追記型記憶媒体内書き換え禁止データのバックアップ管理システム
【課題】
追記型磁気ディスクの書き換え禁止データを原本性を保証した形で長期間アーカイブできるバックアップ管理システムを提供することを目的とする。
【解決手段】
追記型磁気ディスクなどのデータを追記型磁気テープなどの追記型で可換型の記憶媒体にバックアップする際、バックアップ対象の当該磁気ディスク内データを特定するファイル名とバックアップ先磁気テープのシリアルナンバを共に登録した第1の管理情報を記憶し、さらに当該第1の管理情報の原本性を確認可能な認証値を生成し、その認証値を含む文書に電子署名を付加した第2の管理情報を記憶する。追記型磁気ディスクのデータ復旧の際には、前記第1と第2の管理情報によりバックアップ磁気テープのシリアルナンバーをチェックし、正しい磁気テープからリストアする。バックアップからリストアまでに発生しうる磁気テープのすり替えが検知可能となる。
追記型磁気ディスクの書き換え禁止データを原本性を保証した形で長期間アーカイブできるバックアップ管理システムを提供することを目的とする。
【解決手段】
追記型磁気ディスクなどのデータを追記型磁気テープなどの追記型で可換型の記憶媒体にバックアップする際、バックアップ対象の当該磁気ディスク内データを特定するファイル名とバックアップ先磁気テープのシリアルナンバを共に登録した第1の管理情報を記憶し、さらに当該第1の管理情報の原本性を確認可能な認証値を生成し、その認証値を含む文書に電子署名を付加した第2の管理情報を記憶する。追記型磁気ディスクのデータ復旧の際には、前記第1と第2の管理情報によりバックアップ磁気テープのシリアルナンバーをチェックし、正しい磁気テープからリストアする。バックアップからリストアまでに発生しうる磁気テープのすり替えが検知可能となる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、追記型磁気ディスク装置などの追記型記憶媒体における書き換え禁止制御されたデータのバックアップ管理技術に関する。
【背景技術】
【0002】
企業・医療機関・政府機関における電子データの管理に関する規制が厳しくなり、電子文書を消去・書き換えができない方法で長期間保管することが義務付けられる企業が増えている。このような進展する法制化に遵守したデータの保管を行うために、消去・書き換え不可能な追記型記憶メディアのニーズが高まっており、なかでも近年、高速アクセスの追記管理を実現する磁気ディスクの追記制御機能を備えたソフトウェア・ファームウェアの各種製品が発表されている。
【0003】
従来において、磁気ディスクの追記管理によりデータの改竄がないことを証明するための改竄検知技術として、例えば、下記特許文献1や下記特許文献2に記載のものが知られている。
【0004】
下記特許文献1は、第三者によるコンテンツの改竄行為を効果的に防止することが可能な公開コンテンツ改竄防止方法を提案する。これは、ハードディスクドライブの書込み禁止スイッチを操作することにより、第三者によるコンテンツファイルの改竄を禁止し、コンテンツを保護する技術である。
【0005】
また、下記特許文献2は、特殊なハードウェアやデバイスを用いずにデータベースを安全に管理する方法を提案する。これは、データを上書きするのではなく、データに追記することにより修正情報を管理する際、追記したデータを記入したユーザの秘密鍵で署名を施し、さらにそれをデータベース・システムの秘密鍵により署名することで、追記データがどのユーザによるものかを署名により保証することにより、データを捏造する不正書き換えを防止するデータベースシステムである。
【特許文献1】特開2003−076610号公報
【特許文献2】特開2003−131922号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
前記のような追記制御により磁気ディスクで管理されるデータの原本性を保証する一方で、現在、追記型磁気ディスクで管理される書き換え禁止データのバックアップについての改竄検知の仕組みは不十分である。そのため、バックアップメディアのすり替えによるデータの改竄や書き換え可能なバックアップメディアに対する改竄が生じる危険性があり、追記管理により原本性が保証されたデータもバックアップ時点からリストア時点の間に改竄される可能性が生じることから、ディスク障害時の復旧データに対する原本性を保証できないという問題が生じる。
【0007】
本発明の目的は、追記型磁気ディスクの書き換え禁止データを原本性を保証した形で長期間アーカイブできるバックアップ管理システムを提供することにある。
【課題を解決するための手段】
【0008】
上記の目的を達成するために、本発明は、追記型磁気ディスクなどの追記型記憶媒体の書き換え禁止データを追記型磁気テープなどの追記型で可換型(交換が可能な記憶メディア)の記憶媒体にバックアップ(アーカイブ)する際、バックアップ対象の当該追記型記憶媒体内の書き換え禁止データを特定するデータ識別情報(ファイル名など)と前記のバックアップ先追記型記憶媒体を特定するバックアップ記憶媒体識別情報(シリアルナンバーなど)を共に登録した第1の管理情報を記憶し、さらに当該第1の管理情報の原本性を認識可能な認証値を生成し、当該第1の管理情報の認証値を含む文書に電子署名を付加した第2の管理情報を記憶することを特徴とする。追記型記憶媒体のデータ復旧をする際には、前記第1と第2の管理情報により、そのバックアップ対象記憶媒体とリストア対象記憶媒体との同一性を証明し、バックアップ時点からリストア時点の間に発生しうる記憶媒体のすり替えを検知可能な状態にすることにより、より完全な原本性を保証できる。また、前記の第1の管理情報と第2の管理情報を耐久性の高い追記型光ディスク装置にアーカイブすることでより高い信頼度で原本性を保証できる。
【発明の効果】
【0009】
本発明によれば、追記型記憶媒体内の書き換え禁止データのバックアップメディアとして追記型で可換型の磁気テープなどの記憶媒体を採用することで、追記型記憶媒体内データからバックアップデータにわたって書き換え禁止の状態を維持できるため、第三者のデータアクセスによる改竄は不可能となる。また、追記型記憶媒体の書き換え禁止データのバックアップの際、バックアップ先の記憶媒体のシリアルナンバーなどの識別情報を管理情報として保持するため、仮にバックアップ時点からリストア時点の間にバックアップメディアのすり替えが発生しても、記憶媒体の識別情報をキーに改竄検知が可能であるため、障害時においても高い信頼度で原本性の保証を維持できる。
