであり得る。
【0047】
ユーザデータへのアクセスを制限するアクセス・クレデンシャルに基づく処理が実行されていない限り、すなわち、デバイス3の任意のユーザは失効条件が満たされない限りは(例えば、有効期限にまだ達していない限り、あるいは最大アクセス数にまだ達していない限りは)、ユーザデータに自由にアクセスすることができる。しかしながら、失効条件が満たされた後は、デバイス3の任意のユーザに対してアクセスが制限される。斯かるユーザは、外部記憶媒体に記憶されたユーザデータに、条件が満たされた以後も更にアクセスするための特別な知識を有する必要がある(例えば、アクセス・クレデンシャル、もしくはそれに基づくデータを知る必要がある)。
【0048】
次に、図2を参照して、信頼できるデバイスの構成要素について詳しく説明する。図2は信頼できるデバイスを構成するモジュールを示しており、そこには外部記憶媒体アクセス・インタフェース12が存在する。このインタフェース12は、USBインタフェースなどの標準インタフェースであるハードウェアインタフェースから構成され得る。またこのインタフェースは、外部記憶媒体12にアクセスするために使用することができる何らかのソフトウェアを更に含み得る。このソフトウェアモジュールは、実施の一形態によれば、通常はオペレーティングシステムにバンドルされるデバイスドライバの形態をとる。言い換えると、インタフェース12は、外部記憶媒体にアクセスするための任意の標準インタフェースでよい。
【0049】
インタフェース12に加えて、デバイス1は外部記憶媒体設定モジュール11を備えている。このモジュール11は、外部記憶媒体を設定(configure)するとともにアクセス制御クレデンシャル(access control credential)を転送するように動作する。モジュール11は、実施の一形態としてソフトウェアモジュールとして実現されるが、しかしそれはハードウェア、又はハードウェアとソフトウェアとの組み合わせとしても実現可能である。実施の一形態によれば、モジュール11は例えば、デバイス1のユーザを認証し、場合によっては更に、デバイス1のユーザのパーソナライズされたスマートカードに基づいてアクセス・クレデンシャルを生成もしくはサイン(sign)するために使用されるスマートカードリーダを備え得る。
【0050】
実施の一形態によれば、このソフトウェアは外部記憶媒体に特化したものである。媒体2が、プロテクトされていない限り媒体からデータを読み出すためだけでなく、失効条件が満たされた後にそのデータがプロテクトされるようなやり方で媒体へデータを書き込むためにも利用されるならば、このソフトウェアは信頼できるデバイスにインストールされなければならない。モジュール11は、信頼できるデバイスにおける管理者特権が必要とされないようなやり方で構築することが可能であるが、実施の別の形態によれば管理権を持つユーザだけがモジュール11を使用することが可能である。
【0051】
図3に外部記憶媒体が接続可能な他の(信頼できない)デバイス3の一例を示す。デバイス3のユーザは、外部記憶媒体に記憶されたユーザデータにそれへのアクセスがまだ制限されていない限りアクセスすることが可能である。斯かる他のデバイスは、図2のモジュール12と同一であり得て、且つ同一の目的を果たし得るような外部記憶媒体アクセス・モジュール32を備えている。このモジュールにより、デバイス3のユーザは、外部記憶媒体2に記憶されたユーザデータに、保護処理によりそのユーザデータへのアクセスがまだ制限されていない限りは、言い換えると失効条件がまだ満たされていない限りは、アクセスすることが可能である。
【0052】
次に、図4を参照して実施の一形態による外部記憶媒体の動作について更に詳細に説明する。図4は、本発明の実施の一形態による外部記憶媒体のアーキテクチャを示している。
【0053】
外部記憶媒体2は、通信モジュール21を備えている。このモジュールは、信頼できるデバイス1又は信頼できないデバイス3との通信を担当する。それは、例えばUSBインタフェース、IrDAインタフェース、ブルートュース(Bluetooth)インタフェース又はその他のインタフェース等、任意の標準インタフェースの形態をとることができる。そのため、通信モジュール21は、図2及び図3にそれぞれ示されているインタフェース12及び32に類似する。
【0054】
通信モジュール21は、例えば、記憶媒体をデバイス1又は3から取り外す場合に、図1に示しているような接続路1.2及び2.3を解除する。
【0055】
外部記憶媒体は、実施の一形態によれば、1つ以上の記憶(ストレージ)ユニットを更に備えている。図4には、暗号化されたユーザデータを記憶するための記憶ユニット27と、暗号化されていないユーザデータを記憶するための記憶ユニット28が示されている。物理的には、実施の一形態によるこれら2つの記憶ユニットは、1つの記憶素子として実装されることがあるが、その場合、その記憶素子は論理的に2つのエリア、すなわち暗号化されたデータに対するエリアと復号された(暗号化されていない)データに対するエリアとに分割される。この分割は、実施の一形態によれば、暗号化されたデータと復号された(暗号化されていない)データとに対してそれぞれの必要な記憶エリアに応じて動的に変更することが可能である。
【0056】
外部記憶媒体2は、アクセス・クレデンシャルを記憶するためのストレージ24を更に備えている。このストレージは、物理的には、記憶ユニット27及び28と同じストレージの一部であり得る、あるいは、それは、例えば1以上の鍵(キー)を含んでいるアクセス・クレデンシャルを記憶するための専用の別個の記憶ユニットであり得る。
【0057】
外部記憶媒体は、外部記憶ユニットの全体の動作を制御する制御ユニット25を更に備えている。この制御ユニットは、例えば、ストレージ24、27又は28の1つに記憶されたプログラム、あるいは更なるプログラム・ストレージ(図示せず)に記憶されたプログラムに従って動作するマイクロプロセッサによって実装され得る。制御ユニット25は、通信モジュール21を制御し、それにより記憶ユニット24、27及び28へのアクセスと、当該外部記憶媒体が接続可能なデバイス1又は3といったデバイスとの通信を制御するようになっている。
【0058】
制御モジュール25は、暗号化データ記憶ユニット27に記憶されたデータの暗号化及び/又は復号を担当することができる暗号化モジュール25Aを更に備えている。暗号化モジュール25は、マイクロプロセッサによって実行されるコンピュータ・プログラムとして実装され得て、このマイクロプロセッサは、暗号化及び/又は復号を実行することが可能であり、その目的のためにストレージ24に記憶されたアクセス・クレデンシャル(例えば1つ以上の鍵)を利用することができる。
【0059】
通信モジュール21は、実施の一形態として、暗号化されていないユーザデータ28へのアクセスと、暗号化モジュール25aを介して提供することができるデータへのアクセスとを仲介する。通信モジュール21は更に、その通信モジュールが信頼できるデバイス1から受信するような、あるいは制御ユニット25によって内部生成されたようなアクセス・クレデンシャルを、クレデンシャル・ストレージ24に転送することができる。
【0060】
クレデンシャル・ストレージ24は、ストレージ24Aを更に備えることができる。このストレージ24Aには、暗号化データ記憶ユニット27に記憶されたユーザデータへのアクセスがもはや自由には行われないようにするための条件を規定する失効条件が保存され得る。失効条件は、実施の一形態によれば、その条件が満たされたと見なされるために経過する必要がある有効期間(expiration time period)を含んでいる。実施の更なる形態によれば、失効条件は、この条件がその時点で満たされたと見なされる実際の時刻であり得る。実施の更なる形態によれば、失効条件は、例えばユーザデータへのアクセスといった特定のイベントが生じた回数を表すカウンタ値に対応し得る。実施の更なる形態として、失効条件は、時間データとカウント数との組み合わせによって規定され得る。このとき、両方の条件(規定の時間値及びカウント数)が満たされた場合に、失効条件が満たされたと見なすことができる。実施の別の形態によれば、失効条件が満たされたと見なすため、条件(複数)のどれか1つの条件が満たされれば、例えばタイミングの条件又はカウント数の条件のどちらかが満たされれば十分であるとすることも可能である。
【0061】
実施の更なる形態によれば、失効条件ストレージ24Aは、アクセス・クレデンシャル・ストレージの一部ではなく、別個のストレージ、あるいは例えば記憶ユニット27又は28の一方の一部とすることができる。
【0062】
実施の更なる形態によれば、ストレージ24、24A、27、又は28のうちの1つ以上のものには、アクセス制御リスト(access control list)が記憶される。このアクセス制御リストは、どのデータ(例えば、どのファイル又はディレクトリ)が自由にアクセス可能であるか、また、どれが保護されるべきであるかを指定することができる。アクセス制御リストは、それによりユーザに応じて更に細かく差別化することができる。アクセス制御リストは、信頼できるデバイス1のユーザによってデータが外部記憶媒体2に書き込まれる時に設定され得る。その後、外部記憶媒体2は、どのデータが保護(プロテクト)されるべきかを知り、それに応じてデータを暗号化データ・ストレージ27又は暗号化されていないデータ・ストレージ28のいずれかに記憶する。暗号化データ・ストレージ27に記憶されるデータは、実施の一形態によれば、暗号化ユニット25Aを使用してそのデータを暗号化することにより、暗号化された形で記憶される。それらは、失効条件がまだ満たされていない限りはクレデンシャル・ストレージ24に記憶されたアクセス・クレデンシャルを使用することによって、復号することが可能である。
【0063】
外部記憶媒体2は、タイマ及び/又はカウンタ23を更に備えている。このタイマ及び/又はカウンタ23は、ある特定の条件、例えば期間(time period)、実時間(actual time)、又は暗号化データ記憶ユニット27に記憶されたユーザデータへのアクセス数のようなイベント数などを、インクリメンタルに測定又は監視する。制御ユニット25は、タイマあるいはカウンタ23によって測定された時間又は計数値、あるいは測定された時間及び計数値の両方を比較する、すなわち、それをクレデンシャル・ストレージ25Aに記憶された失効条件と比較することができる。
【0064】
外部記憶媒体2は、内部電源26(これは例えば、バッテリ又は任意の他の内部もしくは外部電源)を更に備えている。内部電源部品26は、タイマあるいはカウンタとクレデンシャル・ストレージとに電力供給をし、また場合によっては制御ユニット25にも電力を供給して、外部記憶媒体が電源から切り離された後もそれらが動作することができるようにする。
【0065】
