改竄証拠保持装置及び改竄証拠保持方法
【課題】悪意のあるユーザによって機器内の情報が改竄された際に、改竄の証拠を、ユーザによって削除されることなく、保持することができる改竄証拠保持装置を提供すること。
【解決手段】記憶制御部103を介して、記憶装置104に記憶されているデータを、所定の単位で読み出す情報読出部105と、情報読出部105が記憶装置104から読み出したデータの正当性を検証する情報検証部108と、情報検証部108が、対象のデータが改竄されたと判断した場合に、改竄されたデータを、読み出したのと別の領域へ複製する情報複製部と、改竄されたデータが記憶されていた元の領域を、不良領域として設定する不良領域設定部111を備える。
【解決手段】記憶制御部103を介して、記憶装置104に記憶されているデータを、所定の単位で読み出す情報読出部105と、情報読出部105が記憶装置104から読み出したデータの正当性を検証する情報検証部108と、情報検証部108が、対象のデータが改竄されたと判断した場合に、改竄されたデータを、読み出したのと別の領域へ複製する情報複製部と、改竄されたデータが記憶されていた元の領域を、不良領域として設定する不良領域設定部111を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置に記録されたデータが改竄された際に、情報処理装置内に改竄の証拠を保持することができる改竄証拠保持装置に関するものである。
【背景技術】
【0002】
従来、情報処理装置内に記憶されているデータを、悪意のあるユーザによる改竄から保護するための技術として、改竄されたデータを検知し、そのデータの使用を制限するものがあった(例えば、特許文献1参照)。前記特許文献1には、記憶装置内のデータが改竄されているかいないかを検証し、改竄されていなければ、そのデータを使用するという技術が開示されている。
【0003】
また、データの改竄を検出するための技術として、記録装置へのデータ書き込み時に、書き込んだユーザ情報、更新日時を記録し、その記録した情報を用いて、データの改竄の有無を検出するものがあった(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2002−132456号公報
【特許文献2】特開平10−283262号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、前記従来の構成では、悪意のあるユーザによって、改竄されたデータをクリアされるなど、改竄された証拠を消去することが可能であった。つまり、悪意のあるユーザがデータを改竄したことによって、情報処理機器を故障させた場合など、悪意のあるユーザが、データを改竄した証拠を消去することで、故障の原因を特定することが困難となるという問題があった。
【0006】
本発明は、前記従来の課題を解決するもので、情報処理装置においてデータの改竄を検出した際に、改竄されたデータを別領域に複製し、複製元データが書き込まれている領域を不良領域に設定することで、データ改竄の証拠を保持する改竄証拠保持装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
前記従来の課題を解決するために、本発明の改竄証拠保持装置は、記憶装置に記憶されている情報を読み出し可能な情報処理装置において、前記記憶装置の所定の領域に記憶されている情報を読み出す情報読出手段と、前記情報読出手段が読み出した前記情報の正当性を検証する情報検証手段と、前記情報検証手段が、前記情報を正当でないと判断した場合、前記情報を、前記記憶装置の前記所定の領域とは別の領域に複製する情報複製手段と、前記情報を読み出した前記所定の領域を、不良領域として設定する不良領域設定手段を備えたことを特徴とする。
【0008】
本構成によって、悪意のあるユーザによって情報機器内の情報が改竄された際に、データ改竄の証拠を、ユーザによって削除されることなく、保持することができる。
【発明の効果】
【0009】
本発明の改竄証拠保持装置によれば、悪意のあるユーザによって情報が改竄された際に、データ改竄の証拠を、ユーザによって削除されることなく、保持することができる。
【図面の簡単な説明】
【0010】
【図1】本発明の実施の形態における改竄証拠保持装置を備えた情報処理装置の構成を示す図
【図2】本発明の実施の形態における改竄証拠保持装置の構成の一例を示すブロック図
【図3】本発明の実施の形態における改竄証拠保持装置を備えた情報処理装置の動作の一例を示すフロー図
【図4】本発明の実施の形態における不正情報発見時の概要を示した図
【発明を実施するための形態】
【0011】
以下本発明の実施の形態について、図面を参照しながら説明する。
【0012】
(実施の形態1)
図1は、本発明の実施の形態における改竄証拠保持装置を備えた情報処理装置のハードウェア構成を示す図である。この情報処理装置1000は、それ自体としてユーザの使用に供することもできるが、様々な電気機器に組み込まれてもよい。情報処理装置1000の一例は、代表的にはPC(Personal Computer;パーソナルコンピュータあるいはパソコン)等の汎用のコンピュータである。また、情報処理装置1000は、PDA(Personal Digital Assistance)あるいは携帯電話機等の通信端末、AV機器でもよい。
【0013】
情報処理装置1000は、CPU(Central Processing Unit;中央演算処理部)10、メモリ装置20、通信装置30、入力装置40、表示装置45、タイマ回路51及び割り込みコントローラ55を備えている。これらの装置は、バスライン50を通じて互いに接続されている。また、必要に応じて、バスライン50には、ハードディスク装置25及び読み取り装置32を接続することが可能となっている。ハードディスク装置25、読み取り装置32、入力装置40及び表示装置45は、それぞれ、インタフェース26、35、41及び46を通じてバスライン50に接続される。
