情報記録装置及びその制御方法
【課題】磁気テープ装置等の記録媒体を複数のユーザで共用する場合のセキュリティ上の問題を解消し得る情報記録装置及びその制御方法を提供する。
【解決手段】本情報記録装置は、異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成し、当該リストを所定の鍵に対応する上位装置に送信する制御部と、を備える。書き込み時に使用した暗号鍵で暗号化されたコンテンツのみを報告することにより、他の上位装置から書き込まれたコンテンツの存在自体を隠蔽し、それによって暗号鍵を変更しながら読み込みを試みるブルートフォースアタックや、コンテンツ名などの情報自体の漏洩を防ぐ。
【解決手段】本情報記録装置は、異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成し、当該リストを所定の鍵に対応する上位装置に送信する制御部と、を備える。書き込み時に使用した暗号鍵で暗号化されたコンテンツのみを報告することにより、他の上位装置から書き込まれたコンテンツの存在自体を隠蔽し、それによって暗号鍵を変更しながら読み込みを試みるブルートフォースアタックや、コンテンツ名などの情報自体の漏洩を防ぐ。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、テープメディア等の記録媒体にデータを記録再生することができる情報記録装置及びその制御方法に関する。
【背景技術】
【0002】
従来、コンピュータシステムにおけるデータ増大に伴い、ストレージ容量の増加が進み、バックアップの重要性はますます高まっている。バックアップ先の記憶装置として、一般的に磁気テープ装置が用いられている。非特許文献1には、暗号化機能が備わった磁気テープ装置を使用し、磁気テープを暗号化することによってセキュリティを向上させる運用が記載されている。
【0003】
また近年、磁気テープの容量増加に伴い、磁気テープ装置を複数の上位装置に接続し、1巻の磁気テープを複数のユーザで共用する場合がある。そのような場合、他者が自分のデータにアクセスできないよう、コンテンツごとに異なる暗号鍵を割り当てて暗号化して記録し、磁気テープを共用するという技術が知られている。例えば、特許文献1には、テープメディアからコンテンツのリストを読み出し、次に使用者がリストからコンテンツを選択、そのコンテンツの鍵を入力することで、コンテンツを読み出すことが可能となるという技術が記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−185697号公報
【非特許文献】
【0005】
【非特許文献1】「ULTRIUM LTO」、[online]、[平成22年9月8日検索]、インターネット<URL:http://www.lto-technology.com/>
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に記載の従来技術では、使用者は鍵の有無に関わらずコンテンツのリストを取得できるため、例えば、ブルートフォース(総当り)攻撃などにより鍵を解読することが可能であるというセキュリティ上の問題が指摘されている。また、コンテンツ名が見えることからコンテンツの内容が類推されうるという情報の漏洩も発生する可能性がある。
【0007】
本発明は、斯かる実情に鑑み、磁気テープ装置等の記録媒体を複数のユーザで共用する場合のセキュリティ上の問題を解消し得る情報記録装置及びその制御方法を提供しようとするものである。
【課題を解決するための手段】
【0008】
本発明の一態様による情報記録装置は、異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成し、当該リストを所定の鍵に対応する上位装置に送信する制御部と、を備える。かかる情報記録装置によれば、複数の異なる鍵で暗号化されたコンテンツが記録された情報記録媒体からコンテンツのリストを読み出す際に、与えられた鍵で暗号化されたコンテンツのリストを上位装置に報告することが可能となる。
【0009】
好適には、制御部は、所定の鍵を上位装置から受け取る。鍵は上位装置に固有の識別子を使用してもよいし、ユーザ毎又はコンテンツ種類毎に、異なる鍵を使用するものとしてもよい。かかる情報記録装置によれば、鍵を有するユーザないし上位装置以外に対してのみ、当該鍵で暗号化されたコンテンツのリストを送ることができるようになり、他者又は他の上位装置への情報漏洩を防ぐことが可能となる。
【0010】
また、制御部は、記録媒体に記録された複数のコンテンツの各々に対して所定の鍵で復号を試みることによって、複数のコンテンツの各々が所定の鍵で暗号化されたものであるか否かを判定することが好ましい。かかる情報記録装置によれば、暗号化機能を持つ磁気テープ装置に対し、与えられた鍵と一致するコンテンツのみをリストとして上位装置に報告することが可能となる。
【0011】
好適には、制御部は、所定の鍵から生成したハッシュと、コンテンツを暗号化する際に使用した鍵から生成したハッシュとを比較し、両者が一致する場合には、コンテンツを所定の鍵で暗号化されたコンテンツであると判定する。かかる情報記録装置によれば、データ読み出し時に暗号鍵のハッシュの比較を行うことで有効なコンテンツを判断することによって、データの復号を試みることなく有効なコンテンツが判断できるため、データ読み出し時のアクセスを高速化することができる。
【0012】
さらに好適には、記録媒体は、第一のパーティションと第二のパーティションを含み、制御部は、第一のパーティションに記録された情報のみを基にリストを作成する。かかる情報記録装置によれば、読み出し処理時に有効なデータの末尾にあるボリュームトレーラーまでアクセスする必要がないので、処理全体を高速化できる。また、平文で情報が格納されていたボリュームトレーラーを無くすことができるので、別の装置で読まれてもコンテンツの内容が類推されることがなくなる。
【0013】
本発明の一態様による情報記録装置の制御方法は、記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成するステップと、当該リストを所定の鍵に対応する上位装置に送信するステップと、を備える。かかる制御方法によれば、読み出しの際に報告するリストとして、書き込み時に使用した暗号鍵で暗号化されたコンテンツのみを報告することにより、他の上位装置から書き込まれたコンテンツの存在自体を隠蔽し、それによって暗号鍵を変更しながら読み込みを試みるブルートフォースアタックや、コンテンツ名などの情報自体の漏洩を防ぐことができる。
【発明の効果】
【0014】
本発明によれば、磁気テープ装置等の記録媒体を複数のユーザで共用する場合のセキュリティ上の問題を解消し得る情報記録装置及びその制御方法を提供可能となる。より具体的には、読み出しの際に報告するリストとして、書き込み時に使用した暗号鍵で暗号化されたコンテンツのみを報告することにより、他の鍵で暗号化されて書き込まれたコンテンツの存在自体を隠蔽し、それによって暗号鍵を変更しながら読み込みを試みるブルートフォースアタックや、コンテンツ名などの情報自体の漏洩を防ぐことができる。
【図面の簡単な説明】
【0015】
【図1】本発明による情報記録装置を用いたシステム構成の一実施例を示すブロック図である。
【図2】媒体上に記録されるデータのフォーマットを示す概略図である。
【図3】セッショントレーラー333に含まれる情報を格納するテーブルの一例である。
【図4】ボリュームトレーラー34に含まれる情報を格納するテーブルの一例である。
【図5】情報記録装置1へのデータの書き込み処理のフローチャートである。
【図6】情報記録装置1からのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【図7】ボリュームトレーラー34に含まれる情報を格納するテーブルの一例である。
【図8】情報記録装置1へのデータの書き込み処理のフローチャートである。
【図9】情報記録装置1からのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【図10】第一のパーティションの構成を示す概略図である。