外部記憶媒体2は、接続性検出モジュール(connectivity detection module)22を更に備えている。この接続性検出モジュールは、外部記憶媒体2がデバイス1又は3のようなデバイスに現在接続されているかどうか、あるいは外部記憶媒体が斯かるデバイスから取り外されているかどうかを検出する役割を果たす。接続性検出モジュール22は例えば、マイクロプロセッサ、例えば制御モジュール25を実装するマイクロプロセッサによって実装され得る。あるいは、接続性検出モジュールは、実施の更なる形態によれば、何か他のハードウェア又はソフトウェア・コンポーネントで実装され得る。通信モジュール21は、接続の有無についてのステータス情報を接続性検出モジュール22に報告することができる。接続性検出モジュール22は、それを受けて外部記憶媒体2が現在デバイス(デバイス1又は3など)に接続されているか否かを判定するようになっている。
【0066】
接続性検出モジュール22は、外部記憶媒体がデバイスにもはや接続されていないことを発見すると、そのことを制御モジュール25に報告し、制御モジュール25は、タイマあるいはカウンタ23をスタートさせる。この発見は、例えばUSB接続の場合には電力損失(power loss)の検出に基づいて行うこともできるが、他の適切な方法、例えば接続を繰り返しポーリングして適切なポーリング結果が受信されない場合は接続が解除されていると判断することによっても行うことができる。同様にして、接続性検出モジュールは、デバイス(デバイス1又は3など)との接続の確立も検出し、それを制御モジュール25に報告する。
【0067】
実施の一形態によれば、タイマあるいはカウンタ23は、タイマで構成され、失効条件ストレージ24Aから適切な有効期限の情報が与えられる。タイマは接続性検出モジュール22(又は制御モジュール25が、接続性が失われたことに応答して、トリガリングを実行すること)によってトリガーされ、タイマは有効期限が経過するまでカウントダウンを行う。このタイマは、失効条件が満たされたことに対応し、それに応答して制御モジュール25がアクセス・クレデンシャルをクレデンシャル・ストレージ24から削除するためのトリガーを提供する。これは、クレデンシャル・ストレージ24にはもはやアクセス・クレデンシャルが存在しないという結果をもたらし、このアクセス・クレデンシャルがなければ暗号化データ・ストレージ27に記憶されたデータをもはや復号することはできないことになる。それゆえ、外部記憶媒体2が接続され得る(信頼できない)デバイス3のユーザは、暗号化データ・ストレージ27に記憶されたデータにもはやアクセスすることは不可能になる。そのデータを外部記憶媒体2に書き込むとともに、アクセス・クレデンシャル及び失効条件を実際に設定したデバイス1のユーザのみが、失効条件が満たされた後でもそのデータにアクセスすることができる。これは、デバイス1上の外部記憶媒体設定モジュール11がクレデンシャル・ストレージ24から削除されてしまったアクセス・クレデンシャルを知っているためであり、従ってデバイス1のユーザのみが依然としてそのデータにアクセスすることができる。こうして、そのデータは任意の第3者による無許可のアクセスから保護される。
【0068】
このメカニズムによりデバイス1のユーザは、媒体2上のデータにその間だけ自由にアクセスできるような特定の時間枠を設定することができる。有効期限が経過した後は自由なアクセスを行うことはできない。これは、いまや非常に小型でほとんど誰にでも利用され、しかもセキリュティの観点から制御することが困難である外部記憶媒体に対する有効な保護のメカニズムである。斯かる外部記憶媒体2は、紛失したり、盗難に遭ったり、あるいは無許可の人物の手に渡る危険性がある。そこで、適切な短い時間枠を設定することにより、斯かる場合にもそこに記憶されたデータが保護されることが保障される。ただしこの時間枠内でだけ、例えば、1つのコンピュータから別のコンピュータへデータ転送するための自由なアクセスが許容される。現実的な観点から、有効期限は比較的小さな値、例えば、数分に設定されることが推奨される。この設定は、その時間中の無制限の利用には十分であり、しかしこの短い時間枠が過ぎれば保護が保障される。
【0069】
実施の一形態によれば、有効期限は、デバイス1のユーザが設定モジュール11を使用して異なる値を設定するまで、事前に定められた値(例えば5分)が設定される場合がある。外部記憶媒体2には、この比較的短い時間枠の間だけセキリュティ上のリスクが存在する。従って、外部記憶媒体にデータが記憶されたあとにおいては、制限されたやり方でのみアクセスが可能である。
【0070】
実施の一形態によれば、外部記憶媒体2が再度、デバイス1に接続されたことが接続性検出モジュールによって報告されるとすぐにカントダウンが停止され、タイマをリセットすることができる。これは、例えばクレデンシャル・ストレージ24に設定されたポリシーに依存し得る。
【0071】
実施の一形態によれば、クレデンシャル・ストレージ24は、通信モジュール21によって伝達されたクレデンシャルを記憶する。アクセス・クレデンシャルは、ユーザデータのどの部分がアクセス可能かであるかについてのアクセス制御情報を含むことができる。このアクセス制御情報は、ユーザがどのデータにアクセスすることが許されるかを指定するために使用されることが可能である。制御ユニットは、それに応じてそのデータへのアクセスを制限する。
【0072】
失効条件、例えば有効期限は、実施の一形態によれば、接続が失われた時間に関連しており、ユーザデータへの自由なアクセスのタイムリミットを指定する。この有効期限は、新しい接続が検出された後にリセットされるか、又はリセットされない場合がる。このタイムアウト動作は、タイマ・モジュールあるいはカウンタ・モジュールに伝えられ、タイマ・モジュールあるいはカウンタ・モジュールは、ユーザデータへのアクセスがそれに基づいて制限されるか、又は制約がなくなる条件を実際に規定する。
【0073】
実施の一形態によれば、クレデンシャル・ストレージは暗号鍵を記憶するようになっている。これらの暗号鍵は、媒体2がデバイス1に接続されたときの設定段階の間にクレデンシャル・ストレージに書き込まれたものである。これらの鍵は、暗号化エンジンが暗号化ユーザデータ・ストレージ27に記憶されたユーザデータを暗号化及び復号化することを可能にするために、暗号化モジュール25Aによって使用される。これらの鍵が利用可能で且つ削除されていない限り、任意のユーザは、たとえ鍵を知らなくとも、暗号化データ記憶ユニット27に記憶されたユーザデータにアクセスすることができる。これは、暗号化モジュールがこれらのデータを復号し、その結果、ユーザはアクセス・クレデンシャルについて何も知らなくてもそのデータにアクセスすることが可能となるためである。しかしながら、失効条件が満たされたために鍵が一旦削除されると、ストレージ27における暗号化データへの自由なアクセスはもはや可能ではなくなる。
【0074】
前述した実施形態によれば、ユーザデータは、媒体2が信頼できるデバイス1に接続され、データがデバイス1のユーザによって媒体2に書き込まれたときに、暗号化データ・ストレージ27に暗号化された形で記憶されている。しかしながら、実施の更なる形態によれば、ユーザデータは、暗号化データ・ストレージ27に暗号化されていない形で書き込まれ得る。この場合、暗号鍵もクレデンシャル・ストレージ24に書き込まれるが、しかし、失効条件が満たされていない限り、これらの暗号鍵はストレージ27のユーザデータにアクセスするためには必要ではない。なぜなら、これらのデータは暗号化されていないからである。しかしながら、失効条件が満たされると、クレデンシャル・ストレージ24内の暗号鍵は、暗号化ユーザデータ・ストレージ27に記憶されたデータを暗号化するために、暗号化モジュール25Aによって使用される。この瞬間から、暗号化ユーザデータ・ストレージ27に記憶されたデータにはどのユーザも自由にアクセスすることはもはやできなくなる。以後、ストレージ27に記憶されたユーザデータを復号するには暗号鍵を知ることが必要となる。しかしながら、これらの暗号鍵は、信頼できないどの第3者にも知られておらず、それらの暗号鍵は、そのユーザデータが媒体2に記憶されるときに外部記憶媒体にアクセス・クレデンシャルを設定したデバイス1のユーザのみが知っている。それゆえ、失効条件が満たされた後は、信頼できないどの第3者もストレージ27に記憶されたデータにアクセスすることはできない。
【0075】
実施の更なる形態によれば、タイマあるいはカウンタ23は実際にはカウンタであり、このカウンタはイベント数をカウントする。実施の一形態として、これらのイベントは、暗号化ユーザデータ・ストレージ27に記憶されたデータへのアクセス数である。接続性検出モジュール22が接続損失(connectivity loss)を検出するとすぐにカウンタ23の作動開始がトリガーされ、カウンタは暗号化ユーザデータ・ストレージ27へのアクセス数のカウントを開始する。外部記憶媒体設定モジュール11を使用して、外部記憶媒体を設定(configuration)する間において、失効条件はイベント数として設定され、実施の一形態によれば、そのイベント数はストレージ27に記憶されたデータへのアクセス数に対応する。この失効条件は、失効条件ストレージ24Aに記憶される。外部記憶媒体2がデバイス1から取り外された(この事実は接続性検出モジュール22によって検出される)後に、カウンタ23は作動を開始し、制御ユニット25はカウンタ23の計数値を失効条件ストレージ24Aに設定された失効条件と比較する。それらが合致すると、言い換えるとカウント数が最大アクセス数に達した場合、クレデンシャル・ストレージに記憶されたアクセス・クレデンシャルに基づく処理、例えば暗号鍵の削除(ストレージ27に記憶されたデータが暗号化されている場合)、あるいはストレージ27に記憶されたデータの暗号化(これらのデータがそれまで暗号化されていなかった場合)等の処理がトリガーされる。これ以降、ストレージ27に記憶されたデータは、もはやアクセス可能ではなくなる。
【0076】
実施の更なる形態によれば、タイマあるいはカウンタ23は、タイマ・モジュールとカウンタ・モジュールとで構成され得る。失効条件ストレージ24Aは、失効条件としてタイミングの条件とカウント数の条件とを記憶し得る。完全な失効条件は、例えば、それぞれ単一の失効条件(タイミングの条件及びアクセス数の条件)の両方が満たされた場合に条件が満たされることになる。実施の更なる形態では、これらの条件の1つが満たされれば十分であると見なされる。このような場合、ストレージ27に記憶されたデータへのアクセスを制限する処理が、例えば暗号鍵の削除あるいはそこに記憶されたデータの暗号化によってトリガーされる。
【0077】
実施の更なる形態によれば、暗号化ユーザデータ・ストレージ27に記憶されたデータへのアクセスを制限するための処理は、単にこのデータを削除することだけで構成されている。この処理は、そのデータをそれ以後はもはや何人も読み出すことはできなくなるという効果をもたらすが、それだけでなく暗号化モジュール25Aを提供する必要性が回避されるほかに、暗号鍵が記憶されるクレデンシャル・ストレージを備える必要性が回避される。この実施形態によれば、この処理はこれまでのものよりずっとシンプルであり、その一方で、この形態はユーザデータ・ストレージ27(又は28)に記憶されたデータを削除した後は、このデータに何人ももはやアクセスできなくなるという不都合が伴う。
【0078】