【0014】
CPU10は、単一のCPUで構成されてもよく、複数のCPUで構成されてもよい。図1の情報処理装置1000は、単一のCPU10を有する例を示している。
【0015】
メモリ装置20は、ROM(Read Only Memory)21及びRAM(Random Access Memory)22を備えている。ROM21は、CPU10の動作を規定するコンピュータプログラム及びデータを記憶している。コンピュータプログラム及びデータは、ハードディスク装置25に記憶させることもできる。CPU10は、ROM21又はハードディスク装置25が格納するコンピュータプログラム及びデータを、必要に応じてRAM22に書き込みつつ、コンピュータプログラムが規定する処理を実行する。RAM22は、CPU10が処理を実行するのに伴って発生するデータを一時的に記憶する媒体としても機能する。メモリ装置20は、フラッシュメモリなど、書き込みが可能で、電源を切っても記憶内容を保持できる不揮発性のメモリと記憶媒体を含んでいる。
【0016】
ハードディスク装置25は、内蔵する不図示のハードディスクへ、コンピュータプログラム、あるいはデータを書き込み及び読み出す装置である。
【0017】
読み取り装置32は、記録媒体31(例えばCD、DVD、メモリカードなど)に記録されたコンピュータプログラム、あるいはデータを読み取る装置である。
【0018】
通信装置30は、電話回線、ネットワーク線、無線、赤外線通信等の通信回線33を通じて、外部と自身との間で、コンピュータプログラム、あるいはデータを交換する装置である。
【0019】
入力装置40は、ユーザの操作によりデータ等を入力する装置であり、例えば、PDAに配列されたキーボード、携帯電話機に配列された入力ボタン、あるいは着脱自在のマウス、キーボードである。
【0020】
表示装置45は、データ、画像等を画面に表示したり、データ等を音声で出力したりする装置であり、例えばLCD(Liquid Crystal Display;液晶表示器)、ブラウン管、スピーカである。
【0021】
タイマ回路51は、一定の周期でタイマ割り込み信号を出力する装置である。割り込みコントローラ55は、タイマ回路51、入力装置40、CPU10、ネットワークデバイスである通信装置30、ハードディスク装置25、読み取り装置32等から送られる割り込み要求信号を、CPU10へ中継する装置である。各装置からの割り込み要求には優先度が付けられている。割り込みコントローラ55は、同時に複数の装置から割り込みが発生した場合には、それらの要求を優先度に応じて調停する機能を有している。
【0022】
以上のように、情報処理装置1000は、コンピュータとして構成されている。上記コンピュータプログラムは、ROM21、ハードディスク装置25、不図示のフレキシブルディスク、CD−ROM等の記録媒体31を通じて供給することも、電気通信回線33等の伝送媒体を通じて供給することも可能である。例えば、記録媒体31(CD−ROM)に記録されたコンピュータプログラムは、読み取り装置32を情報処理装置1000へ接続することで、読み出すことができる。また、読み出したコンピュータプログラムを、RAM22あるいはハードディスク装置25に格納することができる。
【0023】
プログラム記録媒体としてROM21からコンピュータプログラムが供給される場合には、当該ROM21を情報処理装置1000に搭載することにより、CPU10は上記コンピュータプログラムに従った処理を実行可能となる。電気通信回線33等の伝送媒体を通じて供給されるコンピュータプログラムは、通信装置30を通じて受信され、例えば、RAM22あるいはハードディスク装置25に格納される。伝送媒体は、有線の伝送媒体に限られず、無線の伝送媒体であってもよい。また、伝送媒体は通信線路のみでなく、通信線路を中継する中継装置、例えばルータをも含む。
【0024】
図2は、改竄証拠保持装置を備えた情報処理装置の構成を示すブロック図である。改竄証拠保持装置は、図1に示すCPU10で動作するプログラムであり、記憶装置104は、図1に示すメモリ装置20、HDD25、あるいは記録媒体31などである。
【0025】
改竄証拠保持装置を備えた情報処理装置101は、情報制御部102、記憶制御部103、並びに記憶装置104を備えている。
【0026】
情報制御部102は、ファイルシステムを示し、記憶装置104内に記録されているデータを管理する。ファイルシステムとしては、例えば、JFFS2(Journaling Flash File System 2)などがある。
【0027】
記憶制御部103は、例えばMTD(Memory Technology Device)を示し、情報制御部102が記憶装置104を利用できるように、記憶装置に対する設定を行う。
【0028】
記憶装置104は、前述した通り、図1に示すメモリ装置20、HDD25、あるいは記録媒体31を示す。
【0029】
情報制御部102は、情報読出部105、情報書込部106、情報演算部107、情報検証部108、情報複製部109を備えている。
【0030】
情報読出部105は、記憶制御部103を介して、記憶装置104に記憶されているデータを、所定の単位で読み出す。所定の単位とは、例えば、ブロック、セクタ、ページなどを用いることができる。
【0031】
情報演算部107は、情報読出部105から読み出したデータを受け取り、読み出したデータの正当性を検証するための値を計算する。正当性を検証するための値として、例えば、ハッシュ値などデータのダイジェスト値や、チェックサムなどを用いることが可能である。また、データ全体をデータの正当性検証に用いてもよい。
【0032】
