JP2003140971A - データ改竄検出システム - Google Patents
データ改竄検出システムInfo
- Publication number
- JP2003140971A JP2003140971A JP2001338832A JP2001338832A JP2003140971A JP 2003140971 A JP2003140971 A JP 2003140971A JP 2001338832 A JP2001338832 A JP 2001338832A JP 2001338832 A JP2001338832 A JP 2001338832A JP 2003140971 A JP2003140971 A JP 2003140971A
- Authority
- JP
- Japan
- Prior art keywords
- data
- verification
- information
- registered
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 システムで使用するデータに関し、システム
外からその他の手段で改竄された場合に、その改竄を検
出するデータ改竄検出システムを提供することを課題と
する。 【解決手段】 データ管理機能部は、登録の際に、耐タ
ンパセキュアモジュールにより生成された検証データと
全整合性検証情報を管理対象データ記憶部に登録し、検
証の際に、登録済みの検証データから生成した全整合性
検証データと全整合性検証情報により検証し、データ順
序改竄検出機構部は、登録済みの検証データの登録デー
タから生成された整合性検証データと、当該検証データ
の整合性検証情報により検証を行う。
外からその他の手段で改竄された場合に、その改竄を検
出するデータ改竄検出システムを提供することを課題と
する。 【解決手段】 データ管理機能部は、登録の際に、耐タ
ンパセキュアモジュールにより生成された検証データと
全整合性検証情報を管理対象データ記憶部に登録し、検
証の際に、登録済みの検証データから生成した全整合性
検証データと全整合性検証情報により検証し、データ順
序改竄検出機構部は、登録済みの検証データの登録デー
タから生成された整合性検証データと、当該検証データ
の整合性検証情報により検証を行う。
Description
【0001】
【発明の属する技術分野】この発明は、システムで使用
するデータに関し、システム外からその他の手段で改竄
された場合、その改竄検出を実現するデータ改竄検出シ
ステムに関する。
するデータに関し、システム外からその他の手段で改竄
された場合、その改竄検出を実現するデータ改竄検出シ
ステムに関する。
【0002】
【従来の技術】記憶媒体に保存されたデータの改竄検知
に関する技術として、データと共にデータ管理ファイル
を保存する方式が提案されている(特開2000−13
2459)。図10は、従来方式を示した図である。当
該方式は、汎用の保存媒体上に格納されたデータファイ
ルに対して、消去や差し替えを含む改竄がなされたこと
の検知を目的としたデータ保存システムである。当該方
式は、パッケージ化されたデータ保存装置と、保存媒体
駆動装置を有する。データ保存装置は、暗号鍵格納用メ
モリと、暗号・復号処理部と、ファイル管理部を備え
る。
に関する技術として、データと共にデータ管理ファイル
を保存する方式が提案されている(特開2000−13
2459)。図10は、従来方式を示した図である。当
該方式は、汎用の保存媒体上に格納されたデータファイ
ルに対して、消去や差し替えを含む改竄がなされたこと
の検知を目的としたデータ保存システムである。当該方
式は、パッケージ化されたデータ保存装置と、保存媒体
駆動装置を有する。データ保存装置は、暗号鍵格納用メ
モリと、暗号・復号処理部と、ファイル管理部を備え
る。
【0003】当該方式では、データ保存時に、データ本
体の改竄検知用データと、保存媒体内でのデータの保存
位置やデータの属性を管理する媒体管理用データファイ
ルと、前記媒体管理用データファイルの改竄検知用デー
タを作成し、保存するものである。データ保存時の手順
は次の通りとなる (1)データ保存時に、データ保存装置内暗号鍵格納用
メモリ中の秘密情報を用いてデータファイルから改竄防
止用データを作成 (2)保存媒体にデータ本体を記録 (3)媒体管理用データのレコード書込み (4)媒体管理用データファイルの改竄防止用データ作
成 (5)保存媒体に媒体管理用データファイルの改竄防止
用データを記録。
体の改竄検知用データと、保存媒体内でのデータの保存
位置やデータの属性を管理する媒体管理用データファイ
ルと、前記媒体管理用データファイルの改竄検知用デー
タを作成し、保存するものである。データ保存時の手順
は次の通りとなる (1)データ保存時に、データ保存装置内暗号鍵格納用
メモリ中の秘密情報を用いてデータファイルから改竄防
止用データを作成 (2)保存媒体にデータ本体を記録 (3)媒体管理用データのレコード書込み (4)媒体管理用データファイルの改竄防止用データ作
成 (5)保存媒体に媒体管理用データファイルの改竄防止
用データを記録。
【0004】上のように記録されたデータが不正な第三
者によって改竄されたかどうかを検証する手順は次の通
りである (1)媒体管理用データファイルの改竄防止用データを
検証 (2)媒体管理用データファイルに登録された全データ
ファイルの存在を確認 (3)各データファイルの改竄防止用データを検証。
者によって改竄されたかどうかを検証する手順は次の通
りである (1)媒体管理用データファイルの改竄防止用データを
検証 (2)媒体管理用データファイルに登録された全データ
ファイルの存在を確認 (3)各データファイルの改竄防止用データを検証。
【0005】
【発明が解決しようとする課題】従来の技術では、媒体
内のデータを更新する際は、別のデータとして新規に登
録する等の処置が必要であった。また、秘密情報が更新
されるタイミングが記述されていないため、ある時点で
の全媒体のバックアップをリストアすることにより、そ