実施の更なる形態によれば、失効条件は、(時間的な幅である)有効期間(expiration period)には対応しておらず、実際には有効期限(expiration time)、言い換えると失効条件ストレージ24Aに設定された特定の時刻(時点)に対応している。この場合、タイマ23は、接続損失の検出後にゼロからカウントし始めるタイマではなく、実時間を継続的に測定するものである。制御ユニット25は、タイマ23によって測定されたこの時間を失効条件ストレージ24Aに記憶された時間と継続的に比較する。双方の時間が合致した場合、ユーザデータ・ストレージ27又は28に記憶されたデータへのアクセスを制限する処理が開始される。
【0079】
次に、図5のシーケンス図を参照して本発明による実施の一形態の動作を説明する。図5の左側には信頼できるデバイス1、中央には外部記憶媒体2、右側にはその他のデバイスが示されている。
【0080】
まず最初に、信頼できるデバイス1は外部記憶媒体2に接続されており、アクセス・クレデンシャル及び失効条件(クレデンシャル及びその寿命期間)が、外部記憶媒体に設定され、且つ、記憶される。その設定の完了が、ACK(acknowledgement)メッセージOKで通知される。
【0081】
次に、ユーザデータが外部記憶媒体に書き込まれ、場合によっては、どのデータが自由にアクセス可能であるか、及び、どのデータがそのデータへのアクセスを制限することによって保護されるべきかを指定するようなアクセス制御リストACL(access control list)とともに書き込まれる。この場合も同様に、転送の完了がACKメッセージOKで通知される。その後、外部記憶媒体は信頼できるデバイス1から切断される。
【0082】
切断をトリガーとして、上記で説明したように、タイマあるいはカウンタ23は、作動を開始する。外部記憶媒体は、その後別のデバイスに接続され得て、その別のデバイスは外部記憶媒体からデータを要求し得る。そのデータは、失効条件が満たされていない限りはアクセス可能であり、要求に応じて送信される。しかしながら、或る時間が経過した後あるいはユーザデータへのアクセスが或るアクセス数に達した後に、失効条件は実際に満たされたことになり、図5に示しているように、そのユーザデータへのアクセスを制限するための処理が、例えばアクセス・クレデンシャルを削除することによって実行される。その後に、外部記憶媒体が別のデバイス3に接続され、このデバイスが外部記憶媒体からデータを要求する場合、このデータへのアクセスは制限される。これは、要求されたデータが暗号化されており、対応する復号鍵がすでに削除されていることによりもはやアクセスができないようになっているからである。この場合、エラーメッセージが発行され、その後、他のデバイス3は、要求したデータにアクセスすることが可能になることなく、切断されなければならない。別の実施形態の場合における別の理由は、失効条件が満たされるまで暗号化されていなかったデータが、その条件が満たされたことを契機に暗号化され、必要な復号鍵について何も知らないような信頼できない第3者には、もはやそのデータを読み出すことが不可能となる。
【0083】
当業者であれば、上記実施形態に関連して説明されたコンポーネント及びモジュールは、ソフトウェア、ハードウェア、又は双方の組み合わせで実現することが可能であることは、通常、理解されるであろう。
【0084】
当業者であれば更に、上記実施形態における外部記憶媒体は、コンピュータに接続される代わりに、ユーザを書き込んだりあるいは読み出したりすることが可能な、例えば携帯電話機、スマートフォン、PDA、又は何か他のコンピュータ・デバイスといった、任意の他のデバイスに接続されることがあることが理解されるであろう。
【図面の簡単な説明】
【0085】
【図1】本発明の実施形態による外部記憶媒体及びホストの利用形態を示している図である。
【図2】本発明の実施の一形態による信頼できるデバイスの概略的な構成図である。
【図3】本発明の実施の一形態による信頼できない他のデバイスの概略的な構成図である。
【図4】本発明の実施の一形態による外部記憶媒体の概略構成図である。
【図5】本発明の実施の一形態による外部記憶媒体及びホストの動作に関するシーケンス図である。
【符号の説明】
【0086】
1 信頼できるデバイス
2 外部記憶媒体
3 信頼できない他のデバイス
1.2,2.3 接続路
11 外部記憶媒体設定モジュール
12,32 外部記憶媒体アクセス・インタフェース
21 通信モジュール
22 接続性検出モジュール
23 タイマ/カウンタ
24 クレデンシャル・ストレージ
24A 失効条件ストレージ
25 制御モジュール
25A 暗号化ユニット
26 内部電源
27 暗号化されたユーザデータ・ストレージ
28 暗号化されていないユーザデータ・ストレージ
【技術分野】
【0001】
本発明は、外部記憶媒体、特に、コンピュータに接続することが可能で、アクセス制御などのセキリュティ要件を考慮しながらデータを書き込むことが可能な外部記憶媒体に関する。
【背景技術】
【0002】
データを安全に記憶するための最も一般的なアプローチは、復号鍵を知らない無許可のユーザが記憶されたデータを読み出すことを困難にするために何らかの方式の暗号化を利用することである。ユーザデータを暗号化することが可能な広範な製品が存在する。入手可能な製品は、大まかに2つのカテゴリに分類できる。1つはハードウェアベースのソリューションで、もう1つはソフトウェアベースのソリューションである。
【0003】
まず既存のソフトウェア暗号化ソリューションを手短に紹介する。
【0004】
多数のソフトウェア暗号化ソリューションが存在している。汎用の暗号化ソフトウェア(例えば、PGP社(PGP Corporation)のPGPなど)、リムーバブル・メディア専用のソフトウェア(例えば、ADVCテクノロジー社(ADVS Technologies Inc.)のFlashDriveCryptoなど)あるいは1つの特定モデル専用のソフトウェア(Sandisk社(Sandisk Inc.)のCruzerLockなど)が存在する。後者2つのソフトウェアは、ソフトウェア・ライセンシング・モデル(software licensing model)に主な違いがある。汎用の暗号化ソフトウェアは、媒体が変わるごとに余分な要件が課されることから、利用がより面倒なことがある。
【0005】
Dekart社のプライベートディスク(Dekart Private Disk)というディスク暗号化ソフトウェアは、暗号化イメージをそこに保存することによって、任意の媒体を暗号化する。媒体にアクセスするために必要な実行ファイルは、外部デバイスに記憶することが可能である。他のコンピュータで利用する際に特定のソフトウェアをインストールする必要は全くない。この製品は、マイクロソフト・ウィンドウズ(登録商標)・オペレーティングシステム(Microsoft Windows(登録商標)operating systems)でのみ利用可能である。
【0006】
PGP社は、いくつかある特徴の中で特にファイルを暗号化し復号することが可能ないくつかのソフトウェアツールを提供している。加えて、これらソフトウェアツールは、暗号化データを含む仮想ディスクドライブを提供する。PGP鍵がクレデンシャル(credential:信用証明データ)としてこれらのファイル及びドライブを暗号化し復号するために使用される。暗号化されたユーザデータにアクセスするために各デバイスにPGPソフトウェアがインストールされる必要がある。
【0007】
ハードウェアに実装される暗号化エンジンを少なくとも有している、周知のハードウェア暗号化ソリューションが存在する。
【0008】
一部のものについては、取り外し可能なハードウェアに鍵を記憶させることも可能である。一部の利用可能なソリューションでは、その鍵は指紋のスキャンなどのバイオメトリック(biometric)データに基づいて解除することが可能である。
【0009】
指紋認証を利用してデータを保護する、バイオメトリックUSBキー(USB-key)ドライブなどの、バイオメトリック・ソリューションが存在する。またこれらのソリューションでは、データにアクセスするために追加のソフトウェアをインストールするだけでなくハードウェアも必要である。
【0010】
利用可能なハードウェア・ソリューションは、暗号化データにアクセスすることに関して、特定ソフトウェアをホスト(host)にインストールする必要があったり、あるいはソリューションの実用性に疑問があることなど、異なる不利な点を有している。例えば、あるハードウェア・ソリューションがデータを暗号化するのに追加のハードウェア・トークン(例えば、スマートカード)を必要とする場合、そのハードウェア・ソリューションを利用するためにユーザは恐らくそのトークンを常に手元に置いておかなくてはならない。ユーザがトークンをなくせば、アクセスは不可能になる。
【0011】
外部記憶媒体の利用は、セキリュティの観点から多くの会社が重要だと考えている。ほとんどの場合において、外部記憶媒体におけるデータの暗号化は十分ではあるだろう。しかしながら、このアプローチには現実的な問題が存在する。暗号化データにアクセスするには、媒体が取り付けられたコンピュータ上で特定の暗号化ソフトウェアが実行されなくてはならなかったり、あるいはハードウェア暗号化が利用される場合にはアクセス・クレデンシャル(access credentials)を外部記憶媒体に伝達することが可能な少なくとも特別なソフトウェアが必要とされる。しかしながら、外部記憶媒体を利用したデータ転送の目的だけで追加のソフトウェアをインストールすることは、多くの場合に望ましくなくあるいは非現実的である。このような追加的なインストールは、ユーザにとって不便である、あるいはそれは会社が許容可能と見なすソフトウェア・インストールを規定する社内セキリュティ規定によりまさに望ましくない、もしくは更に禁止される場合がある。それゆえ、従来技術において周知のソフトウェアベース並びにハードウェアベースのソリューションは、克服すべき不都合を伴う。
【0012】
更に、従来技術において周知のソリューションには更なる欠点が存在する。例えば、従来技術において周知の一部のソリューションでは、場合によっては未知のコンピュータ上でパスワードを入力することが求められる。しかしながら、このコンピュータは、このパスワードのログを取っている可能性がある。パスワードの再使用が広範に利用されるため、このことは外部記憶媒体に記憶されたデータのセキリュティを危うくするだけでなく他のデータの情報漏洩にもつながる。それゆえ、未知のしかも場合によっては信頼できないデバイス上でパスワードを入力する必要の全くないソリューションを提供することが望ましい。他方、バイオメトリを利用する外部記憶媒体に対するハードウェアベースの暗号化ソリューションは上述した問題には悩まされることはないだろう。しかしながら、バイオメトリック・センサ及びソフトウェアはハードウェアのコストと媒体サイズを著しく増大させる。更に、生態認証(biometry)は、利害が対立する当事者が関与する状況において、監視下にない環境で利用されるので、それが提供するセキリュティ保障は、比較的低い。このことは、特に低コストのバイオメトリック・センサに当てはまる。
【発明の開示】