情報検証部108は、情報演算部107が計算した値を用いて、情報読出部105が記憶装置104から読み出したデータの正当性を検証する。検証した結果、対象のデータが正当でない場合、そのデータは改竄されたものと判断する。
【0033】
情報複製部109は、情報検証部108が、対象のデータが改竄されたと判断した場合に、改竄されたデータを、読み出したとの別の領域へ複製する処理を行う。具体的には、情報複製部109は、記憶装置104上の別領域(複製先領域)を指定して、情報書込部106へ改竄証拠(改竄されたデータ)の書き込みを要求する。また、情報複製部109は、改竄データを読み出した領域(複製元領域)を、不良領域として設定する要求を行う。なお、情報複製部109は、改竄証拠の書き込みの要求と、不良領域として設定する要求を、別々の要求で情報書込部106に通知してもよいし、一つの要求で情報書込部106に通知してもよい。
【0034】
情報書込部106は、記憶制御部103を介して、記憶装置104の複製先領域へ、改竄証拠の書き込みを行う。また、情報書込部106は、記憶制御部103を介して、記憶装置104の複製元領域を、不良領域として設定する。不良領域として設定することで、対象の領域へのデータの書き込み及び読み出しを防止する。
【0035】
記憶制御部103は、記憶領域診断部110と、不良領域設定部111を備えている。
【0036】
記憶領域診断部110は、記憶領域104からデータを読み出す際に、読み出し対象領域が不良であるか否かを検証し、不良領域でない場合にデータを読み出す。具体的には、記憶領域診断部110は、読み出し対象領域が、不良領域として設定されているか否かを判断する。
【0037】
不良領域設定部111は、記憶装置104の指定された領域へデータの書き込みを行うと共に、記憶装置104の特定の領域を不良領域として設定する。具体的には、不良領域設定部111は、記憶装置104の複製先領域に改竄証拠を書き込み、複製元領域を不良領域として設定する。
【0038】
以上により、改竄証拠保持装置は、読み出したデータが改竄されていると判断した場合に、改竄データを改竄証拠として、読み出した領域とは別の領域に複製して保持し、読み出した領域を不良領域として設定することができる。これにより、悪意のあるユーザによって情報機器内の情報が改竄された際に、データ改竄の証拠を、別領域に複製することで、ユーザによって削除されることなく、保持することができる。
【0039】
図3は、本発明の実施の形態における改竄証拠保持装置を備えた情報処理装置の動作の一例を示したフロー図である。図3では、情報処理装置が、記憶装置104からデータを読み出す際の動作について示している。まず、情報制御部102の情報読出部105が、記憶装置104に記憶されているデータの読み出しの要求を受け取り、処理を開始する。
【0040】
情報制御部102の情報読出部105は、記憶制御部103に、記憶装置104から、所定の単位でデータの読み出しを要求する(ステップS201)。なお、所定の単位は、例えば、ブロックである。また、所定の単位として、セクタ、ページなど別の単位を用いてもよい。
【0041】
記憶制御部103の記憶領域診断部110は、情報制御部102から読み出しの要求を受け、読み出し対象領域が不良領域であるか否かを検証する(ステップS202)。
【0042】
読み出し対象領域が不良領域と判断した場合(ステップS202がYes)、記憶領域診断部110は、情報制御部102に読み出しエラーを通知する。読み出し対象領域が不良領域である場合、記憶されているデータを読み出すことができないためである。情報制御部102の情報読出部105は、記憶制御部103から、読み出しエラーを受け取り、ステップS208に遷移する。
【0043】
読み出し対象領域が不良領域でないと判断した場合(ステップS202がNo)、記憶領域診断部110は、対象領域に記憶されているデータを読み出し、読み出したデータを情報制御部102に通知する。情報制御部102の情報読出部105は、記憶制御部103から、読み出したデータを受け取る(ステップS203)。
【0044】
情報演算部107は、情報読出部105から、読み出したデータを受け取り、読み出したデータの正当性を検証するための値を計算する(ステップS204)。
【0045】
情報検証部108は、情報演算部107が計算した値を用いて、読み出したデータの正当性を検証する(ステップS205)。検証した結果、対象のデータが正当でない場合、そのデータは改竄されたものと判断する。読み出したデータが不正なデータでなければ(ステップS205がYes)、ステップS208に遷移する。
【0046】
読み出したデータが不正なデータであれば(ステップS205がNo)、情報検証部108は、情報複製部109に通知する。情報複製部109は、通知を受け、読み出した領域(複製元領域)とは別の領域(複製先領域)を指定して、情報書込部106へ、不正なデータ(改竄証拠)の書き込みを要求する。情報書込部106は、記憶制御部103を介して、要求された複製先領域に、不正なデータの書き込みを行う(ステップS206)。
【0047】
記憶制御部103の不良領域設定部110は、不正データを読み出した領域(複製元領域)を不良領域として設定する(ステップS207)。
【0048】
最後に、情報制御部102の情報読出部105は、読み出し対象の領域が、まだあるか否かを判断する(ステップS208)。読み出す領域がある場合(ステップS208がYes)、情報読出部105は、ステップS201に遷移して、処理を繰り返す。一方、読み出す領域がない場合(ステップS208がNo)、処理を終了する。
【0049】
図4は、本発明の実施の形態における不正情報発見時の概要を示した図である。
【0050】