【図11】第二のパーティションの構成を示す該略図である。
【図12】情報記録装置1へのデータの書き込み処理のフローチャートである。
【図13】情報記録装置1へのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【発明を実施するための形態】
【0016】
以下、本発明の実施の形態について図面を参照しつつ詳細に説明する。
【0017】
図1は、本発明による情報記録装置を用いたシステム構成の一実施例を示すブロック図である。
【0018】
図1に示すように、本発明の実施例では、複数の上位装置2と、複数の上位装置2のデータをバックアップとして磁気テープに記録する情報記録装置1を含んで構成される。
【0019】
情報記録装置1はさらに、上位装置2からコマンドを受け取り、コマンドに従った動作を行う制御部11と、制御部11の制御によって上位装置2からのデータを媒体に格納するドライブ12と、ドライブ12にデータを格納する際に行う暗号化の鍵を格納する暗号鍵格納部13と、媒体上に記録されている全コンテンツのリストを格納するリスト格納部14とを含んで構成される。情報記録装置1の制御部11は、各上位装置2からコマンドを受け取り、コマンドに従ってデータの記録を行うが、各上位装置2はそれぞれ排他的に情報記録装置1を使用する。また、ドライブ12にデータを記録する際に使用する暗号鍵も、各上位装置2毎にそれぞれ異なった鍵を使用して暗号化を行うこととする。
【実施例1】
【0020】
図2〜図6は本発明の一実施例を示すものある。
【0021】
図2は、本実施例において媒体上に記録されるデータのフォーマットを示す概略図である。データは、BOT(Beginning of Tape)の位置から順にボリュームヘッダー31に続いて、1回の書き込み単位であるセッション33が複数回の書き込みにより書き込まれ、最後にボリュームトレーラー34が書き込まれる。ボリュームヘッダー31と各セッション33とボリュームトレーラー34の間には、それぞれセパレータ(SP)32が書き込まれる。なお、EOD(End of Data)はデータの終了位置を示す。各セッション33は、セッションヘッダー331に続き複数のファイル332が書き込まれ、最後にセッショントレーラー333が書き込まれる。本実施例ではセッション33がコンテンツに相当する。
【0022】
図3は、セッショントレーラー333に含まれる情報を格納するテーブルの一例である。セッショントレーラー333は、ユーザがセッション33に対して名づけた任意の文字列で構成されるセッション名41を含む。セッショントレーラー333はさらに、セッション33内に含まれる全ての(図3の例ではN個の)ファイル332のそれぞれに対して、ファイル番号42と、ユーザが各ファイル332に対して名づけた任意の文字列で構成されるファイル名43と、ファイル332が格納されている媒体上の開始ブロックID44と、ファイル332のデータが占めるブロック数45とを含む。
【0023】
図4は、ボリュームトレーラー34に含まれる情報を格納するテーブルの一例である。ボリュームトレーラー34は、ボリューム内に含まれる全てのセッション33のそれぞれに対して、セッション番号51と、セッション名52と、セッションが格納されている媒体上の開始ブロックID53と、セッショントレーラーの開始ブロックIDを示すトレーラーブロックID54とを含む。
【0024】
次に、本実施例における情報記録装置1の動作について説明する。
【0025】
図5は、情報記録装置1へのデータの書き込み処理のフローチャートである。
【0026】
情報記録装置1の使用権を獲得した上位装置2は、全ての命令に先立って上位装置2から制御部11に暗号鍵の受け渡しを行う。他の装置との排他を行う手法としては、RESERVE/RELEASEコマンドによって情報記録装置1で管理する方法や、ETHERNET(登録商標)などの別の通信手段により上位装置2同士が通信を行って排他する方法などがあるが、本発明においては如何なる排他制御手法をも適用可能であり、本実施例では排他制御の方法については特定しない。
【0027】
暗号鍵を上位装置2から受け取ると、制御部11は暗号鍵格納部13に鍵を格納する(S101)。続いて上位装置2から書き込みコマンドを受け取ると、制御部11では書き込みコマンドが上書きなのか追記なのかの判断を行う(S102)。上書きの場合(S102:No)は、ドライブ12にマウントされた記録媒体に対してボリュームヘッダー31の書き込みを行う(S104)。追記の場合(S102:Yes)は、媒体に書き込まれたボリュームトレーラー34の先頭ブロックまでブロック位置を移動し、ボリュームトレーラー34を読み出してリスト格納部14に格納する(S103)。
【0028】
その後、S101にて受け取り、暗号鍵格納部13に格納しておいた暗号鍵をドライブ12に設定する(S105)。ドライブ12はこれ以降のデータの書き込みを指定した暗号鍵を用いて暗号化してから媒体に書き込む。上位装置2から1回の指定で書き込みができる単位をセッション33とし、セッション33の中には複数のファイル332を含むことができることとする。制御部11はセッションヘッダー331を書き込んだ後、上位装置2からファイルを受け取りながらドライブ12にマウントされた媒体に書き込みを行う。全てのファイル332の書き込みが終わるとセッショントレーラー333を書き込むことにより、1つのセッション33の書き込み処理を完了する(S106)。ボリュームヘッダー31やボリュームトレーラー34、および各セッション33の間には、それぞれの領域の境が分かるようにセパレータ(SP)32で仕切ることとする。セッション33の書き込みが完了すると、ドライブ12に設定された暗号鍵をクリアし(S107)、ボリュームトレーラー34から読み出してリスト格納部14に格納してあったリスト情報に書き込んだセッション情報を追加し、ボリュームトレーラー34として媒体に書き込みを行う(S108)。
【0029】
図6は、情報記録装置1からのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【0030】
データの書き込み処理と同様、情報記録装置1の使用権を獲得した上位装置2は、制御部11に暗号鍵の受け渡しを行う。暗号鍵を上位装置2から受け取ると、制御部11は暗号鍵格納部13に鍵を格納する(S201)。次に、テープの先頭に書かれているボリュームトレーラー34を読み出し、リスト格納部14に格納する(S202)。
【0031】
その後、S201にて受け取り、暗号鍵格納部13に格納しておいた暗号鍵をドライブ12に設定する(S203)。続いて、各セッション33のセッショントレーラー333の読み出し処理を行う。各セッション33のセッショントレーラー333の位置は、ボリュームトレーラー34内のトレーラーブロックID54に格納されているため、この情報をもとに位置づけを行った後にセッショントレーラー333の読み出しを、ドライブ12に設定した暗号鍵で復号を試みることによって行うこととする(S204)。S203において設定した暗号鍵が書き込んだ際に使用した暗号鍵と等しければ復号化できるので、S204の読み出し処理は成功する。一方、暗号鍵が異なっていた場合には復号化できず、読み出しは失敗する(S205)。
【0032】
読み出しに成功した場合は(S205:Yes)、リスト格納部14内の対応するセッションに有効なセッションというマークを記録しておき(S206)、読み出しに失敗した場合は(S205:No)、リスト格納部14内の対応するセッションに無効なセッションというマークを記録しておく(S207)。以上、S204〜S207の処理を全てのセッション33について繰り返し実施し、全てのセッション33について処理し終わった時には(S208:No)、リスト格納部14の中から上位装置2に有効セッションのみを報告することとする(S209)。この後、上位装置2は、報告されたセッション情報のリストから、読み出すセッションを選択して読み込みを行う。
【0033】