れより新規に登録されたデータの削除を検知できないと
いう問題があった。
内のデータを更新する際は、別のデータとして新規に登
録する等の処置が必要であった。また、秘密情報が更新
されるタイミングが記述されていないため、ある時点で
の全媒体のバックアップをリストアすることにより、そ
れより新規に登録されたデータの削除を検知できないと
いう問題があった。
【0006】この発明は上記のような問題点を解決する
ためになされたもので、システム外からのデータ改竄を
迅速かつ効率的に検出し、さらにある時点での完全性が
保証されたデータをリストアされた場合でも、その検出
を保証することを目的とする。
ためになされたもので、システム外からのデータ改竄を
迅速かつ効率的に検出し、さらにある時点での完全性が
保証されたデータをリストアされた場合でも、その検出
を保証することを目的とする。
【0007】
【課題を解決するための手段】本発明に係るデータ改竄
検出システムは、以下の要素を有することを特徴とする (1)ユーザ認証を行い、登録データを入力するユーザ
認証機能部 (2)登録データと、登録データに対する完全性を保証
する整合性検証情報とを含む検証データを登録データ毎
に記憶し、更に、全検証データに対する完全性を保証す
る全整合性検証情報を記憶する管理対象データ記憶部 (3)予め記憶している秘密情報と登録データとを用い
て整合性検証情報を生成し、更に、秘密情報とすべての
検証データを用いて全整合性検証情報を生成する耐タン
パセキュアモジュール (4)登録データの登録の際に、上記検証データと上記
全整合性検証情報を管理対象データ記憶部に登録し、更
に、登録データの検証の際に、管理対象データ記憶部に
登録した上記検証データを用いて生成された全整合性検
証データと、管理対象データ記憶部に登録した上記全整
合性検証情報とを用いて検証を行うデータ管理機能部 (5)登録データの検証の際に、管理対象データ記憶部
に登録した検証データに含まれる登録データを用いて生
成された整合性検証データと、当該検証データに含まれ
る整合性検証情報とを用いて検証を行うデータ順序改竄
検出機構部 (6)耐タンパセキュアモジュールに記憶する秘密情報
を更新する秘密情報更新機能部。
検出システムは、以下の要素を有することを特徴とする (1)ユーザ認証を行い、登録データを入力するユーザ
認証機能部 (2)登録データと、登録データに対する完全性を保証
する整合性検証情報とを含む検証データを登録データ毎
に記憶し、更に、全検証データに対する完全性を保証す
る全整合性検証情報を記憶する管理対象データ記憶部 (3)予め記憶している秘密情報と登録データとを用い
て整合性検証情報を生成し、更に、秘密情報とすべての
検証データを用いて全整合性検証情報を生成する耐タン
パセキュアモジュール (4)登録データの登録の際に、上記検証データと上記
全整合性検証情報を管理対象データ記憶部に登録し、更
に、登録データの検証の際に、管理対象データ記憶部に
登録した上記検証データを用いて生成された全整合性検
証データと、管理対象データ記憶部に登録した上記全整
合性検証情報とを用いて検証を行うデータ管理機能部 (5)登録データの検証の際に、管理対象データ記憶部
に登録した検証データに含まれる登録データを用いて生
成された整合性検証データと、当該検証データに含まれ
る整合性検証情報とを用いて検証を行うデータ順序改竄
検出機構部 (6)耐タンパセキュアモジュールに記憶する秘密情報
を更新する秘密情報更新機能部。
【0008】上記耐タンパセキュアモジュールは、遷移
状態を管理し、遷移状態をチェックすることにより、不
正アクセスを検出することを特徴とする。
状態を管理し、遷移状態をチェックすることにより、不
正アクセスを検出することを特徴とする。
【0009】上記耐タンパセキュアモジュールは、複数
の秘密情報を記憶し、上記データ改竄検出システムは、
更に、耐タンパセキュアモジュールの秘密情報を検索す
る秘匿情報検索機能部を有することを特徴とする。
の秘密情報を記憶し、上記データ改竄検出システムは、
更に、耐タンパセキュアモジュールの秘密情報を検索す
る秘匿情報検索機能部を有することを特徴とする。
【0010】
【発明の実施の形態】実施の形態1.図1は、実施の形
態1におけるデータ改竄検出システムのブロック構成図
である。1は、管理対象データを管理するデータ管理サ
ーバである。u1は、本システムの利用を許されたユー
ザが使用するユーザ端末である。図2は、実施の形態1
におけるデータ構造図である。以下、本システムでの動
作例について示す。
態1におけるデータ改竄検出システムのブロック構成図
である。1は、管理対象データを管理するデータ管理サ
ーバである。u1は、本システムの利用を許されたユー
ザが使用するユーザ端末である。図2は、実施の形態1
におけるデータ構造図である。以下、本システムでの動
作例について示す。
【0011】まず、管理対象データ記憶部10に登録デ
ータ18を登録する手順について説明する。登録Ste
p1として、ユーザ端末u1からユーザ認証機能部13
へ、登録データ18とユーザ認証情報を渡す。
ータ18を登録する手順について説明する。登録Ste
p1として、ユーザ端末u1からユーザ認証機能部13
へ、登録データ18とユーザ認証情報を渡す。
【0012】登録Step2として、ユーザ認証機能部
13は、ユーザ情報記憶部15中に登録されているデー
タと一致するかどうかを調べることにより、システム管
理者ad1が本システムに登録したユーザであるかどう
かを確認する。ユーザ情報記憶部15には、例えばパス
ワードやX.509形式の認証書等を登録しておくこと
とし、登録ユーザの確認は、パスワード認証やX.50
9形式の認証書を使用したユーザ認証等の方式で行う。
13は、ユーザ情報記憶部15中に登録されているデー
タと一致するかどうかを調べることにより、システム管
理者ad1が本システムに登録したユーザであるかどう
かを確認する。ユーザ情報記憶部15には、例えばパス
ワードやX.509形式の認証書等を登録しておくこと