図4において、記憶装置104に記憶されているデータに対し、情報制御部102の情報検証部107が、正当性を検証した場合について示している。対象のデータは、前述した所定の単位で読み出して検証する。ここでは、領域A201、領域B202、領域C203に記憶されているデータを順に処理するものとする。情報検証部107は、前述した通り、検証対象のデータから得られるハッシュ値などのダイジェスト値を用いて正当性を検証する。図4は、検証の結果、領域B202に記憶されているデータが正当でないとして、情報複製部109が、領域B202(複製元領域)に記憶されている不正データ200(改竄証拠)を、別の領域である複製先領域204へ複製処理S101している。なお、複製処理S101前の複製先領域204は、データが書き込まれていない、もしくはデータを上書きしても問題のない領域である。
【0051】
複製処理S101後、領域B202(複製元領域)を不良領域205として設定するために、不良領域設定処理S102を実施する。不良領域設定処理S102とは、領域B202(複製元領域)内に、不良領域設定情報206を設定することである。不良領域設定情報206を設定することで、当該領域は、ユーザがアクセスできない不良領域205となる。また、データ読み出し時には、不良領域設定情報206を確認することで、読み出し可能かどうか判断することが可能となる。
【0052】
なお、本実施の形態において、ひとつのデータが複数の領域をまたがって構成されていてもよい。
【0053】
次に、ファイルシステムとしてJFFS2(Journaling File System 2)を用いた情報処理装置に、本実施の形態における改竄証拠保持装置を実装した場合について、説明する。
【0054】
記憶装置104は、フラッシュメモリなどの不揮発性記憶装置であり、読み出す所定の単位は、Eraceblock単位となる。つまり、情報読出部105は、フラッシュメモリからEraceblock単位でデータを読み出す。また、記憶領域診断部110は、Eraceblock単位で、読み出し先のブロックが不良なブロックであるか否か検証を行う。
【0055】
情報演算部107は、読み出したデータから正当性を検証するための値として、ハッシュ値などデータのダイジェスト値を計算する。なお、本実施の形態において、正当性検証にハッシュ値などのダイジェスト値を用いたが、チェックサムなどデータを代表する別の値やデータ全体をデータの正当性検証に用いてもよい。そして情報検証部108が、読み出したEraceblock単位のデータが、不正なデータであるかハッシュ値を用いてデータの正当性チェックを行う。
【0056】
読み出したEraceblock単位のデータが不正なデータでなければ、情報読出部105はフラッシュメモリから次のブロックのデータを読み出す。一方、読み出したデータが不正なデータであれば、情報複製部109が、読み出したブロックに書き込まれていたデータ(改竄証拠)を複製し、情報書込部106が複製したデータ(改竄証拠)を別のブロックに書き込む。
【0057】
その後、フラッシュメモリ内に読み出すブロックがまだ残っているならば、情報読出部105は、フラッシュメモリから読み出しを継続し、読み出しブロックがなければ、処理を終了する。
【0058】
かかる構成によれば、情報処理装置においてデータの改竄を検出した際に、改竄されたデータを別領域に複製し、複製元データが書き込まれている領域を不良領域に設定することで、データ改竄の証拠を保持することが可能となる。
【産業上の利用可能性】
【0059】
本発明にかかる改竄証拠保持装置は、データ改竄の証拠を保持する機能を有し、PC等の情報処理装置として有用である。また、PDAや携帯電話などの通信端末、AV機器などの用途にも応用できる。
【符号の説明】
【0060】
10 CPU
20 メモリ装置
21 ROM
22 RAM
25 ハードディスク装置
26,35,41,46 インタフェース
30 通信装置
31 記録媒体
32 読取装置
33 電気通信回線
40 入力装置
45 表示装置
50 バスライン
51 タイマ回路
55 割込コントローラ
101 情報処理装置
102 情報制御部
103 記憶制御部
104 記憶装置
105 情報読出部
106 情報書込部
107 情報演算部
108 情報検証部
109 情報複製部
110 記憶領域診断部
111 不良領域設定部
【技術分野】
【0001】
本発明は、情報処理装置に記録されたデータが改竄された際に、情報処理装置内に改竄の証拠を保持することができる改竄証拠保持装置に関するものである。
【背景技術】
【0002】
従来、情報処理装置内に記憶されているデータを、悪意のあるユーザによる改竄から保護するための技術として、改竄されたデータを検知し、そのデータの使用を制限するものがあった(例えば、特許文献1参照)。前記特許文献1には、記憶装置内のデータが改竄されているかいないかを検証し、改竄されていなければ、そのデータを使用するという技術が開示されている。
【0003】
また、データの改竄を検出するための技術として、記録装置へのデータ書き込み時に、書き込んだユーザ情報、更新日時を記録し、その記録した情報を用いて、データの改竄の有無を検出するものがあった(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2002−132456号公報
【特許文献2】特開平10−283262号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、前記従来の構成では、悪意のあるユーザによって、改竄されたデータをクリアされるなど、改竄された証拠を消去することが可能であった。つまり、悪意のあるユーザがデータを改竄したことによって、情報処理機器を故障させた場合など、悪意のあるユーザが、データを改竄した証拠を消去することで、故障の原因を特定することが困難となるという問題があった。
【0006】