なお、別の上位装置2から書き込み、読み出しを行う場合は、S101およびS201において受け渡す鍵が他の上位装置2とは異なることを除いて、同じ処理である。
【0034】
以上で説明したように、本実施例による情報記録装置1では、読み出しの際に報告するセッションリストとして、書き込み時に使用した暗号鍵で暗号化されたセッションのみを報告することにより、他の上位装置から書き込まれたセッションの存在自体を隠蔽し、それによって暗号鍵を変更しながら読み込みを試みるブルートフォースアタックや、セッション名などの情報自体の漏洩を防ぐことができる。
【実施例2】
【0035】
次に、本発明の第二の実施例について説明する。実施例1ではセッショントレーラーの復号を試みながら上位装置に報告するリストを作成しているため、読み出しに時間がかかることがある。本実施例ではボリュームトレーラーに暗号鍵のハッシュ値を付加することによって読み出しの高速化を図る。
【0036】
実施例2において、図1に示すシステムの構成要素の機能と振る舞い、図2に示す媒体のデータフォーマット、および、図3に示すセッショントレーラーは、実施例1と同様であるので説明を省略する。
【0037】
次に、図7〜図9を参照して、本実施例における情報記録装置1の動作について詳細に説明する。
【0038】
図7は、本実施例におけるボリュームトレーラー34に含まれる情報を格納するテーブルの一例である。セッション番号71、セッション名72、セッションが格納されている媒体上の開始ブロックID73、及びセッショントレーラーの開始ブロックIDを示すトレーラーブロックID74はそれぞれ、図4に示すセッション番号51、セッション名52、開始ブロックID53、及びトレーラーブロックID54と同じである。本実施例ではこれらに加えて、セッションの暗号化に用いた暗号鍵から生成したハッシュ75を含む。
【0039】
次に、本実施例における情報記録装置1の動作について説明する。
【0040】
図8は、情報記録装置1へのデータの書き込み処理のフローチャートである。
【0041】
情報記録装置1が暗号鍵を上位装置2から受け取ると、制御部11が暗号鍵格納部13に鍵を格納し(S801)、続いて上位装置2から書き込みコマンドを受け取ると、制御部11でコマンドが上書きなのか追記なのかの判断を行い(S802)、上書きの場合(S802:No)は、ドライブ12にマウントされた媒体に対してボリュームヘッダー31の書き込みを行い(S803)、追記の場合(S802:Yes)は、ボリュームトレーラー34を読み出してリスト格納部14に格納する(S804)。その後、制御部11が暗号鍵格納部13に格納しておいた暗号鍵をドライブ12に設定し(S805)、セッションヘッダー331を書き込んだ後、上位装置2からファイルを受け取りながらドライブ12にマウントされた媒体に書き込み、全てのファイル332の書き込みが終わるとセッショントレーラー333を書き込むことにより、1つのセッション33の書き込み処理を完了する(S806)。ここまでの処理は実施例1と同じである。
【0042】
セッション33の書き込みが完了すると、ドライブ12に設定された暗号鍵のハッシュを生成した後(S807)、ドライブ12の暗号鍵をクリアし(S808)、リスト格納部14に格納してあったリスト情報に書き込んだセッション情報を追加し、図7に示すボリュームトレーラー34として媒体に書き込みを行う(S809)。
【0043】
図9は、情報記録装置1からのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【0044】
情報記録装置1が上位装置2からセッションリスト読み出しコマンドを受信すると、上位装置2は情報記録装置1にデータ読み出しのための暗号鍵の受け渡しを行う。情報記録装置1が暗号鍵を受け取ると、制御部11が暗号鍵格納部13に鍵を格納し(S901)、暗号鍵のハッシュを生成する(S902)。続いて制御部11はボリュームトレーラー34を読み出してリスト格納部14に格納する(S903)。
【0045】
制御部11は読み出したボリュームトレーラー34に記録されている暗号鍵のハッシュとS902で生成した暗号鍵のハッシュを、先頭のセッション番号から順に比較していく(S904)。ハッシュが一致した場合(S905:Yes)、そのセッションを有効セッションとしてマークし(S906)、ハッシュが不一致だった場合は(S905:No)、そのセッションを無効セッションとしてマークする(S907)。続いて次のセッションの有無の判断を行い(S908)、まだハッシュの比較を行っていないセッションがある場合には(S908:Yes)、次のセッションのハッシュの比較を継続する(S904)。
【0046】
全てのセッションのハッシュの比較が完了すると(S908:No)、S906でマークした有効なセッションのリストを上位装置2に報告する(S909)。その後上位装置2が、情報記録装置1が報告したセッションリストから読み出すセッションを選択し、セッションの読み出しコマンドを発行すると、情報記録装置1はセッション読み出しコマンドを受信し、情報記録装置1が暗号鍵格納部13に格納している暗号鍵を用いて当該セッションを読み出し、上位装置2に転送する処理は実施例1と同じである。
【0047】
以上で説明したように、ボリュームトレーラーに暗号鍵のハッシュを格納し、データ読み出し時に暗号鍵のハッシュの比較を行うことで有効なセッションを判断することによって、実施例1のようにセッショントレーラーの復号を試みることなく有効なセッションが判断できるため、データ読み出し時のアクセスを高速化することができる。
【実施例3】
【0048】
次に、本発明の第三の実施例について説明する。実施例1及び2では、セッション情報を取得するために、ボリュームトレーラーの読み出しが行われるため、ボリュームトレーラーへの移動時間が発生し、その分の時間が必要となる。また、ボリュームトレーラーにはセッションに関する情報が含まれているが、暗号化されていないため、どのようなセッションが存在するか別の装置で容易に読み出すことが出来てしまう。本実施例3は、これらを解消することを目的の一つとしている。
【0049】
本実施例では、1つのテープを2つの領域(パーティション)に分け、各々の領域を若番から第一のパーティション、第二のパーティションとして使用する。第一のパーティションは、セッションの情報を格納し、第二のパーティションは、ファイルを格納している。なお、パーティションの制御は既知の技術の為、説明を省略する。
【0050】
実施例3のシステム構成は図1に示すものと同様であり、その機能と振る舞いは、リスト格納部14を除いて実施例1と同等であるので説明を省略する。リスト格納部14には、与えられた暗号鍵で復号化が可能な媒体上に記録されているセッションとファイルのリストが格納される。
【0051】
次に、図10〜図13を用いて、本実施例の構成及び動作について詳細に説明する。
【0052】
図10は、本実施例における第一のパーティションの構成を示す概略図である。第一のパーティションは、ファイルを管理する為のデータが書き込まれており、データの内容は、パーティション内の先頭位置であるBOP(Beginning of Partition)から順にボリュームヘッダー101と、セパレータ(SP)102と、複数のセッションサマリー103を含む。また、有効なデータの終端をEOD(End of Date)と呼ぶ。セパレータ102は、ボリュームヘッダー101とセッションサマリー103の領域の境を仕切るものである。各セッションサマリー103は、各セッションのファイル情報をまとめたものであり、含まれる情報とその構成は図3と同様である。ここで、セッションとは、上位装置2から1回の指定で書き込みが行われた複数のファイルを一まとめにした単位を指す。
【0053】
図11は、第二のパーティションの構成を示す該略図である。第二のパーティションは、ファイルのみが書き込まれており、データはBOPの位置からファイル111、ファイル111、・・・と書き込まれている。各ファイル111は第一のパーティションに書き込まれている各セッションサマリー103と対応関係にある。
【0054】
次に、本実施例における情報記録装置1の動作について説明する。
【0055】