とし、登録ユーザの確認は、パスワード認証やX.50
9形式の認証書を使用したユーザ認証等の方式で行う。
【0013】登録Step3として、ユーザ認証機能部
13は、データ管理機能部11へ、登録データ18を渡
す。
13は、データ管理機能部11へ、登録データ18を渡
す。
【0014】登録Step4として、検証データ生成機
能部111は、整合性検証情報20取得のため、登録デ
ータを耐タンパセキュアモジュール12に渡す。なお、
この際、耐タンパセキュアモジュールはFIPS140
−1 Level3相当の機能を備えるものとする。
能部111は、整合性検証情報20取得のため、登録デ
ータを耐タンパセキュアモジュール12に渡す。なお、
この際、耐タンパセキュアモジュールはFIPS140
−1 Level3相当の機能を備えるものとする。
【0015】登録Step5として、整合性検証情報2
0は、次のように計算する。耐タンパセキュアモジュー
ル12では、内部に秘密情報を格納している。秘密情報
は、いかなる手段を持ってしても耐タンパセキュアモジ
ュールの外部からは抽出できないものとする。この秘密
情報を用いて、登録データ18から整合性検証情報20
を算出する。この時、整合性検証情報20は、例えば登
録データ18のKeyed−Hash値やディジタル署
名等の、登録データ18の完全性が保証できるデータで
ある。なお、整合性検証情報20は、何らかの秘密情報
を利用して登録データ18の完全性が保証できれば、そ
のデータ形式については限定されていない。
0は、次のように計算する。耐タンパセキュアモジュー
ル12では、内部に秘密情報を格納している。秘密情報
は、いかなる手段を持ってしても耐タンパセキュアモジ
ュールの外部からは抽出できないものとする。この秘密
情報を用いて、登録データ18から整合性検証情報20
を算出する。この時、整合性検証情報20は、例えば登
録データ18のKeyed−Hash値やディジタル署
名等の、登録データ18の完全性が保証できるデータで
ある。なお、整合性検証情報20は、何らかの秘密情報
を利用して登録データ18の完全性が保証できれば、そ
のデータ形式については限定されていない。
【0016】登録Step6として、検証データ生成機
能部111は、検証データ登録機能部112に、登録デ
ータ18と整合性検証情報20を渡す。
能部111は、検証データ登録機能部112に、登録デ
ータ18と整合性検証情報20を渡す。
【0017】登録Step7として、検証データ登録機
能部112は登録データ18と整合性検証情報20から
検証データ24を作成し、管理対象データ記憶部10に
登録する。
能部112は登録データ18と整合性検証情報20から
検証データ24を作成し、管理対象データ記憶部10に
登録する。
【0018】登録Step8として、管理対象データ記
憶部10中に登録されている全検証データを、そのデー
タ登録順序がわかる形式で結合(例えば登録順にデータ
を連結する等)して耐タンパセキュアモジュールに渡
し、検証データ生成機能部111により、当該データと
秘密情報から全整合性検証情報を生成する。この生成手
順は登録Step5と同様である。
憶部10中に登録されている全検証データを、そのデー
タ登録順序がわかる形式で結合(例えば登録順にデータ
を連結する等)して耐タンパセキュアモジュールに渡
し、検証データ生成機能部111により、当該データと
秘密情報から全整合性検証情報を生成する。この生成手
順は登録Step5と同様である。
【0019】登録Step9として、生成した全整合性
検証情報を検証データ登録機能部112により、管理対
象データ記憶部10に登録する。
検証情報を検証データ登録機能部112により、管理対
象データ記憶部10に登録する。
【0020】次に、登録データ18を検証する際の手順
について説明する。検証Step1として、ユーザ端末
u1から登録ユーザであることの確認を要求する。確認
手順は、登録Step1〜登録Step2と同様であ
る。
について説明する。検証Step1として、ユーザ端末
u1から登録ユーザであることの確認を要求する。確認
手順は、登録Step1〜登録Step2と同様であ
る。
【0021】検証Step2として、ユーザ認証機能部
13は、データ管理機能部11へ、データ検証要求を渡
す。データ検証要求の中には、登録データを識別する情
報(ディレクトリパス情報、DBのレコードを一意に識
別する情報など)が含まれている。
13は、データ管理機能部11へ、データ検証要求を渡
す。データ検証要求の中には、登録データを識別する情
報(ディレクトリパス情報、DBのレコードを一意に識
別する情報など)が含まれている。
【0022】検証Step3として、データ管理機能部
11の検証データ生成機能部111では、管理対象デー
タ記憶部10中に登録されている全検証データから、全
整合性検証データを計算する。全整合性検証データ生成
手順は登録Step8と同様である。
11の検証データ生成機能部111では、管理対象デー
タ記憶部10中に登録されている全検証データから、全
整合性検証データを計算する。全整合性検証データ生成
手順は登録Step8と同様である。
【0023】検証Step4として、生成した全整合性
検証データを検証データ検証機能部113に渡し、同機
能部で全整合性検証データと、管理対象データに登録さ
れている全整合性検証情報を比較する。一致すれば第一
次検証は成功と判断する。不一致ならば管理対象データ
中のいずれかのデータに改竄があったものとみなし、デ
ータの論理的削除等の措置により、システムから利用不
可な状態にする。
検証データを検証データ検証機能部113に渡し、同機
能部で全整合性検証データと、管理対象データに登録さ
れている全整合性検証情報を比較する。一致すれば第一
次検証は成功と判断する。不一致ならば管理対象データ
中のいずれかのデータに改竄があったものとみなし、デ
ータの論理的削除等の措置により、システムから利用不
可な状態にする。
【0024】検証Step5として、データ全体の整合
性が確認できた後、データ管理機能部11では、検証デ