本発明は、前記従来の課題を解決するもので、情報処理装置においてデータの改竄を検出した際に、改竄されたデータを別領域に複製し、複製元データが書き込まれている領域を不良領域に設定することで、データ改竄の証拠を保持する改竄証拠保持装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
前記従来の課題を解決するために、本発明の改竄証拠保持装置は、記憶装置に記憶されている情報を読み出し可能な情報処理装置において、前記記憶装置の所定の領域に記憶されている情報を読み出す情報読出手段と、前記情報読出手段が読み出した前記情報の正当性を検証する情報検証手段と、前記情報検証手段が、前記情報を正当でないと判断した場合、前記情報を、前記記憶装置の前記所定の領域とは別の領域に複製する情報複製手段と、前記情報を読み出した前記所定の領域を、不良領域として設定する不良領域設定手段を備えたことを特徴とする。
【0008】
本構成によって、悪意のあるユーザによって情報機器内の情報が改竄された際に、データ改竄の証拠を、ユーザによって削除されることなく、保持することができる。
【発明の効果】
【0009】
本発明の改竄証拠保持装置によれば、悪意のあるユーザによって情報が改竄された際に、データ改竄の証拠を、ユーザによって削除されることなく、保持することができる。
【図面の簡単な説明】
【0010】
【図1】本発明の実施の形態における改竄証拠保持装置を備えた情報処理装置の構成を示す図
【図2】本発明の実施の形態における改竄証拠保持装置の構成の一例を示すブロック図
【図3】本発明の実施の形態における改竄証拠保持装置を備えた情報処理装置の動作の一例を示すフロー図
【図4】本発明の実施の形態における不正情報発見時の概要を示した図
【発明を実施するための形態】
【0011】
以下本発明の実施の形態について、図面を参照しながら説明する。
【0012】
(実施の形態1)
図1は、本発明の実施の形態における改竄証拠保持装置を備えた情報処理装置のハードウェア構成を示す図である。この情報処理装置1000は、それ自体としてユーザの使用に供することもできるが、様々な電気機器に組み込まれてもよい。情報処理装置1000の一例は、代表的にはPC(Personal Computer;パーソナルコンピュータあるいはパソコン)等の汎用のコンピュータである。また、情報処理装置1000は、PDA(Personal Digital Assistance)あるいは携帯電話機等の通信端末、AV機器でもよい。
【0013】
情報処理装置1000は、CPU(Central Processing Unit;中央演算処理部)10、メモリ装置20、通信装置30、入力装置40、表示装置45、タイマ回路51及び割り込みコントローラ55を備えている。これらの装置は、バスライン50を通じて互いに接続されている。また、必要に応じて、バスライン50には、ハードディスク装置25及び読み取り装置32を接続することが可能となっている。ハードディスク装置25、読み取り装置32、入力装置40及び表示装置45は、それぞれ、インタフェース26、35、41及び46を通じてバスライン50に接続される。
【0014】
CPU10は、単一のCPUで構成されてもよく、複数のCPUで構成されてもよい。図1の情報処理装置1000は、単一のCPU10を有する例を示している。
【0015】
メモリ装置20は、ROM(Read Only Memory)21及びRAM(Random Access Memory)22を備えている。ROM21は、CPU10の動作を規定するコンピュータプログラム及びデータを記憶している。コンピュータプログラム及びデータは、ハードディスク装置25に記憶させることもできる。CPU10は、ROM21又はハードディスク装置25が格納するコンピュータプログラム及びデータを、必要に応じてRAM22に書き込みつつ、コンピュータプログラムが規定する処理を実行する。RAM22は、CPU10が処理を実行するのに伴って発生するデータを一時的に記憶する媒体としても機能する。メモリ装置20は、フラッシュメモリなど、書き込みが可能で、電源を切っても記憶内容を保持できる不揮発性のメモリと記憶媒体を含んでいる。
【0016】
ハードディスク装置25は、内蔵する不図示のハードディスクへ、コンピュータプログラム、あるいはデータを書き込み及び読み出す装置である。
【0017】
読み取り装置32は、記録媒体31(例えばCD、DVD、メモリカードなど)に記録されたコンピュータプログラム、あるいはデータを読み取る装置である。
【0018】
通信装置30は、電話回線、ネットワーク線、無線、赤外線通信等の通信回線33を通じて、外部と自身との間で、コンピュータプログラム、あるいはデータを交換する装置である。
【0019】
入力装置40は、ユーザの操作によりデータ等を入力する装置であり、例えば、PDAに配列されたキーボード、携帯電話機に配列された入力ボタン、あるいは着脱自在のマウス、キーボードである。
【0020】
表示装置45は、データ、画像等を画面に表示したり、データ等を音声で出力したりする装置であり、例えばLCD(Liquid Crystal Display;液晶表示器)、ブラウン管、スピーカである。
【0021】
タイマ回路51は、一定の周期でタイマ割り込み信号を出力する装置である。割り込みコントローラ55は、タイマ回路51、入力装置40、CPU10、ネットワークデバイスである通信装置30、ハードディスク装置25、読み取り装置32等から送られる割り込み要求信号を、CPU10へ中継する装置である。各装置からの割り込み要求には優先度が付けられている。割り込みコントローラ55は、同時に複数の装置から割り込みが発生した場合には、それらの要求を優先度に応じて調停する機能を有している。
【0022】