図12は、情報記録装置1へのデータの書き込み処理のフローチャートである。
【0056】
上位装置2の暗号鍵の受け渡しから、書き込みコマンドの判断の処理までは、実施例1と同様であり、まず、情報記録装置1の使用権を獲得した上位装置2は、全ての命令に先立って上位装置2から制御部11に暗号鍵の受け渡しを行う。制御部11は、暗号鍵を上位装置2から受け取ると、暗号鍵格納部13に鍵を格納する(S1201)。続いて上位装置2から書き込みコマンドを受け取ると、制御部11では書き込みコマンドが上書きなのか追記なのかの判断を行う(S1202)。上書きの場合(S1202:NO)はドライブ12にマウントされた媒体の第一のパーティションに対してボリュームヘッダー101とセパレータ102の書き込みを行い、第二のパーティションの先頭にブロック位置を移動する(S1203)。書き込みコマンドが追記の場合(S1202:YES)は、第二のパーティションに書き込まれた最後のファイル111の後までブロック位置を移動する。その後、制御部11が暗号鍵格納部13に格納しておいた暗号鍵をドライブ12に設定する(S1204)。ドライブ12はこれ以降のデータの書き込みを指定した暗号鍵を用いて暗号化してから媒体に書き込む。制御部11は上位装置2からファイルを受け取りながらドライブ12にマウントされた媒体の第二のパーティションに対してファイル111の書き込みを行う(S1205)。セッションの全てのファイルの書き込みが終了したら、第一のパーティションのEOD位置へ移動してから、セッションサマリー103の書き込みを行う(S1206)。セッションサマリー103の書き込みが完了すると、ドライブ12に設定された暗号鍵をクリアする(S1207)。
【0057】
図13は、情報記録装置1へのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【0058】
制御部11が上位装置2から暗号鍵の受け取り、暗号鍵格納部13に鍵を格納するまでの処理は、実施例1と同様であり、まず、情報記録装置1の使用権を獲得した上位装置2は、制御部11に暗号鍵の受け渡しを行う。制御部11は、暗号鍵を上位装置2から受け取ると、暗号鍵格納部13に鍵を格納する(S1301)。続いてS1301にて受け取り暗号鍵格納部13に格納しておいた暗号鍵をドライブ12に設定し(S1302)、第一のパーティションの最初のセッションサマリー103の先頭ブロックに移動する。その後、第一のパーティションに格納されている各セッションサマリー103の読み出し処理を行う(S1303)。S1301において設定した暗号鍵が書き込んだ際に使用した暗号鍵と等しければS1303の読み出し処理は成功し、暗号鍵が異なっていた場合には読み出しは失敗する。読み出しに成功した場合は(S1304:Yes)、リスト格納部14にそのセッションサマリーを記録しておき(S1305)、読み出しに失敗した場合は(S1304:No)、何も記録せずに次に進む。
【0059】
S1303〜S1305の処理を全てのセッションサマリー103について繰り返し実施し、EODに到達したならば(S1306:Yes)、リスト格納部14に記録された全てのセッションサマリーをセッションのリストとして上位装置2に報告する(S1307)。上位装置2は、報告されたセッションのリストの中から、読み出すセッションを選択して読み込みを行う。
【0060】
以上で説明したように、本実施例では読み出し処理時に有効なデータの末尾にあったボリュームトレーラーまでアクセスする必要がないので、処理全体を高速化できる。また、実施例1及び2では平文で情報が格納されていたボリュームトレーラーを無くすことによって、別の装置で読まれてもコンテンツの内容が類推されることがなくなる。
【0061】
なお、本発明は、上記した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内において、他の様々な形で実施することができる。このため、上記実施形態はあらゆる点で単なる例示にすぎず、限定的に解釈されるものではない。例えば、上述の各処理ステップは処理内容に矛盾を生じない範囲で任意に順番を変更して又は並列に実行することができる。
【0062】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限
られない。
【0063】
(付記1)異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、前記記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成し、当該リストを前記所定の鍵に対応する上位装置に送信する制御部と、を備える情報記録装置。
【0064】
(付記2)前記所定の鍵は前記上位装置から受け取ることを特徴とする付記1に記載の情報記録装置。
【0065】
(付記3)前記制御部は、前記記録媒体に記録された複数のコンテンツの各々に対して前記所定の鍵で復号を試みることによって、前記複数のコンテンツの各々が前記所定の鍵で暗号化されたものであるか否かを判定することを特徴とする付記1又は2に記載の情報記録装置。
【0066】
(付記4)前記制御部は、前記所定の鍵から生成したハッシュと、コンテンツを暗号化する際に使用した鍵から生成したハッシュとを比較し、両者が一致する場合には、前記コンテンツを前記所定の鍵で暗号化されたコンテンツであると判定することを特徴とする付記1又は2に記載の情報処理装置。
【0067】
(付記5)前記記録媒体は、第一のパーティションと第二のパーティションを含み、前記制御部は、第一のパーティションに記録された情報のみを基に前記リストを作成することを特徴とする請求項3に記載の情報処理装置。
【0068】
(付記6)制御部と、異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、を備える情報記録装置の制御方法であって、前記制御部は、前記記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成するステップと、前記制御部は、当該リストを前記所定の鍵に対応する上位装置に送信するステップと、を備える方法。
【符号の説明】
【0069】
1……情報記録装置、2……上位装置、11……制御部、12……ドライブ(記録媒体)、13……暗号鍵格納部、14……リスト格納部、31……ボリュームヘッダー、32……セパレータ、33……セッション、34……ボリュームトレーラー、101……ボリュームヘッダー、102……セパレータ、103……セッションサマリー、111……ファイル、331……セッションヘッダー、332……ファイル、333……セッショントレーラー
【技術分野】
【0001】
本発明は、テープメディア等の記録媒体にデータを記録再生することができる情報記録装置及びその制御方法に関する。
【背景技術】
【0002】
従来、コンピュータシステムにおけるデータ増大に伴い、ストレージ容量の増加が進み、バックアップの重要性はますます高まっている。バックアップ先の記憶装置として、一般的に磁気テープ装置が用いられている。非特許文献1には、暗号化機能が備わった磁気テープ装置を使用し、磁気テープを暗号化することによってセキュリティを向上させる運用が記載されている。
【0003】
また近年、磁気テープの容量増加に伴い、磁気テープ装置を複数の上位装置に接続し、1巻の磁気テープを複数のユーザで共用する場合がある。そのような場合、他者が自分のデータにアクセスできないよう、コンテンツごとに異なる暗号鍵を割り当てて暗号化して記録し、磁気テープを共用するという技術が知られている。例えば、特許文献1には、テープメディアからコンテンツのリストを読み出し、次に使用者がリストからコンテンツを選択、そのコンテンツの鍵を入力することで、コンテンツを読み出すことが可能となるという技術が記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−185697号公報
【非特許文献】
【0005】
【非特許文献1】「ULTRIUM LTO」、[online]、[平成22年9月8日検索]、インターネット<URL:http://www.lto-technology.com/>