ータ検証機能部113により管理対象データ記憶部10
から該当する検証データ24を取得する。
性が確認できた後、データ管理機能部11では、検証デ
ータ検証機能部113により管理対象データ記憶部10
から該当する検証データ24を取得する。
【0025】検証Step6として、検証データ検証機
能部113では、検証データ24中の登録データ18を
抽出して、検証データ生成機能部111に渡し、整合性
検証データを計算する。整合性検証データの計算手順
は、登録Step5と同様である。整合性検証データを
取得後、データ順序改竄検出機能部16に渡す。
能部113では、検証データ24中の登録データ18を
抽出して、検証データ生成機能部111に渡し、整合性
検証データを計算する。整合性検証データの計算手順
は、登録Step5と同様である。整合性検証データを
取得後、データ順序改竄検出機能部16に渡す。
【0026】検証Step7として、データ順序改竄検
出機能部16では、渡された整合性検証データと、検証
データ24中の整合性検証情報20を比較する。
出機能部16では、渡された整合性検証データと、検証
データ24中の整合性検証情報20を比較する。
【0027】検証Step8として、一致したら、第二
次検証成功と判断する。不一致の場合、登録データに改
竄があったものとみなし、管理対象データからの物理的
/論理的削除等により当該データを無効なものとする。
この時、登録Step8と同様に、有効な管理対象デー
タから全整合性検証情報を再度計算する。
次検証成功と判断する。不一致の場合、登録データに改
竄があったものとみなし、管理対象データからの物理的
/論理的削除等により当該データを無効なものとする。
この時、登録Step8と同様に、有効な管理対象デー
タから全整合性検証情報を再度計算する。
【0028】上記の検証処理は、(1)ユーザ端末u1
からのデータアクセス時毎に実施、(2)システムが規
定する時間毎に実施、(3)システム起動時に実施等の
タイミングが考えられるが、実施タイミングについて
は、システムの要求性能や形態により選択可能である。
からのデータアクセス時毎に実施、(2)システムが規
定する時間毎に実施、(3)システム起動時に実施等の
タイミングが考えられるが、実施タイミングについて
は、システムの要求性能や形態により選択可能である。
【0029】次に、登録データ18を変更する際の手順
について説明する。変更Step1として、ユーザ端末
u1から登録ユーザであることの確認を要求する。確認
手順は、登録Step1〜登録Step2と同様であ
る。
について説明する。変更Step1として、ユーザ端末
u1から登録ユーザであることの確認を要求する。確認
手順は、登録Step1〜登録Step2と同様であ
る。
【0030】変更Step2として、データ管理機能部
11では、上で述べた検証Step2〜検証Step8
の手順により、登録データ(=変更対象データ)の正当
性を検証する。
11では、上で述べた検証Step2〜検証Step8
の手順により、登録データ(=変更対象データ)の正当
性を検証する。
【0031】変更Step3として、変更Step2で
検証に成功した場合のみ、上で述べた登録Step3〜
登録Step9の手順により、変更対象のデータを上書
き登録する。
検証に成功した場合のみ、上で述べた登録Step3〜
登録Step9の手順により、変更対象のデータを上書
き登録する。
【0032】なお、任意のデータを削除する場合も、変
更Step1〜変更Step3と同様の手順を取る。た
だし、全データが削除されてしまう場合の手順は特別で
あり、次の手順で実施する。全削除Step1として、
ユーザ端末u1から登録ユーザであることの確認を要求
する。確認手順は登録Step1〜登録Step2と同
様である。この時、ユーザ端末u1からデータ削除要求
を渡す。
更Step1〜変更Step3と同様の手順を取る。た
だし、全データが削除されてしまう場合の手順は特別で
あり、次の手順で実施する。全削除Step1として、
ユーザ端末u1から登録ユーザであることの確認を要求
する。確認手順は登録Step1〜登録Step2と同
様である。この時、ユーザ端末u1からデータ削除要求
を渡す。
【0033】全削除Step2の削除の手順は、データ
変更手順(変更Step2〜3)と同様である。ただ
し、削除によってデータが1件も登録されていない状態
になる場合には、耐タンパセキュアモジュールは再初期
化されたことを示す状態(再初期化状態)となる。耐タ
ンパセキュアモジュールの状態については、図4を用い
て後述する。
変更手順(変更Step2〜3)と同様である。ただ
し、削除によってデータが1件も登録されていない状態
になる場合には、耐タンパセキュアモジュールは再初期
化されたことを示す状態(再初期化状態)となる。耐タ
ンパセキュアモジュールの状態については、図4を用い
て後述する。
【0034】次に、耐タンパセキュアモジュール12内
の秘密情報を更新する際の手順について示す。秘密変更
Step1として、ユーザ端末u1から登録ユーザであ
ることの確認を要求する。確認手順は、登録Step1
〜登録Step2と同様である。
の秘密情報を更新する際の手順について示す。秘密変更
Step1として、ユーザ端末u1から登録ユーザであ
ることの確認を要求する。確認手順は、登録Step1
〜登録Step2と同様である。
【0035】秘密変更Step2として、秘密情報変更
要求が秘密情報更新機能部14へ渡されることにより、
秘密情報変更を開始する。自明のことだが、秘密情報は
耐タンパセキュアモジュール12内部で管理されるた
め、秘密情報変更要求の中には、秘密情報を特定あるい
は推定できるデータは含まれない。
要求が秘密情報更新機能部14へ渡されることにより、
秘密情報変更を開始する。自明のことだが、秘密情報は
耐タンパセキュアモジュール12内部で管理されるた
め、秘密情報変更要求の中には、秘密情報を特定あるい
は推定できるデータは含まれない。
【0036】秘密変更Step3として、秘密情報更新
機能部14では、データ管理機能部11に対し、全デー