以上のように、情報処理装置1000は、コンピュータとして構成されている。上記コンピュータプログラムは、ROM21、ハードディスク装置25、不図示のフレキシブルディスク、CD−ROM等の記録媒体31を通じて供給することも、電気通信回線33等の伝送媒体を通じて供給することも可能である。例えば、記録媒体31(CD−ROM)に記録されたコンピュータプログラムは、読み取り装置32を情報処理装置1000へ接続することで、読み出すことができる。また、読み出したコンピュータプログラムを、RAM22あるいはハードディスク装置25に格納することができる。
【0023】
プログラム記録媒体としてROM21からコンピュータプログラムが供給される場合には、当該ROM21を情報処理装置1000に搭載することにより、CPU10は上記コンピュータプログラムに従った処理を実行可能となる。電気通信回線33等の伝送媒体を通じて供給されるコンピュータプログラムは、通信装置30を通じて受信され、例えば、RAM22あるいはハードディスク装置25に格納される。伝送媒体は、有線の伝送媒体に限られず、無線の伝送媒体であってもよい。また、伝送媒体は通信線路のみでなく、通信線路を中継する中継装置、例えばルータをも含む。
【0024】
図2は、改竄証拠保持装置を備えた情報処理装置の構成を示すブロック図である。改竄証拠保持装置は、図1に示すCPU10で動作するプログラムであり、記憶装置104は、図1に示すメモリ装置20、HDD25、あるいは記録媒体31などである。
【0025】
改竄証拠保持装置を備えた情報処理装置101は、情報制御部102、記憶制御部103、並びに記憶装置104を備えている。
【0026】
情報制御部102は、ファイルシステムを示し、記憶装置104内に記録されているデータを管理する。ファイルシステムとしては、例えば、JFFS2(Journaling Flash File System 2)などがある。
【0027】
記憶制御部103は、例えばMTD(Memory Technology Device)を示し、情報制御部102が記憶装置104を利用できるように、記憶装置に対する設定を行う。
【0028】
記憶装置104は、前述した通り、図1に示すメモリ装置20、HDD25、あるいは記録媒体31を示す。
【0029】
情報制御部102は、情報読出部105、情報書込部106、情報演算部107、情報検証部108、情報複製部109を備えている。
【0030】
情報読出部105は、記憶制御部103を介して、記憶装置104に記憶されているデータを、所定の単位で読み出す。所定の単位とは、例えば、ブロック、セクタ、ページなどを用いることができる。
【0031】
情報演算部107は、情報読出部105から読み出したデータを受け取り、読み出したデータの正当性を検証するための値を計算する。正当性を検証するための値として、例えば、ハッシュ値などデータのダイジェスト値や、チェックサムなどを用いることが可能である。また、データ全体をデータの正当性検証に用いてもよい。
【0032】
情報検証部108は、情報演算部107が計算した値を用いて、情報読出部105が記憶装置104から読み出したデータの正当性を検証する。検証した結果、対象のデータが正当でない場合、そのデータは改竄されたものと判断する。
【0033】
情報複製部109は、情報検証部108が、対象のデータが改竄されたと判断した場合に、改竄されたデータを、読み出したとの別の領域へ複製する処理を行う。具体的には、情報複製部109は、記憶装置104上の別領域(複製先領域)を指定して、情報書込部106へ改竄証拠(改竄されたデータ)の書き込みを要求する。また、情報複製部109は、改竄データを読み出した領域(複製元領域)を、不良領域として設定する要求を行う。なお、情報複製部109は、改竄証拠の書き込みの要求と、不良領域として設定する要求を、別々の要求で情報書込部106に通知してもよいし、一つの要求で情報書込部106に通知してもよい。
【0034】
情報書込部106は、記憶制御部103を介して、記憶装置104の複製先領域へ、改竄証拠の書き込みを行う。また、情報書込部106は、記憶制御部103を介して、記憶装置104の複製元領域を、不良領域として設定する。不良領域として設定することで、対象の領域へのデータの書き込み及び読み出しを防止する。
【0035】
記憶制御部103は、記憶領域診断部110と、不良領域設定部111を備えている。
【0036】
記憶領域診断部110は、記憶領域104からデータを読み出す際に、読み出し対象領域が不良であるか否かを検証し、不良領域でない場合にデータを読み出す。具体的には、記憶領域診断部110は、読み出し対象領域が、不良領域として設定されているか否かを判断する。
【0037】
不良領域設定部111は、記憶装置104の指定された領域へデータの書き込みを行うと共に、記憶装置104の特定の領域を不良領域として設定する。具体的には、不良領域設定部111は、記憶装置104の複製先領域に改竄証拠を書き込み、複製元領域を不良領域として設定する。
【0038】
以上により、改竄証拠保持装置は、読み出したデータが改竄されていると判断した場合に、改竄データを改竄証拠として、読み出した領域とは別の領域に複製して保持し、読み出した領域を不良領域として設定することができる。これにより、悪意のあるユーザによって情報機器内の情報が改竄された際に、データ改竄の証拠を、別領域に複製することで、ユーザによって削除されることなく、保持することができる。
【0039】
図3は、本発明の実施の形態における改竄証拠保持装置を備えた情報処理装置の動作の一例を示したフロー図である。図3では、情報処理装置が、記憶装置104からデータを読み出す際の動作について示している。まず、情報制御部102の情報読出部105が、記憶装置104に記憶されているデータの読み出しの要求を受け取り、処理を開始する。
【0040】