【発明を実施するための最良の形態】
【0010】
以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
【0011】
図1は、本発明の実施の一形態に関わる追記型磁気ディスクのバックアップ管理システムを含む全体のシステム構成を示すブロック図である。101が本実施形態に関わるバックアップ管理システムを示す。バックアップ管理システム101は、原本性保証サーバ102を含む。104は、信頼のおける第三者機関であるTSA(Time Stamping Authority)を示す。原本性保証サーバ102は、インターネット103経由で、TSA104のタイムスタンプサーバ105に接続し、タイムスタンプ106を取得する。タイムスタンプ106をどのように利用するかについては、後に詳しく説明する。
【0012】
図2は、本実施形態のバックアップ管理システム101の詳細な構成を示す。本バックアップ管理システムは、図2に示すように、原本保管サーバ201と、原本性保証サーバ203(図1の102)とを備える。また、ストレージ記憶装置として、原本保管サーバ201には、原本バックアップ保管装置(追記型磁気テープ装置)202が接続され、原本性保証サーバ203には、原本管理情報保管装置(追記型光ディスク装置)204が接続されている。原本保管サーバ201は、データの安全性と機密性を維持するために、追記型磁気ディスク装置205を採用し、追記型磁気ディスク装置205には、登録された原本データ2011を格納する。
【0013】
原本バックアップ保管装置202は、原本となる電子文書のアーカイブを保管するための大容量かつアクセス頻度がディスク障害のデータ復旧時のみに限られる二次記憶装置であるため、比較的安価に大容量データの原本性を維持したまま保管できるライトワンス(Write Once)型の磁気テープ記憶装置を採用する。これは、バックアップするとき、またはリストアするときにのみ、装置に装着される可換型の媒体である。
【0014】
また、原本管理情報保管装置204は、原本性管理情報のアーカイブを保管するための比較的小容量かつアクセス頻度がディスク障害のデータ復旧時のみに限られる二次記憶装置であるため、より高い信頼度で原本性を保証できるライトワンス型の光ディスク記憶装置を採用する。
【0015】
原本性保証サーバ203には、バックアッププログラム2031が実装されている。本バックアッププログラム2031の制御により、原本保管サーバ201の追記型磁気ディスク装置205に格納される原本データ2011を原本バックアップ保管装置(追記型磁気テープ装置)202へアーカイブしたり、原本バックアップ保管装置(追記型磁気テープ装置)202にアーカイブされた原本データ2021を追記型磁気ディスク装置205へリストアする。また、バックアッププログラム2031の拡張機能として、原本管理情報自動生成エージェント2032をアドインし、原本データアーカイブ実行時にバックアップ管理情報2034を生成する。原本バックアップ管理情報2034とタイムスタンプトークン2035を含む原本性管理情報2033は、原本管理情報保管装置(追記型光ディスク装置)204にアーカイブする。
【0016】
原本性保証サーバ203の機能としては、アーカイブされた原本データの改竄検知の他に、原本となる電子文書の改竄検知、アクセス制御、保管媒体へのアクセスログの取得などがあるが、本発明においてこれらの操作は、アーカイブされた原本データの原本性を失わない範囲で任意の方法で実施してよいので、これ以後はアーカイブされた原本データの改竄検知機能についてのみ詳細に説明する。改竄検知機能は、原本データのアーカイブ時に、原本データのアーカイブ先である磁気テープ媒体のシリアルNOを含んだバックアップ管理情報に電子署名とタイムスタンプを施したものを原本管理情報保管装置(追記型光ディスク装置)204に記録することにより実現される。
【0017】
図3(a)は、原本性保証サーバ203が用いるアーカイブした原本データ2021のバックアップ管理情報2034の構成例を示したものである。このバックアップ管理情報2034の構成要素は、原本データファイル名301、原本データハッシュ値302、及びバックアップ先テープ媒体シリアルNO303からなる。原本データファイル名301は、原本バックアップ保管装置(追記型磁気テープ装置)202にアーカイブされた原本データ2021のファイル名であり、原本データハッシュ値302はその原本データ2021のハッシュ値を表している。バックアップ先テープ媒体シリアルNO303は、原本データ2021のアーカイブ先である追記型磁気テープ媒体のシリアルNO(製品出荷時、メーカーにより採番される各磁気テープ製品固有のナンバー)を表している。ここではシリアルNOを用いたが、磁気テープ媒体を特定できる識別情報であればよい。この他にもバックアップ管理情報2034の構成要素として、当該原本データの作成者、作成部署名、作成日時などを示す属性要素を加えてもよい。
【0018】
図3(b)は、バックアップ管理情報2034の検証手段となるタイムスタンプトークンの構成例を示している。この例で示すタイムスタンプトークンは、バックアップ管理情報(図3(a)のバックアップ管理情報全体)のハッシュ値304、時刻情報305、及び電子署名306で構成されている。
【0019】
図4は、図3(b)に示したタイムスタンプトークンの取得方式の例を示す図である。原本性保証サーバ401(図1の102、図2の203)は、利用者の指示に応じて、タイムスタンプの対象原本データ4011(すなわち、図3(a)に示したバックアップ管理情報2034)のハッシュ値4012(図3(b)の304)を含む決められたフォーマットのタイムスタンプ要求をTSA402(図1の104)に送付する。TSA402は、受信したハッシュ値4022と受付した時刻情報4023を含むタイムスタンプトークンの形式の文書に電子署名4024を付け、タイムスタンプトークン4021(図3(b))を作成して、原本性保証サーバ401に返送する。本方式では、電子署名のタイムスタンプの付いたデータは、TSAの公開鍵証明書の有効期限が切れた場合や署名アルゴリズムが弱体化した場合、タイムスタンプの信頼性が喪失するので、これらの事象が起こる前に、有効期限に余裕のあるTSAの公開鍵証明書で再度タイムスタンプを付け直したり、より強度のある署名アルゴリズムでタイムスタンプを付け直す必要があるが、本発明では、タイムスタンプが信頼性を失わない範囲で任意の方法で実施してよいので、長期署名検証のための再署名方式については限定しない。