タ検証要求を渡す。
機能部14では、データ管理機能部11に対し、全デー
タ検証要求を渡す。
【0037】秘密変更Step4として、データ管理機
能部11では、管理対象データ記憶部10に登録されて
いる全データに対し、上述のデータ検証手順(検証St
ep2〜7)でデータ検証を行う。全検証データの検証
終了後、検証Step8により、全整合性検証情報を再
作成する。全データ検証応答を秘密情報更新機能部14
に返す。この時、全データ検証応答には、検証に成功し
た全登録データを識別できる情報を含む。
能部11では、管理対象データ記憶部10に登録されて
いる全データに対し、上述のデータ検証手順(検証St
ep2〜7)でデータ検証を行う。全検証データの検証
終了後、検証Step8により、全整合性検証情報を再
作成する。全データ検証応答を秘密情報更新機能部14
に返す。この時、全データ検証応答には、検証に成功し
た全登録データを識別できる情報を含む。
【0038】秘密変更Step5として、秘密情報更新
機能部14では、耐タンパセキュアモジュール12に対
し、秘密情報更新要求を渡す。この時、秘密情報更新要
求には秘密情報を特定あるいは推定できるデータが含ま
れず、その更新を要求することを表すデータである。耐
タンパセキュアモジュール12では、秘密情報を更新し
た後、秘密情報更新応答を返す。この時、秘密情報更新
応答には更新の成功の可否を示すデータのみである。
機能部14では、耐タンパセキュアモジュール12に対
し、秘密情報更新要求を渡す。この時、秘密情報更新要
求には秘密情報を特定あるいは推定できるデータが含ま
れず、その更新を要求することを表すデータである。耐
タンパセキュアモジュール12では、秘密情報を更新し
た後、秘密情報更新応答を返す。この時、秘密情報更新
応答には更新の成功の可否を示すデータのみである。
【0039】秘密変更Step6として、秘密情報更新
機能部14は、秘密情報更新応答を受け取った後、デー
タ管理機能部11に対し、全データ更新要求を渡す。全
データ更新要求中には、更新対象である全登録データを
識別する情報(ディレクトリパス情報、DBのレコード
を一意に識別する情報など)が含まれている。
機能部14は、秘密情報更新応答を受け取った後、デー
タ管理機能部11に対し、全データ更新要求を渡す。全
データ更新要求中には、更新対象である全登録データを
識別する情報(ディレクトリパス情報、DBのレコード
を一意に識別する情報など)が含まれている。
【0040】秘密変更Step7として、データ管理機
能部11では、管理対象データ記憶部10に登録されて
いる全登録データに対し、上のデータ変更手順(変更S
tep3)でデータ変更を行う。
能部11では、管理対象データ記憶部10に登録されて
いる全登録データに対し、上のデータ変更手順(変更S
tep3)でデータ変更を行う。
【0041】本処理は、ユーザの定義する任意のタイミ
ング(管理対象データに変更があった場合、定期的、シ
ステムで定義された場合、ユーザからの非定期的かつ明
示的な要求があった場合等)によって実行される。すな
わち、秘密情報変更要求を秘密情報更新機能部14へ渡
す主体は、データ管理機能部11であってもよいし、ユ
ーザからの明示的な要求により、ユーザ認証機能部13
を通して渡されてもよい。ただし、ユーザから明示的な
要求があった場合は、上述の秘密変更Step1の前
に、ユーザ認証処理(登録Step1〜登録Step
2)の実行が必要となる。
ング(管理対象データに変更があった場合、定期的、シ
ステムで定義された場合、ユーザからの非定期的かつ明
示的な要求があった場合等)によって実行される。すな
わち、秘密情報変更要求を秘密情報更新機能部14へ渡
す主体は、データ管理機能部11であってもよいし、ユ
ーザからの明示的な要求により、ユーザ認証機能部13
を通して渡されてもよい。ただし、ユーザから明示的な
要求があった場合は、上述の秘密変更Step1の前
に、ユーザ認証処理(登録Step1〜登録Step
2)の実行が必要となる。
【0042】図3は、耐タンパセキュアモジュールの機
能構造を示す図である。内部的には、秘密情報更新機能
部14やデータ管理機能部11からの各種要求を分類処
理するための入出力処理機能部、内部の秘密情報を管理
する秘密情報管理機能部、秘密情報から一方向性関数等
により出力情報を計算する秘密情報演算機能部により構
成される。
能構造を示す図である。内部的には、秘密情報更新機能
部14やデータ管理機能部11からの各種要求を分類処
理するための入出力処理機能部、内部の秘密情報を管理
する秘密情報管理機能部、秘密情報から一方向性関数等
により出力情報を計算する秘密情報演算機能部により構
成される。
【0043】図4は、耐タンパセキュアモジュールの状
態遷移図である。図5は、耐タンパモジュール内での発
生イベントを示す図である。図6は、耐タンパモジュー
ル内での状態を示す図である。図7は、耐タンパモジュ
ール内での状態遷移表である。耐タンパセキュアモジュ
ールは、装着された最初の状態をq0とする。この時、
内部には秘密情報は登録されていない。データが登録さ
れる場合(イベントev1発生時)に、有効状態q1に
状態が遷移する。以降、データの登録/削除/変更等の
イベント(ただし、イベント後にデータが1件以上登録
される場合)(ev4,ev5)発生時にも状態はq1
のままとする。データ削除(イベントev2発生)によ
ってデータが1件も登録されない場合、耐タンパセキュ
アモジュールは再初期化状態q2に状態が遷移する。状
態q2は、データの登録により、再度状態q1に遷移す
ることができる。状態q0、q1、q2の場合に、不正
アクセスによって、耐タンパセキュアモジュールの耐タ
ンパ機構が機能部したときは、状態はqeに遷移する。
態遷移図である。図5は、耐タンパモジュール内での発
生イベントを示す図である。図6は、耐タンパモジュー
ル内での状態を示す図である。図7は、耐タンパモジュ
ール内での状態遷移表である。耐タンパセキュアモジュ
ールは、装着された最初の状態をq0とする。この時、