情報制御部102の情報読出部105は、記憶制御部103に、記憶装置104から、所定の単位でデータの読み出しを要求する(ステップS201)。なお、所定の単位は、例えば、ブロックである。また、所定の単位として、セクタ、ページなど別の単位を用いてもよい。
【0041】
記憶制御部103の記憶領域診断部110は、情報制御部102から読み出しの要求を受け、読み出し対象領域が不良領域であるか否かを検証する(ステップS202)。
【0042】
読み出し対象領域が不良領域と判断した場合(ステップS202がYes)、記憶領域診断部110は、情報制御部102に読み出しエラーを通知する。読み出し対象領域が不良領域である場合、記憶されているデータを読み出すことができないためである。情報制御部102の情報読出部105は、記憶制御部103から、読み出しエラーを受け取り、ステップS208に遷移する。
【0043】
読み出し対象領域が不良領域でないと判断した場合(ステップS202がNo)、記憶領域診断部110は、対象領域に記憶されているデータを読み出し、読み出したデータを情報制御部102に通知する。情報制御部102の情報読出部105は、記憶制御部103から、読み出したデータを受け取る(ステップS203)。
【0044】
情報演算部107は、情報読出部105から、読み出したデータを受け取り、読み出したデータの正当性を検証するための値を計算する(ステップS204)。
【0045】
情報検証部108は、情報演算部107が計算した値を用いて、読み出したデータの正当性を検証する(ステップS205)。検証した結果、対象のデータが正当でない場合、そのデータは改竄されたものと判断する。読み出したデータが不正なデータでなければ(ステップS205がYes)、ステップS208に遷移する。
【0046】
読み出したデータが不正なデータであれば(ステップS205がNo)、情報検証部108は、情報複製部109に通知する。情報複製部109は、通知を受け、読み出した領域(複製元領域)とは別の領域(複製先領域)を指定して、情報書込部106へ、不正なデータ(改竄証拠)の書き込みを要求する。情報書込部106は、記憶制御部103を介して、要求された複製先領域に、不正なデータの書き込みを行う(ステップS206)。
【0047】
記憶制御部103の不良領域設定部110は、不正データを読み出した領域(複製元領域)を不良領域として設定する(ステップS207)。
【0048】
最後に、情報制御部102の情報読出部105は、読み出し対象の領域が、まだあるか否かを判断する(ステップS208)。読み出す領域がある場合(ステップS208がYes)、情報読出部105は、ステップS201に遷移して、処理を繰り返す。一方、読み出す領域がない場合(ステップS208がNo)、処理を終了する。
【0049】
図4は、本発明の実施の形態における不正情報発見時の概要を示した図である。
【0050】
図4において、記憶装置104に記憶されているデータに対し、情報制御部102の情報検証部107が、正当性を検証した場合について示している。対象のデータは、前述した所定の単位で読み出して検証する。ここでは、領域A201、領域B202、領域C203に記憶されているデータを順に処理するものとする。情報検証部107は、前述した通り、検証対象のデータから得られるハッシュ値などのダイジェスト値を用いて正当性を検証する。図4は、検証の結果、領域B202に記憶されているデータが正当でないとして、情報複製部109が、領域B202(複製元領域)に記憶されている不正データ200(改竄証拠)を、別の領域である複製先領域204へ複製処理S101している。なお、複製処理S101前の複製先領域204は、データが書き込まれていない、もしくはデータを上書きしても問題のない領域である。
【0051】
複製処理S101後、領域B202(複製元領域)を不良領域205として設定するために、不良領域設定処理S102を実施する。不良領域設定処理S102とは、領域B202(複製元領域)内に、不良領域設定情報206を設定することである。不良領域設定情報206を設定することで、当該領域は、ユーザがアクセスできない不良領域205となる。また、データ読み出し時には、不良領域設定情報206を確認することで、読み出し可能かどうか判断することが可能となる。
【0052】
なお、本実施の形態において、ひとつのデータが複数の領域をまたがって構成されていてもよい。
【0053】
次に、ファイルシステムとしてJFFS2(Journaling File System 2)を用いた情報処理装置に、本実施の形態における改竄証拠保持装置を実装した場合について、説明する。
【0054】
記憶装置104は、フラッシュメモリなどの不揮発性記憶装置であり、読み出す所定の単位は、Eraceblock単位となる。つまり、情報読出部105は、フラッシュメモリからEraceblock単位でデータを読み出す。また、記憶領域診断部110は、Eraceblock単位で、読み出し先のブロックが不良なブロックであるか否か検証を行う。
【0055】
情報演算部107は、読み出したデータから正当性を検証するための値として、ハッシュ値などデータのダイジェスト値を計算する。なお、本実施の形態において、正当性検証にハッシュ値などのダイジェスト値を用いたが、チェックサムなどデータを代表する別の値やデータ全体をデータの正当性検証に用いてもよい。そして情報検証部108が、読み出したEraceblock単位のデータが、不正なデータであるかハッシュ値を用いてデータの正当性チェックを行う。
【0056】
読み出したEraceblock単位のデータが不正なデータでなければ、情報読出部105はフラッシュメモリから次のブロックのデータを読み出す。一方、読み出したデータが不正なデータであれば、情報複製部109が、読み出したブロックに書き込まれていたデータ(改竄証拠)を複製し、情報書込部106が複製したデータ(改竄証拠)を別のブロックに書き込む。