【0020】
図5は、図2に示した原本性保証サーバ203が行う原本データバックアップ時の処理をフローチャートで示した図である。図5に示すように、まず始めに原本保管サーバ201の追記型磁気ディスク装置205の原本データ2011をボリュームロックし、恒久的に書き換え禁止の状態にする(ステップ501)。次に、書き換え禁止制御された原本データ2011を原本バックアップ保管装置(追記型磁気テープ装置)202の磁気テープ媒体にアーカイブする(ステップ502)。磁気ディスクデータからバックアップデータにわたって書き換え禁止の状態を維持できるため、第三者のデータアクセスによる改竄は不可能となる。バックアップ制御には、原本性保証サーバのバックアッププログラム2031を使用する。
【0021】
次に、原本性保証サーバ203の原本管理情報自動生成エージェント2032により、原本バックアップ保管装置(追記型磁気テープ装置)202にアーカイブした原本データ2021のバックアップ管理情報2034を生成する(ステップ503)。図3(a)に示したように、バックアップ管理情報2034は、バックアップ先テープ媒体シリアルNO303を構成要素として管理するのが特徴であり、このシリアルNO303は、バックアップ時点からリストア時点における磁気テープ媒体すり替えによる改ざん検知のために必要な管理情報である。また、バックアップ管理情報2034の真正性を保持する仕組みとして、例えば、当該バックアップ管理情報2034の生成直後、原本バックアップ保管装置(追記型テープ装置)202に格納される元データと比較してチェックを行い、一致しない場合は、再度バックアップ管理情報2034を生成し直すベリファイ機能を原本管理情報自動生成エージェント2032に実装するとよい。
【0022】
次に、そのバックアップ管理情報2034のハッシュ値304と時刻情報305を含む文書に電子署名306を付け、タイムスタンプトークン2035を作成する(ステップ504)。この処理は、図4で説明した通りTSAを利用して行う。タイムスタンプトークン2035は、将来、元の文書のタイムスタンプトークン2035が必要になった時点で、タイムスタンプトークン2035をTSA402の公開鍵証明書を用いて検証することにより、時刻証明書が発行された時点において、元の文書が存在していたことを証明することができると同時に、タイムスタンプ2035の受付時刻以降、元の文書は改竄されていないことを証明することができる。
【0023】
最後に、バックアップ管理情報2034とタイムスタンプトークン2035を原本管理情報保管装置(追記型光ディスク装置)204にアーカイブする(ステップ505)。図2の2041,2042がアーカイブされたこれらのデータである。耐久性の高い追記型光ディスク装置204にアーカイブすることで、より高い信頼度で原本性を保証できる。
【0024】
図6(a)及び(b)は、図2に示した原本保管サーバ201の追記型磁気ディスク装置205に対するリストア処理のフローチャートを示す。この処理は、追記型磁気ディスク装置205がディスク障害を起こし、データ復旧が必要な場合に、原本バックアップ保管装置(追記型磁気テープ装置)202の原本データ(バックアップ)2021から磁気ディスク装置205にデータをリストアするものであり、原本性保証サーバ203が行うものである。
【0025】
始めに、原本管理情報保管装置(追記型光ディスク装置)204からタイムスタンプトークン(バックアップ)2042を原本性保証サーバ203にリストアする(ステップ601)。次に、TSA(Time Stamping Authority)402の公開鍵証明書を用いて、そのタイムスタンプトークン2042に用いられた電子署名の公開鍵暗号を復号化する(ステップ602)。ここで、電子署名の公開鍵暗号が復号可能な場合、このタイムスタンプトークン2042は、信頼のおける第三者機関であるTSA(Time Stamping Authority)402より許可された暗号化アルゴリズムにより、保護された改竄の危険性のない有効なデータであることを証明できる。しかしながら、電子署名の公開鍵暗号が復号不可の場合、タイムスタンプトークン2042のデータは、破損しているか改竄後別の暗号化アルゴリズムにより暗号化されていると考えられる。よって、原本性維持のため別世代のバックアップからの復旧を再試行する必要がある。
【0026】
次に、TSA(Time Stamping Authority)402の公開鍵証明書の有効期限が切れていないことを確認し、タイムスタンプトークン2042のハッシュ値304及び時刻情報305の信頼性が喪失していないかを確かめる(ステップ603)。有効期限内の場合、タイムスタンプトークン2042の原本管理情報のハッシュ値304及び時刻情報305の有効性が証明できる。しかしながら、有効期限を過ぎている場合、タイムスタンプトークン2042は、タイムスタンプの信頼性が喪失している。よって、原本性維持のため別世代のバックアップからの復旧を再試行する必要がある。
【0027】
次に、原本管理情報保管装置(追記型光ディスク装置)204からバックアップ管理情報(バックアップ)2041を原本性保証サーバ203にリストアする(ステップ604)。次に、リストアしたバックアップ管理情報2041のハッシュ値を計算する(ステップ605)。次に、前記で計算したバックアップ管理情報2041のハッシュ値とタイムスタンプトークン2042の構成要素であるバックアップ管理情報2041のハッシュ値304とを比較する(ステップ606)。両者が一致した場合は、バックアップ管理情報2041が改竄されていないといえる。両者が一致しない場合、バックアップ管理情報2041が改竄されたことを意味する。よって、原本性維持のため別世代のバックアップからの復旧を再試行する必要がある。
【0028】