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に記載の従来技術では、使用者は鍵の有無に関わらずコンテンツのリストを取得できるため、例えば、ブルートフォース(総当り)攻撃などにより鍵を解読することが可能であるというセキュリティ上の問題が指摘されている。また、コンテンツ名が見えることからコンテンツの内容が類推されうるという情報の漏洩も発生する可能性がある。
【0007】
本発明は、斯かる実情に鑑み、磁気テープ装置等の記録媒体を複数のユーザで共用する場合のセキュリティ上の問題を解消し得る情報記録装置及びその制御方法を提供しようとするものである。
【課題を解決するための手段】
【0008】
本発明の一態様による情報記録装置は、異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成し、当該リストを所定の鍵に対応する上位装置に送信する制御部と、を備える。かかる情報記録装置によれば、複数の異なる鍵で暗号化されたコンテンツが記録された情報記録媒体からコンテンツのリストを読み出す際に、与えられた鍵で暗号化されたコンテンツのリストを上位装置に報告することが可能となる。
【0009】
好適には、制御部は、所定の鍵を上位装置から受け取る。鍵は上位装置に固有の識別子を使用してもよいし、ユーザ毎又はコンテンツ種類毎に、異なる鍵を使用するものとしてもよい。かかる情報記録装置によれば、鍵を有するユーザないし上位装置以外に対してのみ、当該鍵で暗号化されたコンテンツのリストを送ることができるようになり、他者又は他の上位装置への情報漏洩を防ぐことが可能となる。
【0010】
また、制御部は、記録媒体に記録された複数のコンテンツの各々に対して所定の鍵で復号を試みることによって、複数のコンテンツの各々が所定の鍵で暗号化されたものであるか否かを判定することが好ましい。かかる情報記録装置によれば、暗号化機能を持つ磁気テープ装置に対し、与えられた鍵と一致するコンテンツのみをリストとして上位装置に報告することが可能となる。
【0011】
好適には、制御部は、所定の鍵から生成したハッシュと、コンテンツを暗号化する際に使用した鍵から生成したハッシュとを比較し、両者が一致する場合には、コンテンツを所定の鍵で暗号化されたコンテンツであると判定する。かかる情報記録装置によれば、データ読み出し時に暗号鍵のハッシュの比較を行うことで有効なコンテンツを判断することによって、データの復号を試みることなく有効なコンテンツが判断できるため、データ読み出し時のアクセスを高速化することができる。
【0012】
さらに好適には、記録媒体は、第一のパーティションと第二のパーティションを含み、制御部は、第一のパーティションに記録された情報のみを基にリストを作成する。かかる情報記録装置によれば、読み出し処理時に有効なデータの末尾にあるボリュームトレーラーまでアクセスする必要がないので、処理全体を高速化できる。また、平文で情報が格納されていたボリュームトレーラーを無くすことができるので、別の装置で読まれてもコンテンツの内容が類推されることがなくなる。
【0013】
本発明の一態様による情報記録装置の制御方法は、記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成するステップと、当該リストを所定の鍵に対応する上位装置に送信するステップと、を備える。かかる制御方法によれば、読み出しの際に報告するリストとして、書き込み時に使用した暗号鍵で暗号化されたコンテンツのみを報告することにより、他の上位装置から書き込まれたコンテンツの存在自体を隠蔽し、それによって暗号鍵を変更しながら読み込みを試みるブルートフォースアタックや、コンテンツ名などの情報自体の漏洩を防ぐことができる。
【発明の効果】
【0014】
本発明によれば、磁気テープ装置等の記録媒体を複数のユーザで共用する場合のセキュリティ上の問題を解消し得る情報記録装置及びその制御方法を提供可能となる。より具体的には、読み出しの際に報告するリストとして、書き込み時に使用した暗号鍵で暗号化されたコンテンツのみを報告することにより、他の鍵で暗号化されて書き込まれたコンテンツの存在自体を隠蔽し、それによって暗号鍵を変更しながら読み込みを試みるブルートフォースアタックや、コンテンツ名などの情報自体の漏洩を防ぐことができる。
【図面の簡単な説明】
【0015】
【図1】本発明による情報記録装置を用いたシステム構成の一実施例を示すブロック図である。
【図2】媒体上に記録されるデータのフォーマットを示す概略図である。
【図3】セッショントレーラー333に含まれる情報を格納するテーブルの一例である。
【図4】ボリュームトレーラー34に含まれる情報を格納するテーブルの一例である。
【図5】情報記録装置1へのデータの書き込み処理のフローチャートである。
【図6】情報記録装置1からのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【図7】ボリュームトレーラー34に含まれる情報を格納するテーブルの一例である。
【図8】情報記録装置1へのデータの書き込み処理のフローチャートである。
【図9】情報記録装置1からのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【図10】第一のパーティションの構成を示す概略図である。
【図11】第二のパーティションの構成を示す該略図である。
【図12】情報記録装置1へのデータの書き込み処理のフローチャートである。
【図13】情報記録装置1へのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【発明を実施するための形態】
【0016】
以下、本発明の実施の形態について図面を参照しつつ詳細に説明する。
【0017】
図1は、本発明による情報記録装置を用いたシステム構成の一実施例を示すブロック図である。
【0018】
図1に示すように、本発明の実施例では、複数の上位装置2と、複数の上位装置2のデータをバックアップとして磁気テープに記録する情報記録装置1を含んで構成される。
【0019】
情報記録装置1はさらに、上位装置2からコマンドを受け取り、コマンドに従った動作を行う制御部11と、制御部11の制御によって上位装置2からのデータを媒体に格納するドライブ12と、ドライブ12にデータを格納する際に行う暗号化の鍵を格納する暗号鍵格納部13と、媒体上に記録されている全コンテンツのリストを格納するリスト格納部14とを含んで構成される。情報記録装置1の制御部11は、各上位装置2からコマンドを受け取り、コマンドに従ってデータの記録を行うが、各上位装置2はそれぞれ排他的に情報記録装置1を使用する。また、ドライブ12にデータを記録する際に使用する暗号鍵も、各上位装置2毎にそれぞれ異なった鍵を使用して暗号化を行うこととする。
【実施例1】
【0020】
図2〜図6は本発明の一実施例を示すものある。
【0021】
図2は、本実施例において媒体上に記録されるデータのフォーマットを示す概略図である。データは、BOT(Beginning of Tape)の位置から順にボリュームヘッダー31に続いて、1回の書き込み単位であるセッション33が複数回の書き込みにより書き込まれ、最後にボリュームトレーラー34が書き込まれる。ボリュームヘッダー31と各セッション33とボリュームトレーラー34の間には、それぞれセパレータ(SP)32が書き込まれる。なお、EOD(End of Data)はデータの終了位置を示す。各セッション33は、セッションヘッダー331に続き複数のファイル332が書き込まれ、最後にセッショントレーラー333が書き込まれる。本実施例ではセッション33がコンテンツに相当する。
【0022】
図3は、セッショントレーラー333に含まれる情報を格納するテーブルの一例である。セッショントレーラー333は、ユーザがセッション33に対して名づけた任意の文字列で構成されるセッション名41を含む。セッショントレーラー333はさらに、セッション33内に含まれる全ての(図3の例ではN個の)ファイル332のそれぞれに対して、ファイル番号42と、ユーザが各ファイル332に対して名づけた任意の文字列で構成されるファイル名43と、ファイル332が格納されている媒体上の開始ブロックID44と、ファイル332のデータが占めるブロック数45とを含む。