【0057】
その後、フラッシュメモリ内に読み出すブロックがまだ残っているならば、情報読出部105は、フラッシュメモリから読み出しを継続し、読み出しブロックがなければ、処理を終了する。
【0058】
かかる構成によれば、情報処理装置においてデータの改竄を検出した際に、改竄されたデータを別領域に複製し、複製元データが書き込まれている領域を不良領域に設定することで、データ改竄の証拠を保持することが可能となる。
【産業上の利用可能性】
【0059】
本発明にかかる改竄証拠保持装置は、データ改竄の証拠を保持する機能を有し、PC等の情報処理装置として有用である。また、PDAや携帯電話などの通信端末、AV機器などの用途にも応用できる。
【符号の説明】
【0060】
10 CPU
20 メモリ装置
21 ROM
22 RAM
25 ハードディスク装置
26,35,41,46 インタフェース
30 通信装置
31 記録媒体
32 読取装置
33 電気通信回線
40 入力装置
45 表示装置
50 バスライン
51 タイマ回路
55 割込コントローラ
101 情報処理装置
102 情報制御部
103 記憶制御部
104 記憶装置
105 情報読出部
106 情報書込部
107 情報演算部
108 情報検証部
109 情報複製部
110 記憶領域診断部
111 不良領域設定部
【特許請求の範囲】
【請求項1】
記憶装置に記憶されている情報を読み出し可能な情報処理装置において、
前記記憶装置の所定の領域に記憶されている情報を読み出す情報読出手段と、
前記情報読出手段が読み出した前記情報の正当性を検証する情報検証手段と、
前記情報検証手段が、前記情報を正当でないと判断した場合、前記情報を、前記記憶装置の前記所定の領域とは別の領域に複製する情報複製手段と、
前記情報を読み出した前記所定の領域を、不良領域として設定する不良領域設定手段を備えたことを特徴とする改竄証拠保持装置。
【請求項2】
前記記憶装置に記憶されているデータは、ファイルシステムにより管理されており、
前記情報読出手段が前記情報を読み出す前に、読み出し対象である前記所定の領域が不良領域であるか否かを検証する記憶領域診断手段を備え、
前記情報読出手段は、前記記憶領域診断手段が不良領域でないと判断した場合に、前記情報を読み出すことを特徴とする請求項1に記載の改竄証拠保持装置。
【請求項3】
前記記憶装置は不揮発性記憶装置であって、前記記憶装置に記憶されているデータは、JFFS2により管理されており、
前記情報読出手段は、Eraceblock単位で、前記記憶装置から情報を読み出し、
前記情報検証手段は、Eraceblock単位で、前記情報の正当性を検証することを特徴とする請求項2に記載の改竄証拠保持装置。
【請求項4】
記憶装置の所定の領域に記憶されている情報を読み出す情報読み出しステップと、
前記記憶装置から読み出した前記情報の正当性を検証する情報検証ステップと、
前記情報検証ステップにおいて、前記情報が正当でないと判断された場合、前記情報を、前記記憶装置の前記所定の領域とは別の領域に複製する情報複製ステップと、
前記情報を読み出した前記所定の領域を、不良領域として設定する不良領域設定ステップとを備えたことを特徴とする改竄証拠保持方法。
【請求項1】
記憶装置に記憶されている情報を読み出し可能な情報処理装置において、
前記記憶装置の所定の領域に記憶されている情報を読み出す情報読出手段と、
前記情報読出手段が読み出した前記情報の正当性を検証する情報検証手段と、
前記情報検証手段が、前記情報を正当でないと判断した場合、前記情報を、前記記憶装置の前記所定の領域とは別の領域に複製する情報複製手段と、
前記情報を読み出した前記所定の領域を、不良領域として設定する不良領域設定手段を備えたことを特徴とする改竄証拠保持装置。
【請求項2】
前記記憶装置に記憶されているデータは、ファイルシステムにより管理されており、
前記情報読出手段が前記情報を読み出す前に、読み出し対象である前記所定の領域が不良領域であるか否かを検証する記憶領域診断手段を備え、
前記情報読出手段は、前記記憶領域診断手段が不良領域でないと判断した場合に、前記情報を読み出すことを特徴とする請求項1に記載の改竄証拠保持装置。
【請求項3】
前記記憶装置は不揮発性記憶装置であって、前記記憶装置に記憶されているデータは、JFFS2により管理されており、
前記情報読出手段は、Eraceblock単位で、前記記憶装置から情報を読み出し、
前記情報検証手段は、Eraceblock単位で、前記情報の正当性を検証することを特徴とする請求項2に記載の改竄証拠保持装置。
【請求項4】
記憶装置の所定の領域に記憶されている情報を読み出す情報読み出しステップと、
前記記憶装置から読み出した前記情報の正当性を検証する情報検証ステップと、
前記情報検証ステップにおいて、前記情報が正当でないと判断された場合、前記情報を、前記記憶装置の前記所定の領域とは別の領域に複製する情報複製ステップと、
前記情報を読み出した前記所定の領域を、不良領域として設定する不良領域設定ステップとを備えたことを特徴とする改竄証拠保持方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−8475(P2011−8475A)
【公開日】平成23年1月13日(2011.1.13)
【国際特許分類】
【出願番号】特願2009−150620(P2009−150620)
【出願日】平成21年6月25日(2009.6.25)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
【公開日】平成23年1月13日(2011.1.13)
【国際特許分類】
【出願日】平成21年6月25日(2009.6.25)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]