次に、バックアップ管理情報2041の構成要素であるバックアップ先テープ媒体シリアルNO303の磁気テープ媒体が存在するか確認する(ステップ607)。磁気テープ媒体が存在する場合、指定された追記型磁気テープ媒体から原本データを原本保管サーバ201の追記型磁気ディスク装置205にリストアする(ステップ608)。このリストア制御には、原本性保証サーバ203のバックアッププログラム2031を使用する。磁気テープ媒体が存在しない場合、テープを紛失したかバックアップ時点からリストア時点の間にテープがすり替えられたと考えられる。よって、原本性維持のため別世代のバックアップからの復旧を再試行する必要がある。
【0029】
次に、追記型磁気ディスク装置205上にリストアした原本データ2021のハッシュ値を計算する(ステップ609)。次に、その原本データ2021のハッシュ値とバックアップ管理情報2041の構成要素である原本データのハッシュ値302とを比較する(ステップ610)。両者が一致した場合は、原本データ2021が改竄されていないといえる。両者が一致しない場合、磁気テープ媒体のデータが破損したことを意味する。よって、原本性維持のため別世代のバックアップからの復旧を再試行する必要がある。最後に、原本保管サーバ201の追記型磁気ディスク装置205の原本データをボリュームロックし、恒久的に書き換え禁止の状態にする(ステップ611)。
【0030】
なお、ステップ602で復号できなかった場合、ステップ603で有効期限が切れていた場合、ステップ606でハッシュ値が等しくなかった場合、ステップ607で媒体が存在しなかった場合、及び、ステップ610でハッシュ値が等しくなかった場合は、ここでは一世代前でバックアップで復旧することとしたが、例えば利用者にその旨を知らせるメッセージを表示し、利用者の指示を待つようにしてもよい。
【図面の簡単な説明】
【0031】
【図1】本発明の実施の形態に関わる追記型磁気ディスクのバックアップ管理システムを含む全体構成を示すブロック図である。
【図2】本実施形態のバックアップ管理システムの構成を示すブロック図である。
【図3】アーカイブした原本データの原本性管理情報であるバックアップ管理情報、タイムスタンプの例を示す図である。
【図4】タイムスタンプトークン取得方式の例を示す図である。
【図5】原本データバックアップ時の処理を示すフローチャートである。
【図6(a)】原本データリストア時の処理を示すフローチャート(その1)である。
【図6(b)】原本データリストア時の処理を示すフローチャート(その2)である。
【符号の説明】
【0032】
201…原本保管サーバ、202…原本バックアップ保管装置(追記型磁気テープ装置)、203…原本性保証サーバ、204…原本管理情報保管装置(追記型光ディスク装置)、205…追記型磁気ディスク装置、2011…原本データ、2021…原本データ(バックアップ)、2031…バックアッププログラム、2032…原本管理情報自動生成エージェント、2033…原本性管理情報、2034…バックアップ管理情報、2035…タイムスタンプトークン、2041…バックアップ管理情報(バックアップ)、2042…タイムスタンプトークン(バックアップ)。
【技術分野】
【0001】
本発明は、追記型磁気ディスク装置などの追記型記憶媒体における書き換え禁止制御されたデータのバックアップ管理技術に関する。
【背景技術】
【0002】
企業・医療機関・政府機関における電子データの管理に関する規制が厳しくなり、電子文書を消去・書き換えができない方法で長期間保管することが義務付けられる企業が増えている。このような進展する法制化に遵守したデータの保管を行うために、消去・書き換え不可能な追記型記憶メディアのニーズが高まっており、なかでも近年、高速アクセスの追記管理を実現する磁気ディスクの追記制御機能を備えたソフトウェア・ファームウェアの各種製品が発表されている。
【0003】
従来において、磁気ディスクの追記管理によりデータの改竄がないことを証明するための改竄検知技術として、例えば、下記特許文献1や下記特許文献2に記載のものが知られている。
【0004】
下記特許文献1は、第三者によるコンテンツの改竄行為を効果的に防止することが可能な公開コンテンツ改竄防止方法を提案する。これは、ハードディスクドライブの書込み禁止スイッチを操作することにより、第三者によるコンテンツファイルの改竄を禁止し、コンテンツを保護する技術である。
【0005】
また、下記特許文献2は、特殊なハードウェアやデバイスを用いずにデータベースを安全に管理する方法を提案する。これは、データを上書きするのではなく、データに追記することにより修正情報を管理する際、追記したデータを記入したユーザの秘密鍵で署名を施し、さらにそれをデータベース・システムの秘密鍵により署名することで、追記データがどのユーザによるものかを署名により保証することにより、データを捏造する不正書き換えを防止するデータベースシステムである。
【特許文献1】特開2003−076610号公報
【特許文献2】特開2003−131922号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
前記のような追記制御により磁気ディスクで管理されるデータの原本性を保証する一方で、現在、追記型磁気ディスクで管理される書き換え禁止データのバックアップについての改竄検知の仕組みは不十分である。そのため、バックアップメディアのすり替えによるデータの改竄や書き換え可能なバックアップメディアに対する改竄が生じる危険性があり、追記管理により原本性が保証されたデータもバックアップ時点からリストア時点の間に改竄される可能性が生じることから、ディスク障害時の復旧データに対する原本性を保証できないという問題が生じる。
【0007】
本発明の目的は、追記型磁気ディスクの書き換え禁止データを原本性を保証した形で長期間アーカイブできるバックアップ管理システムを提供することにある。
【課題を解決するための手段】
【0008】
上記の目的を達成するために、本発明は、追記型磁気ディスクなどの追記型記憶媒体の書き換え禁止データを追記型磁気テープなどの追記型で可換型(交換が可能な記憶メディア)の記憶媒体にバックアップ(アーカイブ)する際、バックアップ対象の当該追記型記憶媒体内の書き換え禁止データを特定するデータ識別情報(ファイル名など)と前記のバックアップ先追記型記憶媒体を特定するバックアップ記憶媒体識別情報(シリアルナンバーなど)を共に登録した第1の管理情報を記憶し、さらに当該第1の管理情報の原本性を認識可能な認証値を生成し、当該第1の管理情報の認証値を含む文書に電子署名を付加した第2の管理情報を記憶することを特徴とする。追記型記憶媒体のデータ復旧をする際には、前記第1と第2の管理情報により、そのバックアップ対象記憶媒体とリストア対象記憶媒体との同一性を証明し、バックアップ時点からリストア時点の間に発生しうる記憶媒体のすり替えを検知可能な状態にすることにより、より完全な原本性を保証できる。また、前記の第1の管理情報と第2の管理情報を耐久性の高い追記型光ディスク装置にアーカイブすることでより高い信頼度で原本性を保証できる。