【発明が解決しようとする課題】
【0013】
以上の問題点から、外部記憶媒体に記憶されたデータを保護しつつ、この媒体にアクセスするための特定ソフトウェアを事前にインストールする必要なく、この媒体を介してデータを安全に他のデバイスに転送することができることが望ましい。本発明の目的は、その方法を提供することにある。
【課題を解決するための手段】
【0014】
上記課題を解決するため、コンピュータに接続することができ、そのコンピュータのユーザがユーザデータを書き込む又は読み出すことができる外部記憶媒体が提供される。この外部記憶媒体は、
前記ユーザデータを記憶するための記憶ユニットと、
失効条件(expiration condition)を記憶するための記憶ユニットと、
時間値又はイベント数の値あるいは前記時間値と前記イベント数の値の両方をインクリメンタルに測定するタイマ又はカウンタ、あるいは前記タイマ及び前記カウンタの両方と、
当該外部記憶媒体が、前記コンピュータに接続されているか否かを検出するための接続性検出モジュール(connectivity detection module)と、
当該外部記憶媒体が、前記コンピュータから取り外されていることを前記接続性検出モジュールが検出した場合において前記タイマ又は前記カウンタを作動開始させて、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値と前記イベント数の値の両方が前記失効条件と比較し、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値及び前記イベント数の値の両方が前記失効条件と合致すると判定した場合には、当該外部記憶媒体に接続されたコンピュータのユーザが、前記ユーザデータにそれ以後もはや自由にアクセスすることができないようにするための処理を実行するように構成されている制御モジュール(control detection module)と
を備えるものである。
【0015】
このソリューションは、ユーザデータへの自由なアクセスを制限する失効条件を設定することによって、必要な特定ソフトウェアをインストールする問題を回避する。制限なしにデータにアクセスできるようなフレームを設定する失効条件を付けて、信頼できるコンピュータ(trusted computer)からの取り外しを契機にカウンタ又はタイマを作動させることにより、本発明の外部記憶媒体を接続することが可能な信頼できないデバイス(un-trusted device)に何らかのソフトウェアあるいはハードウェアをインストールする必要性を回避することが可能である。
【0016】
当該外部記憶媒体は、1つの態様として、前記ユーザデータへのユーザのアクセスをそれに基づいて許可又は拒否するアクセス・クレデンシャル(access credentials)を記憶するための記憶ユニットを更に備えており、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、前記アクセス・クレデンシャルに基づいて前記ユーザデータを暗号化又は復号化することを含んでいる。
【0017】
アクセス・クレデンシャルは、信頼できるデバイスのユーザが、ユーザデータに自由にアクセスできる有効期限(expiration time)が経過した後も、ユーザデータを保護しつつ、そのユーザデータにアクセスし続けることができることを保障する。これは、アクセス・クレデンシャルを失効条件とともに規定することによって、つまり例えば、アクセス・クレデンシャル及びそれらの失効条件の期限が当該記憶媒体に規定され且つ書き込みが完了したところでコンピュータ又は携帯電話機から当該記憶媒体が取り外された後は、制限時間の間だけそれらが有効であると定めることによって可能となる。当該記憶媒体が異なるコンピュータに取り付けられた場合には、失効条件が満たされる前(すなわち、規定された時間が経過するまで)であれば、当該外部記憶媒体上の全ての暗号化されたデータにアクセスすることが可能である。期限が切れた後は、許可されたユーザのみがユーザデータにアクセスすることが可能である。
【0018】
当該外部記憶媒体の1つの態様において、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、前記ユーザデータを削除することを含んでいる。
【0019】
ユーザデータの削除は、無許可のユーザによるアクセスを制限する、シンプルではあるが有効な方法である。本態様は、何人たりとも、例え当該記憶媒体にデータを書き込んだユーザであっても、期限が切れた後はもはやアクセスすることは不可能であるという不都合な点はあるが、その反面、暗号化を適用し、鍵などのアクセス・クレデンシャルを定義する必要が全くないという簡便さがある。
【0020】
当該外部記憶媒体の1つの態様において、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための処理は、当該外部記憶媒体に記憶された前記アクセス・クレデンシャルを削除することを含んでいる。
【0021】
アクセス・クレデンシャルを削除することにより無許可の第三者は当該記憶媒体に暗号化された形で記憶されたデータにアクセスすることができないことが保障される。
【0022】
当該外部記憶媒体の1つの態様において、前記カウンタによって測定されるイベントの数は、ユーザによる前記ユーザデータへのアクセス数である。これにより、ユーザはユーザデータへの制限されたアクセス数を規定することができる。斯かる態様では、例えばオーディオデータファイルを聴くことができる回数又は動画データファイルを視聴することができる回数を制限するデジタル権利管理(digital right management)が実施できる。
【0023】
当該外部記憶媒体の1つの態様において、前記失効条件は、(1)前記ユーザデータへのアクセス数又は(2)当該外部記憶媒体が前記コンピュータから取り外された後の有効期限(expiration time)、あるいは、(1)及び(2)の両方である。
【0024】
有効期限及びアクセス数は、失効条件を規定するためにそれぞれ単独又は双方の組み合わせで使用することが可能である。
【0025】
当該外部記憶媒体は、1つの態様として、前記アクセス・クレデンシャルに基づいて、前記ユーザデータを暗号化又は復号化、あるいは、暗号化及び復号化の両方を行うための暗号化モジュールと、暗号化されたユーザデータを記憶するためのストレージ(storage)と、暗号化されていないユーザデータを記憶するためのストレージとを更に備えるものである。
【0026】
暗号化されたデータを記憶するストレージと暗号化されていないデータを記憶するストレージとを暗号化モジュールと一緒に提供することにより、失効条件が満たされた後も制限がされないユーザデータと、失効条件が満たされた後にアクセスが制限されるユーザデータとを記憶することが可能である。
【0027】
当該外部記憶媒体の1つの態様において、前記失効条件は、前記コンピュータのユーザによって明確に変更されない限り事前に定められた値を設定する。例えば、期限付きの遅延時間(有効時間)は固定することができる。すなわち、当該外部記憶媒体が取り外されるごとに、アクセス・クレデンシャルはこの時間の間は有効であり続ける。
【0028】
更なる態様として、期限付きの遅延時間は、当該外部記憶媒体が取り外される前に毎回明確に設定することができる。
【0029】
当該外部記憶媒体は、更なる態様として、前記アクセス・クレデンシャルが専用のファイル及び専用のディレクトリの少なくとも一方に対してのみ有効であることを規定するためのモジュールを備えるものである。これにより、保護が必要なデータとアクセス制限が必要ないデータとの区別化が可能となる。
【0030】
上記課題を解決するための手段の別の形態として、上記いずれかの態様の外部記憶媒体に接続されるための外部記憶媒体アクセス・インタフェースと、前記コンピュータのユーザが、前記外部記憶媒体に設定される前記失効条件と前記外部記憶媒体に記憶される前記アクセス・クレデンシャルとの少なくとも一方を設定又は規定することを可能にするための外部記憶媒体設定モジュール(external medium configuration module)とで構成される装置が提供される。
【0031】
アクセス・クレデンシャル又は失効条件、あるいはアクセス・クレデンシャル及び失効条件の両方を設定するために、(例えば、特定ソフトウェアを実行する)その目的専用のモジュールを備える装置(ホスト)が提供される。アクセス・クレデンシャルは、前記外部記憶媒体が取り外された後も(失効条件が満たされるまでは)有効なままであり続けるので、他のホストにもそのソフトウェアをインストールする必要はない。主に前記外部記憶媒体の所有者によって使用されるデバイスにその特定ソフトウェアをインストールする必要があるだけで、失効条件が満たされない限り、他のホストも前記外部記憶媒体上のユーザデータにアクセスすることができる。
【発明の効果】
【0032】
これは、現行のソリューションに存在する重大な問題を克服する。暗号化技術に基づく全てのソフトウェア及びほとんどのハードウェアでは、外部記憶媒体にアクセスするコンピュータにソフトウェアがインストールされる必要がある。時としてこれは、そのコンピュータに対する管理上の制限のため、あるいはオペレーティングシステムの非互換性のために不可能である。それに対し、上述した本発明の外部記憶媒体及びそれに関連する装置によるソリューションは、ただ1つのデバイスのみが外部記憶媒体にアクセスして設定(configure)する準備をする必要があるだけなので、利用が容易である。
【0033】
上記モジュールがインストールされる装置としては、本発明による上記外部記憶媒体を取り付けることができるようなコンピュータ、携帯電話機、又は別の移動もしくは固定デバイスであることが可能である。
【発明を実施するための最良の形態】
【0034】
以下、添付図面を参照して本発明の実施の最良の形態を詳細に説明する。まず図1に基本のセットアップ(構成)を示す。最初に、外部記憶媒体2が接続路1.2を介して信頼できるデバイス1(例えば、コンピュータ又は携帯電話機)に接続されている。信頼できるデバイスは、接続路1.2を介して任意のデータ(例えば、ユーザデータ)を外部記憶媒体に書き込んでそれに記憶させることができる。こうして記憶されるデータは、斯かるデータへの制限されたアクセスのみを許す(自由にアクセスできない)やり方で外部記憶媒体に記憶されることができる。ここで、ユーザデータという用語が使用される場合、この用語は、ユーザが外部記憶媒体に記憶したいと考えるデータのうち何らかのやり方でそのデータへのアクセスを制限して何とかして保護すべきと考えている任意のデータを指す。
【0035】