内部には秘密情報は登録されていない。データが登録さ
れる場合(イベントev1発生時)に、有効状態q1に
状態が遷移する。以降、データの登録/削除/変更等の
イベント(ただし、イベント後にデータが1件以上登録
される場合)(ev4,ev5)発生時にも状態はq1
のままとする。データ削除(イベントev2発生)によ
ってデータが1件も登録されない場合、耐タンパセキュ
アモジュールは再初期化状態q2に状態が遷移する。状
態q2は、データの登録により、再度状態q1に遷移す
ることができる。状態q0、q1、q2の場合に、不正
アクセスによって、耐タンパセキュアモジュールの耐タ
ンパ機構が機能部したときは、状態はqeに遷移する。
【0044】実施の形態2.実施の形態1では、システ
ム内に登録されたデータがシステム外から改竄または削
除された際に、耐タンパセキュアモジュール内で管理さ
れる秘密情報を用いることにより、改竄または削除を検
出することを可能にしたものであるが、本実施の形態で
は、耐タンパセキュアモジュール内で複数の秘密情報を
管理する形態について説明する。
ム内に登録されたデータがシステム外から改竄または削
除された際に、耐タンパセキュアモジュール内で管理さ
れる秘密情報を用いることにより、改竄または削除を検
出することを可能にしたものであるが、本実施の形態で
は、耐タンパセキュアモジュール内で複数の秘密情報を
管理する形態について説明する。
【0045】図8は、実施の形態2におけるデータ改竄
検出システムのブロック構成図である。図8は、図1の
機能構成に耐タンパセキュアモジュール内の秘密情報を
検索する秘匿情報検索機能部17が加わっている。図9
は、実施の形態2におけるデータ構成図である。図3と
の違いは、検証データに秘密ID35−nが含まれ、検
証データが3要素で構成されている点と、耐タンパセキ
ュアモジュール12内で秘密IDから秘密情報を導出す
る点である。
検出システムのブロック構成図である。図8は、図1の
機能構成に耐タンパセキュアモジュール内の秘密情報を
検索する秘匿情報検索機能部17が加わっている。図9
は、実施の形態2におけるデータ構成図である。図3と
の違いは、検証データに秘密ID35−nが含まれ、検
証データが3要素で構成されている点と、耐タンパセキ
ュアモジュール12内で秘密IDから秘密情報を導出す
る点である。
【0046】秘密IDは、データ管理サーバ内の秘匿情
報検索機能部17によって指定する。耐タンパセキュア
モジュール12内で管理する秘密情報が複数になる点以
外は、実施の形態1と同様の動作である。ただし、秘密
情報が変更された場合の手順が異なる。秘密情報が変更
される際の処理は、実施の形態1で述べた秘密変更St
ep1〜7とほぼ同様であるが、異なる点は、実施の形
態1の秘密変更4に替えて、次のように動作する。
報検索機能部17によって指定する。耐タンパセキュア
モジュール12内で管理する秘密情報が複数になる点以
外は、実施の形態1と同様の動作である。ただし、秘密
情報が変更された場合の手順が異なる。秘密情報が変更
される際の処理は、実施の形態1で述べた秘密変更St
ep1〜7とほぼ同様であるが、異なる点は、実施の形
態1の秘密変更4に替えて、次のように動作する。
【0047】秘密変更Step4’として、データ管理
機能部11では、管理対象データ記憶部10に登録さ
れ、かつ全データ検証要求の中で指定された秘密IDが
整合性検証情報生成時に使用されている(すなわち検証
データ内秘密IDが指定された秘密IDと一致する)全
データに対し、実施の形態1のデータ検証Step2〜
7でデータ検証を行う。検証終了後、全データ検証応答
30を秘密情報更新機能部14に返す。
機能部11では、管理対象データ記憶部10に登録さ
れ、かつ全データ検証要求の中で指定された秘密IDが
整合性検証情報生成時に使用されている(すなわち検証
データ内秘密IDが指定された秘密IDと一致する)全
データに対し、実施の形態1のデータ検証Step2〜
7でデータ検証を行う。検証終了後、全データ検証応答
30を秘密情報更新機能部14に返す。
【0048】尚、データ改竄検出システムの例であるデ
ータ管理サーバは、コンピュータであり、各要素はプロ
グラムにより処理を実行することができる。また、プロ
グラムを記憶媒体に記憶させ、記憶媒体からコンピュー
タに読み取られるようにすることができる。
ータ管理サーバは、コンピュータであり、各要素はプロ
グラムにより処理を実行することができる。また、プロ
グラムを記憶媒体に記憶させ、記憶媒体からコンピュー
タに読み取られるようにすることができる。
【0049】
【発明の効果】本システムにおいては、データの一部が
不正に改竄、削除されたことが検出できることに加え、
管理対象データがデータベースやOSの備えるファイル
システムなど、正当な他の手段により変更された場合で
も、整合性検証情報及び全整合性検証情報が更新されな
いため、その検出が可能になる。また、秘密情報を耐タ
ンパセキュアモジュール内で管理しているため、ある時
点で完全性が検証されたデータをバックアップしてお
き、それをリストアしても、正しい秘密情報を設定する
ことができないため、不正な処理であることが検出でき
る。全データを不正に削除し、初期化状態にした場合
も、耐タンパセキュアモジュール内の状態更新ができな
いため、内部で管理する状態をチェックすることによ
り、それが検出できる。
不正に改竄、削除されたことが検出できることに加え、
管理対象データがデータベースやOSの備えるファイル
システムなど、正当な他の手段により変更された場合で
も、整合性検証情報及び全整合性検証情報が更新されな
いため、その検出が可能になる。また、秘密情報を耐タ
ンパセキュアモジュール内で管理しているため、ある時
点で完全性が検証されたデータをバックアップしてお
き、それをリストアしても、正しい秘密情報を設定する
ことができないため、不正な処理であることが検出でき
る。全データを不正に削除し、初期化状態にした場合
も、耐タンパセキュアモジュール内の状態更新ができな
いため、内部で管理する状態をチェックすることによ