【発明の効果】
【0009】
本発明によれば、追記型記憶媒体内の書き換え禁止データのバックアップメディアとして追記型で可換型の磁気テープなどの記憶媒体を採用することで、追記型記憶媒体内データからバックアップデータにわたって書き換え禁止の状態を維持できるため、第三者のデータアクセスによる改竄は不可能となる。また、追記型記憶媒体の書き換え禁止データのバックアップの際、バックアップ先の記憶媒体のシリアルナンバーなどの識別情報を管理情報として保持するため、仮にバックアップ時点からリストア時点の間にバックアップメディアのすり替えが発生しても、記憶媒体の識別情報をキーに改竄検知が可能であるため、障害時においても高い信頼度で原本性の保証を維持できる。
【発明を実施するための最良の形態】
【0010】
以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
【0011】
図1は、本発明の実施の一形態に関わる追記型磁気ディスクのバックアップ管理システムを含む全体のシステム構成を示すブロック図である。101が本実施形態に関わるバックアップ管理システムを示す。バックアップ管理システム101は、原本性保証サーバ102を含む。104は、信頼のおける第三者機関であるTSA(Time Stamping Authority)を示す。原本性保証サーバ102は、インターネット103経由で、TSA104のタイムスタンプサーバ105に接続し、タイムスタンプ106を取得する。タイムスタンプ106をどのように利用するかについては、後に詳しく説明する。
【0012】
図2は、本実施形態のバックアップ管理システム101の詳細な構成を示す。本バックアップ管理システムは、図2に示すように、原本保管サーバ201と、原本性保証サーバ203(図1の102)とを備える。また、ストレージ記憶装置として、原本保管サーバ201には、原本バックアップ保管装置(追記型磁気テープ装置)202が接続され、原本性保証サーバ203には、原本管理情報保管装置(追記型光ディスク装置)204が接続されている。原本保管サーバ201は、データの安全性と機密性を維持するために、追記型磁気ディスク装置205を採用し、追記型磁気ディスク装置205には、登録された原本データ2011を格納する。
【0013】
原本バックアップ保管装置202は、原本となる電子文書のアーカイブを保管するための大容量かつアクセス頻度がディスク障害のデータ復旧時のみに限られる二次記憶装置であるため、比較的安価に大容量データの原本性を維持したまま保管できるライトワンス(Write Once)型の磁気テープ記憶装置を採用する。これは、バックアップするとき、またはリストアするときにのみ、装置に装着される可換型の媒体である。
【0014】
また、原本管理情報保管装置204は、原本性管理情報のアーカイブを保管するための比較的小容量かつアクセス頻度がディスク障害のデータ復旧時のみに限られる二次記憶装置であるため、より高い信頼度で原本性を保証できるライトワンス型の光ディスク記憶装置を採用する。
【0015】
原本性保証サーバ203には、バックアッププログラム2031が実装されている。本バックアッププログラム2031の制御により、原本保管サーバ201の追記型磁気ディスク装置205に格納される原本データ2011を原本バックアップ保管装置(追記型磁気テープ装置)202へアーカイブしたり、原本バックアップ保管装置(追記型磁気テープ装置)202にアーカイブされた原本データ2021を追記型磁気ディスク装置205へリストアする。また、バックアッププログラム2031の拡張機能として、原本管理情報自動生成エージェント2032をアドインし、原本データアーカイブ実行時にバックアップ管理情報2034を生成する。原本バックアップ管理情報2034とタイムスタンプトークン2035を含む原本性管理情報2033は、原本管理情報保管装置(追記型光ディスク装置)204にアーカイブする。
【0016】
原本性保証サーバ203の機能としては、アーカイブされた原本データの改竄検知の他に、原本となる電子文書の改竄検知、アクセス制御、保管媒体へのアクセスログの取得などがあるが、本発明においてこれらの操作は、アーカイブされた原本データの原本性を失わない範囲で任意の方法で実施してよいので、これ以後はアーカイブされた原本データの改竄検知機能についてのみ詳細に説明する。改竄検知機能は、原本データのアーカイブ時に、原本データのアーカイブ先である磁気テープ媒体のシリアルNOを含んだバックアップ管理情報に電子署名とタイムスタンプを施したものを原本管理情報保管装置(追記型光ディスク装置)204に記録することにより実現される。
【0017】
図3(a)は、原本性保証サーバ203が用いるアーカイブした原本データ2021のバックアップ管理情報2034の構成例を示したものである。このバックアップ管理情報2034の構成要素は、原本データファイル名301、原本データハッシュ値302、及びバックアップ先テープ媒体シリアルNO303からなる。原本データファイル名301は、原本バックアップ保管装置(追記型磁気テープ装置)202にアーカイブされた原本データ2021のファイル名であり、原本データハッシュ値302はその原本データ2021のハッシュ値を表している。バックアップ先テープ媒体シリアルNO303は、原本データ2021のアーカイブ先である追記型磁気テープ媒体のシリアルNO(製品出荷時、メーカーにより採番される各磁気テープ製品固有のナンバー)を表している。ここではシリアルNOを用いたが、磁気テープ媒体を特定できる識別情報であればよい。この他にもバックアップ管理情報2034の構成要素として、当該原本データの作成者、作成部署名、作成日時などを示す属性要素を加えてもよい。
【0018】
図3(b)は、バックアップ管理情報2034の検証手段となるタイムスタンプトークンの構成例を示している。この例で示すタイムスタンプトークンは、バックアップ管理情報(図3(a)のバックアップ管理情報全体)のハッシュ値304、時刻情報305、及び電子署名306で構成されている。