次に、図2を参照して、(ユーザ)データを、制限されたアクセスのみを許可するようなやり方で記憶するためのメカニズムについて更に説明する。信頼できるデバイス1は、外部記憶媒体にアクセスするための何らかの外部記憶媒体アクセス・インタフェース12(ソフトウェア、ハードウェア、又は両方の組み合わせで実現される)を有している。このインタフェースは、外部記憶媒体及び信頼できるデバイスを相互接続してデータを交換することができるようにするインタフェース、例えばUSBインタフェース、ブルートュース(Bluetooth)インタフェース、IrDAインタフェース、その他のインタフェースであり得る。更に、外部記憶媒体に、アクセスが制限されるようにデータを記憶するため、信頼できるデバイス1は、外部デバイス(外部記憶媒体)にアクセス・クレデンシャル(access credentials)を設定するためのモジュール11(ソフトウェア、ハードウェア、又は両方の組み合わせで実現される)が組み込まれている。アクセス・クレデンシャルを外部記憶媒体に設定又は書き込むことに加え、アクセス・クレデンシャルの有効期限を定める失効条件(expiration condition)がモジュール11によって設定される。
【0036】
アクセス・クレデンシャルは、(ユーザ)データにアクセスするための条件又は要件を定める任意のデータであり得る。言い換えると、アクセス・クレデンシャルは、外部記憶媒体に記憶されたユーザデータへのアクセスがそれに基づいてユーザに許可又は拒否されるデータである。アクセス・クレデンシャルは、例えば、外部記憶媒体に暗号化された形で記憶されたデータを復号するのに必要な1つ以上の鍵(キー)であってもよい。
【0037】
一方、信頼できるデバイス1の設定モジュール(configuration module)11によって設定もしくは規定されるアクセス・クレデンシャルに対する失効条件は、例えば、時刻(ある特定の時点)もしくは期間(ある特定の時間的な幅)といった有効期限(expiration time)であり得る。これは、アクセス・クレデンシャルが有効である期限を定めている。信頼できるデバイスは、外部記憶媒体へ、アクセス・クレデンシャルだけでなくそれらの有効性に関する、例えば有効期限や期限切れの判定基準(expiration criterion)といった条件もしくは基準も書き込むようになっている。
【0038】
本発明の実施の一形態によれば、アクセス・クレデンシャルは、外部記憶媒体に暗号化された形で記憶され、アクセス・クレデンシャル(複数)が有効である又は存在している限りにおいてのみユーザによるアクセス又は読み出しが可能となるようなユーザデータを復号するための、1つ以上の鍵(キー)である。この実施形態によれば、有効期限に達したと同時に鍵(キー)が削除されるまでは、(外部記憶媒体に暗号化された形で記憶された)ユーザデータにアクセス可能であるという効果をもたらすことができる。
【0039】
アクセス・クレデンシャルが1つ以上の鍵(キー)である更なる実施の形態によれば、ユーザデータが外部記憶媒体に暗号化されていない形で記憶される。失効条件(例えば、ある特定の時期の到来)が満たされると、アクセス・クレデンシャル(キー)はそれまでは暗号化されていなかったデータを暗号化するために使用され、その結果、データを復号するための鍵を知らないユーザは、もはやそれらのデータにアクセスすることはできないようになる。この実施形態は、先の実施形態とは真逆のケースである。というのも、先のケースではデータはまず最初に暗号化された形で外部記憶媒体に記憶されたのに対して、このケースではデータはまず最初に暗号化されていない形で記憶されるからである。
【0040】
本発明の実施の一形態におけるアクセス・クレデンシャルに加えて、失効条件が外部記憶媒体上に設定される。失効条件は、インクリメンタルに増分(1単位分ずつに増分)するカウンタ又はタイマの値と比較されるような別の値である。カウンタ又はタイマが失効条件に設定された値に達した場合、ユーザがもはや自由にユーザデータにアクセスできないようにするアクセス・クレデンシャルに基づく処理が実行される。この処理は、例えばアクセス・クレデンシャルを削除することであったり、あるいは、それまでは暗号化されていなかったユーザデータを暗号化して、暗号化が実行された後は、ユーザデータにはもはや自由にアクセスすることができないようにすることである。
【0041】
本発明の実施の一形態によれば、失効条件は、イベント数をカウントするカウンタに設定されている或る特定の値に対応している。斯かるイベントは、例えばユーザデータへのアクセス数であり得る。ここで、失効条件は、例えばこの条件が満たされるまでは自由にアクセスすることが許されるユーザデータへの最大アクセス数とすることができる。その条件をモニタするため、実施の一形態による外部記憶媒体は、イベント数をカウントするカウンタを備えており、例えばイベント数は、ユーザデータにアクセスする度に1つずつカウント数を増やすようにカウントされる、ユーザデータへのアクセス数などである。この実施形態では、ユーザデータへのアクセス数が(失効条件が定める)最大カウント数(最大アクセス数)に達するまでユーザデータに自由にアクセス可能であるという効果を実現することができる。既に説明したように、最大アクセス数に達したら、ユーザデータへのこれ以上のアクセスを制限するアクセス・クレデンシャルに基づく処理が実行される。この処理は例えば、アクセス・クレデンシャル(このアクセス・クレデンシャルなしではユーザデータにもはやアクセスすることはできない)を削除することによって行われたり、あるいは、更なる形態として、その処理はそれまで暗号化されていなかったユーザデータをアクセス・クレデンシャルに基づいて暗号化して、それによりユーザデータへのアクセスが制限され、アクセス・クレデンシャル(例えば、キー)を知るユーザのみがそのデータに暗号化された後もアクセスできるようにすることによって行われる。従って、失効条件が満たされた後は、ユーザデータは無許可のアクセスから保護される。
【0042】
更に、本発明の実施の更なる形態として、失効条件は、或る特定の期間とすることができる。この場合、失効条件は、例えば信頼できるデバイスから外部記憶媒体が取り外された後に時間を刻み始めるタイマの値と比較される。この形態によれば、有効期限が来るまでユーザデータはアクセス可能であるという効果をもたらすことができる。
【0043】
本発明の実施の更なる形態として、失効条件は、或る特定の時刻(時点)とすることができる。この場合、タイマの時間値が失効条件として設定された時間と比較される。この時刻が来た場合、前述したようなアクセスを制限するための処理がトリガーされ、ユーザデータを無許可のアクセスから保護する。
【0044】
これまでユーザデータについて記載してきたが、アクセス・クレデンシャルの設定及び失効条件の設定は、信頼できるデバイス1と外部記憶媒体2とが接続されている間に起こるものとして記載してきた。次に、これらの設定又は規定の後に動作するメカニズムについてより詳細に説明する。
【0045】
ユーザデータを外部記憶媒体に書き込み、アクセス・クレデンシャル及び失効条件を外部記憶媒体に設定した後に、その外部記憶媒体を信頼できるデバイスから取り外して接続路1.2を解除することができる。
【0046】
図3に概略的に示しているように、外部記憶媒体が取り外された後は、外部記憶媒体は任意の他のデバイス3に取り付けることができる。この他のデバイス3もまた、図2に示している外部記憶媒体アクセス・インタフェース12と同様の外部記憶媒体アクセス・インタフェース32を備えている。このインタフェース32を介して、デバイス3のユーザ(デバイス1のユーザと異なっている場合もある)は、外部記憶媒体に記憶されているユーザデータにアクセスを試みることができる。この試みが、失効条件が満たされる前に(例えば、失効条件がまだ満たされていないために、アクセス・クレデンシャルに基づく処理が実行される前に)行われる場合、(信頼できない)デバイス3の任意のユーザは、アクセス・クレデンシャルを知る必要なく、あるいはデバイス3に特定のソフトウェアもしくは(外部記憶媒体にそれを介してアクセス可能な一般的なアクセス・インタフェース以外の)特定のハードウェアをインストールする必要なく、記憶媒体2に記憶されたユーザデータに自由にアクセスすることができる。また一方、このインタフェースは、信頼できるデバイス1の外部記憶媒体アクセス・インタフェースに関連してすでに言及したような、外部記憶媒体にアクセスするために広く利用されるUSBインタフェース又はIrDAインタフェース、その他の標準インタフェースであり得る。
【0047】
ユーザデータへのアクセスを制限するアクセス・クレデンシャルに基づく処理が実行されていない限り、すなわち、デバイス3の任意のユーザは失効条件が満たされない限りは(例えば、有効期限にまだ達していない限り、あるいは最大アクセス数にまだ達していない限りは)、ユーザデータに自由にアクセスすることができる。しかしながら、失効条件が満たされた後は、デバイス3の任意のユーザに対してアクセスが制限される。斯かるユーザは、外部記憶媒体に記憶されたユーザデータに、条件が満たされた以後も更にアクセスするための特別な知識を有する必要がある(例えば、アクセス・クレデンシャル、もしくはそれに基づくデータを知る必要がある)。
【0048】
次に、図2を参照して、信頼できるデバイスの構成要素について詳しく説明する。図2は信頼できるデバイスを構成するモジュールを示しており、そこには外部記憶媒体アクセス・インタフェース12が存在する。このインタフェース12は、USBインタフェースなどの標準インタフェースであるハードウェアインタフェースから構成され得る。またこのインタフェースは、外部記憶媒体12にアクセスするために使用することができる何らかのソフトウェアを更に含み得る。このソフトウェアモジュールは、実施の一形態によれば、通常はオペレーティングシステムにバンドルされるデバイスドライバの形態をとる。言い換えると、インタフェース12は、外部記憶媒体にアクセスするための任意の標準インタフェースでよい。
【0049】
インタフェース12に加えて、デバイス1は外部記憶媒体設定モジュール11を備えている。このモジュール11は、外部記憶媒体を設定(configure)するとともにアクセス制御クレデンシャル(access control credential)を転送するように動作する。モジュール11は、実施の一形態としてソフトウェアモジュールとして実現されるが、しかしそれはハードウェア、又はハードウェアとソフトウェアとの組み合わせとしても実現可能である。実施の一形態によれば、モジュール11は例えば、デバイス1のユーザを認証し、場合によっては更に、デバイス1のユーザのパーソナライズされたスマートカードに基づいてアクセス・クレデンシャルを生成もしくはサイン(sign)するために使用されるスマートカードリーダを備え得る。
【0050】
実施の一形態によれば、このソフトウェアは外部記憶媒体に特化したものである。媒体2が、プロテクトされていない限り媒体からデータを読み出すためだけでなく、失効条件が満たされた後にそのデータがプロテクトされるようなやり方で媒体へデータを書き込むためにも利用されるならば、このソフトウェアは信頼できるデバイスにインストールされなければならない。モジュール11は、信頼できるデバイスにおける管理者特権が必要とされないようなやり方で構築することが可能であるが、実施の別の形態によれば管理権を持つユーザだけがモジュール11を使用することが可能である。
【0051】