り、それが検出できる。
【0050】また、耐タンパセキュアモジュール内で秘
密情報を複数管理し、それらによってデータの改竄検出
を行うことにより、秘密情報漏洩時のリスク分散になる
と共に、秘密情報変更時に整合性検証処理、整合性検証
情報情報の再作成を行う範囲が限定でき、より高速かつ
同レベルのセキュリティ強度を提供することが可能にな
る。
密情報を複数管理し、それらによってデータの改竄検出
を行うことにより、秘密情報漏洩時のリスク分散になる
と共に、秘密情報変更時に整合性検証処理、整合性検証
情報情報の再作成を行う範囲が限定でき、より高速かつ
同レベルのセキュリティ強度を提供することが可能にな
る。
【図1】 実施の形態1におけるデータデータ改竄検出
システムのブロック構成図である。
システムのブロック構成図である。
【図2】 実施の形態1におけるデータ構造図である。
【図3】 耐タンパセキュアモジュールの機能構造を示
す図である。
す図である。
【図4】 耐タンパセキュアモジュールの状態遷移図で
ある。
ある。
【図5】 耐タンパモジュール内での発生イベントを示
す図である。
す図である。
【図6】 耐タンパモジュール内での状態を示す図であ
る。
る。
【図7】 耐タンパモジュール内での、状態遷移表であ
る。
る。
【図8】 実施の形態2におけるデータ改竄検出システ
ムのブロック構成図である。
ムのブロック構成図である。
【図9】 実施の形態2におけるデータ構成図である。
【図10】 従来方式を示した図である。
1 データ管理サーバ、10 管理対象データ記憶部、
11 データ管理機能部、12 耐タンパセキュアモジ
ュール、13 ユーザ認証機能部、14 秘密情報更新
機能部、15 ユーザ情報記憶部、16 データ順序改
竄検出機能部、17 秘匿情報検索機能部、18 登録
データ、20 整合性検証情報、111検証データ生成
機能部、112 検証データ登録機能部、113 検証
データ検証機能部、121 入出力処理機能部、122
秘密情報管理機能部、123秘密情報演算機能部、3
4 秘密情報記憶部。
11 データ管理機能部、12 耐タンパセキュアモジ
ュール、13 ユーザ認証機能部、14 秘密情報更新
機能部、15 ユーザ情報記憶部、16 データ順序改
竄検出機能部、17 秘匿情報検索機能部、18 登録
データ、20 整合性検証情報、111検証データ生成
機能部、112 検証データ登録機能部、113 検証
データ検証機能部、121 入出力処理機能部、122
秘密情報管理機能部、123秘密情報演算機能部、3
4 秘密情報記憶部。
Claims (3)
- 【請求項1】 以下の要素を有することを特徴とするデ
ータ改竄検出システム (1)ユーザ認証を行い、登録データを入力するユーザ
認証機能部 (2)登録データと、登録データに対する完全性を保証
する整合性検証情報とを含む検証データを登録データ毎
に記憶し、更に、全検証データに対する完全性を保証す
る全整合性検証情報を記憶する管理対象データ記憶部 (3)予め記憶している秘密情報と登録データとを用い
て整合性検証情報を生成し、更に、秘密情報とすべての
検証データを用いて全整合性検証情報を生成する耐タン
パセキュアモジュール (4)登録データの登録の際に、上記検証データと上記
全整合性検証情報を管理対象データ記憶部に登録し、更
に、登録データの検証の際に、管理対象データ記憶部に
登録した上記検証データを用いて生成された全整合性検
証データと、管理対象データ記憶部に登録した上記全整
合性検証情報とを用いて検証を行うデータ管理機能部 (5)登録データの検証の際に、管理対象データ記憶部
に登録した検証データに含まれる登録データを用いて生
成された整合性検証データと、当該検証データに含まれ
る整合性検証情報とを用いて検証を行うデータ順序改竄
検出機構部 (6)耐タンパセキュアモジュールに記憶する秘密情報
を更新する秘密情報更新機能部。 - 【請求項2】 上記耐タンパセキュアモジュールは、遷
移状態を管理し、遷移状態をチェックすることにより、
不正アクセスを検出することを特徴とする請求項1記載
のデータ改竄検出システム。 - 【請求項3】 上記耐タンパセキュアモジュールは、複
数の秘密情報を記憶し、 上記データ改竄検出システムは、更に、耐タンパセキュ
アモジュールの秘密情報を検索する秘匿情報検索機能部
を有することを特徴とする請求項1記載のデータ改竄検
出システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001338832A JP2003140971A (ja) | 2001-11-05 | 2001-11-05 | データ改竄検出システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001338832A JP2003140971A (ja) | 2001-11-05 | 2001-11-05 | データ改竄検出システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003140971A true JP2003140971A (ja) | 2003-05-16 |
Family
ID=19153265
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001338832A Pending JP2003140971A (ja) | 2001-11-05 | 2001-11-05 | データ改竄検出システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003140971A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006203564A (ja) * | 2005-01-20 | 2006-08-03 | Nara Institute Of Science & Technology | マイクロプロセッサ、ノード端末、コンピュータシステム及びプログラム実行証明方法 |