【0019】
図4は、図3(b)に示したタイムスタンプトークンの取得方式の例を示す図である。原本性保証サーバ401(図1の102、図2の203)は、利用者の指示に応じて、タイムスタンプの対象原本データ4011(すなわち、図3(a)に示したバックアップ管理情報2034)のハッシュ値4012(図3(b)の304)を含む決められたフォーマットのタイムスタンプ要求をTSA402(図1の104)に送付する。TSA402は、受信したハッシュ値4022と受付した時刻情報4023を含むタイムスタンプトークンの形式の文書に電子署名4024を付け、タイムスタンプトークン4021(図3(b))を作成して、原本性保証サーバ401に返送する。本方式では、電子署名のタイムスタンプの付いたデータは、TSAの公開鍵証明書の有効期限が切れた場合や署名アルゴリズムが弱体化した場合、タイムスタンプの信頼性が喪失するので、これらの事象が起こる前に、有効期限に余裕のあるTSAの公開鍵証明書で再度タイムスタンプを付け直したり、より強度のある署名アルゴリズムでタイムスタンプを付け直す必要があるが、本発明では、タイムスタンプが信頼性を失わない範囲で任意の方法で実施してよいので、長期署名検証のための再署名方式については限定しない。
【0020】
図5は、図2に示した原本性保証サーバ203が行う原本データバックアップ時の処理をフローチャートで示した図である。図5に示すように、まず始めに原本保管サーバ201の追記型磁気ディスク装置205の原本データ2011をボリュームロックし、恒久的に書き換え禁止の状態にする(ステップ501)。次に、書き換え禁止制御された原本データ2011を原本バックアップ保管装置(追記型磁気テープ装置)202の磁気テープ媒体にアーカイブする(ステップ502)。磁気ディスクデータからバックアップデータにわたって書き換え禁止の状態を維持できるため、第三者のデータアクセスによる改竄は不可能となる。バックアップ制御には、原本性保証サーバのバックアッププログラム2031を使用する。
【0021】
次に、原本性保証サーバ203の原本管理情報自動生成エージェント2032により、原本バックアップ保管装置(追記型磁気テープ装置)202にアーカイブした原本データ2021のバックアップ管理情報2034を生成する(ステップ503)。図3(a)に示したように、バックアップ管理情報2034は、バックアップ先テープ媒体シリアルNO303を構成要素として管理するのが特徴であり、このシリアルNO303は、バックアップ時点からリストア時点における磁気テープ媒体すり替えによる改ざん検知のために必要な管理情報である。また、バックアップ管理情報2034の真正性を保持する仕組みとして、例えば、当該バックアップ管理情報2034の生成直後、原本バックアップ保管装置(追記型テープ装置)202に格納される元データと比較してチェックを行い、一致しない場合は、再度バックアップ管理情報2034を生成し直すベリファイ機能を原本管理情報自動生成エージェント2032に実装するとよい。
【0022】
次に、そのバックアップ管理情報2034のハッシュ値304と時刻情報305を含む文書に電子署名306を付け、タイムスタンプトークン2035を作成する(ステップ504)。この処理は、図4で説明した通りTSAを利用して行う。タイムスタンプトークン2035は、将来、元の文書のタイムスタンプトークン2035が必要になった時点で、タイムスタンプトークン2035をTSA402の公開鍵証明書を用いて検証することにより、時刻証明書が発行された時点において、元の文書が存在していたことを証明することができると同時に、タイムスタンプ2035の受付時刻以降、元の文書は改竄されていないことを証明することができる。
【0023】
最後に、バックアップ管理情報2034とタイムスタンプトークン2035を原本管理情報保管装置(追記型光ディスク装置)204にアーカイブする(ステップ505)。図2の2041,2042がアーカイブされたこれらのデータである。耐久性の高い追記型光ディスク装置204にアーカイブすることで、より高い信頼度で原本性を保証できる。
【0024】
図6(a)及び(b)は、図2に示した原本保管サーバ201の追記型磁気ディスク装置205に対するリストア処理のフローチャートを示す。この処理は、追記型磁気ディスク装置205がディスク障害を起こし、データ復旧が必要な場合に、原本バックアップ保管装置(追記型磁気テープ装置)202の原本データ(バックアップ)2021から磁気ディスク装置205にデータをリストアするものであり、原本性保証サーバ203が行うものである。
【0025】
始めに、原本管理情報保管装置(追記型光ディスク装置)204からタイムスタンプトークン(バックアップ)2042を原本性保証サーバ203にリストアする(ステップ601)。次に、TSA(Time Stamping Authority)402の公開鍵証明書を用いて、そのタイムスタンプトークン2042に用いられた電子署名の公開鍵暗号を復号化する(ステップ602)。ここで、電子署名の公開鍵暗号が復号可能な場合、このタイムスタンプトークン2042は、信頼のおける第三者機関であるTSA(Time Stamping Authority)402より許可された暗号化アルゴリズムにより、保護された改竄の危険性のない有効なデータであることを証明できる。しかしながら、電子署名の公開鍵暗号が復号不可の場合、タイムスタンプトークン2042のデータは、破損しているか改竄後別の暗号化アルゴリズムにより暗号化されていると考えられる。よって、原本性維持のため別世代のバックアップからの復旧を再試行する必要がある。
【0026】
次に、TSA(Time Stamping Authority)402の公開鍵証明書の有効期限が切れていないことを確認し、タイムスタンプトークン2042のハッシュ値304及び時刻情報305の信頼性が喪失していないかを確かめる(ステップ603)。有効期限内の場合、タイムスタンプトークン2042の原本管理情報のハッシュ値304及び時刻情報305の有効性が証明できる。しかしながら、有効期限を過ぎている場合、タイムスタンプトークン2042は、タイムスタンプの信頼性が喪失している。よって、原本性維持のため別世代のバックアップからの復旧を再試行する必要がある。