図3に外部記憶媒体が接続可能な他の(信頼できない)デバイス3の一例を示す。デバイス3のユーザは、外部記憶媒体に記憶されたユーザデータにそれへのアクセスがまだ制限されていない限りアクセスすることが可能である。斯かる他のデバイスは、図2のモジュール12と同一であり得て、且つ同一の目的を果たし得るような外部記憶媒体アクセス・モジュール32を備えている。このモジュールにより、デバイス3のユーザは、外部記憶媒体2に記憶されたユーザデータに、保護処理によりそのユーザデータへのアクセスがまだ制限されていない限りは、言い換えると失効条件がまだ満たされていない限りは、アクセスすることが可能である。
【0052】
次に、図4を参照して実施の一形態による外部記憶媒体の動作について更に詳細に説明する。図4は、本発明の実施の一形態による外部記憶媒体のアーキテクチャを示している。
【0053】
外部記憶媒体2は、通信モジュール21を備えている。このモジュールは、信頼できるデバイス1又は信頼できないデバイス3との通信を担当する。それは、例えばUSBインタフェース、IrDAインタフェース、ブルートュース(Bluetooth)インタフェース又はその他のインタフェース等、任意の標準インタフェースの形態をとることができる。そのため、通信モジュール21は、図2及び図3にそれぞれ示されているインタフェース12及び32に類似する。
【0054】
通信モジュール21は、例えば、記憶媒体をデバイス1又は3から取り外す場合に、図1に示しているような接続路1.2及び2.3を解除する。
【0055】
外部記憶媒体は、実施の一形態によれば、1つ以上の記憶(ストレージ)ユニットを更に備えている。図4には、暗号化されたユーザデータを記憶するための記憶ユニット27と、暗号化されていないユーザデータを記憶するための記憶ユニット28が示されている。物理的には、実施の一形態によるこれら2つの記憶ユニットは、1つの記憶素子として実装されることがあるが、その場合、その記憶素子は論理的に2つのエリア、すなわち暗号化されたデータに対するエリアと復号された(暗号化されていない)データに対するエリアとに分割される。この分割は、実施の一形態によれば、暗号化されたデータと復号された(暗号化されていない)データとに対してそれぞれの必要な記憶エリアに応じて動的に変更することが可能である。
【0056】
外部記憶媒体2は、アクセス・クレデンシャルを記憶するためのストレージ24を更に備えている。このストレージは、物理的には、記憶ユニット27及び28と同じストレージの一部であり得る、あるいは、それは、例えば1以上の鍵(キー)を含んでいるアクセス・クレデンシャルを記憶するための専用の別個の記憶ユニットであり得る。
【0057】
外部記憶媒体は、外部記憶ユニットの全体の動作を制御する制御ユニット25を更に備えている。この制御ユニットは、例えば、ストレージ24、27又は28の1つに記憶されたプログラム、あるいは更なるプログラム・ストレージ(図示せず)に記憶されたプログラムに従って動作するマイクロプロセッサによって実装され得る。制御ユニット25は、通信モジュール21を制御し、それにより記憶ユニット24、27及び28へのアクセスと、当該外部記憶媒体が接続可能なデバイス1又は3といったデバイスとの通信を制御するようになっている。
【0058】
制御モジュール25は、暗号化データ記憶ユニット27に記憶されたデータの暗号化及び/又は復号を担当することができる暗号化モジュール25Aを更に備えている。暗号化モジュール25は、マイクロプロセッサによって実行されるコンピュータ・プログラムとして実装され得て、このマイクロプロセッサは、暗号化及び/又は復号を実行することが可能であり、その目的のためにストレージ24に記憶されたアクセス・クレデンシャル(例えば1つ以上の鍵)を利用することができる。
【0059】
通信モジュール21は、実施の一形態として、暗号化されていないユーザデータ28へのアクセスと、暗号化モジュール25aを介して提供することができるデータへのアクセスとを仲介する。通信モジュール21は更に、その通信モジュールが信頼できるデバイス1から受信するような、あるいは制御ユニット25によって内部生成されたようなアクセス・クレデンシャルを、クレデンシャル・ストレージ24に転送することができる。
【0060】
クレデンシャル・ストレージ24は、ストレージ24Aを更に備えることができる。このストレージ24Aには、暗号化データ記憶ユニット27に記憶されたユーザデータへのアクセスがもはや自由には行われないようにするための条件を規定する失効条件が保存され得る。失効条件は、実施の一形態によれば、その条件が満たされたと見なされるために経過する必要がある有効期間(expiration time period)を含んでいる。実施の更なる形態によれば、失効条件は、この条件がその時点で満たされたと見なされる実際の時刻であり得る。実施の更なる形態によれば、失効条件は、例えばユーザデータへのアクセスといった特定のイベントが生じた回数を表すカウンタ値に対応し得る。実施の更なる形態として、失効条件は、時間データとカウント数との組み合わせによって規定され得る。このとき、両方の条件(規定の時間値及びカウント数)が満たされた場合に、失効条件が満たされたと見なすことができる。実施の別の形態によれば、失効条件が満たされたと見なすため、条件(複数)のどれか1つの条件が満たされれば、例えばタイミングの条件又はカウント数の条件のどちらかが満たされれば十分であるとすることも可能である。
【0061】
実施の更なる形態によれば、失効条件ストレージ24Aは、アクセス・クレデンシャル・ストレージの一部ではなく、別個のストレージ、あるいは例えば記憶ユニット27又は28の一方の一部とすることができる。
【0062】
実施の更なる形態によれば、ストレージ24、24A、27、又は28のうちの1つ以上のものには、アクセス制御リスト(access control list)が記憶される。このアクセス制御リストは、どのデータ(例えば、どのファイル又はディレクトリ)が自由にアクセス可能であるか、また、どれが保護されるべきであるかを指定することができる。アクセス制御リストは、それによりユーザに応じて更に細かく差別化することができる。アクセス制御リストは、信頼できるデバイス1のユーザによってデータが外部記憶媒体2に書き込まれる時に設定され得る。その後、外部記憶媒体2は、どのデータが保護(プロテクト)されるべきかを知り、それに応じてデータを暗号化データ・ストレージ27又は暗号化されていないデータ・ストレージ28のいずれかに記憶する。暗号化データ・ストレージ27に記憶されるデータは、実施の一形態によれば、暗号化ユニット25Aを使用してそのデータを暗号化することにより、暗号化された形で記憶される。それらは、失効条件がまだ満たされていない限りはクレデンシャル・ストレージ24に記憶されたアクセス・クレデンシャルを使用することによって、復号することが可能である。
【0063】
外部記憶媒体2は、タイマ及び/又はカウンタ23を更に備えている。このタイマ及び/又はカウンタ23は、ある特定の条件、例えば期間(time period)、実時間(actual time)、又は暗号化データ記憶ユニット27に記憶されたユーザデータへのアクセス数のようなイベント数などを、インクリメンタルに測定又は監視する。制御ユニット25は、タイマあるいはカウンタ23によって測定された時間又は計数値、あるいは測定された時間及び計数値の両方を比較する、すなわち、それをクレデンシャル・ストレージ25Aに記憶された失効条件と比較することができる。
【0064】
外部記憶媒体2は、内部電源26(これは例えば、バッテリ又は任意の他の内部もしくは外部電源)を更に備えている。内部電源部品26は、タイマあるいはカウンタとクレデンシャル・ストレージとに電力供給をし、また場合によっては制御ユニット25にも電力を供給して、外部記憶媒体が電源から切り離された後もそれらが動作することができるようにする。
【0065】
外部記憶媒体2は、接続性検出モジュール(connectivity detection module)22を更に備えている。この接続性検出モジュールは、外部記憶媒体2がデバイス1又は3のようなデバイスに現在接続されているかどうか、あるいは外部記憶媒体が斯かるデバイスから取り外されているかどうかを検出する役割を果たす。接続性検出モジュール22は例えば、マイクロプロセッサ、例えば制御モジュール25を実装するマイクロプロセッサによって実装され得る。あるいは、接続性検出モジュールは、実施の更なる形態によれば、何か他のハードウェア又はソフトウェア・コンポーネントで実装され得る。通信モジュール21は、接続の有無についてのステータス情報を接続性検出モジュール22に報告することができる。接続性検出モジュール22は、それを受けて外部記憶媒体2が現在デバイス(デバイス1又は3など)に接続されているか否かを判定するようになっている。
【0066】
接続性検出モジュール22は、外部記憶媒体がデバイスにもはや接続されていないことを発見すると、そのことを制御モジュール25に報告し、制御モジュール25は、タイマあるいはカウンタ23をスタートさせる。この発見は、例えばUSB接続の場合には電力損失(power loss)の検出に基づいて行うこともできるが、他の適切な方法、例えば接続を繰り返しポーリングして適切なポーリング結果が受信されない場合は接続が解除されていると判断することによっても行うことができる。同様にして、接続性検出モジュールは、デバイス(デバイス1又は3など)との接続の確立も検出し、それを制御モジュール25に報告する。
【0067】
実施の一形態によれば、タイマあるいはカウンタ23は、タイマで構成され、失効条件ストレージ24Aから適切な有効期限の情報が与えられる。タイマは接続性検出モジュール22(又は制御モジュール25が、接続性が失われたことに応答して、トリガリングを実行すること)によってトリガーされ、タイマは有効期限が経過するまでカウントダウンを行う。このタイマは、失効条件が満たされたことに対応し、それに応答して制御モジュール25がアクセス・クレデンシャルをクレデンシャル・ストレージ24から削除するためのトリガーを提供する。これは、クレデンシャル・ストレージ24にはもはやアクセス・クレデンシャルが存在しないという結果をもたらし、このアクセス・クレデンシャルがなければ暗号化データ・ストレージ27に記憶されたデータをもはや復号することはできないことになる。それゆえ、外部記憶媒体2が接続され得る(信頼できない)デバイス3のユーザは、暗号化データ・ストレージ27に記憶されたデータにもはやアクセスすることは不可能になる。そのデータを外部記憶媒体2に書き込むとともに、アクセス・クレデンシャル及び失効条件を実際に設定したデバイス1のユーザのみが、失効条件が満たされた後でもそのデータにアクセスすることができる。これは、デバイス1上の外部記憶媒体設定モジュール11がクレデンシャル・ストレージ24から削除されてしまったアクセス・クレデンシャルを知っているためであり、従ってデバイス1のユーザのみが依然としてそのデータにアクセスすることができる。こうして、そのデータは任意の第3者による無許可のアクセスから保護される。
【0068】