【0023】
図4は、ボリュームトレーラー34に含まれる情報を格納するテーブルの一例である。ボリュームトレーラー34は、ボリューム内に含まれる全てのセッション33のそれぞれに対して、セッション番号51と、セッション名52と、セッションが格納されている媒体上の開始ブロックID53と、セッショントレーラーの開始ブロックIDを示すトレーラーブロックID54とを含む。
【0024】
次に、本実施例における情報記録装置1の動作について説明する。
【0025】
図5は、情報記録装置1へのデータの書き込み処理のフローチャートである。
【0026】
情報記録装置1の使用権を獲得した上位装置2は、全ての命令に先立って上位装置2から制御部11に暗号鍵の受け渡しを行う。他の装置との排他を行う手法としては、RESERVE/RELEASEコマンドによって情報記録装置1で管理する方法や、ETHERNET(登録商標)などの別の通信手段により上位装置2同士が通信を行って排他する方法などがあるが、本発明においては如何なる排他制御手法をも適用可能であり、本実施例では排他制御の方法については特定しない。
【0027】
暗号鍵を上位装置2から受け取ると、制御部11は暗号鍵格納部13に鍵を格納する(S101)。続いて上位装置2から書き込みコマンドを受け取ると、制御部11では書き込みコマンドが上書きなのか追記なのかの判断を行う(S102)。上書きの場合(S102:No)は、ドライブ12にマウントされた記録媒体に対してボリュームヘッダー31の書き込みを行う(S104)。追記の場合(S102:Yes)は、媒体に書き込まれたボリュームトレーラー34の先頭ブロックまでブロック位置を移動し、ボリュームトレーラー34を読み出してリスト格納部14に格納する(S103)。
【0028】
その後、S101にて受け取り、暗号鍵格納部13に格納しておいた暗号鍵をドライブ12に設定する(S105)。ドライブ12はこれ以降のデータの書き込みを指定した暗号鍵を用いて暗号化してから媒体に書き込む。上位装置2から1回の指定で書き込みができる単位をセッション33とし、セッション33の中には複数のファイル332を含むことができることとする。制御部11はセッションヘッダー331を書き込んだ後、上位装置2からファイルを受け取りながらドライブ12にマウントされた媒体に書き込みを行う。全てのファイル332の書き込みが終わるとセッショントレーラー333を書き込むことにより、1つのセッション33の書き込み処理を完了する(S106)。ボリュームヘッダー31やボリュームトレーラー34、および各セッション33の間には、それぞれの領域の境が分かるようにセパレータ(SP)32で仕切ることとする。セッション33の書き込みが完了すると、ドライブ12に設定された暗号鍵をクリアし(S107)、ボリュームトレーラー34から読み出してリスト格納部14に格納してあったリスト情報に書き込んだセッション情報を追加し、ボリュームトレーラー34として媒体に書き込みを行う(S108)。
【0029】
図6は、情報記録装置1からのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【0030】
データの書き込み処理と同様、情報記録装置1の使用権を獲得した上位装置2は、制御部11に暗号鍵の受け渡しを行う。暗号鍵を上位装置2から受け取ると、制御部11は暗号鍵格納部13に鍵を格納する(S201)。次に、テープの先頭に書かれているボリュームトレーラー34を読み出し、リスト格納部14に格納する(S202)。
【0031】
その後、S201にて受け取り、暗号鍵格納部13に格納しておいた暗号鍵をドライブ12に設定する(S203)。続いて、各セッション33のセッショントレーラー333の読み出し処理を行う。各セッション33のセッショントレーラー333の位置は、ボリュームトレーラー34内のトレーラーブロックID54に格納されているため、この情報をもとに位置づけを行った後にセッショントレーラー333の読み出しを、ドライブ12に設定した暗号鍵で復号を試みることによって行うこととする(S204)。S203において設定した暗号鍵が書き込んだ際に使用した暗号鍵と等しければ復号化できるので、S204の読み出し処理は成功する。一方、暗号鍵が異なっていた場合には復号化できず、読み出しは失敗する(S205)。
【0032】
読み出しに成功した場合は(S205:Yes)、リスト格納部14内の対応するセッションに有効なセッションというマークを記録しておき(S206)、読み出しに失敗した場合は(S205:No)、リスト格納部14内の対応するセッションに無効なセッションというマークを記録しておく(S207)。以上、S204〜S207の処理を全てのセッション33について繰り返し実施し、全てのセッション33について処理し終わった時には(S208:No)、リスト格納部14の中から上位装置2に有効セッションのみを報告することとする(S209)。この後、上位装置2は、報告されたセッション情報のリストから、読み出すセッションを選択して読み込みを行う。
【0033】
なお、別の上位装置2から書き込み、読み出しを行う場合は、S101およびS201において受け渡す鍵が他の上位装置2とは異なることを除いて、同じ処理である。
【0034】
以上で説明したように、本実施例による情報記録装置1では、読み出しの際に報告するセッションリストとして、書き込み時に使用した暗号鍵で暗号化されたセッションのみを報告することにより、他の上位装置から書き込まれたセッションの存在自体を隠蔽し、それによって暗号鍵を変更しながら読み込みを試みるブルートフォースアタックや、セッション名などの情報自体の漏洩を防ぐことができる。
【実施例2】
【0035】
次に、本発明の第二の実施例について説明する。実施例1ではセッショントレーラーの復号を試みながら上位装置に報告するリストを作成しているため、読み出しに時間がかかることがある。本実施例ではボリュームトレーラーに暗号鍵のハッシュ値を付加することによって読み出しの高速化を図る。
【0036】
実施例2において、図1に示すシステムの構成要素の機能と振る舞い、図2に示す媒体のデータフォーマット、および、図3に示すセッショントレーラーは、実施例1と同様であるので説明を省略する。
【0037】
次に、図7〜図9を参照して、本実施例における情報記録装置1の動作について詳細に説明する。
【0038】
図7は、本実施例におけるボリュームトレーラー34に含まれる情報を格納するテーブルの一例である。セッション番号71、セッション名72、セッションが格納されている媒体上の開始ブロックID73、及びセッショントレーラーの開始ブロックIDを示すトレーラーブロックID74はそれぞれ、図4に示すセッション番号51、セッション名52、開始ブロックID53、及びトレーラーブロックID54と同じである。本実施例ではこれらに加えて、セッションの暗号化に用いた暗号鍵から生成したハッシュ75を含む。
【0039】
次に、本実施例における情報記録装置1の動作について説明する。
【0040】
図8は、情報記録装置1へのデータの書き込み処理のフローチャートである。
【0041】
情報記録装置1が暗号鍵を上位装置2から受け取ると、制御部11が暗号鍵格納部13に鍵を格納し(S801)、続いて上位装置2から書き込みコマンドを受け取ると、制御部11でコマンドが上書きなのか追記なのかの判断を行い(S802)、上書きの場合(S802:No)は、ドライブ12にマウントされた媒体に対してボリュームヘッダー31の書き込みを行い(S803)、追記の場合(S802:Yes)は、ボリュームトレーラー34を読み出してリスト格納部14に格納する(S804)。その後、制御部11が暗号鍵格納部13に格納しておいた暗号鍵をドライブ12に設定し(S805)、セッションヘッダー331を書き込んだ後、上位装置2からファイルを受け取りながらドライブ12にマウントされた媒体に書き込み、全てのファイル332の書き込みが終わるとセッショントレーラー333を書き込むことにより、1つのセッション33の書き込み処理を完了する(S806)。ここまでの処理は実施例1と同じである。