【0027】
次に、原本管理情報保管装置(追記型光ディスク装置)204からバックアップ管理情報(バックアップ)2041を原本性保証サーバ203にリストアする(ステップ604)。次に、リストアしたバックアップ管理情報2041のハッシュ値を計算する(ステップ605)。次に、前記で計算したバックアップ管理情報2041のハッシュ値とタイムスタンプトークン2042の構成要素であるバックアップ管理情報2041のハッシュ値304とを比較する(ステップ606)。両者が一致した場合は、バックアップ管理情報2041が改竄されていないといえる。両者が一致しない場合、バックアップ管理情報2041が改竄されたことを意味する。よって、原本性維持のため別世代のバックアップからの復旧を再試行する必要がある。
【0028】
次に、バックアップ管理情報2041の構成要素であるバックアップ先テープ媒体シリアルNO303の磁気テープ媒体が存在するか確認する(ステップ607)。磁気テープ媒体が存在する場合、指定された追記型磁気テープ媒体から原本データを原本保管サーバ201の追記型磁気ディスク装置205にリストアする(ステップ608)。このリストア制御には、原本性保証サーバ203のバックアッププログラム2031を使用する。磁気テープ媒体が存在しない場合、テープを紛失したかバックアップ時点からリストア時点の間にテープがすり替えられたと考えられる。よって、原本性維持のため別世代のバックアップからの復旧を再試行する必要がある。
【0029】
次に、追記型磁気ディスク装置205上にリストアした原本データ2021のハッシュ値を計算する(ステップ609)。次に、その原本データ2021のハッシュ値とバックアップ管理情報2041の構成要素である原本データのハッシュ値302とを比較する(ステップ610)。両者が一致した場合は、原本データ2021が改竄されていないといえる。両者が一致しない場合、磁気テープ媒体のデータが破損したことを意味する。よって、原本性維持のため別世代のバックアップからの復旧を再試行する必要がある。最後に、原本保管サーバ201の追記型磁気ディスク装置205の原本データをボリュームロックし、恒久的に書き換え禁止の状態にする(ステップ611)。
【0030】
なお、ステップ602で復号できなかった場合、ステップ603で有効期限が切れていた場合、ステップ606でハッシュ値が等しくなかった場合、ステップ607で媒体が存在しなかった場合、及び、ステップ610でハッシュ値が等しくなかった場合は、ここでは一世代前でバックアップで復旧することとしたが、例えば利用者にその旨を知らせるメッセージを表示し、利用者の指示を待つようにしてもよい。
【図面の簡単な説明】
【0031】
【図1】本発明の実施の形態に関わる追記型磁気ディスクのバックアップ管理システムを含む全体構成を示すブロック図である。
【図2】本実施形態のバックアップ管理システムの構成を示すブロック図である。
【図3】アーカイブした原本データの原本性管理情報であるバックアップ管理情報、タイムスタンプの例を示す図である。
【図4】タイムスタンプトークン取得方式の例を示す図である。
【図5】原本データバックアップ時の処理を示すフローチャートである。
【図6(a)】原本データリストア時の処理を示すフローチャート(その1)である。
【図6(b)】原本データリストア時の処理を示すフローチャート(その2)である。
【符号の説明】
【0032】
201…原本保管サーバ、202…原本バックアップ保管装置(追記型磁気テープ装置)、203…原本性保証サーバ、204…原本管理情報保管装置(追記型光ディスク装置)、205…追記型磁気ディスク装置、2011…原本データ、2021…原本データ(バックアップ)、2031…バックアッププログラム、2032…原本管理情報自動生成エージェント、2033…原本性管理情報、2034…バックアップ管理情報、2035…タイムスタンプトークン、2041…バックアップ管理情報(バックアップ)、2042…タイムスタンプトークン(バックアップ)。
【特許請求の範囲】
【請求項1】
追記型記憶媒体で管理される書き換え禁止データのバックアップを保管する記憶手段を備える追記型記憶媒体内書き換え禁止データのバックアップ管理システムであって、
前記追記型記憶媒体内の書き換え禁止データを、追記型で可換型の記憶媒体に、バックアップする手段と、
前記バックアップの際、バックアップした書き換え禁止データを特定するデータ識別情報と、その書き換え禁止データをバックアップした前記追記型で可換型の記憶媒体を特定するバックアップ記憶媒体識別情報とを、共に登録した第1の管理情報を記憶する手段と、
前記第1の管理情報の原本性を確認可能な認証値を生成する手段と、
前記第1の管理情報の認証値を含む文書に信頼できる第3者機関の電子署名を付加した第2の管理情報を生成する手段と、
前記第2の管理情報を記憶する手段と
を備えることを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【請求項2】
請求項1に記載の追記型記憶媒体内書き換え禁止データのバックアップ管理システムにおいて、
前記追記型記憶媒体に障害が発生し、データ復旧が必要な場合、前記第2の管理情報の電子署名によりその第2の管理情報の原本性を認証する手段と、
前記第1の管理情報を記憶する手段から第1の管理情報を読み出す手段と、
読み出した第1の管理情報に対して、前記第2の管理情報中の第1の管理情報の認証値を用いて、その第1の管理情報の原本性を認証する手段と、
認証された第1の管理情報中のバックアップ記憶媒体識別情報を取得する手段と、
データ復旧のために前記追記型記憶媒体にリストアする書き換え禁止データを読み出す追記型で可換型の記憶媒体の識別情報が、前記取得したバックアップ記憶媒体識別情報に一致しているかをチェックし、一致している場合に、該記憶媒体から書き換え禁止データを読み出して前記追記型記憶媒体にリストアする手段と
を備えることを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【請求項3】
請求項2に記載の追記型記憶媒体内書き換え禁止データのバックアップ管理システムにおいて、
前記第2の管理情報は、タイムスタンプ情報を含むものであり、
当該タイムスタンプ情報により、時刻証明書が発行された時点において、対象となる前記第1の管理情報が存在していたことを証明することができると同時に、タイムスタンプの受付時刻以降、対象となる前記第1の管理情報が改竄されていないことを証明する