このメカニズムによりデバイス1のユーザは、媒体2上のデータにその間だけ自由にアクセスできるような特定の時間枠を設定することができる。有効期限が経過した後は自由なアクセスを行うことはできない。これは、いまや非常に小型でほとんど誰にでも利用され、しかもセキリュティの観点から制御することが困難である外部記憶媒体に対する有効な保護のメカニズムである。斯かる外部記憶媒体2は、紛失したり、盗難に遭ったり、あるいは無許可の人物の手に渡る危険性がある。そこで、適切な短い時間枠を設定することにより、斯かる場合にもそこに記憶されたデータが保護されることが保障される。ただしこの時間枠内でだけ、例えば、1つのコンピュータから別のコンピュータへデータ転送するための自由なアクセスが許容される。現実的な観点から、有効期限は比較的小さな値、例えば、数分に設定されることが推奨される。この設定は、その時間中の無制限の利用には十分であり、しかしこの短い時間枠が過ぎれば保護が保障される。
【0069】
実施の一形態によれば、有効期限は、デバイス1のユーザが設定モジュール11を使用して異なる値を設定するまで、事前に定められた値(例えば5分)が設定される場合がある。外部記憶媒体2には、この比較的短い時間枠の間だけセキリュティ上のリスクが存在する。従って、外部記憶媒体にデータが記憶されたあとにおいては、制限されたやり方でのみアクセスが可能である。
【0070】
実施の一形態によれば、外部記憶媒体2が再度、デバイス1に接続されたことが接続性検出モジュールによって報告されるとすぐにカントダウンが停止され、タイマをリセットすることができる。これは、例えばクレデンシャル・ストレージ24に設定されたポリシーに依存し得る。
【0071】
実施の一形態によれば、クレデンシャル・ストレージ24は、通信モジュール21によって伝達されたクレデンシャルを記憶する。アクセス・クレデンシャルは、ユーザデータのどの部分がアクセス可能かであるかについてのアクセス制御情報を含むことができる。このアクセス制御情報は、ユーザがどのデータにアクセスすることが許されるかを指定するために使用されることが可能である。制御ユニットは、それに応じてそのデータへのアクセスを制限する。
【0072】
失効条件、例えば有効期限は、実施の一形態によれば、接続が失われた時間に関連しており、ユーザデータへの自由なアクセスのタイムリミットを指定する。この有効期限は、新しい接続が検出された後にリセットされるか、又はリセットされない場合がる。このタイムアウト動作は、タイマ・モジュールあるいはカウンタ・モジュールに伝えられ、タイマ・モジュールあるいはカウンタ・モジュールは、ユーザデータへのアクセスがそれに基づいて制限されるか、又は制約がなくなる条件を実際に規定する。
【0073】
実施の一形態によれば、クレデンシャル・ストレージは暗号鍵を記憶するようになっている。これらの暗号鍵は、媒体2がデバイス1に接続されたときの設定段階の間にクレデンシャル・ストレージに書き込まれたものである。これらの鍵は、暗号化エンジンが暗号化ユーザデータ・ストレージ27に記憶されたユーザデータを暗号化及び復号化することを可能にするために、暗号化モジュール25Aによって使用される。これらの鍵が利用可能で且つ削除されていない限り、任意のユーザは、たとえ鍵を知らなくとも、暗号化データ記憶ユニット27に記憶されたユーザデータにアクセスすることができる。これは、暗号化モジュールがこれらのデータを復号し、その結果、ユーザはアクセス・クレデンシャルについて何も知らなくてもそのデータにアクセスすることが可能となるためである。しかしながら、失効条件が満たされたために鍵が一旦削除されると、ストレージ27における暗号化データへの自由なアクセスはもはや可能ではなくなる。
【0074】
前述した実施形態によれば、ユーザデータは、媒体2が信頼できるデバイス1に接続され、データがデバイス1のユーザによって媒体2に書き込まれたときに、暗号化データ・ストレージ27に暗号化された形で記憶されている。しかしながら、実施の更なる形態によれば、ユーザデータは、暗号化データ・ストレージ27に暗号化されていない形で書き込まれ得る。この場合、暗号鍵もクレデンシャル・ストレージ24に書き込まれるが、しかし、失効条件が満たされていない限り、これらの暗号鍵はストレージ27のユーザデータにアクセスするためには必要ではない。なぜなら、これらのデータは暗号化されていないからである。しかしながら、失効条件が満たされると、クレデンシャル・ストレージ24内の暗号鍵は、暗号化ユーザデータ・ストレージ27に記憶されたデータを暗号化するために、暗号化モジュール25Aによって使用される。この瞬間から、暗号化ユーザデータ・ストレージ27に記憶されたデータにはどのユーザも自由にアクセスすることはもはやできなくなる。以後、ストレージ27に記憶されたユーザデータを復号するには暗号鍵を知ることが必要となる。しかしながら、これらの暗号鍵は、信頼できないどの第3者にも知られておらず、それらの暗号鍵は、そのユーザデータが媒体2に記憶されるときに外部記憶媒体にアクセス・クレデンシャルを設定したデバイス1のユーザのみが知っている。それゆえ、失効条件が満たされた後は、信頼できないどの第3者もストレージ27に記憶されたデータにアクセスすることはできない。
【0075】
実施の更なる形態によれば、タイマあるいはカウンタ23は実際にはカウンタであり、このカウンタはイベント数をカウントする。実施の一形態として、これらのイベントは、暗号化ユーザデータ・ストレージ27に記憶されたデータへのアクセス数である。接続性検出モジュール22が接続損失(connectivity loss)を検出するとすぐにカウンタ23の作動開始がトリガーされ、カウンタは暗号化ユーザデータ・ストレージ27へのアクセス数のカウントを開始する。外部記憶媒体設定モジュール11を使用して、外部記憶媒体を設定(configuration)する間において、失効条件はイベント数として設定され、実施の一形態によれば、そのイベント数はストレージ27に記憶されたデータへのアクセス数に対応する。この失効条件は、失効条件ストレージ24Aに記憶される。外部記憶媒体2がデバイス1から取り外された(この事実は接続性検出モジュール22によって検出される)後に、カウンタ23は作動を開始し、制御ユニット25はカウンタ23の計数値を失効条件ストレージ24Aに設定された失効条件と比較する。それらが合致すると、言い換えるとカウント数が最大アクセス数に達した場合、クレデンシャル・ストレージに記憶されたアクセス・クレデンシャルに基づく処理、例えば暗号鍵の削除(ストレージ27に記憶されたデータが暗号化されている場合)、あるいはストレージ27に記憶されたデータの暗号化(これらのデータがそれまで暗号化されていなかった場合)等の処理がトリガーされる。これ以降、ストレージ27に記憶されたデータは、もはやアクセス可能ではなくなる。
【0076】
実施の更なる形態によれば、タイマあるいはカウンタ23は、タイマ・モジュールとカウンタ・モジュールとで構成され得る。失効条件ストレージ24Aは、失効条件としてタイミングの条件とカウント数の条件とを記憶し得る。完全な失効条件は、例えば、それぞれ単一の失効条件(タイミングの条件及びアクセス数の条件)の両方が満たされた場合に条件が満たされることになる。実施の更なる形態では、これらの条件の1つが満たされれば十分であると見なされる。このような場合、ストレージ27に記憶されたデータへのアクセスを制限する処理が、例えば暗号鍵の削除あるいはそこに記憶されたデータの暗号化によってトリガーされる。
【0077】
実施の更なる形態によれば、暗号化ユーザデータ・ストレージ27に記憶されたデータへのアクセスを制限するための処理は、単にこのデータを削除することだけで構成されている。この処理は、そのデータをそれ以後はもはや何人も読み出すことはできなくなるという効果をもたらすが、それだけでなく暗号化モジュール25Aを提供する必要性が回避されるほかに、暗号鍵が記憶されるクレデンシャル・ストレージを備える必要性が回避される。この実施形態によれば、この処理はこれまでのものよりずっとシンプルであり、その一方で、この形態はユーザデータ・ストレージ27(又は28)に記憶されたデータを削除した後は、このデータに何人ももはやアクセスできなくなるという不都合が伴う。
【0078】
実施の更なる形態によれば、失効条件は、(時間的な幅である)有効期間(expiration period)には対応しておらず、実際には有効期限(expiration time)、言い換えると失効条件ストレージ24Aに設定された特定の時刻(時点)に対応している。この場合、タイマ23は、接続損失の検出後にゼロからカウントし始めるタイマではなく、実時間を継続的に測定するものである。制御ユニット25は、タイマ23によって測定されたこの時間を失効条件ストレージ24Aに記憶された時間と継続的に比較する。双方の時間が合致した場合、ユーザデータ・ストレージ27又は28に記憶されたデータへのアクセスを制限する処理が開始される。
【0079】
次に、図5のシーケンス図を参照して本発明による実施の一形態の動作を説明する。図5の左側には信頼できるデバイス1、中央には外部記憶媒体2、右側にはその他のデバイスが示されている。
【0080】
まず最初に、信頼できるデバイス1は外部記憶媒体2に接続されており、アクセス・クレデンシャル及び失効条件(クレデンシャル及びその寿命期間)が、外部記憶媒体に設定され、且つ、記憶される。その設定の完了が、ACK(acknowledgement)メッセージOKで通知される。
【0081】
次に、ユーザデータが外部記憶媒体に書き込まれ、場合によっては、どのデータが自由にアクセス可能であるか、及び、どのデータがそのデータへのアクセスを制限することによって保護されるべきかを指定するようなアクセス制御リストACL(access control list)とともに書き込まれる。この場合も同様に、転送の完了がACKメッセージOKで通知される。その後、外部記憶媒体は信頼できるデバイス1から切断される。
【0082】
切断をトリガーとして、上記で説明したように、タイマあるいはカウンタ23は、作動を開始する。外部記憶媒体は、その後別のデバイスに接続され得て、その別のデバイスは外部記憶媒体からデータを要求し得る。そのデータは、失効条件が満たされていない限りはアクセス可能であり、要求に応じて送信される。しかしながら、或る時間が経過した後あるいはユーザデータへのアクセスが或るアクセス数に達した後に、失効条件は実際に満たされたことになり、図5に示しているように、そのユーザデータへのアクセスを制限するための処理が、例えばアクセス・クレデンシャルを削除することによって実行される。その後に、外部記憶媒体が別のデバイス3に接続され、このデバイスが外部記憶媒体からデータを要求する場合、このデータへのアクセスは制限される。これは、要求されたデータが暗号化されており、対応する復号鍵がすでに削除されていることによりもはやアクセスができないようになっているからである。この場合、エラーメッセージが発行され、その後、他のデバイス3は、要求したデータにアクセスすることが可能になることなく、切断されなければならない。別の実施形態の場合における別の理由は、失効条件が満たされるまで暗号化されていなかったデータが、その条件が満たされたことを契機に暗号化され、必要な復号鍵について何も知らないような信頼できない第3者には、もはやそのデータを読み出すことが不可能となる。