【0042】
セッション33の書き込みが完了すると、ドライブ12に設定された暗号鍵のハッシュを生成した後(S807)、ドライブ12の暗号鍵をクリアし(S808)、リスト格納部14に格納してあったリスト情報に書き込んだセッション情報を追加し、図7に示すボリュームトレーラー34として媒体に書き込みを行う(S809)。
【0043】
図9は、情報記録装置1からのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【0044】
情報記録装置1が上位装置2からセッションリスト読み出しコマンドを受信すると、上位装置2は情報記録装置1にデータ読み出しのための暗号鍵の受け渡しを行う。情報記録装置1が暗号鍵を受け取ると、制御部11が暗号鍵格納部13に鍵を格納し(S901)、暗号鍵のハッシュを生成する(S902)。続いて制御部11はボリュームトレーラー34を読み出してリスト格納部14に格納する(S903)。
【0045】
制御部11は読み出したボリュームトレーラー34に記録されている暗号鍵のハッシュとS902で生成した暗号鍵のハッシュを、先頭のセッション番号から順に比較していく(S904)。ハッシュが一致した場合(S905:Yes)、そのセッションを有効セッションとしてマークし(S906)、ハッシュが不一致だった場合は(S905:No)、そのセッションを無効セッションとしてマークする(S907)。続いて次のセッションの有無の判断を行い(S908)、まだハッシュの比較を行っていないセッションがある場合には(S908:Yes)、次のセッションのハッシュの比較を継続する(S904)。
【0046】
全てのセッションのハッシュの比較が完了すると(S908:No)、S906でマークした有効なセッションのリストを上位装置2に報告する(S909)。その後上位装置2が、情報記録装置1が報告したセッションリストから読み出すセッションを選択し、セッションの読み出しコマンドを発行すると、情報記録装置1はセッション読み出しコマンドを受信し、情報記録装置1が暗号鍵格納部13に格納している暗号鍵を用いて当該セッションを読み出し、上位装置2に転送する処理は実施例1と同じである。
【0047】
以上で説明したように、ボリュームトレーラーに暗号鍵のハッシュを格納し、データ読み出し時に暗号鍵のハッシュの比較を行うことで有効なセッションを判断することによって、実施例1のようにセッショントレーラーの復号を試みることなく有効なセッションが判断できるため、データ読み出し時のアクセスを高速化することができる。
【実施例3】
【0048】
次に、本発明の第三の実施例について説明する。実施例1及び2では、セッション情報を取得するために、ボリュームトレーラーの読み出しが行われるため、ボリュームトレーラーへの移動時間が発生し、その分の時間が必要となる。また、ボリュームトレーラーにはセッションに関する情報が含まれているが、暗号化されていないため、どのようなセッションが存在するか別の装置で容易に読み出すことが出来てしまう。本実施例3は、これらを解消することを目的の一つとしている。
【0049】
本実施例では、1つのテープを2つの領域(パーティション)に分け、各々の領域を若番から第一のパーティション、第二のパーティションとして使用する。第一のパーティションは、セッションの情報を格納し、第二のパーティションは、ファイルを格納している。なお、パーティションの制御は既知の技術の為、説明を省略する。
【0050】
実施例3のシステム構成は図1に示すものと同様であり、その機能と振る舞いは、リスト格納部14を除いて実施例1と同等であるので説明を省略する。リスト格納部14には、与えられた暗号鍵で復号化が可能な媒体上に記録されているセッションとファイルのリストが格納される。
【0051】
次に、図10〜図13を用いて、本実施例の構成及び動作について詳細に説明する。
【0052】
図10は、本実施例における第一のパーティションの構成を示す概略図である。第一のパーティションは、ファイルを管理する為のデータが書き込まれており、データの内容は、パーティション内の先頭位置であるBOP(Beginning of Partition)から順にボリュームヘッダー101と、セパレータ(SP)102と、複数のセッションサマリー103を含む。また、有効なデータの終端をEOD(End of Date)と呼ぶ。セパレータ102は、ボリュームヘッダー101とセッションサマリー103の領域の境を仕切るものである。各セッションサマリー103は、各セッションのファイル情報をまとめたものであり、含まれる情報とその構成は図3と同様である。ここで、セッションとは、上位装置2から1回の指定で書き込みが行われた複数のファイルを一まとめにした単位を指す。
【0053】
図11は、第二のパーティションの構成を示す該略図である。第二のパーティションは、ファイルのみが書き込まれており、データはBOPの位置からファイル111、ファイル111、・・・と書き込まれている。各ファイル111は第一のパーティションに書き込まれている各セッションサマリー103と対応関係にある。
【0054】
次に、本実施例における情報記録装置1の動作について説明する。
【0055】
図12は、情報記録装置1へのデータの書き込み処理のフローチャートである。
【0056】
上位装置2の暗号鍵の受け渡しから、書き込みコマンドの判断の処理までは、実施例1と同様であり、まず、情報記録装置1の使用権を獲得した上位装置2は、全ての命令に先立って上位装置2から制御部11に暗号鍵の受け渡しを行う。制御部11は、暗号鍵を上位装置2から受け取ると、暗号鍵格納部13に鍵を格納する(S1201)。続いて上位装置2から書き込みコマンドを受け取ると、制御部11では書き込みコマンドが上書きなのか追記なのかの判断を行う(S1202)。上書きの場合(S1202:NO)はドライブ12にマウントされた媒体の第一のパーティションに対してボリュームヘッダー101とセパレータ102の書き込みを行い、第二のパーティションの先頭にブロック位置を移動する(S1203)。書き込みコマンドが追記の場合(S1202:YES)は、第二のパーティションに書き込まれた最後のファイル111の後までブロック位置を移動する。その後、制御部11が暗号鍵格納部13に格納しておいた暗号鍵をドライブ12に設定する(S1204)。ドライブ12はこれ以降のデータの書き込みを指定した暗号鍵を用いて暗号化してから媒体に書き込む。制御部11は上位装置2からファイルを受け取りながらドライブ12にマウントされた媒体の第二のパーティションに対してファイル111の書き込みを行う(S1205)。セッションの全てのファイルの書き込みが終了したら、第一のパーティションのEOD位置へ移動してから、セッションサマリー103の書き込みを行う(S1206)。セッションサマリー103の書き込みが完了すると、ドライブ12に設定された暗号鍵をクリアする(S1207)。
【0057】
図13は、情報記録装置1へのデータの読み出しに先立って行われるセッションリストの読み出し処理のフローチャートである。
【0058】
制御部11が上位装置2から暗号鍵の受け取り、暗号鍵格納部13に鍵を格納するまでの処理は、実施例1と同様であり、まず、情報記録装置1の使用権を獲得した上位装置2は、制御部11に暗号鍵の受け渡しを行う。制御部11は、暗号鍵を上位装置2から受け取ると、暗号鍵格納部13に鍵を格納する(S1301)。続いてS1301にて受け取り暗号鍵格納部13に格納しておいた暗号鍵をドライブ12に設定し(S1302)、第一のパーティションの最初のセッションサマリー103の先頭ブロックに移動する。その後、第一のパーティションに格納されている各セッションサマリー103の読み出し処理を行う(S1303)。S1301において設定した暗号鍵が書き込んだ際に使用した暗号鍵と等しければS1303の読み出し処理は成功し、暗号鍵が異なっていた場合には読み出しは失敗する。読み出しに成功した場合は(S1304:Yes)、リスト格納部14にそのセッションサマリーを記録しておき(S1305)、読み出しに失敗した場合は(S1304:No)、何も記録せずに次に進む。