ことを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【請求項4】
請求項2に記載の追記型記憶媒体内書き換え禁止データのバックアップ管理システムにおいて、
前記追記型記憶媒体は、追記型磁気ディスク装置であり、
前記追記型で可換型の記憶媒体は、追記型磁気テープ装置であり、
前記バックアップ記憶媒体識別情報は、前記追記型磁気テープ装置の各テープを特定するシリアルナンバである
ことを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【請求項5】
請求項2に記載の追記型記憶媒体内書き換え禁止データのバックアップ管理システムにおいて、
前記第1の管理情報は、バックアップした書き換え禁止データの原本性を確認可能な認証値を含み、
前記データ復旧の際には、前記第1の管理情報内の書き換え禁止データの原本性を確認可能な認証値を用いて、リストアする書き換え禁止データの原本性を確認する
ことを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【請求項6】
請求項2に記載の追記型記憶媒体内書き換え禁止データのバックアップ管理システムにおいて、
前記第1の管理情報と第2の管理情報を、耐久性の高い追記型光ディスク装置に記憶することを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【請求項1】
追記型記憶媒体で管理される書き換え禁止データのバックアップを保管する記憶手段を備える追記型記憶媒体内書き換え禁止データのバックアップ管理システムであって、
前記追記型記憶媒体内の書き換え禁止データを、追記型で可換型の記憶媒体に、バックアップする手段と、
前記バックアップの際、バックアップした書き換え禁止データを特定するデータ識別情報と、その書き換え禁止データをバックアップした前記追記型で可換型の記憶媒体を特定するバックアップ記憶媒体識別情報とを、共に登録した第1の管理情報を記憶する手段と、
前記第1の管理情報の原本性を確認可能な認証値を生成する手段と、
前記第1の管理情報の認証値を含む文書に信頼できる第3者機関の電子署名を付加した第2の管理情報を生成する手段と、
前記第2の管理情報を記憶する手段と
を備えることを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【請求項2】
請求項1に記載の追記型記憶媒体内書き換え禁止データのバックアップ管理システムにおいて、
前記追記型記憶媒体に障害が発生し、データ復旧が必要な場合、前記第2の管理情報の電子署名によりその第2の管理情報の原本性を認証する手段と、
前記第1の管理情報を記憶する手段から第1の管理情報を読み出す手段と、
読み出した第1の管理情報に対して、前記第2の管理情報中の第1の管理情報の認証値を用いて、その第1の管理情報の原本性を認証する手段と、
認証された第1の管理情報中のバックアップ記憶媒体識別情報を取得する手段と、
データ復旧のために前記追記型記憶媒体にリストアする書き換え禁止データを読み出す追記型で可換型の記憶媒体の識別情報が、前記取得したバックアップ記憶媒体識別情報に一致しているかをチェックし、一致している場合に、該記憶媒体から書き換え禁止データを読み出して前記追記型記憶媒体にリストアする手段と
を備えることを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【請求項3】
請求項2に記載の追記型記憶媒体内書き換え禁止データのバックアップ管理システムにおいて、
前記第2の管理情報は、タイムスタンプ情報を含むものであり、
当該タイムスタンプ情報により、時刻証明書が発行された時点において、対象となる前記第1の管理情報が存在していたことを証明することができると同時に、タイムスタンプの受付時刻以降、対象となる前記第1の管理情報が改竄されていないことを証明する
ことを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【請求項4】
請求項2に記載の追記型記憶媒体内書き換え禁止データのバックアップ管理システムにおいて、
前記追記型記憶媒体は、追記型磁気ディスク装置であり、
前記追記型で可換型の記憶媒体は、追記型磁気テープ装置であり、
前記バックアップ記憶媒体識別情報は、前記追記型磁気テープ装置の各テープを特定するシリアルナンバである
ことを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【請求項5】
請求項2に記載の追記型記憶媒体内書き換え禁止データのバックアップ管理システムにおいて、
前記第1の管理情報は、バックアップした書き換え禁止データの原本性を確認可能な認証値を含み、
前記データ復旧の際には、前記第1の管理情報内の書き換え禁止データの原本性を確認可能な認証値を用いて、リストアする書き換え禁止データの原本性を確認する
ことを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【請求項6】
請求項2に記載の追記型記憶媒体内書き換え禁止データのバックアップ管理システムにおいて、
前記第1の管理情報と第2の管理情報を、耐久性の高い追記型光ディスク装置に記憶することを特徴とする追記型記憶媒体内書き換え禁止データのバックアップ管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6(a)】
【図6(b)】
【図2】
【図3】
【図4】
【図5】
【図6(a)】
【図6(b)】
【公開番号】特開2006−65710(P2006−65710A)
【公開日】平成18年3月9日(2006.3.9)
【国際特許分類】
【出願番号】特願2004−249461(P2004−249461)
【出願日】平成16年8月30日(2004.8.30)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成18年3月9日(2006.3.9)
【国際特許分類】
【出願日】平成16年8月30日(2004.8.30)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]