| JP2006338098A (ja) * | 2005-05-31 | 2006-12-14 | Kawasaki Microelectronics Kk | 演算処理装置 |
| US7243147B2 (en) * | 2002-12-30 | 2007-07-10 | Bellsouth Ip Corporation | Systems and methods for the detection and management of network assets |
| US7735082B2 (en) | 2004-07-02 | 2010-06-08 | Ntt Docomo, Inc. | Task management system |
-
2001
- 2001-11-05 JP JP2001338832A patent/JP2003140971A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7243147B2 (en) * | 2002-12-30 | 2007-07-10 | Bellsouth Ip Corporation | Systems and methods for the detection and management of network assets |
| US7735082B2 (en) | 2004-07-02 | 2010-06-08 | Ntt Docomo, Inc. | Task management system |
| JP2006203564A (ja) * | 2005-01-20 | 2006-08-03 | Nara Institute Of Science & Technology | マイクロプロセッサ、ノード端末、コンピュータシステム及びプログラム実行証明方法 |
| JP2006338098A (ja) * | 2005-05-31 | 2006-12-14 | Kawasaki Microelectronics Kk | 演算処理装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11361089B2 (en) | Method, apparatus, and electronic device for blockchain-based recordkeeping | |
| US6968456B1 (en) | Method and system for providing a tamper-proof storage of an audit trail in a database | |
| CN110049066B (zh) | 一种基于数字签名和区块链的资源访问授权方法 | |
| US9881013B2 (en) | Method and system for providing restricted access to a storage medium | |
| US8122256B2 (en) | Secure bytecode instrumentation facility | |
| US10171239B2 (en) | Single use recovery key | |
| JP4278327B2 (ja) | コンピュータ・プラットフォームおよびその運用方法 | |
| CN101278298B (zh) | 执行数据对象从源到目标的信任保持迁移的系统和方法 | |
| US9633183B2 (en) | Modular software protection | |
| CN101482887B (zh) | 数据库关键数据的防篡改检验方法 | |
| EP1365306A2 (en) | Data protection system | |
| US20160105444A1 (en) | Enforcing alignment of approved changes and deployed changes in the software change life-cycle | |
| JP2003500722A (ja) | 情報保護方法および装置 | |
| GB2520056A (en) | Digital data retention management | |
| JPH10312335A (ja) | データ処理方法およびデータ処理装置 | |
| KR20010100011A (ko) | 보안 카운터를 경유하여 데이터 통합성을 보증하는 방법 | |
| JP2001147898A (ja) | 原本性保証電子保存方法、装置及びコンピュータ読み取り可能な記録媒体 | |
| US10158623B2 (en) | Data theft deterrence | |
| RU2458385C2 (ru) | Транзакционная изолированная система хранения данных | |
| US20080263630A1 (en) | Confidential File Protecting Method and Confidential File Protecting Device for Security Measure Application | |
| JP2001337600A (ja) | 電子データ保管システム、履歴検証装置、電子データ保管方法及び記録媒体 | |
| JP2000132459A (ja) | データ保存システム | |
| JP4152099B2 (ja) | アクセス制御履歴保証方法 | |
| JP2003140971A (ja) | データ改竄検出システム | |
| JP4753819B2 (ja) | 電磁的記録の証拠能力及び/又は証拠価値を高める情報処理方法、プログラム及び装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040518 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041019 |