【0059】
S1303〜S1305の処理を全てのセッションサマリー103について繰り返し実施し、EODに到達したならば(S1306:Yes)、リスト格納部14に記録された全てのセッションサマリーをセッションのリストとして上位装置2に報告する(S1307)。上位装置2は、報告されたセッションのリストの中から、読み出すセッションを選択して読み込みを行う。
【0060】
以上で説明したように、本実施例では読み出し処理時に有効なデータの末尾にあったボリュームトレーラーまでアクセスする必要がないので、処理全体を高速化できる。また、実施例1及び2では平文で情報が格納されていたボリュームトレーラーを無くすことによって、別の装置で読まれてもコンテンツの内容が類推されることがなくなる。
【0061】
なお、本発明は、上記した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内において、他の様々な形で実施することができる。このため、上記実施形態はあらゆる点で単なる例示にすぎず、限定的に解釈されるものではない。例えば、上述の各処理ステップは処理内容に矛盾を生じない範囲で任意に順番を変更して又は並列に実行することができる。
【0062】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限
られない。
【0063】
(付記1)異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、前記記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成し、当該リストを前記所定の鍵に対応する上位装置に送信する制御部と、を備える情報記録装置。
【0064】
(付記2)前記所定の鍵は前記上位装置から受け取ることを特徴とする付記1に記載の情報記録装置。
【0065】
(付記3)前記制御部は、前記記録媒体に記録された複数のコンテンツの各々に対して前記所定の鍵で復号を試みることによって、前記複数のコンテンツの各々が前記所定の鍵で暗号化されたものであるか否かを判定することを特徴とする付記1又は2に記載の情報記録装置。
【0066】
(付記4)前記制御部は、前記所定の鍵から生成したハッシュと、コンテンツを暗号化する際に使用した鍵から生成したハッシュとを比較し、両者が一致する場合には、前記コンテンツを前記所定の鍵で暗号化されたコンテンツであると判定することを特徴とする付記1又は2に記載の情報処理装置。
【0067】
(付記5)前記記録媒体は、第一のパーティションと第二のパーティションを含み、前記制御部は、第一のパーティションに記録された情報のみを基に前記リストを作成することを特徴とする請求項3に記載の情報処理装置。
【0068】
(付記6)制御部と、異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、を備える情報記録装置の制御方法であって、前記制御部は、前記記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成するステップと、前記制御部は、当該リストを前記所定の鍵に対応する上位装置に送信するステップと、を備える方法。
【符号の説明】
【0069】
1……情報記録装置、2……上位装置、11……制御部、12……ドライブ(記録媒体)、13……暗号鍵格納部、14……リスト格納部、31……ボリュームヘッダー、32……セパレータ、33……セッション、34……ボリュームトレーラー、101……ボリュームヘッダー、102……セパレータ、103……セッションサマリー、111……ファイル、331……セッションヘッダー、332……ファイル、333……セッショントレーラー
【特許請求の範囲】
【請求項1】
異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、
前記記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成し、当該リストを前記所定の鍵に対応する上位装置に送信する制御部と、
を備える情報記録装置。
【請求項2】
前記所定の鍵は前記上位装置から受け取ることを特徴とする請求項1に記載の情報記録装置。
【請求項3】
前記制御部は、前記記録媒体に記録された複数のコンテンツの各々に対して前記所定の鍵で復号を試みることによって、前記複数のコンテンツの各々が前記所定の鍵で暗号化されたものであるか否かを判定することを特徴とする請求項1又は2に記載の情報記録装置。
【請求項4】
前記制御部は、前記所定の鍵から生成したハッシュと、コンテンツを暗号化する際に使用した鍵から生成したハッシュとを比較し、両者が一致する場合には、前記コンテンツを前記所定の鍵で暗号化されたコンテンツであると判定することを特徴とする請求項1又は2に記載の情報処理装置。
【請求項5】
前記記録媒体は、第一のパーティションと第二のパーティションを含み、
前記制御部は、第一のパーティションに記録された情報に基づいて前記リストを作成することを特徴とする請求項3に記載の情報処理装置。
【請求項6】
制御部と、異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、を備える情報記録装置の制御方法であって、
前記制御部は、前記記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成するステップと、
前記制御部は、当該リストを前記所定の鍵に対応する上位装置に送信するステップと、
を備える方法。
【請求項1】
異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、
前記記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成し、当該リストを前記所定の鍵に対応する上位装置に送信する制御部と、
を備える情報記録装置。
【請求項2】
前記所定の鍵は前記上位装置から受け取ることを特徴とする請求項1に記載の情報記録装置。
【請求項3】
前記制御部は、前記記録媒体に記録された複数のコンテンツの各々に対して前記所定の鍵で復号を試みることによって、前記複数のコンテンツの各々が前記所定の鍵で暗号化されたものであるか否かを判定することを特徴とする請求項1又は2に記載の情報記録装置。
【請求項4】
前記制御部は、前記所定の鍵から生成したハッシュと、コンテンツを暗号化する際に使用した鍵から生成したハッシュとを比較し、両者が一致する場合には、前記コンテンツを前記所定の鍵で暗号化されたコンテンツであると判定することを特徴とする請求項1又は2に記載の情報処理装置。
【請求項5】
前記記録媒体は、第一のパーティションと第二のパーティションを含み、
前記制御部は、第一のパーティションに記録された情報に基づいて前記リストを作成することを特徴とする請求項3に記載の情報処理装置。
【請求項6】
制御部と、異なる複数の鍵で暗号化された複数のコンテンツを記録する記録媒体と、を備える情報記録装置の制御方法であって、
前記制御部は、前記記録媒体に記録された複数のコンテンツのうち、所定の鍵で暗号化されたコンテンツのリストを作成するステップと、
前記制御部は、当該リストを前記所定の鍵に対応する上位装置に送信するステップと、
を備える方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2012−60365(P2012−60365A)
【公開日】平成24年3月22日(2012.3.22)
【国際特許分類】
【出願番号】特願2010−200934(P2010−200934)
【出願日】平成22年9月8日(2010.9.8)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成24年3月22日(2012.3.22)
【国際特許分類】
【出願日】平成22年9月8日(2010.9.8)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]