【0083】
当業者であれば、上記実施形態に関連して説明されたコンポーネント及びモジュールは、ソフトウェア、ハードウェア、又は双方の組み合わせで実現することが可能であることは、通常、理解されるであろう。
【0084】
当業者であれば更に、上記実施形態における外部記憶媒体は、コンピュータに接続される代わりに、ユーザを書き込んだりあるいは読み出したりすることが可能な、例えば携帯電話機、スマートフォン、PDA、又は何か他のコンピュータ・デバイスといった、任意の他のデバイスに接続されることがあることが理解されるであろう。
【図面の簡単な説明】
【0085】
【図1】本発明の実施形態による外部記憶媒体及びホストの利用形態を示している図である。
【図2】本発明の実施の一形態による信頼できるデバイスの概略的な構成図である。
【図3】本発明の実施の一形態による信頼できない他のデバイスの概略的な構成図である。
【図4】本発明の実施の一形態による外部記憶媒体の概略構成図である。
【図5】本発明の実施の一形態による外部記憶媒体及びホストの動作に関するシーケンス図である。
【符号の説明】
【0086】
1 信頼できるデバイス
2 外部記憶媒体
3 信頼できない他のデバイス
1.2,2.3 接続路
11 外部記憶媒体設定モジュール
12,32 外部記憶媒体アクセス・インタフェース
21 通信モジュール
22 接続性検出モジュール
23 タイマ/カウンタ
24 クレデンシャル・ストレージ
24A 失効条件ストレージ
25 制御モジュール
25A 暗号化ユニット
26 内部電源
27 暗号化されたユーザデータ・ストレージ
28 暗号化されていないユーザデータ・ストレージ
【特許請求の範囲】
【請求項1】
コンピュータに接続することができ、前記コンピュータのユーザがユーザデータを書き込む又は読み出すことができる外部記憶媒体であって、
前記ユーザデータを記憶するための記憶ユニットと、
失効条件を記憶するための記憶ユニットと、
時間値又はイベント数の値、あるいは前記時間値と前記イベント数の値の両方をインクリメンタルに測定するタイマ又はカウンタ、あるいは前記タイマ及び前記カウンタの両方と、
当該外部記憶媒体が前記コンピュータに接続されているか否かを検出するための接続性検出モジュールと、
当該外部記憶媒体が前記コンピュータから取り外されていることを前記接続性検出モジュールが検出した場合に前記タイマ又は前記カウンタを作動開始させて、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値と前記イベント数の値の両方が前記失効条件と比較し、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値及び前記イベント数の値の両方が前記失効条件と合致すると判定した場合には、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにそれ以後もはや自由にアクセスすることができないようにするための処理を実行するように構成されている制御モジュールと
を備えている外部記憶媒体。
【請求項2】
前記ユーザデータへのユーザのアクセスをそれに基づいて許可又は拒否するアクセス・クレデンシャルを記憶するための記憶ユニットを更に備えており、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、前記アクセス・クレデンシャルに基づいて前記ユーザデータを暗号化又は復号化することを含んでいる、請求項1に記載の外部記憶媒体。
【請求項3】
当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、前記ユーザデータを削除することを含んでいる、請求項1又は2に記載の外部記憶媒体。
【請求項4】
当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、当該外部記憶媒体に記憶された前記アクセス・クレデンシャルを削除することを含んでいる、請求項1乃至3のいずれか1項に記載の外部記憶媒体。
【請求項5】
前記カウンタによって測定されるイベントの数は、ユーザによる前記ユーザデータへのアクセス数である、請求項1乃至4のいずれか1項に記載の外部記憶媒体。
【請求項6】
前記失効条件は、
前記ユーザデータへのアクセス数、又は当該外部記憶媒体が前記コンピュータから取り外された後の有効期限、あるいは、
前記ユーザデータへのアクセス数と、当該外部記憶媒体が前記コンピュータから取り外された後の有効期限の両方である、請求項1乃至5のいずれか1項に記載の外部記憶媒体。
【請求項7】
前記ユーザデータを前記アクセス・クレデンシャルに基づいて、暗号化又は復号化、あるいは、暗号化と復号化の両方を行うための暗号化モジュールと、
暗号化された前記ユーザデータを記憶するためのストレージと、
暗号化されていない前記ユーザデータを記憶するためのストレージと
を備えている、請求項1乃至6のいずれか1項に記載の外部記憶媒体。
【請求項8】
前記失効条件は、前記コンピュータのユーザによって明確に変更されない限りは事前に定められた値を設定している、請求項1乃至7のいずれか1項に記載の外部記憶媒体。
【請求項9】
前記アクセス・クレデンシャルは、専用ファイル又は専用ディレクトリ、あるいは前記専用ファイルと専用ディレクトリの両方に対してのみ有効であることを規定するためのモジュールを更に備えるものである、請求項1乃至8のいずれか1項に記載の外部記憶媒体。
【請求項10】
請求項1乃至9のいずれか1項に記載された外部記憶媒体に接続されるための外部記憶媒体アクセス・インタフェースと、
前記コンピュータのユーザが、前記外部記憶媒体に設定される前記失効条件又は前記外部記憶媒体に記憶される前記アクセス・クレデンシャル、あるいは前記外部記憶媒体に設定される前記失効条件と前記外部記憶媒体に記憶される前記アクセス・クレデンシャルの両方を、設定又は規定することを可能にするための外部記憶媒体設定モジュールと
で構成されている装置。
【請求項1】
コンピュータに接続することができ、前記コンピュータのユーザがユーザデータを書き込む又は読み出すことができる外部記憶媒体であって、
前記ユーザデータを記憶するための記憶ユニットと、
失効条件を記憶するための記憶ユニットと、
時間値又はイベント数の値、あるいは前記時間値と前記イベント数の値の両方をインクリメンタルに測定するタイマ又はカウンタ、あるいは前記タイマ及び前記カウンタの両方と、
当該外部記憶媒体が前記コンピュータに接続されているか否かを検出するための接続性検出モジュールと、
当該外部記憶媒体が前記コンピュータから取り外されていることを前記接続性検出モジュールが検出した場合に前記タイマ又は前記カウンタを作動開始させて、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値と前記イベント数の値の両方が前記失効条件と比較し、測定された前記時間値又は測定された前記イベント数の値、あるいは前記時間値及び前記イベント数の値の両方が前記失効条件と合致すると判定した場合には、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにそれ以後もはや自由にアクセスすることができないようにするための処理を実行するように構成されている制御モジュールと
を備えている外部記憶媒体。
【請求項2】
前記ユーザデータへのユーザのアクセスをそれに基づいて許可又は拒否するアクセス・クレデンシャルを記憶するための記憶ユニットを更に備えており、当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、前記アクセス・クレデンシャルに基づいて前記ユーザデータを暗号化又は復号化することを含んでいる、請求項1に記載の外部記憶媒体。
【請求項3】
当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、前記ユーザデータを削除することを含んでいる、請求項1又は2に記載の外部記憶媒体。
【請求項4】
当該外部記憶媒体に接続されたコンピュータのユーザが前記ユーザデータにもはや自由にアクセスすることができないようにするための前記処理は、当該外部記憶媒体に記憶された前記アクセス・クレデンシャルを削除することを含んでいる、請求項1乃至3のいずれか1項に記載の外部記憶媒体。
【請求項5】
前記カウンタによって測定されるイベントの数は、ユーザによる前記ユーザデータへのアクセス数である、請求項1乃至4のいずれか1項に記載の外部記憶媒体。
【請求項6】
前記失効条件は、
前記ユーザデータへのアクセス数、又は当該外部記憶媒体が前記コンピュータから取り外された後の有効期限、あるいは、
前記ユーザデータへのアクセス数と、当該外部記憶媒体が前記コンピュータから取り外された後の有効期限の両方である、請求項1乃至5のいずれか1項に記載の外部記憶媒体。
【請求項7】
前記ユーザデータを前記アクセス・クレデンシャルに基づいて、暗号化又は復号化、あるいは、暗号化と復号化の両方を行うための暗号化モジュールと、
暗号化された前記ユーザデータを記憶するためのストレージと、
暗号化されていない前記ユーザデータを記憶するためのストレージと
を備えている、請求項1乃至6のいずれか1項に記載の外部記憶媒体。
【請求項8】
前記失効条件は、前記コンピュータのユーザによって明確に変更されない限りは事前に定められた値を設定している、請求項1乃至7のいずれか1項に記載の外部記憶媒体。
【請求項9】
前記アクセス・クレデンシャルは、専用ファイル又は専用ディレクトリ、あるいは前記専用ファイルと専用ディレクトリの両方に対してのみ有効であることを規定するためのモジュールを更に備えるものである、請求項1乃至8のいずれか1項に記載の外部記憶媒体。
【請求項10】
請求項1乃至9のいずれか1項に記載された外部記憶媒体に接続されるための外部記憶媒体アクセス・インタフェースと、
前記コンピュータのユーザが、前記外部記憶媒体に設定される前記失効条件又は前記外部記憶媒体に記憶される前記アクセス・クレデンシャル、あるいは前記外部記憶媒体に設定される前記失効条件と前記外部記憶媒体に記憶される前記アクセス・クレデンシャルの両方を、設定又は規定することを可能にするための外部記憶媒体設定モジュールと
で構成されている装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2007−220122(P2007−220122A)
【公開日】平成19年8月30日(2007.8.30)
【国際特許分類】
【外国語出願】
【出願番号】特願2007−34250(P2007−34250)
【出願日】平成19年2月15日(2007.2.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
【公開日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願番号】特願2007−34250(P2007−34250)
【出願日】平成19年2月15日(2007.2.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
[ Back to top ]